6 风险评估
6.1 风险评估概述
风险评估包括风险识别、风险分析与风险评价三个步骤。
6.2 风险评估的输入
风险评估的输入主要包括:
a) 项目环境信息(更新);
b) 装备研制合同及工作说明、项目管理计划等有关文件;
c) 需求分析、指标要求、成功准则、假设条件、余量比较等;
d) 风险管理计划;
e) 工作分解结构(WBS);
f) 仿真计算、试验分析、检验检测、样机研制等数据及相关绩效报告;
g) 变更分析与控制;
h) 资源分析数据;
i) 其他相关的技术活动,如故障树分析、故障模式与影响分析、安全性分析、软件测评等;
j) 研制阶段各项评审或审查结论、专家意见;
k) 积累的国内外类似项目的经验及有关数据;
l) 业务相关方的风险承受能力或容许度、提供的风险信息等;
m) 相关专家意见、标准、模板及其他可利用的信息等。
6.3 风险识别
6.3.1 风险识别的任务
风险识别一般包括以下任务:
a) 选择风险识别方法;
b) 动态识别风险事件;
c) 记录风险识别过程与结果。
6.3.2 选择风险识别方法
根据项目目标、环境信息、掌握的数据、理论与方法及专家意见等,选择适宜的风险识别方法。可利用各种支持性的技术方法来提高风险识别的准确性和完整性。常用的技术方法参见附录D。
6.3.3 动态识别风险事件
6.3.3.1 基于武器装备研制项目工作分解结构,逐层逐个检查工作单元的现有控制措施(如设计特 征、人员、过程和系统等),以识别潜在的风险事件等。并应动态、持续的识别风险,识别的频率因武器装备研制项目要求、复杂程度、产品层级等不同而异。武器装备研制项目工作分解结构编制要求见GJB 2116。基于工作分解结构的风险识别参见附录D中D.3.1。
6.3.3.2 识别风险需全员参与,包括订购方、用户代表、承制方各级技术和管理人员等。识别过程中,应认识到人及组织因素的重要性,偏离预期的人为及组织因素也应被纳入风险识别的范畴。
6.3.4 记录风险识别过程与结果
记录风险识别过程与结果信息,可按需形成以下文件:
a) 风险分解结构(Risk Breakdown Structure,RBS),根据识别的风险类别排列的一种层级结构。
b) 风险源清单,武器装备研制项目各阶段典型风险源参见附录E。
c) 风险登记册,描述已识别的风险的原因、特征、后果、影响范围等信息。风险登记册示例可参见附录F。
注:风险识别结果是风险登记册的部分内容,风险登记册还包括其他活动的输出,其内容根据风险管理活动的实施逐步完善。
6.4 风险分析
6.4.1 风险分析的任务
风险分析为风险评价和风险应对提供必要信息,一般包括以下任务:
a) 选择分析方法;
b) 后果分析;
c) 可能性分析;
d) 不确定性及敏感性分析;
e) 记录风险分析过程与结果。
6.4.2 选择分析方法
根据风险分析目的、可获得的数据和资源项目决策需求等,选择适宜的风险分析方法。风险分析方法可以是定性的、半定量的、定量的或以上方法的组合。常用的技术方法参见附录D。
6.4.3 后果分析
后果分析通过假设特定事件、情况或环境已经出现,可确定风险影响的性质、范围和程度。后果分析应考虑:
a) 某个事件可能产生一系列不同影响程度的后果,即风险事件可能不同程度的影响一个或多个目标;
b) 涉及的业务相关方,风险事件可能影响一个或多个业务相关方;
c) 即将发生的后果以及一段时间后可能发生的后果两种情况;
d) 可能产生的次要后果,如影响相关系统、活动、设备或组织的次要后果;
e) 现有的控制措施,以及可能改变后果的相关因素。
6.4.4 可能性分析
可能性分析可确定风险事件发生的概率、预计发生的时间和频率等。常用的方法可单独或组合使用,主要包括:
a) 利用相关历史数据来推断未来发生的可能性。所使用的数据应当与正在分析的系统、设备、组织或活动的类型有关。
b) 利用故障模式分析等技术方法来预测可能性。当历史数据无法获取或不够充分时,有必要通过分析系统、设备、活动或组织及其相关的失效或成功状况来推断风险发生的可能性。
c) 系统化和结构化地利用专家观点来估计可能性。专家判断可利用一切现有的相关信息,包括历史的、特定系统的、具体组织的、试验及设计等方面的信息。
6.4.5 不确定性及敏感性分析
6.4.5.1 不确定性因素分析
风险分析过程常会涉及诸多不确定性因素。不确定性因素分析是对风险分析结果的方差或偏离性进行分析明确,如风险识别和分析时使用的数据、方法及模型等本身存在的不确定性因素。
6.4.5.2 敏感性分析
敏感性分析与不确定性因素分析密切相关。敏感性分析是确定某个不确定性因素输入的改变对风险等级影响的程度和显著性。这项分析可用来识别哪些数据对结果影响较大,从而更应确保其准确性。如有可能,敏感的参数及其敏感度应予以说明。
6.4.6 记录风险分析过程与结果
记录风险分析过程与结果信息,可按需形成以下文件:
a) 风险登记册,补充风险登记册中已识别风险的可能性等级、后果等级等信息;
b) 对分析依据、假设条件、不确定性因素或敏感度的说明;
c) 风险分析结果未来趋势;
d) 其他分析过程信息等。
6.5 风险评价
6.5.1 风险评价的任务
风险评价一般包括以下任务,风险评价流程示意图见图2:
a) 确定风险等级;
b) 风险排序;
c) 记录风险评价过程与结果。
图2 风险评价流程图
6.5.2 确定风险等级
将风险分析的结果与预先设定的风险准则相比较,或者在各种风险的分析结果之间进行比较,确定风险的等级。常采用风险矩阵方法,参见附录D中D.3.2。如果是新识别的风险,则应当制定相应的风险准则,以便评价该风险。
6.5.3 风险排序
对诸项风险进行排序,以便作出风险应对优先序决策。必要时,可单独形成风险排序清单。风险评价的结果应满足风险应对决策的需要,否则,应做进一步分析。依据对风险的承受能力或容忍度,可将风险划分为如下3个区域进行排序:
a) 不可接受区域。风险等级高于容忍度上限,风险应对优先序最高。应向项目管理责任人或风险管理委员会报告。并集中项目资源进行应对。
b) 中间区域。风险等级低于容忍度上限,超出风险接受准则范围,风险应对优先序次之。应综合考虑实施应对措施的成本与收益,并权衡对其他活动的影响。
c) 可接受区域。风险等级较低或微不足道,在风险接受准则范围内,风险应对优先序最低。在资源约束下,可不采取专门的应对活动,而应持续关注风险状况变化。
6.5.4 记录风险评价过程与结果
记录风险评价过程与结果信息,可按需形成以下文件:
a) 风险登记册,补充风险登记册中风险等级信息;
b) 风险矩阵;
c) 风险排序结果或清单;
d) 其他评价过程信息等。
6.6 风险评估的输出
风险评估的输出主要包括:
a) 风险分解结构;
b) 风险登记册或风险源清单;
c) 风险排序结果或清单;
d) 风险评估报告;
e) 风险管理计划与变更记录;
f) 过程记录或其他必要文件。