ГОСТ Р ИСО/МЭК12207—2010
6.3.4.3.2 Менеджмент профиля рисков
Данный вид деятельности состоит из решения следующих задач:
6.3.4.3.2.1 Содержание процесса менеджмента рисков должно быть определено идокументировано.
П р и м е ч а н и е — Эта задача включает в себя описание перспектив правообладателей, категорий риска
и описание (возможно посредством ссылки) технических и управленческих целей, допущений и ограничений.
6.3.4.3.2.2 Должны быть документированы пороговые значения риска, определяющие условия, при
которых уровень риска может быть принят.
6.3.4.3.2.3 Должен устанавливаться и поддерживаться профиль рисков.
П р и м е ч а н и е — Записи профиля рисков включают в себя содержание менеджмента рисков; запись
каждого состояния риска, включая его вероятность, последствия и пороговые значения риска; приоритет каждого
риска, основанный на критериях риска, представленных правообладателями; требования по осуществлению дей
ствий, связанных с состоянием и обработкой риска. Профиль рисков обновляется, если имеются изменения в
отдельном состоянии риска. Приоритеты в профиле рисков используются для определения применения ресур сов
для обработки рисков.
6.3.4.3.2.4 Содержание соответствующего профиля рисков должно периодически доводиться до све
дения правообладателей взависимости от их потребностей.
6.3.4.3.3 Анализ рисков
Данный вид деятельности состоит из решения следующих задач:
6.3.4.3.3.1 Риски должны быть идентифицированы в категориях, описанных в контексте менеджмента
рисков.
6.3.4.3.3.2 Должна быть оценена вероятность возникновения и последствия каждого идентифициро
ванного риска.
6.3.4.3.3.3 Каждый рискдолжен быть оценен по отношению к его пороговым значениям.
6.3.4.3.3.4 Для каждого риска, который находится выше его порогового значения, должны быть опре
делены идокументированы рекомендуемые стратегии обработки. Измеримые значения показателей, ха
рактеризующих результативность альтернативных вариантов обработки, также должны быть определены и
документированы.
П р и м е ч а н и е — Стратегии обработки риска включают в себя, по крайней мере: устранение риска,
уменьшение вероятности его появления или серьезности последствий или принятие риска.
6.3.4.3.4 Обработка рисков
Данный вид деятельности состоит из решения следующих задач:
6.3.4.3.4.1 Правообладатели должны предоставлять рекомендованные альтернативы обработки риска
в требованиях на действия по отношению к риску.
6.3.4.3.4.2 Если правообладатели посчитают, что следует предпринять действия для того, чтобы сде
лать риск приемлемым, то должна быть реализована альтернатива обработки риска.
6.3.4.3.4.3 Если правообладатели принимают риск, который превышает пороговое значение, то этот
рискдолжен рассматриваться как высоко приоритетный и непрерывно контролироваться для определения
необходимых будущих действий по его обработке.
6.3.4.3.4.4 Кактолько обработка риска выбрана, она должна следовать тем же действиям, что и при
менеджменте проблем, в соответствии с действиями по аттестации и управлению, изложенными в 6.3.2
настоящего стандарта или в [18].
6.3.4.3.5 Мониторинг рисков
Данный вид деятельности состоит из решения следующих задач:
6.3.4.3.5.1 Все риски и содержание менеджмента рисков должны подвергаться мониторингу для вы
явления изменений. В случае изменения состояния риска должна быть выполнена его оценка.
6.3.4.3.5.2 Для оценки результативности обработки риска должны разрабатываться и контролировать
ся соответствующие измеримые показатели.
6.3.4.3.5.3 В течение всего жизненного цикла проекта должен проводиться постоянный мониторинг
возникновения новых рисков и их источников.
6.3.4.3.6 Оценка процесса менеджмента рисков
Данный вид деятельности состоит из решения следующих задач:
6.3.4.3.6.1Должна собираться информация в течение всего жизненного цикла проекта для целей
улучшения процесса менеджмента рисков и извлечения практических уроков.
П р и м е ч а н и е — Информация о рисках включает в себя идентифицированные риски, их источники,
причины, обработку и примеры успешного применения выбранных вариантов обработки.
30