Управленческий риск это: 2. Управленческие риски

Одним из примеров управления рисками может быть бизнес, выявляющий различные риски, связанные с открытием нового места.Они могут снизить риски, выбрав места с высокой проходимостью и низкой конкуренцией со стороны аналогичных предприятий в этом районе.

Другим примером может быть парк развлечений на открытом воздухе, который признает, что их бизнес полностью зависит от погоды. Чтобы снизить риск крупного финансового удара в плохой сезон, парк может постоянно тратить небольшие средства и наращивать денежные резервы.

Еще одним примером может быть инвестор, покупающий акции новой интересной компании с высокой оценкой, даже если они знают, что акции могут значительно упасть.В этой ситуации принятие риска отображается, когда инвестор покупает, несмотря на угрозу, чувствуя, что потенциал большого вознаграждения перевешивает риск.

См. Также: разведка рисков

Подход и план управления рисками

Определение: Управление рисками — это процесс выявления риска, оценки риска и принятия мер по снижению риска до приемлемого уровня [1]. Подход к управлению рисками определяет процессы, методы, инструменты, а также командные роли и обязанности для конкретного проекта.План управления рисками описывает, как управление рисками будет структурировано и реализовано в проекте [2].

Ключевые слова: управление рисками, подход к управлению рисками, план управления рисками, процесс управления рисками

MITRE SE Роли и ожидания: MITER Системные инженеры (SE), работающие над государственными программами, предлагают и влияют, а часто и разрабатывают подход к управлению рисками. Они готовят и контролируют планы и стратегии снижения рисков для правительственного офиса проекта или программы, а также проверяют планы управления рисками, подготовленные государственными подрядчиками [3].

Фон

В качестве процесса управления управление рисками используется для выявления и предотвращения потенциальных затрат, графика и производственных / технических рисков для системы, принятия упреждающего и структурированного подхода для управления негативными результатами, реагирования на них, если они возникают, и выявления потенциальных возможности, которые могут быть скрыты в ситуации [4]. Подход и план управления рисками позволяют реализовать эти цели управления.

Поскольку нет двух абсолютно одинаковых проектов, подход и план управления рисками должны быть адаптированы к объему и сложности отдельных проектов.Другие соображения включают роли, обязанности и размер проектной группы, процессы управления рисками, требуемые или рекомендуемые правительственной организацией, и инструменты управления рисками, доступные для проекта.

Риск возникает во всем спектре правительства и его различных предприятий, систем-систем и отдельных систем. На системном уровне внимание к рискам обычно сосредоточено на развитии. Риск существует в операциях, требованиях, проектировании, разработке, интеграции, тестировании, обучении, развертывании и т. Д.(см. раздел «Строительные блоки жизненного цикла SE» настоящего Руководства). Для систем-систем риски зависимости возрастают. Согласованность работы в системе систем, синхронизация разработки и развертывания возможностей, рассмотрение вопроса о том, следует ли взаимодействовать, взаимодействовать или интегрировать, и риски, связанные с этими путями, выходят на первый план в среде системы систем. На уровне предприятия риски управления и сложности становятся более заметными. Риск управления, связанный с различными рекомендациями на предприятии в интересах предприятия, будет просачиваться в систему систем и отдельные системы, что приведет к потенциально непредвиденным требованиям и, возможно, к неоптимальным решениям на низком уровне, которые могут быть полезны на уровне предприятия.Работа с возрастающими неизвестными и связанными с ними рисками — методы, описанные в разделе Руководства по проектированию предприятия, такие как слабые связи, объединенные архитектуры и управление портфелем, — могут помочь MITER SE снизить эти риски.

Управление рисками в программах системного уровня

Управление рисками на системном уровне в основном является обязанностью группы, работающей над предоставлением возможностей для конкретной разработки. В области рисков системного уровня основная ответственность ложится на менеджера системной программы и SE за управление рисками, а на разработчиков и интеграторов — за помощь в выявлении и создании подходов к снижению риска.Кроме того, ключевая ответственность ложится на лицо, принимающее решение, когда сообщество пользователей принимает остаточный риск после того, как он и его последствия были идентифицированы. Статьи в тематической области «Управление рисками» содержат рекомендации по выявлению риска (идентификация рисков), снижению рисков на системном уровне с помощью таких опций, как контроль, передача и наблюдение (планирование, реализация и мониторинг процесса снижения рисков), а также оценка программных рисков. шкала и матрица (оценка и приоритезация рисков).Эти руководящие принципы вместе с MITRE SE, использующими инструменты, подобные тем, которые указаны в статье «Инструменты управления рисками», помогут команде программы справиться с управлением рисками и обеспечат реалистичность при разработке и внедрении возможностей для пользователей.

Управление рисками в системных программах

Сегодня объем литературы по управлению инженерными рисками в основном направлен на рассмотрение традиционных проектов инженерных систем — систем, спроектированных и спроектированных в соответствии с набором четко определенных требований пользователей, спецификаций и технических стандартов.Напротив, мало что известно о том, как принципы управления рисками применяются к системе, функциональность и производительность которой регулируются взаимодействием набора тесно взаимосвязанных, но независимых, взаимодействующих систем. Такие системы могут называться системами-системами.

Систему систем можно рассматривать как набор или группу систем, которые связаны или взаимосвязаны для обеспечения заданной возможности, которая в противном случае была бы невозможна. Потеря какой-либо части поддерживающих систем ухудшает или, в некоторых случаях, устраняет производительность или возможности в целом.

Что делает управление рисками при проектировании систем-систем более сложным, чем управление рисками в традиционном проекте системного проектирования? Основные этапы процесса управления рисками такие же. Проблема возникает из-за внедрения и управления этапами процесса в крупномасштабной, сложной, системной системе, подчиненные системы, менеджеры и заинтересованные стороны которой могут быть географически рассредоточены, распределены по организациям и могут не иметь полностью пересекающихся потребностей пользователей.

Как предоставление возможностей с течением времени влияет на управление рисками в системе систем? Сложность состоит в том, чтобы согласовать или сопоставить выявленные риски с возможностями, которые планируется реализовать в рамках указанной сборки к указанному времени. Здесь критически важно, чтобы оценки воздействия риска выполнялись в зависимости от того, какие возможности будут затронуты, когда эти эффекты возникнут, и их влияние на пользователей и заинтересованные стороны.

Отсутствие четко определенных границ системы, линий ответственности и подотчетности еще более затрудняет управление рисками при проектировании систем-систем.Принятие пользователями и заинтересованными сторонами управления рисками и их участие в процессе имеет важное значение для успеха.

Учитывая вышесказанное, программа должна создать среду, в которой будет поощряться и поощряться отчетность о рисках и их потенциальных последствиях. Без этого картина риска будет неполной. Риски, которые угрожают успешному проектированию системной системы, могут стать очевидными только тогда, когда уже слишком поздно эффективно управлять ими или смягчать их.

Часто система систем проектируется и проектируется так, чтобы предоставлять возможности посредством ряда эволюционных построений.Риски могут происходить из разных источников и угрожать системе систем в разное время в ходе их эволюции. Эти риски и их источники должны быть сопоставлены с возможностями, на которые они потенциально могут повлиять, согласно запланированной дате их реализации. Следует проводить оценки потенциальных воздействий каждого риска на запланированные возможности, а также того, имеют ли они побочные эффекты для зависимых возможностей или технологий.

В большинстве случаев общий риск системы — это не просто линейное «сведение» подчиненных ему рисков на уровне системы.Скорее, это комбинация конкретных системных рисков более низкого уровня, которые в совокупности могут отрицательно повлиять на систему систем способами, которые не приравниваются к простому сворачиванию рисков системного уровня. В результате некоторые риски будут важны для отдельных систем и управляться на этом уровне, в то время как другие потребуют внимания системного проектирования и управления.

Управление рисками в инженерных программах предприятия

Управление рисками корпоративных систем представляет собой даже более сложную задачу, чем управление рисками в программах систем.

Корпоративные среды (например, Интернет) предлагают пользователям повсеместный трансграничный доступ к широкому спектру услуг, приложений и хранилищ информации. Системная инженерия предприятия — развивающаяся дисциплина. Он охватывает и расширяет «традиционную» системную инженерию для создания и развития «паутины» систем и систем-систем, которые работают сетецентрическим образом, чтобы предоставлять возможности через службы, данные и приложения через взаимосвязанную сеть информации и коммуникаций. технологии.Это среда, в которой системная инженерия находится «на грани воды».

На предприятии управление рисками рассматривается как интеграция людей, процессов и инструментов, которые вместе обеспечивают раннее и постоянное выявление и разрешение корпоративных рисков. Цель состоит в том, чтобы предоставить лицам, принимающим решения, понимание рисков, их потенциальных последствий, взаимозависимостей и волнообразных эффектов внутри и за пределами предприятия в масштабе всего предприятия. В конечном итоге управление рисками направлено на установление и поддержание целостного представления о рисках в масштабах всего предприятия, поэтому возможности и показатели производительности достигаются за счет принятия решений о ресурсах и инвестициях с учетом рисков.

Сегодня мы находимся на ранней стадии понимания того, как методы системной инженерии, инженерного менеджмента и социальных наук переплетаются друг с другом для создания систем, которые «живут» и «развиваются» в корпоративной среде.

Требования для начала управления рисками

• Требуется приверженность и участие высшего руководства.
• Требуется заинтересованность и участие заинтересованных сторон.
• Управление рисками становится приоритетом всей программы и «применяется» как таковое на протяжении всего жизненного цикла программы.
• Представлены и задействованы дисциплины технического и программного управления. И управление программами, и инженерные специальности должны сообщать информацию о рисках и продвигаться к снижению. Руководству программы необходимо выявлять контракты, проблемы с финансированием, SE должны взаимодействовать со всей командой и выявлять риски, затраты и потенциальные последствия, если риск должен был произойти, а также планы смягчения (действия по снижению риска и затраты / ресурсы необходимо для успешного выполнения).
• Управление рисками интегрировано в бизнес-процессы программы и планы системного проектирования. Примеры включают статус риска, включенный в собрания руководства и / или обзоры программ, действия плана снижения риска, отслеживаемые в графиках, и оценки затрат, отражающие подверженность риску.

План управления рисками

План управления рисками описывает процесс, например, основные этапы, показанные на рисунке 1, которые предназначены для обеспечения возможности проектирования системы, которая выполняется в пределах стоимости, доставляется вовремя и отвечает потребностям пользователей.

Передовой опыт и извлеченные уроки

Поддерживая проекты и программы как Министерства обороны (DoD), так и гражданских агентств, компании MITRE SE нашли следующие минимальные условия, необходимые для начала и постоянного успешного управления рисками. Благодаря этому программа увеличивает свои шансы на раннее выявление рисков, что позволяет достичь целей и задач [5].

Двадцать одно «сусло»

1. Управление рисками должно быть приоритетом для руководства и на всех уровнях управления программой.Сохраняйте приоритет лидерства и открытое общение. Команды не будут выявлять риски, если они не воспринимают открытую среду для обмена информацией о рисках (мессенджер не задействован) или приоритет руководства при желании знать информацию о рисках (запрашивается на обзорах программы и собраниях), или если они не считают, что информация будет используется для поддержки управленческих решений (на словах, информация неинформативна, члены команды не будут тратить свое время, если информация не будет использована).
2. Управление рисками никогда не должно делегироваться сотрудникам, не имеющим полномочий.
3. Должен присутствовать формальный и повторяемый процесс управления рисками — такой, который сбалансирован по сложности и потребностям в данных, так что значимые и действенные идеи производятся с минимальным бременем.
4. Культура управления должна поощрять и поощрять выявление рисков персоналом на всех уровнях участия в программе.
5. Руководство программы должно иметь способность регулярно и быстро привлекать экспертов в предметной области.
6. Управление рисками должно быть официально интегрировано в управление программой
7. Участники должны быть обучены конкретным методам и процедурам управления рисками программы.
8. План управления рисками должен быть составлен с указанием практик и процедур, соответствующих процессу обучения.
9. Управление рисками должно быть разделено между всеми заинтересованными сторонами.
10. Риски необходимо выявлять, оценивать и анализировать непрерывно, а не только до основных проверок.
11. Рассмотрение рисков должно быть в центре внимания обзоров программы.
12. Рабочие группы по управлению рисками и контрольные комиссии должны быть перенесены в случае возникновения конфликтов с другими потребностями программы.
13. Необходимо разработать планы снижения рисков, определить критерии успеха и контролировать их выполнение с точки зрения достижения результатов критериев успеха.
14. Риски должны возлагаться только на персонал, обладающий полномочиями выполнять действия по смягчению последствий и выделять ресурсы.
15. Управление рисками никогда не должно передаваться на аутсорсинг.
16. Необходимо учитывать риски, выходящие за рамки традиционных параметров воздействия, таких как стоимость, график и технические характеристики (например, программные, корпоративные, межпрограммные / межпортфельные, а также социальные, политические, экономические воздействия).
17. Необходимо понимать зрелость технологий и их готовность к будущему.
18. Необходимо понимать способность технологии программы адаптироваться к изменениям в операционной среде.
19. Риски должны быть четко описаны с использованием протокола Condition-If-Then.
20. Характер и потребности программы должны определять структуру процесса управления рисками, которому соответствует инструмент / база данных управления рисками.
21. Инструмент / база данных по управлению рисками должны поддерживаться с актуальной информацией о статусе риска; предпочтительно использовать инструмент / базу данных, которая быстро создает отчеты о состоянии, подобные панели инструментов, для управления.

Для MITER SE, а также руководителей проектов и программ важно помнить об этих минимальных условиях при каждом действии, соответствующем их ролям. В частности, SE должна оказывать эффективную поддержку следующим образом:

• Получите бай-ин на высшем уровне. MITRE SE могут помочь заручиться поддержкой высшего руководства в области управления рисками, выделив некоторые инженерные, а также программные риски. Компании MITRE SE должны подготовить оценки воздействия, которое могут проявить риски, и подкрепить их фактами и данными (например,g., увеличенный график из-за большего количества разработок, увеличения затрат, усиленного обучения пользователей уникальным, технологическим возможностям и потенциального риска того, что возможности не будут использоваться, поскольку они не взаимодействуют с унаследованными системами). MITER SE могут выделить различные области риска, представить плюсы и минусы альтернативных курсов действий по смягчению последствий (и их воздействия) и помочь лицам, принимающим решения, определить фактические дискриминаторы и остаточное влияние на принятие того или иного действия. Помимо технических оценок, основанных на данных, для успеха в получении поддержки на высшем уровне необходимо учитывать политические, организационные / операционные и экономические факторы с точки зрения высшего руководства.Обратитесь к [6] для получения основной информации об искусстве убеждения.
• Завоюйте доверие заинтересованных сторон. Завоюйте доверие заинтересованных сторон, четко основывая рекомендации по снижению рисков или принятию решений на предоставлении пользователям функциональных возможностей.
• Используйте своих коллег. Кто-то в MITER знает толк в каждой мыслимой теме управления рисками. Сюда входят технические, операционные и программные аспекты рисков и их смягчения. Приведение компании в действие — это больше, чем слоган — это метод, который следует использовать при определении рисков, особенно в системе систем и на предприятии.По всей вероятности, MITER работает над другими частями этих больших проблем.
• Думайте горизонтально. Сделайте акцент на межпрограммном или межорганизационном участии в выявлении, оценке и управлении рисками. Межгрупповая координация и коммуникация могут быть особенно полезны в управлении рисками. Все «возможности» (например, обеспечение информации, безопасность, логистика, программное обеспечение) должны быть представлены в анализах рисков. Передача информации о рисках помогает выявить риски, которые влияют на всю организацию, и усиливает выгоды от общих средств снижения рисков.
• Сохраняйте смекалку в процессах и инструментах управления рисками. Станьте знающим консультантом по доступным процессам и инструментам управления рисками. Многие правительственные организации имеют офисы управления программами, в которых определены процессы, шаблоны и инструменты управления рисками. Их следует использовать в качестве отправной точки для разработки конкретного подхода и плана для отдельного проекта или программы. Убедитесь, что государственные спонсоры или клиенты имеют актуальную информацию о подходе к управлению рисками и планах, требуемых их организациями, и помогайте им соблюдать их.Помогите спонсорам или клиентам в определении минимального набора мероприятий для их конкретной программы, которые позволят разработать эффективный подход и план управления рисками.

Ссылки и ресурсы

1. Национальный институт стандартов и технологий, июль 2002 г., Руководство по управлению рисками для системы информационных технологий, Специальная публикация 800-30, стр. 1.
2. Project Management Institute, A Guide to the Project Management Body of Knowledge, (PMBOK Guide), Fourth Edition, ANSI / PMI 99-001-2008, pp.273––312.
3. Институт MITRE, 1 сентября 2007 г., «Модель компетенций MITRE Systems Engineering (SE), версия 1», стр. 10, 41–42.
4. Международный совет по системной инженерии (INCOSE), январь 2010 г., Руководство по системному проектированию INCOSE , версия 3.2, INCOSE-TP-2003-002-03.2, стр. 213––225.
5. Гарви, П. Р., 2008, Аналитические методы управления рисками: взгляд на системную инженерию , Chapman-Hall / CRC-Press, Taylor & Francis Group (UK), Бока-Ратон, Лондон, Нью-Йорк, ISBN: 1584886374.
6. Neugent, B. «Убеждение».

Дополнительные ссылки и ресурсы

• Коссякофф, А. и В. Н. Свит, 2003 г. , Принципы и практика системной инженерии, John Wiley and Sons, Inc., стр. 98–106.
• MITER SEPO Набор инструментов управления рисками.

Идентификация рисков | Корпорация MITRE

Определение: Идентификация риска — это процесс определения рисков, которые потенциально могут помешать программе, предприятию или инвестициям достичь своих целей.Он включает в себя документирование и сообщение о проблеме.

Ключевые слова: риск, идентификация рисков, управление рисками

MITER SE Роли и ожидания: MITRE системные инженеры (SE), работающие над государственными программами, должны определять риски, которые могут повлиять на проект и программу. Ожидается, что они напишут и проанализируют заявления о рисках, которые будут ясными, недвусмысленными и подтвержденными доказательствами [1].

Фон

Идентификация рисков — критически важный первый шаг процесса управления рисками, изображенного на Рисунке 1.

Целью идентификации рисков является раннее и постоянное выявление событий, которые, если они произойдут, окажут негативное влияние на способность проекта достичь поставленных целей по производительности или возможностям. Они могут поступать как внутри проекта, так и из внешних источников.

Существует несколько типов оценок рисков, включая оценки программных рисков, оценки рисков для поддержки инвестиционного решения, анализ альтернатив и оценки операционной или стоимостной неопределенности.Идентификация рисков должна соответствовать типу оценки, необходимой для принятия решений с учетом рисков. Для программы приобретения первым шагом является определение целей и задач программы, что способствует общему пониманию в команде того, что необходимо для успеха программы. Это дает контекст и ограничивает объем, в котором выявляются и оцениваются риски.

Выявление рисков в программе системного проектирования

Есть несколько источников риска. Для выявления рисков команда проекта должна проанализировать объем программы, оценку затрат, график (включая оценку критического пути), техническую зрелость, ключевые параметры производительности, проблемы производительности, ожидания заинтересованных сторон итекущий план, внешние и внутренние зависимости, проблемы реализации, интеграция, совместимость, возможность поддержки, уязвимости цепочки поставок, способность справляться с угрозами, отклонения в стоимости, ожидания тестовых событий, безопасность, безопасность и многое другое. Кроме того, исторические данные по аналогичным проектам, интервью с заинтересованными сторонами и списки рисков дают ценную информацию об областях для рассмотрения риска.

Идентификация рисков — это итеративный процесс. По мере продвижения программы будет собираться дополнительная информация о программе (например,g., конкретный дизайн), а заявление о рисках будет скорректировано, чтобы отразить текущее понимание. Новые риски будут определяться по мере продвижения проекта по жизненному циклу.

Передовой опыт и извлеченные уроки

Операционный риск. Поймите оперативный характер поддерживаемых вами возможностей и риски для конечных пользователей, их задач и операций, связанных с возможностями. Понимание эксплуатационных потребностей / миссии (см. Тему «Разработка концепции» Руководства по системному проектированию) поможет вам оценить серьезность рисков и то влияние, которое они могут оказать на конечных пользователей.Это важная часть анализа рисков — понимание реальных последствий, которые могут возникнуть, если риск возникает во время эксплуатации. Обычно операционные пользователи готовы принять некоторый уровень риска, если они могут выполнить свою миссию (например, обеспечение выполнения миссии), но вам необходимо помочь пользователям понять риски, которые они принимают, и оценить доступные варианты, балансы и альтернативы. .

Техническая зрелость. Работайте с отраслью и академическими кругами и используйте их, чтобы понять, какие технологии будут рассматриваться для реализации и вероятного перехода технологии с течением времени.Один из подходов — работать с поставщиками в соответствии с соглашением о неразглашении, чтобы понять, какие возможности и куда они собираются, чтобы можно было оценить риск.

Предметы, не связанные с разработкой (NDI). NDI включает в себя коммерческие и государственные товары. Чтобы управлять рисками, подумайте о жизнеспособности провайдера NDI. Есть ли у провайдера доля рынка? Достаточно ли долговечен провайдер по сравнению с конкурентами? Как поставщик решает проблемы с возможностями, выпускает исправления и т. Д.? Какова пользовательская база конкретного NDI? Может ли провайдер продемонстрировать NDI, желательно в условиях, аналогичных настройкам вашего клиента? Может ли правительство использовать NDI для создания прототипа? Все эти факторы помогут оценить риск жизнеспособности NDI и поставщика. Поищите ответы на эти вопросы у других сотрудников MITRE, которые работали в данной области или использовали оцениваемый NDI.

Приобретение драйверов. Подчеркните критические возможности, особенно те, которые имеют ограниченные альтернативы.Оцените и определите основные движущие силы приобретения и выделите связанный с ними риск при формулировании рекомендаций по снижению рисков. Если конкретный аспект возможности не является критическим для ее успеха, необходимо оценить его риск, но это не обязательно должно быть основным направлением управления рисками. Например, если есть риск для предлагаемого пользовательского интерфейса, но на рынке есть множество альтернатив, успех предлагаемого подхода, вероятно, менее важен для общего успеха возможности.С другой стороны, функция информационной безопасности может иметь решающее значение. Если потребность удовлетворяет только один альтернативный подход, на него следует делать упор. Определите основные движущие силы успеха, оценив потребности и планы, а также определив существующие альтернативы. На пути к успеху находится уникальное решение? Убедитесь, что анализ критического пути включает весь цикл системного проектирования, а не только разработку (т.е. разработка системы сама по себе может быть «простым делом», но выход в активную операционную ситуацию может быть серьезным риском).

Используйте развитие возможностей для управления рисками. Если конкретные требования приводят к реализации возможностей, которые сопряжены с высоким риском из-за уникальной разработки, требований к производительности и т. Д., Требования следует обсудить с пользователями на предмет их критичности. Может случиться так, что потребность может быть отложена, и сообществу разработчиков следует оценить, когда она может быть удовлетворена в будущем. Помогите пользователям и разработчикам оценить, какой риск (а также влияние на график и стоимость) должна принять на себя конкретная функция по сравнению с требованиями, чтобы получить менее рискованные возможности раньше.При разработке рекомендаций учитывайте техническую осуществимость и знание соответствующих успехов и неудач в реализации, чтобы оценить риск реализации сейчас, а не в будущем. Откладывая возможности, будьте осторожны, чтобы не попасть в ловушку откладывания окончательного отказа, обменяв краткосрочные легкие успехи на будущее с множеством требований с высоким риском, которые могут иметь важное значение для общего успеха.

Ключевые параметры производительности (КПП). Тесно сотрудничать с пользователями, чтобы установить KPP.Общий риск отмены программы может быть связан с невыполнением КПП. Работайте с пользователями, чтобы убедиться, что параметры соответствуют требованиям миссии и технически осуществимы. Параметры не должны быть настолько мягкими, чтобы их можно было легко выполнить, но не соответствовать потребностям миссии; при этом они не должны быть настолько строгими, чтобы их нельзя было выполнить без значительных усилий или использования новых технологий, которые могут поставить программу под угрозу. Ищите результаты прошлых операций, экспериментов, оценок производительности и отраслевых внедрений, чтобы определить осуществимость производительности.

Внешние и внутренние зависимости. Наличие корпоративной точки зрения может помочь покупателям, менеджерам программ, разработчикам, интеграторам и пользователям оценить риск, связанный с зависимостью усилий по разработке. С появлением сервис-ориентированных подходов программа станет более зависимой от доступности и работы сервисов, предоставляемых другими, которые они намереваются использовать при разработке своей программы. Работайте с разработчиками сервисов, чтобы гарантировать создание качественных сервисов, и продумывается их поддержка и развитие.Работайте с персоналом программы развития, чтобы оценить доступные услуги, их качество и риски, которые несет программа при использовании и использовании услуги. Точно так же существует риск, связанный с созданием сервиса, а не с использованием сервисов другого предприятия. Помогите определить риски и потенциальные выгоды от создания внутренней службы разработки с возможным переходом на корпоративную службу в будущем.

Интеграция и взаимодействие (I&I). I&I почти всегда будет основным фактором риска. Это формы зависимостей, в которых ценность интеграции или взаимодействия оценивается как преодоление присущих им рисков. Такие методы, как создание архитектуры корпоративной федерации, возможности комбинирования по запросу и шаблоны проектирования, могут помочь правительству спланировать и реализовать маршрут для управления рисками I&I. Обратитесь к разделу Enterprise Engineering Руководства по системному проектированию, чтобы найти статьи о методах устранения рисков, связанных с I&I.

Информационная безопасность. Информационная безопасность — это риск практически при любом развитии. Отчасти это связано с уникальностью потребностей и требований государства в этой области. Отчасти это связано с присущими им трудностями в противодействии кибератакам. Создание защитных возможностей для покрытия спектра атак — сложная и рискованная задача. Помогите правительству разработать подходы к обеспечению отказоустойчивости (например, планы действий в чрезвычайных обстоятельствах, резервное копирование / восстановление и т. Д.). Обеспечение обмена информацией между системами в коалиционных операциях с международными партнерами создает технические проблемы и вопросы политики, которые приводят к риску развития.Вопросы информационной безопасности, связанные с управлением цепочкой поставок, настолько обширны и сложны, что даже поддержание элементарной осведомленности об угрозах является огромной проблемой.

Уровень умения. Уровень навыков или опыта разработчиков, интеграторов, правительства и других заинтересованных сторон может привести к рискам. Следите за недостаточными навыками и старайтесь заполнить всю корпорацию, чтобы заполнить все пробелы. Поступая таким образом, помогайте обучать членов правительственной команды, одновременно применяя корпоративные навыки и опыт.

Риски затрат. Программы обычно создают правительственную смету расходов с учетом рисков. По мере того, как вы разрабатываете и уточняете технические и другие риски программы, соответствующие сметы также должны меняться. Оценка стоимости не является разовым мероприятием.

Историческая информация как руководство по идентификации рисков. Историческая информация из аналогичных государственных программ может дать ценную информацию о будущих рисках. Ищите информацию об операционных проблемах и рисках в различных извлеченных уроках эксплуатации, после отчетов о действиях, сводок учений и результатов экспериментов.У клиентов часто есть их репозитории для доступа. Руководители правительства обычно сообщают о своих стратегических потребностях и проблемах. Поймите их и учитывайте при оценке наиболее важных возможностей, необходимых вашему клиенту, и в качестве основы для оценки рисков.

Исторические данные, помогающие оценить риск, часто можно получить из прошлых оценок эффективности и уроков, извлеченных из программ закупок и подрядчиков. Во многих случаях сотрудники MITRE будут помогать правительству в подготовке информации об эффективности конкретного приобретения.У AF есть Руководство по оценке прошлых результатов (PPEG), в котором определяется тип информации, которую необходимо собирать, которая может быть использована для выбора источника в будущем [3]. Это хранилище информации может помочь предоставить справочную информацию о предыдущих проблемах и о том, где они могут возникнуть снова — как для конкретного типа деятельности по разработке, так и для конкретных подрядчиков.

Существует множество технических оценок продуктов поставщиков, к которым можно получить доступ, чтобы определить риск и жизнеспособность различных продуктов.Одним из хранилищ MITRE оценок инструментов является Analysis Toolshed, который содержит рекомендации и опыт работы с аналитическими инструментами. Использование подобных ресурсов и поиск других, кто пробовал продукты и методы в прототипах и экспериментах, могут помочь оценить риски для конкретных усилий.

Как написать риск — — передовой опыт [2]. Лучшим протоколом для написания заявления о риске является конструкция Condition-If-Then . Этот протокол применяется к процессам управления рисками, разработанным практически для любой среды.Это признание того, что риск по своей природе вероятен и, если он возникает, имеет нежелательные последствия.

Что такое конструкция Condition-If-Then ? Условие отражает то, что известно сегодня. Это основная причина идентифицированного события риска. Таким образом, Состояние — это событие, которое произошло, происходит в настоящее время или обязательно произойдет. Рисковые события — это будущие события, которые могут произойти из-за текущего состояния .Ниже приведена иллюстрация этого протокола.

If — это событие риска, связанное с присутствующим Условие . Критически важно распознать If и Condition как двойное. При совместном рассмотрении могут быть способы прямого вмешательства или устранения основного корня рискового события ( Условие ), чтобы последствия этого события, если оно произойдет, больше не угрожали проекту. Если — вероятностная часть заявления о риске.

Тогда — это следствие или набор последствий, которые повлияют на проект инженерной системы, если произойдет событие риска. Пример конструкции Condition-If-Then показан на рисунке 2.