6 Các quá trình vòng đời hệ thống
6.3.4 Quá trình quản lý rủi ro
6.3.4.1 Mục đích
Quá trình quản lý rủi ro là quá trình liên tục để giải quyết rủi ro một cách có hệ thống từ đầu tới cuối vòng đời của một hệ thống hoặc sản phẩm hoặc dịch vụ phần mềm. Quá trình này có thể được áp dụng đối với các rủi ro liên quan tới việc mua sản phẩm, phát triển, bảo trì hoặc vận hành của một hệ thống.
6.3.4.2 Kết quả
Kết quả triển khai thành công của quá trình quản lý rủi ro gồm: a) Phạm vi của việc quản lý rủi ro được định nghĩa;
b) Các chiến lược quản lý rủi ro thích hợp được định nghĩa và được triển khai;
c) Các rủi ro được xuất hiêên khi chúng xuất hiêên và trong suốt quá trình thực hiêên dự án;
d) Các rủi ro được phân tích và thứ tự ưu tiên áp dụng đối với các tài nguyên để xử lý của các rủi ro này được định nghĩa;
e) Các phép đánh giá rủi ro được định nghĩa, áp dụng và đánh giá để xác định các thay đổi trong điều kiện rủi ro và trong quá trình hoạt động xử lý;
f) Việc xử lý thích hợp được đưa ra để hiệu chỉnh hoặc tránh ảnh hưởng của rủi ro dựa trên hệ quả, xác suất và sự ưu tiên hoặc dựa trên mức ngưỡng rủi ro được định nghĩa khác.
6.3.4.3 Hoạt động và nhiệm vụ
Dự án phải triển khai các hoạt động và nhiệm vụ sau phù hợp với các thủ tục và chính sách có tổ chức có khả năng áp dụng trong quá trình quản lý rủi ro.
CHÚ THÍCH: Tiêu chuẩn ISO/IEC 16085, quá trình quản lý rủi ro, cung cấp một tâêp chi tiết hơn các hoạt động và nhiệm vụ được sắp xếp tương ứng với các hoạt động và nhiệm vụ được trình bày sau đây.
6.3.4.3.1 Lập kế hoạch quản lý rủi ro
Hoạt động này bao gồm các nhiệm vụ sau:
6.3.4.3.1.1 Định nghĩa các chính sách quản lý rủi ro, mô tả hướng dẫn theo đó việc quản lý rủi ro được thực hiện.
6.3.4.3.1.2 Mô tả quá trình quản lý rủi ro để triển khai phải được tài liệu hóa.
6.3.4.3.1.3 Trách nhiệm, vai trò và các bên tham gia chịu trách nhiêêm thực hiện quản lý rủi ro sẽ được định nghĩa.
6.3.4.3.1.4 Các bên tham gia có trách nhiệm sẽ được cung cấp các tài nguyên đầy đủ để thực hiện quá trình quản lý rủi ro.
6.3.4.3.1.5 Cung cấp mô tả quá trình đánh giá và cải tiến quá trình quản lý rủi ro. CHÚ THÍCH: Điều này bao gồm sự nắm bắt các bài học kinh nghiệm.
Hoạt động này bao gồm các nhiệm vụ sau:
6.3.4.3.2.1 Ngữ cảnh của quá trình quản lý rủi ro phải được định nghĩa và tài liệu hóa.
CHÚ THÍCH: Điều này bao gồm viêêc mô tả các quan điểm của các bên liên quan, các hạng mục rủi ro và mô tả (có thể bằng tham chiếu) các mục tiêu về quản lý và kỹ thuật, các giả thiết và ràng buộc.
6.3.4.3.2.2 Mức ngưỡng rủi ro, định nghĩa các điều kiện theo đó mức độ rủi ro có thể được chấp nhận, sẽ được tài liệu hóa.
6.3.4.3.2.3 Thông tin hiện trạng rủi ro phải được thiết lập và duy trì.
CHÚ THÍCH: Các hồ sơ lữu trữ thông tin hiện trạng rủi ro: ngữ cảnh quản lý rủi ro; hồ sơ lưu trữ mỗi trạng thái của rủi ro bao gồm cả xác suất, hệ quả và mức ngưỡng rủi ro; sự ưu tiên của mỗi rủi ro dựa trên tiêu chuẩn rủi ro được các bên liên quan cung cấp; các yêu cầu hoạt động rủi ro cùng với trạng thái trong cách xử lý của chúng. Thông tin hiện trạng rủi ro được cập nhật khi có các thay đổi trong trạng thái của mỗi rủi ro riêng. Sự ưu tiên trong thông tin hiện trạng rủi ro được sử dụng để xác định viêêc sử dụng của các tài nguyên cho việc xử lý.
6.3.4.3.2.4 Các thông tin hiện trạng rủi ro có liên quan phải được thông tin định kỳ tới các bên liên quan dựa trên các nhu cầu của họ.
6.3.4.3.3 Phân tích rủi ro
Hoạt động này bao gồm các nhiệm vụ sau:
6.3.4.3.3.1 Các rủi ro sẽ được xác định theo sự phân loại được mô tả trong ngữ cảnh quản lý rủi ro.
6.3.4.3.3.2 Xác suất xảy ra và các hệ quả của mỗi rủi ro xác định sẽ được đánh giá.
6.3.4.3.3.3 Mỗi rủi ro sẽ được đánh giá dựa theo các mức ngưỡng rủi ro của chúng.
6.3.4.3.3.4 Đối với mỗi rủi ro trên mức ngưỡng rủi ro, các chiến lược xử lý khuyến nghị sẽ được định nghĩa và tài liệu hóa. Các biện pháp đo cho thấy tính hiệu quả của các lựa chọn cho việc xử lý cũng sẽ được định nghĩa và tài liệu hóa.
CHÚ THÍCH: Các chiến lược xử lý rủi ro bao gồm, nhưng không giới hạn, viêêc loại bỏ rủi ro đó, giảm thiểu xác suất xảy ra các rủi ro hoặc tính nghiêm trọng của hệ quả hoặc chấp nhận rủi ro.
6.3.4.3.4 Xử lý rủi ro
Hoạt động này bao gồm các nhiệm vụ sau:
6.3.4.3.4.1 Các bên liên quan sẽ được cung cấp các lựa chọn xử lý rủi ro cho các yêu cầu hoạt đôêng rủi ro.
6.3.4.3.4.2 Nếu các bên liên quan xác định rằng các hoạt động nên được đưa ra để khiến cho rủi ro có thể chấp nhận được, thì sau đó việc lựa chọn xử lý rủi ro sẽ được triển khai.
6.3.4.3.4.3 Nếu các bên liên quan chấp nhận một rủi ro vượt quá mức ngưỡng cho phép, thì rủi ro đó sẽ được coi là có ưu tiên cao hơn và cần được giám sát một cách liên tục để xác định xem hoạt động xử lý rủi ro trong tương lai nào là cần thiết.
6.3.4.3.4.4 Một khi viêêc xử lý rủi ro được lựa chọn, nó sẽ tiếp nhận các hoạt động quản lý giống như các vấn đề đã làm, phù hợp với các hoạt động kiểm soát và đánh giá trong mục 6.3.2 của tiêu chuẩn này hoặc tiêu chuẩn ISO/IEC 15288:2008.
6.3.4.3.5 Giám sát rủi ro
Hoạt động này bao gồm các nhiệm vụ sau:
6.3.4.3.5.1 Tất cả ngữ cảnh quản lý rủi ro và các rủi ro sẽ được giám sát một cách liên tục khi có các thay đổi. Các rủi ro phải trải qua việc đánh giá rủi ro khi các trạng thái của chúng có sự thay đổi.
6.3.4.3.5.2 Các phép đo sẽ được triển khai và giám sát để đánh giá tính hiệu quả của các hoạt động xử lý rủi ro.
6.3.4.3.5.3 Dự án phải giám sát một cách liên tục đối với các nguồn phát sinh rủi ro và các rủi ro mới từ đầu tới cuối vòng đời của chúng.
6.3.4.3.6 Đánh giá quá trình quản lý rủi ro
Hoạt động này bao gồm các nhiệm vụ sau:
6.3.4.3.6.1 Thông tin sẽ được thu thập từ đầu tới cuối vòng đời của dự án cho các mục đích cải tiến quá trình quản lý rủi ro và đưa ra các bài học kinh nghiệm.
CHÚ THÍCH: Thông tin rủi ro bao gồm các rủi ro được định nghĩa, các nguồn phát sinh, nguyên nhân, hoạt động xử lý chúng và sự thành công của các hoạt động xử lý được lựa chọn.
6.3.4.3.6.2 Quá trình quản lý rủi ro sẽ được soát xét định kỳ để đạt được hiệu suất và tính hiệu quả của quá trình đó.
6.3.4.3.6.3 Thông tin về các rủi ro được xác định, hoạt động xử lý và sự thành công của các hoạt động xử lý sẽ được soát xét định kỳ cho mục đích nhận biết các rủi ro của tổ chức và dự án hệ thống.