2023年,小编写了《浅析<风险管理计划>的编写》一文,详细介绍了风险管理计划如何编制,内容已经说的比较清楚了,但比较遗憾,当时没有系统学习GJB 1406A-2021《产品质量保证大纲要求》标准,所以主要依据是GJB/Z 171-2013《武器装备研制项目风险管理指南》和GJB 9001C-2017《质量管理体系 要求》。本次结合GJB 1406A-2021《产品质量保证大纲要求》学习,在原文的基础上,增加了一些新要求和新理解,希望对各位朋友有所裨益。
一、术语和定义
在《学习|新时代质量体系之相关方的需求和期望》一文中,我们谈到了部分定义,但是结构性不是很强,今天我们换个维度进行复盘(以下定义主要来自GB/T 23694-2013《风险管理术语》)。
风险:不确定性对目标的影响。风险的主语是“不确定性”,说明风险可能发生,也可能不发生;强调的是“对目标的影响”,如果对目标没有影响,也就不需要关注了,所以,风险通常用可能性和后果或两者的组合来描述。
风险管理:在风险方面,指导和控制组织的协调活动。每个字都认识,但这句话说什么就不明白了。换个角度,看看GJB/Z 171-2013《武器装备研制项目风险管理指南》的定义,武器装备研制项目风险管理:指挥和控制武器装备研制项目的协调活动,主要包括风险规划、风险评估、风险应对和风险监控,这就比较清楚了,风险管理包括四部分:风险规划(策划)、风险评估、风险应对和风险监控。
风险评估:包括风险识别、风险分析和风险评价的全过程。非常清楚,风险评估包括风险识别、风险分析和风险评价三部分,不要把“风险评估”和“风险评价”搞混了,一字之差,内涵完全不同,后者只是前者的一个子集。
风险识别:发现、确认和描述风险的过程,通常包括风险源、事件及其原因和潜在后果的识别,识别风险会用到各种识别方法,具体内容参见GJB/Z 171的附录D。
风险分析:理解风险性质、确定风险等级的过程,是风险评价和风险应对的基础,敲黑板,在风险管理领域,风险分析不是简单的风险罗列和描述,而是依据风险准则,明确风险可能性和后果的活动。分析风险也会用到各种分析方法,具体内容参见GJB/Z 171的附录D。
风险评价:对比风险分析结果和风险准则,以确定风险和/或其大小是否可以接受或容忍的过程。经过风险评价后,就可以明确哪些风险可以接受,哪些风险不能接受;明确哪些风险需要制定应对措施,哪些风险不需要采取应对措施,并非所有的风险都需要采取应对措施。
风险准则:评价风险重要性的依据,一般包括可能性等级判定准则、后果等级判定准则、风险接受准则或风险评审准则等。
风险应对:处理风险的过程,风险应对可能改变现有风险或产生新的风险,应对之后指数降低但仍存在的风险称为“剩余风险”(敲黑板,还有一部分风险,采取应对措施之后,风险指数没有降低,后面也会讲到),风险应对之后产生新的风险称为“次生风险”。
风险监控是监测和评审风险状态,反馈并记录风险信息的过程。其目的是确保风险管理过程持续有效,一般包括:①监测已识别风险及其剩余风险或次生风险;②动态识别新的风险;③记录与反馈风险监控信息;④按需开展风险评审。
风险评审:为实现既定目标,确认武器装备研制项目风险管理有关事务的适宜性、充分性和有效性所采取的活动,可应用于确立风险管理框架、分析风险、拟定风险应对措施或评估风险应对效果等,是风险监控的一种形式。
还有一个出现问题最多的地方:风险应对措施的有效性评价,怎么评价呢?绝不能在风险列表中增加一列,简单填写“有效”完事,而是在规定的时机,结合具体工作,通过分析和评价风险,从风险指数或其他具体指标(下文有具体介绍)判定应对措施是否有效。应对措施的有效性评价工作也是风险监控的一项工作。
简单归集一下,风险管理的内容可表述为图1。
图1 风险管理定义结构图
二、总体架构
概念搞清楚了,我们再回到GJB 1406A的内容,5.1风险管理与控制章节共分为四个部分:5.1.1风险管理与策划、5.1.2风险分析与评估、5.1.3风险应对、5.1.4风险监控,正好对应于“风险管理”定义的四个部分,只不过5.1.1名称为“风险管理与策划”不太合理,因为风险管理本身就包含了风险策划的要求;5.1.2名称为“风险分析与评估”也不太合理,因为风险评估本身就包含了风险分析的内容。
5.1.1风险管理和策划章节强调风险策划,四个条款分别涉及:制定维护风险管理计划、规定技术风险管理程序与方法、制定技术风险评价标准和技术风险准则、明确风险管理与控制的输出。
5.1.2风险分析与评估章节强调风险评估,四个条款分别涉及:选择风险评估的方法、围绕四个要素开展技术风险识别、多种方法进行技术风险分析、进行技术风险评价。
5.1.3风险应对章节四个条款分别涉及:选择风险应对策略、明确风险应对原则、形成风险应对措施、验证风险应对措施有效性。其中,在验证风险应对措施时,要求残余风险可以接受并制定了应急预案,“可以接受”是指对照风险准则,残余风险指数达到了可以接受的程度,但还不能按照正常可接受风险一样对待,需要制定应急预案。
5.1.4 风险监控章节五个条款分别涉及:评估和改进已识别技术风险(含剩余风险和次生风险)的应对措施、制定新识别技术风险(含应对之后风险指数未降低的风险)应对措施、跟踪调整重大技术风险项目应对计划、监控技术风险应对措施和效果、重大质量控制节点前完成技术风险分析与评估。
三、风险管理计划
《风险管理计划》的内容主要包括:范围、引用文件、术语和缩略语、武器装备研制项目概述、风险管理的策略、风险管理组织和职责、风险管理过程、风险策划、风险准则、风险评估、风险应对、风险监控、风险沟通与报告、风险管理费用与进度安排、更改程序和历史记录、其他。下面逐一详细说明。
3.1 通用部分
包括:范围、引用文件、术语和缩略语,不需赘述。
3.2 武器装备研制项目概述
这部分内容包括:研制生产任务来源、产品概况(包括使命任务、产品组成和主要功能等)、项目环境信息(包括项目内外部环境信息)等,在具体的风险分析过程中,如有技术、产品、操作和管理等方面的风险,可在此处先简单说明,前后呼应,效果更佳。
3.3 风险管理策略
描述风险管理的目标及约束条件、范围、原则等。一般来讲,目标是通过系统的风险策划、评估、应对和监控等活动,使风险处于可接受水平,确保产品质量、进度和成本等目标的实现。范围一般限定在本项目范围内,原则一般包括:系统策划、识别全面、分析准确、措施有效、风险受控等。
3.4 组织和职责
这部分内容比较简单,一般包括:①组织形式,②风险管理人员及其职责、权限,③资源配置要求,④风险管理职责与项目管理、质量管理以及一些职能部门间的联系。
3.5 风险管理过程
这部分重点描述风险管理过程的要求,详细介绍风险管理分为几个过程,每个过程需要开展什么工作。
3.5.1 风险策划
综合考虑装备型号项目、GJB 1406A、GJB/Z 171、GJB9001C等要求,形成风险管理计划,也就是这篇文章要干的活儿。
3.5.2 风险准则
本部分内容包括:①风险可能性和后果等级划分准则,②风险接受准则,风险容忍度,③风险排序或权衡准则,风险应对效果评价准则,④其他。
敲黑板,风险准则是项目风险管理计划自行制定的,不是固定不变的,不同项目可以有不同的风险准则,但同一项目内部建议采用统一的风险准则。以下内容介绍的是风险准则示例,仅供大家参考,不是必须采用这种准则。
1)风险可能性划分准则
风险依据其发生可能性可分为5级,详见下表。
表1 风险可能性的划分准则
2)风险后果等级划分准则
风险依据其后果的影响程度可分为5级,详见下表。
表2 后果等级的划分准则
3)风险接受准则
风险评价采用可能性和后果的乘积作为风险评价指数,依据评价指数的大小可以绘制出风险矩阵图谱(如图2)。在矩阵中,风险分为高(I)、中(II)、低(III)三个等级。其中高风险(I)需要制定风险应对措施,编写详尽的风险应对方案,集中项目资源进行应对;中风险(II)需要制定风险应对措施,在综合考虑应对措施的成本与收益后应对;低风险(III)可以不制定应对措施,不采用专门的应对活动,定期监控即可。其中,高风险(I)和中风险(II)为不可接受风险,低风险(III)为可接受风险,再次强调,并非所有风险都要制定应对措施。
图2 风险矩阵(接受准则)
4)风险应对效果评价准则
这一步骤是落实风险有效性评价的根本,小编认为可分为两大类。
第一类为通用评价准则,在里程碑节点(如转阶段评审)时,对实施应对措施后的风险重新进行评价,如果风险指数降低到低风险(III)区域,或者风险关闭(风险已不会再发生),则认为应对措施有效,适用于一般风险。
第二类为专用评价准则,可以考虑“风险水平变化”、“措施可行性”、“成本效益”、“目标匹配度”四个维度,工作量较大,但更为客观真实,适用于重大技术风险。
举例:某工厂车间因“机械防护栏缺失”,风险等级为高,表现为:发生概率30%,单次伤人事故损失20万元;应对措施:①为所有机械加装防护栏(100%覆盖);②每月开展机械安全操作巡检(频次≥4次/月),评价准则及后续的评价过程如表3所示。
表3 应对措施有效性评价表
3.5.3 风险识别
依据项目的内外部环境信息,选择一定的风险识别方法(风险识别方法可参考GJB/Z 171的附录D),项目相关的所有人员从技术、产品、操作和管理四个要素分别识别风险源,确定风险发生条件、描述风险特征并记录风险影响的过程,编制技术风险项目清单。
3.5.4风险分析
组织熟悉项目风险区域和产品分解结构风险的人员,在风险识别的基础上,采用可靠性设计、单点故障模式分析、设计裕度分析、最坏情况分析等方法(风险分析方法可参考GJB/Z 171的附录D)进行风险发生概率及其后果严重性分析,形成风险发生的可能性及后果严重性分析记录。
3.5.4风险评价
对已确定的风险项目,将风险分析的结果与所确定的风险准则进行比较,确定风险等级,形成风险等级评价记录。按照风险评价指数排序准则,对风险进行权衡,确定风险处理的优先次序,根据风险接受准则及项目风险排序清单,确定项目的风险性质,形成风险项目排序清单。
3.5.5风险应对
依据上面识别出的需制定应对措施的风险源(对于可接受的风险源不需要制定应对措施),综合考虑各方面因素,选择适当的风险应对策略。一般来讲,风险应对措施可分为规避风险、消除风险源、转移风险(分担风险)、缓解风险(降低风险)、自留风险(接受风险、承担风险)和风险利用,可多种策略组合使用。
在选择了风险应对措施之后,需要制定相应的风险应对计划,明确风险应对措施的实施细节,风险应对计划尽量不要单独列出,可考虑与组织的其他管理过程进行整合。
3.5.6 风险监控
风险监控是在风险应对措施实施过程中,对已识别风险、剩余风险、次生风险的状态进行跟踪,持续评估以改进风险控制措施。在风险应对措施实施一段时间后,结合重大质量控制节点(转阶段评审、项目结题、状态鉴定等),识别新的风险,对已识别风险应对措施的有效性进行评价,完成风险评估报告,结合实际需求视情开展风险评审工作。
3.6 风险沟通与报告要求
描述怎样在各业务相关方之间协调和沟通风险管理信息,内容包括:沟通对象和范围、沟通方式、沟通与报告频率、时限、过程文件记录要求等。
风险管理的全过程需要形成的成文信息包括:风险管理相关信息、风险管理职责文件、风险管理计划、风险识别、风险分析、风险评价、风险应对和监控情况等。
3.7 风险管理费用与进度安排
本部分内容包括:①风险管理活动预算及风险储备金的使用要求或方案,②风险评审或重大里程碑计划安排与要求,及进度应急储备的使用要求或方案,③风险管理培训计划与要求等。
3.8 更改程序和历史记录
描述风险管理计划更改程序,并记录历史变更情况或重大变更说明。
3.9 相关附件
根据项目需要,可能的附件包括:环境信息分析表、风险分解结构、各类文件模板、进度计划、来自其他方面的风险管理计划等。
四、技术风险
在GJB 1406A中,特别强调了技术风险的要求,而对于其他类型风险的要求内容不多,甚至出现了相互矛盾的内容,比如:5.1.2风险分析与评估的b)条款中,围绕技术、产品、操作和管理四个要素分别进行技术风险分析,从技术维度识别技术风险没问题,从产品、操作维度识别技术风险也勉强能够说的过去,但从管理维度进行技术风险分析怎么分析呢?
要搞清楚这个问题,就需要明白到底什么是技术风险?
依据GJB 8892.2-2017《武器装备论证通用要求第2部分:术语》的定义,技术风险是指造成型号技战术指标不能满足要求,危害型号任务目标实现或导致型号任务失败的不确定性,一般用发生可能性和后果严重性综合度量。从定义看,只要满足以下两个条件,都属于技术风险:①风险发生导致型号战技指标不能满足要求;②风险发生危害型号任务目标实现或导致型号任务失败。不难看出,技术风险在这里是一个广义的概念,不是我们通常理解技术方面的风险(以下称狭义技术风险),而是造成技战术指标不能满足的风险,自然也包括一些管理层面的风险。所以GJB 1406A的技术风险是广义的技术风险,可包括狭义技术风险、产品风险、操作风险和管理风险四方面内容。
还有一种分类方法,将风险统一分为技术风险和管理风险,这种分类方法把狭义技术风险、产品风险、操作风险都纳入技术风险的范畴,把管理风险单列一类,并且给出明确界定,因管理制度、规范、流程、资源等缺失而导致的试验验证不充分、流程不合规、计划进度迟滞、成本增加、交付后产品质量问题频发的风险为管理风险。但各位朋友要理解,管理风险中大部分是与技术风险强耦合在一起的,很难拆分的非常清楚,所以GJB 1406A才把相关的风险都纳入技术风险的范畴。
五、最后的话
回到最初,企业可以根据自己的情况,在《产品质量保证大纲》中明确风险管理要求,也可以制定单独的《风险管理计划》。无论采用什么形式,风险管理策划的本质就是明确环境、制定准则、细化阶段、提出要求,然后结合装备产品的研制生产“务实”地开展风险管理工作,使各类风险保持在可接受范围,为装备研制生产保驾护航。千万不要为写《风险管理计划》而写《风险管理计划》,东挪西抄,文件也编了,却没有任何的实际效用,还会在各种检查中被专家诟病,费力不讨好。
参考文献:
1)田村山下《学习笔记|技术风险管控》
前期内容:
1)《学习 | GJB 1406A-2021产品质量保证大纲要求(一)》
2)《GJB 1406A系列之二 — 产品质量保证大纲编写指南》