МЕТОДОЛОГИЯ ПРИМЕНЕНИЯ RAMS В ТЕСТИРОВАНИИ

METHODOLOGY OF APPLYING RAMS IN TESTING

Vital Shauchuk

software quality assurance engineer, international software company «Yucca Digital»,

Belarus, Vitebsk

АННОТАЦИЯ

RAMS (Risk Assessment Method Statements) – положения о методах оценки рисков. Целью данной статьи является рассмотреть методологию применения данных положений при тестировании задач и проектов в различных отраслях промышленности. Методология состоит из четырех основных этапов: идентификация, оценка, контроль и мониторинг риска. В статье обсуждаются преимущества и проблемы использования RAMS при тестировании, а также некоторые практики и рекомендации. В завершение делаются выводы о важности тестирования процесса управления рисками, которое может не только помочь улучшить качество и надежность, но и повысить доверие работников и заинтересованных сторон к ним.

ABSTRACT

RAMS is abbreviation for Risk Assessment Method Statements. The purpose of this article is to consider the methodology of applying these statements when testing tasks and projects in various industries. The methodology consists of four main stages: identification, assessment, control and monitoring of risk. The article discusses the advantages and problems of using RAMS in testing, as well as some practices and recommendations. In conclusion, conclusions are drawn about the importance of testing the risk management process, which can not only help improve quality and reliability, but also increase the confidence of employees and stakeholders in them.

Ключевые слова: тестирование; метод оценки рисков; контроль; мониторинг; качество; безопасность; угрозы.

Keywords: testing; risk assessment method; control; monitoring; quality; security; threats.

Введение

Положения о методах оценки рисков (RAMS) - это документы, которые компании создают после завершения оценки рисков. Они содержат подробную информацию об угрозах и пошаговое руководство по устранению этих угроз [1]. Руководство строится таким образом, чтобы ему могли легко следовать все сотрудники, подрядчики и другие лица. Оно необходимо для обеспечения здоровья и безопасности работников и населения, а также для соблюдения юридических и договорных обязательств [2].

Однако создания RAMS недостаточно, чтобы гарантировать безопасный и успешный результат. Документы необходимо протестировать на предмет их достоверности, эффективности и пригодности для конкретной задачи или проекта. Их тестирование включает в себя проверку того, являются ли они точными, полными, непротиворечивыми, понятными и актуальными. В дополнение к этому проверяется соответствие RAMS фактическим условиям работы, процедурам и практикам. Кроме вышеперечисленного, в тестирование входит оценка того, достигаются ли намеченные цели по снижению или устранению рисков, связанных с задачей или проектом.

Тестирование является важным шагом в процессе управления рисками, поскольку оно может помочь выявить и исправить любые ошибки, пробелы или слабые места в документах до их внедрения. А также может помочь улучшить качество и надежность документов и повысить доверие работников и заинтересованных сторон к ним.

Однако тестирование RAMS не является прямолинейной или легкой задачей. Это требует систематической и строгой методологии, которая может учитывать различные аспекты и проблемы тестирования. В этой статье мы предлагаем такую методологию, которая может быть применена в различных контекстах и сценариях. Методология состоит из четырех основных этапов: идентификация риска, оценка риска, контроль риска и мониторинг риска. Подробнее остановимся на каждом шаге в следующих разделах.

Идентификация рисков

Первым шагом в RAMS тестировании является выявление рисков, имеющих отношение к тестируемой задаче или проекту. Идентификация рисков [3] включает в себя изучение существующих документов и сравнение их с фактической рабочей средой, видами деятельности и ресурсами. Цель этого шага состоит в том, чтобы определить, охватывают ли документы все потенциальные опасности и риски, которые могут возникнуть во время выполнения задачи или проекта.

Для идентификации рисков мы предлагаем использовать комбинацию таких методов, как:

• анализ документов – метод включающий в себя изучение содержания, структуры и формата документов RAMS для проверки на наличие любых ошибок, несоответствий или двусмысленностей. В него входит проверка соответствия документов каким-либо применимым стандартам или нормативным актам.

• инспекция объекта – метод, суть которого заключается в посещении рабочей площадки, где будет выполняться задание или проект, для наблюдения и инспекции физических условий, оборудования, материалов и персонала, задействованного в работе. Он также включает в себя выявление любых потенциальных опасностей или рисков, которые могут быть неочевидны из документов RAMS.

• интервью и опросы – метод предполагающий сбор информации и отзывов от работников, менеджеров, клиентов, поставщиков и других заинтересованных сторон, которые вовлечены в задачу или проект, либо на которые они влияют. Сюда входят расспросы об их восприятии, ожиданиях и опыте в отношении рисков и документов RAMS.

• сценарный анализ – метод включающий создание гипотетических сценариев возможных событий или ситуаций, которые могут возникнуть во время выполнения задачи или проекта. А также анализ того, как документы будут касаться этих сценариев или реагировать на них, и каковы будут последствия этих сценариев.

• анализ рисков, следствий и вероятностей – заключается в обзоре документации, анализе первопричин, анализ режима сбоя и его последствий (FMEA) [7, с. 37], построении диаграммы причин и следствий, диаграммы Парето, 5 почему (5 WHYs) и метода Delphi [8, с. 458–467]. Это некоторые из методов, которые могут быть использованы для проведения более глубокого анализа рисков и их причин, следствий и вероятностей. Они также могут помочь определить приоритеты рисков и выработать возможные решения или альтернативы.

Результат этого шага – список выявленных рисков, которые имеют отношение к тестируемой задаче или проекту. Список должен включать краткое описание каждого риска, его источника, его воздействия и его вероятности. В перечне также должно быть указано, распространяется ли данный риск на существующие документы RAMS или нет. Список должен быть занесен в реестр рисков, который представляет собой документ, фиксирующий и отслеживающий всю информацию о рисках на протяжении всего процесса тестирования.

Оценка рисков

Вторым этапом RAMS тестирования является оценка выявленных рисков [3] и их значимости и приемлемости. Она включает в себя оценку уровня риска для каждой выявленной угрозы путем рассмотрения его воздействия и вероятности. Цель этого шага - определить, являются ли риски допустимыми или недопустимыми для тестируемой задачи или проекта.

Для проведения оценки рисков мы предлагаем использовать комбинацию таких методов, как:

• матрица рисков (рис. 1) – инструмент, помогающий визуализировать и сравнивать уровень риска для каждой идентифицированной угрозы путем построения графика его воздействия и вероятности в виде сетки [5]. Она может иметь разные масштабы и цвета для представления различных уровней угроз. Например, матрица 5х5 имеет пять уровней воздействия (незначительный, маленький, умеренный, большой и катастрофический) и пять уровней вероятности (очень маловероятный, маловероятный, возможный, вероятный и почти неизбежный). Разные цвета используются для обозначения зон риска (зеленый - для очень низкого риска, салатовый – для низкого, желтый - для среднего, оранжевый - для высокого и красный - для экстремального риска).

Рисунок 1. Матрица рисков

• критерии риска – стандарты или пороговые значения, которые помогают определить, какой уровень риска является приемлемым или неприемлемым для тестируемой задачи или проекта. Критерии риска могут основываться на различных факторах, таких как требования законодательства, отраслевые стандарты, организационная политика, ожидания заинтересованных сторон, анализ затрат и выгод или экспертное заключение. Критерии риска также могут быть выражены в количественных или качественных терминах, таких как цифры, проценты, рейтинги или ярлыки.
• рейтинг риска – значение или балльная оценка, которая представляет уровень риска для каждого идентифицированного риска на основе его воздействия и вероятности [6]. Рейтинг риска может быть рассчитан с помощью формулы, такой как умножение воздействия на вероятность, или с помощью таблицы (рис. 2), которая присваивает значение на основе сочетания воздействия и вероятности. Рейтинг рисков также может использоваться для ранжирования рисков от самого высокого к самому низкому приоритету.

Рисунок 2. Пример таблицы рейтинга рисков

Результат этого шага – уровень риска для каждой идентифицированной угрозы, которая указывает на её значимость и приемлемость. Уровень риска следует сравнить с критериями риска, чтобы определить, является ли он допустимым или недопустимым для тестируемой задачи или проекта. Уровень риска также должен быть зафиксирован в реестре рисков вместе с критериями и рейтингом.

Контроль рисков

Третьим этапом RAMS тестирования является контроль выявленных рисков и принятие мер по их снижению или устранению [5]. Контроль включает в себя выбор и применение наиболее подходящих и эффективных методов управления рисками в соответствии с их уровнем и приоритетом. Цель этого шага - убедиться, что они находятся в пределах приемлемого диапазона для тестируемой задачи или проекта.

Для осуществления контроля мы предлагаем использовать комбинацию таких методов, как:

• иерархия средств контроля – структура, которая помогает выбрать наилучший метод контроля рисков на основе его эффективности и осуществимости. Иерархия средств контроля ранжирует методы от наиболее эффективных до наименее эффективных следующим образом [4]:
• устранение – полное устранение риска;
• замена – замена элемента или рабочего процесса на более безопасный;
• инженерный контроль ­­– изменения в окружающей среде или оборудовании, которые представляют риск;
• административный контроль – изменения в политике, процедурах или практиках, регулирующих работу;
• средства индивидуальной защиты (СИЗ) – устройства или одежда, которые защищают работников от риска;
• анализ затрат и выгод – метод, который помогает сравнить затраты и выгоды от различных методов контроля рисков. Затраты включают в себя затраты, ресурсы и время, необходимые для внедрения и сопровождения методов. Преимущества включают экономию, доходы и ценность, создаваемые за счет снижения или устранения рисков. Анализ затрат и выгод может помочь выбрать наиболее эффективный и экономичный метод контроля рисков;
• консультация с заинтересованными сторонами – это процесс, который включает в себя взаимодействие с работниками, менеджерами, клиентами, поставщиками и другими заинтересованными сторонами, вовлечеными в тестируемую задачу или проект или затронутые ими. Консультация с заинтересованными сторонами может помочь получить их мнение, обратную связь и поддержку в отношении выбранных методов контроля рисков. Это также может помочь донести и объяснить обоснование, цели и ожидания процесса контроля рисков.

Методы контроля рисков для каждой выявленной угрозы, которые подходят и достаточны для тестируемой задачи или проекта являются результатом этого шага. Набор должен включать описание каждого метода, его преимуществ и недостатков, его затрат и выгод, а также план его внедрения. Внесение в реестр рисков вместе с уровнем риска и остаточным риском после применения методов является обязательным.

Мониторинг рисков

Четвертым и заключительным этапом тестирования RAMS является мониторинг выявленных рисков и оценка эффективности методов контроля рисков. Мониторинг рисков включает в себя измерение и отслеживание эффективности и результатов применения методов контроля рисков с течением времени. Цель этого шага - убедиться в том, что методы контроля рисков работают должным образом и что они достигают своих целей.

Для осуществления мониторинга рисков мы предлагаем использовать комбинацию таких методов, как:

• ключевые показатели эффективности (KPI) – показатели, которые помогают измерить и оценить, насколько хорошо методы контроля рисков достигают своих целей. Ключевые показатели эффективности могут быть количественными или качественными показателями, отражающими желаемые результаты применения методов контроля рисков. Например, ключевым показателем эффективности для метода контроля рисков, направленного на снижение частоты несчастных случаев, может быть количество несчастных случаев в месяц или в год.
• аудиты и обзоры – процессы, которые включают изучение и оценку методов контроля рисков и их результатов в соответствии с заранее установленными стандартами или критериями. Аудиты и проверки могут быть внутренними или внешними, формальными или неформальными, запланированными или внеплановыми, в зависимости от характера и объема методов контроля рисков. Аудиты и обзоры могут помочь выявить любые сильные и слабые стороны, возможности или угрозы в методах контроля рисков и предложить какие-либо улучшения или корректирующие действия.
• обратная связь и отчетность – механизмы, которые включают сбор и передачу информации и данных о методах контроля рисков, их эффективности и результатах. Обратная связь и отчетность могут поступать из различных источников, таких как работники, менеджеры, клиенты, поставщики и другие заинтересованные стороны, которые вовлечены в методы контроля рисков или на которые влияют эти методы. Обратная связь и отчетность также могут быть представлены в различных формах, таких как опросы, интервью, наблюдения, отчеты, информационные панели и оповещения. Они помогают отслеживать прогресс и состояние методов контроля рисков и информировать о любых решениях или действиях, связанных с ними.

Результат этого шага – меры и индикаторы, которые показывают, насколько хорошо работают методы контроля рисков и достигают ли они своих целей. Набор должен включать описание каждой меры или показателя, их источника, периодичности, цели и фактического значения. Занесение в реестр рисков вместе с уровнем риска, остаточным риском и методами контроля рисков также является обязательным.

Вывод

В этой статье представлена методология применения RAMS при тестировании различных задач и проектов в различных отраслях промышленности. Методология состоит из четырех основных этапов: идентификация риска, оценка риска, контроль риска и мониторинг риска. В статье обсуждались как преимущества и проблемы использования RAMS при тестировании, так и некоторые лучшие практики и рекомендации.

RAMS тестирование является жизненно важной частью процесса управления рисками, поскольку оно помогает убедиться в том, что документы действительны, эффективны и подходят для конкретной задачи или проекта. Данное тестирование улучшает качество и надежность, а также повышает доверие работников и заинтересованных сторон.

В тоже время это не разовое или статичное мероприятием. Это динамичный и непрерывный процесс, который требует регулярного анализа и обновления, чтобы отразить любые изменения или новшества в среде задачи или проекта, деятельности или ресурсах. Оно требует постоянной коммуникации и сотрудничества между всеми вовлеченными сторонами.

Список литературы:

1. Официальный сайт Safety Service Direct [Электронный ресурс]. – URL: https://safetyservicesdirect.com/blog/what-are-rams-risk-assessment-method-statement-explained/ (дата обращения 2023-05-21).
2. Официальный сайт MSL [Электронный ресурс]. – URL: MSL, "RAMS Safety | RAMS Risk Assessment Method Statement", https://msl-ltd.co.uk/job-right-rams-risk-assessment-method-statement/ (дата обращения 2023-05-21).
3. Официальный сайт Indeed [Электронный ресурс]. – URL: https://www.indeed.com/career-advice/career-development/risk-identification-methods (дата обращения 2023-05-21).
4. Официальный сайт Safeopedia [Электронный ресурс]. – URL: https://www.safeopedia.com/definition/150/risk-control (дата обращения 2023-05-21).
5. Официальный сайт Investopedia [Электронный ресурс]. – URL: Kenton, W. (2023, May 4). Risk control: What it is, how it works, example. Investopedia. https://www.investopedia.com/terms/r/risk-control.asp (дата обращения 2023-05-21).
6. Официальный сайт LogicManager [Электронный ресурс]. – URL: 8 risk identification methods to discover your business risks. (n.d.). ERM Software. Retrieved May 16, 2023, from https://www.logicmanager.com/resources/erm/risk-identification/ (дата обращения 2023-05-21).
7. Black R., “Critical Testing Processes”, Addison-Wesley. – 2003. – c. 37–38
8. Dalkey N., Helmer O. "An Experimental Application of the Delphi Method to the use of experts". Management Science. – 1963. – с. 458–467