Space systems — Risk management

ISO 17666:2003 extends the requirements of ISO 14300-1, the principles and requirements for integrated risk management on a space project. It explains what is needed to implement a project-integrated risk management policy by any project actor, at any level (i.e. customer, first-level supplier, or lower-level suppliers). ISO 17666:2003 contains a summary of the general risk management process, which is subdivided into four (4) basic steps and nine (9) tasks. The implementation can be tailored to project-specific conditions. The risk management process requires information exchange among all project domains and provides visibility over risks, with a ranking according to their criticality for the project. These risks are monitored and controlled according to the rules defined for the domains to which they belong. ISO 17666:2003 is applicable to all space project phases, as defined in ISO 14300-1. When viewed from the perspective of a specific programme or project context, the requirements defined in ISO 17666:2003 should be tailored to match the genuine requirements of a particular profile and circumstances of a programme or project.

Systèmes spatiaux — Management des risques

L'ISO 17666:2003 définit, dans la continuité des exigences de l'ISO 14300-1, les principes et les exigences d'un management des risques intégré pour un projet spatial. Elle présente les éléments nécessaires à la mise en oeuvre d'une politique de management des risques intégrée par tout acteur du projet, à tous les niveaux (client, fournisseur de premier niveau ou fournisseurs de niveaux inférieurs). L'ISO 17666:2003 contient un résumé du processus général de management des risques qui est subdivisé en quatre (4) phases essentielles et neuf (9) tâches. La mise en oeuvre peut être adaptée aux conditions spécifiques du projet. Le processus de management des risques implique un échange d'informations entre tous les domaines du projet et fournit une visibilité sur les risques et une classification en fonction de leur criticité vis-à-vis du projet. Ces risques sont surveillés et maîtrisés en fonction des règles définies du domaine auquel ils appartiennent. L'ISO 17666:2003 s'applique à toutes les phases du projet spatial, comme défini dans l'ISO 14300-1. Dans le contexte d'un projet ou d'un programme spécifique, il convient d'adapter les exigences définies dans l'ISO 17666:2003 aux exigences véritables relatives au profil spécifique et aux circonstances particulières du projet ou du programme.

General Information

Status
Withdrawn
Publication Date
30-Mar-2003
Withdrawal Date
30-Mar-2003
Current Stage
9599 - Withdrawal of International Standard
Completion Date
14-Nov-2016
Ref Project

Relations

Buy Standard

Standard
ISO 17666:2003 - Space systems -- Risk management
English language
19 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 17666:2003 - Systemes spatiaux -- Management des risques
French language
18 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)

INTERNATIONAL ISO
STANDARD 17666
First edition
2003-04-01

Space systems — Risk management
Systèmes spatiaux — Management des risques




Reference number
ISO 17666:2003(E)
©
ISO 2003

---------------------- Page: 1 ----------------------
ISO 17666:2003(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.


©  ISO 2003
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland

ii © ISO 2003 – All rights reserved

---------------------- Page: 2 ----------------------
ISO 17666:2003(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 17666 was prepared by the European Committee for Standardization (CEN) in collaboration with
Technical Committee ISO/TC 20, Aircraft and space vehicles, Subcommittee SC 14, Space systems and
operations, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
Throughout the text of this document, read ".this European Standard." to mean ".this International
Standard.".

© ISO 2003 – All rights reserved iii

---------------------- Page: 3 ----------------------
ISO 17666:2003(E)

page
Contents

Foreword.v
1 Scope .1
2 Terms, definitions and abbreviated terms .1
2.1 Terms and definitions.1
2.2 Abbreviated terms .3
3 Principles of risk management.3
3.1 Risk management concept .3
3.2 Risk management process .3
3.3 Risk management implementation into a project.3
3.4 Risk management documentation .4
4 The risk management process .4
4.1 Overview of the risk management process.4
4.2 Risk management steps and tasks .5
5 Risk management implementation .10
5.1 General considerations .10
5.2 Responsibilities.10
5.3 Project life cycle considerations.11
5.4 Risk visibility and decision making .11
5.5 Documentation of risk management.11
6 Risk management requirements .12
6.1 General.12
6.2 Risk management process requirements .12
6.3 Risk management implementation requirements.14
Annex A (informative) Risk register example and ranked risk log example .16
Bibliography .19
Figures
Figure 1 — The steps and cycles in the risk management process.4
Figure 2 — The tasks associated with the steps of the risk management process
within the risk management cycle . 5
Figure 3 — Example of a severity-of-consequence scoring scheme . 6
Figure 4 — Example of a likelihood scoring scheme. 6
Figure 5 — Example of risk index and magnitude scheme . 7
Figure 6 — Example of risk magnitude designations and proposed actions for individual risks. 7
Figure 7 — Example of a risk trend .10
iv © ISO 2003 – All rights reserved

---------------------- Page: 4 ----------------------
ISO 17666:2003(E)


Foreword
This document (EN ISO 17666:2003) has been prepared by the European Cooperation for Space Standardization
(ECSS) for CEN in close collaboration with Technical Committee ISO/TC 20 " Aircraft and space vehicles".
This European Standard shall be given the status of a national standard, either by publication of an identical text or
by endorsement, at the latest by September 2003, and conflicting national standards shall be withdrawn at the
latest by September 2003.
Annex A is informative.
According to the CEN/CENELEC Internal Regulations, the national standards organizations of the following
countries are bound to implement this European Standard: Austria, Belgium, Czech Republic, Denmark, Finland,
France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Luxembourg, Malta, Netherlands, Norway, Portugal,
Slovakia, Spain, Sweden, Switzerland and the United Kingdom.
© ISO 2003 – All rights reserved v

---------------------- Page: 5 ----------------------
ISO 17666:2003(E)


Introduction
Risks are a threat to the project success because they have negative effects on the project cost, schedule and
technical performance, but appropriate practices of controlling risks can also present new opportunities with
positive impact.
The objective of project risk management is to identify, assess, reduce, accept, and control space project risks in a
systematic, proactive, comprehensive, and cost-effective manner, taking into account the project’s technical and
programmatic constraints. Risk is considered tradable against the conventional known project resources within the
management, programmatic (e.g. cost, schedule), and technical (e.g. mass, power, dependability, safety) domains.
The overall risk management in a project is an iterative process throughout the project life cycle, with iterations
being determined by the project progress through the different project phases, and by changes to a given project
baseline influencing project resources.
Risk management is implemented at each level of the customer-supplier network.
Known project practices for dealing with project risks, such as system and engineering analyses, analyses of
safety, critical items, dependability, critical path, and cost, are an integral part of project risk management. Ranking
of risks according to their criticality for the project success, allowing management attention to be directed to the
essential issues, is a major objective of risk management.
The project actors agree on the extent of the risk management to be implemented into a given project depending
on the project definition and characterisation.
vi © ISO 2003 – All rights reserved

---------------------- Page: 6 ----------------------
ISO 17666:2003(E)
1 Scope
This European Standard defines, extending the requirements of ISO 14300-1, the principles and
requirements for integrated risk management on a space project; it explains what is needed to
implement a project-integrated risk management policy by any project actor, at any level (i.e. customer,
first-level supplier, or lower-level suppliers).
This European Standard contains a summary of the general risk management process, which is
subdivided into four (4) basic steps and nine (9) tasks. The implementation can be tailored to project-
specific conditions.
The risk management process requires information exchange among all project domains and provides
visibility over risks, with a ranking according to their criticality for the project; these risks are monitored
and controlled according to the rules defined for the domains to which they belong.
The fields of application of this standard are all the space project phases. A definition of project phasing
is given in ISO 14300-1.
When viewed from the perspective of a specific programme or project context, the requirements defined
in this European Standard should be tailored to match the genuine requirements of a particular profile
and circumstances of a programme or project.
NOTE Tailoring is a process by which individual requirements or specifications, standards, and related
documents are evaluated and made applicable to a specific programme or project by selection, and in some
exceptional cases, modification and addition of requirements in the standards.
2 Terms, definitions and abbreviated terms
2.1 Terms and definitions
For the purposes of this European Standard, the following terms and definitions apply.
2.1.1
acceptance of (risk)
decision to cope with consequences, should a risk scenario materialise
NOTE 1 A risk can be accepted when its magnitude is less than a given threshold, defined in the risk
management policy.
NOTE 2 In the context of risk management, acceptance can mean that even though a risk is not
eliminated, its existence and magnitude are acknowledged and tolerated.
2.1.2
(risk) communication
all information and data necessary for risk management addressed to a decision maker and to relevant
actors within the project hierarchy
2.1.3
(risk) index
score used to measure the magnitude of the risk; it is a combination of the likelihood of occurrence and
the severity of consequence, where scores are used to measure likelihood and severity
© ISO 2003 – All rights reserved 1

---------------------- Page: 7 ----------------------
ISO 17666:2003(E)
2.1.4
individual (risk)
risk identified, assessed, and mitigated as a distinct risk items in a project
2.1.5
(risk) management
systematic and iterative optimisation of the project resources, performed according to the established
project risk management policy
2.1.6
(risk) management policy
describes the organisation’s attitude towards risks, how it conducts risk management, the risks it is
prepared to accept and defines the main requirements for the risk management plan
2.1.7
(risk) management process
consists of all the project activities related to the identification, assessment, reduction, acceptance, and
feedback of risks
2.1.8
overall (risk)
risk resulting from the assessment of the combination of individual risks and their impact on each other,
in the context of the whole project
NOTE Overall risk can be expressed as a combination of qualitative and quantitative assessment.
2.1.9
(risk) reduction
implementation of measures that leads to reduction of the likelihood or severity of risk
NOTE Preventive measures aim at eliminating the cause of a problem situation, and mitigation measures aim
at preventing the propagation of the cause to the consequence or reducing the severity of the consequence or the
likelihood of the occurrence.
2.1.10
residual (risk)
risk remaining after implementation of risk reduction measures
2.1.11
resolved (risk)
risk that has been rendered acceptable
2.1.12
risk
undesirable situation or circumstance that has both a likelihood of occurring and a potentially negative
consequence on a project
NOTE Risks arise from uncertainty due to a lack of predictability or control of events. Risks are inherent to any
project and can arise at any time during the project life cycle; reducing these uncertainties reduces the risk.
2.1.13
(risk) scenario
sequence or combination of events leading from the initial cause to the unwanted consequence
NOTE The cause can be a single event or something activating a dormant problem.
2.1.14
(risk) trend
evolution of risks throughout the life cycle of a project
2 © ISO 2003 – All rights reserved

---------------------- Page: 8 ----------------------
ISO 17666:2003(E)
2.1.15
unresolved (risk)
risk for which risk reduction attempts are not feasible, cannot be verified, or have proven unsuccessful: a
risk remaining unacceptable
2.2 Abbreviated terms
The following abbreviated terms are defined and used within this European Standard.
Abbreviation Meaning
ECSS European Cooperation for Space Standardization
IEC International Electrotechnical Commission
3 Principles of risk management
3.1 Risk management concept
Risk management is a systematic and iterative process for optimising resources in accordance with the
project’s risk management policy. It is integrated through defined roles and responsibilities into the day
to day activities in all project domains. Risk management assists managers and engineers when
including risk aspects in management and engineering practices and judgement throughout the project
life cycle. It is performed in an integrated, holistic way, maximising the overall benefits in areas such as:
• design, construction, testing, operation, maintenance, and disposal, together with their interfaces;
• control over risk consequences;
• management, cost, and schedule.
This process adds value to the data that is routinely developed, maintained, and reported.
3.2 Risk management process
The entire spectrum of risks is assessed. Trade-offs are made among different, and often competing,
goals. Undesired events are assessed for their severity and likelihood of occurrence. The assessments
of the alternatives for mitigating the risks are iterated, and the resulting measurements of performance
and risk trend are used to optimise the tradable resources.
Within the risk management process, available risk information is produced and structured, facilitating
risk communication and management decision making. The results of risk assessment and reduction
and the residual risks are communicated to the project team for information and follow-up.
3.3 Risk management implementation into a project
Risk management requires corporate commitment in each actor’s organisation and the establishment of
clear lines of responsibility and accountability from corporate level downwards. Project management has
the overall responsibility for the implementation of risk management, ensuring an integrated, coherent
approach for all project domains.
Risk management is a continuous, iterative process. It constitutes an integral part of normal project
activity and is embedded within the existing management processes. It utilises the existing elements of
the project management processes to the maximum extent possible.
© ISO 2003 – All rights reserved 3

---------------------- Page: 9 ----------------------
ISO 17666:2003(E)
3.4 Risk management documentation
The risk management process is documented to ensure that the risk management policies are
established, understood, implemented, and maintained, and that they are traceable to the origin and
rationale of all risk-related decisions made during the life of the project.
4 The risk management process
4.1 Overview of the risk management process
The iterative four-step risk management process of a project is illustrated in Figure 1. The tasks to be
performed within each of these steps are shown in Figure 2.
Step 1 comprises the establishment of the risk management policy (Task 1) and risk management plan
(Task 2), and is performed at the beginning of a project. The implementation of the risk management
process consists of a number of “risk management cycles” over the project duration comprising the
Steps 2 to 4, subdivided into the seven Tasks 3 to 9.
The period designated in the illustration with “Risk management process” comprises all the project
phases of the project concerned. The frequency and project events at which cycles are required in a
project (only three are shown in Figure 1 for illustration purposes) depend on the needs and complexity
of the project and need to be defined during Step 1. Unforeseen cycles are required when changes to,
for example, the schedule, technologies, techniques, and performance of the project baseline occur.
Risks at any stage of the project are controlled as part of the project management activities.
Figure 1 — The steps and cycles in the risk management process
4 © ISO 2003 – All rights reserved

---------------------- Page: 10 ----------------------
ISO 17666:2003(E)
Figure 2 — The tasks associated with the steps of the risk management process within the risk
management cycle
4.2 Risk management steps and tasks
4.2.1 Step 1: Define risk management implementation requirements
4.2.1.1 Purpose
To initiate the risk management process by defining the project risk management policy and preparing
the project risk management plan.
4.2.1.2 Task 1: Define the risk management policy
The following activities are included in this task:
a) Identification of the set of resources with impact on risks.
b) Identification of the project goals and resource constraints.
c) Description of the project strategy for dealing with risks, such as the definition of margins and the
apportionment of risk between customer and supplier.
d) Definition of scheme for ranking the risk goals according to the requirements of the project.
© ISO 2003 – All rights reserved 5

---------------------- Page: 11 ----------------------
ISO 17666:2003(E)
e) Establishment of scoring schemes for the severity of consequences and likelihood of occurrence for
)
1
the relevant tradable resources as shown in the examples given in Figures 3 and 4 .
f) Establishment of a risk index scheme to denote the magnitudes of the risks of the various risk
)
2
scenarios as shown, for example in Figure 5 .
  


 


 












 

 
 
 


  
 
 


 


 
 
 


!






 

Figure 3 — Example of a severity-of-consequence scoring scheme
  

 
" #
$ 

 $%&
 $






' (
 )
 $
*$
+%$ 
 ,

 

$ )
 $


%$ 
 ,,

- & )

 $%$ 
 ,,,

. 

$ )

/
 $% 
...

NORME ISO
INTERNATIONALE 17666
Première édition
2003-04-01

Systèmes spatiaux — Management des
risques
Space systems — Risk management




Numéro de référence
ISO 17666:2003(F)
©
ISO 2003

---------------------- Page: 1 ----------------------
ISO 17666:2003(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.


©  ISO 2003
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l’adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2005
Publié en Suisse

ii © ISO 2003 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO 17666:2003(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 17666 a été élaborée par le Comité européen de normalisation (CEN) en collaboration avec le comité
technique ISO/TC 20, Aéronautique et espace, sous-comité SC 14, Systèmes spatiaux, développement et
mise en œuvre, conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord de Vienne).
Tout au long du texte du présent document, lire «… la présente Norme européenne …» avec le sens de
«… la présente Norme internationale …».
© ISO 2003 – Tous droits réservés iii

---------------------- Page: 3 ----------------------
ISO 17666:2003(F)

Sommaire Page

Avant-propos. v
Introduction.    vi
1 Domaine d’application . 1
2 Termes, définitions et termes abrégés. 1
2.1 Termes et définitions . 1
2.2 Termes abrégés . 3
3 Principes du management des risques . 3
3.1 Concept de management des risques . 3
3.2 Processus de management des risques . 3
3.3 Mise en œuvre du management des risques dans un projet. 3
3.4 Documentation du management des risques. 4
4 Processus de management des risques . 4
4.1 Présentation générale du processus de management des risques. 4
4.2 Étapes et tâches du management des risques. 5
5 Mise en œuvre du management des risques . 10
5.1 Généralités. 10
5.2 Responsabilités . 10
5.3 Prise en compte du cycle de vie du projet. 10
5.4 Visibilité des risques et prise de décision. 10
5.5 Documentation du management des risques. 11
6 Exigences de management des risques. 11
6.1 Généralités. 11
6.2 Exigences du processus de management des risques . 11
6.3 Exigences de la mise en œuvre du management des risques. 13
Annexe A (informative) Exemple d'enregistrement de risque et exemple de Fiche de suivi de la
classification du risque. 15
Bibliographie . 18
Figures Page
Figure 1 — Les étapes et les cycles du processus de management des risques. 4
Figure 2 — Tâches associées aux étapes du processus de management des risques à l'intérieur
du cycle de management des risques . 5
Figure 3 — Exemple de gravité des conséquences – modèle de cotation. 6
Figure 4 — Exemple d'un modèle de cotation de la Probabilité. 6
Figure 5 — Exemple d'un modèle d'indice et de magnitude de risque .  7
Figure 6 — Exemple de désignations de la magnitude du risque et actions proposées pour les
risques individuels.  7
Figure 7 — Exemple d'une tendance des risques .  9

iv © ISO 2003 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO 17666:2003(F)


Avant-propos
Le présent document (EN ISO 17666:2003) a été élaboré par la Coopération Européenne pour la
Normalisation Spatiale (ECSS) pour le CEN, en collaboration étroite avec le Comité Technique ISO/TC 20
« Aéronefs et véhicules spatiaux ».
Cette Norme européenne devra recevoir le statut de norme nationale, soit par publication d'un texte
identique, soit par entérinement, au plus tard en Octobre 2003, et toutes les normes nationales en
contradiction devront être retirées au plus tard en Octobre 2003.
L’Annexe A est informative.
Selon le Règlement Intérieur du CEN/CENELEC, les instituts de normalisation nationaux des pays suivants
sont tenus de mettre cette Norme européenne en application : Allemagne, Autriche, Belgique, Danemark,
Espagne, Finlande, France, Grèce, Hongrie, Irlande, Islande, Italie, Luxembourg, Malte, Norvège, Pays-Bas,
Portugal, République Tchèque, Royaume-Uni, Slovaquie, Suède et Suisse.
© ISO 2003 – Tous droits réservés v

---------------------- Page: 5 ----------------------
ISO 17666:2003(F)


Introduction
Les risques sont une menace pour le succès d’un projet car ils ont des effets négatifs sur le coût, le planning
et les performances techniques du projet, cependant des pratiques appropriées de maîtrise des risques
peuvent présenter de nouvelles opportunités ayant un impact positif.
L'objectif du management des risques du projet est d'identifier, d'évaluer, de réduire, d'accepter et de
maîtriser les risques d’un projet spatial à l'aide d'une méthode systématique, proactive, complète et efficiente
tenant compte des contraintes techniques et programmatiques du projet. Le risque est considéré négociable
par rapport aux ressources classiques connues du projet dans les domaines management, programmatique
(par exemple, coût et planification) et techniques (par exemple, masse, puissance, sûreté de fonctionnement,
sécurité). Le management global des risques au sein d'un projet est un processus itératif mené tout au long
du cycle de vie du projet dans lequel les itérations sont fonctions de l’avancement du projet au cours de ses
différentes phases et ainsi que des changements apportés à la référence de base d'un projet donné ayant
un impact sur les ressources du projet.
Le management des risques est mis en œuvre à tous les niveaux du réseau client-fournisseur.
Les pratiques connues de management des risques du projet, telles que : analyse et ingénierie système,
analyses de sécurité, points critiques, sûreté de fonctionnement, chemin critique, coût font partie intégrale du
management des risques du projet. La classification des risques en fonction de leur criticité vis à vis du
succès du projet permet de diriger l'attention du management vers les points principaux et constitue un
objectif majeur du management des risques.
Les acteurs du projet s'accordent sur l'ampleur du management des risques à mettre en œuvre pour un
projet donné en fonction de la définition et de la caractérisation du projet.
vi © ISO 2003 – Tous droits réservés

---------------------- Page: 6 ----------------------
ISO 17666:2003(F)
1 Domaine d’application
La présente Norme européenne définit, dans la continuité des exigences de l’ISO 14300-1, les principes et
les exigences d'un management des risques intégré pour un projet spatial ; elle présente les éléments
nécessaires à la mise en œuvre d'une politique de management des risques intégrée par tout acteur du
projet, à tous les niveaux (client, fournisseur de premier niveau ou fournisseurs de niveaux inférieurs).
La présente Norme européenne contient un résumé du processus général de management des risques qui
est subdivisé en quatre (4) phases essentielles et neuf (9) tâches. La mise en œuvre peut être adaptée aux
conditions spécifiques du projet.
Le processus de management des risques implique un échange d'informations entre tous les domaines du
projet, et fournit une visibilité sur les risques et une classification en fonction de leur criticité vis à vis du
projet ; ces risques doivent être surveillés et maîtrisés en fonction des règles définies du domaine auquel ils
appartiennent.
La présente Norme s'applique à toutes les phases du projet spatial. Une définition des phases d'un projet est
donnée dans l’ISO 14300-1.
Dans le contexte d'un projet ou d'un programme spécifique, il convient d'adapter les exigences définies dans
la présente Norme européenne aux exigences véritables relatives au profil spécifique et aux circonstances
particulières du projet ou du programme.
NOTE L'adaptation est le processus par lequel chacune des exigences ou les spécifications, les normes et les
documents associés sont évalués et rendus applicables à un projet ou un programme donné par sélection et dans des
cas exceptionnels par ajout ou modification d'exigences.
2 Termes, définitions et termes abrégés
2.1 Termes et définitions
Pour les besoins de la présente Norme européenne, les termes et définitions suivants s'appliquent.
2.1.1
acceptation du (risque)
décision de supporter les conséquences si le scénario de risques devait se réaliser
NOTE 1 Un risque peut être accepté s'il est d'une magnitude inférieure à un seuil donné défini dans la politique de
management des risques.
NOTE 2 Dans le contexte du management des risques, l'acceptation peut signifier que bien qu'un risque ne soit pas
éliminé, son existence et sa magnitude sont reconnues et tolérées.
2.1.2
communication du (risque)
ensemble des informations et des données nécessaires au management des risques devant être remises à
un décideur et aux acteurs appropriés de la hiérarchie du projet
2.1.3
indice de (risque)
indice utilisé pour mesurer la magnitude du risque. C’est une combinaison de la probabilité d’occurrence et
de la gravité des conséquences, lorsque des indices sont utilisés pour mesurer la probabilité et la gravité
2.1.4
(risque) individuel
risque identifié, évalué et atténué en tant qu'élément de risques distincts dans un projet
© ISO 2003 – Tous droits réservés 1

---------------------- Page: 7 ----------------------
ISO 17666:2003(F)
2.1.5
management des (risques)
optimisation systématique et itérative des ressources du projet mise en œuvre conformément à la politique
de management des risques établie pour le projet
2.1.6
politique de management des (risques)
décrit l'attitude adoptée par l'organisation face aux risques, les méthodes adoptées pour conduire le
management des risques, les risques que l'organisation est prête à accepter et définit les principales
exigences au niveau du plan de management des risques
2.1.7
processus de management des (risques)
regroupe toutes les activités de projet relatives à l'identification, à l'évaluation, à la réduction, à l'acceptation
et à la rétroaction des risques
2.1.8
(risque) global
risque résultant de l'évaluation de la combinaison des risques individuels et des impacts entre eux, dans le
contexte global du projet
NOTE Le risque global peut être exprimé comme une combinaison d’une évaluation qualitative et quantitative.
2.1.9
réduction des (risques)
mise en oeuvre de mesures qui conduisent à la réduction de la probabilité ou de la gravité du risque
NOTE Les mesures préventives ont pour objectif d'éliminer la cause d'un problème; les mesures d'atténuation ont
pour objectif d'empêcher une propagation de la cause vers la conséquence, ou de réduire la gravité des conséquences
ou la probabilité d'occurrence.
2.1.10
(risque) résiduel
le risque persistant après la mise en œuvre de la réduction des risques
2.1.11
(risque) résolu
un risque qui a été rendu acceptable
2.1.12
risque
une situation ou une circonstance indésirable présentant à la fois une probabilité d’occurrence et une
conséquence potentiellement préjudiciable pour le projet
NOTE Les risques proviennent d'une incertitude due au manque de prévisibilité ou de maîtrise des événements. Ils
sont inhérents à tout projet et peuvent survenir à tout instant au cours du cycle de vie du projet ; réduire ces incertitudes
réduit le risque.
2.1.13
scénario de (risque)
la séquence ou la combinaison d'événements conduisant, à partir de la cause initiale, à une conséquence
non désirée.
NOTE La cause peut être un événement isolé ou quelque chose déclenchant un problème latent.
2.1.14
tendance de (risque)
l’évolution des risques au cours du cycle de vie d’un projet
2.1.15
(risque) non résolu
un risque pour lequel les tentatives de réduction ne sont pas faisables, ne peuvent être vérifiées ou ont
montré leur échec : le risque demeure inacceptable
2 © ISO 2003 – Tous droits réservés

---------------------- Page: 8 ----------------------
ISO 17666:2003(F)
2.2 Termes abrégés
Les termes abrégés suivants sont définis et utilisés dans le cadre de la présente Norme européenne.
Abréviation Signification
CEI Commission Électrotechnique Internationale
ECSS Coopération Européenne pour la Normalisation Spatiale
3 Principes du management des risques
3.1 Concept de management des risques
Le management des risques est un processus systématique et itératif visant à optimiser les ressources tout
en respectant la politique de management des risques définie pour le projet. Il est intégré au travers de rôles
et de responsabilités s'appliquant dans les activités quotidiennes et dans tous les domaines du projet. Le
management des risques est un support pour les managers et les ingénieurs qui doivent intégrer les aspects
relatifs aux risques dans les pratiques de management et d'ingénierie et dans leur jugement tout au long du
cycle de vie du projet. Il est réalisé de façon intégrée et holistique, en maximisant les bénéfices globaux
dans des domaines tels que :
• conception, construction, essais, exploitation, maintenance, et retrait de service, ainsi qu’à leurs
interfaces ;
• la maîtrise des conséquences du risque ;
• le management, les coûts et le planning.
Ce processus valorise les données qui sont produites, mises à jour et communiquées systématiquement.
3.2 Processus de management des risques
La gamme complète des risques est évaluée. Les études de comparaison sont exécutées avec des objectifs
différents et souvent concurrents. Les événements imprévus sont évalués selon leur gravité et leur
probabilité d’occurrence. Les solutions alternatives de réduction des risques sont évaluées de façon itérative
et les mesures de performance obtenues ainsi que la tendance des risques sont utilisées pour obtenir le
meilleur compromis entre les ressources.
Le processus de management des risques génère des informations relatives aux risques qui sont
structurées afin de faciliter la communication du risque et la prise de décision au niveau du management.
Les résultats de l'évaluation et de la réduction des risques ainsi que les risques résiduels sont transmis à
l'équipe projet pour information et pour lui permettre d'effectuer le suivi.
3.3 Mise en œuvre du management des risques dans un projet
Le management des risques exige un engagement commun de toutes les organisations des différents
acteurs et l'établissement d'axes de responsabilités au niveau de l'organisation ainsi que l'obligation de
rendre compte depuis le plus haut niveau de l'organisation. Le management de projet assume la
responsabilité globale de la mise en œuvre du management des risques dans une approche intégrée et
cohérente dans tous les domaines du projet.
Le management des risques est un processus continu et itératif. Il fait partie intégrante de l'activité normale
d'un projet et s'inscrit dans les processus de management existants. Il utilise le plus possible les éléments
existants des processus de management du projet.
© ISO 2003 – Tous droits réservés 3

---------------------- Page: 9 ----------------------
ISO 17666:2003(F)
3.4 Documentation du management des risques
Le processus de management des risques est documenté de manière à garantir l'établissement, la
compréhension, la mise en œuvre et le maintien des politiques de management des risques mais aussi leur
traçabilité, c'est-à-dire leur origine et la réflexion menée lors des prises de décision concernant les risques
au cours de la vie du projet.
4 Processus de management des risques
4.1 Présentation générale du processus de management des risques
Le processus itératif en quatre étapes du management des risques du projet est présenté à la Figure 1.
Les tâches à réaliser dans chacune des 4 étapes sont présentées à la Figure 2.
L'étape 1 est la mise en place de la politique de management des risques (Tâche 1) et du plan de
management des risques (Tâche 2) ; elle se déroule au début du projet. Durant tout le projet, la mise en
œuvre du processus de management des risques s'effectue en plusieurs "cycles de management des
risques" comprenant les Étapes 2 à 4, qui sont divisées en sept Tâches 3 à 9.
Dans la figure ci dessous, la période appelée "Processus de management des risques" comprend toutes les
phases du projet concerné. La fréquence à laquelle les cycles doivent démarrer et les événements les
déclenchant (pour les besoins de l'illustration, seuls trois cycles sont représentés à la Figure 1) sont fonction
des besoins et de la complexité du projet ; ceci doit être défini au cours de l'étape 1. Des cycles non prévus
peuvent être requis en cas de modifications, par exemple, du planning, des technologies, des techniques, et
des performances au niveau des références de base du projet.
À chaque stade du projet, les risques sont maîtrisés dans le cadre des activités de management du projet.
Etape 1
Définir les exigences
relatives à la mise en
œuvre du management
des risques
Etape 2
Etape 2 Etape 2
Identifier et évaluer les
Identifier et évaluer les Identifier et évaluer les
risques
risques risques
Etape 3 Etape 3 Etape 3
Décider et agir Décider et agir Décider et agir
Etape 4 Etape 4 Etape 4
Suivre, communiquer et Suivre, communiquer et Suivre, communiquer et
accepter les risques accepter les risques accepter les risques
Processus de Management des Risques
Phases du projet

Figure 1 — Les étapes et les cycles du processus de management des risques
4 © ISO 2003 – Tous droits réservés

---------------------- Page: 10 ----------------------
ISO 17666:2003(F)
Etape 1
Tâche 1: Définir la politique de management des risques
Définir les exigences relatives à la mise
Tâche 2: Préparer le plan de management des risques
en œuvre du management des risques
....................................................................................................................................................................
C
Y
C
L
Etape 2
Tâche 3: Identifier les scénarios de risques E
Identifier et évaluer les risques
Tâche 4: Evaluer les risques
D
E
M
A
G
E
M
Tâche 5: Décider si les risques peuvent être acceptés
Etape 3
E
Tâche 6: Réduire les risques
N
Décider et agir
T
Tâche 7: Recommander l'acceptation
D
E
S
R
I
Tâche 8: Surveiller et communiquer les risques
Etape 4
S
Tâche 9: Présenter les risques pour l'acceptation. (Retour
Q
Suivre, communiquer et accepter
à la tâche 6 pour les risques non acceptés)
U
les risques
E
S

Figure 2 — Tâches associées aux étapes du processus de management des risques
à l'intérieur du cycle de management des risques
4.2 Étapes et tâches du management des risques
4.2.1 Étape 1 : Définir les exigences relatives à la mise en œuvre du management des risques
4.2.1.1 Objectif
Initialiser le processus de management des risques en définissant la politique de management des risques
et en préparant le plan de management des risques.
4.2.1.2 Tâche 1 : Définir la politique de management des risques
Cette tâche comprend les activités suivantes :
a) Identification de l'ensemble des ressources ayant un impact sur les risques.
b) Identification des objectifs du projet et des contraintes au niveau des ressources.
c) Description de la stratégie du projet pour le management des risques, notamment la définition des
marges et la répartition du risque entre le client et le fournisseur.
d) Définition du modèle de classification des objectifs de risques en fonction des exigences du projet.
© ISO 2003 – Tous droits réservés 5

---------------------- Page: 11 ----------------------
ISO 17666:2003(F)
e) Mise en place de modèles de cotation de la gravité des conséquences et de la probabilité de
1)
l’occurrence pour les ressources correspondantes, comme indiqué sur les Figures 3 et 4 .
f) Mise en place d'un modèle d'indice de risque indiquant les magnitudes des risques des différents
2)
scénarios de risques, comme indiqué Figure 5 .
Degré Gravité Gravité des conséquences : Impact sur (par exemple) les coûts
5 Catastrophique Entraîne la fin du projet
4 Critique
Augmentation du coût du projet > % à définir
3 Majeur Augmentation du coût du projet > % à définir
2 Significatif Augmentation du coût du projet < % à définir
1 Négligeable Minime ou sans impact
Figure 3 — Exemple de gravité des conséquences – modèle de cotation
Degré Probabilité Probabilité de l’occurrence
E Maximale Se produit avec certitude, une à plusieurs fois au cours du projet
D Élevée Se produit fréquemment, environ 1 fois sur 10 projets
C Moyenne Se produit quelques fois, environ 1 fois sur 100 projets
B Faible Se produit rarement, environ 1 fois sur 1000 projets
A Minimale Ne se produit presque jamais, 1 sur 10 000 projets ou probabilité moindre
Figure 4 — Exemple d'un modèle de cotation de la Probabilité
g) Mise en place de critères permettant de définir les actions à mener pour des risques ayant différentes
magnitudes et indication des niveaux de décision correspondants dans la structure du projet(comme
3)
dans l’exemple Figure 6) .
h) Définition des critères d'acceptation des risques pour les risques individuels.
NOTE L’acceptabilité de la probabilité d’occurrence et de la gravité des conséquences est pour l’un et l’autre liée au
programme. Lorsque, par exemple, un programme fait avancer la recherche, le développement technologique ou le
management, la probabilité d’une conséquence augmentant considérablement le coût peut être acceptable.
i) Mise en place d'une méthode de classification et de comparaison des risques.
j) Mise en place d'une méthode de mesure du risque global.
k) Mise en place des critères d'acceptation du risque global.
l) Définition de la stratégie de surveillance des risques et des formats de communication des données de
risques pour les décideurs et les acteurs appropriés de la hiérarchie du projet .
m) Description du flux de revue, de décision et de mise en oeuvre de toutes les actions relatives aux
risques au cours du projet.
⎯⎯⎯⎯⎯⎯⎯⎯⎯
1) Dans les exemples, cinq catégories sont utilisées uniquement dans un but d’illustration, un plus ou moins grand
nombre ou des descriptions différentes sont aussi possibles
2) Dans l’exemple, les catégories de magnitude de risques (« Rouge », « Jaune », « Vert ») sont utilisées uniquement
dans un but d’illustration, différentes désignations sont aussi possibles
3) Dans l’exemple, les désignations de magnitude de risque, acceptabilité et actions proposées sont utilisées
uniquement dans un but d’illustration. Une politique de définition peux être différente pour un projet spécifique

6 © ISO 2003 – Tous droits réservés

---------------------- Page: 12 ----------------------
ISO 17666:2003(F)

Probabilité   Indice de risque :
Combinaison de
Gra
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.