فرآیند مدیریت خطرات و آثار آن ها HEMP) Hazard & Effect Management Process )
فرآیند مدیریت خطرات و آثار آن ها
HEMP) Hazard & Effect Management Process )
1- مقدمه:
HEMP هسته مرکزی در استقرار مؤثر سیستم مدیریت HSE محسوب می شود.با انجام این فرآیند می توان اطمینان یافت که خطرات و آثار بالقوه آن ها به طور کامل ارزیابی می شوند. جهت دستیابی به این مهم تمام ریسک ها باید ابتدا شناسایی شده، سپس بررسی شوند و نهایتا جهت کاهش پیامدهای ناشی از هر خطر باقی مانده، روش هایی برای کاهش ریسک یا اقدامات اصلاحی یا پیشگیرانه بکار گرفته شود.
جهت دستیابی به این هدف تعدادی ابزرا و تکنیک مورد استفاده قرار می گیرد. که در این تحقیق به تفضیل توضیح داده می شوند.
1-1- عناصر هشتگانه سیستم مدیریت HSE
1-2- ابزارهای HEMP
1-2-1- انتخاب ابزار
اهداف سیستم مدیریت HSE، به عنوان معیار قابل قبولی جهت تعیین سطح قابل قبول ریسک در فرآیند مدیریت خطر و آثار آن است. این تحقیق جهت شناسایی، تعیین و کمک به انتخاب مؤثر مجموعه ای از ابزار و تکنیک هایی است که در فازهای مختلف پروژه های اکتشاف و تولید جهت مدیریت ریسک بکار برده می شوند.
هدف این تحقیق تهیه یک مرجع جهت دسترسی آسان به ابزارها و تکینک ها، نشان دادن ارتباط بین آن ها و اینکه هر یک چه اطلاعاتی به سیستم HSE وارد می کنند. بنابراین در این تحقیق ابزار و تکنیک های متنوعی با یکدیگر تلفیق و مورد مقایسه قرار گرفته اند. در این مدرک زمان استفاده از هر یک از این ابزارها بیان نشده، زمان استفاده در هر یک از کتابچه های مربوط به فعالیت های ویژه(حفاری، نقشه برداری، بهره برداری(operations) و حمل ونقل) بیان شده است.
قابل ذکر است که کدها، استانداردها، چک لیست ها و همچنین تجربیات فردی به هیچ وجه جایگزین این تکنیک ها نمی شود و همچنین نقش حیاتی خود را ایفا می کنند.
زمان استفاده از چک لسیت و ... را که عید ترجمه کردی اضافه کن.
1-2- 2- کاربرد و صلاحیت
کاربرد موفق هر یک از ابزار و تکنیک ها به مهارت تیم استفاده کننده از آن بستگی دارد. به همین دلیل آشنایی، صلاحیت و آموزش فاکتورهای مهمی است که باید در زمان(planning & resourcing projects and drafting contract specifications) مورد ملاحظه قرار گیرد. سطح مهارت و دانش های مورد نیاز برای اجرای هر یک از تکنیک ها باید شناسایی و تعیین شود و منابع لازم بایستی تامین شود.
کاربرد ابزارها در HEMP مانند ارزیابی زیست محیطی(Enviromental Assessment)، ارزیابی ریسک سلامتی(Health Risk Assessment) و آنالیز کمی ریسک(QRA) نیاز به متخصص دارد، اما امروزه می توان نتایج آن ها را از طریق مطالعات دیگری در یک سیستم مدیریت HSE معمولی نیز به دست آورد. به کمک متخصصان در هنگام استفاده از بقیه ابزار و تکنیک ها نیاز است. اگرچه کاربرد موفق هر ابزاری همواره به همکاری افراد شرکت کننده در فعالیت مورد بررسی بستگی دارد. بیشتر ابزارهایی که تشریح می شود به multi-disciplinary approach نیاز دارد.
مدیریت ایمنی، بهداشت و محیط زیست با هیچ یک از دیگر فعالیت های اکتشاف و تولید فرقی ندارد. در این تحقیق فرآیند مدیریت خطر و آثار آن برای هر سه موضوع ایمنی، بهداشت و محیط زیست در نظر گرفته شده اند.
2- اصطلاحات علمی خطرات و آثار آن ها
2-1- خطرات، آثار آن ها و حوادث
2-2- تهدید ها و موانع
2-3- پیامدها، روش های کاهش ریسک و سازماندهی روشهای آمادسازی بازگشت به شرایط اولیه
2-4- ریسک
2-5- درخت خطا و درخت رویداد
2-6- احتمال خطا و پیامد یا اثرات آن
3- فرآیند مدیریت خطرات و آثار آن ها(HEMP)
3-1- گام های HEMP در فرآیند
1. شناسایی خطرات و آثار بالقوه آن
2. ارزیابی ریسک
3. ثبت خطرات و آثار آن
4. مقایسه با اهداف و معیارهای عملکرد
5. استقرار روش های کاهش ریسک
3-2- پیاده سازی HEMP
HEMP را می توان در هر زمان از چرخه حیات تجهیزات یا عملیات استفاده کرد. در زمان طرح ریزی تاسیسات جدید، بازنگری تاسیسات موجود، یا برنامه ریزی جهت واگذاری یا decommissioning تاسیسات موجود تمرکز بر روی شناسایی و ارزیابی خطرات و آثار آن ها است که باید کاهش، حذف یا ممنوع شوند. در فازهای عملیاتی و تعمیر و نگهداری(Operational & Maintanance) تمرکز بر روی کنترل خطرات و آثار آن ها توسط تدوین روش اجرایی ها و ساماندهی روش های بازگشت به شرایط اولیه است. در مرحله واگذاری یا decommissioning تمرکز بر روی پاکسازی و نوسازی ایمن است.
افرادی که در فعالیت های عملیاتی شرکت دارند بایستی همواره جهت شناسایی خطرات جدید به خصوص در فعالیت های غیر روتین آماده باشند.
3-2-1- دارایی: برنامه ریزی و بازنگری
3-2-2- فعالیت ها: برنامه ریزی و بازنگری
3-3- روش های فرآیند مدیریت خطرات و آثار آن ها (HEMP)
خطرات را می توان از چند طریق شناسایی و ارزیابی کرد. فرآیند شناسایی و ارزیابی خطرات بر مبنای زیر است:
- تجربیات/ قضاوت
- چک لیست
- کدها و استانداردها
- تکنیک های بررسی ساختاریافته
4- تکنیک های بررسی ساختاریافته
این تکینیک ها برای تمام فازهای شناسایی، ارزیابی، کنترل و بازگشت به شرایط اولیه قابل استفاده است. تکنیک های توصیه شده که در این بخش معرفی می شوند بر مبنای همان گام هایHEMP است:
1. شناسایی خطرات و آثار بالقوه آن
2. ارزیابی ریسک
3. ثبت خطرات و آثار آن
4. مقایسه با اهداف و معیارهای عملکرد
5. استقرار روش های کاهش ریسک
4-1- شناسایی خطرات و آثار بالقوه آن
انتخاب ابزار مناسب بستگی به اطلاعات در دسترس و فاز پروژه یا بلوغ عملیات(maturity) دارد.
برای تاسیسات اکتشاف و تولید لیستی از خطرات عمومی و آثار آن ها بر اساس اولویت در پیوست 3 آورده شده است. در این پیوست لسیت ساختاریافته ای از خطرات و آثار آن ها ارائه شده است که به تکمیل خطرات شناسایی شده در فاز شناسایی خطر کمک می کند. این اولویت بندی مبنایی برای روش های کامپیوتری جهت شناسایی و ارزیابی سیستماتیک خطرات و آثار آن ها می باشد.
جدول 4-1- تکنیک هایی جهت طرح ریزی و بازنگری دارایی ها
|
تکنیک |
شرح |
مرجع |
|
HAZID(HAZard IDentification) |
||
|
Health Risk Assessment |
||
|
Health Risk Assessment & Exposure Evaluation for Chemival Agents |
||
|
Human Factor |
||
|
Enviromental Assessment |
||
|
Soil & Groundwater Guides |
||
|
Social Impact Assessment |
||
|
HAZOP |
||
|
FIREPRAN |
||
|
SAFOP(Electrical Safety & Operability Study) |
تعداد ابزار کمی وجود دارد که فقط به شناسایی ریسک بپردازد. بیشتر ابزارها هر دو فاز شناسایی و ارزیابی ریسک را در بر دارند. و ابزارهایی مانند ارزیابی ریسک سلامتی و ارزیابی زیست محیطی شامل هر چهار عنصر، شناسایی، ارزیابی، کنترل و بازگشت به شرایط اولیه می باشند.
بعضی از تکنیک ها مانند HAZOP یک ابزار ارزیابی ریسک کیفی است که بر اساس تشخیص موانع و انحراف ها مانند خرابی، نقص در سیستم کنترلی، خطاهای انسانی، خوردگی و شرایط افراطی و غیره پیش می رود.
جدول 4-2- تکنیک های اصلی برای طرح ریزی و بازنگری فعالیت ها
|
تکنیک |
شرح |
مرجع |
|
Job Hazard Analysis |
||
|
Tripod- BETA |
||
|
Tripod-DELTA |
4-2- ارزیابی ریسک- evaluate risk
زمانی که خطرات و عوامل به وجود آورنده آن ها(تهدیدها) شناسایی شدند، بایستی علل، پیامدها و احتمال هر یک برآورد شود و عدد ریسک تعیین شود. ارزیابی ریسک می تواند کمی، نیمه کمی یا کیفی باشد اما هر سه مراحل یکسانی دارند. روش های کیفی برای ارزیابی ریسک تجهیزات یا عملیات های ساده به کار می رود که افراد، محیط زیست، دارایی و تجهیزات و مردم عامه(public) کمتر در معرض ریسک قرار می گیرند می باشد. در بطن بیشتر روش هایی که در بخش شناسایی ریسک معرفی شد، ارزیابی ریسک نیز وجود دارد. برای مثال HAZOP و FIREPRAN نیاز به تیمی دارد که موارد بحرانی را برای بررسی بیشتر انتخاب کند. جهت انتخاب و اولویت بندی خطرات شناسایی شده به ترتیب اهمیت و بحرانی بودن آن ها، باید ارزیابی ریسکی بر مبنای تجربیات و قضاوت افراد با تجربه و ماهر صورت گیرد. نتایج حاصل از ارزیابی کمی احتمال و پیامد خطرات را می توان بر روی ماتریس ریسک نمایش داد. ماتریس ریسک در تصمیم گیری اولویت بندی ریسک ها به ما کمک می کند. از نرم افزار THESIS نیز می توان در ارزیابی ریسک و ماتریس ریسک استفاده کرد.
راهنمایی جهت انتخاب روش ارزیابی ریسک مناسب:
4-2-1- تهیه سناریو (علت رخداد واقعه)
اولین قدم در ارزیابی ریسک یافتن و آزمودن راه هایی است که یک رویدارد بالقوه از طریق آن ها اتفاق می افتد و باعث بالفعل شدن یک رویداد خطرناک می شود. سناریوی عللت و معلول به طرق مختلف تهیه می شود:
1- نوشتن شرح داستانی نحوه رخداد رویداد خطرناک
2- استفاده از درخت خطا
3- استفاده از روش های کامپیوتری تکنیک های مدلسازی
4-2-2- احتمال
احتمال رخداد یک رویداد خطرناک از طریق ارزیابی تهدیدها و شرایط مرتبط یا بر مبنای داده های گذشته تعیین می شود. همچنین احتمال رخداد هر رویدادی را می توان از طریق درخت خطا بدست آورد.
داده های گذشته(historical data)، داده های شکست و خطا را برای هر نوع رویداد در درخت خطا یا درخت رویداد که شامل رویداد اصلی است در اختیار ما قرار می دهد.
هم چنین می توان احتمال ریسک را به روش کیفی نیز تعیین کرد. این کار با طبقه بندی احتمال خطر و تعریف هر طبقه در یک جدول امکان پذیر است. که در ماتریس بند 4-2-4 نشان داده شده است.
4-2-3- آنالیز پیامد
آنالیز پیامدها جهت ارزیابی خطرات مختلف برای رنجی از سناریو پیامدها بکار می رود و از مدل های پیش بینی کننده استفاده می شود. سناریو پیامدها به طرق مختلف تهیه می شود:
1- نوشتن شرح داستانی نحوه رخداد رویداد خطرناک
2- استفاده از درخت رویداد
3- استفاده از روش های کامپیوتری تکنیک های مدلسازی
برای مثال، مدلسازی آثار فیزیکی برای ارزیابی یکپارچگی ساختار، جهت پیش بینی رفتار انتشار در هوا و یا تخلیه در آب و پیش بینی فشار بیش از حد ناشی از انفجار. این مدل ها تنها زمانی استفاده می شوند که در یک کاربرد خاص معتبر بوده و قابلیت پیش بینی پیامد مورد نظر را داشته باشد. برای مدلسازی پیامدها نیاز به استفاده از افراد آموزش دیده و با تجربه است. نتایج مدلسازی آثار فیزیکی در معمولا ورودی بقیه آنالیز های HSE را فراهم می کند. (physical Effect Modelling)
در مدلسازی پیامدها باید اعتراف کرد که اکثر مدلها تنها یک تخمین خوب از اینکه چه اتفاقی ممکن است بیفتد به ما می دهد. قرار دادن محاسبات طراحی تنها بر روی نتایج مدلسازی اشتباه است.
جدول 4-3- تکنیک های آنالیز پیامد
این تکنیک ها در پیوست 4 تشریح شده اند.
4-2-4- تعیین ریسک
تعیین احتمال رخداد سناریوهای مختلف که باعث یک رویداد خطرناک می شود و همچنین تعیین پیامدهای ناشی از آن، نشان دادن ریسک را به طور گرافیکی توسط ماتریس ریسک امکان پذیر می سازد.
شکل ماتریس ریسک
نیازی نیست که ماتریس ریسک همواره یک حالت ثابت از ریسک و روش های بکار رفته را نشان دهد. بلکه با گذشت سالها سطح قابل قبول ریسک تغییر خواهد کرد در نتیجه مرز رنگ های درون دیاگرام تغییر خواهد کرد.
ماتریس بالا یک نمونه از تحمل ریسک است، مرز رنگ ها بستگی به عملیات تحت بررسی دارد. مثالی از نحوه تعریف یک ماتریس برای یک فعالیت مشخص در پیوست 5 بیان شده است.
4-2-5- ارزیابی کمی ریسک(QRA)
QRA یک روش ساختار یافته جهت ارزیابی ریسک است که نتایج را به صورت عددی به ما نشان میدهد.
کار اصلی QRA شناسایی مناطق با ریسک بالا و کمک به مقایسه گزینه های مختلف طراحی و انتخاب فلسفه های عملکردی با این دید که مدیریت ریسک کارا و موثری نیز از همان زمان طراحی برقرار گردد.
QRA در تعیین اینکه " رعایت کردن چه مقدار ایمنی، ایمنی کافی ایجاد می کند" کمک می کند. QRA به ما کمک می کند تا بتوانیم از میان روش های کنترلی، روشی را که تا اندازه ای که عملی باشد (ALARP) خطر را کنترل و کاهش می دهد.
نمودار ALARP—ص 25 HEMP
4-2-6- گزینش/ نمایش معیارها: محدودیت ها/ استانداردها
در راهنمای استقرار HSE بخش 4 به طور کلی نحوه گزینش ریسک توسط معیارهای تعیین شده در هر دو حالت کمی و کیفی، با استفاده نمودار ALARP که سطح قابل قبول ریسک را تا جایی که به طور عملی امکان پذیر باشد کاهش میدهد.
راهنماهای تهیه استانداردهای زیست محیطی:
|
Enviromental Quality Standards- air |
EP 95-0375 |
|
Enviromental Quality Standards- water |
EP 95-0380 |
|
Enviromental Quality Standards-soil & groundwater |
EP 95-0385 |
مراجع مربوط به حد مجاز تماس شغلی و استانداردهای مرتبط در ارزیابی ریسک سلامتی و بهداشتی و راهنمای ایمنی تشعشعات رادیویی لیست شده است.
4-3- ثبت خطرات و آثار آن ها
4-3-1- ثبت
4-3-2- فهرست خطرات و آثار آن ها
4-3-3- راهنمای فعالیت های نیازمند به اخذ مجوز
4-4- مقایسه با اهداف و معیارهای عملکردی
4-5- برقرار کردن روش های کاهش ریسک
4-5-1- کلیات
4-5-2- کنترل خطرات آزاد شده و اثرات آن
بعضی از روش های کنترلی در راهنماهای زیر تشریح شده است:
|
EP 95-0376 |
Monitoring Air Quality |
|
EP 95- 0381 |
Monitoring Water Quality |
|
EP 95-0386 |
Monitoring Soil & Groundwater Quaility |
|
EP 95-0390 |
Waste Management Guidelines |
|
EP 95-0391 |
Classifying Waste |
|
EP 95-0270 |
General Workplace Practices |
|
EP 95-0351 |
Guideline of Permit to Work System |
4-5-3- سازماندهی روشهای آمادسازی بازگشت به شرایط اولیه
|
EP 95-0316 |
Emergency Response |
|
EP 95-0397 |
Oil Spill Disperesion |
|
EP 95-0387 |
Contamination Soil & Groundwater |
|
EP 95-0351 |
Fire Control & Recovery |
|
EP 95-0245 |
Abandonment |
|
SHSEC 1994 |
Medical Emenrgency Guideline for Management |
|
HSE 94023 Jan 1995 |
Medical Emenrgency Guideline for Health Care Professionals & First Aids |
|
HSE 94023a Jan 1995 |
Guidance to First Aiders |
|
E& |
Standards for clinical Services |
|
- |
Forumبررسی عوامل و تشخیص نقاط حادثه خیز و خطرآفرین در واحدهای اطلاعاتی سازمانها به منظور پیشگیری از بروز حوادث از اهمیت ویژه ای برخوردار است.ریسک در پروژه رویدادها یا وضعیتهای ممکن الوقوع نامعلومی هستند که در صورت وقوع، بصورت پیامدهای منفی یا مثبت بر اهداف پروژه موثر می باشد. هر یک از این رویدادها یا وضعیتها، دارای علل مشخص و نتایج و پیامدهای قابل تشخیص هستند. پیامدهای این رویدادها مستقیماً در زمان، هزینه و کیفیت پروژه موثر می باشد. بنابراین شناسایی ریسک و تعیین میزان پیامدهای مثبت و منفی آن بر اهداف پروژه از اهمیت خاصی برخوردار است.
مقدمه
امروزه شرکتها مواجه با افزایش پیچیدگی و عدم قطعیتی هستند که مدیریت ریسکهای تخصصی و کسب و کار را مشکل تر می نماید. تلورانسهای شکست در مدیریت ریسک از سوی جامعه و سهامداران کاهش یافته اند. قوانین و مقررات نیز به نوبه خود الزامات سخت گیرانه تری را مطرح می نمایند. شکست در مدیریت این ریسکها می تواند مهلک باشد؛ حفظ یکپارچگی و کنترل روز به روز بحرانی تر می گردد. پس چرامی بایست به ریسک توجه کنیم .همه برنامه ها کاملا مساوی نیستند دو برنامه باROI مشابه ،هزینه های مشابه و مباحث مشابه ممکن است از نظر ویژگی ریسک با هم متفاوت باشند ارزیابی مدیریت ریسک این اجازه را به شما می دهد که تفاوت بین برنامه ها را مد نظر بگیرید.
فرآیند Risk Assessment یا ارزیابی ریسک اولین فاز از مجموعه فعالیتهای مدیریت ریسک است. این فرآیند حیاتی جایگاه ویژه ای در سیستم مدیریت امنیت اطلاعات (ISMS) دارد. در واقع تست نفوذ پذیری(Penetration Testing) که از فعالیتهای مهم نفوذ گران است، جزیی از فرآیند ارزیابی ریسک به شمار می¬آید.
ارزیابی ریسک برای پاسخ به سوالات زیر انجام می¬شود: -اگر یک ریسک خاص اتفاق بیافتد چقدر آسیب در پی خواهد داشت؟ - احتمال وقوع هر ریسک چقدر است؟ - کنترل هر ریسک چقدر هزینه دارد، آیا مقرون به صرفه است یا نه؟
مهمترین فایده ارزیابی ریسک، کمک به تصمیم گیری صحیح برای انتخاب راه حلهای امنیتی است. طبعا مدیران وقت و حوصله ورود به جزئیات فوق را ندارند، لذا خروجی ارائه شده به آنها توسط ما که معمولا مسئول انجام ارزیابی هستیم اعداد و ارقام و نمودارهاییست که به تصمیم گیری آنها کمک می¬کند. ارزیابی ریسک می¬تواند لزوم هزینه کردن برای امنیت را به تصمیم گیران سازمان اثبات ¬کند. نتایج ارزیابی ریسک به جهت گیری صحیح در انتخاب راه حلها (که همانا دفع تهدیدهای اصلی است) کمک می¬کند، همچنین می¬تواند در تولید و اصلاح خط مشی های امنیت سازمان (Security Policy) استفاده شود.
تعریف مدیریت ریسک :
مدیریت ریسک، فرآیندی است که به مدیران امکان می دهد میان هزینه های عملیاتی و هزینه های مالی اقدامات حفاظتی تعادل برقرار کرده و از طریق حفاظت از فرآیندهای کسب و کار که پشتیبان اهداف سازمان هستند، به منافع مربوطه دست یابند. مدیریت ریسک، یک فرآیند جامع است که بمنظور تعیین، شناسایی، کنترل و حداقل نمودن تاثیرات و عواقب رویدادهای احتمالی مورد استفاده قرار می گیرد. هدف مدیریت ریسک، کاهش ریسک اجرایی برخی فعالیتها و فرآیندها به سطح قابل قبول و کسب تائید مدیریت ارشد است.
مدیریت ریسک از چهار فرآیند مجزا تشکیل شده است: تجزیه و تحلیل ریسک، ارزیابیی ریسک، کاهش ریسک،ارزیابی اسیب ژذیری و ارزیابی کنترلها
اصطلاحات مدیریت ریسک
مدیریت ریسک(Risk Management):
هزینه کلی جهت تعیین، کنترل و حداقل نمودن تاثیر رویدادهای احتمالی. هدف مدیریت ریسک، کاهش ریسک به یک سطح قابل قبول است. حمایت از این فرآیند توسط مدیریت ارشد عامل تداوم آن خواهد بود.
تجزیه و تحلیل ریسک (Risk Analysis):
تکنیکی است جهت تعیین و ارزیابی مولفه هایی که ممکن است موفقیت یک پروژه یا دستیابی به یک هدف را به مخاطره بیاندازند. این تکنیک همچنین به تعیین راهکارهای پیشگیرانه برای کاهش احتمال وقوع مولفه های مربوط و تعیین اقدامات متقابل در زمان وقوع آنها کمک می کند.
ارزیابی ریسک(Risk Assessment):
محاسبه ریسک است. ریسک در واقع تهدیدی است که نقاط آسیب پذیر را مورد بهره برداری قرار داده و می تواند موجب واردشدن آسیب و خسارت به یک دارایی شود. الگوریتم ریسک، ریسک را بعنوان تابعی از دارایی ها، تهدیدات و آسیب پذیری ها محاسبه می کند. نمونه ای از یک تابع ریسک در یک سیستم بدین صورت است: (آسیب پذیری x تهدیدx دارایی) ریسک کلی برای یک شبکه برابر با مجموع ریسک اجزاء آن است.
کاهش ریسک(Risk Mitigation):
فرآیندی که در آن، یک سازمان کنترلها و اقدامات حفاظتی را بعمل می آورد تا از وقوع ریسکهای شناسایی شده ممانعت بعمل آورد، در حالیکه بطور همزمان ابزاری را برای بازیابی مجدد مورد استفاده قرار می دهد. چرا که در شرایط واقعی ممکن است تمامی تلاشها برای پیشگیری از وقوع ریسک با شکست مواجه شوند.
ارزیابی آسیب پذیری و ارزیابی کنترل ها:
آزمون سیستماتیک یک زیر ساخت کلیدی، سیستمهای بهم مرتبط که زیر ساخت به آن متکی است، اطلاعات یا محصول بمنظور تعیین کفایت و تناسب راهکارهای امنیتی، تعیین نواقص امنیتی، ارزیابی و سنجش آلترناتیوهای امنیتی و تصدیق کفایت و تناسب راهکارهای امنیتی پس از اجرای آنها.
فرآیند تجزیه و تحلیل ریسک
آنالیز ریسک تکنیکی است که برای شناسایی و ارزیابی مولفه ها و عواملی که ممکن است موفقیت یک پروژه یا دستیابی به یک هدف را به مخاطره بیاندازند، مورد استفاده قرار می گیرد. نام دیگر این فرآیند، « آنالیز حوادث پروژه » است. این فرآیند نیازمند انجام یک تجزیه و تحلیل هزینه- سود است. فرآیند هزینه- سود می بایست در بازنگری ویژگیها و مزایای یک داریی یا فرآیند دخیل باشد.
بخشی از بازنگری یک پروژه، تعیین هزینه های آن است. این هزینه ها عبارتند از هزینه های تامین و توسعه؛ یعنی هزینه های عملیاتی و نگهداری و ...، هزینه های مستندسازی، هزینه های آموزشی نیروی انسانی، هزینه زیرساختها، هزینه بروزآوری، هزینه های جابجایی و مانند آن. تمامی این هزینه ها مستلزم جنبه های مادی و معنوی است.
اگرچه توجه به تمامی مولفه های هزینه ای برای تصمیم گیری در زمینه اجرای یک پروژه بسیار مهم است، ولی این هزینه های اجرایی تنها یک متغیر است. هزینه عدم اجرای یک پروژه نیز متغیر دیگری است که می بایست در فرآیند تجزیه و تحلیل مورد توجه قرار گیرد. چنانچه اجرای پروژه با تاخیر مواجه شده یا مورد تصویب قرار نگیرد، چه اثراتی بر سازمان خواهد داشت؟ عدم پیشرفت پروژه چه تاثیراتی برمزیتهای رقابتی سازمان دارد؟ چگونه می تواند توانایی شرکت در دستیابی به اهداف و ماموریتها را تحت تاثیر قرار دهد؟
در حالت کلی، هر جا که پول یا منابعی صرف می شود می بایست ارزیابی ریسک انجام شود. این امر سبب می شود که اجرا یا عدم اجرای پروژه با دلایل موجه همراه بوده و مدیر تلاش خود را جهت اتخاذ تصمیم درست انجام داده است. خروجی فرآیند تحلیل ریسک دو بار مورد استفاده قرار می گیرد. بار نخست در زمان اتخاذ تصمیم است. مورد دوم در زمان ارائه نتایج تصمیم به شخص ثالث یا شریک بیرونی است و مدیر ناچار است تا فرآیند تصمیم گیری خود را به وی ارائه دهد. در مجموع باید گفت که اجرای فرآیندهای تحلیل و ارزیابی ریسک ، درک و تجسم مناسبی از کسب و کاربدست می دهد.