Rủi ro và quản trị rủi ro

Hoàng Xuân Thịnh

Trong một dự án cách đây ít năm, tôi được biết một cách quản trị rủi ro dự án theo phương pháp luận được trình bày trong tài liệu của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST, http://www.nist.gov). Tôi nghĩ cách tiếp cận quản trị rủi ro này không chỉ áp dụng cho dự án mà còn có thể hữu ích cho nhiều công việc khác nữa trong cuộc sống. Nay tôi viết lại khái quát phương pháp luận đó trong vài dòng dưới đây.

1. Đặt vấn đề

Trong quá trình phát triển các dự án, những người đã tham gia và có kinh nghiệm đều biết dự án có thể bị đổ bể, bị chậm thời hạn, vượt ngân sách, hoặc gặp các khó khăn khác về nhân sự… Ta gọi chung tất cả các khó khăn đó là rủi ro, câu hỏi đặt ra là tìm cách nào để chỉ ra các rủi ro và từ đó đưa ra những cách thức giảm bớt các rủi ro có thể có nhằm tạo một “hành lang an toàn” để phát triển dự án.

2. Cấu trúc của rủi ro

Trước hết, ta trình bày các phần tử cấu thành của rủi ro. Đây là cách làm quen thuộc chúng ta vẫn thực hiện là ”chia để trị”. Theo NIST rủi ro được định nghĩa:

Rủi ro là sự kết hợp giữa các điểm dễ tổn thương của hệ thống và các nguồn phát sinh nguy cơ đến từ bên trong hoặc bên ngoài hệ thống.

  • Ta hiểu hệ thống ở đây có thể là một kế hoạch phát triển dự án, một bản thiết kế hệ thống, một kế hoạch công việc …
  • Nguy cơ đối với hệ thống là khả năng tiềm tàng của các sự kiện đến từ bên trong hoặc bên ngoài hệ thống có thể gây ra các thay đổi bất lợi cho hệ thống. Các nguy cơ có thể là: nguy cơ do thay đổi nhân sự, do thiếu hụt thời gian, do không đủ ngân sách…
  • Điểm dễ tổn thương là điểm tại đó nguy cơ có thể xâm nhập vào hệ thống và sự kết hợp giữa nguy cơ với điểm dễ tổn thương sẽ tạo ra rủi ro. Điểm dễ tổn thương có thể là: nhân sự có năng lực không đáp ứng yêu cầu công việc, cấu trúc nhóm dự án không hợp lý, …

Như vậy ta có công thức:

Rủi ro = Nguy cơ + Điểm dễ tổn thương

Nguy cơ thì lúc nào cũng tồn tại, giả dụ chúng ta có thể loại bỏ các nguy cơ bên trong (thiếu ngân sách cho dự án chẳng hạn) thì chắc cũng khó mà loại bỏ được nguy cơ bên ngoài (những người tham gia phát triển có thể bị điều động sang làm việc khác cấp bách chẳng hạn). Điểm dễ tổn thương thì có thể có hoặc không, nhưng trên thực tế ta khó mà hình dung được tất cả các điểm dễ tổn thương của hệ thống, nên điểm dễ tổn thương cũng coi như luôn tồn tại. Vì vậy, rủi ro – kết hợp của nguy cơ và điểm dễ tổn thương – cũng coi như luôn tồn tại.

3. Quản trị rủi ro

Câu hỏi đặt ra là ta sẽ giảm bớt hoặc thậm chí triệt tiêu rủi ro như thế nào? Nhìn vào công thức cấu thành rủi ro, người ta có hai cách giảm bớt rủi ro:

  • Giảm khả năng xuất hiện nguy cơ.
  • Bịt các điểm dễ tổn thương của hệ thống.

Người ta có thể dùng các biện pháp hành chính và kỹ thuật để thực hiện hai cách trên và gọi các biện pháp đó là các kiểm soát. Như vậy, xử lý rủi ro là xử lý mối quan hệ giữa bộ ba:

Nguy cơ – Điểm dễ tổn thương – Kiểm soát

NIST định nghĩa quản trị rủi ro là quá trình bao gồm các bước sau:

B1. Chỉ rõ toàn bộ hệ thống của chúng ta và môi trường trong đó hệ thống hoạt động, mô tả các chỉ dẫn này chi tiết trên tài liệu.

B2. Căn cứ tài liệu mô tả chi tiết, tìm cách định danh các nguy cơ có thể đến từ bên trong hoặc bên ngoài hệ thống.

B3. Căn cứ tài liệu mô tả chi tiết, tìm cách định danh các điểm dễ tổn thương mà qua đó ngu cơ có thể xâm nhập vào hệ thống.

B4. Căn cứ kết quả B2 và B3, kết hợp các nguy cơ và điểm dễ tổn thương để hình thành danh sách các rủi ro tiềm tàng.

B5. Với mỗi rủi ro đưa ra các kiểm soát có thể.

B6. Căn cứ trên tình hình thực tế, lựa chọn một hoặc một số kiểm soát khả thi nhất.

B7. Lập kế hoạch thực hiện các kiểm soát. Kế hoạch này được gọi kế hoạch xử lý sự cố.

4. Một ví dụ áp dụng phương pháp luận này

Hàng ngày hầu hết chúng ta đều đi lại bằng xe mô-tô trong nội đô, trên các quốc lộ và tai nạn (rủi ro) có thể đến với mỗi người bất kể lúc nào. Ở đây, hệ thống được hình thành bởi sự kết hợp giữa người lái xe và bản thân xe mô-tô. Nguy cơ đối với hệ thống:

  • Xe khác đâm vào mình. (Đây là nguy cơ bên ngoài và luôn hiện hữu).
  • Đinh trên đường. (Đây là nguy cơ bên ngoài và luôn hiện hữu).
  • Người lái xe đi cẩu thả, uống rượu khi lái xe. (Đây là nguy cơ bên trong).
  • Máy móc của xe tiềm tàng hỏng hóc, nguy cơ đang đi trên đường thì chết máy. (Đây là nguy cơ bên trong).

Sau đây là điểm dễ tổn thương của hệ thống:

  • Thân thể người lái xe là những điểm dễ tổn thương, nhất là cái đầu.
  • Bánh xe có thể bị đinh chọc vào.

Đinh trên đường thì coi như luôn tồn tại nhưng nếu bánh xe không đi đúng vào đinh – tức nguy cơ kết hợp với điểm dễ tổn thương – thì bánh cũng không bị thủng, tức không xảy ra rủi ro. Vì vậy để làm giảm rủi ro này thì hoặc là loại bỏ nguy cơ – tìm cách để không có đinh trên đường, hoặc là bịt điểm dễ tổn thương lại – làm bánh xe bằng loại vật liệu bền đến nỗi không bị chọc thủng bởi đinh. Các biện pháp hành chính hay kỹ thuật loại bỏ đinh trên đường hoặc làm bánh xe bằng vật liệu bền đó chính là những kiểm soát.

Dù có đi cẩn thận thế nào thì cũng khó mà cấm được xe khác đâm vào khiến ta ngã đập đầu xuống đường – tức không loại bỏ được nguy cơ, nhưng có thể bịt điểm dễ tổn thương nhất, là cái đầu, bằng cách đội mũ bảo hiểm. Từ đó giảm được rủi ro chấn thương đầu làm ảnh hưởng đến sự sống. Mũ bảo hiểm chính là một kiểm soát.

24/12/2009

7 phản hồi

Filed under Quản lý dự án

7 responses to “Rủi ro và quản trị rủi ro

  1. kim minh nguyen

    Kính gởi ông Thịnh
    Bài viết ngắn gọn, súc tích và rất hữu ích.
    Hy vọng ông có nhiều bài viết tiếp theo về chủ đề này, nhất là các công cụ để quản lý rủi ro.

  2. sata2009blog

    Cám ơn ông Kim Minh đã có lời động viên, tôi cũng định sẽ viết tiếp một số bài nữa về chủ đề này. Kính thư!

  3. nguyen duc loi

    Bài viết hay quá ! cảm ơn ông rất nhiều .
    Mong ông tiếp tục có nhiều bài viết hay ….

  4. Kiều Văn Minh

    Bài viết của anh rất hay, ngắn gọn, súc tích và dễ hiểu. Em cũng đang định sử dụng phương pháp luận này để viết tiểu luận về Quản trị Rủi ro. Phiền anh có thể gửi tài liệu của NIST qua email giúp em được ko?
    PS: Em đã qua trang web của họ nhưng ko tìm được cái mình cần.

    Thanks & Regards,
    MinhKV

  5. Đường Anh Tuấn

    Thưa ông Thịnh
    Bài này hay. Ngắn gọn và đầy đủ thông tin

  6. HoanNH

    Gửi anh Thịnh

    Đọc bài viết của anh rất hay, hi vọng anh tiếp tục bổ sung các tài liệu mới.

  7. sata2009blog

    Cám ơn bạn.

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s