7. Áp dụng, Đánh giá và Quản lý Phân tích Rủi ro
CÁC TIÊU CHUẨN QUỐC TẾ VỀ QUẢN LÝ RỦI RO
Mục lục
1. Tổng quan
Trong quản lý rủi ro hiện đại, việc áp dụng các tiêu chuẩn quốc tế giúp tổ chức:
- Hệ thống hóa quy trình quản lý rủi ro
- Đảm bảo tính nhất quán và khả năng so sánh giữa các đơn vị
- Tăng tính chuyên nghiệp và đáng tin cậy
📌 Ba tiêu chuẩn chính thường được viện dẫn trong ngành:
- ISO 31000
- Risk Management Standard
- COSO ERM Framework (đề cập sơ lược)
2. Giới thiệu ISO 31000 – Chuẩn mực toàn cầu
✳ Tổng quan
- Là tiêu chuẩn quốc tế về quản lý rủi ro doanh nghiệp.
- Được công bố lần đầu năm 2009, cập nhật 2018 bởi Tổ chức Tiêu chuẩn hóa Quốc tế (ISO).
- Thay thế tiêu chuẩn AS/NZS 4360 của Úc.
🔖 Không phải tiêu chuẩn để chứng nhận, mà là chuẩn mực hướng dẫn (benchmark framework).
✳ Mục tiêu của ISO 31000
- Cung cấp nguyên tắc và hướng dẫn chung có thể áp dụng cho mọi loại tổ chức, mọi loại rủi ro.
- Thống nhất các cách tiếp cận rủi ro rời rạc trước đây.
- Hỗ trợ tổ chức đưa rủi ro vào chiến lược, ra quyết định và quản lý hoạt động.
✳ Lợi ích khi áp dụng ISO 31000
| Lợi ích | Ý nghĩa |
|---|---|
| 🎯 Tăng khả năng đạt được mục tiêu | Nhờ vào phân tích và phòng ngừa tốt hơn |
| ⚙️ Hỗ trợ quản lý chủ động | Chuyển từ phản ứng → dự đoán & chuẩn bị |
| 🧠 Tăng nhận thức và văn hóa rủi ro | Mọi nhân viên đều có trách nhiệm cảnh báo rủi ro |
| 📈 Cải thiện kế hoạch và ra quyết định | Rủi ro được tích hợp vào quy trình |
| 💰 Tối ưu tài nguyên | Tập trung vào rủi ro quan trọng nhất, tránh lãng phí |
✳ Cấu trúc ISO 31000 gồm 3 thành phần:
- Nguyên tắc quản lý rủi ro
- Gồm 8 nguyên tắc: tạo giá trị, tích hợp, cấu trúc, tùy biến, năng động, dựa vào thông tin tốt, con người tham gia, cải tiến liên tục.
- Khung quản lý rủi ro (Framework)
- Thiết lập chính sách, vai trò, trách nhiệm, phân bổ tài nguyên.
- Quy trình quản lý rủi ro (Process)
- Lập kế hoạch → Nhận diện → Phân tích → Đánh giá → Ứng phó → Theo dõi.
📌 Toàn bộ cấu trúc hướng đến việc tích hợp quản lý rủi ro vào toàn bộ hoạt động tổ chức, không chỉ riêng ở cấp quản lý dự án.
✳ Công cụ thực hiện: Bảng kiểm (Checklist)
ISO 31000 khuyến nghị tổ chức sử dụng các bảng kiểm để:
- Đánh giá mức độ tuân thủ
- Phát hiện điểm yếu trong hệ thống quản lý rủi ro
📋 Ví dụ bảng kiểm ISO 31000:
| STT | Nội dung kiểm tra | Cấp độ ưu tiên | Đã có? |
|---|---|---|---|
| 14 | Hội đồng rủi ro đã phê duyệt chính sách chưa? | Thiết yếu | Có/Không |
| 32 | Đã thực hiện buổi brainstorm nhận diện rủi ro chưa? | Thiết yếu | Có/Không |
| 55 | Chính sách rủi ro có được rà soát định kỳ không? | Thiết yếu | Có/Không |
3. Risk Management Standard (UK)
✳ Tổng quan
- Phát triển bởi các tổ chức Anh: IRM, AIRMIC, ALARM
- Xuất bản lần đầu: 2002
- Không phải là tiêu chuẩn có thể chứng nhận, mà là hướng dẫn thực hành.
📌 Được FERMA (Liên đoàn châu Âu) khuyến nghị sử dụng và điều chỉnh tương thích ISO 31000 từ năm 2009.
✳ Mục tiêu
- Thống nhất thuật ngữ, cơ cấu quản trị rủi ro, quy trình
- Làm cơ sở xây dựng các hệ thống quản lý rủi ro doanh nghiệp (ERM)
✳ Quy trình 7 bước quản lý rủi ro (theo Risk Management Standard)
| Bước | Mô tả |
|---|---|
| 1️⃣ | Xác định mục tiêu chiến lược của tổ chức |
| 2️⃣ | Nhận diện – mô tả – ước lượng – đánh giá rủi ro |
| 3️⃣ | Báo cáo rủi ro lên cấp trên |
| 4️⃣ | Ra quyết định (chọn phản ứng) |
| 5️⃣ | Triển khai xử lý rủi ro |
| 6️⃣ | Báo cáo rủi ro còn tồn tại |
| 7️⃣ | Giám sát và cải tiến |
📌 Ưu điểm: đơn giản, dễ áp dụng thực tiễn – phù hợp với doanh nghiệp vừa và nhỏ hoặc tổ chức mới bắt đầu xây dựng ERM.
✅ Kết luận phần 1
Tiêu chuẩn quốc tế về quản lý rủi ro như ISO 31000 và Risk Management Standard cung cấp:
- Một bộ nguyên tắc chung
- Khung quy trình đầy đủ
- Công cụ hỗ trợ triển khai
🎯 “Tiêu chuẩn không phải để làm theo mù quáng – mà là để giúp tổ chức biết mình đang ở đâu, cần cải tiến điều gì, và đi như thế nào cho đúng.”
CÁC TỔ CHỨC QUỐC TẾ VỀ QUẢN LÝ RỦI RO
1. Mục tiêu của các tổ chức quản lý rủi ro
Các tổ chức này đóng vai trò:
- Xây dựng và cập nhật tiêu chuẩn ngành
- Phát triển chương trình đào tạo và chứng chỉ
- Kết nối cộng đồng chuyên gia quản trị rủi ro toàn cầu
- Cung cấp tài nguyên nghiên cứu, báo cáo, hướng dẫn
2. Một số tổ chức tiêu biểu
🏛 IRM – Institute of Risk Management
- Trụ sở: Vương quốc Anh
- Ra đời: 1986
- Đối tượng: Cá nhân, tổ chức trên toàn cầu
- Sứ mệnh:
- Thúc đẩy thực hành quản lý rủi ro
- Cung cấp khóa học, chứng chỉ chuyên môn (IRM Certificate, Diploma)
📌 IRM là một trong những tổ chức uy tín nhất thế giới về đào tạo và tiêu chuẩn quản lý rủi ro.
🇪🇺 FERMA – Federation of European Risk Management Associations
- Trụ sở: Brussels, Bỉ
- Thành viên: Gồm 22 hiệp hội quốc gia tại châu Âu
- Vai trò:
- Đại diện tiếng nói châu Âu về quản trị rủi ro
- Hỗ trợ các chính sách pháp lý và tiêu chuẩn hóa
- Quản lý chứng chỉ FERMA RIMAP (Risk Management Professional)
📌 FERMA đóng vai trò kết nối mạng lưới quản lý rủi ro cấp châu lục, là nguồn tài nguyên lớn cho thực hành thực tế.
🌐 IFRIMA – International Federation of Risk and Insurance Management Associations
- Vai trò: Liên đoàn các tổ chức quản lý rủi ro quốc tế
- Thành viên: IRM, AIRMIC, FERMA, RIMS (Mỹ), ALARM…
- Trọng tâm:
- Không ban hành tiêu chuẩn riêng, mà hỗ trợ phổ biến các chuẩn ISO
- Không ủng hộ việc “chuẩn hóa ép buộc” → khuyến nghị tùy chỉnh theo bối cảnh
- Tập trung vào giáo dục, chia sẻ và hỗ trợ phát triển cộng đồng
📌 IFRIMA được xem là “mái nhà chung” của tất cả tổ chức quản lý rủi ro lớn trên thế giới.
💼 AIRMIC – Association of Insurance and Risk Managers in Industry and Commerce
- Trụ sở: Anh
- Đối tượng: Chuyên gia làm trong ngành thương mại, công nghiệp, bảo hiểm
- Vai trò:
- Cung cấp hội nghị, ấn phẩm, khóa học chuyên sâu
- Cập nhật chính sách, công nghệ rủi ro mới
- Hỗ trợ doanh nghiệp triển khai quản lý rủi ro nội bộ
🛡 ALARM – Public Risk Management Association
- Trụ sở: Anh
- Đối tượng: Quản trị rủi ro khu vực công (public sector)
- Mục tiêu: Hỗ trợ các cơ quan nhà nước, tổ chức phi lợi nhuận triển khai ERM
- Hoạt động nổi bật:
- Tạo bộ hướng dẫn rủi ro riêng cho tổ chức công
- Tổ chức hội thảo thường niên
- Xây dựng cộng đồng chia sẻ kinh nghiệm thực tế
3. Các tổ chức chuyên ngành có nhóm rủi ro riêng
🧩 PMI – Project Management Institute
- Nổi tiếng với: Bộ kiến thức quản lý dự án PMBOK
- Rủi ro là 1 trong 10 lĩnh vực kiến thức chủ chốt
- PMI cung cấp các tài liệu chuyên biệt:
- Risk Management Practice Guide
- CAPM, PMP – đều có phần đánh giá rủi ro dự án
💻 BCS – The Chartered Institute for IT (trước đây: British Computer Society)
- Có nhóm chuyên trách: IRMA – Information Risk Management and Assurance
- Tập trung vào rủi ro liên quan đến CNTT, dữ liệu, hệ thống thông tin
- Tổ chức hội nghị, diễn đàn chia sẻ, nghiên cứu chuyên đề
✅ Kết luận phần 2
Các tổ chức quốc tế về quản lý rủi ro đóng vai trò xây dựng nền tảng cho ngành, bao gồm:
- Phát triển chuẩn mực
- Đào tạo và chứng chỉ
- Nghiên cứu và kết nối cộng đồng
🎯 “Làm chủ rủi ro không thể chỉ dựa vào lý thuyết – mà phải kết nối với tri thức và kinh nghiệm toàn cầu.”
SO SÁNH CÁC TIÊU CHUẨN & MÔ HÌNH QUẢN LÝ RỦI RO
1. Mục đích của phần so sánh
Trong thực tế, mỗi tổ chức sẽ chọn áp dụng tiêu chuẩn hoặc mô hình quản lý rủi ro khác nhau. Vì vậy, hiểu rõ đặc điểm, cấu trúc và cách tiếp cận của từng mô hình là điều cần thiết để:
- Chọn đúng tiêu chuẩn phù hợp với tổ chức
- Kết hợp linh hoạt nhiều chuẩn nếu cần
- Tránh nhầm lẫn hoặc trùng lặp quy trình
2. So sánh 3 chuẩn: ISO 31000 – Risk Management Standard – PMBOK
| Tiêu chí | ISO 31000 | Risk Management Standard | PMBOK (PMI) |
|---|---|---|---|
| Nguồn gốc | Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) | IRM, AIRMIC, ALARM (Anh) | Project Management Institute (Mỹ) |
| Năm ban hành | 2009 (cập nhật 2018) | 2002 (điều chỉnh theo ISO từ 2009) | Bản mới nhất: PMBOK Guide 7th Edition (2021) |
| Đối tượng áp dụng | Mọi ngành, mọi loại hình tổ chức | Chủ yếu cho doanh nghiệp và tổ chức Anh/Châu Âu | Dự án mọi ngành – tập trung vào PM |
| Cấu trúc | Nguyên tắc – Khung – Quy trình | 7 bước thực hành cụ thể | 6 quy trình rủi ro trong chu trình dự án |
| Chứng nhận | Không có chứng nhận, chỉ là benchmark | Không chứng nhận | PMI cấp chứng chỉ PMP, CAPM – có phần Risk |
| Trọng tâm | Quản trị rủi ro tổ chức (ERM) | Rủi ro chiến lược & hoạt động | Rủi ro trong từng giai đoạn quản lý dự án |
| Tài liệu hỗ trợ | Bảng kiểm, sơ đồ khung quy trình | Sổ tay hướng dẫn, checklist | Practice Guide, Risk Breakdown Structure (RBS) |
| Mức độ chi tiết | Tầm cao (principle-based) | Cụ thể, gần thực hành | Cực kỳ chi tiết – từng bước, biểu mẫu rõ ràng |
3. Ưu điểm và điểm mạnh của từng chuẩn
✅ ISO 31000
- Rộng, linh hoạt, thích hợp cho quản trị cấp chiến lược
- Có thể tích hợp với các chuẩn ISO khác (27001, 9001…)
✅ Risk Management Standard
- Gần thực tiễn, dễ áp dụng cho tổ chức vừa và nhỏ
- Dễ đào tạo nhân sự, đặc biệt trong môi trường UK/EU
✅ PMBOK (PMI)
- Chi tiết, bài bản, sát với thực tiễn triển khai dự án
- Mạnh về phân tích định lượng, RBS, quản lý rủi ro tích hợp với tiến độ – chi phí – nhân lực
4. Khi nào dùng chuẩn nào?
| Tình huống | Nên ưu tiên dùng |
|---|---|
| Tổ chức đa quốc gia, cần chuẩn hóa cấp tập đoàn | ISO 31000 |
| Doanh nghiệp vừa muốn triển khai rủi ro nội bộ | Risk Management Standard |
| Dự án công nghệ cụ thể (phát triển phần mềm, triển khai CRM…) | PMBOK (hoặc kết hợp với ISO 31000) |
5. Có thể kết hợp các tiêu chuẩn không?
CÓ. Trên thực tế, nhiều tổ chức kết hợp linh hoạt:
- Áp dụng khung nguyên tắc ISO 31000 → để định hướng toàn cục
- Dùng quy trình chi tiết của PMBOK → để triển khai trong từng dự án
- Tham khảo checklist từ Risk Management Standard → để tăng độ bao phủ
📌 Miễn là giữ được tính nhất quán, minh bạch và phù hợp với bối cảnh.
✅ Kết luận phần 3
Việc lựa chọn và áp dụng tiêu chuẩn quản lý rủi ro phụ thuộc vào:
- Quy mô tổ chức
- Loại hình hoạt động (toàn cục hay dự án)
- Văn hóa quản trị và mục tiêu dài hạn
🎯 “Không có mô hình hoàn hảo – chỉ có mô hình phù hợp. Người quản lý giỏi là người biết chọn và tùy biến tiêu chuẩn một cách hiệu quả.”
ỨNG DỤNG PHÂN TÍCH RỦI RO TRONG THỰC TẾ
1. Bản đồ rủi ro (Risk Map)
✳ Khái niệm
Là biểu đồ trực quan thể hiện các rủi ro dựa trên 2 trục:
- Xác suất xảy ra (Probability)
- Mức độ ảnh hưởng (Impact)
📌 Mục tiêu:
- Giúp dễ dàng phân loại mức độ nghiêm trọng
- Ưu tiên xử lý rủi ro nằm vùng nguy hiểm (High Risk)
✳ Mẫu bản đồ rủi ro 3×3
| Thấp tác động | Trung bình | Cao tác động | |
|---|---|---|---|
| Cao xác suất | Trung bình | Cao | Rất cao |
| Trung bình | Thấp | Trung bình | Cao |
| Thấp xác suất | Rất thấp | Thấp | Trung bình |
🎯 Rủi ro được ghi trên bản đồ bằng mã (ID), tên, hoặc ký hiệu. Càng nằm phía trên phải càng nguy hiểm.
2. Bảng đánh giá rủi ro (Risk Register / Risk Assessment Table)
Là dạng bảng tính hoặc biểu mẫu ghi lại chi tiết từng rủi ro và đánh giá sơ bộ:
| Mã | Rủi ro | Xác suất | Tác động | Ưu tiên | Phản hồi |
|---|---|---|---|---|---|
| R1 | Trễ tiến độ nhà cung cấp | Cao | Trung bình | Cao | Giảm thiểu |
| R2 | Thiếu ngân sách | Trung bình | Cao | Cao | Chuyển giao |
| R3 | Không rõ yêu cầu KH | Cao | Cao | Rất cao | Tránh |
📌 Có thể thêm cột “Người phụ trách”, “Trạng thái”, “Ghi chú”,… để cập nhật theo thời gian.
3. Phân tích kết quả đánh giá
Mục tiêu:
- Tách biệt rủi ro quan trọng (High Priority) ra để xử lý trước
- Nhận diện rủi ro có thể chấp nhận được (Low Risk) → theo dõi
📌 Một rủi ro được ưu tiên cao nhất nếu:
- Xác suất xảy ra cao
- Tác động lớn
- Không thể tránh được
- Chưa có phương án dự phòng
4. Xây dựng phản ứng rủi ro
Dựa trên chiến lược đã học:
- Tránh (Avoid) nếu có thể loại bỏ nguồn gốc rủi ro
- Giảm thiểu (Reduce) nếu không tránh được → làm giảm xác suất hoặc tác động
- Chuyển giao (Transfer) nếu bên khác có khả năng kiểm soát tốt hơn
- Chấp nhận (Accept) nếu rủi ro nhỏ, hoặc chi phí phản hồi quá cao
📌 Phản ứng phải đi kèm:
- Người thực hiện
- Thời hạn hành động
- Kế hoạch theo dõi hiệu quả
5. Tạo cơ sở dữ liệu rủi ro
📂 Là nơi lưu trữ toàn bộ rủi ro đã ghi nhận – thường ở dạng:
- File Excel / Google Sheet
- Module riêng trong phần mềm quản lý dự án (Jira, Wrike, Trello…)
Nội dung:
- Thông tin cơ bản rủi ro
- Lịch sử cập nhật
- Hành động đã thực hiện
- Kết quả thực tế sau xử lý
🎯 Đây là nền tảng để rút kinh nghiệm, tái sử dụng trong các dự án tương lai.
6. Đưa ra khuyến nghị và kết luận
Sau khi phân tích rủi ro cần:
- Đề xuất phương án hành động rõ ràng
- Giải thích tại sao chọn cách phản hồi đó
- Đề xuất tài nguyên, ngân sách, nhân lực cần thiết
- Dự đoán nếu không xử lý thì hậu quả sẽ ra sao
📌 Trình bày các khuyến nghị này trong:
- Báo cáo quản lý rủi ro
- Tài liệu tổng kết giai đoạn lập kế hoạch
- Bài thuyết trình trước quản lý cấp cao
✅ Kết luận phần 4
Ứng dụng phân tích rủi ro không chỉ là lý thuyết, mà là quy trình cụ thể gồm nhiều bước rõ ràng, minh bạch và lặp lại được:
- Nhận diện → đánh giá → phản ứng → cập nhật → rút kinh nghiệm
🎯 “Tổ chức trưởng thành không phải là nơi không có rủi ro – mà là nơi biết sống chung, chế ngự và học hỏi từ rủi ro.”
Bài viết liên quan:
Dịch vụ thiết kế Wesbite
