Không có bất kỳ sự đảm bảo rằng một công việc, một hạng mục, một dự án sẽ hoàn thành đúng thời gian, đúng ngân sách, đúng chất lượng đã đề ra. Ngay cả hoạt động đơn giản nhất cũng có thể gặp sự cố không mong muốn. Bất cứ lúc nào cũng có thể xảy ra những điều ngoài kế hoạch trong quá trình thực hiện dự án và làm thay đổi kết quả, mục tiêu của dự án, chúng ta gọi đó là RISK (có rủi ro tốt và rủi ro không tốt).

Thực hiện quản lý rủi ro (risk management) giúp ngăn ngừa nhiều vấn đề trong dự án và giúp các vấn đề khác ít xảy ra hơn hoặc giảm mức độ ảnh hưởng của nó đối với dự án (đối với mối nguy – rủi ro xấu). Đồng thời, quản lý rủi ro hiệu quả giúp tăng khả năng và/hoặc tác động của nó tới dự án (đối với cơ hội – rủi ro tốt). Và khi chúng ta loại bỏ các mối nguy và gia tăng cơ hội, thì tiến độ, chi phí của dự án có thể được giảm xuống, phản ánh kết quả của nỗ lực quản lý rủi ro. Đây là những lợi ích của quản lý rủi ro và lý do quản lý rủi ro là một phần bắt buộc của quản lý dự án.

Risk - rủi ro là gì?

Risk - rủi ro có thể là một sự kiện (như hỏa hoạn, covid), hoặc nó có thể là một điều kiện được xác định trước nhưng chưa xảy ra (có thể xảy ra hoặc không xảy ra). Nếu nó xảy ra, nó có thể tác động tích cực hoặc tiêu cực đến một hoặc nhiều mục tiêu của dự án. Project manager cần tập trung vào các mối nguy (negative risk - threat) – đó là những gì có thể xảy ra sai sót và tác động tiêu cực đến dự án, các mối nguy khi xảy ra sẽ gây ra nhiều sự cố / vấn đề (issue / problem) cho dự án. Và đừng quên rằng cũng có thể có những tác động tích cực (positive risk, được gọi là cơ hội (opportunity)); cơ hội khi xảy ra sẽ đem lại lợi ích cho dự án. Cơ hội có thể bao gồm những thứ như:

• Nếu chúng ta có thể kết hợp các đơn đặt hàng thiết bị XYZ để mua hơn 20 mặt hàng cùng một lúc, chi phí cho mỗi mặt hàng sẽ thấp hơn 20% so với kế hoạch.
• Nếu chúng ta tổ chức một lớp đào tạo nâng cao hiệu suất làm việc, gói công việc số 3, 4 có thể hoàn thành nhanh hơn hai ngày so với dự kiến.

Định nghĩa về quản lý rủi ro - Risk management

Quản lý rủi ro là quá trình xác định, đánh giá, lập kế hoạch phản ứng và phản ứng với các sự kiện/điều kiện, cả tích cực và tiêu cực, có thể xảy ra trong suốt quá trình của một dự án. Mục tiêu của quản lý rủi ro dự án là gia tăng khả năng và/hoặc tác động của rủi ro tích cực (cơ hội) và giảm khả năng và/hoặc tác động của rủi ro tiêu cực (mối đe dọa), để tối ưu hóa cơ hội thành công của dự án.

Rủi ro cần được xác định và quản lý ngay từ khi bắt đầu dự án và được cập nhật thường xuyên trong khi dự án đang được tiến hành. Project manager và nhóm xem xét những gì đã xảy ra trong dự án, tình trạng hiện tại của dự án và những gì chưa xảy ra, sau đó đánh giá lại các mối nguy và cơ hội tiềm ẩn.

Những thuật ngữ quan trọng trong quản lý rủi ro

1. Uncertainty

Là sự không chắc chắn do sự thiếu hiểu biết, thiếu thông tin về một việc gì đó, làm giảm đi sự tin cậy của chúng ta về các kết luận đưa ra. Công việc cần phải thực hiện, chi phí, thời gian, yêu cầu chất lượng, yêu cầu thông tin,... có thể không chắc chắn. Việc tìm hiểu các yếu tố không chắc chắn này có thể giúp xác định các rủi ro trong dự án. 

2. Individual project risk - rủi ro riêng lẻ của dự án và Overall project risk - rủi ro tổng thể của dự án

Individual project risk: là một sự kiện hoặc điều kiện không chắc chắn có thể xảy ra hoặc không, nếu nó xảy ra, có ảnh hưởng tích cực hoặc tiêu cực đến một hoặc nhiều mục tiêu dự án. Cơ hội (rủi ro tích cực) được khai thác và nâng cao khả năng & độ tác động. Các cơ hội nắm bắt được có thể dẫn đến nhiều lợi ích như giảm thời gian, chi phí, cải thiện hiệu suất. Các mối nguy (rủi ro tiêu cực) được tránh hoặc giảm thiểu khả năng & độ tác động. Các mối nguy không được quản lý hiệu quả có thể dẫn đến các vấn đề hoặc sự cố như chậm trễ, vượt chi phí, giảm hiệu suất. Project manager thường sẽ đi sâu đi sát vào từng rủi ro cụ thể, câu hỏi mà Project manager thường đặt ra là “Dự án của tôi có những rủi ro nào?” (What risks).

Overall project risk: Là ảnh hưởng của sự không chắc chắn đối với toàn bộ dự án, hơn cả sự ảnh hưởng từ tất cả những rủi ro riêng lẻ gộp lại, nó còn bao gồm tất cả các nguồn gây ra sự không chắc chắn của dự án. Từ đó cho các bên liên quan biết được các tác động khác nhau của kết quả dự án, cả tích cực và tiêu cực. Quản lý rủi ro tổng thể của dự án nhằm mục đích duy trì mức độ rủi ro của dự án trong phạm vi có thể chấp nhận được và tối đa hóa khả năng đạt được các mục tiêu tổng thể của dự án. Sponsor thường ít quan tâm được sâu sát tới từng rủi ro cụ thể, thay vào đó họ quan tâm tới bức tranh tổng thể hơn, câu hỏi họ đặt ra là “Dự án rủi ro như thế nào?” (How risky), họ quan tâm tới rủi ro ảnh hưởng tới tổng thể của dự án. Ví dụ: “Chúng ta chỉ có 80% cơ hội hoàn thành dự án trong vòng sáu tháng như khách hàng yêu cầu”. Hoặc, "Chúng ta chỉ có 75% cơ hội hoàn thành dự án trong ngân sách 800.000 đô la."

3. Risk Factors - các yếu tố của rủi ro

Khi đánh giá rủi ro, chúng ta cần xác định những điều sau:

• Khả năng xảy ra của rủi ro
• Phạm vi các kết quả có thể xảy ra (tác động hoặc mức độ ảnh hưởng)
• Thời gian dự kiến ​​xảy ra trong dự án (khi nào)
• Tần suất xảy ra (mức độ thường xuyên) 

4. Khẩu vị rủi ro và ngưỡng rủi ro

Các thuật ngữ này đề cập đến mức độ rủi ro mà một cá nhân hoặc nhóm sẵn sàng chấp nhận, chúng khác nhau tùy thuộc vào cá nhân hoặc tổ chức và lĩnh vực. Các lĩnh vực rủi ro có thể bao gồm bất kỳ ràng buộc nào của dự án (phạm vi, tiến độ, chi phí, chất lượng,...), cũng như rủi ro đối với hình ảnh của doanh nghiệp, sự hài lòng của khách hàng và các yếu tố vô hình khác.

Risk Appetite (Khẩu vị rủi ro): còn được gọi là khả năng chấp nhận rủi ro. Là một mô tả chung, tổng quan về mức độ rủi ro có thể chấp nhận được đối với một cá nhân hoặc một tổ chức. Ví dụ, một sponsor sẵn sàng chấp nhận một ít rủi ro đối với tiến độ của dự án.

Risk Thresholds (Ngưỡng rủi ro): đề cập đến điểm cụ thể mà tại đó rủi ro trở nên không thể chấp nhận được, phản ánh khẩu vị rủi ro của tổ chức và các bên liên quan. Ví dụ, sponsor sẽ không chấp nhận rủi ro tiến độ bị trễ 15 ngày hoặc lâu hơn. 

5. Risk Averse & Risk Prone

Risk Averse: Là những người không muốn bị ảnh hưởng tiêu cực bởi các mối đe dọa, là người không thích rủi ro.

Risk Prone: Hay còn có tên gọi là Risk takers / Risk taking / Risk seeker. Là những người thích rủi ro, họ tin rằng rủi ro cao sẽ đem lại lợi nhuận cao. Trái ngược với Risk averse.

6. Project resilience - tính bền, tính chịu đựng, khả năng phục hồi của dự án

Khi những rủi ro phát sinh dần trở nên rõ ràng, hay còn gọi là những unknown-unknowns (những sự việc/điều kiện chưa xảy ra và cũng không nhận diện được) dần dần lộ diện, những rủi ro này chỉ nhận biết được khi nó xảy ra. Những rủi ro này có thể được khắc phục bởi việc phát triển, gia tăng tính chịu đựng của dự án. Ví dụ có những công ty startup, non trẻ thì khả năng chịu đựng rủi ro thấp, dịch covid quét qua, chỉ cần 1 tháng không có doanh thu cũng đủ làm công ty lao đao. Còn những công ty, tập đoàn lớn có khả năng chịu đựng cao, nửa năm hoặc 1 năm không có doanh thu thì vẫn tồn tại được, thể hiện tính chịu đựng rủi ro cao.

Xây dựng khả năng chịu đựng rủi ro bằng cách nào?

• Có một khoản dự phòng (tiền & thời gian) cho những rủi ro phát sinh (unknown-unknowns), và known-unknowns (chưa xảy ra nhưng nhận diện được).
• Có những quy trình linh hoạt.
• Chia sẻ quyền với những thành viên trong nhóm, rõ ràng về mục tiêu của dự án với mọi người, tin tưởng giao phó.
• Thường xuyên xem xét những tín hiệu mà có thể dẫn tới những rủi ro phát sinh, càng sớm càng tốt.
• Xây dựng phạm vi dự án hoặc chiến lược có thể dễ thay đổi để ứng phó với rủi ro phát sinh.

Phân loại rủi ro - Risk categories

Một danh sách chuẩn phân loại các rủi ro, nó có thể giúp chúng ta đảm bảo các rủi ro không bị bỏ sót trong quá trình thực hiện các dự án. Các danh mục này thuộc các lĩnh vực phổ biến hay là từ các nguồn rủi ro mà công ty hoặc các dự án tương tự đã trải qua. Có thể bao gồm những thứ như:

• Thay đổi công nghệ
• Thiếu nguồn lực
• Các rào cản về quy định, luật hiện hành
• Hoặc các vấn đề văn hóa

Các doanh nghiệp và PMO nên cung cấp và đảm bảo Risk categories tiêu chuẩn có thể được sử dụng bởi tất cả các dự án. 

Ngoài ra, rủi ro có thể được phân loại theo nhiều cách, bao gồm:

Nghiên cứu đã chỉ ra có khoảng hơn 300 loại rủi ro tiềm ẩn, bao gồm các rủi ro do:

• Khách hàng
• Quản lý dự án lỏng lẻo
• Thiếu kiến ​​thức về quản lý dự án của Project Manager và các bên liên quan
• Khách hàng của khách hàng
• Các nhà cung cấp
• Khả năng ứng phó với sự thay đổi
• Văn hóa khác nhau

Bên cạnh đó, các nguồn rủi ro có thể liên quan đến:

• Tiến độ (vật tư có thể được giao sớm hơn dự định, nên gói công việc XYZ có thể bắt đầu sớm hơn 3 ngày)
• Giá cả / Chi phí (bởi vì vật tư tới trễ hơn dự kiến, nên chúng ta phải trả thêm tiền thuê mặt bằng - với chi phí là 100 triệu)
• Chất lượng (Bê tông có thể khô theo tiêu chuẩn chất lượng của chúng ta trước khi mùa đông đến, cho phép chúng ta bắt đầu các gói công việc tiếp theo sớm hơn kế hoạch)
• Phạm vi (Chúng ta có thể đã không xác định chính xác phạm vi cho việc lắp ráp thiết bị. Nếu đúng như vậy thì chúng ta sẽ phải thêm các gói công việc với chi phí 100 triệu)
• Tài nguyên (Designer có thể được điều sang một dự án khác. Nếu điều đó xảy ra, chúng ta sẽ phải sử dụng người khác và tiến độ của có thể bị trễ từ 100 đến 275 giờ)
• Sự hài lòng của khách hàng (Có khả năng khách hàng sẽ cho chúng ta biết rằng họ không hài lòng với giao phẩm XYZ, khiến thời gian sửa lại giao phẩm đó tăng ít nhất 20%) 

Rủi ro còn có thể được phân loại thành hai loại chính:

• Business risk: rủi ro dẫn đến lãi hoặc lỗ của dự án
• Pure (insurable) risk (thuần rủi ro): Chỉ rủi ro của sự mất mát (chẳng hạn như hỏa hoạn, trộm cắp hoặc thương tích cá nhân,...) 

Hầu hết các dự án chỉ tập trung vào rủi ro là những sự việc không chắc chắn trong tương lai có thể xảy ra hoặc không thể xảy ra (event-based). Ngoài ra còn có những rủi ro được mô tả là rủi ro phi sự kiện (non-event), thuộc các loại sau:

• Variability risk (biến thiên): rủi ro do không có khả năng dự đoán những thay đổi trong tương lai. Nó có sự giao động. Ví dụ như năng suất có thể cao hơn hoặc thấp hơn mục tiêu, số lỗi phát hiện trong quá trình thử nghiệm có thể cao hơn hoặc thấp hơn dự kiến, hoặc điều kiện thời tiết trái mùa có thể xảy ra trong giai đoạn xây dựng. Có thể được giải quyết bằng cách sử dụng công cụ phân tích Monte Carlo, cho chúng ta biết khả năng kết quả dự án sẽ có những trường hợp như thế nào với những rủi ro biến thiên như thế, từ đó xác định được những hành động phù hợp tương ứng.
• Ambiguity risk (mơ hồ): Có nguyên nhân từ sự thiếu sự hiểu biết, hiểu mơ hồ về một vấn đề nào đó. Khi mà thông tin không hoàn hảo, bao gồm: yêu cầu không rõ ràng, giải pháp công nghệ không rõ ràng, quy định - luật chưa nắm rõ, độ phức tạp của dự án. Có thể giải quyết bằng cách lấy ý kiến của chuyên gia hoặc thu thập những bài học kinh nghiệm từ nhiều nguồn. Ambiguity risk còn có thể giải quyết thông qua việc phát triển sản phẩm nguyên mẫu (prototype), giả lập,... vì những việc này giúp chúng ta làm rõ thông tin hơn.

Dưới đây là ví dụ của một bảng phân mục các rủi ro, hay còn gọi là Risk Breakdown Structure (RBS).

Quy trình quản lý rủi ro

Phải hiểu quy trình quản lý rủi ro là điều rất quan trọng trong quản lý dự án. Chúng ta phải biết điều gì sẽ xảy ra, xảy ra vào lúc nào và hiểu rằng quản lý rủi ro có thể thay đổi cách quản lý dự án. Đối với các dự án lớn, quản lý rủi ro đúng cách là một phần không thể thiếu trong quá trình lập kế hoạch. Bảy quy trình quản lý rủi ro bao gồm:

• Lập kế hoạch quản lý rủi ro
• Xác định các rủi ro
• Thực hiện phân tích định tính các rủi ro
• Thực hiện phân tích định lượng các rủi ro
• Lập kế hoạch ứng phó rủi ro
• Thực hiện các ứng phó rủi ro
• Giám sát rủi ro

Mặc dù các quy trình lập kế hoạch dự án có nhiều khả năng được thực hiện theo trình tự, nhưng thường được lặp lại trong suốt quá trình của dự án. Rủi ro có thể được xác định bất cứ lúc nào và chúng ta phải thực hiện ứng phó với những rủi ro mới đó. Nếu một rủi ro được phát hiện sau quá trình xác định rủi ro ban đầu, nó vẫn phải được phân tích và các biện pháp ứng phó phải được lên kế hoạch. Quy trình quản lý rủi ro được lặp đi lặp lại xuyên suốt dự án.

1.   Quy trình lập kế hoạch quản lý rủi ro

Project Manager, sponsor, các thành viên trong nhóm, khách hàng, các bên liên quan khác và các chuyên gia có thể tham gia vào quy trình quá trình lập kế hoạch quản lý rủi ro. Đây là quy trình xác định cách thức tiến hành các hoạt động quản lý rủi ro cho một dự án. Vì quản lý rủi ro rất quan trọng đối với sự thành công của một dự án, quy trình này nên bắt đầu khi một dự án được hình thành và nên được hoàn thành sớm trong dự án.

Việc quản lý rủi ro cần phù hợp không chỉ với quy mô và mức độ phức tạp của dự án mà còn phải phù hợp với kinh nghiệm và kỹ năng của các thành viên nhóm dự án. Quản lý rủi ro không thể thành công nếu thực hiện chỉ với một checklist các rủi ro được chuẩn hóa từ các dự án trước đó. Mặc dù checklist này có thể hữu ích trong việc lập kế hoạch và xác định rủi ro, nhưng quản lý rủi ro cần phải được thực hiện riêng biệt cho mỗi dự án.

Quy trình này trả lời câu hỏi về việc nên dành bao nhiêu nỗ lực cho việc quản lý rủi ro dựa trên nhu cầu của dự án. Điều này bao gồm khẩu vị rủi ro của doanh nghiệp và các bên liên quan khác. Quy trình này cũng xác định ai sẽ tham gia và nhóm sẽ thực hiện quản lý rủi ro như thế nào. Các thủ tục của doanh nghiệp và các tài liệu mẫu liên quan đến quản lý rủi ro, chẳng hạn như ma trận khả năng và tác động tiêu chuẩn (probability and impact matrix), được sử dụng trong quy trình này và sau đó được điều chỉnh cho phù hợp với nhu cầu của dự án.

Khi đã hoàn thành việc lập kế hoạch quản lý rủi ro, chúng ta có một bản kế hoạch quản lý rủi ro. Bản kế hoạch quản lý rủi ro là một thành phần của kế hoạch quản lý dự án, mô tả cách các hoạt động quản lý rủi ro sẽ được tổ chức và thực hiện. Kế hoạch quản lý rủi ro có thể bao gồm:

• Risk strategy (Chiến lược): Đây là một cách tiếp cận tổng thể để quản lý rủi ro trong suốt vòng đời của dự án.
• Methodology (Phương pháp luận): Xác định các cách tiếp cận, công cụ và nguồn dữ liệu cụ thể sẽ được sử dụng để thực hiện quản lý rủi ro trong dự án.
• Roles and responsibilities (Vai trò và trách nhiệm): Phần này giải thích ai sẽ thực hiện công việc quản lý rủi ro được mô tả trong kế hoạch quản lý rủi ro và làm rõ trách nhiệm của họ. Các bên liên quan bên ngoài nhóm dự án có thể có vai trò và trách nhiệm liên quan đến quản lý rủi ro.
• Funding (Cấp vốn): Phần này bao gồm chi phí của quy trình quản lý rủi ro (bao gồm cả các khoản dự phòng - contingency reserves và management reserves). Quản lý rủi ro sẽ tốn chi phí của dự án, nhưng nhìn chung, quản lý rủi ro tiết kiệm thời gian và tiền bạc của dự án bằng cách tránh hoặc giảm các mối đe dọa và tận dụng các cơ hội.
• Timing (Thời gian): Xác định thời điểm và tần suất các quy trình quản lý rủi ro dự án sẽ được thực hiện trong suốt vòng đời của dự án và thiết lập các hoạt động quản lý rủi ro để đưa vào lịch trình dự án.
• Risk categories (Phân loại rủi ro): như đã trình bày ở mục trên.
• Risk appetite/thresholds (Khẩu vị rủi ro / ngưỡng rủi ro của các bên liên quan): Khẩu vị rủi ro của các bên liên quan nên được thể hiện dưới dạng các ngưỡng rủi ro có thể đo lường được xung quanh mỗi mục tiêu dự án. Các ngưỡng này:
  • Sẽ xác định mức độ rủi ro tổng thể có thể chấp nhận được của dự án.
  • Cũng được sử dụng để định nghĩa về khả năng và tác động của rủi ro (probability and impacts), được sử dụng khi đánh giá và xét độ ưu tiên cho các rủi ro riêng lẻ của dự án.
• Definitions of risk probability and impacts (Các định nghĩa về khả năng và tác động của rủi ro): Khi có một đánh giá khả năng xảy ra của một rủi ro cụ thể là 70% trong phân tích định tính. Một người không thích rủi ro có thể nghĩ con số 70% là rất cao, trong khi một người thích rủi ro có thể nghĩ con số 70% là một con số thấp. Các định nghĩa về khả năng và tác động giúp tiêu chuẩn hóa các diễn giải này, giúp mọi người cùng hiểu đúng về mức độ của một rủi ro, và cũng giúp so sánh rủi ro giữa các dự án với nhau.

• Probability and impact matrix (Ma trận khả năng và tác động): Là một dạng lưới thể hiện sự liên kết giữa khả năng xảy ra của rủi ro và tác động của nó đối với các mục tiêu của dự án nếu rủi ro đó xảy ra. Các thuật ngữ mô tả (chẳng hạn như rất cao, cao, trung bình, thấp và rất thấp) hoặc các giá trị số có thể được sử dụng cho khả năng và tác động. Khi các giá trị số được sử dụng, các giá trị này có thể được nhân với nhau (Probability x Impact, P x I) để đánh điểm khả năng và tác động cho mỗi rủi ro (risk score), cho phép đánh giá mức độ ưu tiên tương đối của các rủi ro riêng lẻ. Ma trận này sẽ sử dụng cùng với khẩu vị rủi ro, ví dụ chúng ta sẽ chia ra những rủi ro nào có risk score cao hơn 0.24 thì xếp những rủi ro đó vào 1 nhóm, cần phải có giải pháp cho những cái rủi ro này nhằm đưa nó về vùng risk score thấp hơn. Từ 0.07 trở xuống thì cho vào 1 nhóm mà không cần đưa ra phương án ứng phó ngay lập tức, chỉ cần đưa vào danh sách để theo dõi về sau (watchlist). Khẩu vị rủi ro của những dự án khác nhau thì họ sẽ chọn ngưỡng risk score khác nhau để sắp xếp.

• Reporting formats (Báo cáo): Xác định cách thức các kết quả của quá trình quản lý rủi ro dự án sẽ được lập thành văn bản, phân tích và phân phối tới các bên liên quan. Mô tả nội dung và định dạng của risk register và risk report (sẽ mô tả ở phần sau), cũng như bất kỳ kết quả nào khác từ các quy trình quản lý rủi ro của dự án.
• Tracking (Theo dõi): Mô tả quá trình quản lý rủi ro sẽ được kiểm tra như thế nào và kết quả của các hoạt động quản lý rủi ro sẽ được ghi lại như thế nào.

2.   Quy trình xác định rủi ro

Xác định rủi ro là quy trình xác định các rủi ro riêng lẻ của dự án cũng như các nguồn rủi ro tổng thể của dự án và ghi lại các đặc điểm của chúng. 

Quy trình này được thực hiện trong suốt dự án. Xác định rủi ro là một quy trình lặp đi lặp lại, vì các rủi ro riêng lẻ mới của dự án có thể xuất hiện khi dự án tiến triển trong vòng đời của nó và mức độ rủi ro tổng thể của dự án cũng sẽ thay đổi. Tần suất và thành phần tham gia vào mỗi lần xác định rủi ro sẽ khác nhau tùy theo tình huống và điều này sẽ được xác định trong kế hoạch quản lý rủi ro. 

Những người tham gia vào hoạt động xác định rủi ro cũng tương tự quá trình lập kế hoạch quản lý rủi ro, bao gồm TẤT CẢ MỌI NGƯỜI - tất cả các bên liên quan đến dự án!!!

Khi mô tả và ghi lại các rủi ro riêng lẻ của dự án, nên sử dụng một định dạng nhất quán cho các báo cáo rủi ro (risk report) để đảm bảo rằng mỗi rủi ro được hiểu một cách thông suốt và rõ ràng nhằm hỗ trợ phân tích hiệu quả và đề ra phương án ứng phó rủi ro.

Bởi vì việc xác định rủi ro chủ yếu thực hiện trong quá trình khởi tạo và lập kế hoạch dự án, nhưng số lượng nhỏ rủi ro cũng có thể được xác định sau này. Các rủi ro cần được liên tục đánh giá lại. Việc xác định rủi ro còn có thể được thực hiện:

• Trong quy trình kiểm soát thay đổi tích hợp
• Khi làm việc với các hợp đồng,
• Khi làm việc với các tài nguyên, nguồn lực
• Khi giải quyết các vấn đề của dự án

Các công cụ và kỹ thuật quan trọng sử dụng trong quy trình xác định rủi ro

• Brainstorming: Mục tiêu của brainstorming là để có được một danh sách đầy đủ các rủi ro riêng lẻ của dự án và các nguồn rủi ro tổng thể của dự án. RBS có thể được sử dụng để làm khung sườn cho buổi brainstorming. Cần đặc biệt chú ý đến việc đảm bảo rằng các rủi ro được xác định thông qua brainstorming được mô tả rõ ràng, vì brainstorming thường chỉ đưa ra các ý tưởng sơ bộ, không đầy đủ.
• Checklist: Là danh sách các hạng mục, hành động được xem xét, thường được sử dụng như một danh sách nhắc nhở. Checklist được phát triển dựa trên thông tin, kiến thức đã được tích lũy từ các dự án tương tự và từ các nguồn thông tin khác. Checklist liệt kê các rủi ro cụ thể đã xảy ra trước đây và có thể liên quan đến dự án của chúng ta. Thiết lập Checklist có thể nhanh chóng và đơn giản để sử dụng, nhưng cần lưu ý rằng kết quả có thể không đầy đủ.
• Interviews: Xác định rủi ro bằng cách phỏng vấn những người tham gia dự án đã có kinh nghiệm, các bên liên quan và các chuyên gia (SME). Quá trình này nên được tiến hành trong một môi trường tin cậy và bảo mật để khuyến khích những đóng góp trung thực và không thiên vị.
• Root cause analysis (Phân tích nguyên nhân gốc rễ): Thường được sử dụng để khám phá các nguyên nhân gốc rễ dẫn đến một vấn đề và đưa ra phương án phòng ngừa thích hợp.
• Assumption and constraint analysis (Phân tích giả định và ràng buộc): Khám phá tính hợp lệ của các giả định và ràng buộc để xác định cái nào gây rủi ro cho dự án. Các mối đe dọa có thể được xác định từ sự không chính xác, không ổn định, không nhất quán hoặc không đầy đủ của các giả định. Những ràng buộc có thể đem lại cơ hội thông qua việc loại bỏ hoặc nới lỏng một số yếu tố ràng buộc ảnh hưởng đến việc thực hiện một dự án hoặc quy trình (chi phí, tiến độ).
• Phân tích SWOT: Là xem xét dự án từ từng góc độ điểm mạnh, điểm yếu, cơ hội và mối đe dọa. Sau đó xác định bất kỳ cơ hội nào cho dự án có thể nảy sinh từ điểm mạnh và bất kỳ mối đe dọa nào xuất phát từ điểm yếu. Chúng ta cần kiểm tra mức độ mà điểm mạnh có thể bù đắp các mối đe dọa và xác định xem điểm yếu có thể cản trở cơ hội hay không.
• Document analysis (Phân tích tài liệu): Sự không chắc chắn hoặc không rõ ràng trong tài liệu dự án (kế hoạch, giả định, ràng buộc, hồ sơ dự án trước đó, hợp đồng, thỏa thuận và tài liệu kỹ thuật…), cũng như sự không nhất quán trong một tài liệu hoặc giữa các tài liệu khác nhau, có thể là những dấu hiệu của rủi ro đối với dự án.
• Prompt lists (Danh sách nhắc nhở): Là danh sách xác định trước các danh mục rủi ro có thể phát sinh trong dự án. Danh sách này có thể được sử dụng như một khung sườn để hỗ trợ nhóm dự án trong việc hình thành ý tưởng khi sử dụng các kỹ thuật xác định rủi ro. Các danh mục rủi ro ở tầng thấp nhất của Risk Breakdown Structure (RBS) có thể được sử dụng làm prompt list cho các rủi ro riêng lẻ của dự án.

Quy trình xác định rủi ro tạo ra Risk register và Risk report

• Risk register

Risk register là danh sách các rủi ro riêng lẻ đã được xác định của dự án, giúp nắm bắt các chi tiết của rủi ro. Kết quả của việc thực hiện những quy trình phân tích định tính, lập kế hoạch ứng phó rủi ro, thực hiện ứng phó rủi ro và giám sát rủi ro cũng sẽ được ghi lại trong risk register.

Risk register chứa những thông tin khác nhau tại các điểm khác nhau trong quy trình quản lý rủi ro. Ví dụ: nếu dự án mới bắt đầu và chúng ta đang trong quá trình xác định rủi ro, risk register sẽ chứa các rủi ro đã xác định và các phương án ứng phó tiềm năng (potential), chứ không phải các phương án ứng phó thực sự được chọn cho rủi ro đó.

Tại thời điểm này trong quá trình quản lý rủi ro, risk register bao gồm:

- Danh sách các rủi ro đã xác định: Các rủi ro cần được trình bày rõ ràng và cụ thể nhất. Mỗi rủi ro riêng lẻ được cung cấp một mã định danh duy nhất trong risk register.

- Potential risk owners: Các risk owner (sẽ được giải thích ở phần sau) tiềm năng có thể được xác định tại quy trình này, và sẽ được xác nhận lại trong quy trình phân tích định tính.

- Phương án ứng phó tiềm năng: Sẽ có lúc phương án ứng phó được xác định đồng thời với rủi ro. Các phương án ứng phó tiềm năng này nên được thêm vào risk register khi rủi ro được xác định và sẽ được xác nhận trong quá trình lập kế hoạch ứng phó rủi ro.

- Nguyên nhân gốc rễ của rủi ro: Cung cấp thông tin có giá trị để sử dụng sau này nhằm lập kế hoạch ứng phó rủi ro và đánh giá lại rủi ro trong dự án, cũng như làm thông tin tham khảo cho các dự án trong tương lai. Một rủi ro có khả năng tái xuất hiện trong dự án nếu nguyên nhân gốc rễ của nó chưa được xác định và giải quyết.

- Cập nhật danh mục rủi ro: Dự án của chúng ta có thể phát hiện ra các loại rủi ro mới, và có thể thêm vào checklist chuẩn của doanh nghiệp.

Một số thông tin bổ sung có thể được ghi lại cho từng rủi ro, tùy thuộc vào định dạng risk register được chỉ định trong kế hoạch quản lý rủi ro. Có thể bao gồm: tiêu đề rủi ro, loại rủi ro, tình trạng rủi ro hiện tại, một hoặc nhiều nguyên nhân, một hoặc nhiều tác động đến mục tiêu, yếu tố kích hoạt rủi ro (các sự kiện hoặc điều kiện cho thấy rủi ro sắp xảy ra), tham chiếu WBS về các hoạt động bị ảnh hưởng và thông tin về thời gian (khi nào rủi ro được xác định, khi nào rủi ro có thể xảy ra, khi nào nó có thể không còn phù hợp nữa và thời hạn thực hiện khi nào).

Một lưu ý nhỏ, các phương án ứng phó cho rủi ro được ghi lại trong quá trình xác định rủi ro (các phương án ứng phó tiềm năng) và trong khi lập kế hoạch ứng phó rủi ro (các kế hoạch ứng phó thực sự được chọn).

• Risk report

Risk report trình bày thông tin về các nguồn rủi ro tổng thể của dự án (overall project risk), cùng với thông tin tóm tắt về các rủi ro riêng lẻ của dự án đã được xác định. Risk report sẽ được phát triển và cập nhật dần dần trong suốt các quy trình của quản lý rủi ro dự án.

Kết quả của việc thực hiện phân tích rủi ro định tính, định lượng, lập kế hoạch ứng phó rủi ro, thực hiện ứng phó rủi ro và giám sát rủi ro được ghi lại trong risk report khi các quy trình đó được hoàn thành.

Tại thời điểm này trong quy trình quản lý rủi ro, risk report bao gồm:

- Các nguồn rủi ro tổng thể của dự án: Chỉ ra những yếu tố quan trọng nhất dẫn tới rủi ro tổng thể của dự án.

- Thông tin tóm tắt những rủi ro riêng lẻ: Thông tin tóm tắt như số lượng các mối đe dọa và cơ hội đã xác định, phân bổ rủi ro trên các danh mục rủi ro, xu hướng,...

- Thông tin bổ sung: Có thể được đưa vào risk report, tùy thuộc vào các yêu cầu báo cáo được quy định trong kế hoạch quản lý rủi ro.

3.   Quy trình thực hiện phân tích rủi ro định tính

Thực hiện phân tích rủi ro định tính là quy trình đánh giá mức độ ưu tiên cho các rủi ro riêng lẻ của dự án để phục vụ quá trình phân tích sâu hơn về sau, bằng cách đánh giá khả năng xảy ra và tác động của chúng tới dự án, đồng thời cũng cân nhắc một số đặc điểm khác của rủi ro. Quy trình này tập trung nỗ lực vào những rủi ro có mức ưu tiên cao. 

Quy trình này được thực hiện trong suốt dự án. Phân tích rủi ro định tính là một phân tích chủ quan (dựa trên nhận thức về rủi ro của nhóm dự án và các bên liên quan khác) về các rủi ro được xác định trong risk register. Kế hoạch quản lý rủi ro định nghĩa ra cho chúng ta biết thế nào là high priority, high impact, thế nào là high-priority risk, low-priority risk. Khi mà mọi người thống nhất các tiêu chí đó rồi thì mới có thể phân tích, đánh giá rủi ro được. Và quy trình này được lặp lại khi các rủi ro mới được phát hiện.

Đánh giá định tính hiệu quả đòi hỏi phải xác định và quản lý tốt thái độ về rủi ro của những người tham gia trong quy trình phân tích rủi ro định tính. Chúng ta rất dễ mắc sai lầm khi đưa sự thiên vị vào đánh giá định tính các rủi ro, vì vậy cần chú ý đến việc xác định sự thiên vị và điều chỉnh cho phù hợp. Giải quyết sự thiên vị ​​là một phần quan trọng trong vai trò của người điều phối (facilitator) quá trình thực hiện phân tích rủi ro định tính.

Thực hiện phân tích rủi ro định tính là thiết lập các mức độ ưu tiên tương đối của các rủi ro riêng lẻ của dự án, làm cơ sở cho kế hoạch ứng phó rủi ro. Đồng thời xác định risk owner (người sẽ chịu trách nhiệm lập kế hoạch ứng phó rủi ro thích hợp và đảm bảo rằng nó được thực hiện) cho mỗi rủi ro. Việc thực hiện phân tích rủi ro định tính là bắt buộc và quy trình này sẽ là nền tảng cho thực hiện phân tích rủi ro định lượng (nếu dự án bắt buộc phải phân tích định lượng). Thực hiện phân tích rủi ro định tính được xác định trong kế hoạch quản lý rủi ro, và cho chúng ta biết khi nào quy trình này được thực hiện. Thông thường trong Agile thì phân tích rủi ro định tính được thực hiện trước mỗi vòng lặp.

Các công cụ và kỹ thuật quan trọng sử dụng trong quy trình thực hiện phân tích rủi ro định tính

• Risk data quality assessment (Đánh giá chất lượng dữ liệu rủi ro): Dữ liệu cần chính xác và đáng tin cậy để làm cơ sở cho phân tích rủi ro định tính. Việc sử dụng dữ liệu chất lượng thấp có thể dẫn đến một phân tích định tính sai lệch. Một thuật ngữ thường dùng là “garbage in, garbage out - GIGO”. Dữ liệu đầu vào là rác, thì dữ liệu đầu ra cũng là 1 đống rác. Ví dụ: khả năng trời mưa ở TP.HCM vào mùa nắng là rất cao, dữ liệu đầu vào này rất thiếu chính xác, và vì thông tin đó chúng ta đi che phủ các công trình ngoài trời đề phòng trường hợp trời mưa, nhưng thực tế không có mưa, dẫn tốn chi phí. Ngoài ra, chúng ta có thể đánh giá chất lượng dữ liệu thông qua bảng câu hỏi đo lường nhận thức của các bên liên quan của dự án về các đặc điểm khác nhau, có thể bao gồm tính đầy đủ, tính khách quan, tính liên quan và tính kịp thời. Đánh giá chất lượng dữ liệu có thể bao gồm việc xác định những điều sau đây cho từng rủi ro:

- Mức độ hiểu biết về rủi ro

- Dữ liệu có sẵn về rủi ro

- Chất lượng dữ liệu

- Độ tin cậy và tính toàn vẹn của dữ liệu

• Risk probability and impact assessment (Đánh giá khả năng và tác động của rủi ro): Chúng ta cần xem xét khả năng xảy ra của một rủi ro cụ thể, cũng như đánh giá tác động của rủi ro đó, xem xét ảnh hưởng đối với một hoặc nhiều mục tiêu của dự án như tiến độ, chi phí, chất lượng hoặc hiệu suất. Các rủi ro có khả năng xảy ra và tác động thấp có thể được đưa vào risk register, dưới dạng watchlist để theo dõi trong tương lai.
• Đánh giá các thông số khác: Nhóm dự án có thể xem xét các đặc điểm khác của rủi ro (ngoài khả năng xảy ra và tác động) khi đánh giá mức độ ưu tiên cho các rủi ro riêng lẻ.

• Risk categorization (Phân loại rủi ro): Các rủi ro đối với dự án có thể được phân loại theo những mục sau đây, để xác định các phạm vi của dự án chịu nhiều tác động nhất của sự không chắc chắn:
  • Các nguồn rủi ro (ví dụ, sử dụng risk breakdown structure - RBS)
  • Khu vực bị ảnh hưởng của dự án (ví dụ, sử dụng work breakdown structure - WBS)
  • Những nguyên nhân gốc rễ phổ biến. 

Phân loại rủi ro có thể dẫn đến việc phát triển các phương án ứng phó rủi ro hiệu quả hơn bằng cách: Tập trung sự chú ý và nỗ lực vào các phạm vi có rủi ro cao nhất, hoặc Phát triển các phương án ứng phó rủi ro chung để giải quyết các nhóm rủi ro liên quan.

• Probability and impact matrix (Ma trận khả năng và tác động): Dựa vào sự kết hợp giữa khả năng (probability) và tác động (impact) của rủi ro, chúng ta phân chia các rủi ro riêng lẻ vào các nhóm ưu tiên. Có thể đánh giá rủi ro một cách riêng biệt cho từng mục tiêu (ví dụ: chi phí, thời gian và phạm vi) bằng cách có một ma trận khả năng và tác động riêng cho từng mục tiêu. Khi đánh giá khả năng và tác động của rủi ro (Risk probability and impact assessment), chúng ta sử dụng ma trận này cho trực quan. Ví dụ rủi ro số 1 có khả năng xảy ra là rất cao 0.9, tác động là cao 0.4 thì sẽ có risk score = 0.9*0.4 = 0.36, làm tương tự với những rủi ro khác cho cả tác động tiêu cực và tích cực. Khi sử dụng Probability and impact matrix thì chúng ta xác định được những rủi ro sẽ nằm ở vùng có độ ưu tiên cao (màu đậm), độ ưu tiên trung bình (màu nhạt), độ ưu tiên thấp (màu trắng). Việc xác định vùng có độ ưu tiên cao, trung bình, thấp sẽ tùy thuộc vào khẩu vị rủi ro của dự án hoặc tổ chức. Từ đó chúng ta có được những giải pháp phù hợp cho từng rủi ro.

• Bubble chart (Biểu đồ bong bóng): Trong trường hợp rủi ro được phân loại bằng nhiều hơn hai tham số, thì không thể sử dụng ma trận khả năng và tác động, do đó chúng ta cần có các biểu đồ khác. Chúng ta sử dụng biểu đồ bong bóng để biểu diễn mối quan hệ của ba tham số. Ví dụ như biểu đồ bên dưới, ngoài ra còn một số biểu đồ có biến thể là màu của bong bóng, thể hiện được 4 thông số của rủi ro. Nó sẽ khắc phục được giới hạn của ma trận chỉ có 2 chiều. 

• Risk workshop: Để thực hiện phân tích rủi ro định tính, nhóm dự án có thể tiến hành một cuộc họp chuyên biệt thường được gọi là risk workshop dành riêng cho việc thảo luận về các rủi ro riêng lẻ.

- Risk owner, người sẽ:

+ Chịu trách nhiệm lập kế hoạch ứng phó rủi ro thích hợp và báo cáo tiến độ quản lý rủi ro.

+ Được phân bổ cho từng rủi ro riêng lẻ như một phần của quy trình thực hiện phân tích rủi ro định tính.

- Mỗi cuộc họp có một điều phối viên có kỹ năng tốt sẽ làm tăng hiệu quả của cuộc họp.

Risk register và Risk report được cập nhật qua quy trình phân tích rủi ro định tính

• Risk register: Cập nhật thông tin mới được tạo ra trong quá trình thực hiện phân tích rủi ro định tính. Các cập nhật cho risk register có thể bao gồm:

- Đánh giá khả năng xảy ra và tác động của từng rủi ro riêng lẻ đối với dự án

- Mức độ ưu tiên hoặc risk score cho từng rủi ro

- Risk owner được chỉ định

- Kết quả đánh giá dựa trên những thông số khác

- Rủi ro được phân loại vào các danh mục

- Watchlist chứa các rủi ro có mức độ ưu tiên thấp (non critical risks)

- Danh sách các rủi ro cần phân tích thêm

• Risk report: Được cập nhật để phản ánh các rủi ro quan trọng nhất của dự án (thường là những rủi ro có khả năng xảy ra và tác động cao nhất), cũng như danh sách ưu tiên của tất cả các rủi ro được xác định trong dự án và mô tả tóm tắt. Phân tích rủi ro định tính có thể được sử dụng để thực hiện những việc sau:

- So sánh rủi ro tổng thể của dự án với rủi ro tổng thể của các dự án khác.

- Xác định xem nên tiếp tục hay chấm dứt dự án.

- Xác định xem có nên tiến hành các quy trình thực hiện phân tích định lượng hoặc lập kế hoạch ứng phó rủi ro (tùy thuộc vào nhu cầu của dự án và tổ chức thực hiện) hay không. 

4.   Thực hiện phân tích rủi ro định lượng

Thực hiện phân tích rủi ro định lượng là quá trình phân tích tác động tổng hợp của các rủi ro riêng lẻ và các nguồn không chắc chắn khác đối với các mục tiêu tổng thể của dự án thông qua những số liệu cụ thể. Quy trình này KHÔNG bắt buộc đối với tất cả các dự án, nhưng nếu được sử dụng ở dự án nào thì nó sẽ được thực hiện xuyên suốt dự án đó.

Thực hiện phân tích rủi ro định lượng thường yêu cầu phần mềm chuyên dụng và chuyên môn trong việc xây dựng và phân tích các mô hình rủi ro, quá trình này sẽ tiêu tốn thêm thời gian và chi phí của dự án.

Việc sử dụng phân tích rủi ro định lượng cho một dự án sẽ được quy định trong kế hoạch quản lý rủi ro của dự án. Quy trình phân tích rủi ro định lượng thích hợp cho các dự án lớn hoặc phức tạp, các dự án quan trọng về mặt chiến lược của doanh nghiệp, các dự án có được từ yêu cầu của hợp đồng.

Thực hiện phân tích rủi ro định lượng được xem là phương pháp đáng tin cậy DUY NHẤT để đánh giá rủi ro tổng thể của dự án thông qua đánh giá tác động tổng hợp lên kết quả dự án của tất cả các rủi ro riêng lẻ và các nguồn không chắc chắn khác.

Những kết luận từ quy trình phân tích rủi ro định lượng được sử dụng làm nền tảng cho quá trình lập kế hoạch ứng phó rủi ro, đặc biệt trong việc đề xuất các phương án ứng phó rủi ro đối với những rủi ro có mức độ ưu tiên cao. Phân tích rủi ro định lượng cũng có thể được thực hiện sau quá trình lập kế hoạch ứng phó rủi ro, để xác định hiệu quả có thể có của các phương án theo kế hoạch trong việc giảm thiểu rủi ro tổng thể của dự án.

Các công cụ và kỹ thuật quan trọng sử dụng trong quy trình thực hiện phân tích rủi ro định lượng

• Simulation (Mô phỏng): Phân tích rủi ro định lượng sử dụng mô hình mô phỏng tác động tổng hợp của rủi ro riêng lẻ và các nguồn không chắc chắn khác để đánh giá tác động tiềm tàng của chúng đối với việc đạt được những mục tiêu của dự án.
• Phân tích Monte Carlo:

- Monte Carlo là một dạng của mô hình mô phỏng.

- Khi chạy phân tích Monte Carlo cho rủi ro X, mô phỏng sử dụng ước tính X của dự án. Trong đó, X có thể là chi phí, tiến độ (network diagram hoặc ước lượng thời gian) hoặc cả hai.

- Các giá trị đầu vào (ví dụ: ước lượng chi phí, ước lượng thời gian) được chọn NGẪU NHIÊN cho mỗi lần lặp.

- Sử dụng phần mềm máy tính để lặp lại mô hình phân tích rủi ro định lượng hàng nghìn, hàng vạn lần.

- Kết quả đầu ra đại diện cho phạm vi các kết quả có thể có cho dự án (ví dụ: ngày kết thúc dự án, chi phí dự án khi hoàn thành).

- Các đầu ra điển hình bao gồm:

+ Biểu đồ trình bày số lần lặp lại từ việc chạy mô phỏng, hoặc

+ Phân phối xác suất tích lũy (S-curve) thể hiện xác suất đạt được của bất kỳ kết quả cụ thể nào.

• Sensitivity analysis (Phân tích độ nhạy): Giúp xác định những rủi ro riêng lẻ hoặc các nguồn không chắc chắn nào có khả năng tác động nhiều nhất đến kết quả dự án.
• Tornado diagram (Sơ đồ lốc xoáy): Là một dạng của phân tích độ nhạy. Trình bày hệ số tương quan được tính toán cho từng yếu tố của mô hình phân tích rủi ro định lượng có thể ảnh hưởng đến kết quả dự án.

- Sơ đồ này có thể bao gồm:

+ Rủi ro riêng lẻ,

+ Các hoạt động của dự án có mức độ thay đổi cao, hoặc

+ Các nguồn mơ hồ cụ thể

- Các hạng mục được sắp xếp theo độ mạnh tương quan giảm dần, tạo ra hình dạng lốc xoáy.

- Lưu ý: Độ nhạy ≠ DOE - Design Of Experiments (một thuật ngữ trong quản lý chất lượng)

+ Độ nhạy: thay đổi một yếu tố và cố định các yếu tố khác để xem yếu tố nào có tác động lớn nhất.

+ Thiết kế thử nghiệm (DOE): thay đổi một cách có hệ thống tất cả các yếu tố quan trọng và xem sự kết hợp nào có tác động lớn nhất.

• Decision tree analysis (Phân tích cây quyết định): Được sử dụng để hỗ trợ đưa ra lựa chọn tốt nhất trong số một số phương án khác nhau.

- Các phương án sẽ được chia thành các nhánh, được hiển thị trong cây quyết định, mỗi nhánh có thể có chi phí liên quan và rủi ro riêng lẻ liên quan (bao gồm cả các mối đe dọa và cơ hội).

- Điểm cuối của các nhánh trong cây quyết định đại diện cho kết quả đi theo một phương án cụ thể đó, có thể là tiêu cực hoặc tích cực (giá trị có thể là âm hoặc dương).

- Cây quyết định được đánh giá bằng cách tính toán giá trị bằng tiền dự kiến ​​của mỗi nhánh (Expected Monetary Value - EMV), cho phép chúng ta chọn được phương án tối ưu.

- Được áp dụng theo công thức: EMV = P x I

Trong đó:

+ EMV: Expected Monetary Value - Giá trị tiền mong đợi

+ P: Probability - khả năng xảy ra

+ I: Impact - tác động

- Việc tính toán EMV được thực hiện trong quá trình phân tích rủi ro định lượng và được sửa đổi trong quá trình lập kế hoạch ứng phó rủi ro khi tính toán các khoản dự phòng (contingency reserves) cho tiến độ và chi phí.

+ Cây quyết định tính đến các sự kiện trong tương lai để đưa ra quyết định tại thời điểm hiện tại.

+ Với cây quyết định, chúng ta có thể đánh giá các chi phí (hoặc các tác động của tiến độ) và lợi ích của một số phương án ứng phó rủi ro cùng một lúc để xác định đâu là lựa chọn tốt nhất.

- Ví dụ chúng ta cần bay từ một thành phố sang một thành phố khác, có thể đi hãng hàng không A hoặc B. Dựa vào hình dưới đây, chúng ta phải quyết định xem sẽ sử dụng hãng hàng không nào.

- Nếu tỉ lệ đến đúng giờ của hãng A là 90%, thì tỉ lệ đến trễ là 10%. Tỉ lệ đến đúng giờ của hãng B là 70%, thì tỉ lệ đến trễ là 30%. Nếu đến trễ thì chúng ta sẽ bị thiệt hại $4,000. Sử dụng EMV để tính và ra quyết định:

- Đối với hãng A thì thiệt hại: EMV = (10% x $4,000) + $900 = $400 + $900 = $1,300

- Đối với hãng B thì thiệt hại: EMV = (30% x $4,000) + $300 = $1,200 + $300 = $1,500

- Từ kết quả trên ta thấy với EMV = $1,300 thì hãng A sẽ được lựa chọn sử dụng vì giá trị EMV $1,300 là thiệt hại thấp hơn $1,500.

- Cùng đến với một ví dụ khác

- Cây quyết định chỉ ra cách đưa ra quyết định giữa các chiến lược sử dụng vốn - được biểu thị là "nút quyết định", "nút cơ hội" chứa các yếu tố không chắc chắn (nhu cầu của thị trường - dự đoán rằng có 60% là nhu cầu mạnh, 40% là nhu cầu yếu).

- Ở đây, một quyết định cần được đưa ra là đầu tư 120 triệu đô la để xây dựng một nhà máy mới hay thay vào đó chỉ đầu tư 50 triệu đô la để nâng cấp nhà máy hiện có. Đối với mỗi quyết định, nhu cầu (không chắc chắn và do đó đại diện cho một “nút cơ hội”) phải được tính đến. Ví dụ, nhu cầu mạnh dẫn đến doanh thu 200 triệu đô la với nhà máy mới nhưng chỉ 120 triệu đô la khi nhà máy được nâng cấp, nhu cầu yếu dẫn đến doanh thu 90 triệu đô la với nhà máy mới nhưng chỉ 60 triệu đô la khi nhà máy được nâng cấp. Phần cuối của mỗi nhánh cho thấy lợi ích ròng bằng các khoản doanh thu trừ đi chi phí, kết quả được ghi vào khung chữ nhật ở cuối nhánh. Tính toán EMV cho nhà máy được xây mới có EMV = 0.6 * 80M + 0.4 * -30M = 36M. EMV cho nhà máy được nâng cấp có EMV = 0.6 * 70M + 0.4 * 10M = 46M, cũng là EMV của quyết định tổng thể.

Risk report được cập nhật qua quy trình phân tích rủi ro định lượng

• Đánh giá mức độ rủi ro tổng thể của dự án: rủi ro tổng thể của dự án được phản ánh trong hai thước đo chính:

Cơ hội thành công của dự án, được biểu thị bằng xác suất dự án sẽ đạt được các mục tiêu chính của nó. Ví dụ: “Chúng ta chỉ có 80% cơ hội hoàn thành dự án trong vòng sáu tháng như khách hàng yêu cầu”. Hoặc, "Chúng ta chỉ có 75% cơ hội hoàn thành dự án trong ngân sách 800.000 đô la."

• Phân tích xác suất chi tiết của dự án: Các kết quả chính từ phân tích rủi ro định lượng được trình bày dưới nhiều định dạng, chẳng hạn như S-curve, biểu đồ lốc xoáy. Các kết quả chi tiết có thể có của phân tích rủi ro định lượng bao gồm:

Lượng dự phòng cần thiết để cho dự án. Ví dụ: “Dự án cần thêm 50.000 đô la và hai tháng thời gian để giải quyết các rủi ro trong dự án.” Các khoản dự phòng sẽ được chốt trong quy trình lập kế hoạch ứng phó rủi ro.

Xác định các rủi ro riêng lẻ hoặc các nguồn không chắc chắn khác có ảnh hưởng lớn nhất đến critical path của dự án.

Các nguồn của rủi ro tổng thể của dự án có ảnh hưởng lớn nhất đến sự không chắc chắn trong kết quả dự án.

• Danh sách ưu tiên của các rủi ro riêng lẻ: Danh sách này bao gồm những rủi ro riêng lẻ gây ra mối đe dọa lớn nhất hoặc mang lại cơ hội lớn nhất cho dự án, chúng được chỉ ra bằng cách phân tích độ nhạy (Sensitivity analysis).
• Xu hướng trong kết quả phân tích rủi ro định lượng: Khi lặp lại phân tích rủi ro định lượng trong quá trình lập kế hoạch dự án và khi các thay đổi được đề xuất, chúng ta có thể theo dõi các thay đổi đối với rủi ro tổng thể của dự án và thấy được xu hướng.
• Đề xuất các phương án ứng phó rủi ro: Có thể đưa ra đề xuất các phương án ứng phó với mức độ rủi ro tổng thể của dự án hoặc các rủi ro riêng lẻ quan trọng, dựa trên kết quả của phân tích rủi ro định lượng. Các đề xuất này sẽ làm tiền đề cho quy trình lập kế hoạch ứng phó rủi ro.

So sánh Phân tích rủi ro định tính và Phân tích rủi ro định lượng

5.   Lập kế hoạch ứng phó rủi ro

Lập kế hoạch ứng phó các rủi ro là quá trình phát triển các phương án, lựa chọn chiến lược và thống nhất các hành động để giải quyết rủi ro tổng thể của dự án, cũng như xử lý các rủi ro riêng lẻ. Quá trình lập kế hoạch ứng phó các rủi ro cần:

• Xác định các cách thích hợp để giải quyết rủi ro tổng thể và rủi ro riêng lẻ cho dự án.
• Phân bổ nguồn lực, thêm các hoạt động vào kế hoạch quản lý dự án khi cần thiết. 

Quá trình này được thực hiện trong suốt dự án. Các phương án ứng phó rủi ro hiệu quả và thích hợp có thể giảm thiểu các mối đe dọa, tối đa hóa các cơ hội và giảm mức độ rủi ro tổng thể của dự án. Các phương án ứng phó rủi ro không phù hợp có thể phản tác dụng.

Sau khi các rủi ro đã được xác định, phân tích và sắp xếp thứ tự ưu tiên, risk owner được chỉ định phải xây dựng các kế hoạch để giải quyết từng rủi ro của dự án mà nhóm dự án cho là quan trọng, do mối đe dọa mà nó gây ra đối với các mục tiêu của dự án hoặc cơ hội mà nó mang lại. Project manager cũng nên xem xét cách ứng phó phù hợp với mức độ rủi ro tổng thể của dự án hiện tại.

Quá trình lập kế hoạch ứng phó các rủi ro phải thích hợp cho:

• Tầm quan trọng của rủi ro,
• Hiệu quả về chi phí trong việc đáp ứng những vấn đề khó,
• Thực tế dự án,
• Được sự đồng ý của tất cả các bên liên quan, và
• Phải có 1 người chịu trách nhiệm chính.

Các hành động cụ thể được phát triển để thực hiện chiến lược ứng phó rủi ro đã thỏa thuận, bao gồm các chiến lược chính và dự phòng, nếu cần. Một kế hoạch dự phòng có thể được phát triển để thực hiện nếu:

• Chiến lược đã chọn không hoàn toàn hiệu quả hoặc
• Rủi ro tái xảy ra. 

Rủi ro thứ cấp - Secondary risks (rủi ro phát sinh do kết quả trực tiếp của việc thực hiện hoạt động ứng phó rủi ro) cũng cần được xác định. Một khoản dự phòng về thời gian hoặc chi phí thường được phân bổ. Nếu được xây dựng, nó có thể bao gồm việc xác định các điều kiện để kích hoạt việc sử dụng. 

• Contingent response strategies (Các chiến lược ứng phó dự phòng):

Một số phương án ứng phó rủi ro được thiết kế để sử dụng nếu một số sự kiện nhất định xảy ra. Đối với một số rủi ro, nhóm dự án phải lập một kế hoạch ứng phó chỉ được thực hiện trong một số điều kiện xác định trước (chẳng hạn như thiếu các milestones quan trọng).

Các phương án ứng phó rủi ro được xác định bằng cách sử dụng kỹ thuật này thường được gọi là kế hoạch dự phòng (contingency plans hoặc fallback plans) và bao gồm các sự kiện kích hoạt, những dấu hiệu báo trước đã được xác định để lập kế hoạch có hiệu quả.

Risk register và Risk report được cập nhật qua quy trình lập kế hoạch ứng phó rủi ro

• Risk report: Có thể được cập nhật để đưa ra các phương án ứng phó rủi ro đã được thống nhất đối với mức độ rủi ro tổng thể hiện tại của dự án và các rủi ro có mức độ ưu tiên cao, cùng với những thay đổi dự kiến có thể xảy ra khi thực hiện các phương án này.
• Risk register:

- Residual risks (Rủi ro tồn đọng): Đây là những rủi ro còn sót lại sau khi lập kế hoạch ứng phó cho một rủi ro. Sau khi chúng ta đã avoided, exploited, mitigated, enhanced, transferred, shared, escalated, và accepted rủi ro (và tạo kế hoạch dự phòng liên quan), vẫn sẽ có những rủi ro còn tồn tại. Những rủi ro tồn đọng được chấp nhận một cách thụ động cần được ghi lại và xem xét trong suốt dự án để xem liệu chúng có thay đổi hay không (về khả năng xảy ra và tác động). Một ví dụ về rủi ro tồn đọng được đưa ra khi sử dụng dây an toàn trên ô tô. Việc lắp đặt và sử dụng dây an toàn làm giảm mức độ nghiêm trọng và khả năng bị thương tích tổng thể trong một vụ tai nạn ô tô, tuy nhiên, khả năng bị thương tích vẫn còn khi sử dụng, nghĩa là rủi ro vẫn còn tồn đọng.

- Secondary risks (Rủi ro thứ cấp): Là bất kỳ rủi ro mới nào được tạo ra bởi việc thực hiện các biện pháp ứng phó rủi ro đã chọn. Những rủi ro thứ cấp đó cũng cần được phân tích như một phần của kế hoạch ứng phó rủi ro.

- Contingency plans: Là các kế hoạch mô tả các hành động cụ thể sẽ được thực hiện nếu cơ hội hoặc mối đe dọa xảy ra.

- Fallback plans: Là các kế hoạch mô tả các hành động cụ thể sẽ được thực hiện nếu các kế hoạch dự phòng (Contingency plans) không hiệu quả.

- Risk owner: Một điều quan trọng trong lập kế hoạch ứng phó rủi ro là Project Manager không phải làm tất cả, và cả nhóm dự án cũng vậy . Mỗi rủi ro phải được chỉ định một người sẽ:

+ Giúp dẫn dắt quá trình phát triển phương án ứng phó rủi ro và

+ Được chỉ định thực hiện ứng phó rủi ro.

+ Risk owner có thể là một bên liên quan không phải là một thành viên trong nhóm.

- Risk triggers (Kích hoạt rủi ro): Đây là những sự kiện kích hoạt, những dấu hiệu báo trước cho ứng phó dự phòng (Contingent responses). Các dấu hiệu cảnh báo sớm cho mỗi rủi ro trong dự án cần được xác định để risk owner biết khi nào cần hành động.

- Contracts (Hợp đồng): Trước khi hoàn tất hợp đồng, Project Manager nên hoàn thành phân tích rủi ro, đưa vào các điều khoản, điều kiện hợp đồng cần thiết để giảm thiểu các mối đe dọa và tăng cường cơ hội. Bất kỳ hợp đồng nào được phát hành để đối phó với rủi ro cần được ghi vào risk register.

Reserves (contingency) (dự phòng): Dự phòng cho thời gian và chi phí là một phần bắt buộc của quản lý dự án. Chúng ta không thể đưa ra tiến độ hoặc ngân sách cho dự án mà không có chúng.

Trình tự thực hiện quản lý rủi ro từ Xác định rủi ro đến Lập kế hoạch ứng phó 

6.   Thực hiện các ứng phó rủi ro

Thực hiện các ứng phó rủi ro là quy trình thực hiện các kế hoạch ứng phó rủi ro đã thỏa thuận, đảm bảo rằng các kế hoạch ứng phó rủi ro đã thỏa thuận được thực hiện để giải quyết rủi ro tổng thể của dự án, giảm thiểu các mối đe dọa và tối đa hóa các cơ hội của dự án riêng lẻ.

Quá trình này sẽ được thực hiện trong suốt dự án. Một vấn đề phổ biến thường gặp ở quản lý rủi ro dự án là các nhóm dự án dành nỗ lực trong việc xác định và phân tích rủi ro và phát triển các phương án ứng phó rủi ro, sau đó các phương án được thống nhất và ghi vào risk register và risk report, nhưng không có hành động nào được thực hiện để quản lý rủi ro. Chỉ khi các risk owner đưa ra mức độ nỗ lực cần thiết để thực hiện các hành động ứng phó đã thỏa thuận thì mức độ rủi ro chung của dự án cũng như các mối đe dọa và cơ hội riêng lẻ mới được chủ động quản lý. 

Risk register và Risk report được cập nhật qua quy trình thực hiện các ứng phó rủi ro

• Risk register: Được cập nhật để phản ánh bất kỳ thay đổi nào đối với các biện pháp ứng phó rủi ro đã thỏa thuận trước đó dành cho các rủi ro riêng lẻ mà sau đó được thực hiện trong quy trình này.
• Risk report: Được cập nhật để phản ánh bất kỳ thay đổi nào đối với các biện pháp ứng phó rủi ro đã thỏa thuận trước đó dành cho rủi ro tổng thể của dự án mà sau đó được thực hiện trong quy trình này.
• Risk register và Risk report được cập nhật với thông tin về các hoạt động ứng phó rủi ro đã được thực hiện, mô tả chi tiết về mức độ giải quyết rủi ro của các hoạt động đó và đề xuất các thay đổi đối với kế hoạch ứng phó rủi ro trong tương lai. Project Manager bổ sung thông tin những bài học kinh nghiệm có được liên quan đến những gì hiệu quả và những gì không hiệu quả khi hoạt động ứng phó rủi ro được thực hiện.

7.   Giám sát rủi ro

Giám sát rủi ro là quy trình giám sát việc thực hiện các kế hoạch ứng phó rủi ro đã thỏa thuận, theo dõi các rủi ro đã xác định, xác định và phân tích các rủi ro mới, đồng thời đánh giá hiệu quả của quy trình quản lý rủi ro trong toàn bộ dự án. Giám sát rủi ro cho phép chúng ta đưa các quyết định của dự án dựa trên thông tin hiện tại về rủi ro tổng thể của dự án và các rủi ro riêng lẻ. Quá trình này được thực hiện trong suốt dự án.

Để đảm bảo rằng nhóm dự án và các bên liên quan nhận thức được mức độ rủi ro hiện tại, cần liên tục theo dõi đối với các rủi ro mới của dự án, các rủi ro đã thay đổi hay lỗi thời và những thay đổi về mức độ rủi ro tổng thể của dự án bằng cách áp dụng quy trình giám sát rủi ro. Giám sát rủi ro xác định xem:

• Các biện pháp ứng phó rủi ro được triển khai có hiệu quả không?
• Mức độ rủi ro tổng thể của dự án đã thay đổi như thế nào?
• Trạng thái của các rủi ro riêng lẻ đã thay đổi ra sao?
• Rủi ro mới đã phát sinh làm sao?
• Phương pháp quản lý rủi ro có còn phù hợp không?
• Các giả định của dự án có còn hiệu lực không?
• Các chính sách và thủ tục quản lý rủi ro đang được tuân thủ như thế nào?
• Các khoản dự phòng (contingency reserves) cho chi phí hoặc tiến độ yêu cầu sửa đổi ra sao?
• Chiến lược dự án có còn hiệu lực không?

Các công việc khác thuộc quy trình giám sát rủi ro bao gồm:

• Workarounds

Trong trường hợp dự án đã không còn thực hiện đúng theo kế hoạch nữa, nhóm có thể thực hiện những hành động khắc phục để đưa dự án trở lại đúng theo kế hoạch. Các hành động khắc phục đó có thể bao gồm các giải pháp thay thế (Workarounds).

Như chúng ta cũng đã biết, các phương án ứng phó dự phòng (contingency responses) được phát triển trước (có kế hoạch), các giải pháp thay thế (Workarounds) là các phương án ứng phó không có kế hoạch trước, được phát triển để đối phó với sự xuất hiện của các sự kiện hoặc vấn đề không lường trước được trong dự án (hoặc để đối phó với các rủi ro đã được chấp nhận - accepted). Project Manager KHÔNG thực hiện quản lý rủi ro tốt sẽ phải dành nhiều thời gian của mình để tạo ra workarounds.

• Risk Reassessments - Tái đánh giá rủi ro

Điều quan trọng là phải xác định xem có cần phải thực hiện bất kỳ thay đổi hoặc điều chỉnh nào đối với những gì đã được lên kế hoạch hay không dựa trên thông tin được cập nhật rõ ràng khi công việc bắt đầu. Kết quả của các đánh giá lại là một phần của việc xem xét rủi ro mới, rủi ro đã đóng, phân tích rủi ro định tính hoặc định lượng bổ sung về các rủi ro mới và / hoặc đã xác định trước đó và lập kế hoạch ứng phó rủi ro. 

Các công cụ và kỹ thuật quan trọng sử dụng trong quy trình giám sát rủi ro

• Risk audit: Risk audit là một loại kiểm tra có thể được sử dụng để xem xét tính hiệu quả của quy trình quản lý rủi ro. Project Manager chịu trách nhiệm đảm bảo rằng các lần risk audit được thực hiện với tần suất thích hợp, như được xác định trong kế hoạch quản lý rủi ro của dự án. Hình thức risk audit và mục tiêu của nó cần được xác định rõ ràng trước khi tiến hành. Quá trình này có thể được đưa vào trong các cuộc họp đánh giá dự án định kỳ hay có thể là một phần của cuộc họp đánh giá rủi ro, hoặc nhóm có thể chọn tổ chức các cuộc họp risk audit riêng.
• Risk reviews: Các cuộc họp đánh giá rủi ro được lên lịch thường xuyên, cần kiểm tra và ghi lại hiệu quả của các biện pháp ứng phó rủi ro trong việc đối phó với rủi ro tổng thể của dự án và với các rủi ro riêng lẻ.

- Đánh giá rủi ro có thể được tiến hành cùng với họp dự án định kỳ hoặc có thể tổ chức họp riêng, và được quy định trong kế hoạch quản lý rủi ro.

- Đánh giá rủi ro cũng có thể dẫn đến việc phát hiện ra các rủi ro mới (bao gồm các rủi ro thứ cấp phát sinh từ các phương án ứng phó rủi ro đã thỏa thuận), đánh giá lại các rủi ro hiện tại, đóng các rủi ro đã hết hạn, các vấn đề phát sinh do rủi ro đã xảy ra và xác định các bài học cần rút ra để áp dụng trong các giai đoạn khác của dự án hiện tại hoặc trong các dự án tương tự trong tương lai.

Risk register và Risk report được cập nhật qua quy trình giám sát rủi ro

• Risk register: Cập nhật thông tin về rủi ro riêng lẻ được tạo ra trong quá trình giám sát rủi ro, có thể bao gồm thêm rủi ro mới, cập nhật rủi ro hết hạn, cập nhật các phương án ứng phó rủi ro,...
• Risk report: Được cập nhật để phản ánh tình trạng hiện tại của các rủi ro riêng lẻ quan trọng và mức độ rủi ro tổng thể hiện tại của dự án.

- Risk report có thể bao gồm thông tin chi tiết về các rủi ro hàng đầu của dự án, các phương án ứng phó và risk owner, các kết luận và khuyến nghị.

- Risk report cũng có thể bao gồm các kết luận từ risk audit về tính hiệu quả của quy trình quản lý rủi ro.

Những sai lầm phổ biến trong quản lý rủi ro

Sau đây là một số sai lầm quản lý rủi ro phổ biến mà các dự án thường mắc phải:

• Quy trình xác định rủi ro được hoàn thành mà không cần biết đầy đủ về dự án.
• Rủi ro tổng thể của dự án được đánh giá chỉ bằng cách sử dụng bảng câu hỏi, phỏng vấn hoặc phân tích Monte Carlo, từ đó không xác định các rủi ro cụ thể của dự án.
• Việc xác định rủi ro kết thúc quá sớm, dẫn đến một danh sách ngắn gọn (20 rủi ro) thay vì một danh sách mở rộng (hàng trăm rủi ro).
• Thêm khoản dự phòng vô tội vạ (padding) mà không đi qua quy trình quản lý rủi ro để có được đánh giá đầy đủ, chính xác.
• Quy trình xác định rủi ro thông qua quy trình phân tích định lượng rủi ro được kết hợp với nhau. Điều này làm giảm tổng số rủi ro được xác định và khiến mọi người ngừng tham gia vào việc xác định rủi ro (có riêng một quy trình dành cho việc xác định rủi ro).
• Các rủi ro được xác định là chung chung chứ không phải cụ thể.
• Bỏ qua việc sử dụng các danh mục rủi ro (chẳng hạn như công nghệ, văn hóa, thị trường,...).
• Chỉ một phương pháp được sử dụng để xác định rủi ro (ví dụ: chỉ sử dụng checklist) chứ không kết hợp các phương pháp với nhau. Sự kết hợp giúp đảm bảo xác định được nhiều rủi ro hơn.
• Lựa chọn ngay chiến lược ứng phó rủi ro đầu tiên được xác định mà không cần xem xét các phương án khác và tìm phương án tốt nhất hoặc kết hợp các phương án.
• Quản lý rủi ro không được quan tâm đúng mức.
• Project Manager không giải thích quy trình quản lý rủi ro cho nhóm trong quá trình lập kế hoạch dự án.
• Các hợp đồng được ký kết rất lâu trước khi các rủi ro của dự án được thảo luận.

Tổng kết

Quản lý rủi ro là một trong những lĩnh vực kiến thức cực kỳ quan trọng trong quản lý dự án. Chính vì vậy, doanh nghiệp cũng như người trực tiếp thực hiện quản lý rủi ro cần có kiến thức, kinh nghiệm để xác định, đánh giá rủi ro, từ đó giúp tối ưu hóa cơ hội thành công của dự án.

Tác giả: Nguyễn Hải Hà - Pass PMP 5 Above Target 

References: PMBOK 6th edition, Rita 09, PMI.org

Xem thêm:

MỌI KIẾN THỨC VỀ PMP

MỌI CHUẨN BỊ VỀ PMP

Các thuật ngữ dễ nhầm lẫn trong bài thi PMP và Giải thích chuyên sâu

7 nguyên lý quản lý rủi ro - Seven risk management principles

Kinh nghiệm pass PMI-RMP (Risk Management Professional)® sau 5 tuần - Bí kíp thi ĐẬU PMI-RMP® ngay lần đầu tiên, lấy chứng chỉ Quản lý rủi ro chuyên nghiệp

Ràng buộc là gì? What is Constraint in PMP?

The Standard for Risk Management in Portfolios, Programs, and Projects