Quản lý rủi ro dự án - Project Risk Management
Thực hiện quản lý rủi ro (risk management) giúp ngăn ngừa nhiều vấn đề trong dự án và giúp các vấn đề khác ít xảy ra hơn hoặc giảm mức độ ảnh hưởng của nó đối với dự án (đối với mối nguy – rủi ro xấu). Đồng thời, quản lý rủi ro hiệu quả giúp tăng khả năng và/hoặc tác động của nó tới dự án (đối với cơ hội – rủi ro tốt). Và khi chúng ta loại bỏ các mối nguy và gia tăng cơ hội, thì tiến độ, chi phí của dự án có thể được giảm xuống, phản ánh kết quả của nỗ lực quản lý rủi ro. Đây là những lợi ích của quản lý rủi ro và lý do quản lý rủi ro là một phần bắt buộc của quản lý dự án.
Không có bất kỳ sự đảm bảo rằng một công việc, một hạng mục, một dự án sẽ hoàn thành đúng thời gian, đúng ngân sách, đúng chất lượng đã đề ra. Ngay cả hoạt động đơn giản nhất cũng có thể gặp sự cố không mong muốn. Bất cứ lúc nào cũng có thể xảy ra những điều ngoài kế hoạch trong quá trình thực hiện dự án và làm thay đổi kết quả, mục tiêu của dự án, chúng ta gọi đó là RISK (có rủi ro tốt và rủi ro không tốt).
Thực hiện quản lý rủi ro (risk management) giúp ngăn ngừa nhiều vấn đề trong dự án và giúp các vấn đề khác ít xảy ra hơn hoặc giảm mức độ ảnh hưởng của nó đối với dự án (đối với mối nguy – rủi ro xấu). Đồng thời, quản lý rủi ro hiệu quả giúp tăng khả năng và/hoặc tác động của nó tới dự án (đối với cơ hội – rủi ro tốt). Và khi chúng ta loại bỏ các mối nguy và gia tăng cơ hội, thì tiến độ, chi phí của dự án có thể được giảm xuống, phản ánh kết quả của nỗ lực quản lý rủi ro. Đây là những lợi ích của quản lý rủi ro và lý do quản lý rủi ro là một phần bắt buộc của quản lý dự án.
Risk - rủi ro là gì?
Risk - rủi ro có thể là một sự kiện (như hỏa hoạn, covid), hoặc nó có thể là một điều kiện được xác định trước nhưng chưa xảy ra (có thể xảy ra hoặc không xảy ra). Nếu nó xảy ra, nó có thể tác động tích cực hoặc tiêu cực đến một hoặc nhiều mục tiêu của dự án. Project manager cần tập trung vào các mối nguy (negative risk - threat) – đó là những gì có thể xảy ra sai sót và tác động tiêu cực đến dự án, các mối nguy khi xảy ra sẽ gây ra nhiều sự cố / vấn đề (issue / problem) cho dự án. Và đừng quên rằng cũng có thể có những tác động tích cực (positive risk, được gọi là cơ hội (opportunity)); cơ hội khi xảy ra sẽ đem lại lợi ích cho dự án. Cơ hội có thể bao gồm những thứ như:
- Nếu chúng ta có thể kết hợp các đơn đặt hàng thiết bị XYZ để mua hơn 20 mặt hàng cùng một lúc, chi phí cho mỗi mặt hàng sẽ thấp hơn 20% so với kế hoạch.
- Nếu chúng ta tổ chức một lớp đào tạo nâng cao hiệu suất làm việc, gói công việc số 3, 4 có thể hoàn thành nhanh hơn hai ngày so với dự kiến.
Định nghĩa về quản lý rủi ro - Risk management
Quản lý rủi ro là quá trình xác định, đánh giá, lập kế hoạch phản ứng và phản ứng với các sự kiện/điều kiện, cả tích cực và tiêu cực, có thể xảy ra trong suốt quá trình của một dự án. Mục tiêu của quản lý rủi ro dự án là gia tăng khả năng và/hoặc tác động của rủi ro tích cực (cơ hội) và giảm khả năng và/hoặc tác động của rủi ro tiêu cực (mối đe dọa), để tối ưu hóa cơ hội thành công của dự án.
Rủi ro cần được xác định và quản lý ngay từ khi bắt đầu dự án và được cập nhật thường xuyên trong khi dự án đang được tiến hành. Project manager và nhóm xem xét những gì đã xảy ra trong dự án, tình trạng hiện tại của dự án và những gì chưa xảy ra, sau đó đánh giá lại các mối nguy và cơ hội tiềm ẩn.
Những thuật ngữ quan trọng trong quản lý rủi ro
1. Uncertainty
Là sự không chắc chắn do sự thiếu hiểu biết, thiếu thông tin về một việc gì đó, làm giảm đi sự tin cậy của chúng ta về các kết luận đưa ra. Công việc cần phải thực hiện, chi phí, thời gian, yêu cầu chất lượng, yêu cầu thông tin,... có thể không chắc chắn. Việc tìm hiểu các yếu tố không chắc chắn này có thể giúp xác định các rủi ro trong dự án.
2. Individual project risk - rủi ro riêng lẻ của dự án và Overall project risk - rủi ro tổng thể của dự án
Individual project risk: là một sự kiện hoặc điều kiện không chắc chắn có thể xảy ra hoặc không, nếu nó xảy ra, có ảnh hưởng tích cực hoặc tiêu cực đến một hoặc nhiều mục tiêu dự án. Cơ hội (rủi ro tích cực) được khai thác và nâng cao khả năng & độ tác động. Các cơ hội nắm bắt được có thể dẫn đến nhiều lợi ích như giảm thời gian, chi phí, cải thiện hiệu suất. Các mối nguy (rủi ro tiêu cực) được tránh hoặc giảm thiểu khả năng & độ tác động. Các mối nguy không được quản lý hiệu quả có thể dẫn đến các vấn đề hoặc sự cố như chậm trễ, vượt chi phí, giảm hiệu suất. Project manager thường sẽ đi sâu đi sát vào từng rủi ro cụ thể, câu hỏi mà Project manager thường đặt ra là “Dự án của tôi có những rủi ro nào?” (What risks).
Overall project risk: Là ảnh hưởng của sự không chắc chắn đối với toàn bộ dự án, hơn cả sự ảnh hưởng từ tất cả những rủi ro riêng lẻ gộp lại, nó còn bao gồm tất cả các nguồn gây ra sự không chắc chắn của dự án. Từ đó cho các bên liên quan biết được các tác động khác nhau của kết quả dự án, cả tích cực và tiêu cực. Quản lý rủi ro tổng thể của dự án nhằm mục đích duy trì mức độ rủi ro của dự án trong phạm vi có thể chấp nhận được và tối đa hóa khả năng đạt được các mục tiêu tổng thể của dự án. Sponsor thường ít quan tâm được sâu sát tới từng rủi ro cụ thể, thay vào đó họ quan tâm tới bức tranh tổng thể hơn, câu hỏi họ đặt ra là “Dự án rủi ro như thế nào?” (How risky), họ quan tâm tới rủi ro ảnh hưởng tới tổng thể của dự án. Ví dụ: “Chúng ta chỉ có 80% cơ hội hoàn thành dự án trong vòng sáu tháng như khách hàng yêu cầu”. Hoặc, "Chúng ta chỉ có 75% cơ hội hoàn thành dự án trong ngân sách 800.000 đô la."
3. Risk Factors - các yếu tố của rủi ro
Khi đánh giá rủi ro, chúng ta cần xác định những điều sau:
- Khả năng xảy ra của rủi ro
- Phạm vi các kết quả có thể xảy ra (tác động hoặc mức độ ảnh hưởng)
- Thời gian dự kiến xảy ra trong dự án (khi nào)
- Tần suất xảy ra (mức độ thường xuyên)
4. Khẩu vị rủi ro và ngưỡng rủi ro
Các thuật ngữ này đề cập đến mức độ rủi ro mà một cá nhân hoặc nhóm sẵn sàng chấp nhận, chúng khác nhau tùy thuộc vào cá nhân hoặc tổ chức và lĩnh vực. Các lĩnh vực rủi ro có thể bao gồm bất kỳ ràng buộc nào của dự án (phạm vi, tiến độ, chi phí, chất lượng,...), cũng như rủi ro đối với hình ảnh của doanh nghiệp, sự hài lòng của khách hàng và các yếu tố vô hình khác.
Risk Appetite (Khẩu vị rủi ro): còn được gọi là khả năng chấp nhận rủi ro. Là một mô tả chung, tổng quan về mức độ rủi ro có thể chấp nhận được đối với một cá nhân hoặc một tổ chức. Ví dụ, một sponsor sẵn sàng chấp nhận một ít rủi ro đối với tiến độ của dự án.
Risk Thresholds (Ngưỡng rủi ro): đề cập đến điểm cụ thể mà tại đó rủi ro trở nên không thể chấp nhận được, phản ánh khẩu vị rủi ro của tổ chức và các bên liên quan. Ví dụ, sponsor sẽ không chấp nhận rủi ro tiến độ bị trễ 15 ngày hoặc lâu hơn.
5. Risk Averse & Risk Prone
Risk Averse: Là những người không muốn bị ảnh hưởng tiêu cực bởi các mối đe dọa, là người không thích rủi ro.
Risk Prone: Hay còn có tên gọi là Risk takers / Risk taking / Risk seeker. Là những người thích rủi ro, họ tin rằng rủi ro cao sẽ đem lại lợi nhuận cao. Trái ngược với Risk averse.
6. Project resilience - tính bền, tính chịu đựng, khả năng phục hồi của dự án
Khi những rủi ro phát sinh dần trở nên rõ ràng, hay còn gọi là những unknown-unknowns (những sự việc/điều kiện chưa xảy ra và cũng không nhận diện được) dần dần lộ diện, những rủi ro này chỉ nhận biết được khi nó xảy ra. Những rủi ro này có thể được khắc phục bởi việc phát triển, gia tăng tính chịu đựng của dự án. Ví dụ có những công ty startup, non trẻ thì khả năng chịu đựng rủi ro thấp, dịch covid quét qua, chỉ cần 1 tháng không có doanh thu cũng đủ làm công ty lao đao. Còn những công ty, tập đoàn lớn có khả năng chịu đựng cao, nửa năm hoặc 1 năm không có doanh thu thì vẫn tồn tại được, thể hiện tính chịu đựng rủi ro cao.
Xây dựng khả năng chịu đựng rủi ro bằng cách nào?
- Có một khoản dự phòng (tiền & thời gian) cho những rủi ro phát sinh (unknown-unknowns), và known-unknowns (chưa xảy ra nhưng nhận diện được).
- Có những quy trình linh hoạt.
- Chia sẻ quyền với những thành viên trong nhóm, rõ ràng về mục tiêu của dự án với mọi người, tin tưởng giao phó.
- Thường xuyên xem xét những tín hiệu mà có thể dẫn tới những rủi ro phát sinh, càng sớm càng tốt.
- Xây dựng phạm vi dự án hoặc chiến lược có thể dễ thay đổi để ứng phó với rủi ro phát sinh.
Phân loại rủi ro - Risk categories
Một danh sách chuẩn phân loại các rủi ro, nó có thể giúp chúng ta đảm bảo các rủi ro không bị bỏ sót trong quá trình thực hiện các dự án. Các danh mục này thuộc các lĩnh vực phổ biến hay là từ các nguồn rủi ro mà công ty hoặc các dự án tương tự đã trải qua. Có thể bao gồm những thứ như:
- Thay đổi công nghệ
- Thiếu nguồn lực
- Các rào cản về quy định, luật hiện hành
- Hoặc các vấn đề văn hóa
Các doanh nghiệp và PMO nên cung cấp và đảm bảo Risk categories tiêu chuẩn có thể được sử dụng bởi tất cả các dự án.
Ngoài ra, rủi ro có thể được phân loại theo nhiều cách, bao gồm:
Rủi ro bên ngoài (external) | Các vấn đề về quy định, luật hiện hành, môi trường, chính phủ; dịch chuyển thị trường; vấn đề về các địa điểm thực hiện dự án,... |
Rủi ro nội bộ (internal) | Thay đổi về tiến độ hoặc ngân sách; thay đổi phạm vi; thành viên trong nhóm thiếu kinh nghiệm; các vấn đề về con người, nhân sự, vật tư và thiết bị,... |
Rủi ro kỹ thuật (technical) | Các thay đổi về công nghệ, quy trình kỹ thuật,... |
Rủi ro thương mại (commercial) | Sự ổn định của khách hàng, các điều khoản và điều kiện trong hợp đồng, nhà cung cấp,... |
Các rủi ro không lường trước được | Chỉ một phần nhỏ rủi ro (khoảng 10%) là không thể lường trước được. |
Nghiên cứu đã chỉ ra có khoảng hơn 300 loại rủi ro tiềm ẩn, bao gồm các rủi ro do:
- Khách hàng
- Quản lý dự án lỏng lẻo
- Thiếu kiến thức về quản lý dự án của Project Manager và các bên liên quan
- Khách hàng của khách hàng
- Các nhà cung cấp
- Khả năng ứng phó với sự thay đổi
- Văn hóa khác nhau
Bên cạnh đó, các nguồn rủi ro có thể liên quan đến:
- Tiến độ (vật tư có thể được giao sớm hơn dự định, nên gói công việc XYZ có thể bắt đầu sớm hơn 3 ngày)
- Giá cả / Chi phí (bởi vì vật tư tới trễ hơn dự kiến, nên chúng ta phải trả thêm tiền thuê mặt bằng - với chi phí là 100 triệu)
- Chất lượng (Bê tông có thể khô theo tiêu chuẩn chất lượng của chúng ta trước khi mùa đông đến, cho phép chúng ta bắt đầu các gói công việc tiếp theo sớm hơn kế hoạch)
- Phạm vi (Chúng ta có thể đã không xác định chính xác phạm vi cho việc lắp ráp thiết bị. Nếu đúng như vậy thì chúng ta sẽ phải thêm các gói công việc với chi phí 100 triệu)
- Tài nguyên (Designer có thể được điều sang một dự án khác. Nếu điều đó xảy ra, chúng ta sẽ phải sử dụng người khác và tiến độ của có thể bị trễ từ 100 đến 275 giờ)
- Sự hài lòng của khách hàng (Có khả năng khách hàng sẽ cho chúng ta biết rằng họ không hài lòng với giao phẩm XYZ, khiến thời gian sửa lại giao phẩm đó tăng ít nhất 20%)
Rủi ro còn có thể được phân loại thành hai loại chính:
- Business risk: rủi ro dẫn đến lãi hoặc lỗ của dự án
- Pure (insurable) risk (thuần rủi ro): Chỉ rủi ro của sự mất mát (chẳng hạn như hỏa hoạn, trộm cắp hoặc thương tích cá nhân,...)
Hầu hết các dự án chỉ tập trung vào rủi ro là những sự việc không chắc chắn trong tương lai có thể xảy ra hoặc không thể xảy ra (event-based). Ngoài ra còn có những rủi ro được mô tả là rủi ro phi sự kiện (non-event), thuộc các loại sau:
- Variability risk (biến thiên): rủi ro do không có khả năng dự đoán những thay đổi trong tương lai. Nó có sự giao động. Ví dụ như năng suất có thể cao hơn hoặc thấp hơn mục tiêu, số lỗi phát hiện trong quá trình thử nghiệm có thể cao hơn hoặc thấp hơn dự kiến, hoặc điều kiện thời tiết trái mùa có thể xảy ra trong giai đoạn xây dựng. Có thể được giải quyết bằng cách sử dụng công cụ phân tích Monte Carlo, cho chúng ta biết khả năng kết quả dự án sẽ có những trường hợp như thế nào với những rủi ro biến thiên như thế, từ đó xác định được những hành động phù hợp tương ứng.
- Ambiguity risk (mơ hồ): Có nguyên nhân từ sự thiếu sự hiểu biết, hiểu mơ hồ về một vấn đề nào đó. Khi mà thông tin không hoàn hảo, bao gồm: yêu cầu không rõ ràng, giải pháp công nghệ không rõ ràng, quy định - luật chưa nắm rõ, độ phức tạp của dự án. Có thể giải quyết bằng cách lấy ý kiến của chuyên gia hoặc thu thập những bài học kinh nghiệm từ nhiều nguồn. Ambiguity risk còn có thể giải quyết thông qua việc phát triển sản phẩm nguyên mẫu (prototype), giả lập,... vì những việc này giúp chúng ta làm rõ thông tin hơn.
Dưới đây là ví dụ của một bảng phân mục các rủi ro, hay còn gọi là Risk Breakdown Structure (RBS).
RBS CẤP 0 | RBS CẤP 1 | RBS CẤP 2 |
0. TẤT CẢ CÁC NGUỒN CỦA RỦI RO DỰ ÁN | 1. RỦI RO KỸ THUẬT | 1.1 Định nghĩa phạm vi |
1.2 Định nghĩa yêu cầu | ||
1.3 Ước tính, giả định và ràng buộc | ||
1.4 Quy trình kỹ thuật | ||
1.5 Công nghệ | ||
1.6 Giao diện kỹ thuật | ||
V.v | ||
2. RỦI RO QUẢN LÝ | 2.1 Quản lý dự án | |
2.2 Quản lý chương trình / danh mục | ||
2.3 Quản lý hoạt động | ||
2.4 Tổ chức | ||
2.5 Nguồn lực | ||
2.6 Giao tiếp | ||
V.v | ||
3. RỦI RO THƯƠNG MẠI | 3.1 Các điều khoản và điều kiện hợp đồng | |
3.2 Mua bán, đấu thầu nội bộ | ||
3.3 Nhà cung cấp | ||
3.4 Hợp đồng phụ | ||
3.5 Khách hàng / Sự ổn định của khách hàng | ||
3.6 Công ty hợp danh và liên doanh | ||
V.v | ||
4. RỦI RO BÊN NGOÀI
| 4.1 Luật pháp | |
4.2 Tỷ giá hối đoái | ||
4.3 Hạ tầng / cơ sở vật chất | ||
4.4 Môi trường / thời tiết | ||
4.5 Cạnh tranh | ||
4.6 Quy định | ||
V.v |
Quy trình quản lý rủi ro
Phải hiểu quy trình quản lý rủi ro là điều rất quan trọng trong quản lý dự án. Chúng ta phải biết điều gì sẽ xảy ra, xảy ra vào lúc nào và hiểu rằng quản lý rủi ro có thể thay đổi cách quản lý dự án. Đối với các dự án lớn, quản lý rủi ro đúng cách là một phần không thể thiếu trong quá trình lập kế hoạch. Bảy quy trình quản lý rủi ro bao gồm:
- Lập kế hoạch quản lý rủi ro
- Xác định các rủi ro
- Thực hiện phân tích định tính các rủi ro
- Thực hiện phân tích định lượng các rủi ro
- Lập kế hoạch ứng phó rủi ro
- Thực hiện các ứng phó rủi ro
- Giám sát rủi ro
Mặc dù các quy trình lập kế hoạch dự án có nhiều khả năng được thực hiện theo trình tự, nhưng thường được lặp lại trong suốt quá trình của dự án. Rủi ro có thể được xác định bất cứ lúc nào và chúng ta phải thực hiện ứng phó với những rủi ro mới đó. Nếu một rủi ro được phát hiện sau quá trình xác định rủi ro ban đầu, nó vẫn phải được phân tích và các biện pháp ứng phó phải được lên kế hoạch. Quy trình quản lý rủi ro được lặp đi lặp lại xuyên suốt dự án.
1. Quy trình lập kế hoạch quản lý rủi ro
Project Manager, sponsor, các thành viên trong nhóm, khách hàng, các bên liên quan khác và các chuyên gia có thể tham gia vào quy trình quá trình lập kế hoạch quản lý rủi ro. Đây là quy trình xác định cách thức tiến hành các hoạt động quản lý rủi ro cho một dự án. Vì quản lý rủi ro rất quan trọng đối với sự thành công của một dự án, quy trình này nên bắt đầu khi một dự án được hình thành và nên được hoàn thành sớm trong dự án.
Việc quản lý rủi ro cần phù hợp không chỉ với quy mô và mức độ phức tạp của dự án mà còn phải phù hợp với kinh nghiệm và kỹ năng của các thành viên nhóm dự án. Quản lý rủi ro không thể thành công nếu thực hiện chỉ với một checklist các rủi ro được chuẩn hóa từ các dự án trước đó. Mặc dù checklist này có thể hữu ích trong việc lập kế hoạch và xác định rủi ro, nhưng quản lý rủi ro cần phải được thực hiện riêng biệt cho mỗi dự án.
Quy trình này trả lời câu hỏi về việc nên dành bao nhiêu nỗ lực cho việc quản lý rủi ro dựa trên nhu cầu của dự án. Điều này bao gồm khẩu vị rủi ro của doanh nghiệp và các bên liên quan khác. Quy trình này cũng xác định ai sẽ tham gia và nhóm sẽ thực hiện quản lý rủi ro như thế nào. Các thủ tục của doanh nghiệp và các tài liệu mẫu liên quan đến quản lý rủi ro, chẳng hạn như ma trận khả năng và tác động tiêu chuẩn (probability and impact matrix), được sử dụng trong quy trình này và sau đó được điều chỉnh cho phù hợp với nhu cầu của dự án.
Khi đã hoàn thành việc lập kế hoạch quản lý rủi ro, chúng ta có một bản kế hoạch quản lý rủi ro. Bản kế hoạch quản lý rủi ro là một thành phần của kế hoạch quản lý dự án, mô tả cách các hoạt động quản lý rủi ro sẽ được tổ chức và thực hiện. Kế hoạch quản lý rủi ro có thể bao gồm:
- Risk strategy (Chiến lược): Đây là một cách tiếp cận tổng thể để quản lý rủi ro trong suốt vòng đời của dự án.
- Methodology (Phương pháp luận): Xác định các cách tiếp cận, công cụ và nguồn dữ liệu cụ thể sẽ được sử dụng để thực hiện quản lý rủi ro trong dự án.
- Roles and responsibilities (Vai trò và trách nhiệm): Phần này giải thích ai sẽ thực hiện công việc quản lý rủi ro được mô tả trong kế hoạch quản lý rủi ro và làm rõ trách nhiệm của họ. Các bên liên quan bên ngoài nhóm dự án có thể có vai trò và trách nhiệm liên quan đến quản lý rủi ro.
- Funding (Cấp vốn): Phần này bao gồm chi phí của quy trình quản lý rủi ro (bao gồm cả các khoản dự phòng - contingency reserves và management reserves). Quản lý rủi ro sẽ tốn chi phí của dự án, nhưng nhìn chung, quản lý rủi ro tiết kiệm thời gian và tiền bạc của dự án bằng cách tránh hoặc giảm các mối đe dọa và tận dụng các cơ hội.
- Timing (Thời gian): Xác định thời điểm và tần suất các quy trình quản lý rủi ro dự án sẽ được thực hiện trong suốt vòng đời của dự án và thiết lập các hoạt động quản lý rủi ro để đưa vào lịch trình dự án.
- Risk categories (Phân loại rủi ro): như đã trình bày ở mục trên.
- Risk appetite/thresholds (Khẩu vị rủi ro / ngưỡng rủi ro của các bên liên quan): Khẩu vị rủi ro của các bên liên quan nên được thể hiện dưới dạng các ngưỡng rủi ro có thể đo lường được xung quanh mỗi mục tiêu dự án. Các ngưỡng này:
- Sẽ xác định mức độ rủi ro tổng thể có thể chấp nhận được của dự án.
- Cũng được sử dụng để định nghĩa về khả năng và tác động của rủi ro (probability and impacts), được sử dụng khi đánh giá và xét độ ưu tiên cho các rủi ro riêng lẻ của dự án.
- Definitions of risk probability and impacts (Các định nghĩa về khả năng và tác động của rủi ro): Khi có một đánh giá khả năng xảy ra của một rủi ro cụ thể là 70% trong phân tích định tính. Một người không thích rủi ro có thể nghĩ con số 70% là rất cao, trong khi một người thích rủi ro có thể nghĩ con số 70% là một con số thấp. Các định nghĩa về khả năng và tác động giúp tiêu chuẩn hóa các diễn giải này, giúp mọi người cùng hiểu đúng về mức độ của một rủi ro, và cũng giúp so sánh rủi ro giữa các dự án với nhau.
- Probability and impact matrix (Ma trận khả năng và tác động): Là một dạng lưới thể hiện sự liên kết giữa khả năng xảy ra của rủi ro và tác động của nó đối với các mục tiêu của dự án nếu rủi ro đó xảy ra. Các thuật ngữ mô tả (chẳng hạn như rất cao, cao, trung bình, thấp và rất thấp) hoặc các giá trị số có thể được sử dụng cho khả năng và tác động. Khi các giá trị số được sử dụng, các giá trị này có thể được nhân với nhau (Probability x Impact, P x I) để đánh điểm khả năng và tác động cho mỗi rủi ro (risk score), cho phép đánh giá mức độ ưu tiên tương đối của các rủi ro riêng lẻ. Ma trận này sẽ sử dụng cùng với khẩu vị rủi ro, ví dụ chúng ta sẽ chia ra những rủi ro nào có risk score cao hơn 0.24 thì xếp những rủi ro đó vào 1 nhóm, cần phải có giải pháp cho những cái rủi ro này nhằm đưa nó về vùng risk score thấp hơn. Từ 0.07 trở xuống thì cho vào 1 nhóm mà không cần đưa ra phương án ứng phó ngay lập tức, chỉ cần đưa vào danh sách để theo dõi về sau (watchlist). Khẩu vị rủi ro của những dự án khác nhau thì họ sẽ chọn ngưỡng risk score khác nhau để sắp xếp.
- Reporting formats (Báo cáo): Xác định cách thức các kết quả của quá trình quản lý rủi ro dự án sẽ được lập thành văn bản, phân tích và phân phối tới các bên liên quan. Mô tả nội dung và định dạng của risk register và risk report (sẽ mô tả ở phần sau), cũng như bất kỳ kết quả nào khác từ các quy trình quản lý rủi ro của dự án.
- Tracking (Theo dõi): Mô tả quá trình quản lý rủi ro sẽ được kiểm tra như thế nào và kết quả của các hoạt động quản lý rủi ro sẽ được ghi lại như thế nào.
2. Quy trình xác định rủi ro
Xác định rủi ro là quy trình xác định các rủi ro riêng lẻ của dự án cũng như các nguồn rủi ro tổng thể của dự án và ghi lại các đặc điểm của chúng.
Quy trình này được thực hiện trong suốt dự án. Xác định rủi ro là một quy trình lặp đi lặp lại, vì các rủi ro riêng lẻ mới của dự án có thể xuất hiện khi dự án tiến triển trong vòng đời của nó và mức độ rủi ro tổng thể của dự án cũng sẽ thay đổi. Tần suất và thành phần tham gia vào mỗi lần xác định rủi ro sẽ khác nhau tùy theo tình huống và điều này sẽ được xác định trong kế hoạch quản lý rủi ro.
Những người tham gia vào hoạt động xác định rủi ro cũng tương tự quá trình lập kế hoạch quản lý rủi ro, bao gồm TẤT CẢ MỌI NGƯỜI - tất cả các bên liên quan đến dự án!!!
Khi mô tả và ghi lại các rủi ro riêng lẻ của dự án, nên sử dụng một định dạng nhất quán cho các báo cáo rủi ro (risk report) để đảm bảo rằng mỗi rủi ro được hiểu một cách thông suốt và rõ ràng nhằm hỗ trợ phân tích hiệu quả và đề ra phương án ứng phó rủi ro.
Bởi vì việc xác định rủi ro chủ yếu thực hiện trong quá trình khởi tạo và lập kế hoạch dự án, nhưng số lượng nhỏ rủi ro cũng có thể được xác định sau này. Các rủi ro cần được liên tục đánh giá lại. Việc xác định rủi ro còn có thể được thực hiện:
- Trong quy trình kiểm soát thay đổi tích hợp
- Khi làm việc với các hợp đồng,
- Khi làm việc với các tài nguyên, nguồn lực
- Khi giải quyết các vấn đề của dự án
Các công cụ và kỹ thuật quan trọng sử dụng trong quy trình xác định rủi ro
- Brainstorming: Mục tiêu của brainstorming là để có được một danh sách đầy đủ các rủi ro riêng lẻ của dự án và các nguồn rủi ro tổng thể của dự án. RBS có thể được sử dụng để làm khung sườn cho buổi brainstorming. Cần đặc biệt chú ý đến việc đảm bảo rằng các rủi ro được xác định thông qua brainstorming được mô tả rõ ràng, vì brainstorming thường chỉ đưa ra các ý tưởng sơ bộ, không đầy đủ.
- Checklist: Là danh sách các hạng mục, hành động được xem xét, thường được sử dụng như một danh sách nhắc nhở. Checklist được phát triển dựa trên thông tin, kiến thức đã được tích lũy từ các dự án tương tự và từ các nguồn thông tin khác. Checklist liệt kê các rủi ro cụ thể đã xảy ra trước đây và có thể liên quan đến dự án của chúng ta. Thiết lập Checklist có thể nhanh chóng và đơn giản để sử dụng, nhưng cần lưu ý rằng kết quả có thể không đầy đủ.
- Interviews: Xác định rủi ro bằng cách phỏng vấn những người tham gia dự án đã có kinh nghiệm, các bên liên quan và các chuyên gia (SME). Quá trình này nên được tiến hành trong một môi trường tin cậy và bảo mật để khuyến khích những đóng góp trung thực và không thiên vị.
- Root cause analysis (Phân tích nguyên nhân gốc rễ): Thường được sử dụng để khám phá các nguyên nhân gốc rễ dẫn đến một vấn đề và đưa ra phương án phòng ngừa thích hợp.
- Assumption and constraint analysis (Phân tích giả định và ràng buộc): Khám phá tính hợp lệ của các giả định và ràng buộc để xác định cái nào gây rủi ro cho dự án. Các mối đe dọa có thể được xác định từ sự không chính xác, không ổn định, không nhất quán hoặc không đầy đủ của các giả định. Những ràng buộc có thể đem lại cơ hội thông qua việc loại bỏ hoặc nới lỏng một số yếu tố ràng buộc ảnh hưởng đến việc thực hiện một dự án hoặc quy trình (chi phí, tiến độ).
- Phân tích SWOT: Là xem xét dự án từ từng góc độ điểm mạnh, điểm yếu, cơ hội và mối đe dọa. Sau đó xác định bất kỳ cơ hội nào cho dự án có thể nảy sinh từ điểm mạnh và bất kỳ mối đe dọa nào xuất phát từ điểm yếu. Chúng ta cần kiểm tra mức độ mà điểm mạnh có thể bù đắp các mối đe dọa và xác định xem điểm yếu có thể cản trở cơ hội hay không.
- Document analysis (Phân tích tài liệu): Sự không chắc chắn hoặc không rõ ràng trong tài liệu dự án (kế hoạch, giả định, ràng buộc, hồ sơ dự án trước đó, hợp đồng, thỏa thuận và tài liệu kỹ thuật…), cũng như sự không nhất quán trong một tài liệu hoặc giữa các tài liệu khác nhau, có thể là những dấu hiệu của rủi ro đối với dự án.
- Prompt lists (Danh sách nhắc nhở): Là danh sách xác định trước các danh mục rủi ro có thể phát sinh trong dự án. Danh sách này có thể được sử dụng như một khung sườn để hỗ trợ nhóm dự án trong việc hình thành ý tưởng khi sử dụng các kỹ thuật xác định rủi ro. Các danh mục rủi ro ở tầng thấp nhất của Risk Breakdown Structure (RBS) có thể được sử dụng làm prompt list cho các rủi ro riêng lẻ của dự án.
Quy trình xác định rủi ro tạo ra Risk register và Risk report
- Risk register
Risk register là danh sách các rủi ro riêng lẻ đã được xác định của dự án, giúp nắm bắt các chi tiết của rủi ro. Kết quả của việc thực hiện những quy trình phân tích định tính, lập kế hoạch ứng phó rủi ro, thực hiện ứng phó rủi ro và giám sát rủi ro cũng sẽ được ghi lại trong risk register.
Risk register chứa những thông tin khác nhau tại các điểm khác nhau trong quy trình quản lý rủi ro. Ví dụ: nếu dự án mới bắt đầu và chúng ta đang trong quá trình xác định rủi ro, risk register sẽ chứa các rủi ro đã xác định và các phương án ứng phó tiềm năng (potential), chứ không phải các phương án ứng phó thực sự được chọn cho rủi ro đó.
Tại thời điểm này trong quá trình quản lý rủi ro, risk register bao gồm:
- Danh sách các rủi ro đã xác định: Các rủi ro cần được trình bày rõ ràng và cụ thể nhất. Mỗi rủi ro riêng lẻ được cung cấp một mã định danh duy nhất trong risk register.
- Potential risk owners: Các risk owner (sẽ được giải thích ở phần sau) tiềm năng có thể được xác định tại quy trình này, và sẽ được xác nhận lại trong quy trình phân tích định tính.
- Phương án ứng phó tiềm năng: Sẽ có lúc phương án ứng phó được xác định đồng thời với rủi ro. Các phương án ứng phó tiềm năng này nên được thêm vào risk register khi rủi ro được xác định và sẽ được xác nhận trong quá trình lập kế hoạch ứng phó rủi ro.
- Nguyên nhân gốc rễ của rủi ro: Cung cấp thông tin có giá trị để sử dụng sau này nhằm lập kế hoạch ứng phó rủi ro và đánh giá lại rủi ro trong dự án, cũng như làm thông tin tham khảo cho các dự án trong tương lai. Một rủi ro có khả năng tái xuất hiện trong dự án nếu nguyên nhân gốc rễ của nó chưa được xác định và giải quyết.
- Cập nhật danh mục rủi ro: Dự án của chúng ta có thể phát hiện ra các loại rủi ro mới, và có thể thêm vào checklist chuẩn của doanh nghiệp.
Một số thông tin bổ sung có thể được ghi lại cho từng rủi ro, tùy thuộc vào định dạng risk register được chỉ định trong kế hoạch quản lý rủi ro. Có thể bao gồm: tiêu đề rủi ro, loại rủi ro, tình trạng rủi ro hiện tại, một hoặc nhiều nguyên nhân, một hoặc nhiều tác động đến mục tiêu, yếu tố kích hoạt rủi ro (các sự kiện hoặc điều kiện cho thấy rủi ro sắp xảy ra), tham chiếu WBS về các hoạt động bị ảnh hưởng và thông tin về thời gian (khi nào rủi ro được xác định, khi nào rủi ro có thể xảy ra, khi nào nó có thể không còn phù hợp nữa và thời hạn thực hiện khi nào).
Một lưu ý nhỏ, các phương án ứng phó cho rủi ro được ghi lại trong quá trình xác định rủi ro (các phương án ứng phó tiềm năng) và trong khi lập kế hoạch ứng phó rủi ro (các kế hoạch ứng phó thực sự được chọn).
- Risk report
Risk report trình bày thông tin về các nguồn rủi ro tổng thể của dự án (overall project risk), cùng với thông tin tóm tắt về các rủi ro riêng lẻ của dự án đã được xác định. Risk report sẽ được phát triển và cập nhật dần dần trong suốt các quy trình của quản lý rủi ro dự án.
Kết quả của việc thực hiện phân tích rủi ro định tính, định lượng, lập kế hoạch ứng phó rủi ro, thực hiện ứng phó rủi ro và giám sát rủi ro được ghi lại trong risk report khi các quy trình đó được hoàn thành.
Tại thời điểm này trong quy trình quản lý rủi ro, risk report bao gồm:
- Các nguồn rủi ro tổng thể của dự án: Chỉ ra những yếu tố quan trọng nhất dẫn tới rủi ro tổng thể của dự án.
- Thông tin tóm tắt những rủi ro riêng lẻ: Thông tin tóm tắt như số lượng các mối đe dọa và cơ hội đã xác định, phân bổ rủi ro trên các danh mục rủi ro, xu hướng,...
- Thông tin bổ sung: Có thể được đưa vào risk report, tùy thuộc vào các yêu cầu báo cáo được quy định trong kế hoạch quản lý rủi ro.
3. Quy trình thực hiện phân tích rủi ro định tính
Thực hiện phân tích rủi ro định tính là quy trình đánh giá mức độ ưu tiên cho các rủi ro riêng lẻ của dự án để phục vụ quá trình phân tích sâu hơn về sau, bằng cách đánh giá khả năng xảy ra và tác động của chúng tới dự án, đồng thời cũng cân nhắc một số đặc điểm khác của rủi ro. Quy trình này tập trung nỗ lực vào những rủi ro có mức ưu tiên cao.
Quy trình này được thực hiện trong suốt dự án. Phân tích rủi ro định tính là một phân tích chủ quan (dựa trên nhận thức về rủi ro của nhóm dự án và các bên liên quan khác) về các rủi ro được xác định trong risk register. Kế hoạch quản lý rủi ro định nghĩa ra cho chúng ta biết thế nào là high priority, high impact, thế nào là high-priority risk, low-priority risk. Khi mà mọi người thống nhất các tiêu chí đó rồi thì mới có thể phân tích, đánh giá rủi ro được. Và quy trình này được lặp lại khi các rủi ro mới được phát hiện.
Đánh giá định tính hiệu quả đòi hỏi phải xác định và quản lý tốt thái độ về rủi ro của những người tham gia trong quy trình phân tích rủi ro định tính. Chúng ta rất dễ mắc sai lầm khi đưa sự thiên vị vào đánh giá định tính các rủi ro, vì vậy cần chú ý đến việc xác định sự thiên vị và điều chỉnh cho phù hợp. Giải quyết sự thiên vị là một phần quan trọng trong vai trò của người điều phối (facilitator) quá trình thực hiện phân tích rủi ro định tính.
Thực hiện phân tích rủi ro định tính là thiết lập các mức độ ưu tiên tương đối của các rủi ro riêng lẻ của dự án, làm cơ sở cho kế hoạch ứng phó rủi ro. Đồng thời xác định risk owner (người sẽ chịu trách nhiệm lập kế hoạch ứng phó rủi ro thích hợp và đảm bảo rằng nó được thực hiện) cho mỗi rủi ro. Việc thực hiện phân tích rủi ro định tính là bắt buộc và quy trình này sẽ là nền tảng cho thực hiện phân tích rủi ro định lượng (nếu dự án bắt buộc phải phân tích định lượng). Thực hiện phân tích rủi ro định tính được xác định trong kế hoạch quản lý rủi ro, và cho chúng ta biết khi nào quy trình này được thực hiện. Thông thường trong Agile thì phân tích rủi ro định tính được thực hiện trước mỗi vòng lặp.
Các công cụ và kỹ thuật quan trọng sử dụng trong quy trình thực hiện phân tích rủi ro định tính
- Risk data quality assessment (Đánh giá chất lượng dữ liệu rủi ro): Dữ liệu cần chính xác và đáng tin cậy để làm cơ sở cho phân tích rủi ro định tính. Việc sử dụng dữ liệu chất lượng thấp có thể dẫn đến một phân tích định tính sai lệch. Một thuật ngữ thường dùng là “garbage in, garbage out - GIGO”. Dữ liệu đầu vào là rác, thì dữ liệu đầu ra cũng là 1 đống rác. Ví dụ: khả năng trời mưa ở TP.HCM vào mùa nắng là rất cao, dữ liệu đầu vào này rất thiếu chính xác, và vì thông tin đó chúng ta đi che phủ các công trình ngoài trời đề phòng trường hợp trời mưa, nhưng thực tế không có mưa, dẫn tốn chi phí. Ngoài ra, chúng ta có thể đánh giá chất lượng dữ liệu thông qua bảng câu hỏi đo lường nhận thức của các bên liên quan của dự án về các đặc điểm khác nhau, có thể bao gồm tính đầy đủ, tính khách quan, tính liên quan và tính kịp thời. Đánh giá chất lượng dữ liệu có thể bao gồm việc xác định những điều sau đây cho từng rủi ro:
- Mức độ hiểu biết về rủi ro
- Dữ liệu có sẵn về rủi ro
- Chất lượng dữ liệu
- Độ tin cậy và tính toàn vẹn của dữ liệu
- Risk probability and impact assessment (Đánh giá khả năng và tác động của rủi ro): Chúng ta cần xem xét khả năng xảy ra của một rủi ro cụ thể, cũng như đánh giá tác động của rủi ro đó, xem xét ảnh hưởng đối với một hoặc nhiều mục tiêu của dự án như tiến độ, chi phí, chất lượng hoặc hiệu suất. Các rủi ro có khả năng xảy ra và tác động thấp có thể được đưa vào risk register, dưới dạng watchlist để theo dõi trong tương lai.
- Đánh giá các thông số khác: Nhóm dự án có thể xem xét các đặc điểm khác của rủi ro (ngoài khả năng xảy ra và tác động) khi đánh giá mức độ ưu tiên cho các rủi ro riêng lẻ.
Đặc điểm của rủi ro | ||
Đặc điểm | Định nghĩa | Đo lường |
Tính khẩn cấp (Urgency) | Khoảng thời gian mà việc ứng phó với rủi ro cần được bắt đầu thực hiện | Một khoảng thời gian ngắn cho thấy mức độ khẩn cấp cao |
Tính tiệm cận (Proximity) | Khoảng thời gian trước khi rủi ro có thể ảnh hưởng đến một hoặc nhiều mục tiêu dự án | Một khoảng thời gian ngắn cho thấy “tính tiệm cận” cao - High Proximity.
Ví dụ rò rỉ đường ống nước xảy ra và một ngày sau (khoảng thời gian ngắn) thấy ngập công trình thì tính tiệm cận cao. Nếu một tuần sau (khoảng thời gian dài) mới gây sụt lún thì tính tiệm cận thấp. |
Ngủ mê (Dormancy) | Khoảng thời gian có thể trôi qua sau khi rủi ro đã xảy ra và trước khi tác động của nó được phát hiện. | Một khoảng thời gian ngắn cho thấy “ngủ mê” thấp - Low Dormancy.
Ví dụ rò rỉ đường ống nước xảy ra và một ngày sau (khoảng thời gian ngắn) phát hiện công trình bị ngập thì tính ngủ mê thấp. Nếu một tuần sau (khoảng thời gian dài) mới phát hiện hố sụt lún thì tính ngủ mê cao. |
Khả năng quản lý (Manageability) | Sự dễ dàng mà risk owner (hoặc tổ chức) có thể quản lý sự xuất hiện hoặc tác động của rủi ro | Khi sự quản lý dễ dàng, có thể gọi là high manageability |
Khả năng kiểm soát (Controllability) | Mức độ mà risk owner (hoặc tổ chức) có thể kiểm soát kết quả của rủi ro | Khi kết quả có thể được kiểm soát dễ dàng, khả năng kiểm soát cao - high controllability |
Khả năng phát hiện (Detectability) | Dễ dàng phát hiện và nhận ra kết quả của rủi ro đang xảy ra hoặc sắp xảy ra. | Trường hợp rủi ro có thể được phát hiện dễ dàng, khả năng phát hiện cao - high detectability |
Kết nối (Connectivity) | Mức độ rủi ro liên quan đến rủi ro riêng lẻ khác | Khi rủi ro được kết nối với nhiều rủi ro khác, tính kết nối cao - high connectivity |
Tác động chiến lược (Strategic impact) | Khả năng rủi ro có ảnh hưởng tích cực hoặc tiêu cực đến các mục tiêu chiến lược của tổ chức | Trường hợp rủi ro có ảnh hưởng lớn đến các mục tiêu chiến lược, có thể gọi là high strategic impact |
Tính tương trợ (Propinquity) | Mức độ rủi ro được một hoặc nhiều bên liên quan nhận thấy là quan trọng | Trong trường hợp rủi ro được coi là rất quan trọng, có thể gọi là high propinquity |
- Risk categorization (Phân loại rủi ro): Các rủi ro đối với dự án có thể được phân loại theo những mục sau đây, để xác định các phạm vi của dự án chịu nhiều tác động nhất của sự không chắc chắn:
- Các nguồn rủi ro (ví dụ, sử dụng risk breakdown structure - RBS)
- Khu vực bị ảnh hưởng của dự án (ví dụ, sử dụng work breakdown structure - WBS)
- Những nguyên nhân gốc rễ phổ biến.
Phân loại rủi ro có thể dẫn đến việc phát triển các phương án ứng phó rủi ro hiệu quả hơn bằng cách: Tập trung sự chú ý và nỗ lực vào các phạm vi có rủi ro cao nhất, hoặc Phát triển các phương án ứng phó rủi ro chung để giải quyết các nhóm rủi ro liên quan.
- Probability and impact matrix (Ma trận khả năng và tác động): Dựa vào sự kết hợp giữa khả năng (probability) và tác động (impact) của rủi ro, chúng ta phân chia các rủi ro riêng lẻ vào các nhóm ưu tiên. Có thể đánh giá rủi ro một cách riêng biệt cho từng mục tiêu (ví dụ: chi phí, thời gian và phạm vi) bằng cách có một ma trận khả năng và tác động riêng cho từng mục tiêu. Khi đánh giá khả năng và tác động của rủi ro (Risk probability and impact assessment), chúng ta sử dụng ma trận này cho trực quan. Ví dụ rủi ro số 1 có khả năng xảy ra là rất cao 0.9, tác động là cao 0.4 thì sẽ có risk score = 0.9*0.4 = 0.36, làm tương tự với những rủi ro khác cho cả tác động tiêu cực và tích cực. Khi sử dụng Probability and impact matrix thì chúng ta xác định được những rủi ro sẽ nằm ở vùng có độ ưu tiên cao (màu đậm), độ ưu tiên trung bình (màu nhạt), độ ưu tiên thấp (màu trắng). Việc xác định vùng có độ ưu tiên cao, trung bình, thấp sẽ tùy thuộc vào khẩu vị rủi ro của dự án hoặc tổ chức. Từ đó chúng ta có được những giải pháp phù hợp cho từng rủi ro.
- Bubble chart (Biểu đồ bong bóng): Trong trường hợp rủi ro được phân loại bằng nhiều hơn hai tham số, thì không thể sử dụng ma trận khả năng và tác động, do đó chúng ta cần có các biểu đồ khác. Chúng ta sử dụng biểu đồ bong bóng để biểu diễn mối quan hệ của ba tham số. Ví dụ như biểu đồ bên dưới, ngoài ra còn một số biểu đồ có biến thể là màu của bong bóng, thể hiện được 4 thông số của rủi ro. Nó sẽ khắc phục được giới hạn của ma trận chỉ có 2 chiều.
- Risk workshop: Để thực hiện phân tích rủi ro định tính, nhóm dự án có thể tiến hành một cuộc họp chuyên biệt thường được gọi là risk workshop dành riêng cho việc thảo luận về các rủi ro riêng lẻ.
- Risk owner, người sẽ:
+ Chịu trách nhiệm lập kế hoạch ứng phó rủi ro thích hợp và báo cáo tiến độ quản lý rủi ro.
+ Được phân bổ cho từng rủi ro riêng lẻ như một phần của quy trình thực hiện phân tích rủi ro định tính.
- Mỗi cuộc họp có một điều phối viên có kỹ năng tốt sẽ làm tăng hiệu quả của cuộc họp.
Risk register và Risk report được cập nhật qua quy trình phân tích rủi ro định tính
- Risk register: Cập nhật thông tin mới được tạo ra trong quá trình thực hiện phân tích rủi ro định tính. Các cập nhật cho risk register có thể bao gồm:
- Đánh giá khả năng xảy ra và tác động của từng rủi ro riêng lẻ đối với dự án
- Mức độ ưu tiên hoặc risk score cho từng rủi ro
- Risk owner được chỉ định
- Kết quả đánh giá dựa trên những thông số khác
- Rủi ro được phân loại vào các danh mục
- Watchlist chứa các rủi ro có mức độ ưu tiên thấp (non critical risks)
- Danh sách các rủi ro cần phân tích thêm
- Risk report: Được cập nhật để phản ánh các rủi ro quan trọng nhất của dự án (thường là những rủi ro có khả năng xảy ra và tác động cao nhất), cũng như danh sách ưu tiên của tất cả các rủi ro được xác định trong dự án và mô tả tóm tắt. Phân tích rủi ro định tính có thể được sử dụng để thực hiện những việc sau:
- So sánh rủi ro tổng thể của dự án với rủi ro tổng thể của các dự án khác.
- Xác định xem nên tiếp tục hay chấm dứt dự án.
- Xác định xem có nên tiến hành các quy trình thực hiện phân tích định lượng hoặc lập kế hoạch ứng phó rủi ro (tùy thuộc vào nhu cầu của dự án và tổ chức thực hiện) hay không.
4. Thực hiện phân tích rủi ro định lượng
Thực hiện phân tích rủi ro định lượng là quá trình phân tích tác động tổng hợp của các rủi ro riêng lẻ và các nguồn không chắc chắn khác đối với các mục tiêu tổng thể của dự án thông qua những số liệu cụ thể. Quy trình này KHÔNG bắt buộc đối với tất cả các dự án, nhưng nếu được sử dụng ở dự án nào thì nó sẽ được thực hiện xuyên suốt dự án đó.
Thực hiện phân tích rủi ro định lượng thường yêu cầu phần mềm chuyên dụng và chuyên môn trong việc xây dựng và phân tích các mô hình rủi ro, quá trình này sẽ tiêu tốn thêm thời gian và chi phí của dự án.
Việc sử dụng phân tích rủi ro định lượng cho một dự án sẽ được quy định trong kế hoạch quản lý rủi ro của dự án. Quy trình phân tích rủi ro định lượng thích hợp cho các dự án lớn hoặc phức tạp, các dự án quan trọng về mặt chiến lược của doanh nghiệp, các dự án có được từ yêu cầu của hợp đồng.
Thực hiện phân tích rủi ro định lượng được xem là phương pháp đáng tin cậy DUY NHẤT để đánh giá rủi ro tổng thể của dự án thông qua đánh giá tác động tổng hợp lên kết quả dự án của tất cả các rủi ro riêng lẻ và các nguồn không chắc chắn khác.
Những kết luận từ quy trình phân tích rủi ro định lượng được sử dụng làm nền tảng cho quá trình lập kế hoạch ứng phó rủi ro, đặc biệt trong việc đề xuất các phương án ứng phó rủi ro đối với những rủi ro có mức độ ưu tiên cao. Phân tích rủi ro định lượng cũng có thể được thực hiện sau quá trình lập kế hoạch ứng phó rủi ro, để xác định hiệu quả có thể có của các phương án theo kế hoạch trong việc giảm thiểu rủi ro tổng thể của dự án.
Các công cụ và kỹ thuật quan trọng sử dụng trong quy trình thực hiện phân tích rủi ro định lượng
- Simulation (Mô phỏng): Phân tích rủi ro định lượng sử dụng mô hình mô phỏng tác động tổng hợp của rủi ro riêng lẻ và các nguồn không chắc chắn khác để đánh giá tác động tiềm tàng của chúng đối với việc đạt được những mục tiêu của dự án.
- Phân tích Monte Carlo:
- Monte Carlo là một dạng của mô hình mô phỏng.
- Khi chạy phân tích Monte Carlo cho rủi ro X, mô phỏng sử dụng ước tính X của dự án. Trong đó, X có thể là chi phí, tiến độ (network diagram hoặc ước lượng thời gian) hoặc cả hai.
- Các giá trị đầu vào (ví dụ: ước lượng chi phí, ước lượng thời gian) được chọn NGẪU NHIÊN cho mỗi lần lặp.
- Sử dụng phần mềm máy tính để lặp lại mô hình phân tích rủi ro định lượng hàng nghìn, hàng vạn lần.
- Kết quả đầu ra đại diện cho phạm vi các kết quả có thể có cho dự án (ví dụ: ngày kết thúc dự án, chi phí dự án khi hoàn thành).
- Các đầu ra điển hình bao gồm:
+ Biểu đồ trình bày số lần lặp lại từ việc chạy mô phỏng, hoặc
+ Phân phối xác suất tích lũy (S-curve) thể hiện xác suất đạt được của bất kỳ kết quả cụ thể nào.
- Sensitivity analysis (Phân tích độ nhạy): Giúp xác định những rủi ro riêng lẻ hoặc các nguồn không chắc chắn nào có khả năng tác động nhiều nhất đến kết quả dự án.
- Tornado diagram (Sơ đồ lốc xoáy): Là một dạng của phân tích độ nhạy. Trình bày hệ số tương quan được tính toán cho từng yếu tố của mô hình phân tích rủi ro định lượng có thể ảnh hưởng đến kết quả dự án.
- Sơ đồ này có thể bao gồm:
+ Rủi ro riêng lẻ,
+ Các hoạt động của dự án có mức độ thay đổi cao, hoặc
+ Các nguồn mơ hồ cụ thể
- Các hạng mục được sắp xếp theo độ mạnh tương quan giảm dần, tạo ra hình dạng lốc xoáy.
- Lưu ý: Độ nhạy ≠ DOE - Design Of Experiments (một thuật ngữ trong quản lý chất lượng)
+ Độ nhạy: thay đổi một yếu tố và cố định các yếu tố khác để xem yếu tố nào có tác động lớn nhất.
+ Thiết kế thử nghiệm (DOE): thay đổi một cách có hệ thống tất cả các yếu tố quan trọng và xem sự kết hợp nào có tác động lớn nhất.
- Decision tree analysis (Phân tích cây quyết định): Được sử dụng để hỗ trợ đưa ra lựa chọn tốt nhất trong số một số phương án khác nhau.
- Các phương án sẽ được chia thành các nhánh, được hiển thị trong cây quyết định, mỗi nhánh có thể có chi phí liên quan và rủi ro riêng lẻ liên quan (bao gồm cả các mối đe dọa và cơ hội).
- Điểm cuối của các nhánh trong cây quyết định đại diện cho kết quả đi theo một phương án cụ thể đó, có thể là tiêu cực hoặc tích cực (giá trị có thể là âm hoặc dương).
- Cây quyết định được đánh giá bằng cách tính toán giá trị bằng tiền dự kiến của mỗi nhánh (Expected Monetary Value - EMV), cho phép chúng ta chọn được phương án tối ưu.
- Được áp dụng theo công thức: EMV = P x I
Trong đó:
+ EMV: Expected Monetary Value - Giá trị tiền mong đợi
+ P: Probability - khả năng xảy ra
+ I: Impact - tác động
- Việc tính toán EMV được thực hiện trong quá trình phân tích rủi ro định lượng và được sửa đổi trong quá trình lập kế hoạch ứng phó rủi ro khi tính toán các khoản dự phòng (contingency reserves) cho tiến độ và chi phí.
+ Cây quyết định tính đến các sự kiện trong tương lai để đưa ra quyết định tại thời điểm hiện tại.
+ Với cây quyết định, chúng ta có thể đánh giá các chi phí (hoặc các tác động của tiến độ) và lợi ích của một số phương án ứng phó rủi ro cùng một lúc để xác định đâu là lựa chọn tốt nhất.
- Ví dụ chúng ta cần bay từ một thành phố sang một thành phố khác, có thể đi hãng hàng không A hoặc B. Dựa vào hình dưới đây, chúng ta phải quyết định xem sẽ sử dụng hãng hàng không nào.
- Nếu tỉ lệ đến đúng giờ của hãng A là 90%, thì tỉ lệ đến trễ là 10%. Tỉ lệ đến đúng giờ của hãng B là 70%, thì tỉ lệ đến trễ là 30%. Nếu đến trễ thì chúng ta sẽ bị thiệt hại $4,000. Sử dụng EMV để tính và ra quyết định:
- Đối với hãng A thì thiệt hại: EMV = (10% x $4,000) + $900 = $400 + $900 = $1,300
- Đối với hãng B thì thiệt hại: EMV = (30% x $4,000) + $300 = $1,200 + $300 = $1,500
- Từ kết quả trên ta thấy với EMV = $1,300 thì hãng A sẽ được lựa chọn sử dụng vì giá trị EMV $1,300 là thiệt hại thấp hơn $1,500.
- Cùng đến với một ví dụ khác
- Cây quyết định chỉ ra cách đưa ra quyết định giữa các chiến lược sử dụng vốn - được biểu thị là "nút quyết định", "nút cơ hội" chứa các yếu tố không chắc chắn (nhu cầu của thị trường - dự đoán rằng có 60% là nhu cầu mạnh, 40% là nhu cầu yếu).
- Ở đây, một quyết định cần được đưa ra là đầu tư 120 triệu đô la để xây dựng một nhà máy mới hay thay vào đó chỉ đầu tư 50 triệu đô la để nâng cấp nhà máy hiện có. Đối với mỗi quyết định, nhu cầu (không chắc chắn và do đó đại diện cho một “nút cơ hội”) phải được tính đến. Ví dụ, nhu cầu mạnh dẫn đến doanh thu 200 triệu đô la với nhà máy mới nhưng chỉ 120 triệu đô la khi nhà máy được nâng cấp, nhu cầu yếu dẫn đến doanh thu 90 triệu đô la với nhà máy mới nhưng chỉ 60 triệu đô la khi nhà máy được nâng cấp. Phần cuối của mỗi nhánh cho thấy lợi ích ròng bằng các khoản doanh thu trừ đi chi phí, kết quả được ghi vào khung chữ nhật ở cuối nhánh. Tính toán EMV cho nhà máy được xây mới có EMV = 0.6 * 80M + 0.4 * -30M = 36M. EMV cho nhà máy được nâng cấp có EMV = 0.6 * 70M + 0.4 * 10M = 46M, cũng là EMV của quyết định tổng thể.
Risk report được cập nhật qua quy trình phân tích rủi ro định lượng
- Đánh giá mức độ rủi ro tổng thể của dự án: rủi ro tổng thể của dự án được phản ánh trong hai thước đo chính:
Cơ hội thành công của dự án, được biểu thị bằng xác suất dự án sẽ đạt được các mục tiêu chính của nó. Ví dụ: “Chúng ta chỉ có 80% cơ hội hoàn thành dự án trong vòng sáu tháng như khách hàng yêu cầu”. Hoặc, "Chúng ta chỉ có 75% cơ hội hoàn thành dự án trong ngân sách 800.000 đô la."
- Phân tích xác suất chi tiết của dự án: Các kết quả chính từ phân tích rủi ro định lượng được trình bày dưới nhiều định dạng, chẳng hạn như S-curve, biểu đồ lốc xoáy. Các kết quả chi tiết có thể có của phân tích rủi ro định lượng bao gồm:
Lượng dự phòng cần thiết để cho dự án. Ví dụ: “Dự án cần thêm 50.000 đô la và hai tháng thời gian để giải quyết các rủi ro trong dự án.” Các khoản dự phòng sẽ được chốt trong quy trình lập kế hoạch ứng phó rủi ro.
Xác định các rủi ro riêng lẻ hoặc các nguồn không chắc chắn khác có ảnh hưởng lớn nhất đến critical path của dự án.
Các nguồn của rủi ro tổng thể của dự án có ảnh hưởng lớn nhất đến sự không chắc chắn trong kết quả dự án.
- Danh sách ưu tiên của các rủi ro riêng lẻ: Danh sách này bao gồm những rủi ro riêng lẻ gây ra mối đe dọa lớn nhất hoặc mang lại cơ hội lớn nhất cho dự án, chúng được chỉ ra bằng cách phân tích độ nhạy (Sensitivity analysis).
- Xu hướng trong kết quả phân tích rủi ro định lượng: Khi lặp lại phân tích rủi ro định lượng trong quá trình lập kế hoạch dự án và khi các thay đổi được đề xuất, chúng ta có thể theo dõi các thay đổi đối với rủi ro tổng thể của dự án và thấy được xu hướng.
- Đề xuất các phương án ứng phó rủi ro: Có thể đưa ra đề xuất các phương án ứng phó với mức độ rủi ro tổng thể của dự án hoặc các rủi ro riêng lẻ quan trọng, dựa trên kết quả của phân tích rủi ro định lượng. Các đề xuất này sẽ làm tiền đề cho quy trình lập kế hoạch ứng phó rủi ro.
So sánh Phân tích rủi ro định tính và Phân tích rủi ro định lượng
| Phân tích rủi ro định tính | Phân tích rủi ro định lượng |
Mức độ sử dụng | Thường được thực hiện với tất cả rủi ro, tất cả dự án | Thường ít được thực hiện hơn, tùy thuộc vào loại dự án, rủi ro của dự án và sự sẵn có của dữ liệu sử dụng để tiến hành phân tích định lượng. |
Cách thực hiện | Đánh giá độ ưu tiên các rủi ro bằng cách sử dụng thang đánh giá được xác định trước.
Rủi ro sẽ được tính điểm dựa trên khả năng xảy ra và tác động đến các mục tiêu dự án nếu chúng xảy ra.
Cũng sẽ bao gồm việc phân loại rủi ro thích hợp. | Phân tích sâu hơn về các rủi ro có mức độ ưu tiên cao nhất. Định lượng các kết quả có thể có cho dự án và đánh giá xác suất đạt được các mục tiêu cụ thể của dự án Cung cấp cách tiếp cận định lượng để đưa ra quyết định khi có sự không chắc chắn Tạo mục tiêu chi phí, tiến độ hoặc phạm vi thực tế và có thể đạt được Để thực hiện phân tích rủi ro định lượng, yêu cầu: dữ liệu đầu vào chất lượng cao, danh sách ưu tiên của rủi ro dự án (từ quy trình phân tích rủi ro định tính) |
Mức độ phân tích | Ở tầng rủi ro riêng lẻ | Ở tầng dự án |
Mục đích | Đánh giá chủ quan cho khả năng xảy ra và tác động của rủi ro | Đánh giá xác suất ước lượng thời gian và chi phí dự án |
Tính chất | Thực hiện dễ và nhanh | Tốn thời gian để thực hiện |
Công cụ hỗ trợ | Không cần công cụ hay phần mềm đặc biệt | Cần một số công cụ kỹ thuật đặc biệt |
5. Lập kế hoạch ứng phó rủi ro
Lập kế hoạch ứng phó các rủi ro là quá trình phát triển các phương án, lựa chọn chiến lược và thống nhất các hành động để giải quyết rủi ro tổng thể của dự án, cũng như xử lý các rủi ro riêng lẻ. Quá trình lập kế hoạch ứng phó các rủi ro cần:
- Xác định các cách thích hợp để giải quyết rủi ro tổng thể và rủi ro riêng lẻ cho dự án.
- Phân bổ nguồn lực, thêm các hoạt động vào kế hoạch quản lý dự án khi cần thiết.
Quá trình này được thực hiện trong suốt dự án. Các phương án ứng phó rủi ro hiệu quả và thích hợp có thể giảm thiểu các mối đe dọa, tối đa hóa các cơ hội và giảm mức độ rủi ro tổng thể của dự án. Các phương án ứng phó rủi ro không phù hợp có thể phản tác dụng.
Sau khi các rủi ro đã được xác định, phân tích và sắp xếp thứ tự ưu tiên, risk owner được chỉ định phải xây dựng các kế hoạch để giải quyết từng rủi ro của dự án mà nhóm dự án cho là quan trọng, do mối đe dọa mà nó gây ra đối với các mục tiêu của dự án hoặc cơ hội mà nó mang lại. Project manager cũng nên xem xét cách ứng phó phù hợp với mức độ rủi ro tổng thể của dự án hiện tại.
Quá trình lập kế hoạch ứng phó các rủi ro phải thích hợp cho:
- Tầm quan trọng của rủi ro,
- Hiệu quả về chi phí trong việc đáp ứng những vấn đề khó,
- Thực tế dự án,
- Được sự đồng ý của tất cả các bên liên quan, và
- Phải có 1 người chịu trách nhiệm chính.
Các hành động cụ thể được phát triển để thực hiện chiến lược ứng phó rủi ro đã thỏa thuận, bao gồm các chiến lược chính và dự phòng, nếu cần. Một kế hoạch dự phòng có thể được phát triển để thực hiện nếu:
- Chiến lược đã chọn không hoàn toàn hiệu quả hoặc
- Rủi ro tái xảy ra.
Rủi ro thứ cấp - Secondary risks (rủi ro phát sinh do kết quả trực tiếp của việc thực hiện hoạt động ứng phó rủi ro) cũng cần được xác định. Một khoản dự phòng về thời gian hoặc chi phí thường được phân bổ. Nếu được xây dựng, nó có thể bao gồm việc xác định các điều kiện để kích hoạt việc sử dụng.
Các chiến lược ứng phó rủi ro | |||
Chiến lược | Sử dụng cho | Mục đích | Hành động |
Avoid (Tránh)
Khả năng xảy ra bằng 0 | Mối nguy / rủi ro tổng thể dự án
Có mức độ ưu tiên, tác động, khả năng xảy ra cao | Avoid là khi nhóm dự án hành động để loại bỏ mối đe dọa hoặc bảo vệ dự án khỏi tác động của nó. Avoid có thể liên quan đến việc thay đổi một số khía cạnh của kế hoạch quản lý dự án hoặc thay đổi mục tiêu đang gặp nguy hiểm để loại bỏ hoàn toàn mối đe dọa, giảm khả năng xảy ra của nó xuống 0. | Ví dụ về các hành động Avoid có thể bao gồm loại bỏ nguyên nhân gây ra mối đe dọa, kéo dài tiến độ, thay đổi chiến lược dự án hoặc giảm phạm vi. Có thể tránh được một số rủi ro bằng cách làm rõ các yêu cầu, thu thập thông tin, cải thiện giao tiếp hoặc thu thập kiến thức chuyên môn. |
Exploit (Khai thác) (ngược với Avoid)
Khả năng xảy ra 100% | Cơ hội / rủi ro tổng thể dự án
Có ưu tiên cao | Chiến lược khai thác có thể được lựa chọn cho các cơ hội có mức độ ưu tiên cao mà tổ chức muốn đảm bảo rằng cơ hội đó được thực hiện. Chiến lược này tìm cách nắm bắt lợi ích liên quan đến một cơ hội cụ thể bằng việc đảm bảo rằng nó chắc chắn xảy ra, tăng xác suất xuất hiện lên 100%. | Ví dụ về khai thác, các phản hồi có thể bao gồm việc chỉ định các nhân sự tài năng nhất của tổ chức cho dự án để giảm thời gian hoàn thành, sử dụng công nghệ mới hoặc nâng cấp công nghệ để giảm chi phí và thời gian. |
Mitigate (Giảm nhẹ) | Mối nguy / rủi ro tổng thể dự án
Có ưu tiên, tác động cao | Trong giảm thiểu rủi ro, hành động được thực hiện để giảm khả năng xuất hiện và / hoặc tác động của một mối đe dọa. Hành động giảm thiểu sớm thường hiệu quả hơn là cố gắng sửa chữa thiệt hại sau khi mối đe dọa đã xảy ra. Trong trường hợp không thể giảm khả năng xảy ra, hành động giảm thiểu có thể làm giảm tác động bằng cách nhắm mục tiêu tới các yếu tố làm tăng mức độ nghiêm trọng. | Ví dụ về giảm thiểu mối đe dọa bao gồm việc áp dụng các quy trình ít phức tạp hơn, tiến hành nhiều thử nghiệm hơn hoặc chọn nhà thầu ổn định hơn, thiết kế phần dự phòng cho một hệ thống phức tạp có thể làm giảm tác động tới dự án do sự hỏng hóc của các bộ phận hệ thống.
|
Enhance (Nâng cao) (ngược với Mitigation) | Cơ hội / rủi ro tổng thể dự án
Có ưu tiên, tác động cao | Chiến lược Enhance được sử dụng để tăng khả năng xảy ra và / hoặc tác động của cơ hội. Hành động tăng cường sớm thường hiệu quả hơn là cố gắng cải thiện lợi ích sau khi cơ hội đã xảy ra. Khả năng xảy ra của cơ hội có thể tăng lên bằng cách tập trung chú ý vào nguyên nhân của nó. Khi không thể tăng khả năng xảy ra, có thể làm tăng tác động bằng cách nhắm mục tiêu tới các yếu tố làm tăng mức độ của lợi ích. | Ví dụ về nâng cao cơ hội bao gồm thêm nhiều nguồn lực hơn để hoạt động kết thúc sớm. |
Transfer (Chuyển giao) (làm lệch hướng, phân bổ) | Mối nguy / rủi ro tổng thể dự án
Có ưu tiên thấp | Chuyển giao bao gồm việc chuyển mối đe dọa cho bên thứ ba để quản lý rủi ro và chịu tác động nếu mối đe dọa xảy ra. Chuyển giao rủi ro thường bao gồm việc thanh toán phần chi phí rủi ro cho bên chấp nhận rủi ro. | Việc chuyển giao có thể đạt được bằng một loạt các hành động, bao gồm nhưng không giới hạn: việc sử dụng bảo hiểm, tiền cọc, bảo đảm, bảo lãnh,... Các thỏa thuận có thể được sử dụng để chuyển trách nhiệm đối với những rủi ro cụ thể cho một bên khác. |
Share (Chia sẻ) (ngược với Transfer) | Cơ hội / rủi ro tổng thể dự án
Có ưu tiên thấp | Share liên quan đến việc chuyển cơ hội cho bên thứ ba để bên thứ ba chia sẻ lại một số lợi ích nếu cơ hội xảy ra. Điều quan trọng là phải chọn bên thứ ba được chia sẻ một cách cẩn thận để họ có thể nắm bắt cơ hội một cách tốt nhất vì lợi ích của dự án. | Ví dụ về hành động chia sẻ bao gồm hình thành quan hệ đối tác, nhóm, công ty, hoặc liên doanh nhằm chia sẻ cơ hội. |
Escalate (Leo thang, trình lên) | Mối nguy / Cơ hội
Có ưu tiên thấp | Escalate là phù hợp khi nhóm dự án hoặc sponsor đồng ý rằng một mối đe dọa / cơ hội nằm ngoài phạm vi của dự án hoặc phương án ứng phó rủi ro được đề xuất sẽ vượt quá thẩm quyền của Project Manager. Rủi ro được escalated sẽ được quản lý ở cấp program, portfolio hoặc các bộ phận có liên quan khác của tổ chức, chứ KHÔNG phải ở cấp dự án. | Các mối đe dọa / cơ hội thường được trình lên đến mức phù hợp với các mục tiêu sẽ bị ảnh hưởng nếu mối đe dọa / cơ hội xảy ra. Các mối đe dọa / cơ hội được trình lên KHÔNG được nhóm dự án giám sát thêm sau khi báo cáo, mặc dù chúng có thể được ghi lại trong risk register. |
Accept (Chấp nhận) | Mối nguy / Cơ hội / rủi ro tổng thể dự án
Có ưu tiên thấp | Chấp nhận rủi ro thừa nhận sự tồn tại của một mối đe dọa / cơ hội, nhưng KHÔNG có hành động chủ động nào được thực hiện. Chiến lược này có thể phù hợp với các mối đe dọa / cơ hội có mức độ ưu tiên thấp và nó cũng có thể được áp dụng khi không thể hoặc không hiệu quả để giải quyết mối đe dọa / cơ hội theo bất kỳ cách nào khác. Sự chấp nhận có thể là chủ động hoặc bị động. | Chiến lược chấp nhận tích cực phổ biến nhất là thiết lập một khoản dự phòng, bao gồm thời gian, ngân sách hoặc nguồn lực để xử lý mối đe dọa hoặc tận dụng cơ hội nếu nó xảy ra (contingency reserves). Chấp nhận thụ động không bao gồm hành động chủ động ngoài việc xem xét định kỳ để đảm bảo rằng rủi ro không thay đổi đáng kể. |
- Contingent response strategies (Các chiến lược ứng phó dự phòng):
Một số phương án ứng phó rủi ro được thiết kế để sử dụng nếu một số sự kiện nhất định xảy ra. Đối với một số rủi ro, nhóm dự án phải lập một kế hoạch ứng phó chỉ được thực hiện trong một số điều kiện xác định trước (chẳng hạn như thiếu các milestones quan trọng).
Các phương án ứng phó rủi ro được xác định bằng cách sử dụng kỹ thuật này thường được gọi là kế hoạch dự phòng (contingency plans hoặc fallback plans) và bao gồm các sự kiện kích hoạt, những dấu hiệu báo trước đã được xác định để lập kế hoạch có hiệu quả.
Risk register và Risk report được cập nhật qua quy trình lập kế hoạch ứng phó rủi ro
- Risk report: Có thể được cập nhật để đưa ra các phương án ứng phó rủi ro đã được thống nhất đối với mức độ rủi ro tổng thể hiện tại của dự án và các rủi ro có mức độ ưu tiên cao, cùng với những thay đổi dự kiến có thể xảy ra khi thực hiện các phương án này.
- Risk register:
- Residual risks (Rủi ro tồn đọng): Đây là những rủi ro còn sót lại sau khi lập kế hoạch ứng phó cho một rủi ro. Sau khi chúng ta đã avoided, exploited, mitigated, enhanced, transferred, shared, escalated, và accepted rủi ro (và tạo kế hoạch dự phòng liên quan), vẫn sẽ có những rủi ro còn tồn tại. Những rủi ro tồn đọng được chấp nhận một cách thụ động cần được ghi lại và xem xét trong suốt dự án để xem liệu chúng có thay đổi hay không (về khả năng xảy ra và tác động). Một ví dụ về rủi ro tồn đọng được đưa ra khi sử dụng dây an toàn trên ô tô. Việc lắp đặt và sử dụng dây an toàn làm giảm mức độ nghiêm trọng và khả năng bị thương tích tổng thể trong một vụ tai nạn ô tô, tuy nhiên, khả năng bị thương tích vẫn còn khi sử dụng, nghĩa là rủi ro vẫn còn tồn đọng.
- Secondary risks (Rủi ro thứ cấp): Là bất kỳ rủi ro mới nào được tạo ra bởi việc thực hiện các biện pháp ứng phó rủi ro đã chọn. Những rủi ro thứ cấp đó cũng cần được phân tích như một phần của kế hoạch ứng phó rủi ro.
- Contingency plans: Là các kế hoạch mô tả các hành động cụ thể sẽ được thực hiện nếu cơ hội hoặc mối đe dọa xảy ra.
- Fallback plans: Là các kế hoạch mô tả các hành động cụ thể sẽ được thực hiện nếu các kế hoạch dự phòng (Contingency plans) không hiệu quả.
- Risk owner: Một điều quan trọng trong lập kế hoạch ứng phó rủi ro là Project Manager không phải làm tất cả, và cả nhóm dự án cũng vậy . Mỗi rủi ro phải được chỉ định một người sẽ:
+ Giúp dẫn dắt quá trình phát triển phương án ứng phó rủi ro và
+ Được chỉ định thực hiện ứng phó rủi ro.
+ Risk owner có thể là một bên liên quan không phải là một thành viên trong nhóm.
- Risk triggers (Kích hoạt rủi ro): Đây là những sự kiện kích hoạt, những dấu hiệu báo trước cho ứng phó dự phòng (Contingent responses). Các dấu hiệu cảnh báo sớm cho mỗi rủi ro trong dự án cần được xác định để risk owner biết khi nào cần hành động.
- Contracts (Hợp đồng): Trước khi hoàn tất hợp đồng, Project Manager nên hoàn thành phân tích rủi ro, đưa vào các điều khoản, điều kiện hợp đồng cần thiết để giảm thiểu các mối đe dọa và tăng cường cơ hội. Bất kỳ hợp đồng nào được phát hành để đối phó với rủi ro cần được ghi vào risk register.
Reserves (contingency) (dự phòng): Dự phòng cho thời gian và chi phí là một phần bắt buộc của quản lý dự án. Chúng ta không thể đưa ra tiến độ hoặc ngân sách cho dự án mà không có chúng.
Trình tự thực hiện quản lý rủi ro từ Xác định rủi ro đến Lập kế hoạch ứng phó
6. Thực hiện các ứng phó rủi ro
Thực hiện các ứng phó rủi ro là quy trình thực hiện các kế hoạch ứng phó rủi ro đã thỏa thuận, đảm bảo rằng các kế hoạch ứng phó rủi ro đã thỏa thuận được thực hiện để giải quyết rủi ro tổng thể của dự án, giảm thiểu các mối đe dọa và tối đa hóa các cơ hội của dự án riêng lẻ.
Quá trình này sẽ được thực hiện trong suốt dự án. Một vấn đề phổ biến thường gặp ở quản lý rủi ro dự án là các nhóm dự án dành nỗ lực trong việc xác định và phân tích rủi ro và phát triển các phương án ứng phó rủi ro, sau đó các phương án được thống nhất và ghi vào risk register và risk report, nhưng không có hành động nào được thực hiện để quản lý rủi ro. Chỉ khi các risk owner đưa ra mức độ nỗ lực cần thiết để thực hiện các hành động ứng phó đã thỏa thuận thì mức độ rủi ro chung của dự án cũng như các mối đe dọa và cơ hội riêng lẻ mới được chủ động quản lý.
Risk register và Risk report được cập nhật qua quy trình thực hiện các ứng phó rủi ro
- Risk register: Được cập nhật để phản ánh bất kỳ thay đổi nào đối với các biện pháp ứng phó rủi ro đã thỏa thuận trước đó dành cho các rủi ro riêng lẻ mà sau đó được thực hiện trong quy trình này.
- Risk report: Được cập nhật để phản ánh bất kỳ thay đổi nào đối với các biện pháp ứng phó rủi ro đã thỏa thuận trước đó dành cho rủi ro tổng thể của dự án mà sau đó được thực hiện trong quy trình này.
- Risk register và Risk report được cập nhật với thông tin về các hoạt động ứng phó rủi ro đã được thực hiện, mô tả chi tiết về mức độ giải quyết rủi ro của các hoạt động đó và đề xuất các thay đổi đối với kế hoạch ứng phó rủi ro trong tương lai. Project Manager bổ sung thông tin những bài học kinh nghiệm có được liên quan đến những gì hiệu quả và những gì không hiệu quả khi hoạt động ứng phó rủi ro được thực hiện.
7. Giám sát rủi ro
Giám sát rủi ro là quy trình giám sát việc thực hiện các kế hoạch ứng phó rủi ro đã thỏa thuận, theo dõi các rủi ro đã xác định, xác định và phân tích các rủi ro mới, đồng thời đánh giá hiệu quả của quy trình quản lý rủi ro trong toàn bộ dự án. Giám sát rủi ro cho phép chúng ta đưa các quyết định của dự án dựa trên thông tin hiện tại về rủi ro tổng thể của dự án và các rủi ro riêng lẻ. Quá trình này được thực hiện trong suốt dự án.
Để đảm bảo rằng nhóm dự án và các bên liên quan nhận thức được mức độ rủi ro hiện tại, cần liên tục theo dõi đối với các rủi ro mới của dự án, các rủi ro đã thay đổi hay lỗi thời và những thay đổi về mức độ rủi ro tổng thể của dự án bằng cách áp dụng quy trình giám sát rủi ro. Giám sát rủi ro xác định xem:
- Các biện pháp ứng phó rủi ro được triển khai có hiệu quả không?
- Mức độ rủi ro tổng thể của dự án đã thay đổi như thế nào?
- Trạng thái của các rủi ro riêng lẻ đã thay đổi ra sao?
- Rủi ro mới đã phát sinh làm sao?
- Phương pháp quản lý rủi ro có còn phù hợp không?
- Các giả định của dự án có còn hiệu lực không?
- Các chính sách và thủ tục quản lý rủi ro đang được tuân thủ như thế nào?
- Các khoản dự phòng (contingency reserves) cho chi phí hoặc tiến độ yêu cầu sửa đổi ra sao?
- Chiến lược dự án có còn hiệu lực không?
Các công việc khác thuộc quy trình giám sát rủi ro bao gồm:
- Workarounds
Trong trường hợp dự án đã không còn thực hiện đúng theo kế hoạch nữa, nhóm có thể thực hiện những hành động khắc phục để đưa dự án trở lại đúng theo kế hoạch. Các hành động khắc phục đó có thể bao gồm các giải pháp thay thế (Workarounds).
Như chúng ta cũng đã biết, các phương án ứng phó dự phòng (contingency responses) được phát triển trước (có kế hoạch), các giải pháp thay thế (Workarounds) là các phương án ứng phó không có kế hoạch trước, được phát triển để đối phó với sự xuất hiện của các sự kiện hoặc vấn đề không lường trước được trong dự án (hoặc để đối phó với các rủi ro đã được chấp nhận - accepted). Project Manager KHÔNG thực hiện quản lý rủi ro tốt sẽ phải dành nhiều thời gian của mình để tạo ra workarounds.
- Risk Reassessments - Tái đánh giá rủi ro
Điều quan trọng là phải xác định xem có cần phải thực hiện bất kỳ thay đổi hoặc điều chỉnh nào đối với những gì đã được lên kế hoạch hay không dựa trên thông tin được cập nhật rõ ràng khi công việc bắt đầu. Kết quả của các đánh giá lại là một phần của việc xem xét rủi ro mới, rủi ro đã đóng, phân tích rủi ro định tính hoặc định lượng bổ sung về các rủi ro mới và / hoặc đã xác định trước đó và lập kế hoạch ứng phó rủi ro.
Các công cụ và kỹ thuật quan trọng sử dụng trong quy trình giám sát rủi ro
- Risk audit: Risk audit là một loại kiểm tra có thể được sử dụng để xem xét tính hiệu quả của quy trình quản lý rủi ro. Project Manager chịu trách nhiệm đảm bảo rằng các lần risk audit được thực hiện với tần suất thích hợp, như được xác định trong kế hoạch quản lý rủi ro của dự án. Hình thức risk audit và mục tiêu của nó cần được xác định rõ ràng trước khi tiến hành. Quá trình này có thể được đưa vào trong các cuộc họp đánh giá dự án định kỳ hay có thể là một phần của cuộc họp đánh giá rủi ro, hoặc nhóm có thể chọn tổ chức các cuộc họp risk audit riêng.
- Risk reviews: Các cuộc họp đánh giá rủi ro được lên lịch thường xuyên, cần kiểm tra và ghi lại hiệu quả của các biện pháp ứng phó rủi ro trong việc đối phó với rủi ro tổng thể của dự án và với các rủi ro riêng lẻ.
- Đánh giá rủi ro có thể được tiến hành cùng với họp dự án định kỳ hoặc có thể tổ chức họp riêng, và được quy định trong kế hoạch quản lý rủi ro.
- Đánh giá rủi ro cũng có thể dẫn đến việc phát hiện ra các rủi ro mới (bao gồm các rủi ro thứ cấp phát sinh từ các phương án ứng phó rủi ro đã thỏa thuận), đánh giá lại các rủi ro hiện tại, đóng các rủi ro đã hết hạn, các vấn đề phát sinh do rủi ro đã xảy ra và xác định các bài học cần rút ra để áp dụng trong các giai đoạn khác của dự án hiện tại hoặc trong các dự án tương tự trong tương lai.
Risk register và Risk report được cập nhật qua quy trình giám sát rủi ro
- Risk register: Cập nhật thông tin về rủi ro riêng lẻ được tạo ra trong quá trình giám sát rủi ro, có thể bao gồm thêm rủi ro mới, cập nhật rủi ro hết hạn, cập nhật các phương án ứng phó rủi ro,...
- Risk report: Được cập nhật để phản ánh tình trạng hiện tại của các rủi ro riêng lẻ quan trọng và mức độ rủi ro tổng thể hiện tại của dự án.
- Risk report có thể bao gồm thông tin chi tiết về các rủi ro hàng đầu của dự án, các phương án ứng phó và risk owner, các kết luận và khuyến nghị.
- Risk report cũng có thể bao gồm các kết luận từ risk audit về tính hiệu quả của quy trình quản lý rủi ro.
Những sai lầm phổ biến trong quản lý rủi ro
Sau đây là một số sai lầm quản lý rủi ro phổ biến mà các dự án thường mắc phải:
- Quy trình xác định rủi ro được hoàn thành mà không cần biết đầy đủ về dự án.
- Rủi ro tổng thể của dự án được đánh giá chỉ bằng cách sử dụng bảng câu hỏi, phỏng vấn hoặc phân tích Monte Carlo, từ đó không xác định các rủi ro cụ thể của dự án.
- Việc xác định rủi ro kết thúc quá sớm, dẫn đến một danh sách ngắn gọn (20 rủi ro) thay vì một danh sách mở rộng (hàng trăm rủi ro).
- Thêm khoản dự phòng vô tội vạ (padding) mà không đi qua quy trình quản lý rủi ro để có được đánh giá đầy đủ, chính xác.
- Quy trình xác định rủi ro thông qua quy trình phân tích định lượng rủi ro được kết hợp với nhau. Điều này làm giảm tổng số rủi ro được xác định và khiến mọi người ngừng tham gia vào việc xác định rủi ro (có riêng một quy trình dành cho việc xác định rủi ro).
- Các rủi ro được xác định là chung chung chứ không phải cụ thể.
- Bỏ qua việc sử dụng các danh mục rủi ro (chẳng hạn như công nghệ, văn hóa, thị trường,...).
- Chỉ một phương pháp được sử dụng để xác định rủi ro (ví dụ: chỉ sử dụng checklist) chứ không kết hợp các phương pháp với nhau. Sự kết hợp giúp đảm bảo xác định được nhiều rủi ro hơn.
- Lựa chọn ngay chiến lược ứng phó rủi ro đầu tiên được xác định mà không cần xem xét các phương án khác và tìm phương án tốt nhất hoặc kết hợp các phương án.
- Quản lý rủi ro không được quan tâm đúng mức.
- Project Manager không giải thích quy trình quản lý rủi ro cho nhóm trong quá trình lập kế hoạch dự án.
- Các hợp đồng được ký kết rất lâu trước khi các rủi ro của dự án được thảo luận.
Tổng kết
Quản lý rủi ro là một trong những lĩnh vực kiến thức cực kỳ quan trọng trong quản lý dự án. Chính vì vậy, doanh nghiệp cũng như người trực tiếp thực hiện quản lý rủi ro cần có kiến thức, kinh nghiệm để xác định, đánh giá rủi ro, từ đó giúp tối ưu hóa cơ hội thành công của dự án.
Tác giả: Nguyễn Hải Hà - Pass PMP 5 Above Target
References: PMBOK 6th edition, Rita 09, PMI.org
Xem thêm:
Các thuật ngữ dễ nhầm lẫn trong bài thi PMP và Giải thích chuyên sâu
7 nguyên lý quản lý rủi ro - Seven risk management principles
Ràng buộc là gì? What is Constraint in PMP?
The Standard for Risk Management in Portfolios, Programs, and Projects