Risk Management specialist là gì
Risk management specialists concentrate on providing relevant financial insight into business decisions. It's common for risk management specialists to work for companies or organizations and their primary role is to make assessments and recommendations. They may look at things such as how to address a specific business task and determine if there are risks associated with how that task is being completed. Ultimately, their objective is to ensure that the business or client makes the best decisions possible to minimize potential risks in their business operations and decisions. Show
Their duties include reviewing a lot of financial data and information concerning business operations. This can involve some investigation on their part, which can include talking to staff or observing processes. They use this data to identify potential risks. When they identify potential risks they produce reports about their findings and make recommendations for how to address the issues identified. Since they can work in a wide range of business sectors the specific types of data they look at and potential risk factors may vary. They can include decisions about how to invest resources or decisions about whether to pursue different projects or business opportunities.
Sources: *PayScale; **U.S. Bureau of Labor Statistics Required EducationAccording to O*NET OnLine, 48% of risk management specialists have a bachelor's degree, 33% have a master's degree and an additional 11% have a post-baccalaureate certificate. This means that 44% of those working in this field are confirmed to have continued studies beyond a bachelor's degree, which is comparable to the 48% who have only completed a bachelor's degree. Although it's possible to enter this field with a bachelor's degree, these statistics suggest that those with additional postsecondary studies may have an advantage when seeking employment. Studying business administration or other related fields, such as finance, can help prepare individuals to enter this career field. Required SkillsRisk management specialists need to be able to effectively communicate with clients and other financial managers so they need to have strong communication skills and good interpersonal skills. This ensures that they can clearly and effectively relay relevant information. They perform a lot of tasks on computers so they need good computer skills and they also need mathematical skills in order to perform calculations and identify potential problems with data. Their work involves reviewing large amounts of data and in order to do this effectively they need to be good at paying attention to details and they must have strong analytical skills. Career Outlook and SalaryRisk management specialists are grouped with 'financial specialists, all other' by the U.S. Bureau of Labor Statistics (BLS). The BLS indicates this group of professionals should see a 17% job growth rate from 2020 to 2030. This is much higher than the job growth rate that the BLS expects for all occupations from 2020 to 2030, which is 8%. According to PayScale, as of 2021 risk management specialists earned a median income of $70,302 per year.
Không có bất kỳ sự đảm bảo rằng một công việc, một hạng mục, một dự án sẽ hoàn thành đúng thời gian, đúng ngân sách, đúng chất lượng đã đề ra. Ngay cả hoạt động đơn giản nhất cũng có thể gặp sự cố không mong muốn. Bất cứ lúc nào cũng có thể xảy ra những điều ngoài kế hoạch trong quá trình thực hiện dự án và làm thay đổi kết quả, mục tiêu của dự án, chúng ta gọi đó là RISK (có rủi ro tốt và rủi ro không tốt). Thực hiện quản lý rủi ro (risk management) giúp ngăn ngừa nhiều vấn đề trong dự án và giúp các vấn đề khác ít xảy ra hơn hoặc giảm mức độ ảnh hưởng của nó đối với dự án (đối với mối nguy – rủi ro xấu). Đồng thời, quản lý rủi ro hiệu quả giúp tăng khả năng và/hoặc tác động của nó tới dự án (đối với cơ hội – rủi ro tốt). Và khi chúng ta loại bỏ các mối nguy và gia tăng cơ hội, thì tiến độ, chi phí của dự án có thể được giảm xuống, phản ánh kết quả của nỗ lực quản lý rủi ro. Đây là những lợi ích của quản lý rủi ro và lý do quản lý rủi ro là một phần bắt buộc của quản lý dự án. Risk - rủi ro là gì?Risk - rủi ro có thể là một sự kiện (như hỏa hoạn, covid), hoặc nó có thể là một điều kiện được xác định trước nhưng chưa xảy ra (có thể xảy ra hoặc không xảy ra). Nếu nó xảy ra, nó có thể tác động tích cực hoặc tiêu cực đến một hoặc nhiều mục tiêu của dự án. Project manager cần tập trung vào các mối nguy (negative risk - threat) – đó là những gì có thể xảy ra sai sót và tác động tiêu cực đến dự án, các mối nguy khi xảy ra sẽ gây ra nhiều sự cố / vấn đề (issue / problem) cho dự án. Và đừng quên rằng cũng có thể có những tác động tích cực (positive risk, được gọi là cơ hội (opportunity)); cơ hội khi xảy ra sẽ đem lại lợi ích cho dự án. Cơ hội có thể bao gồm những thứ như:
Định nghĩa về quản lý rủi ro - Risk managementQuản lý rủi ro là quá trình xác định, đánh giá, lập kế hoạch phản ứng và phản ứng với các sự kiện/điều kiện, cả tích cực và tiêu cực, có thể xảy ra trong suốt quá trình của một dự án. Mục tiêu của quản lý rủi ro dự án là gia tăng khả năng và/hoặc tác động của rủi ro tích cực (cơ hội) và giảm khả năng và/hoặc tác động của rủi ro tiêu cực (mối đe dọa), để tối ưu hóa cơ hội thành công của dự án. Rủi ro cần được xác định và quản lý ngay từ khi bắt đầu dự án và được cập nhật thường xuyên trong khi dự án đang được tiến hành. Project manager và nhóm xem xét những gì đã xảy ra trong dự án, tình trạng hiện tại của dự án và những gì chưa xảy ra, sau đó đánh giá lại các mối nguy và cơ hội tiềm ẩn. Những thuật ngữ quan trọng trong quản lý rủi ro1. UncertaintyLà sự không chắc chắn do sự thiếu hiểu biết, thiếu thông tin về một việc gì đó, làm giảm đi sự tin cậy của chúng ta về các kết luận đưa ra. Công việc cần phải thực hiện, chi phí, thời gian, yêu cầu chất lượng, yêu cầu thông tin,... có thể không chắc chắn. Việc tìm hiểu các yếu tố không chắc chắn này có thể giúp xác định các rủi ro trong dự án. 2. Individual project risk - rủi ro riêng lẻ của dự án và Overall project risk - rủi ro tổng thể của dự ánIndividual project risk: là một sự kiện hoặc điều kiện không chắc chắn có thể xảy ra hoặc không, nếu nó xảy ra, có ảnh hưởng tích cực hoặc tiêu cực đến một hoặc nhiều mục tiêu dự án. Cơ hội (rủi ro tích cực) được khai thác và nâng cao khả năng & độ tác động. Các cơ hội nắm bắt được có thể dẫn đến nhiều lợi ích như giảm thời gian, chi phí, cải thiện hiệu suất. Các mối nguy (rủi ro tiêu cực) được tránh hoặc giảm thiểu khả năng & độ tác động. Các mối nguy không được quản lý hiệu quả có thể dẫn đến các vấn đề hoặc sự cố như chậm trễ, vượt chi phí, giảm hiệu suất. Project manager thường sẽ đi sâu đi sát vào từng rủi ro cụ thể, câu hỏi mà Project manager thường đặt ra là “Dự án của tôi có những rủi ro nào?” (What risks). Overall project risk: Là ảnh hưởng của sự không chắc chắn đối với toàn bộ dự án, hơn cả sự ảnh hưởng từ tất cả những rủi ro riêng lẻ gộp lại, nó còn bao gồm tất cả các nguồn gây ra sự không chắc chắn của dự án. Từ đó cho các bên liên quan biết được các tác động khác nhau của kết quả dự án, cả tích cực và tiêu cực. Quản lý rủi ro tổng thể của dự án nhằm mục đích duy trì mức độ rủi ro của dự án trong phạm vi có thể chấp nhận được và tối đa hóa khả năng đạt được các mục tiêu tổng thể của dự án. Sponsor thường ít quan tâm được sâu sát tới từng rủi ro cụ thể, thay vào đó họ quan tâm tới bức tranh tổng thể hơn, câu hỏi họ đặt ra là “Dự án rủi ro như thế nào?” (How risky), họ quan tâm tới rủi ro ảnh hưởng tới tổng thể của dự án. Ví dụ: “Chúng ta chỉ có 80% cơ hội hoàn thành dự án trong vòng sáu tháng như khách hàng yêu cầu”. Hoặc, "Chúng ta chỉ có 75% cơ hội hoàn thành dự án trong ngân sách 800.000 đô la." 3. Risk Factors - các yếu tố của rủi roKhi đánh giá rủi ro, chúng ta cần xác định những điều sau:
4. Khẩu vị rủi ro và ngưỡng rủi roCác thuật ngữ này đề cập đến mức độ rủi ro mà một cá nhân hoặc nhóm sẵn sàng chấp nhận, chúng khác nhau tùy thuộc vào cá nhân hoặc tổ chức và lĩnh vực. Các lĩnh vực rủi ro có thể bao gồm bất kỳ ràng buộc nào của dự án (phạm vi, tiến độ, chi phí, chất lượng,...), cũng như rủi ro đối với hình ảnh của doanh nghiệp, sự hài lòng của khách hàng và các yếu tố vô hình khác. Risk Appetite (Khẩu vị rủi ro): còn được gọi là khả năng chấp nhận rủi ro. Là một mô tả chung, tổng quan về mức độ rủi ro có thể chấp nhận được đối với một cá nhân hoặc một tổ chức. Ví dụ, một sponsor sẵn sàng chấp nhận một ít rủi ro đối với tiến độ của dự án. Risk Thresholds (Ngưỡng rủi ro): đề cập đến điểm cụ thể mà tại đó rủi ro trở nên không thể chấp nhận được, phản ánh khẩu vị rủi ro của tổ chức và các bên liên quan. Ví dụ, sponsor sẽ không chấp nhận rủi ro tiến độ bị trễ 15 ngày hoặc lâu hơn. 5. Risk Averse & Risk ProneRisk Averse: Là những người không muốn bị ảnh hưởng tiêu cực bởi các mối đe dọa, là người không thích rủi ro. Risk Prone: Hay còn có tên gọi là Risk takers / Risk taking / Risk seeker. Là những người thích rủi ro, họ tin rằng rủi ro cao sẽ đem lại lợi nhuận cao. Trái ngược với Risk averse. 6. Project resilience - tính bền, tính chịu đựng, khả năng phục hồi của dự ánKhi những rủi ro phát sinh dần trở nên rõ ràng, hay còn gọi là những unknown-unknowns (những sự việc/điều kiện chưa xảy ra và cũng không nhận diện được) dần dần lộ diện, những rủi ro này chỉ nhận biết được khi nó xảy ra. Những rủi ro này có thể được khắc phục bởi việc phát triển, gia tăng tính chịu đựng của dự án. Ví dụ có những công ty startup, non trẻ thì khả năng chịu đựng rủi ro thấp, dịch covid quét qua, chỉ cần 1 tháng không có doanh thu cũng đủ làm công ty lao đao. Còn những công ty, tập đoàn lớn có khả năng chịu đựng cao, nửa năm hoặc 1 năm không có doanh thu thì vẫn tồn tại được, thể hiện tính chịu đựng rủi ro cao. Xây dựng khả năng chịu đựng rủi ro bằng cách nào?
Phân loại rủi ro - Risk categoriesMột danh sách chuẩn phân loại các rủi ro, nó có thể giúp chúng ta đảm bảo các rủi ro không bị bỏ sót trong quá trình thực hiện các dự án. Các danh mục này thuộc các lĩnh vực phổ biến hay là từ các nguồn rủi ro mà công ty hoặc các dự án tương tự đã trải qua. Có thể bao gồm những thứ như:
Các doanh nghiệp và PMO nên cung cấp và đảm bảo Risk categories tiêu chuẩn có thể được sử dụng bởi tất cả các dự án. Ngoài ra, rủi ro có thể được phân loại theo nhiều cách, bao gồm:
Nghiên cứu đã chỉ ra có khoảng hơn 300 loại rủi ro tiềm ẩn, bao gồm các rủi ro do:
Bên cạnh đó, các nguồn rủi ro có thể liên quan đến:
Rủi ro còn có thể được phân loại thành hai loại chính:
Hầu hết các dự án chỉ tập trung vào rủi ro là những sự việc không chắc chắn trong tương lai có thể xảy ra hoặc không thể xảy ra (event-based). Ngoài ra còn có những rủi ro được mô tả là rủi ro phi sự kiện (non-event), thuộc các loại sau:
Dưới đây là ví dụ của một bảng phân mục các rủi ro, hay còn gọi là Risk Breakdown Structure (RBS).
Quy trình quản lý rủi roPhải hiểu quy trình quản lý rủi ro là điều rất quan trọng trong quản lý dự án. Chúng ta phải biết điều gì sẽ xảy ra, xảy ra vào lúc nào và hiểu rằng quản lý rủi ro có thể thay đổi cách quản lý dự án. Đối với các dự án lớn, quản lý rủi ro đúng cách là một phần không thể thiếu trong quá trình lập kế hoạch. Bảy quy trình quản lý rủi ro bao gồm:
Mặc dù các quy trình lập kế hoạch dự án có nhiều khả năng được thực hiện theo trình tự, nhưng thường được lặp lại trong suốt quá trình của dự án. Rủi ro có thể được xác định bất cứ lúc nào và chúng ta phải thực hiện ứng phó với những rủi ro mới đó. Nếu một rủi ro được phát hiện sau quá trình xác định rủi ro ban đầu, nó vẫn phải được phân tích và các biện pháp ứng phó phải được lên kế hoạch. Quy trình quản lý rủi ro được lặp đi lặp lại xuyên suốt dự án. 1. Quy trình lập kế hoạch quản lý rủi roProject Manager, sponsor, các thành viên trong nhóm, khách hàng, các bên liên quan khác và các chuyên gia có thể tham gia vào quy trình quá trình lập kế hoạch quản lý rủi ro. Đây là quy trình xác định cách thức tiến hành các hoạt động quản lý rủi ro cho một dự án. Vì quản lý rủi ro rất quan trọng đối với sự thành công của một dự án, quy trình này nên bắt đầu khi một dự án được hình thành và nên được hoàn thành sớm trong dự án. Việc quản lý rủi ro cần phù hợp không chỉ với quy mô và mức độ phức tạp của dự án mà còn phải phù hợp với kinh nghiệm và kỹ năng của các thành viên nhóm dự án. Quản lý rủi ro không thể thành công nếu thực hiện chỉ với một checklist các rủi ro được chuẩn hóa từ các dự án trước đó. Mặc dù checklist này có thể hữu ích trong việc lập kế hoạch và xác định rủi ro, nhưng quản lý rủi ro cần phải được thực hiện riêng biệt cho mỗi dự án. Quy trình này trả lời câu hỏi về việc nên dành bao nhiêu nỗ lực cho việc quản lý rủi ro dựa trên nhu cầu của dự án. Điều này bao gồm khẩu vị rủi ro của doanh nghiệp và các bên liên quan khác. Quy trình này cũng xác định ai sẽ tham gia và nhóm sẽ thực hiện quản lý rủi ro như thế nào. Các thủ tục của doanh nghiệp và các tài liệu mẫu liên quan đến quản lý rủi ro, chẳng hạn như ma trận khả năng và tác động tiêu chuẩn (probability and impact matrix), được sử dụng trong quy trình này và sau đó được điều chỉnh cho phù hợp với nhu cầu của dự án. Khi đã hoàn thành việc lập kế hoạch quản lý rủi ro, chúng ta có một bản kế hoạch quản lý rủi ro. Bản kế hoạch quản lý rủi ro là một thành phần của kế hoạch quản lý dự án, mô tả cách các hoạt động quản lý rủi ro sẽ được tổ chức và thực hiện. Kế hoạch quản lý rủi ro có thể bao gồm:
2. Quy trình xác định rủi roXác định rủi ro là quy trình xác định các rủi ro riêng lẻ của dự án cũng như các nguồn rủi ro tổng thể của dự án và ghi lại các đặc điểm của chúng. Quy trình này được thực hiện trong suốt dự án. Xác định rủi ro là một quy trình lặp đi lặp lại, vì các rủi ro riêng lẻ mới của dự án có thể xuất hiện khi dự án tiến triển trong vòng đời của nó và mức độ rủi ro tổng thể của dự án cũng sẽ thay đổi. Tần suất và thành phần tham gia vào mỗi lần xác định rủi ro sẽ khác nhau tùy theo tình huống và điều này sẽ được xác định trong kế hoạch quản lý rủi ro. Những người tham gia vào hoạt động xác định rủi ro cũng tương tự quá trình lập kế hoạch quản lý rủi ro, bao gồm TẤT CẢ MỌI NGƯỜI - tất cả các bên liên quan đến dự án!!! Khi mô tả và ghi lại các rủi ro riêng lẻ của dự án, nên sử dụng một định dạng nhất quán cho các báo cáo rủi ro (risk report) để đảm bảo rằng mỗi rủi ro được hiểu một cách thông suốt và rõ ràng nhằm hỗ trợ phân tích hiệu quả và đề ra phương án ứng phó rủi ro. Bởi vì việc xác định rủi ro chủ yếu thực hiện trong quá trình khởi tạo và lập kế hoạch dự án, nhưng số lượng nhỏ rủi ro cũng có thể được xác định sau này. Các rủi ro cần được liên tục đánh giá lại. Việc xác định rủi ro còn có thể được thực hiện:
Các công cụ và kỹ thuật quan trọng sử dụng trong quy trình xác định rủi ro
Quy trình xác định rủi ro tạo ra Risk register và Risk report Risk register là danh sách các rủi ro riêng lẻ đã được xác định của dự án, giúp nắm bắt các chi tiết của rủi ro. Kết quả của việc thực hiện những quy trình phân tích định tính, lập kế hoạch ứng phó rủi ro, thực hiện ứng phó rủi ro và giám sát rủi ro cũng sẽ được ghi lại trong risk register. Risk register chứa những thông tin khác nhau tại các điểm khác nhau trong quy trình quản lý rủi ro. Ví dụ: nếu dự án mới bắt đầu và chúng ta đang trong quá trình xác định rủi ro, risk register sẽ chứa các rủi ro đã xác định và các phương án ứng phó tiềm năng (potential), chứ không phải các phương án ứng phó thực sự được chọn cho rủi ro đó. Tại thời điểm này trong quá trình quản lý rủi ro, risk register bao gồm: - Danh sách các rủi ro đã xác định: Các rủi ro cần được trình bày rõ ràng và cụ thể nhất. Mỗi rủi ro riêng lẻ được cung cấp một mã định danh duy nhất trong risk register. - Potential risk owners: Các risk owner (sẽ được giải thích ở phần sau) tiềm năng có thể được xác định tại quy trình này, và sẽ được xác nhận lại trong quy trình phân tích định tính. - Phương án ứng phó tiềm năng: Sẽ có lúc phương án ứng phó được xác định đồng thời với rủi ro. Các phương án ứng phó tiềm năng này nên được thêm vào risk register khi rủi ro được xác định và sẽ được xác nhận trong quá trình lập kế hoạch ứng phó rủi ro. - Nguyên nhân gốc rễ của rủi ro: Cung cấp thông tin có giá trị để sử dụng sau này nhằm lập kế hoạch ứng phó rủi ro và đánh giá lại rủi ro trong dự án, cũng như làm thông tin tham khảo cho các dự án trong tương lai. Một rủi ro có khả năng tái xuất hiện trong dự án nếu nguyên nhân gốc rễ của nó chưa được xác định và giải quyết. - Cập nhật danh mục rủi ro: Dự án của chúng ta có thể phát hiện ra các loại rủi ro mới, và có thể thêm vào checklist chuẩn của doanh nghiệp. Một số thông tin bổ sung có thể được ghi lại cho từng rủi ro, tùy thuộc vào định dạng risk register được chỉ định trong kế hoạch quản lý rủi ro. Có thể bao gồm: tiêu đề rủi ro, loại rủi ro, tình trạng rủi ro hiện tại, một hoặc nhiều nguyên nhân, một hoặc nhiều tác động đến mục tiêu, yếu tố kích hoạt rủi ro (các sự kiện hoặc điều kiện cho thấy rủi ro sắp xảy ra), tham chiếu WBS về các hoạt động bị ảnh hưởng và thông tin về thời gian (khi nào rủi ro được xác định, khi nào rủi ro có thể xảy ra, khi nào nó có thể không còn phù hợp nữa và thời hạn thực hiện khi nào). Một lưu ý nhỏ, các phương án ứng phó cho rủi ro được ghi lại trong quá trình xác định rủi ro (các phương án ứng phó tiềm năng) và trong khi lập kế hoạch ứng phó rủi ro (các kế hoạch ứng phó thực sự được chọn). Risk report trình bày thông tin về các nguồn rủi ro tổng thể của dự án (overall project risk), cùng với thông tin tóm tắt về các rủi ro riêng lẻ của dự án đã được xác định. Risk report sẽ được phát triển và cập nhật dần dần trong suốt các quy trình của quản lý rủi ro dự án. Kết quả của việc thực hiện phân tích rủi ro định tính, định lượng, lập kế hoạch ứng phó rủi ro, thực hiện ứng phó rủi ro và giám sát rủi ro được ghi lại trong risk report khi các quy trình đó được hoàn thành. Tại thời điểm này trong quy trình quản lý rủi ro, risk report bao gồm: - Các nguồn rủi ro tổng thể của dự án: Chỉ ra những yếu tố quan trọng nhất dẫn tới rủi ro tổng thể của dự án. - Thông tin tóm tắt những rủi ro riêng lẻ: Thông tin tóm tắt như số lượng các mối đe dọa và cơ hội đã xác định, phân bổ rủi ro trên các danh mục rủi ro, xu hướng,... - Thông tin bổ sung: Có thể được đưa vào risk report, tùy thuộc vào các yêu cầu báo cáo được quy định trong kế hoạch quản lý rủi ro. 3. Quy trình thực hiện phân tích rủi ro định tínhThực hiện phân tích rủi ro định tính là quy trình đánh giá mức độ ưu tiên cho các rủi ro riêng lẻ của dự án để phục vụ quá trình phân tích sâu hơn về sau, bằng cách đánh giá khả năng xảy ra và tác động của chúng tới dự án, đồng thời cũng cân nhắc một số đặc điểm khác của rủi ro. Quy trình này tập trung nỗ lực vào những rủi ro có mức ưu tiên cao. Quy trình này được thực hiện trong suốt dự án. Phân tích rủi ro định tính là một phân tích chủ quan (dựa trên nhận thức về rủi ro của nhóm dự án và các bên liên quan khác) về các rủi ro được xác định trong risk register. Kế hoạch quản lý rủi ro định nghĩa ra cho chúng ta biết thế nào là high priority, high impact, thế nào là high-priority risk, low-priority risk. Khi mà mọi người thống nhất các tiêu chí đó rồi thì mới có thể phân tích, đánh giá rủi ro được. Và quy trình này được lặp lại khi các rủi ro mới được phát hiện. Đánh giá định tính hiệu quả đòi hỏi phải xác định và quản lý tốt thái độ về rủi ro của những người tham gia trong quy trình phân tích rủi ro định tính. Chúng ta rất dễ mắc sai lầm khi đưa sự thiên vị vào đánh giá định tính các rủi ro, vì vậy cần chú ý đến việc xác định sự thiên vị và điều chỉnh cho phù hợp. Giải quyết sự thiên vị là một phần quan trọng trong vai trò của người điều phối (facilitator) quá trình thực hiện phân tích rủi ro định tính. Thực hiện phân tích rủi ro định tính là thiết lập các mức độ ưu tiên tương đối của các rủi ro riêng lẻ của dự án, làm cơ sở cho kế hoạch ứng phó rủi ro. Đồng thời xác định risk owner (người sẽ chịu trách nhiệm lập kế hoạch ứng phó rủi ro thích hợp và đảm bảo rằng nó được thực hiện) cho mỗi rủi ro. Việc thực hiện phân tích rủi ro định tính là bắt buộc và quy trình này sẽ là nền tảng cho thực hiện phân tích rủi ro định lượng (nếu dự án bắt buộc phải phân tích định lượng). Thực hiện phân tích rủi ro định tính được xác định trong kế hoạch quản lý rủi ro, và cho chúng ta biết khi nào quy trình này được thực hiện. Thông thường trong Agile thì phân tích rủi ro định tính được thực hiện trước mỗi vòng lặp. Các công cụ và kỹ thuật quan trọng sử dụng trong quy trình thực hiện phân tích rủi ro định tính
- Mức độ hiểu biết về rủi ro - Dữ liệu có sẵn về rủi ro - Chất lượng dữ liệu - Độ tin cậy và tính toàn vẹn của dữ liệu
Phân loại rủi ro có thể dẫn đến việc phát triển các phương án ứng phó rủi ro hiệu quả hơn bằng cách: Tập trung sự chú ý và nỗ lực vào các phạm vi có rủi ro cao nhất, hoặc Phát triển các phương án ứng phó rủi ro chung để giải quyết các nhóm rủi ro liên quan.
- Risk owner, người sẽ: + Chịu trách nhiệm lập kế hoạch ứng phó rủi ro thích hợp và báo cáo tiến độ quản lý rủi ro. + Được phân bổ cho từng rủi ro riêng lẻ như một phần của quy trình thực hiện phân tích rủi ro định tính. - Mỗi cuộc họp có một điều phối viên có kỹ năng tốt sẽ làm tăng hiệu quả của cuộc họp. Risk register và Risk report được cập nhật qua quy trình phân tích rủi ro định tính
- Đánh giá khả năng xảy ra và tác động của từng rủi ro riêng lẻ đối với dự án - Mức độ ưu tiên hoặc risk score cho từng rủi ro - Risk owner được chỉ định - Kết quả đánh giá dựa trên những thông số khác - Rủi ro được phân loại vào các danh mục - Watchlist chứa các rủi ro có mức độ ưu tiên thấp (non critical risks) - Danh sách các rủi ro cần phân tích thêm
- So sánh rủi ro tổng thể của dự án với rủi ro tổng thể của các dự án khác. - Xác định xem nên tiếp tục hay chấm dứt dự án. - Xác định xem có nên tiến hành các quy trình thực hiện phân tích định lượng hoặc lập kế hoạch ứng phó rủi ro (tùy thuộc vào nhu cầu của dự án và tổ chức thực hiện) hay không. 4. Thực hiện phân tích rủi ro định lượngThực hiện phân tích rủi ro định lượng là quá trình phân tích tác động tổng hợp của các rủi ro riêng lẻ và các nguồn không chắc chắn khác đối với các mục tiêu tổng thể của dự án thông qua những số liệu cụ thể. Quy trình này KHÔNG bắt buộc đối với tất cả các dự án, nhưng nếu được sử dụng ở dự án nào thì nó sẽ được thực hiện xuyên suốt dự án đó. Thực hiện phân tích rủi ro định lượng thường yêu cầu phần mềm chuyên dụng và chuyên môn trong việc xây dựng và phân tích các mô hình rủi ro, quá trình này sẽ tiêu tốn thêm thời gian và chi phí của dự án. Việc sử dụng phân tích rủi ro định lượng cho một dự án sẽ được quy định trong kế hoạch quản lý rủi ro của dự án. Quy trình phân tích rủi ro định lượng thích hợp cho các dự án lớn hoặc phức tạp, các dự án quan trọng về mặt chiến lược của doanh nghiệp, các dự án có được từ yêu cầu của hợp đồng. Thực hiện phân tích rủi ro định lượng được xem là phương pháp đáng tin cậy DUY NHẤT để đánh giá rủi ro tổng thể của dự án thông qua đánh giá tác động tổng hợp lên kết quả dự án của tất cả các rủi ro riêng lẻ và các nguồn không chắc chắn khác. Những kết luận từ quy trình phân tích rủi ro định lượng được sử dụng làm nền tảng cho quá trình lập kế hoạch ứng phó rủi ro, đặc biệt trong việc đề xuất các phương án ứng phó rủi ro đối với những rủi ro có mức độ ưu tiên cao. Phân tích rủi ro định lượng cũng có thể được thực hiện sau quá trình lập kế hoạch ứng phó rủi ro, để xác định hiệu quả có thể có của các phương án theo kế hoạch trong việc giảm thiểu rủi ro tổng thể của dự án. Các công cụ và kỹ thuật quan trọng sử dụng trong quy trình thực hiện phân tích rủi ro định lượng
- Monte Carlo là một dạng của mô hình mô phỏng. - Khi chạy phân tích Monte Carlo cho rủi ro X, mô phỏng sử dụng ước tính X của dự án. Trong đó, X có thể là chi phí, tiến độ (network diagram hoặc ước lượng thời gian) hoặc cả hai. - Các giá trị đầu vào (ví dụ: ước lượng chi phí, ước lượng thời gian) được chọn NGẪU NHIÊN cho mỗi lần lặp. - Sử dụng phần mềm máy tính để lặp lại mô hình phân tích rủi ro định lượng hàng nghìn, hàng vạn lần. - Kết quả đầu ra đại diện cho phạm vi các kết quả có thể có cho dự án (ví dụ: ngày kết thúc dự án, chi phí dự án khi hoàn thành). - Các đầu ra điển hình bao gồm: + Biểu đồ trình bày số lần lặp lại từ việc chạy mô phỏng, hoặc + Phân phối xác suất tích lũy (S-curve) thể hiện xác suất đạt được của bất kỳ kết quả cụ thể nào.
- Sơ đồ này có thể bao gồm: + Rủi ro riêng lẻ, + Các hoạt động của dự án có mức độ thay đổi cao, hoặc + Các nguồn mơ hồ cụ thể - Các hạng mục được sắp xếp theo độ mạnh tương quan giảm dần, tạo ra hình dạng lốc xoáy. - Lưu ý: Độ nhạy ≠ DOE - Design Of Experiments (một thuật ngữ trong quản lý chất lượng) + Độ nhạy: thay đổi một yếu tố và cố định các yếu tố khác để xem yếu tố nào có tác động lớn nhất. + Thiết kế thử nghiệm (DOE): thay đổi một cách có hệ thống tất cả các yếu tố quan trọng và xem sự kết hợp nào có tác động lớn nhất.
- Các phương án sẽ được chia thành các nhánh, được hiển thị trong cây quyết định, mỗi nhánh có thể có chi phí liên quan và rủi ro riêng lẻ liên quan (bao gồm cả các mối đe dọa và cơ hội). - Điểm cuối của các nhánh trong cây quyết định đại diện cho kết quả đi theo một phương án cụ thể đó, có thể là tiêu cực hoặc tích cực (giá trị có thể là âm hoặc dương). - Cây quyết định được đánh giá bằng cách tính toán giá trị bằng tiền dự kiến của mỗi nhánh (Expected Monetary Value - EMV), cho phép chúng ta chọn được phương án tối ưu. - Được áp dụng theo công thức: EMV = P x I Trong đó: + EMV: Expected Monetary Value - Giá trị tiền mong đợi + P: Probability - khả năng xảy ra + I: Impact - tác động - Việc tính toán EMV được thực hiện trong quá trình phân tích rủi ro định lượng và được sửa đổi trong quá trình lập kế hoạch ứng phó rủi ro khi tính toán các khoản dự phòng (contingency reserves) cho tiến độ và chi phí. + Cây quyết định tính đến các sự kiện trong tương lai để đưa ra quyết định tại thời điểm hiện tại. + Với cây quyết định, chúng ta có thể đánh giá các chi phí (hoặc các tác động của tiến độ) và lợi ích của một số phương án ứng phó rủi ro cùng một lúc để xác định đâu là lựa chọn tốt nhất. - Ví dụ chúng ta cần bay từ một thành phố sang một thành phố khác, có thể đi hãng hàng không A hoặc B. Dựa vào hình dưới đây, chúng ta phải quyết định xem sẽ sử dụng hãng hàng không nào. - Nếu tỉ lệ đến đúng giờ của hãng A là 90%, thì tỉ lệ đến trễ là 10%. Tỉ lệ đến đúng giờ của hãng B là 70%, thì tỉ lệ đến trễ là 30%. Nếu đến trễ thì chúng ta sẽ bị thiệt hại $4,000. Sử dụng EMV để tính và ra quyết định: - Đối với hãng A thì thiệt hại: EMV = (10% x $4,000) + $900 = $400 + $900 = $1,300 - Đối với hãng B thì thiệt hại: EMV = (30% x $4,000) + $300 = $1,200 + $300 = $1,500 - Từ kết quả trên ta thấy với EMV = $1,300 thì hãng A sẽ được lựa chọn sử dụng vì giá trị EMV $1,300 là thiệt hại thấp hơn $1,500. - Cùng đến với một ví dụ khác - Cây quyết định chỉ ra cách đưa ra quyết định giữa các chiến lược sử dụng vốn - được biểu thị là "nút quyết định", "nút cơ hội" chứa các yếu tố không chắc chắn (nhu cầu của thị trường - dự đoán rằng có 60% là nhu cầu mạnh, 40% là nhu cầu yếu). - Ở đây, một quyết định cần được đưa ra là đầu tư 120 triệu đô la để xây dựng một nhà máy mới hay thay vào đó chỉ đầu tư 50 triệu đô la để nâng cấp nhà máy hiện có. Đối với mỗi quyết định, nhu cầu (không chắc chắn và do đó đại diện cho một “nút cơ hội”) phải được tính đến. Ví dụ, nhu cầu mạnh dẫn đến doanh thu 200 triệu đô la với nhà máy mới nhưng chỉ 120 triệu đô la khi nhà máy được nâng cấp, nhu cầu yếu dẫn đến doanh thu 90 triệu đô la với nhà máy mới nhưng chỉ 60 triệu đô la khi nhà máy được nâng cấp. Phần cuối của mỗi nhánh cho thấy lợi ích ròng bằng các khoản doanh thu trừ đi chi phí, kết quả được ghi vào khung chữ nhật ở cuối nhánh. Tính toán EMV cho nhà máy được xây mới có EMV = 0.6 * 80M + 0.4 * -30M = 36M. EMV cho nhà máy được nâng cấp có EMV = 0.6 * 70M + 0.4 * 10M = 46M, cũng là EMV của quyết định tổng thể. Risk report được cập nhật qua quy trình phân tích rủi ro định lượng
Cơ hội thành công của dự án, được biểu thị bằng xác suất dự án sẽ đạt được các mục tiêu chính của nó. Ví dụ: “Chúng ta chỉ có 80% cơ hội hoàn thành dự án trong vòng sáu tháng như khách hàng yêu cầu”. Hoặc, "Chúng ta chỉ có 75% cơ hội hoàn thành dự án trong ngân sách 800.000 đô la."
Lượng dự phòng cần thiết để cho dự án. Ví dụ: “Dự án cần thêm 50.000 đô la và hai tháng thời gian để giải quyết các rủi ro trong dự án.” Các khoản dự phòng sẽ được chốt trong quy trình lập kế hoạch ứng phó rủi ro. Xác định các rủi ro riêng lẻ hoặc các nguồn không chắc chắn khác có ảnh hưởng lớn nhất đến critical path của dự án. Các nguồn của rủi ro tổng thể của dự án có ảnh hưởng lớn nhất đến sự không chắc chắn trong kết quả dự án.
So sánh Phân tích rủi ro định tính và Phân tích rủi ro định lượng
5. Lập kế hoạch ứng phó rủi roLập kế hoạch ứng phó các rủi ro là quá trình phát triển các phương án, lựa chọn chiến lược và thống nhất các hành động để giải quyết rủi ro tổng thể của dự án, cũng như xử lý các rủi ro riêng lẻ. Quá trình lập kế hoạch ứng phó các rủi ro cần:
Quá trình này được thực hiện trong suốt dự án. Các phương án ứng phó rủi ro hiệu quả và thích hợp có thể giảm thiểu các mối đe dọa, tối đa hóa các cơ hội và giảm mức độ rủi ro tổng thể của dự án. Các phương án ứng phó rủi ro không phù hợp có thể phản tác dụng. Sau khi các rủi ro đã được xác định, phân tích và sắp xếp thứ tự ưu tiên, risk owner được chỉ định phải xây dựng các kế hoạch để giải quyết từng rủi ro của dự án mà nhóm dự án cho là quan trọng, do mối đe dọa mà nó gây ra đối với các mục tiêu của dự án hoặc cơ hội mà nó mang lại. Project manager cũng nên xem xét cách ứng phó phù hợp với mức độ rủi ro tổng thể của dự án hiện tại. Quá trình lập kế hoạch ứng phó các rủi ro phải thích hợp cho:
Các hành động cụ thể được phát triển để thực hiện chiến lược ứng phó rủi ro đã thỏa thuận, bao gồm các chiến lược chính và dự phòng, nếu cần. Một kế hoạch dự phòng có thể được phát triển để thực hiện nếu:
Rủi ro thứ cấp - Secondary risks (rủi ro phát sinh do kết quả trực tiếp của việc thực hiện hoạt động ứng phó rủi ro) cũng cần được xác định. Một khoản dự phòng về thời gian hoặc chi phí thường được phân bổ. Nếu được xây dựng, nó có thể bao gồm việc xác định các điều kiện để kích hoạt việc sử dụng.
Một số phương án ứng phó rủi ro được thiết kế để sử dụng nếu một số sự kiện nhất định xảy ra. Đối với một số rủi ro, nhóm dự án phải lập một kế hoạch ứng phó chỉ được thực hiện trong một số điều kiện xác định trước (chẳng hạn như thiếu các milestones quan trọng). Các phương án ứng phó rủi ro được xác định bằng cách sử dụng kỹ thuật này thường được gọi là kế hoạch dự phòng (contingency plans hoặc fallback plans) và bao gồm các sự kiện kích hoạt, những dấu hiệu báo trước đã được xác định để lập kế hoạch có hiệu quả. Risk register và Risk report được cập nhật qua quy trình lập kế hoạch ứng phó rủi ro
- Residual risks (Rủi ro tồn đọng): Đây là những rủi ro còn sót lại sau khi lập kế hoạch ứng phó cho một rủi ro. Sau khi chúng ta đã avoided, exploited, mitigated, enhanced, transferred, shared, escalated, và accepted rủi ro (và tạo kế hoạch dự phòng liên quan), vẫn sẽ có những rủi ro còn tồn tại. Những rủi ro tồn đọng được chấp nhận một cách thụ động cần được ghi lại và xem xét trong suốt dự án để xem liệu chúng có thay đổi hay không (về khả năng xảy ra và tác động). Một ví dụ về rủi ro tồn đọng được đưa ra khi sử dụng dây an toàn trên ô tô. Việc lắp đặt và sử dụng dây an toàn làm giảm mức độ nghiêm trọng và khả năng bị thương tích tổng thể trong một vụ tai nạn ô tô, tuy nhiên, khả năng bị thương tích vẫn còn khi sử dụng, nghĩa là rủi ro vẫn còn tồn đọng. - Secondary risks (Rủi ro thứ cấp): Là bất kỳ rủi ro mới nào được tạo ra bởi việc thực hiện các biện pháp ứng phó rủi ro đã chọn. Những rủi ro thứ cấp đó cũng cần được phân tích như một phần của kế hoạch ứng phó rủi ro. - Contingency plans: Là các kế hoạch mô tả các hành động cụ thể sẽ được thực hiện nếu cơ hội hoặc mối đe dọa xảy ra. - Fallback plans: Là các kế hoạch mô tả các hành động cụ thể sẽ được thực hiện nếu các kế hoạch dự phòng (Contingency plans) không hiệu quả. - Risk owner: Một điều quan trọng trong lập kế hoạch ứng phó rủi ro là Project Manager không phải làm tất cả, và cả nhóm dự án cũng vậy . Mỗi rủi ro phải được chỉ định một người sẽ: + Giúp dẫn dắt quá trình phát triển phương án ứng phó rủi ro và + Được chỉ định thực hiện ứng phó rủi ro. + Risk owner có thể là một bên liên quan không phải là một thành viên trong nhóm. - Risk triggers (Kích hoạt rủi ro): Đây là những sự kiện kích hoạt, những dấu hiệu báo trước cho ứng phó dự phòng (Contingent responses). Các dấu hiệu cảnh báo sớm cho mỗi rủi ro trong dự án cần được xác định để risk owner biết khi nào cần hành động. - Contracts (Hợp đồng): Trước khi hoàn tất hợp đồng, Project Manager nên hoàn thành phân tích rủi ro, đưa vào các điều khoản, điều kiện hợp đồng cần thiết để giảm thiểu các mối đe dọa và tăng cường cơ hội. Bất kỳ hợp đồng nào được phát hành để đối phó với rủi ro cần được ghi vào risk register. Reserves (contingency) (dự phòng): Dự phòng cho thời gian và chi phí là một phần bắt buộc của quản lý dự án. Chúng ta không thể đưa ra tiến độ hoặc ngân sách cho dự án mà không có chúng. Trình tự thực hiện quản lý rủi ro từ Xác định rủi ro đến Lập kế hoạch ứng phó 6. Thực hiện các ứng phó rủi roThực hiện các ứng phó rủi ro là quy trình thực hiện các kế hoạch ứng phó rủi ro đã thỏa thuận, đảm bảo rằng các kế hoạch ứng phó rủi ro đã thỏa thuận được thực hiện để giải quyết rủi ro tổng thể của dự án, giảm thiểu các mối đe dọa và tối đa hóa các cơ hội của dự án riêng lẻ. Quá trình này sẽ được thực hiện trong suốt dự án. Một vấn đề phổ biến thường gặp ở quản lý rủi ro dự án là các nhóm dự án dành nỗ lực trong việc xác định và phân tích rủi ro và phát triển các phương án ứng phó rủi ro, sau đó các phương án được thống nhất và ghi vào risk register và risk report, nhưng không có hành động nào được thực hiện để quản lý rủi ro. Chỉ khi các risk owner đưa ra mức độ nỗ lực cần thiết để thực hiện các hành động ứng phó đã thỏa thuận thì mức độ rủi ro chung của dự án cũng như các mối đe dọa và cơ hội riêng lẻ mới được chủ động quản lý. Risk register và Risk report được cập nhật qua quy trình thực hiện các ứng phó rủi ro
7. Giám sát rủi roGiám sát rủi ro là quy trình giám sát việc thực hiện các kế hoạch ứng phó rủi ro đã thỏa thuận, theo dõi các rủi ro đã xác định, xác định và phân tích các rủi ro mới, đồng thời đánh giá hiệu quả của quy trình quản lý rủi ro trong toàn bộ dự án. Giám sát rủi ro cho phép chúng ta đưa các quyết định của dự án dựa trên thông tin hiện tại về rủi ro tổng thể của dự án và các rủi ro riêng lẻ. Quá trình này được thực hiện trong suốt dự án. Để đảm bảo rằng nhóm dự án và các bên liên quan nhận thức được mức độ rủi ro hiện tại, cần liên tục theo dõi đối với các rủi ro mới của dự án, các rủi ro đã thay đổi hay lỗi thời và những thay đổi về mức độ rủi ro tổng thể của dự án bằng cách áp dụng quy trình giám sát rủi ro. Giám sát rủi ro xác định xem:
Các công việc khác thuộc quy trình giám sát rủi ro bao gồm: Trong trường hợp dự án đã không còn thực hiện đúng theo kế hoạch nữa, nhóm có thể thực hiện những hành động khắc phục để đưa dự án trở lại đúng theo kế hoạch. Các hành động khắc phục đó có thể bao gồm các giải pháp thay thế (Workarounds). Như chúng ta cũng đã biết, các phương án ứng phó dự phòng (contingency responses) được phát triển trước (có kế hoạch), các giải pháp thay thế (Workarounds) là các phương án ứng phó không có kế hoạch trước, được phát triển để đối phó với sự xuất hiện của các sự kiện hoặc vấn đề không lường trước được trong dự án (hoặc để đối phó với các rủi ro đã được chấp nhận - accepted). Project Manager KHÔNG thực hiện quản lý rủi ro tốt sẽ phải dành nhiều thời gian của mình để tạo ra workarounds.
Điều quan trọng là phải xác định xem có cần phải thực hiện bất kỳ thay đổi hoặc điều chỉnh nào đối với những gì đã được lên kế hoạch hay không dựa trên thông tin được cập nhật rõ ràng khi công việc bắt đầu. Kết quả của các đánh giá lại là một phần của việc xem xét rủi ro mới, rủi ro đã đóng, phân tích rủi ro định tính hoặc định lượng bổ sung về các rủi ro mới và / hoặc đã xác định trước đó và lập kế hoạch ứng phó rủi ro. Các công cụ và kỹ thuật quan trọng sử dụng trong quy trình giám sát rủi ro
- Đánh giá rủi ro có thể được tiến hành cùng với họp dự án định kỳ hoặc có thể tổ chức họp riêng, và được quy định trong kế hoạch quản lý rủi ro. - Đánh giá rủi ro cũng có thể dẫn đến việc phát hiện ra các rủi ro mới (bao gồm các rủi ro thứ cấp phát sinh từ các phương án ứng phó rủi ro đã thỏa thuận), đánh giá lại các rủi ro hiện tại, đóng các rủi ro đã hết hạn, các vấn đề phát sinh do rủi ro đã xảy ra và xác định các bài học cần rút ra để áp dụng trong các giai đoạn khác của dự án hiện tại hoặc trong các dự án tương tự trong tương lai. Risk register và Risk report được cập nhật qua quy trình giám sát rủi ro
- Risk report có thể bao gồm thông tin chi tiết về các rủi ro hàng đầu của dự án, các phương án ứng phó và risk owner, các kết luận và khuyến nghị. - Risk report cũng có thể bao gồm các kết luận từ risk audit về tính hiệu quả của quy trình quản lý rủi ro. Những sai lầm phổ biến trong quản lý rủi roSau đây là một số sai lầm quản lý rủi ro phổ biến mà các dự án thường mắc phải:
Tổng kếtQuản lý rủi ro là một trong những lĩnh vực kiến thức cực kỳ quan trọng trong quản lý dự án. Chính vì vậy, doanh nghiệp cũng như người trực tiếp thực hiện quản lý rủi ro cần có kiến thức, kinh nghiệm để xác định, đánh giá rủi ro, từ đó giúp tối ưu hóa cơ hội thành công của dự án. Tác giả: Nguyễn Hải Hà - Pass PMP 5 Above Target References: PMBOK 6th edition, Rita 09, PMI.org Xem thêm: MỌI KIẾN THỨC VỀ PMP MỌI CHUẨN BỊ VỀ PMP Các thuật ngữ dễ nhầm lẫn trong bài thi PMP và Giải thích chuyên sâu 7 nguyên lý quản lý rủi ro - Seven risk management principles Kinh nghiệm pass PMI-RMP (Risk Management Professional)® sau 5 tuần - Bí kíp thi ĐẬU PMI-RMP® ngay lần đầu tiên, lấy chứng chỉ Quản lý rủi ro chuyên nghiệp Ràng buộc là gì? What is Constraint in PMP? The Standard for Risk Management in Portfolios, Programs, and Projects |