ITIL 4 Management Practices - Bài 29 : Nhận diện, đánh giá và ứng phó - Các nguyên tắc của Risk Management.

Peter tháng 7 16, 2025

 Chào mừng các bạn trở lại với blog của ITSM Expert!

Trong bài viết trước, chúng ta đã cùng nhau khám phá Risk Management – Quản lý Rủi ro – hiểu rằng đây là Practice (thực hành) không chỉ giúp bảo vệ tổ chức khỏi các mối đe dọa mà còn khai thác các cơ hội tiềm ẩn. Chúng ta đã nhấn mạnh rằng rủi ro là một phần không thể tránh khỏi của kinh doanh và việc không tận dụng cơ hội cũng là một rủi ro.

Hôm nay, chúng ta sẽ đi sâu vào các nguyên tắc chính của Quản lý Rủi rohướng dẫn các bước cơ bản của quy trình quản lý rủi ro: từ nhận diện, phân tích, đánh giá cho đến ứng phó với rủi ro. Nắm vững những kiến thức này sẽ giúp bạn lèo lái tổ chức mình một cách chủ động, giảm thiểu bất ngờ và đưa ra quyết định sáng suốt hơn.

Nhắc lại về Risk Management và tầm quan trọng của nó

Mục đích của thực hành quản lý rủi ro là đảm bảo rằng tổ chức hiểu và xử lý rủi ro một cách hiệu quả. Quản lý rủi ro là thiết yếu để đảm bảo sự bền vững liên tục của một tổ chức và tạo ra giá trị cho khách hàng. Rủi ro được định nghĩa là một sự kiện có thể xảy ra và có thể gây hại hoặc mất mát, hoặc làm cho việc đạt được các mục tiêu trở nên khó khăn hơn.

Trong môi trường kinh doanh đầy biến động, việc quản lý rủi ro hiệu quả là then chốt để bảo vệ tài sản, duy trì uy tín và đảm bảo hoạt động liên tục.

Ba Nguyên tắc Cơ bản của Quản lý Rủi ro trong ITIL 4

ITIL 4 dựa trên các nguyên tắc cơ bản trong Quản lý Rủi ro để đảm bảo tính hiệu quả và toàn diện. Việc tuân thủ những nguyên tắc này giúp xây dựng một khuôn khổ quản lý rủi ro mạnh mẽ trong tổ chức.

  1. Rủi ro là một phần của kinh doanh (Risk is part of business):

    • Ý nghĩa: Rủi ro không phải lúc nào cũng xấu và không phải lúc nào cũng có thể hoặc nên tránh né. Tổ chức nên đảm bảo rằng rủi ro được quản lý một cách phù hợp. Việc chấp nhận rủi ro có tính toán là cần thiết để đảm bảo sự bền vững lâu dài, đặc biệt là khi các rủi ro đó mở ra những cơ hội lớn cho đổi mới và phát triển.

    • Thực hành: Rủi ro cần được xác định, hiểu rõ và đánh giá theo mức độ rủi ro mà tổ chức sẵn sàng chấp nhận (gọi là "mức độ chấp nhận rủi ro" - risk appetite). Sau đó, chúng cần được quản lý và giám sát một cách phù hợp.

  2. Quản lý rủi ro phải nhất quán trong toàn tổ chức (Risk management must be consistent across the organization):

    • Ý nghĩa: Để đạt được hiệu quả tối đa, thực hành quản lý rủi ro phải được quản lý một cách toàn diện và đồng bộ trên mọi cấp độ, mọi phòng ban của tổ chức. Nếu mỗi bộ phận có cách đánh giá và xử lý rủi ro riêng biệt, sẽ dẫn đến sự thiếu hiệu quả và các lỗ hổng tiềm ẩn.

    • Thực hành: Cần có sự tham vấn liên tục với tất cả các bên liên quan (từ cấp lãnh đạo đến nhân viên vận hành, khách hàng, nhà cung cấp) và sự linh hoạt phù hợp cho các bộ phận khác nhau của tổ chức, nhưng với một khuôn khổ và ngôn ngữ rủi ro chung.

  3. Văn hóa quản lý rủi ro (Risk management culture):

    • Ý nghĩa: Giống như các lĩnh vực quản lý khác, quản lý rủi ro cũng được hưởng lợi từ việc có văn hóa phù hợp. Điều này có nghĩa là khuyến khích sự minh bạch, cởi mở khi báo cáo rủi ro, và học hỏi từ cả thành công lẫn thất bại. Một văn hóa lành mạnh sẽ khuyến khích nhân viên chủ động nhận diện và báo cáo rủi ro mà không sợ bị đổ lỗi.

    • Thực hành: Tạo môi trường an toàn để thảo luận về rủi ro, đào tạo nhân viên về nhận thức rủi ro, và công nhận những nỗ lực trong việc quản lý rủi ro.

Quy trình Quản lý Rủi ro: Các bước cơ bản từ lý thuyết đến thực hành

Mặc dù có nhiều khung quản lý rủi ro chi tiết (như ISO 31000, COSO ERM), ITIL 4 tập trung vào các bước cơ bản mà mọi tổ chức cần thực hiện để quản lý rủi ro một cách hiệu quả. Đây là một chu trình liên tục, không phải là một hoạt động một lần.

Bước 1: Nhận diện Rủi ro (Risk Identification)

  • Mục tiêu: Tìm kiếm và xác định các sự kiện có thể ảnh hưởng đến mục tiêu của tổ chức.

  • Hoạt động: Đây là quá trình liên tục tìm kiếm và xác định các sự kiện có thể gây hại (mối đe dọa) hoặc tạo cơ hội (rủi ro tích cực).

    • Nguồn nhận diện:

      • Thay đổi trong nhu cầu và ưu tiên của khách hàng: Dịch vụ không còn phù hợp với thị trường.

      • Thay đổi pháp lý và quy định: Không tuân thủ các luật mới (ví dụ: GDPR).

      • Đối thủ cạnh tranh: Sự xuất hiện của đối thủ mới hoặc sản phẩm phá vỡ.

      • Sự phụ thuộc vào nhà cung cấp và đối tác: Nhà cung cấp gặp sự cố hoặc ngừng cung cấp.

      • Thay đổi công nghệ: Công nghệ lỗi thời, hoặc lỗ hổng bảo mật mới.

      • Các yêu cầu mâu thuẫn của các bên liên quan: Có thể dẫn đến dự án thất bại.

      • Dữ liệu từ Incident Management và Problem Management: Các sự cố lặp đi lặp lại hoặc lỗi đã biết.

    • Kỹ thuật: Brainstorming, phỏng vấn, phân tích dữ liệu lịch sử, kiểm toán.

  • Ví dụ thực tế tại Axle Car Hire: Việc nhận diện rủi ro tại Axle có thể bao gồm:

    • Mối đe dọa: Rủi ro xe bị hỏng hóc giữa đường (ảnh hưởng đến tính sẵn sàng), rủi ro về an toàn dữ liệu khách hàng từ ứng dụng sinh trắc học, hoặc rủi ro chuỗi cung ứng linh kiện xe điện bị gián đoạn do sự cố ở nhà cung cấp.

    • Cơ hội: Rủi ro khi không đổi mới (không phát triển xe điện, ứng dụng sinh trắc học) dẫn đến mất thị phần vào tay đối thủ cạnh tranh có công nghệ mới.

Bước 2: Phân tích và Đánh giá Rủi ro (Risk Analysis & Assessment)

  • Mục tiêu: Hiểu rõ bản chất của rủi ro, bao gồm khả năng xảy ra (probability) và tác động (impact) nếu rủi ro đó xảy ra.

  • Hoạt động:

    • Định lượng/định tính rủi ro: Đánh giá khả năng xảy ra (từ rất thấp đến rất cao) và tác động (từ không đáng kể đến thảm khốc) của từng rủi ro.

    • Ma trận rủi ro: Sử dụng ma trận để trực quan hóa rủi ro và ưu tiên chúng (ví dụ: rủi ro cao/tác động cao).

    • Mức độ chấp nhận rủi ro: Đánh giá rủi ro dựa trên mức độ chấp nhận rủi ro của tổ chức. Quyết định về rủi ro cần được cân bằng để lợi ích tiềm năng có giá trị hơn đối với tổ chức so với chi phí để giải quyết rủi ro.

  • Ví dụ thực tế tại Axle Car Hire: Khi Axle quyết định thuê ngoài dịch vụ vệ sinh xe cho Craig's Cleaning, họ đã phân tích rủi ro. Marco (IT Delivery Manager) đã liệt kê các "mặt hại" như "Axle sẽ mất cơ hội cung cấp dịch vụ vệ sinh xe", "Axle sẽ phải trả tiền cho công ty vệ sinh", "Axle sẽ phụ thuộc rất nhiều vào nhà cung cấp bên ngoài" và "nhân viên của công ty vệ sinh sẽ có quyền truy cập rộng rãi vào cơ sở của chúng tôi". Việc đánh giá này giúp họ cân bằng với các lợi ích và đưa ra quyết định chiến lược.

Bước 3: Ứng phó với Rủi ro (Risk Response)

  • Mục tiêu: Quyết định cách xử lý từng rủi ro dựa trên phân tích và mức độ chấp nhận rủi ro.

  • Hoạt động: Có bốn chiến lược ứng phó chính:

    1. Né tránh (Avoid): Loại bỏ hoàn toàn nguồn gốc của rủi ro. Ví dụ: không thực hiện một dự án quá rủi ro hoặc quá phức tạp.

    2. Giảm thiểu (Mitigate): Giảm khả năng xảy ra hoặc tác động của rủi ro. Ví dụ: cài đặt phần mềm diệt virus để giảm rủi ro tấn công mạng, hoặc xây dựng hệ thống dự phòng để giảm thiểu thời gian ngừng hoạt động.

    3. Chuyển giao (Transfer): Chuyển một phần hoặc toàn bộ rủi ro cho bên thứ ba. Ví dụ: mua bảo hiểm, hoặc thuê ngoài dịch vụ cho nhà cung cấp chuyên nghiệp có khả năng quản lý rủi ro đó tốt hơn.

    4. Chấp nhận (Accept): Chấp nhận rủi ro nếu tác động và khả năng xảy ra thấp, hoặc chi phí ứng phó quá cao so với lợi ích mang lại. Rủi ro này cần được giám sát liên tục.

  • Ví dụ thực tế tại Axle Car Hire: Trong trường hợp Axle thuê ngoài dịch vụ vệ sinh xe, họ đã quyết định chuyển giao rủi ro về việc xe bị hư hỏng trong quá trình vệ sinh cho công ty vệ sinh và công ty bảo hiểm của họ. Đồng thời, họ đã chấp nhận rủi ro mất đi một số kỹ năng nội bộ để giảm thiểu chi phí duy trì cơ sở vật chất và tăng khả năng tập trung vào kinh doanh cốt lõi.

Bước 4: Giám sát và Đánh giá (Monitoring & Review)

  • Mục tiêu: Quản lý rủi ro không phải là một hoạt động một lần mà là một quá trình liên tục. Rủi ro và các biện pháp ứng phó cần được giám sát liên tục để đảm bảo chúng vẫn còn hiệu quả.

  • Hoạt động:

    • Giám sát liên tục: Theo dõi các rủi ro đã nhận diện và các rủi ro mới tiềm ẩn.

    • Đánh giá định kỳ: Thường xuyên xem xét hiệu quả của các chiến lược ứng phó rủi ro.

    • Điều chỉnh: Điều chỉnh các biện pháp ứng phó hoặc ưu tiên rủi ro khi môi trường thay đổi.

  • Ví dụ thực tế tại Axle Car Hire: Henri đã nói: "Axle tham gia các chương trình phản hồi với tất cả các nhà sản xuất xe của chúng tôi. Chúng tôi chia sẻ dữ liệu bảo trì và sửa chữa với họ để giúp họ liên tục cải thiện dịch vụ của mình. Đổi lại, họ thông báo cho chúng tôi về bất kỳ vấn đề tiềm ẩn nào trong xe của chúng tôi". Điều này thể hiện việc giám sát liên tục các rủi ro từ nhà cung cấp và đánh giá phản hồi là một phần quan trọng của quản lý rủi ro tại Axle.

Lợi ích khi áp dụng Risk Management hiệu quả

Việc áp dụng một thực hành Quản lý Rủi ro mạnh mẽ, tuân thủ các nguyên tắc và quy trình cơ bản, mang lại nhiều lợi ích thiết thực cho tổ chức, biến rủi ro thành động lực:

  1. Đảm bảo sự bền vững của tổ chức: Bảo vệ tổ chức khỏi những tổn thất lớn và gián đoạn hoạt động không lường trước được, từ đó củng cố khả năng tồn tại và phát triển lâu dài.

  2. Ra quyết định tốt hơn: Các quyết định quan trọng (về đầu tư, chiến lược, vận hành) được đưa ra dựa trên sự hiểu biết rõ ràng về rủi ro và lợi ích tiềm năng, giúp tối ưu hóa kết quả.

  3. Tăng cường khả năng thích ứng và linh hoạt: Giúp tổ chức phản ứng nhanh chóng và hiệu quả với các thách thức bất ngờ, và chủ động nắm bắt các cơ hội mới trong môi trường thay đổi.

  4. Thúc đẩy đổi mới có kiểm soát: Cho phép tổ chức chấp nhận những rủi ro cần thiết để đổi mới và đạt được lợi thế cạnh tranh, nhưng trong khuôn khổ được quản lý chặt chẽ, giảm thiểu rủi ro phát sinh từ các sáng kiến mới.

  5. Tuân thủ quy định: Đảm bảo tổ chức đáp ứng các yêu cầu pháp lý và tiêu chuẩn ngành về quản lý rủi ro, tránh các khoản phạt và rắc rối pháp lý.

  6. Cải thiện uy tín và lòng tin: Khách hàng, đối tác và cổ đông tin tưởng hơn vào một tổ chức quản lý rủi ro chuyên nghiệp và có trách nhiệm.

Kết luận

Risk Management không chỉ là việc tránh né nguy hiểm; đó là nghệ thuật lèo lái con thuyền tổ chức qua biển cả biến động, nhận diện cả mối đe dọa lẫn cơ hội để đưa ra những quyết định sáng suốt nhất. Bằng cách áp dụng các nguyên tắc cơ bản và tuân thủ quy trình nhận diện, phân tích, đánh giá và ứng phó với rủi ro một cách chủ động, bạn sẽ không chỉ bảo vệ tài sản mà còn mở ra những con đường mới cho sự phát triển và tạo ra giá trị bền vững cho tổ chức của mình.

Hãy quản lý rủi ro một cách thông minh để khai thác tiềm năng của chúng và dẫn dắt tổ chức đến thành công!

Bạn muốn tìm hiểu sâu hơn?

Đừng bỏ lỡ video tiếp theo của tôi trên YouTube, nơi chúng ta sẽ khám phá cách Risk Management tích hợp vào Chuỗi Giá Trị Dịch vụ của ITIL, và những lợi ích chiến lược mà nó mang lại!

Nếu bạn thấy bài viết này hữu ích, đừng quên chia sẻ và để lại bình luận nhé!

Peter

Người đăng: Peter

Đăng nhận xét

0 Nhận xét