RỦI RO VÀ QUẢN TRỊ RỦI RO

Chủ đề về rủi ro và quản lý rủi ro là một chủ đề có lẽ được đem ra mổ sẻ nhiều nhất trong quá trình áp dụng ISO 9001 và các tiêu chuẩn hệ thống quản lý khác.

Trong bài viết này chúng tôi sẽ đưa ra các vấn đề và khái niệm cơ bản cho quá trình quản lý rủi ro.

1. Định Nghĩa về rủi ro.

Rủi ro: Là các Kết Quả không mong đợi trong điều kiện không chắc chắn.

Đây có lẽ là một trong những định nghĩa rất cơ bản, rất dễ hiểu và mô tả đúng nhất về khái niệm rủi ro, và nó được đề cập rất cụ thể trong ISO 9000 hoặc ISO 31001.

Dường như thuật ngữ rủi ro được sử dụng hàng ngày mà với bất cứ chuyện gì được coi là xấu hoặc nguy cơ xấu và đôi khi nó được quan trọng hoá đến mức cực kỳ phức tạp. Đặc biệt trong các cuộc audit các auditor cũng nhắc liên tục các vấn đề này, và dường như nhiều doanh nghiệp đang phải vật lộn với chính những yêu cầu về  phân tích rủi ro đó, và yêu cầu doanh nghiệp phải triệt tiêu gần như toàn bộ rủi ro. Một hệ quả đó là chi phí quản lý tăng trong khi đó khách hàng yêu cầu giảm giá, dẫn đến giảm động lực của doanh nghiệp. Câu hỏi đặt ra là vậy nó có quá phức tạp hay không? Doanh nghiệp có cần thiết phải loại bỏ toàn bộ tất cả các rủi ro hay không?

Khi nhắc về định nghĩa rủi ro, chúng ta phải làm rõ đó là một KẾT QUẢ mà bản thân người tiếp nhận kết quả đó không mong đợi.

Ví dụ:

Khi tôi bán sản phẩm cho khách hàng, tôi mong đợi sản phẩm của tôi rằng khách hàng sẽ nhận được sản phẩm đáp ứng được các yêu cầu kỹ thuật mà tôi đã công bố, tuy nhiên khi việc mua bán hoàn thành thì khách hàng nói rằng sản phẩm của tôi bị lỗi và đòi trả lại sản phẩm. Vậy việc sản phẩm bị lỗi và yêu cầu đổi trả của khách là một kết quả mà tôi không mong đợi,

Khi tôi mua hàng của nhà cung cấp, tôi dự kiến rằng nhà cung cấp sẽ giao hàng đến kho vào đúng trước một ngày so với ngày mà sản xuất yêu cầu. Tuy nhiên gần đến ngày giao hàng, nhà cung cấp thông báo rằng có thể hàng sẽ giao trễ hơn từ 2 đến 3 ngày so với thoả thuận ban đầu.

            Tôi là bộ phận quản lý đơn hàng,  khi tôi lập kế hoạch sản xuất, tôi mong đợi rằng kế hoạch sản xuất của tôi đưa ra sẽ phù hợp để bộ phận sản xuất có thể thực hiện đúng tiến độ đơn hàng đã đề ra, tuy nhiên khi nhận được báo cáo sản xuất, kết quả chỉ đạt được 60% so với tiến độ đề ra.

            Từ các ví dụ trên thể hiện rõ rủi ro là một KẾT QUẢ không mong đợi xảy ra. Nguyên nhân từ chính nội bộ của gây ra, hoặc do người khác gây ra, hoặc đo các yếu tố ngẫu nhiên. Những điều kiện đó là nguồn cơn gây ra các kết quả không mong đợi. Và vì vậy khi tôi kiểm soát tôt các yếu tố không chắc chắn ấy tôi có xác suất nhận được kết quả mong đợi cao hơn. Điều quan trọng, chúng ta xác định được mong muốn của mình là gì?

Quan điểm về rủi ro

1. Rủi ro luôn luôn có cơ hội xuất hiện trong bất cứ quá trình nào hoặc hoạt động nào, và luôn luôn tồn tại song hành với các kết quả mà bạn mong muốn nhận được.
2. Xác xuất xảy của rủi ro là hoàn toàn có thể đo lường được, thông qua các phương pháp xác xuất và phương pháp thống kê.
3. Không bao giờ có thể loại bỏ rủi ro hoàn toàn, nhưng bạn luôn có thể giảm thiểu xác xuất xảy ra đến mức thấp nhất có thể. Và mức độ mong muốn hoàn toàn phụ thuộc vào hậu quả mà rủi ro gây ra và mức độ chịu đựng rủi ro.
4. Rủi ro là các kết quả được dự đoán dựa trên hiểu biết của người phân tích. Nên kết quả dự đoán, dự báo, hoàn toàn phụ thuộc vào năng lực của người phân tích, phương pháp chỉ là một phần nhỏ tác động lên kết quả.

Dựa trên 04 quan điểm trên, chúng ta có thể thấy việc phân tích rủi ro có vẻ không quá khó khăn và quá phức tạp như chúng ta nghĩ, chỉ cần biết chúng ta muốn gì từ một quá trình, và nhận ra được những gì mà chúng ta không muốn và đó là rủi ro. Điều khó khăn nhất đó chính là chúng ta nhận ra được là chúng ta muốn kết quả trực tiếp là gì. Bởi hầu hết con người thường lấy hệ quả quả như là kết quả cuối cũng, hoặc quá tập trung vào các yếu tố nguy cơ.

Ví dụ về kết quả trực tiếp và hệ quả:  Tôi bán hàng cho khách hàng, và tôi mong muốn khách hàng hài lòng với sản phẩm của tôi. Nhìn ban đầu đây có vẻ là một kết quả, nhưng bản chất nó lại là một hệ quả, mà để đạt được hệ quả đó tôi phải đạt được hàng loạt các kết quả sau như là: Tôi phải luôn sẵn có hàng trong kho và cung cấp cho tất cả các khách hàng có nhu cầu trong không quá 2 phút với 99% khách hàng. Sản phẩm của tôi có tính năng kỹ thuật cụ thể, đáp ứng được yêu cầu của 99% khách hàng, tôi có thể bảo hàng cho 99% khách hàng trong không quá 01 ngày nếu sản phẩm bị lỗi. Và đó là các kết quả trực tiếp mà tôi phải đạt được để khách hàng hài lòng. Vậy nếu chúng ta nói rằng tôi có rủi ro là khách hàng không hài lòng, sẽ rất khó tưởng tượng ra được rủi ro này là gì, và sẽ không thể cụ thể được biện pháp để xử lý.

Ví dụ về sự nhầm lẫn giữa kết quả trực tiếp và nguyên nhân: Tôi muốn vận chuyển hàng hoá từ Trung Quốc về Việt Nam bằng tàu biển.Tôi mong rằng thời tiết trong quá trình vận chuyển sẽ tốt để không bị chậm tàu, Đơn vị bốc xếp sẽ xử lý container của tôi cẩn thận để hàng hoá của tôi không bị hỏng. Nhìn thoạt qua đó là các rui ro trực tiếp nhưng việc thời tiết hay đơn vị bốc xếp chỉ là các nguồn gốc dẫn đến một rủi ro mà thôi. Kết quả trực tiếp ở đây mà tôi muốn nhận đó là. Hàng hoá của tôi sẽ về đúng thời gian tôi dự kiến, hay hàng hoá của tôi giữ nguyên chất lượng trong suốt quá trình vận chuyển từ Trung Quốc về đến kho mới là kết quả mà tôi mong đợi trực tiếp. Nếu như tôi có sự nhầm lẫn giữa kết quả trực tiếp và các yếu tố nguy cơ có thể dẫn đến tôi bỏ sót nhiều nguy cơ khác và làm nghiêm trọng hoá những nguy cơ ít có khả năng gây ra rủi ro.

Vậy quản lý rủi ro có nghĩa là gì?

Quản lý rủi ro bản chất là:

• Nhận diện ra những kết quả trực tiếp mà tôi mong muốn đạt được đối với tổ chức của tôi và từng quá trình trong hệ thống của tôi.
• Nhận diện kết quả không mong đợi nào mà tôi có thể chấp nhận và mức độ chấp nhận, kết quả không mong đợi nào mà tôi không thể chấp nhận, và mức độ không chấp nhận. Hay bản chất còn gọi là “khẩu vị rủi ro”
• Hoạch định cách thức để đo lường được nó.
• Nhận diện các biện pháp để xử lý nhằm giảm thiểu nguy cơ nó xảy ra dựa trên việc phân tích các yếu tố nguy cơ gây ra các rủi ro đó, thông qua các quy trình, quy định, quyết định được đưa ra.
• Đưa ra phương án xử lý nếu tình huống xấu nhất xảy ra.
• Định kỳ đánh giá những yếu tố thay đổi trong nội bộ và bên ngoài và xác xuất xảy ra của từng rủi ro đã được hoạch định và các rủi ro nào mới chưa được nhận ra trước đó.

Thông thường, nếu được nhận diện đúng, và không có sự thay đổi đáng kể nào về sản phẩm và dịch vụ, các rủi ro của các tổ chức thường rất ít có sự thay đổi, nhưng nguồn nguy cơ mới và xác xuất xảy ra của từng rủi ro là yếu tố thay đổi theo thời gian. Khi đó, các quy trình, quy định, thủ tục là những đối tượng cần sửa đổi là thứ cần điều chỉnh theo sự thay đổi của bối cảnh.

 Quản lý rủi ro cần làm gì:

1. Nhận diện ra được kết quả mong đợi của một tổ chức dựa trên định hướng chiến lược và vai trò sứ mệnh của tổ chức.
2. Thiết lập mô hình các quá trình tương tác với nhau để đạt được các kết quả mong đợi ấy. và các kết quả mà từng quá trình phải đạt được.
3. Nhận diện các kết quả không mong đợi của một tổ chức có thể nhận được và các yếu tố ảnh hưởng đến. Thông thường các yếu tố dẫn đễn rủi ro có thể đến từ việc các quá trình không đạt được các kết quả mong đợi.
4. Đánh giá mức độ rủi ro và mức độ chấp nhận rủi ro.
5. Với những rủi ro không thể chấp nhận, đưa ra quy trình xử lý bao gồm quy trình nhằm ngăn ngừa, và truy trình nhằm xử lý nếu nó xảy ra
6. Audit nội bộ định kỳ để bảo đảm các biện pháp đưa ra được tuân thủ.
7. Áp dụng các biện pháp và theo dõi kết quả thông qua các chỉ số đặc trưng như là KPIs, PIs.
8. Định kỳ đánh giá lại mức độ rủi ro và hiệu lực của các biện pháp đã đưa ra để ngăn ngừa cũng như xử lý, điều chỉnh lại để phù hợp với sự thay đổi từ bối cảnh.