Trong bất kỳ dự án nào – dù là khởi nghiệp nhỏ hay kế hoạch đầu tư lớn – rủi ro luôn song hành. Một kế hoạch quản lý rủi ro rõ ràng và hiệu quả chính là “tấm khiên bảo vệ” giúp doanh nghiệp tránh được những tổn thất không đáng có và duy trì tiến độ ổn định.

Khi xây dựng kế hoạch quản lý rủi ro dự án, bạn cần xác định:

• Xác suất xảy ra rủi ro và mức độ ảnh hưởng của nó đến dự án;

• Nhận diện các loại rủi ro tiềm ẩn trong từng giai đoạn;

• Đưa ra chiến lược ứng phó và phương án giảm thiểu thiệt hại khi rủi ro xảy ra.

Một kế hoạch bài bản không chỉ giúp bạn chủ động đối phó khi sự cố xuất hiện, mà còn giảm khả năng rủi ro ngay từ đầu, đảm bảo dự án đi đúng hướng và đạt được mục tiêu đã đặt ra.

Dù bạn là nhà quản lý dự án, chủ doanh nghiệp hay chuyên viên tài chính, việc nắm vững cách lập kế hoạch quản lý rủi ro sẽ giúp bạn xây dựng nền tảng vững chắc cho mọi quyết định trong tương lai.

Bước 1: Hiểu rõ cách hoạt động của quản lý rủi ro

Trong thực tế quản lý dự án, “rủi ro” không chỉ mang nghĩa tiêu cực. Nó có thể là cơ hội hoặc thách thức tùy vào cách ta đánh giá và xử lý. Quản lý rủi ro giúp doanh nghiệp chủ động kiểm soát tình huống, thay vì bị động đối phó khi sự cố xảy ra.

Dưới đây là cách hiểu đơn giản và thực tế nhất về cách quản lý rủi ro trong dự án:

• Rủi ro là gì: Là tác động (tốt hoặc xấu) của một sự kiện hoặc chuỗi sự kiện xảy ra trong quá trình thực hiện dự án.
  → Có thể hình dung: Rủi ro = Xác suất xảy ra × Mức độ ảnh hưởng.

• Các yếu tố cần phân tích để đánh giá rủi ro:

  • Sự kiện (Event): Điều gì có thể xảy ra?

  • Xác suất (Probability): Khả năng sự kiện đó xảy ra là bao nhiêu?

  • Tác động (Impact): Nếu xảy ra, hậu quả nặng nhẹ thế nào?

  • Biện pháp giảm thiểu (Mitigation): Làm thế nào để giảm khả năng rủi ro? Giảm được bao nhiêu phần trăm?

  • Phương án dự phòng (Contingency): Nếu rủi ro xảy ra, bạn làm gì để giảm mức ảnh hưởng?

• Công thức cơ bản trong quản lý rủi ro:

  • Giảm thiểu rủi ro (Reduction) = Biện pháp giảm thiểu × Phương án dự phòng

  • Mức độ phơi nhiễm (Exposure) = Rủi ro – Giảm thiểu

  Đây chính là phần rủi ro không thể tránh được, dù bạn đã có kế hoạch tốt đến đâu.

• Cân nhắc chi phí và lợi ích:
  Khi đã xác định mức phơi nhiễm, hãy so sánh giữa chi phí để kiểm soát rủi ro và lợi ích khi thực hiện dự án. Nếu chi phí vượt quá lợi ích, có thể bạn nên cân nhắc lại.

• Rủi ro chấp nhận (Assumed Risk):
  Trong nhiều trường hợp, doanh nghiệp buộc phải chấp nhận một phần rủi ro, đặc biệt khi đó là yêu cầu bắt buộc hoặc cơ hội kinh doanh quá tiềm năng. Phần rủi ro này thường được chuyển đổi thành giá trị tiền tệ để tính toán hiệu quả và lợi nhuận cuối cùng của dự án.

Tóm lại, quản lý rủi ro dự án không phải là tránh rủi ro bằng mọi giá, mà là hiểu rõ, định lượng và chủ động kiểm soát nó để bảo vệ mục tiêu dài hạn của doanh nghiệp.

Bước 2: Xác định dự án của bạn

Giả sử bạn đang phụ trách một hệ thống máy tính cung cấp thông tin quan trọng cho số lượng lớn người dùng, dù không mang tính sống còn nhưng có ảnh hưởng đáng kể đến hoạt động chung. Hiện tại, máy chủ chính đã cũ và cần được thay thế.

Nhiệm vụ của bạn là xây dựng kế hoạch quản lý rủi ro (Risk Management Plan) cho quá trình chuyển đổi và di dời hệ thống sang máy chủ mới.

Đây là mô hình đơn giản, phù hợp cho người không chuyên, trong đó các yếu tố rủi ro (Risk) và mức độ tác động (Impact) được phân loại theo ba cấp độ phổ biến trong quản lý dự án:

• Cao (High) – rủi ro có khả năng xảy ra lớn và gây tác động nghiêm trọng.

• Trung bình (Medium) – rủi ro có thể xảy ra và gây ảnh hưởng vừa phải.

• Thấp (Low) – rủi ro ít xảy ra hoặc ảnh hưởng không đáng kể.

Việc xác định rõ phạm vi dự án và đặc điểm hệ thống cần thay thế là bước đầu tiên và quan trọng nhất để bạn có thể nhận diện, phân loại và lên kế hoạch ứng phó với rủi ro một cách hiệu quả.

Bước 3: Thu thập ý kiến từ nhóm dự án và cùng nhau xác định rủi ro

Đừng lập kế hoạch quản lý rủi ro một mình. Một bản kế hoạch thực tế và hiệu quả luôn đến từ nhiều góc nhìn khác nhau trong nhóm.

Dưới đây là cách thực hiện bước này một cách chuyên nghiệp và dễ áp dụng:

• Tập hợp nhóm liên quan: Mời những người hiểu rõ dự án – có thể là kỹ sư hệ thống, quản lý dự án, bộ phận vận hành hoặc hỗ trợ khách hàng. Mỗi người sẽ nhìn thấy rủi ro từ một khía cạnh khác nhau.

• Tổ chức buổi brainstorming (động não):

  • Đặt câu hỏi trọng tâm:

    • Những rủi ro nào có thể xảy ra trong quá trình di dời hệ thống?

    • Làm thế nào để ngăn ngừa hoặc giảm khả năng xảy ra chúng?

    • Nếu rủi ro xảy ra thật, chúng ta nên phản ứng ra sao?

  • Khuyến khích mọi người nêu ý tưởng một cách cởi mở, không phán xét.

  • Ghi chép tất cả các ý kiến, kể cả những ý tưởng “nghe có vẻ lạ”. Đôi khi, chính những góc nhìn khác biệt lại giúp bạn nhận ra rủi ro tiềm ẩn mà người khác bỏ qua.

• Giữ cuộc họp đi đúng hướng:

  • Tránh để cuộc thảo luận lan man hoặc biến thành buổi “kể khổ”.

  • Người điều phối cần kiểm soát nhịp độ, đảm bảo mọi người tập trung vào mục tiêu chính: nhận diện, phòng ngừa và xử lý rủi ro.

• Tận dụng kết quả:
  Ghi chép từ buổi họp này sẽ là nguồn dữ liệu đầu vào cực kỳ quan trọng để bạn sử dụng trong các bước tiếp theo — từ việc phân loại rủi ro, xác định mức độ tác động, cho đến xây dựng kế hoạch hành động cụ thể.

Bước 4: Xác định hậu quả cụ thể của từng rủi ro

Sau khi đã hoàn thành buổi brainstorming, bước tiếp theo là liên kết từng rủi ro với hậu quả thực tế có thể xảy ra. Đây là bước giúp bạn đo lường tác động rõ ràng hơn, tránh những đánh giá chung chung và khó hành động.

Để làm tốt bước này, hãy lưu ý các điểm sau:

• Gắn hậu quả cụ thể cho từng rủi ro:

  • Đừng chỉ viết mơ hồ như “Dự án bị trễ” → Hãy cụ thể: “Dự án bị trễ 13 ngày do lỗi di chuyển dữ liệu.”

  • Thay vì “Vượt ngân sách” → Nên ghi rõ: “Chi phí tăng thêm 150 triệu đồng do phải thuê máy chủ dự phòng.”
    Mức độ cụ thể này giúp bạn dễ tính toán thiệt hại và lập kế hoạch ứng phó hợp lý.

• Liệt kê hậu quả theo các nhóm chính:

  • Tiến độ: Dự án bị trì hoãn bao lâu, ảnh hưởng đến mốc triển khai nào.

  • Tài chính: Chi phí phát sinh hoặc thiệt hại ước tính bằng tiền.

  • Kỹ thuật: Hệ thống ngừng hoạt động, lỗi dữ liệu, giảm hiệu suất.

  • Khách hàng / người dùng: Mức độ gián đoạn dịch vụ, ảnh hưởng đến trải nghiệm hoặc uy tín.

  • Nhân sự: Áp lực tăng, làm thêm giờ, giảm năng suất hoặc tinh thần đội ngũ.

• Cụ thể hóa bằng con số nếu có thể:

  • Dùng số ngày, phần trăm, hoặc giá trị tiền tệ để lượng hóa hậu quả.

  • Ví dụ: “Tỷ lệ lỗi hệ thống tăng 5%” hoặc “Tổn thất doanh thu 200 triệu đồng trong 2 tuần.”

• Mục tiêu của bước này:
  Xác định hậu quả cụ thể giúp bạn phân loại mức độ rủi ro (cao – trung bình – thấp) chính xác hơn, đồng thời có cơ sở vững chắc để đề xuất biện pháp giảm thiểu và dự phòng trong các bước tiếp theo.

Bước 5: Loại bỏ các rủi ro không liên quan hoặc không thể kiểm soát

Một kế hoạch quản lý rủi ro hiệu quả không chỉ là liệt kê càng nhiều rủi ro càng tốt, mà quan trọng hơn là xác định đúng những rủi ro thực tế có thể quản lý được.

Hãy nhớ: không phải rủi ro nào cũng cần hoặc nên đưa vào kế hoạch.

Dưới đây là cách sàng lọc hợp lý:

• Tập trung vào những rủi ro có thể kiểm soát hoặc giảm thiểu:

  • Ví dụ: lỗi phần mềm, sự cố máy chủ, thiếu nhân sự, chậm tiến độ, vượt ngân sách.

  • Đây là những yếu tố bạn có thể chủ động lập kế hoạch ứng phó, vì chúng nằm trong phạm vi quản lý của dự án.

• Loại bỏ những yếu tố ngoài tầm kiểm soát:

  • Những rủi ro như chiến tranh hạt nhân, đại dịch toàn cầu, thiên thạch va chạm Trái Đất… về lý thuyết đều có thể làm gián đoạn dự án, nhưng bạn không thể dự đoán hoặc chuẩn bị biện pháp giảm thiểu cụ thể.

  • Chúng không mang giá trị thực tiễn trong một kế hoạch rủi ro mang tính vận hành.

• Giữ tư duy thực tế:

  • Bạn có thể “nhận biết” các yếu tố này tồn tại trong môi trường kinh doanh, nhưng đừng đưa chúng vào danh mục rủi ro chính thức.

  • Việc tập trung vào những vấn đề bạn thực sự có thể xử lý giúp kế hoạch của bạn ngắn gọn, tập trung và hiệu quả hơn.

• Nguyên tắc cốt lõi:
  → Chỉ đưa vào kế hoạch những rủi ro có thể xác định, đo lường và quản lý được.

Bước 6: Liệt kê tất cả các yếu tố rủi ro đã xác định

Sau khi đã loại bỏ những rủi ro không liên quan, bước tiếp theo là tổng hợp toàn bộ các rủi ro còn lại — đây sẽ là “bộ dữ liệu nền” cho quá trình phân tích và xếp hạng rủi ro sau này.

Một số lưu ý giúp bạn thực hiện bước này hiệu quả:

• Ghi lại toàn bộ rủi ro đã được nêu ra:

  • Dựa trên kết quả buổi brainstorming và phân tích ở các bước trước.

  • Không cần sắp xếp theo mức độ quan trọng hay khả năng xảy ra lúc này — chỉ cần liệt kê đầy đủ.

• Giữ cách diễn đạt ngắn gọn, rõ ý:
  Mỗi rủi ro chỉ nên gói gọn trong một dòng mô tả cụ thể, ví dụ:

  • Mất dữ liệu trong quá trình di chuyển hệ thống.

  • Chậm tiến độ do lỗi phần mềm hoặc thiếu nhân sự.

  • Máy chủ mới không tương thích hoàn toàn với ứng dụng cũ.

  • Người dùng gặp sự cố truy cập sau khi chuyển đổi.

  • Chi phí triển khai tăng cao hơn dự kiến.

  • Nhà cung cấp thiết bị giao hàng trễ.

  • Không đủ thời gian để kiểm thử toàn bộ chức năng.

• Tập trung vào tính đầy đủ:
  Mục tiêu của giai đoạn này không phải là đánh giá rủi ro, mà là đảm bảo không bỏ sót bất kỳ yếu tố nào có thể ảnh hưởng đến dự án.

• Kết quả mong đợi:
  Bạn sẽ có trong tay một danh sách tổng hợp rủi ro (Risk Register ban đầu), là cơ sở để tiếp tục các bước sau như phân loại, đánh giá xác suất – tác động, và xây dựng kế hoạch ứng phó.

Bước 7: Xác định xác suất xảy ra cho từng rủi ro

Khi đã có danh sách các rủi ro tiềm ẩn, bước tiếp theo là đánh giá xác suất (probability) – tức là khả năng rủi ro đó thực sự xảy ra trong quá trình triển khai dự án.

Đây là bước giúp bạn phân biệt rủi ro nào đáng chú ý và rủi ro nào chỉ cần theo dõi, từ đó ưu tiên nguồn lực xử lý phù hợp.

Cách thực hiện cụ thể:

• Bước 1: Đánh giá xác suất xảy ra
  Với từng yếu tố rủi ro trong danh sách, hãy xác định mức độ khả thi của nó:

  • Cao (High): Khả năng xảy ra lớn, gần như chắc chắn sẽ gặp (ví dụ: trễ tiến độ do khối lượng công việc nhiều).

  • Trung bình (Medium): Có thể xảy ra, nhưng phụ thuộc vào điều kiện cụ thể (ví dụ: lỗi kết nối mạng trong quá trình chuyển dữ liệu).

  • Thấp (Low): Hiếm khi xảy ra, chỉ có khả năng trong trường hợp đặc biệt (ví dụ: mất điện kéo dài khi di chuyển hệ thống).

• Bước 2: Nếu cần, chuyển sang giá trị số
  Trong một số dự án chuyên nghiệp, bạn có thể gán giá trị xác suất bằng số để dễ tính toán rủi ro tổng hợp:

  • 0.01 – 0.33 = Thấp (Low)

  • 0.34 – 0.66 = Trung bình (Medium)

  • 0.67 – 1.00 = Cao (High)
    Ví dụ: nếu bạn ước tính khả năng mất dữ liệu là khoảng 70%, có thể ghi là 0.7 (High).

• Bước 3: Loại bỏ rủi ro không thể xảy ra
  Những tình huống có xác suất bằng 0 (zero probability) — chẳng hạn như “khủng long tấn công trung tâm dữ liệu” — nên bỏ khỏi danh sách. Không cần lãng phí thời gian phân tích những rủi ro hoàn toàn phi thực tế.

• Bước 4: Ghi kết quả vào bảng rủi ro (Risk Register)
  Tại cột “Xác suất”, điền mức High / Medium / Low hoặc giá trị số tương ứng cho từng rủi ro.
  Việc này giúp bạn dễ dàng so sánh và sắp xếp ưu tiên ở bước kế tiếp (đánh giá tác động và xếp hạng tổng thể).

Bước 8: Xác định mức độ tác động của từng rủi ro

Sau khi đã đánh giá xác suất xảy ra, bước tiếp theo trong kế hoạch quản lý rủi ro là xác định mức độ tác động (Impact) – tức là hậu quả thực tế nếu rủi ro đó thực sự xảy ra. Đây là bước quan trọng để hiểu rõ rủi ro nào có thể gây tổn thất nghiêm trọng và rủi ro nào chỉ ảnh hưởng nhẹ.

Cách thực hiện như sau:

• Bước 1: Gán mức độ tác động cho từng rủi ro
  Dựa trên các hướng dẫn đã thống nhất trước (ví dụ về tiến độ, chi phí, chất lượng, uy tín…), hãy xác định:

  • Cao (High): Nếu xảy ra, rủi ro có thể làm đình trệ dự án, gây thiệt hại tài chính lớn hoặc ảnh hưởng nghiêm trọng đến người dùng/doanh nghiệp.
    → Ví dụ: Mất toàn bộ dữ liệu khách hàng trong quá trình chuyển hệ thống.

  • Trung bình (Medium): Gây gián đoạn tạm thời, thiệt hại có thể khắc phục được.
    → Ví dụ: Lỗi hệ thống làm ngừng hoạt động trong vài giờ.

  • Thấp (Low): Ảnh hưởng nhẹ, không gây tổn thất đáng kể hoặc dễ xử lý.
    → Ví dụ: Một vài tính năng phụ không hoạt động ngay sau khi chuyển đổi.

• Bước 2: Nếu cần, sử dụng thang đo số hóa
  Trong các dự án yêu cầu định lượng chi tiết, có thể quy đổi mức tác động thành giá trị số để dễ tính toán:

  • 0.01 – 0.33 = Thấp (Low)

  • 0.34 – 0.66 = Trung bình (Medium)

  • 0.67 – 1.00 = Cao (High)
    Ví dụ: tác động được ước tính là 0.8 (High) tương ứng với tổn thất ước tính khoảng 300 triệu đồng.

• Bước 3: Loại bỏ các rủi ro có tác động bằng 0
  Nếu một sự kiện không gây ảnh hưởng gì đến dự án, thì không nên đưa vào danh sách rủi ro, cho dù xác suất xảy ra có cao đến đâu.
  → Ví dụ: “Chó nhà nhân viên ăn tối” hoàn toàn không liên quan đến dự án và nên được loại bỏ.

• Bước 4: Cập nhật vào bảng rủi ro (Risk Register)
  Trong bảng tổng hợp rủi ro, thêm cột “Tác động” và ghi rõ mức High / Medium / Low hoặc giá trị số tương ứng.
  Thông tin này sẽ được dùng để tính mức độ rủi ro tổng thể (Risk Score = Probability × Impact) ở bước tiếp theo.

Bước 9: Xác định mức độ rủi ro tổng thể cho từng yếu tố

Khi đã có xác suất (Probability) và mức độ tác động (Impact), bước tiếp theo là tính hoặc phân loại mức độ rủi ro tổng thể (Overall Risk Level). Đây là cơ sở để xác định thứ tự ưu tiên — rủi ro nào cần hành động ngay, rủi ro nào có thể theo dõi định kỳ.

Cách thực hiện cụ thể như sau:

• Bước 1: Kết hợp xác suất và tác động
  Dựa vào hai thông số đã đánh giá ở các bước trước, bạn có thể dùng bảng ma trận rủi ro (Risk Matrix) để xác định mức độ rủi ro tổng thể.

  Ví dụ bảng kết hợp đơn giản theo cấp độ L – M – H:

  Tác động (Impact)	Thấp (Low)	Trung bình (Medium)	Cao (High)
  Xác suất (Low)	Thấp	Thấp	Trung bình
  Xác suất (Medium)	Thấp	Trung bình	Cao
  Xác suất (High)	Trung bình	Cao	Rất cao

  → Dựa vào vị trí giao nhau của xác suất và tác động, bạn sẽ xếp hạng rủi ro tổng thể.

• Bước 2: Nếu sử dụng giá trị số (0.00 – 1.00)
  Bạn có thể tính điểm rủi ro (Risk Score) bằng công thức:
  → Risk Score = Probability × Impact

  Ví dụ minh họa:

  • Rủi ro 1: Xác suất = 0.6, Tác động = 0.8 → Risk Score = 0.48 (Mức rủi ro Trung bình)

  • Rủi ro 2: Xác suất = 0.8, Tác động = 0.9 → Risk Score = 0.72 (Mức rủi ro Cao)

  Tùy vào tiêu chuẩn nội bộ, bạn có thể quy ước:

  • 0.01 – 0.33 = Thấp (Low)

  • 0.34 – 0.66 = Trung bình (Medium)

  • 0.67 – 1.00 = Cao (High)

• Bước 3: Linh hoạt trong phân tích
  Không có công thức “chuẩn quốc tế” nào cho việc kết hợp xác suất và tác động.
  Mỗi tổ chức hoặc dự án có thể tùy chỉnh cách tính, miễn sao đảm bảo phản ánh đúng mức độ rủi ro thực tế.
  Trong nhiều trường hợp, bạn có thể chuyển đổi linh hoạt giữa hệ L–M–H và hệ số số học để phù hợp với mục đích báo cáo hoặc thuyết trình.

• Bước 4: Ghi kết quả vào bảng rủi ro tổng hợp (Risk Register)
  Thêm một cột “Mức rủi ro tổng thể” để thể hiện kết quả cuối cùng — đây là dữ liệu nền để sang bước tiếp theo: ưu tiên xử lý và lập kế hoạch hành động.

Bước 10: Xếp hạng mức độ rủi ro từ cao đến thấp

Sau khi đã tính được mức độ rủi ro tổng thể (kết hợp giữa xác suất và tác động), bước tiếp theo là xếp hạng các rủi ro. Việc này giúp bạn ưu tiên nguồn lực và ra quyết định hành động một cách chiến lược – tập trung xử lý những rủi ro có ảnh hưởng lớn nhất trước.

Cách thực hiện:

• Bước 1: Lập danh sách toàn bộ rủi ro đã đánh giá
  Sử dụng bảng tổng hợp rủi ro (Risk Register), bao gồm:

  • Tên rủi ro

  • Xác suất xảy ra (Probability)

  • Mức độ tác động (Impact)

  • Điểm hoặc cấp độ rủi ro tổng thể (Risk Score hoặc L–M–H)

• Bước 2: Sắp xếp theo mức độ rủi ro tổng thể

  • Cao nhất (High / Critical): Cần xử lý ngay, ảnh hưởng nghiêm trọng nếu xảy ra.

  • Trung bình (Medium): Theo dõi sát sao, có thể gây ảnh hưởng nếu không được kiểm soát.

  • Thấp (Low): Chỉ cần giám sát định kỳ, không cần hành động tức thì.

  Ví dụ minh họa bảng xếp hạng rủi ro:

  STT	Rủi ro	Xác suất	Tác động	Mức rủi ro tổng thể	Thứ hạng ưu tiên
  1	Mất dữ liệu khi di chuyển hệ thống	Cao	Cao	Rất cao	1
  2	Lỗi tương thích giữa phần mềm cũ và mới	Trung bình	Cao	Cao	2
  3	Chậm tiến độ do thiếu nhân sự kỹ thuật	Cao	Trung bình	Trung bình	3
  4	Chi phí tăng do thuê máy chủ dự phòng	Trung bình	Trung bình	Trung bình	4
  5	Sự cố truy cập tạm thời sau khi chuyển đổi	Thấp	Thấp	Thấp	5

• Bước 3: Xác định ngưỡng hành động (Risk Threshold)

  • Với rủi ro mức cao, bạn cần có biện pháp ứng phó ngay (Immediate Mitigation Plan).

  • Với rủi ro trung bình, có thể lập kế hoạch theo dõi định kỳ và kích hoạt khi có dấu hiệu gia tăng.

  • Với rủi ro thấp, chỉ cần ghi nhận và kiểm soát ở mức giám sát chung.

• Bước 4: Cập nhật và duy trì
  Việc xếp hạng rủi ro không phải chỉ làm một lần, mà nên được xem xét lại định kỳ — đặc biệt khi có thay đổi trong phạm vi, ngân sách hoặc tiến độ dự án.

Bước 11: Tính toán tổng mức độ rủi ro của dự án

Sau khi đã xếp hạng từng rủi ro riêng lẻ, bước tiếp theo là tính tổng rủi ro (Total Risk) để có cái nhìn toàn cảnh về mức độ rủi ro chung của dự án. Đây là chỉ số giúp nhà quản lý đánh giá tổng thể mức độ an toàn của dự án và ra quyết định về việc có nên tiếp tục, điều chỉnh hay bổ sung nguồn lực.

Cách thực hiện rất đơn giản:

• Bước 1: Quy đổi các mức rủi ro (H–M–L) thành giá trị số
  Dựa trên thang đo đã dùng trước đó:

  • Cao (High) = 0.8

  • Trung bình (Medium) = 0.5

  • Thấp (Low) = 0.2

• Bước 2: Liệt kê toàn bộ điểm rủi ro
  Ví dụ, trong bảng rủi ro của bạn có 7 yếu tố được đánh giá:
  → H, H, M, M, M, L, L
  → Tương ứng: 0.8, 0.8, 0.5, 0.5, 0.5, 0.2, 0.2

• Bước 3: Tính điểm trung bình tổng rủi ro (Average Total Risk)
  Cộng tất cả lại và chia cho số lượng rủi ro:

  $$(0.8 + 0.8 + 0.5 + 0.5 + 0.5 + 0.2 + 0.2) ÷ 7 = 3.5 ÷ 7 = 0.5$$

  → Tổng điểm rủi ro trung bình = 0.5

• Bước 4: Diễn giải kết quả
  Theo thang đo đã thống nhất:

  • 0.01 – 0.33 = Thấp (Low)

  • 0.34 – 0.66 = Trung bình (Medium)

  • 0.67 – 1.00 = Cao (High)

  Vì điểm trung bình 0.5 nằm trong khoảng 0.34 – 0.66, nên mức rủi ro tổng thể của dự án là “Trung bình (Medium)”.

• Bước 5: Diễn giải ý nghĩa thực tế

  • Dự án có rủi ro ở mức chấp nhận được, cần giám sát thường xuyên nhưng chưa đến mức báo động.

  • Tuy nhiên, nhóm quản lý nên tập trung vào các rủi ro cấp cao (High) để đảm bảo tổng mức rủi ro không tăng lên trong quá trình triển khai.

Bước 12: Xây dựng chiến lược giảm thiểu rủi ro (Mitigation Strategies)

Khi đã biết yếu tố nào có khả năng xảy ra cao hoặc tác động lớn, bước tiếp theo là xây dựng chiến lược giảm thiểu rủi ro — tức là giảm xác suất rủi ro xảy ra, chứ chưa phải xử lý hậu quả khi nó xảy ra. Đây là phần cực kỳ quan trọng trong kế hoạch quản lý rủi ro vì giúp ngăn ngừa vấn đề từ gốc, tiết kiệm thời gian và chi phí xử lý sau này.

Dưới đây là cách tiếp cận thực tế và dễ áp dụng:

• 1. Ưu tiên xử lý rủi ro mức Cao và Trung bình

  • Các rủi ro Cao (High) và Trung bình (Medium) cần được tập trung giảm thiểu trước.

  • Các rủi ro Thấp (Low) có thể xem xét sau hoặc chỉ cần theo dõi định kỳ.

• 2. Xác định biện pháp giảm xác suất xảy ra
  Hãy xem xét điều gì có thể làm giảm khả năng rủi ro trở thành hiện thực, ví dụ:

  • Nếu rủi ro chậm giao hàng linh kiện quan trọng → đặt hàng sớm hoặc chọn nhà cung cấp dự phòng.

  • Nếu rủi ro mất dữ liệu khi chuyển hệ thống → lập kế hoạch sao lưu toàn bộ trước khi di chuyển.

  • Nếu rủi ro thiếu nhân sự trong giai đoạn kiểm thử → phân bổ nguồn lực dự phòng hoặc thuê ngoài tạm thời.

  • Nếu rủi ro hệ thống mới không tương thích với phần mềm cũ → kiểm thử sớm trên môi trường giả lập trước khi triển khai thật.

• 3. Đánh giá mức hiệu quả của từng biện pháp

  • Ước lượng xác suất rủi ro sau khi áp dụng biện pháp (ví dụ: từ 0.7 giảm xuống 0.3).

  • Ghi nhận thay đổi này trong bảng quản lý rủi ro (Risk Register) để theo dõi.

• 4. Gắn trách nhiệm cụ thể cho từng hành động giảm thiểu

  • Mỗi biện pháp cần một người hoặc một nhóm chịu trách nhiệm chính, tránh tình trạng “chung chung không ai làm”.

  • Ghi rõ thời hạn hoàn thành và nguồn lực cần thiết.

Giảm thiểu rủi ro không phải là loại bỏ hoàn toàn rủi ro, mà là chủ động kiểm soát khả năng xảy ra. Một kế hoạch giảm thiểu tốt sẽ giúp dự án ổn định, dễ dự báo và hạn chế thiệt hại trước khi rủi ro kịp trở thành vấn đề lớn.

Bước 13: Xây dựng kế hoạch dự phòng rủi ro (Contingency Plans)

Sau khi đã có chiến lược giảm thiểu (Mitigation) để giảm khả năng rủi ro xảy ra, bước tiếp theo là chuẩn bị kế hoạch dự phòng (Contingency Plan) — nhằm giảm mức độ thiệt hại nếu rủi ro thực sự xảy ra. Đây là phần không thể thiếu trong mọi kế hoạch quản lý rủi ro chuyên nghiệp, vì thực tế luôn tồn tại những biến cố không thể kiểm soát hoàn toàn.

1. Mục tiêu của kế hoạch dự phòng

• Giảm thiểu tác động (Impact) khi rủi ro đã thành hiện thực.

• Duy trì hoạt động dự án ở mức chấp nhận được, thay vì để ngưng trệ hoàn toàn.

• Tăng tính linh hoạt và khả năng phục hồi (resilience) của tổ chức hoặc dự án.

2. Ưu tiên xây dựng kế hoạch cho rủi ro “Cao” và “Trung bình”

• Tập trung vào các yếu tố có khả năng ảnh hưởng mạnh đến tiến độ, chi phí, chất lượng hoặc uy tín.

• Các rủi ro thấp (Low) có thể chỉ cần theo dõi và phản ứng linh hoạt khi xảy ra.

3. Ví dụ thực tế về kế hoạch dự phòng

• Rủi ro: Linh kiện quan trọng giao trễ
  → Kế hoạch dự phòng: Dùng linh kiện cũ tạm thời để duy trì hoạt động, hoặc mua từ nhà cung cấp khác trong thời gian chờ hàng.

• Rủi ro: Nhân sự chủ chốt nghỉ việc đột ngột
  → Kế hoạch dự phòng: Có kế hoạch chuyển giao công việc trước, đào tạo nhân sự thay thế hoặc thuê chuyên gia tư vấn bên ngoài.

• Rủi ro: Lỗi hệ thống sau khi chuyển đổi dữ liệu
  → Kế hoạch dự phòng: Giữ bản sao lưu dữ liệu cũ và chuẩn bị phương án quay lại hệ thống cũ (rollback) nếu cần.

• Rủi ro: Mất điện hoặc sự cố hạ tầng trung tâm dữ liệu
  → Kế hoạch dự phòng: Duy trì hệ thống dự phòng (backup system) hoặc chuyển tạm sang máy chủ phụ trong thời gian khắc phục.

4. Tư duy linh hoạt – “Think outside the box”

• Không phải lúc nào bạn cũng kiểm soát được nguồn rủi ro, nhất là các yếu tố bên ngoài (chính trị, thiên tai, biến động kinh tế...).

• Tuy nhiên, bạn vẫn có thể giảm thiệt hại bằng cách:

  • Đa dạng hóa nguồn cung ứng.

  • Mở rộng danh mục sản phẩm/dịch vụ để không phụ thuộc vào một nguồn doanh thu duy nhất.

  • Phát triển mối quan hệ đối tác chiến lược để chia sẻ rủi ro khi cần thiết.

Kế hoạch dự phòng là “phao cứu sinh” giúp dự án đứng vững trước bất ngờ. Dù không mong rủi ro xảy ra, nhưng chuẩn bị trước sẽ giúp bạn phản ứng nhanh, giảm tổn thất và duy trì sự ổn định trong mọi tình huống.

Bước 14: Phân tích hiệu quả của các chiến lược quản lý rủi ro

Sau khi đã xây dựng và triển khai các biện pháp giảm thiểu (Mitigation) và kế hoạch dự phòng (Contingency), bước tiếp theo là đánh giá hiệu quả thực tế của những biện pháp này. Mục tiêu là xem liệu chúng có giảm đáng kể khả năng xảy ra hoặc mức độ tác động của rủi ro hay chưa.

Một số cách tiếp cận thực tế và dễ áp dụng:

• 1. Đánh giá lại xác suất (Probability)

  • So sánh mức xác suất rủi ro trước và sau khi áp dụng biện pháp giảm thiểu.

  • Ví dụ: Rủi ro chậm tiến độ trước đây có xác suất 0.7, sau khi tăng nhân sự và theo dõi tiến độ hàng tuần, giảm xuống còn 0.3.

  • Nếu mức giảm rõ rệt, có thể xem chiến lược giảm thiểu đang phát huy hiệu quả cao.

• 2. Đánh giá lại mức độ tác động (Impact)

  • Phân tích xem kế hoạch dự phòng có giảm thiệt hại khi rủi ro xảy ra hay không.

  • Ví dụ: Nhờ có bản sao lưu dữ liệu định kỳ, sự cố mất dữ liệu chỉ ảnh hưởng 10% thời gian vận hành, thay vì 50% như trước.

• 3. Gán lại điểm đánh giá hiệu quả (Effective Ratings)

  • Cập nhật lại bảng rủi ro (Risk Register) với điểm rủi ro sau khi áp dụng chiến lược.

  • Điều này giúp phản ánh tình trạng rủi ro hiện tại thực tế, thay vì chỉ dựa trên dự đoán ban đầu.

• 4. Theo dõi liên tục và cải tiến định kỳ

  • Quản lý rủi ro là quy trình lặp lại, không phải hành động một lần.

  • Nên đánh giá lại hiệu quả định kỳ (theo tháng hoặc theo giai đoạn dự án), đặc biệt khi có biến động lớn về tiến độ, chi phí hoặc nhân sự.

• 5. Rút kinh nghiệm và tối ưu chiến lược tương lai

  • Ghi nhận lại các bài học từ quá trình thực hiện để cải thiện phương pháp quản lý rủi ro trong các dự án sau.

  • Ví dụ: Nếu một chiến lược tỏ ra kém hiệu quả, hãy phân tích nguyên nhân — do con người, quy trình hay yếu tố khách quan.

Việc phân tích hiệu quả giúp doanh nghiệp đo lường giá trị thực tế của các biện pháp kiểm soát rủi ro. Một chiến lược được coi là thành công khi nó giảm được đáng kể khả năng xảy ra rủi ro hoặc mức độ thiệt hại, đồng thời giúp dự án vận hành ổn định và tiết kiệm chi phí dài hạn.

Bước 15: Tính toán mức rủi ro hiệu quả sau khi áp dụng biện pháp quản lý

Sau khi triển khai các chiến lược giảm thiểu (Mitigation) và kế hoạch dự phòng (Contingency), bước tiếp theo là đánh giá lại tổng rủi ro thực tế còn lại – hay còn gọi là rủi ro hiệu quả (Effective Risk). Đây là chỉ số thể hiện mức độ rủi ro còn lại mà dự án phải chấp nhận sau khi đã hành động.

Cách tính cụ thể như sau:

• 1. Quy đổi lại mức rủi ro sau khi áp dụng biện pháp
  Sau quá trình kiểm soát, 7 rủi ro của dự án lần lượt được đánh giá lại là:
  → M, M, M, L, L, L, L
  → Tương ứng giá trị số: 0.5, 0.5, 0.5, 0.2, 0.2, 0.2, 0.2

• 2. Tính điểm trung bình tổng rủi ro hiệu quả (Average Effective Risk)

  $$(0.5 + 0.5 + 0.5 + 0.2 + 0.2 + 0.2 + 0.2) ÷ 7 = 2.3 ÷ 7 ≈ 0.329$$

• 3. Đánh giá lại mức độ rủi ro tổng thể
  Dựa theo thang đo chuẩn:

  • 0.01 – 0.33 = Thấp (Low)

  • 0.34 – 0.66 = Trung bình (Medium)

  • 0.67 – 1.00 = Cao (High)

  → Kết quả: Tổng rủi ro hiệu quả = 0.329, tương ứng mức Thấp (Low).

• 4. So sánh với mức rủi ro ban đầu

  • Trước khi áp dụng biện pháp: Mức trung bình 0.5 (Medium)

  • Sau khi áp dụng: Còn 0.329 (Low)
    → Tức là đã giảm được khoảng 34,2% tổng rủi ro của dự án.

• 5. Ý nghĩa thực tế

  • Dự án đã đạt hiệu quả rõ rệt trong quản lý rủi ro, giúp tăng độ an toàn và khả năng kiểm soát.

  • Các biện pháp giảm thiểu và dự phòng phát huy tốt tác dụng, đồng thời tạo nền tảng vững chắc cho việc triển khai giai đoạn tiếp theo.

  • Đây cũng là căn cứ định lượng để chứng minh hiệu quả của hoạt động quản lý rủi ro trong báo cáo với lãnh đạo hoặc nhà đầu tư.

Khi rủi ro tổng thể giảm từ Trung bình (Medium) xuống Thấp (Low), điều đó chứng tỏ kế hoạch quản lý rủi ro của bạn đã thành công. Mức giảm 34,2% là một kết quả rất tích cực – vừa giúp ổn định dự án, vừa chứng minh giá trị thực tế của công tác quản lý rủi ro chuyên nghiệp.

Bước 16: Theo dõi và giám sát rủi ro trong suốt quá trình dự án

Sau khi đã xác định, phân tích và xây dựng kế hoạch ứng phó cho từng rủi ro, công việc quan trọng tiếp theo là giám sát rủi ro (Monitor Risks). Đây là giai đoạn giúp bạn phát hiện sớm khi rủi ro bắt đầu hình thành, để kích hoạt kế hoạch dự phòng kịp thời, tránh tình huống “trở tay không kịp”.

1. Mục tiêu của việc theo dõi rủi ro

• Nhận diện sớm dấu hiệu cảnh báo (Risk Cues) trước khi rủi ro xảy ra.

• Đánh giá mức độ thay đổi của rủi ro trong suốt vòng đời dự án.

• Kích hoạt kế hoạch dự phòng (Contingency Plan) đúng thời điểm, tránh thiệt hại lan rộng.

2. Cách xác định dấu hiệu cảnh báo rủi ro (Risk Cues)

• Với mỗi rủi ro mức Cao (High) hoặc Trung bình (Medium), hãy xác định dấu hiệu cụ thể cho thấy nó có thể sắp xảy ra.

• Ví dụ thực tế:

  • Rủi ro chậm tiến độ: Liên tục trễ deadline ở các mốc nhỏ, khối lượng công việc tồn đọng tăng.

  • Rủi ro lỗi hệ thống: Nhật ký lỗi (error log) tăng bất thường, tốc độ xử lý giảm rõ rệt.

  • Rủi ro thiếu nhân sự: Tỷ lệ nghỉ việc tăng, năng suất giảm, nhân viên quá tải.

  • Rủi ro chi phí vượt dự toán: Phát sinh đơn hàng, thay đổi yêu cầu kỹ thuật hoặc điều chỉnh nhà cung cấp.

3. Thiết lập cơ chế giám sát và báo cáo

• Theo dõi định kỳ: Thiết lập chu kỳ kiểm tra rủi ro (tuần, tháng hoặc theo giai đoạn).

• Cảnh báo tự động: Với các dự án công nghệ hoặc tài chính, nên dùng công cụ giám sát (dashboard, KPI alert) để phát hiện biến động bất thường.

• Báo cáo nhanh: Khi phát hiện dấu hiệu rủi ro, nhóm phụ trách phải báo cáo ngay để ban quản lý đánh giá và kích hoạt kế hoạch dự phòng nếu cần.

4. Cập nhật và điều chỉnh liên tục

• Rủi ro không cố định — nó thay đổi theo tiến độ và môi trường kinh doanh.

• Do đó, bảng rủi ro (Risk Register) cần được cập nhật liên tục với dữ liệu mới, bao gồm:

  • Rủi ro mới phát sinh.

  • Mức độ ảnh hưởng thay đổi.

  • Hiệu quả thực tế của các biện pháp kiểm soát.

Giám sát rủi ro không chỉ là theo dõi — mà là phát hiện, phản ứng và kiểm soát chủ động. Một hệ thống quản lý rủi ro hiệu quả không dừng ở việc “lập kế hoạch”, mà phải duy trì cảnh giác suốt quá trình dự án, đảm bảo mọi biến động đều được xử lý kịp thời và có kiểm soát.

Điều chỉnh quản lý rủi ro linh hoạt và thực tế trong dự án

Trong thực tế, không phải lúc nào người quản lý dự án (Project Manager – PM) cũng có đủ thời gian và nguồn lực để theo sát toàn bộ quá trình quản lý rủi ro. Vì vậy, việc linh hoạt trong cách tiếp cận là yếu tố quan trọng để vừa đảm bảo hiệu quả, vừa tránh sa đà vào chi tiết không cần thiết.

Dưới đây là cách tiếp cận thực tế, dễ áp dụng cho các nhà quản lý dự án, đặc biệt trong môi trường nhiều áp lực và giới hạn nguồn lực:

1. Tập trung vào đường găng (Critical Path) của dự án

• Khi PM bị quá tải, có thể giới hạn phân tích rủi ro ở các hạng mục thuộc đường găng, tức là những công việc có ảnh hưởng trực tiếp đến tiến độ tổng thể của dự án.

• Có thể tính toán nhiều đường găng khác nhau, kèm thêm độ trễ (lag time) để dự đoán sớm các công việc có khả năng rơi vào vùng rủi ro cao.

• Cách làm này giúp tối ưu thời gian và vẫn đảm bảo tập trung đúng chỗ, đặc biệt khi một PM phải quản lý nhiều dự án cùng lúc.

2. Cân bằng giữa quản lý rủi ro và quản lý dự án tổng thể

• Quản lý rủi ro là một phần thiết yếu của dự án, nhưng không nên chiếm hết nguồn lực và làm lu mờ các hoạt động lập kế hoạch, điều phối và kiểm soát khác.

• Mục tiêu là tích hợp rủi ro vào quá trình ra quyết định, chứ không biến nó thành một “dự án trong dự án”.

3. Đo lường giá trị giảm rủi ro bằng tiền

Giả sử dự án của bạn có tổng giá trị 1.000.000 USD:

• Rủi ro ban đầu: 0.5 × 1.000.000 = 500.000 USD

• Rủi ro còn lại (Exposure): 0.329 × 1.000.000 = 329.000 USD
  → Giá trị giảm rủi ro (Reduction) = 171.000 USD

Điều này có nghĩa là bạn đã giảm được 171.000 USD rủi ro tiềm ẩn nhờ các biện pháp quản lý.
Con số này cũng là mức chi phí hợp lý tối đa bạn có thể dành cho các hoạt động quản lý rủi ro — tương tự như phí bảo hiểm (Insurance) trong dự toán tổng thể của dự án.

4. Luôn sẵn sàng cho thay đổi

• Rủi ro là yếu tố biến động, không cố định. Một rủi ro hôm nay có thể cao, nhưng ngày mai có thể giảm hoặc biến mất.

• Một số rủi ro mới có thể phát sinh do thay đổi môi trường, công nghệ hoặc quy định.

• Vì vậy, hãy liên tục cập nhật bảng rủi ro (Risk Register) và điều chỉnh chiến lược ứng phó theo tình hình thực tế.

5. Đánh giá khả năng chịu đựng rủi ro (Risk Tolerance)

• Dựa trên chỉ số Exposure, bạn có thể đánh giá khả năng chấp nhận rủi ro của dự án.

  • Ví dụ: Với dự án 1.000.000 USD, mức Exposure = 0.329 nghĩa là bạn có thể đối mặt với 329.000 USD rủi ro tiềm ẩn.

  • Nếu ngân sách không đủ để dự phòng cho khoản này, hãy xem xét lại phạm vi (scope) hoặc mục tiêu dự án.

6. Kích hoạt cảnh báo sớm (Early Warning System)

• Mỗi kế hoạch dự phòng nên đi kèm cơ chế cảnh báo sớm, giúp nhận biết khi nào cần kích hoạt.

• Nếu có kết quả thử nghiệm hoặc chỉ số giúp phát hiện rủi ro, hãy ưu tiên xử lý và giám sát sớm các tín hiệu đó.

• Nếu chưa có hệ thống cảnh báo, hãy chủ động thiết kế một cơ chế phù hợp, ví dụ: chỉ số KPI, hệ thống báo cáo nhanh hoặc công cụ giám sát tự động.

7. Ghi nhận và cập nhật liên tục

• Duy trì file theo dõi rủi ro trên bảng tính (Risk Tracking Spreadsheet).

• Rủi ro thay đổi theo thời gian — rủi ro cũ có thể biến mất, rủi ro mới xuất hiện.

• Cập nhật thường xuyên giúp đội ngũ quản lý luôn có bức tranh chính xác về tình hình rủi ro hiện tại.

8. Không ngừng đặt câu hỏi: “Mình còn bỏ sót gì không?”

• Đây là bước khó nhất nhưng quan trọng nhất trong quản lý rủi ro.

• Hãy thường xuyên rà soát và tự hỏi:

  • Có yếu tố nào chưa được xem xét không?

  • Có rủi ro tiềm ẩn nào bị đánh giá thấp?

  • Có sự kiện nào mới có thể tác động đến dự án?

9. Linh hoạt với dự án nhỏ hoặc người quản lý ít kinh nghiệm

• Với dự án nhỏ hoặc PM mới, có thể bỏ qua một số bước hình thức (như tính toán xác suất – tác động chi tiết).

• Thay vào đó, hãy tập trung vào mức độ nghiêm trọng (Severity) và đưa ra quyết định trực tiếp.

• Ví dụ: Nếu bảo trì điện làm gián đoạn máy chủ, hãy chọn phương án ít rủi ro nhất — chuyển máy chủ trước khi cắt điện, hoặc chờ hoàn tất bảo trì mới khởi động lại hệ thống.

Quản lý rủi ro không chỉ là một quy trình kỹ thuật mà là một kỹ năng ra quyết định chiến lược. Hãy xem rủi ro như một phần tự nhiên của dự án — biết chấp nhận, kiểm soát và thích ứng linh hoạt, bạn sẽ giữ được cân bằng giữa hiệu quả, chi phí và sự ổn định dài hạn của dự án.

Nguồn tham khảo

1. Ksenia Derouin. Business Strategy Specialist, OBM, and Artist. Expert Interview
2. National Institute of Standards and Technology

Biên dịch: Leigh Kennedy Ly.