Hướng dẫn phân tích và đánh giá rủi ro khi áp dụng các hệ thống quản lý – ISOQ Việt Nam
Tư duy dựa trên rủi ro trong đó nhận diện và kiểm soát tốt các rủi ro nhằm đưa ra định hướng, chiến lược phù hợp cho từng giai đoạn phát triển của doanh nghiệp là một yêu cầu quan trọng trong việc xây dựng, áp dụng, chứng nhận hệ thống quản lý ISO 9001:2015, ISO 22000:2018… Phân tích rủi ro tốt sẽ giúp tổ chức đi đến những hành động cần thiết để giảm thiểu những ảnh hưởng bất lợi, tận dụng các cơ hội liên quan đến mục đích và các kết quả dự kiến trong Hệ thống quản lý đang áp dụng. Nội dung dưới đây sẽ giúp bạn đọc hiểu rõ hơn về cách phân tích và đánh giá rủi ro khi áp dụng các hệ thống quản lý.
Khái niệm về rủi ro
Trong các tiêu chuẩn ISO 9001, 14001, 22000, 45000, 31000,… khái niệm về rủi ro cơ bản là giống nhau: Rủi ro được định nghĩa như ảnh hưởng của sự không chắc chắn về một kết quả mong đợi.
Một số tiêu chuẩn chuyên ngành đặc thù như ISO 13485, ISO 45001, thuật ngữ “rủi ro” được định nghĩa khác.
Ví dụ : ISO 13485 – Hệ thống quản lý chất lượng dụng cụ y tế
Rủi ro: Sự kết hợp giữa khả năng xảy ra thiệt hại và mức độ nghiêm trọng của thiệt hại
Chú thích : Định nghĩa“rủi ro” này khác với định nghĩa được đề cập trong ISO 9000:2015.
Ví dụ : ISO 45001:2018 – Hệ thống quản lý an toàn sức khỏe nghề nghiệp
Rủi ro (an toàn và sức khỏe nghề nghiệp): Sự kết hợp của khả năng xảy ra của một sự kiện nguy hại liên quan đến công việc hay sự phơi nhiễm và mức độ nghiêm trọng của các chấn thương hay bệnh tật có thể có do các sự kiện.
Chú thích: Định nghĩa này – nếu nhìn từ góc độ phân tích/đánh giá rủi ro thì bản chất không có gì khác lắm, xem tiếp các phân tích ở phần sau).
Mục đích của đánh giá rủi ro là đưa ra thông tin dựa trên bằng chứng và phân tích để ra quyết định đúng đắn về cách thức xử lý rủi ro cụ thể và lựa chọn các phương án khác nhau. Việc đánh giá rủi ro mang lại một số lợi ích chủ yếu như: hiểu rõ rủi ro và tác động tiềm ẩn của nó đến các mục tiêu; cung cấp thông tin cho người ra quyết định; hỗ trợ lựa chọn các phương án xử lý rủi ro,…
Khi nào thực hiện đánh giá rủi ro
Đối với doanh nghiệp đã xây dựng HTQLCL
Nếu doanh nghiệp đã có hệ thống quản lý chặt chẽ, ví dụ theo ISO 9001:2008, đã thực hiện tốt hoạt động phòng ngừa thì mặc nhiên họ đã quản lý rất tốt các rủi ro, có thể phát sinh rồi. Bản thân HTQLCL là 1 giải pháp phòng ngừa quan trọng giúp doanh nghiệp ổn định chất lượng sản phẩm/dịch vụ.
Dựa vào ISO 9000, Tổ chức ISO đã khuyến nghị doanh nghiệp nên xây dựng HTQLCL, tiếp cận theo các quá trình (ví dụ có 20 quá trình). Nếu doanh nghiệp đã có đầy đủ, chặt chẽ các văn bản giúp kiểm soát đúng 20 quá trình nêu trên, tức là HTQLCL đã có thể giúp họ thực hiện mục tiêu đảm bảo chất lượng sản phẩm/dịch vụ với khách hàng.
Trong thực tế, nếu ở quá trình nào doanh nghiệp còn vô tình/hay chủ động để “lỏng” – nay được phép mà – nhằm thích nghi nhanh với các điệu kiện thay đổi của môi trường …, ở đó có thể tạo ra mối nguy đến hiệu lực của hệ thống quản lý, nên cần theo dõi/có biện pháp kiểm soát. Tuy nhiên, cũng do để “lỏng” nên doanh nghiệp có thể sẽ phản ứng linh hoạt hơn với những yêu cầu/đòi hỏi từ thị trường. Việc để lỏng ở đâu, mức độ thế nào … phụ thuộc vào khả năng, văn hóa và mục tiêu của doanh nghiệp.
Quản lý rủi ro của HTQLCL gắn liền với kết quả hoạt động – tức là chất lượng sản phẩm/dịch vụ có ổn định không (mức độ giao động thế nào)? Nếu chất lượng sản phẩm ổn định, nhiều thị trường/khách hàng khó tính chấp nhận, hàng bán đều – mối nguy/rủi ro của HTQLCL (có thể có) thấp. Nếu quản lý rủi ro rất tốt, rất nhiều biện pháp phòng ngừa …. được đưa ra, thực hiện, chi phí tốn nhiều hơn nhưng hàng luôn bị khiếu nại, trả về … chứng tỏ hiệu lực, hiệu quả quản lý rủi ro thấp. Cần cân nhắc giữa kết quả/chi phí đầu tư.
Đối với doanh nghiệp bắt đầu xây dựng HTQL
Nếu doanh nghiệp bắt đầu xây dựng HTQLCL thì nên thống kê lại những tài liệu, qui định … gì đang có, xác định xem các quá trình và mối nguy/rủi ro còn ở đâu, thế nào, rồi đưa ra giải pháp kiểm soát/hoàn thiện HTQLCL thì tiện hơn.
Doanh nghiệp nên có 1 qui trình quản lý rủi ro để thống nhất phương pháp xác định các mối nguy, lượng hóa các tác động (mức độ nghiêm trọng) và lựa chọn những mối nguy có mức độ tác động cao/nghiêm trọng cần giải quyết trước. Cái này có thể coi là “Risk management framwork/ Khuôn khổ quản lý rủi ro” của doanh nghiệp.
Chú ý: không nên quá tập trung vào quản lý rủi ro (do doanh nghiệp vô tình hay cố ý để lỏng trong hệ thống) mà quên đi nhiệm vụ quan trọng hơn – là xây dựng Hệ thống quản lý cho doanh nghiệp, tổ chức sản xuất kinh doanh hiệu quả …
Hướng dẫn phân tích và đánh giá rủi ro
Bước 1: Phân tích bối cảnh
Phân tích bối cảnh nhằm cung cấp các thông tin cho việc nhận diện các rủi ro và cơ hội mà có thể ảnh hưởng đến khả năng của tổ chức trong việc đạt được các kết quả dự kiến của HTQLCL. Thông tin bối cảnh của tổ chức bao gồm:
a) Bối cảnh bên ngoài:
– Môi trường pháp lý bao gồm chính sách pháp luật nhà nước, các văn bản quy phạm pháp luật hiện hành có liên quan đến hoạt động của tổ chức và các lĩnh vực, quá trình nằm trong phạm vi áp dụng HTQLCL.
– Tình hình kinh tế, chính trị, văn hóa xã hội trong và ngoài nước.
– Sự đổi mới công nghệ, tiến bộ ứng dụng KHKT.
– Sự tác động của các vấn đề có liên quan bên ngoài tổ chức.
b) Bối cảnh bên trong (nội bộ):
– Kết quả hoạt động trong nội bộ tổ chức có thể bao gồm: Cơ cấu tổ chức, phân công chức năng, nhiệm vụ, trách nhiệm và quyền hạn, sự phối kết hợp từ trên xuống dưới, từ dưới lên trên, liên phòng, bộ phận, những vấn đề bất cập nổi bật… tác động vào các quá trình, hoạt động, hiệu quả công việc.
– Sự đầy đủ của các nguồn lực bao gồm (nhân lực, vật lực, tài lực).
– Tình hình văn hóa tổ chức.
– Tri thức của nguồn nhân lực
– Các quá trình của HTQLCL
c) Nhu cầu và mong đợi của các bên quan tâm:
– Các yêu cầu của tổ chức, cá nhân.
– Yêu cầu của KH
– Các yêu cầu của các cơ quan quản lý…
Bước 2 Nhận diện rủi ro, cơ hội
Trên cơ sở xem xét các thông tin phân tích bối cảnh, tổ chức xác định các rủi ro, cơ hội mà có tác động đến: Mục đích của HTQLCL, Các kết quả dự kiến của HTQLCL, Sự phù hợp của kết quả hoạt động của tổ chức…
Bước 3. Đánh giá rủi ro
Rủi ro được đo bằng công thức: R = P x S, trong đó:
+ R: Rủi ro.
+ P: Khả năng xảy ra.
+ S: Hậu quả nếu xảy ra.
Đánh giá rủi ro nhằm xác lập mức độ ưu tiên giải quyết các rủi ro quan trọng và chỉ ra các cơ hội cho việc cải tiến đối với các hoạt động hiện tại. Đánh giá rủi ro giúp thấu hiểu các rủi ro cố hữu từ bối cảnh thực tế và kết nối tới các mục tiêu và các quá trình của HTQLCL.
Tiêu chí đánh giá rủi ro được xác lập như sau:
a) Khả năng xảy ra (P):
Phân loại
Định nghĩa
Điểm
Hiếm khi xảy ra
Hầu như không bao giờ xảy ra hoặc có thể xảy ra trong trường hợp hy hữu
1
Ít khả năng xảy ra
Xảy ra 1 lần trong nhiều năm
2
Có khả năng xảy ra
Có thể xảy ra 1 lần trong 1 năm
3
Nhiều khả năng xảy ra
Xảy ra nhiều lần trong 1 năm
4
Chắc chắn xảy ra
Đã từng xảy ra thường xuyên trong 1 năm/quý/tháng
5
b) Hậu quả xảy ra (S):
Phân loại
Định nghĩa
Điểm
Không đáng kể
Tác động không nhìn thấy
1
Nhẹ
Có tác động nhưng dễ khắc phục
2
Vừa phải
Tác động dễ nhận thấy hoặc một số mục tiêu không đạt
3
Nghiêm trọng
Tác động mạnh đối với đơn vị hoặc các mục tiêu chính không đạt được
4
Rất nghiêm trọng
Có thể dừng hoạt động, quá trình
5
c) Phân loại rủi ro:
Điểm rủi ro sẽ được xếp hạng như sau:
– Từ 01 – 10 điểm: Rủi ro thấp.
– Từ 11 – 15 điểm: Rủi ro cao.
– Từ 16 – 25 điểm: Rủi ro rất cao.
BẢNG NHẬN DIỆN, ĐÁNH GIÁ, XỬ LÝ RỦI RO VÀ CƠ HỘI
Stt
Khả năng xảy ra
(P)
Điểm
Hậu quả xảy ra
(S)
Điểm
Tổng điểm đánh giá
R= P x S
1
Hiếm khi
1
Không đáng kể
1
01 – 10 = Thấp
2
Ít khả năng
2
Nhẹ
2
3
Có khả năng
3
Đáng kể
3
11 – 15 = Cao
4
Nhiều khả năng
4
Nghiêm trọng
4
16 – 25 = Rất cao
5
Chắc chắn
5
Rất nghiêm trọng
5
Bước 4 Giải quyết rủi ro và cơ hội
a) Biện pháp giải quyết rủi ro và cơ hội:
– Xác định các biện pháp giải quyết rủi ro và cơ hội là:
+ Đưa ra các hành động để giảm thiểu các tác động tiêu cực, bất lợi, không mong muốn ảnh hưởng đến khả năng đơn vị đạt được các mục đích, mục tiêu và các kết quả dự kiến của HTQLCL;
+ Đưa ra các hành động để thúc đẩy các tác động tích cực, có lợi để đạt mục đích, mục tiêu và các kết quả dự kiến của HTQLCL.
– Giải quyết rủi ro và cơ hội có thể giúp đạt được sự cải tiến đối với HTQLCL.
Các biện pháp giải quyết rủi ro và cơ hội bao gồm:
Biện pháp
Mô tả
Né tránh rủi ro
– Không thực hiện các hoạt động gây ra rủi ro;
– Chọn một hành động khác thay thế; hoặc
– Chọn một phương pháp hoặc quá trình ít rủi ro hơn.
Chấp nhận rủi ro
– Khi các hành động kiểm soát không khả thi;
– Khi các biện pháp kiểm soát áp dụng đòi hỏi chi phí nhiều hơn lợi ích;
– Khi rủi ro nằm trong khả năng chịu được của đơn vi;
Giảm thiểu rủi ro
– Khi mà việc chấm dứt xét thấy tốn thời gian và chi phí;
– Chỉ cần giảm thiểu rủi ro ở mức chấp nhận được bao gồm:
+ Giảm thiểu khả năng xảy ra;
+ Giảm thiểu hậu quả;
+ Tăng khả năng phát hiện nguyên nhân và hậu quả.
Chia sẻ rủi ro
Chuyển giao rủi ro cho một bên thứ 3 (ví dụ: Dịch vụ bưu chính…).
Loại bỏ rủi ro
Chấm dứt nguồn phát sinh rủi ro.
b) Các bước thực hiện:
* Xây dựng (hoạch định) kế hoạch giải quyết rủi ro và cơ hội:
Trưởng các đơn vị trực thuộc trong phạm vi HTQLCL có trách nhiệm xây dựng (hoạch định) “Kế hoạch giải quyết rủi ro và cơ hội”, trong đó xác định cấp độ xử lý cần thiết cho mỗi rủi ro (ví dụ: đối với rủi ro “cao”, thì cần lập kế hoạch để xử lý ngay; đối với những rủi ro thấp hoặc rất thấp mà có các cơ hội cải tiến, thì lập kế hoạch để cải tiến). Hành động xử lý rủi ro hiệu quả phụ thuộc vào các mục tiêu cụ thể và thời gian thực hiện. Đối với rủi ro được nhận diện, cần phải:
– Cụ thể biện pháp xử lý: Tránh, giảm thiểu, chia sẻ, chuyển giao hoặc chấp nhận.
– Văn bản hóa kế hoạch xử lý.
– Chỉ định người chịu trách nhiệm giám sát và báo cáo tiến độ.
– Xác định cụ thể ngày hoàn thành.
* Thực hiện và giám sát kế hoạch xử lý
Khi thực hiện một kế hoạch xử lý, xem xét các hành động giải quyết sẽ được hỗ trợ:
– Nguồn lực sẵn có.
– Trao đổi với các bên có liên quan.
Bước 5 Đánh giá hiệu lực của hành động giải quyết rủi ro và cơ hội
Sau khi phân tích và đưa ra biện pháp giải quyết rủi ro, tổ chức phải theo dõi tần suất xuất hiện của các rủi ro này. Định kỳ hàng quý hay hàng năm rà soát lại rủi ro và đánh giá lại tần suất xuất hiện dựa trên kết quả theo dõi sự xuất hiện của các mối đe dọa.
Lời kết
Trên đây, ISOQ đã hướng dẫn một trong các phương pháp để đánh giá rủi ro cho việc áp dụng các hệ thống quản lý. Tùy vào độ phức tạp, đặc thù và nguồn lực mà chúng ta sẽ lựa chọn các kỹ thuật khác phù hợp để áp dụng vào công tác quản lý rủi ro của từng tổ chức.
Hi vọng bài viết này giúp chúng ta thực hiện tốt việc lựa chọn và vận dụng các kỹ thuật đánh giá rủi ro nhằm gia tăng tính hiệu lực của hệ thống quản lý, cải thiện và ngăn ngừa các tác động tiêu cực, đạt được mức độ tự tin và sự hài lòng cao nhất của khách hàng.
5
/
5
(
24
bình chọn
)
Hotline: 0779.31.37.39
Email: [email protected]