RISK BASED THINKING

TƯ DUY DỰA TRÊN RỦI RO

Lí thuyết về rủi ro

Về mặt tự nhiên, trước khi ISO giới thiệu “tư duy dựa trên rủi ro” thì loài người đã biết và quan tâm đến nó từ rất lâu. Nó cũng đúng với nhận định của ISO/TC 176/SC trong tài liệu số N1222 (July,2014): “tư duy dựa trên rủi ro là điều tất cả chúng ta đều làm một cách tự nhiên”. Có rất nhiều phản ứng với rủi ro đã được mặc định trong DNA của con người, chẳng hạn đứa trẻ sẽ rụt tay lại khi đưa gần tới ngọn lửa.

Về mặt khoa học, một nghiên cứu cho rằng quản trị rủi ro (risk management) bắt đầu hình thành từ sau Chiến tranh thế giới lần thứ hai (Risk Management: History, Definition, and Critique, G Dionne) trong lĩnh vực bảo hiểm. Sau đó, quản trị rủi ro được ứng dụng vào nhiều ngành khác nhau và hình thành nhiều công cụ khác nhau. FMEA (Failure Modes & Effects Analysis) trong ngành công nghiệp ô tô là một ví dụ.

Quản trị rủi ro được công nhận như là một tiêu chuẩn quốc tế vào năm 2009 với sự ra đời của tiêu chuẩn ISO 31000. Theo lời giới thiệu, áp dụng tiêu chuẩn này sẽ hỗ trợ doanh nghiệp đạt được nhiều lợi ích trong đó có việc tăng khả năng đạt được các mục tiêu. Để quản trị rủi ro, ISO 31000 đưa ra mô hình quản lí gồm các bước cơ bản như sau: thiết lập bối cảnh, xác định rủi ro, phân tích rủi ro, xử lí rủi ro và đánh giá hiệu lực.

Tuy nhiên, ISO 31000 chỉ dừng lại ở một mô hình chung (theo kiểu chu trình PDCA) trong khi có quá nhiều loại rủi ro khác nhau nên bên cạnh đó ISO còn ban hành tiêu chuẩn ISO 31010 có tên là “các kĩ thuật đánh giá rủi ro”. Tiêu chuẩn này bao gồm 31 kĩ thuật phân tích rủi ro với các ứng dụng khác nhau.

Rủi ro trong ISO 9001

Trong tiêu chuẩn ISO 9001:2015 rủi ro được định nghĩa là “tác động của sự không chắc chắn đến mục tiêu”,và nó xuất hiện khoảng 49 lần và thêm 54 lần xuất hiện trong IATF 16949:2016. Nhưng trong phụ lục A4 của ISO 9001:2015 cho rằng “không có yêu cầu nào về các phương pháp chính thức cho quản lí rủi ro và quá trình quản lí rủi ro bằng văn bản”. Đây cũng chính là lí do làm cho việc có được cách tiếp cận thống nhất về quản lí rủi ro đang là vấn đề trong việc xây dựng, vận hành và chứng nhận hệ thống. Trên thực tế có các cấp độ khác nhau của rủi ro (liên quan đến nhiều cấp độ mục tiêu khác nhau ví dụ mục tiêu chiến lược, mục tiêu cấp tổ chức, cấp quá trình hay sản phẩm như đề cập trong định nghĩa về rủi ro trong ISO 9000:2015). Tuy nhiên, các mẫu phân tích rủi ro điển hình của các tổ chức (như ví dụ dưới đây) không cho biết tổ chức đang hướng tới xử lí loại rủi ro gì.

Hình 1: Ví dụ bảng phân tích rủi ro & cơ hội của một tổ chức áp dụng ISO 9001:2015 (nguồn internet)

Các cấp độ rủi ro

Rủi ro cấp hệ thống

Rủi ro cấp hệ thống có thể hiểu là các vấn đề có thể dẫn đến không đạt được mục tiêu của bất cứ hệ thống (sự hài lòng của khách hàng và/hoặc các bên hữu quan). Và rủi ro lớn nhất ở đây là không có hệ thống hoặc hệ thống không phù hợp các yêu cầu. Điều này đồng nghĩa với việc việc xây dựng hệ thống phù hợp các yêu cầu là một biện pháp mang tính phòng ngừa các rủi ro. Đó là lí do phụ lục A4 (Tư duy rủi ro) của ISO 9001:2015 viết “”khái niệm về tư duy rủi ro đã được ngầm hiểu trong phiên bản trước (ISO 9001:2008), ví dụ thông qua các yêu cầu về hoạch định, xem xét và cải tiến”.  Và hơn thế nữa, phụ lục cũng xác định “một trong những mục đích của Hệ thống quản lí chất lượng là hoạt động như một công cụ phòng ngừa (rủi ro)“. Tuy nhiên, tiêu chuẩn này không có điều khoản riêng về hành động phòng ngừa vì “khái niệm hành động phòng ngừa được thể hiện thông qua việc sử dụng tư duy dựa trên rủi ro trong hành thành các yêu cầu của Hệ thống quản lí chất lượng”.  Hay nói cách khác, việc áp dụng đúng các yêu cầu này của tiêu chuẩn Hệ thống quản lí chất lượng là biện pháp xử lí rủi ro. Điều này yêu cầu tổ chức phải hiểu được được rủi ro (hệ quả) của việc không áp dụng yêu cầu nào đó của tiêu chuẩn và phân định quá trình chịu trách nhiệm xử lý rủi ro đó. Điều này giống như việc mọi người tham gia giao thông đều có rủi ro “gặp tai nạn” nên nhà nước phải ban hành Luật giao thông, và mọi cá nhân phải tuân thủ luật này để giảm thiểu rủi ro.

Theo cách tiếp cận này thì trong bản phân tích ở hình 1, các biện pháp xử lí rủi ro (ví dụ: đưa điều khoản thời hạn giao hàng và bồi thường vào hợp đồng) là một biện pháp xử lí rủi ro mang tính hệ thống vì nó là việc cần làm đối với bất cứ tổ chức nào và ngay cả khi tổ chức đó không có chứng nhận ISO 9001. Thực ra, việc thực hiện hành động xử lí rủi ro này là một trong những hành động để thỏa mãn điều khoản 8.4.3 “tổ chức phải trao đổi các thông tin về các yêu cầu của tổ chức với nhà cung cấp bên ngoài” (để tránh rủi ro nhà cung cấp không biết mà làm sai). Điều này dẫn đến nhận định rằng không cần bảng phân tích để xác định hành động xử lí rủi ro này vì cứ làm đúng yêu cầu tiêu chuẩn là đã xử lí được nó. Hơn nữa, nếu chỉ thực hiện các hành động trong bảng phân tích rủi ro này thì tổ chức có thể bỏ qua nhiều rủi ro khác dẫn đến mua hàng không hiệu quả ví dụ không lựa chọn nhà cung cấp phù hợp (điều khoản 8.4.1), không giám sát nhà cung cấp một cách đầy đủ (điều khoản 8.4.2). Và hệ quả là trong hệ thống sẽ không có các quy định về việc lựa chọn, đánh giá nhà cung cấp. Đấy chính là lí do phụ lục A4 đưa ra chỉ dẫn “áp dụng tư duy dựa trên rủi ro để hoạch định và thực hiện các quá trình của Hệ thống quản lí chất lượng và hỗ trợ việc xác định mức độ thông tin dạng văn bản”.

Rủi ro cấp quá trình

Tuy nhiên, nếu xét ở cấp độ quá trình thì mỗi tổ chức lại có các mục tiêu khác nhau kể cả đối với cùng một quá trình. Ví dụ cùng quá trình mua hàng nhưng có tổ chức quan tâm nhiều đến chất lượng, có tổ chức quan tâm nhiều đến giá cả và ngay khi cùng quan tâm đến cùng một khía cạnh thì giá trị của mục tiêu cũng khác nhau. Điều đó đồng nghĩa với việc tuân thủ đầy đủ các yêu cầu của tiêu chuẩn ISO 9001:2015 không đảm bảo các quá trình của tổ chức sẽ đạt được các kết quả đã định. Việc đạt được kết quả đã định còn phụ thuộc vào môi trường hoạt động hay bối cảnh của tổ chức. Ví dụ việc đạt được mục tiêu mua hàng phụ thuộc vào quyền lực mặc cả của tổ chức đối với nhà cung cấp (xem Michael Porter 5 Forces). Đó là lí do phụ lục A4 viết: “Không phải mọi quá trình của hệ thống quản lí chất lượng đều tương ứng với một mức độ rủi ro như nhau liên quan đến khả năng của tổ chức đạt được mục tiêu của mình và ảnh hưởng của sự không chắc chắn không giống nhau cho tất cả các tổ chức”. Và “tiêu chuẩn này yêu cầu tổ chức thấu hiểu bối cảnh của mình (điều khoản 4.1) và xác định các rủi ro như là cơ sở của việc hoạch định (điều khoản 6.1)“. Điều này giống như việc, các cá nhân khi tham gia giao thông ngoài việc tuân thủ luật như tất cả mọi người còn phải phân tích các yếu tố khác của quá trình tham gia giao thông ví dụ quãng đường, thời điểm, đường quen hay đường lạ… để có biện pháp đảm bảo an toàn cho bản thân (xử lí rủi ro).

Theo cách tiếp cận này thì bảng phân tích rủi ro ở hình 1 không cho thấy được các rủi ro đặc thù của tổ chức thực hiện phân tích rủi ro. Trong khi đó đây mới là hạng mục quan trọng của việc phân tích rủi ro theo yêu cầu 6.1 của tiêu chuẩn.

Mặc dù tiêu chuẩn ISO 9001:2015 không quy định phương pháp phân tích và xử lí rủi ro, nhưng cách tiếp cận như phân tích ở trên phần nào mang hơi hướng của cơ chế quản lí rủi ro trong tiêu chuẩn ISO 31000.

Hình 2: Cơ chế quản lí rủi ro theo ISO 31000

Rủi ro cấp thao tác

Việc phân tích rủi ro và cơ hội cấp độ hệ thống & quá trình như phân tích ở trên nhằm mục đích thiết lập hệ thống (các quy định dạng văn bản) và hoạch định (kế hoạch hành động để đạt được mục tiêu). Tuy nhiên, các vấn đề phát sinh trong quá trình thực hiện các quá trình hay kế hoạch hành động (hay quá trình thao tác) có thể gây ra rủi ro đối với việc đạt được kết quả đã định. Đó là lí do tại sao trong bảng phân tích rủi ro của quá trình mua hàng của một số tổ chức có đề cập đến một số rủi ro như “quên không lập đơn hàng” hay “không được phê duyệt”… Những kết quả phân tích rủi ro như vậy không sai nếu dựa trên tư duy rủi ro chung, nhưng nó có thể làm cho danh sách rủi ro không bao giờ kết thúc và hệ thống trở thành cồng kềnh & cứng nhắc. Điều này thể hiện rõ trong thông điệp của phụ lục A4: “Tiếp cận quản lí rủi ro áp dụng trong tiêu chuẩn này đã cho phép giảm bớt một số yêu cầu bắt buộc và thay thế chúng bằng các yêu cầu dựa trên kết quả. (Điều đó đồng nghĩa với) có sự linh hoạt hơn so với ISO 9001:2008 trong yêu cầu về các quá trình, thông tin dạng văn bản và trách nhiệm của tổ chức”.  Điều này đồng nghĩa ISO 9001:2015 không quá chú trọng đến loại rủi ro này (rủi ro cấp độ thao tác) khi phụ lục A4 hướng dẫn “tổ chức có thể quyết định có hoặc không phát triển một phương pháp quản lí rủi ro đầy đủ hơn so với yêu cầu tiêu chuẩn, ví dụ: thông qua việc áp dụng các tiêu chuẩn khác”. Các tiêu chuẩn khác có thể cân nhắc ở đây là  FMEA trong IATF 16949 hay HACCP trong ISO 22000 được sử dụng để phân tích các rủi ro trong thao tác của quá trình sản xuất.

Kết luận

Tóm lại, rủi ro hay cơ hội có thể tồn tại ở mọi khía cạnh, mọi hoạt động và khá trừu tượng. Cho nên việc vận dụng tư duy dựa trên rủi ro đòi hỏi tổ chức phải có cái nhìn hệ thống về các dạng rủi ro khác nhau. Nếu không đạt được điều này, tổ chức có thể không xác định và xử lí được tất cả các rủi ro hoặc dẫn đến sự rối loạn về tư duy, ví dụ một số tổ chức sử dụng FMEA cho việc phân tích rủi ro của hệ thống hay quá trình nói chung.