Trong quản lý dự án, rủi ro là những sự kiện hoặc điều kiện không chắc chắn có thể ảnh hưởng tiêu cực đến mục tiêu của dự án. Project Management Professional (PMP) đề cập đến bốn chiến lược chính để xử lý các rủi ro tiêu cực trong dự án: Tránh rủi ro (Risk Avoidance), Giảm thiểu rủi ro (Risk Mitigation), Chuyển giao rủi ro (Risk Transfer) và Chấp nhận rủi ro (Risk Acceptance). Mỗi chiến lược có cách tiếp cận khác nhau nhằm quản lý rủi ro một cách hiệu quả. Cùng tìm hiểu 4 chiến lược này nhé.

Đọc thêm: https://www.pivotpointsecurity.com/risk-tolerance-in-business/

I. Tránh rủi ro (Risk Avoidance)

Tránh rủi ro là chiến lược nhằm loại bỏ hoàn toàn một rủi ro bằng cách điều chỉnh kế hoạch hoặc phạm vi dự án để rủi ro đó không còn khả năng xảy ra. Nói cách khác, nhóm dự án chọn né tránh những hoạt động hoặc điều kiện tiềm ẩn rủi ro cao, qua đó loại trừ hoàn toàn mối đe dọa khỏi dự án. Đây được xem là cách triệt để nhất để đối phó với rủi ro, vì nếu tránh thành công thì tác động tiêu cực sẽ không bao giờ xảy ra.

ránh rủi ro thường được áp dụng cho những rủi ro có mức độ nghiêm trọng cao và không thể chấp nhận. Nếu một rủi ro có khả năng xảy ra cao và có thể gây thiệt hại lớn đến chi phí, tiến độ hoặc mục tiêu cốt lõi của dự án, nhà quản lý dự án sẽ cân nhắc chiến lược tránh rủi ro. Tuy nhiên, việc tránh mọi rủi ro không phải lúc nào cũng khả thi hoặc mong muốn, vì có thể đồng nghĩa với việc từ bỏ những cơ hội hoặc lợi ích tiềm năng. Do đó, người quản lý cần đánh giá kỹ lưỡng để chỉ tránh những rủi ro thật sự không chấp nhận được đối với dự án.

Ưu điểm:

• Loại bỏ hoàn toàn mối đe dọa, đảm bảo rủi ro sẽ không ảnh hưởng đến dự án.
• Giúp bảo vệ mục tiêu dự án một cách tuyệt đối trước những rủi ro nghiêm trọng.

Nhược điểm:

• Thường đòi hỏi thay đổi lớn về kế hoạch, phạm vi hoặc mục tiêu dự án (ví dụ: hủy bỏ tính năng hoặc chọn hướng đi khác), có thể làm tăng chi phí hoặc kéo dài thời gian.
• Có nguy cơ bỏ lỡ cơ hội cải tiến hoặc lợi thế cạnh tranh nếu việc tránh rủi ro đồng nghĩa với né tránh một công nghệ mới hoặc một giải pháp táo bạo.

Ví dụ : Một nhóm phần mềm dự định sử dụng một thư viện mã nguồn mở mới để phát triển tính năng nâng cao. Tuy nhiên, họ phát hiện thư viện này còn chưa ổn định và tiềm ẩn nhiều lỗi nghiêm trọng – đây là rủi ro có thể ảnh hưởng lớn đến chất lượng và tiến độ dự án. Để tránh rủi ro, nhóm quyết định không sử dụng thư viện mới nữa mà chuyển sang một công nghệ đã có độ tin cậy cao. Điều này giúp loại bỏ hoàn toàn nguy cơ gây ra bởi thư viện chưa ổn định, dù nhóm phải hy sinh một số lợi ích tiềm năng (ví dụ: hiệu suất cao hơn) mà công nghệ mới có thể mang lại.

II. Giảm thiểu rủi ro (Risk Mitigation)

Giảm thiểu rủi ro là chiến lược trong đó nhóm dự án thực hiện các biện pháp chủ động nhằm làm giảm xác suất xảy ra hoặc mức độ ảnh hưởng của rủi ro nếu nó xảy ra. Thay vì loại bỏ hoàn toàn rủi ro, nhóm tập trung vào việc kiểm soát và giảm nhẹ rủi ro xuống mức chấp nhận được. Đây là một trong những phương pháp xử lý rủi ro phổ biến nhất, giúp dự án tiếp tục triển khai kế hoạch ban đầu nhưng với các phòng ngừa cần thiết.

Giảm thiểu rủi ro được áp dụng khi rủi ro không thể tránh hoàn toàn nhưng có thể được kiềm chế ở mức độ nào đó. Chiến lược này thường dùng cho các rủi ro có xác suất trung bình hoặc cao và tác động đáng kể, trong trường hợp nhóm dự án có khả năng đưa ra giải pháp làm giảm rủi ro. Nếu chi phí và công sức bỏ ra để giảm thiểu rủi ro hợp lý so với lợi ích thu được (tức là giảm nguy cơ thất bại dự án), thì nên thực hiện. Hầu hết các dự án CNTT đều sử dụng chiến lược giảm thiểu cho những rủi ro kỹ thuật, rủi ro về yêu cầu thay đổi, v.v.

Ưu điểm:

• Giảm được mức độ nguy hiểm của rủi ro: Nhờ các hành động phòng ngừa, rủi ro ít có khả năng xảy ra hơn hoặc nếu xảy ra thì hậu quả cũng ít nghiêm trọng hơn.
• Chủ động chuẩn bị trước, tăng khả năng dự án thành công và vận hành ổn định. Nhóm dự án có thể yên tâm hơn khi đã có các phương án bảo vệ, qua đó tập trung vào các nhiệm vụ chính khác.

Nhược điểm:

• Đòi hỏi nguồn lực bổ sung (thời gian, chi phí, nhân lực) để thực hiện các biện pháp giảm thiểu. Ví dụ, thêm bước kiểm thử, đào tạo nhân viên, xây dựng hệ thống dự phòng… đều tốn kém nhất định.
• Không loại bỏ hoàn toàn rủi ro; rủi ro vẫn có thể xảy ra dù xác suất đã giảm. Điều này nghĩa là dự án vẫn phải sẵn sàng ứng phó nếu kế hoạch giảm thiểu không ngăn chặn được rủi ro hoàn toàn.

Ví dụ : Một công ty cung cấp dịch vụ web lo ngại hệ thống của họ có thể quá tải khi lượng người dùng tăng đột biến, dẫn đến sập website (một rủi ro về hiệu năng hệ thống). Để giảm thiểu rủi ro, nhóm kỹ sư tiến hành tối ưu hóa mã nguồn và cấu trúc cơ sở dữ liệu, đồng thời thiết lập hệ thống cân bằng tải và thực hiện kiểm thử tải kỹ lưỡng. Những biện pháp này làm giảm đáng kể xác suất hệ thống sập khi lưu lượng tăng cao, cũng như giảm mức độ thiệt hại (nếu sập thì phục hồi nhanh hơn). Nhờ đó, rủi ro quá tải được kiểm soát ở mức chấp nhận được trước khi hệ thống đi vào hoạt động chính thức.

III. Chuyển giao rủi ro (Risk Transfer)

Chuyển giao rủi ro là chiến lược đẩy trách nhiệm và gánh nặng hậu quả của rủi ro sang một bên thứ ba thông qua các thỏa thuận, hợp đồng hoặc công cụ tài chính. Khi chuyển giao, rủi ro vẫn tồn tại nhưng nếu sự kiện rủi ro xảy ra, bên thứ ba sẽ chịu thay phần thiệt hại hoặc tổn thất thay cho dự án. Ví dụ điển hình cho chuyển giao rủi ro là mua bảo hiểm: dự án trả một khoản phí, và công ty bảo hiểm sẽ bồi thường tài chính nếu rủi ro được bảo hiểm xảy ra. Tương tự, thuê nhà thầu phụ hoặc sử dụng dịch vụ ngoài cũng là cách chuyển giao những rủi ro nhất định sang đơn vị khác.

Chuyển giao rủi ro phù hợp khi có một đơn vị bên ngoài chấp nhận gánh rủi ro hiệu quả hơn hoặc dự án muốn bảo vệ mình trước thiệt hại lớn bằng cách trả một chi phí nhỏ hơn. Thông thường, các rủi ro về tài chính, pháp lý hoặc rủi ro kỹ thuật chuyên sâu (mà công ty không có chuyên môn) sẽ được xem xét chuyển giao. Ví dụ, rủi ro thiệt hại tài chính do sự cố an ninh mạng có thể chuyển giao bằng cách mua bảo hiểm an ninh mạng; hoặc rủi ro thất bại của một phần mềm phức tạp có thể chuyển cho nhà thầu chuyên về lĩnh vực đó đảm nhiệm.

Ưu điểm:

• Hạn chế tổn thất trực tiếp cho dự án nếu rủi ro xảy ra: nhờ bên thứ ba chịu trách nhiệm, dự án tránh được thiệt hại hoặc chi phí khắc phục quá lớn.
• Tận dụng chuyên môn và nguồn lực của bên thứ ba để quản lý rủi ro tốt hơn. Bên nhận rủi ro (như nhà thầu hoặc công ty bảo hiểm) thường có kinh nghiệm hoặc giải pháp chuyên biệt đối phó với loại rủi ro đó, do vậy khả năng xử lý hiệu quả cao hơn.

Nhược điểm:

• Tăng chi phí cho dự án: việc chuyển giao thường đi kèm chi phí (phí bảo hiểm, phí dịch vụ thuê ngoài…). Ngân sách dự án sẽ phải gánh khoản chi này như một sự đánh đổi để đổi lấy an tâm.
• Giảm mức độ kiểm soát trực tiếp: khi giao một phần công việc hoặc rủi ro cho bên khác, dự án phụ thuộc vào uy tín và năng lực của họ. Nếu bên thứ ba hoạt động không hiệu quả hoặc vi phạm cam kết, dự án vẫn có thể bị ảnh hưởng.
• Rủi ro về bản chất không biến mất mà chỉ chuyển sang nơi khác. Điều này có nghĩa là trong tình huống xấu nhất (ví dụ bên bảo hiểm phá sản, nhà thầu không hoàn thành nhiệm vụ), dự án có thể phải đối mặt lại với rủi ro ban đầu.

Ví dụ: Một doanh nghiệp nhà nước cần xây dựng app để quản lý hành chính. Tuy nhiên doanh nghiệp này không có nguồn nhân lực phù hợp về chuyên môn, nếu vẫn cố chấp tuyển mới hoặc sử dụng nhân sự cũ sẽ có rủi ro về chất lượng cũng như deadline của dự án. Doanh nghiệp quyết định thuê outsources ngoài để làm việc này. Công ty ngoài này đã từng làm app trước đó nên hiểu bối cảnh và có nhân sự phù hợp, khả năng xử lý hiệu quả cao. Tuy nhiên, rủi ro về chất lượng thực chất không biến mất, nếu không kiểm soát được nhà thầu thì dự án phải đối mặt với thất bại là rất lớn.

IV. Chấp nhận rủi ro (Risk Acceptance)

Chấp nhận rủi ro là chiến lược khi nhóm dự án quyết định không thực hiện biện pháp chủ động nào đối với một rủi ro đã được nhận diện. Thay vì né tránh, giảm thiểu hay chuyển giao, dự án chấp nhận sống chung với rủi ro đó. Điều này có nghĩa là nếu rủi ro xảy ra, dự án sẽ tự xử lý hậu quả bằng nguồn lực và kế hoạch dự phòng của mình (nếu có). Chấp nhận rủi ro không làm giảm khả năng xảy ra hay mức độ ảnh hưởng của rủi ro, nhưng trong một số trường hợp, đây lại là lựa chọn hợp lý hơn so với các chiến lược khác.

Chiến lược chấp nhận rủi ro thường được áp dụng khi rủi ro có xác suất rất thấp hoặc tác động không đáng kể, khiến việc đầu tư nguồn lực để đối phó là không xứng đáng. Ngoài ra, nếu chi phí phòng ngừa hoặc chuyển giao rủi ro cao hơn nhiều so với thiệt hại tiềm tàng do rủi ro gây ra, thì chấp nhận rủi ro là quyết định kinh tế hơn. Đôi khi, dự án không có giải pháp khả thi nào để tránh hoặc giảm nhẹ rủi ro, buộc phải chấp nhận nó và chuẩn bị sẵn sàng ứng phó khi cần. Lưu ý rằng khi chọn chấp nhận, nhóm dự án nên có kế hoạch dự phòng nhằm đối phó nhanh nếu rủi ro thật sự xảy ra, đặc biệt đối với những rủi ro có ảnh hưởng trung bình.

Ưu điểm:

• Tiết kiệm nguồn lực: Không tốn chi phí hay thời gian cho các hành động phòng ngừa, do đó dự án có thể tập trung ngân sách và nỗ lực vào những rủi ro hoặc công việc quan trọng hơn.
• Đơn giản, nhanh chóng: thay vì phân tích và triển khai biện pháp phức tạp, nhóm dự án chỉ cần theo dõi rủi ro. Nếu rủi ro không xảy ra, dự án sẽ không bị ảnh hưởng gì và đã tránh được việc lãng phí nguồn lực.

Nhược điểm:

• Nếu rủi ro xảy ra, dự án phải gánh chịu toàn bộ thiệt hại và có thể rơi vào tình huống bị động. Đây là mặt trái rõ rệt nhất của chiến lược chấp nhận rủi ro.
• Đòi hỏi ban quản lý dự án chấp nhận một mức độ mạo hiểm nhất định. Việc không hành động có thể tạo cảm giác bất an, và nếu đánh giá sai (rủi ro cao hơn tưởng tượng) thì hậu quả có thể nghiêm trọng.
• Cần chuẩn bị tinh thần và kế hoạch khẩn cấp để đối phó, nếu không dự án sẽ rất lúng túng khi rủi ro thành hiện thực.

Ví dụ: Một dự án phát triển ứng dụng di động phát hiện một số rủi ro nhỏ về giao diện người dùng: có khả năng một vài nút bấm không hiển thị đúng màu sắc trên một số dòng điện thoại cũ. Lỗi này không ảnh hưởng lớn đến chức năng chính và chỉ xảy ra với tỷ lệ người dùng rất thấp. Chi phí để sửa triệt để các lỗi giao diện này sẽ khiến dự án trễ thời hạn ra mắt ít nhất một tuần và tốn thêm nhân lực thiết kế. Sau khi cân nhắc, nhóm quản lý quyết định chấp nhận rủi ro này. Họ vẫn phát hành ứng dụng đúng lịch, chấp nhận nguy cơ một số ít người dùng gặp lỗi giao diện nhẹ. Nhóm cũng chuẩn bị phương án hỗ trợ cập nhật vá lỗi trong phiên bản sau nếu nhận được nhiều phản hồi. Trong trường hợp này, việc chấp nhận rủi ro giúp dự án giữ đúng tiến độ và tiết kiệm nguồn lực, vì rủi ro được đánh giá là nhỏ hơn so với mục tiêu cần đạt (golive đúng hạn).

V. Bảng so sánh giữa các chiến lược quản lý rủi ro

Bốn chiến lược trên đây có mục tiêu và hệ quả khác nhau. Bảng dưới đây tóm tắt những điểm chính về định nghĩa, tình huống áp dụng, ưu và nhược điểm của từng chiến lược:

VI. Những lưu ý khi áp dụng bốn chiến lược quản lý rủi ro

1. Không nên lạm dụng tránh rủi ro (Avoidance)
   • Tránh rủi ro triệt để giúp an toàn tuyệt đối, nhưng nếu áp dụng quá mức sẽ khiến dự án bỏ lỡ nhiều công nghệ mới hoặc cơ hội phát triển.
   • Lời khuyên: Chỉ tránh những rủi ro có thể làm “sập” dự án hoặc gây hậu quả thảm khốc. Với các rủi ro trung bình, nên cân nhắc giảm thiểu thay vì né tránh hoàn toàn.
2. Giảm thiểu (Mitigation) cần được thiết kế bài bản
   • Đây là chiến lược thường dùng nhất trong các dự án CNTT, ví dụ như viết thêm test case, bổ sung kiểm thử tự động, thiết kế backup.
   • Lời khuyên: Luôn có kế hoạch giảm thiểu ngay từ đầu dự án, không đợi rủi ro xuất hiện mới hành động. Đặt câu hỏi: “Nếu rủi ro này xảy ra, mình đã làm gì để giảm tác động xuống mức thấp nhất?”
3. Chuyển giao (Transfer) không phải là “trút bỏ trách nhiệm”
   • Khi thuê cloud, mua bảo hiểm hay outsource, bạn chỉ chuyển phần gánh nặng tài chính và kỹ thuật, nhưng trách nhiệm cuối cùng với khách hàng và sản phẩm vẫn thuộc về bạn.
   • Lời khuyên: Hãy xem chuyển giao như một lớp bảo vệ bổ sung, chứ không phải để buông lỏng kiểm soát. Khi ký SLA hoặc hợp đồng, cần theo dõi sát sao và có kế hoạch B trong trường hợp đối tác không đáp ứng được cam kết.
4. Chấp nhận (Acceptance) chỉ hợp lý khi có sự tính toán
   • Chấp nhận rủi ro không có nghĩa là làm ngơ, mà là ra quyết định có ý thức rằng thiệt hại nhỏ hơn chi phí phòng ngừa.
   • Lời khuyên: Trước khi chấp nhận, hãy đánh giá xác suất và tác động thật kỹ. Nếu rủi ro nhỏ, hãy ghi nhận trong risk register và theo dõi định kỳ. Nếu rủi ro có thể xảy ra ở mức trung bình, hãy chuẩn bị kế hoạch dự phòng (contingency plan) để không bị động.