Cách theo dõi rủi ro vào năm 2026: Hướng dẫn với ví dụ và các thực tiễn tốt nhất

Một góc nhìn thực tiễn về Quản lý Rủi ro trong Lập kế hoạch Chiến lược Sử dụng ISO 31000 làm Tiêu chuẩn Hướng dẫn.

Xu hướng chính định hình bức tranh quản lý rủi ro năm 2026

Chúng tôi đang chủ động theo dõi các xu hướng mới nổi trong lập kế hoạch chiến lược, đặc biệt là tác động của chúng đến quản lý rủi ro.

Các trường hợp sử dụng liên quan đến rủi ro được ghi nhận trong năm 2025:

• Lồng ghép quản lý rủi ro vào chiến lược bằng cách chuyển giao rủi ro doanh nghiệp vào các thẻ điểm cân bằng chiến lược và chức năng, liên kết rủi ro, kịch bản và KPI giữa các bộ phận.
• Tích hợp quản lý rủi ro vào thực thi chiến lược bằng cách liên tục giám sát các biện pháp kiểm soát phòng ngừa và giảm thiểu thông qua phân tích bowtie trong một khung hiệu suất duy nhất.

Dưới đây là những thay đổi trong quản lý rủi ro mà chúng tôi kỳ vọng sẽ thấy vào năm 2026:

• Nhiều quy định hơn đang bao gồm rõ ràng các yêu cầu về thực tiễn quản lý rủi ro. Khái niệm bên liên quan ngày càng trở nên phổ biến trong quản lý rủi ro.
• Quản trị AI đang được áp dụng rộng rãi nhằm giảm thiểu các rủi ro liên quan đến AI tạo sinh mới nổi.
• Các sự cố rò rỉ dữ liệu đáng chú ý (như liên quan đến Coupang, Aflac và Đại học Phoenix) đã thúc đẩy sự quan tâm đến việc xác thực nhà cung cấp bên thứ ba.
• Sự phân mảnh địa chính trị tiếp diễn, các hạn chế thương mại và biến động kinh tế vĩ mô đang thúc đẩy các tổ chức năm 2026 mở rộng và kiểm tra sức chịu đựng các mô hình rủi ro của họ, đặc biệt là trên toàn bộ chuỗi cung ứng.
• Các hiện tượng thời tiết cực đoan đã mở rộng sự quan tâm đến khôi phục thảm họa vượt ra ngoài lĩnh vực CNTT cốt lõi.

Rủi ro là chủ đề nhận được nhiều sự quan tâm trong cộng đồng chuyên môn. Chúng tôi đang chứng kiến ngày càng nhiều hội nghị về rủi ro và GRC tại Hoa Kỳ và Châu Âu. Chúng tôi sẽ chia sẻ kinh nghiệm thực tiễn của mình về quản lý rủi ro thông qua các bài tham luận tại hội nghị đã lên kế hoạch.

Giới thiệu: Định nghĩa Rủi ro Vượt ra ngoài Xác suất và Tác động

Tiêu chuẩn hướng dẫn trong lĩnh vực quản lý rủi ro là ISO 31000. Thật thú vị khi quan sát sự phát triển của định nghĩa tiêu chuẩn về rủi ro theo thời gian:

• Định nghĩa trước đây của ISO về rủi ro: “Một cơ hội hoặc xác suất mất mát.”
• Định nghĩa theo ISO 31000:2018: “Tác động của sự không chắc chắn lên mục tiêu.”

Điều gì đã thay đổi?

• Định nghĩa cũ đề cập đến “mất mát“; định nghĩa mới sử dụng thuật ngữ “tác động.” Sự chuyển đổi này ngụ ý các tác động tích cực và tiêu cực tiềm năng, đồng thời nhấn mạnh tầm quan trọng của các yếu tố vô hình như nhận thức của khách hàng.
• Định nghĩa cũ dùng “cơ hội” và “xác suất” để mô tả khả năng xảy ra. Trong định nghĩa hiện đại, chúng ta gặp “tác động của sự không chắc chắn,” cũng được giải thích là tác động của kiến thức không đầy đủ. Cách tiếp cận này cho phép linh hoạt hơn trong việc định nghĩa rủi ro, mở rộng vượt ra ngoài mô hình “xác suất x tác động”.
• Việc thêm thuật ngữ “mục tiêu” vào định nghĩa mới nhấn mạnh rằng rủi ro được định nghĩa trong một ngữ cảnh cụ thể, ngăn ngừa sự không đồng bộ tiềm năng với chiến lược tổng thể.

Hãy khám phá ứng dụng thực tế của quản lý rủi ro trong lập kế hoạch chiến lược bằng cách sử dụng các nguyên tắc hướng dẫn của tiêu chuẩn ISO.

1. Đánh giá rủi ro: Hệ thống và Nhận thức Bên liên quan

Lập bản đồ các rủi ro có thể thông qua phân tích có hệ thống các lực lượng thúc đẩy và các chỉ số dấu hiệu sớm của chúng trong ngữ cảnh chiến lược của tổ chức và lợi ích của các bên liên quan.

Hướng dẫn chung của tiêu chuẩn ISO nhấn mạnh rằng đánh giá rủi ro nên có hệ thống và xem xét quan điểm của các bên liên quan khác nhau.

Điều đó có ý nghĩa gì trong thực tế?

Đánh giá rủi ro: Có hệ thống

Khái niệm đánh giá rủi ro ‘có hệ thống’ khác nhau giữa các ngành công nghiệp. Về cơ bản, nó bao gồm việc tuân theo các quy trình và tiêu chuẩn xác định, chẳng hạn như:

• Tính đều đặn của đánh giá rủi ro
• Định lượng rủi ro
• Chỉ định cá nhân phụ trách

Dưới đây, chúng tôi thảo luận cách điều này có thể được triển khai ở mức độ vận hành.

Đánh giá rủi ro: Góc nhìn của bên liên quan

Tương tự như các lĩnh vực kinh doanh khác (hãy xem xét, ví dụ, chỉ thị báo cáo bền vững), tiêu chuẩn ISO tập trung vào việc định nghĩa bên liên quan và yêu cầu xem xét quan điểm của các bên liên quan khi quản lý rủi ro.

Trong thực tế, điều này có nghĩa là các tổ chức cần phải:

• Thực hiện phân tích bên liên quan để xác định các bên quan tâm liên quan.
• Xem xét lợi ích của các bên liên quan khi tạo mô hình rủi ro trong ngữ cảnh của các mục tiêu.

Yêu cầu tiêu chuẩn này phù hợp tốt với cách tiếp cận mà chúng tôi ủng hộ thông qua hệ thống triển khai chiến lược của mình.

Người dùng của BSC Designer sẽ tìm thấy mẫu phân tích bên liên quan trong tài khoản của họ.

• Danh sách các bên liên quan có thể được xác định qua Cài đặt > Tổ chức > Chiến lược.
• Các bên liên quan từ danh sách sẽ được bao gồm trong danh sách ‘Phụ trách‘ và có thể được gán cho một mục tiêu, rủi ro hoặc kế hoạch giảm thiểu rủi ro.

Xác định rủi ro trong ngữ cảnh của các mục tiêu

Bước tiếp theo của đánh giá rủi ro là đặt tên cho rủi ro cụ thể. Tiêu chuẩn ISO mới yêu cầu các rủi ro phải được xác định trong ngữ cảnh của các mục tiêu. Mục tiêu của tiêu chuẩn là cải thiện sự liên kết giữa rủi ro và ngữ cảnh kinh doanh.

Michael Rasmussen, một nhà phân tích GRC nổi tiếng, đã chia sẻ quan điểm của mình về quản lý rủi ro cho việc tạo ra giá trị so với quản lý rủi ro để tuân thủ:

• “[Một công cụ tốt cho quản lý rủi ro] bắt đầu với các mục tiêu của doanh nghiệp và lập bản đồ và quản lý rủi ro trong ngữ cảnh của các mục tiêu đó (đúng chuẩn ISO 31000).”

Trong hoạch định chiến lược, thay vì có một thẻ điểm rủi ro riêng biệt, tích hợp rủi ro vào các thẻ điểm chiến lược.

Khi thực hiện phân rã chiến lược dựa trên giá trị, chúng ta chia nhỏ các tham vọng chiến lược của các bên liên quan thành các mục tiêu và mục tiêu phụ cụ thể hơn. Tại điểm này, chúng ta định lượng các mục tiêu và xác định rủi ro để hiểu rõ hơn ngữ cảnh kinh doanh chúng ta đang đối mặt.

Hầu hết các công cụ chúng ta sử dụng để quét môi trường kinh doanh (tham khảo phần Phân tích Chiến lược trên sơ đồ) sẽ tự nhiên giúp xác định các rủi ro.

Để xác định rủi ro trong BSC Designer:

• Chọn một mục tiêu hiện có hoặc tạo một mục tiêu mới.
• Chọn Thêm rủi ro từ menu nút Thêm.
• Điền vào các yếu tố liên quan trong trường mô tả và sử dụng phần Tài liệu để tải lên mọi tài liệu hỗ trợ.

Để nhập kết quả phân tích rủi ro:

1. Chọn chỉ số Khả năng xảy ra.
2. Nhập ước tính rủi ro ban đầu vào trường Vốn có.
3. Nhập rủi ro chấp nhận được vào trường Chấp nhận được.
4. Nhập ước tính rủi ro hiện tại vào trường Còn lại.

Lặp lại các bước cho chỉ số Tác động.

Xác định các chỉ báo dấu hiệu sớm

Nguyên nhân gốc rễ của rủi ro là điều được ISO gọi là hiệu ứng của “kiến thức không đầy đủ”.

Làm thế nào chúng ta có thể nâng cao mô hình rủi ro trong bối cảnh các lực lượng thúc đẩy?

Ngoài các chỉ số xác suất, hãy định nghĩa các chỉ báo dấu hiệu sớm. Ví dụ, đây có thể là các chỉ báo cảnh báo sớm về khủng hoảng kinh tế hoặc thậm chí là chiến tranh. Bằng cách chuyển đổi các lực lượng thúc đẩy chung thành các yếu tố cụ thể hơn, chúng ta tăng cơ hội tìm ra chỉ báo cảnh báo sớm đáng tin cậy.

Trong hoạch định chiến lược, chúng ta phân biệt các chỉ số dự đoán/dẫn dắt này liên kết với các yếu tố thành công, với các chỉ số đo lường kết quả (chỉ số trễ).

Để tạo một chỉ báo dấu hiệu sớm dự đoán trong BSC Designer:

• Tạo mới một chỉ số.
• Chuyển sang tab Ngữ cảnh.
• Thay đổi loại chỉ số thành “Chỉ số dẫn dắt”.

Changing type of indicator to Leading. Nguồn: Risk Management Example.

Chỉ số này sẽ không được tính đến khi tính toán hiệu suất của mục tiêu cha, nhưng chúng ta có thể theo dõi nó và sử dụng để định lượng việc khám phá rủi ro hoặc các sáng kiến giảm thiểu rủi ro.

2. Phân tích rủi ro: Khả năng xảy ra, Tác động, Tính dễ tổn thương

Làm cho rủi ro cụ thể hơn bằng cách định lượng các thuộc tính như khả năng xảy ra, tác động và tính dễ tổn thương.

Phân tích rủi ro là một thực hành rộng, tập trung vào việc hiểu rủi ro và các tác động tiềm năng của nó đối với tổ chức. Dưới đây, chúng tôi cung cấp các đề xuất cho phân tích rủi ro trong ngữ cảnh lập kế hoạch chiến lược.

Xác định Chỉ số Khả năng xảy ra/Xác suất

Chỉ số khả năng xảy ra có thể được xác định:

• Định tính, ví dụ, trên thang đo [Thấp, Trung bình, Cao] hoặc
• Định lượng, ví dụ, trên thang đo [0 đến 100%].

Thang đo định lượng phù hợp cho các trường hợp sự kiện rủi ro có đủ dữ liệu thực nghiệm để ước tính khả năng xảy ra của nó trong một khoảng thời gian nhất định.

Một thang đo định lượng để đo lường khả năng xảy ra rủi ro. Nguồn: Risk Management Example.

Người dùng BSC Designer có thể xác định các đơn vị đo lường định tính (một thang đo tùy chỉnh [“Hiếm, Không chắc chắn, Có thể, Có khả năng, Chắc chắn”]) mà phần mềm có thể chuyển đổi thành các giá trị cụ thể.

Một thang đo định tính để đánh giá xác suất rủi ro. Nguồn: Risk Management Example.

Chỉ số Mức độ tác động của rủi ro

Tương tự như chỉ số khả năng xảy ra, chúng ta có thể định nghĩa chỉ số rủi ro một cách định lượng trên thang điểm từ 0 đến 100%.

Một lựa chọn thay thế là sử dụng thang điểm bằng đô la cho chỉ số mức độ tác động của rủi ro.

Chỉ số tác động đo lường trên thang điểm bằng đô la. Nguồn: Risk Management Example.

Tương tự như chỉ số khả năng xảy ra, chúng ta có thể định nghĩa thang điểm định lượng tùy chỉnh cho mức độ tác động:

Thang điểm định tính cho chỉ số mức độ tác động của rủi ro. Nguồn: Risk Management Example.

Chỉ số Dễ bị tổn thương

Việc ước tính khả năng xảy ra của rủi ro và tác động có thể xảy ra của nó không xem xét đến độ nhạy cảm của tổ chức đối với loại rủi ro này.

Khi thảo luận về các chỉ số dấu hiệu sớm, chúng tôi đã định lượng các khía cạnh của môi trường kinh doanh có thể dự đoán sự phát triển của các lực lượng thúc đẩy nhất định. Trong trường hợp dễ bị tổn thương, chúng tôi tiến hành một phân tích tương tự nhưng tập trung vào tổ chức và cơ sở hạ tầng của nó.

Chẳng hạn, chúng ta có thể đánh giá các lỗ hổng an ninh mạng hiện có thông qua mô phỏng tấn công hoặc mô phỏng chiến tranh. Các ví dụ cụ thể hơn có thể được tìm thấy trong bài viết an ninh mạng.

“Dễ bị tổn thương” có thể được định lượng theo CVSS trên thang điểm từ 0 đến 10 với hàm tối ưu hóa “Tối thiểu hóa”.

Liên kết Rủi ro với Hiệu quả của Kiểm soát Nội bộ

Một cách để ước tính khả năng xảy ra hoặc tác động của một rủi ro là đánh giá hiệu quả của kiểm soát nội bộ.

Hiệu quả của các kiểm soát được xác nhận bằng các chỉ số trễ. Nếu những chỉ số đó nằm trong vùng xanh, chúng ta có thể kỳ vọng một ước tính rủi ro thấp hơn.

Theo dõi các yếu tố thời gian

Sự thay đổi liên tục của các lực thúc đẩy, cũng như các sáng kiến phòng ngừa rủi ro, dẫn đến thay đổi trong ước lượng rủi ro.

Theo dõi sự phát triển của rủi ro theo thời gian và ghi chú lại những ý tưởng liên quan cho chu kỳ học hỏi và cải tiến.

Để tự động hóa điều này trong BSC Designer:

• Thiết lập khoảng thời gian cập nhật cho các chỉ số rủi ro.

• Sử dụng lịch nội bộ và trường Giá trị để cập nhật chỉ số với dữ liệu mới.
• Sử dụng nút bình luận để thêm các ghi chú liên quan vào bản cập nhật.

3. Xử lý Rủi ro: Quyết định Cách Phản hồi Rủi ro

Triển khai các kế hoạch giảm thiểu rủi ro và theo dõi sự thành công của việc triển khai với các trạng thái của sáng kiến và chỉ số giảm thiểu rủi ro.

Theo các ngưỡng rủi ro chấp nhận được đã thiết lập và kết quả của phân tích rủi ro, những người ra quyết định xây dựng chiến lược phản hồi cho rủi ro với các lựa chọn có thể như:

• Loại bỏ rủi ro vì không liên quan
• Theo dõi trong mô hình rủi ro hiện tại
• Giới thiệu kế hoạch xử lý rủi ro
• Đặt câu hỏi về phân tích rủi ro
• Đặt câu hỏi về ngữ cảnh (mục tiêu hoặc tham vọng của bên liên quan)

Trong BSC Designer:

• Sử dụng Giảm thiểu rủi ro sáng kiến để ghi lại các kế hoạch xử lý rủi ro.
• Liên kết chỉ số tiến độ với sáng kiến giảm thiểu rủi ro.
• Sử dụng trường trạng thái của rủi ro để chỉ ra trạng thái hiện tại của nó theo quy trình quản lý rủi ro được chấp nhận.

Theo dõi trạng thái của sáng kiến giảm thiểu rủi ro. Nguồn: Risk Management Example.

• Thêm các mục bổ sung qua hộp thoại Sáng kiến (rủi ro mới, sáng kiến, lý do, giả thuyết, kết quả mong đợi)
• Thêm dữ liệu liên quan cho xử lý rủi ro, chẳng hạn như ngân sách, thời gian, chỉ số tiến độ, người phụ trách
• Tải lên các tài liệu hỗ trợ liên quan

4. Giám sát rủi ro: Một cái nhìn mới về mức độ phơi nhiễm rủi ro

Theo dõi sự phát triển của mức độ phơi nhiễm rủi ro theo thời gian với các chỉ số rủi ro chính và bảng.

Các chỉ số mà chúng tôi sử dụng để xác định rủi ro được cấu hình cho một khoảng thời gian cập nhật nhất định. Những người phụ trách được chỉ định cho các chỉ số rủi ro sẽ nhận được thông báo về các khoảng thời gian cập nhật sắp tới và các cập nhật bị bỏ lỡ.

Cũng có thể hiển thị trên bảng các chỉ số mà không được cập nhật kịp thời.

Chi tiết của tất cả các cập nhật (người cập nhật, khi nào cập nhật được thực hiện, nếu giá trị trước đó đã bị thay đổi) có thể được xem qua nhật ký kiểm tra cho các chỉ số.

Trên mức thẻ điểm quản trị, phân tích rủi ro định kỳ có thể được định lượng bằng một chỉ số riêng:

• Thêm “Tiến hành đánh giá rủi ro có hệ thống” vào thẻ điểm quản trị.
• Cấu hình chỉ số để được cập nhật hàng quý hoặc hàng năm.
• Chỉ định người/nhóm chịu trách nhiệm cho phân tích rủi ro định kỳ làm phụ trách của chỉ số này để nhận nhắc nhở qua email về các cập nhật sắp tới.
• Liên kết chỉ số này với các chỉ số tương ứng từ các cấp thấp hơn mà định lượng các đánh giá rủi ro thực hiện trong các lĩnh vực cụ thể.

Bảng

Ngoài việc giám sát với các chỉ số được cập nhật thường xuyên, hãy cân nhắc thêm một bảng với các biểu đồ liên quan:

• Một biểu đồ với danh sách các rủi ro, trạng thái của chúng, tiến trình xử lý, người phụ trách
• Biểu đồ chuyên biệt cho các rủi ro quan trọng nhất
• Biểu đồ cho chỉ số rủi ro và sự thay đổi của nó theo thời gian.

Một bảng với biểu đồ rủi ro. Nguồn: Risk Management Example.

Chỉ mục Rủi ro Trọng số

Một trong những phương tiện phổ biến để báo cáo sự cố rủi ro là sử dụng chỉ mục rủi ro trọng số. Một chỉ mục đơn giản có thể trông như thế này:

• Sự kiện tác động thấp (trọng lượng = 5%)
• Sự kiện tác động trung bình (trọng lượng = 15%)
• Sự kiện tác động cao (trọng lượng = 30%)
• Sự kiện quan trọng (trọng lượng = 50%)

Việc sử dụng chỉ mục giúp ngăn chặn việc thao túng chỉ số bằng cách che giấu các sự kiện có giá trị cao bằng các biện pháp khắc phục có giá trị thấp.

Một ví dụ về chỉ mục rủi ro trọng số. Nguồn: Ví dụ Quản lý Rủi ro.

Trong BSC Designer:

• Sử dụng nút Thêm để tạo cấu trúc thứ bậc của các chỉ báo.
• Sử dụng thuộc tính Trọng lượng trong tab Hiệu suất để gán trọng lượng phù hợp cho các chỉ báo.

Quản lý Rủi ro trên quy mô lớn: Sổ Đăng ký Rủi ro so với Định nghĩa Rủi ro Tập trung vào Mục tiêu

Khi mở rộng các thực hành liên quan đến rủi ro, các tổ chức thường kết hợp hai phương pháp quản lý rủi ro này để cân bằng giữa khả năng hiển thị rủi ro và liên kết:

• Sử dụng thẻ điểm sổ đăng ký rủi ro cho các rủi ro chung, và
• Tập trung vào định nghĩa rủi ro tập trung vào mục tiêu cho các rủi ro cụ thể hơn.

An example of a risk register in a functional scorecard automated by BSC Designer. Nguồn: Risk Register.

Phân tích rủi ro toàn diện – Phương pháp Bowtie

Ở trên, chúng ta đã tập trung vào phân tích định lượng của các rủi ro cụ thể. Nhưng nếu chúng ta cần hiểu sâu hơn về các bất định liên quan đến một sự kiện rủi ro cụ thể—một sự kiện liên quan đến nhiều mối đe dọa và hậu quả trên nhiều khía cạnh khác nhau thì sao?

Trong những trường hợp như vậy, phương pháp phân tích rủi ro Bowtie cung cấp một cái nhìn rõ ràng và có cấu trúc về sự kiện rủi ro cụ thể đó, không chỉ mô tả bản thân sự kiện mà còn cả các biện pháp kiểm soát phòng ngừa và giảm thiểu.

Trang trình bày

Phiên: 'Quản lý Rủi ro với BSC Designer' có sẵn như một phần của chương trình học tập liên tục của BSC Designer, được cung cấp dưới dạng hội thảo trực tuyến và tại chỗ. Tìm hiểu thêm....

Kết luận: Tích hợp rủi ro trong lập kế hoạch chiến lược

Chúng ta không còn nói về các lĩnh vực riêng biệt của quản lý rủi ro, tuân thủ, và quản trị. Môi trường kinh doanh thay đổi nhanh chóng buộc các tổ chức phải tìm kiếm một khung GRC tích hợp.

Như đã nêu trong Hệ thống Thực thi Chiến lược của chúng tôi, việc thực thi thực tế bao gồm:

• Phân rã các vấn đề phức tạp thành các lĩnh vực cụ thể, được quản lý bởi các thẻ điểm chiến lược và chức năng chuyên biệt.
• Xây dựng mục tiêu với các định nghĩa rủi ro phù hợp, các chỉ số và sáng kiến.
• Tập trung thẻ điểm vào các lĩnh vực quan tâm như tuân thủ, an ninh mạng hoặc chuỗi cung ứng.

Sử dụng Mẫu Ví dụ Quản lý Rủi ro

BSC Designer giúp các tổ chức thực hiện chiến lược phức tạp của họ:

1. Đăng ký gói miễn phí trên nền tảng.
2. Sử dụng mẫu Ví dụ Quản lý Rủi ro làm điểm khởi đầu. Bạn sẽ tìm thấy nó trong Mới > Thẻ điểm mới > Nhiều mẫu hơn.
3. Tuân theo Hệ thống Thực hiện Chiến lược của chúng tôi để liên kết các bên liên quan và tham vọng chiến lược thành một chiến lược toàn diện.

Bắt đầu ngay hôm nay và xem BSC Designer có thể đơn giản hóa việc thực hiện chiến lược của bạn như thế nào!

Alexis Savkín

Alexis Savkin là Chuyên gia Tư vấn Chiến lược Cấp cao và là Giám đốc điều hành của BSC Designer, một nền tảng Thẻ điểm cân bằng. Ông có hơn 20 năm kinh nghiệm trong lĩnh vực này, với nền tảng toán học ứng dụng và công nghệ thông tin. Alexis là tác giả của “Hệ thống Triển khai Chiến lược”. Ông đã xuất bản hơn 100 bài viết về chiến lược và đo lường hiệu suất, thường xuyên phát biểu tại các sự kiện ngành, và công trình của ông thường xuyên được trích dẫn trong các nghiên cứu học thuật.