TOGAF® Standard — ADM Techniques¶

8. Quản lý rủi ro (Risk Management)¶

Quản lý rủi ro là một kỹ thuật quan trọng được sử dụng để giảm thiểu rủi ro khi thực hiện một dự án kiến trúc, và nó là một phần không thể thiếu của Kiến trúc Doanh nghiệp.

8.1. Tổng quan về Quản lý Rủi ro¶

Mọi nỗ lực chuyển đổi kiến trúc/kinh doanh đều tiềm ẩn rủi ro.
Điều quan trọng là phải xác định, phân loại và giảm thiểu những rủi ro này trước khi bắt đầu để chúng có thể được theo dõi trong suốt quá trình chuyển đổi.
Việc giảm thiểu rủi ro là một nỗ lực liên tục, và các yếu tố kích hoạt rủi ro có thể nằm ngoài phạm vi của các nhà hoạch định chuyển đổi (ví dụ: sáp nhập, mua lại), do đó các nhà hoạch định phải liên tục giám sát bối cảnh chuyển đổi.
Kiến trúc sư Doanh nghiệp có thể xác định và giảm thiểu một số rủi ro, nhưng việc chấp nhận và quản lý chúng phải nằm trong khuôn khổ quản trị.
Hai cấp độ rủi ro cần được xem xét là:
Mức độ rủi ro ban đầu (Initial Level of Risk): phân loại rủi ro trước khi xác định và thực hiện các hành động giảm thiểu.
Mức độ rủi ro còn lại (Residual Level of Risk): phân loại rủi ro sau khi thực hiện các hành động giảm thiểu (nếu có).
Quy trình Quản lý Rủi ro Quy trình quản lý rủi ro bao gồm các hoạt động sau:
Phân loại rủi ro (Risk classification).
Xác định rủi ro (Risk identification).
Đánh giá rủi ro ban đầu (Initial risk assessment).
Giảm thiểu rủi ro và đánh giá rủi ro còn lại (Risk mitigation and residual risk assessment).
Giám sát rủi ro (Risk monitoring).

8.2. Phân loại Rủi ro (Risk Classification)¶

Rủi ro tồn tại trong mọi hoạt động Kiến trúc Doanh nghiệp và có mặt trong tất cả các giai đoạn trong ADM (Phương pháp Phát triển Kiến trúc).
Một cách phổ biến để phân loại rủi ro là liên quan đến tác động của chúng đối với tổ chức. Các rủi ro có tác động nhất định phải được giải quyết bởi các cấp quản trị nhất định.
Rủi ro thường được phân loại theo thời gian (lịch trình), chi phí (ngân sách) và phạm vi, nhưng chúng cũng có thể bao gồm rủi ro về mối quan hệ chuyển đổi của khách hàng, rủi ro hợp đồng, rủi ro công nghệ, rủi ro phạm vi và độ phức tạp, rủi ro môi trường (doanh nghiệp), rủi ro nhân sự và rủi ro chấp nhận của khách hàng.
Rủi ro cũng có thể được phân loại theo các lĩnh vực kiến trúc như kinh doanh, thông tin, ứng dụng và công nghệ. Rủi ro Kiến trúc Doanh nghiệp cuối cùng là rủi ro của doanh nghiệp và nên được phân loại và quản lý theo cách tương tự hoặc mở rộng.

8.3. Xác định Rủi ro (Risk Identification)¶

Các đánh giá về mức độ trưởng thành và khả năng sẵn sàng chuyển đổi sẽ tạo ra nhiều rủi ro.
Việc sử dụng Mô hình trưởng thành năng lực (CMM) phù hợp để xác định trạng thái cơ sở và mục tiêu, sau đó xác định các hành động cần thiết để đạt được trạng thái mục tiêu. Hậu quả của việc không đạt được trạng thái mục tiêu có thể dẫn đến việc phát hiện ra rủi ro.
Tài liệu rủi ro được hoàn thành trong bối cảnh Kế hoạch quản lý rủi ro, đối với đó các mẫu tồn tại trong các phương pháp quản lý dự án tiêu chuẩn (ví dụ: PMBOK® và PRINCE2®) cũng như với các phương pháp của chính phủ khác nhau.
Các phương pháp này thường bao gồm các quy trình lập kế hoạch dự phòng, theo dõi và đánh giá mức độ rủi ro, phản ứng với các yếu tố thay đổi mức độ rủi ro, cũng như các quy trình tài liệu hóa, báo cáo và truyền đạt rủi ro cho các bên liên quan.

8.4. Đánh giá Rủi ro Ban đầu (Initial Risk Assessment)¶

Bước tiếp theo là phân loại rủi ro về tác động (effect) và tần suất (frequency) theo các thang đo được sử dụng trong tổ chức.
Tác động (Effect) có thể được đánh giá bằng các tiêu chí ví dụ sau:
Thảm khốc (Catastrophic): mất mát tài chính nghiêm trọng có thể dẫn đến phá sản.
Nghiêm trọng (Critical): mất mát tài chính nghiêm trọng ở nhiều lĩnh vực kinh doanh, dẫn đến mất năng suất và không có lợi tức đầu tư.
Trung bình (Marginal): mất mát tài chính nhỏ ở một lĩnh vực kinh doanh và giảm lợi tức đầu tư.
Không đáng kể (Negligible): tác động tối thiểu đến khả năng cung cấp dịch vụ/sản phẩm của một lĩnh vực kinh doanh.
Tần suất (Frequency) có thể được chỉ ra như sau:
Thường xuyên (Frequent): rất có thể xảy ra và/hoặc liên tục.
Có khả năng (Likely): xảy ra vài lần trong một chu kỳ chuyển đổi.
Thỉnh thoảng (Occasional): xảy ra không thường xuyên.
Hiếm khi (Seldom): khả năng xảy ra từ xa và có thể không quá một lần trong một chu kỳ chuyển đổi.
Không thể xảy ra (Unlikely): có thể sẽ không xảy ra trong chu kỳ chuyển đổi.
Kết hợp hai yếu tố này để suy ra tác động của doanh nghiệp có thể được thực hiện bằng một sơ đồ phân loại dựa trên heuristic nhưng nhất quán, ví dụ:
Rủi ro cực kỳ cao (Extremely High Risk - E): nỗ lực chuyển đổi rất có thể thất bại với hậu quả nghiêm trọng.
Rủi ro cao (High Risk - H): thất bại đáng kể của một phần nỗ lực chuyển đổi dẫn đến không đạt được một số mục tiêu.
Rủi ro trung bình (Moderate Risk - M): thất bại đáng chú ý của một phần nỗ lực chuyển đổi đe dọa sự thành công của một số mục tiêu.
Rủi ro thấp (Low Risk - L): một số mục tiêu sẽ không hoàn toàn thành công.
Những tác động này có thể được rút ra bằng một sơ đồ phân loại, như minh họa trong Hình 8-1.

Figure 8-1: Risk Classification Scheme

8.5. Giảm thiểu rủi ro và Đánh giá rủi ro còn lại (Risk Mitigation and Residual Risk Assessment)¶

Giảm thiểu rủi ro (Risk mitigation) đề cập đến việc xác định, lập kế hoạch và thực hiện các hành động nhằm giảm rủi ro xuống mức có thể chấp nhận được.

Nỗ lực giảm thiểu có thể dao động từ:

Theo dõi và/hoặc chấp nhận rủi ro (monitoring/acceptance)
→ đến một kế hoạch dự phòng toàn diện (contingency plan), chẳng hạn như Kế hoạch Duy trì Hoạt động Kinh doanh (Business Continuity Plan) với đầy đủ các yêu cầu về phạm vi, chi phí và thời gian.

Do các tác động từ việc đánh giá rủi ro, quá trình này cần phải được thực hiện một cách thực tiễn nhưng có hệ thống.
Ưu tiên trước hết là các rủi ro xảy ra thường xuyên và có tác động cao, sau đó từng rủi ro sẽ được giảm thiểu theo thứ tự.

8.6. Thực hiện Đánh giá rủi ro còn lại (Conduct Residual Risk Assessment)¶

Khi nỗ lực giảm thiểu đã được xác định cho từng rủi ro, cần đánh giá lại:

Tần suất xảy ra (frequency)
Mức độ tác động (effect/impact)

Sau đó, tính toán lại tổng tác động để xem liệu biện pháp giảm thiểu có thực sự mang lại sự khác biệt chấp nhận được hay không.

⚠️ Lưu ý:

Các nỗ lực giảm thiểu thường tốn nhiều nguồn lực → nếu kết quả chỉ mang lại ít hoặc không làm giảm rủi ro còn lại thì cần phải được xem xét lại.
Khi rủi ro ban đầu đã được giảm thiểu, phần rủi ro vẫn còn được gọi là “rủi ro còn lại” (residual risk).

Điểm then chốt là biện pháp giảm thiểu phải thực sự làm giảm tác động đến doanh nghiệp, chứ không chỉ chuyển rủi ro sang một tình huống nghiêm trọng tương tự.
Ví dụ: chuyển rủi ro từ “thường xuyên/thảm họa” (frequent/catastrophic) sang “thường xuyên/nghiêm trọng” (frequent/critical) vẫn là mức rủi ro cực kỳ cao. Trong trường hợp này, biện pháp giảm thiểu phải được xem xét lại.

✅ Sản phẩm cuối cùng (deliverable) cần có là Bản đánh giá rủi ro chuyển đổi (transformation risk assessment), có thể được trình bày dưới dạng bảng tính (worksheet) như minh họa trong Hình 8-2.

Figure 8-2: Sample Risk Identification and Mitigation Assessment Worksheet

8.6. Giám sát và Quản trị Rủi ro (Risk Monitoring and Governance) (Giai đoạn G)¶

Các rủi ro còn lại phải được phê duyệt bởi khuôn khổ quản trị CNTT và có thể cả trong quản trị doanh nghiệp, nơi cần sự chấp nhận của doanh nghiệp đối với các rủi ro còn lại.
Khi các rủi ro còn lại đã được chấp nhận, việc thực hiện các hành động giảm thiểu phải được giám sát cẩn thận để đảm bảo rằng doanh nghiệp đang đối phó với rủi ro còn lại chứ không phải rủi ro ban đầu.
Các bảng tính xác định và giảm thiểu rủi ro được duy trì như các tạo phẩm quản trị và được cập nhật trong Giai đoạn G (Quản trị thực hiện), nơi diễn ra việc giám sát rủi ro.
Quản trị thực hiện có thể xác định các rủi ro nghiêm trọng không được giảm thiểu và có thể yêu cầu một chu kỳ ADM đầy đủ hoặc một phần khác.

Kiến trúc sư được khuyến khích sử dụng phương pháp quản lý rủi ro của doanh nghiệp hoặc mở rộng nó bằng hướng dẫn trong chương này, hoặc sử dụng hướng dẫn này làm thực hành tốt nhất khi không có phương pháp chính thức.