Cách phân loại rủi ro trong doanh nghiệp

Rủi ro Chính trị

Rủi ro chính trị bao gồm các nguy cơ như chiến tranh, khủng bố và tham nhũng. Kể từ ngày 11 tháng 9, nhận thức về khủng bố đã gia tăng, ảnh hưởng đến chuỗi cung ứng. Các quy định vận tải đã được cường độ hơn để đối phó với các vụ tấn công như vào ngày 11/9. Những khủng hoảng chính trị có thể làm cho một công ty mất nhiều năm mới phục hồi, vì vậy việc nhận ra tác động của chúng khi thiết lập chuỗi cung ứng toàn cầu là vô cùng cần thiết (Yuva 2009).

Rủi ro Môi trường

Rủi ro môi trường, như siêu bão, đại dịch, lốc xoáy và động đất, có thể gây thiệt hại lớn cho các tổ chức. Những rủi ro này có thể phát triển thành các tổn thất trách nhiệm phát sinh từ các nghĩa vụ hợp đồng hoặc vi phạm quy định. Trách nhiệm về thiệt hại môi trường thường bắt nguồn từ các cáo buộc về ô nhiễm môi trường, vi phạm pháp luật về bảo vệ sức khỏe con người và ô nhiễm môi trường, hoặc yêu cầu bồi thường. Các biện pháp giảm thiểu rủi ro có thể bao gồm kiểm toán môi trường, bảo hiểm, di dời hoặc thiết kế lại cơ sở vật chất. Kế hoạch phản ứng và các nhóm xử lý là những biện pháp bổ sung để giảm thiểu thiệt hại và tác động, tuy nhiên thường không thành công trong trách nhiệm pháp lý, thường chuyển giao cho các hợp đồng doanh nghiệp.

Rủi ro Quan hệ Công chúng

Rủi ro quan hệ công chúng đề cập đến nguy cơ mất hình ảnh tiêu cực của tổ chức, nhân viên, sản phẩm hoặc dịch vụ trong phương tiện truyền thông. Rủi ro này ngày nay gia tăng do phương tiện xã hội, nơi người dùng không hài lòng có thể ngay lập tức phản ánh ý kiến của họ đến hàng ngàn người. Ý kiến tiêu cực có thể thu hút sự chú ý rộng rãi, gây ra các tình huống không thể kiểm soát.

Sự quan tâm lớn trong quản lý cung ứng là rủi ro về hình ảnh tiêu cực của một nhà cung cấp nào đó, có thể lan sang tổ chức mua vì mối quan hệ với nhà cung cấp đó. Đánh giá các rủi ro như vậy là rất quan trọng, đặc biệt là khi có ít kiểm soát và giám sát nhà cung cấp, đặc biệt là các nhà cung cấp nước ngoài. Đảm bảo nhà cung cấp tuân thủ theo luật và tiêu chuẩn đạo đức cũng có thể là một thách thức, vì ngay cả khi áp dụng tất cả các biện pháp kiểm soát và phòng ngừa, không thể đảm bảo 100%. Nếu một nhà cung cấp không tuân thủ theo luật hoặc quy định, sự cố này có thể được đăng trên phương tiện truyền thông, gây ra rủi ro về quan hệ công chúng và thiệt hại nghiêm trọng đến uy tín của tổ chức. Ví dụ như công ty Vauxhaull và BMW hợp tác để tuyển dụng lao động trẻ em (Bengtsen và Kelly 2016).

Rủi ro Tài chính

Rủi ro tài chính có thể được xác định bằng cách nhận diện các sự kiện có thể xảy ra, ước tính xác suất xảy ra của các sự kiện này trong một ngành cụ thể và đánh giá tác động của chúng. Ví dụ, vi phạm bằng sáng chế thường xảy ra nhiều hơn trong ngành phần mềm bán lẻ so với ngành dịch vụ thực phẩm. Ngược lại, các công ty trong ngành dịch vụ thực phẩm có khả năng bị kiện về ngộ độc thực phẩm hoặc ô nhiễm thực phẩm. Mỗi ngành có thông tin về tần suất của các sự kiện như vậy và chi phí tác động, thường được công bố. Khi một loạt các sự kiện có thể xảy ra được xác định và tác động của chúng được định lượng, các biện pháp giảm thiểu có thể được tiến hành. Trong trường hợp của ngành phần mềm, nghiên cứu về bằng sáng chế có thể được áp dụng để nhận ra các nguy cơ kiện tụng có thể xảy ra trước khi chúng xảy ra. Các biện pháp giảm thiểu có thể bao gồm mua bản quyền sáng chế hoặc chuẩn bị một kế hoạch pháp lý và triển khai khi cần thiết nếu có kiện tụng xảy ra.

Trong trường hợp của các công ty thực phẩm, việc tăng cường kiểm tra vệ sinh và báo cáo có thể giúp giảm nguy cơ về ngộ độc thực phẩm. Tác động tài chính của các sự kiện như vậy được minh họa trong trường hợp của Chipotle Mexican Grill, Inc., một chuỗi nhà hàng phổ biến đóng cửa tạm thời 43 nhà hàng do bùng phát vi khuẩn E.coli tại Oregon và Washington vào năm 2015. Sự bùng phát đã góp phần làm giảm 13% doanh thu của chuỗi nhà hàng vào năm 2016 (Kell 2017). Để phản ứng lại, Chipotle đã triển khai một kế hoạch quản lý rủi ro an toàn thực phẩm toàn diện.

Rủi ro Vận hành

Rủi ro vận hành đề cập đến nguy cơ mà tổ chức phải đối mặt từ các thiệt hại do các quy trình, hệ thống và nhân viên không phù hợp hoặc thất bại, cũng như từ các sự kiện bên ngoài như gian lận và trộm cắp. Theo Luật Sarbanes-Oxley (SOX), rủi ro vận hành đã trở thành một trọng tâm quan trọng. Việc đánh giá rủi ro trong các quy trình là một phần quan trọng của SOX, tuy nhiên đây cũng là một thử thách. SOX được thiết lập nhằm khôi phục lại niềm tin công chúng vào quản trị công ty, luật pháp hóa lĩnh vực kế toán và áp đặt các yêu cầu báo cáo đối với tất cả các công ty niêm yết tại Hoa Kỳ. Luật yêu cầu kiểm soát báo cáo tài chính để đảm bảo tính minh bạch và đáng tin cậy của báo cáo tài chính và chuẩn bị các báo cáo tài chính.

Nhiều tổ chức đã triển khai kiểm toán SOX để phát hiện và xử lý các sự kiện sai lầm có thể xảy ra và xây dựng các chương trình giảm thiểu. Đây là một phương pháp thực hành tốt để đánh giá rủi ro vận hành, liên quan đến đánh giá từng quy trình kinh doanh và phát triển các kế hoạch giảm thiểu rủi ro cho mỗi sự kiện.

Rủi ro Thương hiệu và Uy tín

Thương hiệu và uy tín được xây dựng thông qua các tương tác với thị trường (qua mua hàng và truyền thông) trong một khoảng thời gian dài. Sự suy giảm cũng xảy ra theo cách tương tự, qua các tương tác và truyền thông. Quản lý rủi ro thương hiệu và uy tín bao gồm việc nhận diện các yếu tố quan trọng để duy trì thương hiệu (như chất lượng sản phẩm/dịch vụ, sự hài lòng của khách hàng, chiến lược marketing và truyền thông) và theo dõi những thay đổi tiềm ẩn trong các yếu tố này.

Việc duy trì các chương trình như vậy thông qua các đầu tư và kiểm soát là rất quan trọng để giảm thiểu rủi ro. Ví dụ, nếu đánh giá chất lượng bắt đầu suy giảm do chất lượng nguyên liệu và quy trình thấp, thương hiệu có thể gặp rủi ro. Tổ chức có uy tín trong nghiên cứu sản phẩm của họ có thể đối mặt với rủi ro uy tín khi giảm đầu tư vào nghiên cứu. Để đánh giá tác động của việc suy giảm thương hiệu, một phương pháp có thể là so sánh giá trị thương hiệu cao nhất mà sản phẩm đạt được so với các sản phẩm khác. Sự phổ biến của mạng xã hội và sự dễ dàng trong việc truyền thông về ý kiến và kinh nghiệm cũng đã đặt ra một hành vi quản lý rủi ro hoàn toàn mới đối với thương hiệu và uy tín.

Rủi ro pháp lý khác cần xem xét

• Hình thành hợp đồng – điều kiện nào hình thành nên hợp đồng có hiệu lực? Thỏa thuận miệng có đủ hoặc phải được viết thành tài liệu? Đâu là yêu cầu tối thiểu cho tài liệ này, và chi tiết phải là gì?
• Khả năng – Tổ chức cam kết hoặc/và ký tài liệu đó có quyền để ràng buộc nguyên tắc (ví dụ, tổ chức tuyển dụng lao động).

Rủi ro pháp lý có thể là 1 thách thức cụ thể đổi với các tổ chức giao dịch kinh doanh qua biên giới, vì không có tổ chức hiệu lực về luật quốc tế. Các hiệp ước và thỏa thuận là phương pháp điển hình để có ảnh hưởng các hoạt động kinh doanh. Ví dụ, WTO xác định các thông lệ kinh tế được quốc tế chấp nhận cho các quốc gia thành viên. Câu hỏi ảnh hưởng nhiều nhất đến các chuyên gia cung ứng là quyền trong tranh chấp. Mỗi hợp đồng nên nói rõ luật quốc gia nào sẽ quản trị và vị trí địa lý khi giải quyết tranh chấp.

Hai lĩnh vực cụ thể của rủi ro pháp lý là việc làm và sở hữu trí tuệ.

Rủi ro pháp lý về việc làm có thể có nhiều hình thức. Trong khi hầu hết các nhân viên là theo ý muốn (at-will) nghĩa là người lao động hoặc người tuyển dụng có thể kết thúc mối quan hệ lao động. Một hợp đồng lao động giới hạn quyền của nhà tuyển dụng khi kết thúc hợp đồng có thể đã được tạo bởi hành vi, và nó được hiệu lực khi được viết ra văn bản. Vấn đề quan trọng khác cần xem xét là xác định đúng người lao động là nhân viên hay là nhà thầu độc lập. Việc xác định sai có thể dẫn đến thanh toán các khoản thuế, lợi nhuận thuế, và phạt. Để giải quyết vấn đề, tổ chức có thể có nghĩa vụ phải thưởng cho người lao động những lợi ích mà nhân viên khác có được.

Rủi ro mà hoạt động như tuyển dụng, chấm dứt hợp đồng lao động, đánh giá hiệu suất, thăng chức và sa thải là cần thiết phải tuân thủ các quy định pháp luật và chính sách chống phân biệt đối xử hoặc quấy rối. Đánh giá và quản lý rủi ro này thường được thực hiện thông qua việc kiểm toán bởi các chuyên gia bên ngoài, đánh giá chính sách tổ chức và đề xuất giải pháp giảm thiểu các rủi ro.

Gặp phải thách thức khi hoạt động trên phạm vi quốc tế là điều bình thường. Các câu hỏi quan trọng cần được xem xét bao gồm: Quy định pháp luật lao động của quốc gia đó là gì? Lương tối thiểu là bao nhiêu? Giờ làm việc chuẩn là gì? Có yêu cầu nào về an ninh hay kiểm tra lý lịch không? Tiêu chuẩn về sức khỏe và an toàn lao động của quốc gia đó như thế nào? Luật môi trường nào cần phải tuân thủ?

Sở hữu trí tuệ có thể có nhiều dạng khác nhau như bằng sáng chế, nhãn hiệu, bản quyền và bí mật thương mại.

Bằng sáng chế được định nghĩa là “quyền độc quyền được quy định bởi luật pháp cho phép chủ sở hữu của bằng sáng chế duy nhất quyền tạo ra, sử dụng và/hoặc bán phát minh đã được cấp bằng sáng chế, và để ngăn chặn những người khác làm như vậy mà không được sự cho phép của chủ sở hữu (bản quyền) trong một khoảng thời gian. Trước khi nộp đơn cấp bằng sáng chế, cá nhân cần phải có một tổ chức pháp lý tiến hành tìm kiếm để đảm bảo rằng ý tưởng chưa được cấp bằng sáng chế. Tổ chức tìm kiếm bằng sáng chế sẽ xem xét các bằng sáng chế tương tự với phát minh của cá nhân. Hơn nữa, trong quá trình nộp đơn bằng sáng chế, cá nhân phải giải thích với cơ quan cấp bằng sáng chế tại sao phát minh của họ khác biệt so với các phát minh khác. Trước khi nộp đơn để yêu cầu cấp bằng sáng chế độc quyền, nếu một phát minh đã được sử dụng công khai hoặc giới thiệu sản phẩm trên thị trường trước khi nó được cấp bằng sáng chế, người đó sẽ mất mọi quyền về bằng sáng chế sau một khoảng thời gian.

Loại bằng sáng chế phổ biến nhất là bằng sáng chế sử dụng. Khi áp dụng loại bằng sáng chế này, mục đích là bảo vệ chức năng của một phát minh. Ví dụ, chiếc chổi là một phát minh để thu gom bụi trên sàn nhà một cách dễ dàng hơn so với việc dùng tay.

Bằng sáng chế và các đăng ký chính phủ khác là những cách gián tiếp để bảo vệ sở hữu trí tuệ (IP) khỏi những vi phạm tiềm năng. Bảo vệ trực tiếp về sở hữu trí tuệ bao gồm thỏa thuận không tiết lộ và các điều khoản hợp đồng hướng đến những người có quyền truy cập vào sở hữu trí tuệ. Sử dụng cả hai phương pháp sẽ đem lại sự bảo vệ tối ưu.

Các quốc gia công nghiệp phát triển có hệ thống pháp lý hỗ trợ bảo vệ người tiêu dùng và đối xử công bằng với sở hữu trí tuệ. Tuy nhiên, điều này có thể không hoàn toàn đúng với các quốc gia đang phát triển, nơi mà việc bảo vệ IP không hiệu quả. Do đó, việc kiểm tra kỹ nhà cung cấp trước khi chia sẻ thiết kế hoặc thông tin sở hữu trí tuệ là cần thiết. Các tổ chức có mạng lưới toàn cầu nên đánh giá rủi ro mất quyền sở hữu trí tuệ hoặc lợi thế cạnh tranh so với lợi ích từ việc tăng cường hoặc tạo ra doanh thu. Ít nhất, các chuyên gia cung cấp phải am hiểu các luật pháp ảnh hưởng đến mối quan hệ với các nhà cung cấp. Một nguồn thông tin hữu ích là ASIL (www.asil.org). ASIL là một tổ chức phi lợi nhuận, không chính phủ, chuyên nghiên cứu về luật quốc tế, thúc đẩy sự hiểu biết và duy trì các quan hệ quốc tế dựa trên luật và công lý.

Nhãn hiệu thương mại hoặc dịch vụ được định nghĩa là “xác định nhãn hiệu, biểu tượng hoặc từ ngữ được sử dụng độc quyền cho một dịch vụ hoặc sản phẩm cụ thể. Nhãn hiệu có thể được bảo vệ bằng cách đăng ký với cơ quan thẩm quyền.

Bản quyền là một dạng sở hữu trí tuệ được bảo vệ bởi luật pháp quốc gia hoặc chính phủ, cấp cho tác giả hoặc người sáng tạo các tác phẩm, âm nhạc, nghệ thuật, sản phẩm trí tuệ ban đầu, có hoặc không công bố, độc quyền để phát hành, sao chép, biểu diễn, bán, thực hiện, chuyển giao hoặc sản phẩm theo những dự án từ sản phẩm ban đầu. Bản quyền bảo vệ người sở hữu trước những người không có quyền sở hữu. Đối với bản quyền đăng ký, sự cấp phép cho người sở hữu trạng thái bản quyền để hành động trở lại so với việc vi phạm. Một bản quyền đăng ký có

thể kéo dài đến 70 năm.

Trong môi trường kinh doanh hiện nay, thường chỉ nhắc đến thông tin bảo mật hoặc thông tin sở hữu, bí mật thương mại được định nghĩa là “thông tin thương mại, thường là kế hoạch, quy trình hoặc cơ chế, chỉ được biết đến bởi chủ sở hữu và một số giới hạn những người khác nếu cần thiết; thường được bảo vệ bằng các hợp đồng bảo mật”. Luật dân sự của California định nghĩa bí mật thương mại là “thông tin, bao gồm một công thức, mẫu, phát minh, chương trình, thiết bị, phương pháp, kỹ thuật hoặc quy trình, có giá trị kinh tế độc lập, thực tế hoặc tiềm năng từ việc biết của công chúng hoặc từ những người có thể có được giá trị kinh tế từ việc tiết lộ hoặc sử dụng; và là đối tượng của hành vi hợp pháp trong bối cảnh để duy trì bảo mật.

Một ví dụ dễ hiểu nhất về bí mật thương mại là công thức nước giải khát Coca-Cola. Công ty không bao giờ đăng ký bằng sáng chế cho công thức này, nhưng đã thành công trong việc bảo vệ bí mật này trong hơn 100 năm. Tuy nhiên, nếu bí mật bị lộ ra, công ty sẽ không thể ngăn chặn người khác hoặc tổ chức khác sử dụng công thức này cho lợi ích của họ. Bảo vệ bí mật thương mại không ngăn ngừa người khác phát triển độc lập và bán mặt hàng tương tự. Thời gian bảo vệ bí mật thương mại không xác định (tuỳ thuộc vào sự bảo mật của phát minh đó). Bảo mật thương mại được sử dụng bởi những người muốn giữ thông tin hoặc ý tưởng của họ bí mật lâu dài hơn 20 năm so với bằng sáng chế.

Một khái niệm quan trọng liên quan đến bí mật thương mại là người sở hữu phải bảo vệ thông tin để duy trì tính bảo mật của nó. Điều này bao gồm, mặc dù không giới hạn trong, việc đảm bảo rằng mọi tiết lộ về phát minh được thực hiện bởi người sở hữu đến bên thứ ba phải được bảo vệ bằng một thỏa thuận không tiết lộ. Trừ khi có thỏa thuận không tiết lộ, không có sự cho phép ngầm hoặc tự động nào làm cho một phần của bí mật thương mại mất tính bảo mật của nó – mặc dù thông tin được đánh dấu là bảo mật – trừ khi và cho đến khi người nhận chấp thuận thỏa thuận không tiết lộ. Một thỏa thuận không tiết lộ ngăn chặn những người tiếp cận thông tin bí mật từ tiết lộ thông tin đó cho người khác và có thể có một hậu quả dài hạn nếu họ vi phạm.

Rủi ro kỹ thuật có thể có hai dạng: rủi ro công nghệ sẽ không hoạt động theo dự kiến và rủi ro mà công nghệ mới nổi lên làm cho công nghệ hiện tại trở nên lạc hậu. Việc kiểm thử trước triển khai và thực hiện thử nghiệm có thể giúp quản lý rủi ro kỹ thuật không hoạt động đúng như kế hoạch. Với công nghệ mới, việc đánh giá thường xuyên môi trường (bao gồm cả bằng sáng chế, triển lãm thương mại và hội nghị công nghệ) có thể giúp phát hiện sớm những công nghệ mới và chuẩn bị cho sự thay thế.

Sự tiến bộ trong khả năng công nghệ dẫn đến rủi ro liên quan đến an ninh dữ liệu. Việc triển khai giám sát chung và các chương trình giám sát mà tổ chức áp dụng bao gồm đánh giá nhà cung cấp dựa trên rủi ro hiện có và sử dụng tiêu chuẩn an ninh hoặc tự đánh giá để xây dựng hình ảnh toàn diện về hồ sơ rủi ro mạng của tổ chức, nhằm xác định rõ ràng các điểm yếu cụ thể. Một chương trình quản lý rủi ro hiệu quả sẽ bao gồm tiêu chuẩn rủi ro mạng phù hợp với hồ sơ rủi ro mạng của tổ chức và chiến lược tổng thể của tổ chức, với việc giám sát liên tục để có thể điều chỉnh khi cần thiết để đảm bảo an ninh dữ liệu.

Khi sử dụng công nghệ đám mây, an ninh dữ liệu là mối quan tâm hàng đầu. Trong khi các nhà cung cấp chỉ ra rủi ro này, việc kiểm toán an ninh dữ liệu nên được triển khai bởi tổ chức, lý tưởng là cùng với nhà cung cấp, để đảm bảo dữ liệu được bảo vệ. Nhiều tổ chức lựa chọn công nghệ đám mây riêng, vì thể không có rủi ro tiềm năng bởi đơn vị cung cấp đối tác thứ ba.

Các phương pháp được đề xuất để giải quyết rủi ro an ninh dữ liệu bao gồm:

• Lập các dòng dữ liệu trong chuỗi cung ứng: hiểu cách dòng dữ liệu này chảy vào và ra khỏi tổ chức, bao gồm ai được chia sẻ.
• Lập kế hoạch đánh giá rủi ro toàn diện: chỉ ra những lĩnh vực trọng tâm cần giải quyết.
• Điều chỉnh với tiêu chuẩn hiện tại: Bao gồm các khung được thiết lập như ISO
• Đưa ra những mong đợi rõ ràng đối với tất cả các hợp đồng chuỗi cung ứng: quản lý chuỗi cung ứng đảm bảo rằng các nhà cung cấp tuân thủ với những tiêu chuẩn kiểm toán và trưởng thành, bao gồm các phần kiểm toán an toàn mạng ít nhất hàng năm.
• Đảm bảo, nhưng không phụ thuộc: bảo hiểm có thể giải quyết một vài, nhưng trong hầu hết bối cảnh không có trách nhiệm tất cả, vì có một giới hạn về số tiền được bảo hiểm.

Vì nhiều trường hợp gian lận của nhà cung cấp, chuyên gia cung ứng cần phải nhận thức thủ phạm những người có thể tiếp cận họ trong việc tìm kiếm email, thông báo họ sự thay đổi thông tin ngân hàng. Giao thức về cách truyền thông và xác nhận những thay đổi như vậy cũng phải được thiết lập.

Có nhiều ví dụ về vi phạm an ninh dữ liệu. Gần đây, sự kiện tác động ransomware được biết là wannacry. Mã độc tống tiền ransomware chiếm quyền chủ của máy, và chỉ bỏ khóa khi tiền chuộc được tiến hành. Sự cố wannacry đã ảnh hưởng đến hàng nghìn máy tính trên 150 quốc gia. Các tổ chức bị ảnh hưởng bao gồm Fedex, Renualt, dịch vụ sức khỏe quốc gia Anh.