ISO 9001 - 2015

CÔNG TY CP TVĐT & XD HƯƠNG GIANG

QUY TRÌNH QUẢN LÝ RỦI RO VÀ CƠ HỘI
Mã hiệu: QT 04
Lần ban hành : 02
Ngày ban hành : 28/4/2017

Người soạn thảo

Phê duyệt

Họ và tên

Nguyễn Thu Trang

Nguyễn Trọng Trung

Chức vụ

Văn phòng

Chữ ký

Tổng Giám đốc


QT04

Quy trình quản lý rủi ro và cơ hội

BẢNG THEO DÕI SỬA ĐỔI
STT Ngày
đổi

sửa

Vị trí sửa
đổi (trang)

Nội dung sửa đổi

Ghi chú

1. MỤC ĐÍCH
• Quy định cách thức và trách nhiệm xây dựng, thực hiện các
hoạt động đánh giá rủi ro nhằm:
◦ Cung cấp sự đảm bảo hệ thống quản lý tích hợp có thể đạt
được (các) đầu ra dự kiến
◦ Nâng cao các tác động mong muốn
◦ Ngăn ngừa, hoặc giảm thiểu, các tác động không mong
muốn
◦ Đạt được sự cải tiến
2. PHẠM VI
• Quy trình này áp dụng cho các hoạt động xây dựng khuôn khổ
đánh giá rủi ro và thực hiện việc đánh giá rủi ro trong phạm vi
hệ thống quản lý chất lượng của Công ty.
• Quy trình này được vận hành định kỳ tối thiểu mỗi 12 tháng /
lần hoặc theo yêu cầu của quy trình kiểm soát sự thay đổi.
3. THUẬT NGỮ VÀ ĐỊNH NGHĨA

• Rủi ro: tác động tiềm ẩn đối với mục tiêu
Ngày hiệu lực: 28/4/2017

Lần ban hành:02

Trang: 2/ 9


QT04

Quy trình quản lý rủi ro và cơ hội

4. PHÂN CÔNG TRÁCH NHIỆM
• Ban Giám đốc chịu trách nhiệm trong việc thành lập các nhóm
rủi ro
• Các nhóm rủi ro chịu trách nhiệm phối hợp với các bộ phận
thực hiện các hoạt động đánh giá rủi ro theo quyết định của
Ban Giám đốc
• Phụ trách các bộ phận có trách nhiệm cung cấp đầy đủ các
thông tin cần thiết và tham gia hoạt động đánh giá rủi ro.
• Tất cả các bộ phận chịu trách nhiệm thực hiện đúng các kế
hoạch kiểm soát rủi ro đã ban hành.
5. NỘI DUNG

Ngày hiệu lực: 28/4/2017

Lần ban hành:02

Trang: 3/ 9



QT04

Quy trình quản lý rủi ro và cơ hội

5.1 Quyết định thành lập nhóm quản lý rủi ro
• Giám đốc Công ty thành lập nhóm quản lý rủi ro. Có thể thành
Ngày hiệu lực: 28/4/2017

Lần ban hành:02

Trang: 4/ 9


QT04

Quy trình quản lý rủi ro và cơ hội

lập nhiều nhóm quản lý rủi ro, các nhóm này có thể có những
tên gọi khác nhau.
• Các thành viên tham gia nhóm quản lý rủi ro phải đến từ các
bộ phận chức năng khác nhau, có kiến thức và kinh nghiệm
chuyên môn liên quan đến lĩnh vực mình phụ trách. Có thể sử
dụng chuyên gia bên ngoài tham gia vào nhóm quản lý rủi ro
nếu cần thiết. Tuy nhiên, trách nhiệm về kết quả quản lý rủi
rovẫn thuộc về nhóm quản lý rủi ro của Công ty.
• Quyết định thành lập nhóm phải nêu rõ chức năng hoạt động
của nhóm, trách nhiệm và quyền hạn của trưởng nhóm cũng
như của các thành viên.
5.2 Xây dựng, thu thập thông tin đầu vào cho đánh giá rủi ro

• Nhóm quản lý rủi ro thu thập và tổng hợp đầy đủ các dữ liệu
đầu vào cho hoạt động đánh giá rủi ro. Các dữ liệu thu thập
tổng hợp tối thiểu phải bao gồm:
◦ Thông tin mô tả bối cảnh hoạt động của Công ty (các vấn đề
bên ngoài và các vấn đề nội bộ)
◦ Các yêu cầu / mong đợi của các bên quan tâm có liên quan.
◦ Các thông tin mô tả sản phẩm, quá trình, hoạt động liên
quan.
5.3 Thẩm tra xác nhận các thông tin đầu vào
• Trưởng nhóm quản lý rủi ro tổ chức các hoạt động thẩm tra
tính chính xác của các dữ liệu đầu vào. Hoạt động thẩm tra
phải bao gồm việc:
◦ kiểm tra tại hiện trường đối với các thông tin mô tả về tình
trạng hoặc điều kiện của Công ty
◦ kiểm tra thông tin xác nhận của các bên quan tâm có liên
quan, nếu cần thiết
◦ khẳng định các thông tin thu thập được là có cơ sở khoa
học, thực tiến, phù hợp yêu cầu luật định,….
• Lập biên bản thẩm tra xác nhận tính chính xác của các dữ liệu
đầu vào
5.4 Phân tích mối nguy và đánh giá rủi ro
• Xác định các mối nguy – rủi ro trong phạm vi được đánh giá
dựa trên các thông tin đầu vào đã được thẩm tra xác nhận.
• Các khía cạnh phân tích mối nguy và đánh giá rủi ro gồm: Các
mối nguy liên quan đến sự không đáp ứng yêu cầu của khách
hàng, yêu cầu luật định
• Việc đánh giá rủi ro được thực hiện dựa trên hai khía cạnh:
khả năng xảy ra và mức độ nghiêm trọng. Các tiêu chí đánh
giá được mô tả như sau:


Ngày hiệu lực: 28/4/2017

Lần ban hành:02

Trang: 5/ 9


QT04

Quy trình quản lý rủi ro và cơ hội

Điểm Khả năng xảy ra

Mức độ nghiêm trọng

5

1- Luôn xảy ra 1- Vi phạm nghiêm trọng các quy định pháp
trong mọi tình luật liên quan đến sản phẩm dịch vụ
huống;
2- Làm công ty rơi vào tình trạng mất khả
năng kinh doanh liên tục.

4

1- Luôn xảy ra
trong điều kiện
bất thường, sự
cố, hoặc
2- Thường xảy ra

trong điều kiện
bình thường

1- Gây ảnh hưởng nghiêm trọng trong công
trình
2- Khách hàng và/hoặc các bên quan tâm có
liên quan khiếu nại đến mức trả hàng hoặc
bồi thường / đền bù
3- Làm cho công ty rơi vào tình trạng khó
khăn trong việc duy trì kinh doanh liên tục.

3

1- Thường xảy ra
trong điều kiện
bất thường, sự
cố, hoặc
2- Ít khi xảy ra
trong điều kiện
bình thường

1- Gây ảnh hưởng đến việc sử dụng sản
phẩm và dịch vụ theo đúng công bố
2- Khách hàng và/hoặc các bên quan tâm có
liên quan khiếu nại nhưng chưa đến mức trả
hàng hoặc bồi thường / đền bù.
3- Làm xáo trộn các hoạt động / sắp xếp của
Công ty, gây ra các khó khăn trong việc
kiểm soát và điều hành


2

1- Ít khi xảy ra
trong điều kiện
bất thường hoặc
sự cố, hoặc
2- Hiếm khi xảy
ra trong điều
kiện bình thường,
hoặc

1- Gây ảnh hưởng không đáng kể đến việc
sử dụng sản phẩm theo đúng công bố
2- Khách hàng và/hoặc các bên quan tâm có
liên quan có thể đưa ra các khuyến nghị
nhưng không phải là khiếu nại
3- Ảnh hưởng không dáng kể đến hình ảnh,
uy tín, các hoạt động điều hành và kiểm
soát của Công ty

• Khi xem xét đánh giá về mức độ nghiêm trọng cần quan tâm
đến:
◦ Bản chất của mối nguy - rủi ro
◦ Các tác động của chúng đối với việc thi công công trình
◦ Các giới hạn chấp nhận bởi luật pháp, khách hàng và các
bên quan tâm có liên quan.
• Chuẩn mực chấp nhận rủi ro được xác định như sau:
Mức
rủi ro


Tích điểm khả năng
và mức độ nghiêm
trọng / tác động

Cao

Từ 8 điểm trở lên

Ngày hiệu lực: 28/4/2017

Yêu cầu biện pháp kiểm soát
- Tất cả các rủi ro đều phải có kế hoạch

Lần ban hành:02

Trang: 6/ 9


QT04

Quy trình quản lý rủi ro và cơ hội

kiểm soát và phải có các hướng dẫn,
chương trình kiểm soát cụ thể.
Trung
- Phải có các hướng dẫn, chương trình
Từ 4 đến dưới 8 điểm
bình
kiểm soát chung
Thấp


Nhỏ hơn 4 điểm

- Không kiểm soát

5.5 Thiết lập giới hạn kiểm soát
• Khi không thể loại trừ hoàn toàn các mối nguy – rủi ro, phải
xác định các giới hạn chấp nhận được đối với mối nguy – rủi ro
trong trong các tiêu chuẩn kỹ thuật liên quan.
• Thiết lập các giới hạn và/hoặc yêu cầu cần tuân thủ cho từng
biện pháp kiểm soát rủi ro, căn cứ các thông tin mô tả bối
cảnh hoạt động, các yêu cầu và mong đợi của các bên quan
tâm có liên quan, bao gồm cả các yêu cầu pháp luật.
• Các giới hạn và/hoặc yêu cầu cần tuân thủ được thiết lập phải
đảm bảo kiểm soát hiệu quả các rủi ro.
• Khi các giới hạn tới hạn (áp dụng cho điểm kiểm soát tới hạn)
là các mô tả chủ quan thì phải thiết lập các hướng dẫn cụ thể,
bao gồm cả mẫu nếu cần thiết.
5.6 Thiết lập các thủ tục giám sát
• Thiết lập các biện pháp kiểm soát đối với tất cả các rủi ro được
xác định ở mức cao. Các biện pháp kiểm soát phải nêu rõ:
◦ kiểm soát cái gì
◦ kiểm soát bằng cách nào
◦ ai kiểm soát (trách nhiệm)
◦ khi nào việc kiểm soát phải được thực hiện (tần suất)
• Các rủi ro trung bình: Thiết lập các chương trình kiểm soát
chung (ví dụ các SOP hoặc các hướng dẫn công việc)
5.7 Thiết lập các hành động khắc phục
• Thiết lập các hành động khắc phục dự kiến cho trường hợp các
giới hạn bị vi phạm hoặc khi kết quả theo dõi và đo lường có xu

hướng vi phạm các giới hạn, giới hạn tới hạn
• Hành động khắc phục dự kiến phải bao gồm:
◦ Cô lập và xử lý các sản phẩm liên quan (nếu có)
◦ Thực hiện các hành động giảm nhẹ hậu quả hay tác động
của mối nguy - rủi ro
◦ Điều chỉnh các quá trình trở về tầm kiểm soát
◦ Điều tra nguyên nhân và thực hiện các hành động loại bỏ
nguyên nhân.
• Các hành động khắc phục được thực hiện theo quy trình kiểm
soát sự không phù hợp – khắc phục và hành động khắc phục.

Ngày hiệu lực: 28/4/2017

Lần ban hành:02

Trang: 7/ 9


QT04

Quy trình quản lý rủi ro và cơ hội

• Các trường hợp sự cố và tình trạng khẩn cấp → thực hiện theo
quy trình quản lý sự cố và tình trạng khẩn cấp
5.8 Thiết lập các thủ tục thẩm tra
• Lập kế hoạch và/hoặc đề cương thẩm tra xác nhận và công
nhận giá trị của hệ thống quản lý rủi ro.
• Thực hiện các hoạt động thẩm tra công nhận giá trị sử dụng
của hệ thống quản lý rủi ro trước khi chúng được áp dụng (lần
đầu tiên và khi chúng được sửa đổi, cập nhật) và định kỳ dựa

trên kế hoạch thẩm tra đã thiết lập.
• Kết quả thẩm tra phải khẳng định mức rủi ro có được duy trì
hoặc hạ thấp khi thực hiện các biện pháp kiểm soát hay không
• Lập báo cáo kết quả thẩm tra, kèm theo các hồ sơ chứng từ
làm bằng chứng cho việc thẩm tra.
5.9 Xây dựng / cập nhật hệ thống tài liệu
• Xây dựng / cập nhật hệ thống tài liệu & hồ sơ căn cứ trên kết
quả đánh giá rủi ro và kết quả thẩm tra
• Các tài liệu và hồ sơ được thiết lập tuân theo quy trình kiểm
soát tài liệu & quy trình kiểm soát hồ sơ
5.10 Áp dụng hệ thống quản lý rủi ro
• Lập kế hoạch và thực hiện đào tạo, đào tạo cập nhật hệ thống
quản lý rủi ro cho tất cả các nhân viên có liên quan, bao gồm
cả các nhân viên mới. Việc đào tạo được thực hiện theo quy
trình đào tạo nhân sự.
• Triển khai áp dụng chính xác các kế hoạch và chương trình
quản lý rủi ro.
• Thường xuyên theo dõi, kiểm tra và báo cáo các vấn đề liên
quan đến hệ thống quản lý rủi ro.
5.11 Xem xét hệ thống quản lý rủi ro
• Thực hiện xem xét hệ thống quản lý rủi ro tối thiểu mỗi năm
một lần, hoặc khi có thay đổi về:
◦ nguyên liệu sử dụng, nhà cung cấp nguyên liệu và/hoặc
nguồn gốc nguyên liệu
◦ thông tin khoa học kỹ thuật, các hướng dẫn của ngành, quy
định pháp luật có liên quan
◦ xuất mối nguy, rủi ro mới
◦ thiết bị, nhà xưởng, quy trình làm việc
◦ tiêu chuẩn sản phẩm / nguyên liệu
◦ sau một sự cố, tình trạng khẩn cấp và/hoặc thu hồi sản

Ngày hiệu lực: 28/4/2017

Lần ban hành:02

Trang: 8/ 9


QT04

Quy trình quản lý rủi ro và cơ hội

phẩm.
• Các hoạt động xem xét bao gồm:
◦ xem xét kết quả thẩm tra định kỳ
◦ phân tích dữ liệu theo dõi và đo lường, các kết quả ngoài
quy định
◦ phân tích và xem xét các tình huống khẩn cấp, sự cố, thu
hồi và triệu hồi
◦ phân tích và xem xét các thông tin phản hồi của khách hàng
và các bên có liên quan, kể cả các khiếu nại.
• Các thay đổi có tác động đến hệ thống quản lý rủi ro được
kiểm soát theo quy trình kiểm soát sự thay đổi.
6. PHỤ LỤC
BM04.01 : Kế hoạch kiểm soát rủi ro
BM04.02 : Bảng phân tích mối nguy và đánh giá rủi ro
BM04.03 : bảng thẩm tra

Ngày hiệu lực: 28/4/2017

Lần ban hành:02


Trang: 9/ 9