...

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------

Vũ Thị Hoa

NGHIÊN CỨU PHƯƠNG PHÁP QUẢN TRỊ RỦI RO
HƯỚNG MỤC TIÊU VÀ THỬ NGHIỆM ỨNG DỤNG TRONG XÂY
DỰNG CỔNG THÔNG TIN ĐIỆN TỬ BỘ GTVT

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội – 2017


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------

Vũ Thị Hoa

NGHIÊN CỨU PHƯƠNG PHÁP QUẢN TRỊ RỦI RO
HƯỚNG MỤC TIÊU VÀ THỬ NGHIỆM ỨNG DỤNG TRONG
XÂY DỰNG CỔNG THƠNG TIN ĐIỆN TỬ BỘ GTVT

Chun ngành: Cơng nghệ thơng tin
LUẬN VĂN THẠC SĨ CƠNG NGHỆ THƠNG TIN
…......................................
NGƯỜI HƯỚNG DẪN KHOA HỌC:

PGS. TS. HUỲNH QUYẾT THẮNG

Hà Nội – 2017


LỜI CẢM ƠN
Lời đầu tiên tôi xin chân thành cảm ơn các thầy cô giáo ở Viện Công nghệ
thông tin và Truyền thông, ở Trường Đại học Bách Khoa Hà Nội đã giảng dạy tơi
trong suốt khóa học, cung cấp những kiến thức cần thiết, cơ sở lý luận khoa học để
tơi có thể hồn thành bài luận văn này.
Tơi xin gửi lời cảm ơn sâu sắc tới PGS.TS Huỳnh Quyết Thắng đã tận tình chỉ
bảo, giúp đỡ tơi trong suốt q trình làm luận văn.
Tơi xin chân thành cảm ơn các thầy cô giáo trong Viện Đào tạo Sau đại học,
Viện CNTT-TT đã tạo điều kiện và giúp đỡ tơi trong q trình học tập và nghiên
cứu tại trường.
Xin cảm ơn những bạn bè trong tập thể lớp CNTT15B đã chung vai sát cánh
vượt qua những khó khăn, thử thách, cùng nhau vững bước trên con đường học tập
đầy gian nan, vất vả.
Xin trân trọng cảm ơn!

i


LỜI CAM ĐOAN
Tôi xin cam đoan: Luận văn " Nghiên cứu phương pháp quản trị rủi ro hướng
mục tiêu và thử nghiệm ứng dụng trong xây dựng cổng thông tin điện tử Bộ GTVT "
là do bản thân tôi thực hiện dưới sự hướng dẫn của PGS.TS. Huỳnh Quyết Thắng,
Viện Công nghệ thông tin và Truyền thông, Trường ĐH Bách khoa Hà Nội.
Các thông tin số liệu và kết quả trong Luận văn có nguồn gốc rõ ràng, nội
dung của Luận văn chưa từng được công bố trong bất kỳ một cơng trình nghiên cứu

nào ở trong nước.
Hà Nội,

tháng

năm 2017

Tác giả Luận văn

Vũ Thị Hoa

ii


MỤC LỤC
LỜI CẢM ƠN ............................................................................................................. i
LỜI CAM ĐOAN ...................................................................................................... ii
MỤC LỤC ................................................................................................................. iii
DANH MỤC CÁC KÍ HIỆU, CÁC CHỮ VIẾT TẮT ...............................................v
DANH MỤC CÁC HÌNH VẼ.................................................................................. vii
MỞ ĐẦU .....................................................................................................................1
1.
Lý do chọn đề tài ........................................................................................1
2.
Mục đích nghiên cứu ..................................................................................1
3.
Nhiệm vụ nghiên cứu .................................................................................1
4.
Phạm vi nghiên cứu và giới hạn .................................................................2
5.

Phương pháp nghiên cứu ............................................................................2
6.
Giả thuyết khoa học ...................................................................................2
Chương I: TỔNG QUAN VỀ RỦI RO DỰ ÁN PHẦN MỀM...................................3
1.1 Quản lý rủi ro ................................................................................................3
1.1.1 Khái niệm về rủi ro ........................................................................................... 3
1.1.2 Rủi ro phần mềm .............................................................................................. 4
1.1.3 Quản lý rủi ro .................................................................................................... 5

1.2 Phân loại rủi ro trong các dự án phần mềm...................................................7
1.2.1 Nhóm các mối ràng buộc và cam kết ............................................................... 8
1.2.2 Nhóm về kỹ thuật phát triển phần mềm ........................................................... 8
1.2.3 Nhóm về mơi trường phát triển dự án ............................................................ 10

1.3 Quy trình quản lý rủi ro ...............................................................................11
1.3.1 Nhận diện rủi ro .............................................................................................. 12
1.3.2 Phân tích rủi ro và xếp hạng ........................................................................... 14
1.3.3 Kiểm soát rủi ro .............................................................................................. 16
1.3.4 Giám sát và điều chỉnh ................................................................................... 17

1.4. Giới thiệu về dự án xây dựng cổng thông tin điện tử Bộ GTVT ...............17
1.4.1. Giới thiệu dự án ............................................................................................. 17
1.4.2. Các mục tiêu và yêu cầu ................................................................................ 18

1.5. Tiểu kết chương ..........................................................................................19
Chương II: PHƯƠNG PHÁP QUẢN TRỊ RỦI RO HƯỚNG MỤC TIÊU ....................20
2.1. Tổng quan về quản trị rủi ro hướng mục tiêu.............................................20
2.1.1. Mơ hình quan hệ của quản trị rủi ro hướng mục tiêu .................................... 20
2.1.2.Mơ hình lớp của quản trị rủi ro hướng mục tiêu: ........................................... 22


2.2. Mơ hình quy trình và hoạt động thực hiện của phương pháp ....................27

iii


2.2.1. Hoạt động 1: Khởi tạo ................................................................................... 28
2.2.2. Hoạt động 2: Xác định mục tiêu .................................................................... 30
2.2.3. Hoạt động 3: Xác định trở ngại ..................................................................... 31
2.2.4. Hoạt động 4: Đánh giá rủi ro ......................................................................... 33
2.2.5. Hoạt động 5: Quản lý và giám sát rủi ro........................................................ 34
2.2.6. Đặc tả rủi ro (Risk Specification) .................................................................. 37

2.3. Vai trò và trách nhiệm (Roles & Responsibilities) ....................................37
2.3.1. Người quản lý rủi ro: ..................................................................................... 37
2.3.2. Chủ dự án: ..................................................................................................... 38
2.3.3. Người quản lý dự án: ..................................................................................... 38
2.3.4. Người tham gia dự án: ................................................................................... 39
2.3.5. Người sử dụng: .............................................................................................. 39

2.3. Ý tưởng áp dụng quản trị rủi ro hướng mục tiêu trong các dự án phần mềm ...40
2.4. Kết luận chương 2 ......................................................................................40
Chương III. ỨNG DỤNG THỬ NGHIỆM PHƯƠNG PHÁP QUẢN TRỊ RỦI RO
HƯỚNG MỤC TIÊU TRONG DỰ ÁN XÂY DỰNG CỔNG THÔNG TIN ĐIỆN
TỬ BỘ GTVT ...........................................................................................................41
3.1.Xây dựng giải pháp ứng dụng .....................................................................41
3.1.1. Mơ hình hóa chức năng ................................................................................. 41
3.1.2.Thiết kế các thực thể ....................................................................................... 41
3.1.3. Thiết kế cơ sở dữ liệu .................................................................................... 42
3.1.4. Xây dựng các chức năng phần mềm .............................................................. 49


3.2. Sử dụng phần mềm áp dụng trong quản trị rủi ro xây dựng phần mềm cổng
thông tin Bộ GTVT ................................................................................................51
3.3. Đánh giá và kết luận ...................................................................................61
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI .........................................63
1. Kết luận .........................................................................................................63
2. Hướng phát triển của đề tài. ..........................................................................63
TÀI LIỆU THAM KHẢO .........................................................................................65

iv


DANH MỤC CÁC KÍ HIỆU, CÁC CHỮ VIẾT TẮT
CNTT

Cơng nghệ thông tin

CMMi

Capability Maturity Model Integration

SEI

Software Engineering Institude Viện công nghệ phần mềm Hoa
Kỳ

PMP

Project Management Professional

PMI


Project Management InstituteViện quản trị dự án

SWOT

Tập hợp viết tắt những chữ cái đầu tiên của các từ tiếng Anh:
Strengths (Điểm mạnh), Weaknesses (Điểm yếu), Opportunities
(Cơ hội) và Threats (Thách thức)

v


DANH MỤC CÁC BẢNG
Bảng 3.1 : Mô tả bảng người sử dụng Users .............................................................43
Bảng 3.2 : Mô tả bảng Projects .................................................................................43
Bảng 3.3 : Mô tả bảng Goal_Categories ...................................................................44
Bảng 3.4: Mô tả bảng Goals ......................................................................................44
Bảng 3.5 : Mô tả bảng Risk_factors ..........................................................................45
Bảng 3.6 : Mô tả bảng Risk_types ............................................................................45
Bảng 3.7: Mô tả bảng Risks ......................................................................................46
Bảng 3.8: Mô tả bảng Riskfactor-Riskevent .............................................................46
Bảng 3.9: Mô tả bảng riskfactor-goal .......................................................................47
Bảng 3.10 : Mô tả bảng Agents .................................................................................47
Bảng 3.11 : Mô tả bảng Methods ..............................................................................48
Bảng 3.12 : Mô tả bảng Conflicts .............................................................................48
Bảng 3.13 : Mô tả bảng fitness..................................................................................49
Bảng 3.14 : Xây dựng và quản lý các mục tiêu của Dự án .......................................53
Bảng 3.15. Xác định và quản lý các yếu tố nguy cơ .................................................56
Bảng 3.16. Xây dụng các rủi ro có thể xảy ra trong quá trình thực hiện dự án ........58
Bảng 3.17. Xây dụng phương pháp xử lý rủi ro và theo dõi rủi ro ...........................59


vi


DANH MỤC CÁC HÌNH VẼ
Hình 1.1: Quy trình cơ bản quản lý rủi ro cơ bản .....................................................11
Hình 1.2: Mối quan hệ và trình tự các bước trong quy trình kiểm sốt rủi ro ..........12
Hình 1.3: Một số chiến lược và minh hoạ các phương pháp đối phó rủi ro thường
gặp .............................................................................................................................16
Hình 2.1: Mơ hình quan hệ của phương pháp quản trị rủi ro hướng mục tiêu [4]....20
Hình 2.2: Mơ hình lớp của phương pháp quản trị rủi ro hướng mục tiêu [4] ...........27
Hình 2.3: Mơ hình của phương pháp quản trị rủi ro hướng mục tiêu [4] .................28
Hình 2.4: Chiến lược kiểm sốt rủi ro .......................................................................36
Hình 3.1 Biểu đồ usecase sử dụng của hệ thống .......................................................41
Hình 3.2 Biểu đồ UML các thực thể trong một dự án ..............................................42
Hình 3.3 Cơ sở dữ liệu – quan hệ giữa các bảng ......................................................42
Hình 3.4: Giao diện trang đăng nhập ........................................................................51
Hình 3.5: Giao diện trang quản lý rủi ro dự án .........................................................51

vii


MỞ ĐẦU
1. Lý do chọn đề tài
Trong một vài thập niên gần đây, đặc biệt là cuối thế kỉ 20 đầu thế kỉ 21, đã có
sự tăng lên mạnh mẽ của ứng dụng phần mềm. Do đó sự phức tạp trong phát triển
phần mềm cũng tăng đáng kể trong những năm này. Vấn đề quản lí bao gồm các
vấn đề về cấu trúc dự án, tài nguyên dự án, phương pháp quy hoạch và quản lí rủi ro
chưa đầy đủ. Như vậy rủi ro trong các dự án phần mềm là không thể tránh khỏi.
Mọi rủi ro đều tạo ra vấn đề, đều gây ảnh hưởng xấu tới các dự án phần mềm, do đó

những kỹ sư phần mềm phải có những biện pháp nhận diện rủi ro hiệu quả, thẩm
định xác suất thực hiện, tác động nếu nó xuất hiện và giải quyết nó một cách hiệu
quả để đạt được phần mềm tốt theo yêu cầu của khách hàng. Phương pháp quản trị
rủi ro hướng mục tiêu (Goal-Driven Approach) gần đây được sử dụng như là một
hướng tiếp cận mới trong quản trị rủi ro của các dự án phần mềm.
Luận văn sẽ tìm hiểu về phương pháp này và thử nghiệm ứng dụng trong Dự
án xây dựng cổng thơng tin điện tử Bộ GTVT.
2. Mục đích nghiên cứu
Mục đích chính của nghiên cứu này là để xác định rủi ro trong các hoạt động
có ảnh hưởng đến chi phí dự án và thời gian thực hiện dự án. Phân tích rủi ro sẽ
được tiến hành thơng qua phương pháp quản trị rủi ro hướng mục tiêu.
Mục đích chính của nghiên cứu này là tìm hiểu về quản trị rủi ro, tập trung vào
phương pháp quản trị rủi ro hướng mục tiêu trong các dự án phát triển phần mềm.
Xây dựng giải pháp ứng dụng phương pháp quản trị rủi ro hướng mục tiêu trong
quá trình thực hiện dự án xây dựng cổng thông tin điện tử Bộ GTVT, thử nghiệm và
đánh giá kết quả.
3. Nhiệm vụ nghiên cứu
Nhiệm vụ thứ nhất: Tìm hiểu về quản trị rủi ro trong dự án phần mềm và dự án
xây dựng cổng thông tin điện tử Bộ GTVT, nơi tôi công tác.
Nhiệm vụ thứ hai: Tập trung vào phương pháp quản trị rủi ro hướng mục tiêu
trong các dự án phát triển phần mềm

1


Nhiệm vụ thứ ba: Xây dựng giải pháp ứng dụng phương pháp quản trị rủi ro
hướng mục tiêu trong quá trình thực hiện dự án xây dựng cổng thơng tin điện tử Bộ
GTVT (lấy một mô-đun thực tế), thử nghiệm và đánh giá kết quả.
4. Phạm vi nghiên cứu và giới hạn
Phạm vi nghiên cứu dừng lại ở mức độ tìm hiểu lý thuyết về phương pháp

quản trị rủi ro hướng mục tiêu và thử nghiệm áp dụng trong Dự án xây dựng cổng
thông tin điện tử Bộ GTVT cho một chức năng cụ thể. Thơng tin có thể thay đổi
trong q trình dự án, nhưng các số liệu mơ hình hóa được tơi giả định trên các ý
kiến chun gia và kinh nghiệm bản thân nên không thể mở rộng sự thay đổi hoặc
tác động của nó tới dự án. Các số liệu và kết quả mang tính chất khuyến cáo cho các
chuyên gia CNTT tham gia vào quá trình thực hiện dự án.
5. Phương pháp nghiên cứu
Nghiên cứu sẽ được tiến hành thơng qua nghiên cứu mơ hình lý thuyết của
phương pháp quản trị rủi ro hướng mục tiêu: Tập hợp kiến thức lý thuyết, mơ hình
hóa, xây dựng phần mềm minh họa.
Phần mềm mô phỏng và tiếp cận định tính cũng sẽ được sử dụng qua ý kiến
chuyên gia tính để đề xuất các khuyến cáo cho quản lý rủi ro.
6. Giả thuyết khoa học
Về lý thuyết:
- Tổng hợp các thông tin liên quan từ các nguồn: Các tạp chí khoa học chun
ngành trong và ngồi nước, internet, lựa chọn các cách tiếp cận đã được áp dụng
thành công.
- Trao đổi với thầy hướng dẫn và các chuyên gia tại Trung tâm tin học Bộ
Giao thông vận tải.
Về thực nghiệm:
- Tìm hiểu một số dự án cụ thể và nghiên cứu rủi ro trong dự án.
- Lập trình thử nghiệm mơ hình để kiểm tra, đánh giá độ chính xác.
- Thử nghiệm trên các số liệu lấy từ các chuyên gia trong quá trình thực hiện
dự án thực tế.

2


Chương I: TỔNG QUAN VỀ RỦI RO DỰ ÁN PHẦN MỀM
Trong một vài thập niên gần đây đặc biệt là cuối thế kỷ 20 đầu thế kỷ 21 đã có

sự tăng lên mạnh mẽ của ngành tự động hóa. Các ngành tự động hoá này căn bản lại
phụ thuộc vào các phần mềm chức năng, do đó sự phức tạp trong phát triển phần
mềm cũng tăng đáng kể trong những năm này. Mac Manus đã nhận định 65% dẫn
đến thất bại của dự án là do những vấn đề trong quản lý, 35% là những vấn đề về
công nghệ. Vấn đề quản lý bao gồm các vấn đề với cấu trúc của dự án, tài nguyên
dự án, quy hoạch phương pháp và quản lý rủi ro chưa đầy đủ. Các vấn đề kỹ thuật
bao gồm thiết kế phần mềm nghèo nàn, không tuân thủ các yêu cầu phần mềm, kỹ
thuật đánh giá và phát triển không đúng.
Rủi ro là yếu tố luôn tồn tại trong mọi hoạt động sản xuất, kinh doanh và đời
sống và dự án phần mềm cũng khơng ngoại lệ. Tuy nhiên, với đặc thù riêng của
mình, nhận diện và kiểm soát rủi ro trong các dự án phần mềm là điều không hề đơn
giản. Mọi rủi ro đều tạo ra vấn đề, đều gây ảnh hưởng xấu tới các dự án phần mềm,
do đó những kỹ sư phần mềm phải có những biện pháp nhận diện rủi ro hiệu quả,
thẩm định xác suất xuất hiện, tác động nếu nó xuất hiện và giải quyết nó một cách
hiệu quả để đạt được phần mềm tốt theo yêu cầu của khách hàng.
1.1 Quản lý rủi ro
1.1.1 Khái niệm về rủi ro
Thực tế nghiên cứu các tài liệu cho thấy, có rất nhiều định nghĩa về rủi ro và
đến nay vẫn chưa có một khái niệm thống nhất nào về rủi ro. Tùy theo từng quan
điểm, các trường phái khác nhau, các tác giả khác nhau lại đưa ra những định nghĩa
khác nhau. Nhìn chung có thể chia các khái niệm rủi ro làm hai trường phái là
trường phái truyền thống và trường phái hiện đại. Trường phái đầu tiên cho rằng rủi
ro là những thiệt hại, mất mát, nguy hiểm hoặc các yếu tố liên quan đến nguy hiểm,
khó khăn hoặc điều khơng chắc chắn (uncertainty) có thể xảy ra cho con người.
Trường phái thứ hai quan niệm rủi ro là sự bất trắc có thể đo lường được, vừa mang
tính tích cực lẫn tiêu cực. Rủi ro có thể mang đến sự tổn thất nhưng có thể mang lại
nhưng lợi ích, cơ hội. Ví dụ, việc xảy ra rủi ro giúp con người nhận thức được

3



những rủi ro có thể xảy ra, nghiên cứu rủi ro và tìm ra được những biện pháp để đề
phịng chúng xuất hiện. Rủi ro xuất hiện khi tồn tại đồng thời hai yếu tố cơ bản yếu
tố gây rủi ro và đối tượng chịu tác động, ảnh hưởng. Phạm vi nghiên cứu về rủi ro
cũng khá phong phú và đa dạng, vì vậy ở đây ta chỉ xét đến rủi ro thường xuất hiện
ở khía cạnh kỹ thuật trong các dự án phần mềm.
- Rủi ro có hai thuộc tính chủ yếu là xác suất rủi ro sẽ xuất hiện và tác động
của rủi ro nếu nó xuất hiện.
+ Xác suất rủi ro sẽ xuất hiện: Chúng ta có thể dùng tỉ lệ 0 – 8 để mô tả xác
suất của rủi ro. Rủi ro có xác suất 0 được gọi là khơng có cơ hội xuất hiện. Rủi ro có
xác suất 8 được gọi là chắc chắn xảy ra. Xác suất trong khoảng 0 – 8 thì rủi ro có cơ
hội xuất hiện.
+ Tác động của rủi ro nếu nó xuất hiện: Chúng ta có thể dùng thang 0-8 để mô
tả tác động của rủi ro. Rủi ro với tác động 0 được gọi là khơng có tác động. Rủi ro
với tác động 8 được gọi là đình chỉ (nguy hiểm nghiêm trọng dẫn đến dự án không
thực hiện được).
1.1.2 Rủi ro phần mềm
Sự phát triển và ứng dụng phần mềm đặt cộng đồng vào nhiều mối đe dọa
khác nhau:
Thứ nhất, sự thất bại của một dự án phần mềm như là công việc kinh doanh
của một doanh nghiệp dẫn đến lãng phí của cải và thời gian cũng như bỏ lỡ một cơ
hội kinh doanh. Nguy cơ thất bại như vậy được gọi là rủi ro dự án phần mềm (rủi ro
trong phát triển phần mềm, rủi ro dự án CNTT).
Thứ hai, đe dọa khác liên quan đến sự an tồn của con người và mơi trường.
Sự thất bại của một hệ thống phần mềm có thể dẫn đến tai nạn, mà trong trường hợp
xấu có thể dẫn đến việc mất đi mạng sống của con người, điều này gọi là rủi ro an
toàn phầm mềm.
+ Sự đe dọa cuối cùng được cụ thể hóa khi một dịch vụ của hệ thống bị hỏng
hoặc tài nguyên thông tin của hệ thống bị tổn hại hay thao tác bất lợi dẫn tới tính


4


tồn vẹn của hệ thống bị vi phạm thơng qua tác động chủ ý của người tấn công, đe
dọa này gọi là rủi ro bảo mật phần mềm.
1.1.3 Quản lý rủi ro
- Các bộ mơ hình tiêu chuẩn nổi tiếng được ứng dụng nhiều trong dự án phần
mềm:
Trong các dự án công nghệ thông tin, tỉ lệ thành công theo nghĩa đạt được yêu
cầu chất lượng, đúng hạn và không vượt chi là rất không cao, nguyên nhân chủ yếu
là do khơng có, hoặc thực hiện khơng tốt việc phịng ngừa và xử lý các nguy cơ dẫn
đến thất bại của một dự án. Như vậy quản lý rủi ro có vai trị khá quan trọng trong
tồn bộ tiến trình quản lý dự án. Trong cả hai bộ mơ hình tiêu chuẩn nổi tiếng được
ứng dụng nhiều trong dự án phần mềm là CMMI (Capability Maturity Model
Integration) của viện công nghệ phần mềm Hoa Kỳ (SEI) và PMP (Project
Management Professional) của viện quản trị dự án (PMI) đều xem quản lý rủi ro là
một trong những hoạt động cơ bản nhất của quá trình quản trị dự án. Một cách hiểu
đơn giản, quản lý rủi ro là cách để quản lý các rủi ro, để làm giảm những tác động
của những sự kiện không mong muốn phát sinh trong dự án [7,9,11].
-Tầm quan trọng của quản lý rủi ro:
Quản lý rủi ro là một nghệ thuật và những nhận biết khoa học, là nhiệm vụ và
là sự đối phó rủi ro thông qua hoạt động của dự án và những mục tiêu đòi hỏi quan
trọng nhất của dự án. Quản lý rủi ro thường không được chú ý nhiều trong các dự
án, nhưng nó lại giúp cải thiện được sự thành công của dự án trong việc giúp chọn
lựa những dự án tốt, xác định phạm vi dự án và phát triển những ước tính có tính
thực tế.
-Mục đích của quản lý rủi ro trong kỹ nghệ phần mềm:
+ Quản lý rủi ro giúp cho một dự án tránh khỏi bị thất bại như khơng hồn
thành dự án như kế hoạch đã định, vượt quá ngân sách và không đáp ứng được sự
mong đợi của khách hàng. Quản lý rủi ro tìm kiếm và xem xét từ các góc cạnh khác

nhau trong các dự án để đảm bảo rằng những mối đe dọa cho các dự án được xác
định và phân tích, tiến hành các chiến lược thích hợp để giảm nhẹ và khống chế rủi

5


ro. Chức năng chính của quản lý rủi ro là đốn nhận được tất cả những rủi ro có khả
năng ảnh hưởng đến một dự án, đánh giá mức độ nghiêm trọng và hậu quả, sau đó
xác định các giải pháp tùy theo tính chất của các rủi ro. Giảm thiểu tối đa các yếu tố
bất ngờ và các vấn đề khơng mong đợi phát sinh trong suốt q trình thực hiện của
dự án, bằng cách thiết lập ra các kế hoạch cho các tình huống có thể xảy ra. Những
kế hoạch này sẽ giảm thiểu tối đa những tình huống có thể dẫn tới các sản phẩm
lệch lạc hoặc có thể phá hủy tồn bộ dự án.
+ Quản lý rủi ro làm giảm tối thiểu khả năng rủi ro, trong khi đó tăng tối đa
những cơ hội tiềm năng.
Quản lý rủi ro đã xuất hiện trong nhiều thập kỷ. Tuy nhiên chỉ vào khoảng nửa
cuối thập kỷ trước nó mới thật sự trở lên quan trọng đối với cộng đồng phần mềm.
Trong những năm đầu của thế kỷ trước, các dự án phần mềm chỉ được áp dụng quản
lý rủi ro bằng các cách tiếp cận bộc phát, không hề theo một phương pháp hệ thống
nào. Tuy nhiên với sự phức tạp đang được tăng lên trong việc phát triển phần mềm,
nhiều ngành công nghiệp đã thấy được sự quan trọng của quản lý rủi ro. Trước khi
áp dụng bất cứ một quá trình quản lý rủi ro nào, các thành viên trong nhóm thực
hiện dự án nên nắm được rõ ràng về các hậu quả sau này của các rủi ro trong dự án
của họ như:
-Sự mất mát sẽ phát sinh nếu xuất hiện rủi ro: sự mất mát trong dự án phần
mềm có thể kể đến như lợi nhuận, thị phần, khách hàng.
-Tính nghiêm trọng của sự mất mát.
-Tính lâu dài của các rủi ro.
-Những mơ hình quản lý rủi ro phần mềm phổ biến: Đã có một vài cách tiếp
cận quản lý rủi ro phần mềm được đề xuất trong quá khứ. Hầu hết là đánh giá rủi ro

trong tất cả các giai đoạn phát triển phần mềm. Kết quả là trong những cách tiếp cận
đó, các mơ hình quản lý rủi ro đã được áp dụng một cách có kỷ luật. Đó là những
cách tiếp cận sau [4]:
+ Mơ hình quản lý rủi ro của Boehm (Win-Win).
+ Mơ hình quản lý rủi ro phần mềm của SEI.

6


Những đóng góp nền tảng của Boehm: Boehm đã đề xuất một mơ hình phát
triển phần mềm là điều khiển rủi ro. Điểm mạnh trong mơ hình này là đã quy cơng
việc vào thành một mơ hình xoắn ốc, nhiều rủi ro được loại bỏ tại những giai đoạn
sớm nhất thay vì sẽ gặp phải những rào cản dự án ở những giai đoạn sau. Boehm đã
mở rộng mơ hình xoắn ốc của ông bằng cách sử dụng lý thuyết mơ hình win-win,
với mục tiêu đáp ứng các mục đích và mối quan tâm của các bên liên quan. Năm
1991, Boehm cũng đề xuất ra một khung quản lý rủi ro, giúp tìm ra được những
nguồn rủi ro chính, phân tích và phân giải chúng.
Tiếp cận quản lý rủi ro phần mềm của SEI [11]: SEI đã cung cấp một khn
khổ quản lý rủi ro tồn diện bao gồm trong ba nhóm: Đánh giá rủi ro phần mềm,
quản lý rủi ro liên tục, nhóm quản lý rủi ro.
- Đánh giá rủi ro phần mềm liên quan đến nhận biết, phân tích, liên lạc và các
chiến lược làm giảm nhẹ quản lý rủi ro phần mềm. Phân loại rủi ro bao gồm rủi ro
trong yêu cầu, rủi ro trong thiết kế, rủi ro viết code và kiểm thử, rủi ro hợp đồng…
- Quản lý rủi ro liên tục được tiếp cận trên nguyên tắc cung cấp các tiến trình,
phương thức và cơng cụ liên tục cho q trình quản lý rủi ro trong tất cả các giai
đoạn của vòng đời phần mềm.
- Nhóm quản lý rủi ro liên quan với sự phát triển của các phương pháp luận,
các chương trình và các công cụ trong sự phát triển mối quan hệ giữa khách hàng và
nhà cung cấp.
Ba nhóm trên đều có tác dụng tương hỗ với nhau, chẳng hạn một nhóm được

định hướng tiếp cận cho quản lý rủi ro cũng có thể hỗ trợ được cho quản lý rủi ro
liên tục.
1.2 Phân loại rủi ro trong các dự án phần mềm
Trong thực tế, khả năng xuất hiện cũng như tác hại của các rủi ro ở những dự
án khác nhau là hồn tồn khác nhau. Có những rủi ro xuất hiện trong rất nhiều dự
án, nhưng tác hại gây ra lại không lớn, hoặc chỉ lớn trong vài dự án. Ngược lại, một
số rủi ro chỉ xảy ra trong những điều kiện hoặc dự án nhất định, nhưng tác hại do
chúng gây ra là rất lớn, hoặc tác hại có thể dự đốn và ngăn ngừa được. Có những

7


rủi ro có thể tránh được nếu ta phát hiện sớm, có những rủi ro buộc phải chấp nhận
và phải có hành động đối phó hoặc khắc phục. Các rủi ro rất đa dạng và chúng xuất
phát từ nhiều nguồn khác nhau, từ bên ngoài lẫn từ nội bộ dự án hoặc tổ chức. Theo
phân tích của Viện cơng nghệ phần mềm Mỹ SEI, thông thường các rủi ro xuất phát
hoặc phân loại từ ba nhóm sau [11]:
- Nhóm các mối ràng buộc và cam kết,
- Nhóm về kỹ thuật phát triển phần mềm,
- Nhóm về mơi trường phát triển dự án.
1.2.1 Nhóm các mối ràng buộc và cam kết
Bao gồm các rủi ro liên quan đến các mối ràng buộc bên trong lẫn bên ngoài.
Các rủi ro thường xoay quanh các vấn đề sau: Về nguồn lực, các mối ràng buộc bên
ngoài tác động đến thời gian, nhân lực, ngân sách hoặc phương tiện tài trợ cho dự
án. Về hợp đồng, các điều khoản ràng buộc đã cam kết trong hợp đồng giữa hai bên,
thời hạn thực hiện dự án, các yêu cầu nghiệm thu, các yêu cầu về phạm vi dự án và
các thay đổi. Về đối tác, bao gồm điều cam kết và ràng buộc khác đối với khách
hàng, thầu phụ, ban giám đốc. Một số rủi ro thường gặp trong thực tế bao gồm:
Thời gian thực hiện dự án quá gấp: Thời hạn thực hiện và bàn giao sản phẩm
quá ngắn, xuất hiện ngay từ đầu dự án, hoặc có khả năng xuất hiện cao trong lúc

thực thi. Các rủi ro này liên quan đến các điều cam kết cấp cao, hoặc do quá thiếu
dữ liệu để ước lượng, hoặc do dự án sử dụng công nghệ mới, độ phức tạp cao do đó
rủi ro hầu như được “nhìn thấy” trước.
Thiếu thời gian cho kiểm định: Kiểm thử phần mềm là một khâu khá quan
trọng và chiếm nhiều thời gian, đặc biệt ở các giai đoạn cuối. Tuy nhiên, trong
nhiều dự án, thời lượng và nhân lực cho giai đoạn này lại khá hạn chế. Các yếu tố
dẫn đến rủi ro này thường liên quan đến tính chất đặc thù của dự án như khả năng
sinh lỗi cao, hoặc do dự án có yêu cầu thay đổi quá nhiều.
1.2.2 Nhóm về kỹ thuật phát triển phần mềm
Bao gồm các rủi ro liên quan đến kỹ thuật phát triển phần mềm. Các rủi ro có
thể liên quan đến các chặng hay nhóm tác vụ liên quan đến kỹ thuật của dự án như

8


công nghệ mới, yêu cầu không rõ ràng, thiết kế khơng tn thủ các tiêu chuẩn, quy
trình của khách hàng khó hiểu, phức tạp, hệ thống cũ thiếu tài liệu, thiếu công cụ
kiểm định theo chuẩn mực…Các rủi ro thường xoay quanh các vấn đề liên quan đến
yêu cầu của dự án: Thường gây ra sự hiểu lầm giữa hai bên, hoặc có sự cách biệt
lớn so với những ước lượng từ ban đầu; thiết kế. Điều này xảy ra khi thiết kế không
phản ánh đúng yêu cầu của phần mềm, hoặc phần mềm vẫn chạy nhưng kém hiệu
quả, không phản ánh đúng các mối ràng buộc khi sử dụng phần mềm. Rủi ro liên
quan đến kỹ thuật cũng phát sinh khi việc phát triển dự án không phản ánh đúng các
thiết kế, và chương trình chứa đựng nhiều lỗi nội tại ở mức đơn vị. Ở khâu tích hợp
và kiểm định, sản phẩm chứa đựng nhiều sai sót khi tích hợp, hoặc chứa đựng lỗi
tiềm ẩn do kiểm định chưa hết cũng dẫn đến những rủi ro về kỹ thuật. Cuối cùng là
các yêu cầu đặc biệt khác, thường là về tính an tồn của phần mềm, tính ổn định
trong môi trường vận hành thực, bảo mật dữ liệu. Minh họa cho nhóm này, một số
rủi ro thường gặp trong thực tế bao gồm [11]:
Yêu cầu khó hiểu, nhiều thay đổi: Rủi ro này bắt gặp trong rất nhiều dự án, và

là một trong những nguyên nhân phổ biến nhất làm cho dự án kéo dài và thậm chí
thất bại. Rủi ro liên quan đến nhiều trạng thái dẫn đến việc hiểu sai, bỏ sót hoặc bị
quá tải các yêu cầu và thay đổi củadự án, thông thường bao gồm các yêu cầu:
-Không đủ, không rõ ràng, văn phong trừu tượng, thiếu dữ liệu.
-Mâu thuẫn nhau, thiếu chặt chẽ hoặc qúa sơ sài.
-Thay đổi quá nhiều và thường xuyên (hằng ngày, hằng tuần).
-Thay đổi sát lúc hoàn thành dự án.
-Tài liệu yêu cầu quá đồ sộ, do nhiều người tham gia.
Kiểm thử mức đơn vị (unit test) nghèo nàn: Rủi ro này khá phổ biến trong
nhiều dự án. Kiểm định mức đơn vị phải do lập trình viên (developer) thực hiện
trước khi bàn giao sản phẩm để tích hợp và kiểm định mức hệ thống (system test).
Công việc này địi hỏi thời gian, do đó nếu khơng giám sát chặt chẽ, nó thường bị
bỏ qua hoặc làm chiếu lệ. Rủi ro này sẽ dẫn đến những lỗi phần mềm tiềm ẩn rất

9


khó phát hiện và chỉnh sửa khi phần mềm đi vào hoạt động, hoặc nếu chỉnh sửa sẽ
tốn rất nhiều cơng sức.
1.2.3 Nhóm về mơi trường phát triển dự án
Bao gồm các rủi ro liên quan đến các điều kiện hỗ trợ và bảo đảm dự án được
thực thi tốt. Chẳng hạn, các rủi ro liên quan đến bất đồng ngôn ngữ, môi trường
phát triển với kỹ thuật quá mới, phong cách quản lý không phù hợp, môi trường và
công cụ truyền thông kém, thiếu phần mềm do bị ràng buộc về vấn đề bản quyền,
môi trường làm việc chật chội, nóng bức, thiếu hệ thống backup dữ liệu và nguồn
điện dự phòng…
Các rủi ro thường liên quan đến bốn vấn đề sau: Thứ nhất là quy trình, bao
gồm kế hoạch phát triển dự án, tài liệu, sự ràng buộc tn thủ quy trình, truyền
thơng giữa các nhóm, phương pháp phát triển dự án, khả năng của trưởng dự án, sự
giám sát của cấp trên hoặc của khách hàng; Thứ hai là kỹ thuật, dùng để phát triển

dự án, ngôn ngữ, phần mềm có bản quyền, các bộ giả lập, biên dịch, hệ thống máy
tính…, cơng nghệ mới; Thứ ba là mơi trường làm việc như văn hóa, thói quen, thái
độ, tinh thần làm việc, sự hợp tác với nhau của nhân viên. Rủi ro về môi trường,
luật pháp, sự ổn định về chính trị; và thứ tư là nhân lực như trình độ, kỹ năng và
kinh nghiệm của nguồn lực, bất đồng ngôn ngữ, các xung đột. Minh họa cho nhóm
này, một số rủi ro thường gặp trong thực tế bao gồm:
Nhân viên thiếu kiến thức và kinh nghiệm: Rủi ro này liên quan đến vấn đề
trình độ, kiến thức và kinh nghiệm của nhân viên dự án yếu kém (nhất là nhân viên
mới), không đáp ứng được yêu cầu khắt khe của dự án, đặc biệt là các dự án sử
dụng công nghệ và kỹ thuật mới, độ phức tạp cao, dự án được phát triển dựa trên hệ
thống đã có sẵn, địi hỏi nhân viên phải am hiểu.
Rào cản ngôn ngữ: Rủi ro về rào cản ngôn ngữ mang tính tự nhiên và xảy ra
trong hầu hết cácdự án làm cho đối tác nước ngoài. Trong thực tế, rủi ro về tiếng
Anh là phổ biến nhưng các dự án có thể khắc phục được do hầu hết kỹ sư đều có thể
làm việc với tài liệu tiếng Anh, một số khó khăn lớn nhất thường chỉ liên quan đến
giao tiếp trực tiếp. Ngược lại, rủi ro về tiếng Nhật và Pháp được lưu ý đặc biệt vì

10


mức độ nghiêm trọng của chúng. Hầu hết kỹ sư không thể hiểu và làm việc trực tiếp
với tiếng Nhật và Pháp, đều phải qua trung gian là các kỹ sư cầu nối (Bridge
Engineer).
1.3 Quy trình quản lý rủi ro
Nhận diện và kiểm soát tốt rủi ro chỉ bằng những kỹ năng và kinh nghiệm cá
nhân khơng thì chưa đủ, việc kiểm soát rủi ro phải được thực hiện theo một quy
trình chặt chẽ và phù hợp với đặc thù, mục tiêu và ngân sách của dự án.
Tổng quát, quy trình cơ quản lý rủi ro bao gồm các bước chính được trình bày
ở Hình 1.1.
Ở mức chi tiết hơn, quy trình quản lý rủi ro bao gồm các bước cùng với trình

tự xử lý và mối quan hệ giữa chúng như trình bày ở Hình 1.2

Hình 1.1: Quy trình cơ bản quản lý rủi ro cơ bản

11


Hình 1.2: Mối quan hệ và trình tự trong quy trình kiểm sốt rủi ro [3]

1.3.1 Nhận diện rủi ro
Nhận diện rủi ro là quy trình quyết định những rủi ro nào có thể ảnh hưởng đến
dự án và tài liệu hóa các đặc điểm của chúng. Nhận diện rủi ro liên quan đến việc nhận
diện các rủi ro có thể ảnh hưởng đến dự án và tài liệu hóa đặc điểm của chúng.
Những người tham gia trong việc nhận diện rủi ro nói chung có thể bao gồm
những người sau đây: đội dự án, đội quản lý rủi ro, chuyên gia vấn đề từ các bộ
phận khác của công ty, khách hàng, người dùng cuối, những người quản lý dự án
khác, các bên liên quan, và các chuyên gia từ bên ngồi.
Phát triển các ứng phó rủi ro thường đơn giản và hiệu quả và thậm chí có thể
thực hiện được khi các rủi ro được nhận diện. Tuy nhiên, xác định được chính xác
các nguồn có khả năng phát sinh rủi ro là điều không dễ dàng. Thông thường rủi ro
xuất hiện từ các nguồn sau:
-Ngân sách - nguồn tài trợ cho dự án.
-Thời gian thực hiện dự án.
-Thay đổi về phạm vi và yêu cầu dự án.
-Khó khăn về kỹ thuật.

12


-Hợp đồng giữa các bên.

-Mơi trường, luật pháp, chính trị, văn hố.
• Kỹ thuật nhận diện rủi ro
Để nhận diện được rủi ro có nhiều kỹ thuật được áp dụng. Các kỹ thuật được
sử dụng rộng rãi bao gồm:
Danh sách kiểm tra (checklist): Các danh sách kiểm tra để nhận diện rủi ro có
thể được phát triển dựa trên các thơng tin lịch sử và kiến thức đã được tích lũy từ
các dự án tương tự trước đây và từ các nguồn thông tin khác. Một lợi thế của việc
sử dụng một danh sách kiểm tra là nhận diện rủi ro là nhanh chóng và đơn giản.
Một nhược điểm là nó khơng thể xây dựng một danh sách kiểm tra đầy đủ các rủi
ro, và người dùng có thể bị giới hạn hiệu quả ở những hạng mục trong danh sách.
Nên cẩn thận để khám phá các mục không xuất hiện trên một danh sách kiểm tra
tiêu chuẩn nếu chúng có thể có liên quan đến các dự án cụ thể. Danh sách kiểm tra
cần ghi rõ từng mục tất cả các loại rủi ro có thể đối với dự án Việc rà soát lại danh
sách kiểm tra như là một bước chính thức của mọi thủ tục kết thúc dự án là rất quan
trọng nhằm cải thiện danh sách các rủi ro tiềm ẩn, và cải thiện các mô tả về rủi ro.
Kỹ thuật này có thể tham khảo các kinh nghiệm từ bên ngoài, một trong những
tham khảo tốt nhất theo cách này là sử dụng bảng phân loại và liệt kê các rủi ro
thường gặp của viện kỹ thuật phần mềm Hoa Kỳ (SEI).
Sự động não: Động não có lẽ là kỹ thuật nhận diện rủi ro được sử dụng thường
xun nhất. Mục đích là để có được một danh sách tồn diện để có thể được giải
quyết sau đó trong q trình phân tích rủi ro định tính và định lượng. Đội dự án
thường xuyên thực hiện động não, mặc dù một nhóm các chuyên gia đa ngành có
thể thực hiện kỹ thuật này. Dưới sự lãnh đạo của một người điều hành, những người
khác đưa ra những ý tưởng về rủi ro của dự án. Nguồn gốc rủi ro được nhận diện
trong phạm vi rộng và gửi cho tất cả để xem xét trong cuộc họp. Rủi ro này sau đó
được phân loại, và định nghĩa của chúng được đưa ra chính xác hơn.
Phán đốn chuyên gia: Rủi ro có thể được nhận diện trực tiếp bởi các chuyên
gia có kinh nghiệm phù hợp với các dự án hoặc các lĩnh vực kinh doanh tương ứng.

13



Các chuyên gia này cần được xác định bởi người quản lý dự án và mời đến để xem
xét tất cả các khía cạnh của dự án và đề xuất rủi ro có thể dựa vào kinh nghiệm và
lĩnh vực chun mơn của họ trước đó. Các đánh giá có tính chất thành kiến của các
chuyên gia nên được đưa vào một bảng kê trong q trình này.
Phân tích SWOT: Kỹ thuật này kiểm tra dự án từ mỗi điểm mạnh, điểm yếu, các
cơ hội và các khía cạnh đe dọa (SWOT) để tăng bề rộng của các rủi ro nhận diện được
bằng các rủi ro phát sinh nội bộ. Kỹ thuật bắt đầu với việc xác định các điểm mạnh và
điểm yếu của tổ chức, tập trung vào cả dự án, tổ chức hay lĩnh vực kinh doanh nói
chung. Phân tích SWOT sau đó định nghĩa bất kỳ cơ hội nào cho dự án có được từ
những điểm mạnh của tổ chức và bất kỳ mối đe dọa phát sinh này từ điểm yếu của tổ
chức. Phân tích cũng kiểm tra mức độ mà các điểm mạnh của tổ chức bù đắp cho các
mối đe dọa, cũng như xác định các cơ hội để khắc phục điểm yếu.
Phân tích các giả thiết: Mỗi dự án được hình thành và phát triển dựa trên một
tập hợp các giả thiết, kịch bản, hoặc giả định. Phân tích giả thiết là một kỹ thuật
khám phá tính hợp lệ của các giả thiết. Nó nhận diện rủi ro đối với các dự án từ
những giả thiết khơng chính xác, khơng thống nhất, hoặc không đầy đủ.
Tập các bài học kinh nghiệm: Yếu tố rủi ro được xác định và phải đối mặt
trong suốt vòng đời của dự án nên được bao gồm trong các bài học kinh nghiệm.
Chúng ta cần tham khảo các tập bài học kinh nghiệm trong tổ chức của chúng ta khi
lên kế hoạch một dự án. Chúng ta cũng nên trao đổi với các nhà quản lý dự án, các
kiến trúc sư phần mềm, các nhà lãnh đạo nhóm, các thành viên dự án và khách hàng
(trong phạm vi có thể) đề hiểu được các yếu tố rủi ro xã hội và chính trị mà có thể
khơng được ghi trong các tập bài học kinh nghiệm.
1.3.2 Phân tích rủi ro và xếp hạng
Phân tích rủi ro liên quan đến việc đánh giá xác suất, tác động tiềm tàng và
khung thời gian có khả năng xuất hiện của các yếu tố được xác định. Ưu tiên xếp
hạng các yếu tố rủi ro của xác suất, tác động và khung thời gian khi một vấn đề tiềm
năng có thể trở thành một vấn đề thực sự. Chúng ta có thể thực hiện phân tích rủi ro


14


bằng cách gán giá trị số để xác suất và tác động tiềm tàng đối với từng yếu tố rủi ro
được xác định.
• Phân tích xác suất xuất hiện của rủi ro:
Có 4 mức để đo lường khả năng xuất hiện của rủi ro, mỗi mức được gán với
một giá trị số để có thể ước lượng sự quan trọng của nó:
6 - Thường xuyên: khả năng xuất hiện rủi ro rất cao, xuất hiện trong hầu hết
dự án.
4 - Hay xảy ra: khả năng xuất hiện rủi ro cao, xuất hiện trong nhiều dự án.
2 - Đôi khi: khả năng xuất hiện rủi ro trung bình, chỉ xuất hiện ở một số ít dự
án.
1 - Hiếm khi: khả năng xuất hiện thấp, chỉ xuất hiện trong những điều kiện
nhất định.
•Phân tích mức tác động của rủi ro:
Có 4 mức tác động của rủi ro, mỗi mức độ được gán với 1 giá trị số để có thể
ước lượng sự tác động của nó:
8 - Trầm trọng: Có khả năng làm dự án thất bại rất cao.
6 - Quan trọng: Gây khó khăn lớn và làm dự án khơng đạt được các mục tiêu.
2 - Vừa phải: Gây khó khăn cho dự án, ảnh hưởng việc đạt các mục tiêu của dự án.
1 - Khơng đáng kể: Gây khó khăn khơng đáng kể.
• Phân tích thời điểm xuất hiện rủi ro:
Có 4 mức để ước lượng thời điểm rủi ro xuất hiện, mỗi mức được gán với một
giá trị số để có thể ước lượng sự tác động của nó.
6 - Ngay lập tức: Rủi ro xuất hiện gần như tức khắc.
4 - Rất gần: Rủi ro sẽ xuất hiện trong thời điểm rất gần thời điểm phân tích.
2 - Sắp xảy ra: Rủi ro sẽ xuất hiện trong tương lai gần.
1 - Rất lâu: Rủi ro sẽ xuất hiện trong tương lai xa hoặc chưa định được.

Các giá trị số cho trên chỉ mang tính tham khảo và minh họa, giá trị của chúng
được định tùy tổ chức, tùy dự án.

15


1.3.3 Kiểm soát rủi ro
Kiểm soát rủi ro bắt đầu với việc chọn lựa chiến lược và phương pháp đối phó
rủi ro. Trong thực tế, các chiến lược phổ biến bao gồm [9]:

Hình 1.3: Một số chiến lược và minh hoạ các phương pháp đối phó rủi ro
thường gặp [3]
Tránh né: Dùng “đi đường khác” để né tránh rủi ro, đường đi mới có thể khơng có
rủi ro, có rủi ro nhẹ hơn, hoặc chi phí đối phó rủi ro thấp hơn. Chẳng hạn như:
-Thay đổi phương pháp, công cụ thực hiện, thay đổi con người.
-Thương lượng với khách hàng (hoặc nội bộ) để thay đổi mục tiêu.
Chuyển giao: Giảm thiểu rủi ro bằng cách chia sẻ tác hại khi chúng xảy ra.
Chẳng hạn:
-Đề nghị với khách hàng chấp nhận và chia sẻ rủi ro (tăng thời gian, chi phí).
-Báo cáo ban lãnh đạo để chấp nhận tác động và chi phí đối với rủi ro
-Mua bảo hiểm để chia sẻ chi phí khi rủi ro xảy ra.
Giảm nhẹ: Thực thi các biện pháp để giảm thiểu khả năng xảy ra rủi ro hoặc
giảm thiểu tác động và chi phí khắc phục rủi ro nếu nó xảy ra. Chẳng hạn:
-Cảnh báo và triệt tiêu các yếu tố làm cho rủi ro xuất hiện.

16