Thứ Sáu, 5 tháng 10, 2012

Giới thiệu Báo cáo COSO 2004 về Quản trị rủi ro (phần 3)

















Các yếu tố của quản trị rủi ro doanh nghiệp
  
Theo Báo cáo của COSO năm 2004, QTRR doanh nghiệp bao gồm những bộ phận sau:

  •                 Môi trường quản lý
  •                 Thiết lập các mục tiêu
  •                 Nhận dạng sự kiện tiềm tàng
  •                 Đánh giá rủi ro
  •                 Phản ứng rủi ro
  •                 Hoạt động kiểm soát
  •                 Thông tin và truyền thông
  •                 Giám sát. 

           
Môi trường quản lý

Môi trường quản lý phản ánh sắc thái chung của một đơn vị, chi phối ý thức của các thành viên trong đơn vị về rủi ro và đóng vai trò nền tảng cho các yếu tố khác của QRRR. Nó tạo nên cấu trúc và phương thức vận hành về quản trị rủi ro trong đơn vị. 

Các nhân tố chính thuộc về môi trường quản lý là:
  • Triết lý của nhà quản lý về quản trị rủi ro: triết lý về quản trị rủi ro là quan điểm, nhận thức và thái độ của nhà quản lý, điều này tạo nên cách thức mà đơn vị tiếp cận với rủi ro trong tất cả các hoạt động, từ phát triển chiến lược đến các hoạt động hàng ngày. Triết lý quản lý phản ánh những giá trị mà đơn vị theo đuổi, tác động đến văn hoá và cách thức đơn vị hoạt động, và ảnh hưởng đến việc áp dụng các yếu tố khác của ERM bao gồm cách thức nhận dạng rủi ro, các loại rủi ro được chấp nhận và cách thức quản lý chúng.
  • Rủi ro có thể chấp nhận: là mức độ rủi ro mà xét trên bình diện tổng thể, đơn vị sẵn lòng chấp nhận để theo đuổi giá trị. Nó phản ánh triết lý về quản trị rủi ro của nhà quản lý cấp cao, và ảnh hưởng đến văn hoá, cách thức hoạt động của đơn vị. Rủi ro có thể chấp nhận được xem xét khi đơn vị xác định các chiến lược, ở  đó lợi ích kỳ vọng của một chiến lược phải phù hợp với mức rủi ro có thể chấp nhận đã đề ra. Các chiến lược khác nhau sẽ dẫn đến những mức độ rủi ro khác nhau đối với đơn vị, một khi mức rủi ro có thể chấp nhận được xác lập sẽ giúp ích cho nhà quản lý lựa chọn chiến lược nằm trong giới hạn chịu đựng đối với các loại rủi ro.
  • Hội đồng quản trị : đây là một bộ phận quan trọng và ảnh hưởng đến những yếu tố khác. Vai trò của Hội đồng quản trị được thể hiện ở việc giám sát ban quản lý trong việc lựa chọn chiến lược, lên kế hoạch và việc thực hiện nó. Các  nhân tố được xem xét để đánh giá sự hữu  hiệu của Hội đồng quản trị gồm mức độ độc lập, kinh nghiệm và uy tín của các thành viên, và mối quan hệ giữa họ với bộ phận kiểm toán nội bộ và kiểm toán độc lập. Cho dù trong lịch sử đơn vị chưa phải gánh chịu những tổn thất, cho dù chưa có bằng chứng hay dấu hiệu nào cho thấy đơn vị phải đối mặt với những rủi ro quan trọng, thì Hội đồng quản trị cũng không nên suy nghĩ rằng rủi ro sẽ không xảy đến. Phải luôn ý thức rằng, cho dù có một chiến lược hay, đội ngũ nhân sự lành nghề, chu trình được thiết kế khoa học và kỹ thuật áp dụng là đáng tin cậy thì đơn vị vẫn phải đối mặt với tổn hại từ các loại rủi ro và việc quản trị rủi ro vẫn rất cần thiết.
  • Tính chính trực và các giá trị đạo đức: Sự hữu hiệu của hệ thống quản trị rủi ro trước tiên phụ thuộc vào tính chính trực và việc tôn trọng các giá trị đạo đức của những người có liên quan đến quá trình quản trị rủi ro. Để đáp ứng yêu cầu này, các nhà quản lý cấp cao phải xây dựng những chuẩn mực về đạo đức trong đơn vị và cư xử đúng đắn để ngăn cản không cho các thành viên có các hành vi thiếu đạo đức hoặc phạm pháp. Muốn vậy, những nhà quản lý, đặc biệt là giám đốc điều hành (CEO) cần phải làm gương cho cấp dưới trong việc tuân thủ các chuẩn mực đạo đức và phổ biến những quy định đến mọi thành viên bằng những thể thức thích hợp. Một cách khác để nâng cao tính chính trực và sự tôn trọng các giá trị đạo đức là phải loại trừ hoặc giảm thiểu những sức ép hoặc điều kiện có thể dẫn đến nhân viên có thể có những hành vi thiếu trung thực. Ví dụ, gian lận trong các báo cáo có thể xuất phát từ việc nhân viên bị ép buộc phải thực hiện các mục tiêu phi thực tế của nhà quản lý. Hành động không đúng của nhà quản lý có thể phát sinh khi quyền lợi của nhà quản lý lại gắn chặt với số liệu trên báo cáo,..
  • Đảm bảo về năng lực: Là đảm bảo cho nhân viên có được những kỹ năng và hiểu biết cần thiết để thực hiện được nhiệm vụ của mình, nếu không họ sẽ không thực hiện nhiệm vụ được giao hữu hiệu và hiệu quả. Do đó, nhà quản lý chỉ tuyển dụng những nhân viên có trình độ đào tạo và kinh nghiệm phù hợp với nhiệm vụ được giao, và phải giám sát và huấn luyện họ đầy đủ và thường xuyên.
  • Cơ cấu tổ chức: Là sự phân chia quyền hạn và trách nhiệm của các bộ phận trong đơn vị, góp phần quan trọng trong việc thực hiện các mục tiêu. Nói cách khác, cơ cấu phù hợp sẽ là cơ sở cho việc lập kế hoạch, điều hành, kiểm soát và giám sát các hoạt động của đơn vị. Vì vậy, khi xây dựng một cơ cấu tổ chức phải xác định được các vị trí then chốt với các quyền hạn, trách nhiệm với các thể thức báo cáo cho phù hợp. Tuy nhiên, điều này còn phụ thuộc vào quy mô và tính chất hoạt động của đơn vị. Cho dù với bất cứ loại hình cơ cấu nào đều phải đảm bảo hệ thống quản trị rủi ro hoạt động hữu hiệu và các hoạt động được tiến hành để đạt mục tiêu mà đơn vị đề ra.
  • Cách thức phân định quyền hạn và trách nhiệm: Phân định quyền hạn và trách nhiệm được xem là phần mở rộng của cơ cấu tổ chức. Nó cụ thể hoá quyền hạn và trách nhiệm của từng thành viên và từng nhóm thành viên trong đơn vị, giúp cho mỗi thành viên và nhóm hiểu rằng họ có nhiệm vụ cụ thể gì và từng hoạt động của họ có ảnh hưởng như thế nào đối với những nhóm hay thành viên khác trong việc hoàn thành mục tiêu. Do đó, khi mô tả công việc, đơn vị cần phải thể chế hoá bằng văn bản về những nhiệm vụ và quyền hạn cụ thể của từng thành viên và nhóm thành viên, và quan hệ giữa họ với nhau.
  • Chính sách nhân sự: là các chính sách và thủ tục của nhà quản lý về việc tuyển dụng, huấn luyện, bổ nhiệm, đánh giá, sa thải, khen thưởng, kỷ luật nhân viên. Chính sách nhân sự có ảnh hưởng đáng kể đến sự hữu hiệu của môi trường quản lý thông qua tác động đến những nhân tố khác trong môi trường quản lý như đảm bảo về năng lực, tính chính trực,…
 Thiết lập mục tiêu
 
Các mục tiêu được thiết lập đầu tiên ở cấp độ chiến lược, từ đó đơn vị xây dựng bốn mục tiêu tổng quát: chiến lược, hoạt động, báo cáo, và tuân thủ. Việc thiết lập các mục tiêu của đơn vị là điều kiện đầu tiên để nhận dạng, đánh giá và phản ứng với rủi ro.

Các mục tiêu chiến lược: là những mục tiêu cấp cao của đơn vi, các mục tiêu này phù hợp và ủng hộ cho sứ mạng mà đơn vị đã đề ra. Nó thể hiện sự lựa chọn của nhà quản lý về cách thức đơn vị tạo lập giá trị cho chủ sở hữu của mình.

Các mục tiêu liên quan: là những mục tiêu cụ thể hơn so với mục tiêu chiến lược và phù hợp với mục tiêu chiến lược đã được lập. Mặc dù các mục tiêu trong đơn vị rất đa dạng, nhưng các mục tiêu liên quan đến các mục tiêu chiến lược có thể chia thành các loại sau:
  • Các mục tiêu hoạt động: các mục tiêu này liên quan đến sự hữu hiệu và hiệu quả của hoạt động tại đơn vị, bao gồm cách thức hoạt động của đơn vị, lợi nhuận và việc bảo vệ nguồn lực như thế nào. Dưới mỗi mục tiêu hoạt động cơ bản thì đơn vị có thể xây dựng các mục tiêu nhỏ hơn nhằm đảm bảo cho sự hữu hiệu và hiệu quả của các hoạt động tại đơn vị, hướng đơn vị đi đến mục tiêu cao nhất của mình.
  • Các mục tiêu về báo cáo: gắn liền với sự trung thực và đáng tin cậy của các báo cáo, bao gồm các báo cáo cho bên trong và bên ngoài và có thể liên quan đến các thông tin tài chính và phi tài chính. Các báo cáo đáng tin cây cung cấp cho nhà quản lý những thông tin đầy đủ và chính xác để điều hành và giám sát các hoạt động xảy ra tại đơn vị, hướng đến các mục đích đã dự tính trước. Việc  báo cáo cũng liên quan đến những thông tin công bố ra bên ngoài như báo cáo tài chính, báo cáo đến các cơ quan chức năng về các lĩnh vực liên quan, báo cáo về thảo luận và phân tích của ban đều hành cho các cổ đông,…
  • Các mục tiêu tuân thủ: liên quan đến việc tuân thủ luật pháp, quy định của Nhà nước và chấp hành các chính sách, thủ tục tại đơn vị. Đơn vị phải kiểm soát các hoạt động của mình sao cho phù hợp với luật pháp, quy định của Nhà nước cũng như các chính sách, thủ tục mà đơn vị đặt ra.  

Nhận dạng sự kiện tiềm tàng

Sự kiện tiềm tàng: là biến cố bắt nguồn từ bên trong hoặc bên ngoài đơn vị ảnh hưởng đến việc thực hiện mục tiêu của đơn vị. Một sự kiện có thể có ảnh hưởng tích cực hoặc tiêu cực đến đơn vị và có thể cả hai.

Các yếu tố ảnh hưởng: có nhiều yếu tố có thể dẫn đến các sự kiện tác động đến việc thực hiện mục tiêu của đơn vị. Các yếu tố này có thể xuất phát từ bên trong hoặc bên ngoài đơn vị, các yếu tố bên ngoài bao gồm:
  • Môi trường kinh tế: gồm các sự kiện liên quan đến mặt bằng giá cả, nguồn vốn có thể huy động, chi phí sử dụng vốn, tỷ lệ thất nghiệp, các đối thủ cạnh tranh mới,…
  • Môi trường tự nhiên: thiên tai, sự tác động của môi trường đến nhà xưởng, sự tiếp cận nguồn nguyên liệu thô, di dân giữa các vùng địa lý,..
  • Các yếu tố chính trị: các quy định mới của luật pháp, chính sách thuế, sự hạn chế của nhà nước đối với các khu vực thị trường,..
  • Các yếu tố xã hội: tình trạng già/trẻ của dân số, phong tục tập quán, cấu trúc gia đình, ưu tiên nghề nghiệp của dân chúng, các hoạt động khủng bố,…
  • Sự tiến bộ của khoa học kỹ thuật: các hình thức thương mại điện tử mới, sự gia tăng nhu cầu về các dịch vụ kỹ thuật cao,…
Các yếu tố bên trong tác động đến sự kiện tiềm tàng bao gồm:
  • Cơ sở vật chất: cơ sở vật chất hiện có để liên lạc với các trung tâm của đơn vị, giảm thiểu thời hạn cung ứng các yếu tố đầu vào, cải thiện sự hài lòng cho khách hàng,..
  • Nhân sự: tai nạn lao động, gian lận của nhân viên, hiệu lực của hợp đồng lao động, các hành động làm tổn hại đến tiền bạc và danh tiếng của đơn vị,…
  • Các chu trình: sự không phù hợp giữa chu trình công việc và các quy định của nhà quản lý, các lỗi khi thực hiện các chu trình, thực hiện việc thuê ngoài khi chưa được xem xét thoả đáng,..
  • Việc áp dụng khoa học kỹ thuật: việc thay đổi máy móc, công nghệ để đáp ứng về doanh thu, khối lượng; máy móc bị trục trặc, gian lận trong thực hiện công việc,..
Việc xác định được các yếu tố bên trong và bên ngoài tác động đến đơn vị có tác dụng quan trọng đến việc nhận dạng các sự kiện tiềm tàng. Một khi các yếu tố ảnh hưởng đã được nhận dạng, nhà quản lý có thể xem xét tầm quan trọng của chúng và tập trung vào các sự kiện có thể ảnh hưởng đến việc thực hiện các mục tiêu của đơn vị.

Ngoài việc nhận diện các sự kiện tiềm tàng ở mức độ toàn đơn vị, sự kiện tiềm tàng cũng có thể được nhận diện ở mức độ chi tiết cho các hoạt động. Điều này giúp cho việc đánh giá các rủi ro theo các hoạt động hoặc các chức năng chính, ví dụ đơn vị phải xem xét các sự kiện tiềm tàng liên quan đến công việc bán hàng, sản xuất, tiếp thị, ứng dụng công nghệ, R&D,…

Sự phụ thuộc lẫn nhau giữa các sự kiện: các sự kiện liên quan đến đơn vị thường không xuất hiện độc lập mà có sự tương tác lẫn nhau. Một sự kiện xuất hiện có thể tạo ra, tác động đến một sự kiện khác và các sự kiện có thể xuất hiện đồng thời. Trong việc nhận dạng các sự kiện, đơn vị phải biết được sự liên quan giữa các sự kiện là như thế nào. Bằng cách đánh giá sự liên quan giữa các sự kiện, đơn vị có thể biết được nơi nào cần tập trung cần thiết để quản trị rủi ro. Ví dụ, sự thay đổi về lãi suất cơ bản của ngân hàng Nhà nước sẽ tác động đến  tỷ giá hối đoái và do đó tác động đến thu nhập hoặc tổn thất của các đơn vị kinh doanh ngoại tệ.

Phân biệt cơ hội và rủi ro: sự kiện tiềm tàng nếu xuất hiện sẽ tác động tiêu cực hoặc tích cực đến đơn vị hoặc tác động cả hai. Nếu sự kiện có tác động tiêu cực, đe dọa nguy cơ đạt được mục tiêu của đơn vị, thì đòi hỏi đơn vị phải đánh giá rủi ro và phản ứng với rủi ro. Nếu sự kiện có tác động tích cực đến đơn vị, làm thuận lợi việc thực hiện mục tiêu của đơn vị hoặc tạo giá trị cho đơn vị, thì phải được xem xét trở lại đối với các chiến lược đã được xây dựng.

Đánh giá rủi ro

Các nhân tố bên trong và bên ngoài có thể tạo ra các sự kiện ảnh hưởng đến việc thực hiện mục tiêu của đơn vị. Mặc dù một số nhân tố có tính chất chung đặc trưng cho từng ngành, nhưng sự tác động đối với từng đơn vị củ thể thì hoàn toàn khác nhau, bởi vì mục tiêu và sự lựa chọn của mỗi đơn vị trong quá khứ  của mỗi đơn vị là không giống nhau. Trong việc đánh giá rủi ro, đơn vị phải xem xét các sự kiện trong hoàn cảnh và điều kiện cụ thể của riêng đơn vị mình chẳng hạn như: quy mô của đơn vị, sự phức tạp của các hoạt động, mức độ tác động của các quy định lên các hoạt động của đơn vị,..

Các sự kiện được xem xét bao gồm các sự kiện đã được đơn vị dự tính và các sự kiện không được dự tính. Các sự kiện đã dự tính bao gồm những sự kiện thường xuyên lặp đi lặp lại, sự kiện diễn ra hàng ngày hoặc các sự kiện đã được tiên liệu trong kế hoạch của đơn vị.

Rủi ro tiềm tàng và rủi ro kiểm soát: rủi ro tiềm tàng là rủi ro do thiếu các hoạt động của đơn vị nhằm thay đổi khả năng hoặc sự tác động của các rủi ro đó. Rủi ro kiểm soát là rủi ro vẫn còn tồn tại sau khi đơn vị đã phản ứng với rủi ro. Đơn vị cần phải xem xét cả rủi ro tiềm tàng và rủi ro kiểm soát, đầu tiên là xem xét các rủi ro tiềm tàng, sau đó khi đã có phương án phản ứng với rủi ro tiềm tàng thì tiếp tục xem xét đến rủi ro kiểm soát.

Ứơc lượng khả năng và ảnh hưởng: các sự kiện tiềm tàng phải được đánh giá trên hai khía cạnh: khả năng xảy ra và mức độ tác động của nó. Những sự kiện mà khả năng xuất hiện thấp và tác động ít đến đơn vị thì không cần phải tiếp tục xem xét. Ngược lại, các sự kiện với khả năng xuất hiện cao và tác động lớn thì cần phải xem xét kỹ càng. Các sự kiện nằm giữa hai thái cực này đòi hỏi sự đánh giá phức tạp, điều quan trọng là phải phân tích kỹ lưỡng và hợp lý.

Để đo lường khả năng xuất hiện một sự kiện, có thể dùng các chỉ tiêu định tính như cao, trung bình, thấp hoặc các cấp độ chi tiết khác. Hoặc có thể dùng chỉ tiêu định lượng như: tỷ lệ xuất hiện, tần suất xuất hiện,..

Đơn vị đo lường tác động của một sự kiện thông thường là cùng hoặc tương tự với đơn vị đo lường của việc thực hiện mục tiêu để có thể đánh giá được mức độ tác động của sự kiện đó. Chẳng hạn một đơn vị với mục tiêu là duy trì dịch vụ khác hàng ở một mức độ nào đó thì đơn vị đo lường mục tiêu này có thể là: chỉ số hài lòng của khách hàng, số lượng các khách hàng than phiền về dịch vụ,… thì khi đó đơn vị để đo lường tác động của các rủi ro đối với dịch vụ khách hàng, chẳng hạn thời gian website của công ty không truy cập được, phải hoàn toàn tương tự.

Sự liên hệ giữa các sự kiện: đối với những sự kiện độc lập với nhau thì đơn vị đánh giá các sự kiện một cách độc lập. Nhưng nếu có sự liên hệ giữa các sự kiện hoặc các sự kiện cùng kết hợp lại với nhau sẽ tạo nên những tác động lớn thì đơn vị phải đánh giá được tác động tổng hợp đó. Bởi vì, một sự kiện riêng lẻ có thể có tác động nhỏ nhưng sự nhưng sự kết hợp hoặc tác động dây chuyền có thể có ảnh hưởng quan trọng đến việc thực hiện mục tiêu của đơn vị. Ví dụ, một công ty tham gia vào thị trường nước ngoài với nhà quản lý mới là người địa phương, chưa hiểu biết về cách thức đánh giá hoạt động của công ty mẹ, sử dụng hệ thống báo cáo chưa được kiểm tra sẽ dẫn đến rủi ro về gian lận và sai sót trong báo cáo tài chính.

Khi rủi ro tác động đến nhiều bộ phận, đơn vị kết hợp các rủi ro đó trong danh sách các sự kiện và xem xét trước hết sự tác động đến từng bộ phận, sau đó xem xét tác động tổng thể đến toàn đơn vị. Ví dụ, đối với một ngân hàng, rủi ro liên quan đến lãi suất của ngân hàng trung ương phải được đánh giá không những cho từng hoạt động của các bộ phận như huy động, cho vay, ngoại tệ,.. mà còn phải đánh giá sự tác động tổng thể đó đối với chính ngân hàng đó.

Việc lựa chọn các cách thức khác nhau để đánh giá rủi ro tùy thuộc vào bản chất của sự kiện sẽ xảy ra. Để đánh giá sự tác động riêng lẻ của các sự kiện, đơn vị thường sử dụng phương pháp sác suất như: thảo luận, phỏng vấn, khảo sát thực tế,… để định lượng hoặc so sánh khả năng xảy ra của sự kiện và tác động của sự kiện đó. Đánh giá sự sự tác động tổng hợp của các sự kiện thì  phương pháp mô phỏng hoặc phân tích xu hướng thường hữu ích hơn. 

Phản ứng với rủi ro

Sau khi đã đánh giá các rủi ro liên quan, đơn vị xác định các cách thức để phản ứng với các rủi ro đó. Các cách thức để phản ứng với rủi ro bao gồm:
  • Né tránh rủi ro: không thực hiện các hoạt động mà có rủi ro cao như sản xuất một mặt hàng mới, giảm doanh số ở một số khu vực của thị trường, bán bớt một số ngành hàng hoạt động,…
  • Giảm bớt rủi ro: các hoạt động nhằm làm giảm thiểu khả năng xuất hiện hoặc mức độ tác động của rủi ro hoặc cả hai. Các hoạt động này liên quan đến việc điều hành hàng ngày tại đơn vị.
  • Chuyển giao rủi ro: Làm giảm thiểu khả năng xuất hiện và mức độ tác động của rủi ro bằng cách chuyển giao hoặc chia sẽ một phần rủi ro. Các kỹ thuật này bao gồm: mua bảo hiểm cho tổn thất, sử dụng các công cụ về tài chính để dự phòng cho tổn thất, các hoạt động thuê ngoài,…
  • Chấp nhận rủi ro: đơn vị không làm gì cả đối với rủi ro.
Né tránh rủi ro được sử dụng khi các phản ứng khác không thể làm giảm khả năng xảy ra của sự kiện hoặc tác động của sự kiện đó xuống mức có thể chấp nhận được. Giảm thiểu rủi ro và chuyển giao rủi ro được sử dụng để làm giảm  rủi ro kiểm soát xuống mức phù hợp với từng mức độ rủi ro bộ phận. 

Chấp nhận rủi ro khi rủi ro tiềm tàng của sự kiện nằm trong phạm vi của rủi ro bộ phận.

Khi lựa chọn một phản ứng đối với rủi ro, cần xem xét các vấn đề sau:

  • Xác định các phản ứng: đối với nhiều loại rủi ro, việc xác định phương thức phản ứng tương đối dễ dàng. Ví dụ, đối với rủi ro vễ lỗi của hệ thống máy tính thì phản ứng thông thường là sữa chửa, phục hồi hệ thống máy tính. Nhưng đối với một số loại rủi ro thì việc lựa chọn phản ứng không hề dễ dàng, đòi hỏi sự điều tra và phân tích. Ví dụ để xác định được phản ứng đối với rủi ro từ các hoạt động của đối thủ cạnh tranh tác động đến giá trị của một nhãn hiệu hàng hoá, đòi hỏi đơn vị phải tiến hành nghiên cứu và phân tích thị trường,… Trong việc xác định các phản ứng đối với rủi ro, cần xem xét các vấn đề sau:
  • Ảnh hưởng của phản ứng của đơn vị đến khả năng và tác động của rủi ro, và phản ứng nào nằm trong phạm vi của rủi ro bộ phận.
  • Lợi ích và chi phí của từng loại phản ứng
  • Cơ hội có thể có đối với việc thực hiện mục tiêu chung của đơn vị khi phản ứng với các rủi ro cụ thể.
  • Lựa chọn phản ứng: sau khi đã đánh giá các phản ứng khác nhau đối với rủi ro, đơn vị quyết định phải quản lý rủi ro như thế nào, lựa chọn  phản ứng để đối phó với rủi ro trong phạm vi rủi ro bộ phận, lưu ý rằng phản ứng được lựa chọn không phải là phản ứng có rủi ro kiểm soát nhỏ nhất. Tuy nhiên, khi rủi ro kiểm soát vượt ra khỏi giới hạn của rủi ro bộ phận, đơn vị cần phải xem xét lại phản ứng đã chọn, hoặc trong một số trường hợp thì đơn vị có thể điều chỉnh lại rủi ro bộ phận đã được thiết lập trước đây.
Việc lựa chọn phản ứng đòi hỏi đơn vị phải xem xét các rủi ro mới, phát sinh từ việc áp dụng phản ứng đó. Điều này phát sinh một chu trình kế tiếp và đơn vị phải xem xét tiếp rủi ro trước khi đưa ra quyết định cuối cùng.

Nhìn nhận hệ thống: hệ thống quản trị rủi ro doanh nghiệp đòi hỏi đơn vị nhìn nhận rủi ro trên bình diện toàn đơn vị, hay nhìn nhận có tính hệ thống. Để nhìn nhận rủi ro có tính hệ thống, đòi hỏi đơn vị phải: xem xét rủi ro kiểm soát có phù hợp với mục tiêu và có nằm trong phạm vi của rủi ro có thể chấp nhận của bộ phận đó hay không, và kết hợp các rủi ro kiểm soát của các bộ phận lại và xem xét có phù hợp với rủi ro có thể chấp nhận của toàn đơn vị hay không.

Các rủi ro khác nhau liên quan đến mỗi bộ phận có thể nằm trong phạm vi rủi ro bộ phận của các bộ phận đó, nhưng khi kết hợp lại với nhau chúng sẽ vượt quá giới hạn của rủi ro có thể chấp nhận của toàn đơn vị. Trong các trường hợp như vậy, đòi hỏi đơn vị phải có những phản ứng đối với rủi ro một cách phù hợp nhằm đưa rủi ro trở về phạm vi có thể chấp nhận.

Nhìn nhận rủi ro một cách hệ thống có thể được diễn tả theo nhiều cách khác nhau như: kết hợp các sự kiện hoặc rủi ro quan trọng và xem xét sự tác động đến các bộ phận của đơn vị; xem xét tác động của các rủi ro đơn lẻ đến toàn bộ đơn vị bằng cách định lượng sự tác động của rủi ro đến việc đạt mục tiêu của đơn vị;… Với cách nhìn nhận định lượng này, đơn vị có những thông tin hữu ích để phân bổ nguồn vốn hợp lý giữa các bộ phận, và thực hiện các điều chỉnh về chiến lược.


Giới thiệu Báo cáo COSO 2004 về Quản trị rủi ro (phần 2)
















Lợi ích của quản trị rủi ro doanh nghiệp


  • Tạo lập sự phù hợp giữa lựa chọn chiến lược và mức rủi ro có thể chấp nhận: khi lựa chọn một chiến lược giữa nhiều khả năng khác nhau thì trước hết phải xem xét mức rủi ro có thể chấp nhận trước, rồi mới đến lựa chọn chiến lược cụ thể, sau đó thiết lập các mục tiêu liên quan đến chiến lược đã được chọn và cuối cùng là cách thức được thiết lập để quản lý các rủi ro liên quan.
  • Làm tăng hiệu quả đối với việc phản ứng với rủi ro: QTRR cung cấp các kỹ thuật và phương pháp cụ thể trong việc nhận dạng và lựa chọn các phương thức phản ứng với rủi ro như né tránh rủi ro, giảm thiểu rủi ro, chuyển giao rủi ro và chấp nhận rủi ro sẽ giúp các nhà quản lý phản ứng với rủi ro một cách hiệu quả.
  •  Giảm thiểu tổn thất bất ngờ trong quá trình hoạt động: QTRR làm tăng khả năng của đơn vị về việc nhận dạng các sự kiện tiềm tàng, đánh giá rủi ro, thiết lập cách thức phản ứng với rủi ro và do đó giảm thiểu những chi phí và tổn thất bất ngờ.
  •  Nhận dạng và quản lý rủi ro xuyên suốt toàn đơn vị: mỗi đơn vị phải đối mặt với rất nhiều loại rủi ro tác động đến nhiều bộ phận khác nhau. Và QTRR đòi hỏi người quản lý không chỉ quản lý các loại rủi ro riêng biệt mà còn phải hiểu được sự tác động lẫn nhau của các rủi ro đó. Từ đó giúp cho đơn vị có cái nhìn hệ thống đối với các loại rủi ro và phản ứng hiệu quả hơn cho mục tiêu tổng thể.
  •  Cung cấp các phản ứng tổng hợp cho nhiều loại rủi ro: QTRR xem xét các rủi ro một cách tổng thể và hệ thống vì vậy các giải pháp phản ứng thường hướng đến được xem xét cho các rủi ro liên quan do đó một giải pháp có thể xử lý cho nhiều rủi ro khác nhau.
  •  Giúp đơn vị nắm bắt những cơ hội trong kinh doanh: QTRR xem xét tất cả các sự kiện tiềm tàng liên quan đến đơn vị không chỉ có rủi ro và vì vậy giúp các nhà quản lý nhận dạng các sự kiện mang đến cơ hội từ đó đưa ra những phản ứng thích hợp để tận dụng những cơ hội đó.
  •  Cải thiện sự phân bổ nguồn vốn của đơn vị: Có được đầy đủ thông tin về rủi ro giúp nhà quản lý đánh giá tổng quát nhu cầu về vốn và tối ưu hoá việc phân bổ vốn của đơn vị. 


Hạn chế của quản trị rủi ro doanh nghiệp 

Tương tự như hệ thống KSNB, một hệ thống QTRR được xem là hữu hiệu, dù đã được thiết kế và vận hành thế nào đi chăng nữa, nhằm cung cấp một sự đảm bảo hợp lý trong việc thực hiện các mục tiêu của đơn vị chứ không đảm bảo tuyệt đối. Điều này xuất phát từ những hạn chế của hệ thống QTRR doanh nghiệp. Cụ thể như sau:

  • Rủi ro liên quan đến tương lai và chứ đựng yếu tố không chắc chắn. Một chu trình QTRR dù được đầu tư rất nhiều trong thiết kế cũng không thể nhận dạng hết toàn bộ các rủi ro và do đó không thể đánh giá chính xác sự tác động của chúng.
  • Những hạn chế xuất phát từ con người liên quan trong chu trình QTRR như: việc ra quyết định sai do thiếu thông tin, bị áp lực trong sản xuất kinh doanh; sự vô ý, bất cẩn, đãng trí; hiểu sai chỉ dẫn của cấp trên hoặc báo cáo của cấp dưới; việc đảm nhận vị trí công việc tạm thời, thay thế cho người khác;…
  • Sự thông đồng giữa các nhân viên với nhau hay với các bộ phận bên ngoài đơn vị.
  • Khi đưa ra các quyết định, yêu cầu thường xuyên và trên hết là của người quản lý là xem xét quan hệ giữa chi phí bỏ ra và lợi ích thu được. Việc phản ứng với rủi ro và tiếp theo đó là các hoạt động giám sát cũng phải đảm bảo rằng lợi ích có được phải lớn hơn chi phí mà đơn vị bỏ ra.
  • Luôn có khả năng những người quản lý lạm quyền trong chu trình QTRR nhằm phục vụ cho các mưu đồ riêng.

Giới thiệu Báo cáo COSO 2004 về Quản trị rủi ro (phần 1)


















Khái niệm về quản trị rủi ro doanh nghiệp

Theo Báo cáo của COSO năm 2004 thì quản trị rủi ro (QTRR) doanh nghiệp là một quá trình do hội đồng quản trị, các cấp quản lý và các nhân viên của đơn vị chi phối, được áp dụng trong việc thiết lập các chiến lược liên quan đến toàn đơn vị và áp dụng cho tất cả các cấp độ trong đơn vị, được thiết kế để nhận dạng các sự kiện tiềm tàng có thể ảnh hưởng đến đơn vị và quản trị rủi ro trong phạm vi chấp nhận được của rủi ro nhằm cung cấp một sự đảm bảo hợp lý về việc đạt được các mục tiêu của đơn vị.

Theo định nghĩa trên, các nội dung cơ bản của QTRR là: quá trình, con người, thiết lập chiến lược, áp dụng toàn đơn vị, nhận dạng sự kiện, đảm bảo hợp lý và mục tiêu. Chúng được hiểu như sau:

Quản trị rủi ro doanh nghiệp là một quá trình: QTRR bao gồm một chuỗi các hoạt động liên tục tác động đến toàn đơn vị thông qua những hoạt động quản lý để điều hành sự hoạt động của đơn vị. Quá trình quản trị rủi ro doanh nghiệp giúp đơn vị tác động trực tiếp đến việc thực hiện các mục tiêu đã đề ra và góp phần hoàn thành sứ mạng của đơn vị.

Quản trị rủi ro doanh nghiệp được thiết kế và vận hành bởi con người: QTRR không chỉ đơn thuần là những chính sách, thủ tục, biểu mẫu,.. mà phải bao gồm những con người trong đơn vị như hội đồng quản trị, ban giám đốc và các nhân viên khác. Mỗi cá nhân trong đơn vị với những đặc điểm riêng sẽ tác động đến cách thức người đó nhận dạng, đánh giá và phản ứng với rủi ro. Với QTRR, đơn vị  cung cấp cho mọi người khuôn khổ chung về rủi ro trong phạm vi mục tiêu hoạt động của đơn vị.

Quản trị rủi ro được áp dụng trong việc thiết lập các chiến lược: mỗi đơn vị thường thiết lập các sứ mạng cho tổ chức của mình và các mục tiêu liên quan để đạt đến sứ mạng đó. Với mỗi mục tiêu, đơn vị thiết lập các chiến lược tương ứng để thực hiện và cũng có thể thiết lập các mục tiêu liên quan ở cấp độ thấp hơn. Khi đó, QTRR hỗ trợ cho các cấp quản lý xem xét các rủi ro liên quan đến việc lựa chọn các chiến lược thay thế khác nhau.

Áp dụng cho toàn đơn vị: QTRR không xem xét rủi ro trong một sự kiện riêng biệt hoặc cấp độ riêng rẽ mà xem xét hoạt động trên tất cả các cấp độ của đơn vị, từ cấp độ toàn đơn vị như kế hoạch chiến lược và phân bổ nguồn lực đến các mảng hoạt động cụ thể như hoạt động marketing, nguồn nhân lực và đến các chu trình nghiệp vụ như chu trình sản xuất, xem xét hạn mức tín dụng của khách hàng,..

QTRR được thiết kế để nhận dạng các sự kiện: các sự kiện tiềm tàng tác động đến đơn vị phải được nhận dạng thông qua QTRR. Khi sự kiện tiềm tàng được nhận dạng, đơn vị đánh giá được rủi ro và cơ hội liên quan đến các sự kiện, từ đó xây dựng các cách thức quản lý rủi ro liên quan trong phạm vi mức rủi ro có thể chấp nhận của đơn vị.

Mức rủi ro có thể chấp nhận: là mức độ rủi ro mà đơn vị sẵn sàng chấp nhận để thực hiện việc làm tăng giá trị xét trên bình diện toàn đơn vị. Nó phản ánh triết lý về rủi ro và phong cách văn hoá của đơn vị. Rủi ro có thể chấp nhận có thể được xem xét một cách định lượng hoặc định tính. Theo phương thức định tính, rủi ro rủi ro được chia thành các cấp độ như cao, trung bình và thấp,.. còn theo phương thức định lượng thì rủi ro được xem xét trong sự tương quan với các mức độ tăng trưởng và lợi nhuận.

Rủi ro bộ phận: là mức rủi ro liên quan đến từng mục tiêu cụ thể. Rủi ro bộ phận là mức rủi ro chấp nhận được trong việc thực hiện những mục tiêu cụ thể.

Việc xác định mức rủi ro có thể chấp nhận giúp định hướng phân bổ các nguồn lực trong đơn vị dựa trên tương quan giữa kết quả kỳ vọng và nguồn lực đã đầu tư. Các nhà quản lý xem xét mức rủi ro có thể chấp nhận trong sự phù hợp với cơ cấu tổ chức, con người, quá trình thực hiện và qua đó thiết lập các yếu tố cần thiết phản ứng và giám sát rủi ro một cách hữu hiệu.

QTRR đem lại một sự đảm bảo hợp lý, chứ không phải là đảm bảo tuyệt đối, là các mục tiêu sẽ được thực hiện. Vì những sự kiện không chắc chắn và rủi ro thuộc về tương lai, do đó không ai có thể dự đoán tuyệt đối chính xác. Hơn nữa, QTRR được vận hành bởi con người do đó những sai sót do con người gây ra là không thể tránh. Mặt khác, các hoạt động kiểm soát dù có được thiết kế và hoàn thiện đến thế nào đi chăng nữa vẫn không thể kiểm soát hết được tất cả các sự kiện liên quan đến đơn vị.
QTRR là phương tiện để đạt được mục tiêu: trong phạm vi sứ mạng của đơn vị đã được thiết lập, các nhà quản lý xây dựng các mục tiêu chiến lược, lựa chọn cách thức tiến hành và thiết lập các mục tiêu liên quan. ERM, với sự phân loại các mục tiêu, sẽ phân định rõ từng nội dung mà đơn vị hướng đến.

Các mục tiêu của đơn vị bao gồm:
  • Mục tiêu chiến lược: liên quan đến các mục tiêu tổng thể và phục vụ cho sứ mạng của đơn vị.
  • Mục tiêu hoạt động: liên quan đến việc sử dụng các nguồn lực một cách hữu hiệu và hiệu quả.
  • Mục tiêu báo cáo: liên quan đến sự trung thực và đáng tin cậy của các bao cáo liên quan đến đơn vị
  • Mục tiêu tuân thủ: đảm bảo hợp lý việc chấp hành luật pháp và các quy định


Giới thiệu Báo cáo COSO 1992 (phần 3)

















KSNB và quá trình quản lý

Báo cáo COSO khẳng định, KSNB là một phần của quá trình quản lý và gắn chặt với quá trình này. Tuy nhiên không phải mọi hành động mà nhà quản lý thực hiện đều là một yếu tố của KSNB. Việc đặt ra mục tiêu của tổ chức chẳng hạn, đây là một trách nhiệm quản lý quan trọng nhưng nó không phải là một bộ phận (yếu tố) của KSNB mà là một tiền đề cho KSNB. Bảng sau minh họa một số hành động của nhà quản lý được xem là một bộ phận của HTKSNB:

Hoạt động của nhà quản lý
Kiểm soát nội bộ
Đặt mục tiêu ở cấp độ toàn đơn vị

Lập kế hoạch chiến lược

Xây dựng các yếu tố của môi trường kiểm soát
             v
Đặt mục tiêu ở cấp độ hoạt động

Nhận dạng và phân tích rủi ro
             v
Quản lý rủi ro

Tiến hành hoạt động kiểm soát
             v
Thu thập và truyền đạt thông tin
             v
Giám sát
             v
Các hoạt động sửa chữa (sửa sai)















Những cách tiếp cận  khác nhau về kiểm soát nội bộ (KSNB)

Nhà quản lý
Nhà quản lý xem xét KSNB từ góc độ toàn bộ tổ chức. Trách nhiệm của nhà quản lý là thiết lập mục tiêu và chiến lược; sử dụng các nguồn lực (con người và vật chất) để đạt được mục tiêu đã định.
Đối với nhà quản lý, KSNB bao gồm chính sách, thủ tục và các hành động nhằm giúp cho tổ chức đạt được mục tiêu của mình. Nhà quản lý cần chỉ đạo và giám sát các hoạt động của tổ chức, ý thức được các nhân tố ản hưởng (từ bên trong và bên ngoài), nhận diện và đối phó với rủi ro.
KSNB giúp nhà quản lý có các hành động kịp thời khi điều kiện thay đổi nhằm giảm thiểu những tác động bất lợi hay tận dụng được các thời cơ. KSNB còn giúp nhà quản lý tuân thủ các luật lệ và quy định.

Kiểm toán viên nội bộ
Hiệp hội kiểm toán viên nội bộ Hoa Kỳ (IIA) định nghĩa “SNB là bất kỳ hành động nào được thực hiện bởi nhà quản lý nhằm tăng cường khả năng đạt được các mục tiêu đã định”. IIA cũng giải thích cụ thể về bản chất của các hành động này và khẳng định rằng KSNB là kết quả của quá trình lập kế hoạch, tổ chức và chỉ đạo thực hiện của nhà quản lý[1]. Định nghĩa này cũng thống nhất với quan điểm của IIA về vai trò của kiểm toán nội bộ trong tổ chức. Theo đó, “kiểm toán nội bộ kiểm tra và đánh giá các quá trình lập kế hoạch, tổ chức và chỉ đạo thực hiện nhằm đảm bảo hợp lý rằng các mục tiêu của tổ chức sẽ đạt được”. Như vậy mọi hệ thống, quá trình, chức năng và hoạt động của một tổ chức đều nằm trong phạm vi của KSNB. Trong thực tế, hoạt động của kiểm toán nội bộ sẽ thay đổi tùy thuộc vào điều lệ của tổ chức.

Kiểm toán viên độc lập
Kiểm toán viên độc lập chủ yếu tập trung tìm hiểu HTKSNB về các khía cạnh mà nó hỗ trợ hay ảnh hưởng tới báo cáo tài chính mà thôi. Ban đầu, AICPA định nghĩa KSNB rất rộng “KSNB là chính sách và thủ tục được thiết lập nhằm đưa ra sự đảm bảo hợp lý rằng các mục tiêu cụ thể của tổ chức sẽ đạt được”[2]. Định nghĩa này nhất quán với cách hiểu của nhà quản lý và kiểm toán viên nội bộ nói trên.
Tuy nhiên, sau này định nghĩa của AICPA về KSNB đã được thu hẹp lại cho tương ứng với trách nhiệm của kiểm toán viên độc lập mà thôi. Các chính sách và thủ tục thích hợp với cuộc kiểm toán báo cáo tài chính khi nó liên quan đến khả năng ghi chép, xử lý, tổng hợp và báo cáo các thông tin tài chính nhất quán với các cơ sở dẫn liệu của báo cáo tài chính.

Các đối tượng bên ngoài khác

  • Các nghị sĩ và cơ quan quản lý: thường định nghĩa KSNB sao cho phù hợp với trách nhiệm của họ. Các định nghĩa này đề cập đến các loại hoạt động cần được giám sát, yêu cầu báo cáo, sử dụng nguồn lực của tổ chức tuân thủ theo luật pháp và quy định, bảo vệ tài sản khỏi mất mát, lãng phí hay sử dụng sai mục đích
  • Các nhà đầu tư, chủ nợ và các đối tượng khác: cần nhiều loại thông tin thông tin về tổ chức, trong đó chủ yếu là thông tin tài chính. Tuy nhiên các đối tượng này ít có khả năng yêu cầu tổ chức cung cấp thông tin cho mình và họ không dành nhiều quan tâm tìm hiểu về KSNB.
  • Tóm lại, Báo cáo COSO về KSNB là một tài liệu được chấp nhận rộng rãi trên thế giới. Tuy nhiên, Báo cáo này không mang tính bắt buộc (như một chuẩn mực) mà chủ yếu mang tính hướng dẫn. Một HTKSNB không có các thành phần hay không đáp ứng được mọi tiêu chí đánh giá nêu trong Báo cáo cũng vẫn có khả năng là một HTKSNB hữu hiệu trên thực tế.

Mai Đức Nghĩa (Bộ môn Kiểm toán, Trường Đại học Kinh tế TPHCM)
(Đọc thêm: Bộ môn Kiểm toán, Kiểm soát nội bộ, Nhà xuất bản Phương Đông, 2010)


[1] Statement on Internal Auditing Standards No. 1, Control: Concepts and Responsibilities
[2] Statement on Auditing Standards No. 55, Consideration of the Internal Control Structure in a Financial Statement Audit (New York: AICPA, 1988), para 6.