Giới thiệu Báo cáo COSO 2004 về Quản trị rủi ro (phần 1)

Khái niệm về quản trị rủi ro doanh nghiệp

Theo Báo cáo của COSO năm 2004 thì quản trị rủi ro (QTRR) doanh nghiệp là một quá trình do hội đồng quản trị, các cấp quản lý và các nhân viên của đơn vị chi phối, được áp dụng trong việc thiết lập các chiến lược liên quan đến toàn đơn vị và áp dụng cho tất cả các cấp độ trong đơn vị, được thiết kế để nhận dạng các sự kiện tiềm tàng có thể ảnh hưởng đến đơn vị và quản trị rủi ro trong phạm vi chấp nhận được của rủi ro nhằm cung cấp một sự đảm bảo hợp lý về việc đạt được các mục tiêu của đơn vị.

Theo định nghĩa trên, các nội dung cơ bản của QTRR là: quá trình, con người, thiết lập chiến lược, áp dụng toàn đơn vị, nhận dạng sự kiện, đảm bảo hợp lý và mục tiêu. Chúng được hiểu như sau:

Quản trị rủi ro doanh nghiệp là một quá trình: QTRR bao gồm một chuỗi các hoạt động liên tục tác động đến toàn đơn vị thông qua những hoạt động quản lý để điều hành sự hoạt động của đơn vị. Quá trình quản trị rủi ro doanh nghiệp giúp đơn vị tác động trực tiếp đến việc thực hiện các mục tiêu đã đề ra và góp phần hoàn thành sứ mạng của đơn vị.

Quản trị rủi ro doanh nghiệp được thiết kế và vận hành bởi con người: QTRR không chỉ đơn thuần là những chính sách, thủ tục, biểu mẫu,.. mà phải bao gồm những con người trong đơn vị như hội đồng quản trị, ban giám đốc và các nhân viên khác. Mỗi cá nhân trong đơn vị với những đặc điểm riêng sẽ tác động đến cách thức người đó nhận dạng, đánh giá và phản ứng với rủi ro. Với QTRR, đơn vị  cung cấp cho mọi người khuôn khổ chung về rủi ro trong phạm vi mục tiêu hoạt động của đơn vị.

Quản trị rủi ro được áp dụng trong việc thiết lập các chiến lược: mỗi đơn vị thường thiết lập các sứ mạng cho tổ chức của mình và các mục tiêu liên quan để đạt đến sứ mạng đó. Với mỗi mục tiêu, đơn vị thiết lập các chiến lược tương ứng để thực hiện và cũng có thể thiết lập các mục tiêu liên quan ở cấp độ thấp hơn. Khi đó, QTRR hỗ trợ cho các cấp quản lý xem xét các rủi ro liên quan đến việc lựa chọn các chiến lược thay thế khác nhau.

Áp dụng cho toàn đơn vị: QTRR không xem xét rủi ro trong một sự kiện riêng biệt hoặc cấp độ riêng rẽ mà xem xét hoạt động trên tất cả các cấp độ của đơn vị, từ cấp độ toàn đơn vị như kế hoạch chiến lược và phân bổ nguồn lực đến các mảng hoạt động cụ thể như hoạt động marketing, nguồn nhân lực và đến các chu trình nghiệp vụ như chu trình sản xuất, xem xét hạn mức tín dụng của khách hàng,..

QTRR được thiết kế để nhận dạng các sự kiện: các sự kiện tiềm tàng tác động đến đơn vị phải được nhận dạng thông qua QTRR. Khi sự kiện tiềm tàng được nhận dạng, đơn vị đánh giá được rủi ro và cơ hội liên quan đến các sự kiện, từ đó xây dựng các cách thức quản lý rủi ro liên quan trong phạm vi mức rủi ro có thể chấp nhận của đơn vị.

Mức rủi ro có thể chấp nhận: là mức độ rủi ro mà đơn vị sẵn sàng chấp nhận để thực hiện việc làm tăng giá trị xét trên bình diện toàn đơn vị. Nó phản ánh triết lý về rủi ro và phong cách văn hoá của đơn vị. Rủi ro có thể chấp nhận có thể được xem xét một cách định lượng hoặc định tính. Theo phương thức định tính, rủi ro rủi ro được chia thành các cấp độ như cao, trung bình và thấp,.. còn theo phương thức định lượng thì rủi ro được xem xét trong sự tương quan với các mức độ tăng trưởng và lợi nhuận.

Rủi ro bộ phận: là mức rủi ro liên quan đến từng mục tiêu cụ thể. Rủi ro bộ phận là mức rủi ro chấp nhận được trong việc thực hiện những mục tiêu cụ thể.

Việc xác định mức rủi ro có thể chấp nhận giúp định hướng phân bổ các nguồn lực trong đơn vị dựa trên tương quan giữa kết quả kỳ vọng và nguồn lực đã đầu tư. Các nhà quản lý xem xét mức rủi ro có thể chấp nhận trong sự phù hợp với cơ cấu tổ chức, con người, quá trình thực hiện và qua đó thiết lập các yếu tố cần thiết phản ứng và giám sát rủi ro một cách hữu hiệu.

QTRR đem lại một sự đảm bảo hợp lý, chứ không phải là đảm bảo tuyệt đối, là các mục tiêu sẽ được thực hiện. Vì những sự kiện không chắc chắn và rủi ro thuộc về tương lai, do đó không ai có thể dự đoán tuyệt đối chính xác. Hơn nữa, QTRR được vận hành bởi con người do đó những sai sót do con người gây ra là không thể tránh. Mặt khác, các hoạt động kiểm soát dù có được thiết kế và hoàn thiện đến thế nào đi chăng nữa vẫn không thể kiểm soát hết được tất cả các sự kiện liên quan đến đơn vị.

QTRR là phương tiện để đạt được mục tiêu: trong phạm vi sứ mạng của đơn vị đã được thiết lập, các nhà quản lý xây dựng các mục tiêu chiến lược, lựa chọn cách thức tiến hành và thiết lập các mục tiêu liên quan. ERM, với sự phân loại các mục tiêu, sẽ phân định rõ từng nội dung mà đơn vị hướng đến.

Các mục tiêu của đơn vị bao gồm:

• Mục tiêu chiến lược: liên quan đến các mục tiêu tổng thể và phục vụ cho sứ mạng của đơn vị.
• Mục tiêu hoạt động: liên quan đến việc sử dụng các nguồn lực một cách hữu hiệu và hiệu quả.
• Mục tiêu báo cáo: liên quan đến sự trung thực và đáng tin cậy của các bao cáo liên quan đến đơn vị
• Mục tiêu tuân thủ: đảm bảo hợp lý việc chấp hành luật pháp và các quy định