Công ty luật Minh Khuê www.luatminhkhue.vn TIÊU CHUẨN QUỐC GIA TCVN ISO/TR 31004:2015 ISO/TR 31004:2013 QUẢN LÝ RỦI RO - HƯỚNG DẪN ÁP DỤNG TCVN ISO 31000 Risk management - Guidance for the implementation of ISO 31000 Lời nói đầu TCVN ISO 31004:2015 hoàn toàn tương đương với ISO 31004:2013 TCVN ISO 31004:2015 Ban kỹ thuật Tiêu chuẩn Quốc gia TCVN/TC 176 Quản lý chất lượng đảm bảo chất lượng biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học Công nghệ công bố Lời giới thiệu 0.1 Khái quát Tổ chức sử dụng phương pháp khác để quản lý tác động chắn tới mục tiêu mình, nghĩa quản lý rủi ro, cách phát hiểu rủi ro điều chỉnh cần thiết Tiêu chuẩn nhằm hỗ trợ tổ chức để nâng cao hiệu lực nỗ lực quản lý rủi ro họ phù hợp với TCVN ISO 31000 TCVN ISO 31000 đưa cách tiếp cận chung quản lý rủi ro, áp dụng cho tất tổ chức, giúp đạt mục tiêu họ Tiêu chuẩn dự định sử dụng người tổ chức đưa định có ảnh hưởng đến việc đạt mục tiêu tổ chức, bao gồm người chịu trách nhiệm quản trị người cung cấp hướng dẫn quản lý rủi ro dịch vụ hỗ trợ Tiêu chuẩn dự định sử dụng quan tâm đến rủi ro việc quản lý mình, bao gồm giáo viên, sinh viên, nhà lập pháp quản lý Tiêu chuẩn dự định sử dụng đồng thời với TCVN ISO 31000 áp dụng cho loại hình tổ chức với quy mơ khác Các khái niệm định nghĩa trung tâm để hiểu TCVN ISO 31000 giải thích Phụ lục A Điều đưa phương pháp luận chung giúp tổ chức đưa xếp quản lý rủi ro có phù hợp với TCVN ISO 31000 cách có kế hoạch cấu trúc Điều tạo cách điều chỉnh động thay đổi xảy môi trường bên bên tổ chức Các phụ lục cung cấp dẫn, ví dụ giải thích việc áp dụng khía cạnh lựa chọn TCVN ISO 31000 nhằm giúp người sử dụng phù hợp với nhu cầu kinh nghiệm chun mơn họ Các ví dụ nêu tiêu chuẩn khơng áp dụng trực tiếp vào tình hay cho tổ chức cụ thể mà nhằm mục đích minh họa 0.2 Những nguyên tắc khái niệm Một số từ khái niệm cụ thể tảng để hiểu TCVN ISO 31000 tiêu chuẩn này, chúng giải thích TCVN ISO 31000:2011 (ISO 31000:2009), Điều Phụ lục A TCVN ISO 31000 nêu 11 nguyên tắc để quản lý rủi ro cách hiệu lực Vai trò nguyên tắc để thông báo hướng dẫn tất khía cạnh phương pháp tiếp cận tổ chức để quản lý rủi ro Các nguyên tắc mô tả đặc trưng quản lý rủi ro hiệu Thay đơn giản thực nguyên tắc, điều quan trọng tổ chức phải thể chúng tất khía cạnh việc quản lý Chúng dùng số kết quản lý rủi ro nâng cao giá trị cho tổ chức quản lý rủi ro cách hiệu lực Chúng ảnh hưởng đến tất yếu tố trình chuyển đổi quy định tiêu chuẩn vấn đề kỹ thuật đối tượng nêu phụ lục Những dẫn khác nêu Phụ lục B Tiêu chuẩn sử dụng hai cụm từ “lãnh đạo cao nhất” “bộ phận giám sát” “Lãnh đạo cao nhất” đề cập đến người nhóm người điều hành kiểm sốt tổ chức cấp cao nhất, “bộ phận giám sát” đề cập đến người nhóm người quản trị mặt tổ chức, đặt định hướng, sử dụng “lãnh đạo cao nhất” CHÚ THÍCH: Trong nhiều tổ chức, phận giám sát gọi Ban giám đốc, Ban đảm bảo tính tin cậy, Ban giám sát, v.v LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn QUẢN LÝ RỦI RO - HƯỚNG DẪN ÁP DỤNG TCVN ISO 31000 Risk management - Guidance for the implementation of ISO 31000 Phạm vi áp dụng Tiêu chuẩn này đưa hướng dẫn cho tổ chức quản lý rủi ro cách hiệu lực thông qua việc: áp dụng TCVN ISO 31000:2011 (ISO 31000:2009) Tiêu chuẩn đưa ra: - cách tiếp cận có cấu trúc tổ chức để chuyển xếp quản lý rủi ro phù hợp với TCVN ISO 31000 theo cách phù hợp với đặc điểm tổ chức; - giải thích khái niệm TCVN ISO 31000; - hướng dẫn khía cạnh ngun tắc khn khổ quản lý rủi ro quy định TCVN ISO 31000 Tiêu chuẩn sử dụng doanh nghiệp công, tư hay cộng đồng, hiệp hội, nhóm cá nhân CHÚ THÍCH: Để thuận tiện, tất người sử dụng tiêu chuẩn gọi thuật ngữ chung “tổ chức” Tiêu chuẩn không áp dụng riêng cho ngành công nghiệp hay lĩnh vực với loại hình rủi ro cụ thể nào, tiêu chuẩn áp dụng cho tất hoạt động cho tất phận tổ chức Tài liệu viện dẫn Tài liệu viện dẫn cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu ghi năm cơng bố áp dụng nêu Đối với tài liệu khơng ghi năm cơng bố áp dụng nhất, bao gồm sửa đổi TCVN ISO 31000:2011 (ISO 31000:2009), Quản lý rủi ro - Nguyên tắc hướng dẫn Áp dụng TCVN ISO 31000 3.1 Khái quát Điều nêu hướng dẫn cho tổ chức tiếp cận thực hành quản lý rủi ro theo TCVN ISO 31000 tiếp tục trì thực hành theo định hướng Điều nêu phương pháp luận áp dụng thích hợp, theo cách hoạch định, tổ chức không phụ thuộc vào chất cách thức quản lý rủi ro tổ chức Phương pháp luận bao gồm: - so sánh thực hành với quy định thực kế hoạch để làm vậy; - trì việc theo dõi xem xét thường xuyên để đảm bảo việc thực hành cải tiến liên tục Điều giúp tổ chức có hiểu biết toàn diện rủi ro đảm bảo rủi ro phù hợp với thái độ rủi ro tiêu chí rủi ro tổ chức Dù động áp dụng TCVN ISO 31000 việc làm kỳ vọng tạo điều kiện thuận lợi cho tổ chức quản lý tốt rủi ro, hỗ trợ cho mục tiêu Tất tổ chức quản lý rủi ro mức độ Chiến lược áp dụng TCVN ISO 31000 cần nhận biết việc tổ chức quản lý rủi ro Q trình áp dụng, mơ tả 3.2, xem xét, đánh giá cách thức thực cần thiết, điều chỉnh sửa đổi để phù hợp với TCVN ISO 31000 TCVN ISO 31000 xác định yếu tố khác khuôn khổ quản lý rủi ro Có số lợi nảy sinh yếu tố khuôn khổ lồng ghép vào hoạt động quản trị, chức trình tổ chức Điều liên quan đến tính hiệu lực mặt tổ chức, việc định đắn tính hiệu a) Khuôn khổ để quản lý rủi ro cần thực cách tích hợp thành phần khuôn khổ vào hệ thống quản lý định tổ chức, cho dù hệ thống thức hay khơng thức; q trình quản lý cải tiến cách tham khảo TCVN ISO 31000 b) Sự hiểu biết quản lý không chắn trở thành phần thiếu (các) hệ thống quản lý, thiết lập nên cách tiếp cận chung cho tổ chức c) Việc áp dụng trình quản lý rủi ro phù hợp phần với quy mô yêu cầu LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn tổ chức d) Hoạt động quản trị (nghĩa điều hành giám sát) sách, khn khổ (các) q trình quản lý rủi ro tích hợp vào cách thức quản trị tổ chức e) Việc báo cáo quản lý rủi ro tích hợp với việc báo cáo quản lý khác f) Kết thực quản lý rủi ro trở thành phần thiếu cách tiếp cận kết thực tổng thể g) Sự tương tác kết nối lĩnh vực quản lý rủi ro tách biệt tổ chức (ví dụ quản lý rủi ro doanh nghiệp, quản lý rủi ro tài chính, quản lý rủi ro dự án, quản lý an toàn an ninh, quản lý tính liên tục hoạt động kinh doanh, quản lý bảo hiểm) đảm bảo cải thiện, trọng hàng đầu vào việc thiết lập thực thành công mục tiêu tổ chức có tính đến rủi ro h) Trao đổi thông tin không chắn rủi ro đội quản lý cấp quản lý cải thiện i) Các hoạt động quản lý rủi ro tổ chức đặt trọng tâm vào việc thực thành công mục tiêu tổ chức Điều mang lại lợi ích xã hội gián tiếp bên liên quan bên ngồi khích lệ để cải thiện hoạt động quản lý rủi ro riêng j) Việc xử lý biện pháp kiểm sốt rủi ro trở thành phần khơng thể thiếu hoạt động hàng ngày 3.2 Cách thức áp dụng TCVN ISO 31000 Mặc dù TCVN ISO 31000 có giải thích cách thức để quản lý rủi ro cách hiệu lực tiêu chuẩn khơng diễn giải cách thức tích hợp quản lý rủi ro vào trình quản lý tổ chức Tuy vậy, dù tổ chức khác điểm khởi đầu họ khác trường hợp, họ áp dụng tiêu chuẩn nhờ cách tiếp cận áp dụng chung có hệ thống Tổ chức cần xác định liệu có cần có thay đổi khn khổ để quản lý rủi ro, trước hoạch định thực thay đổi sau theo dõi thường xuyên tính hiệu lực khn khổ sửa đổi Điều cho phép tổ chức: - thống hoạt động quản lý rủi ro với nguyên tắc quản lý rủi ro có hiệu lực nêu TCVN ISO 31000:2011 (ISO 31000:2009), Điều 3; - áp dụng trình quản lý rủi ro nêu TCVN ISO 31000:2009, Điều 5; - đáp ứng đặc tính quản lý rủi ro nâng cao nêu TCVN ISO 31000:2011 (ISO 31000:2009), A.3; - nhờ đạt kết quan trọng nêu TCVN ISO 31000:2011 (ISO 31000:2009), A.2 Cách tiếp cận áp dụng cho tổ chức vốn tuân thủ TCVN ISO 31000 mong muốn liên tục cải tiến khn khổ q trình để quản lý rủi ro khuyến nghị TCVN ISO 31000:2011 (ISO 31000:2009), 4.6 5.6 Tất khía cạnh q trình chuyển đổi trợ giúp nhờ kinh nghiệm rút từ tổ chức khác họ quản lý loại hình rủi ro tương tự trải qua trình tương tự 3.3 Tích hợp ISO 31000 vào trình quản lý tổ chức 3.3.1 Khái quát TCVN ISO 31000 đưa khn khổ q trình chung để quản lý rủi ro tất phần loại hình tổ chức Điều nêu hướng dẫn cho việc tích hợp yếu tố TCVN ISO 31000 vào cách tiếp cận quản lý tổ chức, bao gồm hoạt động, trình chức tổ chức Các tổ chức lựa chọn tích hợp khái niệm TCVN ISO 31000 với trình mình, lựa chọn thiết kế thiết lập cách tiếp cận dựa TCVN ISO 31000 Điều mô tả yếu tố cốt lõi cửa khn khổ quản lý q trình, hành động cần thiết để tích hợp thành cơng yếu tố nhằm đáp ứng mục tiêu tổ chức Có nhiều cách để tích hợp TCVN ISO 31000 vào tổ chức Việc lựa chọn xếp thứ tự yếu tố cần phù hợp với nhu cầu bên liên quan tổ chức Phải thận trọng áp dụng tiêu chuẩn để đảm bảo việc tích hợp hỗ trợ cho chiến lược quản lý kinh doanh tổng thể Điều dẫn đến nỗ lực đáp ứng mục tiêu tổ chức bảo vệ tạo lập giá trị Cách tiếp cận cần phải cân nhắc đến văn hóa tổ chức, phương pháp luận quản lý dự LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn án quản lý thay đổi Điều mô tả yếu tố cốt lõi khn khổ q trình, hành động cần thiết để tích hợp thành cơng yếu tố nhằm đáp ứng mục tiêu tổ chức Áp dụng TCVN ISO 31000 trình liên tục mang tính động lặp lại Hơn nữa, việc áp dụng khuôn khổ kết nối tương hỗ với trình quản lý rủi ro nêu TCVN ISO 31000:2011 (ISO 31000:2009), Điều Sự thành công đo lường tích hợp khn khổ lẫn việc cải tiến liên tục quản lý rủi ro tồn tổ chức Việc tích hợp diễn bối cảnh động Tổ chức cần theo dõi thay đổi phát sinh trình áp dụng thay đổi đối vớt bối cảnh bên bên tổ chức Điều bao gồm nhu cầu thay với tiêu chí rủi ro tổ chức 3.3.2 Nhiệm vụ cam kết Mọi hoạt động quản lý kinh doanh việc phân tích tính hợp lý, bước q trình phân tích lợi ích - chi phí Tiếp theo định lãnh đạo phận giám sát việc thực đưa cam kết cung cấp nguồn lực cần thiết Thơng thường, q trình áp dụng bao gồm: a) Yêu cầu nhiệm vụ cam kết (nếu yêu cầu); b) Phân tích khoảng trống; c) Điều chỉnh xác lập quy mô sở nhu cầu, văn hóa, việc tạo lập bảo vệ giá trị tổ chức; d) Xem xét, đánh giá rủi ro liên quan tới việc chuyển đổi; e) Xây dựng kế hoạch kinh doanh: - thiết lập mục tiêu, thứ tự ưu tiên thước đo; - thiết lập tình kinh doanh, bao gồm phù hợp với mục tiêu tổ chức; - xác định phạm vi, trách nhiệm giải trình, khung thời gian nguồn lực; f) xác định bối cảnh áp dụng, bao gồm trao đổi thông tin với bên liên quan 3.3.3 Thiết kế khuôn khổ 3.3.3.1 Các cách tiếp cận quản lý rủi ro tổ chức cần xem xét, đánh giá, bao gồm bối cảnh văn hóa a) Điều quan trọng phải cân nhắc trách nhiệm pháp lý, chế định trách nhiệm khách hàng yêu cầu chứng nhận phát sinh từ hệ thống quản lý tiêu chuẩn quản lý mà tổ chức lựa chọn áp dụng Mục đích bước cho phép điều chỉnh cách cẩn trọng thiết kế khuôn khổ quản lý rủi ro kế hoạch áp dụng khuôn khổ quản lý rủi ro, đồng thời cho phép thống cấu, văn hóa với hệ thống quản lý chung tổ chức b) Điều quan trọng cân nhắc trình sử dụng để quản lý rủi ro lẫn khía cạnh khn khổ quản lý rủi ro có hỗ trợ việc áp dụng q trình c) Cần thiết lập tiêu chí rủi ro thích hợp Các tiêu chí rủi ro cần quán với mục tiêu tổ chức định hướng theo thái độ rủi ro tổ chức Nếu mục tiêu thay đổi, tiêu chí rủi ro cần điều chỉnh cho phù hợp Điều quan trọng việc quản lý rủi ro có hiệu lực tiêu chí rủi ro thiết lập phản ánh thái độ rủi ro mục tiêu tổ chức Để thiết kế khuôn khổ mới, cần xem xét, đánh giá cụ thể: - Các ngun tắc đặc tính, mơ tả TCVN ISO 31000; - Khuôn khổ quản lý trước mà việc xem xét, đánh giá cần so sánh cách cụ thể thực hành với yêu cầu nêu điều sau TCVN ISO 31000 (ISO 31000): - 4.3.2 (chính sách quản lý rủi ro); - 4.3.3 (trách nhiệm giải trình); - 4.3.4 (tích hợp vào q trình tổ chức); - 4.3.5 (nguồn lực); - 4.3.6 4.3.7 (các chế báo cáo trao đổi thông tin nội bên ngoài); LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Cơng ty luật Minh Kh www.luatminhkhue.vn - Q trình mà việc xem xét, đánh giá cần so sánh yếu tố trình với quy định TCVN ISO 31000:2011 (ISO 31000:2009), Điều 5, nguyên tắc tảng mà dẫn đến cung cấp sở hợp lý cho trình với nguyên tắc nêu TCVN ISO 31000:2011 (ISO 31000:2009), Điều (ví dụ liệu q trình có áp dụng thực cho việc định tất cấp hay không): - Xem xét, đánh giá xem liệu q trình có cung cấp cho người định thông tin rủi ro mà họ cần để đưa định có chất lượng đáp ứng vượt mục tiêu hay không; - Xem xét, đánh giá xem liệu cách tiếp cận quản lý rủi ro có đề cập đầy đủ rủi ro có tương tác lẫn rủi ro xảy nhiều địa điểm khác hay không 3.3.3.2 Cần xác định yêu cầu thiết kế khuôn khổ Trên sở xem xét, đánh giá mô tả 3.3.3.1, tổ chức cần định khía cạnh cách tiếp cận rủi ro tại: a) tiếp tục sử dụng tương lai (có thể mở rộng cho loại hình định khác); b) cần sửa đổi nâng cao; c) khơng cịn tạo giá trị gia tăng cần ngừng áp dụng; Tổ chức cần xây dựng, lập thành tài liệu trao đổi thông tin việc quản lý rủi ro Quy mô nội dung tiêu chuẩn, hướng dẫn mơ hình nội tổ chức có liên quan đến quản lý rủi ro cần phản ánh đặc điểm văn hóa bối cảnh tổ chức Các tài liệu quy định rằng: - Các rủi ro quản lý toàn tổ chức nhờ sử dụng phương pháp tiếp cận qn; - Có cấp trách nhiệm giải trình khác quản lý rủi ro; - Năng lực nhiệm vụ tất người có trách nhiệm giải trình quản lý rủi ro xác định rõ ràng; - Cả bên liên quan nội bên tham gia cách phù hợp thông qua việc trao đổi thông tin tham vấn tồn diện; - Các thơng tin rủi ro đầu từ tất ứng dụng trình quản lý rủi ro ghi nhận cách quán an toàn, thuận tiện cho việc tiếp cận Cũng cần có quy định việc xem xét định kỳ yêu cầu, công cụ, đào tạo nguồn lực tổ chức quản lý rủi ro, sau có thay đổi tổ chức bối cảnh tổ chức việc theo dõi xem xét liên tục xác định thấy có điểm yếu khơng hiệu 3.3.3.3 Cần xác định phạm vi, mục tiêu, tiêu, nguồn lực biện pháp thành công tiêu chí theo dõi, xem xét giai đoạn thực 3.3.3.4 Cần thiết lập chế báo cáo trao đổi thông tin nội bên 3.3.4 Thực quản lý rủi ro Cần có kế hoạch thực chi tiết để đảm bảo thay đổi cần thiết thực theo trình tự rõ ràng phải cung cấp, đưa vào sử dụng nguồn lực cần thiết Kế hoạch cần hỗ trợ nguồn lực cần thiết trình thực điều địi hỏi việc phân bổ khoản ngân sách cụ thể mà việc phân bổ cần phần cơng việc q trình lập kế hoạch Bản thân kế hoạch cần đối tượng đánh giá rủi ro theo TCVN ISO 31000:2011 (ISO 31000:2009), 5.4 hành động cần thiết áp dụng để xử lý rủi ro Kế hoạch cần vừa yêu cầu, vừa cho phép việc theo dõi báo cáo tiến triển với lãnh đạo cao phận giám sát cần có điều khoản quy định xem xét định kỳ kế hoạch Do đó, kế hoạch cần: - Nêu chi tiết hoạt động cụ thể thực hiện, trình tự, người thực hiện, tiến độ hoàn thành: hành động bao gồm việc sửa đổi tiêu chuẩn, hướng dẫn nội bộ; giải thích đào tạo để xây dựng lực thực điều chỉnh trách nhiệm giải trình; - Xác định hành động thực phần số hành động có phạm vi rộng gắn kết với phát triển tổ chức, hành động có mối liên hệ khác (ví dụ LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn xây dựng tài liệu đào tạo tham gia giảng viên); - Xác định trách nhiệm thực hiện; - Kết hợp với chế báo cáo việc hoàn thành, tiến triển vấn đề; - Xác định ghi nhận tiêu chí dẫn đến xem xét lại kế hoạch Việc thực địi hỏi khoảng thời gian để hồn thành tiến hành theo giai đoạn Thực hành thông thường cần áp dụng giành ưu tiên cho thay đổi có ảnh hưởng lớn thực thành cơng mục đích cuối Việc thực xảy giai đoạn khác lớn mạnh cấu tổ chức Điều có hiệu lực tích hợp việc thực với chương trình thay đổi khác 3.3.5 Theo dõi xem xét Cần theo dõi, phân tích báo cáo kịp thời tiến triển so với kế hoạch cho lãnh đạo cao (hàng tháng, hàng quý, v.v ) Các báo cáo tiến triển so với kế hoạch kết thực so với thước đo cần xác nhận định kỳ theo trình xem xét khách quan Hoạt động xem xét cần bao gồm việc kiểm tra khn khổ, q trình, thân rủi ro thay đổi môi trường Cần có xem xét định kỳ chiến lược thực đo lường tiến bộ, tính quán sai lệch so với kế hoạch quản lý rủi ro Các xem xét thực tiêu chí xem xét đề kế hoạch khởi thực Cần xem xét, đánh giá kết thực sở tính hiệu lực thay đổi quản lý rủi ro, để xác định học kinh nghiệm hội cải tiến Các vấn đề quan trọng có từ việc theo dõi thực kế hoạch cần báo cáo cho người có trách nhiệm Các kết bước phản hồi vào bối cảnh chức khác, cho rủi ro xác định, thay đổi rủi ro phát hiện, tình trạng thực khn khổ ghi nhận để cải tiến [(xem TCVN ISO 31000:2011 (ISO 31000:2009), 4.6 5.7] 3.4 Cải tiến liên tục Cả khuôn khổ quản lý rủi ro trình quản lý rủi ro cần xem xét để đánh giá xem thiết kế chúng có phù hợp việc thực có làm gia tăng giá trị cho tổ chức dự định hay không Nếu kết việc theo dõi xem xét cho thấy cải tiến thực chúng cần áp dụng sớm tốt Đối với tổ chức chuyển sang áp dụng TCVN ISO 31000, cần có nhận thức lĩnh hội vững vàng hội để cải tiến Các bước tương tự sử dụng q trình chuyển đổi hữu ích cho việc thực kiểm tra định kỳ nhằm phát xem liệu có chệch hướng khỏi trình hay khơng Có ngun dẫn đến việc cải tiến liên tục, bao gồm: - việc theo dõi xem xét thường xuyên khuôn khổ trình quản lý rủi ro để từ xác định hội cải tiến; - kiến thức có được; - thay đổi thật sự, đáng kể bối cảnh nội bên tổ chức Phụ lục A (Tham khảo) Các khái niệm nguyên tắc tảng A.1 Khái quát Phụ lục giải thích số từ khái niệm cụ thể (ví dụ “rủi ro”) sử dụng hàng ngày chúng có số ngữ nghĩa, TCVN ISO 31000 tiêu chuẩn chúng có ngữ nghĩa đặc trưng riêng TCVN ISO 31000 định nghĩa rủi ro “tác động không chắn lên mục tiêu” CHÚ THÍCH: Các độc giả nên làm quen với thuật ngữ định nghĩa phụ lục LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn A.2 Rủi ro mục tiêu Các tổ chức thuộc loại hình phải đối mặt với nhân tố ảnh hưởng bên bên ngồi làm cho tổ chức khơng chắn việc quy mô họ đạt vượt mục tiêu Ảnh hưởng khơng chắn tới mục tiêu tổ chức “rủi ro” Những mục tiêu nêu TCVN ISO 31000 tiêu chuẩn kết mà tổ chức tìm kiếm Thơng thường, biểu cao ý định mục đích mà tổ chức tìm kiếm, chúng thường phản ánh kết rõ ràng ngầm hiểu, biểu thị giá trị địi hỏi nó, bao gồm việc xem xét trách nhiệm xã hội yêu cầu pháp lý luật định Nói chung, quản lý rủi ro triển khai thuận lợi mục tiêu thể hạng mục đo lường Thường có mục tiêu phức tạp, chứa nhiều hạng mục, nhiên, không quán mục tiêu nguồn rủi ro Khả xảy khơng xét góc độ kiện xảy mà toàn khả hệ xảy từ kiện mức độ hệ kể tích cực lẫn tiêu cực Thơng thường, có nhiều hệ phát sinh từ kiện hệ có khả riêng Mức rủi ro biểu khả xảy hệ cụ thể (bao gồm quy mơ/độ lớn) chấp nhận với thực tiễn Các hệ liên quan trực tiếp đến mục tiêu chúng nảy sinh xảy hay khơng xảy Rủi ro tác động không chắn mục tiêu, lĩnh vực hay hoàn cảnh nào, kiện hay mối nguy (hoặc nguồn rủi ro khác) khơng mơ tả rủi ro Rủi ro cần mô tả kết hợp khả xảy kiện (hay mối nguy nguồn gốc rủi ro) hệ Sự hiểu biết rủi ro có hệ tích cực hay tiêu cực khái niệm trung tâm quan trọng mà người lãnh đạo phải biết Rủi ro đặt cho tổ chức vào hội, mối đe dọa hai Rủi ro phát sinh bị thay đổi đưa định Do ln có khơng chắn gắn liền với định việc định, nên ln có rủi ro Người có trách nhiệm việc đạt mục tiêu cần đánh giá rủi ro phần tất yếu hoạt động tổ chức thường tạo bị thay đổi đưa định Phải biết hiểu rủi ro liên quan đến định thời điểm định phải chủ động chấp nhận rủi ro Điều thực sử dụng q trình quản lý rủi ro nêu TCVN ISO 31000 A.3 Sự không chắn Sự không chắn gắn liền với mục tiêu, làm phát sinh rủi ro bắt nguồn từ mơi trường bên bên ngồi mà tổ chức hoạt động Sự khơng chắn là: - Hệ yếu tố xã hội học, tâm lý văn hóa có tính tảng liên quan đến hành vi người; - Được phát sinh trình tự nhiên đặc trưng thay đổi vốn có, ví dụ thời tiết, biến động kết quan trắc cộng đồng - Nẩy sinh thơng tin khơng đầy đủ, khơng xác, ví dụ: thiếu thông tin, diễn giải sai, không đáng tin cậy, mâu thuẫn nội truy cập liệu; - Thay đổi theo thời gian, ví dụ cạnh tranh, xu hướng, thơng tin mới, thay đổi yếu tố bản; - Được tạo cảm giác không chắn khác phận tổ chức bên liên quan A.4 Kiểm soát xử lý rủi ro Kiểm soát biện pháp tổ chức thực để điều chỉnh rủi ro nhằm tạo khả đạt mục tiêu Kiểm sốt điều chỉnh rủi ro cách thay đổi nguồn phát sinh khơng chắn (ví dụ, làm cho nhiều theo xu hướng có khả xảy ra) cách thay đổi mức độ hệ thời điểm xảy Xử lý rủi ro, định nghĩa TCVN ISO 31000, trình nhằm thay đổi tạo cách kiểm sốt kể việc trì rủi ro A.5 Khuôn khổ quản lý rủi ro Khuôn khổ quản lý rủi ro bao gồm việc bố trí, xếp (bao gồm thực hành, trình, hệ LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn thống, nguồn lực văn hóa) hệ thống quản lý tổ chức mà hệ thống cho phép quản lý rủi ro Các đặc điểm khuôn khổ mức độ mà theo tích hợp vào hệ thống quản lý tổ chức, giúp đánh giá cách rủi ro quản lý hiệu lực Khuôn khổ quản lý phải bao gồm tuyên bố rõ ràng lãnh đạo mục đích tổ chức liên quan đến quản lý rủi ro (được mô tả TCVN ISO 31000 nhiệm vụ cam kết) lực cần thiết (các nguồn lực khả năng) để đạt mục đích Năng lực khơng tồn hệ thống phận xác lập đơn biệt mà bao gồm nhiều yếu tố tích hợp q trình quản lý tổng thể tổ chức Chúng phận để phục vụ cho công tác quản lý rủi ro (ví dụ hệ thống thơng tin chuyên ngành), khía cạnh hệ thống quản lý tổ chức (ví dụ thực hành nguồn nhân lực tổ chức) A.6 Các tiêu chí rủi ro Tiêu chí rủi ro thơng số tổ chức xác lập, cho phép mô tả rủi ro đưa định mức ý nghĩa rủi ro mà nó, tổ chức phải cân nhắc thái độ rủi ro Những định cho phép đánh giá rủi ro lựa chọn cách xử lý A.7 Quản lý, quản lý rủi ro việc quản lý rủi ro Quản lý bao gồm hoạt động kết hợp để đạo kiểm soát tổ chức việc theo đuổi mục tiêu Quản lý rủi ro phần khơng thể thiếu quản lý bao gồm hoạt động phối hợp liên quan tới tác động khơng chắn mục tiêu Đó lý sao, để có hiệu lực, điều quan trọng quản lý rủi ro phải tích hợp đầy đủ vào hệ thống quản lý trình quản lý tổ chức Trong tiêu chuẩn này, TCVN ISO 31000, khái niệm “quản lý rủi ro” đề cập cấu kiến trúc mà tổ chức sử dụng (các nguyên tắc, khuôn khổ trình) để quản lý rủi ro cách hiệu lực khái niệm “việc quản lý rủi ro” đề cập đến việc áp dụng cấu kiến trúc cho định, hoạt động rủi ro cụ thể Phụ lục B (tham khảo) Áp dụng nguyên tắc TCVN ISO 31000 B.1 Khái quát Trong tất tổ chức quản lý rủi ro mức độ định TCVN ISO 31000:2011 (ISO 31000:2009) thiết lập mười nguyên tắc cần thỏa mãn để thực quản lý rủi ro hiệu lực Các nguyên tắc nêu hướng dẫn về: a) Cơ sở để quản lý rủi ro có hiệu lực (ví dụ quản lý rủi ro tạo bảo vệ giá trị); b) Những đặc điểm quản lý rủi ro cho phép quản lý rủi ro có hiệu lực, ví dụ ngun tắc b), quy định việc quản lý rủi ro phần thiếu tất trình tổ chức Trong TCVN ISO 31000, nguyên tắc tóm tắt qua vài từ tiêu đề nó, kèm phần giải thích cụ thể hóa lời để hỗ trợ Tất mười nguyên tắc cân nhắc thiết kế mục tiêu quản lý rủi ro tổ chức, nhiên, ý nghĩa nguyên tắc riêng biệt thay đổi tùy theo phần khn khổ tổ chức xem xét thay đổi việc áp dụng cụ thể họ Việc áp dụng thành công nguyên tắc giúp xác định tính hiệu lực hiệu hoạt động quản lý rủi ro tổ chức Luôn phải ghi nhớ đủ mười nguyên tắc này, cho dù ý nghĩa nguyên tắc riêng biệt thay đổi tùy theo phần khn khổ quản lý xem xét Mặc dù nguyên tắc diễn tả cách, cách áp dụng nguyên tắc lại đòi hỏi phải am hiểu kỹ để tạo tác động chúng sở liên tục cải tiến Sau đó, kết phân tích cần phản ánh thiết kế thay đổi khuôn khổ (ví dụ việc giao trách nhiệm, cung cấp việc đào tạo, thông tin với bên liên quan thiết kế để giám sát xem xét lại thường xuyên kết hoạt động quản lý rủi ro) LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Phụ lục cung cấp hướng dẫn cách thức áp dụng nguyên tác ra, số nguyên tắc, cịn có phần hỗ trợ thực tiễn nêu riêng phần có đóng khung B.2 Các nguyên tắc B.2.1 Quản lý rủi ro tạo bảo vệ giá trị B.2.1.1 Nguyên tắc a) Quản lý rủi ro tạo bảo vệ giá trị Quản lý rủi ro góp phần vào việc đạt mục tiêu cải tiến việc thực hiện, an toàn sức khỏe người, an ninh, tuân thủ luật định chế định, chấp nhận công chúng, bảo vệ môi trường, chất lượng sản phẩm, quản lý dự án, hiệu hoạt động, quản trị uy tín B.2.1.2 Áp dụng nguyên tắc Mục đích quản lý rủi ro tạo bảo vệ giá trị cách giúp cho tổ chức đạt mục tiêu Nguyên tắc giúp cho tổ chức xác định xử lý yếu tố bên bên ngồi làm phát sinh gia tăng không chắn liên quan đến mục tiêu Mối liên hệ tính hiệu lực quản lý rủi ro cách để góp phần vào thành công tổ chức phải chứng minh truyền đạt rõ ràng Nguyên tắc nêu rõ, khơng nên quản lý rủi ro lợi ích riêng mà phải quản lý rủi ro cho mục tiêu đạt mà kết thực lại nâng cao Có thuộc tính đại lượng khó đo trực tiếp (ví dụ đo tiền), chúng đóng góp mạnh mẽ cho kết thực hiện, cho uy tín việc tuân thủ pháp luật Các giá trị người, xã hội sinh thái đặc biệt quan trọng việc quản lý an ninh, an toàn rủi ro liên quan đến việc tuân thủ, hay tương tự, rủi ro có liên quan tới tài sản vơ hình, vậy, cần tạo đại lượng biểu đạt nhờ sử dụng mơ tả định tính khơng phải nhờ thước đo định lượng B.2.2 Quản lý rủi ro phần không tách rời tất trình tổ chức B.2.2.1 Nguyên tắc b) Quản lý rủi ro phần không tách rời tất trình tổ chức Quản lý rủi ro hoạt động độc lập, tách biệt với hoạt động q trình tổ chức Quản lý rủi ro phần trách nhiệm quản lý phần thiếu tất trình tổ chức, bao gồm trình hoạch định chiến lược, tất dự án quản lý thay đổi B.2.2.2 Áp dụng nguyên tắc Các hoạt động tổ chức, bao gồm định ban hành làm phát sinh, gia tăng rủi ro Những thay đổi bối cảnh bên ngồi nằm ngồi tầm kiểm sốt ảnh hưởng tổ chức làm phát sinh, rủi ro Tất hoạt động trình tổ chức diễn dù mơi trường bên bên ngồi, có khơng chắn Nó liên quan nội dung sau: a) Khuôn khổ quản lý rủi ro cần phải thực cách kết hợp thành phần vào hệ thống quản lý định chung tổ chức, cho dù hệ thống thức hay khơng thức; q trình quản lý cải thiện cách tham khảo TCVN ISO 31000; b) Quá trình quản lý rủi ro phần gắn liền hoạt động tạo rủi ro; không, tổ chức thấy cần thiết để điều chỉnh định sau hiểu rủi ro liên quan; c) Nếu chưa có hệ thống quản lý thức, áp dụng khn khổ quản lý rủi ro để sử dụng cho mục đích Nếu việc quản lý rủi ro khơng tích hợp vào hoạt động q trình quản lý, coi nhiệm vụ bổ sung mang tính quản trị, xem công việc điều hành văn phịng khơng phải dạng cơng việc tạo bảo vệ giá trị Có hai phương pháp để áp dụng nguyên tắc nêu đây: - Đưa vào giai đoạn lập khuôn khổ quản lý rủi ro (bao gồm việc trì cải tiến) - Đưa vào việc áp dụng trình quản lý rủi ro để định hoạt động liên quan Phương pháp biểu thị ý định tổ chức quản lý rủi ro cần nêu tương tự cách mà LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn thể ý định khác tổ chức (ví dụ nhiệm vụ cam kết) (xem Phụ lục C) Bất có thể, thành phần khác khuôn khổ quản lý rủi ro cần lồng ghép vào thành phần hệ thống quản lý có (Chỉ dẫn chi tiết xem Phụ lục F TCVN ISO 31000) Các tổ chức đánh giá đóng vai trị quan trọng, chẳng hạn thơng qua việc tìm hiểu xem lãnh đạo định kiểm tra xem liệu định có đưa vào triển khai cách thích hợp q trình quản lý rủi ro B.2.3 Quản lý rủi ro phần việc định B.2.3.1 Nguyên tắc c) Quản lý rủi ro phần việc định Quản lý rủi ro giúp người định đưa lựa chọn sáng suốt, hành động ưu tiên phân biệt kế hoạch hành động thay B.2.3.2 Áp dụng nguyên tắc Nguyên tắc nêu rằng, quản lý rủi ro cung cấp tảng cho việc định đắn Quản lý rủi ro cần lồng ghép vào hoạt động hỗ trợ cho việc đạt mục tiêu trình định Quá trình định cần đánh giá cách quán cần thiết, cách xử lý rủi ro Chấp nhận hay không chấp nhận định liên quan đến rủi ro, điều quan trọng hiểu biết rủi ro liên quan hai trường hợp Quản lý rủi ro cần phải áp dụng phần định, phải thực thời điểm định (nghĩa chủ động) khơng phải sau có định (tính bị động - đối phó) Ví dụ như: - Khi định vấn đề chiến lược cần cân nhắc bất ổn liên quan đến thay đổi yếu tố môi trường, thay đổi nguồn lực tổ chức; - Quá trình đổi nên tiến hành sở cân nhắc không khơng chắn có định thành cơng việc đổi mới, mà rủi ro liên quan đến người, xã hội, an toàn khía cạnh mơi trường đổi mới, việc phải xử lý theo yêu cầu pháp luật ví dụ an tồn sản phẩm); - Các kế hoạch gắn với vốn đầu tư lớn phải xác định mốc trọng yếu định mà phải tiến hành đánh giá rủi ro Chính sách tổ chức quản lý rủi ro cách thức mà truyền đạt cần phản ánh nguyên tắc Khi thiết lập phần khác khuôn khổ ta cần cân nhắc cách đưa định cho trình áp dụng cách hiệu quán tất bước đưa định, ví dụ quản lý dự án, thẩm định đầu tư, mua sắm Người có trách nhiệm định chung tổ chức phải hiểu sách quản lý rủi ro tổ chức phải đáp ứng yêu cầu cụ thể để có lực áp dụng quy trình quản lý rủi ro việc định Điều địi hỏi phải có phân định rõ ràng trách nhiệm vị trí, việc hỗ trợ đào tạo kỹ cách xem xét kết thực LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn B.2.11.2 Áp dụng nguyên tắc Cải tiến liên tục kết hoạt động tổ chức cần gắn kết tương quan với việc cải tiến liên tục kết hoạt động quản lý rủi ro Việc cải tiến quản lý rủi ro, sở định dựa rủi ro, làm giảm không chắn việc đạt mục tiêu, giảm thiểu biến động tăng tính linh hoạt Tuy nhiên, cần thận trọng để không đặt kết thực quản lý rủi ro cách phức tạp đến mức bị áp lực cho việc theo đuổi hội tính linh hoạt hành động phản hồi Thay vào đó, tầm quan trọng nguyên tắc nằm việc tổ chức nhớ để cảnh báo hội để cải tiến Những hội phát sinh nội (ví dụ học hỏi từ cố báo cáo) bên ngồi (ví dụ sẵn có công cụ kiến thức để cải tiến quản lý rủi ro) Nguyên tắc có liên quan tới việc thường xuyên tìm kiếm cải tiến việc quản lý rủi ro hiệu quả, ví dụ: triển khai công nghệ giúp kết nối tốt thông tin cho người định Mục tiêu cải tiến liên tục phải nêu rõ ràng sách quản lý rủi ro tổ chức truyền đạt thường xuyên theo hai cách thức khơng thức Cải tiến liên tục bao gồm: - Cải tiến mức độ tích hợp hoạt động quản lý rủi ro vào hoạt động chung; - Nâng cao chất lượng đánh giá rủi ro; - Cải tiến khn khổ quản lý, ví dụ chất lượng cách tiếp cận thông tin; - Cải tiến tốc độ việc định Cải tiến liên tục dựa số định tính định lượng tiến Các tổ chức sử dụng cách tiếp cận giai đoạn mơ hình xác nhận nên thiết kế số cho chúng động lực cho việc cải tiến liên tục dựa nguồn lực đặc điểm văn hóa tổ chức Mọi tổ chức nên ghi nhận nhiều nỗ lực người, thành cơng ni dưỡng thành cơng Mục đích việc quản lý rủi ro hiệu lực thực chất nằm việc nâng cao khả để tổ chức đạt đầy đủ mục tiêu Một tổ chức đạt tính hiệu lực quản lý rủi ro nhanh, thực mục tiêu hiệu Thực ra, số trường hợp, số cải tiến đòi hỏi thời gian đạt được, ví dụ số u cầu phân bổ kinh phí, lập kế hoạch triển khai cẩn thận Các kế hoạch để cải tiến cần cân nhắc tính ưu tiên lợi ích liên quan có cách theo dõi tiến triển Hỗ trợ thực tế: - Khi sử dụng yếu tố việc theo dõi xem xét cấu quản lý, hàng năm phải xem xét kết thực so với nguyên tắc quản lý rủi ro xem xét cải tiến thiết kế - Cần đánh giá, xem xét tính đầy đủ, khả sử dụng hiệu lực khuôn khổ quản lý rủi ro - Sử dụng hệ thống báo cáo cố để tiến hành phân tích ngun nhân gốc rễ, tìm kiếm khơng nguyên nhân gắn với vụ việc, mà đặc điểm khuôn khổ quản lý rủi ro tạo khả cho cố xảy - Cần theo dõi kết thành cơng (ví dụ dự án hạn, hạn mức kinh phí) để hiểu tính khn khổ quản lý rủi ro gây khả cho cố xảy Phụ lục C (Tham khảo) Thể nhiệm vụ cam kết C.1 Khái quát Phụ lục cung cấp hướng dẫn chiến lược giúp tổ chức biểu thị trao đổi thông tin nhiệm vụ cam kết việc thông tin, truyền đạt việc Để nhiệm vụ cam kết có hiệu lực, lãnh đạo cao phận giám sát tổ chức cần nêu rõ ràng cho bên liên quan biết cách tiếp cận việc quản lý rủi ro thích hợp, lập thành văn trao đổi thông tin việc Nhiệm vụ quản lý rủi ro thường liên quan đến thay đổi hành vi, tập quán, văn hóa, sách, q trình kết thực dự định việc quản lý rủi ro phản ánh khuôn khổ quản lý rủi ro Nhiệm vụ cam kết LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn tuyên bố ngắn gọn sách phổ biến rộng rãi Triển khai nhiệm vụ liên quan đến việc định chuỗi hành động đòi hỏi, việc tạo điều kiện thực Lúc vậy, tổ chức tồn tại, ln cần có tham gia người có thẩm quyền để mang lại thay đổi Khơng có nhiều dẫn việc xác định trình cần ưu tiên hành động, ngoại trừ, lúc, có cam kết tương ứng điều Nhiệm vụ cam kết phần khuôn khổ quản lý rủi ro đồng thời cần phần khuôn khổ quản lý quản trị tổ chức cần tác động đến thiết kế loại hình khn khổ Nhiệm vụ cam kết cần phản ánh mười nguyên tắc nêu TCVN ISO 31000:2011 (ISO 31000:2009), Điều Trong thực tế, nhiệm vụ cam kết thể tiếp nhận theo cách ngầm hiểu rõ ràng Những thể ngầm hiểu (ví dụ hành động thường ngày lãnh đạo cấp cao hay phận giám sát bối cảnh văn hóa hành chấp nhận tổ chức) thường tạo thúc đẩy mạnh mẽ 80 với cách biểu thị công khai (ví dụ sách quản lý rủi ro) C.2 Phương pháp biểu thị nhiệm vụ cam kết C.2.1 Các đặc điểm Nhiệm vụ cam kết cần đáp ứng tiêu chí sau: a) Cần phù hợp với kế hoạch chiến lược; mục tiêu, sách, phong cách trao đổi thông tin hệ thống quản lý tổ chức; b) Cần phù hợp với tiêu chí rủi ro mà phận giám sát xác định; c) Cần đáp ứng nguyên tắc TCVN ISO 31000 phải hướng tới cách quản lý rủi ro hoàn thiện nêu TCVN ISO 31000:2011 (ISO 31000:2009), Phụ lục A; d) Cần cụ thể, rõ ràng để tạo thuận lợi cho việc trao đổi thông tin kiểm tra để bên bên tổ chức hiểu thấu đáo; e) Cần có kỳ vọng hợp lý việc thực thành công; f) Cần đề cập đến trách nhiệm chủ sở hữu rủi ro Khi nhiệm vụ quản lý rủi ro thực cam kết tổ chức quản lý rủi ro chưa thực đáp ứng tiêu chí khía cạnh ngầm hiểu công bố rõ ràng việc cần thay đổi VÍ DỤ: Nếu phận giám sát lãnh đạo cao ban hành định định khơng đề cập đầy đủ việc đánh giá rủi ro, dấu hiệu rõ ràng tổ chức không đảm bảo cam kết việc thấu hiểu rủi ro tổ chức Một phần quan trọng chấp nhận nhiệm vụ sửa đổi cần xây dựng kế hoạch để thay đổi hiểu biết địi hỏi phải thay đổi Mục đích kế hoạch đảm bảo nhiệm vụ lợi ích thấu hiểu rộng khắp tin tưởng tổ chức cam kết quán nhiệm vụ hành vi tương ứng Đó hành vi tổ chức cách so sánh hành vi với tuyên bố công khai nhiệm vụ tạo tác động lớn để xác định nhiệm vụ thực chấp nhận bên liên quan khác chấp nhận hay không C.2.2 Thiết lập trao đổi thơng tin sách cam kết quản lý rủi ro Một phương thức để biểu thị thông tin nhiệm vụ theo cách rõ ràng thông qua việc thiết lập sau trao đổi thơng tin sách quản lý rủi ro TCVN ISO 31000:2011 (ISO 31000:2009), 4.3.2, xác định tổ chức không cần nêu rõ ràng sách quản lý rủi ro mà cịn cần trao đổi thơng tin sách bên bên tổ chức TCVN ISO 31000:2011 (ISO 31000:2009), 4.3.2, xác định vấn đề cụ thể thường cần phản ánh sách Luôn phải ghi nhớ nguyên tắc g) (tức quản lý rủi ro phải phù hợp), việc biểu thị sách cần phù hợp, quán với phương thức chung mà tổ chức vận hành Nếu khơng, việc biểu thị khơng xem có liên quan đến phần hệ thống chung mà tổ chức vận hành Đối với tổ chức lớn hơn, việc thiết lập sách thường có nghĩa triển khai tuyên bố thức nhiệm vụ việc quản lý rủi ro mà cấu thành phần sách LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn tổ chức Theo đó, việc hồn thành phận quản trị sau truyền đạt củng cố, thúc đẩy áp dụng thông qua hệ thống quản lý Hỗ trợ thực tế Lãnh đạo cao phận giám sát cần cam kết thực tham gia chìa khóa cho thành cơng chương trình quản lý rủi ro Các tổ chức nên xem xét câu hỏi sau thiết lập nhiệm vụ cam kết quản lý rủi ro: - Các mục tiêu chiến lược tổ chức gì? Chúng có rõ ràng? Những ngầm hiểu cơng bố cơng khai mục tiêu đó? - Lãnh đạo cấp cao có nắm rõ chất mức độ rủi ro quan trọng mà họ phải đối mặt mong muốn nắm hội mà họ sẵn sàng theo đuổi để đạt mục tiêu chiến lược mình? - Lãnh đạo cấp cao có cần phải thiết lập khn khổ rõ ràng để nâng cao quan điểm rủi ro tổ chức? - Lãnh đạo cao tiến hành bước để bảo đảm giám sát toàn diện việc quản lý rủi ro này? - Những người quản lý thực việc định có hiểu mức độ mà theo họ (với tư cách cá nhân) phép thể rõ với tổ chức hệ kiện tình huống? Có quan điểm rủi ro cần thực hành, hướng dẫn cho nhà quản lý để đưa định dựa rủi ro? - Những người thực có hiểu mức độ, tích hợp, liên hệ rủi ro để họ xác định xem liệu chấp nhận hay không? - Lãnh đạo cao quản lý điều hành có hiểu mức độ đan xen, tích hợp rủi ro tổ chức nói chung? - Cả nhà quản lý điều hành hiểu rõ quan điểm rủi ro cố định? Nó thay đổi môi trường điều kiện kinh doanh thay đổi Bất điều phê duyệt lãnh đạo cấp cao cần phải có vài linh hoạt triển khai - Liệu định rủi ro thực với xem xét đầy đủ hệ quả? Khuôn khổ quản lý rủi ro cần thiết để giúp nhà quản lý người điều hành nắm mức độ thích hợp rủi ro cho hoạt động sản xuất kinh doanh, đưa lợi tiềm - Những rủi ro quan trọng mà lãnh đạo cao sẵn sàng đối mặt muốn theo đuổi hội? Rủi ro quan trọng lãnh đạo cao không sẵn sàng đối mặt? Cho dù sách tình trạng rủi ro quản lý nêu dạng ln cần đồng hành với sách khác vốn định hướng để tổ chức hoạt động - Chính sách cần hỗ trợ theo cách ngầm hiểu công bố rõ ràng phải phản ánh phù hợp, phải đáp ứng tiêu chí nêu C.2.1 C.2.3 Củng cố Lãnh đạo cao phận giám sát cần chứng minh củng cố cam kết tổ chức nhiệm vụ thông qua kết hợp hành động ngầm hiểu công bố rõ ràng bao gồm: - làm rõ mục tiêu quản lý rủi ro liên kết không tách rời với mục tiêu quản lý khác; - làm rõ quản lý rủi ro tạo nên hiệu cho mục tiêu tổ chức; - đảm bảo phương thức mà nhiệm vụ hoạt động quản lý rủi ro đòi hỏi tích hợp vào q trình quản trị quản lý có đưa vào chiến lược, trình tác nghiệp, dự án; - cần thường xuyên theo dõi, báo cáo khuôn khổ quản lý rủi ro, trình tổ chức để đảm bảo trì phù hợp hiệu lực; - theo dõi việc tổ chức có hiểu biết tồn diện rủi ro rủi ro nằm khuôn khổ tiêu chí rủi ro xác định tổ chức có hành động khắc phục tiêu chí khơng đáp ứng; - nêu ví dụ liên quan đến hoạt động riêng mình; - xem xét, làm cam kết nhiệm vụ theo thời gian, kiện thay đổi lãnh đạo cao LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Áp dụng TCVN ISO 31000 diễn toàn tổ chức cách tổng thể, thực theo phần, ví dụ cơng ty C.3 Hướng dẫn xây dựng nhiệm vụ cam kết Thiết lập nhiệm vụ quản lý rủi ro địi hỏi suy xét cẩn thận, có quan điểm chiến lược tham vấn phận giám sát lãnh đạo cạo Điều giúp đảm bảo thơng qua, tổ chức tuân theo nhiệm vụ Sự biểu thị nhiệm vụ cam kết cần xem xét cấp độ chiến thuật chiến lược Tổ chức phải xác định đánh giá lực để đáp ứng mục tiêu trau dồi kỹ kinh nghiệm cần thiết để đạt chúng Ảnh hưởng thay đổi theo yêu cầu nhiệm vụ cần cân nhắc cẩn trọng Điều bao gồm việc người dẫn dắt thay đổi cần hướng dẫn hỗ trợ Đơi có thay đổi đòi hỏi triệt để phạm vi lớn (ví dụ thay đổi mơ tả cơng việc, q trình theo dõi quản lý kết quả) đòi hỏi số lực tổ chức cho thay đổi Điều cần xem xét theo bối cảnh thay đổi khác diễn cho dù có tích hợp, lồng ghép hay khơng Những người bị ảnh hưởng đáng kể thay đổi cần tham vấn, đặc biệt người lưu giữ loại liệu quản lý rủi ro tổ chức (ví dụ sức khỏe an toàn, quản lý an ninh), cho tất việc áp dụng theo thay đổi hiểu rõ Nhiệm vụ cần nêu tuyên bố sách thể cam kết tổ chức việc Hỗ trợ thực tế: Một số cách mà việc triển khai đạt bao gồm: - Xem xét cách thức để nhiệm vụ giải thích tổ chức làm cách giải thích củng cố hành động diễn ra; - Cân nhắc khung thời gian để nhiệm vụ có hiệu lực (điều cần đề cập tích hợp với mệnh lệnh khác tổ chức, không, dù khn khổ quản lý hồn chỉnh, lợi ích đầy đủ khơng thực việc quản lý rủi ro hiệu lực có); - Xác định vai trò chủ yếu để mang lại thay đổi cần thiết cách tiếp cận quản lý rủi ro đạo, dẫn dắt hoạt động quản lý rủi ro; - Xác định khía cạnh hoạt động khuôn khổ quản lý rủi ro theo dõi cấp lãnh đạo cao nhất, cấp quản lý cấp ủy ban làm để thông tin thu thập thể - Đưa kết hoạt động quản lý rủi ro thành hạng mục thường xuyên chương trình nghị tất họp ban giám sát lãnh đạo cao nhất; - Xây dựng phương pháp hiệu để thông tin kết hoạt động quản lý rủi ro (ví dụ xuất bản tin cho nhân viên theo kiểu báo cáo quản lý rủi ro); - Cân nhắc cần kích hoạt để xem xét lại nhiệm vụ Phụ lục D (tham khảo) Theo dõi xem xét D.1 Cơ sở D.1.1 Khái quát Phụ lục cung cấp dẫn theo dõi xem xét khuôn khổ trình quản lý rủi ro theo TCVN ISO 31000:2011 (ISO 31000:2009), 4.5, 4.6 5.6 Theo dõi xem xét hai hoạt động phân biệt nhằm xác định xem liệu giả định định có hiệu lực Các kỹ thuật sử dụng việc trì khn khổ quản lý rủi ro hiệu lực bước trình quản lý rủi ro - Theo dõi liên quan đến việc quan trắc thường xuyên kết thực thực tế so sánh với kết LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn dự kiến yêu cầu Nó bao gồm việc kiểm tra điều tra liên tục, việc theo dõi thực hiện, quan trắc mang tính phê phán xác định tình trạng để xác định thay đổi mức độ kết thực so với yêu cầu mong đợi, thay đổi bối cảnh - Xem xét việc kiểm tra định kỳ bất thường tình trạng tại, thay đổi môi trường, thực hành ngành công nghiệp, thực tiễn tổ chức Đây hoạt động thực để xác định phù hợp, đầy đủ hiệu lực khn khổ q trình để đạt mục tiêu nêu Việc xem xét cần cân nhắc đến kết đầu từ hoạt động theo dõi - Đánh giá trình xem xét cách hệ thống, dựa chứng để so sánh với tiêu chí khác xác định trước Trong đánh giá có xem xét khơng phải tất xem xét đánh giá Cùng với nhau, theo dõi xem xét cung cấp đảm bảo kết hoạt động quản lý rủi ro đạt mong đợi, cho dù cần cải tiến cho dù có thay đổi xảy đòi hỏi phải điều chỉnh sửa đổi khuôn khổ quản lý số khía cạnh q trình Theo dõi xem xét nhằm cung cấp đảm bảo hợp lý rủi ro quản lý đầy đủ, nhằm xác định thiếu sót quản lý rủi ro, nhằm xác định hội để cải tiến quản lý rủi ro Cả hai cần thiết để đảm bảo tổ chức trì hiểu biết rủi ro có liên quan đến với tiêu chí rủi ro đó, bám sát tuân thủ quan điểm rủi ro Cả hai yêu cầu cách tiếp cận có hệ thống tích hợp với hệ thống quản lý chung tổ chức Các hoạt động theo dõi xem xét hành động để đáp ứng với phát thường mô tả đặc trưng hệ thống đảm bảo chúng có tiềm để phát khắc phục điểm yếu trước tác động bất lợi xảy để cung cấp tin tưởng rủi ro nằm chuẩn mực tổ chức Những hoạt động sử dụng để cung cấp cho bên liên quan bên bên đảm bảo hợp lý rủi ro quản lý cách hiệu lực Do yếu tố bối cảnh bên bên thay đổi, nên ln có rủi ro Tương tự vậy, theo dõi bối cảnh bên ngồi cảnh báo cho tổ chức thay đổi dẫn đến hội để cải thiện kết thực hoạt động Bằng cách cảnh báo thay đổi vậy, kết thực hiện, không phù hợp, lần nạn, tổ chức xác định hội để cải tiến khuôn khổ quản lý quản lý rủi ro kết thực chung tổ chức Nên có chương trình toàn diện để theo dõi ghi nhận số kết thực số cần sử dụng với số kết thực khác tổ chức Chương trình cung cấp cảnh báo sớm xu hướng bất lợi, đòi hỏi phải hành động phòng ngừa can thiệp Một hành động riêng biệt theo dõi hay hành động nhằm vào rủi ro đơn lẻ hay số rủi ro có mối liên quan, cần trọng vào rủi ro hoạt động kiểm sốt mang tính phòng ngừa gắn liền với chúng D.1.2 Trách nhiệm theo dõi xem xét Trách nhiệm chung hoạt động giám sát xem xét thuộc phận theo dõi lãnh đạo cao nhà cung cấp đảm bảo, ví dụ: đánh giá nội Các chức đảm bảo chất lượng, chức xem xét độc lập theo dõi theo nghĩa pháp lý bổ sung hữu ích cho trình báo cáo quản lý chuyên ngành hoạt động cung cấp cách nhìn có tính lựa chọn Các hoạt động theo dõi xem xét cân nhắc theo nghĩa hệ thống phân cấp, thường áp dụng cấp lãnh đạo: Nếu thiết kế hoàn chỉnh, điều tạo mức đảm bảo lớn Tuy nhiên, chương trình theo dõi xem xét cần bao gồm tất ba yếu tố Chương trình theo dõi xem xét cần xác minh sách quản lý rủi ro vừa thực vừa có hiệu lực Phương cách mà lãnh đạo cấp cao phản hồi/ xử lý với kết chương trình theo dõi ảnh hưởng đến hành vi nhân viên điều quan trọng lãnh đạo cấp cao phải hành động với vai trò mẫu mực D.1.3 Xem xét độc lập Cho dù tiến hành bên bên ngồi, bên tham gia, tính độc lập yêu cầu xuất phát điểm mối quan hệ người xem xét, người đánh giá LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Độc lập sở cho tính khách quan việc xem xét tính khách quan kết luận xem xét Khi có thể, người xem xét người đánh giá phải độc lập hoạt động xem xét đánh giá trường hợp, họ cần hành động theo phương cách cho không bi lệch xung đột lợi ích Đối với đánh giá nội bộ, chuyên gia đánh giá cần độc lập nhà quản lý điều hành chức đánh giá Những người xem xét đánh giá cần giữ tính khách quan suốt trình đánh giá/ xem xét để đảm bảo phát kết luận dựa chứng Đối với tổ chức nhỏ, khả để người tiến hành xem xét hay đánh giá hoàn toàn độc lập hoạt động xem xét đánh giá thường khó, nhiên cần cố gắng thực để loại bỏ định kiến thúc đẩy tính khách quan Tính độc lập người xem xét/người đánh giá giúp cho xem xét đánh giá công cụ hiệu đáng tin cậy, hỗ trợ sách hoạt động kiểm sốt rủi ro cách cung cấp thơng tin mà theo tổ chức hành động để cải thiện kết thực Những việc xem xét tập trung vào việc tuân thủ tiêu chuẩn (nội hay bên ngoài) thủ tục yêu cầu pháp lý Thường chúng xem xét phù hợp, hiệu hiệu lực hoạt động kiểm sốt, ví dụ: xem xét liệu hoạt động quản lý rủi ro có cung cấp giá trị nêu nguyên tắc TCVN ISO 31000 Nhiều tổ chức có chức tư vấn xem xét hệ thống quản lý (như cử chuyên gia tư vấn quản lý rủi ro, chuyên gia phù hợp, cán quản lý đảm bảo chất lượng), người thực việc xem xét thường ngày, đánh giá nội bộ, lập báo cáo thông thường kết xem xét họ cho phận giám sát lãnh đạo cao Mục tiêu xem xét cung cấp cho phận giám sát cho lãnh đạo cao đảm bảo rằng: - Các tiêu chí rủi ro phù hợp với mục tiêu bối cảnh mà tổ chức hoạt động; - Một q trình thích hợp có hệ thống áp dụng để xác định, đánh giá xử lý rủi ro có tin cậy rằng, trình hoạt động liên tục; - Các rủi ro chấp nhận nhận dạng, lưu ý cách xử lý rủi ro thích hợp; - Những rủi ro khơng thể chấp nhận được kiểm soát cách phù hợp có hiệu lực, khơng biện pháp kiểm sốt cần điều chỉnh; - Tiến độ thích hợp thực với phương án xử lý rủi ro Các loạt động trình xem xét độc lập không làm giảm trách nhiệm theo dõi xem xét lãnh đạo cấp D.1.4 Thu nhận thơng tin thích hợp Cũng giống khía cạnh khác quản lý rủi ro, theo dõi xem xét đòi hỏi việc sử dụng thơng tin có sẵn tốt [xem ngun tắc f)] Để phù hợp với mục đích, thơng tin cần liên quan tới người sử dụng thể muốn nêu Sự hữu ích thơng tin nâng cao so sánh, kiểm chứng, kịp thời dễ hiểu Thơng tin thu từ hai nguồn: a) Nguồn trực tiếp: Các quan trắc phép đo trình tác nghiệp thực tế hay đầu chúng; b) Nguồn gián tiếp: Các kết đo dẫn xuất từ trình kết đầu xem xét Việc kết hợp phép đo từ nguồn khác chọn tùy theo cần thiết (tùy thuộc vào khả có) theo tiện lợi (tính kịp thời, chi phí, vv) D.1.5 Báo cáo trình xem xét Báo cáo cần cung cấp thông tin cho phận giám sát, lãnh đạo cao bên liên quan tổ chức việc liệu rủi ro tổ chức có nằm tiêu chí rủi ro liệu có kế hoạch xử lý rủi ro đáng tin cậy cho phép cuối dẫn đến kết Ngồi cung cấp thông tin rủi ro mới, hình thành Bất kỳ cách thu nhận thơng tin rủi ro (ví dụ đăng ký rủi ro) cần định kỳ cập nhật Các loại tần suất báo cáo phụ thuộc vào tính chất, quy mô phạm vi việc đánh giá rủi ro Các đầu việc đánh giá xem xét báo cáo tóm tắt phát hiện, cung cấp kết luận đánh giá so với tiêu chí xác định Báo cáo dựa mà người xem LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn xét quan sát cung cấp khuyến nghị để cải tiến hệ thống Đôi khi, người xem xét nêu đề nghị lớn hơn, hướng vào thân tiêu chí Phản hồi xem xét cần trọng vào việc cải tiến hệ thống tìm nguyên nhân gốc rễ vấn đề D.1.6 Hành động khắc phục cải tiến liên tục Cần thiết lập trình để đảm bảo khuyến nghị lãnh đạo tổ chức tích cực xem xét phản hồi thống thực Hành động đáp ứng xem xét cần báo cáo cho phận giám sát cần theo dõi thường xuyên thực D.2 Thao dõi xem xét khn khổ D.2.1 Khái qt Mục đích việc theo dõi xem xét để giữ trạng khuôn khổ quản lý rủi ro gắn liền, quán với dự định quản lý rủi ro tổ chức Khuôn khổ quản lý đề cập đến thành phần trình hệ thống quản lý tổ chức để giúp rủi ro quản lý TCVN 31000:2011 (ISO 31000: 2009), Điều 4, nêu hướng dẫn thành phần cần thiết khuôn khổ lưu ý thành phần cần phải xét mối liên hệ với bối cảnh bên bên tổ chức Khi có thay đổi xảy với bối cảnh nội hay bên ngồi tổ chức, phải điều chỉnh khn khổ quản lý để đảm bảo có hiệu lực Thậm chí khơng có thay đổi nội hay bên ngồi, địi hỏi có thay đổi thiết kế, việc theo dõi xem xét cần thiết để đảm bảo lúc việc kiểm tra thành phần khuôn khổ quản lý kế hoạch thực để đảm bảo chúng thực cách xác Đối với tổ chức áp dụng TCVN ISO 31000 liên quan đến việc đảm bảo thành phần khuôn khổ quản lý tiếp tục tồn hoạt động dự định D.2.2 Trách nhiệm giải trình Lãnh đạo có trách nhiệm đảm bảo định kỳ xem xét theo dõi khuôn khổ theo số kết thực Là phần việc phân cơng trách nhiệm, người (ví dụ cán quản lý cấp cao) phận chức tổ chức (ví dụ phận hỗ trợ hợp tác quản lý rủi ro) số đảm nhận phần giao trách nhiệm quản lý rủi ro, người phận cần thực việc theo dõi khuôn khổ đảm nhận trách nhiệm để đảm bảo khn khổ trì hiệu lực D.2.3 Thiết lập ranh giới Cần thiết lập ranh giới việc quản lý rủi ro tổ chức Ranh giới mô tả theo cách khác cần bao gồm: a) thành phần khuôn khổ (như mô tả TCVN ISO 31000:2011, 4.3) để cung cấp khả giúp đạt mục đích b) mức độ hỗ trợ mà phận giám sát lãnh đạo cao cần nêu để thực nhiệm vụ cam kết quản lý rủi ro (thường thể hình thức sách quản lý rủi ro) Các hình thức dự định cấu trúc khuôn khổ thường ghi lại thiết kế, thơng tin nêu Bảng D.1 cần có sẵn Điều tạo nên ranh giới mang tính nguyên tắc hạng mục để tham chiếu so sánh nêu theo dõi xem xét Bảng D.1 - Ví dụ bảng danh mục thành phần khn khổ Thành phần Trách nhiệm giải trình Được triển khai đâu Cấp tổ chức Mục tiêu Duy trì sách, quản lý rủi ro tổ chức Hành động Trách nhiệm lịch trình • Xác định chuẩn mực • Cơng bố sách • Lập báo cáo • Chính thức hóa lịch trình nội dung nêu • Giao quyền • Lịch xem xét tiếp theo: ngày/tháng/năm LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Thước đo kết … Tình trạng áp dụng … Công ty luật Minh Khuê Thành phần Được triển khai đâu www.luatminhkhue.vn Mục tiêu Hành động Trách nhiệm lịch trình • Tiếp nhận dẫn • Thiết kế: Hợp tác quản lý rủi ro • Thiết kế nội dung đào tạo • Triển khai: Quản lý rủi ro phận • Đào tạo giảng viên • Lần xem xét tiếp ngày/tháng/năm Thước đo kết Tình trạng áp dụng Các nguồn Cấp phòng lực: Đào ban tạo Cung cấp thành phần quản lý rủi ro cho tất đào tạo • Đã thực hiện: Báo cáo tháng … • Chất lượng: Báo cáo đánh giá việc đào tạo Tổ chức cần thiết lập số kết thực có liên quan đến mục tiêu nhằm đưa biểu tính hiệu lực khuôn khổ chung trạng rủi ro quản lý Các số kết thực hiện, gọi chung số đầu chẳng hạn: - cố, tai nạn lần thoát nạn; - thiệt hại thực tế; - việc ngồi ý muốn, khơng dự định; - khiếu nại khách hàng; - nợ lớn; - tình trạng sẵn sàng hệ thống; - mức độ mà theo mục tiêu tổ chức đáp ứng; - mức độ mà theo mục tiêu quản lý rủi ro đáp ứng D.2.4 Đánh giá xem liệu đặc điểm bối cảnh tổ chức thay đổi Xác định xem liệu bối cảnh nội hay bên tổ chức có thay đổi hữu hay kinh nghiệm thực tế kể từ khuôn khổ quản lý rủi ro xây dựng sửa đổi Hỗ trợ thực tế Các đặc trưng nội có thay đổi bao gồm: - cấu; - thực tiễn yêu cầu quản trị; - sách, tiêu chuẩn mơ hình nội bộ; - u cầu hợp đồng; - chiến lược hệ thống tác nghiệp bị ảnh hưởng yếu tố bên bên ngồi (ví dụ thay đổi quy định pháp luật); - khả nguồn lực (ví dụ nguồn vốn tài có tiếng tăm, thời gian, người, trình, hệ thống cơng nghệ); - trí thức, kỹ sở hữu trí tuệ; - hệ thống dịng thơng tin; - hành vi ứng xử xã hội, mơi trường, văn hóa; - vấn đề nhiệm vụ có tính ưu tiên nhận thức để cạnh tranh với ý định tổ chức quản lý rủi ro Các số quan trọng số giúp thay đổi bối cảnh bên ngoài, thường thấy báo cáo nghiên cứu, phản ánh thay đổi xu hướng ngành cơng nghiệp, tổ chức hoạt động Các ví dụ bao gồm: LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn - giá hàng hóa, lãi suất ngân hàng, lãi suất trái phiếu, tỷ giá hối đoái, số thị trường chứng khoán, số giá tiêu dùng (xu thế); - số xu khác; - mức độ vụ mang tinh chất gian lận tổ chức tương tự; - quy mô thị trường số tăng trưởng, thay đổi đột ngột khối lượng đơn hàng; - tình trạng ổn định trị xã hội, tình trạng bất mãn hay tán đồng xã hội; Nếu bối cảnh tổ chức thay đổi kể từ khuôn khổ quản lý rủi ro xây dựng, khuôn khổ quản lý rủi ro cần đánh giá xếp lại theo cách có tính đến thay đổi Mục đích hoạt động để xác nhận khn khổ q trình phù hợp quán với mục tiêu, với vấn đề ưu tiên tổ chức Từ việc xem xét, tổ chức cần thay đổi nguyên tắc VÍ DỤ 1: Một thay đổi cấu tổ chức địi hỏi số việc cần nhìn nhận lại sách quản lý rủi ro phân bổ lại trách nhiệm, nguồn lực cho phép rủi ro tiếp tục quản lý cách hiệu lực Nếu tổ chức mở rộng quy mơ, ví dụ sáp nhập mua lại, cân cân nhắc tình trạng đáp ứng đầy đủ nguồn lực quản lý rủi ro phân tích cẩn thận khác biệt tổ chức cách tiếp cận để quản lý rủi ro Đây cần thiết để triển khai kế hoạch chuyển tiếp việc áp dụng thay đổi phát sinh nhờ việc phân tích VÍ DỤ 2: Nếu u cầu pháp lý có hiệu lực, khía cạnh khn khổ có liên quan đến trách nhiệm, đào tạo việc nắm giữ thông tin hay báo cáo cần sửa đổi mở rộng D.2.5 Xem xét khuôn khổ Khi việc đánh giá đặc điểm bối cảnh bên thực xong, cần tiến hành xem xét toàn diện hệ thống để xác định xem: a) Kế hoạch rủi ro thực dự định; b) Khuôn khổ quản lý trình nêu tuân thủ dự định; c) Mức rủi ro nằm phạm vi tiêu chí; d) Các mục tiêu cốt lõi tổ chức tạo ảnh hưởng tích cực tới việc quản lý rủi ro; e) Các bên liên quan nhận báo cáo đầy đủ để giúp họ thể thể vai trò trách nhiệm cấu quản trị; f) Mọi người tồn tổ chức có đầy đủ kỹ năng, kiến thức lực để thực trách nhiệm họ chúng xác định; g) Các nguồn lực quản lý rủi ro đầy đủ; h) Những học rút từ kết thực tế xảy ra, bao gồm tổn thất, lần thoát nạn hội; i) Các mục tiêu đặt cho quản lý rủi ro đạt Nên có lịch trình xem xét thường xuyên đồng thuận để có khả tiến hành xem xét có thay đổi hồn cảnh, ví dụ hậu rủi ro bất ngờ nghiêm trọng Các dạng dẫn xuất từ xem xét thường bao gồm: - báo cáo tổng thể kết hoạt động khuôn khổ quản lý rủi ro; - báo cáo tiến độ thực kế hoạch quản lý rủi ro (bao gồm phân tích chậm trễ việc thực hiện); - báo cáo nêu rõ tình trạng tiến triển tổ chức liên quan đến thực hành tốt nhất; - khuyến nghị thay đổi cần thiết để cải tiến quản lý rủi ro tính hiệu lực tổ chức; - cập nhật sách, mục tiêu kế hoạch quản lý rủi ro cần thiết; - cập nhật mô tả bối cảnh tổ chức hoạt động, thích hợp; - báo cáo xu hướng số rủi ro chính; - kế hoạch hành động gắn liền với thay đổi cần thiết để đáp ứng mục tiêu quản lý rủi ro LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn D.3 Theo dõi xem xét trình D.3.1 Khái quát Mục đích việc theo dõi xem xét trình quản lý rủi ro để đảm bảo nó: - thích hợp cho hoạt động sản xuất kinh doanh; - tiến hành theo kế hoạch Những rủi ro mà việc kiểm soát xử lý chúng thay đổi theo thời gian người có trách nhiệm việc quản lý rủi ro cần phải nhận thức tác động thay đổi Thất bại việc xử lý làm cho rủi ro trở nên không chấp nhận Hơn nên tiến hành thêm hoạt động kiểm soát mà mục đích chúng để cải biên rủi ro thay đổi theo nghĩa thích tạo thích hợp hiệu quả, vậy, không theo dõi hay xem xét, rủi ro trì tiêu chí rủi ro chấp nhận tổ chức tổ chức khơng có hiểu biết rủi ro Kết theo dõi xem xét phản hồi lại cho giai đoạn thiết lập ngữ cảnh, cung cấp sở cho việc đánh giá rủi ro mới, đáp ứng đầy đủ chất tự nhiên tính chu kỳ động trình quản lý rủi ro thiết kế cấu quản lý rủi ro D.3.2 Trách nhiệm giải trình Theo dõi phần thiếu quản lý Các hoạt động kiểm soát rủi ro phải giao cho người liên quan, họ có trách nhiệm theo dõi chúng Trách nhiệm phải ghi lại vai trò, mơ tả vị trí Phạm vi lĩnh vực tổ chức, theo cách xem xét thức người lao động, ví dụ tài chính, bên liên quan, hiệu nội bộ, mục tiêu học tập phát triển mục tiêu nội xem xét Những kết thực so với tập hợp số đo tất cấp tổ chức sau báo cáo cách phù hợp Các phương án xử lý rủi ro cần theo dõi để đảm bảo tiến trình thực hành động hoàn thành thời hạn D.3.3 Học hỏi kinh nghiệm Các tổ chức nên học hỏi từ kết thực tế Những kết phải bao gồm tổn thất, vụ xảy ra, không phù hợp hội xác định trước, xảy ra, chưa xử lý Các điểm cần cân nhắc theo cách xem xét bao gồm: - chuyện đả xảy ra; - làm kết lại xảy vậy; - liệu có giả định cần phải xem xét kết đầu ra; - hành động thực (nếu có) để phản hồi; - khả để điều lại xảy ra; - phản hồi hay bước bổ sung cần thực hiện; - điểm đúc rút, học hỏi người cần truyền đạt D.3.4 Theo dõi D.3.4.1 Những cách tiếp cận điển hình để theo dõi bao gồm điều sau a) Chủ sở hữu rủi ro rà sốt mơi trường để theo dõi thay đổi ngữ cảnh Tần suất hoạt động phụ thuộc vào mức độ rủi ro động thay đổi ngữ cảnh Trong số trường hợp, báo cáo riêng, ngoại lệ số đủ Chủ sở hữu rủi ro so sánh yếu tố bên ngồi nội có liên quan so với tuyên bố ngữ cảnh để xác định xem liệu có thay đổi hữu xảy Điều bao gồm việc thông tin tham khảo định kỳ ý kiến bên liên quan để xác định xem liệu quan điểm, mục tiêu họ có thay đổi b) Các chủ rủi ro nên theo dõi phương án xử lý rủi ro hành động phản hồi kịp thời có thay đổi môi trường c) Những người giao nhiệm vụ kiểm sốt phải có trách nhiệm kiểm sốt mang tính theo dõi giao cho họ, bao gồm kiểm tra định kỳ theo dõi liên tục Vì LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn quản lý rủi ro hiệu tích hợp hồn tồn với việc định thông thường với hệ thống quản lý tổ chức, nên kết thực quản lý hoạt động tổ chức phải sử dụng để theo dõi rủi ro hiệu trình quản lý rủi ro Các số kết thực cần phản ánh phạm vi mục tiêu trọng điểm tổ chức vốn xác định giai đoạn đầu trình xác lập ngữ cảnh tổ chức Những số phát triển theo cách có liên quan đến rủi ro cách kiểm soát cụ thể, cách áp dụng chúng vào trình quản lý rủi ro CHÚ THÍCH: Trong tự trường hợp với rủi ro, phải lưu ý rằng, hoạt động kiểm soát phải gắn cho người chịu trách nhiệm hoạt động họ Thơng thường, chủ sở hữu việc kiểm sốt hay người thao tác người thực việc kiểm soát theo nề nếp thường ngày đó, khác với chủ sở hữu rủi ro Điều không ảnh hưởng đến trách nhiệm chung chủ sở hữu rủi ro việc phải điều chỉnh cách thích hợp rủi ro đó, trách nhiệm thiết kế, triển khai, ứng dụng, theo dõi, đánh giá hoạt động kiểm soát tương ứng D.3.4.2 Các số kết thực đo kết (ví dụ tổn thất khoản thu cụ thể) q trình (ví dụ việc hoàn thành kịp thời phương án xử lý rủi ro) Bình thường, sử dụng hỗn hợp số, ngoại trừ số kết đầu dùng để biểu thị kết suy giảm đáng kể thay đổi mà thay đổi làm cho hệ số tăng lên Do vậy, mơi trường có thay đổi cao, việc sử dụng số trình (như số quan trọng) thường hữu ích Trong việc lựa chọn số kết thực hiện, điều quan trọng phải kiểm tra xem: - chúng phải đo được; - việc sử dụng chúng có hiệu xét theo nghĩa địi hỏi thời gian, cơng sức nguồn lực; - trình đo lường theo dõi chúng khuyến khích tạo điều kiện cho hành vi mong muốn không thúc đẩy hành vi không mong muốn (ví dụ ngụy tạo liệu); - người tham gia hiểu trình lợi ích mong đợi có hội cung cấp thông tin đầu vào để thiết lập số; - kết ghi lại kết thực phân tích báo cáo theo hình thức cho phép tạo điều kiện học tập cải thiện toàn tổ chức D.3.4.3 Khi áp dụng việc quản lý kết thực cho trình quản lý rủi ro, cần lưu ý rằng: - việc đo lường hiệu kết thực đòi hỏi phải có nguồn lực, nguồn lực cần xác định phân bố phần việc phát triển số kết thực hiện; - số hoạt động quản lý rủi ro khó đo lường được, khơng mà chúng quan trọng Trong trường hợp này, nên sử dụng số thay thế, ví dụ: nguồn lực dành cho hoạt động quản lý rủi ro thước đo thay cho cam kết để quản lý rủi ro hiệu quả; - biến động, sai khác liệu đo số kết hoạt động cảm nhận quan trọng cần điều tra, ví dụ: người lãnh đạo thấy quan ngại rủi ro không quản lý cách, đánh giá rủi ro dạng số cho thấy mức độ rủi ro thấp, mối quan ngại cần điều tra khơng để bị bỏ qua - thường suy giảm đột ngột số gây ý, điều phải áp dụng suy giảm số mức độ tiến triển, cụ thể, ta phải theo dõi phân tích xu hướng số hoạt động D.3.5 Xem xét Lãnh đạo cần định kỳ xem xét trình, hệ thống hoạt động để đảm bảo rằng: a) Không phát sinh rủi ro mới; b) Các hoạt động kiểm soát, phương pháp xử lý rủi ro phù hợp hiệu Những xem xét nên lập thành kế hoạch (xem chương trình cách tiếp cận đánh giá dựa rủi ro làm để lựa chọn người xem xét, nêu TCVN ISO 19011) Những xem xét sử dụng kỹ thuật tương tự theo dõi thực tế diễn ra, chúng thực người không trực tiếp tham gia vào hoạt động trình, chúng cung cấp phân tích khách quan Tần suất xem xét bị ảnh hưởng mức độ rủi ro, chu kỳ lập kế hoạch kinh doanh, động môi trường/bối cảnh, họp phận quản trị có trách nhiệm theo dõi rủi ro quản lý rủi ro LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Nếu phát vấn đề, tổ chức nên xem xét chúng xuất sao, trước chúng không phát Các hoạt động kiểm sốt phải đảm bảo thơng qua hành động nhà quản lý có trách nhiệm (các chủ rủi ro) vốn xem phần cơng việc vai trị bình thường họ Việc rõ hoạt động kiểm soát cụ thể để kiểm soát chủ rủi ro thúc đẩy việc áp dụng hoạt động kiểm soát, để đảm bảo tính hiệu lực, chủ sở hữu cần đào tạo kiến thức kiểm sốt đảm bảo q trình Khi thay đổi tổ chức lập kế hoạch, thay đổi bên phát hiện, dẫn đến thay đổi trong: - mơi trường bên ngồi bên bên liên quan quan điểm họ; - bối cảnh quản lý rủi ro, mục tiêu tổ chức tiêu chí rủi ro nó; - rủi ro mức độ rủi ro; - cần thiết phương pháp xử lý rủi ro; - ảnh hưởng hiệu lực hoạt động kiểm sốt Vì lý này, xây dựng sửa đổi kế hoạch kinh doanh hay phương án chiến lược, điều tối cần thiết tổ chức phải xem xét rủi ro, phương pháp xử lý, hoạt động kiểm sốt rủi ro Ngồi ra, phương án kinh doanh kế hoạch chiến lược tạo buộc điều chỉnh mục tiêu tổ chức, nên hữu ích ta sử dụng trình đánh giá rủi ro phép kiểm chứng tính chắc phương án dự thảo để đảm bảo mục tiêu dự kiến đạt được, để xác định biện pháp xử lý rủi ro cần thiết nhằm đảm bảo kết thành cơng Những người thực q trình quản lý rủi ro nên thường xuyên xem xét kinh nghiệm, đầu ra, kết họ để xác định hội cải tiến Phụ lục E (tham khảo) Tích hợp quản lý rủi ro hệ thống quản lý E.1 Khái quát Quản lý rủi ro phần không tách rời hệ thống quản lý tổ chức TCVN ISO 31000 hướng dẫn tổ chức xây dựng, thực cải tiến liên tục khuôn khổ quản lý mà mục đích để tích hợp quản lý rủi ro vào hệ thống quản lý tổ chức (bao gồm quản trị chiến lược) Đặc biệt, tích hợp cần đảm bảo rằng, thơng tin rủi ro sử dụng sở cho việc định tất cấp tổ chức Những người phận cụ thể thực quản lý rủi ro hàng ngày phải cân nhắc phần cách để họ đưa định Quản lý rủi ro tích hợp cách tự nhiên tất chúng tơi làm trước chúng tơi định làm Dù số người làm tốt người khác điều đó, tất cải thiện chất lượng quản lý rủi ro cải thiện việc định, dẫn đến cải thiện việc đạt mục tiêu tin cậy nhờ nâng lên Nếu mục đích việc quản lý rủi ro tích hợp để gia tăng giá trị, xác định cách logic phương thức chấp nhận tạo ảnh hưởng đến diễn thúc đẩy, cải thiện nó, khơng phải thay khác Nó khơng có tác dụng bổ sung ép buộc khác lạ vào thực phải diễn cách tự nhiên chức định Tích hợp khơng đơn giản việc đưa cơng cụ q trình quản lý rủi ro thiết lập, tiêu chuẩn hóa vào (các) hệ thống quản lý có, địi hỏi điều chỉnh, thay đổi cơng cụ q trình cho phù hợp với nhu cầu người định, phù hợp với q trình có họ để định Phụ lục cung cấp số ví dụ thực tế việc quản lý rủi ro tích hợp vào (các) hệ thống quản lý hành E.2 Hệ thống quản lý gì? Tất tổ chức sử dụng số loại hệ thống quản lý Trong thời gian gần đây, hệ thống quản lý chuyển hóa thành dạng tắc gắn liền với u cầu tạo ra, cung cấp khuôn khổ quản lý tổ chức thiết lập biện pháp trình quản lý để đạo kiểm soát hoạt động Nhiều tiêu chuẩn quốc tế đề cập tới hệ thống quản lý LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn nói chung hay có liên quan tới nội dung cụ thể Một hệ thống quản lý tập hợp yếu tố liên quan hay tương tác lẫn tổ chức để thiết lập sách, mục tiêu, trình để đạt mục tiêu Với góc độ quản lý kinh doanh, nhờ có hệ thống quản lý hay hệ thống quản lý tích hợp, ta thu hiệu Ví dụ, quản lý chất lượng nêu TCVN ISO 9001 đề cập cách tiếp cận rộng lớn hướng tới hài lòng khách hàng, quản lý rủi ro lại đề cập tới tác động không chắn mục tiêu vốn khơng liên quan đến khách hàng mà hàng loạt bên liên quan khác Nhiều tổ chức áp dụng hệ thống quản lý chất lượng dựa yêu cầu TCVN ISO 9001, quản lý rủi ro tích hợp hệ thống quản lý vậy, tạo phối hợp hài hòa tránh trùng lặp E.3 Hệ thống quản lý tích hợp quản lý rủi ro Tích hợp việc quản lý rủi ro với trình kinh doanh cốt lõi giống nhu cầu để tạo tương tác tất cách tiếp cận hệ thống quản lý, ví dụ quản lý chất lượng, quản lý môi trường, quản lý an toàn, quản lý an ninh, quản lý tuân thủ luật pháp, quản lý tài báo cáo tài chính, chí với quản lý bảo hiểm liên quan tới kiện việc phải chuyển trả tài cho tổ chức khác Các hệ thống quản lý tách biệt cần tạo nên hệ thống quản lý tích hợp, dựa sách chiến lược tổ chức Ngay tổ chức có hệ thống quản lý tách biệt để quản lý rủi ro cụ thể khn khổ quản lý để quản lý rủi ro nên mở rộng để có bao hàm kết hợp với hệ thống khác Cách tiếp cận quản lý rủi ro bao hàm dọc tồn tổ chức có thể: a) Nâng cao trọng lãnh đạo cấp cao mục tiêu chiến lược tổ chức; b) Tạo khả để rủi ro hệ thống quản lý tích hợp xử lý theo nguyên tắc hướng dẫn TCVN ISO 31000 Cách tiếp cận liên quan đến điều sau đây: - đưa vào hệ thống quản lý chất lượng việc áp dụng kỹ thuật quản lý rủi ro có liên quan đến sản phẩm yếu, liên quan quản lý rủi ro dự án; - đối phó với bất ổn quản lý mơi trường, ví dụ cố tai nạn tiềm ẩn sở liên quan độc hại, vấn đề xử lý vật liệu chất nguy hại; - xử lý rủi ro kết hợp với hoạt động an toàn nơi làm việc; - xử lý, kiểm sốt rủi ro an ninh, ví dụ hành vi bạo lực tổ chức nhân viên hay khách hàng mình; - xử lý rủi ro an ninh công nghệ thông tin (CNTT), ví dụ tác nghiệp làm CNTT bị sập, liệu, vi phạm bảo mật đảm bảo tính liên tục kinh doanh; - quản lý rủi ro liên quan tính liên tục kinh doanh nhằm đảm bảo chuẩn bị, phản ứng nhanh chóng kiện gây gián đoạn; - thiết lập hoạt động kiểm soát để bảo vệ tài sản vật chất tổ chức, để đảm bảo báo cáo xác, để đảm bảo tuân thủ yêu cầu pháp lý, để quản lý rủi ro có khả bảo hiểm theo cách giảm thiểu phí bảo hiểm E.4 Áp dụng quản lý rủi ro cấu quản lý hệ thống quản lý chất lượng E.4.1 Khái quát Quá trình quản lý rủi ro cần lồng ghép vào trình định tổ chức, mức độ chức mà định đưa E.4.2 Xác định nhận thức nắm bắt, hiểu định Các phương pháp sau giúp nhận biết đâu định nêu theo chu kỳ Lập kế hoạch - Thực - Kiểm tra - Hành động (PDCA) a) Xác định tất hình thức thực tế định thức hóa thực tế tồn tổ chức b) Trong tổ chức lớn, thường có nhiều thủ tục địi hỏi chấp thuận thức cho loạt định, ví dụ phê duyệt kế hoạch chiến lược hàng năm, hạn mức vốn, thuê tuyển LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn nhân viên mới, sửa đổi cách kiểm sốt q trình, bố trí việc lại nhân viên c) Sử dụng lưu đồ, số kỹ thuật khác, để lập sơ đồ mơ tả sát thực trình tự quy tắc thực hành việc định áp dụng cho dự án cụ thể tất khía cạnh hoạt động kinh doanh Điều cân nhắc sở phận chức nên mở rộng cho việc định quản trị quản lý Nếu có hoạt động quản lý việc áp dụng hệ thống quản lý thức hóa (ví dụ quản lý chất lượng qua áp dụng TCVN ISO 9001), điểm định hệ thống tạo thành phần việc phân tích Tương tự vậy, tổ chức có hình thức ủy nhiệm định, nhiệm vụ nên đưa vào phân tích Kết cuối có tranh mạch lạc, văn hóa việc định ban hành đâu, nêu trình sử dụng định Việc kết hợp kỹ thuật nói tạo mức độ cao nhận thức cá nhân lẫn tổ chức việc định E.4.3 Đánh giá rủi ro Thường thích hợp, số loại định (ví dụ phát triển thực sản phẩm mới, lập kế hoạch thực dự án lớn), ta áp dụng đánh giá rủi ro dạng tắc giai đoạn khác dự án Ví dụ, hầu hết dự án có nhiều điểm định phức tạp, chẳng hạn tính khả thi, điều kiện sản xuất - kinh doanh, việc lập ngân sách kế hoạch chi tiết, thực bàn giao Tại điểm, đánh giá rủi ro dạng tắc thích hợp để định tùy chọn Điều làm tăng tính hợp lý thành công dự án cải thiện tính hiệu Để đánh giá rủi ro định tác nghiệp, hình thức đơn giản tiêu chuẩn hóa q trình quản lý rủi ro nhân viên tham gia phát triển để sử dụng Những phương pháp đặc biệt thích hợp tình mà người làm việc mà khơng có theo dõi trực tiếp Một thành phần quan trọng phương pháp tạo nhận thức giả định đầu vào cho định Theo định nghĩa, giả định nguồn gốc khơng chắn Các q trình chuẩn hóa cụ thể hình thức liên quan đến việc định, nhóm người cụ thể thực nhiệm vụ cụ thể, bối cảnh điển hình mà vấn đề xảy Các hệ thống đơn giản biên soạn/ hệ thống hóa thành sổ tay bỏ túi hay hướng dẫn dạng danh mục kiểm tra tất người tham gia loại hình cơng việc để thực E.4.4 Những gợi ý cho khuôn khổ quản lý rủi ro Việc áp dụng kỹ thuật mô tả điều khoản đòi hỏi số hạng mục điều chỉnh thích hợp khn khổ quản lý rủi ro, ví dụ: - sửa đổi sách quản lý rủi ro tổ chức; - xếp để tiến hành việc điều tra ban đầu lập đồ thực hành định; - tiến hành sửa đổi sổ tay dạng quy trình; - đào tạo cán quản lý nhân viên; - đào tạo cụ thể cho người có cơng việc phải thực phù hợp với hệ thống quản lý cụ thể (ví dụ nguồn có liên quan tới dạng đặc biệt rủi ro); - điều chỉnh hệ thống đảm bảo quản lý rủi ro liên quan lực thông tin công ty; - trao đổi thông tin nội tham vấn hiệu THƯ MỤC TÀI LIỆU THAM KHẢO [1] TCVN ISO 9000 (ISO 9000), Hệ thống quản lý chất lượng - Thuật ngữ định nghĩa [2] TCVN ISO 9001 (ISO 9001), Hệ thống quản lý chất lượng - Các yêu cầu [3] TCVN ISO 19011 (ISO 19011), Hướng dẫn đánh giá hệ thống quản lý [4] TCVN 9788:2013 (ISO Guide 73:2009), Quản lý rủi ro - Từ vựng [5] TCVN ISO/IEC 31010 (IEC 31010), Quản lý rủi ro- Kỹ thuật đánh giá rủi ro LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn MỤC LỤC Lời nói đầu Lời giới thiệu Phạm vi áp dụng Tài liệu viện dẫn Áp dụng TCVN ISO 31000 3.1 Khái quát 3.2 Cách thức áp dụng TCVN ISO 31000 3.3 Tích hợp TCVN ISO 31000 vào trình quản lý tổ chức 3.4 Cải tiến liên tục Phụ lục A (tham khảo) Khái niệm nguyên tắc tảng Phụ lục B (tham khảo) Áp dụng nguyên tắc TCVN ISO 31000 Phụ lục C (tham khảo) Thể nhiệm vụ cam kết Phụ lục D (tham khảo) Theo dõi xem xét Phụ lục E (tham khảo) Tích hợp quản lý rủi ro hệ thống quản lý Thư mục tài liệu tham khảo LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162