QUẢN TRỊ RỦI RO HOẠT ĐỘNG TẠI CÔNG TY TNHH KPMG

QUẢN TRỊ RỦI RO HOẠT ĐỘNG TẠI CÔNG TY TNHH KPMG QUẢN TRỊ RỦI RO HOẠT ĐỘNG TẠI CÔNG TY TNHH KPMG

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC NGOẠI THƯƠNG

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC NGOẠI THƯƠNG

LỜI CAM ĐOAN

Tôi xin cam đoan đề án “Quản trị rủi ro hoạt động tại Công ty TNHH KPMG” là công trình nghiên cứu độc lập của riêng tác giả Các thông tin và số liệu được phân tích và sử dụng trong đề án nghiên cứu là trung thực, có nguồn gốc rõ ràng và được công bố theo đúng quy định

Tôi xin cam đoan sẽ chịu hoàn toàn trách nhiệm về công trình nghiên cứu của mình

Hà Nội, ngày 25 tháng 03 năm 2024

Học viên

Nguyễn Thị Ngọc Anh

LỜI CẢM ƠN

Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới Ban lãnh đạo, các thầy cô giáo của Trường Đại học Ngoại thương nói chung, cũng như các giảng viên giảng dạy khoa Sau Đại học nói riêng vì đã tận tâm giảng dạy và tạo điều kiện tốt nhất để em có thể học tập, nghiên cứu và thực hiện đề án

Em xin chân thành cảm ơn tới Ban lãnh đạo và các đồng nghiệp tại Công ty TNHH KPMG đã nhiệt tình giúp đỡ em trong thời gian làm việc, công tác, nghiên cứu và thu thập số liệu có liên quan đến đề tài; đóng góp cho em những ý kiến quý báu nhằm tạo điều kiện tốt nhất để em có thể hoàn thành đề án này

Đặc biệt, em xin bày tỏ lòng biết ơn chân thành, sâu sắc tới TS Đào Thị Thương vì sự hướng dẫn tận tình, tỉ mỉ và sát sao của cô trong suốt quá trình em thực hiện nghiên cứu và hoàn thiện công trình nghiên cứu

Hà Nội, ngày 25 tháng 03 năm 2024

Học viên

Nguyễn Thị Ngọc Anh

2 Tổng quan nghiên cứu 2

3 Mục tiêu và nhiệm vụ nghiên cứu 6

4 Đối tượng và phạm vi nghiên cứu 7

5 Phương pháp nghiên cứu 7

6 Kết cấu đề tài 7

CHƯƠNG 1 CƠ SỞ LÝ LUẬN VỀ RỦI RO HOẠT ĐỘNG VÀ QUẢN TRỊ RỦI RO HOẠT ĐỘNG 8

1.1 Cơ sở lý luận về rủi ro hoạt động 8

1.1.1 Khái niệm rủi ro 8

1.1.2 Khái niệm rủi ro hoạt động 9

1.1.3 Đặc điểm của rủi ro hoạt động 10

1.1.4 Nguyên nhân gây ra rủi ro hoạt động 12

1.2 Cơ sở lí luận về quản trị rủi ro hoạt động của doanh nghiệp 15

1.2.1 Khái niệm Quản trị rủi ro hoạt động 15

1.2.2 Vai trò của Quản trị rủi ro hoạt động 17

1.2.3 Khung quản trị rủi ro hoạt động 18

1.2.4 Mô hình quản trị rủi ro hoạt động 19

1.2.5 Quy trình quản trị rủi ro hoạt động 23

1.2.6 Các công cụ quản trị rủi ro hoạt động 29

1.2.7 Các yếu tố ảnh hưởng đến quản trị rủi ro hoạt động 31

CHƯƠNG 2 PHÂN TÍCH THỰC TRẠNG QUẢN TRỊ RỦI RO HOẠT ĐỘNG TẠI CÔNG TY TNHH KPMG 34

2.1 Tổng quan về Công ty TNHH KPMG 34

2.1.1 Lịch sử hình thành và phát triển 34

2.1.2 Cơ cấu tổ chức 36

2.1.3 Kết quả hoạt động kinh doanh 37

2.2 Thực trạng rủi ro hoạt động tại Công ty TNHH KPMG 40

2.2.1 Thực trạng rủi ro nhân sự và văn hóa doanh nghiệp 41

2.2.2 Thực trạng rủi ro Công nghệ thông tin 41

2.2.3 Thực trạng rủi ro kiểm toán 42

2.3 Thực trạng hoạt động quản trị rủi ro hoạt động tại Công ty TNHH KPMG 44

2.3.1 Nội dung quản trị rủi ro hoạt động của Công ty TNHH KPMG 44

2.3.2 Thực trạng quản trị rủi ro hoạt động trọng yếu của Công ty TNHH KPMG 58

2.4 Đánh giá công tác quản trị rủi ro hoạt động tại Công ty TNHH KPMG 69

2.4.1 Thành tựu 69

2.4.2 Hạn chế 70

CHƯƠNG 3 MỘT SỐ GIẢI PHÁP NÂNG CAO CÔNG TÁC QUẢN TRỊ RỦI RO HOẠT ĐỘNG TẠI CÔNG TY TNHH KPMG 73

3.1 Phương hướng phát triển của KPMG trong thời gian tới 73

3.1.1 Phương hướng phát triển chung 73

3.1.2 Phương hướng hoạt động quản trị rủi ro 74

3.2 Một số giải pháp nâng cao công tác Quản trị rủi ro hoạt động tại Công ty TNHH KPMG 75

3.2.1 Xây dựng quy trình phản ứng nhanh và linh hoạt, cải thiện sự phối hợp và tương tác giữa các tuyến trong Quản trị rủi ro 75

3.2.2 Nâng cấp hệ thống Công nghệ thông tin 81

KẾT LUẬN 84

TÀI LIỆU THAM KHẢO 85

DANH MỤC TỪ VIẾT TẮT

COSO Committee Of Sponsoring Organization of the Treadway Commission

Ủy ban Chống gian lận khi lập Báo cáo tài chính thuộc Hội đồng quốc gia Hoa Kỳ ISO International Organization for

Standardization

Tổ chức tiêu chuẩn hóa quốc tế

DANH MỤC BẢNG BIỂU, HÌNH VẼ DANH MỤC BẢNG

Bảng 1.1: Bảng tổng hợp các nguyên nhân gây ra rủi ro hoạt động 15

Bảng 1.2: Minh họa mô hình năm tuyến trách nhiệm 22

Bảng 2.1: Tổng hợp các rủi ro hoạt động trọng yếu tại Công ty TNHH KPMG 40

Bảng 2.2: Ví dụ về phiếu khảo sát để đánh giá khả năng xảy ra và mức độ ảnh hưởng của rủi ro 43

Bảng 2.3: Minh họa bảng phân tích mức độ tác động của một sự kiện rủi ro 53

Bảng 2.4: Minh họa bảng phân tích khả năng xảy ra của một sự kiện rủi ro 55

Bảng 2.5: Minh họa mô hình 5C của Công ty TNHH KPMG 60

Bảng 3.1 Minh họa Các chỉ số rủi ro chính (KRIs) và 76

DANH MỤC HÌNH VẼ Hình 1.1: Mô tả khung quản trị rủi ro doanh nghiệp COSO ERMError! Bookmark not defined.Hình 1.2: Minh họa mô hình ba tuyến 20

Hình 1.3: Minh họa quy trình quản trị rủi ro hoạt động đề xuất bởi PwC 29

Hình 2.1: Tổng doanh thu 3 năm gần nhất của Công ty TNHH KPMG 37

Hình 2.2: Cơ cấu doanh thu của Công ty TNHH KPMG trong năm 2023 38

Hình 2.3: Tổng chi phí 3 năm gần nhất của Công ty TNHH KPMG 39

Hình 2.4: Cơ cấu chi phí của Công ty TNHH KPMG trong năm 2023 39

Hình 2.5: Tình hình LNST 3 năm gần nhất của Công ty TNHH KPMG 40

Hình 2.6: Mô tả các rủi ro hoạt động trọng yếu trên bản đồ rủi ro 44

Hình 2.7: Khung quản trị rủi ro hoạt động đề xuất bởi KPMG Global 46

Hình 2.8: Cơ cấu Tổ chức Bộ phận Quản trị rủi ro & Kiểm soát tuân thủ của KPMG Việt Nam 47

DANH MỤC SƠ ĐỒ Sơ đồ 2.1: Sơ đồ Cơ cấu Tổ chức của KPMG Việt Nam 36

TÓM TẮT

Đề án “Quản trị rủi ro hoạt động tại Công ty TNHH KPMG” nhấn mạnh sự

quan trọng và cần thiết của quản trị rủi ro hoạt động trong các doanh nghiệp nói chung và các công ty Kiểm toán như Công ty TNHH KPMG nói riêng trong bối cảnh bức tranh toàn cầu về kinh tế, chính trị và xã hội được dự báo vô cùng ảm đạm với đầy thách thức và rủi ro trong những năm tới

Mục tiêu của nghiên cứu bao gồm nghiên cứu các cơ sở lý luận về rủi ro hoạt động và quản trị rủi ro hoạt động tại các công ty nói chung và các công ty Kiểm toán nói riêng, thông qua phân tích tình hình thực tế của hoạt động Quản trị rủi ro hoạt động tại Công ty TNHH KPMG, để đưa ra các đề xuất và kiến nghị nhằm nâng cao công tác Quản trị rủi ro hoạt động tại Công ty TNHH KPMG Để thực hiện mục tiêu nghiên cứu, đề án bao gồm kết cấu ba chương như sau:

Tại Chương 1, đề án đã trình bày một số cơ sở lý luận về rủi ro hoạt động để làm nền tảng cho hoạt động nghiên cứu Trước hết, đề án đã hệ thống hóa các khái niệm, đặc điểm và nguyên nhân gây ra rủi ro hoạt động cho doanh nghiệp Trên cơ sở đó, đề án cũng nêu lên khái niệm của khung Quản trị rủi ro doanh nghiệp và khung Quản trị rủi ro hoạt động doanh nghiệp theo các thông lệ quốc tế, quy trình và công cụ quản trị rủi ro hoạt động và các yếu tố ảnh hưởng đến quản trị rủi ro hoạt động của các công ty kiểm toán

Tại Chương 2, đề án tập trung đi sâu vào đánh giá thực trạng Quản trị rủi hoạt động của Công ty TNHH KPMG, cụ thể đi từ tổng quan về Công ty TNHH KPMG đến các cấu phần chi tiết của quản trị rủi ro hoạt động như: khung quản trị rủi ro hoạt động, quy trình rủi ro hoạt động, công cụ rủi hoạt động, …

Tại Chương 3, dựa vào thực trạng hiện tại và các thông lệ tốt hiện nay, đề án đã trình bày các khuyến nghị để nâng cao hiệu quả quản trị rủi ro hoạt động của Công ty TNHH KPMG như xây dựng quy trình phản ứng nhanh và linh hoạt và nâng cấp hệ thống công nghệ thông tin

LỜI MỞ ĐẦU 1 Lý do chọn đề tài

Trong những năm trở lại đây, thế giới đã chứng kiến và liên tục trải qua một chuỗi các biến động đáng kể về khía cạnh kinh tế, xã hội và chính trị Hàng loạt biến cố xảy ra như: đại dịch Covid-19, rủi ro suy thoái kinh tế toàn cầu, biến động địa chính trị và xung đột Nga – Ukraine, những tác động của biến đổi khí hậu ngày càng trở nên trầm trọng và rõ rệt, đã tạo nên một bức tranh toàn cầu ảm đạm với đầy thách thức và rủi ro trong những năm tới Những tác động từ môi trường bên ngoài doanh nghiệp diễn ra vô cùng phức tạp và những biến động không lường trước được đã đặt ra nhiều thách thức cho hoạt động kinh doanh Do đó, các công ty phải được tổ chức theo cách cho phép họ thích ứng nhanh chóng với những thay đổi trên thị trường Khi doanh nghiệp thay đổi cách thức vận hành và cơ cấu tổ chức để thích nghi với môi trường kinh doanh biến đổi, các rủi ro có thể trở nên phức tạp hơn, các rủi ro mới có thể phát sinh, từ đó có khả năng phá vỡ hệ thống kiểm soát nội bộ hiện hành

Xét riêng với tình hình thực tế tại Việt Nam, Thứ trưởng Bộ Kế hoạch và đầu tư Trần Quốc Phương tại Diễn đàn cấp cao Cố vấn tài chính Việt Nam 2023 đã nhấn mạnh những khó khăn và những rủi ro phức tạp của các doanh nghiệp nội địa cũng như nền kinh tế nói chung Trong bối cảnh đó, nội dung về quản trị rủi ro được nhấn mạnh và nhắc đến khá nhiều lần trong diễn đàn, đặc biệt khi các chuyên gia đều đồng thuận quan điểm về bối cảnh nền kinh tế vẫn còn nhiều biến động khó lường trong tương lai Quản trị rủi ro tốt được nhấn mạnh là yếu tố hàng đầu quyết định thành công của doanh nghiệp, giúp giảm thiểu rủi ro trong kinh doanh, mang lại lợi nhuận, tạo ra lợi thế cạnh tranh, tạo giá trị bền vững cho doanh nghiệp trong bối cảnh biến động như hiện nay Bộ Tài chính cũng nhấn mạnh trong bối cảnh hội nhập, môi trường kinh doanh đầy biến động và phức tạp, các doanh nghiệp Việt Nam cần tiếp cận và áp dụng những nguyên tắc và kỹ năng quản trị rủi ro doanh nghiệp hiện đại theo thông lệ quốc tế, đặc biệt là quản trị rủi ro hoạt động để ngoài việc tuân thủ tốt những quy định của pháp luật, còn phải phù hợp với các quy tắc của thị trường, từ đó tạo ra lợi

thế cạnh tranh cho doanh nghiệp và tạo động lực phát triển ổn định nền kinh tế đất nước Trong các loại rủi ro mà các doanh nghiệp gặp phải, rủi ro hoạt động có lẽ là rủi ro phức tạp nhất phải đối mặt (Xu và cộng sự, 2017; Ali Samad-Khan, 2008) Thành công của doanh nghiệp phụ thuộc rất lớn vào việc quản trị và giảm thiểu rủi ro hoạt động (Jallow & cộng sự, 2007) Trong đó, các công ty kiểm toán độc lập là một tổ chức đặc biệt nhạy cảm với rủi ro của tổ chức, vì họ phải hiểu và quản lý rủi ro hoạt động của công ty Kiểm toán cũng như hiểu được rủi ro của khách hàng của họ Tuy nhiên, trong lĩnh vực kiểm toán, một trong những rủi ro cơ bản nhất là việc đưa ra ý kiến không chính xác khi đối tượng kiểm toán vẫn còn thiếu thông tin đầy đủ (rủi ro kiểm toán) Những vụ đại án gần đây như vụ việc Vạn Thịnh Phát, Ngân hàng thương mại cổ phần Sài Gòn (SCB) hay vụ việc Chủ tịch Tập đoàn FLC Trịnh Văn Quyết thao túng thị trường chứng khoán đã gây ảnh hưởng xấu đến dư luận xã hội Bên cạnh những sai phạm của các đối tượng, sự tha hóa cán bộ quản lý, nhiều người cũng đặt câu hỏi về vai trò và trách nhiệm của các công ty kiểm toán, thẩm định giá trong việc thực hiện kiểm toán và thẩm định giá liên quan đến các vụ việc Trong ngành dịch vụ như kiểm toán, việc xây dựng niềm tin là một phần quan trọng, đặc biệt là với những người quan tâm đến sự uy tín và giá trị của báo cáo kiểm toán Do đó, thương hiệu của công ty kiểm toán trở nên vô cùng quan trọng Nếu rủi ro kiểm toán tăng cao, điều này sẽ dẫn đến sự tăng của rủi ro kinh doanh mà công ty kiểm toán phải đối mặt Do đó, quản trị rủi ro hoạt động hiệu quả sẽ giúp các công ty kiểm toán đảm bảo chất lượng của dịch vụ kiểm toán, bảo vệ uy tín và danh tiếng của công ty, và đáp ứng được các yêu cầu của các bên liên quan Có thể thấy, quản trị rủi ro hoạt động đã trở thành nhiệm vụ bắt buộc cho các công ty nói chung và công ty Kiểm toán nói riêng để đảm bảo sự hoạt động bền vững của tổ chức Trong khi đó nghiên cứu về quản trị rủi ro hoạt động vẫn còn ít ỏi, đặc biệt là các công trình nghiên cứu ở Việt Nam Do vậy, đề tài “Quản trị rủi ro hoạt động tại Công ty TNHH KPMG” được lựa chọn để thực hiện luận án nghiên cứu

2 Tổng quan nghiên cứu

Hiện nay trên thế giới, khái niệm về quản trị rủi ro hoạt động đã tương đối phổ biến, được nhiều nhà kinh tế học và nhà quản trị nghiên cứu tìm hiểu Các nghiên cứu

tập trung chủ yếu vào các nội dung: Quan điểm về nhận diện rủi ro của các công ty kiểm toán độc lập; Nội dung các loại rủi ro đối với hoạt động của công ty kiểm toán độc lập; Các giải pháp để giảm thiểu rủi ro

Phần lớn các nghiên cứu cho rằng rủi ro hoạt động của các công ty kiểm toán lớn bắt nguồn từ cơ cấu tổ chức và cơ chế kiểm soát nội bộ Theo Mintzberg (1993), hầu hết tài liệu về tổ chức các công ty kiểm toán đều cho rằng các công ty kiểm toán là “bộ máy quan liêu chuyên nghiệp” (Greenwood và cộng sự, 1990; Macintosh, 1985; Post, 1996) Nguyên lý trong hình thức chuyên nghiệp mới là hành vi thương mại hơn là dịch vụ xã hội, điều này đã khiến các tác giả như Zeff (2003) và Wyatt (2004) mô tả sự thay đổi là sự suy giảm tính chuyên nghiệp Tương tự như “tính chuyên nghiệp ở trường đại học” của Greenwood và cộng sự (1990) lập luận rằng các công ty kiểm toán là “các đối tác chuyên nghiệp” nhấn mạnh tính tập thể, đánh giá ngang hàng và quyền tự chủ của các đối tác trong công ty Trong lời kêu gọi “suy nghĩ lại về quan hệ đối tác”, một cựu đối tác của Andersen lưu ý: “cơ cấu quan hệ đối tác không phục vụ đặc biệt tốt cho công ty kế toán công – cũng như công chúng Nó khiến cho việc ra quyết định, phản ứng nhanh với sự thay đổi và quản lý khủng hoảng trở nên vô cùng khó khăn” (Toffler, 2003)

Thứ hai, khi các công ty kiểm toán phát triển về quy mô, các cấp độ phân cấp cao hơn được bổ sung vào tổ chức để cho phép kiểm soát bằng cách giám sát trực tiếp cũng như tận dụng nhân sự một cách triệt để hơn Các nghiên cứu của Pierce và Sweeney (2005) và Barrett và cộng sự (2005) chỉ ra rằng sự tham gia của đối tác và người quản lý vào quá trình xem xét kiểm toán đã tăng lên ở Big Four1 do việc áp dụng phương pháp kiểm toán rủi ro kinh doanh và sử dụng tài liệu điện tử

Ngoài các cơ chế kiểm soát được thảo luận ở trên, Martinez và Jarillo (1989) còn cung cấp cái nhìn tổng quan về một số cơ chế kiểm soát khác như phân chia bộ phận, hệ thống ngân sách, giao tiếp không chính thức và xã hội hóa vào văn hóa doanh nghiệp Tất cả những điều này cũng được các công ty kiểm toán áp dụng ở nhiều mức

1 Big 4 là bốn công ty kiểm toán lớn nhất trên thế giới tính theo doanh thu hằng năm, bao gồm PricewaterhouseCoopers (PwC), Deloitte, Ernst and Young (EY), và KPMG

độ khác nhau Theo Stevens (1991) Price Waterhouse phụ thuộc rất nhiều vào văn hóa doanh nghiệp để phối hợp

Tuy nhiên, đây là một cơ chế phối hợp tốn kém và nó vẫn được bổ sung bởi các quy trình vận hành tiêu chuẩn chính thức để tiến hành kiểm toán cũng như quản lý chung (Squires và cộng sự, 2003) Tuy nhiên, văn hóa doanh nghiệp là một cơ chế kiểm soát đóng vai trò bổ sung ở một số công ty kiểm toán Bell và cộng sự (1997) coi văn hóa doanh nghiệp là một nguồn rủi ro nếu nó không hỗ trợ cho chiến lược kinh doanh đã chọn

Các nghiên cứu đã chỉ ra rằng các công ty kiểm toán lớn đã tập trung hóa phần lớn việc ra quyết định chiến lược và hoạt động của họ Nghịch lý của bộ máy quan liêu là mức độ phổ biến của nó trên thực tế tỷ lệ thuận với danh tiếng của nó Miễn là môi trường vẫn ổn định, bộ máy quan liêu không nhất thiết gây ra vấn đề Theo Mintzberg (1993), đó là một cách hiệu quả để kiểm soát sản xuất hàng loạt Tuy nhiên, nếu môi trường trở nên không ổn định, hệ thống phân cấp sẽ trở nên rối loạn chức năng Nói chung, sự kết hợp giữa bộ máy quan liêu và thứ bậc sẽ làm chậm quá trình ra quyết định của công ty, khiến nó trở nên rối loạn chức năng trong “nền kinh tế mới” chuyên môn hóa linh hoạt, nơi cần có những quyết định nhanh chóng để nắm bắt cơ hội trong những ngóc ngách tạm thời

Theo Elliott (1994, 1996, 1997, 1998), nghề kế toán nhìn chung đang đứng trước những thách thức cũng như cơ hội thay đổi của công nghệ thông tin và sự thay đổi trong nhu cầu thông tin của nhà đầu tư Những thay đổi này được cho là đòi hỏi phải “tái cơ cấu” hoạt động kiểm toán để tập trung vào rủi ro kinh doanh và cũng dẫn đến các cơ hội dưới dạng dịch vụ đảm bảo Do đó, nếu các công ty kiểm toán lớn nhận thấy mình đang ở trong môi trường thay đổi nhanh chóng thì hình thức tổ chức của họ có thể là nguyên nhân gây ra những vấn đề nghiêm trọng

Tuy nhiên, do tính chất cá biệt, khó lượng hóa và tách bạch rủi ro hoạt động với các loại rủi ro khác khiến cho việc đo lường rủi ro hoạt động không dễ dàng Chapelle và cộng sự (2008) đã sử dụng phương pháp đo lường rủi ro hoạt động gián tiếp thông qua lợi nhuận điều chỉnh rủi ro về hệ số lợi nhuận trên vốn có hiệu chỉnh rủi ro (Risk

Adjusted Returns on Capital - RAROC) hay như một số nghiên cứu khác đo lường thông qua mức hiệu quả sử dụng tài sản Bên cạnh các cách tiếp cận để tính vốn yêu cầu mà Basel2 đề xuất (SA, BIA và AMA3), các mô hình đo lường rủi ro hoạt động khác đã được phát triển dựa trên giá trị chịu rủi ro (Value at Risk- VaR), lý thuyết giá trị cực trị (Extreme Value Method), mạng lưới Bayesian hoặc những kỹ thuật phân tích số liệu khách quan (Feng-ge, Y., & Ping, Z, 2012) Cremonino & Giorgino (1998), Cruz và cộng sự (1998), sử dụng giá trị chịu rủi ro dành cho rủi ro hoạt động, là những tác giả nghiên cứu đầu tiên trong lĩnh vực định lượng rủi ro hoạt động theo những phương pháp trên

Tại Việt Nam, nghiên cứu về quản trị rủi ro hoạt động chủ yếu tập trung vào quản trị rủi ro hoạt động tại các ngân hàng Thái Đức Minh (2011) đã nghiên cứu về quản trị rủi ro hoạt động trong môi trường công nghệ tại Ngân hàng Thương mại Cổ phần Ngoại Thương Việt Nam (Vietcombank) bằng cách phân tích thực trạng rủi ro hoạt động dưới sự tác động của môi trường của công nghệ và đánh giá công tác quản trị rủi ro hoạt động trong môi trường công nghệ tại ngân hàng Đỗ Thu Thủy (2016) đã nghiên cứu về thực trạng quản trị rủi ro hoạt động của Ngân hàng Thương mại Cổ phần Công Thương Việt Nam, bao gồm những lỗ hổng tiềm ẩn rủi ro hoạt động, mô hình quản trị rủi ro hoạt động và các công cụ quản trị rủi ro hoạt động tại Ngân hàng Từ đó, tác giả đã nêu lên những đánh giá chung và đưa ra các khuyến nghị nhằm tăng cường công tác quản trị rủi ro hoạt động tại Ngân hàng Nguyễn Thị Lan Chi (2013) đã thực hiện nghiên cứu về thực trạng công tác quản trị rủi ro hoạt động tại các Ngân hàng thương mại Việt Nam, từ đó nêu lên những giải pháp và kiến nghị nhằm tăng cường quản trị rủi ro hoạt động trong bối cảnh phát triển của thị trường tài chính trong nước và quốc tế Nguyễn Thị Lan (2022) đã thực hiện đề tài nghiên cứu về các mô hình quản trị rủi ro hoạt động tại một vài tổ chức tín dụng trên thế giới như Ngân hàng Land Bank of Phillipines và Ngân hàng Karafarin tại Iran, từ đó đề xuất những

2Uỷ ban Basel về giám sát ngân hàng (Basel Committee on Banking supervision - BCBS) được thành lập vào năm 1974 bởi một nhóm các Ngân hàng Trung ương và cơ quan giám sát của 10 nước phát triển (G10) tại thành phố Basel, Thụy Sỹ nhằm tìm cách ngăn chặn sự sụp đổ hàng loạt của các ngân hàng vào thập kỷ 80.

3 SA là cách tiếp cận chuẩn hóa; BIA là cách tiếp cận chỉ số cơ bản; AMA là cách tiếp cận đo lường tiên tiến

gợi ý chính sách cho các Ngân hàng thương mại Việt Nam theo các tiêu chuẩn của Basel II

Có thể thấy, chưa có nhiều đề tài tại Việt Nam thực hiện nghiên cứu liên quan đến rủi ro hoạt động của các công ty kiểm toán Nguyễn Hải Đăng (2013) đã thực hiện nghiên cứu về các loại rủi ro của công ty kiểm toán trong xu thế hội nhập hiện nay, qua đó nhấn mạnh tầm quan trọng của quản trị rủi ro hoạt động và gợi ý một số giải pháp để khắc phục các rủi ro trong hoạt động của các công ty kiểm toán Việt Nam Lê Thành Long (2021) đã thực hiện nghiên cứu về Công ty TNHH Tư vấn - Kiểm toán S&S với mục tiêu nghiên cứu là xác định thực trạng công tác đánh giá và xử lý rủi ro kiểm toán trong giai đoạn lập kế hoạch, các hạn chế dẫn đến yếu kém trong quá trình thực hiện quy trình trên; từ đó đề xuất các giải pháp nâng cao hiệu quả hoạt động tại đơn vị, cải thiện chất lượng cung cấp dịch vụ kiểm toán báo cáo tài chính

3 Mục tiêu và nhiệm vụ nghiên cứu

Trên cơ sở những lý luận cơ bản về rủi ro hoạt động và quản trị rủi ro hoạt động, đề án tập trung phân tích thực trạng hoạt động Quản trị rủi ro hoạt động tại Công ty TNHH KPMG Việc tìm hiểu thực trạng của Công ty giúp tác giả chỉ ra những thành tựu và những hạn chế còn tồn tại ảnh hưởng đến hoạt động Quản trị rủi ro hoạt động tại Công ty TNHH KPMG Thông qua việc xác định những nguyên nhân của các hạn chế đó, nghiên cứu đề xuất những khuyến nghị phù hợp để nhằm nâng cao công tác Quản trị rủi ro hoạt động tại Công ty TNHH KPMG trong thời gian tới

Để hoàn thành mục tiêu nghiên cứu đã đề ra, đề án tập trung thực hiện các nhiệm vụ nghiên cứu cụ thể sau:

- Nghiên cứu cơ sở lý luận về chủ đề liên quan tới Rủi ro hoạt động và Quản trị rủi ro hoạt động tại các công ty Kiểm toán

- Phân tích tình hình thực tế hoạt động Quản trị rủi ro hoạt động tại Công ty TNHH KPMG và đưa ra nhận xét, đánh giá

- Đề xuất một số giải pháp nhằm nâng cao công tác Quản trị rủi ro hoạt động tại Công ty TNHH KPMG

4 Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu: Hoạt động Quản trị rủi ro hoạt động tại Công ty TNHH KPMG

Phạm vi nghiên cứu:

- Phạm vi không gian: Quản trị rủi ro hoạt động tại Công ty TNHH KPMG

- Phạm vi thời gian: nghiên cứu dữ liệu thu thập được từ năm 2021 đến năm 2023

5 Phương pháp nghiên cứu

Tác giả sử dụng phương pháp nghiên cứu định tính trên cơ sở điều tra, phân tích thực tiễn

Dữ liệu sơ cấp được thu thập chủ yếu qua phương pháp điều tra Dữ liệu thứ cấp, được thu thập chủ yếu từ các tài liệu nghiên cứu trước, các tài liệu kiểm toán, các thống kê, đánh giá của các cơ quan quản lý có liên quan đến hoạt động kiểm toán độc lập

Các số liệu nội bộ do Công ty TNHH KPMG cung cấp, được tác giả tổng hợp, thống kê sử dụng ứng dụng phần mềm EXCEL

CHƯƠNG 1 CƠ SỞ LÝ LUẬN VỀ RỦI RO HOẠT ĐỘNG VÀ QUẢN TRỊ RỦI RO HOẠT ĐỘNG

1.1 Cơ sở lý luận về rủi ro hoạt động

1.1.1 Khái niệm rủi ro

Chủ đề liên quan tới rủi ro trong doanh nghiệp đã được nghiên cứu trong nhiều bối cảnh môi trường kinh doanh và các lĩnh vực khác nhau của doanh nghiệp, chẳng hạn như quá trình ra quyết định quản lý (March và Sapira, 1987; Yates và Stone, 1992), chiến lược (Ruefli và cộng sự, 1999; Sitkin và Pablo, 1992); Wiseman và Bromiley, 1991), hoạt động (Newman và cộng sự, 1993; Pagell và Krause, 1999), kế toán (Ashton, 1998; Baucus và cộng sự, 1993), tài chính (Chow và Denning, 1994; Ho và Pike, 1989) Tuy xuất hiện nhiều những định nghĩa khác nhau về rủi ro, các nhà nghiên cứu thường tiếp cận chủ đề rủi ro doanh nghiệp từ trường phái truyền thống và hiện đại

Theo trường phái truyền thống, rủi ro doanh nghiệp có thể được hiểu là sự kiện bất lợi, bất ngờ xảy ra gây ra tổn thất cho doanh nghiệp và con người Theo Ủy ban Chống gian lận khi lập Báo cáo tài chính thuộc Hội đồng quốc gia Hoa Kỳ (COSO) (2004), “rủi ro là khả năng mà một sự kiện có thể xảy ra và ảnh hưởng xấu đến việc đạt được những mục tiêu nêu trong báo cáo tài chính” Tương tự, Phan Thanh Tùng (2020) cho rằng “rủi ro là những bất trắc ngoài ý muốn xảy ra trong quá trình sản xuất và kinh doanh của doanh nghiệp, tác động tiêu cực đến sự tồn tại và phát triển của doanh nghiệp” Yates và Stones (1992) đã xác định ba cấu phần chính của rủi ro bao gồm: 1) các yếu tố tổn thất, 2) mức độ tổn thất, 3) sự không chắc chắn liên quan đến tổn thất

Tiếp cận từ quan điểm trung hòa và hiện đại, Viện tiêu chuẩn Anh quốc định nghĩa: “rủi ro là sự kiện không chắc chắn tác động đến các kết quả kinh doanh hoặc mục tiêu của dự án” Tương tự, tiêu chuẩn ISO 31000:2018 của Tổ chức Tiêu chuẩn hóa Quốc tế và COSO (2017) đã đưa ra khái niệm “rủi ro của doanh nghiệp là ảnh hưởng của các sự kiện không chắc chắn tới những mục tiêu của doanh nghiệp” Theo Viện Quản lý Dự án Hoa Kỳ (PMI) rủi ro được định nghĩa là “một điều kiện hoặc sự kiện không chắc chắn trong tương lai, có thể ảnh hưởng tiêu cực hoặc tích cực đến

một hoặc nhiều mục tiêu dự án” Các quan điểm này đều thống nhất rủi ro là sự kiện không chắc chắn và có thể tác động tới mục tiêu của dự án và doanh nghiệp Tuy nhiên bản chất của tác động không được chỉ rõ là tác động tiêu cực hay tích cực, như vậy có thể hiểu rủi ro có thể mang lại cả thách thức hoặc cơ hội cho các doanh nghiệp Bên cạnh đó, mặc dù rủi ro và sự không chắc chắn thường hay được sử dụng thay thế cho nhau, sự khác biệt giữa chúng là vô cùng rõ ràng Knight (1921) đã nêu ra sự khác biệt giữa rủi ro và sự không chắc chắn, trong đó “rủi ro là những sự kiện mà xác suất xảy ra có thể được tính toán, trái ngược với những sự kiện không chắc chắn mà việc phân tích là không thể thực hiện được do sự xuất hiện của chúng không tuân theo một mô hình rõ ràng” Nghiên cứu này tiếp cận khái niệm rủi ro doanh nghiệp theo trường phái trung hòa và hiện đại Mặc dù được diễn đạt theo nhiều cách khác nhau, luận án nhận thấy bản chất và nội hàm của rủi ro doanh nghiệp là những sự kiện không chắc chắn có thể xảy ra trong tương lai và tạo ra thách thức hoặc cơ hội, từ đó ảnh hưởng đến mục tiêu của doanh nghiệp

1.1.2 Khái niệm rủi ro hoạt động

Mặc dù thuật ngữ “rủi ro hoạt động” (Operational Risk) đã tồn tại từ năm 1991 (COSO, 1991), thuật ngữ này không được phổ biến rộng rãi cho đến giữa và cuối những năm 1990 khi các đề xuất Basel II4 được phát triển và công bố Trước đây, rủi ro hoạt động thường chỉ gắn liền với lĩnh vực ngân hàng, tuy nhiên, trong thời gian gần đây, rủi ro hoạt động đã được mở rộng và trở thành vấn đề quan trọng của các doanh nghiệp từ mọi lĩnh vực như: năng lượng, vận tải, sức khỏe, kế toán và kiểm toán, giáo dục, v.v (Raanan & cộng sự, 2010) Crouchy & cộng sự (2001) cho rằng “rủi ro hoạt động là rủi ro rằng các sự kiện bên ngoài, hoặc những thiếu sót trong hệ thống kiểm soát nội bộ hoặc hệ thống thông tin sẽ dẫn đến tổn thất - cho dù tổn thất đó có được dự đoán trước ở một mức độ nào đó hay hoàn toàn bất ngờ” Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) (2003) đã định nghĩa “rủi ro hoạt động là rủi ro mất mát hoặc thua lỗ do vi phạm các biện pháp kiểm soát trong doanh nghiệp, bao gồm nhưng không giới hạn ở việc vượt quá giới hạn không xác định, giao dịch

4 Basel II là phiên bản thứ hai của Hiệp ước Basel, trong đó đưa ra các nguyên tắc chung và các luật ngân hàng của Ủy ban Basel về Giám sát Ngân hàng

trái phép hoặc gian lận trong giao dịch, nhân viên thiếu kinh nghiệm, hệ thống máy tính không ổn định và dễ dàng bị truy cập” Định nghĩa phổ biến nhất về rủi ro hoạt động được phát triển bởi Robert Morris Associates và cộng sự (1999) và Ủy ban Basel (2011), theo đó, “rủi ro hoạt động là rủi ro gây ra tổn thất trực tiếp hoặc gián tiếp do các nguyên nhân như con người, sự không đầy đủ hoặc vận hành không tốt các quy trình, hệ thống và các sự kiện khách quan bên ngoài” Định nghĩa này đã được mở rộng hơn về phạm vi tại hiệp ước Basel II (2014), bao gồm thêm các loại rủi ro về con người, rủi ro trong kiểm soát nội bộ, rủi ro công nghệ, rủi ro từ đối tác, rủi ro pháp lý nhưng không bao gồm rủi ro chiến lược và rủi ro danh tiếng Theo Chernobai & cộng sự (2008), hầu hết các tổn thất xảy ra từ rủi ro hoạt động đều có quy mô tương đối nhỏ - thực tế là những tổn thất này diễn ra thường xuyên khiến chúng có thể dự đoán được và thường có thể phòng ngừa được, ví dụ về các tổn thất hoạt động như liên quan đến lỗi thiết bị và máy móc Các sự kiện liên quan đến rủi ro hoạt động nghiêm trọng hơn về mức độ tổn thất phát sinh bao gồm việc không tuân thủ thuế, hoạt động giao dịch trái phép, hoạt động gian lận nội bộ lớn, gián đoạn kinh doanh do thiên tai và phá hoại Mặc dù rủi ro hoạt động mang lại những thách thức và tổn thất, nhưng chúng cũng có thể mở ra cơ hội cho sự phát triển và đổi mới của doanh nghiệp Ví dụ, khi triển khai công nghệ mới hoặc cập nhật quy trình, các nhân viên có thể thích ứng chậm khi phải học và sử dụng các công cụ mới, dẫn đến những sai sót trong nghiệp vụ hoặc hoạt động kinh doanh của doanh nghiệp Tuy nhiên, thông qua việc đào tạo kỹ lưỡng và chu đáo, các tổ chức có thể không chỉ vượt qua những khó khăn ban đầu mà còn nâng cao được lợi thế cạnh tranh, giảm thiểu chi phí và thúc đẩy hiệu quả hoạt động trong dài hạn Từ những định nghĩa trên và cách tiếp cận khái niệm rủi ro từ quan điểm trung hòa, rủi ro hoạt động có thể có thể được hiểu là những sự kiện không chắc chắn liên quan tới con người, quy trình, hệ thống và các sự kiện không chắc chắn bên ngoài ảnh hưởng tới mục tiêu của doanh nghiệp

1.1.3 Đặc điểm của rủi ro hoạt động

Đặc điểm đầu tiên của rủi ro hoạt động là sự đa dạng của các rủi ro, gây khó khăn cho việc giới hạn số lượng các khía cạnh cần thiết để mô tả nó (Moosa, 2007) Buchelt và Untregger (2004) mô tả rủi ro hoạt động là “một tập hợp rủi ro rất đa dạng

và có mối liên hệ với nhau với các nguồn gốc khác nhau” Tương tự như vậy Ủy ban Basel (2003) ngụ ý tính đa dạng của rủi ro hoạt động bằng cách tuyên bố rằng “nó có thể xảy ra trong bất kỳ hoạt động, chức năng, hoặc đơn vị nào của tổ chức” Hoffman (2002) ngầm thừa nhận đặc điểm của sự đa dạng, lập luận rằng rủi ro hoạt động nằm trong tất cả các ngành nghề kinh doanh và trải rộng trên toàn bộ hoạt động trong chuỗi giá trị của tổ chức

Do tính đa dạng và các yếu tố bên ngoài khác, rủi ro hoạt động thường khó đo lường, nhận biết và quản lý hơn các loại rủi ro khác (KPMG, 2003) Về khó khăn của việc lập mô hình và định lượng rủi ro hoạt động, Samad-Khan và cộng sự (2006) lập luận rằng “việc lập mô hình rủi ro hoạt động rất khác với việc lập mô hình các loại rủi ro khác vì về cơ bản, việc lập mô hình rủi ro hoạt động là giải quyết vấn đề dữ liệu” Doerig (2003) đã mô tả một vài nguyên nhân nhằm giải thích cho sự khó khăn trong việc quản trị các rủi ro hoạt động: (i) các định nghĩa chưa nhất quán, (ii) các khung quản trị khác nhau, (iii) dữ liệu mơ hồ, (iv) các mô hình phức tạp và/hoặc chưa đáng tin cậy, (v) các nghiên cứu học thuật không áp dụng được trong thực tế

Tiếp theo, rủi ro hoạt động thường gắn liền với rủi ro tín dụng và rủi ro thị trường, và sự thất bại về rủi ro hoạt động trong điều kiện thị trường căng thẳng có thể có khả năng xảy ra và gây thiệt hại rất lớn Ví dụ, trong trường hợp sụp đổ của ngân hàng Barings (1995), đó là hậu quả của các sự kiện và sự giám sát quản lý không hiệu quả đối với các hoạt động giao dịch tại Singapore và chỉ số Nikkei5 sụt giảm mạnh sau một trận động đất - khiến ngân hàng 233 tuổi lỗ hàng tỷ USD Tuy nhiên, Koker (2006), Rao và Dev (2016) đã xác định hai đặc điểm của rủi ro hoạt động để phân biệt với rủi ro tín dụng và rủi ro thị trường: Trước hết, rủi ro hoạt động không liên quan chặt chẽ đến bất kỳ chỉ số tài chính nào Thứ hai, rủi ro hoạt động phụ thuộc tương đối nhiều vào văn hóa của các đơn vị kinh doanh so với hai loại rủi ro trên Một đặc điểm khác được xác định bởi Kaiser và Kohne (2006) cho rằng rủi ro hoạt

5 Chỉ số Nikkei là chỉ số đại diện cho thị trường chứng khoán Nhật Bản, thể hiện sức mạnh của các doanh nghiệp nổi bật nhất trong nền kinh tế nước này Chỉ số này được ra đời ngày 16/05/1971 do sở chứng khoán Tokyo chính thức ban hành Ban đầu chỉ số được gọi là Nikkei Dow Jones Stock Average và chính thức đổi tên thành chỉ số Nikkei 225 vào năm 1985

động mang tính nội sinh hơn rủi ro thị trường và rủi ro tín dụng, điều đó có nghĩa là cơ hội giảm thiểu rủi ro thường lớn hơn đối với rủi ro hoạt động

Ngoài ra, nếu hoạt động rủi ro không được quản lý như một lĩnh vực rủi ro riêng biệt, nó có xu hướng được quản lý khác nhau ở các lĩnh vực khác nhau của công ty Sự thiếu quản lý nhất quán này có thể dẫn đến việc bỏ qua các vấn đề rủi ro chính và dẫn đến sai lệch trong các hoạt động khác nhau, biện pháp khác nhau mà cuối cùng có thể dẫn tới các quyết định quản lý dựa trên về thông tin không chính xác

1.1.4 Nguyên nhân gây ra rủi ro hoạt động

1.1.4.1 Rủi ro quy trình

Một trong những nhân tố chính gây ra rủi ro hoạt động là rủi ro quy trình (Robert Morris Associates và cộng sự, 1999) Rủi ro quy trình tồn tại khi quy trình hỗ trợ hoạt động kinh doanh của doanh nghiệp thiếu hiệu quả, điều này có thể cản trở doanh nghiệp đạt được các mục tiêu hoặc dẫn đến các tổn thất về tài chính, khách hàng và danh tiếng Ví dụ: trong ngành sản xuất, một công ty thiếu quy trình sản xuất hợp lý có thể không đáp ứng hoàn thiện được các đơn đặt hàng của khách hàng, điều này có thể làm suy yếu hiệu quả hoạt động của doanh nghiệp Quá trình sản xuất bị gián đoạn sẽ được coi là mối đe dọa đối với mối quan hệ của công ty với khách hàng hiện tại và tiềm năng

Một yếu tố quan trọng khác của rủi ro hoạt động có thể xuất phát từ tài liệu trong quá trình tác nghiệp Tài liệu không đúng hoặc không đầy đủ có thể dẫn đến thông tin sai lệch giữa các bên tham gia hợp đồng, tạo ra thêm những rủi ro không đáng có nếu có tranh chấp Ngày nay, các hiệp định chính đóng một vai trò quan trọng trong giao dịch: chúng cung cấp một cách thống nhất để giảm thiểu rủi ro tín dụng và pháp lý đối với các sản phẩm tài chính khác nhau giữa hai hoặc nhiều đối tác hơn Chúng cũng mang lại lợi ích của việc tạo mạng lưới kinh doanh, làm giảm tổng dư nợ tín dụng giữa các đối tác thường xuyên

Một nguyên nhân khác gây ra rủi ro quy trình được nhiều nhà quản lý đồng thuận là việc tự động hóa quy trình, quá trình Charles Fishkin, một nhà tư vấn rủi ro, cho rằng tất cả các hoạt động thỏa thuận tổng thể nên được quản lý trong một hệ thống

từ thảo luận ban đầu, đến việc thực hiện, đến sửa đổi cho cả các hệ thống mới và khách hàng hiện tại Với mỗi giai đoạn được thực hiện và ghi lại trong một môi trường điện tử được kiểm soát, tất cả những bên tham gia (thương nhân, nhà tiếp thị, cán bộ tín dụng, luật sư và chuyên gia tài liệu hoặc nhân viên) có thể kiểm tra trạng thái của hợp đồng, hoặc thỏa thuận bất cứ lúc nào dễ dàng hơn nhiều so với trước đây Các báo cáo toàn diện cũng có thể được tạo ra và sắp xếp dễ dàng theo danh mục (đơn vị kinh doanh, loại sản phẩm, địa lý, v.v.) Dòng thông tin đã trở thành nhất quán và minh bạch hơn, điều này đã giúp giảm thiểu các vấn đề như tài liệu được thực hiện tại thời điểm cần thiết hoặc các giao dịch đã được đặt trước theo các thỏa thuận tổng thể sai lầm Kết quả là, các quyết định có thể được đưa ra nhanh hơn và rủi ro hoạt động (và rủi ro tín dụng trong trường hợp này) có thể được giảm bớt

1.1.4.2 Rủi ro con người

Rủi ro về con người thường xuất phát từ sự hạn chế của nhân viên, sự thiếu năng lực, không trung thực, hoặc một nền văn hóa doanh nghiệp không nâng cao nhận thức về rủi ro Hạn chế về nhân sự xảy ra khi các công ty không thể lấp đầy các vị trí quan trọng còn trống vì vấn đề lao động thiếu hụt, hoặc do đền bù và các ưu đãi khác không hấp dẫn tới các ứng viên mới Năng lực kém trở thành vấn đề khi nhân viên thiếu năng lực, mức độ kỹ năng và kiến thức cần thiết để thực hiện công việc của họ một cách chính xác Rủi ro do con người sẽ trở nên phúc tạp hơn khi nhân sự không được đào tạo một cách đầy đủ về chuyên môn Sự không trung thực trong một công ty có thể dẫn đến các hoạt động gian lận như trộm cắp của nhân viên Văn hóa doanh nghiệp không chú trọng nhận thức về rủi ro hoặc doanh nghiệp khuyến khích lợi nhuận mà không quan tâm đến các phương pháp được sử dụng để tạo ra chúng cũng có thể dẫn đến hành vi bất lợi của nhân viên Mỗi nhân viên trong một tổ chức phải được coi là một rủi ro, đó là lý do tại sao việc kiểm tra lý lịch lại cần thiết trong việc giảm thiểu rủi ro này

1.1.4.3 Rủi ro hệ thống

Các sự kiện rủi ro hoạt động do lỗi hệ thống ngày càng cần được quan tâm khi công nghệ đang là một phần không thể thiếu của hoạt động kinh doanh Các công ty ngày nay thường sử dụng hệ thống được tích hợp trong toàn công ty và được thiết kế

riêng cho phù hợp với nhu cầu hoạt động và kinh doanh cụ thể Nếu sự phát triển về công nghệ, cơ sở hạ tầng của một công ty không theo kịp sự phát triển của hoạt động kinh doanh, sẽ tiềm ẩn những rủi ro mới Rủi ro hệ thống bao gồm tính sẵn sàng, tính toàn vẹn dữ liệu của hệ thống, dung lượng hệ thống, việc truy cập và sử dụng trái phép, và phục hồi kinh doanh từ các tình huống bất ngờ khác nhau Một ví dụ khác về rủi ro hệ thống là rủi ro thua lỗ do lỗi các mô hình tài chính Tổ chức có thể sử dụng các phương pháp, giả định, hoặc các thông số trong việc đánh giá một cơ hội kinh doanh hoặc đầu tư, và do đó đánh giá thấp những rủi ro mà nó đang gánh chịu Sự tiếp xúc với rủi ro mô hình có thể dao động từ các quyết định chiến lược dựa trên mô hình dựa trên giá trị gia tăng kinh tế (EVA) đánh giá thấp chi phí rủi ro đối với các quyết định đầu tư dựa trên cơ sở không đầy đủ giả định về việc một sản phẩm phái sinh phức tạp sẽ được định giá như thế nào Báo chí tài chính chứa đầy những câu chuyện về việc doanh nghiệp thua lỗ do mô hình tài chính không chính xác

Ngoài ra, những rủi ro liên quan đến lỗi lập trình và thiếu lập kế hoạch cũng là những rủi ro tương đối lớn Một lỗi nhỏ trong một thuật toán có thể dễ dàng lan truyền thông qua một số mô hình và trên các mạng, gây ra thiệt hại lớn trước khi lỗi được phát hiện Chi phí khổng lồ liên quan đến các biện pháp khắc phục lỗi là một ví dụ điển hình về việc những sai sót nhỏ có thể nhanh chóng gây lên thiệt hại lớn như thế nào Cuối cùng, lỗi hệ thống tạo ra rủi ro lớn cho doanh nghiệp, vì sự cố của hệ thống có thể buộc các hoạt động tạo doanh thu phải dừng lại Bảo mật đang nhanh chóng nổi lên như một rủi ro công nghệ quan trọng khác, đặc biệt là trước sự phát triển của thương mại điện tử

1.1.4.4 Rủi ro từ bên ngoài

Rủi ro sự kiện là rủi ro tổn thất do các sự kiện đơn lẻ khó xảy ra nhưng có thể xảy ra gây ra những hậu quả nghiêm trọng nếu chúng xảy ra - ví dụ, trong nội bộ hoặc bên ngoài gian lận, lỗi hệ thống, xáo trộn thị trường và các yếu tố tự nhiên hoặc nhân tạo thiên tai Sự cố rủi ro sự kiện thường ngẫu nhiên và do đó khó khăn để dự đoán, mặc dù chúng có thể được kiểm soát thông qua việc lập kế hoạch và sự quản lý Mặc dù những sự kiện như vậy khó xảy ra nhưng doanh nghiệp phải dự kiến những điều không ngờ tới Cũng cần lưu ý rằng các sự kiện lớn thường dẫn đến tác động đối với

tất cả các loại rủi ro - thị trường, tín dụng, thanh khoản và hoạt động Hơn nữa, những sự kiện không chắc chắn xảy ra với tần suất lớn hơn nhiều so với những sự kiện có thể xảy ra

Tổng hợp một số ví dụ cụ thể để mô tả các nguyên nhân gây ra rủi ro hoạt động cho doanh nghiệp như sau:

Bảng 1.1: Bảng tổng hợp các nguyên nhân gây ra rủi ro hoạt động

Quy trình Con người Hệ thống Bên ngoài

Các vấn đề liên quan đến tuân thủ và pháp lý

Thực hiện hành vi trái phép

Lỗi phần cứng hoặc phần mềm

Lỗi vận hành tại nhà cung cấp hoặc hoạt động thuê ngoài Sai sót về kế toán

và thuế

Người lao động gặp tai nạn hoặc thương tật

Dữ liệu không sẵn có hoặc không chất lượng

Hỏa hoạn và thiên tai

Quy trình và thủ tục phức tạp, rắc rối

Các vấn đề về bồi thường và chấm dứt hợp đồng

Truy cập trái phép vào thông tin và bảo mật hệ thống

Khủng bố và phá hoại

Thất lạc các tài liệu quan trọng

Các vấn đề liên quan đến tuyển dụng và giữ chân nhân viên

Máy tính bị hack hoặc bị virus xâm nhập

Trộm cắp từ bên ngoài

Nguồn: KPMG (2003)

1.2 Cơ sở lí luận về quản trị rủi ro hoạt động của doanh nghiệp

1.2.1 Khái niệm Quản trị rủi ro hoạt động

Lĩnh vực quản trị rủi ro trong doanh nghiệp có nguồn gốc từ ngành bảo hiểm, mãi cho đến những năm 1990, quản trị rủi ro doanh nghiệp mới trở nên phổ biến và nhận được sự quan tâm trong các tập đoàn tài chính và phi tài chính Rủi ro ảnh hưởng đến các tổ chức có thể có hậu quả về hiệu quả kinh tế và danh tiếng chuyên nghiệp,

cũng như kết quả về môi trường, an toàn và xã hội Do đó, quản lí rủi ro một cách hiệu quả giúp các tổ chức thực hiện tốt trong một môi trường đầy bất trắc Hiện nay, các khái niệm về quản trị rủi ro doanh nghiệp chủ yếu chia theo hai hướng: quan điểm truyền thống cho rằng quản trị rủi ro chỉ quản trị rủi ro thuần túy, rủi ro có thể bảo hiểm, tập trung vào “quản trị tổn thất”, còn theo quan điểm hiện đại thì quản trị rủi ro là “quản trị hiểm họa và cơ hội”, với mục tiêu là giảm thiểu tổn thất và kích thích, đón đầu cơ hội Một định nghĩa về quản trị rủi ro doanh nghiệp (Enterprise Risk Management – ERM) được sử dụng phổ biến trong nhiều lĩnh vực được COSO (2014) đưa ra là: “Quản trị rủi ro doanh nghiệp là một quy trình, chịu sự chi phối của Ban Giám đốc, cấp quản lý và các cá nhân khác của doanh nghiệp, được sử dụng trong việc thiết lập chiến lược và áp dụng trong toàn doanh nghiệp Quản trị rủi ro doanh nghiệp được thiết kế nhằm nhận diện những sự kiện có khả năng ảnh hưởng tới doanh nghiệp và quản lý rủi ro trong khả năng chấp nhận rủi ro của doanh nghiệp, nhằm đưa ra những đảm bảo hợp lý để đạt được những mục tiêu của doanh nghiệp” Quản trị rủi ro doanh nghiệp cũng có thể được hiểu là văn hóa, năng lực và thực tiễn, được tích hợp với việc thiết lập chiến lược và hiệu suất, mà các tổ chức dựa vào để quản trị rủi ro trong việc tạo ra, bảo tồn và hiện thực hóa giá trị (COSO, 2017)

Dựa theo định nghĩa của COSO (2014) về quản trị rủi ro doanh nghiệp, quản trị rủi ro hoạt động doanh nghiệp có thể hiểu là quá trình doanh nghiệp tiến hành các hoạt động tác động tới rủi ro hoạt động bao gồm việc thiết lập cơ cấu tổ chức, xây dựng hệ thống các chính sách, phương pháp quản lý để thực hiện quá trình quản trị rủi ro nhằm đảm bảo hạn chế rủi ro có thể xảy ra tới mức thấp nhất Quản trị rủi ro hoạt động hiệu quả không nhằm mục tiêu loại bỏ hoàn toàn rủi ro để chúng không xảy ra mà kiểm soát rủi ro có thể xảy ra trong mức độ dự đoán trước Mục đích của quản trị rủi ro hoạt động là dự báo được rủi ro và giảm thiểu thiệt hại thông qua tìm hiểu được mức độ rủi ro hoạt động của doanh nghiệp và nguyên nhân dẫn tới những rủi ro đó, từ đó phân bố nguồn lực để xác định khuynh hướng biến động của rủi ro hoạt động ở bên trong và bên ngoài doanh nghiệp

1.2.2 Vai trò của Quản trị rủi ro hoạt động

Standard & Poor (2008) coi Quản trị rủi ro doanh nghiệp như một công cụ để giảm thiểu rủi ro và là hệ thống để lựa chọn các rủi ro cần phòng vệ Thông qua quản trị rủi ro doanh nghiệp, các doanh nghiệp có thể đối mặt với rủi ro, tận dụng cơ hội và các năng lực khác để tạo ra giá trị (COSO, 2004) Một loạt các nhà kinh tế học và nhà quản lý khác (Baxter & cộng sự, 2013; Hoyt và Liebenberg, 2011; Kaplan và Mikes, 2012; McShane và cộng sự, 2011) cũng thống nhất quan điểm rằng quản trị rủi ro doanh nghiệp là một hệ thống giúp các doanh nghiệp đối phó với sự tác động của nhiều thiệt hại từ rủi ro xảy ra Daud và cộng sự (2009) đã mô tả rằng quản trị rủi ro doanh nghiệp tốt có thể giúp các doanh nghiệp đạt được những mục tiêu của mình COSO (2004) đã mô tả các lợi ích và vai trò của quản trị rủi ro doanh nghiệp như sau: - Đảm bảo quản lý rủi ro trong giới hạn bằng cách sắp xếp các rủi ro và chiến lược

Quản lý rủi ro hoạt động nghiêm ngặt có thể mang lại cho tổ chức nhiều lợi ích Nó có thể giúp giảm chi phí, tăng hiệu quả, cải thiện việc ra quyết định, bảo vệ và nâng cao danh tiếng Trên hết, nó có thể giúp tổ chức ứng phó một cách linh hoạt

trước mọi gián đoạn không thể tránh khỏi có thể ảnh hưởng đến hoạt động của tổ chức

Quản lý rủi ro cũng có thể thúc đẩy mối quan hệ với các bên liên quan - cho dù đó là khách hàng, nhà đầu tư, nhà cung cấp, công chúng hay chính phủ - bằng cách cho thấy rằng tổ chức đã coi trọng các mối đe dọa đối với khả năng duy trì hoạt động của mình Đối với doanh nghiệp có vấn đề pháp lý, nó có thể giúp doanh nghiệp cải thiện không chỉ hoạt động mà còn cả sản phẩm, dịch vụ của mình Nó có thể giúp họ xác định tốt hơn những rủi ro có chủ ý – tức là những rủi ro có thể chấp nhận để doanh nghiệp tiếp tục phát triển

Nhiều lợi ích của việc đánh giá rủi ro và kiểm soát rủi ro có thể được xác định bằng các số liệu cụ thể Khi được sử dụng cho các mục đích như thẩm định khách hàng và chống rửa tiền, tính hiệu quả của chương trình quản lý rủi ro hoạt động là điều mà tổ chức có thể đo lường được Tuy nhiên, cũng có những lợi ích khó định lượng hơn nhưng vẫn có thể đóng vai trò quan trọng đối với sự thành công liên tục của tổ chức Ví dụ: các quy trình đánh giá rủi ro kỹ lưỡng có thể giúp đẩy nhanh quá trình tiếp nhận khách hàng và nhà cung cấp mới, đồng thời có thể thúc đẩy sự hài lòng của khách hàng

1.2.3 Khung quản trị rủi ro hoạt động

Hệ thống QTRR doanh nghiệp đã ra đời từ khá lâu và cũng đã có khá nhiều các thông lệ tốt được phát triển bởi các tổ chức quốc tế nhằm trợ giúp các công ty giải quyết tốt hơn bài toán QTRR hiệu quả như Khung COSO ERM 2004 và Bản cập nhật năm COSO ERM 2017, Khung ISO 31000:2009 và Bản cập nhật năm ISO 31000:2018

Quản trị rủi ro hoạt động (ORM) có thể được coi là một tập hợp con của quản trị rủi ro doanh nghiệp (ERM) Hiện tại vẫn chưa có một khung quản trị rủi ro hoạt động riêng biệt và hoàn chỉnh được các tổ chức như ISO hay COSO thiết kế giống như khung quản trị rủi ro doahn nghiệp Do đó, các tổ chức và doanh nghiệp thường tận dụng các nguyên tắc và khung làm việc chung của quản trị rủi ro doanh nghiệp để thiết khung quản trị rủi ro hoạt động rủi ro hoạt động phù hợp với nhu cầu và hoạt

động cụ thể của mình Dựa vào khung COSO ERM (2017), Deloitte (2020) và Văn phòng Giám đốc các Tổ chức Tài chính Canada (2016) đã nhấn mạnh 5 cấu phần quan trọng và cần thiết trong khung quản trị rủi ro hoạt động: Nhận diện các rủi ro trọng yếu, giám sát rủi ro, quản lý dữ liệu tổn thất, ước tính và dự đoán tổn thất, phân tích các kịch bản khác nhau Việc áp dụng khung quản trị rủi ro trong hoạt động doanh nghiệp là một bước quan trọng nhằm giảm thiểu tác động tiêu cực và tận dụng cơ hội từ những rủi ro có thể xảy ra Có rất nhiều khung quản trị rủi ro được đề xuất bởi các tổ chức và công ty tư vấn danh tiếng như ISO, COSO ERM 2017, Deloitte, và những khung này thường cung cấp một cơ sở tốt để các doanh nghiệp phát triển hệ thống quản lý rủi ro của mình Tuy nhiên, mỗi doanh nghiệp đều có bản sắc, môi trường kinh doanh, ngành nghề, quy mô, văn hóa, chiến lược kinh doanh và mục tiêu riêng biệt Chính vì vậy, việc áp dụng một cách máy móc các khung quản trị rủi ro sẵn có không thể hiệu quả tối ưu mà mỗi doanh nghiệp cần phải phát triển một khung quản trị rủi ro hoạt động phù hợp riêng cho mình

1.2.4 Mô hình quản trị rủi ro hoạt động

Hiện nay, mô hình 3 tuyến phòng thủ (three lines of defense) được coi là một phương pháp tiêu chuẩn trong việc quản trị rủi ro hoạt động, được đề cập nhiều trong các tài liệu của COSO và IIA (Institute of Internal Auditors), đóng một vai trò quan trọng trong việc duy trì sự ổn định và hiệu quả của tổ chức Trước đó, mô hình 3 tuyến phòng thủ được áp dụng chủ yếu ở các ngân hàng lớn, nhưng dần mở rộng ra nhiều lĩnh vực kinh doanh trong quản trị rủi ro hoạt động (Luburić, 2016) Mô hình ba tuyến (TLM) được Hiệp hội Kiểm toán nội bộ Hoa Kỳ (IIA) xây dựng, ban hành vào tháng 7/2020 và thay thế cho mô hình ba tuyến phòng vệ trước đây (TLOD), nhằm phản ánh quan điểm hiện đại trong quá trình quản trị rủi ro, cũng như vai trò của kiểm toán nội bộ Mục tiêu của mô hình này nhằm hỗ trợ cho các doanh nghiệp xác định các cơ câu và quy trình phù hợp nhất để đạt được các mục tiêu, cũng như hỗ trợ quản trị rủi ro và quản trị rủi ro hoạt động doanh nghiệp Bộ Nguyên tắc khuyến nghị mô hình ba tuyến phòng thủ để quản lý rủi ro hoạt động hiệu quả, bao gồm quản lý ngành nghề kinh doanh, chức năng quản lý rủi ro hoạt động độc lập của công ty và đánh giá độc lập

Hình 1.1: Minh họa mô hình ba tuyến

Nguồn: Hiệp hội Kiểm toán nội bộ Hoa Kỳ (2020)

Mô hình ba tuyến (TLM) đưa ra 6 nguyên tắc sau đây:

Nguyên tắc thứ nhất: Yêu cầu quản trị doanh nghiệp Một doanh nghiệp cần xây dựng cơ cấu quản trị và quy trình quản trị phù hợp Trong cơ cấu đó, trách nhiệm của các cấp quản trị là trách nhiệm về giám sát là thông qua sự chính trực, khả năng lãnh đạo và sự minh bạch Ban điều hành có trách nhiệm ra quyết định trên cơ sở rủi ro và sử dụng các nguồn lực của tổ chức để thực thi Đồng thời, doanh nghiệp cần đảm bảo bộ phận kiểm toán nội bộ thực hiện được trách nhiệm đảm bảo và tư vấn một cách độc lập, đóng góp vào sự phát triển của tổ chức thông qua một cơ cấu và quy trình quản trị hiệu quả

Nguyên tắc thứ hai: Vai trò của các cấp quản trị Các cơ quan quản trị đóng vai trò thiết lập cơ cấu và quy trình phù hợp để quản trị hiệu quả nhằm đạt được các mục tiêu của tổ chức và thực hiện các hoạt động để đáp ứng các yêu cầu ưu tiên của các bên liên quan, cấp quản trị xác định trách nhiệm, ủy quyền và đảm bảo các nguồn lực cho ban điều hành, đồng thời thành lập và giám sát chức năng kiểm toán nội bộ để

đảm bảo chức năng này đủ sự độc lập khách quan và năng lực chuyên môn để thực hiện mục tiêu

Nguyên tắc thứ ba: Vai trò của ban điều hành, tuyến thứ nhất và tuyến thứ hai Ban điều hành quản lý cả hai tuyến để đạt được mục tiêu chiến lược của tổ chức: Tuyến thứ nhất có trách nhiệm cung cấp hàng hóa dịch vụ cho khách hàng Tuyến thứ hai hỗ trợ về QTRR Vai trò của tuyến thứ nhất và tuyến thứ hai có thể kiêm nhiệm hoặc chuyên biệt

Nguyên tắc thứ tư: Vai trò của tuyến thứ ba Kiểm toán nội bộ có vai trò cung cấp sự đảm bảo và tư vấn về sự phù hợp và hiệu quả của các hoạt động quản trị và QTRR, thông qua cách tiếp cận và quy trình chuyên nghiệp, có hệ thống và nguyên tắc, có đủ năng lực chuyên môn và sự thấu hiểu tổ chức Ngoài ra, trách nhiệm của kiểm toán nội bộ cũng bao gồm báo cáo các phát hiện cho ban điều hành và cấp quản trị, xem xét các kết quả kiểm tra đánh giá của bên trong và bên ngoài tổ chức, nhằm thúc đẩy việc cải tiến liên tục, đồng thời

Nguyên tắc thứ năm: Sự độc lập của tuyến thứ ba Để đảm bảo sự khách quan, quyền hạn và độ tin cậy của kiểm toán nội bộ thì sự độc lập của kiểm toán nội bộ với ban điều hành là vô cùng quan trọng

Nguyên tắc thứ sáu: Tạo ra và bảo vệ giá trị Thông qua việc trao đổi, phối hợp và hợp tác, tất cả các vai trò trong mô hình ba tuyến phải có sự phối hợp với nhau để tạo ra và bảo vệ giá trị của tổ chức

Mô hình ba tuyến phòng thủ đã được chấp nhận rộng rãi như một chuẩn mực để thiết kế và triển khai một hệ thống quản trị tổng thể hiệu quả nhằm kiểm soát rủi ro kinh doanh và rủi ro hoạt động, tuy nhiên, mô hình này cũng có những hạn chế nhất định Ví dụ, theo Deloitte (2020), khi mô hình phòng thủ ba tuyến được thiết lập, việc tập trung vào quản lý các bên liên quan, phát triển năng lực nội bộ và cung cấp các hoạt động đảm bảo ở các chức năng tuyến thứ hai thường tạo ra tâm lý biệt lập, dẫn đến thiếu sự phối hợp, trùng lặp các khu vực rủi ro, những khoảng trống và sai lệch hoặc những ý kiến trái ngược nhau Điều này dẫn đến một mô hình không hiệu quả, trong đó hội đồng quản trị nhận được những quan điểm trái ngược nhau và rời rạc về

những rủi ro trọng yếu Từ đó, mô hình quản trị năm tuyến trách nhiệm (five lines of responsibility – 5LOR) cũng đang được nhiều công ty áp dụng như một mô hình bổ sung hay thay thế để quản trị rủi ro hoạt động Mô hình 5 tuyến trách nhiệm là sự mở rộng và phát triển từ mô hình 3 tuyến trách nhiệm truyền thống trong quản lý rủi ro và kiểm soát nội bộ Mô hình này không chỉ nhấn mạnh vai trò của quản lý rủi ro, kiểm soát nội bộ và kiểm toán nội bộ, mà còn bổ sung thêm hai tuyến trách nhiệm khác để tăng cường sự linh hoạt, khả năng phản ứng và hiệu quả tổng thể trong việc đối phó với rủi ro

Bảng 1.2: Minh họa mô hình năm tuyến trách nhiệm

Tuyến thứ năm Ban giám đốc Cung cấp sự giám sát của ban quản lý vì lợi ích tốt nhất của Công ty và các cổ đông Tuyến thứ tư Ban điều hành Thiết lập quan điểm và cách

tiếp cận của Công ty đối với việc quản lý rủi ro nhằm cân bằng các cơ hội tạo ra giá trị và mang lại hiệu quả cũng như các phạm vi trách nhiệm hiệu quả Tuyến thứ ba Đảm bảo độc lập Báo cáo cho Ủy ban Kiểm

toán, làm việc với các chức năng đảm bảo nội bộ khác, báo cáo cho các Ủy ban khác nhau của Hội đồng quản trị để đánh giá xem các chính sách và quy trình của Công ty có được thiết kế phù hợp và các hệ thống hay không

Tuyến thứ hai Bộ phận chức năng Giám sát và báo cáo các hoạt động của quản lý vận hành để hỗ trợ hiệu suất, tuân thủ và chấp nhận rủi ro một cách thận trọng

Tuyến thứ nhất Quản lý hoạt động Quản lý rủi ro hàng ngày

Thực hiện các hoạt động hàng ngày để quản lý hiệu suất và xác định, đánh giá và quản lý rủi ro do các hoạt động, quy trình và hệ thống kinh doanh

Nguồn: Johnson&Johnson (2020) 1.2.5 Quy trình quản trị rủi ro hoạt động

Lam, James (2014), đã đề xuất quy trình quản trị rủi ro hoạt động gồm 5 bước:

Bước 1: Chính sách và cơ cấu tổ chức quản trị rủi ro

Bước đầu tiên, công ty nên thiết lập cơ chế quản lý rủi ro hoạt động chính sách xác định những gì nó muốn đạt được, bao gồm cả cách thức tổ chức để đạt được những mục tiêu đã đề ra Chính sách quản lý rủi ro hoạt động cần bao gồm những điều sau đây:

- Nguyên tắc quản lý rủi ro hoạt động: Nguyên tắc của công ty là gì? Triết lý và

nguyên tắc về rủi ro hoạt động? Ví dụ, như với rủi ro tín dụng và rủi ro thị trường, một nguyên tắc chung có thể là tính minh bạch

- Định nghĩa và phân loại rủi ro hoạt động: Làm thế nào rủi ro hoạt động được xác

định, những gì được bao gồm và loại trừ, và các danh mục phụ là gì?

- Mục tiêu và mục đích: Ban quản lý nên thiết lập các mục tiêu tổng thể mục tiêu

(ví dụ: cải thiện hiệu suất và hiệu suất của hoạt động kinh doanh cốt lõi quy trình) và các mục tiêu cụ thể mà công ty muốn đạt được (ví dụ: Giảm 20% tổn thất hoạt động, cải thiện 30% kịp thời trong việc giải quyết các vấn đề kiểm toán còn tồn đọng)

- Các quy trình và công cụ quản trị rủi ro hoạt động: Phần này của chính sách đưa

ra các các quy trình và công cụ trên toàn công ty mà các đơn vị kinh doanh dự kiến sẽ sử dụng áp dụng, chẳng hạn như đánh giá rủi ro, đo lường, báo cáo và quản lý quá trình Theo cách này, một cách tiếp cận nhất quán trong hoạt động rủi ro được sử dụng dựa trên các ứng dụng và tiêu chuẩn chung cho những các quy trình và công cụ

- Cơ cấu tổ chức: Chính sách cũng cần ghi lại cơ cấu tổ chức Cơ cấu quản lý rủi ro

hoạt động Chìa khóa là gì ủy ban, thành viên và điều lệ? Các dòng báo cáo là gì giữa hội đồng quản trị, quản lý cấp cao, quản lý trực tiếp và rủi ro nhóm quản lý và giám sát?

- Vai trò và trách nhiệm: Do tính phức tạp của rủi ro hoạt động, Việc xác định rõ

ràng vai trò và trách nhiệm cụ thể của mỗi khía cạnh quan trọng của quản lý rủi ro hoạt động Ở cấp độ cao nhất, hội đồng chịu trách nhiệm thiết lập các chính sách và đảm bảo rằng các chính sách phù hợp các nguồn lực và biện pháp kiểm soát được thực hiện Ở cấp độ thấp nhất, mỗi nhân viên chịu trách nhiệm hiểu biết về các rủi ro hoạt động mà họ tham gia vào và giải quyết các vấn đề và vấn đề đang leo thang Ngoài ra, vai trò và trách nhiệm của các cơ quan quản lý và giám sát rủi ro là khác nhau

Bước 2: Nhận dạng và đánh giá rủi ro

Với phạm vi rộng của rủi ro hoạt động, một doanh nghiệp nên sử dụng một một loạt các công cụ định tính và định lượng để đánh giá, đo lường và quản lý:

- Cơ sở dữ liệu về sự cố tổn thất: Cơ sở dữ liệu về sự cố mất mát nên được sử dụng

để hỗ trợ phân tích nguyên nhân gốc rễ và chiến lược giảm thiểu rủi ro, cũng như tạo điều kiện thuận lợi cho việc chia sẻ kinh nghiệm của doanh nghiệp

- Tự đánh giá kiểm soát: Tự đánh giá kiểm soát chủ yếu là phân tích nội bộ về các

rủi ro, biện pháp kiểm soát và ý nghĩa quản lý chính Nó quan trọng cho mỗi đơn vị kinh doanh để đánh giá tình hình hiện tại đối với các yếu tố rủi ro hoạt động này Bằng cách này, mỗi doanh nghiệp đơn vị sẽ phát triển một bức tranh rõ ràng hơn về nơi bắt đầu và cách tiến hành trong quá trình quản trị rủi ro hoạt động Mỗi đơn vị kinh doanh cũng sẽ có ý thức làm chủ cao hơn thông qua quá trình tự đánh

giá Các công cụ hỗ trợ việc tự đánh giá bao gồm bảng câu hỏi, các vấn đề cụ thể phỏng vấn, họp nhóm và tổ chức hội thảo Đầu ra là một kiểm kê các rủi ro chính, các sáng kiến kiểm soát chính và đôi khi thậm chí là Top 10 rủi ro theo phong cách Letterman

- Lập bản đồ rủi ro: Dựa trên công việc tự đánh giá kiểm soát, mức độ rủi ro chính

của công ty có thể được xếp hạng theo xác suất của chúng và mức độ nghiêm trọng để ban quản lý có thể có cái nhìn so sánh về dạng bản đồ rủi ro hai chiều Đối với các hoạt động nhiều hơn phức tạp (ví dụ: quản lý tiền mặt, phương tiện chuyên dùng), dựa trên rủi ro bản đồ quy trình có thể được tạo ra để chỉ ra mức độ rủi ro khác nhau có thể xảy ra nảy sinh Những bản đồ này sẽ hỗ trợ việc xác định các rủi ro gặp phải trong mỗi đơn vị kinh doanh, chỉ ra các điểm có vấn đề, chẳng hạn như các điểm đơn lẻ của những sai sót hoặc những nơi thường xuyên xảy ra lỗi Những bản đồ này cũng sẽ cho phép mỗi đơn vị kinh doanh để phát triển và ưu tiên các sáng kiến quản lý rủi ro của mình nhằm giải quyết những rủi ro quan trọng nhất

- Các chỉ báo rủi ro và yếu tố kích hoạt: Các chỉ báo rủi ro mang tính định lượng

thước đo thể hiện hiệu quả hoạt động của rủi ro hoạt động đối với một hoạt động quá trình cụ thể Ví dụ bao gồm các khiếu nại của khách hàng về việc bán hàng hoặc dịch vụ đơn vị, lỗi giao dịch đối với chức năng giao dịch, các khoản mục không được đối chiếu đối với chức năng giao dịch chức năng kế toán hoặc thời gian ngừng hoạt động của hệ thống đối với chức năng CNTT Những cái này các chỉ số rủi ro thường được phát triển bởi các đơn vị kinh doanh riêng lẻ và gắn chặt với mục tiêu kinh doanh của họ Các chỉ số cảnh báo sớm cũng cần được phát triển để cung cấp cho ban quản lý những tín hiệu dẫn dắt (ví dụ: sự vắng mặt của nhân viên và doanh thu là dấu hiệu cảnh báo sớm về các lỗi vận hành trong tương lai) Để theo dõi hiệu suất của các quá trình so với phạm vi dự kiến, các mức kích hoạt có thể được thiết lập theo khía cạnh mục tiêu (nơi bạn muốn đến) và mức độ thực hiện tối thiểu có thể chấp nhận được (BẢN ĐỒ) Nếu một chỉ báo rủi ro chính giảm xuống dưới MAP thì đó sẽ kích hoạt một báo cáo leo thang lên quản lý cấp cao và cũng bắt đầu một kế hoạch hành động khắc phục Mặt khác, nếu một

chỉ báo rủi ro trên mục tiêu một cách nhất quán thì ban quản lý nên xem xét nâng cao cả mục tiêu và MAP để tạo điều kiện cải tiến liên tục

Các nguồn thông tin có giá trị khác để xác định và đánh giá rủi ro bao gồm các báo cáo kiểm toán nội bộ, đánh giá bên ngoài (kiểm toán viên bên ngoài, cơ quan quản lý), phỏng vấn nghỉ việc của nhân viên, khảo sát khách hàng và khiếu nại

Bước 3: Phân bổ vốn và đo lường hiệu quả hoạt động

Ngoài việc xác định và đánh giá rủi ro, điều quan trọng là phải liên kết rủi ro với đo lường hiệu quả hoạt động thông qua quá trình phân bổ vốn không giống rủi ro thị trường và rủi ro tín dụng khi các phương pháp đo lường và các mô hình rủi ro hoạt động được phát triển và thử nghiệm trong nhiều năm nhưng vẫn chưa được chấp nhận rộng rãi Khi lựa chọn một phương pháp (hoặc kết hợp phương pháp luận), trước tiên mỗi doanh nghiệp nên thiết lập các mục tiêu và nguồn lực và lựa chọn cho phù hợp Các phương pháp khác nhau hàm ý khác nhau giải thích về rủi ro hoạt động và yêu cầu các đầu vào khác nhau được hữu ích Cho rằng có thể không có giải pháp duy nhất, sự kết hợp của phương pháp luận sẽ cho phép cân bằng những nhược điểm của một mô hình bằng điểm mạnh của người khác, cho phép đo lường tổng thể mạnh mẽ hơn được phát triển

- Mô hình từ trên xuống (top-down model): Cách tiếp cận từ trên xuống để lập mô hình tính toán rủi ro hoạt động tiềm ẩn của một doanh nghiệp bằng cách sử dụng dữ liệu có sẵn, chẳng hạn như kết quả hoạt động tài chính tổng thể của công ty hoặc của ngành mà công ty đó hoạt động Top-down model sử dụng các phép tính và phân tích tương đối đơn giản để đi đến một kết quả chung về những rủi ro hoạt động mà một công ty gặp phải Các ví dụ của Top-down model về rủi ro hoạt động bao gồm mô hình vốn ngầm định, mô hình biến động thu nhập, mô hình định giá kinh tế và mô hình tương tự như:

• Mô hình vốn ngầm định: Phương pháp này giả định rằng phạm vi của Rủi ro hoạt động là rủi ro nằm ngoài rủi ro tín dụng và thị trường Vì vậy, vốn phân bổ cho rủi ro hoạt động phải là kết quả của trừ đi vốn do tín dụng và rủi ro thị trường khỏi tổng số vốn được phân bổ

• Mô hình biến động thu nhập: Mô hình này tương tự như mô hình phân bổ vốn, nhưng nó tiến thêm một bước bằng cách xem xét yếu tố quyết định chính về phân bổ vốn - sự biến động của thu nhập Sự biến động có thể quy cho đối với rủi ro hoạt động được tính toán tương tự như trong mô hình phân bổ vốn - bằng cách trừ đi các thành phần rủi ro tín dụng và thị trường khỏi tổng biến động thu nhập

• Mô hình định giá kinh tế: Mô hình định giá tài sản vốn (CAPM) là mô hình kinh tế được sử dụng rộng rãi nhất và có thể được sử dụng để xác định sự phân bổ của việc định giá rủi ro hoạt động tương ứng các yếu tố quyết định khác của vốn CAPM giả định rằng tất cả thông tin thị trường được phản ánh quá giá cổ phiếu, do đó cho phép tác động các khoản lỗ hoạt động được công bố sẽ được xác định bằng cách đánh giá vốn hóa thị trường của một công ty • Mô hình tương tự: Mô hình tương tự dựa trên giả định rằng một doanh nghiệp

có thể nhìn vào các tổ chức bên ngoài có cơ cấu kinh doanh và hoạt động tương tự để rút ra các biện pháp đo lường rủi ro hoạt động cho chính mình Mô hình này có thể được mở rộng để tìm kiếm nguyên nhân và ảnh hưởng của tổn thất hoạt động tại các tổ chức đó

- Mô hình từ dưới lên (Phân phối tổn thất): Phương pháp từ dưới lên áp dụng tổn thất và/hoặc các yếu tố nguyên nhân để rút ra dự kiến tổn thất dự kiến Cách tiếp cận này đòi hỏi công ty phải xác định rõ ràng những khác biệt loại rủi ro hoạt động mà nó phải đối mặt, thu thập dữ liệu chi tiết về từng loại rủi ro hoạt động các loại rủi ro này và sau đó định lượng rủi ro tổn thất Một công ty thường cần tăng cường dữ liệu nội bộ của nó bằng một sự kiện mất mát bên ngoài cơ sở dữ liệu Đầu ra cuối cùng của phương pháp tiếp cận từ dưới lên này là phân phối tổn thất mô hình có thể ước tính vốn rủi ro hoạt động cho một mức độ tin cậy nhất định (ví dụ: xếp hạng nợ mục tiêu)

Bước 4: Giảm thiểu và kiểm soát rủi ro

Sau khi có khung đo lường, bước tiếp theo là thực hiện một quy trình xác định các hành động sẽ làm giảm tổn thất trong hoạt động Những hành động này bao gồm bổ sung nguồn nhân lực, tăng cường đào tạo và phát triển, cải thiện và/ hoặc tự động

hóa các quy trình, thay đổi cơ cấu tổ chức và khuyến khích, bổ sung các biện pháp kiểm soát nội bộ (ví dụ: giám sát thường xuyên hơn hoặc rộng rãi hơn), và nâng cấp khả năng của hệ thống Chìa khóa để quản lý rủi ro hoạt động hiệu quả giảm thiểu là thành lập một nhóm phản ứng nhanh đa chức năng sẽ giải quyết và giải quyết mọi vấn đề rủi ro hoạt động mới nổi Cuối cùng, một cơ chế đánh giá và ưu tiên các cải tiến tiềm năng phải được tạo ra Phân tích chi phí/lợi ích và đánh giá mức độ sẵn sàng là các công cụ hữu ích cần đưa vào quá trình đánh giá

Bên cạnh việc giảm thiểu rủi ro thông qua các quy trình hoạt động và kiểm soát, còn có những biện pháp tài chính khác mà ban quản trị có thể xem xét Các công ty có thể thiết lập các khoản dự phòng để bù đắp những tổn thất hoạt động dự kiến của họ như một hình thức tự bảo hiểm Những khoản lỗ dự kiến cũng nên được đưa vào giá của sản phẩm

Bước 5: Chuyển giao và tài trợ rủi ro

Đối với rủi ro hoạt động nghiêm trọng, công ty phải quyết định xem liệu biện pháp là thực hiện kiểm soát nội bộ và/hoặc chuyển giao rủi ro điều hành Cả hai không loại trừ lẫn nhau và thường bổ sung cho nhau

Trong bối cảnh quản lý rủi ro doanh nghiệp (ERM) và hoạt động quản lý rủi ro, công ty nên:

- Xác định mức độ rủi ro hoạt động và định lượng xác suất của chúng, mức độ nghiêm trọng và yêu cầu về vốn kinh tế;

- Tích hợp rủi ro hoạt động với rủi ro tín dụng và thị trường trong để đánh giá hồ sơ rủi ro/lợi nhuận trên toàn doanh nghiệp của họ;

- Thiết lập các giới hạn rủi ro hoạt động

- Thực hiện kiểm soát nội bộ và phát triển chuyển giao rủi ro và tài trợ chiến lược; - Đánh giá các nhà cung cấp và cơ cấu thay thế dựa trên chi phí-lợi ích kinh tế (tức

là so sánh chi phí duy trì rủi ro và chuyển giao rủi ro)

Mỗi doanh nghiệp đều có quy trình quản trị rủi ro hoạt động khác nhau do sự khác biệt về bối cảnh kinh doanh, quy mô doanh nghiệp, mục tiêu doanh nghiệp, nguồn lực doanh nghiệp, … Căn cứ vào phạm vi và tầm quan trọng của rủi ro hoạt

động, ban quản trị nên thiết lập một quy trình có hệ thống liên quan đến việc xác định, đo lường rủi ro, và quản lý

Mỗi doanh nghiệp đều có quy trình quản trị rủi ro hoạt động khác nhau do sự khác biệt về bối cảnh kinh doanh, quy mô doanh nghiệp, mục tiêu doanh nghiệp, nguồn lực doanh nghiệp, … Căn cứ vào phạm vi và tầm quan trọng của rủi ro hoạt động, ban quản trị nên thiết lập một quy trình có hệ thống liên quan đến việc xác định, đo lường rủi ro, và quản lý

Hình 1.2: Minh họa quy trình quản trị rủi ro hoạt động đề xuất bởi PwC

Nguồn: PwC (2010) 1.2.6 Các công cụ quản trị rủi ro hoạt động

Công cụ Thu thập dữ liệu tổn thất (LDC): Công ty nên nắm bắt các tổn thất và

sự cố do rủi ro hoạt động vì hai lý do chính Đầu tiên, tổn thất có thể dễ dàng đo lường được và có thể được sử dụng để thể hiện xu hướng và tỷ lệ (ví dụ: tỷ lệ tổn thất/doanh thu), trong khi các sự cố có thể bao gồm các sự kiện khác cần được lưu ý Thứ hai,

mọi mất mát và sự cố trong công ty đều thể hiện một cơ hội học hỏi, nếu không có cơ hội này thì những sai lầm trong quá khứ sẽ dễ lặp lại hơn Do đó, cơ sở dữ liệu về sự cố tổn thất nên được sử dụng để hỗ trợ phân tích nguyên nhân gốc rễ và các chiến lược giảm thiểu rủi ro, cũng như tạo điều kiện thuận lợi cho việc chia sẻ các bài học kinh nghiệm trong công ty Ngoài ra, có một số sáng kiến trong ngành nhằm phát triển cơ sở dữ liệu về sự kiện tổn thất mạnh mẽ hơn, mặc dù còn quá sớm để biết (những) sáng kiến nào sẽ trở thành (các) tiêu chuẩn ngành Tuy nhiên, khó có khả năng việc quản lý rủi ro hoạt động sẽ trở thành một quy trình hoàn toàn dựa trên dữ liệu; do tính chất của rủi ro hoạt động, nó sẽ luôn là vấn đề về quản lý hơn là đo lường

Công cụ nhận diện rủi ro và đánh giá biện pháp kiểm soát (Risk Control Self Assessment – RCSA): Tự đánh giá kiểm soát (còn được gọi là đánh giá rủi ro và tự

đánh giá kiểm soát rủi ro) chủ yếu là phân tích nội bộ về các rủi ro chính, biện pháp kiểm soát và ý nghĩa quản trị Điều quan trọng là mỗi đơn vị kinh doanh phải đánh giá tình hình hiện tại của mình đối với các yếu tố rủi ro hoạt động này Bằng cách này, mỗi đơn vị kinh doanh sẽ xây dựng được bức tranh rõ ràng hơn về nơi bắt đầu và cách tiến hành trong quy trình quản trị rủi ro hoạt động Mỗi đơn vị kinh doanh cũng sẽ có ý thức làm chủ cao hơn thông qua quá trình tự đánh giá Các công cụ hỗ trợ việc tự đánh giá bao gồm bảng câu hỏi, phỏng vấn các vấn đề cụ thể, họp nhóm và hội thảo được hỗ trợ

Bản đồ rủi ro hoạt động (Risk map): Dựa trên công việc tự đánh giá của cơ

quan kiểm soát, các mức độ rủi ro chính của công ty có thể được xếp hạng theo xác suất (khả năng xảy ra) và mức độ nghiêm trọng (mức độ ảnh hưởng) để ban quản trị có thể có cái nhìn so sánh dưới dạng bản đồ rủi ro hai chiều Đối với các hoạt động phức tạp hơn, có thể tạo ra các bản đồ quy trình dựa trên rủi ro để cho thấy các mức độ rủi ro khác nhau có thể phát sinh như thế nào Những bản đồ này sẽ hỗ trợ việc xác định các rủi ro gặp phải trong từng đơn vị kinh doanh, chỉ ra các điểm có vấn đề, chẳng hạn như các điểm lỗi đơn lẻ hoặc nơi thường xảy ra lỗi Những bản đồ này cũng sẽ cho phép mỗi đơn vị kinh doanh phát triển và ưu tiên các sáng kiến quản trị rủi ro của mình để giải quyết những rủi ro trọng yếu nhất