Thực trạng về kiểm soát nội bộ và những vấn đề về quản trị rủi ro tại các doanh nghiệp trên thế giới và Việt Nam

Thực trạng về kiểm soát nội bộ và những vấn đề về quản trị rủi ro tại các doanh nghiệp trên thế giới và Việt Nam

i

MỤC LỤC

Trang LỜI MỞ ĐẦU

CHƯƠNG I – TỔNG QUAN VỀ KIỂM SOÁT NỘI BỘ VÀ SỰ HÌNH THÀNH

1.1.1 Sự hình thành và phát triển lý thuyết kiểm soát nội bộ 1

1.1.1.1 Lịch sử hình thành 1

1.1.1.2 Định nghĩa kiểm soát nội bộ 3

1.1.2 Các yếu tố của kiểm soát nội bộ 4

1.1.2.1 Môi trường kiểm soát 5

1.1.2.3 Các hoạt động kiểm soát 7

1.1.2.4 Thông tin và truyền thông 8

1.1.3 Hạn chế của lý thuyết kiểm soát nội bộ 9

1.2 Sự phát triển các lý thuyết về quản trị rủi ro 10

1.2.2 Thời kỳ phát triển lý thuyết quản trị rủi ro 10

1.2.2.1 Nhận thức về rủi ro và các nhân tố ảnh hưởng 11

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

1.2.2.2 Các công cụ quản trị rủi ro được hình thành 12

1.3 Quản trị rủi ro doanh nghiệp theo khuôn mẫu của COSO

1.3.1 Khái niệm về quản trị rủi ro doanh nghiệp 16

1.3.2 Lợi ích của quản trị rủi ro doanh nghiệp 17

1.3.3 Các yếu tố của quản trị rủi ro doanh nghiệp 19

1.3.3.2.1 Môi trường quản lý 21

1.3.3.2.2 Thiết lập mục tiêu 22

1.3.3.2.3 Nhận dạng sự kiện tiềm tàng 26

1.3.3.2.4 Đánh giá rủi ro 26

1.3.3.2.5 Phản ứng với rủi ro 27

1.3.3.2.6 Hoạt động kiểm soát 29

1.3.3.2.7 Thông tin và truyền thông 29

1.3.4 Hạn chế của quản trị rủi ro doanh nghiệp 30

CHƯƠNG II: THỰC TRẠNG VỀ KIỂM SOÁT NỘI BỘ VÀ NHỮNG

VẤN ĐỀ VỀ QUẢN TRỊ RỦI RO TẠI CÁC DOANH NGHIỆP TRÊN

iii

2.1 Thực trạng tích hợp quản trị rủi ro trong kiểm soát nội bộ

2.2 Mục tiêu, đối tượng và phương pháp khảo sát các doanh nghiệp

2.2.2 Đối tượng, phương pháp khảo sát 36

2.3 Thực trạng về kiểm soát nội bộ tại các doanh nghiệp 37

2.3.1.2 Chính sách nhân sự và năng lực nhân viên 38

2.3.1.3 Hội đồng quản trị và Ban kiểm soát 40

2.3.1.4 Triết lý quản lý và phong cách điều hành 42

2.3.1.5 Cơ cấu tổ chức và phân chia quyền hạn 43

2.3.2.1 Mục tiêu của toàn doanh nghiệp và từng bộ phận 44

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

2.3.3.1 Phân chia trách nhiệm 48

2.3.3.2 Kiểm soát xử lý thông tin 49

2.3.3.3 Kiểm tra độc lập và phân tích, soát xét lại 50

2.4.1 Nhìn nhận của doanh nghiệp về rủi ro 54

2.4.2 Cơ cấu tổ chức liên quan đến việc quản lý rủi ro 56

2.5 Đánh giá chung về kiểm soát nội bộ và quản trị rủi ro tại

CHƯƠNG III: ĐỊNH HƯỚNG XÂY DỰNG KIỂM SOÁT NỘI

BỘ TẠI CÁC DOANH NGHIỆP VIỆT NAM DỰA TRÊN

3.1.1.1 Hoàn thiện kiểm soát nội bộ theo hướng kiểm soát các rủi ro 61

3.1.1.2 Nhìn nhận rủi ro theo hướng tổng thể và tích hợp với KSNB 64

3.2 Định hướng hoàn thiện kiểm soát nội bộ tại các doanh nghiệp lớn 69

3.2.1 Hoàn thiện môi trường quản lý 69

v

3.2.2 Hoàn thiện cơ cấu tổ chức và phân chia quyền hạn trách nhiệm 70

3.2.2.1 Hội đồng quản trị và Ban kiểm soát/Kiểm toán nội bộ 71

3.2.2.2 Phân chia quyền hạn trách nhiệm 72

3.2.2.2 Luân chuyển nhân viên 72

3.2.3 Tiếp cận các kỹ thuật định lượng khả năng xuất hiện của rủi ro 73

3.2.3.1 Áp dụng các kỹ thuật nhận dạng các sự kiện tiềm tàng

phù hợp với đặc thù của đơn vị và chu trình nghiệp vụ cụ thể 73

3.2.3.2 Áp dụng các kỹ thuật để định lượng sự tác động của các rủi ro 77

3.2.4 Tạo thói quen sử dụng dịch vụ bảo hiểm 78

3.2.6 Tăng cường các công tác kiểm tra giám sát 79

3.3 Định hướng hoàn thiện KSNB tại các doanh nghiệp vừa và nhỏ 80

3.3.1 Nâng cao ý thức của người quản lý về rủi ro và các

3.3.2 Xác định những mục tiêu, kế hoạch dài hạn 82

3.3.3 Nâng cao năng lực và đạo đức của nhân viên 83

3.3.4 Áp dụng các công cụ để nhận dạng, đánh giá rủi ro đơn giản

CÁC PHỤ LỤC

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

MỞ ĐẦU Sự cần thiết của đề tài

Xây dựng hệ thống kiểm soát nội bộ hữu hiệu để kiểm soát được các mục

tiêu đề ra là yêu cầu tất yếu khách quan đối với mọi doanh nghiệp trong nền kinh

tế Trên thế giới, khái niệm kiểm soát nội bộ đã ra đời từ đầu thế kỷ 19, được bổ

sung hoàn thiện nhằm phát hiện và ngăn chặn những gian lận và sai sót của một tổ

chức từ các công ty kiểm toán và cơ quan chức năng Sau đó kiểm soát nội bộ được

phát triển thành một hệ thống lý luận tương đối hoàn chỉnh thông qua Báo cáo

COSO năm 1992

Tiếp tục phát triển Báo cáo năm 1992, năm 2004 COSO công bố báo cáo

tổng thể dưới tiêu đề: Quản trị rủi ro doanh nghiệp – khuôn khổ hợp nhất Báo cáo

năm 2004 được xây dựng trên cơ sở phát triển Báo cáo năm 1992 và tích hợp với

quản trị rủi ro tại các đơn vị Mặt khác báo cáo COSO năm 2004 cũng đã xác định

được những tiêu chuẩn làm cơ sở để đánh giá rủi ro cũng như đề xuất xây dựng chu

trình quản lý rủi ro hiệu qủa trong công tác quản lý

Ở Việt nam, kiểm soát nội bộ đã tồn tại và phát triển nhưng phần lớn còn tồn

tại nhiều yếu kém, chưa phát huy hết vai trò công cụ quản lý của doanh nghiệp Vì

vậy, việc nghiên cứu kinh nghiệm của các nước trên thế giới để vận dụng là điều

cần thiết đối với các doanh nghiệp Việt nam hiện nay Một mặt, giúp doanh nghiệp

tiếp cận với quan điểm hiện đại về rủi ro của các nước tiên tiến để có thể quản lý

rủi ro một cách khoa học và hiệu qủa Mặt khác giúp doanh nghiệp có cách nhìn

nhận mới về kiểm soát nội bộ bằng cách “đi tắt đón đầu” những cách thức mới được

áp dụng ở các nước tiên tiến, qua đó hoàn thiện hệ thống kiểm soát nội bộ của mình

để phục vụ tốt hơn trong công tác quản lý Đó cũng là lý do mà tác giả chọn đề tài

“Phát triển hệ thống kiểm soát nội bộ tại các doanh nghiệp Việt nam trên cơ sở

vii

quản trị rủi ro doanh nghiệp” làm luận văn tốt nghiệp thạc sĩ kinh tế của trường

Đại học Kinh tế thành phố Hồ Chí Minh

Mục đích nghiên cứu của luận văn

- Tổng hợp các quan điểm cơ bản về tích hợp kiểm soát nội bộ và quản trị

rủi ro

- Tiếp cận lý luận hiện đại về rủi ro và quản trị rủi ro

- Khảo sát, đánh giá thực trạng hệ thống kiểm soát nội bộ của các doanh

nghiệp Việt nam, đặc biệt về rủi ro và cách thức quản trị rủi ro hiện nay

- Trên cơ sở khảo sát thực trạng, đề xuất các định hướng để hoàn thiện hệ

thống kiểm soát nội bộ của các loại hình doanh nghiệp Việt nam theo cách

tiếp cận mới về rủi ro

Đối tượng và phạm vi nghiên cứu

Phạm vi giới hạn của đề tài nghiên cứu lý luận và thực tiễn về: hệ thống

kiểm soát nội bộ; quan điểm về rủi ro và cách thức quản lý rủi ro.Đề tài không tập

trung nghiên cứu để xây dựng, tổ chức một quy trình cho một doanh nghiệp cụ thể

hoặc nghiên cứu ứng dụng các kỹ thuật định lượng rủi ro

Phương pháp nghiên cứu

Luận văn được thực hiện trên cơ sở phân tích thực tiễn theo quan điểm lịch sử

và toàn diện, gắn sự phát triển của kiểm soát nội bộ và rủi ro với điều kiện của các

doanh nghiệp Việt nam

Để đánh giá thực trạng, luận văn sử dụng phương pháp quy nạp dựa trên cơ

sở thống kê từ các doanh nghiệp và kỹ thuật phân tích định lượng

Những đóng góp của luận văn

Những đóng góp chính của luận văn là:

- Hệ thống các quan điểm về rủi ro và quản lý rủi ro

- Tiếp cận quan điểm mới về rủi ro và quản trị rủi ro theo Báo cáo COSO

năm 2004

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

- Hệ thống kinh nghiệm áp dụng Báo cáo COSO năm 2004 của các doanh

nghiệp trên thế giới

- Định hướng về phát triển hệ thống kiểm soát nội bộ theo hướng tích hợp với

việc quản trị rủi ro tại các doanh nghiệp Việt nam

- Đưa ra các giải pháp để hoàn thiện hệ thống KSNB tại các loại hình doanh

nghiệp để có thể quản lý tốt hơn các rủi ro

Kết cấu của luận văn

Luận văn gồm 87 trang, 22 bảng biểu và 5 phụ lục Nội dung luận văn ngoài

phần mở đầu và kết luận gồm có 3 chương

- Chương 1: Tổng quan về kiểm soát nội bộ và sự hình thành hệ thống quản

trị rủi ro doanh nghiệp

- Chương 2: Thực trạng về kiểm soát nội bộ và những vấn đề về quản trị rủi

ro tại các doanh nghiệp trên thế giới và Việt nam

- Chương 3: Định hướng xây dựng kiểm soát nội bộ tại các doanh nghiệp Việt

nam dựa trên quản trị rủi ro doanh nghiệp

ix

CHƯƠNG I

TỔNG QUAN VỀ KIỂM SOÁT NỘI BỘ VÀ SỰ HÌNH THÀNH HỆ

THỐNG QUẢN TRỊ RỦI RO DOANH NGHIỆP 1.1 Tổng quan về kiểm soát nội bộ

1.1.1 Sự hình thành và phát triển lý thuyết kiểm soát nội bộ

1.1.1.1 Lịch sử hình thành

Từ khi có hoạt động kinh doanh, những người điều hành đều phải sử dụng các

biện pháp để kiểm soát các hoạt động tại đơn vị mình Hoạt động kinh doanh càng

phát triển thì chức năng kiểm soát càng chiếm một vị trí quan trọng trong quá trình

quản lý Thông qua các hoạt động kiểm soát, nhà quản lý đánh giá và chấn chỉnh

việc thực hiện nhằm đảm bảo đạt được các mục tiêu đã đề ra với hiệu quả cao nhất

Để thực hiện chức năng kiểm soát, nhà quản lý sử dụng công cụ chủ yếu là

kiểm soát nội bộ (KSNB) của đơn vị Khái niệm KSNB lúc đầu được sử dụng như là

một phương pháp giúp cho kiểm toán viên độc lập xác định phương pháp hiệu quả

nhất trong trong việc lập kế hoạch kiểm toán, đến chỗ được coi là một bộ phận chủ

yếu của hệ thống quản lý hữu hiệu

Thời kỳ tiền COSO (từ năm 1992 trở về trước)

Khái niệm KSNB bắt đầu được sử dụng vào đầu thế kỷ 20 trong các tài liệu

về kiểm toán Lúc đó, KSNB được hiểu như là một biện pháp để bảo vệ tiền không

bị các nhân viên gian lận Sau đó, khái niệm này dần được mở rộng: KSNB không

chỉ dừng lại ở việc bảo vệ tài sản (không chỉ có tiền) mà còn nhằm đảm bảo việc

ghi chép kế toán chính xác, nâng cao hiệu quả hoạt động và khuyến khích tuân thủ

các chính sách của nhà quản lý

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

Năm 1977, sau vụ bê bối Watergate, quốc hội Hoa Kỳ đã thông qua Luật

hành vi hối lộ ở nước ngoài Điều luật này nhấn mạnh việc KSNB nhằm ngăn ngừa

những khoản thanh toán bất hợp pháp và dẫn đến việc yêu cầu ghi chép rất đầy đủ

trong mọi hoạt động Lần đầu tiên, hoạt động KSNB trong các tổ chức được đề cập

đến trong một văn bản pháp luật

Năm 1985, sự đổ bể của các công ty cổ phần có niêm yết làm cho các nhà

làm luật Hoa Kỳ quan tâm đến việc KSNB của các doanh nghiệp Nhiều quy định,

hướng dẫn về KSNB của các cơ quan chức năng Hoa Kỳ được ban hành trong giai

đoạn này như: Ủy ban chuẩn mực kiểm toán Hoa Kỳ năm 1998, Uûy ban chứng

khoán Hoa Kỳ năm 1988, tổ chức nghiên cứu kiểm toán nội bộ năm 1991,

Những quy định này một mặt làm phong phú khái niệm KSNB nhưng mặt

khác dẫn đến yêu cầu phải hình thành một hệ thống lý luận có tính chuẩn mực về

KSNB

Sự ra đời của báo cáo COSO năm 1992

Quá trình phát triển của các công ty ở Hoa Kỳ cũng là quá trình phát triển

quy mô của gian lận gây thiệt hại đáng kể cho nền kinh tế Nhiều ủy ban đã ra đời

để khảo sát và tìm cách khắc phục, trong đó có Ủy ban quốc gia về chống gian lận

báo cáo tài chính – gọi tắt là ủy ban Treadway- ra đời năm 1985 COSO là một ủy

ban gồm nhiều tổ chức nghề nghiệp nhằm hỗ trợ cho Ủy ban Trradway Các tổ chức

nghề nghiệp trên bao gồm: Hiệp hội kế toán công chứng Hoa Kỳ (AICPA), Hội kế

toán Hoa Kỳ (AAA), Hiệp hội các nhà quản trị tài chính (FEI), Hiệp hội kiểm toán

viên nội bộ (IIA) và Hiệp hội kế toán viên quản trị (IMA) Qua quá trình tìm hiểu

về gian lận, COSO đã nhận thấy KSNB đã ảnh hưởng rất lớn đến khả năng xảy ra

gian lận Vì thế, việc nghiên cứu và đưa ra một khuôn khổ chung về KSNB được đặt

ra Báo cáo COSO 1992 là kết quả của quá trình nghiên cứu này Báo cáo cung cấp

xi

một hệ thống lý luận đầy đủ nhất về KSNB cho đến thời điểm này, kế thừa và phát

triển các nghiên cứu trước đó về KSNB

Báo cáo COSO 1992 gồm có 4 phần:

- Phần 1 – Bản tóm lược: Tổng quan về KSNB cho nhà quản lý cấp cao

- Phần 2 – Hệ thống lý luận: Định nghĩa về KSNB, mô tả các yếu tố của KSNB

và chỉ ra những tiêu chí để kiểm soát hệ thống

- Phần 3 – Báo cáo cho các thành viên bên ngoài: Hướng dẫn cách thức báo

cáo cho các đối tượng bên ngoài về KSNB liên quan đến tài chính

- Phần 4 – Các công cụ đánh giá: Bao gồm các bảng biểu phục vụ cho việc

đánh giá sự hữu hiệu của hệ thống KSNB

1.1.1.2 Định nghĩa kiểm soát nội bộ

Theo Báo cáo của COSO năm 1992, KSNB là một quá trình do người quản

lý, hội đồng quản trị và các nhân viên của đơn vị chi phối, nó được thiết lập để cung

cấp một sự đảm bảo hợp lý nhằm thực hiện ba mục tiêu dưới đây:

- Báo cáo tài chính đáng tin cậy

- Các luật lệ và quy định được tuân thủ

- Hoạt động hữu hiệu và hiệu quả

Trong định nghĩa trên, bốn nội dung cơ bản là quá trình, con người, đảm bảo

hợp lý và mục tiêu Chúng được hiểu như sau:

ƒ Kiểm soát nội bộ là một quá trình Kiểm soát nội bộ bao gồm một

chuỗi các hoạt động kiểm soát hiện diện ở mọi bộ phận trong đơn vị và được kết

hợp với nhau thành một thể thống nhất Quá trình kiểm soát là phương tiên để giúp

cho đơn vị đạt được các mục tiêu của mình

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

ƒ Kiểm soát nội bộ được thiết kế và vận hành bới con người Kiểm soát

nội bộ không chỉ đơn thuần là những chính sách, thủ tục, biểu mẫu, mà phải bao

gồm những con người trong tổ chức như Hội đồng quản trị, Ban giám đốc và các

nhân viên Chính con người định ra mục tiêu, thiết lập cơ chế kiểm soát ở mọi nơi

và vận hành chúng

ƒ Kiểm soát nội bộ cung cấp một đảm bảo hợp lý, chứ không đảm bảo

tuyệt đối là các mục tiêu sẽ được thực hiện

ƒ Các mục tiêu của kiểm soát nội bộ

- Đối với báo cáo tài chính thì kiểm soát nội bộ phải đảm bảo tính trung thực và

đáng tin cậy

- Đối với tính tuận thủ, kiểm soát nội bộ phải đảm bảo hợp lý việc chấp hành

luật pháp và các quy định của Nhà nước và các quy định của đơn vị

- Đối với mục tiêu sự hữu hiệu và hiệu quả của các hoạt động, kiểm soát nội

bộ giúp đơn vị bảo vệ và sử dụng hiệu quả các nguồn lực, bảo mật thông tin, nâng

cao uy tín, mở rộng thị phần, thực hiện các chiến lược kinh doanh của đơn vị,

1.1.2 Các yếu tố của kiểm soát nội bộ

Theo COSO 1992, hệ thống kiểm soát nội bộ trong một đơn vị được cấu thành

bởi năm bộ phận Đó là: môi trường kiểm soát, đánh giá rủi ro, các hoạt động kiểm

soát, thông tin và truyền thông, giám sát

Bảng 1.1 Các yếu tố của hệ thống kiểm soát nội bộ

Môi trường quản lý

Thông tin và truyền thôn

Giám sát g

xiii

1.1.2.1 Môi trường kiểm soát

Môi trường kiểm soát phản ánh sắc thái chung của một đơn vị, chi phối ý thức

kiểm soát của mọi thành viên trong đơn vị và là nền tảng của các bộ phận khác của

kiểm soát nội bộ Các nhân tố thuộc về môi trường kiểm soát là:

- Tính chính trực và các giá trị đạo đức: sự hữu hiệu của hệ thống kiểm soát

nội bộ phụ thuộc trực tiếp vào tính chính trực và việc tôn trọng các giá trị đạo đức

của những người liên quan đến quá trình kiểm soát Đơn vị phải xây dựng được các

chuẩn mực, quy định về đạo đức cho các nhân viên và những nhà quản lý phải làm

gương trong việc thực hiện các quy định đó Mặt khác, đơn vị cũng cần phải loại trừ,

giảm thiểu những áp lực và cơ hội dẫn đến những hành vi thiếu trung thực của nhân

viên trong đơn vị

- Đảm bảo về năng lực: đơn vị phải đảm bảo cho nhân viên có được những

hiểu biết và kỹ năng cần thiết để thực hiện những công việc được giao Nếu không,

chắc chắn họ sẽ thực hiện nhiệm vụ được giao không hữu hiệu và hiệu quả

- Hội đồng quản trị và Ban kiểm soát: thông qua các hoạt động giám giát của

mình (sự tuân thủ pháp luật, lập báo cáo tài chính, giữ sự độc lập của kiểm toán nội

bộ,…) các bộ phận này có những tác động quan trọng cho việc thực hiện các mục

tiêu của đơn vị

- Triết lý và phong cách điều hành của nhà quản lý: các đặc điểm cá nhân

của những người quản lý, đặc biệt là người quản lý cấp cao khi điều hành đơn vị sẽ

tạo nên những rủi ro khác nhau cho đơn vị

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

- Cơ cấu tổ chức: sự phân chia trách nhiệm và quyền hạn giữa các bộ phận

trong đơn vị sẽ tác động đến việc thực hiện các mục tiêu Cơ cấu phù hợp sẽ là cơ

sở cho việc lập kế hoạch, điều hành, kiểm soát và giám sát các hoạt động

- Cách thức phân chia quyền hạn và trách nhiệm: việc phân chia trách

nhiệm và quyền hạn cụ thể của từng thành viên trong các hoạt động của đơn vị giúp

cho mỗi thành viên hiểu rằng họ có nhiệm vụ cụ thể gì và từng hoạt động của họ

ảnh hưởng đến người khác như thế nào trong việc thực hiện các mục tiêu

- Chính sách nhân sự: các chính sách và thủ tục của đơn vị về việc tuyển

dụng, huấn luyện, bổ nhiệm, đánh giá, sa thải, đề bạt, ảnh hưởng đến sự hữu hiệu

của môi trường kiểm soát thông qua tác động đến các nhân tố khác trong môi trường

kiểm soát như đảm bảo về năng lực, tính chính trực và các giá trị đạo đức,

Môi trường kiểm soát có ảnh hưởng quan trọng đến quá trình thực hiện và kết

quả của các thủ tục kiểm soát Các thủ tục kiểm soát có thể không đạt được mục

tiêu hoặc chỉ còn là hình thức trong môi trường kiểm soát yếu kém Ngược lại, một

môi trường kiểm soát tốt có thể hạn chế phần nào sự thiếu sót của các thủ tục kiểm

soát Tuy nhiên, môi trường kiểm soát không thể thay thế cho các thủ tục kiểm soát

cần thiết

1.1.2.2 Đánh giá rủi ro

Các hoạt động liên quan đến đơn vị bao gồm các hoạt động diễn ra tại đơn vị

và các hoạt động ở bên ngoài đều có thể phát sinh rủi ro và khó kiểm soát tất cả Vì

vậy, đơn vị phải thận trọng khi xác định và phân tích những nhân tố ảnh hưởng đến

rủi ro làm cho những mục tiêu – kể cả mục tiêu chung và mục tiêu cụ thể cho từng

hoạt động – của đơn vị có thể không được thực hiện, và phải cố gắng kiểm soát

được những rủi ro này

xv

Để giới hạn rủi ro ở mức chấp nhận được, đơn vị phải nhận dạng và phân tích

rủi ro trên cơ sở các mục tiêu đã được thiết lập của tổ chức từ đó mới có thể kiểm

soát được rủi ro

- Xác định mục tiêu của đơn vị: Báo cáo COSO năm 1992 không cho rằng

đây là nhiệm vụ của KSNB Tuy nhiên, các thành viên trong hệ thống KSNB phải

biết được các mục tiêu của đơn vị để nhận dạng và đánh giá những rủi ro tác động

đến việc thực hiện các mục tiêu đã đề ra

- Nhận dạng rủi ro: rủi ro có thể tác động đến đơn vị ở mức độ toàn đơn vị

hay ảnh hưởng đến từng hoạt động cụ thể

Ơû mức độ toàn đơn vị, các nhân tố phát sinh rủi ro là: sự đổi mới kỹ thuật,

nhu cầu khách hàng thay đổi, sự thay đổi sản của đối thủ cạnh tranh, thay đổi chính

sách của Nhà nước, đây là những nhân tố phát sinh từ môi trường hoạt động của

đơn vị Trong phạm vi từng hoạt động như bán hàng, mua hàng, rủi ro có thể phát

sinh và tác động đến bản thân từng hoạt động trước khi gây ảnh hưởng day chuyền

đến toàn đơn vị Thông thường rủi ro liên quan đến từng bộ phận xuất phát từ các

chính sách của đơn vị như chính sách mở rộng thị phần, chính sách cải tiến kỹ

thuật,

Để nhận dạng rủi ro, đơn vị có thể sử dụng nhiều phương pháp khác nhau từ

việc sử dụng các phương tiện dự báo, phân tích các dữ liệu quá khứ, cho đến việc rà

soát thường xuyên các hoạt động Trong các doanh nghiệp nhỏ, công việc này có

thể thực hiện dưới dạng những cuộc tiếp xúc với khách hàng, ngân hàng,… hoặc các

buổi họp giao ban trong nội bộ

- Phân tích và đánh giá rủi ro: vì rủi ro rất khó định lượng nên đây là công

việc khá phức tạp và có nhiều phương pháp khác nhau Thông thường một quy trình

phân tích và đánh giá rủi ro gồm các bước sau: ước lượng tầm cỡ của rủi ro qua ảnh

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

hưởng có thể có của nó đến việc thực hiện mục tiêu của đơn vị, xem xét khả năng

xảy ra rủi ro và những biện pháp có thể sử dụng để đối phó với rủi ro

1.1.2.3 Các hoạt động kiểm soát

Các hoạt động kiểm soát là những chính sách và thủ tục giúp cho việc thực

hiện các chỉ đạo của người quản lý Nó đảm bảo các hành động cần thiết để kiểm

soát các rủi ro mà đơn vị có thể gặp phải trong quá trình thực hiện mục tiêu của

mình Các hoạt động kiểm soát thông thường tại đơn vị là: phân chia trách nhiệm

đầy đủ, ủy quyền đúng đắn cho các nghiệp vụ và hoạt động, bảo vệ tài sản vật chất

và thông tin, kiểm tra độc lập, phân tích rà soát lại việc thực hiện

1.1.2.4 Thông tin và truyền thông

Thông tin được thu thập, xử lý và truyền đạt đến các cá nhân, bộ phận trong

đơn vị để có thể hoàn thành nhiệm vụ của mình và cung cấp các cho các đối tượng

bên ngoài về hoạt động, tài chính, sự tuân thủ của đơn vị cho các đối tượng bên

ngoài Truyền thông là cách thức truyền đạt thông tin của đơn vị cho các đối tượng

khác nhau bao gồm cả các đối tượng bên trong và các đối tượng bên ngoài đơn vị

Thông tin cần thiết cho mọi cấp của đơn vị vì giúp cho việc đạt được các mục

tiêu kiểm soát khác nhau Thông tin được cung cấp thông qua hệ thống thông tin Hệ

thống thông tin của đơn vị có thể được xử lý trên máy tính, qua hệ thống thủ công

hoặc kết hợp cả hai Các hoạt động kiểm soát tại đơn vị chỉ có thể thực hiện nếu

thông tin thích hợp, kịp thời, cập nhật, chính xác và truy cập thuận tiện

1.1.2.5 Giám sát

Giám sát là quá trình đánh giá chất lượng của hệ thống kiểm soát nội bộ

Hoạt động giám sát đòi hỏi đơn vị xác định hệ thống kiểm soát nội bộ có vận hành

đúng như thiết kế hay không và có cần thiết phải sửa đổi cho phù hợp với từng giai

đoạn phát triển của đơn vị hay không Giám sát có vai trò quan trọng trong kiểm

xvii

soát nội bộ vì nó giúp cho kiểm soát nội bộ duy trì được sự hữu hiệu trong các thời

kỳ khác nhau Các hoạt động giám sát bao gồm giám sát thường xuyên và giám sát

định kỳ

- Giám sát thường xuyên diễn ra ngay trong quá trình hoạt động, do các nhà

quản lý và các nhân viên thực hiện trong trách nhiệm của mình

- Giám sát định kỳ thường thực hiện thông qua chức năng kiểm toán nội bộ

hoặc các hoạt động định kỳ của Ban kiểm soát, qua đó phát hiện kịp thời những yếu

kém trong hệ thống để đưa ra các biện pháp cải thiện

(chi tiết các yếu tố của kiểm soát nội bộ xem chi tiết ở Phụ lục 1)

1.1.3 Hạn chế của lý thuyết kiểm soát nội bộ

Mặc dù đã được bổ sung và hoàn thiện trong quá trình phát triển, tuy nhiên lý

thuyết về kiểm soát nội bộ vẫn còn những hạn chế, đặc biệt trong điều kiện kinh tế

hiện nay Các hạn chế của lý thuyết kiểm soát nội bộ thể hiện ở những mặt sau đây:

ƒ Chưa mở rộng tầm nhìn chiến lược

Báo cáo COSO năm 1992 không xác định việc xây dựng các mục tiêu của đơn vị

nằm trong chu trình KSNB Vì vậy, hệ thống KSNB được xây dựng chỉ để nhằm

mục đích kiểm soát việc thực hiện các mục tiêu đã được xác định, chứ không nhằm

phục vụ việc quản trị các tình huống không chắc chắn và tối ưu hoá quá trình quản

trị đó

Mặt khác, việc xác định các mục tiêu, đặc biệt là các mục tiêu chiến lược không

nằm trong chu trình kiểm soát cũng làm cho hệ thống KSNB bị hạn chế về tính dự

báo đối với các loại rủi ro và vì vậy không xây dựng được các chiến lược dài hạn

đối để đối phó

ƒ Chưa áp dụng các phương pháp, kỹ thuật để quản trị rủi ro

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

Báo cáo COSO năm 1992 cung cấp khá nhiều các phương pháp, kỹ thuật cho

KSNB Tuy nhiên các kỹ thuật này mới chỉ dừng lại ở mức độ kiểm soát chứ chưa

đáp ứng được yêu cầu về đánh giá và quản trị các rủi ro liên quan đến đơn vị

ƒ Chưa thể hiện vai trò của người quản lý cao cấp và trách nhiệm của họ đối

với rủi ro

Hệ thống KSNB được xây dựng bởi những người quản lý trong đơn vị nhằm đảm

bảo hợp lý việc thực hiện các mục tiêu đã đề ra Tuy nhiên, lý thuyết KSNB chỉ giới

hạn trách nhiệm của người quản lý trong các hoạt động của đơn vị, chưa thể hiện

trách nhiệm liên quan đến việc kiểm soát các rủi ro tiềm ẩn Vì vậy, sau khi Báo

cáo COSO năm 1992 ra đời thì lý thuyết KSNB tiếp tục phát triển theo nhiều hướng

khác nhau và theo hướng tích hợp với việc quản trị các rủi ro tại đơn vị

1.2 Sự phát triển các lý thuyết về quản trị rủi ro

1.2.1 Thời kỳ tiền lý thuyết

Thuật ngữ “rủi ro” liên quan đến hoạt động của một đơn vị đã được đề cập từ

rất sớm Lúc đầu, rủi ro được coi là khả năng hoặc mối đe dọa có thể gây tổn thất

liên quan đến hoạt động thương mại, đặc biệt trong việc bảo toàn tài sản và hàng

hoá Cách thức thông thường để đối phó với rủi ro trong giai đoạn này là mua các

dịch vụ bảo hiểm để chuyển giao toàn bộ hoặc một phần thiệt hại về tài sản cho các

doanh nghiệp bảo hiểm khi tổn thất phát sinh

Sự ra đời của doanh nghiệp bảo hiểm chứng tỏ rằng các doanh nghiệp đã sử

dụng dịch vụ bảo hiểm để chuyển giao rủi ro Lúc đầu dịch vụ bảo hiểm hình thành

trong lĩnh vực vận chuyển hàng hoá bằng đường biển, sau đó phát triển sang các

loại hình khác Các tài liệu tìm thấy ở công ty bảo hiểm Hammurabi cho chúng ta

thấy rằng dịch vụ bảo hiểm đã tồn tại cách đây khoảng 3.800 năm.( ) 1

1.2.2 Thời kỳ phát triển lý thuyết quản trị rủi ro

1

Lam, James, Enterprise Risk Management: From Incensives to Control, Trang 95

xix

Khi hoạt động kinh doanh càng mở rộng phát triển thì doanh nghiệp phải đối

mặt mới nhiều loại rủi ro mới và phức tạp hơn, đòi hỏi phải có một lý thuyết về rủi

ro và các kỹ thuật để có thể quản lý rủi ro một cách hiệu qủa Từ chỗ cách thức duy

nhất để quản lý rủi ro là mua các bảo hiểm cho các tổn thất có thể có đến cách thức

quản lý những tình huống không chắc chắn và tối ưu hoá việc quản trị rủi ro

Cùng với yêu cầu về quản trị rủi ro, các lý thuyết về rủi ro và sau đó là các

kỹ thuật và các hệ thống quản trị rủi ro được hình thành Có thể chia thành các giai

đoạn phát triển như sau:

1.2.2.1 Nhận thức về rủi ro và các nhân tố ảnh hưởng

John Haynes (1895)

John Haynes là một trong những người đầu tiên nghiên cứu về rủi ro Theo

ông thì rủi ro là khả năng xảy ra những hư hỏng hoặc mất mát một cách tình cờ đối

với đơn vị, sự kiện không chắc chắn được coi là rủi ro khi nó sẽ có những tác động

xấu đến kết quả của đơn vị Oâng cũng khẳng định rằng, những nhà tư bản – người

đầu tư tài sản của mình vào đơn vị – sẽ gánh chịu những rủi ro liên quan đến đơn vị

Frank H Knight (1921)

Theo Frank H Knight thì rủi ro là sự kiện trong tương lai mà có thể đo lường

được sự tác động còn sự kiện không chắc chắn là những sự kiện mà không thể đo

lường được sự tác động Mặt khác, ông cũng cho rằng: rủi ro liên quan đến tổn thất,

và sự kiện không chắc chắn liên quan đến những lợi ích mà đơn vị sẽ gặp phải trong

tương lai Để xem xét khả năng xuất hiện của rủi ro và sự kiện không chắc chắn,

ông sử dụng các khái niệm “xác suất khách quan” và “xác suất chủ quan”

Irving Pfeffer (1956)

Pfeffer đã tiếp tục quan điểm của Knight, và theo ông thì: thì rủi ro là sự kết

hợp của các nguy hại và được đo lường bởi xác suất xảy ra; còn sự kiện không chắc

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

chắn được đo lường bởi mức độ của niềm tin Rủi ro là trạng thái khách quan, sự

kiện không chắc chắn là trạng thái chủ quan

Các quan điểm về rủi ro theo thời gian đã có một sự chuyển biến to lớn: từ

chỗ coi rủi ro là việc xuất hiện tổn thất một cách tình cờ đến việc dự báo các rủi ro,

từ chỗ coi rủi ro là những gì có thể đo lường được đến việc ý thức được những rủi ro

không thể đo lường, từ chỉ xem xét đến tổn thất đến việc đánh giá lợi ích, từ xem

xét các rủi ro riêng lẻ đến xem xét cùng lúc nhiều rủi ro, Tuy nhiên, các quan

điểm trên còn chứa đựng những bất cập: quan điểm về rủi ro chưa bao quát cho toàn

đơn vị; rủi ro được xem xét cho từng sự kiện độc lập hoặc mới chỉ dừng lại xem xét

sự tác động của nhiều sự kiện đến một mặt hoạt động của đơn vị Do đó, ứng phó

với rủi ro thường bị động vì không có một chiến lược bài bản

1.2.2.2 Các công cụ quản trị rủi ro được hình thành

Với sự phát triển của nền kinh tế thị trường, đặc biệt là thị trường tài chính, các

công cụ được xây dựng để lúc đầu phục vụ cho nhu cầu của các nhà đầu tư và sau

đó áp dụng cho các hoạt động trong doanh nghiệp Ngoài ra, cùng với sự phát triển

của kỹ thuật máy tính doanh nghiệp có nhiều nguồn dữ liệu và công cụ hỗ trợ đắc

lực cho việc đo lường và phân tích các rủi ro, từ đó phục vụ tốt hơn cho việc quản lý

Đầu những năm 1950, lý thuyết về danh mục đầu tư của Harry Markowitz đề cập

đến việc đo lường và quản trị rủi ro Theo đó, có sự liên hệ giữa rủi ro và lợi ích kỳ

vọng của một phương án và nhà đầu tư nên kết hợp nhiều phương án khác nhau để

tối đa lợi ích của mình Đến đầu những năm 1970, công cụ bảo hiểm và tái bảo

hiểm được các doanh nghiệp sử dụng rộng rãi và xuất hiện các công cụ phái sinh

được các doanh nghiệp sử dụng để dự phòng cho những biến động về giá cả của thị

trường Sự kết hợp công cụ bảo hiểm và các công cụ phái sinh dẫn đến việc áp dụng

hình thức dịch vụ thuê ngoài (outsourcing) ở các doanh nghiệp lớn nhằm chuyển

xxi

giao rủi ro cho các đối tác bên ngoài khi doanh nghiệp thấy việc thực hiện không

còn hiệu qủa

Mặt khác, trong những năm 1980 với sự bùng nổ của công nghệ thông tin các

doanh nghiệp có những phương tiện cần thiết để lưu trữ, tiếp cận những thông tin

khổng lồ và phức tạp phục vụ cho việc ra quyết định Ngoài ra, với sự phát triển của

các kỹ thuật máy tính, các doanh nghiệp cũng có những phương tiện đắc lực để đo

lường và phân tích rủi ro phục vụ ngày càng hiệu qủa cho công tác quản trị các rủi

ro tại doanh nghiệp

1.2.2.3 Hệ thống quản trị rủi ro

ƒ Báo cáo Basel

Trên cơ sở Báo cáo COSO năm 1992, Ủy ban Basel ban hành Báo cáo Basel

năm 1998 về kiểm soát nội bộ tại các ngân hàng và tổ chức tín dụng Năm 2000 Ủy

ban Basel ban hành báo cáo bổ sung liên quan đến kiểm toán nội bộ, quan hệ giữa

kiểm toán viên và ngân hàng

Nội dung của Báo cáo Basel nhằm xây dựng một hệ thống kiểm soát nội bộ

hữu hiệu, chủ yếu kiểm soát các rủi ro liên quan đến việc thực hiện các mục tiêu

tương tự như Báo cáo COSO năm 1992 và các rủi ro liên quan đến tín dụng Báo cáo

Basel chỉ giới hạn trong phạm vi ngân hàng và các tổ chức tín dụng chứ chưa mở

rộng phạm vi ra các loại hình doanh nghiệp khác trong việc quản trị các rủi ro

ƒ James Lam (2003)

James Lam là người đề xuất vị trí trưởng bộ phận rủi ro (CRO), ông được xem

là CRO đầu tiên của khoảng 300 CRO hiện nay trên thế giới Năm 1993 ông giữ

chức vụ CRO cho công ty GE Capital, từ năm 1995 đến năm 1998 ông là CRO của

công ty quản lý quỹ đầu tư Fidelity Investment – qũy đầu tư hỗ tương lớn nhất thế

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

giới với tổng tài sản lên đến 700 tỷ USD Trong thới gian này, ông được tạp chí The

Economist và Price Waterhouse Review đánh giá là người quản trị rủi ro tốt nhất

Năm 1999 ông tham gia công ty tư vấn Oliver, Wyman & Company và đồng

sáng lập ra công ty ERrisk, chuyên cung cấp các dịch vụ tư vấn về quản trị rủi ro và

đầu tư, đặc biệt cho các ngân hàng và công ty quản lý qũy đầu tư Tại ERisk, đầu

tiên ông giữ chức vụ giám đốc điều hành và năm 2000 ông là phó chủ tịch Hội đồng

quản trị Năm 2002 ông rời ERisk nhưng vẫn là thành viên Hội đồng quản trị của

công ty này

Hiên nay ông là nhà tư vấn độc lập và chủ tịch của công ty James Lam &

Associates Các khách hàng lớn được ông trực tiếp tư vấn bao gồm: The World

Bank, Salomon Smith Barney, Allied Capital, First Data,…

Theo James Lam, rủi ro là tất cả các sự kiện tác động tiêu cực đến công ty,

và mỗi loại rủi ro chịu sự tác động của nhiều yếu tố Giữa lợi nhuận của công ty và

mức độ rủi ro mà công ty tham gia có sự tương quan Ơû mức độ ban đầu, mức độ rủi

ro mà công ty tham gia càng nhiều thì lợi nhuận càng lớn Tuy nhiên, khi mức độ rủi

ro mà công ty tham gia đến một giới hạn nào đó thì lợi nhuận sẽ giảm khi rủi ro tăng

lên Vấn đề là công ty phải xác định tham gia rủi ro ở mức độ nào để có lợi nhuận

cao nhất?

Một chu trình để quản lý hữu hiệu rủi ro gồm các bước sau: ý thức về rủi ro,

đo lường rủi ro và kiểm soát rủi ro Chu trình quản lý rủi ro giúp mọi người liên

quan thực hiện những nhiệm vụ của mình liên quan đến rủi ro trong công việc hàng

ngày

Để quản trị rủi ro một cách hữu hiệu, đòi hỏi chu trình cần có các yếu tố cơ bản

liên quan Mỗi yếu tố phải có sự liên kết với các yếu tố khác và các yếu tố phải kết

hợp với nhau như một chỉnh thể thống nhất Các yếu tố cơ bản của một chu trình

quản trị rủi ro bao gồm: Ban lãnh đạo, các cấp quản lý trung gian, mức rủi ro có thể

xxiii

chấp nhận, chuyển giao rủi ro, phân tích rủi ro, cơ sở dữ liệu và kỹ thuật, thông tin

về rủi ro

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

Bảng 1.2: Các yếu tố của hệ thống quản trị rủi ro doanh nghiệp theo James Lam

1 Ban lãnh đạo đơn vị

Thiết lập một quy trình quản lý rủi ro từ trên xuống

2 Cấp quản lý trung gian

Triển khai chiến lược

3 Quản lý rủi ro tổng

thể

Nghĩ và làm như “người quản lý quỹ đầu tư”

4 Chuyển giao rủi ro

Chuyển giao những rủi

ro không hiệu quả

5 Phân tích rủi ro

Phát triển các công cụ phân tích hiện đại

6 Nguồn dữ liệu và kỹ thuật

Tích hợp kỹ thuật và dữ liệu

7 Thông tin cho các bên liên quan

Cải thiện sự minh bạch các thông tin về rủi ro cho các bên liên quan

ƒ Nhận xét

Hệ thống quản trị rủi ro được xây dựng cho các loại hình doanh nghiệp đã tạo ra

những chuẩn mực để các doanh nghiệp áp dụng trong việc quản trị rủi ro và các bên

liên quan có những cơ sở để đánh giá Tuy nhiên, các hệ thống quản trị rủi ro như đã

trình bày ở trên vẫn còn những tồn tại cơ bản sau:

- Nhấn mạnh đến những ngành nghề có rủi ro cao như ngân hàng, công ty đầu tư

mà chưa mở rộng đến các loại hình doanh nghiệp khác Điều này gây khó khăn cho

các doanh nghiệp không nằm trong phạm vi của hệ thống quản trị rủi ro khi tiếp

cận Ví dụ doanh nghiệp phân phối hàng tiêu dùng không thể áp dụng cách thức

quản trị rủi ro của công ty quản lý qũy,

xxv

- Hệ thống quản trị rủi ro theo nhìn nhận của James Lam chỉ thuần tuý mang tính

chất quản lý mà không kết hợp với ngành nghề kế toán tài chính Trong khi đó, theo

quy định của một số quốc gia thì việc quản lý rủi ro liên quan đến doanh nghiệp,

trách nhiệm đó thuộc về lĩnh vực kế toán tài chính, ví dụ Đạo luật Sarbanes-Oxley

năm 2002 của Hoa Kỳ Mặt khác, một số tổ chức nghề nghiệp cũng khẳng định lĩnh

vực này thuộc về tài chính kế toán, chẳng hạn Tổ chức kiểm toán nội bộ IIA khẳng

định chức năng này thuộc về kiểm toán nội bộ

Như vậy, hệ thống quản trị rủi ro cần phải được xây dựng lại để có thể bao quát

hết cho các loại hình doanh nghiệp và thể hiện trách nhiệm của doanh nghiệp trong

việc quản lý các rủi ro

1.3 Quản trị rủi ro doanh nghiệp theo khuôn mẫu của COSO năm 2004

1.3.1 Khái niệm về quản trị rủi ro doanh nghiệp

Mùa thu năm 2001, COSO đề xuất nghiên cứu nhằm đưa ra một lý thuyết để

giúp các tổ chức quản trị các rủi ro liên quan đến quá trình hoạt động Mặc dù đã

tồn tại nhiều lý thuyết về quản trị rủi ro nhưng COSO vẫn khẳng định rằng cần thiết

phải có một cách tiếp cận mới về rủi ro và phải xây dựng một khuôn mẫu lý thuyết

cũng như các kỹ thuật áp dụng tương tương để các đơn vị có thể áp dụng phù hợp

với điều kiện của mình Công ty kiểm toán PriceWaterhouseCooper được chọn tham

gia vào dự án này Đến tháng 10 năm 2004, dự án được hoàn thành và COSO công

bố báo dưới tiêu đề: Quản trị rủi ro doanh nghiệp – Khuôn khổ hợp nhất

Theo Báo cáo của COSO năm 2004 thì quản trị rủi ro (QTRR) doanh nghiệp là

một quá trình do hội đồng quản trị, các cấp quản lý và các nhân viên của đơn vị chi

phối, được áp dụng trong việc thiết lập các chiến lược liên quan đến toàn đơn vị và

áp dụng cho tất cả các cấp độ trong đơn vị, được thiết kế để nhận dạng các sự kiện

tiềm tàng có thể ảnh hưởng đến đơn vị và quản trị rủi ro trong phạm vi chấp nhận

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

được của rủi ro nhằm cung cấp một sự đảm bảo hợp lý về việc đạt được các mục

tiêu của đơn vị

So với định nghĩa của Báo cáo COSO năm 1992, thì định nghĩa này có những

điểm mới sau:

- Ngoài 3 mục tiêu: báo cáo tài chính, hoạt động và tuân thủ thì mục tiêu của

Báo cáo COSO năm 2004 còn có mục tiêu chiến lược Mục tiêu chiến lược được xác

định ở cấp độ cao hơn so với các mục tiêu còn lại của QTRR Các mục tiêu chiến

lược được xây dựng dựa trên sứ mạng của đơn vị Các mục tiêu về hoạt động, báo

cáo và tuân thủ phải phù hợp với các mục tiêu chiến lược này

- Mở rộng hướng tiếp cận chiến lược về rủi ro QTRR được áp dụng trong việc

thiết lập các mục tiêu chiến lược và các chiến lược để thực hiện cũng như trong các

hoạt động nhằm đạt đến các mục tiêu liên quan Như vậy, các mục tiêu trong QTRR

bao trùm hơn, xuyên suốt hơn so với các mục tiêu trong KSNB do đó sẽ mức độ bao

quát rộng hơn đối với những rủi ro có khả năng phát sinh

- Mở rộng các cấp độ xem xét đối với rủi ro Sự kiện tác động không chỉ được

xem xét riêng lẻ cho từng bộ phận trực tiếp liên quan mà còn được xem xét cho tất

cả các cấp độ hoạt động trong đơn vị Khi đó sự tác động của rủi ro được xem xét

hết từ bộ phận, chi nhánh, đến toàn doanh nghiệp

Các cấp độ xem xét đối với rủi ro căn cứ vào phạm vi có thể chấp nhận của rủi

ro, các phạm vi có thể chấp nhận bao gồm:

Mức rủi ro có thể chấp nhận: là mức độ rủi ro mà đơn vị sẵn sàng chấp nhận để

thực hiện việc làm tăng giá trị xét trên bình diện toàn đơn vị

Mức rủi ro có thể chấp nhận ở mức độ bộ phận: là mức rủi ro mà đơn vị sẵn

sàng chấp nhận liên quan đến việc thực hiện từng mục tiêu cụ thể

1.3.2 Lợi ích của quản trị rủi ro doanh nghiệp

- Tạo lập sự phù hợp giữa lựa chọn chiến lược và mức rủi ro có thể chấp

nhận: đối với mỗi chiến lược được lựa chọn, đơn vị xem xét mức rủi ro có thể chấp

xxvii

nhận cho từng chiến lược, trên cơ sở đó đơn vị có căn cứ để xây dựng các mục tiêu

cụ thể và xác định cách thức quản lý các rủi ro liên quan Điều này tạo sự nhất quán

trong việc quản lý và hướng các công việc hàng ngày theo theo mục tiêu ban đầu đã

đề ra

- Làm tăng hiệu quả đối với việc phản ứng với rủi ro: QTRR cung cấp các kỹ

thuật và phương pháp cụ thể trong việc nhận dạng và lựa chọn các phương thức

phản ứng với rủi ro như né tránh rủi ro, giảm thiểu rủi ro, chuyển giao rủi ro và chấp

nhận rủi ro sẽ giúp các nhà quản lý phản ứng với rủi ro một cách hiệu quả

- Giảm thiểu tổn thất bất ngờ trong quá trình hoạt động: QTRR làm tăng khả

năng của đơn vị về việc nhận dạng các sự kiện tiềm tàng, đánh giá rủi ro, thiết lập

cách thức phản ứng với rủi ro và do đó giảm thiểu những chi phí và tổn thất bất ngờ

- Nhận dạng và quản lý rủi ro xuyên suốt toàn đơn vị: mỗi đơn vị phải đối mặt

với rất nhiều loại rủi ro tác động đến nhiều bộ phận khác nhau Và QTRR đòi hỏi

người quản lý không chỉ quản lý các loại rủi ro riêng biệt mà còn phải hiểu được sự

tác động lẫn nhau của các rủi ro đó Từ đó giúp cho đơn vị có cái nhìn hệ thống đối

với các loại rủi ro và phản ứng hiệu quả hơn đối với rủi ro, phục vụ cho việc thực

hiện mục tiêu tổng thể của đơn vị

- Giúp đơn vị nắm bắt những cơ hội trong kinh doanh: QTRR xem xét tất cả

các sự kiện tiềm tàng liên quan đến đơn vị không chỉ có rủi ro và vì vậy giúp các

nhà quản lý nhận dạng các sự kiện mang đến cơ hội từ đó đưa ra những phản ứng

thích hợp để tận dụng những cơ hội đó

- Cải thiện sự phân bổ nguồn vốn của đơn vị: Có được đầy đủ thông tin về rủi

ro giúp nhà quản lý đánh giá tổng quát nhu cầu về vốn và tối ưu hoá việc phân bổ

vốn của đơn vị

Tóm lại, QTRR giúp giúp nhà quản lý trong việc tạo lập giá trị cho đơn vị bằng

cách: xử lý hữu hiệu đối với những sự kiện không chắc chắn trong tương lai và cung

cấp các cách thức phản ứng nhằm đem lại hiệu qủa cao nhất cho đơn vị

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

1.3.3 Các yếu tố của quản trị rủi ro doanh nghiệp

1.3.3.1 Sơ lược các yếu tố

Theo Báo cáo của COSO năm 2004, QTRR doanh nghiệp bao gồm những bộ

phận sau: Môi trường quản lý, thiết lập các mục tiêu, nhận dạng sự kiện tiềm

tàng, đánh giá rủi ro, phản ứng với rủi ro, hoạt động kiểm soát, thông tin và truyền

thông, giám sát Các yếu tố của QTRR doanh nghiệp được thể hiện ở bảng 1.3 dưới

đây:

xxix

Bảng 1.3 Các yếu tố của quản trị rủi ro doanh nghiệp

Môi trường quản lý

Thiết lập mục tiêu

Nhận dạng sự kiện tiềm tàng

Đánh giá rủi ro

Phản ứng với rủi ro

Hoạt động kiểm soát

Thông tin & Truyền thông

Giám sát

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

1.3.3.2 Những điểm khác biệt so với kiểm soát nội bộ

QTRR có nội dung rộng hơn so với KSNB và được phát triển thêm trên cơ sở

nội dung của KSNB Ngoài ra QTRR cũng đề cập nhiều nội dung mới để nhìn nhận

rủi ro một cách toàn diện hơn và để quản lý rủi ro một cách hiệu qủa hơn

Về mặt cấu trúc, yếu tố Phân tích và đánh giá rủi ro của KSNB được phát triển

thành 4 yếu tố của QTRR: Thiết lập mục tiêu, Nhận dạng sự kiện tiềm tàng, Đánh

giá rủi ro và Phản ứng với rủi ro Mặt khác nội dung cụ thể của từng yếu tố cũng có

sự khác nhau, phần dưới đây trình bày những khác biệt cơ bản và sự mở rộng của

QTRR so với KSNB

1.3.3.2.1 Môi trường quản lý

KSNB nhìn nhận triết lý về quản lý của người điều hành là yếu tố hợp thành của

môi trường quản lý QTRR thì nhìn nhận quan điểm của nhà quản lý về rủi ro là yếu

tố hợp thành của môi trường quản lý Điều này cho thấy QTRR nhìn nhận rủi ro là

tất yếu và không thể xoá bỏ, đơn vị phải tính luôn đến trong quá trình hoạt động của

mình Trên quan điểm cho rằng không thể xóa bỏ được rủi ro, đơn vị xác định mức

rủi ro có thể chấp nhận cho toàn bộ đơn vị và cho từng cấp độ cụ thể để xây dựng

các ngưỡng chịu đựng đối với rủi ro trong quá trình hoạt động của mình

Việc xác định triết lý về rủi ro và xác định mức độ rủi ro có thể chấp nhận cũng

giúp đơn vị xác định phương hướng chung trong việc ứng phó với rủi ro chứ không

chỉ là tập trung xử lý những rủi ro cụ thể và ngắn hạn Những nội dung này trong

QTRR cụ thể như sau:

- Triết lý của nhà quản lý về quản trị rủi ro: triết lý về quản trị rủi ro là quan

điểm, nhận thức và thái độ của nhà quản lý đối với rủi ro, điều này tạo nên cách

thức mà đơn vị tiếp cận với rủi ro trong tất cả các hoạt động, từ phát triển chiến lược

đến các hoạt động hàng ngày Triết lý quản lý phản ánh những giá trị mà đơn vị

theo đuổi, tác động đến văn hoá và cách thức đơn vị hoạt động, và ảnh hưởng đến

xxxi

việc áp dụng các yếu tố khác của QTRR bao gồm cách thức nhận dạng rủi ro, các

loại rủi ro được chấp nhận và cách thức quản lý chúng

- Rủi ro có thể chấp nhận: là mức độ rủi ro mà xét trên bình diện tổng thể, đơn vị

sẵn lòng chấp nhận để theo đuổi giá trị Nó phản ánh triết lý về quản trị rủi ro của

nhà quản lý cấp cao, và ảnh hưởng đến văn hoá, cách thức hoạt động của đơn vị

Rủi ro có thể chấp nhận được xem xét khi đơn vị xác định các chiến lược, ở đó

lợi ích kỳ vọng của một chiến lược phải phù hợp với mức rủi ro có thể chấp nhận đã

đề ra Các chiến lược khác nhau sẽ dẫn đến những mức độ rủi ro khác nhau đối với

đơn vị, một khi mức rủi ro có thể chấp nhận được xác lập sẽ giúp ích cho nhà quản

lý lựa chọn chiến lược nằm trong giới hạn chịu đựng đối với các loại rủi ro

1.3.3.2.2 Thiết lập mục tiêu

Báo cáo COSO năm 1992 không cho rằng việc thiết lập mục tiêu là nhiệm vụ

của KSNB, tuy nhiên Báo cáo COSO năm 2004 cho rằng thiết lập mục tiêu là một

bộ phận của đánh giá rủi ro và việc thiết lập các mục tiêu là điều kiện đầu tiên để

nhận dạng, đánh giá và phản ứng với rủi ro

Các mục tiêu được thiết lập đầu tiên ở cấp độ mục tiêu chiến lược, từ đó đơn vị

xây dựng các mục tiêu liên quan: hoạt động, báo cáo và tuân thủ

- Các mục tiêu chiến lược: là những mục tiêu cấp cao của đơn vị, các mục tiêu

này phù hợp và ủng hộ cho sứ mạng mà đơn vị đã đề ra Nó thể hiện sự lựa chọn

của nhà quản lý về cách thức đơn vị tạo lập giá trị cho chủ sở hữu của mình

- Các mục tiêu liên quan: là những mục tiêu cụ thể hơn so với mục tiêu chiến

lược và phù hợp với mục tiêu chiến lược đã được lập Mặc dù các mục tiêu trong

đơn vị rất đa dạng, nhưng các mục tiêu liên quan đến các mục tiêu chiến lược bao

gồm các mục tiêu về hoạt động, báo cáo và tuân thủ Nội dung của các mục tiêu

này tương tự như KSNB

Mối quan hệ giữa sứ mạng, các mục tiêu và các mức rủi ro có thể chấp nhận

được thể hiện qua 1 ví dụ ở hình 1.4 dưới đây:

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

Hình 1.4 Ví dụ về mối liên hệ giữa sứ mạng, các mục tiêu và rủi ro có thể chấp nhận

của một doanh nghiệp

Rủi ro có thể chấp nhận ở mức độ bộ phận

• Số nhân viên tuyển dụng

• Chỉ số chất lượng sản phẩm • 180 nhân viên • 4.0 • -15/+20 • 4.0 – 4.5

Sứ mạng

Trở thành một nhà sản xuất về dụng cụ gia đình trong thị trường tham gia

Mục tiêu chiến

lược

Trở thành 1 trong

4 công ty dẫn đầu

về thị phần trong

thị trường mà

doanh nghiệp

đang hoạt động

Các mục tiêu liên quan

• Tăng sản lượng sản xuất mặt hàng X lên 15% trong 12 tháng tới

• Tuyển dụng thêm 180 nhân viên có chất lượng cho bộ phân sản xuất

• Duy trì chất lượng sản phẩm ở cấp độ 4

• Duy trì chi phí lao động ở mức 22% cho

Chiến lược

Mở rộng sản xuất 5 mặt hàng có doanh số bán lẻ lớn nhất để đáp ứng nhu cầu đang tăng lên của thị trường

Đo lường

• Sản lượng sản xuất

• Số nhân viên tuyển dụng

• Chất lượng sản phẩm

Đo lường

• Thị phần

Rủi ro có thể chấp nhận ở mức độ toàn doanh nghiệp

• Chấp nhận việc doanh nghiệp tiêu thụ nhiều tiền vốn để đầu tư vào tài sản mới, nhân sự và chu trình

• Chấp nhận gia tăng cạnh tranh để tăng thị phần,

vì thế lợi nhuận biên giảm xuống

• Không chấp nhận việc làm giảm chất lượng sản phẫm

xxxiii

1.3.3.2.3 Nhận dạng sự kiện tiềm tàng

1.3.3.2.3 Nhận dạng sự tiềm tàng

KSNB nhìn nhận sự kiện tiềm tàng là những sự kiện đe dọa đến việc thực

hiện mục tiêu của đơn vị QTRR xem sự kiện tiềm tàng là sự kiện có khả năng tác

động đến việc thực hiện mục tiêu, không phân biệt là rủi ro hay cơ hội Điều này

cho thấy QTRR xem xét hết các tình huống từ đó có thể tối đa hoá việc tạo lập giá

trị cho mọi tình huống trong tương lai Ngoài ra, QTRR cũng xem xét các sự kiện

tiềm tàng cụ thể và hệ thống hơn so với KSNB, cụ thể như sau:

Sự kiện tiềm tàng: là biến cố bắt nguồn từ bên trong hoặc bên ngoài đơn vị

ảnh hưởng đến việc thực hiện mục tiêu của đơn vị Một sự kiện có thể có ảnh hưởng

tích cực hoặc tiêu cực đến đơn vị và có thể cả hai

Các yếu tố ảnh hưởng: khi xem xét các sự kiện tiềm tàng cần xác định các

yếu tố ảnh hưởng đến việc thực hiện mục tiêu của đơn vị Các yếu tố ảnh hưởng bao

gồm các yếu tố bên ngoài như: môi trường kinh tế, môi trường tự nhiên, các yếu tố

chính trị, xã hội,… và các yếu tố bên ngoài như: cơ sở vật chất, nhân sự, các chu

trình,…

Sự tương tác lẫn nhau giữa các sự kiện: các sự kiện liên quan đến đơn vị

thường không xuất hiện độc lập mà có sự tương tác lẫn nhau Một sự kiện xuất hiện

có thể tạo ra, tác động đến một sự kiện khác và các sự kiện có thể xuất hiện đồng

thời

Phân biệt cơ hội và rủi ro: sự kiện tiềm tàng nếu xuất hiện sẽ tác động tiêu

cực hoặc tích cực đến đơn vị hoặc tác động cả hai Nếu sự kiện có tác động tiêu cực,

đe dọa nguy cơ đạt được mục tiêu của đơn vị, thì đòi hỏi đơn vị phải đánh giá rủi ro

và phản ứng với rủi ro Nếu sự kiện có tác động tích cực đến đơn vị, làm thuận lợi

việc thực hiện mục tiêu của đơn vị hoặc tạo giá trị cho đơn vị, thì phải được xem xét

trở lại đối với các chiến lược đã được xây dựng

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

Trong một số trường hợp sự kiện tiềm tàng có liên hệ trực tiếp và cụ thể đến

các mục tiêu của đơn vị Ví dụ về nhận dạng sự kiện tiềm tàng ở Bảng 1.5 dưới đây

cho chúng ta thấy rõ hơn sự liên hệ này

Bảng 1.5 Ví dụ về nhận dạng các sự kiện tiềm tàng

Sứ mạng Trở thành một nhà sản xuất về dụng

cụ gia đình trong thị trường tham gia Mục tiêu chiến lược Trở thành 1 trong 4 công ty dẫn đầu

về thị phần trong thị trường mà doanh nghiệp đang hoạt động

Các mục tiêu liên quan • Tuyển dụng 180 nhân viên có chất

lượng cho bộ phận sản xuất

• Duy trì chi phí lao động ở mức 22% cho mỗi đơn hàng

Đo lường việc thực hiện mục tiêu • Số lượng nhân viên có chất lượng

được tuyển dụng

• Chi phí lao động cho mỗi đơn hàngCác mức rủi ro có thể chấp nhận • 165 – 200 nhân viên có chất lượng

được tuyển dụng

• Chi phí lao động cho mỗi đơn hàng chiếm từ 20 – 23%

Sự kiện tiềm tàng/Rủi ro và sự tác

động liên quan

• Cầu lao động tăng, doanh nghiệp tuyển dụng được nhiều lao động

• Cầu lao động giảm, doanh nghiệp tuyển dụng ít lao động hơn so với dự kiến

• Tuyển dụng các lao động không đảm bảo về chất lượng

xxxv

1.3.3.2.4 Đánh giá rủi ro

QTRR cung cấp cách thức về chu trình và những kỹ thuật cụ thể để đánh giá

rủi ro Trên cơ sở đó, đơn vị có thể đánh giá cụ thể sự tác động của các sự kiện tiềm

tàng và do đó xem xét những cách thức phản ứng phù hợp Việc đánh giá rủi ro bao

gồm các nội dung sau:

Rủi ro tiềm tàng và rủi ro kiểm soát: rủi ro tiềm tàng là rủi ro do thiếu các

hoạt động của đơn vị nhằm thay đổi khả năng hoặc sự tác động của các rủi ro đó

Rủi ro kiểm soát là rủi ro vẫn còn tồn tại sau khi đơn vị đã phản ứng với rủi ro Đơn

vị cần phải xem xét cả rủi ro tiềm tàng và rủi ro kiểm soát, đầu tiên là xem xét các

rủi ro tiềm tàng, sau đó khi đã có phương án phản ứng với rủi ro tiềm tàng thì tiếp

tục xem xét đến rủi ro kiểm soát

Ứơc lượng khả năng và ảnh hưởng: các sự kiện tiềm tàng phải được đánh giá

trên hai khía cạnh: khả năng xảy ra và mức độ tác động của nó Những sự kiện mà

khả năng xuất hiện thấp và tác động ít đến đơn vị thì không cần phải tiếp tục xem

xét Ngược lại, các sự kiện với khả năng xuất hiện cao và tác động lớn thì cần phải

xem xét kỹ càng Các sự kiện nằm giữa hai thái cực này đòi hỏi sự đánh giá phức

tạp, điều quan trọng là phải phân tích kỹ lưỡng và hợp lý

Để đo lường khả năng xuất hiện một sự kiện, có thể dùng các chỉ tiêu định

tính như cao, trung bình, thấp hoặc các cấp độ chi tiết khác Hoặc có thể dùng chỉ

tiêu định lượng như: tỷ lệ xuất hiện, tần suất xuất hiện,

Kỹ thuật đánh giá rủi ro: đơn vị thường sử dụng kết hợp các kỹ thuật định

lượng và định tính khi đánh giá rủi ro Kỹ thuật định tính được sử dụng khi rủi ro

không thể định lượng được, hoặc khi dữ liệu đầu vào không đủ tin cậy hoặc không

tương xứng với chi phí để định lượng Kỹ thuật định lượng được sử dụng cho những

hoạt động phức tạp của đơn vị và thường phải sử dụng các mô hình toán học, cho kết

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

qủa chính xác hơn so với kỹ thuật định tính Bảng 1.4 dưới đây cung cấp một ví dụ

về kỹ thuật định lượng:

Bảng 1.6 Các kỹ thuật định lượng để đánh giá rủi ro

So sánh: So sánh các chu trình giữa các đơn vị trong ngành hoặc giữa

các ngành với nhau, bằng cách đánh giá các sự kiện hay chu trình cụ

thể đối với từng đơn vị, sau đó so sánh kết qủa

Mô hình xác suất: Xác định tác động của sự kiện tại các xác suất khác

nhau Sau đó, xác định sự tác động tương ứng với các độ tin cậy khác

nhau

Mô hình phi xác suất: Đưa ra các giả định về việc đạt mục tiêu và

đánh giá các rủi ro tương ứng mà không sử dụng các chỉ tiêu định lượng

để đánh giá khả năng sự kiện có thể xảy ra

Sự liên hệ giữa các sự kiện: đối với những sự kiện độc lập với nhau thì đơn vị

đánh giá các sự kiện một cách độc lập Nhưng nếu có sự liên hệ giữa các sự kiện

hoặc các sự kiện cùng kết hợp lại với nhau sẽ tạo nên những tác động lớn thì đơn vị

phải đánh giá được tác động tổng hợp đó

Khi rủi ro tác động đến nhiều bộ phận, đơn vị kết hợp các rủi ro đó trong

danh sách các sự kiện và xem xét trước hết sự tác động đến từng bộ phận, sau đó

xem xét tác động tổng thể đến toàn đơn vị

1.3.3.2.5 Phản ứng với rủi ro

QTRR cung cấp các cách thức phản ứng đa dạng và đề xuất chu trình để đơn

vị phản ứng với các rủi ro Sau khi đã đánh giá các rủi ro liên quan, đơn vị xác định

các cách thức để phản ứng với các rủi ro đó Các cách thức để phản ứng với rủi ro

bao gồm:

xxxvii

Né tránh rủi ro: không thực hiện các hoạt động mà có rủi ro cao như sản xuất

một mặt hàng mới, giảm doanh số ở một số khu vực của thị trường, bán bớt một số

ngành hàng hoạt động,…

Giảm bớt rủi ro: các hoạt động nhằm làm giảm thiểu khả năng xuất hiện

hoặc mức độ tác động của rủi ro hoặc cả hai Các hoạt động này liên quan đến việc

điều hành hàng ngày

Chuyển giao rủi ro: Làm giảm thiểu khả năng xuất hiện và mức độ tác động

của rủi ro bằng cách chuyển giao hoặc chia sẽ một phần rủi ro Các kỹ thuật này

bao gồm: mua bảo hiểm cho tổn thất, sử dụng các công cụ về tài chính để dự phòng

cho tổn thất, các hoạt động thuê ngoài,…

Chấp nhận rủi ro: đơn vị không làm gì cả đối với rủi ro

Né tránh rủi ro được sử dụng khi các phản ứng khác không thể làm giảm khả

năng xảy ra của sự kiện hoặc tác động của sự kiện đó xuống mức có thể chấp nhận

Giảm thiểu rủi ro và chuyển giao rủi ro được sử dụng để làm giảm rủi ro kiểm soát

xuống mức phù hợp với từng rủi ro có thể chấp nhận Chấp nhận rủi ro khi rủi ro

tiềm tàng nằm trong phạm vi của rủi ro có thể chấp nhận

Một chu trình phản ứng với rủi ro bao gồm các bước sau:

Xác định các phản ứng: khi lựa chọn một phương án phản ứng với rủi ro, cần

điều tra và phân tích các khía cạnh sau:

- Ảnh hưởng của phản ứng của đơn vị đến khả năng và tác động của rủi ro, và

phản ứng nào nằm trong phạm vi của rủi ro bộ phận

- Lợi ích và chi phí của từng loại phản ứng

- Cơ hội có thể có đối với việc thực hiện mục tiêu chung của đơn vị khi phản

ứng với các rủi ro cụ thể

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

Lựa chọn phản ứng: sau khi đã đánh giá các phản ứng khác nhau đối với rủi

ro, đơn vị quyết định phải quản lý rủi ro như thế nào, lựa chọn phản ứng để đối phó

với rủi ro trong phạm vi rủi ro bộ phận, lưu ý rằng phản ứng được lựa chọn không

phải là phản ứng có rủi ro kiểm soát nhỏ nhất Tuy nhiên, khi rủi ro kiểm soát vượt

ra khỏi giới hạn của rủi ro bộ phận, đơn vị cần phải xem xét lại phản ứng đã chọn,

hoặc trong một số trường hợp thì đơn vị có thể điều chỉnh lại rủi ro bộ phận đã được

thiết lập trước đây

Khi lựa chọn phản ứng cần phải xem xét các rủi ro tiếp theo phát sinh từ việc

áp dụng phản ứng đó Điều này phát sinh một chu trình kế tiếp và đơn vị phải xem

xét tiếp rủi ro trước khi đưa ra quyết định cuối cùng Việc mở rộng xem xét rủi ro

theo từng cấp bậc kế tiếp giúp đơn vị nhìn nhận hết các rủi ro từ đó có thể quản lý

tốt hơn và có những chiến lược dài hạn cho các tình huống

1.3.3.2.6 Hoạt động kiểm soát

Các hoạt động kiểm soát bao gồm các chính sách và thủ tục được thực hiện

bởi các nhân viên liên quan, nhằm đảm bảo các chính sách, chỉ thị của nhà quản lý

về phản ứng với rủi ro được thực hiện Các hoạt động kiểm soát có thể được phân

loại tuỳ thuộc vào mục tiêu của đơn vị mà hoạt động kiểm soát có liên quan như:

chiến lược, hoạt động, báo cáo và tuân thủ

Theo nội dung thực hiện thì hoạt động kiểm soát được thực hiện tại đơn vị

bao gồm: kiểm soát cấp cao, kiểm soát các hoạt động chức năng, kiểm soát quá

trình xử lý thông tin và nghiệp vụ, kiểm soát vật chất, hoạt động phân tích soát xét

lại, phân chia trách nhiệm Nội dung của các hoạt động này tương tự như KSNB

1.3.3.2.7 Thông tin và truyền thông

Thông tin và cách thức truyền thông là yếu tố không thể thiếu để đơn vị nhận

dạng các sự kiện tiềm tàng, đánh giá và phản ứng với rủi ro QTRR nhấn mạnh chất

lượng thông tin trong điều kiện sự phát triển mạnh mẽ của khoa học về công nghệ

xxxix

thông tin hiện nay và nội dung thông tin phải gắn liền với việc quản lý các rủi ro tại

đơn vị Thông tin phải được cung cấp cho những người liên quan theo những cách

thức và thời gian thích hợp để họ có thể thực hiện quá trình QTRR và những nhiệm

vụ liên quan

Để thông tin phục vụ cho quá trình quản trị các rủi ro liên quan đến đơn vị,

thông tin cần đạt những yêu cầu sau đây:

- Gắn với quá trình QTRR

- Có thể so sánh được với mức rủi ro có thể chấp nhận

- Phát triển hệ thống thông tin tích hợp

Để làm tăng chất lượng thông tin, đơn vị cần một chương trình quản lý dữ liệu

trên toàn đơn vị, bao gồm các yêu cầu về thông tin, việc duy trì truyền tải thông tin

Nếu không hệ thống thông tin sẽ không cung cấp được những gì mà các cấp quản lý

và những người khác cần để thực hiện các chức năng nhiệm vụ liên quan đến quá

trình quản trị rủi ro

Đây là bộ phận cuối cùng của hệ thống quản trị rủi ro doanh nghiệp Giám

sát là quá trình người quản lý đánh giá vai trò, nhiệm vụ của những người liên quan

đến các yếu tố trong hệ thống QTRR trong quá trình thực hiện

Để đạt kết quả tốt, đơn vị cần thực hiện các hoạt động giám sát thường xuyên

và đánh giá định kỳ Các nội dung này tương tự như hệ thống KSNB (Xem chi tiết

các yếu tố của QTRR ở Phụ lục 2)

1.3.4 Hạn chế của quản trị rủi ro doanh nghiệp

Một hệ thống QTRR được xem là hữu hiệu, dù đã được thiết kế và vận hành

thế nào đi chăng nữa, cũng nhằm cung cấp một sự đảm bảo hợp lý trong việc thực

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

hiện các mục tiêu của đơn vị chứ không đảm bảo tuyệt đối Điều này xuất phát từ

những hạn chế của hệ thống QTRR doanh nghiệp Cụ thể như sau:

- Rủi ro liên quan đến tương lai và chứ đựng yếu tố không chắc chắn Một chu

trình QTRR dù được đầu tư rất nhiều trong thiết kế cũng không thể nhận dạng hết

toàn bộ các rủi ro và do đó không thể đánh giá chính xác sự tác động của chúng

- Những hạn chế xuất phát từ con người liên quan trong chu trình QTRR như:

việc ra quyết định sai do thiếu thông tin, bị áp lực trong sản xuất kinh doanh; sự vô

ý, bất cẩn, đãng trí; hiểu sai chỉ dẫn của cấp trên hoặc báo cáo của cấp dưới; việc

đảm nhận vị trí công việc tạm thời, thay thế cho người khác;…

- Sự thông đồng giữa các nhân viên với nhau hay với các bộ phận bên ngoài

đơn vị

- Khi đưa ra các quyết định, yêu cầu thường xuyên và trên hết là của người

quản lý là xem xét quan hệ giữa chi phí bỏ ra và lợi ích thu được Việc phản ứng với

rủi ro và tiếp theo đó là các hoạt động giám sát cũng phải đảm bảo rằng lợi ích có

được phải lớn hơn chi phí mà đơn vị bỏ ra

- Luôn có khả năng những người quản lý lạm quyền trong chu trình QTRR

nhằm phục vụ cho các mưu đồ riêng