Ngoài ra, còn một số định nghĩa về rủi rokhác được trình bày ở bảng dưới đây: Điều 73, ISO 31000 Hệ quả của một sự không chắc chắn, có thể mang tính tích cực, tiêu cực hoặc ngoài sự kỳ v
Trang 1CHƯƠNG I: TỔNG QUAN VỀ RỦI RO
1 Định nghĩa rủi ro
Có rất nhiều định nghĩa khác nhau về rủi ro Mỗi định nghĩa đều có những ưu
và nhược điểm riêng, cũng như mỗi định nghĩa sẽ tập trung vào nhấn mạnh một vấn đềkhác nhau Thứ nhất, theo từ điển Tiếng Anh Oxford, rủi ro là “Một cơ hội hoặc mộtkhả năng của nguy hiểm, mất mát, tổn thất hoặc những hậu quả bất lợi khác” Theocách tiếp cận này, rủi ro đơn thuần chỉ được coi là những thiệt hại, mất mát và đượcgọi chung là những kết quả không tích cực Ngoài ra, còn một số định nghĩa về rủi rokhác được trình bày ở bảng dưới đây:
Điều 73, ISO 31000 Hệ quả của một sự không chắc chắn, có thể mang tính tích
cực, tiêu cực hoặc ngoài sự kỳ vọng Rủi ro cũng được miêu
tả như một sự việc, sự thay đổi một tình trạng hoặc một hệquả
Viện nghiên cứu về
quản trị rủi ro (IRM)
Rủi ro là sự kết hợp các khả năng xảy ra một sự việc và hậuquả của nó Đó có thể là hậu quả tích cực hoặc tiêu cực
“Orange book” từ
HM Treasury
Một kết quả không chắc chắn, với các mức độ khác nhau,xuất phát từ sự kết hợp của hệ quả và khả năng của các sựviệc tiềm năng có thể xảy ra
Hiệp hội kiểm toán
nội bộ Hoa Kỳ
Sự không chắc chắn xảy ra của một sự việc, mà khi sự việc
đó xảy ra có ảnh hưởng tới sự đạt được mục tiêu Rủi rođược đo bởi hậu quả và khả năng xảy ra
Định nghĩa của tác
giả
Sự việc có khả năng ảnh hưởng (ngăn chặn, nâng cao hoặcnghi ngờ) sứ mệnh, chiến lược, dự án, sự vận hành, quá trìnhchính, những sự phụ thuộc chính và/ hoặc sự phân phối kỳvọng của mục tiêu
Theo định nghĩa của Viện Nghiên cứu quản lí rủi ro (IRM): Rủi ro một sự kếthợp của khả năng xảy ra các sự kiện và hệ quả của chúng Những hệ quả đó có mang
Trang 2tính chất tích cực hoặc tiêu cực Đặc biệt, định nghĩa này có tính ứng dụng cao, có khảnăng áp dụng rộng rãi trong thực tế
Mặt khác, theo định nghĩa của ISO 31000, rủi ro là kết quả của một sự khôngchắc chắn Một điểm mới được thể hiện trong định nghĩa của ISO chính là việc địnhnghĩa này chỉ ra ba khả năng của một sự việc liên quan tới rủi ro bao gồm cơ hội, hiểmhọa và sự không chắc chắn
Để hiểu rõ hơn, có thể xem xét đến ví dụ sau: Với hầu hết mọi người, sở hữu một chiếc xe mang lại cho họ khả năng di chuyển và kiếm được lợi nhuận Đây chính
là cơ hội Tuy nhiên, việc sở hữu một chiếc xe cũng mang tới cho chủ nhân của nó một
sự không chắc chắn về chi phí liên quan tới bảo dưỡng và sửa chữa Đây là hiểm họa.
Và cuối cùng, chiếc xe có thể xảy ra tai nạn và đó là một kết quả tiêu cực Việc xảy ra tai nạn là một sự không chắc chắn, tai nạn có thể xảy ra hoặc không xảy ra.
2 Phân loại rủi ro
Có nhiều cách để phần loại rủi ro nhưng ta sẽ chọn lựa cách phân loại dựa trên:
• Rủi ro nguy hiểm (hoặc rủi ro thuần tuý): tồn tại khi có nguy cơ tổn thất
nhưng không có cơ hội kiếm lời Loại rủi ro này có đặc điểm sau: Thứ nhất,rủi ro thuần túy nếu xảy ra thường đưa đến kết quả mất mát hoặc tổn thất.Thứ hai, rủi ro thuần túy là loại rủi ro liên quan đến việc phá hủy tài sản(nếu hỏa hoạn thì tòa nhà bị phá hủy) Thứ ba, biện pháp đối phó với rủi ronày là bảo hiểm
Ví dụ: Người chủ chiếc xe có nguy cơ tiềm ẩn về tổn thất của xe nếu có
đụng xe xảy ra Nếu đụng xe xảy ra, người chủ sẽ bị tổn thất về tài chính Nếu không thì cũng không tạo ra lợi nhuận gì.
• Rủi ro kiểm soát (hoặc rủi ro không chắc chắn): Rủi ro kiểm soát hay rủi
ro không chắc chắn đó là những rủi ro mà khi xảy ra sẽ tạo ra một tìnhhuống không chắc chắn về kết quả
Ví dụ: Có thể lấy dự án xây dựng một cây cầu với nguồn vốn đầu tư là vốn
ODA từ Nhật Bản Rủi ro có thể xảy ra đó là việc Nhật Bản ngưng cấp vốn cho Việt Nam, dẫn đến việc thiếu vốn xây dựng Khi đó, tình huống xảy ra
mà không chắc chắn về kết quả đó là việc tiến độ hoàn thành cây cầu đó có đúng hay không.
Trang 3• Rủi ro cơ hội (hoặc rủi ro suy đoán): tồn tại khi có một cơ hội kiếm lời
cũng như một nguy cơ tổn thất Phạm vi ảnh hưởng rộng lớn, nguyên nhânkhó dự đoán Đặc điểm cơ bản của loại rủi ro này là thường không được bảohiểm nhưng có thể đối phó bằng biện pháp rào chắn
Ví dụ:- Đầu tư vào một dự án vốn có thể có thể có lợi nhuận hoặc thất bại.
Những rủi ro suy đoán luôn có mặt hấp dẫn của nó, nếu không thử thì có thể mất cơ hội kiếm lời, nên luôn cần các biện pháp rào chắn kịp thời.
- Rủi ro thay đổi giá cả, mức thuế không ổn định, tình hình chính trị không ổn định Tăng giá có thể mang lại nhiều lợi ích cho người có tồn kho nhiều, còn giảm giá thì khiến họ bị thua thiệt lớn.
3 Mô tả rủi ro
Rủi ro cần được mô tả rõ ràng và cụ thể sao cho các bên liên quan đều có một
sự hiểu biết chung giống nhau về rủi ro và biết rõ về quyền sở hữu/ trách nhiệm củamình Bên dưới là các loại thông tin cần có để hiểu đầy đủ về một rủi ro, áp dụng chủyếu cho loại rủi ro nguy hiểm Danh sách này cần được sửa đổi để có thể cung cấp mộtbản mô tả đầy đủ nhất cho loại rủi ro cơ hội và rủi ro kiểm soát Các yếu tố cần thiếtkhi mô tả rủi ro:
• Tên rủi ro;
• Thông tin tóm tắt về rủi ro, gồm: phạm vi rủi ro, chi tiết về những biến cố và
sự phụ thuộc có thể xảy ra;
• Bản chất của rủi ro, gồm: chi tiết về phân loại rủi ro và những ảnh hưởngtiềm tàng theo thời gian;
• Các bên liên quan đến rủi ro, cả bên trong và bên ngoài;
• Thái độ đối với rủi ro, khẩu vị của rủi ro và giới hạn của rủi ro;
• Khả năng xảy ra và mức độ ảnh hưởng của rủi ro và các hệ quả mà rủi ro cóthể gây ra ở hiện tại/ rủi ro còn lại;
• Tiêu chuẩn điều hành được yêu cầu hoặc mức độ rủi ro mục tiêu;
• Biến cố và mất mát;
• Hoạt động và cơ chế quản lý hiện hành;
• Trách nhiệm phát triển những chính sách và chiến lược đối với rủi ro;
• Tiềm năng cải thiện rủi ro và mức độ tín nhiệm vào cơ chế điều hành hiệntại;
Trang 4• Giải pháp gợi ý cho việc cải thiện rủi ro và thời gian hoàn thành việc cảithiện;
• Trách nhiệm thực hiện việc cải thiện;
• Trách nhiệm kiểm tra rủi ro
Rủi ro nguy hiểm, rủi ro kiểm soát và rủi ro cơ hội cần được phân biệt rõ ràngvới nhau để việc thu thập phạm vi thông tin cần có cho mỗi loại rủi ro trở nên chínhxác hơn
Ví dụ về cách sử dụng máy tính sau có thể giúp phân biệt ba loại rủi ro – rủi ro
nguy hiểm, rủi ro kiểm soát và rủi ro cơ hội: Sự ảnh hưởng của vi-rút là loại rủi ro về vận hành và mạo hiểm vì một tổ chức khi bị vi rút tấn công phần mềm sẽ không nhận được bất kì một lợi ích nào Khi tổ chức đó cài đặt và nâng cấp phần mềm có thể kéo theo rủi ro về kiểm soát Sự lựa chọn các phầm mềm mới có thể là rủi ro cơ hội vì mục đích của việc sử dụng phần mềm mới là đạt được những kết quả tốt hơn, tuy nhiên có thể xảy ra trường hợp những phần mềm đó không hoạt động với đầy đủ những chức năng như ý định ban đầu Khi đó, tổ chức sẽ không nhận được những lợi ích của cơ hội này Trong thực tế, việc các tính năng của phần mềm không hoạt động được đã gây ra những vấn đề đáng kể trong việc vận hành của tổ chức
4 Cấp độ tiềm tàng của rủi ro
Cấp độ tiềm tàng của rủi ro là cấp độ xét đến những rủi ro mà bản thân doanhnghiệp sẽ gặp phải khi chưa tính đến sự tác động hay ảnh hưởng của các yếu tố liênquan đến hệ thống kiểm soát nội bộ của chính công ty đó
Cấp độ này thường xảy ra trước khi có các kế hoạch kiểm soát, các bước hànhđộng để thay đổi mức độ ảnh hưởng và khả năng xảy ra rủi ro Việc xác định rủi rotiềm tàng là vô cùng quan trọng trong quy trình quản trị rủi ro của một dự án Điều nàycàng được khẳng định bởi Hiệp hội kiểm toán nội bộ Hoa Kỳ (IIA) Họ đưa ra quanđiểm rằng việc tiếp cận với tất cả các rủi ro nên bắt đầu bằng việc xác định cấp độ tiềm
ẩn của rủi ro
Ví dụ về cấp độ tiềm tàng của rủi ro trong hệ thống các công ty kiểm toán độc
lập: Ở Việt Nam, tại cấp độ tiềm tàng, rủi ro trong hoạt động của các công ty kiểm toán độc lập có xu hướng gia tăng đầu tiên phải kể đến tình trạng chảy máu chất xám
về nhân lực kiểm toán: Có hai xu hướng chảy máu chất xám nhân lực kiểm toán đó là chảy trong nội bộ ngành kiểm toán và chảy sang ngành nghề khác Nguyên nhân xảy
Trang 5ra rủi ro nhảy việc của nhân lực kiểm toán là do xu thế hội nhập làm gia tăng những dịch vụ và ngành nghề mới, kéo theo đó là cơ hội và triển vọng về thăng tiến và thu nhập mới ở mức cao Một rủi ro tiềm tàng khác là áp lực cạnh tranh giữa các công ty kiểm toán độc lập khi số lượng các công ty này ngày càng tăng 10 năm trở lại đây, cùng với sự xuất hiện của các thương hiệu có uy tín như PwC, Ernst&Young, Deloitte, KPMG, có thể nhận thấy xu hướng thâm nhập vào các nền kinh tế đang phát triển như nước ta của các tập đoàn kiểm toán trên thế giới có xu hướng gia tăng Hiện nay trong tổng số hơn 157 công ty kế toán độc lập đang hoạt động đã có nhiều tên tuổi mới như: BKR International, BDO International, Jenffrey Henry International, INPACT Asia Facific, UHY International.
5 Hệ thống phân loại rủi ro
Có nhiều cách để phân loại rủi ro Ví dụ như theo nguyên nhân, thuộc tính củarủi ro, thời gian đo lường tác động, theo đặc điểm về mức độ tác động hoặc khả năngxảy ra rủi ro Mỗi doanh nghiệp sẽ tự quyết định hệ thống phân loại rủi ro cho riêngmình sao cho phù hợp, dựa trên đặc điểm và hoạt động của tổ chức Hệ thống phânloại rủi ro được lực chọn nên liên quan tới vấn đề mà tổ chức quan tâm Trên thế giớivẫn chưa xây dựng một hệ thống phân loại rủi ro nào mà các doanh nghiệp có thể ápdụng chung
Ví dụ về hệ thống phân loại dựa trên đặc điểm rủi ro: Nhóm đưa ra ví dụ về phân loại rủi ro dựa trên nguy cơ xảy ra rủi ro: cao, trung bình, thấp Đại học Standford vào tháng 5 năm 2015 đã đưa ra cách phân loại rủi ro trong quản trị cơ sở thông tin để có thể hạn chế lượng truy cập và bảo vệ hệ thống cơ sở dữ liệu khỏi những truy cập không được ủy quyền Khi đưa ra cách phân loại rủi ro này, Standford
đã xếp cơ sử dữ liệu của mình tương ứng với mức độ nguy cơ xảy ra rủi ro.
Trang 6- Dữ liệu được dùng để
cung cấp công khai
cho mọi người.
hoặc danh tiếng.
- Dữ liệu không được để cung cấp công khai
- Việc mất tính bảo mật, minh bạch hay mất dữ liệu có khả năng gây
ra ảnh hưởng nghiêm trọng đến sứ mệnh, sự
an toàn, tài chính hoặc danh tiếng.
- Việc bảo vệ những dữ liệu này được yêu cầu bởi luật pháp
- Stanford được yêu cầu phải báo cáo lại cho chính phủ nếu có những truy cập không phù hợp vào dữ liệu
- Việc mất tính bảo mật, minh bạch hay mất dữ liệu chắc chắn sẽ gây ảnh hưởng nghiêm trọng đến sứ mệnh, sự
an toàn, tài chính hoặc danh tiếng.
Ví dụ về hệ thống phân loại rủi ro dựa vào nguyên nhân gây ra: Hệ thống phân loại rủi
ro của các doanh nghiệp gồm 2 loại là rủi ro do nguyên nhân khách quan và rủi ro gây ra do nguyên nhân chủ quan
Nguyên nhân chủ quan Nguyên nhân khách quan
- Rủi ro do con người tạo ra
- Nguyên nhân chủ yếu do những
hành vi sai lầm của ông chủ, người
quản lý và người lao động
- Rủi ro chủ quan thường xuất hiện ở
hai lĩnh vực là quản lý nguồn lực và
- Nguyên nhân của các rủi ro thường
là bất khả kháng, sự thay đổi pháp luật đột ngột, biến động của thị trường,…
5 Khả năng xảy ra rủi ro và mức độ ảnh hưởng của rủi ro
Khả năng xảy ra rủi ro và mức độ ảnh hưởng của rủi ro có thể được xác địnhqua các ma trận rủi ro Dạng ma trận rủi ro cơ bản (2x2) dưới đây cho phép chúng taxác định khả năng xảy ra một sự kiện cũng như mức độ ảnh hưởng của sự kiện đó
Trang 7Nguy cơ thấp Mức độ cao
Nguy cơ cao Mức độ cao
Nguy cơ cao Mức độ thấp
Nguy cơ thấp Mức độ thấp
Mức độ
Nguy cơ
Hình 1.1: Nguy cơ và mức độ rủi ro
Ma trận rủi ro có thể được sử dụng để xác định bản chất của các rủi ro cá biệt,
từ đó một tổ chức có thể quyết định xem liệu rủi ro đó có thể được chấp nhận haykhông trong khẩu vị rủi ro của mình
Trong ma trận rủi ro, trục hoành biểu thị khả năng xảy ra rủi ro, trục tung biểuthị mức độ rủi ro, nhằm thể hiện mối liên hệ giữa “khả năng xảy ra” và “mức độ” củamột sự kiện Tuy nhiên, điều quan trọng hơn mà nhà quản lý rủi ro cần cân nhắc đếnkhông phải là mức độ của sự kiện, mà là tác động hoặc hậu quả của nó
Ví dụ: Một vụ hỏa hoạn lớn có thể phá hủy hoàn toàn nhà kho của một công ty phân phối và logistics Mặc dù mức độ ảnh hưởng của sự kiện có thể lớn, nhưng nếu công ty đã có kế hoạch đối phó với những sự kiện như vậy thì tác động đến hoạt động kinh doanh có thể được giảm đi rất nhiều so với dự đoán.
Khi rủi ro dịch chuyển lên góc trên cùng bên phải của ma trận rủi ro, khả năngxảy ra cũng như tác động của của chúng càng lớn Do đó, rủi ro càng trở nên nghiêmtrọng và có thể xảy ra ngay lập tức, và doanh nghiệp cần có những biện pháp kiểm soátrủi ro một cách hiệu quả
Trang 9CHƯƠNG II: TÁC ĐỘNG CỦA RỦI RO ĐỐI VỚI TỔ CHỨC
- Các quy trình hiệu quả hơn, vì các quy trình khác nhau và rủi ro của từngquy trình đã được xem xét Hơn nữa, các dự án thay đổi quy trình sẽ đượcthực hiện một cách hiệu quả hơn và đáng tin cậy hơn
- Các chiến lược sẽ đem lại kết quả tốt hơn vì mọi chiến lược và rủi ro đi kèm
đã được xem xét, từ đó tổ chức có thể đưa ra quyết định chiến lược khônngoan hơn và đem đến được kết quả như mong muốn
Ở thời điểm hiện tại, việc một tổ chức chịu thua lỗ tài chính vì một sự kiện bấtngờ, dừng hoạt động, mất chữ tín và độ phủ thị trường là không thể chấp nhận được.Các cổ đông luôn kì vọng tổ chức của họ đã xem xét đầy đủ các rủi ro khiến ngắtquãng hay trì trệ hoạt động và khiến chiến lược thất bại
Nguy cơ xảy ra của một rủi ro đơn lẻ có thể được định nghĩa bằng xác suất xảy
ra của rủi ro và hậu quả khi xảy ra rủi ro Khi nguy cơ tăng, tác động của rủi ro cũngtăng Trong cuốn sách này, từ “tác động” sẽ được sử dụng thay thế từ “hậu quả” vì “tácđộng” được dùng phổ biến hơn trong đánh giá và lên kế hoạch kinh doanh
Ví dụ: Banco da Amazonia (Ngân hàng Amazon), thành lập năm 1942, hoạt động với vai trò Đại lý Tài chính của chính sách tín dụng thuộc chính phủ Liên bang cho khu vực Amazon Qua chính sách môi trường của mình, Banco da Amazonia mong muốn kết hợp các thành phần kinh tế, môi trường và tính bền vững xã hội trong toàn
bộ các hoạt động của nó, hướng tới việc quảng bá cho sự củng cố của các hệ thống sản xuất cải tiến địa phương, đưa vào các dự án phù hợp với các giả định về phát triển bền vững và kết hợp lại trong thị trường trong nước và quốc tế Phù hợp với Nguyên tắc của Hiệp định Basel và các quy định của Ngân hàng Trung ương Brazil,
Trang 10chiến lược quản lý rủi ro của Banco da Amazonia là thâm nhập vào tất cả các đơn vị quản lý các quy trình / rủi ro và đặt mục tiêu quản lý rủi ro trong tất cả các hoạt động của công ty nhằm tối đa hoá các cơ hội và giảm thiểu các ảnh hưởng tiêu cực Banco
da Amazonia quan niệm rằng việc đánh giá rủi ro là nền tảng trong quá trình ra quyết định vì nó cung cấp sự ổn định lớn hơn, phân bổ nguồn vốn tốt hơn và tối ưu hóa rủi
ro so với lợi nhuận Ngân hàng đã thực hiện một khuôn khổ quản lý rủi ro cho phép xử
lý các yêu cầu pháp lý, theo các phương pháp chuẩn, đơn giản và cơ bản, phù hợp với yêu cầu của pháp luật và các quy định pháp lý và trước giai đoạn trưởng thành của các quy trình và hệ thống.
Ngân hàng có cấu trúc hệ thống thông tin liên lạc nội bộ với vai trò một công
cụ hỗ trợ công nghệ, dựa trên việc công bố tiêu chuẩn cho nhân viên thông qua mạng intranet và một hệ thống duy nhất cho sự quản lý rủi ro trong hoạt động Quản lý rủi
ro tín dụng bao gồm giám sát Xác suất vỡ nợ (PD), lỗ và tổn thất ước tính (Loss Given Default - LGD), dự phòng rủi ro tín dụng (PCL) và tính RWAcpad (kế hoạch liên quan đến rủi ro tín dụng) Bổ sung cho hệ thống hỗ trợ quản lý rủi ro thị trường và thanh khoản, cho sự quản lý và giám sát rủi ro.
Quá trình ra quyết định phê duyệt dự án của Banco da Amazonia có các thông
số sau đây: khả năng chi trả trong dòng tiền đã được xác minh dự kiến đầu tư; hồ sơ tài chính và các hạn chế, mức vốn cổ phần; nợ nần tài chính; sự tồn tại của một thị trường tiêu dùng; kinh nghiệm của các thành viên, chủ sở hữu trong ngành mà họ sẽ hoạt động; kiểm tra lịch sử tín dụng với Banco da Amazonia, các yêu cầu về môi trường; và khả năng hội nhập với các nhân tố địa phương khác Trong phân tích rủi
ro, độ tin cậy của dự án được phân tích, bắt đầu bằng việc đánh giá quá khứ của doanh nhân, phân tích các kết quả lịch sử rút ra từ tài khoản của công ty hoặc các chi nhánh Mặt khác, khi ngân hàng nhận được đề xuất có thể có một số rủi ro, chúng sẽ được trả về khách hàng để định hình lại dự án để giảm thiểu rủi ro, và thậm chí như vậy vẫn có thể tồn tại nguy cơ cần được xem xét trong dự án, quyết định ai sẽ chấp nhận rủi ro (khách hàng, ngân hàng hoặc một bên khác).
Sau quá trình đăng ký phân tích lãnh đạo dự án và khung pháp lý, phân tích thị trường được thực hiện để đánh giá sự chấp nhận doanh thu dự kiến, việc đánh giá tính đầy đủ của cơ cấu doanh thu và chi phí, dự kiến đầu tư, nhu cầu vốn lưu động, sử dụng và nguồn và khả năng thanh toán và lưu chuyển tiền mặt Hệ thống thông tin
