Đang tải... (xem toàn văn)
Tiêu chuẩn này đưa ra hướng dẫn quản lý các rủi ro mà tổ chức phải đối mặt. Việc áp dụng các hướng dẫn này có thể được tùy chỉnh theo tổ chức và bối cảnh của tổ chức. Tiêu chuẩn này đưa ra cách tiếp cận chung để quản lý mọi loại rủi ro và không cho một ngành công nghiệp hay lĩnh vực cụ thể. Tiêu chuẩn này có thể được sử dụng trong suốt vòng đời của tổ chức và có thể được áp dụng cho bất kỳ hoạt động nào, kể cả việc ra quyết định ở tất cả các cấp.
TIÊU CHUẨN QUỐC GIA TCVN ISO 31000:2018 ISO 31000: 2018 QUẢN LÝ RỦI RO - HƯỚNG DẪN Risk management - Guidelines Lời nói đầu TCVN ISO 31000:2018 (ISO 31000:2018) thay cho TCVN ISO 31000:2011 (ISO 31000:2009); TCVN ISO 31000:2018 hoàn toàn tương đương với ISO 31000:2018; TCVN ISO 31000:2011 Ban kỹ thuật tiêu chuẩn quốc gia TCVN/TC 176 Quản lý chất lượng đảm bảo chất lượng biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học Công nghệ công bố Lời giới thiệu Tiêu chuẩn dùng cho người tạo lập bảo vệ giá trị tổ chức thông qua việc quản lý rủi ro, định, thiết lập đạt mục tiêu, cải tiến kết thực Các tổ chức loại hình quy mơ đối mặt với yếu tố ảnh hưởng nội bên dẫn đến không chắn cho tổ chức việc đạt mục tiêu Quản lý rủi ro có tính lặp lại hỗ trợ tổ chức việc thiết lập chiến lược, đạt mục tiêu định đắn Quản lý rủi ro phần việc điều hành, lãnh đạo tảng cho cách thức tổ chức quản lý cấp Quản lý rủi ro đóng góp cho việc cải tiến hệ thống quản lý Quản lý rủi ro phần tất hoạt động liên quan đến tổ chức bao gồm tương tác với bên liên quan Quản lý rủi ro xem xét bối cảnh nội bên tổ chức, kể hành vi người yếu tố văn hóa Quản lý rủi ro dựa nguyên tắc, khuôn khổ trình nêu tiêu chuẩn này, minh họa Hình Những yếu tố cấu thành có sẵn phần tồn tổ chức, nhiên, cần điều chỉnh cải tiến để quản lý rủi ro cách hiệu lực, hiệu qn Hình - Ngun tắc, khn khổ trình QUẢN LÝ RỦI RO - HƯỚNG DẪN Risk management - Guidelines Phạm vi áp dụng Tiêu chuẩn đưa hướng dẫn quản lý rủi ro mà tổ chức phải đối mặt Việc áp dụng hướng dẫn tùy chỉnh theo tổ chức bối cảnh tổ chức Tiêu chuẩn đưa cách tiếp cận chung để quản lý loại rủi ro không cho ngành công nghiệp hay lĩnh vực cụ thể Tiêu chuẩn sử dụng suốt vòng đời tổ chức áp dụng cho hoạt động nào, kể việc định tất cấp Tài liệu viện dẫn Khơng có tài liệu viện dẫn Thuật ngữ định nghĩa Tiêu chuẩn áp dụng thuật ngữ định nghĩa 3.1 Rủi ro (risk) Ảnh hưởng khơng chắn tới mục tiêu CHÚ THÍCH 1: Ảnh hưởng sai lệch so với dự kiến Ảnh hưởng tích cực, tiêu cực hai giải quyết, tạo hay dẫn đến hội mối đe dọa CHÚ THÍCH 2: Các mục tiêu có khía cạnh phạm trù khác áp dụng cấp khác CHÚ THÍCH 3: Rủi ro thường thể theo thuật ngữ nguồn rủi ro (3.4), kiện (3.5) tiềm ẩn, hệ (3.6) khả xảy (3.7) chúng 3.2 Quản lý rủi ro (risk management) Các hoạt động có phối hợp để định hướng kiểm soát tổ chức rủi ro (3.1) 3.3 Bên liên quan (stakeholder) Cá nhân tổ chức gây ảnh hưởng, chịu ảnh hưởng cảm thấy bị ảnh hưởng định hay hoạt động CHÚ THÍCH 1: Thuật ngữ “Bên quan tâm” dùng thay cho “Bên liên quan” 3.4 Nguồn rủi ro (risk source) Yếu tố mà tự kết hợp có tiềm nội làm nảy sinh rủi ro (3.1) 3.5 Sự kiện (event) Sự xuất thay đổi tập hợp tình cụ thể CHÚ THÍCH 1: Một kiện xảy nhiều lần có nhiều ngun nhân hệ (3.6) CHÚ THÍCH 2: Một kiện điều mong đợi mà không xảy ra, điều không mong đợi lại xảy CHÚ THÍCH 3: Một kiện nguồn rủi ro 3.6 Hệ (consequence) Kết kiện (3.5) ảnh hưởng đến mục tiêu CHÚ THÍCH 1: Một hệ chắn khơng chắn có tác động tích cực tiêu cực đến mục tiêu CHÚ THÍCH 2: Hệ biểu thị cách định tính định lượng CHÚ THÍCH 3: Bất kỳ hệ gia tăng theo hiệu ứng dây chuyền tích lũy 3.7 Khả xảy (likelihood) Cơ hội xảy điều CHÚ THÍCH 1: Trong thuật ngữ quản lý rủi ro (3.2), từ “khả xảy ra” sử dụng để hội xảy điều đó, định rõ, đo lường hay xác định cách khách quan chủ quan, định tính định lượng mơ tả cách sử dụng thuật ngữ chung hay theo toán học (như xác suất khoảng thời gian cho trước) CHÚ THÍCH 2: Từ “khả xảy ra” tiếng Anh khơng có từ tương đương trực tiếp ngơn ngữ khác, thay vào thường dùng từ “xác suất” Tuy nhiên, từ “xác suất” diễn giải hẹp thuật ngữ toán học Vì vậy, quản lý rủi ro sử dụng thuật ngữ “khả xảy ra” với mục đích diễn đạt phạm vi với thuật ngữ “xác suất” dùng nhiều ngôn ngữ khác với tiếng Anh 3.8 Kiểm soát (control) Biện pháp kiềm chế và/hoặc điều chỉnh rủi ro (3.1) CHÚ THÍCH 1: Kiểm sốt bao gồm, khơng giới hạn ở, q trình, sách, thiết bị, thực hành điều kiện và/hoặc hành động khác kiềm chế và/hoặc điều chỉnh rủi ro CHÚ THÍCH 2: Kiểm sốt không tạo tác dụng điều chỉnh dự kiến giả định Nguyên tắc Mục đích quản lý rủi ro tạo lập bảo vệ giá trị Quản lý rủi ro cải tiến kết thực hiện, khuyến khích đổi hỗ trợ việc đạt mục tiêu Các nguyên tắc nêu Hình đưa hướng dẫn đặc trưng việc quản lý rủi ro hiệu lực hiệu quả, trao đổi thơng tin giá trị, giải thích ý đồ mục đích quản lý rủi ro Các nguyên tắc tảng cho việc quản lý rủi ro cần xem xét thiết lập khuôn khổ quản lý rủi ro trình quản lý rủi ro tổ chức Những nguyên tắc cần cho phép tổ chức quản lý ảnh hưởng không chắn tới mục tiêu Hình - Nguyên tắc Quản lý rủi ro có hiệu lực, địi hỏi yếu tố Hình yếu tố diễn giải sau: a) Được tích hợp Quản lý rủi ro phần tách rời tất hoạt động tổ chức b) Có cấu trúc toàn diện Một cách tiếp cận toàn diện có cấu trúc để quản lý rủi ro mang lại kết quán so sánh c) Được tùy chỉnh Khn khổ q trình quản lý rủi ro tùy chỉnh thích hợp với bối cảnh nội bên tổ chức có liên quan đến mục tiêu tổ chức d) Sự tham gia Sự tham gia thích hợp kịp thời bên liên quan cho phép xem xét tri thức, quan điểm cảm nhận họ Điều dẫn đến việc nâng cao nhận thức việc quản lý rủi ro có đầy đủ thơng tin e) Tính động Rủi ro hình thành, thay đổi biến bối cảnh nội bộ, bên tổ chức thay đổi Quản lý rủi ro dự đốn, phát hiện, ghi nhận ứng phó cách kịp thời, thích hợp với thay đổi kiện f) Thơng tin sẵn có tốt Đầu vào cho quản lý rủi ro dựa thông tin khứ, tại, dự báo tương lai Quản lý rủi ro tính đến cách rõ ràng hạn chế không chắn gắn liền với thông tin dự báo Thơng tin cần kịp thời, rõ ràng có sẵn cho bên liên quan g) Yếu tố người văn hóa Hành vi người văn hóa ảnh hưởng đáng kể đến tất khía cạnh quản lý rủi ro cấp giai đoạn h) Cải tiến liên tục Quản lý rủi ro cải tiến liên tục thông qua học hỏi kinh nghiệm Khuôn khổ 5.1 Khái qt Mục đích khn khổ quản lý rủi ro hỗ trợ tổ chức tích hợp quản lý rủi ro vào hoạt động chức quan trọng Hiệu lực quản lý rủi ro phụ thuộc việc tích hợp quản lý rủi ro vào hoạt động điều hành tổ chức, kể việc định Điều đòi hỏi hỗ trợ từ bên liên quan, đặc biệt lãnh đạo cao Việc xây dựng khn khổ bao gồm việc tích hợp, thiết kế, thực hiện, đánh giá cải tiến quản lý rủi ro tồn tổ chức Hình minh họa thành phần khuôn khổ Tổ chức cần đánh giá thực hành trình quản lý rủi ro mình, đánh giá cách biệt giải cách biệt khuôn khổ quản lý rủi ro Các thành phần khuôn khổ quản lý rủi ro cách thức thành phần hoạt động cần tùy chỉnh theo nhu cầu tổ chức Hình - Khuôn khổ 5.2 Sự lãnh đạo cam kết Lãnh đạo cao phận giám sát có, cần đảm bảo quản lý rủi ro tích hợp vào tất hoạt động tổ chức cần chứng tỏ lãnh đạo cam kết cách: - tùy chỉnh áp dụng tất thành phần khuôn khổ; - ban hành tuyên bố sách thiết lập cách tiếp cận, kế hoạch lộ trình hành động quản lý rủi ro; - đảm bảo nguồn lực cần thiết phân bổ cho việc quản lý rủi ro; - phân cơng quyền hạn, trách nhiệm trách nhiệm giải trình cấp thích hợp tổ chức Điều giúp tổ chức: - thống quản lý rủi ro với với mục tiêu, chiến lược văn hóa tổ chức; - nhận biết giải nghĩa vụ, cam kết tự nguyện tổ chức; - thiết lập số lượng loại rủi ro phép không phép đưa vào hướng dẫn xây dựng tiêu chí rủi ro, đảm bảo chúng trao đổi thông tin tổ chức với bên liên quan; - trao đổi thông tin giá trị quản lý rủi ro tổ chức với bên liên quan; - thúc đẩy việc theo dõi cách hệ thống rủi ro; - đảm bảo khuôn khổ quản lý rủi ro giữ phù hợp với bối cảnh tổ chức Lãnh đạo cao chịu trách nhiệm giải trình quản lý rủi ro cịn phận giám sát chịu trách nhiệm giải trình việc giám sát quản lý rủi ro Bộ phận giám sát thường kỳ vọng yêu cầu: - đảm bảo rủi ro xem xét cách thỏa đáng thiết lập mục tiêu tổ chức; - hiểu rủi ro mà tổ chức phải đối mặt theo đuổi mục tiêu mình; - đảm bảo hệ thống để quản lý rủi ro triển khai vận hành cách hiệu lực; - đảm bảo rủi ro thích hợp với bối cảnh mục tiêu tổ chức; - đảm bảo thông tin rủi ro việc quản lý chúng trao đổi cách thích hợp 5.3 Tích hợp Việc tích hợp quản lý rủi ro dựa bên hiểu biết cấu bối cảnh tổ chức Cơ cấu khác tùy thuộc vào mục đích, mục tiêu phức tạp tổ chức Rủi ro quản lý phần cấu tổ chức Mọi người tổ chức có trách nhiệm quản lý rủi ro Việc điều hành giúp định hướng cho tổ chức, mối quan hệ nội bộ, bên ngoài, quy tắc, trình thực hành cần thiết để đạt mục đích tổ chức Cơ cấu quản lý chuyển định hướng điều hành thành chiến lược mục tiêu liên quan cần thiết để đạt mức mong muốn kết thực bền vững khả tồn lâu dài Xác định trách nhiệm giải trình quản lý rủi ro vai trò giám sát tổ chức phần thiếu điều hành tổ chức Tích hợp quản lý rủi ro vào tổ chức trình động, lặp lại cần tùy chỉnh theo nhu cầu văn hóa tổ chức Quản lý rủi ro cần phần không tách biệt với mục đích, việc điều hành, lãnh đạo cam kết, chiến lược, mục tiêu hoạt động tổ chức 5.4 Thiết kế 5.4.1 Hiểu tổ chức bối cảnh tổ chức Khi thiết kế khuôn khổ quản lý rủi ro, tổ chức cần xem xét hiểu bối cảnh nội bên Xem xét bối cảnh bên ngồi tổ chức bao gồm, khơng giới hạn ở: - yếu tố xã hội, văn hóa, trị, pháp lý, chế định, tài chính, cơng nghệ, kinh tế môi trường cấp quốc tế, quốc gia, khu vực địa phương; - động lực xu hướng ảnh hưởng đến mục tiêu tổ chức; - mối quan hệ, cảm nhận, giá trị, nhu cầu mong đợi bên liên quan bên ngoài; - mối quan hệ cam kết theo hợp đồng; - mức độ phức tạp mạng lưới lệ thuộc lẫn Việc xem xét bối cảnh nội tổ chức bao gồm, khơng giới hạn ở: - tầm nhìn, sứ mệnh giá trị; - điều hành, cấu tổ chức, vai trị trách nhiệm giải trình; - chiến lược, mục tiêu sách; - văn hóa tổ chức; - tiêu chuẩn, hướng dẫn mơ hình tổ chức chấp nhận; - khả năng, hiểu biết xét theo nghĩa nguồn lực tri thức (ví dụ: vốn, thời gian, người, tài sản trí tuệ, q trình, hệ thống công nghệ); - liệu, hệ thống thông tin dịng thơng tin; - mối quan hệ với bên liên quan nội bộ, có tính đến cảm nhận giá trị họ; - mối quan hệ cam kết theo hợp đồng; - phụ thuộc liên hệ lẫn 5.4.2 Khẳng định cam kết quản lý rủi ro Lãnh đạo cao phận giám sát, có, cần chứng tỏ khẳng định rõ cam kết liên tục quản lý rủi ro thơng qua sách, tuyên bố hình thức khác để truyền đạt rõ ràng mục tiêu cam kết tổ chức quản lý rủi ro Cam kết cần bao gồm, không giới hạn ở: - mục đích tổ chức quản lý rủi ro mối liên hệ với mục tiêu sách khác tổ chức; - củng cố nhu cầu tích hợp quản lý rủi ro vào văn hóa tổng thể tổ chức; - dẫn dắt việc tích hợp quản lý rủi ro vào hoạt động kinh doanh cốt lõi định; - quyền hạn, trách nhiệm trách nhiệm giải trình; - tạo sẵn có nguồn lực cần thiết; - cách thức để giải mục tiêu mâu thuẫn nhau; - đo lường báo cáo qua số kết thực tổ chức; - xem xét cải tiến Cam kết quản lý rủi ro cần trao đổi thông tin tổ chức với bên liên quan, thích hợp 5.4.3 Phân cơng vai trị, quyền hạn, trách nhiệm trách nhiệm giải trình tổ chức Lãnh đạo cao phận giám sát, có, cần đảm bảo quyền hạn, trách nhiệm trách nhiệm giải trình vị trí liên quan đến quản lý rủi ro phân công trao đổi thông tin cho tất cấp tổ chức, cần: - nhấn mạnh quản lý rủi ro trách nhiệm cốt lõi; - xác định cá nhân có trách nhiệm giải trình quyền hạn việc quản lý rủi ro (chủ sở hữu rủi ro) 5.4.4 Phân bổ nguồn lực Lãnh đạo cao phận giám sát, có, cần đảm bảo phân bổ nguồn lực thích hợp cho việc quản lý rủi ro, bao gồm, không giới hạn ở: - người, kỹ năng, kinh nghiệm lực; - trình, phương pháp cơng cụ tổ chức sử dụng cho việc quản lý rủi ro; - trình thủ tục lập thành văn bản; - hệ thống quản lý thông tin tri thức; - nhu cầu đào tạo phát triển chuyên môn Tổ chức cần xem xét khả trở ngại nguồn lực có 5.4.5 Thiết lập việc trao đổi thông tin tham vấn Tổ chức cần thiết lập cách tiếp cận phê duyệt để trao đổi thông tin tham vấn nhằm hỗ trợ khuôn khổ quản lý rủi ro tạo thuận lợi cho việc áp dụng có hiệu lực quản lý rủi ro Việc trao đổi thông tin bao gồm việc chia sẻ thông tin với đối tượng mục tiêu Hoạt động tham vấn đòi hỏi người tham gia đưa phản hồi với mong muốn đóng góp hình thành định hay hoạt động khác Các phương pháp nội dung trao đổi thông tin tham vấn cần phản ánh mong đợi bên liên quan thích hợp Việc trao đổi thông tin tham vấn cần kịp thời đảm bảo thông tin liên quan thu thập, đối chiếu, tổng hợp chia sẻ thích hợp đảm bảo rằng, thông tin phản hồi cung cấp, việc cải tiến thực 5.5 Áp dụng Tổ chức cần áp dụng khuôn khổ quản lý rủi ro thơng qua việc: - xây dựng kế hoạch thích hợp bao gồm thời gian nguồn lực; - xác định đâu, cách thức loại định khác toàn tổ chức thực hiện; - điều chỉnh trình định hành cần; - đảm bảo đặt tổ chức để quản lý rủi ro hiểu rõ thực Việc áp dụng thành cơng khn khổ quản lý rủi ro địi hỏi tham gia nhận thức bên liên quan Điều cho phép tổ chức giải cách rõ ràng không chắn việc định, đồng thời đảm bảo không chắn tiếp nối, tính đến nảy sinh Một khuôn khổ quản lý rủi ro thiết kế triển khai đảm bảo trình quản lý rủi ro phần tất hoạt động toàn tổ chức, bao gồm việc định thay đổi bối cảnh nội bên nắm bắt cách đầy đủ 5.6 Xem xét đánh giá Để xem xét đánh giá tính hiệu lực khn khổ quản lý rủi ro, tổ chức cần: - định kỳ đo lường kết thực khuôn khổ quản lý rủi ro theo mục đích, kế hoạch thực hiện, số hành vi dự kiến; - xác định xem khn khổ quản lý rủi ro có trì thích hợp để hỗ trợ đạt mục tiêu tổ chức hay không 5.7 Cải tiến 5.7.1 Điều chỉnh Tổ chức cần liên tục theo dõi điều chỉnh khuôn khổ quản lý rủi ro để giải thay đổi nội bộ, bên Khi làm vậy, tổ chức nâng cao giá trị 5.7.2 Cải tiến liên tục Tổ chức cần cải tiến liên tục phù hợp, đầy đủ hiệu lực khuôn khổ quản lý rủi ro cách thức mà trình quản lý rủi ro tích hợp Khi xác định cách biệt hội cải tiến có liên quan, tổ chức cần xây dựng kế hoạch, nhiệm vụ giao chúng cho người chịu trách nhiệm giải trình việc thực Ngay triển khai, cải tiến cần góp phần thúc đẩy quản lý rủi ro Quá trình 6.1 Khái quát Quá trình quản lý rủi ro đòi hỏi việc áp dụng cách hệ thống sách, thủ tục thực hành hoạt động trao đổi thông tin tham vấn, thiết lập bối cảnh đánh giá, xử lý, theo dõi, xem xét, ghi nhận lại báo cáo rủi ro Quá trình minh họa Hình Hình - Quá trình Quá trình quản lý rủi ro cần phần khơng tách rời quản lý, định tích hợp vào cấu, hoạt động, q trình tổ chức Q trình quản lý rủi ro áp dụng cấp chiến lược, tác nghiệp, chương trình dự án Có thể có nhiều cách áp dụng trình quản lý rủi ro tổ chức, tùy chỉnh để đạt mục tiêu phù hợp với bối cảnh nội bộ, bên chúng áp dụng Tính động chất hay thay đổi hành vi văn hóa người cần xem xét suốt trình quản lý rủi ro Mặc dù trình quản lý rủi ro thường nêu theo trình tự, thực tế mang tính lặp lại 6.2 Trao đổi thơng tin tham vấn Mục đích trao đổi thông tin tham vấn hỗ trợ bên liên quan hiểu rủi ro, sở để định lý cần hành động cụ thể Trao đổi thông tin hướng tới việc thúc đẩy nhận thức hiểu rủi ro, tham vấn đòi hỏi thu phản hồi thông tin để hỗ trợ việc định Phối hợp chặt chẽ hai làm cho việc trao đổi thơng tin mang tính thực tiễn, kịp thời, sát thực, xác dễ hiểu, có tính đến tính tin cậy, tồn vẹn thơng tin quyền riêng tư cá nhân Việc trao đổi thông tin tham vấn với bên liên quan thích hợp nội bên ngồi cần thực bước xuyên suốt tất bước trình quản lý rủi ro Trao đổi thông tin tham vấn nhằm: - đưa lĩnh vực chuyên môn khác vào bước trình quản lý rủi ro; - đảm bảo quan điểm khác xem xét cách thích hợp xác định tiêu chí rủi ro định mức rủi ro; - cung cấp thông tin đầy đủ để hỗ trợ việc giám sát rủi ro định; - xây dựng ý thức tham gia quyền sở hữu số người chịu ảnh hưởng rủi ro 6.3 Phạm vi, bối cảnh tiêu chí 6.3.1 Khái quát Mục đích việc thiết lập phạm vi, bối cảnh tiêu chí để tùy chỉnh q trình quản lý rủi ro, cho phép đánh giá rủi ro cách hiệu lực xử lý rủi ro cách thích hợp Phạm vi, bối cảnh tiêu chí liên quan đến việc xác định phạm vi trình hiểu bối cảnh nội bộ, bên 6.3.2 Xác định phạm vi Tổ chức cần xác định phạm vi hoạt động quản lý rủi ro Vì q trình quản lý rủi ro áp dụng cấp khác (ví dụ cấp chiến lược, tác nghiệp, chương trình, dự án hoạt động khác), nên quan trọng cần nêu rõ phạm vi xem xét, mục tiêu liên quan cần xem xét thống chúng với mục tiêu tổ chức Khi hoạch định cho cách tiếp cận này, xem xét bao gồm: - mục tiêu định cần thực hiện; - kết mong đợi từ bước thực trình; - thời gian, địa điểm, nội dung cụ thể đưa vào loại trừ; - công cụ kỹ thuật đánh giá rủi ro thích hợp; - nguồn lực cần thiết, trách nhiệm hồ sơ lưu giữ; - mối quan hệ với dự án, trình hoạt động khác 6.3.3 Bối cảnh nội bên ngồi Bối cảnh nội bên ngồi mơi trường mà tổ chức hướng tới để xác định đạt mục tiêu Bối cảnh trình quản lý rủi ro cần thiết lập từ hiểu biết môi trường nội bên ngồi tổ chức hoạt động cần phản ánh môi trường cụ thể hoạt động mà theo q trình quản lý rủi ro áp dụng Hiểu bối cảnh quan trọng vì: - quản lý rủi ro diễn bối cảnh mục tiêu hoạt động tổ chức; - yếu tố từ phía tổ chức nguồn rủi ro; - mục đích phạm vi q trình quản lý rủi ro có mối quan hệ tương tác với mục tiêu chung tổ chức; Tổ chức cần thiết lập bối cảnh nội bộ, bên ngồi q trình quản lý rủi ro thông qua việc xem xét yếu tố đề cập 5.4.1 6.3.4 Xác định tiêu chí rủi ro Tổ chức cần quy định số lượng loại rủi ro mà phép khơng phép chấp nhận, liên quan đến mục tiêu Tổ chức cần xác định tiêu chí để đánh giá mức độ nghiêm trọng rủi ro để hỗ trợ q trình định Tiêu chí rủi ro cần thống với khuôn khổ quản lý rủi ro điều chỉnh theo mục đích phạm vi cụ thể hoạt động xem xét Tiêu chí rủi ro cần phản ánh giá trị, mục tiêu nguồn lực tổ chức qn với sách, cơng bố quản lý rủi ro Các tiêu chí cần xác định có tính đến nghĩa vụ tuân thủ tổ chức quan điểm bên liên quan Mặc dù tiêu chí rủi ro cần thiết lập bắt đầu trình đánh giá rủi ro, chúng mang tính động nên cần xem xét sửa đổi liên tục cần Để thiết lập tiêu chí rủi ro cần xem xét: - chất loại hình khơng chắn ảnh hưởng đến kết đầu mục tiêu (cả hữu hình vơ hình); - cách thức hệ (cả tích cực tiêu cực) khả xảy xác định đo lường; - yếu tố liên quan đến thời gian; - tính quán việc sử dụng phép đo; - cách thức định mức rủi ro; - kết hợp chuỗi rủi ro xem xét nào; - khả tổ chức 6.4 Đánh giá rủi ro 6.4.1 Khái quát Đánh giá rủi ro trình tổng thể gồm nhận diện rủi ro, phân tích rủi ro định mức rủi ro Đánh giá rủi ro cần tiến hành cách hệ thống, lặp lại mang tính cộng tác, dựa kiến thức quan điểm bên liên quan Cần sử dụng thơng tin sẵn có tốt nhất, bổ sung yêu cầu rộng cần 6.4.2 Nhận diện rủi ro Mục đích việc nhận diện rủi ro phát hiện, ghi nhận mô tả rủi ro giúp cản trở tổ chức đạt mục tiêu Thơng tin có liên quan, thích hợp cập nhật quan trọng việc nhận diện rủi ro Tổ chức sử dụng nhiều kỹ thuật để nhận diện không chắn ảnh hưởng đến nhiều mục tiêu Các yếu tố sau mối quan hệ yếu tố này, cần xem xét: - nguồn rủi ro hữu hình vơ hình; - ngun nhân kiện; - mối đe dọa hội; - yếu điểm khả năng; - thay đổi bối cảnh nội bộ, bên ngồi; - số rủi ro hình thành; - tính chất giá trị tài sản, nguồn lực; - hệ tác động chúng tới mục tiêu; - hạn chế kiến thức tính tin cậy thơng tin; - yếu tố liên quan đến thời gian; - định kiến, giả định niềm tin người liên quan Tổ chức cần nhận diện rủi ro, cho dù nguồn rủi ro có thuộc kiểm sốt tổ chức hay khơng Cần lưu ý rằng, có nhiều loại kết đầu nên dẫn đến đa dạng hệ hữu hình vơ hình 6.4.3 Phân tích rủi ro Mục đích phân tích rủi ro hiểu chất rủi ro đặc trưng rủi ro bao gồm mức độ rủi ro, thích hợp Phân tích rủi ro địi hỏi việc xem xét cách chi tiết không chắn, nguồn rủi ro, hệ quả, khả xảy ra, kiện, kịch bản, kiểm soát hiệu lực chúng Một kiện có nhiều nguyên nhân hệ ảnh hưởng đến nhiều mục tiêu Phân tích rủi ro thực với mức độ chi tiết phức tạp khác nhau, tùy thuộc vào mục đích phân tích, sẵn có, độ tin cậy thơng tin nguồn lực sẵn có Các kỹ thuật phân tích định tính, định lượng kết hợp hai, tùy thuộc vào hoàn cảnh mục đích sử dụng Phân tích rủi ro cần cân nhắc yếu tố như: - khả xảy kiện hệ quả; - chất mức độ hệ quả; - mức độ phức tạp kết nối; - yếu tố liên quan đến thời gian biến động; - hiệu lực kiểm sốt có; - mức độ nhạy cảm tin cậy Phân tích rủi ro bị ảnh hưởng khác biệt quan điểm, định kiến, cảm nhận rủi ro đánh giá Các ảnh hưởng bổ sung cịn chất lượng thơng tin sử dụng, giả định loại trừ thực hiện, hạn chế kỹ thuật cách chúng triển khai Những ảnh hưởng cần cân nhắc, lập thành văn trao đổi thông tin với người định Các kiện khơng chắn mức cao khó định lượng Đây vấn đề phân tích kiện có hệ nghiêm trọng Trong trường hợp vậy, việc sử dụng kết hợp kỹ thuật thường cho nhìn thấu đáo, sâu sắc Phân tích rủi ro cung cấp đầu vào cho việc định mức rủi ro, định việc liệu rủi ro có cần xử lý hay không, cách thức xử lý phương pháp chiến lược xử lý rủi ro thích hợp Những kết mang lại nhìn thấu đáo cho định, thực lựa chọn phương án liên quan đến loại hình mức độ rủi ro khác 6.4.4 Định mức rủi ro Mục đích việc định mức rủi ro để hỗ trợ định Định mức rủi ro đòi hỏi việc so sánh kết phân tích rủi ro với tiêu chí rủi ro thiết lập để xác định cần có hành động bổ sung Điều dẫn đến định: - khơng làm thêm; - cân nhắc phương án xử lý rủi ro; - tiến hành phân tích sâu để hiểu rõ rủi ro; - trì kiểm sốt có; - xem xét lại mục tiêu Các định cần tính đến bối cảnh rộng hệ thực tế hệ cảm nhận bên liên quan nội bên Kết định mức rủi ro cần lưu hồ sơ, trao đổi thông tin sau xác nhận giá trị sử dụng cấp thích hợp tổ chức 6.5 Xử lý rủi ro 6.5.1 Khái quát Mục đích xử lý rủi ro lựa chọn thực phương án để giải rủi ro Xử lý rủi ro liên quan đến trình lặp lại gồm: - hình thành lựa chọn phương án xử lý rủi ro; - hoạch định thực việc xử lý rủi ro; - đánh giá hiệu lực việc xử lý đó; - định xem rủi ro cịn lại có chấp nhận hay khơng; - khơng chấp nhận được, thực xử lý tiếp 6.5.2 Lựa chọn phương án xử lý rủi ro Để lựa chọn (các) phương án xử lý rủi ro thích hợp địi hỏi cân đối lợi ích tiềm bắt nguồn từ việc đạt mục tiêu với chi phí, nỗ lực bất lợi việc thực Các phương án xử lý rủi ro khơng thiết loại trừ lẫn phải thích hợp hoàn cảnh Các phương án xử lý rủi ro bao gồm nhiều nội dung sau: - tránh rủi ro cách định không bắt đầu không tiếp tục hoạt động làm tăng rủi ro; - chấp nhận làm tăng rủi ro để theo đuổi hội; - loại bỏ nguồn rủi ro; - thay đổi khả xảy ra; - thay đổi hệ quả; - chia sẻ rủi ro (ví dụ thơng qua hợp đồng, mua bảo hiểm); - kiềm chế rủi ro định đắn Lý giải cho việc xử lý rủi ro rộng so với việc xem xét mặt kinh tế cần tính đến tất nghĩa vụ tuân thủ tổ chức, cam kết tự nguyện quan điểm bên liên quan Việc lựa chọn phương án xử lý rủi ro cần thực phù hợp với mục tiêu, tiêu chí rủi ro nguồn lực sẵn có tổ chức Khi lựa chọn phương án xử lý rủi ro, tổ chức cần cân nhắc giá trị, cảm nhận khả tham gia bên liên quan, cách thích hợp để trao đổi thơng tin tham vấn bên liên quan Mặc dù có hiệu lực việc xử lý rủi ro dễ chấp nhận số bên liên quan so với số bên khác Việc xử lý rủi ro, thiết kế triển khai thận trọng khơng mang lại kết mong đợi gây hệ không mong muốn Do vậy, việc theo dõi xem xét cần phần thiếu thực xử lý rủi ro nhằm đảm bảo hình thức xử lý khác đạt hiệu lực Bản thân việc xử lý rủi ro tạo rủi ro cần quản lý Nếu khơng sẵn có phương án xử lý phương án xử lý không điều chỉnh cách đầy đủ rủi ro đó, rủi ro cần ghi nhận đảm bảo việc xem xét liên tục rủi ro Những người định bên liên quan khác cần có nhận thức chất mức độ rủi ro lại sau xử lý rủi ro Rủi ro lại cần lập thành văn chịu theo dõi, xem xét thích hợp, xử lý tiếp 6.5.3 Chuẩn bị thực kế hoạch xử lý rủi ro Mục đích kế hoạch xử lý rủi ro quy định cách thức phương án xử lý lựa chọn triển khai cho đặt hiểu người liên quan tiến trình so với kế hoạch theo dõi Kế hoạch xử lý cần xác định rõ ràng trình tự theo việc xử lý rủi ro cần thực Các kế hoạch xử lý cần tích hợp vào kế hoạch q trình quản lý tổ chức có tham vấn với bên liên quan thích hợp Thơng tin nêu kế hoạch xử lý cần bao gồm: - lý lựa chọn phương án xử lý, kể lợi ích dự kiến đạt được; - người chịu trách nhiệm trách nhiệm giải trình việc phê duyệt triển khai kế hoạch; - hành động đề xuất; - nguồn lực cần thiết, bao gồm dự phòng; - thước đo kết thực hiện; - ràng buộc; - việc báo cáo theo dõi cần thiết; - hành động dự kiến thực hồn thành 6.6 Theo dõi xem xét Mục đích theo dõi xem xét đảm bảo cải tiến chất lượng, hiệu lực việc thiết kế, áp dụng kết trình Theo dõi liên tục xem xét định kỳ trình quản lý rủi ro kết đầu cần phần hoạch định trình quản lý rủi ro, gắn với trách nhiệm xác định rõ ràng Việc theo dõi xem xét cần thực tất giai đoạn trình Theo dõi xem xét bao gồm hoạch định, thu thập phân tích thơng tin, ghi nhận kết cung cấp thông tin phản hồi Các kết theo dõi xem xét cần kết hợp với toàn hoạt động quản lý kết thực hiện, đo lường báo cáo tổ chức 6.7 Lập hồ sơ báo cáo Quá trình quản lý rủi ro kết cần lập thành văn báo cáo thơng qua chế thích hợp Việc lập hồ sơ báo cáo nhằm: - trao đổi thông tin hoạt động quản lý rủi ro kết toàn tổ chức; - cung cấp thông tin cho việc định; - cải tiến hoạt động quản lý rủi ro; - hỗ trợ việc tương tác với bên liên quan, bao gồm người có trách nhiệm trách nhiệm giải trình hoạt động quản lý rủi ro Các định liên quan đến việc tạo lập, lưu giữ xử lý thông tin dạng văn cần tính đến, khơng giới hạn việc sử dụng chúng, tính nhạy cảm thơng tin bối cảnh nội bộ, bên Báo cáo phần thiếu việc điều hành tổ chức cần nâng cao chất lượng việc đối thoại với bên liên quan, hỗ trợ lãnh đạo cao nhất, phận giám sát việc thực trách nhiệm họ Các yếu tố cần xem xét báo cáo bao gồm, không giới hạn ở: - bên liên quan khác nhu cầu yêu cầu thông tin cụ thể họ; - chi phí, tần suất thời điểm báo cáo; - phương pháp báo cáo; - phù hợp thông tin với mục tiêu việc định tổ chức Thư mục tài liệu tham khảo [1] TCVN IEC 31010, Quản lý rủi ro - Kỹ thuật đánh giá rủi ro MỤC LỤC Lời nói đầu Lời giới thiệu Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Nguyên tắc Khuôn khổ 5.1 Khái quát 5.2 Sự lãnh đạo cam kết 5.3 Tích hợp 5.4 Thiết kế 5.5 Áp dụng 5.6 Xem xét đánh giá 5.7 Cải tiến Quá trình 6.1 Khái quát 6.2 Trao đổi thông tin tham vấn 6.3 Phạm vi, bối cảnh tiêu chí 6.4 Đánh giá rủi ro 6.5 Xử lý rủi ro 6.6 Theo dõi xem xét 6.7 Lập hồ sơ báo cáo Thư mục tài liệu tham khảo ... pháp báo cáo; - phù hợp thông tin với mục tiêu việc định tổ chức Thư mục tài liệu tham khảo [1] TCVN IEC 31010, Quản lý rủi ro - Kỹ thuật đánh giá rủi ro MỤC LỤC Lời nói đầu Lời giới thiệu Phạm
