Báo cáo COSO 2004, quản trị rủi ro doanh nghiệp gồm những bộ phận sau: - Môi trường quản lý.
- Thiết lập các mục tiêu. - Nhận dạng sự kiện tiềm tàng.
- Đánh giá rủi ro. - Phản ứng với rủi ro. - Hoạt động kiểm soát. - Thông tin và truyền thông. - Giám sát.
1.2.3.1 Môi trường quản lý
Triết lý của nhà quản lý về quản trị rủi ro: là quan điểm, nhận thức và thái độ của nhà quản lý, điều này tạo nên cách thức mà đơn vị tiếp cận với rủi ro trong tất cả các hoạt động, từ phát triển chiến lược đến các hoạt động hàng ngày. Triết lý quản lý phản ánh những giá trị mà đơn vị theo đuổi, tác động đến văn hoá và cách thức đơn vị hoạt động, và ảnh hưởng đến việc áp dụng các yếu tố khác của quản trị rủi ro bao gồm cách thức nhận dạng rủi ro, các loại rủi ro được chấp nhận và cách thức quản lý chúng.
Rủi ro có thể chấp nhận: là mức độ rủi ro mà xét trên bình diện tổng thể, đơn vị sẵn lòng chấp nhận để theo đuổi giá trị. Nó phản ánh triết lý về quản trị rủi ro của nhà quản lý cấp cao, và ảnh hưởng đến văn hoá, cách thức hoạt động của đơn vị. Rủi ro có thể chấp nhận được xem xét khi đơn vị xác định các chiến lược, ở đó lợi ích kỳ vọng của một chiến lược phải phù hợp với mức rủi ro có thể chấp nhận đã đề ra. Các chiến lược khác nhau sẽ dẫn đến những mức độ rủi ro khác nhau đối với đơn vị, một khi mức rủi ro có thể chấp nhận được xác lập sẽ giúp ích cho nhà quản lý lựa chọn chiến lược nằm trong giới hạn chịu đựng đối với các loại rủi ro.
Hội đồng quản trị: đây là một bộ phận quan trọng và ảnh hưởng đến những yếu tố khác. Vai trò của Hội đồng quản trị được thể hiện ở việc giám sát ban quản lý trong việc lựa chọn chiến lược, lên kế hoạch và việc thực hiện nó.
Tính chính trực và các giá trị đạo đức: Sự hữu hiệu của hệ thống quản trị rủi ro trước tiên phụ thuộc vào tính chính trực và việc tôn trọng các giá trị đạo đức của những người có liên quan đến quá trình quản trị rủi ro. Để đáp ứng yêu cầu này, các nhà quản lý cấp cao phải xây dựng những chuẩn mực về đạo đức trong đơn vị và cư
xử đúng đắn để ngăn cản không cho các thành viên có các hành vi thiếu đạo đức hoặc phạm pháp.
Đảm bảo về năng lực: Là đảm bảo cho nhân viên có được những kỹ năng và hiểu biết cần thiết để thực hiện được nhiệm vụ của mình, nếu không họ sẽ không thực hiện nhiệm vụ được giao hữu hiệu và hiệu quả. Do đó, nhà quản lý chỉ tuyển dụng những nhân viên có trình độ đào tạo và kinh nghiệm phù hợp với nhiệm vụ được giao, và phải giám sát và huấn luyện họ đầy đủ và thường xuyên.
Cơ cấu tổ chức: Là sự phân chia quyền hạn và trách nhiệm của các bộ phận trong đơn vị, góp phần quan trọng trong việc thực hiện các mục tiêu. Nói cách khác, cơ cấu phù hợp sẽ là cơ sở cho việc lập kế hoạch, điều hành, kiểm soát và giám sát các hoạt động của đơn vị. Vì vậy, khi xây dựng một cơ cấu tổ chức phải xác định được các vị trí then chốt với các quyền hạn, trách nhiệm với các thể thức báo cáo cho phù hợp. Tuy nhiên, điều này còn phụ thuộc vào quy mô và tính chất hoạt động của đơn vị. Cho dù với bất cứ loại hình cơ cấu nào đều phải đảm bảo hệ thống quản trị rủi ro hoạt động hữu hiệu và các hoạt động được tiến hành để đạt mục tiêu mà đơn vị đề ra.
Cách thức phân định quyền hạn và trách nhiệm: được xem là phần mở rộng của cơ cấu tổ chức. Nó cụ thể hoá quyền hạn và trách nhiệm của từng thành viên, từng nhóm thành viên trong đơn vị, giúp cho mỗi thành viên và nhóm hiểu rằng họ có nhiệm vụ cụ thể gì và từng hoạt động của họ có ảnh hưởng như thế nào đối với những nhóm hay thành viên khác trong việc hoàn thành mục tiêu. Do đó, khi mô tả công việc, đơn vị cần phải thể chế hoá bằng văn bản về những nhiệm vụ và quyền hạn cụ thể của từng thành viên và nhóm thành viên, và quan hệ giữa họ với nhau.
Chính sách nhân sự: là các chính sách và thủ tục của nhà quản lý về việc tuyển dụng, huấn luyện, bổ nhiệm, đánh giá, sa thải, khen thưởng, kỷ luật nhân viên. Chính sách nhân sự có ảnh hưởng đáng kể đến sự hữu hiệu của môi trường quản lý thông qua tác động đến những nhân tố khác như đảm bảo về năng lực, tính chính trực.
1.2.3.2 Thiết lập mục tiêu
Các mục tiêu của đơn vị bao gồm:
- Mục tiêu chiến lược: liên quan đến các mục tiêu tổng thể và phục vụ cho sứ mạng của đơn vị.
- Mục tiêu hoạt động: liên quan đến việc sử dụng các nguồn lực một cách hữu hiệu và hiệu quả.
- Mục tiêu báo cáo: liên quan đến sự trung thực và đáng tin cậy của các bao cáo liên quan đến đơn vị.
- Mục tiêu tuân thủ: đảm bảo hợp lý việc chấp hành luật pháp và các quy định. Các mục tiêu được thiết lập đầu tiên ở cấp độ chiến lược, từ đó đơn vị xây dựng bốn mục tiêu tổng quát: chiến lược, hoạt động, báo cáo, và tuân thủ. Việc thiết lập các mục tiêu của đơn vị là điều kiện đầu tiên để nhận dạng, đánh giá và phản ứng với rủi ro.
Các mục tiêu liên quan: là những mục tiêu cụ thể hơn so với mục tiêu chiến lược và phù hợp với mục tiêu chiến lược đã được lập. Mặc dù các mục tiêu trong đơn vị rất đa dạng, nhưng các mục tiêu liên quan đến các mục tiêu chiến lược có thể chia thành các loại sau:
- Các mục tiêu hoạt động: các mục tiêu này liên quan đến sự hữu hiệu và hiệu quả của hoạt động tại đơn vị, bao gồm cách thức hoạt động của đơn vị, lợi nhuận và việc bảo vệ nguồn lực như thế nào. Dưới mỗi mục tiêu hoạt động cơ bản thì đơn vị có thể xây dựng các mục tiêu nhỏ hơn nhằm đảm bảo cho sự hữu hiệu và hiệu quả của các hoạt động tại đơn vị, hướng đơn vị đi đến mục tiêu cao nhất của mình.
- Các mục tiêu về báo cáo: gắn liền với sự trung thực và đáng tin cậy của các báo cáo, bao gồm các báo cáo cho bên trong và bên ngoài và có thể liên quan đến các thông tin tài chính và phi tài chính. Các báo cáo đáng tin cây cung cấp cho nhà quản lý những thông tin đầy đủ và chính xác để điều hành và giám sát các hoạt động xảy ra tại đơn vị, hướng đến các mục đích đã dự tính trước. Việc báo cáo cũng liên quan đến những thông tin công bố ra bên ngoài như báo cáo tài chính, báo
cáo đến các cơ quan chức năng về các lĩnh vực liên quan, báo cáo về thảo luận và phân tích của ban đều hành cho các cổ đông.
- Các mục tiêu tuân thủ: liên quan đến việc tuân thủ luật pháp, quy định của Nhà nước và chấp hành các chính sách, thủ tục tại đơn vị. Đơn vị phải kiểm soát các hoạt động của mình sao cho phù hợp với luật pháp, quy định của Nhà nước cũng như các chính sách, thủ tục mà đơn vị đặt ra.
1.2.3.3 Nhận dạng sự kiện tiềm tàng
Sự kiện tiềm tàng: là biến cố bắt nguồn từ bên trong hoặc bên ngoài đơn vị ảnh hưởng đến việc thực hiện mục tiêu của đơn vị. Một sự kiện có thể có ảnh hưởng tích cực hoặc tiêu cực đến đơn vị và có thể cả hai.
- Các yếu tố ảnh hưởng: khi xem xét các sự kiện tiềm tàng cần xác định các yếu tố ảnh hưởng đến việc thực hiện mục tiêu của tổ chức.
Các yếu tốảnh hưởng bao gồm các yếu tố bên ngoài như:
+ Môi trường kinh tế: các sự kiện liên quan đến mặt bằng giá cả, nguồn vốn có thể huy động, chi phí sử dụng vốn, tỷ lệ thất nghiệp, đối thủ cạnh tranh mới,…
+ Môi trường tự nhiên: thiên tai, sự tác động của môi trường đến nhà xưởng, sự tiếp cận nguồn nguyên liệu thô, di dân giữa các vùng địa lý,..
+ Các yếu tố chính trị: các quy định mới của luật pháp, chính sách thuế, sự hạn chế của nhà nước đối với các khu vực thị trường,..
+ Các yếu tố xã hội: tình trạng già/trẻ của dân số, phong tục tập quán, cấu trúc gia đình, ưu tiên nghề nghiệp của dân chúng, các hoạt động khủng bố,…
+ Sự tiến bộ của khoa học kỹ thuật: các hình thức thương mại điện tử mới, sự gia tăng nhu cầu về các dịch vụ kỹ thuật cao,…
Các yếu tố bên trong tác động đến sự kiện tiềm tàng bao gồm:
+ Cơ sở vật chất: cơ sở vật chất để liên lạc với các trung tâm của đơn vị, giảm thiểu thời hạn cung ứng các yếu tố đầu vào, cải thiện sự hài lòng của khách hàng.
+ Nhân sự: tai nạn lao động, gian lận của nhân viên, hiệu lực của hợp đồng lao động, các hành động làm tổn hại đến tiền bạc và danh tiếng của đơn vị.
+ Các chu trình: sự không phù hợp giữa chu trình công việc và các quy định của nhà quản lý, các lỗi khi thực hiện các chu trình, thực hiện việc thuê ngoài khi chưa được xem xét thoả đáng.
+ Việc áp dụng khoa học kỹ thuật: việc thay đổi máy móc, công nghệ để đáp ứng về doanh thu, khối lượng; máy móc bị trục trặc, gian lận trong thực hiện công việc. Việc xác định được các yếu tố bên trong và bên ngoài tác động đến đơn vị có tác dụng quan trọng đến việc nhận dạng các sự kiện tiềm tàng. Một khi các yếu tố ảnh hưởng đã được nhận dạng, nhà quản lý có thể xem xét tầm quan trọng của chúng và tập trung vào các sự kiện có thể ảnh hưởng đến việc thực hiện các mục tiêu của đơn vị. Ngoài việc nhận diện các sự kiện tiềm tàng ở mức độ toàn đơn vị, sự kiện tiềm tàng cũng có thể được nhận diện ở mức độ chi tiết cho các hoạt động. Điều này giúp cho việc đánh giá các rủi ro theo các hoạt động, các chức năng chính. Sự tác động lẫn nhau giữa các sự kiện: các sự kiện liên quan đến đơn vị thường không xuất hiện độc lập mà có sự tương tác lẫn nhau. Một sự kiện xuất hiện có thể tạo ra, hoặc tác động đến một sự kiện khác và các sự kiện có thể xuất hiện đồng thời.
Phân biệt cơ hội và rủi ro: Sự kiện tiềm tàng nếu xuất hiện sẽ tác động tích cực hoặc tiêu cực đến đơn vị hoặc tác động cả hai. Nếu sự kiện có tác động tiêu cực, đe dọa nguy cơ đạt được mục tiêu của đơn vị, thì đòi hỏi đơn vị phải đánh giá rủi ro và phản ứng với rủi ro. Nếu sự kiện có tác động tích cực đến đơn vị, làm thuận lợi việc thực hiện mục tiêu của đơn vị hoặc tạo giá trị cho đơn vị, thì đơn vị phải xem xét lại các chiến lược đã được xây dựng.
1.2.3.4 Đánh giá rủi ro
Quản trị rủi ro cung cấp cách thức về quy trình, kỹ thuật cụ thể để đánh giá rủi ro. Trên cơ sở đó, đơn vị có thể đánh giá cụ thể sự tác động của các sự kiện tiềm tàng, xem xét cách thức phản ứng phù hợp. Việc đánh giá rủi ro bao gồm các nội dung sau:
- Rủi ro tiềm tàng và rủi ro kiểm soát: rủi ro tiềm tàng là rủi ro do thiếu các hoạt động của đơn vị nhằm thay đổi khả năng hoặc sự tác động của các rủi ro đó.
Rủi ro kiểm soát là rủi ro vẫn còn tồn tại sau khi đơn vị đã phản ứng với rủi ro. Đơn vị cần phải xem xét cả rủi ro tiềm tàng và rủi ro kiểm soát, đầu tiên là xem xét rủi ro tiềm tàng, sau đó khi đã có phương án phản ứng với rủi ro tiềm tàng thì tiếp tục xem xét đến rủi ro kiểm soát.
- Ước lượng khả năng và ảnh hưởng: các sự kiện tiềm tàng phải được đánh giá trên hai khía cạnh: khả năng xảy ra và mức độ tác động của nó. Những sự kiện mà khả năng xuất hiện thấp và ít tác động đến đơn vị, thì không cần phải tiếp tục xem xét. Các sự kiện với khả năng xuất hiện cao và tác động lớn thì cần phải xem xét kỹ càng. Các sự kiện nằm giữa hai cột móc này đòi hỏi sự đánh giá phức tạp, điều quan trọng là phải phân tích kỹ lưỡng và hợp lý. Để đo lường khả năng xuất hiện một sự kiện, có thể dùng các chỉ tiêu định tính như cao, trung bình, thấp hoặc các cấp độ chi tiết khác. Hoặc có thể dùng chỉ tiêu định lượng như: tỷ lệ xuất hiện, tần suất xuất hiện.
- Kỹ thuật đánh giá rủi ro: đơn vị thường sử dụng kết hợp các kỹ thuật định lượng và định tính khi đánh giá rủi ro. Kỹ thuật định tính được sử dụng khi rủi ro không thể định lượng được, hoặc khi dữ liệu đầu vào không đủ tin cậy hay không tương xứng với chi phí để định lượng. Kỹ thuật định lượng được sử dụng cho các hoạt động phức tạp của đơn vị và thường phải sử dụng các mô hình toán học cho kết quả chính xác hơn so với kỹ thuật định tính.
Các kỹ thuật định lượng dùng để đánh giá rủi ro:
+ So sánh: so sánh các chu trình giữa các đơn vị trong ngành, hoặc giữa các ngành với nhau, bằng cách đánh giá các sự kiện hay chu trình cụ thể đối với từng đơn vị, sau đó so sánh kết quả.
+ Mô hình xác suất: Xác định tác động của sự kiện tại các xác suất khác nhau. Sau đó, xác định sự tác động tương ứng với các độ tin cậy khác nhau.
+ Mô hình phi xác suất: đưa ra các giả định về việc đạt mục tiêu và đánh giá các rủi ro tương ứng mà không sử dụng các chỉ tiêu định lượng để đánh giá khả năng sự kiện có thể xảy ra.
- Sự liên hệ giữa các sự kiện: đối với những sự kiện độc lập với nhau thì đơn vị đánh giá các sự kiện một cách độc lập. Nhưng nếu có sự liên hệ giữa các sự kiện hoặc các sự kiện cùng kết hợp lại với nhau sẽ tạo nên những tác động lớn thì đơn vị phải đánh giá được tác động tổng hợp đó.
Khi rủi ro tác động đến nhiều bộ phận, đơn vị kết hợp các rủi ro đó trong danh sách các sự kiện và xem xét trước hết đến sự tác động đến từng bộ phận, sau đó xem xét tác động tổng thể đến từng đơn vị.
1.2.3.5 Phản ứng với rủi ro
Quản trị rủi ro cung cấp các cách thức phản ứng đa dạng và đề xuất chu trình để đơn vị phản ứng với các rủi ro. Sau khi đã đánh giá các rủi ro liên quan, đơn vị xác định các cách thức để phản ứng với các rủi ro đó. Các cách thức để phản ứng rủi ro bao gồm:
- Né tránh rủi ro: không thực hiện các hoạt động mà có rủi ro cao.
- Giảm bớt rủi ro: nhằm làm giảm thiểu khả năng xuất hiện hoặc mức độ tác động của rủi ro hoặc cả hai. Các hoạt động này liên quan tới việc điều hành hằng ngày.
- Chuyển giao rủi ro: làm giảm thiểu khả năng xuất hiện và mức độ tác động của rủi ro bằng cách chuyển giao hoặc chia sẽ một phần rủi ro.
- Chấp nhận rủi ro: đơn vị không làm gì cả đối với rủi ro. Một chu trình phản ứng với rủi ro bao gồm các bước sau: