1.4.2.1. Quy trình quản trị rủi ro theo thông lệ quốc tế ISO 31000:2009
ISO 31000:2009 là một tiêu chuẩn quốc tế cung cấp những quy định và hướng dẫn nhằm hỗ trợ doanh nghiệp hiểu được cách thức phát triển, thực hiện và
19
duy trì việc quản trị rủi ro một cách hiệu quả, thống nhất. Tiêu chuẩn này chứng minh cam kết mạnh mẽ của doanh nghiệp trong việc cải tiến liên tục để đạt được mục tiêu trong hoạt động kinh doanh.
Tại Việt Nam, TCVN ISO 31000:2011 hoàn toàn tương đương với ISO 31000:2009; TCVN ISO 31000:2011 do Ban kỹ thuật tiêu chuẩn quốc gia TCVN/TC 176 Quản lý chất lượng và đảm bảo chất lượng biên soạn, Tổng cục Tiêu chuẩn đo lường Chất lượng đề nghị và được Bộ Khoa học và Công nghệ công bố.
Hình 1.2: Quá trình quản lý rủi ro
Nguồn: Tổng Cục tiêu chuẩn đo lường chất lượng (2019)
Trong khi tất cả các tổ chức đều quản lý rủi ro ở một mức độ nào đó, tiêu chuẩn này thiết lập một số nguyên tắc cần được đáp ứng để làm cho hoạt động quản lý rủi ro đạt hiệu quả. Tiêu chuẩn này khuyến nghị tổ chức xây dựng và áp dụng, cải tiến liên tục khuôn khổ với mục đích là tích hợp quá trình quản lý rủi ro với toàn bộ hoạt động quản trị, chiến lược và hoạch định, quản lý và các quá trình báo cáo, chính sách, các giá trị và văn hóa của tổ chức. Theo ISO 31000 quá trình quản lý rủi ro cần là một phần không thể tách rời của quản lý và được gắn vào văn hóa, vào việc thực hành và phù hợp với các quá trình hoạt động của tổ chức.
20
Quá trình áp dụng ISO 31000 trong doanh nghiệp gồm các bước sau:
Hình 1.3: Quy trình quản lý rủi ro theo ISO 31000
Nguồn: Tổng Cục tiêu chuẩn đo lường chất lượng (2019)
Bước 1. Thiết lập khuôn khổ quản lý rủi ro
a. Thiết lập bối cảnh: Doanh nghiệp xem xét các điều kiện bên ngoài, bên trong có ảnh hưởng hoặc gây rủi ro đến hoạt động của doanh nghiệp, sử dụng Bảng phân tích PEST, SWOT.
b. Thiết lập chính sách quản lý rủi ro: Ban giám đốc xây dựng chính sách quản lý rủi ro và công bố chính sách này cho tất cả các thành viên và các bên có liên quan.
c. Trách nhiệm: Doanh nghiệp xác định trách nhiệm quyền hạn của các thành viên trong doanh nghiệp trong việc áp dụng hệ thống quản lý rủi ro, bao gồm: Xác định, đánh giá, lập phương án, xử lý, theo dõi và báo cáo rủi ro; Xây dựng, thực hiện và duy trì khuôn khổ quản lý rủi ro;
d. Tích hợp các quá trình của tổ chức: Doanh nghiệp tích hợp nội dung của hệ thống quản lý rủi ro vào tất cả các quá trình của doanh nghiệp và xem quản lý rủi ro như một phần không tách rời của các các quá trình của doanh nghiệp.
21
e. Nguồn lực: Doanh nghiệp sử dụng hợp lý nguồn lực trong việc quản lý rủi ro. Ban lãnh đạo cung cấp nguồn lực để thực hiện các chương trình xử lý rủi ro.
f. Thiết lập cơ chế báo cáo và trao đổi thông tin nội bộ: Doanh nghiệp thiết lập cơ chế báo cáo và trao đổi thông tin nội bộ và bên ngoài để hỗ trợ, khuyến khích các thành viên thực hiện trách nhiệm trong quản lý rủi ro.
g. Xác định tiêu chí rủi ro: Doanh nghiệp xác định các tiêu chí để làm cơ sở đánh giá rủi ro và so sánh các rủi ro hiện tại. Các kết quả đánh giá so sánh với tiêu chí rủi ro sẽ làm cơ sở quyết định sẽ cung cấp nguồn lực để ưu tiên giảm thiểu các rủi ro.
Bước 2. Thực hiện khuôn khổ quản lý rủi ro
a. Thực hiện khuôn khổ quản lý rủi ro
b. Theo dõi và xem xét khuôn khổ quản lý rủi ro
c. Cải tiến liên tục khuôn khổ quản lý rủi ro: Doanh nghiệp tổ chức thực hiện các khuôn khổ quản lý rủi ro đã thiết lập ở trên. Trưởng các phòng ban sẽ theo dõi và đề xuất cải tiến các quá trình để giảm thiểu các rủi ro. Ban quản lý rủi ro sẽ theo dõi, hỗ trợ các công cụ cần thiết để thực hiện hệ thống quản lý rủi ro.
Bước 3. Xác định rủi ro
Trưởng phòng ban trong doanh nghiệp cần xác định các nguồn rủi ro, lĩnh vực chịu tác động, sự kiện, nguyên nhân, hệ quả tiềm ẩn của sự kiện Áp dụng các công cụ và kỹ thuật xác định rủi ro, phù hợp với các mục tiêu. Lập danh mục rủi ro.
Bước 4. Phân tích rủi ro
Trưởng phòng ban phân tích rủi ro, đánh giá rủi ro và quyết định phương án xử lý rủi ro. Chủ sở hữu quá trình cần xem xét nguyên nhân và nguồn rủi ro, hệ quả tích cực và tiêu cực của chúng cũng như khả năng những hệ quả này có thể xảy ra.
Bước 5. Đánh giá mức độ rủi ro
Trưởng phòng ban so sánh mức độ rủi ro thấy được trong quá trình phân tích với tiêu chí rủi ro đã xác định ở Bước 1. Chọn các phương án xử lý rủi ro có tính đến với các yêu cầu pháp lý, quản lý và yêu cầu khác. Ban quản lý rủi ro sẽ xem xét các rủi ro (xác định, phân tích, đánh giá) trước khi trình Ban lãnh đạo xem xét và cung cấp nguồn lực để xử lý các rủi ro. (adsbygoogle = window.adsbygoogle || []).push({});
22
Bước 6. Xử lý rủi ro
a. Lựa chọn các phương án xử lý rủi ro: Chủ quá trình chọn một hoặc nhiều phương án để điều chỉnh rủi ro và thực hiện những phương án này. Chọn một phương án xử lý rủi ro thích hợp nhất liên quan đến việc cân đối giữa chi phí và nỗ lực thực hiện so với các lợi ích thu được. Ban quản lý rủi ro sẽ cân nhắc việc chọn các phương án xử lý rủi ro trước khi trình Ban Tổng giám đốc xem xét và quyết định. Lưu ý các rủi ro khác có thể xuất hiện khi xử lý rủi ro.
b. Chuẩn bị và thực hiện các phương án xử lý rủi ro: Chủ các quá trình viết thành văn bản cách thức thực thi các phương án xử lý thông qua kế hoạch xử lý rủi ro. Ban quản lý rủi ro xem xét và quyết định bản chất và mức độ rủi ro tồn đọng sau khi đã xử lý rủi ro.
Bước 7. Theo dõi và xem xét
- Chủ động các quá trình theo dõi và xem xét theo các hoạch định của quá trình quản lý rủi ro.
- Tiến trình thực hiện các phương án xử lý rủi ro và cung cấp thước đo cho việc thực hiện hệ thống quản lý rủi ro.
Bước 8. Báo cáo các rủi ro
Hàng tháng, các chủ quá trình báo cáo kết quả thực hiện quản lý rủi ro và trình cho Ban quản lý rủi ro. Trưởng ban Quản lý rủi ro tổng kết và báo cáo cho Tổng Giám đốc, Hội đồng quản trị cùng với các đề xuất cải tiến để giảm thiểu các rủi ro. Hàng quý, Ban quản lý rủi ro đánh giá hiệu quả áp dụng hệ thống quản lý rủi ro để so sánh mức độ tiến bộ giữa các quý và báo cáo cho Tổng Giám đốc, Hội đồng quản trị cùng với các khu vực cần cải tiến để giảm thiểu các rủi ro. Mỗi sáu tháng, Ban quản lý rủi ro kết hợp cùng các Ban ISO khác, tổ chức đánh giá nội bộ theo quy trình đánh giá nội bộ và báo cáo kết quả tổng thể cho Tổng Giám đốc, Hội đồng quản trị. Các báo cáo rủi ro sẽ làm cơ sở cho Ban Tổng giám đốc ra các quyết định về sản xuất và kinh doanh trong tương lai và làm nền tảng cho việc cải tiến các phương pháp xử lý rủi ro.
23
Bước 9. Xem xét và điều chỉnh
Ban Tổng giám đốc xem xét các kết quả thực hiện xử lý rủi ro, đánh giá để làm cơ sở điều chỉnh các hoạt động sản xuất, kinh doanh cho phù hợp. Cung cấp thêm nguồn lực khi cần thiết để xử lý các rủi ro tồn đọng. Định hướng xử lý rủi ro theo các cập nhật về công nghệ kỹ thuật và khả năng tài chính của Doanh nghiệp. Tổ chức thực hiện mô hình nói trên trong những năm tiếp theo.
ISO 31000 là một tài liệu thực tế nhằm hỗ trợ các tổ chức trong việc phát triển phương pháp riêng của mình để quản lý rủi ro. Nhưng điều này không phải là một tiêu chuẩn bắt buộc và cần một tổ chức chứng nhận. Việc thực hiện ISO 31000 các tổ chức có thể so sánh với thực tiễn quản lý rủi ro của doanh nghiệp với chuẩn mực quốc tế công nhận, cung cấp các nguyên tắc quản lý hiệu quả.
1.4.2.2. Quy trình quản trị rủi ro theo COSO ERM
Quản lý rủi ro trong doanh nghiệp theo một khuôn khổ hợp nhất cũng được phát triển bởi COSO (2004). Đây là một quá trình được xây dựng trong một doanh nghiệp và được ứng dụng để nhận biết rủi ro và nhằm cung cấp sự đảm bảo hợp lý để giúp doanh nghiệp đạt được các mục tiêu kinh doanh và mục tiêu báo cáo tài chính của doanh nghiệp.
Trên cơ sở đó, COSO 2017 đã đưa những thay đổi trong quan điểm về quản lý rủi ro cần gắn với chiến lược, mục tiêu hoạt động của doanh nghiệp. Doanh nghiệp cần xác định rõ mục tiêu, chiến lược trước khi nhận diện, đánh giá rủi ro, cũng như đưa ra các biện pháp thích hợp đối với những rủi ro được phát hiện. Bên cạnh đó, COSO 2017 cũng đã nhấn mạnh vai trò của thành viên hội đồng quản trị (HĐQT) và lãnh đạo cao cấp trong việc quản lý rủi ro. Để có thể đưa ra các quyết định chiến lược, họ cần phải nắm bắt thông tin về các rủi ro trong doanh nghiệp. Những nội dung thay đổi trong COSO 2017 có thể kể đến như sau:
(1) Thay đổi cấu trúc: 5 thành phần với 20 nguyên tắc tương ứng với vòng đời kinh doanh. Với cấu trúc mới doanh nghiệp có thể nhận diện cũng như đánh giá rủi ro dễ dàng hơn trong mối quan hệ với các hoạt động của doanh nghiệp. Vòng đời kinh doanh của doanh nghiệp: (a) Tầm nhìn, sứ mệnh và giá trị cốt lõi; (b) Xây
24
dựng chiến lược; (c) Đạt mục tiêu kinh doanh; (d) Triển khai và hoạt động; (e) Giá trị được nâng cao. Mô hình COSO ERM 2017 cụ thể như sau:
Hình 1.4: Quy trình quản trị rủi ro COSO ERM 2017
Nguồn: COSO (2018)
(2) Tập trung chú ý vào tích hợp quản lý rủi ro với quy trình hoạch định chiến lược và quản trị hiệu quả hoạt động doanh nghiệp: Cần chú ý đến rủi ro trong hoạch định chiến lược cũng như trong hoạt động thường ngày.
(3) Đưa ra nhiều lợi thế của quản lý rủi ro trong doanh nghiệp: Từ giảm thiểu thiệt hại đến lựa chọn chiến lược.
(4) Đưa ra các đồ thị biểu hiện mối quan hệ giữa rủi ro với hiệu quả hoạt động: Đưa ra “đường cong rủi ro” thể hiện quan điểm mới trong việc nhận diện và đánh giá mối quan hệ giữa mức độ rủi ro với hiệu quả.
(5) Xem xét vấn đề quản lý rủi ro ở tất cả các cấp độ trong doanh nghiệp: Từ cấp độ toàn doanh nghiệp đến rủi ro ở cấp độ từng nghiệp vụ.
(6) Ý nghĩa của quản trị doanh nghiệp và văn hóa doanh nghiệp được nâng cao (7) Vai trò của công nghệ thông tin trong quản lý rủi ro ngày một nâng cao. COSO-ERM (Enterprise Risk Management) là khung kiểm soát nội bộ và quản trị rủi ro doanh nghiệp được công nhận và áp dụng rộng rãi trên thế giới hiện
25
nay; là công cụ hỗ trợ đắc lực và cần thiết cho công tác quản trị và điều hành cho các doanh nghiệp. Hệ thống quản trị rủi ro và kiểm soát nội bộ hiệu quả phụ thuộc rất nhiều vào yếu tố con người, việc nâng cao chất lượng nhân sự đang là thách thức rất lớn đối với doanh nghiệp khi nguồn nhân lực có kĩ năng và kinh nghiệm phù hợp đang có sự thiếu hụt lớn. Vì vậy, các doanh nghiệp cần chú trọng công tác đào tạo kiến thức, kĩ năng cho nhân sự quản trị rủi ro và kiểm soát nội bộ để đáp ứng yêu cầu cũng như mang lại lợi íchlâu dài, ổn định cho doanh nghiệp.