Đánh giá rủi ro

Đánh giá rủi ro là quá trình xác định và phân tích các rủi ro đe doạ đến việc đạt được mục tiêu của tổ chức và xác định các biện pháp đối phó thích hợp. Điều này bao gồm:

+ Xác định rủi ro liên quan đến các mục tiêu của tổ chức, rủi ro toàn diện và những rủi ro do các yếu tố bên trong và bên ngoài.

+ Đánh giá rủi ro: xem xét tầm quan trọng của rủi ro cũng như việc đánh giá khả năng xảy ra rủi ro.

+ Đánh giá các rủi ro có thể chấp nhận của tổ chức. + Phát triển các biện pháp đối phó.

 Xác định rủi ro

Một cách tiếp cận chiến lược để đánh giá rủi ro phụ thuộc vào việc xác định rủi ro đối với các mục tiêu trong tổ chức. Những rủi ro liên quan đến các mục tiêu của tổ chức sẽ được xem xét và đánh giá, từ đó tìm ra các rủi ro trọng yếu.

Xác định rủi ro là một quá trình liên tục, lặp đi lặp lại và thường được thực hiện cùng với quá trình lập kế hoạch. Điều này tạo điều kiện cho việc xác định các thay đổi trong hồ sơ rủi ro của một tổ chức phát sinh từ những thay đổi trong môi trường kinh tế, môi trường pháp lý, những hoạt động bên trong hoặc bên ngoài và từ sự thay đổi hoặc sửa đổi mục tiêu của tổ chức.

 Đánh giá rủi ro

Làm thế nào để xử lý rủi ro là điều cần thiết không chỉ để xác định nguyên tắc tồn tại của một loại rủi ro mà còn để đánh giá tầm quan trọng của nó và đánh giá khả năng các rủi ro có thể xảy ra.

Một trong những mục đích chính của việc đánh giá rủi ro là để thông báo cho nhà quản lý về những lĩnh vực có rủi ro để có hướng ngăn chặn cũng như thực hiện các hoạt động kiểm soát theo thứ tự ưu tiên. Đơn vị có thể sử dụng phương pháp định tính, định lượng hoặc kết hợp cả hai để đánh giá mức độ thiệt hại do rủi ro gây ra.

 Đánh giá ngƣỡng rủi ro có thể chấp nhận

Một vấn đề quan trọng trong việc xem xét để đối phó với những rủi ro là phải xác định được ngưỡng rủi ro có thể chấp nhận được. Quyết định về ứng phó với rủi ro phải được kết hợp với việc xác định mức độ rủi ro mà tổ chức có thể chấp nhận được.

Để xác định ngưỡng rủi ro có thể chấp nhận cần phải xem xét cả hai loại rủi ro, đó là rủi ro vốn có và rủi ro còn lại. Rủi ro vốn có là rủi ro đối với một thực thể trong trường hợp không có bất kỳ hoạt động quản lý nào có thể làm thay đổi khả năng xảy ra rủi ro hoặc ảnh hưởng của rủi ro. Rủi ro còn lại là rủi ro của một hoạt động, một sự

kiện, một phương pháp hoặc một quá trình ngay cả khi những biện pháp đối phó rủi ro đã được áp dụng.

Các ngưỡng rủi ro chấp nhận của đơn vị sẽ thay đổi tuỳ thuộc vào việc nhận thức được tầm quan trọng của các rủi ro. Ví dụ, tổn thất tài chính có thể chấp nhận được có thể thay đổi phù hợp với quy mô của ngân sách, nguồn gốc của sự mất mát... Xác định các rủi ro chấp nhận được là một vấn đề chủ quan nhưng nó vẫn là một giai đoạn quan trọng trong việc xây dựng chiến lược rủi ro tổng thể.

 Phát triển các biện pháp đối phó rủi ro

Có bốn biện pháp đối phó với rủi ro: phân tán rủi ro, chấp nhận rủi ro, tránh né rủi ro và xử lý hạn chế rủi ro. Trong một số trường hợp có thể áp dụng biện pháp phân tán rủi ro, chấp nhận rủi ro hoặc tránh né rủi ro. Tuy nhiên, hầu hết các trường hợp rủi ro phải được xử lý và cần phải thực hiện cùng với việc duy trì một hệ thống kiểm soát nội bộ hiệu quả để giữ rủi ro ở mức có thể chấp nhận được.

Mục đích của việc xử lý không nhất thiết phải loại trừ hết rủi ro, nhưng nó phải có khả năng ngăn chặn các rủi ro. Các thủ tục được thiết lập để xử lý rủi ro được gọi là các hoạt động kiểm soát nội bộ. Đánh giá rủi ro nên đóng một vai trò quan trọng trong việc lựa chọn các hoạt động kiểm soát thích hợp để thực hiện. Lưu ý rằng nó không thể loại trừ tất cả các rủi ro và kiểm soát nội bộ chỉ có thể cung cấp một sự đảm bảo hợp lý rằng các mục tiêu của tổ chức đều đã đạt được. Tuy nhiên, các đơn vị nên chủ động xác định và quản lý rủi ro thì tốt hơn là để nó xảy ra rồi mới tìm cách ứng phó.

Trong việc thiết kế hệ thống kiểm soát nội bộ, điều quan trọng là các hoạt động kiểm soát được thiết lập phải tương xứng với rủi ro. Ngoài các kết quả không mong muốn, bình thường hoạt động kiểm soát được thiết kế đủ để cung cấp một sự đảm bảo hợp lý những tổn thất của tổ chức trong phạm vi rủi ro có thể chấp nhận được.

Khi các điều kiện về kinh tế, chính sách của nhà nước, công nghệ, luật pháp thay đổi sẽ làm rủi ro thay đổi thì việc đánh giá rủi ro nên thường xuyên xem xét lại để có sự đảm bảo rằng việc đối phó với rủi ro vẫn còn thích hợp để đạt được mục tiêu của tổ chức và kiểm soát hạn chế vẫn có hiệu lực dù rủi ro đã thay đổi theo thời gian.