2.2. Các yếu tố cấu thành kiểm soát nội bộ
2.2.2. Đánh giá rủi ro
Đánh giá rủi ro là một yếu tố của kiểm sốt nội bộ, được hiểu như một quy trình động và tác động lẫn nhau nhằm nhận diện và phân tích các rủi ro để đạt được các mục tiêu của tổ chức, hình thành nền tảng cho việc quản lý các rủi ro trong doanh nghiệp.
Đánh giá rủi ro có tác động mạnh và cùng chiều với hiệu quả hoạt động của doanh nghiệp. Do vậy, cần tăng cường đánh giá và kiểm soát rủi ro, chủ động trong việc nhận diện rủi ro, xây dựng quy trình đánh giá và phân tích các rủi ro đó, từ đó xây dựng các chiến lược để giảm thiểu tác hại của rủi ro đến hoạt động kinh doanh trong doanh nghiệp. Nhà quản lý cân nhắc những thay đổi có thể xảy ra của mơi trường bên ngồi cũng như bên trong tổ chức; những thay đổi này có thể cản trở khả năng đạt được các mục tiêu…
Quy trình đánh giá rủi ro trong một doanh nghiệp gồm các bước sau:
Bước 1: Thiết lập mục tiêu: Đây là giai đoạn nhà quản trị cần thống kê được tất cả những công việc, cá nhân tham gia thực hiện công việc trong một nghiệp vụ nhất định tại doanh nghiệp. Từ đó, nhà quản trị sẽ mơ tả được cơ cấu tổ chức, chức năng nhiệm vụ các phòng ban, thứ tự thực hiện của các quy trình.
Bước 2: Nhận diện các rủi ro: Tại mỗi bước công việc, nhà quản trị xác định nguy cơ có thể xảy ra rủi ro. Nguy cơ có thể từ những yếu tố bên trong như Cán bộ nhân viên doanh nghiệp gây ra, do máy móc, do quy trình, hoặc có thể từ những yếu tố bên ngồi doanh nghiệp như thay đổi thể chế, chính sách, ảnh hưởng của bão lụt, thiên nhiên ..vvv.
Bước 3: Đánh giá mức độ nghiêm trọng và khả năng xảy rủi ro: Căn cứ vào lịch sử hoạt động của doanh nghiệp, nhà quản trị xác định mức độ nghiêm trọng của rủi ro có thể xảy ra. Mức độ nghiêm trọng hay khả năng gây thiệt hại thường được phân chia theo 5 cấp độ (từ 1 đến 5). Giá trị thiệt hại của từng cấp độ có thể khác nhau và phụ thuộc vào đặc tính của doanh nghiệp.
Việc xác định khả năng xảy ra của một rủi ro cũng được nhà quản trị căn cứ dựa trên lịch sử hoạt động của doanh nghiệp. Thơng thường, các nguồn thơng tin có thể lấy từ các báo cáo kiểm toán, báo cáo kiểm soát nội bộ, biên bản kiểm tra, thanh tra trong và ngoài đơn vị. Khả năng xảy ra cũng được chia theo 5 cấp độ (từ 1: rất hiếm xảy ra tới 5: Thường xuyên xảy ra), cấp độ đánh giá khả năng xảy ra cũng phụ thuộc vào đặc tính riêng của từng doanh nghiệp.
Bước 4: Xác đinh cấp độ rủi ro: Sau khi xác định được mức độ nghiêm trọng và khả năng xảy ra, nhà quản trị xác định được cấp độ rủi ro bằng việc kết hợp hai yếu tố trên, tạo thành bảng ma trận 5*5 như sau:
Bảng 2.1: Bảng ma trận rủi ro trong doanh nghiệp
(Nguồn: https://lavan.com.vn)
Từ ma trận trên, có thể phân chia được 4 cấp độ khác nhau, đó là thấp 1~4 điểm, trung bình 5~8 điểm; cao 10 – 12 điểm và rất cao 15 ~ 25 điểm.
Bước 5: ứng phó với rủi ro
Sau khi xác định được các cấp độ rủi ro, doanh nghiệp cần thực hiện các biện pháp kiểm soát với mức độ ưu tiên dựa trên các cấp độ rủi ro khác nhau, biện pháp kiểm sốt có thể là thiết lập quy trình đánh giá rủi ro, hướng dẫn, biểu mẫu, quy định... Thông thường, để tối giản hệ thống chúng ta sẽ ưu tiên kiểm soát rủi ro cho các hoạt động ở mức độ rủi ro cao và rất cao, còn đối với các hoạt động có mức độ rủi ro trung bình thì chúng ta có thể xem xét tùy từng nhu cầu của doanh nghiệp, qua đó chúng ta có được danh mục tài liệu và các công việc cần được thực hiện dựa trên tiêu chí kiểm sốt rủi ro cho các hoạt động của doanh nghiệp.
Các biện pháp xử lý rủi ro trong doanh nghiệp:
Đối diện với những rủi ro của doanh nghiệp, nhà quản trị cần xem xét, đánh giá mức độ của các rủi ro. Đối với những rủi ro ít khả năng xảy ra và mức độ gây
hậu quả thấp, doanh nghiệp có thể lựa chọn chấp nhận rủi ro khi thực hiện. Những rủi ro có thể chuyển giao cho bên thứ ba, doanh nghiệp sẽ thực hiện chuyển giao rủi ro nhằm hạn chế tối đa ảnh hưởng của rủi ro tới hoạt động.
Ngoài ra, để đảm bảo mang lại lợi ích tối đa cho doanh nghiệp; các doanh nghiệp cần kết hợp thêm phương pháp đánh giá lợi ích. Tương tự như việc kiểm sốt rủi ro thì mục đích của hệ thống quản lý chất lượng cũng phải mang lại nhiều lợi ích cho doanh nghiệp như: Nâng cao chất lượng, rút ngắn tiến độ, giảm chi phí… thì doanh nghiệp cũng cần phải thực hiện biện pháp đánh giá lợi ích, để xem các tài liệu sẽ thiết lập ra có mang lại lợi ích xứng đáng khơng và lợi ích ở mức nào thì chúng ta cần thành lập tài liệu để kiểm sốt.
Phương pháp đánh giá lợi ích được thiết lập cũng giống như phương pháp, quy trình đánh giá rủi ro nhưng phương pháp này nhà quản trị chỉ đánh giá dựa trên 2 yếu tố đó là:
+ Lợi ích mang lại (kết hợp giữa các lợi ích về chất lượng, tiến độ và chi phí) + Tần suất lặp lại (bao lâu thực hiện công việc này 1 lần).
Tương tự như đánh giá rủi ro, nhà quản trị sẽ lập ra được ma trận lợi ích, các cấp độ của lợi ích và sau đó là kết hợp giữa cấp độ rủi ro và lợi ích, nhà quản trị sẽ thấy được các cơng việc nào thực sự cần thiết lập tài liệu để kiểm sốt. Có như vậy hệ thống tài liệu doanh nghiệp mới được thiết lập trên cơ sở khoa học và tinh gọn nhất.
Bảng 2.2: Bảng ma trận rủi ro – lợi ích trong doanh nghiệp
Phương pháp này còn được gọi là phương pháp cân bằng giữa rủi ro và lợi ích trong quản lý doanh nghiệp, được trình bày chi tiết trong cuốn “Cẩm nang xây dựng và vận hành hệ thống quản lý chất lượng”.
Bước 6: Chỉ định người thực hiện và theo dõi đánh giá: Sau khi hoàn thành các bước đánh giá trên, bảng đánh giá này sẽ được cấp quản lý cao nhất xem xét và phê duyệt, đồng thời chỉ định người thực hiện các biện pháp kiểm soát cũng như theo dõi đánh giá hiệu quả của công tác này.