7. Ý nghĩa khoa học của đề tài
1.3.2. Xác định các mục tiêu
Nhằm mục đích phát triển hệ thống KSNB theo hướng QTRR, COSO phân chia hệ thống mục tiêu của doanh nghiệp thành mục tiêu chiến lược, mục tiêu có liên quan và các mục tiêu chi tiết. Các nhóm mục tiêu có thể hỗ trợ hoặc chồng lắp nhau.
Các mục tiêu chiến lược: xác định theo sứ mệnh hoặc tầm nhìn của doanh nghiệp, thể hiện cách ứng xử của doanh nghiệp trước những thay đổi quan trọng, đến lợi thế, năng lực cạnh tranh và các vấn đề xã hội. Các mục tiêu này thường tập trung vào yếu tố bên ngoài lẫn bên trong doanh nghiệp, xác định hướng phát triển dài hạn và định hướng phân bổ nguồn lực trong doanh nghiệp.
Các mục tiêu có liên quan: đây là các mục tiêu được phát triển mục tiêu chiến lược nhằm khớp nối chiến lược với các hoạt động của doanh nghiệp gồm:
Mục tiêu hoạt động: liên quan đến hiệu quả và hiệu suất của hoạt động tại doanh nghiệp, phản ánh hoạt động kinh doanh cụ thể, các tiêu chí của mục tiêu có thể đo lường được, định hướng cho việc phân bố và bảo vệ nguồn lực.
Mục tiêu báo cáo: cần đảm bảo tính đáng tin cậy, đầy đủ và chính xác của các báo cáo nhằm cung cấp thông tin cho việc ra quyết định và hoạt động giám sát của nhà quản trị cũng như bảo vệ doanh nghiệp khỏi nguy cơ pháp lý khi cung cấp thông tin ra bên ngoài theo quy định của pháp luật.
Mục tiêu tuân thủ: liên quan đến việc tuân thủ pháp luật và các quy định (đặt biệt là các quy định phụ thuộc vào môi trường bên ngoài) của doanh nghiệp.
19
Các mục tiêu chi tiết thường được thiết lập với các chủ đề cụ thể nhằm truyền thông cho cả bên ngoài lẫn bên trong doanh nghiệp.
Thiết lập hệ thống mục tiêu là điều kiện tiên quyết để nhận diện, đánh giá và ứng xử rủi ro hiệu quả. Các mục tiêu cần phải phù hợp với loại hình và rủi ro có thểchấp nhậnđược và sức chịu đựng rủi ro của doanh nghiệp.
1.3.3. Nhận dạng biến cố.
Biến cố là một sự cố xảy ra bắt nguồn từ các yếu tố bên trong (cơ sở vật chất, nhân sự, chu trình, áp dụng khoa học kỹ thuật,..) hoặc bên ngoài (môi trường kinh tế, môi trường tự nhiên, các yếu tố chính trị, công nghệ...) ảnh hưởng đến việc thực hiện chiến lược và đạt mục tiêu của doanh nghiệp, đó có thể là rủi ro hoặc cơ hội cho doanh nghiệp.
Khi nhận diện các biến cố, các nhà quản trị cần xem xét tất cả cácbiến cố tiềm ẩn từ các yếu tố bên trong và bên ngoài doanh nghiệp. Từ đó, các nhà quản trị tiến hành đánh giáảnh hưởng của các biến cố, cần xây dựng biện pháp đối phó nếu ảnh hưởng tiêu cực đến việc thực hiện mục tiêu, nếu ảnh hưởng tích cực thì cân nhắc điều chỉnh chiến lược và hệ thống mục tiêu. Việc nhận diện biến cố cần được thực hiện ở cả cấp độ doanh nghiệp và cấp độ hoạt động.
Các biến cố không xuất hiện tách biệt, thông thuờng một biến cố này sẽ kích hoạt biến cố khác hoặc các biến cố cùng đồng thời xuất hiện, điều này đòi hỏi các nhà quản trị cần phải xác định và đánh giá mối quan hệ giữa các biến cố để việc QTRR được định hướng tốt nhất.
Hiện nay, có nhiều phương pháp để nhận diện các biến cố như phỏng vấn chuyên gia liên quan đến vấn đề, động não, Delphi, kỹ thuật nhóm được chỉ định, miếng giấy nhỏ của Crawford… Doanh nghiệp cần lựa chọn phương pháp phù hợp với điều kiện và tính chất của biến cố.
Để có được quá trình nhận diện biến cố hiệu quả, ban quản trị cần phải xác định các rủi ro theo nguồn gốc phát sinh, phân loại rủi ro theo hệ thống chi tiết nhất quán, xác định rủi ro theo viễn cảnh, thu thập dữ liệu một cách phù hợp, xác định tần suất và độ nghiêm trọng một cách rõ ràng.
20
1.3.4. Đánh giá rủi ro.
Đánh giá rủi ro là quá trình phân tích sự ảnh hưởng của các rủi ro đến việc thực hiện mục tiêu, là cơ sở để xác định cách thức quản trị các rủi ro nêu trên. Việc đánh giá các sự kiện được thực hiện trên hai khía cạnh là khả năng xảy ra và mức độ ảnh hưởng.
Khung cảnh đánh giá rủi ro gồm sự ảnh hưởng và mức độ tác động của các yếu tố bên ngoài và bên trong đến việc thực hiện mục tiêu của doanh nghiệp.Nhà quản trị cần phải đánh giá rủi ro của cả biến cố kỳ vọng (được dự kiến) lẫn biến cố không kỳ vọng. Ảnh hưởng của biến cố không kỳ vọng cần được xem xét một cách hợp lý và liên tục. Việc đánh giá rủi ro cần kết hợp công cụ định tính và định lượng, trên cơ sở vốn có (không thể thay đổi khả năng xảy ra hay mức độ ảnh hưởng) và phần còn lại (rủi ro còn tồn tại sau khi đã thực hiện biện pháp đối phó).
1.3.5 Đối phó với rủi ro.
Đối phó với rủi ro là quá trình phát triển các lựa chọn và những hành động để củng cố cơ hội, giảm thiểu rủi ro đối với việc đạt được mục tiêu của tổ chức. Mục tiêu của việc đối phó với rủi ro là nhằm thay đổi tổn thất tiềm ẩn hoặc tận dụng cơ hội tiềm năng.
Khi lựa chọn cách thức đối phó với rủi ro, các nhà quản trị cần phải xác định rủi ro là nguy cơ hay cơ hội, đánh giá khả năng xảy ra, mức độ ảnh hưởng của rủi ro, lợi ích và chi phí cũng như đảm bảo rủi ro còn lạicủa cách thức được lựa chọn nằm trong phạm vi sức chịu đựng rủi ro của doanh nghiệp.
Đối phó với nguy cơ, nhà quản trị có thể chọn các chiến lược như: loại bỏ rủi ro (thay đổi kế hoạch dự án hoặc nới lỏng mục tiêu liên quan), chuyển giao rủi ro (mua bảo hiểm, thuê ngoài,…), giảm thiểu rủi ro, chấp nhận rủi ro. Đối phó với rủi ro là cơ hội, nhà quản trị có thể khai thác cơ hội (lựa chọn dự án tốt hơn, giao việc cho người có năng lực tốt hơn,…), tăng cường khả năng xảy ra cũng như mức độ ảnh hưởng của biến cố, hợp tác với bên thứ ba để chia sẻ cơ hội và bổ sung lợi thế cho doanh nghiệp.
21
trên quan điểm toàn diện và quan điểm danh mục rủi ro.
Quan điểm toàn diện yêu cầu: nhà quản trị không chỉ tập trung vào giảm thiểu rủi ro mà còn xem xét các cơ hội mới cũng như những rủi ro mới của doanh nghiệp hoặc của ngành; xem việc lựa chọn phương án đối phó rủi ro là một quá trình; phương án hiệu quả không nhất thiết phải có mức rủi ro còn lại thấp nhất và có những trường hợp cần phải xem xét lại sức chịu đựng rủi ro của doanh nghiệp.
Quan điểm danh mục rủi ro yêu cầu: nhà quản trị cần xác định đặc trưng của những rủi ro còn lạikhớp với mức độ rủi ro tổng thể và liên quan đến mục tiêu của doanh nghiệp; các rủi ro riêng lẻ có thể nằm trong phạm vi sức chịu đựng của rủi ro nhưng khi kết hợp lại có thể vượt quá mức độ rủi ro trên toàn doanh nghiệp.
1.3.6 Hoạt động kiểm soát.
Hoạt động kiểm soátlà tập hợp các chính sách và thủ tục được thiết kế nhằm đảm bảo việc đạt được mục tiêu và việc chú trọng đến hệ thống KSNB một cách hợp lý. Hoạt động này luôn tồn tại và bao trùm lên tất cả các cấp độ trong tổ chức, đảm bảo hoạt động QTRR được tiến hành và được thực hiện cho bốn nhóm mục tiêu: chiến lược, hoạt động, báo cáo và tuân thủ.
Căn cứ theo yêu cầu và chức năng KSNB, hoạt động kiểm soát được chia thành năm loại: kiểm tra ngăn ngừa, kiểm tra bảo vệ, kiểm tra bằng tay, kiểm tra bằng máy tính, kiểm tra quản trị.
Nhà quản trị cần xác định các hoạt động kiểm soát phù hợp để đảm bảo các cách thức đối phó với rủi ro được tiến hành hợp lý và đúng lúc.
1.3.7. Thông tin và truyền thông.
Trong QTRR doanh nghiệp, thông tin rất cần thiết để thực hiện việc xác định, đánh giá và đối phó với rủi ro hướng đến việc đạt mục tiêu của doanh nghiệp. Nhà quản trị cần một lượng thông tin liên quan đến một hoặc một nhóm mục tiêu, thông tin về các hoạt động bên trong hoặc bên ngoài doanh nghiệp, thông tin tài chính hoặc phi tài chính… Các nhà quản trị cần phải xác định, xử lý khối lượng lớn thông tin nhận được thành thông tin hữu ích cũng như tìm kiếm các nguồn cung cấp thông tin tối cần thiết (như họp mặt khách hàng, nhà cung cấp, tham gia các hiệp
22
hội nghề nghiệp hoặc tham gia các diễn đàn liên quan đến ngành nghề kinh doanh…).Vì vậy, doanh nghiệp cần xây dựng một hệ thống thông tin đạt các yêu cầu như linh hoạt và hội nhập một cách hiệu quả với các đối tác, gắn kết các lĩnh vực hoạt động của doanh nghiệp để cung cấp thông tin cho nhà quản trị kịp thời và hiệu quả, chiều sâu và thời gian của thông tin tương thích với nhu cầu về nhận diện, đánh giá, đối phó với rủi ro và phạm vi sức chịu đựng rủi ro của tổ chức, kiểm soát được chất lượng thông tin của doanh nghiệp.
Truyền thông gắn liền với hệ thống thông tin, là những ứng xử đối với những kỳ vọng và nhiệm vụ và những vấn đề quan trọng khác trong tổ chức. Doanh nghiệp cần có một hệ thống truyền thông hiệu quả bao gồm truyền thông nội bộ và truyền thông ra bên ngoài nhằm tăng tính hiệu quả của việc QTRR. Vì vậy, doanh nghiệp cần lựa chọn các phương tiện truyền thông phù hợp với đặc điểm hoạt động động của mình. Các phương tiện truyền thông không chỉ bao gồm các sổ tay về chính sách, các bản ghi nhớ, email, bảng thông báo,… mà còn là cách ứng xử của nhà quản trị đối với cấp dưới.
1.3.8. Giám sát.
Giám sát là quá trình thực hiện các kiểm tra, đánh giá liên tục và độc lập cũng như báo cáo về kết quả và những khiếm khuyết cần khắc phục nhằm đạt các mục tiêu đã đề ra của tổ chức. Khi môi trường kinh doanh hoặc mục tiêu của doanh nghiệp thay đổi do các nguyên nhân khách quan (như thay đổi cơ cấu tổ chức, thay đổi nhân sự, quy trình kinh doanh…), quá trình giám sát giúp ban quản trị xác định được các chức năng của các thành phần thuộc hệ thống QTRR vận hành hiệu quả hay không.
Hoạt động giám sát gồm hai hình thức là giám sát liên tục và đánh giá riêng biệt. Hoạt động giám sát liên tục được thiết lập trong các hoạt động tác nghiệp bình thường liên tục, tuần hoàn giúp doanh nghiệp có được những thông tin phản hồi liên tục vè tính hiệu quả của các thành phần của hệ thống QTRR.Hoạt động giám sát liên tục mang lại nhiều hiệu quả hơnhoạt động đánh giá riêng biệt nhờ những hoạt động tiền kiểm tra và kiểm tra ngăn ngừa. Tuy nhiên, khi chiến lược, các quá trình
23
chủ yếu hoặc cơ cấu tổ chức thay đổi, nhà quản trị cần thực hiện các hoạt động giám sát ngay tức thì nhằm phát hiện các vấn đề nhanh hơn. Hai hình thức giám sát nêu trên cần được sử dụng kết hợp để đảm bảo hệ thống QTRR luôn duy trì được tính hiệu quả.
Ngoài ra, những khiếm khuyết của hoạt động QTRR cần được báo cáo đầy đủ, kịp thời cho các cấp quản trị phù hợp để củng cố việc QTRR và tăng khả năng đạt được mục tiêu của doanh nghiệp.
1.4. Quản trị rủi ro và vai trò của hệ thống kiểm soát nội bộ đối với vấn đề quản trị rủi ro trong doanh nghiệp.
1.4.1. Khái niệm về quản trị rủi ro.
Theo COSO, QTRR doanh nghiệp là một quá trình chịu sự tác động của HĐQT, ban điều hành và những người khác trong doanh nghiệp, được áp dụng từ việc xây dựng chiến lượcvà xuyên suốt trong tổ chức, được thiết lập để nhận diện biến cố có khả năng tác động đến doanh nghiệp đồng thời để quản lý các rủi ro nằm trong phạm vi mức độ rủi ro của doanh nghiệp và các đảm bảo hợp lý việc đạt được các mục tiêu đã đặt ra.
1.4.2. Phân loại rủi ro.
Căn cứ theo tính khách quan:
Rủi ro chủ quan: là ước tính của một cá nhân về rủi ro, vì vậy chịu tác động của trình độ học vấn, kinh nghiệm của cá nhân đó.
Rủi ro khách quan: thường định lượng được bằng cách thống kê số liệu để ước tính sự sai lệch của kết quả thực tế so với kế hoạch.
Căn cứ theo phạm vi ảnh hưởng:
Rủi ro cơ bản: phát sinh từ nguyên nhân ngoài tầm kiểm soát, gây hậu quả nghiêm trọng và không thể đa dạng hóa.
Rủi ro riêng biệt: xuất phát từ các biến cố chủ quan của từng cá nhân (tổ chức) và chỉ tác động đến một cá nhân (tổ chức) nhất định. Loại rủi ro này có thể đa dạng hóa.
24
Rủi ro tĩnh: do tác động từ những thay đổi của môi trường tự nhiên tạo ra, là nguồn gốc của rủi ro thuần túy.
Rủi ro động: do những thay đổi của nền kinh tế, chính trị và pháp luật gây ra.
Căn cứ theo phạm vi xuất hiện rủi ro:
Rủi ro hệ thống: loại rủi ro gắn liền với môi trường kinh doanh, chính trị và pháp luật vì vậy không có khả năng được đa dạng hóa.
Rủi ro cụ thể: loại rủi ro gắn liền với hoạt động sản xuất kinh doanh hoặc lĩnh vực hoạt động khác của doanh nghiệp nên có thể được đa dạng hóa.
Căn cứ theo COSO:
Rủi ro chiến lược: phát sinh từ những quyết định nền tảng của HĐQT thực hiện liên quan đến mục tiêu của tổ chức.
Rủi ro hoạt động: phát sinh từ quá trình nội bộ thiếu sót hoặc thất bại, do tác động của con người, hệ thống hay những biến cố bên ngoài.
Rủi ro về báo cáo tài chính: là rủi ro xảy ra khi các hồ sơ, tài liệu cung cấp ra bên ngoài theo qui định của pháp luật, theo thỏa thuận hoặc cam kết chứa đựng thông tin sai sót và không đáng tin cậy.
Rủi ro tuân thủ: là rủi ro phát sinh tù việc không tuân thủ luật pháp, các qui định, tiêu chuẩn, chính sách nội bộ và sự kỳ vọng của các đối tượng hữu quan (khách hàng, nhà cung cấp, nhân viên,…).
25
1.4.3. Quy trình quản trị rủi ro doanh nghiệp.
(Nguồn: Giáo trình QTRR doanh nghiệp)
Sơ đồ 1.1: Quá trình QTRR doanh nghiệp
Quá trình QTRR gồm sáu bước, có tính liên tục:
Bước 1: Xác định chiến lược và các mục tiêu của doanh nghiệp, từ đó tạo nền tảng cho các bước tiếp theo.
Bước 2: Nhận diện biến cố nhằmphát hiện các sự kiện có thể ảnh hưởng đến việc thực hiện chiến lược và mục tiêu của doanh nghiệp, phân nhóm biến cốvà xác định là nguy cơ hay cơ hội để tiến hành quản lývà phân cấp rủi ro, bao gồm rủi ro cấp doanh nghiệp và rủi ro cấp bộ phận.
Bước 3: Đánh giá rủi ro trên hai khía cạnh là khả năng xảy ra và mức độ ảnh hưởng của các rủi ro. Đồng thời, nhà quản trị cần xem xét các biện pháp kiểm soát rủi ro.
Bước 4: Đối phó với rủi ro đảm bảo rủi ro còn lại nằm trong phạm vi mức độ rủi ro của doanh nghiệp. Căn cứ vào kết quả của bước nhận diện biến cố (nguy cơ hay cơ hội) và đánh giá rủi ro, nhà quản trị lựa chọn các chiến lược đối phó phù hợp.
1. Xác định chiến lược và các mục tiêu 2. Nhận diện biến cố 3. Đánh giá rủi ro 4. Đối phó với rủi ro 5. Các hoạt động kiểm tra 6. Truyền thông và giám sát
26
Bước 5: Thực hiện các hoạt động kiểm tra đảm bảo các hoạt động đối phó với rủi ro được thực hiện.
Bước 6: Truyền thông và giám sát. Truyền thông gắn liền với hệ thống thông tin của tổ chức giúp các cá nhân trong đó thực hiện nhiệm vụ của họ. Thực hiện giám sát nhằm đảm bảo các bước trên tồn tại và thực hiện đúng chức năng. Bên cạnh đó, việc báo cáo các khuyết điểm là một phần của thành phần giám sát, giúp nhà quản trị chú ý đến các điểm yếu kém hoặc tiềm năng nhằm tăng khả năng đạt mục tiêu của doanh nghiệp.
Sau khi thực hiện truyền thông và giám sát, nhà quản trị tiếp tục thực hiện