2.1.1Khái niệm kiểm soát rủi ro
Theo COSO 2004 – một hệ thống theo chuẩn quốc tế về kiểm soát nội bộ theo hướng QTRR cho rằng: KSRR là việc sử dụng các chiến lược, các quy trình, công cụ, kỹ thuật... nhằm ngăn ngừa, né tránh hoặc giảm thiểu những thiệt hại của rủi ro có thể xảy ra đối với doanh nghiệp.[1]
Theo INTOSAI - một hệ thống kiểm soát nội bộ của Hoa Kỳ về ứng dụng kiểm soát nội bộ theo chuẩn quốc tế trong hoạt động công cho rằng: KSRR được thiết lập để đối phó với rủi ro. Hoạt động của tổ chức luôn phải đối mặt với nhiều rủi ro tiềm ẩn. KSNB có thể giúp tổ chức nhận diện, chủ động phòng ngừa và đối phó với những rủi ro này, qua đó tối đa hóa khả năng đạt được mục tiêu.[2]
2.1.2Phân loại rủi ro
Việc phân loại rủi ro đóng vai trò quan trọng trong việc hỗ trợ doanh nghiệp nhận diện được tác động liên hoàn của các rủi ro cùng loại và giúp doanh nghiệp xác định chiến lược, kế hoạch hay các hoạt động kinh doanh có thể bị ảnh hưởng.
Hiện nay chưa có một hệ thống phân loại rủi ro chuẩn nào được áp dụng đồng nhất cho tất cả loại hình doanh nghiệp, tuy nhiên nếu căn cứ vào nguồn gốc xuất phát rủi ro, có thể phân rủi ro thành 2 nhóm chính sau:
Các yếu tố rủi ro xuất phát từ bên ngoài bao gồm:
- Môi trường kinh tế: Gồm các sự kiện liên quan đến mặt bằng giá cả, nguồn
vốn có thể huy động, chi phí sử dụng vốn, tỷ lệ thất nghiệp, các đối thủ cạnh tranh mới,…
- Môi trường tự nhiên: Thiên tai, sự tác động của môi trường đến nhà xưởng,
- Các yếu tố chính trị: Các quy định mới của luật pháp, chính sách thuế, sự hạn chế của Nhà nước đối với các khu vực thị trường,..
- Các yếu tố xã hội: Tình trạng già/trẻ của dân số, phong tục tập quán, cấu
trúc gia đình, ưu tiên nghề nghiệp của dân chúng, các hoạt động khủng bố,…
- Sự tiến bộ của khoa học kỹ thuật: Các hình thức thương mại điện tử mới, sự
gia tăng nhu cầu về các dịch vụ kỹ thuật cao,…
Các yếu tố rủi ro xuất phát từ bên trong bao gồm:
- Cơ sở vật chất: Cơ sở vật chất hiện có để liên lạc với các trung tâm của đơn
vị, giảm thiểu thời hạn cung ứng các yếu tố đầu vào, cải thiện sự hài lòng cho khách hàng,..
- Nhân sự: Tai nạn lao động, gian lận của nhân viên, hiệu lực của hợp đồng
lao động, các hành động làm tổn hại đến tiền bạc và danh tiếng của đơn vị,…
- Các chu trình: Sự không phù hợp giữa chu trình công việc và các quy định
của nhà quản lý, các lỗi khi thực hiện các chu trình, thực hiện việc thuê ngoài khi chưa được xem xét thoả đáng,..
- Việc áp dụng khoa học kỹ thuật: Việc thay đổi máy móc, công nghệ để đáp
ứng về doanh thu, khối lượng; máy móc bị trục trặc, gian lận trong thực hiện công việc,..
2.1.3 Lợi ích và hạn chế của kiểm soát rủi ro
2.1.3.1 Lợi ích
Tăng cường tính phù hợp và thống nhất giữa lựa chọn chiến lược và mức
rủi ro có thể chấp nhận được:
Đối với mỗi chiến lược được lựa chọn, doanh nghiệp xem xét mức độ rủi ro có thể chấp nhận được cho từng chiến lược, trên cơ sở đó đơn vị có căn cứ xây dựng các mục tiêu cụ thể và xác định cách thức quản lý các rủi ro liên quan. Điều này tạo sự nhất quán trong việc quản lý và hướng các công việc hàng ngày theo mục tiêu ban đầu đã đề ra.
Giảm thiểu những tình huống bất ngờ trong quá trình hoạt động:
KSRR là một quy trình được thực hiện hàng ngày để xác định những vấn đề tiềm tàng trước khi nó trở thành một vấn đề nghiêm trọng. Từ đó, doanh nghiệp có thể nhận dạng vào những rủi ro trọng yếu, đánh giá khả năng xảy ra và ảnh hưởng có thể có, đưa ra phương thức phản ứng rủi ro và do đó luôn ở thế chủ động trong việc chuẩn bị nguồn lực để đối phó với rủi ro. Để đạt được điều đó, doanh nghiệp phải thiết lập những nguyên tắc và phương pháp để có được một hiểu biết tốt nhất về những yếu tố gây ra biến động trong doanh nghiệp và ghi nhận xu hướng chuyển động của thế giới.
Nhận diện và quản lý rủi ro xuyên suốt toàn doanh nghiệp:
Mỗi doanh nghiệp phải đối mặt với rất nhiều loại rủi ro tác động đến nhiều bộ phận khác nhau. Và KSRR đòi hỏi người quản lý không chỉ quản lý các rủi ro riêng biệt mà còn phải hiểu được sự tác động lẫn nhau của các rủi ro đó. Từ đó, giúp doanh nghiệp có cái nhìn hệ thống đối với các loại rủi ro và phản ứng hiệu quả hơn đối với rủi ro, phục vụ cho việc thực hiện mục tiêu tổng thể của doanh nghiệp.
Giúp việc quản trị doanh nghiệp hiệu quả hơn:
KSRR thông qua một hệ thống QTRR vững chắc với phương thức báo cáo và trao đổi thông tin rõ ràng sẽ giúp doanh nghiệp có thể thực hiện được những yêu cầu về quản trị của các bên hữu quan chủ chốt, tuân thủ đầy đủ những quy định nội bộ và bên ngoài. Ngoài ra, QTRR còn hỗ trợ cho chức năng kiểm toán, lập kế hoạch kiểm toán và giám sát hoạt động của doanh nghiệp nhằm nâng cao hiệu quả quản trị.
Giúp doanh nghiệp nắm bắt những cơ hội trong kinh doanh và ra quyết định
chính xác và kịp thời:
KSRR bao gồm thực hiện việc soát xét rủi ro mang tính tập trung vào những vấn đề quan trọng của doanh nghiệp như các chương trình về vốn, những sáng kiến về chiến lược, chuyển đổi loại hình doanh nghiệp…, do đó Ban giám đốc sẽ phân tích đúng đắn mối quan hệ giữa rủi ro và cơ hội, giúp doanh nghiệp nhận diện cơ hội và sẽ ra những quyết định chính xác và kịp thời.
Gia tăng hiệu quả đối với việc phản ứng với rủi ro và giảm thiểu sai sót trong mọi mặt hoạt động của doanh nghiệp:
KSRR cung cấp các kỹ thuật và phương pháp cụ thể trong việc nhận dạng và lựa chọn các phương thức phản ứng với rủi ro một cách hiệu quả nhất.
2.1.3.2 Hạn chế
Một hệ thống KSRR được xem là hữu hiệu, dù đã được thiết kế và vận hành thế nào đi chăng nữa, nhằm cung cấp một sự đảm bảo hợp lý trong việc thực hiện các mục tiêu của đơn vị chứ không đảm bảo tuyệt đối. Điều này xuất phát từ những hạn chế của hệ thống KSRR doanh nghiệp. Cụ thể như sau:
Rủi ro liên quan đến tương lai và chứa đựng yếu tố không chắc chắn. Một quy trình KSRR dù được đầu tư rất nhiều trong thiết kế cũng không thể nhận dạng hết toàn bộ các rủi ro và do đó không thể đánh giá chính xác sự tác động của chúng.
Những hạn chế xuất phát từ con người như: Việc ra quyết định sai do thiếu thông tin, bị áp lực trong sản xuất kinh doanh; sự vô ý, bất cẩn, đãng trí; hiểu sai chỉ dẫn của cấp trên hoặc báo cáo của cấp dưới; việc đảm nhận vị trí công việc tạm thời, thay thế cho người khác;…
Sự thông đồng giữa các nhân viên với nhau hay với các bộ phận bên ngoài đơn vị.
Khi đưa ra các quyết định, yêu cầu thường xuyên và trên hết là của người quản lý là xem xét quan hệ giữa chi phí bỏ ra và lợi ích thu được. Việc phản ứng với rủi ro và tiếp theo đó là các hoạt động giám sát cũng phải đảm bảo rằng lợi ích có được phải lớn hơn chi phí mà đơn vị bỏ ra.
Luôn có khả năng những người quản lý lạm quyền nhằm phục vụ cho các mưu đồ riêng.
2.2 Các yếu tố nhận diện rủi ro và kiểm soát rủi ro
Theo COSO năm 2004 và INTOSAI 2004, KSRR ra đời đã cung cấp một định nghĩa thống nhất, một cách hiểu chung nhất được chấp nhận rộng rãi về rủi ro
và KSRR thông qua hệ thống QTRR, hỗ trợ các nhà quản lý doanh nghiệp kiểm soát tốt hơn doanh nghiệp của mình.[1,2]
Tám yếu tố của QTRR bao gồm: Môi trường quản lý; Thiết lập mục tiêu, Nhận dạng sự kiện tiềm tàng, Đánh giá rủi ro; Phản ứng rủi ro; Các hoạt động kiểm soát; Thông tin, truyền thông và Giám sát. KSRR thông qua việc xây dựng hệ thống QTRR đang được xem là một xu hướng mới của nền kinh tế - một cách thức tốt nhất để đảm bảo nguồn lực bên trong và bên ngoài của doanh nghiệp được sử dụng một cách hữu hiệu và hiệu quả nhằm mục đích tối thiểu hóa rủi ro và tối đa hóa lợi nhuận.
2.2.1Môi trường quản lý
Môi trường quản lý phản ánh sắc thái chung của một đơn vị, chi phối ý thức của các thành viên trong đơn vị về rủi ro và đóng vai trò nền tảng cho các yếu tố khác của KSRR. Nó tạo nên cấu trúc và phương thức vận hành về quản trị rủi ro trong đơn vị.
Các nhân tố chính thuộc về môi trường quản lý là:
Triết lý của nhà quản lý về quản trị rủi ro:
Triết lý về quản trị rủi ro là quan điểm, nhận thức và thái độ của nhà quản lý, điều này tạo nên cách thức mà đơn vị tiếp cận với rủi ro trong tất cả các hoạt động, từ phát triển chiến lược đến các hoạt động hàng ngày. Triết lý quản lý phản ánh những giá trị mà đơn vị theo đuổi, tác động đến văn hoá và cách thức đơn vị hoạt động, và ảnh hưởng đến việc áp dụng các yếu tố khác của ERM bao gồm cách thức nhận dạng rủi ro, các loại rủi ro được chấp nhận và cách thức quản lý chúng.
Rủi ro có thể chấp nhận:
Là mức độ rủi ro mà xét trên bình diện tổng thể, đơn vị sẵn lòng chấp nhận để theo đuổi giá trị. Nó phản ánh triết lý về quản trị rủi ro của nhà quản lý cấp cao, và ảnh hưởng đến văn hoá, cách thức hoạt động của đơn vị. Rủi ro có thể chấp nhận được xem xét khi đơn vị xác định các chiến lược, ở đó lợi ích kỳ vọng của một chiến lược phải phù hợp với mức rủi ro có thể chấp nhận đã đề ra. Các chiến lược khác nhau sẽ dẫn đến những mức độ rủi ro khác nhau đối với đơn vị, một khi mức
rủi ro có thể chấp nhận được xác lập sẽ giúp ích cho nhà quản lý lựa chọn chiến lược nằm trong giới hạn chịu đựng đối với các loại rủi ro.
Hội đồng quản trị :
Đây là một bộ phận quan trọng và ảnh hưởng đến những yếu tố khác. Vai trò của Hội đồng quản trị được thể hiện ở việc giám sát ban quản lý trong việc lựa chọn chiến lược, lên kế hoạch và việc thực hiện nó. Các nhân tố được xem xét để đánh giá sự hữu hiệu của Hội đồng quản trị gồm mức độ độc lập, kinh nghiệm và uy tín của các thành viên, và mối quan hệ giữa họ với bộ phận kiểm toán nội bộ và kiểm toán độc lập. Cho dù trong lịch sử đơn vị chưa phải gánh chịu những tổn thất, cho dù chưa có bằng chứng hay dấu hiệu nào cho thấy đơn vị phải đối mặt với những rủi ro quan trọng, thì Hội đồng quản trị cũng không nên suy nghĩ rằng rủi ro sẽ không xảy đến. Phải luôn ý thức rằng, cho dù có một chiến lược hay, đội ngũ nhân sự lành nghề, chu trình được thiết kế khoa học và kỹ thuật áp dụng là đáng tin cậy thì đơn vị vẫn phải đối mặt với tổn hại từ các loại rủi ro và việc quản trị rủi ro vẫn rất cần thiết.
Tính chính trực và các giá trị đạo đức:
Sự hữu hiệu của hệ thống quản trị rủi ro trước tiên phụ thuộc vào tính chính trực và việc tôn trọng các giá trị đạo đức của những người có liên quan đến quá trình quản trị rủi ro. Để đáp ứng yêu cầu này, các nhà quản lý cấp cao phải xây dựng những chuẩn mực về đạo đức trong đơn vị và cư xử đúng đắn để ngăn cản không cho các thành viên có các hành vi thiếu đạo đức hoặc phạm pháp. Muốn vậy, những nhà quản lý, đặc biệt là giám đốc điều hành (CEO) cần phải làm gương cho cấp dưới trong việc tuân thủ các chuẩn mực đạo đức và phổ biến những quy định đến mọi thành viên bằng những thể thức thích hợp. Một cách khác để nâng cao tính chính trực và sự tôn trọng các giá trị đạo đức là phải loại trừ hoặc giảm thiểu những sức ép hoặc điều kiện có thể dẫn đến nhân viên có thể có những hành vi thiếu trung thực. Ví dụ, gian lận trong các báo cáo có thể xuất phát từ việc nhân viên bị ép buộc phải thực hiện các mục tiêu phi thực tế của nhà quản lý. Hành động không
đúng của nhà quản lý có thể phát sinh khi quyền lợi của nhà quản lý lại gắn chặt với số liệu trên báo cáo,..
Đảm bảo về năng lực:
Là đảm bảo cho nhân viên có được những kỹ năng và hiểu biết cần thiết để thực hiện được nhiệm vụ của mình, nếu không họ sẽ không thực hiện nhiệm vụ được giao hữu hiệu và hiệu quả. Do đó, nhà quản lý chỉ tuyển dụng những nhân viên có trình độ đào tạo và kinh nghiệm phù hợp với nhiệm vụ được giao, và phải giám sát và huấn luyện họ đầy đủ và thường xuyên.
Cơ cấu tổ chức:
Là sự phân chia quyền hạn và trách nhiệm của các bộ phận trong đơn vị, góp phần quan trọng trong việc thực hiện các mục tiêu. Nói cách khác, cơ cấu phù hợp sẽ là cơ sở cho việc lập kế hoạch, điều hành, kiểm soát và giám sát các hoạt động của đơn vị. Vì vậy, khi xây dựng một cơ cấu tổ chức phải xác định được các vị trí then chốt với các quyền hạn, trách nhiệm với các thể thức báo cáo cho phù hợp. Tuy nhiên, điều này còn phụ thuộc vào quy mô và tính chất hoạt động của đơn vị. Cho dù với bất cứ loại hình cơ cấu nào đều phải đảm bảo hệ thống quản trị rủi ro hoạt động hữu hiệu và các hoạt động được tiến hành để đạt mục tiêu mà đơn vị đề ra.
Cách thức phân định quyền hạn và trách nhiệm:
Phân định quyền hạn và trách nhiệm được xem là phần mở rộng của cơ cấu tổ chức. Nó cụ thể hoá quyền hạn và trách nhiệm của từng thành viên và từng nhóm thành viên trong đơn vị, giúp cho mỗi thành viên và nhóm hiểu rằng họ có nhiệm vụ cụ thể gì và từng hoạt động của họ có ảnh hưởng như thế nào đối với những nhóm hay thành viên khác trong việc hoàn thành mục tiêu. Do đó, khi mô tả công việc, đơn vị cần phải thể chế hoá bằng văn bản về những nhiệm vụ và quyền hạn cụ thể của từng thành viên và nhóm thành viên, và quan hệ giữa họ với nhau.
Chính sách nhân sự:
Là các chính sách và thủ tục của nhà quản lý về việc tuyển dụng, huấn luyện, bổ nhiệm, đánh giá, sa thải, khen thưởng, kỷ luật nhân viên. Chính sách nhân sự có
ảnh hưởng đáng kể đến sự hữu hiệu của môi trường quản lý thông qua tác động đến những nhân tố khác trong môi trường quản lý như đảm bảo về năng lực, tính chính trực,…
2.2.2Thiết lập mục tiêu
Các mục tiêu được thiết lập đầu tiên ở cấp độ chiến lược, từ đó đơn vị xây dựng bốn mục tiêu tổng quát: Chiến lược, hoạt động, báo cáo, và tuân thủ. Việc thiết lập các mục tiêu của đơn vị là điều kiện đầu tiên để nhận dạng, đánh giá và phản ứng với rủi ro.
Các mục tiêu chiến lược: Là những mục tiêu cấp cao của đơn vị, các mục