Để hoàn thiện toàn diện hệ thống kiểm sốt nội bộ tại tập đồn, tác giả đã đề xuất một số giải pháp như đã nêu ở Chương 4. Tuy nhiên, để hệ thống kiểm soát nội bộ hoạt động có hiệu quả thì phải được thực hiện trong thời gian đủ dài. Ở đây, tác giả xin phép được đóng góp hồn thiện một trong số các quy trình mà hiện tại Tập đoàn chưa hoàn thiện. Và đây cũng được xem là phần hạn chế của bài luận văn.
Qua việc tìm hiểu thực trạng, phân tích, đánh giá hệ thống kiểm sốt nội bộ của Tập đoàn, tác giả cho rằng nguyên nhân cốt yếu dẫn đến hệ thống kiểm soát nội bộ tại tập đoàn hoạt động chưa hiệu quả là vì: Tập đồn thiếu các quy trình, quy định thuộc mơi trường kiểm sốt, vẫn chưa hồn thiện các quy trình về đánh giá rủi ro. Cụ thể là tập đoàn chưa xây dựng cơ chế rõ ràng để nhận diện rủi ro phát sinh từ các nhân tố tác động từ bên trong và bên ngồi tập đồn. Từ đó, tập đồn chưa xác định được loại rủi ro, đối tượng rủi ro, mức độ nghiêm trọng của rủi ro để có biện pháp xử lý kịp thời và phịng ngừa trước những rủi ro có thể xảy ra. Do đó, sau đây tác giả sẽ đi sâu vào làm hồn thiện quy trình nhận diện – đánh giá rủi ro và cơ hội tại Tập đoàn theo như cách tác giả đã đề cập đến các giải pháp chung ở Chương 4 cho 17 nguyên tắc của COSO nói chung và Nguyên tắc số 7 nói riêng: Xác định và phân tích rủi ro.
5.2.1. Mục đích
Quy trình này được thiết lập nhằm mục đích hướng dẫn cách thức phân tích các rủi ro tiềm ẩn và xác định những ảnh hưởng của các rủi ro tiềm ẩn trong các quy trình nghiệp vụ chung tại tập đoàn.
Thiết lập một bộ phận chuyên trách đảm nhiệm chức năng quản lý rủi ro trong doanh nghiệp.
5.2.2. Phạm vi áp dụng
- Đại diện lãnh đạo có trách nhiệm triển khai thực hiện, duy trì quy trình này. - Tất cả các phòng ban, bộ phận trong hệ thống quản lý chất lượng công việc.
5.2.3. Nội dung quy trình
5.2.3.1. Quyết định thành lập nhóm quản lý rủi ro
- Tập đồn thành lập nhóm quản lý rủi ro. Có thể thành lập nhiều nhóm quản lý rủi ro, các nhóm này có thể có những tên gọi khác nhau. Ví dụ như nhóm quản lý rủi ro đấu thầu, lập dự toán, quyết toán thầu, nhóm quản lý rủi ro thi cơng, nhóm quản lý rủi ro cơng tác giám sát xây dựng, nhóm quản lý rủi ro đầu tư tài chính, …
- Các thành viên tham gia nhóm quản lý rủi ro phải đến từ các bộ phận chức năng khác nhau, có kiến thức và kinh nghiệm chuyên môn liên quan đến lĩnh vực mình phụ trách.
- Quyết định thành lập nhóm phải nêu rõ chức năng hoạt động của nhóm, trách nhiệm và quyền hạn của trưởng nhóm cũng như của các thành viên.
5.2.3.2. Thu thập thông tin đầu vào cho đánh giá rủi ro
- Nhóm quản lý rủi ro thu thập và tổng hợp đầy đủ các dữ liệu đầu vào cho hoạt động đánh giá rủi ro. Các dữ liệu thu thập tổng hợp tối thiểu phải bao gồm: + Thông tin mô tả bối cảnh hoạt động của Công ty (các vấn đề bên ngoài và các vấn đề nội bộ)
+ Các thơng tin mơ tả q trình, hoạt động liên quan.
5.2.3.3. Thẩm tra xác nhận các thông tin đầu vào
- Trưởng nhóm quản lý rủi ro tổ chức các hoạt động thẩm tra tính chính xác của các dữ liệu đầu vào. Hoạt động thẩm tra phải bao gồm việc:
+ Kiểm tra tại hiện trường đối với các thơng tin mơ tả về tình trạng hoặc điều kiện của cơng ty/cơng trình thi cơng/nơi tổ chức chương trình.
+ Kiểm tra thông tin xác nhận của các bên quan tâm có liên quan, nếu cần thiết + Khẳng định các thơng tin thu thập được là có cơ sở khoa học, thực tiễn, phù hợp yêu cầu luật định,….
- Lập biên bản thẩm tra xác nhận tính chính xác của các dữ liệu đầu vào.
5.2.3.4. Phân tích mối nguy và đánh giá rủi ro
- Xác định các mối nguy – rủi ro trong phạm vi được đánh giá dựa trên các thông tin đầu vào đã được thẩm tra xác nhận.
- Các khía cạnh phân tích mối nguy và đánh giá rủi ro gồm: Các mối nguy liên quan đến sự không đáp ứng yêu cầu của khách hàng, chủ đầu tư, yêu cầu luật định
- Việc đánh giá rủi ro được thực hiện dựa trên hai khía cạnh: khả năng xảy ra và mức độ nghiêm trọng. Các tiêu chí đánh giá được mơ tả như sau:
Khả năng xảy ra rủi ro Điểm Mức độ nghiêm trọng của rủi ro 1- Luôn xảy ra trong mọi
tình huống;
5
1- Vi phạm nghiêm trọng các quy định pháp luật liên quan đến sản phẩm hoặc 2- Làm cơng ty rơi vào tình trạng mất khả năng kinh doanh liên tục.
1- Luôn xảy ra trong điều kiện bất thường, sự cố, hoặc 2- Thường xảy ra trong điều kiện bình thường
4
1- Gây ảnh hưởng nghiêm trọng khi vận hành cơng trình,
2- Khách hàng và/hoặc các bên quan tâm có liên quan khiếu nại đến mức bồi thường / đền bù
3- Làm cho cơng ty rơi vào tình trạng khó khăn trong việc duy trì kinh doanh liên tục. 1- Thường xảy ra trong điều
kiện bất thường, sự cố, hoặc 2- Ít khi xảy ra trong điều kiện bình thường
3
1- Gây ảnh hưởng đến việc nghiệm thu và đưa cơng trình vào sử dụng theo đúng cơng bố.
2- Khách hàng và/hoặc các bên quan tâm có liên quan khiếu nại nhưng chưa đến mức trả hàng hoặc bồi thường / đền bù.
3- Làm xáo trộn các hoạt động / sắp xếp của Công ty, gây ra các khó khăn trong việc kiểm sốt và điều hành
1- Ít khi xảy ra trong điều kiện bất thường hoặc sự cố, hoặc
2- Hiếm khi xảy ra trong
điều kiện bình thường, hoặc 2
1- Gây ảnh hưởng không đáng kể đến việc nghiệm thu và đưa cơng trình vào sử dụng theo đúng công bố.
2- Khách hàng và/hoặc các bên quan tâm có liên quan có thể đưa ra các khuyến nghị nhưng khơng phải là khiếu nại
3- Ảnh hưởng không đáng kể đến hình ảnh, uy tín, các hoạt động điều hành và kiểm sốt của Cơng ty
1- Hầu như không xảy ra
trong mọi tình huống 1 1- Hầu như khơng có ảnh hưởng gì
Bảng số 3.1: Tiêu chí đánh giá rủi ro
- Khi xem xét đánh giá về mức độ nghiêm trọng của rủi ro cần quan tâm đến: + Bản chất của mối nguy - rủi ro
+ Các tác động của chúng đối với việc sử dụng/vận hành an tồn cơng trình. + Các giới hạn chấp nhận bởi luật pháp, khách hàng và các bên quan tâm có liên quan.
- Chuẩn mực chấp nhận rủi ro được xác định như sau:
Mức rủi ro Tích điểm khả năng và mức độ nghiêm trọng / tác động
Cao Từ 8 điểm trở lên
- Tất cả các rủi ro đều phải có kế hoạch kiểm sốt và phải có các hướng dẫn, chương trình kiểm sốt cụ thể.
Trung bình Từ 4 đến dưới 8 điểm - Phải có các hướng dẫn, chương trình kiểm sốt chung
Thấp Nhỏ hơn 4 điểm - Khơng kiểm sốt
Bảng số 3.2: Chuẩn xác định rủi ro
5.2.3.5. Thiết lập các hành động đáp ứng rủi ro
- Thiết lập các biện pháp kiểm soát đối với tất cả các rủi ro được xác định ở mức cao. Các hành động kiểm soát phải nêu rõ:
+ Kiểm sốt cái gì
+ Kiểm sốt bằng cách nào + Ai kiểm soát (trách nhiệm)
+ Khi nào việc kiểm soát phải được thực hiện (tần suất)
- Các rủi ro trung bình: Thiết lập các chương trình kiểm sốt chung như các quy trình thao tác chuẩn SOP (Standard operating procedure) cho mỗi cơng việc của mỗi phịng ban hoặc các hướng dẫn công việc
5.2.3.6. Cập nhật hệ thống tài liệu
- Xây dựng/cập nhật hệ thống tài liệu & hồ sơ căn cứ trên kết quả đánh giá rủi ro và kết quả kiểm tra
- Các tài liệu và hồ sơ được thiết lập tn theo quy trình kiểm sốt tài liệu & quy trình kiểm sốt hồ sơ
5.2.3.7. Áp dụng hệ thống quản lý rủi ro
- Lập kế hoạch và thực hiện đào tạo, đào tạo cập nhật hệ thống quản lý rủi ro cho tất cả các nhân viên có liên quan, bao gồm cả các nhân viên mới. Việc đào tạo được thực hiện theo quy trình đào tạo nhân sự.
- Triển khai áp dụng chính xác các kế hoạch và chương trình quản lý rủi ro. - Thường xuyên theo dõi, kiểm tra và báo cáo các vấn đề liên quan đến hệ thống
quản lý rủi ro.
5.2.3.8. Xem xét hệ thống quản lý rủi ro
- Thực hiện xem xét hệ thống quản lý rủi ro tối thiểu mỗi năm một lần, hoặc khi có thay đổi về:
+ Nguồn vật tư xây dựng, nhà cung cấp VTXD, trang thiết bị nội thất và nguồn gốc
+ Thông tin khoa học kỹ thuật, các hướng dẫn của ngành, quy định pháp luật có liên quan:
+ Xuất hiện rủi ro mới
+ Thiết bị, máy móc thi cơng, quy trình làm việc, quy trình bảo quản vật tư, máy móc.
+ Tiêu chuẩn xây dựng cho các loại cơng trình nói chung: Khách sạn, biệt thự, căn hộ, tòa nhà chung cư, ….
+ Sau một sự cố, tình trạng khẩn cấp của cơng trình thi cơng - Các hoạt động xem xét bao gồm:
+ Xem xét kết quả thẩm tra định kỳ
+ Phân tích dữ liệu theo dõi và đo lường, các kết quả ngoài quy định + Phân tích và xem xét các tình huống khẩn cấp, sự cố, thu hồi và triệu hồi + Phân tích và xem xét các thông tin phản hồi của khách hàng, chủ đầu tư và các bên có liên quan, kể cả các khiếu nại.
- Các thay đổi có tác động đến hệ thống quản lý rủi ro được kiểm sốt theo quy trình kiểm sốt sự thay đổi.