COSO 2004 cung cấp các cách thức phản ứng đa dạng và đề xuất chu trình để đơn vị phản ứng với các rủi ro. Sau khi đã đánh giá các rủi ro liên quan, đơn vị xác định các cách thức để phản ứng với các rủi ro đó. Các cách thức để phản ứng với rủi ro bao gồm:
Né tránh rủi ro: khơng thực hiện các hoạt động mà có rủi ro cao như sản xuất một mặt hàng mới, giảm doanh số ở một số khu vực của thị trường, bán bớt một số ngành hàng hoạt động,…
Giảm bớt rủi ro: các hoạt động nhằm làm giảm thiểu khả năng xuất hiện hoặc mức độ tác động của rủi ro hoặc cả hai. Các hoạt động này liên quan đến việc điều hành hàng ngày.
Chuyển giao rủi ro: Làm giảm thiểu khả năng xuất hiện và mức độ tác động của rủi ro bằng cách chuyển giao hoặc chia sẽ một phần rủi ro. Các kỹ thuật này bao gồm: mua bảo hiểm cho tổn thất, sử dụng các cơng cụ về tài chính để dự phịng cho tổn thất, các hoạt động th ngồi,…
Chấp nhận rủi ro: đơn vị khơng làm gì cả đối với rủi ro.
Né tránh rủi ro được sử dụng khi các phản ứng khác không thể làm giảm khả năng xảy ra của sự kiện hoặc tác động của sự kiện đó xuống mức có thể chấp nhận. Giảm thiểu rủi ro và chuyển giao rủi ro được sử dụng để làm giảm rủi ro kiểm soát xuống mức phù hợp với từng rủi ro có thể chấp nhận. Chấp nhận rủi ro khi rủi ro tiềm tàng nằm trong phạm vi của rủi ro có thể chấp nhận.
Một chu trình phản ứng với rủi ro bao gồm các bước sau:
Xác định các phản ứng: khi lựa chọn một phương án phản ứng với rủi ro, cần điều tra và phân tích các khía cạnh sau:
- Ảnh hưởng của phản ứng của đơn vị đến khả năng và tác động của rủi ro, và phản ứng nào nằm trong phạm vi của rủi ro bộ phận.
- Lợi ích và chi phí của từng loại phản ứng
- Cơ hội có thể có đối với việc thực hiện mục tiêu chung của đơn vị khi phản ứng với các rủi ro cụ thể.
Lựa chọn phản ứng: sau khi đã đánh giá các phản ứng khác nhau đối với rủi ro, đơn vị quyết định phải quản lý rủi ro như thế nào, lựa chọn phản ứng để đối phó với rủi ro trong phạm vi rủi ro bộ phận, lưu ý rằng phản ứng được lựa chọn khơng phải là phản ứng có rủi ro kiểm sốt nhỏ nhất. Tuy nhiên, khi rủi ro kiểm soát vượt ra khỏi giới hạn của rủi ro bộ phận, đơn vị cần phải xem xét lại phản ứng đã chọn, hoặc trong một số trường hợp thì đơn vị có thể điều chỉnh lại rủi ro bộ phận đã được thiết lập trước đây.
Khi lựa chọn phản ứng cần phải xem xét các rủi ro tiếp theo phát sinh từ việc áp dụng phản ứng đó. Điều này phát sinh một chu trình kế tiếp và đơn vị phải xem xét tiếp rủi ro trước khi đưa ra quyết định cuối cùng. Việc mở rộng xem xét rủi ro theo từng cấp bậc kế tiếp giúp đơn vị nhìn nhận hết các rủi ro từ đó có thể quản lý tốt hơn và có những chiến lược dài hạn cho các tình huống.
1.2.3.6 Hoạt động kiểm soát
Các hoạt động kiểm sốt bao gồm các chính sách và thủ tục được thực hiện bởi các nhân viên liên quan, nhằm đảm bảo các chính sách, chỉ thị của nhà quản lý về phản ứng với rủi ro được thực hiện. Các hoạt động kiểm sốt có thể được phân loại tuỳ thuộc vào mục tiêu của đơn vị mà hoạt động kiểm sốt có liên quan như: chiến lược, hoạt động, báo cáo và tuân thủ.
Theo nội dung thực hiện thì hoạt động kiểm sốt được thực hiện tại đơn vị bao gồm: kiểm soát cấp cao, kiểm sốt các hoạt động chức năng, kiểm sốt q trình xử lý thơng tin và nghiệp vụ, kiểm sốt vật chất, hoạt động phân tích sốt xét lại, phân chia trách nhiệm. Nội dung của các hoạt động này tương tự như COSO 1992.
1.2.3.7 Thông tin và truyền thông
Thông tin và cách thức truyền thông là yếu tố không thể thiếu để đơn vị nhận dạng các sự kiện tiềm tàng, đánh giá và phản ứng với rủi ro. COSO 2004 nhấn mạnh chất lượng thông tin trong điều kiện sự phát triển mạnh mẽ của khoa học về công nghệ thông tin hiện nay và nội dung thông tin phải gắn liền với việc quản lý các rủi ro tại đơn vị. Thông tin phải được cung cấp cho những người liên quan theo những cách thức và thời gian thích hợp để họ có thể thực hiện q trình quản trị rủi ro và những nhiệm vụ liên quan.
Để thông tin phục vụ cho quá trình quản trị các rủi ro liên quan đến đơn vị, thông tin cần đạt những yêu cầu sau đây:
- Gắn với quá trình quản trị rủi ro.
- Phát triển hệ thống thơng tin tích hợp
Để làm tăng chất lượng thơng tin, đơn vị cần một chương trình quản lý dữ liệu trên toàn đơn vị, bao gồm các yêu cầu về thơng tin, việc duy trì truyền tải thơng tin. Nếu không hệ thống thông tin sẽ không cung cấp được những gì mà các cấp quản lý và những người khác cần để thực hiện các chức năng nhiệm vụ liên quan đến quá trình quản trị rủi ro.
1.2.3.8 Giám sát
Đây là bộ phận cuối cùng của hệ thống quản trị rủi ro doanh nghiệp. Giám sát là quá trình người quản lý đánh giá vai trò, nhiệm vụ của những người liên quan đến các yếu tố trong hệ thống quản trị rủi ro trong quá trình thực hiện.
Để đạt kết quả tốt, đơn vị cần thực hiện các hoạt động giám sát thường xuyên và đánh giá định kỳ. Các nội dung này tương tự như COSO 1992.