3.2.1. Những kiến nghị về phía doanh nghiệp
3.2.1.2 Kiến nghị đối với doanh nghiệp có quy mơ lớn
Kiến nghị 1: Nâng cao mơi trường quản lý, hồn thiện cơ cấu tổ chức và phân chia quyền hạn trách nhiệm:
Môi trường quản lý tạo ra sắc thái chung cho toàn doanh nghiệp, đặc biệt ở doanh nghiệp có quy mơ lớn - nơi mỗi người tiến hành các hoạt động và thực hiện nghĩa vụ kiểm sốt của mình. Chính mơi trường quản lý sẽ làm nền tảng cho các thành phần khác của hệ thống KSNB và KSRR, và chi phối ý thức các thành viên trong doanh nghiệp khi tham gia vào hệ thống. Do đó, để KSRR thực sự phát huy hiệu quả thì doanh nghiệp cần cải thiện và nâng cao môi trường quản lý thông qua các quy định nội bộ liên quan đến đạo đức nghề nghiệp và văn hóa, xác định triết lý quản lý và phong cách điều hành...
Tại các doanh nghiệp có quy mơ lớn với đặc thù nhiều nhân viên hoạt động trong nhiều phịng ban thì việc phân chia quyền hạn và trách nhiệm đóng vai trị rất quan trọng. Chính vì vậy, cơ cấu tổ chức và phân chia trách nhiệm của các nhân viên trong công ty phải đảm bảo cho việc lập kế hoạch, điều hành, kiểm soát và giám sát các hoạt động tại doanh nghiệp. Cơ cấu tổ chức được xác lập từ bộ phận quản lý cấp cao đến các cấp thực hiện bên dưới:
· Ở vị trí quản lý cấp cao, doanh nghiệp cần có cơ cấu HĐQT thích hợp để đảm bảo Ban giám đốc duy trì hệ thống KSRR một cách hữu hiệu. HĐQT đánh giá và giám sát các hoạt động tại doanh nghiệp, thay đổi Ban giám đốc khi cần thiết... nên HĐQT phải có các thành viên có uy tín, có kiến thức cao về kinh tế, tài chính, quản trị... và hồn toàn độc lập với Ban giám đốc công ty.
· Ở các cấp thực hiện bên dưới, việc phân chia quyền hạn, trách nhiệm giữa các phòng ban và các nhân viên phải đảm bảo sự giám sát lẫn nhau giữa các phòng ban và các nhân viên. Nghĩa là, một nghiệp vụ từ khi phát sinh đến lúc hồn thành khơng tập trung vào một người hoặc một bộ phận chức năng xử lý. Đây là cách thức hữu hiệu để giảm thiểu gian lận hoặc sai sót phát sinh, đặc biệt là ở những công ty lớn với quy mô hoạt động rộng và số lượng nhân viên nhiều.
· Ngoài ra, doanh nghiệp cũng nên thực hiện thường xuyên việc luân chuyển nhân viên giữa các phòng ban nhằm giúp nhân viên có sự hiểu biết và kỹ năng cần thiết cho các cơng việc có liên quan đến bộ phận của mình. Việc luân chuyển cũng sẽ tạo nên cơ chế giám sát giữa các nhân viên được luân chuyển nhằm phát hiện những sai sót và rủi ro một cách kịp thời.
Kiến nghị 2: Xây dựng Bộ phận Quản lý rủi ro chuyên trách:
Để nâng cao hiệu quả của KSRR doanh nghiệp cần xây dựng một Bộ phận Quản lý rủi ro chuyên trách. Tùy thuộc vào cách thức tổ chức doanh nghiệp, chức năng quản lý rủi ro có thể trao cho một bộ phận chuyên trách với người đứng đầu là
CRO hoặc kiêm nhiệm trong một phòng ban khác. Vai trò của bộ phận quản lý rủi ro bao gồm:
· Thiết lập chính sách và chiến lược quản lý rủi ro;
· Là cơ quan chuyên trách quản lý rủi ro ở cấp độ chiến lược và hoạt động tác nghiệp hàng ngày;
· Xây dựng một văn hóa nhận thức về nguy cơ rủi ro trong doanh nghiệp bao gồm cả giáo dục, đào tạo thích hợp;
· Thiết lập chính sách quản lý rủi ro nội bộ và cấu trúc quản lý rủi ro cho các đơn vị kinh doanh;
· Thiết kế và xem xét, đánh giá các quy trình quản lý rủi ro từ các bộ phận kinh doanh;
· Phối hợp các hoạt động chức năng khác nhau, tư vấn về các vấn đề quản lý rủi ro trong doanh nghiệp;
· Phát triển các phương án xử lý tình huống, bao gồm cả dự phòng và lâu dài liên tục;
· Báo cáo về các nguy cơ cho HĐQT và các bên liên quan.
Kiến nghị 3: Tăng cường vai trò của kiểm toán nội bộ và KSNB:
Tại các doanh nghiệp có quy mơ lớn, Kiểm tốn nội bộ và KSNB đóng một vai trị rất quan trọng trong tổng thể hoạt động của doanh nghiệp nói chung và cơng tác KSRR nói riêng. Tùy theo quy mơ và loại hình doanh nghiệp, kiểm tốn nội bộ/ KSNB có thể có thể được tổ chức khác nhau và đóng một vai trị khác nhau. Tuy nhiên, nhìn chung lại thì vai trị của kiểm tốn nội bộ/ KSNB trong quy trình KSRR có thể bao gồm một số hoặc tất cả những điều sau đây:
· Đánh giá về những rủi ro trọng yếu, như đã được xác định bởi các cấp quản lý, và kiểm toán các quá trình quản lý rủi ro trong doanh nghiệp; · Cung cấp các phương pháp bảo đảm về quản lý rủi ro;
· Tạo điều kiện thuận lợi xác định rủi ro/ đánh giá và đào tạo nhân viên quản lý rủi ro và KSNB;
· Đồng phối hợp báo cáo HĐQT, Ủy ban kiểm toán (nếu có) và các bên liên quan về rủi ro. Kiểm toán nội bộ cần đảm bảo rằng các yêu cầu chuyên môn độc lập và khách quan khơng bị vi phạm.
Kiến nghị 4: Chính thức hóa quy trình KSRR trong doanh nghiệp thơng qua việc xây dựng khung QTRR hiện đại:
Người xưa có câu “sóng to thì gió lớn”, doanh nghiệp có quy mơ càng lớn thì mức độ nhạy cảm với sự biến động của nền kinh tế càng lớn và do đó càng địi hỏi một hệ thống KSRR hữu hiệu và hiệu quả. Với nguồn lực của mình, để nâng cao hiệu quả của KSRR thì doanh nghiệp có quy mơ lớn nên chính thức hóa quy trình KSRR thông qua việc xây dựng khung QTRR hiện đại, sử dụng tích hợp Báo cáo COSO 2004 và COBIT 5 (nếu phù hợp). Tuy nhiên, việc áp dụng các mơ hình KSRR hiện đại để xây dựng một khung QTRR hoàn chỉnh lại là điều không phải doanh nghiệp nào cũng biết và có thể vận hành được. Do đó, ở phần này, người viết xin được phép đề xuất cách thức xây dựng một khung QTRR dựa trên hiểu biết của mình về cơ sở lý luận của các mơ hình KSRR hiện đại.
Việc triển khai hoạt động QTRR cần gắn liền với chiến lược kinh doanh, kế hoạch ngân sách hằng năm và các quy trình nghiệp vụ trong doanh nghiệp. Trong quá trình triển khai hoạt động QTRR, doanh nghiệp cần đặc biệt quan tâm đến việc bố trí và sử dụng hợp lý các nguồn lực. Các nguồn lực cần thiết cho hoạt động QTRR phải được thiết lập tại từng cấp quản lý và trong từng đơn vị.
Quy trình QTRR sẽ thường bao gồm các bước công việc cơ bản như: xác định và phân loại rủi ro, đánh giá và xếp hạng rủi ro, xây dựng kế hoạch ứng phó rủi ro, giám sát rủi ro và hệ thống QTRR, báo cáo rủi ro và cập nhật tình hình thực hiện. Các bước trong hệ thống QTRR có thể được hình dung qua hình vẽ sau:
3. Quản trị rủi ro 2. Đánh giá rủi ro 1. Nhận diện rủi ro 5. Báo cáo rủi
ro 4. Giám sát rủi ro Truyềnđạt Rủi ro
Hình 3.1: Các bước trong quy trình QTRR1
Bước 1: Xác định và phân loại rủi ro:
Có rất nhiều phương thức để xác định rủi ro, mỗi phương pháp đều có ưu và nhược điểm riêng. Tuy nhiên, thông thường các doanh nghiệp sẽ sử dụng các phương pháp sau để xác định rủi ro:
· Tổ chức Hội thảo đánh giá rủi ro;
· Tổ chức họp “Brainstorming” trong nội bộ doanh nghiệp; · Thông qua Phiếu điều tra;
· Thơng qua hoạt động Kiểm tốn và kiểm tra;
· Dựa trên mức chuẩn của ngành mà doanh nghiệp đang hoạt động; · Thông qua phân tích các tình huống.
Trên thực tế, phương pháp xác định rủi ro được sử dụng nhiều nhất là tổ chức Hội thảo đánh giá rủi ro. Tham dự Hội thảo bao gồm Ban quản trị và lãnh đạo tất cả các phòng ban trong doanh nghiệp, các thành viên tại Hội thảo sẽ cùng trao đổi để đưa ra một danh sách các rủi ro doanh nghiệp cần quan tâm.
Trong nhiều trường hợp, kết quả của quá trình đánh giá rủi ro là một danh sách các rủi ro tiềm ẩn và các bước tiếp theo trong quy trình QTRR sẽ giúp nhận diện rõ những rủi ro nào là mối nguy cơ thật sự lớn đối với doanh nghiệp.
Sau khi xác định được các rủi ro tiềm ẩn, việc tiếp theo cần làm đó là mơ tả về nguồn gốc, căn nguyên và tác động của từng rủi ro đối với doanh nghiệp. Tiếp theo, doanh nghiệp cần căn cứ vào bản chất rủi ro để phân loại rủi ro.
Có nhiều cách phân loại rủi ro nhưng phổ biến nhất là rủi ro sẽ được phân loại thành 4 nhóm: rủi ro chiến lược, rủi ro tài chính, rủi ro hoạt động và rủi ro tuân thủ. Việc phân loại rủi ro như trên sẽ giúp doanh nghiệp quản lý rủi ro một cách có hệ thống và có cái nhìn tổng thể, tồn diện hơn về rủi ro trong mọi mặt hoạt động của doanh nghiệp.
Bước 2: Đánh giá và xếp hạng rủi ro:
Nguồn lực của doanh nghiệp là có hạn trong khi số lượng rủi ro là rất lớn, do đó, bước tiếp theo doanh nghiệp sẽ tổ chức đánh giá và xếp hạng các rủi ro theo mức độ cần ưu tiên ứng phó. Để thực hiện công việc này phải dựa trên sự hiểu biết sâu rộng về doanh nghiệp, thị trường, các yếu tố về pháp luật, chính trị, xã hội và mơi trường văn hóa mà doanh nghiệp đang hoạt động, cũng như hiểu được các mục tiêu chiến lược và hoạt động được đề ra. Đồng thời cũng cần có kiến thức về các nhân tố thành công quan trọng, các mối đe dọa và các cơ hội liên quan đến việc đạt được mục tiêu của doanh nghiệp
Thông thường, việc đánh giá rủi ro thường bao gồm các bước cần thiết sau: · Xác định mục tiêu doanh nghiệp;
· Xác định các sự kiện có thể ảnh hưởng đến việc đạt được mục tiêu; · Xác định mức độ rủi ro có thể chấp nhận được. Đây là phạm vi thay đổi có
thể chấp nhận liên quan đến việc đạt được một mục tiêu cụ thể của doanh nghiệp và nên đo lường với cùng một đơn vị đo lường áp dụng cho mục tiêu đó;
· Đánh giá khả năng xảy ra và mức độ ảnh hưởng của rủi ro; · Đánh giá và xếp hạng danh mục rủi ro và kế hoạch hành động;
· Đánh giả khả năng xảy ra và ảnh hưởng của những rủi ro còn lại nếu đã áp dụng kế hoạch hành động.
Như vậy, để thực hiện việc xếp hạng rủi ro, doanh nghiệp sẽ phân tích, đánh giá từng rủi ro theo 2 tiêu chí: khả năng xảy ra của rủi ro và mức độ ảnh hưởng của rủi ro nếu xảy ra.
Hình 3.2: Đánh giá và xếp hạng rủi ro
Kết quả của việc phân tích rủi ro được sử dụng để xây dựng danh mục rủi ro, trong đó xác định mức độ trọng yếu của rủi ro và đưa ra thứ tự ưu tiên cho các hành động để xử lý rủi ro. Rủi ro mà doanh nghiệp cần ưu tiên ứng phó, phịng ngừa là những rủi ro mà khả năng xảy ra cao và mức độ ảnh hưởng lớn.
Thơng thường thì chỉ 10 đến 20 rủi ro có thứ hạng cao nhất sẽ được doanh nghiệp ưu tiên lên kế hoạch và tổ chức ứng phó. Số lượng cụ thể tùy theo mức độ sử dụng các nguồn lực và quy mô, tiềm lực của doanh nghiệp.
Tóm lại, bước phân tích và đánh giá rủi ro đóng một vai trị rất quan trọng trong toàn bộ quy trình QTRR vì sẽ giúp doanh nghiệp hoạt động hiệu quả hơn bằng cách chỉ ra các rủi ro mà doanh nghiệp cần quan tâm. Từ đó sẽ giúp doanh nghiệp thực hiện kế hoạch ứng phó trên cơ sở ưu tiên hóa các hành động để KSRR dựa trên các lợi ích tiềm năng mà các kiểm soát mang lại cho doanh nghiệp.
Bước 3: Xây dựng kế hoạch ứng phó rủi ro:
Xây dựng kế hoạch ứng phó là giai đoạn quan trọng tiếp theo trong quá trình QTRR. Tại bước này, doanh nghiệp sẽ phải xác định và lựa chọn cách thức đối phó và xử lý rủi ro. Xử lý và đối phó với rủi ro chủ yếu liên quan đến việc kiểm soát hay giảm thiểu các rủi ro thông qua nhiều biện pháp khác nhau nhưng nhìn chung chia làm 4 nhóm sau:
· Tránh né rủi ro: từ bỏ hoặc ngừng hoạt động/dự án gây ra rủi ro;
· Giảm rủi ro: sử dụng các biện pháp kiểm soát rủi ro hoặc phân tán danh mục đầu tư để giảm thiểu rủi ro;
· Chia sẻ rủi ro: sử dụng các biện pháp để chia sẻ hoặc chuyển rủi ro như công cụ phái sinh, mua bảo hiểm, thuê bên thứ 3 có chun mơn thực hiện hoạt động có thể gây ra rủi ro…;
· Chấp nhận rủi ro: không thực hiện bất cứ hoạt động gì đối với rủi ro. Doanh nghiệp cần chọn lựa một trong bốn cách thức đối phó với rủi ro để tìm được các biện pháp khả thi, hữu hiệu và ít tốn kém dựa trên việc xem xét mức độ rủi ro chấp nhận được trên tổng thể, trong mối quan hệ lợi ích – chi phí và trong mối quan hệ toàn diện mọi hoạt động của đơn vị. Bất kỳ biện pháp xử lý rủi ro nào cũng phải bảo đảm đem lại các kiểm sốt hiệu quả (tính hiệu quả của kiểm soát là mức độ rủi ro được loại bỏ hay hạn chế dựa trên các biện pháp kiểm soát được đề xuất).
Bước 4: Giám sát rủi ro và hệ thống QTRR:
Giám sát rủi ro và sự hoạt động hữu hiệu của các yếu tố khác của hệ thống QTRR thông qua các cách thức sau:
· Các hoạt động giám sát thường xuyên; · Các chương trình đánh giá định kỳ; · Sự phối hợp cả hai.
Ngoài ra, cần phải có bên thứ 3 độc lập sốt xét về chất lượng và tính kịp thời của các hoạt động quản lý rủi ro. Chức năng kiểm toán nội bộ cũng nên được thực hiện để cung cấp sự đảm bảo cho Ban quản trị rằng các hoạt động quản lý rủi ro trong doanh nghiệp đang được thực hiện theo đúng các quy định về chất lượng và kịp thời.
Bước 5: Báo cáo rủi ro và cập nhật tình hình thực hiện:
Việc giám sát rủi ro địi hỏi các thông tin về rủi ro phải được ghi nhận vào các bảng thông tin rủi ro, các biểu mẫu hay một phần mềm máy tính. Mặc dù trong một số trường hợp, một diễn giải rủi ro đơn giản cũng có thể cung cấp đủ các thơng tin
để quản lý rủi ro, nhưng trong nhiều trường hợp, thơng tin rủi ro cần được trình bày chi tiết để đánh giá rủi ro một cách toàn diện.
Do đó, trong q trình thực thi hệ thống QTRR, doanh nghiệp cần xây dựng hệ thống báo cáo thường xuyên nhằm đảm bảo chặt chẽ quá trình thực hiện. Doanh nghiệp cũng cần đảm bảo mọi thiếu sót trong trong việc thực hiện các biện pháp kiểm sốt rủi ro phải được thơng tin kịp thời đến các cấp quản lý có trách nhiệm. Thường xuyên tổ chức kiểm tra và đánh giá việc tuân thủ chính sách QTRR và các tiêu chuẩn có liên quan.
Vì bản chất của mơi trường mà doanh nghiệp đang hoạt động là không ngừng vận động, do vậy doanh nghiệp nên thường xuyên cập nhật tình hình thực hiện hệ thống QTRR, quan tâm xem xét điều chỉnh các biện pháp đang thực hiện cho phù hợp với những chuyển biến của môi trường. Định kỳ, doanh nghiệp cần xem xét lại mức độ phù hợp của danh sách các rủi ro cùng các biện pháp ứng phó tương ứng.