1.2 Tổng quan về KSRR
1.2.1 Lịch sử hình thành và phát triển của lý thuyết KSRR
KSRR là việc sử dụng các chiến lược, các quy trình, cơng cụ, kỹ thuật... nhằm ngăn ngừa, né tránh hoặc giảm thiểu những thiệt hại của rủi ro có thể xảy ra đối với doanh nghiệp.
Thuật ngữ KSRR đã được hình thành từ rất sớm cùng với sự ra đời của các công ty bảo hiểm. Trong giai đoạn sơ khởi này, cách thức thông thường được các doanh nghiệp sử dụng để đối phó với rủi ro là mua các dịch vụ bảo hiểm để chuyển giao một phần hoặc toàn bộ thiệt hại về tài sản cho các công ty bảo hiểm khi tổn thất phát sinh. Sự ra đời của các công ty bảo hiểm đã chứng tỏ rằng các doanh nghiệp đã biết sử dụng các công cụ để KSRR ngay từ rất xa xưa. Các tài liệu tìm
thấy ở cơng ty bảo hiểm Hammurabi cho thấy rằng dịch vụ bảo hiểm đã tồn tại cách đây khoảng 3.800 năm1.
Khi hoạt động kinh doanh càng mở rộng và phát triển, đặc biệt với sự phát triển của nền kinh tế thị trường thì doanh nghiệp phải đối mặt với nhiều loại rủi ro mới và phức tạp hơn, các công cụ KSRR bắt đầu được xây dựng để phục vụ cho nhu cầu của doanh nghiệp. Đầu thập niên 1950, lý thuyết về danh mục đầu tư của Harry Markowitz đề cập đến việc đo lường và KSRR. Theo đó, có sự liên hệ giữa rủi ro và lợi ích kỳ vọng của một phương án, nhà đầu tư nên kết hợp nhiều phương án khác nhau để tối đa lợi ích và kiểm sốt được rủi ro của mình.
Cơng cụ bảo hiểm và tái bảo hiểm được các doanh nghiệp sử dụng rộng rãi
vào những năm 1970 cùng với các công cụ phái sinh để dự phòng cho những biến động về giá cả thị trường. Sự kết hợp công cụ bảo hiểm và công cụ phái sinh dẫn đến việc áp dụng hình thức dịch vụ th ngồi (outsourcing) ở các doanh nghiệp lớn nhằm chuyển giao rủi ro cho các đối tác bên ngoài khi doanh nghiệp thấy việc thực hiện khơng cịn hiệu quả.
Đến năm 1998, trên cơ sở Báo cáo COSO về KSNB năm 1992, Ủy ban Basel
ban hành báo cáo Basel về KSNB tại các ngân hàng và tổ chức tín dụng2. Năm 2000, Ủy ban Basel ban hành báo cáo bổ sung liên quan đến kiểm toán nội bộ, quan
hệ giữa kiểm toán viên và ngân hàng3. Nội dung của Báo cáo Basel nhằm xây dựng một hệ thống KSNB hữu hiệu chủ yếu kiểm soát các rủi ro liên quan đến tín dụng. Tuy nhiên, báo cáo Basel có hạn chế là chưa mở rộng phạm vi ra các loại hình doanh nghiệp khác trong việc KSRR.
Năm 2002 đánh dấu một cột mốc quan trọng trong lịch sử phát triển của lý thuyết KSRR với việc ra đời của Chuẩn mực Quản lý rủi ro (Risk Management Standards)4. Đây là kết quả từ công tác nghiên cứu chung của các doanh nghiệp lớn ở Vương quốc Anh, bao gồm Viện Quản trị rủi ro (Intitute of Risk Management),
1 James Lam (2003), Enterprise Risk Management: From Incentives to Control
2 Basel Committee (1998), Framework for Internal Control system in Banking Organisations
3 Basel Committee (2000), Internal Audit in banking organizations and the relationship of the supervisory authorities
with the internal and external auditors
Hiệp hội các nhà quản lý bảo hiểm và rủi ro (AIRMIC) và Diễn đàn quốc gia về công tác KSRR đối với khu vực kinh tế (ALARM). Chuẩn mực Quản lý rủi ro đã đưa ra một hệ thống lý luận về KSRR đầy đủ hơn cho loại hình doanh nghiệp.
Những năm cuối thập niên 1990 và đầu thập niên 2000 đã đánh dấu hàng loạt những vụ bê bối và thất bại của các doanh nghiệp tầm cỡ thế giới dẫn đến các nhà đầu tư, nhân viên và các cổ đông khác phải gánh chịu những thiệt hại nặng nề. Đó như một hồi chuông thức tỉnh các doanh nghiệp về tầm quan trọng của KSRR và việc hình thành một chuẩn mực, luật lệ và quy định chung về KSRR và quản lý doanh nghiệp. Do đó, sau một thời gian dài nghiên cứu và soạn thảo1, năm 2004 Ủy ban các tổ chức tài trợ Treadway (COSO) đã cho ra đời Báo cáo về QTRR doanh nghiệp (Enterprise Risk Management) – đây được xem là một mốc son đánh dấu một trang mới trong lịch sử phát triển của lý thuyết KSRR. Báo cáo này đã cung cấp một khuôn khổ chung về QTRR được chấp nhận và sử dụng rộng rãi cho đến nay, bao gồm định nghĩa, khái niệm, cơ sở và các nguyên tắc nền tảng.
Bên cạnh đó, cùng với sự bùng nổ của CNTT, doanh nghiệp có những phương tiện cần thiết để lưu trữ, tiếp cận hệ thống thông tin khổng lồ và phức tạp phục vụ cho việc ra quyết định và KSRR. Để đáp ứng được nhu cầu KSRR trong môi trường CNTT, Hiệp hội kiểm soát và kiểm toán CNTT (ISACA) đã cho ra đời báo cáo COBIT (Control Objectives for Information and Related Technology) lần đầu tiên vào năm 1996 và đã được cập nhật lần thứ 5 (COBIT 5) vào năm 2012 - đây là một bộ công cụ hỗ trợ để giúp các nhà quản lý thu hẹp khoảng cách giữa các yêu cầu kiểm soát, các vấn đề kỹ thuật và rủi ro kinh doanh trong môi trường CNTT.