1.4.1. Đặc điểm của hoạt động quản trị rủi ro (ERM) trong lĩnh vực tài chính, bảo hiểm bảo hiểm
Trong ngành tài chính, bảo hiểm, trong khi quản lý rủi ro doanh nghiệp (ERM) là một khái niệm thường được nói đến, các tổ chức lớn đang biến ERM thành một phần thiết yếu của các công ty bảo hiểm, hoạt động liên tục. Trong bối cảnh lãi suất thấp, thị trường biến động và lợi nhuận giảm, ERM có thể cung cấp cho các cơng ty tài chính, bảo hiểm một cách tiếp cận tốt hơn, mạnh mẽ hơn để quản lý rủi ro, cho phép họ giải phóng giá trị bị mắc kẹt đáng kể. Các công ty bảo hiểm nên tạo ra quy định cần thiết, vượt ra khỏi sự tuân thủ quy định để phát triển
ERM hiệu quả, linh hoạt và hướng tới tương lai, nhận ra lợi ích của cách tiếp cận toàn doanh nghiệp đối với quản lý rủi ro.
ERM cung cấp giá trị trong ba lĩnh vực chính: a) sức mạnh chiến lược (tăng cường khả năng hướng ngoại và hướng tới tương lai để quản lý rủi ro và kinh doanh tốt hơn); b) cái nhìn sâu sắc mới (nhờ vào số lượng lớn các công ty bảo hiểm dữ liệu phải xử lý và công nghệ mới mà họ phải nắm lấy); và c) quản lý vấn đề rủi ro hoạt động (OpRisk) để tăng khả năng phục hồi và hiệu quả của công ty bảo hiểm.
Nhưng nhiều công ty bảo hiểm gặp rủi ro khác: không thực hiện đúng ERM - điều có thể gây bất lợi cao. Thành công với ERM đòi hỏi sự chuẩn bị, hội nhập, thay đổi văn hóa và đúng người đúng chỗ. Với cách tiếp cận chính xác, ERM có thể khơng chỉ là quy trình quản lý mà nó cịn có thể thay đổi cả doanh nghiệp. Để thành công trong năm năm tới, các công ty bảo hiểm sẽ cần nắm bắt cơ hội trong năm 2019 để bắt đầu quá trình chuyển đổi chiến lược từ tuân thủ ERM theo cách phù hợp nhất với doanh nghiệp của họ và theo định hướng của CRO (Chief Risk Officer – Giám đốc quản trị rủi ro). Luận văn này xem xét bản chất thay đổi của rủi ro và bản chất thay đổi của ERM - cũng như tầm quan trọng ngày càng tăng của nó như là một cách để tạo ra giá trị thực sự cho các cơng ty bảo hiểm. Nó cũng xác định các bước chính mà các cơng ty bảo hiểm phải thực hiện để thích ứng thành cơng với quá trình chuyển đổi chiến lược mà họ sẽ phải thực hiện.
1.4.2. Các chuẩn mực quốc tế về quản trị rủi ro doanh nghiệp trong lĩnh vực tài chính, bảo hiểm chính, bảo hiểm
Theo thống kê, trên thế giới có hơn 80 chuẩn mực/ hướng dẫn về quản trị rủi ro doanh nghiệp. Trong đó có một số tiêu chuẩn và hướng dẫn quản trị rủi ro phổ biến nhất, được áp dụng rộng rãi cho các lĩnh vực, ngành nghề khác nhau (Hoàng Thị Đào, Nguyễn Đức Minh, 2018)
- COSO ERM-2004 - Khung quản trị rủi ro doanh nghiệp tích hợp, mục tiêu chính là cải thiện hiệu suất hoạt động của tổ chức thông qua việc kết hợp hiệu quả các mục tiêu chiến lược, rủi ro, điều hành và quản trị rủi ro. Cung cấp các khái niệm then chốt cơ bản về quản trị rủi ro, một khung quản trị rủi ro toàn diện, chi tiết các
cấu phần. Hướng dẫn áp dụng cho các tổ chức lĩnh vực công nghiệp và hướng tới một quy trình quản trị rủi ro toàn diện.
- ISO 31000:2009 - Nguyên tắc và hướng dẫn chung về quản trị rủi ro, cung cấp hướng dẫn về bản chất và cách thức thực hiện quy trình quản trị rủi ro; đưa ra các hướng dẫn cần thiết thực hiện khung quản trị rủi ro. Hướng dẫn áp dụng cho tất cả các lĩnh vực, hiệp hội, doanh nghiệp.
- FERMA 2002 - Tiêu chuẩn quản trị rủi ro, khá tương đồng với ISO 31000:2009 và COSO ERM, nhưng FERMA 2002 tập trung mô tả các thành phần cần thiết của một hệ thống quản trị rủi ro doanh nghiệp;
- Hiệp ước Basel - Chuẩn mực an tồn vốn lĩnh vực tài chính ngân hàng; - Solvency II:2012 - Quản trị rủi ro cho lĩnh vực bảo hiểm. Tuy nhiên, những quy định này còn khá đơn giản và không phải lúc nào cũng phản ánh được những rủi ro thực sự tồn tại trong danh mục hoạt động kinh doanh của công ty bảo hiểm.
Đặc điểm chung của các chuẩn mực/hướng dẫn đó là: (1) Tiếp cận trên góc độ tồn doanh nghiệp, dựa trên sự ủng hộ của cấp quản lý, có sự phân chia rõ ràng về các trách nhiệm giải trình; (2) Các bước thực hiện, giám sát và báo cáo các rủi ro được cấu trúc rõ ràng; (3) Dựa trên sự hiểu biết và phân chia trách nhiệm rõ ràng trong việc xác định “khẩu vị” rủi ro và các giới hạn chấp nhận rủi ro; (4) Các hoạt động đánh giá rủi ro và danh mục rủi ro được văn bản hóa một cách chính thức và áp dụng trong toàn doanh nghiệp; (5) Các mục tiêu, hoạt động trong quy trình quản trị rủi ro được xây dựng và truyền thông đầy đủ; (6) Xây dựng các kế hoạch ứng phó rủi ro được giám sát chặt chẽ.
Trong đó, chuẩn mực của COSO ERM-2004 và hướng dẫn ISO 31000:2009 được tham khảo và sử dụng nhiều nhất, hoặc đóng vai trị nền tảng cơ sở để một số nước đưa ra các điều chỉnh, mở rộng phù hợp với điều kiện riêng của khu vực, quốc gia.
1.4.3. Quy trình quản trị rủi ro ERM trong lĩnh vực tài chính, bảo hiểm
1.4.2.1. Quy trình quản trị rủi ro theo thông lệ quốc tế ISO 31000:2009
ISO 31000:2009 là một tiêu chuẩn quốc tế cung cấp những quy định và hướng dẫn nhằm hỗ trợ doanh nghiệp hiểu được cách thức phát triển, thực hiện và
duy trì việc quản trị rủi ro một cách hiệu quả, thống nhất. Tiêu chuẩn này chứng minh cam kết mạnh mẽ của doanh nghiệp trong việc cải tiến liên tục để đạt được mục tiêu trong hoạt động kinh doanh.
Tại Việt Nam, TCVN ISO 31000:2011 hoàn toàn tương đương với ISO 31000:2009; TCVN ISO 31000:2011 do Ban kỹ thuật tiêu chuẩn quốc gia TCVN/TC 176 Quản lý chất lượng và đảm bảo chất lượng biên soạn, Tổng cục Tiêu chuẩn đo lường Chất lượng đề nghị và được Bộ Khoa học và Công nghệ cơng bố.
Hình 1.2: Q trình quản lý rủi ro
Nguồn: Tổng Cục tiêu chuẩn đo lường chất lượng (2019)
Trong khi tất cả các tổ chức đều quản lý rủi ro ở một mức độ nào đó, tiêu chuẩn này thiết lập một số nguyên tắc cần được đáp ứng để làm cho hoạt động quản lý rủi ro đạt hiệu quả. Tiêu chuẩn này khuyến nghị tổ chức xây dựng và áp dụng, cải tiến liên tục khn khổ với mục đích là tích hợp q trình quản lý rủi ro với toàn bộ hoạt động quản trị, chiến lược và hoạch định, quản lý và các quá trình báo cáo, chính sách, các giá trị và văn hóa của tổ chức. Theo ISO 31000 q trình quản lý rủi ro cần là một phần không thể tách rời của quản lý và được gắn vào văn hóa, vào việc thực hành và phù hợp với các quá trình hoạt động của tổ chức.
Quá trình áp dụng ISO 31000 trong doanh nghiệp gồm các bước sau:
Hình 1.3: Quy trình quản lý rủi ro theo ISO 31000
Nguồn: Tổng Cục tiêu chuẩn đo lường chất lượng (2019)
Bước 1. Thiết lập khuôn khổ quản lý rủi ro
a. Thiết lập bối cảnh: Doanh nghiệp xem xét các điều kiện bên ngồi, bên trong có ảnh hưởng hoặc gây rủi ro đến hoạt động của doanh nghiệp, sử dụng Bảng phân tích PEST, SWOT.
b. Thiết lập chính sách quản lý rủi ro: Ban giám đốc xây dựng chính sách quản lý rủi ro và cơng bố chính sách này cho tất cả các thành viên và các bên có liên quan.
c. Trách nhiệm: Doanh nghiệp xác định trách nhiệm quyền hạn của các thành viên trong doanh nghiệp trong việc áp dụng hệ thống quản lý rủi ro, bao gồm: Xác định, đánh giá, lập phương án, xử lý, theo dõi và báo cáo rủi ro; Xây dựng, thực hiện và duy trì khn khổ quản lý rủi ro;
d. Tích hợp các quá trình của tổ chức: Doanh nghiệp tích hợp nội dung của hệ thống quản lý rủi ro vào tất cả các quá trình của doanh nghiệp và xem quản lý rủi ro như một phần không tách rời của các các quá trình của doanh nghiệp.
e. Nguồn lực: Doanh nghiệp sử dụng hợp lý nguồn lực trong việc quản lý rủi ro. Ban lãnh đạo cung cấp nguồn lực để thực hiện các chương trình xử lý rủi ro.
f. Thiết lập cơ chế báo cáo và trao đổi thông tin nội bộ: Doanh nghiệp thiết lập cơ chế báo cáo và trao đổi thông tin nội bộ và bên ngồi để hỗ trợ, khuyến khích các thành viên thực hiện trách nhiệm trong quản lý rủi ro.
g. Xác định tiêu chí rủi ro: Doanh nghiệp xác định các tiêu chí để làm cơ sở đánh giá rủi ro và so sánh các rủi ro hiện tại. Các kết quả đánh giá so sánh với tiêu chí rủi ro sẽ làm cơ sở quyết định sẽ cung cấp nguồn lực để ưu tiên giảm thiểu các rủi ro.
Bước 2. Thực hiện khuôn khổ quản lý rủi ro
a. Thực hiện khuôn khổ quản lý rủi ro
b. Theo dõi và xem xét khuôn khổ quản lý rủi ro
c. Cải tiến liên tục khuôn khổ quản lý rủi ro: Doanh nghiệp tổ chức thực hiện các khuôn khổ quản lý rủi ro đã thiết lập ở trên. Trưởng các phòng ban sẽ theo dõi và đề xuất cải tiến các quá trình để giảm thiểu các rủi ro. Ban quản lý rủi ro sẽ theo dõi, hỗ trợ các công cụ cần thiết để thực hiện hệ thống quản lý rủi ro.
Bước 3. Xác định rủi ro
Trưởng phòng ban trong doanh nghiệp cần xác định các nguồn rủi ro, lĩnh vực chịu tác động, sự kiện, nguyên nhân, hệ quả tiềm ẩn của sự kiện Áp dụng các công cụ và kỹ thuật xác định rủi ro, phù hợp với các mục tiêu. Lập danh mục rủi ro.
Bước 4. Phân tích rủi ro
Trưởng phịng ban phân tích rủi ro, đánh giá rủi ro và quyết định phương án xử lý rủi ro. Chủ sở hữu quá trình cần xem xét nguyên nhân và nguồn rủi ro, hệ quả tích cực và tiêu cực của chúng cũng như khả năng những hệ quả này có thể xảy ra.
Bước 5. Đánh giá mức độ rủi ro
Trưởng phòng ban so sánh mức độ rủi ro thấy được trong q trình phân tích với tiêu chí rủi ro đã xác định ở Bước 1. Chọn các phương án xử lý rủi ro có tính đến với các yêu cầu pháp lý, quản lý và yêu cầu khác. Ban quản lý rủi ro sẽ xem xét các rủi ro (xác định, phân tích, đánh giá) trước khi trình Ban lãnh đạo xem xét và cung cấp nguồn lực để xử lý các rủi ro.
Bước 6. Xử lý rủi ro
a. Lựa chọn các phương án xử lý rủi ro: Chủ quá trình chọn một hoặc nhiều phương án để điều chỉnh rủi ro và thực hiện những phương án này. Chọn một phương án xử lý rủi ro thích hợp nhất liên quan đến việc cân đối giữa chi phí và nỗ lực thực hiện so với các lợi ích thu được. Ban quản lý rủi ro sẽ cân nhắc việc chọn các phương án xử lý rủi ro trước khi trình Ban Tổng giám đốc xem xét và quyết định. Lưu ý các rủi ro khác có thể xuất hiện khi xử lý rủi ro.
b. Chuẩn bị và thực hiện các phương án xử lý rủi ro: Chủ các quá trình viết thành văn bản cách thức thực thi các phương án xử lý thông qua kế hoạch xử lý rủi ro. Ban quản lý rủi ro xem xét và quyết định bản chất và mức độ rủi ro tồn đọng sau khi đã xử lý rủi ro.
Bước 7. Theo dõi và xem xét
- Chủ động các quá trình theo dõi và xem xét theo các hoạch định của quá trình quản lý rủi ro.
- Tiến trình thực hiện các phương án xử lý rủi ro và cung cấp thước đo cho việc thực hiện hệ thống quản lý rủi ro.
Bước 8. Báo cáo các rủi ro
Hàng tháng, các chủ quá trình báo cáo kết quả thực hiện quản lý rủi ro và trình cho Ban quản lý rủi ro. Trưởng ban Quản lý rủi ro tổng kết và báo cáo cho Tổng Giám đốc, Hội đồng quản trị cùng với các đề xuất cải tiến để giảm thiểu các rủi ro. Hàng quý, Ban quản lý rủi ro đánh giá hiệu quả áp dụng hệ thống quản lý rủi ro để so sánh mức độ tiến bộ giữa các quý và báo cáo cho Tổng Giám đốc, Hội đồng quản trị cùng với các khu vực cần cải tiến để giảm thiểu các rủi ro. Mỗi sáu tháng, Ban quản lý rủi ro kết hợp cùng các Ban ISO khác, tổ chức đánh giá nội bộ theo quy trình đánh giá nội bộ và báo cáo kết quả tổng thể cho Tổng Giám đốc, Hội đồng quản trị. Các báo cáo rủi ro sẽ làm cơ sở cho Ban Tổng giám đốc ra các quyết định về sản xuất và kinh doanh trong tương lai và làm nền tảng cho việc cải tiến các phương pháp xử lý rủi ro.
Bước 9. Xem xét và điều chỉnh
Ban Tổng giám đốc xem xét các kết quả thực hiện xử lý rủi ro, đánh giá để làm cơ sở điều chỉnh các hoạt động sản xuất, kinh doanh cho phù hợp. Cung cấp thêm nguồn lực khi cần thiết để xử lý các rủi ro tồn đọng. Định hướng xử lý rủi ro theo các cập nhật về công nghệ kỹ thuật và khả năng tài chính của Doanh nghiệp. Tổ chức thực hiện mô hình nói trên trong những năm tiếp theo.
ISO 31000 là một tài liệu thực tế nhằm hỗ trợ các tổ chức trong việc phát triển phương pháp riêng của mình để quản lý rủi ro. Nhưng điều này không phải là một tiêu chuẩn bắt buộc và cần một tổ chức chứng nhận. Việc thực hiện ISO 31000 các tổ chức có thể so sánh với thực tiễn quản lý rủi ro của doanh nghiệp với chuẩn mực quốc tế công nhận, cung cấp các nguyên tắc quản lý hiệu quả.
1.4.2.2. Quy trình quản trị rủi ro theo COSO ERM
Quản lý rủi ro trong doanh nghiệp theo một khuôn khổ hợp nhất cũng được phát triển bởi COSO (2004). Đây là một quá trình được xây dựng trong một doanh nghiệp và được ứng dụng để nhận biết rủi ro và nhằm cung cấp sự đảm bảo hợp lý để giúp doanh nghiệp đạt được các mục tiêu kinh doanh và mục tiêu báo cáo tài chính của doanh nghiệp.
Trên cơ sở đó, COSO 2017 đã đưa những thay đổi trong quan điểm về quản lý rủi ro cần gắn với chiến lược, mục tiêu hoạt động của doanh nghiệp. Doanh nghiệp cần xác định rõ mục tiêu, chiến lược trước khi nhận diện, đánh giá rủi ro, cũng như đưa ra các biện pháp thích hợp đối với những rủi ro được phát hiện. Bên cạnh đó, COSO 2017 cũng đã nhấn mạnh vai trò của thành viên hội đồng quản trị (HĐQT) và lãnh đạo cao cấp trong việc quản lý rủi ro. Để có thể đưa ra các quyết định chiến lược, họ cần phải nắm bắt thông tin về các rủi ro trong doanh nghiệp. Những nội dung thay đổi trong COSO 2017 có thể kể đến như sau:
(1) Thay đổi cấu trúc: 5 thành phần với 20 nguyên tắc tương ứng với vòng đời kinh doanh. Với cấu trúc mới doanh nghiệp có thể nhận diện cũng như đánh giá rủi ro dễ dàng hơn trong mối quan hệ với các hoạt động của doanh nghiệp. Vòng đời kinh doanh của doanh nghiệp: (a) Tầm nhìn, sứ mệnh và giá trị cốt lõi; (b) Xây
dựng chiến lược; (c) Đạt mục tiêu kinh doanh; (d) Triển khai và hoạt động; (e) Giá trị được nâng cao. Mơ hình COSO ERM 2017 cụ thể như sau:
Hình 1.4: Quy trình quản trị rủi ro COSO ERM 2017
Nguồn: COSO (2018)
(2) Tập trung chú ý vào tích hợp quản lý rủi ro với quy trình hoạch định chiến lược và quản trị hiệu quả hoạt động doanh nghiệp: Cần chú ý đến rủi ro trong hoạch định chiến lược cũng như trong hoạt động thường ngày.
(3) Đưa ra nhiều lợi thế của quản lý rủi ro trong doanh nghiệp: Từ giảm thiểu thiệt hại đến lựa chọn chiến lược.