Đánh giá và cải tiến hệ thống quản trị rủi ro như thế nào? | Viện FMIT
Quản trị rủi ro ngày càng thể hiện vai trò quan trọng trong công tác quản trị chung của toàn tổ chức. Quản trị rủi ro phải được tích hợp ở mọi cấp độ trong tổ chức từ chiến lược, phòng ban, và từng hoạt động.
Để có được phương pháp quản trị rủi ro hiệu quả, các doanh nghiệp đặc biệt chú ý đến hiện thực 1 khung (framework) về quản trị rủi ro. Khung có đầy đủ các thành phần trọng yếu sẽ giúp nâng cao hiệu quả công tác quản trị rủi ro. Việc tiến hành xây dựng khung quản trị rủi ro có thể tiến hành theo 3 phương pháp như: phương pháp các thành phần của quy trình (Process elements approach); phương pháp dựa trên nguyên tắc quản trị rủi ro (principles of Risk Management); và phương pháp mô hình trưởng thành (maturity model). Dưới đây FMIT sẽ giới thiệu 3 cách tiếp cận cơ bản. Nội dung chi tiết có thể tham khảo khóa học quản trị rủi ro tổ chức bởi FMIT.
Nội Dung Chính
Quản trị rủi ro là gì?
Quản trị rủi ro được định nghĩa như là “một quy trình dùng nhận diện, đánh giá, quản lý, và kiểm soát những sự kiện hoặc tình huống có thể xảy ra để có những đảm bảo hợp lý nhằm đạt được các mục tiêu của tổ chức. Một khung quản trị rủi ro toàn diện giúp đưa ra một mối liên kết từ đầu đến cuối (end-to-end) giữa mục tiêu, chiến lược, thực hiện chiến lược, rủi ro, các kiểm soát, và đảm bảo trong toàn bộ các cấp độ trong tổ chức.”
Quản trị rủi ro doanh nghiệp (ERM) là một thuật ngữ dùng chung. COSO định nghĩa nó là “một quy trình, bị ảnh hưởng bởi hội đồng quản trị của tổ chức, ban điều hành và các nhân sự khác, được vận dụng trong thiết lập chiến lược và trong toàn tổ chức, được thiết kế để nhận diện các sự kiện có thể xảy ra có ảnh hưởng đến tổ chức, và quản lý rủi ro bên trong khẩu vị, đưa ra sự đảm bảo hợp lý liên quan đến việc đạt được mục tiêu của tổ chức.”
Đánh giá khung quản trị rủi ro
Những người thực hiện công tác đánh giá (ví dụ kiểm toán nội bộ, quản trị rủi ro) phải có phương tiện để đo hiệu quả vận hành của quản trị rủi ro trong tổ chức. Việc này có thể đạt được bằng cách xem xét các tiêu chí phản ảnh các phương diện của quy trình quản trị rủi ro (risk management process). Tiêu chí sử dụng cần phải liên quan (relevant), tin cậy (reliable), dễ hiểu (understandable), và hoàn chỉnh (complete). Việc tích hợp các quan sát này cho phép người đánh giá đưa ra được kết luận về mức độ trưởng thành (maturity) của hệ thống rủi ro trong tổ chức.
Chất lượng của quy trình quản trị rủi ro trong tổ chức phải được cải tiến theo thời gian. Việc hiện thực quản trị rủi ro hiệu quả – một hệ thống ERM thật sự – phải tốn thời gian trong nhiều năm. Một trong những tiêu chí quan trọng mà người đánh giá nên xem xét là có hay không một khung (framework) phù hợp được thiết lập trong tổ chức và có hay không phương pháp hệ thống cho hệ thống quản trị rủi ro. Sử dụng khung ISO 31000 hoặc COSO là một trong những cách xây dựng khung quản trị rủi ro phổ biến của các doanh nghiệp hiện nay.
Phương pháp tiếp cận theo thành phần quy trình (process element approach)
Phương pháp này kiểm tra mỗi thành phần của quản trị rủi ro có được thiết lập hay không. ISO 31000 nhận diện 7 thành phần của quy trình quản trị lý rủi ro như sau:
1 – Truyền thông: quản trị rủi ro yêu cầu phải có cấu trúc truyền thông và tham vấn 1 cách liên tục với những người có ảnh hưởng bởi hoạt động của tổ chức.
2 – Thiết lập bối cảnh: Môi trường bên ngoài (chính trị, xã hội, v.v) và môi trường bên trong (mục tiêu, chiến lược, cấu trúc, đạo đức, nguyên tắc,v.v) của tổ chức và hoạt động phải được hiểu trước khi nhận diện rủi ro một cách đầy đủ.
3 – Nhận diện rủi ro: Nhận diện rủi ro nên là một quy trình chính thức, có cấu trúc để xem xét nguồn gốc rủi ro, lĩnh vực tác động, và sự kiện có thể xảy ra và nguyên nhân và hậu quả.
4 – Phân tích rủi ro: Tổ chức phải sử dụng 1 kỹ thuật chính thức để xem xét hậu quả và tần suất của từng rủi ro.
5 – Đánh giá rủi ro: Tổ chức phải có 1 cơ chế để sắp hạng mức độ trọng yếu của mỗi rủi ro từ đó thiết lập độ ưu tiên cho xử lý.
6 – Xử lý rủi ro. Quản trị rủi ro cần có quyết định hợp lý về cách xử lý rủi ro. Cách xử lý có thể là tránh rủi ro, chia sẻ rủi ro, quản lý rủi ro bằng cách sử dụng kiểm soát, chấp nhận rủi ro và không cần hành động gì.
7 – Giám sát và rà soát: Giám sát bao gồm kiểm tra tiến trình của kế hoạch xử lý, giám sát kiểm soát và hiệu lực của chúng, kiểm tra sự thay đổi của môi trường.
Phương pháp sử dụng nguyên tắc trọng tâm (Key Principles Approach)
Phương pháp này dựa trên khái niệm rằng để hiệu lực đầy đủ, bất kỳ quy trình quản trị rủi ro nào cũng phải thỏa mãn một tập cơ bản các nguyên tắc hoặc tính chất. ISO 31000 giới thiệu các nguyên tắc này trong phần 4 (Clause 4) như sau:
- Quản trị rủi ro tạo lập và bảo vệ giá trị. Điều này hàm ý khi ứng dụng quản trị rủi ro một cách rõ ràng nhất thì giá trị tạo ra là cao nhất. Nó cũng khuyến nghị rằng một tập hợp các kỹ thuật ứng dụng nên được triển khai trong nhiều cấp độ của tổ chức.
- Quản trị rủi ro là 1 thành phần không thể tác rời của các quy trình trong tổ chức. Quản trị rủi ro không nên chỉ được xem là thành phần thêm vào (add-on task).
- Quản trị rủi ro là 1 phần của ra quyết định. Quyết định càng quan trọng, quy trình rủi ro càng phải rõ ràng.
- Quản trị rủi ro giải quyết vấn đề không chắc chắn. Đánh giá rủi ro phải được lập tài liệu cho các lĩnh vực không chắc chắn và xem xét việc xử lý chúng 1 cách tốt nhất.
- Quản trị rủi ro là phương pháp hệ thống, có cấu trúc, và kịp thời.
- Quản trị rủi ro dựa vào thông tin có sẵn tốt nhất.
- Quản trị rủi ro cần được điều chỉnh cho phù hợp bối cảnh
- Quản trị rủi ro phải xem xét yếu tố con người và văn hóa tổ chức
Phương pháp mô hình trưởng thành (Maturity Model Approach)
Phương pháp mô hình trưởng thành dựa trên yêu cầu rằng chất lượng của quy trình quản trị rủi ro phải được cải tiến theo thời gian. Hệ thống quản trị rủi ro ít trưởng thành sẽ tạo ra ít giá trị hơn so với hệ thống trưởng thành.
Phương diện chính của phương pháp mô hình trưởng thành là liên kết kết quả quản trị rủi ro và tiến trình trong thực hiện kế hoạch rủi ro đến đánh giá kết quả và hệ thống quản lý. Các kết quả đầu ra từ hệ thống như vậy có thể được trình bày bởi quản lý cấp cao và hội đồng như là chứng cứ cho việc cải tiến quản trị rủi ro. Các thành phần của 1 hệ thống bao gồm: