Mô hình quản trị rủi ro doanh nghiệp theo thông lệ quốc tế

Hoàng Thị Đào, Nguyễn Đức Minh Viện Dầu khí Việt Nam Email: [email protected]

Tóm tắt

Bài báo phân tích sự cần thiết của công tác quản trị rủi ro, giới thiệu các mô hình quản trị rủi ro doanh nghiệp theo thông lệ tốt đang được áp dụng trên thế giới hiện nay.

1. Giới thiệu

Việt Nam hội nhập khu vực và quốc tế ngày càng sâu rộng, các doanh nghiệp không chỉ cạnh tranh ở thị trường trong nước mà còn phải cạnh tranh trên phạm vi toàn cầu, đồng thời phải đối mặt với các khó khăn chung từ nền kinh tế như: lạm phát, suy thoái… Trong bối cảnh đó, các doanh nghiệp đã nhận thấy tầm quan trọng của quản trị rủi ro cũng như mối quan hệ giữa quản trị rủi ro và sự phát triển bền vững của doanh nghiệp. Quản trị rủi ro tốt đồng nghĩa với việc doanh nghiệp kiểm soát tốt các tác động và khả năng xảy ra của các rủi ro, ít bị ảnh hưởng bởi các tác động không lường trước và có khả năng triển khai các giải pháp ứng phó kịp thời, hạn chế thấp nhất thiệt hại do rủi ro gây ra.

mo hinh quan tri rui ro doanh nghiep theo thong le quoc te

Để hỗ trợ doanh nghiệp quản lý rủi ro, các hướng dẫn xây dựng quản trị rủi ro doanh nghiệp (Enterprise Risk Management – ERM) đã được các công ty nước ngoài áp dụng. Theo khảo sát của nhóm tác giả tại các doanh nghiệp Việt Nam hoạt động trong lĩnh vực năng lượng, ngân hàng, viễn thông, hóa chất, dệt may… cho thấy các công ty cổ phần, đặc biệt là lĩnh vực tài chính ngân hàng đã và đang tham gia tích cực vào việc xây dựng hệ thống quản trị rủi ro doanh nghiệp theo thông lệ tốt, trong khi đó phần lớn các doanh nghiệp Nhà nước chưa xây dựng hệ thống quản trị rủi ro doanh nghiệp. Nguyên nhân do hệ thống các văn bản pháp lý của Việt Nam chưa có những quy định hay hướng dẫn cụ thể về quản trị rủi ro doanh nghiệp, trừ lĩnh vực tín dụng và ngân hàng, mới dừng lại ở những yêu cầu quản lý, giám sát một số rủi ro thuộc nhóm rủi ro tài chính (bảo toàn vốn, thanh khoản, đầu tư…) và nhóm rủi ro tuân thủ.

Ngoài ra, các doanh nghiệp Việt Nam còn có tâm lý ngại thay đổi, đơn giản hóa sự bất thường trong môi trường kinh doanh; thiếu hụt nhân sự có kiến thức và kỹ năng cần thiết về quản trị rủi ro; tiếng nói từ quản lý cấp cao chưa thực sự mạnh mẽ; văn hóa quản trị rủi ro trong doanh nghiệp chưa cao…

Bài báo phân tích sự cần thiết xây dựng hệ thống quản trị rủi ro doanh nghiệp, giới thiệu các mô hình quản trị rủi ro doanh nghiệp theo thông lệ tốt đang được áp dụng trên thế giới hiện nay để tham khảo áp dụng, đặc biệt là đối với doanh nghiệp nhà nước.

2. Quản trị rủi ro doanh nghiệp

2.1. Khái niệm rủi ro và quản trị rủi ro doanh nghiệp

Với mục đích bảo vệ, rủi ro là tính thiếu chắc chắn và thiên về tổn thất; với mục đích đầu tư, rủi ro là sự mất mát so với dự kiến; với mục đích quản lý dự án, rủi ro là yếu tố chưa tiên đoán được có thể ảnh hưởng tới việc hoàn thành mục tiêu; với đa mục đích, rủi ro là sự phân bố xác suất quanh giá trị trung bình… Như vậy, với cách hiểu thông thường, rủi ro là khả năng xảy ra thiệt hại cho doanh nghiệp do các tình huống có thể xảy ra. Tuy nhiên, trên thực tế hoạt động của doanh nghiệp thường xuyên phải đối mặt với thách thức và cơ hội, khi đó rủi ro đã được nhìn nhận tổng quát hơn, trong đó gồm cả các tình huống có thể đem lại lợi ích cho doanh nghiệp nếu như có sự quản lý phù hợp. Cách hiểu này được các tổ chức tư vấn quốc tế như ISO 31000:2009 [1], COSO1 ERM-2004 [2]…sử dụng để định nghĩa về rủi ro trong việc đưa ra hướng dẫn xây dựng quản trị rủi ro doanh nghiệp: “Rủi ro là ảnh hưởng của các yếu tố không chắc chắn đến mục tiêu của doanh nghiệp”, theo đó:

– Chỉ khi có mục tiêu thì mới có rủi ro, bất kỳ sự thay đổi nào của mục tiêu hoạt động, mục tiêu kinh doanh cũng sẽ làm thay đổi về các rủi ro của doanh nghiệp;

– Rủi ro liên quan đến tính bất định, có thể ảnh hưởng đến mục tiêu doanh nghiệp một cách tiêu cực (đe dọa) và tích cực (cơ hội). Đây là tính 2 mặt của 1 rủi ro khi có thể làm tăng hoặc giảm giá trị doanh nghiệp.

Quản trị rủi ro doanh nghiệp là thiết lập một quy trình mang tính hệ thống và có nguyên tắc được áp dụng để hoạch định chiến lược và áp dụng trong phạm vi toàn doanh nghiệp. Do không thể loại bỏ hoàn toàn các rủi ro nên các doanh nghiệp áp dụng mô hình quản trị rủi ro doanh nghiệp để phát hiện các sự kiện, đánh giá và quản lý những sự kiện có khả năng xảy ra ảnh hưởng tới mục tiêu doanh nghiệp nhằm giảm thiểu tác động tiêu cực và nắm bắt cơ hội.

Hướng tới mục tiêu đưa ra một khung quản trị rủi ro doanh nghiệp hoàn chỉnh, COSO ERM-2004 [2] đã đưa ra định nghĩa về quản trị rủi ro doanh nghiệp được áp dụng phổ biến trong nhiều tổ chức, ngành nghề, quốc gia trên thế giới như sau:“Quản trị rủi ro doanh nghiệp là một quy trình, chịu sự chi phối của Ban Giám đốc, cấp quản lý và các cá nhân khác của doanh nghiệp, được sử dụng trong việc thiết lập chiến lược và áp dụng trong toàn doanh nghiệp. Quản trị rủi ro doanh nghiệp được thiết kế nhằm nhận diện những sự kiện có khả năng ảnh hưởng tới doanh nghiệp và quản lý rủi ro trong khả năng chấp nhận rủi ro của doanh nghiệp, nhằm đưa ra những đảm bảo hợp lý để đạt được những mục tiêu của doanh nghiệp”.

“1.The Committee of Sponsoring Organizations of the Treadway Commission, là một ủy ban thuộc Hội đồng Quốc gia Mỹ về chống gian lận khi lập báo cáo tài chính (The National Commission on Fraudulent Financial Reporting), được thành lập vào năm 1985 dưới sự bảo trợ của 5 tổ chức là: Hiệp hội Kế toán viên Công chứng Mỹ (AICPA); Hội Kế toán Mỹ (American Accounting Association); Hiệp hội Quản trị viên Tài chính (The Financial Executives Institute – FEI); Hiệp hội Kế toán viên Quản trị (Institute of Management Accountants – IMA); Hiệp hội Kiểm toán viên Nội bộ (The Institute of Internal Auditors – IIA).”

2.2. Phân nhóm rủi ro theo yếu tố từ hoạt động kinh doanh của doanh nghiệp

Việc phân nhóm rủi ro từ hoạt động kinh doanh của doanh nghiệp đóng vai trò quan trọng trong việc hỗ trợ doanh nghiệp nhận diện được các tác động lẫn nhau của các rủi ro cùng loại, giúp doanh nghiệp xác định được các ảnh hưởng có thể tác động đến chiến lược, kế hoạch hay các hoạt động kinh doanh. Xuất phát từ các mục tiêu của doanh nghiệp. Rủi ro thường được chia thành 4 nhóm: rủi ro chiến lược, rủi ro tài chính, rủi ro hoạt động, rủi ro tuân thủ. Tùy vào đặc thù của từng doanh nghiệp và mục tiêu quản lý rủi ro của doanh nghiệp các nhóm rủi ro có thể khác nhau để quản lý rủi ro được tập trung và hiệu quả hơn.

– Rủi ro chiến lược, các rủi ro xuất phát từ các vấn đề liên quan đến quản trị, môi trường kinh doanh và các bên liên quan như khách hàng, đối thủ, nhà đầu tư… (kế hoạch và phân bổ nguồn lực, sáp nhập, mua lại, thoái vốn, môi trường kinh doanh, truyền thông và quan hệ với các bên liên quan…);

– Rủi ro hoạt động, các rủi ro liên quan đến việc sử dụng hiệu quả nguồn lực trong hoạt động hàng ngày, rủi ro tới từ các quy trình, hệ thống, con người và văn hóa… hay do ảnh hưởng của các sự kiện bên ngoài. Ví dụ: kinh doanh liên tục, quy trình tác nghiệp hàng ngày, quản lý thông tin, an toàn – sức khỏe – môi trường…;

– Rủi ro tài chính, các rủi ro bắt nguồn từ các giao dịch có tính chất tài chính, bao gồm việc mua, bán, các khoản đầu tư và cho vay hay các hoạt động kinh doanh khác (như rủi ro về lãi suất, tỷ giá, giá hàng hóa, thuế, cấu trúc vốn, tính thanh khoản, tín dụng…);

– Rủi ro tuân thủ, các rủi ro có liên quan tới việc chấp hành các quy định/nội quy của doanh nghiệp, các luật và văn bản pháp lý khác của Nhà nước liên quan đến hoạt động kinh doanh của doanh nghiệp, các vấn đề pháp lý liên quan đến hợp đồng/cam kết (môi trường kiểm soát, đạo đức, gian lận, quy định trong hợp đồng…).

2.3. Các chuẩn mực quốc tế về quản trị rủi ro doanh nghiệp

Theo thống kê, trên thế giới có hơn 80 chuẩn mực/ hướng dẫn về quản trị rủi ro doanh nghiệp [3]. Trong đó có một số tiêu chuẩn và hướng dẫn quản trị rủi ro phổ biến nhất, được áp dụng rộng rãi cho các lĩnh vực, ngành nghề khác nhau.

– COSO ERM-2004 – Khung quản trị rủi ro doanh nghiệp tích hợp, mục tiêu chính là cải thiện hiệu suất hoạt động của tổ chức thông qua việc kết hợp hiệu quả các mục tiêu chiến lược, rủi ro, điều hành và quản trị rủi ro. Cung cấp các khái niệm then chốt cơ bản về quản trị rủi ro, một khung quản trị rủi ro toàn diện, chi tiết các cấu phần. Hướng dẫn áp dụng cho các tổ chức lĩnh vực công nghiệp và hướng tới một quy trình quản trị rủi ro toàn diện.

– ISO 31000:2009 – Nguyên tắc và hướng dẫn chung về quản trị rủi ro, cung cấp hướng dẫn về bản chất và cách thức thực hiện quy trình quản trị rủi ro; đưa ra các hướng dẫn cần thiết thực hiện khung quản trị rủi ro. Hướng dẫn áp dụng cho tất cả các lĩnh vực, hiệp hội, doanh nghiệp.

– AS/NZS ISO 31000:2009 – Tiêu chuẩn quản trị rủi ro áp dụng tại Australia và New Zealand, nội dung tương tự như ISO 31000:2009, nhưng được điều chỉnh để phù hợp với các đặc điểm của Australia và New Zealand.

– BS 31100:2008 – Tiêu chuẩn quản trị rủi ro của Anh, nội dung tương tự ISO 31000:2009;

– FERMA 2002 – Tiêu chuẩn quản trị rủi ro, khá tương đồng với ISO 31000:2009 và COSO ERM, nhưng FERMA 2002 tập trung mô tả các thành phần cần thiết của một hệ thống quản trị rủi ro doanh nghiệp;

– Hiệp ước Basel – Chuẩn mực an toàn vốn lĩnh vực tài chính ngân hàng;

– Sovlvency II:2012 – Quản trị rủi ro cho lĩnh vực bảo hiểm.

Đặc điểm chung của các chuẩn mực/hướng dẫn:

– Tiếp cận trên góc độ toàn doanh nghiệp, dựa trên sự ủng hộ của cấp quản lý, có sự phân chia rõ ràng về các trách nhiệm giải trình;

– Các bước thực hiện, giám sát và báo cáo các rủi ro được cấu trúc rõ ràng;

– Dựa trên sự hiểu biết và phân chia trách nhiệm rõ ràng trong việc xác định “khẩu vị” rủi ro và các giới hạn chấp nhận rủi ro;

– Các hoạt động đánh giá rủi ro và danh mục rủi ro được văn bản hóa một cách chính thức và áp dụng trong toàn doanh nghiệp;

– Các mục tiêu, hoạt động trong quy trình quản trị rủi ro được xây dựng và truyền thông đầy đủ;

– Xây dựng các kế hoạch ứng phó rủi ro được giám sát chặt chẽ.

Trong đó, chuẩn mực của COSO ERM-2004 và hướng dẫn ISO 31000:2009 được tham khảo và sử dụng nhiều nhất, hoặc đóng vai trò nền tảng cơ sở để một số nước đưa ra các điều chỉnh, mở rộng phù hợp với điều kiện riêng của khu vực, quốc gia. Kết quả khảo sát của nhóm tác giả về công tác quản trị rủi ro tại 10 công ty dầu khí nước ngoài cho thấy các công ty này đều đã xây dựng hệ thống quản trị rủi ro doanh nghiệp dựa trên nền tảng của COSO ERM-2004 và/hoặc ISO 31000:2009.

3. Quản trị rủi ro doanh nghiệp theo thông lệ tốt

3.1. Mô hình khung quản trị rủi ro doanh nghiệp

Theo thông lệ tốt nhất, mô hình khung quản trị rủi ro doanh nghiệp [4] gồm có 5 cấu phần chính (Hình 1).

– Chiến lược quản trị rủi ro được xây dựng phù hợp với mục tiêu của doanh nghiệp, định hướng xây dựng các cấu phần khác của khung quản trị rủi ro.

– Cấu trúc quản trị rủi ro là nền tảng của các hoạt động quản lý rủi ro trong doanh nghiệp.

– Chính sách, thủ tục, báo cáo bao gồm các chính sách, thủ tục được văn bản hóa và các kênh báo cáo trong doanh nghiệp.

– Các công cụ quản trị rủi ro sử dụng để phát hiện, tổng hợp, đánh giá và giảm thiểu rủi ro.

– Hệ thống công nghệ thông tin hỗ trợ và tự động hóa hoạt động quản trị rủi ro.

3.2. Nguyên tắc “3 vòng bảo vệ” trong quản trị rủi ro

Một mô hình quản trị rủi ro và kiểm soát hiệu quả cần phải xác định rõ vai trò, trách nhiệm và sự phối hợp trong tổ chức liên quan đến quản trị rủi ro. Nếu thiếu sự hợp tác đầy đủ giữa các bên có thể dẫn đến không phát hiện và quản lý kịp thời các rủi ro xảy ra. Nguyên tắc “3 vòng bảo vệ” cung cấp một cách tiếp cận đơn giản và hiệu quả để tăng cường sự trao đổi giữa quản trị rủi ro và kiểm soát bằng cách làm rõ vai trò và nhiệm vụ của các bên liên quan.

mo hinh quan tri rui ro doanh nghiep theo thong le quoc te Hình 1. Mô hình khung quản trị rủi ro theo thông lệ tốt

Vai trò trách nhiệm trong quản trị rủi ro được thể hiện qua nguyên tắc “3 vòng bảo vệ” đối với doanh nghiệp [5], tách biệt rõ vai trò của 3 nhóm đối tượng liên quan đến quản trị rủi ro hiệu quả. Cung cấp một cách nhìn mới về hoạt động quản trị rủi ro, đảm bảo sự thành công liên tục của các sáng kiến quản trị rủi ro và thích hợp với mọi tổ chức (không phụ thuộc vào quy mô hay sự phức tạp), giúp tăng cường hiệu quả của hệ thống quản trị rủi ro.

mo hinh quan tri rui ro doanh nghiep theo thong le quoc te Hình 2. Nguyên tắc “3 vòng bảo vệ” trong quản trị rủi ro

Nguyên tắc “3 vòng bảo vệ” được xây dựng nhằm hỗ trợ Hội đồng quản trị/Hội đồng thành viên và Ban Tổng giám đốc/Ban Giám đốc trong hoạt động quản trị rủi ro và kiểm soát. Trong đó, Hội đồng quản trị/Hội đồng thành viên và Ban Tổng giám đốc/Ban Giám đốc đảm bảo nguyên tắc “3 vòng bảo vệ” được áp dụng phù hợp với tổ chức doanh nghiệp.

– Vòng bảo vệ 1 phát hiện và quản lý rủi ro

Vòng bảo vệ 1 gồm các bộ phận chức năng kinh doanh và bộ phận chức năng hỗ trợ (nhân sự, công nghệ thông tin, kế toán tài chính…).

Vòng bảo vệ 1 có trách nhiệm duy trì và thực hiện các quy trình kiểm soát, quy trình quản lý rủi ro. Tùy vào sự phân cấp phân quyền trong doanh nghiệp, các trưởng bộ phận thuộc vòng bảo vệ 1 có trách nhiệm xây dựng và triển khai quy trình chi tiết, kiểm soát và giám sát việc thực hiện quy trình của nhân viên.

– Vòng bảo vệ 2 theo dõi, giám sát rủi ro

Vòng bảo vệ 2 có trách nhiệm quản lý rủi ro chung cho toàn doanh nghiệp và tuân thủ; được thiết lập để củng cố, xây dựng và giám sát vòng bảo vệ 1 và đảm bảo rằng vòng bảo vệ 1 đã được thiết kế phù hợp về quy trình, biện pháp kiểm soát và hoạt động đúng như định hướng. Vòng bảo vệ 2 có thể tham gia vào việc sửa đổi và xây dựng hệ thống quản trị rủi ro, kiểm soát nội bộ và tham gia vào hỗ trợ hoạt động của vòng bảo vệ 1.

– Vòng bảo vệ 3 đảm bảo kiểm tra, kiểm toán độc lập đối với vòng bảo vệ 1 và 2

Bao gồm các bộ phận thực hiện hoạt động kiểm toán nội bộ, báo cáo trực tiếp cho Hội đồng quản trị/Hội đồng thành viên về tính hiệu quả của hoạt động quản lý và kiểm soát rủi ro.

3.3. Cấu trúc quản trị rủi ro

Cấu trúc quản trị rủi ro thông lệ tốt mà các doanh nghiệp đang áp dụng, đặc biệt được áp dụng phổ biến ở các nước đang phát triển, trong đó có Việt Nam (Hình 3) [6]. Trong đó:

– Hội đồng quản trị/Hội đồng thành viên: giám sát tổng thể hoạt động quản lý rủi ro; đưa ra định hướng về “khẩu vị” rủi ro.

– Ban điều hành: chịu trách nhiệm triển khai quản lý rủi ro cho doanh nghiệp; quản lý và giám sát hồ sơ rủi ro doanh nghiệp; đóng vai trò tiên phong trong việc thúc đẩy văn hóa rủi ro, tăng cường nhận thức và chia sẻ về rủi ro; phân tích rủi ro trước khi đưa ra các quyết định quan trọng.

– Đơn vị kinh doanh: tuân thủ chính sách quản lý rủi ro; đảm bảo các rủi ro trong đơn vị được xác định và giảm thiểu; chịu trách nhiệm cho các rủi ro trong các hoạt động của đơn vị.

– Cán bộ nhân viên: quản lý rủi ro trong các hoạt động nghiệp vụ thuộc trách nhiệm của mình.

– Ủy ban Kiểm toán: giám sát việc xây dựng, triển khai của mô hình và chính sách quản lý rủi ro; giám sát các hồ sơ rủi ro của doanh nghiệp.

– Kiểm toán nội bộ: giám sát độc lập đối với các rủi ro được lựa chọn và các hệ thống, quy trình quản lý rủi ro.

– Bộ phận quản lý rủi ro: hỗ trợ về phương pháp tiếp cận quản lý rủi ro; duy trì mô hình và chính sách quản lý rủi ro; cung cấp các công cụ quản lý rủi ro, đào tạo, hướng dẫn và hỗ trợ các đơn vị.

mo hinh quan tri rui ro doanh nghiep theo thong le quoc te Hình 4. Quy trình quản lý rủi ro

– Đầu mối quản lý rủi ro tại đơn vị: điều phối các hoạt động quản lý rủi ro và văn hóa quản lý rủi ro tại đơn vị.

Tùy vào quy mô của từng doanh nghiệp, có thể không có Ủy ban Kiểm toán hoặc ngoài Ủy ban Kiểm toán còn có các ủy ban khác (như Ủy ban Đầu tư, Ủy ban Lương thưởng…) để giúp Hội đồng thành viên/Hội đồng quản trị kiểm soát công tác quản lý rủi ro trong doanh nghiệp. Đầu mối quản lý rủi ro tại đơn vị cần được đào tạo, hướng dẫn về đánh giá rủi ro theo khung quản trị rủi ro doanh nghiệp.

3.4. Quy trình quản lý rủi ro

Theo thông lệ tốt, quy trình quản trị rủi ro gồm 6 bước [6], có tính liên tục (Hình 4).

Bước 1: Thiết lập bối cảnh, xây dựng bối cảnh môi trường kinh doanh trong việc thực hiện mục tiêu, chiến lược của doanh nghiệp để từ đó xác định được giới hạn xử lý rủi ro, mức độ quản lý rủi ro (hoạt động nào quản lý, hoạt động nào không quản lý) và liên kết các hoạt động với các bước công việc chính trong quản lý rủi ro.

Bước 2: Nhận diện rủi ro

Phát hiện các sự kiện có thể ảnh hưởng đến việc thực hiện mục tiêu chiến lược của doanh nghiệp, công tác sản xuất kinh doanh, các dự án…; phân chia cấp rủi ro và phân nhóm rủi ro để quản lý, gồm có rủi ro cấp doanh nghiệp và rủi ro cấp đơn vị.

Bước 3: Đánh giá rủi ro

Đánh giá khả năng xảy ra và mức độ ảnh hưởng của các rủi ro, xem xét các biện pháp kiểm soát rủi ro. Xếp hạng các rủi ro để xác định mức độ ưu tiên quản lý dựa trên bộ tiêu chí đo lường được lượng hóa gắn với giá trị cụ thể cho khả năng xảy ra của rủi ro và mức độ ảnh hưởng của rủi ro (tài chính, phi tài chính); từ đó xác định mức độ chấp nhận rủi ro của doanh nghiệp cho từng loại rủi ro.

Bước 4: Ứng phó rủi ro

Xác định các biện pháp, xây dựng các kế hoạch hành động và giám sát cụ thể nhằm giảm rủi ro xuống mức có thể chấp nhận được. Các phương án ứng phó rủi ro tương ứng với mức độ rủi ro và chi phí của từng phương án ứng phó:

+ Chấp nhận rủi ro (ví dụ về biến động giá dầu là một rủi ro đặc thù của ngành dầu khí, các doanh nghiệp thường chấp nhận rủi ro này và thực hiện kế hoạch theo dõi, giám sát thường xuyên để có phương án kịp thời cùng với xây dựng các kịch bản giá dầu, xem xét kết hợp với các các giải pháp ứng phó khác);

+ Tránh rủi ro là việc quyết định không tiếp tục đầu tư, hoặc lựa chọn kế hoạch đầu tư thay thế với rủi ro có thể chấp nhận được mà vẫn đạt được mục tiêu về chiến lược kinh doanh (ví dụ doanh nghiệp có thể quyết định không đầu tư ở khu vực có chiến sự);

+ Giảm khả năng xảy ra rủi ro và/hoặc giảm mức độ tác động của rủi ro (ví dụ sử dụng các thiết bị an toàn và đào tạo về an toàn cháy nổ trong môi trường hoạt động có nguy cơ cao về cháy nổ);

+ Chuyển giao một phần hoặc toàn bộ rủi ro thường được thực hiện thông qua các hợp đồng (như các hợp đồng bảo hiểm là hình thức chuyển giao rủi ro thường hay được sử dụng nhất; hợp đồng liên doanh…).

Lựa chọn các phương án ứng phó rủi ro linh hoạt, trong một số trường hợp, có thể sử dụng kết hợp nhiều phương án ứng phó rủi ro để đạt được hiệu quả cao nhất.

Bước 5: Kiểm soát rủi ro

Thực hiện các quy trình, biện pháp để kiểm soát và ứng phó với rủi ro:

+ Kiểm soát phòng ngừa: các biện pháp xử lý để ngăn chặn các lỗi, sự cố hay hành động/giao dịch không mong muốn xảy ra;

+ Kiểm soát phát hiện: giám sát hoạt động/quy trình để xác định các biện pháp kiểm soát phòng ngừa còn thiếu sót và lỗi, sự cố hay hành động/giao dịch, từ đó có các biện pháp ứng phó phù hợp;

+ Kiểm soát khắc phục: các biện pháp xử lý để khôi phục về trạng thái ban đầu hoặc giảm hậu quả, thiệt hại của các lỗi, sự cố hay hành động/giao dịch đã xảy ra.

Bước 6: Giám sát và báo cáo – giám sát và báo cáo hoạt động quản lý rủi ro và những thay đổi có thể ảnh hưởng đến hệ thống quản lý rủi ro doanh nghiệp.

Quy trình giám sát và báo cáo được thực hiện nhằm đánh giá tính hiệu quả và sự phù hợp của khung quản trị rủi ro doanh nghiệp. Bằng cách thường xuyên giám sát rủi ro và đánh giá hiệu quả của việc xử lý rủi ro, doanh nghiệp có thể điều chỉnh chương trình quản lý rủi ro phù hợp với tình hình cụ thể. Giám sát các rủi ro hiện tại, các rủi ro mới xuất hiện thông qua các chỉ số rủi ro chính KRI (Key Risk Indicator, là một chỉ số dự báo về các rủi ro hiện tại hoặc tương lai có thể quan sát hay đo lường được). Báo cáo các bên liên quan về quy trình quản lý rủi ro, gồm:

+ Đánh giá hiệu quả của hoạt động kiểm soát (có thực hiện đúng không);

+ Đánh giá hiệu quả của khung quản trị rủi ro doanh nghiệp;

+ Các rủi ro còn lại sau khi đã áp dụng các giải pháp ứng phó.

4. Sự cần thiết của quản lý rủi ro doanh nghiệp

Mục tiêu của quản trị rủi ro doanh nghiệp không chỉ dừng ở việc giảm thiểu rủi ro, mà là quản lý các rủi ro một cách hiệu quả, toàn diện, làm cơ sở cho việc bảo toàn và phát triển các giá trị của tổ chức. Nói cách khác, quản trị rủi ro doanh nghiệp giúp cấp quản lý đưa ra các quyết định chính xác, hiệu quả; giảm thiểu thiệt hại trong quá trình vận hành doanh nghiệp.

Tầm quan trọng của quản trị rủi ro doanh nghiệp đối với doanh nghiệp nói chung:

– Tăng cường công tác quản trị doanh nghiệp: quản trị rủi ro doanh nghiệp hỗ trợ tích cực cho quản trị doanh nghiệp, bằng cách cung cấp thông tin cho Hội đồng quản trị/Hội đồng thành viên các rủi ro trọng yếu và các biện pháp cần thực hiện. Một trong những mục tiêu chủ chốt trong hoạt động quản trị doanh nghiệp đó là đảm bảo doanh nghiệp hoạt động bền vững và liên tục tăng cường các giá trị như tài chính, thị phần, thương hiệu…

– Hỗ trợ doanh nghiệp hoàn thành mục tiêu chiến lược đã đề ra thông qua các công cụ quản trị rủi ro, cụ thể:

+ Đánh giá khả năng xảy ra và ảnh hưởng của các tình huống xấu, xây dựng các biện pháp ngăn ngừa, ứng phó, hoặc quản lý ảnh hưởng của các tình huống tới doanh nghiệp trong trường hợp xảy ra;

+ Quản trị rủi ro không tập trung vào các rủi ro cụ thể mà vào nguồn gốc gây ra thiệt hại cho doanh nghiệp. Từ đó hỗ trợ cấp quản lý trong việc cải thiện hiệu quả hoạt động của doanh nghiệp thông qua việc tập trung vào việc giảm thiểu các nguyên nhân dẫn tới giảm doanh thu, lợi nhuận, tránh các tình huống bị động;

+ Doanh nghiệp ứng phó hiệu quả với môi trường kinh doanh thay đổi thông qua việc nhận diện, ưu tiên và lập kế hoạch ứng phó với các rủi ro giúp doanh nghiệp chủ động xử lý tình huống khủng hoảng;

– Xây dựng lòng tin và đáp ứng kỳ vọng ngày càng cao của nhà đầu tư và các bên liên quan: Hiện nay, các nhà đầu tư, các tổ chức đánh giá tín dụng có thể yêu cầu doanh nghiệp công bố khả năng quản lý rủi ro để có cơ sở đánh giá mức độ tương quan giữa lợi nhuận có thể thu được và rủi ro có thể gặp phải. Nếu các doanh nghiệp quản lý rủi ro tốt sẽ xử lý được các vấn đề hiệu quả hơn đối với các rủi ro mới xuất hiện trong hoạt động kinh doanh;

– Nhất quán chiến lược và văn hóa rủi ro: Quản trị rủi ro doanh nghiệp giúp cấp quản lý tập trung thiết lập chính sách, xác định trọng tâm, cơ chế điều hành, cải thiện các công cụ định lượng rủi ro, tăng cường trách nhiệm quản lý rủi ro và tạo điều kiện cho việc nhận diện kịp thời các thay đổi danh mục rủi ro của doanh nghiệp;

– Tối ưu nguồn lực doanh nghiệp sử dụng cho quản lý và xử lý các rủi ro chính: Quản trị rủi ro cho phép doanh nghiệp thiết lập quy trình chuẩn trong việc nhận diện, đánh giá, phân tích, ưu tiên và quản lý các rủi ro chính.

Doanh nghiệp sẽ tiết kiệm được thời gian, chi phí, nhân sự trong quá trình khắc phục, giảm thiểu các rủi ro chính;

– Tối ưu tương quan lợi nhuận và rủi ro: Quản trị rủi ro doanh nghiệp dựa trên mức độ rủi ro chấp nhận, giám sát, theo dõi và quản lý rủi ro một cách hợp lý, giúp doanh nghiệp kịp thời nắm bắt được các cơ hội (rủi ro cao, lợi nhuận cao).

Hệ thống văn bản pháp luật của Việt Nam chưa có quy định cụ thể về quản lý rủi ro cho doanh nghiệp, trừ lĩnh vực tài chính ngân hàng.

Luật Doanh nghiệp 2014 [7], có quy định bắt buộc về việc thành lập, quyền và trách nhiệm của Ban Kiểm soát (đối với công ty cổ phần). Ban Kiểm soát có trách nhiệm giám sát và đánh giá hiệu lực và mức độ tuân thủ quy chế kiểm toán nội bộ, quy chế quản lý và phòng ngừa rủi ro, quy chế báo cáo và các quy chế quản trị nội bộ khác của công ty. Ngoài ra, các luật chuyên ngành như: điện lực; dầu khí; tài nguyên, môi trường biển và hải đảo; bảo hiểm… không có quy định cụ thể nào về quản lý rủi ro.

Nghị định số 87/2015/NĐ-CP [8], Điều 12, Mục 1, Chương 3 quy định doanh nghiệp phải xây dựng ban hành các quy trình quản lý phục vụ giám sát tài chính, đánh giá hiệu quả (gồm các quy trình ngân sách và dự báo, kế toán, lập báo cáo tài chính hợp nhất, quy trình quản lý rủi ro tài chính, kế hoạch sản xuất kinh doanh, quy chế giám sát tài chính và đánh giá hiệu quả đối với công ty con/liên kết).

Nghị định 91/2015/NĐ-CP [9], Điều 22, Mục 1, Chương 3, quy định các biện pháp bảo toàn vốn như: thực hiện đúng chế độ quản lý sử dụng vốn, tài sản, phân phối lợi nhuận, chế độ quản lý tài chính khác và chế độ kế toán theo quy định của pháp luật; mua bảo hiểm tài sản theo quy định của pháp luật; xử lý kịp thời giá trị tài sản tổn thất, các khoản nợ không có khả năng thu hồi và trích lập các khoản dự phòng rủi ro (giảm giá hàng tồn kho; khoản phải thu khó đòi; giảm giá các khoản đầu tư tài chính; bảo hành sản phẩm, hàng hóa, công trình xây lắp).

Thông tư 210/2009/TT-BTC [10], có quy định cụ thể trình bày báo cáo tài chính và thuyết minh thông tin đối với công cụ tài chính, đánh giá bản chất cũng như phạm vi của các rủi ro phát sinh từ công cụ tài chính và cách thức quản trị rủi ro của đơn vị.

Đối với các tổ chức tín dụng, ngân hàng, đã có quy định về yêu cầu thực hiện các biện pháp đảm bảo các tỷ lệ an toàn hệ thống, nguyên tắc quản lý rủi ro trong hoạt động ngân hàng điện tử; đang dự thảo xây dựng quy định về quản lý rủi ro trong hoạt động ngân hàng, tiếp cận với các quy định quốc tế Basel II.

Như vậy, các quy định pháp lý về quản lý rủi ro đối với các doanh nghiệp, trừ lĩnh vực tín dụng, ngân hàng, mới dừng lại ở yêu cầu quản lý, giám sát một số rủi ro thuộc nhóm rủi ro tài chính (bảo toàn vốn, thanh khoản, đầu tư…) và nhóm rủi ro tuân thủ hoặc quy định chức năng giám sát, kiểm tra của của Ban Kiểm soát, mà chưa có quy định/hướng dẫn cụ thể cho doanh nghiệp cách thức để phòng ngừa rủi ro.

Đối với Tập đoàn Dầu khí Việt Nam, quản trị rủi ro rất cần thiết do dầu khí là lĩnh vực có rủi ro cao từ yếu tố ngành nghề (tỷ lệ dự án thăm dò không thành công cao, chi phí đầu tư lớn, thời gian đầu tư kéo dài dẫn đến rủi ro về dòng tiền…), từ yếu tố tài chính (biến động giá dầu, biến động tỷ giá, nguồn cung/nhu cầu…), từ yếu tố vận hành (an toàn vận hành, an toàn sức khỏe môi trường, từ các quy định mới (hiệp định thương mại, thuế, tuân thủ luật pháp…).

Theo kết quả khảo sát [11], công tác quản trị rủi ro đã và đang được Tập đoàn triển khai, tuy nhiên một số đơn vị thành viên chưa quan tâm đúng mức đến công tác này hoặc cách thức triển khai chưa đồng bộ. Do vậy, khi có rủi ro xảy ra thường bị động trong giải quyết, khắc phục hậu quả như rủi ro trong quản lý dự án đầu tư, biến động tỷ giá, giá dầu thô sụt giảm và duy trì ở mức thấp…

5. Kết luận

Việc xây dựng hệ thống quản trị rủi ro doanh nghiệp hiệu quả là rất cần thiết và cấp bách đối với các doanh nghiệp Việt Nam để có thể phát triển bền vững trong môi trường kinh doanh ngày càng nhiều biến động. Trong đó, yếu tố quyết định sự thành công và hiệu quả của hệ thống quản trị rủi ro doanh nghiệp là sự cam kết của lãnh đạo cấp cao, là người hỗ trợ, sở hữu và định hướng cho hoạt động quản trị rủi ro doanh nghiệp.

Để quản lý rủi ro hiệu quả, Tập đoàn Dầu khí Việt Nam cần xây dựng mô hình quản trị rủi ro theo thông lệ tốt, trên cơ sở xem xét yếu tố đặc thù, để đảm bảo mọi rủi ro được phát hiện kịp thời, giám sát và quản lý một cách hiệu quả. Bài viết tiếp theo nhóm tác giả sẽ đưa ra khuyến nghị xây dựng mô hình quản trị rủi ro cho Tập đoàn Dầu khí Việt Nam trên cơ sở nghiên cứu hiện trạng quản trị rủi ro và tham khảo các công ty dầu khí nước ngoài có mô hình hoạt động tương tự.

Tài liệu tham khảo

1. International Organizationfor Standardization. Risk management – Principles and guidelines. ISO 31000:2009.

2. The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Enterprise risk management framework. 2004.

3. John Shortreed, John Hicks, Lorraine Craig. Basic frameworks for risk management. Network for Environmental Risk Assessment and Management. 2003.

4. Công ty TNHH Deloitte Việt Nam. Báo cáo khảo sát mô hình quản trị rủi ro doanh nghiệp cho Tập đoàn Dầu khí Việt Nam. 2016.

5. The Institute of Internal Auditors. The three lines of defense in effective risk management and control. 2013.

6. Công ty TNHH Pricewaterhouse Coopers Việt Nam (PwC). Tài liệu đào tạo quản trị rủi ro. 2016.

7. Quốc hội nước Cộng hòa XHCN Việt Nam (Khóa XIII). Luật Doanh nghiệp. Số 68/2014/QH13. 26/11/2014.

8. Thủ tướng Chính phủ. Giám sát đầu tư vốn Nhà nước vào doanh nghiệp; giám sát tài chính, đánh giá hiệu quả hoạt động và công khai thông tin tài chính của doanh nghiệp nhà nước và doanh nghiệp có vốn nhà nước. Nghị định số 87/2015/NĐ-CP. 6/10/2015.

9. Thủ tướng Chính phủ. Đầu tư vốn Nhà nước vào doanh nghiệp và quản lí, sử dụng vốn, tài sản tại doanh nghiệp. Nghị định số 91/2015/NĐ-CP. 13/10/2015.

10. Bộ Tài chính. Hướng dẫn áp dụng chuẩn mực kế toán quốc tế về trình bày báo cáo tài chính và thuyết minh thông tin đối với công cụ tài chính. Thông tư số 210/2009/ TT-BTC. 6/11/2009.

11. Viện Dầu khí Việt Nam (VPI). Nghiên cứu đề xuất mô hình tổ chức quản trị rủi ro cho Tập đoàn Dầu khí Việt Nam. 2017.

Summary

ENTERPRISE RISK MANAGEMENT MODEL ACCORDING TO INTERNATIONAL PRACTICES

Hoang Thi Dao, Nguyen Duc Minh

Vietnam Petroleum Institute Email: [email protected]

Effective risk management helps firms monitor and minimise the negative impacts of risks through timely implementation of planned risk responses. However, in Vietnam, there is a lack of regulations, guidelines and tools to support firms in properly establishing risk management system. This paper analyses the need for risk management and discusses enterprise risk management models accord- ing to good practices that are being applied worldwide.

pvn.vn