Bài viết ph.â.n tích khái niệm, vai trò quản trị r.ủ.i ro trong kinh doanh, đưa ra mô hình và quy trình quản trị r.ủ.i r.o nhằm giúp DN giám sát toàn diện hoạt động SXKD, đảm bảo DN hoạt động bền vững, tối ưu nguồn lực sử dụng và gia tăng vị thế, uy tín của DN trong bối cảnh ngày nay.
1. Rủi ro trong kinh doanh và quản trị rủi ro trong kinh doanh
Theo các tổ chức tư vấn quốc tế như ISO 31000:2009 [1], COSO1 ERM-2004 [2]: “Rủi ro là ảnh hưởng của các yếu tố không chắc chắn đến mục tiêu của doanh nghiệp”. Như vậy, rủi ro trong kinh doanh là “sự không chắc chắn” có thể đo lường được trong các kết quả có thể xảy ra của một hoạt động. Rủi ro vừa là nguy cơ, cũng vừa là cơ hội liên quan đến các sự kiện không chắc chắn trong tương lai. Rủi ro có thể có ảnh hưởng tích cực hoặc tiêu cực lên hoạt động của doanh nghiệp, tổ chức. Do đó, việc tận dụng rủi ro có thể giúp DN tạo ra được lợi nhuận cao hơn nhờ đạt được lợi thế cạnh tranh. Ngược lại, không chấp nhận rủi ro sẽ có khuynh hướng khiến doanh nghiệp kém năng động.
Quản trị rủi ro trong kinh doanh là quá trình tiếp cận rủi ro một cách khoa học và có hệ thống nhằm nhận dạng, phân tích, đo lường, đánh giá rủi ro, để từ đó tìm các biện pháp kiểm soát, khắc phục, giảm thiểu các hậu quả của rủi ro đồng thời tìm cách biến rủi ro thành những cơ hội thành công đối với hoạt động kinh doanh nhằm sử dụng tối ưu các nguồn lực của DN.
Quản trị rủi ro trong kinh doanh là công cụ để giám sát toàn diện hoạt động SXKD của DN một cách hiệu quả, là vũ khí tốt nhất để chống lại những thảm họa đối với dự án, kế hoạch của doanh nghiệp. Mục tiêu của quản trị rủi ro doanh nghiệp không chỉ là để hạn chế tối đa ảnh hưởng theo hướng bất lợi của sự không chắc chắn lên DN, mà còn là để tận dụng được các biến động có lợi của các sự kiện này, làm cơ sở cho việc bảo toàn và phát triển các giá trị của tổ chức.
Quản trị rủi ro doanh nghiệp hỗ trợ tích cực cho việc giám sát hoạt động SXKD của DN, bằng cách cung cấp thông tin cho Hội đồng quản trị/Hội đồng thành viên các rủi ro trọng yếu và các biện pháp cần thực hiện, đảm bảo DN hoạt động bền vững, tối ưu nguồn lực sử dụng và liên tục tăng cường các giá trị như tài chính, thị phần, thương hiệu, tăng vị thế, uy tín của doanh nghiệp, xây dựng lòng tin và đáp ứng kỳ vọng ngày càng cao của nhà đầu tư và các bên liên quan.
2. Mô hình quản trị rủi ro giám sát hoạt động SXKD của DN
Một mô hình quản trị rủi ro trong hoạt động SXKD của DN phải được cấu thành từ 5 yếu tố chính đó là: (1) Chiến lược quản trị rủi ro; (2) Cấu trúc quản trị rủi ro; (3) Các chính sách, thủ tục được văn bản hóa và các kênh báo cáo trong doanh nghiệp; (4) các công cụ quản trị rủi ro sử dụng để phát hiện, tổng hợp, đánh giá và giảm thiểu rủi ro; (5) Hệ thống công nghệ thông tin hỗ trợ và tự động hóa hoạt động quản trị rủi ro. Trong đó, chiến lược quản trị rủi ro được xây dựng phù hợp với mục tiêu của doanh nghiệp, định hướng xây dựng các cấu phần khác của khung quản trị rủi ro; Còn cấu trúc quản trị rủi ro là nền tảng của các hoạt động quản lý rủi ro trong doanh nghiệp.
Mô hình quản trị rủi ro giảm sát toàn diện hoạt động SXKD của DN phải được thiết kế theo nguyên tắc “3 tuyến phòng thủ”
Tuyến phòng thủ nhất phát hiện và quản lý rủi ro, gồm các bộ phận chức năng kinh doanh và bộ phận hỗ trợ như nhân sự, công nghệ thông tin, kế toán.
Tuyến phòng thủ hai theo dõi và giám sát rủi ro, giám sát tuyến phòng thủ thứ nhất, đảm bảo tuyến phòng thủ thứ nhất đã được thiết kế đúng định hướng.
Tuyến phòng thủ thứ ba bao gồm các bộ phận thực hiện hoạt động kiểm toán nội bộ, báo cáo trực tiếp cho Hội đồng quản trị/Hội đồng thành viên về tính hiệu quả của hoạt động quản lý và kiểm soát rủi ro đảm bảo kiểm tra, kiểm toán độc lập đối với tuyến phòng thủ thứ nhất và thứ hai.
Chẳng hạn như để quản trị rủi ro liên quan đến năng lực của nhân sự mới có thể dẫn tới doanh thu đạt được không như kỳ vọng của phòng kinh doanh, bộ phận chức năng kinh doanh của DN (tuyến phòng thủ thứ nhất) thiết kế hệ thống đào tạo nhằm đào tạo ứng viên mới vào có thể bắt nhịp với công việc nhanh nhất từ đó giảm thiểu được loại rủi ro này; Các nhân viên của phòng tài chính và nhân sự (tuyến phòng thủ thứ hai) sẽ đánh giá hiệu quả của quá trình đào tạo xem chi phí bỏ ra cho đào tạo có hợp lý và tuân thủ với ngân sách không, đào tạo xong năng lực của nhân sự có tốt hơn không thông qua các bài kiểm tra và năng lực thực tế khi làm việc; Tuyến phòng thủ thứ ba sẽ là sự đánh giá độc lập của kiểm toán nội bộ với tính hiệu quả của kiểm soát liên quan đến đào tạo nhân viên mới. Kiểm toán ngoài đánh giá tính hiệu quả trong việc vận hành kiểm soát này còn tiến hành đánh giá thêm liệu rằng kiểm soát này được thiết kế như vậy đã thực sự phù hợp hay chưa.
Một quy trình quản trị rủi ro giám sát toàn diện hoạt động SXKD của DN bao gồm 6 bước chính sau đây:
Bước 1: Thiết lập bối cảnh, xây dựng bối cảnh môi trường kinh doanh trong việc thực hiện mục tiêu, chiến lược của doanh nghiệp.
Việc thiết lập bối cảnh, xây dựng bối cảnh môi trường kinh doanh trong việc thực hiện mục tiêu, chiến lược của doanh nghiệp sẽ giúp DN xác định được giới hạn xử lý rủi ro, mức độ quản lý rủi ro (hoạt động nào quản lý, hoạt động nào không quản lý) và liên kết các hoạt động với các bước công việc chính trong quản lý rủi ro.
Bước 2: Nhận diện rủi ro
Trong hoạt động SXKD, Có rất nhiều cơ hội để rủi ro trong một DN có thể xảy ra nếu cách tổ chức hệ thống quản trị rủi ro vẫn còn kém hiệu quả. Hàng ngày DN phải đối mặt với hàng loạt các rủi ro. Để quản trị rủi ro thì việc đầu tiên chính là xác định được danh mục các rủi ro này. Việc nhận diện rủi ro giúp DN “khoanh vùng” và xác định dấu hiệu xuất hiện rủi ro, tránh bỏ sót các dấu hiệu, làm tăng kết quả độ tin cậy của việc nhận diện các rủi ro. Tùy thuộc vào loại hình hoạt động kinh doanh của mỗi DN mà có các loại rủi ro khác nhau.
Thông thường, các DN sản xuất sẽ có bốn loại rủi ro: (i) Rủi ro chiến lược; (ii) Rủi ro vận hành; (iii) Rủi ro tuân thủ; và (IV) Rủi ro tài chính. Đối với các DN là các tổ chức tín dụng, rủi ro có thể có nhiều hơn như: rủi ro tín dụng; rủi ro thị trường… DN cần căn cứ vào những đặc trưng về ngành nghề, lĩnh vực hoạt động, quy mô… để quyết định xem đâu là rủi ro trọng yếu. Ví dụ: đối với một doanh nghiệp sản xuất, chi phí năng lượng có thể rất quan trọng. Trong khi đối với một công ty quảng cáo, rủi ro này lại không phải vấn đề.
Để nhận diện được rủi ro DN có thể sử dụng các phương pháp như là: phương pháp xem xét các dữ liệu quá khứ, phương pháp động não, phương pháp Delphi, phương pháp hỏi ý kiến chuyên gia, phương pháp sử dụng phiếu kiểm tra hoặc bảng hỏi. Mỗi một phương pháp đều có những ưu điểm và hạn chế riêng, do đó việc sử dụng kết hợp các phương pháp này để có kết quả tốt nhất là hết sức cần thiết.
Bước 3: Đánh giá rủi ro
DN cần xác định và đánh giá được các loại rủi ro mà DN phải đối mặt từ đó xây dựng chiến lược quản trị rủi ro đúng đắn. Theo thông lệ quốc tế thì việc đánh giá rủi ro này thường dựa trên hai tiêu chí: tần xuất xảy ra rủi ro và mức độ ảnh hưởng của rủi ro.
Để đánh giá được rủi ro, các nhà quản trị rủi ro phải đo lường tần xuất xảy ra của các rủi ro và xây dựng thước đo mức độ ảnh hưởng, tác động của rủi ro đối với để từ đó áp dụng thước đo này vào các rủi ro đã được xác định.
Bước 4: Ứng phó rủi ro
Ứng phó rủi ro là xác định cách thức phản ứng đối với các rủi ro đã được nhận dạng nhằm giảm rủi ro xuống mức có thể chấp nhận được.
Sau khi đánh giá các rủi ro dựa trên hai khía cạnh tần suất và ảnh hưởng, rủi ro sẽ được ứng phó bằng một trong 4 chiến lược: Giảm thiểu, né tránh, chấp nhận, rủi ro
Bước 5: hoạt động kiểm soát rủi ro
Hoạt động kiểm soát rủi ro là các biện pháp, quy trình, thủ tục được thực thi nghiêm túc trong toàn tổ chức nhằm đảm bảo chỉ thị của ban lãnh đạo trong giảm thiểu rủi ro và tạo điều kiện cho tổ chức đạt được mục tiêu đã đặt ra. Hoạt động kiểm soát rủi ro lý tưởng có ba đặc điểm: (i) được thiết kế một cách cẩn thận; (ii) hoạt động có hiệu quả và (iii) được cập nhật thường xuyên.
Sự hiểu biết chắc chắn về quá trình kinh doanh cơ bản, và sự tham gia của các nhân viên trực tiếp tham gia vào quá trình kinh doanh là rất quan trọng cho việc tạo ra các hoạt động kiểm soát tốt những rủi ro đang cần được giải quyết.
Thông thường có ba loại hoạt động kiểm soát:
Hoạt động kiểm soát phòng ngừa (hay còn gọi là các hoạt động kiểm soát trước) được thiết kế để tránh những sai sót trước khi giao dịch được xử lý. Ví dụ: danh sách ủy quyền (kiểm tra xem mã ủy quyền có đúng hay không), hạn chế truy cập bảo mật.
Hoạt động kiểm soát phát hiện được thiết kế nhằm giám sát hoạt động/quy trình để xác định các biện pháp kiểm soát phòng ngừa còn thiếu sót và lỗi, sự cố hay hành động/giao dịch, từ đó có các biện pháp ứng phó phù hợp.
Hoạt động kiểm soát dò tìm (còn được gọi là các hoạt động kiểm soát sau) được thiết kế để xác định các sai sót hoặc bất thường đã xảy ra và cho phép quản lý có hành động khắc phục kịp thời. Ví dụ: các bước xử lý đối chiếu và đánh giá báo cáo ngoại lệ.
Bước 6: Giám sát - Báo cáo
Giám sát và báo cáo hoạt động quản lý rủi ro và những thay đổi có thể ảnh hưởng đến hệ thống quản lý rủi ro doanh nghiệp. Quy trình giám sát và báo cáo được thực hiện nhằm đánh giá tính hiệu quả và sự phù hợp của khung quản trị rủi ro doanh nghiệp. Bằng cách thường xuyên giám sát rủi ro và đánh giá hiệu quả của việc xử lý rủi ro, DN có thể điều chỉnh chương trình quản lý rủi ro phù hợp với tình hình cụ thể. Giám sát các rủi ro hiện tại, các rủi ro mới xuất hiện thông qua các chỉ số rủi ro chính KRI (Key Risk Indicator, là một chỉ số dự báo về các rủi ro hiện tại hoặc tương lai có thể quan sát hay đo lường được). Báo cáo các bên liên quan về quy trình quản lý rủi ro, gồm:
Đánh giá hiệu quả của hoạt động kiểm soát (có thực hiện đúng không);
Đánh giá hiệu quả của khung quản trị rủi ro doanh nghiệp;
Các rủi ro còn lại sau khi đã áp dụng các giải pháp ứng phó.
Theo Trần Thị Hoa Thơm
