Trần Thị Hoa Thơm
Khoa Kinh tế
Tóm tắt:
Rủi ro là một yếu tố mà doanh nghiệp (DN) nào cũng phải đối mặt trong các hoạt động sản xuất kinh doanh (SXKD). Quản trị rủi ro trong hoạt động SXKD của DN không chỉ dừng ở việc giảm thiểu rủi ro, mà là quản lý các rủi ro một cách hiệu quả, toàn diện, làm cơ sở cho việc bảo toàn và phát triển các giá trị của DN. Bài viết phân tích khái niệm, vai trò quản trị rủi ro trong kinh doanh, đưa ra mô hình và quy trình quản trị rủi ro nhằm giúp DN giám sát toàn diện hoạt động SXKD, đảm bảo DN hoạt động bền vững, tối ưu nguồn lực sử dụng và gia tăng vị thế, uy tín của DN trong bối cảnh ngày nay.
Từ khóa: rủi ro, quản trị rủi ro, sản xuất kinh doanh, doanh nghiệp
-
Rủi ro trong kinh doanh và quản trị rủi ro trong kinh doanh
Theo các tổ chức tư vấn quốc tế như ISO 31000:2009 [1], COSO1 ERM-2004 [2]: “Rủi ro là ảnh hưởng của các yếu tố không chắc chắn đến mục tiêu của doanh nghiệp”. Như vậy, rủi ro trong kinh doanh là “sự không chắc chắn” có thể đo lường được trong các kết quả có thể xảy ra của một hoạt động. Rủi ro vừa là nguy cơ, cũng vừa là cơ hội liên quan đến các sự kiện không chắc chắn trong tương lai. Rủi ro có thể có ảnh hưởng tích cực hoặc tiêu cực lên hoạt động của doanh nghiệp, tổ chức. Do đó, việc tận dụng rủi ro có thể giúp DN tạo ra được lợi nhuận cao hơn nhờ đạt được lợi thế cạnh tranh. Ngược lại, không chấp nhận rủi ro sẽ có khuynh hướng khiến doanh nghiệp kém năng động.
Quản trị rủi ro trong kinh doanh là quá trình tiếp cận rủi ro một cách khoa học và có hệ thống nhằm nhận dạng, phân tích, đo lường, đánh giá rủi ro, để từ đó tìm các biện pháp kiểm soát, khắc phục, giảm thiểu các hậu quả của rủi ro đồng thời tìm cách biến rủi ro thành những cơ hội thành công đối với hoạt động kinh doanh nhằm sử dụng tối ưu các nguồn lực của DN.
Quản trị rủi ro trong kinh doanh là công cụ để giám sát toàn diện hoạt động SXKD của DN một cách hiệu quả, là vũ khí tốt nhất để chống lại những thảm họa đối với dự án, kế hoạch của doanh nghiệp. Mục tiêu của quản trị rủi ro doanh nghiệp không chỉ là để hạn chế tối đa ảnh hưởng theo hướng bất lợi của sự không chắc chắn lên DN, mà còn là để tận dụng được các biến động có lợi của các sự kiện này, làm cơ sở cho việc bảo toàn và phát triển các giá trị của tổ chức. Quản trị rủi ro doanh nghiệp hỗ trợ tích cực cho việc giám sát hoạt động SXKD của DN, bằng cách cung cấp thông tin cho Hội đồng quản trị/Hội đồng thành viên các rủi ro trọng yếu và các biện pháp cần thực hiện, đảm bảo DN hoạt động bền vững, tối ưu nguồn lực sử dụng và liên tục tăng cường các giá trị như tài chính, thị phần, thương hiệu, tăng vị thế, uy tín của doanh nghiệp, xây dựng lòng tin và đáp ứng kỳ vọng ngày càng cao của nhà đầu tư và các bên liên quan.
2. Mô hình quản trị rủi ro giám sát hoạt động SXKD của DN
Một mô hình quản trị rủi ro trong hoạt động SXKD của DN phải được cấu thành từ 5 yếu tố chính đó là: (1) Chiến lược quản trị rủi ro; (2) Cấu trúc quản trị rủi ro; (3) Các chính sách, thủ tục được văn bản hóa và các kênh báo cáo trong doanh nghiệp; (4) các công cụ quản trị rủi ro sử dụng để phát hiện, tổng hợp, đánh giá và giảm thiểu rủi ro; (5) Hệ thống công nghệ thông tin hỗ trợ và tự động hóa hoạt động quản trị rủi ro. Trong đó, chiến lược quản trị rủi ro được xây dựng phù hợp với mục tiêu của doanh nghiệp, định hướng xây dựng các cấu phần khác của khung quản trị rủi ro; Còn cấu trúc quản trị rủi ro là nền tảng của các hoạt động quản lý rủi ro trong doanh nghiệp.
Mô hình quản trị rủi ro giảm sát toàn diện hoạt động SXKD của DN phải được thiết kế theo nguyên tắc “3 tuyến phòng thủ” (hình 1).
Hình 1: Mô hình quản trị rủi ro giám sát hoạt động SXKD của DN
Nguồn: Viện Kiểm toán nội bộ (IIA)
Tuyến phòng thủ nhất phát hiện và quản lý rủi ro, gồm các bộ phận chức năng kinh doanh và bộ phận hỗ trợ như nhân sự, công nghệ thông tin, kế toán.
Tuyến phòng thủ hai theo dõi và giám sát rủi ro, giám sát tuyến phòng thủ thứ nhất, đảm bảo tuyến phòng thủ thứ nhất đã được thiết kế đúng định hướng.
Tuyến phòng thủ thứ ba bao gồm các bộ phận thực hiện hoạt động kiểm toán nội bộ, báo cáo trực tiếp cho Hội đồng quản trị/Hội đồng thành viên về tính hiệu quả của hoạt động quản lý và kiểm soát rủi ro đảm bảo kiểm tra, kiểm toán độc lập đối với tuyến phòng thủ thứ nhất và thứ hai.
Chẳng hạn như để quản trị rủi ro liên quan đến năng lực của nhân sự mới có thể dẫn tới doanh thu đạt được không như kỳ vọng của phòng kinh doanh, bộ phận chức năng kinh doanh của DN (tuyến phòng thủ thứ nhất) thiết kế hệ thống đào tạo nhằm đào tạo ứng viên mới vào có thể bắt nhịp với công việc nhanh nhất từ đó giảm thiểu được loại rủi ro này; Các nhân viên của phòng tài chính và nhân sự (tuyến phòng thủ thứ hai) sẽ đánh giá hiệu quả của quá trình đào tạo xem chi phí bỏ ra cho đào tạo có hợp lý và tuân thủ với ngân sách không, đào tạo xong năng lực của nhân sự có tốt hơn không thông qua các bài kiểm tra và năng lực thực tế khi làm việc; Tuyến phòng thủ thứ ba sẽ là sự đánh giá độc lập của kiểm toán nội bộ với tính hiệu quả của kiểm soát liên quan đến đào tạo nhân viên mới. Kiểm toán ngoài đánh giá tính hiệu quả trong việc vận hành kiểm soát này còn tiến hành đánh giá thêm liệu rằng kiểm soát này được thiết kế như vậy đã thực sự phù hợp hay chưa.
3. Quy trình quản trị rủi ro giám sát hoạt động SXKD của DN
Rủi ro cần được “gắn vào” trong hệ thống; các quy trình vận hành; văn hoá và giá trị của DN. Bởi vì để đạt được mục tiêu tối đa hoá giá trị cho các cổ đông, cần phải đồng bộ các hoạt động chiến lược cũng như các hoạt động vận hành của công ty. Mà điều này chỉ đạt được khi tất cả các khâu của tổ chức có thể nắm bắt được rủi ro mà tổ chức phải đối mặt. Hay nói cách khác là tất cả cùng nhận thức và đồng lòng quản trị rủi ro. Mỗi DN có thể xây dựng quy trình quản trị rủi ro khác nhau. Tuy nhiên, một quy trình quản trị rủi ro giám sát toàn diện hoạt động SXKD của DN bao gồm 6 bước chính sau đây (hình 2):
.png)
Hình 2: Quy trình quản trị rủi ro trong doanh nghiệp
Bước 1: Thiết lập bối cảnh, xây dựng bối cảnh môi trường kinh doanh trong việc thực hiện mục tiêu, chiến lược của doanh nghiệp.
Việc thiết lập bối cảnh, xây dựng bối cảnh môi trường kinh doanh trong việc thực hiện mục tiêu, chiến lược của doanh nghiệp sẽ giúp DN xác định được giới hạn xử lý rủi ro, mức độ quản lý rủi ro (hoạt động nào quản lý, hoạt động nào không quản lý) và liên kết các hoạt động với các bước công việc chính trong quản lý rủi ro.
Bước 2: Nhận diện rủi ro
Trong hoạt động SXKD, Có rất nhiều cơ hội để rủi ro trong một DN có thể xảy ra nếu cách tổ chức hệ thống quản trị rủi ro vẫn còn kém hiệu quả. Hàng ngày DN phải đối mặt với hàng loạt các rủi ro. Để quản trị rủi ro thì việc đầu tiên chính là xác định được danh mục các rủi ro này. Việc nhận diện rủi ro giúp DN “khoanh vùng” và xác định dấu hiệu xuất hiện rủi ro, tránh bỏ sót các dấu hiệu, làm tăng kết quả độ tin cậy của việc nhận diện các rủi ro. Tùy thuộc vào loại hình hoạt động kinh doanh của mỗi DN mà có các loại rủi ro khác nhau. Thông thường, các DN sản xuất sẽ có bốn loại rủi ro: (i) Rủi ro chiến lược; (ii) Rủi ro vận hành; (iii) Rủi ro tuân thủ; và (IV) Rủi ro tài chính. Đối với các DN là các tổ chức tín dụng, rủi ro có thể có nhiều hơn như: rủi ro tín dụng; rủi ro thị trường… DN cần căn cứ vào những đặc trưng về ngành nghề, lĩnh vực hoạt động, quy mô… để quyết định xem đâu là rủi ro trọng yếu. Ví dụ: đối với một doanh nghiệp sản xuất, chi phí năng lượng có thể rất quan trọng. Trong khi đối với một công ty quảng cáo, rủi ro này lại không phải vấn đề.
Để nhận diện được rủi ro DN có thể sử dụng các phương pháp như là: phương pháp xem xét các dữ liệu quá khứ, phương pháp động não, phương pháp Delphi, phương pháp hỏi ý kiến chuyên gia, phương pháp sử dụng phiếu kiểm tra hoặc bảng hỏi. Mỗi một phương pháp đều có những ưu điểm và hạn chế riêng, do đó việc sử dụng kết hợp các phương pháp này để có kết quả tốt nhất là hết sức cần thiết.
Bước 3: Đánh giá rủi ro
DN cần xác định và đánh giá được các loại rủi ro mà DN phải đối mặt từ đó xây dựng chiến lược quản trị rủi ro đúng đắn. Theo thông lệ quốc tế thì việc đánh giá rủi ro này thường dựa trên hai tiêu chí: tần xuất xảy ra rủi ro và mức độ ảnh hưởng của rủi ro.
Để đánh giá được rủi ro, các nhà quản trị rủi ro phải đo lường tần xuất xảy ra của các rủi ro và xây dựng thước đo mức độ ảnh hưởng, tác động của rủi ro đối với để từ đó áp dụng thước đo này vào các rủi ro đã được xác định.
Bước 4: Ứng phó rủi ro
Ứng phó rủi ro là xác định cách thức phản ứng đối với các rủi ro đã được nhận dạng nhằm giảm rủi ro xuống mức có thể chấp nhận được.
Sau khi đánh giá các rủi ro dựa trên hai khía cạnh tần suất và ảnh hưởng, rủi ro sẽ được ứng phó bằng một trong bốn chiến lược như sau (hình 3)
Hình 3: Chiến lược quản trị rủi ro trong doanh nghiệp
-
Né tránh rủi ro:
Với những rủi ro thường xuyên xảy ra và mỗi lần xảy ra doanh nghiệp có thiệt hại lớn thì doanh nghiệp không nên thực hiện hoạt động đó. Chẳng hạn như DN quyết định từ bỏ sự thay đổi chiến lược, mở rộng thị trường mới (thiếu kinh nghiệm và thông tin) đang đối mặt với rủi ro tăng cao, hoặc vi phạm pháp luật...
-
Chuyển giao rủi ro:
Với những rủi ro không thường xuyên xảy ra và mỗi lần xảy ra có thiệt hại lớn thì DN nên chuyển rủi ro bằng cách mua bảo hiểm, ví dụ như mua bảo hiểm phòng chống cháy nổ và các sự kiện thiên tai.
-
Giảm thiểu rủi ro
Với những rủi ro thường xuyên xảy ra và mỗi lần xảy ra có thiệt hại nhỏ thì DN nên dùng hệ thống kiểm soát nội bộ nhằm giảm rủi ro.
-
Chấp nhận rủi ro
Với những rủi ro không thường xuyên xảy ra và mỗi lần xảy ra có thiệt hại nhỏ thì DN nên chấp nhận rủi ro và không cần kiểm soát (các hoat động bất thường). Về cơ bản, DN cần xem xét khả năng xảy ra và tác động của rủi ro dưới góc độ mức chịu rủi ro cơ bản của mình và sau đó quyết định có chấp nhận rủi ro hay không. Đối với nhiều loại rủi ro, chấp nhận là chiến lược thích hợp nhất. Tuy nhiên, trong nhiều tình huống, DN lại giả định rủi ro có thể không bao giờ xảy ra và sẽ không có những chuẩn bị đầy đủ cho những nguy cơ rủi ro có thể xảy đến.
DN cần cân nhắc lợi ích và rủi ro cho từng phương án tiếp cận và lựa chọn phương án nào sẽ phù hợp nhất với mức độ ưa thích rủi ro của DN. Đối với từng loại rủi ro, các phương án ứng phó thay thế nên được cân nhắc. Sau khi một loạt các ứng phó rủi ro được xây dựng, cần phải nhìn vào các rủi ro đã được xác định, một cách khách quan, và cân nhắc các phương án phản ứng rui ro để đánh giá xem những phương án này sẽ giúp tổ chức ở trong vùng chịu đựng rủi ro hay không. Trong một số trường hợp, có thể sử dụng kết hợp nhiều phương án ứng phó rủi ro để đạt được hiệu quả cao nhất.
Bước 5: hoạt động kiểm soát rủi ro
Hoạt động kiểm soát rủi ro là các biện pháp, quy trình, thủ tục được thực thi nghiêm túc trong toàn tổ chức nhằm đảm bảo chỉ thị của ban lãnh đạo trong giảm thiểu rủi ro và tạo điều kiện cho tổ chức đạt được mục tiêu đã đặt ra. Hoạt động kiểm soát rủi ro lý tưởng có ba đặc điểm: (i) được thiết kế một cách cẩn thận; (ii) hoạt động có hiệu quả và (iii) được cập nhật thường xuyên.
Sự hiểu biết chắc chắn về quá trình kinh doanh cơ bản, và sự tham gia của các nhân viên trực tiếp tham gia vào quá trình kinh doanh là rất quan trọng cho việc tạo ra các hoạt động kiểm soát tốt những rủi ro đang cần được giải quyết.
Thông thường có ba loại hoạt động kiểm soát:
-
Hoạt động kiểm soát phòng ngừa (hay còn gọi là các hoạt động kiểm soát trước) được thiết kế để tránh những sai sót trước khi giao dịch được xử lý. Ví dụ: danh sách ủy quyền (kiểm tra xem mã ủy quyền có đúng hay không), hạn chế truy cập bảo mật.
-
Hoạt động kiểm soát phát hiện được thiết kế nhằm giám sát hoạt động/quy trình để xác định các biện pháp kiểm soát phòng ngừa còn thiếu sót và lỗi, sự cố hay hành động/giao dịch, từ đó có các biện pháp ứng phó phù hợp.
-
Hoạt động kiểm soát dò tìm (còn được gọi là các hoạt động kiểm soát sau) được thiết kế để xác định các sai sót hoặc bất thường đã xảy ra và cho phép quản lý có hành động khắc phục kịp thời. Ví dụ: các bước xử lý đối chiếu và đánh giá báo cáo ngoại lệ.
Bước 6: Giám sát - Báo cáo
Giám sát và báo cáo hoạt động quản lý rủi ro và những thay đổi có thể ảnh hưởng đến hệ thống quản lý rủi ro doanh nghiệp. Quy trình giám sát và báo cáo được thực hiện nhằm đánh giá tính hiệu quả và sự phù hợp của khung quản trị rủi ro doanh nghiệp. Bằng cách thường xuyên giám sát rủi ro và đánh giá hiệu quả của việc xử lý rủi ro, DN có thể điều chỉnh chương trình quản lý rủi ro phù hợp với tình hình cụ thể. Giám sát các rủi ro hiện tại, các rủi ro mới xuất hiện thông qua các chỉ số rủi ro chính KRI (Key Risk Indicator, là một chỉ số dự báo về các rủi ro hiện tại hoặc tương lai có thể quan sát hay đo lường được). Báo cáo các bên liên quan về quy trình quản lý rủi ro, gồm:
-
Đánh giá hiệu quả của hoạt động kiểm soát (có thực hiện đúng không);
-
Đánh giá hiệu quả của khung quản trị rủi ro doanh nghiệp;
-
Các rủi ro còn lại sau khi đã áp dụng các giải pháp ứng phó.
4. Kết luận
Việc giám sát toàn bộ hoạt động SXKD của DN trên cơ sở xây dựng hệ thống quản trị rủi ro doanh nghiệp hiệu quả là rất cần thiết và cấp bách đối với các doanh nghiệp Việt Nam để có thể phát triển bền vững trong môi trường kinh doanh ngày càng nhiều biến động. Để quản lý rủi ro hiệu quả, các doanh nghiệp cần xây dựng một mô hình và quy trình quản trị rủi ro phù hợp, trên cơ sở xem xét yếu tố đặc thù, để đảm bảo mọi rủi ro được phát hiện kịp thời, giám sát và quản lý một cách hiệu quả.
TÀI LIỆU THAM KHẢO
1. Hoàng Thị Đào, Nguyễn Đức Minh, Mô hình quản trị rủi ro doanh nghiệp theo thông lệ quốc tế, Tạp chí Dầu khí. 2018; 1 trang 53 - 60.
2. International Organizationfor Standardization, Risk management - Principles and guidelines, ISO 31000:2009.
3. The Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise risk management framework, 2004.
4. The Institute of Internal Auditors, The three lines of defense in effective risk management and control, 2013.
5. Công ty TNHH Pricewaterhouse Coopers Việt Nam (PwC) (2016), Tài liệu đào tạo quản trị rủi ro.