Phát triển hệ thống kiểm soát nội bộ tại các doanh nghiệp Việt Nam dựa trên quản trị .pdf

Phát triển hệ thống kiểm soát nội bộ tại các doanh nghiệp Việt Nam dựa trên quản trị .pdf

i

MỤC LỤC

Trang LỜI MỞ ĐẦU

CHƯƠNG I – TỔNG QUAN VỀ KIỂM SOÁT NỘI BỘ VÀ SỰ HÌNH THÀNH

1.1.1 Sự hình thành và phát triển lý thuyết kiểm soát nội bộ 1

1.1.1.2 Định nghĩa kiểm soát nội bộ 3

1.1.2 Các yếu tố của kiểm soát nội bộ 4

1.1.3 Hạn chế của lý thuyết kiểm soát nội bộ 9

1.2 Sự phát triển các lý thuyết về quản trị rủi ro 10

1.2.2 Thời kỳ phát triển lý thuyết quản trị rủi ro 10

1.2.2.1 Nhận thức về rủi ro và các nhân tố ảnh hưởng 11

1.2.2.2 Các công cụ quản trị rủi ro được hình thành 12

1.3 Quản trị rủi ro doanh nghiệp theo khuôn mẫu của COSO

1.3.1 Khái niệm về quản trị rủi ro doanh nghiệp 16 1.3.2 Lợi ích của quản trị rủi ro doanh nghiệp 17

1.3.3 Các yếu tố của quản trị rủi ro doanh nghiệp 19

1.3.3.2 Những điểm khác biệt so với kiểm soát nội bộ 21

1.3.3.2.3 Nhận dạng sự kiện tiềm tàng 26

1.3.4 Hạn chế của quản trị rủi ro doanh nghiệp 30 CHƯƠNG II: THỰC TRẠNG VỀ KIỂM SOÁT NỘI BỘ VÀ NHỮNG

VẤN ĐỀ VỀ QUẢN TRỊ RỦI RO TẠI CÁC DOANH NGHIỆP TRÊN

iii

2.1 Thực trạng tích hợp quản trị rủi ro trong kiểm soát nội bộ

2.2 Mục tiêu, đối tượng và phương pháp khảo sát các doanh nghiệp

2.2.2 Đối tượng, phương pháp khảo sát 36

2.3 Thực trạng về kiểm soát nội bộ tại các doanh nghiệp 37

2.3.1.2 Chính sách nhân sự và năng lực nhân viên 38 2.3.1.3 Hội đồng quản trị và Ban kiểm soát 40 2.3.1.4 Triết lý quản lý và phong cách điều hành 42 2.3.1.5 Cơ cấu tổ chức và phân chia quyền hạn 43

2.3.2.1 Mục tiêu của toàn doanh nghiệp và từng bộ phận 44

2.3.3.1 Phân chia trách nhiệm 48

2.3.3.3 Kiểm tra độc lập và phân tích, soát xét lại 50

2.4.1 Nhìn nhận của doanh nghiệp về rủi ro 54 2.4.2 Cơ cấu tổ chức liên quan đến việc quản lý rủi ro 56 2.5 Đánh giá chung về kiểm soát nội bộ và quản trị rủi ro tại

CHƯƠNG III: ĐỊNH HƯỚNG XÂY DỰNG KIỂM SOÁT NỘI BỘ TẠI CÁC DOANH NGHIỆP VIỆT NAM DỰA TRÊN

3.1.1.1 Hoàn thiện kiểm soát nội bộ theo hướng kiểm soát các rủi ro 61 3.1.1.2 Nhìn nhận rủi ro theo hướng tổng thể và tích hợp với KSNB 64

3.2 Định hướng hoàn thiện kiểm soát nội bộ tại các doanh nghiệp lớn 69

3.2.1 Hoàn thiện môi trường quản lý 69

v

3.2.2 Hoàn thiện cơ cấu tổ chức và phân chia quyền hạn trách nhiệm 70

3.2.2.1 Hội đồng quản trị và Ban kiểm soát/Kiểm toán nội bộ 71 3.2.2.2 Phân chia quyền hạn trách nhiệm 72

3.2.3 Tiếp cận các kỹ thuật định lượng khả năng xuất hiện của rủi ro 73

3.2.3.1 Áp dụng các kỹ thuật nhận dạng các sự kiện tiềm tàng

phù hợp với đặc thù của đơn vị và chu trình nghiệp vụ cụ thể 73 3.2.3.2 Áp dụng các kỹ thuật để định lượng sự tác động của các rủi ro 77

3.2.4 Tạo thói quen sử dụng dịch vụ bảo hiểm 78

3.2.6 Tăng cường các công tác kiểm tra giám sát 79

3.3 Định hướng hoàn thiện KSNB tại các doanh nghiệp vừa và nhỏ 80

3.3.1 Nâng cao ý thức của người quản lý về rủi ro và các

3.3.2 Xác định những mục tiêu, kế hoạch dài hạn 82

3.3.3 Nâng cao năng lực và đạo đức của nhân viên 83

3.3.4 Áp dụng các công cụ để nhận dạng, đánh giá rủi ro đơn giản

CÁC PHỤ LỤC

MỞ ĐẦU Sự cần thiết của đề tài

Xây dựng hệ thống kiểm soát nội bộ hữu hiệu để kiểm soát được các mục tiêu đề ra là yêu cầu tất yếu khách quan đối với mọi doanh nghiệp trong nền kinh tế Trên thế giới, khái niệm kiểm soát nội bộ đã ra đời từ đầu thế kỷ 19, được bổ sung hoàn thiện nhằm phát hiện và ngăn chặn những gian lận và sai sót của một tổ chức từ các công ty kiểm toán và cơ quan chức năng Sau đó kiểm soát nội bộ được phát triển thành một hệ thống lý luận tương đối hoàn chỉnh thông qua Báo cáo COSO năm 1992

Tiếp tục phát triển Báo cáo năm 1992, năm 2004 COSO công bố báo cáo

tổng thể dưới tiêu đề: Quản trị rủi ro doanh nghiệp – khuôn khổ hợp nhất Báo cáo

năm 2004 được xây dựng trên cơ sở phát triển Báo cáo năm 1992 và tích hợp với quản trị rủi ro tại các đơn vị Mặt khác báo cáo COSO năm 2004 cũng đã xác định được những tiêu chuẩn làm cơ sở để đánh giá rủi ro cũng như đề xuất xây dựng chu trình quản lý rủi ro hiệu qủa trong công tác quản lý

Ở Việt nam, kiểm soát nội bộ đã tồn tại và phát triển nhưng phần lớn còn tồn tại nhiều yếu kém, chưa phát huy hết vai trò công cụ quản lý của doanh nghiệp Vì vậy, việc nghiên cứu kinh nghiệm của các nước trên thế giới để vận dụng là điều cần thiết đối với các doanh nghiệp Việt nam hiện nay Một mặt, giúp doanh nghiệp tiếp cận với quan điểm hiện đại về rủi ro của các nước tiên tiến để có thể quản lý rủi ro một cách khoa học và hiệu qủa Mặt khác giúp doanh nghiệp có cách nhìn nhận mới về kiểm soát nội bộ bằng cách “đi tắt đón đầu” những cách thức mới được áp dụng ở các nước tiên tiến, qua đó hoàn thiện hệ thống kiểm soát nội bộ của mình để phục vụ tốt hơn trong công tác quản lý Đó cũng là lý do mà tác giả chọn đề tài

“Phát triển hệ thống kiểm soát nội bộ tại các doanh nghiệp Việt nam trên cơ sở

vii

quản trị rủi ro doanh nghiệp” làm luận văn tốt nghiệp thạc sĩ kinh tế của trường

Đại học Kinh tế thành phố Hồ Chí Minh

Mục đích nghiên cứu của luận văn

- Tổng hợp các quan điểm cơ bản về tích hợp kiểm soát nội bộ và quản trị rủi ro

- Tiếp cận lý luận hiện đại về rủi ro và quản trị rủi ro

- Khảo sát, đánh giá thực trạng hệ thống kiểm soát nội bộ của các doanh nghiệp Việt nam, đặc biệt về rủi ro và cách thức quản trị rủi ro hiện nay - Trên cơ sở khảo sát thực trạng, đề xuất các định hướng để hoàn thiện hệ thống kiểm soát nội bộ của các loại hình doanh nghiệp Việt nam theo cách tiếp cận mới về rủi ro

Đối tượng và phạm vi nghiên cứu

Phạm vi giới hạn của đề tài nghiên cứu lý luận và thực tiễn về: hệ thống kiểm soát nội bộ; quan điểm về rủi ro và cách thức quản lý rủi ro.Đề tài không tập trung nghiên cứu để xây dựng, tổ chức một quy trình cho một doanh nghiệp cụ thể hoặc nghiên cứu ứng dụng các kỹ thuật định lượng rủi ro

Phương pháp nghiên cứu

Luận văn được thực hiện trên cơ sở phân tích thực tiễn theo quan điểm lịch sử và toàn diện, gắn sự phát triển của kiểm soát nội bộ và rủi ro với điều kiện của các doanh nghiệp Việt nam

Để đánh giá thực trạng, luận văn sử dụng phương pháp quy nạp dựa trên cơ sở thống kê từ các doanh nghiệp và kỹ thuật phân tích định lượng

Những đóng góp của luận văn

Những đóng góp chính của luận văn là:

- Hệ thống các quan điểm về rủi ro và quản lý rủi ro

- Tiếp cận quan điểm mới về rủi ro và quản trị rủi ro theo Báo cáo COSO năm 2004

- Hệ thống kinh nghiệm áp dụng Báo cáo COSO năm 2004 của các doanh nghiệp trên thế giới

- Định hướng về phát triển hệ thống kiểm soát nội bộ theo hướng tích hợp với việc quản trị rủi ro tại các doanh nghiệp Việt nam

- Đưa ra các giải pháp để hoàn thiện hệ thống KSNB tại các loại hình doanh nghiệp để có thể quản lý tốt hơn các rủi ro

Kết cấu của luận văn

Luận văn gồm 87 trang, 22 bảng biểu và 5 phụ lục Nội dung luận văn ngoài phần mở đầu và kết luận gồm có 3 chương

- Chương 1: Tổng quan về kiểm soát nội bộ và sự hình thành hệ thống quản trị rủi ro doanh nghiệp

- Chương 2: Thực trạng về kiểm soát nội bộ và những vấn đề về quản trị rủi ro tại các doanh nghiệp trên thế giới và Việt nam

- Chương 3: Định hướng xây dựng kiểm soát nội bộ tại các doanh nghiệp Việt nam dựa trên quản trị rủi ro doanh nghiệp

ix

CHƯƠNG I

TỔNG QUAN VỀ KIỂM SOÁT NỘI BỘ VÀ SỰ HÌNH THÀNH HỆ THỐNG QUẢN TRỊ RỦI RO DOANH NGHIỆP

1.1 Tổng quan về kiểm soát nội bộ

1.1.1 Sự hình thành và phát triển lý thuyết kiểm soát nội bộ

1.1.1.1 Lịch sử hình thành

Từ khi có hoạt động kinh doanh, những người điều hành đều phải sử dụng các biện pháp để kiểm soát các hoạt động tại đơn vị mình Hoạt động kinh doanh càng phát triển thì chức năng kiểm soát càng chiếm một vị trí quan trọng trong quá trình quản lý Thông qua các hoạt động kiểm soát, nhà quản lý đánh giá và chấn chỉnh việc thực hiện nhằm đảm bảo đạt được các mục tiêu đã đề ra với hiệu quả cao nhất

Để thực hiện chức năng kiểm soát, nhà quản lý sử dụng công cụ chủ yếu là kiểm soát nội bộ (KSNB) của đơn vị Khái niệm KSNB lúc đầu được sử dụng như là một phương pháp giúp cho kiểm toán viên độc lập xác định phương pháp hiệu quả nhất trong trong việc lập kế hoạch kiểm toán, đến chỗ được coi là một bộ phận chủ yếu của hệ thống quản lý hữu hiệu

Thời kỳ tiền COSO (từ năm 1992 trở về trước)

Khái niệm KSNB bắt đầu được sử dụng vào đầu thế kỷ 20 trong các tài liệu về kiểm toán Lúc đó, KSNB được hiểu như là một biện pháp để bảo vệ tiền không bị các nhân viên gian lận Sau đó, khái niệm này dần được mở rộng: KSNB không chỉ dừng lại ở việc bảo vệ tài sản (không chỉ có tiền) mà còn nhằm đảm bảo việc ghi chép kế toán chính xác, nâng cao hiệu quả hoạt động và khuyến khích tuân thủ các chính sách của nhà quản lý

Năm 1977, sau vụ bê bối Watergate, quốc hội Hoa Kỳ đã thông qua Luật hành vi hối lộ ở nước ngoài Điều luật này nhấn mạnh việc KSNB nhằm ngăn ngừa những khoản thanh toán bất hợp pháp và dẫn đến việc yêu cầu ghi chép rất đầy đủ trong mọi hoạt động Lần đầu tiên, hoạt động KSNB trong các tổ chức được đề cập đến trong một văn bản pháp luật

Năm 1985, sự đổ bể của các công ty cổ phần có niêm yết làm cho các nhà làm luật Hoa Kỳ quan tâm đến việc KSNB của các doanh nghiệp Nhiều quy định, hướng dẫn về KSNB của các cơ quan chức năng Hoa Kỳ được ban hành trong giai đoạn này như: Ủy ban chuẩn mực kiểm toán Hoa Kỳ năm 1998, Uûy ban chứng khoán Hoa Kỳ năm 1988, tổ chức nghiên cứu kiểm toán nội bộ năm 1991,

Những quy định này một mặt làm phong phú khái niệm KSNB nhưng mặt khác dẫn đến yêu cầu phải hình thành một hệ thống lý luận có tính chuẩn mực về KSNB

Sự ra đời của báo cáo COSO năm 1992

Quá trình phát triển của các công ty ở Hoa Kỳ cũng là quá trình phát triển quy mô của gian lận gây thiệt hại đáng kể cho nền kinh tế Nhiều ủy ban đã ra đời để khảo sát và tìm cách khắc phục, trong đó có Ủy ban quốc gia về chống gian lận báo cáo tài chính – gọi tắt là ủy ban Treadway- ra đời năm 1985 COSO là một ủy ban gồm nhiều tổ chức nghề nghiệp nhằm hỗ trợ cho Ủy ban Trradway Các tổ chức nghề nghiệp trên bao gồm: Hiệp hội kế toán công chứng Hoa Kỳ (AICPA), Hội kế toán Hoa Kỳ (AAA), Hiệp hội các nhà quản trị tài chính (FEI), Hiệp hội kiểm toán viên nội bộ (IIA) và Hiệp hội kế toán viên quản trị (IMA) Qua quá trình tìm hiểu về gian lận, COSO đã nhận thấy KSNB đã ảnh hưởng rất lớn đến khả năng xảy ra gian lận Vì thế, việc nghiên cứu và đưa ra một khuôn khổ chung về KSNB được đặt ra Báo cáo COSO 1992 là kết quả của quá trình nghiên cứu này Báo cáo cung cấp

xi

một hệ thống lý luận đầy đủ nhất về KSNB cho đến thời điểm này, kế thừa và phát triển các nghiên cứu trước đó về KSNB

Báo cáo COSO 1992 gồm có 4 phần:

- Phần 1 – Bản tóm lược: Tổng quan về KSNB cho nhà quản lý cấp cao

- Phần 2 – Hệ thống lý luận: Định nghĩa về KSNB, mô tả các yếu tố của KSNB và chỉ ra những tiêu chí để kiểm soát hệ thống

- Phần 3 – Báo cáo cho các thành viên bên ngoài: Hướng dẫn cách thức báo cáo cho các đối tượng bên ngoài về KSNB liên quan đến tài chính

- Phần 4 – Các công cụ đánh giá: Bao gồm các bảng biểu phục vụ cho việc đánh giá sự hữu hiệu của hệ thống KSNB

1.1.1.2 Định nghĩa kiểm soát nội bộ

Theo Báo cáo của COSO năm 1992, KSNB là một quá trình do người quản lý, hội đồng quản trị và các nhân viên của đơn vị chi phối, nó được thiết lập để cung cấp một sự đảm bảo hợp lý nhằm thực hiện ba mục tiêu dưới đây:

- Báo cáo tài chính đáng tin cậy

- Các luật lệ và quy định được tuân thủ - Hoạt động hữu hiệu và hiệu quả

Trong định nghĩa trên, bốn nội dung cơ bản là quá trình, con người, đảm bảo hợp lý và mục tiêu Chúng được hiểu như sau:

ƒ Kiểm soát nội bộ là một quá trình Kiểm soát nội bộ bao gồm một

chuỗi các hoạt động kiểm soát hiện diện ở mọi bộ phận trong đơn vị và được kết hợp với nhau thành một thể thống nhất Quá trình kiểm soát là phương tiên để giúp cho đơn vị đạt được các mục tiêu của mình

ƒ Kiểm soát nội bộ được thiết kế và vận hành bới con người Kiểm soát

nội bộ không chỉ đơn thuần là những chính sách, thủ tục, biểu mẫu, mà phải bao gồm những con người trong tổ chức như Hội đồng quản trị, Ban giám đốc và các nhân viên Chính con người định ra mục tiêu, thiết lập cơ chế kiểm soát ở mọi nơi và vận hành chúng

ƒ Kiểm soát nội bộ cung cấp một đảm bảo hợp lý, chứ không đảm bảo

tuyệt đối là các mục tiêu sẽ được thực hiện ƒ Các mục tiêu của kiểm soát nội bộ

- Đối với báo cáo tài chính thì kiểm soát nội bộ phải đảm bảo tính trung thực và đáng tin cậy

- Đối với tính tuận thủ, kiểm soát nội bộ phải đảm bảo hợp lý việc chấp hành luật pháp và các quy định của Nhà nước và các quy định của đơn vị

- Đối với mục tiêu sự hữu hiệu và hiệu quả của các hoạt động, kiểm soát nội bộ giúp đơn vị bảo vệ và sử dụng hiệu quả các nguồn lực, bảo mật thông tin, nâng cao uy tín, mở rộng thị phần, thực hiện các chiến lược kinh doanh của đơn vị,

1.1.2 Các yếu tố của kiểm soát nội bộ

Theo COSO 1992, hệ thống kiểm soát nội bộ trong một đơn vị được cấu thành bởi năm bộ phận Đó là: môi trường kiểm soát, đánh giá rủi ro, các hoạt động kiểm soát, thông tin và truyền thông, giám sát

Bảng 1.1 Các yếu tố của hệ thống kiểm soát nội bộ

Môi trường quản lý

Đánh giá rủi ro

Các hoạt động kiểm soát

Thông tin và truyền

thôn

Giám sát

g

xiii

1.1.2.1 Môi trường kiểm soát

Môi trường kiểm soát phản ánh sắc thái chung của một đơn vị, chi phối ý thức kiểm soát của mọi thành viên trong đơn vị và là nền tảng của các bộ phận khác của kiểm soát nội bộ Các nhân tố thuộc về môi trường kiểm soát là:

- Tính chính trực và các giá trị đạo đức: sự hữu hiệu của hệ thống kiểm soát

nội bộ phụ thuộc trực tiếp vào tính chính trực và việc tôn trọng các giá trị đạo đức của những người liên quan đến quá trình kiểm soát Đơn vị phải xây dựng được các chuẩn mực, quy định về đạo đức cho các nhân viên và những nhà quản lý phải làm gương trong việc thực hiện các quy định đó Mặt khác, đơn vị cũng cần phải loại trừ, giảm thiểu những áp lực và cơ hội dẫn đến những hành vi thiếu trung thực của nhân viên trong đơn vị

- Đảm bảo về năng lực: đơn vị phải đảm bảo cho nhân viên có được những

hiểu biết và kỹ năng cần thiết để thực hiện những công việc được giao Nếu không, chắc chắn họ sẽ thực hiện nhiệm vụ được giao không hữu hiệu và hiệu quả

- Hội đồng quản trị và Ban kiểm soát: thông qua các hoạt động giám giát của

mình (sự tuân thủ pháp luật, lập báo cáo tài chính, giữ sự độc lập của kiểm toán nội bộ,…) các bộ phận này có những tác động quan trọng cho việc thực hiện các mục tiêu của đơn vị

- Triết lý và phong cách điều hành của nhà quản lý: các đặc điểm cá nhân

của những người quản lý, đặc biệt là người quản lý cấp cao khi điều hành đơn vị sẽ tạo nên những rủi ro khác nhau cho đơn vị

- Cơ cấu tổ chức: sự phân chia trách nhiệm và quyền hạn giữa các bộ phận

trong đơn vị sẽ tác động đến việc thực hiện các mục tiêu Cơ cấu phù hợp sẽ là cơ sở cho việc lập kế hoạch, điều hành, kiểm soát và giám sát các hoạt động

- Cách thức phân chia quyền hạn và trách nhiệm: việc phân chia trách

nhiệm và quyền hạn cụ thể của từng thành viên trong các hoạt động của đơn vị giúp cho mỗi thành viên hiểu rằng họ có nhiệm vụ cụ thể gì và từng hoạt động của họ ảnh hưởng đến người khác như thế nào trong việc thực hiện các mục tiêu

- Chính sách nhân sự: các chính sách và thủ tục của đơn vị về việc tuyển

dụng, huấn luyện, bổ nhiệm, đánh giá, sa thải, đề bạt, ảnh hưởng đến sự hữu hiệu của môi trường kiểm soát thông qua tác động đến các nhân tố khác trong môi trường kiểm soát như đảm bảo về năng lực, tính chính trực và các giá trị đạo đức,

Môi trường kiểm soát có ảnh hưởng quan trọng đến quá trình thực hiện và kết quả của các thủ tục kiểm soát Các thủ tục kiểm soát có thể không đạt được mục tiêu hoặc chỉ còn là hình thức trong môi trường kiểm soát yếu kém Ngược lại, một môi trường kiểm soát tốt có thể hạn chế phần nào sự thiếu sót của các thủ tục kiểm soát Tuy nhiên, môi trường kiểm soát không thể thay thế cho các thủ tục kiểm soát cần thiết

1.1.2.2 Đánh giá rủi ro

Các hoạt động liên quan đến đơn vị bao gồm các hoạt động diễn ra tại đơn vị và các hoạt động ở bên ngoài đều có thể phát sinh rủi ro và khó kiểm soát tất cả Vì vậy, đơn vị phải thận trọng khi xác định và phân tích những nhân tố ảnh hưởng đến rủi ro làm cho những mục tiêu – kể cả mục tiêu chung và mục tiêu cụ thể cho từng hoạt động – của đơn vị có thể không được thực hiện, và phải cố gắng kiểm soát được những rủi ro này

xv

Để giới hạn rủi ro ở mức chấp nhận được, đơn vị phải nhận dạng và phân tích rủi ro trên cơ sở các mục tiêu đã được thiết lập của tổ chức từ đó mới có thể kiểm soát được rủi ro

- Xác định mục tiêu của đơn vị: Báo cáo COSO năm 1992 không cho rằng

đây là nhiệm vụ của KSNB Tuy nhiên, các thành viên trong hệ thống KSNB phải biết được các mục tiêu của đơn vị để nhận dạng và đánh giá những rủi ro tác động đến việc thực hiện các mục tiêu đã đề ra

- Nhận dạng rủi ro: rủi ro có thể tác động đến đơn vị ở mức độ toàn đơn vị

hay ảnh hưởng đến từng hoạt động cụ thể

Ơû mức độ toàn đơn vị, các nhân tố phát sinh rủi ro là: sự đổi mới kỹ thuật, nhu cầu khách hàng thay đổi, sự thay đổi sản của đối thủ cạnh tranh, thay đổi chính sách của Nhà nước, đây là những nhân tố phát sinh từ môi trường hoạt động của đơn vị Trong phạm vi từng hoạt động như bán hàng, mua hàng, rủi ro có thể phát sinh và tác động đến bản thân từng hoạt động trước khi gây ảnh hưởng day chuyền đến toàn đơn vị Thông thường rủi ro liên quan đến từng bộ phận xuất phát từ các chính sách của đơn vị như chính sách mở rộng thị phần, chính sách cải tiến kỹ thuật,

Để nhận dạng rủi ro, đơn vị có thể sử dụng nhiều phương pháp khác nhau từ việc sử dụng các phương tiện dự báo, phân tích các dữ liệu quá khứ, cho đến việc rà soát thường xuyên các hoạt động Trong các doanh nghiệp nhỏ, công việc này có thể thực hiện dưới dạng những cuộc tiếp xúc với khách hàng, ngân hàng,… hoặc các buổi họp giao ban trong nội bộ

- Phân tích và đánh giá rủi ro: vì rủi ro rất khó định lượng nên đây là công

việc khá phức tạp và có nhiều phương pháp khác nhau Thông thường một quy trình phân tích và đánh giá rủi ro gồm các bước sau: ước lượng tầm cỡ của rủi ro qua ảnh

hưởng có thể có của nó đến việc thực hiện mục tiêu của đơn vị, xem xét khả năng xảy ra rủi ro và những biện pháp có thể sử dụng để đối phó với rủi ro

1.1.2.3 Các hoạt động kiểm soát

Các hoạt động kiểm soát là những chính sách và thủ tục giúp cho việc thực hiện các chỉ đạo của người quản lý Nó đảm bảo các hành động cần thiết để kiểm soát các rủi ro mà đơn vị có thể gặp phải trong quá trình thực hiện mục tiêu của mình Các hoạt động kiểm soát thông thường tại đơn vị là: phân chia trách nhiệm đầy đủ, ủy quyền đúng đắn cho các nghiệp vụ và hoạt động, bảo vệ tài sản vật chất và thông tin, kiểm tra độc lập, phân tích rà soát lại việc thực hiện

1.1.2.4 Thông tin và truyền thông

Thông tin được thu thập, xử lý và truyền đạt đến các cá nhân, bộ phận trong đơn vị để có thể hoàn thành nhiệm vụ của mình và cung cấp các cho các đối tượng bên ngoài về hoạt động, tài chính, sự tuân thủ của đơn vị cho các đối tượng bên ngoài Truyền thông là cách thức truyền đạt thông tin của đơn vị cho các đối tượng khác nhau bao gồm cả các đối tượng bên trong và các đối tượng bên ngoài đơn vị

Thông tin cần thiết cho mọi cấp của đơn vị vì giúp cho việc đạt được các mục tiêu kiểm soát khác nhau Thông tin được cung cấp thông qua hệ thống thông tin Hệ thống thông tin của đơn vị có thể được xử lý trên máy tính, qua hệ thống thủ công hoặc kết hợp cả hai Các hoạt động kiểm soát tại đơn vị chỉ có thể thực hiện nếu thông tin thích hợp, kịp thời, cập nhật, chính xác và truy cập thuận tiện

1.1.2.5 Giám sát

Giám sát là quá trình đánh giá chất lượng của hệ thống kiểm soát nội bộ Hoạt động giám sát đòi hỏi đơn vị xác định hệ thống kiểm soát nội bộ có vận hành đúng như thiết kế hay không và có cần thiết phải sửa đổi cho phù hợp với từng giai đoạn phát triển của đơn vị hay không Giám sát có vai trò quan trọng trong kiểm

xvii

soát nội bộ vì nó giúp cho kiểm soát nội bộ duy trì được sự hữu hiệu trong các thời kỳ khác nhau Các hoạt động giám sát bao gồm giám sát thường xuyên và giám sát định kỳ

- Giám sát thường xuyên diễn ra ngay trong quá trình hoạt động, do các nhà

quản lý và các nhân viên thực hiện trong trách nhiệm của mình

- Giám sát định kỳ thường thực hiện thông qua chức năng kiểm toán nội bộ

hoặc các hoạt động định kỳ của Ban kiểm soát, qua đó phát hiện kịp thời những yếu kém trong hệ thống để đưa ra các biện pháp cải thiện

(chi tiết các yếu tố của kiểm soát nội bộ xem chi tiết ở Phụ lục 1)

1.1.3 Hạn chế của lý thuyết kiểm soát nội bộ

Mặc dù đã được bổ sung và hoàn thiện trong quá trình phát triển, tuy nhiên lý thuyết về kiểm soát nội bộ vẫn còn những hạn chế, đặc biệt trong điều kiện kinh tế hiện nay Các hạn chế của lý thuyết kiểm soát nội bộ thể hiện ở những mặt sau đây:

ƒ Chưa mở rộng tầm nhìn chiến lược

Báo cáo COSO năm 1992 không xác định việc xây dựng các mục tiêu của đơn vị nằm trong chu trình KSNB Vì vậy, hệ thống KSNB được xây dựng chỉ để nhằm mục đích kiểm soát việc thực hiện các mục tiêu đã được xác định, chứ không nhằm phục vụ việc quản trị các tình huống không chắc chắn và tối ưu hoá quá trình quản trị đó

Mặt khác, việc xác định các mục tiêu, đặc biệt là các mục tiêu chiến lược không nằm trong chu trình kiểm soát cũng làm cho hệ thống KSNB bị hạn chế về tính dự báo đối với các loại rủi ro và vì vậy không xây dựng được các chiến lược dài hạn đối để đối phó

ƒ Chưa áp dụng các phương pháp, kỹ thuật để quản trị rủi ro

Báo cáo COSO năm 1992 cung cấp khá nhiều các phương pháp, kỹ thuật cho KSNB Tuy nhiên các kỹ thuật này mới chỉ dừng lại ở mức độ kiểm soát chứ chưa đáp ứng được yêu cầu về đánh giá và quản trị các rủi ro liên quan đến đơn vị

ƒ Chưa thể hiện vai trò của người quản lý cao cấp và trách nhiệm của họ đối với rủi ro

Hệ thống KSNB được xây dựng bởi những người quản lý trong đơn vị nhằm đảm bảo hợp lý việc thực hiện các mục tiêu đã đề ra Tuy nhiên, lý thuyết KSNB chỉ giới hạn trách nhiệm của người quản lý trong các hoạt động của đơn vị, chưa thể hiện trách nhiệm liên quan đến việc kiểm soát các rủi ro tiềm ẩn Vì vậy, sau khi Báo cáo COSO năm 1992 ra đời thì lý thuyết KSNB tiếp tục phát triển theo nhiều hướng khác nhau và theo hướng tích hợp với việc quản trị các rủi ro tại đơn vị

1.2 Sự phát triển các lý thuyết về quản trị rủi ro 1.2.1 Thời kỳ tiền lý thuyết

Thuật ngữ “rủi ro” liên quan đến hoạt động của một đơn vị đã được đề cập từ rất sớm Lúc đầu, rủi ro được coi là khả năng hoặc mối đe dọa có thể gây tổn thất liên quan đến hoạt động thương mại, đặc biệt trong việc bảo toàn tài sản và hàng hoá Cách thức thông thường để đối phó với rủi ro trong giai đoạn này là mua các dịch vụ bảo hiểm để chuyển giao toàn bộ hoặc một phần thiệt hại về tài sản cho các doanh nghiệp bảo hiểm khi tổn thất phát sinh

Sự ra đời của doanh nghiệp bảo hiểm chứng tỏ rằng các doanh nghiệp đã sử dụng dịch vụ bảo hiểm để chuyển giao rủi ro Lúc đầu dịch vụ bảo hiểm hình thành trong lĩnh vực vận chuyển hàng hoá bằng đường biển, sau đó phát triển sang các loại hình khác Các tài liệu tìm thấy ở công ty bảo hiểm Hammurabi cho chúng ta thấy rằng dịch vụ bảo hiểm đã tồn tại cách đây khoảng 3.800 năm.( ) 1

1.2.2 Thời kỳ phát triển lý thuyết quản trị rủi ro

1

Lam, James, Enterprise Risk Management: From Incensives to Control, Trang 95

xix

Khi hoạt động kinh doanh càng mở rộng phát triển thì doanh nghiệp phải đối mặt mới nhiều loại rủi ro mới và phức tạp hơn, đòi hỏi phải có một lý thuyết về rủi ro và các kỹ thuật để có thể quản lý rủi ro một cách hiệu qủa Từ chỗ cách thức duy nhất để quản lý rủi ro là mua các bảo hiểm cho các tổn thất có thể có đến cách thức quản lý những tình huống không chắc chắn và tối ưu hoá việc quản trị rủi ro

Cùng với yêu cầu về quản trị rủi ro, các lý thuyết về rủi ro và sau đó là các kỹ thuật và các hệ thống quản trị rủi ro được hình thành Có thể chia thành các giai đoạn phát triển như sau:

1.2.2.1 Nhận thức về rủi ro và các nhân tố ảnh hưởng John Haynes (1895)

John Haynes là một trong những người đầu tiên nghiên cứu về rủi ro Theo ông thì rủi ro là khả năng xảy ra những hư hỏng hoặc mất mát một cách tình cờ đối với đơn vị, sự kiện không chắc chắn được coi là rủi ro khi nó sẽ có những tác động xấu đến kết quả của đơn vị Oâng cũng khẳng định rằng, những nhà tư bản – người đầu tư tài sản của mình vào đơn vị – sẽ gánh chịu những rủi ro liên quan đến đơn vị

Frank H Knight (1921)

Theo Frank H Knight thì rủi ro là sự kiện trong tương lai mà có thể đo lường được sự tác động còn sự kiện không chắc chắn là những sự kiện mà không thể đo lường được sự tác động Mặt khác, ông cũng cho rằng: rủi ro liên quan đến tổn thất, và sự kiện không chắc chắn liên quan đến những lợi ích mà đơn vị sẽ gặp phải trong

tương lai Để xem xét khả năng xuất hiện của rủi ro và sự kiện không chắc chắn, ông sử dụng các khái niệm “xác suất khách quan” và “xác suất chủ quan”

Irving Pfeffer (1956)

Pfeffer đã tiếp tục quan điểm của Knight, và theo ông thì: thì rủi ro là sự kết hợp của các nguy hại và được đo lường bởi xác suất xảy ra; còn sự kiện không chắc

chắn được đo lường bởi mức độ của niềm tin Rủi ro là trạng thái khách quan, sự kiện không chắc chắn là trạng thái chủ quan

Các quan điểm về rủi ro theo thời gian đã có một sự chuyển biến to lớn: từ chỗ coi rủi ro là việc xuất hiện tổn thất một cách tình cờ đến việc dự báo các rủi ro, từ chỗ coi rủi ro là những gì có thể đo lường được đến việc ý thức được những rủi ro không thể đo lường, từ chỉ xem xét đến tổn thất đến việc đánh giá lợi ích, từ xem xét các rủi ro riêng lẻ đến xem xét cùng lúc nhiều rủi ro, Tuy nhiên, các quan điểm trên còn chứa đựng những bất cập: quan điểm về rủi ro chưa bao quát cho toàn đơn vị; rủi ro được xem xét cho từng sự kiện độc lập hoặc mới chỉ dừng lại xem xét sự tác động của nhiều sự kiện đến một mặt hoạt động của đơn vị Do đó, ứng phó với rủi ro thường bị động vì không có một chiến lược bài bản

1.2.2.2 Các công cụ quản trị rủi ro được hình thành

Với sự phát triển của nền kinh tế thị trường, đặc biệt là thị trường tài chính, các công cụ được xây dựng để lúc đầu phục vụ cho nhu cầu của các nhà đầu tư và sau đó áp dụng cho các hoạt động trong doanh nghiệp Ngoài ra, cùng với sự phát triển của kỹ thuật máy tính doanh nghiệp có nhiều nguồn dữ liệu và công cụ hỗ trợ đắc lực cho việc đo lường và phân tích các rủi ro, từ đó phục vụ tốt hơn cho việc quản lý Đầu những năm 1950, lý thuyết về danh mục đầu tư của Harry Markowitz đề cập đến việc đo lường và quản trị rủi ro Theo đó, có sự liên hệ giữa rủi ro và lợi ích kỳ vọng của một phương án và nhà đầu tư nên kết hợp nhiều phương án khác nhau để tối đa lợi ích của mình Đến đầu những năm 1970, công cụ bảo hiểm và tái bảo hiểm được các doanh nghiệp sử dụng rộng rãi và xuất hiện các công cụ phái sinh được các doanh nghiệp sử dụng để dự phòng cho những biến động về giá cả của thị trường Sự kết hợp công cụ bảo hiểm và các công cụ phái sinh dẫn đến việc áp dụng hình thức dịch vụ thuê ngoài (outsourcing) ở các doanh nghiệp lớn nhằm chuyển

1.2.2.3 Hệ thống quản trị rủi ro

ƒ Báo cáo Basel

Trên cơ sở Báo cáo COSO năm 1992, Ủy ban Basel ban hành Báo cáo Basel năm 1998 về kiểm soát nội bộ tại các ngân hàng và tổ chức tín dụng Năm 2000 Ủy ban Basel ban hành báo cáo bổ sung liên quan đến kiểm toán nội bộ, quan hệ giữa kiểm toán viên và ngân hàng

Nội dung của Báo cáo Basel nhằm xây dựng một hệ thống kiểm soát nội bộ hữu hiệu, chủ yếu kiểm soát các rủi ro liên quan đến việc thực hiện các mục tiêu tương tự như Báo cáo COSO năm 1992 và các rủi ro liên quan đến tín dụng Báo cáo Basel chỉ giới hạn trong phạm vi ngân hàng và các tổ chức tín dụng chứ chưa mở rộng phạm vi ra các loại hình doanh nghiệp khác trong việc quản trị các rủi ro

ƒ James Lam (2003)

James Lam là người đề xuất vị trí trưởng bộ phận rủi ro (CRO), ông được xem là CRO đầu tiên của khoảng 300 CRO hiện nay trên thế giới Năm 1993 ông giữ chức vụ CRO cho công ty GE Capital, từ năm 1995 đến năm 1998 ông là CRO của công ty quản lý quỹ đầu tư Fidelity Investment – qũy đầu tư hỗ tương lớn nhất thế

giới với tổng tài sản lên đến 700 tỷ USD Trong thới gian này, ông được tạp chí The Economist và Price Waterhouse Review đánh giá là người quản trị rủi ro tốt nhất

Năm 1999 ông tham gia công ty tư vấn Oliver, Wyman & Company và đồng sáng lập ra công ty ERrisk, chuyên cung cấp các dịch vụ tư vấn về quản trị rủi ro và đầu tư, đặc biệt cho các ngân hàng và công ty quản lý qũy đầu tư Tại ERisk, đầu tiên ông giữ chức vụ giám đốc điều hành và năm 2000 ông là phó chủ tịch Hội đồng quản trị Năm 2002 ông rời ERisk nhưng vẫn là thành viên Hội đồng quản trị của công ty này

Hiên nay ông là nhà tư vấn độc lập và chủ tịch của công ty James Lam & Associates Các khách hàng lớn được ông trực tiếp tư vấn bao gồm: The World Bank, Salomon Smith Barney, Allied Capital, First Data,…

Theo James Lam, rủi ro là tất cả các sự kiện tác động tiêu cực đến công ty, và mỗi loại rủi ro chịu sự tác động của nhiều yếu tố Giữa lợi nhuận của công ty và mức độ rủi ro mà công ty tham gia có sự tương quan Ơû mức độ ban đầu, mức độ rủi ro mà công ty tham gia càng nhiều thì lợi nhuận càng lớn Tuy nhiên, khi mức độ rủi ro mà công ty tham gia đến một giới hạn nào đó thì lợi nhuận sẽ giảm khi rủi ro tăng lên Vấn đề là công ty phải xác định tham gia rủi ro ở mức độ nào để có lợi nhuận cao nhất?

Một chu trình để quản lý hữu hiệu rủi ro gồm các bước sau: ý thức về rủi ro, đo lường rủi ro và kiểm soát rủi ro Chu trình quản lý rủi ro giúp mọi người liên quan thực hiện những nhiệm vụ của mình liên quan đến rủi ro trong công việc hàng ngày

Để quản trị rủi ro một cách hữu hiệu, đòi hỏi chu trình cần có các yếu tố cơ bản liên quan Mỗi yếu tố phải có sự liên kết với các yếu tố khác và các yếu tố phải kết hợp với nhau như một chỉnh thể thống nhất Các yếu tố cơ bản của một chu trình quản trị rủi ro bao gồm: Ban lãnh đạo, các cấp quản lý trung gian, mức rủi ro có thể

xxiii

chấp nhận, chuyển giao rủi ro, phân tích rủi ro, cơ sở dữ liệu và kỹ thuật, thông tin về rủi ro

Bảng 1.2: Các yếu tố của hệ thống quản trị rủi ro doanh nghiệp theo James Lam

1 Ban lãnh đạo đơn vị

Thiết lập một quy trình quản lý rủi ro từ trên xuống

2 Cấp quản lý trung gian

Triển khai chiến lược

3 Quản lý rủi ro tổng thể

Nghĩ và làm như “người quản lý quỹ đầu tư”

4 Chuyển giao rủi ro

Chuyển giao những rủi ro không hiệu quả

5 Phân tích rủi ro

Phát triển các công cụ phân tích hiện đại

6 Nguồn dữ liệu và kỹ thuật

Tích hợp kỹ thuật và dữ liệu

7 Thông tin cho các bên liên quan

Cải thiện sự minh bạch các thông tin về rủi ro cho các bên liên quan

ƒ Nhận xét

Hệ thống quản trị rủi ro được xây dựng cho các loại hình doanh nghiệp đã tạo ra những chuẩn mực để các doanh nghiệp áp dụng trong việc quản trị rủi ro và các bên liên quan có những cơ sở để đánh giá Tuy nhiên, các hệ thống quản trị rủi ro như đã trình bày ở trên vẫn còn những tồn tại cơ bản sau:

- Nhấn mạnh đến những ngành nghề có rủi ro cao như ngân hàng, công ty đầu tư mà chưa mở rộng đến các loại hình doanh nghiệp khác Điều này gây khó khăn cho các doanh nghiệp không nằm trong phạm vi của hệ thống quản trị rủi ro khi tiếp cận Ví dụ doanh nghiệp phân phối hàng tiêu dùng không thể áp dụng cách thức quản trị rủi ro của công ty quản lý qũy,

xxv

- Hệ thống quản trị rủi ro theo nhìn nhận của James Lam chỉ thuần tuý mang tính chất quản lý mà không kết hợp với ngành nghề kế toán tài chính Trong khi đó, theo quy định của một số quốc gia thì việc quản lý rủi ro liên quan đến doanh nghiệp, trách nhiệm đó thuộc về lĩnh vực kế toán tài chính, ví dụ Đạo luật Sarbanes-Oxley năm 2002 của Hoa Kỳ Mặt khác, một số tổ chức nghề nghiệp cũng khẳng định lĩnh vực này thuộc về tài chính kế toán, chẳng hạn Tổ chức kiểm toán nội bộ IIA khẳng định chức năng này thuộc về kiểm toán nội bộ

Như vậy, hệ thống quản trị rủi ro cần phải được xây dựng lại để có thể bao quát hết cho các loại hình doanh nghiệp và thể hiện trách nhiệm của doanh nghiệp trong việc quản lý các rủi ro

1.3 Quản trị rủi ro doanh nghiệp theo khuôn mẫu của COSO năm 2004

1.3.1 Khái niệm về quản trị rủi ro doanh nghiệp

Mùa thu năm 2001, COSO đề xuất nghiên cứu nhằm đưa ra một lý thuyết để giúp các tổ chức quản trị các rủi ro liên quan đến quá trình hoạt động Mặc dù đã tồn tại nhiều lý thuyết về quản trị rủi ro nhưng COSO vẫn khẳng định rằng cần thiết phải có một cách tiếp cận mới về rủi ro và phải xây dựng một khuôn mẫu lý thuyết cũng như các kỹ thuật áp dụng tương tương để các đơn vị có thể áp dụng phù hợp với điều kiện của mình Công ty kiểm toán PriceWaterhouseCooper được chọn tham gia vào dự án này Đến tháng 10 năm 2004, dự án được hoàn thành và COSO công bố báo dưới tiêu đề: Quản trị rủi ro doanh nghiệp – Khuôn khổ hợp nhất

Theo Báo cáo của COSO năm 2004 thì quản trị rủi ro (QTRR) doanh nghiệp là một quá trình do hội đồng quản trị, các cấp quản lý và các nhân viên của đơn vị chi phối, được áp dụng trong việc thiết lập các chiến lược liên quan đến toàn đơn vị và áp dụng cho tất cả các cấp độ trong đơn vị, được thiết kế để nhận dạng các sự kiện tiềm tàng có thể ảnh hưởng đến đơn vị và quản trị rủi ro trong phạm vi chấp nhận

được của rủi ro nhằm cung cấp một sự đảm bảo hợp lý về việc đạt được các mục tiêu của đơn vị

So với định nghĩa của Báo cáo COSO năm 1992, thì định nghĩa này có những điểm mới sau:

- Ngoài 3 mục tiêu: báo cáo tài chính, hoạt động và tuân thủ thì mục tiêu của Báo cáo COSO năm 2004 còn có mục tiêu chiến lược Mục tiêu chiến lược được xác định ở cấp độ cao hơn so với các mục tiêu còn lại của QTRR Các mục tiêu chiến lược được xây dựng dựa trên sứ mạng của đơn vị Các mục tiêu về hoạt động, báo cáo và tuân thủ phải phù hợp với các mục tiêu chiến lược này

- Mở rộng hướng tiếp cận chiến lược về rủi ro QTRR được áp dụng trong việc thiết lập các mục tiêu chiến lược và các chiến lược để thực hiện cũng như trong các hoạt động nhằm đạt đến các mục tiêu liên quan Như vậy, các mục tiêu trong QTRR bao trùm hơn, xuyên suốt hơn so với các mục tiêu trong KSNB do đó sẽ mức độ bao quát rộng hơn đối với những rủi ro có khả năng phát sinh

- Mở rộng các cấp độ xem xét đối với rủi ro Sự kiện tác động không chỉ được xem xét riêng lẻ cho từng bộ phận trực tiếp liên quan mà còn được xem xét cho tất cả các cấp độ hoạt động trong đơn vị Khi đó sự tác động của rủi ro được xem xét hết từ bộ phận, chi nhánh, đến toàn doanh nghiệp

Các cấp độ xem xét đối với rủi ro căn cứ vào phạm vi có thể chấp nhận của rủi ro, các phạm vi có thể chấp nhận bao gồm:

Mức rủi ro có thể chấp nhận: là mức độ rủi ro mà đơn vị sẵn sàng chấp nhận để

thực hiện việc làm tăng giá trị xét trên bình diện toàn đơn vị

Mức rủi ro có thể chấp nhận ở mức độ bộ phận: là mức rủi ro mà đơn vị sẵn

sàng chấp nhận liên quan đến việc thực hiện từng mục tiêu cụ thể

1.3.2 Lợi ích của quản trị rủi ro doanh nghiệp

- Tạo lập sự phù hợp giữa lựa chọn chiến lược và mức rủi ro có thể chấp nhận: đối với mỗi chiến lược được lựa chọn, đơn vị xem xét mức rủi ro có thể chấp

xxvii

nhận cho từng chiến lược, trên cơ sở đó đơn vị có căn cứ để xây dựng các mục tiêu cụ thể và xác định cách thức quản lý các rủi ro liên quan Điều này tạo sự nhất quán trong việc quản lý và hướng các công việc hàng ngày theo theo mục tiêu ban đầu đã đề ra

- Làm tăng hiệu quả đối với việc phản ứng với rủi ro: QTRR cung cấp các kỹ

thuật và phương pháp cụ thể trong việc nhận dạng và lựa chọn các phương thức phản ứng với rủi ro như né tránh rủi ro, giảm thiểu rủi ro, chuyển giao rủi ro và chấp nhận rủi ro sẽ giúp các nhà quản lý phản ứng với rủi ro một cách hiệu quả

- Giảm thiểu tổn thất bất ngờ trong quá trình hoạt động: QTRR làm tăng khả

năng của đơn vị về việc nhận dạng các sự kiện tiềm tàng, đánh giá rủi ro, thiết lập cách thức phản ứng với rủi ro và do đó giảm thiểu những chi phí và tổn thất bất ngờ

- Nhận dạng và quản lý rủi ro xuyên suốt toàn đơn vị: mỗi đơn vị phải đối mặt

với rất nhiều loại rủi ro tác động đến nhiều bộ phận khác nhau Và QTRR đòi hỏi người quản lý không chỉ quản lý các loại rủi ro riêng biệt mà còn phải hiểu được sự tác động lẫn nhau của các rủi ro đó Từ đó giúp cho đơn vị có cái nhìn hệ thống đối với các loại rủi ro và phản ứng hiệu quả hơn đối với rủi ro, phục vụ cho việc thực hiện mục tiêu tổng thể của đơn vị

- Giúp đơn vị nắm bắt những cơ hội trong kinh doanh: QTRR xem xét tất cả

các sự kiện tiềm tàng liên quan đến đơn vị không chỉ có rủi ro và vì vậy giúp các nhà quản lý nhận dạng các sự kiện mang đến cơ hội từ đó đưa ra những phản ứng thích hợp để tận dụng những cơ hội đó

- Cải thiện sự phân bổ nguồn vốn của đơn vị: Có được đầy đủ thông tin về rủi

ro giúp nhà quản lý đánh giá tổng quát nhu cầu về vốn và tối ưu hoá việc phân bổ vốn của đơn vị

Tóm lại, QTRR giúp giúp nhà quản lý trong việc tạo lập giá trị cho đơn vị bằng cách: xử lý hữu hiệu đối với những sự kiện không chắc chắn trong tương lai và cung cấp các cách thức phản ứng nhằm đem lại hiệu qủa cao nhất cho đơn vị

1.3.3 Các yếu tố của quản trị rủi ro doanh nghiệp 1.3.3.1 Sơ lược các yếu tố

Theo Báo cáo của COSO năm 2004, QTRR doanh nghiệp bao gồm những bộ phận sau: Môi trường quản lý, thiết lập các mục tiêu, nhận dạng sự kiện tiềm tàng, đánh giá rủi ro, phản ứng với rủi ro, hoạt động kiểm soát, thông tin và truyền thông, giám sát Các yếu tố của QTRR doanh nghiệp được thể hiện ở bảng 1.3 dưới đây:

xxix

Bảng 1.3 Các yếu tố của quản trị rủi ro doanh nghiệp

Môi trường quản lý

Thiết lập mục tiêu

Nhận dạng sự kiện tiềm tàng

Đánh giá rủi ro

Phản ứng với rủi ro

Hoạt động kiểm soát

Thông tin & Truyền thông

Giám sát

1.3.3.2 Những điểm khác biệt so với kiểm soát nội bộ

QTRR có nội dung rộng hơn so với KSNB và được phát triển thêm trên cơ sở nội dung của KSNB Ngoài ra QTRR cũng đề cập nhiều nội dung mới để nhìn nhận rủi ro một cách toàn diện hơn và để quản lý rủi ro một cách hiệu qủa hơn

Về mặt cấu trúc, yếu tố Phân tích và đánh giá rủi ro của KSNB được phát triển thành 4 yếu tố của QTRR: Thiết lập mục tiêu, Nhận dạng sự kiện tiềm tàng, Đánh giá rủi ro và Phản ứng với rủi ro Mặt khác nội dung cụ thể của từng yếu tố cũng có

sự khác nhau, phần dưới đây trình bày những khác biệt cơ bản và sự mở rộng của QTRR so với KSNB

1.3.3.2.1 Môi trường quản lý

KSNB nhìn nhận triết lý về quản lý của người điều hành là yếu tố hợp thành của môi trường quản lý QTRR thì nhìn nhận quan điểm của nhà quản lý về rủi ro là yếu tố hợp thành của môi trường quản lý Điều này cho thấy QTRR nhìn nhận rủi ro là tất yếu và không thể xoá bỏ, đơn vị phải tính luôn đến trong quá trình hoạt động của mình Trên quan điểm cho rằng không thể xóa bỏ được rủi ro, đơn vị xác định mức rủi ro có thể chấp nhận cho toàn bộ đơn vị và cho từng cấp độ cụ thể để xây dựng các ngưỡng chịu đựng đối với rủi ro trong quá trình hoạt động của mình

Việc xác định triết lý về rủi ro và xác định mức độ rủi ro có thể chấp nhận cũng giúp đơn vị xác định phương hướng chung trong việc ứng phó với rủi ro chứ không chỉ là tập trung xử lý những rủi ro cụ thể và ngắn hạn Những nội dung này trong QTRR cụ thể như sau:

- Triết lý của nhà quản lý về quản trị rủi ro: triết lý về quản trị rủi ro là quan

điểm, nhận thức và thái độ của nhà quản lý đối với rủi ro, điều này tạo nên cách thức mà đơn vị tiếp cận với rủi ro trong tất cả các hoạt động, từ phát triển chiến lược đến các hoạt động hàng ngày Triết lý quản lý phản ánh những giá trị mà đơn vị theo đuổi, tác động đến văn hoá và cách thức đơn vị hoạt động, và ảnh hưởng đến

xxxi

việc áp dụng các yếu tố khác của QTRR bao gồm cách thức nhận dạng rủi ro, các loại rủi ro được chấp nhận và cách thức quản lý chúng

- Rủi ro có thể chấp nhận: là mức độ rủi ro mà xét trên bình diện tổng thể, đơn vị

sẵn lòng chấp nhận để theo đuổi giá trị Nó phản ánh triết lý về quản trị rủi ro của nhà quản lý cấp cao, và ảnh hưởng đến văn hoá, cách thức hoạt động của đơn vị

Rủi ro có thể chấp nhận được xem xét khi đơn vị xác định các chiến lược, ở đó lợi ích kỳ vọng của một chiến lược phải phù hợp với mức rủi ro có thể chấp nhận đã đề ra Các chiến lược khác nhau sẽ dẫn đến những mức độ rủi ro khác nhau đối với đơn vị, một khi mức rủi ro có thể chấp nhận được xác lập sẽ giúp ích cho nhà quản lý lựa chọn chiến lược nằm trong giới hạn chịu đựng đối với các loại rủi ro

1.3.3.2.2 Thiết lập mục tiêu

Báo cáo COSO năm 1992 không cho rằng việc thiết lập mục tiêu là nhiệm vụ của KSNB, tuy nhiên Báo cáo COSO năm 2004 cho rằng thiết lập mục tiêu là một bộ phận của đánh giá rủi ro và việc thiết lập các mục tiêu là điều kiện đầu tiên để nhận dạng, đánh giá và phản ứng với rủi ro

Các mục tiêu được thiết lập đầu tiên ở cấp độ mục tiêu chiến lược, từ đó đơn vị xây dựng các mục tiêu liên quan: hoạt động, báo cáo và tuân thủ

- Các mục tiêu chiến lược: là những mục tiêu cấp cao của đơn vị, các mục tiêu

này phù hợp và ủng hộ cho sứ mạng mà đơn vị đã đề ra Nó thể hiện sự lựa chọn của nhà quản lý về cách thức đơn vị tạo lập giá trị cho chủ sở hữu của mình

- Các mục tiêu liên quan: là những mục tiêu cụ thể hơn so với mục tiêu chiến

lược và phù hợp với mục tiêu chiến lược đã được lập Mặc dù các mục tiêu trong đơn vị rất đa dạng, nhưng các mục tiêu liên quan đến các mục tiêu chiến lược bao gồm các mục tiêu về hoạt động, báo cáo và tuân thủ Nội dung của các mục tiêu này tương tự như KSNB

Mối quan hệ giữa sứ mạng, các mục tiêu và các mức rủi ro có thể chấp nhận được thể hiện qua 1 ví dụ ở hình 1.4 dưới đây:

Hình 1.4 Ví dụ về mối liên hệ giữa sứ mạng, các mục tiêu và rủi ro có thể chấp nhận của một doanh nghiệp

Rủi ro có thể chấp nhận ở mức độ bộ phận Đo lường

• Chỉ số chất lượng sản phẩm • 180 nhân viên • 4.0 • -15/+20 • 4.0 – 4.5

Sứ mạng

Trở thành một nhà sản xuất về dụng cụ gia đình trong thị trường tham gia

Mục tiêu chiến lược

Trở thành 1 trong 4 công ty dẫn đầu về thị phần trong thị trường mà doanh nghiệp đang hoạt động

Các mục tiêu liên quan • Tăng sản lượng sản xuất mặt hàng X lên 15% trong 12 tháng tới • Tuyển dụng thêm 180 nhân viên có chất lượng cho bộ phân sản xuất

• Duy trì chất lượng sản phẩm ở cấp độ 4

• Duy trì chi phí lao động ở mức 22% cho

Chiến lược

Mở rộng sản xuất 5 mặt hàng có doanh số bán lẻ lớn nhất để đáp ứng nhu cầu đang tăng lên của thị trường

Đo lường

• Sản lượng sản xuất • Số nhân viên tuyển dụng

• Chất lượng sản phẩm

Đo lường

• Thị phần

Rủi ro có thể chấp nhận ở mức độ toàn doanh nghiệp

• Chấp nhận việc doanh nghiệp tiêu thụ nhiều tiền vốn để đầu tư vào tài sản mới, nhân sự và chu trình • Chấp nhận gia tăng cạnh tranh để tăng thị phần, vì thế lợi nhuận biên giảm xuống • Không chấp nhận việc làm giảm chất lượng sản phẫm

Sự kiện tiềm tàng: là biến cố bắt nguồn từ bên trong hoặc bên ngoài đơn vị

ảnh hưởng đến việc thực hiện mục tiêu của đơn vị Một sự kiện có thể có ảnh hưởng tích cực hoặc tiêu cực đến đơn vị và có thể cả hai

Các yếu tố ảnh hưởng: khi xem xét các sự kiện tiềm tàng cần xác định các

yếu tố ảnh hưởng đến việc thực hiện mục tiêu của đơn vị Các yếu tố ảnh hưởng bao gồm các yếu tố bên ngoài như: môi trường kinh tế, môi trường tự nhiên, các yếu tố chính trị, xã hội,… và các yếu tố bên ngoài như: cơ sở vật chất, nhân sự, các chu trình,…

Sự tương tác lẫn nhau giữa các sự kiện: các sự kiện liên quan đến đơn vị

thường không xuất hiện độc lập mà có sự tương tác lẫn nhau Một sự kiện xuất hiện có thể tạo ra, tác động đến một sự kiện khác và các sự kiện có thể xuất hiện đồng thời

Phân biệt cơ hội và rủi ro: sự kiện tiềm tàng nếu xuất hiện sẽ tác động tiêu

cực hoặc tích cực đến đơn vị hoặc tác động cả hai Nếu sự kiện có tác động tiêu cực, đe dọa nguy cơ đạt được mục tiêu của đơn vị, thì đòi hỏi đơn vị phải đánh giá rủi ro và phản ứng với rủi ro Nếu sự kiện có tác động tích cực đến đơn vị, làm thuận lợi việc thực hiện mục tiêu của đơn vị hoặc tạo giá trị cho đơn vị, thì phải được xem xét trở lại đối với các chiến lược đã được xây dựng

Trong một số trường hợp sự kiện tiềm tàng có liên hệ trực tiếp và cụ thể đến các mục tiêu của đơn vị Ví dụ về nhận dạng sự kiện tiềm tàng ở Bảng 1.5 dưới đây cho chúng ta thấy rõ hơn sự liên hệ này

Bảng 1.5 Ví dụ về nhận dạng các sự kiện tiềm tàng

Sứ mạng Trở thành một nhà sản xuất về dụng cụ gia đình trong thị trường tham gia Mục tiêu chiến lược Trở thành 1 trong 4 công ty dẫn đầu

về thị phần trong thị trường mà doanh nghiệp đang hoạt động

Các mục tiêu liên quan • Tuyển dụng 180 nhân viên có chất lượng cho bộ phận sản xuất

• Duy trì chi phí lao động ở mức 22% cho mỗi đơn hàng

Đo lường việc thực hiện mục tiêu • Số lượng nhân viên có chất lượng được tuyển dụng

• Chi phí lao động cho mỗi đơn hàngCác mức rủi ro có thể chấp nhận • 165 – 200 nhân viên có chất lượng

được tuyển dụng

• Chi phí lao động cho mỗi đơn hàng chiếm từ 20 – 23%

Sự kiện tiềm tàng/Rủi ro và sự tác động liên quan

• Cầu lao động tăng, doanh nghiệp tuyển dụng được nhiều lao động • Cầu lao động giảm, doanh nghiệp tuyển dụng ít lao động hơn so với dự kiến

• Tuyển dụng các lao động không đảm bảo về chất lượng

xxxv

1.3.3.2.4 Đánh giá rủi ro

QTRR cung cấp cách thức về chu trình và những kỹ thuật cụ thể để đánh giá rủi ro Trên cơ sở đó, đơn vị có thể đánh giá cụ thể sự tác động của các sự kiện tiềm tàng và do đó xem xét những cách thức phản ứng phù hợp Việc đánh giá rủi ro bao gồm các nội dung sau:

Rủi ro tiềm tàng và rủi ro kiểm soát: rủi ro tiềm tàng là rủi ro do thiếu các

hoạt động của đơn vị nhằm thay đổi khả năng hoặc sự tác động của các rủi ro đó Rủi ro kiểm soát là rủi ro vẫn còn tồn tại sau khi đơn vị đã phản ứng với rủi ro Đơn vị cần phải xem xét cả rủi ro tiềm tàng và rủi ro kiểm soát, đầu tiên là xem xét các rủi ro tiềm tàng, sau đó khi đã có phương án phản ứng với rủi ro tiềm tàng thì tiếp tục xem xét đến rủi ro kiểm soát

Ứơc lượng khả năng và ảnh hưởng: các sự kiện tiềm tàng phải được đánh giá

trên hai khía cạnh: khả năng xảy ra và mức độ tác động của nó Những sự kiện mà khả năng xuất hiện thấp và tác động ít đến đơn vị thì không cần phải tiếp tục xem xét Ngược lại, các sự kiện với khả năng xuất hiện cao và tác động lớn thì cần phải xem xét kỹ càng Các sự kiện nằm giữa hai thái cực này đòi hỏi sự đánh giá phức tạp, điều quan trọng là phải phân tích kỹ lưỡng và hợp lý

Để đo lường khả năng xuất hiện một sự kiện, có thể dùng các chỉ tiêu định tính như cao, trung bình, thấp hoặc các cấp độ chi tiết khác Hoặc có thể dùng chỉ tiêu định lượng như: tỷ lệ xuất hiện, tần suất xuất hiện,

Kỹ thuật đánh giá rủi ro: đơn vị thường sử dụng kết hợp các kỹ thuật định

lượng và định tính khi đánh giá rủi ro Kỹ thuật định tính được sử dụng khi rủi ro không thể định lượng được, hoặc khi dữ liệu đầu vào không đủ tin cậy hoặc không tương xứng với chi phí để định lượng Kỹ thuật định lượng được sử dụng cho những hoạt động phức tạp của đơn vị và thường phải sử dụng các mô hình toán học, cho kết

qủa chính xác hơn so với kỹ thuật định tính Bảng 1.4 dưới đây cung cấp một ví dụ về kỹ thuật định lượng:

Bảng 1.6 Các kỹ thuật định lượng để đánh giá rủi ro

So sánh: So sánh các chu trình giữa các đơn vị trong ngành hoặc giữa

các ngành với nhau, bằng cách đánh giá các sự kiện hay chu trình cụ thể đối với từng đơn vị, sau đó so sánh kết qủa

Mô hình xác suất: Xác định tác động của sự kiện tại các xác suất khác

nhau Sau đó, xác định sự tác động tương ứng với các độ tin cậy khác nhau

Mô hình phi xác suất: Đưa ra các giả định về việc đạt mục tiêu và

đánh giá các rủi ro tương ứng mà không sử dụng các chỉ tiêu định lượng để đánh giá khả năng sự kiện có thể xảy ra

Sự liên hệ giữa các sự kiện: đối với những sự kiện độc lập với nhau thì đơn vị

đánh giá các sự kiện một cách độc lập Nhưng nếu có sự liên hệ giữa các sự kiện hoặc các sự kiện cùng kết hợp lại với nhau sẽ tạo nên những tác động lớn thì đơn vị phải đánh giá được tác động tổng hợp đó

Khi rủi ro tác động đến nhiều bộ phận, đơn vị kết hợp các rủi ro đó trong danh sách các sự kiện và xem xét trước hết sự tác động đến từng bộ phận, sau đó xem xét tác động tổng thể đến toàn đơn vị

1.3.3.2.5 Phản ứng với rủi ro

QTRR cung cấp các cách thức phản ứng đa dạng và đề xuất chu trình để đơn vị phản ứng với các rủi ro Sau khi đã đánh giá các rủi ro liên quan, đơn vị xác định các cách thức để phản ứng với các rủi ro đó Các cách thức để phản ứng với rủi ro bao gồm:

xxxvii

Né tránh rủi ro: không thực hiện các hoạt động mà có rủi ro cao như sản xuất

một mặt hàng mới, giảm doanh số ở một số khu vực của thị trường, bán bớt một số ngành hàng hoạt động,…

Giảm bớt rủi ro: các hoạt động nhằm làm giảm thiểu khả năng xuất hiện

hoặc mức độ tác động của rủi ro hoặc cả hai Các hoạt động này liên quan đến việc điều hành hàng ngày

Chuyển giao rủi ro: Làm giảm thiểu khả năng xuất hiện và mức độ tác động

của rủi ro bằng cách chuyển giao hoặc chia sẽ một phần rủi ro Các kỹ thuật này bao gồm: mua bảo hiểm cho tổn thất, sử dụng các công cụ về tài chính để dự phòng cho tổn thất, các hoạt động thuê ngoài,…

Chấp nhận rủi ro: đơn vị không làm gì cả đối với rủi ro

Né tránh rủi ro được sử dụng khi các phản ứng khác không thể làm giảm khả năng xảy ra của sự kiện hoặc tác động của sự kiện đó xuống mức có thể chấp nhận Giảm thiểu rủi ro và chuyển giao rủi ro được sử dụng để làm giảm rủi ro kiểm soát xuống mức phù hợp với từng rủi ro có thể chấp nhận Chấp nhận rủi ro khi rủi ro tiềm tàng nằm trong phạm vi của rủi ro có thể chấp nhận

Một chu trình phản ứng với rủi ro bao gồm các bước sau:

Xác định các phản ứng: khi lựa chọn một phương án phản ứng với rủi ro, cần

điều tra và phân tích các khía cạnh sau:

- Ảnh hưởng của phản ứng của đơn vị đến khả năng và tác động của rủi ro, và phản ứng nào nằm trong phạm vi của rủi ro bộ phận

- Lợi ích và chi phí của từng loại phản ứng

- Cơ hội có thể có đối với việc thực hiện mục tiêu chung của đơn vị khi phản ứng với các rủi ro cụ thể

Lựa chọn phản ứng: sau khi đã đánh giá các phản ứng khác nhau đối với rủi

ro, đơn vị quyết định phải quản lý rủi ro như thế nào, lựa chọn phản ứng để đối phó với rủi ro trong phạm vi rủi ro bộ phận, lưu ý rằng phản ứng được lựa chọn không phải là phản ứng có rủi ro kiểm soát nhỏ nhất Tuy nhiên, khi rủi ro kiểm soát vượt ra khỏi giới hạn của rủi ro bộ phận, đơn vị cần phải xem xét lại phản ứng đã chọn, hoặc trong một số trường hợp thì đơn vị có thể điều chỉnh lại rủi ro bộ phận đã được thiết lập trước đây

Khi lựa chọn phản ứng cần phải xem xét các rủi ro tiếp theo phát sinh từ việc áp dụng phản ứng đó Điều này phát sinh một chu trình kế tiếp và đơn vị phải xem xét tiếp rủi ro trước khi đưa ra quyết định cuối cùng Việc mở rộng xem xét rủi ro theo từng cấp bậc kế tiếp giúp đơn vị nhìn nhận hết các rủi ro từ đó có thể quản lý tốt hơn và có những chiến lược dài hạn cho các tình huống

1.3.3.2.6 Hoạt động kiểm soát

Các hoạt động kiểm soát bao gồm các chính sách và thủ tục được thực hiện bởi các nhân viên liên quan, nhằm đảm bảo các chính sách, chỉ thị của nhà quản lý về phản ứng với rủi ro được thực hiện Các hoạt động kiểm soát có thể được phân loại tuỳ thuộc vào mục tiêu của đơn vị mà hoạt động kiểm soát có liên quan như: chiến lược, hoạt động, báo cáo và tuân thủ

Theo nội dung thực hiện thì hoạt động kiểm soát được thực hiện tại đơn vị bao gồm: kiểm soát cấp cao, kiểm soát các hoạt động chức năng, kiểm soát quá trình xử lý thông tin và nghiệp vụ, kiểm soát vật chất, hoạt động phân tích soát xét lại, phân chia trách nhiệm Nội dung của các hoạt động này tương tự như KSNB

1.3.3.2.7 Thông tin và truyền thông

Thông tin và cách thức truyền thông là yếu tố không thể thiếu để đơn vị nhận dạng các sự kiện tiềm tàng, đánh giá và phản ứng với rủi ro QTRR nhấn mạnh chất lượng thông tin trong điều kiện sự phát triển mạnh mẽ của khoa học về công nghệ

xxxix

thông tin hiện nay và nội dung thông tin phải gắn liền với việc quản lý các rủi ro tại đơn vị Thông tin phải được cung cấp cho những người liên quan theo những cách thức và thời gian thích hợp để họ có thể thực hiện quá trình QTRR và những nhiệm vụ liên quan

Để thông tin phục vụ cho quá trình quản trị các rủi ro liên quan đến đơn vị, thông tin cần đạt những yêu cầu sau đây:

- Gắn với quá trình QTRR

- Có thể so sánh được với mức rủi ro có thể chấp nhận - Phát triển hệ thống thông tin tích hợp

Để làm tăng chất lượng thông tin, đơn vị cần một chương trình quản lý dữ liệu trên toàn đơn vị, bao gồm các yêu cầu về thông tin, việc duy trì truyền tải thông tin Nếu không hệ thống thông tin sẽ không cung cấp được những gì mà các cấp quản lý và những người khác cần để thực hiện các chức năng nhiệm vụ liên quan đến quá trình quản trị rủi ro

1.3.3.2.8 Giám sát

Đây là bộ phận cuối cùng của hệ thống quản trị rủi ro doanh nghiệp Giám sát là quá trình người quản lý đánh giá vai trò, nhiệm vụ của những người liên quan đến các yếu tố trong hệ thống QTRR trong quá trình thực hiện

Để đạt kết quả tốt, đơn vị cần thực hiện các hoạt động giám sát thường xuyên và đánh giá định kỳ Các nội dung này tương tự như hệ thống KSNB (Xem chi tiết các yếu tố của QTRR ở Phụ lục 2)

1.3.4 Hạn chế của quản trị rủi ro doanh nghiệp

Một hệ thống QTRR được xem là hữu hiệu, dù đã được thiết kế và vận hành thế nào đi chăng nữa, cũng nhằm cung cấp một sự đảm bảo hợp lý trong việc thực

hiện các mục tiêu của đơn vị chứ không đảm bảo tuyệt đối Điều này xuất phát từ những hạn chế của hệ thống QTRR doanh nghiệp Cụ thể như sau:

- Rủi ro liên quan đến tương lai và chứ đựng yếu tố không chắc chắn Một chu trình QTRR dù được đầu tư rất nhiều trong thiết kế cũng không thể nhận dạng hết toàn bộ các rủi ro và do đó không thể đánh giá chính xác sự tác động của chúng

- Những hạn chế xuất phát từ con người liên quan trong chu trình QTRR như: việc ra quyết định sai do thiếu thông tin, bị áp lực trong sản xuất kinh doanh; sự vô ý, bất cẩn, đãng trí; hiểu sai chỉ dẫn của cấp trên hoặc báo cáo của cấp dưới; việc đảm nhận vị trí công việc tạm thời, thay thế cho người khác;…

- Sự thông đồng giữa các nhân viên với nhau hay với các bộ phận bên ngoài đơn vị

- Khi đưa ra các quyết định, yêu cầu thường xuyên và trên hết là của người quản lý là xem xét quan hệ giữa chi phí bỏ ra và lợi ích thu được Việc phản ứng với rủi ro và tiếp theo đó là các hoạt động giám sát cũng phải đảm bảo rằng lợi ích có được phải lớn hơn chi phí mà đơn vị bỏ ra

- Luôn có khả năng những người quản lý lạm quyền trong chu trình QTRR nhằm phục vụ cho các mưu đồ riêng