Mối quan hệ giữa hệ thống kiểm soát nội bộ và quản trị rủi ro trong doanh nghiệp
Các tổ chức, các doanh nghiệp hiện nay đang phải đối diện với áp lực về việc phải nhận diện được hết các rủi ro mà họ phải đối mặt như rủi ro về xã hội, về đạo đức, về môi trường rủi ro về mặt tài chính, rủi ro hoạt động, cũng như quản trị chúng ở mức độ có thể chấp nhận được.
Do đó, vai trò của quản trị rủi ro trong doanh nghiệp ngày càng được thừa nhận rộng rãi. Trong khi đó, việc sử dụng các khung quản trị rủi ro doanh nghiệp đã được mở rộng khi các tổ chức nhận ra được lợi ích của họ khi tiếp cận với việc quản trị rủi ro doanh nghiệp. Hệ thống kiểm soát nội bộ, cho dù dưới vai trò nào thì đều góp phần vào việc quản trị rủi ro doanh nghiệp theo nhiều cách khác nhau.
Khái quát về hệ thống kiểm soát nội bộ trong doanh nghiệp
Nhiệm vụ của nhà quản trị doanh nghiệp là phải đặt ra các chính sách và thủ tục thích hợp nhằm hạn chế các rủi ro, tức là giảm thiểu khả năng không đạt được mục tiêu đã định trước, từ đó hình thành khái niệm hệ thống kiểm soát nội bộ (KSNB) trong đơn vị.
Một số nghiên cứu về KSNB trong thời gian qua không có sự phân biệt rõ ràng giữa khái niệm KSNB và hệ thống KSNB trong doanh nghiệp. Theo tác giả, khái niệm KSNB và hệ thống KSNB có sự khác biệt nhất định.
Cần phải hiểu rằng, KSNB là một chức năng của quá trình quản lý và hệ thống KSNB được doanh nghiệp thiết lập ra để thực hiện chức năng đó. Trong mọi hoạt động của doanh nghiệp, chức năng kiểm soát luôn giữ vai trò quan trọng trong quá trình quản lý và được thực hiện chủ yếu bởi hệ thống KSNB của doanh nghiệp.
Hệ thống KSNB được thiết kế để thực hiện một số chức năng cơ bản sau:
- Bảo vệ tài sản của đơn vị: Tài sản của đơn vị bao gồm cả tài sản hữu hình và vô hình, chúng có thể bị đánh cắp, lạm dụng vào những mục đích khác nhau hoặc bị hư hại nếu không được bảo vệ bởi các hệ thống kiểm soát thích hợp. Điều tương tự cũng có thể xảy ra đối với các tài sản phi vật chất khác như sổ sách kế toán, các tài liệu quan trọng…
- Bảo đảm độ tin cậy của thông tin: Thông tin kinh tế, tài chính do bộ máy kế toán xử lý và tổng hợp là căn cứ quan trọng cho việc hình thành các quyết định của nhà quản lý. Như vậy, các thông tin cung cấp phải đảm bảo tính kịp thời về thời gian, tính chính xác; tin cậy về thực trạng hoạt động; phản ánh đầy đủ khách quan các nội dung chủ yếu của mọi hoạt động kinh tế, tài chính.
- Bảo đảm việc thực hiện các chế độ pháp lý: Hệ thống KSNB được thiết kế trong doanh nghiệp phải đảm bảo các quyết định và chế độ pháp lý liên quan đến hoạt động sản xuất kinh doanh của doanh nghiệp phải được tuân thủ đúng mức.
Một hệ thống KSNB hoạt động hiệu quả sẽ đem lại nhiều lợi ích cho đơn vị. Hệ thống KSNB hiệu quả chính là nhân tố chủ chốt của một hệ thống quản trị doanh nghiệp hiệu quả. Tuy nhiên, cần hiểu rằng, một hệ thống KSNB dù được thiết kế hoàn hảo đến đâu cũng chỉ cung cấp một sự đảm bảo hợp lý về việc, không thể cung cấp sự đảm bảo tuyệt đối.
Sở dĩ như vậy vì trong hệ thống KSNB của đơn vị luôn tồn tại những hạn chế cố hữu như: Phần lớn các thủ tục KSNB thường tác động đến những nghiệp vụ lặp đi lặp lại mà không tác động đến những nghiệp vụ bất thường, trong khi những nghiệp vụ bất thường mới dễ xảy ra sai phạm; do sự yếu kém về năng lực cũng như trình độ chuyên môn của các cấp trong việc xây dựng các quy định, chính sách, thủ tục kiểm soát không phù hợp; sự lỗi thời lạc hậu của các thủ tục kiểm soát trong điều kiện hoạt động của đơn vị đã thay đổi.
Khái quát về rủi ro và quản trị rủi ro trong doanh nghiệp
Theo quan điểm hiện đại của Chuẩn mực quốc tế thì: “Rủi ro là sự kết hợp của một sự kiện có thể xảy ra mà hệ quả của nó mang lại lợi ích hoặc tổn thất”. Như vậy, theo quan điểm hiện đại thì rủi ro được nhìn nhận theo cả mặt tích cực và tiêu cực, nó có thể đem lại bất lợi nhưng cũng mang lại nhiều cơ hội cho doanh nghiệp. Có nhiều loại rủi ro ảnh hưởng đến mục tiêu của doanh nghiệp tùy thuộc vào các tiêu chí phân loại khác nhau. Có thể kể đến một số loại rủi ro sau:
(i) Rủi ro tài chính: Bao gồm các rủi ro về lãi suất, tỷ giá hối đoái, nguồn tín dụng, dòng tiền và khả năng thanh toán…; (ii) Rủi ro chiến lược: Bao gồm các rủi ro về sự cạnh tranh, thay đổi của khách hàng, thay đổi của ngành, rủi ro đối với hoạt động nghiên cứu và phát triển, sở hữu trí tuệ…; (iii) Rủi ro hoạt động: Bao gồm rủi ro liên quan đến bộ máy lãnh đạo, rủi ro về văn hóa doanh nghiệp, vi phạm quy chế quản lý, kiểm soát tài chính, hệ thống thông tin…; (iv) Rủi ro nguy hiểm: Bao gồm các rủi ro về môi trường, nhà cung cấp, thiên tai, rủi ro đối với tài sản, các hợp đồng, sản phẩm và dịch vụ…
Căn cứ vào các cấp độ quản lý, rủi ro trong doanh nghiệp được phân chia như sau:
- Rủi ro chiến lược: Là rủi ro hiện tại và tương lai có ảnh hưởng tới lợi nhuận, tới hoạt động của doanh nghiệp, do quyết định kinh doanh mang tính chiến lược sai lầm dẫn đến không đạt được các mục tiêu chiến lược của doanh nghiệp.
- Rủi ro hoạt động: Là nguy cơ xảy ra tổn thất do các chính sách, các quy định, các thủ tục kiểm soát đối với các chu trình hoạt động của doanh nghiệp là không phù hợp, không hiệu quả, ảnh hưởng tới việc đạt được mục tiêu hoạt động của doanh nghiệp.
- Rủi ro tuân thủ: Là nguy cơ xảy ra tổn thất do không tuân thủ các quy định của pháp luật và các quy định khác có liên quan.
- Rủi ro báo cáo: là nguy cơ xảy ra tổn thất do các sai phạm không được báo cáo một cách kịp thời.
Căn cứ vào mức độ ảnh hưởng của rủi ro tới doanh nghiệp, rủi ro được phân chia như sau:
- Rủi ro tác động đến toàn doanh nghiệp: Là những rủi ro phát sinh từ nhân tố bên ngoài hoặc chính những nhân tố bên trong doanh nghiệp có ảnh hưởng đến hoạt động và các quyết định có liên quan đến tài chính hoặc đầu tư của doanh nghiệp…
- Rủi ro ảnh hưởng đến từng hoạt động cụ thể: Là khả năng xảy ra tổn thất ở mức độ từng hoạt động, từng bộ phận hay từng chức năng kinh doanh chính trong đơn vị ví dụ như rủi ro trong hoạt động kế toán ảnh hưởng đến sự tin cậy của thông tin trên báo cáo tài chính, rủi ro ở bộ phận bán hàng có ảnh hưởng đến doanh thu và công nợ…
Để giảm thiểu thiệt hại, tổn thất do rủi ro gây ra đối với doanh nghiệp, giảm thiểu những ảnh hưởng bất lợi của rủi ro thì nhà quản trị các cấp trong doanh nghiệp phải tiến hành quản trị rủi ro. Quản trị rủi ro được hiểu là quá trình tiếp cận rủi ro một cách khoa học và có hệ thống nhằm nhận dạng, kiểm soát, phòng ngừa và giảm thiểu những tổn thất, mất mát, những ảnh hưởng bất lợi của rủi ro; đồng thời, tìm cách biến rủi ro thành những cơ hội thành công. Mô hình tổ chức quản trị rủi ro ở các doanh nghiệp khác nhau có thể khác nhau, nhưng nhìn chung quá trình tổ chức quản trị rủi ro thường bao gồm các bước sau:
Thứ nhất, xác định mục tiêu của doanh nghiệp: khi bắt đầu quá trình quản lý rủi ro, công việc đầu tiên Ban lãnh đạo doanh nghiệp cần thực hiện là xác nhận các mục tiêu hoạt động của doanh nghiệp. Đây sẽ là cơ sở đảm bảo hoạt động quản lý rủi ro được tổ chức đúng hướng.
Thứ hai, xác định rủi ro: Là việc nhận diện các loại rủi ro mà doanh nghiệp phải đối mặt.
Thứ ba, mô tả và phân loại rủi ro: Việc phân loại rủi ro giúp doanh nghiệp quản lý rủi ro một cách có hệ thống và có cái nhìn tổng thể, toàn diện hơn về rủi ro trong mọi mặt hoạt động.
Thứ tư, đánh giá và xếp hạng rủi ro: Nguồn lực của doanh nghiệp là có hạn trong khi số lượng các rủi ro là rất lớn. Vì vậy, bước tiếp theo sau khi lập được bản danh sách các rủi ro tiềm ẩn, doanh nghiệp sẽ tổ chức đánh giá và xếp hạng các rủi ro theo mức độ cần ưu tiên ứng phó. Để thực hiện việc xếp hạng rủi ro, doanh nghiệp sẽ phân tích, đánh giá từng rủi ro theo 2 tiêu chí: Khả năng xảy ra của rủi ro và mức độ ảnh hưởng của rủi ro đến doanh nghiệp nếu xảy ra.
Thứ năm, xây dựng kế hoạch ứng phó: Doanh nghiệp phải đưa ra các biện pháp phòng ngừa, kiểm soát cụ thể cần thực hiện để phòng ngừa và giảm thiểu thiệt hại nếu rủi ro xảy ra. Điều quan trọng là doanh nghiệp đưa ra được các biện pháp khả thi, hữu hiệu và ít tốn kém. Có 3 nội dung phải được xác định cụ thể đối với từng rủi ro khi xây dựng kế hoạch ứng phó, đó là: (i) Những biện pháp phải thực thi để phòng chống, ngăn ngừa rủi ro xảy ra; (ii) Thời hạn cụ thể phải thực hiện xong các biện pháp đã đưa ra; (iii) Ai là sẽ người chịu trách nhiệm chính quản lý rủi ro đó.
Thứ sáu, tổ chức giám sát và thực hiện các biện pháp: Là việc đánh giá lại toàn bộ quá trình bên trên xem có được thực hiện một cách nghiêm túc hay không.
Mối quan hệ giữa quản trị rủi ro doanh nghiệp và hệ thống kiểm soát nội bộ
Hệ thống KSNB và quản trị rủi ro doanh nghiệp có mối quan hệ hai chiều, tác động qua lại và hỗ trợ lẫn nhau. Điều này thể hiện ở chỗ: Hệ thống KSNB được xây dựng dựa trên cơ sở nhận diện và phân tích các rủi ro có thể xảy ra trong hoạt động của doanh nghiệp. Và bản thân chính hệ thống KSNB được thiết lập, vận hành nhằm ngăn chặn giảm thiểu rủi ro có thể xảy ra, ảnh hưởng đến việc thực hiện các mục tiêu của doanh nghiệp.
Hệ thống KSNB là một hệ thống chính sách và thủ tục được thiết lập nhằm đạt được 4 mục tiêu: Bảo vệ tài sản của đơn vị; bảo đảm độ tin cậy của thông tin; bảo đảm việc thực hiện các chế độ pháp lý và bảo đảm hiệu quả của hoạt động.
Trong quá trình hoạt động của doanh nghiệp luôn tiềm ẩn các rủi ro có thể ảnh hưởng đến việc đạt được các mục tiêu của doanh nghiệp. Do vậy, một hệ thống KSNB làm việc hiệu quả phải đảm bảo ngăn ngừa và giảm thiểu được các rủi ro có thể xảy ra. Để ổn định và phát triển trong điều kiện hiện nay thì việc xây dựng hệ thống KSNB hướng tới quản lý rủi ro, cần được coi là vấn đề ưu tiên hàng đầu.
Tuy nhiên, thực tế hiện nay, nhiều doanh nghiệp chưa thực sự quan tâm về quản lý rủi ro khi xây dựng hệ thống KSNB. Nhà quản trị doanh nghiệp nhiều khi không nhận thức rõ về rủi ro tiềm ẩn hay hiện hữu, nên không xây dựng chính sách quản lý rủi ro do đó không thực hiện phân công trách nhiệm rõ ràng, không quy định rõ người chịu trách nhiệm quản lý rủi ro ở cấp độ toàn doanh nghiệp và từng bộ phận hoặc chưa có biện pháp đánh giá rủi ro theo một hệ thống thống nhất mà còn thực hiện manh mún, nhỏ lẻ và không đồng bộ giữa các bộ phận trong doanh nghiệp. Đặc biệt, do thiếu sự trao đổi thông tin về rủi ro, nên các doanh nghiệp chưa có được biện pháp thích hợp để ngăn chặn và chống đỡ rủi ro
Kết luận
Quản trị rủi ro trong doanh nghiệp tốt sẽ giúp doanh nghiệp nhận diện đầy đủ các loại rủi ro, có thể xảy ra, cũng như các nhân tố làm phát sinh rủi ro cũng như tần suất xuất hiện và mức độ nghiêm trọng mà rủi ro tác động tới khả năng thực hiện được các mục tiêu của doanh nghiệp. Đây là cơ sở quan trọng để doanh nghiệp thiết lập và vận hành một hệ thống KSNB hiệu quả.
Tuy nhiên, dù hệ thống KSNB được thiết lập và vận hành một cách hiệu quả thì cũng không thể tránh khỏi mọi rủi ro phát sinh do tồn tại những hạn chế cố hữu của hệ thống KSNB và cũng do yêu cầu lợi ích đạt được phải lớn hơn chi phí phát sinh. Do vậy, ngoài hệ thống KSNB thì doanh nghiệp cần áp dụng các phương pháp quản trị rủi ro cần thiết khác.
Mặt khác, do tác động của môi trường bên trong và bên ngoài nên các rủi ro phát sinh cũng thay đổi theo, vì vậy doanh nghiệp phải thường xuyên rà soát, sửa đổi, bổ sung các thủ tục kiểm soát để tránh bị lạc hậu, lỗi thời so với sự biến động của các nhân tố phát sinh rủi ro cho doanh nghiệp.
Tài liệu tham khảo:
1.Nguyễn Thanh Thủy (2017), Hoàn thiện hệ thống kiểm soát nội bộ tại Tập đoàn Điện lực Việt Nam, Luận án Tiến sỹ kinh tế, Học viện Tài chính, Hà Nội;
2.Anthony, R.N; Dear, J. and Bedford, N.M (1989), Managegment Control
3.System, Irwin, Homewood, IL;
4.Kenneth A. Merchant (1997), Modern Management Control Systems: Text and Cases, Prentice Hall PTR, USA;
5.Robert N. Anthony and Vijay Govindarajan (2001), Management Control Systems, Publisher: McGraw-Hill Professional.