Mối quan hệ giữa kiểm soát nội bộ và quản trị rủi ro trong doanh nghiệp
Trong môi trường kinh doanh có nhiều biến động như giai đoạn hiện nay thì việc xây dựng hệ thống kiểm soát nội bộ (KSNB) và quản trị rủi ro nhằm mục đích ngăn ngừa các rủi ro có thể xảy ra trong hoạt động sản xuất kinh doanh và đạt được các mục tiêu của doanh nghiệp là vô cùng cần thiết. Tuy nhiên, KSNB và quản trị rủi ro có phải hai chức năng tách rời nhau hay không, hay giữa chúng có những điểm chung nhất định, bài viết sau đây sẽ làm rõ vấn đề này.
Khái quát về kiểm soát nội bộ và hệ thống kiểm soát nội bộ trong doanh nghiệp
KSNB là một chức năng thường xuyên của các đơn vị, tổ chức và trên cơ sở xác định rủi ro có thể xảy ra trong từng khâu công việc để tìm ra biện pháp ngăn chặn nhằm thực hiện có hiệu quả tất cả các mục tiêu đặt ra của đơn vị. Hệ thống KSNB được thiết kế nhằm thực hiện tất cả các chức năng đó bao gồm:
- Bảo vệ tài sản của đơn vị: Tài sản của đơn vị bao gồm cả tài sản hữu hình và vô hình, chúng có thể bị đánh cắp, lạm dụng vào những mục đích khác nhau hoặc bị hư hại nếu không được bảo vệ bởi các hệ thống kiểm soát thích hợp. Điều tương tự cũng có thể xảy ra đối với các tài sản phi vật chất khác như sổ sách kế toán, các tài liệu quan trọng…
- Bảo đảm độ tin cậy của thông tin: Thông tin kinh tế, tài chính do bộ máy kế toán xử lý và tổng hợp là căn cứ quan trọng cho việc hình thành các quyết định của nhà quản lý. Như vậy, các thông tin cung cấp phải đảm bảo tính kịp thời về thời gian, tính chính xác và tin cậy về thực trạng hoạt động và phản ánh đầy đủ và khách quan các nội dung chủ yếu của mọi hoạt động kinh tế, tài chính.
- Bảo đảm việc thực hiện các chế độ pháp lý: Hệ thống KSNB được thiết kế trong doanh nghiệp (DN) phải đảm bảo các quyết định và chế độ pháp lý liên quan đến hoạt động sản xuất kinh doanh của DN phải được tuân thủ đúng mức. Cụ thể hệ thống KSNB cần:
+ Duy trì và kiểm tra việc tuân thủ các chính sách có liên quan đến các hoạt động của DN.
+ Ngăn chặn và phát hiện kịp thời cũng như xử lý các sai phạm và gian lận trong mọi hoạt động của DN.
+ Đảm bảo việc ghi chép kế toán đầy đủ, chính xác cũng như việc lập BCTC trung thực và khách quan.
Một hệ thống KSNB hoạt động hiệu quả sẽ đem lại nhiều lợi ích cho đơn vị. Hệ thống KSNB hiệu quả chính là nhân tố chủ chốt của một hệ thống quản trị DN hiệu quả. Tuy nhiên, cần hiểu rằng, một hệ thống KSNB dù được thiết kế hoàn hảo đến đâu cũng chỉ cung cấp một sự đảm bảo hợp lý về việc đạt được các mục tiêu của đơn vị cho các nhà quản lý chứ không thể cung cấp sự đảm bảo tuyệt đối. Sở dĩ như vậy vì trong hệ thống KSNB của đơn vị luôn tồn tại những hạn chế cố hữu như: phần lớn các thủ tục KSNB thường tác động đến những nghiệp vụ lặp đi lặp lại mà không tác động đến những nghiệp vụ bất thường trong khi những nghiệp vụ bất thường mới dễ xảy ra sai phạm; do sự yếu kém về năng lực cũng như trình độ chuyên môn của các cấp trong việc xây dựng các quy định, chính sách, thủ tục kiểm soát không phù hợp; sự lỗi thời lạc hậu của các thủ tục kiểm soát trong điều kiện hoạt động của đơn vị đã thay đổi.
Khái quát về rủi ro và quản trị rủi ro trong doanh nghiệp
Rủi ro là một khái niệm phổ biến, hầu như ai cũng có thể biết đến phạm trù này, tuy nhiên lại không có một quan điểm thống nhất nào về rủi ro. Những trường phái khác nhau, các tác giả khác nhau đưa ra những định nghĩa rủi ro khác nhau. Những định nghĩa này rất phong phú và đa dạng, có thể kế đến như: AllanWillett cho rằng, rủi ro là sự bất trắc cụ thể liên quan đến việc xuất hiện một biến cố không mong đợi. Trong khi đó John Haynes lại cho rằng, rủi ro là khả năng xảy ra tổn thất, là tổng hợp những sự ngẫu nhiên có thể đo lường được bằng xác suất.
Các định nghĩa trên dù ít nhiều khác nhau song có thể thấy, nó cùng đề cập đến hai đặc điểm cơ bản của rủi ro, đó là: Rủi ro là sự không chắc chắn và là khả năng xảy ra kết quả không mong muốn. Trong các khả năng xảy ra, có ít nhất một khả năng đưa đến kết quả không mong muốn. Kết quả này có thể đem lại tổn thất hay thiệt hại cho đối tượng gặp rủi ro.
Tuy nhiên, theo quan điểm hiện đại của Chuẩn mực quốc tế ISO/IEC Guide 73 hướng dẫn về quản lý rủi ro thì: “Rủi ro là sự kết hợp của một sự kiện có thể xảy ra mà hệ quả của nó mang lại lợi ích hoặc tổn thất”. Như vậy, theo quan điểm hiện đại thì rủi ro được nhìn nhận theo cả mặt tích cực và tiêu cực, nó có thể đem lại bất lợi nhưng cũng có thể mang lại cơ hội cho DN. Có nhiều loại rủi ro ảnh hưởng đến mục tiêu của DN tùy thuộc vào các tiêu chí phân loại khác nhau. Có thể kể đến một số loại rủi ro sau:
Căn cứ vào bản chất của các loại rủi ro, rủi ro được phân loại thành 4 nhóm như sau:
- Rủi ro tài chính: Bao gồm các rủi ro về lãi suất, tỷ giá hối đoái, nguồn tín dụng, dòng tiền và khả năng thanh toán…
- Rủi ro chiến lược: Bao gồm các rủi ro về sự cạnh tranh, thay đổi của khách hàng, thay đổi của ngành, rủi ro đối với hoạt động nghiên cứu và phát triển, sở hữu trí tuệ…
- Rủi ro hoạt động: Bao gồm rủi ro liên quan đến bộ máy lãnh đạo, rủi ro về văn hóa DN, vi phạm quy chế quản lý, kiểm soát tài chính, hệ thống thông tin…
- Rủi ro nguy hiểm: Bao gồm các rủi ro về môi trường, nhà cung cấp, thiên tai, rủi ro đối với tài sản, các hợp đồng, sản phẩm và dịch vụ…
Căn cứ vào các cấp độ quản lý, rủi ro trong DN được phân chia thành:
- Rủi ro chiến lược: là rủi ro hiện tại và tương lai có ảnh hưởng tới lợi nhuận, tới hoạt động của DN do quyết định kinh doanh mang tính chiến lược sai lầm dẫn đến không đạt được các mục tiêu chiến lược của DN.
- Rủi ro hoạt động: là nguy cơ xảy ra tổn thất do các chính sách, các quy định, các thủ tục kiểm soát đối với các chu trình hoạt động của DN là không phù hợp, không hiệu quả, ảnh hưởng tới việc đạt được mục tiêu hoạt động của DN.
- Rủi ro tuân thủ: là nguy cơ xảy ra tổn thất do không tuân thủ các quy định của pháp luật và các quy định khác có liên quan.
- Rủi ro báo cáo: là nguy cơ xảy ra tổn thất do các sai phạm không được báo cáo một cách kịp thời.
Căn cứ vào mức độ ảnh hưởng của rủi ro tới DN, rủi ro được phân chia thành: Rủi ro tác động đến toàn DN: là những rủi ro phát sinh từ nhân tố bên ngoài hoặc chính những nhân tố bên trong DN có ảnh hưởng đến hoạt động của DN, ảnh hưởng đến các quyết định có liên quan đến tài chính hoặc đầu tư của DN… Rủi ro ảnh hưởng đến từng hoạt động cụ thể: là khả năng xảy ra tổn thất ở mức độ từng hoạt động, từng bộ phận hay từng chức năng kinh doanh chính trong đơn vị.
Mô hình tổ chức quản trị rủi ro ở các DN khác nhau có thể khác nhau, nhưng nhìn chung quá trình tổ chức quản trị rủi ro thường bao gồm các bước sau:
(i) Xác định mục tiêu của DN: khi bắt đầu quá trình quản lý rủi ro, công việc đầu tiên Ban lãnh đạo DN cần thực hiện là xác nhận các mục tiêu hoạt động của DN. Đây sẽ là cơ sở đảm bảo hoạt động quản lý rủi ro được tổ chức đúng hướng.
(ii) Xác định rủi ro: chính là việc nhận diện các loại rủi ro mà DN phải đối mặt.
(iii) Mô tả và phân loại rủi ro: Việc phân loại rủi ro giúp DN quản lý rủi ro một cách có hệ thống và có cái nhìn tổng thể, toàn diện hơn về rủi ro trong mọi mặt hoạt động.
(iv) Đánh giá và xếp hạng rủi ro: Nguồn lực của DN là có hạn trong khi số lượng các rủi ro là rất lớn. Vì vậy, bước tiếp theo sau khi lập được bản danh sách các rủi ro tiềm ẩn, DN sẽ tổ chức đánh giá và xếp hạng các rủi ro theo mức độ cần ưu tiên ứng phó. Để thực hiện việc xếp hạng rủi ro, DN sẽ phân tích, đánh giá từng rủi ro theo 2 tiêu chí: khả năng xảy ra của rủi ro và mức độ ảnh hưởng của rủi ro đến DN nếu xảy ra.
(v) Xây dựng kế hoạch ứng phó: Tại giai đoạn này DN phải đưa ra các biện pháp phòng ngừa, kiểm soát cụ thể cần thực hiện để phòng ngừa và giảm thiểu thiệt hại nếu rủi ro xảy ra. Điều quan trọng ở đây là DN đưa ra được các biện pháp khả thi, hữu hiệu và ít tốn kém.
(vi) Tổ chức giám sát và thực hiện các biện pháp: là việc đánh giá lại toàn bộ quá trình bên trên xem có được thực hiện một cách nghiêm túc hay không.
Mối quan hệ giữa kiểm soát nội bộ và quản trị rủi ro doanh nghiệp
Hệ thống KSNB và quản trị rủi ro DN có mối quan hệ hai chiều, tác động qua lại và hỗ trợ lẫn nhau. Điều này thể hiện ở chỗ: bản thân hệ thống KSNB được xây dựng dựa trên cơ sở nhận diện và phân tích các rủi ro có thể xảy ra trong hoạt động của DN. Bản thân chính hệ thống KSNB được thiết lập và vận hành nhằm mục đích ngăn ngừa và giảm thiểu rủi ro có thể xảy ra, ảnh hưởng đến việc thực hiện các mục tiêu của DN.
Hệ thống KSNB là một hệ thống chính sách và thủ tục được thiết lập nhằm đạt được bốn mục tiêu sau: bảo vệ tài sản của đơn vị; bảo đảm độ tin cậy của thông tin; bảo đảm việc thực hiện các chế độ pháp lý và bảo đảm hiệu quả của hoạt động. Trong quá trình hoạt động của DN luôn luôn tiềm ẩn các rủi ro có thể xảy ra ảnh hưởng đến việc đạt được các mục tiêu của DN, do vậy một hệ thống KSNB làm việc hiệu quả phải đảm bảo ngăn ngừa và giảm thiểu được các rủi ro có thể xảy ra. Có thể nói, để ổn định và phát triển trong điều kiện hiện nay thì việc xây dựng hệ thống KSNB hướng tới quản lý rủi ro, cần được coi là vấn đề ưu tiên hàng đầu.
Tuy nhiên, thực tế hiện nay, nhiều DN chưa thực sự quan tâm về quản trị rủi ro khi xây dựng hệ thống KSNB. Nhà quản trị DN nhiều khi không nhận thức rõ về rủi ro tiềm ẩn hay hiện hữu, nên không xây dựng chính sách quản trị rủi ro do đó không thực hiện phân công trách nhiệm rõ ràng, không quy định rõ người chịu trách nhiệm quản trị rủi ro ở cấp độ toàn DN và từng bộ phận hoặc chưa có biện pháp đánh giá rủi ro theo một hệ thống thống nhất mà còn thực hiện manh mún, nhỏ lẻ và không đồng bộ giữa các bộ phận trong DN. Đặc biệt do thiếu sự trao đổi thông tin về rủi ro trong DN, nên các DN chưa có được biện pháp thích hợp để ngăn chặn và chống đỡ rủi ro. Do những hạn chế thiếu sót đó đã ảnh hưởng không nhỏ đến hiệu quả kinh doanh của DN, đến việc thực hiện các mục tiêu của DN.
Quản trị rủi ro trong DN tốt sẽ giúp DN nhận diện đầy đủ các loại rủi ro có thể xảy ra cũng như các nhân tố làm phát sinh rủi ro cũng như tần suất xuất hiện và mức độ nghiêm trọng mà rủi ro tác động tới khả năng thực hiện được các mục tiêu của DN. Đây chính là một cơ sở quan trọng để DN thiết lập và vận hành được một hệ thống KSNB hiệu quả.
Tuy nhiên cũng phải hiểu rằng cho dù hệ thống KSNB được thiết lập và vận hành một cách hiệu quả thì cũng không thể tránh khỏi mọi rủi ro phát sinh do tồn tại những hạn chế cố hữu của hệ thống KSNB và cũng do yêu cầu lợi ích đạt được phải lớn hơn chi phí phát sinh, do vậy ngoài hệ thống KSNB thì DN vẫn cần phải áp dụng các phương pháp quản trị rủi ro cần thiết khác.
Mặt khác, do tác động của môi trường bên trong và bên ngoài nên các rủi ro phát sinh cũng thay đổi theo, vì vậy DN phải thường xuyên rà soát, sửa đổi, bổ sung các thủ tục kiểm soát để tránh bị lạc hậu, lỗi thời so với sự biến động của các nhân tố phát sinh rủi ro cho DN.
Tóm lại, KSNB và quản trị rủi ro luôn có mối quan hệ mật thiết với nhau trong quá trình thực hiện mục tiêu chung của DN. Nhận thức được vấn đề này sẽ giúp DN thiết kế và vận hành một hệ thống KSNB làm việc hiệu quả cũng như xây dựng được các biện pháp quản trị rủi ro mang lại hiệu quả cao nhất.
Tài liệu tham khảo:
- Nguyễn Thanh Thủy (2017), Giải pháp hoàn thiện hệ thống KSNB tại Tập đoàn Điện lực Việt Nam", Luận án tiến sỹ kinh tế, Học Viện Tài Chính;
- Nguyễn Thị Lan Anh (2014), Hoàn thiện hệ thống KSNB tại Tập đoàn Hóa chất Việt Nam", Luận án tiến sỹ kinh tế, Trường Đại học Kinh tế quốc dân;
- Amsden. A và Hikino. T (1994), Project execution capability, organizational know-how and conglomerate corporate growth in late industrialization, Industrial and Corporate Change, 3(1), 111-147;
- James A.F Stoner and Chardles Wankei (1986), Management, Third
- Eidition, Prentice Hall, Englewood Cliffs, NJ;
- Kenneth A. Merchant (1997) Modern Management Control Systems: Text and Cases, Prentice Hall PTR, USA.
- www.iso.org.