Một số vấn đề về quản trị rủi ro trong doanh nghiệp

Bài đăng trên Tạp chí Tài chính kỳ 2 tháng 5/2019

Bài viết phân tích khái niệm quản trị rủi ro, các yếu tố cơ bản và định hướng thực hành các bước trong quản trị rủi ro tại doanh nghiệp.

Quản trị rủi ro của doanh nghiệp là một quá trình. Nguồn: internet
Quản trị rủi ro của doanh nghiệp là một quá trình. Nguồn: internet

Quản trị rủi ro của doanh nghiệp là một quá trình, được thực hiện bởi ban giám đốc, quản lý và nhân viên của tổ chức, được áp dụng trong từng bối cảnh cụ thể và trên quy mô toàn doanh nghiệp, được thiết kế để xác định các sự kiện tiềm ẩn có thể ảnh hưởng đến doanh nghiệp và quản trị rủi ro trong mức khẩu vị rủi ro, để cung cấp sự bảo đảm hợp lý về việc đạt được mục tiêu của doanh nghiệp.

Đặt vấn đề

Các doanh nghiệp (DN) phải đối mặt với nhiều rủi ro, cần có công cụ sắp xếp, đánh giá để đưa ra quyết định về rủi ro, cũng như chi phí liên quan đến ngăn ngừa hay khắc phục hậu quả khi rủi ro xảy ra, đó là quá trình quản trị rủi ro.

Nhà quản trị rủi ro của DN thường đưa ra các quyết định dựa trên sự đánh giá các rủi ro liên quan và chi phí bỏ ra để trả cho sự đảm bảo về các rủi ro đó. Rủi ro và sự đảm bảo luôn thay đổi theo thời gian, do đó quản trị rủi ro cần được thực hiện một cách liên tục.

Một số đơn vị, DN áp dụng quy trình đánh giá rủi ro đơn giản, đưa ra các quyết định nhanh chóng  nhằm bảo vệ hoặc hạn chế rủi ro. Một số DN khác áp dụng quy trình quản trị rủi ro phức tạp hơn trong việc sử dụng các công cụ định lượng rủi ro để đánh giá rủi ro. Sau đó áp dụng khảo sát một số mô hình quản trị rủi ro hiện đại với mục tiêu giúp xây dựng một quy trình quản trị rủi ro hiệu quả trong đơn vị. Dù DN áp dụng theo quy trình quản trị rủi ro nào, thì một quy trình quản trị rủi ro hiệu quả phải thực hiện ít nhất 4 bước sau: (i) Nhận diện rủi ro; (ii) Định lượng rủi ro; (iii) Lên kế hoạch ứng phó rủi ro; (iv) Giám sát rủi ro.

Kết quả nghiên cứu

4 bước trong quá trình quản trị rủi ro gồm: Nhận diện rủi ro; Định lượng rủi ro; Lên kế hoạch ứng phó rủi ro; Giám sát rủi ro nên được áp dụng trong tất cả các bộ phận của đơn vị với sự tham gia của nhiều bộ phận và nhân viên hoạt động trong bộ phận được đánh giá. Những rủi ro phổ biến này có thể xảy ra do chịu tác động của các yếu tố: Thay đổi nhu cầu của khách hàng, thay đổi cơ chế chính sách pháp luật hay mở rộng thị trường.

Khái niệm quản trị rủi ro của doanh nghiệp

Quản trị rủi ro của DN là một quá trình, được thực hiện bởi ban giám đốc, quản lý và nhân viên của tổ chức, được áp dụng trong từng bối cảnh cụ thể và trên quy mô toàn DN, được thiết kế để xác định các sự kiện tiềm ẩn có thể ảnh hưởng đến DN và quản trị rủi ro trong mức khẩu vị rủi ro, để cung cấp sự bảo đảm hợp lý về việc đạt được mục tiêu của DN (COSO, 2004).

Trong khái niệm về quản trị rủi ro theo COSO, 2004 cần hiểu rõ một số các yếu tố:

Quản trị rủi ro là một quy trình. Quy trình được Từ điển Bách khoa toàn thư mở rộng Wikipedia định nghĩa, là trình tự (thứ tự, cách thức) thực hiện một hoạt động đã được quy định, mang tính chất bắt buộc, đáp ứng những mục tiêu cụ thể của hoạt động quản trị. Quản trị rủi ro của DN cần được thực hiện bởi những người có liên hệ trực tiếp với hoạt động trong DN và quản trị rủi ro của DN được áp dụng thông qua việc thiết lập các chiến lược trên phạm vi toàn DN.

Khái niệm khẩu vị rủi ro cần hiểu một cách đúng đắn trong việc thực hiện quản trị rủi ro của DN. Theo đó, khẩu vị rủi ro là số lượng rủi ro, ở mức độ rộng, mà một DN và các nhà quản trị của họ sẵn sàng chấp nhận để theo đuổi giá trị được nhận. Khẩu vị rủi ro có thể được đo lường định tính bằng cách phân loại rủi ro thuộc nhóm, trung bình hay thấp. Mỗi đơn vị và mỗi nhà quản trị có khẩu vị rủi ro khác nhau.

Một số vấn đề về quản trị rủi ro trong doanh nghiệp - Ảnh 1

Quản trị rủi ro của DN cung cấp sự đảm bảo hợp lý về khả năng hoàn thành mục tiêu của DN. Quản trị rủi ro của DN trong bất kỳ đơn vị nào, dù được thiết lập hay triển khai tốt như thế nào, không thể cung cấp cho nhà quản lý sự đảm bảo chắc chắn sẽ đạt được mục tiêu mà DN đề ra.

Quy trình quản trị rủi ro của doanh nghiệp

Quy trình quản trị rủi ro của DN được thực hiện theo các nội dung sau:

Nhận diện rủi ro

Quy trình quản trị rủi ro là một quy trình có chủ ý xây dựng cũng như nghiên cứu kỹ để phát hiện được những rủi ro có khả năng xảy ra ở từng lĩnh vực hoạt động của đơn vị và sau đó nhận diện những vùng rủi ro ảnh hưởng lớn trong giai đoạn nhất định (Bảng 1).

Quy trình nhận diện rủi ro nên được thực hiện ở tất cả các cấp độ theo phương thức một rủi ro có ảnh hưởng đến các đơn vị hoặc dự án đơn lẻ không có nghĩa là sẽ không có ảnh hưởng lớn đến toàn bộ DN. Ngược lại, khi rủi ro có ảnh hưởng đến toàn DN thì sẽ ảnh hưởng đến toàn bộ các đơn vị bộ phận khác trực thuộc. Bảng 1 cho thấy, một số loại rủi ro có thể ảnh hưởng đến DN, bao gồm rủi ro, hoạt động và rủi ro tài chính.

Đánh giá rủi ro chính

Sau khi nhận diện được rủi ro tại DN, bước tiếp theo là đánh giá khả năng xảy ra và mức độ ảnh hưởng của rủi ro. DN có thể lựa chọn cách tiếp cận  phương pháp khác nhau để đánh giá khả năng xảy ra và mức độ ảnh hưởng, mức ý nghĩa của rủi ro. Mục đích của việc áp dụng phương pháp đánh giá là để xác định vùng rủi ro mà nhà quản lý đáng phải lưu tâm nhất. Người quản lý nên đánh giá những rủi ro này bằng cách sử dụng các câu hỏi về khả năng xảy ra rủi ro.

Khả năng và tính không chắc chắn

Khi một số lượng lớn các rủi ro đã được xác định, quản lý nên suy nghĩ về khả năng rủi ro ước tính cá nhân và sự xuất hiện về xác suất hai chữ số từ 0,01 đến 0,99. Các rủi ro nói chung luôn có cơ hội xảy ra, nhưng không thể khẳng định rằng rủi ro đó 100% sẽ xảy ra hay 0% sẽ không bao giờ xảy ra. Do đó, sử dụng lý thuyết xác xuất để ước lượng khả năng xảy ra rủi ro là hợp lý.

Nếu xác suất rủi ro A xảy ra là 60% và xác suất của một rủi ro B riêng biệt nhưng có liên quan cũng là 60%, chúng ta chưa thể xác định xác suất của cả hai xảy ra là 0,60 + 0,60 = 1,20 (120% này không có ý nghĩa). Thay vào đó, xác suất chung của hai độc lập sự kiện là sản phẩm của hai xác suất riêng biệt. Đó là:

Pr (Sự kiện 1) × Pr (Sự kiện 2) = Pr (Cả hai sự kiện)

Tức là, nếu sự kiện 1 là 0.60 và sự kiện 2 cũng 0.60, xác suất kết hợp của cả hai sự kiện xảy ra là (0,60) × (0,60) = 0,36.

Xét về đánh giá, nếu rủi ro có 60% ý nghĩa quan trọng hoặc khả năng 60% rằng rủi ro sẽ xảy ra và nếu tác động được đánh giá ở mức 60%, xác suất 36% sẽ được tính cho cả hai. Khái niệm này được gọi là điểm rủi ro cho rủi ro riêng lẻ. Tuy nhiên, quy trình đánh giá rủi ro chính xác đòi hỏi nhiều hơn chỉ là ước tính hàng đầu, cho dù được nêu trong một phạm vi từ 1 đến 9 hoặc là một tỷ lệ đầy đủ hai chữ số.

Rủi ro phụ thuộc lẫn nhau

Rủi ro được xem xét ở mức độ độc lập tại các DN, bộ phận nhưng cần được xem xét và đánh giá trong toàn bộ cơ cấu tổ chức. Mặc dù một rủi ro cần phải quan tâm về rủi ro ở mọi cấp của tổ chức, nó thực sự có quyền kiểm soát chỉ những rủi ro trong phạm vi của chính nó. Vấn đề là rủi ro thường có mối quan hệ phụ thuộc lẫn nhau trong một DN. Mỗi DN hoạt động chịu trách nhiệm quản lý rủi ro của riêng mình, nhưng có thể phải chịu hậu quả của các sự kiện rủi ro trên các DN trên hoặc dưới nó trong cơ cấu tổ chức.

Phân tích định lượng rủi ro

DN có thể tiến hành định lượng - xác định chi phí cho các loại rủi ro khi xảy ra, tất cả các rủi ro đã được xếp hạng ở bước trên, tuy nhiên có thể chọn lựa ưu tiên các rủi ro chính có ảnh hưởng lớn nếu hạn chế về thời gian và chi phí. Phân tích định lượng yêu cầu đơn vị chỉ ra được những ảnh hưởng do rủi ro gây ra, mức định lượng thường được xác định theo giá trị.

Giám sát rủi ro

Quá trình nhận diện rủi ro không chỉ là một quá trình đơn lẻ được diễn ra trong một thời điểm nhất định, mà quá trình này cần được duy trì thường xuyên liên tục trong các DN. Các rủi ro không bất biến mà ngược lại thường xuyên thay đổi, thậm chí một số loại rủi ro còn trở nên lớn hơn, mức độ gây ra thiệt hại cao hơn khi môi trường thay đổi. Do đó, tất cả các loại rủi ro cần được nhận diện cũng như giám sát thường xuyên liên tục.

Sự giám sát này của DN đối với rủi ro nên được tiến hành định kỳ hàng quý hoặc hàng năm để có thể nhận biết sự thay đổi, giám sát rủi ro một cách kịp thời. Giám sát rủi ro tại DN có thể được thực hiện bởi các chủ sở hữu hoặc được thực hiện bởi một bộ phận độc lập như kiểm toán nội bộ.

Kiểm toán nội bộ là bộ phận có sự hiểu biết sâu sắc về tình trạng của các loại rủi ro, có phương án xử lý, tìm hiểu, đánh giá và quản trị rủi ro một cách kịp thời theo kế hoạch thực hiện kiểm toán hàng năm đối với các bộ phận trong DN.

Kết luận

Quản trị rủi ro trong DN luôn là một vấn đề được quan tâm, đặc biệt là các nhà quản trị trên phương diện công cụ đắc lực giúp cho DN hoàn thành được mục tiêu đề ra. Nghiên cứu đã phân tích khái niệm quản trị rủi ro, giải thích căn bản khái niệm để chỉ ra được bản chất của quản trị rủi ro DN. Đồng thời, phân tích về cơ sở lý luận kết hợp với ví dụ hướng dẫn cụ thể các bước công việc từ nhận diện rủi ro, đánh giá rủi ro, định lượng rủi ro và giám sát rủi ro, là căn cứ cho các DN tham khảo xây dựng mô hình quản trị rủi ro tại DN mình.

Tài liệu tham khảo:

  1. Bộ Tài chính (2009), Thông tư số 210/2009/TT-BTC hướng dẫn áp dụng chuẩn mực kế toán quốc tế về trình bày báo cáo tài chính và thuyết minh thông tin đối với công cụ tài chính;
  2. Công ty TNHH Deloitte Việt Nam (2016), Báo cáo khảo sát mô hình quản trị rủi ro DN cho Tập đoàn Dầu khí Việt Nam;
  3. Công ty TNHH Pricewaterhouse Coopers Việt Nam (PwC) (2016), Tài liệu đào tạo quản trị rủi ro;
  4. COSO (2004), Enterprise risk management framework;
  5. COSO (2009), International Organization for Standardization - Risk management - Principles and guidelines ISO 31000;
  6. John Shortreed., John Hicks., & Lorraine Craig (2003), ‘Basic frameworks for risk management Network for Environmental Risk Assessment and Management’, Journal of Taxion and Accouting, No124, pg 56-67.