Quản trị rủi ro – Bắt đầu từ đâu ?

Quản trị rủi ro – Bắt đầu từ đâu ?
TCKT cập nhật: 27/12/2009

Một cơ chế kiểm soát rủi ro hiệu quả không chỉ dừng ở 3 bước
nhận diện rủi ro, đánh giá rủi ro và kiểm soát rủi ro một cách đơn thuần và đơn
lẻ. Trong nền kinh tế hiện đại với nhiều biến động phức tạp, Quản Trị Rủi Ro
Doanh Nghiệp (Enterprise Risk Management – ERM) được giới thiệu như là một cơ
chế tối ưu mà một doanh nghiệp cần áp dụng và triển khai để tồn tại và phát
triển bền vững. Về chất thì việc quản lý rủi ro sẽ phải tiến từ khái niệm sơ
khai liên quan đến các bảo hiểm vật chất và hạn chế tác động của rủi ro một
cách thụ động nhằm bảo toàn giá trị cho doanh nghiệp đến việc quản trị rủi một
cách chủ động, biến các rủi ro tiềm ẩn thành các cơ hội và mang lại giá trị gia
tăng cho doanh nghiệp. Nó không chỉ đơn thuần tránh cho doanh nghiệp khỏi các
rắc rối và khó khăn mà còn phải giúp tăng cường hoạt động kinh doanh của doanh
nghiệp tốt hơn và đạt kết quả tốt hơn. Một mô hình ERM hiệu quả sẽ bao gồm một
số đặc điểm chủ đạo sau:

(i) Không chỉ dừng ở các rủi ro cần có bảo hiểm vật chất mà
phải bao trùm tất cả các loại hình rủi ro khác nhau có ảnh hưởng đến mọi phương
diện của hoạt động kinh doanh (rủi ro chiến lược, rủi ro tuân thủ, rủi ro báo
cáo tài chính, rủi ro hoạt động);

(ii) Là một quy trình liên tục và mang tính hệ thống và có
sự tham gia của tất cả các cá nhân và các chức năng, bộ phận trong một doanh
nghiệp;

(iii) Không chỉ dừng ở việc giúp giảm thiểu mất mát vật chất
mà còn phải tối đa hoá cơ hội cho doanh nghiệp;

(iv) Thể hiện sự gắn kết chặt chẽ với chiến lược kinh doanh
của doanh nghiệp qua đó trở thành công cụ đảm bảo quyền lợi của các cổ đông và
trở thành một bộ phận không thể tách rời của Quản Trị Doanh Nghiệp (Corporate
Governance) và Kiểm Soát Nội Bộ (Internal Control)

Dựa trên các đặc điểm trên, chúng tôi gợi ý thảo luận sau
đây một số vấn đề chính mà doanh nghiệp cần quan tâm trong việc thiết lập và
triển khai một cơ chế quản trị rủi ro của riêng mình.

ERM với Chiến lược và
Chu trình kinh
doanh: Giá trị của một doanh nghiệp được tối đa hóa khi lãnh đạo doanh
nghiệp xác định được chiến lược và mục tiêu kinh doanh dựa trên nguyên tắc cân
bằng tối ưu giữa các mục đích tăng trưởng và có lợi nhuận với các rủi ro có
liên quan. Thông qua đó doanh nghiệp sẽ có thể huy động một cách hiệu quả và
với hiệu suất cao, các nguồn lực của mình để đạt được các mục tiêu kinh doanh
đề ra.

Lãnh đạo doanh nghiệp cần phải xem xét khuynh hướng chấp
nhận rủi ro kinh doanh của mình trong việc lựa chọn các phương án chiến lược.
Từ đó sẽ xác định các mục tiêu kinh doanh và xây dựng cơ chế kiểm soát các rủi
ro có liên quan.

Về mặt hoạt động doanh nghiệp cần phải xác định các chu
trình kinh doanh chính trong chuỗi cung ứng (value chain) của toàn bộ các hoạt
động sản xuất kinh doanh của mình – từ đầu vào đến đầu ra cũng như các chức
năng hỗ trợ, quản lý liên quan. Các mục tiêu chiến lược sẽ phải được lồng ghép
và cụ thể hóa vào từng quy trình dựa trên các Tiêu chí Đánh giá Hoạt động gọi
tắt là KPIs (Key Performance Indicators). Các rủi ro không đạt được KPIs sẽ
phải được phát hiện và kiểm soát, các bước kiểm soát sẽ phải được thiết lập.
Vai trò của ERM cũng như cơ chế kiểm soát nội bộ sẽ được gắn kết và thể hiện
rõ. 

ERM với Quản trị Doanh Nghiệp: Một trong những vai trò chủ đạo
của ERM là đảm bảo việc doanh nghiệp tồn tại để mang lại giá trị cho các cổ
đông (các nhà đầu tư). ERM giúp cho lãnh đạo doanh nghiệp đương đầu một cách
hiệu quả các biến động thị trường cùng với các rủi ro và cơ hội có liên quan,
qua đó nâng cao năng lực để mang lại giá trị cho doanh nghiệp. Trong khi lãnh
đạo doanh nghiệp được hiểu là bao gồm cả ban giám đốc và Hội Đồng Quản Trị
(HĐQT), thì quyền ra quyết định tối cao nhất là từ HĐQT – là đại diện cao nhất
và chịu trách nhiệm định hướng doanh nghiệp với các cổ đông và Đại Hội Đồng Cổ
Đông.

Thông thường, theo thông lệ và các quy định chung cũng như
theo điều lệ công ty thì HĐQT và ban giám đốc sẽ chịu trách nhiệm về việc xây
dựng và triển khai một cơ chế kiểm soát rủi ro một cách hiệu quả. Trong khi các
cán bộ quản lý trung và cao cấp thường sử dụng ERM cho các quyết định quản lý
và quyết định hoạt động của mình thì HĐQT cần phải xem ERM như một công cụ quan
trọng để cân nhắc và đánh giá một hữu hiệu các rủi ro mà doanh nghiệp đang phải
đối mặt. Các chức năng, trách nhiệm cũng như các thủ tục liên quan đến ERM cần
phải được làm rõ và truyền đạt tới các cá nhân hoặc bộ phận có liên quan.

Tùy vào quy mô cũng như lĩnh vực và loại hình sở hữu của
doanh nghiệp mà việc tổ chức nhân sự và sắp xếp bộ máy chức năng liên quan đến
ERM sẽ khác nhau. Có thể có một Ban Rủi Ro thuộc HĐQT (Risk Committee), có thể
có cán bộ hoặc phòng ban chuyên trách về rủi ro (Chief Risk Officer – CRO),
hoặc ngược lại có thể có sự kiêm nhiệm v.v… Tất cả những sắp xếp này cần được
cụ thể hóa trong điều lệ công ty và/hoặc trong cơ cấu nhân sự quản lý và tổ
chức cán bộ.

Vấn đề quan trọng là toàn bộ các nhân viên và các cấp quản
lý hiểu được các chức năng điều hành và quản lý các hoạt động cũng như các rủi
ro có ảnh hưởng tới doanh nghiệp được tổ chức như thế nào.  

ERM và Kiểm soát Nội bộ: Kiểm soát nội bộ là một khái niệm gắn
liền với các doanh nghiệp. Một trong những cơ chế kiểm soát nội bộ được phổ cập
và ứng dụng nhiều nhất là Cơ Chế Kiểm Soát Nội Bộ của COSO.
Theo COSO, hệ thống kiểm soát nội bộ được xem là một chu trình thuộc quyền hạn
của HĐQT và Ban Giám đốc doanh nghiệp, được thiết kế nhằm có được đảm bảo hợp
lý việc đạt được các mục tiêu sau:

(i)                 Hiệu quả và hiệu suất của các hoạt động;

(ii)               Độ tin cậy của báo cáo tài chính; và

(iii)              Việc tuân thủ pháp luật và tuân thủ các quy định

Có thể thấy các mục tiêu này hàm chứa một cách trực tiếp các
rủi ro đã được đề cập ở phần trên liên quan đến rủi ro hoạt động, rủi ro báo
cáo tài chính và rủi ro tuân thủ. Một cách gián tiếp, việc đạt được hoặc không
đạt được các mục tiêu này sẽ có ảnh hưởng gián tiếp từ rủi ro chiến lược của
doanh nghiệp. Chính vì vậy, theo Cơ Chế Kiểm Soát Nội Bộ của COSO, đánh giá rủi
ro được coi là một cấu phần quan trọng trong tổng thể cơ chế kiểm soát nội bộ
của một doanh nghiệp. Cơ chế này đòi hỏi một doanh nghiệp phải xây dựng được
một chu trình đánh giá các rủi ro tiềm tàng có thể có ảnh hưởng tới việc đạt
được các mục tiêu của kiểm soát nội bộ.
Chu
trình đánh giá rủi ro này cần mang tính chất dự báo – thường được thực hiện
cùng việc lên kế hoạch năm và được cập nhật thường xuyên khi có biến động lớn.
Việc đánh giá rủi ro, cùng với các cấu phần khác trong kiểm soát nội bộ kể cả
các thủ tục kiểm soát, cần được thực hiện tại tất cả các cấp liên quan đến tất
các các hoạt động trọng yếu của một doanh nghiệp.

ERM và Kiểm toán nội bộ: Kiểm toán nội bộ được xem là “tai mắt”
của lãnh đạo doanh nghiệp qua việc sử dụng các chuyên gia có nhiệm vụ kiểm tra
và soát xét tất cả các bộ phận và chức năng của một doanh nghiệp và báo cáo cho
lãnh đạo doanh nghiệp các kết quả công việc của mình. Một mặt thì kiểm toán nội
bộ phải dựa trên đánh giá rủi ro để xác định khu vực và trọng tâm kiểm tra và
lên kế hoạch kiểm toán của mình, mặt khác kiểm toán nội bộ sẽ giúp đánh giá và
xác định tính hiệu quả cũng như tham gia cải thiện  hệ thống kiểm soát rủi ro trong doanh nghiệp.
Vai trò này được thực hiện thông qua việc xem xét các bước kiểm soát nội bộ có
được thực hiện hay không qua đó xác định và cảnh báo các rủi ro trọng yếu ảnh
hưởng đến hoạt động của doanh nghiệp và đưa ra các khuyến nghị và kế hoạch hành
động để kiểm soát và giảm thiểu ảnh hưởng tiêu cực của các rủi ro đó. Khi đưa
ra các khuyến nghị và kế hoạch hành động, kiểm toán nội bộ cũng phải quan tâm
đến các rủi ro có liên quan cũng như môi trường tồn tại các rủi ro đó.

Như vậy việc sử dụng và liên kết với ERM trong công tác kiểm
toán nội bộ cũng là vấn đề tất yếu để đảm bảo hiệu quả của công tác quản lý
doanh nghiệp. 

Như vậy có thể thấy chúng ta không thể triển khai ERM như một quy trình đơn lẻ được. Nó cần
phải được lồng ghép và đan xen trong chiến lược phát triển tổng thể của một
doanh nghiệp. Các bước nhận diện, đánh giá và kiểm soát rủi ro cần được tiến
hành một cách bài bản, đồng bộ và sâu rộng trong doanh nghiệp. Đây là một thời
điểm cần thiết để các doanh nghiệp trong nước, đặc biệt là các doanh nghiệp
niêm yết hoặc trên lộ trình trở thành công ty đại chúng,  xem xét lại quy trình và cơ chế quản lý rủi ro
của mình – qua việc sử dụng nhân lực nội bộ hoặc các chuyên gia tư vấn. Doanh
nghiệp nào làm việc này càng sớm, càng chuyên nghiệp thì càng có lợi thế cạnh
tranh và biến các rủi ro thành cơ hội trên thương trường và giảm thiểu các nguy
cơ thất bại. Rất có thể sau đợt khủng hoảng tài chính toàn cầu này, các thể chể
hoặc các tổ chức chuyên nghiệp sẽ đưa ra các chuẩn mực và quy định cụ thể về
một cơ chế quản lý và kiểm soát rủi ro trong một doanh nghiệp cùng với các chế
độ giám sát và báo cáo – điều này tương tự như sự ra đời của các chuẩn mực và
cơ chế kiểm soát nội bộ, sau sự sụp đổ của một loạt công ty tại Mỹ trong những năm cuối thập kỷ 70
đầu thập kỷ 80,  hoặc sự siết chặt lại
quản trị doanh nghiệp qua các quy định xuất phát từ bộ luật Sarbanes-Oxley
(SOX) sau một loạt các gian lận báo cáo tài chính dẫn tới sụp đổ của một loạt
các công ty (Worldcom, Enron v.v…) đầu thế kỷ này.  Như vậy, không cần đợi các quy định hoặc các
chuẩn mực định hướng về quản trị rủi ro, các doanh nghiệp vẫn có thể chủ động
tạo cho mình một vị thế mới và trở thành người dẫn đầu cuộc đua qua việc “đi
trước, đón đầu”.

Theo Tạp chí kiểm toán