P.1 Trong nền kinh tế hiện đại với nhiều biến động phức tạp, Quản Trị Rủi Ro Doanh Nghiệp Enterprise Risk Management – ERM được giới thiệu như là một cơ chế tối ưu mà một doanh nghiệp cầ
Trang 1Quản trị rủi ro – Bắt đầu từ đâu?
(Phần 2)
Một cơ chế kiểm soát rủi ro hiệu quả không chỉ dừng ở 3 bước nhận diện rủi ro, đánh giá rủi ro và kiểm soát rủi ro một cách đơn thuần và đơn lẻ
Quản trị rủi ro – Bắt đầu từ đâu? ( P.1)
Trong nền kinh tế hiện đại với nhiều biến động phức tạp, Quản
Trị Rủi Ro Doanh Nghiệp (Enterprise Risk Management – ERM)
được giới thiệu như là một cơ chế tối ưu mà một doanh nghiệp
cần áp dụng và triển khai để tồn tại và phát triển bền vững Về chất thì việc quản lý rủi ro sẽ phải tiến từ khái niệm sơ khai liên
quan đến các bảo hiểm vật chất và hạn chế tác động của rủi ro
Trang 2một cách thụ động nhằm bảo toàn giá trị cho doanh nghiệp đến việc quản trị rủi một cách chủ động, biến các rủi ro tiềm ẩn thành các cơ hội và mang lại giá trị gia tăng cho doanh nghiệp Nó
không chỉ đơn thuần tránh cho doanh nghiệp khỏi các rắc rối và khó khăn mà còn phải giúp tăng cường hoạt động kinh doanh của
doanh nghiệp tốt hơn và đạt kết quả tốt hơn Một mô hình ERM hiệu quả sẽ bao gồm một số đặc điểm chủ đạo sau:
1 Không chỉ dừng ở các rủi ro cần có bảo hiểm vật chất mà phải bao trùm tất cả các loại hình rủi ro khác nhau có ảnh hưởng đến mọi phương diện của hoạt động kinh doanh (rủi
ro chiến lược, rủi ro tuân thủ, rủi ro báocáo tài chính, rủi ro
hoạt động)
Trang 32 Là một quy trình liên tục và mang tính hệ thống và có sự tham gia của tất cả các cá nhân và các chức năng, bộ phận
trong một doanh nghiệp
3 Không chỉ dừng ở việc giúp giảm thiểu mất mát vật chất mà
còn phải tối đa hoá cơ hội cho doanh nghiệp;
4 Thể hiện sự gắn kết chặt chẽ với chiến lược kinh doanh của doanh nghiệp qua đó trở thành công cụ đảm bảo quyền lợi
của các cổ đông và trở thành một bộ phận không thể tách
rời của Quản Trị Doanh Nghiệp (Corporate Governance) và
Kiểm Soát Nội Bộ (Internal Control)
Dựa trên các đặc điểm trên, chúng tôi gợi ý thảo luận sau đây
một số vấn đề chính mà doanh nghiệp cần quan tâm trong việc thiết lập và triển khai một cơ chế quản trị rủi ro của riêng mình
ERM với Chiến lược và Chu trình kinh doanh:
Trang 4Giá trị của một doanh nghiệp được tối đa hóa khi lãnh đạo doanh nghiệp xác định được chiến lược và mục tiêu kinh doanh dựa trên nguyên tắc cân bằng tối ưu giữa các mục đích tăng trưởng
và có lợi nhuận với các rủi ro có liên quan Thông qua đó doanh
nghiệp sẽ có thể huy động một cách hiệu quả và với hiệu suất cao, các nguồn lực của mình để đạt được các mục tiêu kinh
doanh đề ra
Lãnh đạo doanh nghiệp cần phải xem xét khuynh hướng chấp
nhận rủi ro kinh doanh của mình trong việc lựa chọn các phương
án chiến lược Từ đó sẽ xác định các mục tiêu kinh doanh và xây dựng cơ chế kiểm soát các rủi ro có liên quan
Về mặt hoạt động doanh nghiệp cần phải xác định các chu trình kinh doanh chính trong chuỗi cung ứng (value chain) của toàn bộ các hoạt động sản xuất kinh doanh của mình – từ đầu vào đến
Trang 5đầu ra cũng như các chức năng hỗ trợ, quản lý liên quan Các mục tiêu chiến lược sẽ phải được lồng ghép và cụ thể hóa vào từng quy trình dựa trên các Tiêu chí Đánh giá Hoạt động gọi tắt là KPIs (Key Performance Indicators) Các rủi ro không đạt được KPIs sẽ phải được phát hiện và kiểm soát, các bước kiểm soát sẽ phải được thiết lập
Vai trò của ERM cũng như cơ chế kiểm soát nội bộ sẽ được gắn kết và thể hiện rõ
ERM với Quản trị Doanh Nghiệp:
Một trong những vai trò chủ đạo của ERM là đảm bảo việc doanh nghiệp tồn tại để mang lại giá trị cho các cổ đông (các nhà đầu tư) ERM giúp cho lãnh đạo doanh nghiệp đương đầu một cách hiệu quả các biến động thị trường cùng với các rủi ro và cơ hội có
liên quan, qua đó nâng cao năng lực để mang lại giá trị cho
Trang 6doanh nghiệp Trong khi lãnh đạo doanh nghiệp được hiểu là bao gồm cả ban giám đốc và Hội Đồng Quản Trị (HĐQT), thì quyền ra quyết định tối cao nhất là từ HĐQT – là đại diện cao nhất và chịu trách nhiệm định hướng doanh nghiệp với các cổ đông và Đại Hội Đồng Cổ Đông
Thông thường, theo thông lệ và các quy định chung cũng như theo điều lệ công ty thì HĐQT và ban giám đốc sẽ chịu trách
nhiệm về việc xây dựng và triển khai một cơ chế kiểm soát rủi ro một cách hiệu quả Trong khi các cán bộ quản lý trung và cao cấp thường sử dụng ERM cho các quyết định quản lý và quyết định hoạt động của mình thì HĐQT cần phải xem ERM như một công
cụ quan trọng để cân nhắc và đánh giá một hữu hiệu các rủi ro
mà doanh nghiệp đang phải đối mặt Các chức năng, trách nhiệm
Trang 7cũng như các thủ tục liên quan đến ERM cần phải được làm rõ và truyền đạt tới các cá nhân hoặc bộ phận có liên quan
Tùy vào quy mô cũng như lĩnh vực và loại hình sở hữu của
doanh nghiệp mà việc tổ chức nhân sự và sắp xếp bộ máy chức năng liên quan đến ERM sẽ khác nhau Có thể có một Ban Rủi
Ro thuộc HĐQT (Risk Committee), có thể có cán bộ hoặc phòng ban chuyên trách về rủi ro (Chief Risk Officer – CRO), hoặc
ngược lại có thể có sự kiêm nhiệm v.v… Tất cả những sắp xếp này cần được cụ thể hóa trong điều lệ công ty và/hoặc trong cơ
cấu nhân sự quản lý và tổ chức cán bộ
Vấn đề quan trọng là toàn bộ các nhân viên và các cấp quản lý hiểu được các chức năng điều hành và quản lý các hoạt động cũng như các rủi ro có ảnh hưởng tới doanh nghiệp được tổ chức như thế nào Kiểm soát nội bộ là một khái niệm gắn liền với các
Trang 8doanh nghiệp Một trong những cơ chế kiểm soát nội bộ được phổ cập và ứng dụng nhiều nhất là Cơ Chế Kiểm Soát Nội Bộ của COSO Theo COSO, hệ thống kiểm soát nội bộ được xem là một chu trình thuộc quyền hạn của HĐQT và Ban Giám đốc
doanh nghiệp, được thiết kế nhằm có được đảm bảo hợp lý việc đạt được các mục tiêu sau:
Hiệu quả và hiệu suất của các hoạt động
Độ tin cậy của báo cáo tài chính
Việc tuân thủ pháp luật và tuân thủ các quy định
Có thể thấy các mục tiêu này hàm chứa một cách trực tiếp các rủi
ro đã được đề cập ở phần trên liên quan đến rủi ro hoạt động, rủi
ro báo cáo tài chính và rủi ro tuân thủ Một cách gián tiếp, việc đạt
được hoặc không đạt được các mục tiêu này sẽ có ảnh hưởng gián tiếp từ rủi ro chiến lược của doanh nghiệp Chính vì vậy,
Trang 9theo Cơ Chế Kiểm Soát Nội Bộ của COSO, đánh giá rủi ro được coi là một cấu phần quan trọng trong tổng thể cơ chế kiểm soát nội bộ của một doanh nghiệp Cơ chế này đòi hỏi một doanh
nghiệp phải xây dựng được một chu trình đánh giá các rủi ro tiềm tàng có thể có ảnh hưởng tới việc đạt
được các mục tiêu của kiểm soát nội bộ
Chu trình đánh giá rủi ro này cần mang tính chất dự báo –
thường được thực hiện cùng việc lên kế hoạch năm và được cập nhật thường xuyên khi có biến động lớn
Việc đánh giá rủi ro, cùng với các cấu phần khác trong kiểm soát nội bộ kể cả các thủ tục kiểm soát, cần được thực hiện tại tất cả các cấp liên quan đến tất các các hoạt động trọng yếu của một
doanh nghiệp
Trang 10ERM và Kiểm toán nội bộ:
Kiểm toán nội bộ được xem là “tai mắt” của lãnh đạo doanh
nghiệp qua việc sử dụng các chuyên gia có nhiệm vụ kiểm tra và
soát xét tất cả các bộ phận và chức năng của một doanh nghiệp
và báo cáo cho lãnh đạo doanh nghiệp các kết quả công việc của mình Một mặt thì kiểm toán nội bộ phải dựa trên đánh giá rủi ro
để xác định khu vực và trọng tâm kiểm tra và lên kế hoạch kiểm toán của mình, mặt khác kiểm toán nội bộ sẽ giúp đánh giá và xác định tính hiệu quả cũng như tham gia cải thiện hệ thống kiểm soát rủi ro trong doanh nghiệp
Vai trò này được thực hiện thông qua việc xem xét các bước kiểm soát nội bộ có được thực hiện hay không qua đó xác định
và cảnh báo các rủi ro trọng yếu ảnh hưởng đến hoạt động của doanh nghiệp và đưa ra các khuyến nghị và kế hoạch hành động
Trang 11để kiểm soát và giảm thiểu ảnh hưởng tiêu cực của các rủi ro đó Khi đưa ra các khuyến nghị và kế hoạch hành động, kiểm toán nội bộ cũng phải quan tâm đến các rủi ro có liên quan cũng như môi trường tồn tại các rủi ro đó
Như vậy việc sử dụng và liên kết với ERM trong công tác kiểm
toán nội bộ cũng là vấn đề tất yếu để đảm bảo hiệu quả của công
tác quản lý doanh nghiệp
Như vậy có thể thấy chúng ta không thể triển khai ERM như một quy trình đơn lẻ được Nó cần phải được lồng ghép và đan xen trong chiến lược phát triển tổng thể của một doanh nghiệp Các bước nhận diện, đánh giá và kiểm soát rủi ro cần được tiến hành một cách bài bản, đồng bộ và sâu rộng trong doanh nghiệp Đây
là một thời điểm cần thiết để các doanh nghiệp trong nước, đặc biệt là các doanh nghiệp niêm yết hoặc trên lộ trình trở thành
Trang 12công ty đại chúng, xem xét lại quy trình và cơ chế quản lý rủi ro của mình – qua việc sử dụng nhân lực nội bộ hoặc các chuyên gia tư vấn Doanh nghiệp nào làm việc này càng sớm, càng
chuyên nghiệp thì càng có lợi thế cạnh tranh và biến các rủi ro
thành cơ hội trên thương trường và giảm thiểu các nguy cơ thất bại Rất có thể sau đợt khủng hoảng tài chính toàn cầu này, các
thể chể hoặc các tổ chức chuyên nghiệp sẽ đưa ra các chuẩn mực và quy định cụ thể về một cơ chế quản lý và kiểm soát rủi ro trong một doanh nghiệp cùng với các chế độ giám sát và báo cáo – điều này tương tự như sự ra đời của các chuẩn mực và cơ chế kiểm soát nội bộ, sau sự sụp đổ của một loạt công ty tại Mỹ trong những năm cuối thập kỷ 70 đầu thập kỷ 80, hoặc sự siết chặt lại quản trị doanh nghiệp qua các quy định xuất phát từ bộ luật
Sarbanes-Oxley (SOX) sau một loạt các gian lận báo cáo tài
Trang 13chính dẫn tới sụp đổ của một loạt các công ty (Worldcom, Enron
v.v…) đầu thế kỷ này Như vậy, không cần đợi các quy định hoặc các chuẩn mực định hướng về quản trị rủi ro, các doanh nghiệp vẫn có thể chủ động tạo cho mình một vị thế mới và trở thành người dẫn đầu cuộc đua qua việc “đi trước, đón đầu”
Người viết mượn trích dẫn tuyên bố sau đây của Ngài Nigel
Turnbull – Chủ Tịch Ủy Ban soạn thảo Báo Cáo Turnbull để kết luận về tầm quan trọng của công tác quản trị rủi ro trong doanh nghiệp
“… khi việc chấp nhận rủi ro chứ không phải loại bỏ rủi ro sẽ
mang lại lợi nhuận cho doanh nghiệp thì việc nhận diện được các rủi ro lại là vấn đề sống còn liên quan đến sự tồn tại của doanh nghiệp…”