Luận văn thạc sĩ Thiết lập hệ thống kiểm soát nội bộ theo hướng nâng cao năng lực quản trị rủi ro đối với các doanh nghiệp dịch vụ trên địa bàn TP

Theo kết quả nghiên cứu của Phạm Hồng Thái 2011 về một số giải pháp hoàn thiện hệ thống kiểm soát nội bộ của ngành y tế tỉnh Long An cho thấy hệ thống kiểm soát nội bộ hoạt động hữu hiệu



THÁI MỸ THANH

THIẾT LẬP HỆ THỐNG KIỂM SOÁT NỘI BỘ THEO HƯỚNG NÂNG CAO NĂNG LỰC QUẢN TRỊ RỦI RO ĐỐI VỚI CÁC DOANH NGHIỆP DỊCH VỤ TRÊN ĐỊA BÀN TP.HCM

LUẬN VĂN THẠC SĨ KINH TẾ



THÁI MỸ THANH

THIẾT LẬP HỆ THỐNG KIỂM SOÁT NỘI BỘ THEO HƯỚNG NÂNG CAO NĂNG LỰC QUẢN TRỊ RỦI RO ĐỐI VỚI CÁC DOANH NGHIỆP DỊCH VỤ TRÊN ĐỊA BÀN TP.HCM

Tôi xin cam đoan đề tài này dựa trên quá trình nghiên cứu trung thực dưới sự cố vấn của người hướng dẫn khoa học

Đây là đề tài thạc sĩ kinh tế, chuyên ngành Kế toán – Kiểm toán Đề tài này chưa được ai công bố dưới bất kỳ hình thức nào và tất cả các nguồn tham khảo đều được trích dẫn đầy đủ

TP HCM, Ngày 16 tháng 10 năm 2013

Tác giả Thái Mỹ Thanh

Trang phụ bìa

Lời cam đoan

Mục lục

Danh mục các ký hiệu, chữ viết tắt

Danh mục các bảng biểu

Danh mục các hình vẽ, đồ thị

PHẦN MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ 5

1.1 Tổng quan về hệ thống kiểm soát nội bộ 5

1.1.1 Sự hình thành và phát triển lý thuyết kiểm soát nội bộ 5

1.1.1.1 Lịch sử hình thành 5

1.1.1.2 Khái niệm kiểm soát nội bộ và hệ thống kiểm soát nội bộ 6

1.1.2 Các nhân tố cấu thành hệ thống kiểm soát nội bộ theo COSO 2004 7

1.1.2.1 Môi trường quản lý 7

1.1.2.2 Thiết lập mục tiêu 9

1.1.2.3 Nhận dạng sự kiện tiềm tàng 10

1.1.2.4 Đánh giá rủi ro 12

1.1.2.5 Phản ứng với rủi ro 14

1.1.2.6 Hoạt động kiểm soát 16

1.1.2.7 Thông tin và truyền thông 16

1.1.2.8 Giám sát 16

1.1.3 Lợi ích và hạn chế của hệ thống kiểm soát nội bộ 17

1.1.3.1 Lợi ích 17

1.1.3.2 Hạn chế 18

1.2 Tổng quan về quản trị rủi ro 19

1.2.1 Lịch sử hình thành các lý thuyết về quản trị rủi ro 19

1.2.2 Khái niệm về quản trị rủi ro doanh nghiệp 20

1.2.3 Các nội dung của quản trị rủi ro doanh nghiệp 22

1.2.4 Lợi ích và hạn chế của quản trị rủi ro doanh nghiệp 24

1.2.4.1 Lợi ích của quản trị rủi ro doanh nghiệp 24

1.2.4.2 Hạn chế của quản trị rủi ro doanh nghiệp 25

1.3 Mối quan hệ giữa hệ thống kiểm soát nội bộ với vấn đề quản trị rủi ro trong doanh nghiệp 26

1.3.1 Quan hệ về mục tiêu 26

1.3.2 Quan hệ về điều hành 27

1.4 Những đặc điểm của doanh nghiệp dịch vụ ảnh hưởng đến hệ thống kiểm soát nội bộ và quản trị rủi ro 29

trên địa bàn TP.HCM 32

2.2 Thực trạng về hệ thống kiểm soát nội bộ và quản trị rủi ro tại các doanh nghiệp dịch vụ trên địa bàn TP.HCM 34

2.2.1 Môi trường quản lý 35

2.2.2 Thiết lập mục tiêu 39

2.2.3 Nhận dạng sự kiện tiềm tàng 40

2.2.4 Đánh giá rủi ro 43

2.2.5 Phản ứng với rủi ro 46

2.2.6 Hoạt động kiểm soát 47

2.2.7 Thông tin và truyền thông 50

2.2.8 Giám sát 51

2.3 Đánh giá thực trạng về hệ thống kiểm soát nội bộ và quản trị rủi ro tại các doanh nghiệp dịch vụ trên địa bàn TP.HCM 52

2.3.1 Ưu điểm 52

2.3.2 Nhược điểm 52

2.3.3 Nhận diện các nguyên nhân của các hạn chế trong hệ thống kiểm soát nội bộ và quản trị rủi ro tại các doanh nghiệp dịch vụ trên địa bàn TP.HCM 53

CHƯƠNG 3: GIẢI PHÁP THIẾT LẬP HỆ THỐNG KIỂM SOÁT NỘI BỘ THEO HƯỚNG NÂNG CAO NĂNG LỰC QUẢN TRỊ RỦI RO ĐỐI VỚI CÁC DOANH NGHIỆP DỊCH VỤ TRÊN ĐỊA BÀN TP.HCM 57

3.1 Định hướng thiết lập hệ thống kiểm soát nội bộ theo hướng nâng cao năng lực quản trị rủi ro đối với các doanh nghiệp dịch vụ trên địa bàn Thành phố Hồ Chí Minh 57

3.1.1 Hoàn thiện hệ thống kiểm soát nội bộ theo hướng kiểm soát các rủi ro 57

3.1.2 Xây dựng các tiêu chuẩn để đánh giá rủi ro 58

3.1.3 Xây dựng các phương án khác nhau để phản ứng với rủi ro 58

3.1.4 Áp dụng quản trị rủi ro trong hệ thống kiểm soát nội bộ 59

3.2 Các giải pháp nhằm thiết lập hệ thống kiểm soát nội bộ theo hướng nâng cao năng lực quản trị rủi ro đối với các doanh nghiệp dịch vụ trên địa bàn Thành phố Hồ Chí Minh 60

3.2.1 Môi trường quản lý 60

3.2.2 Thiết lập mục tiêu 62

3.2.3 Nhận dạng các sự kiện tiềm tàng 63

3.2.4 Đánh giá rủi ro 63

3.2.5 Phản ứng với rủi ro 64

3.2.6 Hoạt động kiểm soát 65

3.2.7 Thông tin và truyền thông 65

3.3.2 Đối với các cơ quan liên quan 70 KẾT LUẬN CHUNG 73 TÀI LIỆU THAM KHẢO

PHỤ LỤC

Chữ viết tắt Chữ viết đầy đủ

Bảng 2.1: Mức độ quan tâm của nhà quản lý đối với quản trị rủi ro và các thủ tục kiểm

soát 35

Bảng 2.2: Rủi ro có thể chấp nhận 36

Bảng 2.3: Hành vi trong doanh nghiệp 37

Bảng 2.4: Nhân sự trong doanh nghiệp 37

Bảng 2.5: Phân chia quyền hạn trong doanh nghiệp 38

Bảng 2.6: Mục tiêu trong doanh nghiệp 39

Bảng 2.7: Sự kiện tiềm tàng từ nhân viên trong doanh nghiệp 40

Bảng 2.8: Sự kiện tiềm tàng từ nhà quản lý trong doanh nghiệp 41

Bảng 2.9: Sự kiện tiềm tàng từ những phàn nàn của khách hàng 42

Bảng 2.10: Đánh giá rủi ro trong thiết lập các báo cáo tài chính 43

Bảng 2.11: Đánh giá rủi ro trong công tác kế hoạch 44

Bảng 2.12: Đánh giá rủi ro đối với mục tiêu của doanh nghiệp 45

Bảng 2.13: Phản ứng với rủi ro của doanh nghiệp 46

Bảng 2.14: Thủ tục kiểm soát của doanh nghiệp 47

Bảng 2.15: Phân chia trách nhiệm của doanh nghiệp 47

Bảng 2.16: Kiểm soát thông tin của doanh nghiệp 48

Bảng 2.17: Kiểm tra độc lập, phân tích soát xét lại của doanh nghiệp 49

Bảng 2.18: Thông tin và truyền thông của doanh nghiệp 50

Bảng 2.19: Hoạt động giám sát của doanh nghiệp 51

Hình 1.1: Các nhân tố cấu thành hệ thống kiểm soát nội bộ theo COSO 2004 17 Hình 2.1: Tổng sản phẩm 6 tháng đầu năm 2003 33

PHẦN MỞ ĐẦU TÍNH CẤP THIẾT CỦA ĐỀ TÀI

Trên thế giới, khái niệm kiểm soát nội bộ xuất hiện đã lâu và được chuẩn hoá từ khi có báo cáo COSO năm 1992 Ở Việt Nam, khái niệm kiểm soát nội bộ đã trở nên khá quen thuộc đối với các nhà quản lý doanh nghiệp Tuy nhiên cách nhìn nhận và triển khai ở mỗi doanh nghiệp rất khác nhau

Hệ thống kiểm soát nội bộ là một công cụ quản lý hữu hiệu để kiểm soát và điều hành hoạt động kinh doanh nhằm đảm bảo đạt được các mục tiêu đề ra với hiệu quả cao nhất Báo cáo COSO năm 2004 được xây dựng trên cơ sở tiếp tục phát triển báo cáo năm 1992 vể kiểm soát nội bộ và tích hợp thêm quản trị rủi ro tại doanh nghiệp Mặt khác báo cáo COSO năm 2004 cũng xác định các tiêu chuẩn để đánh giá rủi ro cũng như đề xuất xây dựng quản lý rủi ro hiệu quả trong công tác quản lý

Các nhà quản lý doanh nghiệp rất quan tâm tới hiệu quả hoạt động của doanh nghiệp Kiểm soát nội bộ là một công cụ quản lý hữu hiệu giúp các cấp lãnh đạo biết được sự kém hiệu quả xảy ra ở những khâu cụ thể và những nguyên nhân của nó Họ cũng xác định được trách nhiệm thuộc về ai

Trong xu hướng hội nhập, toàn cầu hoá như hiện nay, để tồn tại và phát triển, các doanh nghiệp gặp rất nhiều khó khăn do sự cạnh tranh ngày càng khốc liệt Ngoài các yếu tố về giá và công nghệ, các nhà quản lý cần có sự cải cách trong quản lý và cần tập trung hạn chế những rủi ro phát sinh trong nội bộ doanh nghiệp

Theo kết quả nghiên cứu của Phạm Hồng Thái (2011) về một số giải pháp hoàn thiện hệ thống kiểm soát nội bộ của ngành y tế tỉnh Long An cho thấy hệ thống kiểm soát nội bộ hoạt động hữu hiệu sẽ giúp doanh nghiệp đạt được các mục tiêu đề ra Đồng thời, theo Phạm Hồng Thái (2011) thì bản thân hệ thống kiểm soát nội bộ cũng tồn tại nhiều hạn chế vốn có nhất định nên doanh nghiệp cần thiết phải quan tâm để tối thiểu hoá những hạn chế này

Theo kết quả nghiên cứu của Đinh Thuỵ Ngân Trang (2007) về hoàn thiện hệ thống kiểm soát nội bộ tại công ty Nuplex Resins Việt Nam cho rằng hệ thống kiểm soát nội bộ được đánh giá là thật sự hữu hiệu cũng không cho doanh nghiệp một sự đảm bảo chắc chắn mà chỉ là sự đảm bảo hợp lý việc đạt được mục tiêu của doanh nghiệp

Phần lớn các nghiên cứu đều cho rằng cần thiết phải hoàn thiện hệ thống kiểm soát nội bộ tại chính doanh nghiệp mình Tuy nhiên, các nghiên cứu đưa ra các khái

niệm chung chung, chưa xác định rõ phương hướng hoàn thiện là cần tập trung vào đâu Theo tác giả, hoàn thiện hệ thống kiểm soát nội bộ cần tập trung vào quản trị rủi

ro để giảm thiểu tổn thất, nâng cao năng lực cạnh tranh của doanh nghiệp là hiệu quả nhất

Hiện nay, các doanh nghiệp về lĩnh vực dịch vụ trên địa bàn TP.HCM gia tăng ngày càng nhiểu cà về số lượng và quy mô Do đó, vấn đề về quản lý hệ thống kiểm soát nội bộ cũng như quản trị rủi ro phát sinh ngày càng trở nên cấp bách và cần thiết

Từ tầm quan trọng của vấn đề, từ chỗ nghiên cứu về vấn đề này chưa nhiều; nó là

vấn đề mới, còn khoảng trống trong nghiên cứu; luận án chọn đề tài: “Thiết lập hệ

thống kiểm soát nội bộ theo hướng nâng cao năng lực quản trị rủi ro đối với các doanh nghiệp dịch vụ trên địa bàn TP.HCM”

MỤC ĐÍCH NGHIÊN CỨU CỦA ĐỀ TÀI

Việc sử dụng các tiêu chuẩn của Báo cáo COSO năm 2004 để khảo sát doanh nghiệp dịch vụ trên địa bàn Thành phố Hồ Chi Minh nhằm các mục đích sau:

 Tìm hiểu lý luận về kiểm soát nội bộ và quản trị rủi ro

 Đánh giá thực trạng về hệ thống kiểm soát nội bộ tại các doanh nghiệp theo tiêu chuẩn của Báo cáo COSO năm 2004

 Trên cơ sở khảo sát thực trạng về hệ thống kiểm soát nội bộ và quản trị rủi

ro tại các doanh nghiệp để đề xuất các giải pháp nhằm nâng cao hệ thống kiểm soát nội bộ theo hướng nâng cao năng lực quản trị rủi ro đối với các doanh nghiệp dịch vụ trên địa bàn Thành phố Hồ Chí Minh

ĐỐI TƢỢNG, PHẠM VI NGHIÊN CỨU CỦA ĐỀ TÀI

Luận văn tập trung nghiên cứu vào các nhân tố cấu thành nên hệ thống kiểm soát nội bộ tại các doanh nghiệp (Môi trường kiểm soát, thiết lập mục tiêu, nhận dạng các

sự kiện tiềm tàng, đánh giá rủi ro, phản ứng với rủi ro, hoạt động kiểm soát, thông tin

và truyền thông, giám sát) và quan điểm của doanh nghiệp Việt Nam về rủi ro và quản

lý rủi ro

Luận văn không đề cập đến các phương pháp đinh lượng về phân tích rủi ro và không tập trung vào xây dựng, tổ chức một quy trình cụ thể cho bất cứ doanh nghiệp nào

Thành phố Hồ Chí Minh là một trung tâm kinh tế lớn của cả nước, nền kinh tế của Thành phố chủ yếu dựa vào hai khu vực công nghiệp - xây dựng và thương mại -

dịch vụ Trong đó, khu vực thương mại - dịch vụ đã được thành phố xác định là thế mạnh số một Do đó, tác giả chọn ngành dịch vụ tại Thành phố Hồ Chí Minh để tiến hành khảo sát

Để hiểu rõ hơn hệ thống kiểm soát nội bộ và quản trị rủi ro tại các doanh nghiệp dịch vụ trên địa bàn TP.HCM, tác giả đã tiến hành chọn 50 doanh nghiệp (xem Phụ lục 2) kinh doanh thuộc lĩnh vực dịch vụ trên địa bàn TP.HCM là đối tượng khảo sát

PHƯƠNG PHÁP NGHIÊN CỨU

Dựa trên cơ sở thống kê định lượng, khảo sát thực tế (bảng câu hỏi – xem phụ lục 1) và phỏng vấn trực tiếp để cụ thể hoá cơ sở lý luận và thực tiễn

Bảng câu hỏi được thiết kế dựa trên các tiêu chuẩn của Báo cáo COSO năm 2004 Nội dung bảng hỏi là tập trung chủ yếu vào hoạt động kiểm soát nội bộ liên quan đến quản trị rủi ro trong doanh nghiệp dịch vụ

Bảng câu hỏi được gửi trả lời trực tiếp bởi các bộ phận, phòng ban và nhân viên đang làm việc tại các doanh nghiệp dịch vụ ở TP.HCM

KẾT CẤU CỦA ĐỀ TÀI

Nội dung luận văn bao gồm:

 Phần mở đầu

 Chương 1: Tổng quan về hệ thống kiểm soát nội bộ

 Chương 2: Thực trạng về hệ thống kiểm soát nội bộ tại các doanh nghiệp dịch vụ trên địa bàn TPHCM

 Chương 3: Giải pháp thiết lập hệ thống kiểm soát nội bộ theo hướng nâng cao năng lực quản trị rủi ro đối với các doanh nghiệp dịch vụ trên địa bàn TPHCM

 Kết luận chung

 Tài liệu tham khảo

 Phụ lục

Ý NGHĨA KHOA HỌC VÀ THỰC TIỄN CỦA ĐỀ TÀI

Về mặt lý luận

Đề tài hệ thống hóa những kiến thức về hệ thống kiểm soát nội bộ trong báo cáo COSO, chủ yếu tập trung vào báo cáo COSO năm 2004 Đặc biệt nhấn mạnh đến quản trị rủi ro trong hoạt động kiểm soát và quàn lý Từ đó giúp các sinh viên và doanh nghiệp quan tâm đến vấn đề này

Về mặt thực tiễn

Đề tài giúp các nhà quản lý có cái nhìn khái quát về hoạt động kiểm soát nội bộ

và quản trị rủi ro tại các doanh nghiệp dịch vụ trên địa bàn TP.HCM

Bên cạnh đó, đề tài đưa ra một số giải pháp nhằm hoàn thiện hệ thống kiểm soát nội bộ, chủ yếu tập trung vào quá trình quản trị rủi ro Từ đó, giúp các nhà quản lý có những hiệu chỉnh thích hợp trong các chính sách, thủ tục kiểm soát mang tính thực tế

và phù hợp với đặc thù của doanh nghiệp

CHƯƠNG 1 TỔNG QUAN VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ

1.1 Tổng quan về hệ thống kiểm soát nội bộ

1.1.1 Sự hình thành và phát triển lý thuyết kiểm soát nội bộ

1.1.1.1 Lịch sử hình thành

Từ khi có hoạt động kinh doanh, những người điều hành đều phải sử dụng các biện pháp để kiểm soát các hoạt động tại đơn vị mình Hoạt động kinh doanh càng phát triển thì chức năng kiểm soát càng chiếm một vị trí quan trọng trong quá trình quản lý Thông qua các hoạt động kiểm soát, nhà quản lý đánh giá và chấn chỉnh việc thực hiện nhằm đảm bảo đạt được các mục tiêu đề ra với hiệu quả cao nhất

Để thực hiện chức năng kiểm soát, nhà quản lý sử dụng công cụ chủ yếu là kiểm soát nội bộ của đơn vị Khái niệm kiểm soát nội bộ lúc đầu được sử dụng như là một phương pháp giúp cho kiểm toán viên độc lập xác nhận phương pháp hiệu quả nhất trong việc thiết lập kế hoạch kiểm toán, đến chỗ được coi là một bộ phận chủ yếu của

hệ thống quản lý hữu hiệu

Thời kỳ tiền COSO (từ năm 1992 trở về trước)

Khái niệm kiểm soát nội bộ bắt đầu được sử dụng vào đầu thế kỷ 20 trong các tài liệu về kiếm toán Lúc đó, kiểm soát nội bộ được hiểu như là một biện pháp để bảo vệ tiền không bị các nhân viên gian lận Sau đó, khái niệm này dần được mở rộng, kiểm toán nội bộ không dừng lại ở việc bảo vệ tài sản (không chỉ có tiền) mà còn đảm bảo việc ghi chép kế toán chính xác, nâng cao hiệu quả hoạt động và khuyến khích tuân thủ các chính sách của nhà quản lý

Năm 1977, sau vụ bê bối Watergate, Quốc hội Hoa Kỳ đã thông qua Luật hành vi hối lộ ở nước ngoài Điều luật này nhấn mạnh việc kiểm soát nội bộ nhằm ngăn ngừa những khoản thanh toán bất hợp pháp và dẫn đến việc yêu cầu ghi chép rất đầy đủ trong mọi hoạt động Lần đầu tiên, hoạt động kiểm soát nội bộ trong các tổ chức được

đề cập đến trong một văn bản pháp luật

Năm 1985, sự đổ bể của các công ty cổ phần có niêm yết làm cho các nhà làm luật Hoa Kỳ quan tâm đến việc kiểm soát nội bộ của các doanh nghiệp Nhiều quy định, hướng dẫn về kiểm soát nội bộ của các cơ quan chức năng Hoa Kỳ được ban

hành trong giai đoạn này như: Uỷ ban chuẩn mực kiểm toán Hoa Kỳ năm 1988, Uỷ ban chứng khoán Hoa Kỳ năm 1988, tổ chức nghiên cứu kiểm toán nội bộ năm 1991, Những quy định này một mặt làm phong phú khái niệm kiểm soát nội bộ nhưng mặt khác dẫn đến yêu cầu phải hình thành một hệ thống lý luận có tính chuẩn mực về kiểm soát nội bộ

Sự ra đời của báo cáo COSO năm 1992

Quá trình phát triển của các công ty ở Hoa Kỳ cũng là quá trình phát triển quy mô của gian lận gây thiệt hại đáng kể cho nền kinh tế Nhiều uỷ ban đã ra đời để khảo sát

và tìm cách khắc phục, trong đó có uỷ ban quốc gia về chống gian lận báo cáo tài chính – gọi tắt là Uỷ ban Treadway – ra đời năm 1985 COSO là một Uỷ ban gồm nhiều tổ chức nghề nghiệp nằm hỗ trợ cho Uỷ ban Treadway Các tổ chức nghề nghiệp trên bao gồm: Hiệp hội kế toán công chứng Hoa Kỳ (AICPA), Hội kế toán Hoa Kỳ (AAA), Hiệp hội các nhà quản trị tài chính (FEI), Hiệp hội kiểm toán viên nội bộ (IIA)

và Hiệp hội kế toán viên quản trị (IMA) Qua quá trình tìm hiểu về gian lận, COSO đã nhận thấy kiểm soát nội bộ đã ảnh hưởng rất lớn đến khả năng xảy ra gian lận Vì thế, việc nghiên cứu và đưa ra một khuôn khổ chung về kiểm soát nội bộ được đặt ra Báo cáo COSO năm 1992 là kết quả của quá trình nghiên cứu này Báo cáo cung cấp một

hệ thống lý luận đầy đủ nhất về kiểm soát nội bộ, kế thừa và phát huy các nghiên cứu trước đó về kiểm soát nội bộ Báo cáo COSO năm 1992 gồm có 4 phần:

Phần 1 – Bản tóm lược: Tổng quan về kiểm soát nội bộ cho nhà quản lý cấp cao Phần 2 – Hệ thống lý luận: Định nghĩa về kiểm soát nội bộ, mô tả các yếu tố của kiểm soát nội bộ và chỉ ra những tiêu chí để kiểm soát hệ thống

Phần 3 – Báo cáo cho các thành viên bên ngoài: Hướng dẫn cách thức báo cáo cho các đối tượng bên ngoài về kiểm soát nội bộ liên quan đến tài chính

Phần 4 – Các công cụ đánh giá: Bao gồm các bảng biểu phục vụ cho việc đánh giá sự hữu hiệu của hệ thống kiểm soát nội bộ

1.1.1.2 Khái niệm kiểm soát nội bộ và hệ thống kiểm soát nội bộ

Kiểm soát nội bộ bao gồm kế hoạch của tổ chức và tất cả các phương pháp phối hợp và đo lường được thừa nhận trong doanh nghiệp để bảo đảm an toàn tài sản có của

họ, kiểm tra sự phù hợp và độ tin cậy của dữ liệu kế toán, tăng cường tính hiệu quả của hoạt động và khuyến khích việc thực hiện các chính sách quản lý lâu dài

Hệ thống kiểm soát nội bộ theo định nghĩa của báo cáo COSO là một quy trình

đơn vị, được thiết lập để cung cấp một sự đảm bảo hợp lý nhằm thực hiện các mục tiêu sau đây:

 Tính hiệu lực và hiệu quả của các hoạt động;

 Báo cáo tài chính đáng tin cậy;

 Sự tuân thủ pháp luật và các quy luật hiện hành

Kiểm soát nội bộ được thực hiện thông qua các chính sách, tiêu chuẩn và thủ tục Việc thiết lập và vận hành hệ thống kiểm soát nội bộ thuộc về trách nhiệm của Hội đồng quản trị và người quản lý Quá trình thực hiện kiểm soát nội bộ tại đơn vị chủ yếu là quá trình thiết lập, thực hiện, kiểm tra và đánh giá các chính sách, tiêu chuẩn và thủ tục Hội đồng quản trị (nếu có) là một nhân tố ảnh hưởng rất lớn đến hoạt động kiểm soát của đơn vị thông qua việc tác động đến các chính sách và quan điểm kiểm soát của nhà quản lý Các nhân viên khác trong tổ chức chính là người thực hiện các thủ tục kiểm soát hàng ngày thông qua việc tuân thủ các quy trình của hệ thống kiểm soát nội bộ Vì vậy khả năng, tinh thần và phẩm chất của họ quyết định rất lớn đến sự thành công của kiểm soát nội bộ

1.1.2 Các nhân tố cấu thành hệ thống kiểm soát nội bộ theo COSO 2004

1.1.2.1 Môi trường quản lý

Môi trường quản lý phản ánh sắc thái chung của một đơn vị, chi phối ý thức của các thành viên trong đơn vị về rủi ro và đóng vai trò nền tảng cho các yếu tố khác của quản trị rủi ro Nó tạo nên cấu trúc và phương thức vận hành về quản trị rủi ro trong đơn vị Các nhân tố chính thuộc về môi trường quản lý là:

 Triết lý của nhà quản lý về quản trị rủi ro: triết lý về quản trị rủi ro là

quan điểm, nhận thức và thái độ của nhà quản lý, điều này tạo nên cách thức mà đơn vị tiếp cận với rủi ro trong tất cả các hoạt động, từ phát triển chiến lược đến các hoạt động hàng ngày Triết lý quản lý phản ánh những giá trị mà đơn vị theo đuổi, tác động đến văn hoá và cách thức đơn vị hoạt động, và ảnh hưởng đến việc áp dụng các yếu tố khác của ERM bao gồm cách thức nhận dạng rủi ro, các loại rủi ro được chấp nhận và cách thức quản lý chúng

 Rủi ro có thể chấp nhận: là mức độ rủi ro mà xét trên bình diện tổng

thể, đơn vị sẵn lòng chấp nhận để theo đuổi giá trị Nó phản ánh triết lý

về quản trị rủi ro của nhà quản lý cấp cao, và ảnh hưởng đến văn hoá, cách thức hoạt động của đơn vị Rủi ro có thể chấp nhận được xem xét

khi đơn vị xác định các chiến lược, ở đó lợi ích kỳ vọng của một chiến lược phải phù hợp với mức rủi ro có thể chấp nhận đã đề ra Các chiến lược khác nhau sẽ dẫn đến những mức độ rủi ro khác nhau đối với đơn

vị, một khi mức rủi ro có thể chấp nhận được xác lập sẽ giúp ích cho nhà quản lý lựa chọn chiến lược nằm trong giới hạn chịu đựng đối với các loại rủi ro

 Hội đồng quản trị: đây là một bộ phận quan trọng và ảnh hưởng đến

những yếu tố khác Vai trò của Hội đồng quản trị được thể hiện ở việc giám sát ban quản lý trong việc lựa chọn chiến lược, lên kế hoạch và việc thực hiện nó Các nhân tố được xem xét để đánh giá sự hữu hiệu của Hội đồng quản trị gồm mức độ độc lập, kinh nghiệm và uy tín của các thành viên, và mối quan hệ giữa họ với bộ phận kiểm toán nội bộ và kiểm toán độc lập Cho dù trong lịch sử đơn vị chưa phải gánh chịu những tổn thất, cho dù chưa có bằng chứng hay dấu hiệu nào cho thấy đơn vị phải đối mặt với những rủi ro quan trọng, thì Hội đồng quản trị cũng không nên suy nghĩ rằng rủi ro sẽ không xảy đến Phải luôn ý thức rằng, cho dù có một chiến lược hay, đội ngũ nhân sự lành nghề, chu trình được thiết kế khoa học và kỹ thuật áp dụng là đáng tin cậy thì đơn

vị vẫn phải đối mặt với tổn hại từ các loại rủi ro và việc quản trị rủi ro vẫn rất cần thiết

 Tính chính trực và các giá trị đạo đức: Sự hữu hiệu của hệ thống quản

trị rủi ro trước tiên phụ thuộc vào tính chính trực và việc tôn trọng các giá trị đạo đức của những người có liên quan đến quá trình quản trị rủi

ro Để đáp ứng yêu cầu này, các nhà quản lý cấp cao phải xây dựng những chuẩn mực về đạo đức trong đơn vị và cư xử đúng đắn để ngăn cản không cho các thành viên có các hành vi thiếu đạo đức hoặc phạm pháp Muốn vậy, những nhà quản lý, đặc biệt là giám đốc điều hành (CEO) cần phải làm gương cho cấp dưới trong việc tuân thủ các chuẩn mực đạo đức và phổ biến những quy định đến mọi thành viên bằng những thể thức thích hợp Một cách khác để nâng cao tính chính trực và

sự tôn trọng các giá trị đạo đức là phải loại trừ hoặc giảm thiểu những sức ép hoặc điều kiện có thể dẫn đến nhân viên có thể có những hành vi thiếu trung thực Ví dụ, gian lận trong các báo cáo có thể xuất phát từ việc nhân viên bị ép buộc phải thực hiện các mục tiêu phi thực tế của nhà quản lý Hành động không đúng của nhà quản lý có thể phát sinh khi quyền lợi của nhà quản lý lại gắn chặt với số liệu trên báo cáo,

 Đảm bảo về năng lực: Là đảm bảo cho nhân viên có được những kỹ

năng và hiểu biết cần thiết để thực hiện được nhiệm vụ của mình, nếu không họ sẽ không thực hiện nhiệm vụ được giao hữu hiệu và hiệu quả

Do đó, nhà quản lý chỉ tuyển dụng những nhân viên có trình độ đào tạo

và kinh nghiệm phù hợp với nhiệm vụ được giao, và phải giám sát và huấn luyện họ đầy đủ và thường xuyên

 Cơ cấu tổ chức: Là sự phân chia quyền hạn và trách nhiệm của các bộ

phận trong đơn vị, góp phần quan trọng trong việc thực hiện các mục tiêu Nói cách khác, cơ cấu phù hợp sẽ là cơ sở cho việc lập kế hoạch, điều hành, kiểm soát và giám sát các hoạt động của đơn vị Vì vậy, khi xây dựng một cơ cấu tổ chức phải xác định được các vị trí then chốt với các quyền hạn, trách nhiệm với các thể thức báo cáo cho phù hợp Tuy nhiên, điều này còn phụ thuộc vào quy mô và tính chất hoạt động của đơn vị Cho dù với bất cứ loại hình cơ cấu nào đều phải đảm bảo hệ thống quản trị rủi ro hoạt động hữu hiệu và các hoạt động được tiến hành để đạt mục tiêu mà đơn vị đề ra

 Cách thức phân định quyền hạn và trách nhiệm: Phân định quyền hạn

và trách nhiệm được xem là phần mở rộng của cơ cấu tổ chức Nó cụ thể hoá quyền hạn và trách nhiệm của từng thành viên và từng nhóm thành viên trong đơn vị, giúp cho mỗi thành viên và nhóm hiểu rằng họ

có nhiệm vụ cụ thể gì và từng hoạt động của họ có ảnh hưởng như thế nào đối với những nhóm hay thành viên khác trong việc hoàn thành mục tiêu Do đó, khi mô tả công việc, đơn vị cần phải thể chế hoá bằng văn bản về những nhiệm vụ và quyền hạn cụ thể của từng thành viên và nhóm thành viên, và quan hệ giữa họ với nhau

 Chính sách nhân sự: là các chính sách và thủ tục của nhà quản lý về

việc tuyển dụng, huấn luyện, bổ nhiệm, đánh giá, sa thải, khen thưởng,

kỷ luật nhân viên Chính sách nhân sự có ảnh hưởng đáng kể đến sự hữu hiệu của môi trường quản lý thông qua tác động đến những nhân tố khác trong môi trường quản lý như đảm bảo về năng lực, tính chính trực,…

1.1.2.2 Thiết lập mục tiêu

Các mục tiêu được thiết lập đầu tiên ở cấp độ chiến lược, từ đó đơn vị xây dựng bốn mục tiêu tổng quát: chiến lược, hoạt động, báo cáo, và tuân thủ Việc thiết

lập các mục tiêu của đơn vị là điều kiện đầu tiên để nhận dạng, đánh giá và phản ứng với rủi ro

Các mục tiêu chiến lược: là những mục tiêu cấp cao của đơn vi, các mục tiêu này phù hợp và ủng hộ cho sứ mạng mà đơn vị đã đề ra Nó thể hiện sự lựa chọn của nhà quản lý về cách thức đơn vị tạo lập giá trị cho chủ sở hữu của mình

Các mục tiêu liên quan: là những mục tiêu cụ thể hơn so với mục tiêu chiến lược và phù hợp với mục tiêu chiến lược đã được lập Mặc dù các mục tiêu trong đơn

vị rất đa dạng, nhưng các mục tiêu liên quan đến các mục tiêu chiến lược có thể chia thành các loại sau:

 Các mục tiêu hoạt động: các mục tiêu này liên quan đến sự hữu hiệu và hiệu quả của hoạt động tại đơn vị, bao gồm cách thức hoạt động của đơn vị, lợi nhuận và việc bảo vệ nguồn lực như thế nào Dưới mỗi mục tiêu hoạt động cơ bản thì đơn vị có thể xây dựng các mục tiêu nhỏ hơn nhằm đảm bảo cho sự hữu hiệu và hiệu quả của các hoạt động tại đơn

vị, hướng đơn vị đi đến mục tiêu cao nhất của mình

 Các mục tiêu về báo cáo: gắn liền với sự trung thực và đáng tin cậy của các báo cáo, bao gồm các báo cáo cho bên trong và bên ngoài và có thể liên quan đến các thông tin tài chính và phi tài chính Các báo cáo đáng tin cây cung cấp cho nhà quản lý những thông tin đầy đủ và chính xác

để điều hành và giám sát các hoạt động xảy ra tại đơn vị, hướng đến các mục đích đã dự tính trước Việc báo cáo cũng liên quan đến những thông tin công bố ra bên ngoài như báo cáo tài chính, báo cáo đến các

cơ quan chức năng về các lĩnh vực liên quan, báo cáo về thảo luận và phân tích của ban đều hành cho các cổ đông,…

 Các mục tiêu tuân thủ: liên quan đến việc tuân thủ luật pháp, quy định của Nhà nước và chấp hành các chính sách, thủ tục tại đơn vị Đơn vị phải kiểm soát các hoạt động của mình sao cho phù hợp với luật pháp, quy định của Nhà nước cũng như các chính sách, thủ tục mà đơn vị đặt

ra

1.1.2.3 Nhận dạng sự kiện tiềm tàng

Sự kiện tiềm tàng là biến cố bắt nguồn từ bên trong hoặc bên ngoài đơn vị ảnh hưởng đến việc thực hiện mục tiêu của đơn vị Một sự kiện có thể có ảnh hưởng tích cực hoặc tiêu cực đến đơn vị và có thể cả hai

Các yếu tố ảnh hưởng: có nhiều yếu tố có thể dẫn đến các sự kiện tác động đến việc thực hiện mục tiêu của đơn vị Các yếu tố này có thể xuất phát từ bên trong hoặc bên ngoài đơn vị, các yếu tố bên ngoài bao gồm:

 Môi trường kinh tế: gồm các sự kiện liên quan đến mặt bằng giá cả, nguồn vốn có thể huy động, chi phí sử dụng vốn, tỷ lệ thất nghiệp, các đối thủ cạnh tranh mới,…

 Môi trường tự nhiên: thiên tai, sự tác động của môi trường đến nhà xưởng, sự tiếp cận nguồn nguyên liệu thô, di dân giữa các vùng địa lý,

 Các yếu tố chính trị: các quy định mới của luật pháp, chính sách thuế,

sự hạn chế của nhà nước đối với các khu vực thị trường,

 Các yếu tố xã hội: tình trạng già/trẻ của dân số, phong tục tập quán, cấu trúc gia đình, ưu tiên nghề nghiệp của dân chúng, các hoạt động khủng bố,…

 Sự tiến bộ của khoa học kỹ thuật: các hình thức thương mại điện tử mới,

sự gia tăng nhu cầu về các dịch vụ kỹ thuật cao,…

Các yếu tố bên trong tác động đến sự kiện tiềm tàng bao gồm:

 Cơ sở vật chất: cơ sở vật chất hiện có để liên lạc với các trung tâm của đơn vị, giảm thiểu thời hạn cung ứng các yếu tố đầu vào, cải thiện sự hài lòng cho khách hàng,

 Nhân sự: tai nạn lao động, gian lận của nhân viên, hiệu lực của hợp đồng lao động, các hành động làm tổn hại đến tiền bạc và danh tiếng của đơn vị,…

 Các chu trình: sự không phù hợp giữa chu trình công việc và các quy định của nhà quản lý, các lỗi khi thực hiện các chu trình, thực hiện việc thuê ngoài khi chưa được xem xét thoả đáng,

 Việc áp dụng khoa học kỹ thuật: việc thay đổi máy móc, công nghệ để đáp ứng về doanh thu, khối lượng; máy móc bị trục trặc, gian lận trong thực hiện công việc,

Việc xác định được các yếu tố bên trong và bên ngoài tác động đến đơn vị có tác dụng quan trọng đến việc nhận dạng các sự kiện tiềm tàng Một khi các yếu tố ảnh hưởng đã được nhận dạng, nhà quản lý có thể xem xét tầm quan trọng của chúng và tập trung vào các sự kiện có thể ảnh hưởng đến việc thực hiện các mục tiêu của đơn vị

Ngoài việc nhận diện các sự kiện tiềm tàng ở mức độ toàn đơn vị, sự kiện tiềm tàng cũng có thể được nhận diện ở mức độ chi tiết cho các hoạt động Điều này giúp cho việc đánh giá các rủi ro theo các hoạt động hoặc các chức năng chính, ví dụ đơn vị phải xem xét các sự kiện tiềm tàng liên quan đến công việc bán hàng, sản xuất, tiếp thị, ứng dụng công nghệ, nghiên cứu,…

Sự phụ thuộc lẫn nhau giữa các sự kiện: các sự kiện liên quan đến đơn vị thường không xuất hiện độc lập mà có sự tương tác lẫn nhau Một sự kiện xuất hiện có thể tạo ra, tác động đến một sự kiện khác và các sự kiện có thể xuất hiện đồng thời Trong việc nhận dạng các sự kiện, đơn vị phải biết được sự liên quan giữa các sự kiện

là như thế nào Bằng cách đánh giá sự liên quan giữa các sự kiện, đơn vị có thể biết được nơi nào cần tập trung cần thiết để quản trị rủi ro Ví dụ, sự thay đổi về lãi suất cơ bản của ngân hàng Nhà nước sẽ tác động đến tỷ giá hối đoái và do đó tác động đến thu nhập hoặc tổn thất của các đơn vị kinh doanh ngoại tệ

Phân biệt cơ hội và rủi ro: sự kiện tiềm tàng nếu xuất hiện sẽ tác động tiêu cực hoặc tích cực đến đơn vị hoặc tác động cả hai Nếu sự kiện có tác động tiêu cực, đe dọa nguy cơ đạt được mục tiêu của đơn vị, thì đòi hỏi đơn vị phải đánh giá rủi ro và phản ứng với rủi ro Nếu sự kiện có tác động tích cực đến đơn vị, làm thuận lợi việc thực hiện mục tiêu của đơn vị hoặc tạo giá trị cho đơn vị, thì phải được xem xét trở lại đối với các chiến lược đã được xây dựng

1.1.2.4 Đánh giá rủi ro

Các nhân tố bên trong và bên ngoài có thể tạo ra các sự kiện ảnh hưởng đến việc thực hiện mục tiêu của đơn vị Mặc dù một số nhân tố có tính chất chung đặc trưng cho từng ngành, nhưng sự tác động đối với từng đơn vị củ thể thì hoàn toàn khác nhau, bởi vì mục tiêu và sự lựa chọn của mỗi đơn vị trong quá khứ của mỗi đơn vị là không giống nhau Trong việc đánh giá rủi ro, đơn vị phải xem xét các sự kiện trong hoàn cảnh và điều kiện cụ thể của riêng đơn vị mình chẳng hạn như: quy mô của đơn

vị, sự phức tạp của các hoạt động, mức độ tác động của các quy định lên các hoạt động của đơn vị,

Các sự kiện được xem xét bao gồm các sự kiện đã được đơn vị dự tính và các

sự kiện không được dự tính Các sự kiện đã dự tính bao gồm những sự kiện thường xuyên lặp đi lặp lại, sự kiện diễn ra hàng ngày hoặc các sự kiện đã được tiên liệu trong

kế hoạch của đơn vị

Rủi ro tiềm tàng và rủi ro kiểm soát: rủi ro tiềm tàng là rủi ro do thiếu các hoạt động của đơn vị nhằm thay đổi khả năng hoặc sự tác động của các rủi ro đó Rủi ro

phải xem xét cả rủi ro tiềm tàng và rủi ro kiểm soát, đầu tiên là xem xét các rủi ro tiềm tàng, sau đó khi đã có phương án phản ứng với rủi ro tiềm tàng thì tiếp tục xem xét đến rủi ro kiểm soát

Ứơc lượng khả năng và ảnh hưởng: các sự kiện tiềm tàng phải được đánh giá trên hai khía cạnh: khả năng xảy ra và mức độ tác động của nó Những sự kiện mà khả năng xuất hiện thấp và tác động ít đến đơn vị thì không cần phải tiếp tục xem xét Ngược lại, các sự kiện với khả năng xuất hiện cao và tác động lớn thì cần phải xem xét

kỹ càng Các sự kiện nằm giữa hai thái cực này đòi hỏi sự đánh giá phức tạp, điều quan trọng là phải phân tích kỹ lưỡng và hợp lý

Để đo lường khả năng xuất hiện một sự kiện, có thể dùng các chỉ tiêu định tính như cao, trung bình, thấp hoặc các cấp độ chi tiết khác Hoặc có thể dùng chỉ tiêu định lượng như: tỷ lệ xuất hiện, tần suất xuất hiện,

Đơn vị đo lường tác động của một sự kiện thông thường là cùng hoặc tương tự với đơn vị đo lường của việc thực hiện mục tiêu để có thể đánh giá được mức độ tác động của sự kiện đó Chẳng hạn một đơn vị với mục tiêu là duy trì dịch vụ khác hàng

ở một mức độ nào đó thì đơn vị đo lường mục tiêu này có thể là: chỉ số hài lòng của khách hàng, số lượng các khách hàng than phiền về dịch vụ,… thì khi đó đơn vị để đo lường tác động của các rủi ro đối với dịch vụ khách hàng, chẳng hạn thời gian website của công ty không truy cập được, phải hoàn toàn tương tự

Sự liên hệ giữa các sự kiện: đối với những sự kiện độc lập với nhau thì đơn vị đánh giá các sự kiện một cách độc lập Nhưng nếu có sự liên hệ giữa các sự kiện hoặc các sự kiện cùng kết hợp lại với nhau sẽ tạo nên những tác động lớn thì đơn vị phải đánh giá được tác động tổng hợp đó Bởi vì, một sự kiện riêng lẻ có thể có tác động nhỏ nhưng sự nhưng sự kết hợp hoặc tác động dây chuyền có thể có ảnh hưởng quan trọng đến việc thực hiện mục tiêu của đơn vị Ví dụ, một công ty tham gia vào thị trường nước ngoài với nhà quản lý mới là người địa phương, chưa hiểu biết về cách thức đánh giá hoạt động của công ty mẹ, sử dụng hệ thống báo cáo chưa được kiểm tra

sẽ dẫn đến rủi ro về gian lận và sai sót trong báo cáo tài chính

Khi rủi ro tác động đến nhiều bộ phận, đơn vị kết hợp các rủi ro đó trong danh sách các sự kiện và xem xét trước hết sự tác động đến từng bộ phận, sau đó xem xét tác động tổng thể đến toàn đơn vị Ví dụ, đối với một ngân hàng, rủi ro liên quan đến lãi suất của ngân hàng trung ương phải được đánh giá không những cho từng hoạt động của các bộ phận như huy động, cho vay, ngoại tệ, mà còn phải đánh giá sự tác động tổng thể đó đối với chính ngân hàng đó

Việc lựa chọn các cách thức khác nhau để đánh giá rủi ro tùy thuộc vào bản chất của sự kiện sẽ xảy ra Để đánh giá sự tác động riêng lẻ của các sự kiện, đơn vị thường sử dụng phương pháp sác suất như: thảo luận, phỏng vấn, khảo sát thực tế,…

để định lượng hoặc so sánh khả năng xảy ra của sự kiện và tác động của sự kiện đó Đánh giá sự sự tác động tổng hợp của các sự kiện thì phương pháp mô phỏng hoặc phân tích xu hướng thường hữu ích hơn

 Giảm bớt rủi ro: các hoạt động nhằm làm giảm thiểu khả năng xuất hiện hoặc mức độ tác động của rủi ro hoặc cả hai Các hoạt động này liên quan đến việc điều hành hàng ngày tại đơn vị

 Chuyển giao rủi ro: Làm giảm thiểu khả năng xuất hiện và mức độ tác động của rủi ro bằng cách chuyển giao hoặc chia sẽ một phần rủi ro Các kỹ thuật này bao gồm: mua bảo hiểm cho tổn thất, sử dụng các công cụ về tài chính để dự phòng cho tổn thất, các hoạt động thuê ngoài,…

 Chấp nhận rủi ro: đơn vị không làm gì cả đối với rủi ro

Né tránh rủi ro được sử dụng khi các phản ứng khác không thể làm giảm khả năng xảy ra của sự kiện hoặc tác động của sự kiện đó xuống mức có thể chấp nhận được Giảm thiểu rủi ro và chuyển giao rủi ro được sử dụng để làm giảm rủi ro kiểm soát xuống mức phù hợp với từng mức độ rủi ro bộ phận Chấp nhận rủi ro khi rủi ro tiềm tàng của sự kiện trong phạm vi của rủi ro bộ phận

Khi lựa chọn một phản ứng đối với rủi ro, cần xem xét các vấn đề sau:

 Xác định các phản ứng: đối với nhiều loại rủi ro, việc xác định phương thức phản ứng tương đối dễ dàng Ví dụ, đối với rủi ro vễ lỗi của hệ thống máy tính thì phản ứng thông thường là sữa chửa, phục hồi hệ thống máy tính Nhưng đối với một số loại rủi ro thì việc lựa chọn phản ứng không hề dễ dàng, đòi hỏi sự điều tra và phân tích Ví dụ để xác định được phản ứng đối với rủi ro từ các hoạt động của đối thủ cạnh

tranh tác động đến giá trị của một nhãn hiệu hàng hoá, đòi hỏi đơn vị phải tiến hành nghiên cứu và phân tích thị trường,…

 Ảnh hưởng của phản ứng của đơn vị đến khả năng và tác động của rủi

ro, và phản ứng nào nằm trong phạm vi của rủi ro bộ phận

 Lợi ích và chi phí của từng loại phản ứng

 Cơ hội có thể có đối với việc thực hiện mục tiêu chung của đơn vị khi phản ứng với các rủi ro cụ thể

 Lựa chọn phản ứng: sau khi đã đánh giá các phản ứng khác nhau đối với rủi ro, đơn vị quyết định phải quản lý rủi ro như thế nào, lựa chọn phản ứng để đối phó với rủi ro trong phạm vi rủi ro bộ phận, lưu ý rằng phản ứng được lựa chọn không phải là phản ứng có rủi ro kiểm soát nhỏ nhất Tuy nhiên, khi rủi ro kiểm soát vượt ra khỏi giới hạn của rủi

ro bộ phận, đơn vị cần phải xem xét lại phản ứng đã chọn, hoặc trong một số trường hợp thì đơn vị có thể điều chỉnh lại rủi ro bộ phận đã được thiết lập trước đây

Việc lựa chọn phản ứng đòi hỏi đơn vị phải xem xét các rủi ro mới, phát sinh

từ việc áp dụng phản ứng đó Điều này phát sinh một chu trình kế tiếp và đơn vị phải xem xét tiếp rủi ro trước khi đưa ra quyết định cuối cùng

Nhìn nhận hệ thống: hệ thống quản trị rủi ro doanh nghiệp đòi hỏi đơn vị nhìn nhận rủi ro trên bình diện toàn đơn vị, hay nhìn nhận có tính hệ thống Để nhìn nhận rủi ro có tính hệ thống, đòi hỏi đơn vị phải: xem xét rủi ro kiểm soát có phù hợp với mục tiêu và có nằm trong phạm vi của rủi ro có thể chấp nhận của bộ phận đó hay không, và kết hợp các rủi ro kiểm soát của các bộ phận lại và xem xét có phù hợp với rủi ro có thể chấp nhận của toàn đơn vị hay không

Các rủi ro khác nhau liên quan đến mỗi bộ phận có thể nằm trong phạm vi rủi

ro bộ phận của các bộ phận đó, nhưng khi kết hợp lại với nhau chúng sẽ vượt quá giới hạn của rủi ro có thể chấp nhận của toàn đơn vị Trong các trường hợp như vậy, đòi hỏi đơn vị phải có những phản ứng đối với rủi ro một cách phù hợp nhằm đưa rủi ro trở về phạm vi có thể chấp nhận

Nhìn nhận rủi ro một cách hệ thống có thể được diễn tả theo nhiều cách khác nhau như: kết hợp các sự kiện hoặc rủi ro quan trọng và xem xét sự tác động đến các

bộ phận của đơn vị; xem xét tác động của các rủi ro đơn lẻ đến toàn bộ đơn vị bằng cách định lượng sự tác động của rủi ro đến việc đạt mục tiêu của đơn vị;… Với cách

nhìn nhận định lượng này, đơn vị có những thông tin hữu ích để phân bổ nguồn vốn hợp lý giữa các bộ phận, và thực hiện các điều chỉnh về chiến lược

1.1.2.6 Hoạt động kiểm soát

Các hoạt động kiểm soát bao gồm các chính sách và thủ tục được thực hiện bởi các nhân viên liên quan, nhằm đảm bảo các chính sách, chỉ thị của nhà quản lý về phản ứng với rủi ro được thực hiện Các hoạt động kiểm soát có thể được phân loại tùy thuộc vào mục tiêu của đơn vị mà hoạt động kiểm soát có liên quan như: chiến lược, hoạt động, báo cáo và tuân thủ

Theo nội dung thực hiện thì hoạt động kiểm soát được thực hiện tại đơn vị bao gồm: kiểm soát cấp cao, kiểm soát các hoạt động chức năng, kiểm soát quá trình xử lý thông tin và nghiệp vụ, kiểm soát vật chất, hoạt động phân tích soát xét lại, phân chia trách nhiệm

1.1.2.7 Thông tin và truyền thông

Thông tin và cách thức truyền thông tin là yếu tố không thể thiếu để đơn vị nhận dạng các sự kiện tiềm tàng, đánh giá và phản ứng với rủi ro Quản trị rủi ro nhấn mạnh chất lượng thông tin trong điều kiện sự phát triển mạnh mẽ của khoa học về công nghệ thông tin hiện nay và nội dung thông tin phải gắn liền với việc quản lý các rủi ro tại đơn vị Thông tin được cung cấp cho những người liên quan theo những cách thức và thời gian thích hợp để họ có thể thực hiện quá trình quản trị rủi ro và những nhiệm vụ liên quan

Để thông tin phục vụ cho quá trình quản trị các rủi ro liên quan đến đơn vị, thông tin cần đạt những yêu cầu sau đây: gắn với quá trình quản trị rủi ro, có thể so sánh được với mức rủi ro có thể chấp nhận, phát triển hệ thống thông tin tích hợp

Để làm tăng chất lượng thông tin, đơn vị cần một chương trình quản lý dữ liệu trên toàn đơn vị, bao gồm các yêu cầu về thông tin, việc duy trì truyền tải thông tin Nếu không, hệ thống thông tin sẽ không cung cấp được những gì mà các cấp quản lý

và những người khác cần để thực hiện các chức năng nhiệm vụ liên quan đến quá trình quản trị rủi ro

1.1.2.8 Giám sát

Đây là bộ phận cuối cùng của hệ thống quản trị rủi ro doanh nghiệp Giám sát

là quá trình người quản lý đánh giá vai trò, nhiệm vụ của những người liên quan đến các yếu tố trong hệ thống quản trị rủi ro trong quá trình thực hiện

Để đạt kết quả tốt, đơn vị cần thực hiện các hoạt động giám sát thường xuyên

và đánh giá định kỳ

Hình 1.1: Các nhân tố cấu thành hệ thống kiểm soát nội bộ theo COSO 2004

Tiếp tục phát triển Báo cáo năm 1992, năm 2004 COSO công bố báo cáo tổng thể dưới tiêu đề: Quản trị rủi ro doanh nghiệp - khuôn khổ hợp nhất Báo cáo năm

2004 được xây dựng trên cơ sở phát triển Báo cáo năm 1992 và tích hợp với quản trị rủi ro tại các doanh nghiệp Mặt khác báo cáo COSO năm 2004 cũng đã xác định được những tiêu chuẩn làm cơ sở để đánh giá rủi ro cũng như đề xuất xây dựng chu trình quản lý rủi ro hiệu qủa trong công tác quản lý Ở Việt nam, kiểm soát nội bộ đã tồn tại

và phát triển nhưng phần lớn còn tồn tại nhiều yếu kém, chưa phát huy hết vai trò công

cụ quản lý của doanh nghiệp Báo cáo COSO năm 2004 sẽ giúp doanh nghiệp tiếp cận với quan điểm hiện đại về rủi ro của các nước tiên tiến để có thể quản lý rủi ro một cách khoa học và hiệu qủa Mặt khác giúp doanh nghiệp có cách nhìn nhận mới về kiểm soát nội bộ bằng cách “đi tắt đón đầu” những cách thức mới được áp dụng ở các nước tiên tiến, qua đó hoàn thiện hệ thống kiểm soát nội bộ của mình để phục vụ tốt hơn trong công tác quản lý

1.1.3 Lợi ích và hạn chế của hệ thống kiểm soát nội bộ

1.1.3.1 Lợi ích

Hệ thống kiểm soát nội bộ là một hệ thống chính sách và thủ tục đựơc thiết lập nhằm đạt đựơc 4 mục tiêu sau: bảo vệ tài sản của đơn vị, bảo đảm độ tin cậy của các thông tin, bảo đảm việc thực hiện các chế độ pháp lý và bảo đảm hiệu quả của hoạt động

 Bảo vệ tài sản của đơn vị: Hệ thống kiểm soát nội bộ sẽ bảo vệ các tài sản của đơn vị (bao gồm tài sản cố định hữu hình và tài sản cố định vô hình) và cả các tài sản phi vật chất như sổ sách kế toán, các tài liệu quan trọng… khỏi bị đánh cắp, hư hại hoặc bị lạm dụng vào những mục đích khác nhau

 Bảo đảm độ tin cậy của các thông tin: Thông tin kinh tế tài chính do bộ máy kế toán xử lý và tổng hợp là căn cứ quan trọng cho việc hình thành các quyết định của nhà quản lý vì vậy các thông tin cung cấp phải đảm bảo tính kịp thời về thời gian, tính chính xác và độ tin cậy về thực trạng hoạt động và phản ánh đầy đủ khách quan cácnội dung kinh tế chủ yếu của mọi hoạt động

 Bảo đảm việc thực hiện các chế độ pháp lý: Hệ thống kiểm soát nội bộ được thiết kế trong doanh nghiệp phải đảm bảo các quyết định và chế

độ pháp lý liên quan đến hoạt động sản xuất kinh doanh của doanh nghiệp phải được tuân thủ đúng mức Cụ thể hệ thống kiểm soát nội bộ cần: Duy trì kiểm tra việc tuân thủ chính sách có liên quan tới các hoạt động của doanh nghiệp; Ngăn chặn phát hiện kịp thời, xử lý các sai phạm và gian lận; Ghi chép kế toán đầy đủ chính xác, lập BCTC trung thực khách quan

 Bảo đảm hiệu quả của hoạt động và năng lực quản lý: Các quá trình kiểm soát trong một đơn vị được thiết kế nhằm ngăn ngừa sự lặp lại không cần thiết các tác nghiệp, gây ra sự lãng phí trong hoạt động và sử dụng kém hiệu quả các nguồn lực

Bốn mục tiêu nói trên của hệ thống kiểm soát nội bộ đều nằm trong một thể thống nhất tuy nhiên đôi khi cũng có mâu thuẫn với nhau như giữa tính hiệu quả của hoạt động với mục đích bảo vệ tài sản, sổ sách hoặc cung cấp thông tin đầy đủ và tin cậy Cụ thể như nếu chúng ta muốn tăng cường việc bảo vệ tài sản thì sẽ làm tăng thêm chi phí như vậy sẽ không đảm bảo được mục tiêu nâng cao tính hiệu quả của hoạt động Vậy nhiệm vụ của các nhà quản lý là xây dựng một hệ thống kiểm soát nội

bộ hữu hiệu và kết hợp hài hòa bốn mục tiêu nói trên

1.1.3.2 Hạn chế

Một hệ thống kiểm soát nội bộ dù có được thiết kế hoàn hảo đến đâu thì cũng không thể nào ngăn ngừa phát hiện mọi sai phạm có thể xảy ra, đó là hạn chế cố hữu của hệ thống kiểm soát nội bộ:

 Hệ thống kiểm soát nội bộ thường bị xem xét trong mối quan hệ giữa chi phí bỏ ra với lợi ích đem lại

 Các thủ tục kiểm soát này thường tác động đến những nghiệp vụ xảy ra thường xuyên mà ít có tác động với những nghiệp vụ bất thường

 Hệ thống kiểm soát nội bộ thường chỉ đặt ra các thủ tục kiểm soát bên trong đơn vị mà ít có tác động đối với các nghiệp vụ bên ngoài đơn vị

 Các thủ tục kiểm soát thường dễ bị lạc hậu theo thời gian vì có sự đối phó của người bị kiểm soát

 Hệ thống kiểm soát nội bộ thường dễ bị vô hiệu hóa bởi những nhà quản lý

Hạn chế tiềm tàng của kiểm soát nội bộ là: Quan hệ lợi ích – chi phí; Sự thông đồng; Gian lận quản lý; Những tình huống ngoài dự kiến; Vấn đề con người: sai sót, quên, nhầm lẫn…

1.2 Tổng quan về quản trị rủi ro

1.2.1 Lịch sử hình thành các lý thuyết về quản trị rủi ro

Thời kỳ tiền lý thuyết

Thuật ngữ „rủi ro‟ liên quan đến hoạt động của một đơn vị đã được đề cập từ rất sớm Lúc đầu, rủi ro được coi là khả năng hoặc mối đe dọa co thể gây tổn thất liên quan đến hoạt động thương mại, đặc biệt trong việc bảo toàn tài sản và hàng hóa Cách thức thông thường để đối phó với rủi ro trong giai đoạn này là mua các dịch vụ bảo hiểm để chuyển giao toàn bộ hoặc một phần thiệt hại về tài sản cho các doanh nghiệp bảo hiểm khi tổn thất phát sinh

Sự ra đời của doanh nghiệp bảo hiểm chứng tỏ rằng các doanh nghiệp đã sử dụng dịch vụ bảo hiểm để chuyển giao rủi ro Lúc đầu dịch vụ bảo hiểm hình thành trong lĩnh vực vận chuyển hàng hóa bằng đường biển, sau đó phát triển qua các loại hình khác Các tài liệu tìm thấy ở công ty bảo hiểm Hammurabi cho chúng ta thấy rằng dịch vụ bảo hiểm đã tồn tại cách đây khoảng 3800 năm

Thời kỳ phát triển lý thuyết quản trị rủi ro

Khi hoạt động kinh doanh càng mở rộng phát triển thì doanh nghiệp phải đối mặt với nhiều loại rủi ro mới và phức tạp hơn, đòi hỏi phải có một lý thuyết về rủi ro

và các kỹ thuật để có thể quản lý rủi ro một cách hiệu quả Từ chỗ cách thức duy nhất

để quản lý rủi ro là mua các bảo hiểm cho các tổn thất có thể có đến cách thức quản lý

những tình huống không chắc chắn và tối ưu hóa việc quản trị rủi ro Cùng với yêu cầu

về quản trị rủi ro, các lý thuyết về rủi ro và sau đó là các kỹ thuật và các hệ thống quản trị rủi ro được hình thành

John Haynes (1895): John Haynes là một trong những người đầu tiên nghiên cứu về rủi ro Theo ông thì rủi ro là khả năng xảy ra những hư hỏng hoặc mất mát một cách tình cờ đối với đơn vị, sự kiện không chắc chắn được coi là rủi ro khi nó sẽ có những tác động xấu đến kết quả của đơn vị - sẽ gánh chịu những rủi ro liên quan đến đơn vị

Frank H Knight (1921): Theo Frank H Knight thì rủi ro là sự kiện trong tương lai mà có thể đo lường được sự tác động, còn sự kiện không chắc chắn là những

sự kiện mà không thể đo lường được sự tác động Mặt khác, ông cũng cho rằng : rủi ro liên quan đến tổn thất và sự kiện không chắc chắn liên quan đến những lợi ích mà đơn

vị sẽ gặp phải trong tương lai Để xem xét khả năng xuất hiện của rủi ro và sự kiện không chắc chắn, ông sử dụng các khái niệm „xác suất khách quan‟ và „xác suất chủ quan‟

Irving Pfeffer (1956): Pfeffer đã tiếp tục quan điểm của Knight, và theo ông thì rủi ro là sự kết hợp của các nguy hại và được đo lường bởi xác suất xảy ra; còn sự kiện không chắc chắn được đo lường bởi mức độ của niềm tin Rủi ro là trạng thái khách quan, sự kiện không chắc chắn là trạng thái chủ quan

Các quan điểm về rủi ro theo thời gian đã có một sự chuyển biến to lớn: từ chỗ coi rủi ro là việc xuất hiện tổn thất một cách tình cờ đến việc dự báo các rủi ro, từ chỗ coi rủi ro là những gì có thể đo lường được đến việc ý thức được những rủi ro không thể đo lường, từ chỉ xem xét tổn thất đến việc đánh giá lợi ích, từ xem xét các rủi ro riêng lẻ đến xem xét cùng lúc nhiều rủi ro,… Tuy nhiên, các quan điểm trên còn chứa đựng những bất cập: quan điểm về rủi ro chưa bao quát cho toàn đơn vị; rủi ro được xem xét cho từng sự kiện độc lập hoặc mới chỉ dừng lại xem xét sự tác động của nhiều

sự kiện đến một mặt hoạt động của đơn vị Do đó, ứng phó với rủi ro thường bị động

vì không có chiến lược bài bản

1.2.2 Khái niệm về quản trị rủi ro doanh nghiệp

Với sự phát triển của nền kinh tế thị trường, đặc biệt là thị trường tài chính, các công cụ được xây dựng để lúc đầu phục vụ cho nhu cầu của các nhà đầu tư và sau

đó áp dụng cho các hoạt động trong doanh nghiệp Ngoài ra cùng với sự phát triển của

kỹ thuật máy tính doanh nghiệp có nhiều nguồn dữ liệu và công cụ hỗ trợ đắc lực cho việc đo lường và phân tích các rủi ro, từ đó phục vụ tốt hơn cho việc quản lý

Đầu những năm 1950, lý thuyết về danh mục đầu tư của Harry Markowits đề cập đến việc đo lường và quản trị rủi ro Theo đó, có sự liên hệ giữa rủi ro và lợi ích

kỳ vọng của một phương án và nhà đầu tư nên kết hợp nhiều phương án khác nhau để tối đa hóa lợi ích của mình Đến đầu những năm 1970, công cụ bảo hiểm và tái bảo hiểm được các doanh nghiệp sử dụng rộng rãi và xuất hiện các công cụ phái sinh được các doanh nghiệp sử dụng để dự phòng cho các biến động về giá cả của thị trường Sự kết hợp các công cụ bảo hiểm dẫn đến việc áp dụng hình thức dịch vụ thuê ngoài ở các doanh nghiệp lớn nhằm chuyển giao rủi ro cho các đối tác bên ngoài khi doanh nghiệp thấy việc thực hiện không còn hiệu quả

Mặt khác, trong những năm 1980, với sự bùng nổ của công nghệ thông tin các doanh nghiệp có những phương tiện cần thiết để lưu trữ, tiếp nhận những thông tin khổng lồ và phức tạp phục vụ cho việc ra quyết định Ngoài ra, với sự phát triển của

kỹ thuật máy tính, các doanh nghiệp cũng có những phương tiện đắc lực để đo lường

và phân tích rủi ro phục vụ ngày càng hiệu quả cho công tác quản trị rủi ro tại doanh nghiệp

Trên cơ sở Báo cáo COSO năm 1992, Ủy ban Basel ban hành Báo cáo Basel năm 1998 về kiểm soát nội bộ tại các ngân hàng và tổ chức tín dụng Năm 2000, Ủy ban Basel ban hành báo cáo bổ sung liên quan đến kiểm soát nội bộ, quan hệ giữa kiểm toán viên và ngân hàng Nội dung Báo cáo Basel nhằm xây dựng một hệ thống kiểm soát nội bộ hữu hiệu, chủ yếu kiểm soát các rủi ro liên quan đến việc thực hiện các mục tiêu tương tự như Báo cáo COSO năm 1992 và các rủi ro liên quan đến tín dụng Báo cáo Basel chỉ giới hạn trong phạm vi ngân hàng và các tổ chức tín dụng chứ chưa mở rộng phạm vi ra các loại hình doanh nghiệp khác trong việc quản trị rủi ro

James Lam là người đề xuất vị trí trưởng bộ phận rủi ro (CRO), ông được xem

là CRO đầu tiên trên thế giới Năm 1993 ông giữ chức vụ CRO cho công ty GE Capital Từ năm 1995 đến 1998, ông là CRO của công ty quản lý quỹ đầu tư Fidelity Investment Trong thời gian này, ông được tạp chí The Economist và Price Waterhouse Review đánh giá là người quản trị rủi ro tốt nhất Năm 1999, Ông tham gia công ty tư vấn Oliver, Wyman & Company và đồng sáng lập ra công ty Erisk, chuyên cung cấp các dịch vụ tư vấn về quản trị rủi ro và đầu tư Hiện nay, ông là nhà

tư vấn độc lập và là chủ tịch của công ty James Lam & Associates Các khách hàng lớn được ông trực tiếp tư vấn bao gồm : The World Bank, Salomon Smith Barney, Allied Capital, Theo James Lam, rủi ro là tất cả các sự kiện tác động tiêu cực đến công ty, và mỗi rủi ro chịu tác động của nhiều yếu tố Giữa lợi nhuận của công ty và mức độ rủi ro có sự tương quan Ở mức độ ban đầu, mức độ rủi ro mà công ty tham gia càng nhiều thì lợi nhuận càng lớn Tuy nhiên, khi mức độ rủi ro mà công ty tham gia

đến một giới hạn nào đó thì lợi nhuận sẽ giảm khi rủi ro tăng lên Vấn đề là công ty phải xác định tham gia rủi ro ở mức độ nào để có lợi nhuận cao nhất Một chu trình để quản lý hữu hiệu rủi ro gồm các bước sau: ý thức về rủi ro, đo lường rủi ro và kiểm soát rủi ro Chu trình quản lý rủi ro giúp mọi người liên quan thực hiện những nhiệm

vụ của mình liên quan đến rủi ro trong công việc hảng ngày Để quản trị rủi ro một cách hữu hiệu, đòi hỏi chu trình cần có các yếu tố cơ bản liên quan Mỗi yếu tố phải có

sự liên kết với các yếu tố khác và các yếu tố phải kết hợp với nhau như một thể thống nhất Các yếu tố cơ bản của một chu trình quản trị rủi ro bao gồm: ban lãnh đạo, các cấp quản lý trung gian, mức rủi ro có thể chấp nhận, chuyển giao rủi ro, phân tích rủi

ro, cơ sở dữ liệu và kỹ thuật, thông tin về rủi ro

Theo Báo cáo của COSO năm 2004 thì quản trị rủi ro doanh nghiệp là một quá trình do hội đồng quản trị, các cấp quản lý và các nhân viên của đơn vị chi phối, được

áp dụng trong việc thiết lập các chiến lược liên quan đến toàn đơn vị và áp dụng cho tất cả các cấp độ trong đơn vị, được thiết kế để nhận dạng các sự kiện tiềm tàng có thể ảnh hưởng đến đơn vị và quản trị rủi ro trong phạm vi chấp nhận được của rủi ro nhằm cung cấp một sự đảm bảo hợp lý về việc đạt được các mục tiêu của đơn vị Các mục tiêu của đơn vị bao gồm:

 Mục tiêu chiến lược: liên quan đến các mục tiêu tổng thể và phục vụ cho

1.2.3 Các nội dung của quản trị rủi ro doanh nghiệp

Theo định nghĩa trên, các nội dung cơ bản của quản trị rủi ro là: quá trình, con người, thiết lập chiến lược, áp dụng toàn đơn vị, nhận dạng sự kiện, đảm bảo hợp lý và mục tiêu Chúng được hiểu như sau:

Quản trị rủi ro doanh nghiệp là một quá trình: quản trị rủi ro bao gồm một

chuỗi các hoạt động liên tục tác động đến toàn đơn vị thông qua những hoạt động quản

lý để điều hành sự hoạt động của đơn vị Quá trình quản trị rủi ro doanh nghiệp giúp đơn vị tác động trực tiếp đến việc thực hiện các mục tiêu đã đề ra và góp phần hoàn

Quản trị rủi ro doanh nghiệp được thiết kế và vận hành bởi con người:

Quản trị rủi ro không chỉ đơn thuần là những chính sách, thủ tục, biểu mẫu, mà phải bao gồm những con người trong đơn vị như hội đồng quản trị, ban giám đốc và các nhân viên khác Mỗi cá nhân trong đơn vị với những đặc điểm riêng sẽ tác động đến cách thức người đó nhận dạng, đánh giá và phản ứng với rủi ro Với quản trị rủi ro, đơn vị cung cấp cho mọi người khuôn khổ chung về rủi ro trong phạm vi mục tiêu hoạt động của đơn vị

Quản trị rủi ro được áp dụng trong việc thiết lập các chiến lược: mỗi đơn vị

thường thiết lập các sứ mạng cho tổ chức của mình và các mục tiêu liên quan để đạt đến sứ mạng đó Với mỗi mục tiêu, đơn vị thiết lập các chiến lược tương ứng để thực hiện và cũng có thể thiết lập các mục tiêu liên quan ở cấp độ thấp hơn Khi đó, quản trị rủi ro hỗ trợ cho các cấp quản lý xem xét các rủi ro liên quan đến việc lựa chọn các chiến lược thay thế khác nhau

Áp dụng cho toàn đơn vị: quản trị rủi ro không xem xét rủi ro trong một sự

kiện riêng biệt hoặc cấp độ riêng rẽ mà xem xét hoạt động trên tất cả các cấp độ của đơn vị, từ cấp độ toàn đơn vị như kế hoạch chiến lược và phân bổ nguồn lực đến các mảng hoạt động cụ thể như hoạt động marketing, nguồn nhân lực và đến các chu trình nghiệp vụ như chu trình sản xuất, xem xét hạn mức tín dụng của khách hàng,

Quản trị rủi ro được thiết kế để nhận dạng các sự kiện: các sự kiện tiềm tàng

tác động đến đơn vị phải được nhận dạng thông qua quản trị rủi ro Khi sự kiện tiềm tàng được nhận dạng, đơn vị đánh giá được rủi ro và cơ hội liên quan đến các sự kiện,

từ đó xây dựng các cách thức quản lý rủi ro liên quan trong phạm vi mức rủi ro có thể chấp nhận của đơn vị

Mức rủi ro có thể chấp nhận: là mức độ rủi ro mà đơn vị sẵn sàng chấp nhận

để thực hiện việc làm tăng giá trị xét trên bình diện toàn đơn vị Nó phản ánh triết lý

về rủi ro và phong cách văn hoá của đơn vị Rủi ro có thể chấp nhận có thể được xem xét một cách định lượng hoặc định tính Theo phương thức định tính, rủi ro rủi ro được chia thành các cấp độ như cao, trung bình và thấp, còn theo phương thức định lượng thì rủi ro được xem xét trong sự tương quan với các mức độ tăng trưởng và lợi nhuận

Rủi ro bộ phận: là mức rủi ro liên quan đến từng mục tiêu cụ thể Rủi ro bộ

phận là mức rủi ro chấp nhận được trong việc thực hiện những mục tiêu cụ thể

Việc xác định mức rủi ro có thể chấp nhận giúp định hướng phân bổ các nguồn lực trong đơn vị dựa trên tương quan giữa kết quả kỳ vọng và nguồn lực đã đầu tư Các nhà quản lý xem xét mức rủi ro có thể chấp nhận trong sự phù hợp với cơ cấu tổ

chức, con người, quá trình thực hiện và qua đó thiết lập các yếu tố cần thiết phản ứng

và giám sát rủi ro một cách hữu hiệu

Quản trị rủi ro đem lại một sự đảm bảo hợp lý, chứ không phải là đảm bảo

tuyệt đối, là các mục tiêu sẽ được thực hiện Vì những sự kiện không chắc chắn và rủi

ro thuộc về tương lai, do đó không ai có thể dự đoán tuyệt đối chính xác Hơn nữa, quản trị rủi ro được vận hành bởi con người; do đó, những sai sót do con người gây ra

là không thể tránh Mặt khác, các hoạt động kiểm soát dù có được thiết kế và hoàn thiện đến thế nào đi chăng nữa vẫn không thể kiểm soát hết được tất cả các sự kiện liên quan đến đơn vị

Quản trị rủi ro là phương tiện để đạt được mục tiêu: trong phạm vi sứ mạng của đơn vị đã được thiết lập, các nhà quản lý xây dựng các mục tiêu chiến lược, lựa chọn cách thức tiến hành và thiết lập các mục tiêu liên quan ERM, với sự phân loại các mục tiêu, sẽ phân định rõ từng nội dung mà đơn vị hướng đến

1.2.4 Lợi ích và hạn chế của quản trị rủi ro doanh nghiệp

1.2.4.1 Lợi ích của quản trị rủi ro doanh nghiệp

Tạo lập sự phù hợp giữa lựa chọn chiến lược và mức rủi ro có thể chấp nhận: khi lựa chọn một chiến lược giữa nhiều khả năng khác nhau thì trước hết phải xem xét mức rủi ro có thể chấp nhận trước, rồi mới đến lựa chọn chiến lược cụ thể, sau đó thiết lập các mục tiêu liên quan đến chiến lược đã được chọn và cuối cùng là cách thức được thiết lập để quản lý các rủi ro liên quan

Làm tăng hiệu quả đối với việc phản ứng với rủi ro: quản trị rủi ro cung cấp các kỹ thuật và phương pháp cụ thể trong việc nhận dạng và lựa chọn các phương thức phản ứng với rủi ro như né tránh rủi ro, giảm thiểu rủi ro, chuyển giao rủi ro và chấp nhận rủi ro sẽ giúp các nhà quản lý phản ứng với rủi ro một cách hiệu quả

Giảm thiểu tổn thất bất ngờ trong quá trình hoạt động: quản trị rủi ro làm tăng khả năng của đơn vị về việc nhận dạng các sự kiện tiềm tàng, đánh giá rủi ro, thiết lập cách thức phản ứng với rủi ro và do đó giảm thiểu những chi phí và tổn thất bất ngờ

Nhận dạng và quản lý rủi ro xuyên suốt toàn đơn vị: mỗi đơn vị phải đối mặt với rất nhiều loại rủi ro tác động đến nhiều bộ phận khác nhau Và quản trị rủi ro đòi hỏi người quản lý không chỉ quản lý các loại rủi ro riêng biệt mà còn phải hiểu được

sự tác động lẫn nhau của các rủi ro đó Từ đó giúp cho đơn vị có cái nhìn hệ thống đối với các loại rủi ro và phản ứng hiệu quả hơn cho mục tiêu tổng thể

Cung cấp các phản ứng tổng hợp cho nhiều loại rủi ro: quản trị rủi ro xem xét các rủi ro một cách tổng thể và hệ thống vì vậy các giải pháp phản ứng thường hướng đến được xem xét cho các rủi ro liên quan do đó một giải pháp có thể xử lý cho nhiều rủi ro khác nhau

Giúp đơn vị nắm bắt những cơ hội trong kinh doanh: quản trị rủi ro xem xét tất

cả các sự kiện tiềm tàng liên quan đến đơn vị không chỉ có rủi ro và vì vậy giúp các nhà quản lý nhận dạng các sự kiện mang đến cơ hội từ đó đưa ra những phản ứng thích hợp để tận dụng những cơ hội đó

Cải thiện sự phân bổ nguồn vốn của đơn vị: Có được đầy đủ thông tin về rủi ro giúp nhà quản lý đánh giá tổng quát nhu cầu về vốn và tối ưu hoá việc phân bổ vốn của đơn vị

1.2.4.2 Hạn chế của quản trị rủi ro doanh nghiệp

Tương tự như hệ thống kiểm soát nội bộ, một hệ thống quản trị rủi ro được xem là hữu hiệu, dù đã được thiết kế và vận hành thế nào đi chăng nữa, nhằm cung cấp một sự đảm bảo hợp lý trong việc thực hiện các mục tiêu của đơn vị chứ không đảm bảo tuyệt đối Điều này xuất phát từ những hạn chế của hệ thống quản trị rủi ro doanh nghiệp Cụ thể như sau:

 Rủi ro liên quan đến tương lai và chứa đựng yếu tố không chắc chắn Một chu trình quản trị rủi ro dù được đầu tư rất nhiều trong thiết kế cũng không thể nhận dạng hết toàn bộ các rủi ro và do đó không thể đánh giá chính xác sự tác động của chúng

 Những hạn chế xuất phát từ con người liên quan trong chu trình quản trị rủi ro như: việc ra quyết định sai do thiếu thông tin, bị áp lực trong sản xuất kinh doanh; sự vô ý, bất cẩn, đãng trí; hiểu sai chỉ dẫn của cấp trên hoặc báo cáo của cấp dưới; việc đảm nhận vị trí công việc tạm thời, thay thế cho người khác;…

 Sự thông đồng giữa các nhân viên với nhau hay với các bộ phận bên ngoài đơn

vị

 Khi đưa ra các quyết định, yêu cầu thường xuyên và trên hết là của người quản

lý là xem xét quan hệ giữa chi phí bỏ ra và lợi ích thu được Việc phản ứng với rủi ro và tiếp theo đó là các hoạt động giám sát cũng phải đảm bảo rằng lợi ích

có được phải lớn hơn chi phí mà đơn vị bỏ ra

 Luôn có khả năng những người quản lý lạm quyền trong chu trình quản trị rủi

ro nhằm phục vụ cho các mưu đồ riêng

1.3 Mối quan hệ giữa hệ thống kiểm soát nội bộ với vấn đề quản trị rủi ro trong doanh nghiệp

1.3.1 Quan hệ về mục tiêu

Kiểm soát nội bộ là một khái niệm gắn liền với các doanh nghiệp Một trong những cơ chế kiểm soát nội bộ được phổ biến và ứng dụng nhiều nhất là Cơ Chế Kiểm Soát Nội Bộ của COSO Theo COSO, hệ thống kiểm soát nội bộ được xem là một chu trình thuộc quyền hạn của Hội đồng quản trị và Ban Giám đốc doanh nghiệp, được thiết kế nhằm có được đảm bảo hợp lý việc đạt được các mục tiêu sau: Hiệu quả và hiệu suất của các hoạt động; Độ tin cậy của báo cáo tài chính; và Việc tuân thủ pháp luật và tuân thủ các quy định

Theo Báo cáo của COSO năm 2004 thì quản trị rủi ro doanh nghiệp là một quá trình do hội đồng quản trị, các cấp quản lý và các nhân viên của đơn vị chi phối, được

áp dụng trong việc thiết lập các chiến lược liên quan đến toàn đơn vị và áp dụng cho tất cả các cấp độ trong đơn vị, được thiết kế để nhận dạng các sự kiện tiềm tàng có thể ảnh hưởng đến đơn vị và quản trị rủi ro trong phạm vi chấp nhận được của rủi ro nhằm cung cấp một sự đảm bảo hợp lý về việc đạt được các mục tiêu của đơn vị Các mục tiêu của đơn vị bao gồm: Mục tiêu chiến lược (liên quan đến các mục tiêu tổng thể và phục vụ cho sứ mạng của đơn vị); Mục tiêu hoạt động (liên quan đến việc sử dụng các nguồn lực một cách hữu hiệu và hiệu quả); Mục tiêu báo cáo (liên quan đến sự trung thực và đáng tin cậy của các bao cáo liên quan đến đơn vị); Mục tiêu tuân thủ (đảm bảo hợp lý việc chấp hành luật pháp và các quy định)

Có thể thấy các mục tiêu này hàm chứa một cách trực tiếp các rủi ro đã được

đề cập ở phần trên liên quan đến rủi ro hoạt động, rủi ro báo cáo tài chính và rủi ro tuân thủ Một cách gián tiếp, việc đạt được hoặc không đạt được các mục tiêu này sẽ

có ảnh hưởng gián tiếp từ rủi ro chiến lược của doanh nghiệp Chính vì vậy, theo Cơ Chế Kiểm Soát Nội Bộ của COSO, đánh giá rủi ro được coi là một cấu phần quan trọng trong tổng thể cơ chế kiểm soát nội bộ của một doanh nghiệp Cơ chế này đòi hỏi một doanh nghiệp phải xây dựng được một chu trình đánh giá các rủi ro tiềm tàng

có thể có ảnh hưởng tới việc đạt được các mục tiêu của kiểm soát nội bộ Chu trình đánh giá rủi ro này cần mang tính chất dự báo, thường được thực hiện cùng việc lên kế hoạch năm và được cập nhật thường xuyên khi có biến động lớn Việc đánh giá rủi ro, cùng với các cấu phần khác trong kiểm soát nội bộ kể cả các thủ tục kiểm soát, cần được thực hiện tại tất cả các cấp liên quan đến tất các các hoạt động trọng yếu của một doanh nghiệp

1.3.2 Quan hệ về điều hành

Việc xây dựng hệ thống kiểm soát nội bộ phù hợp sẽ giúp công ty ngăn ngừa những tổn thất, sự cố, mất mát, hư hỏng, … tạo ra môi trường làm việc chuyên nghiệp, hạn chế những rủi ro có thể xảy ra, nâng cao tinh thần trách nhiệm và sự chuyên nghiệp của toàn hệ thống doanh nghiệp, tạo kết quả tốt về chất lượng sản phẩm, chi phí tối ưu, đội ngũ làm việc khoa học, và nâng cao khả năng cạnh tranh trên thị trường nội địa và quốc tế

Những tổ chức không xây dựng hệ thống kiểm soát nội bộ sẽ khó có khả năng

đo lường hiệu quả công việc, ngăn ngừa và phát hiện sớm các rủi ro ảnh hưởng đến doanh nghiệp, và dẫn đến hệ thống quản lý thiếu chuyên nghiệp, không thể kiểm soát

Một cơ chế kiểm soát rủi ro hiệu quả không chỉ dừng ở 3 bước nhận diện rủi

ro, đánh giá rủi ro và kiểm soát rủi ro một cách đơn thuần và đơn lẻ Trong nền kinh tế hiện đại với nhiều biến động phức tạp, quản trị rủi ro doanh nghiệp là một cơ chế tối

ưu mà một doanh nghiệp cần áp dụng và triển khai để tồn tại và phát triển bền vững

Về chất thì việc quản lý rủi ro sẽ phải tiến từ khái niệm sơ khai liên quan đến các bảo hiểm vật chất và hạn chế tác động của rủi ro một cách thụ động nhằm bảo toàn giá trị cho doanh nghiệp đến việc quản trị rủi một cách chủ động, biến các rủi ro tiềm ẩn thành các cơ hội và mang lại giá trị gia tăng cho doanh nghiệp Nó không chỉ đơn thuần tránh cho doanh nghiệp khỏi các rắc rối và khó khăn mà còn phải giúp tăng cường hoạt động kinh doanh của doanh nghiệp đạt kết quả tốt hơn Một mô hình ERM hiệu quả sẽ bao gồm một số đặc điểm chủ đạo sau:

 Không chỉ dừng ở các rủi ro cần có bảo hiểm vật chất mà phải bao trùm tất cả các loại hình rủi ro khác nhau có ảnh hưởng đến mọi phương diện của hoạt động kinh doanh (rủi ro chiến lược, rủi ro tuân thủ, rủi ro báo cáo tài chính, rủi

ro hoạt động)

 Là một quy trình liên tục và mang tính hệ thống và có sự tham gia của tất cả các

cá nhân và các chức năng, bộ phận trong một doanh nghiệp

 Không chỉ dừng ở việc giúp giảm thiểu mất mát vật chất mà còn phải tối đa hoá

cơ hội cho doanh nghiệp

 Thể hiện sự gắn kết chặt chẽ với chiến lược kinh doanh của doanh nghiệp qua

đó trở thành công cụ đảm bảo quyền lợi của các cổ đông và trở thành một bộ phận không thể tách rời của Quản Trị Doanh Nghiệp (Corporate Governance)

và Kiểm Soát Nội Bộ (Internal Control)

Một trong những vai trò chủ đạo của ERM là đảm bảo việc doanh nghiệp tồn tại để mang lại giá trị cho các cổ đông (các nhà đầu tư) ERM giúp cho lãnh đạo doanh nghiệp đương đầu một cách hiệu quả các biến động thị trường cùng với các rủi ro và

cơ hội có liên quan, qua đó nâng cao năng lực để mang lại giá trị cho doanh nghiệp Trong khi lãnh đạo doanh nghiệp được hiểu là bao gồm cả ban giám đốc và Hội Đồng Quản Trị, thì quyền ra quyết định tối cao nhất là từ Hội Đồng Quản Trị, là đại diện cao nhất và chịu trách nhiệm định hướng doanh nghiệp với các cổ đông và Đại Hội Đồng

Cổ Đông

Thông thường, theo thông lệ và các quy định chung cũng như theo điều lệ công ty thì HĐQT và ban giám đốc sẽ chịu trách nhiệm về việc xây dựng và triển khai một cơ chế kiểm soát rủi ro một cách hiệu quả Trong khi các cán bộ quản lý trung và cao cấp thường sử dụng ERM cho các quyết định quản lý và quyết định hoạt động của mình thì HĐQT cần phải xem ERM như một công cụ quan trọng để cân nhắc và đánh giá một hữu hiệu các rủi ro mà doanh nghiệp đang phải đối mặt Các chức năng, trách nhiệm cũng như các thủ tục liên quan đến ERM cần phải được làm rõ và truyền đạt tới các cá nhân hoặc bộ phận có liên quan

Tùy vào quy mô cũng như lĩnh vực và loại hình sở hữu của doanh nghiệp mà việc tổ chức nhân sự và sắp xếp bộ máy chức năng liên quan đến ERM sẽ khác nhau

Có thể có một Ban Rủi Ro thuộc HĐQT, có thể có cán bộ hoặc phòng ban chuyên trách về rủi ro, hoặc ngược lại có thể có sự kiêm nhiệm v.v… Tất cả những sắp xếp này cần được cụ thể hóa trong điều lệ công ty và/hoặc trong cơ cấu nhân sự quản lý và

tổ chức cán bộ

Vấn đề quan trọng là toàn bộ các nhân viên và các cấp quản lý hiểu được các chức năng điều hành và quản lý các hoạt động cũng như các rủi ro có ảnh hưởng tới doanh nghiệp được tổ chức như thế nào

Như vậy có thể thấy chúng ta không thể triển khai ERM như một quy trình đơn lẻ được Nó cần phải được lồng ghép và đan xen trong chiến lược phát triển tổng thể của một doanh nghiệp Các bước nhận diện, đánh giá và kiểm soát rủi ro cần được tiến hành một cách bài bản, đồng bộ và sâu rộng trong doanh nghiệp Đây là một thời điểm cần thiết để các doanh nghiệp trong nước, đặc biệt là các doanh nghiệp niêm yết hoặc trên lộ trình trở thành công ty đại chúng, xem xét lại quy trình và cơ chế quản lý rủi ro của mình , qua việc sử dụng nhân lực nội bộ hoặc các chuyên gia tư vấn Doanh nghiệp nào làm việc này càng sớm, càng chuyên nghiệp thì càng có lợi thế cạnh tranh

và biến các rủi ro thành cơ hội trên thương trường và giảm thiểu các nguy cơ thất bại Rất có thể sau đợt khủng hoảng tài chính toàn cầu này, các thể chể hoặc các tổ chức

kiểm soát rủi ro trong một doanh nghiệp cùng với các chế độ giám sát và báo cáo, điều này tương tự như sự ra đời của các chuẩn mực và cơ chế kiểm soát nội bộ, sau sự sụp

đổ của một loạt công ty tại Mỹ trong những năm cuối thập kỷ 70 đầu thập kỷ 80, hoặc

sự siết chặt lại quản trị doanh nghiệp qua các quy định xuất phát từ bộ luật Sarbanes-Oxley (SOX) sau một loạt các gian lận báo cáo tài chính dẫn tới sụp đổ của một loạt các công ty (Worldcom, Enron v.v…) đầu thế kỷ này Như vậy, không cần đợi các quy định hoặc các chuẩn mực định hướng về quản trị rủi ro, các doanh nghiệp vẫn có thể chủ động tạo cho mình một vị thế mới và trở thành người dẫn đầu cuộc đua qua việc “đi trước, đón đầu”

1.4 Những đặc điểm của doanh nghiệp dịch vụ ảnh hưởng đến hệ thống kiểm soát nội bộ và quản trị rủi ro

Sản phẩm dịch vụ có các đặc trưng cơ bản khác với sản phẩm hữu hình khác, như tính vô hình, tính không thể tách rời khỏi nguồn gốc, tính không ổn định về chất lượng, tính không lưu giữ được

Sản phẩm dịch vụ về cơ bản là không cụ thể, do vậy nó rất dễ bắt chước Một dịch vụ có thể do nhiều doanh nghiệp cung cấp Điều này là rủi ro lớn cho việc thiết lập hệ thống kiểm soát nội bộ, đặc biệt là các thủ tục kiểm soát bảo mật

Một đặc trưng rất cơ bản của dịch vụ là tính không tách rời được Trong đa số các trường hợp, dịch vụ được sản xuất và tiêu dùng đồng thời, và chỉ được hoàn thành cùng với sự hoàn thành tiêu dùng của khách hàng Nếu chưa có khách hàng, chưa có

hệ thống tạo ra dịch vụ Do đó, xây dựng quan hệ với khách hàng tốt là yếu tố sống còn của các doanh nghiệp dịch vụ

Sản phẩm dịch vụ được thực hiện bởi những người cung cấp khác nhau, ở những thời gian và địa điểm khác nhau và có cả sự can thiệp của khách hàng trong quá trình tạo ra dịch vụ đã tạo ra tính không ổn định của dịch vụ Vì thế khó có thể kiểm tra trước chất lượng dịch vụ và điều này gây khó khăn trong quản lý chất lượng của dịch vụ Điều này tạo nên tính phức tạp trong việc thiết lập các thủ tục kiểm soát nội

bộ và các thủ tục quản trị rủi ro

Trong hầu hết các ngành kỹ nghệ sản xuất, sản phẩm được bao gói và chuyên chở qua các trung gian, các đại lý, đến những người bán buôn, các cửa hàng bán lẻ rồi đến tay người tiêu dùng cuối cùng Đối với dịch vụ, người tiêu dùng có thể phải đến nơi mà ở đó dịch vụ được “tạo ra” Nghĩa là, dịch vụ được bán hay cung cấp cho khách hàng trước khi họ cảm nhận được lợi ích thực sự của nó Chính điều này làm cho khách hàng cảm thấy liều lĩnh khi mua những dịch vụ và họ luôn yêu cầu được thông tin đầy đủ các giai đoạn của quá trình mua và sử dụng dịch vụ Vì thế, chất

lượng nguồn nhân lực ở các doanh nghiệp ở lĩnh vực dịch vụ có yêu cầu cao hơn nhiều

so với chất lượng nguồn nhân lực ở các lĩnh vực kinh doanh khác Nhân viên làm việc trong các doanh nghiệp dịch vụ có tỷ lệ giao tiếp và giải quyết các thắc mắc từ khách hàng nhiều hơn các doanh nghiệp kinh doanh các lĩnh vực khác Đây là yếu tố quan trọng ảnh hưởng lớn đến hệ thống kiểm soát nội bộ và quản trị rủi ro ở các doanh nghiệp dịch vụ

Sản phẩm dịch vụ được tạo ra là kết quả của chuỗi phối hợp nhiều hoạt động của nhiều đối tượng tham gia khác nhau Dịch vụ cũng có thể là tập hợp của nhiều hoạt động dịch vụ nhỏ có mối quan hệ mật thiết với nhau, tác động lẫn nhau, bổ sung cho nhau trong quá trình tạo ra lợi ích cho khách hàng Vấn đề là mỗi doanh nghiệp dịch vụ cần phải biết khéo léo kết hợp các loại dịch vụ khác nhau đó để tạo ra cho mình một tập hợp dịch vụ tương đối hoàn chỉnh phù hợp với những thế mạnh của mình, đồng thời đáp ứng tốt nhất nhu cầu có tính đặc thù của từng thị trường mục tiêu

mà doanh nghiệp đã lựa chọn Mặt khác, do thị trường luôn thay đổi, đòi hỏi doanh nghiệp phải thiết thế một cấu trúc dịch vụ sao cho có thể điều chỉnh linh hoạt theo sự thay đổi nhu cầu và thị hiếu của khách hàng để tránh lãng phí vì chi phí thiết kế dịch

vụ mới thường rất tốn kém Đây là thử thách cho các nhà quản lý trong việc tạo ra sự phối hợp nhịp nhàng giữa các phòng ban trong doanh nghiệp dịch vụ

Qua đó cho thấy các đặc điểm nêu trên có ảnh hưởng đến các bộ phận cấu thành hệ thống kiểm soát nội bộ Vì vậy, khi nghiên cứu hoàn thiện hệ thống kiểm soát nội bộ theo hướng nâng cao năng lực quản trị rủi ro tại các doanh nghiệp dịch vụ cần thiết tập trung vào các đặc điểm này nhằm ngăn chặn, phòng ngừa các rủi ro có thể phát sinh; mặt khác, giúp doanh nghiệp tạo lợi thế cạnh tranh thông qua hệ thống kiểm soát hiệu quả

KẾT LUẬN CHƯƠNG 1:

Đề tài đã trình bày một cách khái quát các lý luận cơ bản về hệ thống kiểm soát nội

bộ theo Báo cáo COSO năm 2004 và tổng quan về quản trị rủi ro doanh nghiệp Về hệ thống kiểm soát nội bộ bao gồm: Lịch sử hình thành, Khái niệm kiểm soát nội bộ và

hệ thống kiểm soát nội bộ, Các nhân tố cấu thành hệ thống kiểm soát nội bộ theo COSO 2004, Lợi ích và hạn chế của hệ thống kiểm soát nội bộ Về tổng quan về quản trị rủi ro bao gồm: Lịch sử hình thành các lý thuyết về quản trị rủi ro, Khái niệm về quản trị rủi ro doanh nghiệp, Các nội dung của quản trị rủi ro doanh nghiệp, Lợi ích và hạn chế của quản trị rủi ro doanh nghiệp Bên cạnh đó, đề tài còn đề cập đến: Mối quan hệ giữa hệ thống kiểm soát nội bộ với vấn đề quản trị rủi ro trong doanh nghiệp, Những đặc điểm của doanh nghiệp dịch vụ ảnh hưởng đến hệ thống kiểm soát nội bộ

hệ thống kiểm soát nội bộ theo hướng nâng cao năng lực quản trị rủi ro tại các doanh

nghiệp dịch vụ trên địa bàn TP.HCM

Các doanh nghiệp dịch vụ khác nhau sẽ xây dựng cho chính bản thân doanh nghiệp mình một hệ thống kiểm soát nội bộ khác nhau để quản lý hiệu quả các rủi ro phát sinh Khuôn mẫu thiết lập hệ thống kiểm soát nội bộ tích hợp với quản trị rủi ro hiệu quả theo báo cáo COSO năm 2004 là dựa vào 8 yếu tố như: Môi trường quản lý, Thiết lập mục tiêu, Nhận dạng sự kiện tiềm tàng, Đánh giá rủi ro, Phản ứng với rủi ro, Hoạt động kiểm soát, Thông tin và truyền thông, Giám sát

Xây dựng hệ thống kiểm soát nội bộ theo hướng tập trung vào quản trị rủi ro

sẽ góp phần hoàn thiện các chính sách và thủ tục kiểm soát, tạo lập sự phù hợp giữa lựa chọn chiến lược và mức rủi ro có thể chấp nhận, làm tăng hiệu quả đối với việc phản ứng với rủi ro, giảm thiểu tổn thất bất ngờ trong quá trình hoạt động Từ đó giúp doanh nghiệp có cách nhìn nhận mới và hoàn thiện hệ thống kiểm soát nội bộ của mình để phục vụ tốt hơn trong công tác quản lý