Các giải pháp hoàn thiện công tác quản trị rủi ro tại VNPT tuyên quang

Do vậy, họ nhận ra rằng việc thiết lập một hệ thống cảnh báo và kiểm soát rủi ro nội tại trong doanh nghiệp là vô cùng quan trọng bởi vì những rủi ro nội tại này thường chiếm một tỷ trọn

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

NGUYỄN TRUNG HIẾU

CÁC GIẢI PHÁP HOÀN THIỆN CÔNG TÁC QUẢN TRỊ RỦI RO TẠI VNPT TUYÊN QUANG

LUẬN VĂN THẠC SĨ KỸ THUẬT NGÀNH: QUẢN LÝ KINH TẾ

HÀ NỘI - NĂM 2019

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

NGUYỄN TRUNG HIẾU

CÁC GIẢI PHÁP HOÀN THIỆN CÔNG TÁC QUẢN TRỊ RỦI RO TẠI VNPT TUYÊN QUANG

Ngành: Quản lý kinh tế

LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC

PGS.TS: Bùi Xuân Hồi

HÀ NỘI - NĂM 2019

i

LỜI CAM ĐOAN

Tôi xin cam đoan Luận văn này là công trình nghiên cứu của cá nhân tôi từ những kiến thức có được trong quá trình học tập, công tác và dưới sự hướng dẫn tận tình của PGS.TS Bùi Xuân Hồi

Các dữ liệu sử dụng để sử dụng trong luận văn này là hoàn toàn hợp lệ, có nguồn gốc đầy đủ, rõ ràng

TÁC GIẢ

Nguyễn Trung Hiếu

ii

LỜI CẢM ƠN

Trong suốt thời gian học tập và hoàn thành luận văn, tôi đã được sự hướng dẫn, giúp đỡ quý báu và tận tình của các thầy cô giáo trường Đại học Bách khoa Hà Nội Trường hết, tôi xin chân thành cảm ơn Ban Giám hiệu, các thầy cô giáo trường Đại học Bách Khoa Hà Nội đã tận tình dạy bảo trong suốt thời gian học tập

Xin chân thành cảm ơn PGS.TS Bùi Xuân Hồi đã giành nhiều thời gian và tâm huyết hướng dẫn nghiên cứu, giúp đỡ tôi hoàn thành luận văn

Tôi xin chân thành cảm ơn các thầy cô giáo Viện Đào tạo sau đại học và Viện Kinh

tế & Quản lý Trường Đại học Bách khoa Hà Nội về những ý kiến đóng góp cho luận văn

Cuối cùng, tôi xin chân thành cảm ơn Ban Giám đốc cùng toàn thể nhân viên VNPT Tuyên Quang đã giúp đỡ và tạo điều kiện thuận lợi cho tôi trong suốt quá trình học tập, thu thập số liệu để nghiên cứu hoàn thành luận văn

TÁC GIẢ

Nguyễn Trung Hiếu

iii

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CẢM ƠN ii

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ, BẢNG vi

CÁC KÝ HIỆU, CHỮ VIẾT TẮT vii

PHẦN MỞ ĐẦU 1

CHƯƠNG 1 4

MỘT SỐ LÝ LUẬN CƠ BẢN VỀ CÔNG TÁC QUẢN TRỊ RỦI RO TRONG DOANH NGHIỆP 4

1.1 CÁC KHÁI NIỆM CƠ BẢN 4

1.1.1 Rủi ro 4

1.1.1.1 Khái niệm về rủi ro 4

1.1.1.2 Đặc điểm của rủi ro 4

1.1.2 Rủi ro trong kinh doanh 4

1.1.3 Phân loại rủi ro trong kinh doanh 6

1.1.3.1 Theo quan điểm kinh tế học 6

1.1.3.2 Theo khả năng kiểm soát rủi ro 6

1.1.3.3 Theo quan điểm bên trong và bên ngoài doanh nghiệp 6

1.1.3.4 Theo các mảng hoạt động của doanh nghiệp 6

1.1.4 Nguồn gốc rủi ro trong doanh nghiệp 7

1.2 KHÁI QUÁT QUẢN TRỊ RỦI RO DOANH NGHIỆP 7

1.2.1 Khái niệm Quản trị rủi ro doanh nghiệp 7

1.2.2 Sự cần thiết của QTRRDN 8

1.2.3 Vai trò của QTRRDN 8

1.3 NỘI DUNG QUY TRÌNH QUẢN TRỊ RỦI RO DOANH NGHIỆP 9

1.3.1 Xác định bối cảnh 9

1.3.1.1 Xác định chiến lược QTRRDN 10

1.3.1.2 Xây dựng và cập nhật tuyên bố về Khẩu vị rủi ro và Thước đo rủi ro 11

1.3.2 Xây dựng và cập nhật hồ sơ rủi ro 14

1.3.2.1 Nhận diện rủi ro 15

1.3.2.2 Phân tích rủi ro 17

1.3.2.3 Đánh giá rủi ro 20

1.3.2.4 Xử lý rủi ro 23

1.3.3 Trao đổi thông tin và tham vấn 26

iv

1.3.4 Theo dõi và xem xét đánh giá rủi ro 26

1.3.5 Xây dựng và áp dụng Chỉ số cảnh báo rủi ro chủ chốt (KRIs) 27

1.3.5.1 Định nghĩa 27

1.3.5.2 Cách thức xây dựng Chỉ số cảnh báo rủi ro (KRIs) 27

1.4 CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN QTRRDN 29

1.4.1 Các yếu tố thuộc môi trường bên ngoài 29

1.4.2 Các yếu tố thuộc môi trường nội bộ: 30

1.5 KINH NGHIỆM QTRR TẠI MỘT SỐ DOANH NGHIỆP VÀ BÀI HỌC CHO VNPT TUYÊN QUANG 31

1.5.1 Kinh nghiệp quản trị rủi ro tại một số doanh nghiệp 31

1.5.2 Bài học cho VNPT Tuyên Quang 35

CHƯƠNG 2 37

PHÂN TÍCH THỰC TRẠNG QUẢN TRỊ RỦI RO TẠI VNPT TUYÊN QUANG 37

2.1 Khái quát về VNPT Tuyên Quang 37

2.1.1 Quá trình hình thành và phát triển 37

2.1.2 Chức năng, nhiệm vụ 38

2.1.3 Mô hình, tổ chức bộ máy 39

2.1.4 Dịch vụ kinh doanh cung cấp cho khách hàng 40

2.1.5 Kết quả sản xuất kinh doanh giai đoạn 2014-2018 41

2.2 Khái quát quản trị rủi ro doanh nghiệp tại Tập đoàn VNPT 41

2.2.1 Khung QTRRDN và các bước chính trong Quy trình QTRRDN của tập đoàn VNPT 41

2.2.2 Các đơn vị và cá nhân tham gia vào quy trình QTRRDN của Tập đoàn VNPT 42

2.2.3 Các nội dung QTRRDN tập đoàn VNPT đã triển khai tới các đơn vị thành viên 43

2.3 Hiện trạng công tác QTRRDN tại VNPT Tuyên Quang 44

2.3.1 Ban hành các quy định về QTRRDN tại VNPT Tuyên Quang 44

2.3.2 Bộ máy QTRRDN tại VNPT Tuyên Quang 45

2.3.3 Phân tích hiện trạng các nội dung QTRRDN VNPT Tuyên Quang 46

2.3.3.1 Xác định bối cảnh 46

2.3.3.2 Xây dựng Hồ sơ rủi ro và Danh mục rủi ro trọng yếu hàng đầu của đơn vị 48

2.3.3.2 Tổng hợp kế hoạch hành động xử lý rủi ro 54

2.3.3.3 Về lập các báo cáo QTRRDN 55

v

2.3.3.4 Về truyền thông, tham vấn và Đào tạo 55

2.3.3.5 Xây dựng và áp dụng Chỉ số cảnh báo rủi ro chủ chốt (KRIs) 57

CHƯƠNG 3 62

CÁC GIẢI PHÁP HOÀN THIỆN CÔNG TÁC QUẢN TRỊ RỦI RO 62

CỦA VNPT TUYÊN QUANG 62

3.1 Định hướng phát triển của VNPT Tuyên Quang 62

3.2 Một số giải pháp nhằm hoàn thiện công tác QTRRDN tại VNPT Tuyên Quang 63

KẾT LUẬN 71

TÀI LIỆU THAM KHẢO 72

Phụ lục 1 Quy trình nhận diện, phân tích, đánh giá và xử lý rủi ro đột xuất (QT1) 74

Phụ lục 2 Quy trình lập báo cáo tiến độ kế hoạch hành động QTRRDN tháng (QT2) 75 Phụ lục 3 Quy trình nhận diện, phân tích, đánh giá và xử lý rủi ro quý (QT3) 76

Phụ lục 4 Quy trình lập báo cáo QTRRDN quý (QT4) 77

Phụ lục 5 Quy trình lập báo cáo QTRRDN năm (QT5) 78

Phụ lục 6 Mẫu Phiếu đánh giá rủi ro - BM2 80

Phụ lục 7 Mẫu phiếu Hồ sơ rủi ro – BM1 81

Phụ lục 8 Mẫu Báo cáo tiến độ thực hiện kế hoạch hành động QTRRDN – BM4 82

Phụ lục 9 Mẫu Báo cáo QTRRDN Quý - BM5 83

Phục lục 10 Mẫu Báo cáo QTRRDN năm BM5 89

Phục lục 11 PHIẾU ĐIỀU TRA TRẮC NGHIỆM 97

Phục lục 12 KẾT QUẢ KHẢO SÁT, ĐIỀU TRA 99

vi

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ, BẢNG

Hình 1 1 Lưu đồ quy trình quản trị rủi ro doanh nghiệp 9

Hình 1 2 Mô hình khái quát hóa phương pháp xây dựng thước đo rủi ro 12

Hình 1 3 Quy trình phân tích rủi ro 17

Hình 1 4 Xác định mức độ trọng yếu của rủi ro 21

Hình 1 5 Các bước xác định và xây dựng KRIs 27

Hình 1 6 Áp dụng KRIs cho các mục tiêu 28

Hình 2 1 Trụ sở làm việc của VNPT Tuyên Quang 37

Hình 2 2 Sơ đồ tổ chức của VNPT Tuyên Quang 39

Hình 2 3 Khung Quy trình QTRRDN của Tập đoàn VNPT 42

Hình 2 4 Mô hình tổ chức bộ máy QTRRDN của VNPT Tuyên Quang 45

Bảng 1 Kết quả chỉ tiêu sản xuất kinh doanh chính giai đoạn 2014-2018 41

Bảng 2 Khả năng áp dụng các công cụ sử dụng trong đánh giá rủi ro 95

vii

CÁC KÝ HIỆU, CHỮ VIẾT TẮT

1 QTRRDN Quản trị rủi ro doanh nghiệp

5 BSC Balance Score Card - Thẻ điểm cân bằng

7 KPI Key performance Indicators - Chỉ số đo lường hiệu suất

8 KRIs Key Risk Indicators – Chỉ số cảnh báo rủi ro

10 Phòng KHKT Phòng Kế hoạch Kế toán

11 Phòng KTĐT Phòng Kỹ thuật Đầu tư

12 Phòng NSTH Phòng Nhân Sự Tổng hợp

13 Tập đoàn VNPT Tập đoàn Bưu chính Viễn thông Việt Nam

14 VNPT Tuyên Quang Viễn thông Tuyên Quang

15 VT-CNTT Viễn thông – công nghệ thông tin

1

PHẦN MỞ ĐẦU 1.Tính cần thiết của đề tài

Trên thế giới, quản trị doanh nghiệp trở nên phổ biến từ đầu thập kỉ 90 của thế

kỷ trước Đặc biệt đối với các nước châu Á sau cuộc khủng hoảng tài chính năm 2008, các doanh nghiệp đã nhận thức được tầm quan trọng và giảm thiểu rủi ro trong quá trình vận hành khi áp dụng nguyên tắc quản trị công ty tốt, trong đó quản trị rủi ro là trọng tâm Đồng thời xu thế hội nhập kinh tế làm cho hoạt động kinh doanh của doanh nghiệp không còn bó hẹp trong phạm vi mỗi nước mà đã vượt qua biên giới quốc gia

để hòa vào dòng chảy kinh tế khu vực và thế giới, bối cảnh hội nhập kinh tế quốc tế một mặt mang đến cho doanh nghiệp thêm nhiều cơ hội nhưng bên cạnh đó cũng phải đối mặt với những rủi ro trong hoạt động sản xuất kinh doanh Vài thập niên gần đây, nền kinh tế thế giới có những bước tăng trưởng đột phá cộng với sự bùng nổ của cuộc cách mạng CN 4.0 tạo nên mối liên hệ phụ thuộc lẫn nhau ngày càng mật thiết giữa thị trường trong nước và quốc tế, mối quan hệ mật thiết này làm gia tăng rủi ro Đồng thời,

sự cạnh tranh ngày càng gay gắt chính là một hệ quả tất yếu của quá trình hội nhập kinh

tế quốc tế và nó cũng vừa là cơ hội vừa là thách thức lớn cho bất kỳ doanh nghiệp hay

tổ chức nào ở Việt Nam Một trong những vấn đề là khi doanh nghiệp tham gia thương trường phải luôn chấp nhận và đối mặt với rất nhiều nguy cơ rủi ro, tổn thất về tinh thần, tài sản … Do vậy, quản trị rủi ro trong hoạt động kinh doanh ngày càng trở nên quan trọng đối với từng doanh nghiệp Quản trị rủi ro công cụ quản trị quan trọng trong quản trị doanh nghiệp và quản trị chiến lược quan trọng giúp người quản trị Doanh nghiệp ra quyết định chính xác, nhanh chóng và hiệu quả

VNPT Tuyên Quang là đơn vị hàng đầu trong kinh doanh và cung cấp các dịch Viễn thông và Công nghệ thông tin trên địa bàn tỉnh Tuyên Quang như: dịch vụ di động Vinaphone, Internet cáp quang FireberVNN, Truyền hình MyTv… Cung cấp các giải pháp chính phủ điện từ và giải pháp doanh nghiệp trong lĩnh vực CNTT như: phần mềm Quản lý văn bản VNPT iOffice, phần mềm một cửa điện tử VNPT iGate, phần mềm quản lý cán bộ công chức viên chức, hóa đơn điện tử, chữ ký số …

Hiện tại trên địa bàn Tuyên Quang diễn ra cạnh tranh giữa các nhà mạng để phát triển thuê bao và tăng thị phần ngày càng khốc liệt Xu hướng và thói quen tiêu dùng thay đổi, môi trường kinh từ dịch vụ truyền thống đến những dịch vụ CNTT luôn diễn

ra trong môi trường cạnh tranh quyết liệt; dịch vụ truyền thống xu hướng giảm, dịch vụ

di động bão hòa; yêu cầu của khách hàng đối với các dịch vụ băng rộng ngày càng cao, các dịch vụ CNNT gặp nhiều khó khăn do các nguyên nhân khách quan và từ phía đối thủ; và yêu cầu chuyển dịch từ kinh doanh các dịch vụ truyền thống sang phát triển các dịch vụ số, tiện ích trên nền tảng giá trị gia tăng

Với việc cạnh tranh quyết liệt dẫn đến có nhiều rủi do trong hoạt động của doanh nghiệp như: quản trị nội bộ, triển khai đầu tư hiệu quả, chính sách giá cước, chất lượng phát triển thuê bao… Tập đoàn VNPT đã nghiên cứu và thuê tư vấn quốc tế EY triển khai công tác quản trị rủi ro tại tập đoàn từ đầu năm 2017 và triển khai xuống các đơn

vị thành viên trong đó có VNPT Tuyên Quang với mục tiêu giúp cho các đơn vị giảm thiểu các rủi ro trong hoạt động và phát triển bền vững Để triển khai sâu rộng và hiệu quả đi đúng hướng mục tiêu của Tập đoàn VNPT trong công tác quản trị rủi ro em đã tiến hành nghiên cứu đề tài: “Các giải pháp hoàn thiện công tác quản trị rủi ro tại VNPT Tuyên Quang” làm đề tài khóa luận tốt nghiệp của mình

2 Tổng quan tình hình nghiên cứu có liên quan đến đề tài

Trong những năm gần đây, quản trị rủi ro đã và đang ngày càng được quan tâm

và trở thành vấn đề sống còn đối với các doanh nghiệp Việt Nam Nhưng câu hỏi đặt ra

là làm thế nào để doanh nghiệp có thể làm tốt được công tác quản trị rủi ro, do vậy số lượng đề tài nghiên cứu về vấn đề này cũng tương đối lớn Có thể kể ra một số đề tài như:

Đề tài: “Hoàn thiện công tác quản trị rủi ro tại công ty Cổ phần CPIT” của Mai

Thị Hồng, Khoa Quản Trị Doanh Nghiệp Thương Mại, Trường Đại học Thương mại, năm 2015

Tác giả nghiên cứu về lý thuyết quản trị rủi ro và nghiên cứu các rủi ro trong hoạt động sản xuất kinh doanh các phần mềm, rủi ro do các đối thủ cạnh tranh trong cùng lĩnh vực và để xuất các giải pháp hoàn thiện công tác quản trị rủi ro tại công ty Cổ phần CPIT

Đề tài: “Hoàn thiện công tác quản trị rủi ro tại công ty TNHH Hoàng Vũ” Luận

văn thạc sỹ, Lê Thị Hồng Phượng, Khoa Quản Trị Doanh Nghiệp Thương Mại, Trường Đại học Thương mại, năm 2015

Tác giả tập trung phân tích những rủi ro và đưa ra các kết luận và đề xuất kiểm soát rủi ro trong hoạt động sản xuất kinh doanh của Công ty TNHH Hoàng Vũ

Đề tài: “Hoàn thiện công tác quản trị rủi ro trong công ty Cổ phần tích hợp công

nghệ Intek” Luận văn tốt nghiệp, Lê Thị Lan, Khoa Quản Trị Doanh Nghiệp Thương Mại, Trường ĐHTM, năm 2013

Tác giả đã đưa ra một số lý luận về rủi ro, phòng ngừa và giảm thiểu những tổn thất trong quá trình mua thiết bị điện tử, chuyển giao công nghệ trong lĩnh vực truyền thanh và truyền trình tại Cổ phần tích hợp công nghệ Intek

Toàn bộ những bài viết, luận văn trên đã đóng góp cho em cơ sở lý luận về lý thuyết quản trị rủi ro trong doanh nghiệp Tuy nhiên, hầu hết các đề tài trên nghiên cứu

về khái niệm, phân loại rủi ro và đưa ra các nội dung các bước về quản trị rủi ro tại doanh nghiệp Tuy nhiên chưa chỉ ra được các bước và các quy trình cụ thể cần phải thực hiện trong một doanh nghiệp Và chưa có bài viết nào, đề tài nào nghiên cứu về

“Các giải pháp hoàn thiện công tác quản trị rủi ro tại VNPT Tuyên Quang”

3 Mục tiêu nghiên cứu:

Mục tiêu chính: Đề xuất các giải pháp để hoàn thiện công tác quản trị rủi ro tại VNPT Tuyên Quang

3

Các mục tiêu bổ sung:

- Hệ thống hóa và phát triển các vấn đề lý luận và thực tiễn về quản trị rủi ro trong lĩnh vực sản xuất kinh doanh các dịch vụ viễn thông

- Làm rõ hiện trạng công tác quản trị rủi ro tại VNPT Tuyên quang

4 Đối tượng và phạm vi nghiên cứu:

- Đối tượng nghiên cứu: Công tác quản trị rủi ro tại các doanh nghiệp sản xuất kinh doanh các dịch vụ viễn thông

- Phạm vi nghiên cứu:

+ Về không gian: Công tác quản trị rủi ro tại VNPT Tuyên Quang

+ Về thời gian: giai đoạn nghiên cứu hiên trạng giai đoạn 2017-2018, giai đoạn

đề xuất giải pháp từ năm 2019 trở đi

5 Phương pháp nghiên cứu:

Luận văn sử dụng phương pháp thu thập số liệu, thông tin; phương pháp tổng hợp, phương pháp phân tích số liệu; phương pháp đối chiếu, so sánh; sử dụng các chỉ tiêu để đánh giá

- Phương pháp thu thập số liệu, thông tin từ các tài liệu liên quan đến công tác Quản trị rủi ro tại VNPT Tuyên Quang; thu thập thông tin từ các cá nhân và các phòng chức năng, đơn vị SXKD thực hiện công tác quản trị rủi ro tại đơn vị

- Phương pháp so sánh và đối chứng để xử lý số liệu thu thập và đánh giá phân tích các tiêu chí về Quản trị rủi ro đã triển khai tại VNPT Tuyên Quang

6 Kết cấu luận văn

Chương 1: Cơ sở lý luận cơ bản về Quản trị rủi ro trong doanh nghiệp

Chương 2: Phân tích thực trạng Quản trị rủi ro tại VNPT Tuyên Quang

Chương 3: Các giải pháp hoàn thiện công tác Quản trị rủi ro của VNPT Tuyên Quang

CHƯƠNG 1 MỘT SỐ LÝ LUẬN CƠ BẢN VỀ CÔNG TÁC QUẢN TRỊ RỦI RO

TRONG DOANH NGHIỆP 1.1 CÁC KHÁI NIỆM CƠ BẢN

1.1.1 Rủi ro

1.1.1.1 Khái niệm về rủi ro

- Theo từ điển tiếng Việt: Rủi ro là điều không lành, không tốt, bất ngờ xảy đến

- Theo TCVN ISO 31000:2011: Rủi ro là: Tác động của sự không chắc chắn lên mục tiêu

+ Chú thích 1: Tác động là một sai lệch so với dự kiến - tích cực và/hoặc tiêu cực

+ Chú thích 2: Mục tiêu có thể có những khía cạnh khác nhau (như mục tiêu tài chính, sức khỏe, an toàn và môi trường) và có thể áp dụng ở các cấp độ khác nhau (như chiến lược, toàn bộ tổ chức, dự án, sản phẩm và quá trình)

+ Chú thích 3: Rủi ro thường đặc trưng bởi sự dẫn chiếu đến các sự kiện và hệ quả tiềm ẩn, hoặc sự kết hợp giữa chúng

+ Chú thích 4: Rủi ro thường thể hiện bằng sự kết nối giữa các hệ quả của một

sự kiện (bao gồm cả những thay đổi về hoàn cảnh) và khả năng xảy ra kèm theo

+ Chú thích 5: Sự không chắc chắn là tình trạng, thậm chí là một phần, sự thiếu hụt thông tin liên quan tới việc hiểu biết hoặc nhận thức về một sự kiện, hệ quả, hoặc khả năng xảy ra của nó

1.1.1.2 Đặc điểm của rủi ro

Rủi ro có hai đặc điểm chính: tần số và biên độ

- Tần số xảy ra rủi ro: là tiêu chỉ thể hiện tần xuất xảy ra rủi ro

- Biên độ: là tiêu chí thể hiện mức độ tác động

Tần số xảy ra rủi ro sẽ được thể hiện bằng xác xuất của các biến cố còn biên độ

sẽ được thể hiện bằng giá trị của các biến cố

1.1.2 Rủi ro trong kinh doanh

- Rủi ro là khả năng gặp phải những mất mát, thiệt hại Rủi ro bao gồm cả mất mát và cơ hội Các doanh nghiệp đầu tư mạo hiểm được biết đến bởi rủi ro trong hoạt động kinh doanh cũng như khả năng sinh lời lớn của nó Nếu như một dự án hay một lĩnh vực kinh doanh mới có khả năng đem lại nhiều lợi nhuận hơn thiệt hại mà doanh nghiệp theo đuổi một cơ hội, một mục tiêu, một dự án nào đó (tiềm năng sinh lợi) thì cũng có nghĩa doanh nghiệp đo đang đối mặt với cả những rủi ro mất mát Nếu tách rủi

ro ra khỏi hoạt động kinh doanh của doanh nghiệp thì quả thực là một sai lầm nghiêm trọng Rủi ro đem lại cả thiệt hại lẫn cơ hội, cho nên doanh nghiệp cần phải có cái nhìn đúng mực hơn về tầm quan trọng của công tác quản lý rủi ro

5

- Rủi ro gắn với khả năng biến cố không lường trước, biến cố mà ta hoàn toàn không biết chắc Biến cố tương lai là biến cố mà nhà quản lý không thể hoàn toàn biết chắc 100% rằng nó có xảy ra hay không và xảy ra với mức độ như thế nào Nhà quản lý doanh nghiệp chỉ có thể dựa trên cơ sở số liệu thống kê quá khứ và kinh nghiệm thực tiễn để phân tích, phán đoán về xác xuất và mức độ nghiêm trọng của nó, từ đó đưa ra những biện pháp quản lý phù hợp

- Rủi ro nội tại trong doanh nghiệp là khả năng doanh nghiệp có thể gánh chịu thiệt hại trong khi đang thực hiện hoạt động kinh doanh, theo đuổi mục tiêu phát triển hoặc những cơ hội mới mà nguyên nhân phát sinh từ chính bên trong hoạt động và cơ cấu của tổ chức doanh nghiệp Bất kỳ bên trong một doanh nghiệp nào cũng tồn tại những rủi ro nội tại: rủi ro vận hành, rủi ro nhân sự, rủi ro tổ chức quản lý, rủi ro sai sót

cá nhân, rủi ro sản xuất,… Những rủi ro này xuất phát từ chính những nguyên nhân bên trong doanh nghiệp và nó ảnh hưởng không nhỏ đến sự ổn định trong quá trình phát triển của doanh nghiệp Nhà quản lý doanh nghiệp thường xuyên phải làm việc và ra quyết định trong tình trạng thiếu thông tin, thiếu tài nguyên, nguồn lực và nguy cơ phải gánh chịu những rủi ro không lường trước Do vậy, họ nhận ra rằng việc thiết lập một

hệ thống cảnh báo và kiểm soát rủi ro nội tại trong doanh nghiệp là vô cùng quan trọng bởi vì những rủi ro nội tại này thường chiếm một tỷ trọng cao trong tổng số rủi ro mà một doanh nghiệp có thể phải đối mặt trong suốt quá trình hoạt động khinh doanh của mình, đồng thời thiệt hại mà nó gây ra có ảnh hưởng xuyên suốt toàn hệ thống gây thiệt hại không nhỏ Rủi ro nội tại thường được xử lý bởi những giải pháp tức thời hoặc trung hạn (nâng cao tỷ lệ dự trữ tiền mặt nhằm đối phó với những khả năng phải thanh toán các khoản nợ ngắn hạn hoặc khách hàng trả lại hàng, đòi lại tiền khi sản phẩm mới thất bại…) Tuy nhiên có nhiều rủi ro nội tại xuất phát từ những vấn đề đòi hỏi phải có giải pháp dài hạn (sự thiếu thốn về cơ sở hạ tầng, yếu kém trong dây chuyền vận hành,…) Hoặc những rủi ro có khả năng phát sinh do mâu thuẫn giữa mục tiêu phát triển dài hạn với những hoạt động ngắn hạn của doanh nghiệp Có thể trong ngắn hạn doanh nghiệp

ưu tiên mục tiêu tạo dựng hình ảnh, trả cổ tức cao cho cổ đông, tuy nhiên về dài hạnh, việc liên tục trả cổ tức cao trong khi doanh nghiệp còn non trẻ sẽ dẫn đến thiết hụt nguồn vốn cho hoạt động đầu tư, từ đó dẫn đến kết quả doanh nghiệp có thể sẽ phải gánh chịu nhiều rủi ro ập đến: cơ cấu tổ chức lạc hậu, công nghệ lỗi thời, nhân lực già cỗi, kém năng động,… làm giảm khả năng hoạt động của cả doanh nghiệp trong dài hạn, giảm khả năng cạnh tranh, có nguy cơ dẫn đến sụp đổ

- Rủi ro bên ngoài doanh nghiệp là khả năng doanh nghiệp có thể phải gánh chịu thiệt hại trong khi đang thực hiện hoạt động kinh doanh, theo đuổi mục tiêu phát triển hoặc những cơ hội mới mà nguyên nhân phát sinh từ sự bất ổn và tính biến đổi không ngừng của môi trường bên ngoài Môi trường bên ngoài doanh nghiệp luôn luôn tồn tại những rủi ro bất khả kháng, những rủi ro nằm ngoài kiểm soát và ý muốn của doanh nghiệp, đó là những rủi ro bên ngoài doanh nghiệp Những rủi ro này thường khó dự đoán và kiểm soát hơn rủi ro nội tại

1.1.3 Phân loại rủi ro trong kinh doanh

1.1.3.1 Theo quan điểm kinh tế học

Rủi ro bao gồm ba loại cơ bản: rủi ro tài sản; rủi ro nhân lực và rủi ro pháp lý

- Rủi ro tài sản là các đối tượng có thể được lợi hoặc chịu tổn thất về tài sản vô hình hoặc hữu hình Tài sản có thể bị ảnh hưởng, tổn thất, hư hại, giảm giá,… bằng nhiều nguyên nhân khác nhau

- Rủi ro nguồn nhân lực là tất cả các rủi ro có ảnh hưởng đến yếu tố con người của tổ chức Rủi ro có thể gây ảnh hưởng, mất mát, tổn thương hoặc tử vong đối với người lao động trong doanh nghiệp

Rủi ro pháp lý: là các rủi ro có thể gây ảnh hưởng đến doanh nghiệp trên phương diện pháp luật, các chính sách, quy định, thủ tục,… do nhà nước ban hành

1.1.3.2 Theo khả năng kiểm soát rủi ro

Được phân làm hai loại chính:

- Rủi ro không kiểm soát được: là rủi ro được phát sinh từ môi trường kinh doanh bên ngoài mà không một chốt kiểm soát nào của doanh nghiệp có thể làm giảm thiểu hoặc ngăn chặn được khả năng xảy ra của rủi ro như: thiên tai, giông bão, chiến tranh, dịch bệnh, pháp luật… Tuy nhiên tác động của rủi ro này có thể giảm thiểu thông qua một số biện pháp xử lý rủi ro như ngừng hoạt động, mua bảo hiểm,…

- Rủi ro kiểm soát được: là rủi ro phát sinh từ việc gián đoạn hoạt động kinh doanh do các yếu kém, thiếu hụt trong hệ thống kiểm soát nội bộ, hệ thống thông tin và nhân sự Tác động và khả năng xảy ra của rủi ro này có thể giảm thiểu thông qua các biện pháp xử lý như tránh, giảm thiểu, chuyển và chấp nhận rủi ro Ví dụ hoạt động quá công suất cho phép, vượt định mức chi phí sản xuất, phàn nàn từ khách hàng,…

1.1.3.3 Theo quan điểm bên trong và bên ngoài doanh nghiệp

- Rủi ro bên trong doanh nghiệp, bao gồm: vận hành; quản lý quy trình hoạt động; quản lý quy trình thực hiện và trong hoạt động của dự án; Mô hình tổ chức doanh nghiệp; tài chính; sản phẩm; kế hoạch tăng trưởng của doanh nghiệp

- Rủi ro bên ngoài doanh nghiệp, bao gồm: Khách hàng; Đối thủ cạnh tranh; Luật pháp và tình hình chính trị

1.1.3.4 Theo các mảng hoạt động của doanh nghiệp

- Rủi ro chiến lược: Rủi ro về mục tiêu chiến lược, các điều kiện vĩ mô, xu hướng của nền kinh tế thế giới, khu vực, quốc gia, địa phương, các chính sách chính trị, luật pháp…

- Rủi ro vận hành: Rủi ro liên quan đến cơ cấu tổ chức, hệ thống, quy trình, công nghệ và con người

- Rủi ro tài chính: Rủi ro liên quan đến sức khỏe tình hình tài chính doanh nghiệp, các biến động tỷ giá, tiền tệ, lãi suất, tín dụng…

7

- Rủi ro pháp lý: Rủi ro liên quan đến pháp luật, tình hình tuân thủ các quy định,

vi phạm về thuế…

- Rủi ro xã hội: là thiệt hại liên quan đến các vấn đề bất ổn trong xã hội

1.1.4 Nguồn gốc rủi ro trong doanh nghiệp

Nguồn của rủi ro là những tác nhân chính gây nên rủi ro Xét trên quan điểm vĩ

mô, nguồn của rủi ro bao gồm những nguyên chính như sau:

- Môi trường vật chất: Bao gồm toàn bộ các yếu tố vật chất bao quanh doanh nghiệp như: nhà xưởng, máy móc, trang thiết bị,…

- Môi trường kinh tế: Tình hình phát triển, mức độ ổn định, tốc độ tăng trưởng, tình hình lạm phát, trình trạng suy thoái, việc thông thương, chu chuyển, giao lưu buôn bán, mức độ cạnh tranh, cung - cầu của nền kinh tế,…

- Môi trường chính trị: Bao gồm tổng thể các biện pháp, chính sách, hoạt động,… của Nhà nước đến các môi trường khác cũng như trực tiếp đối với doanh nghiệp

- Hệ thống luật pháp: Rủi ro đến từ các sơ hở, bất cập, chồng chéo trong hệ thống luật pháp, làm ảnh hưởng đến doanh nghiệp

- Môi trường vận hành, hoạt động của doanh nghiệp: Trong quá trình hoạt động luôn tồn tại những biến cố bất trắc mà doanh nghiệp không thể lường trước được, các nhân tố đó có thể gây ra ảnh hưởng tới quá trình hoạt động của doanh nghiệp

- Môi trường xã hội: Sự thay đổi các chuẩn mực đạo đức, hành vi con người, hành vi tiêu dùng, cấu trúc xã hội, các định chế xã hội,…

- Môi trường thông tin và vấn đề nhận thức: Mất ổn định và thiếu tính chính xác trong quá trình doanh nghiệp công bố cũng như thu thập thông tin,… Các vấn đề nhận thức của con người thay đổi ảnh hưởng tới hoạt động doanh nghiệp đang thực hiện

1.2 KHÁI QUÁT QUẢN TRỊ RỦI RO DOANH NGHIỆP

1.2.1 Khái niệm Quản trị rủi ro doanh nghiệp

Quản trị rủi ro doanh nghiệp là một hệ thống quy trình nhận diện, phân tích, đánh gia, xử lý, giám sát và xoát xét, truyền thông và tham vấn rủi ro trong doanh nghiệp nhằm đưa ra các biện pháp quản trị rủi ro hay còn gọi là kế hoạch hành động quản trị rủi

ro cần thiết để đạt được các mục tiêu của doanh nghiệp và phù hợp với khẩu vị rủi ro/mức độ chấp nhận rủi ro của doanh nghiệp (Tập đoàn VNPT (2017), Cẩm nang hướng dẫn QTRRDN)

QTRRDN là một phương pháp tiếp cận có hệ thống và có nguyên tắc QTRRDN liên kết chiến lược, quy trình, con người, văn hóa, công nghệ và quản trị doanh nghiệp nhằm đánh giá và quản lý sự bất ổn mà doanh nghiệp gặp phải trong quá trình hoạt động QTRRDN nhằm quản lý các rủi ro và cơ hội trọng yếu để tối đa hóa các giá trị mang lại cho chủ sở hữu

Theo tổ chức COSO (Committee Of Sponsoring Organization), QTRRDN là:

“một quy trình được thiết lập bởi hội đồng quản trị, ban quản lý và các cán bộ có liên quan khác áp dụng trong quá trình xây dựng chiến lược doanh nghiệp, thực hiện xác

định những biến cố có khả năng gây ảnh hưởng đến doanh nghiệp, đồng thời quản lý rủi

ro trong phạm vi cho phép nhằm đưa ra mức độ đảm bảo trong việc đạt được mục tiêu của doanh nghiệp”

1.2.2 Sự cần thiết của QTRRDN

Quản trị rủi ro doanh nghiệp là một phần không thể tách rời trong công tác quản trị doanh nghiệp do rủi ro luôn tiềm ẩn trong mọi hoạt động sản xuất kinh doanh và có nguy cơ ảnh hưởng đến việc hoàn thành mục tiêu chiến lược và hoạt động sản xuất kinh doanh của doanh nghiệp Chiến lược của doanh nghiệp sẽ được xem là không đầy đủ nếu thiếu đi nhiệm vụ quản trị rủi ro

Trong tình hình cạnh tranh gay gắt trên thị trường hiện nay, các doanh nghiệp cần thường xuyên đổi mới, sáng tạo để tạo sản phẩm mới tạo sự khác biệt thu hút khách hàng Trong quá trình hoạt động đó của doanh nghiệp nếu không thực hiện việc QTRRDN thì có thể dẫn tới thua lỗ , phá sản hoặc phải bán mình… Do đó QTRRDN là một trong những chuẩn quản trị của doanh nghiệp hiện nay

1.2.3 Vai trò của QTRRDN

QTRRDN hiệu quả hỗ trợ doanh nghiệp:

- Nhận diện các rủi ro có ảnh hưởng đến khả năng hoàn thành mục tiêu chiến lược và sản xuất kinh doanh

- Phân tích, đánh giá mực độ trọng yếu để tối ưu hoạt động QTRRDN, tức là doanh nghiệp không quản lý mọi rủi ro

- Truyền thông danh mục rủi ro trọng yếu và các kế hoạch hành động thông qua

cơ chế báo cáo định kỳ hoặc đột xuất

- Phân bổ nguồn lực hiệu quả để giảm thiểu rủi ro

- Giám sát thường xuyên rủi ro và hoạt động quản trị rủi ro tương ứng

Quản trị rủi ro là một bộ phận trong hệ thống quản trị của doanh nghiệp, có vai trò trực tiếp bảo vệ doanh nghiệp trước những biến cố không lường trước, đồng thời bổ trợ cho các hoạt động quản trị khác của doanh nghiệp Đồng thời nó là một công cụ quan trọng để thực hiện chiến lược và đạt được các mục tiêu kinh doanh của doanh nghiệp QTRRDN không vận hành riêng lẻ mà hoạt động kết hợp với các hệ thống quản trị doanh nghiệp khác, cụ thể:

- QTRRDN và Quản trị doanh nghiệp: QTRRDN hỗ trợ tích cực cho quản trị doanh nghiệp bằng cách cung cấp thông tin cho ban Lãnh đạo về các rủi ro trọng yếu và các biện pháp cần thực hiện Nhờ những cảnh báo sớm, QTRRDN giúp quản trị doanh nghiệp hiệu quả hơn thông qua việc chứng minh chủ sở hữu thấy rằng Doanh nghiệp đã nhận biết được các rủi ro có thể xảy ra và các rủi ro đó được kiểm soát

- QTRRDN và Quản lý hiệu quả hoạt động: QTRRDN hỗ trợ Quản lý hiệu quả hoạt động bằng cách xác định các rủi ro có ảnh hưởng đến hiệu quả hoạt động Vì vậy, quản lý hiệu quả hoạt động cần tập trung vào việc cân đối các quyết định kinh doanh và

1.3 NỘI DUNG QUY TRÌNH QUẢN TRỊ RỦI RO DOANH NGHIỆP

Quy trình QTRRDN là một chuỗi các hoạt động tiếp nối nhau nhằm quản trị rủi

ro hiệu quả, từ đó hỗ trợ cho việc thực hiện chiến lược và hoành thành các mục tiêu sản xuất kinh doanh Quy trình QTRRDN cung cấp một phương pháp xác định bối cảnh, nhận diện, phân tích, đánh giá, xử lý, giám sát và soát xét, truyền thông và tham vấn rủi

ro có hệ thống, nhằm hỗ trợ ra quyết định và xử lý kịp thời với các rủi ro và cơ hội phát sinh (Theo cẩm nang hướng dẫn QTRRDN tại Tập đoàn VNPT năm 2017)

Quy trình quản trị rủi ro bao gồm các bước chính như: Xác định bối cảnh, Nhận diện rủi ro, Phân tích rủi ro, Đánh giá rủi ro, Truyền thông và tham vấn, Giám sát và xoát xét rủi ro

(Nguồn: TCVN IOS 31010-2013)

1.3.1 Xác định bối cảnh

Hoạt động xác định bối cảnh bao gồm việc phân tích bối cảnh bên trong, bên ngoài liên quan tới công tác QTRRDN đang tiến hành và xác định các thông số đo lường rủi ro để xây dựng các danh mục rủi ro phù hợp, các chính sách, tiêu chí và quy trình cần thiết nhằm quản trị các rủi ro của doanh nghiệp

Hình 1 1 Lưu đồ các bước trong quy trình quản trị rủi ro doanh nghiệp

Môi trường bên ngoài bao gồm nhưng không giới hạn:

- Môi trường xã hội và văn hóa, chính trị, pháp lý, tài chính, kỹ thuật, kinh tế, tự nhiên và cạnh tranh trong và ngoài nước

- Những xu hướng chính tác động các mục tiêu của tổ chức

- Mối quan hệ với các bên hữu quan bên ngoài, nhận thức và những giá trị của bên hữu quan bên ngoài

Môi trường bên trong bao gồm nhưng không giới hạn:

- Quản trị, cơ cấu tổ chức, vai trò và trách nhiệm

- Các chính sách, mục tiêu và các chiến lược hiện hành để đạt được mục tiêu

- Năng lực, hiểu biết, nguồn lực và kiến thức (vốn, thời gian, con người, các quy trình, hệ thống và kỹ thuật)

- Các mối quan hệ với các bên hữu quan, nhận thức và những giá trị của các bên hưu qua liên quan bên trong và văn hóa doanh nghiệp

- Hệ thống thông tin, luông thông tin và quy trình đưa ra quyết định (chính thức

và không chính thức)

- Các tiêu chuẩn, hướng dẫn và mô hình được áp dụng trong doanh nghiệp

- Xây dựng và duy trì các mối quan hệ

Mục tiêu của quy trình xác định bối cảnh bao gồm việc xây dựng chính sách QTRRDN và xác định các vùng rủi ro Trong đó, chính sách QTRRDN bao gồm nhưng không giới hạn ở các nội dung như chiến lược, định hướng về QTRRDN, Khẩu vị rủi

ro, Thước đo rủi ro phục vụ đánh giá mức độ trọng yếu và các quy đinh liên quan đến hoạt động QTRRDN Thông qua việc xác định bối cảnh, doanh nghiệp sẽ:

- Phân bố nguồn lực hợp lý để quản trị rủi ro; và

- Thiết lập các chính sách nhằm đảm bảo tính cẩn trọng trước khi đưa ra nhận định và xử lý rủi ro, đảm bảo cơ chế quản trị rủi ro đạt hiệu quả cao

1.3.1.1 Xác định chiến lược QTRRDN

Chiến lược QTRRDN được xây dựng trên cơ sở:

- Các thông lệ quản trị tiên tiến về QTRRDN như: COSO – Risk Assessment in Practice, COSO – Enterprise Risk Management – Integrated Frame Work: Application Techniques, ISO 31000:2009, 31010: 2009: giới thiệu phương pháp và quy trình QTRRDN, SSC (State Security Commission of Vietnam) – Quản trị rủi ro doanh nghiệp – Sổ tay hướng dẫn nhận thức quản trị rủi ro…

- Thực trạng và hiệu quả hoạt động của hệ thống QTRRDN tại doanh nghiệp và

so sánh với thông lệ tiên tiến về QTRRDN

- Định hướng chiến lược kinh doanh của doanh nghiệp Các mục tiêu của hệ thống QTRRDN mà ban Lãnh đạo doanh nghiệp mong muốn hướng tới, phù hợp với định hướng chiến lược kinh doanh của doanh nghiệp

11

1.3.1.2 Xây dựng và cập nhật tuyên bố về Khẩu vị rủi ro và Thước đo rủi

ro

a Định nghĩa Thước đo rủi ro

Theo Cẩm nang hướng dẫn QTRRDN của Tập đoàn VNPT năm 2017: Thước đo rủi ro bao gồm các tiêu chí chung, thống nhất dùng để đánh giá, phân loại và xếp hạng rủi ro theo các mức độ khác nhau về mức độ ảnh hưởng của rủi ro và khả năng xảy ra của rủi ro

Thước đo rủi ro là một công cụ quan trọng trong việc đánh giá rủi ro, hỗ trợ đo lường mức độ tác động và khả năng xảy ra của rủi ro được thiết lập dựa trên khả năng (Risk Capacity), mức độ (Risk Appetite), phạm vi (Risk Tolerance) và ngưỡng (Risk Limit) chấp nhận rủi ro của doanh nghiệp thông qua quá trình phân tích định lượng, định tính, khảo sát và đồng thuận từ ban lãnh đạo các cấp trong doanh nghiệp

Bảng thông số đo lường rủi ro tại doanh nghiệp bao gồm:

- Thang đo Mức độ ảnh hưởng (định tính/định lượng): Đo lường mức độ tác động

dự tính của rủi ro khi xảy ra, sau khi đã xem xét đến hiệu quả thiết kế và hiệu quả hoạt động của các kiểm soát đang được áp dụng (nếu có), được phát triển theo các tiêu chí

đã xác định trong Mức độ và phạm vi chấp nhận rủi ro: tài chính, tuân thủ, chất lượng sản phẩm/dịch vụ, thương hiệu, uy tính, hệ thống thiết bị máy móc nhà xưởng, công nghệ thông tin, nhân sự, dự án/chương trình lớn

- Thang đo Khả năng xảy ra: Đo lường tần suất xuất hiện của rủi ro trong tương quan với mức độ kiểm soát hay xử lý rủi ro hiện tại Thang đo rủi ro được xác định dựa trên: xác xuất thống kê dựa trên dữ liệu quá khứ, sự kiện đã từng xảy ra tại doanh nghiệp hay trong ngành, sự thay đổi trong môi trường kinh doanh, pháp luật

b Phương pháp xây dựng thước đo rủi ro

Để xây dựng thước đo rủi ro, cần thực hiện cân đối giữa ngưỡng và mục tiêu chấp nhận rủi ro Đối với tính toán thước đo có thể dựa vào các thang đo BSC/KPI (Balanced Scorecard/ Key Performance Indicators) để xác định thước đo, có thể dựa vào dữ liệu quan sát trong quá khứ để nội suy và phỏng đoán, dự báo, có thể thông qua phỏng vấn các chuyên gia ngành, các chủ sở hữu rủi ro,…

Mô hình khái quát hóa phương pháp xây dựng thước đo rủi ro:

(Nguồn: Cẩm nang QTRRDN Tập đoàn VNPT 2017)

 Xác định Khẩu vị rủi ro

Khẩu vị rủi ro (hay mức độ chấp nhận rủi ro) là mức độ rủi ro mà doanh nghiệp

có khả năng và sẵn sàng chấp nhận để đạt được mục tiêu sản xuất kinh doanh Khẩu vị rủi ro thể hiện quan điểm, thái độ của doanh nghiệp đối với các rủi ro đang phải đối mặt

Cách xác định:

Khẩu vị rủi ro có thể được thể hiện theo hình thức định tính hoặc định lượng, được xác định theo các tiêu chí tài chính (doanh thu, lợi nhuận, vốn) và phi tài chính (tuân thủ, khách hàng, con người, hoạt động) phù hợp với các khu vực rủi ro tương ứng với các mục tiêu chiến lược của doanh nghiệp

Mức độ chấp nhận rủi ro (định lượng) tại doanh nghiệp = Khả năng chấp nhận rủi ro* X% Trong đó, X% là khả năng chịu đựng rủi ro được xác định thông qua việc khảo soát hoặc phỏng vấn hoặc nghiên cứu các quy định về quản lý hiệu quả hoạt động của chủ sở hữu

Khả năng chấp nhận rủi ro (Risk Capacity) về tài chính có thể được Lãnh đạo

doanh nghiệp lựa chọn là một hoặc một số các chỉ tiêu tài chính như tổng vốn chủ sở

Hoạt động

Vốn

Mục tiêu chiến lược

Mức độ rủi ro tổng thể

Chiến lược Tuân thủ

Hoạt động tài chính

Mức độ chấp nhận rủi ro gắn liền với phân

loại rủi ro

Thước đo rủi ro

Cân bằng giữa rủi ro và lợi ích

Phạm vi chấp nhận rủi ro gắn liền với các kế hoạch

và thông số kinh doanh

Nhân

sự

Hệ thống

Uy tín/

thương hiệu

Tuân thủ

Hình 1 2 Mô hình khái quát hóa phương pháp xây dựng thước đo rủi ro

13

hữu, tổng doanh thu, lợi nhuận sau thuế/trước thuế/trước chi phí lãi vai, khấu hao và thuế của một kỳ hoạt động, tổng tài sản,…

Khả năng chấp nhận rủi ro (Risk Capacity) phi tài chính thường bắt đầu với

các tuyên ngôn về mức độ chấp nhận rủi ro như: không chấp nhận việc sự cố gián đoạn hoạt động sản xuất/cung cấp dịch vụ quá 1 giờ, không chấp nhận thiệt hại về con người trong quá trình làm việc, chấp nhận rủi ro khinh doanh cao hơn khi mở ra hoạt động kinh doanh tại thị trường mới,…

Khẩu vị rủi ro/Mức độ chấp nhận rủi ro (Risk appetite) thường thấp hơn Khả năng chấp nhận rủi ro (Risk Capacity) Khả năng chấp nhận rủi ro là tổng giá trị rủi

ro tối đa mà doanh nghiệp có khả năng chấp nhận được

Phạm vi chấp nhận rủi ro (Risk tolerance) là mức độ trọng yếu tối đa của nhóm

rủi ro mà doanh nghiệp sẵn sàng chấp nhận để đạt được chiến lược và mục tiêu SXKD Mức độ này được xác định sao cho khi cộng tất cả các phạm vi chấp nhận rủi ro vẫn đảm bảo doanh nghiệp hoạt động trong mức độ chấp nhận rủi ro của mình Cách xác định Phạm vi chấp nhận rủi ro được chiết khấu từ mức độ chấp nhận rủi và có thể phân

bổ theo chuỗi giá trị hoặc hoạt động kinh doanh chính Ví dụ:

- Tài chính: Phạm vụ chấp nhận rủi ro = Mức độ chấp nhận rủi ro *Y% (Y<100%);

- Phi tài chính được xác định thông quan mục tiêu kinh doanh, chiến lược và kết quả khảo sát với Lãnh đạo các cấp của doanh nghiệp

Ngưỡng chấp nhận rủi ro (Risk Limit) là giá trị phạm vi chấp nhận rủi ro sau

khi được chiết khấu một tỷ lệ nhất định trong việc phân cấp để quản lý rủi ro Theo thông lệ, cách xác định ngưỡng chấp nhận rủi ro được chiết khấu từ phạm vi chấp nhận rủi ro (mức chiết khấu do Lãnh đạo doanh nghiệp quyết định): Ngưỡng chấp nhận rủi ro

= Phạm vi chấp nhận rủi ro *Z% (Z<100%)

 Xác định thước đo rủi ro

Thông qua các tính toán trên, để thiết lập Mức độ tác động của Thước đo rủi ro, cần xem xét ngưỡng chấp nhận rủi ro và phân bổ từng cấp (đơn vị kinh doanh) với các mức độ trọng yếu (%) khác nhau của rủi ro

Riêng đối với Khả năng xảy ra của thước đo rủi ro, tùy thuộc vào mô hình hoạt động, cơ sở dữ liệu thống kê sẵn có mà có cách định lượng/định tính khác nhau cho rủi

ro Khả năng xảy ra bao gồm 4 mức: Rất cao, Cao, Trung bình, Thấp

 Phát triển các vùng rủi ro

Vùng rủi ro cần được xây dựng nhằm đảm bảo việc xác định rủi ro được thực hiện đầy đủ, nhất quán và xuyên suốt tại tất cả các phòng, ban, đơn vị thuộc doanh nghiệp Vùng rủi ro là một hệ thống chuẩn của tất cả các rủi ro hiện tại hoặc có khả năng xảy ra tại tất cả các phòng, ban và là một công cụ hữu ích để liên tục nhận diện danh mục rủi ro của doanh nghiệp và các đơn vị thành viên khi môi trường kinh doanh thay đổi

Vùng rủi ro có thể xây dựng thông qua việc xác định chuỗi giá trị và các quy trình chính, phụ tại các phòng, ban đơn vị thuộc doanh nghiệp; Vùng rủi ro thường chỉ thay đổi khi thay đổi ngành, lĩnh vực hoạt động kinh doanh

1.3.2 Xây dựng và cập nhật hồ sơ rủi ro

Hoạt động xây dựng và cập nhật hồ sơ rủi ro bao gồm các hoạt động: Nhận diện rủi ro, Phân tích rủi ro, Đánh giá rủi ro (sau đây gọi tắt là “Đánh giá rủi ro”) và Xử lý rủi ro đột xuất và định kỳ hàng, quý, năm tại doanh nghiệp

Công cụ để thực hiện “Hoạt động đánh giá và xử lý rủi ro” trong doanh nghiệp được thực hiện thông qua Phiếu đánh giá rủi ro Các phiếu đánh giá rủi ro được tập hợp thành Hồ sơ rủi ro của doanh nghiệp

Phiếu đánh giá rủi ro bao gồm các trường thông tin hỗ trợ cập nhật kết quả công tác Đánh giá rủi ro và xử lý của một rủi ro Dưới đây là mẫu các phiếu sử dụng trong QTRRDN:

 Mẫu Tổng hợp Phiếu đánh giá rủi ro cho các đơn vị cấp 2 (sử dụng cho các

Đơn vị/Phòng/Ban trực thuộc Tập đoàn/Tổng công ty)

Nguyên nhân cốt lõi

Hậu quả

Kiểm soát hiện

có

Loại kiểm soát

Đơn

vị chịu trách nhiệm

Phòng Ban chịu trách nhiệm

KS

Hiệu quả

KS

Mức

độ tác động

Khả năng xảy ra

Mức

độ trọng yếu KHHĐ

Đơn

vị chịu trách nhiệm

Phòng/ Ban chịu trách nhiệm KHHĐ

Thời hạn

Phòng/Ban chịu trách nhiệm KS

15

Mã rủi ro Nguyên nhân cốt lõi Kế hoạch hành động Mã KHHĐ chịu trách Đơn vị

nhiệm

Phòng/Ban chịu trách nhiệm KHHĐ

Hoạt động nhận diện rủi ro là công đoạn mà doanh nghiệp phải rà soát, tìm kiếm

và dự báo các sự kiện bất trắc (rủi ro) có thể xảy đến làm ảnh hưởng đến hoạt động và đạt các mục tiêu kinh doanh của doanh nghiệp Khi nhận diện rủi ro cần ghi nhận các sự kiện cũng như hậu quả của rủi ro Đây là một bước quan trọng trong quy trình đánh giá

tổng thể rủi ro của doanh nghiệp (Theo Cẩm nang QTRR Tập đoàn VNPT 2017)

Về mục đích: mục đích chủ yếu và quan trọng nhất của nhận diện rủi ro chính là nhằm phát hiện các tác nhân nguy hiểm, làm tiền đề để xây dựng chiến lược, biện pháp bảo vệ cho doanh nghiệp

Các phương pháp nhận diện rủi ro có thể bao gồm:

- Các phương pháp dựa trên bằng chứng, ví dụ về các phương pháp này là danh mục kiểm tra và xem xét dữ liệu quá khứ;

- Cách tiếp cận có hệ thống theo nhóm, trong đó một nhóm chuyên gia tuân theo một quá trình hệ thống để nhận diện rủi ro thông qua một bộ hướng dẫn hoặc câu hỏi được kết cấu;

- Kỹ thuật suy luận quy nạp như HAZOP (Hazards and Operability Study)

Có thể sử dụng các kỹ thuật hỗ trợ khác nhau để nâng cao độ chính xác và hoàn chỉnh trong việc nhận diện rủi ro, bao gồm cả động não tập thể và phương pháp luận Delphi

Dù kỹ thuật thực tế được vận dụng là gì, thì điều quan trọng là đưa ra sự thừa nhận về các yếu tố con người và tổ chức khi nhận diện rủi ro Do đó, các yếu tố con người và tổ chức chệch khỏi dự kiến cần nằm trong quá trình nhận diện rủi ro cũng như các sự kiện “phần cứng" hoặc “phần mềm”

Kết quả nhận diện rủi ro được trình bày theo Phiếu đánh giá rủi ro được trình bày trong các trường thông tin chính sau: Mã rủi ro; Tên rủi ro và sự kiện rủi ro; Phân loại rủi ro theo: Loại rủi ro, Vùng rủi ro và Loại rủi ro; Mục tiêu KPOs (Mục tiêu chiến lược) tương ứng; Sự kiện rủi ro; Chủ sở hữu rủi ro Cụ thể như sau:

a Mã rủi ro

Mã rủi ro hỗ trợ công tác truy cứu và lưu trữ dữ liệu rủi ro trong doanh nghiệp Các rủi ro nhận diện sẽ được đặt theo bảng mã quy định của doanh nghiệp

b Tên rủi ro và sự kiện rủi ro

 Tên rủi ro: Ghi nhận tên của rủi ro và mô tả chi tiết rủi ro được nhận diện có ảnh hưởng đến việc hoàn thành mục tiêu đã thiết lập

 Sự kiện rủi ro bao gồm:

- Sự kiện có tác động tiêu cực: là khả năng một sự kiện có thể xảy ra và ảnh hưởng tiêu cựu đến việc hoàn thành mục tiêu của doanh nghiệp, cần các cấp quản lý đánh giá và có biện pháp xử lý

- Sự kiện có tác động tích cực: là các cơ hội hoặc cân bằng lại các tác động tiêu cực

Khi thực hiện nhận diện rủi ro cần phải xem xét bao quát các vấn đề:

(1) Các sự kiện có thể xảy ra làm ảnh hưởng đến việc hoàn thành mục tiêu chiến lược và mục tiêu SXKD: Trong hoạt động kinh doanh, nhiều loại rủi ro khác

nhau có thể xảy ra nhưng không phải rủi ro nào cũng liên quan đến việc hoàn thành các mục tiêu chiến lược và mục tiêu SXKD của doanh nghiệp QTRRDN là công tác quản trị có trọng yếu, vì vậy các rủi ro được nhận diện đều phải được gắn kết với các mục tiêu SXKD của doanh nghiệp Để nhận diện rủi ro một các đầy đủ và tập trung, cần tiến hành sàng lọc rủi ro qua 3 phân tầng:

Phân tầng 1: Các rủi ro xảy ra trong quá trình tổ chức hoạt động của phòng ban, đơn vị (sản xuất, bán hàng cung cấp dịch vụ) thuộc doanh nghiệp

Để xem xét tính hiệu quả hoặc rủi ro có khả năng phát sinh trong quá trình tổ chức hoạt động tại các Phòng/Ban/Đơn vị, cần đánh giá tính hiệu quả và hữu hiệu của 5 yếu tố sau: Tổ chức, Con người, Quy trình và chính sách, Công nghệ và dữ liệu

Phân tầng 2: Các rủi ro đã xảy ra trong quá khứ tại doanh nghiệp hoặc từ các bài học kinh nghiệm trong cùng ngành, lĩnh vực hoạt động

Phân tầng 3: Các rủi ro phát sinh từ biến cố, sự kiện thuộc yếu tố bên ngoài, bao gồm: Kinh tế, Chính trị và pháp luật, Xã hội, Công nghệ

(2) Danh mục rủi ro trọng yếu của ngành

Để đảm bảo danh mục rủi ro được nhận diện đầy đủ, doanh nghiệp cần phải xem xét và đối chiếu thêm các rủi ro ngành để từ đó có cách nhìn tổng quan giữa rủi ro doanh nghiệp đang nhận diện với các vấn đề chung mà các doanh nghiệp hoạt động cùng ngành

đang gặp phải

(3) Chuỗi giá trị:

Tại mỗi phân đoạn trên chuỗi giá trị của toàn doanh nghiệp luôn có những rủi ro tiềm năng, có khả năng ảnh hưởng tới hoạt động của chuỗi giá trị và hoạt động SXKD của doanh nghiệp như ngừng hoạt động, khủng hoảng, hoạt động thiếu hiệu quả,… Vì vậy, khi nhận diện rủi ro doanh nghiệp và các đơn vị thành viên cần xem xét và đối chiếu với chuỗi giá trị của doanh nghiệp nhằm đảm bảo các rủi ro ở từng phân đoạn trên chuỗi giá trị đều được nhận diện và phân tích

Ngoài ra, hồ sơ rủi ro của doanh nghiệp cũng cần được đối chiếu với danh mục các vùng rủi ro của ngành mà doanh nghiệp hoạt động Việc đối chiếu nhằm đảm bảo tính toàn diện, trọn vẹn của Hồ sơ rủi ro của doanh nghiệp

17

Ngoài việc áp dụng các phương pháp kể trên, có thể tham khảo thêm các kỹ thuật

áp dụng khác theo tiêu chuẩn TCVN 31010:2013

Sau khi nhận diện rủi ro, thông tin rủi ro sẽ được điền vào Phiếu đánh giá rủi ro theo nguyên tắc:

- Rủi ro: mô tả ngắn gọn rõ ràng và cụ thể

- Sự kiện rủi ro: trình bày cụ thể, cô đọng bối cảnh, sự kiện và các thông tin liên quan đến rủi ro

c, Loại rủi ro

Lựa chọn phân loại rủi ro chia thành hai loại:

- Rủi ro không kiểm soát được (về khả năng xảy ra)

- Rủi ro kiểm soát được (về khả năng xảy ra)

d, Mục tiêu

Bao gồm các thông tin liên quan đến mục tiêu chiến lược (KPOs) đã được doanh nghiệp lựa chọn và thiết lập trong năm Ví dụ: Tăng trưởng doanh thu khách hàng; Nâng cao chất lượng sản phẩm; Hiệu quả sử dụng vốn, tài sản, nguồn lực; Tăng thị phần; Xây dựng quy trình nội bộ; Nâng cao nguồn lực con người, tổ chức…

e Loại rủi ro - Khu vực rủi ro – Vùng rủi ro

Các loại rủi ro sau khi được xác định sẽ được phân loại và các khu vực rủi ro theo

3 mức độ: Loại rủi ro, khu vực rủi ro và Vùng rủi ro Theo đó, hệ thống phân loại rủi ro được chia thành 4 loại sau: Rủi ro chiến lược; Rủi ro hoạt động; Rủi ro tài chính; Rủi ro tuân thủ

Trong quá trình nhận diện rủi ro, có trường hợp các rủi ro có thể được phân loại

ở nhiều khu vực khác nhau, người áp dụng cần vận dụng linh hoạt theo từng trường hợp

cụ thể và không cứng nhắc trong việc phân loại rủi ro

Để thực hiện phân tích rủi ro, bên cạnh việc tìm hiểu nguyên nhân và xem xét các yếu tố ảnh hưởng đến khả năng xảy ra và mức độ tác động của rủi ro một cách đầy

đủ, cần đánh giá các kiểm soát hiện hành và khả năng xảy ra của rủi ro sau kiểm soát Phương pháp phân tích rủi ro được minh họa qua quy trình:

Ngăn ngừa

Phát hiện

Khắc phục

Rủi ro sau kiểm soát

Hình 1 3 Quy trình phân tích rủi ro

(Nguồn: Cẩm nang QTRRDN Tập đoàn VNPT 2017)

Kết quả phân tích rủi ro được trình bày trong các trường thông tin sau:

a Nguyên nhân cốt lõi

Nguyên nhân cốt lõi là nguyên nhân thực sự dẫn đến việc phát sinh rủi ro Một rủi ro có thể được phát sinh từ nhiều nguyên nhân cốt lõi và ngược lại, một nguyên nhân cốt lõi có thể dẫn đến nhiều rủi ro

Thông tin về nguyên nhân cốt lõi cần được chi tiết và liên kết đến các khía cạnh trong mô hình hoạt động (tổ chức, con người, chính sách, quy trình, hệ thống…) để từ

đó có thể đề xuất kế hoạch hành động tương ứng nhằm ngăn ngừa hoặc giảm thiểu tác động và/hoặc khả năng xảy ra rủi ro

Để phân tích được nguyên nhân cốt lõi, người ta có thể dựa trên kinh nghiệm quản lý, các số liệu thống kê hoặc áp dụng một số kỹ thuật như: “5 Why”, “Fishbone diagram”, nguyên lý 20/80… trong đó phương pháp “5 Why” và “Fishbone diagram” được áp dụng phổ biến

Việc xác định nguyên nhân cốt lõi bằng phương pháp “5 Why” sẽ dừng lại khi xác định được các nguyên nhân nằm trong khả năng giải quyết

Theo phương pháp Fishbone, người phân tích rủi ro có thể thực hiện phân tích nguyên nhân cốt lõi theo các yếu tố tạo nên rủi ro như các yếu tố bên ngoài, các yếu tố bên trong (xem mục Nhận diện rủi ro) để đảm bảo tính đầy đủ và hỗ trợ quá tình đánh giá các kiểm soát hiện tại và đưa ra các KHHĐ phù hợp tương ứng Cụ thể:

- Định hướng: đã có các định hướng rõ ràng và truyền thông cụ thể?

- Về tổ chức/ con người: không có chức năng hoặc chức năng không thực hiện đầy đủ/hiệu quả; không có khả năng thực hiện/ thiếu nhân sự thực hiện?

- Về quy trình/chính sách: quy trình, chính sách không có hoặc không hợp lý hay không được tuân thủ trong việc thực hiện?

- Về công nghệ dữ liệu: không được hỗ trợ bởi công nghệ? Không có dữ liệu/ dữ liệu không sẵn sàng?

Lưu ý rằng các nguyên nhân do các sự kiện bên ngoài cần được xem xét trên cơ

sở hướng về các yếu tố bên trong của doanh nghiệp để có thể đưa ra được KHHĐ, tránh

đổ lõi cho các nguyên nhân từ ngoại cảnh

b Miêu tả kiểm soát

Nội dung này trong Phiếu đánh giá rủi ro bao gồm các thông tin liên quan đến kiểm soát hiện có đang được áp dụng để quản lý rủi ro, loại kiểm soát và chủ sở hữu kiểm soát (người chịu trách nhiệm thực hiện các kiểm soát đó)

Kiểm soát là những hành động được thực hiện bởi Lãnh đạo doanh nghiệp để quản lý rủi ro và tăng khả năng hoàn thành mục tiêu đã thiết lập

Trong các hoạt động tác nghiệp thường ngày của doanh nghiệp, các kiểm soát được thực hiện để tăng khả năng hoàn hành các mục tiêu của doanh nghiệp, bao gồm

19

nhưng không giới hạn: Các quy định, quy trình, thủ tục, báo cáo; Quy định chức năng nhiệm vụ; Các điều khoản trong hợp đồng; Quyết định của Ban Lãnh đạo doanh nghiệp;

Hệ thống phần mềm ứng dụng, các loại hình báo cáo

 Kiểm soát hiện có

Là những kiểm soát đang được áp dụng tại phòng/ban/đơn vị nhằm phục vụ công tác quản lý giúp ngăn ngừa, phát hiện và giảm thiểu những sai phạm có thể xảy ra

Các kiểm soát được ghi nhận phải được chính thức và văn bản hóa để hỗ trợ việc kiểm tra và theo dõi tính tuân thủ của người thực hiện như quy định, quy trình báo cáo,

mô tả chức năng nhiệm vụ, các điều khoản trong đồng, quyết định của Ban Lãnh đạo doanh nghiệp, hệ thống phần mềm, các báo cáo quản trị,…

Nội dung các kiểm soát hiện hành cần được ghi nhận đầy đủ và chi tiết, vì đây không chỉ là thông tin đầu vào quan trọng cho chương trình Kiểm toán nội bộ, nâng cao Kiểm soát nội bộ của doanh nghiệp, mà còn là cơ sở để xây dựng các KHHĐ xử lý rủi

ro một cách đầy đủ và toàn diện

Các kiểm soát hiện có của rủi ro phải luôn được cập nhật và đánh giá định kỳ hoặc đột xuất bởi Chức năng Kiểm toán nội bộ dựa trên 2 tiêu chí:

- Đánh giá hiệu quả thiết kế kiểm soát: Xem xét mức độ hiệu quả về mặt thiết kế cua các kiểm soát nhằm đảm bảo các chốt kiểm soát đang áp dụng được thiết kế đầy đủ

và có khả năng giảm thiết, phòng ngừa, phát hiện được rủi ro

- Đánh giá hiệu quả hoạt động của kiểm soát: xem xét cách thức hoạt động của kiểm soát trong thực tế, đảm bảo rằng các kiểm soát đó được thực hiện nghiêm túc như thiết kế Nếu kiểm soát hoạt động không đạt yêu cầu, Trưởng phòng/ban/đơn vị phải xem xét và đề xuất KHHĐ bổ sung để kiểm soát rủi ro tốt hơn

Kết quả kiểm toán nội bộ của chức năng Kiểm toán nội bộ sẽ là thông tin đầu vào

hỗ trợ Chức năng Quản trị rủi ro, Trưởng đơn vị đo lường hậu quả sau kiểm soát của rủi

ro

 Loại kiểm soát

Dựa vào mục tiêu và đặc tính, kiểm soát được chia làm ba loại chính:

- Kiểm soát phòng ngừa: Là những kiểm soát mang tính chủ động để ngăn chặn các sự kiện không mong muốn xảy ra bằng cách giảm hoặc loại bỏ khả năng xảy ra rủi

ro

- Kiểm soát phát hiện: Là những kiểm soát để rà soát và nhận diện các sự kiện không mong muốn xảy ra bằng cách giảm khả năng xảy ra hoặc xác định những việc có thể tiến triển xấu hơn – giảm tác động của rủi ro

- Kiểm soát khắc phục: Là những kiểm soát được thiết kế để cho phép thực hiện các hành động sửa chữa (thủ công hoặc tự động) những thiếu sót, sai phạm được nhận diện bởi các kiểm soát phát hiện bằng cách giảm thiểu thiệt hại thua lỗ và củng cố khả năng phục hồi, giảm bớt tác động của rủi ro

c Hậu quả của rủi ro sau kiểm soát

Là hậu quả của rủi ro sau khi đã xem xét và đánh giá các kiểm soát hiện hành

Để đo lường hậu quả sau kiểm soát, có thể sử dụng phương pháp định lượng và/hoặc định tính, đồng thời phải đối chiếu đến các tiêu chí đã xây dựng trong thước đo rủi ro như: Tài chính, Chất lượng sản phẩm/dịch vụ, Tuân thủ pháp luật, Thương hiệu và Uy tín, Nhân viên Cơ sở đầu vào để đo lương hậu quả có thể dựa trên kinh nghiệm và cảm quan quản lý, số liệu thống kê trong quá khứ tại doanh nghiệp hoặc các công ty đối thủ cùng ngành

Việc sử dụng phương pháp định tính hay định lượng đều có ưu nhược điểm riêng nên cần áp dụng linh hoạt

Việc ghi nhận hậu quả sau kiểm soát cần được trình bày theo hai khía cạnh:

- Mức độ ảnh hưởng (còn có thể gọi là “Tác động”)

- Khả năng xảy ra

Căn cứ hoặc giả định để ước tính cần được trình bày và giải thích trong phần Hậu quả để làm cơ sở thực hiện đánh giá rủi ro

1.3.2.3 Đánh giá rủi ro

Đánh giá rủi ro là việc xác định mức độ trọng yếu của rủi ro dựa trên thước đo rủi ro (sau khi cân nhắc các kiểm soát hiện có để quản lý rủi ro) nhằm xếp hạng và ưu tiên xử lý rủi ro một cách phù hợp và kịp thời Đánh giá rủi ro giúp Ban lãnh đạo và các bên liên quan hiểu rõ hơn bản chất và tác động của rủi ro đến việc hoàn thành các mục tiêu kinh doanh, cũng như đánh giá tính đầy đủ và hiệu quả của các biện pháp kiểm soát hiện tại, từ đó đưa ra các biện pháp quản lý rủi ro kịp thời và phù hợp Để thực hiện công việc này, yêu cầu phải có hiểu biết sâu rộng về hoạt động của doanh nghiệp, thị trường, các yếu tố về pháp luật, chính trị, xã hội, các mục tiêu chiến lược và sản xuất kinh doanh Đồng thời, cũng cần có kiến thức và hiểu biết về các yếu tố thành công, các mối đe dọa, rủi ro kỹ thuật trong ngành và rủi ro chiến lược để đảm bảo các hoạt động đều được xem xét và rủi ro từ các hoạt động này được xác định một cách tương ứng

Kết quả đánh giá rủi ro được trình bày trong trường Xếp hạng rủi ro bao gồm Mức độ tác động, Khả năng xảy ra và Mức độ trọng yếu của rủi ro

Mức độ trọng yếu của rủi ro = Tác động * Khả năng xảy ra, được xác định theo thang điểm từ 1 ÷ 4 dựa trên thước đo rủi ro

Mục tiêu của việc xếp hạng rủi ro nhằm đánh giá tính trọng yếu của rủi ro đối với doanh nghiệp và các đơn vị trực thuộc, từ đó hình thành các kế hoạch ưu tiên xử lý rủi

ro kịp thời và hiệu quả Đối với các rủi ro được xếp hạng cao, các KHHĐ để giảm thiểu rủi ro phải được để xuất và ưu tiên xử lý

Để xếp hạng rủi ro chính xác về cả mặt định tính và định lượng, tập trung vào các khía cạnh ảnh hưởng trọng yếu đến doanh nghiệp, doanh nghiệp cần tổ chức xây dựng ban hành Thước đo rủi ro Thước đo rủi ro được cập nhật định kỳ hàng năm hoặc khi cần thiết theo điều chỉnh của kế hoạch chiến lược, kế hoạch kinh doanh và các yếu

tố khác có thể tác động đến khẩu vị rủi ro của doanh nghiệp

21

Thước đo rủi ro được xây dựng bao gồm 2 nội dung:

- Mức độ ảnh hưởng của rủi ro theo các tiêu chí liên quan đến: tài chính, chất lượng sản phẩm/dịch vụ, uy tín, tuân thủ pháp luật, nhân viên quản trị các dự án

- Khả năng xảy ra rủi ro

Chi tiết việc xây dựng Thước đo rủi ro tại Chương 1, Mục 1.3.1.2 Xây dựng và

cập nhật tuyên bố về Khẩu vị rủi ro và Thước đo rủi ro

a Xác định mức độ ảnh hưởng của rủi ro

Đối chiếu hậu quả sau kiểm soát của rủi ro với từng tiêu chí ảnh hưởng (như tài

chính, chất lượng hàng hóa, quy mô…) được xây dựng trên thước đo về mức độ ảnh hưởng để xác định Mức độ ảnh hưởng, được phân cấp từ 1 ÷ 4, tương ứng mức ảnh hưởng là: Thấp, Trung bình, Lớn, Rất lớn

Khi đánh giá hậu quả của rủi ro dựa trên thước đo rủi ro đã ban hành, một rủi ro

có thể tác động cùng lúc đến nhiều tiêu chí khác nhau trên thước đo và hậu quả cuối cung được ghi nhận sẽ là mức độ bị tác động cao nhất khi xảy ra rủi ro

b Xác định khả năng xảy ra của rủi ro

Rủi ro có thể xảy ra theo 4 mức độ, cách thức xác định của từng mức độ theo khả năng xảy ra của sự kiện rủi ro được thống kê số lần xảy ra hàng năm và dự báo khả năng

số lần xảy ra ở các năm tiếp theo Kết quả khả năng xảy ra của rủi ro được xác định theo các mức: Mức 1 – Thấp, Mức 2- Trung bình, Mức 3 – Cao, Mức 4 – Rất cao

1 - Thấp 2 - Trung bình 3 - Cao 4 - Rất cao

MỨC ĐỘ ẢNH HƯỞNG

Hình 1 4 Xác định mức độ trọng yếu của rủi ro

4 Đỏ Rất cao - Yêu cầu thực hiện KHHĐ QTRR ngay lập tức tại

các đơn vị có liên quan

- Báo cáo HĐTQ hoặc HĐTV và Tổng Giám đốc doanh nghiệp để xem xét chỉ đạo trực tiếp

3 Cam Cao - Yêu cầu các KHHĐ QTRR phải được các đơn vị

có liên quan chẩn bị sẵn sàng để khi xảy ra sẽ ngay lập tức áp dụng

- Báo cáo Tổng Giám đốc doanh nghiệp để xem xét chỉ đạo trực tiếp

hiện và giám sát bởi Trưởng đơn vị cấp 1 và cấp 2 Các chức năng ở hàng phòng vệ thứ hai của doanh nghiệp tăng cường các hoạt động giám sát gián tiếp

những thủ tục kiểm soát trong quy trình

- Các đơn vị ở hàng phòng vệ thứ nhất và hàng thứ hai cân nhắc đưa vào kế hoạch thực hiện chương trình tự đánh giá kiểm soát và rủi ro của đơn vị hoặc

kế hoạch kiểm tra giám sát của hàng phòng vệ thứ hai đối với hàng phòng vệ thứ nhất

- Chức năng Kiểm toán nội bộ cân nhắc đưa vào kế hoạch kiểm toán nội bộ nhằm đánh giá hiệu quả thiết kế và hiệu quả hoạt động của các thủ tục kiểm soát trong quy trình

23

1.3.2.4 Xử lý rủi ro

Việc xử lý rủi ro là một quy trình lặp đi lặp lại bao gồm các công việc: nhận diện, đánh giá, lựa chọn các phương án xử lý rủi ro và chuẩn bị, triển khai kế hoạch giảm thiểu rủi ro Sau khi triển khai, các phương án xử lý này sẽ giúp hình thành hoặc bổ sung

hệ thống kiểm soát cho đơn vị

a Nhận diện phương án xử lý rủi ro

Đối với các rủi ro có mức độ ưu tiên cao, doanh nghiệp cần cân nhắc các phương

án xử lý rủi ro phù hợp gồm:

- Tránh: Là phương án quyết định không tiến hành hoạt động có mức độ rủi ro cao hơn mức độ cho phép hoặc lựa chọn tiến hành một hoạt động thay thế khác có mức rủi ro chấp nhận được

- Giảm thiểu: Giảm thiểu khả năng xảy ra rủi hoặc tác động của rủi ro hoặc cả hai thông qua nâng cao các biện pháp kiểm soát đang áp dụng hoặc triển khai các kiểm soát mới

- Chuyển: Chuyển rủi ro toàn bộ hoặc một phần cho một bên khác

- Chấp nhận: Chấp nhận rủi ro và xây dựng kế hoạch tài chính phù hợp để ứng phó với rủi ro

b Đánh giá các phương án xử lý rủi ro

Cần cân nhắc các yếu tố sau khi đánh giá phương án xử lý rủi ro

 Ảnh hưởng đến khả năng xảy ra và mức độ tác động của rủi ro:

Ví dụ: Doanh nghiệp có nhà máy sản xuất đặt tại nơi hay có xảy ra lũ lụt nên tiềm

ẩn rủi ro gián đoạn sản xuất do lũ lụt gây ra

- Nếu kế hoạch quản lý rủi ro là xây dựng và triển khai kế hoạch hoạt động liên tục, phương án này giảm thiểu tác động của rủi ro do hạn chế gián đoạn hoạt động, nhưng không làm giảm khả năng xảy ra rủi ro này

- Nếu kế hoạch quản lý rủi ro là chuyển hoạt động của nhà máy sản xuất đến khu vực khác phương án này làm giảm khả năng xảy ra rủi ro về lũ lụt

 Chi phí và lợi ích của các phương án xử lý rủi ro:

Phải cân nhắc giữa chi phí (định lượng bằng tiền, chi phí cơ hội) và lợi ích (định lượng bằng tiền hoặc gắn liền với việc hoàn thành mục tiêu liên quan) của các phương

án xử lý rủi ro khác nhau do nguồn lực không phải là vô hạn

Việc xử lý rủi ro phải mang tính hệ thống, xem xét rủi ro có quan hệ mật thiết với nhau để sử dụng chung các phương án giảm thiểu và chia sẻ rủi ro, tiết kiệm nguồn lực Ví dụ, khi chia sẻ rủi ro thông qua bảo hiểm, nếu mua một hợp đồng bảo hiểm cho đồng thời nhiều rủi ro có thể sẽ có lợi hơn cho doanh nghiệp vì khi gộp nhiều rủi ro vào cùng một hợp đồng bảo hiểm, phí bảo hiểm thường thấp hơn

c Cơ hội khi thực hiện các phương án xử lý rủi ro

Việc cân nhắc các phương án xử lý rủi ro không nên chỉ nhằm giảm thiểu những rủi ro đã được nhận diện, mà còn phải cần xem xét đến những cơ hội mới cho doanh nghiệp

d Lựa chọn các phương án xử lý rủi ro

Ban lãnh đạo doanh nghiệp quyết định lựa cọn một phương án hoặc nhiều phương

án xử lý rủi ro để làm giảm khả năng xảy ra và mức độ tác động của rủi ro đến phạm vi chấp nhận được Phương án được lựa chọn không nhất thiết phải giảm thiểu rủi ro xuống đến mức thấp nhất Nhưng nếu phương án đó chưa thể giảm thiểu rủi ro xuống đến phạm

vị chấp nhận được (khẩu vị rủi ro), Ban Lãnh đạo doanh nghiệp cần phải xem xét lại và sửa đổi phương án hoặc xem xét lại phạm vi chấp nhận rủi ro đã được xác định trước

đó

Khi đã lựa chọn phương án xử lý rủi ro, Ban lãnh đạo doanh nghiệp cần xây dựng

kế hoạch hành động để triển khai thực hiện phương án đó Tuy nhiên, rủi ro vẫn có thể tồn tại mặc dù đã áp dụng các phương án xử lý vì nguồn lực có hạn, bất ổn trong tương lai và những hạn chế vốn có trong mọi hoạt động

Kết quả của hoạt động xử lý rủi ro được trình bày tại phần Kế hoạch hành động trong Phiếu đánh giá rủi ro Nhóm cột này bao gồm các thông tin về KHHĐ để xử lý rủi

ro, người tham gia thực hiện kế hoạch, người chịu trách nhiệm cao nhất và thời gian hàn thành KHHĐ

KẾ HOẠCH HÀNH ĐỘNG

Kế hoạch hành động Mã KHHĐ

Đơn vị chịu trách nhiệm

Phòng/Ban chịu trách nhiệm KHHĐ

Thời hạn

KHHĐ Đơn vị chịu

trách nhiệm

Phòng/ Ban chịu trách nhiệm KHHĐ

Thời hạn

Thông tin về KHHĐ trên Phiếu đánh

giá rủi ro cho Đơn vị cấp 1

Thông tin về KHHĐ trên Phiếu đánh giá rủi ro cho Đơn vị cấp 2

e Kế hoạch hành động

Đây là nội dung đặc biệt quan trọng, là một trong những đầu ra cốt lõi của hệ thống QTRRDN, đưa ra các biện pháp để ngăn ngừa và giảm thiểu giúp doanh nghiệp đạt được các mục tiêu kinh doanh và chiến lược đề ra

Nội dung ở cột này mô tả chi tiết KHHD được Phòng/Ban/Đơn vị trực thuộc doanh nghiệp xây dựng và đề xuất để xử lý rủi ro sau khi đã xem xét nguyên nhân cốt lõi và các kiểm soát hiện có Khi KHHĐ được triển khai và đánh giá hoành thành thì sẽ trở thành “Kiểm soát hiện có” trong lần đánh giá rủi ro tiếp theo

KHHĐ được xem là hiệu quả, rõ ràng và toàn diện phải đáp ứng các tiêu chí SMART:

 Cụ thể (S – Specific)

25

KHHĐ đề ra phải được cụ thể, rõ ràng Để có một kế hoạch cụ thể, bước đầu tiên phải tự đặt ra các câu hỏi theo nguyên tắc “4 W -”:

- What (cái gì): Kế hoạch của chúng ta cho rủi ro nhận diện là gì?

- Why (vì cao): Lý do gì, mục đích gì hoặc lợi ích gì mang lại mà chúng ta phải thực hiện kế hoạch này

- Where (ở đâu): Kế hoạch này sẽ được thực hiện và áp dụng ở đâu? Phòng/ban/đơn vị hay thị trường nào?

- Which (cái nào): Các yêu cầu hoặc điều kiện để có thể triển khai kế hoạch này thành công?

 Đo lường (M - Measurable)

KHHĐ được thiết lập cần được đo lường về định tính hoạch định lượng kết quả đầu ra của kế hoạch Để có được một kế hoạch có thể đo lường được, chúng ta thường phải đặt những câu hỏi như sau khi thực hiện:

- Bao nhiêu về số lượng: KHHĐ này sẽ tăng cường bao nhiêu lần kiểm soát/năm, bao nhiêu máy móc thiết bị được mua sắm?

- Bao nhiêu về tài chính: KHHĐ này sẽ giúp công ty tiết kiệm được bao nhiêu chi phí hoặc ngân sách cần bỏ ra để thực hiện kế hoạch này là bao nhiêu?

- Làm sao chúng ta biết: kết quả cuối cùng của kế hoạch này là gi? Hiện tại chúng

ta đã làm được gì?

Ví dụ: Hoàn thành các yêu cầu về ưu đãi thuế thu nhập doanh nghiệp theo kế hoạch hàng năm giúp doanh nghiệp tiết kiệm được 30 tỷ tiền thuế

 Phân công cụ thể A - (Assignable)

Nhằm đảm bảo các KHHĐ được thực hiện cần phải phân công rõ ràng các đối tượng thực hiện và đối tượng chịu trách nhiệm cao nhất tại Phòng/Ban/Đơn vị thuộc doanh nghiệp Một KHHĐ có thể có nhiều đối tượng thực hiện ở nhiều Phòng/Ban/Bộ phận khác nhau, nhưng chỉ có một đối tượng chịu trách nhiệm cao nhất cho việc thực thi và hoàn thành KHHĐ

KHHĐ được xem là phân công cụ thể khi các định được:

- Ai là người có trách nhiệm phải tham gia thực hiện KHHĐ? Và sẽ có trách nhiệm thực hiện công việc gì trong KHHĐ đề ra?

- Ai là người có khả năng dẫn dắt các đối tượng tham gia để cùng hoàn thành KHHĐ?

 Khả thi (R - Realistic)

Để đảm bảo tính khả thi của KHHĐ, cần phải xem xét các yếu tố:

- Nhân lực: đơn vị, phòng ban có bao nhiêu nhân sự có thể tham gia vào KHHĐ này?

- Khối lượng công việc: với khối lượng công việc hiện tại, thời gian của mỗi nhân

sự tham gia vào KHHĐ là bao nhiêu? Có đủ để hoàn thành kế hoạch đúng hạn hay không?

- Cơ sở hạ tầng – hệ thống hỗ trợ: Doanh nghiệp hiện đã có các hệ thống CNTT,

sở sở hạ tầng có thể phục vụ cho việc thực hiện KHHĐ hay không?

- Chi phí – lợi ích: so sánh, phân tích các chi phí bỏ ra cho việc thực hiện KHHĐ với lợi ích mà KHHĐ mang lại

Việc xem xét các yếu tố kể trên còn phụ thuộc rất nhiều vào kiến thức và kinh nghiệm của chủ KHHĐ Để đánh giá một KHHĐ là khả thi còn bao gồm cả yếu tố thời gian và bối cảnh kinh doanh hiện tại của doanh nghiệp

 Thời gian (T - Time – related)

Thời gian càng cụ thể, càng rõ ràng thì càng dễ theo dõi và phân công công việc, tạo động lực cho người thực hiện tập trung vào việc hoàn thành kế hoạch và ưu tiên xử

lý công việc một cách hợp lý

1.3.3 Trao đổi thông tin và tham vấn

Hoạt động truyền thông tham vấn và đào tạo nhằm đảm bảo phát triển văn hóa

về rủi ro trong toàn doanh nghiệp; thống nhất trong cách vận hành các quy trình, chính sách và hướng dẫn về QTRRDN; đưa ra các nhận diện, đánh giá rủi ro và KHHĐ quả trị rủi ro phù hợp

Các bên liên quan tham gia vào quá trình quản lý rủi ro sẽ hỗ trợ trong việc:

- Xây dựng kế hoạch trao đổi thông tin;

- Xác định bối cảnh phù hợp;

- Đảm bảo rằng lợi ích của các bên liên quan được hiểu rõ và được xem xét;

- Tập hợp kiến thức chuyên môn trong các lĩnh vực khác nhau để nhận biết và phân tích rủi ro;

- Đảm bảo rằng các quan điểm khác nhau được xem xét một cách thích hợp trong việc định mức rủi ro;

- Đảm bảo rằng những rủi ro được nhận diện đầy đủ;

- Đảm bảo sự xác nhận và hỗ trợ kế hoạch xử lý

Các bên liên quan cần đóng góp vào giao diện của các quá trình đánh giá rủi ro

và các nguyên tắc quản lý khác, bao gồm quản lý sự thay đổi, quản lý dự án và chương trình cũng như quản lý tài chính

1.3.4 Theo dõi và xem xét đánh giá rủi ro

Quá trình đánh giá rủi ro sẽ chú trọng vào bối cảnh và các yếu tố khác có thể thay đổi theo thời gian và có thể làm thay đổi hoặc làm mất ý nghĩa của việc đánh giá rủi ro Những yếu tố này cần được nhận biết một cách cụ thể cho việc theo dõi và xem xét liên tục nhờ đó việc đánh giá rủi ro có thể được cập nhật khi cần

và xem xét bằng chứng và tài liệu cần được xác định

1.3.5 Xây dựng và áp dụng Chỉ số cảnh báo rủi ro chủ chốt (KRIs)

1.3.5.1 Định nghĩa

Chỉ số cảnh báo rủi ro chủ chốt (KRIs – Key Risk Indicators) là công cụ nhằm cảnh báo các dấu hiệu của rủi ro trước khi rủi ro hình thành và xảy ra gây ảnh hưởng

đến việc hoàn thành mục tiêu chiến lược và SXKD của doanh nghiệp (Theo cẩm nang

hướng dẫn QTRRDN của Tập đoàn VNPT – năm 2017)

KRIs là một công cụ quan trọng nhằm hỗ trợ doanh nghiệp cảnh bảo cáo kịp thời các rủi ro, từ đó đưa ra các quyết định, hành động xử lý phù hợp trước khi rủi ro xảy ra vượt ngoài khả năng chấp nhận Việc xây dựng và giám sát các KRIs là trách nhiệm của các chủ sở hữu rủi ro

Có hai nhóm KRIs chính:

- KRI trực tiếp/kết quả (Lagging KRIs): được xây dựng trên việc ước lượng

các hậu quả ảnh hưởng từ rủi ro nhằm đưa ra cảnh báo sớm trước khi rủi ro vượt ngưỡng chấp Ví dụ: tổng số phàn nàn từ khách hàng

- KRI gián tiếp tiếp/nguyên nhân (Lagging KRIs): được xây dựng dựa trên

các dấu hiệu có thể hình thành nên rủi ro nhằm đưa ra cảnh bảo sớm trước khi rủi ro thực sự xảy ra Ví dụ: không bảo trì bảo dưỡng dây chuyền máy móc định kỳ

1.3.5.2 Cách thức xây dựng Chỉ số cảnh báo rủi ro (KRIs)

a Yêu cầu nhân sự tham gia xây dựng KRIs

Cần có sự tham gia của các chủ sở hữu rủi ro cấp phòng, ban, đơn vị, các cán bộ chuyên trách công tác QTRRDN và Ban lãnh đạo của doanh nghiệp nhằm đảm bảo tính thống nhất và phù hợp giữa khả năng chấp nhận, cơ sở dữ liệu, mức độ tác độ, khả năng xảy ra… đối với từng rủi ro trọng yếu được nhận diện trong quá trình hoạt động kinh doanh của phòng, ban, đơn vị

b Các bước xác định và xây dựng KRIs

Hình 1 5 Các bước xác định và xây dựng KRIs

(Nguồn: Cẩm nang QTRRDN Tập đoàn VNPT 2017)

3

Thiết lập cảnh báo

4 Báo cáo

5

Cập nhật

 Xác định KRIs

Các kết quả đánh giá rủi ro theo các bước của Quy trình QTRRDN như nguyên nhân của rủi ro, kiểm soát và hậu quả rủi ro… là thông tin đầu vào quan trọng trong việc xác định và xây dựng KRIs

Xác định KRIs phù hợp giúp doanh nghiệp tối ưu hóa nguồn lực và sớm phát hiện các dấu hiện phát sinh rủi ro trước khi rủi ro vượt qua khả năng chấp nhận Việc xác định các KRIs dựa trên hai thông tin tiểu biểu:

- Nguyên nhân phát sinh rủi ro – KRIs gián tiếp

- Hậu quả ảnh hưởng ủi ro – KRIs trực tiếp

Khi xác định KRIs cần phải đảm bảo các yếu tố sau:

- Có thể đo lường, định lượng và so sánh được qua từng thời điểm hoặc giữa các đơn vị, phòng ban với nhau

- Đơn giản, dễ hiểu và gắn kết mật thiết với hoạt động tác nghiệp

- Có thể áp dụng một cách thống nhất trong toàn doanh nghiệp

- Tận dụng triệt để các thông tin, dữ liệu sẵn có trong hoạt động tác nghiệp thường nhật

Thể hiện đầy đủ các KRIs trực tiếp và gián tiếp để kịp thời cảnh báo rủi ro

Lưu ý: một KRIs có thể áp dụng cho nhiều rủi ro Và ngược lại, một rủi ro có thể áp

dụng nhiều KRIs

(Nguồn: Cẩm nang QTRRDN Tập đoàn VNPT 2017)

 Thu thập thông tin đo lường

Việc thu thập thông tin để xây dựng KRIs phụ thuộc vào cách thức phát triển (công thức tính chỉ số) của KRIs, hệ thống cơ sở dữ liệu, CNTT và thống kê của doanh nghiệp Từ đó tận dụng các thông tin sẵn có hoặc đề xuất thu thập và xây dựng thêm để hoàn thiện bộ danh mục KPIs Các loại thông tin có thể sử dụng để tham khảo khi xây dựng KRIs bao gồm: Các tổn thất ghi nhận trong quá khứ; Kết quả báo cáo đánh giá rủi

ro định kỳ, đột xuất; Các phát hiện của kiểm toán nội bộ, độc lập; Các buổi họp giữa các

KRI#1 KRI#2 KRI#3 KRI#4 KRI#5 KRI#6

Rủi ro trọng yếu #1

Rủi ro trọng yếu #2

Rủi ro trọng yếu #3

Rủi ro trọng yếu #4

Mục tiêu kinh doanh #1

Mục tiêu kinh doanh #2

Chiến lược

kinh doanh

Hình 1 6 Áp dụng KRIs cho các mục tiêu

 Thiết lập ngưỡng cảnh báo

Ngưỡng cảnh báo KRI được xem xét trong quá trình thiết lập mục tiêu (KPOs, KPIs) hàng năm, theo đó lợi ích mong muốn đạt được từ mục tiêu phải tương thích với mức độ chấp nhận cảnh báo rủi ro

Việc thiết lập ngưỡng chấp nhận cho KRIs dựa trên khẩu vị chấp nhận rủi ro của Ban lãnh đạo căn cứ trên đề xuất của Trưởng phòng, Ban, đơn vị là chủ sở hữu rủi ro Mỗi ngưỡng cảnh báo sẽ được gắn với kế hoạch hành động tương ứng, từ đó các chủ sở hữu rủi ro có thể chủ động đưa ra phương án tiếp cận trong việc quản trị rủi ro

c Báo cáo và cập nhật KRIs

Một báo cáo KRIs được xem là đầy đủ phải bao gồm các thông tin: công thức tính, đơn vị đo lường, ngưỡng KRI, tần suất và chủ sở hữu rủi ro Các báo cáo KRIs sẽ được tích hợp vào các báo cáo trong hệ thống CNTT tại doanh nghiệp để chủ sở hữu rủi

ro có thể dễ dàng theo dõi và giám sát

Định kỳ hàng quý, khi hồ sơ rủi ro trọng yếu được thay đổi thông qua quy trình đánh giá và báo cáo rủi ro định kỳ, độ xuất tại doanh nghiệp thì các KRIs cũng cần phải được xem xét cập nhật (bổ sung hoặc loại bỏ)

1.4 CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN QTRRDN

1.4.1 Các yếu tố thuộc môi trường bên ngoài

- Môi trường kinh tế vĩ mô: Các chính sách kinh tế vĩ mô của Nhà nước như:

chính sách tài chính, đất đai, thuế, chính sách tiền tệ, xuất nhập khẩu có tác động mạnh

mẽ đến hoạt động sản xuất kinh doanh của các thành phần kinh tế, nó có thể khuyến khích phát triển hay kìm hãm sự phát triển của các thành phần kinh tế Bên cạnh đó, những diễn biến khác về môi trường kinh tế vĩ mô, như: tốc độ tăng trưởng, diễn biến lạm phát, tiền tệ, thị trường, lãi suất, tỷ giá hối đoái, đều ảnh hưởng trực tiếp đến hoạt động sản xuất kinh doanh của doanh nghiệp gây ra những rủi ro bất ổn Sự biến đổi của các yếu tố môi trường kinh tế vĩ mô có thể ảnh hưởng tốt hoặc xấu tới hoạt động SKXD của doanh nghiệp nói chung và công tác QTRRDN nói riêng

- Chính trị và pháp luật: Các sự kiện về chính trị, luật pháp và quy định mới

trong ngành hoặc các sự kiện chung khác, có thể dẫn đến thị trường doanh nghiệp đang hoạt động được mở rộng hoặc bị giới hạn, hoặc thuế suất tăng lên hoặc giảm xuống, kiểm soát lượng khách hàng… Với một môi trường chính trị bất ổn, doanh nghiệp sẽ luôn gặp phải những rủi ro bất khả kháng không thể đo lường trước được Hậu quả của những loại rủi ro này rất quan trọng đối với một tổ chức, bởi vì rủi ro chính trị thường

là nguyên nhân của nhiều rủi ro khác và tạo ra chuỗi rủi ro Vì vậy các doanh nghiệp sẽ phải quan tâm nhiều hơn đến công tác quản trị rủi ro

- Khách hàng: Khách hàng là người đem lại doanh thu và lợi nhuận cho doanh

nghiệp Tuy nhiên để gia tăng và giữ khách hàng, doanh nghiệp cần thiết quan tâm đến việc xây dựng các nội dung quản trị rủi ro liên quan đến khách hàng như: suy giảm khách hàng do không đáp ứng được yêu cầu về chất lượng hàng hóa, dịch vụ; thị hiếu

và hành vi tiêu dùng của khách hàng thay đổi dẫn đến khách hàng rời bỏ sản phẩm; khiếu kiện từ phía khách hàng…

1.4.2 Các yếu tố thuộc môi trường nội bộ:

Các yếu tố thuộc môi trường nội bộ ảnh hưởng đến QTRRDN bao gồm:

- Con người:

Quản trị rủi ro là một trong những công cụ quản trị của doanh nghiệp do đó yếu

tố con người rất quan trọng đối với việc tổ chức triển khai hoạt động QTRR trong doanh nghiệp

Thứ nhất là nhận thức và thái độ của nhà quản trị đối với quản trị rủi ro Ngoài

năng lực quản lý tốt cũng cần phải là những nhà lãnh đạo xuất sắc, có thể cảm nhận, dự báo và đánh giá những biến động của môi trường kinh doanh bên ngoài và cả những mầm mống rủi ro bên trong tổ chức để chủ động đề xuất những thay đổi và trực tiếp dẫn dắt những quá trình thay đổi này Do vậy nhận thức của nhà quản trị là một trong các nhân tố quan trọng ảnh hưởng đến quản trị rủi ro của doanh nghiệp Đồng thời đối với những chiều hướng thái độ khác nhau như nhà quản trị thích rủi ro, nhà quản trị bàng quang với rủi ro hay nhà quản trị sợ rủi ro ảnh hưởng mang tính quyết định đến hiệu quả của quản trị rủi ro trong doanh nghiệp

Thứ hai là năng lực của nhân lực quản trị rủi ro Công tác quản trị rủi ro là một

hoạt động quản trị đặc thù bởi tính chất phức tạp và tầm ảnh hưởng lớn đến hoạt động