Khái niệm quản trị rủi ro doanh nghiệp (ERM) và những thành phần cốt lõi

Quản trị rủi ro hiệu quả cho phép doanh nghiệp giảm thiểu và hạn chế thấp nhất thiệt hại khi các rủi ro xảy đến bằng cách chủ động triển khai các biện pháp phòng ngừa đã được chuẩn bị trước đó. Tuy nhiên, Việt Nam cũng đang thiếu những chính sách, quy định và công cụ giúp doanh nghiệp triển khai hiệu quả hệ thống quản lý rủi ro. 

Quản trị Rủi ro Doanh nghiệp (ERM) là gì?

Quản lý rủi ro doanh nghiệp (ERM) là một phương pháp xem xét quản lý rủi ro một cách có chiến lược từ quan điểm của toàn bộ công ty hoặc tổ chức. Đó là một chiến lược toàn diện từ trên xuống dưới và từ trong ra ngoài nhằm mục đích xác định, đánh giá và chuẩn bị cho những tổn thất, mối nguy hiểm và các khả năng gây hại tiềm ẩn khác có thể cản trở các hoạt động và mục tiêu của tổ chức và/hoặc dẫn đến tổn thất.

Hiểu về Quản trị Rủi ro Doanh nghiệp (ERM)

Hiểu về Quản trị Rủi ro Doanh nghiệp 

Quản lý rủi ro doanh nghiệp áp dụng cách tiếp cận toàn diện và yêu cầu việc ra quyết định ở cấp quản lý có thể không nhất thiết phải có ý nghĩa đối với một bộ phận hoặc đơn vị kinh doanh riêng lẻ. Do đó, thay vì mỗi đơn vị kinh doanh chịu trách nhiệm quản lý rủi ro của riêng mình, việc giám sát toàn công ty được ưu tiên.

Nó cũng thường liên quan đến việc cung cấp kế hoạch rủi ro cho tất cả các bên liên quan như một phần của báo cáo hàng năm. Các ngành công nghiệp đa dạng như hàng không, xây dựng, y tế công cộng, phát triển quốc tế, năng lượng, tài chính và bảo hiểm đều đã chuyển sang sử dụng ERM.

Do đó, ERM có thể hoạt động để giảm thiểu rủi ro toàn công ty cũng như xác định các cơ hội duy nhất trên toàn công ty. Giao tiếp và phối hợp giữa các đơn vị kinh doanh khác nhau là chìa khóa để ERM thành công. Các công ty sử dụng ERM thường sẽ có một nhóm quản lý rủi ro doanh nghiệp chuyên trách giám sát hoạt động của công ty.

Cách tiếp cận toàn diện để Quản trị Rủi ro

 

Cách tiếp cận toàn diện để Quản trị Rủi to

Các doanh nghiệp hiện nay phải đối mặt với nhiều rủi ro và nguy hiểm tiềm tàng. Trước đây, các công ty thường xử lý rủi ro thông qua từng bộ phận quản lý hoạt động kinh doanh của riêng mình. Quản lý rủi ro doanh nghiệp kêu gọi các tập đoàn xác định tất cả các rủi ro mà họ gặp phải. Nó cũng làm cho ban quản lý quyết định những rủi ro nào cần quản lý tích cực hay tiêu cực. Trái ngược với những rủi ro bị che đậy thì một công ty sẽ  nhìn thấy bức tranh toàn cảnh hơn khi sử dụng ERM.

ERM xem xét từng đơn vị kinh doanh như một “danh mục đầu tư” trong công ty và cố gắng hiểu các rủi ro đối với các đơn vị kinh doanh riêng lẻ tương tác và chồng chéo như thế nào. Nó cũng có thể xác định các yếu tố rủi ro tiềm ẩn mà bất kỳ đơn vị riêng lẻ nào cũng không nhìn thấy được.

Các công ty đã quản lý rủi ro theo hướng truyền thống trong nhiều năm. Quản lý rủi ro truyền thống dựa vào việc từng đơn vị kinh doanh tự đánh giá và xử lý rủi ro của chính họ, sau đó báo cáo lại cho Giám đốc điều hành sau đó. Gần đây, các công ty đã bắt đầu nhận ra sự cần thiết của một cách tiếp cận toàn diện hơn.

Những thành phần cốt lõi của Quản trị Rủi ro Doanh nghiệp

Khung quản lý rủi ro doanh nghiệp COSO xác định 8 thành phần cốt lõi xác định cách một công ty nên tiếp cận để thực hành ERM:

Môi trường trong Doanh nghiệp 

Môi trường trong Doanh nghiệp phản ánh hành động của tất cả nhân viên

Môi trường bên trong Doanh nghiệp đề cập đến tất cả các yếu tố hoặc lực lượng có tác động trực tiếp hơn đến các hoạt động hàng ngày của công ty, bao gồm cả văn hóa doanh nghiệp do các nhân viên của công ty đó thiết lập. Điều này đặt ưu tiên cho định hướng rủi ro của công ty và triết lý của ban quản lý về rủi ro phát sinh. Môi trường nội bộ có thể được thiết lập bởi quản lý cấp trên hoặc hội đồng quản trị và được truyền đạt trong toàn tổ chức, mặc dù nó thường được phản ánh thông qua hành động của tất cả nhân viên.

Thiết lập mục tiêu

Khi một công ty xác định mục đích của mình, luôn phải đặt ra các mục tiêu về sứ mệnh và tầm nhìn của công ty. Những mục tiêu này sau đó phải phù hợp với khẩu vị rủi ro (risk appetite) của công ty.

Ví dụ, một công ty đầy tham vọng đã đặt ra các kế hoạch chiến lược sâu rộng phải nhận thức được rằng có thể có những rủi ro bên trong hoặc rủi ro bên ngoài liên quan đến những mục tiêu cao cả này. Bằng cách đó, một công ty có thể điều chỉnh các biện pháp cần thực hiện với những gì họ muốn đạt được, chẳng hạn như thuê thêm nhân viên quản lý cho các khu vực mở rộng mà họ hiện chưa quen thuộc.

Nhận dạng sự kiện (Event Identification)

Các sự kiện tích cực có thể có tác động lớn đến một công ty. Mặt khác, các sự kiện tiêu cực có thể có kết quả bất lợi đối với khả năng tiếp tục hoạt động của công ty. Hướng dẫn ERM khuyến nghị rằng các công ty nên xác định các lĩnh vực kinh doanh quan trọng và các sự kiện liên quan có thể dẫn đến hậu quả nghiêm trọng. Những sự kiện rủi ro cao này có thể gây rủi ro cho hoạt động (tức là thiên tai, bệnh dịch buộc các văn phòng phải tạm thời đóng cửa) hoặc chiến lược (tức là quy định của chính phủ cấm dòng sản phẩm chính của công ty).

Đánh giá rủi ro

Ngoài việc nhận thức được những gì có thể xảy ra, khuôn khổ ERM nêu chi tiết bước đánh giá rủi ro bằng cách hiểu khả năng xảy ra và tác động tài chính của rủi ro. Điều này không chỉ bao gồm rủi ro trực tiếp (dịch bệnh khiến công ty ngừng hoạt động) mà cả rủi ro còn lại. Mặc dù khó khăn, khuôn khổ ERM khuyến khích các công ty xem xét định lượng rủi ro bằng cách đánh giá phần trăm thay đổi xảy ra cũng như tác động của đồng đô la.

Ứng phó rủi ro

4 cách ứng phó rủi ro

Một công ty có thể ứng phó với rủi ro theo bốn cách sau:

• Tránh rủi ro

Điều này dẫn đến việc công ty từ bỏ hoạt động gây ra rủi ro vì công ty thà từ bỏ lợi ích của hoạt động đó hơn là gánh chịu rủi ro. Một ví dụ về tránh rủi ro là một công ty đóng cửa một dòng sản phẩm và ngừng bán một loại hàng hóa cụ thể.

• Giảm thiểu rủi ro

Điều này dẫn đến việc công ty tiếp tục tham gia vào hoạt động nhưng nỗ lực giảm thiểu khả năng xảy ra hoặc mức độ rủi ro thấp. Một ví dụ về giảm thiểu rủi ro là một công ty giữ cho dòng sản phẩm mở nhưng đầu tư nhiều hơn vào kiểm soát chất lượng hoặc giáo dục người tiêu dùng về cách sử dụng sản phẩm.

•  Chia sẻ rủi ro.

 Điều này dẫn đến việc công ty tiến vẫn thực hiện hoạt động với những rủi ro có thể xảy ra. Tuy nhiên, công ty sử dụng một bên thứ ba độc lập để chia sẻ khoản lỗ tiềm năng để đổi lấy một khoản phí. Một ví dụ về chia sẻ rủi ro là mua một hợp đồng bảo hiểm.

•  Chấp nhận rủi ro

Điều này dẫn đến việc công ty sẽ phân tích các kết quả tiềm ẩn và xác định xem liệu việc theo đuổi các biện pháp giảm thiểu có đáng về mặt tài chính hay không. Một ví dụ về chấp nhận rủi ro là công ty tiếp tục mở dòng sản phẩm mà không thay đổi hoạt động và chia sẻ rủi ro.

Hoạt động kiểm soát

Các hoạt động kiểm soát là các hành động được thực hiện bởi một công ty để tạo ra các chính sách và thủ tục nhằm đảm bảo ban quản lý thực hiện các hoạt động đồng thời giảm thiểu rủi ro. Các hoạt động kiểm soát, thường được gọi là kiểm soát nội bộ, được chia thành hai loại quy trình khác nhau:

• Các hoạt động kiểm soát phòng ngừa được nhằm mục đích giảm thiểu rủi ro bằng cách không cho phép một số sự kiện nhất định xảy ra. Một ví dụ về kiểm soát phòng ngừa bằng khóa điện tử hoặc khóa vật lý ngăn không cho tất cả nhân viên vào khu vực cấm.

• Các hoạt động kiểm soát thám tử (detective control) được thực hiện để nhận biết khi nào một hành động rủi ro đã diễn ra. Mặc dù sự kiện được phép xảy ra (hoặc đáng lẽ không xảy ra nhưng vẫn xảy ra), các biện pháp kiểm soát thám tử có thể cảnh báo ban quản lý để đảm bảo các bước tiếp theo phù hợp diễn ra. Ví dụ về các biện pháp kiểm soát thám tử bao gồm kiểm tra hàng tồn kho thực tế, đánh giá báo cáo tài khoản và đối chiếu, cũng như đánh giá các biện pháp kiểm soát hiện tại. 

Thông tin và giao tiếp

Hệ thống thông tin phải có khả năng thu thập dữ liệu hữu ích cho ban quản lý để hiểu rõ hơn về hồ sơ rủi ro của công ty và quản lý rủi ro. Điều này có nghĩa là không cấp ngoại lệ cho các bộ phận vượt trội so với những bộ phận khác; tất cả các khía cạnh của một công ty nên được theo dõi liên tục. Ngoài ra, một số dữ liệu này nên được phân tích và truyền đạt cho nhân viên nếu dữ liệu đó có liên quan đến việc giảm thiểu rủi ro. 

Giám sát

Một công ty có thể chuyển sang ủy ban nội bộ hoặc kiểm toán viên bên ngoài để xem xét các chính sách và thực tiễn của mình. Điều này có thể bao gồm việc xem xét những gì thực sự được thực hiện so với những gì các tài liệu chính sách đề xuất. Điều này cũng có thể đòi hỏi phải nhận phản hồi, phân tích dữ liệu của công ty và thông báo cho ban quản lý về những rủi ro không được bảo vệ. Trong một môi trường luôn thay đổi, các công ty cũng phải sẵn sàng đánh giá môi trường ERM của họ và xoay trục khi cần thiết.

Bài viết trên đã cho bạn biết khái niệm của Quản trị Rủi ro Doanh nghiệp (ERM) là như thế nào? Trong xu thế này, việc sử dụng ERM sẽ dần trở nên phổ biến tại Việt Nam, giúp nâng cao hiệu quả quản lý doanh nghiệp nói chung tại Việt Nam.   

>>Xem thêm: 9 vấn đề trong quản trị rủi ro