Quản lý rủi ro doanh nghiệp (Enterprise risk management)

1- Tổng quan về quản lý rủi ro

Rủi ro doanh nghiệp xuất phát từ nhiều nguồn khác nhau, bao gồm sự không chắc chắn về tài chính, trách nhiệm pháp lý, vấn đề công nghệ, lỗi quản lý chiến lược, tai nạn và thiên tai.

Một chương trình Quản lý rủi ro doanh nghiệp (Enterprise risk management - EMR) thành công sẽ giúp doanh nghiệp xem xét đầy đủ các rủi ro mà nó gặp phải. Quản lý rủi ro cũng xem xét mối quan hệ giữa các loại rủi ro kinh doanh khác nhau và tác động theo tầng mà chúng có thể có đối với các mục tiêu chiến lược của tổ chức.

Cách tiếp cận toàn diện này để quản lý rủi ro đôi khi được mô tả là quản lý rủi ro doanh nghiệp vì nó nhấn mạnh vào việc dự đoán và hiểu rõ rủi ro trong toàn tổ chức. Ngoài việc tập trung vào các mối đe dọa rủi ro bên trong và bên ngoài, quản lý rủi ro doanh nghiệp còn nhấn mạnh tầm quan trọng của việc quản lý rủi ro tích cực. 

Rủi ro tích cực là những cơ hội có thể làm tăng giá trị doanh nghiệp hoặc ngược lại, gây thiệt hại cho tổ chức nếu không được tận dụng, như các công ty bị Amazon, Netflix và các cường quốc kỹ thuật số sinh ra khác phá sản sẽ chứng thực.

Thật vậy, mục đích của bất kỳ chương trình quản lý rủi ro nào không phải là loại bỏ tất cả rủi ro mà là bảo tồn và tăng thêm giá trị tổng thể của doanh nghiệp bằng cách đưa ra các quyết định rủi ro thông minh.

Forrester cho biết: "Chúng tôi không quản lý rủi ro nên không thể gặp rủi ro. Chúng tôi quản lý rủi ro để biết rủi ro nào đáng chấp nhận, rủi ro nào sẽ đưa chúng tôi đến mục tiêu, rủi ro nào có đủ tiền chi trả để chấp nhận chúng". Nghiên cứu nhà phân tích cấp cao Alla Valente, người chuyên về Quản trị, (quản lý) rủi ro và tuân thủ (Governance, risk management, and compliance), quản lý rủi ro của bên thứ ba, ERM và các chủ đề liên quan đến rủi ro khác.

Vì vậy, chương trình quản lý rủi ro cần được kết hợp với chiến lược của tổ chức. Để liên kết chúng, các nhà lãnh đạo quản lý rủi ro trước tiên phải xác định mức độ chấp nhận rủi ro của tổ chức - tức là mức độ rủi ro mà tổ chức sẵn sàng chấp nhận để hiện thực hóa các mục tiêu của mình. Một số rủi ro sẽ phù hợp với khẩu vị rủi ro và được chấp nhận mà không cần thực hiện thêm hành động nào. Những nội dung khác sẽ được giảm thiểu để giảm bớt các tác động tiêu cực tiềm ẩn, được chia sẻ hoặc chuyển giao cho bên khác hoặc tránh hoàn toàn.

Mọi tổ chức đều phải đối mặt với nguy cơ xảy ra các sự kiện bất ngờ, có hại có thể khiến tổ chức tốn kém hoặc trong trường hợp xấu nhất là khiến tổ chức phải đóng cửa. Hướng dẫn quản lý rủi ro này cung cấp cái nhìn tổng quan toàn diện về các khái niệm, yêu cầu, công cụ, xu hướng và tranh luận chính thúc đẩy lĩnh vực năng động này. Xuyên suốt, các siêu liên kết kết nối với các bài viết khác của TechTarget nhằm cung cấp thông tin chuyên sâu về các chủ đề được đề cập ở đây, vì vậy hãy nhớ nhấp vào chúng để tìm hiểu thêm.

Xem thêm: Pháp lý tái cấu trúc doanh nghiệp của Công ty Luật TNHH Everest

2- Vì sao quản lý rủi ro lại quan trọng

Quản lý rủi ro có lẽ chưa bao giờ quan trọng hơn bây giờ. Những rủi ro mà các tổ chức hiện đại phải đối mặt ngày càng phức tạp hơn, được thúc đẩy bởi tốc độ toàn cầu hóa nhanh chóng. Những rủi ro mới liên tục xuất hiện, thường liên quan và được tạo ra bởi việc sử dụng phổ biến công nghệ kỹ thuật số hiện nay. Biến đổi khí hậu được các chuyên gia rủi ro mệnh danh là “hệ số nhân mối đe dọa”.

Một rủi ro bên ngoài gần đây ban đầu biểu hiện dưới dạng vấn đề về chuỗi cung ứng ở nhiều công ty -đại dịch COVID-19 - nhanh chóng phát triển thành một mối đe dọa hiện hữu, ảnh hưởng đến sức khỏe và sự an toàn của nhân viên, phương tiện kinh doanh, khả năng tương tác với khách hàng và uy tín của công ty.

Các doanh nghiệp đã nhanh chóng điều chỉnh trước các mối đe dọa do đại dịch gây ra. Tuy nhiên, trong tương lai, họ đang phải vật lộn với những rủi ro mới, bao gồm vấn đề đang diễn ra về việc làm thế nào hoặc có nên đưa nhân viên trở lại văn phòng hay không, những gì có thể làm để khiến chuỗi cung ứng ít bị tổn thương hơn, lạm phát cũng như những ảnh hưởng kinh tế và kinh doanh của cuộc chiến ở Việt Nam. Ukraina.

Ở nhiều công ty, các giám đốc điều hành kinh doanh và ban giám đốc đang có cái nhìn mới về các chương trình quản lý rủi ro của họ. Các tổ chức đang đánh giá lại khả năng gặp rủi ro của họ, kiểm tra các quy trình rủi ro và xem xét lại ai nên tham gia vào việc quản lý rủi ro. Các công ty hiện đang áp dụng cách tiếp cận mang tính phản ứng để quản lý rủi ro - đề phòng những rủi ro trong quá khứ và thay đổi phương pháp thực hành sau khi rủi ro mới gây ra tác hại - đang xem xét lợi thế cạnh tranh của cách tiếp cận chủ động hơn. 

Người ta ngày càng quan tâm đến việc hỗ trợ tính bền vững, khả năng phục hồi và sự linh hoạt của doanh nghiệp. Các công ty cũng đang khám phá cách công nghệ AI và nền tảng GRC tinh vi có thể cải thiện việc quản lý rủi ro.

Các ngành tài chính và phi tài chính. Trong các cuộc thảo luận về quản lý rủi ro, nhiều chuyên gia lưu ý rằng quản lý rủi ro là một chức năng chính thức tại các công ty được quản lý chặt chẽ và có mô hình kinh doanh dựa trên rủi ro.

Ví dụ, các ngân hàng và công ty bảo hiểm từ lâu đã có các bộ phận quản lý rủi ro lớn thường do giám đốc quản lý rủi ro (giám đốc quản lý rủi ro - CRO) đứng đầu, một chức danh vẫn còn tương đối hiếm gặp bên ngoài ngành tài chính. Hơn nữa, những rủi ro mà các công ty dịch vụ tài chính gặp phải có xu hướng bắt nguồn từ các con số và do đó có thể được định lượng và phân tích một cách hiệu quả bằng cách sử dụng công nghệ đã biết và các phương pháp hoàn thiện. Các kịch bản rủi ro trong các công ty tài chính có thể được mô hình hóa với độ chính xác nhất định.

Đối với các ngành khác, rủi ro có xu hướng chất lượng hơn và do đó khó quản lý hơn, làm tăng nhu cầu về cách tiếp cận có chủ ý, kỹ lưỡng và nhất quán để quản lý rủi ro, nhà phân tích Matt Shinkman của Gartner, người đứng đầu hoạt động kiểm toán và quản lý rủi ro doanh nghiệp của công ty tư vấn cho biết. Ông nói thêm: “Các chương trình quản lý rủi ro doanh nghiệp nhằm mục đích giúp các công ty này trở nên thông minh nhất có thể trong việc quản lý rủi ro”.

Xem thêm: Dịch vụ pháp lý về tổ chức lại doanh nghiệp của Công ty Luật TNHH Everest

3- Quản lý rủi ro truyền thống so với quản lý rủi ro doanh nghiệp

Quản lý rủi ro truyền thống ngày nay thường bị đánh giá thấp so với quản lý rủi ro doanh nghiệp. Cả hai cách tiếp cận đều nhằm mục đích giảm thiểu rủi ro có thể gây hại cho tổ chức. Cả hai đều mua bảo hiểm để bảo vệ trước một loạt rủi ro -- từ tổn thất do hỏa hoạn và trộm cắp cho đến trách nhiệm pháp lý trên mạng. Cả hai đều tuân thủ hướng dẫn do các cơ quan tiêu chuẩn chính cung cấp. Tuy nhiên, các chuyên gia lập luận rằng quản lý rủi ro truyền thống thiếu tư duy và cơ chế cần thiết để hiểu rủi ro là một phần không thể thiếu trong chiến lược và hiệu quả hoạt động của doanh nghiệp.

Đối với nhiều công ty, "rủi ro là một từ có bốn chữ cái bẩn thỉu - và điều đó thật đáng tiếc", Valente của Forrester nói. “Trong ERM, rủi ro được coi là yếu tố hỗ trợ chiến lược so với chi phí kinh doanh”.

Theo Shinkman, "Siloed" và toàn diện là một trong những điểm khác biệt lớn giữa hai cách tiếp cận. Ví dụ, trong các chương trình quản lý rủi ro truyền thống, rủi ro thường là công việc của các nhà lãnh đạo doanh nghiệp phụ trách các đơn vị nơi có rủi ro. Ví dụ: Giám đốc thông tin ((Chief Information Officer -  CIO) hoặc Giám đốc công nghệ (Chief Technology Officer - CTO) chịu trách nhiệm về rủi ro công nghệ thông tin, Giám đốc tài chính (Chief Financial Officer - CFO) chịu trách nhiệm về rủi ro tài chính, Giám đốc vận hành (Chief operating officer - COO) chịu trách nhiệm về rủi ro hoạt động... Shinkman giải thích, các phòng ban và đơn vị kinh doanh có thể có sẵn các hệ thống phức tạp để quản lý các loại rủi ro khác nhau, nhưng công ty vẫn có thể gặp rắc rối do không nhìn thấy mối quan hệ giữa các rủi ro hoặc tác động tích lũy của chúng đối với hoạt động. Quản lý rủi ro truyền thống cũng có xu hướng mang tính phản ứng hơn là chủ động.

Shinkman nói: “Đại dịch là một ví dụ điển hình về một vấn đề rủi ro rất dễ bị bỏ qua nếu bạn không có cái nhìn toàn diện, chiến lược dài hạn về các loại rủi ro có thể gây tổn hại cho bạn với tư cách là một công ty”. “Rất nhiều công ty sẽ nhìn lại và nói, 'Bạn biết đấy, đáng lẽ chúng ta phải biết về điều này, hoặc ít nhất là nghĩ về những tác động tài chính của những việc như thế này trước khi nó xảy ra'".

Trong quản lý rủi ro doanh nghiệp, quản lý rủi ro là nỗ lực hợp tác, đa chức năng và có bức tranh toàn cảnh. Một nhóm ERM, có thể chỉ khoảng năm người, làm việc với các lãnh đạo đơn vị kinh doanh và nhân viên để trao đổi với họ, giúp họ sử dụng các công cụ phù hợp để suy nghĩ về các rủi ro, đối chiếu thông tin đó và trình bày với ban lãnh đạo điều hành và hội đồng quản trị của tổ chức. Shinkman cho biết, việc có được sự tín nhiệm với các giám đốc điều hành trong toàn doanh nghiệp là điều bắt buộc đối với các nhà lãnh đạo rủi ro thuộc loại này.

Ông nói, những loại chuyên gia này ngày càng xuất thân từ nền tảng tư vấn hoặc có “tư duy tư vấn” và họ có hiểu biết sâu sắc về cơ chế kinh doanh. Không giống như quản lý rủi ro truyền thống, nơi người đứng đầu rủi ro thường báo cáo cho CFO, người đứng đầu nhóm quản lý rủi ro doanh nghiệp - cho dù họ giữ chức danh giám đốc rủi ro hay chức danh nào khác - thường báo cáo cho Giám đốc điều hành, một sự thừa nhận rằng rủi ro là một phần tất yếu của chiến lược kinh doanh.

Khi xác định vai trò của giám đốc rủi ro, Forrester phân biệt giữa "CRO giao dịch" thường thấy trong các chương trình quản lý rủi ro truyền thống và "CRO chuyển đổi" áp dụng cách tiếp cận ERM. Theo Forrester, những người trước đây làm việc tại các công ty coi rủi ro là trung tâm chi phí và quản lý rủi ro như một chính sách bảo hiểm. Valente cho biết, các CRO chuyển đổi, theo từ điển Forrester, là những người "bị ám ảnh bởi khách hàng". Họ tập trung vào danh tiếng thương hiệu của công ty, hiểu bản chất theo chiều ngang của rủi ro và xác định ERM là “mức độ rủi ro thích hợp cần thiết để phát triển”, như Valente đã nói.

Không thích rủi ro là một đặc điểm khác của các tổ chức có chương trình quản lý rủi ro truyền thống. Nhưng như Valente đã lưu ý, các công ty tự nhận mình là không thích rủi ro với khẩu vị rủi ro thấp đôi khi lại đánh giá sai lầm trong đánh giá rủi ro của mình.

Valente nói: “Rất nhiều tổ chức cho rằng họ ít chấp nhận rủi ro, nhưng họ có kế hoạch phát triển không? Họ có tung ra sản phẩm mới không? Sự đổi mới có quan trọng không? Tất cả những điều này đều là chiến lược tăng trưởng và không phải không có rủi ro”.

- Thuật ngữ quản lý rủi ro:

Nhiều thuật ngữ được sử dụng để xác định các khía cạnh và thuộc tính khác nhau của quản lý rủi ro. Nhấp vào các siêu liên kết bên dưới để tìm hiểu thêm về một số thuật ngữ hữu ích cần biết.

(i) Rủi ro thuần túy, 

(ii) Rủi ro tồn dư,

(iii) Hồ sơ rủi ro,

(iv) Quản lý rủi ro tích hợp,

(v) Báo cáo rủi ro,

Xem thêm: Dịch vụ pháp lý về nhượng quyền thương mại của Công ty Luật TNHH Everest

4- Quy trình quản lý rủi ro

Bộ môn quản lý rủi ro đã xuất bản nhiều nội dung kiến thức cung cấp tài liệu về các cách thức để tổ chức quản lý rủi ro. Một trong những tài nguyên được biết đến nhiều nhất là tiêu chuẩn ISO 31000. Chính thức được gọi là ISO 31000:2018 Quản lý rủi ro - Nguyên tắc, nó được phát triển bởi Tổ chức Tiêu chuẩn hóa Quốc tế, một cơ quan tiêu chuẩn thường được gọi là ISO.

ISO 31000 đưa ra một quy trình quản lý rủi ro mà bất kỳ loại tổ chức nào cũng có thể sử dụng và bao gồm các bước sau để xác định, đánh giá và quản lý rủi ro:

(i) Xác định những rủi ro mà tổ chức của bạn phải đối mặt.

(ii) Phân tích khả năng và tác động có thể có của mỗi người.

(iii) Đánh giá và ưu tiên các rủi ro dựa trên mục tiêu kinh doanh.

(iv) Xử lý - hoặc ứng phó với - các tình trạng rủi ro.

(v) Theo dõi kết quả kiểm soát rủi ro và điều chỉnh khi cần thiết.

Các bước này rất đơn giản nhưng ủy ban quản lý rủi ro không nên đánh giá thấp công việc cần thiết để hoàn thành quy trình. Đối với những người mới bắt đầu, nó đòi hỏi sự hiểu biết vững chắc về điều gì khiến tổ chức nổi bật. Để đạt được điều đó, quy trình ISO 31000 cũng bao gồm một bước ban đầu để thiết lập phạm vi nỗ lực quản lý rủi ro, bối cảnh kinh doanh cho chúng và một bộ tiêu chí rủi ro. Mục tiêu cuối cùng là để biết mỗi rủi ro được xác định liên quan như thế nào đến rủi ro tối đa mà tổ chức sẵn sàng chấp nhận và những hành động nào cần được thực hiện để bảo tồn và nâng cao giá trị của tổ chức.

Theo chuyên gia rủi ro Greg Witte, kỹ sư bảo mật cấp cao của Huntington Ingalls Industries và là kiến trúc sư của các khuôn khổ do Viện Tiêu chuẩn và Công nghệ Quốc gia (National Institute of Standards and Technology - NIST) về an ninh mạng, rủi ro về quyền riêng tư và lực lượng lao động, cùng những vấn đề khác. Ví dụ: phải có bốn yếu tố sau để tạo ra một kịch bản rủi ro tiêu cực, theo hướng dẫn từ NISTIR 8286A, một báo cáo về xác định rủi ro an ninh mạng trong các sáng kiến ERM mà NIST xuất bản năm 2021:

(i) Một tài sản hoặc nguồn lực có giá trị có thể bị ảnh hưởng.

(ii) Nguồn gốc của hành động đe dọa sẽ hành động chống lại tài sản hoặc tài nguyên.

(iii) Một tình trạng hoặc lỗ hổng tồn tại từ trước cho phép nguồn đe dọa hành động.

(iv) Một số tác động có hại xảy ra từ nguồn đe dọa khai thác lỗ hổng đó.

Trong khi tiêu chí của NIST liên quan đến rủi ro tiêu cực, các quy trình tương tự có thể được áp dụng để quản lý rủi ro tích cực.

Từ trên xuống, từ dưới lên. Witte cho biết, khi xác định các kịch bản rủi ro có thể cản trở hoặc nâng cao các mục tiêu của tổ chức, nhiều ủy ban rủi ro thấy hữu ích khi áp dụng cách tiếp cận từ trên xuống, từ dưới lên. Trong hoạt động từ trên xuống, lãnh đạo xác định các quy trình quan trọng trong sứ mệnh của tổ chức và làm việc với các bên liên quan bên trong và bên ngoài để xác định các điều kiện có thể cản trở chúng. Quan điểm từ dưới lên bắt đầu với các nguồn đe dọa -- động đất, suy thoái kinh tế, tấn công mạng… - và xem xét tác động tiềm tàng của chúng đối với các tài sản quan trọng.

Nhiệm vụ cuối cùng trong bước xác định rủi ro là tổ chức ghi lại những phát hiện của mình vào sổ đăng ký rủi ro, giúp theo dõi rủi ro thông qua các bước tiếp theo của quy trình quản lý rủi ro. Một ví dụ về sổ đăng ký rủi ro như vậy có thể được tìm thấy trong báo cáo NISTIR 8286A được trích dẫn ở trên.

Xem thêm: Dịch vụ pháp lý trong lĩnh vực doanh nghiệp của Công ty Luật TNHH Everest

5- Các tiêu chuẩn và khuôn khổ quản lý rủi ro

Khi các quy tắc tuân thủ của chính phủ và ngành đã mở rộng trong hai thập kỷ qua, sự giám sát của cấp quản lý và cấp hội đồng đối với các hoạt động quản lý rủi ro doanh nghiệp cũng tăng lên, khiến việc phân tích rủi ro, kiểm toán nội bộ, đánh giá rủi ro và các tính năng khác của quản lý rủi ro trở thành một thành phần chính của chiến lược kinh doanh. Làm thế nào một tổ chức có thể kết hợp tất cả những điều này lại với nhau?

Các khuôn khổ được phát triển và phát triển một cách chặt chẽ do lĩnh vực quản lý rủi ro phát triển có thể hữu ích. Dưới đây là ví dụ mẫu về chúng, bắt đầu bằng mô tả ngắn gọn về hai khuôn khổ được công nhận rộng rãi nhất, ISO 31000 và khuôn khổ quản lý rủi ro doanh nghiệp do Ủy ban các tổ chức tài trợ của Ủy ban Treadway, hay còn gọi là COSO (the Committee of Sponsoring Organizations), đưa ra:

Khuôn khổ COSO ERM. Ra mắt vào năm 2004, khuôn khổ COSO đã được cập nhật vào năm 2017 để giải quyết mức độ phức tạp ngày càng tăng của ERM và nhấn mạnh tầm quan trọng của việc đưa các cân nhắc rủi ro vào chiến lược kinh doanh và liên kết quản lý rủi ro với hiệu suất hoạt động. Nó xác định các khái niệm và nguyên tắc chính của ERM, đề xuất ngôn ngữ ERM chung và đưa ra các hướng dẫn rõ ràng để quản lý rủi ro. Được phát triển bởi công ty tư vấn PwC với ý kiến đóng góp từ năm tổ chức thành viên của COSO và các cố vấn bên ngoài, khuôn khổ cập nhật này là một bộ gồm 20 nguyên tắc được tổ chức thành năm thành phần có liên quan với nhau:

(i) Quản trị và văn hóa.

(ii) Chiến lược và thiết lập mục tiêu.

(iii) Hiệu suất.

(iv) Xem xét và sửa đổi.

Thông tin, truyền thông và báo cáo.

ISO 31000. Được phát hành vào năm 2009 và được sửa đổi vào năm 2018, tiêu chuẩn ISO bao gồm danh sách các nguyên tắc ERM, khuôn khổ giúp các tổ chức áp dụng các cơ chế quản lý rủi ro vào hoạt động và quy trình nêu chi tiết ở trên để xác định, đánh giá và giảm thiểu rủi ro. Được phát triển bởi ủy ban kỹ thuật quản lý rủi ro của ISO với ý kiến đóng góp từ các cơ quan thành viên ISO quốc gia, ISO 31000:2018 là tài liệu ngắn hơn và ngắn gọn hơn so với tài liệu tiền nhiệm và bao gồm nhiều hướng dẫn chiến lược hơn về ERM. Phiên bản mới hơn cũng nhấn mạnh vai trò quan trọng của quản lý cấp cao trong các chương trình quản lý rủi ro và sự tích hợp các biện pháp quản lý rủi ro trong toàn tổ chức.

BS 31100. Phiên bản hiện tại của quy tắc thực hành quản lý rủi ro theo Tiêu chuẩn Anh này được ban hành vào năm 2021 và cung cấp quy trình triển khai các khái niệm được mô tả trong ISO 31000:2018 - bao gồm các chức năng như xác định, đánh giá và ứng phó với rủi ro, sau đó báo cáo và xem xét các hoạt động quản lý rủi ro.

Các khuôn khổ khác tập trung đặc biệt vào rủi ro công nghệ thông tin và an ninh mạng cũng có sẵn. Chúng bao gồm Khung quản lý rủi ro của NIST, trong đó nêu chi tiết quy trình tích hợp các sáng kiến quản lý rủi ro chuỗi cung ứng về bảo mật, quyền riêng tư dữ liệu và an ninh mạng vào vòng đời phát triển hệ thống và COBIT 2019 của hiệp hội chuyên nghiệp ISACA, một khung quản trị công nghệ và thông tin hỗ trợ các nỗ lực quản lý rủi ro công nghệ thông tin.

Các doanh nghiệp cũng có thể xem xét việc thiết lập các khuôn khổ tùy chỉnh cho các loại rủi ro cụ thể. Ví dụ, khuôn khổ quản lý rủi ro doanh nghiệp của Đại học Carnegie Mellon xem xét các rủi ro và cơ hội tiềm ẩn dựa trên các loại rủi ro sau: danh tiếng, an toàn tính mạng/sức khỏe, tài chính, sứ mệnh, hoạt động và tuân thủ/pháp lý.

Ngoài ra, các mô hình trưởng thành rủi ro khác nhau có thể được sử dụng để đánh giá khả năng quản lý rủi ro và đánh giá mức độ trưởng thành của chúng. Nổi bật nhất là Mô hình trưởng thành rủi ro (RMM) của Hiệp hội quản lý rủi ro và bảo hiểm, được phát triển vào năm 2005 với nhà cung cấp phần mềm LogicManager và được cập nhật vào năm 2022. RMM được cải tiến giúp các chuyên gia rủi ro đánh giá chương trình của họ theo năm loại: điều chỉnh chiến lược; văn hóa và trách nhiệm giải trình; khả năng quản lý rủi ro; quản trị rủi ro; và phân tích. Các mô hình trưởng thành rủi ro khác có sẵn từ Hiệp hội Quản lý Rủi ro, công ty tư vấn Nhà đầu tư Quản lý Rủi ro và Diễn đàn Quản lý Thuế của Tổ chức Hợp tác và Phát triển Kinh tế.

Mô hình ba dòng do Viện Kiểm toán nội bộ (The Institute of Internal Auditors - IIA) phát triển đưa ra một loại phương pháp tiếp cận tiêu chuẩn hóa khác để hỗ trợ các sáng kiến quản trị và quản lý rủi ro. Ban đầu được gọi là ba tuyến phòng thủ trước khi được đổi tên vào năm 2020, mô hình của IIA nêu ra các vai trò khác nhau mà các giám đốc điều hành doanh nghiệp, người quản lý rủi ro và tuân thủ cũng như kiểm toán viên nội bộ nên thực hiện trong các nỗ lực quản lý rủi ro, với cơ quan quản lý cung cấp sự giám sát và trách nhiệm giải trình.

Xem thêm: Dịch vụ pháp chế doanh nghiệp thuê ngoài (luật sư doanh nghiệp) của Công ty Luật TNHH Everest

6- Những lợi ích và thách thức của quản lý rủi ro

Quản lý hiệu quả những rủi ro có thể tác động tiêu cực hoặc tích cực đến vốn, thu nhập và hoạt động mang lại nhiều lợi ích. Nó cũng đưa ra những thách thức, ngay cả đối với các công ty có chiến lược quản lý rủi ro và GRC trưởng thành.

Lợi ích của việc quản lý rủi ro hiệu quả bao gồm:

(i) Nâng cao nhận thức về rủi ro trong toàn tổ chức.

(ii) Tự tin hơn vào các mục tiêu và mục đích của tổ chức vì rủi ro được đưa vào chiến lược.

(iii) Tuân thủ tốt hơn và hiệu quả hơn với các nhiệm vụ tuân thủ quy định và nội bộ vì việc tuân thủ được phối hợp.

(iv) Cải thiện hiệu quả hoạt động thông qua việc áp dụng nhất quán hơn các quy trình và kiểm soát rủi ro.

(v) Cải thiện an toàn và an ninh nơi làm việc cho nhân viên và khách hàng.

(vi) Một sự khác biệt cạnh tranh trên thị trường.

Sau đây là một số thách thức mà các nhóm quản lý rủi ro sẽ gặp phải:

(i) Chi phí ban đầu tăng lên vì các chương trình quản lý rủi ro có thể yêu cầu phần mềm và dịch vụ đắt tiền.

(ii) Việc tăng cường nhấn mạnh vào quản trị cũng đòi hỏi các đơn vị kinh doanh phải đầu tư thời gian và tiền bạc để tuân thủ.

(iii) Đạt được sự đồng thuận về mức độ nghiêm trọng của rủi ro và cách xử lý nó có thể là một công việc khó khăn và gây tranh cãi và đôi khi dẫn đến sự tê liệt trong phân tích rủi ro.

(iv) Việc chứng minh giá trị của quản lý rủi ro cho các giám đốc điều hành mà không thể cung cấp cho họ những con số cụ thể là điều khó khăn.

Xem thêm: Dịch vụ pháp lý trong lĩnh vực lao động của Công ty Luật TNHH Everest

7- Cách xây dựng và thực hiện kế hoạch quản lý rủi ro

Kế hoạch quản lý rủi ro mô tả cách tổ chức sẽ quản lý rủi ro. Nó đưa ra các yếu tố như cách tiếp cận rủi ro của tổ chức, vai trò và trách nhiệm của các nhóm quản lý rủi ro, các nguồn lực sẽ được sử dụng trong quy trình quản lý rủi ro cũng như các chính sách và thủ tục nội bộ.

Theo Witte, quy trình bảy bước tổng thể của ISO 31000 là một hướng dẫn hữu ích cần tuân theo để phát triển một kế hoạch và sau đó triển khai khuôn khổ ERM. Dưới đây là tóm tắt chi tiết hơn về các thành phần của nó:

Truyền thông và tư vấn: Vì nâng cao nhận thức về rủi ro là một phần thiết yếu của quản lý rủi ro nên người lãnh đạo rủi ro cũng phải xây dựng kế hoạch truyền thông để truyền đạt các chính sách và quy trình rủi ro của tổ chức tới nhân viên và các bên liên quan. Bước này thiết lập giai điệu cho các quyết định rủi ro ở mọi cấp độ. Khán giả bao gồm bất kỳ ai quan tâm đến cách tổ chức tận dụng những rủi ro tích cực và giảm thiểu những rủi ro tiêu cực.

Thiết lập phạm vi và bối cảnh: Bước này yêu cầu xác định cả mức độ chấp nhận rủi ro và mức độ chấp nhận rủi ro của tổ chức - bước sau là mức độ rủi ro liên quan đến các sáng kiến cụ thể có thể khác nhau như thế nào so với mức độ chấp nhận rủi ro tổng thể. Các yếu tố cần xem xét ở đây bao gồm mục tiêu kinh doanh, văn hóa công ty, các yêu cầu pháp lý và môi trường chính trị, cùng nhiều yếu tố khác.

Nhận dạng rủi ro: Bước này xác định các kịch bản rủi ro có thể có tác động tích cực hoặc tiêu cực đến khả năng tiến hành kinh doanh của tổ chức. Như đã lưu ý ở trên, danh sách kết quả phải được ghi lại vào sổ đăng ký rủi ro và được cập nhật.

Phân tích rủi ro: Khả năng xảy ra và tác động của từng rủi ro được phân tích để giúp phân loại rủi ro. Việc lập bản đồ nhiệt rủi ro có thể hữu ích ở đây; còn được gọi là ma trận đánh giá rủi ro, nó cung cấp sự thể hiện trực quan về bản chất và tác động của rủi ro của công ty. Ví dụ: một nhân viên xin nghỉ ốm là một sự kiện có khả năng xảy ra cao và có ít hoặc không ảnh hưởng đến hầu hết các công ty.

Một trận động đất, tùy thuộc vào vị trí, là một ví dụ về sự kiện có nguy cơ xảy ra thấp và có tác động lớn. Cách tiếp cận định tính mà nhiều tổ chức sử dụng để đánh giá khả năng và tác động của rủi ro có thể được hưởng lợi từ việc phân tích định lượng hơn. Viện FAIR, một hiệp hội chuyên nghiệp nhằm thúc đẩy khuôn khổ Phân tích nhân tố của Rủi ro thông tin để định lượng rủi ro mạng, có các ví dụ về cách tiếp cận thứ hai.

Đánh giá rủi ro: Đây là nơi các tổ chức đánh giá rủi ro và quyết định cách ứng phó với chúng thông qua các phương pháp sau:

(i) Tránh rủi ro, khi tổ chức tìm cách loại bỏ, rút lui hoặc không tham gia vào rủi ro tiềm ẩn.

(ii) Giảm thiểu rủi ro, trong đó tổ chức thực hiện các hành động để hạn chế hoặc tối ưu hóa rủi ro.

(iii) Chia sẻ hoặc chuyển giao rủi ro, bao gồm việc ký hợp đồng với bên thứ ba (ví dụ: công ty bảo hiểm) để chịu một số hoặc toàn bộ chi phí cho một rủi ro có thể xảy ra hoặc có thể không xảy ra.

(iv) Chấp nhận rủi ro, khi rủi ro nằm trong khả năng chấp nhận và chấp nhận rủi ro của tổ chức và được chấp nhận mà không thực hiện bất kỳ biện pháp giảm thiểu rủi ro nào.

(v) Xử lý rủi ro. Bước này liên quan đến việc áp dụng các biện pháp kiểm soát và quy trình đã thống nhất và xác nhận chúng hoạt động theo đúng kế hoạch.

(vi) Giám sát và xem lại. Các điều khiển có hoạt động như dự định không? Chúng có thể được cải thiện không? Các hoạt động giám sát nên đo lường hiệu suất và tìm kiếm các chỉ số rủi ro chính có thể gây ra thay đổi trong chiến lược.

Xem thêm: Dịch vụ pháp lý trong lĩnh vực đầu tư của Công ty Luật TNHH Everest

8- Thực hành tốt nhất về quản lý rủi ro

Điểm khởi đầu tốt cho bất kỳ tổ chức nào mong muốn tuân theo các phương pháp thực hành tốt nhất về quản lý rủi ro là chín nguyên tắc quản lý rủi ro của ISO 31000. Theo ISO, chương trình quản lý rủi ro cần đáp ứng các mục tiêu sau:

(i) Tạo ra và bảo vệ giá trị cho tổ chức, như một nguyên tắc bao trùm.

(ii) Được tích hợp vào các quy trình tổ chức tổng thể.

(iii) Hãy có hệ thống, có cấu trúc và toàn diện.

(iv) Hãy dựa trên những thông tin tốt nhất hiện có.

(v) Được thiết kế riêng cho từng dự án.

(vi) Tính đến các yếu tố con người và văn hóa, bao gồm cả những sai sót tiềm ẩn.

(vii) Hãy minh bạch và bao gồm tất cả.

(viiii) Hãy năng động và thích nghi với sự thay đổi.

(ix) Được theo dõi và cải tiến liên tục.

Xem thêm: Dịch vụ pháp lý trong lĩnh vực thương mại của Công ty Luật TNHH Everest

9- Hạn chế quản lý rủi ro và ví dụ về thất bại

Thất bại trong quản lý rủi ro thường xuất phát từ hành vi sai trái cố ý, sự liều lĩnh trắng trợn hoặc một loạt sự kiện đáng tiếc mà không ai có thể lường trước được. Nhưng việc kiểm tra những thất bại phổ biến trong quản lý rủi ro cho thấy rằng việc quản lý rủi ro sai lầm thường xảy ra do những sai lầm có thể tránh được - và việc chạy theo lợi nhuận theo cách thông thường. Dưới đây là danh sách một số sai lầm cần tránh.

Quản trị kém: Câu chuyện rắc rối về việc Citibank vô tình trả khoản vay 900 triệu USD bằng tiền của chính mình cho những người cho vay của Revlon vào năm 2020 khi chỉ đến hạn thanh toán một khoản lãi nhỏ cho thấy ngay cả ngân hàng lớn nhất thế giới cũng có thể gây rối loạn trong việc quản lý rủi ro - mặc dù đã cập nhật. chính sách về điều kiện làm việc trong đại dịch và áp dụng nhiều biện pháp kiểm soát.

Mặc dù có liên quan đến lỗi của con người và phần mềm cồng kềnh, nhưng một thẩm phán liên bang đã ra phán quyết rằng quản trị kém là nguyên nhân sâu xa, mặc dù tòa phúc thẩm đã hủy bỏ lệnh rằng ngân hàng không có quyền hoàn lại tiền từ người cho vay. Tuy nhiên, hai tháng sau khi thanh toán sai, Citibank đã bị các cơ quan quản lý Hoa Kỳ phạt 400 triệu USD vì những sai sót trong quản trị "lâu dài" và đồng ý xem xét lại hoạt động quản lý rủi ro nội bộ, quản trị dữ liệu và kiểm soát tuân thủ.

Nhấn mạnh quá mức vào hiệu quả so với khả năng phục hồi: Hiệu quả cao hơn có thể dẫn đến lợi nhuận lớn hơn khi mọi việc suôn sẻ. Tuy nhiên, làm mọi việc nhanh hơn, nhanh hơn và rẻ hơn bằng cách thực hiện chúng theo cùng một cách mọi lúc có thể dẫn đến thiếu khả năng phục hồi, như các công ty đã nhận ra trong thời kỳ đại dịch khi chuỗi cung ứng bị phá vỡ. Valente của Forrester cho biết: “Khi chúng ta nhìn vào bản chất của thế giới… mọi thứ luôn thay đổi”. "Vì vậy, chúng ta phải hiểu rằng hiệu quả là rất lớn, nhưng chúng ta cũng phải lập kế hoạch cho tất cả những điều có thể xảy ra".

Thiếu minh bạch: Vụ bê bối liên quan đến việc văn phòng thống đốc New York báo cáo thiếu các trường hợp tử vong liên quan đến coronavirus tại các viện dưỡng lão ở bang này trong năm 2020 và 2021 là đại diện cho một thất bại phổ biến trong quản lý rủi ro. Việc che giấu dữ liệu, thiếu dữ liệu và dữ liệu bị ẩn - cho dù do hành vi ủy quyền hay thiếu sót -- đều có thể gây ra các vấn đề về tính minh bạch. Để tránh điều đó đòi hỏi phải có chiến lược quản lý rủi ro trên toàn doanh nghiệp với thuật ngữ rủi ro chung, quy trình được ghi lại và thu thập và quản lý tập trung dữ liệu rủi ro chính.

Hạn chế của kỹ thuật phân tích rủi ro: Nhiều kỹ thuật phân tích rủi ro, chẳng hạn như tạo mô hình dự đoán rủi ro hoặc mô phỏng rủi ro, yêu cầu thu thập lượng lớn dữ liệu. Việc thu thập dữ liệu mở rộng có thể tốn kém và không đảm bảo độ tin cậy. Hơn nữa, việc sử dụng dữ liệu trong quá trình ra quyết định có thể mang lại kết quả kém nếu sử dụng các chỉ số đơn giản để phản ánh các tình huống rủi ro phức tạp. Ngoài ra, việc áp dụng một quyết định dành cho một khía cạnh nhỏ của dự án cho toàn bộ dự án có thể dẫn đến kết quả không chính xác.

Thiếu chuyên môn phân tích rủi ro: Các chương trình phần mềm được phát triển để mô phỏng các sự kiện có thể tác động tiêu cực đến công ty có thể tiết kiệm chi phí nhưng chúng cũng yêu cầu nhân viên được đào tạo chuyên sâu để hiểu chính xác kết quả được tạo ra.

Ảo tưởng về sự kiểm soát: Các mô hình rủi ro có thể khiến các tổ chức tin tưởng sai lầm rằng họ có thể định lượng và điều chỉnh mọi rủi ro tiềm ẩn. Điều này có thể khiến tổ chức bỏ qua khả năng xảy ra những rủi ro mới hoặc rủi ro không mong muốn.

Xem thêm: Dịch vụ pháp lý trong lĩnh vực sở hữu trí tuệ của Công ty Luật TNHH Everest

10- Xu hướng quản lý rủi ro

Sự chú ý tập trung vào quản lý rủi ro trong đại dịch COVID-19 đã thúc đẩy nhiều công ty không chỉ xem xét lại các hoạt động quản lý rủi ro của mình mà còn khám phá các kỹ thuật, công nghệ và quy trình mới để quản lý rủi ro. Khi nhìn vào các xu hướng đang định hình lại quản lý rủi ro cho thấy, lĩnh vực này đang tràn ngập các ý tưởng.

Ngày càng có nhiều tổ chức áp dụng mô hình trưởng thành rủi ro để đánh giá quy trình rủi ro của họ và quản lý tốt hơn mối liên kết giữa các mối đe dọa trên toàn doanh nghiệp. Họ đang xem xét lại các nền tảng GRC để tích hợp các hoạt động quản lý rủi ro, quản lý chính sách, tiến hành đánh giá rủi ro, xác định các lỗ hổng trong việc tuân thủ quy định và tự động hóa kiểm toán nội bộ, cùng các nhiệm vụ khác. Các tính năng GRC mới hơn mà các chuyên gia quản lý rủi ro cho rằng nên được xem xét bao gồm:

(i) Phân tích rủi ro địa chính trị, thiên tai và các sự kiện khác.Giám sát phương tiện truyền thông xã hội để theo dõi những thay đổi về danh tiếng thương hiệu.

(ii) Hệ thống bảo mật để đánh giá tác động tiềm ẩn của việc vi phạm dữ liệu và tấn công mạng.

(iii) Công cụ đánh giá rủi ro của bên thứ ba giúp tăng cường quản lý rủi ro chuỗi cung ứng.

(iv) Ngoài việc sử dụng quản lý rủi ro để tránh những tình huống xấu, nhiều công ty đang tìm cách chính thức hóa cách quản lý rủi ro tích cực để tăng thêm giá trị kinh doanh.

Họ cũng đang có cái nhìn mới về các tuyên bố chấp nhận rủi ro. Theo truyền thống được sử dụng như một phương tiện để giao tiếp với nhân viên, nhà đầu tư và cơ quan quản lý, các tuyên bố chấp nhận rủi ro đang bắt đầu được sử dụng linh hoạt hơn, thay thế các bài tập tuân thủ "kiểm tra hộp" bằng cách tiếp cận nhiều sắc thái hơn đối với các tình huống rủi ro. Lời cảnh báo? Một tuyên bố khẩu vị rủi ro được diễn đạt kém có thể ảnh hưởng đến công ty hoặc bị các cơ quan quản lý hiểu sai là dung túng những rủi ro không thể chấp nhận được.

Ngày càng có nhiều tổ chức kết nối các sáng kiến quản lý rủi ro với các chương trình môi trường, xã hội và quản trị (ESG). Điều đó khiến cho việc quản lý rủi ro bền vững và nỗ lực giải quyết các loại rủi ro ESG khác trở thành ưu tiên cao hơn đối với các công ty đang tìm cách làm cho hoạt động của mình bền vững hơn và đảm bảo rằng họ hành động một cách có trách nhiệm và có đạo đức.

Cuối cùng, mặc dù rất khó để đưa ra dự đoán - đặc biệt là về tương lai, như câu ngạn ngữ vẫn nói - các công cụ đo lường và giảm thiểu rủi ro đang ngày càng tốt hơn. Trong số những cải tiến? Các công cụ cảm biến bên trong và bên ngoài giúp phát hiện các rủi ro có xu hướng và mới nổi.

Xem thêm: Dịch vụ thư ký pháp lý thuê ngoài của Công ty Luật TNHH Everest

11- Khuyến nghị của Công ty Luật TNHH Everest

[a] Bài viết Quản lý rủi ro doanh nghiệp (Enterprise risk management) được chuyên gia của Công ty Luật TNHH Everest thực hiện nhằm mục đích nghiên cứu khoa học hoặc phổ biến kiến thức pháp luật, hoàn toàn không nhằm mục đích thương mại.

[b] Bài viết  Quản lý rủi ro doanh nghiệp (Enterprise risk management) có sử dụng những kiến thức hoặc ý kiến của các chuyên gia được trích dẫn từ nguồn đáng tin cậy. Tại thời điểm trích dẫn những nội dung này, chúng tôi đồng ý với quan điểm của tác giả. Tuy nhiên, quý vị chỉ nên coi đây là những thông tin tham khảo, bởi nó có thể chỉ là quan điểm cá nhân người viết.

[c] Trường hợp cần giải đáp thắc mắc về vấn đề có liên quan, hoặc cần ý kiến pháp lý, hoặc thuê luật sư tư vấn cho vụ việc cụ thể, Quý vị vui lòng liên hệ với luật sư, chuyên gia của Công ty Luật TNHH Everest qua Tổng đài tư vấn pháp luật: (024) 66 527 527, E-mail: info@everest.org.vn.