Mọi công ty đều phải đối mặt với rủi ro. Nếu không chấp nhận một mức độ rủi ro nào đó, doanh nghiệp có thể có ít cơ hội duy trì khả năng cạnh tranh. Nhưng nếu chấp nhận quá nhiều rủi ro có thể dẫn đến thất bại trong kinh doanh. Một khung quản trị rủi ro (Risk Management Framework) hiệu quả sẽ giúp doanh nghiệp đạt được sự cân bằng hợp lý, bảo vệ vốn và thu nhập mà không cản trở sự tăng trưởng. Ngoài ra, các nhà đầu tư cũng sẵn sàng đầu tư vào các công ty có hoạt động quản lý rủi ro tốt dẫn đến chi phí vay thấp hơn, dễ tiếp cận vốn hơn và cải thiện hiệu suất tăng trưởng dài hạn.
Một công ty tốt sẽ có khung quản trị rủi ro (Risk Management Framework) toàn diện xác định được các rủi ro hiện có và rủi ro tiềm ẩn đồng thời đánh giá cách xử lý nếu chúng phát sinh. Dù doanh nghiệp của bạn đang hoạt động trong bất kỳ lĩnh vực nào từ tài chính, kế toán, công nghệ thông tin, dữ liệu cho đến y tế, sản xuất, năng lượng, tư nhân hoặc chính phủ,… chỉ cần những rủi ro tiềm ẩn vẫn đang rình rập và có thể gây ra hậu quả nghiêm trọng cho doanh nghiệp nếu nó xảy ra thì doanh nghiệp cần phải xây dựng một khung quản trị rủi ro.
Vậy đối với doanh nghiệp, xây dựng khung quản trị rủi ro lúc nào là phù hợp? Cốt lõi của một khung quản trị rủi ro có hiệu quả? Và đâu là một vài khung quản trị rủi ro “chuẩn quốc tế” được công nhận mà doanh nghiệp có thể tham khảo? Quý độc giả hãy cùng theo dõi đến cuối bài phân tích ngày hôm nay cùng Fica Holding.
Hiểu về khung quản trị rủi ro và ứng dụng thực tế tại Việt Nam
Quản lý rủi ro hiệu quả đóng vai trò quan trọng trong việc theo đuổi sự ổn định và tăng trưởng của bất kỳ công ty nào được điều hành tốt. Việc áp dụng khung quản lý rủi ro lồng ghép các thông lệ tốt nhất vào văn hóa rủi ro của công ty có thể đảm bảo khả năng chống chọi với cả những nguy cơ có thể dự đoán và không thể dự đoán mà công ty có thể phải đối mặt trong tương lai.
Việc có một khung quản trị rủi ro không chỉ dừng ở việc giảm thiểu rủi ro, mà là quản lý các rủi ro một cách hiệu quả, toàn diện, làm cơ sở cho việc bảo toàn và phát triển các giá trị của tổ chức. Không chỉ dừng lại ở quản trị rủi ro, khung quản trị rủi ro tương đương với công cụ đắc lực trong quản trị doanh nghiệp và giúp doanh nghiệp đạt được mục tiêu chiến lược đã đề ra bằng cách cung cấp thông tin cho Hội đồng quản trị/Hội đồng thành viên các rủi ro trọng yếu và các biện pháp cần thực hiện.
Thực tế triển khai Khung quản trị rủi ro Việt Nam
Tại Việt Nam, thực tế đã có nhiều doanh nghiệp, tổ chức áp dụng tiêu chuẩn quản lý rủi ro ISO 31000 vào hoạt động và đã mang lại hiệu quả thiết thực. Chẳng hạn, Dự án áp dụng ISO 31000 tại Công ty Cổ phần bóng đèn Điện Quang (TP. Hồ Chí Minh) là một ví dụ điển hình. Công ty này đã được hướng dẫn áp dụng hệ thống quản lý rủi ro theo ISO 31000 cho toàn bộ hoạt động. Phương pháp thực hiện chủ yếu là dựa vào thực hành, các bước thực hiện dưới đây phần lớn liên quan đến việc đánh giá ban đầu, đào tạo doanh nghiệp, thực hành hệ thống quản lý rủi ro; đánh giá hiệu quả và cải tiến.
Trong phương pháp này, nhóm dự án trực tiếp cùng đại diện doanh nghiệp thực hành các công cụ cải tiến tại chỗ, đo lường kết quả thực hành trước và sau khi cải tiến để xác định mức độ cải tiến bằng định lượng.
Hệ thống quản lý rủi ro của Điện Quang được thiết lập theo chuẩn mực quốc tế ISO 31000:2009, bao gồm: chính sách, mục tiêu quản lý rủi ro; khuôn khổ rủi ro; quy trình quản lý rủi ro; danh mục rủi ro và danh mục rủi ro đáng kể (tổng cộng hơn 230 rủi ro đã được nhận dạng). Bên cạnh đó là các phân tích, đánh giá và xác định mức độ ảnh hưởng của các rủi ro; các giải pháp hạn chế rủi ro và kế hoạch xử lý giảm thiểu rủi ro đáng kể.
Theo đó, hệ thống quản lý rủi ro theo ISO 31000 được áp dụng cho toàn thể các phòng ban của Công ty Điện Quang. Trong quá trình triển khai, Công ty đã nhận dạng và xác định được 17 rủi ro đáng kể để tập trung theo dõi và xử lý. Kết quả đã xử lý được 12/17 rủi ro (chiếm 70,5%), giảm thiểu so với trước khi áp dụng ISO 31000 theo số liệu thống kê.
Khi áp dụng Khung quản trị rủi ro trong thực tiễn doanh nghiệp gặp những khó khăn gì
Việc triển khai Khung quản trị rủi ro trong doanh nghiệp là một quá trình phức tạp và đầy thách thức, đặc biệt đối với những công ty thực hiện lần đầu. Nhưng theo thực tiễn đánh giá của Fica Holding, những khó khăn khi áp dụng một khung quản trị rủi ro vào thực tiến hoạt động doanh nghiệp là do 2 nguyên nhân sau: một là chưa hiểu đúng về khung “chuẩn” quản trị rủi ro, dẫn đến việc áp dụng bị sai lệnh và thiếu linh hoạt; thứ hai là sự đội ngũ nhân sự, quy trình, hệ thống hỗ trợ bên trong chưa hoàn thiện.
Khung quản trị rủi theo tiêu chuẩn thường có tính bao quát đa ngành và áp dụng cho nhiều trường hợp từ cụ thể đến chi tiết. Cũng tức là mỗi doanh nghiệp trong một ngành cụ thể, và với các nhóm rủi ro đặc thù cần phải tinh chỉnh và linh hoạt tương ứng để quản trị rủi ro theo COSO hiệu quả. Và nếu những sự hiểu sai, bóp méo, tinh chỉnh không dựa bên bản chất, không phù hợp, thì việc nhìn nhận các vấn đề quản lý rủi ro doanh nghiệp qua đây cũng sẽ sai lệch và méo mó tương ứng.
Nếu doanh nghiệp thấy khung quản trị rủi ro phức tạp và khó sử dụng thì việc quản trị rủi ro cũng vậy, phức tạp thậm chí là không cần thiết. Nhưng ngược lại, khung quản trị rủi ro đã được tinh chỉnh, lược bỏ những phần kém quan trọng và được ứng dụng linh hoạt cho các loại rủi ro đặc trưng của doanh nghiệp, thì việc quản lý rủi ro thông qua khung này sẽ mang lại hiệu quả rõ rệt
Vậy câu hỏi đặt ra là tại sao chúng ta lại phải cần đến khung quản trị rủi ro ? Việc tiếp cận quản trị rủi ro theo một khung quản trị rủi ro “tiêu chuẩn” đồng nghĩa với cách tiếp cận có hệ thống, có quy trình và có khoa học: tất cả các khía cạnh về quản trị rủi ro doanh nghiệp đểu được đặt lên “bàn cân”, không một rủi ro nào bị bỏ sót. Việc cắt gọt đi những thứ đã có hoặc thêm thắt một số vào một khung hoàn chỉnh thì sẽ dễ dàng, tiết kiệm thời gian và mang lại hiệu quả nhanh chóng hơn so với việc xây mới (trong đa số trường hợp kinh doanh thì là thế).
Quan trọng nhất khi quản lý rủi ro là doanh nghiệp buộc phải biết họ đang làm gì, tức là không chỉ ông chủ doanh nghiệp “thiết tha” mà các bộ phận phòng ban và cá nhân trong các phòng ban đó cũng phải biết được họ đang đóng vai trò gì trong khung quản trị rủi ro này. Cái này không chỉ đúng với COSO mà còn đúng với tất cả những khung quản trị rủi ro khác. Không hiểu được thì sẽ không thể phối hợp được, không thể phối hợp thì hệ thống hỗ trợ, quy trình có “xịn đét”, khung áp dụng “chuẩn quốc tế” cũng không hơn gì “hòn đá cản đường” các hoạt động kiếm tiền thường ngày của doanh nghiệp.
Ban lãnh đạo thường thiếu cam kết mạnh mẽ trong việc thực hiện, dẫn đến việc triển khai mang tính hình thức và không nhất quán trong toàn doanh nghiệp đây là thách thức đầu tiên mà Fica Holding thấy khi đi tư vấn thực tiễn ở nhiều doanh nghiệp. Nhưng quản trị rủi ro nếu chỉ là một hướng từ trên xuống (Topdown) cũng không hiệu quả. Nhiều người lãnh đạo chỉ đưa ra một danh sách rủi ro cho các phòng ban rồi bảo họ đấy các anh quản lý đi thì chắc chắn là không có ai làm, trừ khi là người lãnh đạo phải đi chi tiết đến từng phòng ban, giám sát thực hiện thường xuyên thì cách này mới được. Những kiểu quản lý này cũng chỉ phù hợp với các doanh nghiệp vừa và nhỏ. Mà các doanh nghiệp ở tầm này họ thường lo cơm áo gạo tiền, lo sản xuất chứ cũng không lo cái khoản quản lý rủi ro mấy.
Các tiếp cận đúng với rủi ro phải là từ các phòng ban bên dưới đưa lên. Mỗi phòng ban lại có nhóm rủi ro khác nhau thì việc lấy thông tin và quản trị rủi ro phải là cấp phòng ban thế này. Cái này là quay lại quan điểm ban đầu, quản lý rủi ro là công việc của toàn thể doanh nghiệp chứ không của riêng một cá nhân (người lãnh đạo, trưởng phòng,…) hoặc một phòng ban nào (phòng kế toán, kiểm toán nội bộ,…). Quan điểm quy chụp việc quản lý rủi ro cho một phòng ban cụ thể có thể chính là nguyên nhân ban đầu khiến việc quản lý thiếu hiệu quả.
Nhiều người join vào hoạt động quản lý rủi ro nhưng thiếu người dẫn dắt cũng không được, khác nào đánh bậy đánh bạ, hảo tổn nguồn lực con người lại còn ảnh hưởng đến hoạt động kinh doanh. Để một người có thể dẫn dắt trách nghiệm thường sẽ là những người đã hiệu về doanh nghiệp (ít nhất có 3-5 năm gắn bó) và làm việc trong các phòng như là kế toán, kiểm toán nội bộ, quản lý chất lượng,… vì ít nhiều gì họ sẽ có góc nhìn kiểm soát, quản trị.
Tuy nhiên, cách thứ 2 sẽ phù hợp hơn với đã số doanh nghiệp: tham vấn ý kiến tư vấn từ chuyên gia có kiến thức sâu về COSO và kỹ năng quản trị rủi ro, vì rằng: có thể người bên trong doanh nghiệp có sự thấu hiểu đẩy đủ về doanh nghiệp hơn nhưng họ lại chưa có kỹ năng đẩy đủ về rủi ro và khó nắm bắt được xu hướng của hoạt động này.
Những chuyên gia đến từ bên ngoài doanh nghiệp sẽ không chỉ kiểm tra được các rủi ro đã tồn tại (Existing Risks) (*) mà còn có thể giúp doanh nghiệp ứng phó được với những rủi ro doanh nghiệp chưa từng gặp phải, rủi ro mới nổi (Emerging Risks).
(*) Đối với các rủi ro đã có trong doanh nghiệp, tất nhiên là phải có sự phối hợp sát sườn của đối ngũ bên trong doanh nghiệp – những người rất hiểu về doanh nghiệp thì kiến thức, kỹ năng và kinh nghiệp quản lý rủi ro từ chuyên gia mới có thể phát huy được. Chứ một mình ông chuyên gia vào làm quản lý rủi ro cho doanh nghiệp người ta, chưa biết gì mà cứ phăm phăm vào làm thì chắc chắn là không làm được.
Ngoài ra yếu tố về con người, các yếu tố về quy trình và hệ thống hỗ trợ cũng là lý do và doanh nghiệp nên outsource phần nào chức năng quản lý rủi ro, nhất là trong trường hợp doanh nghiệp lần đầu áp dụng khung quản trị rủi ro, chưa từng có tiền lệ áp dụng quản lý rủi ro một cách có hệ thống ở cấp độ toàn doanh nghiệp. Vì nhân viên các bộ phận thường không được đào tạo đầy đủ về quy trình đánh giá và xử lý rủi ro, dẫn đến việc không thể phát hiện và báo cáo rủi ro một cách hiệu quả hoặc rất vất vả mới có thể làm được.
Hệ thống thông tin và quy trình báo cáo chưa được thiết kế phù hợp để hỗ trợ việc quản trị rủi ro dẫn thông tin về rủi ro thường không được truyền đạt kịp thời và đầy đủ giữa các cấp trong tổ chức. Nhiều doanh nghiệp cũng thiếu công cụ công nghệ phù hợp để theo dõi và quản lý rủi ro một cách hệ thống.
>> Khuyến nghị: Bất kể khung quản trị rủi ro doanh nghiệp dựa trên tiêu chuẩn hay sự kết hợp nào, hiệu quả của hệ thống cần được đánh giá theo thời gian để đảm bảo rằng nó có lợi cho chiến lược kinh doanh, kế hoạch và hiệu suất của tổ chức. Nếu nó cản trở hoạt động kinh doanh theo bất kỳ cách nào, chương trình quản lý rủi ro phải được thay đổi để loại bỏ nguồn gây ra sự bất ổn. Doanh nghiệp cần trở nên linh hoạt ở chỗ này cũng như là cần thường xuyên đánh giá và điều chỉnh sáng kiến ERM để rủi ro được quản lý đúng cách.
Làm thế nào để xây dựng khung quản trị rủi ro phù hợp với doanh nghiệp cụ thể
“Cốt lõi” của một khung quản trị rủi ro hiệu quả trong doanh nghiệp
Cốt lõi của một khung quản trị rủi ro trong doanh nghiệp bao gồm 5 phần chính như sau: nhận dạng rủi ro, đo lường rủi ro, giảm thiểu rủi ro, báo cáo và giám sát rủi ro, quản trị rủi ro. Tất cả những Khung quản trị rủi ro trong doanh nghiệp (kể cả là các khung “chuẩn quốc tế” nổi tiếng như COSO hay ISO) đều được phát triển và cải tiến từ 5 yếu tố cốt lõi này mà thôi.
Trước khi doanh nghiệp lựa chọn khung quản trị rủi ro phù hợp, theo COSO – ERM hoặc ISO hoặc bất cứ khung quản trị nào, việc nắm bắt các nhân tố cốt lõi này sẽ quan trọng hơn cả. Nó giống như “bước đệm” để sau đó mỗi doanh nghiệp có thể đưa ra lựa chọn cách tiếp cận phù hợp cũng như “customize” – tinh chỉnh khung này fix nhất với điều kiện doanh nghiệp của mình.
Các khung quản trị rủi ro phổ biến nhất hiện nay
Khung quản trị rủi ro NIST
Khung quản lý rủi ro NIST là hướng dẫn liên bang dành cho các tổ chức để đánh giá và quản lý rủi ro đối với máy tính và hệ thống thông tin của họ. Khung này được Viện Khoa học và Công nghệ Quốc gia thiết lập để đảm bảo an ninh cho các mạng lưới tình báo và quốc phòng. Các cơ quan liên bang được yêu cầu tuân thủ khung quản lý rủi ro, nhưng các công ty tư nhân và các tổ chức khác cũng có thể được hưởng lợi khi tuân theo các hướng dẫn của khung này.
Khung quản trị rủi ro NIST Cybersecurity Framework là một công cụ toàn diện và linh hoạt được thiết kế để quản lý rủi ro an ninh mạng trong các tổ chức, được phát triển bởi Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ, bao gồm năm chức năng cốt lõi: Nhận diện, Bảo vệ, Phát hiện, Ứng phó và Khôi phục. Đặc điểm nổi bật của NIST là tính linh hoạt cao, cho phép áp dụng trong nhiều loại hình tổ chức khác nhau, từ doanh nghiệp công nghệ, tổ chức tài chính đến cơ quan chính phủ và doanh nghiệp vừa và nhỏ.
Một trong những ưu điểm chính của NIST Cybersecurity Framework là việc cung cấp một ngôn ngữ chung về an ninh mạng, tạo điều kiện thuận lợi cho việc giao tiếp và hợp tác giữa các bên liên quan trong tổ chức. Ngoài ra, khung này còn khuyến khích quá trình cải tiến liên tục, giúp tổ chức luôn cập nhật và đối phó với các mối đe dọa an ninh mạng mới. Tuy nhiên, việc triển khai NIST cũng đặt ra một số thách thức, đặc biệt đối với các tổ chức nhỏ hoặc mới bắt đầu. Quá trình áp dụng có thể phức tạp và đòi hỏi đầu tư đáng kể về thời gian và nguồn lực. Để áp dụng hiệu quả NIST, tổ chức cần thực hiện một quy trình có hệ thống, bắt đầu từ việc xác định phạm vi, đánh giá hiện trạng, xác định mục tiêu, phân tích khoảng cách, triển khai kế hoạch, và cuối cùng là đánh giá và cải tiến liên tục.
Khung quản lý rủi ro COBIT
COBIT (Control Objectives for Information and Related Technology) là một khung quản trị và kiểm soát CNTT toàn diện do tổ chức ISACA phát triển. Đây là bộ khung cung cấp các hướng dẫn chi tiết về quy trình, chỉ số đánh giá và mô hình trưởng thành nhằm giúp doanh nghiệp tối ưu hóa việc sử dụng công nghệ thông tin, quản lý rủi ro hiệu quả và đảm bảo tuân thủ các quy định. COBIT được xây dựng dựa trên các thông lệ tốt nhất trong ngành và liên tục được cập nhật để phù hợp với những thay đổi của môi trường công nghệ.
COBIT có nhiều ưu điểm nổi bật như: tính toàn diện và chi tiết khi bao quát đầy đủ các khía cạnh quản trị CNTT; tính linh hoạt cao cho phép tùy chỉnh theo nhu cầu cụ thể của tổ chức; khả năng tích hợp tốt với các tiêu chuẩn khác như ISO 27001, ITIL; và cung cấp các công cụ đánh giá hiệu quả rõ ràng.
COBIT phù hợp áp dụng cho các doanh nghiệp lớn, đặc biệt là những tổ chức hoạt động trong lĩnh vực tài chính – ngân hàng, bảo hiểm, viễn thông và các doanh nghiệp có hệ thống CNTT phức tạp, yêu cầu tuân thủ cao về bảo mật và quản lý rủi ro. Đối với các doanh nghiệp vừa và nhỏ, việc áp dụng toàn bộ khung COBIT có thể không hiệu quả về mặt chi phí, thay vào đó họ có thể lựa chọn áp dụng một số phần phù hợp với nhu cầu và nguồn lực của mình.
Khung quản trị rủi ro ISO 31000
ISO 31000 là một tiêu chuẩn quản trị rủi ro được áp dụng rộng rãi tại nhiều quốc gia, được áp dụng cho bất kỳ doanh nghiệp hay tổ chức nào, không phụ thuộc vào kích thước hay ngành nghề: từ doanh nghiệp sản xuất, tài chính – ngân hàng đến các công ty dịch vụ, chăm sóc sức khỏe, y tế, công nghệ thông tin… các doanh nghiệp nhỏ và vừa cũng có thể hưởng lợi từ việc áp dụng ISO 31000 để xây dựng một hệ thống quản lý rủi ro đơn giản nhưng hiệu quả, nâng cao khả năng ứng phó với các tình huống không lường trước.
Việc triển khai ISO 31000 đem lại nhiều lợi ích cho doanh nghiệp vì (a) tính linh hoạt: cung cấp một ngôn ngữ chung và một cách tiếp cận hệ thống để quản lý rủi ro trên nhiều cấp độ và chức năng khác nhau; (b) cập nhật liên tục: để thích nghi với sự phát triển của thị trường và công nghệ, giúp nhận thức về rủi ro và cải tiến liên tục và đạt hiệu quả cao
Song ISO 31000 cũng tạo ra nhiều thách thức khi áp dụng như khó đo lường hiệu quả và tác động vì không có cách nào phổ quát để định lượng hoặc so sánh lợi ích và chi phí khi sử dụng tiêu chuẩn này. Việc triển khai ISO 31000 đòi hỏi thời gian, nguồn lực, cam kết và chuyên môn, và có thể không khả thi đối với một số tổ chức.
Khung quản trị rủi ro FAIR
FAIR (Factor Analysis of Information Risk) là một khung quản trị rủi ro được phát triển bởi The Open Group, tập trung vào việc định lượng và phân tích rủi ro an ninh thông tin từ góc độ tài chính. Khác với các khuôn khổ đánh giá rủi ro truyền thống chủ yếu dựa vào các phương pháp định tính, FAIR đánh giá bằng định lượng và cung cấp một phương pháp tiếp cận có hệ thống để đo lường và phân tích rủi ro dựa trên các yếu tố cụ thể như tần suất xảy ra sự cố, mức độ thiệt hại tiềm tàng và chi phí đầu tư cho biện pháp kiểm soát, từ đó giúp doanh nghiệp đưa ra quyết định đầu tư bảo mật dựa trên số liệu thực tế.
Phương pháp này nổi bật với khả năng chuyển đổi các rủi ro an ninh mạng thành các giá trị tài chính cụ thể, giúp ban lãnh đạo dễ dàng đánh giá chi phí-lợi ích của các biện pháp bảo mật. Để áp dụng hiệu quả FAIR, doanh nghiệp cần có đội ngũ chuyên gia am hiểu về phân tích rủi ro và tài chính, cùng với hệ thống thu thập và phân tích dữ liệu đáng tin cậy.
Khung quản trị rủi ro OCTAVE
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) là một phương pháp đánh giá rủi ro bảo mật thông tin được phát triển bởi Viện Kỹ thuật Phần mềm thuộc Đại học Carnegie Mellon. Phương pháp này tập trung vào việc xác định và đánh giá các tài sản quan trọng, mối đe dọa và lỗ hổng bảo mật trong tổ chức từ góc độ vận hành. OCTAVE được thiết kế để giúp các tổ chức tự đánh
giá và lập kế hoạch chiến lược bảo mật thông tin của họ thông qua một quy trình có cấu trúc và được điều phối bởi một nhóm nội bộ.
OCTAVE có đưa ra phương pháp tiếp cận dựa trên rủi ro giúp tổ chức tập trung vào những vấn đề quan trọng nhất; quy trình đánh giá có sự tham gia của nhiều bên liên quan từ các cấp khác nhau trong tổ chức, tạo ra cái nhìn toàn diện về rủi ro; và cung cấp các công cụ, biểu mẫu chi tiết hỗ trợ việc thực hiện đánh giá, giúp doanh nghiệp vừa và lớn có cơ cấu tổ chức rõ ràng và có đủ nguồn lực để thực hiện đánh giá rủi ro một cách toàn diện. Đối với các doanh nghiệp nhỏ, OCTAVE-S (phiên bản đơn giản hóa của OCTAVE) có thể là lựa chọn phù hợp hơn do yêu cầu ít nguồn lực hơn nhưng vẫn đảm bảo hiệu quả
Khung quản trị rủi ro ESG
ESG là bộ tiêu chuẩn về E-Environmental (môi trường); S-Social (xã hội); G- Governance (quản trị doanh nghiệp) phù hợp với các doanh nghiệp thuộc nhiều lĩnh vực khác nhau, đặc biệt là những doanh nghiệp lớn, công ty niêm yết và các tổ chức tài chính muốn quản lý rủi ro liên quan đến môi trường và xã hội, hướng đến phát triển bền vững
Khung quản trị rủi ro ESG giúp cải thiện chi phí và thúc đẩy chuyển đối xanh cho doanh nghiệp; ESG cũng làm tăng giá trị cổ phiếu và hấp dẫn đầu tư nhờ đẩy mạnh đổi mới sáng tạo và phát triển sản phẩm bền vững, tiêu hao ít tài nguyên, là xu hướng của tương lai; doanh nghiệp áp dụng ESG cũng tăng cường danh tiếng tích cực trong mắt khách hàng, đối tác kinh doanh và cộng đồng
Tuy nhiên, vì là mô hình mới nên ngoài những lợi ích to lớn mà nó mang lại, ESG cũng tồn tại những thách thức đặt ra cho những nhà vận hành doanh nghiệp như thiếu hụt nhân sự giàu kinh nghiệm, chi phí thuê nhân sự từ nước ngoài đắt đỏ… gây khó khăn trong việc thực hiện quản trị rủi ro.
Khung quản trị rủi ro COSO
COSO là một khuôn khổ nhiều lớp và phức tạp có thể gây nản lòng khi triển khai đầy đủ. ISO 31000 dễ hiểu hơn và bao gồm các mô tả về các bước quản lý rủi ro cùng với lời khuyên thực tế về cách thức quản lý rủi ro nên được tích hợp vào các quy trình ra quyết định. Nó cũng bao gồm các tiêu chí hiệu suất mà một tổ chức có thể sử dụng để đánh giá xem cách tiếp cận quản lý rủi ro của mình có hiệu quả
hay không . Tiêu chuẩn này lý tưởng cho bất kỳ ai đang tìm kiếm danh sách kiểm tra để giúp đưa ra quyết định về sáng kiến ERM (quản trị rủi ro doanh nghiệp hoặc có kinh nghiệm với các hệ thống quản lý dựa trên ISO khác.
Tuy nhiên, khuôn khổ COSO có những ý tưởng và lời khuyên có thể được sử dụng để bổ sung cho hướng dẫn ISO có phần ngắn gọn. Vì khuôn khổ bắt đầu bằng việc xem xét các mục tiêu và chiến lược kinh doanh của tổ chức, nên nó có thể giúp ban quản lý cấp cao xác định rõ hơn mức độ chấp nhận rủi ro của mình và do đó hiểu rõ hơn các chiến lược giảm thiểu rủi ro cần thiết. COSO cũng đã công bố các tài liệu về việc áp dụng khuôn khổ này vào các lĩnh vực cụ thể, chẳng hạn như điện toán đám mây và quản lý rủi ro tuân thủ.
(*) Có lẽ cách tiếp cận tốt nhất là kết hợp các chỉ thị rộng hơn của ISO 31000 với các nguyên tắc quản lý rủi ro có liên quan của COSO. Nhưng để làm được điều này doanh nghiệp cũng phải rất hiểu mình và hiểu về bản chất của hai khung này thì việc vừa tích hợp vừa áp dụng mới trơn tru.
Xem thêm:
- COSO là gì? Ứng dụng COSO trong quản lý rủi ro doanh nghiệp
- Quản trị rủi ro theo COSO: Khó khăn và giải pháp
Khung quản trị rủi ro thường có các phiên bản mới, liệu doanh nghiệp cũng phải “làm mới” theo đó?
Một Khung quản trị rủi ro thường bao những mục tiêu, yếu tố và nguyên tắc, quy trình riêng buộc doanh nghiệp tuân thủ trong quá trình quản trị rủi ro. Chẳng hạn nếu khung quản trị rủi ro COSO (2017) có 5 yếu tố và 20 nguyên tắc tuân thủ, với quy trình 5 bước cơ bản; Khung quản trị rủi ro ISO 31000:2018 với 8 nguyên tắc và 5 khuôn khổ, cần đảm bảo tuân thủ trong sự lãnh đạo của người quản trị và sự cam kết thực hiện các bên liên quan và quy trình 3 bước nhưng có các yếu tố song hành…
Những mục tiêu của các Khung quản trị rủi ro, ngoài sự khác biệt về lĩnh vực nó phục vụ thì chủ yếu sẽ chỉ đề cập đến việc tích hợp quá trình quản lý rủi ro với toàn bộ hoạt động quản trị, chiến lược và hoạch định, quản lý, các quá trình báo cáo, chính sách, các giá trị và văn hóa của tổ chức để tìm hiểu, phòng ngừa, chủ động ứng phó rủi ro. Các quy trình quản trị rủi ro thì thường từ 5 đến 7 bước, từ xác định mục tiêu/bối cảnh đến đánh giá rủi ro, gần như không thay đổi nhiều từ khi các khung được ban hành nên có lẽ chúng ta không cần bàn đến nhiều.
Ở đây, chúng tôi muốn nhấn mạnh về các nguyên tắc. Một số nguyên tắc thường xuyên xuất hiện mà người lãnh đạo cần nắm được để đảm bảo các lợi ích của doanh nghiệp như: (1) tích hợp; có cấu trúc và hệ thống sẽ giúp quy trình của doanh nghiệp vận hành trơn tru, có nhân tố kiểm soát ở từng bước để không bị sót, bị thiếu, nhanh chóng phát hiện lỗ hổng kịp thời để khắc phục; (2) linh hoạt; tùy chỉnh; cập nhật thông tin; cải tiến liên tục để tùy chỉnh linh hoạt với từng size và lĩnh vực của doanh nghiệp chứ không phải là bê nguyên Khung quản trị rủi ro cứng nhắc và cồng kềnh để áp dụng cho một doanh nghiệp nhỏ và thiếu nguồn lực; (3)văn hóa; lãnh đạo; tham gia của các bên liên quan là điều quan trọng nhất, bởi chỉ có lãnh đạo ban hành và ban kiểm soát thực hiện là chưa đủ, lãnh đạo mà hời hợt, kiểm
soát quan liêu và nhân viên không chấp hành, không quan tâm đến quản trị rủi ro, làm chểnh mảng và gian lận sẽ ảnh hưởng lớn nhất đến doanh nghiệp và “đi” cả hệ thống quản trị rủi ro của doanh nghiệp.
Các nguyên tắc sẽ thường có sự thay đổi dù ít hoặc nhiều sau mỗi lần cập nhật mới của Khung quản trị rủi ro. Chẳng hạn, sự thay đổi từ hình ảnh Khối Lập Phương (COSO cube) năm 2004 sang COSO chuỗi ADN năm 2017 phản ánh một sự phát triển: từ việc xem quản trị rủi ro (ERM) như công cụ để bảo vệ các giá trị của doanh nghiệp đến việc sử dụng ERM như một công cụ hỗ trợ tạo ra giá trị.
COSO ERM 2017 được nâng cấp lên 5 yếu tố với 20 nguyên tắc, được mô phỏng qua hình ảnh chuỗi ADN, mang ý nghĩa là doanh nghiệp để quản lý rủi ro hiệu quả cần hai nhóm hoạt động song song gắn liền chặt chẽ với nhau: (1) quản trị & văn hóa; thông tin truyền thông báo cáo và (2) chiến lược & thiết lập mục tiêu; hiệu suất; và đánh giá điều chỉnh.
Các khung quản trị rủi ro phải thay đổi và cập nhật để đáp ứng với môi trường kinh doanh ngày càng phức tạp với sự xuất hiện của công nghệ mới, các mô hình kinh doanh mới và rủi ro mới. Đồng thời, các cuộc khủng hoảng tài chính và scandals của doanh nghiệp trên toàn thế giới cũng khiến nhu cầu tích hợp quản lý rủi ro vào chiến lược và hoạt động kinh doanh ngày càng cao tạo động lực cho việc nâng
cấp các khung quản trị rủi ro.
Câu hỏi đặt ra là, doanh nghiệp có cần cập nhật các yếu tố của Khung quản trị rủi ro mới trong khi đang áp dụng Khung cũ hay không. Câu trả lời là tùy vào tính chất và nguồn lực của doanh nghiệp. Nếu doanh nghiệp của bạn lớn và thuộc những lĩnh vực thường xuyên gặp phải những rủi ro nghiêm trọng ảnh hưởng đến cả hệ thống như tài chính-ngân hàng, công nghệ, logistic… và có đủ nguồn lực để thực hiện thì lời khuyên là NÊN cập nhật những hệ thống quản trị rủi ro mới nhất để đáp ứng các nhu cầu về rủi ro. Còn với những doanh nghiệp nhỏ và vừa, trong những lĩnh vực chịu không chịu quá nhiều rủi ro và gây thiệt hại quá lớn, không đủ nguồn lực để cải tiến một hệ thống mới hay việc nâng cấp còn gây thiệt hại hơn so với lợi ích thu về từ việc nâng cấp thì KHÔNG CẦN THIẾT cập nhật Khung quản trị rủi ro mới.
Tuy nhiên, dù có cập nhật hay không thì việc thường xuyên theo dõi, tìm kiếm lỗ hổng và cải thiện khung quản trị rủi ro hiện tại là điều thiết yếu với mỗi doanh nghiệp để nâng cao hiệu quả quản trị rủi ro.
>>> Khuyến nghị:
Nhìn chung, các khung quản trị rủi ro kể trên đều mang lại những lợi ích to lớn cho doanh nghiệp trong việc nhận diện, đánh giá và kiểm soát rủi ro một cách có hệ thống, giúp bảo vệ tài sản thông tin, đảm bảo tính liên tục trong kinh doanh và tăng cường năng lực cạnh tranh. Tuy nhiên, việc triển khai các khung quản trị này thường đòi hỏi chi phí đáng kể về tài chính, thời gian và nguồn lực, bao gồm cả việc đầu tư vào cơ sở hạ tầng công nghệ, đào tạo nhân sự và thuê chuyên gia tư vấn.
Do đó, các doanh nghiệp khi có ý định áp dụng bất kỳ khung quản trị rủi ro nào cần phải chuẩn bị kỹ lưỡng về nguồn lực, có cam kết mạnh mẽ từ ban lãnh đạo và xây dựng lộ trình triển khai phù hợp. Đặc biệt, việc tham vấn ý kiến từ các chuyên gia trong lĩnh vực quản trị rủi ro là vô cùng quan trọng, giúp doanh nghiệp lựa chọn được khung quản trị phù hợp nhất với quy mô, đặc thù hoạt động và mục tiêu của mình, từ đó đảm bảo hiệu quả cao nhất trong quá trình triển khai và vận hành.
Lựa chọn và xây dựng khung quản trị rủi ro phù hợp với doanh nghiệp
Đến đây, nếu doanh nghiệp của bạn đã chọn được Khung quản trị rủi ro phù hợp thì thật đáng mừng. Trong trường hợp bạn vẫn hoài nghi về lựa chọn của mình; vẫn đang phân vân giữa các lựa chọn; hoặc vẫn băn khoăn có nên thiết lập khung quản trị rủi ro hay không thì hãy thực hiện nốt các bước tiếp theo để có câu trả lời.
Hãy bắt đầu bằng cách đánh giá các yêu cầu và mục tiêu cụ thể của doanh nghiệp như ngành nghề, quy mô, độ phức tạp của rủi ro và khả năng chấp nhận rủi ro; Xác định xem mối quan tâm chính của doanh nghiệp là rủi ro tài chính, an ninh mạng, vấn đề tuân thủ hay sự kết hợp của những yếu tố này.
Doanh nghiệp cần theo dõi các xu hướng và yêu cầu của thị trường để lựa chọn khung quản trị rủi ro phù hợp với những yêu cầu đó, đồng thời liên tục đổi mới và sáng tạo nhằm nâng cao hiệu quả quản trị rủi ro. Tiếp đó, cần tìm hiểu một số khung quản trị rủi ro phù hợp.
Đánh giá sự sẵn có của các tài nguyên đào tạo và chuyên môn cho khung đã chọn. Đảm bảo rằng đội ngũ của bạn có thể tiếp thu các kỹ năng và kiến thức cần thiết để thực hiện nó một cách hiệu quả. Xem xét chi phí liên quan đến việc triển khai và duy trì khung, bao gồm phần mềm, đào tạo và hỗ trợ liên tục. So sánh những chi phí này với lợi ích tiềm năng và việc giảm thiểu rủi ro để xác định tính khả thi.
Tham khảo ý kiến từ các bên tham gia đánh giá và quản trị rủi ro, bao gồm quản lý cấp cao, quản lý rủi ro, nhân viên tuân thủ và chuyên gia CNTT để cung cấp những góc nhìn khác nhau cho quá trình ra quyết định. Ngoài ra, đối với các doanh nghiệp mới ra nhập thị trường, doanh nghiệp SME hoặc các doanh nghiệp lớn phải đối mặt với quá nhiều rủi ro thì có thể tham khảo ý kiến chuyên gia trước khi tiến hành Đảm bảo rằng khung được chọn có thể điều chỉnh khi tổ chức của bạn phát triển và đối mặt với những thách thức mới. Tính có thể mở rộng là rất quan trọng để duy trì hiệu quả quản lý rủi ro theo thời gian.
Khi bạn đã hành động đến đây, chắc hẳn bạn đã có câu trả lời cho riêng mình rằng CÓ NÊN THỰC HIỆN HAY KHÔNG và NÊN CHỌN KHUNG NÀO. Nếu doanh nghiệp sẵn sàng thực hiện hãy lên kế hoạch triển khai thử nghiệm Khung quản trị rủi ro ngay trong một bộ phận hoặc dự án cụ thể để đánh giá hiệu quả và tính thực tiễn của nó.
Quản lý rủi ro là một quá trình liên tục và không dễ dàng, đòi hỏi sự kiên trì và cẩn trọng trong từng bước. Song nếu làm tốt, điều này có thể đem lại hiệu quả hoạt động và đặc biệt là “sự an toàn” để giúp các nhà quản trị an tâm và vững vàng hơn trong điều hành doanh nghiệp. Quá trình này sẽ bớt khó khăn hơn nếu có sự tham gia của đội ngũ chuyên gia uy tín đồng hành cùng doanh nghiệp.
Tham khảo dịch vụ Giải pháp doanh nghiệp của Fica Holding tại đây:
Tham khảo các dịch vụ liên quan khác:
- Dịch vụ Kiểm toán & Đảm bảo
- Dịch vụ Giám đốc tài chính
- Dịch vụ Tư vấn thuế chuyên sâu
- Dịch vụ Đào tạo Inhouse
Câu hỏi thường gặp
Q1: Làm thế nào để duy trì khung quản trị rủi ro hiệu quả, linh hoạt trong bối cảnh môi trường kinh doanh thay đổi liên tục?
Để duy trì khung quản trị rủi ro hiệu quả, doanh nghiệp cần thường xuyên xem xét và cập nhật thường xuyên các quy trình, đào tạo nhân viên về nhận diện và báo cáo rủi ro, và sử dụng công nghệ để giám sát các rủi ro. Thực hiện đánh giá định kỳ và phản hồi từ các bên liên quan cũng rất quan trọng để cải tiến quy trình.
Q2: Một doanh nghiệp có thể áp dụng nhiều khung quản trị rủi ro không?
Một doanh nghiệp hoàn toàn có có thể áp dụng nhiều khung quản trị rủi ro cùng một lúc ở những rủi ro khác nhau. Sự đa dạng này cũng tăng cường độ chính xác và khả năng tuân thủ quy định. Tuy nhiên, cần có sự phối hợp chặt chẽ để tránh chồng chéo và đảm bảo hiệu quả trong quy trình quản lý rủi ro.
Q3: Làm sao để đánh giá hiệu quả một khung quản trị rủi ro đã triển khai?
Để đánh giá hiệu quả, doanh nghiệp cần xác định các chỉ số hiệu suất chính (KPI) liên quan đến quản lý rủi ro. Bên cạnh đó, cần thường xuyên thu thập phản hồi từ nhân viên và các bên liên quan; xem xét các kết quả tài chính và phi tài chính để đánh giá tác động tổng thể. Cuối cùng, việc điều chỉnh và cải tiến khung quản trị rủi ro theo định kỳ là rất quan trọng để duy trì hiệu quả.
Fica Business Consulting
