Những mối đe dọa, rủi ro xuất phát từ nhiều nguồn khác nhau, bao gồm lỗi quản lý chiến lược, tài chính, các yếu tố khách quan,... Để giảm thiểu những rủi ro này, doanh nghiệp cần có một quy trình quản trị rủi ro bài bản, có hệ thống. Mục tiêu của quản trị rủi ro là đảm bảo rằng tổ chức có khả năng nhận biết và đối phó với các rủi ro tiềm ẩn, từ đó giảm thiểu thiệt hại và tăng cường hiệu quả hoạt động.
Rủi ro là gì?
Rủi ro là khả năng xảy ra một sự kiện bất lợi hoặc không mong muốn, gây thiệt hại, mất mát hoặc ảnh hưởng tiêu cực đến mục tiêu, dự án hay toàn bộ doanh nghiệp. Nó là một tình huống không chắc chắn và có thể có cả kết quả tích cực lẫn tiêu cực. Rủi ro có thể xuất hiện từ nhiều nguồn khác nhau, có thể ảnh hưởng đến nhiều khía cạnh của cuộc sống và hoạt động kinh doanh.
Quản trị rủi ro là gì?
Quản trị rủi ro là việc xác định, phân tích, ngăn chặn các rủi ro không mong muốn nhằm giảm thiểu tác động tiêu cực của chúng và tăng khả năng tận dụng cơ hội. Nói cách khác, quản trị rủi ro là một hệ thống xử lý rủi ro trước khi chúng trở thành tác hại trực tiếp ảnh hưởng đến doanh nghiệp.
Quản trị rủi ro là một quá trình phức tạp và đòi hỏi sự hợp tác của nhiều bên liên quan trong tổ chức. Sự tham gia và cam kết từ tất cả các cấp bậc và phòng ban trong doanh nghiệp là điều cần thiết để đạt được hiệu quả trong quản trị rủi ro.
Tại sao cần quản trị rủi ro?
Quản lý rủi ro là một quy trình quan trọng vì nó trao quyền cho doanh nghiệp với các công cụ cần thiết để xác định và xử lý đầy đủ các rủi ro tiềm ẩn. Một khi rủi ro đã được xác định, thì rất dễ dàng để giảm thiểu nó. Bên cạnh đó, quản lý rủi ro cung cấp cho doanh nghiệp cơ sở để đưa ra quyết định đúng đắn. Quản trị rủi ro là một phần quan trọng của quản lý tổ chức và dự án vì các lý do sau:
Giảm thiểu thiệt hại
Quản trị rủi ro giúp tổ chức nhận biết và đối phó với các rủi ro tiềm ẩn trước khi chúng trở thành vấn đề lớn. Bằng cách xác định, đánh giá các rủi ro, doanh nghiệp có thể áp dụng các biện pháp phòng ngừa và ứng phó để giảm thiểu thiệt hại trong trường hợp chúng xảy ra.
Tăng cường hiệu quả hoạt động
Đối với một doanh nghiệp, đánh giá và quản lý rủi ro là cách tốt nhất để chuẩn bị cho các tình huống có thể xảy ra trên hành trình tiến bộ và tăng trưởng. Khi đánh giá kế hoạch để xử lý các mối đe dọa tiềm ẩn và phát triển cấu trúc nhằm giải quyết chúng, điều này sẽ giúp tăng khả năng trở thành một thực thể thành công.
Ngoài ra, quản lý rủi ro lũy tiến đảm bảo các rủi ro có mức độ ưu tiên cao được xử lý một cách nhanh nhất có thể. Các nhà quản lý sẽ có thông tin cần thiết sử dụng để đưa ra quyết định sáng suốt, cải thiện quy trình làm việc, tối ưu hóa tài nguyên và tăng cường hiệu suất tổ chức.
Tạo cơ hội
Quản trị rủi ro không chỉ tập trung vào việc giảm thiểu rủi ro mà còn nhìn nhận rủi ro như một cơ hội. Bằng cách nhận diện, đánh giá các cơ hội tiềm năng, tổ chức có thể tận dụng chúng để đạt được sự tiến bộ. Quản trị rủi ro giúp tổ chức phát hiện các cơ hội mới, mở rộng thị trường, nâng cao chất lượng sản phẩm/ dịch vụ và tăng cường lợi thế cạnh tranh.
Sử dụng hợp lý dòng tiền đầu tư
Khi các tổ chức đầu tư, họ đối mặt với các rủi ro tiềm ẩn có thể ảnh hưởng đến dòng tiền và lợi nhuận. Quản trị rủi ro giúp nhận biết, đánh giá và quản lý các rủi ro này để đảm bảo rằng dòng tiền đầu tư được sử dụng một cách hiệu quả, mang lại lợi nhuận tối đa.
Các loại rủi ro phổ biến trong doanh nghiệp
Rủi ro chiến lược
Có 2 dạng rủi ro chiến lược:
-
Chiến lược không phù hợp với tầm nhìn và sứ mệnh của tổ chức, khiến nó đi sai hướng và không đạt được mục tiêu ban đầu đề ra.
-
Chiến lược không thể triển khai thực hiện để tạo ra các giá trị như dự định, trở nên vô nghĩa hoặc không thể mang lại lợi ích.
Rủi ro tài chính
Rủi ro tài chính là sự mất mát hoặc không đạt được lợi nhuận do biến động của các yếu tố tài chính như giá cổ phiếu, tỷ giá hối đoái, lãi suất, thay đổi trong tình hình kinh tế, chính sách tài chính,... hay các quyết định của doanh nghiệp ảnh hưởng đến khả năng kiểm soát dòng tiền, nợ.
Rủi ro hệ thống
Rủi ro hệ thống là nhóm rủi ro tập trung vào các hoạt động và quy trình cụ thể trong một tổ chức hoặc các bộ phận trực tiếp của công ty. Đây là những rủi ro liên quan đến quá trình thực hiện sản xuất, cung cấp dịch vụ. Các rủi ro này có thể bao gồm những vấn đề như sự cố kỹ thuật, hỏng hóc thiết bị, hệ thống quản lý không hiệu quả, sai sót trong quá trình sản xuất và cung cấp dịch vụ, thiếu sót trong quy trình kiểm soát chất lượng, các vấn đề khác có thể ảnh hưởng đến chất lượng sản phẩm và dịch vụ, hiệu suất hoạt động và uy tín của tổ chức.
Rủi ro khách quan
Rủi ro khách quan bao gồm một số rủi ro liên quan đến đối tác bên ngoài và các yếu tố khách quan có thể ảnh hưởng đến doanh nghiệp, chẳng hạn như sự thay đổi đột ngột trong nhu cầu khách hàng, sự thiếu hụt nguyên vật liệu từ nhà cung cấp, tăng giá đầu vào đột ngột hay các vấn đề pháp lý. Những rủi ro này có thể gây tổn thất tài chính đáng kể cho doanh nghiệp.
Quy trình 4 bước quản trị rủi ro hiệu quả
Một quy trình quản trị rủi ro thành công phải đáp ứng các mục tiêu pháp lý, nội bộ, xã hội và đạo đức, cũng như giám sát các quy định mới liên quan đến công nghệ. Bằng cách tập trung vào rủi ro, đồng thời dành nguồn lực cần thiết để kiểm soát và giảm thiểu rủi ro, doanh nghiệp sẽ tự bảo vệ mình khỏi sự không chắc chắn, tiết kiệm chi phí, tăng cường khả năng kinh doanh liên tục và thành công.
4 bước quan trọng trong một quy trình quản trị rủi ro bao gồm:
Xác định rủi ro
Nhận dạng rủi ro là quá trình xác định và đánh giá các mối đe dọa đối với một tổ chức. Chẳng hạn như việc đánh giá các mối đe dọa bảo mật CNTT như phần mềm độc hại, mã độc tống tiền, các sự kiện có hại tiềm ẩn khác có thể làm gián đoạn hoạt động kinh doanh.
Để xác định rủi ro một cách chính xác, các doanh nghiệp cần quan tâm đến bối cảnh như quy định pháp luật, xu hướng thị trường, công nghệ kỹ thuật và thị trường tài chính hiện tại. Sau đó đưa ra từng loại rủi ro tương ứng với bối cảnh, một số phương pháp cụ thể:
-
Xem xét các sự kiện dự kiến trong bối cảnh hiện tại và xác định rủi ro tiềm ẩn trong các sự kiện này
-
Thu thập thông tin hữu ích bằng cách tiếp xúc và nghiên cứu các đối tượng liên quan, chẳng hạn như khách hàng, đối tác cung cấp, các chuyên gia trong ngành, để có cái nhìn toàn diện về các rủi ro có thể xảy ra.
-
Sử dụng các chỉ số và dữ liệu thống kê để nhận diện các vấn đề hiện tại và tiềm ẩn, từ đó đánh giá khả năng rủi ro xảy ra và ảnh hưởng của chúng đến doanh nghiệp
-
Đánh giá các quy trình làm việc hiện tại để xác định các lỗ hổng và điểm yếu có thể tạo ra rủi ro. Điều này giúp doanh nghiệp tìm hiểu về các khía cạnh cần cải thiện để giảm thiểu rủi ro
-
Xem xét các trường hợp tổn thất đã xảy ra trong quá khứ để tạo ra các tình huống giả định có khả năng xảy ra trong tương lai.
Phân tích và đánh giá rủi ro
Phân tích rủi ro liên quan đến việc thiết lập xác suất mà một sự kiện rủi ro có thể xảy ra và kết quả tiềm ẩn của mỗi sự kiện đó. Đánh giá nhằm so sánh mức độ của từng rủi ro và xếp hạng chúng theo mức độ nổi bật và hậu quả. Bao gồm ước lượng tổn thất, thiệt hại về doanh thu, chi phí phục hồi, thiệt hại về danh tiếng và hình ảnh,...
Có 2 yếu tố dự đoán mức độ rủi ro:
-
Tần suất xảy ra rủi ro
-
Độ nghiêm trọng của rủi ro
Phân tích và đánh giá rủi ro giúp doanh nghiệp hiểu rõ hơn về tình hình rủi ro của mình. Từ đó đưa ra quyết định thông minh, thiết lập các biện pháp phù hợp để bảo vệ và tối ưu hóa hoạt động kinh doanh.
Xử lý rủi ro
Có 5 biện pháp xử lý rủi ro cụ thể như sau:
-
Né tránh rủi ro: Né tránh là một phương pháp để giảm thiểu rủi ro bằng cách không tham gia vào các hoạt động có thể ảnh hưởng tiêu cực đến tổ chức. Chẳng hạn như không đầu tư hoặc bắt đầu một dòng sản phẩm mới. Biện pháp này rất an toàn nhưng lại khiến doanh nghiệp vụt mất nhiều cơ hội kiếm được lợi nhuận. Chính vì vậy, nó chỉ phù hợp khi rủi ro đó có thiệt hại lớn và khả năng xảy ra rủi ro cao.
-
Giảm thiểu rủi ro: Phương pháp quản trị rủi ro này là cố gắng giảm thiểu tổn thất hơn là loại bỏ hoàn toàn. Trong khi vẫn chấp nhận rủi ro, cũng cần tập trung vào việc ngăn chặn tổn thất và ngăn không cho nó lan rộng.
-
Chuyển giao rủi ro: Chuyển giao rủi ro theo hợp đồng cho bên thứ ba, chẳng hạn như bảo hiểm để chi trả cho thiệt hại tài sản hoặc thương tật có thể xảy ra, chuyển rủi ro liên quan đến tài sản từ chủ sở hữu sang công ty bảo hiểm.
-
Chia sẻ rủi ro: Khi rủi ro được chia sẻ, khả năng mất mát được chuyển từ cá nhân sang nhóm. Một công ty là một ví dụ điển hình về chia sẻ rủi ro, một số nhà đầu tư góp vốn và mỗi người chỉ chịu một phần rủi ro nếu doanh nghiệp đó thất bại.
-
Duy trì và chấp nhận rủi ro: Sau khi tất cả các biện pháp chia sẻ rủi ro, chuyển giao rủi ro và giảm thiểu rủi ro đã được thực hiện, một số rủi ro sẽ vẫn còn do hầu như không thể loại bỏ tất cả. Phương pháp này thích hợp cho những rủi ro nhỏ nhưng lợi ích lớn.
Theo dõi, cải tiến
Cuối cùng, nhà quản trị rủi ro cần:
-
Giám sát, theo dõi các rủi ro có sự chuyển hướng không
-
Đánh giá tính hiệu quả của phương pháp xử lý các rủi ro có mức độ nghiêm trọng cao và mức độ nghiêm trọng thấp có thể chấp nhận được không
-
Thường xuyên theo dõi, cập nhật tình hình để có những cải tiến sao cho phù hợp với đánh giá cũng như kế hoạch quản trị
-
Xem xét đến các rủi ro mới, giành lấy thế chủ động nhằm hạn chế tối đa tổn thất cho doanh nghiệp.
Nguyên tắc quản trị rủi ro
- Xác định rủi ro sớm nhất có thể
- Là yếu tố trong mục tiêu của doanh nghiệp
- Bối cảnh
- Sự tham gia của các bên liên quan
- Phân chia trách nhiệm rõ ràng
- Có chu kỳ cụ thể để xem xét rủi ro
- Cải tiến liên tục
Xác định rủi ro sớm nhất có thể
Một trong những nguyên tắc quan trọng của quản lý rủi ro là xác định rủi ro trước khi dự án bắt đầu. Bằng cách tiến hành đánh giá rủi ro, tổ chức có thể lập kế hoạch và triển khai các biện pháp để giảm thiểu tác động của rủi ro hoặc tận dụng cơ hội mang lại lợi ích.
Là yếu tố trong mục tiêu của doanh nghiệp
Các nhà quản trị rủi ro cần đảm bảo rằng kế hoạch quản lý rủi ro phù hợp với các mục tiêu chung của tổ chức. Khi rủi ro đã được xác định, việc xảy ra của nó có thể ảnh hưởng đến tổ chức từ hai mặt chính là tài chính và danh tiếng.
Về mặt tài chính, một rủi ro có thể gây ra thiệt hại tài chính đáng kể cho tổ chức. Ví dụ, một vụ vi phạm bảo mật thông tin có thể dẫn đến mất mát dữ liệu quan trọng hoặc phải chịu chi phí phục hồi, ảnh hưởng đến doanh thu và lợi nhuận.
Về mặt danh tiếng, rủi ro có thể ảnh hưởng xấu đến hình ảnh và uy tín của tổ chức. Chẳng hạn như sự cố về chất lượng sản phẩm hoặc vấn đề liên quan đến tuân thủ quy định có thể làm giảm lòng tin của khách hàng, đối tác, gây ảnh hưởng đến mối quan hệ kinh doanh và khả năng tiếp cận thị trường. Sự mất danh tiếng có thể gây ảnh hưởng lâu dài và khó khăn khôi phục, ảnh hưởng đến việc thu hút, giữ chân khách hàng, nhân viên và đối tác.
Bối cảnh
Bối cảnh có tác động rất lớn khi xem xét rủi ro dự án, bởi mỗi tổ chức sẽ có mức độ chấp nhận rủi ro khác nhau. Các yếu tố như chính trị, công nghệ, luật pháp, xã hội, văn hóa,... sẽ tác động khác nhau đến các tổ chức và ngành công nghiệp.
Ngoài ra, mỗi tổ chức có cách giao tiếp về rủi ro theo cách riêng của họ, văn hóa nội bộ và giao thức quản lý rủi ro đặc trưng. Quá trình quản lý rủi ro cần tích hợp cả bối cảnh bên trong và bên ngoài khi lập kế hoạch. Điều này đảm bảo không chỉ tập trung vào các yếu tố nội bộ của tổ chức mà còn xem xét cả các yếu tố bên ngoài mà tổ chức đang hoạt động trong đó.
Sự tham gia của các bên liên quan
Sự tham gia của những chuyên gia và các bên liên quan rất quan trọng trong quá trình quản trị rủi ro. Các bên liên quan đóng vai trò quan trọng trong việc cung cấp thông tin và hiểu biết về các khía cạnh cụ thể của dự án, tổ chức. Họ có thể đưa ra cái nhìn đa phương diện về rủi ro, những tác động đến hoạt động và mục tiêu của dự án.
Đồng thời quan mang lại sự đa dạng về quan điểm và kinh nghiệm. Mỗi người có thể có những quan tâm và ưu tiên khác nhau, từ đó giúp phát hiện ra những rủi ro tiềm ẩn mà người quản trị rủi ro có thể chưa nhận ra hoặc bỏ sót. Điều này làm tăng khả năng đưa ra những phương án quản lý rủi ro toàn diện và hiệu quả hơn.
Phân chia trách nhiệm rõ ràng
Khi trách nhiệm không được phân chia rõ ràng, có thể xảy ra sự mơ hồ và nhầm lẫn về ai chịu trách nhiệm và có quyền ra quyết định trong việc quản lý rủi ro. Việc này có thể dẫn đến việc rủi ro không được giải quyết đúng cách hoặc gây ra sự xáo trộn trong tổ chức.
Phân chia trách nhiệm rõ ràng giúp tạo ra một môi trường minh bạch và trách nhiệm trong việc quản trị rủi ro. Mỗi cá nhân hoặc tổ chức có trách nhiệm cụ thể, đảm bảo rằng mỗi người có thể tự chịu trách nhiệm và được đánh giá về việc thực hiện nhiệm vụ quản lý rủi ro của mình, giúp tối ưu hóa sử dụng nguồn lực. Mỗi cá nhân hoặc tổ chức có thể tập trung vào việc quản lý rủi ro trong lĩnh vực của mình, sử dụng kiến thức và kỹ năng đặc thù để giảm thiểu rủi ro một cách hiệu quả.
Có chu kỳ cụ thể để xem xét rủi ro
Một chu kỳ xem xét rủi ro định kỳ giúp đảm bảo rằng quá trình quản trị rủi ro diễn ra một cách liên tục và không bị gián đoạn. Thông qua việc xem xét định kỳ, các rủi ro mới có thể được xác định, các biện pháp phòng ngừa, giảm thiểu rủi ro hiện có có thể được đánh giá lại và cập nhật.
Trong quá trình quản trị rủi ro, có thể xuất hiện các rủi ro mới hoặc các rủi ro hiện có có thể trở nên nghiêm trọng hơn. Một chu kỳ xem xét rủi ro định kỳ giúp đáp ứng nhanh chóng đối với các vấn đề này và đưa ra các biện pháp quản trị thích hợp để giảm thiểu tác động.
Cải tiến liên tục
Qua thời gian, các biện pháp quản lý rủi ro hiện có có thể trở nên lỗi thời hoặc không còn hiệu quả như trước. Bằng cách cải tiến liên tục, doanh nghiệp có thể tối ưu hóa các biện pháp quản lý rủi ro hiện có, đảm bảo rằng chúng vẫn phù hợp và đáp ứng được môi trường kinh doanh cũng như các yêu cầu mới.
Cải tiến liên tục trong quá trình quản trị rủi ro cũng giúp tạo ra một hệ thống linh hoạt, dễ dàng thích nghi với mọi sự biến đổi. Đánh giá và cải thiện liên tục cũng giúp doanh nghiệp tìm ra các cách tiếp cận mới, sử dụng nguồn lực một cách hiệu quả và đạt được kết quả tốt hơn trong việc quản lý rủi ro.
Các tiêu chuẩn quản trị rủi ro
Hiện nay, có 2 tiêu chuẩn trong quản trị rủi ro được công nhận rộng rãi bao gồm COSO và ISO 31000, cụ thể:
Khung ERM COSO
Tiêu chuẩn COSO (Committee of Sponsoring Organizations of the Treadway Commission) được ra mắt vào năm 2004 và được cập nhật vào năm 2017 để đáp ứng sự phức tạp ngày càng tăng của hệ thống quản lý rủi ro doanh nghiệp (ERM - Enterprise Risk Management). Nó tập trung vào xác định các khái niệm và nguyên tắc chính của ERM, cung cấp một ngôn ngữ chung cho ERM và đề ra hướng dẫn rõ ràng cho quản lý rủi ro.
Tiêu chuẩn COSO ERM 2017 được phát triển dựa trên ý kiến đóng góp của năm tổ chức thành viên COSO và các cố vấn bên ngoài. Nó bao gồm một bộ 20 nguyên tắc tổ chức thành năm thành phần liên quan nhau. Đây là một số nguyên tắc chính:
-
Tạo ra và bảo trì một cơ sở văn hóa quản lý rủi ro
-
Chỉ đạo chiến lược
-
Định danh rủi ro
-
Quản trị rủi ro
-
Theo dõi và cải thiện
COSO ERM 2017 cung cấp một khung tham chiếu toàn diện để doanh nghiệp triển khai và cải thiện quá trình quản trị rủi ro. Nó giúp các tổ chức xác định, đánh giá và quản lý rủi ro một cách hiệu quả, đồng thời tạo ra giá trị và bảo vệ lợi ích của doanh nghiệp.
Tiêu chuẩn ISO 31000
Tiêu chuẩn ISO (International Organization for Standardization) về quản trị rủi ro (ERM) đã được đưa vào áp dụng từ năm 2009 và được sửa đổi vào năm 2018. Nó cung cấp danh sách các nguyên tắc ERM và khuôn khổ để giúp các tổ chức áp dụng cơ chế quản lý rủi ro vào hoạt động, quy trình xác định, đánh giá, ưu tiên và giảm thiểu rủi ro.
Phiên bản ISO mới hơn là một "tài liệu ngắn hơn, rõ ràng hơn, súc tích hơn, dễ đọc hơn" so với phiên bản trước đó. Nó được phát triển bởi Ủy ban Kỹ thuật Quản lý Rủi ro của ISO với sự đóng góp ý kiến từ các cơ quan thành viên quốc gia của ISO. Phiên bản tiêu chuẩn năm 2018 bao gồm nhiều hướng dẫn chiến lược hơn về ERM so với phiên bản ban đầu. Đồng thời cũng nhấn mạnh vai trò quan trọng của quản lý cấp cao trong quản lý rủi ro và tích hợp quản lý rủi ro trong toàn bộ tổ chức.
Thách thức khi quản trị rủi ro
- Định danh và đo lường rủi ro
- Thiếu thông tin
- Sự không chắc chắn và biến đổi
- Tính phức tạp và tương quan của các rủi ro
- Sự phụ thuộc vào con người
Định danh và đo lường rủi ro
Rủi ro có thể phức tạp và khó định danh. Điều này đặt ra thách thức trong việc xác định các rủi ro tiềm ẩn và đo lường chính xác mức độ tác động cũng như xác suất xảy ra của chúng.
Thiếu thông tin
Để đánh giá và quản lý rủi ro hiệu quả, cần có thông tin đầy đủ và chính xác về các yếu tố có liên quan. Tuy nhiên, thông tin có thể hạn chế hoặc không chính xác, gây khó khăn cho quá trình quản lý rủi ro.
Sự không chắc chắn và biến đổi
Môi trường kinh doanh luôn thay đổi và có sự không chắc chắn. Các yếu tố như thị trường, công nghệ, chính trị, tài chính có thể biến đổi nhanh chóng và khó đoán trước. Làm tăng thách thức trong việc dự báo rủi ro và áp dụng biện pháp quản trị linh hoạt.
Tính phức tạp và tương quan của các rủi ro
Các rủi ro không tồn tại độc lập, mà thường có sự tương quan và tác động lẫn nhau. Điều này làm tăng tính phức tạp của quá trình quản trị rủi ro, đòi hỏi sự hiểu biết sâu sắc về các mối quan hệ, tương tác giữa các rủi ro khác nhau.
Sự phụ thuộc vào con người
Quản lý rủi ro đòi hỏi sự tham gia, tương tác của nhiều bên liên quan trong tổ chức. Tuy nhiên, sự phụ thuộc vào con người có thể gặp phải các hạn chế như đánh giá sai, thiếu hiệu quả trong việc triển khai biện pháp quản lý và thiếu nhận thức về rủi ro.
Mặc dù việc áp dụng tiêu chuẩn quản lý rủi ro có những ưu điểm nhưng không phải là không có thách thức. Tiêu chuẩn mới có thể không dễ dàng phù hợp với những gì mà doanh nghiệp đang làm, chính vì vậy có thể phải đưa ra những cách làm việc mới. Các dự án kinh doanh gặp phải nhiều rủi ro có thể ảnh hưởng đến sự tồn tại và phát triển của doanh nghiệp. Do đó, điều quan trọng là phải hiểu các nguyên tắc cơ bản của quản trị rủi ro và cách chúng có thể được sử dụng để giúp giảm thiểu tác động của rủi ro đối với các thực thể kinh doanh.