Kiểm toán nội bộ được xem là "tai mắt" của lãnh đạo DN.

Kiểm toán nội bộ được xem là "tai mắt" của lãnh đạo DN.

Quản trị rủi ro: Cần quan tâm vấn đề gì?

(ĐTCK) ĐTCK đã giới thiệu phần một bài viết về quản trị rủi ro DN của ông Hoàng Đức Hùng, Phó tổng giám đốc Ernst&Young Việt Nam. Trong số báo này, ĐTCK xin giới thiệu phần hai của bài viết với những gợi ý thảo luận một số vấn đề chính mà DN cần quan tâm trong việc thiết lập và triển khai cơ chế quản trị rủi ro cho riêng mình.

Một cơ chế kiểm soát rủi ro hiệu quả không chỉ dừng ở 3 bước nhận diện rủi ro, đánh giá rủi ro và kiểm soát rủi ro một cách đơn thuần và đơn lẻ. Trong nền kinh tế hiện đại với nhiều biến động phức tạp, quản trị rủi ro DN (Enterprise Risk Management - ERM) được giới thiệu như là một cơ chế tối ưu mà một DN cần áp dụng và triển khai để tồn tại và phát triển bền vững. Về chất thì việc quản lý rủi ro sẽ phải tiến từ khái niệm sơ khai liên quan đến các bảo hiểm vật chất và hạn chế tác động của rủi ro một cách thụ động nhằm bảo toàn giá trị cho DN đến việc quản trị rủi một cách chủ động, biến rủi ro tiềm ẩn thành cơ hội và mang lại giá trị gia tăng cho DN. Nó không chỉ đơn thuần tránh cho DN khỏi các rắc rối và khó khăn, mà còn giúp hoạt động kinh doanh của DN tốt hơn, đạt kết quả tốt hơn. Một mô hình ERM hiệu quả bao gồm một số đặc điểm chủ đạo sau:

(i) Không chỉ dừng ở các rủi ro cần có bảo hiểm vật chất, mà phải bao trùm tất cả các loại hình rủi ro khác nhau có ảnh hưởng đến mọi phương diện của hoạt động kinh doanh (rủi ro chiến lược, rủi ro tuân thủ, rủi ro báo cáo tài chính, rủi ro hoạt động);

(ii) Là một quy trình liên tục, mang tính hệ thống, có sự tham gia của tất cả các cá nhân và các chức năng, bộ phận trong DN;

(iii) Không chỉ dừng ở việc giúp giảm thiểu mất mát vật chất, mà còn phải tối đa hoá cơ hội cho DN;

(iv) Thể hiện sự gắn kết chặt chẽ với chiến lược kinh doanh của DN, qua đó trở thành công cụ đảm bảo quyền lợi của các cổ đông và trở thành một bộ phận không thể tách rời của quản trị DN và kiểm soát nội bộ.

Dựa trên các đặc điểm trên, chúng tôi gợi ý thảo luận sau đây một số vấn đề chính mà DN cần quan tâm trong việc thiết lập và triển khai cơ chế quản trị rủi ro cho riêng mình.

ERM với chiến lược và chu trình kinh doanh

Giá trị của một DN được tối đa hóa khi lãnh đạo DN xác định chiến lược và mục tiêu kinh doanh dựa trên nguyên tắc cân bằng tối ưu giữa các mục đích tăng trưởng và có lợi nhuận với các rủi ro liên quan. Thông qua đó, DN có thể huy động một cách hiệu quả các nguồn lực để đạt được mục tiêu kinh doanh đề ra.

Lãnh đạo DN cần xem xét khuynh hướng chấp nhận rủi ro kinh doanh của mình trong việc lựa chọn các phương án chiến lược. Từ đó, xác định các mục tiêu kinh doanh và xây dựng cơ chế kiểm soát rủi ro liên quan.

Về mặt hoạt động, DN cần xác định các chu trình kinh doanh chính trong chuỗi cung ứng (value chain) của toàn bộ hoạt động sản xuất, kinh doanh của mình, từ đầu vào đến đầu ra cũng như các chức năng hỗ trợ, quản lý liên quan. Các mục tiêu chiến lược phải được lồng ghép và cụ thể hóa vào từng quy trình dựa trên các tiêu chí đánh giá hoạt động (Key Performance Indicators - KPIs). Các rủi ro không đạt được KPIs phải được phát hiện và kiểm soát, các bước kiểm soát phải được thiết lập. Vai trò của ERM cũng như cơ chế kiểm soát nội bộ sẽ được gắn kết và thể hiện rõ.

ERM với quản trị DN

Một trong những vai trò chủ đạo của ERM là đảm bảo việc DN tồn tại để mang lại giá trị cho các cổ đông (nhà đầu tư). ERM giúp lãnh đạo DN đương đầu một cách hiệu quả trước biến động thị trường cùng với các rủi ro và cơ hội liên quan, qua đó nâng cao năng lực để mang lại giá trị cho DN.

Theo thông lệ và các quy định chung cũng như theo điều lệ công ty, HĐQT và ban giám đốc sẽ chịu trách nhiệm về việc xây dựng và triển khai cơ chế kiểm soát rủi ro. Trong khi các cán bộ quản lý trung và cao cấp thường sử dụng ERM cho các quyết định quản lý và quyết định hoạt động của mình thì HĐQT cần phải xem ERM như một công cụ quan trọng để cân nhắc và đánh giá một hữu hiệu các rủi ro mà DN đang phải đối mặt. Các chức năng, trách nhiệm cũng như những thủ tục liên quan đến ERM cần phải được làm rõ và truyền đạt tới các cá nhân hoặc bộ phận liên quan.

Tùy vào quy mô cũng như lĩnh vực và loại hình sở hữu của DN mà việc tổ chức nhân sự và sắp xếp bộ máy chức năng liên quan đến ERM sẽ khác nhau: ban rủi ro thuộc HĐQT; cán bộ hoặc phòng, ban chuyên trách về rủi ro; hoặc có thể có sự kiêm nhiệm. Tất cả những sắp xếp này cần được cụ thể hóa trong điều lệ công ty và/hoặc trong cơ cấu nhân sự quản lý và tổ chức cán bộ.

Vấn đề quan trọng là toàn bộ nhân viên và các cấp quản lý hiểu được chức năng điều hành và quản lý các hoạt động cũng như rủi ro có ảnh hưởng tới DN được tổ chức như thế nào.

ERM và kiểm soát nội bộ

Một trong những cơ chế kiểm soát nội bộ được phổ cập và ứng dụng nhiều nhất là cơ chế kiểm soát nội bộ của Committee of Sponsoring Organisations (COSO). Theo COSO, hệ thống kiểm soát nội bộ được xem là một chu trình thuộc quyền hạn của HĐQT và ban giám đốc, được thiết kế nhằm có được đảm bảo hợp lý việc đạt được các mục tiêu sau: hiệu quả và hiệu suất của các hoạt động; độ tin cậy của báo cáo tài chính; tuân thủ pháp luật và các quy định.

Các mục tiêu này hàm chứa một cách trực tiếp các rủi ro. Một cách gián tiếp, việc đạt được hoặc không đạt được các mục tiêu này sẽ có ảnh hưởng gián tiếp từ rủi ro chiến lược của DN. Chính vì vậy, theo cơ chế kiểm soát nội bộ của COSO, đánh giá rủi ro được coi là một cấu phần quan trọng trong tổng thể cơ chế kiểm soát nội bộ của DN. Cơ chế này đòi hỏi DN phải xây dựng chu trình đánh giá các rủi ro tiềm tàng có thể có ảnh hưởng tới việc đạt được các mục tiêu của kiểm soát nội bộ. Chu trình này cần mang tính chất dự báo, thường được thực hiện cùng việc lên kế hoạch năm và được cập nhật thường xuyên khi có biến động lớn. Việc đánh giá rủi ro, cùng với các cấu phần khác trong kiểm soát nội bộ, kể cả thủ tục kiểm soát, cần được thực hiện tại tất cả các cấp liên quan đến những hoạt động trọng yếu của DN.

ERM và kiểm toán nội bộ

Kiểm toán nội bộ được xem là "tai mắt" của lãnh đạo DN qua việc sử dụng các chuyên gia có nhiệm vụ kiểm tra và soát xét tất cả các bộ phận và chức năng của một DN và báo cáo cho lãnh đạo DN các kết quả công việc của mình. Một mặt, kiểm toán nội bộ phải dựa trên đánh giá rủi ro để xác định khu vực và trọng tâm kiểm tra và lên kế hoạch kiểm toán của mình, mặt khác kiểm toán nội bộ sẽ giúp đánh giá và xác định tính hiệu quả cũng như tham gia cải thiện hệ thống kiểm soát rủi ro trong DN. Vai trò này được thực hiện thông qua việc xem xét các bước kiểm soát nội bộ có được thực hiện hay không, qua đó xác định và cảnh báo các rủi ro trọng yếu ảnh hưởng đến hoạt động của DN và đưa ra các khuyến nghị và kế hoạch hành động để kiểm soát và giảm thiểu ảnh hưởng tiêu cực của các rủi ro đó. Khi đưa ra các khuyến nghị và kế hoạch hành động, kiểm toán nội bộ cũng phải quan tâm đến các rủi ro có liên quan cũng như môi trường tồn tại các rủi ro đó.

Như vậy, chúng ta không thể triển khai ERM như một quy trình đơn lẻ, mà cần phải được lồng ghép và đan xen trong chiến lược phát triển tổng thể của DN. Các bước nhận diện, đánh giá và kiểm soát rủi ro cần được tiến hành một cách bài bản, đồng bộ và sâu rộng trong DN. DN nào làm việc này càng sớm, càng chuyên nghiệp thì càng có lợi thế cạnh tranh, biến rủi ro thành cơ hội, giảm thiểu nguy cơ thất bại.  

Tin liên quan: