Cách để tải tài liệu. 

1. Nếu bạn ĐÃ CÓ tài khoản: Vui lòng Tải về để xem chi tiết

2. Nếu bạn CHƯA CÓ tài khoản: Vui lòng xem hướng dẫn TẠI ĐÂY 

Mọi thắc mắc vui lòng liên hệ: 0917 267 397

Bản dịch tham khảo (Mỗi ngày 1 -2 trang)

MỤC LỤC CHUNG

- GIỚI THIỆU 

- PHẦN MỘT Giới thiệu về quản lý rủi ro

- PHẦN HAI Các phương pháp tiếp cận quản lý rủi ro

- PHẦN BA Đánh giá rủi ro

- PHẦN BỐN Đối phó rủi ro

- PHẦN NĂM Chiến lược rủi ro

- PHẦN SÁU Văn hóa rủi ro

- PHẦN BẢY Quản trị rủi ro

- PHẦN TÁM Đảm bảo rủi ro

MỤC LỤC CHI TIẾT THEO PHẦN

PHẦN GIỚI THIỆU

- Quản lý rủi ro trong bối cảnh hiện nay

- Bản chất của rủi ro 

- Quản lý rủi ro 

- Thuật ngữ quản lý rủi ro 

- Lợi ích của quản lý rủi ro 

- Đặc điểm của quản lý rủi ro

- Quản lý rủi ro trong thực tế

- Tương lai của quản lý rủi ro

Trang 1

Introduction/ Giới thiệu

Risk management in context/ Quản lý rủi ro trong bối cảnh hiện nay.

This book is intended for all who want a comprehensive introduction to the theory and application of risk management. It sets out an integrated introduction to the management of risk in public and private organizations. Studying this book will provide insight into the world of risk management and may also help readers decide whether risk management is a suitable career option for them.

Cuốn sách này dành cho tất cả những ai muốn có một cái nhìn tổng quan toàn diện về lý thuyết và ứng dụng của quản lý rủi ro. Nó trình bày một phần giới thiệu tích hợp về quản lý rủi ro trong các tổ chức công và tư. Nghiên cứu cuốn sách này sẽ cung cấp cái nhìn sâu sắc về thế giới quản lý rủi ro và cũng có thể giúp người đọc quyết định liệu quản lý rủi ro có phải là một lựa chọn nghề nghiệp phù hợp với họ hay không.

Many readers will wish to use this book in order to gain a better understanding of risk and risk management and thereby fulfil the primary responsibilities of their jobs with an enhanced understanding of risk. This book is designed to deliver the syllabus of the International Certificate in Risk Management qualification of the Institute of Risk Management. However, it also acts as an introduction to the discipline of risk management for those interested in the subject but not (yet) undertaking a course of study.

Nhiều độc giả sẽ muốn sử dụng cuốn sách này để hiểu rõ hơn về rủi ro và quản lý rủi ro, qua đó hoàn thành tốt hơn các trách nhiệm chính trong công việc của mình với sự hiểu biết nâng cao về rủi ro. Cuốn sách này được thiết kế để cung cấp giáo trình cho Chứng chỉ Quốc tế về Quản lý Rủi ro của Viện Quản lý Rủi ro. Tuy nhiên, nó cũng đóng vai trò là phần giới thiệu về ngành quản lý rủi ro cho những người quan tâm đến chủ đề này nhưng (chưa) tham gia một khóa học.

An introduction to risk and risk management is provided in Part One and Part Two of this book and administration of risk management is considered in Part Five (Risk strategy). Parts Three and Four describe the application of risk management in terms of risk assessment and risk response. Part Six considers risk culture, Part Seven describes risk governance and Part Eight considers risk assurance and risk reporting. Parts Seven and Eight concentrate on the application of risk management tools and techniques, as well as considering the outputs from the risk management process and the benefits that arise.

Phần giới thiệu về rủi ro và quản lý rủi ro được cung cấp trong Phần Một và Phần Hai của cuốn sách này và việc quản trị quản lý rủi ro được xem xét trong Phần Năm (Chiến lược rủi ro). Phần Ba và Bốn mô tả ứng dụng của quản lý rủi ro về mặt đánh giá rủi ro và ứng phó với rủi ro. Phần Sáu xem xét văn hóa rủi ro, Phần Bảy mô tả quản trị rủi ro và Phần Tám xem xét đảm bảo rủi ro và báo cáo rủi ro. Phần Bảy và Tám tập trung vào việc áp dụng các công cụ và kỹ thuật quản lý rủi ro, cũng như xem xét các kết quả đầu ra từ quy trình quản lý rủi ro và những lợi ích phát sinh.

We all face risks in our everyday lives. Risks arise from personal activities and range from those associated with travel through to the ones associated with personal financial decisions. There are considerable risks present in the domestic component of our lives, and these include fire risks in our homes and financial risks associated with home ownership. Indeed, there are also a whole range of risks associated with domestic and relationship issues, but these are outside the scope of this book.

Tất cả chúng ta đều phải đối mặt với rủi ro trong cuộc sống hàng ngày. Rủi ro phát sinh từ các hoạt động cá nhân và bao gồm từ những rủi ro liên quan đến du lịch đến những rủi ro liên quan đến các quyết định tài chính cá nhân. Có những rủi ro đáng kể hiện diện trong các khía cạnh đời sống gia đình của chúng ta, bao gồm rủi ro hỏa hoạn trong nhà và rủi ro tài chính liên quan đến quyền sở hữu nhà. Thực vậy, cũng có một loạt các rủi ro liên quan đến các vấn đề gia đình và mối quan hệ, nhưng những vấn đề này nằm ngoài phạm vi của cuốn sách này.

This book is primarily concerned with business and commercial risks and the roles that we fulfil in our job or occupation. However, the task of evaluating risks and deciding how to respond to them is a daily activity, not only at work but also at home and during leisure activities.

Cuốn sách này chủ yếu liên quan đến các rủi ro kinh doanh và thương mại cũng như vai trò mà chúng ta đảm nhận trong công việc hoặc nghề nghiệp của mình. Tuy nhiên, nhiệm vụ đánh giá rủi ro và quyết định cách ứng phó với chúng là một hoạt động hàng ngày, không chỉ ở nơi làm việc mà còn ở nhà và trong các hoạt động giải trí.

The importance of context is emphasized throughout the book and Chapter 7 specifically discusses the first stage of the risk management process, which is 'estab-lish the context'. Further consideration of context is provided by Chapter 21 which describes the risk management context in more detail.

Tầm quan trọng của bối cảnh được nhấn mạnh xuyên suốt cuốn sách và Chương 7 đặc biệt thảo luận về giai đoạn đầu tiên của quy trình quản lý rủi ro, đó là 'thiết lập bối cảnh'. Việc xem xét thêm về bối cảnh được cung cấp bởi Chương 21, mô tả chi tiết hơn về bối cảnh quản lý rủi ro.

Trang 2

Bản chất của rủi ro

Các sự kiện gần đây trên thế giới đã làm cho rủi ro trở nên nổi bật hơn. Khủng bố, các hiện tượng thời tiết cực đoan và khủng hoảng tài chính toàn cầu đại diện cho những rủi ro cực đoan mà xã hội và thương mại đang phải đối mặt. Những rủi ro cực đoan này tồn tại bên cạnh những rủi ro hàng ngày, có phần trần tục hơn đã được đề cập ở trên.

Đánh giá phạm vi các biện pháp ứng phó rủi ro hiện có và quyết định biện pháp phù hợp nhất trong từng trường hợp là trọng tâm của quản lý rủi ro. Việc ứng phó với rủi ro sẽ mang lại lợi ích cho chúng ta với tư cách cá nhân, cũng như cho các tổ chức nơi chúng ta làm việc và/hoặc được tuyển dụng.

Trong cuộc sống cá nhân và gia đình, nhiều biện pháp ứng phó với rủi ro là tự động. Cách chúng ta phòng tránh hỏa hoạn và tai nạn giao thông đường bộ dựa trên các phản ứng tự động và đã được thiết lập tốt. Hỏa hoạn và tai nạn là những loại rủi ro chỉ có thể có kết quả tiêu cực, và chúng thường được gọi là rủi ro nguy hiểm. Nhiều tổ chức coi các yêu cầu tuân thủ là rủi ro nguy hiểm, theo đó việc không tuân thủ chỉ có thể mang lại tiêu cực. Tuy nhiên, các tổ chức khác lại có quan điểm rằng việc đạt được sự tuân thủ có thể mang lại lợi ích bổ sung hoặc mang lại 'mặt tích cực của rủi ro'.

Một số rủi ro khác đã thiết lập hoặc yêu cầu các biện pháp ứng phó được áp đặt cho chúng ta với tư cách cá nhân và/hoặc cho các tổ chức như những yêu cầu bắt buộc. Ví dụ, trong cuộc sống cá nhân của chúng ta, mua bảo hiểm xe hơi thường là một yêu cầu pháp lý, trong khi mua bảo hiểm nhà thường không phải, nhưng đó là quản lý rủi ro tốt và rất hợp lý.

Giữ xe của bạn trong tình trạng cơ khí tốt sẽ làm giảm nguy cơ hỏng hóc. Tuy nhiên, ngay cả những chiếc xe được bảo dưỡng và bảo trì đầy đủ đôi khi cũng bị hỏng. Việc duy trì xe của bạn trong tình trạng cơ khí tốt sẽ làm giảm nguy cơ hỏng hóc, nhưng sẽ không loại bỏ chúng hoàn toàn. Những loại rủi ro có mức độ không chắc chắn lớn liên quan đến chúng thường được gọi là rủi ro kiểm soát. Các rủi ro liên quan đến việc sở hữu một chiếc xe hơi được khám phá khá chi tiết trong cuốn sách, bởi vì điều này đại diện cho một ví dụ thực tế trong kinh nghiệm của hầu hết mọi người.

Cũng như rủi ro nguy hiểm và rủi ro kiểm soát, có những rủi ro mà chúng ta chấp nhận bởi vì chúng ta mong muốn (và có lẽ kỳ vọng) một lợi nhuận tích cực. Ví dụ, bạn sẽ đầu tư tiền với dự đoán rằng bạn sẽ kiếm được lợi nhuận từ khoản đầu tư đó. Tương tự như vậy, việc đặt cược hoặc đánh bạc vào kết quả của một sự kiện thể thao được thực hiện với dự đoán nhận được khoản hoàn vốn tích cực.

Mọi người tự nguyện tham gia vào các môn thể thao mô tô và các hoạt động giải trí tiềm ẩn nguy hiểm khác. Trong những trường hợp này, lợi nhuận có thể không phải là tài chính, nhưng có thể được đo bằng niềm tự hào, lòng tự trọng hoặc sự tôn trọng của nhóm đồng đẳng. Thực hiện các hoạt động liên quan đến các loại rủi ro này, nơi mong đợi một lợi nhuận tích cực, có thể được gọi là chấp nhận rủi ro cơ hội.

Trang 3 

Quản lý rủi ro

Các tổ chức phải đối mặt với một loạt các rủi ro rất rộng có thể tác động đến kết quả hoạt động của họ. Mục tiêu tổng thể mong muốn có thể được nêu dưới dạng một sứ mệnh hoặc một tập hợp các mục tiêu của công ty. Các sự kiện có thể tác động đến một tổ chức có thể cản trở những gì tổ chức đang tìm cách đạt được (rủi ro nguy hiểm), nâng cao mục tiêu đó (rủi ro cơ hội), hoặc tạo ra sự không chắc chắn về kết quả (rủi ro kiểm soát). Có một loại rủi ro thứ tư liên quan đến các nghĩa vụ bắt buộc được đặt ra cho các tổ chức và những rủi ro này được gọi là rủi ro tuân thủ.

Quản lý rủi ro cần cung cấp một phương pháp tiếp cận tích hợp để đánh giá, kiểm soát và giám sát ba loại rủi ro này. Cuốn sách này xem xét các thành phần chính của quản lý rủi ro và cách nó có thể được áp dụng. Các ví dụ được cung cấp để minh chứng lợi ích của quản lý rủi ro đối với các tổ chức trong cả khu vực công và tư. Quản lý rủi ro cũng đóng một vai trò quan trọng trong sự thành công của các tổ chức phi lợi nhuận như các tổ chức từ thiện và (ví dụ) các câu lạc bộ và các cơ quan thành viên khác.

Quá trình quản lý rủi ro đã được thiết lập tốt, mặc dù nó được trình bày theo nhiều cách khác nhau và thường bằng các thuật ngữ khác nhau. Các thuật ngữ khác nhau được sử dụng bởi các chuyên gia quản lý rủi ro khác nhau và trong các lĩnh vực kinh doanh khác nhau được khám phá trong cuốn sách này. Ngoài mô tả về các tiêu chuẩn quản lý rủi ro đã được thiết lập, một mô tả đơn giản hóa về quản lý rủi ro nêu rõ các giai đoạn chính trong quy trình quản lý rủi ro cũng được trình bày để giúp hiểu rõ hơn.

Quá trình quản lý rủi ro không thể diễn ra một cách biệt lập. Nó cần được hỗ trợ bởi một khuôn khổ trong tổ chức. Một lần nữa, khuôn khổ quản lý rủi ro được trình bày và mô tả theo những cách khác nhau trong một loạt các tiêu chuẩn, hướng dẫn và các ấn phẩm khác có sẵn. Trong mọi trường hợp, các thành phần chính của một khuôn khổ quản lý rủi ro thành công là cơ cấu truyền thông và báo cáo (kiến trúc), chiến lược quản lý rủi ro tổng thể do tổ chức đặt ra (chiến lược) và bộ hướng dẫn và quy trình (giao thức) đã được thiết lập.

Tầm quan trọng của kiến trúc, chiến lược và quy trình rủi ro (RASP) được thảo luận chi tiết trong cuốn sách này. Sự kết hợp của các quy trình quản lý rủi ro, cùng với mô tả về khuôn khổ hiện có để hỗ trợ quy trình, tạo thành một tiêu chuẩn quản lý rủi ro. Có một số tiêu chuẩn quản lý rủi ro hiện có, bao gồm Tiêu chuẩn IRM và Tiêu chuẩn Anh BS 31100:2011. Cũng có COSO ERM cube của Mỹ. Sự bổ sung nổi bật nhất cho các tiêu chuẩn quản lý rủi ro hiện có là tiêu chuẩn quốc tế, ISO 31000, được xuất bản lần đầu vào năm 2009 và được cập nhật vào năm 2018. Tiêu chuẩn Úc AS 4360 (2004) đã được thiết lập tốt và được tôn trọng đã bị rút lại vào năm 2009 để ủng hộ ISO 31000. AS 4360 được xuất bản lần đầu vào năm 1995 và ISO 31000 bao gồm nhiều tính năng và cung cấp một phương pháp tiếp cận tương tự như phương pháp đã được mô tả trước đây trong AS 4360.

Thông tin thêm về các tiêu chuẩn hiện hành và các hướng dẫn đã xuất bản khác được trình bày trong Chương 6. Ngoài ra, các tài liệu tham khảo được bao gồm trong mỗi phần của cuốn sách này để cung cấp thêm tài liệu cho phép người đọc có được phần giới thiệu toàn diện về chủ đề quản lý rủi ro. Các chữ viết tắt và từ viết tắt được sử dụng xuyên suốt cuốn sách như một mục tiêu để học hỏi và hiểu biết. Danh sách tất cả các chữ viết tắt và từ viết tắt được bao gồm trong Phụ lục A.

Trang 4

Thuật ngữ quản lý rủi ro

Hầu hết các ấn phẩm về quản lý rủi ro đều đề cập đến lợi ích của việc có một ngôn ngữ chung về rủi ro trong tổ chức. Nhiều tổ chức đã đạt được ngôn ngữ chung này và sự hiểu biết chung về các quy trình và quy trình quản lý rủi ro ít nhất là trong nội bộ các giao thức. Tuy nhiên, thường thì trong một lĩnh vực kinh doanh, và đôi khi ngay cả trong các tổ chức riêng lẻ, việc phát triển một ngôn ngữ chung về rủi ro có thể rất khó khăn.

Tài liệu tham khảo và hỗ trợ sử dụng rất nhiều thuật ngữ. Các phương pháp tiếp cận khác nhau đối với quản lý rủi ro, các tiêu chuẩn quản lý rủi ro khác nhau hiện có và nhiều loại tài liệu hướng dẫn có sẵn thường sử dụng các thuật ngữ khác nhau cho cùng một tính năng hoặc khái niệm. Điều này thật đáng tiếc và có thể rất khó hiểu, nhưng không thể tránh khỏi.

Đang có những nỗ lực để phát triển một ngôn ngữ rủi ro được tiêu chuẩn hóa, và Hướng dẫn ISO 73 đã được phát triển như một thuật ngữ chung nên được sử dụng trong tất cả các tiêu chuẩn ISO. Thuật ngữ được nêu trong Hướng dẫn ISO 73 được sử dụng xuyên suốt cuốn sách này như một bộ định nghĩa mặc định bất cứ khi nào có thể. Tuy nhiên, việc sử dụng một thuật ngữ tiêu chuẩn không phải lúc nào cũng có thể và có thể cần các định nghĩa thay thế. Thật vậy, bản thân ISO cũng xuất bản một hướng dẫn thuật ngữ, ISO/IEC Guide 51:2014, có tựa đề 'Các khía cạnh an toàn - hướng dẫn để đưa chúng vào các tiêu chuẩn', và các định nghĩa trong Guide 51 không hoàn toàn phù hợp với các định nghĩa trong Guide 73.

Để hỗ trợ trong lĩnh vực thuật ngữ khó khăn, Phụ lục B trình bày các thuật ngữ và định nghĩa cơ bản được sử dụng trong quản lý rủi ro. Nó cũng cung cấp tham chiếu chéo giữa các thuật ngữ khác nhau được sử dụng để mô tả cùng một khái niệm. Khi thích hợp và cần thiết, một bảng trình bày một loạt các định nghĩa cho cùng một khái niệm được bao gồm trong chương liên quan của cuốn sách, và các bảng này được tham chiếu chéo trong Phụ lục B.

Lợi ích của quản lý rủi ro

Có một loạt các lý do tại sao các tổ chức thực hiện các hoạt động quản lý rủi ro. Những lý do này được tóm tắt trong cuốn sách này là bắt buộc, đảm bảo, ra quyết định và các quy trình cốt lõi hiệu quả và hiệu suất (MADE2). Bắt buộc đề cập đến các hoạt động quản lý rủi ro được thiết kế để đảm bảo rằng một tổ chức tuân thủ các nghĩa vụ pháp lý và quy định, cũng như các yêu cầu của khách hàng hoặc người dùng.

Hội đồng quản trị của một tổ chức sẽ yêu cầu sự đảm bảo rằng các rủi ro đáng kể đã được xác định và các biện pháp kiểm soát thích hợp đã được áp dụng. Để đảm bảo rằng các quyết định kinh doanh đúng đắn được đưa ra, tổ chức nên thực hiện các hoạt động quản lý rủi ro cung cấp thông tin có cấu trúc bổ sung để hỗ trợ việc ra quyết định kinh doanh.

Cuối cùng, một lợi ích quan trọng từ quản lý rủi ro là nâng cao tính hiệu quả và hiệu suất của các hoạt động trong tổ chức. Ngoài ra, nó sẽ giúp đảm bảo rằng các quy trình kinh doanh (bao gồm cả việc cải tiến quy trình bằng các chiến thuật, dự án và các sáng kiến thay đổi khác) cũng hiệu quả và hiệu suất. Cuối cùng, chiến lược được chọn cũng cần phải hiệu quả và hiệu suất, ở chỗ nó có khả năng mang lại chính xác những gì được yêu cầu.

Các yếu tố đầu vào của quản lý rủi ro là cần thiết liên quan đến việc ra quyết định chiến lược, mà còn liên quan đến việc thực hiện hiệu quả các dự án và chương trình công việc, cũng như liên quan đến các hoạt động thường xuyên của tổ chức. Lợi ích của quản lý rủi ro cũng có thể được xác định liên quan đến ba khung thời gian hoạt động này trong tổ chức. Các kết quả đầu ra từ các hoạt động quản lý rủi ro có thể mang lại lợi ích cho các tổ chức trong ba khung thời gian và đảm bảo rằng tổ chức đạt được chiến lược, chiến thuật và hoạt động hiệu quả và hiệu suất.

Chiến lược, chiến thuật và hoạt động được củng cố bởi nhu cầu đạt được sự tuân thủ. Các quy trình và hoạt động cốt lõi chiến lược, chiến thuật, hoạt động và tuân thủ (STOC) bao gồm toàn bộ các quy trình của một tổ chức. Các quy trình này là quy trình cốt lõi của tổ chức và việc phân tích các quy trình cốt lõi cung cấp một phương pháp tiếp cận toàn diện để quản lý rủi ro được sử dụng trong một số phần của cuốn sách.

Để đạt được sự đóng góp thành công của quản lý rủi ro, các lợi ích dự kiến của bất kỳ sáng kiến quản lý rủi ro nào cũng phải được xác định. Nếu những lợi ích đó không được xác định, thì sẽ không có phương tiện nào để đánh giá liệu sáng kiến quản lý rủi ro có thành công hay không. Do đó, quản lý rủi ro tốt phải có một bộ kết quả/lợi ích mong muốn rõ ràng. Cần chú ý thích đáng đến từng giai đoạn của quy trình quản lý rủi ro, cũng như các chi tiết của việc thiết kế, thực hiện và giám sát khuôn khổ hỗ trợ các hoạt động quản lý rủi ro này.

Đặc điểm của quản lý rủi ro

Việc không quản lý đầy đủ các rủi ro mà một tổ chức phải đối mặt có thể do nhận diện rủi ro không đầy đủ, phân tích không đủ các rủi ro đáng kể và không xác định được các hoạt động ứng phó rủi ro phù hợp. Ngoài ra, việc không thiết lập chiến lược quản lý rủi ro và không truyền đạt chiến lược đó cũng như các trách nhiệm liên quan có thể dẫn đến việc quản lý rủi ro không đầy đủ. Cũng có thể các quy trình hoặc thủ tục quản lý rủi ro có thể bị sai sót, đến mức các thủ tục này thực sự không có khả năng mang lại kết quả mong muốn.

Hậu quả của việc không quản lý rủi ro một cách đầy đủ có thể rất thảm khốc và có thể dẫn đến các hoạt động không hiệu quả và/hoặc kém hiệu quả, các dự án không hoàn thành đúng thời hạn và các chiến lược không được thực hiện, hoặc đã sai ngay từ đầu. Các dấu hiệu của quản lý rủi ro thành công được xem xét trong cuốn sách này. Để thành công, sáng kiến quản lý rủi ro phải tương xứng, phù hợp, toàn diện, được gắn kết và năng động (PACED).

Tương xứng có nghĩa là nỗ lực dành cho quản lý rủi ro phải phù hợp với mức độ rủi ro mà tổ chức phải đối mặt. Các hoạt động quản lý rủi ro phải phù hợp với các hoạt động khác trong tổ chức. Các hoạt động cũng cần phải toàn diện, để bất kỳ sáng kiến quản lý rủi ro nào cũng bao gồm tất cả các khía cạnh của tổ chức và tất cả các rủi ro mà tổ chức phải đối mặt. Các phương tiện để gắn kết các hoạt động quản lý rủi ro trong tổ chức được thảo luận trong cuốn sách này. Cuối cùng, các hoạt động quản lý rủi ro phải năng động và đáp ứng được môi trường kinh doanh thay đổi mà tổ chức phải đối mặt.

Giống như tất cả các hoạt động và quy trình quản lý trong một tổ chức, quản lý rủi ro cần được điều chỉnh và sửa đổi để phù hợp với các quy trình cốt lõi và văn hóa tổ chức. Liên quan đến quản lý rủi ro, một tổ chức trước tiên sẽ cần phải đáp ứng cụ thể các nghĩa vụ theo luật định và các yêu cầu của các cơ quan quản lý. Sau khi các yêu cầu đó được đáp ứng, hầu hết các tổ chức có thể hoạt động trên cơ sở rằng bất cứ điều gì hoạt động hiệu quả trong tổ chức và mang lại lợi ích, kết quả đầu ra và kết quả mong muốn đều là phương pháp tiếp cận ERM đúng đắn và phù hợp cho tổ chức đó.

 

Quản lý rủi ro trong thực tế

Để làm cho chủ đề quản lý rủi ro trở nên sống động, các ví dụ minh họa ngắn gọn được sử dụng xuyên suốt văn bản. Những ví dụ này tập trung vào một số ít tổ chức để cung cấp một số bối cảnh cho các ý tưởng được mô tả. Các hoạt động quản lý rủi ro không thể được thực hiện ngoài bối cảnh, và do đó các tổ chức này cung cấp bối cảnh cho các ý tưởng và khái niệm được mô tả.

Các ví dụ thường được sử dụng nhất để minh họa một điểm là một công ty vận tải đường bộ, một câu lạc bộ thể thao, một nhà hát, một nhà xuất bản và một công ty lớn niêm yết trên thị trường chứng khoán, để minh họa, sở hữu câu lạc bộ thể thao và công ty vận tải đường bộ. Các ví dụ cũng được sử dụng về cách các nguyên tắc quản lý rủi ro có thể được áp dụng cho các rủi ro cá nhân phải đối mặt trong cuộc sống riêng tư.

Ngoài những ví dụ chung này, các tình huống và ví dụ thực tế cũng được sử dụng, khi một nghiên cứu điển hình là hữu ích. Mỗi phần của cuốn sách bắt đầu bằng một đoạn trích ngắn từ báo cáo và tài khoản của ba công ty được chọn để minh họa các chủ đề quản lý rủi ro chính được đề cập trong phần đó. Mặc dù nhiều ví dụ này chủ yếu đến từ Vương quốc Anh, các nguyên tắc này cũng có thể áp dụng tương tự cho các khu vực khác trên thế giới.

Do khủng hoảng tài chính toàn cầu và những khó khăn kinh tế tiếp diễn trên khắp thế giới, quản lý rủi ro tiếp tục là một chủ đề rất được quan tâm. Do đó, có nhiều ví dụ về việc áp dụng các công cụ và kỹ thuật quản lý rủi ro vào các tình huống kinh doanh và thương mại khó khăn. Cuốn sách tận dụng nguồn thông tin phong phú sẵn có để trình bày các ví dụ, ý kiến và bình luận về các vấn đề quản lý rủi ro ảnh hưởng đến các tổ chức.

Xuyên suốt cuốn sách, các hộp được đưa vào trong văn bản. Những hộp này hoặc cung cấp các ví dụ thực tế về việc áp dụng lý thuyết đang được thảo luận, hoặc chúng cung cấp các ý kiến và bình luận về các tình huống thực tế đã phát sinh. Các nghiên cứu điển hình được đưa vào đầu mỗi phần của cuốn sách đã được lấy từ các trang web của các tổ chức nổi tiếng hoặc từ các báo cáo thường niên và tài khoản đã công bố có sẵn trong phạm vi công cộng.

Tương lai của quản lý rủi ro

Khi cuộc khủng hoảng tài chính toàn cầu diễn ra, ngày càng có nhiều xu hướng cho rằng các báo cáo tin tức cho thấy rủi ro là xấu và quản lý rủi ro đã thất bại. Trên thực tế, cả hai nhận định này đều không chính xác. Các tổ chức phải giải quyết các rủi ro mà họ phải đối mặt bởi vì nhiều tổ chức trong số đó phải thực hiện các hoạt động có rủi ro cao, hoặc vì các hoạt động này không thể tránh khỏi, hoặc vì các hoạt động được thực hiện nhằm tạo ra kết quả tích cực cho tổ chức và các bên liên quan.

Cuộc khủng hoảng tài chính toàn cầu không cho thấy sự thất bại của quản lý rủi ro, mà là sự thất bại của ban lãnh đạo các tổ chức trong việc giải quyết thành công các rủi ro mà họ phải đối mặt. Việc đạt được lợi ích từ quản lý rủi ro đòi hỏi việc triển khai quy trình quản lý rủi ro trong tổ chức một cách cẩn thận, cũng như việc thiết kế và gắn kết thành công một khuôn khổ quản lý rủi ro phù hợp và đầy đủ.

Bằng cách trình bày một phương pháp tiếp cận tích hợp đối với quản lý rủi ro, cuốn sách này cung cấp một mô tả về các thành phần cơ bản của việc quản lý thành công các rủi ro kinh doanh/doanh nghiệp. Nó mô tả vô số các công cụ và kỹ thuật quản lý rủi ro và cung cấp thông tin về việc thực hiện thành công một phương pháp tiếp cận tích hợp và toàn doanh nghiệp đối với quản lý rủi ro.

Quản lý rủi ro đang thay đổi nhanh chóng, cả về các công cụ và kỹ thuật được áp dụng cũng như các cơ cấu quản trị đang được giới thiệu để đảm bảo quản lý rủi ro thành công. Các tổ chức cần phải ý thức hơn về chi phí, và điều này đã dẫn đến sự xuất hiện của các phương pháp tiếp cận như Quản trị Rủi ro và Tuân thủ (GRC). GRC đại diện cho một phương pháp tiếp cận được thiết kế để vừa hiệu quả vừa tiết kiệm chi phí về mặt kết quả đạt được.

Với nhiều tổ chức phải cắt giảm chi phí và gặp khó khăn trong điều kiện kinh doanh hiện tại, các rủi ro mới nổi chưa bao giờ quan trọng hơn thế. Đối với nhiều tổ chức, việc giữ mức độ tiếp xúc với rủi ro trong khả năng chịu đựng rủi ro của tổ chức là một thách thức. Các sự kiện có thể xảy ra có thể gây tàn phá cho tổ chức. Trong những hoàn cảnh khó khăn này, các tổ chức cần chú ý nhiều hơn đến việc phân tích các yếu tố kích hoạt có thể dẫn đến việc các rủi ro đáng kể trở thành hiện thực, cũng như phát triển các kế hoạch chi tiết để quản lý bất kỳ cuộc khủng hoảng nào phát sinh.

Danh sách dưới đây đưa ra một bản tóm tắt các hành động sẽ giúp tránh lặp lại cuộc khủng hoảng tài chính toàn cầu. Nhiều tổ chức thiếu một khuôn khổ quản lý rủi ro chung trên toàn doanh nghiệp. Điều này có nhiều yếu tố, mỗi yếu tố đều cần thiết để giúp tránh những thảm họa tương tự trong tương lai:

• Thứ nhất, cần có các quy trình, thuật ngữ và thực tiễn chung để quản lý các loại rủi ro.

• Thứ hai, điều cần thiết là các mức chịu đựng rủi ro phải được hiểu đầy đủ, được truyền đạt và giám sát trên toàn doanh nghiệp.

• Thứ ba, các thực tiễn quản lý rủi ro nên được tích hợp vào tất cả các quy trình và quyết định kinh doanh quan trọng.

• Và, thứ tư, ban quản lý nên đưa ra các quyết định liên quan đến rủi ro bằng cách sử dụng thông tin rủi ro chất lượng cao, chuyên dụng.

 

PHẦN MỘT

Giới thiệu về quản lý rủi ro

 

KẾT QUẢ HỌC TẬP CỦA PHẦN MỘT

- đưa ra một loạt các định nghĩa đã được thiết lập về rủi ro và quản lý rủi ro và mô tả tính hữu ích của các định nghĩa khác nhau;

- liệt kê phạm vi các đặc điểm của một rủi ro cần được xác định để cung cấp một mô tả đầy đủ về rủi ro và giải thích sự bao gồm của từng mục;

- tóm tắt các lựa chọn để gắn kết rủi ro với các thuộc tính khác nhau của một tổ chức và mô tả lợi thế của mỗi phương pháp;

- xác định các đặc điểm của bốn loại rủi ro cho phép chúng được xác định là rủi ro tuân thủ, nguy hiểm, kiểm soát và cơ hội;

- tóm tắt nguồn gốc và sự phát triển của lĩnh vực quản lý rủi ro, bao gồm các lĩnh vực chuyên môn và phương pháp tiếp cận khác nhau;

- giải thích các đặc điểm của quản lý rủi ro doanh nghiệp (ERM) và lợi ích của phương pháp ERM so với quản lý rủi ro truyền thống;

- tóm tắt các nguyên tắc (PACED) và mục tiêu của quản lý rủi ro cũng như tầm quan trọng của nó đối với chiến lược, chiến thuật, hoạt động và tuân thủ (STOC);

- mô tả các kết quả đầu ra chính của quản lý rủi ro về các nghĩa vụ bắt buộc, đảm bảo, ra quyết định và các quy trình cốt lõi hiệu quả và hiệu suất (MADE2).

 

TÀI LIỆU ĐỌC THÊM PHẦN MỘT

- Bernstein, P (1998) Chống lại các vị thần: Câu chuyện đáng chú ý về Rủi ro, www.wiley.com

- Tiêu chuẩn Anh BS 31100:2011 Quản lý rủi ro: Quy tắc thực hành và Hướng dẫn triển khai BS ISO 31000, www.standardsuk.com

- Viện Quản lý Rủi ro (2002) Tiêu chuẩn Quản lý Rủi ro, www.theirm.org

- Viện Quản lý Rủi ro (2010) Một Phương pháp Tiếp cận Có Cấu trúc đối với Quản lý Rủi ro Doanh nghiệp (ERM) và các Yêu cầu của ISO 31000, www.theirm.org

- Tiêu chuẩn Quốc tế ISO 31000:2018 Quản lý Rủi ro - Hướng dẫn, www.iso.org

- Pullan, P và Murray-Webster, R (2011) Hướng dẫn Ngắn gọn về Tạo điều kiện Quản lý Rủi ro, www.gowerpublishing.com

TÌNH HUỐNG NGHIÊN CỨU (CASE STUDY)

 

Tập đoàn Rank: Cách chúng tôi quản lý rủi ro

Rank vận hành một phương pháp quản lý rủi ro toàn diện, được tích hợp chặt chẽ vào cơ cấu quản lý của mình để cung cấp sự giám sát và quản trị rõ ràng đối với các rủi ro được coi là trọng yếu đối với hoạt động kinh doanh của mình, và để duy trì sự giám sát liên tục môi trường hoạt động của mình đối với các rủi ro mới nổi.

Phương pháp này cố gắng đảm bảo rằng một khẩu vị rủi ro rõ ràng được thiết lập nhằm cân bằng giữa rủi ro và cơ hội để đóng góp vào việc đạt được các mục tiêu chiến lược của tập đoàn.

Hội đồng quản trị chịu trách nhiệm về khuôn khổ rủi ro và thiết lập khẩu vị rủi ro của tập đoàn, cũng như đảm bảo rằng các biện pháp kiểm soát rủi ro được xây dựng trong phương pháp tiếp cận hoạt động của ban quản lý.

Ủy ban kiểm toán chịu trách nhiệm đánh giá tính hiệu quả của các hệ thống quản lý rủi ro hiện có và thực hiện đánh giá độc lập các kế hoạch giảm thiểu rủi ro đã được thiết kế cho các rủi ro trọng yếu.

Ủy ban rủi ro của Rank họp hàng tháng với nhiệm vụ tiến hành đánh giá kỹ lưỡng sổ đăng ký rủi ro và đảm bảo rằng ban quản lý đang làm việc hiệu quả để xác định và quản lý rủi ro khi chúng phát sinh và một cách liên tục.

Các phiên làm việc của ủy ban được tổ chức với ban quản lý cấp phòng ban và bộ phận để đảm bảo rằng rủi ro được xác định kịp thời và các kế hoạch hành động hiệu quả được đưa ra.

Phương pháp này đảm bảo rằng rủi ro được xác định theo cả cách 'từ trên xuống' và 'từ dưới lên' từ các cấp quản lý khác nhau của tổ chức để đảm bảo rằng sổ đăng ký rủi ro là toàn diện.

Bộ phận kiểm toán nội bộ của tập đoàn làm việc để hỗ trợ ủy ban rủi ro giúp quản lý việc xác định rủi ro và tiến hành đánh giá độc lập cả rủi ro của doanh nghiệp và tiến độ thực hiện các kế hoạch hành động giảm thiểu đã được thống nhất cho bất kỳ rủi ro liên quan nào, tình trạng của các kế hoạch này được báo cáo cho ủy ban rủi ro hàng tháng.

Trích đoạn biên tập từ Báo cáo Thường niên và Báo cáo Tài chính năm 2015 của The Rank Group Plc

ABIL: Tổng quan về quản lý rủi ro

Chiến lược quản lý rủi ro của ABIL là gắn kết văn hóa rủi ro và hỗ trợ các đơn vị kinh doanh trong tập đoàn.

Trọng tâm chính là đảm bảo rằng các đơn vị kinh doanh hoạt động trong các thông số rủi ro sẽ dẫn đến hoạt động kinh doanh bền vững và các thực tiễn quản lý rủi ro được nâng cao.

Cấu trúc được hỗ trợ bởi ba trụ cột: năng lực, hợp tác và độc lập.

Trong năm tài chính 2013, đề xuất giá trị khách hàng đã được nâng cao bằng cách cung cấp các sản phẩm mới như bảo hiểm ngắn hạn (tang lễ) và các khoản đầu tư, điều này đã giới thiệu thêm rủi ro hoạt động và tuân thủ.

Các sản phẩm này nhằm mục đích cung cấp một nguồn thu nhập đa dạng, giảm chi phí huy động vốn và thu hút một cơ sở khách hàng đa dạng hơn.

Chức năng rủi ro của tập đoàn đã được mở rộng về hệ thống và con người để tập trung vào các lĩnh vực chính, chẳng hạn như không tuân thủ các yêu cầu quy định. Chức năng này đặc biệt quan trọng trong việc giảm thiểu gian lận trong năm nay, để hỗ trợ phát hiện sớm và giải quyết kịp thời.

Phương pháp quản lý rủi ro của tập đoàn là một phương pháp luận và triết lý quản lý rủi ro toàn doanh nghiệp đã được phê duyệt để đảm bảo quản lý rủi ro đầy đủ và hiệu quả.

Ngoài ra, phương pháp luận này cũng cung cấp các nguyên tắc quy định và phương pháp quản lý rủi ro đảm bảo tuân thủ các nguyên tắc cốt lõi sau: phân công rõ ràng trách nhiệm và nghĩa vụ giải trình; khuôn khổ và quy trình quản lý rủi ro chung toàn doanh nghiệp; xác định các sự kiện không chắc chắn trong tương lai có thể ảnh hưởng đến việc đạt được các kế hoạch kinh doanh và mục tiêu chiến lược; và tích hợp các hoạt động quản lý rủi ro trong công ty và trên các chuỗi giá trị của công ty.

Mục tiêu quản lý rủi ro của ABIL là đảm bảo việc xác định, hiểu và đánh giá rủi ro một cách chủ động, bao gồm các hoạt động được thực hiện dẫn đến rủi ro có thể tác động đến các mục tiêu kinh doanh. Điều này được thực hiện thông qua các cơ chế quản lý rủi ro và quản trị khác nhau cũng như các cơ quan giám sát quản lý rủi ro.

Trích đoạn biên tập từ Báo cáo rủi ro của African Bank Investments Limited cho năm tài chính kết thúc ngày 30 tháng 9 năm 2013

BIS: Tiếp cận rủi ro

Phương pháp quản lý rủi ro của chúng tôi dựa trên trách nhiệm giải trình được phân cấp trên các nhóm bộ phận và mạng lưới tổ chức đối tác của chúng tôi, để rủi ro được giao cho những người có vị trí tốt nhất để quản lý chúng, trong khi vẫn duy trì trách nhiệm giải trình rõ ràng.

Các rủi ro có thể và nên được quản lý ở cấp nhóm hoặc tổ chức đối tác vẫn thuộc về các thực thể đó và chịu sự đảm bảo rủi ro và quy trình giám sát riêng của họ phù hợp với quy trình quản lý rủi ro tổng thể do bộ phận đặt ra.

Một đội ngũ hiệu suất và rủi ro doanh nghiệp đóng vai trò là đầu mối tư vấn và hướng dẫn về quản lý rủi ro hiệu quả.

Đội ngũ này điều phối sổ đăng ký rủi ro cấp cao nhất, đây là con đường mà các rủi ro quan trọng nhất của chúng tôi được báo cáo lên cấp trên.

Các rủi ro cần báo cáo lên sổ đăng ký rủi ro cấp cao nhất được đề xuất ở tất cả các cấp làm việc, nhưng chỉ những rủi ro có thể có tác động đáng kể, xuyên suốt đến bộ phận mới được đưa vào.

Sau một đánh giá quản lý rủi ro của kiểm toán nội bộ, chúng tôi đã tiếp tục tập trung vào việc xây dựng kỹ năng và năng lực trong phương pháp tiếp cận quản lý rủi ro của mình. Điều này đã nâng cao hơn nữa tính nhất quán trên toàn bộ và các tổ chức đối tác của chúng tôi.

Việc tiếp tục nhấn mạnh vào chia sẻ thực tiễn tốt trong quản lý rủi ro, được hỗ trợ bởi đào tạo và phát triển cho nhân viên của chúng tôi, đã cải thiện các quy trình đã được thống nhất của chúng tôi đối với quản lý rủi ro.

Quy trình quản lý rủi ro đã tiếp tục hoạt động tốt tại BIS với các rủi ro được báo cáo lên cấp trên trong toàn bộ và sự giám sát được cung cấp bởi các hội đồng, ủy ban và các thành viên hội đồng quản trị không điều hành của chúng tôi.

Công việc trong 12 tháng tới sẽ tập trung vào việc xây dựng thêm các kỹ năng và năng lực để gắn kết hoàn toàn các quy trình quản lý rủi ro của BIS, đảm bảo sự hiểu biết toàn diện giữa các bộ phận và các tổ chức đối tác của chúng tôi.

Trích đoạn biên tập từ Báo cáo thường niên và Tài khoản của Bộ Kinh doanh, Đổi mới và Kỹ năng năm 2013-14

Định nghĩa rủi ro

Định nghĩa rủi ro của Từ điển tiếng Anh Oxford như sau: 'cơ hội hoặc khả năng xảy ra nguy hiểm, mất mát, thương tích hoặc các hậu quả bất lợi khác', và định nghĩa của 'có nguy cơ' là 'tiếp xúc với nguy hiểm'.

Trong ngữ cảnh này, rủi ro được sử dụng để biểu thị những hậu quả tiêu cực. Tuy nhiên, việc chấp nhận rủi ro cũng có thể dẫn đến một kết quả tích cực. Khả năng thứ ba là rủi ro liên quan đến sự không chắc chắn của kết quả. Lấy ví dụ về việc sở hữu một chiếc ô tô. Đối với hầu hết mọi người, sở hữu một chiếc ô tô là cơ hội để trở nên cơ động hơn và thu được những lợi ích liên quan. Tuy nhiên, có những điều không chắc chắn trong việc sở hữu một chiếc ô tô liên quan đến chi phí bảo trì và sửa chữa. Cuối cùng, ô tô có thể liên quan đến tai nạn, vì vậy có những kết quả tiêu cực rõ ràng có thể xảy ra. Cũng cần nhớ các nghĩa vụ pháp lý liên quan đến việc sở hữu ô tô và các quy tắc phải tuân theo khi ô tô đang được điều khiển trên đường.

Có thể tìm thấy các định nghĩa về rủi ro từ nhiều nguồn, và một số định nghĩa chính được trình bày trong Bảng 1.1. Một định nghĩa thay thế cũng được cung cấp để minh họa bản chất rộng lớn của các rủi ro có thể ảnh hưởng đến các tổ chức. Viện Quản lý Rủi ro (IRM) định nghĩa rủi ro là sự kết hợp giữa xác suất của một sự kiện và hậu quả của nó. Hậu quả có thể từ tích cực đến tiêu cực. Đây là một định nghĩa có thể áp dụng rộng rãi và thực tế, có thể dễ dàng áp dụng. Hướng dẫn quốc tế về các định nghĩa liên quan đến rủi ro là Hướng dẫn ISO 73, và nó định nghĩa rủi ro là 'ảnh hưởng của sự không chắc chắn đối với các mục tiêu'. Định nghĩa này dường như giả định một mức độ kiến thức nhất định về quản lý rủi ro và không dễ áp dụng vào cuộc sống hàng ngày. Hướng dẫn ISO 73 hiện đang (tháng 4 năm 2018) được xem xét và phiên bản 2018 của ISO 31000 đã sửa đổi một số định nghĩa. Các định nghĩa đã sửa đổi này được xem xét chi tiết hơn trong Chương 6.

Một phiên bản trước đó của Hướng dẫn 73 (2002) cũng lưu ý rằng một ảnh hưởng có thể là tích cực, tiêu cực, hoặc một sự sai lệch so với dự kiến. Ba loại sự kiện này có thể liên quan đến rủi ro như cơ hội, nguy hiểm hoặc sự không chắc chắn, và điều này liên quan đến ví dụ về việc sở hữu ô tô được nêu ở trên. Hướng dẫn lưu ý rằng rủi ro thường được mô tả bởi một sự kiện, một sự thay đổi trong hoàn cảnh, một hậu quả, hoặc một sự kết hợp của những điều này và cách chúng có thể ảnh hưởng đến việc đạt được các mục tiêu. 

Viện Kiểm toán Nội bộ (IIA) định nghĩa rủi ro là sự không chắc chắn của một sự kiện xảy ra có thể có tác động đến việc đạt được các mục tiêu. IIA nói thêm rằng rủi ro được đo lường về hậu quả và khả năng xảy ra. Các ngành khác nhau định nghĩa thuật ngữ rủi ro theo những cách rất khác nhau. Định nghĩa được sử dụng bởi các chuyên gia y tế và an toàn là rủi ro là sự kết hợp giữa khả năng xảy ra và mức độ nghiêm trọng, nhưng điều này có thể không đủ cho các mục đích quản lý rủi ro tổng quát hơn.

 

Do có nhiều định nghĩa khác nhau cho từ "rủi ro", điều quan trọng là tổ chức phải chọn định nghĩa phù hợp nhất với mục đích của mình. Định nghĩa có thể hẹp hoặc toàn diện tùy theo mong muốn của tổ chức. Là một phiên bản của định nghĩa toàn diện về từ rủi ro, tác giả đưa ra như sau:

           Một sự kiện có khả năng tác động (kìm hãm, tăng cường hoặc gây nghi ngờ về) tính hiệu quả và hiệu suất của các quy trình cốt lõi của một tổ chức.

Rủi ro trong bối cảnh tổ chức thường được định nghĩa là bất cứ điều gì có thể ảnh hưởng đến việc hoàn thành các mục tiêu của công ty. Tuy nhiên, các mục tiêu của công ty thường không được hầu hết các tổ chức nêu đầy đủ. Trường hợp các mục tiêu đã được thiết lập, chúng có xu hướng được nêu dưới dạng các mục tiêu thay đổi, hàng năm, nội bộ. Điều này đặc biệt đúng với các mục tiêu cá nhân được đặt ra cho các thành viên của nhân viên trong tổ chức, nơi các mục tiêu thường đề cập đến sự thay đổi hoặc phát triển, thay vì các hoạt động liên tục hoặc thường xuyên của tổ chức.

Người ta thường chấp nhận rằng rủi ro được định nghĩa tốt nhất bằng cách tập trung vào rủi ro như các sự kiện, như đã nêu trong một lưu ý cho định nghĩa về rủi ro được cung cấp trong ISO 31000 và định nghĩa được cung cấp bởi Viện Kiểm toán Nội bộ, được trình bày trong Bảng 1.1. Để một rủi ro trở thành hiện thực, một sự kiện phải xảy ra. Do đó, có lẽ một rủi ro có thể được coi đơn giản là 'một sự kiện không có kế hoạch với những hậu quả không lường trước được'. Quy trình quản lý rủi ro có thể sẽ rõ ràng hơn nếu tập trung vào các sự kiện. Ví dụ, hãy xem xét điều gì có thể làm gián đoạn một buổi biểu diễn sân khấu.

Các sự kiện có thể gây gián đoạn bao gồm mất điện, sự vắng mặt của một diễn viên chủ chốt, hoặc sự cố giao thông nghiêm trọng hoặc đóng đường làm trì hoãn sự xuất hiện của khán giả, cũng như bệnh tật của một số lượng đáng kể nhân viên. Sau khi xác định các sự kiện có thể làm gián đoạn buổi biểu diễn, ban quản lý nhà hát cần quyết định phải làm gì để giảm thiểu khả năng một trong những sự kiện này gây ra việc hủy bỏ buổi biểu diễn. Phân tích này của ban quản lý nhà hát là một ví dụ về quản lý rủi ro trong thực tế.

Các loại rủi ro

Rủi ro có thể có kết quả tích cực hoặc tiêu cực hoặc có thể đơn giản là dẫn đến sự không chắc chắn. Do đó, rủi ro có thể được coi là liên quan đến cơ hội hoặc tổn thất hoặc sự hiện diện của sự không chắc chắn đối với một tổ chức. Mỗi rủi ro có những đặc điểm riêng đòi hỏi sự quản lý hoặc phân tích cụ thể. Trong cuốn sách này, rủi ro được chia thành bốn loại:

- rủi ro tuân thủ (hoặc bắt buộc);

- rủi ro nguy hiểm (hoặc thuần túy);

- rủi ro kiểm soát (hoặc không chắc chắn);

- rủi ro cơ hội (hoặc đầu cơ).

Nói chung, các tổ chức sẽ tìm cách giảm thiểu rủi ro tuân thủ, giảm nhẹ rủi ro nguy hiểm, quản lý rủi ro kiểm soát và nắm bắt rủi ro cơ hội. Tuy nhiên, điều quan trọng cần lưu ý là không có sự phân chia rủi ro nào là 'đúng' hay 'sai'. Độc giả sẽ gặp các cách phân chia khác trong các văn bản khác và những cách này có thể phù hợp không kém. Có lẽ, phổ biến hơn là tìm thấy rủi ro được mô tả thành hai loại, thuần túy hoặc đầu cơ. Thực vậy, có nhiều cuộc tranh luận về thuật ngữ quản lý rủi ro. Bất kể các cuộc thảo luận lý thuyết nào, vấn đề quan trọng nhất là một tổ chức áp dụng hệ thống phân loại rủi ro phù hợp nhất với hoàn cảnh của chính mình.

Có những sự kiện rủi ro nhất định chỉ có thể dẫn đến kết quả tiêu cực. Những rủi ro này là rủi ro nguy hiểm hoặc rủi ro thuần túy, và chúng có thể được coi là rủi ro hoạt động hoặc có thể bảo hiểm. Nói chung, các tổ chức sẽ có một mức độ chấp nhận rủi ro nguy hiểm, và những rủi ro này cần được quản lý trong các mức độ mà tổ chức có thể chấp nhận được. Một ví dụ điển hình về rủi ro nguy hiểm mà nhiều tổ chức phải đối mặt là nạn trộm cắp.

Có những rủi ro khác làm phát sinh sự không chắc chắn về kết quả của một tình huống. Những rủi ro này có thể được mô tả là rủi ro kiểm soát và thường liên quan đến quản lý dự án. Nói chung, các tổ chức sẽ có xu hướng tránh rủi ro kiểm soát. Sự không chắc chắn có thể liên quan đến lợi ích mà dự án tạo ra, cũng như sự không chắc chắn về việc hoàn thành dự án đúng thời hạn, trong phạm vi ngân sách và theo đặc điểm kỹ thuật. Việc quản lý rủi ro kiểm soát thường được thực hiện để đảm bảo rằng kết quả từ các hoạt động kinh doanh nằm trong phạm vi mong muốn. Mục đích là để giảm sự chênh lệch giữa kết quả dự kiến và kết quả thực tế.

Đồng thời, các tổ chức cố tình chấp nhận rủi ro, đặc biệt là rủi ro thị trường hoặc thương mại, để đạt được lợi nhuận tích cực. Đây có thể được coi là rủi ro cơ hội hoặc rủi ro đầu cơ, và một tổ chức sẽ có một khẩu vị cụ thể để đầu tư vào các rủi ro đó. Rủi ro cơ hội liên quan đến mối quan hệ giữa rủi ro và lợi nhuận. Mục đích là hành động liên quan đến rủi ro để đạt được lợi ích tích cực. Trọng tâm của rủi ro cơ hội sẽ hướng tới đầu tư.

Việc áp dụng các công cụ và kỹ thuật quản lý rủi ro vào việc quản lý các rủi ro nguy hiểm là nhánh quản lý rủi ro tốt nhất và lâu đời nhất, và phần lớn văn bản này sẽ tập trung vào các rủi ro nguy hiểm. Có một hệ thống phân cấp các biện pháp kiểm soát áp dụng cho các rủi ro nguy hiểm, và điều này được thảo luận trong Chương 16. Rủi ro nguy hiểm liên quan đến một nguồn tiềm ẩn gây hại hoặc một tình huống có khả năng làm suy yếu các mục tiêu theo hướng tiêu cực và quản lý rủi ro nguy hiểm liên quan đến việc giảm thiểu tác động tiềm ẩn. Rủi ro nguy hiểm là những rủi ro phổ biến nhất liên quan đến quản lý rủi ro hoạt động, bao gồm các chương trình sức khỏe và an toàn lao động. 

Rủi ro kiểm soát liên quan đến các sự kiện không xác định và bất ngờ. Chúng đôi khi được gọi là rủi ro không chắc chắn và chúng có thể cực kỳ khó định lượng. Rủi ro kiểm soát thường liên quan đến quản lý dự án và việc thực hiện các chiến thuật. Trong những trường hợp này, người ta biết rằng các sự kiện sẽ xảy ra, nhưng hậu quả chính xác của những sự kiện đó rất khó dự đoán và kiểm soát. Do đó, phương pháp tiếp cận dựa trên việc quản lý sự không chắc chắn về các tác động và hậu quả tiềm ẩn của những sự kiện này.

Có hai khía cạnh chính liên quan đến rủi ro cơ hội. Có những rủi ro/nguy hiểm liên quan đến việc nắm bắt một cơ hội, nhưng cũng có những rủi ro liên quan đến việc không nắm bắt cơ hội đó. Rủi ro cơ hội có thể không nhìn thấy được hoặc không rõ ràng về mặt vật lý, và chúng thường mang tính chất tài chính. Mặc dù rủi ro cơ hội được chấp nhận với mục đích đạt được kết quả tích cực, nhưng điều này không được đảm bảo. Tuy nhiên, cách tiếp cận tổng thể là nắm bắt cơ hội và các rủi ro cơ hội liên quan. Rủi ro cơ hội đối với các doanh nghiệp nhỏ bao gồm việc chuyển doanh nghiệp đến một địa điểm mới, mua lại tài sản mới, mở rộng kinh doanh và đa dạng hóa sang các sản phẩm mới.

Mô tả rủi ro

Để hiểu đầy đủ một rủi ro, cần có một mô tả chi tiết để có thể xác định được sự hiểu biết chung về rủi ro đó và quyền sở hữu/trách nhiệm có thể được hiểu rõ ràng. Bảng 1.2 liệt kê phạm vi thông tin phải được ghi lại để hiểu đầy đủ một rủi ro. Danh sách thông tin được trình bày trong Bảng 1.2 phù hợp nhất với các rủi ro nguy hiểm và danh sách này sẽ cần được sửa đổi để cung cấp mô tả đầy đủ về các rủi ro kiểm soát hoặc cơ hội. 

Để có thể thu thập được phạm vi thông tin chính xác về từng rủi ro, sự phân biệt giữa rủi ro tuân thủ, nguy hiểm, kiểm soát và cơ hội cần được hiểu rõ ràng. Ví dụ dưới đây nhằm phân biệt giữa bốn loại rủi ro này, để có thể xác định thông tin cần thiết nhằm mô tả từng loại rủi ro.

Bảng 1.2 Mô tả rủi ro

Tên hoặc tiêu đề của rủi ro

Tuyên bố về rủi ro, bao gồm phạm vi rủi ro và chi tiết về các sự kiện có thể xảy ra và sự phụ thuộc

Bản chất của rủi ro, bao gồm chi tiết về phân loại rủi ro và khung thời gian của tác động tiềm ẩn

Các bên liên quan đến rủi ro, cả nội bộ và bên ngoài

Thái độ đối với rủi ro, khẩu vị rủi ro, giới hạn rủi ro và/hoặc tiêu chí rủi ro

Khả năng xảy ra và mức độ của sự kiện và hậu quả nếu rủi ro hiện thực hóa ở mức hiện tại/còn lại

Tiêu chuẩn kiểm soát yêu cầu, mức độ rủi ro mục tiêu hoặc tiêu chí rủi ro

Kinh nghiệm về sự cố và tổn thất

Các cơ chế và hoạt động kiểm soát hiện có

Trách nhiệm xây dựng chiến lược và chính sách rủi ro

Tiềm năng cải thiện rủi ro và mức độ tin cậy vào các biện pháp kiểm soát hiện có

Các khuyến nghị cải thiện rủi ro và thời hạn thực hiện

Trách nhiệm thực hiện các cải tiến

Trách nhiệm kiểm toán tuân thủ rủi ro

Các loại rủi ro khi sử dụng máy tính

Để hiểu sự khác biệt giữa rủi ro tuân thủ, nguy hiểm, kiểm soát và cơ hội, ví dụ về việc sử dụng máy tính là rất hữu ích. Vận hành một hệ thống máy tính liên quan đến việc thực hiện một số nghĩa vụ pháp lý nhất định; đặc biệt, các yêu cầu bảo vệ dữ liệu và đây là những rủi ro tuân thủ. Nhiễm vi-rút là một rủi ro hoạt động hoặc nguy hiểm và sẽ không có lợi ích gì cho một tổ chức bị tấn công vi-rút vào các chương trình phần mềm của mình. Khi một tổ chức cài đặt hoặc nâng cấp một gói phần mềm, các rủi ro kiểm soát sẽ liên quan đến dự án nâng cấp đó.

Việc lựa chọn phần mềm mới cũng là một rủi ro cơ hội, trong đó mục đích là để đạt được kết quả tốt hơn bằng cách cài đặt phần mềm mới, nhưng có thể phần mềm mới sẽ không cung cấp được tất cả các chức năng dự kiến và lợi ích cơ hội sẽ không được mang lại. Trên thực tế, sự thất bại của chức năng của hệ thống phần mềm mới có thể làm suy yếu đáng kể hoạt động của tổ chức.

Mức độ rủi ro cố hữu

Điều quan trọng là phải hiểu mức độ không được kiểm soát của tất cả các rủi ro đã được xác định. Đây là mức độ của rủi ro trước khi bất kỳ hành động nào được thực hiện để thay đổi khả năng xảy ra hoặc mức độ của rủi ro. Mặc dù có những lợi thế trong việc xác định mức độ rủi ro cố hữu, nhưng có những khó khăn thực tế trong việc xác định điều này với một số loại rủi ro.

Việc xác định mức độ rủi ro cố hữu giúp có thể xác định tầm quan trọng của các biện pháp kiểm soát hiện có. IIA trước đây đã cho rằng việc đánh giá tất cả các rủi ro nên bắt đầu bằng việc xác định mức độ rủi ro cố hữu. Hướng dẫn của IIA trước đây đã nêu rằng: 'trong đánh giá rủi ro, chúng ta xem xét các rủi ro cố hữu trước khi xem xét bất kỳ biện pháp kiểm soát nào'. Mặc dù có nhiều tranh luận về việc liệu có nên thực hiện đánh giá rủi ro ở mức độ cố hữu hay hiện tại, mục đích của bất kỳ đánh giá rủi ro nào vẫn như cũ. Đó là để xác định những gì được cho là mức độ rủi ro hiện tại và xác định các biện pháp kiểm soát chính đang được áp dụng để đảm bảo rằng mức độ hiện tại thực sự đạt được.

Thông thường, một ma trận rủi ro được sử dụng để thể hiện mức độ rủi ro cố hữu về khả năng xảy ra và mức độ. Mức độ rủi ro còn lại hoặc hiện tại sau đó có thể được xác định, sau khi (các) biện pháp kiểm soát đã được đưa ra. Nỗ lực cần thiết để giảm rủi ro từ mức độ cố hữu xuống mức độ hiện tại có thể được chỉ ra rõ ràng trên ma trận rủi ro.

Thuật ngữ thay đổi và mức độ rủi ro cố hữu đôi khi được gọi là rủi ro tuyệt đối hoặc rủi ro gộp. Ngoài ra, mức độ rủi ro hiện tại thường được gọi là mức độ còn lại, mức độ ròng hoặc mức độ rủi ro được quản lý. Ví dụ trong hộp dưới đây cung cấp một ví dụ về cách các hoạt động có rủi ro cố hữu cao được giảm xuống mức độ rủi ro thấp hơn bằng cách áp dụng các lựa chọn ứng phó rủi ro hợp lý và thiết thực.

Băng qua đường

Băng qua một con đường đông đúc sẽ nguy hiểm nếu không có biện pháp kiểm soát nào và nhiều tai nạn hơn sẽ xảy ra. Khi một rủi ro vốn đã nguy hiểm, người ta sẽ chú ý nhiều hơn đến các biện pháp kiểm soát hiện có, bởi vì nhận thức về rủi ro cao hơn nhiều. Người đi bộ không băng qua đường mà không nhìn và người lái xe luôn ý thức rằng người đi bộ có thể bước ra đường. Thông thường, các biện pháp kiểm soát giảm tốc độ giao thông khác là cần thiết để giảm tốc độ của người lái xe hoặc tăng cường nhận thức về rủi ro cho cả người lái xe và người đi bộ.

Hệ thống phân loại rủi ro

Rủi ro có thể được phân loại theo bản chất của các thuộc tính của rủi ro, chẳng hạn như khung thời gian tác động, và bản chất của tác động và/hoặc mức độ có thể xảy ra của rủi ro. Chúng cũng có thể được phân loại theo khung thời gian tác động sau khi sự kiện xảy ra. Nguồn gốc của rủi ro cũng có thể được sử dụng làm cơ sở để phân loại. Trong trường hợp này, một rủi ro có thể được phân loại theo nguồn gốc của nó, chẳng hạn như rủi ro đối tác hoặc rủi ro tín dụng.

Một cách khác để phân loại rủi ro là xem xét bản chất của tác động. Một số rủi ro có thể gây tổn hại đến tài chính của tổ chức, trong khi những rủi ro khác sẽ có tác động đến các hoạt động hoặc cơ sở hạ tầng. Hơn nữa, rủi ro có thể có tác động đến danh tiếng của tổ chức, hoặc đến vị thế của tổ chức và cách thức tổ chức được nhìn nhận trên thị trường.

Rủi ro cũng có thể được phân loại theo thành phần hoặc đặc điểm của tổ chức sẽ bị tác động. Ví dụ, rủi ro có thể được phân loại theo việc chúng sẽ tác động đến con người, cơ sở vật chất, quy trình hay sản phẩm. Một cân nhắc quan trọng đối với các tổ chức khi quyết định hệ thống phân loại rủi ro của mình là xác định xem rủi ro sẽ được phân loại theo nguồn gốc của rủi ro, thành phần bị tác động hay hậu quả của việc rủi ro trở thành hiện thực.

Các tổ chức riêng lẻ sẽ quyết định hệ thống phân loại rủi ro phù hợp nhất với họ, tùy thuộc vào bản chất của tổ chức và các hoạt động của tổ chức đó. Ngoài ra, nhiều tiêu chuẩn và khuôn khổ quản lý rủi ro đề xuất một hệ thống phân loại rủi ro cụ thể. Nếu tổ chức áp dụng một trong những tiêu chuẩn này, thì tổ chức đó sẽ có xu hướng tuân theo hệ thống phân loại được khuyến nghị.

Hệ thống phân loại rủi ro được chọn phải hoàn toàn phù hợp với tổ chức liên quan. Không có hệ thống phân loại phổ quát nào đáp ứng được yêu cầu của tất cả các tổ chức. Có khả năng mỗi rủi ro sẽ cần được phân loại theo nhiều cách để hiểu rõ tác động tiềm ẩn của nó. Tuy nhiên, nhiều hệ thống phân loại cung cấp các cấu trúc chung hoặc tương tự, như được mô tả trong Chương 11.

Khả năng xảy ra và mức độ rủi ro

Khả năng xảy ra và mức độ rủi ro được thể hiện rõ nhất bằng ma trận rủi ro. Ma trận rủi ro có thể được tạo ra dưới nhiều định dạng. Dù sử dụng định dạng nào cho ma trận rủi ro, nó vẫn là một công cụ rất có giá trị cho người thực hành quản lý rủi ro. Kiểu ma trận rủi ro cơ bản thể hiện khả năng xảy ra của một sự kiện so với mức độ hoặc tác động nếu sự kiện đó xảy ra.

Hình 1.1 là minh họa về một ma trận rủi ro đơn giản, còn được gọi là bản đồ rủi ro hoặc bản đồ nhiệt. Đây là một phương pháp thường được sử dụng để minh họa khả năng xảy ra rủi ro và mức độ (hoặc mức độ nghiêm trọng) của sự kiện nếu rủi ro xảy ra. Việc sử dụng ma trận rủi ro để minh họa khả năng xảy ra và mức độ rủi ro là một công cụ quản lý rủi ro cơ bản quan trọng. Ma trận rủi ro có thể được sử dụng để thể hiện bản chất của từng rủi ro riêng lẻ, để tổ chức có thể quyết định xem rủi ro đó có thể chấp nhận được hay không và có nằm trong khẩu vị rủi ro và/hoặc khả năng chịu đựng rủi ro của tổ chức hay không.

Xuyên suốt cuốn sách này, một định dạng tiêu chuẩn để trình bày ma trận rủi ro đã được áp dụng. Trục ngang được sử dụng để biểu thị khả năng xảy ra. Thuật ngữ khả năng xảy ra được sử dụng thay vì tần suất, bởi vì từ tần suất ngụ ý rằng các sự kiện chắc chắn sẽ xảy ra và ma trận rủi ro đang ghi lại tần suất các sự kiện này diễn ra. Khả năng xảy ra là một từ rộng hơn bao gồm tần suất, nhưng cũng đề cập đến cơ hội xảy ra một sự kiện không chắc chắn. Tuy nhiên, trong tài liệu quản lý rủi ro, từ 'xác suất' thường sẽ được sử dụng để mô tả khả năng xảy ra một rủi ro.

Trục tung được dùng để biểu thị mức độ trong Hình 1.1. Từ mức độ được dùng thay vì mức độ nghiêm trọng, để cùng một kiểu ma trận rủi ro có thể được dùng để minh họa các rủi ro tuân thủ, nguy hiểm, kiểm soát và cơ hội. Mức độ nghiêm trọng ngụ ý rằng sự kiện đó là không mong muốn và do đó liên quan đến các rủi ro tuân thủ và nguy hiểm. Mức độ của rủi ro có thể được coi là mức độ gộp hoặc cố hữu của nó trước khi các biện pháp kiểm soát được áp dụng.

Hình 1.1 Khả năng xảy ra và Mức độ rủi ro

Hình 1.1 thể hiện khả năng xảy ra so với mức độ của một sự kiện. Tuy nhiên, điều quan trọng hơn đối với các nhà quản lý rủi ro không phải là mức độ của sự kiện, mà là tác động của sự kiện và những hậu quả theo sau. Ví dụ, một đám cháy lớn có thể xảy ra và phá hủy hoàn toàn một nhà kho của một công ty phân phối và hậu cần. Mặc dù mức độ của sự kiện có thể lớn, nếu có đủ bảo hiểm, tác động về chi phí tài chính cho công ty có thể là tối thiểu, và nếu công ty đã xây dựng kế hoạch để đối phó với một sự kiện như vậy, hậu quả đối với hoạt động kinh doanh tổng thể có thể ít hơn nhiều so với dự kiến.

Mức độ của một sự kiện có thể được coi là mức độ cố hữu của sự kiện và tác động có thể được coi là mức độ được quản lý rủi ro. Bởi vì tác động (và các hậu quả liên quan) của một sự kiện thường quan trọng hơn mức độ (hoặc mức độ nghiêm trọng) của nó, mọi ma trận rủi ro được sử dụng trong phần còn lại của cuốn sách này sẽ thể hiện tác động so với khả năng xảy ra, thay vì mức độ so với khả năng xảy ra.

Ma trận rủi ro được sử dụng xuyên suốt cuốn sách này để cung cấp một biểu diễn trực quan về rủi ro. Nó cũng có thể được sử dụng để chỉ ra các cơ chế kiểm soát rủi ro có thể áp dụng. Ma trận rủi ro cũng có thể được sử dụng để ghi lại các mức độ cố hữu, hiện tại (hoặc còn lại) và mục tiêu của rủi ro.

Việc tô bóng hoặc mã hóa màu thường được sử dụng trên ma trận rủi ro để cung cấp một biểu diễn trực quan về tầm quan trọng của từng rủi ro đang được xem xét. Khi các rủi ro di chuyển về phía góc trên bên phải của ma trận rủi ro, chúng trở nên có khả năng xảy ra cao hơn và có tác động lớn hơn. Do đó, rủi ro trở nên quan trọng hơn và cần phải có các biện pháp kiểm soát rủi ro hiệu quả và ngay lập tức.

Trang 23 (Đang cập nhật)