i
MỤC LỤC
Trang
LỜI MỞ ĐẦU
CHƯƠNG I – TỔNG QUAN VỀ KIỂM SOÁT NỘI BỘ VÀ SỰ HÌNH THÀNH
HỆ THỐNG QUẢN TRỊ RỦI RO DOANH NGHIỆP 1
1.1 Tổng quan về kiểm soát nội bộ 1
1.1.1 Sự hình thành và phát triển lý thuyết kiểm soát nội bộ 1
1.1.1.1 Lòch sử hình thành 1
1.1.1.2 Đònh nghóa kiểm soát nội bộ 3
1.1.2 Các yếu tố của kiểm soát nội bộ 4
1.1.2.1 Môi trường kiểm soát 5
1.1.2.2 Đánh giá rủi ro 6
1.1.2.3 Các hoạt động kiểm soát 7
1.1.2.4 Thông tin và truyền thông 8
1.1.2.5 Giám sát 8
1.1.3 Hạn chế của lý thuyết kiểm soát nội bộ 9
1.2 Sự phát triển các lý thuyết về quản trò rủi ro 10
1.2.1 Thời kỳ tiền lý thuyết 10
1.2.2 Thời kỳ phát triển lý thuyết quản trò rủi ro 10
1.2.2.1 Nhận thức về rủi ro và các nhân tố ảnh hưởng 11
ii
1.2.2.2 Các công cụ quản trò rủi ro được hình thành 12
1.3 Quản trò rủi ro doanh nghiệp theo khuôn mẫu của COSO
năm 2004 16
1.3.1 Khái niệm về quản trò rủi ro doanh nghiệp 16
1.3.2 Lợi ích của quản trò rủi ro doanh nghiệp 17
1.3.3 Các yếu tố của quản trò rủi ro doanh nghiệp 19
1.3.3.1 Sơ lược các yếu tố 19
1.3.3.2 Những điểm khác biệt so với kiểm soát nội bộ 21
1.3.3.2.1 Môi trường quản lý 21
1.3.3.2.2 Thiết lập mục tiêu 22
1.3.3.2.3 Nhận dạng sự kiện tiềm tàng 26
1.3.3.2.4 Đánh giá rủi ro 26
1.3.3.2.5 Phản ứng với rủi ro 27
1.3.3.2.6 Hoạt động kiểm soát 29
1.3.3.2.7 Thông tin và truyền thông 29
1.3.3.2.8 Giám sát 30
1.3.4 Hạn chế của quản trò rủi ro doanh nghiệp 30
CHƯƠNG II: THỰC TRẠNG VỀ KIỂM SOÁT NỘI BỘ VÀ NHỮNG
VẤN ĐỀ VỀ QUẢN TRỊ RỦI RO TẠI CÁC DOANH NGHIỆP TRÊN
THẾ GIỚI VÀ VIỆT NAM 32
iii
2.1 Thực trạng tích hợp quản trò rủi ro trong kiểm soát nội bộ
tại các nước 32
2.1.1 Thực trạng về tổ chức thực hiện 32
2.1.2 Các kinh nghiệm 33
2.2 Mục tiêu, đối tượng và phương pháp khảo sát các doanh nghiệp
Việt nam 35
2.2.1 Mục đích khảo sát 35
2.2.2 Đối tượng, phương pháp khảo sát 36
2.3 Thực trạng về kiểm soát nội bộ tại các doanh nghiệp 37
2.3.1 Môi trường kiểm soát 37
2.3.1.1 Tính chính trực 37
2.3.1.2 Chính sách nhân sự và năng lực nhân viên 38
2.3.1.3 Hội đồng quản trò và Ban kiểm soát 40
2.3.1.4 Triết lý quản lý và phong cách điều hành 42
2.3.1.5 Cơ cấu tổ chức và phân chia quyền hạn 43
2.3.2 Đánh giá rủi ro 44
2.3.2.1 Mục tiêu của toàn doanh nghiệp và từng bộ phận 44
2.3.2.2 Nhận dạng rủi ro 46
2.3.2.3 Đánh giá rủi ro 47
2.3.3 Hoạt động kiểm soát 48
iv
2.3.3.1 Phân chia trách nhiệm 48
2.3.3.2 Kiểm soát xử lý thông tin 49
2.3.3.3 Kiểm tra độc lập và phân tích, soát xét lại 50
2.3.4 Thông tin và truyền thông 51
2.3.5 Giám sát 53
2.4 Thực trạng về quản lý rủi ro 54
2.4.1 Nhìn nhận của doanh nghiệp về rủi ro 54
2.4.2 Cơ cấu tổ chức liên quan đến việc quản lý rủi ro 56
2.5 Đánh giá chung về kiểm soát nội bộ và quản trò rủi ro tại
các doanh nghiệp Việt nam 58
CHƯƠNG III: ĐỊNH HƯỚNG XÂY DỰNG KIỂM SOÁT NỘI
BỘ TẠI CÁC DOANH NGHIỆP VIỆT NAM DỰA TRÊN
QUẢN TRỊ RỦI RO DOANH NGHIỆP 60
3.1 Phương hướng 61
3.1.1 Về phía doanh nghiệp 61
3.1.1.1 Hoàn thiện kiểm soát nội bộ theo hướng kiểm soát các rủi ro 61
3.1.1.2 Nhìn nhận rủi ro theo hướng tổng thể và tích hợp với KSNB 64
3.1.2 Các giải pháp trợ giúp 66
3.2 Đònh hướng hoàn thiện kiểm soát nội bộ tại các doanh nghiệp lớn 69
3.2.1 Hoàn thiện môi trường quản lý 69
v
3.2.2 Hoàn thiện cơ cấu tổ chức và phân chia quyền hạn trách nhiệm 70
3.2.2.1 Hội đồng quản trò và Ban kiểm soát/Kiểm toán nội bộ 71
3.2.2.2 Phân chia quyền hạn trách nhiệm 72
3.2.2.2 Luân chuyển nhân viên 72
3.2.3 Tiếp cận các kỹ thuật đònh lượng khả năng xuất hiện của rủi ro 73
3.2.3.1 Áp dụng các kỹ thuật nhận dạng các sự kiện tiềm tàng
phù hợp với đặc thù của đơn vò và chu trình nghiệp vụ cụ thể 73
3.2.3.2 Áp dụng các kỹ thuật để đònh lượng sự tác động của các rủi ro 77
3.2.4 Tạo thói quen sử dụng dòch vụ bảo hiểm 78
3.2.5 Đa dạng hoá các kênh thông tin 78
3.2.6 Tăng cường các công tác kiểm tra giám sát 79
3.3 Đònh hướng hoàn thiện KSNB tại các doanh nghiệp vừa và nhỏ 80
3.3.1 Nâng cao ý thức của người quản lý về rủi ro và các
hoạt động kiểm soát 80
3.3.2 Xác đònh những mục tiêu, kế hoạch dài hạn 82
3.3.3 Nâng cao năng lực và đạo đức của nhân viên 83
3.3.4 Áp dụng các công cụ để nhận dạng, đánh giá rủi ro đơn giản
nhưng hiệu qủa 84
KẾT LUẬN 86
CÁC PHỤ LỤC
vi
MỞ ĐẦU
Sự cần thiết của đề tài
Xây dựng hệ thống kiểm soát nội bộ hữu hiệu để kiểm soát được các mục
tiêu đề ra là yêu cầu tất yếu khách quan đối với mọi doanh nghiệp trong nền kinh
tế. Trên thế giới, khái niệm kiểm soát nội bộ đã ra đời từ đầu thế kỷ 19, được bổ
sung hoàn thiện nhằm phát hiện và ngăn chặn những gian lận và sai sót của một tổ
chức từ các công ty kiểm toán và cơ quan chức năng. Sau đó kiểm soát nội bộ được
phát triển thành một hệ thống lý luận tương đối hoàn chỉnh thông qua Báo cáo
COSO năm 1992.
Tiếp tục phát triển Báo cáo năm 1992, năm 2004 COSO công bố báo cáo
tổng thể dưới tiêu đề: Quản trò rủi ro doanh nghiệp – khuôn khổ hợp nhất. Báo cáo
năm 2004 được xây dựng trên cơ sở phát triển Báo cáo năm 1992 và tích hợp với
quản trò rủi ro tại các đơn vò. Mặt khác báo cáo COSO năm 2004 cũng đã xác đònh
được những tiêu chuẩn làm cơ sở để đánh giá rủi ro cũng như đề xuất xây dựng chu
trình quản lý rủi ro hiệu qủa trong công tác quản lý.
Ở Việt nam, kiểm soát nội bộ đã tồn tại và phát triển nhưng phần lớn còn tồn
tại nhiều yếu kém, chưa phát huy hết vai trò công cụ quản lý của doanh nghiệp. Vì
vậy, việc nghiên cứu kinh nghiệm của các nước trên thế giới để vận dụng là điều
cần thiết đối với các doanh nghiệp Việt nam hiện nay. Một mặt, giúp doanh nghiệp
tiếp cận với quan điểm hiện đại về rủi ro của các nước tiên tiến để có thể quản lý
rủi ro một cách khoa học và hiệu qủa. Mặt khác giúp doanh nghiệp có cách nhìn
nhận mới về kiểm soát nội bộ bằng cách “đi tắt đón đầu” những cách thức mới được
áp dụng ở các nước tiên tiến, qua đó hoàn thiện hệ thống kiểm soát nội bộ của mình
để phục vụ tốt hơn trong công tác quản lý. Đó cũng là lý do mà tác giả chọn đề tài
“Phát triển hệ thống kiểm soát nội bộ tại các doanh nghiệp Việt nam trên cơ sở
vii
quản trò rủi ro doanh nghiệp” làm luận văn tốt nghiệp thạc só kinh tế của trường
Đại học Kinh tế thành phố Hồ Chí Minh.
Mục đích nghiên cứu của luận văn
- Tổng hợp các quan điểm cơ bản về tích hợp kiểm soát nội bộ và quản trò
rủi ro.
- Tiếp cận lý luận hiện đại về rủi ro và quản trò rủi ro.
- Khảo sát, đánh giá thực trạng hệ thống kiểm soát nội bộ của các doanh
nghiệp Việt nam, đặc biệt về rủi ro và cách thức quản trò rủi ro hiện nay.
- Trên cơ sở khảo sát thực trạng, đề xuất các đònh hướng để hoàn thiện hệ
thống kiểm soát nội bộ của các loại hình doanh nghiệp Việt nam theo cách
tiếp cận mới về rủi ro.
Đối tượng và phạm vi nghiên cứu
Phạm vi giới hạn của đề tài nghiên cứu lý luận và thực tiễn về: hệ thống
kiểm soát nội bộ; quan điểm về rủi ro và cách thức quản lý rủi ro.Đề tài không tập
trung nghiên cứu để xây dựng, tổ chức một quy trình cho một doanh nghiệp cụ thể
hoặc nghiên cứu ứng dụng các kỹ thuật đònh lượng rủi ro.
Phương pháp nghiên cứu
Luận văn được thực hiện trên cơ sở phân tích thực tiễn theo quan điểm lòch sử
và toàn diện, gắn sự phát triển của kiểm soát nội bộ và rủi ro với điều kiện của các
doanh nghiệp Việt nam.
Để đánh giá thực trạng, luận văn sử dụng phương pháp quy nạp dựa trên cơ
sở thống kê từ các doanh nghiệp và kỹ thuật phân tích đònh lượng.
Những đóng góp của luận văn
Những đóng góp chính của luận văn là:
- Hệ thống các quan điểm về rủi ro và quản lý rủi ro.
- Tiếp cận quan điểm mới về rủi ro và quản trò rủi ro theo Báo cáo COSO
năm 2004.
viii
- Hệ thống kinh nghiệm áp dụng Báo cáo COSO năm 2004 của các doanh
nghiệp trên thế giới
- Đònh hướng về phát triển hệ thống kiểm soát nội bộ theo hướng tích hợp với
việc quản trò rủi ro tại các doanh nghiệp Việt nam
- Đưa ra các giải pháp để hoàn thiện hệ thống KSNB tại các loại hình doanh
nghiệp để có thể quản lý tốt hơn các rủi ro.
Kết cấu của luận văn
Luận văn gồm 87 trang, 22 bảng biểu và 5 phụ lục. Nội dung luận văn ngoài
phần mở đầu và kết luận gồm có 3 chương
- Chương 1: Tổng quan về kiểm soát nội bộ và sự hình thành hệ thống quản
trò rủi ro doanh nghiệp.
- Chương 2: Thực trạng về kiểm soát nội bộ và những vấn đề về quản trò rủi
ro tại các doanh nghiệp trên thế giới và Việt nam.
- Chương 3: Đònh hướng xây dựng kiểm soát nội bộ tại các doanh nghiệp Việt
nam dựa trên quản trò rủi ro doanh nghiệp.
ix
CHƯƠNG I
TỔNG QUAN VỀ KIỂM SOÁT NỘI BỘ VÀ SỰ HÌNH THÀNH HỆ
THỐNG QUẢN TRỊ RỦI RO DOANH NGHIỆP
1.1 Tổng quan về kiểm soát nội bộ
1.1.1 Sự hình thành và phát triển lý thuyết kiểm soát nội bộ
1.1.1.1 Lòch sử hình thành
Từ khi có hoạt động kinh doanh, những người điều hành đều phải sử dụng các
biện pháp để kiểm soát các hoạt động tại đơn vò mình. Hoạt động kinh doanh càng
phát triển thì chức năng kiểm soát càng chiếm một vò trí quan trọng trong quá trình
quản lý. Thông qua các hoạt động kiểm soát, nhà quản lý đánh giá và chấn chỉnh
việc thực hiện nhằm đảm bảo đạt được các mục tiêu đã đề ra với hiệu quả cao nhất.
Để thực hiện chức năng kiểm soát, nhà quản lý sử dụng công cụ chủ yếu là
kiểm soát nội bộ (KSNB) của đơn vò. Khái niệm KSNB lúc đầu được sử dụng như là
một phương pháp giúp cho kiểm toán viên độc lập xác đònh phương pháp hiệu quả
nhất trong trong việc lập kế hoạch kiểm toán, đến chỗ được coi là một bộ phận chủ
yếu của hệ thống quản lý hữu hiệu.
Thời kỳ tiền COSO (từ năm 1992 trở về trước)
Khái niệm KSNB bắt đầu được sử dụng vào đầu thế kỷ 20 trong các tài liệu
về kiểm toán. Lúc đó, KSNB được hiểu như là một biện pháp để bảo vệ tiền không
bò các nhân viên gian lận. Sau đó, khái niệm này dần được mở rộng: KSNB không
chỉ dừng lại ở việc bảo vệ tài sản (không chỉ có tiền) mà còn nhằm đảm bảo việc
ghi chép kế toán chính xác, nâng cao hiệu quả hoạt động và khuyến khích tuân thủ
các chính sách của nhà quản lý.
x
Năm 1977, sau vụ bê bối Watergate, quốc hội Hoa Kỳ đã thông qua Luật
hành vi hối lộ ở nước ngoài. Điều luật này nhấn mạnh việc KSNB nhằm ngăn ngừa
những khoản thanh toán bất hợp pháp và dẫn đến việc yêu cầu ghi chép rất đầy đủ
trong mọi hoạt động. Lần đầu tiên, hoạt động KSNB trong các tổ chức được đề cập
đến trong một văn bản pháp luật.
Năm 1985, sự đổ bể của các công ty cổ phần có niêm yết làm cho các nhà
làm luật Hoa Kỳ quan tâm đến việc KSNB của các doanh nghiệp. Nhiều quy đònh,
hướng dẫn về KSNB của các cơ quan chức năng Hoa Kỳ được ban hành trong giai
đoạn này như: Ủy ban chuẩn mực kiểm toán Hoa Kỳ năm 1998, y ban chứng
khoán Hoa Kỳ năm 1988, tổ chức nghiên cứu kiểm toán nội bộ năm 1991,...
Những quy đònh này một mặt làm phong phú khái niệm KSNB nhưng mặt
khác dẫn đến yêu cầu phải hình thành một hệ thống lý luận có tính chuẩn mực về
KSNB.
Sự ra đời của báo cáo COSO năm 1992
Quá trình phát triển của các công ty ở Hoa Kỳ cũng là quá trình phát triển
quy mô của gian lận gây thiệt hại đáng kể cho nền kinh tế. Nhiều ủy ban đã ra đời
để khảo sát và tìm cách khắc phục, trong đó có Ủy ban quốc gia về chống gian lận
báo cáo tài chính – gọi tắt là ủy ban Treadway- ra đời năm 1985. COSO là một ủy
ban gồm nhiều tổ chức nghề nghiệp nhằm hỗ trợ cho Ủy ban Trradway. Các tổ chức
nghề nghiệp trên bao gồm: Hiệp hội kế toán công chứng Hoa Kỳ (AICPA), Hội kế
toán Hoa Kỳ (AAA), Hiệp hội các nhà quản trò tài chính (FEI), Hiệp hội kiểm toán
viên nội bộ (IIA) và Hiệp hội kế toán viên quản trò (IMA). Qua quá trình tìm hiểu
về gian lận, COSO đã nhận thấy KSNB đã ảnh hưởng rất lớn đến khả năng xảy ra
gian lận. Vì thế, việc nghiên cứu và đưa ra một khuôn khổ chung về KSNB được đặt
ra. Báo cáo COSO 1992 là kết quả của quá trình nghiên cứu này. Báo cáo cung cấp
xi
một hệ thống lý luận đầy đủ nhất về KSNB cho đến thời điểm này, kế thừa và phát
triển các nghiên cứu trước đó về KSNB.
Báo cáo COSO 1992 gồm có 4 phần:
- Phần 1 – Bản tóm lược: Tổng quan về KSNB cho nhà quản lý cấp cao
- Phần 2 – Hệ thống lý luận: Đònh nghóa về KSNB, mô tả các yếu tố của KSNB
và chỉ ra những tiêu chí để kiểm soát hệ thống.
- Phần 3 – Báo cáo cho các thành viên bên ngoài: Hướng dẫn cách thức báo
cáo cho các đối tượng bên ngoài về KSNB liên quan đến tài chính.
- Phần 4 – Các công cụ đánh giá: Bao gồm các bảng biểu phục vụ cho việc
đánh giá sự hữu hiệu của hệ thống KSNB.
1.1.1.2 Đònh nghóa kiểm soát nội bộ
Theo Báo cáo của COSO năm 1992, KSNB là một quá trình do người quản
lý, hội đồng quản trò và các nhân viên của đơn vò chi phối, nó được thiết lập để cung
cấp một sự đảm bảo hợp lý nhằm thực hiện ba mục tiêu dưới đây:
- Báo cáo tài chính đáng tin cậy.
- Các luật lệ và quy đònh được tuân thủ.
- Hoạt động hữu hiệu và hiệu quả
Trong đònh nghóa trên, bốn nội dung cơ bản là quá trình, con người, đảm bảo
hợp lý và mục tiêu. Chúng được hiểu như sau:
Kiểm soát nội bộ là một quá trình. Kiểm soát nội bộ bao gồm một
chuỗi các hoạt động kiểm soát hiện diện ở mọi bộ phận trong đơn vò và được kết
hợp với nhau thành một thể thống nhất. Quá trình kiểm soát là phương tiên để giúp
cho đơn vò đạt được các mục tiêu của mình.
xii
Kiểm soát nội bộ được thiết kế và vận hành bới con người. Kiểm soát
nội bộ không chỉ đơn thuần là những chính sách, thủ tục, biểu mẫu,.. mà phải bao
gồm những con người trong tổ chức như Hội đồng quản trò, Ban giám đốc và các
nhân viên. Chính con người đònh ra mục tiêu, thiết lập cơ chế kiểm soát ở mọi nơi
và vận hành chúng.
Kiểm soát nội bộ cung cấp một đảm bảo hợp lý, chứ không đảm bảo
tuyệt đối là các mục tiêu sẽ được thực hiện.
Các mục tiêu của kiểm soát nội bộ
- Đối với báo cáo tài chính thì kiểm soát nội bộ phải đảm bảo tính trung thực và
đáng tin cậy.
- Đối với tính tuận thủ, kiểm soát nội bộ phải đảm bảo hợp lý việc chấp hành
luật pháp và các quy đònh của Nhà nước và các quy đònh của đơn vò.
- Đối với mục tiêu sự hữu hiệu và hiệu quả của các hoạt động, kiểm soát nội
bộ giúp đơn vò bảo vệ và sử dụng hiệu quả các nguồn lực, bảo mật thông tin, nâng
cao uy tín, mở rộng thò phần, thực hiện các chiến lược kinh doanh của đơn vò,..
1.1.2 Các yếu tố của kiểm soát nội bộ
Theo COSO 1992, hệ thống kiểm soát nội bộ trong một đơn vò được cấu thành
bởi năm bộ phận. Đó là: môi trường kiểm soát, đánh giá rủi ro, các hoạt động kiểm
soát, thông tin và truyền thông, giám sát.
Bảng 1.1 Các yếu tố của hệ thống kiểm soát nội bộ
Môi trường quản lý
Đánh
giá
rủi
ro
Các
hoạt
động
kiểm
soát
Thông
tin
và
truyền
thôn
Giám
sát
g
xiii
1.1.2.1 Môi trường kiểm soát
Môi trường kiểm soát phản ánh sắc thái chung của một đơn vò, chi phối ý thức
kiểm soát của mọi thành viên trong đơn vò và là nền tảng của các bộ phận khác của
kiểm soát nội bộ. Các nhân tố thuộc về môi trường kiểm soát là:
- Tính chính trực và các giá trò đạo đức: sự hữu hiệu của hệ thống kiểm soát
nội bộ phụ thuộc trực tiếp vào tính chính trực và việc tôn trọng các giá trò đạo đức
của những người liên quan đến quá trình kiểm soát. Đơn vò phải xây dựng được các
chuẩn mực, quy đònh về đạo đức cho các nhân viên và những nhà quản lý phải làm
gương trong việc thực hiện các quy đònh đó. Mặt khác, đơn vò cũng cần phải loại trừ,
giảm thiểu những áp lực và cơ hội dẫn đến những hành vi thiếu trung thực của nhân
viên trong đơn vò.
- Đảm bảo về năng lực: đơn vò phải đảm bảo cho nhân viên có được những
hiểu biết và kỹ năng cần thiết để thực hiện những công việc được giao. Nếu không,
chắc chắn họ sẽ thực hiện nhiệm vụ được giao không hữu hiệu và hiệu quả.
- Hội đồng quản trò và Ban kiểm soát: thông qua các hoạt động giám giát của
mình (sự tuân thủ pháp luật, lập báo cáo tài chính, giữ sự độc lập của kiểm toán nội
bộ,…) các bộ phận này có những tác động quan trọng cho việc thực hiện các mục
tiêu của đơn vò.
- Triết lý và phong cách điều hành của nhà quản lý: các đặc điểm cá nhân
của những người quản lý, đặc biệt là người quản lý cấp cao khi điều hành đơn vò sẽ
tạo nên những rủi ro khác nhau cho đơn vò.
xiv
- Cơ cấu tổ chức: sự phân chia trách nhiệm và quyền hạn giữa các bộ phận
trong đơn vò sẽ tác động đến việc thực hiện các mục tiêu. Cơ cấu phù hợp sẽ là cơ
sở cho việc lập kế hoạch, điều hành, kiểm soát và giám sát các hoạt động.
- Cách thức phân chia quyền hạn và trách nhiệm: việc phân chia trách
nhiệm và quyền hạn cụ thể của từng thành viên trong các hoạt động của đơn vò giúp
cho mỗi thành viên hiểu rằng họ có nhiệm vụ cụ thể gì và từng hoạt động của họ
ảnh hưởng đến người khác như thế nào trong việc thực hiện các mục tiêu.
- Chính sách nhân sự: các chính sách và thủ tục của đơn vò về việc tuyển
dụng, huấn luyện, bổ nhiệm, đánh giá, sa thải, đề bạt,.. ảnh hưởng đến sự hữu hiệu
của môi trường kiểm soát thông qua tác động đến các nhân tố khác trong môi trường
kiểm soát như đảm bảo về năng lực, tính chính trực và các giá trò đạo đức,...
Môi trường kiểm soát có ảnh hưởng quan trọng đến quá trình thực hiện và kết
quả của các thủ tục kiểm soát. Các thủ tục kiểm soát có thể không đạt được mục
tiêu hoặc chỉ còn là hình thức trong môi trường kiểm soát yếu kém. Ngược lại, một
môi trường kiểm soát tốt có thể hạn chế phần nào sự thiếu sót của các thủ tục kiểm
soát. Tuy nhiên, môi trường kiểm soát không thể thay thế cho các thủ tục kiểm soát
cần thiết.
1.1.2.2 Đánh giá rủi ro
Các hoạt động liên quan đến đơn vò bao gồm các hoạt động diễn ra tại đơn vò
và các hoạt động ở bên ngoài đều có thể phát sinh rủi ro và khó kiểm soát tất cả. Vì
vậy, đơn vò phải thận trọng khi xác đònh và phân tích những nhân tố ảnh hưởng đến
rủi ro làm cho những mục tiêu – kể cả mục tiêu chung và mục tiêu cụ thể cho từng
hoạt động – của đơn vò có thể không được thực hiện, và phải cố gắng kiểm soát
được những rủi ro này.
xv
Để giới hạn rủi ro ở mức chấp nhận được, đơn vò phải nhận dạng và phân tích
rủi ro trên cơ sở các mục tiêu đã được thiết lập của tổ chức từ đó mới có thể kiểm
soát được rủi ro.
- Xác đònh mục tiêu của đơn vò: Báo cáo COSO năm 1992 không cho rằng
đây là nhiệm vụ của KSNB. Tuy nhiên, các thành viên trong hệ thống KSNB phải
biết được các mục tiêu của đơn vò để nhận dạng và đánh giá những rủi ro tác động
đến việc thực hiện các mục tiêu đã đề ra.
- Nhận dạng rủi ro: rủi ro có thể tác động đến đơn vò ở mức độ toàn đơn vò
hay ảnh hưởng đến từng hoạt động cụ thể.
mức độ toàn đơn vò, các nhân tố phát sinh rủi ro là: sự đổi mới kỹ thuật,
nhu cầu khách hàng thay đổi, sự thay đổi sản của đối thủ cạnh tranh, thay đổi chính
sách của Nhà nước,.. đây là những nhân tố phát sinh từ môi trường hoạt động của
đơn vò. Trong phạm vi từng hoạt động như bán hàng, mua hàng,.. rủi ro có thể phát
sinh và tác động đến bản thân từng hoạt động trước khi gây ảnh hưởng day chuyền
đến toàn đơn vò. Thông thường rủi ro liên quan đến từng bộ phận xuất phát từ các
chính sách của đơn vò như chính sách mở rộng thò phần, chính sách cải tiến kỹ
thuật,..
Để nhận dạng rủi ro, đơn vò có thể sử dụng nhiều phương pháp khác nhau từ
việc sử dụng các phương tiện dự báo, phân tích các dữ liệu quá khứ, cho đến việc rà
soát thường xuyên các hoạt động. Trong các doanh nghiệp nhỏ, công việc này có
thể thực hiện dưới dạng những cuộc tiếp xúc với khách hàng, ngân hàng,… hoặc các
buổi họp giao ban trong nội bộ.
- Phân tích và đánh giá rủi ro: vì rủi ro rất khó đònh lượng nên đây là công
việc khá phức tạp và có nhiều phương pháp khác nhau. Thông thường một quy trình
phân tích và đánh giá rủi ro gồm các bước sau: ước lượng tầm cỡ của rủi ro qua ảnh
xvi
hưởng có thể có của nó đến việc thực hiện mục tiêu của đơn vò, xem xét khả năng
xảy ra rủi ro và những biện pháp có thể sử dụng để đối phó với rủi ro.
1.1.2.3 Các hoạt động kiểm soát
Các hoạt động kiểm soát là những chính sách và thủ tục giúp cho việc thực
hiện các chỉ đạo của người quản lý. Nó đảm bảo các hành động cần thiết để kiểm
soát các rủi ro mà đơn vò có thể gặp phải trong quá trình thực hiện mục tiêu của
mình. Các hoạt động kiểm soát thông thường tại đơn vò là: phân chia trách nhiệm
đầy đủ, ủy quyền đúng đắn cho các nghiệp vụ và hoạt động, bảo vệ tài sản vật chất
và thông tin, kiểm tra độc lập, phân tích rà soát lại việc thực hiện.
1.1.2.4 Thông tin và truyền thông
Thông tin được thu thập, xử lý và truyền đạt đến các cá nhân, bộ phận trong
đơn vò để có thể hoàn thành nhiệm vụ của mình và cung cấp các cho các đối tượng
bên ngoài về hoạt động, tài chính, sự tuân thủ của đơn vò cho các đối tượng bên
ngoài. Truyền thông là cách thức truyền đạt thông tin của đơn vò cho các đối tượng
khác nhau bao gồm cả các đối tượng bên trong và các đối tượng bên ngoài đơn vò.
Thông tin cần thiết cho mọi cấp của đơn vò vì giúp cho việc đạt được các mục
tiêu kiểm soát khác nhau. Thông tin được cung cấp thông qua hệ thống thông tin. Hệ
thống thông tin của đơn vò có thể được xử lý trên máy tính, qua hệ thống thủ công
hoặc kết hợp cả hai. Các hoạt động kiểm soát tại đơn vò chỉ có thể thực hiện nếu
thông tin thích hợp, kòp thời, cập nhật, chính xác và truy cập thuận tiện.
1.1.2.5 Giám sát
Giám sát là quá trình đánh giá chất lượng của hệ thống kiểm soát nội bộ.
Hoạt động giám sát đòi hỏi đơn vò xác đònh hệ thống kiểm soát nội bộ có vận hành
đúng như thiết kế hay không và có cần thiết phải sửa đổi cho phù hợp với từng giai
đoạn phát triển của đơn vò hay không. Giám sát có vai trò quan trọng trong kiểm
xvii
soát nội bộ vì nó giúp cho kiểm soát nội bộ duy trì được sự hữu hiệu trong các thời
kỳ khác nhau. Các hoạt động giám sát bao gồm giám sát thường xuyên và giám sát
đònh kỳ.
- Giám sát thường xuyên diễn ra ngay trong quá trình hoạt động, do các nhà
quản lý và các nhân viên thực hiện trong trách nhiệm của mình.
- Giám sát đònh kỳ thường thực hiện thông qua chức năng kiểm toán nội bộ
hoặc các hoạt động đònh kỳ của Ban kiểm soát, qua đó phát hiện kòp thời những yếu
kém trong hệ thống để đưa ra các biện pháp cải thiện.
(chi tiết các yếu tố của kiểm soát nội bộ xem chi tiết ở Phụ lục 1)
1.1.3 Hạn chế của lý thuyết kiểm soát nội bộ
Mặc dù đã được bổ sung và hoàn thiện trong quá trình phát triển, tuy nhiên lý
thuyết về kiểm soát nội bộ vẫn còn những hạn chế, đặc biệt trong điều kiện kinh tế
hiện nay. Các hạn chế của lý thuyết kiểm soát nội bộ thể hiện ở những mặt sau đây:
Chưa mở rộng tầm nhìn chiến lược
Báo cáo COSO năm 1992 không xác đònh việc xây dựng các mục tiêu của đơn vò
nằm trong chu trình KSNB. Vì vậy, hệ thống KSNB được xây dựng chỉ để nhằm
mục đích kiểm soát việc thực hiện các mục tiêu đã được xác đònh, chứ không nhằm
phục vụ việc quản trò các tình huống không chắc chắn và tối ưu hoá quá trình quản
trò đó.
Mặt khác, việc xác đònh các mục tiêu, đặc biệt là các mục tiêu chiến lược không
nằm trong chu trình kiểm soát cũng làm cho hệ thống KSNB bò hạn chế về tính dự
báo đối với các loại rủi ro và vì vậy không xây dựng được các chiến lược dài hạn
đối để đối phó.
Chưa áp dụng các phương pháp, kỹ thuật để quản trò rủi ro
xviii
Báo cáo COSO năm 1992 cung cấp khá nhiều các phương pháp, kỹ thuật cho
KSNB. Tuy nhiên các kỹ thuật này mới chỉ dừng lại ở mức độ kiểm soát chứ chưa
đáp ứng được yêu cầu về đánh giá và quản trò các rủi ro liên quan đến đơn vò.
Chưa thể hiện vai trò của người quản lý cao cấp và trách nhiệm của họ đối
với rủi ro
Hệ thống KSNB được xây dựng bởi những người quản lý trong đơn vò nhằm đảm
bảo hợp lý việc thực hiện các mục tiêu đã đề ra. Tuy nhiên, lý thuyết KSNB chỉ giới
hạn trách nhiệm của người quản lý trong các hoạt động của đơn vò, chưa thể hiện
trách nhiệm liên quan đến việc kiểm soát các rủi ro tiềm ẩn. Vì vậy, sau khi Báo
cáo COSO năm 1992 ra đời thì lý thuyết KSNB tiếp tục phát triển theo nhiều hướng
khác nhau và theo hướng tích hợp với việc quản trò các rủi ro tại đơn vò.
1.2 Sự phát triển các lý thuyết về quản trò rủi ro
1.2.1 Thời kỳ tiền lý thuyết
Thuật ngữ “rủi ro” liên quan đến hoạt động của một đơn vò đã được đề cập từ
rất sớm. Lúc đầu, rủi ro được coi là khả năng hoặc mối đe dọa có thể gây tổn thất
liên quan đến hoạt động thương mại, đặc biệt trong việc bảo toàn tài sản và hàng
hoá. Cách thức thông thường để đối phó với rủi ro trong giai đoạn này là mua các
dòch vụ bảo hiểm để chuyển giao toàn bộ hoặc một phần thiệt hại về tài sản cho các
doanh nghiệp bảo hiểm khi tổn thất phát sinh.
Sự ra đời của doanh nghiệp bảo hiểm chứng tỏ rằng các doanh nghiệp đã sử
dụng dòch vụ bảo hiểm để chuyển giao rủi ro. Lúc đầu dòch vụ bảo hiểm hình thành
trong lónh vực vận chuyển hàng hoá bằng đường biển, sau đó phát triển sang các
loại hình khác. Các tài liệu tìm thấy ở công ty bảo hiểm Hammurabi cho chúng ta
thấy rằng dòch vụ bảo hiểm đã tồn tại cách đây khoảng 3.800 năm.
( ) 1
1.2.2 Thời kỳ phát triển lý thuyết quản trò rủi ro
1
Lam, James, Enterprise Risk Management: From Incensives to Control, Trang 95
xix
Khi hoạt động kinh doanh càng mở rộng phát triển thì doanh nghiệp phải đối
mặt mới nhiều loại rủi ro mới và phức tạp hơn, đòi hỏi phải có một lý thuyết về rủi
ro và các kỹ thuật để có thể quản lý rủi ro một cách hiệu qủa. Từ chỗ cách thức duy
nhất để quản lý rủi ro là mua các bảo hiểm cho các tổn thất có thể có đến cách thức
quản lý những tình huống không chắc chắn và tối ưu hoá việc quản trò rủi ro.
Cùng với yêu cầu về quản trò rủi ro, các lý thuyết về rủi ro và sau đó là các
kỹ thuật và các hệ thống quản trò rủi ro được hình thành. Có thể chia thành các giai
đoạn phát triển như sau:
1.2.2.1 Nhận thức về rủi ro và các nhân tố ảnh hưởng
John Haynes (1895)
John Haynes là một trong những người đầu tiên nghiên cứu về rủi ro. Theo
ông thì rủi ro là khả năng xảy ra những hư hỏng hoặc mất mát một cách tình cờ đối
với đơn vò, sự kiện không chắc chắn được coi là rủi ro khi nó sẽ có những tác động
xấu đến kết quả của đơn vò. ng cũng khẳng đònh rằng, những nhà tư bản – người
đầu tư tài sản của mình vào đơn vò – sẽ gánh chòu những rủi ro liên quan đến đơn vò.
Frank H. Knight (1921)
Theo Frank H. Knight thì rủi ro là sự kiện trong tương lai mà có thể đo lường
được sự tác động còn sự kiện không chắc chắn là những sự kiện mà không thể đo
lường được sự tác động. Mặt khác, ông cũng cho rằng: rủi ro liên quan đến tổn thất,
và sự kiện không chắc chắn liên quan đến những lợi ích mà đơn vò sẽ gặp phải trong
tương lai. Để xem xét khả năng xuất hiện của rủi ro và sự kiện không chắc chắn,
ông sử dụng các khái niệm “xác suất khách quan” và “xác suất chủ quan”.
Irving Pfeffer (1956)
Pfeffer đã tiếp tục quan điểm của Knight, và theo ông thì: thì rủi ro là sự kết
hợp của các nguy hại và được đo lường bởi xác suất xảy ra; còn sự kiện không chắc
xx
chắn được đo lường bởi mức độ của niềm tin. Rủi ro là trạng thái khách quan, sự
kiện không chắc chắn là trạng thái chủ quan.
Các quan điểm về rủi ro theo thời gian đã có một sự chuyển biến to lớn: từ
chỗ coi rủi ro là việc xuất hiện tổn thất một cách tình cờ đến việc dự báo các rủi ro,
từ chỗ coi rủi ro là những gì có thể đo lường được đến việc ý thức được những rủi ro
không thể đo lường, từ chỉ xem xét đến tổn thất đến việc đánh giá lợi ích, từ xem
xét các rủi ro riêng lẻ đến xem xét cùng lúc nhiều rủi ro,.. Tuy nhiên, các quan
điểm trên còn chứa đựng những bất cập: quan điểm về rủi ro chưa bao quát cho toàn
đơn vò; rủi ro được xem xét cho từng sự kiện độc lập hoặc mới chỉ dừng lại xem xét
sự tác động của nhiều sự kiện đến một mặt hoạt động của đơn vò. Do đó, ứng phó
với rủi ro thường bò động vì không có một chiến lược bài bản.
1.2.2.2 Các công cụ quản trò rủi ro được hình thành
Với sự phát triển của nền kinh tế thò trường, đặc biệt là thò trường tài chính, các
công cụ được xây dựng để lúc đầu phục vụ cho nhu cầu của các nhà đầu tư và sau
đó áp dụng cho các hoạt động trong doanh nghiệp. Ngoài ra, cùng với sự phát triển
của kỹ thuật máy tính doanh nghiệp có nhiều nguồn dữ liệu và công cụ hỗ trợ đắc
lực cho việc đo lường và phân tích các rủi ro, từ đó phục vụ tốt hơn cho việc quản lý.
Đầu những năm 1950, lý thuyết về danh mục đầu tư của Harry Markowitz đề cập
đến việc đo lường và quản trò rủi ro. Theo đó, có sự liên hệ giữa rủi ro và lợi ích kỳ
vọng của một phương án và nhà đầu tư nên kết hợp nhiều phương án khác nhau để
tối đa lợi ích của mình. Đến đầu những năm 1970, công cụ bảo hiểm và tái bảo
hiểm được các doanh nghiệp sử dụng rộng rãi và xuất hiện các công cụ phái sinh
được các doanh nghiệp sử dụng để dự phòng cho những biến động về giá cả của thò
trường. Sự kết hợp công cụ bảo hiểm và các công cụ phái sinh dẫn đến việc áp dụng
hình thức dòch vụ thuê ngoài (outsourcing) ở các doanh nghiệp lớn nhằm chuyển
xxi
giao rủi ro cho các đối tác bên ngoài khi doanh nghiệp thấy việc thực hiện không
còn hiệu qủa.
Mặt khác, trong những năm 1980 với sự bùng nổ của công nghệ thông tin các
doanh nghiệp có những phương tiện cần thiết để lưu trữ, tiếp cận những thông tin
khổng lồ và phức tạp phục vụ cho việc ra quyết đònh. Ngoài ra, với sự phát triển của
các kỹ thuật máy tính, các doanh nghiệp cũng có những phương tiện đắc lực để đo
lường và phân tích rủi ro phục vụ ngày càng hiệu qủa cho công tác quản trò các rủi
ro tại doanh nghiệp.
1.2.2.3 Hệ thống quản trò rủi ro
Báo cáo Basel
Trên cơ sở Báo cáo COSO năm 1992, Ủy ban Basel ban hành Báo cáo Basel
năm 1998 về kiểm soát nội bộ tại các ngân hàng và tổ chức tín dụng. Năm 2000 Ủy
ban Basel ban hành báo cáo bổ sung liên quan đến kiểm toán nội bộ, quan hệ giữa
kiểm toán viên và ngân hàng.
Nội dung của Báo cáo Basel nhằm xây dựng một hệ thống kiểm soát nội bộ
hữu hiệu, chủ yếu kiểm soát các rủi ro liên quan đến việc thực hiện các mục tiêu
tương tự như Báo cáo COSO năm 1992 và các rủi ro liên quan đến tín dụng. Báo cáo
Basel chỉ giới hạn trong phạm vi ngân hàng và các tổ chức tín dụng chứ chưa mở
rộng phạm vi ra các loại hình doanh nghiệp khác trong việc quản trò các rủi ro.
James Lam (2003)
James Lam là người đề xuất vò trí trưởng bộ phận rủi ro (CRO), ông được xem
là CRO đầu tiên của khoảng 300 CRO hiện nay trên thế giới. Năm 1993 ông giữ
chức vụ CRO cho công ty GE Capital, từ năm 1995 đến năm 1998 ông là CRO của
công ty quản lý quỹ đầu tư Fidelity Investment – qũy đầu tư hỗ tương lớn nhất thế
xxii
giới với tổng tài sản lên đến 700 tỷ USD. Trong thới gian này, ông được tạp chí The
Economist và Price Waterhouse Review đánh giá là người quản trò rủi ro tốt nhất.
Năm 1999 ông tham gia công ty tư vấn Oliver, Wyman & Company và đồng
sáng lập ra công ty ERrisk, chuyên cung cấp các dòch vụ tư vấn về quản trò rủi ro và
đầu tư, đặc biệt cho các ngân hàng và công ty quản lý qũy đầu tư. Tại ERisk, đầu
tiên ông giữ chức vụ giám đốc điều hành và năm 2000 ông là phó chủ tòch Hội đồng
quản trò. Năm 2002 ông rời ERisk nhưng vẫn là thành viên Hội đồng quản trò của
công ty này.
Hiên nay ông là nhà tư vấn độc lập và chủ tòch của công ty James Lam &
Associates. Các khách hàng lớn được ông trực tiếp tư vấn bao gồm: The World
Bank, Salomon Smith Barney, Allied Capital, First Data,…
Theo James Lam, rủi ro là tất cả các sự kiện tác động tiêu cực đến công ty,
và mỗi loại rủi ro chòu sự tác động của nhiều yếu tố. Giữa lợi nhuận của công ty và
mức độ rủi ro mà công ty tham gia có sự tương quan. mức độ ban đầu, mức độ rủi
ro mà công ty tham gia càng nhiều thì lợi nhuận càng lớn. Tuy nhiên, khi mức độ rủi
ro mà công ty tham gia đến một giới hạn nào đó thì lợi nhuận sẽ giảm khi rủi ro tăng
lên. Vấn đề là công ty phải xác đònh tham gia rủi ro ở mức độ nào để có lợi nhuận
cao nhất?
Một chu trình để quản lý hữu hiệu rủi ro gồm các bước sau: ý thức về rủi ro,
đo lường rủi ro và kiểm soát rủi ro. Chu trình quản lý rủi ro giúp mọi người liên
quan thực hiện những nhiệm vụ của mình liên quan đến rủi ro trong công việc hàng
ngày.
Để quản trò rủi ro một cách hữu hiệu, đòi hỏi chu trình cần có các yếu tố cơ bản
liên quan. Mỗi yếu tố phải có sự liên kết với các yếu tố khác và các yếu tố phải kết
hợp với nhau như một chỉnh thể thống nhất. Các yếu tố cơ bản của một chu trình
quản trò rủi ro bao gồm: Ban lãnh đạo, các cấp quản lý trung gian, mức rủi ro có thể
xxiii
chấp nhận, chuyển giao rủi ro, phân tích rủi ro, cơ sở dữ liệu và kỹ thuật, thông tin
về rủi ro.
xxiv
Bảng 1.2: Các yếu tố của hệ thống quản trò rủi ro doanh nghiệp theo James Lam
1. Ban lãnh đạo đơn vò
Thiết lập một quy trình quản lý rủi ro từ trên xuống
2. Cấp quản lý trung gian
Triển khai chiến lược
3. Quản lý rủi ro tổng
thể
Nghó và làm như “người
quản lý quỹ đầu tư”
4. Chuyển giao rủi ro
Chuyển giao những rủi
ro không hiệu quả
5. Phân tích rủi ro
Phát triển các công cụ phân tích hiện đại
6. Nguồn dữ liệu và kỹ thuật
Tích hợp kỹ thuật và dữ liệu
7. Thông tin cho các bên liên quan
Cải thiện sự minh bạch các thông tin về rủi ro cho các bên liên quan
Nhận xét
Hệ thống quản trò rủi ro được xây dựng cho các loại hình doanh nghiệp đã tạo ra
những chuẩn mực để các doanh nghiệp áp dụng trong việc quản trò rủi ro và các bên
liên quan có những cơ sở để đánh giá. Tuy nhiên, các hệ thống quản trò rủi ro như đã
trình bày ở trên vẫn còn những tồn tại cơ bản sau:
- Nhấn mạnh đến những ngành nghề có rủi ro cao như ngân hàng, công ty đầu tư
mà chưa mở rộng đến các loại hình doanh nghiệp khác. Điều này gây khó khăn cho
các doanh nghiệp không nằm trong phạm vi của hệ thống quản trò rủi ro khi tiếp
cận. Ví dụ doanh nghiệp phân phối hàng tiêu dùng không thể áp dụng cách thức
quản trò rủi ro của công ty quản lý qũy,..
xxv
- Hệ thống quản trò rủi ro theo nhìn nhận của James Lam chỉ thuần tuý mang tính
chất quản lý mà không kết hợp với ngành nghề kế toán tài chính. Trong khi đó, theo
quy đònh của một số quốc gia thì việc quản lý rủi ro liên quan đến doanh nghiệp,
trách nhiệm đó thuộc về lónh vực kế toán tài chính, ví dụ Đạo luật Sarbanes-Oxley
năm 2002 của Hoa Kỳ. Mặt khác, một số tổ chức nghề nghiệp cũng khẳng đònh lónh
vực này thuộc về tài chính kế toán, chẳng hạn Tổ chức kiểm toán nội bộ IIA khẳng
đònh chức năng này thuộc về kiểm toán nội bộ.
Như vậy, hệ thống quản trò rủi ro cần phải được xây dựng lại để có thể bao quát
hết cho các loại hình doanh nghiệp và thể hiện trách nhiệm của doanh nghiệp trong
việc quản lý các rủi ro.
1.3 Quản trò rủi ro doanh nghiệp theo khuôn mẫu của COSO năm 2004
1.3.1 Khái niệm về quản trò rủi ro doanh nghiệp
Mùa thu năm 2001, COSO đề xuất nghiên cứu nhằm đưa ra một lý thuyết để
giúp các tổ chức quản trò các rủi ro liên quan đến quá trình hoạt động. Mặc dù đã
tồn tại nhiều lý thuyết về quản trò rủi ro nhưng COSO vẫn khẳng đònh rằng cần thiết
phải có một cách tiếp cận mới về rủi ro và phải xây dựng một khuôn mẫu lý thuyết
cũng như các kỹ thuật áp dụng tương tương để các đơn vò có thể áp dụng phù hợp
với điều kiện của mình. Công ty kiểm toán PriceWaterhouseCooper được chọn tham
gia vào dự án này. Đến tháng 10 năm 2004, dự án được hoàn thành và COSO công
bố báo dưới tiêu đề: Quản trò rủi ro doanh nghiệp – Khuôn khổ hợp nhất.
Theo Báo cáo của COSO năm 2004 thì quản trò rủi ro (QTRR) doanh nghiệp là
một quá trình do hội đồng quản trò, các cấp quản lý và các nhân viên của đơn vò chi
phối, được áp dụng trong việc thiết lập các chiến lược liên quan đến toàn đơn vò và
áp dụng cho tất cả các cấp độ trong đơn vò, được thiết kế để nhận dạng các sự kiện
tiềm tàng có thể ảnh hưởng đến đơn vò và quản trò rủi ro trong phạm vi chấp nhận