BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC KINH TẾ TP.HỒ CHÍ MINH
THÁI MỸ THANH
THIẾT LẬP HỆ THỐNG KIỂM SOÁT NỘI BỘ
THEO HƯỚNG NÂNG CAO NĂNG LỰC
QUẢN TRỊ RỦI RO ĐỐI VỚI CÁC DOANH
NGHIỆP DỊCH VỤ TRÊN ĐỊA BÀN TP.HCM
LUẬN VĂN THẠC SĨ KINH TẾ
Thành phố Hồ Chí Minh – Năm 2013
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC KINH TẾ TP.HỒ CHÍ MINH
THÁI MỸ THANH
THIẾT LẬP HỆ THỐNG KIỂM SOÁT NỘI BỘ
THEO HƯỚNG NÂNG CAO NĂNG LỰC
QUẢN TRỊ RỦI RO ĐỐI VỚI CÁC DOANH
NGHIỆP DỊCH VỤ TRÊN ĐỊA BÀN TP.HCM
Chuyên ngành : Kế toán
Mã số : 60340301
LUẬN VĂN THẠC SĨ KINH TẾ
Ngƣời hƣớng dẫn khoa học
PGS.TS VÕ VĂN NHỊ
Thành phố Hồ Chí Minh – Năm 2013
LỜI CAM ĐOAN
Tôi xin cam đoan đề tài này dựa trên quá trình nghiên cứu trung thực dƣới sự cố
vấn của ngƣời hƣớng dẫn khoa học.
Đây là đề tài thạc sĩ kinh tế, chuyên ngành Kế toán – Kiểm toán. Đề tài này chƣa
đƣợc ai công bố dƣới bất kỳ hình thức nào và tất cả các nguồn tham khảo đều đƣợc trích
dẫn đầy đủ.
TP. HCM, Ngày 16 tháng 10 năm 2013
Tác giả
Thái Mỹ Thanh
MỤC LỤC
Trang phụ bìa
Lời cam đoan
Mục lục
Danh mục các ký hiệu, chữ viết tắt
Danh mục các bảng biểu
Danh mục các hình vẽ, đồ thị
PHẦN MỞ ĐẦU 1
CHƢƠNG 1: TỔNG QUAN VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ 5
1.1 Tổng quan về hệ thống kiểm soát nội bộ 5
1.1.1 Sự hình thành và phát triển lý thuyết kiểm soát nội bộ 5
1.1.1.1 Lịch sử hình thành 5
1.1.1.2 Khái niệm kiểm soát nội bộ và hệ thống kiểm soát nội bộ 6
1.1.2 Các nhân tố cấu thành hệ thống kiểm soát nội bộ theo COSO 2004 7
1.1.2.1 Môi trƣờng quản lý 7
1.1.2.2 Thiết lập mục tiêu 9
1.1.2.3 Nhận dạng sự kiện tiềm tàng 10
1.1.2.4 Đánh giá rủi ro 12
1.1.2.5 Phản ứng với rủi ro 14
1.1.2.6 Hoạt động kiểm soát 16
1.1.2.7 Thông tin và truyền thông 16
1.1.2.8 Giám sát 16
1.1.3 Lợi ích và hạn chế của hệ thống kiểm soát nội bộ 17
1.1.3.1 Lợi ích 17
1.1.3.2 Hạn chế 18
1.2 Tổng quan về quản trị rủi ro 19
1.2.1 Lịch sử hình thành các lý thuyết về quản trị rủi ro 19
1.2.2 Khái niệm về quản trị rủi ro doanh nghiệp 20
1.2.3 Các nội dung của quản trị rủi ro doanh nghiệp 22
1.2.4 Lợi ích và hạn chế của quản trị rủi ro doanh nghiệp 24
1.2.4.1 Lợi ích của quản trị rủi ro doanh nghiệp 24
1.2.4.2 Hạn chế của quản trị rủi ro doanh nghiệp 25
1.3 Mối quan hệ giữa hệ thống kiểm soát nội bộ với vấn đề quản trị rủi ro trong doanh
nghiệp 26
1.3.1 Quan hệ về mục tiêu 26
1.3.2 Quan hệ về điều hành 27
1.4 Những đặc điểm của doanh nghiệp dịch vụ ảnh hƣởng đến hệ thống kiểm soát nội bộ
và quản trị rủi ro 29
CHƢƠNG 2: THỰC TRẠNG VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ TẠI CÁC
DOANH NGHIỆP DỊCH VỤ TRÊN ĐỊA BÀN TP.HCM 32
2.1 Giới thiệu tổng quát về tình hình hoạt động và quản lý của các doanh nghiệp dịch vụ
trên địa bàn TP.HCM 32
2.2 Thực trạng về hệ thống kiểm soát nội bộ và quản trị rủi ro tại các doanh nghiệp dịch
vụ trên địa bàn TP.HCM 34
2.2.1 Môi trƣờng quản lý 35
2.2.2 Thiết lập mục tiêu 39
2.2.3 Nhận dạng sự kiện tiềm tàng 40
2.2.4 Đánh giá rủi ro 43
2.2.5 Phản ứng với rủi ro 46
2.2.6 Hoạt động kiểm soát 47
2.2.7 Thông tin và truyền thông 50
2.2.8 Giám sát 51
2.3 Đánh giá thực trạng về hệ thống kiểm soát nội bộ và quản trị rủi ro tại các doanh
nghiệp dịch vụ trên địa bàn TP.HCM 52
2.3.1 Ƣu điểm 52
2.3.2 Nhƣợc điểm 52
2.3.3 Nhận diện các nguyên nhân của các hạn chế trong hệ thống kiểm soát nội bộ và
quản trị rủi ro tại các doanh nghiệp dịch vụ trên địa bàn TP.HCM 53
CHƢƠNG 3: GIẢI PHÁP THIẾT LẬP HỆ THỐNG KIỂM SOÁT NỘI BỘ THEO
HƢỚNG NÂNG CAO NĂNG LỰC QUẢN TRỊ RỦI RO ĐỐI VỚI CÁC DOANH
NGHIỆP DỊCH VỤ TRÊN ĐỊA BÀN TP.HCM 57
3.1 Định hƣớng thiết lập hệ thống kiểm soát nội bộ theo hƣớng nâng cao năng lực quản
trị rủi ro đối với các doanh nghiệp dịch vụ trên địa bàn Thành phố Hồ Chí Minh 57
3.1.1 Hoàn thiện hệ thống kiểm soát nội bộ theo hƣớng kiểm soát các rủi ro 57
3.1.2 Xây dựng các tiêu chuẩn để đánh giá rủi ro 58
3.1.3 Xây dựng các phƣơng án khác nhau để phản ứng với rủi ro 58
3.1.4 Áp dụng quản trị rủi ro trong hệ thống kiểm soát nội bộ 59
3.2 Các giải pháp nhằm thiết lập hệ thống kiểm soát nội bộ theo hƣớng nâng cao năng
lực quản trị rủi ro đối với các doanh nghiệp dịch vụ trên địa bàn Thành phố Hồ Chí
Minh 60
3.2.1 Môi trƣờng quản lý 60
3.2.2 Thiết lập mục tiêu 62
3.2.3 Nhận dạng các sự kiện tiềm tàng 63
3.2.4 Đánh giá rủi ro 63
3.2.5 Phản ứng với rủi ro 64
3.2.6 Hoạt động kiểm soát 65
3.2.7 Thông tin và truyền thông 65
3.2.8 Giám sát 68
3.3 Một số kiến nghị nhằm thiết lập hệ thống kiểm soát nội bộ theo hƣớng nâng cao
năng lực quản trị rủi ro đối với các doanh nghiệp dịch vụ trên địa bàn TPHCM 68
3.3.1 Đối với các doanh nghiệp dịch vụ 68
3.3.2 Đối với các cơ quan liên quan 70
KẾT LUẬN CHUNG 73
TÀI LIỆU THAM KHẢO
PHỤ LỤC
DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT
Chữ viết tắt
Chữ viết đầy đủ
TPHCM
Thành phố Hồ Chí Minh
BCTC
Báo cáo tài chính
ERM
Quản trị rủi ro doanh nghiệp
HĐQT
Hội Đồng Quản Trị
GDP
Tổng sản phẩm nội địa
CRO
Trƣởng bộ phận rủi ro
IT
Công nghệ thông tin
DANH MỤC CÁC BẢNG BIỂU
Bảng 2.1: Mức độ quan tâm của nhà quản lý đối với quản trị rủi ro và các thủ tục kiểm
soát 35
Bảng 2.2: Rủi ro có thể chấp nhận 36
Bảng 2.3: Hành vi trong doanh nghiệp 37
Bảng 2.4: Nhân sự trong doanh nghiệp 37
Bảng 2.5: Phân chia quyền hạn trong doanh nghiệp 38
Bảng 2.6: Mục tiêu trong doanh nghiệp 39
Bảng 2.7: Sự kiện tiềm tàng từ nhân viên trong doanh nghiệp 40
Bảng 2.8: Sự kiện tiềm tàng từ nhà quản lý trong doanh nghiệp 41
Bảng 2.9: Sự kiện tiềm tàng từ những phàn nàn của khách hàng 42
Bảng 2.10: Đánh giá rủi ro trong thiết lập các báo cáo tài chính 43
Bảng 2.11: Đánh giá rủi ro trong công tác kế hoạch 44
Bảng 2.12: Đánh giá rủi ro đối với mục tiêu của doanh nghiệp 45
Bảng 2.13: Phản ứng với rủi ro của doanh nghiệp 46
Bảng 2.14: Thủ tục kiểm soát của doanh nghiệp 47
Bảng 2.15: Phân chia trách nhiệm của doanh nghiệp 47
Bảng 2.16: Kiểm soát thông tin của doanh nghiệp 48
Bảng 2.17: Kiểm tra độc lập, phân tích soát xét lại của doanh nghiệp 49
Bảng 2.18: Thông tin và truyền thông của doanh nghiệp 50
Bảng 2.19: Hoạt động giám sát của doanh nghiệp 51
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ
Hình 1.1: Các nhân tố cấu thành hệ thống kiểm soát nội bộ theo COSO 2004 17
Hình 2.1: Tổng sản phẩm 6 tháng đầu năm 2003 33
1
PHẦN MỞ ĐẦU
TÍNH CẤP THIẾT CỦA ĐỀ TÀI
Trên thế giới, khái niệm kiểm soát nội bộ xuất hiện đã lâu và được chuẩn hoá từ
khi có báo cáo COSO năm 1992. Ở Việt Nam, khái niệm kiểm soát nội bộ đã trở nên
khá quen thuộc đối với các nhà quản lý doanh nghiệp. Tuy nhiên cách nhìn nhận và
triển khai ở mỗi doanh nghiệp rất khác nhau.
Hệ thống kiểm soát nội bộ là một công cụ quản lý hữu hiệu để kiểm soát và điều
hành hoạt động kinh doanh nhằm đảm bảo đạt được các mục tiêu đề ra với hiệu quả
cao nhất. Báo cáo COSO năm 2004 được xây dựng trên cơ sở tiếp tục phát triển báo
cáo năm 1992 vể kiểm soát nội bộ và tích hợp thêm quản trị rủi ro tại doanh nghiệp.
Mặt khác báo cáo COSO năm 2004 cũng xác định các tiêu chuẩn để đánh giá rủi ro
cũng như đề xuất xây dựng quản lý rủi ro hiệu quả trong công tác quản lý.
Các nhà quản lý doanh nghiệp rất quan tâm tới hiệu quả hoạt động của doanh
nghiệp. Kiểm soát nội bộ là một công cụ quản lý hữu hiệu giúp các cấp lãnh đạo biết
được sự kém hiệu quả xảy ra ở những khâu cụ thể và những nguyên nhân của nó. Họ
cũng xác định được trách nhiệm thuộc về ai.
Trong xu hướng hội nhập, toàn cầu hoá như hiện nay, để tồn tại và phát triển, các
doanh nghiệp gặp rất nhiều khó khăn do sự cạnh tranh ngày càng khốc liệt. Ngoài các
yếu tố về giá và công nghệ, các nhà quản lý cần có sự cải cách trong quản lý và cần tập
trung hạn chế những rủi ro phát sinh trong nội bộ doanh nghiệp.
Theo kết quả nghiên cứu của Phạm Hồng Thái (2011) về một số giải pháp hoàn
thiện hệ thống kiểm soát nội bộ của ngành y tế tỉnh Long An cho thấy hệ thống kiểm
soát nội bộ hoạt động hữu hiệu sẽ giúp doanh nghiệp đạt được các mục tiêu đề ra.
Đồng thời, theo Phạm Hồng Thái (2011) thì bản thân hệ thống kiểm soát nội bộ cũng
tồn tại nhiều hạn chế vốn có nhất định nên doanh nghiệp cần thiết phải quan tâm để tối
thiểu hoá những hạn chế này.
Theo kết quả nghiên cứu của Đinh Thuỵ Ngân Trang (2007) về hoàn thiện hệ
thống kiểm soát nội bộ tại công ty Nuplex Resins Việt Nam cho rằng hệ thống kiểm
soát nội bộ được đánh giá là thật sự hữu hiệu cũng không cho doanh nghiệp một sự
đảm bảo chắc chắn mà chỉ là sự đảm bảo hợp lý việc đạt được mục tiêu của doanh
nghiệp.
Phần lớn các nghiên cứu đều cho rằng cần thiết phải hoàn thiện hệ thống kiểm
soát nội bộ tại chính doanh nghiệp mình. Tuy nhiên, các nghiên cứu đưa ra các khái
2
niệm chung chung, chưa xác định rõ phương hướng hoàn thiện là cần tập trung vào
đâu. Theo tác giả, hoàn thiện hệ thống kiểm soát nội bộ cần tập trung vào quản trị rủi
ro để giảm thiểu tổn thất, nâng cao năng lực cạnh tranh của doanh nghiệp là hiệu quả
nhất.
Hiện nay, các doanh nghiệp về lĩnh vực dịch vụ trên địa bàn TP.HCM gia tăng
ngày càng nhiểu cà về số lượng và quy mô. Do đó, vấn đề về quản lý hệ thống kiểm
soát nội bộ cũng như quản trị rủi ro phát sinh ngày càng trở nên cấp bách và cần thiết.
Từ tầm quan trọng của vấn đề, từ chỗ nghiên cứu về vấn đề này chưa nhiều; nó là
vấn đề mới, còn khoảng trống trong nghiên cứu; luận án chọn đề tài: “Thiết lập hệ
thống kiểm soát nội bộ theo hướng nâng cao năng lực quản trị rủi ro đối với các
doanh nghiệp dịch vụ trên địa bàn TP.HCM”.
MỤC ĐÍCH NGHIÊN CỨU CỦA ĐỀ TÀI
Việc sử dụng các tiêu chuẩn của Báo cáo COSO năm 2004 để khảo sát doanh
nghiệp dịch vụ trên địa bàn Thành phố Hồ Chi Minh nhằm các mục đích sau:
Tìm hiểu lý luận về kiểm soát nội bộ và quản trị rủi ro.
Đánh giá thực trạng về hệ thống kiểm soát nội bộ tại các doanh nghiệp
theo tiêu chuẩn của Báo cáo COSO năm 2004.
Trên cơ sở khảo sát thực trạng về hệ thống kiểm soát nội bộ và quản trị rủi
ro tại các doanh nghiệp để đề xuất các giải pháp nhằm nâng cao hệ thống
kiểm soát nội bộ theo hướng nâng cao năng lực quản trị rủi ro đối với các
doanh nghiệp dịch vụ trên địa bàn Thành phố Hồ Chí Minh.
ĐỐI TƢỢNG, PHẠM VI NGHIÊN CỨU CỦA ĐỀ TÀI
Luận văn tập trung nghiên cứu vào các nhân tố cấu thành nên hệ thống kiểm soát
nội bộ tại các doanh nghiệp (Môi trường kiểm soát, thiết lập mục tiêu, nhận dạng các
sự kiện tiềm tàng, đánh giá rủi ro, phản ứng với rủi ro, hoạt động kiểm soát, thông tin
và truyền thông, giám sát) và quan điểm của doanh nghiệp Việt Nam về rủi ro và quản
lý rủi ro.
Luận văn không đề cập đến các phương pháp đinh lượng về phân tích rủi ro và
không tập trung vào xây dựng, tổ chức một quy trình cụ thể cho bất cứ doanh nghiệp
nào.
Thành phố Hồ Chí Minh là một trung tâm kinh tế lớn của cả nước, nền kinh tế
của Thành phố chủ yếu dựa vào hai khu vực công nghiệp - xây dựng và thương mại -
3
dịch vụ. Trong đó, khu vực thương mại - dịch vụ đã được thành phố xác định là thế
mạnh số một. Do đó, tác giả chọn ngành dịch vụ tại Thành phố Hồ Chí Minh để tiến
hành khảo sát.
Để hiểu rõ hơn hệ thống kiểm soát nội bộ và quản trị rủi ro tại các doanh nghiệp
dịch vụ trên địa bàn TP.HCM, tác giả đã tiến hành chọn 50 doanh nghiệp (xem Phụ lục
2) kinh doanh thuộc lĩnh vực dịch vụ trên địa bàn TP.HCM là đối tượng khảo sát.
PHƢƠNG PHÁP NGHIÊN CỨU
Dựa trên cơ sở thống kê định lượng, khảo sát thực tế (bảng câu hỏi – xem phụ lục
1) và phỏng vấn trực tiếp để cụ thể hoá cơ sở lý luận và thực tiễn.
Bảng câu hỏi được thiết kế dựa trên các tiêu chuẩn của Báo cáo COSO năm 2004.
Nội dung bảng hỏi là tập trung chủ yếu vào hoạt động kiểm soát nội bộ liên quan đến
quản trị rủi ro trong doanh nghiệp dịch vụ.
Bảng câu hỏi được gửi trả lời trực tiếp bởi các bộ phận, phòng ban và nhân viên
đang làm việc tại các doanh nghiệp dịch vụ ở TP.HCM.
KẾT CẤU CỦA ĐỀ TÀI
Nội dung luận văn bao gồm:
Phần mở đầu.
Chương 1: Tổng quan về hệ thống kiểm soát nội bộ.
Chương 2: Thực trạng về hệ thống kiểm soát nội bộ tại các doanh nghiệp
dịch vụ trên địa bàn TPHCM.
Chương 3: Giải pháp thiết lập hệ thống kiểm soát nội bộ theo hướng nâng
cao năng lực quản trị rủi ro đối với các doanh nghiệp dịch vụ trên địa bàn
TPHCM.
Kết luận chung.
Tài liệu tham khảo.
Phụ lục.
4
Ý NGHĨA KHOA HỌC VÀ THỰC TIỄN CỦA ĐỀ TÀI
Về mặt lý luận
Đề tài hệ thống hóa những kiến thức về hệ thống kiểm soát nội bộ trong báo cáo
COSO, chủ yếu tập trung vào báo cáo COSO năm 2004. Đặc biệt nhấn mạnh đến quản
trị rủi ro trong hoạt động kiểm soát và quàn lý. Từ đó giúp các sinh viên và doanh
nghiệp quan tâm đến vấn đề này.
Về mặt thực tiễn
Đề tài giúp các nhà quản lý có cái nhìn khái quát về hoạt động kiểm soát nội bộ
và quản trị rủi ro tại các doanh nghiệp dịch vụ trên địa bàn TP.HCM.
Bên cạnh đó, đề tài đưa ra một số giải pháp nhằm hoàn thiện hệ thống kiểm soát
nội bộ, chủ yếu tập trung vào quá trình quản trị rủi ro. Từ đó, giúp các nhà quản lý có
những hiệu chỉnh thích hợp trong các chính sách, thủ tục kiểm soát mang tính thực tế
và phù hợp với đặc thù của doanh nghiệp.
5
CHƢƠNG 1
TỔNG QUAN VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ
1.1 Tổng quan về hệ thống kiểm soát nội bộ
1.1.1 Sự hình thành và phát triển lý thuyết kiểm soát nội bộ
1.1.1.1 Lịch sử hình thành
Từ khi có hoạt động kinh doanh, những người điều hành đều phải sử dụng các
biện pháp để kiểm soát các hoạt động tại đơn vị mình. Hoạt động kinh doanh càng
phát triển thì chức năng kiểm soát càng chiếm một vị trí quan trọng trong quá trình
quản lý. Thông qua các hoạt động kiểm soát, nhà quản lý đánh giá và chấn chỉnh việc
thực hiện nhằm đảm bảo đạt được các mục tiêu đề ra với hiệu quả cao nhất.
Để thực hiện chức năng kiểm soát, nhà quản lý sử dụng công cụ chủ yếu là kiểm
soát nội bộ của đơn vị. Khái niệm kiểm soát nội bộ lúc đầu được sử dụng như là một
phương pháp giúp cho kiểm toán viên độc lập xác nhận phương pháp hiệu quả nhất
trong việc thiết lập kế hoạch kiểm toán, đến chỗ được coi là một bộ phận chủ yếu của
hệ thống quản lý hữu hiệu.
Thời kỳ tiền COSO (từ năm 1992 trở về trước)
Khái niệm kiểm soát nội bộ bắt đầu được sử dụng vào đầu thế kỷ 20 trong các tài
liệu về kiếm toán. Lúc đó, kiểm soát nội bộ được hiểu như là một biện pháp để bảo vệ
tiền không bị các nhân viên gian lận. Sau đó, khái niệm này dần được mở rộng, kiểm
toán nội bộ không dừng lại ở việc bảo vệ tài sản (không chỉ có tiền) mà còn đảm bảo
việc ghi chép kế toán chính xác, nâng cao hiệu quả hoạt động và khuyến khích tuân
thủ các chính sách của nhà quản lý.
Năm 1977, sau vụ bê bối Watergate, Quốc hội Hoa Kỳ đã thông qua Luật hành vi
hối lộ ở nước ngoài. Điều luật này nhấn mạnh việc kiểm soát nội bộ nhằm ngăn ngừa
những khoản thanh toán bất hợp pháp và dẫn đến việc yêu cầu ghi chép rất đầy đủ
trong mọi hoạt động. Lần đầu tiên, hoạt động kiểm soát nội bộ trong các tổ chức được
đề cập đến trong một văn bản pháp luật.
Năm 1985, sự đổ bể của các công ty cổ phần có niêm yết làm cho các nhà làm
luật Hoa Kỳ quan tâm đến việc kiểm soát nội bộ của các doanh nghiệp. Nhiều quy
định, hướng dẫn về kiểm soát nội bộ của các cơ quan chức năng Hoa Kỳ được ban
6
hành trong giai đoạn này như: Uỷ ban chuẩn mực kiểm toán Hoa Kỳ năm 1988, Uỷ
ban chứng khoán Hoa Kỳ năm 1988, tổ chức nghiên cứu kiểm toán nội bộ năm 1991,
Những quy định này một mặt làm phong phú khái niệm kiểm soát nội bộ nhưng
mặt khác dẫn đến yêu cầu phải hình thành một hệ thống lý luận có tính chuẩn mực về
kiểm soát nội bộ.
Sự ra đời của báo cáo COSO năm 1992
Quá trình phát triển của các công ty ở Hoa Kỳ cũng là quá trình phát triển quy mô
của gian lận gây thiệt hại đáng kể cho nền kinh tế. Nhiều uỷ ban đã ra đời để khảo sát
và tìm cách khắc phục, trong đó có uỷ ban quốc gia về chống gian lận báo cáo tài
chính – gọi tắt là Uỷ ban Treadway – ra đời năm 1985. COSO là một Uỷ ban gồm
nhiều tổ chức nghề nghiệp nằm hỗ trợ cho Uỷ ban Treadway. Các tổ chức nghề nghiệp
trên bao gồm: Hiệp hội kế toán công chứng Hoa Kỳ (AICPA), Hội kế toán Hoa Kỳ
(AAA), Hiệp hội các nhà quản trị tài chính (FEI), Hiệp hội kiểm toán viên nội bộ (IIA)
và Hiệp hội kế toán viên quản trị (IMA). Qua quá trình tìm hiểu về gian lận, COSO đã
nhận thấy kiểm soát nội bộ đã ảnh hưởng rất lớn đến khả năng xảy ra gian lận. Vì thế,
việc nghiên cứu và đưa ra một khuôn khổ chung về kiểm soát nội bộ được đặt ra. Báo
cáo COSO năm 1992 là kết quả của quá trình nghiên cứu này. Báo cáo cung cấp một
hệ thống lý luận đầy đủ nhất về kiểm soát nội bộ, kế thừa và phát huy các nghiên cứu
trước đó về kiểm soát nội bộ. Báo cáo COSO năm 1992 gồm có 4 phần:
Phần 1 – Bản tóm lược: Tổng quan về kiểm soát nội bộ cho nhà quản lý cấp cao.
Phần 2 – Hệ thống lý luận: Định nghĩa về kiểm soát nội bộ, mô tả các yếu tố của
kiểm soát nội bộ và chỉ ra những tiêu chí để kiểm soát hệ thống.
Phần 3 – Báo cáo cho các thành viên bên ngoài: Hướng dẫn cách thức báo cáo
cho các đối tượng bên ngoài về kiểm soát nội bộ liên quan đến tài chính.
Phần 4 – Các công cụ đánh giá: Bao gồm các bảng biểu phục vụ cho việc đánh
giá sự hữu hiệu của hệ thống kiểm soát nội bộ.
1.1.1.2 Khái niệm kiểm soát nội bộ và hệ thống kiểm soát nội bộ
Kiểm soát nội bộ bao gồm kế hoạch của tổ chức và tất cả các phương pháp phối
hợp và đo lường được thừa nhận trong doanh nghiệp để bảo đảm an toàn tài sản có của
họ, kiểm tra sự phù hợp và độ tin cậy của dữ liệu kế toán, tăng cường tính hiệu quả của
hoạt động và khuyến khích việc thực hiện các chính sách quản lý lâu dài.
Hệ thống kiểm soát nội bộ theo định nghĩa của báo cáo COSO là một quy trình
chịu ảnh hưởng bởi Hội đồng quản trị, các nhà quản lý và các nhân viên khác trong
7
đơn vị, được thiết lập để cung cấp một sự đảm bảo hợp lý nhằm thực hiện các mục tiêu
sau đây:
Tính hiệu lực và hiệu quả của các hoạt động;
Báo cáo tài chính đáng tin cậy;
Sự tuân thủ pháp luật và các quy luật hiện hành.
Kiểm soát nội bộ được thực hiện thông qua các chính sách, tiêu chuẩn và thủ tục.
Việc thiết lập và vận hành hệ thống kiểm soát nội bộ thuộc về trách nhiệm của Hội
đồng quản trị và người quản lý. Quá trình thực hiện kiểm soát nội bộ tại đơn vị chủ
yếu là quá trình thiết lập, thực hiện, kiểm tra và đánh giá các chính sách, tiêu chuẩn và
thủ tục. Hội đồng quản trị (nếu có) là một nhân tố ảnh hưởng rất lớn đến hoạt động
kiểm soát của đơn vị thông qua việc tác động đến các chính sách và quan điểm kiểm
soát của nhà quản lý. Các nhân viên khác trong tổ chức chính là người thực hiện các
thủ tục kiểm soát hàng ngày thông qua việc tuân thủ các quy trình của hệ thống kiểm
soát nội bộ. Vì vậy khả năng, tinh thần và phẩm chất của họ quyết định rất lớn đến sự
thành công của kiểm soát nội bộ.
1.1.2 Các nhân tố cấu thành hệ thống kiểm soát nội bộ theo COSO 2004
1.1.2.1 Môi trƣờng quản lý
Môi trường quản lý phản ánh sắc thái chung của một đơn vị, chi phối ý thức
của các thành viên trong đơn vị về rủi ro và đóng vai trò nền tảng cho các yếu tố khác
của quản trị rủi ro. Nó tạo nên cấu trúc và phương thức vận hành về quản trị rủi ro
trong đơn vị. Các nhân tố chính thuộc về môi trường quản lý là:
Triết lý của nhà quản lý về quản trị rủi ro: triết lý về quản trị rủi ro là
quan điểm, nhận thức và thái độ của nhà quản lý, điều này tạo nên cách
thức mà đơn vị tiếp cận với rủi ro trong tất cả các hoạt động, từ phát
triển chiến lược đến các hoạt động hàng ngày. Triết lý quản lý phản ánh
những giá trị mà đơn vị theo đuổi, tác động đến văn hoá và cách thức
đơn vị hoạt động, và ảnh hưởng đến việc áp dụng các yếu tố khác của
ERM bao gồm cách thức nhận dạng rủi ro, các loại rủi ro được chấp
nhận và cách thức quản lý chúng.
Rủi ro có thể chấp nhận: là mức độ rủi ro mà xét trên bình diện tổng
thể, đơn vị sẵn lòng chấp nhận để theo đuổi giá trị. Nó phản ánh triết lý
về quản trị rủi ro của nhà quản lý cấp cao, và ảnh hưởng đến văn hoá,
cách thức hoạt động của đơn vị. Rủi ro có thể chấp nhận được xem xét
8
khi đơn vị xác định các chiến lược, ở đó lợi ích kỳ vọng của một chiến
lược phải phù hợp với mức rủi ro có thể chấp nhận đã đề ra. Các chiến
lược khác nhau sẽ dẫn đến những mức độ rủi ro khác nhau đối với đơn
vị, một khi mức rủi ro có thể chấp nhận được xác lập sẽ giúp ích cho
nhà quản lý lựa chọn chiến lược nằm trong giới hạn chịu đựng đối với
các loại rủi ro.
Hội đồng quản trị: đây là một bộ phận quan trọng và ảnh hưởng đến
những yếu tố khác. Vai trò của Hội đồng quản trị được thể hiện ở việc
giám sát ban quản lý trong việc lựa chọn chiến lược, lên kế hoạch và
việc thực hiện nó. Các nhân tố được xem xét để đánh giá sự hữu hiệu
của Hội đồng quản trị gồm mức độ độc lập, kinh nghiệm và uy tín của
các thành viên, và mối quan hệ giữa họ với bộ phận kiểm toán nội bộ và
kiểm toán độc lập. Cho dù trong lịch sử đơn vị chưa phải gánh chịu
những tổn thất, cho dù chưa có bằng chứng hay dấu hiệu nào cho thấy
đơn vị phải đối mặt với những rủi ro quan trọng, thì Hội đồng quản trị
cũng không nên suy nghĩ rằng rủi ro sẽ không xảy đến. Phải luôn ý thức
rằng, cho dù có một chiến lược hay, đội ngũ nhân sự lành nghề, chu
trình được thiết kế khoa học và kỹ thuật áp dụng là đáng tin cậy thì đơn
vị vẫn phải đối mặt với tổn hại từ các loại rủi ro và việc quản trị rủi ro
vẫn rất cần thiết.
Tính chính trực và các giá trị đạo đức: Sự hữu hiệu của hệ thống quản
trị rủi ro trước tiên phụ thuộc vào tính chính trực và việc tôn trọng các
giá trị đạo đức của những người có liên quan đến quá trình quản trị rủi
ro. Để đáp ứng yêu cầu này, các nhà quản lý cấp cao phải xây dựng
những chuẩn mực về đạo đức trong đơn vị và cư xử đúng đắn để ngăn
cản không cho các thành viên có các hành vi thiếu đạo đức hoặc phạm
pháp. Muốn vậy, những nhà quản lý, đặc biệt là giám đốc điều hành
(CEO) cần phải làm gương cho cấp dưới trong việc tuân thủ các chuẩn
mực đạo đức và phổ biến những quy định đến mọi thành viên bằng
những thể thức thích hợp. Một cách khác để nâng cao tính chính trực và
sự tôn trọng các giá trị đạo đức là phải loại trừ hoặc giảm thiểu những
sức ép hoặc điều kiện có thể dẫn đến nhân viên có thể có những hành vi
thiếu trung thực. Ví dụ, gian lận trong các báo cáo có thể xuất phát từ
việc nhân viên bị ép buộc phải thực hiện các mục tiêu phi thực tế của
nhà quản lý. Hành động không đúng của nhà quản lý có thể phát sinh
khi quyền lợi của nhà quản lý lại gắn chặt với số liệu trên báo cáo,
9
Đảm bảo về năng lực: Là đảm bảo cho nhân viên có được những kỹ
năng và hiểu biết cần thiết để thực hiện được nhiệm vụ của mình, nếu
không họ sẽ không thực hiện nhiệm vụ được giao hữu hiệu và hiệu quả.
Do đó, nhà quản lý chỉ tuyển dụng những nhân viên có trình độ đào tạo
và kinh nghiệm phù hợp với nhiệm vụ được giao, và phải giám sát và
huấn luyện họ đầy đủ và thường xuyên.
Cơ cấu tổ chức: Là sự phân chia quyền hạn và trách nhiệm của các bộ
phận trong đơn vị, góp phần quan trọng trong việc thực hiện các mục
tiêu. Nói cách khác, cơ cấu phù hợp sẽ là cơ sở cho việc lập kế hoạch,
điều hành, kiểm soát và giám sát các hoạt động của đơn vị. Vì vậy, khi
xây dựng một cơ cấu tổ chức phải xác định được các vị trí then chốt với
các quyền hạn, trách nhiệm với các thể thức báo cáo cho phù hợp. Tuy
nhiên, điều này còn phụ thuộc vào quy mô và tính chất hoạt động của
đơn vị. Cho dù với bất cứ loại hình cơ cấu nào đều phải đảm bảo hệ
thống quản trị rủi ro hoạt động hữu hiệu và các hoạt động được tiến
hành để đạt mục tiêu mà đơn vị đề ra.
Cách thức phân định quyền hạn và trách nhiệm: Phân định quyền hạn
và trách nhiệm được xem là phần mở rộng của cơ cấu tổ chức. Nó cụ
thể hoá quyền hạn và trách nhiệm của từng thành viên và từng nhóm
thành viên trong đơn vị, giúp cho mỗi thành viên và nhóm hiểu rằng họ
có nhiệm vụ cụ thể gì và từng hoạt động của họ có ảnh hưởng như thế
nào đối với những nhóm hay thành viên khác trong việc hoàn thành
mục tiêu. Do đó, khi mô tả công việc, đơn vị cần phải thể chế hoá bằng
văn bản về những nhiệm vụ và quyền hạn cụ thể của từng thành viên và
nhóm thành viên, và quan hệ giữa họ với nhau.
Chính sách nhân sự: là các chính sách và thủ tục của nhà quản lý về
việc tuyển dụng, huấn luyện, bổ nhiệm, đánh giá, sa thải, khen thưởng,
kỷ luật nhân viên. Chính sách nhân sự có ảnh hưởng đáng kể đến sự
hữu hiệu của môi trường quản lý thông qua tác động đến những nhân tố
khác trong môi trường quản lý như đảm bảo về năng lực, tính chính
trực,…
1.1.2.2 Thiết lập mục tiêu
Các mục tiêu được thiết lập đầu tiên ở cấp độ chiến lược, từ đó đơn vị xây
dựng bốn mục tiêu tổng quát: chiến lược, hoạt động, báo cáo, và tuân thủ. Việc thiết
10
lập các mục tiêu của đơn vị là điều kiện đầu tiên để nhận dạng, đánh giá và phản ứng
với rủi ro.
Các mục tiêu chiến lược: là những mục tiêu cấp cao của đơn vi, các mục tiêu
này phù hợp và ủng hộ cho sứ mạng mà đơn vị đã đề ra. Nó thể hiện sự lựa chọn của
nhà quản lý về cách thức đơn vị tạo lập giá trị cho chủ sở hữu của mình.
Các mục tiêu liên quan: là những mục tiêu cụ thể hơn so với mục tiêu chiến
lược và phù hợp với mục tiêu chiến lược đã được lập. Mặc dù các mục tiêu trong đơn
vị rất đa dạng, nhưng các mục tiêu liên quan đến các mục tiêu chiến lược có thể chia
thành các loại sau:
Các mục tiêu hoạt động: các mục tiêu này liên quan đến sự hữu hiệu và
hiệu quả của hoạt động tại đơn vị, bao gồm cách thức hoạt động của
đơn vị, lợi nhuận và việc bảo vệ nguồn lực như thế nào. Dưới mỗi mục
tiêu hoạt động cơ bản thì đơn vị có thể xây dựng các mục tiêu nhỏ hơn
nhằm đảm bảo cho sự hữu hiệu và hiệu quả của các hoạt động tại đơn
vị, hướng đơn vị đi đến mục tiêu cao nhất của mình.
Các mục tiêu về báo cáo: gắn liền với sự trung thực và đáng tin cậy của
các báo cáo, bao gồm các báo cáo cho bên trong và bên ngoài và có thể
liên quan đến các thông tin tài chính và phi tài chính. Các báo cáo đáng
tin cây cung cấp cho nhà quản lý những thông tin đầy đủ và chính xác
để điều hành và giám sát các hoạt động xảy ra tại đơn vị, hướng đến các
mục đích đã dự tính trước. Việc báo cáo cũng liên quan đến những
thông tin công bố ra bên ngoài như báo cáo tài chính, báo cáo đến các
cơ quan chức năng về các lĩnh vực liên quan, báo cáo về thảo luận và
phân tích của ban đều hành cho các cổ đông,…
Các mục tiêu tuân thủ: liên quan đến việc tuân thủ luật pháp, quy định
của Nhà nước và chấp hành các chính sách, thủ tục tại đơn vị. Đơn vị
phải kiểm soát các hoạt động của mình sao cho phù hợp với luật pháp,
quy định của Nhà nước cũng như các chính sách, thủ tục mà đơn vị đặt
ra.
1.1.2.3 Nhận dạng sự kiện tiềm tàng
Sự kiện tiềm tàng là biến cố bắt nguồn từ bên trong hoặc bên ngoài đơn vị ảnh
hưởng đến việc thực hiện mục tiêu của đơn vị. Một sự kiện có thể có ảnh hưởng tích
cực hoặc tiêu cực đến đơn vị và có thể cả hai.
11
Các yếu tố ảnh hưởng: có nhiều yếu tố có thể dẫn đến các sự kiện tác động đến
việc thực hiện mục tiêu của đơn vị. Các yếu tố này có thể xuất phát từ bên trong hoặc
bên ngoài đơn vị, các yếu tố bên ngoài bao gồm:
Môi trường kinh tế: gồm các sự kiện liên quan đến mặt bằng giá cả,
nguồn vốn có thể huy động, chi phí sử dụng vốn, tỷ lệ thất nghiệp, các
đối thủ cạnh tranh mới,…
Môi trường tự nhiên: thiên tai, sự tác động của môi trường đến nhà
xưởng, sự tiếp cận nguồn nguyên liệu thô, di dân giữa các vùng địa lý,
Các yếu tố chính trị: các quy định mới của luật pháp, chính sách thuế,
sự hạn chế của nhà nước đối với các khu vực thị trường,
Các yếu tố xã hội: tình trạng già/trẻ của dân số, phong tục tập quán, cấu
trúc gia đình, ưu tiên nghề nghiệp của dân chúng, các hoạt động khủng
bố,…
Sự tiến bộ của khoa học kỹ thuật: các hình thức thương mại điện tử mới,
sự gia tăng nhu cầu về các dịch vụ kỹ thuật cao,…
Các yếu tố bên trong tác động đến sự kiện tiềm tàng bao gồm:
Cơ sở vật chất: cơ sở vật chất hiện có để liên lạc với các trung tâm của
đơn vị, giảm thiểu thời hạn cung ứng các yếu tố đầu vào, cải thiện sự
hài lòng cho khách hàng,
Nhân sự: tai nạn lao động, gian lận của nhân viên, hiệu lực của hợp
đồng lao động, các hành động làm tổn hại đến tiền bạc và danh tiếng
của đơn vị,…
Các chu trình: sự không phù hợp giữa chu trình công việc và các quy
định của nhà quản lý, các lỗi khi thực hiện các chu trình, thực hiện việc
thuê ngoài khi chưa được xem xét thoả đáng,
Việc áp dụng khoa học kỹ thuật: việc thay đổi máy móc, công nghệ để
đáp ứng về doanh thu, khối lượng; máy móc bị trục trặc, gian lận trong
thực hiện công việc,
Việc xác định được các yếu tố bên trong và bên ngoài tác động đến đơn vị có
tác dụng quan trọng đến việc nhận dạng các sự kiện tiềm tàng. Một khi các yếu tố ảnh
hưởng đã được nhận dạng, nhà quản lý có thể xem xét tầm quan trọng của chúng và
tập trung vào các sự kiện có thể ảnh hưởng đến việc thực hiện các mục tiêu của đơn vị.
12
Ngoài việc nhận diện các sự kiện tiềm tàng ở mức độ toàn đơn vị, sự kiện tiềm
tàng cũng có thể được nhận diện ở mức độ chi tiết cho các hoạt động. Điều này giúp
cho việc đánh giá các rủi ro theo các hoạt động hoặc các chức năng chính, ví dụ đơn vị
phải xem xét các sự kiện tiềm tàng liên quan đến công việc bán hàng, sản xuất, tiếp thị,
ứng dụng công nghệ, nghiên cứu,…
Sự phụ thuộc lẫn nhau giữa các sự kiện: các sự kiện liên quan đến đơn vị
thường không xuất hiện độc lập mà có sự tương tác lẫn nhau. Một sự kiện xuất hiện có
thể tạo ra, tác động đến một sự kiện khác và các sự kiện có thể xuất hiện đồng thời.
Trong việc nhận dạng các sự kiện, đơn vị phải biết được sự liên quan giữa các sự kiện
là như thế nào. Bằng cách đánh giá sự liên quan giữa các sự kiện, đơn vị có thể biết
được nơi nào cần tập trung cần thiết để quản trị rủi ro. Ví dụ, sự thay đổi về lãi suất cơ
bản của ngân hàng Nhà nước sẽ tác động đến tỷ giá hối đoái và do đó tác động đến thu
nhập hoặc tổn thất của các đơn vị kinh doanh ngoại tệ.
Phân biệt cơ hội và rủi ro: sự kiện tiềm tàng nếu xuất hiện sẽ tác động tiêu cực
hoặc tích cực đến đơn vị hoặc tác động cả hai. Nếu sự kiện có tác động tiêu cực, đe
dọa nguy cơ đạt được mục tiêu của đơn vị, thì đòi hỏi đơn vị phải đánh giá rủi ro và
phản ứng với rủi ro. Nếu sự kiện có tác động tích cực đến đơn vị, làm thuận lợi việc
thực hiện mục tiêu của đơn vị hoặc tạo giá trị cho đơn vị, thì phải được xem xét trở lại
đối với các chiến lược đã được xây dựng.
1.1.2.4 Đánh giá rủi ro
Các nhân tố bên trong và bên ngoài có thể tạo ra các sự kiện ảnh hưởng đến
việc thực hiện mục tiêu của đơn vị. Mặc dù một số nhân tố có tính chất chung đặc
trưng cho từng ngành, nhưng sự tác động đối với từng đơn vị củ thể thì hoàn toàn khác
nhau, bởi vì mục tiêu và sự lựa chọn của mỗi đơn vị trong quá khứ của mỗi đơn vị là
không giống nhau. Trong việc đánh giá rủi ro, đơn vị phải xem xét các sự kiện trong
hoàn cảnh và điều kiện cụ thể của riêng đơn vị mình chẳng hạn như: quy mô của đơn
vị, sự phức tạp của các hoạt động, mức độ tác động của các quy định lên các hoạt động
của đơn vị,
Các sự kiện được xem xét bao gồm các sự kiện đã được đơn vị dự tính và các
sự kiện không được dự tính. Các sự kiện đã dự tính bao gồm những sự kiện thường
xuyên lặp đi lặp lại, sự kiện diễn ra hàng ngày hoặc các sự kiện đã được tiên liệu trong
kế hoạch của đơn vị.
Rủi ro tiềm tàng và rủi ro kiểm soát: rủi ro tiềm tàng là rủi ro do thiếu các hoạt
động của đơn vị nhằm thay đổi khả năng hoặc sự tác động của các rủi ro đó. Rủi ro
kiểm soát là rủi ro vẫn còn tồn tại sau khi đơn vị đã phản ứng với rủi ro. Đơn vị cần
13
phải xem xét cả rủi ro tiềm tàng và rủi ro kiểm soát, đầu tiên là xem xét các rủi ro tiềm
tàng, sau đó khi đã có phương án phản ứng với rủi ro tiềm tàng thì tiếp tục xem xét
đến rủi ro kiểm soát.
Ứơc lượng khả năng và ảnh hưởng: các sự kiện tiềm tàng phải được đánh giá
trên hai khía cạnh: khả năng xảy ra và mức độ tác động của nó. Những sự kiện mà khả
năng xuất hiện thấp và tác động ít đến đơn vị thì không cần phải tiếp tục xem xét.
Ngược lại, các sự kiện với khả năng xuất hiện cao và tác động lớn thì cần phải xem xét
kỹ càng. Các sự kiện nằm giữa hai thái cực này đòi hỏi sự đánh giá phức tạp, điều
quan trọng là phải phân tích kỹ lưỡng và hợp lý.
Để đo lường khả năng xuất hiện một sự kiện, có thể dùng các chỉ tiêu định tính
như cao, trung bình, thấp hoặc các cấp độ chi tiết khác. Hoặc có thể dùng chỉ tiêu định
lượng như: tỷ lệ xuất hiện, tần suất xuất hiện,
Đơn vị đo lường tác động của một sự kiện thông thường là cùng hoặc tương tự
với đơn vị đo lường của việc thực hiện mục tiêu để có thể đánh giá được mức độ tác
động của sự kiện đó. Chẳng hạn một đơn vị với mục tiêu là duy trì dịch vụ khác hàng
ở một mức độ nào đó thì đơn vị đo lường mục tiêu này có thể là: chỉ số hài lòng của
khách hàng, số lượng các khách hàng than phiền về dịch vụ,… thì khi đó đơn vị để đo
lường tác động của các rủi ro đối với dịch vụ khách hàng, chẳng hạn thời gian website
của công ty không truy cập được, phải hoàn toàn tương tự.
Sự liên hệ giữa các sự kiện: đối với những sự kiện độc lập với nhau thì đơn vị
đánh giá các sự kiện một cách độc lập. Nhưng nếu có sự liên hệ giữa các sự kiện hoặc
các sự kiện cùng kết hợp lại với nhau sẽ tạo nên những tác động lớn thì đơn vị phải
đánh giá được tác động tổng hợp đó. Bởi vì, một sự kiện riêng lẻ có thể có tác động
nhỏ nhưng sự nhưng sự kết hợp hoặc tác động dây chuyền có thể có ảnh hưởng quan
trọng đến việc thực hiện mục tiêu của đơn vị. Ví dụ, một công ty tham gia vào thị
trường nước ngoài với nhà quản lý mới là người địa phương, chưa hiểu biết về cách
thức đánh giá hoạt động của công ty mẹ, sử dụng hệ thống báo cáo chưa được kiểm tra
sẽ dẫn đến rủi ro về gian lận và sai sót trong báo cáo tài chính.
Khi rủi ro tác động đến nhiều bộ phận, đơn vị kết hợp các rủi ro đó trong danh
sách các sự kiện và xem xét trước hết sự tác động đến từng bộ phận, sau đó xem xét
tác động tổng thể đến toàn đơn vị. Ví dụ, đối với một ngân hàng, rủi ro liên quan đến
lãi suất của ngân hàng trung ương phải được đánh giá không những cho từng hoạt
động của các bộ phận như huy động, cho vay, ngoại tệ, mà còn phải đánh giá sự tác
động tổng thể đó đối với chính ngân hàng đó.
14
Việc lựa chọn các cách thức khác nhau để đánh giá rủi ro tùy thuộc vào bản
chất của sự kiện sẽ xảy ra. Để đánh giá sự tác động riêng lẻ của các sự kiện, đơn vị
thường sử dụng phương pháp sác suất như: thảo luận, phỏng vấn, khảo sát thực tế,…
để định lượng hoặc so sánh khả năng xảy ra của sự kiện và tác động của sự kiện đó.
Đánh giá sự sự tác động tổng hợp của các sự kiện thì phương pháp mô phỏng hoặc
phân tích xu hướng thường hữu ích hơn.
1.1.2.5 Phản ứng với rủi ro
Sau khi đã đánh giá các rủi ro liên quan, đơn vị xác định các cách thức để phản
ứng với các rủi ro đó. Các cách thức để phản ứng với rủi ro bao gồm:
Né tránh rủi ro: không thực hiện các hoạt động mà có rủi ro cao như sản
xuất một mặt hàng mới, giảm doanh số ở một số khu vực của thị trường,
bán bớt một số ngành hàng hoạt động,…
Giảm bớt rủi ro: các hoạt động nhằm làm giảm thiểu khả năng xuất hiện
hoặc mức độ tác động của rủi ro hoặc cả hai. Các hoạt động này liên
quan đến việc điều hành hàng ngày tại đơn vị.
Chuyển giao rủi ro: Làm giảm thiểu khả năng xuất hiện và mức độ tác
động của rủi ro bằng cách chuyển giao hoặc chia sẽ một phần rủi ro.
Các kỹ thuật này bao gồm: mua bảo hiểm cho tổn thất, sử dụng các
công cụ về tài chính để dự phòng cho tổn thất, các hoạt động thuê
ngoài,…
Chấp nhận rủi ro: đơn vị không làm gì cả đối với rủi ro.
Né tránh rủi ro được sử dụng khi các phản ứng khác không thể làm giảm khả
năng xảy ra của sự kiện hoặc tác động của sự kiện đó xuống mức có thể chấp nhận
được. Giảm thiểu rủi ro và chuyển giao rủi ro được sử dụng để làm giảm rủi ro kiểm
soát xuống mức phù hợp với từng mức độ rủi ro bộ phận. Chấp nhận rủi ro khi rủi ro
tiềm tàng của sự kiện trong phạm vi của rủi ro bộ phận.
Khi lựa chọn một phản ứng đối với rủi ro, cần xem xét các vấn đề sau:
Xác định các phản ứng: đối với nhiều loại rủi ro, việc xác định phương
thức phản ứng tương đối dễ dàng. Ví dụ, đối với rủi ro vễ lỗi của hệ
thống máy tính thì phản ứng thông thường là sữa chửa, phục hồi hệ
thống máy tính. Nhưng đối với một số loại rủi ro thì việc lựa chọn phản
ứng không hề dễ dàng, đòi hỏi sự điều tra và phân tích. Ví dụ để xác
định được phản ứng đối với rủi ro từ các hoạt động của đối thủ cạnh
15
tranh tác động đến giá trị của một nhãn hiệu hàng hoá, đòi hỏi đơn vị
phải tiến hành nghiên cứu và phân tích thị trường,…
Ảnh hưởng của phản ứng của đơn vị đến khả năng và tác động của rủi
ro, và phản ứng nào nằm trong phạm vi của rủi ro bộ phận.
Lợi ích và chi phí của từng loại phản ứng
Cơ hội có thể có đối với việc thực hiện mục tiêu chung của đơn vị khi
phản ứng với các rủi ro cụ thể.
Lựa chọn phản ứng: sau khi đã đánh giá các phản ứng khác nhau đối
với rủi ro, đơn vị quyết định phải quản lý rủi ro như thế nào, lựa chọn
phản ứng để đối phó với rủi ro trong phạm vi rủi ro bộ phận, lưu ý rằng
phản ứng được lựa chọn không phải là phản ứng có rủi ro kiểm soát
nhỏ nhất. Tuy nhiên, khi rủi ro kiểm soát vượt ra khỏi giới hạn của rủi
ro bộ phận, đơn vị cần phải xem xét lại phản ứng đã chọn, hoặc trong
một số trường hợp thì đơn vị có thể điều chỉnh lại rủi ro bộ phận đã
được thiết lập trước đây.
Việc lựa chọn phản ứng đòi hỏi đơn vị phải xem xét các rủi ro mới, phát sinh
từ việc áp dụng phản ứng đó. Điều này phát sinh một chu trình kế tiếp và đơn vị phải
xem xét tiếp rủi ro trước khi đưa ra quyết định cuối cùng.
Nhìn nhận hệ thống: hệ thống quản trị rủi ro doanh nghiệp đòi hỏi đơn vị nhìn
nhận rủi ro trên bình diện toàn đơn vị, hay nhìn nhận có tính hệ thống. Để nhìn nhận
rủi ro có tính hệ thống, đòi hỏi đơn vị phải: xem xét rủi ro kiểm soát có phù hợp với
mục tiêu và có nằm trong phạm vi của rủi ro có thể chấp nhận của bộ phận đó hay
không, và kết hợp các rủi ro kiểm soát của các bộ phận lại và xem xét có phù hợp với
rủi ro có thể chấp nhận của toàn đơn vị hay không.
Các rủi ro khác nhau liên quan đến mỗi bộ phận có thể nằm trong phạm vi rủi
ro bộ phận của các bộ phận đó, nhưng khi kết hợp lại với nhau chúng sẽ vượt quá giới
hạn của rủi ro có thể chấp nhận của toàn đơn vị. Trong các trường hợp như vậy, đòi
hỏi đơn vị phải có những phản ứng đối với rủi ro một cách phù hợp nhằm đưa rủi ro
trở về phạm vi có thể chấp nhận.
Nhìn nhận rủi ro một cách hệ thống có thể được diễn tả theo nhiều cách khác
nhau như: kết hợp các sự kiện hoặc rủi ro quan trọng và xem xét sự tác động đến các
bộ phận của đơn vị; xem xét tác động của các rủi ro đơn lẻ đến toàn bộ đơn vị bằng
cách định lượng sự tác động của rủi ro đến việc đạt mục tiêu của đơn vị;… Với cách
16
nhìn nhận định lượng này, đơn vị có những thông tin hữu ích để phân bổ nguồn vốn
hợp lý giữa các bộ phận, và thực hiện các điều chỉnh về chiến lược.
1.1.2.6 Hoạt động kiểm soát
Các hoạt động kiểm soát bao gồm các chính sách và thủ tục được thực hiện
bởi các nhân viên liên quan, nhằm đảm bảo các chính sách, chỉ thị của nhà quản lý về
phản ứng với rủi ro được thực hiện. Các hoạt động kiểm soát có thể được phân loại tùy
thuộc vào mục tiêu của đơn vị mà hoạt động kiểm soát có liên quan như: chiến lược,
hoạt động, báo cáo và tuân thủ.
Theo nội dung thực hiện thì hoạt động kiểm soát được thực hiện tại đơn vị bao
gồm: kiểm soát cấp cao, kiểm soát các hoạt động chức năng, kiểm soát quá trình xử lý
thông tin và nghiệp vụ, kiểm soát vật chất, hoạt động phân tích soát xét lại, phân chia
trách nhiệm.
1.1.2.7 Thông tin và truyền thông
Thông tin và cách thức truyền thông tin là yếu tố không thể thiếu để đơn vị
nhận dạng các sự kiện tiềm tàng, đánh giá và phản ứng với rủi ro. Quản trị rủi ro nhấn
mạnh chất lượng thông tin trong điều kiện sự phát triển mạnh mẽ của khoa học về
công nghệ thông tin hiện nay và nội dung thông tin phải gắn liền với việc quản lý các
rủi ro tại đơn vị. Thông tin được cung cấp cho những người liên quan theo những cách
thức và thời gian thích hợp để họ có thể thực hiện quá trình quản trị rủi ro và những
nhiệm vụ liên quan.
Để thông tin phục vụ cho quá trình quản trị các rủi ro liên quan đến đơn vị,
thông tin cần đạt những yêu cầu sau đây: gắn với quá trình quản trị rủi ro, có thể so
sánh được với mức rủi ro có thể chấp nhận, phát triển hệ thống thông tin tích hợp.
Để làm tăng chất lượng thông tin, đơn vị cần một chương trình quản lý dữ liệu
trên toàn đơn vị, bao gồm các yêu cầu về thông tin, việc duy trì truyền tải thông tin.
Nếu không, hệ thống thông tin sẽ không cung cấp được những gì mà các cấp quản lý
và những người khác cần để thực hiện các chức năng nhiệm vụ liên quan đến quá trình
quản trị rủi ro.
1.1.2.8 Giám sát
Đây là bộ phận cuối cùng của hệ thống quản trị rủi ro doanh nghiệp. Giám sát
là quá trình người quản lý đánh giá vai trò, nhiệm vụ của những người liên quan đến
các yếu tố trong hệ thống quản trị rủi ro trong quá trình thực hiện.