12
Tuyên bố khẩu vị rủi ro

GIỚI THIỆU
Trong một vài năm gần đây, rất nhiều công ty đã phải vật lộn để đáp ứng các
yêu cầu quy định nghiêm ngặt sau cuộc suy thoái kinh tế bằng cách lập kế hoạch
quản trị rủi ro (Enterprise Risk Management - ERM) mới hoặc nghiên cứu, xem xét
lại các kế hoạch hiện có. Tuy nhiên, việc chỉ đơn giản theo thủ quy định là không
đủ. Để ERM tạo ra giá trị, các công ty phải liên tục tích hợp các hoạt động quản trị
rủi ro vào các quy trình kinh doanh hàng ngày ở mọi cấp độ. Một chìa khóa quan
trọng cho việc này là thực hiện chính sách rủi ro toàn diện để thiết lập các chỉ số,
giới hạn và các quá trình quản trị nhằm đảm bảo rủi ro trong toàn doanh nghiệp ở
mức chấp nhận được.
Trọng tâm của một chính sách như vậy là tuyên bố khẩu vị rủi ro (Risk
Appattie Statement – RAS). RAS là một tài liệu ngắn gọn cung cấp một bộ khung
cho ban giám đốc và các nhà quản lý giải quyết các vấn đề cơ bản về chiến lược,
quản lý rủi ro và hoạt động, bao gồm:
• Chiến lược cho toàn bộ công ty và các đơn vị cá nhân là gì? Những giả định
chính nào là nền tảng trong những chiến lược đó?
• Những mức độ rủi ro đáng kể và rủi ro tổng hợp mà tổ chức sẵn sàng chấp
nhận để đạt được mục tiêu kinh doanh của mình? Làm thế nào để thiết lập bộ máy
quản lý và các chính sách quản lý để giám sát và kiểm soát những rủi ro này?


• Công ty đánh giá và định lượng những rủi ro chính như thế nào để có thể
giám sát những rủi ro này theo thời gian? Làm thế nào để nó thiết lập các sai số rủi
ro thích hợp cho mục tiêu kinh doanh, lợi nhuận và cơ hội tăng trưởng, và các yêu
cầu quy định?
• Công ty sẽ thiết lập một quy trình vòng lặp phản hồi ERM như thế nào và
cung cấp báo cáo hiệu quả cho ban giám đốc và quản lý cấp cao?
Các nhà điều hành công ty đều có thể nhận ra sự cần thiết của việc thiết lập

một khẩu vị rủi ro, tuy nhiên theo một nghiên cứu của Hiệp hội quốc gia các thành
viên HĐQT doanh nghiệp (NACD) năm 2013, chỉ có 26% các công ty thực sự làm
điều đó. Trong chương này tôi sẽ đưa ra một loạt các hướng dẫn, thực tiễn nhất và
các ví dụ thực tế để xây dựng và thực hiện một RAS có hiệu quả. Cụ thể, chúng ta
sẽ xem xét các yêu cầu của một RAS; quá trình xây dựng, thực hiện và điều chỉnh
RAS; và các quá trình giám sát và báo cáo sẽ đảm bảo tuân thủ liên tục. Chúng ta sẽ
kết luận bằng ví dụ thực tế về RAS bao gồm các số liệu minh hoạ và mức độ chấp
nhận đối với các rủi ro chính

YÊU CẦU CỦA TUYÊN BỐ KHẨU VỊ RỦI RO
Một chính sách rủi ro tốt nói chung và RAS nói riêng phải đảm bảo các yêu cầu sau:
1. Đây là nhân tố chính của khuông khổ quản lí rủi ro nói chung, cụ thể là quản
trị và các phần chính sách.
2. Phù hợp với chiến lược kinh doanh và biểu hiện bằng mức độ chấp nhận rủi
ro định lượng.
3. Nó tạo ra hiệu quả kinh doanh nhờ được điều chỉnh rủi ro tốt hơn và do đó
nâng cao uy tín của công ty với các cổ đông.
Hình 12.1 Cung cấp cái nhìn tổng quan về các thuộc tính quan trọng này và các mối
liên kết giữa ERM, sự chấp nhận rủi ro, văn hoá rủi ro và danh tiếng.
Tuyên bố khẩu vị rủi ro là một chính sách do hội đồng quản trị chấp thuận xác định
các loại và mức độ rủi ro tổng hợp mà một tổ chức sẵn sàng chấp nhận trong việc


theo đuổi các mục tiêu kinh doanh. Nó bao gồm các báo cáo định tính, các chú
thích, các hướng dẫn cũng như số liệu định lượng và giới hạn. RAS được thực hiện
thông qua khuôn khẩu vị rủi ro, bao gồm quan điểm, chính sách, quy trình, hệ
thống, và công cụ được sử dụng để thiết lập, truyền đạt và theo dõi khẩu vị rủi ro.
Khuôn khổ khẩu vị rủi ro cần kết hợp các yếu tố sau:
Năng lực rủi ro (risk capacity) thể hiện khả năng tổng thể của công ty để đối
phó,tài trợ những tổn thất tiềm tàng. Năng lực rủi ro có thể được đo bằng tiền mặt

và các khoản tương đương tiền để đáp ứng nhu cầu thanh khoản về vốn và dự
phòng để bù đắp các khoản lỗ tiềm ẩn. Các công ty trong ngành công nghiệp có quy
định nghiêm ngặt như ngân hàng có thể xác định năng lực rủi ro của mình một cách
thận trọng bằng một nguồn vốn dành riêng để tài trợ các khoản lỗ tiềm ẩn theo các
tình huống bất lợi. Một vài các công ty khác, chẳng hạn như công ty công nghệ mới
khởi nghiệp, có thể có một định nghĩa hóc búa hơn về năng lực rủi ro, bao gồm vốn
và các nguồn lực có thể bị mất đến một điểm bị mất khả năng thanh toán trong một
khoảng thời gian tương đối ngắn (ví dụ, cho đến đợt tài trợ tiếp theo). Có rất nhiều
cách tính toán năng lực rủi ro, tuy nhiên bản chất là chúng đại diện cho sự mất mát
tối đa mà một công ty có thể (không chỉ đơn giản là hiện có) tiếp nhận. Năng lực rủi
ro cũng nên tính đến kỹ năng, công cụ và thành tích hoạt động của tổ chức trong
việc quản lý rủi ro. Xem xét hai công ty có hồ sơ rủi ro và mức vốn tương tự: Công
ty quản trị rủi ro hiệu quả hơn sẽ có năng lực rủi ro cao hơn.
Hồ sơ rủi ro (risk profile) là một cái nhìn sơ qua về danh mục rủi ro của tổ
chức tại một thời điểm cụ thể (quá khứ, hiện tại hoặc tương lai). Điều cốt yếu đối
với hồ sơ rủi ro là phải phù hợp với mô hình kinh doanh và chiến lược của tổ chức.
Ví dụ, một công ty có thể chọn trở thành một nhà cung cấp chi phí thấp, trong đó rủi
ro của nó được định hướng bởi lợi nhuận cận biên thấp (ví dụ, quyền định giá yếu)
và các rủi ro hoạt động (ví dụ kiểm soát chi phí, quản lý chuỗi cung ứng và kinh tế
theo quy mô). Ngược lại, một công ty khác có thể chọn để trở thành một nhà cung
cấp dịch vụ giá trị gia tăng chất lượng cao, nơi có rủi ro cao do rủi ro chiến lược và
uy tín (ví dụ: đổi mới sản phẩm và sự khác biệt, trải nghiệm của khách hàng và


quản lý thương hiệu) . Mức độ rủi ro hiện tại của một tổ chức được xác định bởi tất
cả các rủi ro tiềm ẩn trong hoạt động kinh doanh, trong khi hồ sơ rủi ro dự kiến
hoặc mục tiêu cũng bao gồm các giả định về kế hoạch kinh doanh.
Lợi suất đã được điều chỉnh theo rủi ro (risk-adjusted return) cung cấp cơ
sở để xác định mức độ rủi ro mà một doanh nghiệp sẵn sàng chấp nhận. Trên thực
tế, một doanh nghiệp không nên chấp nhận bất kỳ rủi ro nào nếu không được lợi

nhuận tương thích. Ngược lại, nếu thị trường cung cấp lợi nhuận cao hơn dự kiến
thì doanh nghiệp nên sẵn sàng tăng mức độ chấp nhận rủi ro (trong khi vẫn xem xét
năng lực rủi ro của nó như đã thảo luận ở trên). Khi bắt đầu giao dịch kinh doanh,
người khởi tạo rủi ro phải thiết lập một mức giá điều chỉnh rủi ro thích hợp, kết hợp
đầy đủ chi phí sản xuất và giao hàng cũng như chi phí của rủi ro (nghĩa là tổn thất
dự kiến, tổn thất bất ngờ hoặc chi phí vốn kinh tế; bảo hiểm và chi phí bảo hiểm rủi
ro và chi phí hành chính).. Ngoài việc định giá, các tổ chức sử dụng nhiều công cụ
khác nhau như: Giá trị kinh tế tăng thêm của doanh nghiệp (EVA), vốn rủi ro (EC),
và lợi tức được điều chỉnh bởi rủi ro (RAROC) - để đánh giá lợi nhuận được điều
chỉnh theo rủi ro, đánh giá đầu tư và mua lại cơ hội, và phân bổ vốn và các nguồn
lực doanh nghiệp khác. Điều quan trọng là các công cụ này phải xác định chính xác
rủi ro.
Khẩu vị rủi ro (risk appatite) thể hiện các loại và mức độ rủi ro tổng hợp mà
một doanh nghiệp sẵn sàng chấp nhận để chủ động theo đuổi các mục tiêu chiến
lược của họ. Nó phải nằm trong phạm vi rộng hơn về năng lực rủi ro và, trong
trường hợp tốt nhất có thể, sẽ phù hợp với hồ sơ rủi ro hiện tại của tổ chức. Khẩu vị
rủi ro cao sẽ dùng một phần lớn về năng lực rủi ro, trong khi khẩu vị rủi ro thấp sẽ
dùng một phần nhỏ hơn, do đó tạo ra ít áp lực hơn và giảm đi những nhược điểm về
vốn và nguồn lực của doanh nghiệp. Hồ sơ rủi ro của một doanh nghiệp nên tiệm
cận với mức độ chấp nhận rủi ro của nó. Tuy nhiên, trên thực tế, rất khó để các
doanh nghiệp hiểu rõ về rủi ro của họ, có thể bị che dấu bởi các đánh giá rủi ro được
tạo ra trong nội bộ doanh nghiệp, các mối tương quan chưa được hiểu rõ, và phân
tích không đầy đủ thu nhập và động lực giá trị. Nhận được sự hiểu biết đầy đủ về


rủi ro của công ty - và sau đó là sự chấp nhận rủi ro - là điều làm cho RAS có giá trị
đặc biệt.
Mức độ chấp nhận (risk tolerance) rủi ro thường được sử dụng như là một
khái niệm gần giống với khẩu vị rủi ro, nhưng trong thực tế, nó rất khác biệt và
đóng một vai trò quan trọng trong tuyên bố khẩu vị rủi ro. Mức độ chấp nhận rủi ro

là ngưỡng định lượng phân bổ mức độ chấp nhận rủi ro của tổ chức đối với các loại
rủi ro cụ thể, đơn vị kinh doanh, phân khúc sản phẩm và khách hàng và các cấp độ
khác. Một số mức độ chấp nhận rủi ro là giới hạn về chính sách không nên vượt quá
ngoại trừ các trường hợp bất thường (giới hạn cứng). Mức độ chấp nhận rủi ro là
các thông số trong đó một công ty (hoặc đơn vị kinh doanh hoặc tổ chức) phải hoạt
động để đạt được mức độ chấp nhận rủi ro của nó. Sau khi thiết lập, các thông số
này được thông báo xuống dưới thông qua tổ chức để đưa ra các hướng dẫn rõ ràng
cho các giám đốc điều hành và quản lý cũng như cung cấp phản hồi khi chúng vượt
quá. Vì lý do này nên luôn xác định mức độ chấp nhận rủi ro bằng cách sử dụng các
chỉ số phù hợp với cách đo lường hiệu quả kinh doanh (nghĩa là các chỉ số rủi ro
chính cần liên quan chặt chẽ đến các chỉ số hoạt động chính).
Xác định được mức độ chấp nhận rủi ro là yêu cầu cần thiết cho sự thành công
của việc xây dựng một khuôn khổ RAS, tuy nhiên đây cũng là một trong những
thách thức lớn đối với doanh nghiệp. Có nhiều cách để xác định mức độ chấp nhận
rủi ro, mỗi doanh nghiệp sẽ quyết định xem phương thức tốt nhất với bản thân họ.
Bảng 12.1 cung cấp một số cách tiếp cận mà một tổ chức có thể thực hiện để xác
định mức độ chấp nhận rủi ro. Xin lưu ý rằng những cách tiếp cận này không loại
trừ lẫn nhau. Đôi khi, việc phối hợp nhiều cách tiệp cận là lại mang tới hiệu quả tốt
nhất. Chẳng hạn, ban đầu người ta có thể thiết lập mức độ chấp nhận rủi ro bằng
cách sử dụng phân tích thống kê (quan sát mức độ tin cậy 95%) và sau đó điều
chỉnh nó lên hoặc xuống theo sự đánh giá của ban giám đốc.


BẢNG 12.1 Cách tiếp cận để thiết lập mức độ chấp nhận rủi ro
1. Đánh giá của ban giám đốc và HĐQT
2. Tỷ lệ phần trăm thu nhập hoặc vốn cổ phần
3. Các yêu cầu về quy định hoặc tiêu chuẩn ngành
4. Tác động đến việc đạt được các mục tiêu kinh doanh
5. Các yêu cầu hoặc kỳ vọng của các bên liên quan
6. Thống kê (dựa trên dữ liệu lịch sử)

7. Mô hình theo định hướng
Ngoài mục đích chính của RAS là thiết lập các hạn chế về rủi ro nhưng nó
cũng cung cấp các lợi ích quan trọng khác, bao gồm:
• Phát triển một sự hiểu biết chung và phương thức để thảo luận về rủi ro ở cấp
độ quản trị, ban lãnh đạo và kinh doanh.
• Đẩy mạnh nhận thức về rủi ro và thực thi văn hoá rủi ro mong muốn trong
doanh nghiệp.
• Điều chỉnh chiến lược kinh doanh với quản lý rủi ro để cung cấp sự cân bằng
giữa hiệu suất tài chính và các yêu cầu kiểm soát rủi ro.
• Định lượng, giám sát và báo cáo các rủi ro để đảm bảo rằng chúng nằm trong
các mức chấp nhận được và có thể quản lý được.
• Gắn đánh giá rủi ro và phân tích rủi ro/lợi suất vào các quyết định chiến lược,
kinh doanh và hoạt động.
• Tích hợp khẩu vị rủi ro với các công cụ ERM khác, bao gồm kiểm soát rủi ro
(RCSAs), chỉ số hiệu suất (KPIs) và các chỉ số rủi ro chính (KRIS)…
• Đáp ứng nhu cầu của các cổ đông (ví dụ: cơ quan quản lý, đấu thầu, cơ quan
xếp hạng và đối tác kinh doanh) để minh bạch rủi ro; an toàn và chính xác; và sự
bền vững về môi trường kinh doanh và xã hội.


XÂY DỰNG TUYÊN BỐ KHẨU VỊ RỦI RO
Việc xây dựng RAS là phần quan trọng đầu tiên của việc triển khai kế hoạch
ERM. Nó cung cấp các lợi ích chiến lược, vận hành và quản lý rủi ro đáng kể vì nó
cho phép ban hành dựa trên rủi ro quyết định từ ban giám đốc; quản lý điều hành;
kiểm soát rủi ro và các chức năng giám sát (rủi ro, tuân thủ và kiểm toán nội bộ); và
các đơn vị kinh doanh và điều hành. Yêu cầu thực hiện đối với RAS phụ thuộc vào
quy mô và tính phức tạp của tổ chức; môi trường kinh doanh và quản lý mà nó hoạt
động; và sự trưởng thành của chương trình ERM. Những điều sau đây cung cấp một
số hướng dẫn chung để phát triển RAS và để điều chỉnh nó một cách liên tục.
Bước 1: Tham khảo các quy định chung và dự đoán, kì vọng

RAS cung cấp cách tiếp cận có hệ thống và toàn diện để kiểm soát rủi ro và
mức độ tập trung. Xem xét các ví dụ sau đây từ ngành dịch vụ tài chính:
• Ủy ban chứng khoán và sàn giao dịch Mỹ (SEC): SEC đã ban hành một
báo cáo vào tháng 12 năm 2010 để đánh giá cách các tổ chức tài chính đã tiến
bộ trong việc phát triển các khuôn khổ khẩu vị rủi ro, bao gồm cơ sở hạ tầng
CNTT và khả năng tập hợp dữ liệu.
• Cục Dự trữ Liên bang Mỹ (FED): Khung giám sát hợp nhất của FED dành
cho các Tổ chức Tài chính lớn, được đưa ra trong năm 2012, chỉ đạo rằng mỗi
hội đồng quản trị của công ty, với sự hỗ trợ từ ban quản lý cấp cao, cần "duy
trì một chiến lược rõ ràng về doanh nghiệp và sự chấp nhận rủi ro".
• Ủy ban ổn định tài chính (FSB): Vào tháng 11 năm 2013, FSB đã bổ sung
các hướng dẫn,quy định về ERM và khung RAS. Các hướng dẫn và quy định


này bao gồm các thuật ngữ và định nghĩa chính, và các yêu cầu về quy định
quan trọng được ban hành cho hội đồng quản trị.
• Văn phòng kiểm soát tiền tệ của Hoa Kỳ (OCC): Vào năm 2014, OCC
đưa ra các hướng dẫn cho các tổ chức tài chính bao gồm "một văn bản đầy đủ
tuyên bố về sự chấp nhận rủi ro của ngân hàng, nó là cơ sở cho khuôn khổ
quản trị rủi ro."
Mặc dù đối tượng mà các quy định này tập trung hướng tới là các ngân hàng,
công ty bảo hiểm và các tổ chức tài chính khác, tuy nhiên các doanh nghiệp trong
các ngành công nghiệp khác có thể tuân theo các tiêu chuẩn và hướng dẫn mà họ
cung cấp.
Bước 2: Truyền thông các lợi ích của RAS
Quản lý cấp cao phải đặt các chiến dịch truyền thông và truyền đạt vai trò
quan trọng mà RAS đóng góp trong quy trình quản trị rủi ro. Hoạt động truyền
thông này nên đến từ Giám đốc điều hành, Giám đốc tài chính, Giám đốc rủi ro, và
các nhà lãnh đạo kinh doanh cấp cao khác và được hướng đến các khối nội bộ
doanh nghiệp, bao gồm cả các cổ đông có liên quan. Hoạt động này có thể diễn ra

trong các cuộc họp hội trường, hội thảo, bản ghi nhớ công ty, hoặc e-mail. Cần nêu
rõ sự hỗ trợ của hội đồng quản trị và các nhà lãnh đạo doanh nghiệp và cung cấp
các bước thực hiện, lợi ích dự kiến, yêu cầu về quy định, tiêu chuẩn ngành và các
ứng dụng kinh doanh của RAS cho các bên liên quan chủ chốt. Ngoài ra, các bên
liên quan nội bộ chịu trách nhiệm xây dựng và thực hiện khuôn khổ RAS cần được
đào tạo phù hợp.
Bước 3: Tổ chức một chuỗi các workshops để xây dựng, phát triển RAS
Doanh nghiệp cần tiến hành việc truyền thông và đào tạo phù hợp, sẵn sàng để
phát triển RAS. Nhà điều hành RAS (ví dụ như CRO hoặc CFO) cần tổ chức một


chuỗi các cuộc hội thảo để phát triển các thước đo mức độ chấp nhận rủi ro cho các
đơn vị doanhn nghiệp của họ, trong khi CEO và thành viên ban điều hành chính
phát triển mục tiêu tổng thể cho doanh nghiệp. Mục đích của các cuộc hội thảo này
là phát triển RAS với sự tham gia từ toàn thể doanh nghiệp, bằng cách giải quyết
các câu hỏi sau:
• Chiến lược kinh doanh: Các chiến lược và mục tiêu kinh doanh cho từng
đơn vị kinh doanh hoặc chức năng là gì? Những giả định chính nào làm cơ sở
cho những chiến lược này?
• Chỉ số hiệu suất: Các chỉ số KPI xác định số lượng thành công của các mục
tiêu kinh doanh hoặc quy trình này là gì? Các mục tiêu hiệu suất hoặc kích
hoạt cho các KPI này là gì?
• Đánh giá rủi ro: những rủi ro chính nào có thể dẫn đến sự thay đổi trong
hiệu suất thực tế so với dự kiến?
Các hội thảo này có thể diễn ra trong một vài tháng. Đến đích cuối cùng, nhà
điều hành doanh nghiệp sẽ đánh giá chất lượng của các thước đo mức độ chấp nhận
rủi ro. Mục tiêu chính của các cuộc hội thảo này là phát triển một bộ KPIs và KRIs
cơ bản với các mục tiêu về hiệu quả hoạt động và các mức chấp nhận rủi ro tương
ứng.
Bước 4: Xây dựng một RAS nguyên mẫu

Dựa trên các kết quả ở bước 3, doanh nghiệp xây dựng một RAS nguyên mẫu,
bảng điều khiển các báo các và một vòng lặp phản hồi từ các bộ phận.
Bước 5: Phê duyệt bởi ban điều hành
Ở giai đoạn này, RAS đã sẵn sàng để xem xét. Ban điều hành nên dành một
khoảng thời gian để thảo luận và kiểm tra RAS một cách triệt để. Điều này có thể
dẫn đến những thay đổi trong báo cáo, khẩu vị rủi ro, và mức chấp nhận rủi ro. Một
khi điều này hoàn thành, ban điều hành hoặc ban ERM sẽ phê duyệt cuối cùng.


Bước 6: Phê duyệt bởi hội đồng quản trị
RAS tiếp theo sẽ được xem xét bởi toàn bộ hội đồng quản trị, sẽ tiếp tục thảo
luận và đánh giá nó. Mục tiêu quan trọng trong bước này là thiết lập một tập hợp
các chỉ số về khẩu vị rủi ro và mức độ chấp nhận rủi ro phù hợp với việc giám sát
và báo cáo ở cấp độ hội đồng quản trị. Sự chấp thuận cuối cùng có thể đến từ ban
quản lý rủi ro, ủy ban kiểm toán, hoặc toàn bộ hội đồng quản trị. Hội đồng quản trị
toàn bộ nên xem xét RAS trong bối cảnh chiến lược tổng thể của công ty.

Bước 7: Truyền tải RAS, bao gồm cả vai trò và trách nhiệm
Sau khi ban quản lý và ban chấp thuận RAS, ban quản lý phải thông báo nó
cho tất cả nhân viên, điều này là bởi vì tất cả mọi người đóng vai trò quản lý rủi ro
và phải hiểu được khẩu vị rủi ro và giới hạn rủi ro của doanh nghiệp.
Bước 8: Xem xét và cập nhật các kế hoạch kinh doanh hiện tại và các chính
sách về rủi ro
Hoàn hảo nhất là RAS sẽ liên kết chặt chẽ với việc phát triển các kế hoạch kinh
doanh và các chính sách về rủi ro. Thế giới kinh doanh luôn năng động và dễ thay
đổi, và RAS phải đáp ứng được những thay đổi đáng kể trong môi trường cạnh
tranh. RAS, kế hoạch kinh doanh và các chính sách về rủi ro phải là những "tài liệu
sống" thường xuyên được xem xét và cập nhật với những thay đổi quan trọng trong
môi trường kinh doanh của tổ chức.
Bước 9: Cung cấp giám sát và báo cáo

Để ban quản trị và ban điều hành quản lý hiệu quả và giám sát khuôn khổ
RAS, bao gồm các rủi ro rủi ro chính và mức độ tổ chức, ban ERM phải lập báo cáo


bảng điều khiển rủi ro và các quá trình giám sát. (Xem "Theo dõi và Báo cáo" dưới
đây để xem ví dụ về báo cáo bảng điều khiển RAS.)
Bước 10: Cung cấp đánh giá thường kì và liên tục cải tiến
Các đánh giá này bao gồm các thay đổi đề xuất đối với khung RAS và mức độ
chấp nhận rủi ro, phù hợp với kế hoạch kinh doanh và các chính sách về rủi ro, và
phê duyệt của ban quản lý và ban quản lý.
Hơn nữa, tổ chức nên tìm kiếm cơ hội để cải tiến khuôn khổ RAS trên cơ sở
liên tục. Những cải tiến này có thể bao gồm các mô hình vốn kinh tế, kiểm tra và
phân tích kịch bản, các giải pháp công nghệ và công cụ báo cáo, phạm vi rộng hơn
về rủi ro, các kế hoạch quản lý ngoại lệ và hội nhập vào các quyết định chiến lược
và kinh doanh.

VAI TRÒ VÀ TRÁCH NHIỆM
Quá trình xây dựng, thực hiện và thay đổi một toàn diện một khung khẩu vị rủi
ro cần có sự tham gia bên liên quan chính từ mọi cấp độ của tổ chức, doanh nghiêp.
Hình 12.3 cung cấp một bản tóm tắt về vai trò và trách nhiệm chính của các đơn vị
kinh doanh, quản lý điều hành và hội đồng quản trị. Bản thân RAS cần ghi lại các
vai trò và trách nhiệm cụ thể để thực hiện chính sách rủi ro, bao gồm báo cáo và các
quy trình quản lý.
Mô hình "ba lớp phòng thủ" được mô tả trong Chương 8 cung cấp một cái
nhìn để xem cấu trúc quản lý rủi ro và vai trò được xác định trong RAS:
1. Tuyến phòng thủ đầu tiên khối kinh doanh, có trách nhiệm cuối cùng về
việc quản lý và quản lý các rủi ro tiềm ẩn trong lĩnh vực kinh doanh của họ (tức là
các trung tâm lợi nhuận) hoặc các đơn vị chức năng (nghĩa là các chức năng hỗ trợ
như nhân sự hoặc CNTT). Trong thực tế, họ là những "risk owners". Các đơn vị
kinh doanh đại diện cho hàng phòng ngự đầu tiên vì họ gần gũi nhất với các hoạt



động chấp nhận rủi ro và giảm nhẹ rủi ro. Họ cũng có kiến thức và kinh nghiệm trực
tiếp trong việc quản lý các rủi ro mà họ phải đối mặt, bao gồm cả những tác động
kinh doanh tiềm ẩn.
Là những người tham gia tích cực trong các cuộc hội thảo nhỏ đã thảo luận
trước đây ở Bước 3, các nhà lãnh đạo doanh nghiệp và các phòng ban cũng chịu
trách nhiệm xác định chiến lược của mình và sắp xếp chúng với mức độ chấp nhận
rủi ro và tỉ lệ chấp nhận thích hợp. Khi RAS được thành lập, họ phải báo cáo chính
sách cho CRO và / hoặc quản lý điều hành. Các đơn vị kinh doanh chịu trách nhiệm
cho hoạt động kinh doanh và hoạt động của họ tốt như thế nào đối với rủi ro đối với
các hoạt động kinh doanh được thiết lập trong RAS.
2. Tuyến phòng vệ thứ hai gồm các chức năng kiểm soát và giám sát được
ban điều hành thiết lập, nhằm đảm bảo việc tuân thủ và hiệu quả của các quy trình
và hoạt động như: kiếm soát tài chính, đảm bảo an ninh, quản lý rủi ro, quản lý chất
lượng, thanh tra, tuân thủ…Theo từng quy mô, điều kiện, mức độ phức tạp của hoạt
động kinh doanh, khẩu vị rủi ro của đơn vị để đưa ra các quyết định về các chỉ tiêu
tài chính, an ninh, chất lượng. Tuyến này cũng sẽ thuộc về chức năng điều hành
( Ban Giám đốc).
3. Tuyến phòng vệ thứ ba là kiểm toán nội bộ. Kiểm toán nội bộ đảm bảo sự
hiệu quả của quản trị, quản lý rủi ro và kiểm soát nội bộ, bao gồm cả việc đánh giá
một cách độc lập cách thức mà hai tuyến phòng thủ đầu tiên thực hiện mục tiêu
quản lý rủi ro và kiểm soát. Đây là phòng tuyến cuối cùng của doanh nghiệp và sẽ
báo cáo trực tiếp lên HĐQT về các vấn đề phát sinh trước khi các cơ quan bên ngoài
( kiểm toán độc lập, các cơ quan quản lý nhà nước) phát hiện các vấn đề.
Hội đồng quản trị chịu trách nhiệm cuối cùng đảm bảo rằng một chương trình
ERM hiệu quả được đưa ra, bao gồm khung RAS vững chắc. Để hoàn thành trách
nhiệm ủy thác quan trọng này, hội đồng quản trị phải nhận được báo cáo rủi ro kịp
thời, súc tích và hiệu quả từ ban quản lý, thường là dưới dạng bảng điều khiển RAS.



Bảng điều khiển này sẽ làm nổi bật bất kỳ chỉ số rủi ro nào nằm ngoài phạm vi cho
phép của nó (ví dụ bằng cách hiển thị nó trong "vùng màu đỏ") và bao gồm bình
luận giải thích nguyên nhân gây ra cùng với kế hoạch và khung thời gian của quản
lý để khắc phục. Chúng tôi sẽ giới thiệu đầy đủ hơn đến bảng điều khiển RAS bên
dưới, với nghiên cứu hoàn chỉnh để làm theo trong Chương 19.

GIÁM SÁT VÀ BÁO CÁO
Thông số và khoản thời gian cho việc theo dõi RAS sẽ khác nhau dựa trên mô
hình kinh doanh, chức năng và cấp độ doanh nghiệp. Ví dụ: bộ phận IT có thể giám
sát các số liệu và cảnh báo về rủi ro chiến thuật trên cơ sở thời gian thực trong trung
tâm dữ liệu, nơi các số liệu về hiệu suất và rủi ro được hiển thị trên nhiều màn hình
tương tác. Một đơn vị kinh doanh và bộ phận ERM có thể giám sát các chỉ số kinh
doanh và rủi ro chính hàng tuần, với các cuộc đánh giá hàng tháng hoặc hàng quý.
Ban điều hành và ban giám đốc sẽ theo dõi RAS dựa trên kế hoạch của ủy ban.
Một quy trình báo cáo và giám sát RAS hiệu quả phải được cấu trúc để tạo ra
các báo cáo nhất quán ở các cấp khác nhau của doanh nghiệp. Lưu ý rằng số lượng
và loại số liệu có thể sẽ khác nhau với đối tượng mục tiêu. Hình 12.4 cung cấp một
ví dụ minh hoạ về cấu trúc báo cáo của RAS. Báo cáo được tổ chức thành năm loại
rủi ro chính: Chiến lược kinh doanh, tài chính, hoạt động và danh uy tín. Mỗi loại
rủi ro có một tập hợp các chỉ số rủi ro được chỉ định bằng các giới hạn hoặc hướng
dẫn cho khẩu vị rủi ro đó. Trong ví dụ này, các số liệu này được theo dõi trong bốn
quý trước đó.
Hình 12.5 minh hoạ báo cáo bảng điều khiển RAS với các chỉ số cụ thể và
mức độ chấp nhận đối với từng loại rủi ro chính. Điều quan trọng cần lưu ý là RAS
chỉ để nắm bắt những rủi ro quan trọng nhất. Nếu không, nó sẽ rất khó sử dụng để
có hiệu quả. Bằng cách xác định được các chỉ số rủi ro hữu ích nhất, RAS hướng tới
cung cấp một cái nhìn tổng thể, toàn diện về hồ sơ rủi ro của công ty. Ví dụ, cần xác
định các chỉ số rủi ro chính (KRIS) có liên quan đến các động lực chính của ngắn



hạn và hiệu suất dài hạn. Những chỉ số rủi ro chính này có thể cảnh báo sự quản lý
đối với những kết quả kinh doanh không thể chấp nhận được và có biện pháp khắc
phục.
Một số loại đo lường rủi ro nhất định hiển nhiên sẽ có trong bất kì doanh
nghiệp, trong khi các loại khác lại chỉ xảy ra duy nhất cho các đơn vị kinh doanh và
hoạt động cụ thể nhất định. Vì báo cáo của RAS và ban điều hành quản lý tập trung
vào các rủi ro chiến lược và rủi ro trong toàn doanh nghiệp, họ nên tập trung vào
các chỉ số rủi ro tổng hợp, như:
• Thu nhập, bao gồm thu nhập có rủi ro và thu nhập ngoài mong đợi
• Giá trị, bao gồm giá trị gia tăng của cổ đông và tỷ lệ thị trường / sổ sách.
• Tổn thất, chẳng hạn như tổn thất thực tế, tỷ lệ tổn thất về doanh thu, tổn thất
hoặc tổn thất theo dự báo.
• Dòng tiền mặt, chẳng hạn như tỷ lệ lưu chuyển tiền mặt và rủi ro thanh
khoản.
• Rủi ro tài chính, bao gồm rủi ro thị trường tổng hợp và rủi ro tín dụng / đối
tác.
• Số sự cố, chẳng hạn như ngoại lệ về chính sách, các cuộc tấn công trên mạng
có ảnh hưởng kinh doanh của bạn hàng, và các vấn đề về luật pháp và quy định.
• Các số liệu quan trọng của các bên liên quan, chẳng hạn như duy trì các
nhân viên có trình độ cao hoặc mức độ cam kết và sự hài lòng của khách hàng.
Cuối cùng, RAS phải cung cấp một "tiếng nói chung" cho chương trình ERM.
Điều này sẽ bao gồm các thuật ngữ có liên quan cũng như từ điển dữ liệu mô tả
từng chỉ số rủi ro, cách tính toán, dữ liệu cơ bản được tạo ra và lý do nó được bao
gồm.

VÍ DỤ VỀ KHẨU VỊ RỦI RO VÀ CÁC CHỈ SỐ ĐO LƯỜNG


Các phần sau đây cung cấp các ví dụ về các báo cáo khẩu vị rủi ro, hiệu quả

hoạt động và các chỉ số rủi ro và mức độ chấp nhận rủi ro đối với các loại rủi ro sau
đây: rủi ro toàn bộ doanh nghiệp, rủi ro chiến lược, rủi ro tài chính, rủi ro hoạt động,
rủi ro pháp lý và rủi ro về uy tín. Để ngắn gọn, mỗi báo cáo khẩu vị rủi ro bao gồn
một hoặc hai ví dụ về số liệu và mức độ chấp nhận rủi ro. Trên thực tế, có thể có rất
nhiều chỉ số rủi ro và mức độ chấp nhận rủi ro cho mỗi báo cáo mức độ rủi ro.

Quản lý rủi ro toàn doanh nghiệp
Mục tiêu của chương trình ERM của chúng tôi là tối thiểu các mất mát không
lường trước về lợi nhuận và tối đa hoá giá trị của cổ đông. Các báo cáo, số liệu và
mức độ chấp nhận rủi ro sau đây hỗ trợ cho việc này:
Mục tiêu kinh doanh: Chúng tôi sẽ tích hợp chương trình ERM vào quá trình
ra quyết định kinh doanh của chúng tôi và thiết kế các chiến lược quản lý rủi ro
và tăng cường khả năng đạt được các mục tiêu kinh doanh của chúng tôi. Đo
lường: Bất kỳ sự thiếu hụt giữa thực tế và dự kiến thực hiện các mục tiêu chiến
lược hàng đầu của chúng tôi phải nhỏ hơn 10%.
Xếp hạng tín nhiệm: Chúng tôi sẽ duy trì mức độ đầy đủ về vốn và nợ của
chúng tôi để đạt được xếp loại xếp hạng đầu tư từ tất cả các cơ quan xếp hạng
chính. Hơn nữa, chúng tôi sẽ duy trì nguồn dự trữ dư và dự phòng thanh khoản
để hỗ trợ tăng trưởng trong tương lai và chống lại những bất ổn kinh tế. Đo
lường: Xếp hạng của các cơ quan xếp hạng lớn ở mức tối thiểu là BBB; thặng
dư vốn và thanh khoản sẽ vượt 15% tổng yêu cầu.
ERM: Chúng tôi sẽ tiếp tục phát triển các khả năng ERM của chúng tôi để
đảm bảo rằng chương trình của chúng tôi vẫn doạt động tốt nhất. Dựa trên quy
mô và sự phức tạp của hoạt động kinh doanh của chúng tôi, chúng tôi sẽ đạt được
đánh giá "ERM xuất sắc" từ các bên thứ ba độc lập trong vòng ba năm. Đo


lường: Việc hoàn thành nhiệm vụ trong lộ trình ERM ba năm và các mục tiêu
mang tính cột mốc đạt ít nhất 90% trong báo cáo theo dõi hàng tháng.
Văn hoá rủi ro: Tất cả nhân viên được kì vọng sẽ hiểu được những rủi ro liên

quan đến hoạt động kinh doanh mà họ tham gia. Mỗi nhân viên đều chịu trách
nhiệm về hoạt động trong tiêu chuẩn và mức chấp nhận rủi ro. Số liệu: Các báo
cáo về văn hóa rủi ro hàng năm sẽ vượt quá các mức mục tiêu xác định.
Quản lý rủi ro chiến lược
Chúng tôi cố gắng đa dạng hoá danh mục đầu tư kinh doanh của mình để giảm
bớt rủi ro đối với những thay đổi về kinh tế vĩ mô. Các đơn vị kinh doanh của chúng
tôi sẽ chỉ theo đuổi các cơ hội đầu tư và các giao dịch kinh doanh phù hợp với chiến
lược tổng thể của công ty và năng lực cốt lõi được xác định của chúng tôi. Chúng
tôi sẽ tập trung nỗ lực marketing và các sáng kiến công nghệ để nâng cao trải
nghiệm của khách hàng.
Đa dạng hóa doanh nghiệp: Các chiến lược phát triển (tăng trưởng tự nhiên
và hoạt động M&A) của chúng tôi sẽ được xây dựng để tạo ra giá trị kinh tế và
đa dạng hóa lợi ích. Đo lường: Lợi ích đa dạng hóa lớn hơn 30%
Trải nghiệm khách hàng: Chúng tôi cố gắng cung cấp trải nghiệm khách
hàng cao cấp cả trực tuyến và trong các trung tâm dịch vụ. Đo lường: Sự hài
lòng của khách hàng vượt mức 80% ở cả hai kênh.
Khả năng sinh lợi được điều chỉnh theo rủi ro: Chúng ta sẽ đạt được lợi
nhuận trên vốn đã được điều chỉnh rủi ro (RAROC) cao hơn chi phí vốn cổ phần
(Ke) của chúng tôi, tạo ra lợi nhuận kinh tế tích cực cho tổng thể kinh doanh và
cổ đông của chúng tôi. Đo lường: lợi nhuận trên vốn đã được điều chỉnh rủi ro
hơn chi phí vốn cổ phần ít nhất 2%.


Quản lý rủi ro tài chính
Chúng tôi chấp nhận những rủi ro tài chính để hỗ trợ cho hoạt động kinh
doanh cốt lõi của chúng tôi. Chúng tôi không thể dự đoán xu hướng của thị trường
tài chính và do đó cũng không thể đầu cơ vào thị trường để tạo ra thu nhập. Chúng
tôi duy trì vị thế thanh khoản của mình một cách thận trọng, đảm bảo cho điều kiện
kinh doanh ổn định trong cả hai trường hợp: tiến triển hoặc suy thoái.
Rủi ro lãi suất: Bộ phận tiền tệ của chúng tôi nhằm mục đích quản lý rủi ro

lãi suất trong giới hạn do hội đồng quản trị chấp thuận. Đo lường: Tác động tối
đa đối với thu nhập khi thay lãi suất theo tỷ lệ là 7%.
Rủi ro tín dụng: Các hoạt động cho vay của chúng tôi dựa trên các tiêu chuẩn
thanh toán khắt khe và nguyên tắc "hiểu rõ khách hàng". Đo lường: Lượng tín
dụng bị lỗ sẽ ít hơn 1% số dư nợ trung bình.
Rủi ro thanh khoản: Chúng tôi quản lý vị thế thanh khoản của mình để đảm
bảo rằng chúng tôi có thể đáp ứng các nghĩa vụ về tiền mặt ngay cả trong các
cuộc kiểm tra về tính thanh khoản. Đo lường: Duy trì tỷ lệ bao phủ thanh khoản
ít nhất 200% theo kịch bản dự tình và ít nhất 110% tùy theo kịch bản xảy ra.
Quản lý rủi ro hoạt động
Chúng tôi thiết lập và kiểm tra hệ thống kiểm soát nội bộ để ngăn ngừa, phát
hiện và giảm thiểu rủi ro hoạt động. Mỗi đơn vị kinh doanh đều phải xác định và
đánh giá rủi ro hoạt động và đảm bảo rằng chúng được đo lường và quản lý có hiệu
quả.
Quản lý nhân sự: Chúng tôi cố gắng thiết lập và duy trì một lực lượng lao
động tài năng, đặc biệt là thông qua việc phát triển chuyên môn và duy trì các


nhân viên có tiềm năng cao. Đo lường: Tỷ lệ duy trì của nhân viên có tiềm năng
cao sẽ ít nhất 90%.
Quản lý nhà cung cấp bên thứ ba: Chúng tôi dựa vào các đối tác kinh doanh
và nhà cung cấp bên thứ ba để cung cấp các dịch vụ quan trọng. Vì lý do đó,
chúng tôi tìm cách giảm thiểu các mối quan hệ giữa nhà cung cấp bên thứ ba có
nguy cơ cao. Đo lường: Các mối quan hệ nhà cung cấp bên thứ ba có nguy cơ
cao phải được loại bỏ trong vòng một năm; hoặc một kế hoạch dự phòng khả thi,
được kiểm tra đầy đủ phải được chuẩn bị.
Rủi ro mạng: Chúng tôi quản lý cơ sở hạ tầng CNTT của mình để đảm bảo
tính sẵn sàng và khả năng của hệ thống để đáp ứng các yêu cầu kinh doanh cũng
như để bảo vệ chống lại các mối đe dọa, bao gồm cả sự cố về tất công mạng. Đo
lường: Số sự kiện CNTT có ảnh hưởng tới hoạt động kinh doanh không vượt quá

hai lần mỗi tháng. Thời gian phục hồi cho các lỗi hệ thống quan trọng sẽ là
trong vòng một giờ. Chương trình vá lỗi tự động vượt 90% các lỗ hổng được biết
đến.
Quản lý rủi ro uy tín
Uy tín của chúng tôi là rất có giá trị, và nó là trách nhiệm của mỗi nhân viên
để bảo vệ và nâng cao nó. Hội đồng Quản trị, Giám đốc điều hành và Quản lý cao
cấp sẽ đảm bảo rằng mức độ rủi ro uy tín mà công ty cho rằng được quản lý có hiệu
quả.
Khía cạnh khách hàng: Chúng tôi sẽ nâng cao trải nghiệm của khách hàng
khi làm ăn với chúng tôi và giải quyết bất kỳ vấn đề nào một cách kịp thời và
hiệu quả. Đo lường: Nhận khiếu nại của khách hàng trong vòng 24 giờ và giải
quyết khiếu nại hợp pháp trong vòng năm ngày làm việc.


Khía cạnh nhân viên: Chúng tôi sẽ cố gắng lựa chọn nhà tuyển dụng trong
ngành của mình và duy trì sự hài lòng của nhân viên. Đo lường: Khảo sát mức
độ hài lòng của nhân viên hàng năm sẽ lớn hơn 90%.
Khía cạnh cổ đông: Chúng tôi sẽ mang lại lợi ích cao hơn cho cổ đông và tạo
ra giá trị cổ đông đáng kể bằng cách phân bổ vốn cho cơ hội hoàn trả rủi ro cao
nhất. Đo lường: Hoạt động của cổ phiếu sẽ ở trong nhóm hàng đầu.
Tuyên bố khẩu vị rủi ro là một thành phần cơ bản để thực hiện chương trình
ERM hiệu quả. Nó giúp ban giám đốc thiết lập một chính sách phù hợp với những
rủi ro của doanh nghiệp với các mục tiêu chiến lược, hồ sơ rủi ro và các khả năng
quản lý rủi ro. Đối với ban lãnh đạo, quản lý điều hành, nhân viên kinh doanh và
điều hành, RAS giải quyết một câu hỏi chính: "Chúng tôi sẵn lòng chấp nhận rủi ro
bao nhiêu để theo đuổi các mục tiêu kinh doanh của chúng tôi?"
Khung khẩu vị rủi ro xác định những loại rủi ro chính mà một công ty phải đối
mặt và đặt mức độ chấp nhận để làm hướng dẫn và giới hạn cho việc ra quyết định
ở mọi cấp độ. Để phát triển RAS, một công ty phải bắt đầu bằng cách đánh giá các
yêu cầu về quy định trước khi phát triển sâu hơn, được sự chấp thuận của ban giám

đốc và quản lý, và cuối cùng là thông báo chính sách trong toàn tổ chức. Một khuôn
khổ RAS tốt sẽ có một cấu trúc tầng dựa trên ba tuyến phòng vệ (đơn vị kinh doanh,
quản lý, hội đồng quản trị) để mỗi cấp tổ chức hiểu được trách nhiệm của mình và
để các rủi ro được giảm thiểu bằng cách phân bổ hợp lí trong toàn công ty. Tuyên bố
khẩu vị rủi ro là một công cụ thiết yếu cho bất kỳ doanh nghiệp hay tổ chức nào để
theo đuổi chiến lược kinh doanh của mình mà vẫn có thể quản trị tất cả các rủi ro có
thể xảy đến.