Quản trị doanh nghiệp (Governance), Quản trị rủi ro (Risk Management), Kiểm soát nội bộ (Internal Control) được đề cập trong định nghĩa về Kiểm toán nội bộ được hiểu như thế nào?
Ba hoạt động mang tính quản trị này không phải là ba hoạt động độc lập với nhau hoàn toàn mà chúng có mối liên hệ qua lại chặt chẽ với nhau và cùng hướng tới mục đích cuối cùng là cung cấp sự bảo đảm hợp lý cho việc hoàn thành các mục tiêu của doanh nghiệp. Chất lượng (performance) của hoạt động này sẽ làm ảnh hưởng đến chất lượng của các hoạt động còn lại và ngược lại.
- Hoạt động Quản trị Doanh nghiệp được thực hiện tốt sẽ tạo điều kiện và môi trường thuận lợi cho hoạt động Quản trị rủi ro và hoạt động Kiểm soát nội bộ.
- Hoạt động Quản trị Rủi ro được thực hiện tốt sẽ giúp hoạt động Quản trị doanh nghiệp phát huy hiệu quả cao hơn, và giúp hoạt động Kiểm soát Nội bộ được thực hiện đúng hướng hơn và phân bổ nguồn lực phù hợp hơn.
- Hoạt động Kiểm soát nội bộ được thực hiện tốt sẽ giúp hoạt động Quản trị Rủi ro và hoạt động Quản trị doanh nghiệp đạt mục tiêu dễ dàng hơn.
Quản trị Doanh nghiệp (Corporate Governance)
Quản trị doanh nghiệp là các hoạt động thực hiện bởi cấp lãnh đạo cao nhất của doanh nghiệp để truyền đạt, chỉ đạo, quản lý và giám sát các hoạt động của doanh nghiệp nhằm đạt được các mục tiêu đề ra của doanh nghiệp.Các hoạt động quản trị doanh nghiệp bao gồm:
- Xác định các nội dung cốt lõi của doanh nghiệp như Sứ mệnh, Mục tiêu, Khẩu vị rủi ro, Mô hình kinh doanh, Giá trị hướng tới, Nguyên tắc hành xử với các bên có lợi ích liên quan (gồm cổ đông, nhân viên, chính quyền, luật pháp, đối tác, khách hàng, nhà cung cấp, công chúng, cộng đồng).
- Xây dựng cơ cấu tổ chức (gồm quyền hạn, chức năng, và quyền lợi của từng vị trí quản trị), chính sách và quy trình quản trị phù hợp để giúp thực hiện các Sứ mệnh và Mục tiêu trong phạm vi khẩu vị rủi ro, giá trị hướng tới, và nguyên tắc hành xử của doanh nghiệp. Phê duyệt nhân sự phù hợp với cơ cấu tổ chức.
- Giám sát việc vận hành của cơ cấu tổ chức, chính sách và quy trình quản trị để bảo đảm mọi biểu hiện đi sai hướng được kịp thời điều chỉnh và can thiệp.
- Giám sát việc xây dựng và duy trì văn hóa doanh nghiệp phù hợp với các nội dung cốt lõi của doanh nghiệp và giai đoạn phát triển của doanh nghiệp.
- Xây dựng chiến lược phát triển doanh nghiệp, lập kế hoạch thực hiện; công bố, giám sát việc thực hiện chiến lược của các bộ phận; thực hiện các điều chỉnh khi cần thiết.
- Giám sát việc thực hiện các mục tiêu kinh doanh của từng năm.
- Giám sát hoạt động quản trị rủi ro và kiểm soát nội bộ của toàn doanh nghiệp.
- Làm việc với các bên đánh giá độc lập như kiểm toán nội bộ, kiểm toán độc lập, …. để phục vụ cho chức năng giám sát.
Quyền hạn và chức năng cụ thể của các vị trí quản trị trong cơ cấu tổ chức của từng loại hình doanh nghiệp (gồm: đại hội đồng cổ đông, ban kiểm soát, hội đồng quản trị, ủy ban kiểm toán, ban giám đốc,…) liên quan đến việc thực hiện hoạt động quản trị doanh nghiệp: các doanh nghiệp tham khảo thêm trong luật doanh nghiệp, tuy nhiên, doanh nghiệp có thể cân nhắc điều chỉnh sao cho phù hợp hơn với các yêu cầu và đặc điểm riêng của mình.
Quản trị rủi ro (Risk Management)
Quản trị rủi ro là hoạt động nhằm phát hiện, đánh giá, và phản ứng phù hợp với các rủi ro (khả năng xảy ra sự việc không mong muốn nghiêm trọng) nhằm đem lại sự bảo đảm hợp lý đối với việc hoàn thành các mục tiêu của doanh nghiệp.Các bước quản trị rủi ro thường sẽ gồm:
Bước 1: Xác định bối cảnh liên quan (context)
Điều kiện đầu tiên để giúp xác định rủi ro là phải xác định bối cảnh liên quan, ví dụ:- Pháp luật và quy định.
- Thị trường (Lãi suất, tỷ giá, giá cả, thị phần…).
- Công nghệ.
- Tài chính.
- Quy trình kinh doanh.
- Đơn vị/ bộ phận.
- - …
Bước 2: Xác định rủi ro
Rủi ro cần được xác định tương ứng với từng bối cảnh đã được xác định. Có thể sử dụng các cách sau đây để giúp xác định rủi ro:
- Rà soát danh mục các sự kiện sẽ xảy ra trong bối cảnh được xem xét. Các rủi ro có thể được phát hiện từ những sự kiện này.
- Thực hiện điều tra/khảo sát từ những người liên quan. Phản hồi từ mọi người sẽ có thể giúp cung cấp thông tin phù hợp.
- Xem xét các dấu hiệu/chỉ số mang tính chỉ báo, cho thấy vấn đề nào đó có thể đang tiềm ẩn.
- Phân tích quy trình liên quan để tìm kiếm các lỗ hổng (what could go wrong?).
- Phân tích các tổn thất trong quá khứ để dự đoán cho tương lai.
- Phân tích điểm yếu/mạnh/cơ hội/ thách thức.
- Phân tích các tình huống giả định.
- …
Bước 3: Đánh giá rủi ro và xác định mức độ ưu tiên
Đánh giá rủi ro cần được xem xét tổng hợp ở 2 yếu tố: (1) mức độ ảnh hưởng, (2) khả năng xảy ra. Tùy thuộc tình hình mà cân nhắc sử dụng phương pháp đánh giá theo định tính (sử dụng ma trận dạng bảng với mỗi cột là 1 yếu tố với các mức độ khác nhau của từng yếu tố) hay định lượng (sử dụng chấm điểm và trọng số tương ứng cho từng yếu tố). Kết quả đánh giá tổng hợp sẽ được sử dụng để phân tích và xếp hạng thứ tự ưu tiên khi phân bổ nguồn lực hữu hạn (thời gian, con người, chi phí) để xử lý rủi ro.
Việc đánh giá rủi ro chỉ mang tính tương đối, nó phụ thuộc nhiều vào xét đoán chủ quan của những người đánh giá (dựa trên hiểu biết và kinh nghiệm liên quan của họ).
Bước 4: Phản ứng với các rủi ro trọng yếu
Sau khi xác định được các rủi ro nghiêm trọng được ưu tiên xử lý, doanh nghiệp cần cân nhắc lựa chọn các phương án xử lý rủi ro sau sao cho phù hợp nhất với “khẩu vị rủi ro” và nguồn lực của mình.
- Loại trừ rủi ro: phương án này có nghĩa là từ bỏ hoàn toàn các hoạt động/bộ phận làm phát sinh rủi ro này. Ví dụ: rủi ro tỷ giá đến từ hoạt động kinh doanh nào đó quá lớn, doanh nghiệp có thể lựa chọn bán hoạt động đó đi để loại trừ rủi ro đó.
- Chấp nhận rủi ro: phương án này có nghĩa là doanh nghiệp chấp nhận rủi ro đó, không đầu tư nguồn lực để thực hiện phản ứng gì khác vì cho rằng đó là phương án tối ưu nhất.
- Giảm rủi ro xuống: với phương án này, doanh nghiệp sẽ đầu tư nguồn lực để thực hiện các thủ tục kiểm soát liên quan để nhằm giảm rủi ro xuống tới mức có thể chấp nhận được.
- Chia sẻ rủi ro: doanh nghiệp chuyển những tổn thất tiềm tàng sang cho đơn vị khác thông qua các cách như như mua hợp đồng bảo hiểm, thực hiện hợp đồng phòng ngừa rủi ro (hedging), thuê ngoài, liên doanh,…
Các phương án xử lý rủi ro, sau khi được lựa chọn, sẽ được giao cho các bộ phận liên quan thực hiện.
Việc cân nhắc lựa chọn phương án xử lý rủi ro như thế nào phụ thuộc vào các yếu tố như (1) khẩu vị rủi ro, (2) tính khả thi của từng phương án trong điều kiện cụ thể, (3) chi phí thực hiện (phải thấp hơn giá trị đem lại thì mới đáng thực hiện), (4) mục tiêu và chiến lược phát triển.
Bước 5: Giám sát rủi ro
Tại bước này, các thủ tục sau cần phải thực hiện:
- Tiếp tục theo dõi các rủi ro đã được xác định để xem có những biến đổi gì không
- Đánh giá việc thực hiện các phương án xử lý đối với các rủi ro nghiêm trọng, đánh giá mức độ rủi ro còn lại sau khi thực hiện các phương án xử lý (residual risk) xem có ở mức thấp chấp nhận được không? Có phù hợp với khẩu vị rủi ro của doanh nghiệp không?
- Tiếp tục rà soát và đánh giá các rủi ro mới.
Vai trò của các vị trí trong cơ cấu tổ chức trong hoạt động quản trị rủi ro:
- Hội đồng quản trị/ Hội đồng thành viên: Phê duyệt quy chế và quy trình quản trị rủi ro. Giám sát và đánh giá tổng thể bảo đảm tài liệu này được thực tế triển khai và có hiệu lực. Điều chỉnh và can thiệp khi nhận thấy những dấu hiệu lệch hướng. Vai trò này có thể được Hội đồng quản trị/ Hội đồng thành viên ủy quyền cho Ủy ban Rủi ro thực hiện (Risk Committee).
- Ban giám đốc điều hành: Có trách nhiệm tổ chức và triển khai toàn bộ hoạt động quản trị rủi ro theo đúng quy chế và quy trình đã được ban hành.
- Kiểm toán nội bộ: có trách nhiệm đưa ra ý kiến bảo đảm và tư vấn độc lập và khách quan về hoạt động này nhằm giúp hoạt động này đạt được các mục tiêu đề ra.
Kiểm soát nội bộ (Internal Control)?
(Hệ thống) Kiểm soát nội bộ là tập hợp các thủ tục kiểm soát được thiết kế và vận hành để giúp giảm khả năng xảy ra các sự việc không mong muốn nghiêm trọng (rủi ro đã được xác định – identified risks) tới mức chấp nhận được (căn cứ vào kết quả của hoạt động quản trị rủi ro)Thủ tục kiểm soát: là bất kỳ hoạt động nào được thực hiện để làm giảm khả năng xảy ra các sự việc không mong muốn nghiêm trọng (rủi ro đã được xác định – identified risks) xuống, do đó làm tăng khả năng đạt các mục tiêu đề ra.
Thủ tục kiểm soát có các loại sau:
- Thủ tục kiểm soát mang tính ngăn chặn: loại thủ tục này nhằm giúp ngăn chặn các sự việc không mong muốn xảy ra. VD: sử dụng két sắt có khóa để giữ tiền, phải sử dụng mật khẩu đủ độ khó khi login hệ thống, giao dịch nếu có giá trị vượt quá ngưỡng nào đó thì phải được phê duyệt bởi cấp cao hơn,…
- Thủ tục kiểm soát mang tính phát hiện: loại thủ tục này nhằm gửi cảnh báo tới những người liên quan về những sự việc không mong muốn để có biện pháp xử lý kịp thời trước khi sự việc trở nên nghiêm trọng hoặc nghiêm trọng hơn. VD: kiểm đếm và đối chiếu tiền trong két với sổ sách, hệ thống tự động gửi cảnh báo cho người liên quan khi có dấu hiệu truy cập vào hệ thống theo cách bất thường,…
- Thủ tục kiểm soát mang tính chỉnh sửa: loại thủ tục này là để loại trừ những ảnh hưởng tiêu cực của những sự kiện không mong muốn, để mức độ ảnh hưởng tổng thể không vượt quá ngưỡng cho phép. VD: Nếu chi phí đã vượt quá ngưỡng nào đó thì các giao dịch tiếp theo phải được xem xét điều chỉnh sao cho tổng chi phí không vượt quá ngân sách cho phép.
- Thủ tục kiểm soát mang tính chỉ dẫn: loại thủ tục này giúp những người liên quan cải thiện ý thức và kỹ năng do đó làm giảm khả năng xảy ra các hành vi/ sự kiện không muốn. VD: Ban hành cẩm nang hướng dẫn sử dụng đủ chi tiết; khóa đào tạo nội bộ hiệu quả, mô tả công việc cụ thể….
Ngoài cách phân loại như trên, tùy thuộc vào tình huống cụ thể mà các thủ tục kiểm soát có thể được phân loại như sau:
- Kiểm soát chủ chốt / bổ sung: “Chủ chốt” nghĩa là bản thân các thủ tục đó có thể đứng một mình để bảo đảm mục tiêu đặt ra, còn “bổ sung” nghĩa là thủ tục đó chỉ có thể đóng vai trò bổ sung / hỗ trợ thêm cho thủ tục khác thôi chứ không thể đứng một mình được.
- Thủ tục kiểm soát thủ công / tự động: “Thủ công” nghĩa là do con người thực hiện thông qua các giác quan và đánh giá của con người, do đó chất lượng có thể biến thiên theo các yếu tố có thể ảnh hưởng đến con người như tâm trạng, sức khỏe, áp lực, tâm lý, thời gian, tính cách, nguy cơ… “Tự động” nghĩa là do máy thực hiện theo chương trình lập trình trước đó, do đó không bị các yếu tố ảnh hưởng mang tính “con người”, tuy nhiên sẽ có điểm bất lợi khác phát sinh như sự cứng nhắc, thiếu linh hoạt khi cần thiết, hoặc sai sót nếu phát sinh sẽ mang tính hệ thống ảnh hưởng rộng, có thể bị can thiệp trái phép (hacked).
- Thủ tục kiểm soát cho từng giao dịch / nhóm giao dịch: có những thủ tục được thực hiện cho từng giao dịch được, nhưng cũng có những thủ tục kiểm soát phải thực hiện theo nhóm nhiều giao dịch vì quy trình xử lý chỉ tạo điều kiện để thực hiện cho nhóm giao dịch (VD: nhóm giao dịch trong một ngày/ tuần/ tháng).
- Thủ tục kiểm soát chung của hệ thống thông tin (General IT Controls) / thủ tục kiểm soát riêng cho từng ứng dụng (Application Controls).
Các công đoạn của một thủ tục kiểm soát:
Để bảo đảm tính hiệu lực, thủ tục kiểm soát cần có các công đoạn sau:
- Thiết lập các tiêu chuẩn cho đối tượng cần được kiểm soát
- Kiểm tra và đối chiếu các tiêu chí so với các tiêu chuẩn đặt ra
- Xác minh và phân tích sự khác biệt/ chênh lệnh (nếu có)
- Sau khi xác định được chính xác và đầy đủ những khác biệt/chênh lệch, thông báo cho các bên liên quan và thực hiện điều chỉnh cần thiết (nếu có thể)
- Đánh giá lại các tiêu chuẩn được thiết lập (trên cơ sở những phát hiện có được) để xem có cần điều chỉnh lại để giúp giảm rủi ro hơn nữa hay không.
Mối quan hệ giữa Rủi ro và Thủ tục kiểm soát?
- Một rủi ro, tùy thuộc tình huống cụ thể và ảnh hưởng của nhiều yếu tố liên quan, có thể phải trải qua nhiều thủ tục kiểm soát thì mới có thể giúp giảm xuống tới mức có thể chấp nhận được của doanh nghiệp.
- Một thủ tục kiểm soát có thể đồng thời có hiệu lực đối với nhiều rủi ro khác nhau. Thủ tục kiểm soát cần bảo đảm rằng chi phí bỏ ra để thực hiện phải thấp hơn tổn thất của rủi ro có thể gây ra, nếu chi phí bỏ ra nhiều hơn thì việc thực hiện thủ tục kiểm soát không còn có ý nghĩa nữa, và còn gây cản trở cho hoạt động của doanh nghiệp.
Môi trường kiểm soát : phản ảnh thái độ và hành xử của ban lãnh đạo và điều hành cấp cao của doanh nghiệp liên quan đến tầm quan trọng của hoạt động kiểm soát trong doanh nghiệp. Môi trường kiểm soát tốt sẽ giúp lan tỏa nâng cao ý thức kỷ luật và kiểm soát rủi ro đến mọi thành viên trong doanh nghiệp, do đó tạo điều kiện thuận lợi để các thủ tục kiểm soát được thiết lập và phát huy hiệu lực như mong muốn.
Môi trường kiểm soát của doanh nghiệp được phản ánh qua các yếu tố sau:
- Tính chính trực và các giá trị đạo đức liên quan ý thức kiểm soát rủi ro: Doanh nghiệp thể hiện sự coi trọng các giá trị đạo đức này như thế nào thông qua các tài liệu của công ty, hoạt động tuyên truyền của công ty, thái độ và hành xử của ban lãnh đạo công ty?
- Triết lý và phong cách lãnh đạo của ban lãnh đạo doanh nghiệp: Những -người đứng đầu có triết lý và phong cách lãnh đạo phù hợp với các giá trị đạo đức của công ty hay không? Có nhất quán và thực sự làm gương cho nhân viên hay không?
- Cơ cấu tổ chức: có phù hợp với mô hình và bản chất của hoạt động kinh doanh không? Cơ cấu tổ chức không phù hợp sẽ làm giảm tính hiệu lực của các thủ tục kiểm soát
- Phân công chức năng và quyền hạn: Chức năng và quyền hạn của mỗi vị trí liên quan đến kiểm soát nội bộ có được quy định đầy đủ, chặt chẽ, và phù hợp?
- Các chính sách nhân sự: các hành vi tuân thủ có được ghi nhận, khuyến khích và đánh giá cao? Các hành vi không tuân thủ có bị chế tài phù hợp?
- Năng lực của các nhân sự liên quan: Môi trường có nhiều nhân sự có năng lực tốt và phù hợp sẽ tạo ảnh hưởng chung đến nhiều người khác xung quanh.
Vai trò của các vị trí trong cơ cấu tổ chức trong hoạt động quản trị rủi ro:
- Hội đồng quản trị/ Hội đồng thành viên: Giám sát và đánh giá tổng thể hoạt động kiểm soát nội bộ và điều chỉnh/ can thiệp khi nhận thấy những dấu hiệu lệch hướng. Vai trò này có thể được Hội đồng quản trị/ Hội đồng thành viên ủy quyền cho Ủy ban Rủi ro thực hiện (Risk Committee).
- Ban giám đốc điều hành: Có trách nhiệm tổ chức, hướng dẫn, triển khai hoạt động kiểm soát nội bộ đến từng bộ phận của doanh nghiệp, bảo đảm các rủi ro (theo đánh giá của hoạt động kiểm soát rủi ro) được kiểm soát trong mức có thể chấp nhận.
- Kiểm toán nội bộ: có trách nhiệm đưa ra ý kiến bảo đảm và tư vấn độc lập và khách quan về hoạt động này nhằm giúp hoạt động này đạt được các mục tiêu đề ra.