[E-magazine 1] Vì sao phải quản trị rủi ro?

Nghiên cứu về rủi ro bắt đầu từ thời Phục hưng. Năm 1654, Chevalier de Méré, một quý tộc, cũng là một tay cờ bạc và một nhà toán học người Pháp, đã thách thức Blaise Pascal, nhà toán học nổi tiếng người Pháp, giải một câu đố làm thế nào để chia tiền cược của một trò chơi may rủi còn đang dở giữa hai người khi một người đang dẫn trước. Pascal đã yêu cầu sự hỗ trợ của Pierre de Fermat, một luật sư và nhà toán học. Sự hợp tác của họ đã dẫn đến lý thuyết xác suất, được cho là trung tâm của khái niệm hiện đại về rủi ro. Thời gian trôi qua, các nhà toán học đã chuyển đổi lý thuyết xác suất từ một trò chơi cá cược thành một công cụ mạnh để ứng dụng.

Một trong những ứng dụng của nghiên cứu rủi ro trong những năm 1700 thuộc về lĩnh vực bảo hiểm. Bảo hiểm nhân thọ được tính toán và niên kim nhân thọ đã được bán từ năm 1725. Đến năm 1750, bảo hiểm hàng hải đã trở thành một ngành kinh doanh phát đạt, chính là bước phát triển tiếp theo liên quan đến rủi ro và quản trị rủi ro.

Trong bối cảnh đầy biến động, khó lường và không chắc chắn, môi trường kinh doanh luôn mang đến cho các doanh nghiệp cả thách thức lẫn cơ hội. Điều này đã hình thành các cách tiếp cận trong tư duy về rủi ro, từng bước trưởng thành và áp dụng trong các lĩnh vực cụ thể như quản lý dự án, tài chính, ngân hàng, quốc phòng. Ngày nay, nghiên cứu về rủi ro trở thành một hệ thống liên quan đến các hoạt động quản lý của một doanh nghiệp, rộng hơn là cấp quốc gia, cấp khu vực và cấp toàn cầu.

Việc hiểu, đánh giá và xử lý rủi ro cũng như nắm bắt các cơ hội là một trong các yếu tố quyết định sự thành công và trường tồn của doanh nghiệp đó. Các doanh nghiệp, tổ chức lớn trên thế giới không thiếu những bài học đắt giá từ các rủi ro do không được nhận diện, không được đánh giá và xử lý kịp thời ngay cả khi doanh nghiệp, tổ chức đó đang trên vị thế dẫn đầu và thống trị trong lĩnh vực hoạt động của họ.

Một ví dụ điển hình là Công ty Kodak, thành lập vào năm 1888 bởi George Eastman, sản xuất máy ảnh Kodak đầu tiên và phát triển loại phim cuộn (roll film) tiên tiến, mở ra một thời kỳ vàng son cho ngành công nghiệp nhiếp ảnh. Tuy vậy, từ thập niên 1980, ngành công nghiệp nhiếp ảnh đã bắt đầu chuyển dịch sang kỹ thuật số. Mặc dù đến đầu thập niên 90 của thế kỷ XX, Kodak vẫn tiếp tục thống trị thị trường trong ngành công nghiệp phim và máy ảnh, nhưng Kodak đã bắt đầu đối mặt với sự chuyển đổi và áp lực từ việc phải kinh doanh trong môi trường công nghệ kỹ thuật số. Kodak đã không thích nghi đúng cách và đầu tư đủ mạnh để nghiên cứu và phát triển máy ảnh kỹ thuật số, dẫn đến việc họ bỏ lỡ cơ hội chiếm lĩnh thị trường mới, suy giảm thị phần và phá sản vào năm 2012.

Gần đây hơn là trường hợp Công ty Enron, công ty này bắt đầu nổi tiếng từ năm 2001 khi bộc lộ một khoản lỗ khổng lồ do thực hiện các hoạt động kinh doanh với mức độ rủi ro lớn, sử dụng các hợp đồng tương lai không đúng để cung cấp khí đốt tự nhiên và năng lượng. Enron đã che giấu thất bại và kinh doanh không minh bạch, tạo ra một loạt thực thể kinh doanh có quan hệ chéo với nhau. Thay vì sản xuất và cung cấp sản phẩm năng lượng, Enron tập trung vào giao dịch, biến họ trở thành một công ty đầu cơ trên Phố Wall thay vì doanh nghiệp năng lượng, cuối cùng dẫn đến sụp đổ. 

Bài học của Kodak và Enron chính là về quản trị rủi ro. Từng là người khổng lồ nhưng không kịp thời nhận diện rủi ro từ sự phát triển của công nghệ mới, Kodak đã kết thúc sự tồn tại của một doanh nghiệp tên tuổi. Đối với trường hợp Enron là nhận diện rủi ro, đánh giá và xử lý rủi ro không được thực hiện một cách phù hợp và minh bạch, xuất hiện rủi ro gian lận gây ra những hậu quả nghiêm trọng dẫn đến sụp đổ. 

Rủi ro có thể coi là sự biến động tiềm ẩn ở các kết quả hoặc sự kiện trong tương lai, với sự không chắc chắn về những điều này. Rủi ro có thể xuất phát từ nhiều nguồn khác nhau như biến động thị trường, thay đổi chính sách, lỗi kỹ thuật, hoặc thậm chí từ sự thiếu hụt và các lỗ hổng trong quy trình hoạt động của một tổ chức. Có nhiều khái niệm rủi ro trong quá trình hình thành và phát triển cả trong nghiên cứu lý thuyết và trong thực tiễn áp dụng công tác quản trị rủi ro QTRR. 

Dưới đây sẽ xem xét một số định nghĩa về rủi ro trên phạm vi thế giới và trong nước.

Trên phạm vi quốc tế:

Từ khá sớm, các nhà nghiên cứu, các tổ chức trên thế giới đã không ngừng nhận diện, tìm tòi và đưa ra các khái niệm về rủi ro. Có thể kể đến một số định nghĩa như sau: 

• Trường Kinh doanh Harvard đưa ra định nghĩa rủi ro là “sự không chắc chắn của kết quả và hậu quả có thể xảy ra trong tương lai”. 
• Đại học Princeton (Princeton University) định nghĩa rủi ro là “khả năng của một sự kiện không mong muốn gây tổn thất hoặc thiệt hại”. 
• COSO (2017) cho rằng rủi ro được mô tả là khả năng xảy ra các sự kiện và ảnh hưởng của chúng đến việc hoàn thành các mục tiêu. Đây là một cách tiếp cận tổng thể, nhấn mạnh sự tương quan giữa rủi ro và mục tiêu chiến lược.
• Viện Quản lý Dự án Hoa Kỳ (PMI) định nghĩa rủi ro là các sự kiện hoặc điều kiện không chắc chắn, có thể gây ảnh hưởng tiêu cực hoặc tích cực đến mục tiêu dự án. Đây là một khái niệm trong lĩnh vực quản lý dự án, tập trung vào các yếu tố không chắc chắn trong dự án.
• Tổ chức Tiêu chuẩn Quốc tế (ISO) định nghĩa rủi ro là ảnh hưởng của sự không chắc chắn trong việc đạt được mục tiêu. Đây là một khái niệm rộng hơn và tập trung vào tác động của sự không chắc chắn đến mục tiêu.

Tại Việt Nam:

Tại Việt Nam định nghĩa về rủi ro cũng được nghiên cứu và thể hiện ngay trong nhiều văn bản pháp lý. Ví dụ như:

• Quyết định 428/QĐ-UBCK ngày 11 tháng 7 năm 2013: Rủi ro được định nghĩa là các sự kiện không chắc chắn có thể xảy ra trong hoạt động kinh doanh, gây tổn thất về doanh thu, lợi nhuận, vốn và các thiệt hại khác, hoặc không đạt được mục tiêu kinh doanh của công ty hoặc khách hàng ủy thác. Đây là một định nghĩa trong lĩnh vực quản lý rủi ro trong hoạt động kinh doanh.
• Thông tư 13/2018/TT-NHNN ngày 18 tháng 5 năm 2018 đưa ra định nghĩa rủi ro trong lĩnh vực ngân hàng là khả năng xảy ra tổn thất (tài chính hoặc phi tài chính) làm giảm thu nhập, vốn tự có và ảnh hưởng đến khả năng đạt được mục tiêu kinh doanh của ngân hàng thương mại chi nhánh ngân hàng nước ngoài.
• Thông tư 70/2022/TT-BTC ngày 16 tháng 11 năm 2022 đưa ra khái niệm rủi ro trong kinh doanh bảo hiểm là khả năng xảy ra tổn thất (tổn thất tài chính, tổn thất phi tài chính) làm giảm thu nhập, vốn tự có dẫn đến làm giảm tỷ lệ an toàn vốn hoặc hạn chế khả năng đạt được mục tiêu kinh doanh của doanh nghiệp bảo hiểm, doanh nghiệp tái bảo hiểm, chi nhánh nước ngoài.

Có thể thấy, mặc dù có nhiều định nghĩa với nội hàm có những điểm khác nhau tùy theo lĩnh vực, tuy nhiên điểm chung khi định nghĩa rủi ro là sự gắn liền với khả năng xảy ra tổn thất dẫn đến các hậu quả nhất định…. 

Có nhiều cách để phân loại các rủi ro, tùy thuộc vào bối cảnh, tính chất, quy mô.

Viện Quản lý Dự án (PMI) phân loại theo rủi ro kỹ thuật, rủi ro bên trong, bên ngoài, rủi ro tổ chức, rủi ro dựa trên sự kiện (event risk), rủi ro phi sự kiện (non-event risk). Nhiều tổ chức lại phân loại rủi ro gồm rủi ro con người, rủi ro quy trình, rủi ro hệ thống, rủi ro chủ quan, rủi ro khách quan; rủi ro tài chính, rủi ro phi tài chính; rủi ro danh tiếng; rủi ro ngắn hạn, rủi ro dài hạn. Theo phạm vi và quy mô, có thể phân loại rủi ro như rủi ro tổ chức; rủi ro ngành; rủi ro quốc gia; rủi ro toàn cầu. Ngoài ra còn rất nhiều cách phân loại khác.

Cuốn sách “Tập đoàn Dầu khí Việt Nam - Quản trị rủi ro” - Ấn phẩm do NXB Lao động phát hành

Việc xác định và phân loại các loại rủi ro là bước đầu tiên và quan trọng trong quản trị rủi ro. Các nhóm rủi ro được phân loại khá phổ biến hiện nay trong quản trị rủi ro doanh nghiệp bao gồm: 

Rủi ro chiến lược: Rủi ro chiến lược là loại rủi ro khi xảy ra có thể ảnh hưởng đến hoạt động, mục tiêu và chiến lược lớn của một tổ chức hoặc doanh nghiệp. Đây là những yếu tố không xác định hoặc không kiểm soát hoàn toàn có thể ảnh hưởng đến khả năng thực hiện chiến lược tổng thể của tổ chức. Rủi ro chiến lược có thể kể đến như rủi ro về môi trường kinh doanh; rủi ro ESG; rủi ro công nghệ;... 

Rủi ro tuân thủ: Đây là các rủi ro liên quan đến việc tuân thủ các quy định và quy trình liên quan hoặc các cam kết, chuẩn mực. COSO diễn giải rằng thuật ngữ “rủi ro tuân thủ” được sử dụng để chỉ bất kỳ rủi ro nào xảy ra có liên quan trực tiếp với quy định hoặc liên quan đến sự tuân thủ các tiêu chuẩn, chính sách của tổ chức hoặc chuẩn mực về đạo đức. 

Rủi ro tài chính: Đây là các rủi ro liên quan đến tài chính, như quản lý tài chính, định giá tài sản, công nợ và tín dụng, lãi suất và tỷ giá; các tổn thất dẫn đến thiệt hại tài chính. Ví dụ, rủi ro biến động tỷ giá có thể gây ảnh hưởng lớn đến chi phí sản xuất kinh doanh cũng như lợi nhuận của đơn vị. 

Rủi ro hoạt động: Đây là các rủi ro liên quan đến các hoạt động cụ thể, như sản xuất, quản lý chất lượng, quản lý các công việc của dự án, quy trình nghiệp vụ, công nghệ thông tin. Ví dụ, rủi ro nhà máy ngừng hoạt động do lỗi thao tác kỹ thuật, rủi ro hiệu suất công việc do nghiệp vụ chưa đáp ứng yêu cầu của quy trình dẫn đến việc sản xuất bị đình trệ, giảm doanh thu, lợi nhuận, làm tăng chi phí sửa chữa và bảo trì.

Các cấp độ của rủi ro thường được xác định để “định mức rủi ro” và xác định biện pháp quản lý phù hợp. Các cấp độ được phân nhóm dựa trên phạm vi của hoạt động tương ứng. Dưới đây là các cấp độ được sử dụng trong quá trình quản trị rủi ro của một doanh nghiệp nói chung.

Rủi ro cấp công ty: Là các rủi ro được xác định có ảnh hưởng lớn đến mục tiêu chiến lược và/ hoặc mục tiêu sản xuất kinh doanh của đơn vị. Những rủi ro này thường xuất phát từ các yếu tố về chiến lược, quản lý, tài chính, văn hóa doanh nghiệp, hoặc từ những thay đổi về môi trường kinh doanh, chính sách, pháp luật.

Rủi ro cấp ban: Là các rủi ro ảnh hưởng lớn đến việc thực hiện, chức năng, nhiệm vụ và các mục tiêu kinh doanh của Ban, văn phòng (thường là các rủi ro hoạt động và tuân thủ).

Rủi ro cấp đơn vị: Là những rủi ro ảnh hưởng trực tiếp đến mục tiêu hoạt động sản xuất kinh doanh của các đơn vị trực thuộc. Dưới góc độ QTRR của công ty, thủ trưởng các đơn vị trực thuộc và người đại diện của công ty mẹ có trách nhiệm báo cáo đầy đủ, kịp thời các rủi ro trọng yếu, có ảnh hưởng đến công ty mẹ và các tài liệu, thông tin khác khi được yêu cầu. Tùy theo bối cảnh và đặc thù riêng, các đơn vị trong quá trình triển khai cần thiết lập và áp dụng phù hợp.

Quản trị rủi ro không chỉ dừng lại ở việc xác định và đánh giá các rủi ro mà còn bao gồm việc xác định cơ hội từ các tình huống rủi ro. Bằng cách đánh giá mức độ ảnh hưởng và xác suất xảy ra của mỗi rủi ro, doanh nghiệp có thể xác định được các biện pháp phòng ngừa cũng như cơ hội phát triển mới.

Lịch sử của việc nhận diện các rủi ro định hình song song với với quá trình tìm cách giải quyết các nguy cơ tiềm ẩn của rủi ro cũng như cách tiếp nhận và khả năng biến các thách thức từ rủi ro tiềm ẩn thành cơ hội để có các “quả ngọt” cho các tổ chức, doanh nghiệp.

Trong cuốn “Thực thi chiến lược” (Strategy Execution), Simons nhấn mạnh rằng có thể không dễ chịu khi nghĩ đến rủi ro, nhưng chúng là điều không thể tránh khỏi nếu bạn muốn thúc đẩy doanh nghiệp của mình đổi mới, duy trì tính cạnh tranh và các hoạt động ra quyết định có liên quan và tác động đến những bất ổn chiến lược.

Trường Kinh doanh Havard cho rằng quản trị rủi ro có vai trò quan trọng, giúp tổ chức, doanh nghiệp bảo vệ danh tiếng của tổ chức; giảm thiểu tổn thất. Quản lý rủi ro không chỉ là tránh những kết quả tiêu cực, mà còn thúc đẩy sự đổi mới và phát triển của tổ chức. Quản lý rủi ro đồng thời cung cấp một khuôn khổ cho việc ra quyết định. Đặc biệt khi doanh nghiệp gặp phải những rủi ro khó quản lý.

Theo Tiêu chuẩn Việt Nam (TCVN ISO 31000:2018), các tổ chức ở mọi loại hình và quy mô đều đối mặt với các yếu tố và các ảnh hưởng nội bộ và bên ngoài dẫn đến sự không chắc chắn trong việc đạt được các mục tiêu của mình. Quản trị rủi ro giúp chủ động quản trị và nâng cao hiệu quả hoạt động; tạo được sự tin tưởng từ các bên liên quan; việc áp dụng Hệ thống quản lý để phân tích rủi ro nhằm giảm thiểu thiệt hại; cải tiến kết quả hoạt động và khả năng phục hồi hệ thống quản lý. Đồng thời, quản trị rủi ro giúp tổ chức thay đổi một cách hiệu quả và tự bảo vệ trong quá trình phát triển.

Theo các nghiên cứu, cho đến gần đây, các tổ chức, kể cả các tổ chức vì lợi nhuận, phi lợi nhuận và các cơ quan chính phủ các quốc gia vẫn chưa có một định nghĩa chung, nhất quán về quản trị rủi ro. 

Nghiên cứu của JR Terblanché cho thấy các tổ chức tư vấn danh tiếng quốc tế đã nỗ lực đưa ra các khái niệm về quản trị rủi ro theo các góc nhìn khác nhau. PricewaterhouseCoopers định nghĩa quản lý rủi ro là việc xác định, đánh giá và xác định mức độ ưu tiên của rủi ro. KPMG cho rằng quản lý rủi ro là chấp nhận rủi ro một cách có chủ ý. Quản lý rủi ro là làm thế nào một tổ chức có thể hiểu rõ hơn về rủi ro để cải thiện hiệu suất và đạt được các mục tiêu. Deloitte & Touche mô tả quản lý rủi ro là quá trình mà một tổ chức sử dụng để thiết lập các mục đích và mục đích quản lý rủi ro của mình, đánh giá và giám sát rủi ro, lựa chọn và thực hiện các biện pháp để giải quyết các rủi ro một cách có tổ chức và phối hợp. Mục đích của quản lý rủi ro là bảo đảm hoạt động liên tục và sự tồn tại của tổ chức. Điều này có thể bao gồm việc duy trì các hoạt động có chất lượng, cung cấp một môi trường an toàn bao gồm trách nhiệm cá nhân. Quản lý rủi ro không chỉ là ngăn chặn những “điều xấu” (còn gọi là rủi ro bất lợi) mà còn là gia tăng khả năng về “những điều tốt đẹp” (còn gọi là rủi ro ngược).

Cục Dự trữ Liên bang (New York) Hoa Kỳ định nghĩa quản lý rủi ro là một quá trình phối hợp để đo lường và quản lý rủi ro trên cơ sở toàn công ty.

COSO đã nỗ lực đưa ra một định nghĩa và khung quản trị rủi ro mới để giải quyết những vấn đề hầu như không có điểm dừng liên quan đến quản trị rủi ro. Theo COSO, quản trị rủi ro chính là văn hóa, năng lực và thực tiễn, được tích hợp với việc thiết lập chiến lược và hiệu suất mà các tổ chức dựa vào để quản lý rủi ro trong việc tạo ra, bảo tồn và hiện thực hóa giá trị.

Tiêu chuẩn Việt Nam TCVN ISO 31000:2018 và ISO 3100 nêu quan điểm tiếp cận quản trị rủi ro là các hoạt động có phối hợp để định hướng và kiểm soát một tổ chức về rủi ro và là nền tảng cho cách thức tổ chức được quản lý ở mọi cấp.