TIÊU CHUẨN QUỐC GIA TCVN ISO/TR 31004:2015 (ISO/TR 31004:2013) VỀ QUẢN LÝ RỦI RO – HƯỚNG DẪN ÁP DỤNG TCVN ISO 31000
TCVN ISO/TR 31004:2015
ISO/TR 31004:2013
QUẢN LÝ RỦI RO – HƯỚNG DẪN ÁP DỤNG TCVN ISO 31000
Risk management – Guidance for the implementation of ISO 31000
Lời nói đầu
TCVN ISO 31004:2015 hoàn toàn tương đương với ISO 31004:2013.
TCVN ISO 31004:2015 do Ban kỹ thuật Tiêu chuẩn Quốc gia TCVN/TC 176 Quản lý chất lượng và đảm bảo chất lượng biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công nghệ công bố.
Lời giới thiệu
0.1 Khái quát
Tổ chức sử dụng các phương pháp khác nhau để quản lý tác động của sự chắc chắn tới các mục tiêu của mình, nghĩa là quản lý rủi ro, bằng cách phát hiện và hiểu được rủi ro và điều chỉnh nó khi cần thiết.
Tiêu chuẩn này nhằm hỗ trợ các tổ chức để nâng cao hiệu lực của các nỗ lực quản lý rủi ro của họ phù hợp với TCVN ISO 31000. TCVN ISO 31000 đưa ra cách tiếp cận chung về quản lý rủi ro, có thể áp dụng cho tất cả các tổ chức, giúp đạt được mục tiêu của họ.
Tiêu chuẩn này dự định sử dụng bởi những người trong tổ chức đưa ra quyết định có ảnh hưởng đến việc đạt được mục tiêu của tổ chức, bao gồm cả những người chịu trách nhiệm quản trị và cả những người cung cấp hướng dẫn quản lý rủi ro hoặc dịch vụ hỗ trợ. Tiêu chuẩn này cũng được dự định sẽ sử dụng bởi bất cứ ai quan tâm đến rủi ro và việc quản lý của mình, bao gồm giáo viên, sinh viên, các nhà lập pháp và quản lý.
Tiêu chuẩn này dự định sẽ được sử dụng đồng thời với TCVN ISO 31000 và có thể áp dụng cho mọi loại hình tổ chức với quy mô khác nhau. Các khái niệm và định nghĩa chính là trung tâm để hiểu TCVN ISO 31000 được giải thích trong Phụ lục A.
Điều 3 đưa ra phương pháp luận chung giúp tổ chức đưa các sắp xếp quản lý rủi ro hiện có phù hợp với TCVN ISO 31000 một cách có kế hoạch và cấu trúc. Điều này cũng tạo ra một cách điều chỉnh năng động khi những thay đổi xảy ra trong môi trường bên trong và bên ngoài tổ chức.
Các phụ lục cung cấp chỉ dẫn, các ví dụ và giải thích về việc áp dụng các khía cạnh được lựa chọn của TCVN ISO 31000 nhằm giúp người sử dụng phù hợp với nhu cầu và kinh nghiệm chuyên môn của họ.
Các ví dụ nêu trong tiêu chuẩn này có thể hoặc không có thể áp dụng trực tiếp vào các tình huống hay cho các tổ chức cụ thể mà chỉ nhằm mục đích minh họa.
0.2 Những nguyên tắc và khái niệm cơ bản
Một số từ và khái niệm cụ thể là nền tảng để hiểu về cả TCVN ISO 31000 và tiêu chuẩn này, chúng được giải thích trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 2 và trong Phụ lục A.
TCVN ISO 31000 nêu 11 nguyên tắc để quản lý rủi ro một cách hiệu lực. Vai trò của các nguyên tắc là để thông báo và hướng dẫn tất cả các khía cạnh của phương pháp tiếp cận của tổ chức để quản lý rủi ro. Các nguyên tắc mô tả những đặc trưng của quản lý rủi ro hiệu quả. Thay vì chỉ đơn giản thực hiện các nguyên tắc, điều quan trọng là tổ chức phải thể hiện chúng trong tất cả các khía cạnh của việc quản lý. Chúng được dùng như các chỉ số về kết quả quản lý rủi ro và nâng cao giá trị cho tổ chức trong quản lý rủi ro một cách hiệu lực. Chúng cũng ảnh hưởng đến tất cả các yếu tố của quá trình chuyển đổi đã được quy định trong tiêu chuẩn này cũng như trong các vấn đề kỹ thuật là đối tượng nêu trong các phụ lục. Những chỉ dẫn khác được nêu trong Phụ lục B.
Tiêu chuẩn này sử dụng hai cụm từ “lãnh đạo cao nhất” và “bộ phận giám sát”. “Lãnh đạo cao nhất” đề cập đến những người hoặc nhóm người điều hành và kiểm soát một tổ chức ở cấp cao nhất, trong khi các “bộ phận giám sát” đề cập đến người hoặc nhóm người quản trị về mặt tổ chức, đặt ra định hướng, sử dụng “lãnh đạo cao nhất”.
CHÚ THÍCH: Trong nhiều tổ chức, bộ phận giám sát có thể được gọi là Ban giám đốc, Ban đảm bảo tính tin cậy, Ban giám sát, v.v…
QUẢN LÝ RỦI RO – HƯỚNG DẪN ÁP DỤNG TCVN ISO 31000
Risk management – Guidance for the implementation of ISO 31000
1. Phạm vi áp dụng
Tiêu chuẩn này này đưa ra hướng dẫn cho các tổ chức về quản lý rủi ro một cách hiệu lực thông qua việc: áp dụng TCVN ISO 31000:2011 (ISO 31000:2009). Tiêu chuẩn này đưa ra:
– cách tiếp cận có cấu trúc đối với các tổ chức để chuyển những sắp xếp về quản lý rủi ro của mình phù hợp với TCVN ISO 31000 theo cách là phù hợp với đặc điểm của tổ chức;
– giải thích các khái niệm cơ bản của TCVN ISO 31000;
– hướng dẫn về các khía cạnh của các nguyên tắc và khuôn khổ quản lý rủi ro được quy định trong TCVN ISO 31000.
Tiêu chuẩn này có thể được sử dụng bởi bất kỳ doanh nghiệp công, tư hay cộng đồng, hiệp hội, nhóm hoặc cá nhân.
CHÚ THÍCH: Để thuận tiện, tất cả những người sử dụng tiêu chuẩn này được gọi bằng thuật ngữ chung là “tổ chức”.
Tiêu chuẩn này không áp dụng riêng cho bất kỳ ngành công nghiệp hay lĩnh vực nào hoặc với bất kỳ loại hình rủi ro cụ thể nào, tiêu chuẩn có thể được áp dụng cho tất cả các hoạt động và cho tất cả các bộ phận của tổ chức.
2. Tài liệu viện dẫn
Tài liệu viện dẫn dưới đây rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu ghi năm công bố thì áp dụng bản được nêu. Đối với các tài liệu không ghi năm công bố thì áp dụng bản mới nhất, bao gồm cả các sửa đổi.
TCVN ISO 31000:2011 (ISO 31000:2009), Quản lý rủi ro – Nguyên tắc và hướng dẫn.
3. Áp dụng TCVN ISO 31000
3.1 Khái quát
Điều này nêu hướng dẫn cho các tổ chức đang tiếp cận và thực hành quản lý rủi ro của mình theo TCVN ISO 31000 và tiếp tục duy trì những thực hành theo định hướng đó.
Điều này nêu phương pháp luận áp dụng thích hợp, theo cách đã được hoạch định, đối với bất kỳ tổ chức nào không phụ thuộc vào bản chất của các cách thức quản lý rủi ro hiện tại của tổ chức đó. Phương pháp luận này bao gồm:
– so sánh thực hành hiện tại với những quy định và thực hiện một kế hoạch để làm như vậy;
– duy trì việc theo dõi và xem xét thường xuyên để đảm bảo việc thực hành hiện tại và cải tiến liên tục.
Điều này giúp tổ chức có được sự hiểu biết hiện tại và toàn diện về các rủi ro của mình và đảm bảo rằng những rủi ro đó phù hợp với thái độ đối với rủi ro và các tiêu chí rủi ro của tổ chức.
Dù động cơ áp dụng TCVN ISO 31000 là gì thì việc làm như trên được kỳ vọng sẽ tạo điều kiện thuận lợi cho một tổ chức đều quản lý tốt hơn các rủi ro, hỗ trợ cho các mục tiêu của mình. Tất cả các tổ chức quản lý rủi ro ở mức độ nào đó. Chiến lược áp dụng TCVN ISO 31000 cần nhận biết về việc một tổ chức đang quản lý rủi ro như thế nào.
Quá trình áp dụng, như mô tả trong 3.2, sẽ xem xét, đánh giá những cách thức đang thực hiện và nếu cần thiết, điều chỉnh và sửa đổi để phù hợp với TCVN ISO 31000.
TCVN ISO 31000 xác định các yếu tố khác nhau của một khuôn khổ quản lý rủi ro. Có một số lợi thế có thể nảy sinh khi các yếu tố của khuôn khổ này được lồng ghép vào hoạt động quản trị, các chức năng và các quá trình của tổ chức. Điều này liên quan đến tính hiệu lực về mặt tổ chức, việc ra quyết định đúng đắn và tính hiệu quả.
a) Khuôn khổ để quản lý rủi ro cần được thực hiện bằng cách tích hợp các thành phần của khuôn khổ này vào hệ thống quản lý và ra quyết định của tổ chức, cho dù hệ thống này là chính thức hay không chính thức; các quá trình quản lý hiện tại có thể được cải tiến bằng cách tham khảo TCVN ISO 31000.
b) Sự hiểu biết và quản lý về sự không chắc chắn trở thành một phần không thể thiếu trong (các) hệ thống quản lý, thiết lập nên một cách tiếp cận chung cho tổ chức.
c) Việc áp dụng quá trình quản lý rủi ro này có thể phù hợp từng phần với quy mô và các yêu cầu của tổ chức.
d) Hoạt động quản trị (nghĩa là điều hành và giám sát) về chính sách, khuôn khổ và (các) quá trình quản lý rủi ro có thể được tích hợp vào những cách thức quản trị hiện tại của tổ chức.
e) Việc báo cáo quản lý rủi ro được tích hợp với việc báo cáo quản lý khác.
f) Kết quả thực hiện quản lý rủi ro trở thành một phần không thể thiếu của cách tiếp cận kết quả thực hiện tổng thể.
g) Sự tương tác và kết nối giữa các lĩnh vực quản lý rủi ro tách biệt của một tổ chức (ví dụ như quản lý rủi ro doanh nghiệp, quản lý rủi ro tài chính, quản lý rủi ro dự án, quản lý an toàn và an ninh, quản lý tính liên tục của hoạt động kinh doanh, quản lý bảo hiểm) có thể được đảm bảo hoặc được cải thiện, do sự chú trọng hàng đầu vào việc thiết lập và thực hiện thành công các mục tiêu của tổ chức và có tính đến các rủi ro.
h) Trao đổi thông tin về sự không chắc chắn và rủi ro giữa các đội quản lý và các cấp quản lý được cải thiện.
i) Các hoạt động quản lý rủi ro trong một tổ chức đặt trọng tâm vào việc thực hiện thành công các mục tiêu của tổ chức. Điều này có thể mang lại những lợi ích xã hội gián tiếp do các bên liên quan bên ngoài có thể được khích lệ để cải thiện hoạt động quản lý rủi ro riêng của mình.
j) Việc xử lý và các biện pháp kiểm soát rủi ro có thể trở thành một phần không thể thiếu trong các hoạt động hàng ngày.
3.2 Cách thức áp dụng TCVN ISO 31000
Mặc dù TCVN ISO 31000 có giải thích về cách thức để quản lý rủi ro một cách hiệu lực nhưng tiêu chuẩn này không diễn giải cách thức tích hợp quản lý rủi ro vào các quá trình quản lý của tổ chức. Tuy vậy, dù các tổ chức có thể khác nhau và các điểm khởi đầu của họ có thể khác nhau nhưng trong mọi trường hợp, họ vẫn có thể áp dụng tiêu chuẩn này nhờ một cách tiếp cận áp dụng chung và có hệ thống.
Tổ chức cần xác định liệu có cần có những thay đổi đối với khuôn khổ hiện tại của mình để quản lý rủi ro, trước khi hoạch định và thực hiện những thay đổi đó và sau đó theo dõi thường xuyên tính hiệu lực của khuôn khổ đã được sửa đổi này. Điều này cho phép tổ chức:
– thống nhất các hoạt động quản lý rủi ro của mình với các nguyên tắc quản lý rủi ro có hiệu lực như nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 3;
– áp dụng quá trình quản lý rủi ro như nêu trong TCVN ISO 31000:2009, Điều 5;
– đáp ứng các đặc tính quản lý rủi ro nâng cao như nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), A.3;
– nhờ đó đạt được những kết quả quan trọng như nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), A.2.
Cách tiếp cận này cũng được áp dụng cho các tổ chức vốn đã tuân thủ TCVN ISO 31000 và mong muốn liên tục cải tiến khuôn khổ và quá trình để quản lý rủi ro như đã khuyến nghị trong TCVN ISO 31000:2011 (ISO 31000:2009), 4.6 và 5.6.
Tất cả các khía cạnh của quá trình chuyển đổi có thể được trợ giúp nhờ kinh nghiệm được rút ra từ các tổ chức khác khi họ quản lý các loại hình rủi ro tương tự hoặc đã trải qua một quá trình tương tự.
3.3 Tích hợp ISO 31000 vào các quá trình quản lý của tổ chức
3.3.1 Khái quát
TCVN ISO 31000 đưa ra khuôn khổ và một quá trình chung để quản lý rủi ro trong tất cả hoặc một phần của mọi loại hình tổ chức. Điều này nêu hướng dẫn cho việc tích hợp các yếu tố của TCVN ISO 31000 vào cách tiếp cận quản lý của một tổ chức, bao gồm các hoạt động, quá trình và chức năng của tổ chức. Các tổ chức có thể lựa chọn tích hợp các khái niệm của TCVN ISO 31000 với các quá trình hiện tại của mình, hoặc có thể lựa chọn thiết kế và thiết lập một cách tiếp cận mới dựa trên TCVN ISO 31000. Điều này mô tả các yếu tố cốt lõi cửa khuôn khổ quản lý và quá trình, cũng như các hành động cần thiết để tích hợp thành công các yếu tố này nhằm đáp ứng các mục tiêu của tổ chức. Có rất nhiều cách để tích hợp TCVN ISO 31000 vào một tổ chức. Việc lựa chọn và sắp xếp thứ tự của các yếu tố cần phù hợp với nhu cầu và các bên liên quan của tổ chức. Phải thận trọng khi áp dụng tiêu chuẩn này để đảm bảo rằng việc tích hợp sẽ hỗ trợ cho chiến lược quản lý kinh doanh tổng thể. Điều này dẫn đến nỗ lực đáp ứng các mục tiêu của tổ chức về bảo vệ và tạo lập giá trị. Cách tiếp cận này cũng cần phải cân nhắc đến văn hóa của tổ chức, cũng như các phương pháp luận về quản lý dự án và quản lý thay đổi.
Điều này mô tả các yếu tố cốt lõi của khuôn khổ và quá trình, các hành động cần thiết để tích hợp thành công các yếu tố này nhằm đáp ứng các mục tiêu của tổ chức.
Áp dụng TCVN ISO 31000 là một quá trình liên tục mang tính động và lặp lại. Hơn nữa, việc áp dụng khuôn khổ này được kết nối tương hỗ với các quá trình quản lý rủi ro nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 5. Sự thành công được đo lường về cả sự tích hợp của khuôn khổ này lẫn việc cải tiến liên tục quản lý rủi ro trong toàn bộ tổ chức.
Việc tích hợp diễn ra trong một bối cảnh năng động. Tổ chức cần theo dõi cả những thay đổi phát sinh do quá trình áp dụng và những thay đổi đối vớt bối cảnh bên trong và bên ngoài của tổ chức. Điều này có thể bao gồm nhu cầu thay với các tiêu chí rủi ro của tổ chức.
3.3.2 Nhiệm vụ và cam kết
Mọi hoạt động quản lý kinh doanh đều bắt đầu từ việc phân tích về tính hợp lý, các bước của các quá trình và phân tích lợi ích – chi phí. Tiếp theo là quyết định của lãnh đạo và bộ phận giám sát về việc thực hiện và đưa ra cam kết và cung cấp các nguồn lực cần thiết.
Thông thường, quá trình áp dụng bao gồm:
a) Yêu cầu nhiệm vụ và cam kết (nếu yêu cầu);
b) Phân tích khoảng trống;
c) Điều chỉnh và xác lập quy mô trên cơ sở các nhu cầu, văn hóa, việc tạo lập và bảo vệ giá trị của tổ chức;
d) Xem xét, đánh giá các rủi ro liên quan tới việc chuyển đổi;
e) Xây dựng một kế hoạch kinh doanh:
– thiết lập các mục tiêu, thứ tự ưu tiên và thước đo;
– thiết lập tình huống kinh doanh, bao gồm sự phù hợp với các mục tiêu của tổ chức;
– xác định phạm vi, trách nhiệm giải trình, khung thời gian và nguồn lực;
f) xác định bối cảnh áp dụng, bao gồm trao đổi thông tin với các bên liên quan.
3.3.3 Thiết kế khuôn khổ
3.3.3.1 Các cách tiếp cận quản lý rủi ro hiện tại trong tổ chức cần được xem xét, đánh giá, bao gồm bối cảnh và văn hóa.
a) Điều quan trọng là phải cân nhắc về các trách nhiệm pháp lý, chế định hoặc trách nhiệm đối với khách hàng và các yêu cầu chứng nhận phát sinh từ bất kỳ hệ thống quản lý và các tiêu chuẩn quản lý mà tổ chức lựa chọn áp dụng. Mục đích của bước này là cho phép điều chỉnh một cách cẩn trọng đối với thiết kế khuôn khổ quản lý rủi ro và kế hoạch áp dụng khuôn khổ quản lý rủi ro, đồng thời cho phép thống nhất cơ cấu, văn hóa với hệ thống quản lý chung của tổ chức.
b) Điều quan trọng là cân nhắc về cả quá trình được sử dụng để quản lý rủi ro lẫn các khía cạnh của khuôn khổ quản lý rủi ro hiện có hỗ trợ việc áp dụng quá trình này.
c) Cần thiết lập các tiêu chí rủi ro thích hợp. Các tiêu chí rủi ro cần nhất quán với các mục tiêu của tổ chức và định hướng theo thái độ đối với rủi ro của tổ chức. Nếu các mục tiêu này thay đổi, các tiêu chí rủi ro cần được điều chỉnh cho phù hợp. Điều quan trọng đối với việc quản lý rủi ro có hiệu lực là các tiêu chí rủi ro được thiết lập phản ánh được thái độ đối với rủi ro và các mục tiêu của tổ chức.
Để thiết kế khuôn khổ mới, cần xem xét, đánh giá cụ thể:
– Các nguyên tắc và các đặc tính, như được mô tả trong TCVN ISO 31000;
– Khuôn khổ quản lý trước đây mà việc xem xét, đánh giá cần so sánh một cách cụ thể những thực hành hiện tại với các yêu cầu nêu trong các điều sau của TCVN ISO 31000 (ISO 31000):
– 4.3.2 (chính sách quản lý rủi ro);
– 4.3.3 (trách nhiệm giải trình);
– 4.3.4 (tích hợp vào các quá trình tổ chức);
– 4.3.5 (nguồn lực);
– 4.3.6 và 4.3.7 (các cơ chế báo cáo và trao đổi thông tin nội bộ và bên ngoài);
– Quá trình mà việc xem xét, đánh giá cần so sánh các yếu tố của các quá trình hiện tại với quy định tại TCVN ISO 31000:2011 (ISO 31000:2009), Điều 5, cũng như các nguyên tắc nền tảng mà dẫn đến và cung cấp cơ sở hợp lý cho quá trình này với các nguyên tắc nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 3 (ví dụ liệu quá trình này có áp dụng thực sự cho việc ra quyết định ở tất cả các cấp hay không):
– Xem xét, đánh giá xem liệu quá trình hiện tại này có cung cấp cho những người ra quyết định các thông tin rủi ro mà họ cần để đưa ra các quyết định có chất lượng và đáp ứng hoặc vượt các mục tiêu hay không;
– Xem xét, đánh giá xem liệu các cách tiếp cận quản lý rủi ro hiện tại có đề cập đầy đủ các rủi ro có tương tác lẫn nhau và các rủi ro xảy ra tại nhiều địa điểm khác nhau hay không.
3.3.3.2 Cần xác định các yêu cầu và thiết kế khuôn khổ
Trên cơ sở các xem xét, đánh giá được mô tả trong 3.3.3.1, tổ chức cần quyết định các khía cạnh nào của cách tiếp cận rủi ro hiện tại:
a) có thể tiếp tục được sử dụng trong tương lai (có thể được mở rộng cho các loại hình ra quyết định khác);
b) cần sửa đổi hoặc nâng cao;
c) không còn tạo giá trị gia tăng và cần ngừng áp dụng;
Tổ chức cần xây dựng, lập thành tài liệu và trao đổi thông tin về việc sẽ quản lý rủi ro như thế nào. Quy mô và nội dung của các tiêu chuẩn, các hướng dẫn và các mô hình nội bộ của tổ chức có liên quan đến quản lý rủi ro cần phản ánh đặc điểm văn hóa và bối cảnh của tổ chức.
Các tài liệu này có thể quy định rằng:
– Các rủi ro được quản lý trong toàn bộ tổ chức nhờ sử dụng các phương pháp tiếp cận nhất quán;
– Có những cấp trách nhiệm giải trình khác nhau trong quản lý rủi ro;
– Năng lực và nhiệm vụ của tất cả những người có trách nhiệm giải trình và quản lý rủi ro đều được xác định rõ ràng;
– Cả các bên liên quan nội bộ và bên ngoài đều tham gia một cách phù hợp thông qua việc trao đổi thông tin và tham vấn toàn diện;
– Các thông tin về rủi ro và đầu ra từ tất cả các ứng dụng của quá trình quản lý rủi ro được ghi nhận một cách nhất quán và an toàn, thuận tiện cho việc tiếp cận.
Cũng cần có quy định về việc xem xét định kỳ các yêu cầu, công cụ, đào tạo và các nguồn lực của tổ chức đối với quản lý rủi ro, nếu sau đó có những thay đổi về tổ chức và bối cảnh của tổ chức hoặc nếu như việc theo dõi và xem xét liên tục xác định thấy có những điểm yếu hoặc không hiệu quả.
3.3.3.3 Cần xác định phạm vi, mục tiêu, chỉ tiêu, nguồn lực và các biện pháp đã thành công và các tiêu chí theo dõi, xem xét đối với giai đoạn thực hiện.
3.3.3.4 Cần thiết lập cơ chế báo cáo và trao đổi thông tin nội bộ và bên ngoài.
3.3.4 Thực hiện quản lý rủi ro
Cần có một kế hoạch thực hiện chi tiết để đảm bảo rằng những thay đổi cần thiết sẽ được thực hiện theo một trình tự rõ ràng và phải cung cấp, đưa vào sử dụng các nguồn lực cần thiết. Kế hoạch này cần được hỗ trợ bởi các nguồn lực cần thiết trong quá trình thực hiện và điều này có thể đòi hỏi việc phân bổ các khoản ngân sách cụ thể mà việc phân bổ này cần là một phần công việc của quá trình lập kế hoạch.
Bản thân kế hoạch này cần là đối tượng của đánh giá rủi ro theo TCVN ISO 31000:2011 (ISO 31000:2009), 5.4 và mọi hành động cần thiết được áp dụng để xử lý rủi ro.
Kế hoạch này cần vừa yêu cầu, vừa cho phép việc theo dõi và báo cáo về tiến triển với lãnh đạo cao nhất và bộ phận giám sát và cần có điều khoản quy định về xem xét định kỳ kế hoạch này.
Do đó, kế hoạch này cần:
– Nêu chi tiết các hoạt động cụ thể được thực hiện, trình tự, người thực hiện, tiến độ hoàn thành: các hành động này sẽ bao gồm cả việc sửa đổi các tiêu chuẩn, hướng dẫn nội bộ; giải thích và đào tạo để xây dựng năng lực và thực hiện các điều chỉnh về trách nhiệm giải trình;
– Xác định bất kỳ hành động nào sẽ được thực hiện như một phần của một số hành động có phạm vi rộng hơn và gắn kết với sự phát triển của tổ chức, hoặc những hành động có mối liên hệ khác (ví dụ như xây dựng tài liệu đào tạo và sự tham gia của các giảng viên);
– Xác định các trách nhiệm thực hiện;
– Kết hợp với cơ chế về báo cáo việc hoàn thành, tiến triển và các vấn đề;
– Xác định và ghi nhận bất kỳ tiêu chí nào sẽ dẫn đến xem xét lại kế hoạch này.
Việc thực hiện có thể đòi hỏi một khoảng thời gian để hoàn thành và có thể được tiến hành theo các giai đoạn. Thực hành thông thường cần được áp dụng là giành sự ưu tiên cho những thay đổi có ảnh hưởng lớn nhất đối với thực hiện thành công mục đích cuối cùng. Việc thực hiện này có thể xảy ra ở các giai đoạn khác nhau của sự lớn mạnh và cơ cấu của tổ chức. Điều này cũng có thể có hiệu lực hơn khi tích hợp việc thực hiện với các chương trình thay đổi khác.
3.3.5 Theo dõi và xem xét
Cần theo dõi, phân tích và báo cáo kịp thời về sự tiến triển so với kế hoạch cho lãnh đạo cao nhất (hàng tháng, hàng quý, v.v…).
Các báo cáo về sự tiến triển so với kế hoạch và kết quả thực hiện so với các thước đo cần được xác nhận định kỳ theo một quá trình xem xét khách quan. Hoạt động xem xét cần bao gồm việc kiểm tra về khuôn khổ, các quá trình, bản thân các rủi ro và sự thay đổi đối với môi trường.
Cần có một cuộc xem xét định kỳ về chiến lược thực hiện và đo lường sự tiến bộ, tính nhất quán cũng như sự sai lệch so với kế hoạch quản lý rủi ro. Các cuộc xem xét cũng có thể thực hiện nếu như các tiêu chí xem xét đã đề ra trong kế hoạch được khởi sự thực hiện.
Cần xem xét, đánh giá kết quả thực hiện trên cơ sở tính hiệu lực của sự thay đổi và quản lý rủi ro, cũng như để xác định các bài học kinh nghiệm và các cơ hội cải tiến.
Các vấn đề quan trọng có được từ việc theo dõi thực hiện kế hoạch này cần được báo cáo cho những người có trách nhiệm.
Các kết quả của bước này sẽ được phản hồi vào bối cảnh và các chức năng khác, sao cho những rủi ro mới có thể được xác định, các thay đổi đối với rủi ro hiện tại có thể được phát hiện, và tình trạng thực hiện của khuôn khổ này có thể được ghi nhận để cải tiến [(xem TCVN ISO 31000:2011 (ISO 31000:2009), 4.6 và 5.7].
3.4 Cải tiến liên tục
Cả khuôn khổ quản lý rủi ro và các quá trình quản lý rủi ro cần được xem xét để đánh giá xem thiết kế của chúng có phù hợp và việc thực hiện có làm gia tăng giá trị cho tổ chức như dự định hay không. Nếu các kết quả của việc theo dõi và xem xét cho thấy sự cải tiến có thể được thực hiện thì chúng cần được áp dụng càng sớm càng tốt.
Đối với các tổ chức đã chuyển sang áp dụng TCVN ISO 31000, cần có sự nhận thức và sự lĩnh hội vững vàng về cơ hội để cải tiến. Các bước tương tự như đã được sử dụng trong quá trình chuyển đổi cũng sẽ hữu ích cho việc thực hiện các cuộc kiểm tra định kỳ nhằm phát hiện xem liệu có sự chệch hướng khỏi quá trình này hay không.
Có những nguyên do dẫn đến việc cải tiến liên tục, bao gồm:
– việc theo dõi và xem xét thường xuyên khuôn khổ và quá trình quản lý rủi ro để từ đó xác định các cơ hội cải tiến;
– những kiến thức mới có được;
– sự thay đổi thật sự, đáng kể đối với bối cảnh nội bộ và bên ngoài của tổ chức.
Phụ lục A
(Tham khảo)
Các khái niệm và nguyên tắc nền tảng
A.1 Khái quát
Phụ lục này giải thích một số từ và khái niệm cụ thể (ví dụ như “rủi ro”) đang được sử dụng hàng ngày và chúng có thể có một số ngữ nghĩa, nhưng trong cả TCVN ISO 31000 và trong tiêu chuẩn này thì chúng có ngữ nghĩa đặc trưng riêng.
TCVN ISO 31000 định nghĩa rủi ro là “tác động của sự không chắc chắn lên các mục tiêu”..
CHÚ THÍCH: Các độc giả nên làm quen với các thuật ngữ và định nghĩa trong phụ lục này.
A.2 Rủi ro và các mục tiêu
Các tổ chức thuộc mọi loại hình đều phải đối mặt với các nhân tố và những ảnh hưởng bên trong và bên ngoài làm cho tổ chức không chắc chắn về việc khi nào và ở quy mô nào thì họ sẽ đạt hoặc vượt các mục tiêu của mình. Ảnh hưởng của sự không chắc chắn tới các mục tiêu của tổ chức chính là “rủi ro”.
Những mục tiêu nêu trong TCVN ISO 31000 và trong tiêu chuẩn này là kết quả mà tổ chức đang tìm kiếm. Thông thường, đây là những biểu hiện cao nhất về ý định và mục đích mà tổ chức đang tìm kiếm, và chúng thường phản ánh các kết quả rõ ràng hoặc ngầm hiểu, biểu thị giá trị và những đòi hỏi của nó, bao gồm cả việc xem xét trách nhiệm xã hội và yêu cầu pháp lý và luật định. Nói chung, quản lý rủi ro sẽ được triển khai thuận lợi nếu các mục tiêu được thể hiện bằng hạng mục đo lường được. Thường có các mục tiêu phức tạp, chứa nhiều hạng mục, tuy nhiên, sự không nhất quán giữa các mục tiêu cũng có thể là một nguồn của rủi ro.
Khả năng xảy ra không chỉ xét ở góc độ một sự kiện xảy ra mà là toàn bộ khả năng của các hệ quả có thể xảy ra từ sự kiện và mức độ của hệ quả kể cả tích cực lẫn tiêu cực. Thông thường, có thể có nhiều hệ quả có thể phát sinh từ một sự kiện và mỗi hệ quả sẽ có khả năng riêng của nó. Mức rủi ro có thể được biểu hiện là khả năng xảy ra những hệ quả cụ thể này (bao gồm cả quy mô/độ lớn) của nó là chấp nhận được với thực tiễn. Các hệ quả liên quan trực tiếp đến mục tiêu và chúng nảy sinh khi một cái gì đó xảy ra hay không xảy ra.
Rủi ro là tác động của sự không chắc chắn đối với các mục tiêu, bất luận là lĩnh vực hay các hoàn cảnh nào, bởi vậy một sự kiện hay một mối nguy (hoặc bất kỳ nguồn rủi ro nào khác) có thể không được mô tả như là một rủi ro. Rủi ro cần được mô tả như sự kết hợp của khả năng xảy ra một sự kiện (hay mối nguy hoặc nguồn gốc rủi ro) và hệ quả của nó.
Sự hiểu biết rằng rủi ro có thể có những hệ quả tích cực hay tiêu cực là một khái niệm trung tâm và quan trọng mà những người lãnh đạo phải biết. Rủi ro có thể đặt cho tổ chức vào một cơ hội, một mối đe dọa hoặc cả hai.
Rủi ro phát sinh hoặc bị thay đổi khi đưa ra các quyết định. Do hầu như luôn có những sự không chắc chắn gắn liền với các quyết định và việc ra quyết định, nên cũng hầu như luôn có rủi ro. Người có trách nhiệm đối với việc đạt được các mục tiêu rất cần đánh giá được rằng rủi ro là một phần tất yếu của các hoạt động của tổ chức và nó thường được tạo ra hoặc bị thay đổi khi đưa ra các quyết định. Phải biết và hiểu các rủi ro liên quan đến một quyết định ngay thời điểm ra quyết định đó và do vậy phải chủ động chấp nhận rủi ro đó. Điều này có thể được thực hiện khi sử dụng quá trình quản lý rủi ro nêu trong TCVN ISO 31000.
A.3 Sự không chắc chắn
Sự không chắc chắn gắn liền với các mục tiêu, làm phát sinh rủi ro luôn bắt nguồn từ chính môi trường bên trong và bên ngoài mà tại đó tổ chức hoạt động. Sự không chắc chắn có thể là:
– Hệ quả của các yếu tố xã hội học, tâm lý và văn hóa có tính nền tảng liên quan đến hành vi của con người;
– Được phát sinh bởi các quá trình tự nhiên được đặc trưng bởi sự thay đổi vốn có, ví dụ như thời tiết, sự biến động giữa các kết quả quan trắc cộng đồng.
– Nẩy sinh do thông tin không đầy đủ, không chính xác, ví dụ: do thiếu thông tin, diễn giải sai, không đáng tin cậy, sự mâu thuẫn nội bộ hoặc không thể truy cập dữ liệu;
– Thay đổi theo thời gian, ví dụ do cạnh tranh, các xu hướng, thông tin mới, những thay đổi trong các yếu tố cơ bản;
– Được tạo ra do cảm giác về sự không chắc chắn và có thể khác nhau giữa các bộ phận của tổ chức và các bên liên quan.
A.4 Kiểm soát và xử lý rủi ro
Kiểm soát là các biện pháp được các tổ chức thực hiện để điều chỉnh rủi ro nhằm tạo khả năng đạt được các mục tiêu. Kiểm soát có thể điều chỉnh rủi ro bằng cách thay đổi bất kỳ nguồn phát sinh sự không chắc chắn (ví dụ, làm cho nó nhiều hoặc ít hơn theo xu hướng có khả năng xảy ra) hoặc bằng cách thay đổi mức độ của những hệ quả tại thời điểm có thể xảy ra.
Xử lý rủi ro, như định nghĩa trong TCVN ISO 31000, là quá trình nhằm thay đổi hoặc tạo ra những cách kiểm soát và kể cả việc duy trì rủi ro.
A.5 Khuôn khổ quản lý rủi ro
Khuôn khổ quản lý rủi ro bao gồm những việc bố trí, sắp xếp (bao gồm các thực hành, quá trình, hệ thống, nguồn lực và văn hóa) trong hệ thống quản lý của tổ chức mà hệ thống đó cho phép quản lý được rủi ro. Các đặc điểm của một khuôn khổ và mức độ mà theo đó nó được tích hợp vào hệ thống quản lý của tổ chức, sẽ giúp đánh giá được một cách cơ bản rủi ro được quản lý hiệu lực như thế nào.
Khuôn khổ quản lý phải bao gồm các tuyên bố rõ ràng của lãnh đạo về mục đích của tổ chức liên quan đến quản lý rủi ro (được mô tả trong TCVN ISO 31000 như là nhiệm vụ và cam kết) và năng lực cần thiết (các nguồn lực và khả năng) để đạt được mục đích này.
Năng lực này không tồn tại như một hệ thống hay là một bộ phận được xác lập đơn biệt mà bao gồm nhiều yếu tố tích hợp trong các quá trình quản lý tổng thể của tổ chức. Chúng hoặc có thể là một bộ phận duy nhất để phục vụ cho công tác quản lý rủi ro (ví dụ như một hệ thống thông tin chuyên ngành), hoặc là các khía cạnh của hệ thống quản lý của tổ chức (ví dụ các thực hành về nguồn nhân lực của tổ chức).
A.6 Các tiêu chí rủi ro
Tiêu chí rủi ro là các thông số do tổ chức xác lập, nó cho phép mô tả rủi ro và đưa ra quyết định về mức ý nghĩa của rủi ro mà đối với nó, tổ chức phải cân nhắc thái độ về rủi ro của mình. Những quyết định này cho phép đánh giá được rủi ro và lựa chọn được cách xử lý.
A.7 Quản lý, quản lý rủi ro và việc quản lý rủi ro
Quản lý bao gồm các hoạt động được kết hợp để chỉ đạo và kiểm soát một tổ chức trong việc theo đuổi các mục tiêu của nó.
Quản lý rủi ro là một phần không thể thiếu của quản lý vì nó bao gồm các hoạt động được phối hợp liên quan tới tác động của sự không chắc chắn đối với những mục tiêu. Đó là lý do tại sao, để có hiệu lực, điều quan trọng là quản lý rủi ro phải được tích hợp đầy đủ vào hệ thống quản lý và các quá trình quản lý của tổ chức.
Trong tiêu chuẩn này, cũng như trong TCVN ISO 31000, khái niệm “quản lý rủi ro” đề cập cơ cấu kiến trúc mà các tổ chức đang sử dụng (các nguyên tắc, khuôn khổ và các quá trình) để quản lý rủi ro một cách hiệu lực và khái niệm “việc quản lý rủi ro” đề cập đến việc áp dụng cơ cấu kiến trúc cho những quyết định, hoạt động và rủi ro cụ thể.
Phụ lục B
(tham khảo)
Áp dụng các nguyên tắc của TCVN ISO 31000
B.1 Khái quát
Trong khi tất cả các tổ chức đều quản lý rủi ro ở những mức độ nhất định thì TCVN ISO 31000:2011 (ISO 31000:2009) thiết lập mười một nguyên tắc cần được thỏa mãn để thực hiện quản lý rủi ro hiệu lực. Các nguyên tắc này nêu các hướng dẫn về:
a) Cơ sở để quản lý rủi ro có hiệu lực (ví dụ như quản lý rủi ro tạo ra và bảo vệ giá trị);
b) Những đặc điểm của quản lý rủi ro cho phép quản lý rủi ro có hiệu lực, ví dụ như nguyên tắc b), quy định rằng việc quản lý rủi ro là một phần không thể thiếu của tất cả các quá trình của tổ chức.
Trong TCVN ISO 31000, mỗi nguyên tắc được tóm tắt qua một vài từ ở tiêu đề của nó, kèm phần giải thích hoặc sự cụ thể hóa bằng lời để hỗ trợ.
Tất cả mười một nguyên tắc sẽ được cân nhắc khi thiết kế các mục tiêu quản lý rủi ro của tổ chức, tuy nhiên, ý nghĩa của các nguyên tắc riêng biệt có thể thay đổi tùy theo các phần của khuôn khổ tổ chức được xem xét và được thay đổi đối với việc áp dụng cụ thể của họ.
Việc áp dụng thành công các nguyên tắc này sẽ giúp xác định cả tính hiệu lực và hiệu quả của hoạt động quản lý rủi ro trong tổ chức. Luôn phải ghi nhớ đủ cả mười một nguyên tắc này, cho dù ý nghĩa của những nguyên tắc riêng biệt có thể thay đổi tùy theo từng phần của khuôn khổ quản lý đang được xem xét.
Mặc dù các nguyên tắc này được diễn tả một cách, nhưng những cách áp dụng mỗi nguyên tắc lại đòi hỏi phải am hiểu kỹ để tạo được sự tác động đối với chúng trên cơ sở liên tục cải tiến.
Sau đó, những kết quả phân tích này cần được phản ánh trong thiết kế hoặc trong thay đổi của khuôn khổ (ví dụ trong việc giao trách nhiệm, cung cấp việc đào tạo, thông tin với các bên liên quan và thiết kế để giám sát và xem xét lại thường xuyên về kết quả hoạt động quản lý rủi ro).
Phụ lục này cung cấp hướng dẫn về cách thức áp dụng từng nguyên tác và ngoài ra, đối với một số nguyên tắc, còn có phần hỗ trợ thực tiễn nêu riêng trong phần có đóng khung.
B.2 Các nguyên tắc
B.2.1 Quản lý rủi ro tạo ra và bảo vệ giá trị
B.2.1.1 Nguyên tắc
a) Quản lý rủi ro tạo ra và bảo vệ giá trị
Quản lý rủi ro góp phần vào việc đạt được mục tiêu và cải tiến việc thực hiện, như an toàn và sức khỏe con người, an ninh, tuân thủ luật định và chế định, sự chấp nhận của công chúng, bảo vệ môi trường, chất lượng sản phẩm, quản lý dự án, hiệu quả hoạt động, quản trị và uy tín. |
B.2.1.2 Áp dụng nguyên tắc
Mục đích của quản lý rủi ro là tạo ra và bảo vệ các giá trị bằng cách giúp cho tổ chức đạt được các mục tiêu của mình. Nguyên tắc này giúp cho tổ chức xác định và xử lý các yếu tố cả bên trong hoặc bên ngoài của nó làm phát sinh và gia tăng sự không chắc chắn liên quan đến các mục tiêu của mình.
Mối liên hệ giữa tính hiệu lực của quản lý rủi ro và cách để nó góp phần vào sự thành công của tổ chức phải được chứng minh và truyền đạt rõ ràng. Nguyên tắc này nêu rõ, không nên quản lý rủi ro vì lợi ích riêng của mình mà phải quản lý rủi ro sao cho các mục tiêu sẽ đạt được mà kết quả thực hiện lại được nâng cao.
Có những thuộc tính và các đại lượng khó đo trực tiếp (ví dụ như đo bằng tiền), nhưng chúng cũng đóng góp mạnh mẽ cho kết quả thực hiện, cho uy tín và việc tuân thủ pháp luật. Các giá trị về con người, xã hội và sinh thái đặc biệt quan trọng trong việc quản lý an ninh, an toàn và các rủi ro liên quan đến việc tuân thủ, hay tương tự, các rủi ro có liên quan tới tài sản vô hình, chính vì vậy, cần tạo ra đại lượng có thể được biểu đạt nhờ sử dụng các mô tả định tính chứ không phải là nhờ các thước đo định lượng.
B.2.2 Quản lý rủi ro là một phần không tách rời của tất cả các quá trình của tổ chức
B.2.2.1 Nguyên tắc
b) Quản lý rủi ro là một phần không tách rời của tất cả các quá trình của tổ chức
Quản lý rủi ro không phải là một hoạt động độc lập, tách biệt với các hoạt động và quá trình chính của tổ chức. Quản lý rủi ro là một phần trong trách nhiệm quản lý và là phần không thể thiếu trong tất cả các quá trình của tổ chức, bao gồm các quá trình hoạch định chiến lược, tất cả các dự án và quản lý thay đổi. |
B.2.2.2 Áp dụng nguyên tắc
Các hoạt động của một tổ chức, bao gồm cả các quyết định được ban hành đều làm phát sinh, gia tăng rủi ro. Những thay đổi trong bối cảnh bên ngoài nằm ngoài tầm kiểm soát và ảnh hưởng của tổ chức cũng có thể làm phát sinh, rủi ro mới.
Tất cả các hoạt động và quá trình của tổ chức diễn ra dù trong môi trường bên trong và bên ngoài, thì đều có sự không chắc chắn. Nó liên quan các nội dung sau:
a) Khuôn khổ quản lý rủi ro cần phải được thực hiện bằng cách kết hợp các thành phần của nó vào hệ thống quản lý và ra quyết định chung của tổ chức, cho dù hệ thống là chính thức hay không chính thức; các quá trình quản lý hiện tại có thể được cải thiện bằng cách tham khảo TCVN ISO 31000;
b) Quá trình quản lý rủi ro là một phần gắn liền của các hoạt động tạo ra rủi ro; nếu không, tổ chức sẽ thấy sự cần thiết để điều chỉnh quyết định sau đó khi hiểu được các rủi ro liên quan;
c) Nếu chưa có một hệ thống quản lý chính thức, có thể áp dụng khuôn khổ quản lý rủi ro để sử dụng cho mục đích này.
Nếu việc quản lý rủi ro không được tích hợp vào các hoạt động và các quá trình quản lý, nó có thể được coi là một nhiệm vụ bổ sung mang tính quản trị, hoặc xem như một công việc điều hành của văn phòng chứ không phải dạng công việc tạo ra hoặc bảo vệ giá trị.
Có hai phương pháp chính để áp dụng các nguyên tắc như nêu dưới đây:
– Đưa vào giai đoạn lập khuôn khổ quản lý rủi ro (bao gồm cả việc duy trì và cải tiến).
– Đưa vào việc áp dụng các quá trình quản lý rủi ro để ra quyết định và các hoạt động liên quan.
Phương pháp biểu thị ý định của tổ chức về quản lý rủi ro cần được nêu tương tự như cách mà nó thể hiện những ý định khác của tổ chức (ví dụ nhiệm vụ và cam kết) (xem Phụ lục C). Bất cứ khi nào có thể, các thành phần khác của khuôn khổ quản lý rủi ro cần được lồng ghép vào các thành phần của các hệ thống quản lý hiện có (Chỉ dẫn chi tiết hơn có thể xem trong Phụ lục F và trong TCVN ISO 31000).
Các tổ chức đánh giá cũng có thể đóng một vai trò quan trọng, chẳng hạn thông qua việc tìm hiểu xem lãnh đạo đã ra các quyết định như thế nào và kiểm tra xem liệu quyết định đó có được đưa vào triển khai một cách thích hợp trong quá trình quản lý rủi ro.
B.2.3 Quản lý rủi ro là một phần của việc ra quyết định.
B.2.3.1 Nguyên tắc
c) Quản lý rủi ro là một phần của việc ra quyết định
Quản lý rủi ro giúp những người ra quyết định đưa ra những lựa chọn sáng suốt, hành động ưu tiên và phân biệt giữa các kế hoạch hành động thay thế. |
B.2.3.2 Áp dụng nguyên tắc
Nguyên tắc này nêu rằng, quản lý rủi ro cung cấp nền tảng cho việc ra quyết định đúng đắn. Quản lý rủi ro cần được lồng ghép vào các hoạt động hỗ trợ cho việc đạt được các mục tiêu và quá trình ra quyết định. Quá trình ra quyết định cần được đánh giá một cách nhất quán và khi cần thiết, cả cách xử lý rủi ro. Chấp nhận hay không chấp nhận các quyết định đều liên quan đến rủi ro, và điều quan trọng là hiểu biết về các rủi ro liên quan trong cả hai trường hợp.
Quản lý rủi ro cần phải được áp dụng như là một phần của một quyết định, và phải được thực hiện ngay tại thời điểm ra quyết định (nghĩa là chủ động) chứ không phải sau khi đã có quyết định (tính bị động – đối phó). Ví dụ như:
– Khi ra các quyết định về các vấn đề chiến lược cần cân nhắc những bất ổn liên quan đến những thay đổi trong các yếu tố môi trường, cũng như những thay đổi về các nguồn lực của tổ chức;
– Quá trình đổi mới nên được tiến hành trên cơ sở cân nhắc không chỉ về sự không chắc chắn có quyết định sự thành công của việc đổi mới, mà còn cả những rủi ro liên quan đến con người, xã hội, an toàn và các khía cạnh môi trường của sự đổi mới, những việc phải xử lý theo yêu cầu của pháp luật ví dụ như an toàn sản phẩm);
– Các kế hoạch gắn với vốn đầu tư lớn phải xác định các mốc trọng yếu ra quyết định mà tại đó sẽ phải tiến hành đánh giá rủi ro.
Chính sách của tổ chức về quản lý rủi ro và cách thức mà nó được truyền đạt cần phản ánh nguyên tắc này.
Khi thiết lập các phần khác của khuôn khổ này ta cũng cần cân nhắc cách đưa ra quyết định sao cho quá trình này được áp dụng một cách hiệu quả và nhất quán trong tất cả các bước đưa ra quyết định, ví dụ như quản lý dự án, thẩm định đầu tư, mua sắm
Người có trách nhiệm ra quyết định chung trong tổ chức phải hiểu chính sách quản lý rủi ro của tổ chức và phải đáp ứng yêu cầu cụ thể để có năng lực áp dụng quy trình quản lý rủi ro đối với việc ra quyết định. Điều này sẽ đòi hỏi phải có sự phân định rõ ràng trách nhiệm tại các vị trí, việc được hỗ trợ đào tạo kỹ năng và cách xem xét kết quả thực hiện.
Hỗ trợ thực tế:
Để có tác dụng đối với nguyên tác này, ngay từ đầu; cần xem xét một cách cẩn thận các câu hỏi sau: – Làm thế nào để điều này có thể giúp tạo ra và bảo vệ các giá trị? (Nguyên tắc a) – Các quyết định trong tổ chức được đưa ra như thế nào và từ đâu? – Ai tham gia vào việc ra quyết định? – Kiến thức và kỹ năng gì là cần thiết cho những người ra các quyết định và đảm bảo việc quản lý rủi ro sẽ là một phần trong việc ra quyết định của họ? – Làm thế nào để những người ra quyết định có được kiến thức và kỹ năng mà họ cần? – Những định hướng và sự hỗ trợ nào là cần thiết cho nhân viên hiện có? – Làm thế nào để các nhân viên mới sẽ được làm quen với phương pháp ra quyết định này ? – Làm thế nào để có thể tác động tới các bên liên quan bên ngoài? – Quá trình đưa ra quyết định trong tổ chức cần phải thay đổi điều gì? – Làm thế nào để giám sát sự tiến bộ trong việc áp dụng nguyên tắc này? |
B.2.4 Quản lý rủi ro đặc biệt chú trọng đến sự không chắc chắn
B.2.4.1 Nguyên tắc
d) Quản lý rủi ro đặc biệt chú trọng đến sự không chắc chắn
Quản lý rủi ro tính đến sự không chắc chắn, bản chất của sự không chắc chắn và cách thức giải quyết. |
B.2.4.2 Áp dụng nguyên tắc
Trong các loại hình quản lý, quản lý rủi ro là loại hình quản lý duy nhất gắn liền một cách cụ thể tới tác động của sự không chắc chắn đối với các mục tiêu. Rủi ro chỉ có thể được đánh giá hoặc xử lý thành công nếu ta hiểu được bản chất và nguồn gốc của sự không chắc chắn đó.
Mọi hình thức không chắc chắn đều đòi hỏi phải cân nhắc, theo dõi và cần được đánh giá đúng, không đánh giá cao hoặc thấp hơn.
Chú trọng vào sự không chắc chắn là quan trọng khi lựa chọn những cách xử lý và khi xem xét các tác động và độ tin cậy của việc kiểm soát. Tương tự như vậy, sẽ có những sự không chắc chắn gắn liền với các bước hỗ trợ của quá trình quản lý rủi ro, ví dụ: liệu thông tin đã được chuyển tải thành công khi giao tiếp và tham vấn với các bên liên quan, hoặc liệu các khoảng thời gian đã được lựa chọn cho quá trình giám sát là đủ để phát hiện sự thay đổi.
Những người tham gia quản lý rủi ro cần phải nhạy cảm, biết được mức độ quan trọng của sự không chắc chắn, biết các loại hình và nguồn của sự không chắc chắn. Số lượng và chủng loại các phương pháp đánh giá rủi ro được sử dụng để giải quyết sự không chắc chắn phải phù hợp và liên quan đến mức quan trọng của quyết định: có thể dùng nhiều phương pháp đa dạng.
Ghi nhận các tình huống giả định khi lập hồ sơ quá trình quản lý rủi ro [TCVN ISO 31000: 2011 (ISO 31000:2009), 5.7]. Các tình huống giả định thường phản ánh một số hình thức của sự không chắc chắn, cũng như bất kỳ sự không chắc chắn rõ ràng đã được phát hiện tại các bước khác nhau của quá trình.
Khi một rủi ro đang được đánh giá, điều quan trọng là phải xem xét sự không chắc chắn đó sẽ liên quan đến mức độ ước tính nào về khả năng có thể xảy ra được và hệ quả của nó.
Khi phân tích rủi ro và đề xuất các biện pháp xử lý, cần áp dụng những nghiên cứu đủ độ nhạy để hiểu rõ ảnh hưởng thực tế của những điều không chắc chắn như vậy.
Hỗ trợ thực tế
– Những người ra quyết định nên thừa nhận thực tế là luôn phải hỏi “các giả định là gì?” Và “những bất ổn liên quan đến các giả định này là gì?”. Chỉ dẫn thực hành này không giới hạn cho một dạng xác định khi đánh giá rủi ro, nghĩa là, nó có thể áp dụng cho tất cả các giả định. – Khi xem xét môi trường bên trong và bên ngoài như một phần của việc thiết lập bối cảnh, thì bất kỳ đặc điểm nào có thể liên quan tới sự biến động cao nên được lưu ý. Đây chính là nguồn gốc của sự không chắc chắn và nó thông tin cho ta cách thức bối cảnh này cần được theo dõi và xem xét thường xuyên. – Nếu sự không chắc chắn cho thấy một giá trị cụ thể đã được biết và chỉ nằm trong phạm vi nhất định thì phải thông báo phạm vi này. |
B.2.5 Quản lý rủi ro có tính hệ thống, cấu trúc và kịp thời
B.2.5.1 Nguyên lý
e) Quản lý rủi ro có tính hệ thống, cấu trúc và kịp thời
Phương pháp tiếp cận kịp thời, có cấu trúc và mang tính hệ thống của quản lý rủi ro tạo ra hiệu quả và các kết quả nhất quán, có thể so sánh được và đáng tin cậy. |
B.2.5.2 Áp dụng nguyên tắc
Cách tiếp cận nhất quán đối với tình trạng rủi ro đang được quản lý tại thời điểm ra các quyết định sẽ tạo ra hiệu quả trong một tổ chức, và có thể cung cấp các kết quả xác lập nên sự tin cậy và sự thành công. Điều này đòi hỏi những cách thực hiện của tổ chức đó, chẳng hạn cân nhắc các rủi ro liên quan đến tất cả các quyết định, quan tâm việc sử dụng các tiêu chí rủi ro nhất quán, có liên quan đến các mục tiêu của tổ chức cũng như phạm vi các hoạt động của nó.
Cách tiếp cận có xét đến yếu tố thời gian thể hiện rằng, quá trình quản lý rủi ro được áp dụng tại các điểm tối ưu trong quá trình ra quyết định. Một phần, điều này phụ thuộc vào việc thiết kế các khuôn khổ thực hiện mà theo đó nguyên tắc này được áp dụng. Nếu việc cân nhắc rủi ro được thực hiện quá sớm hoặc quá muộn, thì hoặc mất các cơ hội, hoặc phải bổ sung khoản chi phí đáng kể cho việc xem xét lại quyết định. Những tình huống có sự phụ thuộc thời gian cần được đánh giá và hiểu để xác định cách quản lý rủi ro hiệu quả nhất.
Cách tiếp cận có xét tới cơ cấu tổ chức thể hiện rằng việc áp dụng quá trình quản lý rủi ro tuân theo cách mô tả trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 5, bao gồm cả những việc chuẩn bị thích hợp cho các hoạt động này. Tùy thuộc vào nhu cầu, phương pháp này cần nhất quán với cách tiếp cận từ trên xuống hay cách tiếp cận từ dưới lên để gắn với đúng cấp quản lý tương ứng.
B.2.6 Quản lý rủi ro dựa trên thông tin tốt nhất sẵn có
B.2.6.1 Nguyên tắc
f) Quản lý rủi ro dựa trên những thông tin tốt nhất sẵn có.
Đầu vào cho quá trình quản lý rủi ro dựa trên các nguồn thông tin như dữ liệu quá khứ, kinh nghiệm, phản hồi của các bên liên quan, quan trắc, dự báo và phán đoán của chuyên gia. Tuy nhiên, những người ra quyết định nên tự tìm hiểu, xem xét bất kỳ hạn chế nào về dữ liệu hay mô hình được sử dụng hoặc khả năng bất đồng giữa các chuyên gia. |
B.7.6.2 Áp dụng nguyên tắc
Điều quan trọng là phải có được những thông tin hiện có tốt nhất để có một sự hiểu biết chính xác về mọi rủi ro. Do đó, khuôn khổ quản lý rủi ro cần bao gồm các phương pháp (ví dụ nghiên cứu) để thu thập và tạo thông tin. Tuy nhiên, dù có mọi nỗ lực tốt nhất, đôi khi, những thông tin có sẵn vẫn bị hạn chế. Ví dụ: dự đoán những gì sẽ xảy ra trong tương lai thường bị giới hạn đối với việc sử dụng các dữ liệu về thống kê.
Từ các thông tin, ta cần hiểu được độ nhạy của các quyết định đối với bất kỳ sự không chắc chắn nào. Độ tin cậy của đánh giá rủi ro sẽ phụ thuộc một phần vào sự rõ ràng và chính xác của tiêu chí rủi ro. Thu thập dữ liệu có liên quan rủi ro (ví dụ như sự xuất hiện của sự cố và các thông tin mang tính kinh nghiệm khác) có thể hỗ trợ nhờ phương pháp đánh giá thống kê.
Mặc dù việc đưa ra quyết định dựa trên bằng chứng là mục tiêu cuối cùng, điều này có thể không phải luôn luôn có thể làm được trong khoảng thời gian xác định hoặc với các nguồn lực sẵn có. Trong những tình huống như vậy, có thể sử dụng cách đánh giá mang tính chuyên gia, kết hợp với các thông tin hiện có. Tuy nhiên, cần cẩn trọng để tránh sai lệch dạng nhóm khi áp dụng cách đánh giá như vậy. Hơn thế, bằng chứng của quá khứ có thể không dự đoán chính xác cho tương lai. Trong các tình huống có khả năng hiện diện của những sự kiện có hệ quả rất cao, thì phải cảnh báo khi thấy thông tin không đầy đủ và khi có bằng chứng về tác hại tiềm năng, chứ không phải chờ tới khi có bằng chứng sự thực sự về sự có hại.
Nguyên tắc này cũng được áp dụng cho việc thiết kế (hoặc cải tiến) khuôn khổ quản lý rủi ro, bởi vì sẽ có các khía cạnh của khuôn khổ này (ví dụ, đối với những người tiến hành khảo sát năng lực, hoặc những người thu thập, phân tích, cập nhật và tạo thông tin để hỗ trợ việc áp dụng của quá trình) những khía cạnh đó sẽ quyết định nguyên tắc này được áp dụng tốt như thế nào.
Cần thường xuyên đánh giá độ tin cậy, độ chính xác của thông tin về sự phù hợp, kịp thời, đáng tin cậy, với những giả định được lập thành văn bản. Khuôn khổ cũng cần được định kỳ xem xét, đề đưa ra các thông tin cập nhật hay chỉnh sửa.
Hỗ trợ thực tế
– Khi thiết kế cách thức báo cáo các sự cố trước hết cần cân nhắc cẩn thận về các quyết định nào thông tin này có thể hỗ trợ tức là những người sử dụng cuối cùng, hiện tại và trong tương lai là ai, các thông tin này có thể cần thiết được lưu trữ, sắp xếp như thế nào, làm thế nào để nó được toàn vẹn, được bổ sung, truy cập được. Một khi điều này đã được thực hiện, hình thức báo cáo có thể được thiết kế với lưu ý rằng, chất lượng được tạo ra bởi thông tin đó có thể bị ảnh hưởng bởi thời điểm cần tiếp nhận nó. – Mô tả về bối cảnh (bao gồm cả ngày nó được viết ra) phải bao gồm như là một phần của các mô tả và tài liệu chi tiết về những rủi ro chính phải đối mặt (ví dụ như bản đăng ký rủi ro). Điều này cho phép những người sử dụng bản đăng ký này cân nhắc được mọi sự thay đổi trong bối cảnh có thể đã xảy ra sau đó với những thay đổi trong rủi ro. – Trường hợp các giả định đã được thực hiện trong đánh giá, cần ghi lại rõ ràng, dễ hiểu về tính hợp lý của những giả định, kể cả những giới hạn bất kỳ. – Khi thiết kế cách xử lý rủi ro, cần cân nhắc xem kết quả thực hiện của việc kiểm soát khi xử lý sẽ được theo dõi và có sẵn như thế nào để những người nêu các quyết định sau này có thể dựa vào những cách kiểm soát đó. |
B.2.7 Quản lý rủi ro cần phù hợp
B.2.7.1 Nguyên tắc
g) Quản lý rủi ro cần phù hợp
Quản lý rủi ro phù hợp với bối cảnh bên trong và bên ngoài của tổ chức và đặc trưng của rủi ro. |
B.2.7.2 Áp dụng nguyên tắc
TCVN ISO 31000 cung cấp một cách tiếp cận chung để quản lý rủi ro, nó có thể áp dụng cho tất cả các loại hình tổ chức và tất cả các loại rủi ro. Mọi tổ chức đều có văn hóa và đặc điểm, có các tiêu chí rủi ro và bối cảnh của hoạt động riêng của chính họ. Quản lý rủi ro cần phù hợp để đáp ứng các nhu cầu của từng tổ chức.
Sẽ không có một cách đơn biệt, chính xác kiểu chuẩn mực để thiết kế và áp dụng khuôn khổ và các quá trình quản lý rủi ro vì chúng đòi hỏi sự linh hoạt và điều chỉnh thích ứng trong mỗi một tổ chức. Việc thiết kế có thể được xác định bởi nhiều khía cạnh, bao gồm quy mô tổ chức, văn hóa, ngành, cấu hình và phong cách quản lý.
Các lĩnh vực rủi ro khác nhau có thể đòi hỏi các quá trình điều chỉnh khác nhau dù trong cùng một tổ chức. Khi tất cả các quá trình phù hợp với TCVN ISO 31000, thì vẫn có sự khác biệt trong hệ thống, trong các mô hình và trong mức độ đánh giá có liên quan, ví dụ như giữa những người tham gia trong việc đánh giá các rủi ro liên quan đến công nghệ thông tin, rủi ro trong quản lý tài sản và trong đầu tư, hoặc những rủi ro liên quan đến đối thủ cạnh tranh. Mỗi quá trình đều cần thích hợp với mục đích cụ thể của nó.
Vì mục đích của khuôn khổ quản lý này là để đảm bảo rằng quá trình quản lý rủi ro sẽ được áp dụng cho việc ra quyết định một cách có hiệu quả và phản ánh được chính sách, việc thiết kế khuôn khổ nên phản ánh xem các quyết định được đưa ra tại đâu và như thế nào và cần cân nhắc tới bất kỳ nghĩa vụ pháp lý hoặc bổn phận bên ngoài khác mà theo đó tổ chức có cam kết.
Điều quan trọng là cần nhớ rằng phù hợp không ám chỉ việc thay đổi các yếu tố của khuôn khổ (như mô tả trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 4) hoặc các bước của quá trình này (xem TCVN ISO 31000:2011 (ISO 31000:2009), Điều 5). Tất cả những điều trên đều là cốt lõi cho việc quản lý rủi ro có hiệu lực.
Nguyên tắc này là quan trọng trong việc thiết kế và hoàn thiện khuôn khổ quản lý rủi ro và nó cũng liên quan tới cách mà các khía cạnh của chính quá trình được xác lập.
Nguyên tắc này cũng biểu thị rằng tổ chức cần xem xét các vấn đề nội bộ, ví dụ: nguồn lực nhân viên (nguồn lực đó, nếu khá cao, có thể cần những sự điều chỉnh phù hợp với quy mô đào tạo ban đầu, để đảm bảo rằng tất cả các nhân viên mới có thể đáp ứng những gì đòi hỏi đối với họ về quản lý rủi ro).
Sự phù hợp của một khuôn khổ là cần thiết để đạt được sự tích hợp với các quá trình ra quyết định của tổ chức. Cũng có khả năng, chính những quá trình ra quyết định như vậy cần được điều chỉnh cho phù hợp với một khuôn khổ quản lý rủi ro đã được lập.
Hỗ trợ thực tế:
– Thiết kế khuôn khổ quản lý rủi ro cần bao gồm việc tìm kiếm và cân nhắc các quan điểm của những người sẽ tham gia vào việc áp dụng nó. – Xây dựng một sự hiểu biết sâu sắc hơn về các khái niệm cơ bản của TCVN ISO 31000 sẽ giúp đảm bảo rằng sự phù hợp cả khuôn khổ và quá trình sẽ đạt được các thuộc tính của quản lý rủi ro có hiệu lực, như được liệt kê trong TCVN ISO 31000:2011 (ISO 31000:2009), Phụ lục A. Ngược lại, nếu chỉ đánh dấu vào các ô thì sẽ không đạt được điều này. |
B.2.8 Quản lý rủi ro có tính đến các yếu tố con người và văn hóa
B.2.8.1 Nguyên tắc
h) Quản lý rủi ro có tính đến các yếu tố con người và văn hóa
Quản lý rủi ro thừa nhận khả năng, nhận thức và ý định của mọi người bên trong và bên ngoài tổ chức có thể tạo thuận lợi hoặc cản trở việc đạt được mục tiêu của tổ chức. |
B.2.8.2 Áp dụng nguyên tắc
Nguyên tắc này đòi hỏi việc thu thập các quan điểm của các bên liên quan, cũng như hiểu biết rằng quan điểm của những người đó có thể bị ảnh hưởng bởi những đặc điểm về tính cách con người, văn hóa. Các yếu tố cần xem xét bao gồm xã hội, chính trị, văn hóa, cũng như khái niệm về thời gian. Các loại sai sót phổ biến thường bao gồm:
a) thất bại trong việc phát hiện và phản hồi với những cảnh báo sớm
b) Sự thờ ơ với quan điểm của người khác hoặc thiếu kiến thức;
c) Sai lệch do chiến lược xử lý thông tin bị đơn giản hóa khi giải quyết các vấn đề phức tạp;
d) Không nhận ra sự phức tạp.
Khi thiết kế các cơ cấu quản lý và khi áp dụng tất cả các khía cạnh của quá trình quản lý rủi ro, các hành động cụ thể là cần thiết để hiểu và vận dụng được các yếu tố về con người và văn hóa như vậy.
Khi xác lập cơ cấu quản lý, cơ cấu truyền thống về rủi ro cần cân nhắc các đặc điểm văn hóa và các mức độ hiểu biết của đối tượng liên quan.
Hỗ trợ thực tế:
– Các nhà quản lý cần hành động theo cách để thể hiện rằng họ thúc đẩy và hỗ trợ cũng như tôn trọng và hiểu biết những sự khác biệt cá nhân. – Tôn trọng những người được hỏi về quan điểm của họ. – Về nguyên tắc chung, các tổ chức đều khen thưởng những gì họ coi trọng. Nếu việc lựa chọn nhân viên, khuyến khích và trả thù lao không có mối liên hệ công khai đến các kết quả hoạt động quản lý rủi ro thực tế, sẽ khó mà tin rằng những kết quả thực hiện như vậy sẽ là chuẩn mực mong đợi. Những nỗ lực của cá nhân phải được ghi nhận một cách thích hợp. – Về nguyên tắc chung, việc dựa vào sự kiểm soát của một cá nhân để thực hiện thay đổi lớn đối với rủi ro là thiếu thận trọng. – Các tổ chức đa quốc gia cần am hiểu và khôn ngoan khi ghi nhận tầm quan trọng của văn hóa trong việc xác định hành vi ứng xử của mọi người. |
Hỗ trợ thực tế:
Ví dụ về các câu hỏi hữu ích về yếu tố con người và tổ chức bao gồm: – Liệu cơ cấu tổ chức có phù hợp với nhu cầu của tổ chức? – Liệu những cá nhân có trách nhiệm giải trình chính thức đã được xác định rõ ràng? – Liệu tất cả những bản mô tả công việc có nêu những quy định rõ ràng về quyền hạn và trách nhiệm của cá nhân? – Liệu tất cả các kênh trao đổi thông tin đều rõ ràng và có hiệu lực? – Liệu thỉnh thoảng đã tiến hành kiểm tra xem trao đổi thông tin được chuyển tải, được hiểu một cách chính xác tại tất cả các cấp trong tổ chức? – Liệu những gì liên quan đến đạo đức, tinh thần trong tổ chức được theo dõi, giám sát không? – Có xem xét mối quan hệ tương quan giữa các tổ đội không ? – Có khuôn khổ để nhận ra và phản hồi đối với các tin đồn trong tổ chức trước khi chúng gây tác động tiêu cực? – Chính sách tuyển dụng, đãi ngộ và thăng tiến có rõ ràng không ? – Nếu chính sách đang có vấn đề, liệu có một quá trình xem xét lại? – Các chính sách và các quá trình có được coi trọng không? Nếu không, có tiến hành tìm hiểu? Chúng có bị ép buộc tuân thủ không? – Các chuyên gia đánh giá nội bộ và bên ngoài có tìm thấy các hành vi, cách ứng xử không an toàn hoặc phi đạo đức trong tổ chức? |
B.2.9 Quản lý rủi ro cần minh bạch và có sự tham gia của các bên
B.2.9.1 Nguyên tắc
i) Quản lý rủi ro cần minh bạch và có sự tham gia của các bên
Việc tham gia thích hợp và kịp thời của các bên liên quan, đặc biệt là những người ra quyết định ở các cấp của tổ chức, đảm bảo rằng việc quản lý rủi ro duy trì sự phù hợp và cập nhật. Việc tham gia này cũng cho phép các bên liên quan có được sự đại diện thích hợp và quan điểm của họ được xem xét khi xác định tiêu chí rủi ro. |
B.2.9.2 Áp dụng nguyên tắc
Nguyên tắc này có thể có tác dụng tại các cấp quản lý khác nhau. Nó có thể được phản ánh trong chính sách quản lý rủi ro của tổ chức (ví dụ: “Chúng tôi sẽ thông báo và hỏi ý kiến các bên liên quan nhằm mong họ hiểu được các mục tiêu của chúng tôi và có thể đóng góp kiến thức và quan điểm của họ để hỗ trợ trong việc ra quyết định của chúng tôi’).
Việc tham vấn với các bên liên quan đòi hỏi lập kế hoạch cẩn thận và được xem như một phần của việc áp dụng các quá trình quản lý rủi ro. Đây là nơi mà niềm tin có thể được tạo dựng hay đánh mất. Để có hiệu quả và tăng cường niềm tin trong các kết quả, các bên liên quan nên tham gia vào tất cả các khía cạnh của quá trình quản lý rủi ro, bao gồm cả việc thiết kế quá trình trao đổi thông tin và tham vấn.
Khi áp dụng nguyên tắc này nên xem xét các vấn đề bảo mật, an ninh và sự riêng tư, Ví dụ: có thể yêu cầu thông tin trong danh mục rủi ro được tạo lập một cách tách biệt sao cho có thể hạn chế việc truy cập vào một số thông tin.
Hỗ trợ thực tế:
– Trong đào tạo quản lý rủi ro, có thể vận dụng cách “đóng vai diễn” liên quan đến trao đổi thông tin và tham vấn. – Việc đánh giá cần được thực hiện theo cách để những người nhận được thông tin sẽ cảm nhận được nó. – Định kỳ cung cấp thông tin phản hồi, chứng minh những gì đã hứa hoặc đã được dự định và thực tế chúng đã được thực hiện như thế nào. – Những ý kiến được gửi đến một cách tự nguyện cũng cần được khuyến khích, ghi nhận và đánh giá cao và bất cứ khi nào có thể, cần phản hồi về chúng. |
B.2.10 Quản lý rủi ro cần năng động, lặp lại và đáp ứng với sự thay đổi
B.2.10.1 Nguyên tắc
j) Quản lý rủi ro cần năng động, lặp lại và đáp ứng với sự thay đổi
Việc quản lý rủi ro cảm nhận và đáp ứng liên tục với thay đổi. Vì các sự kiện nội bộ và bên ngoài xảy ra, bối cảnh và kiến thức thay đổi, việc theo dõi và xem xét rủi ro diễn ra, những rủi ro mới xuất hiện, một số rủi ro thay đổi và những rủi ro khác biến mất. |
B.2.10.2 Áp dụng nguyên tắc
Bất kỳ sự thay đổi trong các mục tiêu của tổ chức, hoặc của bất kỳ khía cạnh trong các bối cảnh bên trong hay bên ngoài, chắc chắn sẽ làm thay đổi rủi ro (ví dụ như tái cơ cấu nội bộ, có thêm một nhà cung cấp chính mới, hoặc sự thay đổi trong điều luật có liên quan). Tương tự như vậy, những thay đổi trong bối cảnh tổ chức (ví dụ như việc mua lại một công ty khác, có được một hợp đồng lớn mới) đều có thể đòi hỏi thay đổi trong cơ cấu quản lý (ví dụ như trong đào tạo các chuyên gia về rủi ro). Quá trình quản lý rủi ro cần được thiết kế để phản ánh sự năng động của tổ chức (ví dụ như tốc độ của sự thay đổi).
TCVN ISO 31000 nêu hai cách gồm theo dõi và xem xét (đối với khuôn khổ và quá trình). Mỗi cách có đặc điểm riêng cho mục đích của nó và mỗi cách đều yêu cầu sự thấu hiểu và áp dụng.
Cơ cấu quản lý cần được theo dõi và xem xét để đảm bảo nó có thể tiếp tục có hiệu lực cho các nguyên tắc quản lý rủi ro hiệu quả, có hiệu lực cho chính sách quản lý rủi ro của tổ chức và hỗ trợ việc áp dụng quá trình này để đưa ra quyết định của tổ chức.
Hoạt động theo dõi và xem xét cần được kết hợp trong mỗi bước cốt lõi của quá trình quản lý rủi ro.
Các hoạt động kiểm soát cũng nên được xem xét lại để đảm bảo tiếp tục có hiệu lực và đáp ứng với sự thay đổi. Ví dụ, những hoạt động kiểm soát lệ thuộc vào kết quả thực hiện của những người cụ thể sẽ có thể không có hiệu quả nếu đã có những sự thay đổi về nhân sự.
Hoạt động theo dõi và xem xét cần được điều chỉnh cẩn thận, cụ thể, chúng cần nhạy cảm với các yếu tố của sự thay đổi mà chúng có thể có những ảnh hưởng rõ nét nhất. Việc theo dõi và xem xét cần đánh giá được mức độ quan trọng mang tính thường xuyên của các chỉ số dùng để theo dõi và nếu cần các chỉ số này sẽ được điều chỉnh theo sự thay đổi hoặc bối cảnh mới xuất hiện.
Việc theo dõi và xem xét là những hoạt động có sự khác biệt, như được giải thích trong TCVN ISO 31000:2011 (ISO 31000:2009), 4.5 và 5.6. Theo dõi liên quan tới việc quan trắc liên tục các thông số quan trọng để xác định xem liệu chúng đang thực hiện như dự định hay là giả định không. Xem xét được thực hiện từ thời điểm này đến thời điểm khác, được bố trí theo mục đích của nó và thường được dùng để xác định liệu các giả định mà từ đó các quyết định đã được nêu (ví dụ thiết kế khuôn khổ quản lý) hiện tại còn hiệu lực hay không, và do đó dẫn đến việc liệu có cần xem xét các quyết định này không.
Việc xem xét cũng cần cân nhắc tới trí thức và công nghệ mới.
Hỗ trợ thực tế:
– Khi áp dụng quá trình quản lý rủi ro và khi xác lập tuyên bố về bối cảnh, cần xác định các thành phần (ví dụ như các đặc điểm của môi trường bên ngoài) có nhiều khả năng thay đổi và cần theo dõi chặt chẽ chúng về sự thay đổi. Bất kỳ một sự thay đổi đều có thể yêu cầu đánh giá lại toàn bộ hoặc một số các rủi ro đã được lập thành tài liệu. – Cần và khuyến khích có biện pháp cảnh báo cho mọi người có liên quan về tình trạng hiện tại đáng lo ngại (chẳng hạn bằng cách tạo tiếng còi). – Ngay cả các tổ chức nhỏ cũng nên lưu ý những thay đổi ở mức toàn cầu, ví dụ: cuộc khủng hoảng tài chính toàn cầu năm 2008 đã có tác động sâu sắc đến một số nhà cung cấp nhỏ mà các khách hàng lớn của họ là các tổ chức chịu tác động trực tiếp hoặc gián tiếp bởi những thất bại của ngân hàng. Các sự kiện bên ngoài hoặc những bối cảnh mới xuất hiện như vậy có thể yêu cầu thay đổi một cách chủ động đối với các khuôn khổ quản lý rủi ro. |
B.2.11 Quản lý rủi ro tạo thuận lợi cho việc cải tiến liên tục của tổ chức
B.2.11.1 Nguyên tắc
k) Quản lý rủi ro tạo thuận lợi cho việc cải tiến liên tục của tổ chức
Tổ chức cần xây dựng và thực hiện các chiến lược để nâng cao sự nhuần nhuyễn trong việc quản lý rủi ro của mình cùng với tất cả các khía cạnh khác của tổ chức. |
B.2.11.2 Áp dụng nguyên tắc này như thế nào
Cải tiến liên tục các kết quả hoạt động của tổ chức cần gắn kết tương quan với việc cải tiến liên tục kết quả của hoạt động quản lý rủi ro. Việc cải tiến quản lý rủi ro, trên cơ sở ra quyết định dựa trên rủi ro, có thể làm giảm sự không chắc chắn trong việc đạt được các mục tiêu, giảm thiểu biến động và tăng tính linh hoạt. Tuy nhiên, cần thận trọng để không đặt ra kết quả thực hiện quản lý rủi ro một cách quá phức tạp đến mức quá bị áp lực cho việc theo đuổi các cơ hội và mất đi tính linh hoạt của hành động phản hồi.
Thay vào đó, tầm quan trọng của nguyên tắc này nằm trong việc các tổ chức luôn nhớ để cảnh báo về các cơ hội mới để cải tiến. Những cơ hội này có thể phát sinh trong nội bộ (ví dụ như học hỏi được từ các sự cố đã được báo cáo) hoặc bên ngoài (ví dụ như sự sẵn có của các công cụ và kiến thức mới để cải tiến quản lý rủi ro). Nguyên tắc này cũng có liên quan tới việc thường xuyên tìm kiếm các cải tiến trong việc quản lý rủi ro hiệu quả, ví dụ: triển khai công nghệ mới giúp kết nối tốt hơn thông tin cho những người ra quyết định.
Mục tiêu của cải tiến liên tục phải được nêu rõ ràng trong chính sách quản lý rủi ro của tổ chức và được truyền đạt thường xuyên theo cả hai cách chính thức và không chính thức. Cải tiến liên tục có thể bao gồm:
– Cải tiến mức độ tích hợp hoạt động quản lý rủi ro vào hoạt động chung;
– Nâng cao chất lượng đánh giá rủi ro;
– Cải tiến khuôn khổ quản lý, ví dụ chất lượng và cách tiếp cận thông tin;
– Cải tiến tốc độ của việc ra quyết định.
Cải tiến liên tục dựa trên các chỉ số định tính và định lượng của sự tiến bộ. Các tổ chức sử dụng những cách tiếp cận từng giai đoạn và các mô hình đã được xác nhận nên thiết kế các chỉ số sao cho chúng sẽ là động lực cho việc cải tiến liên tục dựa trên các nguồn lực và đặc điểm văn hóa của tổ chức. Mọi tổ chức nên ghi nhận rằng trong nhiều nỗ lực của con người, thành công sẽ nuôi dưỡng thành công. Mục đích của việc quản lý rủi ro hiệu lực thực chất chỉ nằm trong việc nâng cao khả năng để một tổ chức sẽ đạt được đầy đủ các mục tiêu của nó. Một tổ chức đạt được tính hiệu lực trong quản lý rủi ro càng nhanh, sẽ thực hiện được các mục tiêu của mình càng hiệu quả.
Thực ra, trong một số trường hợp, một số cải tiến đòi hỏi thời gian mới đạt được, ví dụ như một số có thể yêu cầu phân bổ kinh phí, hoặc lập kế hoạch và triển khai cẩn thận. Các kế hoạch để cải tiến cần cân nhắc tính ưu tiên và các lợi ích liên quan và có cách theo dõi tiến triển của nó.
Hỗ trợ thực tế:
– Khi sử dụng các yếu tố của việc theo dõi và xem xét cơ cấu quản lý, hàng năm phải xem xét kết quả thực hiện so với các nguyên tắc quản lý rủi ro và xem xét những cải tiến về thiết kế. – Cần đánh giá, xem xét tính đầy đủ, khả năng sử dụng và hiệu lực của các khuôn khổ quản lý rủi ro. – Sử dụng hệ thống báo cáo sự cố để tiến hành phân tích nguyên nhân gốc rễ, tìm kiếm không chỉ ở những nguyên nhân gắn với các vụ việc, mà cả các đặc điểm của khuôn khổ quản lý rủi ro đã tạo khả năng cho sự cố đó xảy ra. – Cần theo dõi kết quả thành công (ví dụ như dự án đúng hạn, đúng hạn mức kinh phí) để hiểu được các tính năng nào của khuôn khổ quản lý rủi ro đã gây ra khả năng cho sự cố đó xảy ra. |
Phụ lục C
(Tham khảo)
Thể hiện nhiệm vụ và cam kết
C.1 Khái quát
Phụ lục này cung cấp các hướng dẫn và chiến lược giúp tổ chức biểu thị và trao đổi thông tin về nhiệm vụ và cam kết cũng như việc thông tin, truyền đạt về việc này như thế nào.
Để nhiệm vụ và cam kết có hiệu lực, lãnh đạo cao nhất và bộ phận giám sát của tổ chức cần nêu rõ ràng cho các bên liên quan biết về cách tiếp cận đối với việc quản lý rủi ro và nếu thích hợp, lập thành văn bản và trao đổi thông tin về việc này. Nhiệm vụ về quản lý rủi ro thường liên quan đến những thay đổi trong hành vi, tập quán, văn hóa, chính sách, các quá trình và các kết quả thực hiện đã dự định trong việc quản lý các rủi ro sẽ được phản ánh trong khuôn khổ quản lý rủi ro. Nhiệm vụ và cam kết có thể là một tuyên bố ngắn gọn về chính sách được phổ biến rộng rãi.
Triển khai nhiệm vụ liên quan đến việc quyết định chuỗi hành động đòi hỏi, cũng như việc tạo điều kiện thực hiện. Lúc nào cũng vậy, trong các tổ chức đang tồn tại, luôn cần có sự tham gia của những người có thẩm quyền để mang lại thay đổi. Không có nhiều chỉ dẫn trong việc xác định các quá trình cần ưu tiên hành động, ngoại trừ, cùng một lúc, có một cam kết tương ứng về điều này.
Nhiệm vụ và cam kết là một phần cơ bản của khuôn khổ quản lý rủi ro đồng thời cần là một phần của cả các khuôn khổ quản lý và quản trị của tổ chức và cần tác động đến thiết kế của các loại hình khuôn khổ này.
Nhiệm vụ và cam kết cần phản ánh mười một nguyên tắc nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 3.
Trong thực tế, nhiệm vụ cũng như cam kết được thể hiện và tiếp nhận theo cả cách ngầm hiểu và rõ ràng. Những thể hiện ngầm hiểu (ví dụ như các hành động thường ngày của lãnh đạo cấp cao hay của bộ phận giám sát trong bối cảnh văn hóa hiện hành đã được chấp nhận của tổ chức) thường tạo được một sự thúc đẩy mạnh mẽ hơn 80 với những cách biểu thị công khai (ví dụ chính sách quản lý rủi ro).
C.2 Phương pháp biểu thị nhiệm vụ và cam kết
C.2.1 Các đặc điểm chính
Nhiệm vụ và cam kết cần đáp ứng các tiêu chí sau:
a) Cần phù hợp với kế hoạch chiến lược; các mục tiêu, chính sách, phong cách trao đổi thông tin và hệ thống quản lý của tổ chức;
b) Cần phù hợp với các tiêu chí rủi ro mà bộ phận giám sát đã xác định;
c) Cần đáp ứng các nguyên tắc của TCVN ISO 31000 cũng như phải hướng tới cách quản lý rủi ro hoàn thiện như được nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), Phụ lục A;
d) Cần cụ thể, rõ ràng để tạo thuận lợi cho việc trao đổi thông tin và được kiểm tra để cả bên trong và bên ngoài tổ chức hiểu thấu đáo;
e) Cần có những kỳ vọng hợp lý về việc nó được thực hiện thành công;
f) Cần đề cập đến các trách nhiệm đối với những chủ sở hữu rủi ro.
Khi nhiệm vụ quản lý rủi ro hiện đang được thực hiện và cam kết của tổ chức đối với quản lý rủi ro chưa thực sự đáp ứng các tiêu chí này thì cả các khía cạnh ngầm hiểu và công bố rõ ràng về việc này cần được thay đổi.
VÍ DỤ: Nếu bộ phận giám sát hoặc lãnh đạo cao nhất đã ban hành các quyết định nhưng các quyết định đó không đề cập đầy đủ việc đánh giá rủi ro, đây là một dấu hiệu rõ ràng rằng tổ chức không đảm bảo sự cam kết đối với việc thấu hiểu các rủi ro của tổ chức.
Một phần quan trọng khi chấp nhận một nhiệm vụ đã được sửa đổi là cần xây dựng một kế hoạch để thay đổi sự hiểu biết về những gì đòi hỏi phải thay đổi. Mục đích của kế hoạch này sẽ là đảm bảo rằng cả nhiệm vụ và các lợi ích của nó được thấu hiểu rộng khắp và được tin tưởng và tổ chức luôn cam kết nhất quán trong các nhiệm vụ và hành vi tương ứng. Đó sẽ là hành vi của tổ chức và cách so sánh những hành vi này với những tuyên bố công khai về nhiệm vụ sẽ tạo ra những tác động lớn nhất để xác định nhiệm vụ được thực hiện được chấp nhận bởi các bên liên quan khác nhau chấp nhận hay không.
C.2.2 Thiết lập và trao đổi thông tin về chính sách và cam kết quản lý rủi ro
Một phương thức để biểu thị và thông tin về nhiệm vụ theo cách rõ ràng là thông qua việc thiết lập và sau đó trao đổi thông tin về chính sách quản lý rủi ro. TCVN ISO 31000:2011 (ISO 31000:2009), 4.3.2, xác định rằng tổ chức không chỉ cần nêu rõ ràng chính sách về quản lý rủi ro mà còn cần trao đổi thông tin về chính sách này cả ở bên trong và bên ngoài tổ chức. TCVN ISO 31000:2011 (ISO 31000:2009), 4.3.2, cũng xác định các vấn đề cụ thể thường cần được phản ánh trong chính sách này.
Luôn phải ghi nhớ nguyên tắc g) (tức là quản lý rủi ro phải phù hợp), việc biểu thị về chính sách cần phù hợp, nhất quán với phương thức chung mà tổ chức đang vận hành. Nếu không, thì việc biểu thị này có thể không được xem là có liên quan đến hoặc là một phần của hệ thống chung mà tổ chức đang vận hành.
Đối với các tổ chức lớn hơn, việc thiết lập một chính sách sẽ thường có nghĩa là triển khai một tuyên bố chính thức về nhiệm vụ đối với việc quản lý rủi ro mà sẽ cấu thành một phần của bộ chính sách của tổ chức. Theo đó, việc này sẽ được hoàn thành bởi bộ phận quản trị và sau đó được truyền đạt và củng cố, thúc đẩy áp dụng thông qua hệ thống quản lý.
Hỗ trợ thực tế
Lãnh đạo cao nhất và bộ phận giám sát cần cam kết và thực sự tham gia sẽ là chìa khóa cho sự thành công của bất kỳ chương trình quản lý rủi ro nào. Các tổ chức nên xem xét các câu hỏi sau khi thiết lập nhiệm vụ và cam kết của mình đối với quản lý rủi ro: – Các mục tiêu chiến lược của tổ chức là gì? Chúng có rõ ràng? Những gì là ngầm hiểu và những gì là công bố công khai trong những mục tiêu đó? – Lãnh đạo cấp cao có nắm rõ bản chất và mức độ của những rủi ro quan trọng mà họ phải đối mặt và mong muốn nắm các cơ hội mà họ sẵn sàng theo đuổi để đạt được các mục tiêu chiến lược của mình? – Lãnh đạo cấp cao có cần phải thiết lập khuôn khổ rõ ràng hơn để nâng cao quan điểm về rủi ro của tổ chức? – Lãnh đạo cao nhất sẽ tiến hành những bước nào để bảo đảm giám sát toàn diện việc quản lý các rủi ro này? – Những người quản lý thực hiện việc ra quyết định có hiểu được mức độ mà theo đó họ (với tư cách cá nhân) được phép thể hiện rõ với tổ chức những hệ quả của một sự kiện hoặc tình huống? Có bất kỳ quan điểm rủi ro nào cần được thực hành, hướng dẫn cho các nhà quản lý để đưa ra quyết định dựa trên rủi ro? – Những người thực hiện có hiểu được mức độ, tích hợp, liên hệ về rủi ro để họ có thể xác định xem liệu nó có thể được chấp nhận hay không? – Lãnh đạo cao nhất và quản lý điều hành có hiểu được mức độ đan xen, tích hợp của rủi ro đối với cả tổ chức nói chung? – Cả các nhà quản lý và điều hành hiểu rõ rằng quan điểm rủi ro không phải là cố định? Nó có thể thay đổi khi môi trường và điều kiện kinh doanh thay đổi. Bất cứ điều gì đã được phê duyệt của lãnh đạo cấp cao đều cần phải có một vài sự linh hoạt trong triển khai. – Liệu các quyết định rủi ro đã được thực hiện với sự xem xét đầy đủ về hệ quả? Khuôn khổ quản lý rủi ro cần thiết để giúp các nhà quản lý và những người điều hành nắm được mức độ thích hợp của rủi ro cho các hoạt động sản xuất kinh doanh, đưa ra được các lợi thế tiềm năng. – Những rủi ro nào là quan trọng mà lãnh đạo cao nhất sẵn sàng đối mặt và muốn theo đuổi các cơ hội? Rủi ro nào là quan trọng nhưng lãnh đạo cao nhất không sẵn sàng đối mặt? Cho dù chính sách đối với tình trạng rủi ro hiện đang được quản lý được nêu dưới dạng nào thì nó luôn cần cùng đồng hành với các chính sách khác vốn đang là định hướng để tổ chức hoạt động. – Chính sách cần được hỗ trợ theo cả cách ngầm hiểu và công bố rõ ràng và phải được phản ánh phù hợp, phải đáp ứng 6 tiêu chí nêu trong C.2.1. |
C.2.3 Củng cố
Lãnh đạo cao nhất và bộ phận giám sát cần chứng minh và củng cố cam kết của tổ chức về các nhiệm vụ thông qua sự kết hợp các hành động ngầm hiểu và được công bố rõ ràng bao gồm:
– làm rõ các mục tiêu quản lý rủi ro được liên kết và không tách rời với các mục tiêu quản lý khác;
– làm rõ rằng quản lý rủi ro sẽ tạo nên hiệu quả cho các mục tiêu của tổ chức;
– đảm bảo phương thức mà nhiệm vụ của các hoạt động quản lý rủi ro đòi hỏi được tích hợp vào trong các quá trình quản trị và quản lý hiện có và được đưa vào chiến lược, các quá trình tác nghiệp, dự án;
– cần thường xuyên theo dõi, báo cáo về khuôn khổ quản lý rủi ro, về các quá trình của tổ chức để đảm bảo rằng nó vẫn được duy trì phù hợp và hiệu lực;
– theo dõi về việc tổ chức có một sự hiểu biết hiện tại và toàn diện về các rủi ro của mình và những rủi ro này hiện vẫn nằm trong khuôn khổ của các tiêu chí rủi ro đã được xác định và tổ chức có hành động khắc phục khi những tiêu chí này không được đáp ứng;
– nêu ví dụ liên quan đến các hoạt động của riêng mình;
– xem xét, làm mới cam kết đối với các nhiệm vụ theo thời gian, sự kiện và sự thay đổi của lãnh đạo cao nhất.
Áp dụng TCVN ISO 31000 có thể diễn ra trong toàn tổ chức một cách tổng thể, hoặc là được thực hiện theo từng phần, ví dụ tại các công ty con.
C.3 Hướng dẫn xây dựng nhiệm vụ và cam kết
Thiết lập nhiệm vụ về quản lý rủi ro đòi hỏi suy xét cẩn thận, có được quan điểm chiến lược và sự tham vấn giữa các bộ phận giám sát và lãnh đạo cạo nhất. Điều này sẽ giúp đảm bảo rằng một khi nó được thông qua, tổ chức sẽ tuân theo nhiệm vụ này.
Sự biểu thị về nhiệm vụ và cam kết cần được xem xét trên cả cấp độ chiến thuật và chiến lược. Tổ chức phải xác định và đánh giá năng lực để đáp ứng các mục tiêu của mình và trau dồi các kỹ năng và kinh nghiệm cần thiết để đạt được chúng.
Ảnh hưởng của những thay đổi theo yêu cầu của nhiệm vụ sẽ cần sự cân nhắc cẩn trọng. Điều này bao gồm việc ai sẽ là người dẫn dắt sự thay đổi và ai sẽ cần hướng dẫn hoặc hỗ trợ. Đôi khi có những thay đổi đòi hỏi khá triệt để ở phạm vi lớn (ví dụ như thay đổi trong các bản mô tả công việc, quá trình theo dõi và quản lý kết quả) và như vậy sẽ đòi hỏi một số năng lực của tổ chức cho sự thay đổi này. Điều này cần được xem xét theo bối cảnh của những sự thay đổi khác đang diễn ra cho dù có thể có sự tích hợp, lồng ghép hay không.
Những người sẽ bị ảnh hưởng đáng kể bởi những thay đổi cần được tham vấn, đặc biệt là những người lưu giữ bất kỳ loại dữ liệu quản lý rủi ro nào trong tổ chức (ví dụ như sức khỏe và sự an toàn, quản lý an ninh), sao cho tất cả những việc áp dụng theo sự thay đổi có thể được hiểu rõ.
Nhiệm vụ cần được nêu trong một tuyên bố về chính sách thể hiện cam kết của tổ chức đối với việc này.
Hỗ trợ thực tế:
Một số những cách mà việc triển khai có thể đạt được bao gồm: – Xem xét cách thức để nhiệm vụ này sẽ được giải thích đối với tổ chức và làm thế nào những cách giải thích như vậy sẽ được củng cố bởi những hành động đang diễn ra; – Cân nhắc khung thời gian để nhiệm vụ này có hiệu lực (điều này cần được đề cập và được tích hợp với các mệnh lệnh khác của tổ chức, nếu không, dù ngay cả khi khuôn khổ quản lý là hoàn chỉnh, thì những lợi ích đầy đủ của nó sẽ không được thực hiện và việc quản lý rủi ro sẽ không có được hiệu lực như nó có thể có); – Xác định các vai trò chủ yếu để mang lại thay đổi cần thiết trong cách tiếp cận quản lý rủi ro và chỉ đạo, dẫn dắt các hoạt động quản lý rủi ro; – Xác định những khía cạnh nào và những hoạt động nào của khuôn khổ quản lý rủi ro sẽ được theo dõi ở cấp lãnh đạo cao nhất, cấp quản lý và cấp ủy ban và làm thế nào để các thông tin như vậy sẽ được thu thập và thể hiện. – Đưa kết quả hoạt động quản lý rủi ro thành một hạng mục thường xuyên trong chương trình nghị sự tại tất cả các cuộc họp ban giám sát và lãnh đạo cao nhất; – Xây dựng các phương pháp hiệu quả để thông tin về kết quả hoạt động quản lý rủi ro (ví dụ như xuất bản bản tin cho nhân viên theo kiểu của một báo cáo quản lý rủi ro); – Cân nhắc những gì cần được kích hoạt để xem xét lại nhiệm vụ này. |
Phụ lục D
(tham khảo)
Theo dõi và xem xét
D.1 Cơ sở
D.1.1 Khái quát
Phụ lục này cung cấp chỉ dẫn về theo dõi và xem xét khuôn khổ và quá trình quản lý rủi ro theo TCVN ISO 31000:2011 (ISO 31000:2009), 4.5, 4.6 và 5.6.
Theo dõi và xem xét là hai hoạt động phân biệt nhằm xác định xem liệu các giả định và các quyết định vẫn có hiệu lực. Các kỹ thuật được sử dụng trong cả việc duy trì khuôn khổ quản lý rủi ro hiệu lực và cả trong mỗi bước của quá trình quản lý rủi ro.
– Theo dõi liên quan đến việc quan trắc thường xuyên kết quả thực hiện thực tế và so sánh nó với kết quả dự kiến hoặc yêu cầu. Nó bao gồm việc kiểm tra hoặc điều tra liên tục, việc theo dõi trong thực hiện, quan trắc mang tính phê phán hoặc xác định tình trạng để xác định sự thay đổi mức độ kết quả thực hiện so với yêu cầu hoặc mong đợi, cũng như những thay đổi về bối cảnh.
– Xem xét có thể là việc kiểm tra định kỳ hoặc bất thường về tình trạng hiện tại, về những thay đổi trong môi trường, về thực hành ngành công nghiệp, hoặc về thực tiễn về tổ chức. Đây là một hoạt động được thực hiện để xác định sự phù hợp, đầy đủ và hiệu lực của khuôn khổ và của quá trình để đạt được mục tiêu được nêu. Việc xem xét cần cân nhắc đến các kết quả đầu ra từ các hoạt động theo dõi.
– Đánh giá là một quá trình xem xét một cách hệ thống, dựa trên bằng chứng để so sánh với các tiêu chí khác đã được xác định trước. Trong khi mọi cuộc đánh giá đều có xem xét thì không phải tất cả xem xét đều là một cuộc đánh giá.
Cùng với nhau, theo dõi và xem xét cung cấp sự đảm bảo rằng kết quả hoạt động quản lý rủi ro là đạt được như mong đợi, cho dù nó có thể cần được cải tiến và cho dù có thay đổi đã xảy ra hiện đòi hỏi phải điều chỉnh hoặc sửa đổi về khuôn khổ quản lý hoặc một số khía cạnh của quá trình.
Theo dõi và xem xét đều nhằm cung cấp sự đảm bảo hợp lý rằng các rủi ro được quản lý đầy đủ, nhằm xác định những thiếu sót trong quản lý rủi ro, và nhằm xác định các cơ hội để cải tiến quản lý rủi ro.
Cả hai đều cần thiết để đảm bảo tổ chức duy trì một sự hiểu biết hiện tại về các rủi ro của mình có liên quan đến với các tiêu chí rủi ro đó, bám sát tuân thủ quan điểm rủi ro của mình. Cả hai đều yêu cầu một cách tiếp cận có hệ thống tích hợp với các hệ thống quản lý chung của tổ chức.
Các hoạt động theo dõi và xem xét và các hành động để đáp ứng với những phát hiện này thường được mô tả đặc trưng như là một hệ thống đảm bảo bởi vì chúng có tiềm năng để phát hiện và khắc phục những điểm yếu trước khi các tác động bất lợi xảy ra hoặc để cung cấp sự tin tưởng rằng các rủi ro vẫn nằm trong chuẩn mực của tổ chức. Những hoạt động này cũng có thể được sử dụng để cung cấp cho các bên liên quan bên trong và bên ngoài sự đảm bảo hợp lý rằng rủi ro đang được quản lý một cách hiệu lực.
Do các yếu tố về bối cảnh bên trong và bên ngoài thay đổi, nên luôn có rủi ro. Tương tự như vậy, theo dõi bối cảnh bên ngoài có thể cảnh báo cho tổ chức các thay đổi có thể dẫn đến cơ hội để cải thiện kết quả thực hiện hoặc một hoạt động mới. Bằng cách luôn được cảnh báo bởi những thay đổi như vậy, bởi những kết quả thực hiện, bởi những sự không phù hợp, và bởi những lần thoát nạn, tổ chức sẽ có thể xác định các cơ hội để cải tiến khuôn khổ quản lý quản lý rủi ro cũng như kết quả thực hiện chung của tổ chức.
Nên có một chương trình toàn diện để theo dõi và ghi nhận các chỉ số về kết quả thực hiện và các chỉ số này cần được sử dụng cùng với các chỉ số về kết quả thực hiện khác của tổ chức.
Chương trình này cung cấp cảnh báo sớm về các xu hướng bất lợi, đòi hỏi phải hành động phòng ngừa và sự can thiệp.
Một hành động riêng biệt về theo dõi hay hành động có thể nhằm vào một rủi ro đơn lẻ hay một số các rủi ro có mối liên quan, cần chú trọng vào các rủi ro này hoặc những hoạt động kiểm soát mang tính phòng ngừa gắn liền với chúng.
D.1.2 Trách nhiệm theo dõi và xem xét
Trách nhiệm chung về các hoạt động giám sát và xem xét thuộc bộ phận theo dõi và lãnh đạo cao nhất chứ không phải là các nhà cung cấp sự đảm bảo, ví dụ: đánh giá nội bộ. Các chức năng đảm bảo chất lượng, chức năng xem xét độc lập và theo dõi theo nghĩa pháp lý đều là những bổ sung hữu ích cho quá trình báo cáo quản lý chuyên ngành vì những hoạt động như vậy cung cấp một cách nhìn có tính lựa chọn.
Các hoạt động theo dõi và xem xét có thể được cân nhắc theo nghĩa của một hệ thống phân cấp, thường được áp dụng tại cấp lãnh đạo: Nếu được thiết kế hoàn chỉnh, điều này sẽ tạo mức đảm bảo lớn nhất. Tuy nhiên, một chương trình theo dõi và xem xét cần bao gồm tất cả ba yếu tố.
Chương trình theo dõi và xem xét cần xác minh rằng chính sách quản lý rủi ro vừa được thực hiện vừa có hiệu lực. Phương cách mà lãnh đạo cấp cao phản hồi/ xử lý với các kết quả của chương trình theo dõi có thể ảnh hưởng đến hành vi của nhân viên và điều quan trọng là lãnh đạo cấp cao phải hành động đúng với vai trò mẫu mực.
D.1.3 Xem xét độc lập
Cho dù được tiến hành bởi bên trong hoặc bên ngoài, thì đối với bên tham gia, tính độc lập là yêu cầu xuất phát điểm trong các mối quan hệ của người xem xét, người đánh giá.
Độc lập là cơ sở cho tính khách quan của việc xem xét và tính khách quan của kết luận xem xét.
Khi có thể, người xem xét và người đánh giá đều phải độc lập đối với hoạt động đang được xem xét đánh giá và trong mọi trường hợp, họ cần hành động theo một phương cách sao cho không bi lệch hoặc xung đột về lợi ích.
Đối với đánh giá nội bộ, các chuyên gia đánh giá cần độc lập đối với các nhà quản lý đang điều hành các chức năng được đánh giá. Những người xem xét hoặc đánh giá cần giữ được tính khách quan trong suốt quá trình đánh giá/ xem xét để đảm bảo rằng những phát hiện và kết luận chỉ dựa trên các bằng chứng.
Đối với các tổ chức nhỏ, khả năng để những người tiến hành xem xét hay đánh giá hoàn toàn độc lập đối với hoạt động hiện được xem xét và đánh giá thường khó, tuy nhiên cần cố gắng thực hiện để loại bỏ định kiến và thúc đẩy tính khách quan.
Tính độc lập của những người xem xét/người đánh giá sẽ giúp cho các cuộc xem xét và đánh giá là một công cụ hiệu quả và đáng tin cậy, hỗ trợ các chính sách và hoạt động kiểm soát rủi ro bằng cách cung cấp thông tin mà theo đó tổ chức có thể hành động để cải thiện kết quả thực hiện của nó.
Những việc xem xét như vậy có thể tập trung vào việc tuân thủ các tiêu chuẩn (nội bộ hay bên ngoài) các thủ tục hoặc các yêu cầu pháp lý. Thường thì chúng cũng xem xét sự phù hợp, hiệu quả và hiệu lực của các hoạt động kiểm soát, ví dụ: có thể xem xét liệu các hoạt động quản lý rủi ro có cung cấp các giá trị như đã được nêu trong các nguyên tắc của TCVN ISO 31000.
Nhiều tổ chức có chức năng tư vấn và xem xét hệ thống quản lý (như cử chuyên gia tư vấn về quản lý rủi ro, chuyên gia về sự phù hợp, cán bộ quản lý và đảm bảo chất lượng), những người này thực hiện việc xem xét thường ngày, đánh giá nội bộ, lập các báo cáo thông thường về các kết quả xem xét của họ cho bộ phận giám sát và lãnh đạo cao nhất. Mục tiêu của các cuộc xem xét này là cung cấp cho bộ phận giám sát cho lãnh đạo cao nhất sự đảm bảo rằng:
– Các tiêu chí rủi ro phù hợp với các mục tiêu và bối cảnh mà trong đó tổ chức đang hoạt động;
– Một quá trình thích hợp và có hệ thống đã được áp dụng để xác định, đánh giá và xử lý các rủi ro và có sự tin cậy rằng, quá trình này sẽ hoạt động liên tục;
– Các rủi ro không thể chấp nhận hiện được nhận dạng, lưu ý bằng cách xử lý rủi ro thích hợp;
– Những rủi ro không thể chấp nhận được đang được kiểm soát một cách phù hợp và có hiệu lực, nếu không các biện pháp kiểm soát cần được điều chỉnh;
– Tiến độ thích hợp đang được thực hiện với các phương án xử lý rủi ro.
Các loạt động của một quá trình xem xét độc lập không làm giảm trách nhiệm theo dõi và xem xét của lãnh đạo các cấp.
D.1.4 Thu nhận các thông tin thích hợp
Cũng giống như các khía cạnh khác của quản lý rủi ro, theo dõi và xem xét đòi hỏi việc sử dụng các thông tin có sẵn tốt nhất [xem nguyên tắc f)]. Để phù hợp với mục đích, thông tin cần liên quan tới người sử dụng và thể hiện đúng những gì nó muốn nêu. Sự hữu ích của thông tin được nâng cao nếu nó có thể so sánh, kiểm chứng, kịp thời và dễ hiểu. Thông tin có thể thu được từ hai nguồn:
a) Nguồn trực tiếp: Các quan trắc và các phép đo về các quá trình tác nghiệp thực tế hay những đầu ra của chúng;
b) Nguồn gián tiếp: Các kết quả đo dẫn xuất từ các quá trình hoặc kết quả đầu ra đang được xem xét.
Việc kết hợp của các phép đo từ các nguồn khác nhau được chọn tùy theo sự cần thiết (tùy thuộc vào khả năng có thể có) hoặc theo sự tiện lợi (tính kịp thời, chi phí, vv).
D.1.5 Báo cáo quá trình xem xét
Báo cáo cần cung cấp thông tin cho bộ phận giám sát, lãnh đạo cao nhất và các bên liên quan của tổ chức về việc liệu những rủi ro của tổ chức có nằm trong các tiêu chí rủi ro của mình hoặc liệu đã có các kế hoạch xử lý rủi ro đáng tin cậy cho phép cuối cùng sẽ dẫn đến kết quả này. Ngoài ra nó có thể cung cấp thông tin về những rủi ro mới, đang hình thành.
Bất kỳ cách thu nhận các thông tin rủi ro (ví dụ như trong một đăng ký rủi ro) cần được định kỳ cập nhật. Các loại và tần suất báo cáo sẽ phụ thuộc vào tính chất, quy mô và phạm vi của việc đánh giá rủi ro.
Các đầu ra của việc đánh giá hoặc xem xét sẽ là một báo cáo tóm tắt các phát hiện, cung cấp các kết luận của đánh giá so với các tiêu chí đã xác định. Báo cáo dựa trên những gì mà những người xem xét đã quan sát có thể cung cấp các khuyến nghị để cải tiến hệ thống. Đôi khi, người xem xét có thể nêu các đề nghị lớn hơn, hướng vào chính bản thân các tiêu chí. Phản hồi đối với mọi cuộc xem xét cần chú trọng vào việc cải tiến hệ thống và tìm được các nguyên nhân gốc rễ của vấn đề.
D.1.6 Hành động khắc phục và cải tiến liên tục
Cần thiết lập các quá trình để đảm bảo rằng các khuyến nghị đang được lãnh đạo của tổ chức tích cực xem xét và những phản hồi thống nhất đang được thực hiện.
Hành động đáp ứng đối với các cuộc xem xét cần được báo cáo cho bộ phận giám sát và cần theo dõi thường xuyên cho đến khi nó được thực hiện.
D.2 Thao dõi và xem xét khuôn khổ
D.2.1 Khái quát
Mục đích của việc theo dõi và xem xét là để giữ hiện trạng của khuôn khổ quản lý rủi ro gắn liền, nhất quán với những dự định quản lý rủi ro của tổ chức. Khuôn khổ quản lý đề cập đến các thành phần và các quá trình trong hệ thống quản lý của tổ chức để giúp các rủi ro sẽ được quản lý.
TCVN 31000:2011 (ISO 31000: 2009), Điều 4, nêu hướng dẫn về các thành phần cần thiết của một khuôn khổ và lưu ý rằng những thành phần này cần phải được xét trong mối liên hệ với bối cảnh bên trong và bên ngoài của tổ chức.
Khi có những thay đổi xảy ra với bối cảnh nội bộ hay bên ngoài của tổ chức, có thể phải điều chỉnh khuôn khổ quản lý để đảm bảo nó vẫn có hiệu lực.
Thậm chí ngay cả khi không có sự thay đổi nội bộ hay bên ngoài, đòi hỏi có sự thay đổi trong thiết kế, việc theo dõi và xem xét vẫn cần thiết để đảm bảo rằng bất cứ lúc nào việc kiểm tra đối với các thành phần của khuôn khổ quản lý về kế hoạch thực hiện để đảm bảo rằng chúng đã được thực hiện một cách chính xác. Đối với tổ chức đã áp dụng TCVN ISO 31000 nó sẽ liên quan đến việc đảm bảo rằng các thành phần của khuôn khổ quản lý tiếp tục tồn tại và đang hoạt động đúng như đã dự định.
D.2.2 Trách nhiệm giải trình
Lãnh đạo có trách nhiệm đảm bảo định kỳ xem xét và theo dõi khuôn khổ theo các chỉ số kết quả thực hiện. Là một phần trong việc phân công trách nhiệm, một người (ví dụ một cán bộ quản lý cấp cao) hoặc một bộ phận chức năng của tổ chức (ví dụ như bộ phận hỗ trợ và hợp tác quản lý rủi ro) số đảm nhận một phần được giao về các trách nhiệm quản lý rủi ro, người hoặc bộ phận này cần thực hiện việc theo dõi khuôn khổ và đảm nhận trách nhiệm chính để đảm bảo rằng khuôn khổ vẫn duy trì hiệu lực.
D.2.3 Thiết lập ranh giới
Cần thiết lập một ranh giới đối với việc quản lý rủi ro trong tổ chức. Ranh giới này có thể được mô tả theo những cách khác nhau nhưng cần bao gồm:
a) các thành phần của khuôn khổ (như mô tả trong TCVN ISO 31000:2011, 4.3) để cung cấp khả năng giúp đạt được mục đích này.
b) mức độ hỗ trợ mà bộ phận giám sát và lãnh đạo cao nhất cần nêu để thực hiện trong các nhiệm vụ và cam kết quản lý rủi ro (thường được thể hiện dưới hình thức của một chính sách quản lý rủi ro).
Các hình thức dự định và cấu trúc của khuôn khổ này thường được ghi lại khi nó đã được thiết kế, và các thông tin như nêu trong Bảng D.1 là cần có sẵn. Điều này tạo nên một ranh giới mang tính nguyên tắc hoặc hạng mục để tham chiếu đối với các so sánh đã được nêu khi theo dõi hoặc xem xét.
Bảng D.1 – Ví dụ về bảng danh mục các thành phần của khuôn khổ
Thành phần |
Được triển khai ở đâu |
Mục tiêu |
Hành động chính |
Trách nhiệm và lịch trình |
Thước đo kết quả |
Tình trạng áp dụng |
Trách nhiệm giải trình | Cấp tổ chức | Duy trì chính sách, quản lý rủi ro của tổ chức | • Xác định chuẩn mực
• Lập báo cáo • Giao quyền |
• Công bố chính sách.
• Chính thức hóa lịch trình những nội dung đã nêu • Lịch xem xét tiếp theo: ngày/tháng/năm |
… | … |
… | ||||||
Các nguồn lực: Đào tạo | Cấp phòng ban | Cung cấp các thành phần quản lý rủi ro cho tất cả đào tạo | • Tiếp nhận chỉ dẫn
• Thiết kế nội dung đào tạo • Đào tạo giảng viên |
• Thiết kế: Hợp tác quản lý rủi ro
• Triển khai: Quản lý rủi ro tại các bộ phận • Lần xem xét tiếp ngày/tháng/năm |
• Đã thực hiện: Báo cáo tháng
• Chất lượng: Báo cáo và đánh giá việc đào tạo |
… |
Tổ chức cũng cần thiết lập các chỉ số về kết quả thực hiện có liên quan đến các mục tiêu của mình nhằm đưa ra biểu hiện về tính hiệu lực của khuôn khổ chung đối với hiện trạng rủi ro đang được quản lý. Các chỉ số về kết quả thực hiện, đôi khi được gọi chung là các chỉ số đầu ra chẳng hạn:
– sự cố, tai nạn và những lần thoát nạn;
– thiệt hại thực tế;
– những việc ngoài ý muốn, không như dự định;
– khiếu nại của khách hàng;
– món nợ lớn;
– tình trạng sẵn sàng của hệ thống;
– mức độ mà theo đó các mục tiêu tổ chức hiện được đáp ứng;
– mức độ mà theo đó các mục tiêu quản lý rủi ro hiện được đáp ứng.
D.2.4 Đánh giá xem liệu các đặc điểm và bối cảnh của tổ chức đã thay đổi
Xác định xem liệu bối cảnh nội bộ hay bên ngoài của tổ chức đã có sự thay đổi hiện hữu hay về kinh nghiệm thực tế kể từ khi khuôn khổ quản lý rủi ro đã được xây dựng hoặc được sửa đổi.
Hỗ trợ thực tế
Các đặc trưng nội bộ có thể đã có sự thay đổi bao gồm: – cơ cấu; – thực tiễn và các yêu cầu quản trị; – các chính sách, tiêu chuẩn và các mô hình nội bộ; – các yêu cầu của hợp đồng; – các chiến lược và các hệ thống tác nghiệp bị ảnh hưởng bởi các yếu tố bên trong hoặc bên ngoài (ví dụ như thay đổi quy định của pháp luật); – khả năng và các nguồn lực (ví dụ như nguồn vốn và tài chính có tiếng tăm, thời gian, con người, các quá trình, các hệ thống và công nghệ); – trí thức, các kỹ năng và sở hữu trí tuệ; – các hệ thống và các dòng thông tin; – hành vi ứng xử xã hội, môi trường, văn hóa; – những vấn đề và các nhiệm vụ có tính ưu tiên có thể được nhận thức để cạnh tranh với những ý định của tổ chức trong quản lý rủi ro. |
Các chỉ số quan trọng là các chỉ số có thể giúp chỉ ra những thay đổi và bối cảnh bên ngoài, thường được thấy trong các báo cáo và nghiên cứu, phản ánh những thay đổi và xu hướng trong ngành công nghiệp, trong đó tổ chức đang hoạt động.
Các ví dụ bao gồm:
– giá cả hàng hóa, lãi suất ngân hàng, lãi suất trái phiếu, tỷ giá hối đoái, chỉ số thị trường chứng khoán, chỉ số giá tiêu dùng (xu thế);
– các chỉ số xu thế khác;
– mức độ hoặc các sự vụ mang tinh chất gian lận trong các tổ chức tương tự;
– quy mô thị trường và các chỉ số tăng trưởng, những thay đổi đột ngột về khối lượng đơn hàng;
– tình trạng ổn định chính trị và xã hội, tình trạng bất mãn hay tán đồng của xã hội;
Nếu bối cảnh tổ chức đã thay đổi kể từ khi khuôn khổ quản lý rủi ro được xây dựng, khuôn khổ quản lý rủi ro này cần được đánh giá và sắp xếp lại theo cách có tính đến những thay đổi này.
Mục đích của hoạt động này là để xác nhận rằng khuôn khổ và các quá trình là phù hợp và nhất quán với các mục tiêu, với các vấn đề được ưu tiên của tổ chức.
Từ việc xem xét, tổ chức có thể cần thay đổi những nguyên tắc cơ bản của nó.
VÍ DỤ 1: Một sự thay đổi trong cơ cấu của một tổ chức có thể đòi hỏi một số việc cần nhìn nhận lại chính sách quản lý rủi ro và phân bổ lại trách nhiệm, nguồn lực cho phép rủi ro tiếp tục được quản lý một cách hiệu lực. Nếu tổ chức đã mở rộng quy mô, ví dụ do sáp nhập hoặc mua lại, cân cân nhắc tình trạng đáp ứng đầy đủ tiếp theo của nguồn lực quản lý rủi ro cũng như sẽ phân tích cẩn thận bất kỳ sự khác biệt giữa các tổ chức trong cách tiếp cận để quản lý rủi ro. Đây có thể là sự cần thiết để triển khai một kế hoạch chuyển tiếp việc áp dụng bất kỳ thay đổi phát sinh nhờ việc phân tích.
VÍ DỤ 2: Nếu các yêu cầu pháp lý mới đã có hiệu lực, các khía cạnh của khuôn khổ có liên quan đến trách nhiệm, đào tạo và việc nắm giữ thông tin hay báo cáo có thể cũng cần sửa đổi hoặc mở rộng.
D.2.5 Xem xét khuôn khổ
Khi việc đánh giá các đặc điểm và bối cảnh bên ngoài đã được thực hiện xong, cần tiến hành một cuộc xem xét toàn diện hơn về hệ thống này để xác định xem:
a) Kế hoạch rủi ro hiện được thực hiện đúng như dự định;
b) Khuôn khổ quản lý và các quá trình được nêu hiện đang được tuân thủ như dự định;
c) Mức rủi ro nằm trong phạm vi tiêu chí;
d) Các mục tiêu cốt lõi của tổ chức đang tạo được ảnh hưởng tích cực tới việc quản lý rủi ro;
e) Các bên liên quan đều nhận được báo cáo đầy đủ để giúp họ có thể thể thể hiện vai trò và trách nhiệm của mình trong cơ cấu quản trị;
f) Mọi người trong toàn tổ chức có đầy đủ kỹ năng, kiến thức và năng lực để thực hiện trách nhiệm của họ đúng như chúng đã được xác định;
g) Các nguồn lực quản lý rủi ro là khá đầy đủ;
h) Những bài học đã được rút ra từ kết quả thực tế đã xảy ra, bao gồm cả tổn thất, những lần thoát nạn cũng như các cơ hội;
i) Các mục tiêu đặt ra cho quản lý rủi ro hiện đang đạt được.
Nên có một lịch trình xem xét thường xuyên được đồng thuận để có khả năng tiến hành các cuộc xem xét nếu như có sự thay đổi hoàn cảnh, ví dụ khi những hậu quả của các rủi ro là bất ngờ hoặc nghiêm trọng.
Các dạng dẫn xuất từ một cuộc xem xét như vậy thường bao gồm:
– báo cáo tổng thể về kết quả hoạt động của khuôn khổ quản lý rủi ro;
– báo cáo về tiến độ thực hiện kế hoạch quản lý rủi ro (bao gồm phân tích về bất kỳ sự chậm trễ trong việc thực hiện);
– báo cáo nêu rõ tình trạng tiến triển của tổ chức liên quan đến thực hành tốt nhất;
– các khuyến nghị về những thay đổi cần thiết để cải tiến quản lý rủi ro và tính hiệu lực của nó trong tổ chức;
– cập nhật chính sách, mục tiêu và kế hoạch quản lý rủi ro khi cần thiết;
– cập nhật các mô tả về bối cảnh trong đó tổ chức đang hoạt động, khi thích hợp;
– báo cáo về các xu hướng các chỉ số rủi ro chính;
– kế hoạch hành động gắn liền với các thay đổi cần thiết để đáp ứng các mục tiêu quản lý rủi ro.
D.3 Theo dõi và xem xét quá trình
D.3.1 Khái quát
Mục đích của việc theo dõi và xem xét quá trình quản lý rủi ro là để đảm bảo rằng nó:
– thích hợp cho hoạt động sản xuất kinh doanh;
– đang được tiến hành theo kế hoạch.
Những rủi ro mà việc kiểm soát và xử lý cơ bản của chúng có thể thay đổi theo thời gian thì những người có trách nhiệm trong việc quản lý rủi ro cần phải nhận thức được các tác động của những thay đổi này. Thất bại trong việc xử lý có thể làm cho rủi ro này trở nên không chấp nhận được. Hơn nữa nên tiến hành thêm những hoạt động kiểm soát mà mục đích của chúng là để cải biên những rủi ro có thể thay đổi theo nghĩa thích tạo sự thích hợp và hiệu quả, như vậy, nếu không được theo dõi hay xem xét, những rủi ro không thể duy trì trong các tiêu chí rủi ro chấp nhận của tổ chức và tổ chức có thể không có một sự hiểu biết hiện tại về rủi ro của mình.
Kết quả theo dõi và xem xét sẽ được phản hồi lại cho giai đoạn thiết lập ngữ cảnh, cung cấp cơ sở cho việc đánh giá rủi ro mới, đáp ứng đầy đủ bản chất tự nhiên về tính chu kỳ và năng động của quá trình quản lý rủi ro và thiết kế cơ cấu quản lý rủi ro.
D.3.2 Trách nhiệm giải trình
Theo dõi là một phần không thể thiếu trong quản lý. Các hoạt động kiểm soát rủi ro phải được giao cho những người liên quan, họ có trách nhiệm theo dõi chúng. Trách nhiệm này phải được ghi lại trong vai trò, trong bản mô tả vị trí.
Phạm vi các lĩnh vực chính của tổ chức, theo cách xem xét chính thức của người lao động, ví dụ như về tài chính, các bên liên quan, hiệu quả nội bộ, các mục tiêu học tập và phát triển của các mục tiêu nội bộ hiện đang được xem xét. Những kết quả thực hiện so với cùng một tập hợp các chỉ số có thể đo được ở tất cả các cấp của tổ chức và sau đó được báo cáo một cách phù hợp.
Các phương án xử lý rủi ro cũng cần được theo dõi để đảm bảo rằng tiến trình đang được thực hiện và các hành động được hoàn thành đúng thời hạn.
D.3.3 Học hỏi kinh nghiệm
Các tổ chức nên học hỏi từ chính các kết quả thực tế. Những kết quả này phải bao gồm cả các tổn thất, những sự vụ suýt xảy ra, những sự không phù hợp và các cơ hội đã được xác định trước, đã xảy ra, nhưng vẫn chưa được xử lý.
Các điểm cần được cân nhắc theo cách xem xét này bao gồm:
– chuyện gì đả xảy ra;
– làm thế nào và tại sao kết quả lại xảy ra như vậy;
– liệu có bất kỳ giả định cần nào phải được xem xét như là một kết quả của đầu ra;
– hành động đã được thực hiện (nếu có) để phản hồi;
– khả năng để điều đó lại xảy ra;
– bất kỳ sự phản hồi hay các bước bổ sung cần được thực hiện;
– những điểm đúc rút, học hỏi chính và ai là người cần được truyền đạt.
D.3.4 Theo dõi
D.3.4.1 Những cách tiếp cận điển hình để theo dõi bao gồm những điều sau đây
a) Chủ sở hữu rủi ro có thể rà soát môi trường để theo dõi những thay đổi về ngữ cảnh. Tần suất của hoạt động này sẽ phụ thuộc vào mức độ rủi ro và sự năng động của những thay đổi về ngữ cảnh. Trong một số trường hợp, báo cáo riêng, ngoại lệ về các chỉ số có thể là đủ. Chủ sở hữu rủi ro so sánh các yếu tố bên ngoài hoặc nội bộ có liên quan so với các tuyên bố của ngữ cảnh để xác định xem liệu có sự thay đổi hiện hữu nào đó đã xảy ra. Điều này có thể bao gồm việc thông tin và tham khảo định kỳ ý kiến các bên liên quan để xác định xem liệu quan điểm, mục tiêu của họ đã có gì thay đổi.
b) Các chủ rủi ro cũng nên theo dõi các phương án xử lý rủi ro đối với các hành động và phản hồi kịp thời khi có những thay đổi về môi trường.
c) Những người được giao nhiệm vụ kiểm soát phải có trách nhiệm kiểm soát mang tính theo dõi đối với những gì đã được giao cho họ, trong đó có thể bao gồm kiểm tra định kỳ hoặc theo dõi liên tục. Vì quản lý rủi ro hiệu quả nhất khi nó được tích hợp hoàn toàn với việc ra quyết định thông thường và với hệ thống quản lý của tổ chức, nên kết quả thực hiện quản lý hoạt động của tổ chức phải được sử dụng để theo dõi rủi ro và hiệu quả của quá trình quản lý rủi ro. Các chỉ số về kết quả thực hiện cần phản ánh phạm vi của các mục tiêu trọng điểm của tổ chức vốn đã được xác định ở ngay giai đoạn đầu của quá trình khi xác lập ngữ cảnh của tổ chức. Những chỉ số này cũng có thể được phát triển theo cách có liên quan đến các rủi ro cũng như cách kiểm soát cụ thể, cách áp dụng chúng vào quá trình quản lý rủi ro.
CHÚ THÍCH: Trong tự như trường hợp với các rủi ro, phải lưu ý rằng, các hoạt động kiểm soát cũng phải được gắn cho những người chịu trách nhiệm đối với hoạt động của họ. Thông thường, chủ sở hữu việc kiểm soát hay người thao tác là người thực hiện việc kiểm soát theo nề nếp thường ngày nhưng cũng có thể là một ai đó, khác với chủ sở hữu rủi ro. Điều này không ảnh hưởng đến trách nhiệm chung của chủ sở hữu rủi ro trong việc phải điều chỉnh một cách thích hợp rủi ro đó, trong trách nhiệm thiết kế, triển khai, ứng dụng, theo dõi, đánh giá các hoạt động kiểm soát tương ứng.
D.3.4.2 Các chỉ số kết quả thực hiện có thể đo được các kết quả (ví dụ như các tổn thất hoặc các khoản thu được cụ thể) hoặc các quá trình (ví dụ như việc hoàn thành kịp thời các phương án xử lý rủi ro). Bình thường, có thể sử dụng hỗn hợp các chỉ số, ngoại trừ khi các chỉ số về kết quả đầu ra được dùng để biểu thị kết quả của sự suy giảm đáng kể do những thay đổi mà những thay đổi đó làm cho các hệ số này tăng lên. Do vậy, trong một môi trường có sự thay đổi cao, việc sử dụng các chỉ số quá trình (như các chỉ số quan trọng) thường hữu ích hơn.
Trong việc lựa chọn các chỉ số kết quả thực hiện, điều quan trọng là phải kiểm tra xem:
– chúng phải đo được;
– việc sử dụng chúng là có hiệu quả xét theo nghĩa đòi hỏi về thời gian, công sức và nguồn lực;
– quá trình đo lường hoặc theo dõi chúng sẽ khuyến khích hoặc tạo điều kiện cho hành vi mong muốn và không thúc đẩy hành vi không mong muốn (ví dụ như ngụy tạo các dữ liệu);
– những người tham gia hiểu quá trình và những lợi ích mong đợi và có cơ hội cung cấp được thông tin đầu vào để thiết lập các chỉ số;
– các kết quả được ghi lại và kết quả thực hiện được phân tích và báo cáo theo một hình thức cho phép tạo điều kiện học tập và cải thiện toàn bộ tổ chức.
D.3.4.3 Khi áp dụng việc quản lý kết quả thực hiện cho quá trình quản lý rủi ro, cần lưu ý rằng:
– việc đo lường hiệu quả kết quả thực hiện đòi hỏi phải có nguồn lực, nguồn lực này cần được xác định và phân bố như là một phần của việc phát triển của các chỉ số về kết quả thực hiện;
– một số hoạt động quản lý rủi ro có thể khó đo lường được, nhưng không vì thế mà chúng kém quan trọng. Trong những trường hợp này, nên sử dụng các chỉ số thay thế, ví dụ: các nguồn lực dành cho các hoạt động quản lý rủi ro có thể là một thước đo thay thế cho cam kết để quản lý rủi ro hiệu quả;
– bất kỳ sự biến động, sai khác giữa dữ liệu đo các chỉ số kết quả hoạt động và cảm nhận bản năng đều quan trọng và cần được điều tra, ví dụ: nếu người lãnh đạo vẫn thấy quan ngại rằng những rủi ro không được quản lý đúng cách, mặc dù các đánh giá rủi ro dạng con số cho thấy các mức độ rủi ro là thấp, thì những mối quan ngại này cần được điều tra và không để bị bỏ qua.
– thường thì sự suy giảm đột ngột về chỉ số sẽ luôn gây sự chú ý, điều này cũng phải được áp dụng như đối với sự suy giảm chỉ số về mức độ tiến triển, cụ thể, ta phải theo dõi và phân tích về xu hướng chỉ số hoạt động.
D.3.5 Xem xét
Lãnh đạo cần định kỳ xem xét các quá trình, các hệ thống và các hoạt động để đảm bảo rằng:
a) Không phát sinh những rủi ro mới;
b) Các hoạt động kiểm soát, phương pháp xử lý rủi ro vẫn còn phù hợp và hiệu quả.
Những cuộc xem xét như vậy nên được lập thành kế hoạch (xem chương trình và cách tiếp cận đánh giá dựa trên rủi ro và làm thế nào để lựa chọn những người xem xét, như được nêu trong TCVN ISO 19011).
Những cuộc xem xét này có thể sử dụng các kỹ thuật tương tự như theo dõi thực tế đang diễn ra, nhưng nếu chúng được thực hiện bởi một người không trực tiếp tham gia vào các hoạt động của các quá trình, thì chúng có thể cung cấp những phân tích khách quan hơn. Tần suất xem xét có thể bị ảnh hưởng bởi mức độ rủi ro, bởi chu kỳ lập kế hoạch kinh doanh, bởi sự năng động trong môi trường/bối cảnh, hoặc bởi một cuộc họp của bộ phận quản trị có trách nhiệm theo dõi các rủi ro và quản lý rủi ro.
Nếu phát hiện các vấn đề, tổ chức nên xem xét chúng đã xuất hiện như thế nào và tại sao, trước đây chúng không được phát hiện.
Các hoạt động kiểm soát phải được đảm bảo thông qua các hành động của các nhà quản lý có trách nhiệm (các chủ rủi ro) vốn được xem như là một phần của các công việc và các vai trò bình thường của họ. Việc chỉ rõ những hoạt động kiểm soát cụ thể để kiểm soát các chủ rủi ro sẽ thúc đẩy việc áp dụng các hoạt động kiểm soát, nhưng để đảm bảo tính hiệu lực, những chủ sở hữu đó cần được đào tạo kiến thức về kiểm soát sự đảm bảo của các quá trình.
Khi những sự thay đổi trong tổ chức đã được lập kế hoạch, hoặc khi những thay đổi bên ngoài đã được phát hiện, có thể dẫn đến những thay đổi trong:
– môi trường bên ngoài hoặc bên trong hoặc đối với các bên liên quan và quan điểm của họ;
– bối cảnh quản lý rủi ro, các mục tiêu của tổ chức và các tiêu chí rủi ro của nó;
– các rủi ro và các mức độ rủi ro;
– sự cần thiết đối với những phương pháp xử lý rủi ro;
– ảnh hưởng và hiệu lực của hoạt động kiểm soát.
Vì lý do này, khi xây dựng hoặc sửa đổi các kế hoạch kinh doanh hay các phương án chiến lược, điều tối cần thiết đối với các tổ chức là phải xem xét các rủi ro, các phương pháp xử lý, các hoạt động kiểm soát rủi ro của mình. Ngoài ra, do các phương án kinh doanh và kế hoạch chiến lược có thể tạo ra hoặc buộc điều chỉnh các mục tiêu của một tổ chức, nên sẽ rất hữu ích nếu ta sử dụng quá trình đánh giá rủi ro như phép kiểm chứng về tính chắc chắc của các phương án dự thảo để đảm bảo các mục tiêu dự kiến là đạt được, và cũng để xác định biện pháp xử lý rủi ro cần thiết nhằm đảm bảo kết quả thành công. Những người thực hiện quá trình quản lý rủi ro cũng nên thường xuyên xem xét kinh nghiệm, các đầu ra, các kết quả của họ để xác định các cơ hội cải tiến.
Phụ lục E
(tham khảo)
Tích hợp quản lý rủi ro trong một hệ thống quản lý
E.1 Khái quát
Quản lý rủi ro là một phần không tách rời của hệ thống quản lý của một tổ chức. TCVN ISO 31000 hướng dẫn các tổ chức xây dựng, thực hiện và cải tiến liên tục một khuôn khổ quản lý mà mục đích của nó là để tích hợp quản lý rủi ro vào hệ thống quản lý của tổ chức (bao gồm quản trị và chiến lược).
Đặc biệt, sự tích hợp cần đảm bảo rằng, thông tin về rủi ro được sử dụng như là cơ sở cho việc ra quyết định ở tất cả các cấp của tổ chức. Những người và các bộ phận cụ thể thực hiện quản lý rủi ro hàng ngày phải được cân nhắc như là một phần trong cách để họ đưa ra các quyết định. Quản lý rủi ro đã được tích hợp một cách tự nhiên trong tất cả những gì chúng tôi làm trước khi chúng tôi quyết định làm một cái gì đó. Dù chỉ một số người làm tốt hơn những người khác về điều đó, nhưng tất cả có thể cải thiện chất lượng quản lý rủi ro và cải thiện việc ra quyết định, dẫn đến sự cải thiện trong việc đạt được các mục tiêu và sự tin cậy nhờ đó cũng được nâng lên. Nếu mục đích của việc quản lý rủi ro tích hợp là để gia tăng giá trị, nó xác định một cách logic các phương thức chấp nhận tạo được ảnh hưởng đến những gì đã diễn ra và thúc đẩy, cải thiện nó, chứ không phải thay thế nó bằng một cái gì đó khác đi. Nó không có tác dụng bổ sung hoặc ép buộc một cái gì đó khác lạ vào những gì sẽ thực sự phải diễn ra một cách tự nhiên của chức năng ra quyết định.
Tích hợp không chỉ đơn giản là việc đưa các công cụ và các quá trình quản lý rủi ro đã được thiết lập, đã được tiêu chuẩn hóa vào trong (các) hệ thống quản lý hiện có, nó đòi hỏi sự điều chỉnh, thay đổi những công cụ và quá trình của mình cho phù hợp với nhu cầu của người ra quyết định, phù hợp với các quá trình hiện có của họ để ra quyết định.
Phụ lục này cung cấp một số ví dụ thực tế về việc quản lý rủi ro có thể được tích hợp như thế nào vào (các) hệ thống quản lý hiện hành.
E.2 Hệ thống quản lý là gì?
Tất cả các tổ chức đều sử dụng một số loại hệ thống quản lý. Trong thời gian gần đây, các hệ thống quản lý đã được chuyển hóa thành dạng chính tắc gắn liền với các yêu cầu đã được tạo ra, cung cấp một khuôn khổ quản lý trong đó một tổ chức có thể thiết lập các biện pháp và các quá trình quản lý để chỉ đạo và kiểm soát các hoạt động của nó. Nhiều tiêu chuẩn quốc tế đề cập tới các hệ thống quản lý nói chung hay có liên quan tới những nội dung cụ thể.
Một hệ thống quản lý là một tập hợp các yếu tố liên quan hay tương tác lẫn nhau của một tổ chức để thiết lập các chính sách, các mục tiêu, cũng như các quá trình để đạt được những mục tiêu đó. Với góc độ quản lý kinh doanh, nhờ có một hệ thống quản lý hay hệ thống quản lý tích hợp, ta sẽ thu được hiệu quả.
Ví dụ, quản lý chất lượng như được nêu trong TCVN ISO 9001 đề cập một cách tiếp cận rộng lớn hướng tới sự hài lòng của khách hàng, trong khi quản lý rủi ro lại đề cập tới những tác động của sự không chắc chắn đối với các mục tiêu vốn có thể không chỉ liên quan đến khách hàng mà còn đối với cả hàng loạt các bên liên quan khác. Nhiều tổ chức đã áp dụng hệ thống quản lý chất lượng dựa trên các yêu cầu của TCVN ISO 9001, và quản lý rủi ro có thể được tích hợp trong các hệ thống quản lý như vậy, tạo ra sự phối hợp hài hòa và tránh trùng lặp
E.3 Hệ thống quản lý được tích hợp và quản lý rủi ro
Tích hợp việc quản lý rủi ro với các quá trình kinh doanh cốt lõi cũng giống như mọi nhu cầu để tạo ra sự tương tác giữa tất cả các cách tiếp cận hệ thống quản lý, ví dụ như quản lý chất lượng, quản lý môi trường, quản lý an toàn, quản lý an ninh, quản lý sự tuân thủ luật pháp, quản lý tài chính và báo cáo tài chính, và thậm chí cả với quản lý bảo hiểm liên quan tới các sự kiện về việc phải chuyển trả về tài chính cho các tổ chức khác.
Các hệ thống quản lý tách biệt này cần tạo nên một hệ thống quản lý tích hợp, dựa trên các chính sách và chiến lược của mỗi một tổ chức. Ngay cả khi một tổ chức có các hệ thống quản lý tách biệt để quản lý các rủi ro rất cụ thể thì khuôn khổ quản lý để quản lý rủi ro cũng nên mở rộng để có bao hàm hoặc được kết hợp với các hệ thống khác của nó.
Cách tiếp cận quản lý rủi ro bao hàm dọc toàn bộ tổ chức có thể:
a) Nâng cao sự chú trọng của lãnh đạo cấp cao đối với các mục tiêu chiến lược của tổ chức;
b) Tạo khả năng để mọi rủi ro trong hệ thống quản lý tích hợp sẽ được xử lý theo các nguyên tắc và hướng dẫn của TCVN ISO 31000.
Cách tiếp cận này có thể liên quan đến những điều sau đây:
– đưa vào hệ thống quản lý chất lượng việc áp dụng các kỹ thuật quản lý rủi ro có liên quan đến sản phẩm chính yếu, liên quan quản lý rủi ro dự án;
– đối phó với những sự bất ổn trong quản lý môi trường, ví dụ như cố và tai nạn tiềm ẩn tại các cơ sở liên quan độc hại, vấn đề xử lý vật liệu và chất nguy hại;
– xử lý các rủi ro kết hợp với các hoạt động như an toàn tại nơi làm việc;
– xử lý, kiểm soát các rủi ro an ninh, ví dụ hành vi bạo lực đối với các tổ chức hoặc các nhân viên hay khách hàng của mình;
– xử lý các rủi ro an ninh trong công nghệ thông tin (CNTT), ví dụ như các tác nghiệp làm CNTT bị sập, mất dữ liệu, vi phạm bảo mật và đảm bảo tính liên tục kinh doanh;
– quản lý các rủi ro liên quan tính liên tục kinh doanh nhằm đảm bảo sự chuẩn bị, phản ứng nhanh chóng đối với các sự kiện gây gián đoạn;
– thiết lập các hoạt động kiểm soát để bảo vệ tài sản vật chất của tổ chức, để đảm bảo báo cáo chính xác, để đảm bảo tuân thủ các yêu cầu pháp lý, hoặc để quản lý các rủi ro có khả năng được bảo hiểm theo cách giảm thiểu các phí bảo hiểm.
E.4 Áp dụng quản lý rủi ro trong cơ cấu quản lý của hệ thống quản lý chất lượng
E.4.1 Khái quát
Quá trình quản lý rủi ro cần được lồng ghép vào các quá trình ra quyết định của một tổ chức, bất kể mức độ và chức năng mà tại đó những quyết định này được đưa ra.
E.4.2 Xác định và nhận thức về nắm bắt, hiểu quyết định
Các phương pháp sau đây giúp nhận biết được khi nào và ở đâu các quyết định được nêu ra theo chu kỳ Lập kế hoạch – Thực hiện – Kiểm tra – Hành động (PDCA).
a) Xác định tất cả các hình thức về những thực tế ra quyết định đã được chính thức hóa và thực tế đã tồn tại trong tổ chức.
b) Trong các tổ chức lớn, thường có nhiều thủ tục đòi hỏi những sự chấp thuận chính thức cho một loạt các quyết định, ví dụ như phê duyệt các kế hoạch chiến lược hàng năm, hạn mức vốn, thuê tuyển nhân viên mới, sửa đổi các cách kiểm soát quá trình, bố trí việc đi lại của nhân viên.
c) Sử dụng lưu đồ, hoặc một số kỹ thuật khác, để lập sơ đồ mô tả sát thực về trình tự và các quy tắc thực hành chính của việc ra quyết định hiện được áp dụng cho cả các dự án cụ thể và tất cả các khía cạnh của hoạt động kinh doanh. Điều này có thể được cân nhắc trên cơ sở bộ phận hoặc chức năng và nên mở rộng cho cả việc ra quyết định về quản trị và quản lý. Nếu có những hoạt động đang được quản lý bởi việc áp dụng một hệ thống quản lý đã được chính thức hóa (ví dụ như quản lý chất lượng qua áp dụng TCVN ISO 9001), những điểm quyết định trong các hệ thống như vậy sẽ tạo thành một phần của việc phân tích này. Tương tự như vậy, nếu tổ chức có bất kỳ hình thức nào về ủy nhiệm ra quyết định, những nhiệm vụ như vậy cũng nên được đưa vào phân tích. Kết quả cuối cùng sẽ có một bức tranh mạch lạc, được văn bản hóa về việc các quyết định được ban hành ở đâu, do ai nêu và các quá trình hiện đang sử dụng đối với các quyết định như vậy.
Việc kết hợp các kỹ thuật nói trên sẽ tạo ra một mức độ cao về nhận thức của cá nhân lẫn cả tổ chức trong việc ra quyết định.
E.4.3 Đánh giá rủi ro
Thường sẽ thích hợp, nếu trong một số loại quyết định (ví dụ như phát triển và thực hiện một sản phẩm mới, hoặc lập kế hoạch và thực hiện một dự án lớn), ta áp dụng được đánh giá rủi ro dạng chính tắc tại các giai đoạn khác nhau của dự án. Ví dụ, hầu hết các dự án có nhiều điểm quyết định phức tạp, chẳng hạn tính khả thi, điều kiện sản xuất – kinh doanh, việc lập ngân sách và kế hoạch chi tiết, thực hiện và bàn giao. Tại mỗi điểm, một đánh giá rủi ro dạng chính tắc là thích hợp để quyết định giữa các tùy chọn. Điều này làm tăng tính hợp lý về sự thành công của dự án và cũng cải thiện tính hiệu quả.
Để đánh giá rủi ro các quyết định tác nghiệp, những hình thức đơn giản đã được tiêu chuẩn hóa của quá trình quản lý rủi ro có thể được những nhân viên tham gia phát triển để sử dụng. Những phương pháp này đặc biệt thích hợp trong tình huống mà mọi người làm việc mà không có sự theo dõi trực tiếp. Một thành phần quan trọng của các phương pháp này là nó tạo ra những nhận thức về các giả định như là đầu vào cho các quyết định. Theo định nghĩa, các giả định là một nguồn gốc của sự không chắc chắn.
Các quá trình chuẩn hóa như vậy có thể được cụ thể đối với một hình thức liên quan đến việc ra quyết định, đối với một nhóm người cụ thể thực hiện một nhiệm vụ cụ thể, và đối với bối cảnh điển hình mà trong đó những vấn đề trên xảy ra. Các hệ thống đơn giản có thể được biên soạn/ hệ thống hóa thành sổ tay bỏ túi hay bản hướng dẫn dạng danh mục kiểm tra và được tất cả những người tham gia trong loại hình công việc để thực hiện.
E.4.4 Những gợi ý cho khuôn khổ quản lý rủi ro
Việc áp dụng các kỹ thuật được mô tả trong điều khoản này sẽ đòi hỏi một số hạng mục và sự điều chỉnh thích hợp đối với khuôn khổ quản lý rủi ro, ví dụ:
– sửa đổi các chính sách quản lý rủi ro của tổ chức;
– sắp xếp để tiến hành việc điều tra ban đầu và lập bản đồ thực hành ra quyết định;
– tiến hành sửa đổi đối với các sổ tay dạng quy trình;
– đào tạo cán bộ quản lý và nhân viên;
– đào tạo cụ thể cho những người có công việc phải được thực hiện phù hợp với một hệ thống quản lý cụ thể. (ví dụ như những nguồn có liên quan tới những dạng đặc biệt về rủi ro);
– các điều chỉnh đối với hệ thống đảm bảo và quản lý rủi ro liên quan năng lực thông tin của công ty;
– trao đổi thông tin nội bộ và tham vấn hiệu quả.
THƯ MỤC TÀI LIỆU THAM KHẢO
[1] TCVN ISO 9000 (ISO 9000), Hệ thống quản lý chất lượng – Thuật ngữ và định nghĩa.
[2] TCVN ISO 9001 (ISO 9001), Hệ thống quản lý chất lượng – Các yêu cầu.
[3] TCVN ISO 19011 (ISO 19011), Hướng dẫn đánh giá hệ thống quản lý.
[4] TCVN 9788:2013 (ISO Guide 73:2009), Quản lý rủi ro – Từ vựng.
[5] TCVN ISO/IEC 31010 (IEC 31010), Quản lý rủi ro- Kỹ thuật đánh giá rủi ro.
MỤC LỤC
Lời nói đầu
Lời giới thiệu
1 Phạm vi áp dụng
2 Tài liệu viện dẫn
3 Áp dụng TCVN ISO 31000
3.1 Khái quát
3.2 Cách thức áp dụng TCVN ISO 31000
3.3 Tích hợp TCVN ISO 31000 vào các quá trình quản lý của tổ chức
3.4 Cải tiến liên tục
Phụ lục A (tham khảo) Khái niệm và các nguyên tắc nền tảng
Phụ lục B (tham khảo) Áp dụng các nguyên tắc của TCVN ISO 31000
Phụ lục C (tham khảo) Thể hiện nhiệm vụ và cam kết
Phụ lục D (tham khảo) Theo dõi và xem xét
Phụ lục E (tham khảo) Tích hợp quản lý rủi ro trong một hệ thống quản lý
Thư mục tài liệu tham khảo
TIÊU CHUẨN QUỐC GIA TCVN ISO/TR 31004:2015 (ISO/TR 31004:2013) VỀ QUẢN LÝ RỦI RO – HƯỚNG DẪN ÁP DỤNG TCVN ISO 31000 | |||
Số, ký hiệu văn bản | TCVNISO/TR31004:2015 | Ngày hiệu lực | |
Loại văn bản | Tiêu chuẩn Việt Nam | Ngày đăng công báo | |
Lĩnh vực |
Hóa chất, dầu khí |
Ngày ban hành | |
Cơ quan ban hành | Tình trạng | Còn hiệu lực |
Các văn bản liên kết
Văn bản được hướng dẫn | Văn bản hướng dẫn | ||
Văn bản được hợp nhất | Văn bản hợp nhất | ||
Văn bản bị sửa đổi, bổ sung | Văn bản sửa đổi, bổ sung | ||
Văn bản bị đính chính | Văn bản đính chính | ||
Văn bản bị thay thế | Văn bản thay thế | ||
Văn bản được dẫn chiếu | Văn bản căn cứ |