Quy trình quản lý rủi ro theo tiêu chuẩn ISO 31000 trong doanh nghiệp

30/12/2024
20

Quản lý rủi ro là một quy trình quan trọng vì nó trao quyền cho doanh nghiệp với các công cụ cần thiết để xác định và xử lý đầy đủ các rủi ro tiềm ẩn. Hiện nay có 2 tiêu chuẩn trong quản lý rủi ro trong được công nhận rộng rãi bao gồm ERM COSO và ISO 31000. Trong khuôn khổ bài viết này, Viện Đổi mới Doanh nghiệp MISA giới thiệu tới quý độc giả Khung tiêu chuẩn ISO 31000 và quy trình quản lý rủi ro theo tiêu chuẩn ISO 31000 trong doanh nghiệp.

Mục lục Hiện

1. Tiêu chuẩn ISO 31000 là gì?

Tiêu chuẩn ISO 31000 có tên tiếng Anh là: ISO 31000 Risk management, là một nhóm các tiêu chuẩn liên quan đến quản lý rủi ro được hệ thống hóa bởi Tổ chức Tiêu chuẩn hóa Quốc tế. ISO 31000 cung cấp các nguyên tắc và hướng dẫn chung về quản lý rủi ro mà tổ chức phải đối mặt.

Ngoài ra, ISO 31000 cũng tìm cách cung cấp một mô hình được công nhận rộng rãi cho các nhà thực hành và các công ty sử dụng các quy trình quản lý rủi ro để thay thế vô số các tiêu chuẩn, phương pháp và mô hình hiện có khác nhau giữa các ngành, chủ đề và khu vực.

Tiêu chuẩn ISO 31000 là gì?

Với mục đích này, các khuyến nghị được cung cấp trong ISO 31000 có thể được tùy chỉnh cho bất kỳ tổ chức nào và bối cảnh của tổ chức đó. Đây là tiêu chuẩn dùng cho những người tạo lập và bảo vệ các giá trị của tổ chức thông qua việc quản lý rủi ro, ra quyết định, thiết lập và đạt được các mục tiêu, cải tiến kết quả thực hiện.

Các tổ chức ở mọi loại hình và quy mô đều đối mặt với các yếu tố và các ảnh hưởng nội bộ và bên ngoài dẫn đến sự không chắc chắn cho tổ chức trong việc đạt được các mục tiêu của mình.

Với các tính năng như vậy, doanh nghiệp có thể áp dụng ISO 31000 vào suốt quá trình hình thành và phát triển bao gồm các chiến lược và quyết định, hoạt động, quy trình, chức năng, dự án, sản phẩm, dịch vụ và tài sản. Việc áp dụng ISO 31000 sẽ giúp doanh nghiệp tăng khả năng đạt được các mục tiêu, cải thiện việc xác định các cơ hội và các mối đe dọa và phân bổ và sử dụng hiệu quả các nguồn lực để quản lý, xử lý rủi ro.

Tiêu chuẩn ISO 31000 được đưa vào áp dụng từ năm 2009 và được sửa đổi vào năm 2018. Phiên bản tiêu chuẩn năm 2018 bao gồm nhiều hướng dẫn chiến lược hơn về quản trị rủi ro so với phiên bản ban đầu. Đồng thời cũng nhấn mạnh vai trò quan trọng của quản lý cấp cao trong quản lý rủi ro và tích hợp quản lý rủi ro trong toàn bộ tổ chức.

>> Xem thêm: Cách thức doanh nghiệp quản lý rủi ro dựa vào công cụ quản lý

2. Đánh giá rủi ro theo TCVN ISO 31000:2018 ra sao?

Việc đánh giá rủi ro theo tiêu chuẩn ISO 31000:2018 được thực hiện theo quá trình tổng thể gồm nhận diện rủi ro, phân tích rủi ro và định mức rủi ro.

2.1. Nhận diện rủi ro

Tổ chức có thể sử dụng nhiều kỹ thuật để nhận diện sự không chắc chắn có thể ảnh hưởng đến một hoặc nhiều mục tiêu. Các yếu tố sau và mối quan hệ giữa các yếu tố này, cần được xem xét:

– Các nguồn rủi ro hữu hình và vô hình.

– Nguyên nhân và các sự kiện.

– Các mối đe dọa và các cơ hội.

– Các yếu điểm và khả năng.

– Những thay đổi trong bối cảnh nội bộ, bên ngoài.

– Chỉ số về những rủi ro đang hình thành.

– Tính chất và giá trị của các tài sản, nguồn lực.

– Hệ quả và tác động của chúng tới các mục tiêu.

– Những hạn chế về kiến thức và tính tin cậy của thông tin.

– Các yếu tố liên quan đến thời gian.

– Những định kiến, các giả định và niềm tin của những người liên quan.

2.2. Phân tích rủi ro

Có thể được thực hiện với mức độ chi tiết và phức tạp khác nhau, tùy thuộc vào mục đích của phân tích, sự sẵn có, độ tin cậy của các thông tin và các nguồn lực sẵn có. Các kỹ thuật phân tích có thể định tính, định lượng hoặc kết hợp cả hai, tùy thuộc vào hoàn cảnh và mục đích sử dụng.

Việc phân tích rủi ro cần cân nhắc các yếu tố như:

– Khả năng xảy ra của các sự kiện và hệ quả;

– Bản chất và mức độ của các hệ quả;

– Mức độ phức tạp và sự kết nối;

– Các yếu tố liên quan đến thời gian và sự biến động;

– Hiệu lực của các kiểm soát hiện có;

– Mức độ nhạy cảm và tin cậy.

2.3. Định mức rủi ro

Việc định mức rủi ro nhằm mục đích là để hỗ trợ các quyết định. Định mức rủi ro đòi hỏi việc so sánh kết quả phân tích rủi ro với các tiêu chí rủi ro đã được thiết lập để xác định khi nào cần có hành động bổ sung. Điều này có thể dẫn đến quyết định:

– Không làm gì thêm.

– Cân nhắc các phương án xử lý rủi ro.

– Tiến hành phân tích sâu hơn để hiểu rõ hơn về rủi ro.

– Duy trì các kiểm soát hiện có.

– Xem xét lại các mục tiêu.

3. Quá trình áp dụng ISO 31000 trong doanh nghiệp

Quá trình áp dụng ISO 31000 trong doanh nghiệp gồm các bước sau:

Bước 1. Thiết lập khuôn khổ quản lý rủi ro

a. Thiết lập bối cảnh

– Doanh nghiệp xem xét các điều kiện bên ngoài, bên trong có ảnh hưởng hoặc gây rủi ro đến hoạt động của doanh nghiệp.

– Tham khảo: Bảng phân tích PEST, SWOT

Bảng phân tích PEST

b. Thiết lập chính sách quản lý rủi ro

– Ban giám đốc xây dựng chính sách quản lý rủi ro và công bố chính sách này cho tất cả các thành viên và các bên có liên quan.

c. Trách nhiệm

– Doanh nghiệp xác định trách nhiệm quyền hạn của các thành viên trong doanh nghiệp trong việc áp dụng HTQL rủi ro, bao gồm: Xác định, đánh giá, lập phương án, xử lý, theo dõi và báo cáo rủi ro; xây dựng, thực hiện và duy trì khuôn khổ quản lý rủi ro.

d. Tích hợp các quá trình của tổ chức

– Doanh nghiệp tích hợp nội dung của HTQL rủi ro vào tất cả các quá trình của doanh nghiệp và xem quản lý rủi ro như một phần không tách rời của các các quá trình của doanh nghiệp.

e. Nguồn lực

– Doanh nghiệp sử dụng hợp lý nguồn lực trong việc quản lý rủi ro.

– Ban lãnh đạo cung cấp nguồn lực để thực hiện các chương trình xử lý rủi ro.

f. Thiết lập cơ chế báo cáo và trao đổi thông tin nội bộ

– Doanh nghiệp thiết lập cơ chế báo cáo và trao đổi thông tin nội bộ và bên ngoài để hỗ trợ, khuyến khích các thành viên thực hiện trách nhiệm trong quản lý rủi ro.

g. Xác định tiêu chí rủi ro

– Doanh nghiệp xác định các tiêu chí để làm cơ sở đánh giá rủi ro và so sánh các rủi ro hiện tại.

– Các kết quả đánh giá so sánh với tiêu chí rủi ro sẽ làm cơ sở quyết định sẽ cung cấp nguồn lực để ưu tiên giảm thiểu các rủi ro.

Bước 2. Thực hiện khuôn khổ quản lý rủi ro

a. Thực hiện khuôn khổ quản lý rủi ro

b. Theo dõi và xem xét khuôn khổ quản lý rủi ro

c. Cải tiến liên tục khuôn khổ quản lý rủi ro

– Doanh nghiệp tổ chức thực hiện các khuôn khổ quản lý rủi ro đã thiết lập ở trên.

– Trưởng các phòng ban sẽ theo dõi và đề xuất cải tiến các quá trình để giảm thiểu các rủi ro.

– Ban quản lý rủi ro sẽ theo dõi, hỗ trợ các công cụ cần thiết để thực hiện hệ thống quản lý rủi ro.

Bước 3. Xác định rủi ro

– Trưởng phòng ban trong doanh nghiệp cần xác định các nguồn rủi ro, lĩnh vực chịu tác động, sự kiện, nguyên nhân, hệ quả tiềm ẩn của sự kiện.

– Áp dụng các công cụ và kỹ thuật xác định rủi ro, phù hợp với các mục tiêu.

– Lập danh mục rủi ro.

Quá trình áp dụng ISO 31000 trong doanh nghiệp.

Bước 4. Phân tích rủi ro

– Trưởng phòng ban phân tích rủi ro, đánh giá rủi ro và quyết định phương án xử lý rủi ro.

– Chủ sở hữu quá trình phải xem xét nguyên nhân và nguồn rủi ro, hệ quả tích cực và tiêu cực của chúng, khả năng những hệ quả này có thể xảy ra.

Bước 5. Đánh giá mức độ rủi ro

– Trưởng phòng ban so sánh mức độ rủi ro thấy được trong quá trình phân tích với tiêu chí rủi ro đã xác định ở Bước 1.g nêu trên. 

– Chọn các phương án xử lý rủi ro có tính đến với các yêu cầu pháp lý, quản lý và yêu cầu khác.

– Ban quản lý rủi ro sẽ xem xét các rủi ro (xác định, phân tích, đánh giá) trước khi trình Ban lãnh đạo xem xét và cung cấp nguồn lực để xử lý các rủi ro.

– Tham khảo: Bảng đánh giá rủi ro (Phụ lục 6)

Bước 6. Xử lý rủi ro

a. Lựa chọn các phương án xử lý rủi ro

– Chủ quá trình chọn một hoặc nhiều phương án để điều chỉnh rủi ro và thực hiện những phương án này.

– Chọn một phương án xử lý rủi ro thích hợp nhất liên quan đến việc cân đối giữa chi phí và nỗ lực thực hiện so với các lợi ích thu được.

– Ban quản lý rủi ro sẽ cân nhắc việc chọn các phương án xử lý rủi ro trước khi trình Ban giám đốc xem xét và quyết định.

– Lưu ý các rủi ro khác có thể xuất hiện khi xử lý rủi ro.

b. Chuẩn bị và thực hiện các phương án xử lý rủi ro

– Chủ các quá trình viết thành văn bản cách thức thực thi các phương án xử lý thông qua kế hoạch xử lý rủi ro.

– Ban quản lý rủi ro xem xét và quyết định bản chất và mức độ rủi ro tồn đọng sau khi đã xử lý rủi ro.

Bước 7. Theo dõi và xem xét

– Chủ động các quá trình theo dõi và xem xét theo các hoạch định của quá trình quản lý rủi ro.

– Tiến trình thực hiện các phương án xử lý rủi ro, cung cấp thước đo việc thực hiện hệ thống quản lý rủi ro.

Bước 8. Báo cáo các rủi ro

– Hàng tháng, các chủ quá trình báo cáo kết quả thực hiện quản lý rủi ro và trình cho Ban quản lý rủi ro. 

– Trưởng ban Quản lý rủi ro tổng kết và báo cáo cho Tổng Giám đốc, Hội đồng quản trị cùng với các đề xuất cải tiến để giảm thiểu các rủi ro.

– Hàng quý, Ban quản lý rủi ro đánh giá hiệu quả áp dụng hệ thống quản lý rủi ro để so sánh mức độ tiến bộ giữa các quý và báo cáo cho Tổng Giám đốc, Hội đồng quản trị cùng với các khu vực cần cải tiến để giảm thiểu các rủi ro.

– Mỗi sáu tháng, Ban quản lý rủi ro kết hợp cùng các Ban ISO khác, tổ chức đánh giá nội bộ theo quy trình đánh giá nội bộ và báo cáo kết quả tổng thể cho Tổng Giám đốc, Hội đồng quản trị.

– Các báo cáo rủi ro sẽ làm cơ sở cho Ban giám đốc ra các quyết định về sản xuất và kinh doanh trong tương lai và làm nền tảng cho việc cải tiến các phương pháp xử lý rủi ro.

Bước 9. Xem xét và điều chỉnh

– Ban Giám đốc xem xét các kết quả thực hiện xử lý rủi ro, đánh giá để làm cơ sở điều chỉnh các hoạt động sản xuất, kinh doanh cho phù hợp.

– Cung cấp thêm nguồn lực khi cần thiết để xử lý các rủi ro tồn đọng.

– Định hướng xử lý rủi ro theo các cập nhật về công nghệ kỹ thuật và khả năng tài chính của doanh nghiệp.

– Tổ chức thực hiện mô hình nói trên trong những năm tiếp theo

*Bảng quá trình áp dụng ISO 31000 trong doanh nghiệp:

Bước 1. Thiết lập khuôn khổ quản lý rủi ro a. Thiết lập bối cảnh

– Doanh nghiệp xem xét các điều kiện bên ngoài, bên trong có ảnh hưởng hoặc gây rủi ro đến hoạt động của doanh nghiệp.

– Tham khảo: Bảng phân tích PEST, SWOT
b. Thiết lập chính sách quản lý rủi ro

Ban giám đốc xây dựng chính sách quản lý rủi ro và công bố chính sách này cho tất cả các thành viên và các bên có liên quan.
c. Trách nhiệm

Doanh nghiệp xác định trách nhiệm quyền hạn của các thành viên trong doanh nghiệp trong việc áp dụng HTQL rủi ro, bao gồm: Xác định, đánh giá, lập phương án, xử lý, theo dõi và báo cáo rủi ro; xây dựng, thực hiện và duy trì khuôn khổ quản lý rủi ro.
d. Tích hợp các quá trình của tổ chức

Doanh nghiệp tích hợp nội dung của HTQL rủi ro vào tất cả các quá trình của doanh nghiệp và xem quản lý rủi ro như một phần không tách rời của các các quá trình của doanh nghiệp.
e. Nguồn lực

– Doanh nghiệp sử dụng hợp lý nguồn lực trong việc quản lý rủi ro.

– Ban lãnh đạo cung cấp nguồn lực để thực hiện các chương trình xử lý rủi ro.
f. Thiết lập cơ chế báo cáo và trao đổi thông tin nội bộ

Doanh nghiệp thiết lập cơ chế báo cáo và trao đổi thông tin nội bộ và bên ngoài để hỗ trợ, khuyến khích các thành viên thực hiện trách nhiệm trong quản lý rủi ro.
g. Xác định tiêu chí rủi ro

– Doanh nghiệp xác định các tiêu chí để làm cơ sở đánh giá rủi ro và so sánh các rủi ro hiện tại.

– Các kết quả đánh giá so sánh với tiêu chí rủi ro sẽ làm cơ sở quyết định sẽ cung cấp nguồn lực để ưu tiên giảm thiểu các rủi ro.
Bước 2. Thực hiện khuôn khổ quản lý rủi ro a. Thực hiện khuôn khổ quản lý rủi ro
b. Theo dõi và xem xét khuôn khổ quản lý rủi ro
c. Cải tiến liên tục khuôn khổ quản lý rủi ro

– Doanh nghiệp tổ chức thực hiện các khuôn khổ quản lý rủi ro đã thiết lập ở trên.

– Trưởng các phòng ban sẽ theo dõi và đề xuất cải tiến các quá trình để giảm thiểu các rủi ro.

– Ban quản lý rủi ro sẽ theo dõi, hỗ trợ các công cụ cần thiết để thực hiện hệ thống quản lý rủi ro.
Bước 3. Xác định rủi ro – Trưởng phòng ban trong doanh nghiệp cần xác định các nguồn rủi ro, lĩnh vực chịu tác động, sự kiện, nguyên nhân, hệ quả tiềm ẩn của sự kiện.

– Áp dụng các công cụ và kỹ thuật xác định rủi ro, phù hợp với các mục tiêu.

– Lập danh mục rủi ro.
Bước 4. Phân tích rủi ro – Trưởng phòng ban phân tích rủi ro, đánh giá rủi ro và quyết định phương án xử lý rủi ro.

– Chủ sở hữu quá trình phải xem xét nguyên nhân và nguồn rủi ro, hệ quả tích cực và tiêu cực của chúng, khả năng những hệ quả này có thể xảy ra.
Bước 5. Đánh giá mức độ rủi ro – Trưởng phòng ban so sánh mức độ rủi ro thấy được trong quá trình phân tích với tiêu chí rủi ro đã xác định ở Bước 1.g nêu trên. 

– Chọn các phương án xử lý rủi ro có tính đến với các yêu cầu pháp lý, quản lý và yêu cầu khác.

– Ban quản lý rủi ro sẽ xem xét các rủi ro (xác định, phân tích, đánh giá) trước khi trình Ban lãnh đạo xem xét và cung cấp nguồn lực để xử lý các rủi ro.

– Tham khảo: Bảng đánh giá rủi ro (Phụ lục 6)
Bước 6. Xử lý rủi ro a. Lựa chọn các phương án xử lý rủi ro

– Chủ quá trình chọn một hoặc nhiều phương án để điều chỉnh rủi ro và thực hiện những phương án này.

– Chọn một phương án xử lý rủi ro thích hợp nhất liên quan đến việc cân đối giữa chi phí và nỗ lực thực hiện so với các lợi ích thu được.

– Ban quản lý rủi ro sẽ cân nhắc việc chọn các phương án xử lý rủi ro trước khi trình Ban giám đốc xem xét và quyết định.

– Lưu ý các rủi ro khác có thể xuất hiện khi xử lý rủi ro.
b. Chuẩn bị và thực hiện các phương án xử lý rủi ro

– Chủ các quá trình viết thành văn bản cách thức thực thi các phương án xử lý thông qua kế hoạch xử lý rủi ro.

– Ban quản lý rủi ro xem xét và quyết định bản chất và mức độ rủi ro tồn đọng sau khi đã xử lý rủi ro.
Bước 7. Theo dõi và xem xét – Chủ động các quá trình theo dõi và xem xét theo các hoạch định của quá trình quản lý rủi ro.

– Tiến trình thực hiện các phương án xử lý rủi ro, cung cấp thước đo việc thực hiện hệ thống quản lý rủi ro.
Bước 8. Báo cáo các rủi ro – Hàng tháng, các chủ quá trình báo cáo kết quả thực hiện quản lý rủi ro và trình cho Ban quản lý rủi ro. 

– Trưởng ban Quản lý rủi ro tổng kết và báo cáo cho Tổng Giám đốc, Hội đồng quản trị cùng với các đề xuất cải tiến để giảm thiểu các rủi ro.

– Hàng quý, Ban quản lý rủi ro đánh giá hiệu quả áp dụng hệ thống quản lý rủi ro để so sánh mức độ tiến bộ giữa các quý và báo cáo cho Tổng Giám đốc, Hội đồng quản trị cùng với các khu vực cần cải tiến để giảm thiểu các rủi ro.

– Mỗi sáu tháng, Ban quản lý rủi ro kết hợp cùng các Ban ISO khác, tổ chức đánh giá nội bộ theo quy trình đánh giá nội bộ và báo cáo kết quả tổng thể cho Tổng Giám đốc, Hội đồng quản trị.

– Các báo cáo rủi ro sẽ làm cơ sở cho Ban giám đốc ra các quyết định về sản xuất và kinh doanh trong tương lai và làm nền tảng cho việc cải tiến các phương pháp xử lý rủi ro.
Bước 9. Xem xét và điều chỉnh – Ban Giám đốc xem xét các kết quả thực hiện xử lý rủi ro, đánh giá để làm cơ sở điều chỉnh các hoạt động sản xuất, kinh doanh cho phù hợp.

– Cung cấp thêm nguồn lực khi cần thiết để xử lý các rủi ro tồn đọng.

– Định hướng xử lý rủi ro theo các cập nhật về công nghệ kỹ thuật và khả năng tài chính của doanh nghiệp.

– Tổ chức thực hiện mô hình nói trên trong những năm tiếp theo

Loading

Đánh giá bài viết
[Tổng số: 0 Trung bình: 0]
Chủ đề liên quan
Case study
Chuyển đổi số
Chuyển động thị trường
Đổi mới sáng tạo
ERP: Hoạch định nguồn lực
Giải pháp quản lý - điều hành
Bài viết liên quan
Xem tất cả
Kiến thức quản trị
Kinh nghiệm quản lý rủi ro theo ISO 31000 tại Bóng đèn Điện Quang
02/01/2025
Kiến thức quản trị
Sự chuyển dịch tại thị trường tiêu dùng Việt Nam 2025
15/11/2024
Kiến thức quản trị
Logistics và quản lý chuỗi cung ứng là gì? Các xu hướng và giải pháp tối ưu hóa logistics và chuỗi cung ứng
04/11/2024
Kiến thức quản trị
Nhu cầu thị trường là gì? Các phương pháp dự báo nhu cầu thị trường chính xác nhất
01/11/2024
Kiến thức quản trị
Hệ thống hoạch định nguồn lực doanh nghiệp là gì? Hoạt động như thế nào?
21/10/2024
Kiến thức quản trị
Kế hoạch kinh doanh liên tục BCP ứng phó các tình huống rủi ro
18/09/2024
Kiến thức quản trị
Danh sách công việc doanh nghiệp cần làm ứng phó thiệt hại do bão số 3 gây ra
10/09/2024
Kiến thức quản trị
Case Study là gì? Cách phân tích và triển khai Case Study hiệu quả
22/08/2024