CHƯƠNG 2: KHUNG QUẢN LÝ RỦI RO DOANH NGHIỆP COSO (ERM)

Quản lý Rủi ro Doanh nghiệp - Tích hợp với Chiến lược và Hiệu suất (khuôn khổ COSO ERM) là một khuôn khổ bổ sung và kết hợp một số khái niệm về khuôn khổ kiểm soát nội bộ COSO. Khung quản lý rủi ro COSO có năm thành phần...

I. Mục tiêu

• • Tìm hiểu về Khung quản lý rủi ro doanh nghiệp COSO.
  • Tìm hiểu về quản lý rủi ro doanh nghiệp (ERM), xác định và mô tả các mục tiêu, thành phần, lợi ích và hạn chế chính của chương trình ERM.
  • Tìm hiểu về các kỹ thuật nhận dạng sự kiện và cung cấp các ví dụ về nhận dạng sự kiện trong bối cảnh phương pháp tiếp cận ERM.
  • Hiểu về các chiến lược giảm thiểu rủi ro.

II. Nội dung

Trong bài học này chúng ta sẽ tìm hiểu về:

• • Định nghĩa Khung quản lý rủi ro COSO, Quản lý rủi ro doanh nghiệp
  • Năm thành phần liên quan đến nhau
  • Lợi ích và hạn chế của Quản lý Rủi ro Doanh nghiệp
  • Sự kiện rủi ro
  • Giảm thiểu rủi ro

1. Khung quản lý rủi ro COSO và Quản lý rủi ro doanh nghiệp (ERM)

1.1. Khung quản lý rủi ro COSO

Quản lý Rủi ro Doanh nghiệp - Tích hợp với Chiến lược và Hiệu suất (khuôn khổ COSO ERM) là một khuôn khổ bổ sung và kết hợp một số khái niệm về khuôn khổ kiểm soát nội bộ COSO.

Khuôn khổ COSO ERM cung cấp cơ sở để điều phối và tích hợp tất cả các hoạt động quản lý rủi ro của tổ chức. Tích hợp hiệu quả sẽ:

• • Cải thiện việc ra quyết định
  • Tăng cường hiệu suất

Quản lý rủi ro doanh nghiệp dựa trên tiền đề rằng mọi tổ chức tồn tại để cung cấp giá trị cho các bên liên quan.

ERM được định nghĩa là: Văn hóa, năng lực và thực tiễn, được tích hợp với việc thiết lập chiến lược và hiệu suất mà các tổ chức dựa vào để quản lý rủi ro trong việc tạo ra, bảo tồn và hiện thực hóa giá trị.

2. Các thành phần của khung quản lý rủi ro COSO

Khung quản lý rủi ro COSO có năm thành phần liên quan đến nhau:

Quản trị và Văn hóa (Governance & Culture): Quản trị thiết lập tinh thần của tổ chức, củng cố tầm quan trọng và thiết lập trách nhiệm giám sát đối với quản lý rủi ro doanh nghiệp. Văn hóa gắn liền với các giá trị đạo đức, các hành vi mong muốn và sự hiểu biết về rủi ro trong đơn vị.

Thiết lập chiến lược và mục tiêu (Strategy & Objective-Setting): Quản lý rủi ro doanh nghiệp, chiến lược và thiết lập mục tiêu phối hợp với nhau trong quá trình hoạch định chiến lược. Khẩu vị rủi ro được thiết lập và phù hợp với chiến lược; mục tiêu kinh doanh đưa chiến lược vào thực tế đồng thời làm cơ sở để xác định, đánh giá và ứng phó với rủi ro.

Hiệu suất (Performance): Những rủi ro có thể ảnh hưởng đến việc đạt được chiến lược và mục tiêu kinh doanh cần được xác định và đánh giá. Rủi ro được ưu tiên theo mức độ nghiêm trọng trong bối cảnh khẩu vị rủi ro. Sau đó, tổ chức sẽ lựa chọn các biện pháp ứng phó với rủi ro và xem xét danh mục đầu tư về mức độ rủi ro mà tổ chức đã gánh chịu. Kết quả của quá trình này được báo cáo cho các bên liên quan đến rủi ro chính.

Đánh giá và sửa đổi (Review & Revision): Bằng cách xem xét hiệu quả hoạt động của đơn vị, tổ chức có thể xem xét các thành phần quản lý rủi ro doanh nghiệp hoạt động tốt như thế nào theo thời gian và trong bối cảnh có những thay đổi đáng kể cũng như những sửa đổi nào là cần thiết.

Thông tin, Truyền thông và Báo cáo (Information, Communication, & Reporting): Quản lý rủi ro doanh nghiệp đòi hỏi một quá trình liên tục để thu thập và chia sẻ thông tin cần thiết, từ cả nguồn nội bộ và bên ngoài, được truyền lên, xuống và trên toàn tổ chức. 

3. Những lợi ích và hạn chế của quản trị rủi ro doanh nghiệp

3.1. Lợi ích

Những lợi ích của quản tr rủi ro doanh nghiệp bao gồm:

3.1. Hạn chế

Những hạn chế của quản trị rủi ro doanh nghiệp bao gồm:

4. Sự kiện rủi ro (Risk event)

Là một phần của quá trình phát triển ERM, các công ty nên xác định các sự kiện cụ thể có thể xảy ra và gây ra rủi ro cho công ty.

Những rủi ro mà một tổ chức phải đối mặt có thể có tính chất bên ngoài hoặc bên trong. Một số ví dụ về rủi ro bên ngoài và bên trong.

5. Giảm thiểu rủi ro (Risk mitigation)

Các công ty có thể xây dựng một danh mục gồm các hoạt động, sản phẩm, dịch vụ và chiến lược khác nhau để giảm thiểu tác động của một sự kiện đối với chương trình quản lý rủi ro tổng thể.

III. Bài tập

Question 1:

The 2017 COSO (Committee of Sponsoring Organizations) Enterprise Risk Management (ERM) consists of five interrelated components. Which list below includes an item that is not one of the five components?

1. Performance; Information, Communication, & Reporting
2. Rick assessment & Response; Review & Revision
3. Strategy & Objective – Setting; Performance
4. Information, Communication, & Reporting; Governance & Culture

 Answer

The 2017 Framework uses five interrelated components. Those components are Governance & Culture; Strategy & Objective-Setting; Performance; Review & Revision; and Information, Communication, & Reporting. Risk Assessment & Response is one part of the Performance component, but it is not a component itself. Therefore, this is the correct answer.

Question 2:

Which of the following is not correct concerning corporate governance in an Enterprise Risk Management (ERM) program?

1. Risk analysis is a component of an organization’s corporate governance.
2. It is recommended that organizations form a risk committee that reports to the board of directors.
3. It is recommended that the internal audit function be heavily involved in any ERM program.
4. It is recommended that organizations establish a Chief Risk Officer (CRO).

Answer

Corporate governance involves how an organization is managed. While risk analysis is an important part of ERM, it is not a component of corporate governance. It is more of an operational issue. Therefore, this is the correct answer.