ISO 31000:2009 – TIÊU CHUẨN QUẢN LÝ RỦI RO

Ngày 18 Tháng 11 năm 2009 Tổ chức tiêu chuẩn hóa quốc tế ISO đã ban hành phiên bản ISO 31000:2009 - tiêu chuẩn về quản lý rủi ro – bộ tiêu chuẩn này ra đời với mục đích giúp tất cả các doanh nghiệp về những nguyên tắc và hướng dẫn cụ thể trong quá trình quản lý rủi ro một cách hiệu quả nhất

Trước khi ban hành phiên bản này tổ chức ISO tiến hành rất nhiều cuộc họp trong khuôn khổ, nhằm tranh luận những ý kiến theo nhiều chiều hướng khác nhau của hơn 28 quốc gia đại diện cho các châu lục (trừ nam cực). Những chuyên gia đã tiến hành họp trên nhiều địa điểm khác nhau tại nhiều quốc gia nhằm có được sự so sánh và đúc rút được những yêu cầu chung của bộ tiêu chuẩn.

ISO 31000:2009 cung cấp các nguyên tắc, khuôn khổ và hình thức quản lý rủi ro một cách minh bạch, có hệ thống và đáng tin cậy trong bất kỳ phạm vi hoặc môi trường hoạt động của mọi tổ chức, Bên cạnh tiêu chuẩn ISO 31000:2009 tổ chức ISO còn ban hành thêm tiêu chuẩn ISO/ Guide 73:2009 - quản lý rủi ro cơ sở từ vựng, nhằm cung cấp một tập hợp các điều khoản và định nghĩa liên quan đến việc quản lý rủi ro bổ sung cho tiêu chuẩn ISO 31.000:2009

Phát biểu về tiêu chuẩn này ông: Kevin W. Knight PM - Chủ tịch tổ chức ISO - người chịu trách nhiệm chính trong nhóm phát triển tiêu chẩn cho biết “Mọi tổ chức, dù lớn hay nhỏ, các vấn đề về nội bộ và bên ngoài luôn tồn tại không chắc chắn, như vậy mục tiêu của họ đề ra có thể hoàn thành tốt hay không. Chính sự không chắc chắn này sẽ mang lại nhiều nguy cơ trong hệ thống và luôn tồn tại cố hữu trong mọi hoạt động”

Ông lập luận: Cuộc khủng hoảng tài chính toàn cầu vừa qua bắt nguồn từ những sai lầm của ban điều hành và quản lý rủi ro mang lại. Chính tiêu chuẩn ISO 31000:2009 sẽ giúp các doanh nghiệp ngành công nghiệp, ngành thương mại, công ty tư nhân,… tự tin tìm ra lối thoát từ cuộc khủng hoảng.

Tiêu chuẩn ISO 31000:2009 khuyến cáo các tổ chức phát triển, thực hiện và liên tục cải thiện khung quản lý rủi ro như là một phần không thể thiếu của hệ thống quản lý của mình.

"ISO 31.000 là một tài liệu thực tế nhằm hỗ trợ các tổ chức trong việc phát triển phương pháp riêng của mình để quản lý rủi ro. Nhưng điều này không phải là một tiêu chuẩn bắt buộc và cần một tổ chức chứng nhận. Bởi thực hiện ISO 31.000:2009 các tổ chức có thể so sánh với thực tiễn quản lý rủi ro của doanh nghiệp với một chuẩn mực quốc tế công nhận, cung cấp các nguyên tắc quản lý hiệu quả” 

ISO 31.000 được ban hành nhằm mục đích:

· Tăng khả năng đạt được mục tiêu 

· Khuyến khích chủ động quản lý 

· Nhận thức được sự cần thiết để xác định và xử lý rủi ro trong suốt tổ chức 

· Cải thiện việc xác định các cơ hội và đe dọa

· Tuân thủ các yêu cầu pháp lý có liên quan,các quy định và tiêu chuẩn quốc tế

· Cải thiện báo cáo tài chính

· Cải thiện quản trị 

· Nâng cao sự tự tin và tin tưởng các bên liên quan

· Thiết lập một cơ sở đáng tin cậy cho việc ra quyết định và lập kế hoạch

· Cải thiện phương pháp quản lý có hiệu quả

· Phân bổ và sử dụng hiệu quả nguồn tài nguyên để điều trị rủi ro

· Nâng cao hiệu quả hoạt động và kết quả thực hiện 

· Tăng cường sức khỏe và tính năng an toàn, cũng như bảo vệ môi trường

· Cải thiện công tác phòng chống mất mát và quản lý sự cố

· Giảm thiểu thiệt hại 

· Cải tiến tổ chức học tập 

· Cải thiện khả năng phục hồi của tổ chức.

ISO 31000:2009 có thể được áp dụng cho bất kỳ loại rủi ro nào cho dù bản chất của nó là tích cực hay tiêu cực

ISO 31.000 và ISO/Guide 73:2009 có thể được áp dụng cho tất cả các loại hình doanh nghiệp, hiệp hội cộng đồng, nhóm hoặc cá nhân…. 

NHỮNG AI NÊN QUAN TÂM ĐẾN ISO 31000:2009

Với việc quản lý rủi ro cho doanh nghiệp hiện đang là vấn đề nhức nhối đối với những người điều hành hay quản lý doanh nghiệp, chính vì thế ISO 31000:2009 là một cánh tay đắc lực cho:

· Những người chủ quản lý doanh nghiệp, giám đốc tài chính, giám đốc điều hành doanh nghiệp… 

· Những người chịu trách nhiệm về việc thực hiện quản lý rủi ro trong doanh nghiệp

· Những người đánh giá điều hành một tổ chức trong việc quản lý rủi ro

(Theo: International TSC Co.,Ltd)

Tiêu chuẩn ISO Guide 73:2009

bộ tiêu chuẩn ISO Guide 73:2009, quản lý rủi ro - vốn từ vựng, xuất bản nhằm trình bày các điều khoản và định nghĩa liên quan đến việc quản lý rủi ro.

Các loại rủi ro

Có rất nhiều loại rủi ro khác nhau như rủi ro chiến lược, rủi ro hoạt động, rủi ro tài chính, rủi ro chính trị, rủi ro pháp luật, rủi ro quản lý tri thức, rủi ro thông tin,……

Quy trình quản lý rủi ro

Việc kiểm soát rủi ro phải được thực hiện theo một quy trình chặt chẽ và phối hợp với đặc thù của từng tổ chức, doanh nghiệp. Tổng quát, quy trình quản lý rủi ro cơ bản bao gồm các bước chính được trình bày ở hình 1. 

Hình 1

Ở mức chi tiết hơn, quy trình quản lý rủi ro bao gồm các bước cùng với trình tự xử lý và mối quan hệ giữa chúng như hình 2.

Hình 2

Phân tích rủi ro và kiểm soát rủi ro

Trong thực tế những rủi ro có thể xảy ra trong một tổ chức, doanh nghiệp, dự án là khá nhiều và việc giải quyết hết tất cả các rủi ro là không cần thiết. Thông thường người ta áp dụng nguyên tắc 20/80 để xác định và giải quyết những rủi ro quan trọng, những nguyên nhân gốc có ảnh hưởng tới rủi ro của tổ chức. Điều này dẫn tới việc phải phân tích để chọn ra những rủi ro cần giải quyết đó. Có nhiều kỹ thuật phân tích rủi ro được áp dụng, thông thường người ta sử dụng phương pháp chính sau:

• Phân tích khả năng xuất hiện của rủi ro (Risk probability)

Có 4 mức để đo lường khả năng xuất hiện của rủi ro, mỗi mức độ được gán với một giá trị số (tùy thuộc tổ chức, doanh nghiệp, dự án) để có thể ước lượng sự quan trọng của nó.

6 - Thường xuyên: Khả năng xuất hiện rủi ro rất cao.

4 - Hay xảy ra: Khả năng xuất hiện rủi ro cao.

2 - Đôi khi: Khả năng xuất hiện rủi ro trung bình. 

1 - Hiếm khi: Khả năng xuất hiện thấp, chỉ xuất hiện trong những điều kiện nhất định.

• Phân tích mức tác động của rủi ro ( Risk impact)

Có 4 mức để đo lường mức tác động của rủi ro, mỗi mức độ được gán với một giá trị số (tùy dự án) để có thể ước lượng sự tác động của nó.

8 - Trầm trọng

6 - Quan trọng

2 - Vừa phải 

1 - Không đáng kể

• Phân tích thời điểm xuất hiện rủi ro ( Risk Frame)

Có 4 mức để ước lượng thời điểm rủi ro xuất hiện, mỗi mức được gán với một giá trị số (tùy thuộc tổ chức, doanh nghiệp, dự án) để có thể ước lượng sự tác động của nó.

6 - Ngay lập tức: Rủi ro xuất hiện gần như tức khắc

4 - Rất gần: Rủi ro sẽ xuất hiện trong thời điểm rất gần thời điểm phân tích

2 - Sắp xảy ra: Rủi ro sẽ xuất hiện trong tương lai gần 

1 - Rất lâu: Rủi ro sẽ xuất hiện trong tương lai xa hoặc chưa định được.

• Ghi chú: Các giá trị số cho trên chỉ mang tính tham khảo và minh họa, giá trị của chúng được định tùy tổ chức, tùy dự án.

• Ước lượng và phân hạng các rủi ro

Rủi ro sau đó được tính giá trị để ước lượng bằng công thức:

Risk Exposure = Risk Impact * Risk Probability * Time Frame

Tiếp theo rủi ro được phân hạng từ cao đến thấp dựa theo các giá trị Risk Exposure tính toán được. Tùy theo tổ chức, doanh nghiệp và đặc thù từng dự án, trưởng dự án (hoặc người được phân công) sẽ xác định những rủi ro nào cần đưa vào kiểm soát, với các mức ưu tiên khác nhau.

Những dấu hiệu thường thấy để nhận biết một hệ thống quản lý rủi ro kém hiệu quả 

Doanh nghiệp không xây dựng chính sách quản lý rủi ro

Doanh nghiệp không thực hiện những nỗ lực để ngăn chặn rủi ro

Không có người chịu trách nhiệm quản lý rủi ro trong doanh nghiệp

Quản lý rủi ro không được xác định là vấn đề ưu tiên của doanh nghiệp

Doanh nghiệp ít quan tâm đến rủi ro hoặc quan tâm quá muộn

Không có khuôn khổ đánh giá rủi ro thống nhất trong doanh nghiệp

Doanh nghiệp không gắn kết quản lý rủi ro với những quy trình hay chuỗi giá trị của doanh nghiệp

Doanh nghiệp thực hiện việc quản lý rủi ro một cách rời rạc

Doanh nghiệp thực hiện quản lý rủi ro một cách thiếu tập trung

Công tác quản lý rủi ro ngày càng bị coi nhẹ trong doanh nghiệp

Không có sự đồng nhất trong cách diễn đạt ngôn ngữ rủi ro trong doanh nghiệp

Thiếu sự trao đổi thông tin về rủi ro trong doanh nghiệp

Hệ thống kiểm soát chiến lược của doanh nghiệp hoạt động kém hiệu quả

Trong doanh nghiệp tồn tại “những vị trí đáng tin cậy” không được kiểm soát

Phân công trách nhiệm không phù hợp.