a) Quản lý rủi ro tạo
ra và bảo vệ giá trị
Quản lý rủi ro góp phần vào việc đạt
được mục tiêu và cải tiến việc thực hiện, như an toàn và sức khỏe con người,
an ninh, tuân thủ luật định và chế định, sự chấp nhận của công chúng,
bảo vệ môi trường, chất lượng sản phẩm, quản lý dự án, hiệu quả hoạt động, quản trị và uy
tín.
|
B.2.1.2 Áp dụng nguyên tắc
Mục đích của quản lý rủi ro là tạo ra
và bảo vệ các giá trị bằng cách giúp cho tổ chức đạt được các mục tiêu của mình.
Nguyên tắc này giúp cho tổ chức xác định và xử lý các yếu tố cả bên trong hoặc
bên
ngoài
của nó làm phát sinh và gia tăng sự không chắc chắn liên quan đến các mục tiêu của
mình.
Mối liên hệ giữa tính hiệu lực của
quản lý rủi ro và cách để nó góp phần vào sự thành công của tổ chức phải được
chứng minh và truyền đạt rõ ràng.
Nguyên tắc này nêu rõ, không nên quản lý rủi
ro vì lợi ích riêng của mình mà phải quản lý rủi ro sao cho các mục tiêu sẽ đạt được mà kết
quả thực hiện lại được nâng cao.
Có những thuộc tính và các đại
lượng khó đo trực tiếp
(ví dụ như đo bằng tiền), nhưng
chúng cũng đóng góp mạnh mẽ cho kết quả thực hiện, cho uy tín và việc tuân thủ pháp luật.
Các giá trị về con người, xã hội và sinh thái đặc biệt quan trọng trong việc quản
lý an ninh, an toàn và các rủi ro liên quan đến việc tuân thủ, hay tương tự,
các rủi ro có liên quan tới tài sản vô
hình, chính vì vậy, cần tạo ra đại
lượng có thể được biểu đạt nhờ sử dụng các mô tả định tính chứ không phải là nhờ
các thước đo định lượng.
B.2.2 Quản lý rủi
ro là một phần không tách rời của tất cả các quá trình của tổ
chức
B.2.2.1 Nguyên tắc
b) Quản lý rủi ro là một
phần không tách rời của tất cả các quá trình của
tổ chức
Quản lý rủi ro không phải là một hoạt động
độc lập, tách biệt với các hoạt
động và quá trình chính của tổ chức. Quản lý rủi ro là một phần trong trách
nhiệm quản lý và là phần không thể thiếu trong tất cả các quá trình của tổ chức, bao
gồm các quá trình hoạch định chiến lược, tất cả các dự án và quản lý
thay đổi.
B.2.2.2 Áp dụng nguyên tắc
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Tất cả các hoạt động và quá trình của tổ
chức diễn ra dù trong môi trường bên trong và bên ngoài, thì đều có sự không
chắc chắn. Nó liên quan các nội dung sau:
a) Khuôn khổ quản lý rủi ro cần
phải được thực hiện bằng cách kết hợp các thành phần của nó vào hệ
thống quản lý và ra quyết định chung của tổ chức, cho dù hệ thống là chính
thức hay không chính thức; các quá trình quản lý hiện tại có thể được cải thiện
bằng cách tham khảo TCVN ISO 31000;
b) Quá trình quản lý rủi ro là một phần
gắn liền của các hoạt
động tạo ra rủi ro; nếu không, tổ chức sẽ thấy sự cần thiết để điều chỉnh quyết định
sau đó khi hiểu được
các rủi ro liên quan;
c) Nếu chưa có một hệ thống quản lý
chính thức, có thể áp dụng khuôn khổ quản lý rủi ro để sử dụng cho mục đích
này.
Nếu việc quản lý rủi ro không được
tích hợp vào các hoạt động và các quá trình quản lý, nó có thể được coi là một
nhiệm vụ bổ sung mang tính quản trị,
hoặc xem như một công việc điều hành của văn phòng chứ không phải dạng
công việc tạo ra hoặc bảo vệ giá trị.
Có hai phương pháp chính để áp dụng
các nguyên tắc như nêu dưới đây:
- Đưa vào giai đoạn lập khuôn khổ quản
lý rủi ro (bao gồm cả việc duy trì
và cải tiến).
- Đưa vào việc áp dụng các quá trình
quản lý rủi ro để ra quyết định và các hoạt động liên quan.
Phương pháp biểu thị ý định của tổ
chức về quản lý rủi ro cần được nêu tương tự như cách mà nó thể hiện những ý định
khác của tổ chức (ví dụ nhiệm vụ và cam kết) (xem Phụ lục C). Bất cứ khi nào có thể,
các thành phần khác của
khuôn khổ quản lý rủi ro cần được lồng ghép vào các thành phần của các hệ thống
quản lý hiện có (Chỉ dẫn chi tiết hơn có thể xem trong Phụ lục
F và trong TCVN ISO 31000).
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
B.2.3 Quản lý rủi ro là một phần
của việc ra quyết định.
B.2.3.1 Nguyên tắc
c) Quản lý rủi ro là một
phần của việc ra quyết định
Quản lý rủi ro giúp những người ra
quyết định đưa ra những lựa chọn sáng suốt, hành động ưu tiên và phân biệt giữa
các kế hoạch hành động thay thế.
B.2.3.2 Áp dụng nguyên tắc
Nguyên tắc này nêu rằng, quản lý rủi
ro cung cấp nền tảng cho việc
ra quyết định đúng đắn. Quản
lý rủi ro cần được lồng
ghép vào các hoạt động hỗ trợ cho việc đạt được các mục tiêu và quá trình ra quyết
định. Quá trình ra quyết định cần được đánh giá một cách nhất quán và khi cần thiết,
cả cách xử lý rủi ro. Chấp nhận hay không chấp nhận các quyết định đều liên quan đến
rủi ro, và điều quan trọng
là hiểu biết về các rủi ro liên quan trong cả hai trường hợp.
Quản lý rủi ro cần phải được áp dụng
như là một phần của một quyết định, và phải được thực hiện ngay tại thời điểm
ra quyết định (nghĩa là chủ động) chứ không phải sau khi đã có quyết định
(tính bị
động
- đối phó). Ví dụ
như:
- Khi ra các quyết định về các vấn đề chiến lược cần cân nhắc những
bất ổn liên quan đến những thay đổi trong các yếu tố môi trường, cũng như
những thay đổi về các nguồn lực của tổ
chức;
- Quá trình đổi mới nên được tiến hành
trên cơ sở cân nhắc không chỉ về sự không chắc chắn có quyết định sự thành công
của việc đổi mới, mà còn cả những rủi ro liên quan đến con người, xã hội, an toàn và các
khía cạnh môi trường của sự đổi mới, những việc phải xử lý theo yêu cầu của
pháp luật ví dụ như an
toàn sản phẩm);
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Chính sách của tổ chức về quản lý rủi
ro và cách thức mà nó được truyền đạt cần phản ánh nguyên tắc này.
Khi thiết lập các phần khác của khuôn
khổ này ta cũng cần cân nhắc cách đưa ra quyết định sao cho quá trình này được áp dụng một
cách hiệu quả và nhất quán trong tất cả các bước đưa ra quyết định, ví dụ như quản
lý dự án, thẩm định đầu tư, mua sắm
Người có trách nhiệm ra quyết định
chung trong tổ chức phải hiểu chính sách quản lý rủi ro của tổ chức và phải
đáp ứng yêu cầu cụ thể để có năng lực
áp dụng quy trình quản lý rủi ro đối với việc ra quyết định.
Điều này sẽ đòi hỏi phải
có sự phân định rõ ràng trách nhiệm tại
các vị trí, việc được
hỗ trợ đào tạo kỹ năng
và cách xem xét kết quả thực hiện.
Hỗ trợ thực tế:
Để có tác dụng đối với nguyên tác này,
ngay từ đầu; cần xem xét một
cách cẩn thận các câu hỏi sau:
- Làm thế nào để điều này
có thể giúp tạo ra và bảo vệ các giá trị? (Nguyên tắc a)
- Các quyết định trong tổ chức được
đưa ra như thế nào và từ đâu?
- Ai tham gia vào việc ra quyết định?
- Kiến thức và kỹ năng gì là cần thiết
cho những người ra các quyết định và đảm bảo việc quản lý rủi ro sẽ là một
phần trong việc ra quyết định của họ?
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Những định hướng và sự hỗ trợ nào
là cần thiết cho nhân viên hiện có?
- Làm thế nào để các
nhân viên mới sẽ được làm quen với phương pháp ra quyết định này ?
- Làm thế nào để có thể tác
động tới các bên
liên quan bên ngoài?
- Quá trình đưa ra quyết định trong
tổ chức cần phải thay
đổi điều gì?
- Làm thế nào để giám sát sự tiến bộ
trong việc áp dụng nguyên tắc này?
B.2.4 Quản lý rủi ro đặc biệt chú trọng đến
sự không chắc
chắn
B.2.4.1 Nguyên tắc
d) Quản lý rủi ro đặc
biệt chú trọng
đến sự không
chắc chắn
Quản lý rủi ro tính đến sự không chắc chắn,
bản chất của sự không chắc chắn và cách thức giải quyết.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Trong các loại hình quản lý, quản lý rủi
ro là loại hình quản lý duy nhất gắn liền một cách cụ thể tới tác động của sự không chắc
chắn đối với các mục tiêu. Rủi ro chỉ có thể được đánh giá hoặc xử lý thành
công nếu ta hiểu được bản chất và nguồn gốc của sự không chắc chắn đó.
Mọi hình thức không chắc chắn
đều đòi hỏi phải
cân nhắc, theo dõi
và cần được đánh giá đúng, không
đánh giá cao hoặc thấp hơn.
Chú trọng vào sự không chắc chắn là quan trọng
khi lựa chọn những cách xử lý và khi xem xét các tác động và độ tin cậy của việc
kiểm soát. Tương tự như vậy, sẽ có những sự không chắc chắn gắn liền với các bước hỗ
trợ của quá trình quản lý rủi ro, ví dụ: liệu thông tin đã được chuyển
tải thành công khi giao tiếp
và tham vấn với các bên liên quan,
hoặc liệu các khoảng
thời gian đã được lựa chọn
cho quá trình giám sát là đủ để phát hiện sự thay đổi.
Những người tham gia quản lý rủi ro cần
phải nhạy cảm, biết
được mức độ quan trọng của sự không chắc chắn, biết các loại hình và
nguồn của sự không chắc chắn.
Số lượng
và chủng loại các phương pháp đánh giá rủi ro được sử dụng để giải quyết sự không chắc chắn
phải phù hợp và
liên quan đến mức
quan trọng của quyết định: có thể dùng nhiều phương pháp đa dạng.
Ghi nhận các tình huống giả
định khi lập hồ sơ quá
trình quản lý rủi ro [TCVN ISO 31000: 2011 (ISO 31000:2009), 5.7]. Các tình huống giả
định thường phản ánh một số hình thức của sự không chắc chắn, cũng như bất kỳ sự không chắc
chắn rõ ràng đã được phát hiện tại các bước khác nhau của quá trình.
Khi một rủi ro đang được đánh giá, điều
quan trọng là phải xem xét sự không chắc
chắn đó sẽ liên quan
đến mức độ ước tính nào về khả năng có thể xảy ra được và hệ quả của nó.
Khi phân tích rủi ro và đề xuất các biện pháp xử lý,
cần áp dụng những nghiên cứu đủ độ nhạy để hiểu rõ ảnh hưởng
thực tế của những điều
không chắc chắn như vậy.
Hỗ trợ thực tế
- Những người ra quyết định
nên thừa nhận
thực tế là luôn phải
hỏi “các giả định là gì?” Và “những bất ổn liên quan
đến các giả định này là gì?”. Chỉ dẫn
thực hành này không giới hạn cho một dạng xác định khi đánh giá rủi ro, nghĩa
là, nó có thể áp dụng
cho tất cả các giả định.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Nếu sự không chắc chắn
cho thấy một giá trị cụ thể đã được biết và chỉ nằm trong phạm vi nhất định thì phải thông
báo phạm vi này.
B.2.5 Quản lý rủi
ro có tính hệ thống, cấu trúc và kịp thời
B.2.5.1 Nguyên lý
e) Quản lý rủi ro
có tính hệ thống,
cấu trúc và kịp thời
Phương pháp tiếp cận kịp thời, có cấu trúc và
mang tính hệ thống của quản
lý rủi ro tạo ra hiệu quả và các
kết quả nhất quán, có thể so sánh
được và đáng tin cậy.
B.2.5.2 Áp dụng nguyên tắc
Cách tiếp cận nhất quán đối với tình trạng rủi
ro đang được quản lý tại thời điểm ra các quyết định sẽ tạo ra hiệu quả trong một
tổ chức, và có thể cung cấp các kết quả
xác lập nên sự tin cậy và sự thành công. Điều này đòi hỏi những cách thực hiện của tổ chức đó, chẳng hạn
cân nhắc các rủi ro liên quan đến tất cả các quyết định, quan tâm việc sử dụng
các tiêu chí rủi ro
nhất quán, có liên quan đến các mục tiêu của tổ chức cũng như phạm vi các hoạt động
của nó.
Cách tiếp cận có xét đến yếu
tố thời gian thể hiện rằng, quá
trình quản lý rủi ro được áp dụng tại các điểm tối ưu trong quá trình ra quyết định. Một phần,
điều này phụ thuộc vào việc thiết kế các khuôn khổ thực hiện mà theo đó nguyên tắc này được
áp dụng. Nếu việc cân nhắc
rủi ro được thực hiện quá sớm hoặc quá muộn, thì hoặc mất các cơ hội,
hoặc phải bổ sung khoản
chi phí đáng kể cho việc xem
xét lại quyết định. Những tình huống có sự phụ thuộc thời gian cần được đánh giá và
hiểu để xác định
cách quản lý rủi ro hiệu quả nhất.
Cách tiếp cận có xét tới cơ cấu tổ chức thể hiện
rằng việc áp dụng quá trình quản lý rủi ro tuân theo cách mô tả trong TCVN ISO
31000:2011 (ISO 31000:2009), Điều 5, bao gồm cả những việc chuẩn bị thích hợp
cho các hoạt động này. Tùy thuộc vào nhu cầu, phương pháp này cần nhất quán với
cách tiếp cận từ trên xuống hay cách tiếp cận từ dưới lên để gắn với đúng cấp quản lý
tương ứng.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
B.2.6.1 Nguyên tắc
f) Quản lý rủi ro dựa
trên những thông
tin tốt nhất sẵn có.
Đầu vào cho quá trình quản lý rủi ro
dựa trên các nguồn
thông tin như dữ liệu quá khứ, kinh nghiệm, phản hồi của các bên liên quan,
quan trắc, dự báo và phán đoán của chuyên gia. Tuy nhiên, những người ra quyết
định nên tự tìm hiểu, xem xét bất kỳ hạn chế nào về dữ liệu hay
mô hình được
sử dụng hoặc khả năng bất đồng giữa các chuyên gia.
B.7.6.2 Áp dụng nguyên tắc
Điều quan trọng là phải có được những
thông tin hiện có tốt nhất để có một sự hiểu
biết chính xác về mọi
rủi ro. Do đó, khuôn khổ quản lý rủi ro cần bao gồm các phương pháp (ví
dụ nghiên cứu) để thu
thập và tạo thông tin. Tuy nhiên, dù có mọi nỗ lực tốt nhất, đôi khi,
những thông tin có sẵn vẫn bị hạn chế.
Ví dụ: dự đoán những gì sẽ xảy ra
trong tương lai thường bị giới hạn đối với việc sử dụng các dữ liệu về thống
kê.
Từ các thông tin, ta cần hiểu được độ
nhạy của các quyết định đối với bất kỳ sự không chắc chắn nào. Độ tin cậy của
đánh giá rủi ro sẽ phụ thuộc một
phần vào sự rõ ràng và chính xác của tiêu chí rủi ro. Thu thập dữ liệu có liên quan rủi ro
(ví dụ như sự xuất
hiện của sự cố và các thông tin mang tính kinh nghiệm khác)
có thể hỗ trợ nhờ phương
pháp đánh giá thống kê.
Mặc dù việc đưa ra quyết định dựa trên
bằng chứng là mục tiêu cuối
cùng, điều này có thể không phải luôn luôn có thể làm được trong khoảng thời
gian xác định hoặc với các
nguồn lực sẵn có.
Trong những tình
huống như vậy, có thể sử dụng cách đánh giá mang tính chuyên gia, kết hợp với
các thông tin hiện
có. Tuy nhiên, cần cẩn trọng để tránh sai lệch
dạng nhóm khi áp dụng cách đánh giá như vậy. Hơn thế, bằng chứng của
quá khứ có thể không dự đoán chính xác cho tương lai. Trong các tình huống có khả
năng hiện diện của những sự kiện có hệ quả rất cao, thì phải cảnh báo
khi thấy thông tin không đầy đủ và khi có bằng chứng về tác hại tiềm năng, chứ không
phải chờ tới khi có bằng chứng
sự thực sự về sự có hại.
Nguyên tắc này cũng được áp dụng cho
việc thiết kế (hoặc cải tiến) khuôn khổ
quản lý rủi ro, bởi vì sẽ có các
khía cạnh của khuôn khổ này (ví dụ,
đối với những người tiến hành khảo sát năng lực, hoặc những người thu thập,
phân tích, cập nhật và tạo thông tin để hỗ trợ việc áp dụng của quá
trình) những khía cạnh đó sẽ quyết định nguyên tắc này được áp dụng tốt như thế
nào.
Cần thường xuyên đánh giá độ tin cậy,
độ chính xác của thông
tin về sự phù hợp, kịp thời, đáng tin cậy,
với những giả định
được lập thành văn bản. Khuôn khổ cũng cần được định kỳ xem xét, đề
đưa ra các thông tin cập nhật
hay chỉnh sửa.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Khi thiết kế cách thức báo cáo các
sự cố trước hết cần cân
nhắc cẩn thận về
các quyết định nào thông tin
này có thể hỗ trợ tức là những người sử dụng cuối cùng, hiện tại và
trong tương lai là ai, các thông tin này có thể cần thiết được lưu
trữ, sắp xếp như
thế nào, làm thế nào để nó được
toàn vẹn, được bổ sung, truy cập được. Một khi điều này đã được thực
hiện, hình thức báo cáo có thể được thiết kế với lưu ý rằng, chất lượng được
tạo ra bởi thông tin
đó có thể bị ảnh hưởng bởi thời điểm
cần tiếp nhận nó.
- Mô tả về bối cảnh (bao gồm cả ngày
nó được viết ra) phải
bao gồm như là một phần của các mô tả và tài liệu chi tiết về những
rủi ro chính phải đối
mặt (ví dụ như bản đăng ký rủi ro).
Điều này cho phép những người sử dụng bản đăng ký này cân nhắc được mọi sự thay đổi
trong bối cảnh có
thể đã xảy ra sau đó với
những thay đổi trong rủi ro.
- Trường hợp các giả định đã được
thực hiện trong
đánh giá, cần ghi lại rõ ràng, dễ hiểu về tính hợp lý của những giả định,
kể cả những
giới hạn bất kỳ.
- Khi thiết kế cách xử lý
rủi ro, cần cân nhắc xem kết
quả thực hiện của việc kiểm soát khi xử lý sẽ được theo dõi và có sẵn
như thế nào để những
người nêu các quyết
định sau này có thể dựa vào những cách kiểm soát đó.
B.2.7 Quản lý rủi
ro cần phù hợp
B.2.7.1 Nguyên tắc
g) Quản lý rủi ro cần phù hợp
Quản lý rủi ro phù hợp với bối cảnh
bên trong và bên ngoài của tổ chức và đặc trưng của rủi ro.
B.2.7.2 Áp dụng nguyên tắc
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Sẽ không có một cách đơn biệt, chính xác kiểu
chuẩn mực để thiết
kế và áp dụng khuôn khổ và các quá trình quản lý rủi ro vì chúng đòi hỏi sự
linh hoạt và điều chỉnh thích ứng trong mỗi một tổ chức. Việc thiết kế có thể được
xác định bởi nhiều khía cạnh, bao gồm quy mô tổ chức, văn hóa, ngành, cấu hình và phong
cách quản lý.
Các lĩnh vực rủi ro khác nhau có thể
đòi hỏi các quá
trình điều chỉnh khác nhau dù trong cùng một tổ chức. Khi tất cả các
quá trình phù hợp với TCVN ISO 31000, thì vẫn có sự khác biệt trong hệ thống,
trong các mô hình và trong mức độ đánh giá có liên quan, ví dụ như giữa những
người tham gia trong việc đánh giá các rủi ro liên quan đến công nghệ thông
tin, rủi ro trong quản lý tài sản và trong đầu tư, hoặc những rủi ro liên quan đến đối thủ
cạnh tranh. Mỗi quá trình đều cần thích hợp với mục đích cụ thể của nó.
Vì mục đích của khuôn khổ quản lý này là để đảm
bảo rằng quá trình quản lý rủi ro sẽ được áp dụng cho việc ra quyết định một
cách có hiệu quả và phản ánh được chính sách, việc thiết kế khuôn khổ
nên phản ánh xem các quyết định được đưa ra tại đâu và như thế nào và cần cân
nhắc tới bất kỳ nghĩa vụ pháp lý hoặc
bổn phận bên ngoài khác
mà theo đó tổ chức có cam kết.
Điều quan trọng là cần nhớ rằng phù hợp
không ám chỉ việc thay đổi các yếu tố của khuôn khổ (như mô tả trong TCVN ISO
31000:2011 (ISO 31000:2009), Điều 4) hoặc các bước của quá trình này (xem TCVN ISO
31000:2011 (ISO 31000:2009), Điều 5). Tất cả những điều trên đều là cốt lõi
cho việc quản lý rủi ro có hiệu lực.
Nguyên tắc này là quan trọng trong việc
thiết kế và hoàn thiện khuôn khổ quản lý rủi ro và nó cũng liên quan tới cách
mà các khía cạnh của chính quá trình
được xác lập.
Nguyên tắc này cũng biểu thị rằng tổ
chức cần xem xét các
vấn đề nội bộ, ví dụ:
nguồn lực nhân viên (nguồn lực đó, nếu khá cao, có thể cần những sự điều
chỉnh phù hợp với quy mô đào tạo ban đầu, để đảm bảo rằng tất cả các nhân viên
mới có thể đáp ứng những gì đòi hỏi đối với họ về quản lý rủi ro).
Sự phù hợp của một khuôn khổ là cần thiết
để đạt được sự
tích hợp với các quá trình ra quyết định của tổ chức. Cũng có khả
năng, chính những quá trình ra quyết định như vậy cần được điều
chỉnh cho phù hợp với một khuôn khổ quản lý rủi ro đã được lập.
Hỗ trợ thực tế:
- Thiết kế khuôn khổ quản lý rủi ro
cần bao gồm việc tìm kiếm và cân nhắc
các quan điểm của những người sẽ tham gia vào việc áp dụng
nó.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
B.2.8 Quản lý rủi ro có tính đến các yếu tố con người và văn hóa
B.2.8.1 Nguyên tắc
h) Quản lý rủi ro
có tính đến các
yếu tố con người và văn hóa
Quản lý rủi ro thừa nhận khả năng,
nhận thức và ý định của mọi người bên trong và bên ngoài tổ chức có thể tạo
thuận lợi hoặc cản trở việc
đạt được mục tiêu của tổ chức.
B.2.8.2 Áp dụng nguyên
tắc
Nguyên tắc này đòi hỏi việc thu thập
các quan điểm của các bên liên quan,
cũng như hiểu biết rằng quan điểm của những người đó có thể
bị ảnh hưởng bởi những
đặc điểm về tính cách con
người, văn hóa. Các yếu tố cần xem xét bao gồm xã hội, chính trị, văn
hóa, cũng như khái niệm về thời gian. Các loại sai sót phổ biến thường bao gồm:
a) thất bại trong việc phát hiện và phản hồi với những cảnh
báo sớm
b) Sự thờ ơ với quan điểm của
người khác hoặc thiếu kiến thức;
c) Sai lệch do chiến lược xử lý
thông tin bị đơn
giản hóa khi giải quyết các vấn đề phức tạp;
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Khi thiết kế các cơ cấu quản lý và
khi áp dụng tất cả các khía cạnh của quá
trình quản lý rủi ro, các hành động cụ thể là cần thiết để hiểu và vận dụng được
các yếu tố về con người và
văn hóa như vậy.
Khi xác lập cơ cấu quản lý, cơ
cấu truyền thống
về rủi ro cần cân nhắc các đặc điểm văn hóa và các mức độ hiểu biết của đối
tượng liên quan.
Hỗ trợ thực tế:
- Các nhà quản lý cần hành động theo
cách để thể hiện rằng
họ thúc đẩy và hỗ trợ
cũng như tôn trọng và
hiểu biết những
sự khác biệt cá nhân.
- Tôn trọng những người
được hỏi về quan
điểm của họ.
- Về nguyên tắc chung, các tổ chức đều
khen thưởng những gì họ coi trọng.
Nếu việc lựa chọn nhân viên, khuyến khích và trả thù lao không có mối liên hệ công khai đến
các kết quả hoạt động quản lý rủi ro thực tế, sẽ khó mà tin rằng
những kết quả thực hiện như vậy sẽ là chuẩn mực mong đợi. Những nỗ lực của cá
nhân phải được ghi nhận một cách thích hợp.
- Về nguyên tắc chung, việc dựa vào
sự kiểm soát của
một cá nhân để thực hiện
thay đổi lớn đối với rủi ro là thiếu thận trọng.
- Các tổ chức đa quốc gia cần am hiểu
và khôn ngoan khi
ghi nhận tầm quan trọng của văn hóa trong việc xác định hành vi ứng
xử của mọi người.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Ví dụ về các câu hỏi hữu ích về yếu
tố con người và tổ chức bao gồm:
- Liệu cơ cấu tổ chức có phù hợp với
nhu cầu của tổ chức?
- Liệu những cá nhân có trách nhiệm giải trình chính thức đã
được xác định rõ ràng?
- Liệu tất cả những bản
mô tả công việc
có nêu những quy định rõ ràng về quyền hạn và trách nhiệm của cá nhân?
- Liệu tất cả các kênh trao đổi
thông tin đều rõ ràng
và có hiệu lực?
- Liệu thỉnh thoảng đã tiến hành kiểm
tra xem trao đổi thông tin được
chuyển tải, được hiểu một cách
chính xác tại
tất cả các cấp trong tổ chức?
- Liệu những gì liên quan
đến đạo đức, tinh thần trong tổ chức được theo dõi, giám sát
không?
- Có xem xét mối quan hệ tương quan
giữa các tổ đội không ?
- Có khuôn khổ để nhận
ra và phản hồi đối với
các tin đồn trong tổ
chức trước khi chúng gây tác động tiêu cực?
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Nếu chính sách đang có vấn đề, liệu
có một quá trình xem xét lại?
- Các chính sách và
các quá trình có được
coi trọng không? Nếu không, có tiến
hành tìm hiểu? Chúng có bị ép buộc tuân thủ không?
- Các chuyên gia đánh giá nội bộ và
bên ngoài có tìm thấy các
hành vi, cách ứng xử không an toàn hoặc phi đạo đức trong tổ chức?
B.2.9 Quản lý rủi
ro cần minh bạch và có sự
tham gia của các bên
B.2.9.1 Nguyên tắc
i) Quản lý rủi ro cần
minh bạch và có sự tham gia của các bên
Việc tham gia thích hợp và kịp thời
của các bên liên quan, đặc
biệt là những người ra quyết định ở các cấp của tổ chức, đảm bảo rằng việc quản
lý rủi ro duy trì sự phù hợp và cập nhật. Việc
tham gia này cũng cho phép các bên liên quan có được sự đại diện
thích hợp và quan điểm của họ được xem xét khi xác định tiêu chí rủi ro.
B.2.9.2 Áp dụng nguyên tắc
Nguyên tắc này có thể có tác dụng tại
các cấp quản lý
khác nhau. Nó có thể được phản ánh trong chính sách quản lý rủi ro của tổ chức (ví dụ: “Chúng tôi sẽ thông báo và hỏi
ý kiến các bên liên quan nhằm mong họ
hiểu được các mục
tiêu của chúng tôi và có thể đóng góp kiến thức và quan điểm của họ để hỗ trợ trong việc
ra quyết định của chúng tôi’).
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Khi áp dụng nguyên tắc này nên xem
xét các vấn đề bảo mật, an ninh và sự riêng tư, Ví dụ: có thể yêu cầu thông tin trong
danh mục rủi ro được tạo lập một cách tách biệt sao cho có thể hạn chế việc truy cập
vào một số thông tin.
Hỗ trợ thực tế:
- Trong đào tạo quản lý rủi ro, có
thể vận dụng cách “đóng vai diễn” liên quan
đến trao đổi thông tin và tham vấn.
- Việc đánh giá cần được thực hiện
theo cách để những người nhận
được thông tin sẽ cảm nhận
được nó.
- Định kỳ cung cấp thông tin phản hồi,
chứng minh những gì đã hứa hoặc
đã được dự định và thực tế chúng đã được thực hiện như thế nào.
- Những ý kiến được gửi
đến một cách
tự nguyện cũng cần được khuyến khích, ghi nhận và đánh giá cao và bất
cứ khi nào có thể, cần phản hồi về chúng.
B.2.10 Quản lý rủi
ro cần năng động,
lặp lại và đáp ứng với sự thay đổi
B.2.10.1 Nguyên tắc
j) Quản lý rủi ro cần
năng động, lặp lại và đáp ứng với sự
thay đổi
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
B.2.10.2 Áp dụng nguyên tắc
Bất kỳ sự thay đổi trong các mục tiêu của
tổ chức, hoặc của
bất
kỳ khía cạnh trong các bối cảnh bên trong hay bên ngoài, chắc chắn sẽ làm thay đổi
rủi ro (ví dụ như tái cơ cấu nội bộ, có thêm một nhà cung cấp chính mới, hoặc sự thay
đổi trong điều luật có liên quan). Tương tự như vậy, những thay đổi trong bối cảnh tổ chức
(ví dụ như việc mua lại một công ty khác, có được một hợp đồng lớn mới) đều
có thể đòi hỏi thay đổi trong cơ cấu quản lý (ví dụ như trong đào tạo các chuyên gia về rủi
ro). Quá trình quản lý rủi
ro cần được thiết kế để phản ánh sự năng động của tổ chức (ví dụ như tốc độ của
sự thay đổi).
TCVN ISO 31000 nêu hai cách gồm
theo dõi và xem xét
(đối với khuôn khổ và quá trình). Mỗi cách có đặc điểm riêng cho mục đích của nó và mỗi cách đều
yêu cầu sự thấu hiểu và áp dụng.
Cơ cấu quản lý cần được theo dõi và
xem xét để đảm bảo nó có thể tiếp tục có hiệu lực cho các nguyên tắc quản lý rủi
ro hiệu quả, có hiệu lực cho chính sách quản lý rủi ro của tổ chức và hỗ trợ việc áp
dụng quá trình này để đưa ra quyết định của tổ chức.
Hoạt động theo dõi và xem xét cần được kết hợp
trong mỗi bước cốt lõi của quá trình quản lý rủi
ro.
Các hoạt động kiểm soát cũng nên được
xem xét lại để đảm bảo tiếp tục có hiệu lực và đáp ứng với sự thay đổi. Ví dụ,
những hoạt động kiểm soát lệ thuộc vào kết quả thực hiện của những người cụ thể
sẽ có thể không
có hiệu quả nếu đã có những
sự thay đổi về nhân sự.
Hoạt động theo dõi và xem xét cần được
điều chỉnh cẩn thận, cụ
thể, chúng cần nhạy
cảm với các yếu tố của sự thay đổi mà chúng có thể có những ảnh hưởng rõ nét nhất. Việc theo dõi và
xem xét cần đánh giá được mức
độ quan trọng mang tính thường xuyên của các chỉ số dùng để theo
dõi và nếu cần các chỉ
số này sẽ được điều chỉnh
theo sự thay đổi hoặc bối cảnh mới xuất hiện.
Việc theo dõi và xem xét là những hoạt
động có sự khác biệt, như được
giải thích trong TCVN
ISO 31000:2011 (ISO 31000:2009), 4.5 và 5.6. Theo dõi liên quan tới việc
quan trắc liên tục
các thông số quan trọng
để xác định xem liệu chúng đang thực hiện như dự định hay là giả định không.
Xem xét được thực hiện từ thời điểm này đến thời điểm khác, được bố trí theo mục đích của nó và thường được
dùng để xác định liệu các giả định mà từ đó các quyết định đã được nêu (ví dụ
thiết kế khuôn
khổ quản lý) hiện tại còn hiệu lực hay không, và do đó dẫn đến việc liệu có cần xem xét các
quyết định này không.
Việc xem xét cũng cần cân nhắc tới trí thức và công
nghệ mới.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Khi áp dụng quá trình quản lý rủi
ro và khi
xác
lập tuyên bố về bối cảnh, cần
xác định các thành phần (ví dụ như các
đặc điểm của môi trường
bên ngoài) có nhiều khả năng
thay đổi và cần theo dõi chặt chẽ chúng về sự thay đổi. Bất kỳ một sự
thay đổi đều có thể
yêu cầu đánh giá lại
toàn bộ hoặc một số các rủi ro
đã được lập thành tài liệu.
- Cần và khuyến khích có biện pháp cảnh
báo cho mọi người có liên quan về tình trạng hiện
tại đáng lo ngại (chẳng hạn bằng cách tạo tiếng còi).
- Ngay cả các tổ chức nhỏ cũng nên
lưu ý những thay đổi ở mức toàn cầu, ví dụ: cuộc khủng hoảng tài chính
toàn cầu năm 2008 đã
có tác động sâu sắc đến một
số nhà cung cấp
nhỏ mà
các
khách hàng lớn của họ là các tổ chức chịu tác động trực tiếp hoặc gián tiếp bởi
những thất bại của ngân hàng. Các sự kiện bên ngoài hoặc những bối cảnh mới
xuất hiện như vậy có thể yêu cầu thay đổi một cách chủ động đối với các khuôn
khổ quản lý rủi ro.
B.2.11 Quản lý rủi
ro tạo thuận lợi cho việc cải tiến liên tục của tổ
chức
B.2.11.1 Nguyên tắc
k) Quản lý rủi ro tạo
thuận lợi cho việc
cải tiến liên tục của tổ
chức
Tổ chức cần xây dựng và thực hiện
các chiến lược để nâng cao sự
nhuần nhuyễn
trong việc quản lý rủi ro của mình cùng với tất cả các khía cạnh khác
của tổ chức.
B.2.11.2 Áp dụng
nguyên tắc này như thế nào
Cải tiến liên tục các kết quả hoạt động
của tổ chức cần gắn kết tương quan với việc cải tiến liên tục kết quả của hoạt
động quản lý rủi ro. Việc cải tiến quản lý rủi ro, trên cơ sở ra quyết định
dựa trên rủi ro, có thể làm giảm
sự không chắc chắn
trong việc đạt được các mục tiêu, giảm thiểu biến động và tăng tính linh hoạt. Tuy nhiên, cần thận trọng
để không đặt ra kết quả thực hiện quản lý rủi ro một cách quá phức tạp đến mức quá bị
áp lực cho việc theo đuổi các cơ hội và mất đi tính linh hoạt của hành động phản hồi.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Mục tiêu của cải tiến liên tục phải được
nêu rõ ràng trong chính sách quản
lý rủi ro của tổ chức và được truyền
đạt thường xuyên theo
cả hai cách chính thức và không chính thức. Cải tiến liên tục có
thể bao gồm:
- Cải tiến mức độ tích hợp hoạt động quản
lý rủi ro vào hoạt động chung;
- Nâng cao chất lượng đánh giá rủi ro;
- Cải tiến khuôn khổ quản lý, ví dụ chất
lượng và cách tiếp cận thông tin;
- Cải tiến tốc độ của việc ra quyết định.
Cải tiến liên tục dựa
trên các chỉ số định tính và định lượng của sự tiến bộ. Các tổ chức sử dụng những
cách tiếp cận từng
giai đoạn và các mô hình đã được xác nhận nên thiết kế các chỉ số sao cho chúng
sẽ là động lực
cho việc cải tiến liên tục dựa trên các nguồn lực và đặc điểm văn hóa của tổ chức.
Mọi tổ chức nên ghi nhận rằng trong nhiều nỗ lực của con người, thành công sẽ
nuôi dưỡng thành công. Mục đích của việc quản lý rủi ro hiệu lực thực chất chỉ
nằm trong việc nâng cao khả năng để một tổ chức sẽ đạt được đầy đủ các mục
tiêu của nó. Một tổ chức đạt được tính hiệu lực trong quản lý rủi ro càng
nhanh, sẽ thực hiện được các mục tiêu của mình càng hiệu quả.
Thực ra, trong một số trường hợp, một
số cải tiến đòi hỏi thời
gian mới đạt được, ví
dụ như một số có thể yêu cầu phân bổ kinh phí, hoặc lập kế hoạch và triển khai
cẩn thận. Các kế
hoạch để cải tiến cần cân nhắc tính ưu tiên và các lợi ích liên quan và có
cách theo dõi tiến triển của nó.
Hỗ trợ thực tế:
- Khi sử dụng các yếu tố của việc
theo dõi và xem
xét cơ cấu quản lý, hàng năm phải
xem xét kết quả thực hiện so với các nguyên tắc quản lý rủi ro
và xem xét những cải tiến về thiết kế.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Sử dụng hệ thống báo cáo sự cố để
tiến hành phân tích nguyên nhân gốc rễ, tìm kiếm không chỉ
ở những nguyên nhân gắn với các vụ việc, mà cả các đặc điểm của
khuôn khổ quản lý rủi ro đã tạo khả năng cho sự cố đó xảy ra.
- Cần theo dõi kết quả
thành công (ví dụ như dự án đúng hạn, đúng hạn mức kinh phí) để hiểu được các
tính năng nào của khuôn
khổ quản lý rủi ro đã gây ra khả năng cho sự cố đó xảy ra.
Phụ lục C
(Tham khảo)
Thể hiện nhiệm vụ và cam kết
C.1 Khái quát
Phụ lục này cung cấp
các hướng dẫn và chiến lược giúp tổ chức biểu thị và trao đổi thông tin về nhiệm vụ và cam kết
cũng như việc thông tin, truyền đạt về việc này như thế nào.
Để nhiệm vụ và cam kết có hiệu lực,
lãnh đạo cao nhất và bộ phận
giám sát của tổ chức cần nêu rõ ràng cho các bên liên quan biết về
cách tiếp cận đối với việc quản lý rủi ro và nếu thích hợp, lập thành văn bản
và trao đổi thông tin về việc này. Nhiệm vụ về quản lý rủi ro thường liên quan đến
những thay đổi trong hành vi, tập quán, văn hóa, chính sách, các
quá trình và các kết
quả thực hiện đã dự định trong việc quản lý các rủi ro sẽ được phản ánh trong
khuôn khổ quản lý rủi ro. Nhiệm vụ và cam kết có thể là một tuyên bố ngắn gọn
về chính sách được phổ biến rộng rãi.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Nhiệm vụ và cam kết là một phần cơ bản
của khuôn khổ quản lý rủi ro đồng thời cần là một phần của cả các khuôn khổ quản
lý và quản trị của tổ chức và cần tác động đến thiết kế của các loại hình khuôn khổ này.
Nhiệm vụ và cam kết cần phản ánh mười
một nguyên tắc nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 3.
Trong thực tế, nhiệm vụ
cũng như cam kết được thể hiện và tiếp nhận theo cả cách ngầm hiểu và rõ ràng.
Những thể hiện ngầm hiểu (ví dụ như các hành động thường ngày của lãnh đạo cấp cao hay của
bộ phận giám sát trong bối cảnh văn hóa hiện hành đã được chấp nhận của tổ chức)
thường tạo được một sự thúc đẩy mạnh mẽ hơn 80 với những cách biểu thị công
khai (ví dụ chính sách quản lý rủi ro).
C.2 Phương pháp biểu thị nhiệm vụ và
cam kết
C.2.1 Các đặc điểm
chính
Nhiệm vụ và cam kết cần đáp ứng các
tiêu chí sau:
a) Cần phù hợp với kế hoạch chiến lược; các mục
tiêu, chính sách,
phong cách trao đổi thông tin và hệ thống quản
lý của tổ chức;
b) Cần phù hợp với các tiêu
chí rủi ro mà bộ phận giám sát đã xác định;
c) Cần đáp ứng các nguyên tắc của TCVN
ISO 31000 cũng như phải hướng tới cách quản lý rủi ro hoàn thiện như được nêu
trong TCVN ISO 31000:2011 (ISO 31000:2009), Phụ lục A;
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
e) Cần có những kỳ vọng hợp lý về việc
nó được thực hiện thành công;
f) Cần đề cập đến các trách
nhiệm đối với những chủ sở hữu rủi
ro.
Khi nhiệm vụ quản lý rủi ro hiện đang
được thực hiện và cam kết của tổ chức đối với quản lý rủi ro chưa thực sự đáp ứng
các tiêu chí này thì cả các khía
cạnh ngầm hiểu và công bố rõ ràng về việc này cần được thay đổi.
VÍ DỤ: Nếu bộ phận giám sát hoặc lãnh đạo cao
nhất đã ban hành các
quyết định nhưng các quyết định đó không đề cập đầy đủ việc đánh giá rủi ro, đây là một
dấu hiệu rõ ràng rằng tổ chức không đảm bảo sự cam kết đối với việc thấu hiểu các rủi
ro của tổ chức.
Một phần quan trọng khi chấp nhận một
nhiệm vụ đã được sửa đổi là cần xây
dựng một kế hoạch để thay đổi sự hiểu biết về những gì đòi hỏi phải thay đổi. Mục đích
của kế hoạch này sẽ
là đảm bảo rằng cả nhiệm vụ và các lợi ích của nó được thấu hiểu rộng khắp và được tin tưởng và tổ chức
luôn cam kết nhất quán trong các nhiệm vụ và hành vi tương ứng. Đó sẽ là
hành vi của tổ chức và cách so sánh những hành vi này với những tuyên bố công
khai về nhiệm vụ sẽ tạo ra những
tác động lớn nhất để xác định nhiệm
vụ được thực hiện được chấp nhận bởi các bên liên quan khác nhau chấp
nhận hay không.
C.2.2 Thiết lập và
trao đổi thông tin về chính sách
và cam kết quản lý rủi ro
Một phương thức để biểu thị và
thông tin về nhiệm vụ theo cách rõ ràng là thông qua việc thiết lập và sau đó
trao đổi thông tin về chính sách quản lý rủi ro. TCVN ISO 31000:2011 (ISO
31000:2009), 4.3.2, xác định rằng tổ chức không chỉ cần nêu rõ ràng chính sách
về quản lý rủi ro mà còn cần trao đổi thông tin về chính sách này cả ở bên
trong và bên ngoài tổ chức.
TCVN ISO 31000:2011 (ISO 31000:2009), 4.3.2, cũng xác định các vấn đề cụ thể
thường cần được phản ánh trong chính sách này.
Luôn phải ghi nhớ nguyên tắc g) (tức
là quản lý rủi ro phải phù hợp), việc biểu thị về chính sách cần
phù hợp, nhất quán với phương
thức chung mà tổ chức đang vận hành. Nếu không, thì việc biểu thị
này có thể không được xem là có liên quan đến hoặc là một phần của hệ thống
chung mà tổ chức đang vận hành.
Đối với các tổ chức lớn hơn, việc thiết
lập một chính sách sẽ thường có nghĩa
là triển khai một tuyên bố chính thức về nhiệm vụ đối với việc quản lý rủi ro
mà sẽ cấu thành một
phần của bộ chính sách của tổ chức. Theo đó, việc này sẽ được hoàn thành bởi bộ
phận quản trị và sau đó được truyền đạt và củng
cố, thúc đẩy áp dụng
thông qua hệ thống quản lý.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Lãnh đạo cao nhất và bộ phận
giám sát cần cam kết và thực sự tham gia sẽ là chìa khóa cho
sự thành công của bất
kỳ chương trình quản lý rủi ro nào. Các tổ chức nên xem xét
các câu hỏi sau khi thiết lập nhiệm vụ và cam kết của mình đối với quản lý rủi
ro:
- Các mục tiêu chiến lược của
tổ chức là gì? Chúng có
rõ ràng? Những gì là ngầm hiểu và những gì là công bố công khai trong những mục
tiêu đó?
- Lãnh đạo cấp cao có nắm rõ bản chất
và mức độ của những rủi ro quan trọng mà họ phải đối mặt và mong muốn
nắm các cơ hội
mà họ sẵn sàng theo đuổi để đạt được các mục tiêu chiến lược của
mình?
- Lãnh đạo cấp cao có cần
phải thiết lập khuôn khổ rõ ràng hơn để nâng cao quan điểm về rủi ro của tổ
chức?
- Lãnh đạo cao nhất sẽ tiến hành những
bước nào để bảo đảm giám sát toàn diện việc quản lý các rủi ro này?
- Những người quản lý thực hiện việc
ra quyết định có hiểu được mức độ mà theo đó họ (với tư cách cá nhân) được
phép thể hiện rõ với tổ chức
những hệ quả của một sự kiện hoặc tình huống? Có bất
kỳ quan điểm rủi ro nào cần được thực hành, hướng dẫn cho các nhà quản
lý để đưa ra quyết
định dựa trên rủi ro?
- Những người thực hiện
có hiểu được mức độ, tích hợp, liên hệ về rủi ro để họ có thể
xác định xem liệu nó có thể được chấp nhận hay không?
- Lãnh đạo cao nhất và quản
lý điều hành có hiểu được mức độ đan xen, tích hợp của rủi ro đối với cả tổ
chức nói chung?
- Cả các nhà quản lý và điều hành hiểu rõ rằng quan
điểm rủi ro không phải là cố định? Nó có thể thay đổi khi
môi trường và điều kiện kinh doanh thay đổi. Bất cứ điều gì đã được
phê duyệt của lãnh đạo cấp cao đều cần phải có một vài sự
linh hoạt trong triển khai.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Những rủi ro nào là quan trọng mà
lãnh đạo cao nhất sẵn sàng đối mặt
và muốn theo đuổi các cơ hội? Rủi ro nào là quan trọng nhưng lãnh đạo cao
nhất không sẵn
sàng đối mặt? Cho dù chính sách đối với tình trạng rủi ro hiện đang được quản
lý được nêu dưới dạng
nào thì nó luôn cần cùng đồng
hành với các chính sách khác vốn đang là định hướng để tổ chức hoạt
động.
- Chính sách cần được hỗ
trợ theo cả cách ngầm hiểu và công bố rõ ràng và phải được phản ánh phù hợp,
phải đáp ứng 6 tiêu chí nêu trong
C.2.1.
C.2.3 Củng cố
Lãnh đạo cao nhất và bộ phận giám sát cần chứng
minh và củng cố cam kết của tổ
chức về các nhiệm vụ thông qua sự kết
hợp các hành động ngầm hiểu và được công bố rõ ràng bao gồm:
- làm rõ các mục tiêu quản lý
rủi ro được liên kết và không tách rời với các mục tiêu quản lý khác;
- làm rõ rằng quản lý rủi ro sẽ tạo nên hiệu
quả cho các mục tiêu của tổ chức;
- đảm bảo phương thức mà nhiệm vụ của
các hoạt động quản lý rủi ro đòi hỏi được tích hợp vào trong các
quá trình quản trị và quản lý hiện có và được đưa vào chiến lược, các
quá trình tác nghiệp, dự án;
- cần thường xuyên theo dõi, báo cáo về
khuôn khổ quản lý rủi ro, về các quá trình của tổ chức để đảm bảo rằng
nó vẫn được duy
trì phù hợp và
hiệu lực;
- theo dõi về việc tổ chức có một sự
hiểu biết hiện tại và toàn diện về các rủi ro của mình và những rủi ro này hiện
vẫn nằm trong khuôn khổ
của các tiêu chí rủi ro
đã được xác định và tổ chức có hành động khắc phục khi những tiêu chí này không được
đáp ứng;
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- xem xét, làm mới cam kết đối
với các nhiệm vụ theo thời gian, sự kiện và sự thay đổi của lãnh đạo cao nhất.
Áp dụng TCVN ISO 31000 có thể diễn ra trong toàn tổ
chức một cách tổng thể, hoặc là được thực hiện theo từng phần, ví dụ tại các công ty con.
C.3 Hướng dẫn xây dựng nhiệm vụ và cam kết
Thiết lập nhiệm vụ về quản lý rủi ro đòi hỏi suy xét
cẩn thận, có được
quan điểm chiến lược
và sự tham vấn giữa các bộ phận giám sát và lãnh đạo cạo nhất. Điều
này sẽ giúp đảm bảo
rằng một khi nó được thông qua, tổ chức
sẽ tuân theo
nhiệm vụ này.
Sự biểu thị về nhiệm vụ
và cam kết cần được xem xét trên cả cấp độ chiến thuật và chiến lược. Tổ chức phải xác định và đánh giá năng lực
để đáp ứng các mục tiêu của mình và trau dồi các kỹ năng và kinh nghiệm cần thiết để đạt được chúng.
Ảnh hưởng của những thay đổi theo yêu cầu của nhiệm
vụ sẽ cần sự cân nhắc
cẩn trọng. Điều này bao gồm
việc ai sẽ là người dẫn dắt sự thay
đổi và ai sẽ cần hướng dẫn
hoặc hỗ trợ. Đôi khi có những
thay đổi đòi hỏi khá triệt
để ở phạm vi lớn (ví dụ như thay đổi trong các bản mô tả công việc,
quá trình theo dõi và quản lý kết quả) và như vậy sẽ đòi hỏi một số năng
lực của tổ chức cho sự
thay đổi này. Điều này cần được xem xét theo bối cảnh của những sự thay
đổi khác đang diễn ra cho dù có thể
có sự tích hợp, lồng ghép hay
không.
Những người sẽ bị ảnh hưởng
đáng kể bởi những thay
đổi cần được tham vấn, đặc biệt là những người lưu giữ bất kỳ loại dữ liệu quản lý rủi
ro nào trong tổ chức (ví dụ như sức khỏe và sự an toàn, quản lý an ninh), sao cho tất
cả những việc áp dụng theo sự thay đổi có thể được hiểu rõ.
Nhiệm vụ cần được nêu trong một tuyên
bố về chính sách thể hiện cam kết của tổ chức đối với việc này.
Hỗ trợ thực tế:
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Xem xét cách thức
để nhiệm vụ này sẽ được giải
thích đối với tổ chức và làm thế nào những cách giải thích như vậy sẽ được củng
cố bởi những
hành động đang diễn ra;
- Cân nhắc khung thời
gian để nhiệm vụ
này có hiệu lực (điều này cần được đề cập và được tích hợp với các mệnh lệnh khác của
tổ chức, nếu không, dù ngay cả
khi khuôn khổ quản lý là hoàn chỉnh, thì những lợi ích đầy đủ của
nó sẽ không được
thực hiện và việc quản lý rủi ro
sẽ không có
được hiệu lực như nó có thể có);
- Xác định các vai trò chủ yếu để mang lại
thay đổi cần thiết
trong cách tiếp cận quản lý rủi ro và chỉ đạo, dẫn dắt các hoạt động
quản lý rủi ro;
- Xác định những khía cạnh nào và những
hoạt động nào của khuôn khổ quản lý rủi ro sẽ được theo dõi ở cấp lãnh đạo
cao nhất, cấp quản lý và cấp ủy ban và làm thế nào để các thông
tin như vậy sẽ được thu
thập và thể hiện.
- Đưa kết quả hoạt động quản lý rủi
ro thành một hạng mục thường xuyên trong chương trình
nghị sự tại tất cả các cuộc họp ban giám sát và lãnh đạo cao nhất;
- Xây dựng các phương pháp hiệu quả
để thông tin về kết quả hoạt động
quản lý rủi ro (ví dụ như xuất bản bản tin cho nhân viên theo kiểu của một
báo cáo quản lý rủi ro);
- Cân nhắc những gì
cần được kích hoạt để
xem xét lại nhiệm vụ này.
Phụ lục D
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Theo dõi và xem xét
D.1 Cơ sở
D.1.1 Khái quát
Phụ lục này cung cấp chỉ dẫn về theo
dõi và xem xét khuôn khổ và quá trình quản lý rủi ro theo TCVN ISO 31000:2011
(ISO 31000:2009), 4.5, 4.6 và 5.6.
Theo dõi và xem xét là hai hoạt động
phân biệt nhằm xác định xem liệu
các giả định và các quyết định vẫn có hiệu lực. Các kỹ thuật được sử dụng trong
cả việc duy trì khuôn
khổ quản lý rủi ro hiệu lực và cả trong mỗi bước của quá trình quản lý rủi ro.
- Theo dõi liên quan đến việc quan trắc
thường xuyên kết quả thực hiện thực tế và
so sánh nó với kết quả dự kiến hoặc yêu cầu. Nó bao gồm việc kiểm
tra hoặc điều tra liên tục, việc theo dõi trong thực hiện, quan trắc mang tính phê phán hoặc
xác định tình trạng để xác định
sự thay đổi mức độ kết quả thực hiện so với yêu cầu hoặc
mong đợi, cũng như những thay đổi về bối cảnh.
- Xem xét có thể là việc kiểm tra định kỳ
hoặc bất thường về tình trạng hiện
tại, về những thay đổi trong môi trường, về thực hành ngành công nghiệp, hoặc về thực tiễn
về tổ chức. Đây là một hoạt động được thực hiện để xác định sự phù hợp, đầy đủ và hiệu lực của
khuôn khổ và của quá trình để đạt được mục tiêu được nêu. Việc xem xét cần cân nhắc đến các kết quả
đầu ra từ các hoạt động theo dõi.
- Đánh giá là một quá trình xem xét một
cách hệ thống, dựa trên bằng chứng để so sánh với các tiêu chí khác đã được
xác định trước. Trong khi mọi cuộc đánh giá đều có xem xét thì không phải tất cả xem
xét đều là một cuộc đánh giá.
Cùng với nhau, theo dõi và xem xét cung
cấp sự đảm bảo rằng kết quả hoạt động quản lý rủi ro là đạt được như mong đợi,
cho dù nó có thể cần được cải tiến và cho dù có thay đổi đã xảy ra hiện đòi hỏi phải điều chỉnh
hoặc sửa đổi về khuôn khổ quản lý hoặc một số khía cạnh của quá trình.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Cả hai đều cần thiết để đảm bảo tổ chức
duy trì một sự hiểu
biết hiện tại về
các rủi ro của mình có liên quan đến với các tiêu chí rủi ro đó,
bám sát tuân thủ quan điểm rủi
ro của mình. Cả hai đều yêu cầu một
cách tiếp cận có hệ thống tích hợp với các hệ thống quản lý chung của tổ chức.
Các hoạt động theo dõi và xem xét và
các hành động để đáp ứng với những phát hiện này thường được mô tả đặc
trưng như là một hệ thống đảm bảo bởi vì chúng có tiềm năng để phát hiện và
khắc phục những điểm yếu trước khi các tác động bất lợi xảy ra hoặc để cung cấp
sự tin tưởng rằng các rủi ro vẫn nằm trong chuẩn mực của tổ chức. Những
hoạt động này cũng có thể được sử dụng để cung cấp cho các bên liên quan bên
trong và bên ngoài sự đảm
bảo hợp lý rằng rủi ro đang được quản lý một cách hiệu lực.
Do các yếu tố về bối cảnh bên trong và
bên ngoài thay
đổi, nên luôn có rủi ro. Tương tự như vậy, theo dõi bối cảnh bên ngoài có thể cảnh
báo cho tổ chức các thay đổi có thể dẫn đến cơ hội để cải thiện kết quả thực hiện
hoặc một hoạt động mới. Bằng cách luôn được cảnh báo bởi những thay đổi như vậy,
bởi những kết quả thực hiện, bởi những sự không phù hợp, và bởi những lần thoát
nạn, tổ chức sẽ có thể xác định các cơ hội để cải tiến khuôn khổ quản lý quản lý rủi ro cũng
như kết quả thực hiện chung của tổ chức.
Nên có một chương trình toàn diện
để theo dõi và ghi nhận các chỉ số về kết quả thực hiện và các chỉ số này cần được sử
dụng cùng với các chỉ số về kết quả thực hiện khác của tổ chức.
Chương trình này cung cấp
cảnh báo sớm về các xu hướng
bất lợi, đòi hỏi phải hành động phòng ngừa và sự can thiệp.
Một hành động riêng biệt về theo dõi hay hành động
có thể nhằm vào một rủi ro đơn lẻ hay một số các rủi ro có mối liên quan, cần
chú trọng vào các rủi ro này hoặc những hoạt động kiểm soát mang tính
phòng ngừa gắn liền với chúng.
D.1.2 Trách nhiệm
theo dõi và xem xét
Trách nhiệm chung về các hoạt động
giám sát và xem xét thuộc bộ phận theo dõi và lãnh đạo cao nhất chứ không phải
là các nhà cung cấp sự đảm bảo, ví dụ: đánh giá nội bộ. Các chức năng đảm bảo
chất lượng, chức năng xem xét độc lập và theo dõi theo nghĩa pháp lý đều là những
bổ sung hữu ích cho quá
trình báo cáo quản lý chuyên ngành vì những hoạt động như vậy cung cấp một cách
nhìn có tính lựa chọn.
Các hoạt động theo dõi và xem xét có
thể được cân nhắc theo nghĩa
của một hệ thống phân cấp, thường được áp dụng tại cấp lãnh đạo: Nếu được
thiết kế hoàn chỉnh, điều này sẽ tạo
mức đảm bảo lớn nhất. Tuy nhiên,
một chương trình theo dõi và xem xét
cần bao gồm tất cả ba yếu tố.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
D.1.3 Xem xét độc lập
Cho dù được tiến hành bởi bên trong hoặc
bên ngoài, thì đối với bên
tham gia, tính độc lập là
yêu cầu xuất
phát điểm trong các mối quan hệ của người xem xét, người đánh giá.
Độc lập là cơ sở cho tính khách quan
của việc xem xét và tính khách quan
của kết luận xem xét.
Khi có thể, người xem xét và người
đánh giá đều phải độc lập đối với hoạt động đang được xem xét đánh giá và
trong mọi trường hợp, họ cần hành động theo một phương cách sao cho không bi lệch hoặc
xung đột về lợi ích.
Đối với đánh giá nội bộ, các chuyên
gia đánh giá cần độc lập đối với các nhà quản lý đang điều hành các chức năng
được đánh giá. Những người xem xét hoặc đánh giá cần giữ được tính khách quan
trong suốt quá trình đánh giá/ xem xét để đảm bảo rằng những phát hiện và kết
luận chỉ dựa trên các bằng chứng.
Đối với các tổ chức nhỏ, khả năng để
những người tiến hành xem xét hay đánh giá hoàn toàn độc lập đối
với hoạt động hiện được xem xét và đánh giá thường khó, tuy nhiên cần cố gắng
thực hiện để loại bỏ định kiến và thúc đẩy
tính khách
quan.
Tính độc lập của những người xem xét/người đánh
giá sẽ giúp cho các cuộc xem xét và đánh giá là một công cụ hiệu quả và đáng tin cậy, hỗ
trợ các chính sách và hoạt động kiểm soát rủi ro bằng cách cung cấp thông tin
mà theo đó tổ chức có thể hành động để cải thiện kết quả thực hiện của
nó.
Những việc xem xét như vậy có thể tập
trung vào việc tuân thủ các tiêu chuẩn (nội bộ hay bên ngoài) các thủ tục hoặc
các yêu cầu pháp lý. Thường thì chúng cũng xem xét sự phù hợp, hiệu quả và hiệu lực của các hoạt
động kiểm soát, ví dụ: có thể xem xét liệu các hoạt động quản lý rủi ro có cung cấp
các giá trị như đã được nêu
trong các nguyên tắc của TCVN ISO 31000.
Nhiều tổ chức có chức năng tư vấn và
xem xét hệ thống quản lý (như cử chuyên gia tư vấn về quản lý rủi ro, chuyên
gia về sự phù hợp, cán bộ quản lý và đảm bảo chất lượng), những người này thực
hiện việc xem xét thường ngày, đánh
giá nội bộ, lập các báo cáo thông thường về các kết quả xem xét của họ cho bộ
phận giám sát và lãnh đạo cao nhất. Mục tiêu của các cuộc xem xét này là cung cấp
cho bộ phận giám sát cho lãnh đạo cao nhất sự đảm bảo rằng:
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Một quá trình thích hợp và có hệ thống
đã được áp dụng để xác
định, đánh giá và xử lý các rủi ro và có sự tin cậy rằng, quá trình này sẽ hoạt
động liên tục;
- Các rủi ro không thể chấp nhận hiện
được nhận dạng, lưu ý bằng cách xử lý rủi ro thích hợp;
- Những rủi ro không thể chấp nhận được
đang được kiểm soát một cách phù hợp và có hiệu lực, nếu không các biện
pháp kiểm soát cần được điều chỉnh;
- Tiến độ thích hợp đang được thực hiện
với các phương án xử lý rủi ro.
Các loạt động của một quá trình xem
xét độc lập không làm giảm trách nhiệm theo dõi và xem xét của lãnh đạo
các cấp.
D.1.4 Thu nhận các thông tin thích
hợp
Cũng giống như các khía cạnh khác của
quản lý rủi ro, theo dõi và xem xét đòi hỏi việc sử dụng các thông tin có sẵn tốt nhất
[xem nguyên tắc f)]. Để phù hợp với
mục đích, thông tin cần liên quan tới người sử dụng và thể
hiện đúng những gì nó muốn nêu. Sự hữu ích của thông tin được
nâng cao nếu nó có thể so sánh, kiểm chứng, kịp thời và dễ hiểu. Thông tin có
thể thu được từ
hai nguồn:
a) Nguồn trực tiếp: Các quan trắc và
các phép đo về các quá trình tác nghiệp thực tế hay những đầu ra của
chúng;
b) Nguồn gián tiếp: Các kết quả đo dẫn
xuất từ các quá trình hoặc kết quả đầu ra đang được xem xét.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
D.1.5 Báo cáo quá
trình xem xét
Báo cáo cần cung cấp thông tin
cho bộ phận giám sát, lãnh đạo cao nhất và các bên liên quan của tổ chức về việc
liệu những rủi ro của tổ chức có nằm trong các
tiêu chí rủi ro của mình hoặc liệu đã có các kế hoạch xử lý rủi ro đáng tin cậy
cho phép cuối cùng sẽ dẫn đến kết
quả này. Ngoài ra nó có thể cung
cấp thông tin về những rủi ro mới, đang hình thành.
Bất kỳ cách thu nhận các thông tin rủi ro
(ví dụ như trong một đăng ký rủi ro) cần được định kỳ cập nhật. Các loại và tần suất báo cáo sẽ phụ thuộc
vào tính chất, quy mô và phạm vi của việc đánh giá rủi ro.
Các đầu ra của việc đánh giá hoặc xem
xét sẽ là một báo
cáo tóm tắt các
phát hiện, cung cấp các kết luận của đánh giá so với các tiêu chí đã xác định.
Báo cáo dựa trên những gì mà những người
xem xét đã quan sát có thể cung cấp các khuyến nghị để cải tiến
hệ thống. Đôi khi, người xem xét có
thể nêu các đề nghị lớn hơn, hướng
vào chính bản thân các tiêu chí. Phản hồi đối với mọi
cuộc xem xét cần chú trọng
vào việc cải tiến hệ thống và tìm được các nguyên nhân gốc rễ của vấn đề.
D.1.6 Hành động khắc
phục và cải tiến liên tục
Cần thiết lập các quá trình để đảm bảo
rằng các khuyến nghị đang được lãnh đạo của tổ chức tích cực xem xét và những
phản hồi thống
nhất đang được thực hiện.
Hành động đáp ứng đối với các cuộc xem
xét cần được báo cáo cho bộ phận giám sát và cần theo dõi thường
xuyên cho đến khi nó được thực hiện.
D.2 Thao dõi và xem xét khuôn khổ
D.2.1 Khái quát
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
TCVN 31000:2011 (ISO 31000: 2009), Điều
4, nêu hướng dẫn về các thành phần cần thiết của một khuôn khổ và lưu ý rằng những
thành phần này cần phải được xét trong mối liên hệ với bối cảnh bên trong và
bên ngoài của tổ chức.
Khi có những thay đổi xảy ra với bối cảnh nội bộ
hay bên ngoài của tổ
chức, có thể phải điều chỉnh khuôn khổ quản lý để đảm bảo nó vẫn có hiệu lực.
Thậm chí ngay cả khi không có sự thay
đổi nội bộ hay bên ngoài, đòi hỏi có sự thay đổi trong thiết kế, việc theo dõi và xem xét vẫn cần thiết để đảm bảo rằng
bất cứ lúc nào việc kiểm tra đối với các thành phần của khuôn khổ quản lý về kế hoạch
thực hiện để đảm bảo rằng chúng đã được thực hiện một cách chính xác. Đối với tổ
chức đã áp dụng TCVN ISO 31000 nó sẽ liên quan đến việc đảm bảo rằng
các thành phần của khuôn
khổ quản lý tiếp tục tồn tại và đang
hoạt động đúng như đã dự định.
D.2.2 Trách nhiệm
giải trình
Lãnh đạo có trách nhiệm đảm bảo định kỳ xem xét và theo
dõi khuôn khổ
theo các chỉ số kết quả thực hiện. Là một phần trong việc phân công trách nhiệm,
một người (ví dụ một cán bộ quản lý cấp cao) hoặc một bộ phận chức năng của tổ chức
(ví dụ như bộ phận hỗ trợ và hợp
tác quản lý rủi ro) số đảm nhận một phần được giao về các trách nhiệm
quản lý rủi ro, người hoặc bộ phận này cần thực hiện việc theo dõi khuôn khổ và đảm nhận
trách nhiệm chính để đảm bảo rằng khuôn khổ vẫn duy trì hiệu lực.
D.2.3 Thiết lập
ranh giới
Cần thiết lập một ranh giới đối với việc
quản lý rủi ro trong tổ
chức. Ranh giới này có thể được mô tả theo những cách khác nhau nhưng cần bao gồm:
a) các thành phần của khuôn khổ (như mô tả trong
TCVN ISO 31000:2011, 4.3) để
cung cấp khả năng giúp đạt được mục đích này.
b) mức độ hỗ trợ mà bộ phận
giám sát và lãnh đạo cao nhất cần nêu để thực hiện trong các nhiệm vụ và cam kết quản
lý rủi ro (thường
được thể hiện dưới hình thức của một chính sách quản lý rủi ro).
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Bảng D.1 - Ví
dụ về bảng danh mục
các thành phần của khuôn
khổ
Thành phần
Được triển
khai ở đâu
Mục tiêu
Hành động
chính
Trách nhiệm và lịch
trình
Thước đo kết
quả
Tình trạng áp dụng
Trách nhiệm giải trình
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Duy trì chính sách, quản
lý rủi ro của tổ chức
• Xác định chuẩn mực
• Lập báo cáo
• Giao quyền
• Công bố chính sách.
• Chính thức hóa lịch trình những nội
dung đã nêu
• Lịch xem xét tiếp theo:
ngày/tháng/năm
…
…
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Các nguồn lực: Đào tạo
Cấp phòng ban
Cung cấp các thành phần quản lý rủi
ro cho tất cả đào tạo
• Tiếp nhận chỉ dẫn
• Thiết kế nội dung đào tạo
• Đào tạo giảng viên
• Thiết kế: Hợp tác quản lý rủi ro
• Triển khai: Quản lý rủi
ro tại các bộ phận
• Lần xem xét tiếp
ngày/tháng/năm
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
• Chất lượng: Báo cáo và đánh giá việc
đào tạo
…
Tổ chức cũng cần thiết lập các chỉ số
về kết quả thực hiện có liên quan đến các mục tiêu của mình nhằm đưa ra
biểu hiện về
tính hiệu lực của khuôn khổ
chung đối với hiện trạng rủi ro đang được quản lý. Các chỉ số về kết quả thực hiện, đôi khi
được gọi chung là các chỉ số đầu ra chẳng hạn:
- sự cố, tai nạn và những lần thoát nạn;
- thiệt hại thực tế;
- những việc ngoài ý muốn,
không như dự định;
- khiếu nại của khách hàng;
- món nợ lớn;
- tình trạng sẵn sàng của hệ thống;
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- mức độ mà theo đó các mục tiêu quản
lý rủi ro hiện được đáp ứng.
D.2.4 Đánh giá xem
liệu các đặc điểm và bối cảnh của tổ chức
đã thay đổi
Xác định xem liệu bối cảnh nội bộ hay
bên ngoài của tổ
chức đã có sự thay đổi hiện hữu hay về kinh nghiệm thực tế kể từ khi khuôn
khổ quản lý rủi ro đã được xây dựng hoặc được sửa đổi.
Hỗ trợ thực tế
Các đặc trưng nội bộ có thể đã có sự
thay đổi bao gồm:
- cơ cấu;
- thực tiễn và các yêu cầu quản trị;
- các chính sách,
tiêu chuẩn và các mô hình nội bộ;
- các yêu cầu của hợp đồng;
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- khả năng và các nguồn lực (ví dụ
như nguồn vốn và tài chính có tiếng
tăm, thời gian, con người, các quá trình, các hệ thống và công nghệ);
- trí thức, các kỹ năng và sở hữu
trí tuệ;
- các hệ thống và các dòng thông tin;
- hành vi ứng xử xã hội, môi trường,
văn hóa;
- những vấn đề và các nhiệm
vụ có tính ưu tiên có thể được
nhận thức để cạnh tranh với
những ý định của tổ
chức trong quản lý rủi ro.
Các chỉ số quan trọng là các chỉ số có thể giúp
chỉ ra những thay đổi và bối cảnh bên ngoài, thường
được thấy trong các
báo cáo và nghiên cứu, phản
ánh những thay đổi
và xu hướng trong ngành công nghiệp, trong đó tổ chức đang hoạt động.
Các ví dụ bao gồm:
- giá cả hàng hóa, lãi suất ngân hàng,
lãi suất trái phiếu, tỷ giá hối
đoái, chỉ số thị trường chứng khoán, chỉ số giá tiêu dùng (xu thế);
- các chỉ số xu thế khác;
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- quy mô thị trường và các chỉ
số tăng trưởng,
những thay đổi đột ngột về khối lượng đơn hàng;
- tình trạng ổn định chính trị và xã hội, tình trạng
bất mãn hay tán đồng
của xã hội;
Nếu bối cảnh tổ chức đã
thay đổi kể từ khi khuôn khổ quản lý rủi ro được
xây dựng, khuôn khổ quản lý rủi ro
này cần được đánh
giá và sắp xếp lại theo cách
có tính đến những thay đổi này.
Mục đích của hoạt động này là để xác
nhận rằng khuôn khổ
và các quá trình là phù hợp và nhất
quán với các mục tiêu, với các vấn đề được ưu tiên của tổ chức.
Từ việc xem xét, tổ chức có thể cần thay đổi
những nguyên tắc cơ bản của nó.
VÍ DỤ 1: Một sự thay đổi trong cơ cấu của một tổ
chức có thể đòi hỏi một số việc cần nhìn nhận lại chính sách quản
lý rủi ro và phân bổ lại trách nhiệm, nguồn lực
cho phép rủi ro tiếp tục được quản lý một cách hiệu lực. Nếu tổ chức đã mở
rộng quy mô, ví dụ do sáp nhập hoặc mua lại, cân cân nhắc tình trạng đáp ứng đầy đủ tiếp theo của
nguồn lực quản lý rủi ro cũng như sẽ phân tích cẩn thận bất kỳ
sự khác biệt giữa các tổ chức trong cách tiếp cận để quản lý rủi
ro. Đây có thể là sự
cần thiết để triển khai một
kế hoạch chuyển
tiếp việc áp dụng bất kỳ thay đổi phát sinh nhờ việc phân tích.
VÍ DỤ 2: Nếu các yêu cầu pháp lý mới đã có hiệu lực,
các khía cạnh của khuôn khổ có
liên quan đến trách nhiệm, đào tạo và việc nắm giữ thông tin hay báo cáo
có thể cũng cần sửa đổi
hoặc mở rộng.
D.2.5 Xem xét khuôn khổ
Khi việc đánh giá các đặc điểm và bối
cảnh bên ngoài đã được
thực hiện xong, cần tiến hành một cuộc
xem xét toàn diện hơn về hệ thống này để xác định xem:
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
b) Khuôn khổ quản lý và các quá trình
được nêu hiện đang được tuân thủ như dự định;
c) Mức rủi ro nằm trong phạm vi tiêu
chí;
d) Các mục tiêu cốt lõi của tổ chức
đang tạo được ảnh hưởng tích cực tới việc quản lý rủi ro;
e) Các bên liên quan đều nhận
được báo cáo đầy đủ để giúp họ có
thể thể thể hiện vai trò và trách nhiệm của mình trong cơ cấu quản trị;
f) Mọi người trong toàn
tổ chức có đầy đủ kỹ năng, kiến thức và năng lực để thực hiện trách nhiệm của họ đúng
như chúng đã được xác định;
g) Các nguồn lực quản lý
rủi ro là khá đầy đủ;
h) Những bài học đã được rút ra từ kết quả thực tế đã xảy ra,
bao gồm cả tổn thất, những lần thoát nạn cũng như các cơ hội;
i) Các mục tiêu đặt ra cho
quản lý rủi ro hiện đang đạt được.
Nên có một lịch trình xem xét thường xuyên được đồng
thuận để có khả năng tiến hành các cuộc
xem xét nếu như có sự
thay đổi hoàn cảnh, ví dụ khi những hậu quả của các rủi ro là bất ngờ hoặc
nghiêm trọng.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- báo cáo tổng thể về kết quả hoạt động
của khuôn khổ quản lý rủi ro;
- báo cáo về tiến độ thực hiện
kế hoạch quản lý rủi ro (bao
gồm phân tích về bất kỳ sự chậm
trễ trong việc thực hiện);
- báo cáo nêu rõ tình trạng tiến
triển của tổ chức liên quan đến thực hành tốt nhất;
- các khuyến nghị về những thay đổi cần thiết để cải tiến quản
lý rủi ro và tính hiệu lực của
nó trong tổ chức;
- cập nhật chính sách, mục tiêu và kế
hoạch quản lý rủi ro khi cần thiết;
- cập nhật các mô tả về bối cảnh trong
đó tổ chức đang
hoạt động, khi thích hợp;
- báo cáo về các xu hướng các chỉ số rủi ro
chính;
- kế hoạch hành động gắn liền với các thay
đổi cần thiết để đáp ứng các mục tiêu quản lý rủi ro.
D.3 Theo dõi và xem xét quá trình
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Mục đích của việc theo dõi và xem xét quá
trình quản lý rủi ro là để đảm bảo rằng nó:
- thích hợp cho hoạt động sản xuất
kinh doanh;
- đang được tiến hành theo kế hoạch.
Những rủi ro mà việc kiểm soát và xử
lý cơ bản của chúng có thể thay đổi theo thời gian thì những người
có trách nhiệm trong việc quản lý rủi ro cần phải nhận thức được các tác động của những thay
đổi này. Thất bại trong
việc xử lý có thể làm cho rủi
ro này trở nên không chấp
nhận được. Hơn nữa nên tiến hành
thêm những hoạt
động kiểm soát mà mục đích của
chúng là để cải biên những
rủi ro có thể thay đổi theo nghĩa thích tạo sự thích hợp và hiệu quả, như vậy,
nếu không được
theo dõi hay xem xét,
những rủi ro không thể duy trì trong các tiêu chí rủi ro
chấp nhận của tổ chức và tổ chức có thể không có một sự hiểu biết hiện tại về
rủi ro của mình.
Kết quả theo dõi và xem xét sẽ được phản hồi lại cho
giai đoạn thiết lập ngữ cảnh, cung cấp cơ sở cho việc đánh giá rủi ro mới, đáp ứng
đầy đủ bản chất tự
nhiên về tính chu kỳ và
năng động của quá
trình quản lý rủi ro và thiết kế cơ cấu quản lý rủi ro.
D.3.2 Trách nhiệm
giải trình
Theo dõi là một phần không thể thiếu
trong quản lý. Các hoạt động kiểm soát rủi ro phải được giao cho những người liên quan, họ
có trách nhiệm theo dõi chúng. Trách nhiệm này phải được ghi lại trong vai trò, trong bản mô tả vị trí.
Phạm vi các lĩnh vực chính
của tổ chức, theo cách xem xét chính thức của người lao động, ví dụ như về tài chính, các bên liên quan,
hiệu quả nội bộ, các mục tiêu học tập và phát triển của các mục tiêu nội bộ hiện
đang được xem xét. Những kết quả thực hiện so với cùng một tập hợp các chỉ số có
thể đo được ở tất cả các cấp của tổ chức và sau đó được báo cáo một cách phù hợp.
Các phương án xử lý rủi ro cũng cần được
theo dõi để đảm bảo rằng tiến trình đang được thực hiện
và các hành động được hoàn thành đúng thời hạn.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Các tổ chức nên học hỏi từ
chính các kết quả thực tế. Những kết quả
này phải bao gồm cả các tổn thất, những sự vụ
suýt xảy ra, những sự không phù hợp và các cơ hội đã được xác định trước, đã xảy ra, nhưng vẫn
chưa được xử lý.
Các điểm cần được cân nhắc theo cách
xem xét này bao gồm:
- chuyện gì đả xảy ra;
- làm thế nào và tại sao kết quả lại xảy
ra như vậy;
- liệu có bất kỳ giả định cần nào phải
được xem xét như là một kết quả của đầu ra;
- hành động đã được thực hiện (nếu có) để phản hồi;
- khả năng để điều đó lại xảy
ra;
- bất kỳ sự phản hồi hay các bước bổ sung cần được thực hiện;
- những điểm đúc rút, học hỏi chính và
ai là người cần được truyền đạt.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
D.3.4.1 Những cách tiếp cận
điển hình để theo dõi bao gồm những
điều sau đây
a) Chủ sở hữu rủi ro có thể rà soát môi trường để theo
dõi những thay đổi về ngữ cảnh. Tần suất của hoạt động này
sẽ phụ thuộc
vào mức độ rủi ro và sự năng động của những thay đổi về ngữ cảnh. Trong một số trường hợp,
báo cáo riêng, ngoại lệ về các chỉ số có thể là đủ. Chủ sở hữu rủi ro so sánh các yếu
tố bên ngoài hoặc nội bộ có liên quan so với các tuyên bố của ngữ cảnh để xác định xem liệu
có sự thay đổi hiện hữu nào đó đã xảy ra. Điều này có thể bao gồm việc thông tin và
tham khảo định kỳ ý kiến các bên
liên quan để xác định xem liệu quan điểm, mục tiêu của họ đã có gì thay đổi.
b) Các chủ rủi ro cũng nên theo dõi
các phương án xử lý rủi
ro đối với các hành động và phản hồi kịp thời khi có những thay đổi về môi trường.
c) Những người được giao nhiệm vụ kiểm soát phải
có trách nhiệm kiểm soát mang tính theo dõi đối với những gì đã được giao
cho họ, trong đó có thể bao gồm kiểm tra định kỳ hoặc theo dõi liên tục. Vì quản lý rủi
ro hiệu quả nhất khi nó được tích hợp hoàn toàn với việc ra quyết định thông
thường và với hệ thống quản lý của tổ chức, nên kết quả thực hiện
quản lý hoạt động của tổ chức phải được sử dụng để theo dõi rủi ro và
hiệu quả của quá trình quản lý rủi ro. Các chỉ số về kết quả thực hiện cần phản
ánh phạm vi của các mục tiêu trọng điểm của tổ chức vốn đã được xác định ở ngay
giai đoạn đầu của quá trình khi xác lập ngữ cảnh của tổ chức. Những chỉ số này
cũng có thể được phát triển theo cách có liên quan đến các rủi ro cũng như cách
kiểm soát cụ thể, cách áp dụng chúng vào quá trình quản lý rủi ro.
CHÚ THÍCH: Trong tự như trường hợp với các rủi ro,
phải lưu ý rằng, các hoạt
động kiểm soát cũng phải
được gắn cho những người chịu trách nhiệm đối với hoạt động của họ. Thông thường, chủ sở hữu việc kiểm soát hay người
thao tác là người thực
hiện việc kiểm soát theo nề nếp thường ngày
nhưng cũng có thể là
một ai đó, khác với chủ sở hữu rủi ro.
Điều này không ảnh hưởng đến trách
nhiệm chung của chủ sở hữu rủi ro trong việc phải điều chỉnh một
cách thích hợp rủi ro
đó, trong
trách nhiệm thiết kế, triển khai,
ứng dụng, theo dõi, đánh giá
các hoạt động kiểm soát tương ứng.
D.3.4.2 Các chỉ số kết
quả thực hiện có thể đo được các kết quả (ví dụ như các tổn thất hoặc các khoản thu được
cụ thể) hoặc
các quá trình (ví dụ như việc
hoàn thành kịp thời các phương án xử lý rủi ro). Bình thường, có thể sử dụng hỗn hợp
các chỉ số, ngoại trừ khi các chỉ số về kết quả đầu ra được dùng để biểu thị kết quả
của sự suy giảm đáng kể do những
thay đổi mà những thay đổi đó làm cho các hệ số này tăng lên. Do vậy, trong một
môi trường có sự thay đổi cao, việc sử dụng các chỉ số quá trình (như các chỉ số
quan trọng) thường hữu ích hơn.
Trong việc lựa chọn các chỉ số kết quả
thực hiện, điều quan trọng là phải kiểm tra xem:
- chúng phải đo được;
- việc sử dụng chúng là có hiệu
quả xét theo nghĩa đòi hỏi về thời
gian, công sức và nguồn lực;
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- những người tham gia hiểu quá trình
và những lợi ích mong đợi
và có cơ hội cung cấp
được thông tin đầu vào để thiết lập
các chỉ số;
- các kết quả được ghi lại và kết quả
thực hiện được phân tích và báo cáo theo một hình thức cho phép tạo điều kiện
học tập và cải thiện toàn
bộ tổ chức.
D.3.4.3 Khi áp dụng việc quản
lý kết quả thực hiện
cho quá trình quản lý rủi ro, cần lưu ý rằng:
- việc đo lường hiệu quả kết
quả thực hiện
đòi hỏi phải có nguồn lực, nguồn lực này cần được xác định và phân bố như là một
phần của việc phát triển của các chỉ
số về kết quả thực hiện;
- một số hoạt động quản lý rủi
ro có thể khó đo lường được, nhưng không vì thế mà chúng kém quan trọng. Trong những trường
hợp này, nên sử dụng các
chỉ số thay thế, ví dụ: các
nguồn lực dành cho các hoạt động quản
lý rủi ro có thể là một thước đo thay thế cho cam kết để quản lý rủi ro hiệu
quả;
- bất kỳ sự biến động, sai
khác giữa dữ liệu đo các chỉ số kết quả hoạt động và cảm nhận bản năng đều quan trọng
và cần được điều tra, ví dụ: nếu người lãnh đạo vẫn thấy quan ngại rằng những rủi
ro không được quản lý đúng cách, mặc dù các đánh giá rủi ro dạng con số cho thấy
các mức độ rủi ro là thấp, thì những mối quan ngại này cần được điều tra và không để bị bỏ qua.
- thường thì sự suy giảm đột ngột về
chỉ số sẽ luôn gây sự
chú ý, điều này
cũng phải được áp dụng như đối
với sự suy giảm chỉ số về mức
độ tiến triển, cụ
thể, ta phải theo dõi và phân tích về xu hướng chỉ số hoạt động.
D.3.5 Xem xét
Lãnh đạo cần định kỳ xem xét các quá trình, các
hệ thống và các hoạt
động để đảm bảo rằng:
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
b) Các hoạt động kiểm soát, phương pháp
xử lý rủi ro vẫn còn phù hợp
và hiệu quả.
Những cuộc xem xét như vậy nên được lập
thành kế hoạch (xem chương trình và cách tiếp cận đánh giá dựa trên rủi ro và làm thế
nào để lựa chọn những người xem xét, như được nêu trong TCVN ISO 19011).
Những cuộc xem xét này có thể sử dụng
các kỹ thuật tương tự như theo dõi thực tế đang diễn ra, nhưng nếu chúng được
thực hiện bởi một người không trực tiếp tham gia vào các hoạt động
của các quá trình, thì chúng có thể cung cấp những phân tích khách
quan hơn. Tần suất xem xét có thể bị ảnh hưởng bởi mức độ rủi ro, bởi chu kỳ lập kế hoạch kinh
doanh, bởi sự năng động trong môi trường/bối cảnh, hoặc bởi một cuộc họp của bộ phận quản
trị có trách nhiệm theo dõi các rủi ro và quản lý rủi ro.
Nếu phát hiện các vấn đề, tổ chức nên xem xét
chúng đã xuất hiện
như thế nào và tại
sao, trước đây chúng không được phát
hiện.
Các hoạt động kiểm soát phải được đảm bảo thông
qua các hành động của các nhà quản lý có trách nhiệm (các chủ rủi ro) vốn
được xem như là một phần của các công việc và các vai trò bình thường của
họ. Việc chỉ rõ những hoạt động
kiểm soát cụ thể để kiểm soát các chủ
rủi ro sẽ thúc đẩy việc
áp dụng các hoạt động kiểm soát, nhưng để đảm bảo tính hiệu lực, những chủ sở hữu
đó cần được đào tạo
kiến thức về kiểm
soát sự đảm bảo của các quá trình.
Khi những sự thay đổi trong tổ chức đã
được lập kế hoạch, hoặc khi những thay đổi bên ngoài đã được phát hiện, có thể dẫn đến những thay đổi trong:
- môi trường bên ngoài hoặc bên trong
hoặc đối với các bên liên quan
và quan điểm của họ;
- bối cảnh quản lý rủi ro, các mục tiêu
của tổ chức và các tiêu chí rủi ro của nó;
- các rủi ro và các mức độ rủi ro;
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- ảnh hưởng và hiệu lực của hoạt động kiểm soát.
Vì lý do này, khi xây dựng hoặc sửa đổi các kế
hoạch kinh doanh hay các phương án chiến lược, điều tối cần thiết đối với các tổ chức
là phải xem xét các rủi
ro, các phương pháp xử lý, các hoạt động kiểm soát rủi ro của mình. Ngoài ra,
do các phương án kinh
doanh và kế hoạch chiến lược có thể
tạo ra hoặc buộc điều chỉnh các mục tiêu của một tổ chức, nên sẽ rất hữu ích nếu ta sử dụng quá
trình đánh giá rủi ro như phép kiểm chứng
về tính chắc chắc của các phương án dự thảo để đảm bảo các mục tiêu dự kiến là
đạt được, và cũng để xác định biện
pháp xử lý rủi ro cần thiết nhằm đảm bảo kết quả thành công. Những
người thực hiện quá trình quản lý rủi ro cũng nên thường xuyên xem xét kinh nghiệm,
các đầu ra, các kết quả của họ để xác định các cơ hội cải tiến.
Phụ lục E
(tham khảo)
Tích hợp quản lý rủi ro trong một hệ thống quản
lý
E.1 Khái quát
Quản lý rủi ro là một phần không tách
rời của hệ thống quản lý của một tổ chức. TCVN ISO 31000 hướng dẫn các tổ chức
xây dựng, thực hiện và cải tiến liên tục một khuôn khổ quản lý mà mục đích của
nó là để tích hợp quản lý rủi ro vào hệ thống quản lý của tổ chức (bao gồm quản trị và
chiến lược).
Đặc biệt, sự tích hợp cần đảm bảo rằng,
thông tin về rủi
ro được sử dụng như là cơ sở cho việc ra quyết định ở tất cả các cấp của tổ chức.
Những người và các bộ phận cụ thể thực hiện quản lý rủi ro hàng ngày phải được
cân nhắc như là một phần trong cách để họ đưa ra các quyết định. Quản lý rủi ro đã được
tích hợp một cách tự nhiên trong tất cả
những gì chúng tôi làm
trước khi chúng tôi quyết định làm một cái gì đó. Dù chỉ một số người làm tốt hơn những
người khác về điều đó, nhưng tất cả có thể cải thiện chất lượng quản lý rủi ro
và cải thiện việc ra quyết
định, dẫn đến sự cải
thiện trong việc đạt được các mục tiêu và sự tin cậy nhờ đó cũng được nâng lên.
Nếu mục đích của
việc quản lý rủi ro tích hợp là để gia tăng giá trị, nó xác định một cách logic
các phương thức chấp nhận tạo được ảnh hưởng đến những gì đã diễn ra và thúc đẩy, cải thiện
nó, chứ không phải thay thế nó bằng một cái gì đó khác đi. Nó không có tác dụng bổ sung hoặc
ép buộc một cái gì đó khác lạ
vào những gì sẽ thực sự phải diễn ra một
cách tự nhiên của chức năng ra quyết định.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Phụ lục này cung cấp một số ví dụ thực
tế về việc quản lý rủi ro có thể được tích hợp như thế nào vào (các) hệ thống quản lý hiện hành.
E.2 Hệ thống quản lý là
gì?
Tất cả các tổ chức đều sử dụng một số
loại hệ thống quản lý. Trong thời gian gần đây, các hệ thống quản lý đã được
chuyển hóa thành dạng chính tắc gắn liền với các
yêu cầu đã được tạo ra, cung cấp một khuôn khổ quản lý trong đó một
tổ chức có thể thiết lập
các biện pháp và các quá trình quản lý để chỉ đạo và kiểm soát các
hoạt động của nó. Nhiều tiêu chuẩn quốc tế đề cập tới các hệ thống quản lý
nói chung hay có
liên quan tới những
nội dung cụ thể.
Một hệ thống quản lý là một tập hợp
các yếu tố liên quan hay tương tác lẫn nhau của một tổ chức để thiết lập các
chính sách, các mục tiêu, cũng như các quá trình để đạt được những mục tiêu đó.
Với góc độ quản lý kinh doanh, nhờ có một hệ thống quản lý hay hệ thống quản lý
tích hợp, ta sẽ thu được hiệu quả.
Ví dụ, quản lý chất lượng như được nêu
trong TCVN ISO
9001 đề cập một cách tiếp cận rộng lớn hướng tới sự hài lòng của khách hàng,
trong khi quản lý rủi ro lại đề cập tới những tác động của sự không chắc chắn đối
với các mục tiêu vốn có thể không
chỉ liên quan đến khách hàng mà còn đối với cả hàng loạt các bên liên quan khác. Nhiều
tổ chức đã áp dụng hệ thống quản lý chất lượng dựa trên các yêu cầu
của TCVN ISO 9001, và quản lý rủi ro có thể được tích hợp trong các hệ thống quản lý
như vậy, tạo ra sự phối hợp hài hòa và tránh trùng lặp
E.3 Hệ thống quản lý được tích hợp và
quản lý rủi ro
Tích hợp việc quản lý rủi ro với các
quá trình kinh
doanh cốt lõi cũng giống như mọi
nhu cầu để tạo ra sự
tương tác giữa tất cả các cách tiếp cận hệ thống quản lý, ví dụ như quản lý chất
lượng, quản lý môi trường, quản lý an toàn, quản lý an ninh, quản lý sự tuân thủ
luật pháp, quản lý tài chính và báo cáo tài chính, và thậm chí cả với quản lý bảo hiểm liên quan tới các sự kiện
về việc phải chuyển trả về tài
chính cho các tổ chức khác.
Các hệ thống quản lý tách biệt này cần tạo nên một hệ thống
quản lý tích hợp, dựa trên các chính
sách và chiến lược của mỗi một tổ
chức. Ngay cả khi một tổ chức có các hệ thống quản lý tách biệt để quản lý các
rủi ro rất cụ thể thì khuôn
khổ quản lý để quản lý rủi
ro cũng nên mở rộng để có bao hàm
hoặc được kết hợp với các hệ thống khác của nó.
Cách tiếp cận quản lý rủi ro bao hàm dọc
toàn bộ tổ chức có thể:
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
b) Tạo khả năng để mọi rủi ro trong hệ
thống quản lý tích hợp sẽ được xử lý theo các nguyên tắc và hướng dẫn của TCVN
ISO 31000.
Cách tiếp cận này có thể liên quan đến
những điều sau đây:
- đưa vào hệ thống quản lý chất lượng
việc áp dụng các kỹ thuật quản lý rủi ro có liên quan đến sản phẩm
chính yếu, liên quan quản
lý rủi ro dự án;
- đối phó với những sự bất ổn trong quản
lý môi trường, ví dụ như cố và tai
nạn tiềm ẩn tại các cơ sở liên quan độc hại, vấn đề xử lý vật liệu
và chất nguy hại;
- xử lý các rủi ro kết
hợp với các hoạt động như an toàn tại nơi làm việc;
- xử lý, kiểm soát các rủi ro an ninh,
ví dụ hành vi bạo lực đối với các tổ chức hoặc các nhân viên hay khách hàng của
mình;
- xử lý các rủi ro an ninh trong công
nghệ thông tin (CNTT), ví dụ như các tác nghiệp làm CNTT bị sập, mất dữ liệu, vi
phạm bảo mật và đảm bảo tính liên tục
kinh doanh;
- quản lý các rủi ro liên quan tính liên tục kinh
doanh nhằm đảm bảo sự chuẩn bị, phản ứng nhanh chóng đối với các sự kiện gây
gián đoạn;
- thiết lập các hoạt động kiểm soát để
bảo vệ tài sản
vật chất của tổ chức, để đảm bảo báo
cáo chính xác, để đảm bảo tuân
thủ các yêu cầu pháp lý, hoặc để quản lý các rủi ro có khả năng được
bảo hiểm theo cách giảm thiểu các phí bảo hiểm.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
E.4.1 Khái quát
Quá trình quản lý rủi ro cần được lồng
ghép vào các quá trình ra quyết định của một tổ chức, bất kể mức độ và chức
năng mà tại đó những quyết định này được đưa ra.
E.4.2 Xác định và nhận thức
về nắm bắt, hiểu quyết định
Các phương pháp sau đây giúp nhận biết
được khi nào và ở đâu các quyết định được nêu ra theo chu kỳ Lập kế hoạch - Thực hiện -
Kiểm tra - Hành động (PDCA).
a) Xác định tất cả các hình thức về những
thực tế ra quyết định
đã được chính thức hóa và thực tế đã tồn tại trong tổ chức.
b) Trong các tổ chức lớn, thường có
nhiều thủ tục đòi hỏi những sự chấp thuận chính thức cho một loạt các
quyết định, ví dụ như phê duyệt các kế hoạch chiến
lược hàng năm, hạn mức vốn, thuê tuyển nhân viên mới, sửa đổi các cách kiểm soát quá trình, bố trí việc đi lại của nhân
viên.
c) Sử dụng lưu đồ, hoặc một số
kỹ thuật khác, để lập sơ đồ mô tả sát thực về trình tự và các quy tắc thực hành chính của việc
ra quyết định hiện được áp dụng cho cả các dự án cụ thể và tất cả các khía cạnh của hoạt
động kinh doanh. Điều này có thể được cân nhắc trên cơ sở bộ phận hoặc
chức năng và nên mở rộng cho
cả việc ra quyết
định về quản trị và quản lý. Nếu có những hoạt động đang được quản lý bởi việc áp
dụng một hệ thống quản lý đã được chính thức hóa (ví dụ như quản lý chất lượng qua
áp dụng TCVN ISO 9001), những điểm quyết định trong các hệ thống như vậy sẽ tạo
thành một phần của việc phân tích này. Tương tự như vậy, nếu tổ chức có
bất kỳ hình thức nào về ủy nhiệm ra quyết định, những nhiệm vụ như vậy cũng nên được đưa
vào phân tích. Kết quả cuối cùng sẽ có một bức tranh mạch lạc, được văn bản hóa
về việc các quyết định được ban hành ở đâu, do ai nêu và các quá trình hiện đang sử dụng đối
với các quyết định như vậy.
Việc kết hợp các kỹ thuật nói trên sẽ tạo ra một mức
độ cao về nhận thức của cá nhân lẫn cả tổ chức trong việc ra quyết định.
E.4.3 Đánh giá rủi ro
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Để đánh giá rủi ro các quyết định tác nghiệp,
những hình thức đơn
giản đã được tiêu chuẩn hóa của quá trình quản lý rủi ro có thể được
những nhân viên tham gia phát triển để sử dụng. Những phương pháp này đặc biệt
thích hợp trong tình huống mà mọi
người làm việc mà không có sự theo
dõi trực tiếp. Một thành phần quan trọng của các phương pháp này là nó tạo ra những
nhận thức về các giả định như là
đầu vào cho các quyết định. Theo định nghĩa, các giả định là một nguồn gốc của sự
không chắc chắn.
Các quá trình chuẩn hóa như vậy có thể
được cụ thể đối với một hình thức liên quan đến việc ra quyết định, đối với một
nhóm người cụ thể thực hiện một nhiệm vụ cụ thể, và đối với bối cảnh điển hình mà
trong đó những vấn đề trên xảy
ra. Các hệ thống đơn giản có thể được biên soạn/ hệ thống hóa thành sổ tay bỏ
túi hay bản hướng dẫn dạng danh mục kiểm tra và được tất cả những người tham
gia trong loại hình công việc để thực hiện.
E.4.4 Những gợi ý cho khuôn khổ quản lý
rủi ro
Việc áp dụng các kỹ thuật được mô tả
trong điều khoản này sẽ đòi hỏi một số
hạng mục và sự điều chỉnh
thích hợp đối với khuôn khổ quản lý rủi ro, ví dụ:
- sửa đổi các chính sách quản lý rủi
ro của tổ chức;
- sắp xếp để tiến hành việc
điều tra ban đầu và lập bản đồ thực hành ra quyết định;
- tiến hành sửa đổi đối với các sổ tay
dạng quy trình;
- đào tạo cán bộ quản lý và nhân viên;
- đào tạo cụ thể cho những người có
công việc phải được thực hiện phù hợp với một hệ thống quản lý cụ thể. (ví dụ như những
nguồn có liên quan
tới những dạng đặc biệt về rủi ro);
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- trao đổi thông tin nội bộ và tham vấn
hiệu quả.
THƯ
MỤC TÀI LIỆU THAM KHẢO
[1] TCVN ISO 9000 (ISO 9000), Hệ thống
quản lý chất lượng - Thuật
ngữ và định nghĩa.
[2] TCVN ISO 9001 (ISO 9001), Hệ thống quản
lý chất lượng - Các yêu cầu.
[3] TCVN ISO 19011 (ISO 19011), Hướng
dẫn đánh giá hệ thống
quản lý.
[4] TCVN 9788:2013 (ISO Guide
73:2009), Quản lý rủi ro - Từ vựng.
[5] TCVN ISO/IEC 31010
(IEC 31010), Quản lý rủi ro- Kỹ thuật đánh giá rủi ro.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Lời nói đầu
Lời giới thiệu
1 Phạm vi áp dụng
2 Tài liệu viện
dẫn
3 Áp dụng TCVN ISO 31000
3.1 Khái quát
3.2 Cách thức áp
dụng TCVN ISO 31000
3.3 Tích hợp
TCVN ISO 31000 vào các quá trình quản lý của tổ chức
3.4 Cải tiến liên
tục
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Phụ lục B (tham khảo) Áp dụng các
nguyên tắc của TCVN ISO 31000
Phụ lục C (tham khảo) Thể hiện
nhiệm vụ và cam kết
Phụ lục D (tham khảo) Theo dõi và xem xét
Phụ lục E (tham khảo) Tích hợp quản lý
rủi ro trong một hệ thống quản lý
Thư mục tài liệu tham khảo