Tiêu chuẩn quốc gia TCVN ISO/TR 31004:2015 về Quản lý rủi ro - Hướng dẫn áp dụng TCVN ISO 31000

B.2.1.2  Áp dụng nguyên tắc

Mục đích của quản lý rủi ro là tạo ra và bảo vệ các giá trị bằng cách giúp cho tổ chức đạt được các mục tiêu của mình. Nguyên tắc này giúp cho tổ chức xác định và xử lý các yếu tố cả bên trong hoặc bên ngoài của nó làm phát sinh và gia tăng sự không chắc chắn liên quan đến các mục tiêu của mình.

Mối liên hệ giữa tính hiệu lực của quản lý rủi ro và cách để nó góp phần vào sự thành công của tổ chức phải được chứng minh và truyền đạt rõ ràng. Nguyên tắc này nêu rõ, không nên quản lý rủi ro vì lợi ích riêng của mình mà phải quản lý rủi ro sao cho các mục tiêu sẽ đạt được mà kết quả thực hiện lại được nâng cao.

Có những thuộc tính và các đại lượng khó đo trực tiếp (ví dụ như đo bằng tiền), nhưng chúng cũng đóng góp mạnh mẽ cho kết quả thực hiện, cho uy tín và việc tuân thủ pháp luật. Các giá trị về con người, xã hội và sinh thái đặc biệt quan trọng trong việc quản lý an ninh, an toàn và các rủi ro liên quan đến việc tuân thủ, hay tương tự, các rủi ro có liên quan tới tài sản vô hình, chính vì vậy, cần tạo ra đại lượng có thể được biểu đạt nhờ sử dụng các mô tả định tính chứ không phải là nhờ các thước đo định lượng.

B.2.2 Quản lý rủi ro là một phần không tách rời của tất cả các quá trình của tổ chức

B.2.2.1 Nguyên tắc

b) Quản lý rủi ro là một phần không tách rời của tất cả các quá trình của tổ chức

Quản lý rủi ro không phải là một hoạt động độc lập, tách biệt với các hoạt động và quá trình chính của tổ chức. Quản lý rủi ro là một phần trong trách nhiệm quản lý và là phần không thể thiếu trong tất cả các quá trình của tổ chức, bao gồm các quá trình hoạch định chiến lược, tất cả các dự án và quản lý thay đổi.

B.2.2.2 Áp dụng nguyên tắc

...

...

...

Tất cả các hoạt động và quá trình của tổ chức diễn ra dù trong môi trường bên trong và bên ngoài, thì đều có sự không chắc chắn. Nó liên quan các nội dung sau:

a) Khuôn khổ quản lý rủi ro cần phải được thực hiện bằng cách kết hợp các thành phần của nó vào hệ thống quản lý và ra quyết định chung của tổ chức, cho dù hệ thống là chính thức hay không chính thức; các quá trình quản lý hiện tại có thể được cải thiện bằng cách tham khảo TCVN ISO 31000;

b) Quá trình quản lý rủi ro là một phần gắn liền của các hoạt động tạo ra rủi ro; nếu không, tổ chức sẽ thấy sự cần thiết để điều chỉnh quyết định sau đó khi hiểu được các rủi ro liên quan;

c) Nếu chưa có một hệ thống quản lý chính thức, có thể áp dụng khuôn khổ quản lý rủi ro để sử dụng cho mục đích này.

Nếu việc quản lý rủi ro không được tích hợp vào các hoạt động và các quá trình quản lý, nó có thể được coi là một nhiệm vụ bổ sung mang tính quản trị, hoặc xem như một công việc điều hành của văn phòng chứ không phải dạng công việc tạo ra hoặc bảo vệ giá trị.

Có hai phương pháp chính để áp dụng các nguyên tắc như nêu dưới đây:

- Đưa vào giai đoạn lập khuôn khổ quản lý rủi ro (bao gồm cả việc duy trì và cải tiến).

- Đưa vào việc áp dụng các quá trình quản lý rủi ro để ra quyết định và các hoạt động liên quan.

Phương pháp biểu thị ý định của tổ chức về quản lý rủi ro cần được nêu tương tự như cách mà nó thể hiện những ý định khác của tổ chức (ví dụ nhiệm vụ và cam kết) (xem Phụ lục C). Bất cứ khi nào có thể, các thành phần khác của khuôn khổ quản lý rủi ro cần được lồng ghép vào các thành phần của các hệ thống quản lý hiện có (Chỉ dẫn chi tiết hơn có thể xem trong Phụ lục F và trong TCVN ISO 31000).

...

...

...

B.2.3 Quản lý rủi ro là một phần của việc ra quyết định.

B.2.3.1 Nguyên tắc

c) Quản lý rủi ro là một phần của việc ra quyết định

Quản lý rủi ro giúp những người ra quyết định đưa ra những lựa chọn sáng suốt, hành động ưu tiên và phân biệt giữa các kế hoạch hành động thay thế.

B.2.3.2  Áp dụng nguyên tắc

Nguyên tắc này nêu rằng, quản lý rủi ro cung cấp nền tảng cho việc ra quyết định đúng đắn. Quản lý rủi ro cần được lồng ghép vào các hoạt động hỗ trợ cho việc đạt được các mục tiêu và quá trình ra quyết định. Quá trình ra quyết định cần được đánh giá một cách nhất quán và khi cần thiết, cả cách xử lý rủi ro. Chấp nhận hay không chấp nhận các quyết định đều liên quan đến rủi ro, và điều quan trọng là hiểu biết về các rủi ro liên quan trong cả hai trường hợp.

Quản lý rủi ro cần phải được áp dụng như là một phần của một quyết định, và phải được thực hiện ngay tại thời điểm ra quyết định (nghĩa là chủ động) chứ không phải sau khi đã có quyết định (tính bị động - đối phó). Ví dụ như:

- Khi ra các quyết định về các vấn đề chiến lược cần cân nhắc những bất ổn liên quan đến những thay đổi trong các yếu tố môi trường, cũng như những thay đổi về các nguồn lực của tổ chức;

- Quá trình đổi mới nên được tiến hành trên cơ sở cân nhắc không chỉ về sự không chắc chắn có quyết định sự thành công của việc đổi mới, mà còn cả những rủi ro liên quan đến con người, xã hội, an toàn và các khía cạnh môi trường của sự đổi mới, những việc phải xử lý theo yêu cầu của pháp luật ví dụ như an toàn sản phẩm);

...

...

...

Chính sách của tổ chức về quản lý rủi ro và cách thức mà nó được truyền đạt cần phản ánh nguyên tắc này.

Khi thiết lập các phần khác của khuôn khổ này ta cũng cần cân nhắc cách đưa ra quyết định sao cho quá trình này được áp dụng một cách hiệu quả và nhất quán trong tất cả các bước đưa ra quyết định, ví dụ như quản lý dự án, thẩm định đầu tư, mua sắm

Người có trách nhiệm ra quyết định chung trong tổ chức phải hiểu chính sách quản lý rủi ro của tổ chức và phải đáp ứng yêu cầu cụ thể để có năng lực áp dụng quy trình quản lý rủi ro đối với việc ra quyết định. Điều này sẽ đòi hỏi phải có sự phân định rõ ràng trách nhiệm tại các vị trí, việc được hỗ trợ đào tạo kỹ năng và cách xem xét kết quả thực hiện.

Hỗ trợ thực tế:

Để có tác dụng đối với nguyên tác này, ngay từ đầu; cần xem xét một cách cẩn thận các câu hỏi sau:

- Làm thế nào để điều này có thể giúp tạo ra và bảo vệ các giá trị? (Nguyên tắc a)

- Các quyết định trong tổ chức được đưa ra như thế nào và từ đâu?

- Ai tham gia vào việc ra quyết định?

- Kiến thức và kỹ năng gì là cần thiết cho những người ra các quyết định và đảm bảo việc quản lý rủi ro sẽ là một phần trong việc ra quyết định của họ?

...

...

...

- Những định hướng và sự hỗ trợ nào là cần thiết cho nhân viên hiện có?

- Làm thế nào để các nhân viên mới sẽ được làm quen với phương pháp ra quyết định này ?

- Làm thế nào để có thể tác động tới các bên liên quan bên ngoài?

- Quá trình đưa ra quyết định trong tổ chức cần phải thay đổi điều gì?

- Làm thế nào để giám sát sự tiến bộ trong việc áp dụng nguyên tắc này?

B.2.4 Quản lý rủi ro đặc biệt chú trọng đến sự không chắc chắn

B.2.4.1 Nguyên tắc

d) Quản lý rủi ro đặc biệt chú trọng đến sự không chắc chắn

Quản lý rủi ro tính đến sự không chắc chắn, bản chất của sự không chắc chắn và cách thức giải quyết.

...

...

...

Trong các loại hình quản lý, quản lý rủi ro là loại hình quản lý duy nhất gắn liền một cách cụ thể tới tác động của sự không chắc chắn đối với các mục tiêu. Rủi ro chỉ có thể được đánh giá hoặc xử lý thành công nếu ta hiểu được bản chất và nguồn gốc của sự không chắc chắn đó.

Mọi hình thức không chắc chắn đều đòi hỏi phải cân nhắc, theo dõi và cần được đánh giá đúng, không đánh giá cao hoặc thấp hơn.

Chú trọng vào sự không chắc chắn là quan trọng khi lựa chọn những cách xử lý và khi xem xét các tác động và độ tin cậy của việc kiểm soát. Tương tự như vậy, sẽ có những sự không chắc chắn gắn liền với các bước hỗ trợ của quá trình quản lý rủi ro, ví dụ: liệu thông tin đã được chuyển tải thành công khi giao tiếp và tham vấn với các bên liên quan, hoặc liệu các khoảng thời gian đã được lựa chọn cho quá trình giám sát là đủ để phát hiện sự thay đổi.

Những người tham gia quản lý rủi ro cần phải nhạy cảm, biết được mức độ quan trọng của sự không chắc chắn, biết các loại hình và nguồn của sự không chắc chắn. Số lượng và chủng loại các phương pháp đánh giá rủi ro được sử dụng để giải quyết sự không chắc chắn phải phù hợp và liên quan đến mức quan trọng của quyết định: có thể dùng nhiều phương pháp đa dạng.

Ghi nhận các tình huống giả định khi lập hồ sơ quá trình quản lý rủi ro [TCVN ISO 31000: 2011 (ISO 31000:2009), 5.7]. Các tình huống giả định thường phản ánh một số hình thức của sự không chắc chắn, cũng như bất kỳ sự không chắc chắn rõ ràng đã được phát hiện tại các bước khác nhau của quá trình.

Khi một rủi ro đang được đánh giá, điều quan trọng là phải xem xét sự không chắc chắn đó sẽ liên quan đến mức độ ước tính nào về khả năng có thể xảy ra được và hệ quả của nó.

Khi phân tích rủi ro và đề xuất các biện pháp xử lý, cần áp dụng những nghiên cứu đủ độ nhạy để hiểu rõ ảnh hưởng thực tế của những điều không chắc chắn như vậy.

Hỗ trợ thực tế

- Những người ra quyết định nên thừa nhận thực tế là luôn phải hỏi “các giả định là gì?” Và “những bất ổn liên quan đến các giả định này là gì?”. Chỉ dẫn thực hành này không giới hạn cho một dạng xác định khi đánh giá rủi ro, nghĩa là, nó có thể áp dụng cho tất cả các giả định.

...

...

...

- Nếu sự không chắc chắn cho thấy một giá trị cụ thể đã được biết và chỉ nằm trong phạm vi nhất định thì phải thông báo phạm vi này.

B.2.5 Quản lý rủi ro có tính hệ thống, cấu trúc và kịp thời

B.2.5.1 Nguyên lý

e) Quản lý rủi ro có tính hệ thống, cấu trúc và kịp thời

Phương pháp tiếp cận kịp thời, có cấu trúc và mang tính hệ thống của quản lý rủi ro tạo ra hiệu quả và các kết quả nhất quán, có thể so sánh được và đáng tin cậy.

B.2.5.2  Áp dụng nguyên tắc

Cách tiếp cận nhất quán đối với tình trạng rủi ro đang được quản lý tại thời điểm ra các quyết định sẽ tạo ra hiệu quả trong một tổ chức, và có thể cung cấp các kết quả xác lập nên sự tin cậy và sự thành công. Điều này đòi hỏi những cách thực hiện của tổ chức đó, chẳng hạn cân nhắc các rủi ro liên quan đến tất cả các quyết định, quan tâm việc sử dụng các tiêu chí rủi ro nhất quán, có liên quan đến các mục tiêu của tổ chức cũng như phạm vi các hoạt động của nó.

Cách tiếp cận có xét đến yếu tố thời gian thể hiện rằng, quá trình quản lý rủi ro được áp dụng tại các điểm tối ưu trong quá trình ra quyết định. Một phần, điều này phụ thuộc vào việc thiết kế các khuôn khổ thực hiện mà theo đó nguyên tắc này được áp dụng. Nếu việc cân nhắc rủi ro được thực hiện quá sớm hoặc quá muộn, thì hoặc mất các cơ hội, hoặc phải bổ sung khoản chi phí đáng kể cho việc xem xét lại quyết định. Những tình huống có sự phụ thuộc thời gian cần được đánh giá và hiểu để xác định cách quản lý rủi ro hiệu quả nhất.

Cách tiếp cận có xét tới cơ cấu tổ chức thể hiện rằng việc áp dụng quá trình quản lý rủi ro tuân theo cách mô tả trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 5, bao gồm cả những việc chuẩn bị thích hợp cho các hoạt động này. Tùy thuộc vào nhu cầu, phương pháp này cần nhất quán với cách tiếp cận từ trên xuống hay cách tiếp cận từ dưới lên để gắn với đúng cấp quản lý tương ứng.

...

...

...

B.2.6.1 Nguyên tắc

f) Quản lý rủi ro dựa trên những thông tin tốt nhất sẵn có.

Đầu vào cho quá trình quản lý rủi ro dựa trên các nguồn thông tin như dữ liệu quá khứ, kinh nghiệm, phản hồi của các bên liên quan, quan trắc, dự báo và phán đoán của chuyên gia. Tuy nhiên, những người ra quyết định nên tự tìm hiểu, xem xét bất kỳ hạn chế nào về dữ liệu hay mô hình được sử dụng hoặc khả năng bất đồng giữa các chuyên gia.

B.7.6.2 Áp dụng nguyên tắc

Điều quan trọng là phải có được những thông tin hiện có tốt nhất để có một sự hiểu biết chính xác về mọi rủi ro. Do đó, khuôn khổ quản lý rủi ro cần bao gồm các phương pháp (ví dụ nghiên cứu) để thu thập và tạo thông tin. Tuy nhiên, dù có mọi nỗ lực tốt nhất, đôi khi, những thông tin có sẵn vẫn bị hạn chế. Ví dụ: dự đoán những gì sẽ xảy ra trong tương lai thường bị giới hạn đối với việc sử dụng các dữ liệu về thống kê.

Từ các thông tin, ta cần hiểu được độ nhạy của các quyết định đối với bất kỳ sự không chắc chắn nào. Độ tin cậy của đánh giá rủi ro sẽ phụ thuộc một phần vào sự rõ ràng và chính xác của tiêu chí rủi ro. Thu thập dữ liệu có liên quan rủi ro (ví dụ như sự xuất hiện của sự cố và các thông tin mang tính kinh nghiệm khác) có thể hỗ trợ nhờ phương pháp đánh giá thống kê.

Mặc dù việc đưa ra quyết định dựa trên bằng chứng là mục tiêu cuối cùng, điều này có thể không phải luôn luôn có thể làm được trong khoảng thời gian xác định hoặc với các nguồn lực sẵn có. Trong những tình huống như vậy, có thể sử dụng cách đánh giá mang tính chuyên gia, kết hợp với các thông tin hiện có. Tuy nhiên, cần cẩn trọng để tránh sai lệch dạng nhóm khi áp dụng cách đánh giá như vậy. Hơn thế, bằng chứng của quá khứ có thể không dự đoán chính xác cho tương lai. Trong các tình huống có khả năng hiện diện của những sự kiện có hệ quả rất cao, thì phải cảnh báo khi thấy thông tin không đầy đủ và khi có bằng chứng về tác hại tiềm năng, chứ không phải chờ tới khi có bằng chứng sự thực sự về sự có hại.

Nguyên tắc này cũng được áp dụng cho việc thiết kế (hoặc cải tiến) khuôn khổ quản lý rủi ro, bởi vì sẽ có các khía cạnh của khuôn khổ này (ví dụ, đối với những người tiến hành khảo sát năng lực, hoặc những người thu thập, phân tích, cập nhật và tạo thông tin để hỗ trợ việc áp dụng của quá trình) những khía cạnh đó sẽ quyết định nguyên tắc này được áp dụng tốt như thế nào.

Cần thường xuyên đánh giá độ tin cậy, độ chính xác của thông tin về sự phù hợp, kịp thời, đáng tin cậy, với những giả định được lập thành văn bản. Khuôn khổ cũng cần được định kỳ xem xét, đề đưa ra các thông tin cập nhật hay chỉnh sửa.

...

...

...

- Khi thiết kế cách thức báo cáo các sự cố trước hết cần cân nhắc cẩn thận về các quyết định nào thông tin này có thể hỗ trợ tức là những người sử dụng cuối cùng, hiện tại và trong tương lai là ai, các thông tin này có thể cần thiết được lưu trữ, sắp xếp như thế nào, làm thế nào để nó được toàn vẹn, được bổ sung, truy cập được. Một khi điều này đã được thực hiện, hình thức báo cáo có thể được thiết kế với lưu ý rằng, chất lượng được tạo ra bởi thông tin đó có thể bị ảnh hưởng bởi thời điểm cần tiếp nhận nó.

- Mô tả về bối cảnh (bao gồm cả ngày nó được viết ra) phải bao gồm như là một phần của các mô tả và tài liệu chi tiết về những rủi ro chính phải đối mặt (ví dụ như bản đăng ký rủi ro). Điều này cho phép những người sử dụng bản đăng ký này cân nhắc được mọi sự thay đổi trong bối cảnh có thể đã xảy ra sau đó với những thay đổi trong rủi ro.

- Trường hợp các giả định đã được thực hiện trong đánh giá, cần ghi lại rõ ràng, dễ hiểu về tính hợp lý của những giả định, kể cả những giới hạn bất kỳ.

- Khi thiết kế cách xử lý rủi ro, cần cân nhắc xem kết quả thực hiện của việc kiểm soát khi xử lý sẽ được theo dõi và có sẵn như thế nào để những người nêu các quyết định sau này có thể dựa vào những cách kiểm soát đó.

B.2.7 Quản lý rủi ro cần phù hợp

B.2.7.1 Nguyên tắc

g) Quản lý rủi ro cần phù hợp

Quản lý rủi ro phù hợp với bối cảnh bên trong và bên ngoài của tổ chức và đặc trưng của rủi ro.

B.2.7.2 Áp dụng nguyên tắc

...

...

...

Sẽ không có một cách đơn biệt, chính xác kiểu chuẩn mực để thiết kế và áp dụng khuôn khổ và các quá trình quản lý rủi ro vì chúng đòi hỏi sự linh hoạt và điều chỉnh thích ứng trong mỗi một tổ chức. Việc thiết kế có thể được xác định bởi nhiều khía cạnh, bao gồm quy mô tổ chức, văn hóa, ngành, cấu hình và phong cách quản lý.

Các lĩnh vực rủi ro khác nhau có thể đòi hỏi các quá trình điều chỉnh khác nhau dù trong cùng một tổ chức. Khi tất cả các quá trình phù hợp với TCVN ISO 31000, thì vẫn có sự khác biệt trong hệ thống, trong các mô hình và trong mức độ đánh giá có liên quan, ví dụ như giữa những người tham gia trong việc đánh giá các rủi ro liên quan đến công nghệ thông tin, rủi ro trong quản lý tài sản và trong đầu tư, hoặc những rủi ro liên quan đến đối thủ cạnh tranh. Mỗi quá trình đều cần thích hợp với mục đích cụ thể của nó.

Vì mục đích của khuôn khổ quản lý này là để đảm bảo rằng quá trình quản lý rủi ro sẽ được áp dụng cho việc ra quyết định một cách có hiệu quả và phản ánh được chính sách, việc thiết kế khuôn khổ nên phản ánh xem các quyết định được đưa ra tại đâu và như thế nào và cần cân nhắc tới bất kỳ nghĩa vụ pháp lý hoặc bổn phận bên ngoài khác mà theo đó tổ chức có cam kết.

Điều quan trọng là cần nhớ rằng phù hợp không ám chỉ việc thay đổi các yếu tố của khuôn khổ (như mô tả trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 4) hoặc các bước của quá trình này (xem TCVN ISO 31000:2011 (ISO 31000:2009), Điều 5). Tất cả những điều trên đều là cốt lõi cho việc quản lý rủi ro có hiệu lực.

Nguyên tắc này là quan trọng trong việc thiết kế và hoàn thiện khuôn khổ quản lý rủi ro và nó cũng liên quan tới cách mà các khía cạnh của chính quá trình được xác lập.

Nguyên tắc này cũng biểu thị rằng tổ chức cần xem xét các vấn đề nội bộ, ví dụ: nguồn lực nhân viên (nguồn lực đó, nếu khá cao, có thể cần những sự điều chỉnh phù hợp với quy mô đào tạo ban đầu, để đảm bảo rằng tất cả các nhân viên mới có thể đáp ứng những gì đòi hỏi đối với họ về quản lý rủi ro).

Sự phù hợp của một khuôn khổ là cần thiết để đạt được sự tích hợp với các quá trình ra quyết định của tổ chức. Cũng có khả năng, chính những quá trình ra quyết định như vậy cần được điều chỉnh cho phù hợp với một khuôn khổ quản lý rủi ro đã được lập.

Hỗ trợ thực tế:

- Thiết kế khuôn khổ quản lý rủi ro cần bao gồm việc tìm kiếm và cân nhắc các quan điểm của những người sẽ tham gia vào việc áp dụng nó.

...

...

...

B.2.8 Quản lý rủi ro có tính đến các yếu tố con người và văn hóa

B.2.8.1 Nguyên tắc

h) Quản lý rủi ro có tính đến các yếu tố con người và văn hóa

Quản lý rủi ro thừa nhận khả năng, nhận thức và ý định của mọi người bên trong và bên ngoài tổ chức có thể tạo thuận lợi hoặc cản trở việc đạt được mục tiêu của tổ chức.

B.2.8.2 Áp dụng nguyên tắc

Nguyên tắc này đòi hỏi việc thu thập các quan điểm của các bên liên quan, cũng như hiểu biết rằng quan điểm của những người đó có thể bị ảnh hưởng bởi những đặc điểm về tính cách con người, văn hóa. Các yếu tố cần xem xét bao gồm xã hội, chính trị, văn hóa, cũng như khái niệm về thời gian. Các loại sai sót phổ biến thường bao gồm:

a) thất bại trong việc phát hiện và phản hồi với những cảnh báo sớm

b) Sự thờ ơ với quan điểm của người khác hoặc thiếu kiến thức;

c) Sai lệch do chiến lược xử lý thông tin bị đơn giản hóa khi giải quyết các vấn đề phức tạp;

...

...

...

Khi thiết kế các cơ cấu quản lý và khi áp dụng tất cả các khía cạnh của quá trình quản lý rủi ro, các hành động cụ thể là cần thiết để hiểu và vận dụng được các yếu tố về con người và văn hóa như vậy.

Khi xác lập cơ cấu quản lý, cơ cấu truyền thống về rủi ro cần cân nhắc các đặc điểm văn hóa và các mức độ hiểu biết của đối tượng liên quan.

Hỗ trợ thực tế:

- Các nhà quản lý cần hành động theo cách để thể hiện rằng họ thúc đẩy và hỗ trợ cũng như tôn trọng và hiểu biết những sự khác biệt cá nhân.

- Tôn trọng những người được hỏi về quan điểm của họ.

- Về nguyên tắc chung, các tổ chức đều khen thưởng những gì họ coi trọng. Nếu việc lựa chọn nhân viên, khuyến khích và trả thù lao không có mối liên hệ công khai đến các kết quả hoạt động quản lý rủi ro thực tế, sẽ khó mà tin rằng những kết quả thực hiện như vậy sẽ là chuẩn mực mong đợi. Những nỗ lực của cá nhân phải được ghi nhận một cách thích hợp.

- Về nguyên tắc chung, việc dựa vào sự kiểm soát của một cá nhân để thực hiện thay đổi lớn đối với rủi ro là thiếu thận trọng.

- Các tổ chức đa quốc gia cần am hiểu và khôn ngoan khi ghi nhận tầm quan trọng của văn hóa trong việc xác định hành vi ứng xử của mọi người.

...

...

...

Ví dụ về các câu hỏi hữu ích về yếu tố con người và tổ chức bao gồm:

- Liệu cơ cấu tổ chức có phù hợp với nhu cầu của tổ chức?

- Liệu những cá nhân có trách nhiệm giải trình chính thức đã được xác định rõ ràng?

- Liệu tất cả những bản mô tả công việc có nêu những quy định rõ ràng về quyền hạn và trách nhiệm của cá nhân?

- Liệu tất cả các kênh trao đổi thông tin đều rõ ràng và có hiệu lực?

- Liệu thỉnh thoảng đã tiến hành kiểm tra xem trao đổi thông tin được chuyển tải, được hiểu một cách chính xác tại tất cả các cấp trong tổ chức?

- Liệu những gì liên quan đến đạo đức, tinh thần trong tổ chức được theo dõi, giám sát không?

- Có xem xét mối quan hệ tương quan giữa các tổ đội không ?

- Có khuôn khổ để nhận ra và phản hồi đối với các tin đồn trong tổ chức trước khi chúng gây tác động tiêu cực?

...

...

...

- Nếu chính sách đang có vấn đề, liệu có một quá trình xem xét lại?

- Các chính sách và các quá trình có được coi trọng không? Nếu không, có tiến hành tìm hiểu? Chúng có bị ép buộc tuân thủ không?

- Các chuyên gia đánh giá nội bộ và bên ngoài có tìm thấy các hành vi, cách ứng xử không an toàn hoặc phi đạo đức trong tổ chức?

B.2.9 Quản lý rủi ro cần minh bạch và có sự tham gia của các bên

B.2.9.1 Nguyên tắc

i) Quản lý rủi ro cần minh bạch và có sự tham gia của các bên

Việc tham gia thích hợp và kịp thời của các bên liên quan, đặc biệt là những người ra quyết định ở các cấp của tổ chức, đảm bảo rằng việc quản lý rủi ro duy trì sự phù hợp và cập nhật. Việc tham gia này cũng cho phép các bên liên quan có được sự đại diện thích hợp và quan điểm của họ được xem xét khi xác định tiêu chí rủi ro.

B.2.9.2 Áp dụng nguyên tắc

Nguyên tắc này có thể có tác dụng tại các cấp quản lý khác nhau. Nó có thể được phản ánh trong chính sách quản lý rủi ro của tổ chức (ví dụ: “Chúng tôi sẽ thông báo và hỏi ý kiến các bên liên quan nhằm mong họ hiểu được các mục tiêu của chúng tôi và có thể đóng góp kiến thức và quan điểm của họ để hỗ trợ trong việc ra quyết định của chúng tôi’).

...

...

...

Khi áp dụng nguyên tắc này nên xem xét các vấn đề bảo mật, an ninh và sự riêng tư, Ví dụ: có thể yêu cầu thông tin trong danh mục rủi ro được tạo lập một cách tách biệt sao cho có thể hạn chế việc truy cập vào một số thông tin.

Hỗ trợ thực tế:

- Trong đào tạo quản lý rủi ro, có thể vận dụng cách “đóng vai diễn” liên quan đến trao đổi thông tin và tham vấn.

- Việc đánh giá cần được thực hiện theo cách để những người nhận được thông tin sẽ cảm nhận được nó.

- Định kỳ cung cấp thông tin phản hồi, chứng minh những gì đã hứa hoặc đã được dự định và thực tế chúng đã được thực hiện như thế nào.

- Những ý kiến được gửi đến một cách tự nguyện cũng cần được khuyến khích, ghi nhận và đánh giá cao và bất cứ khi nào có thể, cần phản hồi về chúng.

B.2.10 Quản lý rủi ro cần năng động, lặp lại và đáp ứng với sự thay đổi

B.2.10.1 Nguyên tắc

j) Quản lý rủi ro cần năng động, lặp lại và đáp ứng với sự thay đổi

...

...

...

B.2.10.2 Áp dụng nguyên tắc

Bất kỳ sự thay đổi trong các mục tiêu của tổ chức, hoặc của bất kỳ khía cạnh trong các bối cảnh bên trong hay bên ngoài, chắc chắn sẽ làm thay đổi rủi ro (ví dụ như tái cơ cấu nội bộ, có thêm một nhà cung cấp chính mới, hoặc sự thay đổi trong điều luật có liên quan). Tương tự như vậy, những thay đổi trong bối cảnh tổ chức (ví dụ như việc mua lại một công ty khác, có được một hợp đồng lớn mới) đều có thể đòi hỏi thay đổi trong cơ cấu quản lý (ví dụ như trong đào tạo các chuyên gia về rủi ro). Quá trình quản lý rủi ro cần được thiết kế để phản ánh sự năng động của tổ chức (ví dụ như tốc độ của sự thay đổi).

TCVN ISO 31000 nêu hai cách gồm theo dõi và xem xét (đối với khuôn khổ và quá trình). Mỗi cách có đặc điểm riêng cho mục đích của nó và mỗi cách đều yêu cầu sự thấu hiểu và áp dụng.

Cơ cấu quản lý cần được theo dõi và xem xét để đảm bảo nó có thể tiếp tục có hiệu lực cho các nguyên tắc quản lý rủi ro hiệu quả, có hiệu lực cho chính sách quản lý rủi ro của tổ chức và hỗ trợ việc áp dụng quá trình này để đưa ra quyết định của tổ chức.

Hoạt động theo dõi và xem xét cần được kết hợp trong mỗi bước cốt lõi của quá trình quản lý rủi ro.

Các hoạt động kiểm soát cũng nên được xem xét lại để đảm bảo tiếp tục có hiệu lực và đáp ứng với sự thay đổi. Ví dụ, những hoạt động kiểm soát lệ thuộc vào kết quả thực hiện của những người cụ thể sẽ có thể không có hiệu quả nếu đã có những sự thay đổi về nhân sự.

Hoạt động theo dõi và xem xét cần được điều chỉnh cẩn thận, cụ thể, chúng cần nhạy cảm với các yếu tố của sự thay đổi mà chúng có thể có những ảnh hưởng rõ nét nhất. Việc theo dõi và xem xét cần đánh giá được mức độ quan trọng mang tính thường xuyên của các chỉ số dùng để theo dõi và nếu cần các chỉ số này sẽ được điều chỉnh theo sự thay đổi hoặc bối cảnh mới xuất hiện.

Việc theo dõi và xem xét là những hoạt động có sự khác biệt, như được giải thích trong TCVN ISO 31000:2011 (ISO 31000:2009), 4.5 và 5.6. Theo dõi liên quan tới việc quan trắc liên tục các thông số quan trọng để xác định xem liệu chúng đang thực hiện như dự định hay là giả định không. Xem xét được thực hiện từ thời điểm này đến thời điểm khác, được bố trí theo mục đích của nó và thường được dùng để xác định liệu các giả định mà từ đó các quyết định đã được nêu (ví dụ thiết kế khuôn khổ quản lý) hiện tại còn hiệu lực hay không, và do đó dẫn đến việc liệu có cần xem xét các quyết định này không.

Việc xem xét cũng cần cân nhắc tới trí thức và công nghệ mới.

...

...

...

- Khi áp dụng quá trình quản lý rủi ro và khi xác lập tuyên bố về bối cảnh, cần xác định các thành phần (ví dụ như các đặc điểm của môi trường bên ngoài) có nhiều khả năng thay đổi và cần theo dõi chặt chẽ chúng về sự thay đổi. Bất kỳ một sự thay đổi đều có thể yêu cầu đánh giá lại toàn bộ hoặc một số các rủi ro đã được lập thành tài liệu.

- Cần và khuyến khích có biện pháp cảnh báo cho mọi người có liên quan về tình trạng hiện tại đáng lo ngại (chẳng hạn bằng cách tạo tiếng còi).

- Ngay cả các tổ chức nhỏ cũng nên lưu ý những thay đổi ở mức toàn cầu, ví dụ: cuộc khủng hoảng tài chính toàn cầu năm 2008 đã có tác động sâu sắc đến một số nhà cung cấp nhỏ mà các khách hàng lớn của họ là các tổ chức chịu tác động trực tiếp hoặc gián tiếp bởi những thất bại của ngân hàng. Các sự kiện bên ngoài hoặc những bối cảnh mới xuất hiện như vậy có thể yêu cầu thay đổi một cách chủ động đối với các khuôn khổ quản lý rủi ro.

B.2.11 Quản lý rủi ro tạo thuận lợi cho việc cải tiến liên tục của tổ chức

B.2.11.1 Nguyên tắc

k) Quản lý rủi ro tạo thuận lợi cho việc cải tiến liên tục của tổ chức

Tổ chức cần xây dựng và thực hiện các chiến lược để nâng cao sự nhuần nhuyễn trong việc quản lý rủi ro của mình cùng với tất cả các khía cạnh khác của tổ chức.

B.2.11.2 Áp dụng nguyên tắc này như thế nào

Cải tiến liên tục các kết quả hoạt động của tổ chức cần gắn kết tương quan với việc cải tiến liên tục kết quả của hoạt động quản lý rủi ro. Việc cải tiến quản lý rủi ro, trên cơ sở ra quyết định dựa trên rủi ro, có thể làm giảm sự không chắc chắn trong việc đạt được các mục tiêu, giảm thiểu biến động và tăng tính linh hoạt. Tuy nhiên, cần thận trọng để không đặt ra kết quả thực hiện quản lý rủi ro một cách quá phức tạp đến mức quá bị áp lực cho việc theo đuổi các cơ hội và mất đi tính linh hoạt của hành động phản hồi.

...

...

...

Mục tiêu của cải tiến liên tục phải được nêu rõ ràng trong chính sách quản lý rủi ro của tổ chức và được truyền đạt thường xuyên theo cả hai cách chính thức và không chính thức. Cải tiến liên tục có thể bao gồm:

- Cải tiến mức độ tích hợp hoạt động quản lý rủi ro vào hoạt động chung;

- Nâng cao chất lượng đánh giá rủi ro;

- Cải tiến khuôn khổ quản lý, ví dụ chất lượng và cách tiếp cận thông tin;

- Cải tiến tốc độ của việc ra quyết định.

Cải tiến liên tục dựa trên các chỉ số định tính và định lượng của sự tiến bộ. Các tổ chức sử dụng những cách tiếp cận từng giai đoạn và các mô hình đã được xác nhận nên thiết kế các chỉ số sao cho chúng sẽ là động lực cho việc cải tiến liên tục dựa trên các nguồn lực và đặc điểm văn hóa của tổ chức. Mọi tổ chức nên ghi nhận rằng trong nhiều nỗ lực của con người, thành công sẽ nuôi dưỡng thành công. Mục đích của việc quản lý rủi ro hiệu lực thực chất chỉ nằm trong việc nâng cao khả năng để một tổ chức sẽ đạt được đầy đủ các mục tiêu của nó. Một tổ chức đạt được tính hiệu lực trong quản lý rủi ro càng nhanh, sẽ thực hiện được các mục tiêu của mình càng hiệu quả.

Thực ra, trong một số trường hợp, một số cải tiến đòi hỏi thời gian mới đạt được, ví dụ như một số có thể yêu cầu phân bổ kinh phí, hoặc lập kế hoạch và triển khai cẩn thận. Các kế hoạch để cải tiến cần cân nhắc tính ưu tiên và các lợi ích liên quan và có cách theo dõi tiến triển của nó.

Hỗ trợ thực tế:

- Khi sử dụng các yếu tố của việc theo dõi và xem xét cơ cấu quản lý, hàng năm phải xem xét kết quả thực hiện so với các nguyên tắc quản lý rủi ro và xem xét những cải tiến về thiết kế.

...

...

...

- Sử dụng hệ thống báo cáo sự cố để tiến hành phân tích nguyên nhân gốc rễ, tìm kiếm không chỉ ở những nguyên nhân gắn với các vụ việc, mà cả các đặc điểm của khuôn khổ quản lý rủi ro đã tạo khả năng cho sự cố đó xảy ra.

- Cần theo dõi kết quả thành công (ví dụ như dự án đúng hạn, đúng hạn mức kinh phí) để hiểu được các tính năng nào của khuôn khổ quản lý rủi ro đã gây ra khả năng cho sự cố đó xảy ra.

Phụ lục C

(Tham khảo)

Thể hiện nhiệm vụ và cam kết

C.1 Khái quát

Phụ lục này cung cấp các hướng dẫn và chiến lược giúp tổ chức biểu thị và trao đổi thông tin về nhiệm vụ và cam kết cũng như việc thông tin, truyền đạt về việc này như thế nào.

Để nhiệm vụ và cam kết có hiệu lực, lãnh đạo cao nhất và bộ phận giám sát của tổ chức cần nêu rõ ràng cho các bên liên quan biết về cách tiếp cận đối với việc quản lý rủi ro và nếu thích hợp, lập thành văn bản và trao đổi thông tin về việc này. Nhiệm vụ về quản lý rủi ro thường liên quan đến những thay đổi trong hành vi, tập quán, văn hóa, chính sách, các quá trình và các kết quả thực hiện đã dự định trong việc quản lý các rủi ro sẽ được phản ánh trong khuôn khổ quản lý rủi ro. Nhiệm vụ và cam kết có thể là một tuyên bố ngắn gọn về chính sách được phổ biến rộng rãi.

...

...

...

Nhiệm vụ và cam kết là một phần cơ bản của khuôn khổ quản lý rủi ro đồng thời cần là một phần của cả các khuôn khổ quản lý và quản trị của tổ chức và cần tác động đến thiết kế của các loại hình khuôn khổ này.

Nhiệm vụ và cam kết cần phản ánh mười một nguyên tắc nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 3.

Trong thực tế, nhiệm vụ cũng như cam kết được thể hiện và tiếp nhận theo cả cách ngầm hiểu và rõ ràng. Những thể hiện ngầm hiểu (ví dụ như các hành động thường ngày của lãnh đạo cấp cao hay của bộ phận giám sát trong bối cảnh văn hóa hiện hành đã được chấp nhận của tổ chức) thường tạo được một sự thúc đẩy mạnh mẽ hơn 80 với những cách biểu thị công khai (ví dụ chính sách quản lý rủi ro).

C.2 Phương pháp biểu thị nhiệm vụ và cam kết

C.2.1 Các đặc điểm chính

Nhiệm vụ và cam kết cần đáp ứng các tiêu chí sau:

a) Cần phù hợp với kế hoạch chiến lược; các mục tiêu, chính sách, phong cách trao đổi thông tin và hệ thống quản lý của tổ chức;

b) Cần phù hợp với các tiêu chí rủi ro mà bộ phận giám sát đã xác định;

c) Cần đáp ứng các nguyên tắc của TCVN ISO 31000 cũng như phải hướng tới cách quản lý rủi ro hoàn thiện như được nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), Phụ lục A;

...

...

...

e) Cần có những kỳ vọng hợp lý về việc nó được thực hiện thành công;

f) Cần đề cập đến các trách nhiệm đối với những chủ sở hữu rủi ro.

Khi nhiệm vụ quản lý rủi ro hiện đang được thực hiện và cam kết của tổ chức đối với quản lý rủi ro chưa thực sự đáp ứng các tiêu chí này thì cả các khía cạnh ngầm hiểu và công bố rõ ràng về việc này cần được thay đổi.

VÍ DỤ: Nếu bộ phận giám sát hoặc lãnh đạo cao nhất đã ban hành các quyết định nhưng các quyết định đó không đề cập đầy đủ việc đánh giá rủi ro, đây là một dấu hiệu rõ ràng rằng tổ chức không đảm bảo sự cam kết đối với việc thấu hiểu các rủi ro của tổ chức.

Một phần quan trọng khi chấp nhận một nhiệm vụ đã được sửa đổi là cần xây dựng một kế hoạch để thay đổi sự hiểu biết về những gì đòi hỏi phải thay đổi. Mục đích của kế hoạch này sẽ là đảm bảo rằng cả nhiệm vụ và các lợi ích của nó được thấu hiểu rộng khắp và được tin tưởng và tổ chức luôn cam kết nhất quán trong các nhiệm vụ và hành vi tương ứng. Đó sẽ là hành vi của tổ chức và cách so sánh những hành vi này với những tuyên bố công khai về nhiệm vụ sẽ tạo ra những tác động lớn nhất để xác định nhiệm vụ được thực hiện được chấp nhận bởi các bên liên quan khác nhau chấp nhận hay không.

C.2.2  Thiết lập và trao đổi thông tin về chính sách và cam kết quản lý rủi ro

Một phương thức để biểu thị và thông tin về nhiệm vụ theo cách rõ ràng là thông qua việc thiết lập và sau đó trao đổi thông tin về chính sách quản lý rủi ro. TCVN ISO 31000:2011 (ISO 31000:2009), 4.3.2, xác định rằng tổ chức không chỉ cần nêu rõ ràng chính sách về quản lý rủi ro mà còn cần trao đổi thông tin về chính sách này cả ở bên trong và bên ngoài tổ chức. TCVN ISO 31000:2011 (ISO 31000:2009), 4.3.2, cũng xác định các vấn đề cụ thể thường cần được phản ánh trong chính sách này.

Luôn phải ghi nhớ nguyên tắc g) (tức là quản lý rủi ro phải phù hợp), việc biểu thị về chính sách cần phù hợp, nhất quán với phương thức chung mà tổ chức đang vận hành. Nếu không, thì việc biểu thị này có thể không được xem là có liên quan đến hoặc là một phần của hệ thống chung mà tổ chức đang vận hành.

Đối với các tổ chức lớn hơn, việc thiết lập một chính sách sẽ thường có nghĩa là triển khai một tuyên bố chính thức về nhiệm vụ đối với việc quản lý rủi ro mà sẽ cấu thành một phần của bộ chính sách của tổ chức. Theo đó, việc này sẽ được hoàn thành bởi bộ phận quản trị và sau đó được truyền đạt và củng cố, thúc đẩy áp dụng thông qua hệ thống quản lý.

...

...

...

Lãnh đạo cao nhất và bộ phận giám sát cần cam kết và thực sự tham gia sẽ là chìa khóa cho sự thành công của bất kỳ chương trình quản lý rủi ro nào. Các tổ chức nên xem xét các câu hỏi sau khi thiết lập nhiệm vụ và cam kết của mình đối với quản lý rủi ro:

- Các mục tiêu chiến lược của tổ chức là gì? Chúng có rõ ràng? Những gì là ngầm hiểu và những gì là công bố công khai trong những mục tiêu đó?

- Lãnh đạo cấp cao có nắm rõ bản chất và mức độ của những rủi ro quan trọng mà họ phải đối mặt và mong muốn nắm các cơ hội mà họ sẵn sàng theo đuổi để đạt được các mục tiêu chiến lược của mình?

- Lãnh đạo cấp cao có cần phải thiết lập khuôn khổ rõ ràng hơn để nâng cao quan điểm về rủi ro của tổ chức?

- Lãnh đạo cao nhất sẽ tiến hành những bước nào để bảo đảm giám sát toàn diện việc quản lý các rủi ro này?

- Những người quản lý thực hiện việc ra quyết định có hiểu được mức độ mà theo đó họ (với tư cách cá nhân) được phép thể hiện rõ với tổ chức những hệ quả của một sự kiện hoặc tình huống? Có bất kỳ quan điểm rủi ro nào cần được thực hành, hướng dẫn cho các nhà quản lý để đưa ra quyết định dựa trên rủi ro?

- Những người thực hiện có hiểu được mức độ, tích hợp, liên hệ về rủi ro để họ có thể xác định xem liệu nó có thể được chấp nhận hay không?

- Lãnh đạo cao nhất và quản lý điều hành có hiểu được mức độ đan xen, tích hợp của rủi ro đối với cả tổ chức nói chung?

- Cả các nhà quản lý và điều hành hiểu rõ rằng quan điểm rủi ro không phải là cố định? Nó có thể thay đổi khi môi trường và điều kiện kinh doanh thay đổi. Bất cứ điều gì đã được phê duyệt của lãnh đạo cấp cao đều cần phải có một vài sự linh hoạt trong triển khai.

...

...

...

- Những rủi ro nào là quan trọng mà lãnh đạo cao nhất sẵn sàng đối mặt và muốn theo đuổi các cơ hội? Rủi ro nào là quan trọng nhưng lãnh đạo cao nhất không sẵn sàng đối mặt? Cho dù chính sách đối với tình trạng rủi ro hiện đang được quản lý được nêu dưới dạng nào thì nó luôn cần cùng đồng hành với các chính sách khác vốn đang là định hướng để tổ chức hoạt động.

- Chính sách cần được hỗ trợ theo cả cách ngầm hiểu và công bố rõ ràng và phải được phản ánh phù hợp, phải đáp ứng 6 tiêu chí nêu trong C.2.1.

C.2.3 Củng cố

Lãnh đạo cao nhất và bộ phận giám sát cần chứng minh và củng cố cam kết của tổ chức về các nhiệm vụ thông qua sự kết hợp các hành động ngầm hiểu và được công bố rõ ràng bao gồm:

- làm rõ các mục tiêu quản lý rủi ro được liên kết và không tách rời với các mục tiêu quản lý khác;

- làm rõ rằng quản lý rủi ro sẽ tạo nên hiệu quả cho các mục tiêu của tổ chức;

- đảm bảo phương thức mà nhiệm vụ của các hoạt động quản lý rủi ro đòi hỏi được tích hợp vào trong các quá trình quản trị và quản lý hiện có và được đưa vào chiến lược, các quá trình tác nghiệp, dự án;

- cần thường xuyên theo dõi, báo cáo về khuôn khổ quản lý rủi ro, về các quá trình của tổ chức để đảm bảo rằng nó vẫn được duy trì phù hợp và hiệu lực;

- theo dõi về việc tổ chức có một sự hiểu biết hiện tại và toàn diện về các rủi ro của mình và những rủi ro này hiện vẫn nằm trong khuôn khổ của các tiêu chí rủi ro đã được xác định và tổ chức có hành động khắc phục khi những tiêu chí này không được đáp ứng;

...

...

...

- xem xét, làm mới cam kết đối với các nhiệm vụ theo thời gian, sự kiện và sự thay đổi của lãnh đạo cao nhất.

Áp dụng TCVN ISO 31000 có thể diễn ra trong toàn tổ chức một cách tổng thể, hoặc là được thực hiện theo từng phần, ví dụ tại các công ty con.

C.3 Hướng dẫn xây dựng nhiệm vụ và cam kết

Thiết lập nhiệm vụ về quản lý rủi ro đòi hỏi suy xét cẩn thận, có được quan điểm chiến lược và sự tham vấn giữa các bộ phận giám sát và lãnh đạo cạo nhất. Điều này sẽ giúp đảm bảo rằng một khi nó được thông qua, tổ chức sẽ tuân theo nhiệm vụ này.

Sự biểu thị về nhiệm vụ và cam kết cần được xem xét trên cả cấp độ chiến thuật và chiến lược. Tổ chức phải xác định và đánh giá năng lực để đáp ứng các mục tiêu của mình và trau dồi các kỹ năng và kinh nghiệm cần thiết để đạt được chúng.

Ảnh hưởng của những thay đổi theo yêu cầu của nhiệm vụ sẽ cần sự cân nhắc cẩn trọng. Điều này bao gồm việc ai sẽ là người dẫn dắt sự thay đổi và ai sẽ cần hướng dẫn hoặc hỗ trợ. Đôi khi có những thay đổi đòi hỏi khá triệt để ở phạm vi lớn (ví dụ như thay đổi trong các bản mô tả công việc, quá trình theo dõi và quản lý kết quả) và như vậy sẽ đòi hỏi một số năng lực của tổ chức cho sự thay đổi này. Điều này cần được xem xét theo bối cảnh của những sự thay đổi khác đang diễn ra cho dù có thể có sự tích hợp, lồng ghép hay không.

Những người sẽ bị ảnh hưởng đáng kể bởi những thay đổi cần được tham vấn, đặc biệt là những người lưu giữ bất kỳ loại dữ liệu quản lý rủi ro nào trong tổ chức (ví dụ như sức khỏe và sự an toàn, quản lý an ninh), sao cho tất cả những việc áp dụng theo sự thay đổi có thể được hiểu rõ.

Nhiệm vụ cần được nêu trong một tuyên bố về chính sách thể hiện cam kết của tổ chức đối với việc này.

Hỗ trợ thực tế:

...

...

...

- Xem xét cách thức để nhiệm vụ này sẽ được giải thích đối với tổ chức và làm thế nào những cách giải thích như vậy sẽ được củng cố bởi những hành động đang diễn ra;

- Cân nhắc khung thời gian để nhiệm vụ này có hiệu lực (điều này cần được đề cập và được tích hợp với các mệnh lệnh khác của tổ chức, nếu không, dù ngay cả khi khuôn khổ quản lý là hoàn chỉnh, thì những lợi ích đầy đủ của nó sẽ không được thực hiện và việc quản lý rủi ro sẽ không có được hiệu lực như nó có thể có);

- Xác định các vai trò chủ yếu để mang lại thay đổi cần thiết trong cách tiếp cận quản lý rủi ro và chỉ đạo, dẫn dắt các hoạt động quản lý rủi ro;

- Xác định những khía cạnh nào và những hoạt động nào của khuôn khổ quản lý rủi ro sẽ được theo dõi ở cấp lãnh đạo cao nhất, cấp quản lý và cấp ủy ban và làm thế nào để các thông tin như vậy sẽ được thu thập và thể hiện.

- Đưa kết quả hoạt động quản lý rủi ro thành một hạng mục thường xuyên trong chương trình nghị sự tại tất cả các cuộc họp ban giám sát và lãnh đạo cao nhất;

- Xây dựng các phương pháp hiệu quả để thông tin về kết quả hoạt động quản lý rủi ro (ví dụ như xuất bản bản tin cho nhân viên theo kiểu của một báo cáo quản lý rủi ro);

- Cân nhắc những gì cần được kích hoạt để xem xét lại nhiệm vụ này.

Phụ lục D

...

...

...

Theo dõi và xem xét

D.1 Cơ sở

D.1.1 Khái quát

Phụ lục này cung cấp chỉ dẫn về theo dõi và xem xét khuôn khổ và quá trình quản lý rủi ro theo TCVN ISO 31000:2011 (ISO 31000:2009), 4.5, 4.6 và 5.6.

Theo dõi và xem xét là hai hoạt động phân biệt nhằm xác định xem liệu các giả định và các quyết định vẫn có hiệu lực. Các kỹ thuật được sử dụng trong cả việc duy trì khuôn khổ quản lý rủi ro hiệu lực và cả trong mỗi bước của quá trình quản lý rủi ro.

- Theo dõi liên quan đến việc quan trắc thường xuyên kết quả thực hiện thực tế và so sánh nó với kết quả dự kiến hoặc yêu cầu. Nó bao gồm việc kiểm tra hoặc điều tra liên tục, việc theo dõi trong thực hiện, quan trắc mang tính phê phán hoặc xác định tình trạng để xác định sự thay đổi mức độ kết quả thực hiện so với yêu cầu hoặc mong đợi, cũng như những thay đổi về bối cảnh.

- Xem xét có thể là việc kiểm tra định kỳ hoặc bất thường về tình trạng hiện tại, về những thay đổi trong môi trường, về thực hành ngành công nghiệp, hoặc về thực tiễn về tổ chức. Đây là một hoạt động được thực hiện để xác định sự phù hợp, đầy đủ và hiệu lực của khuôn khổ và của quá trình để đạt được mục tiêu được nêu. Việc xem xét cần cân nhắc đến các kết quả đầu ra từ các hoạt động theo dõi.

- Đánh giá là một quá trình xem xét một cách hệ thống, dựa trên bằng chứng để so sánh với các tiêu chí khác đã được xác định trước. Trong khi mọi cuộc đánh giá đều có xem xét thì không phải tất cả xem xét đều là một cuộc đánh giá.

Cùng với nhau, theo dõi và xem xét cung cấp sự đảm bảo rằng kết quả hoạt động quản lý rủi ro là đạt được như mong đợi, cho dù nó có thể cần được cải tiến và cho dù có thay đổi đã xảy ra hiện đòi hỏi phải điều chỉnh hoặc sửa đổi về khuôn khổ quản lý hoặc một số khía cạnh của quá trình.

...

...

...

Cả hai đều cần thiết để đảm bảo tổ chức duy trì một sự hiểu biết hiện tại về các rủi ro của mình có liên quan đến với các tiêu chí rủi ro đó, bám sát tuân thủ quan điểm rủi ro của mình. Cả hai đều yêu cầu một cách tiếp cận có hệ thống tích hợp với các hệ thống quản lý chung của tổ chức.

Các hoạt động theo dõi và xem xét và các hành động để đáp ứng với những phát hiện này thường được mô tả đặc trưng như là một hệ thống đảm bảo bởi vì chúng có tiềm năng để phát hiện và khắc phục những điểm yếu trước khi các tác động bất lợi xảy ra hoặc để cung cấp sự tin tưởng rằng các rủi ro vẫn nằm trong chuẩn mực của tổ chức. Những hoạt động này cũng có thể được sử dụng để cung cấp cho các bên liên quan bên trong và bên ngoài sự đảm bảo hợp lý rằng rủi ro đang được quản lý một cách hiệu lực.

Do các yếu tố về bối cảnh bên trong và bên ngoài thay đổi, nên luôn có rủi ro. Tương tự như vậy, theo dõi bối cảnh bên ngoài có thể cảnh báo cho tổ chức các thay đổi có thể dẫn đến cơ hội để cải thiện kết quả thực hiện hoặc một hoạt động mới. Bằng cách luôn được cảnh báo bởi những thay đổi như vậy, bởi những kết quả thực hiện, bởi những sự không phù hợp, và bởi những lần thoát nạn, tổ chức sẽ có thể xác định các cơ hội để cải tiến khuôn khổ quản lý quản lý rủi ro cũng như kết quả thực hiện chung của tổ chức.

Nên có một chương trình toàn diện để theo dõi và ghi nhận các chỉ số về kết quả thực hiện và các chỉ số này cần được sử dụng cùng với các chỉ số về kết quả thực hiện khác của tổ chức.

Chương trình này cung cấp cảnh báo sớm về các xu hướng bất lợi, đòi hỏi phải hành động phòng ngừa và sự can thiệp.

Một hành động riêng biệt về theo dõi hay hành động có thể nhằm vào một rủi ro đơn lẻ hay một số các rủi ro có mối liên quan, cần chú trọng vào các rủi ro này hoặc những hoạt động kiểm soát mang tính phòng ngừa gắn liền với chúng.

D.1.2 Trách nhiệm theo dõi và xem xét

Trách nhiệm chung về các hoạt động giám sát và xem xét thuộc bộ phận theo dõi và lãnh đạo cao nhất chứ không phải là các nhà cung cấp sự đảm bảo, ví dụ: đánh giá nội bộ. Các chức năng đảm bảo chất lượng, chức năng xem xét độc lập và theo dõi theo nghĩa pháp lý đều là những bổ sung hữu ích cho quá trình báo cáo quản lý chuyên ngành vì những hoạt động như vậy cung cấp một cách nhìn có tính lựa chọn.

Các hoạt động theo dõi và xem xét có thể được cân nhắc theo nghĩa của một hệ thống phân cấp, thường được áp dụng tại cấp lãnh đạo: Nếu được thiết kế hoàn chỉnh, điều này sẽ tạo mức đảm bảo lớn nhất. Tuy nhiên, một chương trình theo dõi và xem xét cần bao gồm tất cả ba yếu tố.

...

...

...

D.1.3 Xem xét độc lập

Cho dù được tiến hành bởi bên trong hoặc bên ngoài, thì đối với bên tham gia, tính độc lập là yêu cầu xuất phát điểm trong các mối quan hệ của người xem xét, người đánh giá.

Độc lập là cơ sở cho tính khách quan của việc xem xét và tính khách quan của kết luận xem xét.

Khi có thể, người xem xét và người đánh giá đều phải độc lập đối với hoạt động đang được xem xét đánh giá và trong mọi trường hợp, họ cần hành động theo một phương cách sao cho không bi lệch hoặc xung đột về lợi ích.

Đối với đánh giá nội bộ, các chuyên gia đánh giá cần độc lập đối với các nhà quản lý đang điều hành các chức năng được đánh giá. Những người xem xét hoặc đánh giá cần giữ được tính khách quan trong suốt quá trình đánh giá/ xem xét để đảm bảo rằng những phát hiện và kết luận chỉ dựa trên các bằng chứng.

Đối với các tổ chức nhỏ, khả năng để những người tiến hành xem xét hay đánh giá hoàn toàn độc lập đối với hoạt động hiện được xem xét và đánh giá thường khó, tuy nhiên cần cố gắng thực hiện để loại bỏ định kiến và thúc đẩy tính khách quan.

Tính độc lập của những người xem xét/người đánh giá sẽ giúp cho các cuộc xem xét và đánh giá là một công cụ hiệu quả và đáng tin cậy, hỗ trợ các chính sách và hoạt động kiểm soát rủi ro bằng cách cung cấp thông tin mà theo đó tổ chức có thể hành động để cải thiện kết quả thực hiện của nó.

Những việc xem xét như vậy có thể tập trung vào việc tuân thủ các tiêu chuẩn (nội bộ hay bên ngoài) các thủ tục hoặc các yêu cầu pháp lý. Thường thì chúng cũng xem xét sự phù hợp, hiệu quả và hiệu lực của các hoạt động kiểm soát, ví dụ: có thể xem xét liệu các hoạt động quản lý rủi ro có cung cấp các giá trị như đã được nêu trong các nguyên tắc của TCVN ISO 31000.

Nhiều tổ chức có chức năng tư vấn và xem xét hệ thống quản lý (như cử chuyên gia tư vấn về quản lý rủi ro, chuyên gia về sự phù hợp, cán bộ quản lý và đảm bảo chất lượng), những người này thực hiện việc xem xét thường ngày, đánh giá nội bộ, lập các báo cáo thông thường về các kết quả xem xét của họ cho bộ phận giám sát và lãnh đạo cao nhất. Mục tiêu của các cuộc xem xét này là cung cấp cho bộ phận giám sát cho lãnh đạo cao nhất sự đảm bảo rằng:

...

...

...

- Một quá trình thích hợp và có hệ thống đã được áp dụng để xác định, đánh giá và xử lý các rủi ro và có sự tin cậy rằng, quá trình này sẽ hoạt động liên tục;

- Các rủi ro không thể chấp nhận hiện được nhận dạng, lưu ý bằng cách xử lý rủi ro thích hợp;

- Những rủi ro không thể chấp nhận được đang được kiểm soát một cách phù hợp và có hiệu lực, nếu không các biện pháp kiểm soát cần được điều chỉnh;

- Tiến độ thích hợp đang được thực hiện với các phương án xử lý rủi ro.

Các loạt động của một quá trình xem xét độc lập không làm giảm trách nhiệm theo dõi và xem xét của lãnh đạo các cấp.

D.1.4 Thu nhận các thông tin thích hợp

Cũng giống như các khía cạnh khác của quản lý rủi ro, theo dõi và xem xét đòi hỏi việc sử dụng các thông tin có sẵn tốt nhất [xem nguyên tắc f)]. Để phù hợp với mục đích, thông tin cần liên quan tới người sử dụng và thể hiện đúng những gì nó muốn nêu. Sự hữu ích của thông tin được nâng cao nếu nó có thể so sánh, kiểm chứng, kịp thời và dễ hiểu. Thông tin có thể thu được từ hai nguồn:

a) Nguồn trực tiếp: Các quan trắc và các phép đo về các quá trình tác nghiệp thực tế hay những đầu ra của chúng;

b) Nguồn gián tiếp: Các kết quả đo dẫn xuất từ các quá trình hoặc kết quả đầu ra đang được xem xét.

...

...

...

D.1.5 Báo cáo quá trình xem xét

Báo cáo cần cung cấp thông tin cho bộ phận giám sát, lãnh đạo cao nhất và các bên liên quan của tổ chức về việc liệu những rủi ro của tổ chức có nằm trong các tiêu chí rủi ro của mình hoặc liệu đã có các kế hoạch xử lý rủi ro đáng tin cậy cho phép cuối cùng sẽ dẫn đến kết quả này. Ngoài ra nó có thể cung cấp thông tin về những rủi ro mới, đang hình thành.

Bất kỳ cách thu nhận các thông tin rủi ro (ví dụ như trong một đăng ký rủi ro) cần được định kỳ cập nhật. Các loại và tần suất báo cáo sẽ phụ thuộc vào tính chất, quy mô và phạm vi của việc đánh giá rủi ro.

Các đầu ra của việc đánh giá hoặc xem xét sẽ là một báo cáo tóm tắt các phát hiện, cung cấp các kết luận của đánh giá so với các tiêu chí đã xác định. Báo cáo dựa trên những gì mà những người xem xét đã quan sát có thể cung cấp các khuyến nghị để cải tiến hệ thống. Đôi khi, người xem xét có thể nêu các đề nghị lớn hơn, hướng vào chính bản thân các tiêu chí. Phản hồi đối với mọi cuộc xem xét cần chú trọng vào việc cải tiến hệ thống và tìm được các nguyên nhân gốc rễ của vấn đề.

D.1.6 Hành động khắc phục và cải tiến liên tục

Cần thiết lập các quá trình để đảm bảo rằng các khuyến nghị đang được lãnh đạo của tổ chức tích cực xem xét và những phản hồi thống nhất đang được thực hiện.

Hành động đáp ứng đối với các cuộc xem xét cần được báo cáo cho bộ phận giám sát và cần theo dõi thường xuyên cho đến khi nó được thực hiện.

D.2 Thao dõi và xem xét khuôn khổ

D.2.1 Khái quát

...

...

...

TCVN 31000:2011 (ISO 31000: 2009), Điều 4, nêu hướng dẫn về các thành phần cần thiết của một khuôn khổ và lưu ý rằng những thành phần này cần phải được xét trong mối liên hệ với bối cảnh bên trong và bên ngoài của tổ chức.

Khi có những thay đổi xảy ra với bối cảnh nội bộ hay bên ngoài của tổ chức, có thể phải điều chỉnh khuôn khổ quản lý để đảm bảo nó vẫn có hiệu lực.

Thậm chí ngay cả khi không có sự thay đổi nội bộ hay bên ngoài, đòi hỏi có sự thay đổi trong thiết kế, việc theo dõi và xem xét vẫn cần thiết để đảm bảo rằng bất cứ lúc nào việc kiểm tra đối với các thành phần của khuôn khổ quản lý về kế hoạch thực hiện để đảm bảo rằng chúng đã được thực hiện một cách chính xác. Đối với tổ chức đã áp dụng TCVN ISO 31000 nó sẽ liên quan đến việc đảm bảo rằng các thành phần của khuôn khổ quản lý tiếp tục tồn tại và đang hoạt động đúng như đã dự định.

D.2.2 Trách nhiệm giải trình

Lãnh đạo có trách nhiệm đảm bảo định kỳ xem xét và theo dõi khuôn khổ theo các chỉ số kết quả thực hiện. Là một phần trong việc phân công trách nhiệm, một người (ví dụ một cán bộ quản lý cấp cao) hoặc một bộ phận chức năng của tổ chức (ví dụ như bộ phận hỗ trợ và hợp tác quản lý rủi ro) số đảm nhận một phần được giao về các trách nhiệm quản lý rủi ro, người hoặc bộ phận này cần thực hiện việc theo dõi khuôn khổ và đảm nhận trách nhiệm chính để đảm bảo rằng khuôn khổ vẫn duy trì hiệu lực.

D.2.3 Thiết lập ranh giới

Cần thiết lập một ranh giới đối với việc quản lý rủi ro trong tổ chức. Ranh giới này có thể được mô tả theo những cách khác nhau nhưng cần bao gồm:

a) các thành phần của khuôn khổ (như mô tả trong TCVN ISO 31000:2011, 4.3) để cung cấp khả năng giúp đạt được mục đích này.

b) mức độ hỗ trợ mà bộ phận giám sát và lãnh đạo cao nhất cần nêu để thực hiện trong các nhiệm vụ và cam kết quản lý rủi ro (thường được thể hiện dưới hình thức của một chính sách quản lý rủi ro).

...

...

...

Bảng D.1 - Ví dụ về bảng danh mục các thành phần của khuôn khổ

Thành phần

Được triển khai ở đâu

Mục tiêu

Hành động chính

Trách nhiệm và lịch trình

Thước đo kết quả

Tình trạng áp dụng

Trách nhiệm giải trình

...

...

...

Duy trì chính sách, quản lý rủi ro của tổ chức

• Xác định chuẩn mực

• Lập báo cáo

• Giao quyền

• Công bố chính sách.

• Chính thức hóa lịch trình những nội dung đã nêu

• Lịch xem xét tiếp theo: ngày/tháng/năm

…

…

...

...

...

Các nguồn lực: Đào tạo

Cấp phòng ban

Cung cấp các thành phần quản lý rủi ro cho tất cả đào tạo

• Tiếp nhận chỉ dẫn

• Thiết kế nội dung đào tạo

• Đào tạo giảng viên

• Thiết kế: Hợp tác quản lý rủi ro

• Triển khai: Quản lý rủi ro tại các bộ phận

• Lần xem xét tiếp ngày/tháng/năm

...

...

...

• Chất lượng: Báo cáo và đánh giá việc đào tạo

…

Tổ chức cũng cần thiết lập các chỉ số về kết quả thực hiện có liên quan đến các mục tiêu của mình nhằm đưa ra biểu hiện về tính hiệu lực của khuôn khổ chung đối với hiện trạng rủi ro đang được quản lý. Các chỉ số về kết quả thực hiện, đôi khi được gọi chung là các chỉ số đầu ra chẳng hạn:

- sự cố, tai nạn và những lần thoát nạn;

- thiệt hại thực tế;

- những việc ngoài ý muốn, không như dự định;

- khiếu nại của khách hàng;

- món nợ lớn;

- tình trạng sẵn sàng của hệ thống;

...

...

...

- mức độ mà theo đó các mục tiêu quản lý rủi ro hiện được đáp ứng.

D.2.4 Đánh giá xem liệu các đặc điểm và bối cảnh của tổ chức đã thay đổi

Xác định xem liệu bối cảnh nội bộ hay bên ngoài của tổ chức đã có sự thay đổi hiện hữu hay về kinh nghiệm thực tế kể từ khi khuôn khổ quản lý rủi ro đã được xây dựng hoặc được sửa đổi.

Hỗ trợ thực tế

Các đặc trưng nội bộ có thể đã có sự thay đổi bao gồm:

- cơ cấu;

- thực tiễn và các yêu cầu quản trị;

- các chính sách, tiêu chuẩn và các mô hình nội bộ;

- các yêu cầu của hợp đồng;

...

...

...

- khả năng và các nguồn lực (ví dụ như nguồn vốn và tài chính có tiếng tăm, thời gian, con người, các quá trình, các hệ thống và công nghệ);

- trí thức, các kỹ năng và sở hữu trí tuệ;

- các hệ thống và các dòng thông tin;

- hành vi ứng xử xã hội, môi trường, văn hóa;

- những vấn đề và các nhiệm vụ có tính ưu tiên có thể được nhận thức để cạnh tranh với những ý định của tổ chức trong quản lý rủi ro.

Các chỉ số quan trọng là các chỉ số có thể giúp chỉ ra những thay đổi và bối cảnh bên ngoài, thường được thấy trong các báo cáo và nghiên cứu, phản ánh những thay đổi và xu hướng trong ngành công nghiệp, trong đó tổ chức đang hoạt động.

Các ví dụ bao gồm:

- giá cả hàng hóa, lãi suất ngân hàng, lãi suất trái phiếu, tỷ giá hối đoái, chỉ số thị trường chứng khoán, chỉ số giá tiêu dùng (xu thế);

- các chỉ số xu thế khác;

...

...

...

- quy mô thị trường và các chỉ số tăng trưởng, những thay đổi đột ngột về khối lượng đơn hàng;

- tình trạng ổn định chính trị và xã hội, tình trạng bất mãn hay tán đồng của xã hội;

Nếu bối cảnh tổ chức đã thay đổi kể từ khi khuôn khổ quản lý rủi ro được xây dựng, khuôn khổ quản lý rủi ro này cần được đánh giá và sắp xếp lại theo cách có tính đến những thay đổi này.

Mục đích của hoạt động này là để xác nhận rằng khuôn khổ và các quá trình là phù hợp và nhất quán với các mục tiêu, với các vấn đề được ưu tiên của tổ chức.

Từ việc xem xét, tổ chức có thể cần thay đổi những nguyên tắc cơ bản của nó.

VÍ DỤ 1: Một sự thay đổi trong cơ cấu của một tổ chức có thể đòi hỏi một số việc cần nhìn nhận lại chính sách quản lý rủi ro và phân bổ lại trách nhiệm, nguồn lực cho phép rủi ro tiếp tục được quản lý một cách hiệu lực. Nếu tổ chức đã mở rộng quy mô, ví dụ do sáp nhập hoặc mua lại, cân cân nhắc tình trạng đáp ứng đầy đủ tiếp theo của nguồn lực quản lý rủi ro cũng như sẽ phân tích cẩn thận bất kỳ sự khác biệt giữa các tổ chức trong cách tiếp cận để quản lý rủi ro. Đây có thể là sự cần thiết để triển khai một kế hoạch chuyển tiếp việc áp dụng bất kỳ thay đổi phát sinh nhờ việc phân tích.

VÍ DỤ 2: Nếu các yêu cầu pháp lý mới đã có hiệu lực, các khía cạnh của khuôn khổ có liên quan đến trách nhiệm, đào tạo và việc nắm giữ thông tin hay báo cáo có thể cũng cần sửa đổi hoặc mở rộng.

D.2.5 Xem xét khuôn khổ

Khi việc đánh giá các đặc điểm và bối cảnh bên ngoài đã được thực hiện xong, cần tiến hành một cuộc xem xét toàn diện hơn về hệ thống này để xác định xem:

...

...

...

b) Khuôn khổ quản lý và các quá trình được nêu hiện đang được tuân thủ như dự định;

c) Mức rủi ro nằm trong phạm vi tiêu chí;

d) Các mục tiêu cốt lõi của tổ chức đang tạo được ảnh hưởng tích cực tới việc quản lý rủi ro;

e) Các bên liên quan đều nhận được báo cáo đầy đủ để giúp họ có thể thể thể hiện vai trò và trách nhiệm của mình trong cơ cấu quản trị;

f) Mọi người trong toàn tổ chức có đầy đủ kỹ năng, kiến thức và năng lực để thực hiện trách nhiệm của họ đúng như chúng đã được xác định;

g) Các nguồn lực quản lý rủi ro là khá đầy đủ;

h) Những bài học đã được rút ra từ kết quả thực tế đã xảy ra, bao gồm cả tổn thất, những lần thoát nạn cũng như các cơ hội;

i) Các mục tiêu đặt ra cho quản lý rủi ro hiện đang đạt được.

Nên có một lịch trình xem xét thường xuyên được đồng thuận để có khả năng tiến hành các cuộc xem xét nếu như có sự thay đổi hoàn cảnh, ví dụ khi những hậu quả của các rủi ro là bất ngờ hoặc nghiêm trọng.

...

...

...

- báo cáo tổng thể về kết quả hoạt động của khuôn khổ quản lý rủi ro;

- báo cáo về tiến độ thực hiện kế hoạch quản lý rủi ro (bao gồm phân tích về bất kỳ sự chậm trễ trong việc thực hiện);

- báo cáo nêu rõ tình trạng tiến triển của tổ chức liên quan đến thực hành tốt nhất;

- các khuyến nghị về những thay đổi cần thiết để cải tiến quản lý rủi ro và tính hiệu lực của nó trong tổ chức;

- cập nhật chính sách, mục tiêu và kế hoạch quản lý rủi ro khi cần thiết;

- cập nhật các mô tả về bối cảnh trong đó tổ chức đang hoạt động, khi thích hợp;

- báo cáo về các xu hướng các chỉ số rủi ro chính;

- kế hoạch hành động gắn liền với các thay đổi cần thiết để đáp ứng các mục tiêu quản lý rủi ro.

D.3 Theo dõi và xem xét quá trình

...

...

...

Mục đích của việc theo dõi và xem xét quá trình quản lý rủi ro là để đảm bảo rằng nó:

- thích hợp cho hoạt động sản xuất kinh doanh;

- đang được tiến hành theo kế hoạch.

Những rủi ro mà việc kiểm soát và xử lý cơ bản của chúng có thể thay đổi theo thời gian thì những người có trách nhiệm trong việc quản lý rủi ro cần phải nhận thức được các tác động của những thay đổi này. Thất bại trong việc xử lý có thể làm cho rủi ro này trở nên không chấp nhận được. Hơn nữa nên tiến hành thêm những hoạt động kiểm soát mà mục đích của chúng là để cải biên những rủi ro có thể thay đổi theo nghĩa thích tạo sự thích hợp và hiệu quả, như vậy, nếu không được theo dõi hay xem xét, những rủi ro không thể duy trì trong các tiêu chí rủi ro chấp nhận của tổ chức và tổ chức có thể không có một sự hiểu biết hiện tại về rủi ro của mình.

Kết quả theo dõi và xem xét sẽ được phản hồi lại cho giai đoạn thiết lập ngữ cảnh, cung cấp cơ sở cho việc đánh giá rủi ro mới, đáp ứng đầy đủ bản chất tự nhiên về tính chu kỳ và năng động của quá trình quản lý rủi ro và thiết kế cơ cấu quản lý rủi ro.

D.3.2 Trách nhiệm giải trình

Theo dõi là một phần không thể thiếu trong quản lý. Các hoạt động kiểm soát rủi ro phải được giao cho những người liên quan, họ có trách nhiệm theo dõi chúng. Trách nhiệm này phải được ghi lại trong vai trò, trong bản mô tả vị trí.

Phạm vi các lĩnh vực chính của tổ chức, theo cách xem xét chính thức của người lao động, ví dụ như về tài chính, các bên liên quan, hiệu quả nội bộ, các mục tiêu học tập và phát triển của các mục tiêu nội bộ hiện đang được xem xét. Những kết quả thực hiện so với cùng một tập hợp các chỉ số có thể đo được ở tất cả các cấp của tổ chức và sau đó được báo cáo một cách phù hợp.

Các phương án xử lý rủi ro cũng cần được theo dõi để đảm bảo rằng tiến trình đang được thực hiện và các hành động được hoàn thành đúng thời hạn.

...

...

...

Các tổ chức nên học hỏi từ chính các kết quả thực tế. Những kết quả này phải bao gồm cả các tổn thất, những sự vụ suýt xảy ra, những sự không phù hợp và các cơ hội đã được xác định trước, đã xảy ra, nhưng vẫn chưa được xử lý.

Các điểm cần được cân nhắc theo cách xem xét này bao gồm:

- chuyện gì đả xảy ra;

- làm thế nào và tại sao kết quả lại xảy ra như vậy;

- liệu có bất kỳ giả định cần nào phải được xem xét như là một kết quả của đầu ra;

- hành động đã được thực hiện (nếu có) để phản hồi;

- khả năng để điều đó lại xảy ra;

- bất kỳ sự phản hồi hay các bước bổ sung cần được thực hiện;

- những điểm đúc rút, học hỏi chính và ai là người cần được truyền đạt.

...

...

...

D.3.4.1 Những cách tiếp cận điển hình để theo dõi bao gồm những điều sau đây

a) Chủ sở hữu rủi ro có thể rà soát môi trường để theo dõi những thay đổi về ngữ cảnh. Tần suất của hoạt động này sẽ phụ thuộc vào mức độ rủi ro và sự năng động của những thay đổi về ngữ cảnh. Trong một số trường hợp, báo cáo riêng, ngoại lệ về các chỉ số có thể là đủ. Chủ sở hữu rủi ro so sánh các yếu tố bên ngoài hoặc nội bộ có liên quan so với các tuyên bố của ngữ cảnh để xác định xem liệu có sự thay đổi hiện hữu nào đó đã xảy ra. Điều này có thể bao gồm việc thông tin và tham khảo định kỳ ý kiến các bên liên quan để xác định xem liệu quan điểm, mục tiêu của họ đã có gì thay đổi.

b) Các chủ rủi ro cũng nên theo dõi các phương án xử lý rủi ro đối với các hành động và phản hồi kịp thời khi có những thay đổi về môi trường.

c) Những người được giao nhiệm vụ kiểm soát phải có trách nhiệm kiểm soát mang tính theo dõi đối với những gì đã được giao cho họ, trong đó có thể bao gồm kiểm tra định kỳ hoặc theo dõi liên tục. Vì quản lý rủi ro hiệu quả nhất khi nó được tích hợp hoàn toàn với việc ra quyết định thông thường và với hệ thống quản lý của tổ chức, nên kết quả thực hiện quản lý hoạt động của tổ chức phải được sử dụng để theo dõi rủi ro và hiệu quả của quá trình quản lý rủi ro. Các chỉ số về kết quả thực hiện cần phản ánh phạm vi của các mục tiêu trọng điểm của tổ chức vốn đã được xác định ở ngay giai đoạn đầu của quá trình khi xác lập ngữ cảnh của tổ chức. Những chỉ số này cũng có thể được phát triển theo cách có liên quan đến các rủi ro cũng như cách kiểm soát cụ thể, cách áp dụng chúng vào quá trình quản lý rủi ro.

CHÚ THÍCH: Trong tự như trường hợp với các rủi ro, phải lưu ý rằng, các hoạt động kiểm soát cũng phải được gắn cho những người chịu trách nhiệm đối với hoạt động của họ. Thông thường, chủ sở hữu việc kiểm soát hay người thao tác là người thực hiện việc kiểm soát theo nề nếp thường ngày nhưng cũng có thể là một ai đó, khác với chủ sở hữu rủi ro. Điều này không ảnh hưởng đến trách nhiệm chung của chủ sở hữu rủi ro trong việc phải điều chỉnh một cách thích hợp rủi ro đó, trong trách nhiệm thiết kế, triển khai, ứng dụng, theo dõi, đánh giá các hoạt động kiểm soát tương ứng.

D.3.4.2 Các chỉ số kết quả thực hiện có thể đo được các kết quả (ví dụ như các tổn thất hoặc các khoản thu được cụ thể) hoặc các quá trình (ví dụ như việc hoàn thành kịp thời các phương án xử lý rủi ro). Bình thường, có thể sử dụng hỗn hợp các chỉ số, ngoại trừ khi các chỉ số về kết quả đầu ra được dùng để biểu thị kết quả của sự suy giảm đáng kể do những thay đổi mà những thay đổi đó làm cho các hệ số này tăng lên. Do vậy, trong một môi trường có sự thay đổi cao, việc sử dụng các chỉ số quá trình (như các chỉ số quan trọng) thường hữu ích hơn.

Trong việc lựa chọn các chỉ số kết quả thực hiện, điều quan trọng là phải kiểm tra xem:

- chúng phải đo được;

- việc sử dụng chúng là có hiệu quả xét theo nghĩa đòi hỏi về thời gian, công sức và nguồn lực;

...

...

...

- những người tham gia hiểu quá trình và những lợi ích mong đợi và có cơ hội cung cấp được thông tin đầu vào để thiết lập các chỉ số;

- các kết quả được ghi lại và kết quả thực hiện được phân tích và báo cáo theo một hình thức cho phép tạo điều kiện học tập và cải thiện toàn bộ tổ chức.

D.3.4.3 Khi áp dụng việc quản lý kết quả thực hiện cho quá trình quản lý rủi ro, cần lưu ý rằng:

- việc đo lường hiệu quả kết quả thực hiện đòi hỏi phải có nguồn lực, nguồn lực này cần được xác định và phân bố như là một phần của việc phát triển của các chỉ số về kết quả thực hiện;

- một số hoạt động quản lý rủi ro có thể khó đo lường được, nhưng không vì thế mà chúng kém quan trọng. Trong những trường hợp này, nên sử dụng các chỉ số thay thế, ví dụ: các nguồn lực dành cho các hoạt động quản lý rủi ro có thể là một thước đo thay thế cho cam kết để quản lý rủi ro hiệu quả;

- bất kỳ sự biến động, sai khác giữa dữ liệu đo các chỉ số kết quả hoạt động và cảm nhận bản năng đều quan trọng và cần được điều tra, ví dụ: nếu người lãnh đạo vẫn thấy quan ngại rằng những rủi ro không được quản lý đúng cách, mặc dù các đánh giá rủi ro dạng con số cho thấy các mức độ rủi ro là thấp, thì những mối quan ngại này cần được điều tra và không để bị bỏ qua.

- thường thì sự suy giảm đột ngột về chỉ số sẽ luôn gây sự chú ý, điều này cũng phải được áp dụng như đối với sự suy giảm chỉ số về mức độ tiến triển, cụ thể, ta phải theo dõi và phân tích về xu hướng chỉ số hoạt động.

D.3.5 Xem xét

Lãnh đạo cần định kỳ xem xét các quá trình, các hệ thống và các hoạt động để đảm bảo rằng:

...

...

...

b) Các hoạt động kiểm soát, phương pháp xử lý rủi ro vẫn còn phù hợp và hiệu quả.

Những cuộc xem xét như vậy nên được lập thành kế hoạch (xem chương trình và cách tiếp cận đánh giá dựa trên rủi ro và làm thế nào để lựa chọn những người xem xét, như được nêu trong TCVN ISO 19011).

Những cuộc xem xét này có thể sử dụng các kỹ thuật tương tự như theo dõi thực tế đang diễn ra, nhưng nếu chúng được thực hiện bởi một người không trực tiếp tham gia vào các hoạt động của các quá trình, thì chúng có thể cung cấp những phân tích khách quan hơn. Tần suất xem xét có thể bị ảnh hưởng bởi mức độ rủi ro, bởi chu kỳ lập kế hoạch kinh doanh, bởi sự năng động trong môi trường/bối cảnh, hoặc bởi một cuộc họp của bộ phận quản trị có trách nhiệm theo dõi các rủi ro và quản lý rủi ro.

Nếu phát hiện các vấn đề, tổ chức nên xem xét chúng đã xuất hiện như thế nào và tại sao, trước đây chúng không được phát hiện.

Các hoạt động kiểm soát phải được đảm bảo thông qua các hành động của các nhà quản lý có trách nhiệm (các chủ rủi ro) vốn được xem như là một phần của các công việc và các vai trò bình thường của họ. Việc chỉ rõ những hoạt động kiểm soát cụ thể để kiểm soát các chủ rủi ro sẽ thúc đẩy việc áp dụng các hoạt động kiểm soát, nhưng để đảm bảo tính hiệu lực, những chủ sở hữu đó cần được đào tạo kiến thức về kiểm soát sự đảm bảo của các quá trình.

Khi những sự thay đổi trong tổ chức đã được lập kế hoạch, hoặc khi những thay đổi bên ngoài đã được phát hiện, có thể dẫn đến những thay đổi trong:

- môi trường bên ngoài hoặc bên trong hoặc đối với các bên liên quan và quan điểm của họ;

- bối cảnh quản lý rủi ro, các mục tiêu của tổ chức và các tiêu chí rủi ro của nó;

- các rủi ro và các mức độ rủi ro;

...

...

...

- ảnh hưởng và hiệu lực của hoạt động kiểm soát.

Vì lý do này, khi xây dựng hoặc sửa đổi các kế hoạch kinh doanh hay các phương án chiến lược, điều tối cần thiết đối với các tổ chức là phải xem xét các rủi ro, các phương pháp xử lý, các hoạt động kiểm soát rủi ro của mình. Ngoài ra, do các phương án kinh doanh và kế hoạch chiến lược có thể tạo ra hoặc buộc điều chỉnh các mục tiêu của một tổ chức, nên sẽ rất hữu ích nếu ta sử dụng quá trình đánh giá rủi ro như phép kiểm chứng về tính chắc chắc của các phương án dự thảo để đảm bảo các mục tiêu dự kiến là đạt được, và cũng để xác định biện pháp xử lý rủi ro cần thiết nhằm đảm bảo kết quả thành công. Những người thực hiện quá trình quản lý rủi ro cũng nên thường xuyên xem xét kinh nghiệm, các đầu ra, các kết quả của họ để xác định các cơ hội cải tiến.

Phụ lục E

(tham khảo)

Tích hợp quản lý rủi ro trong một hệ thống quản lý

E.1 Khái quát

Quản lý rủi ro là một phần không tách rời của hệ thống quản lý của một tổ chức. TCVN ISO 31000 hướng dẫn các tổ chức xây dựng, thực hiện và cải tiến liên tục một khuôn khổ quản lý mà mục đích của nó là để tích hợp quản lý rủi ro vào hệ thống quản lý của tổ chức (bao gồm quản trị và chiến lược).

Đặc biệt, sự tích hợp cần đảm bảo rằng, thông tin về rủi ro được sử dụng như là cơ sở cho việc ra quyết định ở tất cả các cấp của tổ chức. Những người và các bộ phận cụ thể thực hiện quản lý rủi ro hàng ngày phải được cân nhắc như là một phần trong cách để họ đưa ra các quyết định. Quản lý rủi ro đã được tích hợp một cách tự nhiên trong tất cả những gì chúng tôi làm trước khi chúng tôi quyết định làm một cái gì đó. Dù chỉ một số người làm tốt hơn những người khác về điều đó, nhưng tất cả có thể cải thiện chất lượng quản lý rủi ro và cải thiện việc ra quyết định, dẫn đến sự cải thiện trong việc đạt được các mục tiêu và sự tin cậy nhờ đó cũng được nâng lên. Nếu mục đích của việc quản lý rủi ro tích hợp là để gia tăng giá trị, nó xác định một cách logic các phương thức chấp nhận tạo được ảnh hưởng đến những gì đã diễn ra và thúc đẩy, cải thiện nó, chứ không phải thay thế nó bằng một cái gì đó khác đi. Nó không có tác dụng bổ sung hoặc ép buộc một cái gì đó khác lạ vào những gì sẽ thực sự phải diễn ra một cách tự nhiên của chức năng ra quyết định.

...

...

...

Phụ lục này cung cấp một số ví dụ thực tế về việc quản lý rủi ro có thể được tích hợp như thế nào vào (các) hệ thống quản lý hiện hành.

E.2 Hệ thống quản lý là gì?

Tất cả các tổ chức đều sử dụng một số loại hệ thống quản lý. Trong thời gian gần đây, các hệ thống quản lý đã được chuyển hóa thành dạng chính tắc gắn liền với các yêu cầu đã được tạo ra, cung cấp một khuôn khổ quản lý trong đó một tổ chức có thể thiết lập các biện pháp và các quá trình quản lý để chỉ đạo và kiểm soát các hoạt động của nó. Nhiều tiêu chuẩn quốc tế đề cập tới các hệ thống quản lý nói chung hay có liên quan tới những nội dung cụ thể.

Một hệ thống quản lý là một tập hợp các yếu tố liên quan hay tương tác lẫn nhau của một tổ chức để thiết lập các chính sách, các mục tiêu, cũng như các quá trình để đạt được những mục tiêu đó. Với góc độ quản lý kinh doanh, nhờ có một hệ thống quản lý hay hệ thống quản lý tích hợp, ta sẽ thu được hiệu quả.

Ví dụ, quản lý chất lượng như được nêu trong TCVN ISO 9001 đề cập một cách tiếp cận rộng lớn hướng tới sự hài lòng của khách hàng, trong khi quản lý rủi ro lại đề cập tới những tác động của sự không chắc chắn đối với các mục tiêu vốn có thể không chỉ liên quan đến khách hàng mà còn đối với cả hàng loạt các bên liên quan khác. Nhiều tổ chức đã áp dụng hệ thống quản lý chất lượng dựa trên các yêu cầu của TCVN ISO 9001, và quản lý rủi ro có thể được tích hợp trong các hệ thống quản lý như vậy, tạo ra sự phối hợp hài hòa và tránh trùng lặp

E.3 Hệ thống quản lý được tích hợp và quản lý rủi ro

Tích hợp việc quản lý rủi ro với các quá trình kinh doanh cốt lõi cũng giống như mọi nhu cầu để tạo ra sự tương tác giữa tất cả các cách tiếp cận hệ thống quản lý, ví dụ như quản lý chất lượng, quản lý môi trường, quản lý an toàn, quản lý an ninh, quản lý sự tuân thủ luật pháp, quản lý tài chính và báo cáo tài chính, và thậm chí cả với quản lý bảo hiểm liên quan tới các sự kiện về việc phải chuyển trả về tài chính cho các tổ chức khác.

Các hệ thống quản lý tách biệt này cần tạo nên một hệ thống quản lý tích hợp, dựa trên các chính sách và chiến lược của mỗi một tổ chức. Ngay cả khi một tổ chức có các hệ thống quản lý tách biệt để quản lý các rủi ro rất cụ thể thì khuôn khổ quản lý để quản lý rủi ro cũng nên mở rộng để có bao hàm hoặc được kết hợp với các hệ thống khác của nó.

Cách tiếp cận quản lý rủi ro bao hàm dọc toàn bộ tổ chức có thể:

...

...

...

b) Tạo khả năng để mọi rủi ro trong hệ thống quản lý tích hợp sẽ được xử lý theo các nguyên tắc và hướng dẫn của TCVN ISO 31000.

Cách tiếp cận này có thể liên quan đến những điều sau đây:

- đưa vào hệ thống quản lý chất lượng việc áp dụng các kỹ thuật quản lý rủi ro có liên quan đến sản phẩm chính yếu, liên quan quản lý rủi ro dự án;

- đối phó với những sự bất ổn trong quản lý môi trường, ví dụ như cố và tai nạn tiềm ẩn tại các cơ sở liên quan độc hại, vấn đề xử lý vật liệu và chất nguy hại;

- xử lý các rủi ro kết hợp với các hoạt động như an toàn tại nơi làm việc;

- xử lý, kiểm soát các rủi ro an ninh, ví dụ hành vi bạo lực đối với các tổ chức hoặc các nhân viên hay khách hàng của mình;

- xử lý các rủi ro an ninh trong công nghệ thông tin (CNTT), ví dụ như các tác nghiệp làm CNTT bị sập, mất dữ liệu, vi phạm bảo mật và đảm bảo tính liên tục kinh doanh;

- quản lý các rủi ro liên quan tính liên tục kinh doanh nhằm đảm bảo sự chuẩn bị, phản ứng nhanh chóng đối với các sự kiện gây gián đoạn;

- thiết lập các hoạt động kiểm soát để bảo vệ tài sản vật chất của tổ chức, để đảm bảo báo cáo chính xác, để đảm bảo tuân thủ các yêu cầu pháp lý, hoặc để quản lý các rủi ro có khả năng được bảo hiểm theo cách giảm thiểu các phí bảo hiểm.

...

...

...

E.4.1 Khái quát

Quá trình quản lý rủi ro cần được lồng ghép vào các quá trình ra quyết định của một tổ chức, bất kể mức độ và chức năng mà tại đó những quyết định này được đưa ra.

E.4.2 Xác định và nhận thức về nắm bắt, hiểu quyết định

Các phương pháp sau đây giúp nhận biết được khi nào và ở đâu các quyết định được nêu ra theo chu kỳ Lập kế hoạch - Thực hiện - Kiểm tra - Hành động (PDCA).

a) Xác định tất cả các hình thức về những thực tế ra quyết định đã được chính thức hóa và thực tế đã tồn tại trong tổ chức.

b) Trong các tổ chức lớn, thường có nhiều thủ tục đòi hỏi những sự chấp thuận chính thức cho một loạt các quyết định, ví dụ như phê duyệt các kế hoạch chiến lược hàng năm, hạn mức vốn, thuê tuyển nhân viên mới, sửa đổi các cách kiểm soát quá trình, bố trí việc đi lại của nhân viên.

c) Sử dụng lưu đồ, hoặc một số kỹ thuật khác, để lập sơ đồ mô tả sát thực về trình tự và các quy tắc thực hành chính của việc ra quyết định hiện được áp dụng cho cả các dự án cụ thể và tất cả các khía cạnh của hoạt động kinh doanh. Điều này có thể được cân nhắc trên cơ sở bộ phận hoặc chức năng và nên mở rộng cho cả việc ra quyết định về quản trị và quản lý. Nếu có những hoạt động đang được quản lý bởi việc áp dụng một hệ thống quản lý đã được chính thức hóa (ví dụ như quản lý chất lượng qua áp dụng TCVN ISO 9001), những điểm quyết định trong các hệ thống như vậy sẽ tạo thành một phần của việc phân tích này. Tương tự như vậy, nếu tổ chức có bất kỳ hình thức nào về ủy nhiệm ra quyết định, những nhiệm vụ như vậy cũng nên được đưa vào phân tích. Kết quả cuối cùng sẽ có một bức tranh mạch lạc, được văn bản hóa về việc các quyết định được ban hành ở đâu, do ai nêu và các quá trình hiện đang sử dụng đối với các quyết định như vậy.

Việc kết hợp các kỹ thuật nói trên sẽ tạo ra một mức độ cao về nhận thức của cá nhân lẫn cả tổ chức trong việc ra quyết định.

E.4.3 Đánh giá rủi ro

...

...

...

Để đánh giá rủi ro các quyết định tác nghiệp, những hình thức đơn giản đã được tiêu chuẩn hóa của quá trình quản lý rủi ro có thể được những nhân viên tham gia phát triển để sử dụng. Những phương pháp này đặc biệt thích hợp trong tình huống mà mọi người làm việc mà không có sự theo dõi trực tiếp. Một thành phần quan trọng của các phương pháp này là nó tạo ra những nhận thức về các giả định như là đầu vào cho các quyết định. Theo định nghĩa, các giả định là một nguồn gốc của sự không chắc chắn.

Các quá trình chuẩn hóa như vậy có thể được cụ thể đối với một hình thức liên quan đến việc ra quyết định, đối với một nhóm người cụ thể thực hiện một nhiệm vụ cụ thể, và đối với bối cảnh điển hình mà trong đó những vấn đề trên xảy ra. Các hệ thống đơn giản có thể được biên soạn/ hệ thống hóa thành sổ tay bỏ túi hay bản hướng dẫn dạng danh mục kiểm tra và được tất cả những người tham gia trong loại hình công việc để thực hiện.

E.4.4 Những gợi ý cho khuôn khổ quản lý rủi ro

Việc áp dụng các kỹ thuật được mô tả trong điều khoản này sẽ đòi hỏi một số hạng mục và sự điều chỉnh thích hợp đối với khuôn khổ quản lý rủi ro, ví dụ:

- sửa đổi các chính sách quản lý rủi ro của tổ chức;

- sắp xếp để tiến hành việc điều tra ban đầu và lập bản đồ thực hành ra quyết định;

- tiến hành sửa đổi đối với các sổ tay dạng quy trình;

- đào tạo cán bộ quản lý và nhân viên;

- đào tạo cụ thể cho những người có công việc phải được thực hiện phù hợp với một hệ thống quản lý cụ thể. (ví dụ như những nguồn có liên quan tới những dạng đặc biệt về rủi ro);

...

...

...

- trao đổi thông tin nội bộ và tham vấn hiệu quả.

THƯ MỤC TÀI LIỆU THAM KHẢO

[1] TCVN ISO 9000 (ISO 9000), Hệ thống quản lý chất lượng - Thuật ngữ và định nghĩa.

[2] TCVN ISO 9001 (ISO 9001), Hệ thống quản lý chất lượng - Các yêu cầu.

[3] TCVN ISO 19011 (ISO 19011), Hướng dẫn đánh giá hệ thống quản lý.

[4] TCVN 9788:2013 (ISO Guide 73:2009), Quản lý rủi ro - Từ vựng.

[5] TCVN ISO/IEC 31010 (IEC 31010), Quản lý rủi ro- Kỹ thuật đánh giá rủi ro.

...

...

...

Lời nói đầu

Lời giới thiệu

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

3  Áp dụng TCVN ISO 31000

3.1  Khái quát

3.2  Cách thức áp dụng TCVN ISO 31000

3.3  Tích hợp TCVN ISO 31000 vào các quá trình quản lý của tổ chức

3.4  Cải tiến liên tục

...

...

...

Phụ lục B (tham khảo) Áp dụng các nguyên tắc của TCVN ISO 31000

Phụ lục C (tham khảo) Thể hiện nhiệm vụ và cam kết

Phụ lục D (tham khảo) Theo dõi và xem xét

Phụ lục E (tham khảo) Tích hợp quản lý rủi ro trong một hệ thống quản lý

Thư mục tài liệu tham khảo