Từ khoá: Số Hiệu, Tiêu đề hoặc Nội dung ngắn gọn của Văn Bản...

Đăng nhập

Đang tải văn bản...

Tiêu chuẩn quốc gia TCVN ISO/TR 31004:2015 về Quản lý rủi ro - Hướng dẫn áp dụng TCVN ISO 31000

Số hiệu: TCVNISO/TR31004:2015 Loại văn bản: Tiêu chuẩn Việt Nam
Nơi ban hành: *** Người ký: ***
Ngày ban hành: Năm 2015 Ngày hiệu lực:
ICS:03.100.01 Tình trạng: Đã biết

a) Quản lý rủi ro tạo ra và bảo vệ giá trị

Quản lý rủi ro góp phần vào việc đạt được mục tiêu và cải tiến việc thực hiện, như an toàn và sức khỏe con người, an ninh, tuân thủ luật định và chế định, sự chấp nhận của công chúng, bảo vệ môi trường, chất lượng sản phẩm, quản lý dự án, hiệu quả hoạt động, qun trị và uy tín.

B.2.1.2  Áp dụng nguyên tắc

Mục đích của quản lý rủi ro là tạo ra và bảo vệ các giá trị bằng cách giúp cho tổ chức đạt được các mục tiêu của mình. Nguyên tắc này giúp cho tổ chức xác định và xử lý các yếu tố cả bên trong hoặc bên ngoài của nó làm phát sinh và gia tăng sự không chắc chắn liên quan đến các mục tiêu của mình.

Mối liên hệ giữa tính hiệu lực của quản lý rủi ro và cách để nó góp phần vào sự thành công của tổ chức phải được chứng minh và truyn đạt rõ ràng. Nguyên tắc này nêu rõ, không nên quản lý rủi ro vì lợi ích riêng của mình mà phải quản lý rủi ro sao cho các mục tu s đạt được mà kết quả thực hiện lại được nâng cao.

Có những thuộc tính và các đại lượng khó đo trực tiếp (ví dụ như đo bằng tin), nhưng chúng cũng đóng góp mạnh mẽ cho kết quả thực hiện, cho uy tín và việc tuân th pháp luật. Các giá trị về con người, xã hội và sinh thái đặc biệt quan trọng trong việc quản lý an ninh, an toàn và các rủi ro liên quan đến việc tuân thủ, hay tương tự, các rủi ro có liên quan tới tài sản vô hình, chính vì vậy, cn tạo ra đại lượng có thể được biểu đạt nhờ sử dụng các mô tả định tính chứ không phải là nhờ các thưc đo định lượng.

B.2.2 Quản lý rủi ro là một phần không tách rời của tất cả các quá trình của tổ chức

B.2.2.1 Nguyên tắc

b) Quản lý rủi ro là một phần không tách rời của tất c các quá trình của tổ chức

Quản lý rủi ro không phải là một hoạt động độc lập, tách biệt với các hoạt động và quá trình chính của tổ chức. Quản lý rủi ro là một phần trong trách nhiệm quản lý và là phần không thể thiếu trong tất cả các quá trình của t chức, bao gồm các quá trình hoạch đnh chiến lược, tất cả các dự án và quản lý thay đổi.

B.2.2.2 Áp dụng nguyên tắc

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Tất cả các hoạt động và quá trình của tổ chức diễn ra dù trong môi trường bên trong và bên ngoài, thì đều có sự không chắc chắn. Nó liên quan các nội dung sau:

a) Khuôn khổ qun lý rủi ro cần phải được thực hiện bằng cách kết hợp các thành phn của nó vào hệ thống quản lý và ra quyết định chung của tổ chức, cho dù hệ thng là chính thức hay không chính thức; các quá trình quản lý hiện tại có thể được cải thiện bằng cách tham khảo TCVN ISO 31000;

b) Quá trình quản lý rủi ro là một phần gắn lin của các hoạt động tạo ra rủi ro; nếu không, tổ chức s thấy sự cần thiết để điều chỉnh quyết định sau đó khi hiểu được các rủi ro liên quan;

c) Nếu chưa có một hệ thống quản lý chính thức, có thể áp dụng khuôn khổ quản lý rủi ro để sử dụng cho mục đích này.

Nếu việc quản lý rủi ro không được tích hợp vào các hoạt động và các quá trình quản lý, nó có thể được coi là một nhiệm vụ bổ sung mang tính quản trị, hoặc xem như một công việc điều hành của văn phòng chứ không phải dạng công việc tạo ra hoặc bảo vệ giá trị.

Có hai phương pháp chính để áp dụng các nguyên tắc như nêu dưới đây:

- Đưa vào giai đoạn lập khuôn khổ quản lý rủi ro (bao gồm c việc duy trì và cải tiến).

- Đưa vào việc áp dụng các quá trình quản lý rủi ro để ra quyết định và các hoạt động liên quan.

Phương pháp biểu th ý định của tổ chức về quản lý rủi ro cần được nêu tương tự như cách mà nó thể hiện những ý định khác của tổ chức (ví dụ nhiệm vụ và cam kết) (xem Phụ lục C). Bt cứ khi nào có thể, các thành phn khác của khuôn khổ quản lý rủi ro cần được lồng ghép vào các thành phần của các h thống quản lý hiện có (Chỉ dẫn chi tiết hơn có thể xem trong Phụ lục F và trong TCVN ISO 31000).

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

B.2.3 Quản lý rủi ro là một phần của việc ra quyết định.

B.2.3.1 Nguyên tc

c) Quản lý rủi ro là một phần của việc ra quyết định

Quản lý rủi ro giúp những người ra quyết định đưa ra những lựa chọn sáng suốt, hành động ưu tiên và phân biệt giữa các kế hoạch hành động thay thế.

B.2.3.2  Áp dụng ngun tắc

Nguyên tắc này nêu rằng, quản lý rủi ro cung cấp nền tng cho việc ra quyết định đúng đắn. Quản lý rủi ro cn được lồng ghép vào các hoạt động hỗ trợ cho việc đạt được các mục tiêu và quá trình ra quyết định. Quá trình ra quyết định cần được đánh giá một cách nhất quán và khi cần thiết, cả cách xử lý rủi ro. Chấp nhận hay không chấp nhận các quyết định đu liên quan đến rủi ro, và điều quan trọng là hiểu biết về các rủi ro liên quan trong cả hai trường hợp.

Quản lý rủi ro cần phải được áp dụng như là một phần của một quyết định, và phải được thực hiện ngay tại thời điểm ra quyết định (nghĩa là chủ động) chứ không phải sau khi đã có quyết định (tính bị động - đi phó). Ví dụ như:

- Khi ra các quyết định về các vn đ chiến lược cn cân nhắc những bất ổn liên quan đến những thay đổi trong các yếu tố môi trưng, cũng như những thay đổi về các ngun lực của tổ chức;

- Quá trình đổi mới nên được tiến hành trên cơ sở cân nhắc không chỉ về sự không chắc chắn có quyết định sự thành công của việc đổi mới, mà còn cả những rủi ro liên quan đến con người, xã hội, an toàn và các khía cạnh môi trường của sự đi mới, những việc phải xử lý theo yêu cầu của pháp luật dụ như an toàn sn phẩm);

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Chính sách của tổ chức về quản lý rủi ro và cách thức mà nó được truyền đạt cần phản ánh nguyên tắc này.

Khi thiết lập các phần khác của khuôn khổ này ta cũng cần cân nhc cách đưa ra quyết định sao cho quá trình này được áp dụng một cách hiệu quả và nhất quán trong tất cả các bước đưa ra quyết định, ví dụ như quản lý dự án, thẩm định đầu tư, mua sm

Người có trách nhiệm ra quyết định chung trong tổ chức phải hiểu chính sách quản lý rủi ro của tổ chức và phải đáp ứng yêu cầu cụ thể đ có năng lực áp dụng quy trình quản lý rủi ro đối với việc ra quyết định. Điều này s đòi hỏi phải có sự phân định rõ ràng trách nhiệm tại các v trí, việc được hỗ trợ đào tạo kỹ năng và cách xem xét kết quả thực hiện.

Hỗ trợ thực tế:

Đ có tác dụng đối với nguyên tác này, ngay từ đầu; cn xem xét một cách cẩn thận các câu hỏi sau:

- Làm thế nào đ điều này có thể giúp tạo ra và bảo vệ các giá trị? (Nguyên tắc a)

- Các quyết định trong tổ chức được đưa ra như thế nào và từ đâu?

- Ai tham gia vào việc ra quyết định?

- Kiến thức và kỹ năng gì là cần thiết cho những người ra các quyết định và đm bảo việc quản lý rủi ro sẽ là một phần trong việc ra quyết định của họ?

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Những định hướng và sự hỗ trợ nào là cần thiết cho nhân viên hiện có?

- Làm thế nào để các nhân viên mới sẽ được làm quen với phương pháp ra quyết định này ?

- m thế nào đ có thể tác động ti các bên liên quan bên ngoài?

- Quá trình đưa ra quyết định trong tổ chức cn phải thay đổi điều gì?

- Làm thế nào để giám sát sự tiến bộ trong việc áp dụng nguyên tắc này?

B.2.4 Quản lý rủi ro đặc bit chú trọng đến sự không chắc chắn

B.2.4.1 Nguyên tắc

d) Quản lý rủi ro đặc biệt chú trọng đến sự không chc chắn

Quản lý rủi ro tính đến sự không chắc chắn, bản chất của sự không chắc chắn và cách thức giải quyết.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Trong các loại hình quản lý, quản lý rủi ro là loại hình quản lý duy nht gắn liền một cách cụ thể tới tác động của sự không chắc chắn đối với các mục tiêu. Rủi ro chỉ có thể được đánh giá hoặc xử lý thành công nếu ta hiểu được bản chất và nguồn gốc của sự không chắc chắn đó.

Mọi hình thức không chắc chắn đu đòi hỏi phải cân nhc, theo dõi và cần được đánh giá đúng, không đánh giá cao hoặc thp hơn.

Chú trọng vào sự không chắc chắn là quan trọng khi lựa chọn những cách xử lý và khi xem xét các tác động và độ tin cậy của việc kiểm soát. Tương tự như vậy, sẽ có những sự không chắc chắn gắn liền với các bước hỗ trợ của quá trình quản lý rủi ro, ví dụ: liệu thông tin đã được chuyển ti thành công khi giao tiếp và tham vn với các bên liên quan, hoặc liệu các khoảng thời gian đã được lựa chọn cho quá trình giám sát là đủ để phát hiện sự thay đổi.

Những người tham gia quản lý rủi ro cần phi nhạy cảm, biết được mức độ quan trọng của sự không chắc chắn, biết các loại hình và nguồn của sự không chắc chắn. S lượng và chủng loại các phương pháp đánh giá rủi ro được sử dụng để giải quyết sự không chắc chắn phi phù hợp và liên quan đến mức quan trọng của quyết định: có thể dùng nhiều phương pháp đa dạng.

Ghi nhận các tình huống giả định khi lập hồ quá trình quản lý rủi ro [TCVN ISO 31000: 2011 (ISO 31000:2009), 5.7]. Các tình huống giả định thường phản ánh một s hình thức của sự không chắc chắn, cũng như bt k sự không chắc chắn rõ ràng đã được phát hiện tại các bưc khác nhau của quá trình.

Khi một rủi ro đang được đánh giá, điều quan trọng là phải xem xét sự không chắc chắn đó sẽ liên quan đến mức độ ước tính nào về khả năng có thể xảy ra được và hệ quả của nó.

Khi phân tích rủi ro và đ xuất các bin pháp xử lý, cần áp dụng những nghiên cứu đủ độ nhạy để hiu rõ ảnh hưởng thực tế của những điều không chắc chắn như vậy.

Hỗ trợ thực tế

- Những người ra quyết định nên thừa nhận thực tế là luôn phải hỏi các giả đnh là gì?”những bt n liên quan đến các giả định này là gì?”. Chỉ dẫn thực hành này không giới hạn cho một dạng xác định khi đánh giá rủi ro, nghĩa là, nó có th áp dụng cho tất cả các giả định.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Nếu sự không chắc chắn cho thấy một giá trị cụ thể đã được biết và chỉ nằm trong phạm vi nhất định thì phải thông báo phạm vi này.

B.2.5 Quản lý rủi ro có tính hệ thống, cấu trúc và kịp thời

B.2.5.1 Nguyên lý

e) Quản lý rủi ro có tính hệ thống, cấu trúc và kp thời

Phương pháp tiếp cận kịp thời, có cu trúc và mang tính hệ thng của quản lý rủi ro tạo ra hiệu quả và các kết quả nhất quán, có thể so sánh được và đáng tin cậy.

B.2.5.2  Áp dụng nguyên tắc

Cách tiếp cận nhất quán đối với tình trạng rủi ro đang được quản lý tại thời điểm ra các quyết định sẽ tạo ra hiệu quả trong một tổ chức, và có thể cung cp các kết quả xác lập nên sự tin cậy và sự thành công. Điều này đòi hỏi những cách thực hiện của tổ chức đó, chẳng hạn cân nhắc các rủi ro liên quan đến tt cả các quyết định, quan tâm việc sử dụng các tiêu chí rủi ro nhất quán, có liên quan đến các mục tiêu của tổ chức cũng như phạm vi các hoạt động của nó.

Cách tiếp cận có xét đến yếu tố thời gian thể hiện rằng, quá trình quản lý rủi ro được áp dụng tại các điểm tối ưu trong quá trình ra quyết đnh. Một phần, điều này phụ thuộc vào việc thiết kế các khuôn khổ thực hiện mà theo đó nguyên tắc này được áp dụng. Nếu việc cân nhắc rủi ro được thực hiện quá sớm hoặc quá muộn, thì hoặc mt các cơ hội, hoặc phải b sung khoản chi phí đáng k cho việc xem xét lại quyết định. Những tình huống có sự phụ thuộc thời gian cần được đánh giá và hiu đ xác định cách quản lý rủi ro hiệu qu nhất.

Cách tiếp cận có xét ti cơ cấu t chức thể hiện rằng việc áp dụng quá trình quản lý rủi ro tuân theo cách mô tả trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 5, bao gồm cả những việc chuẩn b thích hợp cho các hoạt động này. Tùy thuộc vào nhu cầu, phương pháp này cn nhất quán với cách tiếp cận từ trên xuống hay cách tiếp cận từ dưới lên để gắn với đúng cp quản lý tương ứng.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

B.2.6.1 Nguyên tắc

f) Quản lý rủi ro dựa trên những thông tin tốt nhất sẵn có.

Đầu vào cho quá trình quản lý rủi ro dựa trên các nguồn thông tin như dữ liệu quá khứ, kinh nghiệm, phản hồi của các bên liên quan, quan trắc, dự báo và phán đoán của chuyên gia. Tuy nhiên, những người ra quyết định nên tự tìm hiểu, xem xét bất kỳ hạn chế nào về dữ liệu hay mô hình được sử dụng hoặc khả năng bất đồng giữa các chuyên gia.

B.7.6.2 Áp dụng nguyên tắc

Điều quan trọng là phải có được những thông tin hiện có tốt nhất đ có một sự hiểu biết chính xác về mọi rủi ro. Do đó, khuôn khổ quản lý rủi ro cần bao gm các phương pháp (ví dụ nghiên cứu) để thu thập và tạo thông tin. Tuy nhiên, dù có mọi n lực tốt nht, đôi khi, những thông tin có sẵn vn bị hạn chế. Ví dụ: dự đoán những gì sẽ xảy ra trong tương lai thường bị giới hạn đối với việc sử dụng các dữ liệu về thống kê.

Từ các thông tin, ta cn hiểu được độ nhạy của các quyết định đối với bất kỳ sự không chắc chắn nào. Độ tin cậy của đánh giá rủi ro s phụ thuộc một phần vào sự rõ ràng và chính xác của tiêu chí rủi ro. Thu thập dữ liệu có ln quan rủi ro (ví dụ như s xuất hiện của sự cố và các thông tin mang tính kinh nghiệm khác) có thể hỗ trợ nhờ phương pháp đánh giá thống kê.

Mặc dù việc đưa ra quyết định dựa trên bằng chứng là mục tiêu cuối cùng, điều này có thể không phải luôn luôn có thể làm được trong khoảng thời gian xác đnh hoặc với các ngun lực sẵn có. Trong những tình huống như vậy, có thể sử dụng cách đánh giá mang tính chuyên gia, kết hợp với các thông tin hiện có. Tuy nhiên, cn cẩn trọng đ tránh sai lệch dạng nhóm khi áp dụng cách đánh giá như vậy. Hơn thế, bằng chứng của quá khứ có thể không dự đoán chính xác cho tương lai. Trong các tình huống có khả năng hiện diện của những sự kiện có hệ quả rất cao, thì phi cảnh báo khi thấy thông tin không đầy đủ và khi có bằng chứng về tác hại tiềm năng, chứ không phải chờ tới khi có bằng chứng sự thực sự về sự có hại.

Nguyên tắc này cũng được áp dụng cho việc thiết kế (hoặc ci tiến) khuôn khổ quản lý rủi ro, bởi vì sẽ có các khía cạnh của khuôn kh này (ví dụ, đối với những người tiến hành khảo sát năng lực, hoặc những người thu thập, phân tích, cập nhật và tạo thông tin để hỗ trợ việc áp dụng của quá trình) những khía cạnh đó sẽ quyết định nguyên tc này được áp dụng tt như thế nào.

Cn thường xuyên đánh giá độ tin cậy, độ chính xác của thông tin v sự phù hợp, kịp thi, đáng tin cậy, vi những giả định được lập thành văn bản. Khuôn khổ cũng cần được định kỳ xem xét, đề đưa ra các thông tin cập nhật hay chỉnh sửa.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Khi thiết kế cách thức báo cáo các sự cố trước hết cần cân nhắc cn thận về các quyết định nào thông tin này có thể hỗ trợ tức là nhng người sử dụng cuối cùng, hiện tại và trong tương lai là ai, các thông tin này có thể cần thiết được lưu tr, sp xếp như thế nào, làm thế nào đ nó được toàn vẹn, được bổ sung, truy cập được. Một khi điều này đã được thực hiện, hình thức báo cáo có thể được thiết kế với lưu ý rằng, cht lượng được tạo ra bởi thông tin đó có thể bị nh hưng bi thời điểm cần tiếp nhận nó.

- Mô tả về bối cảnh (bao gồm cả ngày nó được viết ra) phải bao gồm như là một phần của các mô tả và tài liệu chi tiết về những rủi ro chính phải đối mặt (ví dụ như bn đăng ký rủi ro). Điều này cho phép những người sử dụng bn đăng ký này cân nhc được mi sự thay đổi trong bi cảnh có thể đã xảy ra sau đó với những thay đổi trong rủi ro.

- Trường hợp các giả đnh đã được thực hiện trong đánh giá, cần ghi lại rõ ràng, d hiểu về tính hợp lý của những giả định, k cả những giới hạn bất kỳ.

- Khi thiết kế cách xử lý rủi ro, cần cân nhc xem kết quả thực hiện của việc kim soát khi xử lý sẽ được theo dõi và có sẵn như thế nào để những người nêu các quyết định sau này có thể dựa vào những cách kiểm soát đó.

B.2.7 Quản lý rủi ro cần phù hợp

B.2.7.1 Nguyên tắc

g) Quản lý rủi ro cần phù hợp

Quản lý rủi ro phù hợp với bối cảnh bên trong và bên ngoài của tổ chức và đặc trưng của rủi ro.

B.2.7.2 Áp dụng nguyên tắc

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

S không có một cách đơn biệt, chính xác kiểu chuẩn mực đ thiết kế và áp dụng khuôn khổ và các quá trình quản lý rủi ro vì chúng đòi hỏi sự linh hoạt và điều chỉnh thích ứng trong mỗi một tổ chức. Việc thiết kế có thể được xác định bởi nhiều khía cạnh, bao gồm quy mô tổ chức, văn hóa, ngành, cấu hình và phong cách quản lý.

Các lĩnh vực rủi ro khác nhau có thể đòi hi các quá trình điều chỉnh khác nhau dù trong cùng một t chức. Khi tất cả các quá trình phù hợp với TCVN ISO 31000, thì vẫn có sự khác biệt trong hệ thống, trong các mô hình và trong mức độ đánh giá có liên quan, ví dụ như giữa những người tham gia trong việc đánh giá các rủi ro liên quan đến công nghệ thông tin, rủi ro trong quản lý tài sản và trong đu tư, hoặc những rủi ro liên quan đến đối thủ cạnh tranh. Mỗi quá trình đu cần thích hợp với mục đích cụ thể của nó.

Vì mục đích của khuôn khổ quản lý này là để đảm bảo rằng quá trình quản lý rủi ro sẽ được áp dụng cho việc ra quyết định một cách có hiệu quả và phản ánh được chính sách, việc thiết kế khuôn khổ nên phản ánh xem các quyết định được đưa ra tại đâu và như thế nào và cần cân nhắc tới bất kỳ nghĩa v pháp lý hoặc bổn phận bên ngoài khác mà theo đó tổ chức có cam kết.

Điều quan trọng là cần nh rằng phù hợp không ám chỉ việc thay đổi các yếu tố của khuôn khổ (như mô tả trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 4) hoặc các bước của quá trình này (xem TCVN ISO 31000:2011 (ISO 31000:2009), Điều 5). Tất cả những điều trên đều là cốt lõi cho việc quản lý rủi ro có hiệu lực.

Nguyên tắc này là quan trọng trong việc thiết kế và hoàn thiện khuôn khổ quản lý rủi ro và nó cũng liên quan tới cách mà các khía cạnh của chính quá trình được xác lập.

Nguyên tắc này cũng biểu thị rằng tổ chức cn xem xét các vn đ nội bộ, ví dụ: nguồn lực nhân viên (nguồn lực đó, nếu khá cao, có thể cn những sự điều chỉnh phù hợp với quy mô đào tạo ban đầu, để đảm bảo rằng tất cả các nhân viên mới có thể đáp ứng những gì đòi hỏi đối với họ về quản lý rủi ro).

Sự phù hợp của một khuôn khổ là cần thiết đ đạt được sự tích hợp với các quá trình ra quyết định của tổ chức. Cũng có khả năng, chính những quá trình ra quyết định như vậy cn được điều chỉnh cho phù hợp với một khuôn khổ quản lý rủi ro đã được lập.

Hỗ trợ thực tế:

- Thiết kế khuôn khổ quản lý rủi ro cần bao gồm việc tìm kiếm và cân nhắc các quan điểm của những người sẽ tham gia vào vic áp dụng nó.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

B.2.8 Quản lý rủi ro có tính đến các yếu t con người và văn hóa

B.2.8.1 Nguyên tắc

h) Quản lý rủi ro có tính đến các yếu t con người và văn hóa

Quản lý rủi ro thừa nhận khả năng, nhận thức và ý định của mọi người bên trong và bên ngoài tổ chc có thể tạo thuận lợi hoặc cn trở việc đạt được mục tiêu của tổ chức.

B.2.8.2 Áp dụng nguyên tắc

Nguyên tắc này đòi hi việc thu thập các quan điểm của các bên liên quan, cũng như hiểu biết rằng quan điểm của những người đó có thể bị ảnh hưởng bởi những đặc điểm về tính cách con người, văn hóa. Các yếu tố cần xem xét bao gồm xã hội, chính trị, văn hóa, cũng như khái niệm về thi gian. Các loại sai sót phổ biến thưng bao gồm:

a) thất bại trong việc phát hiện và phản hi với những cảnh báo sớm

b) Sự th ơ với quan điểm của người khác hoặc thiếu kiến thức;

c) Sai lệch do chiến lược xử lý thông tin bị đơn giản hóa khi giải quyết các vn đ phức tạp;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Khi thiết kế các cơ cu quản lý và khi áp dụng tất c các khía cạnh của quá trình quản lý rủi ro, các hành động cụ thể là cần thiết để hiểu và vận dụng được các yếu tố v con người và văn hóa như vậy.

Khi xác lập cơ cu quản lý, cơ cu truyền thống về rủi ro cần cân nhắc các đặc điểm văn hóa và các mức độ hiểu biết của đối tượng liên quan.

Hỗ tr thực tế:

- Các nhà quản lý cần hành động theo cách đ thể hiện rằng họ thúc đy và hỗ trợ cũng như tôn trọng và hiểu biết những sự khác biệt cá nhân.

- Tôn trọng những người được hi về quan điểm của họ.

- Về nguyên tắc chung, các tổ chức đều khen thưởng những gì họ coi trọng. Nếu việc lựa chọn nhân viên, khuyến khích và trả thù lao không có mối liên h công khai đến các kết quả hoạt động quản rủi ro thực tế, sẽ khó mà tin rằng những kết quả thực hiện như vậy sẽ là chuẩn mực mong đợi. Những nỗ lực của cá nhân phải được ghi nhận một cách thích hợp.

- Về nguyên tắc chung, việc dựa vào sự kim soát của một cá nhân đ thực hiện thay đổi lớn đối với rủi ro là thiếu thận trọng.

- Các tổ chức đa quốc gia cần am hiểu và khôn ngoan khi ghi nhận tầm quan trọng của văn hóa trong việc xác đnh hành vi ứng xử của mi người.

 

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Ví dụ về các câu hỏi hữu ích về yếu tố con người và tổ chức bao gồm:

- Liệu cơ cấu tổ chức có phù hợp với nhu cầu của tổ chức?

- Liệu những cá nhân có trách nhiệm giải trình chính thức đã được xác định rõ ràng?

- Liệu tt c những bản mô t công việc có nêu những quy định rõ ràng về quyn hạn và trách nhiệm của cá nhân?

- Liệu tất cả các kênh trao đổi thông tin đu rõ ràng và có hiệu lực?

- Liệu thỉnh thoảng đã tiến hành kiểm tra xem trao đổi thông tin được chuyển tải, được hiểu một cách chính xác tại tất cả các cấp trong tổ chức?

- Liệu những gì liên quan đến đạo đức, tinh thần trong tổ chức được theo dõi, giám sát không?

- Có xem xét mối quan h tương quan giữa các tổ đội không ?

- khuôn khổ để nhận ra và phản hi đối với các tin đn trong tổ chức trước khi chúng gây tác động tiêu cực?

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Nếu chính sách đang có vấn đề, liệu có một quá trình xem xét lại?

- Các chính sách và các quá trình có được coi trọng không? Nếu không, có tiến hành tìm hiểu? Chúng có bị ép buộc tuân thủ không?

- Các chuyên gia đánh giá nội bộ và bên ngoài có tìm thấy các hành vi, cách ứng xử không an toàn hoặc phi đạo đức trong tổ chức?

B.2.9 Quản lý rủi ro cn minh bch và có sự tham gia của các bên

B.2.9.1 Nguyên tắc

i) Quản lý rủi ro cần minh bạch và có sự tham gia của các bên

Việc tham gia thích hợp và kịp thời của các bên liên quan, đặc biệt là những người ra quyết định ở các cp của tổ chức, đảm bảo rằng việc quản lý rủi ro duy trì sự phù hợp và cp nhật. Việc tham gia này cũng cho phép các bên liên quan có được sự đại diện thích hợp và quan điểm của họ được xem xét khi xác định tiêu chí rủi ro.

B.2.9.2 Áp dụng nguyên tắc

Nguyên tắc này có thể có tác dụng tại các cp quản lý khác nhau. Nó có thể được phản ánh trong chính sách qun lý rủi ro của tổ chức (ví dụ: Chúng tôi s thông báo và hỏi ý kiến các bên liên quan nhằm mong họ hiu được các mục tiêu của chúng tôi và có thể đóng góp kiến thức và quan điểm của họ để hỗ trợ trong việc ra quyết định của chúng tôi’).

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Khi áp dụng nguyên tc này nên xem xét các vấn đề bảo mật, an ninh và sự riêng tư, Ví dụ: có thể yêu cầu thông tin trong danh mục rủi ro được tạo lập một cách tách biệt sao cho có thể hạn chế việc truy cập vào một số thông tin.

H trợ thực tế:

- Trong đào tạo quản lý rủi ro, có thể vận dụng cách đóng vai din liên quan đến trao đổi thông tin và tham vấn.

- Việc đánh giá cần được thực hiện theo cách đ nhng người nhận được thông tin s cảm nhận được nó.

- Định kỳ cung cấp thông tin phản hồi, chứng minh những gì đã hứa hoặc đã được dự định và thực tế chúng đã được thực hiện như thế nào.

- Những ý kiến được gửi đến một cách tự nguyện cũng cần được khuyến khích, ghi nhận và đánh giá cao và bất cứ khi nào có thể, cn phản hi về chúng.

B.2.10 Quản lý rủi ro cn năng động, lặp lại và đáp ứng với sự thay đổi

B.2.10.1 Nguyên tắc

j) Quản lý rủi ro cần năng động, lặp lại và đáp ứng với sự thay đổi

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

B.2.10.2 Áp dụng nguyên tắc

Bất kỳ sự thay đổi trong các mục tiêu của tổ chức, hoặc của bất kỳ khía cạnh trong các bối cảnh bên trong hay bên ngoài, chắc chắn s làm thay đổi rủi ro (ví dụ như tái cơ cu nội bộ, có thêm một nhà cung cấp chính mi, hoặc sự thay đổi trong điều luật có liên quan). Tương tự như vậy, những thay đổi trong bi cảnh tổ chức (ví dụ như việc mua lại một công ty khác, có được một hợp đng lớn mới) đều có thể đòi hỏi thay đổi trong cơ cấu quản lý (ví dụ như trong đào tạo các chuyên gia về rủi ro). Quá trình quản lý rủi ro cần được thiết kế để phản ánh sự năng động của tổ chức (ví dụ như tốc độ của sự thay đổi).

TCVN ISO 31000 nêu hai cách gồm theo dõi và xem xét (đối với khuôn khổ và quá trình). Mỗi cách có đặc điểm riêng cho mục đích của nó và mi cách đều yêu cầu sự thấu hiểu và áp dụng.

Cơ cấu quản lý cần được theo dõi và xem xét để đảm bảo nó có thể tiếp tục có hiệu lực cho các nguyên tắc quản lý rủi ro hiệu quả, có hiệu lực cho chính sách quản lý rủi ro của tổ chức và h trợ việc áp dụng quá trình này để đưa ra quyết định của tổ chức.

Hot động theo dõi và xem xét cần được kết hợp trong mỗi bước cốt lõi của quá trình quản lý rủi ro.

Các hoạt động kiểm soát cũng nên được xem xét lại để đảm bảo tiếp tục có hiệu lực và đáp ứng với sự thay đổi. Ví dụ, những hoạt động kiểm soát lệ thuộc vào kết quả thực hiện của những người cụ thể s có thể không có hiệu quả nếu đã có những sự thay đổi về nhân sự.

Hoạt động theo dõi và xem xét cần được điều chỉnh cẩn thận, cụ thể, chúng cần nhạy cảm với các yếu tố của sự thay đổi mà chúng có thể có những ảnh hưởng rõ nét nhất. Việc theo dõi và xem xét cần đánh giá được mức độ quan trọng mang tính thường xuyên của các chỉ số dùng đ theo dõi và nếu cần các chỉ s này s được điều chỉnh theo sự thay đổi hoặc bi cảnh mới xut hiện.

Việc theo dõi và xem xét là những hoạt động có sự khác bit, như được giải thích trong TCVN ISO 31000:2011 (ISO 31000:2009), 4.5 và 5.6. Theo dõi liên quan tới việc quan trắc liên tục các thông số quan trọng để xác định xem liệu chúng đang thực hiện như dự định hay là giả định không. Xem xét được thực hiện từ thời điểm này đến thời đim khác, được b trí theo mục đích của nó và thường được dùng để xác định liệu các giả định mà từ đó các quyết định đã được nêu (ví dụ thiết kế khuôn khổ quản lý) hiện tại còn hiệu lực hay không, và do đó dẫn đến việc liệu có cn xem xét các quyết định này không.

Việc xem xét cũng cần cân nhắc tới trí thức và công nghệ mới.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Khi áp dụng quá trình quản lý rủi ro và khi xác lập tuyên bố về bi cảnh, cần xác định các thành phn (ví dụ như các đặc điểm của môi trường bên ngoài) có nhiều khả năng thay đổi và cần theo dõi chặt chẽ chúng về sự thay đổi. Bt kỳ một sự thay đổi đu có thể yêu cầu đánh giá lại toàn bộ hoặc một s các rủi ro đã được lập thành tài liệu.

- Cần và khuyến khích có biện pháp cảnh báo cho mọi người có liên quan về tình trạng hiện tại đáng lo ngại (chẳng hạn bng cách tạo tiếng còi).

- Ngay cả các tổ chức nhỏ cũng nên lưu ý những thay đổi ở mc toàn cầu, ví dụ: cuộc khủng hoảng tài chính toàn cầu năm 2008 đã có tác động sâu sắc đến một s nhà cung cấp nhỏ mà các khách hàng lớn của họ là các tổ chức chịu tác động trực tiếp hoặc gián tiếp bởi những thất bại của ngân hàng. Các sự kiện bên ngoài hoặc những bối cảnh mới xuất hiện như vậy có thể yêu cầu thay đổi một cách chủ động đối vi các khuôn khổ quản lý rủi ro.

B.2.11 Quản lý rủi ro tạo thuận lợi cho việc ci tiến liên tục của tổ chức

B.2.11.1 Nguyên tắc

k) Quản lý rủi ro tạo thuận li cho việc cải tiến ln tục của tổ chức

Tổ chức cần xây dựng và thực hiện các chiến lược để nâng cao sự nhun nhuyễn trong việc quản lý rủi ro của mình cùng với tất cả các khía cạnh khác của t chức.

B.2.11.2 Áp dụng nguyên tc này như thế nào

Cải tiến liên tục các kết quả hoạt động của tổ chức cần gắn kết tương quan với việc cải tiến liên tục kết quả của hoạt động quản lý rủi ro. Việc cải tiến quản lý rủi ro, trên cơ s ra quyết định dựa trên rủi ro, có thể làm giảm sự không chắc chắn trong việc đạt được các mục tiêu, gim thiểu biến động và tăng tính linh hoạt. Tuy nhiên, cn thận trọng để không đặt ra kết quả thực hiện quản lý rủi ro một cách quá phức tạp đến mức quá bị áp lực cho việc theo đuổi các cơ hội và mất đi tính linh hoạt của hành động phn hồi.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Mục tiêu của cải tiến liên tục phải được nêu rõ ràng trong chính sách quản lý rủi ro của tổ chức và được truyền đạt thưng xuyên theo cả hai cách chính thức và không chính thức. Ci tiến liên tục có thể bao gm:

- Cải tiến mức độ tích hợp hoạt động quản lý rủi ro vào hoạt động chung;

- Nâng cao chất lượng đánh giá rủi ro;

- Cải tiến khuôn khổ quản lý, ví dụ chất lượng và cách tiếp cận thông tin;

- Ci tiến tốc độ của việc ra quyết định.

Cải tiến liên tục dựa trên các chỉ số định tính và định lượng của sự tiến bộ. Các tổ chc sử dụng những cách tiếp cận từng giai đoạn và các mô hình đã được xác nhận nên thiết kế các chỉ số sao cho chúng s là động lực cho việc cải tiến liên tục dựa trên các nguồn lực và đặc điểm văn hóa của tổ chức. Mọi tổ chức nên ghi nhận rằng trong nhiều nỗ lực của con người, thành công sẽ nuôi dưỡng thành công. Mục đích của việc quản lý rủi ro hiệu lực thực chất chỉ nằm trong việc nâng cao khả năng để một tổ chức sẽ đạt được đy đủ các mục tiêu của nó. Một tổ chức đạt được tính hiệu lực trong quản lý rủi ro càng nhanh, sẽ thực hiện được các mục tiêu của mình càng hiệu quả.

Thực ra, trong một số trường hợp, một số cải tiến đòi hỏi thời gian mới đạt được, ví dụ như một số có thể yêu cầu phân bổ kinh phí, hoặc lập kế hoạch và triển khai cn thận. Các kế hoạch để cải tiến cần cân nhắc tính ưu tiên và các lợi ích liên quan và có cách theo dõi tiến triển của nó.

H trợ thực tế:

- Khi sử dụng các yếu tố của việc theo i và xem xét cơ cấu quản lý, hàng năm phải xem xét kết quả thực hiện so với các nguyên tắc quản lý rủi ro và xem xét những cải tiến về thiết kế.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Sử dụng hệ thống báo cáo sự cố để tiến hành phân tích nguyên nhân gc r, tìm kiếm không chỉ ở những nguyên nhân gắn với các vụ việc, mà c các đặc điểm của khuôn khổ quản lý rủi ro đã tạo khả năng cho sự c đó xảy ra.

- Cn theo dõi kết quả thành công (ví dụ như dự án đúng hạn, đúng hạn mức kinh phí) để hiểu được các nh năng nào của khuôn khổ quản lý rủi ro đã gây ra khả năng cho s cố đó xảy ra.

 

Phụ lục C

(Tham khảo)

Thể hiện nhiệm vụ và cam kết

C.1 Khái quát

Phụ lục này cung cấp các hướng dẫn và chiến lược giúp tổ chức biểu thị và trao đổi thông tin về nhiệm vụ và cam kết cũng như việc thông tin, truyn đạt về việc này như thế nào.

Để nhiệm vụ và cam kết có hiệu lực, lãnh đạo cao nht và bộ phận giám sát của tổ chức cần nêu rõ ràng cho các bên liên quan biết về cách tiếp cận đối với việc quản lý rủi ro và nếu thích hợp, lập thành văn bản và trao đổi thông tin về việc này. Nhiệm vụ về quản lý rủi ro thường liên quan đến những thay đổi trong hành vi, tập quán, văn hóa, chính sách, các quá trình và các kết quả thực hiện đã dự định trong việc quản lý các rủi ro sẽ được phản ánh trong khuôn khổ quản lý rủi ro. Nhiệm vụ và cam kết có thể là một tuyên bố ngắn gọn về chính sách được phổ biến rộng rãi.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Nhiệm vụ và cam kết là một phần cơ bản của khuôn khổ quản lý rủi ro đồng thi cần là một phần của cả các khuôn khổ quản lý và quản trị của tổ chức và cn tác động đến thiết kế của các loại hình khuôn khổ này.

Nhiệm vụ và cam kết cần phản ánh mười một nguyên tắc nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 3.

Trong thực tế, nhiệm vụ cũng như cam kết được thể hiện và tiếp nhận theo cả cách ngầm hiểu và rõ ràng. Những thể hiện ngầm hiểu (ví dụ như các hành động thường ngày của lãnh đạo cp cao hay của bộ phận giám sát trong bối cảnh văn hóa hiện hành đã được chấp nhận của tổ chức) thường tạo được một sự thúc đy mạnh mẽ hơn 80 với những cách biu thị công khai (ví dụ chính sách quản lý rủi ro).

C.2 Phương pháp biểu th nhiệm vụ và cam kết

C.2.1 Các đặc điểm chính

Nhiệm vụ và cam kết cần đáp ứng các tiêu chí sau:

a) Cần phù hợp với kế hoạch chiến lược; các mục tiêu, chính sách, phong cách trao đổi thông tin và h thống quản lý của tổ chức;

b) Cần phù hợp với các tiêu chí rủi ro mà bộ phận giám sát đã xác định;

c) Cần đáp ứng các nguyên tắc của TCVN ISO 31000 cũng như phải hướng tới cách quản lý rủi ro hoàn thiện như được nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), Phụ lục A;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

e) Cần có những kỳ vọng hợp lý về việc nó được thực hiện thành công;

f) Cần đ cập đến các trách nhiệm đối với những ch sở hữu rủi ro.

Khi nhiệm vụ quản lý rủi ro hiện đang được thực hiện và cam kết của tổ chức đối với quản lý rủi ro chưa thực sự đáp ứng các tiêu chí này thì cả các khía cạnh ngầm hiểu và công bố rõ ràng về việc này cần được thay đổi.

DỤ: Nếu bộ phận giám sát hoặc lãnh đạo cao nht đã ban hành các quyết định nhưng các quyết định đó không đ cp đy đ việc đánh giá rủi ro, đây là một dấu hiệu rõ ràng rằng tổ chức không đảm bảo sự cam kết đối với việc thu hiểu các rủi ro của tổ chức.

Một phần quan trọng khi chấp nhận một nhiệm vụ đã được sửa đi là cần xây dựng một kế hoạch để thay đổi sự hiểu biết về những gì đòi hỏi phải thay đổi. Mục đích của kế hoạch này sẽ là đảm bảo rằng cả nhiệm vụ và các lợi ích của nó được thu hiểu rộng khắp và được tin tưởng và tổ chức luôn cam kết nhất quán trong các nhiệm vụ và hành vi tương ứng. Đó s là hành vi của tổ chức và cách so sánh những hành vi này với những tuyên bố công khai về nhiệm vụ s tạo ra những tác động lớn nhất đ xác định nhiệm vụ được thực hiện được chấp nhận bởi các bên liên quan khác nhau chấp nhận hay không.

C.2.2  Thiết lập và trao đổi thông tin v chính sách và cam kết quản lý rủi ro

Một phương thức để biu thị và thông tin về nhiệm vụ theo cách rõ ràng là thông qua việc thiết lập và sau đó trao đổi thông tin về chính sách quản lý rủi ro. TCVN ISO 31000:2011 (ISO 31000:2009), 4.3.2, xác định rằng tổ chức không chỉ cần nêu rõ ràng chính sách về quản lý rủi ro mà còn cần trao đổi thông tin về chính sách này cả ở bên trong và bên ngoài tổ chức. TCVN ISO 31000:2011 (ISO 31000:2009), 4.3.2, cũng xác định các vn đề cụ thể thường cần được phản ánh trong chính sách này.

Luôn phải ghi nhớ nguyên tắc g) (tức là quản lý rủi ro phải phù hợp), việc biểu th về chính sách cần phù hợp, nht quán với phương thức chung mà tổ chức đang vận hành. Nếu không, thì việc biểu thị này có thể không được xem là có liên quan đến hoặc là một phần của hệ thống chung mà tổ chức đang vận hành.

Đối với các tổ chức lớn hơn, việc thiết lập một chính sách s thưng có nghĩa là triển khai một tuyên bố chính thức về nhiệm vụ đối với việc quản lý rủi ro mà s cấu thành một phần của bộ chính sách của tổ chức. Theo đó, việc này sẽ được hoàn thành bởi bộ phận quản trị và sau đó được truyn đạt và củng cố, thúc đy áp dụng thông qua hệ thống quản lý.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Lãnh đạo cao nht và bộ phận giám sát cần cam kết và thực sự tham gia s là chìa khóa cho sự thành công của bất kỳ chương trình quản lý rủi ro nào. Các t chức nên xem xét các câu hỏi sau khi thiết lập nhiệm vụ và cam kết của mình đối với quản lý rủi ro:

- Các mục tiêu chiến lược của tổ chức là gì? Chúng có rõ ràng? Những gì là ngầm hiểu và những gì là công bố công khai trong những mục tiêu đó?

- Lãnh đạo cấp cao có nm rõ bản chất và mức độ của những rủi ro quan trọng mà h phi đối mặt và mong muốn nm các cơ hội mà họ sẵn sàng theo đuổi để đạt được các mục tiêu chiến lược của mình?

- Lãnh đạo cp cao có cần phải thiết lập khuôn khổ rõ ràng hơn đ nâng cao quan điểm về rủi ro của tổ chức?

- Lãnh đạo cao nht sẽ tiến hành những bước nào để bảo đảm giám sát toàn diện việc quản lý các rủi ro này?

- Những người quản lý thực hiện việc ra quyết định có hiểu được mức độ mà theo đó họ (với tư cách cá nhân) được phép thể hiện rõ với tổ chức những hệ quả của một sự kiện hoặc tình huống? Có bất kỳ quan điểm rủi ro nào cn được thực hành, hướng dẫn cho các nhà quản lý đ đưa ra quyết định dựa trên rủi ro?

- Những người thực hiện có hiểu được mức độ, tích hợp, liên hệ về rủi ro đ họ có thể xác định xem liệu nó có thể được chấp nhận hay không?

- Lãnh đạo cao nht và quản lý điều hành có hiểu được mức độ đan xen, tích hợp của rủi ro đối với cả tổ chức nói chung?

- Cả các nhà quản lý và điều hành hiu rõ rằng quan điểm rủi ro không phải là cố định? Nó có thể thay đổi khi môi trường và điều kiện kinh doanh thay đổi. Bt cứ điều gì đã được phê duyệt của lãnh đạo cp cao đu cn phải có một vài sự linh hoạt trong triển khai.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Những rủi ro nào là quan trọng mà lãnh đạo cao nht sẵn sàng đối mặt và muốn theo đuổi các cơ hội? Rủi ro nào là quan trọng nhưng lãnh đạo cao nht không sẵn sàng đối mặt? Cho dù chính sách đối với tình trạng rủi ro hiện đang được quản lý được nêu dưới dạng nào thì nó luôn cn cùng đồng hành với các chính sách khác vốn đang là định hướng đ tổ chức hoạt động.

- Chính sách cn được hỗ trợ theo cả cách ngầm hiểu và công bố rõ ràng và phải được phản ánh phù hợp, phải đáp ứng 6 tiêu chí nêu trong C.2.1.

C.2.3 Củng c

Lãnh đạo cao nhất và bộ phận giám sát cần chứng minh và cng c cam kết của tổ chức về các nhiệm vụ thông qua sự kết hợp các hành động ngầm hiểu và được công bố rõ ràng bao gồm:

- làm rõ các mục tiêu quản lý rủi ro được liên kết và không tách rời với các mục tiêu quản lý khác;

- làm rõ rằng quản lý rủi ro s tạo nên hiệu quả cho các mục tiêu của tổ chức;

- đảm bảo phương thức mà nhiệm vụ của các hoạt động quản lý rủi ro đòi hỏi được tích hợp vào trong các quá trình quản trị và quản lý hiện có và được đưa vào chiến lược, các quá trình tác nghiệp, dự án;

- cần thường xuyên theo dõi, báo cáo về khuôn khổ quản lý rủi ro, về các quá trình của tổ chức đ đảm bảo rằng nó vẫn được duy trì phù hợp và hiệu lực;

- theo dõi về việc tổ chức có một sự hiểu biết hiện tại và toàn din về các rủi ro của mình và những rủi ro này hiện vẫn nm trong khuôn khổ của các tiêu chí rủi ro đã được xác định và tổ chức có hành động khc phục khi nhng tiêu chí này không được đáp ứng;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- xem xét, làm mi cam kết đối với các nhiệm vụ theo thời gian, sự kiện và sự thay đổi của lãnh đạo cao nht.

Áp dụng TCVN ISO 31000 có thể diễn ra trong toàn tổ chức một cách tổng thể, hoặc là được thực hiện theo từng phần, ví dụ tại các công ty con.

C.3 Hướng dn xây dựng nhiệm vụ và cam kết

Thiết lập nhiệm vụ về qun lý rủi ro đòi hỏi suy xét cn thận, có được quan đim chiến lược và sự tham vấn giữa các bộ phận giám sát và lãnh đạo cạo nhất. Điều này s giúp đảm bảo rằng một khi nó được thông qua, tổ chức sẽ tuân theo nhiệm vụ này.

Sự biểu th về nhiệm vụ và cam kết cần được xem xét trên cả cp độ chiến thuật và chiến lược. Tổ chức phải xác định và đánh giá năng lực để đáp ứng các mục tiêu của mình và trau dồi các kỹ năng và kinh nghiệm cần thiết đ đạt được chúng.

Ảnh hưởng của những thay đổi theo yêu cầu của nhiệm vụ sẽ cn sự cân nhắc cn trọng. Điu này bao gồm việc ai sẽ là người dẫn dắt sự thay đổi và ai s cần hướng dẫn hoặc h trợ. Đôi khi có những thay đổi đòi hỏi khá triệt để ở phạm vi lớn (ví dụ như thay đổi trong các bản mô t công việc, quá trình theo dõi và quản lý kết quả) và như vậy s đòi hi một số năng lực của t chức cho sự thay đổi này. Điều này cần được xem xét theo bi cảnh của những sự thay đổi khác đang din ra cho có thể có sự tích hợp, lng ghép hay không.

Những người sẽ b ảnh hưởng đáng k bi những thay đổi cần được tham vấn, đặc bit là những người lưu giữ bất kỳ loại dữ liệu quản lý rủi ro nào trong tổ chức (ví dụ như sức khe và sự an toàn, quản lý an ninh), sao cho tất cả những việc áp dụng theo sự thay đổi có thể được hiểu rõ.

Nhiệm vụ cần được nêu trong một tuyên bố về chính sách thể hiện cam kết của tổ chức đối vi việc này.

Hỗ trợ thực tế:

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Xem xét cách thức để nhiệm vụ này s được giải thích đối với tổ chức và làm thế nào những cách giải thích như vậy s được củng c bởi những hành động đang diễn ra;

- Cân nhc khung thời gian đ nhiệm vụ này có hiệu lực (điều này cần được đ cập và được tích hợp với các mệnh lnh khác của tổ chức, nếu không, dù ngay cả khi khuôn khổ quản lý là hoàn chỉnh, thì những lợi ích đầy đủ của nó s không được thực hiện và việc qun lý rủi ro s không có được hiệu lực như nó có thể có);

- Xác định các vai trò chủ yếu đ mang lại thay đổi cn thiết trong cách tiếp cận quản lý rủi ro và chỉ đạo, dẫn dắt các hoạt động quản lý rủi ro;

- Xác định những khía cạnh nào và những hoạt động nào của khuôn khổ quản lý rủi ro s được theo dõi ở cp lãnh đạo cao nhất, cấp quản lý và cp ủy ban và làm thế nào đ các thông tin như vậy s được thu thập và thể hiện.

- Đưa kết quả hoạt động quản lý rủi ro thành một hạng mục thường xuyên trong chương trình nghị sự tại tất cả các cuộc họp ban giám sát và lãnh đạo cao nhất;

- Xây dựng các phương pháp hiệu quả để thông tin v kết qu hoạt động quản lý rủi ro (ví dụ như xuất bản bản tin cho nhân viên theo kiểu của một báo cáo quản lý rủi ro);

- Cân nhc những gì cần được kích hoạt để xem xét lại nhiệm vụ này.

 

Phụ lục D

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Theo dõi và xem xét

D.1 Cơ sở

D.1.1 Khái quát

Phụ lục này cung cấp chỉ dẫn về theo dõi và xem xét khuôn khổ và quá trình quản lý rủi ro theo TCVN ISO 31000:2011 (ISO 31000:2009), 4.5, 4.6 và 5.6.

Theo dõi và xem xét là hai hoạt động phân bit nhằm xác định xem liệu các giả định và các quyết định vẫn có hiệu lực. Các kỹ thuật được sử dụng trong cả việc duy trì khuôn khổ quản lý rủi ro hiệu lực và cả trong mỗi bước của quá trình quản lý rủi ro.

- Theo dõi liên quan đến việc quan trắc thường xuyên kết quả thực hin thực tế và so sánh nó với kết quả dự kiến hoặc yêu cầu. Nó bao gm việc kiểm tra hoặc điều tra liên tục, việc theo dõi trong thực hiện, quan trắc mang tính phê phán hoặc xác định tình trạng đ xác định sự thay đổi mức độ kết quả thực hiện so với yêu cầu hoặc mong đợi, cũng như những thay đổi về bối cảnh.

- Xem xét có thể là việc kim tra định kỳ hoặc bt thường về tình trạng hiện tại, về những thay đổi trong môi trường, về thực hành ngành công nghiệp, hoặc về thực tiễn về tổ chức. Đây là một hoạt động được thực hiện đ xác định sự phù hợp, đầy đủ và hiệu lực của khuôn khổ và của quá trình để đt được mục tiêu được nêu. Việc xem xét cần cân nhắc đến các kết quả đầu ra từ các hoạt động theo dõi.

- Đánh giá là một quá trình xem xét một cách hệ thống, dựa trên bằng chứng đ so sánh với các tiêu chí khác đã được xác định trước. Trong khi mọi cuộc đánh giá đều có xem xét thì không phải tất cả xem xét đều là một cuộc đánh giá.

Cùng với nhau, theo dõi và xem xét cung cấp sự đảm bảo rằng kết quả hoạt động quản lý rủi ro là đạt được như mong đợi, cho dù nó có thể cần được cải tiến và cho dù có thay đổi đã xảy ra hiện đòi hỏi phải điều chỉnh hoặc sửa đổi về khuôn khổ quản lý hoặc một số khía cạnh của quá trình.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Cả hai đều cần thiết để đảm bảo tổ chức duy trì một sự hiểu biết hiện tại về các rủi ro của mình có liên quan đến với các tiêu chí rủi ro đó, bám sát tuân th quan điểm rủi ro của mình. Cả hai đu yêu cầu một cách tiếp cận có hệ thống tích hợp với các hệ thống quản lý chung của tổ chức.

Các hoạt động theo dõi và xem xét và các hành động để đáp ứng với những phát hiện này thường được mô tả đặc trưng như là một hệ thống đm bo bởi vì chúng có tim năng đ phát hiện và khắc phục những điểm yếu trước khi các tác động bất lợi xảy ra hoặc để cung cấp sự tin tưởng rằng các rủi ro vẫn nằm trong chuẩn mực của tổ chức. Những hoạt động này cũng có thể được sử dụng để cung cấp cho các bên liên quan bên trong và bên ngoài sự đảm bảo hợp lý rằng rủi ro đang được quản lý một cách hiệu lực.

Do các yếu tố về bối cảnh bên trong và bên ngoài thay đổi, nên luôn có rủi ro. Tương tự như vậy, theo dõi bối cnh bên ngoài có thể cảnh báo cho tổ chức các thay đổi có thể dẫn đến cơ hội để cải thiện kết quả thực hiện hoặc một hoạt động mới. Bằng cách luôn được cảnh báo bởi những thay đổi như vậy, bởi những kết quả thực hiện, bởi những sự không phù hợp, và bởi những lần thoát nạn, tổ chức sẽ có thể xác định các cơ hội đ ci tiến khuôn khổ quản lý quản lý rủi ro cũng như kết quả thực hiện chung của tổ chức.

Nên có một chương trình toàn diện để theo dõi và ghi nhận các chỉ số về kết quả thực hiện và các chỉ số này cần được sử dụng cùng với các chỉ số về kết quả thực hiện khác của tổ chức.

Chương trình này cung cấp cảnh báo sớm v các xu hướng bất lợi, đòi hỏi phải hành động phòng ngừa và sự can thiệp.

Một hành động riêng biệt về theo dõi hay hành động có thể nhằm vào một rủi ro đơn lẻ hay một số các rủi ro có mối liên quan, cần chú trọng vào các rủi ro này hoặc những hoạt động kim soát mang tính phòng ngừa gắn liền với chúng.

D.1.2 Trách nhiệm theo dõi và xem xét

Trách nhiệm chung về các hoạt động giám sát và xem xét thuộc bộ phận theo dõi và lãnh đạo cao nhất chứ không phải là các nhà cung cấp sự đảm bảo, ví dụ: đánh giá nội bộ. Các chức năng đảm bảo chất lượng, chức năng xem xét độc lập và theo dõi theo nghĩa pháp lý đều là những bổ sung hữu ích cho quá trình báo cáo quản lý chuyên ngành vì những hoạt động như vậy cung cấp một cách nhìn có tính lựa chọn.

Các hoạt động theo dõi và xem xét có thể được cân nhc theo nghĩa của một hệ thống phân cấp, thường được áp dụng tại cp lãnh đạo: Nếu được thiết kế hoàn chỉnh, điều này sẽ tạo mức đảm bo lớn nht. Tuy nhiên, một chương trình theo i và xem xét cần bao gồm tất cả ba yếu tố.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

D.1.3 Xem xét độc lập

Cho dù được tiến hành bởi bên trong hoặc bên ngoài, thì đối với bên tham gia, tính độc lập là yêu cầu xuất phát điểm trong các mối quan hệ của người xem xét, người đánh giá.

Độc lập là cơ sở cho tính khách quan của việc xem xét và tính khách quan của kết luận xem xét.

Khi có thể, người xem xét và người đánh giá đều phải độc lập đối với hoạt động đang được xem xét đánh giá và trong mọi trường hợp, họ cn hành động theo một phương cách sao cho không bi lệch hoặc xung đột về lợi ích.

Đối với đánh giá nội bộ, các chuyên gia đánh giá cần độc lập đối với các nhà quản lý đang điều hành các chức năng được đánh giá. Những người xem xét hoặc đánh giá cn giữ được tính khách quan trong suốt quá trình đánh giá/ xem xét để đảm bảo rằng những phát hiện và kết luận chỉ dựa trên các bằng chứng.

Đối với các tổ chức nhỏ, khả năng để những người tiến hành xem xét hay đánh giá hoàn toàn độc lập đối với hoạt động hiện được xem xét và đánh giá thường khó, tuy nhiên cần cố gắng thực hiện để loại b định kiến và thúc đẩy tính khách quan.

Tính độc lập của những người xem xét/người đánh giá sẽ giúp cho các cuộc xem xét và đánh giá là một công cụ hiệu quả và đáng tin cậy, hỗ trợ các chính sách và hoạt động kiểm soát rủi ro bằng cách cung cấp thông tin mà theo đó tổ chức có thể hành động để cải thiện kết qu thực hiện của nó.

Những việc xem xét như vậy có thể tập trung vào việc tuân thủ các tiêu chuẩn (nội bộ hay bên ngoài) các thủ tục hoặc các yêu cầu pháp lý. Thường thì chúng cũng xem xét sự phù hợp, hiệu quả và hiệu lực của các hoạt động kiểm soát, ví dụ: có thể xem xét liệu các hoạt động quản lý rủi ro có cung cấp các giá trị như đã được nêu trong các nguyên tắc của TCVN ISO 31000.

Nhiều tổ chức có chức năng tư vấn và xem xét hệ thống quản lý (như cử chuyên gia tư vấn về quản lý rủi ro, chuyên gia về sự phù hợp, cán bộ quản lý và đảm bảo chất lượng), những người này thực hiện việc xem xét thưng ngày, đánh giá nội bộ, lập các báo cáo thông thường về các kết quả xem xét của họ cho bộ phận giám sát và lãnh đạo cao nhất. Mục tiêu của các cuộc xem xét này là cung cấp cho bộ phận giám sát cho lãnh đạo cao nht sự đảm bảo rằng:

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Một quá trình thích hợp và có hệ thống đã được áp dụng để xác định, đánh giá và xử lý các rủi ro và có sự tin cậy rằng, quá trình này sẽ hoạt động liên tục;

- Các rủi ro không thể chấp nhận hiện được nhận dạng, lưu ý bằng cách xử lý rủi ro thích hợp;

- Những rủi ro không thể chấp nhận được đang được kiểm soát một cách phù hợp và có hiệu lực, nếu không các biện pháp kiểm soát cần được điều chỉnh;

- Tiến độ thích hợp đang được thực hiện với các phương án xử lý rủi ro.

Các loạt động của một quá trình xem xét độc lập không làm giảm trách nhiệm theo dõi và xem xét của lãnh đạo các cp.

D.1.4 Thu nhận các thông tin thích hp

Cũng giống như các khía cạnh khác của quản lý rủi ro, theo dõi và xem xét đòi hỏi việc sử dụng các thông tin có sẵn tốt nhất [xem nguyên tắc f)]. Đ phù hợp với mục đích, thông tin cần liên quan tới người sử dụng và thể hiện đúng những gì nó muốn nêu. Sự hữu ích của thông tin được nâng cao nếu nó có thể so sánh, kiểm chứng, kịp thời và dễ hiểu. Thông tin có th thu được từ hai nguồn:

a) Nguồn trực tiếp: Các quan trắc và các phép đo về các quá trình tác nghiệp thực tế hay những đu ra của chúng;

b) Nguồn gián tiếp: Các kết quả đo dẫn xuất từ các quá trình hoặc kết quả đầu ra đang được xem xét.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

D.1.5 Báo cáo quá trình xem xét

Báo cáo cần cung cp thông tin cho bộ phận giám sát, lãnh đạo cao nhất và các bên liên quan của tổ chức về việc liệu những rủi ro của tổ chức có nm trong các tiêu chí rủi ro của mình hoặc liệu đã có các kế hoạch xử lý rủi ro đáng tin cậy cho phép cuối cùng s dẫn đến kết quả này. Ngoài ra nó có thể cung cấp thông tin về những rủi ro mới, đang hình thành.

Bất kỳ cách thu nhận các thông tin rủi ro (ví dụ như trong một đăng ký rủi ro) cần được định kỳ cập nhật. Các loại và tn suất báo cáo s phụ thuộc vào tính chất, quy mô và phạm vi của việc đánh giá rủi ro.

Các đầu ra của việc đánh giá hoặc xem xét s là một báo cáo tóm tắt các phát hiện, cung cấp các kết luận của đánh giá so với các tiêu chí đã xác định. Báo cáo dựa trên những gì mà những người xem xét đã quan sát có thể cung cấp các khuyến ngh để cải tiến hệ thống. Đôi khi, người xem xét có thể nêu các đ ngh lớn hơn, hướng vào chính bản thân các tiêu chí. Phản hi đối với mọi cuộc xem xét cn chú trọng vào việc cải tiến hệ thống và tìm được các nguyên nhân gốc rễ của vn đ.

D.1.6 Hành động khắc phục và cải tiến liên tục

Cần thiết lập các quá trình để đảm bảo rằng các khuyến nghị đang được lãnh đạo của tổ chức tích cực xem xét và những phn hồi thống nhất đang được thực hiện.

Hành động đáp ứng đối với các cuộc xem xét cần được báo cáo cho bộ phận giám sát và cn theo dõi thường xuyên cho đến khi nó được thực hiện.

D.2 Thao dõi và xem xét khuôn khổ

D.2.1 Khái quát

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

TCVN 31000:2011 (ISO 31000: 2009), Điều 4, nêu hướng dẫn về các thành phần cần thiết của một khuôn khổ và lưu ý rằng những thành phần này cần phải được xét trong mối liên h với bối cảnh bên trong và bên ngoài của tổ chức.

Khi có những thay đổi xảy ra với bi cảnh nội bộ hay bên ngoài của tổ chức, có thể phải điều chỉnh khuôn khổ quản lý để đảm bảo nó vẫn có hiệu lực.

Thậm chí ngay cả khi không có sự thay đổi nội bộ hay bên ngoài, đòi hỏi có sự thay đổi trong thiết kế, việc theo dõi và xem xét vẫn cần thiết đ đảm bảo rằng bất cứ lúc nào việc kiểm tra đối với các thành phần của khuôn khổ quản lý về kế hoạch thực hiện để đảm bảo rằng chúng đã được thực hiện một cách chính xác. Đối với tổ chức đã áp dụng TCVN ISO 31000 nó s liên quan đến việc đm bảo rằng các thành phn của khuôn khổ quản lý tiếp tục tn tại và đang hoạt động đúng như đã dự định.

D.2.2 Trách nhiệm giải trình

Lãnh đạo có trách nhiệm đảm bảo định kỳ xem xét và theo dõi khuôn khổ theo các chỉ số kết quả thực hiện. Là một phần trong việc phân công trách nhiệm, một người (ví dụ một cán bộ quản lý cp cao) hoặc một bộ phận chức năng của tổ chức (ví dụ như bộ phn hỗ trợ và hợp tác quản lý rủi ro) số đảm nhận mt phn được giao về các trách nhiệm quản lý rủi ro, người hoặc bộ phận này cần thực hiện việc theo dõi khuôn kh và đảm nhận trách nhiệm chính để đảm bảo rằng khuôn khổ vẫn duy trì hiệu lực.

D.2.3 Thiết lập ranh giới

Cần thiết lập một ranh giới đối với việc quản lý rủi ro trong tổ chức. Ranh giới này có thể được mô tả theo những cách khác nhau nhưng cn bao gồm:

a) các thành phần của khuôn khổ (như mô tả trong TCVN ISO 31000:2011, 4.3) đ cung cấp kh năng giúp đạt được mục đích này.

b) mức độ h trợ mà bộ phận giám sát và lãnh đạo cao nhất cần nêu đ thực hiện trong các nhiệm vụ và cam kết quản lý rủi ro (thường được thể hiện dưới hình thức của một chính sách quản lý rủi ro).

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Bảng D.1 - Ví dụ v bảng danh mục các thành phn của khuôn khổ

Thành phần

Được triển khai ở đâu

Mục tu

Hành động chính

Trách nhim và lịch trình

Thước đo kết quả

Tình trạng áp dụng

Trách nhiệm giải trình

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Duy trì chính sách, quản lý rủi ro của tổ chức

• Xác định chuẩn mực

• Lập báo cáo

• Giao quyn

• Công bố chính sách.

• Chính thức hóa lịch trình những nội dung đã nêu

• Lịch xem xét tiếp theo: ngày/tháng/năm

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Các ngun lực: Đào tạo

Cp phòng ban

Cung cấp các thành phn quản lý rủi ro cho tất cả đào tạo

• Tiếp nhận chỉ dẫn

• Thiết kế nội dung đào tạo

• Đào tạo giảng viên

• Thiết kế: Hợp tác quản lý rủi ro

• Trin khai: Quản lý rủi ro tại các bộ phận

• Lần xem xét tiếp ngày/tháng/năm

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

• Chất lượng: Báo cáo và đánh giá việc đào tạo

Tổ chức cũng cần thiết lập các chỉ số về kết quả thực hiện có liên quan đến các mục tiêu của mình nhằm đưa ra biu hiện về tính hiệu lực của khuôn khổ chung đối với hiện trạng rủi ro đang được qun lý. Các chỉ số về kết quả thực hiện, đôi khi được gọi chung là các chỉ số đầu ra chẳng hạn:

- sự cố, tai nạn và những ln thoát nạn;

- thiệt hại thực tế;

- những việc ngoài ý muốn, không như dự định;

- khiếu nại của khách hàng;

- món nợ lớn;

- tình trạng sẵn sàng của hệ thống;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- mức độ mà theo đó các mục tiêu quản lý rủi ro hiện được đáp ứng.

D.2.4 Đánh giá xem liệu các đặc điểm và bi cnh của tổ chức đã thay đổi

Xác định xem liệu bối cảnh nội bộ hay bên ngoài của tổ chức đã có sự thay đổi hiện hữu hay về kinh nghiệm thực tế k từ khi khuôn khổ quản lý rủi ro đã được xây dựng hoặc được sửa đi.

Hỗ trợ thực tế

Các đặc trưng nội bộ có thể đã có sự thay đổi bao gồm:

- cơ cu;

- thực tiễn và các yêu cầu quản trị;

- các chính sách, tiêu chuẩn và các mô hình nội bộ;

- các yêu cu của hợp đồng;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- khả năng và các nguồn lực (ví dụ như nguồn vn và tài chính có tiếng tăm, thời gian, con người, các quá trình, các hệ thống và công nghệ);

- trí thức, các kỹ năng và sở hữu trí tuệ;

- các hệ thống và các dòng thông tin;

- hành vi ng xử xã hội, môi trường, văn hóa;

- những vn đ và các nhiệm vụ có tính ưu tiên có thể được nhận thc đ cạnh tranh với những ý định của tổ chức trong quản lý rủi ro.

Các chỉ số quan trọng là các chỉ số có thể giúp chỉ ra những thay đổi bối cảnh bên ngoài, thường được thy trong các báo cáo và nghiên cứu, phản ánh những thay đổi và xu hướng trong ngành công nghiệp, trong đó tổ chức đang hoạt động.

Các ví dụ bao gm:

- giá cả hàng hóa, lãi suất ngân hàng, lãi suất trái phiếu, tỷ giá hối đoái, chỉ số th trường chứng khoán, chỉ s giá tiêu dùng (xu thế);

- các chỉ số xu thế khác;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- quy mô th trưng và các chỉ số tăng trưởng, những thay đổi đột ngột về khối lượng đơn hàng;

- tình trạng ổn định chính trị và xã hội, tình trạng bt mãn hay tán đồng của xã hội;

Nếu bi cảnh tổ chức đã thay đi k từ khi khuôn kh quản rủi ro được xây dựng, khuôn khổ qun lý rủi ro này cn được đánh giá và sp xếp lại theo cách có tính đến những thay đổi này.

Mục đích của hoạt động này là để xác nhận rng khuôn khổ và các quá trình là phù hợp và nhất quán với các mục tiêu, với các vn đề được ưu tiên của tổ chức.

Từ việc xem xét, tổ chức có th cần thay đổi những nguyên tắc cơ bản của nó.

DỤ 1: Một sự thay đổi trong cơ cu của một tổ chức có thể đòi hỏi một số việc cần nhìn nhận li chính sách quản lý rủi ro và phân b lại trách nhiệm, nguồn lực cho phép rủi ro tiếp tục được quản lý một cách hiệu lực. Nếu tổ chức đã mở rộng quy mô, ví dụ do sáp nhập hoặc mua lại, cân cân nhắc tình trng đáp ứng đy đ tiếp theo của nguồn lực quản lý rủi ro cũng như sẽ phân tích cn thận bất kỳ sự khác biệt giữa các tổ chức trong cách tiếp cận đ quản lý rủi ro. Đây có th là sự cần thiết đ triển khai một kế hoạch chuyển tiếp việc áp dụng bất kỳ thay đổi phát sinh nhờ việc phân tích.

DỤ 2: Nếu các yêu cầu pháp lý mới đã có hiệu lực, các khía cạnh của khuôn khổ có liên quan đến trách nhiệm, đào tạo và việc nắm giữ thông tin hay báo cáo có th cũng cần sửa đổi hoặc mở rộng.

D.2.5 Xem xét khuôn khổ

Khi việc đánh giá các đặc điểm và bối cảnh bên ngoài đã được thực hiện xong, cần tiến hành một cuộc xem xét toàn diện hơn về hệ thống này để xác định xem:

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

b) Khuôn khổ quản lý và các quá trình được nêu hiện đang được tuân thủ như dự định;

c) Mức rủi ro nằm trong phạm vi tiêu chí;

d) Các mục tiêu cốt lõi của tổ chức đang tạo được ảnh hưởng tích cực tới việc quản rủi ro;

e) Các bên liên quan đều nhận được báo cáo đy đủ đ giúp họ có thể thể thể hiện vai trò và trách nhiệm của mình trong cơ cấu quản trị;

f) Mọi ngưi trong toàn tổ chức có đầy đủ kỹ năng, kiến thức và năng lực để thực hiện trách nhiệm của họ đúng như chúng đã được xác định;

g) Các ngun lực quản lý rủi ro là khá đầy đủ;

h) Những bài học đã được rút ra t kết quả thực tế đã xảy ra, bao gồm cả tổn thất, những lần thoát nạn cũng như các cơ hội;

i) Các mục tiêu đặt ra cho quản lý rủi ro hiện đang đạt được.

Nên có một lịch trình xem xét thường xuyên được đồng thuận để có khả năng tiến hành các cuộc xem xét nếu như có sự thay đổi hoàn cảnh, ví dụ khi những hậu quả của các rủi ro là bất ngờ hoặc nghiêm trọng.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- báo cáo tổng th về kết quả hoạt động của khuôn khổ quản lý rủi ro;

- báo cáo về tiến độ thực hiện kế hoạch quản rủi ro (bao gồm phân tích về bt kỳ sự chậm trễ trong việc thực hiện);

- báo cáo nêu rõ tình trạng tiến triển của tổ chức liên quan đến thực hành tt nhất;

- các khuyến nghị về những thay đổi cn thiết đ cải tiến quản lý rủi ro và tính hiệu lực của nó trong tổ chức;

- cập nhật chính sách, mục tiêu và kế hoạch quản lý rủi ro khi cần thiết;

- cập nhật các mô tả về bối cảnh trong đó tổ chức đang hoạt động, khi thích hợp;

- báo cáo về các xu hướng các chỉ số rủi ro chính;

- kế hoạch hành động gắn liền với các thay đổi cần thiết để đáp ứng các mục tiêu quản lý rủi ro.

D.3 Theo dõi và xem xét quá trình

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Mục đích của việc theo dõi và xem xét quá trình quản lý rủi ro là đ đảm bảo rng nó:

- thích hợp cho hoạt động sản xuất kinh doanh;

- đang được tiến hành theo kế hoạch.

Những rủi ro mà việc kiểm soát và xử lý cơ bản của chúng có thể thay đổi theo thời gian thì những người có trách nhiệm trong việc quản lý rủi ro cn phải nhận thức được các tác động của những thay đổi này. Tht bại trong việc xử lý có th làm cho rủi ro này trở nên không chấp nhận được. Hơn nữa nên tiến hành thêm những hoạt động kiểm soát mà mục đích của chúng là đ cải biên những rủi ro có thể thay đổi theo nghĩa thích tạo sự thích hợp và hiệu quả, như vậy, nếu không được theo i hay xem xét, những rủi ro không th duy trì trong các tiêu chí rủi ro chấp nhận của tổ chức và tổ chức có thể không có một sự hiểu biết hiện tại về rủi ro của mình.

Kết quả theo dõi và xem xét s được phản hi lại cho giai đoạn thiết lập ngữ cảnh, cung cấp cơ sở cho việc đánh giá rủi ro mới, đáp ứng đầy đủ bn chất tự nhiên về tính chu kỳ và năng động của quá trình quản lý rủi ro và thiết kế cơ cu quản lý rủi ro.

D.3.2 Trách nhiệm giải trình

Theo dõi là một phần không thể thiếu trong quản lý. Các hoạt động kiểm soát rủi ro phải được giao cho những người liên quan, họ có trách nhiệm theo dõi chúng. Trách nhiệm này phải được ghi lại trong vai trò, trong bn mô tả vị trí.

Phạm vi các nh vực chính của tổ chức, theo cách xem xét chính thức của người lao động, ví dụ như về tài chính, các bên liên quan, hiệu quả nội bộ, các mục tiêu học tập và phát triển của các mục tiêu nội bộ hiện đang được xem xét. Những kết quả thực hiện so với cùng một tập hợp các chỉ số có thể đo được ở tất cả các cp của tổ chức và sau đó được báo cáo một cách phù hợp.

Các phương án xử lý rủi ro cũng cần được theo dõi đ đm bảo rằng tiến trình đang được thực hiện và các hành động được hoàn thành đúng thời hạn.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Các tổ chức nên học hỏi từ chính các kết quả thực tế. Những kết quả này phải bao gồm cả các tn tht, những sự vụ suýt xảy ra, những sự không phù hợp và các cơ hội đã được xác định trước, đã xảy ra, nhưng vẫn chưa được xử lý.

Các điểm cn được cân nhc theo cách xem xét này bao gồm:

- chuyện gì đả xảy ra;

- làm thế nào và tại sao kết quả lại xảy ra như vậy;

- liệu có bất kỳ giả định cần nào phải được xem xét như là một kết quả của đầu ra;

- hành động đã được thực hiện (nếu có) để phản hồi;

- khả năng để điều đó lại xảy ra;

- bt kỳ sự phn hồi hay các bước bổ sung cần được thực hiện;

- những điểm đúc rút, học hỏi chính và ai là người cần được truyền đạt.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

D.3.4.1 Những cách tiếp cận điển hình để theo dõi bao gồm những điều sau đây

a) Chủ sở hữu rủi ro có thể rà soát môi trường để theo dõi những thay đổi về ngữ cảnh. Tn suất của hoạt động này s phụ thuộc vào mức độ rủi ro và sự năng động của những thay đổi về ngữ cảnh. Trong một s trường hợp, báo cáo riêng, ngoại lệ về các chỉ số có thể là đủ. Chủ sở hữu rủi ro so sánh các yếu tố bên ngoài hoặc nội bộ có liên quan so với các tuyên bố của ngữ cnh để xác định xem liệu có sự thay đổi hiện hữu nào đó đã xảy ra. Điều này có thể bao gm việc thông tin và tham khảo định kỳ ý kiến các bên liên quan để xác định xem liệu quan đim, mục tiêu của họ đã có gì thay đổi.

b) Các chủ rủi ro cũng nên theo dõi các phương án xử lý rủi ro đối với các hành động và phản hi kịp thời khi có những thay đổi về môi tờng.

c) Những người được giao nhiệm vụ kim soát phải có trách nhiệm kiểm soát mang tính theo i đối với những gì đã được giao cho họ, trong đó có thể bao gồm kiểm tra định kỳ hoặc theo dõi liên tục. Vì quản lý rủi ro hiệu quả nhất khi nó được tích hợp hoàn toàn với việc ra quyết định thông thường và với hệ thống quản lý của tổ chức, nên kết quả thực hiện quản lý hoạt động của tổ chức phải được sử dụng đ theo dõi rủi ro và hiệu quả của quá trình quản lý rủi ro. Các chỉ số về kết quả thực hiện cần phản ánh phạm vi của các mục tiêu trọng điểm của tổ chức vốn đã được xác định ở ngay giai đoạn đầu của quá trình khi xác lập ngữ cảnh của tổ chức. Những chỉ số này cũng có thể được phát triển theo cách có liên quan đến các rủi ro cũng như cách kiểm soát cụ thể, cách áp dụng chúng vào quá trình quản lý rủi ro.

CHÚ THÍCH: Trong tự như trường hợp với các rủi ro, phải lưu ý rằng, các hoạt động kiểm soát cũng phải được gắn cho những người chu trách nhiệm đối với hoạt động của họ. Thông thưng, chủ sở hữu việc kiểm soát hay người thao tác là người thực hiện việc kiểm soát theo n nếp thường ngày nhưng cũng có thể là một ai đó, khác với chủ sở hữu rủi ro. Điều này không ảnh hưởng đến trách nhiệm chung của chủ sở hữu rủi ro trong việc phải điu chỉnh một cách thích hợp rủi ro đó, trong trách nhiệm thiết kế, triển khai, ứng dụng, theo dõi, đánh giá các hoạt động kim soát tương ứng.

D.3.4.2 Các chỉ số kết quả thực hiện có thể đo được các kết quả (ví dụ như các tổn thất hoặc các khoản thu được c thể) hoặc các quá trình (ví dụ như việc hoàn thành kịp thời các phương án xử rủi ro). Bình thưng, có thể sử dụng hỗn hợp các chỉ số, ngoại trừ khi các chỉ s v kết quả đầu ra được dùng để biểu thị kết quả của sự suy giảm đáng k do những thay đổi mà những thay đổi đó làm cho các hệ số này tăng lên. Do vậy, trong một môi trường có sự thay đổi cao, việc sử dụng các chỉ số quá trình (như các chỉ số quan trọng) thưng hữu ích hơn.

Trong việc lựa chọn các chỉ số kết quả thực hiện, điều quan trọng là phải kiểm tra xem:

- chúng phải đo được;

- việc sử dụng chúng là có hiệu quả xét theo nghĩa đòi hi về thời gian, công sức và ngun lực;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- nhng người tham gia hiểu quá trình và những lợi ích mong đợi và có cơ hội cung cấp được thông tin đầu vào để thiết lập các chỉ số;

- các kết quả được ghi lại và kết quả thực hiện được phân tích và báo cáo theo một hình thức cho phép tạo điều kiện học tập và ci thiện toàn bộ tổ chức.

D.3.4.3 Khi áp dụng việc quản lý kết quả thực hiện cho quá trình quản lý rủi ro, cần lưu ý rằng:

- việc đo lưng hiệu quả kết quả thực hiện đòi hỏi phải có nguồn lực, nguồn lực này cần được xác định và phân b như là một phần của việc phát trin của các chỉ số về kết quả thực hiện;

- một s hoạt động quản lý rủi ro có thể khó đo lường được, nhưng không vì thế mà chúng kém quan trọng. Trong những trường hợp này, nên sử dụng các chỉ s thay thế, ví dụ: các nguồn lực dành cho các hot động quản lý rủi ro có thể là một thước đo thay thế cho cam kết đ quản lý rủi ro hiệu quả;

- bất kỳ sự biến động, sai khác giữa dữ liệu đo các chỉ số kết quả hoạt động và cảm nhận bản năng đều quan trọng và cần được điều tra, ví dụ: nếu người lãnh đạo vẫn thấy quan ngại rằng những rủi ro không được quản lý đúng cách, mặc dù các đánh giá rủi ro dạng con số cho thấy các mức độ rủi ro là thấp, thì những mối quan ngại này cần được điều tra và không đ b bỏ qua.

- thường thì sự suy giảm đột ngột về chỉ số s luôn gây sự chú ý, điều này cũng phải được áp dụng như đối với sự suy giảm chỉ s về mức độ tiến triển, cụ thể, ta phải theo dõi và phân tích về xu hưng chỉ số hoạt động.

D.3.5 Xem xét

Lãnh đạo cn đnh kỳ xem xét các quá trình, các h thng và các hoạt động đ đảm bảo rằng:

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

b) Các hoạt động kiểm soát, phương pháp xử lý rủi ro vn còn phù hợp và hiệu quả.

Những cuộc xem xét như vậy nên được lập thành kế hoạch (xem chương trình và cách tiếp cận đánh giá dựa trên rủi ro và làm thế nào để lựa chọn những người xem xét, như được nêu trong TCVN ISO 19011).

Những cuộc xem xét này có thể sử dụng các kỹ thuật tương tự như theo dõi thực tế đang diễn ra, nhưng nếu chúng được thực hiện bởi một người không trực tiếp tham gia vào các hoạt động của các quá trình, thì chúng có thể cung cấp nhng phân tích khách quan hơn. Tần suất xem xét có thể bị ảnh hưng bi mức độ rủi ro, bởi chu kỳ lập kế hoạch kinh doanh, bởi sự năng động trong môi trưng/bi cảnh, hoặc bởi một cuộc họp của bộ phận quản trị có trách nhiệm theo dõi các rủi ro và quản lý rủi ro.

Nếu phát hiện các vn đề, tổ chức nên xem xét chúng đã xuất hiện như thế nào và tại sao, trước đây chúng không được phát hiện.

Các hoạt động kiểm soát phải được đm bảo thông qua các hành động của các nhà quản lý có trách nhiệm (các ch rủi ro) vốn được xem như là một phần của các công việc và các vai trò bình thường của họ. Việc chỉ rõ những hoạt động kiểm soát cụ thể để kiểm soát các chủ rủi ro s thúc đẩy việc áp dụng các hoạt động kiểm soát, nhưng để đảm bảo tính hiệu lực, những chủ sở hữu đó cn được đào tạo kiến thức về kiểm soát sự đảm bảo của các quá trình.

Khi những sự thay đổi trong tổ chức đã được lập kế hoạch, hoặc khi những thay đổi bên ngoài đã được phát hiện, có thể dẫn đến những thay đổi trong:

- môi trường bên ngoài hoặc bên trong hoặc đối với các bên liên quan và quan điểm của họ;

- bối cảnh quản lý rủi ro, các mục tiêu của tổ chức và các tiêu chí rủi ro của nó;

- các rủi ro và các mức độ rủi ro;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- ảnh hưởng và hiệu lực của hoạt động kiểm soát.

Vì lý do này, khi xây dựng hoặc sửa đổi các kế hoạch kinh doanh hay các phương án chiến lược, điều tối cần thiết đối với các tổ chức là phải xem xét các rủi ro, các phương pháp xử lý, các hoạt động kiểm soát rủi ro của mình. Ngoài ra, do các phương án kinh doanh và kế hoạch chiến lược có thể tạo ra hoặc buộc điều chỉnh các mục tiêu của một tổ chức, nên sẽ rất hữu ích nếu ta sử dụng quá trình đánh giá rủi ro như phép kiểm chứng về tính chắc chắc của các phương án dự thảo để đảm bảo các mục tiêu dự kiến là đạt được, và cũng đ xác định biện pháp xử lý rủi ro cần thiết nhằm đảm bảo kết qu thành công. Những người thực hiện quá trình quản lý rủi ro cũng nên thường xuyên xem xét kinh nghiệm, các đầu ra, các kết quả của họ để xác định các cơ hội cải tiến.

 

Phụ lục E

(tham khảo)

Tích hợp quản lý rủi ro trong một hệ thống quản lý

E.1 Khái quát

Quản lý rủi ro là một phần không tách rời của hệ thống quản lý của một tổ chức. TCVN ISO 31000 hướng dẫn các tổ chức xây dựng, thực hiện và cải tiến liên tục một khuôn khổ quản lý mà mục đích của nó là để tích hợp quản lý rủi ro vào hệ thống quản lý của tổ chức (bao gm quản trị và chiến lược).

Đặc biệt, sự tích hợp cần đảm bảo rằng, thông tin về rủi ro được sử dụng như là cơ sở cho việc ra quyết định ở tất cả các cấp của tổ chức. Những người và các bộ phận cụ thể thực hiện quản lý rủi ro hàng ngày phải được cân nhắc như là một phần trong cách để họ đưa ra các quyết định. Quản rủi ro đã được tích hợp một cách tự nhiên trong tất cả những gì chúng tôi làm trước khi chúng tôi quyết định làm một cái gì đó. Dù chỉ một số người làm tt hơn những người khác về điều đó, nhưng tất cả có thể cải thiện chất lượng quản lý rủi ro và cải thin việc ra quyết định, dn đến sự cải thiện trong việc đạt được các mục tiêu và sự tin cậy nhờ đó cũng được nâng lên. Nếu mục đích của việc quản lý rủi ro tích hợp là để gia tăng giá trị, nó xác định một cách logic các phương thức chấp nhận tạo được ảnh hưởng đến những gì đã diễn ra và thúc đy, cải thiện nó, chứ không phải thay thế nó bằng một cái gì đó khác đi. Nó không có tác dụng bổ sung hoặc ép buộc một cái gì đó khác lạ vào những gì s thực sự phải diễn ra một cách tự nhiên của chức năng ra quyết định.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Phụ lục này cung cấp một số ví dụ thực tế về việc quản lý rủi ro có thể được tích hợp như thế nào vào (các) hệ thng quản lý hiện hành.

E.2 H thng quản lý là gì?

Tất cả các tổ chức đu sử dụng một số loại hệ thống quản lý. Trong thời gian gần đây, các hệ thống quản lý đã được chuyển hóa thành dạng chính tắc gắn liền với các yêu cầu đã được tạo ra, cung cấp một khuôn khổ quản lý trong đó một tổ chức có thể thiết lập các biện pháp và các quá trình quản lý để chỉ đạo và kiểm soát các hoạt động của nó. Nhiều tiêu chuẩn quốc tế đề cập ti các h thng quản lý nói chung hay có liên quan tới những nội dung cụ thể.

Một hệ thống quản lý là một tập hợp các yếu tố liên quan hay tương tác lẫn nhau của một tổ chức để thiết lập các chính sách, các mục tiêu, cũng như các quá trình để đạt được những mục tiêu đó. Với góc độ quản lý kinh doanh, nhờ có một hệ thống quản lý hay hệ thống quản lý tích hợp, ta sẽ thu được hiệu quả.

Ví dụ, quản lý chất lượng như được nêu trong TCVN ISO 9001 đề cập một cách tiếp cận rộng lớn hướng tới sự hài lòng của khách hàng, trong khi quản lý rủi ro lại đề cập tới những tác động của sự không chắc chắn đối với các mục tiêu vn có thể không chỉ liên quan đến khách hàng mà còn đối với cả hàng loạt các bên liên quan khác. Nhiều tổ chức đã áp dụng hệ thống quản lý chất lượng dựa trên các yêu cầu của TCVN ISO 9001, và quản lý rủi ro có thể được tích hợp trong các h thng quản lý như vậy, tạo ra sự phối hợp hài hòa và tránh trùng lặp

E.3 H thng quản lý đưc tích hợp và quản lý rủi ro

Tích hợp việc quản lý rủi ro với các quá trình kinh doanh cốt lõi cũng ging như mọi nhu cầu đ tạo ra sự tương tác giữa tất cả các cách tiếp cận hệ thống quản lý, ví dụ như quản lý chất lượng, quản lý môi trường, quản lý an toàn, quản lý an ninh, quản lý sự tuân thủ luật pháp, quản lý tài chính và báo cáo tài chính, và thậm chí cả với quản lý bảo hiểm liên quan ti các sự kiện về việc phi chuyn trả về tài chính cho các tổ chức khác.

Các hệ thống quản lý tách biệt này cn tạo nên một hệ thống quản lý tích hợp, dựa trên các chính sách và chiến lược ca mỗi một tổ chức. Ngay cả khi một tổ chức có các hệ thống quản lý tách biệt để quản lý các rủi ro rt cụ thể thì khuôn khổ quản lý đ quản lý rủi ro cũng nên mở rộng đ có bao hàm hoặc được kết hợp với các hệ thống khác của nó.

Cách tiếp cận quản lý rủi ro bao hàm dọc toàn bộ tổ chức có thể:

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

b) Tạo khả năng để mọi rủi ro trong hệ thống quản lý tích hợp sẽ được x lý theo các nguyên tắc và hướng dẫn của TCVN ISO 31000.

Cách tiếp cận này có thể liên quan đến những điều sau đây:

- đưa vào hệ thống quản lý chất lượng việc áp dụng các kỹ thuật quản lý rủi ro có liên quan đến sản phẩm chính yếu, liên quan quản lý rủi ro dự án;

- đi phó với những sự bt ổn trong quản lý môi trường, ví dụ như c và tai nạn tiềm ẩn tại các cơ sở liên quan độc hại, vấn đ xử lý vật liệu và chất nguy hại;

- xử lý các rủi ro kết hợp với các hoạt động như an toàn tại nơi làm việc;

- xử lý, kiểm soát các rủi ro an ninh, ví dụ hành vi bạo lực đối với các tổ chức hoặc các nhân viên hay khách hàng của mình;

- xử lý các rủi ro an ninh trong công nghệ thông tin (CNTT), ví dụ như các tác nghiệp làm CNTT bị sập, mt dữ liệu, vi phạm bảo mật và đảm bảo tính liên tục kinh doanh;

- quản lý các rủi ro liên quan tính liên tục kinh doanh nhằm đảm bảo sự chuẩn bị, phản ứng nhanh chóng đối với các sự kiện gây gián đoạn;

- thiết lập các hoạt động kiểm soát để bo vệ tài sản vật chất của tổ chức, đ đảm bảo báo cáo chính xác, đ đảm bảo tuân thủ các yêu cầu pháp lý, hoặc để quản lý các rủi ro có khả năng được bảo hiểm theo cách giảm thiu các phí bảo hiểm.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

E.4.1 Khái quát

Quá trình quản lý rủi ro cần được lồng ghép vào các quá trình ra quyết định của một tổ chức, bất kể mức độ và chức năng mà tại đó những quyết định này được đưa ra.

E.4.2 Xác định và nhận thức v nắm bắt, hiểu quyết định

Các phương pháp sau đây giúp nhận biết được khi nào và ở đâu các quyết định được nêu ra theo chu kỳ Lập kế hoạch - Thực hiện - Kiểm tra - Hành động (PDCA).

a) Xác định tất cả các hình thức về những thực tế ra quyết định đã được chính thức hóa và thực tế đã tồn tại trong tổ chức.

b) Trong các tổ chức lớn, thường có nhiều thủ tục đòi hỏi những sự chp thuận chính thức cho một loạt các quyết định, ví dụ như phê duyệt các kế hoạch chiến lược hàng năm, hạn mức vốn, thuê tuyn nhân viên mi, sửa đổi các cách kim soát quá trình, bố trí việc đi lại của nhân viên.

c) Sử dụng lưu đ, hoặc một số kỹ thuật khác, để lập sơ đồ mô tả sát thực về trình tự và các quy tắc thực hành chính của việc ra quyết định hiện được áp dụng cho cả các dự án cụ thể và tất cả các khía cạnh của hoạt động kinh doanh. Điều này có thể được cân nhắc trên cơ sở bộ phận hoặc chức năng và nên mở rộng cho c việc ra quyết định về quản trị và quản lý. Nếu có những hoạt động đang được quản lý bởi việc áp dụng một hệ thống quản lý đã được chính thức hóa (ví dụ như quản lý chất lượng qua áp dụng TCVN ISO 9001), những điểm quyết định trong các hệ thống như vậy sẽ tạo thành một phần của việc phân tích này. Tương tự như vậy, nếu tổ chức có bất kỳ hình thức nào về ủy nhiệm ra quyết định, những nhiệm vụ như vậy cũng nên được đưa vào phân tích. Kết quả cuối cùng s có một bức tranh mạch lạc, được văn bản hóa về việc các quyết định được ban hành ở đâu, do ai nêu và các quá trình hiện đang sử dụng đối với các quyết định như vậy.

Việc kết hợp các kỹ thuật nói trên s tạo ra một mức độ cao về nhận thức của cá nhân lẫn c tổ chức trong việc ra quyết định.

E.4.3 Đánh giá rủi ro

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Đ đánh giá rủi ro các quyết định tác nghiệp, những hình thức đơn giản đã được tiêu chuẩn hóa của quá trình quản lý rủi ro có th được những nhân viên tham gia phát triển để sử dụng. Những phương pháp này đặc biệt thích hợp trong tình huống mà mọi người làm việc mà không có sự theo dõi trực tiếp. Một thành phần quan trọng của các phương pháp này là nó tạo ra những nhận thức về các gi định như là đầu vào cho các quyết định. Theo định nghĩa, các giả định là một nguồn gc của sự không chắc chắn.

Các quá trình chuẩn hóa như vậy có thể được cụ thể đối với một hình thức liên quan đến việc ra quyết định, đối với một nhóm người cụ thể thực hiện một nhiệm vụ cụ thể, và đối với bi cảnh đin hình mà trong đó những vn đề trên xảy ra. Các hệ thống đơn giản có thể được biên soạn/ hệ thống hóa thành sổ tay bỏ túi hay bản hướng dẫn dạng danh mục kiểm tra và được tất cả những người tham gia trong loại hình công việc đ thực hiện.

E.4.4 Những gi ý cho khuôn khổ quản lý rủi ro

Việc áp dụng các kỹ thuật được mô tả trong điều khoản này s đòi hỏi một số hạng mục và sự điều chỉnh thích hợp đối với khuôn khổ quản lý rủi ro, ví dụ:

- sửa đổi các chính sách quản lý rủi ro của tổ chức;

- sắp xếp đ tiến hành việc điều tra ban đầu và lập bản đ thực hành ra quyết định;

- tiến hành sửa đổi đối với các sổ tay dạng quy trình;

- đào tạo cán bộ quản lý và nhân viên;

- đào tạo cụ thể cho những người có công việc phải được thực hiện phù hợp với một hệ thống quản lý cụ thể. (ví dụ như những nguồn có liên quan tới những dạng đặc biệt về rủi ro);

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- trao đổi thông tin nội bộ và tham vấn hiệu quả.

 

THƯ MỤC TÀI LIỆU THAM KHẢO

[1] TCVN ISO 9000 (ISO 9000), Hệ thống quản lý cht lượng - Thuật ngữ và định nghĩa.

[2] TCVN ISO 9001 (ISO 9001), Hệ thống quản lý chất lượng - Các yêu cầu.

[3] TCVN ISO 19011 (ISO 19011), Hướng dẫn đánh giá hệ thống quản lý.

[4] TCVN 9788:2013 (ISO Guide 73:2009), Quản lý rủi ro - Từ vựng.

[5] TCVN ISO/IEC 31010 (IEC 31010), Quản lý rủi ro- Kỹ thuật đánh giá rủi ro.

 

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Lời nói đầu

Lời giới thiệu

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

3  Áp dụng TCVN ISO 31000

3.1  Khái quát

3.2  Cách thức áp dụng TCVN ISO 31000

3.3  Tích hợp TCVN ISO 31000 vào các quá trình quản lý của tổ chức

3.4  Cải tiến liên tục

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Phụ lục B (tham khảo) Áp dụng các nguyên tắc của TCVN ISO 31000

Phụ lục C (tham khảo) Thể hiện nhiệm v và cam kết

Phụ lục D (tham khảo) Theo dõi và xem xét

Phụ lục E (tham khảo) Tích hợp quản lý rủi ro trong một hệ thống qun lý

Thư mục tài liệu tham khảo

Văn bản này chưa cập nhật nội dung Tiếng Anh

Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Tiêu chuẩn quốc gia TCVN ISO/TR 31004:2015 (ISO/TR 31004:2013) về Quản lý rủi ro - Hướng dẫn áp dụng TCVN ISO 31000

Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


3.793

DMCA.com Protection Status
IP: 3.144.253.195
Hãy để chúng tôi hỗ trợ bạn!