3 hàng phòng ngự trong quản trị rủi ro

Để chuyên nghiệp hóa quy trình quản trị rủi ro doanh nghiệp (ERM)

Nhân sự từ Hội đồng Quản trị đến cấp thừa hành còn khá xa lạ với khái niệm về 3 hàng phòng ngự doanh nghiệp (cấp điều hành trực tiếp, phòng quản trị rủi ro và bộ phận kiểm toán nội bộ). Không những thế, đã có nhiều ngộ nhận liên quan đến vấn đề này.

Những ngộ nhận

Một trong những ngộ nhận là về chức năng của 3 hàng phòng ngự doanh nghiệp. Hàng phòng ngự thứ nhất (cấp điều hành trực tiếp) thường cho rằng công tác quản trị rủi ro thuộc trách nhiệm của bộ phận quản trị rủi ro, chứ không thuộc trách nhiệm của họ, trong khi chính họ mới là những người tham gia trực tiếp vào công tác quản trị rủi ro.

Trong khi đó, đa số vẫn nghĩ rằng hàng phòng ngự thứ hai (phòng quản trị rủi ro) phải chịu trách nhiệm trực tiếp trong việc quản lý rủi ro cho công ty. Nhưng trên thực tế, phòng quản trị rủi ro sẽ đóng vai trò tư vấn thông qua việc xây dựng cơ cấu và quy trình quản trị rủi ro cho công ty, dưới sự hỗ trợ của Hội đồng Quản trị và Tổng Giám đốc. Phòng quản trị rủi ro sẽ huy động nguồn lực để tham gia quy trình này nhằm đạt được các mục tiêu chiến lược đã đề ra và tăng cường hệ thống kiểm soát nội bộ của công ty thông qua quy trình quản trị rủi ro.

Ở hàng phòng ngự thứ ba (kiểm toán nội bộ), tại không ít tổ chức, bộ phận kiểm toán nội bộ phải báo cáo cho Tổng Giám đốc. Điều này trái với thông lệ quốc tế là kiểm toán nội bộ báo cáo cho Ủy ban Kiểm toán trực thuộc Hội đồng Quản trị hay trực tiếp báo cáo cho Hội đồng Quản trị nếu tổ chức đó chưa có Ủy ban Kiểm toán. Việc để cho kiểm toán nội bộ báo cáo cho Tổng Giám đốc hay Giám đốc Tài chính là vi phạm nguyên tắc độc lập đối với hoạt động của kiểm toán nội bộ, hay nói nôm na là “vừa đá bóng vừa thổi còi”.

Văn hóa nhận thức rủi ro vẫn chưa được coi trọng cũng là một vấn đề thường thấy ở các doanh nghiệp Việt Nam. Điều này sẽ dẫn đến việc các thành viên trong một tổ chức không có cái nhìn hay nhận thức đồng bộ đối với quản trị rủi ro. Hội đồng Quản trị có thể rất hiểu và ủng hộ vai trò của quản trị rủi ro vì nó giúp bảo toàn danh tiếng của công ty. Nhưng cấp điều hành lại có thể không đồng thuận một khi họ vẫn chưa hiểu được một cách rạch ròi vai trò của họ về quản trị rủi ro.

Một điểm đáng lưu ý nữa là các thành viên Hội đồng Quản trị chưa trang bị cho mình những kiến thức cần thiết cho công tác quản trị rủi ro cũng như họ phải kiêm nhiệm quá nhiều chức danh cùng một lúc.

Ví dụ, thành viên Hội đồng Quản trị vừa là Giám đốc Tài chính, vừa là thành viên Ủy ban Kiểm toán, thành viên quản trị rủi ro và thành viên Ủy ban Khen thưởng. Như vậy, sẽ khó bảo toàn được tính độc lập của chức năng quản trị rủi ro. Hội đồng Quản trị và ban điều hành không tham gia đào tạo nhân lực về quản trị và đánh giá rủi ro, trong khi họ là những người chịu trách nhiệm chính trong quy trình quản trị rủi ro.

Điều này dẫn đến việc công tác quản trị rủi ro sẽ gặp khó khăn từ khâu đào tạo, thực hành đánh giá rủi ro, làm quen với các mẫu biểu và báo cáo, hiểu rõ vai trò và trách nhiệm của từng phòng ban chức năng. Do đó, mọi người sẽ không coi trọng chức năng quản trị rủi ro và dễ buông xuôi.

Giám đốc Quản trị Rủi ro: Anh là ai?

Vai trò của Chief Risk Officer - CRO (tạm dịch là Giám đốc Quản trị Rủi ro) còn rất xa lạ với các doanh nghiệp Việt Nam. Tại một số nơi, vị trí này còn trống hoặc không báo cáo trực tiếp cho CEO (Tổng Giám đốc). Theo thông lệ quốc tế, vị trí này sẽ báo cáo trực tiếp cho CEO và đồng thời cho Ủy ban Rủi ro trực thuộc Hội đồng Quản trị hoặc cho Hội đồng Quản trị nếu chưa có Ủy ban Rủi ro.

Rủi ro của việc này là tính độc lập sẽ không được bảo toàn và mâu thuẫn quản lý sẽ phát sinh. Thậm chí tệ hơn nữa là CRO sẽ không có đủ quyền hạn để thực hiện công việc của họ khi cần thiết và có nguy cơ trở thành trợ thủ “đắc lực” cho các thế lực có ý đồ xấu. Đây là yếu tố nguy hiểm nhất có thể làm tiêu tan khả năng thành công của việc triển khai quy trình quản trị rủi ro doanh nghiệp (Enterprise Risk Management - ERM), vốn còn khá mới mẻ tại Việt Nam.

Một số nơi vẫn chưa quen thuộc giữa phương pháp tiếp cận quản trị rủi ro doanh nghiệp tập trung và quản trị rủi ro doanh nghiệp phân tán. Trong đó, phương pháp phân tán là từng phòng ban chỉ nhìn rủi ro trong khuôn khổ cô lập, thay vì là rủi ro có tính liên kết với các bộ phận khác. Hậu quả là có những rủi ro cực kỳ nghiêm trọng ở cấp độ doanh nghiệp đã bị bỏ qua hay phớt lờ, từ đó ảnh hưởng lớn đến hoạt động của công ty.

Các công ty Việt Nam vẫn chưa quen hoặc chưa áp dụng các mô hình quản trị rủi ro quốc tế như ISO 31000 - 2009, COSO, S&P và AS/NZS 4360:2004. Các doanh nghiệp có khuynh hướng thuê tư vấn quản trị rủi ro phục vụ một giai đoạn chuyển đổi hay tái cơ cấu chỉ khi cổ đông chiến lược yêu cầu. Còn bình thường, nếu không bị bắt buộc, các công ty sẽ không triển khai quy trình hay mô hình quản trị rủi ro. Một phần là do họ ngại chi phí, một phần do vẫn chưa xem trọng công tác quản trị rủi ro.

Tuy nhiên, trước áp lực lành mạnh hóa môi trường hoạt động của các công ty Việt Nam, đặc biệt là các định chế tài chính, việc triển khai quy trình ERM sẽ trở thành xu hướng tất yếu. Việc chuẩn bị nên được thực hiện ngay từ bây giờ để xây dựng một đội ngũ quản trị rủi ro chuyên nghiệp. Khi thành lập phòng quản trị rủi ro, vị trí đầu tiên mà công ty cần cân nhắc là CRO, vì đây sẽ là cầu nối giữa Hội đồng Quản trị với các phòng ban chức năng trong việc xây dựng cơ cấu và triển khai quy trình ERM. CRO sẽ báo cáo trực tiếp cho Tổng Giám Đốc và đồng thời cho Ủy ban Rủi ro hay Hội đồng Quản trị.

(*) Giám đốc Nghiệp vụ phụ trách Quản trị Rủi ro tại Công ty Quản lý Quỹ Đầu tư Dragon Capital.