Tiêu chuẩn Quốc gia TCVN ISO/TR 31004:2015 ISO/TR 31004:2013 Quản lý rủi ro-Hướng dẫn áp dụng TCVN ISO 31000

  • Thuộc tính
  • Nội dung
  • Tiêu chuẩn liên quan
  • Lược đồ
  • Tải về
Mục lục Đặt mua toàn văn TCVN
Lưu
Theo dõi văn bản

Đây là tiện ích dành cho thành viên đăng ký phần mềm.

Quý khách vui lòng Đăng nhập tài khoản LuatVietnam và đăng ký sử dụng Phần mềm tra cứu văn bản.

Báo lỗi
  • Báo lỗi
  • Gửi liên kết tới Email
  • Chia sẻ:
  • Chế độ xem: Sáng | Tối
  • Thay đổi cỡ chữ:
    17
Ghi chú

Tiêu chuẩn Việt Nam TCVN ISO/TR 31004:2015

Tiêu chuẩn Quốc gia TCVN ISO/TR 31004:2015 ISO/TR 31004:2013 Quản lý rủi ro-Hướng dẫn áp dụng TCVN ISO 31000
Số hiệu:TCVN ISO/TR 31004:2015Loại văn bản:Tiêu chuẩn Việt Nam
Cơ quan ban hành: Bộ Khoa học và Công nghệLĩnh vực: Lĩnh vực khác
Năm ban hành:2015Hiệu lực:
Người ký:Tình trạng hiệu lực:
Đã biết

Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Tình trạng hiệu lực. Nếu chưa có tài khoản Quý khách đăng ký tại đây!

Tình trạng hiệu lực: Đã biết
Ghi chú
Ghi chú: Thêm ghi chú cá nhân cho văn bản bạn đang xem.
Hiệu lực: Đã biết
Tình trạng: Đã biết

TIÊU CHUẨN QUỐC GIA

TCVN ISO/TR 31004:2015

ISO/TR 31004:2013

QUẢN LÝ RỦI RO - HƯỚNG DẪN ÁP DỤNG TCVN ISO 31000

Risk management - Guidance for the implementation of ISO 31000

Lời nói đầu

TCVN ISO 31004:2015 hoàn toàn tương đương với ISO 31004:2013.

TCVN ISO 31004:2015 do Ban kỹ thuật Tiêu chuẩn Quc gia TCVN/TC 176 Quản lý chất lượng và đảm bảo chất lượng biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đ ngh, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

0.1 Khái quát

Tổ chức sử dụng các phương pháp khác nhau đ quản lý tác động của sự chắc chắn tới các mục tiêu của mình, nghĩa là quản lý rủi ro, bằng cách phát hiện và hiểu được rủi ro và điều chỉnh nó khi cần thiết.

Tiêu chuẩn này nhằm hỗ trợ các t chức để nâng cao hiu lực của các nỗ lực quản lý rủi ro của họ phù hợp với TCVN ISO 31000. TCVN ISO 31000 đưa ra cách tiếp cận chung về quản lý rủi ro, có thể áp dụng cho tất cả các tổ chức, giúp đạt được mục tiêu của họ.

Tiêu chuẩn này dự định sử dụng bởi những người trong tổ chức đưa ra quyết định có ảnh hưởng đến việc đạt được mục tiêu của tổ chức, bao gm cả những người chịu trách nhiệm quản tr và cả những người cung cấp hướng dẫn quản lý rủi ro hoặc dịch vụ hỗ trợ. Tiêu chuẩn này cũng được dự định sẽ sử dụng bởi bất cứ ai quan tâm đến rủi ro và việc quản lý của mình, bao gm giáo viên, sinh viên, các nhà lập pháp và quản lý.

Tiêu chuẩn này dự định s được sử dụng đồng thời với TCVN ISO 31000 và có thể áp dụng cho mọi loại hình tổ chức với quy mô khác nhau. Các khái niệm và định nghĩa chính là trung tâm đ hiểu TCVN ISO 31000 được giải thích trong Phụ lục A.

Điều 3 đưa ra phương pháp luận chung giúp t chức đưa các sắp xếp quản lý rủi ro hiện có phù hợp với TCVN ISO 31000 một cách có kế hoạch và cu trúc. Điều này cũng tạo ra một cách điều chỉnh năng động khi những thay đổi xảy ra trong môi trường bên trong và bên ngoài tổ chức.

Các phụ lục cung cấp chỉ dẫn, các ví dụ và giải thích v việc áp dụng các khía cạnh được lựa chọn của TCVN ISO 31000 nhằm giúp người sử dụng phù hợp với nhu cầu và kinh nghiệm chuyên môn của họ.

Các ví dụ nêu trong tiêu chuẩn này có thể hoặc không có thể áp dụng trực tiếp vào các tình huống hay cho các tổ chức cụ thể mà chỉ nhằm mục đích minh họa.

0.2 Những nguyên tắc và khái niệm cơ bản

Một số từ và khái niệm cụ thể là nền tng để hiểu v cả TCVN ISO 31000 và tiêu chuẩn này, chúng được giải thích trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 2 và trong Phụ lục A.

TCVN ISO 31000 nêu 11 nguyên tắc đ quản lý rủi ro một cách hiu lực. Vai trò của các nguyên tắc là đ thông báo và hướng dẫn tất cả các khía cạnh của phương pháp tiếp cận của t chức đ quản lý rủi ro. Các nguyên tắc mô tả những đặc trưng của quản lý rủi ro hiệu quả. Thay vì chỉ đơn giản thực hiện các nguyên tắc, điều quan trọng là tổ chức phải thể hiện chúng trong tất cả các khía cạnh của vic quản lý. Chúng được dùng như các chỉ số v kết quả quản lý rủi ro và nâng cao giá trị cho tổ chức trong quản lý rủi ro một cách hiệu lực. Chúng cũng ảnh hưởng đến tất cả các yếu tố của quá trình chuyển đổi đã được quy định trong tiêu chuẩn này cũng như trong các vấn đề kỹ thuật là đối tượng nêu trong các phụ lục. Nhng chỉ dẫn khác được nêu trong Phụ lục B.

Tiêu chuẩn này sử dụng hai cụm từ lãnh đạo cao nht và “bộ phận giám sát”. Lãnh đạo cao nhất đề cập đến những người hoặc nhóm người điều hành và kiểm soát một tổ chức ở cấp cao nhất, trong khi các bộ phận giám sát” đ cập đến người hoặc nhóm người quản trị v mặt tổ chức, đặt ra định hướng, sử dụng “lãnh đạo cao nhất”.

CHÚ THÍCH: Trong nhiều tổ chức, bộ phận giám sát có thể được gọi Ban giám đốc, Ban đảm bảo tính tin cậy, Ban giám sát, v.v...

QUẢN LÝ RỦI RO - HƯỚNG DN ÁP DỤNG TCVN ISO 31000

Risk management - Guidance for the implementation of ISO 31000

1. Phạm vi áp dụng

Tiêu chuẩn này này đưa ra hướng dẫn cho các tổ chức về quản lý rủi ro một cách hiệu lực thông qua việc: áp dụng TCVN ISO 31000:2011 (ISO 31000:2009). Tiêu chuẩn này đưa ra:

- cách tiếp cận có cấu trúc đối với các tổ chức để chuyển những sắp xếp về quản lý rủi ro của mình phù hợp với TCVN ISO 31000 theo cách là phù hợp với đặc điểm của tổ chức;

- giải thích các khái niệm cơ bản của TCVN ISO 31000;

- hướng dẫn về các khía cạnh của các nguyên tắc và khuôn khổ quản lý rủi ro được quy định trong TCVN ISO 31000.

Tiêu chuẩn này có thể được sử dụng bởi bất kỳ doanh nghiệp công, tư hay cộng đồng, hiệp hội, nhóm hoặc cá nhân.

CHÚ THÍCH: Đ thuận tiện, tất cả những người sử dụng tiêu chuẩn này được gọi bằng thuật ngữ chung là “tổ chức.

Tiêu chuẩn này không áp dụng riêng cho bất kỳ ngành công nghiệp hay lĩnh vực nào hoặc với bất kỳ loại hình rủi ro cụ th nào, tiêu chuẩn có thể được áp dụng cho tt c các hoạt động và cho tất cả các bộ phận của tổ chức.

2. Tài liệu viện dẫn

Tài liệu viện dẫn dưới đây rất cần thiết cho việc áp dụng tiêu chuẩn này. Đi với các tài liệu ghi năm công bố thì áp dụng bản được nêu. Đi với các tài liệu không ghi năm công bố thì áp dụng bản mới nhất, bao gm cả các sửa đổi.

TCVN ISO 31000:2011 (ISO 31000:2009), Quản lý rủi ro - Nguyên tc và hướng dẫn.

3. Áp dụng TCVN ISO 31000

3.1 Khái quát

Điều này nêu hướng dẫn cho các tổ chức đang tiếp cận và thực hành quản lý rủi ro của mình theo TCVN ISO 31000 và tiếp tục duy trì những thực hành theo định hướng đó.

Điều này nêu phương pháp luận áp dụng thích hợp, theo cách đã được hoạch định, đối với bt kỳ tổ chức nào không phụ thuộc vào bản chất của các cách thức quản lý rủi ro hiện tại của tổ chức đó. Phương pháp luận này bao gồm:

- so sánh thực hành hin tại với nhng quy định và thực hiện một kế hoạch để làm như vậy;

- duy trì việc theo dõi và xem xét thường xuyên đ đảm bảo việc thực hành hiện tại và cải tiến liên tục.

Điều này giúp t chức có được sự hiểu biết hiện tại và toàn diện về các rủi ro của mình và đảm bo rằng những rủi ro đó phù hợp với thái độ đối với rủi ro và các tiêu chí rủi ro của tổ chức.

Dù động cơ áp dụng TCVN ISO 31000 là gì thì việc làm như trên được kỳ vọng s tạo điều kiện thuận lợi cho một tổ chức đều quản lý tốt hơn các rủi ro, hỗ trợ cho các mục tiêu của mình. Tất cả các tổ chức qun lý rủi ro ở mức độ nào đó. Chiến lược áp dụng TCVN ISO 31000 cần nhận biết về việc một tổ chức đang quản lý rủi ro như thế nào.

Quá trình áp dụng, như mô tả trong 3.2, sẽ xem xét, đánh giá những cách thức đang thực hiện và nếu cần thiết, điều chỉnh và sửa đổi đ phù hợp với TCVN ISO 31000.

TCVN ISO 31000 xác định các yếu t khác nhau của một khuôn kh quản lý rủi ro. Có một số li thế có thể nảy sinh khi các yếu t của khuôn kh này được lồng ghép vào hoạt động qun tr, các chức năng và các quá trình của tổ chức. Điều này liên quan đến tính hiệu lực về mặt tổ chức, việc ra quyết định đúng đắn và tính hiệu quả.

a) Khuôn khổ để quản lý rủi ro cần được thực hiện bằng cách tích hợp các thành phần của khuôn kh này vào h thống quản lý và ra quyết định của tổ chức, cho dù hệ thống này là chính thức hay không chính thức; các quá trình quản lý hiện tại có thể được cải tiến bằng cách tham khảo TCVN ISO 31000.

b) Sự hiu biết và quản lý về sự không chắc chắn trở thành một phần không thể thiếu trong (các) hệ thống quản lý, thiết lập nên một cách tiếp cận chung cho tổ chức.

c) Việc áp dụng quá trình quản lý rủi ro này có thể phù hợp từng phần với quy mô và các yêu cầu của tổ chức.

d) Hoạt động quản trị (nghĩa là điều hành và giám sát) về chính sách, khuôn khổ và (các) quá trình quản lý rủi ro có thể được tích hợp vào những cách thức quản trị hiện tại của tổ chức.

e) Việc báo cáo quản lý rủi ro được tích hợp với việc báo cáo quản lý khác.

f) Kết quả thực hiện quản lý rủi ro trở thành một phần không thể thiếu của cách tiếp cận kết quả thực hiện tổng thể.

g) Sự tương tác và kết nối giữa các lĩnh vực quản lý rủi ro tách biệt của một tổ chức (ví dụ như quản lý rủi ro doanh nghiệp, quản lý rủi ro tài chính, quản lý rủi ro dự án, quản lý an toàn và an ninh, quản lý tính liên tục của hoạt động kinh doanh, quản lý bảo hiểm) có thể được đảm bảo hoặc được cải thiện, do sự chú trọng hàng đầu vào việc thiết lập và thực hiện thành công các mục tiêu của tổ chức và có tính đến các rủi ro.

h) Trao đổi thông tin về sự không chắc chắn và rủi ro giữa các đội quản lý và các cấp quản lý được cải thiện.

i) Các hoạt động quản lý rủi ro trong một tổ chức đặt trọng tâm vào việc thực hiện thành công các mục tiêu của tổ chức. Điều này có thể mang lại những lợi ích xã hội gián tiếp do các bên liên quan bên ngoài có thể được khích lệ để cải thiện hoạt động quản lý rủi ro riêng của mình.

j) Việc xử lý và các biện pháp kiểm soát rủi ro có thể trở thành một phần không thể thiếu trong các hoạt động hàng ngày.

3.2  Cách thức áp dụng TCVN ISO 31000

Mặc dù TCVN ISO 31000 có giải thích v cách thức để quản lý rủi ro một cách hiệu lực nhưng tiêu chuẩn y không diễn giải cách thức tích hợp quản lý rủi ro vào các quá trình quản lý của tổ chức. Tuy vậy, các tổ chức có thể khác nhau và các điểm khởi đầu của họ có thể khác nhau nhưng trong mọi trường hợp, họ vẫn có thể áp dụng tiêu chuẩn này nhờ một cách tiếp cận áp dụng chung và có hệ thống.

Tổ chức cần xác định liệu có cần có những thay đổi đối với khuôn khổ hiện tại của mình để quản lý rủi ro, trước khi hoạch định và thực hiện những thay đổi đó và sau đó theo dõi thường xuyên tính hiệu lực của khuôn khổ đã được sửa đổi này. Điều này cho phép tổ chức:

- thống nhất các hoạt động quản lý rủi ro của mình với các nguyên tắc quản lý rủi ro có hiệu lực như nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 3;

- áp dụng quá trình quản lý rủi ro như nêu trong TCVN ISO 31000:2009, Điều 5;

- đáp ứng các đặc tính quản lý rủi ro nâng cao như nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), A.3;

- nhờ đó đạt được những kết quả quan trọng như nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), A.2.

Cách tiếp cận này cũng được áp dụng cho các tổ chức vn đã tuân thủ TCVN ISO 31000 và mong muốn liên tục cải tiến khuôn khổ và quá trình đ quản lý rủi ro như đã khuyến ngh trong TCVN ISO 31000:2011 (ISO 31000:2009), 4.6 và 5.6.

Tất cả các khía cạnh của quá trình chuyển đổi có thể được trợ giúp nhờ kinh nghiệm được rút ra từ các tổ chức khác khi họ quản lý các loại hình rủi ro tương tự hoặc đã trải qua một quá trình tương tự.

3.3 Tích hợp ISO 31000 vào các quá trình quản lý của tổ chức

3.3.1 Khái quát

TCVN ISO 31000 đưa ra khuôn khổ và một quá trình chung đ quản lý rủi ro trong tất cả hoặc một phần của mọi loại hình tổ chức. Điều này nêu hướng dẫn cho việc tích hợp các yếu tố của TCVN ISO 31000 vào cách tiếp cận quản lý của một tổ chức, bao gồm các hoạt động, quá trình và chức năng của tổ chức. Các tổ chức có thể lựa chọn tích hợp các khái niệm của TCVN ISO 31000 với các quá trình hiện tại của mình, hoặc có thể lựa chọn thiết kế và thiết lập một cách tiếp cận mới dựa trên TCVN ISO 31000. Điều này mô t các yếu tố cốt lõi cửa khuôn khổ quản lý và quá trình, cũng như các hành động cần thiết đ tích hợp thành công các yếu tố này nhằm đáp ứng các mục tiêu ca tổ chức. Có rất nhiều cách để tích hợp TCVN ISO 31000 vào một tổ chức. Việc lựa chọn và sp xếp thứ tự của các yếu tố cần phù hợp với nhu cầu và các bên liên quan của tổ chức. Phải thận trọng khi áp dụng tiêu chuẩn này đ đảm bo rằng việc tích hợp s hỗ trợ cho chiến lược quản lý kinh doanh tổng thể. Điu này dẫn đến nỗ lực đáp ng các mục tiêu của tổ chức v bảo vệ và tạo lập giá trị. Cách tiếp cận này cũng cần phải cân nhắc đến văn hóa của t chức, cũng như các phương pháp luận về quản lý dự án và quản lý thay đổi.

Điều này mô tả các yếu tố cốt lõi của khuôn khổ và quá trình, các hành động cần thiết để tích hợp thành công các yếu tố này nhằm đáp ứng các mục tiêu của tổ chức.

Áp dụng TCVN ISO 31000 là một quá trình liên tục mang tính động và lặp lại. Hơn nữa, việc áp dụng khuôn khổ này được kết nối tương hỗ với các quá trình quản lý rủi ro nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 5. Sự thành công được đo lường về cả sự tích hợp của khuôn khổ này lẫn việc cải tiến liên tục quản lý rủi ro trong toàn bộ tổ chức.

Việc tích hợp din ra trong một bối cảnh năng động. Tổ chức cần theo dõi cả những thay đổi phát sinh do quá trình áp dụng và những thay đổi đối vớt bối cảnh bên trong và bên ngoài của tổ chức. Điều này có thể bao gồm nhu cầu thay với các tu chí rủi ro của t chức.

3.3.2 Nhiệm vụ và cam kết

Mọi hoạt động qun lý kinh doanh đều bắt đầu từ việc phân tích về tính hợp lý, các bước của các quá trình và phân tích lợi ích - chi phí. Tiếp theo là quyết định của lãnh đạo và bộ phận giám sát về việc thực hiện và đưa ra cam kết và cung cấp các nguồn lực cần thiết.

Thông thường, quá trình áp dụng bao gồm:

a) Yêu cu nhiệm vụ và cam kết (nếu yêu cầu);

b) Phân tích khong trống;

c) Điều chỉnh và xác lập quy mô trên cơ sở các nhu cầu, văn hóa, việc tạo lập và bảo vệ giá trị của tổ chức;

d) Xem xét, đánh giá các rủi ro liên quan tới việc chuyn đi;

e) Xây dựng một kế hoạch kinh doanh:

- thiết lập các mục tiêu, th tự ưu tiên và thước đo;

- thiết lập tình huống kinh doanh, bao gồm sự phù hợp với các mục tiêu của tổ chức;

- xác định phạm vi, trách nhiệm giải trình, khung thời gian và nguồn lực;

f) xác định bối cảnh áp dụng, bao gồm trao đổi thông tin với các bên liên quan.

3.3.3 Thiết kế khuôn khổ

3.3.3.1 Các cách tiếp cận quản lý rủi ro hiện tại trong tổ chức cn được xem xét, đánh giá, bao gồm bi cnh và văn hóa.

a) Điều quan trọng là phải cân nhắc về các trách nhiệm pháp lý, chế đnh hoặc trách nhiệm đối với khách hàng và các yêu cầu chứng nhận phát sinh từ bất kỳ hệ thống quản lý và các tiêu chuẩn quản lý mà tổ chức lựa chọn áp dụng. Mục đích của bước này là cho phép điều chỉnh một cách cẩn trọng đối với thiết kế khuôn khổ quản lý rủi ro và kế hoạch áp dụng khuôn khổ quản lý rủi ro, đồng thời cho phép thống nhất cơ cấu, văn hóa với hệ thống quản lý chung của tổ chức.

b) Điều quan trọng là cân nhắc về cả quá trình được sử dụng để quản lý rủi ro ln các khía cạnh của khuôn khổ quản lý ri ro hiện có h trợ việc áp dụng quá trình này.

c) Cần thiết lập các tiêu chí rủi ro thích hợp. Các tu chí rủi ro cần nht quán với các mục tiêu của tổ chức và đnh hưng theo thái độ đối với rủi ro của tổ chức. Nếu các mục tiêu này thay đi, các tiêu chí rủi ro cần được điều chỉnh cho phù hợp. Điều quan trọng đối với việc quản lý rủi ro có hiệu lực là các tiêu chí rủi ro được thiết lập phản ánh được thái độ đối với rủi ro và các mục tiêu của tổ chức.

Để thiết kế khuôn khổ mới, cn xem xét, đánh giá cụ thể:

- Các nguyên tắc và các đặc tính, như được mô tả trong TCVN ISO 31000;

- Khuôn khổ quản lý trước đây mà việc xem xét, đánh giá cần so sánh một cách cụ thể những thực hành hiện tại với các yêu cầu nêu trong các điều sau của TCVN ISO 31000 (ISO 31000):

- 4.3.2 (chính sách quản lý rủi ro);

- 4.3.3 (trách nhiệm giải trình);

- 4.3.4 (tích hợp vào các quá trình tổ chức);

- 4.3.5 (nguồn lực);

- 4.3.6 và 4.3.7 (các cơ chế báo cáo và trao đổi thông tin nội bộ và bên ngoài);

- Quá trình mà việc xem xét, đánh giá cần so sánh các yếu tố của các quá trình hiện tại với quy đnh tại TCVN ISO 31000:2011 (ISO 31000:2009), Điều 5, cũng như các nguyên tắc nn tảng mà dẫn đến và cung cấp cơ sở hợp lý cho quá trình này với các nguyên tc nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 3 (ví dụ liệu quá trình này có áp dụng thực sự cho việc ra quyết định ở tất cả các cấp hay không):

- Xem xét, đánh giá xem liệu quá trình hiện tại này có cung cấp cho những người ra quyết định các thông tin rủi ro mà họ cần để đưa ra các quyết định có chất lượng và đáp ứng hoặc vượt các mục tiêu hay không;

- Xem xét, đánh giá xem liệu các cách tiếp cận quản lý rủi ro hiện tại có đ cập đầy đủ các rủi ro có tương tác lẫn nhau và các rủi ro xảy ra tại nhiều địa điểm khác nhau hay không.

3.3.3.2 Cần xác định các yêu cầu thiết kế khuôn khổ

Trên cơ sở các xem xét, đánh giá được mô tả trong 3.3.3.1, tổ chức cần quyết định các khía cạnh nào của cách tiếp cận rủi ro hiện tại:

a) có thể tiếp tục được sử dụng trong tương lai (có thể được mở rộng cho các loại hình ra quyết định khác);

b) cần sửa đổi hoặc nâng cao;

c) không còn tạo giá trị gia tăng và cần ngừng áp dụng;

Tổ chức cần xây dựng, lập thành tài liệu và trao đổi thông tin về việc s quản lý rủi ro như thế nào. Quy mô và nội dung của các tiêu chuẩn, các hướng dẫn và các mô hình nội bộ của tổ chức có liên quan đến quản lý rủi ro cần phản ánh đặc điểm văn hóa và bi cảnh của tổ chức.

Các tài liệu này có thể quy định rằng:

- Các rủi ro được quản lý trong toàn bộ tổ chức nhờ sử dụng các phương pháp tiếp cận nhất quán;

- Có những cấp trách nhiệm giải trình khác nhau trong quản lý rủi ro;

- Năng lực và nhim vụ của tất cả nhng người có trách nhiệm giải trình quản lý rủi ro đều được xác định rõ ràng;

- Cả các bên liên quan nội bộ và bên ngoài đều tham gia một cách phù hợp thông qua việc trao đổi thông tin và tham vn toàn diện;

- Các thông tin về rủi ro và đầu ra từ tt c các ứng dụng của quá trình quản lý rủi ro được ghi nhận một cách nhất quán và an toàn, thuận tiện cho việc tiếp cận.

Cũng cn có quy định v việc xem xét định kỳ các yêu cầu, công cụ, đào tạo và các nguồn lực của tổ chức đối với quản lý rủi ro, nếu sau đó có những thay đổi v tổ chức và bối cảnh của tổ chức hoặc nếu như việc theo dõi và xem xét liên tục xác định thấy có những điểm yếu hoặc không hiệu quả.

3.3.3.3 Cần xác định phạm vi, mục tiêu, chỉ tiêu, nguồn lực và các biện pháp đã thành công và các tu chí theo dõi, xem xét đối với giai đoạn thực hiện.

3.3.3.4 Cần thiết lập cơ chế báo cáo và trao đổi thông tin nội bộ và bên ngoài.

3.3.4 Thực hiện quản lý rủi ro

Cần có một kế hoạch thực hiện chi tiết để đảm bảo rng những thay đổi cần thiết sẽ được thực hiện theo một trình tự rõ ràng và phải cung cấp, đưa vào sử dụng các nguồn lực cần thiết. Kế hoạch này cần được hỗ trợ bởi các nguồn lực cần thiết trong quá trình thực hiện và điều này có thể đòi hỏi việc phân bổ các khoản ngân sách cụ thể mà việc phân bổ này cn là một phần công việc của quá trình lập kế hoạch.

Bản thân kế hoạch này cn là đối tượng của đánh giá rủi ro theo TCVN ISO 31000:2011 (ISO 31000:2009), 5.4 và mọi hành động cần thiết được áp dụng để xử lý rủi ro.

Kế hoạch này cần vừa yêu cầu, vừa cho phép việc theo dõi và báo cáo về tiến triển với lãnh đạo cao nhất và bộ phận giám sát và cần có điều khoản quy định về xem xét định kỳ kế hoạch này.

Do đó, kế hoạch này cần:

- Nêu chi tiết các hoạt động cụ thể được thực hiện, trình tự, người thực hiện, tiến độ hoàn thành: các hành động này sẽ bao gm cả việc sửa đổi các tiêu chuẩn, hướng dẫn nội bộ; giải thích và đào tạo để xây dựng năng lực và thực hiện các điều chỉnh về trách nhiệm giải trình;

- Xác định bất kỳ hành động nào s được thực hiện n một phần của một số hành động có phạm vi rộng hơn và gắn kết với sự phát triển của tổ chức, hoặc những hành động có mi liên h khác (ví dụ như xây dựng tài liệu đào tạo và sự tham gia của các giảng viên);

- Xác định các trách nhiệm thực hiện;

- Kết hợp với cơ chế về báo cáo việc hoàn thành, tiến triển và các vấn đề;

- Xác định và ghi nhận bất kỳ tiêu chí nào s dẫn đến xem xét lại kế hoạch này.

Việc thực hiện có thể đòi hi một khoảng thời gian để hoàn thành và có thể được tiến hành theo các giai đoạn. Thực hành thông thường cần được áp dụng là giành sự ưu tiên cho những thay đổi có ảnh hưởng ln nhất đối với thực hiện thành công mục đích cuối cùng. Việc thực hiện này có thể xảy ra ở các giai đoạn khác nhau của sự lớn mạnh và cơ cấu của tổ chức. Điều này cũng có thể có hiệu lực hơn khi tích hợp việc thực hiện với các chương trình thay đổi khác.

3.3.5 Theo dõi và xem xét

Cần theo dõi, phân tích và báo cáo kịp thời về sự tiến triển so với kế hoạch cho lãnh đạo cao nht (hàng tháng, hàng quý, v.v...).

Các báo cáo về sự tiến triển so với kế hoạch và kết quả thực hiện so với các thước đo cn được xác nhận định kỳ theo một quá trình xem xét khách quan. Hoạt động xem xét cần bao gm việc kiểm tra về khuôn khổ, các quá trình, bản thân các rủi ro và sự thay đổi đối với môi trường.

Cn có một cuộc xem xét định kỳ về chiến lược thực hiện và đo lường sự tiến bộ, tính nhất quán cũng như sự sai lệch so với kế hoạch quản lý rủi ro. Các cuộc xem xét cũng có thể thực hiện nếu như các tu chí xem xét đã đ ra trong kế hoạch được khởi sự thực hiện.

Cần xem xét, đánh giá kết quả thực hiện trên cơ sở tính hiệu lực của sự thay đổi và quản lý rủi ro, cũng như để xác định các bài học kinh nghiệm và các cơ hội cải tiến.

Các vn đề quan trọng có được từ việc theo dõi thực hiện kế hoạch này cn được báo cáo cho những người có trách nhiệm.

Các kết quả của bước này s được phản hồi vào bối cảnh và các chức năng khác, sao cho những rủi ro mới có thể được xác định, các thay đổi đối với rủi ro hiện tại có thể được phát hiện, và tình trạng thực hiện của khuôn khổ này có thể được ghi nhận để cải tiến [(xem TCVN ISO 31000:2011 (ISO 31000:2009), 4.6 và 5.7].

3.4 Cải tiến liên tục

Cả khuôn khổ quản lý rủi ro và các quá trình quản lý rủi ro cần được xem xét để đánh giá xem thiết kế của chúng có phù hợp và việc thực hiện có làm gia tăng giá trị cho tổ chức như dự định hay không. Nếu các kết quả của việc theo dõi và xem xét cho thy sự cải tiến có thể được thực hiện thì chúng cần được áp dụng càng sớm càng tốt.

Đối với các tổ chức đã chuyn sang áp dụng TCVN ISO 31000, cần có sự nhận thức và sự lĩnh hội vững vàng về cơ hội đ ci tiến. Các bước tương tự như đã được sử dụng trong quá trình chuyển đổi cũng sẽ hữu ích cho việc thực hiện các cuộc kiểm tra đnh k nhằm phát hiện xem liệu có sự chệch hướng khỏi quá trình này hay không.

Có những nguyên do dẫn đến việc cải tiến liên tục, bao gồm:

- việc theo dõi và xem xét thường xuyên khuôn khổ và quá trình quản lý rủi ro để từ đó xác định các cơ hội cải tiến;

- những kiến thức mới có được;

- sự thay đổi thật sự, đáng kể đối với bối cảnh nội bộ và bên ngoài của tổ chức.

Phụ lục A

(Tham khảo)

Các khái niệm và nguyên tắc nền tảng

A.1 Khái quát

Phụ lục này giải thích một số từ và khái niệm cụ thể (ví dụ như “rủi ro”) đang được sử dụng hàng ngày và chúng có thể có một số ngữ nghĩa, nhưng trong cả TCVN ISO 31000 và trong tiêu chuẩn này thì chúng có ngữ nghĩa đặc trưng riêng.

TCVN ISO 31000 định nghĩa rủi ro là “tác động của sự không chắc chắn lên các mục tu..

CHÚ THÍCH: Các độc giả nên làm quen với các thuật ngữ và định nghĩa trong phụ lục này.

A.2  Rủi ro và các mục tiêu

Các tổ chức thuộc mọi loại hình đu phải đối mặt với các nhân tố và những ảnh hưởng bên trong và bên ngoài làm cho tổ chức không chắc chắn về việc khi nào và ở quy mô nào thì họ s đạt hoặc vượt các mục tiêu của mình. nh hưởng của sự không chắc chắn tới các mục tiêu của tổ chức chính là rủi ro.

Những mục tiêu nêu trong TCVN ISO 31000 và trong tiêu chuẩn này là kết quả mà tổ chức đang tìm kiếm. Thông thường, đây là những biểu hiện cao nhất về ý định và mục đích mà tổ chức đang tìm kiếm, và chúng thường phản ánh các kết quả rõ ràng hoặc ngầm hiểu, biểu th giá trị và những đòi hỏi của nó, bao gồm cả việc xem xét trách nhiệm xã hội và yêu cầu pháp lý và luật định. Nói chung, quản lý rủi ro sẽ được triển khai thuận lợi nếu các mục tiêu được thể hiện bằng hạng mục đo lường được. Thường có các mục tiêu phc tạp, chứa nhiều hạng mục, tuy nhiên, sự không nht quán giữa các mục tiêu cũng có thể là một ngun của rủi ro.

Khả năng xảy ra không chỉ xét ở góc độ một sự kiện xảy ra mà là toàn bộ kh năng của các h quả có th xảy ra từ sự kiện và mức độ của h quả k cả tích cực lẫn tiêu cực. Thông thường, có thể có nhiều hệ quả có thể phát sinh từ một sự kiện và mỗi hệ quả sẽ có khả năng riêng của nó. Mức rủi ro có thể được biểu hiện là khả năng xảy ra những hệ quả cụ thể này (bao gồm cả quy mô/độ lớn) của nó là chấp nhận được với thực tiễn. Các hệ quả liên quan trực tiếp đến mục tiêu và chúng nảy sinh khi một cái gì đó xảy ra hay không xảy ra.

Rủi ro là tác động của sự không chắc chắn đối với các mục tiêu, bất luận là lĩnh vực hay các hoàn cảnh nào, bởi vậy một sự kiện hay một mối nguy (hoặc bất kỳ nguồn rủi ro nào khác) có thể không được mô tả như là một rủi ro. Rủi ro cần được mô tả như sự kết hợp của khả năng xy ra một sự kiện (hay mối nguy hoặc nguồn gốc rủi ro) và hệ quả của nó.

Sự hiểu biết rằng rủi ro có thể có những hệ quả tích cực hay tiêu cực là một khái niệm trung tâm và quan trọng mà những người lãnh đạo phải biết. Rủi ro có thể đặt cho tổ chức vào một cơ hội, một mối đe dọa hoặc cả hai.

Rủi ro phát sinh hoặc b thay đổi khi đưa ra các quyết định. Do hầu như luôn có những sự không chắc chắn gắn liền với các quyết định và việc ra quyết định, nên cũng hầu như luôn có rủi ro. Người có trách nhiệm đối với việc đạt được các mục tiêu rt cần đánh giá được rằng rủi ro là một phần tất yếu của các hoạt động của tổ chức và nó thường được tạo ra hoặc bị thay đổi khi đưa ra các quyết định. Phải biết và hiểu các rủi ro liên quan đến một quyết định ngay thời điểm ra quyết định đó và do vậy phải ch động chấp nhận rủi ro đó. Điều này có thể được thực hiện khi sử dụng quá trình quản lý rủi ro nêu trong TCVN ISO 31000.

A.3 Sự không chắc chắn

Sự không chắc chắn gắn lin với các mục tiêu, làm phát sinh rủi ro luôn bắt nguồn từ chính môi trường bên trong và bên ngoài mà tại đó tổ chức hoạt động. Sự không chắc chắn có thể là:

- Hệ quả của các yếu tố xã hội học, tâm lý và văn hóa có tính nn tảng liên quan đến hành vi của con người;

- Được phát sinh bi các quá trình tự nhiên được đặc trưng bởi sự thay đổi vốn có, ví dụ như thời tiết, sự biến động giữa các kết quả quan trắc cộng đng.

- Ny sinh do thông tin không đầy đủ, không chính xác, ví dụ: do thiếu thông tin, diễn giải sai, không đáng tin cậy, sự mâu thuẫn nội bộ hoặc không thể truy cập dữ liệu;

- Thay đổi theo thi gian, ví dụ do cạnh tranh, các xu hướng, thông tin mới, những thay đổi trong các yếu tố cơ bản;

- Được tạo ra do cảm giác về sự không chắc chắn và có thể khác nhau giữa các bộ phận của tổ chức và các bên liên quan.

A.4 Kiểm soát và xử lý rủi ro

Kiểm soát là các biện pháp được các tổ chức thực hiện để điều chỉnh rủi ro nhằm tạo khả năng đạt được các mục tiêu. Kiểm soát có thể điều chỉnh rủi ro bằng cách thay đổi bất kỳ ngun phát sinh sự không chắc chắn (ví dụ, làm cho nó nhiều hoặc ít hơn theo xu hướng có khả năng xảy ra) hoặc bằng cách thay đổi mức độ của những hệ quả tại thời điểm có thể xảy ra.

Xử lý rủi ro, như định nghĩa trong TCVN ISO 31000, là quá trình nhằm thay đổi hoặc tạo ra những cách kiểm soát và k cả việc duy trì rủi ro.

A.5  Khuôn khổ quản lý rủi ro

Khuôn khổ quản lý rủi ro bao gồm những việc b trí, sắp xếp (bao gồm các thực hành, quá trình, hệ thống, nguồn lực và văn hóa) trong hệ thống quản lý của tchức mà hệ thống đó cho phép quản được rủi ro. Các đặc điểm của một khuôn khổ và mức độ mà theo đó nó được tích hợp vào hệ thống quản lý của tổ chức, s giúp đánh giá được một cách cơ bản rủi ro được quản lý hiệu lực như thế nào.

Khuôn khổ quản lý phải bao gồm các tuyên b rõ ràng của lãnh đạo về mục đích của tổ chức liên quan đến quản lý rủi ro (được mô tả trong TCVN ISO 31000 như là nhiệm vụ và cam kết) và năng lực cần thiết (các nguồn lực và khả năng) để đạt được mục đích này.

Năng lực này không tồn tại như một hệ thống hay là một bộ phận được xác lập đơn biệt mà bao gồm nhiều yếu tố tích hợp trong các quá trình quản lý tổng thể của tổ chức. Chúng hoặc có thể là một bộ phận duy nht để phục vụ cho công tác quản lý rủi ro (ví dụ như một hệ thống thông tin chuyên ngành), hoặc là các khía cạnh của hệ thống quản lý của tổ chức (ví dụ các thực hành về nguồn nhân lực của tổ chức).

A.6 Các tiêu chí rủi ro

Tiêu chí rủi ro là các thông s do tổ chức xác lập, nó cho phép mô t rủi ro và đưa ra quyết định về mức ý nghĩa của rủi ro mà đối với nó, tổ chức phải cân nhắc thái độ về rủi ro của mình. Những quyết định này cho phép đánh giá được rủi ro và lựa chọn được cách xử lý.

A.7 Quản , quản lý rủi ro và việc quản lý rủi ro

Quản lý bao gồm các hoạt động được kết hợp để chỉ đạo và kim soát một tổ chức trong việc theo đuổi các mục tiêu của nó.

Quản lý rủi ro là một phần không thể thiếu của quản lý vì nó bao gồm các hoạt động được phi hợp liên quan tới tác động của sự không chắc chắn đối với những mục tiêu. Đó là lý do tại sao, để có hiệu lực, điều quan trọng là quản lý rủi ro phải được tích hợp đầy đ vào hệ thống quản lý và các quá trình quản lý của tổ chức.

Trong tiêu chuẩn này, cũng như trong TCVN ISO 31000, khái niệm “quản lý rủi ro” đề cập cơ cấu kiến trúc mà các tổ chức đang sử dụng (các nguyên tắc, khuôn khổ và các quá trình) đ qun lý rủi ro một cách hiệu lực và khái niệm “việc quản lý rủi ro đ cập đến việc áp dụng cơ cu kiến trúc cho những quyết định, hoạt động và rủi ro c thể.

Phụ lục B

(tham kho)

Áp dụng các nguyên tắc của TCVN ISO 31000

B.1 Khái quát

Trong khi tất cả các tổ chức đu quản lý rủi ro ở những mức đ nht định thì TCVN ISO 31000:2011 (ISO 31000:2009) thiết lập mười một nguyên tắc cần được thỏa mãn để thực hiện quản lý rủi ro hiệu lực. Các nguyên tắc này nêu các hướng dẫn về:

a) Cơ sở để quản lý rủi ro có hiệu lực (ví dụ như quản lý rủi ro tạo ra và bảo vệ giá trị);

b) Những đặc điểm của quản lý rủi ro cho phép quản lý rủi ro có hiệu lực, ví dụ như nguyên tắc b), quy định rằng việc quản lý rủi ro là một phần không thể thiếu của tất cả các quá trình của tổ chức.

Trong TCVN ISO 31000, mi nguyên tắc được tóm tắt qua một vài từ ở tiêu đề của nó, kèm phần giải thích hoặc sự cụ thể hóa bằng li để hỗ trợ.

Tất cả mười một nguyên tắc s được cân nhắc khi thiết kế các mục tiêu quản lý rủi ro của tổ chức, tuy nhiên, ý nghĩa của các nguyên tắc riêng biệt có thể thay đổi tùy theo các phần của khuôn khổ tổ chức được xem xét và được thay đổi đối với việc áp dụng cụ thể của họ.

Việc áp dụng thành công các nguyên tắc này sẽ giúp xác định cả tính hiệu lực và hiệu quả của hoạt động quản lý rủi ro trong tổ chức. Luôn phải ghi nhớ đủ cả mười một nguyên tc này, cho dù ý nghĩa của những nguyên tắc riêng biệt có thể thay đổi tùy theo từng phần của khuôn khổ quản lý đang được xem xét.

Mặc dù các nguyên tắc này được diễn tả một cách, nhưng những cách áp dụng mi nguyên tắc lại đòi hi phải am hiểu kỹ đ tạo được sự tác động đối với chúng trên cơ s liên tục cải tiến.

Sau đó, những kết quả phân tích này cần được phản ánh trong thiết kế hoặc trong thay đổi của khuôn khổ (ví dụ trong việc giao trách nhiệm, cung cấp việc đào tạo, thông tin với các bên liên quan và thiết kế để giám sát và xem xét lại thưng xuyên về kết quả hoạt động quản lý rủi ro).

Phụ lục này cung cấp hướng dẫn về cách thức áp dụng từng nguyên tác và ngoài ra, đối với một số nguyên tắc, còn có phn hỗ trợ thực tiễn nêu riêng trong phần có đóng khung.

B.2 Các nguyên tắc

B.2.1 Quản lý rủi ro tạo ra và bảo vệ giá trị

B.2.1.1 Nguyên tắc

a) Quản lý rủi ro tạo ra và bảo vệ giá trị

Quản lý rủi ro góp phần vào việc đạt được mục tiêu và cải tiến việc thực hiện, như an toàn và sức khỏe con người, an ninh, tuân thủ luật định và chế định, sự chấp nhận của công chúng, bảo vệ môi trường, chất lượng sản phẩm, quản lý dự án, hiệu quả hoạt động, qun trị và uy tín.

B.2.1.2  Áp dụng nguyên tắc

Mục đích của quản lý rủi ro là tạo ra và bảo vệ các giá trị bằng cách giúp cho tổ chức đạt được các mục tiêu của mình. Nguyên tắc này giúp cho tổ chức xác định và xử lý các yếu tố cả bên trong hoặc bên ngoài của nó làm phát sinh và gia tăng sự không chắc chắn liên quan đến các mục tiêu của mình.

Mối liên hệ giữa tính hiệu lực của quản lý rủi ro và cách để nó góp phần vào sự thành công của tổ chức phải được chứng minh và truyn đạt rõ ràng. Nguyên tắc này nêu rõ, không nên quản lý rủi ro vì lợi ích riêng của mình mà phải quản lý rủi ro sao cho các mục tu s đạt được mà kết quả thực hiện lại được nâng cao.

Có những thuộc tính và các đại lượng khó đo trực tiếp (ví dụ như đo bằng tin), nhưng chúng cũng đóng góp mạnh mẽ cho kết quả thực hiện, cho uy tín và việc tuân th pháp luật. Các giá trị về con người, xã hội và sinh thái đặc biệt quan trọng trong việc quản lý an ninh, an toàn và các rủi ro liên quan đến việc tuân thủ, hay tương tự, các rủi ro có liên quan tới tài sản vô hình, chính vì vậy, cn tạo ra đại lượng có thể được biểu đạt nhờ sử dụng các mô tả định tính chứ không phải là nhờ các thưc đo định lượng.

B.2.2 Quản lý rủi ro là một phần không tách rời của tất cả các quá trình của tổ chức

B.2.2.1 Nguyên tắc

b) Quản lý rủi ro là một phần không tách rời của tất c các quá trình của tổ chức

Quản lý rủi ro không phải là một hoạt động độc lập, tách biệt với các hoạt động và quá trình chính của tổ chức. Quản lý rủi ro là một phần trong trách nhiệm quản lý và là phần không thể thiếu trong tất cả các quá trình của t chức, bao gồm các quá trình hoạch đnh chiến lược, tất cả các dự án và quản lý thay đổi.

B.2.2.2 Áp dụng nguyên tắc

Các hoạt động của một tổ chức, bao gồm cả các quyết định được ban hành đều làm phát sinh, gia tăng rủi ro. Những thay đổi trong bối cảnh bên ngoài nằm ngoài tầm kiểm soát và nh hưng của tổ chức cũng có thể làm phát sinh, rủi ro mới.

Tất cả các hoạt động và quá trình của tổ chức diễn ra dù trong môi trường bên trong và bên ngoài, thì đều có sự không chắc chắn. Nó liên quan các nội dung sau:

a) Khuôn khổ qun lý rủi ro cần phải được thực hiện bằng cách kết hợp các thành phn của nó vào hệ thống quản lý và ra quyết định chung của tổ chức, cho dù hệ thng là chính thức hay không chính thức; các quá trình quản lý hiện tại có thể được cải thiện bằng cách tham khảo TCVN ISO 31000;

b) Quá trình quản lý rủi ro là một phần gắn lin của các hoạt động tạo ra rủi ro; nếu không, tổ chức s thấy sự cần thiết để điều chỉnh quyết định sau đó khi hiểu được các rủi ro liên quan;

c) Nếu chưa có một hệ thống quản lý chính thức, có thể áp dụng khuôn khổ quản lý rủi ro để sử dụng cho mục đích này.

Nếu việc quản lý rủi ro không được tích hợp vào các hoạt động và các quá trình quản lý, nó có thể được coi là một nhiệm vụ bổ sung mang tính quản trị, hoặc xem như một công việc điều hành của văn phòng chứ không phải dạng công việc tạo ra hoặc bảo vệ giá trị.

Có hai phương pháp chính để áp dụng các nguyên tắc như nêu dưới đây:

- Đưa vào giai đoạn lập khuôn khổ quản lý rủi ro (bao gồm c việc duy trì và cải tiến).

- Đưa vào việc áp dụng các quá trình quản lý rủi ro để ra quyết định và các hoạt động liên quan.

Phương pháp biểu th ý định của tổ chức về quản lý rủi ro cần được nêu tương tự như cách mà nó thể hiện những ý định khác của tổ chức (ví dụ nhiệm vụ và cam kết) (xem Phụ lục C). Bt cứ khi nào có thể, các thành phn khác của khuôn khổ quản lý rủi ro cần được lồng ghép vào các thành phần của các h thống quản lý hiện có (Chỉ dẫn chi tiết hơn có thể xem trong Phụ lục F và trong TCVN ISO 31000).

Các tổ chức đánh giá cũng có th đóng một vai trò quan trọng, chẳng hạn thông qua việc tìm hiểu xem lãnh đạo đã ra các quyết định như thế nào và kiểm tra xem liệu quyết định đó có được đưa vào triển khai một cách thích hợp trong quá trình quản lý rủi ro.

B.2.3 Quản lý rủi ro là một phần của việc ra quyết định.

B.2.3.1 Nguyên tc

c) Quản lý rủi ro là một phần của việc ra quyết định

Quản lý rủi ro giúp những người ra quyết định đưa ra những lựa chọn sáng suốt, hành động ưu tiên và phân biệt giữa các kế hoạch hành động thay thế.

B.2.3.2  Áp dụng ngun tắc

Nguyên tắc này nêu rằng, quản lý rủi ro cung cấp nền tng cho việc ra quyết định đúng đắn. Quản lý rủi ro cn được lồng ghép vào các hoạt động hỗ trợ cho việc đạt được các mục tiêu và quá trình ra quyết định. Quá trình ra quyết định cần được đánh giá một cách nhất quán và khi cần thiết, cả cách xử lý rủi ro. Chấp nhận hay không chấp nhận các quyết định đu liên quan đến rủi ro, và điều quan trọng là hiểu biết về các rủi ro liên quan trong cả hai trường hợp.

Quản lý rủi ro cần phải được áp dụng như là một phần của một quyết định, và phải được thực hiện ngay tại thời điểm ra quyết định (nghĩa là chủ động) chứ không phải sau khi đã có quyết định (tính bị động - đi phó). Ví dụ như:

- Khi ra các quyết định về các vn đ chiến lược cn cân nhắc những bất ổn liên quan đến những thay đổi trong các yếu tố môi trưng, cũng như những thay đổi về các ngun lực của tổ chức;

- Quá trình đổi mới nên được tiến hành trên cơ sở cân nhắc không chỉ về sự không chắc chắn có quyết định sự thành công của việc đổi mới, mà còn cả những rủi ro liên quan đến con người, xã hội, an toàn và các khía cạnh môi trường của sự đi mới, những việc phải xử lý theo yêu cầu của pháp luật dụ như an toàn sn phẩm);

- Các kế hoạch gắn với vốn đầu tư lớn phải c định các mốc trọng yếu ra quyết định mà tại đó sẽ phải tiến hành đánh giá rủi ro.

Chính sách của tổ chức về quản lý rủi ro và cách thức mà nó được truyền đạt cần phản ánh nguyên tắc này.

Khi thiết lập các phần khác của khuôn khổ này ta cũng cần cân nhc cách đưa ra quyết định sao cho quá trình này được áp dụng một cách hiệu quả và nhất quán trong tất cả các bước đưa ra quyết định, ví dụ như quản lý dự án, thẩm định đầu tư, mua sm

Người có trách nhiệm ra quyết định chung trong tổ chức phải hiểu chính sách quản lý rủi ro của tổ chức và phải đáp ứng yêu cầu cụ thể đ có năng lực áp dụng quy trình quản lý rủi ro đối với việc ra quyết định. Điều này s đòi hỏi phải có sự phân định rõ ràng trách nhiệm tại các v trí, việc được hỗ trợ đào tạo kỹ năng và cách xem xét kết quả thực hiện.

Hỗ trợ thực tế:

Đ có tác dụng đối với nguyên tác này, ngay từ đầu; cn xem xét một cách cẩn thận các câu hỏi sau:

- Làm thế nào đ điều này có thể giúp tạo ra và bảo vệ các giá trị? (Nguyên tắc a)

- Các quyết định trong tổ chức được đưa ra như thế nào và từ đâu?

- Ai tham gia vào việc ra quyết định?

- Kiến thức và kỹ năng gì là cần thiết cho những người ra các quyết định và đm bảo việc quản lý rủi ro sẽ là một phần trong việc ra quyết định của họ?

- Làm thế nào đ những người ra quyết định có được kiến thức và kỹ năng mà họ cn?

- Những định hướng và sự hỗ trợ nào là cần thiết cho nhân viên hiện có?

- Làm thế nào để các nhân viên mới sẽ được làm quen với phương pháp ra quyết định này ?

- m thế nào đ có thể tác động ti các bên liên quan bên ngoài?

- Quá trình đưa ra quyết định trong tổ chức cn phải thay đổi điều gì?

- Làm thế nào để giám sát sự tiến bộ trong việc áp dụng nguyên tắc này?

B.2.4 Quản lý rủi ro đặc bit chú trọng đến sự không chắc chắn

B.2.4.1 Nguyên tắc

d) Quản lý rủi ro đặc biệt chú trọng đến sự không chc chắn

Quản lý rủi ro tính đến sự không chắc chắn, bản chất của sự không chắc chắn và cách thức giải quyết.

B.2.4.2 Áp dụng nguyên tắc

Trong các loại hình quản lý, quản lý rủi ro là loại hình quản lý duy nht gắn liền một cách cụ thể tới tác động của sự không chắc chắn đối với các mục tiêu. Rủi ro chỉ có thể được đánh giá hoặc xử lý thành công nếu ta hiểu được bản chất và nguồn gốc của sự không chắc chắn đó.

Mọi hình thức không chắc chắn đu đòi hỏi phải cân nhc, theo dõi và cần được đánh giá đúng, không đánh giá cao hoặc thp hơn.

Chú trọng vào sự không chắc chắn là quan trọng khi lựa chọn những cách xử lý và khi xem xét các tác động và độ tin cậy của việc kiểm soát. Tương tự như vậy, sẽ có những sự không chắc chắn gắn liền với các bước hỗ trợ của quá trình quản lý rủi ro, ví dụ: liệu thông tin đã được chuyển ti thành công khi giao tiếp và tham vn với các bên liên quan, hoặc liệu các khoảng thời gian đã được lựa chọn cho quá trình giám sát là đủ để phát hiện sự thay đổi.

Những người tham gia quản lý rủi ro cần phi nhạy cảm, biết được mức độ quan trọng của sự không chắc chắn, biết các loại hình và nguồn của sự không chắc chắn. S lượng và chủng loại các phương pháp đánh giá rủi ro được sử dụng để giải quyết sự không chắc chắn phi phù hợp và liên quan đến mức quan trọng của quyết định: có thể dùng nhiều phương pháp đa dạng.

Ghi nhận các tình huống giả định khi lập hồ quá trình quản lý rủi ro [TCVN ISO 31000: 2011 (ISO 31000:2009), 5.7]. Các tình huống giả định thường phản ánh một s hình thức của sự không chắc chắn, cũng như bt k sự không chắc chắn rõ ràng đã được phát hiện tại các bưc khác nhau của quá trình.

Khi một rủi ro đang được đánh giá, điều quan trọng là phải xem xét sự không chắc chắn đó sẽ liên quan đến mức độ ước tính nào về khả năng có thể xảy ra được và hệ quả của nó.

Khi phân tích rủi ro và đ xuất các bin pháp xử lý, cần áp dụng những nghiên cứu đủ độ nhạy để hiu rõ ảnh hưởng thực tế của những điều không chắc chắn như vậy.

Hỗ trợ thực tế

- Những người ra quyết định nên thừa nhận thực tế là luôn phải hỏi các giả đnh là gì?”những bt n liên quan đến các giả định này là gì?”. Chỉ dẫn thực hành này không giới hạn cho một dạng xác định khi đánh giá rủi ro, nghĩa là, nó có th áp dụng cho tất cả các giả định.

- Khi xem xét môi trường bên trong và bên ngoài như một phần của việc thiết lập bi cảnh, thì bất kỳ đặc đim nào có thể liên quan tới sự biến động cao nên được lưu ý. Đây chính là nguồn gc của sự không chắc chắn và nó thông tin cho ta cách thức bối cảnh này cn được theo dõi và xem xét thường xuyên.

- Nếu sự không chắc chắn cho thấy một giá trị cụ thể đã được biết và chỉ nằm trong phạm vi nhất định thì phải thông báo phạm vi này.

B.2.5 Quản lý rủi ro có tính hệ thống, cấu trúc và kịp thời

B.2.5.1 Nguyên lý

e) Quản lý rủi ro có tính hệ thống, cấu trúc và kp thời

Phương pháp tiếp cận kịp thời, có cu trúc và mang tính hệ thng của quản lý rủi ro tạo ra hiệu quả và các kết quả nhất quán, có thể so sánh được và đáng tin cậy.

B.2.5.2  Áp dụng nguyên tắc

Cách tiếp cận nhất quán đối với tình trạng rủi ro đang được quản lý tại thời điểm ra các quyết định sẽ tạo ra hiệu quả trong một tổ chức, và có thể cung cp các kết quả xác lập nên sự tin cậy và sự thành công. Điều này đòi hỏi những cách thực hiện của tổ chức đó, chẳng hạn cân nhắc các rủi ro liên quan đến tt cả các quyết định, quan tâm việc sử dụng các tiêu chí rủi ro nhất quán, có liên quan đến các mục tiêu của tổ chức cũng như phạm vi các hoạt động của nó.

Cách tiếp cận có xét đến yếu tố thời gian thể hiện rằng, quá trình quản lý rủi ro được áp dụng tại các điểm tối ưu trong quá trình ra quyết đnh. Một phần, điều này phụ thuộc vào việc thiết kế các khuôn khổ thực hiện mà theo đó nguyên tắc này được áp dụng. Nếu việc cân nhắc rủi ro được thực hiện quá sớm hoặc quá muộn, thì hoặc mt các cơ hội, hoặc phải b sung khoản chi phí đáng k cho việc xem xét lại quyết định. Những tình huống có sự phụ thuộc thời gian cần được đánh giá và hiu đ xác định cách quản lý rủi ro hiệu qu nhất.

Cách tiếp cận có xét ti cơ cấu t chức thể hiện rằng việc áp dụng quá trình quản lý rủi ro tuân theo cách mô tả trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 5, bao gồm cả những việc chuẩn b thích hợp cho các hoạt động này. Tùy thuộc vào nhu cầu, phương pháp này cn nhất quán với cách tiếp cận từ trên xuống hay cách tiếp cận từ dưới lên để gắn với đúng cp quản lý tương ứng.

B.2.6 Quản lý rủi ro dựa trên thông tin tt nhất sẵn có

B.2.6.1 Nguyên tắc

f) Quản lý rủi ro dựa trên những thông tin tốt nhất sẵn có.

Đầu vào cho quá trình quản lý rủi ro dựa trên các nguồn thông tin như dữ liệu quá khứ, kinh nghiệm, phản hồi của các bên liên quan, quan trắc, dự báo và phán đoán của chuyên gia. Tuy nhiên, những người ra quyết định nên tự tìm hiểu, xem xét bất kỳ hạn chế nào về dữ liệu hay mô hình được sử dụng hoặc khả năng bất đồng giữa các chuyên gia.

B.7.6.2 Áp dụng nguyên tắc

Điều quan trọng là phải có được những thông tin hiện có tốt nhất đ có một sự hiểu biết chính xác về mọi rủi ro. Do đó, khuôn khổ quản lý rủi ro cần bao gm các phương pháp (ví dụ nghiên cứu) để thu thập và tạo thông tin. Tuy nhiên, dù có mọi n lực tốt nht, đôi khi, những thông tin có sẵn vn bị hạn chế. Ví dụ: dự đoán những gì sẽ xảy ra trong tương lai thường bị giới hạn đối với việc sử dụng các dữ liệu về thống kê.

Từ các thông tin, ta cn hiểu được độ nhạy của các quyết định đối với bất kỳ sự không chắc chắn nào. Độ tin cậy của đánh giá rủi ro s phụ thuộc một phần vào sự rõ ràng và chính xác của tiêu chí rủi ro. Thu thập dữ liệu có ln quan rủi ro (ví dụ như s xuất hiện của sự cố và các thông tin mang tính kinh nghiệm khác) có thể hỗ trợ nhờ phương pháp đánh giá thống kê.

Mặc dù việc đưa ra quyết định dựa trên bằng chứng là mục tiêu cuối cùng, điều này có thể không phải luôn luôn có thể làm được trong khoảng thời gian xác đnh hoặc với các ngun lực sẵn có. Trong những tình huống như vậy, có thể sử dụng cách đánh giá mang tính chuyên gia, kết hợp với các thông tin hiện có. Tuy nhiên, cn cẩn trọng đ tránh sai lệch dạng nhóm khi áp dụng cách đánh giá như vậy. Hơn thế, bằng chứng của quá khứ có thể không dự đoán chính xác cho tương lai. Trong các tình huống có khả năng hiện diện của những sự kiện có hệ quả rất cao, thì phi cảnh báo khi thấy thông tin không đầy đủ và khi có bằng chứng về tác hại tiềm năng, chứ không phải chờ tới khi có bằng chứng sự thực sự về sự có hại.

Nguyên tắc này cũng được áp dụng cho việc thiết kế (hoặc ci tiến) khuôn khổ quản lý rủi ro, bởi vì sẽ có các khía cạnh của khuôn kh này (ví dụ, đối với những người tiến hành khảo sát năng lực, hoặc những người thu thập, phân tích, cập nhật và tạo thông tin để hỗ trợ việc áp dụng của quá trình) những khía cạnh đó sẽ quyết định nguyên tc này được áp dụng tt như thế nào.

Cn thường xuyên đánh giá độ tin cậy, độ chính xác của thông tin v sự phù hợp, kịp thi, đáng tin cậy, vi những giả định được lập thành văn bản. Khuôn khổ cũng cần được định kỳ xem xét, đề đưa ra các thông tin cập nhật hay chỉnh sửa.

Hỗ trợ thực tế

- Khi thiết kế cách thức báo cáo các sự cố trước hết cần cân nhắc cn thận về các quyết định nào thông tin này có thể hỗ trợ tức là nhng người sử dụng cuối cùng, hiện tại và trong tương lai là ai, các thông tin này có thể cần thiết được lưu tr, sp xếp như thế nào, làm thế nào đ nó được toàn vẹn, được bổ sung, truy cập được. Một khi điều này đã được thực hiện, hình thức báo cáo có thể được thiết kế với lưu ý rằng, cht lượng được tạo ra bởi thông tin đó có thể bị nh hưng bi thời điểm cần tiếp nhận nó.

- Mô tả về bối cảnh (bao gồm cả ngày nó được viết ra) phải bao gồm như là một phần của các mô tả và tài liệu chi tiết về những rủi ro chính phải đối mặt (ví dụ như bn đăng ký rủi ro). Điều này cho phép những người sử dụng bn đăng ký này cân nhc được mi sự thay đổi trong bi cảnh có thể đã xảy ra sau đó với những thay đổi trong rủi ro.

- Trường hợp các giả đnh đã được thực hiện trong đánh giá, cần ghi lại rõ ràng, d hiểu về tính hợp lý của những giả định, k cả những giới hạn bất kỳ.

- Khi thiết kế cách xử lý rủi ro, cần cân nhc xem kết quả thực hiện của việc kim soát khi xử lý sẽ được theo dõi và có sẵn như thế nào để những người nêu các quyết định sau này có thể dựa vào những cách kiểm soát đó.

B.2.7 Quản lý rủi ro cần phù hợp

B.2.7.1 Nguyên tắc

g) Quản lý rủi ro cần phù hợp

Quản lý rủi ro phù hợp với bối cảnh bên trong và bên ngoài của tổ chức và đặc trưng của rủi ro.

B.2.7.2 Áp dụng nguyên tắc

TCVN ISO 31000 cung cấp một cách tiếp cận chung để quản lý rủi ro, nó có thể áp dụng cho tất cả các loại hình tổ chức và tất cả các loại rủi ro. Mọi tổ chức đều có văn hóa và đặc điểm, có các tiêu chí rủi ro và bi cảnh của hoạt động riêng của chính họ. Quản lý rủi ro cần phù hợp để đáp ứng các nhu cầu của từng tổ chức.

S không có một cách đơn biệt, chính xác kiểu chuẩn mực đ thiết kế và áp dụng khuôn khổ và các quá trình quản lý rủi ro vì chúng đòi hỏi sự linh hoạt và điều chỉnh thích ứng trong mỗi một tổ chức. Việc thiết kế có thể được xác định bởi nhiều khía cạnh, bao gồm quy mô tổ chức, văn hóa, ngành, cấu hình và phong cách quản lý.

Các lĩnh vực rủi ro khác nhau có thể đòi hi các quá trình điều chỉnh khác nhau dù trong cùng một t chức. Khi tất cả các quá trình phù hợp với TCVN ISO 31000, thì vẫn có sự khác biệt trong hệ thống, trong các mô hình và trong mức độ đánh giá có liên quan, ví dụ như giữa những người tham gia trong việc đánh giá các rủi ro liên quan đến công nghệ thông tin, rủi ro trong quản lý tài sản và trong đu tư, hoặc những rủi ro liên quan đến đối thủ cạnh tranh. Mỗi quá trình đu cần thích hợp với mục đích cụ thể của nó.

Vì mục đích của khuôn khổ quản lý này là để đảm bảo rằng quá trình quản lý rủi ro sẽ được áp dụng cho việc ra quyết định một cách có hiệu quả và phản ánh được chính sách, việc thiết kế khuôn khổ nên phản ánh xem các quyết định được đưa ra tại đâu và như thế nào và cần cân nhắc tới bất kỳ nghĩa v pháp lý hoặc bổn phận bên ngoài khác mà theo đó tổ chức có cam kết.

Điều quan trọng là cần nh rằng phù hợp không ám chỉ việc thay đổi các yếu tố của khuôn khổ (như mô tả trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 4) hoặc các bước của quá trình này (xem TCVN ISO 31000:2011 (ISO 31000:2009), Điều 5). Tất cả những điều trên đều là cốt lõi cho việc quản lý rủi ro có hiệu lực.

Nguyên tắc này là quan trọng trong việc thiết kế và hoàn thiện khuôn khổ quản lý rủi ro và nó cũng liên quan tới cách mà các khía cạnh của chính quá trình được xác lập.

Nguyên tắc này cũng biểu thị rằng tổ chức cn xem xét các vn đ nội bộ, ví dụ: nguồn lực nhân viên (nguồn lực đó, nếu khá cao, có thể cn những sự điều chỉnh phù hợp với quy mô đào tạo ban đầu, để đảm bảo rằng tất cả các nhân viên mới có thể đáp ứng những gì đòi hỏi đối với họ về quản lý rủi ro).

Sự phù hợp của một khuôn khổ là cần thiết đ đạt được sự tích hợp với các quá trình ra quyết định của tổ chức. Cũng có khả năng, chính những quá trình ra quyết định như vậy cn được điều chỉnh cho phù hợp với một khuôn khổ quản lý rủi ro đã được lập.

Hỗ trợ thực tế:

- Thiết kế khuôn khổ quản lý rủi ro cần bao gồm việc tìm kiếm và cân nhắc các quan điểm của những người sẽ tham gia vào vic áp dụng nó.

- Xây dựng một sự hiểu biết sâu sắc hơn về các khái niệm cơ bn của TCVN ISO 31000 sẽ giúp đảm bảo rằng sự phù hợp cả khuôn khổ và quá trình sẽ đạt được các thuộc tính của quản lý rủi ro có hiệu lực, như được liệt kê trong TCVN ISO 31000:2011 (ISO 31000:2009), Phụ lục A. Ngược lại, nếu chỉ đánh dấu vào các ô thì s không đạt được điều này.

B.2.8 Quản lý rủi ro có tính đến các yếu t con người và văn hóa

B.2.8.1 Nguyên tắc

h) Quản lý rủi ro có tính đến các yếu t con người và văn hóa

Quản lý rủi ro thừa nhận khả năng, nhận thức và ý định của mọi người bên trong và bên ngoài tổ chc có thể tạo thuận lợi hoặc cn trở việc đạt được mục tiêu của tổ chức.

B.2.8.2 Áp dụng nguyên tắc

Nguyên tắc này đòi hi việc thu thập các quan điểm của các bên liên quan, cũng như hiểu biết rằng quan điểm của những người đó có thể bị ảnh hưởng bởi những đặc điểm về tính cách con người, văn hóa. Các yếu tố cần xem xét bao gồm xã hội, chính trị, văn hóa, cũng như khái niệm về thi gian. Các loại sai sót phổ biến thưng bao gồm:

a) thất bại trong việc phát hiện và phản hi với những cảnh báo sớm

b) Sự th ơ với quan điểm của người khác hoặc thiếu kiến thức;

c) Sai lệch do chiến lược xử lý thông tin bị đơn giản hóa khi giải quyết các vn đ phức tạp;

d) Không nhận ra sự phức tạp.

Khi thiết kế các cơ cu quản lý và khi áp dụng tất c các khía cạnh của quá trình quản lý rủi ro, các hành động cụ thể là cần thiết để hiểu và vận dụng được các yếu tố v con người và văn hóa như vậy.

Khi xác lập cơ cu quản lý, cơ cu truyền thống về rủi ro cần cân nhắc các đặc điểm văn hóa và các mức độ hiểu biết của đối tượng liên quan.

Hỗ tr thực tế:

- Các nhà quản lý cần hành động theo cách đ thể hiện rằng họ thúc đy và hỗ trợ cũng như tôn trọng và hiểu biết những sự khác biệt cá nhân.

- Tôn trọng những người được hi về quan điểm của họ.

- Về nguyên tắc chung, các tổ chức đều khen thưởng những gì họ coi trọng. Nếu việc lựa chọn nhân viên, khuyến khích và trả thù lao không có mối liên h công khai đến các kết quả hoạt động quản rủi ro thực tế, sẽ khó mà tin rằng những kết quả thực hiện như vậy sẽ là chuẩn mực mong đợi. Những nỗ lực của cá nhân phải được ghi nhận một cách thích hợp.

- Về nguyên tắc chung, việc dựa vào sự kim soát của một cá nhân đ thực hiện thay đổi lớn đối với rủi ro là thiếu thận trọng.

- Các tổ chức đa quốc gia cần am hiểu và khôn ngoan khi ghi nhận tầm quan trọng của văn hóa trong việc xác đnh hành vi ứng xử của mi người.

H trợ thực tế:

Ví dụ về các câu hỏi hữu ích về yếu tố con người và tổ chức bao gồm:

- Liệu cơ cấu tổ chức có phù hợp với nhu cầu của tổ chức?

- Liệu những cá nhân có trách nhiệm giải trình chính thức đã được xác định rõ ràng?

- Liệu tt c những bản mô t công việc có nêu những quy định rõ ràng về quyn hạn và trách nhiệm của cá nhân?

- Liệu tất cả các kênh trao đổi thông tin đu rõ ràng và có hiệu lực?

- Liệu thỉnh thoảng đã tiến hành kiểm tra xem trao đổi thông tin được chuyển tải, được hiểu một cách chính xác tại tất cả các cấp trong tổ chức?

- Liệu những gì liên quan đến đạo đức, tinh thần trong tổ chức được theo dõi, giám sát không?

- Có xem xét mối quan h tương quan giữa các tổ đội không ?

- khuôn khổ để nhận ra và phản hi đối với các tin đn trong tổ chức trước khi chúng gây tác động tiêu cực?

- Chính sách tuyển dụng, đãi ngộ và thăng tiến có rõ ràng không ?

- Nếu chính sách đang có vấn đề, liệu có một quá trình xem xét lại?

- Các chính sách và các quá trình có được coi trọng không? Nếu không, có tiến hành tìm hiểu? Chúng có bị ép buộc tuân thủ không?

- Các chuyên gia đánh giá nội bộ và bên ngoài có tìm thấy các hành vi, cách ứng xử không an toàn hoặc phi đạo đức trong tổ chức?

B.2.9 Quản lý rủi ro cn minh bch và có sự tham gia của các bên

B.2.9.1 Nguyên tắc

i) Quản lý rủi ro cần minh bạch và có sự tham gia của các bên

Việc tham gia thích hợp và kịp thời của các bên liên quan, đặc biệt là những người ra quyết định ở các cp của tổ chức, đảm bảo rằng việc quản lý rủi ro duy trì sự phù hợp và cp nhật. Việc tham gia này cũng cho phép các bên liên quan có được sự đại diện thích hợp và quan điểm của họ được xem xét khi xác định tiêu chí rủi ro.

B.2.9.2 Áp dụng nguyên tắc

Nguyên tắc này có thể có tác dụng tại các cp quản lý khác nhau. Nó có thể được phản ánh trong chính sách qun lý rủi ro của tổ chức (ví dụ: Chúng tôi s thông báo và hỏi ý kiến các bên liên quan nhằm mong họ hiu được các mục tiêu của chúng tôi và có thể đóng góp kiến thức và quan điểm của họ để hỗ trợ trong việc ra quyết định của chúng tôi’).

Việc tham vn với các bên liên quan đòi hỏi lập kế hoạch cẩn thận và được xem như một phần của việc áp dụng các quá trình quản lý rủi ro. Đây là nơi mà niềm tin có thể được tạo dựng hay đánh mất. Đ có hiệu quả và tăng cưng niềm tin trong các kết quả, các bên liên quan nên tham gia vào tất cả các khía cạnh của quá trình quản lý rủi ro, bao gồm cả việc thiết kế quá trình trao đổi thông tin và tham vn.

Khi áp dụng nguyên tc này nên xem xét các vấn đề bảo mật, an ninh và sự riêng tư, Ví dụ: có thể yêu cầu thông tin trong danh mục rủi ro được tạo lập một cách tách biệt sao cho có thể hạn chế việc truy cập vào một số thông tin.

H trợ thực tế:

- Trong đào tạo quản lý rủi ro, có thể vận dụng cách đóng vai din liên quan đến trao đổi thông tin và tham vấn.

- Việc đánh giá cần được thực hiện theo cách đ nhng người nhận được thông tin s cảm nhận được nó.

- Định kỳ cung cấp thông tin phản hồi, chứng minh những gì đã hứa hoặc đã được dự định và thực tế chúng đã được thực hiện như thế nào.

- Những ý kiến được gửi đến một cách tự nguyện cũng cần được khuyến khích, ghi nhận và đánh giá cao và bất cứ khi nào có thể, cn phản hi về chúng.

B.2.10 Quản lý rủi ro cn năng động, lặp lại và đáp ứng với sự thay đổi

B.2.10.1 Nguyên tắc

j) Quản lý rủi ro cần năng động, lặp lại và đáp ứng với sự thay đổi

Việc quản lý rủi ro cảm nhận và đáp ứng liên tục với thay đổi. Vì các sự kiện nội bộ và bên ngoài xảy ra, bi cảnh và kiến thức thay đổi, việc theo dõi và xem xét rủi ro diễn ra, những rủi ro mới xuất hiện, một số rủi ro thay đổi và những rủi ro khác biến mt.

B.2.10.2 Áp dụng nguyên tắc

Bất kỳ sự thay đổi trong các mục tiêu của tổ chức, hoặc của bất kỳ khía cạnh trong các bối cảnh bên trong hay bên ngoài, chắc chắn s làm thay đổi rủi ro (ví dụ như tái cơ cu nội bộ, có thêm một nhà cung cấp chính mi, hoặc sự thay đổi trong điều luật có liên quan). Tương tự như vậy, những thay đổi trong bi cảnh tổ chức (ví dụ như việc mua lại một công ty khác, có được một hợp đng lớn mới) đều có thể đòi hỏi thay đổi trong cơ cấu quản lý (ví dụ như trong đào tạo các chuyên gia về rủi ro). Quá trình quản lý rủi ro cần được thiết kế để phản ánh sự năng động của tổ chức (ví dụ như tốc độ của sự thay đổi).

TCVN ISO 31000 nêu hai cách gồm theo dõi và xem xét (đối với khuôn khổ và quá trình). Mỗi cách có đặc điểm riêng cho mục đích của nó và mi cách đều yêu cầu sự thấu hiểu và áp dụng.

Cơ cấu quản lý cần được theo dõi và xem xét để đảm bảo nó có thể tiếp tục có hiệu lực cho các nguyên tắc quản lý rủi ro hiệu quả, có hiệu lực cho chính sách quản lý rủi ro của tổ chức và h trợ việc áp dụng quá trình này để đưa ra quyết định của tổ chức.

Hot động theo dõi và xem xét cần được kết hợp trong mỗi bước cốt lõi của quá trình quản lý rủi ro.

Các hoạt động kiểm soát cũng nên được xem xét lại để đảm bảo tiếp tục có hiệu lực và đáp ứng với sự thay đổi. Ví dụ, những hoạt động kiểm soát lệ thuộc vào kết quả thực hiện của những người cụ thể s có thể không có hiệu quả nếu đã có những sự thay đổi về nhân sự.

Hoạt động theo dõi và xem xét cần được điều chỉnh cẩn thận, cụ thể, chúng cần nhạy cảm với các yếu tố của sự thay đổi mà chúng có thể có những ảnh hưởng rõ nét nhất. Việc theo dõi và xem xét cần đánh giá được mức độ quan trọng mang tính thường xuyên của các chỉ số dùng đ theo dõi và nếu cần các chỉ s này s được điều chỉnh theo sự thay đổi hoặc bi cảnh mới xut hiện.

Việc theo dõi và xem xét là những hoạt động có sự khác bit, như được giải thích trong TCVN ISO 31000:2011 (ISO 31000:2009), 4.5 và 5.6. Theo dõi liên quan tới việc quan trắc liên tục các thông số quan trọng để xác định xem liệu chúng đang thực hiện như dự định hay là giả định không. Xem xét được thực hiện từ thời điểm này đến thời đim khác, được b trí theo mục đích của nó và thường được dùng để xác định liệu các giả định mà từ đó các quyết định đã được nêu (ví dụ thiết kế khuôn khổ quản lý) hiện tại còn hiệu lực hay không, và do đó dẫn đến việc liệu có cn xem xét các quyết định này không.

Việc xem xét cũng cần cân nhắc tới trí thức và công nghệ mới.

Hỗ tr thực tế:

- Khi áp dụng quá trình quản lý rủi ro và khi xác lập tuyên bố về bi cảnh, cần xác định các thành phn (ví dụ như các đặc điểm của môi trường bên ngoài) có nhiều khả năng thay đổi và cần theo dõi chặt chẽ chúng về sự thay đổi. Bt kỳ một sự thay đổi đu có thể yêu cầu đánh giá lại toàn bộ hoặc một s các rủi ro đã được lập thành tài liệu.

- Cần và khuyến khích có biện pháp cảnh báo cho mọi người có liên quan về tình trạng hiện tại đáng lo ngại (chẳng hạn bng cách tạo tiếng còi).

- Ngay cả các tổ chức nhỏ cũng nên lưu ý những thay đổi ở mc toàn cầu, ví dụ: cuộc khủng hoảng tài chính toàn cầu năm 2008 đã có tác động sâu sắc đến một s nhà cung cấp nhỏ mà các khách hàng lớn của họ là các tổ chức chịu tác động trực tiếp hoặc gián tiếp bởi những thất bại của ngân hàng. Các sự kiện bên ngoài hoặc những bối cảnh mới xuất hiện như vậy có thể yêu cầu thay đổi một cách chủ động đối vi các khuôn khổ quản lý rủi ro.

B.2.11 Quản lý rủi ro tạo thuận lợi cho việc ci tiến liên tục của tổ chức

B.2.11.1 Nguyên tắc

k) Quản lý rủi ro tạo thuận li cho việc cải tiến ln tục của tổ chức

Tổ chức cần xây dựng và thực hiện các chiến lược để nâng cao sự nhun nhuyễn trong việc quản lý rủi ro của mình cùng với tất cả các khía cạnh khác của t chức.

B.2.11.2 Áp dụng nguyên tc này như thế nào

Cải tiến liên tục các kết quả hoạt động của tổ chức cần gắn kết tương quan với việc cải tiến liên tục kết quả của hoạt động quản lý rủi ro. Việc cải tiến quản lý rủi ro, trên cơ s ra quyết định dựa trên rủi ro, có thể làm giảm sự không chắc chắn trong việc đạt được các mục tiêu, gim thiểu biến động và tăng tính linh hoạt. Tuy nhiên, cn thận trọng để không đặt ra kết quả thực hiện quản lý rủi ro một cách quá phức tạp đến mức quá bị áp lực cho việc theo đuổi các cơ hội và mất đi tính linh hoạt của hành động phn hồi.

Thay vào đó, tầm quan trọng của nguyên tc này nằm trong việc các tổ chức luôn nhớ đ cảnh báo về các cơ hội mi để cải tiến. Những cơ hội này có thể phát sinh trong nội bộ (ví dụ như học hỏi được từ các sự c đã được báo cáo) hoặc bên ngoài (ví dụ như sự sẵn có của các công cụ và kiến thức mới đ cải tiến quản lý rủi ro). Nguyên tc này cũng có liên quan ti việc thường xuyên tìm kiếm các cải tiến trong việc quản lý rủi ro hiệu qu, ví dụ: trin khai công nghệ mới giúp kết nối tt hơn thông tin cho những người ra quyết định.

Mục tiêu của cải tiến liên tục phải được nêu rõ ràng trong chính sách quản lý rủi ro của tổ chức và được truyền đạt thưng xuyên theo cả hai cách chính thức và không chính thức. Ci tiến liên tục có thể bao gm:

- Cải tiến mức độ tích hợp hoạt động quản lý rủi ro vào hoạt động chung;

- Nâng cao chất lượng đánh giá rủi ro;

- Cải tiến khuôn khổ quản lý, ví dụ chất lượng và cách tiếp cận thông tin;

- Ci tiến tốc độ của việc ra quyết định.

Cải tiến liên tục dựa trên các chỉ số định tính và định lượng của sự tiến bộ. Các tổ chc sử dụng những cách tiếp cận từng giai đoạn và các mô hình đã được xác nhận nên thiết kế các chỉ số sao cho chúng s là động lực cho việc cải tiến liên tục dựa trên các nguồn lực và đặc điểm văn hóa của tổ chức. Mọi tổ chức nên ghi nhận rằng trong nhiều nỗ lực của con người, thành công sẽ nuôi dưỡng thành công. Mục đích của việc quản lý rủi ro hiệu lực thực chất chỉ nằm trong việc nâng cao khả năng để một tổ chức sẽ đạt được đy đủ các mục tiêu của nó. Một tổ chức đạt được tính hiệu lực trong quản lý rủi ro càng nhanh, sẽ thực hiện được các mục tiêu của mình càng hiệu quả.

Thực ra, trong một số trường hợp, một số cải tiến đòi hỏi thời gian mới đạt được, ví dụ như một số có thể yêu cầu phân bổ kinh phí, hoặc lập kế hoạch và triển khai cn thận. Các kế hoạch để cải tiến cần cân nhắc tính ưu tiên và các lợi ích liên quan và có cách theo dõi tiến triển của nó.

H trợ thực tế:

- Khi sử dụng các yếu tố của việc theo i và xem xét cơ cấu quản lý, hàng năm phải xem xét kết quả thực hiện so với các nguyên tắc quản lý rủi ro và xem xét những cải tiến về thiết kế.

- Cần đánh giá, xem xét tính đầy đủ, khả năng sử dụng và hiệu lực của các khuôn kh quản lý rủi ro.

- Sử dụng hệ thống báo cáo sự cố để tiến hành phân tích nguyên nhân gc r, tìm kiếm không chỉ ở những nguyên nhân gắn với các vụ việc, mà c các đặc điểm của khuôn khổ quản lý rủi ro đã tạo khả năng cho sự c đó xảy ra.

- Cn theo dõi kết quả thành công (ví dụ như dự án đúng hạn, đúng hạn mức kinh phí) để hiểu được các nh năng nào của khuôn khổ quản lý rủi ro đã gây ra khả năng cho s cố đó xảy ra.

Phụ lục C

(Tham khảo)

Thể hiện nhiệm vụ và cam kết

C.1 Khái quát

Phụ lục này cung cấp các hướng dẫn và chiến lược giúp tổ chức biểu thị và trao đổi thông tin về nhiệm vụ và cam kết cũng như việc thông tin, truyn đạt về việc này như thế nào.

Để nhiệm vụ và cam kết có hiệu lực, lãnh đạo cao nht và bộ phận giám sát của tổ chức cần nêu rõ ràng cho các bên liên quan biết về cách tiếp cận đối với việc quản lý rủi ro và nếu thích hợp, lập thành văn bản và trao đổi thông tin về việc này. Nhiệm vụ về quản lý rủi ro thường liên quan đến những thay đổi trong hành vi, tập quán, văn hóa, chính sách, các quá trình và các kết quả thực hiện đã dự định trong việc quản lý các rủi ro sẽ được phản ánh trong khuôn khổ quản lý rủi ro. Nhiệm vụ và cam kết có thể là một tuyên bố ngắn gọn về chính sách được phổ biến rộng rãi.

Trin khai nhiệm vụ liên quan đến việc quyết định chuỗi hành động đòi hi, cũng n việc tạo điều kiện thực hiện. Lúc nào cũng vậy, trong các tổ chức đang tồn tại, luôn cần có sự tham gia của những người có thẩm quyền đ mang lại thay đổi. Không có nhiều chỉ dẫn trong việc xác định các quá trình cn ưu tiên hành động, ngoại trừ, cùng một lúc, có một cam kết tương ứng về điều này.

Nhiệm vụ và cam kết là một phần cơ bản của khuôn khổ quản lý rủi ro đồng thi cần là một phần của cả các khuôn khổ quản lý và quản trị của tổ chức và cn tác động đến thiết kế của các loại hình khuôn khổ này.

Nhiệm vụ và cam kết cần phản ánh mười một nguyên tắc nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), Điều 3.

Trong thực tế, nhiệm vụ cũng như cam kết được thể hiện và tiếp nhận theo cả cách ngầm hiểu và rõ ràng. Những thể hiện ngầm hiểu (ví dụ như các hành động thường ngày của lãnh đạo cp cao hay của bộ phận giám sát trong bối cảnh văn hóa hiện hành đã được chấp nhận của tổ chức) thường tạo được một sự thúc đy mạnh mẽ hơn 80 với những cách biu thị công khai (ví dụ chính sách quản lý rủi ro).

C.2 Phương pháp biểu th nhiệm vụ và cam kết

C.2.1 Các đặc điểm chính

Nhiệm vụ và cam kết cần đáp ứng các tiêu chí sau:

a) Cần phù hợp với kế hoạch chiến lược; các mục tiêu, chính sách, phong cách trao đổi thông tin và h thống quản lý của tổ chức;

b) Cần phù hợp với các tiêu chí rủi ro mà bộ phận giám sát đã xác định;

c) Cần đáp ứng các nguyên tắc của TCVN ISO 31000 cũng như phải hướng tới cách quản lý rủi ro hoàn thiện như được nêu trong TCVN ISO 31000:2011 (ISO 31000:2009), Phụ lục A;

d) Cần cụ thể, rõ ràng đ tạo thuận lợi cho việc trao đổi thông tin và được kiểm tra để cả bên trong và bên ngoài tổ chức hiểu thu đáo;

e) Cần có những kỳ vọng hợp lý về việc nó được thực hiện thành công;

f) Cần đ cập đến các trách nhiệm đối với những ch sở hữu rủi ro.

Khi nhiệm vụ quản lý rủi ro hiện đang được thực hiện và cam kết của tổ chức đối với quản lý rủi ro chưa thực sự đáp ứng các tiêu chí này thì cả các khía cạnh ngầm hiểu và công bố rõ ràng về việc này cần được thay đổi.

DỤ: Nếu bộ phận giám sát hoặc lãnh đạo cao nht đã ban hành các quyết định nhưng các quyết định đó không đ cp đy đ việc đánh giá rủi ro, đây là một dấu hiệu rõ ràng rằng tổ chức không đảm bảo sự cam kết đối với việc thu hiểu các rủi ro của tổ chức.

Một phần quan trọng khi chấp nhận một nhiệm vụ đã được sửa đi là cần xây dựng một kế hoạch để thay đổi sự hiểu biết về những gì đòi hỏi phải thay đổi. Mục đích của kế hoạch này sẽ là đảm bảo rằng cả nhiệm vụ và các lợi ích của nó được thu hiểu rộng khắp và được tin tưởng và tổ chức luôn cam kết nhất quán trong các nhiệm vụ và hành vi tương ứng. Đó s là hành vi của tổ chức và cách so sánh những hành vi này với những tuyên bố công khai về nhiệm vụ s tạo ra những tác động lớn nhất đ xác định nhiệm vụ được thực hiện được chấp nhận bởi các bên liên quan khác nhau chấp nhận hay không.

C.2.2  Thiết lập và trao đổi thông tin v chính sách và cam kết quản lý rủi ro

Một phương thức để biu thị và thông tin về nhiệm vụ theo cách rõ ràng là thông qua việc thiết lập và sau đó trao đổi thông tin về chính sách quản lý rủi ro. TCVN ISO 31000:2011 (ISO 31000:2009), 4.3.2, xác định rằng tổ chức không chỉ cần nêu rõ ràng chính sách về quản lý rủi ro mà còn cần trao đổi thông tin về chính sách này cả ở bên trong và bên ngoài tổ chức. TCVN ISO 31000:2011 (ISO 31000:2009), 4.3.2, cũng xác định các vn đề cụ thể thường cần được phản ánh trong chính sách này.

Luôn phải ghi nhớ nguyên tắc g) (tức là quản lý rủi ro phải phù hợp), việc biểu th về chính sách cần phù hợp, nht quán với phương thức chung mà tổ chức đang vận hành. Nếu không, thì việc biểu thị này có thể không được xem là có liên quan đến hoặc là một phần của hệ thống chung mà tổ chức đang vận hành.

Đối với các tổ chức lớn hơn, việc thiết lập một chính sách s thưng có nghĩa là triển khai một tuyên bố chính thức về nhiệm vụ đối với việc quản lý rủi ro mà s cấu thành một phần của bộ chính sách của tổ chức. Theo đó, việc này sẽ được hoàn thành bởi bộ phận quản trị và sau đó được truyn đạt và củng cố, thúc đy áp dụng thông qua hệ thống quản lý.

Hỗ trợ thực tế

Lãnh đạo cao nht và bộ phận giám sát cần cam kết và thực sự tham gia s là chìa khóa cho sự thành công của bất kỳ chương trình quản lý rủi ro nào. Các t chức nên xem xét các câu hỏi sau khi thiết lập nhiệm vụ và cam kết của mình đối với quản lý rủi ro:

- Các mục tiêu chiến lược của tổ chức là gì? Chúng có rõ ràng? Những gì là ngầm hiểu và những gì là công bố công khai trong những mục tiêu đó?

- Lãnh đạo cấp cao có nm rõ bản chất và mức độ của những rủi ro quan trọng mà h phi đối mặt và mong muốn nm các cơ hội mà họ sẵn sàng theo đuổi để đạt được các mục tiêu chiến lược của mình?

- Lãnh đạo cp cao có cần phải thiết lập khuôn khổ rõ ràng hơn đ nâng cao quan điểm về rủi ro của tổ chức?

- Lãnh đạo cao nht sẽ tiến hành những bước nào để bảo đảm giám sát toàn diện việc quản lý các rủi ro này?

- Những người quản lý thực hiện việc ra quyết định có hiểu được mức độ mà theo đó họ (với tư cách cá nhân) được phép thể hiện rõ với tổ chức những hệ quả của một sự kiện hoặc tình huống? Có bất kỳ quan điểm rủi ro nào cn được thực hành, hướng dẫn cho các nhà quản lý đ đưa ra quyết định dựa trên rủi ro?

- Những người thực hiện có hiểu được mức độ, tích hợp, liên hệ về rủi ro đ họ có thể xác định xem liệu nó có thể được chấp nhận hay không?

- Lãnh đạo cao nht và quản lý điều hành có hiểu được mức độ đan xen, tích hợp của rủi ro đối với cả tổ chức nói chung?

- Cả các nhà quản lý và điều hành hiu rõ rằng quan điểm rủi ro không phải là cố định? Nó có thể thay đổi khi môi trường và điều kiện kinh doanh thay đổi. Bt cứ điều gì đã được phê duyệt của lãnh đạo cp cao đu cn phải có một vài sự linh hoạt trong triển khai.

- Liệu các quyết định rủi ro đã được thực hiện với sự xem xét đầy đủ về hệ quả? Khuôn khổ quản lý rủi ro cần thiết để giúp các nhà quản lý và những người điều hành nm được mức độ thích hợp của rủi ro cho các hoạt động sản xuất kinh doanh, đưa ra được các lợi thế tiềm năng.

- Những rủi ro nào là quan trọng mà lãnh đạo cao nht sẵn sàng đối mặt và muốn theo đuổi các cơ hội? Rủi ro nào là quan trọng nhưng lãnh đạo cao nht không sẵn sàng đối mặt? Cho dù chính sách đối với tình trạng rủi ro hiện đang được quản lý được nêu dưới dạng nào thì nó luôn cn cùng đồng hành với các chính sách khác vốn đang là định hướng đ tổ chức hoạt động.

- Chính sách cn được hỗ trợ theo cả cách ngầm hiểu và công bố rõ ràng và phải được phản ánh phù hợp, phải đáp ứng 6 tiêu chí nêu trong C.2.1.

C.2.3 Củng c

Lãnh đạo cao nhất và bộ phận giám sát cần chứng minh và cng c cam kết của tổ chức về các nhiệm vụ thông qua sự kết hợp các hành động ngầm hiểu và được công bố rõ ràng bao gồm:

- làm rõ các mục tiêu quản lý rủi ro được liên kết và không tách rời với các mục tiêu quản lý khác;

- làm rõ rằng quản lý rủi ro s tạo nên hiệu quả cho các mục tiêu của tổ chức;

- đảm bảo phương thức mà nhiệm vụ của các hoạt động quản lý rủi ro đòi hỏi được tích hợp vào trong các quá trình quản trị và quản lý hiện có và được đưa vào chiến lược, các quá trình tác nghiệp, dự án;

- cần thường xuyên theo dõi, báo cáo về khuôn khổ quản lý rủi ro, về các quá trình của tổ chức đ đảm bảo rằng nó vẫn được duy trì phù hợp và hiệu lực;

- theo dõi về việc tổ chức có một sự hiểu biết hiện tại và toàn din về các rủi ro của mình và những rủi ro này hiện vẫn nm trong khuôn khổ của các tiêu chí rủi ro đã được xác định và tổ chức có hành động khc phục khi nhng tiêu chí này không được đáp ứng;

- nêu ví dụ liên quan đến các hoạt động của riêng mình;

- xem xét, làm mi cam kết đối với các nhiệm vụ theo thời gian, sự kiện và sự thay đổi của lãnh đạo cao nht.

Áp dụng TCVN ISO 31000 có thể diễn ra trong toàn tổ chức một cách tổng thể, hoặc là được thực hiện theo từng phần, ví dụ tại các công ty con.

C.3 Hướng dn xây dựng nhiệm vụ và cam kết

Thiết lập nhiệm vụ về qun lý rủi ro đòi hỏi suy xét cn thận, có được quan đim chiến lược và sự tham vấn giữa các bộ phận giám sát và lãnh đạo cạo nhất. Điều này s giúp đảm bảo rằng một khi nó được thông qua, tổ chức sẽ tuân theo nhiệm vụ này.

Sự biểu th về nhiệm vụ và cam kết cần được xem xét trên cả cp độ chiến thuật và chiến lược. Tổ chức phải xác định và đánh giá năng lực để đáp ứng các mục tiêu của mình và trau dồi các kỹ năng và kinh nghiệm cần thiết đ đạt được chúng.

Ảnh hưởng của những thay đổi theo yêu cầu của nhiệm vụ sẽ cn sự cân nhắc cn trọng. Điu này bao gồm việc ai sẽ là người dẫn dắt sự thay đổi và ai s cần hướng dẫn hoặc h trợ. Đôi khi có những thay đổi đòi hỏi khá triệt để ở phạm vi lớn (ví dụ như thay đổi trong các bản mô t công việc, quá trình theo dõi và quản lý kết quả) và như vậy s đòi hi một số năng lực của t chức cho sự thay đổi này. Điều này cần được xem xét theo bi cảnh của những sự thay đổi khác đang din ra cho có thể có sự tích hợp, lng ghép hay không.

Những người sẽ b ảnh hưởng đáng k bi những thay đổi cần được tham vấn, đặc bit là những người lưu giữ bất kỳ loại dữ liệu quản lý rủi ro nào trong tổ chức (ví dụ như sức khe và sự an toàn, quản lý an ninh), sao cho tất cả những việc áp dụng theo sự thay đổi có thể được hiểu rõ.

Nhiệm vụ cần được nêu trong một tuyên bố về chính sách thể hiện cam kết của tổ chức đối vi việc này.

Hỗ trợ thực tế:

Một s những cách mà việc triển khai có thể đạt được bao gồm:

- Xem xét cách thức để nhiệm vụ này s được giải thích đối với tổ chức và làm thế nào những cách giải thích như vậy s được củng c bởi những hành động đang diễn ra;

- Cân nhc khung thời gian đ nhiệm vụ này có hiệu lực (điều này cần được đ cập và được tích hợp với các mệnh lnh khác của tổ chức, nếu không, dù ngay cả khi khuôn khổ quản lý là hoàn chỉnh, thì những lợi ích đầy đủ của nó s không được thực hiện và việc qun lý rủi ro s không có được hiệu lực như nó có thể có);

- Xác định các vai trò chủ yếu đ mang lại thay đổi cn thiết trong cách tiếp cận quản lý rủi ro và chỉ đạo, dẫn dắt các hoạt động quản lý rủi ro;

- Xác định những khía cạnh nào và những hoạt động nào của khuôn khổ quản lý rủi ro s được theo dõi ở cp lãnh đạo cao nhất, cấp quản lý và cp ủy ban và làm thế nào đ các thông tin như vậy s được thu thập và thể hiện.

- Đưa kết quả hoạt động quản lý rủi ro thành một hạng mục thường xuyên trong chương trình nghị sự tại tất cả các cuộc họp ban giám sát và lãnh đạo cao nhất;

- Xây dựng các phương pháp hiệu quả để thông tin v kết qu hoạt động quản lý rủi ro (ví dụ như xuất bản bản tin cho nhân viên theo kiểu của một báo cáo quản lý rủi ro);

- Cân nhc những gì cần được kích hoạt để xem xét lại nhiệm vụ này.

Phụ lục D

(tham khảo)

Theo dõi và xem xét

D.1 Cơ sở

D.1.1 Khái quát

Phụ lục này cung cấp chỉ dẫn về theo dõi và xem xét khuôn khổ và quá trình quản lý rủi ro theo TCVN ISO 31000:2011 (ISO 31000:2009), 4.5, 4.6 và 5.6.

Theo dõi và xem xét là hai hoạt động phân bit nhằm xác định xem liệu các giả định và các quyết định vẫn có hiệu lực. Các kỹ thuật được sử dụng trong cả việc duy trì khuôn khổ quản lý rủi ro hiệu lực và cả trong mỗi bước của quá trình quản lý rủi ro.

- Theo dõi liên quan đến việc quan trắc thường xuyên kết quả thực hin thực tế và so sánh nó với kết quả dự kiến hoặc yêu cầu. Nó bao gm việc kiểm tra hoặc điều tra liên tục, việc theo dõi trong thực hiện, quan trắc mang tính phê phán hoặc xác định tình trạng đ xác định sự thay đổi mức độ kết quả thực hiện so với yêu cầu hoặc mong đợi, cũng như những thay đổi về bối cảnh.

- Xem xét có thể là việc kim tra định kỳ hoặc bt thường về tình trạng hiện tại, về những thay đổi trong môi trường, về thực hành ngành công nghiệp, hoặc về thực tiễn về tổ chức. Đây là một hoạt động được thực hiện đ xác định sự phù hợp, đầy đủ và hiệu lực của khuôn khổ và của quá trình để đt được mục tiêu được nêu. Việc xem xét cần cân nhắc đến các kết quả đầu ra từ các hoạt động theo dõi.

- Đánh giá là một quá trình xem xét một cách hệ thống, dựa trên bằng chứng đ so sánh với các tiêu chí khác đã được xác định trước. Trong khi mọi cuộc đánh giá đều có xem xét thì không phải tất cả xem xét đều là một cuộc đánh giá.

Cùng với nhau, theo dõi và xem xét cung cấp sự đảm bảo rằng kết quả hoạt động quản lý rủi ro là đạt được như mong đợi, cho dù nó có thể cần được cải tiến và cho dù có thay đổi đã xảy ra hiện đòi hỏi phải điều chỉnh hoặc sửa đổi về khuôn khổ quản lý hoặc một số khía cạnh của quá trình.

Theo dõi và xem xét đu nhm cung cấp sự đảm bảo hợp lý rằng các rủi ro được quản lý đầy đủ, nhằm xác định những thiếu sót trong quản lý rủi ro, và nhằm xác định các cơ hội đ cải tiến quản lý rủi ro.

Cả hai đều cần thiết để đảm bảo tổ chức duy trì một sự hiểu biết hiện tại về các rủi ro của mình có liên quan đến với các tiêu chí rủi ro đó, bám sát tuân th quan điểm rủi ro của mình. Cả hai đu yêu cầu một cách tiếp cận có hệ thống tích hợp với các hệ thống quản lý chung của tổ chức.

Các hoạt động theo dõi và xem xét và các hành động để đáp ứng với những phát hiện này thường được mô tả đặc trưng như là một hệ thống đm bo bởi vì chúng có tim năng đ phát hiện và khắc phục những điểm yếu trước khi các tác động bất lợi xảy ra hoặc để cung cấp sự tin tưởng rằng các rủi ro vẫn nằm trong chuẩn mực của tổ chức. Những hoạt động này cũng có thể được sử dụng để cung cấp cho các bên liên quan bên trong và bên ngoài sự đảm bảo hợp lý rằng rủi ro đang được quản lý một cách hiệu lực.

Do các yếu tố về bối cảnh bên trong và bên ngoài thay đổi, nên luôn có rủi ro. Tương tự như vậy, theo dõi bối cnh bên ngoài có thể cảnh báo cho tổ chức các thay đổi có thể dẫn đến cơ hội để cải thiện kết quả thực hiện hoặc một hoạt động mới. Bằng cách luôn được cảnh báo bởi những thay đổi như vậy, bởi những kết quả thực hiện, bởi những sự không phù hợp, và bởi những lần thoát nạn, tổ chức sẽ có thể xác định các cơ hội đ ci tiến khuôn khổ quản lý quản lý rủi ro cũng như kết quả thực hiện chung của tổ chức.

Nên có một chương trình toàn diện để theo dõi và ghi nhận các chỉ số về kết quả thực hiện và các chỉ số này cần được sử dụng cùng với các chỉ số về kết quả thực hiện khác của tổ chức.

Chương trình này cung cấp cảnh báo sớm v các xu hướng bất lợi, đòi hỏi phải hành động phòng ngừa và sự can thiệp.

Một hành động riêng biệt về theo dõi hay hành động có thể nhằm vào một rủi ro đơn lẻ hay một số các rủi ro có mối liên quan, cần chú trọng vào các rủi ro này hoặc những hoạt động kim soát mang tính phòng ngừa gắn liền với chúng.

D.1.2 Trách nhiệm theo dõi và xem xét

Trách nhiệm chung về các hoạt động giám sát và xem xét thuộc bộ phận theo dõi và lãnh đạo cao nhất chứ không phải là các nhà cung cấp sự đảm bảo, ví dụ: đánh giá nội bộ. Các chức năng đảm bảo chất lượng, chức năng xem xét độc lập và theo dõi theo nghĩa pháp lý đều là những bổ sung hữu ích cho quá trình báo cáo quản lý chuyên ngành vì những hoạt động như vậy cung cấp một cách nhìn có tính lựa chọn.

Các hoạt động theo dõi và xem xét có thể được cân nhc theo nghĩa của một hệ thống phân cấp, thường được áp dụng tại cp lãnh đạo: Nếu được thiết kế hoàn chỉnh, điều này sẽ tạo mức đảm bo lớn nht. Tuy nhiên, một chương trình theo i và xem xét cần bao gồm tất cả ba yếu tố.

Chương trình theo dõi và xem xét cần xác minh rằng chính sách quản lý rủi ro vừa được thực hiện vừa có hiệu lực. Phương cách mà lãnh đạo cp cao phản hồi/ xử lý với các kết qu của chương trình theo dõi có thể ảnh hưởng đến hành vi của nhân viên và điều quan trọng là lãnh đạo cp cao phải hành động đúng với vai trò mẫu mực.

D.1.3 Xem xét độc lập

Cho dù được tiến hành bởi bên trong hoặc bên ngoài, thì đối với bên tham gia, tính độc lập là yêu cầu xuất phát điểm trong các mối quan hệ của người xem xét, người đánh giá.

Độc lập là cơ sở cho tính khách quan của việc xem xét và tính khách quan của kết luận xem xét.

Khi có thể, người xem xét và người đánh giá đều phải độc lập đối với hoạt động đang được xem xét đánh giá và trong mọi trường hợp, họ cn hành động theo một phương cách sao cho không bi lệch hoặc xung đột về lợi ích.

Đối với đánh giá nội bộ, các chuyên gia đánh giá cần độc lập đối với các nhà quản lý đang điều hành các chức năng được đánh giá. Những người xem xét hoặc đánh giá cn giữ được tính khách quan trong suốt quá trình đánh giá/ xem xét để đảm bảo rằng những phát hiện và kết luận chỉ dựa trên các bằng chứng.

Đối với các tổ chức nhỏ, khả năng để những người tiến hành xem xét hay đánh giá hoàn toàn độc lập đối với hoạt động hiện được xem xét và đánh giá thường khó, tuy nhiên cần cố gắng thực hiện để loại b định kiến và thúc đẩy tính khách quan.

Tính độc lập của những người xem xét/người đánh giá sẽ giúp cho các cuộc xem xét và đánh giá là một công cụ hiệu quả và đáng tin cậy, hỗ trợ các chính sách và hoạt động kiểm soát rủi ro bằng cách cung cấp thông tin mà theo đó tổ chức có thể hành động để cải thiện kết qu thực hiện của nó.

Những việc xem xét như vậy có thể tập trung vào việc tuân thủ các tiêu chuẩn (nội bộ hay bên ngoài) các thủ tục hoặc các yêu cầu pháp lý. Thường thì chúng cũng xem xét sự phù hợp, hiệu quả và hiệu lực của các hoạt động kiểm soát, ví dụ: có thể xem xét liệu các hoạt động quản lý rủi ro có cung cấp các giá trị như đã được nêu trong các nguyên tắc của TCVN ISO 31000.

Nhiều tổ chức có chức năng tư vấn và xem xét hệ thống quản lý (như cử chuyên gia tư vấn về quản lý rủi ro, chuyên gia về sự phù hợp, cán bộ quản lý và đảm bảo chất lượng), những người này thực hiện việc xem xét thưng ngày, đánh giá nội bộ, lập các báo cáo thông thường về các kết quả xem xét của họ cho bộ phận giám sát và lãnh đạo cao nhất. Mục tiêu của các cuộc xem xét này là cung cấp cho bộ phận giám sát cho lãnh đạo cao nht sự đảm bảo rằng:

- Các tiêu chí rủi ro phù hợp với các mục tiêu và bối cnh mà trong đó tổ chức đang hoạt động;

- Một quá trình thích hợp và có hệ thống đã được áp dụng để xác định, đánh giá và xử lý các rủi ro và có sự tin cậy rằng, quá trình này sẽ hoạt động liên tục;

- Các rủi ro không thể chấp nhận hiện được nhận dạng, lưu ý bằng cách xử lý rủi ro thích hợp;

- Những rủi ro không thể chấp nhận được đang được kiểm soát một cách phù hợp và có hiệu lực, nếu không các biện pháp kiểm soát cần được điều chỉnh;

- Tiến độ thích hợp đang được thực hiện với các phương án xử lý rủi ro.

Các loạt động của một quá trình xem xét độc lập không làm giảm trách nhiệm theo dõi và xem xét của lãnh đạo các cp.

D.1.4 Thu nhận các thông tin thích hp

Cũng giống như các khía cạnh khác của quản lý rủi ro, theo dõi và xem xét đòi hỏi việc sử dụng các thông tin có sẵn tốt nhất [xem nguyên tắc f)]. Đ phù hợp với mục đích, thông tin cần liên quan tới người sử dụng và thể hiện đúng những gì nó muốn nêu. Sự hữu ích của thông tin được nâng cao nếu nó có thể so sánh, kiểm chứng, kịp thời và dễ hiểu. Thông tin có th thu được từ hai nguồn:

a) Nguồn trực tiếp: Các quan trắc và các phép đo về các quá trình tác nghiệp thực tế hay những đu ra của chúng;

b) Nguồn gián tiếp: Các kết quả đo dẫn xuất từ các quá trình hoặc kết quả đầu ra đang được xem xét.

Việc kết hợp của các phép đo từ các nguồn khác nhau được chọn tùy theo sự cần thiết (tùy thuộc vào khả năng có thể có) hoặc theo sự tiện lợi (tính kp thời, chi phí, vv).

D.1.5 Báo cáo quá trình xem xét

Báo cáo cần cung cp thông tin cho bộ phận giám sát, lãnh đạo cao nhất và các bên liên quan của tổ chức về việc liệu những rủi ro của tổ chức có nm trong các tiêu chí rủi ro của mình hoặc liệu đã có các kế hoạch xử lý rủi ro đáng tin cậy cho phép cuối cùng s dẫn đến kết quả này. Ngoài ra nó có thể cung cấp thông tin về những rủi ro mới, đang hình thành.

Bất kỳ cách thu nhận các thông tin rủi ro (ví dụ như trong một đăng ký rủi ro) cần được định kỳ cập nhật. Các loại và tn suất báo cáo s phụ thuộc vào tính chất, quy mô và phạm vi của việc đánh giá rủi ro.

Các đầu ra của việc đánh giá hoặc xem xét s là một báo cáo tóm tắt các phát hiện, cung cấp các kết luận của đánh giá so với các tiêu chí đã xác định. Báo cáo dựa trên những gì mà những người xem xét đã quan sát có thể cung cấp các khuyến ngh để cải tiến hệ thống. Đôi khi, người xem xét có thể nêu các đ ngh lớn hơn, hướng vào chính bản thân các tiêu chí. Phản hi đối với mọi cuộc xem xét cn chú trọng vào việc cải tiến hệ thống và tìm được các nguyên nhân gốc rễ của vn đ.

D.1.6 Hành động khắc phục và cải tiến liên tục

Cần thiết lập các quá trình để đảm bảo rằng các khuyến nghị đang được lãnh đạo của tổ chức tích cực xem xét và những phn hồi thống nhất đang được thực hiện.

Hành động đáp ứng đối với các cuộc xem xét cần được báo cáo cho bộ phận giám sát và cn theo dõi thường xuyên cho đến khi nó được thực hiện.

D.2 Thao dõi và xem xét khuôn khổ

D.2.1 Khái quát

Mục đích của việc theo dõi và xem xét là để giữ hiện trạng của khuôn khổ quản lý rủi ro gắn lin, nhất quán với những dự định quản lý rủi ro của tổ chức. Khuôn khổ quản lý đ cập đến các thành phần và các quá trình trong hệ thống quản lý của tổ chức để giúp các rủi ro s được quản lý.

TCVN 31000:2011 (ISO 31000: 2009), Điều 4, nêu hướng dẫn về các thành phần cần thiết của một khuôn khổ và lưu ý rằng những thành phần này cần phải được xét trong mối liên h với bối cảnh bên trong và bên ngoài của tổ chức.

Khi có những thay đổi xảy ra với bi cảnh nội bộ hay bên ngoài của tổ chức, có thể phải điều chỉnh khuôn khổ quản lý để đảm bảo nó vẫn có hiệu lực.

Thậm chí ngay cả khi không có sự thay đổi nội bộ hay bên ngoài, đòi hỏi có sự thay đổi trong thiết kế, việc theo dõi và xem xét vẫn cần thiết đ đảm bảo rằng bất cứ lúc nào việc kiểm tra đối với các thành phần của khuôn khổ quản lý về kế hoạch thực hiện để đảm bảo rằng chúng đã được thực hiện một cách chính xác. Đối với tổ chức đã áp dụng TCVN ISO 31000 nó s liên quan đến việc đm bảo rằng các thành phn của khuôn khổ quản lý tiếp tục tn tại và đang hoạt động đúng như đã dự định.

D.2.2 Trách nhiệm giải trình

Lãnh đạo có trách nhiệm đảm bảo định kỳ xem xét và theo dõi khuôn khổ theo các chỉ số kết quả thực hiện. Là một phần trong việc phân công trách nhiệm, một người (ví dụ một cán bộ quản lý cp cao) hoặc một bộ phận chức năng của tổ chức (ví dụ như bộ phn hỗ trợ và hợp tác quản lý rủi ro) số đảm nhận mt phn được giao về các trách nhiệm quản lý rủi ro, người hoặc bộ phận này cần thực hiện việc theo dõi khuôn kh và đảm nhận trách nhiệm chính để đảm bảo rằng khuôn khổ vẫn duy trì hiệu lực.

D.2.3 Thiết lập ranh giới

Cần thiết lập một ranh giới đối với việc quản lý rủi ro trong tổ chức. Ranh giới này có thể được mô tả theo những cách khác nhau nhưng cn bao gồm:

a) các thành phần của khuôn khổ (như mô tả trong TCVN ISO 31000:2011, 4.3) đ cung cấp kh năng giúp đạt được mục đích này.

b) mức độ h trợ mà bộ phận giám sát và lãnh đạo cao nhất cần nêu đ thực hiện trong các nhiệm vụ và cam kết quản lý rủi ro (thường được thể hiện dưới hình thức của một chính sách quản lý rủi ro).

Các hình thức dự định và cấu trúc của khuôn kh này thưng được ghi lại khi nó đã được thiết kế, và các thông tin như nêu trong Bảng D.1 là cần có sẵn. Điều này tạo nên một ranh giới mang tính nguyên tc hoặc hạng mục đ tham chiếu đối với các so sánh đã được nêu khi theo dõi hoặc xem xét.

Bảng D.1 - Ví dụ v bảng danh mục các thành phn của khuôn khổ

Thành phần

Được triển khai ở đâu

Mục tu

Hành động chính

Trách nhim và lịch trình

Thước đo kết quả

Tình trạng áp dụng

Trách nhiệm giải trình

Cp tổ chức

Duy trì chính sách, quản lý rủi ro của tổ chức

• Xác định chuẩn mực

• Lập báo cáo

• Giao quyn

• Công bố chính sách.

• Chính thức hóa lịch trình những nội dung đã nêu

• Lịch xem xét tiếp theo: ngày/tháng/năm

...

Các ngun lực: Đào tạo

Cp phòng ban

Cung cấp các thành phn quản lý rủi ro cho tất cả đào tạo

• Tiếp nhận chỉ dẫn

• Thiết kế nội dung đào tạo

• Đào tạo giảng viên

• Thiết kế: Hợp tác quản lý rủi ro

• Trin khai: Quản lý rủi ro tại các bộ phận

• Lần xem xét tiếp ngày/tháng/năm

• Đã thực hiện: Báo cáo tháng

• Chất lượng: Báo cáo và đánh giá việc đào tạo

Tổ chức cũng cần thiết lập các chỉ số về kết quả thực hiện có liên quan đến các mục tiêu của mình nhằm đưa ra biu hiện về tính hiệu lực của khuôn khổ chung đối với hiện trạng rủi ro đang được qun lý. Các chỉ số về kết quả thực hiện, đôi khi được gọi chung là các chỉ số đầu ra chẳng hạn:

- sự cố, tai nạn và những ln thoát nạn;

- thiệt hại thực tế;

- những việc ngoài ý muốn, không như dự định;

- khiếu nại của khách hàng;

- món nợ lớn;

- tình trạng sẵn sàng của hệ thống;

- mức độ mà theo đó các mục tiêu tổ chức hiện được đáp ứng;

- mức độ mà theo đó các mục tiêu quản lý rủi ro hiện được đáp ứng.

D.2.4 Đánh giá xem liệu các đặc điểm và bi cnh của tổ chức đã thay đổi

Xác định xem liệu bối cảnh nội bộ hay bên ngoài của tổ chức đã có sự thay đổi hiện hữu hay về kinh nghiệm thực tế k từ khi khuôn khổ quản lý rủi ro đã được xây dựng hoặc được sửa đi.

Hỗ trợ thực tế

Các đặc trưng nội bộ có thể đã có sự thay đổi bao gồm:

- cơ cu;

- thực tiễn và các yêu cầu quản trị;

- các chính sách, tiêu chuẩn và các mô hình nội bộ;

- các yêu cu của hợp đồng;

- các chiến lược và các hệ thống tác nghiệp b ảnh hưởng bởi các yếu t bên trong hoặc bên ngoài (ví dụ như thay đổi quy định của pháp luật);

- khả năng và các nguồn lực (ví dụ như nguồn vn và tài chính có tiếng tăm, thời gian, con người, các quá trình, các hệ thống và công nghệ);

- trí thức, các kỹ năng và sở hữu trí tuệ;

- các hệ thống và các dòng thông tin;

- hành vi ng xử xã hội, môi trường, văn hóa;

- những vn đ và các nhiệm vụ có tính ưu tiên có thể được nhận thc đ cạnh tranh với những ý định của tổ chức trong quản lý rủi ro.

Các chỉ số quan trọng là các chỉ số có thể giúp chỉ ra những thay đổi bối cảnh bên ngoài, thường được thy trong các báo cáo và nghiên cứu, phản ánh những thay đổi và xu hướng trong ngành công nghiệp, trong đó tổ chức đang hoạt động.

Các ví dụ bao gm:

- giá cả hàng hóa, lãi suất ngân hàng, lãi suất trái phiếu, tỷ giá hối đoái, chỉ số th trường chứng khoán, chỉ s giá tiêu dùng (xu thế);

- các chỉ số xu thế khác;

- mức độ hoặc các sự vụ mang tinh cht gian lận trong các t chức tương tự;

- quy mô th trưng và các chỉ số tăng trưởng, những thay đổi đột ngột về khối lượng đơn hàng;

- tình trạng ổn định chính trị và xã hội, tình trạng bt mãn hay tán đồng của xã hội;

Nếu bi cảnh tổ chức đã thay đi k từ khi khuôn kh quản rủi ro được xây dựng, khuôn khổ qun lý rủi ro này cn được đánh giá và sp xếp lại theo cách có tính đến những thay đổi này.

Mục đích của hoạt động này là để xác nhận rng khuôn khổ và các quá trình là phù hợp và nhất quán với các mục tiêu, với các vn đề được ưu tiên của tổ chức.

Từ việc xem xét, tổ chức có th cần thay đổi những nguyên tắc cơ bản của nó.

DỤ 1: Một sự thay đổi trong cơ cu của một tổ chức có thể đòi hỏi một số việc cần nhìn nhận li chính sách quản lý rủi ro và phân b lại trách nhiệm, nguồn lực cho phép rủi ro tiếp tục được quản lý một cách hiệu lực. Nếu tổ chức đã mở rộng quy mô, ví dụ do sáp nhập hoặc mua lại, cân cân nhắc tình trng đáp ứng đy đ tiếp theo của nguồn lực quản lý rủi ro cũng như sẽ phân tích cn thận bất kỳ sự khác biệt giữa các tổ chức trong cách tiếp cận đ quản lý rủi ro. Đây có th là sự cần thiết đ triển khai một kế hoạch chuyển tiếp việc áp dụng bất kỳ thay đổi phát sinh nhờ việc phân tích.

DỤ 2: Nếu các yêu cầu pháp lý mới đã có hiệu lực, các khía cạnh của khuôn khổ có liên quan đến trách nhiệm, đào tạo và việc nắm giữ thông tin hay báo cáo có th cũng cần sửa đổi hoặc mở rộng.

D.2.5 Xem xét khuôn khổ

Khi việc đánh giá các đặc điểm và bối cảnh bên ngoài đã được thực hiện xong, cần tiến hành một cuộc xem xét toàn diện hơn về hệ thống này để xác định xem:

a) Kế hoạch rủi ro hiện được thực hiện đúng như dự đnh;

b) Khuôn khổ quản lý và các quá trình được nêu hiện đang được tuân thủ như dự định;

c) Mức rủi ro nằm trong phạm vi tiêu chí;

d) Các mục tiêu cốt lõi của tổ chức đang tạo được ảnh hưởng tích cực tới việc quản rủi ro;

e) Các bên liên quan đều nhận được báo cáo đy đủ đ giúp họ có thể thể thể hiện vai trò và trách nhiệm của mình trong cơ cấu quản trị;

f) Mọi ngưi trong toàn tổ chức có đầy đủ kỹ năng, kiến thức và năng lực để thực hiện trách nhiệm của họ đúng như chúng đã được xác định;

g) Các ngun lực quản lý rủi ro là khá đầy đủ;

h) Những bài học đã được rút ra t kết quả thực tế đã xảy ra, bao gồm cả tổn thất, những lần thoát nạn cũng như các cơ hội;

i) Các mục tiêu đặt ra cho quản lý rủi ro hiện đang đạt được.

Nên có một lịch trình xem xét thường xuyên được đồng thuận để có khả năng tiến hành các cuộc xem xét nếu như có sự thay đổi hoàn cảnh, ví dụ khi những hậu quả của các rủi ro là bất ngờ hoặc nghiêm trọng.

Các dạng dẫn xuất từ một cuộc xem xét như vậy thường bao gồm:

- báo cáo tổng th về kết quả hoạt động của khuôn khổ quản lý rủi ro;

- báo cáo về tiến độ thực hiện kế hoạch quản rủi ro (bao gồm phân tích về bt kỳ sự chậm trễ trong việc thực hiện);

- báo cáo nêu rõ tình trạng tiến triển của tổ chức liên quan đến thực hành tt nhất;

- các khuyến nghị về những thay đổi cn thiết đ cải tiến quản lý rủi ro và tính hiệu lực của nó trong tổ chức;

- cập nhật chính sách, mục tiêu và kế hoạch quản lý rủi ro khi cần thiết;

- cập nhật các mô tả về bối cảnh trong đó tổ chức đang hoạt động, khi thích hợp;

- báo cáo về các xu hướng các chỉ số rủi ro chính;

- kế hoạch hành động gắn liền với các thay đổi cần thiết để đáp ứng các mục tiêu quản lý rủi ro.

D.3 Theo dõi và xem xét quá trình

D.3.1 Khái quát

Mục đích của việc theo dõi và xem xét quá trình quản lý rủi ro là đ đảm bảo rng nó:

- thích hợp cho hoạt động sản xuất kinh doanh;

- đang được tiến hành theo kế hoạch.

Những rủi ro mà việc kiểm soát và xử lý cơ bản của chúng có thể thay đổi theo thời gian thì những người có trách nhiệm trong việc quản lý rủi ro cn phải nhận thức được các tác động của những thay đổi này. Tht bại trong việc xử lý có th làm cho rủi ro này trở nên không chấp nhận được. Hơn nữa nên tiến hành thêm những hoạt động kiểm soát mà mục đích của chúng là đ cải biên những rủi ro có thể thay đổi theo nghĩa thích tạo sự thích hợp và hiệu quả, như vậy, nếu không được theo i hay xem xét, những rủi ro không th duy trì trong các tiêu chí rủi ro chấp nhận của tổ chức và tổ chức có thể không có một sự hiểu biết hiện tại về rủi ro của mình.

Kết quả theo dõi và xem xét s được phản hi lại cho giai đoạn thiết lập ngữ cảnh, cung cấp cơ sở cho việc đánh giá rủi ro mới, đáp ứng đầy đủ bn chất tự nhiên về tính chu kỳ và năng động của quá trình quản lý rủi ro và thiết kế cơ cu quản lý rủi ro.

D.3.2 Trách nhiệm giải trình

Theo dõi là một phần không thể thiếu trong quản lý. Các hoạt động kiểm soát rủi ro phải được giao cho những người liên quan, họ có trách nhiệm theo dõi chúng. Trách nhiệm này phải được ghi lại trong vai trò, trong bn mô tả vị trí.

Phạm vi các nh vực chính của tổ chức, theo cách xem xét chính thức của người lao động, ví dụ như về tài chính, các bên liên quan, hiệu quả nội bộ, các mục tiêu học tập và phát triển của các mục tiêu nội bộ hiện đang được xem xét. Những kết quả thực hiện so với cùng một tập hợp các chỉ số có thể đo được ở tất cả các cp của tổ chức và sau đó được báo cáo một cách phù hợp.

Các phương án xử lý rủi ro cũng cần được theo dõi đ đm bảo rằng tiến trình đang được thực hiện và các hành động được hoàn thành đúng thời hạn.

D.3.3 Học hỏi kinh nghiệm

Các tổ chức nên học hỏi từ chính các kết quả thực tế. Những kết quả này phải bao gồm cả các tn tht, những sự vụ suýt xảy ra, những sự không phù hợp và các cơ hội đã được xác định trước, đã xảy ra, nhưng vẫn chưa được xử lý.

Các điểm cn được cân nhc theo cách xem xét này bao gồm:

- chuyện gì đả xảy ra;

- làm thế nào và tại sao kết quả lại xảy ra như vậy;

- liệu có bất kỳ giả định cần nào phải được xem xét như là một kết quả của đầu ra;

- hành động đã được thực hiện (nếu có) để phản hồi;

- khả năng để điều đó lại xảy ra;

- bt kỳ sự phn hồi hay các bước bổ sung cần được thực hiện;

- những điểm đúc rút, học hỏi chính và ai là người cần được truyền đạt.

D.3.4 Theo dõi

D.3.4.1 Những cách tiếp cận điển hình để theo dõi bao gồm những điều sau đây

a) Chủ sở hữu rủi ro có thể rà soát môi trường để theo dõi những thay đổi về ngữ cảnh. Tn suất của hoạt động này s phụ thuộc vào mức độ rủi ro và sự năng động của những thay đổi về ngữ cảnh. Trong một s trường hợp, báo cáo riêng, ngoại lệ về các chỉ số có thể là đủ. Chủ sở hữu rủi ro so sánh các yếu tố bên ngoài hoặc nội bộ có liên quan so với các tuyên bố của ngữ cnh để xác định xem liệu có sự thay đổi hiện hữu nào đó đã xảy ra. Điều này có thể bao gm việc thông tin và tham khảo định kỳ ý kiến các bên liên quan để xác định xem liệu quan đim, mục tiêu của họ đã có gì thay đổi.

b) Các chủ rủi ro cũng nên theo dõi các phương án xử lý rủi ro đối với các hành động và phản hi kịp thời khi có những thay đổi về môi tờng.

c) Những người được giao nhiệm vụ kim soát phải có trách nhiệm kiểm soát mang tính theo i đối với những gì đã được giao cho họ, trong đó có thể bao gồm kiểm tra định kỳ hoặc theo dõi liên tục. Vì quản lý rủi ro hiệu quả nhất khi nó được tích hợp hoàn toàn với việc ra quyết định thông thường và với hệ thống quản lý của tổ chức, nên kết quả thực hiện quản lý hoạt động của tổ chức phải được sử dụng đ theo dõi rủi ro và hiệu quả của quá trình quản lý rủi ro. Các chỉ số về kết quả thực hiện cần phản ánh phạm vi của các mục tiêu trọng điểm của tổ chức vốn đã được xác định ở ngay giai đoạn đầu của quá trình khi xác lập ngữ cảnh của tổ chức. Những chỉ số này cũng có thể được phát triển theo cách có liên quan đến các rủi ro cũng như cách kiểm soát cụ thể, cách áp dụng chúng vào quá trình quản lý rủi ro.

CHÚ THÍCH: Trong tự như trường hợp với các rủi ro, phải lưu ý rằng, các hoạt động kiểm soát cũng phải được gắn cho những người chu trách nhiệm đối với hoạt động của họ. Thông thưng, chủ sở hữu việc kiểm soát hay người thao tác là người thực hiện việc kiểm soát theo n nếp thường ngày nhưng cũng có thể là một ai đó, khác với chủ sở hữu rủi ro. Điều này không ảnh hưởng đến trách nhiệm chung của chủ sở hữu rủi ro trong việc phải điu chỉnh một cách thích hợp rủi ro đó, trong trách nhiệm thiết kế, triển khai, ứng dụng, theo dõi, đánh giá các hoạt động kim soát tương ứng.

D.3.4.2 Các chỉ số kết quả thực hiện có thể đo được các kết quả (ví dụ như các tổn thất hoặc các khoản thu được c thể) hoặc các quá trình (ví dụ như việc hoàn thành kịp thời các phương án xử rủi ro). Bình thưng, có thể sử dụng hỗn hợp các chỉ số, ngoại trừ khi các chỉ s v kết quả đầu ra được dùng để biểu thị kết quả của sự suy giảm đáng k do những thay đổi mà những thay đổi đó làm cho các hệ số này tăng lên. Do vậy, trong một môi trường có sự thay đổi cao, việc sử dụng các chỉ số quá trình (như các chỉ số quan trọng) thưng hữu ích hơn.

Trong việc lựa chọn các chỉ số kết quả thực hiện, điều quan trọng là phải kiểm tra xem:

- chúng phải đo được;

- việc sử dụng chúng là có hiệu quả xét theo nghĩa đòi hi về thời gian, công sức và ngun lực;

- quá trình đo lường hoặc theo dõi chúng s khuyến khích hoặc tạo điều kiện cho hành vi mong muốn và không thúc đẩy hành vi không mong muốn (ví dụ như ngụy tạo các dữ liệu);

- nhng người tham gia hiểu quá trình và những lợi ích mong đợi và có cơ hội cung cấp được thông tin đầu vào để thiết lập các chỉ số;

- các kết quả được ghi lại và kết quả thực hiện được phân tích và báo cáo theo một hình thức cho phép tạo điều kiện học tập và ci thiện toàn bộ tổ chức.

D.3.4.3 Khi áp dụng việc quản lý kết quả thực hiện cho quá trình quản lý rủi ro, cần lưu ý rằng:

- việc đo lưng hiệu quả kết quả thực hiện đòi hỏi phải có nguồn lực, nguồn lực này cần được xác định và phân b như là một phần của việc phát trin của các chỉ số về kết quả thực hiện;

- một s hoạt động quản lý rủi ro có thể khó đo lường được, nhưng không vì thế mà chúng kém quan trọng. Trong những trường hợp này, nên sử dụng các chỉ s thay thế, ví dụ: các nguồn lực dành cho các hot động quản lý rủi ro có thể là một thước đo thay thế cho cam kết đ quản lý rủi ro hiệu quả;

- bất kỳ sự biến động, sai khác giữa dữ liệu đo các chỉ số kết quả hoạt động và cảm nhận bản năng đều quan trọng và cần được điều tra, ví dụ: nếu người lãnh đạo vẫn thấy quan ngại rằng những rủi ro không được quản lý đúng cách, mặc dù các đánh giá rủi ro dạng con số cho thấy các mức độ rủi ro là thấp, thì những mối quan ngại này cần được điều tra và không đ b bỏ qua.

- thường thì sự suy giảm đột ngột về chỉ số s luôn gây sự chú ý, điều này cũng phải được áp dụng như đối với sự suy giảm chỉ s về mức độ tiến triển, cụ thể, ta phải theo dõi và phân tích về xu hưng chỉ số hoạt động.

D.3.5 Xem xét

Lãnh đạo cn đnh kỳ xem xét các quá trình, các h thng và các hoạt động đ đảm bảo rằng:

a) Không phát sinh những rủi ro mới;

b) Các hoạt động kiểm soát, phương pháp xử lý rủi ro vn còn phù hợp và hiệu quả.

Những cuộc xem xét như vậy nên được lập thành kế hoạch (xem chương trình và cách tiếp cận đánh giá dựa trên rủi ro và làm thế nào để lựa chọn những người xem xét, như được nêu trong TCVN ISO 19011).

Những cuộc xem xét này có thể sử dụng các kỹ thuật tương tự như theo dõi thực tế đang diễn ra, nhưng nếu chúng được thực hiện bởi một người không trực tiếp tham gia vào các hoạt động của các quá trình, thì chúng có thể cung cấp nhng phân tích khách quan hơn. Tần suất xem xét có thể bị ảnh hưng bi mức độ rủi ro, bởi chu kỳ lập kế hoạch kinh doanh, bởi sự năng động trong môi trưng/bi cảnh, hoặc bởi một cuộc họp của bộ phận quản trị có trách nhiệm theo dõi các rủi ro và quản lý rủi ro.

Nếu phát hiện các vn đề, tổ chức nên xem xét chúng đã xuất hiện như thế nào và tại sao, trước đây chúng không được phát hiện.

Các hoạt động kiểm soát phải được đm bảo thông qua các hành động của các nhà quản lý có trách nhiệm (các ch rủi ro) vốn được xem như là một phần của các công việc và các vai trò bình thường của họ. Việc chỉ rõ những hoạt động kiểm soát cụ thể để kiểm soát các chủ rủi ro s thúc đẩy việc áp dụng các hoạt động kiểm soát, nhưng để đảm bảo tính hiệu lực, những chủ sở hữu đó cn được đào tạo kiến thức về kiểm soát sự đảm bảo của các quá trình.

Khi những sự thay đổi trong tổ chức đã được lập kế hoạch, hoặc khi những thay đổi bên ngoài đã được phát hiện, có thể dẫn đến những thay đổi trong:

- môi trường bên ngoài hoặc bên trong hoặc đối với các bên liên quan và quan điểm của họ;

- bối cảnh quản lý rủi ro, các mục tiêu của tổ chức và các tiêu chí rủi ro của nó;

- các rủi ro và các mức độ rủi ro;

- sự cần thiết đối với những phương pháp xử lý rủi ro;

- ảnh hưởng và hiệu lực của hoạt động kiểm soát.

Vì lý do này, khi xây dựng hoặc sửa đổi các kế hoạch kinh doanh hay các phương án chiến lược, điều tối cần thiết đối với các tổ chức là phải xem xét các rủi ro, các phương pháp xử lý, các hoạt động kiểm soát rủi ro của mình. Ngoài ra, do các phương án kinh doanh và kế hoạch chiến lược có thể tạo ra hoặc buộc điều chỉnh các mục tiêu của một tổ chức, nên sẽ rất hữu ích nếu ta sử dụng quá trình đánh giá rủi ro như phép kiểm chứng về tính chắc chắc của các phương án dự thảo để đảm bảo các mục tiêu dự kiến là đạt được, và cũng đ xác định biện pháp xử lý rủi ro cần thiết nhằm đảm bảo kết qu thành công. Những người thực hiện quá trình quản lý rủi ro cũng nên thường xuyên xem xét kinh nghiệm, các đầu ra, các kết quả của họ để xác định các cơ hội cải tiến.

Phụ lục E

(tham khảo)

Tích hợp quản lý rủi ro trong một hệ thống quản lý

E.1 Khái quát

Quản lý rủi ro là một phần không tách rời của hệ thống quản lý của một tổ chức. TCVN ISO 31000 hướng dẫn các tổ chức xây dựng, thực hiện và cải tiến liên tục một khuôn khổ quản lý mà mục đích của nó là để tích hợp quản lý rủi ro vào hệ thống quản lý của tổ chức (bao gm quản trị và chiến lược).

Đặc biệt, sự tích hợp cần đảm bảo rằng, thông tin về rủi ro được sử dụng như là cơ sở cho việc ra quyết định ở tất cả các cấp của tổ chức. Những người và các bộ phận cụ thể thực hiện quản lý rủi ro hàng ngày phải được cân nhắc như là một phần trong cách để họ đưa ra các quyết định. Quản rủi ro đã được tích hợp một cách tự nhiên trong tất cả những gì chúng tôi làm trước khi chúng tôi quyết định làm một cái gì đó. Dù chỉ một số người làm tt hơn những người khác về điều đó, nhưng tất cả có thể cải thiện chất lượng quản lý rủi ro và cải thin việc ra quyết định, dn đến sự cải thiện trong việc đạt được các mục tiêu và sự tin cậy nhờ đó cũng được nâng lên. Nếu mục đích của việc quản lý rủi ro tích hợp là để gia tăng giá trị, nó xác định một cách logic các phương thức chấp nhận tạo được ảnh hưởng đến những gì đã diễn ra và thúc đy, cải thiện nó, chứ không phải thay thế nó bằng một cái gì đó khác đi. Nó không có tác dụng bổ sung hoặc ép buộc một cái gì đó khác lạ vào những gì s thực sự phải diễn ra một cách tự nhiên của chức năng ra quyết định.

Tích hợp không chỉ đơn giản là việc đưa các công cụ và các quá trình quản lý rủi ro đã được thiết lập, đã được tiêu chuẩn hóa vào trong (các) hệ thống quản lý hiện có, nó đòi hỏi sự điều chỉnh, thay đổi những công cụ và quá trình của mình cho phù hợp với nhu cầu của người ra quyết định, phù hợp với các quá trình hiện có của họ để ra quyết định.

Phụ lục này cung cấp một số ví dụ thực tế về việc quản lý rủi ro có thể được tích hợp như thế nào vào (các) hệ thng quản lý hiện hành.

E.2 H thng quản lý là gì?

Tất cả các tổ chức đu sử dụng một số loại hệ thống quản lý. Trong thời gian gần đây, các hệ thống quản lý đã được chuyển hóa thành dạng chính tắc gắn liền với các yêu cầu đã được tạo ra, cung cấp một khuôn khổ quản lý trong đó một tổ chức có thể thiết lập các biện pháp và các quá trình quản lý để chỉ đạo và kiểm soát các hoạt động của nó. Nhiều tiêu chuẩn quốc tế đề cập ti các h thng quản lý nói chung hay có liên quan tới những nội dung cụ thể.

Một hệ thống quản lý là một tập hợp các yếu tố liên quan hay tương tác lẫn nhau của một tổ chức để thiết lập các chính sách, các mục tiêu, cũng như các quá trình để đạt được những mục tiêu đó. Với góc độ quản lý kinh doanh, nhờ có một hệ thống quản lý hay hệ thống quản lý tích hợp, ta sẽ thu được hiệu quả.

Ví dụ, quản lý chất lượng như được nêu trong TCVN ISO 9001 đề cập một cách tiếp cận rộng lớn hướng tới sự hài lòng của khách hàng, trong khi quản lý rủi ro lại đề cập tới những tác động của sự không chắc chắn đối với các mục tiêu vn có thể không chỉ liên quan đến khách hàng mà còn đối với cả hàng loạt các bên liên quan khác. Nhiều tổ chức đã áp dụng hệ thống quản lý chất lượng dựa trên các yêu cầu của TCVN ISO 9001, và quản lý rủi ro có thể được tích hợp trong các h thng quản lý như vậy, tạo ra sự phối hợp hài hòa và tránh trùng lặp

E.3 H thng quản lý đưc tích hợp và quản lý rủi ro

Tích hợp việc quản lý rủi ro với các quá trình kinh doanh cốt lõi cũng ging như mọi nhu cầu đ tạo ra sự tương tác giữa tất cả các cách tiếp cận hệ thống quản lý, ví dụ như quản lý chất lượng, quản lý môi trường, quản lý an toàn, quản lý an ninh, quản lý sự tuân thủ luật pháp, quản lý tài chính và báo cáo tài chính, và thậm chí cả với quản lý bảo hiểm liên quan ti các sự kiện về việc phi chuyn trả về tài chính cho các tổ chức khác.

Các hệ thống quản lý tách biệt này cn tạo nên một hệ thống quản lý tích hợp, dựa trên các chính sách và chiến lược ca mỗi một tổ chức. Ngay cả khi một tổ chức có các hệ thống quản lý tách biệt để quản lý các rủi ro rt cụ thể thì khuôn khổ quản lý đ quản lý rủi ro cũng nên mở rộng đ có bao hàm hoặc được kết hợp với các hệ thống khác của nó.

Cách tiếp cận quản lý rủi ro bao hàm dọc toàn bộ tổ chức có thể:

a) Nâng cao sự chú trọng của lãnh đạo cấp cao đối với các mục tiêu chiến lược của tổ chức;

b) Tạo khả năng để mọi rủi ro trong hệ thống quản lý tích hợp sẽ được x lý theo các nguyên tắc và hướng dẫn của TCVN ISO 31000.

Cách tiếp cận này có thể liên quan đến những điều sau đây:

- đưa vào hệ thống quản lý chất lượng việc áp dụng các kỹ thuật quản lý rủi ro có liên quan đến sản phẩm chính yếu, liên quan quản lý rủi ro dự án;

- đi phó với những sự bt ổn trong quản lý môi trường, ví dụ như c và tai nạn tiềm ẩn tại các cơ sở liên quan độc hại, vấn đ xử lý vật liệu và chất nguy hại;

- xử lý các rủi ro kết hợp với các hoạt động như an toàn tại nơi làm việc;

- xử lý, kiểm soát các rủi ro an ninh, ví dụ hành vi bạo lực đối với các tổ chức hoặc các nhân viên hay khách hàng của mình;

- xử lý các rủi ro an ninh trong công nghệ thông tin (CNTT), ví dụ như các tác nghiệp làm CNTT bị sập, mt dữ liệu, vi phạm bảo mật và đảm bảo tính liên tục kinh doanh;

- quản lý các rủi ro liên quan tính liên tục kinh doanh nhằm đảm bảo sự chuẩn bị, phản ứng nhanh chóng đối với các sự kiện gây gián đoạn;

- thiết lập các hoạt động kiểm soát để bo vệ tài sản vật chất của tổ chức, đ đảm bảo báo cáo chính xác, đ đảm bảo tuân thủ các yêu cầu pháp lý, hoặc để quản lý các rủi ro có khả năng được bảo hiểm theo cách giảm thiu các phí bảo hiểm.

E.4 Áp dụng quản lý rủi ro trong cơ cấu quản lý của h thng quản lý chất lượng

E.4.1 Khái quát

Quá trình quản lý rủi ro cần được lồng ghép vào các quá trình ra quyết định của một tổ chức, bất kể mức độ và chức năng mà tại đó những quyết định này được đưa ra.

E.4.2 Xác định và nhận thức v nắm bắt, hiểu quyết định

Các phương pháp sau đây giúp nhận biết được khi nào và ở đâu các quyết định được nêu ra theo chu kỳ Lập kế hoạch - Thực hiện - Kiểm tra - Hành động (PDCA).

a) Xác định tất cả các hình thức về những thực tế ra quyết định đã được chính thức hóa và thực tế đã tồn tại trong tổ chức.

b) Trong các tổ chức lớn, thường có nhiều thủ tục đòi hỏi những sự chp thuận chính thức cho một loạt các quyết định, ví dụ như phê duyệt các kế hoạch chiến lược hàng năm, hạn mức vốn, thuê tuyn nhân viên mi, sửa đổi các cách kim soát quá trình, bố trí việc đi lại của nhân viên.

c) Sử dụng lưu đ, hoặc một số kỹ thuật khác, để lập sơ đồ mô tả sát thực về trình tự và các quy tắc thực hành chính của việc ra quyết định hiện được áp dụng cho cả các dự án cụ thể và tất cả các khía cạnh của hoạt động kinh doanh. Điều này có thể được cân nhắc trên cơ sở bộ phận hoặc chức năng và nên mở rộng cho c việc ra quyết định về quản trị và quản lý. Nếu có những hoạt động đang được quản lý bởi việc áp dụng một hệ thống quản lý đã được chính thức hóa (ví dụ như quản lý chất lượng qua áp dụng TCVN ISO 9001), những điểm quyết định trong các hệ thống như vậy sẽ tạo thành một phần của việc phân tích này. Tương tự như vậy, nếu tổ chức có bất kỳ hình thức nào về ủy nhiệm ra quyết định, những nhiệm vụ như vậy cũng nên được đưa vào phân tích. Kết quả cuối cùng s có một bức tranh mạch lạc, được văn bản hóa về việc các quyết định được ban hành ở đâu, do ai nêu và các quá trình hiện đang sử dụng đối với các quyết định như vậy.

Việc kết hợp các kỹ thuật nói trên s tạo ra một mức độ cao về nhận thức của cá nhân lẫn c tổ chức trong việc ra quyết định.

E.4.3 Đánh giá rủi ro

Thường s thích hợp, nếu trong một số loại quyết định (ví dụ như phát triển và thực hiện một sản phm mới, hoặc lập kế hoạch và thực hiện một dự án lớn), ta áp dụng được đánh giá rủi ro dạng chính tắc tại các giai đoạn khác nhau của dự án. Ví dụ, hầu hết các dự án có nhiu điểm quyết định phức tạp, chẳng hạn tính khả thi, điều kiện sản xuất - kinh doanh, việc lập ngân sách và kế hoạch chi tiết, thực hiện và bàn giao. Tại mỗi điểm, một đánh giá rủi ro dạng chính tắc là thích hợp đ quyết định giữa các tùy chọn. Điều này làm tăng tính hợp lý về sự thành công của dự án và cũng cải thiện tính hiệu quả.

Đ đánh giá rủi ro các quyết định tác nghiệp, những hình thức đơn giản đã được tiêu chuẩn hóa của quá trình quản lý rủi ro có th được những nhân viên tham gia phát triển để sử dụng. Những phương pháp này đặc biệt thích hợp trong tình huống mà mọi người làm việc mà không có sự theo dõi trực tiếp. Một thành phần quan trọng của các phương pháp này là nó tạo ra những nhận thức về các gi định như là đầu vào cho các quyết định. Theo định nghĩa, các giả định là một nguồn gc của sự không chắc chắn.

Các quá trình chuẩn hóa như vậy có thể được cụ thể đối với một hình thức liên quan đến việc ra quyết định, đối với một nhóm người cụ thể thực hiện một nhiệm vụ cụ thể, và đối với bi cảnh đin hình mà trong đó những vn đề trên xảy ra. Các hệ thống đơn giản có thể được biên soạn/ hệ thống hóa thành sổ tay bỏ túi hay bản hướng dẫn dạng danh mục kiểm tra và được tất cả những người tham gia trong loại hình công việc đ thực hiện.

E.4.4 Những gi ý cho khuôn khổ quản lý rủi ro

Việc áp dụng các kỹ thuật được mô tả trong điều khoản này s đòi hỏi một số hạng mục và sự điều chỉnh thích hợp đối với khuôn khổ quản lý rủi ro, ví dụ:

- sửa đổi các chính sách quản lý rủi ro của tổ chức;

- sắp xếp đ tiến hành việc điều tra ban đầu và lập bản đ thực hành ra quyết định;

- tiến hành sửa đổi đối với các sổ tay dạng quy trình;

- đào tạo cán bộ quản lý và nhân viên;

- đào tạo cụ thể cho những người có công việc phải được thực hiện phù hợp với một hệ thống quản lý cụ thể. (ví dụ như những nguồn có liên quan tới những dạng đặc biệt về rủi ro);

- các điều chnh đối với hệ thống đảm bảo và quản lý rủi ro liên quan năng lực thông tin của công ty;

- trao đổi thông tin nội bộ và tham vấn hiệu quả.

THƯ MỤC TÀI LIỆU THAM KHẢO

[1] TCVN ISO 9000 (ISO 9000), Hệ thống quản lý cht lượng - Thuật ngữ và định nghĩa.

[2] TCVN ISO 9001 (ISO 9001), Hệ thống quản lý chất lượng - Các yêu cầu.

[3] TCVN ISO 19011 (ISO 19011), Hướng dẫn đánh giá hệ thống quản lý.

[4] TCVN 9788:2013 (ISO Guide 73:2009), Quản lý rủi ro - Từ vựng.

[5] TCVN ISO/IEC 31010 (IEC 31010), Quản lý rủi ro- Kỹ thuật đánh giá rủi ro.

MỤC LỤC

Lời nói đầu

Lời giới thiệu

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

3  Áp dụng TCVN ISO 31000

3.1  Khái quát

3.2  Cách thức áp dụng TCVN ISO 31000

3.3  Tích hợp TCVN ISO 31000 vào các quá trình quản lý của tổ chức

3.4  Cải tiến liên tục

Phụ lục A (tham khảo) Khái niệm và các nguyên tc nền tảng

Phụ lục B (tham khảo) Áp dụng các nguyên tắc của TCVN ISO 31000

Phụ lục C (tham khảo) Thể hiện nhiệm v và cam kết

Phụ lục D (tham khảo) Theo dõi và xem xét

Phụ lục E (tham khảo) Tích hợp quản lý rủi ro trong một hệ thống qun lý

Thư mục tài liệu tham khảo

Click Tải về để xem toàn văn Tiêu chuẩn Việt Nam nói trên.

Để được giải đáp thắc mắc, vui lòng gọi

19006192

Theo dõi LuatVietnam trên YouTube

TẠI ĐÂY

văn bản mới nhất

×
Vui lòng đợi