Quản lý rủi ro doanh nghiệp: Cần hợp tác chặt chẽ với kiểm toán nội bộ
Các doanh nghiệp (DN) đang phải đối mặt với sự gián đoạn và rủi ro lớn từ bất ổn địa chính trị, sự tiến bộ nhanh chóng của AI và công nghệ mới, cũng như sự bất ổn kinh tế do chiến tranh thương mại gây ra. Trong bối cảnh này, quản lý rủi ro và kiểm toán nội bộ (KTNB) phải phối hợp nhịp nhàng để chủ động xác định các rủi ro mới, từ đó bổ sung các dự báo vào kế hoạch kinh doanh chiến lược.
Những khoảng trống về kết nối thông tin và công nghệ
Báo cáo mới của IIA với chủ đề “Quản lý rủi ro DN và quyết định chiến lược” cho thấy, quy trình quản lý rủi ro (ERM) của các DN đã hoàn chỉnh hơn rất nhiều so với trước đây, thông qua việc tăng cường kết nối rủi ro và các quy định chặt chẽ. Cuộc khảo sát đã có một số phát hiện tích cực: 62% DN sử dụng thông tin rủi ro để lập kế hoạch chiến lược, 86% báo cáo sử dụng hồ sơ rủi ro tổng thể và 77% sử dụng thông tin về rủi ro mới nổi, 47% tận dụng dữ liệu về kịch bản rủi ro.
Sự đảm bảo và tư vấn quản lý rủi ro mà KTNB cung cấp là rất quan trọng đối với ERM. Ảnh minh họa
Tuy nhiên, ngay cả khi ngày càng nhiều tổ chức đã nâng cao ERM, vẫn tương đối ít tổ chức hưởng được toàn bộ lợi ích của nó do sự thiếu kết nối thông tin. Có tới 49% DN cho rằng nhận thức về rủi ro chưa được lan tỏa trong toàn bộ tổ chức và 59% cho biết các chương trình của họ vẫn dựa vào các công cụ cơ bản, chẳng hạn như xử lý văn bản và bảng tính.
Chỉ có 21% người trả lời sử dụng nền tảng quản trị rủi ro và tuân thủ (GRC) và 20% sử dụng công nghệ nội bộ. AI có tiềm năng lớn, đóng vai trò quan trọng trong ERM, nhưng chỉ khoảng 6% DN sử dụng thường xuyên để hỗ trợ xác định rủi ro hoặc được sử dụng để nhập dữ liệu vào ERM (2%).
Khi xem xét tổng hợp, 3/4 DN tham gia khảo sát cho biết đã tiến hành đánh giá rủi ro trên toàn DN trong vòng 3 năm qua, nhưng cả các DN tư nhân và DN nằm trong khu vực công đều không đánh giá việc giải quyết rủi ro trong khung thời gian này. Nguyên nhân chủ yếu được nêu ra là thiếu nguồn lực và/hoặc nhân sự (62%), thiếu sự hỗ trợ của lãnh đạo (49%). Thách thức đối với các nhà quản lý ERM là nâng cao nhận thức của ban lãnh đạo về giá trị mà ERM kịp thời mang lại, bao gồm cải thiện việc giảm thiểu rủi ro, xác định các rủi ro mới nổi và tạo ra thông tin hữu ích để ra quyết định.
Báo cáo cũng cho thấy, 58% DN đang bắt đầu áp dụng các phương pháp tiếp cận có cấu trúc hơn, với các hành động ứng phó rủi ro được ghi lại và truyền đạt cho ban quản lý. Điều này cho thấy một quy trình chính thức để quản lý rủi ro, trong đó các hành động giảm thiểu được ghi lại và chia sẻ với các bên liên quan để giám sát và ra quyết định.
Nhưng, trong khi có hơn 52% lãnh đạo chủ chốt chịu trách nhiệm giám sát các hành động ứng phó rủi ro, thì chưa đến 37% thực hiện các hành động này. Hầu hết DN không sử dụng các nhà tư vấn bên ngoài cho chức năng rủi ro và chưa kết hợp AI, tự động hóa quy trình bằng rô bốt (RPA), học máy (ML) hoặc các công nghệ tiên tiến khác. Các DN tham gia khảo sát cũng cho biết, chỉ 60% thông tin rủi ro được chia sẻ giữa các chức năng rủi ro, tuân thủ, KTNB, và sự phối hợp để giải quyết rủi ro cũng rất hạn chế (50%). Các cuộc họp vẫn được diễn ra giữa các bên (30%) để trao đổi về các hoạt động, nhưng không có sự phối hợp.
Hợp tác chặt chẽ với kiểm toán nội bộ
Các chuyên gia của IIA nhấn mạnh rằng, sự đảm bảo và tư vấn quản lý rủi ro mà KTNB cung cấp là rất quan trọng đối với ERM. Việc hội đồng quản trị, ban quản lý điều hành, bộ phận quản lý rủi ro và KTNB hợp tác, chia sẻ thông tin đóng vai trò quan trọng, thúc đẩy giao tiếp, minh bạch và trách nhiệm giải trình. Về phía KTNB, tính độc lập của kiểm toán viên với ban quản lý đảm bảo rằng hoạt động kiểm toán không bị cản trở và thiên vị trong quá trình lập kế hoạch, thực hiện công việc, được tiếp cận dữ liệu đầy đủ.
Kết quả từ cuộc khảo sát của IIA đã thể hiện rõ ràng, hầu hết các chương trình ERM vẫn chưa đạt đến mức độ trưởng thành để mang lại giá trị tối đa cho DN. Tuy nhiên, việc hiểu được những điểm yếu của các chương trình này có thể giúp DN thành công hơn. Sự phối hợp và cộng tác chặt chẽ với KTNB sẽ đánh giá rủi ro tốt hơn, tận dụng công nghệ, cải thiện các biện pháp, xem xét rủi ro vượt ra ngoài khả năng và lên kế hoạch giải quyết tình huống.
Theo đó, KTNB và các chức năng quản lý rủi ro cần mở rộng các cuộc họp chính thức và không chính thức; hợp tác thành lập các ủy ban chuyên môn tập trung vào các lĩnh vực rủi ro chính (chẳng hạn như an ninh mạng hoặc công nghệ thông tin) với thành viên gồm các nhà lãnh đạo về rủi ro, tuân thủ và kiểm toán viên. Cả KTNB và nhóm quản lý rủi ro đều có thể tiến hành đào tạo về rủi ro hằng năm cho các bên liên quan hoặc trong toàn DN để thúc đẩy sự hiểu biết rộng rãi về rủi ro và văn hóa rủi ro.
Trong thời đại mà quá trình chuyển đổi số đã thúc đẩy sự phụ thuộc vào công nghệ trên mọi khía cạnh, việc ERM không theo kịp công nghệ được xem là rất nguy hiểm. Các nền tảng công nghệ có thể tập trung dữ liệu, tự động hóa quy trình làm việc và cung cấp khả năng hiển thị rủi ro, dẫn đến các lựa chọn sáng suốt hơn và giảm thiểu rủi ro. DN có thể bắt đầu với các công cụ tự động hóa cơ bản, chẳng hạn như Power BI, Microsoft Suite và các mô hình ngôn ngữ lớn (LLM), chẳng hạn như ChatGPT.
Kiểm toán viên nội bộ sẽ trở thành cố vấn và người ủng hộ công nghệ, giúp hội đồng quản trị và ban quản lý điều hành hiểu về lợi ích của nền tảng, quy trình làm việc tự động, giảm thiểu rủi ro và tăng cường tính minh bạch. Đặc biệt, KTNB xem xét các công nghệ được sử dụng trong DN để tìm cách kết hợp dữ liệu rủi ro vào các hệ thống hiện tại, tạo điều kiện và giám sát việc sử dụng AI an toàn, từ đó kết hợp AI vào các quy trình ERM.
Khả năng liên kết thông tin với việc ra quyết định chiến lược là lợi ích lớn nhất mà ERM có thể mang lại cho DN, thông qua các thuộc tính: đánh giá và đo lường rủi ro hiệu quả, xác định các rủi ro mới nổi, hỗ trợ thu thập dữ liệu nhanh, tăng cường khả năng phục hồi thông qua lập kế hoạch. Để đạt được mức độ toàn diện này, ERM không thể thiếu sự hỗ trợ của ban lãnh đạo, công nghệ và KTNB./.
