Quản trị rủi ro doanh nghiệp theo nguyên tắc OECD

Theo đó, bên cạnh xác định các mục tiêu, tầm nhìn, Nghị quyết đã yêu cầu “100% doanh nghiệp nhà nước thực hiện quản trị doanh nghiệp hiện đại trên nền tảng số; 100% tập đoàn kinh tế, tổng công ty nhà nước áp dụng nguyên tắc quản trị của OECD”. Bài viết dưới đây bàn về quản trị rủi ro, cấu phần tích hợp trong quản trị doanh nghiệp theo các yêu cầu nói trên.

TS. Nguyễn Thành Hưởng - Trưởng Ban Quản trị rủi ro và Giám sát tuân thủ Petrovietnam.

Bước chuyển tư duy từ hồ sơ tuân thủ đến năng lực quản trị cốt lõi

Quản trị rủi ro doanh nghiệp (Enterprise Risk Management – ERM) đã đi qua giai đoạn truyền thống với cách hiểu như một “bộ hồ sơ tuân thủ” để trở thành một năng lực cốt lõi của quản trị công ty hiện đại. Trong một thế giới mà biến động không còn là ngoại lệ, rủi ro không chỉ là điều cần né tránh, mà là thứ phải được nhận diện đúng, đo lường hợp lý, phân bổ trách nhiệm rõ ràng và quản trị bằng cơ chế thông minh, minh bạch. Một doanh nghiệp có thể tăng trưởng nhanh trong vài năm, nhưng chỉ một chuỗi rủi ro không được quản trị đúng cách cũng đủ làm lệch quỹ đạo chiến lược, bào mòn niềm tin và làm suy yếu năng lực cạnh tranh dài hạn.

Về bản chất, ERM là cách tiếp cận tổng thể nhằm nhận diện, đánh giá và quản trị rủi ro trên phạm vi toàn doanh nghiệp, gắn rủi ro với mục tiêu, chiến lược và hiệu quả hoạt động; từ đó bảo vệ và gia tăng giá trị. ERM khác với quản trị rủi ro rời rạc, theo mảng ở chỗ nó không chỉ hỏi rủi ro ở từng bộ phận là gì, mà quan trọng hơn là hỏi rủi ro trọng yếu nào có thể làm sai lệch chiến lược, cản trở mục tiêu, làm suy giảm niềm tin và năng lực chống chịu (resilience – năng lực chống chịu) của tổ chức. Khi nhìn theo cách đó, “quản trị rủi ro” không còn là một phòng ban hay một bộ biểu mẫu; nó trở thành một cách tổ chức ra quyết định.

Ba điểm tựa trong QTRR: COSO, ISO và OECD

Trong thực tiễn quốc tế, ERM thường được tham chiếu qua ba “điểm tựa” lớn: COSO ERM 2017, ISO 31000:2018 và OECD (G20/OECD Principles of Corporate Governance, 2023). COSO ERM 2017 nhấn mạnh ERM phải được tích hợp với hoạch định chiến lược và điều hành hiệu suất (strategy & performance), đặt rủi ro vào “dòng chảy ra quyết định” thay vì đứng ngoài như một tập hồ sơ tuân thủ.

ISO 31000:2018 cung cấp một chuẩn mực phổ quát theo ba lớp: nguyên tắc – khung – quy trình (principles – framework – process), phù hợp với mọi loại hình tổ chức và nhấn mạnh tính hệ thống khi triển khai. Tuy nhiên, để ERM trở thành một năng lực quản trị chứ không chỉ là một công cụ kỹ thuật, cần một nền tảng cao hơn: quản trị công ty (corporate governance). Đây là nơi OECD phát huy vai trò, bởi OECD đặt trọng tâm vào các nội dung về quyền và cơ chế của Hội đồng quản trị/Hội đồng thành viên (board oversight), minh bạch, công bố thông tin, trách nhiệm giải trình và năng lực định hướng, giám sát để doanh nghiệp phát triển bền vững.

Nghị quyết 79-NQ/TW tạo “đường ray kép” với OECD và nền tảng số cho DNNN

Câu chuyện trở nên đặc biệt thời sự khi Việt Nam bước vào một giai đoạn cải cách quản trị sâu rộng, nhất là ở khu vực kinh tế nhà nước. Nghị quyết số 79-NQ/TW ngày 06/01/2026 của Bộ Chính trị đặt ra hai yêu cầu có tính đo lường: 100% doanh nghiệp nhà nước thực hiện quản trị doanh nghiệp hiện đại trên nền tảng số; đồng thời 100% tập đoàn kinh tế, tổng công ty nhà nước áp dụng nguyên tắc quản trị của OECD. Hai mệnh đề này tạo nên một “đường ray kép” gồm chuẩn quản trị quốc tế và nền tảng số. Nhìn từ góc độ ERM, hàm ý rất rõ: ERM không thể dừng ở quy trình và báo cáo; ERM phải trở thành một năng lực quản trị số hóa, giúp Hội đồng và Ban điều hành ra quyết định dựa trên dữ liệu rủi ro, theo ngưỡng và theo ngoại lệ, có thể truy vết (audit trail – dấu vết kiểm tra) và kiểm chứng bằng bằng chứng (control evidence – bằng chứng kiểm soát).

Rủi ro gắn với minh bạch và trách nhiệm chủ sở hữu

Để đi đúng đường ray ấy, cần một cách tiếp cận đầy đủ. Thứ nhất, coi ERM là một hệ thống quản trị theo COSO ERM 2017, đặt rủi ro gắn với chiến lược và hiệu suất, để mỗi quyết định lớn đều phải làm rõ kịch bản, độ nhạy và rủi ro còn lại (residual risk – rủi ro còn lại) ở cấp chấp nhận. Thứ hai, coi ERM là một chuẩn vận hành theo ISO 31000:2018, cụ thể hóa nguyên tắc – khung – quy trình nhằm triển khai nhất quán, tránh tùy tiện và tránh “mỗi nơi một kiểu”. Thứ ba, coi ERM là một cấu phần bắt buộc của quản trị công ty theo OECD, nhấn mạnh vai trò Hội đồng, minh bạch và trách nhiệm giải trình, kiểm soát xung đột lợi ích và cơ chế bảo đảm độc lập.

Trọng tâm càng rõ hơn khi đặt trong đặc thù DNNN. DNNN vừa theo đuổi mục tiêu kinh tế, vừa thực hiện mục tiêu công và nghĩa vụ xã hội; vừa chịu áp lực hiệu quả, vừa chịu áp lực minh bạch trước xã hội. DNNN thường nắm giữ nguồn lực lớn nên rủi ro có tính hệ thống cao. Vì vậy, rủi ro trong DNNN không chỉ là rủi ro tài chính – vận hành, mà còn là rủi ro thể chế: xung đột lợi ích, trách nhiệm người đại diện, hiệu quả sử dụng vốn nhà nước, rủi ro danh tiếng và niềm tin công chúng. Trong bối cảnh này, liêm chính và minh bạch trở thành cơ chế vận hành thiết yếu. Áp dụng OECD cho DNNN vì thế cần một nguyên tắc triển khai thực dụng: DNNN càng lớn càng phải được quản trị để xây dựng, nâng chuẩn minh bạch và tăng kỷ luật giải trình dựa trên bằng chứng, dù doanh nghiệp có niêm yết hay không.

Năm trọng tâm quản trị rủi ro theo OECD

OECD nhìn rủi ro trước hết là vấn đề của quản trị công ty, vì vậy điểm xuất phát không phải câu hỏi “dùng công cụ gì”, mà là “doanh nghiệp đã có cơ chế quản trị rủi ro đúng nghĩa hay chưa?”. Quản lý rủi ro (risk management) thiên về vận hành: nhận diện, đánh giá, ứng phó, giám sát. Quản trị rủi ro (risk governance) xác lập cấp độ cao hơn: ai có quyền quyết định khẩu vị rủi ro, ai chịu trách nhiệm cuối cùng, cơ chế giám sát ra sao, minh bạch và công bố thông tin thế nào và các tuyến bảo đảm độc lập vận hành ra sao. Khi thiếu quản trị, ERM rất dễ rơi vào hình thức.

Quản trị biến động và quản trị rủi ro từ góc nhìn định lý bất toàn.

Nếu chuyển các nguyên tắc OECD sang ngôn ngữ ERM, có thể quy về năm trọng tâm. Một là HĐQT/HĐTV định hướng, giám sát và chịu trách nhiệm cuối về rủi ro trọng yếu, không làm thay điều hành nhưng phải giám sát bằng cơ chế. Hai là minh bạch: rủi ro trọng yếu phải “đọc được – tin được”, vì minh bạch chính là một cơ chế quản trị rủi ro; thiếu minh bạch, rủi ro thông tin thành rủi ro hệ thống. Ba là quyền lực gắn trách nhiệm giải trình: kiểm soát xung đột lợi ích, giao dịch với bên liên quan và thực thi liêm chính. Bốn là kiểm soát và bảo đảm độc lập: mô hình ba tuyến (three lines - ba tuyến) giúp phân định vai trò - tuyến vận hành sở hữu rủi ro, tuyến giữ chuẩn thiết kế khung và giám sát tuân thủ, kiểm toán nội bộ cung cấp bảo đảm khách quan. Năm là bền vững và chống chịu: rủi ro phi tài chính (công nghệ, an toàn số, chuỗi cung ứng, môi trường - xã hội, danh tiếng…) phải đi vào quyết định chiến lược, không phải phụ lục truyền thông.

Ba câu hỏi về hệ thống quản trị rủi ro theo OECD

Có thể dùng ba câu hỏi để kiểm tra mức độ phù hợp OECD (OECD-aligned) của hệ thống quản trị rủi ro. Thứ nhất, doanh nghiệp có khẩu vị rủi ro rõ ràng không? Không chỉ ở mức “chấp nhận rủi ro hợp lý”, mà là rủi ro nào không được phép, rủi ro nào trong ngưỡng và rủi ro nào chấp nhận để đổi lấy tăng trưởng, gắn với năng lực vốn và nguồn lực. Thứ hai, ai là chủ sở hữu rủi ro trọng yếu và cơ chế báo cáo lên HĐQT/HĐTV ra sao? OECD cũng như COSO yêu cầu rủi ro trọng yếu phải có chủ sở hữu rủi ro (risk owner) ở tuyến vận hành, và chế độ báo cáo theo ngưỡng phải đủ kịp thời để HĐQT/HĐTV giám sát theo ngoại lệ. Thứ ba, doanh nghiệp minh bạch rủi ro đến mức nào để bảo vệ niềm tin? Minh bạch không đồng nghĩa phơi bày mọi thứ; minh bạch là công bố cái trọng yếu, đúng bối cảnh, nhất quán với thực tế vận hành và kiểm soát.

ERM dựa trên nền tảng số

Điểm mới trong bối cảnh Nghị quyết 79-NQ/TW là chuyển đổi số. Một mô hình ERM số tối thiểu cần để hỗ trợ: (i) hệ phân loại rủi ro (risk taxonomy) thống nhất; (ii) sổ rủi ro điện tử (risk register) gắn cơ chế sở hữu; (iii) bảng điều khiển chỉ báo rủi ro trọng yếu (KRI dashboard) có ngưỡng và xu hướng; (iv) quy trình công việc (workflow) phê duyệt ngoại lệ và cơ chế vượt ngưỡng (escalation) đúng tuyến; (v) kho bằng chứng kiểm soát phục vụ hậu kiểm và kiểm toán; (vi) báo cáo rủi ro cấp Hội đồng theo ngôn ngữ quyết định, tập trung vào rủi ro trọng yếu, phương án ứng xử, điều kiện quyết định và đề xuất quyết nghị. Khi sáu khối này đồng bộ, ERM không còn là hoạt động “ghi nhận rủi ro”, mà trở thành năng lực quản trị dựa trên dữ liệu: nhìn thấy, cảnh báo, kích hoạt, xử lý và truy vết.

Thông điệp ERM theo OECD

Cuối cùng, cần nhấn mạnh một thông điệp: ERM theo OECD không phải là “thận trọng để dừng hoặc làm chậm lại”, mà là để kiến tạo năng lực giúp tổ chức có thể đi nhanh mà không bị “vỡ”. Khi khung ERM vận hành đúng, doanh nghiệp không chỉ giảm tổn thất mà còn tăng chất lượng quyết định, tăng tính nhất quán chiến lược và tăng năng lực chống chịu, khả năng kiến tạo, nắm bắt cơ hội để phát triển trong biến động và khủng hoảng. Với DNNN, ý nghĩa còn sâu hơn: bảo vệ và phát triển vốn nhà nước, củng cố niềm tin công chúng, thực hiện tốt vai trò chủ đạo trong một môi trường cạnh tranh và biến động toàn cầu ngày càng mạnh.

Tiến sĩ Nguyễn Thành Hưởng

Trưởng Ban Quản trị rủi ro và Giám sát tuân thủ Petrovietnam