Quản trị rủi ro theo nguyên tắc OECD: Hiệu lực vận hành và trưởng thành có kiểm chứng

TS Nguyễn Thành Hưởng - Trưởng Ban Quản trị rủi ro và Giám sát tuân thủ Petrovietnam.

Đây không chỉ là yêu cầu mà còn là mục tiêu, là điểm tựa chính sách quan trọng về phương thức quản trị theo hướng hiện đại, hội nhập quốc tế; trong đó có quản trị rủi ro doanh nghiệp (ERM), một cấu phần quan trọng của quản trị doanh nghiệp nói chung và là cấu phần của quản trị công ty theo OECD.

Bài viết sau đây tập trung trả lời ba câu hỏi: (i) điều kiện nền nào để ERM vận hành thực chất theo OECD, thay vì chỉ “đủ tài liệu”; (ii) triển khai theo giai đoạn nào để tránh làm lớn nhưng hiệu quả thấp; và (iii) làm thế nào để quản trị lộ trình và đo mức trưởng thành của hệ thống.

Điều kiện để ERM vận hành hiệu lực theo OECD

ERM nhằm mục tiêu quản trị công ty, vì vậy cốt yếu không nằm ở việc thiết kế đầy đủ trên giấy mà ở năng lực vận hành hiệu quả trong thực tiễn và tạo ra giá trị quản trị. Với doanh nghiệp nói chung, đây là bước quyết định để ERM không dừng ở quy trình, biểu mẫu. Với doanh nghiệp nhà nước, yêu cầu này càng mang tính bắt buộc do quy mô lớn, nhiều tầng quản trị, danh mục dự án phức tạp, áp lực minh bạch, trách nhiệm giải trình cao, trong khi rủi ro tuân thủ - liêm chính thường tập trung ở các vùng nhạy cảm như đầu tư, đấu thầu, hợp đồng, công nghệ và dữ liệu.

OECD nhìn ERM như một kỷ luật quản trị có thể truy nguyên ai chịu trách nhiệm, quyết định dựa trên thông tin nào, kiểm soát nào bảo vệ quyết định đó, và kiểm chứng độc lập xác nhận điều gì. Vì vậy, triển khai ERM không đo bằng độ dày hồ sơ mà đo bằng dấu vết quản trị và độ tin cậy của bằng chứng. Từ góc nhìn này, có thể khái quát năm điều kiện nền.

Thứ nhất, vai trò Hội đồng quản trị/ Hội đồng thành viên (Hội đồng) và cơ chế giám sát rủi ro. ERM chỉ có lực khi HĐQT/HĐTV thực hiện giám sát rủi ro trọng yếu một cách thực chất: có chương trình giám sát, phân bổ thời lượng cho rủi ro trọng yếu, yêu cầu điều hành giải trình và hành động khi vượt ngưỡng, theo dõi khắc phục theo kỳ. Thiếu cơ chế Hội đồng, ERM dễ bị đẩy xuống thành hoạt động kỹ thuật của bộ phận chuyên trách.

Thứ hai, khẩu vị rủi ro và giới hạn rủi ro phải được thể chế hóa. Khẩu vị rủi ro chỉ trở thành công cụ quản trị khi được chuyển thành giới hạn rủi ro gắn với mục tiêu và thẩm quyền quyết định, đồng thời đi kèm quy tắc vượt ngưỡng: vượt mức nào báo cáo lên cấp nào, thời hạn phản ứng bao lâu, điều kiện chấp nhận rủi ro là gì.

KVRR bảo vệ và làm gia tăng giá trị cho doanh nghiệp

Thứ ba, phân công trách nhiệm gắn với năng lực tuyến vận hành. ERM không thay thế quản trị tuyến 1. Tuyến vận hành là nơi rủi ro phát sinh và nơi kiểm soát phải vận hành, do đó doanh nghiệp phải quy định rõ chủ sở hữu rủi ro, chủ sở hữu kiểm soát và trách nhiệm thực thi; đồng thời bảo đảm năng lực tối thiểu để nhận diện - theo dõi - ứng phó đúng chuẩn. Với DNNN, đây là nền tảng của trách nhiệm giải trình dựa trên bằng chứng vận hành, không dựa trên lời cam kết.

Thứ tư, kỷ luật kiểm soát dựa trên bằng chứng. Kiểm soát nội bộ chỉ trở thành hệ thống khi doanh nghiệp xác định được kiểm soát trọng yếu, có tiêu chí đạt/không đạt, có tần suất, có chủ sở hữu và có bằng chứng truy vết. Đây là điều kiện để báo cáo rủi ro đáng tin và để bảo đảm độc lập có thể kiểm chứng hiệu lực vận hành.

Thứ năm, dữ liệu và hạ tầng số phải bắt đầu từ chuẩn dữ liệu ERM. Chuyển đổi số ERM sẽ thất bại nếu dữ liệu không chuẩn. Mã hóa rủi ro, cấu trúc hồ sơ rủi ro, định nghĩa chỉ báo, nguồn dữ liệu, quy tắc vượt ngưỡng và lưu vết trách nhiệm là xương sống. Nếu xương sống không có, bảng điều khiển chỉ làm nhanh việc trình bày, không làm mạnh năng lực quản trị.

Có thể nói, ERM theo OECD là trật tự quản trị có thể truy nguyên theo nguyên lý là truy nguyên được mới kiểm chứng được, kiểm chứng được mới trở thành năng lực quản trị.

Triển khai theo giai đoạn: Ưu tiên hiệu lực, trưởng thành có kiểm chứng

Nhiều doanh nghiệp khởi đầu ERM bằng quy chế, biểu mẫu và yêu cầu điền đủ. Cách làm này tạo cảm giác đã có hệ thống nhưng dễ dẫn tới nghịch lý là hồ sơ rủi ro dày lên trong khi quyết định thì không đổi; rủi ro được mô tả nhiều hơn nhưng không được quản trị mạnh hơn. Theo tinh thần OECD, triển khai cần theo nguyên tắc làm từng bước nhưng đúng: chọn đúng rủi ro trọng yếu, thiết lập cơ chế vượt ngưỡng - hành động - bằng chứng, rồi mới mở rộng độ phủ. Với DNNN, nguyên tắc này còn giúp ERM tránh hình thức và chuyển thành năng lực kiểm chứng trong các quyết định đầu tư, dự án, hợp đồng và quản trị vốn.

Lộ trình trưởng thành ERM theo OECD có thể nhìn như một dịch chuyển qua bốn trạng thái.

Trạng thái 1: Có khung và vai trò. Doanh nghiệp đã xác lập cấu trúc quản trị rủi ro; làm rõ vai trò Hội đồng, điều hành và các tuyến; có khẩu vị rủi ro và cơ chế báo cáo tối thiểu. Ở mức này, “có” là điều kiện cần, chưa phải điều kiện đủ.

Trạng thái 2: Vận hành có cấu trúc. Rủi ro trọng yếu được cập nhật theo nhịp; cơ chế vượt ngưỡng được kích hoạt; hành động khắc phục có người chịu trách nhiệm và có bằng chứng. ERM bắt đầu tạo ra kỷ luật vận hành, thay vì chỉ tạo ra tài liệu.

Trạng thái 3: Tích hợp vào quyết định. Các quyết định trọng yếu có đánh giá rủi ro; hồ sơ rủi ro trở thành điều kiện của phê duyệt; kiểm soát trọng yếu được thiết kế để “bắt đúng cổ chai”. Ở mức này, ERM không còn là báo cáo sau sự kiện; ERM đi trước và tạo cơ sở để quyết định.

Trạng thái 4: Học tập và tối ưu. Dữ liệu rủi ro hỗ trợ dự báo; danh mục rủi ro được điều chỉnh theo chiến lược; cơ chế bảo đảm độc lập giúp hệ thống tự cải tiến; điểm yếu lặp lại giảm dần. ERM giảm phụ thuộc vào cá nhân, tăng độ bền của năng lực quản trị.

Điểm quan trọng nhất là hệ thống trưởng thành thực chất hay chỉ dày hồ sơ. Theo OECD, thước đo không nằm ở số văn bản hay số biểu mẫu mà nằm ở kỷ luật vận hành, chất lượng thông tin và khả năng kiểm chứng: Hội đồng giám sát theo rủi ro, giới hạn rủi ro kích hoạt được, kiểm soát trọng yếu có bằng chứng, rủi ro đi vào quyết định, và bảo đảm độc lập khép vòng cải tiến.

Tiến sĩ Nguyễn Thành Hưởng, thành viên nhóm tác giả Petrovietnam biên soạn cuốn sách "Quản trị Biến động và Khủng hoảng”.

Để dịch chuyển qua các trạng thái, cách phù hợp và được áp dụng phổ biến là triển khai theo giai đoạn, nhất là với các tổ chức, doanh nhiệp có quy mô lớn.

Giai đoạn 1: Thiết lập nền tảng, tạo “điểm tựa quản trị”. Mục tiêu không phải phủ rộng mà tạo cấu trúc vận hành đủ để Hội đồng giám sát được, điều hành phản ứng được, tuyến vận hành biết trách nhiệm. Cần tối thiểu: khẩu vị và một số giới hạn cốt lõi; danh mục rủi ro trọng yếu cấp doanh nghiệp có chủ sở hữu nêu đích danh; cơ chế vượt ngưỡng theo mức; mẫu báo cáo Hội đồng ngắn gọn, tập trung xu hướng và hành động; lựa chọn lĩnh vực rủi ro cao để thí điểm chuẩn hóa. Điểm kiểm chứng là có kỳ báo cáo Hội đồng “đọc được, quyết được” và có sự kiện vượt ngưỡng xử lý đúng cấp; với DNNN, cần ưu tiên kênh và cơ chế phản ứng đối với rủi ro tuân thủ - liêm chính nhạy cảm.

Giai đoạn 2: Chuẩn hóa vận hành, tạo kỷ luật bằng chứng. Trọng tâm gồm: chuẩn hóa hồ sơ rủi ro tại đơn vị trọng điểm; xác định kiểm soát trọng yếu và bằng chứng tối thiểu để kiểm chứng; triển khai KRI có ngưỡng gắn với cơ chế vượt ngưỡng. Điểm kiểm chứng là có theo dõi xu hướng rủi ro trọng yếu, có danh mục kiểm soát trọng yếu kèm bằng chứng, và có báo cáo vượt ngưỡng kèm khắc phục đúng hạn; với DNNN, ưu tiên vùng nhạy cảm như đầu tư, đấu thầu, hợp đồng, giao dịch liên quan và tuân thủ.

Giai đoạn 3: Tích hợp vào quyết định và số hóa theo truy vết. Trọng tâm là đưa ERM vào cổng quyết định trọng yếu và số hóa tối thiểu ba luồng dữ liệu, gồm: (i) Rủi ro - KRI - Vượt ngưỡng; (ii) Kiểm soát - Bằng chứng; (iii) Khắc phục - Khép vòng. Điểm kiểm chứng là quyết định trọng yếu có dấu vết rủi ro đầy đủ, báo cáo Hội đồng thể hiện xu hướng và điều kiện quyết nghị, và bảo đảm độc lập bắt đầu dùng dữ liệu để kiểm chứng. Với DNNN, giá trị nổi bật là năng lực hậu kiểm dựa trên rủi ro, giảm tranh cãi và củng cố giải trình bằng bằng chứng “có/không”.

Quản trị lộ trình và thước đo trưởng thành

Lộ trình chỉ đi tới đích nếu được quản trị như một chương trình, có đầu mối chủ trì cấp điều hành, có bảo trợ của Hội đồng và có bộ chỉ số kiểm chứng. Bộ chỉ số nên tập trung để đo lường chất lượng vận hành, không chỉ đo độ phủ hình thức; tỷ lệ rủi ro trọng yếu có KRI và ngưỡng; tỷ lệ kiểm soát trọng yếu có bằng chứng; số sự kiện vượt ngưỡng xử lý đúng hạn; tỷ lệ quyết định trọng yếu có hồ sơ rủi ro; tỷ lệ kiến nghị kiểm chứng khép vòng.

OECD giới thiệu các tiêu chí cơ bản để đánh giá Khung QTRR như Bảng dưới đây:

Bảng checklist Khung ERM theo OECD

Nguồn: OECD Public Integrity Indicators (PIIs) - Risk management framework

Để kết luận, có thể thấy OECD không đặt trọng tâm vào làm ERM cho đủ, mà vào việc Khung ERM vận hành được, truy vết được, kiểm chứng được và vì thế tạo ra giá trị quản trị. Khi Hội đồng giám sát dựa trên rủi ro, vận hành kích hoạt phản ứng theo ngưỡng, kiểm soát có bằng chứng, quyết định có dấu vết và kiểm chứng độc lập có cơ sở dữ liệu để kết luận, ERM sẽ thoát khỏi trạng thái hình thức để trở thành năng lực quản trị. Khi năng lực ấy được xây từng bước, đúng cấu trúc, doanh nghiệp có thể mở rộng có kiểm soát và nâng chất lượng quyết định, đặc biệt hữu ích với các tổ chức quy mô lớn và DNNN, nơi trách nhiệm giải trình đòi hỏi bằng chứng, không chấp nhận các khoảng trống mơ hồ và cảm tính.

Tiến sĩ Nguyễn Thành Hưởng

Trưởng Ban Quản trị rủi ro và Giám sát tuân thủ Petrovietnam