ISO 31000

Quản lý rủi ro là một yếu tố ngày càng trở nên quan trọng trong hoạt động kinh doanh và các cổ đông cũng quan tâm nhiều hơn về rủi ro. Rủi ro có thể có ngay tại các quyết định chiến lược, có thể là nguyên nhân gây nên sự không ổn định trong tổ chức hoặc nói đơn giản hơn nó nằm ngay bên trong các hoạt động của tổ chức. Một cách tiếp cận về quản lý rủi ro trong phạm vi qui mô doanh nghiệp sẽ giúp tổ chức xem xét các tác động tiềm ẩn của tất cả các loại rủi ro trong tất cả các quá trình, các hoạt động, các bên liên quan, các sản phẩm và dịch vụ. Triển khai cách tiếp cận toàn diện sẽ giúp cho tổ chức được hưởng lợi từ những gì thường được gọi là "mặt trái rủi ro".

Tiêu chuẩn ISO 31000 được ban hành vào ngày 13 tháng 11 năm 2009. Là tiêu chuẩn về việc thực hiện quản lý rủi ro, ISO 31000:2009 có thể được áp dụng và thích hợp với bất kỳ nhóm doanh nghiệp nhà nước, tư nhân hoặc cộng đồng, hiệp hội, cá nhân nào. ISO 31000 được phát triển không chỉ riêng nhằm đến một ngành công nghiệp, hệ thống quản lý, hay đối cụ thể mà nó cung cấp cấu trúc và hướng dẫn thực hành tốt nhất cho tất cả các hoạt động liên quan đến quản lý rủi ro.

Áp dụng ISO 31000

ISO 31000:2009 cung cấp hướng dẫn chung để thiết kế, thực hiện và duy trì các quá trình quản lý rủi ro trong toàn tổ chức. Cách tiếp cận này chính thức hóa các thực hành quản lý rủi ro từ đó tạo điều kiện thuận lợi cho việc áp dụng rộng rãi và đồng bộ với các hệ thống quản lý đang tồn tại khác trong tổ chức.

ISO 31000 cũng nhằm đảm bảo sự phù hợp tương xứng giữa chiến lược, nhiệm vụ quản lý và điều hành của một tổ chức trong các dự án, bộ phận chức năng, và các quá trình đối với các mục tiêu về quản lý rủi ro.

Theo đó, ISO 31000:2009 được nhằm áp dụng cho một nhóm đối tượng có liên quan bao gồm:

• Ban điều hành doanh nghiệp

• Bộ phận quản lý rủi ro doanh nghiệp

• Các nhà phân tích và quản lý rủi ro

• Các giám đốc sản xuất và các nhà quản lý dự án

• Đánh giá viên nội bộ và đánh giá sự phù hợp

• Các cá nhân độc lập.

Lợi ích của việc thực hiện ISO 31000

Với tất cả các loại hình tổ chức, có một điều cần phải hiểu là luôn có những rủi ro trong quá trình thực hiện các mục tiêu của tổ chức. Điều quan trọng là tổ chức phải nắm bắt được mức độ rủi ro tổng thể trong trong các quá trình và hoạt động của mình. Tổ chức phải nhận biết và sắp xếp mức độ ưu tiên cho các rủi ro trọng yếu và xác định các điểm kiểm soát còn yếu.

Khi thực hiện các giải pháp nâng cao hiệu quả quản lý rủi ro, tổ chức nên xác định trước những lợi ích mà các hoạt động quản lý rủi ro mang lại. Kết quả đầu ra từ việc quản lý rủi ro thành công là việc đưa ra các quyết định phù hợp và đảm bảo. Những kết quả đầu ra này sẽ đem lại lợi ích thông qua việc nâng cao hiệu quả hoạt động, hiệu quả của các chiến thuật (dự án thay đổi) và chiến lược của tổ chức.

Thành công của một chương trình quản lý rủi ro doanh nghiệp (Enterprise Risk Management - ERM) sẽ tác động đến khả năng xảy ra và mức độ nghiêm trọng của các rủi ro, cũng như mang lại lợi ích thông qua các quyết định mang tính chiến lược tốt hơn, hoặc mang lại sự thành công qua sự thay đổi và nâng cao hiệu quả hoạt động. Các lợi ích khác bao gồm giảm chi phí vốn, báo cáo tài chính chính xác hơn, nâng cao lợi thế cạnh tranh, cải thiện nhận thức của tổ chức, hình ảnh thị trường tốt hơn, và đối với các tổ chức dịch vụ công, thì vai trò hỗ trợ chính trị và cộng đồng được nâng cao.

ISO 31000 cũng hoạch định chương trình ERM. Có rất nhiều ý kiến liên quan đến việc thực hiện quản lý rủi ro như thế nào và kết quả của nó. Tổ chức Tiêu chuẩn hóa Quốc tế ban hành tiêu chuẩn ISO 31000:2009 để trả lời cho những ý kiến này. ISO 31000 bao gồm những giải thích ngắn gọn cũng như cung cấp thêm thông tin về việc thực hiện thành công của quản lý rủi ro. Nó cũng thừa nhận rằng rủi ro có cả hai mặt tích cực và tiêu cực.

Quản lý rủi ro là một quá trình được gắn bởi một tập hợp các nguyên tắc. Ngoài ra, nó cần phải được hỗ trợ bởi một cấu trúc thích hợp với tổ chức và môi trường bên ngoài tương ứng với bối cảnh của nó. Một chương trình quản lý rủi ro thành công cần phải tương ứng với mức độ rủi ro trong tổ chức (như liên quan đến bản chất, quy mô và mức độ phức tạp của tổ chức), đồng hành với các hoạt động khác của tổ chức, được bao hàm trong phạm vi của tổ chức, gắn với các hoạt động thường ngày và năng động bằng cách đáp ứng với hoàn cảnh thay đổi.

Cách tiếp cận này sẽ giúp cho chương trình quản lý rủi ro tạo ra kết quả đầu ra, bao gồm tuân thủ với các yêu cầu của chính phủ, đảm bảo lợi ích các bên liên quan về quản lý rủi ro và việc ra quyết định được cải tiến. Tác động hoặc lợi ích gắn liền với những kết quả đầu ra bao gồm hoạt động hiệu quả hơn, chiến thuật và chiến lược hiệu quả. Những lợi ích này cần phải được đo lường và bền vững.

DAS