Lý Thuyết Quản Trị Rủi Ro (Risk Management Theory)

của khách hàng. Nếu hoạt động kinh doanh khách hàng thuận lợi, không gặp áp lực hoàn thành mục tiêu, khả năng sai phạm trên BCTC sẽ thấp, ngược lại, nếu

khách hàng có RRKD cao sẽ

làm tăng

rủi ro

có sai sót trọng yếu

trên BCTC.

Ngoài ra, nếu khách hàng gặp khó khăn kinh doanh (có thể phá sản, chịu các

khoản lỗ lớn), BCTC bị sai sót do gian lận mà CTKT không phát hiện được, lúc này, CTKT có thể đối mặt với các vụ kiện tụng dù đã tuân thủ đầy đủ chuẩn mực chuyên môn. Nếu chấp nhận các khách hàng này mà CTKT không có chiến lược kiểm toán phù hợp, không phát hiện được sai sót trọng yếu dẫn đến đưa ra ý kiến không phù hợp thì CTKT sẽ gặp rủi ro. Do vậy nhân tố RRKD cuả khách hàng là nhân tố đầu tiên CTKT phải xem xét khi đưa ra quyết định DTKH. RRKD của khách hàng sẽ được xem xét trên các phương diện chính như rủi ro tài chính của khách hàng, sự thay đổi, phát triển ngành nghề.

Về hậu quả, CTKT phải gánh chịu trước hết đó chính là RRKT. Nếu CTKT đưa ra ý kiến không phù hợp thì dẫn đến CTKT có thể sẽ bị kiện tụng, sụt giảm uy tín hay phải đền bù thiệt hại cho khách hàng và thậm chí là bị ngừng hoạt động. Do vậy, CTKT cần xem xét RRKT. Nhân tố này sẽ ảnh hưởng tới quyết định DTKH. RRKT sẽ được xem xét trên các phương diện chính như các sai sót trọng yếu trong năm trước, các dấu hiệu vi phạm HĐLT, giao dịch, sự kiện được đo lường không chắc chắn; sự tăng trưởng của khách hàng, hành vi điều chỉnh lợi nhuận.

Có thể bạn quan tâm!

• Nhận Xét Về Các Nhân Tố Ảnh Hưởng Đến Duy Trì Khách Hàng
• Quyết Định Chấp Nhận Và Duy Trì Khách Hàng
• Mối Quan Hệ Giữa Các Khái Niệm Trong Quyết Định Dtkh Nguồn: Tác Giả Xây Dựng
• Lý Thuyết Cân Bằng Về Đạo Đức Khi Ra Quyết Định
• Quy Trình Nc Của Luận Án Nguồn: Tác Giả Xây Dựng
• Khái Niệm Đo Lường Đặc Điểm Bqt Của Khách Hàng

Xem toàn bộ 276 trang tài liệu này.

Hậu quả sau cùng mà CTKT phải gánh chịu đó chính là RRKD của CTKT

như bị sụt giảm uy tín, ngừng hoạt động, đền bù thiệt hại cho khách hàng. Do vậy, CTKT cần xem xét RRKD của CTKT cũng như các yếu tố ảnh hưởng đến RRKD của CTKT. Nếu kiểm toán cho một khách hàng thiếu chính trực có thể ảnh hưởng đến uy tín của CTKT, nếu CTKT không có đủ khả năng để thực hiện kiểm toán có thể dẫn đến việc không hoàn thành báo cáo đúng hạn, không đảm bảo chất lượng kiểm toán, điều này sẽ ảnh hưởng đến tính uy tín của CTKT. Do

vậy, RRKD của CTKT sẽ được xem xét trên các phương diện chính như tính

chính trực của NQL khách hàng, khả năng thực hiện kiểm toán của CTKT.

2.3.2. Lý thuyết quản trị rủi ro (Risk Management theory)

Rủi ro là khả năng mà một cá nhân, tổ chức phải chịu hậu quả không mong muốn do một sự kiện xảy ra. Rủi ro hiện diện trong mọi lĩnh vực hoạt động của con người, tổ chức, vì vậy, tổ chức cần có cách quản trị rủi ro phù hợp để giảm thiểu rủi ro. Quản trị rủi ro ngày càng đóng vai trò quan trọng trong chiến lược của một tổ chức, giúp ngăn ngừa và quản lý tác động của các sự kiện gây tổn hại tới tổ chức. Lý thuyết về quản trị rủi ro đề cập đến văn hóa, quy trình và cấu trúc mà tổ chức tiến hành quản lý rủi ro hiệu quả. Một số nhà sử học3 cho rằng lý thuyết quản trị rủi ro có nguồn gốc từ trò chơi (game). Từ rất lâu trước khi Internet ra đời, người ta đã chơi trò chơi xúc xắc, cờ vua, cờ caro. Nhà toán học

nổi tiếng, Pascal và Fermat, đã bàn về trò chơi may rủi vào những năm 1600,

được xem là nền tảng để đưa ra lý thuyết xác suất hiện đại và lý thuyết về quản trị rủi ro. Trong thời kỳ cổ đại đã xuất hiện nghề bảo hiểm như công cụ quản lý

rủi ro. Công ty bảo hiểm nhân thọ đầu tiên ra đời ở Anh vào đầu những năm

1700, là một hình thức quản lý rủi ro ở cấp bậc cao. Các công ty này đã sử dụng lý thuyết quản trị rủi ro trong việc tính toán chi phí bảo hiểm. Nguồn gốc của

NC về

rủi ro đã bắt đầu từ

những năm đầu của thế

kỷ XVII (từ

những năm

1600) nhưng chỉ đến những năm 1950, lĩnh vực quản trị rủi ro mới được đặt tên. Với mục đích cải thiện việc quản lý kiểm soát chi phí, Gallagher (1956) đã vạch ra các nguyên tắc quản trị, thiết lập hình ảnh và chức năng của “nhà quản trị rủi ro”. Nguyên tắc quản trị rủi ro là quản lý tất cả rủi ro của công ty trong một chức năng tích hợp, chức năng quản trị rủi ro chủ yếu tập trung vào việc giảm rủi ro thông qua bảo hiểm (Gallagher, 1956). Từ đây, NC về quản trị rủi ro được phổ biến rộng rãi trên một số lượng lớn các lĩnh vực, cung cấp các NC lý thuyết

và thực tiễn với nhiều mục đích khác nhau như

lý thuyết quản trị

rủi ro bảo

3 https://blog.ventivtech.com/blog/a­brief­summary­of­the­long­history­of­risk­management.

hiểm (Gahin, 1967; IRMI, 2011), quản trị rủi ro tài chính (Lhabitant & Tinguely, 2001), quản trị dự án rủi ro (PMI, 2000), quản trị rủi ro hệ thống thông tin (Elky, 2006), quản trị rủi ro chuỗi cung ứng (Faisa và cộng sự, 2007), quản trị rủi ro

theo từng quy trình kinh doanh (Tjoa và cộng sự, 2008), quản trị rủi ro doanh

nghiệp (ISO, 2009). Trong quá trình phát triển các lý thuyết về quản trị rủi ro trên, Spikin (2013) cho rằng có hai cách tiếp cận quản lý rủi ro chính đó là cách tiếp cận quản lý rủi ro truyền thống như quản trị rủi ro bảo hiểm, quản trị rủi ro tài chính, quản trị rủi ro hệ thống thông tin và cách tiếp cận quản lý rủi ro toàn diện (tích hợp) như quản trị rủi ro doanh nghiệp. Cách tiếp cận quản lý rủi ro truyền thống là một cách tiếp cận trong đó trách nhiệm xử lý một rủi ro cụ thể, sẽ chỉ được giao cho các đơn vị “bị đe dọa” bởi rủi ro. Hơn nữa, theo quan điểm quản lý rủi ro truyền thống, các tổ chức sẽ tập trung chủ yếu vào việc phân tích và xử lý các rủi ro thuần túy. Ngược lại, cách tiếp cận quản lý rủi ro toàn diện được định hướng xem xét tất cả các loại rủi ro mà một tổ chức có thể phải đối mặt. Đây được xem là phương pháp tiếp cận tích hợp mang lại nhiều lợi ích cho các nhà quản lý và người ra quyết định. Với cách tiếp cận này, các tổ chức phải chủ động quản lý rủi ro, giám sát một cách liên tục và có ý thức các rủi ro liên quan đến mục tiêu chiến lược của tổ chức, đánh giá sự tác động của các rủi ro trong tổ chức, với mục tiêu duy trì một mức độ rủi ro tổng thể phù hợp với mục tiêu của tổ chức. Sự khác biệt giữa cách tiếp cận quản lý rủi ro tích hợp và cách tiếp cận quản lý rủi ro truyền thống đó là, cách tiếp cận quản lý rủi ro truyền thống phân tán, phản ứng, tập trung vào các mối đe dọa, không liên tục, chỉ tập trung vào một số chức năng và dựa trên chi phí, trong khi cách tiếp cận toàn diện được tích hợp, chủ động, tập trung vào các mối đe dọa và cơ hội, liên tục và được đặc trưng bởi một quy trình logic (Deloach, 2000). Quan điểm tích hợp về quản trị rủi ro trên đã bắt đầu vào những năm 90 và được chính thức hóa vào năm 2004 bởi Ủy ban các tổ chức tài trợ của Ủy ban Treadway (COSO).

­ Khung quản trị rủi ro doanh nghiệp của COSO (ERM­ Enterprise Risk Management – Integrated Framework)

Vào đầu những năm 2000, một loạt các vụ bê bối và thất bại của các công ty lớn trên thế giới đã làm cho các nhà đầu tư, nhân viên và các bên liên quan phải chịu tổn thất to lớn. Do vậy, mối quan tâm và tập trung vào quản trị rủi ro ngày càng gia tăng và ngày càng cho thấy rằng cần có một khuôn khổ vững chắc để xác định, đánh giá và quản trị rủi ro một cách hiệu quả. Năm 2004, Ủy ban các tổ chức tài trợ của Ủy ban Treadway (COSO4) đã chính thức ban hành khuôn khổ

hợp nhất về

quản trị

rủi ro trong doanh nghiệp (ERM

­ Enterprise Risk

Management – Integrated Framework) nhằm giúp các đơn vị quản trị rủi ro hiệu quả hơn. Khuôn khổ cung cấp các khái niệm then chốt cơ bản về quản trị rủi ro,

một khung

quản trị

rủi ro, các cấu phần.

Theo COSO (2004), quản trị rủi ro

doanh nghiệp là một quá trình do đơn vị chi phối, để thiết lập các chiến lược, nhận dạng các sự kiện ảnh hưởng tới đơn vị và quản trị rủi ro nhằm đạt được

các mục tiêu. Khung quản trị rủi ro bao gồm 8 bộ phận: Môi trường quản lý,

thiết lập mục tiêu, nhận dạng sự kiện, đánh giá, đối phó rủi ro, hoạt động kiểm soát, thông tin truyền thông và giám sát.

Trong khung quản trị rủi ro này, COSO đã nhấn mạnh vào việc thiết lập mức rủi ro có thể chấp nhận như một thành phần cần thiết của ý thức tổ chức về rủi ro và là nền tảng cho việc áp dụng ERM của một đơn vị.

Khuôn khổ COSO tập trung vào quá trình nhận dạng, đánh giá và lựa chọn các cách thức đối phó rủi ro. Theo đó, để quản trị rủi ro, đầu tiên, đơn vị cần thiết lập các mục tiêu, từ đó nhận dạng, đánh giá rủi ro, xác định và lựa chọn một cách thức đối phó đối với rủi ro. Trong quá trình này, quản trị rủi ro đòi hỏi NQL cần xem xét tất cả các loại rủi ro mà một đơn vị có thể đối mặt và sự tác

4 COSO là một UB thuộc Hội đồng Quốc gia Mỹ về chống gian lận khi lập BCTC, thành lập vào 1985 dưới sự bảo trợ của năm tổ chức là: AICPA, AAA, FE, IMA, IIA.

động lẫn nhau của các rủi ro để có cái nhìn hệ thống và đối phó hiệu quả đối với các loại rủi ro. Quá trình nhận dạng rủi ro còn giúp các NQL nhận dạng các sự kiện mang đến cơ hội để đưa ra phản ứng thích hợp. Như vậy, trong quá trình này, yếu tố tích cực và tiêu cực đều có thể ảnh hưởng tới đơn vị. Sau khi đánh giá rủi ro, đơn vị xác định cách thức để đối phó rủi ro. Các cách thức để đối phó với rủi ro bao gồm né tránh, giảm thiểu, chuyển giao và chấp nhận rủi ro.

Né tránh: không thực hiện các hoạt động có rủi ro cao.

Giảm bớt: thực hiện các hoạt động để động của rủi ro.

Chuyển giao: như mua bảo hiểm… Chấp nhận: không làm gì đối với rủi ro.

giảm thiểu khả

năng, mức độ

tác

Cách thức né tránh được sử dụng khi không thể giảm bớt rủi ro xuống mức thấp có thể chấp nhận được. Giảm thiểu và chuyển giao để giảm rủi ro xuống mức phù hợp. Chấp nhận khi rủi ro nằm trong mức có thể chấp nhận được.

Sau khi đã đánh giá các cách phản ứng, đơn vị lựa chọn cách phản ứng với rủi ro đồng thời xem xét các rủi ro mới phát sinh từ cách phản ứng đó. Điều này dẫn đến một chu trình kế tiếp và đơn vị phải xem xét rủi ro trước khi đưa ra quyết định cuối cùng.

Như vậy, khuôn khổ hợp nhất về quản trị rủi ro của COSO 2004 đã cho thấy một quan điểm tích hợp về quản trị rủi ro. Quản trị rủi ro là quá trình xem xét một cách liên tục các loại rủi ro liên quan đến mục tiêu chiến lược của đơn vị, đánh giá mức độ tác động và sự tác động lẫn nhau của các rủi ro để đối phó hiệu quả phù hợp mục tiêu chiến lược.

Khuôn khổ hợp nhất về quản trị rủi ro của COSO đã được các tổ chức chấp nhận rộng rãi trong nỗ lực quản trị rủi ro của họ. Trên cơ sở kế thừa một số nội dung của khuôn mẫu ban hành năm 2004, đến năm 2017, COSO đã ban hành bản cập nhật cho khuôn khổ năm 2004 có tiêu đề quản trị rủi ro doanh nghiệp ­ Tích

hợp với chiến lược và hiệu quả hoạt động (Enterprise Risk Management ­

Integrating with Strategy and Performance), nhấn mạnh tầm quan trọng của việc xem xét rủi ro trong cả quá trình thiết lập chiến lược và trong việc thúc đẩy hiệu quả hoạt động cua DN. COSO 2017 đã đưa ra một khung quản trị rủi ro mới gồm năm thành phần với (20) nguyên tắc tương ứng. Theo đó, để quản trị rủi ro, đầu tiên, đơn vị cần thiết lập chiến lược và mục tiêu, từ đó xác định, đánh giá những rủi ro có thể ảnh hưởng tới việc đạt được chiến lược và mục tiêu kinh doanh, sau đó chọn các phản ứng rủi ro. COSO 2017 đưa ra nhưñ g thay đổi trong quan

điểm vềquản trị rủi ro câǹ gắn vơí chiến lược, mục tiêu hoạt động, doanh nghiệp

câǹ

xać

định rõmục tiêu, chiến lược trươć

khi nhận diện, đánh giárủi ro. Đặc

biệt, so với khung 2004, khung quản trị rủi ro mới đã nhấn mạnh việc lựa chọn chiến lược. Chọn một chiến lược phải dựa trên phân tích rủi ro, phải hỗ trợ sứ mệnh và tầm nhìn của tổ chức, phụ thuộc nguồn lực. Bên cạnh đo,́ COSO 2017

cuñ g đãnhấn mạnh vai tròcua thaǹ h viên HĐQT trong viêc̣ quản trị rủi ro. Để có

thể đưa ra cać nghiệp.

quyết định, họ cần phải nắm bắt thông tin vềcać

rui ro trong doanh

­ Khuôn mẫu ISO

Trên bình diện quốc tế, Tổ chức tiêu chuẩn hoá quốc tế (ISO5) đã ra đời để thúc đẩy sự phát triển về vấn đề tiêu chuẩn hoá nhằm tạo điều kiện thuận lợi cho trao đổi hàng hóa, dịch vụ quốc tế. Với ích lợi và tính hiệu quả của việc áp dụng ISO, ngày nay, ISO được áp dụng cho mọi tổ chức không phân biệt loại hình, quy mô và sản phẩm vào cả lĩnh vực quản lý hành chính, sự nghiệp. Trong các tiêu chuẩn ISO ban hành, có ISO 31000 là một nhóm các tiêu chuẩn liên quan về quản lý rủi ro được ban hành lần đầu vào năm 2009 (ký hiệu: ISO 31000: 2009, Quản lý rủi ro – Nguyên tắc và hướng dẫn). Đến năm 2018, ISO 31000: 2018 (Quản lý rủi ro ­ Hướng dẫn) là phiên bản thứ hai thay thế cho phiên bản

5 ISO được thành lập ngày 23 tháng 2 năm 1947. Trụ sở Ban thư ký ISO đặt tại Geneva, Thụy Sĩ. Đến năm 2018, ISO có 161 thành viên quốc gia.

đầu tiên (ISO 31000: 2009) cung cấp các nguyên tắc và hướng dẫn chung về quản lý rủi ro mà các tổ chức phải đối mặt. Để đạt được các mục tiêu, để tổ chức hoạt động tốt trong một môi trường đầy những điều không chắc chắn, các công ty cần phải quản trị rủi ro. Có hai cách thức quản trị rủi ro chính: theo chức năng và theo quy trình (Ramos, 2014). Cách thức tiếp cận rủi ro theo chức năng như: quản trị rủi ro bảo hiểm, tài chính, hệ thống thông tin. Cách thứ 2 tiếp cận rủi ro theo quy trình như: quản lý rủi ro chuỗi cung ứng, quản lý rủi ro theo từng quy trình kinh doanh của doanh nghiệp. Theo ISO (2018), quản lý rủi ro là việc phối hợp các hoạt động để chỉ đạo và kiểm soát rủi ro có thể phát sinh trong một tổ chức. Quy trình quản lý rủi ro bao gồm bước nhận diện, phân tích, đánh giá và đối phó rủi ro. Để nhận diện rủi ro, cần xem xét các nhân tố và mối quan hệ giữa các nhân tố như các mối đe dọa, cơ hội, các điểm yếu, năng lực, các thay đổi nội bộ và bên ngoài, các dấu hiệu về các rủi ro mới, các nguồn lực, các hệ quả, các giới hạn về tri thức và độ tin cậy của thông tin, các tác nhân liên quan đến thời gian. Phân tích rủi ro cần xem xét các yếu tố như khả năng xảy ra các sự kiện, hệ quả, tính phức tạp, tính kết nối, hiệu lực các biện pháp. Phân tích rủi ro làm cơ sở cho đánh giá rủi ro, cũng như đưa ra quyết định. Trên cơ sở nhận diện, phân tích và đánh giá rủi ro, NQL lựa chọn các biện pháp đối phó rủi ro. Các biện pháp đối phó rủi ro có thể lựa chọn là chấp nhận rủi ro, tránh rủi ro (không bắt đầu hoặc không tiếp tục hoạt động làm phát sinh rủi ro), giảm thiểu rủi ro, chia sẻ rủi ro (thông qua hợp đồng, mua bảo hiểm) (ISO, 2018).

Nếu chấp nhận rủi ro, đơn vị không thực hiện một hành động nào để ngăn chặn rủi ro. Đối với biện pháp tránh rủi ro, biện pháp sử dụng thường là không thực hiện các hoạt động gắn liền với rủi ro như không mở rộng hoạt động. Đối với biện pháp giảm thiểu rủi ro, đơn vị thực hiện các biện pháp làm giảm khả năng phát sinh và mức độ tác động của rủi ro. Đối với biện pháp chia sẻ rủi ro, đơn vị thường thực hiện chuyển giao hoặc chia sẻ một phần của rủi ro, các cách

thức thông thường có thể kể ra như là mua bảo hiểm, thành lập liên doanh, áp dụng các hợp đồng tương lai.

Việc chọn lựa các biệp pháp đối phó rủi ro cần dựa theo các mục tiêu, các tiêu chí rủi ro và sự sẵn có các nguồn lực của tổ chức. Chấp nhận rủi ro được sử dụng trong trường hợp xác suất xảy ra rủi ro là thấp. Biện pháp tránh rủi ro thường được áp dụng trong trường hợp xác xuất xảy ra rủi ro là rất cao và mức độ ảnh hưởng rất lớn. Giảm thiểu rủi ro áp dụng khi xác suất xảy ra rủi ro là cao, mức độ ảnh hưởng thấp trong khi chuyển giao/chia sẻ rủi ro thích hợp nhất đối với các rủi ro có mức độ ảnh hưởng lớn, chẳng hạn như thiên tai (Fan và Stevenson, 2018).

Như vậy, theo lý thuyết này cũng như ISO 2018, để giảm thiểu tác động xấu, doanh nghiệp cần lựa chọn cách thức đối phó với rủi ro phù hợp, cách thức này phụ thuộc vào khả năng xảy ra rủi ro và mức độ tác động của rủi ro.

Ngày nay, nhiều nghề nghiệp đã vận dụng lý thuyết quản trị rủi ro vào việc đưa ra quyết định. Lý thuyết này càng được sử dụng rộng rải trong quản trị công ty, trong hoạch định chiến lược của một tổ chức.

Vận dụng lý thuyết quản trị rủi ro vào NC của luận án

Theo lý thuyết quản trị rủi ro, ERM (2017) và ISO 2018, để giảm thiểu thiệt hại cho một tổ chức, cần nhận diện, phân tích, đánh giá và lựa chọn biện pháp đối phó rủi ro. CTKT cũng là doanh nghiệp kinh doanh do vậy cũng thường xuyên đối mặt với các rủi ro. Một trong những rủi ro mà CTKT sẽ đối mặt ở giai đoạn đầu tiên của cuộc kiểm toán là DTKH không phù hợp. Rủi ro này là xuất phát từ RRKT, RRKD của khách hàng, RRKD của CTKT. Do vậy, CTKT cần kiểm soát rủi ro để tránh các hậu quả xấu. Vận dụng lý thuyết quản trị rủi ro có thể giải thích lý do các CTKT phải đánh giá rủi ro để từ đó lựa chọn biện pháp thích hợp. Để đánh giá rủi ro, CTKT cần xem xét các nhân tố rủi ro để đưa ra quyết định DTKH. Như phần trên đã trình bày, các loại rủi ro mà CTKT sẽ phải

Xem tất cả 276 trang.