Mục Tiêu, Ý Nghĩa Kiểm Soát Rủi Ro Trong Đơn Vị Công

Trong tài liệu này còn nhấn mạnh đến những thông tin phi tài chính. Bởi vì sự sử dụng rộng rãi của hệ thống thông tin ngày càng tăng trong các tổ chức Nhà nước, kiểm soát công nghệ thông tin ngày càng trở nên quan trọng hơn. Mục tiêu của tài liệu này là thiết lập và duy trì KSRR hữu hiệu trong khu vực công. Vì vậy, các nhà lãnh đạo của Chính phủ rất quan tâm đến tài liệu này. Các nhà lãnh đạo các tổ chức của Nhà nước xem tài liệu này là một nền tảng để thực hiện và giám sát KSRR trong tổ chức. INTOSAI đưa ra hai nhóm chuẩn mực: Chuẩn mực chung và chuẩn mực cụ thể. Chuẩn mực chung bao gồm các quy định về bảo đảm hợp lý, tinh thần tuân thủ, năng lực và phẩm chất, mục tiêu kiểm soát và giám sát. Chuẩn mực cụ thể đi vào các quy định về tổ chức hồ sơ, tài liệu; ghi chép kịp thời và đúng đắn các nghiệp vụ, phân chia trách nhiệm, tiếp cận và báo cáo về nguồn lực và sổ sách.

2.2.2. Mục tiêu, ý nghĩa kiểm soát rủi ro trong đơn vị công

Theo Báo cáo INTOSAI (1992), được cập nhật thêm vào năm 2013, xác định KSRR là một bộ phận hoặc quy trình không thể thiếu của người lãnh đạo nhằm bảo đảm sự hợp lý trong tổ chức nhằm đạt được các mục tiêu về:

+ Thúc đẩy các hoạt động hữu hiệu, hiệu quả và có kỷ cương, có đạo đức cũng như chất lượng của sản phẩm, dịch vụ phù hợp với nhiệm vụ của tổ chức.

+ Bảo vệ các nguồn lực không bị thất thoát, lạm dụng, lãng phí, tham ô và vi phạm pháp luật.

+ Khuyến khích tuân thủ pháp luật quy định của Nhà nước và nội bộ.

+ Xây dựng và duy trì các dữ liệu tài chính và hoạt động và lập báo cáo đúng đắn và kịp thời.

So với định nghĩa của báo cáo COSO và Hướng dẫn năm 1992, khía cạnh giá trị đạo đức trong hoạt động được thêm vào INTOSAI. Mục tiêu của KSRR được nhấn mạnh thêm, đó chính là tầm quan trọng của hành vi đạo đức cũng như sự ngăn chặn và phát hiện sự gian lận không trung thực và tham nhũng trong khu vực công.

Theo Báo cáo COSO 2004, các chuẩn mực kiểm soát rủi ro trong khu vực công tập trung hơn vào các chức năng, đặc điểm của đơn vị nhà nước và các quy định có tính quy chuẩn hơn là chỉ hướng dẫn. Ý nghĩa của quản trị rủi ro trong khu vực công:

+ Tạo lập sự phù hợp giữa lựa chọn chiến lược và mức rủi ro có thể chấp nhận: khi lựa chọn một chiến lược giữa nhiều khả năng khác nhau thì trước hết phải xem xét mức rủi ro có thể chấp nhận trước, rồi mới đến lựa chọn chiến lược cụ thể, sau đó thiết lập các mục tiêu liên quan đến chiến lược đã được chọn và cuối cùng là cách thức được thiết lập để quản lý các rủi ro liên quan.

+ Làm tăng hiệu quả đối với việc phản ứng với rủi ro: QTRR cung cấp các kỹ thuật và phương pháp cụ thể trong việc nhận dạng và lựa chọn các phương thức phản ứng với rủi ro như né tránh rủi ro, giảm thiểu rủi ro, chuyển giao rủi ro và chấp nhận rủi ro sẽ giúp các nhà quản lý phản ứng với rủi ro một cách hiệu quả.

+ Giảm thiểu tổn thất bất ngờ trong quá trình hoạt động: QTRR làm tăng khả năng của đơn vị về việc nhận dạng các sự kiện tiềm tàng, đánh giá rủi ro, thiết lập cách thức phản ứng với rủi ro và do đó giảm thiểu những chi phí và tổn thất bất ngờ.

+ Nhận dạng và quản lý rủi ro xuyên suốt toàn đơn vị: mỗi đơn vị phải đối mặt với rất nhiều loại rủi ro tác động đến nhiều bộ phận khác nhau. Và QTRR đòi hỏi người quản lý không chỉ quản lý các loại rủi ro riêng biệt mà còn phải hiểu được sự tác động lẫn nhau của các rủi ro đó. Từ đó giúp cho đơn vị có cái nhìn hệ thống đối với các loại rủi ro và phản ứng hiệu quả hơn cho mục tiêu tổng thể.

+ Cải thiện sự phân bổ nguồn vốn của đơn vị: Có được đầy đủ thông tin về rủi ro giúp nhà quản lý đánh giá tổng quát nhu cầu về vốn và tối ưu hoá việc phân bổ vốn của đơn vị.

Trong khu vực công tại Việt Nam hiện nay, hoạt động về KSRR còn mới mà các nhà quản lý trong khu vực công thường dựa trên các quy định của pháp luật, kinh nghiệm cá nhân để hành xử hơn là một cái nhìn tổng quát và có hệ thống về công tác kiểm soát. Ngoài ra, việc thiếu một kỹ năng phân tích từ mục tiêu, rủi ro đến các hoạt động kiểm soát sẽ dẫn đến tổn hao nguồn lực vào những thủ tục kiểm soát không cần thiết trong khi lại bỏ sót những rủi ro quan trọng.

2.2.3. Đặc tính hệ thống kiểm soát rủi ro trong đơn vị công

Dịch vụ công ở các nước trên thế giới rất đa dạng và phong phú. Nếu xem xét đến nguồn kinh phí để duy trì hoạt động thường xuyên thì có một điểm cơ bản giống nhau là các đơn vị đều có sử dụng nguồn vốn NSNN cấp và một phần tự thu, chi cho hoạt động của đơn vị đó. Vì vậy chức năng cơ bản của đơn vị có hoạt động dịch vụ công là vừa thực hiện một số nhiệm vụ chuyên môn, chính trị của Nhà nước giao vừa tự hoạt động trên nguồn lực sẵn có, phù hợp với chức năng nhiệm vụ của mình để phục vụ công ích xã hội.

Tuy nhiên, đơn vị dịch vụ công ở mỗi nước cũng có những đặc thù khác nhau tùy thuộc vào thể chế chính trị của từng quốc gia và cơ chế hoạt động tài chính công của từng quốc gia. Ở Việt Nam Nhà nước ban hành quy định rất cụ thể từng loại hình đơn vị sự nghiệp, dựa vào khả năng tự chủ về kinh phí của đơn

vị để xây dựng các tiêu thức phân loại, đơn vị nào có khả năng tự đảm bảo kinh phí hoạt động nhiều hơn thì được giao quyền tự chủ nhiều hơn.

Đa số các đơn vị sự nghiệp công sử dụng NSNN là chính, phần tự chủ tài chính của đơn vị thường nhỏ hơn, điều này là do các đơn vị phải tập trung vào thực hiện nhiệm vụ công ích xã hội của Nhà nước giao. Mặc dù nguồn tài chính ở đơn vị dịch vụ công có cơ cấu thu chi khác nhau, nhưng có điểm chung là các khoản chi tiêu đều phải tuân thủ chế độ chính sách, phù hợp với dự toán và tình hình thực tế của đơn vị, nhất là các hoạt động được ngân sách Nhà nước cấp.

Gần đây, ở Việt Nam đã thực hiện việc khoán chi hành chính, giao quyền tự chủ về kinh phí cho các đơn vị sự nghiệp công, điều này đã khuyến khích các đơn vị tiết kiệm chi phí hành chính, đổi mới cơ chế quản lý sao cho hiệu quả, đẩy mạnh công tác tự kiểm tra tài chính để phòng ngừa các rủi ro, giảm các hành vi gian lận, lãng phí, lành mạnh hoá các quan hệ tài chính.

Những đòi hỏi khách quan trên đã làm tiền đề cho việc thiết lập hệ thống KSRR trong các tổ chức sự nghiệp công. Mục tiêu của KSRR trong khu vực công hướng tới các dịch vụ công và lợi ích cộng đồng, bao gồm:

+ Mục tiêu hoạt động: Đề cập đến sự hiệu quả và hữu hiệu của các hoạt động trong đó bao gồm mục tiêu về hoạt động và mục tiêu về tài chính đồng thời đảm bảo tài sản không bị mất mát trong quản lý hành chính sự nghiệp của đơn vị.

+ Mục tiêu về báo cáo: Báo cáo kết quả hoạt động của bộ máy, cung cấp các thông tin tài chính và phi tài chính kịp thời, phù hợp cho các đối tượng sử dụng.

+ Mục tiêu tuân thủ: Đề cập đến việc tuân thủ pháp luật và các quy định và chính sách của tổ chức, quy định công ước quốc tế, chính sách, pháp luật của quốc gia và các quy định có liên quan.

+ Mục tiêu về quản lý nguồn lực: Mục tiêu này là phần chi tiết hóa mục tiêu về hoạt động của đơn vị.

Do đặc thù của khu vực công, nên INTOSAI còn nhấn mạnh thêm tầm quan trọng của việc sử dụng hợp lý nguồn ngân sách, tránh lạm dụng, lãng phí nguồn lực quốc gia.

2.2.4. Các nhân tố ảnh hưởng đến kiểm soát rủi ro trong đơn vị công

COSO 2004 kế thừa và phát triển COSO năm 1992 theo hướng quản trị rủi ro bổ sung ba yếu tố đó là Thiết lập mục tiêu, Nhận diện sự kiện tiềm tàng và Phản ứng rủi ro. Theo đó, Khung ERM do tổ chức COSO 2004 triển khai gồm 8 yếu tố sau: Môi trường kiểm soát; Thiết lập các mục tiêu; Nhận dạng sự kiện tiềm tàng; Đánh giá rủi ro; Phản ứng với rủi ro; Hoạt động kiểm soát; Thông tin và truyền thông; Giám sát.

Việc triển khai không nhất thiết tuân theo một trình tự nhất định mà có thể tiến hành theo nhiều hướng khác nhau với mỗi yếu tố có liên hệ và ảnh hưởng tới các yếu tố còn lại (Hình 2.1)

Hình 2.1: Các thành phần của hệ thống quản trị rủi ro (Nguồn: Theo báo cáo COSO 2004)

2.2.4.1. Nhân tố Môi trường kiểm soát.

Môi trường kiểm soát phản ánh sắc thái chung của một tổ chức, nó chi phối đến ý thức kiểm soát của toàn bộ cán bộ công chức trong một tổ chức về rủi ro và đóng vai trò nền tảng cho các yếu tố khác của QTRR. Nó tạo nên cấu trúc và phương thức vận hành về quản trị rủi ro trong đơn vị. Các nhân tố chính của môi trường kiểm soát bao gồm:

- Triết lý của nhà quản lý về quản trị rủi ro: triết lý về quản trị rủi ro là quan điểm, nhận thức và thái độ của nhà quản lý, điều này tạo nên cách thức mà đơn vị tiếp cận với rủi ro trong tất cả các hoạt động, từ phát triển chiến lược đến các hoạt động hàng ngày. Triết lý quản lý phản ánh những giá trị mà đơn vị theo đuổi, tác động đến văn hoá và cách thức đơn vị hoạt động, và ảnh hưởng đến việc áp dụng các yếu tố khác của hệ thống KSRR bao gồm cách thức nhận dạng rủi ro, các loại rủi ro được chấp nhận và cách thức quản lý chúng.

- Rủi ro có thể chấp nhận: là mức độ rủi ro mà xét trên bình diện tổng thể, đơn vị sẵn lòng chấp nhận để theo đuổi giá trị. Nó phản ánh triết lý về quản trị rủi ro của nhà quản lý cấp cao, và ảnh hưởng đến văn hoá, cách thức hoạt động của đơn vị. Rủi ro có thể chấp nhận được xem xét khi đơn vị xác định các chiến lược, ở đó lợi ích kỳ vọng của một chiến lược phải phù hợp với mức rủi ro có thể chấp

nhận đã đề ra. Các chiến lược khác nhau sẽ dẫn đến những mức độ rủi ro khác nhau đối với đơn vị, một khi mức rủi ro có thể chấp nhận được xác lập sẽ giúp ích cho nhà quản lý lựa chọn chiến lược nằm trong giới hạn chịu đựng đối với các loại rủi ro.

- Hội đồng quản trị: đây là một bộ phận quan trọng và ảnh hưởng đến những yếu tố khác. Vai trò của Hội đồng quản trị được thể hiện ở việc giám sát ban quản lý trong việc lựa chọn chiến lược, lên kế hoạch và việc thực hiện nó. Các nhân tố được xem xét để đánh giá sự hữu hiệu của Hội đồng quản trị gồm mức độ độc lập, kinh nghiệm và uy tín của các thành viên, và mối quan hệ giữa họ với bộ phận kiểm soát nội bộ và kiểm soát độc lập.

- Tính chính trực và các giá trị đạo đức: Thể hiện ở việc nhà quản lý và cán bộ nhân viên tuân thủ các điều lệ, chuẩn mực, đạo đức, lối sống, cư xử đúng đắn, phải xây dựng được văn hóa trong đơn vị lành mạnh, chuẩn mực và tuyên truyền phổ biến đến mọi thành viên bằng các thể thức thích hợp, Nhà quản lý phải làm gương cho cấp dưới về việc tuân thủ pháp luật, và mọi hoạt động phải có đạo đức, kỷ luật, kinh tế và hiệu quả.

- Đảm bảo về năng lực nhân viên: Năng lực nhân viên bao gồm trình độ hiểu biết và kỹ năng làm việc cần thiết để đánh giá rủi ro và giúp đảm bảo hoạt động hữu hiệu, hiệu quả. Nhà quản lý phải tuyển dụng những nhân viên công chức có kiến thức và kinh nghiệm phù hợp với nhiệm vụ được giao, từ đó mới phát huy được hết khả năng của mình để hoàn thành nhiệm vụ. Đồng thời đào tạo là một phương thức hữu hiệu nhằm nâng cao trình độ, kỹ năng xử lý tình huống khó xử trong công việc.

- Cơ cấu tổ chức: Là sự phân chia quyền hạn và trách nhiệm của các bộ phận trong đơn vị, góp phần quan trọng trong việc thực hiện các mục tiêu. Nói cách khác, cơ cấu phù hợp sẽ là cơ sở cho việc lập kế hoạch, điều hành, kiểm soát và giám sát các hoạt động của đơn vị. Vì vậy, khi xây dựng một cơ cấu tổ chức phải xác định được các vị trí then chốt với các quyền hạn, trách nhiệm với các thể thức báo cáo cho phù hợp. Tuy nhiên, điều này còn phụ thuộc vào quy mô và tính chất hoạt động của đơn vị. Cho dù với bất cứ loại hình cơ cấu nào đều phải đảm bảo hệ thống quản trị rủi ro hoạt động hữu hiệu và các hoạt động được tiến hành để đạt mục tiêu mà đơn vị đề ra.

- Cách thức phân định quyền hạn và trách nhiệm: Phân định quyền hạn và trách nhiệm được xem là phần mở rộng của cơ cấu tổ chức. Nó cụ thể hoá quyền hạn và trách nhiệm của từng thành viên và từng nhóm thành viên trong đơn vị, giúp cho mỗi thành viên và nhóm hiểu rằng họ có nhiệm vụ cụ thể gì và từng hoạt động của họ có ảnh hưởng như thế nào đối với những nhóm hay thành viên khác trong việc hoàn thành mục tiêu. Do đó, khi mô tả công việc, đơn vị cần phải

thể chế hoá bằng văn bản về những nhiệm vụ và quyền hạn cụ thể của từng thành viên và nhóm thành viên, và quan hệ giữa họ với nhau.

- Chính sách nhân sự: là các chính sách và thủ tục của nhà quản lý về việc tuyển dụng, huấn luyện, bổ nhiệm, đánh giá, sa thải, khen thưởng, kỷ luật nhân viên. Chính sách nhân sự có ảnh hưởng đáng kể đến sự hữu hiệu của môi trường quản lý thông qua tác động đến những nhân tố khác trong môi trường quản lý như đảm bảo về năng lực, tính chính trực…

2.2.4.2. Nhân tố Thiết lập các mục tiêu

Các mục tiêu được thiết lập đầu tiên ở cấp độ chiến lược, từ đó đơn vị xây dựng bốn mục tiêu tổng quát: chiến lược, hoạt động, báo cáo, và tuân thủ. Việc thiết lập các mục tiêu của đơn vị là điều kiện đầu tiên để nhận dạng, đánh giá và phản ứng với rủi ro.

- Mục tiêu chiến lược: là những mục tiêu cấp cao của đơn vị, các mục tiêu này phù hợp và ủng hộ cho sứ mạng mà đơn vị đã đề ra. Nó thể hiện sự lựa chọn của nhà quản lý về cách thức đơn vị tạo lập giá trị cho chủ sở hữu của mình.

- Mục tiêu hoạt động: các mục tiêu này liên quan đến sự hữu hiệu và hiệu quả của hoạt động tại đơn vị, bao gồm cách thức hoạt động của đơn vị, lợi nhuận và việc bảo vệ nguồn lực như thế nào. Dưới mỗi mục tiêu hoạt động cơ bản thì đơn vị có thể xây dựng các mục tiêu nhỏ hơn nhằm đảm bảo cho sự hữu hiệu và hiệu quả của các hoạt động tại đơn vị, hướng đơn vị đi đến mục tiêu cao nhất của mình.

- Mục tiêu về báo cáo tài chính: gắn liền với sự trung thực và đáng tin cậy của các báo cáo, bao gồm các báo cáo cho bên trong và bên ngoài và có thể liên quan đến các thông tin tài chính và phi tài chính. Các báo cáo đáng tin cậy cung cấp cho nhà quản lý những thông tin đầy đủ và chính xác để điều hành và giám sát các hoạt động xảy ra tại đơn vị, hướng đến các mục đích đã dự tính trước. Việc báo cáo cũng liên quan đến những thông tin công bố ra bên ngoài như báo cáo tài chính, báo cáo đến các cơ quan chức năng về các lĩnh vực liên quan, báo cáo về thảo luận và phân tích của ban đều hành cho các cổ đông.…

- Mục tiêu tuân thủ: liên quan đến việc tuân thủ luật pháp, quy định của Nhà nước và chấp hành các chính sách, thủ tục tại đơn vị. Đơn vị phải kiểm soát các hoạt động của mình sao cho phù hợp với luật pháp, quy định của Nhà nước cũng như các chính sách, thủ tục mà đơn vị đặt ra.

2.2.4.3. Nhân tố Nhận dạng rủi ro tiềm tàng.

Dựa trên mục tiêu đã thiết lập, người quản lý cần nhận dạng và phân tích rủi ro để có thể đưa ra những biện pháp để quản lý chúng. Quá trình nhận dạng và phân tích rủi ro là một quá trình lặp đi lặp lại không ngừng và là một nhân tố

then chốt để kiểm soát rủi ro hiệu quả. Hoạt động của đơn vị có thể gặp rủi ro do sự xuất hiện của những nhân tố bên trong và bên ngoài. Rủi ro được nhận dạng ở các mức độ sau:

Rủi ro ở mức độ toàn đơn vị: Là rủi ro có thể phát sinh do những nhân tố bên ngoài và bên trong đơn vị.

+ Nhân tố bên ngoài: Thường các rủi ro phát sinh từ các khâu thượng nguồn hay hạ nguồn của chuỗi cung ứng. Các rủi ro này có thể có nguồn gốc từ môi trường vĩ mô (như tự nhiên, kinh tế, chính trị - pháp luật, văn hóa - xã hội, công nghệ gây ra), từ môi trường tác nghiệp.

+ Nhân tố bên trong: Những rủi ro xảy ra trong phạm vi của đơn vị. Các rủi ro này được gọi là rủi ro vận hành. Nhóm rủi ro này có nguồn gốc từ quy trình hoạt động, nhân sự thiếu năng lực, cấu trúc báo cáo không chặt chẽ, thiếu sự kiểm soát hoặc chủ quan. Nhận dạng những nhân tố bên ngoài và bên trong làm gia tăng rủi ro cho đơn vị sẽ quyết định thành công của việc đánh giá rủi ro.

Rủi ro ở mức độ hoạt động cùng với việc nhận diện rủi ro ở mức độ chung cho toàn bộ đơn vị, rủi ro nên được nhận dạng ở mức độ từng hoạt động. Rủi ro ở mức độ từng hoạt động, từng bộ phận hay từng chức năng chính trong đơn vị, đánh giá đúng đắn rủi ro ở mức độ hoạt động sẽ góp phần duy trì rủi ro ở mức độ toàn đơn vị một cách hợp lý.

Sự phụ thuộc lẫn nhau giữa các sự kiện: Các sự kiện liên quan đến đơn vị thường không xuất hiện độc lập mà có sự tương tác lẫn nhau. Một sự kiện xuất hiện có thể tạo ra, tác động đến một sự kiện khác và các sự kiện có thể xuất hiện đồng thời. Trong việc nhận dạng các sự kiện, đơn vị phải biết được sự liên quan giữa các sự kiện là như thế nào. Bằng cách đánh giá sự liên quan giữa các sự kiện, đơn vị có thể biết được nơi nào cần tập trung cần thiết để quản trị rủi ro.

Phân biệt cơ hội và rủi ro cũng là vấn đề quan trọng. Sự kiện tiềm tàng nếu xuất hiện sẽ tác động tiêu cực hoặc tích cực đến đơn vị hoặc tác động cả hai. Nếu sự kiện có tác động tiêu cực, đe dọa nguy cơ đạt được mục tiêu của đơn vị, thì đòi hỏi đơn vị phải đánh giá rủi ro và phản ứng với rủi ro. Nếu sự kiện có tác động tích cực đến đơn vị, làm thuận lợi việc thực hiện mục tiêu của đơn vị hoặc tạo giá trị cho đơn vị, thì phải được xem xét trở lại đối với các chiến lược đã được xây dựng.

2.2.4.4. Nhân tố Đánh giá rủi ro.

Sau khi đơn vị nhận dạng được rủi ro tiềm tàng cần tiến hành đánh giá rủi ro. Đánh giá rủi ro là đánh giá khả năng xảy ra rủi ro, đánh giá tầm quan trọng và ước tính thiệt hại mà rủi ro gây ra. Trên thực tế không thể loại bỏ tất cả rủi ro mà chỉ giới hạn rủi ro xảy ra ở mức chấp nhận được. Nếu rủi ro ảnh hưởng không

đáng kể và ít có khả năng xảy ra thì không cần quan tâm nhiều. Ngược lại, các sự kiện với khả năng xuất hiện cao và tác động lớn thì cần phải xem xét kỹ càng. Các sự kiện nằm giữa hai thái cực này đòi hỏi sự đánh giá phức tạp, điều quan trọng là phải phân tích kỹ lưỡng và hợp lý.

Các sự kiện được xem xét bao gồm các sự kiện đã được đơn vị dự tính và các sự kiện không được dự tính. Các sự kiện đã dự tính bao gồm những sự kiện thường xuyên lặp đi lặp lại, sự kiện diễn ra hàng ngày hoặc các sự kiện đã được tiên liệu trong kế hoạch của đơn vị.

Rủi ro tiềm tàng và rủi ro kiểm soát: rủi ro tiềm tàng là rủi ro do thiếu các hoạt động của đơn vị nhằm thay đổi khả năng hoặc sự tác động của các rủi ro đó. Rủi ro kiểm soát là rủi ro vẫn còn tồn tại sau khi đơn vị đã phản ứng với rủi ro. Đơn vị cần phải xem xét cả rủi ro tiềm tàng và rủi ro kiểm soát, đầu tiên là xem xét các rủi ro tiềm tàng, sau đó khi đã có phương án phản ứng với rủi ro tiềm tàng thì tiếp tục xem xét đến rủi ro kiểm soát.

Để đánh giá rủi ro một cách có hệ thống. cần phải xây dựng bộ tiêu chí đánh giá, sau đó sắp xếp thứ tự mức độ của rủi ro tiềm tàng, từ đó lãnh đạo có những chỉ đạo để ứng phó rủi ro.

Sơ đồ 2.1: Khái quát quy trình đánh giá rủi ro của COSO.

- Xác định mục tiêu;

	- Thiệt hại;		- Phân tán rủi ro;
- Thiết lập cơ chế nhận dạng rủi ro.	---- ►	- Xác suất xảy ra.	------ ►	- Chấp nhận rủi ro;
				- Tránh né rủi ro;
				- Hạn chế xử lý rủi ro