Quản lý rủi ro, cải tiến liên tục với tiêu chuẩn ISO 31000

Mọi loại hình tổ chức dù lớn hay nhỏ đều phải đối mặt với các yếu tố và ảnh hưởng cả bên trong, bên ngoài làm cho tổ chức không chắc chắn liệu mình có đạt được mục tiêu hay không và khi nào sẽ đạt được mục tiêu. Tác động của sự không chắc chắn này lên các mục tiêu của một tổ chức chính là “rủi ro”.

Mọi hoạt động của một tổ chức đều có rủi ro. Tổ chức quản lý rủi ro bằng cách xác định, phân tích và đánh giá xem liệu có cần thay đổi rủi ro bằng cách xử lý rủi ro để đáp ứng tiêu chí rủi ro của tổ chức hay không. Trong toàn bộ quá trình này, tổ chức trao đổi thông tin và tham vấn các bên liên quan, theo dõi, xem xét rủi ro và các kiểm soát thay đổi rủi ro nhằm bảo đảm rằng không cần xử lý rủi ro thêm nữa.

ISO 31000 mô tả chi tiết quá trình có tính hệ thống và lô gíc. Trong khi tất cả tổ chức đều quản lý rủi ro ở một mức độ nào đó, ISO 31000 thiết lập một số nguyên tắc cần được đáp ứng để làm cho hoạt động quản lý rủi ro đạt hiệu quả.

ISO 31000 khuyến nghị tổ chức xây dựng, áp dụng và cải tiến liên tục khuôn khổ với mục đích là tích hợp quá trình quản lý rủi ro với toàn bộ hoạt động quản trị, chiến lược và hoạch định, quản lý, các quá trình báo cáo, chính sách, các giá trị và văn hóa của tổ chức. Quản lý rủi ro có thể được áp dụng cho toàn bộ tổ chức, ở nhiều lĩnh vực và cấp độ, tại mọi thời điểm, cũng như cho các chức năng, dự án và hoạt động cụ thể.

Mặc dù thực tiễn quản lý rủi ro đã được phát triển theo thời gian và trong nhiều lĩnh vực để đáp ứng nhu cầu đa dạng, nhưng việc chấp nhận các quá trình nhất quán trong một khuôn khổ toàn diện có thể giúp đảm bảo rằng việc quản lý rủi ro đạt hiệu lực, hiệu quả và chặt chẽ trong toàn bộ tổ chức. Phương pháp tiếp cận chung mô tả trong ISO 31000 gồm các nguyên tắc và hướng dẫn để quản lý mọi loại hình rủi ro một cách hệ thống, minh bạch và đáng tin cậy cũng như trong mọi lĩnh vực và bối cảnh. Mỗi lĩnh vực hoặc ứng dụng quản lý rủi ro cụ thể đều có những nhu cầu, đối tượng, nhận thức và tiêu chí riêng của nó.

 Vì vậy, một yếu tố quan trọng của tiêu chuẩn này là việc đưa “thiết lập bối cảnh” thành một hoạt động khởi đầu của quá trình quản lý rủi ro chung. Thiết lập bối cảnh sẽ nắm bắt được các mục tiêu của tổ chức, môi trường mà tổ chức theo đuổi những mục tiêu này, các bên liên quan và sự đa dạng của tiêu chí rủi ro – tất cả những điều này sẽ giúp phát hiện, đánh giá bản chất và tính phức tạp rủi ro của tổ chức.

Khi thực hiện và duy trì theo ISO 31000, quản lý rủi ro cho phép một tổ chức có thể: Tăng khả năng đạt được các mục tiêu; Khuyến khích quản lý chủ động; Nhận thức được nhu cầu xác định và xử lý rủi ro trong toàn tổ chức; Cải thiện việc xác định các cơ hội và mối đe dọa; Tuân thủ yêu cầu luật định, chế định và các chuẩn mực quốc tế liên quan; Cải tiến việc lập báo cáo tự nguyện và bắt buộc; Cải tiến việc quản trị; Nâng cao lòng tin và sự tin tưởng của các bên liên quan;

Thiết lập cơ sở tin cậy cho việc ra quyết định và lập kế hoạch; Cải tiến việc kiểm soát; Phân bổ và sử dụng hiệu quả các nguồn lực để xử lý rủi ro; Cải tiến hiệu lực và hiệu quả hoạt động; Nâng cao hoạt động đảm bảo an toàn và sức khỏe, cũng như bảo vệ môi trường; Cải tiến việc ngăn ngừa tổn thất và quản lý sự cố; Giảm thiểu thiệt hại; Nâng cao việc học hỏi trong tổ chức; Nâng cao tính kiên cường của tổ chức.

ISO 31000 nhằm đáp ứng nhu cầu của các bên liên quan, bao gồm: Những người chịu trách nhiệm xây dựng chính sách quản lý rủi ro trong tổ chức; Những người có trách nhiệm đảm bảo rằng rủi ro được quản lý hiệu quả trong phạm vi toàn bộ tổ chức hoặc trong một lĩnh vực, dự án hay hoạt động cụ thể; Những người cần đánh giá hiệu lực quản lý rủi ro của tổ chức và những người xây dựng tiêu chuẩn, hướng dẫn, thủ tục và quy phạm thực hành, trong đó toàn bộ hoặc một phần, lập ra cách thức quản lý rủi ro trong bối cảnh cụ thể của các tài liệu này.

Các quá trình và thực tiễn quản lý hiện hành của nhiều tổ chức bao gồm các thành phần của quản lý rủi ro và nhiều tổ chức đã chấp nhận quá trình quản lý rủi ro chính thức cho các loại rủi ro và tình huống cụ thể. Trong những trường hợp này, tổ chức có thể quyết định tiến hành xem xét thực tiễn và các quá trình hiện có của mình theo ISO 31000.

Tiểu My