I. Khái niệm về ERM
ERM là một quá trình, chịu ảnh hưởng của Hội đồng quản trị, Ban giám đốc và các nhân viên khác, được áp dụng trong việc xác định chiến lược và bao trùm lên mọi hoạt động của doanh nghiệp, được thiết kế để nhận dạng các sự kiện tiềm tàng có thể ảnh hưởng đến đơn vị, và quản trị rủi ro trong mức độ cho phép, nhằm cung cấp một sự bảo đảm hợp lý đạt được các mục tiêu của tổ chức.
Chúng ta cần phân tích định nghĩa này để có được cách hiểu chính xác về ERM.
1. ERM là một quá trình
Ý muốn nói ERM không phải một cơ chế tĩnh, chẳng hạn việc một nhân viên dùng thẻ ra vào – chỉ những nhân viên nhất định với những thẻ phù hợp mới được vào một số phòng lưu trữ mật. Cơ chế này hoạt động khá máy móc. Một quá trình sẽ mang tính chất mềm dẻo và linh hoạt nhiều hơn. Chẳng hạn trong một quy trình cấp tín dụng, mặc dù có những chỉ tiêu cụ thể nhưng đôi khi ngân hàng vẫn có thể điều chỉnh quy định của mình để cho một khách hàng đáng tin cậy vay khi khách hàng đó có khó khăn tạm thời. ERM thuộc vào loại quá trình này.
2. ERM được thực hiện bởi người trong chính tổ chức.
Chỉ những người làm việc trong chính doanh nghiệp đó mới có hiểu biết thực sự sâu sắc về hoạt động và rủi ro của tổ chức mình. Những hiểu biết đó là điều mà những người ở bên ngoài doanh nghiệp không thể nào có được.
3. ERM được áp dụng trong việc xác định chiến lược và bao trùm lên mọi hoạt động của doanh nghiệp
Vì các doanh nghiệp thường rất lớn và có nhiều chi nhánh hoạt động trong nhiều lĩnh vực và khu vực khác nhau, ERM cần được áp dụng trên phạm vi toàn bộ doanh nghiệp bằng việc sử dụng sử dụng cách tiếp cận kiểu danh mục kết hợp giữa các hoạt động có rủi ro thấp và có rủi ro cao.
4. ERM quản trị rủi ro trong mức độ rủi ro cho phép
Mức độ rủi ro cho phép, hiểu theo nghĩa rộng, là mức độ rủi ro mà doanh nghiệp và các nhà quản trị của nó sẵn sàng chấp nhận để đạt được mục tiêu của mình. Mỗi doanh nghiệp khác nhau lại có mức độ chấp nhận rủi ro khác nhau và do vậy mô hình ERM cũng không giống nhau.
5. ERM cung cấp một sự bảo đảm hợp lý để đạt được mục tiêu của doanh nghiệp
ERM không thể cung cấp một sự đảm bảo chắc chắn về kết mà doanh nghiệp đạt được. Một doanh nghiệp được quản lý tốt, với đội ngũ nhân sự giỏi, đoàn kết thực hiện mục tiêu chung có thể có những thành ấn tượng trong nhiều năm liền. Tuy nhiên, một sai sót nhỏ của nhân viên trong quá trình làm việc hoặc một thạm họa thiên nhiên vẫn có thể gây ra những thiệt hại ghê gớm cho doanh nghiệp. Hệ thống ERM dù tốt đến đâu cũng không thể đảm bảo được thiệt hại sẽ không xảy ra.

Hệ thống quản trị rủi ro doanh nghiệp bao gồm 8 bộ phận chính:

 Môi trường nội bộ
 Thiết lập mục tiêu
 Nhận dạng các sự kiện
 Đánh giá rủi ro
 Đối phó rủi ro
 Các hoạt động kiểm soát
 Thông tin và truyền thông
 Giám sát

Trong bài này, nhóm 6 chúng tôi sẽ trình bày cụ thể về 3 bộ phận:
 Nhận dạng các sự kiện
 Đánh giá rủi ro
 Đối phó rủi ro
Các phần tiếp theo sẽ được trình bày theo thứ tự tìm hiểu về các bộ phận vừa kể trên.

II. NHẬN DẠNG SỰ KIỆN
Sự kiện là những gì xảy ra, bên ngoài hoặc bên trong một tổ chức, ảnh hưởng đến việc thực hiện chiến lược ERM (Hệ thống quản lý rủi ro trong doanh nghiệp) hoặc việc đạt được mục tiêu của tổ chức đó. Khi nói đến sự kiện, mọi người thường hay nghĩ đến mặt tiêu cực, nhưng thực tế những sự kiện này có thể cả tích cực và tiêu cực.
Hệ thống quản lý rủi ro doanh nghiệp – ERM tóm tắt những nhân tố gây ảnh hưởng và có thể là 1 phần của mô hình của những nhân tố nhận dạng sự kiện.
1. Các nhân tố cần xem xét trong quá trình nhận dạng sự kiện
1.1. Những sự kiện kinh tế bên ngoài
Doanh nghiệp cần thường xuyên theo dõi những sự kiện kinh tế để có thể đạt được mục tiêu quản trị rủi ro trong doanh nghiệp. Những xu hướng ngắn hạn hay dài hạn đều có ảnh hưởng đến một vài yếu tố trong quá trình thực hiện mục tiêu chiến lược của doanh nghiệp, và do đó ảnh hưởng đến mô hình quản trị rủi ro doanh nghiệp nói chung. Ví dụ, cuộc khủng hoảng nợ công ở một số nước châu Âu, bắt đầu từ Hy Lạp năm 2010, sau đó lan sang một số nước khác như Bồ Đào Nha, Tây Ban Nha, Ý. Khủng hoảng trên đã có tác động mạnh mẽ đến nhiều doanh nghiệp trong nhiều lĩnh vực khác nhau, dù ở lĩnh vực tín dụng hay công nghiệp, và cả những doanh nghiệp ở những khu vực khác. Một số doanh nghiệp Việt Nam cũng không tránh khỏi bị ảnh hưởng. Sang năm 2012, trong năm tháng đầu năm, một số ngành hàng như thủy sản, dệt may, hoạt động xuất khẩu sang EU có bị sút giảm. Nguyên nhân là một số nước Nam Âu cũng có ngành sản xuất dệt may, giày da và thủy sản khá mạnh, nên họ cũng tìm cách áp dụng một số biện pháp như chống bán phá giá để bảo vệ ngành công nghiệp trong nước
1.2. Những sự kiện liên quan đến môi trường thiên nhiên
Rất nhiều hoạt động liên quan đến thiên nhiên, như động đất, bão lũ, hỏa hoạn,… có thể được coi là sự kiện trong mô hình Hệ thống quản lý rủi ro trong doanh nghiệp. Những sự kiện này có thể ảnh hưởng đến nguyên vật liệu đầu vào, làm hư hỏng cơ sở vật chất hoặc ảnh hưởng đến lao động. Chẳng hạn việc một cơn bão lớn đổ bộ vào miền trung Việt Nam, phá hỏng nhiều nhà máy cơ sở sản xuất là một ví dụ.
1.3. Những sự kiện chính trị
Những bộ luật, điều luật mới ban hành cũng như kết quả bầu cử có thể có tác động mạnh đến các doanh nghiệp. Rất nhiều doanh nghiệp lớn bộ phận theo dõi các hoạt động của chính phủ có liên quan đến hoạt động của mình và từ đó tiến hành quá trình vận động hành lang sao cho có lợi cho doanh nghiệp mình.
Chẳng hạn như ở Mỹ, các định chế tài chính lớn như JPMorgan Chase, Goldman Sachs, American Express, Citigroup, … thường thuê rất nhiều người làm vai trò vận động hành lang (lobbying) để các điều luật đưa ra luôn có lợi nhất cho mình, trung bình họ thuê 6 người vận động hành lang cho một nghị sĩ quốc hội Mỹ. Hay ở Venezuela vào năm 2010, chính phủ của ông Hugo Chávez đã ra quyết định quốc hữu hóa hàng loạt doanh nghiệp nước ngoài. Việc làm này gây ảnh hưởng nghiêm trọng đến lợi ích của các công ty đang đầu tư ở Venezuela.
1.4. Những nhân tố xã hội
Trong khi những sự kiện ngoại cảnh như động đất là những sự kiện bất ngờ, đột ngột, khó lường trước, thì hầu hết những thay đổi nhân tố xã hội diễn ra 1 cách chậm chạp, dần dần. Những sự kiện này bao gồm thay đổi dân số, tập quán xã hội và những thay đổi khác ảnh hưởng đến doanh nghiệp và cả khách hàng.
1.5. Những sự kiện liên quan đến cơ sở hạ tầng nội bộ
Những thay đổi của doanh nghiệp thường gây ra những sự kiện rủi ro khác. Ví dụ, thay đổi trong hệ thống dịch vụ khách hàng có thể gây ra sự phàn nàn và giảm sự hài lòng nơi khách hàng. Nhu cầu mạnh mẽ của khách hàng về một sản phẩm mới có thể gây ra những sự trong thiếu hụt máy móc nhân công lao động.
1.6. Những sự kiện liên quan đến thay đổi quy trình trong doanh nghiệp
Cũng như những sự kiện cơ sở hạ tầng, thay đổi trong các quy trình quan trọng trong có thể gây ra một loạt các sự kiện xác định rủi ro. Cũng như nhiều nhân tố khác, các nhân tố rủi ro có thể không được xác định ngay lập tức và đôi khi các sự kiện này có thể bị bỏ qua cho đến khi người ta nhận thấy đó là những nhân tố rủi ro gắn liền với sự thay đổi quy trình nội bộ.
1.7. Những sự kiện kỹ thuật bên trong và bên ngoài
Các doanh nghiệp luôn luôn chứng kiến những tiến bộ kỹ thuật không ngừng. Những tiến bộ kỹ thuật này có thể đòi hỏi phải có quy trình nhận diện rủi ro một cách chính thức. Một vài thay đổi có thể diễn ra từ từ, nhưng số khác lại xảy ra bất ngờ. Ví dụ, Internet đã xuất hiện được một thời gian, và chuyển chúng ta sang môi trường Internet mới một cách từ từ qua các năm. Tuy nhiên có những trường hợp mà khi công ty có cải tiến mới về kỹ thuật thì lập tức khiến cho các đối thủ khác phải nhảy vào. Khi Merrill Lynch giới thiệu chương trình Tài khoản quản lý tiền (CMA), nó gây ra một làn sóng lớn trong giới dịch vụ tài chính trên nhiều nước. CMA đưa ra dịch vụ mà ở đó khách hàng có thể có tất cả các chức năng như môi giới chứng khoán, dịch vụ ngân hàng, viết séc, và các dịch vụ tài chính khác chỉ trong 1 tài khoản. Trong quá khứ, tất cả các tài khoản đó đều tách riêng biệt và không có mỗi liên kết nào.

2. Các cách tiếp cận nhằm nhận dạng sự kiện rủi ro
Quá trình xem xét các sự kiện rủi ro tiềm tàng bên trong và bên ngoài để quyết định xem những sự kiện nào cần được chú ý nhiều hơn có thể là rất khó khăn. Một vài sự kiện cần phải được ứng phó ngay lập tức, một số khác lại có thể để giải quyết từ từ. Việc áp dụng kỹ thuật COSO ERM giúp đỡ nhiều cho doanh nghiệp trong việc giảm thiểu rủi ro. COSO ERM cho rằng một tổ chức nên đưa ra một số quy chuẩn để nghiên cứu những rủi ro có thể có tác động lớn và sau đó bắt đầu hành động để ứng phó rủi ro. COSO ERM đưa ra cho một vài phương pháp tiếp cận nhận diện rủi ro như sau:
2.1. Thống kê các sự kiện.
COSO ERM khuyến nghị rằng nhà quản trị nên lập một danh sách các sự kiện có yếu tố rủi ro và là các sự kiện mà tổ chức đó thường gặp phải trong hoạt động của mình. Nói cách khác, một tổ chức nên xem xét việc lập nên một bộ tài liệu lưu trữ những bài học mà mình đã học được trước đây. Những thông tin loại này thường được cung cấp bởi các nhà quản trị từ những nhiệm kỳ trước đó, họ thường đưa ra những nhận xét kiểu như: Chúng tôi đã thử cái này rất nhiều năm trước, nhưng…”. Việc ghi chép lại các sự kiện lịch sử như thế này đang dần biến mất trong các tổ chức hiện đại ngày nay. Để khôi phục việc làm hữu ích này, doanh nghiệp cần xây dựng cho mình một văn hóa quản trị rủi ro.
2.2. Tạo điều kiện thuận lợi cho việc hội họp, trao đổi.
Một doanh nghiệp có thể đưa ra nhưng buổi trao đổi chéo giữa các bộ phận chức năng khác nhau để thảo luận về các yếu tố rủi ro tiềm tàng, những thảo luận có thể bảo gồm từ các sự kiện bên trong tới bên ngoài tổ chức. Đây là một trong số những cách tiếp cận tốt, nhưng hầu hết các tổ chức sẽ không phân bổ thời gian quý giá của họ để gặp những nhóm có chức năng khác mình để nói về rủi ro theo kiểu mò mẫm như: “Chuyện gì xảy ra nếu …”
2.3. Phỏng vấn, điều tra và làm bảng hỏi.
Các thông tin liên quan tới các sự kiện rủi ro tiềm tàng có thể tới từ nhiều nguồn khác nhau như: phản ánh của khách hàng hay góp ý của những nhân viên chuẩn bị chuyển đi. Ở đây cần phải nắm bắt và phân loại thông tin để có thể xác định được thông tin nào có liên quan đến sự kiện rủi ro. Tất cả mọi người trong tổ chức cần nên có nhận thức về những vấn đề có thể gây rủi ro, đó chính là văn hoa quản trị rủi ro của một tổ chức.
2.4. Phân tích dòng quy trình:
COSO ERM cho rằng doanh nghiệp nên thiết lập các dòng quy trình (process flow) để có thể phân tích một cách chi tiết, rõ ràng các quá trình trong doanh nghiệp và từ đó xác định các sự kiện rủi ro tiềm tàng.
2.5. Sự kiện báo hiệu và ngưỡng hành động
Bộ phận IT của một tổ chức có thể đưa ra mục tiêu là bảo vệ hệ thống máy tính trước sự xâm nhập từ bên ngoài. Họ sẽ tiến hành đo đếm số lần hệ thống bị xâm nhập trái phép, chẳng hạn khi có thể trên ba xâm nhập trái phép một tháng thì họ sẽ sự thực thi các hành động nhằm cải tiến hệ thống bảo vệ của mình.
Ngày nay có một nhóm các công cụ phần mềm được gọi là Bảng điều khiển (dashboards) thực hiện chức năng giám sát mọi mặt của hoạt động của một tổ. Những phần mềm này thường có sẵn ở các nhà cung cấp phần mềm như Business Objects hay COGNOS. Những phần mềm này hoạt động tương tự như bảng điều khiển trên xe ô tô, đưa ra các báo hiệu khi sắp hết nhiên liệu hay nhiệt độ động cơ quá cao, …
2.6. Nghiên cứu số liệu về các sự kiện thua lỗ trước đây
Phương pháp Bảng điều khiển chỉ theo dõi các sự kiện rủi ro khi nó xảy ra. Tuy nhiên việc xem xét lại các sự kiện này sau khi chúng đã xảy ra được một thời gian là rất hữu ích, nó sẽ giúp ta nhìn nhận sự việc một cách rõ ràng và bao quát hơn. Việc nghiên cứu các sự kiện thua lỗ trước đây chính là việc sử dụng cả nguồn dữ liệu nội bộ và công khai, để theo dõi các hoạt động mà mình quan tâm. Các nguồn dữ liệu được sử dụng có thể trải rộng từ các chỉ báo kinh tế sớm tới một tỷ lệ hư hỏng của một thiết bị.

III. ĐÁNH GIÁ RỦI RO CỦA DOANH NGHIỆP
Nguồn lực của doanh nghiệp là có hạn trong khi số lượng các rủi ro là rất lớn. Vì vậy, bước tiếp theo sau khi lập được bản danh sách các rủi ro tiềm ẩn, chúng ta sẽ tổ chức đánh giá và xếp hạng các rủi ro theo mức độ cần ưu tiên ứng phó. Để thực hiện việc xếp hạng rủi ro, doanh nghiệp sẽ phân tích, đánh giá từng rủi ro theo 2 tiêu chí: khả năng xảy ra của rủi ro và mức độ ảnh hưởng của rủi ro đến doanh nghiệp nếu rủi ro xảy ra thật. Để làm căn cứ xếp hạng rủi ro, thông thường người ta sẽ thực hiện việc cho điểm đối với từng rủi ro theo cả 2 tiêu chí. Dựa trên kết quả cho điểm rủi ro, các rủi ro sẽ được xếp hạng theo thứ tự ưu tiên giảm dần. Rủi ro mà doanh nghiệp cần ưu tiên ứng phó, phòng ngừa là những rủi ro mà khả năng xảy ra cao và mức độ ảnh hưởng lớn.

Thông thường thì chỉ 10-20 rủi ro có thứ hạng cao nhất sẽ được doanh nghiệp ưu tiên lên kế hoạch và tổ chức ứng phó. Số lượng cụ thể tùy theo mức độ sử dụng các nguồn lực và quy mô, tiềm lực của doanh nghiệp.
1. Đo lường rủi ro của doanh nghiệp
Nhận dạng rủi ro và các kết quả có thể có là bước khởi đầu trong quá trình đánh giá rủi ro. Tuy nhiên bước này cung cấp ít thông tin để đo lường mức độ quan trọng của rủi ro đối với tổ chức. Các thông tin khác cần cho sự đo lường là: các ước lượng hậu quả về tài chính có thể có và khả năng xảy ra các hậu quả này. Sự đo lường là quan trọng vì nó ảnh hưởng tới sự phân bổ nguồn lực cho quản trị và kiểm soát rủi ro. Để đo lường rủi ro nhà quản trị rủi ro phải (1) đánh giá được khả năng xảy ra của các rủi ro, và (2) xây dựng thước đo mức độ ảnh hưởng, tác động của rủi ro đối với doanh nghiệp để từ đó áp dụng thước đo này vào các rủi ro đã được xác định.
1.1. Đánh giá khả năng xảy ra rủi ro (Đo lường xác suất xảy ra rủi ro)
a. Phương pháp định lượng
Phương pháp ước lượng tần số tổn thất là quan sát xác suất để một nguy hiểm sẽ gây ra tổn thất trong một năm. Chẳng hạn, nhà quản trị rủi ro có thể ước lượng xác suất để một nhà kho bị hoả hoạn hay xác suất để thành phố bị kiện vì không cung cấp đủ cảnh sát bảo vệ. Nếu nhà quản trị giả định không thể có hơn một tổn thất xảy ra trong một năm, xác suất tổn thất sẽ là tần số tổn thất hàng năm. Khi tổn thất xảy ra trung bình mười năm 1 lần , xác suất tổn thất trong một năm là 1/10 nếu chỉ có tối đa một tổn thất xảy ra trong một năm.
Người ta có thể dùng các phân phối xác suất để đo lường rủi ro
– Cách 1: Phân phối chuẩn:
Phân phối chuẩn là một thí dụ của phân phối hai tham số và như vậy phân phối được hoàn toàn xác định bởi 2 tham số này. Các số liệu yêu cầu của phân phối này là kỳ vọng và độ lệch chuẩn. Một khi kỳ vọng và độ lệch chuẩn đã biết đối với phân phối chuẩn, xác suất của xảy ra rủi ro có thể tính được.
– Cách 2: Phân phối nhị thức
Phân phối nhị thức có thể được sử dụng để mô tả phân phối hai tham số. Phân phối nhị thức có thể được sử dụng để mô tả phân phối số lượng các tai nạn khi các đơn vị trong một nhóm hoàn toàn độc lập về rủi ro tai nạn và mỗi đơn vị có thể gặp tối đa một tai nạn. Hai tham số trong phân phối nhị thức là: số lượng đơn vị (n) và xác suất để một đơn vị sẽ gặp tai nạn (p).
– Cách 3: Phân phối Poisson.
Giống như phân phối nhị thức, phân phối Poisson là phân phối của cá đại lượng rời rạc, được sử dụng để mô tả số lượng tai nạn có thể xảy ra. Poisson là phân phối chỉ có một tham số đó là kỳ vọng.
b. Phương pháp định tính
Có một vài phương pháp định tính khác nhau khi đánh giá khả năng xảy ra rủi ro. Sau đây tôi xin trình bầy 2 phương pháp khá phổ biến và dễ ứng dụng.
– Phương pháp đặt câu hỏi và bản khảo sát
Đây là 1 phương pháp tuy đơn giản nhưng lại khá hiệu quả. Phương pháp đề cập đến việc đặt câu hỏi cho các chuyên gia hoặc cho những cá nhân, bộ phận liên quan đến lĩnh vực rủi ro đó để đánh giá khả năng xảy ra rủi ro trong giai đoạn 1 năm tới. Với việc sử dụng thang điểm từ 1 đến 9, thang 1 nếu như bạn thấy khả năng xảy ra rủi ro đó trong giai đoạn tới là gần như không thể, thang 9 nếu như bạn cảm thấy gần như chắc chắn rằng rủi ro này sẽ xảy ra. Thang điểm từ 2 đến 8 phụ thuộc vào cảm nhận cá nhân của người được hỏi về khả năng xảy ra rủi ro trên.
Phương pháp này cũng còn được áp dụng trong phân tích mức độ ảnh hưởng của rủi ro để tạo nên 1 biểu đồ đánh giá rủi ro nói chung.
– Phương pháp lược đồ cây
Đây là phương pháp đặc biệt hữu hiệu khi phải đánh giá về khả năng xảy ra của những rủi ro có mối quan hệ liên quan đến nhau. Sử dụng lược đồ cây và các nguyên tắc về xác suất có thể đánh giá được khả năng của nhiều rủi ro có quan hệ phức tạp. Ngoài ra, sức mạnh thực sự của phương pháp này là thể hiện được mối tương quan, tác động của rủi ro này lên các loại rủi ro khác cũng những rủi ro nhỏ hơn có liên quan.

1.2. Đánh giá mức độ ảnh hưởng/tác động của rủi ro
a. Phương pháp định lượng
– Uớc lượng tổn thất có thể có khi rủi ro xảy ra
Tổn thất lớn nhất có thể có là giá trị thiệt hại lớn nhất có thể xảy ra, có thể nhận thức được. Còn tổn thất lớn nhất có lẽ có là giá trị thiệt hại lớn nhất nhà quản trị tin là có thể xảy ra.
Tổn thất lớn nhất có lẽ có phụ thuộc vào tính chất của mối nguy hiểm gây ra tổn thất cũng như phụ thuộc vào người hay vật là đối tượng của tổn thất; thông thường tổn thất lớn nhất có thể có không bị ảnh hưởng bởi mối nguy hiểm được xét. Chẳng hạn, người thuê một căn hộ có thể chịu các tổn thất trên các tài sản cá nhân do trộm cắp hay hoả hoạn. Tổn thất lớn nhất có lẽ có trên các tài sản này có thể là toàn bộ giá trị tài sản đối với mối nguy hiểm hoả hoạn, nhưng đối với mối nguy hiểm trộm cắp có thể chỉ giới hạn vào giá trị các tài sản đáng giá so với trọng lượng và kích cỡ. Trong khi đó, tổn thất lớn nhất có thể có là toàn bộ giá trị tài sản bất chấp mối nguy hiểm được xét là gì.
Tuy nhiên, một sự cố xảy ra có thể bao gồm nhiều loại tổn thất. Để ước lượng tổn thất có thể có và có lẽ có, một cách lý tưởng, nhà quản trị nên xem xét tất cả các loại tổn thất có thể có từ một mối nguy hiểm cụ thể. Chẳng hạn, tổn thất do hoả hoạn sẽ bao gồm tất cả các khả năng tổn tật của nhân viên trong tổ chức. Nhà quản trị rủi ro cũng nên nhận thức rằng, có thể có nhiều hơn một đơn vị liên quan đến sự cố xảy ra dù với xác suất có thể rất nhỏ, từ đó làm cho tổn thất tiềm năng tăng lên. Chẳng hạn, một sự cố rất có thể làm cho toà nhà và các vật bên trong đó bị phá huỷ.
Nhìn chung, khi tiến hành định lượng để đánh giá mức độ tổn thất, người ta tập trung chủ yếu vào ước lượng hậu quả về tài chính có thể có khi rủi ro xảy ra.
– Hai phương pháp định lượng:
Phương pháp trực tiếp: Phương pháp này xác định các tổn thất bằng cách cân đong đo đếm thông thường.
 Ưu điểm : Sử dụng trực tiếp các công cụ để lượng hoá được chính xác những tổn thất xảy ra trên thực tế.
 Nhược điểm : Cho phép đo lường lớn do doanh nghiệp sử dụng trực tiếp các công cụ đo lường và nếu đối tượng rủi ro chi phí thấp thif phương pháp này không kinh tế.
Phương pháp gián tiếp: Là phương pháp đánh giá tổn thất thông qua việc dự đoán những tổn thất. Phương pháp này thường được sử dụng đối với những thiệt hại vô hình như tính toán những cho phép cơ hội, giảm sút về sứ khoẻ tinh thần, hoặc mất uy tín hoặc mất thương hiếu sản phẩm.
Ưu điểm: Giúp cho việc đánh giá nhửng tổn thất mà phương pháp trực tiếp không thẻ xác định được.
Sử dụng đo lường nhanh, giảm nhiều chi phí về thời gian và tiền bạc.
 Nhược điểm: Độ tin cậy không cao vì sự suy đoán về tổn thất bằng cách xác định mẩu đại diện trên cơ sở đó người ta tính được tỉ lệ tổn thất trung bình, qua đó xác định được tổng tỏn thất.
Độ chính xác không cao do dùng phương pháp ước lượng, bình quân do vậy phương pháp này ít được áp dụng để đo lường tổn thất đối với các đối tượng quý hiếm có giá trị cao.
b. Phương pháp định tính
– Phương pháp cảm quan: Là phương pháp bằng kinh nghiệm của các chuyên gia ngưòi ta xác định tỉ lệ tổn thất hay mức độ tổn thất từ đó ước lượng tổng tổn thất.
 Ưu điểm: Nhanh chóng , kịp thời xác định đánh giá sơ bộ về tổn thất.
 Nhược điểm: Độ tin cậy không cao có thể mác những sai lầm do có sự mâu thuẩn giữ nội dung và hình thức.
– Phương pháp phân tích tổng hợp: Là phương pháp sử dụng tổng hợp các công cụ kỹ thuật và tư duy suy đoán của con người để đánh giá mức độ tổn thất.
 Ưu điểm: Đánh giá chính xác mức độ tổn thất vè hình thức và nội dung.
 Nhược điểm: Tốn kém nhiều thời gian và tiền bạc nếu có nhều rủi ro xãy ra.
– Phương pháp dự báo tổn thất: Là dự báo tổn thất có thể xảy ra khi rủi ro xảy ra . Đây là việc cần thiết cho việc lụa chọn các biện pháp phòng ngừa trên cơ sở xác định xác suất rủi ro và mức độ tổn thất trung bình của sự cố. Người ta có thể dự báo mức độ tổn thất trung bình có thể xảy ra
T = n . P . Ttb
T : Tổn thất trung bình có thể xảy ra.
N : Số lần quan sát hoặc dự kiện xảy ra trong tươg lai.
P : Xác suất rủi ro.
Ttb: Mức độ tổn thất bình quân của mỗi sự cố
Ví dụ:
Các rủi ro N P Ttb T
Bị đánh cắp thông tin 1 15% $322.93 $48.4395
Sửa đổi thông tin 4 7% $1,145.85 $$320.838
Sự phá hoại thông tin 11 32% $1,178.58 $4148.016
Service (User PC) Unavailable 43 65% $211.19 $5902.7605
Rắc rối trong việc thực thi pháp luật
(Legal problem) 1003 30% $6.46 $1943.814

2. Một số phương pháp đánh giá rủi ro được áp dụng trong thực tế.
2.1. Mô hình Value-at-Risk (VaR)
Đây là một trong những mô hình quản trị rủi ro được sử dụng nhiều nhất hiện nay. VaR được sử dụng lần đầu vào những năm 80 của thế kỷ trước bởi các định chế tài chính. Từ cuối những năm 80, việc sử dụng VaR đã trở nên hết sức phổ biến. Ngày nay, phân tích VaR được sử dụng hầu như ở tất cả các định chế tài chính, trong đó chủ yếu là các ngân hàng thương mại và ngân hàng đầu tư, để đo lường mức độ rủi ro và số lỗ tiềm năng trong giá trị danh mục.
Nói một cách chung nhất, VaR là một phương pháp thuần túy thống kê, đo lường số thua lỗ tiềm năng trong giá trị của một danh mục hay các tài sản rủi ro trong một khoảng thời gian và ở một khoảng tin cậy cho trước. Giả sử một danh mục có giá trị VaR trong một tháng là 1 triệu đô la với khoảng tin cậy 99% thì điều đó có nghĩa là xác suất để danh mục đó bị lỗ nhiều hơn 1 triệu đô la trong tháng đó là 1%. Ở đây có thể thấy, một thống kê VaR sẽ luôn bao gồm 3 bộ phận cơ bản: một khoảng thời gian, một khoảng tin cậy và giá trị thua lỗ (rủi ro).
Sở dĩ VaR được sử dụng rộng rãi là do sự dễ dàng trong việc áp dụng. Một khi đã nắm rõ các phương pháp thống kê, khái niệm về VaR trở nên hết sức đơn giản. Thêm vào đó, VaR còn được tính toán cho nhiều khoảng thời gian khác nhau (có thể hàng ngày, hàng tuần hay hàng tháng) và các khoảng tin cậy khác nhau (thường các khoảng tin cậy từ 90% – 99%).
2.2. Những hạn chế của VaR
Tuy là một công cụ mạnh và được áp dụng rộng rãi nhưng VaR cũng có nhiều nhược điểm.
Thứ nhất, VaR chỉ đo lường khoản lỗ tiềm năng trong giá trị của danh mục trong các biến động thông thường của thị trường. Những khoản lỗ lớn hơn giá trị VaR chỉ xuất hiện ở những điều kiện rất bất thường của thị trường. Nói cách khác là các khoản lỗ lớn hơn VaR xảy ra với xác suất rất nhỏ, nhưng giá trị của khoản lỗ có thể là rất lớn. Ở ví dụ trên, VaR chỉ cho biết rằng có 1% rủi ro danh mục sẽ thua lỗ tối thiểu 1 triệu đô la trong tháng đó nhưng lại không cho biết số lỗ tối đa sẽ là bao nhiêu hoặc thậm chí trung bình sẽ lỗ bao nhiêu với cùng xác suất.
Một hạn chế khác trong sử dụng VaR là việc giả thiết rằng nhân tố hay tham số rủi ro có phân phối chuẩn trong khi thực tế nhiều khi lại không phải vậy. Việc sử dụng giả thiết về tính phân phối chuẩn sẽ đơn giản hóa rất nhiều quá trình tính toán nhưng đồng thời dẫn đến việc đánh giá thấp giá trị VaR vì vấn đề phân phối bất thường . Bên cạnh đó, việc sử dụng số liệu lịch sử để tính toán VaR cũng gây nhiều tranh cãi. Nếu dùng số liệu không phù hợp hoặc dãy số liệu quá ngắn sẽ cho ra kết quả không chính xác. Thêm vào đó, số liệu lịch sử không phải lúc nào cũng phản ánh được tương lai nhất là khi có những thay đổi trong hành vi con người.
2.3. Phương pháp Stress testing.
Thuật ngữ “stress testing” (ký hiệu là “ST”), thường được dịch là “Kiểm tra sức chịu đựng” hay “Kiểm tra độ ổn định”, được sử dụng trong nhiều ngành khoa học khác nhau như phần mềm và phần cứng máy tính, cơ khí chế tạo máy, kinh tế tài chính, … Nhìn chung trong tất cả các lĩnh vực, đối tượng của quá trình ST phải trải qua một bài kiểm tra mà ở đó các điều kiện có liên quan, riêng rẽ hay đồng thời, thay đổi theo hướng bất lợi với đối tượng đó, người tiến hành kiểm tra sẽ quan sát và đánh giá biểu hiện của đối tượng trong hoàn cảnh đó để có các quyết định và hành động phù hợp. Trong doanh nghiệp, Stress testing được định nghĩa là một tập hợp các kỹ năng phân tích được sử dụng để thu được các kết quả bằng số hoặc các thước đo khác về tính nhạy cảm của doanh nghiệp đó trước một tập hợp các cú sốc mạnh bất thường nhưng có thể xảy ra .
Trong khi VaR tập trung vào việc nắm bắt các rủi ro xảy ra trong các điều kiện thị trường biến động bình thường thì ST lại xác định những rủi ro xuất hiện từ những biến động bất thường của thị trường – những biến động thường không được nắm bắt bằng mô hình VaR. Do đó, ST là một sự bổ sung hiệu quả đối với mô hình VaR trong việc cố gắng hiểu rõ mức độ rủi ro doanh nghiệp trước biến động của thị trường, cả những biến động thông thường lẫn bất thường.
Hình: Những rủi ro được nắm bắt bởi quá trình ST và bởi mô hình VaR.

Thêm vào đó, ST cũng không cần điều kiện phân phối chuẩn được thỏa mãn nên ST có thể được sử dụng để lượng hóa tác động của các nhân tố rủi ro có phân phối bất thường.

3. Xếp hạng rủi ro (Risk ranking)
Mỗi loại rủi ro được nhận dạng nên được xếp theo thang điểm từ 1 đến 10 ở cả 2 khía cạnh là khả năng xảy ra rủi ro và mức độ ảnh hưởng/ tác động hay tổn thất nếu có khi rủi ro xảy ra.
Thông thường người ta thường xếp hạng rủi ro theo 2 cách
3.1. Cách 1: Lập bảng xếp hạng các rủi ro theo điểm đánh giá rủi ro

Người ta sẽ tiến hành cho điểm theo hai tiêu chí Mức độ tổn thất và Xác suất rủi ro xảy ra. Cột tiếp theo, điểm đánh giá rủi ro là tích của hai cột trước. Cuối cùng, căn cứ vào điểm đánh giá rủi ro, các sự kiện rủi ro sẽ được xếp hạng theo thứ tự, sự kiện nào có điểm cao sẽ được xếp trước.

3.2. Cách 2: Biểu diễn các rủi ro lên hệ tọa độ mức độ ảnh hương – khả năng xảy ra
Rủi ro ở khu vực (II) là khu vực các nhà quản trị phải lo lắng và ưu tiên dồn lực giải quyết vì khả năng xảy ra rủi ro rất cao trong khi nếu thật sự xảy ra thì tác động và tổn thất lại rất lớn.
Rủi ro ở khu vực (I) và (III) là khu vực các nhà quản trị cũng cần quan tâm do hoặc khả năng xảy ra cao nhưng tác động, tổn thất nếu có là không nhiều, hoặc mức độ ảnh hưởng lớn nhưng khả năng xảy ra lại thấp.
Rủi ro ở khu vực (IV) là khu vực các nhà quản trị có thể ít quan tâm nhất do khả năng xảy ra thấp và mức độ ảnh hưởng, tổn thất nếu có cũng không nhiều.

Ví dụ: Đánh giá rủi ro trong quản trị tài sản cố định trong một công ty sản xuất.
Phương pháp: sử dụng Bản đồ rủi ro với 2 chiều mức độ ảnh hưởng và khả năng xảy ra (risk map with impact and likelihood)
Trong đó:
– Khả năng xảy ra được xác định bằng Phương pháp đặt câu hỏi và bản khảo sát cho các chuyên gia và bộ phận kiểm soát nội bộ của công ty.
Dưới đây là bảng minh hoạ kết quả của bản khảo sát về khả năng xảy ra một số rủi ro trong quản trị tài sản cố định của một công ty sản xuất giả định.
Chú thích: Mục hồi đáp: từ 1 đến 8 là những người được hỏi (chuyên gia, kiểm toán viên nội bộ). Mỗi người đưa ra nhận định dựa vào kinh nghiệm cá nhân và thực tế công ty, với mỗi loại rủi ro được đánh giá từ 1 đến 3 (1 = mức độ thấp, 2 = mức độ trung bình, 3 = mức độ cao)
Hồi đáp Total
Rủi ro 1 2 3 4 5 6 7 8 Mức độ trung bình
Rủi ro ghi sai loại chi phí 3 2 3 2 2 3 3 3 Cao
Rủi ro mất cắp tài sản 2 2 1 2 3 2 1 2 Trung bình
Rủi ro phân tách trách nhiệm 3 2 3 2 2 3 2 3 Cao

– Mức độ ảnh hưởng được xác định bằng Phương pháp cảm quan, sử dụng ý kiến của chuyên gia (tương tự phương pháp đặt câu hỏi và bản khảo sát ở trên).
Bảng đánh giá rủi ro trong quản trị tài sản cố định trong một công ty sản xuất giả định:
Tên rủi ro Mô tả Mức độ ảnh hưởng Khả năng xảy ra Đánh giá rủi ro
Rủi ro ghi sai loại chi phí Kế toán ghi sai giữa loại chi phí hoạt động (revenue expenditure) và chi phí vốn cơ bản (capital expenditure) Cao: việc này có thể dẫn đến những sai sót trọng yếu trên BCTC và báo cáo quản trị công ty Trung bình: Mặc dù có thể có một quy trình tốt, những kế toán mới vào nghề có thể gây ra những sai sót, nhất là với đặc thù công ty có nhiều loại chi phí Khu vực I
Rủi ro mất cắp tài sản Nhân viên hoặc bên ngoài có thể đánh cắp máy móc thiết bị nguyên vật liệu… Trung bình: nếu thường xuyên xảy ra, tài sản cố định của công ty có thể bị thâm hụt không nhỏ, dẫn đến khả năng báo cáo tài chính sẽ đánh giá quá cao giá trị khoản mục tài sản cố định. Cao: Khả năng xảy ra là cao Khu vực IV
Rủi ro phân tách trách nhiệm Việc thiếu sự quản lý chặt chẽ có thể tạo điều kiện cho nhân viên thực hiện những bút toán gian lận, không đúng quyền hạn. Cao: Gian lận có thể gây ảnh hưởng lớn đến sự vận hành của công ty Thấp: Một hệ thống kiểm soát nội bộ tốt cũng như những biện pháp quản trị hiệu quả có thể ngăn chặn những hành động gian lận này Khu vực I

IV. ỨNG PHÓ RỦI RO
Sau khi đánh giá và nhận dạng mức độ rủi ro, bước tiếp theo là xác định cách thức phản ứng đối với các rủi ro đã được nhận dạng. Đây là trách nhiệm của nhà quản lý để tiến hành đánh giá cẩn thận khả năng xảy ra rủi ro đã được ước tính và ảnh hưởng tiềm năng, cùng với những cân nhắc liên quan tới lợi ích và chi phí. Nhờ đó, nhà quản lí có thể phát triển những chiến lược phản ứng rủi ro thích hợp.
Đối phó với một rủi ro, nhà quản lí có thể tiếp cận theo 4 phương án:
1. Né tránh:
Đây là chiến lược từ bỏ rủi ro – ví dụ bán một đơn vị kinh doanh đang đối mặt với rủi ro tăng cao, thoát khỏi khu vực địa lí đang trong tình trạng kinh tế khó khăn, hoặc từ bỏ một dòng sản phẩm. Vấn đề phức tạp ở đây là các tổ chức thường không sẵn sàng từ bỏ một dòng sản phẩm cho đến khi rủi ro phát sinh cùng với thiệt hại lớn. Trừ khi một tổ chức có mức ưa thích rủi ro thấp, sẽ rất khó để một doanh nghiệp rời bỏ một khu vực hoặc dòng sản phẩm chỉ bởi rủi ro tiềm ẩn trong tương lai trong khi mọi thứ đang hoạt động tốt ở hiện tại. Né tránh có thể là một chiến lược tiềm ẩn chi phí cao nếu các khoản đầu tư đã được đổ vào một lĩnh vực và sau đó lại bị rút ra để né tránh rủi ro.
Những bài học kinh nghiệm trong quá khứ sẽ hỗ trợ chiến lược này. Nếu tổ chức trước đó đã từng hoạt động trong một số lĩnh vực kém hiệu quả thì đây có thể là cách thức tốt để né tránh rủi ro một lần nữa. Tuy vậy, với các tổ chức mà nhân sự và hệ thống tổ chức thường xuyên thay đổi, những bài học kinh nghiệm này thường bị lãng quên. Do đó, việc hiểu rõ và truyền đạt xuyên suốt mức độ ưa thích rủi ro là nền tảng tốt nhất khi phải quyết định có nên thực hiện chiến lược né tránh rủi ro.
Năm 2008 khi mà thị trường bất động sản đang xảy ra khủng hoảng, Lehman Brothers đã có ý định thành lập một công ty con với tên gọi SpinCo để chuyển toàn bộ hoạt động bất động sản của mình sang cho công ty con đó để cứu vãn tình thế, Tuy nhiên dự định này đã thất bại do Lehman không có vốn và cũng không thể thu hút được vốn đầu tư vào công ty con này.
2. Giảm thiểu.
Rất nhiều quyết định có thể làm giảm các loại rủi ro nhất định. Đa dạng hóa sản phẩm có thể làm giảm mức độ lệ thuộc lớn vào một dòng sản phẩm chính. Phân chia các hoạt động của một trung tâm công nghệ thông tin thành hai khu vực địa lí tách biệt sẽ giảm thiểu rủi ro của một số thất bại nguy hại. Có nhiều chiến lược giảm thiểu rủi ro ở mọi cấp độ mà có thể rất thường ngày nhưng lại là một bước quan trọng trong việc huấn luyện chéo nhân viên.
3. Chia sẻ.
Hầu như tất cả các tổ chức cũng như các cá nhân thường xuyên chia sẻ một số rủi ro của họ bằng cách mua bảo hiểm để làm rào chắn hoặc chia sẻ những rủi ro đó. Ngòai ra cũng có nhiều cách khác hay được áp dụng. Đối với những giao dịch tài chính, một tổ chức có thể tham gia trong hoạt động bảo hiểm rủi ro để bảo vệ khỏi các biến động giá cả có thể xảy ra, chẳng hạn như việc sử dụng hợp đồng quyền chọn (chọn mua hoặc chọn bán) cũng khá phổ biến. Ta cũng có thể chia sẻ rủi ro và lợi ích kinh doanh tiềm năng thông qua các thỏa thuận liên doanh. Tuy nhiên, việc sắp xếp để có một bên khác chấp nhận một số nguy cơ tiềm ẩn chắc chắn sẽ phát sinh một số các chi phí liên quan.
Các khoản vay hợp vốn (Syndicated loans) là một ví dụ điển hình về chia sẻ rủi ro. Khi giá trị của khoản vay quá lớn và không có một ngân hàng nào sẵn sàng cho vay số tiền lớn như vậy, các ngân hàng có thể hợp lại với nhau để cùng nhau cho vay khoản tiền đó.
4. Chấp nhận.
Đây là chiến lược của việc không hành động. Doanh nghiệp có thể “tự bảo hiểm” hơn là mua một hợp đồng bảo hiểm. Họ có thể thường xuyên để dành các nguồn lực để trang trải hoặc bảo vệ mình khỏi một số sự kiện. Về cơ bản, một tổ chức cần xem xét khả năng xảy ra và tác động của rủi ro dưới góc độ mức chịu rủi ro cơ bản của mình và sau đó quyết định có chấp nhận rủi ro hay không. Đối với nhiều loại rủi ro, chấp nhận là chiến lược thích hợp nhất. Tuy nhiên, trong nhiều tình huống, doanh nghiệp lại giả định rủi ro có thể không bao giờ xảy ra “và sẽ không có những chuẩn bị đầy đủ cho những nguy cơ rủi ro có thể xảy đến.
Ban lãnh đạo phải xây dựng một chiến lược ứng phó rủi ro tổng quan cho từng rủi ro bằng cách sử dụng một trong bốn chiến lược tổng quan né tránh, giảm thiểu, chia sẻ và chấp nhận. Trong khi tiến hành như vậy, lãnh đạo cần cân nhắc lợi ích và rủi ro cho từng phương án tiếp cận và lựa chọn phương án nào sẽ phù hợp nhất với mức độ ưa thích rủi ro của công ty.
Tổ chức lúc này nền quay trở lại một vài mục tiêu rủi ro đã được thiết lập trước cũng như khoảng chịu đựng cho từng mục tiêu này. Sau đó, nó nên tái xem xét lại khả năng xảy ra và ảnh hưởng gắn với từng rủi ro trong mục tiêu rủi ro để đánh giá các loại rủi ro và và đánh giá tổng quan kế hoạch phản ứng rủi ro. Điều này sẽ giúp chúng ta hiểu được những rủi ro này sẽ xuyên suốt với mức độ chấp nhận rủi ro của doanh nghiệp như thế nào.
Đối với từng loại rủi ro, các phương án ứng phó thay thế nên được cân nhắc. Đối với từng rủi ro được xác định, không nhất thiết phải liệt kê cả 4 phương án tiếp cận. Đối với mỗi rủi ro, cần ước tính khả năng chiến lược ứng phó sẽ xảy ra với giả thiết rủi ro đang xảy ra. Ảnh hưởng của từng rủi ro tới doanh thu hoặc các phương án đo lường khác cần được thống nhất xuyên suốt quá trình phân tích.
Sau khi một loạt các ứng phó rủi ro được xây dựng, cần phải nhìn vào các rủi ro đã được xác định, một cách khách quan, và cân nhắc các phương án phản ứng rui ro để đánh giá xem những phương án này sẽ giúp tổ chức ở trong vùng chịu đựng rủi ro hay không.
Các rủi ro nên được đánh giá và tóm tắt theo cách thức thống nhất bởi từng đơn vị hoặc ở các cấp độ khác để tạo thành danh mục rủi ro. Quản lí cấp cao có thể nhờ đó tập trung vào các loại rủi ro trong tổ chức để đánh giá tổng ảnh hưởng của chúng và có biện pháp phòng ngừa.