Quản trị rủi ro: Chiến lược & Quy trình trong thời đại mới

Lý thuyết quản trị rủi ro

Để xây dựng khung quản lý rủi ro hiệu quả, doanh nghiệp trước tiên cần hiểu được sự khác nhau giữa các loại rủi ro. Nghiên cứu thực tế cho thấy có 3 loại rủi ro phổ biến, có thể ảnh hưởng nghiêm trọng đến chiến lược và sự tồn tại của tổ chức.

• Rủi ro có thể phòng ngừa – phát sinh trong nội bộ tổ chức – là dạng rủi ro có thể kiểm soát được, cần được loại bỏ hoặc phòng tránh. Đó có thể là một hành động trái phép, phi đạo đức hoặc không phù hợp của nhân viên/ quản lý, hoặc sự cố trong các quy trình hoạt động.
• Rủi ro chiến lược – tức những rủi ro mà doanh nghiệp tự nguyện chấp nhận – nhằm đạt được những bước tiến vượt trội.
• Rủi ro từ bên ngoài – đến từ những sự kiện bên ngoài và nằm ngoài tầm ảnh hưởng/ khả năng kiểm soát của công ty. Đó có thể là thiên tai, tình hình chính trị hoặc biến động của nền kinh tế.

Đối với mỗi dạng rủi ro khác nhau, doanh nghiệp cần điều chỉnh quy trình quản lý cho phù hợp. Với những rủi ro có thể ngăn ngừa, cần quản lý trên quy tắc đảm bảo mang lại hiệu quả cao. Đổi lại, những rủi ro chiến lược lại yêu cầu doanh nghiệp thảo luận và công khai rõ ràng. Với rủi ro đến từ bên ngoài, doanh nghiệp có thể sử dụng công cụ phân tích và dự đoán để giảm thiểu tác động từ chúng.

1. Rủi ro có thể phòng tránh được (Preventable risks)

Dạng rủi ro này phát sinh trong nội bộ tổ chức, cần phòng tránh hoặc loại bỏ hoàn toàn. Đó có thể là hành vi phi pháp, trái đạo đức hoặc sự cố trong quá trình vận hành. Doanh nghiệp không cần phải siết chặt quá mức, mà nên “thả lỏng” hơn với những khuyết điểm/ sai sót của nhân viên – nếu những vấn đề đó không gây thiệt hại quá lớn.

Tuy vậy, loại rủi ro trên nhìn chung vẫn cần được loại bỏ. Lợi nhuận ngắn hạn từ những hành vi sai trái có thể ảnh hưởng đến hoạt động lâu dài của doanh nghiệp.

Để quản trị rủi ro dạng này, tích cực phòng tránh là hướng đi sáng suốt nhất. Doanh nghiệp có thể soạn thảo văn bản hướng dẫn hoạt động trong khuôn khổ nội bộ, quy định những hành vi được/ không được phép tại công ty. Mỗi tổ chức có những quy định riêng, phù hợp với tính chất và văn hóa doanh nghiệp.

Việc lường trước tất cả các tình huống có thể xảy ra là không thể – vì vậy, bước đầu tiên để quản trị rủi ro là soạn thảo văn bản hướng dẫn rõ ràng cho nhân viên về mục tiêu và giá trị của tổ chức.

• Sứ mệnh tổ chức:

Tầm nhìn và sứ mệnh của một doanh nghiệp cũng giống như kim chỉ nam – dẫn lối cho các thành viên luôn đi đúng hướng.

Ví dụ: Phương châm của Johnson & Johnson nêu rõ: “Chúng tôi tin rằng mình có trách nhiệm trước hết đối với các bác sĩ, y tá và bệnh nhân, đối với các ông bố bà mẹ, cũng như tất cả những khách hàng sử dụng sản phẩm và dịch vụ của chúng tôi.” Điều này giúp nhân viên của Johnson & Johnson hiểu rõ đâu là điều cần được ưu tiên trong mọi tình huống. Và những phương châm/khẩu hiệu như thế này cần được truyền đạt đến tất cả nhân viên, để họ hiểu và ghi nhớ.

• Giá trị tổ chức:

Doanh nghiệp cần xác định rõ giá trị của tổ chức, nhằm điều hướng hành vi của nhân viên trong tương tác với các bên liên quan (khách hàng, nhà cung cấp, đồng nghiệp, cộng đồng, cổ đông, v.v…). Điều này giúp nhân viên tránh vi phạm các tiêu chuẩn của công ty, ảnh hưởng đến danh tiếng cũng như lợi nhuận doanh nghiệp.

• Giới hạn hành vi trong tổ chức:

Một nền văn hóa doanh nghiệp vững mạnh cần làm rõ những hành vi không được phép làm trong nội bộ. Doanh nghiệp có thể đưa ra định nghĩa cụ thể để kiểm soát hoạt động của nhân viên. Những hành vi gây xung đột lợi ích, chống độc quyền, bí mật thương mại, thông tin mật, phân biệt đối xử và quấy rối cần được đưa vào bộ quy tắc ứng xử rõ ràng.

Phương châm và quy định không thể đảm bảo loại bỏ hoàn toàn những hành vi vi phạm trong tổ chức. Chính vì vậy, bản thân nhà lãnh đạo cũng cần làm gương để nhân viên hiểu và tuân theo những giá trị mà tổ chức đặt ra. Cần phân biệt rõ vai trò của các thành viên, đồng thời tổ chức các chương trình nâng cao nhận thức cho nhân viên. Bộ phận kiểm toán nội bộ cũng cần kiểm tra thường xuyên về mức độ tuân thủ của nhân viên để kịp thời phát hiện và ngăn chặn khi có vi phạm xảy ra.

2. Rủi ro chiến lược (Strategy risks)

Đây là dạng rủi ro mà công ty tự nguyện chấp nhận nhằm mục đích lợi nhuận. Lấy ví dụ, ngân hàng chịu rủi ro tín dụng khi cho vay tiền; hoặc nhiều công ty chấp nhận rủi ro thua lỗ khi thực hiện các hoạt động nghiên cứu và phát triển (R&D).

Khác với dạng rủi ro có thể phòng tránh, rủi ro chiến lược là một phần trong chiến lược kinh doanh. Để đạt được lợi nhuận cao, doanh nghiệp phải chấp nhận rủi ro – xem đó là động lực để nắm bắt lợi thế thị trường.

Quản trị rủi ro chiến lược không thể thực hiện dựa trên quy tắc. Thay vào đó, doanh nghiệp cần một hệ thống quản lý rủi ro riêng biệt để giảm xác suất và tác động gây ra. Nếu thực hiện tốt, đây sẽ là cơ sở để công ty sẵn sàng tham gia các quyết định kinh doanh mạo hiểm – nhưng tiềm năng lợi nhuận xứng đáng.

3. Rủi ro từ bên ngoài (External risks)

Đây là dạng rủi ro phát sinh từ các sự kiện bên ngoài, nằm ngoài tầm ảnh hưởng hoặc khả năng kiểm soát của công ty. Một số ví dụ có thể kể đến như: thiên tai, tình hình chính trị bất ổn, biến động trong nền kinh tế vĩ mô, đại dịch toàn cầu, v.v…

Quản trị rủi ro dạng này đòi hỏi một phương pháp tiếp cận khác. Vì không có khả năng tác động đến những sự kiện kể trên, ban lãnh đạo cần tập trung vào việc xác định mối nguy càng sớm càng tốt – từ đó có kế hoạch giảm thiểu tác động của chúng.

Quản lý dựa trên quy tắc cứng nhắc không mang lại hiệu quả trong phòng chống rủi ro từ bên ngoài. Thay vào đó, đối thoại cởi mở và minh bạch là giải pháp được khuyến khích. Tuy nhiên, đây là điều không đơn giản – đặc biệt ở những doanh nghiệp “cổ điển”, đã hoạt động lâu năm và có xu hướng “bảo thủ” khi ra quyết định.

Đọc thêm: Chiến lược thích ứng với trạng thái bình thường mới

Thách thức trong công tác quản trị rủi ro

Nhiều nghiên cứu đã chỉ ra rằng, người ta có xu hướng đánh giá cao khả năng ảnh hưởng của bản thân đến các sự kiện xuất hiện một cách ngẫu nhiên. Chúng ta thường quá tự tin vào độ chính xác của các dự báo và đánh giá rủi ro của bản thân – trong khi lại thiếu cân nhắc đến những kết quả có thể xảy ra.

Bên cạnh đó, phần lớn cấp lãnh đạo tự để mình bị “bó buộc” bởi những con số cố định, bất chấp việc biết trước nguy cơ được cảnh báo từ bên ngoài. Khi tham vấn ý kiến với các bên liên quan, ta có xu hướng tiếp nhận thông tin giúp hỗ trợ dự án – trong khi loại bỏ thông tin ngược lại. Khi chiều hướng sự việc đi khác dự tính, ta càng có xu hướng “đâm đầu”, dốc sức “chữa cháy” – bất chấp những hậu quả đã và sẽ xảy ra.

Thành kiến ảnh hưởng đáng kể đến khả năng thực hiện các buổi đối thoại cởi mở. Đặc biệt, với những nhóm nhân viên “ít có tiếng nói”, họ thường chọn theo một quan điểm chung cho cả nhóm. Trong trường hợp này, những người không nằm trong nhóm có thể vấp phải sự phản đối – dù ý kiến họ đưa ra là có giá trị. Suy nghĩ theo “bầy đàn” càng có khả năng xảy ra khi cấp quản lý/ trưởng nhóm quá tự tin, muốn “dĩ hòa vi quý”, sợ ảnh hưởng đến quyền hạn của họ, v.v…

Thành kiến cá nhân và tư duy “bầy đàn” là nguyên nhân giải thích vì sao nhiều doanh nghiệp bỏ qua các mối đe dọa tiềm ẩn trong quản trị rủi ro. Thay vì giảm thiểu, điều này – vô hình chung – càng dẫn tới nguy cơ rủi ro cao hơn. Người ta làm lơ trước các vấn đề, cho rằng những lời cảnh báo sớm là sai lệch – thay vì xem đó như nguồn thông tin tham khảo hữu ích.

Quy trình quản lý rủi ro hiệu quả phải kiểm soát được tầm ảnh hưởng của các thành kiến. Gentry Lee, kỹ sư hệ thống trưởng tại Jet Propulsion Laboratory (JPL), cho biết:

Giảm thiểu rủi ro là một nhiệm vụ phức tạp và cần tính toán kỹ lưỡng, không phải là hành động mang tính bản năng.

Các nhà khoa học tên lửa trong nhóm dự án JPL là những sinh viên tốt nghiệp hàng đầu từ các trường đại học ưu tú – nhiều người trong số họ chưa từng trải qua thất bại ở trường hoặc nơi làm việc. Thách thức lớn nhất của Lee trong việc thiết lập văn hóa quản trị rủi ro tại JPL là khiến các nhóm dự án cảm thấy thoải mái khi đề cập đến những điều có thể xảy ra với kế hoạch thiết kế của họ.

Việc quy định những việc nên/ không nên làm sẽ không mang lại hiệu quả trong trường hợp này. Trên thực tế, hướng tiếp cận đó có thể gây “phản tác dụng”, dẫn tới tâm lý “xét nét”, gây khó khăn trong thảo luận và phát huy tư duy sáng tạo. Quản trị rủi ro chiến lược và từ bên ngoài đòi hỏi kết hợp nhiều cách tiếp cận rất khác nhau.