COSO - Ủy ban các tổ chức hỗ trợ- là một tổ chức tự nguyện của khu vực tư nhân thuộc Hội đồng quốc gia Hoa Kỳ về chống gian lận báo cáo tài chính, còn gọi là Ủy ban Treadway. (COSO - the Committee of sponsoring Organizations- is a voluntary private sector organization comprising the National Commission on Fraudulent Financial Reporting, also called Treadway Commission). COSO được thành lập nhằm nghiên cứu về kiểm soát nội bộ và các nguyên nhân dẫn đến báo cáo tài chính gian lận. (COSO was established to study the internal control and the causal factors that can lead to fraudulent financial reporting). Tổ chức này còn tư vấn cho các công ty đại chúng, các nhà kiểm toán độc lập, Ủy ban Chứng khoán và các cơ quan quản lý khác cũng như các tổ chức giáo dục, đào tạo. (It also developed recommendations for public companies and their independent auditors, for the SEC and other regulators, and for educational institutions).
COSO chủ trương yêu cầu các doanh nghiệp phải thực hiện quản lý rủi ro doanh nghiệp (gọi tắt là ERM) đầy đủ nhằm kết nối tốt hơn việc giám sát rủi ro tiềm ẩn với việc tạo ra và bảo vệ giá trị cho cổ đông. (COSO advocates that organizations should implement full enterprise risk management (ERM) to better connect potential risk oversight with the creation and protection of stakeholder value). ERM là một quy trình cho phép rà soát từ trên xuống dưới một cách toàn diện và hiệu quả những rủi ro chính mà một doanh nghiệp phải đối mặt. (ERM is a process that provides a robust and holistic top-down view of key risks facing an organization).
Nhằm giúp hội đồng quản trị và ban quản lý của các doanh nghiệp nắm bắt được những yếu tố quan trọng trong cách tiếp cận về quản lý rủi ro cho doanh nghiệp nói chung, từ năm 2004, COSO đã sử dụng “Cơ chế ERM tích hợp”. (To help boards and management understand the critical elements of an enterprise-wide approach to risk management, in 2004 COSO issued its “Enterprise Risk Management - Integrated Framework”). Theo đó, ERM được định nghĩa là một quy trình quản lý rủi ro doanh nghiệp chịu tác động của hội đồng quản trị, ban giám đốc và những nhân sự khác bên trong doanh nghiệp, áp dụng vào việc lập chiến lược cho toàn công ty, được thiết kế nhằm xác định những sự kiện, tình huống có thể tác động đến doanh nghiệp. (By which, ERM is defined as follows Enterprise risk management is a process, affected by the entitys board of directors, management, and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity). Cơ chế này cho phép quản trị rủi ro trong khuôn khổ khẩu vị rủi ro của doanh nghiệp, đảm bảo việc đạt được mục tiêu của doanh nghiệp. (The framework ensures risk management to be within the risk appetite, to provide reasonable assurance regarding the achievement of objectives).
Cơ chế “ERM tích hợp” của COSO nhấn mạnh 4 lĩnh vực có đóng góp vào hoạt động giám sát hội đồng quản trị liên quan đến quản lý rủi ro doanh nghiệp. (COSOs Enterprise Risk Management – Integrated Framework highlights 4 areas that contribute to board oversight with regard to enterprise risk management):
(1) Hiểu được chính sách, quan điểm về rủi ro của công ty và thống nhất với khẩu vị rủi ro của công ty. (Understand the entitys risk philosophy and concur with the entitys risk appetite).
(2) Nắm được phạm vi hoạt động quản lý rủi ro hiệu quả của ban quản lý doanh nghiệp (Know the extent to which management has established effective enterprise risk management of the organization).
(3) Rà soát hồ sơ doanh nghiệp về rủi ro trong quá khứ và so sánh với khẩu vị rủi ro của doanh nghiệp. (Review the entitys portfolio of risk and consider it against the entitys risk appetite).
(4) Có đầy đủ thông tin về các rủi ro quan trọng nhất và thông tin về việc ban quản lý doanh nghiệp có phản ứng kịp thời với các rủi ro hay không. (Be apprised of the most significant risks and whether management is responding appropriately).
1. Môi trường bên trong (Internal Environment) – Môi trường bên trong được tạo nên bởi thái độ, quan điểm của doanh nghiệp, thiết lập nền tảng để từ đó rà soát và xác định rủi ro bằng đội ngũ cán bộ ngay bên trong doanh nghiệp, bao gồm định hướng, chính sách về quản lý rủi ro và khẩu vị rủi ro, các giá trị đạo đức và phẩm chất nghề nghiệp, môi trường làm việc của các cán bộ đó. (The internal environment encompasses the tone of an organization, and sets the basis for how risk is viewed and addressed by an entitys people, including risk management philosophy and risk appetite, integrity and ethical values, and the environment in which they operate).
2. Thiết lập mục tiêu (Objective Setting) – Cần xác định mục tiêu trước khi ban quản lý xác định các tình huống có khả năng ảnh hưởng đến việc đạt được mục tiêu của doanh nghiệp. (Objectives must exist before management can identify potential events affecting their achievement).
3. Nhận diện tình huống (Event Identification) – Các tình huống bên trong và bên ngoài có ảnh hưởng đến việc đạt được mục tiêu của doanh nghiệp cần được nhận diện, cần phân biệt giữa rủi ro và cơ hội. (Internal and external events affecting achievement of an entitys objectives must be identified, distinguishing between risks and opportunities).
4. Đánh giá rủi ro (Risk Assessment) – Rủi ro được phân tích, xem xét mức độ và tác động, làm cơ sở để xác định cách thức quản lý rủi ro. (Risks are analyzed, considering likelihood and impact, as a basis for determining how they should be managed).
5. Phản ứng với rủi ro (Risk Response) – Ban quản lý lựa chọn cách thức phản ứng với rủi ro - phòng tránh, chấp nhận, loại bỏ hay chia sẻ rủi ro - từ đó xây dựng một chuỗi hành động tác động tới rủi ro phù hợp với mức độ chấp nhận rủi ro và khẩu vị rủi ro của doanh nghiệp. (Management selects risk responses – avoiding, accepting, reducing, or sharing risk – developing a set of actions to align risks with the entitys risk tolerances and risk appetite).
6. Hoạt động kiểm soát (Control Activities) – Các chính sách và quy trình được xây dựng và triển khai áp dụng nhằm giúp bảo đảm các hành động phản ứng với rủi ro được thực hiện một cách hiệu quả. (Policies and procedures are established and implemented to help ensure the risk responses are effectively carried out).
7. Thông tin và truyền thông (Information and Communication) – Thông tin liên quan cần được xác định, nắm bắt và truyền đạt một cách kịp thời để những người liên quan có thể thực hiện được trách nhiệm của mình. (Relevant information is identified, captured, and communicated in a form and timeframe that enable people to carry out their responsibilities).
8. Giám sát (Monitoring) – Toàn bộ quá trình ERM cần được giám sát và điều chỉnh nếu cần. (The entirety of enterprise risk management is monitored and modifications made as necessary). Giám sát được thực hiện thông qua quá trình quản lý liên tục hoặc quá trình đánh giá độc lập, hoặc thông qua cả hai quá trình trên. (Monitoring is accomplished through ongoing management activities, separate evaluations, or both)