CHƯƠNG 1. CƠ SỞ LÝ LUẬN VỀ RỦI RO HOẠT ĐỘNG VÀ QUẢN TRỊ RỦI RO HOẠT ĐỘNG 1. Cơ sở lý luận về rủi ro hoạt động 1. Khái niệm rủi ro Chủ đề liên quan tới rủi ro trong doanh nghiệp đã được nghiên cứu trong nhiều bối cảnh môi trường kinh doanh và các lĩnh vực khác nhau của doanh nghiệp, chẳng hạn như quá trình ra quyết định quản lý (March và Sapira, 1987; Yates và Stone, 1992), chiến lược (Ruefli và cộng sự, 1999; Sitkin và Pablo, 1992); Wiseman và Bromiley, 1991), hoạt động (Newman và cộng sự, 1993; Pagell và Krause, 1999), kế toán (Ashton, 1998; Baucus và cộng sự, 1993), tài chính (Chow và Denning, 1994; Ho và Pike, 1989).
Tuy xuất hiện nhiều những định nghĩa khác nhau về rủi ro, các nhà nghiên cứu thường tiếp cận chủ đề rủi ro doanh nghiệp từ trường phái truyền thống và hiện đại. Theo trường phái truyền thống, rủi ro doanh nghiệp có thể được hiểu là sự kiện bất lợi, bất ngờ xảy ra gây ra tổn thất cho doanh nghiệp và con người. Theo Ủy ban Chống gian lận khi lập Báo cáo tài chính thuộc Hội đồng quốc gia Hoa Kỳ (COSO) (2004), “rủi ro là khả năng mà một sự kiện có thể xảy ra và ảnh hưởng xấu đến việc đạt được những mục tiêu nêu trong báo cáo tài chính”. Tương tự, Phan Thanh Tùng (2020) cho rằng “rủi ro là những bất trắc ngoài ý muốn xảy ra trong quá trình sản xuất và kinh doanh của doanh nghiệp, tác động tiêu cực đến sự tồn tại và phát triển của doanh nghiệp”.
Yates và Stones (1992) đã xác định ba cấu phần chính của rủi ro bao gồm: 1) các yếu tố tổn thất, 2) mức độ tổn thất, 3) sự không chắc chắn liên quan đến tổn thất. Tiếp cận từ quan điểm trung hòa và hiện đại, Viện tiêu chuẩn Anh quốc định nghĩa: “rủi ro là sự kiện không chắc chắn tác động đến các kết quả kinh doanh hoặc mục tiêu của dự án”. Tương tự, tiêu chuẩn ISO 31000:2018 của Tổ chức Tiêu chuẩn hóa Quốc tế và COSO (2017) đã đưa ra khái niệm “rủi ro của doanh nghiệp là ảnh hưởng của các sự kiện không chắc chắn tới những mục tiêu của doanh nghiệp”. Theo Viện Quản lý Dự án Hoa Kỳ (PMI) rủi ro được định nghĩa là “một điều kiện hoặc sự kiện không chắc chắn trong tương lai, có thể ảnh hưởng tiêu cực hoặc tích cực đến 9 một hoặc nhiều mục tiêu dự án”.
Các quan điểm này đều thống nhất rủi ro là sự kiện không chắc chắn và có thể tác động tới mục tiêu của dự án và doanh nghiệp. Tuy nhiên bản chất của tác động không được chỉ rõ là tác động tiêu cực hay tích cực, như vậy có thể hiểu rủi ro có thể mang lại cả thách thức hoặc cơ hội cho các doanh nghiệp. Bên cạnh đó, mặc dù rủi ro và sự không chắc chắn thường hay được sử dụng thay thế cho nhau, sự khác biệt giữa chúng là vô cùng rõ ràng. Knight (1921) đã nêu ra sự khác biệt giữa rủi ro và sự không chắc chắn, trong đó “rủi ro là những sự kiện mà xác suất xảy ra có thể được tính toán, trái ngược với những sự kiện không chắc chắn mà việc phân tích là không thể thực hiện được do sự xuất hiện của chúng không tuân theo một mô hình rõ ràng”.
Nghiên cứu này tiếp cận khái niệm rủi ro doanh nghiệp theo trường phái trung hòa và hiện đại. Mặc dù được diễn đạt theo nhiều cách khác nhau, luận án nhận thấy bản chất và nội hàm của rủi ro doanh nghiệp là những sự kiện không chắc chắn có thể xảy ra trong tương lai và tạo ra thách thức hoặc cơ hội, từ đó ảnh hưởng đến mục tiêu của doanh nghiệp. Khái niệm rủi ro hoạt động Mặc dù thuật ngữ “rủi ro hoạt động” (Operational Risk) đã tồn tại từ năm 1991 (COSO, 1991), thuật ngữ này không được phổ biến rộng rãi cho đến giữa và cuối những năm 1990 khi các đề xuất Basel II 4 được phát triển và công bố. Trước đây, rủi ro hoạt động thường chỉ gắn liền với lĩnh vực ngân hàng, tuy nhiên, trong thời gian gần đây, rủi ro hoạt động đã được mở rộng và trở thành vấn đề quan trọng của các doanh nghiệp từ mọi lĩnh vực như: năng lượng, vận tải, sức khỏe, kế toán và kiểm toán, giáo dục, v.
Crouchy & cộng sự (2001) cho rằng “rủi ro hoạt động là rủi ro rằng các sự kiện bên ngoài, hoặc những thiếu sót trong hệ thống kiểm soát nội bộ hoặc hệ thống thông tin sẽ dẫn đến tổn thất - cho dù tổn thất đó có được dự đoán trước ở một mức độ nào đó hay hoàn toàn bất ngờ”. Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) (2003) đã định nghĩa “rủi ro hoạt động là rủi ro mất mát hoặc thua lỗ do vi phạm các biện pháp kiểm soát trong doanh nghiệp, bao gồm nhưng không giới hạn ở việc vượt quá giới hạn không xác định, giao dịch 4 Basel II là phiên bản thứ hai của Hiệp ước Basel, trong đó đưa ra các nguyên tắc chung và các luật ngân hàng của Ủy ban Basel về Giám sát Ngân hàng. 10 trái phép hoặc gian lận trong giao dịch, nhân viên thiếu kinh nghiệm, hệ thống máy tính không ổn định và dễ dàng bị truy cập”. Định nghĩa phổ biến nhất về rủi ro hoạt động được phát triển bởi Robert Morris Associates và cộng sự (1999) và Ủy ban Basel (2011), theo đó, “rủi ro hoạt động là rủi ro gây ra tổn thất trực tiếp hoặc gián tiếp do các nguyên nhân như con người, sự không đầy đủ hoặc vận hành không tốt các quy trình, hệ thống và các sự kiện khách quan bên ngoài”.
Định nghĩa này đã được mở rộng hơn về phạm vi tại hiệp ước Basel II (2014), bao gồm thêm các loại rủi ro về con người, rủi ro trong kiểm soát nội bộ, rủi ro công nghệ, rủi ro từ đối tác, rủi ro pháp lý nhưng không bao gồm rủi ro chiến lược và rủi ro danh tiếng. Theo Chernobai & cộng sự (2008), hầu hết các tổn thất xảy ra từ rủi ro hoạt động đều có quy mô tương đối nhỏ - thực tế là những tổn thất này diễn ra thường xuyên khiến chúng có thể dự đoán được và thường có thể phòng ngừa được, ví dụ về các tổn thất hoạt động như liên quan đến lỗi thiết bị và máy móc. Các sự kiện liên quan đến rủi ro hoạt động nghiêm trọng hơn về mức độ tổn thất phát sinh bao gồm việc không tuân thủ thuế, hoạt động giao dịch trái phép, hoạt động gian lận nội bộ lớn, gián đoạn kinh doanh do thiên tai và phá hoại. Mặc dù rủi ro hoạt động mang lại những thách thức và tổn thất, nhưng chúng cũng có thể mở ra cơ hội cho sự phát triển và đổi mới của doanh nghiệp.
Ví dụ, khi triển khai công nghệ mới hoặc cập nhật quy trình, các nhân viên có thể thích ứng chậm khi phải học và sử dụng các công cụ mới, dẫn đến những sai sót trong nghiệp vụ hoặc hoạt động kinh doanh của doanh nghiệp. Tuy nhiên, thông qua việc đào tạo kỹ lưỡng và chu đáo, các tổ chức có thể không chỉ vượt qua những khó khăn ban đầu mà còn nâng cao được lợi thế cạnh tranh, giảm thiểu chi phí và thúc đẩy hiệu quả hoạt động trong dài hạn. Từ những định nghĩa trên và cách tiếp cận khái niệm rủi ro từ quan điểm trung hòa, rủi ro hoạt động có thể có thể được hiểu là những sự kiện không chắc chắn liên quan tới con người, quy trình, hệ thống và các sự kiện không chắc chắn bên ngoài ảnh hưởng tới mục tiêu của doanh nghiệp 1. Đặc điểm của rủi ro hoạt động Đặc điểm đầu tiên của rủi ro hoạt động là sự đa dạng của các rủi ro, gây khó khăn cho việc giới hạn số lượng các khía cạnh cần thiết để mô tả nó (Moosa, 2007).
Buchelt và Untregger (2004) mô tả rủi ro hoạt động là “một tập hợp rủi ro rất đa dạng 11 và có mối liên hệ với nhau với các nguồn gốc khác nhau”. Tương tự như vậy. Ủy ban Basel (2003) ngụ ý tính đa dạng của rủi ro hoạt động bằng cách tuyên bố rằng “nó có thể xảy ra trong bất kỳ hoạt động, chức năng, hoặc đơn vị nào của tổ chức”. Hoffman (2002) ngầm thừa nhận đặc điểm của sự đa dạng, lập luận rằng rủi ro hoạt động nằm trong tất cả các ngành nghề kinh doanh và trải rộng trên toàn bộ hoạt động trong chuỗi giá trị của tổ chức.
Do tính đa dạng và các yếu tố bên ngoài khác, rủi ro hoạt động thường khó đo lường, nhận biết và quản lý hơn các loại rủi ro khác (KPMG, 2003). Về khó khăn của việc lập mô hình và định lượng rủi ro hoạt động, Samad-Khan và cộng sự (2006) lập luận rằng “việc lập mô hình rủi ro hoạt động rất khác với việc lập mô hình các loại rủi ro khác vì về cơ bản, việc lập mô hình rủi ro hoạt động là giải quyết vấn đề dữ liệu”. Doerig (2003) đã mô tả một vài nguyên nhân nhằm giải thích cho sự khó khăn trong việc quản trị các rủi ro hoạt động: (i) các định nghĩa chưa nhất quán, (ii) các khung quản trị khác nhau, (iii) dữ liệu mơ hồ, (iv) các mô hình phức tạp và/hoặc chưa đáng tin cậy, (v) các nghiên cứu học thuật không áp dụng được trong thực tế. Tiếp theo, rủi ro hoạt động thường gắn liền với rủi ro tín dụng và rủi ro thị trường, và sự thất bại về rủi ro hoạt động trong điều kiện thị trường căng thẳng có thể có khả năng xảy ra và gây thiệt hại rất lớn.
Ví dụ, trong trường hợp sụp đổ của ngân hàng Barings (1995), đó là hậu quả của các sự kiện và sự giám sát quản lý không hiệu quả đối với các hoạt động giao dịch tại Singapore và chỉ số Nikkei 5 sụt giảm mạnh sau một trận động đất - khiến ngân hàng 233 tuổi lỗ hàng tỷ USD. Tuy nhiên, Koker (2006), Rao và Dev (2016) đã xác định hai đặc điểm của rủi ro hoạt động để phân biệt với rủi ro tín dụng và rủi ro thị trường: Trước hết, rủi ro hoạt động không liên quan chặt chẽ đến bất kỳ chỉ số tài chính nào. Thứ hai, rủi ro hoạt động phụ thuộc tương đối nhiều vào văn hóa của các đơn vị kinh doanh so với hai loại rủi ro trên. Một đặc điểm khác được xác định bởi Kaiser và Kohne (2006) cho rằng rủi ro hoạt 5 Chỉ số Nikkei là chỉ số đại diện cho thị trường chứng khoán Nhật Bản, thể hiện sức mạnh của các doanh nghiệp nổi bật nhất trong nền kinh tế nước này.