
Sự khác biệt giữa "Risk Appetite" và "Risk Tolerance"
Quản lý rủi ro doanh nghiệp (ERM) nhằm xác định, đánh giá và kiểm soát rủi ro trong giới hạn tổ chức có thể chấp nhận. Để làm được điều này, cần hiểu rõ hai khái niệm quan trọng: Risk Appetite và Risk Tolerance.
Sự khác biệt giữa "Risk Appetite" và "Risk Tolerance"
Trong quản lý rủi ro doanh nghiệp (Enterprise Risk Management - ERM), một trong những mục tiêu quan trọng nhất là xác định, đánh giá và quản lý tất cả các rủi ro mà tổ chức có thể gặp phải. Để thực hiện điều này một cách hiệu quả, các chương trình ERM cần có một quy trình chặt chẽ để xác định các loại rủi ro, mức độ nghiêm trọng của từng loại và cách chúng liên quan đến mức rủi ro tối đa mà tổ chức sẵn sàng chấp nhận.
Để đưa ra quyết định quản lý rủi ro chính xác, các nhà quản lý cần hiểu rõ hai thuật ngữ quan trọng: Risk Appetite và Risk Tolerance.
Risk Appetite là gì?
"Risk Appetite" (Khả năng chấp nhận rủi ro) là mức độ rủi ro mà tổ chức sẵn sàng chấp nhận trong quá trình theo đuổi mục tiêu chiến lược của mình. Mỗi doanh nghiệp đều hiểu rằng không thể loại bỏ hoàn toàn các rủi ro trong hoạt động hàng ngày. Chúng ta sống trong một thế giới đầy rủi ro, và đạt được các mục tiêu kinh doanh đôi khi cần phải chấp nhận một số rủi ro nhất định trong khi tìm cách giảm thiểu hoặc chuyển nhượng các rủi ro khác.
Khả năng chấp nhận rủi ro thể hiện qua chiến lược dài hạn và tổng thể của tổ chức. Đây là mức độ tối đa mà tổ chức sẵn sàng chịu đựng sau khi đã áp dụng các biện pháp kiểm soát, nhằm đảm bảo rằng các mục tiêu dài hạn có thể đạt được mà không gây ra những thiệt hại nghiêm trọng. Điều này có thể bao gồm việc xác định những rủi ro có thể chấp nhận được và những rủi ro mà tổ chức sẽ không bao giờ chấp nhận.
Ví dụ: Một công ty công nghệ có thể xác định rằng họ có một Risk Appetite cao đối với các sáng kiến đổi mới sáng tạo, ngay cả khi điều này có thể dẫn đến một số rủi ro tài chính. Tuy nhiên, họ sẽ không chấp nhận rủi ro trong việc tiết lộ thông tin cá nhân của khách hàng.
Risk Tolerance là gì?
"Risk Tolerance" (Mức độ chấp nhận rủi ro) là mức độ sẵn sàng chấp nhận sự lệch lạc so với mức rủi ro mà tổ chức đã xác định trong Risk Appetite. Trong khi Risk Appetite có tính chất chiến lược và tổng thể, thì Risk Tolerance lại mang tính chiến thuật và cụ thể hơn, giúp đánh giá rủi ro trong từng sáng kiến hoặc dự án cụ thể. Đây là sự đánh giá chi tiết về mức độ rủi ro mà tổ chức có thể chấp nhận trong một tình huống nhất định, sau khi đã áp dụng các biện pháp kiểm soát.
Mức độ chấp nhận rủi ro này giúp tổ chức xác định chính xác rủi ro nào có thể chịu đựng được trong mỗi sáng kiến, và các rủi ro nào cần phải được giảm thiểu hoặc loại bỏ. Ví dụ, trong một dự án cụ thể, tổ chức có thể xác định rằng họ có thể chấp nhận một số sai lệch nhỏ so với Risk Appetite, nhưng nếu sai lệch đó vượt quá ngưỡng đã xác định, họ sẽ yêu cầu thực hiện các biện pháp bổ sung.
Sự liên kết giữa Risk Appetite và Risk Tolerance
Mối quan hệ giữa Risk Appetite và Risk Tolerance có thể được hiểu dễ dàng qua ví dụ về giới hạn tốc độ trên đường: chính phủ đặt ra các giới hạn tốc độ để kiểm soát mức độ rủi ro đối với người tham gia giao thông, giới hạn tốc độ là một biểu hiện của Risk Appetite – mức độ rủi ro mà xã hội chấp nhận trên các tuyến đường khác nhau. Mặc dù các quy định về tốc độ có thể được thiết kế để giảm thiểu rủi ro cho người tham gia giao thông, các tài xế thường xuyên lái xe vượt quá giới hạn tốc độ mà không bị xử phạt, miễn là họ không vượt quá mức cho phép quá nhiều. Đây chính là Risk Tolerance – mức độ mà cơ quan thực thi pháp luật có thể chấp nhận sự lệch lạc từ mức độ rủi ro mà họ đã xác định.
Chính phủ có thể quyết định rằng mức độ chấp nhận rủi ro khi lái xe ở tốc độ 60 mph là hợp lý đối với tình huống trên các con đường nông thôn, nhưng khi trên cao tốc, mức độ rủi ro có thể chấp nhận được có thể là 80 mph. Tuy nhiên, các tài xế vẫn có thể vượt quá giới hạn này trong một phạm vi nhất định mà không bị phạt.
Ví dụ thực tế về Risk Appetite và Risk Tolerance
Trong thực tế, các tổ chức không thể luôn định lượng các quyết định về rủi ro như trong ví dụ giới hạn tốc độ. Thay vào đó, các quyết định về rủi ro thường được đưa ra dựa trên các đánh giá chủ quan của các nhà lãnh đạo doanh nghiệp, trong đó có sự tham gia của các chuyên gia trong lĩnh vực cụ thể. Các đánh giá và quyết định này thường được ghi lại trong các tuyên bố về Risk Appetite và Risk Tolerance của tổ chức.
Một ủy ban ERM có thể đưa ra tuyên bố về Risk Appetite của tổ chức như sau: "Tổ chức của chúng tôi nhận thức rõ rằng có những rủi ro cố hữu trong hoạt động kinh doanh và việc chấp nhận rủi ro là điều cần thiết để đạt được các mục tiêu chiến lược. Chương trình quản lý rủi ro doanh nghiệp của chúng tôi đánh giá rủi ro một cách có hệ thống thông qua phương pháp chi phí/lợi ích và xác định các chiến lược xử lý rủi ro phù hợp. Là một tổ chức, chúng tôi có một khẩu vị rủi ro thấp đối với các rủi ro liên quan đến mất mát thông tin cá nhân của khách hàng và nhân viên và một khẩu vị rủi ro vừa phải đối với các rủi ro tài chính hoặc các vi phạm an ninh mạng không liên quan đến thông tin cá nhân nhưng có thể ảnh hưởng đến các mục tiêu khác của doanh nghiệp."
Sau đó, ủy ban ERM có thể đưa ra các tuyên bố về Risk Tolerance đối với từng sáng kiến cụ thể. Ví dụ, một dự án có thể được đánh giá là nằm trong Risk Appetite của tổ chức và nhận được thông báo như sau: "Ủy ban ERM đã đánh giá rủi ro của dự án X và xác định rằng nó có khả năng gây ra mất mát thông tin cá nhân ở mức thấp, do đó, nằm trong phạm vi Risk Tolerance của chúng tôi."
Tuy nhiên, một dự án khác có thể vượt quá Risk Tolerance của tổ chức. Trong trường hợp này, ủy ban ERM có thể yêu cầu nhóm dự án phải xem xét lại các rủi ro liên quan và thực hiện các biện pháp kiểm soát bổ sung để giảm thiểu, tránh hoặc chuyển nhượng rủi ro đó, nhằm đưa dự án về mức độ chấp nhận được.
Kết luận
Việc xác định và ghi nhận Risk Appetite của tổ chức là một bước quan trọng trong quá trình xây dựng hệ thống quản lý rủi ro chín muồi. Khả năng chấp nhận rủi ro cung cấp một thước đo giúp tổ chức đánh giá và đo lường rủi ro một cách nhất quán, đồng thời tạo cơ sở để sử dụng các tuyên bố Risk Tolerance nhằm hướng dẫn các công việc giảm thiểu rủi ro trong tương lai. Một hệ thống ERM hiệu quả không chỉ giúp tổ chức giảm thiểu rủi ro mà còn tối ưu hóa cơ hội để đạt được các mục tiêu chiến lược.
Để hiểu rõ hơn về cách thức xây dựng và quản lý rủi ro trong doanh nghiệp, hãy tham gia khóa học chuyên sâu về tài chính của FTMS và tìm ra những chiến lược quản lý rủi ro hiệu quả cho tổ chức của bạn!