: https://m.me/nguyenvulong.cia
.
Cảm nhận của học viên về khoá học CIA với Team #LongNguyenCIA
: http://bit.ly/ReviewsTeamLongNguyenCIA
.
LÀM SAO ĐỂ ĐÁNH GIÁ ĐƯỢC RỦI RO LÀ CAO HAY THẤP?
.
.
Phương pháp đánh giá rủi ro theo COSO ERM, trong đó Risk được đo lường dựa trên 4 yếu tố: (1) Impact, (2) Likelihood, (3) Vulnerability, (4) Velocity
.
Với một nguồn lực giới hạn trong tổ chức, việc đánh giá và xếp hạng mức độ quan trọng của các rủi ro là hết sức cần thiết. Chúng ta thường nói về Likelihood (khả năng xảy ra) và Impact (tác động), tuy nhiên, cần phải đặt câu hỏi về các tiêu chí để so sánh:
· Likelihood bao nhiêu là thấp, bao nhiêu là cao?
· Impact bao nhiêu là nhỏ, bao nhiêu là lớn? Và so sánh với cái gì?
· Chỉ sử dụng Likelihood và Impact liệu có đủ chưa?
Dưới đây là phương pháp đánh giá rủi ro theo COSO ERM, trong đó Risk được đo lường dựa trên 4 yếu tố: (1) Impact, (2) Likelihood, (3) Vulnerability, (4) Velocity
.
QC!
.
1) IMPACT : đo lường tác động của rủi ro, có thể bao gồm, tài chính, danh tiếng, vi phạm các quy định, sức khỏe, an toàn, môi trường, nhân viên, khách hàng, và các tác động đến việc vận hành của tổ chức
Ví dụ:
Rating 5 – Extreme
· Tổn thất tài chính $A trở lên (hoặc tỷ lệ trên tài sản, vốn, doanh thu, lợi nhuận)
· Ảnh hưởng tiêu cực đến hình ảnh truyền thông, thay đổi hoặc mất thị phần trên phạm vi quốc tế
· Bị truy tố hoặc phạt tiền đáng kể, bị vướng vào các vụ kiện tập thể, lãnh đạo bị bắt
· Nhân viên hoặc bên thứ ba (khách hàng hoặc nhà cung cấp) bị tai nạn nghiêm trọng hoặc tử vong
· Nhiều vị trí lãnh đạo cao cấp rời đi
.
Rating 4 – Major
· Tổn thất tài chính từ $B đến $A
· Ảnh hưởng tiêu cực đến hình ảnh truyền thông, thay đổi hoặc bị mất thị phần trên phạm vi quốc gia
· Báo cáo vi phạm cho cơ quan quản lý mà cần một dự án lớn cho hành động khắc phục
· Nhân viên hoặc bên thứ ba (khách hàng hoặc nhà cung cấp) bị tai nạn cần phải chăm sóc đặc biệt
· Một số quản lý cấp cao nghỉ việc, nhiều nhân viên có kinh nghiệm nghỉ, không được đánh gia là một nơi làm việc tốt
.
Rating 3 – Moderate
· Tổn thất tài chính từ $C đến $B
· Ảnh hướng tiêu cực đến hình ảnh truyền thông trên phạm vi quốc gia
· Báo cáo vi phạm cho cơ quan quản lý với hành động khắc phục cần/có thể được thực hiện ngay lập tức
· Nhân viên hoặc bên thứ ba (khách hàng hoặc nhà cung cấp) bị tai nạn cần điều trị ngoại trú
· Vấn đề về tinh thần làm việc của nhân viên lan rộng và tỷ lệ nghỉ việc cao
.
Rating 2 – Minor
· Tổn thất tài chính từ $D đến $C
· Ảnh hưởng tiêu cự đến hình ảnh trên phạm vi địa phương
· Có thể báo cáo sự cố cho cơ quan quản lý, không cần có hành động gì thêm
· Nhân viên hoặc bên thứ ba (khách hàng hoặc nhà cung cấp) bị tai nạn nhưng không có thương tích hoặc thương tích nhỏ
· Vấn đề về tinh thần làm việc của nhân viên nói chung và tỷ lệ nghỉ việc đang tăng
.
Rating 1 – Incidental
· Tổn thất tài chính từ $E đến $D
· Các vấn đề gây chủ ý của truyền thông địa phương, có thể nhanh chóng khác phục
· Không cần báo cáo vi phạm cho cơ quan quản lý
· Nhân viên hoặc bên thứ ba (khách hàng hoặc nhà cung cấp) bị tan nạn nhưng không bị thương
· Một nhóm nhân viên không hài lòng về công ty
.
.
LIKELIHOOD : đo lường khả năng xảy ra của rủi ro theo số lần xảy ra theo năm, hoặc khả năng xảy ra trong vòng đợi của dự án hoặc tài sản (có thể dựa trên kết quả thống kê hoặc phán đoán của kiểm toán viên)
Ví dụ:
SỐ LẦN XẢY RA THEO NĂM
Rating 5 – Frequent : Nhiều hơn hoặc 1 lần trong 2 năm
Rating 4 – Likely : 1 lần trong 2 năm đến 1 lần trong 25 năm
Rating 3 – Possible : 1 lần trong 25 năm đến 1 lần trong 50 năm
Rating 2 – Unlikely : 1 lần trong 50 năm đến 1 lần trong 100 năm
Rating 1 – Rare : 1 lần trong 100 năm hoặc nhiều năm hơn
.
KHẢ NĂNG XẢY RA TRONG VÒNG ĐỜI CỦA DỰ ÁN HOẶC TÀI SẢN
Rating 5 – Almost certain : khả năng xảy > 90%
Rating 4 – Likely : khả năng xảy ra từ 65% đến 90%
Rating 3 – Possible : khả năng xảy ra từ 35% đến 65%
Rating 2 – Unlikely : khả năng xảy ra từ 10% đến 35%
Rating 1 – Rate : khả năng xảy ra < 10%
.
.
VULNERABILITY : đo lường sự chuẩn bị, phản ứng nhanh, khả năng thích nghi với rủi ro của tổ chức.
Ví dụ:
Rating 5 – Very High
· Không lập kế hoạch cho các tình huống rủi ro
· Thiếu khả năng giải quyết rủi ro ở cấp độ doanh nghiệp/ quy trình
· Không thực hiện các hành động phản hồi rủi ro
· Không sẵn có kế hoạch dự phòng hoặc xử lý khủng hoảng
.
Rating 4 – High
· Có kế hoạch cho các rủi ro chiến lược quan trọng
· Khả năng giải quyết rủi ro ở cấp độ doanh nghiệp/ quy trình thấp
· Có thực hiện một phần/ hoặc không đạt được các mục tiêu về kiểm soát rủi ro
· Có sẵn một vài kế hoạch dự phòng hoặc xử lý khủng hoảng
.
Rating 3 – Medium
· Có kiểm tra sức chịu đựng và phân tích độ nhạy của các kế hoạch cho các tình huống rủi ro
· Khả năng giải quyết rủi ro ở cấp độ doanh nghiệp/ quy trình trung bình
· Có thực hiện và đạt được mục tiêu về kiểm soát rủi ro hầu hết thời gian
· Có sẵn hầu hết các kế hoạch dự phòng hoặc xử lý khủng hoảng, tuy nhiên hạn chế về việc diễn tập
.
Rating 2 - Low
· Các lựa chọn chiến lược được xác định rõ ràng
· Khả năng giải quyết rủi ro ở cấp độ doanh nghiệp/ quy trình trung bình – cao
· Có thực hiện và đạt được mục tiêu về kiểm soát rủi ro trừ các trường hợp đặc biệt
· Có sẵn hầu hết các kế hoạch dự phòng hoặc xử lý khủng hoảng, có một số buổi diễn tập
.
Rating 1 – Very Low
· Các lựa chọn chiến lược được thêm vào các điều kiện giá trị thực, tối ưu hóa tính linh hoạt
· Khả năng giải quyết rủi ro ở cấp độ doanh nghiệp/ quy trình cao
· Sẵn có cơ chế phản ứng rủi ro dự phòng và thường xuyên được kiểm tra đối với các rủi ro quan trọng
· Có sẵn các kế hoạch dự phòng hoặc xử lý khủng hoảng, diễn tập thường xuyên
.
.
VELOCITY : đo lường thời gian cần để một Risk Event có thể gây ảnh hưởng lên một doanh nghiệp
Ví dụ:
Rating 5 – Very High : Bắt đầu ảnh hướng rất nhanh, ít hoặc không có dấu hiệu cảnh báo, tác động ngay lập tức
Rating 4 – High : Bắt đầu ảnh hưởng sau vài ngày đến vài tuần
Rating 3 – Medium : Bắt đầu ảnh hưởng sau vài tháng
Rating 2 – Low : Bắt đầu ảnh hưởng sau nhiều tháng
Rating 1 – Very Low : Bắt đầu ảnh hưởng sau một năm hoặc hơn
-----------------------------------------------------------------------
Like & Share bài viết cho bạn bè của bạn,
.
Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online:
https://m.me/nguyenvulong.cia
.
Giới thiệu về Team #LongNguyenCIA
1) Hoàn thành CIA trong 10 tháng : http://bit.ly/getCIAin10months
2) Hoàn thành CISA (663/800 điểm) trong 6 tháng : http://bit.ly/getCISAin6months
.
Cảm nhận của học viên về khoá học CIA với Team #LongNguyenCIA
: http://bit.ly/ReviewsTeamLongNguyenCIA
.
CIA Vietnam Community: https://www.facebook.com/groups/cia.vietnam hy vọng có thể cùng nhau chia sẻ chuyện nghề, chuyện học kiểm toán nội bộ,
-----------------------------------------------------------------------
Phương pháp đánh giá rủi ro theo COSO ERM, trong đó Risk được đo lường dựa trên 4 yếu tố: (1) Impact, (2) Likelihood, (3) Vulnerability, (4) Velocity
.
Nguồn : Báo cáo Risk Assessment in Practice của Deloitte & Touche LLP
Link:.
https://www2.deloitte.com/content/dam/Deloitte/global/Documents/Governance-Risk-Compliance/dttl-grc-riskassessmentinpractice.pdf
Với một nguồn lực giới hạn trong tổ chức, việc đánh giá và xếp hạng mức độ quan trọng của các rủi ro là hết sức cần thiết. Chúng ta thường nói về Likelihood (khả năng xảy ra) và Impact (tác động), tuy nhiên, cần phải đặt câu hỏi về các tiêu chí để so sánh:
· Likelihood bao nhiêu là thấp, bao nhiêu là cao?
· Impact bao nhiêu là nhỏ, bao nhiêu là lớn? Và so sánh với cái gì?
· Chỉ sử dụng Likelihood và Impact liệu có đủ chưa?
Dưới đây là phương pháp đánh giá rủi ro theo COSO ERM, trong đó Risk được đo lường dựa trên 4 yếu tố: (1) Impact, (2) Likelihood, (3) Vulnerability, (4) Velocity
.
QC!
.
Video!
Video!
1) IMPACT : đo lường tác động của rủi ro, có thể bao gồm, tài chính, danh tiếng, vi phạm các quy định, sức khỏe, an toàn, môi trường, nhân viên, khách hàng, và các tác động đến việc vận hành của tổ chức
Ví dụ:
Rating 5 – Extreme
· Tổn thất tài chính $A trở lên (hoặc tỷ lệ trên tài sản, vốn, doanh thu, lợi nhuận)
· Ảnh hưởng tiêu cực đến hình ảnh truyền thông, thay đổi hoặc mất thị phần trên phạm vi quốc tế
· Bị truy tố hoặc phạt tiền đáng kể, bị vướng vào các vụ kiện tập thể, lãnh đạo bị bắt
· Nhân viên hoặc bên thứ ba (khách hàng hoặc nhà cung cấp) bị tai nạn nghiêm trọng hoặc tử vong
· Nhiều vị trí lãnh đạo cao cấp rời đi
.
Rating 4 – Major
· Tổn thất tài chính từ $B đến $A
· Ảnh hưởng tiêu cực đến hình ảnh truyền thông, thay đổi hoặc bị mất thị phần trên phạm vi quốc gia
· Báo cáo vi phạm cho cơ quan quản lý mà cần một dự án lớn cho hành động khắc phục
· Nhân viên hoặc bên thứ ba (khách hàng hoặc nhà cung cấp) bị tai nạn cần phải chăm sóc đặc biệt
· Một số quản lý cấp cao nghỉ việc, nhiều nhân viên có kinh nghiệm nghỉ, không được đánh gia là một nơi làm việc tốt
.
Rating 3 – Moderate
· Tổn thất tài chính từ $C đến $B
· Ảnh hướng tiêu cực đến hình ảnh truyền thông trên phạm vi quốc gia
· Báo cáo vi phạm cho cơ quan quản lý với hành động khắc phục cần/có thể được thực hiện ngay lập tức
· Nhân viên hoặc bên thứ ba (khách hàng hoặc nhà cung cấp) bị tai nạn cần điều trị ngoại trú
· Vấn đề về tinh thần làm việc của nhân viên lan rộng và tỷ lệ nghỉ việc cao
.
Rating 2 – Minor
· Tổn thất tài chính từ $D đến $C
· Ảnh hưởng tiêu cự đến hình ảnh trên phạm vi địa phương
· Có thể báo cáo sự cố cho cơ quan quản lý, không cần có hành động gì thêm
· Nhân viên hoặc bên thứ ba (khách hàng hoặc nhà cung cấp) bị tai nạn nhưng không có thương tích hoặc thương tích nhỏ
· Vấn đề về tinh thần làm việc của nhân viên nói chung và tỷ lệ nghỉ việc đang tăng
.
Rating 1 – Incidental
· Tổn thất tài chính từ $E đến $D
· Các vấn đề gây chủ ý của truyền thông địa phương, có thể nhanh chóng khác phục
· Không cần báo cáo vi phạm cho cơ quan quản lý
· Nhân viên hoặc bên thứ ba (khách hàng hoặc nhà cung cấp) bị tan nạn nhưng không bị thương
· Một nhóm nhân viên không hài lòng về công ty
.
.
LIKELIHOOD : đo lường khả năng xảy ra của rủi ro theo số lần xảy ra theo năm, hoặc khả năng xảy ra trong vòng đợi của dự án hoặc tài sản (có thể dựa trên kết quả thống kê hoặc phán đoán của kiểm toán viên)
Ví dụ:
SỐ LẦN XẢY RA THEO NĂM
Rating 5 – Frequent : Nhiều hơn hoặc 1 lần trong 2 năm
Rating 4 – Likely : 1 lần trong 2 năm đến 1 lần trong 25 năm
Rating 3 – Possible : 1 lần trong 25 năm đến 1 lần trong 50 năm
Rating 2 – Unlikely : 1 lần trong 50 năm đến 1 lần trong 100 năm
Rating 1 – Rare : 1 lần trong 100 năm hoặc nhiều năm hơn
.
KHẢ NĂNG XẢY RA TRONG VÒNG ĐỜI CỦA DỰ ÁN HOẶC TÀI SẢN
Rating 5 – Almost certain : khả năng xảy > 90%
Rating 4 – Likely : khả năng xảy ra từ 65% đến 90%
Rating 3 – Possible : khả năng xảy ra từ 35% đến 65%
Rating 2 – Unlikely : khả năng xảy ra từ 10% đến 35%
Rating 1 – Rate : khả năng xảy ra < 10%
.
.
VULNERABILITY : đo lường sự chuẩn bị, phản ứng nhanh, khả năng thích nghi với rủi ro của tổ chức.
Ví dụ:
Rating 5 – Very High
· Không lập kế hoạch cho các tình huống rủi ro
· Thiếu khả năng giải quyết rủi ro ở cấp độ doanh nghiệp/ quy trình
· Không thực hiện các hành động phản hồi rủi ro
· Không sẵn có kế hoạch dự phòng hoặc xử lý khủng hoảng
.
Rating 4 – High
· Có kế hoạch cho các rủi ro chiến lược quan trọng
· Khả năng giải quyết rủi ro ở cấp độ doanh nghiệp/ quy trình thấp
· Có thực hiện một phần/ hoặc không đạt được các mục tiêu về kiểm soát rủi ro
· Có sẵn một vài kế hoạch dự phòng hoặc xử lý khủng hoảng
.
Rating 3 – Medium
· Có kiểm tra sức chịu đựng và phân tích độ nhạy của các kế hoạch cho các tình huống rủi ro
· Khả năng giải quyết rủi ro ở cấp độ doanh nghiệp/ quy trình trung bình
· Có thực hiện và đạt được mục tiêu về kiểm soát rủi ro hầu hết thời gian
· Có sẵn hầu hết các kế hoạch dự phòng hoặc xử lý khủng hoảng, tuy nhiên hạn chế về việc diễn tập
.
Rating 2 - Low
· Các lựa chọn chiến lược được xác định rõ ràng
· Khả năng giải quyết rủi ro ở cấp độ doanh nghiệp/ quy trình trung bình – cao
· Có thực hiện và đạt được mục tiêu về kiểm soát rủi ro trừ các trường hợp đặc biệt
· Có sẵn hầu hết các kế hoạch dự phòng hoặc xử lý khủng hoảng, có một số buổi diễn tập
.
Rating 1 – Very Low
· Các lựa chọn chiến lược được thêm vào các điều kiện giá trị thực, tối ưu hóa tính linh hoạt
· Khả năng giải quyết rủi ro ở cấp độ doanh nghiệp/ quy trình cao
· Sẵn có cơ chế phản ứng rủi ro dự phòng và thường xuyên được kiểm tra đối với các rủi ro quan trọng
· Có sẵn các kế hoạch dự phòng hoặc xử lý khủng hoảng, diễn tập thường xuyên
.
.
VELOCITY : đo lường thời gian cần để một Risk Event có thể gây ảnh hưởng lên một doanh nghiệp
Ví dụ:
Rating 5 – Very High : Bắt đầu ảnh hướng rất nhanh, ít hoặc không có dấu hiệu cảnh báo, tác động ngay lập tức
Rating 4 – High : Bắt đầu ảnh hưởng sau vài ngày đến vài tuần
Rating 3 – Medium : Bắt đầu ảnh hưởng sau vài tháng
Rating 2 – Low : Bắt đầu ảnh hưởng sau nhiều tháng
Rating 1 – Very Low : Bắt đầu ảnh hưởng sau một năm hoặc hơn
-----------------------------------------------------------------------
Like & Share bài viết cho bạn bè của bạn,
.
Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online:
https://m.me/nguyenvulong.cia
.
Giới thiệu về Team #LongNguyenCIA
1) Hoàn thành CIA trong 10 tháng : http://bit.ly/getCIAin10months
2) Hoàn thành CISA (663/800 điểm) trong 6 tháng : http://bit.ly/getCISAin6months
.
Cảm nhận của học viên về khoá học CIA với Team #LongNguyenCIA
: http://bit.ly/ReviewsTeamLongNguyenCIA
.
CIA Vietnam Community: https://www.facebook.com/groups/cia.vietnam hy vọng có thể cùng nhau chia sẻ chuyện nghề, chuyện học kiểm toán nội bộ,
-----------------------------------------------------------------------
