Chuyển đổi số ERM theo nguyên tắc OECD

Chuyển đổi số công tác quản trị rủi ro là một nhiệm vụ kép trong quản trị doanh nghiệp và chuyển đổi số theo hướng hiện đại theo tinh thần của Nghị quyết 79-NQ/TW 2026. Đây được xem như đòn bẩy, điểm tựa chính sách quan trọng để doanh nghiệp nhà nước (DNNN) tiếp tục đổi mới phương thức, mô hình quản trị nhằm hoàn thành tốt nhất sứ mệnh, nhiệm vụ của mình trong giai đoạn mới, góp phần cùng đất nước vươn mình trong kỷ nguyên mới.

Hiểu đúng về giải pháp số quản trị rủi ro

Để chuyển đổi số nói chung và chuyển đổi số Quản trị rủi ro doanh nghiệp (ERM) được triển khai hiệu quả, trước hết cần nhận thức đúng nội hàm của hoạt động này. Chuyển đổi số, hiểu đúng, không phải chỉ là công việc mua phần mềm để áp dụng hay làm dashboard để báo cáo.

Petrovietnam chính thức vận hành hệ thống ERP từ tháng 5/2024.

OECD nhấn mạnh, giá trị quản trị của số hóa là tăng năng lực giám sát của Hội đồng, tăng hiệu quả điều hành của Ban Điều hành và tăng khả năng kiểm chứng độc lập. Nếu số hóa dừng ở giao diện, doanh nghiệp có thể có một hệ thống “đẹp”, nhưng rủi ro vẫn vận hành theo thói quen cũ: dữ liệu thiếu chuẩn, vượt ngưỡng, không kích hoạt đúng cấp, kiểm soát thiếu bằng chứng và quyết định thiếu dấu vết giải trình.

Vì vậy, số hóa ERM cần được hiểu là xây năng lực quản trị dựa trên dữ liệu, chuyển từ báo cáo rủi ro sang quản trị rủi ro trên môi trường số, có truy vết.

Mục tiêu số hóa ERM: Giám sát tốt hơn, phản ứng nhanh hơn, kiểm chứng chắc hơn

Một hệ thống ERM số hóa đúng nghĩa phải trả lời được các câu hỏi quản trị. Đó là:

Thứ nhất, HĐQT/HĐTV cần gì để giám sát; xu hướng rủi ro như thế nào, rủi ro trọng yếu tăng hay giảm; rủi ro nào chạm/vượt ngưỡng; điểm yếu kiểm soát có lặp lại hay không; quyết định nào cần, điều kiện hoặc điều chỉnh gì là cần thiết.

Thứ hai, Ban Điều hành cần gì để điều hành? Cảnh báo sớm; danh sách điểm nghẽn kiểm soát; tiến độ khắc phục; khả năng khoanh vùng rủi ro theo đơn vị hoặc chuỗi giá trị.

Thứ ba, bảo đảm độc lập cần gì để kiểm chứng? Quyền truy cập dữ liệu; dấu vết phê duyệt; dấu vết kiểm soát; khả năng đối chiếu giữa quy định và thực thi.

Nếu hệ thống số không trả lời được ba câu hỏi này, rất khó tạo ra giá trị quản trị thực chất cho hoạt động quản trị rủi ro.

Nội hàm của số hóa ERM: Ba lớp dữ liệu tối thiểu để vận hành ERM

Số hóa ERM không nên bắt đầu bằng làm nhiều, mà phải bắt đầu từ dữ liệu rồi mới đến dự báo, phân tích nâng cao. Cốt yếu là phải triển khai đúng ba lớp dữ liệu ban đầu để tạo nền tảng, kỷ luật cấu trúc và khả năng truy vết.

Cụ thể: Lớp 1 "Dữ liệu rủi ro - ngưỡng quản trị". Lớp này gồm danh mục rủi ro trọng yếu, chủ sở hữu rủi ro, KRI, ngưỡng cảnh báo/vượt giới hạn/nghiêm trọng và quy tắc vượt ngưỡng. Lớp này giúp rủi ro đo được và kích hoạt được.

Lớp 2 "Dữ liệu kiểm soát - bằng chứng kiểm soát". Lớp này gồm kiểm soát trọng yếu, tiêu chí đạt/không đạt, tần suất, người chịu trách nhiệm và bằng chứng. Thiếu lớp này, ERM dễ trượt sang mô tả rủi ro mà không chứng minh được kiểm soát vận hành.

Lớp 3 "Dữ liệu khắc phục - hiệu lực phản ứng". Đây là lớp dữ liệu gồm nhật ký hành động: việc cần làm, người chịu trách nhiệm, hạn xử lý, trạng thái, bằng chứng hoàn thành và cơ chế vượt ngưỡng khi quá hạn. Lớp này biến phát hiện thành “khép vòng”.

Ba lớp dữ liệu trên là xương sống. Các lớp nâng cao như phân tích dự báo sẽ được bổ sung sau khi bộ khung hệ thống vận hành ổn định.

Chuẩn dữ liệu ERM: Điều kiện bắt buộc để tránh sai lệch giám sát

Nút nghẽn phổ biến nhất của số hóa ERM không nằm ở công nghệ mà nằm ở dữ liệu. Ví dụ như mỗi đơn vị gọi rủi ro theo một cách, đo theo một cách, báo cáo theo một cách; dữ liệu không đồng nhất thì dashboard (độ che phủ) dù có “đẹp” cũng dễ dẫn đến sai lệch. Vì vậy, trước khi lên hệ thống, doanh nghiệp phải thống nhất tối thiểu về: Mã hóa rủi ro và quy tắc đặt tên; Cấu trúc hồ sơ rủi ro (phát biểu rủi ro, nguyên nhân, tác động, chủ sở hữu, liên kết mục tiêu); Chuẩn KRI (định nghĩa, công thức, nguồn dữ liệu, chu kỳ cập nhật, ngưỡng); Chuẩn kiểm soát - bằng chứng (loại bằng chứng, nơi lưu, tiêu chí hợp lệ, thời hạn lưu trữ); Chuẩn khắc phục (mã hành động, trạng thái, tiêu chí hoàn thành, bằng chứng).

Điều cần lưu ý là nhiều tổ chức, doanh nghiệp coi chuẩn hóa dữ liệu gây tốn kém chi phí. Tuy nhiên, đây là chi phí ban đầu, nhưng là lợi ích dài hạn: càng chuẩn, càng ít nhập liệu lặp, càng ít tranh cãi, càng dễ kiểm chứng.

Dữ liệu rủi ro và cảnh báo sớm: Rủi ro phải đọc được bằng số

Một hệ thống không thể trưởng thành nếu rủi ro chỉ là mô tả định tính. Dấu hiệu trưởng thành là rủi ro trọng yếu có KRI, có ngưỡng, có xu hướng và có nguồn dữ liệu nhất quán. Ở mức cao, dữ liệu đủ tin cậy để nhận diện điểm bùng phát, dự báo rủi ro mới nổi, đặc biệt trong các vùng rủi ro dữ liệu - an ninh số và bền vững.

Thiết kế theo nhu cầu quản trị: Từ “màn hình” đến “cổng quyết định”

Số hóa ERM chỉ mạnh khi đi vào luồng và đến nơi ra quyết định. Doanh nghiệp cần gắn ERM số với các cổng quyết định trọng yếu như đầu tư, dự án, hợp đồng quan trọng, lựa chọn nhà thầu/đối tác chiến lược, triển khai công nghệ lõi và các quyết định có rủi ro tuân thủ - liêm chính cao. Tại các cổng này, hệ thống số phải “buộc” được ba điều: (i) hồ sơ rủi ro theo định dạng chuẩn; (ii) điều kiện chấp nhận rủi ro và ngưỡng dừng được ghi nhận rõ; (iii) kiểm soát trọng yếu và bằng chứng kiểm soát được neo vào quy trình để truy vết. Khi đó, số hóa không còn là báo cáo, mà trở thành cấu trúc hỗ trợ quyết định.

GRC và truy vết: Giảm thủ công, tăng minh bạch

Mức trưởng thành thể hiện rõ ở mức độ truy vết và mức độ giảm phụ thuộc thủ công. Khi GRC vận hành đúng, rủi ro - ngưỡng - vượt ngưỡng - kiểm soát - khắc phục chạy theo quy trình công việc; trách nhiệm gán theo quy tắc; dấu vết phê duyệt đầy đủ; báo cáo tổng hợp gần thời gian thực. Ở mức thấp, bảng tính và email làm dữ liệu đứt đoạn, truy nguyên khó, tranh cãi dữ liệu tăng.

Một số nền tảng cho giải pháp số GRC đang áp dụng cho quản trị rủi ro.

Chuyển đổi số ERM cần tránh hình thức

Trong thực tế, số hóa ERM thất bại thường vì “số hóa quá sớm” (khi chưa chuẩn hóa khái niệm và trách nhiệm), hoặc “số hóa quá rộng” (ôm mọi rủi ro và mọi chỉ số ngay từ đầu). Cách tiếp cận hiệu quả hơn là số hóa theo mô-đun, đi từ lõi quản trị đến lõi vận hành.

Thứ nhất, số hóa phân loại rủi ro và sổ đăng ký rủi ro (risk register) để tạo một ngôn ngữ chung và một nơi “đặt rủi ro” có chủ sở hữu, lịch cập nhật và lưu vết các thay đổi.

Thứ hai, số hóa KRI dashboard theo ngưỡng cho nhóm rủi ro trọng yếu (không cần quá nhiều chỉ số; cần đúng chỉ số).

Thứ ba, số hóa quy trình (workflow) vượt ngưỡng và phê duyệt ngoại lệ, bởi đây là nơi cơ chế quản trị thực sự diễn ra.

Thứ tư, số hóa kho bằng chứng kiểm soát để hậu kiểm và kiểm toán không phụ thuộc vào hồ sơ thủ công.

Và cuối cùng, số hóa báo cáo theo cấu trúc thống nhất, giúp HĐQT/HĐTV theo dõi xu hướng và truy nguyên vấn đề mà không phải đợi đến kỳ họp.

Trình tự này bảo đảm một nguyên tắc quan trọng là số hóa không làm nặng thêm thủ tục, mà làm tăng năng lực giám sát và năng lực giải trình.

Chuyển đổi số ERM trong DNNN: Tăng minh bạch, giảm độ trễ trách nhiệm

Với DNNN quy mô lớn, ERM nếu chỉ dựa vào quy trình thủ công sẽ dễ gặp 3 vấn đề, đó là dữ liệu phân tán, báo cáo chậm và khó truy vết trách nhiệm. Vì vậy, chuyển đổi số nên được hiểu như “hạ tầng minh bạch” cho quản trị rủi ro, đặc biệt khi OECD nhấn mạnh minh bạch và báo cáo nhất quán.

Cách tiếp cận phù hợp là triển khai nền tảng GRC theo lộ trình, bao gồm:

• Chuẩn hóa hệ phân loại rủi ro và danh mục kiểm soát trọng yếu.
• Số hóa luồng công việc, cập nhật rủi ro, vượt ngưỡng, phê duyệt biện pháp ứng phó, theo dõi khắc phục.
• Tạo dấu vết kiểm tra để củng cố trách nhiệm giải trình và giảm tranh cãi về luồng thông tin, trách nhiệm và thẩm quyền rất thường xuyên xảy ra theo kiểu “ai biết, ai quyết”.

Rủi ro số hóa: An ninh số, quyền riêng tư, phụ thuộc công nghệ và rủi ro bên thứ ba

Số hóa ERM đồng thời đối mặt với việc tăng các rủi ro như dữ liệu tập trung hơn, phụ thuộc công nghệ cao hơn, rủi ro bên thứ ba rõ hơn. Do đó, thiết kế ERM số phải có điều kiện an toàn ngay từ đầu; phân quyền theo vai trò và nguyên tắc tối thiểu cần biết; nhật ký truy vết cho thao tác quan trọng; kiểm soát chất lượng dữ liệu đầu vào; quản trị nhà cung cấp (tiêu chuẩn bảo mật, quyền kiểm tra, phương án dự phòng); và cơ chế kiểm chứng độc lập đối với số liệu, báo cáo trọng yếu.

Rủi ro số hóa trong quản trị dữ liệu.

Một hệ thống ERM số đúng nghĩa không chỉ “nhìn thấy” rủi ro, mà còn tự bảo vệ trước rủi ro do chính hệ thống tạo ra.

Một cách khái quát, có thể thấy, chuyển đổi số ERM theo OECD là chuyển từ báo cáo rủi ro sang truy vết quản trị dựa trên dữ liệu. Trọng tâm không nằm ở công nghệ, mà nằm ở dữ liệu chuẩn, ngưỡng rõ, vượt ngưỡng kích hoạt đúng cấp, kiểm soát có bằng chứng, khắc phục khép vòng và kiểm chứng độc lập.

Tiến sĩ Nguyễn Thành Hưởng

Trưởng Ban Quản trị rủi ro và Giám sát tuân thủ Petrovietnam