1

Study Unit Five

Risk Management

5.1 2

5.2 8

5.3 11

5.4 20

This study unit is the second of four covering Domain V: Governance, Risk Management, and
Control from The IIA’s CIA Exam Syllabus. This domain makes up 35% of Part 1 of the CIA
exam and is tested at the basic and proficient cognitive levels. The four study units are
● Study Unit 4: Governance
● Study Unit 5: Risk Management
● Study Unit 6: Controls: Types and Frameworks
● Study Unit 7: Controls: Application

The learning objectives of Study Unit 5 are
● Interpret fundamental concepts of risk and the risk management process

Diễn giải các khái niệm cơ bản về rủi ro và quy trình quản lý rủi ro

● Describe globally accepted risk management frameworks appropriate to the
organization

Mô tả các khuôn khổ quản lý rủi ro được chấp nhận trên toàn cầu phù hợp với tổ chức

● Examine the effectiveness of risk management within processes and functions

Kiểm tra tính hiệu quả của hoạt động và quy trình quản lý rủi ro

● Recognize the appropriateness of the internal audit activity’s role in the organization’s
risk management process

Nhận thức được sự phù hợp của vai trò của hoạt động kiểm tốn nội bộ trong quy trình
quản lý rủi ro của tổ chức

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact


Risk management assesses and controls these risks to achieve an organization’s goals.
Management must focus on risks at all levels of the entity and take the necessary
action to manage them. All risks that could affect achievement of objectives must be
considered.
Quản lý rủi ro đánh giá và kiểm soát những rủi ro này để đạt được mục tiêu của tổ
chức. Ban quản lý phải tập trung vào các rủi ro ở tất cả các cấp của đơn vị và thực hiện
các hành động cần thiết để quản lý chúng. Tất cả các rủi ro có thể ảnh hưởng đến việc
đạt được các mục tiêu phải được xem xét.



2 SU 5: Risk Management

5.1 Risk Management Processes

Risk is “[t]he possibility of an event occurring that will have an impact on the

achievement of objectives. Risk is measured in terms of impact and likelihood”
(The IIA Glossary).
“Khả năng xảy ra một sự kiện sẽ có tác động đến việc đạt được các mục tiêu.
Rủi ro được đo lường theo tác động và khả năng xảy ra” (Thuật ngữ IIA).

● Risk management is “a process to identify, assess, manage, and control potential
events or situations to provide reasonable assurance regarding the achievement
of the organization’s objectives” (The IIA Glossary).

Quản lý rủi ro là “một quy trình xác định, đánh giá, quản lý và kiểm sốt các sự
kiện hoặc tình huống tiềm ẩn nhằm cung cấp sự đảm bảo hợp lý về việc đạt được
các mục tiêu của tổ chức” (Bảng thuật ngữ IIA).

■ It is one of the three processes specifically addressed in the Definition of Internal
Auditing.

Performance Standard 2120 Risk Management
The internal audit activity must evaluate the effectiveness and contribute to the improvement of risk management processes.
Hoạt động kiểm toán nội bộ phải đánh giá hiệu quả và góp phần cải tiến quy trình quản lý rủi ro.

The Risk Management Process

Management must focus on risks at all levels of the entity and take the necessary
action to manage them. All risks that could affect achievement of objectives must be
considered.

SU 5: Risk Management 3

Bước 1: Identification of Context (Xác định bối cảnh)


● A precondition to risk identification is identifying the significant contexts within
which risks should be managed.

● Điều kiện tiên quyết để xác định rủi ro là xác định bối cảnh quan trọng trong đó
rủi ro cần được quản lý.

● Bối cảnh bao gồm những điều sau:
■ Laws and regulations
■ Luật pháp và các quy định nhà nước
■ Capital projects
■ Kế hoạch sử dụng vốn
■ Business processes
■ Quy trình kinh doanh
■ Technology
■ Công nghệ
■ Organizations
■ Tổ chức
■ Market risk
■ Rủi ro thị trường
► Interest rates, foreign exchange rates
► Lãi suất, tỷ giá hối đoái

Bước 2: Risk Identification (Xác định rủi ro)

● Risk identification should be performed at every level of the entity (entity-level,
division, business unit) relevant to the identified context(s).

● Việc xác định rủi ro nên được thực hiện ở mọi cấp độ của thực thể (cấp thực thể, bộ
phận, đơn vị kinh doanh) liên quan đến (các) bối cảnh đã xác định.
● Past events and future possibilities must be considered.


● Phải xem xét các sự kiện trong quá khứ và các khả năng trong tương lai.
● SWOT analysis, workshops, and scenario analysis can be used to identify risks.

● Phân tích SWOT, hội thảo và phân tích kịch bản có thể được sử dụng để xác định rủi ro
Bước 3: Risk Assessment and Prioritization (Đánh giá rủi ro và ưu tiên)

● The risk assessment process may be formal and informal

● Quy trình đánh giá rủi ro có thể là chính thức hoặc khơng chính thức

● The three-part process involves:

● Quá trình gồm 3 phần bao gồm

1. Assessing the significance of an event.

Đánh giá tầm quan trọng của sự kiện

2. Assessing the event’s likelihood, and

Đánh giá khả năng xảy ra sự kiên

3. Considering the means of managing the risk

Xem xét các biện pháp quản lý rủi ro

● The results of assessing the likelihood and impact of the risk events identified are used
to prioritize risks and produce decision-making information.


● Kết quả đánh giá khả năng xảy ra và tác động của các sự kiện rủi ro đã xác định được
sử dụng để sắp xếp thứ tự ưu tiên rủi ro và đưa ra thông tin ra quyết định.

● Risk assessment methods may be qualitative or quantitative
● Các phương pháp đánh giá rủi ro có thể định tính hoặc định lượng

■ Risk ranking, risk maps and risk modeling
■ Xếp hạng rủi ro, bản đồ rủi ro và lập mơ hình rủi ro

Bước 4: Risk Response (Ứng phó rủi ro)
● Risk responses are the means by which an organization elects to manage individual

risks.
● Ứng phó với rủi ro là phương pháp mà một tổ chức lựa chọn để quản lý từng rủi ro cụ

thể.
● Each organization selects risk responses that align risks with the organizations risk

appetite, or
● Tổ chức lựa chọn các cơ chế ứng phó rủi ro phù hợp với khẩu vị rủi ro của tổ chức,

hoặc
■ The level of risk the organization is willing to accept
■ Mức độ rủi ro mà tổ chức sẵn sàng chấp nhận
● Controls are actions taken by management to manage risk and ensure risk
responses are carried out.
● Kiểm soát là các hành động do BQL thực hiện để quản lý rủi ro và đảm bảo các biện
pháp ứng phó rủi ro được thực hiện.
● Residual risk is the risk that remains after risk responses are executed.
● Rủi ro còn lại là rủi ro còn lại sau khi thực hiện các biện pháp ứng phó rủi ro.

● Control risk is the risk that controls fail to effectively manage controllable risk.
● Rủi ro kiểm soát là rủi ro mà các kiểm sốt khơng quản lý hiệu quả rủi ro có thể
kiểm sốt.

Bước 5: Risk Monitoring
● Risk monitoring is a four-step continuous process that includes aspects of prior

steps.
● Giám sát rủi ro là một quy trình liên tục gồm có 4 bước bao gồm các khía cạnh của

các bước trước đó.
1. Track identified risks
2. Evaluate current risk response plans
3. Monitor residual risks
4. Identify new risks

1. Theo dõi rủi ro đã xác định
2. Đánh giá kế hoạch ứng phó rủi ro hiện tại
3. Giám sát rủi ro còn lại
4. Xác định những rủi ro mới

● The two most important sources of information for ongoing assessments of the
adequacy of risk responses and the changing nature of the risks are

● Hai nguồn thông tin quan trọng nhất cho việc đánh giá liên tục về sự phù hợp của
các cơ chế ứng phó rủi ro và bản chất sự thay đổi của rủi ro là:
1. Those closest to the activities, such as the manager of an operating unit.
=> However, because they design the strategy to mitigate risks, they are not always
objective.
1. Những người gần gũi nhất với các hoạt động, chẳng hạn như người quản lý của

một đơn vị hoạt động.
=> Tuy nhiên, do họ thiết kế chiến lược để giảm thiểu rủi ro nên không phải lúc nào
họ cũng khách quan.
2. The audit function
=> Analyzing risks and responses are among the normal responsibilities of internal
auditors, who should be objective.

2. Chức năng kiểm toán
=> Phân tích rủi ro và phản ứng là một trong những trách nhiệm thơng thường của kiểm
tốn viên nội bộ, những người phải khách quan.


4 SU 5: Risk Management

Responsibility for Aspects of Organizational Risk Management
Trách nhiệm đối với các khía cạnh của quản lý rủi ro tổ chức

Risk management is a key responsibility of senior management and the board.
Quản lý rủi ro là trách nhiệm chính của ban quản lý và HĐQT.

● Boards have an oversight function. They determine that risk management processes
are in place, adequate, and effective.

● HĐQT có chức năng giám sát. Họ xác định rằng các quy trình quản lý rủi ro được áp
dụng, đầy đủ và hiệu quả.

● Management ensures that sound risk management processes are functioning.

● Ban quản lý đảm bảo rằng các quy trình quản lý rủi ro hợp lý đang hoạt động.


● The internal audit activity may be directed to examine, evaluate, report, or
recommend improvements.

● Hoạt động kiểm tốn nội bộ có thể được định hướng để kiểm tra, đánh
giá, báo cáo hoặc đề xuất cải tiến.

■ It also has a consulting role in identifying, evaluating, and implementing risk
management methods and controls.

■ Nó cũng có vai trị tư vấn trong việc xác định, đánh giá và thực hiện các biện
pháp kiểm soát và quản lý rủi ro.

Risk management processes may be formal or informal, quantitative or subjective, or
embedded in business units or centralized. They are designed to fit the organization’s
culture, management style, and objectives. For example, a small entity may use an
informal risk committee.

Các quy trình quản lý rủi ro có thể chính thức hoặc khơng chính thức, định lượng hoặc
chủ quan, hoặc được thực thi tại từng đơn vị hoặc tập trung. Chúng được thiết kế để
phù hợp với văn hóa, phong cách quản lý và mục tiêu của tổ chức. Ví dụ, một cơng ty
nhỏ có thể sử dụng một ủy ban rủi ro khơng chính thức.

The CAE must understand management’s and the board’s expectations of the internal
audit activity in risk management. The understanding is codified in the charters of the
internal audit activity and the board.

CAE phải hiểu kỳ vọng của ban quản lý và hội đồng quản trị về hoạt động kiểm toán nội
bộ trong quản lý rủi ro. Sự hiểu biết được hệ thống hóa trong điều lệ của hoạt động kiểm
toán nội bộ và hội đồng quản trị.


● If the organization has no formal risk management processes, the CAE has formal
discussions with management and the board about their obligations for
understanding, managing, and monitoring risks.

● Nếu tổ chức khơng có quy trình quản lý rủi ro chính thức, CAE sẽ thảo luận chính
thức với ban quản lý và hội đồng quản trị về nghĩa vụ của họ đối với việc hiểu,
quản lý và giám sát rủi ro.

SU 5: Risk Management 5

Internal Audit’s Role in Risk Management

The IIA issued the following Interpretation to clarify internal audit’s role:

s a judgment resulting from the internal auditor’s assessment that:
ơng là phán đốn xuất phát từ đánh giá của kiểm toán viên nội bộ rằng:
n’s mission;
c;

organization’s risk appetite; and
p với khẩu vị rủi ro của tổ chức; Và
ner across the organization, enabling staff, management, and the board to carry out their responsibilities.
ong toàn tổ chức, giúp nhân viên, ban quản lý và hội đồng quản trị thực hiện trách nhiệm của mình.
t this assessment during multiple engagements. The results of these engagements, when viewed together, provide an understanding of the organizati
đánh giá này trong nhiều lần kiểm toán. Kết quả của những cuộc kiểm toán này, khi được xem xét cùng nhau, giúp hiểu rõ về các quy trình quản lý rủi
nagement activities, separate evaluations, or both.
ộng quản lý đang diễn ra, các đánh giá riêng biệt hoặc cả hai.

Two Implementation Standards for assurance engagements link the assessment of
risk to specific risk areas.


Hai Chuẩn mực Thực hiện cho dịch vụ đảm bảo liên kết việc đánh giá rủi ro với các
lĩnh vực rủi ro cụ thể.

Implementation Standard 2120.A1
The internal audit activity must evaluate risk relating to the organization’s governance, operations, and information systems regarding the:
Hoạt động kiểm toán nội bộ phải đánh giá mức độ rủi ro liên quan đến quản trị, hoạt động và hệ thống thông tin của tổ chức liên quan đến
Achievement of the organization’s strategic objectives;
Đạt được các mục tiêu chiến lược của tổ chức;
Reliability and integrity of financial and operational information;
Độ tin cậy và tính chính trực của thơng tin tài chính và hoạt động;
Effectiveness and efficiency of operations and programs;
Hiệu quả và hiệu suất của chương trình và hoạt động;
Safeguarding of assets; and
Bảo vệ tài sản; và
Compliance with laws, regulations, policies, procedures, and contracts.
Tuân thủ với Luật, quy định, chính sách, các thủ tục và hợp đồng.
Implementation Standard 2120.A2
The internal audit activity must evaluate the potential for the occurrence of fraud and how the organization manages fraud risk.
Hoạt động KTNB phải đánh giá khả năng xảy ra rủi ro gian luận và cách thức để quản lý rủi ro đó.

6 SU 5: Risk Management

Implementing Standard 2120

To put the previous standards into practice, the CAE and internal auditors should obtain a
clear

understanding of the organization’s


Để áp đặt được các tiêu chuẩn vào thực tiễn, CAE và các KTVNB nên có được sự hiểu biết
tường tận về:
● Risk appetite
● Khẩu vị rủi ro của tổ chức

● Business missions and objectives

● Mục tiêu và sử mệnh của công ty
● Business strategies

● Chiến lược kinh doanh
● Risks identified by management

● Rủi ro do ban lãnh đạo xác định
■ Risks may be financial, operational, legal or regulatory, or strategic.
■ Rủi ro có thể là tài chính, hoạt động, luật pháp và quy định, hoặc chiến lược.

● Current risk management environment and prior corrective actions
● Môi trường quản lý rủi ro hiện tại và các hành động khắc phục trước đó.
● Means of identifying, assessing, and overseeing risks

● Các biện pháp để xác định, đánh giá và giám sát rủi ro

The CAE should speak with the board and senior management about risk appetite,
risk tolerance, and risk management.

CAE nên nói chuyện với hội đồng quản trị và quản lý cấp cao về khẩu vị rủi ro, khả
năng chịu rủi ro và quản lý rủi ro.

● After reviewing the strategic plan, business plan, and policies, the CAE may

determine whether strategic objectives align with the mission, vision, and risk
appetite. Mid-level managers may give insight into alignment at the business-unit
level.

● Sau khi xem xét kế hoạch chiến lược, kế hoạch kinh doanh và chính sách, CAE có thể
xác định liệu các mục tiêu chiến lược có phù hợp với sứ mệnh, tầm nhìn và khẩu vị
rủi ro hay khơng. Các nhà quản lý cấp trung có thể đưa ra cái nhìn sâu sắc về sự liên
kết ở cấp đơn vị kinh doanh

The internal audit activity

● Alerts management to new risks or inadequately mitigated risks
● Provides recommendations and action plans for risk responses
● Evaluates risk management processes
Hoạt động KTNB
● Cảnh báo cho BQL về những rủi ro mới hoặc những rủi ro được giảm thiểu chưa đầy đủ.
● Cung cấp các khuyến nghị và kế hoạch hành động về ứng phó rủi ro.
● Đánh giá quy trình quản lý rủi ro.

Internal auditors review risk assessments by senior management, external auditors,
and regulators. The purpose is to learn how the organization identifies, addresses, and
determines the acceptability of risks.

Kiểm toán viên nội bộ xem xét đánh giá rủi ro của quản lý cấp cao, kiểm tốn viên bên
ngồi và cơ quan quản lý. Mục đích là để tìm hiểu cách tổ chức xác định, giải quyết và
quyết định khả năng chấp nhận rủi ro.

● The responsibilities and risk processes of the board and key managers also are
evaluated.


● Trách nhiệm và quy trình xử lý rủi ro của hội đồng quản trị và các nhà quản lý chủ chốt
cũng được đánh giá.

The internal audit actively performs its own risk assessments.

KTVNB chủ động thực hiện các đánh giá rủi ro của chính mình.

● The discussions with the board and management permit alignment of
recommended risk responses with the risk appetite.

● Các cuộc thảo luận với hội đồng quản trị và ban quản lý cho phép sắp xếp
các cơ chế ứng phó rủi ro được khuyến nghị phù hợp với khẩu vị rủi ro.

● An established framework (e.g., COSO or ISO 31000) may be used for risk identification.

● Có thể sử dụng một khn khổ đã được thiết lập (ví dụ: COSO hoặc ISO 31000) để xác
định rủi ro.

● (1) New developments in the industry and (2) processes for monitoring, assessing,
and responding to risks (or opportunities) may be researched.

● (1) Những phát triển mới trong ngành và (2) các quy trình giám sát, đánh giá và ứng
phó với rủi ro (hoặc cơ hội) có thể được nghiên cứu.

The internal audit activity also should
KTNB cũng nên:

● Ensure management of its risks (e.g., audit failure, false assurance, and damage to
reputation) and


● Đảm bảo quản lý rủi ro của mình (ví dụ: thất bại kiểm tốn, đảm bảo sai và tổn hại
đến danh tiếng) và

● Monitor all corrective actions.
● Theo dõi tất cả các hành động khắc phục

SU 5: Risk Management 7

Conformance with Standard 2120

Tuân thủ với Chuẩn mực 2120

To demonstrate compliance, the internal audit charter and audit plan are relevant
documents.

Để thể hiện sự tuân thủ, điều lệ kiểm toán và kế hoạch kiểm toán là các tài liệu liên quan.

Also relevant are minutes of meetings in which the elements of the standard (e.g.,
recommendations by the internal auditors) were discussed with the board, senior
management, task forces, and committees.

Các tài liệu liên quan khác là các biên bản cuộc họp trong đó các yếu tố của chuẩn mực
(ví dụ: khuyến nghị của kiểm tốn viên nội bộ) đã được thảo luận với hội đồng quản trị,
quản lý cấp cao, nhóm đặc nhiệm và ủy ban.

Internal audit risk assessments and action plans demonstrate evaluation and
improvement.

Đánh giá rủi ro kiểm toán nội bộ và kế hoạch hành động thể hiện sự đánh giá và cải tiến.


Risk Management Considerations for Consulting Engagements

Những cân nhắc về quản lý rủi ro với các hợp đồng tư vấn

Three Implementation Standards address the risk management responsibilities of
internal auditors when performing consulting engagements.

3 chuẩn mực thực hiện trình bày trách nhiệm quản lý rủi ro của KTV nội bộ khi thực
hiện dịch vụ kiểm toán tư vấn.

dard 2120.C1
ements, internal auditors must address risk consistent with the engagement’s objectives and be alert to the existence of other significant risks.

n hợp đồng tư vấn, kiểm toán viên nội bộ phải giải quyết rủi ro phù hợp với mục tiêu của hợp đồng và cảnh báo với sự tồn tại của các rủi ro đáng kể kh

dard 2120.C2
corporate knowledge of risks gained from consulting engagements into their evaluation of the organization’s risk management processes.

hải kết hợp kiến thức về rủi ro thu được từ các cuộc kiểm tốn tư vấn vào q trình đánh giá các quy trình quản lý rủi ro của tổ chức.

dard 2120.C3
ment in establishing or improving risk management processes, internal auditors must refrain from assuming any management responsibility by actuall

iết lập hoặc cải thiện các quy trình quản lý rủi ro, kiểm tốn viên nội bộ khơng được nhận bất kỳ trách nhiệm quản lý nào bằng cách thực sự quản lý rủ

8 SU 5: Risk Management

5.2 COSO Framework -- Enterprise
Risk Management (ERM) Overview


COSO Risk Management Framework

Enterprise Risk Management – Integrating with Strategy and Performance (COSO ERM
framework) is a framework that complements, and incorporates some concepts of, the
COSO internal control framework.

Quản lý Rủi ro Doanh nghiệp – Tích hợp với Chiến lược và Hiệu suất (Khung COSO ERM)
là một khuôn khổ bổ sung và kết hợp một số khái niệm về khn khổ kiểm sốt nội bộ
COSO.

The COSO ERM framework provides a basis for coordinating and integrating all of an
organization’s risk management activities. Effective integration

Khung COSO ERM cung cấp cơ sở để phối hợp và tích hợp tất cả các hoạt động quản lý
rủi ro của một tổ chức. Tích hợp hiệu quả

● Improves decision making and
● Enhances performance.
● Cải thiện việc ra quyết định
● Nâng cao hiệu quả

Effective enterprise risk management can
Quản lý rủi ro doanh nghiệp hiệu quả có thể:

● Increase the range of opportunities

● Gia tăng chuỗi cơ hội
● Identify and manage risk entity wide
● Xác định và quản lý rủi ro trên toàn doanh nghiệp
● Increase positive outcomes

● Gia tăng kết quả tích cực
● Reduce performance variability
● Giảm khả năng thay đổi hiệu quả
● Improve resource deployment
● Cải thiện khai thác tài nguyên
● Enhance enterprise resilience
● Nâng cao khả năng thích nghi doanh nghiệp.

ERM Definition and Concepts (Khái niệm và định nghĩa ERM)

ERM is based on the premise that every organization exists to provide value for its
stakeholders. Accordingly, ERM is defined as

ERM dựa trên cơ sở mọi tổ chức tồn tại để cung cấp giá trị cho các bên liên quan.
Theo đó, ERM được định nghĩa là

The culture, capabilities, and practices, integrated with strategy-setting and performance,
that organizations rely on to manage risk in creating, preserving, and realizing value.

Văn hóa, khả năng và hoạt động, được tích hợp với việc thiết lập chiến lược và hiệu suất, mà
các tổ chức dựa vào để quản lý rủi ro trong việc tạo ra, duy trì và hiện thực hóa giá trị.

Key Concepts (Các khái niệm chính)

Culture consists of “[t]he attitudes, behaviors, and understanding about risk, both
positive and negative, that influence the decisions of management and personnel and
reflect the mission, vision, and core values of the organization.”

Văn hóa bao gồm “Thái độ, hành vi và sự hiểu biết về rủi ro, cả tích cực và tiêu cực, ảnh hưởng
đến quyết định của cấp quản lý và cá nhân và tương phản với sứ mệnh, tầm nhìn và giá trị cốt lõi

của tổ chức”

● Mission is the organization’s core purpose.

● Sứ mệnh là mục tiêu cốt lõi của tổ chức.
● Vision is the organization’s aspirations for what it intends to achieve over time.
● Tầm nhìn là khát vọng của tổ chức về những gì tổ chức dự định đạt được theo thời gian.
● Core values are the organization’s essential beliefs about what is acceptable or

unacceptable.
● Giá trị cốt lõi là niềm tin cơ bản của tổ chức về những gì được chấp nhận hoặc không được chấp

nhận.

Capabilities are the skills needed to carry out the entity’s mission and vision.

Năng lực là những kỹ năng cần thiết để thực hiện sứ mệnh và tầm nhìn của tổ chức.

Practices are the collective methods used to manage risk.

Phương pháp là các phương pháp chung được sử dụng để quản lý rủi ro.

SU 5: Risk Management 9

Integrating Strategy Setting and Performance
Tính hợp chiến lược và hoạt động

Risk must be considered in setting strategy, business objectives, performance targets, and
tolerance.


Rủi ro phải được xem xét trong việc thiết lập chiến lược, mục tiêu kinh doanh, mục tiêu
hoạt động và khả năng chịu đựng.

● Strategy communicates how the organization will achieve its mission and vision and
apply its core values. ERM enhances strategy selection.

● Chiến lược truyền đạt cách thức tổ chức sẽ đạt được sứ mệnh và tầm nhìn cũng như
áp dụng các giá trị cốt lõi của mình. ERM tăng cường lựa chọn chiến lược.

● Business objectives are the steps taken to achieve the strategy.

● Mục tiêu kinh doanh là các bước thực hiện để đạt được chiến lược.

● Tolerance is the range of acceptable variation in performance results. (This term is
identical to “risk tolerance” in the COSO internal control framework.)

● Mức độ chịu đựng là phạm vi thay đổi có thể chấp nhận được trong kết quả hoạt
động. (Thuật ngữ này giống hệt với “sự chấp nhận rủi ro” trong khn khổ kiểm
sốt nội bộ của COSO.)

The organization considers the effect of strategy on its risk profile and portfolio view.

● Risk profile is a composite view of the types, severity, and interdependencies of risks
related to a specific strategy or business objective and their effect on performance.

● Hồ sơ rủi ro là một cái nhìn kết hợp các loại, mức độ nghiêm trọng và sư phụ thuộc lẫn
nhau của rủi ro liên quan đến mục tiêu chiến lược và mục tiêu kinh doanh cụ thể và
ảnh hưởng của chúng đến hiệu quả.

■ A risk profile may be created at any level (e.g., entity, division, operating unit,

or function) or aspect (e.g., product, service, or geography) of the organization.

■ Hồ sơ rủi ro có thể được tạo ở các cấp độ (tổ chức, bộ phận, đơn vị kinh doanh,
hoạt động) hoặc các khía cạnh (sản phẩm, dịch vụ, khu vực)

Risk Profile

Figure 5-1

● Portfolio view is similar to a risk profile.
● Portfolio view cũng tương tự như hồ sơ rủi ro.

■ The difference is that it is a composite view of the risks related to entity-wide
strategy and business objectives and their effects on entity performance.

■ Sự khác biệt là nó là một cái nhìn tổng hợp về các rủi ro liên quan đến chiến
lược toàn đơn vị và các mục tiêu kinh doanh và tác động của chúng đối với
hiệu quả hoạt động của đơn vị.

10 SU 5: Risk Management

Managing Risk (Quản lý rủi ro)

Risk is “[t]he possibility that events will occur and affect the achievement of strategy
and business objectives.”

Rủi ro là “khả năng các sự kiện sẽ xảy ra và ảnh hưởng đến việc đạt được các mục
tiêu chiến lược và kinh doanh.”

Risk inventory consists of all identified risks that affect strategy and business objectives.


Danh sách rủi ro bao gồm tất cả các rủi ro đã xác định ảnh hưởng đến mục tiêu chiến
lược và mục tiêu kinh doanh.

Risk capacity is the maximum amount of risk the organization can assume.

Dung tích rủi ro là mức độ rủi ro tối đa mà tổ chức có thể gánh chịu.

Risk appetite consists of the amount and types of risk the organization is willing to
accept in pursuit of value.

Khẩu vị rủi ro bao gồm số lượng và loại rủi ro mà tổ chức sẵn sàng chấp nhận để theo
đuổi chuỗi giá trị.

Actual residual risk is the risk remaining after taking management actions to alter its
severity. Actual residual risk should be equal to or less than target residual risk.

Rủi ro còn lại thực tế là rủi ro còn lại sau khi thực hiện các hành động quản lý để thay
đổi mức độ nghiêm trọng của nó.

Inherent risk is the risk in the absence of management actions to alter its severity.

Rủi ro cố hữu là rủi ro khi khơng có các hành động quản lý để thay đổi mức độ nghiêm
trọng của nó.
● Actual residual risk remains after management actions to alter its severity.
● Rủi ro còn lại thực tế vẫn còn sau các hành động quản lý để thay đổi mức độ nghiêm

trọng của nó.

Risk response is an action taken to bring identified risks within the organization’s risk

appetite.

Cách thức ứng phó rủi ro là một hoạt động để mang cấc rủi ro (đã được xác định) về mức chấp nhận
của doanh nghiệp.
● A residual risk profile includes risk responses.
● Hồ sơ rủi ro còn lại bao gồm các ứng phó rủi ro.

Target residual risk is the risk the entity prefers to assume knowing that management
has acted or will act to alter its severity.

Rủi ro còn lại mục tiêu là rủi ro mà tổ chức muốn giả định khi biết rằng ban quản lý
đã hành động hoặc sẽ hành động để thay đổi mức độ nghiêm trọng của nó.

ERM Roles and Responsibilities (Vai trò và trách nhiệm của ERM)

The board provides risk oversight of ERM culture, capabilities, and practices.
However, the board can delegate to the following specialized committees:

HĐQT cung cấp giám sát rủi ro về văn hóa, khả năng và thực tiễn hoạt động quản lý
rủi ro (ERM). Tuy nhiên, hội đồng quản trị có thể ủy quyền cho các ủy ban chuyên
trách sau:

● An audit committee (often required by regulators),

● Một ủy ban kiểm toán (thường được yêu cầu bởi cơ quan chức năng),
● A risk committee that directly oversees ERM, and
● Một ủy ban rủi ri giám sát trực tiệp ERM, và
● An executive compensation committee.
● Một ủy ban lương thưởng điều hành.


Management has overall responsibility for ERM and is generally responsible for the day-to-
day
managing of risk, including the implementation and development of the COSO ERM
framework.
Ban quản lý có trách nhiệm chung đối với ERM và chịu trách nhiệm chung đối với việc
quản lý rủi ro hàng ngày, bao gồm việc triển khai và phát triển khuôn khổ COSO ERM.

● Within management, the CEO has ultimate responsibility for ERM and achievement of
strategy and business objectives.

● Trong phạm vi quản lý, CEO có trách nhiệm cuối cùng đối với ERM và việc đạt được
các chiến lược và mục tiêu kinh doanh.

An organization may designate a risk officer as a centralized coordinating point to
facilitate risk management across the entire enterprise.

Một tổ chức có thể chỉ định một giám đốc quản lý rủi ro làm đầu mối điều phối tập
trung để hỗ trợ quản lý rủi ro trên toàn doanh nghiệp.