31

Study Unit Six

Controls: Types and Frameworks

6.1 2
6.2 10
6.3 23

This study unit is the third of four covering Domain V: Governance, Risk Management, and Control
from The IIA’s CIA Exam Syllabus. This domain makes up 35% of Part 1 of the CIA exam and is
tested at the basic and proficient cognitive levels. The four study units are
● Study Unit 4: Governance
● Study Unit 5: Risk Management
● Study Unit 6: Controls: Types and Frameworks
● Study Unit 7: Controls: Application

The learning objectives of Study Unit 6 are
● Interpret internal control concepts and types of controls3
● Trình bày các khái niệm về Kiểm sốt nội và và các loại kiểm soát.
● Apply globally accepted internal control frameworks appropriate to the organization (COSO, etc.)
● Ứng dụng các khung thực hành kiểm soát nội bộ được chấp nhận toàn cầu phù hợp với tổ chức

(COSO,…)
● Examine the effectiveness and efficiency of internal controls
● Đánh giá hiệu quả và hiệu suất của KTNB.

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

Control activities are the policies and procedures that help ensure that management directives are

carried out. Whether automated or manual, they have various objectives and are applied at various
levels. Relevant controls ordinarily address the entity’s objectives related to the preparation of fairly
presented financial statements, including management of risks of material misstatements.
Hoạt động KTNB là các chính sách và thủ tục giúp đảm bảo các chỉ thị quản lý được thực hiện. Dù tự
động hay thủ cơng, chúng đều có các mục tiêu khác nhau và được áp dụng ở các mức độ khác nhau.
Các kiểm sốt thích hợp thường giải quyết các mục tiêu liên quan đến việc lập BCTC được trình bày
hợp lý, bao gồm cả việc quản lý rủi ro có sai sót trọng yếu.
Effective controls assist with, but are not limited to, the safeguarding of assets, reliability of financial
reporting, effectiveness and efficiency of operations, and compliance with applicable laws and
regulations.
Các biện pháp kiểm soát hiệu quả hỗ trợ, nhưng không giới hạn ở việc bảo vệ tài sản, độ tin cậy của
báo cáo tài chính, hiệu lực và hiệu quả của hoạt động cũng như tuân thủ luật pháp và quy định hiện
hành.

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

2 SU 6: Controls: Types and Frameworks

6.1 Overview of Control
Tổng quan về Kiểm soát nội bộ

Success Tip
Many questions on the CIA exam address controls. Few such questions are answerable based on
memorization. Moreover, no study aid can feasibly present comprehensive lists of procedures. Thus,
candidates must be able to apply reasoning processes and knowledge of auditing concepts to
unfamiliar situations involving controls. By answering our questions, you will be able to synthesize,
understand, and apply internal control theory to scenarios on the CIA exam.
Nhiều câu hỏi trong kỳ thi CIA trình bày về KSNB. Rất ít câu hỏi như vậy có thể trả lời được dựa trên
sự ghi nhớ. Hơn nữa, khơng có cơng cụ hỗ trợ học tập nào có thể trình bày một cách khả thi danh
sách các đầy đủ các thủ tục. Do đó, các ứng viên phải có khả năng áp dụng các quy trình và kiến thức

một cách có logic về các ý tưởng kiểm tốn với các tình huống khơng thân thuộc liên quan đến các
kiểm soát. Bằng việc trả lời các câu hỏi của chúng tơi, bạn sẽ có khả năng tổng hợp, hiểu và áp dụng
các lý thuyết kiểm soát nội bộ vào các tình huống trong bài kiểm tra CIA.

Control Definitions from The IIA Glossary
Định nghĩa kiểm soát theo Từ điển IIA

Control is “any action taken by management, the board, and other parties to manage risk and
increase the likelihood that established objectives and goals will be achieved. Management plans,
organizes, and directs the performance of sufficient actions to provide reasonable assurance that
objectives and goals will be achieved.”
Kiểm soát là “bất kỳ hành động nào được thực hiện bởi ban quản lý, hội đồng quản trị và các bên
khác để quản lý rủi ro và gia tăng khả năng đạt được các mục tiêu và mục đích đã thiết lập. Ban quản
lý lập kế hoạch, tổ chức và chỉ đạo việc thực hiện các hành động thích hợp để cung cấp sự đảm bảo
hợp lý rằng các mục tiêu và mục đích sẽ đạt được.”
Control processes are “the policies, procedures (both manual and automated), and activities that are
part of a control framework, designed and operated to ensure that risks are contained within the level
that an organization is willing to accept.”
Các quy trình kiểm sốt là “các chính sách, thủ tục (cả thủ cơng và tự động) và các hoạt động là một
phần của khung kiểm soát, được thiết kế và vận hành để đảm bảo rằng các rủi ro được bao hàm
trong mức độ mà một tổ chức sẵn sàng chấp nhận.”

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

Control environment is “[t]he attitude and actions of the board and management regarding the
importance of control within the organization. The control environment provides the discipline and
structure for the achievement of the primary objectives of the system of internal control. The control
environment includes the following elements:
Mơi trường kiểm sốt là “thái độ và hành động của hội đồng quản trị và ban quản lý liên quan đến
tầm quan trọng của kiểm sốt trong tổ chức. Mơi trường kiểm sốt cung cấp các nguyên tắc và cơ chế

để đạt được các mục tiêu chính của hệ thống kiểm sốt nội bộ. Mơi trường kiểm soát bao gồm các
yếu tố sau:
● Integrity and ethical values
● Tính chính trực và các giá trị đạo đức
● Management’s philosophy and operating style
● Triết lý và phong cách điều hành của ban quản lý
● Organizational structure
● Sơ đồ tổ chức
● Assignment of authority and responsibility
● Phân công quyền hạn và trách nhiệm
● Human resource policies and practices
● Các chính sách và hoạt động quản lý nhân sự
● Competence of personnel”
● Năng lực của nhân viên.”

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

SU 6: Controls: Types and Frameworks 3

The Control Process (Quy trình kiểm sốt)

Control requires feedback on the results of organizational activities for the purposes of measurement
and correction.
Kiểm soát yêu cầu các thông tin phản hồi về kết quả của các hoạt động của tổ chức nhằm mục đích
đo lường và điều chỉnh.
The control process includes the following:

The control process includes the following: Figure 6-1
1. Establishing standards for the operation to be controlled.
2. Measuring performance against the standards

3. Examining and analyzing deviations
4. Taking corrective action
5. Reappraising the standards based on experience
1. Xây dựng tiêu chuẩn cho các hoạt động được kiểm soát
2. Đo lường hiệu quả so với các tiêu chuẩn
3. Kiểm tra và phân tích các sai lệch
4. Thực hiện các hành động khắc phục
5. Đánh giá lại tiêu chuẩn dựa trên kinh nghiệm

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

An evaluation-reward system should be implemented to encourage compliance with the control
system.
Một hệ thống đánh giá khen thưởng nên được thực hiện để khuyến khích việc tuân thr hệ thống
KSNB.
Internal control only provides reasonable assurance of achieving objectives. It cannot provide absolute
assurance because any system of internal control has the following inherent limitations:
Kiểm soát nội bộ chỉ cung cấp sự đảm bảo hợp lý để đạt được các mục tiêu. Nó khơng thể cung cấp
sự đảm bảo tuyệt đối vì bất kỳ hệ thống kiểm soát nội bộ nào cũng có những hạn chế cố hữu sau:
● Human judgment is faulty, and controls may fail because of simple errors or mistakes.
● Khả năng phán đoán của con người bị sai, và các kiểm sốt có thể bị sau vì các lỗi hoặc sai sót

đơn giản.
● Management may inappropriately override internal controls, e.g., to fraudulently achieve revenue

projections or hide liabilities.
● BQL có thể áp đặt các biện pháp kiểm sốt nội bộ một cách khơng thích hợp để đạt được gian lận

các kế hoạch doanh thu hoặc che giấu các trách nhiệm pháp lý.
● Manual or automated controls can be circumvented by collusion.

● Các biện pháp kiểm soát tự động hoặc thủ cơng có được tránh né bằng cách thơng đồng.
● The cost of internal control must not be greater than its benefits.
● Chi phí cho kiểm sốt nội bộ có thể lớn hơn lợi ích.

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

4 SU 6: Controls: Types and Frameworks

Characteristics of Automated Processing (Đặc điểm của xử lý tự động)

The use of computers in business information systems has fundamental effects on the nature of
business transacted, the procedures followed, the risks incurred, and the methods of mitigating those
risks.
Việc sử dụng máy tính trong hệ thống thơng tin doanh nghiệp có ảnh hưởng cơ bản đến bản chất của
các giao dịch kinh doanh, các thủ tục liên quan, các rủi ro phát sinh và các phương pháp giảm thiểu
các rủi ro đó.
● These effects result from the characteristics that distinguish computer-based from manual

processing.
● Những ảnh hưởng này là kết quả của các đặc điểm phân biệt xử lý dựa trên máy tính với xử lý thủ

cơng.

Audit Trails (Dấu vết kiểm toán)

An audit trail is a record by which accounting measurements, details of a trade, or other financial data
can be traced back to its source. Audit trails can be used to verify and track transactions. For example,
a transaction processing system can trace a purchase back to a copy of the purchase order to see
when the items were ordered and who authorized the order.
Dấu vết kiểm toán là một bản ghi chép các đo lường kế toán, các bước chi tiết của một giao dịch hoặc

các dữ liệu tài chính khác có thể truy ngược lại nguồn gốc của nó. Dấu vế kiểm tốn có thể được sử
dụng để xác minh và truy vết các giao dịch. Ví dụ, một hệ thống xử lý các giao dịch có thể truy vết việc
mua hàng với một bản sao của đơn đặt hàng để xem thời gian các mặt hàng được order và ai đã phê
duyệt đơn đặt hàng.

● A complete trail useful for audit and other purposes might exist for only a short time or only in
computer-readable form.

● Một dấu vết hồn chỉnh hữu ích cho kiểm tốn và các mục đích khác có thể chỉ tồn tại một thời
gian ngắn hoặc ở dạng máy tính có thể đọc được.

● The nature of the trail is often dependent on the transaction processing mode. For example,
transactions may be batched prior to processing or processed immediately as they happen.

● Bản chất của các dấu vết thường phụ thuộc vào cách thức xử lý các giao dịch. Ví dụ, các giao dịch
có thể được xử lý theo lô trước các giao dịch chi tiết hoặc xử lý ngay lập tức khi giao dịch phát
sinh.

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

Uniform Processing of Transactions (Xử lý thống nhất các giao dịch)

Computer processing uniformly subjects similar transactions to the same processing instructions and
thus virtually eliminates clerical error.
Máy tính xử lý đồng thống nhất các giao dich theo cùng hướng dẫn xử lý và do đó hầu như loại bỏ
lỗi văn thư.
● But programming errors (or other similar systematic errors in either the hardware or software) will

result in all similar transactions being processed incorrectly when they are processed under the
same conditions.

● Nhưng lỗi chương trình (hoặc các lỗi hệ thống tương tự khác trong phần cứng hoặc phần mềm) sẽ
dẫn đến việc tất cả các giao dịch tương tự bị xử lý không chính xác khi chúng được xử lý trong
cùng một điều kiện.

Segregation of Duties (Sự phân chia nhiệm vụ)

For any given transaction, certain functions should be performed by separate individuals in different
parts of the organization.
Đối với bất kỳ giao dịch nhất định nào, các chức năng nhất định phải được thực hiện bởi các cá nhân
riêng biệt ở các bộ phận khác nhau của tổ chức.
The internal control system is designed to detect fraud by one person but not fraud by collusion or
management override.
Hệ thống kiểm soát nội bộ được thiết kế để phát hiện gian lận do một người thực hiện chứ không phát
hiện gian lận do thơng đồng hoặc ban quản lý chi phối.

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

SU 6: Controls: Types and Frameworks 5

Segregation of Functions: Computer-Based Systems
Sự phân chia chức năng: Các hệ thống dựa trên máy tính

Many controls once performed by separate individuals may be concentrated in computer systems.
Thus, an individual who has access to the computer may perform incompatible functions.
Nhiểu kiểm soát từng được thực hiện bởi các cá nhân riêng biệt có thể được tập trung trong hệ thống
máy tính.
● As a result, other controls may be necessary to achieve the control objectives ordinarily

accomplished by segregation of functions.
● Kết quả là, các biện pháp kiểm sốt khác có thể cần thiết để đạt được các mục tiêu kiểm sốt


thường được hồn thành bằng cách tách biệt các chức năng.

Example 6-1 Computer-Generated Documents

Receiving cash, issuing a receipt to a payor, preparing a , and preparing a journal entry may once have been performed by s
Nhận tiền mặt, phát hành biên lai cho người trả tiền, chuẩn bị một phiếu gửi tiền vào ngân hàng, và chuẩn bị ghi sổ nhật ký c

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

Potential for Errors and Fraud (Khả năng xảy ra sai sót và gian lận)

The potential for individuals, including those performing control procedures, to gain unauthorized
access to data, to alter data without visible evidence, or to gain access (direct or indirect) to assets
may be greater in computer systems.
Khả năng các cá nhân, bao gồm cả những người thực hiện các thủ tục kiểm soát, đạt được quyền
truy cập trái phép vào dữ liệu, để thay đổi dữ liệu mà khơng có bằng chứng rõ ràng, hoặc đạt được
quyền truy cập vào các tài sản có thể lớn hơn trong các hệ thống máy tính.
Decreased human involvement in handling transactions can reduce the potential for errors and fraud
resulting from human observation. On the other hand, errors or fraud in the design or changing of
application programs can remain undetected for a long time.
Giảm sự tham gia của con người trong việc xử lý các giao dịch có thể giảm thiểu khả năng xảy ra các
gian lận và sai sót xuất phát từ sự giám sát của con người. Mặt khác, các lỗi hoặc gian lận trong việc
thiết kế hoặc thay đổi các chương trình ứng dụng có thể khơng bị phát hiện trong một thời gian dài.

Example 6-2 Purchase Orders in an Electronic Data Interchange (EDI) System
Đơn đặt hàng trong hệ thống trao đổi dữ liệu điện tử
d

EDI is the communication of electronic documents directly from a computer in one entity to a computer in another entity. EDI

Trao đổi dữ liệu điện tử là cách thức truyền thông tin tài liệu điện tử từ một máy tính ở đơn vị này tới một máy tính ở đơn vị k
An enterprise resource planning system (ERP) at a manufacturing company may automatically generate a purchase order
Một hệ thống hoạch định nguồn lực doanh nghiệp của một công ty sản xuất có thể tạo tự động một đơn đặt hàng khi tồn kho

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

6 SU 6: Controls: Types and Frameworks

Potential for Increased Management Supervision
(Khả năng nâng cao giám sát quản lý)

Computer systems offer management many analytical tools for review and supervision of operations.
These additional controls may enhance internal control.

Hệ thống máy tính cung cấp cho ban quản lý nhiều công cụ phân tích để xem xét và giám sát các hoạt
động. Những kiểm sốt bổ sung này có thể tăng cường kiểm soát nội bộ.

● Traditional comparisons of actual and budgeted operating ratios and reconciliations of accounts are
often available for review on a more timely basis.

● Các so sánh truyền thống giữa tỷ lệ sử dụng hoạt động ngân sách thực tế và đối chiều tài khoản
thường có sẵn để xem xét kịp thời.

● Furthermore, some programmed applications provide statistics regarding computer operations that
may be used to monitor actual processing.

● Hơn nữa, một số ứng dụng được lập trình cung cấp các số liệu thống kê về các hoạt động máy tính
có thể được sử dụng để giám sát quá trình xử lý thực tế.

Initiation or Subsequent Execution of Transactions by Computer

Bắt đầu hoặc thực hiện các giao dịch sau đó bằng máy tính

Certain transactions may be automatically initiated or certain procedures required to execute a
transaction may be automatically performed by a computer system.

Các giao dịch nhất định có thể bắt đầu được tự động hóa hoặc các thủ tục được yêu cầu để thực hiện
một giao dịch có thể được thực hiện bởi hệ thống máy tính.
● The authorization of these transactions or procedures may not be documented in the same way as

those in a manual system. Accordingly, management’s authorization may be implicit in its
acceptance of the design of the system.
● Việc cấp phép cho các giao dịch hoặc thủ tục này có thể không ban hành thành tài liệu theo cách
thủ cơng. Theo đó, sự cho phép của BQL có thể ngầm hiểu cho việc chấp nhận thiết kế hệ thống.

Dependence of Controls in Other Areas on Controls over Computer
Processing

Computer processing may produce reports and other output that are used in performing manual
control procedures.

Quá trình xử lý của máy tính có thể tạo ra các báo cáo và kết quả đầu ra khác được sử dụng để thực
hiện các quy trình kiểm sốt thủ cơng.

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

● The effectiveness of these controls can be dependent on the effectiveness of controls over the
completeness and accuracy of computer processing. The effectiveness of a manual review of a
computer-produced exception listing is dependent on the controls over the production of the listing.

● Hiệu quả của các biện pháp kiểm sốt này có thể phụ thuộc vào hiệu quả của các biện pháp kiểm

sốt đối với tính đầy đủ và chính xác của q trình xử lý bằng máy tính. Hiệu quả của việc xem xét
thủ công danh sách ngoại lệ do máy tính tạo ra phụ thuộc vào các biện pháp kiểm soát đối với việc
tạo ra danh sách đó.

Computer-produced exception listing là một danh sách được tạo ra bởi máy tính hiển thị
thơng tin về các ngoại lệ (exceptions) đã xảy ra trong quá trình thực thi một chương trình
máy tính. Khi một chương trình gặp phải một ngoại lệ, máy tính sẽ tạo ra một báo cáo chi
tiết về ngoại lệ đó, bao gồm thơng tin về vị trí xảy ra, mã lỗi, nguyên nhân và các thông
tin liên quan khác. Exception listing có thể giúp nhà phát triển và quản trị viên hệ thống
phân tích và gỡ lỗi chương trình để tìm ra nguyên nhân gây ra ngoại lệ và sửa chữa
chương trình.

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

SU 6: Controls: Types and Frameworks 7

Manual Controls (Human Action) vs. Automated Controls (Electronic
Action)

Kiểm sốt thủ cơng (Hành động của con người) so với Kiểm soát tự động
(Hành động điện tử)

Manual controls (such as bank reconciliations or sign-offs on hard copy or electronic documents) may
be more suitable where judgment and discretion are required, such as

Các kiểm sốt thủ cơng (chẳng hạn như đối chiếu số dư ngân hàng hoặc phê duyệt trên tài liệu cứng
hoặc tài liệu điện tử) có thể phù hợp hơn khi cần có sự đánh giá và hành động thận trọng, chẳng hạn
như:
● For large, unusual, or nonrecurring transactions;
● Đối với các giao dịch lớn, bất thường và không hay xảy ra;

● For circumstances where misstatements are difficult to define, anticipate, or predict;

● Đối với các trường hợp khó xác định, lường trước hoặc dự đốn sai sót;
● In changing circumstances that require a control response outside the scope of an existing

automated control; and

● Trong các tình huống thay đổi địi hỏi phải có phản ứng kiểm sốt nằm ngồi phạm vi kiểm sốt tự
động hiện có; Và

● In monitoring the effectiveness of automated controls.

● Trong việc giám sát hiệu quả của các kiểm soát tự động.
Automated controls are suitable for

Các kiểm soát tự động phù hợp với
● High-volume transactions that require additional calculations.
● Giao dịch khối lượng lớn u cầu các tính tốn đặc biệt.
● Routine errors that can be predicted and corrected.
● Các lỗi thơng thường có thể dự đoán và sửa chữa.
● Circumstances that require a high degree of accuracy.
● Các tình huống yêu cầu độ chính xác cao.

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

8 SU 6: Controls: Types and Frameworks

Roles of Internal Auditors in Control
Vai trị của Kiểm tốn viên nội bộ trong kiểm soát


Performance Standard 2130 Control
The internal audit activity must assist the organization in maintaining effective controls by evaluating their effectiveness and efficienc
Hoạt động kiểm toán nội bộ phải hỗ trợ tổ chức trong việc duy trì các biện pháp kiểm soát hiệu quả bằng cách đánh giá hiệu lực và

Implementation Standard 2130.A1

The internal audit activity must evaluate the adequacy and effectiveness of controls in responding to risks within
the organization’s governance, operations, and information systems regarding the:

Hoạt động kiểm toán nội bộ phải đánh giá tính đầy đủ và hiệu quả của các biện pháp kiểm sốt trong việc ứng
phó với các rủi ro trong quản trị, hoạt động và hệ thống thông tin của tổ chức liên quan đến:

● Achievement of the organization’s strategic objectives.

● Việc đạt được các mục tiêu chiến lược của tổ chức.

● Reliability and integrity of financial and operational information.

● Độ tin cậy và minh bạch của thơng tin tài chính và hoạt động.

● Effectiveness and efficiency of operations and programs.

● Hiệu quả và hiệu suất của các chương trình và hoạt động.

● Safeguarding of assets.

● Các biện pháp bảo vệ tài sản.

● Compliance with laws, regulations, policies, procedures, and contracts.


● Sự tuân thủ với hợp động, thủ tục, chính sách, quy định và luật.

Implementation Standard 2130.C1
Internal auditors must incorporate knowledge of controls gained from consulting engagements into evaluation of
the organization’s control processes.

Các KTVNB phải kết hợp các kiến thức về kiểm soát đạt được từ các cuộc kiểm toán tư vấn vào việc đánh giá
chương trình kiểm sốt của tổ chức.

Implementation Standard 2210.A3
Adequate criteria are needed to evaluate governance, risk management, and controls. Internal auditors must
ascertain the extent to which management and/or the board has established adequate criteria to determine
whether objectives and goals have been accomplished. If adequate, internal auditors must use such criteria in
their evaluation. If inadequate, internal auditors must identify appropriate evaluation criteria through discussion
with management and/or the board.
Cần có các tiêu chí đầy đủ để đánh giá các kiểm soát, quản lý rủi ro, quản trị. Các KTVNB phải xác định chắc
chắn các mức độ mà BQL và HĐQT thiết lập đầy đủ các tiêu chí để xác định liệu các mục đích và mục tiêu có
đạt được hay khơng? Nếu đầy đủ, kiểm toán viên nội bộ phải sử dụng các tiêu chí đó trong đánh giá của họ.
Nếu khơng đầy đủ, kiểm toán viên nội bộ phải xác định các tiêu chí đánh giá phù hợp thơng qua thảo luận với
ban quản lý và/hoặc hội đồng quản trị.
Controls mitigate risks at the entity, activity, and transaction levels. The roles and responsibilities are

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

as follows:
Các biện pháp kiểm soát giảm thiểu rủi ro ở cấp độ thực thể, hoạt động và giao dịch. Các vai trò và
trách nhiệm như sau:
● Senior management oversees the establishment, administration, and assessment of the system

of controls.

● Quản lý cấp cao giám sát việc thiết lập, quản lý và đánh giá hệ thống kiểm soát.
● Managers assess controls within their responsibilities.
● Các nhà quản lý đánh giá các biện pháp kiểm soát trong phạm vi trách nhiệm của họ.
● The internal auditors provide assurance about the effectiveness of existing controls.
● Các KTVNB cung cấp các đảm bảo về tính hiệu quả của các biện pháp kiểm sốt đang hiện hữu.

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

SU 6: Controls: Types and Frameworks 9’’

In fulfilling their responsibilities, internal auditors should

Trong việc thực hiện trách nhiệm của mình, KTV nội bộ nên:

● Clearly understand control and typical control processes

● Hiểu rõ về kiểm soát và các quy trình kiểm sốt điển hình
● Consider risk appetite, risk tolerance, and risk culture
● Xem xét khẩu vị rủi ro, khả năng hứng chịu rủi ro và văn hóa rủi ro
● Understand the critical risks that could prevent reaching objectives
● Hiểu những rủi ro trọng yếu có thể ngăn cản khả năng đạt được mục tiêu
● Understand the controls that mitigate risks
● Nắm rõ các biện pháp kiểm soát giảm thiểu rủi ro
● Understand the control framework(s) used
● Nẵm được khung kiểm soát được sử dụng
● Have a process for planning, auditing, and reporting control problems
● Có một chu trình cho việc lên kế hoạch, kiểm toán và báo cáo về các vấn đề kiểm soát.

Evaluating the Effectiveness of Controls


Đánh giá hiệu quả của các biện pháp kiểm soát
Controls should be assessed relative to risks at each level. A risk and control matrix (Figure 6-2 in
Subunit 6.2 on page 19) may be useful to
Các biện pháp kiểm soát cần được đánh giá tương ứng với các rủi ro ở mỗi cấp độ. Ma trận rủi ro và
kiểm sốt có thể hữu ích để
● Identify objectives and related risks.
● Xác định mục tiêu và các rủi ro liên quan.
● Determine the significance of risks (impact and likelihood).
● Xác định tầm ảnh hưởng của rủi ro (tác động và khả năng xảy ra)
● Determine responses to the significant risks (for example, accept, pursue, transfer, mitigate, or

avoid).
● Xác định các biện pháp ứng phó với các rủi ro quan trọng (ví dụ : chấp nhận, theo đuổi, chuyển

giao, giảm thiểu hoặc tránh)
● Determine key management controls.
● Xác định các biện pháp kiểm sốt chính.
● Evaluate the adequacy of control design.
● Đánh giá tính đầy đủ của việc thiết kế các kiểm sốt.

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

● Test adequately designed controls to ascertain whether they have been implemented and are
operating effectively.

● Kiểm tra các biện pháp kiểm soát được thiết kế phù hợp để xác định xem chúng đã được triển khai
và vận hành hiệu quả hay chưa.

Evaluating the Efficiency of Controls


Đánh giá hiệu quả của các biện pháp kiểm soát
The internal auditors consider whether management monitors the costs and benefits of control. The
issue is whether resources used exceed the benefits and controls create significant issues (for
example, error, delay, or duplication of effort).
Kiểm toán viên nội bộ xem xét liệu ban quản lý có giám sát chi phí và lợi ích của việc kiểm sốt hay
khơng. Vấn đề là liệu các nguồn lực được sử dụng có vượt quá lợi ích hay khơng và các biện pháp
kiểm sốt có tạo ra các vấn đề lớn hay khơng (ví dụ: lỗi, chậm trễ hoặc trùng lặp nỗ lực).

The level of a control should be appropriate to the relevant risk.
Các cấp độ kiểm soát nên phù hợp với các rủi ro liên quan.

Promoting Continuous Improvement

Thúc đẩy các cải tiến liên tục
The CAE may recommend a control framework if none exists. The internal audit activity also may
recommend improvements in the control environment (for example, the tone at the top should
promote an ethical culture and not tolerate noncompliance).
CAE nên khuyến nghị một khung kiểm sốt nếu doanh nghiệp khơng có. Hoạt động KTNB cũng
khuyến nghị cải tiến mơi trường kiểm sốt (Ví dụ: văn hóa doanh nghiệp nên thúc đẩy một văn hóa
đạo đức và không chấp nhận việc không tuân thủ)
Continuous improvement of controls involves
Việc cải tiến liên tục các biện pháp kiểm soát bao gồm
● Training and ongoing self-monitoring
● Đào tạo và tự giám sát liên tục
● Control (or risk and control) assessment meetings with managers
● Các cuộc họp đánh giá kiểm soát (hoặc rủi ro và kiểm soát) với các nhà quản lý
● A logical structure for documentation, analysis, and assessment of design and operation
● Một cơ chế phù hợp cho việc ghi nhận, phân tich và đánh giá việc thiết kế và vận hành hệ thống

KSNB

● Identification, evaluation, and correction of control weaknesses
● Xác định, đánh giá và khắc phục các kiểm soát yếu kém
● Informing managers about new issues, laws, and regulations
● Thông tin tới các quản lý về các vấn đề, luật, quy định mới
● Monitoring relevant technical developments (Implementation Guide 2130)
● Giám sát các phát triển kỹ thuật liên quan.

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

10 SU 6: Controls: Types and Frameworks

6.2 Types of Controls

Primary Controls (Các kiểm sốt chính)

Preventive controls deter the occurrence of unwanted events.
Kiểm sốt phịng ngừa ngăn chặn sự xuất hiện của các sự kiện không mong muốn.
● Storing petty cash in a locked safe and segregating duties, e.g., using a lockbox system, are

examples.
● Cất giữ tiền mặt trong két an tồn có khóa và phân chia nhiệm vụ, ví dụ sử dụng hệ thống

hộp khóa chẳng hạn.
● IT examples include

■ Designing a database so that users cannot enter a letter in the field that stores a Social Security
number and

■ Thiết kế cơ sở dữ liệu sao cho người dùng không thể nhập một chữ cái vào trường lưu trữ các
số liệu An Ninh, Xã hội


■ Requiring the number of invoices in a batch to be entered before processing begins.
■ Yêu cầu nhập số lượng hóa đơn trong một lơ trước khi bắt đầu xử lý.
Detective controls alert the proper people after an unwanted event. They are effective when
detection occurs before material harm occurs.

Kiểm soát phát hiện cảnh báo những người thích hợp sau một sự kiện khơng mong muốn.
Chúng có hiệu quả khi phát hiện các sự cố trước khi thiệt hại vật chất xảy ra.

Example 6-3 Detective Controls

A batch of invoices submitted for processing may be rejected by the computer system if it includes identical payments to a sin
Một lơ hóa đơn được gửi để xử lý có thể bị hệ thống máy tính từ chối nếu nó bao gồm các khoản thanh tốn giống hệt nhau
A alarm is another example.
Chng báo trộm là một ví dụ khác.

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

Corrective controls correct the negative effects of unwanted events.
Kiểm soát khắc phục khắc phục các tác động tiêu cực của các sự kiện không mong muốn.
● An example is a requirement that all cost variances over a certain amount be justified.
● Một ví dụ là tất cả các khoản chênh lệch chi phí vượt một số tiền nhất định cần phải được chứng

minh là đúng.
Directive controls cause or encourage the occurrence of a desirable event. These include the
following:
Kiểm sốt hướng dẫn tạo ra hoặc khuyến khích sự xuất hiện của một sự kiện mong muốn. Chúng
bao gồm những điều sau đây:
● Policy and procedure manuals
● Sổ tay chính sách và thủ tục

● Employee training
● Đào tạo nhân viên
● Job descriptions
● Mơ tả cơng việc

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact

SU 6: Controls: Types and Frameworks 11

Secondary Controls (Kiểm soát phụ)

A secondary control offsets the absence of a key control and acts as a fallback control.
Một kiểm sốt phụ bù đắp cho việc khơng có kiểm sốt chính và hoạt động như một kiểm sốt dự
phịng.
Compensating (mitigative) controls are likely to be established when segregation of duties is not
maintained and/or primary controls are ineffective. Compensating controls may include (1) more
supervision or (2) owner involvement in the process.
Các biện pháp kiểm soát bù (giảm thiểu) có thể được thiết lập khi sự phân chia trách nhiệm khơng
được duy trì và/hoặc các biện pháp kiểm sốt chính khơng hiệu quả. Các biện pháp kiểm sốt đền bù
có thể bao gồm (1) giám sát nhiều hơn hoặc (2) sự tham gia của chủ sở hữu vào quy trình.
● Compensating controls do not, by themselves, reduce risk to an acceptable level.
● Bản thân các biện pháp kiểm soát bù khơng làm giảm rủi ro xuống mức có thể chấp nhận được.

Example 6-4 Compensating Controls in a Cash Sale Environment

The cash sales process often lacks the segregation of duties necessary for the proper framework of control. For
example, the sales clerk often
Quy trình bán hàng thu tiền mặt thường thiếu sự phân chia nhiệm vụ cần thiết cho khung kiểm sốt phù hợp. Ví
dụ nhân viên bán hàng thường.


● Authorizes the sale (e.g., acceptance of a check),

● Phê duyệt việc bán hàng
● Records the sale (i.e., enters it on the sales terminal), and
● Ghi nhận việc bán hàng
● Has custody of the assets related to the sale (i.e., cash and inventory).
● Được quyền quản lý tài sản liên quan đến việc bán hàng (tiền, hàng tồn kho)

Compensating controls include
Kiểm soát bù bao gồm:

● Use of a cash register or sales terminal to record the sale. The terminal makes a permanent record of the
event that the clerk cannot erase.

● Sử dụng máy tính tiền hoặc máy quẹt thẻ để ghi lại việc bán hàng. Thiết bị này tạo ra một bản ghi vĩnh viễn
về sự kiện mà nhân viên bán hàng không thể xóa.

● Assignment of one clerk to be responsible for sales recording and cash receipts during a work period. The
cash drawer can be reconciled with the record of sales and accountability assigned to the clerk.

● Phân công một nhân viên chịu trách nhiệm ghi nhận doanh thu và thu tiền trong thời gian làm việc. Ngăn kéo
đựng tiền có thể được đối chiếu với báo cáo bán hàng và trách nhiệm giải trình được giao cho nhân viên bán
hàng.

● Increased supervision. For example, cameras may be positioned to observe the clerks’ sales recording and
cash collection activities.

● Tăng cường giám sát. Ví dụ, camera có thể được bố trí để quan sát các hoạt động thu tiền và ghi lại doanh
số bán hàng của nhân viên bán hàng.


● Customer audit of the transaction. Displaying the recorded transaction and providing a receipt to the customer

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact