1

Study Unit Eight

Fraud Risks and Controls

8.1 2

8.2 9

8.3 15

This study unit covers Domain VI: Fraud Risks from The IIA’s CIA Exam Syllabus. This
domain makes up 10% of Part 1 of the CIA exam and is tested at the basic and proficient
cognitive levels.

The learning objectives of Study Unit 8 are

● Interpret fraud risks and types of frauds and determine whether fraud risks require
special consideration when conducting an engagement

● Diễn giải rủi ro gian lận và các loại gian lận, đồng thời xác định xem rủi ro gian lận có
cần được xem xét đặc biệt khi thực hiện hợp đồng dịch vụ hay không

● Evaluate the potential for occurrence of fraud (red flags, etc.) and how the organization
detects and manages fraud risks

● Đánh giá khả năng xảy ra gian lận (cờ đỏ, v.v.) và cách tổ chức phát hiện và quản lý rủi
ro gian lận

● Recommend controls to prevent and detect fraud and education to improve the

organization’s fraud awareness

● Đề xuất các biện pháp kiểm soát để ngăn chặn và phát hiện gian lận và giáo dục để
nâng cao nhận thức về gian lận của tổ chức

● Recognize techniques and internal audit roles related to forensic auditing (interview,
investigation, testing, etc.)

● Công nhận các kỹ thuật và vai trị kiểm tốn nội bộ liên quan đến việc hoạt động kiểm
toán điều tra ( Phỏng vấn, Điều tra, Thử nghiệm,…)

Copyright © 2022 Gleim Publications, Inc. All rights reserved. Duplication prohibited. Reward for information exposing violators. Contact


Study Unit 8 covers managing fraud risks through internal controls and the internal audit
function. Management is responsible for establishing and maintaining internal control.
Thus, management also is responsible for the fraud prevention program. Internal auditors
must have sufficient knowledge to evaluate the risk of fraud and the manner in which it is
managed by the organization. An internal auditor’s responsibilities for the detection of
fraud include
Bài học 8 đề cập đến việc quản lý rủi ro gian lận thơng qua kiểm sốt nội bộ và chức năng
kiểm toán nội bộ. Ban Giám đốc chịu trách nhiệm thiết lập và duy trì kiểm sốt nội bộ. Do
đó, ban quản lý cũng chịu trách nhiệm về chương trình phịng chống gian lận. Kiểm tốn
viên nội bộ phải có đủ kiến thức để đánh giá rủi ro gian lận và cách thức quản lý gian lận
của tổ chức. Trách nhiệm của kiểm toán viên nội bộ đối với việc phát hiện gian lận bao
gồm
● Having sufficient knowledge to identify indicators that fraud may have been

committed,
● Có đủ kiến thức để xác định các dấu hiệu cho thấy gian lận có thể đã xảy ra,

● Being alert to opportunities that could allow fraud (e.g., control weaknesses), and
● Cảnh giác với các cơ hội có thể dẫn đến gian lận (ví dụ: các điểm yếu trong kiểm soát)

và
● Being able to evaluate the indicators of fraud sufficiently to determine whether a fraud

investigation should be conducted.
● Có thể đánh giá đầy đủ các dấu hiệu gian lận để xác định xem có nên tiến hành điều

tra gian lận hay không.



2 SU 8: Fraud Risks and Controls

8.1 Fraud -- Risks and Types

Fraud and Fraud Risk

Fraud is “any illegal act characterized by deceit, concealment, or violation of trust. These
acts are not dependent upon the threat of violence or physical force. Frauds are
perpetrated by parties and organizations to obtain money, property, or services; to avoid
payment or loss of services; or to secure personal or business advantage.”

Gian lận là “bất kỳ hành động bất hợp pháp nào như lừa dối, che dấu, hoặc vi phạm lòng
tin. Những hành vi này không phụ thuộc vào mối đe dọa bạo lực hoặc vũ lực. Gian lận do
các bên và tổ chức thực hiện để lấy tiền, tài sản hoặc dịch vụ; để tránh thanh toán hoặc
mất dịch vụ; hoặc để đảm bảo lợi ích cá nhân hoặc kinh doanh.”

Fraud risk is the possibility that fraud will occur and the potential effects to the

organization when it occurs.

Rủi ro gian lận là khả năng gian lận sẽ xảy ra và những tác động tiềm ẩn đối với tổ chức
khi nó xảy ra.

Characteristics of Fraud

Fraud is an intentional deception or misrepresentation. The three conditions ordinarily
present when fraud exists include pressure (incentive) to commit fraud, an opportunity,
and the capacity to rationalize misconduct.

Gian lận là hành vi cố ý lừa dối hoặc xuyên tạc. Ba điều kiện thường xuất hiện khi gian lận
tồn tại bao gồm áp lực (khuyến khích) thực hiện hành vi gian lận, cơ hội và khả năng hợp
lý hóa hành vi sai trái.

1. Pressure (incentive) is the need a person tries to satisfy by committing the fraud.
Áp lực (khuyến khích) là nhu cầu mà một người cố gắng thỏa mãn bằng cách thực
hiện hành vi gian lận.

■ Situational pressure can be personal (e.g., financial difficulties in an employee’s
personal life) or organizational (e.g., the desire to release positive news to the
financial media).

■ Áp lực tình huống có thể là cá nhân (ví dụ: khó khăn tài chính trong cuộc sống cá
nhân của nhân viên) hoặc tổ chức (ví dụ: mong muốn đưa tin tức tích cực lên các
phương tiện truyền thông tài chính).

2. Opportunity is the ability to commit the fraud.

Cơ hội là khả năng để thực hiện hành vi gian lận


■ Opportunity is a factor in low-level employee fraud. Lack of controls over cash,
goods, and other organizational property, as well as insufficient segregation of
duties, are enabling factors.

■ Cơ hội là yếu tố khiến nhân viên cấp thấp gian lận. Thiếu sự kiểm soát đối với tiền
mặt, hàng hóa và các tài sản khác của tổ chức, cũng như sự phân chia trách nhiệm
không đầy đủ, là những yếu tố tạo điều kiện.

■ Opportunity is the characteristic that the organization can most influence, e.g., by
means of controls.

■ Cơ hội là đặc điểm mà tổ chức có thể tác động nhiều nhất, ví dụ, bằng các biện pháp
kiểm soát.

3. Rationalization is the ability to justify the fraud. It occurs when a person attributes his
or her actions to rational and creditable motives without analysis of the true and,
especially, unconscious motives.

Hợp lý hóa là khả năng biện minh cho hành vi gian lận. Nó xảy ra khi một người quy kết
hành động của mình cho những động cơ hợp lý và đáng tin cậy mà không phân tích
động cơ thực sự và đặc biệt là những động cơ vô thức.

Feeling underpaid is a common rationalization for low-level fraud.

Cảm thấy bị trả lương thấp là lý do phổ biến cho hành vi gian lận cấp thấp.

■ Fraud awareness training minimizes rationalization by
■ Đào tạo nhận thức gian lận giảm thiểu hợp lý hóa các hành vi gian lận bằng cách


► Supporting the ethical tone at the top,
► Promoting an environment averse to fraud, and
► Emphasizing that the organization does not tolerate misconduct of any kind.

► Khuyến khích lấy đạo đực làm tơn chỉ
► Thúc đẩy một môi trường chống gian lận
► Nhấn mạnh rằng tổ chức không chịu bất kỳ hành vi sai trái nào

SU 8: Fraud Risks and Controls 3

Figure 8-1

Effects of Fraud

Monetary losses from fraud are significant, but its full cost is immeasurable in terms of
time, productivity, and reputation, including customer relationships.

Tổn thất tiền tệ do gian lận là đáng kể, nhưng tồn bộ chi phí của nó là cũng khơng thể đo
lường hết được về thời gian, năng suất và danh tiếng, bao gồm cả các mối quan hệ khách
hàng.

Thus, an organization should have a fraud program that includes awareness, prevention,
and detection programs. It also should have a fraud risk assessment process to identify
fraud risks.

Do đó, một tổ chức nên có một chương trình gian lận bao gồm các chương trình nhận
thức, phịng ngừa và phát hiện. Nó cũng nên có một quy trình đánh giá rủi ro gian lận để
xác định rủi ro gian lận.

Types of Fraud


Asset misappropriation is stealing cash or other assets (supplies, inventory, equipment,
and information). The theft may be concealed, e.g., by adjusting records.

Biển thủ tài sản là ăn cắp tiền mặt hoặc các tài sản khác (vật tư, hàng tồn kho, thiết bị
và thơng tin). Hành vi trộm cắp có thể được che giấu, ví dụ, bằng cách điều chỉnh hồ sơ.

● For example, entering fraudulent journal entries can help conceal asset theft (e.g.,
when an asset is purchased, the perpetrator debits an expense account instead of an
asset account).

● Ví dụ: Gian lận ghi sổ nhật ký chung có thể giúp che giấu hành vi trộm cắp tài sản (ví
dụ: khi một tài sản được mua, thủ phạm ghi nợ tài khoản chi phí thay vì tài khoản tài
sản).

● However, selecting a vendor based on a blanket purchase order with an approved
vendor(s) is a common business practice.

● Tuy nhiên, việc lựa chọn nhà cung cấp dựa trên đơn đặt hàng được che đậy chung với
(những) nhà cung cấp được phê duyệt là hành động phổ biến.

Skimming is theft of cash before it is recorded, for example, accepting payment from a
customer but not recording the sale.

Trộm tiền vặt là hành vi trộm cắp tiền mặt trước khi nó được ghi lại, chẳng hạn như
nhận thanh tốn từ khách hàng nhưng khơng ghi lại giao dịch bán hàng.

Payment fraud involves payment for fictitious goods or services, overstatement of
invoices, or use of invoices for personal reasons.


Gian lận thanh toán liên quan đến việc thanh toán cho hàng hóa hoặc dịch vụ hư cấu,
khai khống hóa đơn hoặc sử dụng hóa đơn vì lý do cá nhân.

Expense reimbursement fraud is payment for fictitious or inflated expenses, for example,
an expense report for personal travel, nonexistent meals, or extra mileage.

Gian lận hồn ứng là khoản thanh tốn cho các chi phí hư cấu hoặc tăng cao, ví dụ: báo
cáo chi phí cho việc đi lại cá nhân, các bữa ăn không tồn tại hoặc số dặm di chuyển thêm.

4 SU 8: Fraud Risks and Controls

Payroll fraud is a false claim for compensation, for example, overtime for hours not
worked or payments to fictitious employees. One control used to detect the addition of
fictitious persons to the payroll is for the auditor to make periodic comparisons of the
names on the payroll with persons observed working for the company.

Gian lận lương là một yêu cầu tiền lương sai sự thật, chẳng hạn như làm thêm giờ cho
số giờ không làm việc hoặc thanh toán cho nhân viên hư cấu. Một biện pháp kiểm soát
được sử dụng để phát hiện việc bổ sung những người hư cấu vào bảng lương là để kiểm
toán viên thực hiện so sánh định kỳ những cái tên trong bảng lương với những người làm
việc cho công ty quan sát được.

Financial statement misrepresentation often overstates assets or revenue or understates
liabilities and expenses. Management may benefit by selling stock, receiving bonuses, or
concealing another fraud.

Việc trình bày sai báo cáo tài chính thường phóng đại tài sản hoặc doanh thu hoặc
thiếu các khoản nợ và chi phí. Ban quản lý có thể hưởng lợi bằng cách bán cổ phiếu, nhận
tiền thưởng hoặc che giấu một hành vi gian lận khác


Information misrepresentation provides false information, usually to outsiders in the form
of fraudulent financial statements.

Xuyên tạc thông tin cung cấp thông tin sai lệch, thường là cho những người bên ngoài
dưới dạng báo cáo tài chính gian lận.

Corruption is an improper use of power, e.g., bribery. It often leaves little accounting
evidence. These crimes usually are uncovered through tips or complaints from third
parties. Corruption often involves the purchasing function.

Tham nhũng là việc sử dụng quyền lực khơng đúng cách, ví dụ như hối lộ. Nó thường để
lại ít bằng chứng kế tốn. Những hành vi sai này thường được phát hiện thông qua các
mẹo hoặc khiếu nại từ bên thứ ba. Tham nhũng thường liên quan đến chức năng mua
hàng.

Bribery is offering, giving, receiving, or soliciting anything of value to influence an
outcome (e.g., kickbacks). Bribes may be offered to key employees such as purchasing
agents. Those paying bribes tend to be intermediaries for outside vendors.

Hối lộ là đề nghị, cho, nhận hoặc gạ gẫm bất cứ thứ gì có giá trị để gây ảnh hưởng đến
kết quả (ví dụ: lại quả). Hối lộ có thể được cung cấp cho nhân viên chủ chốt chẳng hạn
như đại lý mua hàng. Những người đưa hối lộ có xu hướng làm trung gian cho các nhà
cung cấp bên ngoài.

A conflict of interest is an undisclosed personal economic interest in a transaction that
adversely affects the organization or its shareholders.

Xung đột lợi ích là lợi ích kinh tế cá nhân không được tiết lộ trong một giao dịch ảnh
hưởng xấu đến tổ chức hoặc cổ đông của tổ chức.


A diversion redirects to an employee or outsider a transaction that normally benefits the
organization.

Sự chuyển hướng là sử dụng một nhân viên hoặc NCC bên ngồi, đối tượng thường
mang lại lợi ích cho tổ chức.

Wrongful use of confidential or proprietary information is fraudulent.

Sử dụng sai thơng tin bí mật hoặc độc quyền là gian lận.

A related-party fraud is receipt of a benefit not obtainable in an arm’s-length transaction.

Gian lận của bên liên quan là việc nhận được lợi ích khơng thể đạt được trong giao dịch
ngang giá.

Tax evasion is intentionally falsifying a tax return.

Trốn thuế là cố tình làm sai lệch tờ khai thuế.

Low-Level Fraud vs. Executive Fraud (Gian lận cấp thấp và Gian lận điều hành)

Fraud committed by staff or line employees most often consists of theft of property or
embezzlement of cash. The incentive might be relief of economic hardship, the desire for
material gain, or a drug or gambling habit. This type of fraud is intended to benefit
individuals and is generally committed by an individual or individuals living outside their
apparent means of support.

Gian lận do nhân viên hoặc nhân viên trực tiếp thực hiện thường bao gồm hành vi trộm
cắp tài sản, biển thủ tiền mặt. Động cơ có thể là giảm bớt khó khăn về kinh tế, mong
muốn đạt được lợi ích vật chất hoặc nghiện ma túy hoặc cờ bạc. Loại gian lận này nhằm

mang lại lợi ích cho các cá nhân và thường được thực hiện bởi một hoặc nhiều cá nhân
sống ngồi khả năng chi trả của mình.
● Stealing petty cash or merchandise, lapping accounts receivable, and creating

nonexistent vendors are common forms of low-level fraud.
● Ăn cắp tiền mặt hoặc hàng hóa lặt vặt, khống các khoản phải thu và tạo ra các nhà

cung cấp khơng tồn tại là những hình thức gian lận cấp thấp phổ biến.

Fraud at the executive level is different in that it often benefits both the self and the
organization. The incentive is usually either maintaining or increasing the stock price,
receiving a large bonus, or both.

Gian lận ở cấp điều hành khác ở chỗ nó thường mang lại lợi ích cho cả bản thân và tổ
chức. Động cơ thường là duy trì hoặc tăng giá cổ phiếu, nhận tiền thưởng lớn hoặc cả hai.
● Executive level fraud ordinarily consists of materially misstating financial statements

because promotion and compensation are tied to profits.
● Gian lận cấp điều hành thường bao gồm các báo cáo tài chính sai lệch trọng yếu vì cơ

hội thăng tiến và khoản thù lao liền với lợi nhuận.

SU 8: Fraud Risks and Controls 5

Symptoms of Fraud (Dấu hiệu của Gian lận)

A document symptom is any tampering with the accounting records to conceal a fraud.
Keeping two sets of books or forcing the books to reconcile are examples.

Dấu hiệu tài liệu là bất kỳ hành vi giả mạo nào đối với hồ sơ kế toán để che giấu hành

vi gian lận. Giữ hai bộ sách hoặc buộc các bộ sách phải đối chiếu là những ví dụ.

A lifestyle symptom is an unexplained rise in an employee’s social status or level of
material consumption.

Một biểu hiện về lối sống là sự gia tăng khơng giải thích được về địa vị xã hội hoặc
mức độ tiêu thụ vật chất của nhân viên.

A behavioral symptom (i.e., a drastic change in an employee’s behavior) may indicate the
presence of fraud. Guilt and other forms of stress associated with perpetrating and
concealing the fraud may cause noticeable changes in behavior.

Một biểu hiện về hành vi (nghĩa là một sự thay đổi mạnh mẽ trong hành vi của nhân
viên) có thể cho thấy sự hiện diện của hành vi gian lận. Cảm giác tội lỗi và các hình thức
căng thẳng khác liên quan đến việc thực hiện và che giấu hành vi gian lận có thể gây ra
những thay đổi đáng chú ý trong hành vi.

Some Indicators (Red Flags) of Possible Fraud
Một số dấu hiệu cảnh áo hành vi gian lận đã xảy ra

Even the most effective internal control can sometimes be circumvented, for example, by
collusion of two or more employees. Thus, an auditor must be sensitive to conditions that
might indicate the existence of fraud. The following are examples:

Ngay cả biện pháp kiểm soát nội bộ hiệu quả nhất đơi khi cũng có thể bị phá vỡ, chẳng
hạn như do sự thông đồng của hai hoặc nhiều nhân viên. Vì vậy, kiểm tốn viên phải nhạy
cảm với các điều kiện có thể chỉ ra sự tồn tại của gian lận. Sau đây là những ví dụ:
● Lack of employee rotation in sensitive positions, such as cash handling
● Thiếu luân chuyển nhân viên ở các vị trí nhạy cảm, chẳng hạn như xử lý tiền mặt


● Inappropriate combination of job duties (e.g., cash collections and disbursements
responsibilities)

● Sự kết hợp không phù hợp giữa các nhiệm vụ cơng việc (ví dụ: trách nhiệm thu và chi
tiền mặt)

● Unclear lines of responsibility and accountability

● Trách nhiệm và trách nhiệm giải trình khơng rõ ràng

● Unrealistic sales or production goals

● Mục tiêu sản xuất hoặc bán hàng không thực tế

● An employee who refuses to take vacations or refuses promotion

● Nhân viên từ chối nghỉ phép hoặc từ chối thăng chức

● Established controls not applied consistently

● Các biện pháp kiểm sốt đã thiết lập khơng được áp dụng nhất quán
● High reported profits when competitors are suffering from an economic downturn

● Lợi nhuận được báo cáo cao khi các đối thủ cạnh tranh đang bị suy thoái kinh tế

● High turnover among supervisory positions in finance and accounting areas

● Tỷ lệ luân chuyển cao giữa các vị trí giám sát trong lĩnh vực tài chính kế tốn

● Excessive or unjustifiable use of sole-source procurement


● Việc sử dụng mua sắm từ nguồn duy nhất q mức hoặc khơng chính đáng
● An increase in sales far out of proportion to the increase in cost of goods sold (e.g.,

sales increase by 30% and cost of goods sold increase by 3%)

● Doanh thu tăng vượt xa so với mức tăng của giá vốn hàng bán (ví dụ: doanh thu tăng
30% và giá vốn hàng bán tăng 3%)

● Material contract requirements in the actual contract differ from those in the request
for bids.

● Yêu cầu về hợp đồng vật chất trong hợp đồng thực tế khác với yêu cầu trong hồ sơ mời
thầu.

● Petty cash transactions are not handled through an imprest fund

● Các giao dịch tiền mặt nhỏ không được xử lý thông qua quỹ tạm ứng

● Business arrangements are difficult to understand and do not seem to have any
practical applicability to the entity

● Các thỏa thuận kinh doanh khó hiểu và dường như khơng có bất kỳ khả năng áp dụng
thực tế nào đối với đơn vị

● End-of-period transactions are complex, unusual, or significant

● Giao dịch cuối kỳ phức tạp, bất thường hoặc trọng yếu

6 SU 8: Fraud Risks and Controls


Types of Fraudulent Processes (Các loại gian lận trong các quy trình)

Lapping Receivables (Ăn chặn các khoản phải thu)

In this fraud, a person (or persons) with access to customer payments and accounts
receivable records steals a customer’s payment. The shortage in that customer’s account
then is covered by a subsequent payment from another customer.

Trong hành vi gian lận này, một người (hoặc những người) có quyền truy cập vào các
khoản thanh toán của khách hàng và hồ sơ các khoản phải thu sẽ đánh cắp khoản thanh
toán của khách hàng. Sự thiếu hụt trong tài khoản của khách hàng đó sau đó sẽ được bù
đắp bằng khoản thanh toán tiếp theo từ một khách hàng khác.

The process continues until (Quá trình này tiếp tục đến tận khi)

● A customer complains about his or her payment not being posted,

● Một khách hàng phàn nàn về khoản thanh tốn của mình khơng được đăng
● An absence by the perpetrator allows another employee to discover the fraud, or
● Sự vắng mặt của thủ phạm cho phép một nhân viên khác phát hiện ra hành vi gian lận,

hoặc
● The perpetrator covers the amount stolen.
● Thủ phạm bao trả số tiền bị đánh cắp

Check Kiting (Gian lận séc)

Kiting exploits the delay between (1) depositing a check in one bank account and (2)
clearing the check through the bank on which it was drawn. This practice is only possible

when manual checks are used. The widespread use of electronic funds transfer and other
networked computer safeguards make electronic kiting difficult.

Gian lận séc khai thác sự chậm trễ giữa (1) gửi séc vào một tài khoản ngân hàng và (2)
thanh toán séc qua ngân hàng mà séc được ký phát. Hành vi này chỉ có thể thực hiện
được khi phát hành séc thủ công. Việc sử dụng rộng rãi chuyển tiền điện tử và các biện
pháp bảo vệ máy tính nối mạng khác khiến cho việc thả diều điện tử trở nên khó khăn.

A check is kited when (1) a person (the kiter) writes an insufficient funds check on an
account in one bank and (2) deposits the check in another bank.

Séc bị gian lận khi (1) một người (người gian lận) viết séc không đủ tiền từ một tài khoản ở
một ngân hàng và (2) gửi séc vào một ngân hàng khác.

The second bank immediately credits the account for some or all of the amount of the
check, enabling the kiter to write other checks on that (nonexistent) balance. The kiter
then covers the insufficiency in the first bank with another source of funds. The process
can proceed in a circle of accounts at any number of banks.

Ngân hàng thứ hai ngay lập tức ghi có vào tài khoản một phần hoặc tồn bộ số tiền của
séc, cho phép người gian lận viết các séc khác trên số dư (khơng tồn tại) đó. Người gian

lận sau đó trang trải sự thiếu hụt trong ngân hàng đầu tiên bằng một nguồn vốn khác.
Quá trình này có thể tiến hành trong một nhóm tài khoản tại bất kỳ ngân hàng nào.

SU 8: Fraud Risks and Controls 7

Roles of Internal Auditors

Internal auditors are not responsible for the detection of all fraud, but they always must

be alert to the possibility of fraud.

Kiểm tốn viên nội bộ khơng chịu trách nhiệm phát hiện mọi gian lận, nhưng họ luôn
phải cảnh giác với khả năng xảy ra gian lận.

ate the risk of fraud and the manner in which it is managed by the organization, but are not expected to have the expertise of a person whose primary
ro gian lận và cách thức quản lý gian lận của tổ chức, nhưng không được kỳ vọng phải có chun mơn của một người có trách nhiệm chính là phát hiệ

● According to Implementation Standard 1220.A1, internal auditors must exercise due
professional care by, among other things, considering the “probability of significant
errors, fraud, or noncompliance.”

● Theo Chuẩn mực thực hiện 1220.A1, kiểm toán viên nội bộ phải thực hiện sự thận trọng
nghề nghiệp thích hợp bằng cách xem xét “xác suất xảy ra sai sót, gian lận hoặc khơng
tuân thủ nghiêm trọng”.

● Internal auditors therefore must consider the probability of fraud when developing
engagement objectives (Implementation Standard 2210.A2).

● Do đó, kiểm tốn viên nội bộ phải xem xét khả năng xảy ra gian lận khi xây dựng mục
tiêu kiểm toán (Chuẩn mực hướng dẫn thực hiện 2210.A2).

Implementation Standard 2120.A2
The internal audit activity must evaluate the potential for the occurrence of fraud and how the organization manages fraud risk.
Hoạt động kiểm toán nội bộ phải đánh giá khả năng xảy ra gian lận và cách tổ chức quản lý rủi ro gian lận.

The internal auditor should consider the potential for fraud risks in the assessment of
control design and the choice of audit procedures.
Kiểm toán viên nội bộ cần xem xét khả năng xảy ra rủi ro gian lận khi đánh giá thiết kế
kiểm soát và lựa chọn các thủ tục kiểm toán.


● Internal auditors should obtain reasonable assurance that objectives for the process
under review are achieved and material control deficiencies are detected.

● Kiểm toán viên nội bộ cần có được sự đảm bảo hợp lý rằng các mục tiêu của quy trình
được sốt xét đã đạt được và các khiếm khuyết kiểm soát trọng yếu đã được phát hiện.

● The consideration of fraud risks and their relation to specific audit work are
documented.

● Việc xem xét rủi ro gian lận và mối liên hệ của chúng với cơng việc kiểm tốn cụ thể
được lập ghi lại.

8 SU 8: Fraud Risks and Controls

Internal auditors should have sufficient knowledge of fraud to identify indicators of fraud
(red flags). However, internal auditors do not normally perform procedures specifically to
gather red flag information.
Kiểm tốn viên nội bộ cần có đủ kiến thức về gian lận để xác định các dấu hiệu gian lận
(cờ đỏ). Tuy nhiên, kiểm toán viên nội bộ thường không thực hiện các thủ tục cụ thể để
thu thập thông tin cảnh báo rủi ro.

● This knowledge includes

● Hiểu biết bao gồm:

■ The characteristics of fraud,

■ Đặc điểm của gian lận
■ The methods used to commit fraud, and

■ Các phương pháp được sử dụng để thực hiện gian lận, và
■ The various fraud schemes associated with the activities reviewed.
■ Các kế hoạch lừa đảo khác nhau liên quan đến hoạt động được xem xét.

Internal auditors should be alert to opportunities that could allow fraud, such as control
deficiencies.

Kiểm toán viên nội bộ cần cảnh giác với các cơ hội có thể tạo ra gian lận, chẳng hạn như
thiếu hụt kiểm soát.

● If significant control deficiencies are detected, additional procedures may be performed
to determine whether fraud has occurred.

● Nếu phát hiện ra những thiếu sót đáng kể trong kiểm sốt, các thủ tục bổ sung có thể
được thực hiện để xác định xem có gian lận hay không.

Internal auditors should evaluate the indicators of fraud and decide whether any further
action is necessary or whether an investigation should be recommended.

Kiểm toán viên nội bộ nên đánh giá các dấu hiệu gian lận và quyết định xem có cần thực
hiện thêm bất kỳ hành động nào hay khơng hoặc liệu có nên tiến hành điều tra hay
khơng.

Internal auditors should evaluate whether

Kiểm tốn viên nội bộ nên đánh giá liệu
● Management is actively overseeing the fraud risk management programs,
● Ban Giám đốc đang tích cực giám sát các chương trình quản lý rủi ro gian lận,

● Timely and sufficient corrective measures have been taken with respect to any noted

control deficiencies, and

● Các biện pháp khắc phục kịp thời và đầy đủ đã được thực hiện đối với bất kỳ thiếu sót
kiểm soát nào được ghi nhận, và

● The plan for monitoring the program is adequate.
● Kế hoạch giám sát chương trình phù hợp

If appropriate, internal auditors should recommend an investigation.

Nếu thích hợp, kiểm tốn viên nội bộ nên đề xuất một cuộc điều tra

SU 8: Fraud Risks and Controls 9

8.2 Fraud -- Controls

Fraud Management Program

The components of an effective fraud management program include the following:

● Company ethics policy

● Chính sách đạo đức của cơng ty
● Fraud awareness
● Nhận thức về gian lận
● Fraud risk assessment
● Đánh giá rủi ro gian lận
● Ongoing reviews
● Đánh giá liên tục
● Prevention and detection

● Ngăn chặn và phát hiện
● Investigation
● Điều tra

Controls

Control is the principal means of managing fraud and ensuring the components of the
fraud management program are present and functioning. (Control and types of control are
covered in detail in Study Unit 6.)

Kiểm sốt là phương tiện chính để quản lý gian lận và đảm bảo các thành phần của
chương trình quản lý gian lận hiện diện và hoạt động. (Kiểm sốt và các loại kiểm sốt
được trình bày chi tiết trong Bài học 6.)

The COSO Internal Control Framework (covered in detail in Study Unit 6, Subunit 3) can be
applied in the fraud context to promote an environment in which fraud is effectively
managed.

Khung kiểm sốt nội bộ COSO (được trình bày chi tiết trong Bài học 6, Tiểu đơn vị 3) có
thể được áp dụng trong bối cảnh gian lận để thúc đẩy một mơi trường trong đó gian lận
được quản lý hiệu quả

● The control environment includes such elements as a code of conduct, ethics policy, or
fraud policy to set the appropriate tone at the top; hiring and promotion guidelines and
practices; and board oversight.

● Mơi trường kiểm sốt bao gồm các yếu tố như quy tắc ứng xử, chính sách đạo đức
hoặc chính sách gian lận để thiết lập quan điểm phù hợp ở cấp cao nhất; hướng dẫn và
thực hành tuyển dụng và thăng chức; và giám sát hội đồng quản trị.


● A fraud risk assessment generally includes the following:

● Đánh giá rủi ro gian lận thường bao gồm những nội dung sau:

■ Identifying and prioritizing fraud risk factors and fraud schemes

■ Xác định và ưu tiên các yếu tố rủi ro gian lận và kế hoạch gian lận
■ Determining whether existing controls apply to potential fraud schemes and

identifying gaps
■ Xác định liệu các biện pháp kiểm sốt hiện tại có áp dụng cho các kế hoạch gian lận

tiềm ẩn hay không và xác định các lỗ hổng
■ Testing operating effectiveness of fraud prevention and detection controls
■ Kiểm tra hiệu quả hoạt động của các biện pháp kiểm soát ngăn ngừa và phát hiện

gian lận
■ Documenting and reporting the fraud risk assessment
■ Lập hồ sơ và báo cáo đánh giá rủi ro gian lận

● Control activities are policies and procedures for business processes that include
authority limits and segregation of duties.

● Các hoạt động kiểm sốt là các chính sách và thủ tục cho các quy trình kinh doanh
bao gồm các giới hạn về thẩm quyền và sự phân chia nhiệm vụ.

● Fraud-related information and communication practices promote the fraud risk
management program and the organization’s position on risk. The means used include
fraud awareness training and confirming that employees comply with the organization’s
policies.


● Thông tin liên quan đến gian lận và các thông lệ truyền thơng thúc đẩy chương
trình quản lý rủi ro gian lận và vị thế của tổ chức đối với rủi ro. Các phương tiện được sử
dụng bao gồm đào tạo nâng cao nhận thức về gian lận và xác nhận rằng nhân viên tuân
thủ các chính sách của tổ chức.

● Monitoring evaluates antifraud controls through independent evaluations of the fraud
risk management program and use of it.

● Giám sát đánh giá các biện pháp kiểm soát chống gian lận thông qua các đánh giá độc
lập về chương trình quản lý rủi ro gian lận và việc sử dụng nó.

10 SU 8: Fraud Risks and Controls

Preventing fraud. Essential elements in preventing fraud are setting the correct tone at the
top and instilling a strong ethical culture. The following are preventative controls:
Ngăn chặn gian lận. Các yếu tố cần thiết trong việc ngăn chặn gian lận là đặt tơn chỉ
chính xác lên hàng đầu và thấm nhuần văn hóa đạo đức mạnh mẽ. Sau đây là các biện
pháp kiểm sốt phịng ngừa:

● Safeguarding of assets protects entities against the unauthorized use and disposal of
assets. Examples include theft of assets and intellectual property.

● Các biện pháp bảo vệ tài sản bảo vệ các tổ chức khỏi việc sử dụng và xử lý trái
phép tài sản. Ví dụ như hành vi trộm cắp tài sản và sở hữu trí tuệ.

● Computer access controls such as passwords and device authorization tables are used
to prevent improper use or manipulation of data files and programs.

● Kiểm soát truy cập máy tính như mật khẩu và bảng phân quyền thiết bị được sử dụng

để ngăn chặn việc sử dụng hoặc thao tác không đúng cách đối với tệp dữ liệu và
chương trình.

● A lockbox system can ensure that cash receipts are not stolen by mail clerks or other
employees.

● Hệ thống hộp khóa có thể đảm bảo rằng biên lai tiền mặt khơng bị nhân viên thư tín
hoặc nhân viên khác đánh cắp.

Detecting fraud. An essential element in detecting fraud is employee feedback, as fraud
tips from employees is the most common way to detect fraud. Sources of employee
feedback include a whistleblower hotline, exit interviews, and employee surveys.

Phát hiện gian lận. Một yếu tố thiết yếu trong việc phát hiện gian lận là phản hồi của
nhân viên, vì mẹo gian lận từ nhân viên là cách phổ biến nhất để phát hiện gian lận. Các
nguồn phản hồi của nhân viên bao gồm đường dây nóng tố giác, phỏng vấn thôi việc và
khảo sát nhân viên.

Responsibility for Controls

Management is primarily responsible for establishing and maintaining control.

Ban quản lý chịu trách nhiệm chính trong việc thiết lập và duy trì sự kiểm sốt.

Internal auditors must assist the organization by evaluating the effectiveness and
efficiency of controls and promoting continuous improvement (Performance Standard
2130).

Kiểm toán viên nội bộ phải hỗ trợ tổ chức bằng cách đánh giá hiệu suất và hiệu quả của
các biện pháp kiểm soát và thúc đẩy cải tiến liên tục (Chuẩn mực Hoạt động 2130).


● In an assurance engagement, internal auditors must assist the organization by
evaluating the adequacy and effectiveness of controls in responding to risks
(Implementation Standard 2130.A1).

● Trong một hợp đồng đảm bảo, kiểm toán viên nội bộ phải hỗ trợ tổ chức bằng cách
đánh giá tính đầy đủ và hiệu quả của các biện pháp kiểm sốt trong việc ứng phó với
rủi ro

● Internal auditors are not responsible for designing and implementing fraud prevention
controls.

● Kiểm toán viên nội bộ không chịu trách nhiệm thiết kế và thực hiện các biện pháp kiểm
soát ngăn ngừa gian lận.

● However, internal auditors acting in a consulting role can help management identify
and assess risk and determine the adequacy of the control environment.

● Tuy nhiên, kiểm toán viên nội bộ đóng vai trị tư vấn có thể giúp ban lãnh đạo xác định
và đánh giá rủi ro cũng như xác định tính đầy đủ của mơi trường kiểm sốt.

■ Internal auditors also are in a unique position within the organization to recommend
changes to improve the control environment.

■ Kiểm toán viên nội bộ cũng có vị trí đặc biệt trong tổ chức để đề xuất những thay đổi
nhằm cải thiện mơi trường kiểm sốt.