BA TUYẾN PHÒNG THỦ TRONG
QUẢN LÝ RỦI RO VÀ KIỂM SOÁT
IIA Position Paper

15th April, 2016


MỤC LỤC
Giới thiệu
Tuyến phòng thủ thứ 1: Quản lý hoạt động
Tuyến phòng thủ thứ 2: Quản lý rủi ro và các chức năng tuân thủ
Tuyến phòng thủ thứ 3: Kiểm toán nội bộ
Kiểm toán viên độc lập, regulators và những cơ quan bên ngoài khác
Phối hợp 3 tuyến phòng thủ.


GIỚI THIỆU
Vào thế kỷ 21, không khó để bắt gặp các nhóm kiểm toán nội bộ, chuyên gia quản trị rủi
ro doanh nghiệp, chuyên viên kiểm soát nội bộ, kiểm tra chất lượng, các nhà điều tra gian
lận, và chuyên gia kiểm soát khác cùng làm việc với nhau để giúp các tổ chức quản lý rủi
ro. Mỗi chuyên gia có một tầm nhìn riêng và kỹ năng cụ thể có thể mang lại giá trị vô
cùng lớn cho tổ chức, nhưng vì những nhiệm vụ liên quan đến quản lý rủi ro và kiểm soát
ngày càng được chia ra nhiều phòng ban và các bộ phận, nên những nhiệm vụ này cần
được phối hợp một cách cẩn thận để đảm bảo rằng các qui trình kiểm soát và rủi ro hoạt
động như dự định.
Không thể thực hiện tất cả mỗi chức năng của kiểm soát và rủi ro – mà phải chỉ định
được những vai trò cụ thể để phối hợp một cách hiệu quả giữa các nhóm chức năng này,
để tránh những kiểm soát thiếu hoặc việc trùng lặp không cần thiết. Cần phải định nghĩa
các trách nhiệm rõ ràng để mỗi nhóm chuyên gia hiểu ranh giới trách nhiệm của mình và
làm thế nào để vai trò của họ phù hợp với cấu trúc kiểm soát và rủi ro tổng thể của tổ
chức.

Những nguy cơ có thể xảy ra là rất cao. Nếu không có phương pháp phối hợp và gắn kết,
thì các nguồn lực kiểm soát và hạn chế rủi ro sẽ không được triển khai một cách hiện quả,
và những rủi ro đáng kể có thể không được xác định và quản lý một cách hiệu quả. Trong
trường hợp xấu nhất, thông tin liên lạc giữa các nhóm điều khiển và rủi ro có thể chuyển
giao một ít cho nhau, thay vì tranh luận về việc nhiệm vụ này là trách nhiệm của người
nào. Vấn đề có thể tồn tại ở bất kỳ tổ chức nào, bất kể khuôn khổ quản trị rủi ro doanh
nghiệp chính thức có được sử dụng hay không. Mặc dù khuôn khổ quản lý rủi ro có hiệu
quả có thể xác định được các loại rủi ro mà kinh doanh hiện đại phải kiểm soát, nhưng
những khuôn khổ này lại khá kín tiếng về làm cách nào để chỉ định và phối hợp các
nhiệm vụ cụ thể trong tổ chức.
May mắn là, các thực tiễn tốt nhất hiên nay có thể giúp tổ chức ủy quyền và phối hợp các
nhiệm vụ quản lý rủi ro cần thiết với một cách tiếp cận có hệ thống. Mô hình ba Tuyến
phòng thủ cung cấp một cách đơn giản và hiệu quả để tăng cường truyền thông về quản
lý rủi ro và kiểm soát bằng cách làm rõ những vai trò và nhiệm vụ thiết yếu. Nó cung cấp
một cách nhìn mới về các hoạt động, giúp đảm bảo sự thành công liên tục trong các sáng
kiến quản lý rủi ro – bất kể mức độ hay sự phức tạp. Ngay cả trong tổ chức không có hệ
thống quản lý rủi ro chính thức, mô hình ba tuyến phòng thủ có thể làm tăng sự rõ ràng
về rủi ro và kiểm soát và giúp cải thiện hiệu quả của hệ thống quản lý rủi ro.


BEFORE THE 3 LINES: GIÁM SÁT QUẢN LÝ RỦI RO VÀ LẬP CHIẾN
LƯỢC
Trong mô hình ba tuyến phòng thủ, kiểm soát quản lý (Management control) là tuyến
phòng thủ đầu tiên trong quản trị rủi ro, kiểm soát rủi ro và chức năng giám sát việc tuân
thủ được thiết lập bởi quản lý là tuyến phòng thủ thứ hai, và sự đảm bảo là thứ ba. Mỗi
tuyến phòng thủ đóng một vai trò riêng biệt trong khuôn khổ quản trị rộng lớn của tổ
chức.
MÔ HÌNH 3 TUYẾN PHÒNG THỦ

External

audit Regulator

Quản lý cấp cao

Tuyến phòng thủ thứ 1

Tuyến phòng thủ thứ 2

Tuyến phòng thủ thứ 3

KIểm soát tài chính
Bảo mật
Kiểm soát quản
Biệnlýpháp kiểm soát nội bộ

Quản trị rủi ro

Kiểm toán nội bộ

Chất lượng
Kiểm tra
Tuân thủ

Chuyển thể từ Hướng dẫn ECIIA/FERMA về Chỉ
thị Luật doanh nghiệp EU lần 8, Điều 41.
Tuy cơ quản chủ quản và quản lý cấp cao không thuộc cả 3 tuyến trong mô hình này,
nhưng việc hoàn thành hệ thống quản lý rủi ro phải xem xét vai trò thiết yếu của cả cơ
quan chủ quan (tức là, hội đồng quản trị hoặc cơ quan tương đương) và quản lý cấp cao.
Cơ quan chủ quản và quản lý cấp cao là các bên liên quan chính của 3 tuyến phòng thủ
này, và họ giúp đảm bảo cho mô hình phản ánh đúng quá trình kiểm soát và quản lý rủi

ro của tổ chức.
Quản lý cấp cao và các cơ quan chủ quản có chung trách nhiệm trong việc thiết lập các

NgườI điều chỉnh

Kiểm toán độc lập

Cơ quan chủ quản/ Hội đồng quản trị/ Ủy ban kiểm tóan


mục tiêu của tổ chức, xác định chiến lược để đạt được các mục tiêu, và thiết lập cấu trúc
và quy trình quản trị để quản lý tốt nhất những rủi ro trong việc hoàn thành các mục tiêu
này. Mô hình 3 Tuyến phòng thủ được thực hiện tốt nhất với sự hỗ trợ và hướng dẫn của
cơ quan chủ quản và quản lý cấp cao của tổ chức.


TUYẾN PHÒNG THỦ THỨ 1: QUẢN LÝ HOẠT ĐỘNG
Mô hình 3 Tuyến phòng thủ phân biệt 3 nhóm (hoặc 3 dòng) liên quan quản trị rủi ro hiệu
quả như sau:




Chức năng sở hữu và quản lý rủi ro.
Chức năng giám sát rủi ro.
Chức năng cung cấp sự đảm bảo độc lập (Independent assurance)

Theo tuyến đầu tiên của mô hình này thì nhà quản lý hoạt động sở hữu và quản lý rủi ro.
Họ chịu trách nhiệm thực hiện các hành động khắc phục để giải quyết các quá trình kiểm
soát thiếu sót.


Quản lý hoạt động có trách nhiệm duy trì việc kiểm soát nội bộ hiệu quả và để thực hiện
các thủ thuật kiểm soát rủi ro trên cơ sở hàng ngày. Quản lý họat động xác định, đánh
giá, kiểm soát, và giảm nhẹ rủi ro, hướng dẫn phát triển và thực hiện các chính sách và
qui trình nội bộ để đảm bảo các hoạt động phù hợp với mục tiêu và nhiệm vụ. Thông qua
một cấu trúc trách nhiệm phân tầng, các quản lý cấp trung sẽ thiết kế và thực hiện các
quy trình chi tiết để điều khiển và giám sát việc thực hiện những quy trình đó bởi các cấp
nhân viên.

Quản lý hoạt động đương nhiên sẽ là tuyến phòng thủ đầu tiên vì kiểm soát được thiết kế
vào các hệ thống và quy trình dưới sự hướng dẫn của quản lý hoạt động. Nên có bộ kiểm
soát giám sát và quản lý tại chỗ để đảm bảo tuân thủ và nhấn mạnh sự cố kiểm soát, quy
trình không đầy đủ, và các sự kiện bất ngờ.


TUYẾN PHÒNG THỦ THỨ 2: QUẢN LÝ RỦI RO VÀ CHỨC NĂNG
TUÂN THỦ
Trong điều kiện hoàn hảo, có thể chỉ cần một tuyến phòng thủ để đảm bảo quản lý rủi ro
một cách hiệu quả. Tuy nhiên, trong thế giới thực, một tuyến phòng thủ duy nhất có thể
sẽ bị thiếu. Tuyến thứ 2 thiết lập các chức năng tuân thủ và quản lý rủi ro khác nhau để
xây dựng/ giám sát việc kiểm soát tuyến phòng thủ đầu tiên. Các chức năng cụ thể sẽ
khác nhau tùy theo tổ chức hoặc ngành, nhưng tuyến phòng thủ này sẽ có các chức năng
điển hình như sau:
Chức năng quản lý rủi ro tạo điều kiện và giám sát việc thực hiện các biện pháp quản lý
rủi ro hiệu quả bằng hoạt động quản lý giúp nhà quản lý rủi ro trong việc xác định các
nguy cơ rủi ro mục tiêu và báo cáo đầy đủ thông tin liên quan rủi ro đến toàn bộ tổ chức.
Chức năng tuân thủ: giám sát rủi ro cụ thể khác nhau như không tuân thủ pháp luật và các
quy định hiện hành. Trong chức năng này, chức năng riêng biệt báo cáo trực tiếp đến
quản lý cấp cao, vaftrong một số lĩnh vực kinh doanh, trực tiếp đến các cơ quan chủ
quản. Thường có nhiều chức năng tuân thủ tồn tại trong tổ chức, với trách nhiệm giám sát

việc tuân thủ của các loại cụ thể như: sức khỏe, an toàn, chuỗi cung ứng, môi trường hoặc
giám sát chất lượng.
Chức năng giám sát các rủi ro tài chính và các vấn đề báo cáo tài chính.
Quản lý thiết lập các chức năng để đảm bảo tuyến phòng thủ đầu tiên được thiết kế đúng
cách, đúng chỗ và hoạt động như dự định. Mỗi một chức năng có một mức độ độc lập
với tuyến phòng thủ đầu tiên. Vì là chức năng quản lý, chúng can thiệp trực tiếp vào việc
sửa đổi và phát triển hệ thống rủi ro và kiểm soát nội bộ. Do đó, tuyến phòng thủ thứ 2
phục vụ một mục đích quan trọng nhưng không thể cung cấp những phân tích thực sự độc
lập với cơ quan chủ quản liên quan đến quản lý rủi ro và kiểm soát nội bộ.
Nhiệm vụ của những chức năng này khác nhau về bản chất cụ thể, nhưng có thể bao gồm:







Hỗ trợ chính sách quản lý, xác định trách nhiệm và vai trò, và thiết lập mục tiêu
thực hiện.
Cung cấp các khuôn khổ quản lý rủi ro.
Xác định các vấn đề đã biết hoặc đang nổi lên.
Xác định sự thay đổi trong rủi ro tiềm ẩn của tổ chức.
Giúp quản lý trong việc phát triển các quy trình và kiểm soát để quản lý rủi ro và
các vấn đề.
Cung cấp hướng dẫn và đào tạo về quy trình quản lý rủi ro.







Tạo điều kiện giám sát việc thực hiện các biện pháp quản lý rủi ro hiệu quả của
hoạt động quản lý.
Thông báo hoạt động quản lý về các vấn đề đang nổi lên và thay đổi tình huống
rủi ro và quy định.
Giám sát tính an toàn và hiệu quả của kiểm soát nội bộ, sự chính xác và đầy đủ
của các báo cáo, sự tuân thủ pháp luật và các quy định, và khắc phục kịp thời các
thiếu sót.


TUYẾN PHÒNG THỦ THỨ 3: KIỂM TOÁN NỘI BỘ
Nhân viên kiểm toán nội bộ cung cấp cho cơ quan chủ quản và quản lý cấp cap với đảm
bảo toàn diện dựa trên mức độ độc lập, khách quan cao nhất trong tổ chức. Mức độ độc
lập này không có trong tuyến phòng thủ thứ 2. Kiểm toán nội bộ đảm bảo tính hiệu quả
của quản trị, quản lý rủi ro và kiểm soát nội bộ, bao gồm cả các cách thức mà 2 tuyến
phòng thủ đầu tiên đạt mục tiêu kiểm soát và quản lý rủi ro. Phạm vi của bảo đảm được
báo cáo cho quản lý cấp cao và cơ quan chủ quản, thường bao gồm:






Một loạt các mục tiêu, bao gồm hiệu quả hoạt động; an toàn tài sản, độ tin cậy và
tính toàn vẹn của quy trình báo cáo; và sự tuân thủ luật pháp, quy định, chính sách,
thủ tục và hợp đồng.
Các yếu tố trong khuôn khổ kiểm soát nội bộ và quản lý rủi ro, bao gồm: môi
trường kiểm soát nội bộ, tất cả các yếu tố của khuôn khổ quản lý rủi ro của tổ chức
(tức là, xác định rủi ro, đánh giá rủi ro, và phản ứng lại); thông tin và truyền thông;
giám sát.

Các đơn vị tổng thể, bộ phận, công ty con, đơn vị điều hành, và các chức năng –
bao gồm các quy quy trình kinh doanh, chẳng hạn: sales, sản xuất, marketing, bộ
phận khách hàng, và các hoạt động – cũng như các chức năng hỗ trợ (vd, doanh
thu và kế toán chi tiêu, nguồn nhân lực, thu mua, biên chế, ngân sách, cơ sở hạ
tầng và quản lý tài sản, hàng tồn kho và công nghệ thông tin).

Thiết lập hoạt động kiểm toán nội bộ chuyên nghiệp là yêu cầu quản trị cho tất cả các tổ
chức. Điều này rất quan trọng đối với các tổ chức cỡ vừa và lớn, và cũng quan trọng
không kém đối với các đơn vị nhỏ, vì họ có thể phải đối mặt với môi trường phức tạp
không kém trong một cơ cấu tổ chức yếu hơn, để đảm bảo tính hiệu quả quá trình quản trị
và quản lý rủi ro của mình.






Kiểm toán nội bộ góp phần tích cực vào quản trị tổ chức một cách hiệu quả, đáp
ứng các điều kiện nhất định – bồi dưỡng tính độc lập và trình độ chuyên môn.
Biện pháp tốt nhất để thiết lập và duy trì chức năng kiểm toán nội bộ độc lập, đầy
đủ và có thẩm quyền, bao gồm:
Hoạt động theo tiêu chuẩn được quốc tế công nhận cho hoạt động kiểm toán nội
bộ.
Báo cáo với cấp độ đủ cao trong tổ chức để thực hiện nhiệm vụ vủa mình một cách
độc lập.
Có báo báo tích cực và hiệu quả đến cơ quan chủ quản.


KIỂM TOÁN ĐỘC LẬP, REGULATORS VÀ CÁC CƠ QUAN BÊN
NGOÀI KHÁC

Kiểm toán độc lập, regulators và các cơ quan bên ngoài khác hoạt động ngoài cấu trúc
doanh nghiệp, nhưng họ cũng có vai trò quan trọng trong cơ cấu quản trị và kiểm soát
tổng thể của tổ chức. Điều này đặc biệt đúng trong các ngành công nghiệp chịu quy định
của nhà nước, chẳng hạn như dịch vụ tài chính hoặc bảo hiểm. Regulators sẽ đôi khi thiết
lập yêu cầu nhằm tăng cường kiểm soát trong tổ chức, hoặc thực hiện một chức năng độc
lập và khách quan để đánh giá toàn bộ hoặc một phần của các tuyến phòng thủ của mô
hình đối với những yêu cầu này. Khi được phối hợp một cách hiệu quả, những kiểm toán
viên độc lập, regulators, và các nhóm bên ngoài tổ chức này có thể được xem như một
tuyến phòng thủ bổ sung, cung cấp sự đảm bảo cho các cổ đông của tổ chức, bao gồm cả
cơ quan chủ quản quản lý cấp cao.
Tuy các nhiệm vụ có mục tiêu và phạm vi cụ thể, nhưng các thông tin rủi ro thu thập
được nhìn chung sẽ ít sâu rộng hơn phạm vi giải quyết của 3 tuyến phòng thủ nội bộ.


PHỐI HỢP 3 TUYẾN PHÒNG THỦ
Mỗi tổ chức là duy nhất và có tình huống cụ thể khác nhau, nên sẽ không có sự phối hợp
3 tuyến phòng thủ nào gọi là “chuẩn”. Khi phân công nhiệm vụ và phối hợp giữa các
chức năng quản trị rủi ro, có thể sẽ có ích nếu giữ các vai trò cơ bản của mỗi nhóm trong
quá trình quản trị rủi ro.
TUYẾN PHÒNG THỦ
THỨ 1

TUYẾN PHÒNG THỦ THỨ TUYẾN PHÒNG THỦ
2
THỨ 3

Quản lý rủi ro

Kiểm soát rủi ro và tuân thủ


•

Quản lý hoạt động

•
•

Độc lập có hạn
Báo cáo chủ yếu cho
quản lý

Đảm bảo rủi ro
Kiểm toán nội bộ
• Độc lập cao
• Báo cáo cho cơ quan chủ
quản
•

Tất cả 3 dòng phòng thủ nên tồn tại ở một hình thức nào đó trong mỗi tổ chức, bất kể quy
mô hoặc tính phức tạp. Quản lý rủi ro sẽ tốt nhất khi có 3 tuyến phòng thủ được xác định
rõ ràng và riêng biệt. Tuy nhiên, trong những tình huống phát sinh, đặc biệt trong các tổ
chức nhỏ, có thể kết hợp một số tuyến phòng thủ nhất định. Ví dụ, những trường hợp
kiểm toán nội bộ được yêu cầu để thiết lập và/ hoặc quản lý các hoạt động quản lý rủi ro
và tuân thủ của tổ chức. Trong những trường hợp này, kiểm toán nội bộ cần truyền đạt rõ
ràng tác động của các kết hợp cho cơ quan chủ quản và quản lý cấp cao. Nếu có những
trách nhiệm kép được giao cho một người hoặc bộ phận, cần xem xét để tách trách nhiệm
cho các chức năng này sau một thời gian để thiết lập 3 tuyến phòng thủ.
Bất kể mô hình 3 Tuyến phòng thủ được thực hiện như thế nào, quản lý cấp cao và cơ
quan chủ quản cần truyền đạt rõ ràng kỳ vọng mà thông tin được chia sẻ và các hoạt động
phối hợp giữa mỗi nhóm chịu trách nhiệm về quản lý rủi ro và kiểm soát của tổ chức.

Theo Tiêu chuẩn quốc tế về Thực hành kiểm toán chuyên nghiệp cho kiểm toán nội bộ
(ISPIA), giám đốc điều hành kiểm toán được yêu cầu để “chia sẻ thông tin và phối hợp
hoạt động với các nhà cung cấp trong và ngoài về đảm bảo và tư vấn dịch vụ để đảm bảo
phạm vi thích hợp và tránh các nỗ lực trùng lắp”.
RECOMMENDED PRACTICES:
 Các quá trình kiểm soát vả rủi ro nên được cấu trúc cho phù hợp với mô hình 3
Tuyến phòng thủ.









Mỗi tuyến phòng thủ phải được hỗ trợ bởi chính sách phù hợp và định nghĩa trên
vai trò.
Cần có sự phối hợp tích cực giữa các tuyến phòng thủ riêng biệt để tăng cường
hiệu quả.
Chức năng kiểm soát và rủi ro ở các tuyến khác nhau cần chia sẻ kiến thức và
thông tin để hỗ trợ tất cả các chức năng tốt hơn trong việc hàn thành vai trò của
mình một cách hiệu quả.
Các tuyến phòng thủ không nên phối hợp khi cách thức đó làm mất đi tính hiệu
quả.
Trong trường hợp chức năng của các tuyến phòng thủ được kết hợp, cơ quan chủ
quản nên được tư vấn về cấu trúc và tác động của nó. Đối với tổ chức không có
hoạt động kiểm toán nội bộ, quản lý và/hoặc các cơ quan chủ quản nên được yêu
cầu giải thích và tiết lộ cho các bên liên quan rằng họ đã xem xét cách mà đảm bảo
đầy đủ về hiệu quản quản trị của tổ chức, quản lý rủi ro, và cấu trúc kiểm soát đạt

được.

Lớp 1 có sự tham gia kiểm soát của quản lý các phòng ban trực tiếp tham gia vào quá
trình sản xuất, dịch vụ. Lớp thứ 2 là sự hỗ trợ chính sách, phương pháp từ các phòng tài
chính, an ninh, chất lượng, rủi ro, tuân thủ. Lớp thứ 3 là sự tham gia đánh giá độc lập,
khách quan toàn hệ thống của đội ngũ Kiểm toán nội bộ. Đánh giá/ Kiểm toán nội bộ cần
am hiểu cơ bản về lớp thứ 1, hiểu rõ về lớp thứ 2 và có kỹ năng để thực hiện công việc
trong lớp thứ 3.