NGHIÊN CỨU TRAO ĐỔI
PHƯƠNG PHÁP KIỂM TOÁN NỘI BỘ
DỰA TRÊN RỦI RO
C
Trần Thị Lan Hương*
ách thức tiếp cận của kiểm tốn nói chung cũng như kiểm tốn nội bộ nói tiêng đã thay đổi
lớn trong những thập kỷ qua, từ tiếp cận kiểm tốn qua báo cáo tài chính, kiểm tốn tn
thủ hay kiểm tốn cơ bản chuyển sang kiểm tốn dựa trên đánh giá rủi ro nhằm tăng thêm
giá trị và hiệu quả cho các doanh nghiệp thơng qua các phương pháp chủ động có tính xây
dựng, đảm bảo và tư vấn. Phương pháp kiểm tốn nội bộ dựa trên rủi ro được Viện kiểm tốn nội bộ tồn
cầu IIA global đánh giá là một trong những lợi thế vượt trội của kiểm tốn. Bài viết chỉ ra các ưu điểm của
phương pháp, điều kiện áp dụng cũng như làm rõ hơn quy trình thực hiện phương pháp làm cơ sở nền tảng
cho bộ phận kiểm tốn nội bộ áp dụng nâng cao hiệu quả kiểm tốn trong đơn vị.
Từ khóa: Kiểm tốn nội bộ, kiểm tốn nội bộ dựa trên rủi ro, phương pháp kiểm tốn
Risk-based internal audit method
The approach of auditing in general as well as internal audits have changed dramatically over the
past decades, from auditing approaches through financial reporting, compliance audits or basic audits to
audit approaches based on risk assessment to add value and efficiency to businesses through proactive,
constructive and advisory methods. Risk-based internal audit method is assessed by IIA global Institute
of Internal Auditing as one of audit cutting-edge. The article points out the advantages of the method and
conditions of application as well as clarifying the implementing process as a basis for the internal audit
divisionto apply the audit efficiency in the units.
Keywords: Internal audit, risk-based internal audit method, audit method
1. Giới thiệu
Viện Kiểm tốn nội bộ tồn cầu (IIA) định
nghĩa kiểm tốn nội bộ dựa trên rủi ro (Risk Based
Internal Audit - RBIA) như một phương pháp liên
kết kiểm tốn nội bộ với khung quản lý rủi ro tổng
thể của tổ chức. Mặc dù trách nhiệm nhận dạng
và quản lý rủi ro thuộc về ban quản lý của doanh
sự đảm bảo về quy trình quản trị rủi ro cho đơn vị.
RBIA cho phép kiểm tốn nội bộ thực hiện chức
năng đó một cách hiệu quả. Thơng qua RBIA, kiểm
tốn nội bộ (KTNB) cung cấp sự đảm bảo cho hội
đồng quản trị rằng các quy trình quản lý rủi ro
đang hoạt động một cách hiệu quả trong mối liên
hệ với mức độ rủi ro mong muốn của tổ chức.
nghiệp nhưng một trong những vai trò cốt lõi được
RBIA được đánh giá là một trong những
định nghĩa của kiểm tốn nội bộ là cung cấp một
phương pháp tiên tiến nhất trong kiểm tốn nội bộ
* Khoa kinh tế - Quản trị kinh doanh, trường Đại học Hồng Đức
NGHIÊN CỨU KHOA HỌC KIỂM TỐN
Số 136 - tháng 2/2019
35
NGHIÊN CỨU TRAO ĐỔI
cho đến thời điểm hiện tại. Mặc dù việc áp dụng
các hành động, đang được quản lý theo dõi để đảm
phương pháp này còn tồn tại những thách thức
bảo tiếp tục hoạt động hiệu quả.
nhất định cho bộ phận kiểm tốn như: khó quản
lý hơn phương pháp kiểm tốn truyền thống, khó
khăn trong việc theo dõi tiến độ so với kế hoạch
trong điều kiện thay đổi thường xun. Tuy nhiên,
động đang được phân loại và báo cáo đúng cách.
Điều này cho phép kiểm tốn nội bộ cung cấp
những lợi ích mà phương pháp này mang lại cho
cho hội đồng quản trị sự đảm bảo trên ba lĩnh vực:
đơn vị lại vơ cùng lớn. Bằng cách thực hiện phương
1. Quy trình quản lý rủi ro, cả về thiết kế và mức
pháp kiểm tốn dựa trên rủi ro, KTNB có thể kết
luận rằng:
độ hoạt động hiệu quả của chúng.
2. Quản trị những rủi ro được phân loại là rủi
1. Quản trị rủi ro đã được xác định, đánh giá và
có phương án đối với rủi ro xung quanh mức độ rủi
ro mong muốn (Risk appetite - Rủi ro mong muốn
là mức độ rủi ro mà đơn vị chấp nhận để theo đuổi
mục tiêu của mình).
2. Các phương án ứng phó với rủi ro có hiệu quả
nhưng khơng q mức trong việc quản lý rủi ro
vốn có thuộc phạm vi rủi ro mong muốn.
3. Trường hợp rủi ro còn lại khơng phù hợp với
rủi ro mong muốn, biện pháp quản trị đang được
thực hiện để khắc phục.
36
5. Rủi ro, phương án khắc phục và các hành
ro chính, bao gồm cả hiệu quả của các biện pháp
kiểm sốt và các phương án ứng phó với những rủi
ro này.
3. Báo cáo và phân loại rủi ro đầy đủ, chính xác
và phù hợp.
Như vậy, phương pháp kiểm tốn nội bộ dựa
trên rủi ro khơng chỉ giúp phát huy tối đa chức
năng tư vấn, đảm bảo của KTNB đối với quy trình
quản trị rủi ro của đơn vị, giúp cho đơn vị nhận
thức được việc xây dựng thiết kế thực hiện quản trị
rủi ro có đạt được hiệu quả như kỳ vọng của nhà
4. Các quy trình quản lý rủi ro, bao gồm cả hiệu
quản trị hay khơng, mức độ quản trị rủi ro của đơn
quả của các phương án ứng phó và việc hồn thành
vị và dịch vụ tư vấn, đảm bảo cần thiết từ KTNB
Số 136 - tháng 2/2019
NGHIÊN CỨU KHOA HỌC KIỂM TỐN
để giúp cho đơn vị đạt được các mục tiêu đã đề ra.
đồng nghĩa với việc kiểm soát nội bộ tại đơn vị hoạt
Bài viết chỉ ra những ưu điểm mà phương pháp
động chưa hữu hiệu, KTNB nên xây dựng kế hoạch
kiểm toán nội bộ dựa trên rủi ro mang lại cho đơn
tư vấn về rủi ro và quản trị rủi ro tại đơn vị với mục
vị đồng thời chỉ ra những điều kiện căn bản mà
tiêu nâng cao nhận thức và hoạt động quản trị rủi
đơn vị cần chuẩn bị cho việc áp dụng phương pháp
ro tại đơn vị đó trước khi thực hiện RBIA. Do hiệu
kiểm toán nội bộ dựa trên rủi ro. Đối với các đơn
quả thực hiện RBIA tại đơn vị phụ thuộc vào độ
vị có đủ điều kiện áp dụng, tác giả làm rõ hơn các
tin cậy của hệ thống rủi ro đăng ký - Risk Register,
bước áp dụng RBIA từ giai đoạn đánh giá mức độ
một khi đơn vị chưa có sự hiểu biết sâu xa về rủi
quản trị rủi ro tại đơn vị làm điều kiện cho việc
ro, chưa xác định rõ ràng mục tiêu, chưa áp dụng
cung cấp dịch vụ kiểm toán cho đến việc thực hiện
các nhiệm vụ kiểm toán nhằm đạt được mục tiêu
kiểm toán.
2. Phương pháp kiểm toán nội bộ dựa trên
rủi ro
2.1. Điều kiện áp dụng phương pháp
Điều kiện cơ bản để đơn vị có thể áp dụng
phương pháp kiểm toán nội bộ mang lại hiệu quả
cao nhất được thực hiện trong bước thứ nhất của
chu trình – Đánh giá mức độ quản trị rủi ro tại
đơn vị. Tùy thuộc vào nhận thức và việc thực hiện
thang đo lường rủi ro và các biện pháp kiểm soát
thích hợp, việc áp dụng RBIA sẽ không mang lại
hiệu quả như ý muốn.
2.2. Quy trình thực hiện phương pháp kiểm
toán nội bộ dựa trên rủi ro
Thực hiện kiểm toán nội bộ dựa trên rủi ro bao
gồm 03 giai đoạn: (1) Đánh giá mức độ quản trị rủi
ro, (2) Lập kế hoạch kiểm toán định kỳ, (3) Thực
hiện nhiệm vụ kiểm toán riêng biệt. Trong đó:
Giai đoạn 1: Đánh giá mức độ quản trị rủi ro -
quản trị rủi ro trong đơn vị mà KTNB cân nhắc áp
Assessement Risk Manurity. Kiểm toán viên nội bộ
dụng RBIA cũng như các dịch vụ mà KTNB cung
(KTVNB) cần nắm được tổng quan về phạm vi mà
cấp. Đối với các đơn vị mà mức độ quản trị rủi ro
hội đồng quản trị và ban quản lý xác định, đánh
được đánh giá ở mức cao, nhận thức của lãnh đạo
giá, quản lý và giám sát rủi ro. Điều này cung cấp
đơn vị khá đầy đủ về các rủi ro chính mà đơn vị
độ tin cậy của hệ thống đăng ký rủi ro phục vụ cho
phải đối mặt, xây dựng được hệ thống đăng ký rủi
mục đích lập kế hoạch kiểm toán.
ro đáng tin cậy bao gồm các mục tiêu cụ thể trong
hoạt động, các rủi ro cản trở hoàn thành mục tiêu,
thang điểm đo lường rủi ro, biện pháp kiểm soát và
phương án ứng phó với rủi ro của đơn vị, thì quá
trình đánh giá trong bước 1 áp dụng RBIA này là
bước đầu tiên để cung cấp sự đảm bảo cho chức
Giai đoạn 2: Lập kế hoạch kiểm toán định kỳ Periodic Audit Planning. Xác định sự đảm bảo và
các nhiệm vụ tư vấn trong một khoảng thời gian
cụ thể, thường là hàng năm, bằng cách xác định và
ưu tiên tất cả các lĩnh vực mà hội đồng quản trị yêu
năng quản trị rủi ro tại đơn vị cũng như việc quản
cầu đảm bảo được mục tiêu, bao gồm các quy trình
trị và báo cáo rủi ro chính. Chiến lược đảm bảo của
quản trị rủi ro, việc quản lý rủi ro chính, ghi chép
kiểm toán nội bộ lúc này do đó là cung cấp ý kiến
và báo cáo rủi ro.
về sự đảm bảo cho chính lĩnh vực này.
Giai đoạn 3: Thực hiện nhiệm vụ kiểm toán
Đối với các tổ chức có mức độ quản trị rủi ro
riêng biệt - Individual Audit Assignment. Thực
thấp hơn đồng nghĩa với việc chức năng đảm bảo
hiện các nhiệm vụ kiểm toán dựa trên rủi ro riêng
của kiểm toán nội bộ chưa sẵn sàng thực hiện.
Trong các đơn vị mức độ quản trị rủi ro chỉ
được đánh giá ở mức độ sơ khai như Risk Naïve,
biệt để cung cấp sự đảm bảo một phần khung quản
trị rủi ro, bao gồm cả việc giảm thiểu các nhóm rủi
ro hoặc rủi ro riêng lẻ.
NGHIÊN CỨU KHOA HỌC KIỂM TOÁN
Số 136 - tháng 2/2019
37
NGHIEÂN CÖÙU TRAO ÑOÅI
Bảng 1: Quy trình kiểm toán nội bộ dựa trên rủi ro
(Nguồn: The IIA global, 2014, GuidetoRBIA, trang 3)
• Giai đoạn 1: Đánh giá mức độ quản trị rủi
ro – Assessement Risk Manurity
Mức độ hiểu biết về rủi ro và thực hiện quản
trị rủi ro tại đơn vị được gọi là “Mức độ quản trị
rủi ro” tại đơn vị đó. Kiểm toán viên đánh giá mức
độ quản trị rủi ro tại đơn vị với mục đích xác định
chính xác mức độ hiểu biết của đơn vị về các rủi ro
ảnh hưởng, quá trình thực hiện quản trị rủi ro tại
đơn vị, báo cáo với nhà quản trị và Ủy ban kiểm
toán về quá trình đánh giá từ đó lựa chọn chiến
lược kiểm toán phù hợp. Để có thể đạt được các
mục tiêu này, KTNB cần phải thực hiện các bước
công việc như sau: (1) Thảo luận với nhà quản trị
và các cấp quản lý về rủi ro, (2) Thu thập các tài liệu
38
Số 136 - tháng 2/2019
NGHIÊN CỨU KHOA HỌC KIỂM TOÁN
liên quan đến quản trị rủi ro, (3) Kết luận về mức
độ quản trị rủi ro tại đơn vị, (4) Báo cáo kết quả
đánh giá cho nhà quản trị và ủy ban kiểm toán, (5)
Làm việc với ban quản lý để xác định nội dung cần
thực hiện từ kết quả đánh giá và (6) Xác định chiến
lược kiểm toán cần thiết.
(1) Thảo luận với nhà quản trị và các cấp quản
lý về rủi ro: KTVNB cần xác định các hoạt động đã
và đang được thực hiện tại đơn vị được kiểm toán
nhằm nâng cao hiệu quả quản trị rủi ro như các hoạt
động đào tạo, hội thảo, bảng hỏi về rủi ro hoặc các
cuộc phỏng vấn với các nhà quản trị rủi ro. KTNB
cần xác định được liệu nhà quản trị của đơn vị đã
hài lòng với hệ thống đăng ký rủi ro – Risk Register.
Đơn
vị
Quá
trình
Định
Cung nghĩa
ứng các mục
tiêu
Mua
nguyên
liệu thô
Mua tài
sản cố
định
Mô tả quá
trình
Rủi ro chính
Mục tiêu
của quá
trình
cung ứng
được định
nghĩa
Mục tiêu
không được
thực hiện hiệu
quả và hiệu
năng
Mua
nguyên
liệu cho
sản xuất
Nguyên vật
liệu mua vào
không phù
hợp, giá cao
hoặc cung ứng
muộn
Mua tài
sản cố
định
Tài sản không
được yêu cầu
mua sắm, tài
sản không phù
hợp hoặc giá
quá cao
I
L
5 5
5 5
4 5
Điểm
rủi ro
tiềm
tàng
Phương án ứng phó
Giám sát
25
Mục tiêu chiến lược
được trình bày rõ
ràng trong văn bản,
Mục tiêu chiến
xuyên suốt trên mạng lược được HĐQT
nội bộ đến tất cả các chấp nhận
nhân viên của bộ
phận
25
Giám sát chất
lượng được thực
Nguyên vật liệu thô
hiện cho cả quy
được xác định bởi
trình. Nhân viên
bộ phận kỹ thuật.
Mức giá thay đổi trên cung ứng muộn
5% cần được GĐBH sẽ bị nêu tên và
phạt.
thẩm định lại. Việc
cung ứng chậm được Báo cáo lợi nhuận
đánh dấu trong quá
gộp sẽ nhấn
trình mua sắm
mạnh vào phần
chi phí tăng thêm
20
Mua sắm TSCĐ phải
được phê duyệt theo
quy trình đã được
xây dựng. TSCĐ mua
sắm quá 1.000 cần
được báo cáo giải
thích
Báo cáo TSCĐ
cần được thực
hiện và thể hiện
rõ mức độ chênh
lệch giữa giá trị
thực tế so với
ngân sách
I
Điểm
rủi ro
L
còn
lại
5
1
4
2
Điểm
kiểm
soát
5
20
0
25
8
12
Chú ý: I = Impact - Mức độ ảnh hưởng; L = Likelyhood - Khả năng xảy ra,
(Nguồn: IIA, 2014, Appendix C)
Bảng 3: Tính điểm rủi ro theo khả năng xảy ra và hậu quả của rủi ro
Nếu mức độ ảnh hưởng khi rủi ro xảy ra là:
Khả năng xảy
ra của rủi ro là:
Một phần quan trọng hoặc cả đơn vị bị phá sản trong
một khoảng thời gian dài
Gần như chắc
chắn
Ngăn chặn đơn vị đạt được phần chính của mục tiêu
trong khoảng thời gian dài
Có thể xảy ra
Ngăn cản đơn vị đạt được một số mục tiêu trong
khoảng thời gian giới hạn
Hoặc
Có khả năng
Gây ra những bất lợi nhưng không ảnh hưởng đến
khả năng đạt được những mục tiêu chính của đơn vị
Không chắc
Gây ra những bất lợi nhỏ, nhưng không ảnh hưởng
đến khả năng đạt được mục tiêu của tổ chức
Hiếm
Điểm
Rất cao
Phương
pháp đo
lường
tính
điểm
như sau
(5)
Cao
(4)
Trung
bình
(3)
Thấp
(2)
Rất thấp
(1)
(Nguồn: David Griffiths, 2009, RBIA Book 1 An Introduction – Establishing the internal control framework,
trang 19)
NGHIÊN CỨU KHOA HỌC KIỂM TOÁN
Số 136 - tháng 2/2019
39
NGHIÊN CỨU TRAO ĐỔI
(2) Thu thập các tài liệu liên quan đến quản trị
rủi ro.
rủi ro tại đơn vị, KTNB đưa ra sự đánh giá về mức
độ quản trị rủi ro của đơn vị. Theo David Griffiths.
(3) Kết luận về mức độ quản trị rủi ro tại đơn
vị: Dựa trên các tài liệu thu thập được về quản trị
KTNB có thể sử dụng thang đo 5 mức độ để đánh
giá về mức độ quản trị rủi ro tại đơn vị như sau:
Bảng 4: Trích bảng đánh giá mức độ quản trị rủi ro
Mức độ
Mức độ 1
Risk nạve
Khơng áp dụng
và phát triển
khung
quản
trị rủi ro chính
thức
Đặc trưng
Mức độ 2
Risk aware
Mức độ 3
Risk defined
Chiến
lược
và chính sách
Có áp dụng đã được thiết
quản trị rủi ro lập và truyền
nhưng khơng thơng, mức rủi
thường xun
ro mong muốn
đã được xác
định
Mức độ 4
Risk managed
Mức độ 5
Risk enabled
Phát triển và
truyền thơng
khung
quản
trị rủi ro tồn
doanh nghiệp
Quản trị rủi ro
và kiểm sốt
nội bộ được
thực hiện như
một chức năng
xun
suốt
tồn
doanh
nghiệp
Quy trình
Doanh nghiệp
đã xác định
mục tiêu chưa?
Nhà quản trị
đã được đào
tạo để hiểu về
rủi ro và trách
nhiệm của họ
với rủi ro
Doanh nghiệp
đã có hệ thống
tính điểm rủi
ro chưa?
Có
Khơng
Một phần
Doanh nghiệp
đã xây dựng
và thực hiện
xác định rủi ro
chưa?
(Nguồn: David Griffiths, Risk based Internal Audit, Book 1 – Introduction, trang 71)
(4) Báo cáo kết quả đánh giá cho nhà quản trị và
Ủy ban kiểm tốn.
(5) Làm việc với ban quản lý để xác định nội
dung cần thực hiện từ kết quả đánh giá.
(6) Xác định chiến lược kiểm tốn cần thiết.
Các nhiệm vụ kiểm tốn lúc này phụ thuộc vào
40
Số 136 - tháng 2/2019
NGHIÊN CỨU KHOA HỌC KIỂM TỐN
sự đánh giá về mức độ quản trị rủi ro tại doanh
nghiệp cũng như sự chấp thuận của nhà quản trị
và Ủy ban kiểm tốn: (1) Chiến lược đảm bảo, (2)
khung mẫu sử dụng cho kế họach kiểm tốn và (3)
chiến lược tư vấn.
• Giai đoạn 2: Lập kế hoạch kiểm tốn định kỳ
- Periodic Audit Planning
Kiểm toán dựa trên rủi ro không phải là kiểm
toán các rủi ro tại đơn vị mà là kiểm toán quản
trị rủi ro, tập trung vào quy trình thực hiện bởi
bộ phận quản lý của đơn vị với các nội dung; các
phương án ứng phó với nhóm rủi ro riêng lẻ, các
quy trình được sử dụng để đánh giá rủi ro, quyết
định phương án ứng phó và giám sát việc thực
hiện, báo cáo với hội đồng quản trị.
Bảng 5: Chức năng đảm bảo của RBIA
rủi ro, (3) Liên kết giữa rủi ro và nhiệm vụ kiểm
toán, (4) Thiết lập kế hoạch kiểm toán định kỳ và
(5) Báo cáo với nhà quản trị và ủy ban kiểm toán.
(1) Xác định các phương án đối phó và quy
trình quản trị rủi ro mà ở đó nhiệm vụ tư vấn của
KTNB được yêu cầu.
KTNB nên xem xét lại yêu cầu đảm bảo và hệ
thống đăng ký rủi ro, sau đó liệt kê các phương án
mà ở đó mục tiêu đảm bảo được yêu cầu, cùng với
các thông tin về rủi ro liên quan:
Phương án ứng
phó rủi ro
(Nguồn: IIA, 2014, trang 9)
Các công việc cần thực hiện trong giai đoạn 2
bao gồm: (1) Xác định các phương án đối phó và
quy trình quản trị rủi ro mà ở đó nhiệm vụ tư vấn
của KTNB được yêu cầu, (2) Phân loại và ưu tiên
Kiểm toán
Chấm dứt hoạt
động nếu rủi ro
chúng tạo ra quá
cao hặc quá tốn
kém
Thực hiện dự án và kế
hoạch để chấm dứt hoạt
động
Chấp nhận, dung
nạp rủi ro
Giám sát rủi ro
Chuyển giao rủi ro
Quy trình chuyển giao
rủi ro
Xử lý rủi ro
Các kiểm soát hoạt động
và kế toán quen thuộc
là trọng tâm của KTNB
trong nhiều năm.
(Nguồn: IIA, 2014, trang 10)
NGHIÊN CỨU KHOA HỌC KIỂM TOÁN
Số 136 - tháng 2/2019
41
NGHIEÂN CÖÙU TRAO ÑOÅI
Bảng 6: Xây dựng kế hoạch kiểm toán
Nguồn: IIA, 2014, trang 12)
(2) Phân loại và ưu tiên rủi ro.
42
phù hợp với tổ chức trung tâm với các hệ thống
Rủi ro trong đơn vị nên được phân loại theo thứ
tự logic nếu có số lượng lớn sẽ vô cùng hữu ích cho
việc lập kế hoạch kiểm toán. Cách phân loại hữu
ích này bao gồm:
tích hợp.
• Bởi các đơn vị kinh doanh: Cách phân loại này
thực sự hữu ích cho các tổ chức được cấu thành bởi
nhiều các đơn vị phụ thuộc, quá trình và hệ thống
được thực hiện khép kín. Các câu hỏi có thể được
sử dụng lặp lại giữa các đơn vị như những rủi ro
phát sinh từ hệ thống máy tính ở tất cả các đơn vị.
tiếp giữa kiểm toán và các mục tiêu bị ảnh hưởng
• Bởi chức năng hoặc hệ thống như bán hàng,
cung ứng hoặc giám sát cổ phiếu. Phương pháp này
Có 2 phương pháp để có thể thực hiện liên kết
Số 136 - tháng 2/2019
NGHIÊN CỨU KHOA HỌC KIỂM TOÁN
• Bởi mục tiêu: Phương pháp này thật sự phù
hợp khi thực hiện kiểm toán do nó liên quan trực
tiếp đến đơn vị được kiểm toán, tạo liên kết trực
bởi rủi ro. Những vấn đề được nhà quản trị quản
lý chính là những nội dung được kiểm toán nội bộ
kiểm tra.
(3) Liên kết giữa rủi ro và nhiệm vụ kiểm toán.
giữa rủi ro và nhiệm vụ kiểm toán:
1. Nhóm các rủi ro theo đơn vị kinh doanh,
2. Thiết lập hệ thống kiểm toán nội bộ. Phương
mục tiêu, chức năng hoặc hệ thống và quyết định
pháp này đặt mỗi nhiệm vụ kiểm toán vào một đơn
nhiệm vụ kiểm toán cung cấp sự đảm bảo đến các
vị kinh doanh hoặc hệ thống mà ở đó KTNB sẽ
phương án ứng phó liên quan.
cung cấp sự đảm bảo.
Bảng 7: Trích hệ thống kiểm toán nội bộ (Audit Universe)
Đơn vị
kinh
doanh
Nội
dung
kiểm
toán
Nhóm
kiểm
toán
Cung
ứng
Chiến
lược
cung
ứng
Chi tiết lần kiểm toán trước
Thời điểm
báo cáo
thực tế
Kết
quả
trước
Số
Ngân
sách
Thực
tế
Thời
gian
Mục tiêu
báo cáo
Q
123
3
4
06/ 2016
23/6/2016
28/6/2016
Chấp
nhận
Cung
ứng
cho sản
xuất
R
124
20
29
09/2016
25/10/2016 10/11/2016
Không
chấp
nhận
Mua
sắm
TSCĐ
S
Mua
hàng
hóa
T
Số
KT
tiếp
Ngân
sách
KT
tiếp
Thời
gian KT
tiếp
Tình
trạng
3
03/2018
Không
có KH
18
09/2018
Có kế
họach
253
Mục tiêu
báo cáo
25/10/2018
(Nguồn: IIA, 2014, Appendix D)
Đơn vị cần phải thu thập và ghi nhận thông tin liên kết với rủi ro, phương án ứng phó và nhiệm vụ kiểm
toán cần cung cấp sự đảm bảo cho các phương án ứng phó.
Bảng 8: Trích hệ thống rủi ro và kiển toán nội bộ (Risk and Audit Universe)
Đơn
vị
Rủi ro
chính
Mục tiêu
không
Cung được thực
ứng hiện hiệu
quả và hiệu
năng
Phương án ứng
phó
Giám sát
Mục tiêu chiến
lược được trình
bày rõ ràng trong
văn bản, xuyên
suốt trên mạng
nội bộ đến tất
cả các nhân viên
của bộ phận
Mục tiêu chiến
lược được
HĐQT chấp
nhận
Nguyên vật liệu
thô được xác
định bởi bộ
Nguyên vật
phận kỹ thuật.
liệu mua
Mức giá thay
vào không
đổi trên 5% cần
phù hợp,
được GĐBH
giá cao
thẩm định lại.
hoặc cung
Việc cung ứng
ứng muộn
chậm được đánh
dấu trong quá
trình mua sắm
Giám sát chất
lượng được
thực hiện
cho cả quy
trình. Nhân
viên cung ứng
muộn sẽ bị nêu
tên và phạt.
Báo cáo lợi
nhuận gộp sẽ
nhấn mạnh
vào phần chi
phí tăng thêm
I
Điểm
Điểm
rủi ro
L
kiểm
còn
soát
lại
5 1
5
0
Nội
dung
kiểm
toán
Nhóm
kiểm
toán
Số
kiểm
toán
Báo cáo
cuối cùng
Kết
quả
KT
trước
20
Chiến
lược
cung
ứng
Q
123
28/06/2017
Chấp
nhận
25
Cung
ứng
cho
sản
xuất
Q
124
10/11/2017
Không
chấp
nhận
NGHIÊN CỨU KHOA HỌC KIỂM TOÁN
Số 136 - tháng 2/2019
43
NGHIÊN CỨU TRAO ĐỔI
Tài sản
khơng
được u
cầu mua
sắm, tài sản
khơng phù
hợp hoặc
giá q cao
Mua sắm TSCĐ
phải được phê
duyệt theo quy
trình đã được
xây dựng. TSCĐ
mua sắm q
1.000 cần được
báo cáo giải
thích
Báo cáo TSCĐ
cần được thực
hiện và thể
hiện rõ mức
độ chênh lệch
giữa giá trị
thực tế so với
ngân sách
4 2
8
Cung
ứng
TSCĐ
12
S
(Nguồn: IIA, 2014, Appendix E)
(4) Lập kế hoạch kiểm tốn định kỳ.
bộ có thể đề xuất tăng nhân viên, hoặc giảm số
Ước tính thời gian và nguồn lực cần thiết cho
mỗi cuộc kiểm tốn. RBIA ln đề ra một lượng
lượng kiểm tốn viên phù thuộc vào kế hoạch kiểm
tốn được xây dựng.
cơng việc được xác định, do đó xác định được các
nguồn lực để hồn thành cơng việc. Kiểm tốn nội
(5) Báo cáo với nhà quản trị và ủy ban kiểm
tốn.
Bảng 9: Kế hoạch kiểm tốn mẫu
Đơn vị
kinh
doanh
Nội dung kiểm tốn
Nhóm
kiểm
tốn
Cung ứng
Chiến lược cung ứng
Q
Cung ứng
Cung ứng cho sản xuất
R
Cung ứng
Cung ứng TSCĐ
S
Cung ứng
Cung ứng hàng hóa
T
Số
KT
tiếp
Ngân
Thời gian
sách
kiểm tốn
KT tiếp
tiếp
KTV
Tình
trạng
Mục tiêu
báo cáo
Khơng có
KH
3
03/2018
253
18
09/2018
Lan
254
20
04/2018
Hương
Có KH
25/10/2018
Trong
tiến trình
03/05/2018
Nguồn: IIA, 2014, Appendix F)
• Giai đoạn 3: Nhiệm vụ kiểm tốn riêng lẻ Individual Audit Assignment
RBIA khơng phải là kiểm tốn các rủi ro mà
kiểm tốn việc quản trị rủi ro tại đơn vị, do đó sẽ
tập trung vào các biện pháp nhà quản trị thực hiện
để ứng phó với rủi ro. KTVNB nên sử dụng thời
gian làm việc với nhà quản trị, thảo luận và xác
định các biện pháp kiểm sốt họ đang áp dụng hơn
là thiết lập lại kiểm sốt hoặc các phương án ứng
phó, phân tích dữ liệu cho bản thân.
Mục tiêu của giai đoạn này là cung cấp sự đảm
rủi ro phía trên và dưới mức rủi ro mong muốn
của đơn vị.
✓ Các phương án ứng phó với rủi ro mang
lại hiệu quả nhưng khơng q mức trong việc
quản lý các rủi ro tiềm tàng trong mức độ rủi ro
mong muốn.
✓ Đối với các rủi ro còn lại khơng nằm trong
mức độ rủi ro mong muốn, đã có các phương án
khắc phục được xây dựng.
bảo trong mối liên hệ với hoạt động kinh doanh, hệ
✓ Q trình quản trị rủi ro, bao gồm cả hiệu
thống đang được xem xét cũng như được xác định
quả của các phương án ứng phó đang được giám
trong kế hoạch kiểm tốn, cụ thể:
✓ Nhà quản trị đã xác định, đánh giá đưa ra các
44
phương án ứng phó với các rủi ro bao gồm cả các
Số 136 - tháng 2/2019
NGHIÊN CỨU KHOA HỌC KIỂM TỐN
sát bởi nhà quản trị để đảm bảo chúng hoạt động
hiệu quả.
✓ Rủi ro, phương án ứng phó và hành động
đang được phân loại và báo cáo đúng đắn.
Để có thể đạt được các mục tiêu này, KTNB cần
phải thực hiện các bước công việc như sau:
(1) Xác định phạm vi kiểm toán.
(2) Đánh giá mức độ quản trị rủi ro của các đơn
vị được kiểm toán.
(3) Kết luận về cấp độ đánh giá mức độ quản
trị rủi ro.
(4) Xác nhận về phạm vị thực hiện nhiệm vụ.
(5) Thảo luận và quan sát các giám sát kiểm soát.
(6) Xác minh bằng chứng, kiểm soát hoặc thực
hiện lại.
(7) Tài liệu hóa kết quả kiểm toán.
(8) Xem xét lại sự đánh giá của tổ chức về các
rủi ro còn lại.
(9) Kết luận về phương án và quá trình quản trị
rủi ro đã được kiểm toán.
(10) Báo cáo và nhận phản hồi.
(11) Tóm tắt kết luận kiểm toán cho Ủy ban
kiểm toán.
3. Kết luận
Phương pháp kiểm toán dựa trên rủi ro được
đánh giá là phương pháp mang lại nhiều ưu điểm
cho đơn vị trên phương diện đánh giá về khung
quản trị rủi ro hiện tại đơn vị áp dụng về cả phương
diện thiết kế và vận hành. Sau quá trình đánh giá
KTNB một lần nữa cung cấp sự đảm bảo về hiệu
quả của quản trị rủi ro trong doanh nghiệp. Trường
hợp trình độ quản trị rủi ro tại đơn vị được đánh
giá ở mức độ thấp, kiểm soát nội bộ tại đơn vị hoạt
động chưa hữu hiệu thì chức năng tư vấn của kiểm
toán nội bộ sẽ được phát huy. Bài viết đã chỉ ra
những yếu tố nền tảng cơ bản cho đơn vị áp dụng
phương pháp kiểm toán nội bộ dựa trên rủi ro, làm
rõ hơn các bước trong quy trình thực hiện giúp bộ
phận kiểm toán nội bộ phát huy tối da chức năng
đảm bảo và tư vấn, góp phần tạo ra giá trị cho
doanh nghiệp.
TÀI LIỆU THAM KHẢO
1. Bộ Tài chính (1997), Quyết định số
832-TC/QD/CDKT, Quyết định về tổ
chức kiểm toán nội bộ, ban hành ngày
28/10/1997;
2.Bộ Tài chính (2016), Quyết định số
174/2016/NĐ-CP quy định Luật Kế toán,
ban hành ngày 30/12/2016;
3. PGS,TS Thịnh Văn Vinh & TS Phạm Tiến
Hưng (2014), Giáo trình kiểm toán nội bộ,
Nhà xuất bản Tài chính, Hà Nội, Việt Nam;
4. Nguyễn Thị Thái An (2018), “Organization
and internal auditing activities in Vietnamese
enterprises: situation in reality and solutions”,
Proceeding of International Conference
“Bulding and Implementing an effective
internal audit function in Vietnam and around
the world”, NXB Tài chính, Hà nội, tr.35-40;
5. Hoang Ngoc Hung (2018), ‘Key challenges
to establishing an Internal Audit function in
Vietnam’, Diễn giả hội thảo quốc tế Building
and Implementing an effective Internal
Audit function in Vietnam and around the
world, Hội Kế toán Kiểm toán Việt nam,
Smart Training, tổ chức ngày 21/8/2018;
6.Nguyễn Thị Quế & PGS.TS Trần Mạnh
Dũng (2018), ‘Auditor’s Perception in
Usage of Audit Information Technology in
Vietnam’, Kỷ yếu hội thảo quốc tế “Bulding
and Implementing an effective internal audit
function in Vietnam and around the world”,
NXB Tài chính, Hà nội, tr.14-26;
7.Norman Marks (2018), “A Look into the
Future: The Next Evolution of Internal Audit
Continuous Risk and Control Assurance”,
Journal of Auditing, số 15, tr 15-23;
8.The IIA Global (2004), International
Professional Practices Framework, America;
9. The IIA Global (2014), Risk based internal
auditing, America;
10.
The IIA Global (2018), Global America
Pulse of Internal Audit, America.
NGHIÊN CỨU KHOA HỌC KIỂM TOÁN
Số 136 - tháng 2/2019
45