Mối liên hệ giữa kiểm toán nội bộ với quản lý rủi ro theo cách tiếp cận kiểm toán nội bộ dựa trên rủi ro

TRỊNH HỒNG HẠNH (Khoa Ngân hàng, Học viện Ngân hàng)

TÓM TẮT:

Cho đến nay vai trò của kiểm toán nội bộ trong các doanh nghiệp đã được nhận thức rõ và thể hiện ngày càng quan trọng. Theo đó, phương pháp kiểm toán nội bộ đang dần thay đổi từ tiếp cận hệ thống, tuân thủ sang tiếp cận kiểm toán dựa trên rủi ro (RBIA) nhằm tăng thêm giá trị và hiệu quả cho các đơn vị. Kiểm toán nội bộ và quản lý rủi ro đều có chung một đích đến là kiểm soát được các rủi ro trong phạm vi khẩu vị rủi ro một cách hiệu quả. Với cách tiếp cận mới hiện đại của RBIA thì vai trò của kiểm toán nội bộ sẽ có những điểm khác biệt. Trên cơ sở nghiên cứu, tổng hợp các tài liệu, bài viết làm rõ mối liên hệ giữa kiểm toán nội bộ và quản lý rủi ro nhằm thực hiện tốt vai trò của kiểm toán nội bộ trong đơn vị theo cách tiếp cận RBIA.

Từ khóa: kiểm toán nội bộ dựa trên rủi ro, quản lý rủi ro.

1. Đặt vấn đề

RBIA là một phương pháp liên kết kiểm toán nội bộ với khuôn khổ quản lý rủi ro tổng thể của tổ chức; cho phép kiểm toán nội bộ cung cấp sự đảm bảo cho Hội đồng quản trị rằng các quy trình quản lý rủi ro đang quản lý rủi ro một cách hiệu quả, trong phạm vi khẩu vị rủi ro của tổ chức, (IIA, 2009).

Thực tiễn phát triển của kiểm toán nội bộ từ kiểm toán dựa trên tuân thủ  sang kiểm toán dựa trên hệ thống, sau đó đến kiểm toán dựa trên quy trình và cuối cùng là kiểm toán trên cơ sở rủi ro, kết quả cao nhất của quá trình phát triển của kiểm toán nội bộ (IIA, 2009). Như vậy, RBIA thực chất là giai đoạn phát triển cao về cách tiếp cận của kiểm toán nội bộ.

Tại Việt Nam, ngày 22/01/2019, Chính phủ đã ban hành Nghị định số 05/2019/NĐ-CP quy định về kiểm toán nội bộ (Nghị định số 05). Nghị định này có hiệu lực từ ngày 01/04/2019. Nghị định số 05 quy định: phương pháp thực hiện kiểm toán nội bộ là phương pháp kiểm toán “định hướng theo rủi ro”, ưu tiên tập trung nguồn lực để thực hiện kiểm toán các đơn vị, bộ phận, quy trình được đánh giá có mức độ rủi ro cao.

Những nội dung trong Nghị định này đã hướng đến các thông lệ quốc tế về kiểm toán nội bộ, tăng cường tính minh bạch của thông tin, tính hiệu quả và hiệu suất trong quản trị công ty.

Tuy nhiên, kiểm toán nội bộ tại các doanh nghiệp Việt Nam hiện nay chưa phải là phổ biến. Trong các doanh nghiệp có tổ chức kiểm toán nội bộ chủ yếu tập trung vào các tổng công ty hoặc tập đoàn kinh tế nhà nước. Qua khảo sát phương pháp kiểm toán nội bộ tại các doanh nghiệp này cho thấy chủ yếu vẫn là các phương pháp kiểm toán truyền thống, kiểm toán tuân thủ, tập trung vào thực hiện chức năng kiểm tra và phát hiện các vấn đề về tuân thủ và vi phạm quy định, pháp luật. Kiểm toán nội bộ được xem như “cảnh sát” khi tập trung vào xác định các sai phạm đã xảy ra và ai là người chịu trách nhiệm. Phương pháp tiếp cận RBIA và các thông lệ tốt nhất chưa được triển khai tại các doanh nghiệp trong nước một cách đúng nghĩa, (Nguyễn Thị Huyền, 2021).

Cùng với các yêu cầu mới của pháp luật về hệ thống kiểm soát nội bộ và khung quản trị rủi ro, kiểm toán nội bộ đứng trước yêu cầu cấp thiết trong việc chuyển đổi phương pháp tiếp cận kiểm toán của mình đó là RBIA nhằm áp dụng các thực tiễn tốt nhất và các chuẩn mực quốc tế để đảm bảo thành công. Bài viết tổng hợp các tài liệu nghiên cứu nhằm làm rõ mối liên hệ giữa kiểm toán nội bộ và quản lý rủi ro, qua đó thể hiện được vai trò của kiểm toán nội bộ theo cách tiếp cận RBIA, đây là vấn đề quan trọng giúp các doanh nghiệp Việt Nam triển khai tốt RBIA trong thời gian tới.

2. Cơ sở lý thuyết về kiểm toán nội bộ, quản lý rủi ro

Theo Hiệp hội kiểm toán nội bộ IIA, kiểm toán nội bộ là một hoạt động đảm bảo và tư vấn độc lập, khách quan được thiết kế nhằm gia tăng giá trị và cải thiện các hoạt động của tổ chức. Kiểm toán nội bộ giúp cho tổ chức đạt được các mục tiêu của mình bằng cách áp dụng phương pháp tiếp cận có tính nguyên tắc và hệ thống nhằm đánh giá và nâng cao hiệu quả của các quy trình quản lý rủi ro, kiểm soát và quản trị.

Quản lý rủi ro là việc xác định, đánh giá và ưu tiên hóarủi ro, tiếp theo là việc áp dụng hợp lý và tiết kiệm các nguồn lực để giảm thiểu, theo dõi và kiểm soát xác suất xảy ra hoặc ảnh hưởng của các sự kiện không may (Hubbard, 2009) hoặc để tối đa hóa việc thực hiện các cơ hội. Mục tiêu của quản lý rủi ro là để đảm bảo sự chắc chắn, không làm lệch hướng các hoạt động hướng tới việc đạt được các mục tiêu kinh doanh (Antunes, 2015).

Trong hệ thống quản trị rủi ro doanh nghiệp theo mô hình “3 lớp phòng vệ”, mô hình quản trị doanh nghiệp hiện đại theo thông lệ quốc tế được các chuyên gia khuyến nghị áp dụng. Bộ phận kiểm toán nội bộ và quản lý rủi ro thuộc 2 lớp phòng vệ khác nhau, trong đó kiểm toán nội bộ thuộc lớp phòng vệ thứ 3 với hoạt động nhằm đảm bảo kiểm tra, kiểm toán độc lập đối với lớp phòng vệ 1 (các bộ phận kinh doanh) và 2 (quản lý rủi ro), báo cáo trực tiếp cho Hội đồng quản trị về tính hiệu quả của hoạt động quản lý và kiểm soát rủi ro.

Hình 1: Mô hình quản trị rủi ro “3 lớp phòng vệ”

kiểm toán nội bộ

Nguồn: IFC,2015

3. Mối liên hệ giữa kiểm toán nội bộ và quản lý rủi ro theo cách tiếp cận RBIA

RBIA bắt đầu với tất cả các mục tiêu của tổ chức và đưa ra ý kiến về việc liệu các rủi ro đe dọa các mục tiêu này có được kiểm soát nội bộ giảm xuống mức có thể chấp nhận được hay không và do đó các mục tiêu của tổ chức có đạt được hay không, (Griffiths, 2006). Theo đó, RBIA là một phương pháp mà kiểm toán nội bộ sử dụng để đảm bảo rằng các rủi ro đang được quản lý theo khẩu vị rủi ro của tổ chức. Hiểu theo cách khác, các quy trình quản lý các rủi ro ở mức độ được Hội đồng quản trị coi là chấp nhận được.

Viện Kiểm toán nội bộ định nghĩa RBIA là một phương pháp liên kết kiểm toán nội bộ với khuôn khổ quản lý rủi ro tổng thể của tổ chức; cho phép kiểm toán nội bộ cung cấp sự đảm bảo cho Hội đồng quản trị rằng các quy trình quản lý rủi ro đang quản lý rủi ro một cách hiệu quả, trong phạm vi khẩu vị rủi ro của tổ chức, (IIA, 2009).

Tóm lại, RBIA là phương pháp mà bộ phận kiểm toán nội bộ sử dụng để cung cấp sự đảm bảo rằng các rủi ro đang được quản lý trong phạm vi khẩu vị rủi ro của tổ chức. Nói cách khác, các quy trình quản lý rủi ro ở mức độ mà Hội đồng quản trị coi là có thể chấp nhận được đang hoạt động hiệu lực và hiệu quả.

Trước khi xem xét cách thức thực hiện RBIA, điều quan trọng là phải xem xét mối liên hệ giữa chất lượng của khuôn khổ quản lý rủi ro trong tổ chức và cách tiếp cận mà kiểm toán viên nội bộ sử dụng. Việc xem xét mối liên hệ này cũng làm nổi bật sự khác biệt giữa kiểm toán nội bộ truyền thống và RBIA. Các khía cạnh được xem xét trong mối liên hệ giữa kiểm toán nội bộ và quản lý rủi ro bao gồm: trách nhiệm quản lý rủi ro, cách tiếp cận kiểm toán đã thay đổi, đánh giá rủi ro.

3.1. Trách nhiệm quản lý rủi ro

Hướng dẫn Smith và Turnbull nêu rõ rằng Ban Quản lý chịu trách nhiệm xác định các rủi ro bên trong và bên ngoài. Các rủi ro cần được xác định bởi các nhà quản lý đối với tổ chức của họ. Danh sách các rủi ro do bên thứ ba tổng hợp không nên được sử dụng, (Griffiths, 2006).

Nếu kiểm toán nội bộ không cho rằng Ban Quản lý đã xác định được tất cả các rủi ro đáng kể, thì họ nên thảo luận về những thiếu sót với Ban Quản lý có liên quan. Nếu điều này không giải quyết được vấn đề, nó phải được báo cáo cho Ban Quản lý cấp cao hơn hoặc Ủy ban Kiểm toán.

Kiểm toán nội bộ không bao giờ được tham gia vào bất kỳ hoạt động quản lý rủi ro nào có thể ảnh hưởng đến tính độc lập và khách quan của kiểm toán nội bộ (IIA,2009).

3.2. Cách tiếp cận kiểm toán đã thay đổi

Báo cáo kiểm toán truyền thống thường bao gồm các kết luận xác nhận rằng các kiểm soát đang hoạt động và đưa ra các khuyến nghị nếu chúng không hoạt động. Việc kiểm toán viên nội bộ đưa ra các khuyến nghị mà người quản lý dự kiến sẽ chấp nhận có thể dẫn đến giả định rằng kiểm toán nội bộ chịu trách nhiệm về các hoạt động kiểm soát và hàm ý là quản lý rủi ro. Tuy nhiên, hướng dẫn Turnbull (và hướng dẫn do các tổ chức khác ban hành sau đó) đã nhấn mạnh thực tế: các nhà quản lý mới là người có trách nhiệm quản lý rủi ro, phát triển các cách ứng phó đối với rủi ro và quyết định hành động cần thực hiện nếu rủi ro không được kiểm soát thích hợp, (Griffiths, 2006).

Sự thay đổi về cách tiếp cận của kiểm toán nội bộ tác động đến hoạt động kiểm toán nội bộ nhằm thực hiện vai trò sự đảm bảo hay tư vấn của kiểm toán nội bộ.

Sự đảm bảo: đây là vai trò cốt lõi của kiểm toán nội bộ nhằm cung cấp sự đảm bảo cho ban lãnh đạo và hội đồng quản trị về tính hiệu quả của quản lý rủi ro. Sự khác biệt lớn nhất so với công việc kiểm toán truyền thống là ít chú trọng hơn đến “các biện pháp kiểm soát nào đang hoạt động?” mà chú trọng nhiều hơn vào “Ban Quản lý giám sát các kiểm soát đó đang hoạt động như thế nào?”

Tư vấn: Khi không thể đưa ra sự đảm bảo, kiểm toán nội bộ vẫn có thể đưa ra các khuyến nghị với vai trò là “tư vấn”. Điều này bao gồm việc tư vấn cho Ban Quản lý xác định và đánh giá rủi ro, đưa ra lời khuyên về các ứng phó tối ưu đối với rủi ro. Phương pháp tiếp cận này sẽ được sử dụng khi các rủi ro còn lại cao hơn khẩu vị rủi ro và đối với các hệ thống đang được triển khai.

3.3. Đánh giá rủi ro

Đánh giá rủi ro của kiểm toán nhằm xác định cấp bậc quản lý rủi ro của tổ chức. Kết quả của việc đánh giá rủi ro và cách thức sử dụng chúng có ảnh hưởng đến cách tiếp cận, vai trò được thực hiện của kiểm toán nội bộ (đảm bảo hoặc tư vấn).

Để đánh giá cấp bậc quản lý rủi ro của tổ chức, kiểm toán nội bộ cần xem xét:

- Rủi ro có thể được đo lường như thế nào;

- Biện pháp nào có thể được sử dụng để quyết định xem rủi ro có thể chấp nhận được hay không;

- Các nhà quản lý sở hữu rủi ro và họ có trách nhiệm kiểm soát chúng như thế nào;

- Kiểm toán nội bộ cung cấp ý kiến cho Ban Quản lý về việc liệu những rủi ro này có được kiểm soát phù hợp với khẩu vị rủi ro của Hội đồng quản trị hay không và do đó sẽ đạt được các mục tiêu của tổ chức không.

Ấn phẩm của Viện Kiểm toán nội bộ Chartered (IIA - Vương quốc Anh và Ireland) về Kiểm toán nội bộ dựa trên rủi ro đã xác định năm cấp bậc quản lý rủi ro: rủi ro được kích hoạt (Risk enabled), rủi ro được quản lý (Risk managed), rủi ro được xác định (Risk defined), rủi ro được nhận biết (Risk aware) và rủi ro chưa được nhận biết (Risk nạve). Vào tháng 3 năm 2019, tài liệu này đã được thay thế bằng Hướng dẫn Thực hành, 'Đánh giá Quy trình Quản lý Rủi ro', sử dụng các thuật ngữ khác nhau nhưng các nguyên tắc cơ bản không thay đổi.

Theo đó ở 2 cấp độ đầu tiên (“rủi ro được kích hoạt” và “rủi ro được quản lý”) trình độ quản lý rủi ro của đơn vị ở mức độ cao, sự hiểu biết về quản lý rủi ro và giám sát các biện pháp kiểm soát của tổ chức là rất tinh vi. Các nhà quản lý đã thiết lập được sổ đăng ký rủi ro (ORCR) hoàn chỉnh, có sẵn để lập kế hoạch kiểm toán. Cấp độ “rủi ro được xác định” đã bắt đầu thiết lập được ORCR nhưng chưa hoàn chỉnh và cần sự điều chỉnh từ Ban quản lý theo tư vấn của kiểm toán nội bộ. Các cấp độ rủi ro còn lại (“rủi ro được nhận biết” và “rủi ro chưa được nhận biết”), trình độ quản lý rủi ro của đơn vị ở mức thấp, chưa có khung quản lý rủi ro, chưa thiết lập được ORCR.

Trên cơ sở kết luận về cấp bậc rủi ro của tổ chức, kiểm toán nội bộ sẽ quyết định hành động tiếp theo thể hiện vai trò của kiểm toán nội bộ là sự đảm bảo hay tư vấn, (Griffiths, 2006).

Thứ nhất, đối với tổ chức chỉ nhận biết được rủi ro hoặc chưa biết về rủi ro, thì sẽ có một số hậu quả không tốt và kiểm toán cần hành động như sau:

- Đối với các tổ chức phải tuân theo các quy định liên quan đến tính đầy đủ của quản lý rủi ro, cấp bậc quản lý rủi ro trong các tổ chức nhận biết rủi ro và chưa biết về rủi ro là không thể chấp nhận được và nên báo cáo điều này với Ủy ban Kiểm toán.

- Nếu tổ chức ở cấp độ rủi ro này, kiểm toán nội bộ không có ORCR đáng tin cậy và kiểm toán nội bộ không thể triển khai RBIA. Tuy nhiên có thể thực hiện các cuộc kiểm toán riêng lẻ theo định hướng rủi ro mà không cần tham chiếu đến ORCR. Những rủi ro này dựa vào việc xác định rủi ro như một phần của công việc kiểm toán và yêu cầu đào tạo về quản lý và hội thảo về rủi ro để xác định rủi ro trong các lĩnh vực được kiểm toán. Hoạt động kiểm toán nội bộ không được xác định rủi ro mà không có sự tham gia của Ban Quản lý, cũng như duy trì danh sách rủi ro của riêng họ. Điều này sẽ chỉ củng cố niềm tin của Ban Quản lý rằng kiểm toán nội bộ chịu trách nhiệm quản lý rủi ro.

Ở cấp độ này, kiểm toán nội bộ không thể đưa ra sự đảm bảo về tính hiệu quả của quản lý rủi ro. Kiểm toán nội bộ vẫn có thể đưa ra các khuyến nghị cho Ban Quản lý thực hiện các biện pháp ứng phó thích hợp với rủi ro, nhưng đây là một phần của vai trò “tư vấn”.

Thứ hai, với các cấp độ rủi ro còn lại, cần thực hiện hoàn thiện và xác minh độ tin cậy của ORCR của tổ chức, là cơ sở để phân bổ rủi ro cho các cuộc kiểm toán khi lập kế hoạch kiểm toán năm. Kiểm toán nội bộ thực hiện vai trò cốt lõi của mình, sự đảm bảo.

4. Kết luận

Theo cách tiếp cận RBIA, kiểm toán nội bộ và quản lý rủi ro có mối liên hệ chặt chẽ khăng khít với nhau, tuy nhiên trong đó luôn thể hiện sự tách bạch rõ ràng vai trò, trách nhiệm của Ban Quản lý và bộ phận kiểm toán nội bộ. Theo đó, trách nhiệm quản lý rủi ro luôn thuộc về Ban Quản lý; Vai trò cốt lõi của kiểm toán nội bộ là cung cấp “sự đảm bảo” cho Ban lãnh đạo và Hội đồng quản trị về tính hiệu quả của quản lý rủi ro, ngoài ra có thể là vai trò “tư vấn”. Việc kiểm toán nội bộ tiếp cận công việc của mình để thực vai trò nào phụ thuộc rất lớn vào cấp bậc quản lý rủi ro của tổ chức. Nếu quản lý rủi ro của tổ chức ở trình độ, cấp bậc cao (rủi ro được kích hoạt, rủi ro được quản lý) thì kiểm toán nội bộ sẽ tập trung phát huy được vai trò cốt lõi là “sự đảm bảo” một cách hiệu quả. Ngược lại, nếu đơn vị ở cấp độ quản lý rủi ro thấp (nhận biết được rủi ro hoặc chưa biết về rủi ro), kiểm toán nội bộ sẽ tốn rất nhiều thời gian, công sức đề giúp đơn vị thiết kế khung quản lý rủi ro, tất cả các công việc của kiểm toán nội bộ chỉ dừng lại ở vai trò “tư vấn”. Như vậy, có thể thấy, quản lý rủi ro là điều kiện, môi trường để bộ phận kiểm toán nội bộ thực hiện RBIA. Do đó, muốn kiểm toán nội bộ thực hiện được vai trò cốt lõi của mình có hiệu quả thì cần có sự hoàn thiện nâng cao trình độ quản lý rủi ro của các đơn vị. Đây là vấn đề cấp thiết đối với tất cả các đơn vị ngày nay khi môi trường kinh doanh có nhiều thay đổi, tiền ẩn rủi ro ngày càng lớn.

TÀI LIỆU THAM KHẢO:

  1. Antunes, Ricardo; Gonzalez, Vicente. (2015). A Production Model for Construction: A Theoretical Framework. Buildings, 5(1), 209-228.
  2. Hubbard, Douglas. (2009). The Failure of Risk Management: Why It's Broken and How to Fix It. USA: John Wiley & Sons. tr. 46.
  3. IFC, (2015). Các nguyên tắc quản trị công ty. Hà Nội: NXB Nông nghiệp.
  4. Institute of Internal Auditors (UK and Ireland). Risk Based Internal Auditing. [Online] Available at https://www.iia.org.uk/resources/risk-management/risk-based-internal-auditing/
  5. Institute of Internal Auditors (UK and Ireland). (2009). The Role of Internal Audit in Enterprise-wide Risk Management. [Online] Available at https://www.iia.nl/SiteFiles/IPPF_PP_Role_of_IA_in_ERM_01.09[2].pdf
  6. Griffiths. (2006). Risk Based Internal Auditing Three views. [Online] Available at https://www.internalaudit.biz/ www.internalaudit.biz
  7. Nguyễn Thị Huyền, Nguyễn Ngân Giang, (2021). Kiểm toán nội bộ tại các doanh nghiệp Việt Nam. Tạp chí Công Thương, https://tapchicongthuong.vn/bai-viet/kiem-toan-noi-bo-tai-cac-doanh-nghiep-viet-nam-80317.htm

THE RELATIONSHIP BETWEEN

THE INTERNAL AUDIT AND THE RISK MANAGEMENT

IN THE RISK-BASED INTERNAL AUDIT APPROACH

• TRINH HONG HANH

 Faculty of Banking, Banking Academy of Vietnam 

ABSTRACT:

The role of internal audit in enterprises has been well recognized and the importance of internal audit has increased. The internal audit method is gradually changing from a system approach and a compliance approach to risk-based internal audit approach (RBIA) to add more value and increase efficiency of enterprises. The internal audit and risk management share a common goal of helping the enterprise effectively control risks within its risk appetite. In the new and modern approach of RBIA, the role of internal audit have some differencies. By reviewing related documents, this paper clarifies the relationship between the internal audit and the risk management in order to help enterprises well perform the role of internal audit according to the RBIA

Keywords: risk-based internal audit, risk management.

[Tạp chí Công Thương - Các kết quả nghiên cứu khoa học và ứng dụng công nghệ, Số 9, tháng 5 năm 2022]