Professional Documents
Culture Documents
Mục %êu
2
1. Hiểu khái quát về ba khuôn mẫu kiểm soát: COBIT, COSO, ERM
2. Mô tả các thành phần của khuôn mẫu kiểm soát ERM
1
1/10/21
Nội dung
3
2
1/10/21
Khuôn mẫu
Khuôn mẫu
kiểm soát nội
COBIT
bộ
Khuôn mẫu
quản trị rủi
ro DN (ERM)
3
1/10/21
ERM
Kiểm
soát
nội
bộ
COSO & ERM
4
1/10/21
§ Môi trường nội bộ, được hiểu là sắc thái văn hóa chung của
doanh nghiệp, tác động đến ý thức của mọi người trong DN, cụ
thể:
§ Chi phối ban quản lý trong việc thiết lập chiến lược & mục %êu, tổ
chức các hoạt động kinh doanh, xác định, đánh giá và phản hồi rủi ro.
§ Tác động đến hành vi ứng xử của nhân viên
§ Môi trường nội bộ bao gồm:
§ Triết lý quản lý, phong cách điều hành và khả năng chấp nhận rủi ro
(risk appe%te)
§ Cam kết về ~nh chính trực, giá trị đạo đức và năng lực
§ Giám sát kiểm soát nội bộ bởi Hội đồng quản trị
§ Cơ cấu tổ chức
§ Cách thức phân định quyền hạn và trách nhiệm
§ Chính sách nhân sự
§ Các yếu tố tác động bên ngoài
5
1/10/21
6
1/10/21
7
1/10/21
8
1/10/21
9
1/10/21
§ Sự kiện
§ Khi sự kiện xảy ra, nó có thể kích hoạt các sự kiện khác.
§ Các kỹ thuật để xác định sự kiện:
– xây dựng danh sách đầy đủ các sự kiện %ềm tàng,
– thực hiện phân ~ch nội bộ,
– giám sát các sự kiện và điểm kích hoạt (trigger points),
– thực hiện hội thảo và phỏng vấn,
– sử dụng khai thác dữ liệu và phân ~ch các qui trình kinh
doanh
§ Rủi ro:
§ Rủi ro gồm: rủi ro %ềm tàng (inherent risks) và rủi ro còn lại
(residual risks)
§ Rủi ro %ềm tàng
§ Rủi ro còn lại
10
1/10/21
21
§ Giảm thiểu:
§ Chấp nhận:
§ Né tránh:
11
1/10/21
Sự kiện có thể tác động ~ch cực hoặc %êu cực đến việc
§ Sự kiện có tác động ~ch cực đến việc đạt mục %êu:
§ Sự kiện có tác động %êu cực đến việc đạt mục %êu:
12
1/10/21
13
1/10/21
§ Phân loại: ngoài việc phân loại theo mục %êu kiểm
soát (chiến lược, hoạt động, báo cáo, tuân thủ), hoạt
động kiểm soát còn được phân theo:
– Kiểm soát ngăn ngừa:
– Kiểm soát phát hiện:
– Kiểm soát bù đắp:
14
1/10/21
15
1/10/21
Xét
duyệt
Ghi Bảo vệ
chép tài sản
§ Kiểm soát phát triển và chuyển đổi hệ thống bao gồm các thủ
tục kiểm soát liên quan đến việc phê duyệt của ban quản lý,
sự tham gia của người dùng, đồng thời cũng liên quan đến
quá trình phân ~ch, thiết kế, thử nghiệm, triển khai và chuyển
đổi hệ thống.
§ Một số thủ tục kiểm soát phát triển và chuyển đổi hệ thống:
– Ban chỉ đạo cần hướng dẫn và giám sát việc phát triển và mua lại hệ
thống
– Kế hoạch chiến lược tổng thể cần được phát triển và cập nhật hàng năm
– Thiết lập một kế hoạch phát triển dự án chi %ết
– Xây dựng một lịch trình xử lý dữ liệu để chỉ ra khi nào mỗi tác vụ sẽ được
thực hiện
– Thiết lập các hoạt động đo lường thành quả của hệ thống để đánh giá hệ
thống
– Tiến hành việc đánh giá sau khi thực hiện
16
1/10/21
17
1/10/21
18
1/10/21
§ Hệ thống kiểm soát nội bộ phải được giám sát, đánh giá liên
tục và sửa đổi khi cần thiết. Bất kỳ sự thiếu sót nào cũng phải
được báo cáo cho cấp quản lý và ban giám đốc.
§ Một số phương pháp giám sát kết quả hoạt động của DN như:
– Thực hiện các đánh giá kiểm soát nội bộ
– Triển khai giám sát hiệu quả
– Sử dụng hệ thống kế toán trách nhiệm
– Giám sát các hoạt động của hệ thống
– Theo dõi phần mềm và thiết bị di động đã mua
– Tiến hành kiểm toán định kỳ
– Sử dụng một nhân viên an ninh máy ~nh (CSO) và một giám đốc tuân thủ
(CCO)
– Sử dụng các chuyên gia bảo mật
– Cài đặt phần mềm phát hiện gian lận
– Triển khai số điện thoại khẩn để báo cáo gian lận
19
1/10/21
Thuật ngữ
39
STT Thuật ngữ Trang Dịch
tham
chiếu
1 Applica%on controls 217 Kiểm soát ứng dụng
2 Audit commi˜ee 225 Ủy ban kiểm toán
3 Audit trail 237 Dấu vết kiểm toán
4 Authoriza%on 231 Ủy quyền
5 Background check 226 Kiểm tra thông %n cá nhân/ kiểm
tra lý lịch
6 Chief compliance officer (CCO) 239 Giám đốc tuân thủ
7 Conclusion 233 Thông đồng
8 Commi˜ee of sponsoring 221 Ủy ban của các tổ chức bảo trợ
Organiza%ons (COSO)
9 Compliance objec%ves 202 Mục %êu tuân thủ
10 Computer forensics specialists 239 Các chuyên gia bảo mật máy ~nh
Thuật ngữ
40
STT Thuật ngữ Trang Dịch
tham
chiếu
11 Computer security officer (CSO) 239 Nhân viên an ninh mạng
12 Control ac%vi%es 231 Các hoạt động kiểm soát
13 Correc%ve control 217 Kiểm soát bù đắp
14 Data processing schedule 234 Lịch trình xử lý dữ liệu
15 Detec%ve controls 217 Kiểm soát phát hiện
16 Digital signature 231 Chữ ký điện tử
17 Enterprise Risk Management – 221 Khuôn mẫu ~ch hợp về quản trị
Integrated Framework (ERM) rủi ro doanh nghiệp
18 Event 228 Sự kiện
19 Expected loss 230 Mức thiệt hại kỳ vọng
20 Exposure or impact 217 Thiệt hại/ tác động
20
1/10/21
Thuật ngữ
41
STT Thuật ngữ Trang Dịch
tham
chiếu
21 Forensic inves%gator 239 Các chuyên gia bảo mật
22 Fraud hotline 240 Số điện thoại khẩn để báo cáo
gian lận
23 General authoriza%on 231 Ủy quyền chung
24 General controls 217 Kiểm soát chung
25 Inherent risk 228 Rủi ro %ềm tàng
26 Internal control 217 kiểm soát nội bộ
27 Internal environment 221 Môi trường nội bộ
21