1/10/21

Chương 4: KIỂM SOÁT NỘI BỘ

Mục %êu
2

1.  Hiểu khái quát về ba khuôn mẫu kiểm soát: COBIT, COSO, ERM
2.  Mô tả các thành phần của khuôn mẫu kiểm soát ERM

1
 1/10/21

Nội dung
3

1.  Ba khuôn mẫu kiểm soát COBIT, COSO, ERM

2.  Các thành phần của khuôn mẫu kiểm soát ERM
3.  Môi trường nội bộ
4.  Thiết lập mục %êu
5.  Xác định sự kiện
6.  Đánh giá rủi ro
7.  Phản ứng rủi ro
8.  Hoạt động kiểm soát
9.  Thông %n & truyền thông
10. Giám sát

Tầm quan trọng của kiểm soát

4

2
 1/10/21

1. Ba khuôn mẫu kiểm soát

5

Hiệp hội kiểm toán và Ủy ban của các tổ

kiểm soát hệ thống
thông %n
chức bảo trợ
(ISACA) (COSO)

Khuôn mẫu
Khuôn mẫu
kiểm soát nội
COBIT
bộ

Khuôn mẫu
quản trị rủi
ro DN (ERM)

1. Ba khuôn mẫu kiểm soát:

6
COBIT, COSO & ERM

COBIT: là một khuôn mẫu về an ninh và kiểm

soát cho phép:
§  BQL đánh giá các biện pháp an ninh và kiểm soát của
môi trường CNTT
§  Người dùng dịch vụ CNTT được bảo đảm có đủ an
ninh và kiểm soát
§  KTV chứng minh được những ý kiến kiểm soát nội bộ
của họ và tư vấn về các vấn đề an ninh và kiểm soát
CNTT

3
 1/10/21

1. Ba khuôn mẫu kiểm soát:

7
COBIT, COSO & ERM

KSNB là một quá trình, bị chi phối bởi Hội đồng

¨ 
quản trị, ban giám đốc & các nhân viên của đơn vị,
được thiết kế để cung cấp một sự đảm bảo hợp lý
COSO cho việc đạt những mục tiêu về hoạt động, báo cáo
& tuân thủ. (COSO 2013)

¨  Qtri rủi ro doanh nghiệp là một quá trình, bị chi phối

bởi Hội đồng quản trị, ban giám đốc & các nhân
viên của đơn vị, được áp dụng trong thiết lập chiến
lược; được thiết kế để nhận dạng các sự kiện tiềm
ERM tàng có thể ảnh hưởng đến DN & quản lý rủi ro
trong mức độ cho phép để cung cấp sự đảm bảo
hợp lý cho việc đạt được các mục tiêu của DN.
(ERM 2004)

1. Ba khuôn mẫu kiểm soát:

8
COBIT, COSO & ERM
Mục tiêu rộng hơn, hướng đến
chiến lược phát triển của đơn vị

ERM

Kiểm
soát
nội
bộ
COSO & ERM

4
 1/10/21

2. Các thành phần của ERM

9

3. Môi trường nội bộ

10

§  Môi trường nội bộ, được hiểu là sắc thái văn hóa chung của
doanh nghiệp, tác động đến ý thức của mọi người trong DN, cụ
thể:
§  Chi phối ban quản lý trong việc thiết lập chiến lược & mục %êu, tổ
chức các hoạt động kinh doanh, xác định, đánh giá và phản hồi rủi ro.
§  Tác động đến hành vi ứng xử của nhân viên
§  Môi trường nội bộ bao gồm:
§  Triết lý quản lý, phong cách điều hành và khả năng chấp nhận rủi ro
(risk appe%te)
§  Cam kết về ~nh chính trực, giá trị đạo đức và năng lực
§  Giám sát kiểm soát nội bộ bởi Hội đồng quản trị
§  Cơ cấu tổ chức
§  Cách thức phân định quyền hạn và trách nhiệm
§  Chính sách nhân sự
§  Các yếu tố tác động bên ngoài

5
 1/10/21

3.1. Triết lý quản lý, phong cách điều hành và

khả năng chấp nhận rủi ro (risk appe%te)
11

3.2 Cam kết về ~nh chính trực, giá trị

đạo đức và năng lực
12

6
 1/10/21

3.3 Giám sát kiểm soát nội bộ bởi Hội

đồng quản trị
13

3.4. Cơ cấu tổ chức

14

7
 1/10/21

3.5 Cách thức phân định quyền hạn và

trách nhiệm
15

3.6. Chính sách nhân sự

16

8
 1/10/21

3.7. Các yếu tố tác động bên ngoài

17

4. Thiết lập mục %êu (trang 226)

18

§  Mục %êu chiến lược:

§  Mục %êu hoạt động:

§  Mục %êu báo cáo:

§  Mục %êu tuân thủ:

9
 1/10/21

5. Xác định sự kiện

19

§  Sự kiện

§  Khi sự kiện xảy ra, nó có thể kích hoạt các sự kiện khác.
§  Các kỹ thuật để xác định sự kiện:
–  xây dựng danh sách đầy đủ các sự kiện %ềm tàng,
–  thực hiện phân ~ch nội bộ,
–  giám sát các sự kiện và điểm kích hoạt (trigger points),
–  thực hiện hội thảo và phỏng vấn,
–  sử dụng khai thác dữ liệu và phân ~ch các qui trình kinh
doanh

6. Đánh giá rủi ro

20

§  Rủi ro:
§  Rủi ro gồm: rủi ro %ềm tàng (inherent risks) và rủi ro còn lại
(residual risks)
§ Rủi ro %ềm tàng
§ Rủi ro còn lại

Làm sao để đánh giá rủi ro tiềm tàng và phát triển

một phản ứng rủi ro (a risk response)?

10
 1/10/21

21

7. Phản ứng với rủi ro

22

§  Giảm thiểu:

§  Chấp nhận:

§  Chia sẻ/ chuyển giao rủi ro:

§  Né tránh:

11
 1/10/21

Phân biệt sự kiện, nguy cơ & gian lận

23
với rủi ro

§  Sự kiện & rủi ro

§  Nguy cơ & rủi ro

§  Gian lận và rủi ro

Sự kiện & rủi ro

24

Sự kiện có thể tác động ~ch cực hoặc %êu cực đến việc

đạt mục %êu, trong đó:

§  Sự kiện có tác động ~ch cực đến việc đạt mục %êu:

§  Sự kiện có tác động %êu cực đến việc đạt mục %êu:

12
 1/10/21

Nguy cơ & rủi ro trong AIS

25

§  Nguy cơ: là nguyên nhân %ềm tàng của một sự cố có thể

gây hại cho một hệ thống hoặc tổ chức
Nguy cơ là nguyên nhân tiềm tàng dẫn đến rủi ro

Gian lận & rủi ro trong AIS

26

§  Giận lận: là Hành vi cố ý lừa dối, giấu diếm &

xuyên tạc sự thật với mục đich tư lợi
§  Chuẩn mực kiểm toán số 240: “Gian lận là hành vi
cố ý do một hay nhiều người trong Ban quản trị, ban
giám đốc, các nhân viên hoặc bên thứ ba thực hiện
bằng các hành vi gian dối để thu lợi bất chính hoặc bất
hợp pháp”

13
 1/10/21

8. Các hoạt động kiểm soát

27

§  Hoạt động kiểm soát là các chính sách và thủ tục mà

ban quản lý triển khai trong doanh nghiệp, ở tất cả các
cấp, và trong tất cả các chức năng, nhằm đảm bảo rằng
các phản ứng rủi ro được thực hiện.

¨  Chính sách Thủ tục

8. Các hoạt động kiểm soát

28

§  Phân loại: ngoài việc phân loại theo mục %êu kiểm
soát (chiến lược, hoạt động, báo cáo, tuân thủ), hoạt
động kiểm soát còn được phân theo:
–  Kiểm soát ngăn ngừa:
–  Kiểm soát phát hiện:
–  Kiểm soát bù đắp:

14
 1/10/21

8. Các hoạt động kiểm soát

29

§  Các thủ tục kiểm soát cụ thể:

§ Ủy quyền phù hợp cho nghiệp vụ và hoạt động
§ Phân chia trách nhiệm
§ Kiểm soát phát triển và chuyển đổi hệ thống
§ Kiểm soát quản trị việc thay đổi (chương 5)
§ Thiết kế và sử dụng chứng từ, sổ sách
§ Đảm bảo an toàn cho tài sản, sổ sách và dữ liệu
§ Kiểm tra độc lập việc thực hiện

8.1 Ủy quyền phù hợp

30

15
 1/10/21

8.2 Phân chia trách nhiệm

31

Xét
duyệt

Ghi Bảo vệ
chép tài sản

8.3 Kiểm soát phát triển và chuyển đổi hệ thống

32

§  Kiểm soát phát triển và chuyển đổi hệ thống bao gồm các thủ
tục kiểm soát liên quan đến việc phê duyệt của ban quản lý,
sự tham gia của người dùng, đồng thời cũng liên quan đến
quá trình phân ~ch, thiết kế, thử nghiệm, triển khai và chuyển
đổi hệ thống.
§  Một số thủ tục kiểm soát phát triển và chuyển đổi hệ thống:
–  Ban chỉ đạo cần hướng dẫn và giám sát việc phát triển và mua lại hệ
thống
–  Kế hoạch chiến lược tổng thể cần được phát triển và cập nhật hàng năm
–  Thiết lập một kế hoạch phát triển dự án chi %ết
–  Xây dựng một lịch trình xử lý dữ liệu để chỉ ra khi nào mỗi tác vụ sẽ được
thực hiện
–  Thiết lập các hoạt động đo lường thành quả của hệ thống để đánh giá hệ
thống
–  Tiến hành việc đánh giá sau khi thực hiện

16
 1/10/21

8.4 Kiểm soát quản trị thay đổI (chương 5)

33

§  Là qui trình chính thức nhằm đảm bảo rằng

các sửa đổi với phần cứng, phần mềm hoặc
các qui trình không làm giảm độ %n cậy của hệ
thống

8.5 Thiết kế và sử dụng chứng từ, sổ sách

34

17
 1/10/21

8.6 Đảm bảo an toàn cho tài sản, sổ

sách và dữ liệu
35

8.7 Kiểm tra độc lập

36

18
 1/10/21

9. Thông %n và truyền thông

37

§  Hệ thống thông %n và truyền thông cần nắm bắt và trao đổi

thông %n cần thiết để thực thi, quản lý và kiểm soát các hoạt
động của tổ chức.
§  Thông %n phù hợp được xác định, thu thập và truyền đạt trong
một biểu mẫu và khung thời gian cho phép mọi người thực hiện
trách nhiệm của họ.
§  Giao %ếp hiệu quả cũng xảy ra theo nghĩa rộng hơn: từ trên
xuống, từ dưới lên và theo chiều ngang
§  Ba nguyên tắc được áp dụng cho qui trình thông %n và truyền
thông:
–  Thu thập và tạo ra thông %n chất lượng cao, phù hợp để hỗ trợ KSNB
–  Truyền đạt thông %n nội bộ bao gồm các mục %êu và trách nhiệm, để
hỗ trợ các thành phần khác của KSNB
–  Truyền đạt các vấn đề kiểm soát nội bộ thích hợp cho các đối tác bên
ngoài

10. Giám sát

38

§  Hệ thống kiểm soát nội bộ phải được giám sát, đánh giá liên
tục và sửa đổi khi cần thiết. Bất kỳ sự thiếu sót nào cũng phải
được báo cáo cho cấp quản lý và ban giám đốc.
§  Một số phương pháp giám sát kết quả hoạt động của DN như:
–  Thực hiện các đánh giá kiểm soát nội bộ
–  Triển khai giám sát hiệu quả
–  Sử dụng hệ thống kế toán trách nhiệm
–  Giám sát các hoạt động của hệ thống
–  Theo dõi phần mềm và thiết bị di động đã mua
–  Tiến hành kiểm toán định kỳ
–  Sử dụng một nhân viên an ninh máy ~nh (CSO) và một giám đốc tuân thủ
(CCO)
–  Sử dụng các chuyên gia bảo mật
–  Cài đặt phần mềm phát hiện gian lận
–  Triển khai số điện thoại khẩn để báo cáo gian lận





19
 1/10/21

Thuật ngữ
39
STT Thuật ngữ Trang Dịch
tham
chiếu
1 Applica%on controls 217 Kiểm soát ứng dụng
2 Audit commi˜ee 225 Ủy ban kiểm toán
3 Audit trail 237 Dấu vết kiểm toán
4 Authoriza%on 231 Ủy quyền
5 Background check 226 Kiểm tra thông %n cá nhân/ kiểm
tra lý lịch
6 Chief compliance officer (CCO) 239 Giám đốc tuân thủ
7 Conclusion 233 Thông đồng
8 Commi˜ee of sponsoring 221 Ủy ban của các tổ chức bảo trợ
Organiza%ons (COSO)
9 Compliance objec%ves 202 Mục %êu tuân thủ
10 Computer forensics specialists 239 Các chuyên gia bảo mật máy ~nh

Thuật ngữ
40
STT Thuật ngữ Trang Dịch
tham
chiếu
11 Computer security officer (CSO) 239 Nhân viên an ninh mạng
12 Control ac%vi%es 231 Các hoạt động kiểm soát
13 Correc%ve control 217 Kiểm soát bù đắp
14 Data processing schedule 234 Lịch trình xử lý dữ liệu
15 Detec%ve controls 217 Kiểm soát phát hiện
16 Digital signature 231 Chữ ký điện tử
17 Enterprise Risk Management – 221 Khuôn mẫu ~ch hợp về quản trị
Integrated Framework (ERM) rủi ro doanh nghiệp
18 Event 228 Sự kiện
19 Expected loss 230 Mức thiệt hại kỳ vọng
20 Exposure or impact 217 Thiệt hại/ tác động

20
 1/10/21

Thuật ngữ
41
STT Thuật ngữ Trang Dịch
tham
chiếu
21 Forensic inves%gator 239 Các chuyên gia bảo mật
22 Fraud hotline 240 Số điện thoại khẩn để báo cáo
gian lận
23 General authoriza%on 231 Ủy quyền chung
24 General controls 217 Kiểm soát chung
25 Inherent risk 228 Rủi ro %ềm tàng
26 Internal control 217 kiểm soát nội bộ
27 Internal environment 221 Môi trường nội bộ

21