CÁC KHUÔN MẪU KSNB

I. KHUÔN MẪU COBIT

Hiệp hội Kiểm toán và Kiểm soát Hệ thống Thông tin (ISACA) đã phát triển khuôn khổ
Mục tiêu Kiểm soát đối với Thông tin và Công nghệ Liên quan (COBIT). COBIT hợp nhất các
tiêu chuẩn kiểm soát từ nhiều nguồn khác nhau thành một khuôn khổ duy nhất cho phép (1) ban
quản lý đánh giá các biện pháp kiểm soát và bảo mật trong môi trường CNTT, (2) người dùng
được đảm bảo rằng có các biện pháp kiểm soát và bảo mật CNTT đầy đủ và (3) kiểm toán viên
để chứng minh ý kiến kiểm soát nội bộ của họ và tư vấn về các vấn đề kiểm soát và bảo mật
CNTT. Khung COBIT 2019 mô tả các phương pháp hay nhất để quản trị và quản lý CNTT hiệu
quả. COBIT 2019 dựa trên năm nguyên tắc chính sau đây về quản trị và quản lý CNTT. Những
nguyên tắc này giúp các tổ chức xây dựng khuôn khổ quản lý và điều hành hiệu quả nhằm bảo vệ
khoản đầu tư của các bên liên quan và tạo ra hệ thống thông tin tốt nhất có thể.
1. Đáp ứng nhu cầu của các bên liên quan. Điều này giúp người dùng tùy chỉnh các quy
trình kinh doanh và quy trình nhiệm vụ tạo ra một hệ thống thông tin làm tăng thêm giá trị cho
các bên liên quan. Nó cũng cho phép công ty tạo ra sự cân bằng hợp lý giữa rủi ro và lợi nhuận.
2. Bao quát doanh nghiệp từ đầu đến cuối. Điều này không chỉ tập trung vào hoạt động
CNTT mà còn tích hợp tất cả các chức năng và quy trình CNTT vào các chức năng và quy trình
trên toàn công ty.
3. Áp dụng một khuôn khổ tích hợp duy nhất. Điều này có thể được liên kết ở mức độ
cao với các tiêu chuẩn và khuôn khổ khác để tạo ra một khuôn khổ bao quát cho quản trị và quản
lý CNTT.
4. Kích hoạt cách tiếp cận toàn diện. Điều này cung cấp một cách tiếp cận toàn diện giúp
quản trị và quản lý hiệu quả tất cả các chức năng CNTT trong công ty.
5. Tách biệt quản trị khỏi quản lý. Điều này phân biệt giữa quản lý và sự quản lý.
Như được hiển thị trong Hình 10-1, có năm mục tiêu quản lý và quản trị trong COBIT
2019. Mục tiêu của quản trị là tạo ra giá trị bằng cách tối ưu hóa việc sử dụng các nguồn lực của
tổ chức để tạo ra lợi ích mong muốn theo cách giải quyết rủi ro một cách hiệu quả. Quản trị là
trách nhiệm của ban giám đốc, người (1) đánh giá nhu cầu của các bên liên quan để xác định
mục tiêu, (2) đưa ra định hướng cho ban quản lý bằng cách ưu tiên các mục tiêu và (3) giám sát
hiệu quả hoạt động của ban quản lý.
Ban quản lý chịu trách nhiệm lập kế hoạch, xây dựng, điều hành và giám sát các hoạt
động và quy trình được tổ chức sử dụng để theo đuổi các mục tiêu do ban giám đốc thiết lập. Ban
quản lý cũng định kỳ cung cấp cho ban giám đốc những phản hồi có thể được sử dụng để giám
sát việc đạt được các mục tiêu của tổ chức và, nếu cần, để đánh giá lại và có thể sửa đổi các mục
tiêu đó.
Việc quản trị và quản lý CNTT là những quá trình diễn ra liên tục. Hội đồng quản trị và
ban quản lý giám sát các hoạt động của tổ chức và sử dụng phản hồi đó để sửa đổi các kế hoạch
và thủ tục hiện có hoặc phát triển các chiến lược mới nhằm đáp ứng những thay đổi trong mục
tiêu kinh doanh và những phát triển mới trong CNTT.
COBIT 2019 là một khuôn khổ toàn diện giúp các doanh nghiệp đạt được các mục tiêu
quản lý và quản trị CNTT. Tính toàn diện này là một trong những điểm mạnh của COBIT 2019
và là nền tảng cho sự chấp nhận ngày càng tăng của quốc tế như một khuôn khổ để quản lý và
kiểm soát hệ thống thông tin.
 Hình 10-2 là mô hình tham chiếu quy trình COBIT 2019. Mô hình này xác định năm quy
trình quản trị (được gọi là đánh giá, chỉ đạo và giám sát hoặc EDM) và 35 quy trình quản lý. 35
quy trình quản lý được chia thành bốn lĩnh vực sau:
1. Căn chỉnh, lập kế hoạch và tổ chức (APO).
2. Xây dựng, tiếp thu và triển khai (BAI).
3. Cung cấp, dịch vụ và hỗ trợ (DSS).

II. KHUÔN MẪU KSNB CỦA COSO

1. IC
Ủy ban các Tổ chức Tài trợ (COSO) bao gồm Hiệp hội Kế toán Hoa Kỳ, AICPA, Viện
Kiểm toán Nội bộ, Viện Kế toán Quản trị và Viện Điều hành Tài chính. Năm 1992, COSO đã
ban hành Khuôn khổ Tích hợp Kiểm soát Nội bộ (IC), được chấp nhận rộng rãi như là cơ quan
có thẩm quyền về kiểm soát nội bộ và được đưa vào các chính sách, quy tắc và quy định được sử
dụng để kiểm soát các hoạt động kinh doanh.
Vào năm 2013, khung IC đã được cập nhật để giải quyết tốt hơn các quy trình kinh doanh
hiện tại và tiến bộ công nghệ. Ví dụ, vào năm 1992, rất ít doanh nghiệp sử dụng Internet, gửi e-
mail hoặc lưu trữ dữ liệu của họ trên đám mây. Khung IC sửa đổi cũng cung cấp cho người dùng
hướng dẫn chính xác hơn về cách triển khai và ghi lại khung đó. Nhiều ví dụ mới đã được thêm
vào để làm rõ các khái niệm khung và làm cho khung dễ hiểu và dễ sử dụng hơn. Khung IC mới
giữ nguyên năm thành phần của khung ban đầu và bổ sung thêm 17 nguyên tắc xây dựng và hỗ
trợ các khái niệm. Mỗi thành phần trong số năm thành phần có ít nhất hai và tối đa năm nguyên
tắc.
Năm thành phần và 17 nguyên tắc của khung IC được tóm tắt trong Bảng 10-1. Bởi vì
Khung tích hợp kiểm soát nội bộ COSO là khung kiểm soát được sử dụng phổ biến nhất nên văn
bản này sử dụng nó để giải thích các biện pháp kiểm soát nội bộ. Trọng tâm 10-1 giải thích các
khuôn khổ kiểm soát COSO khác.
2. COSO – ERM
2. 1. Khung tích hợp quản lý rủi ro doanh nghiệp (ERM)
 Để cải thiện quy trình quản lý rủi ro, năm 2004 COSO đã phát triển khung kiểm soát thứ
hai có tên là Khung tích hợp quản lý rủi ro doanh nghiệp (ERM). ERM là quy trình mà ban giám
đốc và ban quản lý sử dụng để thiết lập chiến lược, xác định các sự kiện có thể ảnh hưởng đến
đơn vị, đánh giá và quản lý rủi ro và đưa ra sự đảm bảo hợp lý rằng công ty đạt được các mục
tiêu và mục đích của mình. Các nguyên tắc cơ bản đằng sau ERM như sau:
Các công ty được thành lập để tạo ra giá trị cho chủ sở hữu của họ.
Ban quản lý phải quyết định mức độ không chắc chắn sẽ chấp nhận khi nó tạo ra giá trị.
Sự không chắc chắn dẫn đến rủi ro, đó là khả năng xảy ra điều gì đó ảnh hưởng tiêu cực
đến khả năng tạo ra hoặc bảo toàn giá trị của công ty.
Sự không chắc chắn dẫn đến cơ hội, đó là khả năng xảy ra điều gì đó ảnh hưởng tích cực
đến khả năng tạo ra hoặc bảo tồn giá trị của công ty.
Khuôn khổ ERM có thể quản lý sự không chắc chắn cũng như tạo ra và bảo tồn giá trị.
2.2. Quản lý rủi ro doanh nghiệp-Tích hợp với chiến lược và hiệu suất
Sau khi ERM được công bố, những rủi ro mới xuất hiện và mức độ phức tạp của rủi ro
hiện tại đã thay đổi. Để giải quyết vấn đề này, khuôn khổ ERM đã được cập nhật vào năm 2017
và được đổi tên thành Quản lý rủi ro doanh nghiệp-Tích hợp với chiến lược và hiệu suất. Tiêu đề
mới công nhận và nhấn mạnh tầm quan trọng của việc xem xét rủi ro trong việc thiết lập chiến
lược công ty và giúp các công ty cải thiện hiệu quả hoạt động của mình. Khung mới bao gồm 20
nguyên tắc kiểm soát được chia thành năm thành phần có liên quan với nhau sau đây:
1. Quản trị và Văn hóa: Quản trị đặt ra tinh thần của tổ chức, bao gồm cả trách nhiệm
giám sát quản lý rủi ro doanh nghiệp. Văn hóa liên quan đến các giá trị đạo đức, hành vi mong
muốn và hiểu biết về rủi ro của công ty.
2. Thiết lập chiến lược và mục tiêu: Lập kế hoạch chiến lược nên bao gồm chiến lược
công ty, thiết lập mục tiêu và quản lý rủi ro doanh nghiệp. Sự khao khát rủi ro của một công ty
phải phù hợp với chiến lược. Các mục tiêu kinh doanh cần được tạo ra để đưa chiến lược vào
thực tế. Các chiến lược và mục tiêu kinh doanh nên xem xét nhu cầu xác định, đánh giá và ứng
phó với rủi ro.
3. Hiệu suất: Các thực thể nên xác định và đánh giá các rủi ro ảnh hưởng đến chiến lược
và mục tiêu kinh doanh của mình, ưu tiên chúng dựa trên khẩu vị rủi ro của họ và xác định cách
ứng phó với từng rủi ro. Quá trình ứng phó với rủi ro phải bao gồm việc đánh giá tổng mức độ
rủi ro mà đơn vị phải gánh chịu. Các bên liên quan chính về rủi ro cần được thông báo về quá
trình đánh giá và ứng phó rủi ro cũng như những phát hiện của nó.
4. Xem xét và sửa đổi: Đơn vị phải xem xét hiệu suất của các thành phần ERM để xác
định xem chúng hoạt động tốt như thế nào theo thời gian và xác định những sửa đổi nào là cần
thiết.
5. Thông tin, Truyền thông và Báo cáo: Điều cần thiết là phải liên tục thu thập và chia sẻ
thông tin từ các nguồn nội bộ và bên ngoài với tất cả các cấp cần thiết của tổ chức. Các nguyên
tắc kiểm soát trong năm thành phần bao gồm tất cả các khía cạnh của rủi ro doanh nghiệp có thể
phù hợp với các quan điểm và cơ cấu hoạt động khác nhau. Việc tuân thủ các nguyên tắc này
mang lại cho các bên liên quan, ban điều hành và hội đồng quản trị một kỳ vọng hợp lý rằng đơn
vị hiểu và đang quản lý các rủi ro về chiến lược cũng như mục tiêu kinh doanh.
 2.3. Cải thiện khả năng phục hồi của tổ chức: Hướng dẫn mới giải quyết các rủi ro liên
quan đến môi trường, xã hội và quản trị (ESG)
Năm 2018, COSO đã ban hành hướng dẫn ERM mới: Cải thiện khả năng phục hồi của tổ chức:
Hướng dẫn mới giải quyết các rủi ro liên quan đến môi trường, xã hội và quản trị (ESG). Rủi ro
liên quan đến ESG đang gia tăng về số lượng và mức độ nghiêm trọng trên toàn thế giới, làm
tăng nhu cầu về hiểu biết sâu sắc liên quan đến ESG. Hướng dẫn ESG được thiết kế để có thể dễ
dàng tích hợp với hướng dẫn Quản lý Rủi ro Doanh nghiệp-Tích hợp với Chiến lược và Hiệu
suất của COSO. Tài liệu ESG bao gồm:
Các phương pháp khắc phục rủi ro ESG liên quan đến cả 5 yếu tố trên các thành phần của
ERM
Các cách quản lý rủi ro ESG.
Phương pháp quản lý rủi ro ESG bằng cách phát triển và duy trì văn hóa cải tiến liên tục.
2.4. Khung ERM so với Khung kiểm soát nội bộ
Khung IC đã được áp dụng rộng rãi như một cách để đánh giá các biện pháp kiểm soát
nội bộ, theo yêu cầu của SOX. Các khuôn khổ ERM toàn diện hơn áp dụng cách tiếp cận dựa
trên rủi ro thay vì cách tiếp cận dựa trên kiểm soát. Kiểm soát ERM rất linh hoạt và phù hợp vì
chúng được liên kết với các mục tiêu hiện tại của tổ chức. Mô hình ERM cũng thừa nhận rằng rủi
ro, ngoài việc được kiểm soát, còn có thể được chấp nhận, tránh, đa dạng hóa, chia sẻ hoặc
chuyển giao.