Tập thể tác giả:

PGS. TS. Phan Trung Kiên

TS. Lê Quang Dũng, CPA
PGS. TS. Đoàn Thanh Nga, CPA
PTS. Nguyễn Thị Thanh Diệp
TS. Nguyễn Thị Mỹ, CPA
TS. Nguyễn Thị Lan Anh
PGS. TS. Đinh Thế Hùng
TS. Hà Hồng Hạnh
TS. Bùi Thị Minh Hải
PGS. TS. Nguyễn Thị Phương Hoa
TS. Nguyễn Thị Hồng Thuý
TS. Tạ Thu Trang

1
Bài 2: Quan hệ giữa quản trị
công ty, quản lý rủi ro và
kiểm soát với kiểm toán nội
bộ
Tài liệu tham khảo

 Giáo trình Kiểm toán nội bộ, Nxb Đại học Kinh
tế quốc dân, 2022, Chương 2
 Tài liệu giảng Chương 2

3
Mục tiêu của Bài 2

 Hiểu bản chất quản trị công ty và định vị vai trò của
kiểm toán nội bộ trong quản trị công ty;
 Hiểu quản lý rủi ro theo Khuôn khổ COSO ERM và vai
trò của kiểm toán nội bộ trong quản lý rủi ro;
 Hiểu kiểm soát nội bộ theo Khuôn khổ COSO, và xác
định vai trò của kiểm toán nội bộ với kiểm soát nội bộ;
 Phân tích phương thức kiểm toán nội bộ gia tăng giá trị
cho tổ chức thông qua việc cải thiện quản trị, quản lý
rủi ro, và kiểm soát.

4
QUẢN TRỊ CÔNG TY VÀ KIỂM TOÁN NỘI
BỘ

 OECD, 2015, quản trị công ty:

 …bao gồm một tập hợp những mối quan hệ giữa Ban quản lý,
Hội đồng quản trị, cổ đông và những bên liên quan khác của
một công ty. Quản trị công ty cũng tạo ra một cấu trúc để thông
qua đó thiết lập các mục tiêu của công ty và xác định phương
pháp để đạt được mục tiêu và giám sát việc thực hiện hoạt động
 IPPF, quản trị công ty
 ...một sự kết hợp các quy trình và cấu trúc do Hội đồng quản trị
thực hiện để thông tin, chỉ đạo, quản lý, và giám sát các hoạt
động của tổ chức hướng tới đạt được các mục tiêu

5
Phân chia các khu vực trong quản
trị
 Định hướng chiến lược
 Chiến lược đề cập tới việc Ban quản lý lập kế hoạch để đạt được
các mục tiêu của tổ chức như thế nào
 Các bộ phận quản trị khác nhau: Hội đồng quản trị (board of
directors), Ban giám sát viên (supervisory board), người đứng
đầu một cơ quan hoặc cơ quan lập pháp, Hội đồng quản trị hoặc
các cá nhân được ủy thác trong các tổ chức phi lợi nhuận hoặc
bất cứ bộ phận nào được chỉ định trong tổ chức.
 Giám sát quản trị
 Giám sát quản trị tập trung vào vai trò của Hội đồng quản trị
trong quản lý và giám sát các hoạt động khác nhau của tổ chức.

6
Hội đồng quản trị

 Hội đồng quản trị được ví như “một chiếc ô”

thực hiện vai trò giám sát quản trị bao trùm tới
toàn bộ tổ chức.
 BOD có ảnh hưởng tới triết lý chấp nhận rủi ro
của tổ chức và thiết lập những giới hạn ở phạm
vi rộng của việc thực hiện hoạt động dựa trên
giá trị văn hoá và khẩu vị rủi ro tổng thể

7
Hội đồng quản trị...

 Vai trò và trách nhiệm của Hội đồng quản trị

thể hiện ở 3 vấn đề lớn là:
 Nhận diện các bên liên quan
• Nhân viên, khách hàng, nhà cung cấp, nhà đầu tư/cổ đông,
đại diện theo luật định, định chế tài chính
 Hiểu nhu cầu và kỳ vọng của các bên
 Nhận diện kết quả mà những bên liên quan chủ yếu
có thể không chấp nhận
• Về tài chính, sự tuân thủ, các hoạt động, và chiến lược

8
Ban quản lý cấp cao

 Quản lý các hoạt động trong phạm vi mình phụ trách

 Thực thi trách nhiệm thực hiện chỉ đạo của hội động
quản trị theo cách đạt được mục tiêu của công ty trong
bối cảnh cụ thể đã được Hội đồng quản trị chỉ ra
 Có trách nhiệm
 Đảm bảo phạm vi đầy đủ của những chỉ dẫn và sự phân cấp
được hiểu một cách thích hợp
 Nhận diện những quy trình và hoạt động trong tổ chức
 Đánh giá những hành động có thể cân nhắc thực hiện
 Đảm bảo thu thập thông tin đầy đủ từ phía Ban quản lý rủi ro
để hỗ trợ cho các yêu cầu báo cáo tới BOD

9
Các bên “sở hữu” rủi ro

 Mức quản lý thứ ba tham gia vào quản lý rủi ro cụ thể,

trực tiếp
 Những cá nhân có trách nhiệm thường xuyên đảm bảo
hoạt động quản lý rủi ro cũng như quản lý hiệu lực
những rủi ro trong phạm vi có thể chấp nhận của tổ
chức
 chịu trách nhiệm nhận diện, đo lường, quản lý, giám sát và báo
cáo về những rủi ro cho thành những thành viên quản trị cấp
cao trong tổ chức cũng như tới CEO.

10
 Các bên “sở hữu” rủi ro
 Có trách nhiệm:
 Đánh giá hoạt động quản lý rủi ro có được thiết kế thích hợp để quản lý
những rủi ro liên quan
 Đánh giá những khả năng có thể của tổ chức để thực hiện những hoạt
động quản lý rủi ro
 Xác định những hoạt động quản lý rủi ro hiện tại có đang hoạt động như
thiết kế hay không; con người và các hệ thống đang thực hiện những quy
trình phù hợp với những mục tiêu thiết kế hay không.
 Thực hiện hoạt động giám sát hàng ngày
 Đảm bảo thông tin cần thiết cho Ban quản lý cấp cao và Hội đồng quản trị
là chính xác và phù hợp; cung cấp cho Ban quản lý cấp cao theo thời gian
thích hợp.
Hoạt động đảm bảo

 Mục tiêu của hoạt động đảm bảo

 là cung cấp một đánh giá độc lập về các quy trình
quản trị công ty, quản lý rủi ro và kiểm soát của tổ
chức.
 Những hoạt động đảm bảo độc lập có thể được
thực hiện bởi những đơn vị bên ngoài hoặc bên
trong tổ chức.

12
 Nhiều tổ chức đã áp
dụng một kỹ thuật
phân lớp sự đảm bảo
để đạt được mục tiêu
giảm rủi ro cần thiết,
hoặc được kỳ vọng
để hoạt động trong
phạm vi những mức
chấp nhận rủi ro của
tổ chức.

(Nguồn: IIA (2019), IIA – Issues Important

Upadate to Three Lines Model. Truy
cập ngày 28/12/2019 tại:
https://na.theiia.org/news/Pages/IIA-Iss
ues-Important-Update-to-Three-Lines-
Model.aspx
) 13
Vai trò của kiểm toán nội bộ

 Vai trò của kiểm toán nội bộ - IPPF 2110:

 “Hoạt động kiểm toán nội bộ phải đánh giá và đưa ra những đề
xuất thích hợp để cải thiện những quy trình quản trị của tổ chức
liên quan tới:
• Đưa ra những quyết định chiến lược và hoạt động;
• Giám sát quản lý rủi ro và kiểm soát;
• Thúc đẩy giá trị và những khía cạnh đạo đức thích hợp trong phạm vi tổ chức;
• Đảm bảo trách nhiệm và quản lý hiệu quả hoạt động tổ chức một cách hiệu lực;
• Trao đổi thông tin rủi ro và kiểm soát với những khu vực thích hợp của tổ chức;
• Phối hợp các hoạt động và trao đổi thông tin giữa Hội đồng quản trị, các kiểm
toán viên nội bộ và bên ngoài, những nhà cung cấp dịch vụ đảm bảo khác và Ban
quản lý”.
Vai trò của kiểm toán nội bộ...

 Vai trò của kiểm toán nội bộ - IPPF 2120:

Quản lý rủi ro, thông tin
 “Hoạt động kiểm toán nội bộ phải đánh giá
hiệu lực và góp phần vào cải thiện những quy
trình quản lý rủi ro”

15
QUẢN LÝ RỦI RO

 COSO 2017, rủi ro được định nghĩa là

 ...là khả năng những sự kiện sẽ xảy ra và ảnh hưởng tới việc đạt
được một chiến lược và những mục tiêu
 ...liên quan tới tình trạng không nhận biết được những sự kiện
tiềm tàng có thể hoặc không thể xuất hiện như thế nào
 ISO 31000:2009, rủi ro là
 ...là ảnh hưởng của sự không chắc chắn tới những mục tiêu
 Quản lý rủi ro đặt ra yêu cầu kiểm soát rủi ro ở mức có
thể chấp nhận với tổ chức hay những rủi ro còn lại
(residual risk) không vượt quá khẩu vị rủi ro đã xác định

16
Định nghĩa ERM của COSO

 COSO định nghĩa

 ERM là “Văn hóa, các năng lực và thực tiễn được hợp
nhất với thiết lập chiến lược và thực hiện chiến lược
mà những tổ chức dựa vào để quản lý rủi ro trong
việc tạo ra, bảo tồn và hiện thực hóa giá trị”

17
COSO 2017- Vai trò của các bộ phận
quản lý trong ERM
 Hội đồng quản trị
 Trách nhiệm giám sát rủi ro
 Giúp Ban quản lý thiết lập mô hình quản trị và hoạt động, định
nghĩa văn hóa và những hành vi được khuyến khích, minh họa
về tính liêm chính và giá trị đạo đức, giao trách nhiệm và ủy
quyền cho quản lý rủi ro
 Ban quản lý
 Ban quản lý thường chịu trách nhiệm thực hiện tất cả những
hoạt động của tổ chức, bao gồm cả ERM.
 Trách nhiệm của Ban quản lý hướng tới tất cả 5 bộ phận của
Khuôn khổ COSO ERM 2017.

18
Vai trò của các bộ phận quản lý
trong ERM...
 Giám đốc quản lý rủi ro
 Giám đốc quản lý rủi ro (Chief risk officer - CRO) có
thể được thiết lập như một vị trí quản trị cấp cao độc
lập để thực hiện sự phối hợp tập trung trong ERM
 Giám đốc tài chính
 Giám đốc tài chính (Chief Financial Officer - CFO), kế
toán và nhân viên chịu trách nhiệm với các hoạt động
xuyên suốt hoạt động của tổ chức
 Trách nhiệm phát triển dự toán, theo dõi và phân tích
hoạt động, sự tuân thủ và báo cáo cách tiếp cận

19
Giới thiệu về quản lý rủi ro theo ISO
31000
 ISO 31000 đã có 2 lần cập nhật và phiên bản
hiện tại là ISO 31000:2018
 Các bộ phận cơ bản của ISO 31000:2018
 Các nguyên tắc quản lý rủi ro
 Khuôn khổ quản lý rủi ro
 Quy trình quản lý rủi ro

20
Các nguyên tắc quản lý rủi ro

 Theo ISO 31000:2018

 Được tích hợp vào các quy trình của tổ chức.
 Có cấu trúc và toàn diện
 Được tùy chỉnh
 Sự tham giaa của quản lý
 Tính động
 Thông tin sẵn có tốt nhất
 Yếu tố con người và văn hóa
 Cải tiến liên tục

21
Khuôn khổ quản lý rủi ro

 Theo ISO 31000:2018

 Việc xây dựng khuôn khổ quản lý rủi ro bao gồm việc tích hợp,
thiết kế, thực hiện, đánh giá và cải tiến quản lý rủi ro trong toàn
bộ tổ chức
 Khuôn khổ gồm
 Sự lãnh đạo và cam kết
 Tích hợp
 Thiết kế khuôn khổ quản lý rủi ro
 Thực hiện
 Đánh giá
 Cải tiến

22
Khuôn khổ quản lý rủi ro

 Quy trình quản lý rủi ro

 Thiết lập phạm vi, bối cảnh và tiêu chí
 Đánh giá rủi ro:
• Nhận diện – Phân tích – Định mức rủi ro
 Xử lý rủi ro:
• (1) tránh rủi ro; (2) chấp nhận hoặc làm tăng rủi ro; (3) loại
bỏ nguồn rủi ro; (4) thay đổi khả năng xảy ra; (5) thay đổi
hệ quả; (6) chia sẻ rủi ro; và (7) kiềm chế rủi ro

 Lập hồ sơ và báo cáo

23
Vai trò của kiểm toán nội bộ

 Có áp dụng khuôn khổ ERM

 Nhóm những chức năng kiểm toán nội bộ then
chốt: những chức năng này thường là mang
tính chất của hoạt động đảm bảo
 Nhóm chức năng kiểm toán nội bộ theo quy
định hướng tới sự an toàn: nhóm hoạt động này
mang màu sắc hoạt động tư vấn
 Nhóm chức năng của kiểm toán nội bộ không
cam kết thực hiện xuất phát từ bối cảnh cụ thể
24
Vai trò của kiểm toán nội bộ...

 Không áp dụng khuôn khổ ERM

 CAE nên trao đổi về nghĩa vụ của Ban quản lý
với Ban quản lý và Hội đồng quản trị
 Vai trò của chức năng kiểm toán nội bộ xác
định theo
• văn hoá của tổ chức,
• khả năng của nhân viên kiểm toán nội bộ và
những điều kiện nội bộ,
• những khách hàng địa phương trong phạm vi hoạt
động nội địa
 KIỂM SOÁT NỘI BỘ
 Các khuôn khổ kiểm soát nội bộ phổ biến
 Khuôn khổ COSO 1992 hay Báo cáo COSO 1992 là khuôn khổ kiểm soát nội
bộ được COSO giới thiệu lần đầu tiên năm 1992 - Khuôn khổ COSO 1992
được cập nhật lần gần đây nhất năm 2013 - Khuôn khổ COSO 2013
 Hướng dẫn kiểm soát hay Khuôn khổ những tiêu chí kiểm soát hay Khuôn
mẫu CoCo giới thiệu lần đầu tiên vào năm 1995
 Hướng dẫn cho các giám đốc về Đạo luật kết hợp (Guidence for Directors on
the Combined Code) - Đạo luật quản trị công ty UK (UK Corporate
Governance Code), 1999
 Khuôn khổ kiểm soát nội bộ công nghệ thông tin hay Khuôn khổ COBIT do
Viện quản trị công nghệ thông tin của Mỹ giới thiệu lần đầu vào năm 1996,
được cập nhật vào các năm 2000, 2005, và 2012
 Sách trắng quản trị của Châu Âu (European Governance A White Paper) và
những tài liệu khác liên quan bổ sung trong các năm 2007, 2010, và 2011

26
Định nghĩa kiểm soát nội bộ

 COSO 2013 định nghĩa kiểm soát nội bộ...

 “…là một quy trình chịu tác động của Hội đồng quản
trị, Ban quản lý, và những cá nhân khác, được thiết
kế để cung cấp một sự đảm bảo hợp lý về việc đạt
được các mục tiêu liên quan tới các hoạt động, việc
lập báo cáo, và sự tuân thủ”

27
COSO 2013 -Các yếu tố cấu thành

 Môi trường kiểm soát

 Đánh giá rủi ro
 Các hoạt động kiểm soát
 Thông tin và truyền thông
 Giám sát

28
Đánh giá rủi ro

 Tổ chức cần có quy trình để đánh giá rủi ro

tiềm tàng có thể ảnh hưởng tới việc đạt được
mục tiêu
 Đánh giá rủi ro là quá trình nhận diện và phân
tích các rủi ro liên quan đến việc đạt được mục
tiêu của tổ chức, từ đó hình thành cơ sở để xác
định cách thức quản lý rủi ro.

29
Các hoạt động kiểm soát

 COSO 2013
 Các hoạt động kiểm soát là những hành động được
Ban quản lý, Hội đồng quản trị và các bên khác thực
hiện để giảm rủi ro và tăng khả năng đạt được các
mục tiêu và mục đích đã thiết lập

30
Các hoạt động kiểm soát...
 Quan điểm trực diện về kiểm soát, hoạt động kiểm soát
gồm các loại
 Kiểm soát ở cấp độ tổng thể (entity-level control)
• là một hoạt động kiểm soát thực hiện ở toàn bộ tổ chức và không bị giới
hạn bởi hoặc liên quan tới các quy trình riêng rẽ.
 Kiểm soát ở cấp độ quy trình
• Có mức độ chi tiết hơn so với kiểm soát ở cấp độ tổng thể.
• Các hoạt động kiểm soát này do bên quản lý quy trình thiết lập để giảm rủi
ro đe dọa tới các mục tiêu của quy trình.
 Kiểm soát ở cấp độ tác nghiệp
• Có mức độ chi tiết hơn so với kiểm soát ở cấp độ quy trình.
• Các hoạt động kiểm soát tác nghiệp được thiết kế để đảm bảo các hoạt
động, nhiệm vụ, hoặc các nghiệp vụ cũng như là một nhóm các hoạt động,
nhiệm vụ, hoặc nghiệp vụ được xử lý chính xác, kịp thời.

31
 Các hoạt động kiểm soát...

 Mức độ quan trọng, hoạt động kiểm soát gồm các loại
 Kiểm soát then chốt
• Là các kiểm soát chính trong các hoạt động kiểm soát của tổ chức. Kiểm soát này
được thiết kế để giảm các rủi ro chính liên quan tới các mục tiêu kinh doanh.
 Kiểm soát thứ cấp
• Là hoạt động kiểm soát được thiết kế để hoặc là làm giảm các rủi ro không phải
là rủi ro chính liên quan tới các mục tiêu kinh doanh, hoặc là làm giảm một phần
mức độ rủi ro khi một hoạt động kiểm soát chủ chốt không hoạt động hiệu lực.
 Kiểm soát bù đắp
• Là hoạt động kiểm soát được thiết kế để bổ sung cho những hoạt động kiểm soát
chủ chốt khi những kiểm soát này hoặc là không hiệu lực hoặc là không thể giảm
toàn bộ một rủi ro hoặc một nhóm rủi ro tới mức có thể chấp nhận trong phạm vi
khẩu vị rủi ro đã được Ban quản lý và Hội đồng quản trị thiết lập

32
Các hoạt động kiểm soát...

 COSO đề xuất những kiểm soát phổ biến

 Đánh giá cấp cao
 Chức năng chỉ đạo hoặc quản lý hoạt động
 Xử lý thông tin
 Hoạt động kiểm soát vật chất
 Những chỉ số hoạt động
 Phân chia trách nhiệm

33
Giám sát

 COSO 2013
 một quy trình đánh giá sự hiện hữu và thực thi quản
trị, quản lý rủi ro và kiểm soát liên tục.
 Giám sát bao gồm
• Đánh giá liên tục hình thành trong các quy trình kinh doanh
ở tất cả các cấp độ khác nhau của tổ chức và cung cấp
thông tin kịp thời
• Đánh giá riêng rẽ được thực hiện định kỳ
– Các phát hiện được đánh giá theo các tiêu chí được cơ quan
quản lý, cơ quan ban hành chuẩn mực, hoặc Ban quản lý và
Hội đồng quản trị thiết lập và những thiếu sót được báo cáo
cho Ban quản lý và Hội đồng quản trị một cách phù hợp

34
 Đánh giá kiểm soát nội bộ

 COSO đề xuất với hoạt động giám sát kết

hợp với đánh giá
 “nó có thể sẽ hữu ích để đem tới một cái nhìn
trong sáng theo thời gian” về hiệu lực của hoạt
động kiểm soát nội bộ dựa trên các đánh giá
riêng rẽ
 Ngoài kiểm toán nội bộ, Ban quản lý và cá
nhân có thể thực hiện đánh giá

35
Vai trò của kiểm toán nội bộ

 IPPF 2130
 “Hoạt động kiểm toán nội bộ phải trợ giúp
cho tổ chức trong việc duy trì hoạt động kiểm
soát hiệu quả bằng cách đánh giá hiệu lực và
hiệu quả; bằng việc khuyến khích quá trình
cải tiến không ngừng.”

36