NATURE OF INTERNAL AUDIT ACTIVITY
.
Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online:
.
Mình từng nhận được thắc mắc kiểm toán nội bộ thì làm gì khi thực hiện các cuộc kiểm toán, và bản thân mình cũng từng tự hỏi rốt cuộc thì mình làm gì trong những năm đầu làm việc.
.
Bài viết này là để chia sẻ các tìm hiểu của Long Nguyen #CIA #CISA về câu hỏi : Kiểm toán nội bộ thì làm gì?
.
Bài viết này là để chia sẻ các tìm hiểu của Long Nguyen #CIA #CISA về câu hỏi : Kiểm toán nội bộ thì làm gì?
.
(Tham khảo IPPF 2017, COSO ERM, IIA Learning Material)
.
Xuất phát từ định nghĩa:
“Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.”
.
Có thể thấy bản chất của hoạt động kiểm toán là để “evaluate and improve the effectiveness of risk management, control, and governance processes”. Như vậy, kiểm toán nội bộ
.
- làm 2 việc, (1) đánh giá và (2) đóng góp vào sự phát triển,
- cho 3 đối tượng (1) hoạt động kiểm soát, (2) hoạt động quản lý rủi ro, và (3) hoạt động quản trị – .
truyền thống dành khá nhiều thời gian cho hoạt động kiểm soát và đã mở rộng sang kiểm toán hoạt động quản lý rủi ro, và hoạt động quản trị trong những năm gần đây
.
Để hiểu rõ bản chất của hoạt động kiểm toán, cần hiểu rõ các đối tượng trên và làm thế nào để đánh giá và đóng góp vào sự phát triển của các đối tượng đó
.
.
.
I. Hoạt động kiểm soát
Trước tiên là đánh giá và đóng góp và sự phát triển của hệ thống kiểm soát,
Cơ bản:
Tìm hiểu Audit Client trong giai đoạn lập kế hoạch
1) Xác định các mục tiêu và các rủi ro cản trở việc đat được mục tiêu
2) Xác định mức độ trọng yếu của các rủi ro (theo tác động và khả năng)
3) Xác định phản hồi phù hợp cho các rủi ro (chấp nhận, theo đuổi, chuyển giao, hạn chế, hoặc từ bỏ)
4) Xác định các kiểm soát chính (key controls) được sử dụng để quản lý các rủi ro : longnguyencia.com/2019/06/lam-nao-e-xac-inh-uoc-key-control.html
.
Thực hiện các thủ tục kiểm tra
5) Đánh giá sự đầy đủ trong thiết kế của các kiểm soát
6) Thử nghiệm các kiểm soát để xác định có vận hành như dự định
(Giới thiệu về chọn mẫu : https://www.longnguyencia.com/2019/11/automatic-statistical-sampling-tool.html)
.
Nâng cao hơn:
7) Người quản lý có đo lường và giám sát chi phí và lợi ích của kiểm soát
8) Hoạt động kiểm soát có tạo ra trở ngại cho hoạt động kinh doanh (v.d., lỗi, chậm trễ, hoặc tốn nhiều công sức)
9) Mức độ kiểm soát có phù hợp với mức độ rủi ro mà nó giải quyết
.
Ngoài ra còn tư vấn thêm,
Phát triển môi trường kiểm soát (v.d., a tone at the top mà khuyến khích các hành động đạo đức và tuân thủ) và đóng góp vào sự phát triển liên tục của hoạt động kiểm soát
1) Đào tạo về kiểm soát và tự giám sát
2) Giúp người quản lý đánh giá hoạt động kiểm soát
3) Giúp người quản lý thiết lập chứng từ, phân tích, và đánh giá các kiểm soát (đánh giá thiết kế và vận hành)
4) Hỗ trợ phát triển các quy trình phát hiện, đánh giá, và khắc phục các lỗi kiểm soát
5) Giúp người quản lý cập nhật với các vấn đề mới, luật, và quy định liên quan đến các yêu cầu kiểm soát
6) Hỗ trợ kiểm soát hiệu quả và hữu hiệu bằng các tiến bộ công nghệ trong kỹ thuật giám sát
.
Nguồn thông tin có thể sử dụng để thực hiện các bước trên,
1) Ma trận rủi ro và kiểm soát
2) Phỏng vấn người quản lý
3) Xem xét các kế hoạch, chính sách, và quy trình
4) Sử dụng walk-through, khảo sát, bảng câu hỏi, và flowcharts
5) Điều tra, xác nhận, kiểm tra liên tục, và phân tích dữ liệu
6) Sử dụng các framework về kiểm soát
.
Các công cụ có thể sử dụng,
(xem thêm longnguyencia.com/2019/06/gioi-thieu-cac-thu-tuc-kiem-toan-noi-bo.html)
.
.
.
Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online:
.
II. Hoạt động quản lý rủi ro
.
Đánh giá và đóng góp vào sự phát triển vào các hoạt động:
.
1) Mục tiêu của tổ chức có đúng với nhiệm vụ, tầm nhìn, và risk appetite (là khả năng chịu rủi ro về tài chính và mức độ rủi ro kỳ vọng của người quản lý trong một lĩnh vực cụ thể)?
2) Cách tổ chức xác định và giải quyết các rủi ro?
Đánh giá và đóng góp vào sự phát triển vào các hoạt động:
.
1) Mục tiêu của tổ chức có đúng với nhiệm vụ, tầm nhìn, và risk appetite (là khả năng chịu rủi ro về tài chính và mức độ rủi ro kỳ vọng của người quản lý trong một lĩnh vực cụ thể)?
2) Cách tổ chức xác định và giải quyết các rủi ro?
3) Cách tổ chức xác định các rủi ro là chấp nhận được?
4) Trách nhiệm và các quy trình liên quan đến rủi ro của người quản lý và những quy tắc chính trong quản trị rủi ro?
5) Các rủi ro trọng yếu có được xác định và đánh giá đầy đủ?
6) Các quyết định có phù hợp, và tuân theo risk appetite và chiến lược quản lý rủi ro?
7) Các hành động khác phục và phòng ngừa có được thực hiện đầy đủ và kịp thời?
8) Các thông tin liên quan đến rủi ro có được thu thập và truyền thông kịp thời trong tổ chức?
9) Các mục tiêu, rủi ro trọng yếu, và risk appetite có được làm rõ và hiểu trong tổ chức?
10) Các báo cáo về quản trị rủi ro có đầy đủ và kịp thời?
11) Những rủi ro trọng yếu có được truyền thông kịp thời tới người quản trị, và người quản trị có hành động gì để đảm bảo rằng người quản lý có những phản ứng phù hợp?
.
Thông qua việc xem xét các nội dung:
.
1) Mục tiêu chiến lược, kế hoạch kinh doanh
2) Các chính sách
3) Thảo luận với ban quản trị, và quản lý cấp cao
4) Phỏng vấn các quản lý cấp giữa
5) Các đánh giá rủi ro gần nhất
6) Các báo cáo liên quan
.
Kết hợp sử dụng các Framework về quản lý rủi ro
4) Trách nhiệm và các quy trình liên quan đến rủi ro của người quản lý và những quy tắc chính trong quản trị rủi ro?
5) Các rủi ro trọng yếu có được xác định và đánh giá đầy đủ?
6) Các quyết định có phù hợp, và tuân theo risk appetite và chiến lược quản lý rủi ro?
7) Các hành động khác phục và phòng ngừa có được thực hiện đầy đủ và kịp thời?
8) Các thông tin liên quan đến rủi ro có được thu thập và truyền thông kịp thời trong tổ chức?
9) Các mục tiêu, rủi ro trọng yếu, và risk appetite có được làm rõ và hiểu trong tổ chức?
10) Các báo cáo về quản trị rủi ro có đầy đủ và kịp thời?
11) Những rủi ro trọng yếu có được truyền thông kịp thời tới người quản trị, và người quản trị có hành động gì để đảm bảo rằng người quản lý có những phản ứng phù hợp?
.
Thông qua việc xem xét các nội dung:
.
1) Mục tiêu chiến lược, kế hoạch kinh doanh
2) Các chính sách
3) Thảo luận với ban quản trị, và quản lý cấp cao
4) Phỏng vấn các quản lý cấp giữa
5) Các đánh giá rủi ro gần nhất
6) Các báo cáo liên quan
.
Kết hợp sử dụng các Framework về quản lý rủi ro
.
III. Hoạt động quản trị
.Bao gồm 6 nhóm hoạt động
1. Ra các quyết định chiến lược và vận hành
2. Giám sát hoạt động quản lý rủi ro và kiểm soát
3. Khuyến khích các giá trị và đạo đức trong tổ chức
4. Đảm bảo tổ chức hoạt động hiệu quả và có trách nhiệm
5. Truyền thông thông tin rủi ro và kiểm soát cho các khu vực phù hợp trong tổ chức
6. Tương tác trong hoạt động, và truyền thông giữa ban quản tri, kiểm toán bên trong và bên ngoài, các tổ chức cung cấp dịch vụ đảm bảo, và quản lý/điều hành
.
.
1. Ra các quyết định chiến lược và vận hành
.Đánh giá và đóng góp vào các hoạt động
1) Có thiết lập các quy trình ra quyết định?
2) Các quyết định được thảo luận và quyết định như thế nào?
.
Thông qua việc xem xét các nội dung:
1) Các báo cáo kiểm toán cũ
2) Các biên bản họp hội đồng quản trị
3) Các chính sách
4) Các văn bản liên quan
.
2. Giám sát hoạt động quản lý rủi ro và kiểm soát
.Đánh giá và đóng góp vào các hoạt động
1) Cách tổ chức giảm sát hoạt động quản lý rủi ro và kiểm soát
.
Thông qua việc xem xét các nội dung:
1) Quá trình thực hiện kiểm toán hàng năm
2) Biên bản họp chiến lược quản trị rủi ro
3) Các đánh giá rủi ro đã thực hiện
4) Phỏng vấn những người chịu trách nhiệm về tuân thủ, rủi ro và tài chính
5) So sánh với xu hướng ngành ( để đảm bảo là toàn bộ các rủi ro liên quan đã được cân nhắc)
.
3. Khuyến khích các giá trị và đạo đức trong tổ chức
.
Đánh giá và đóng góp vào các hoạt động
1) Cách tổ chức khuyến khích các giá trị và đạo đức trong tổ chức, cả bên trong và với các đối tác?
2) Tổ chức có giành đủ sự quan tâm cho các tiêu chuẩn đạo đức và các giá trị
.
Thông qua việc xem xét các nội dung:
1) Nhiệm vụ và các giá trị
2) A code of conduct (quy tắc ứng xử)
3) Quy trình tuyển dụng và đào tạo
4) Chính sách chống gian lận và tố giác
5) Đường dây nóng và quy trình điều tra
6) Các mục tiêu, chương trình, và các hoạt động
7) Khảo sát và phỏng vấn
.
2) Các tiêu chuẩn đo lường và kế hoạch khích lệ được thiết kế và thực hiện để phát hiện và ngăn chặn các hành động không thê chấp nhận được hoặc rủi ro quá mức cho phép/ và hỗ hợ các hành động hướng về các mục tiêu chiến lược của tổ chức
.
Thông qua việc xem xét các nội dung:
1) Chính sách và quy trình liên quan đến năng lực nhân viên, thiết lập mục tiêu và đánh giá kế quả
2) KPI & khen thưởng
.
1) Cách tổ chức khuyến khích các giá trị và đạo đức trong tổ chức, cả bên trong và với các đối tác?
2) Tổ chức có giành đủ sự quan tâm cho các tiêu chuẩn đạo đức và các giá trị
.
Thông qua việc xem xét các nội dung:
1) Nhiệm vụ và các giá trị
2) A code of conduct (quy tắc ứng xử)
3) Quy trình tuyển dụng và đào tạo
4) Chính sách chống gian lận và tố giác
5) Đường dây nóng và quy trình điều tra
6) Các mục tiêu, chương trình, và các hoạt động
7) Khảo sát và phỏng vấn
.
4. Đảm bảo tổ chức hoạt động hiệu quả và có trách nhiệm
.
Đánh giá và đóng góp vào các hoạt động
1) Cách tổ chức đảm bảo hoạt động hiệu quả và có trách nhiệm 2) Các tiêu chuẩn đo lường và kế hoạch khích lệ được thiết kế và thực hiện để phát hiện và ngăn chặn các hành động không thê chấp nhận được hoặc rủi ro quá mức cho phép/ và hỗ hợ các hành động hướng về các mục tiêu chiến lược của tổ chức
.
Thông qua việc xem xét các nội dung:
1) Chính sách và quy trình liên quan đến năng lực nhân viên, thiết lập mục tiêu và đánh giá kế quả
2) KPI & khen thưởng
.
5. Truyền thông thông tin rủi ro và kiểm soát cho các khu vực phù hợp trong tổ chức
.
Đánh giá và đóng góp vào các hoạt động
1) Các tổ chức truyền thông các thông tin rủi ro và kiểm soát: đầy đủ, chính xác, và kịp thời?
.
Thông qua việc xem xét các nội dung:
1) Các báo cáo nội bộ, thông báo, emails, và các biên bản họp nhân viên
2) Khảo sát và phỏng vấn: hiểu biết của nhân viên về trách nhiệm của họ đối với rủi ro và kiểm soát/ và sự tác động đến tổ chức nếu trách nhiệm đó không được thực hiện
.
2) Hoạt động phối hợp và truyền thông diễn ra như thế nào?
.
Thông qua việc xem xét các nội dung:
1) Thành phần tham dự hoặc quan sát các buổi họp
2) Biên bản họp, kế hoạch làm việc, và các báo cáo giữa các nhóm
. -----------------------------------------------------------------------
Like & Share bài viết cho bạn bè của bạn,
.
Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online:
https://m.me/nguyenvulong.cia
.
Giới thiệu về Team #LongNguyenCIA
1) Hoàn thành CIA trong 10 tháng : http://bit.ly/getCIAin10months
2) Hoàn thành CISA (663/800 điểm) trong 6 tháng : http://bit.ly/getCISAin6months
.
Cảm nhận của học viên về khoá học CIA với Team #LongNguyenCIA
: http://bit.ly/ReviewsTeamLongNguyenCIA
.
CIA Vietnam Community: https://www.facebook.com/groups/cia.vietnam hy vọng có thể cùng nhau chia sẻ chuyện nghề, chuyện học kiểm toán nội bộ,
-----------------------------------------------------------------------
Thông qua việc xem xét các nội dung:
1) Các báo cáo nội bộ, thông báo, emails, và các biên bản họp nhân viên
2) Khảo sát và phỏng vấn: hiểu biết của nhân viên về trách nhiệm của họ đối với rủi ro và kiểm soát/ và sự tác động đến tổ chức nếu trách nhiệm đó không được thực hiện
.
6. Tương tác trong hoạt động, và truyền thông giữa ban quản tri, kiểm toán nội bộ và bên ngoài, các tổ chức cung cấp dịch vụ đảm bảo, và quản lý/điều hành
.
Đánh giá và đóng góp vào các hoạt động
1) Tần suất các cuộc họp giữa ban quản tri, kiểm toán nội bộ và bên ngoài, các tổ chức cung cấp dịch vụ đảm bảo, và quản lý/điều hành?2) Hoạt động phối hợp và truyền thông diễn ra như thế nào?
.
Thông qua việc xem xét các nội dung:
1) Thành phần tham dự hoặc quan sát các buổi họp
2) Biên bản họp, kế hoạch làm việc, và các báo cáo giữa các nhóm
. -----------------------------------------------------------------------
Like & Share bài viết cho bạn bè của bạn,
.
Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online:
https://m.me/nguyenvulong.cia
.
Giới thiệu về Team #LongNguyenCIA
1) Hoàn thành CIA trong 10 tháng : http://bit.ly/getCIAin10months
2) Hoàn thành CISA (663/800 điểm) trong 6 tháng : http://bit.ly/getCISAin6months
.
Cảm nhận của học viên về khoá học CIA với Team #LongNguyenCIA
: http://bit.ly/ReviewsTeamLongNguyenCIA
.
CIA Vietnam Community: https://www.facebook.com/groups/cia.vietnam hy vọng có thể cùng nhau chia sẻ chuyện nghề, chuyện học kiểm toán nội bộ,
-----------------------------------------------------------------------
