BA TUYẾN PHÒNG THỦ TRONG QUẢN LÝ RỦI RO VÀ KIỂM SOÁT IIA Position Paper 15th April, 2016 MỤC LỤC Giới thiệu Tuyến phòng thủ thứ 1: Quản lý hoạt động Tuyến phòng thủ thứ 2: Quản lý rủi ro chức tuân thủ Tuyến phòng thủ thứ 3: Kiểm toán nội Kiểm toán viên độc lập, regulators quan bên khác Phối hợp tuyến phòng thủ GIỚI THIỆU Vào kỷ 21, không khó để bắt gặp nhóm kiểm toán nội bộ, chuyên gia quản trị rủi ro doanh nghiệp, chuyên viên kiểm soát nội bộ, kiểm tra chất lượng, nhà điều tra gian lận, chuyên gia kiểm soát khác làm việc với để giúp tổ chức quản lý rủi ro Mỗi chuyên gia có tầm nhìn riêng kỹ cụ thể mang lại giá trị vô lớn cho tổ chức, nhiệm vụ liên quan đến quản lý rủi ro kiểm soát ngày chia nhiều phòng ban phận, nên nhiệm vụ cần phối hợp cách cẩn thận để đảm bảo qui trình kiểm soát rủi ro hoạt động dự định Không thể thực tất chức kiểm soát rủi ro – mà phải định vai trò cụ thể để phối hợp cách hiệu nhóm chức này, để tránh kiểm soát thiếu việc trùng lặp không cần thiết Cần phải định nghĩa trách nhiệm rõ ràng để nhóm chuyên gia hiểu ranh giới trách nhiệm làm để vai trò họ phù hợp với cấu trúc kiểm soát rủi ro tổng thể tổ chức Những nguy xảy cao Nếu phương pháp phối hợp gắn kết, nguồn lực kiểm soát hạn chế rủi ro không triển khai cách quả, rủi ro đáng kể không xác định quản lý cách hiệu Trong trường hợp xấu nhất, thông tin liên lạc nhóm điều khiển rủi ro chuyển giao cho nhau, thay tranh luận việc nhiệm vụ trách nhiệm người Vấn đề tồn tổ chức nào, khuôn khổ quản trị rủi ro doanh nghiệp thức có sử dụng hay không Mặc dù khuôn khổ quản lý rủi ro có hiệu xác định loại rủi ro mà kinh doanh đại phải kiểm soát, khuôn khổ lại kín tiếng làm cách để định phối hợp nhiệm vụ cụ thể tổ chức May mắn là, thực tiễn tốt hiên giúp tổ chức ủy quyền phối hợp nhiệm vụ quản lý rủi ro cần thiết với cách tiếp cận có hệ thống Mô hình ba Tuyến phòng thủ cung cấp cách đơn giản hiệu để tăng cường truyền thông quản lý rủi ro kiểm soát cách làm rõ vai trò nhiệm vụ thiết yếu Nó cung cấp cách nhìn hoạt động, giúp đảm bảo thành công liên tục sáng kiến quản lý rủi ro – mức độ hay phức tạp Ngay tổ chức hệ thống quản lý rủi ro thức, mô hình ba tuyến phòng thủ làm tăng rõ ràng rủi ro kiểm soát giúp cải thiện hiệu hệ thống quản lý rủi ro BEFORE THE LINES: GIÁM SÁT QUẢN LÝ RỦI RO VÀ LẬP CHIẾN LƯỢC Trong mô hình ba tuyến phòng thủ, kiểm soát quản lý (Management control) tuyến phòng thủ quản trị rủi ro, kiểm soát rủi ro chức giám sát việc tuân thủ thiết lập quản lý tuyến phòng thủ thứ hai, đảm bảo thứ ba Mỗi tuyến phòng thủ đóng vai trò riêng biệt khuôn khổ quản trị rộng lớn tổ chức MÔ HÌNH TUYẾN PHÒNG THỦ External audit Regulator Quản lý cấp cao Tuyến phòng thủ thứ Tuyến phòng thủ thứ Tuyến phòng thủ thứ KIểm soát tài Bảo mật Kiểm soát quản Biệnlýpháp kiểm soát nội Quản trị rủi ro Kiểm toán nội Chất lượng Kiểm tra Tuân thủ Chuyển thể từ Hướng dẫn ECIIA/FERMA Chỉ thị Luật doanh nghiệp EU lần 8, Điều 41 Tuy quản chủ quản quản lý cấp cao không thuộc tuyến mô hình này, việc hoàn thành hệ thống quản lý rủi ro phải xem xét vai trò thiết yếu quan chủ quan (tức là, hội đồng quản trị quan tương đương) quản lý cấp cao Cơ quan chủ quản quản lý cấp cao bên liên quan tuyến phòng thủ này, họ giúp đảm bảo cho mô hình phản ánh trình kiểm soát quản lý rủi ro tổ chức Quản lý cấp cao quan chủ quản có chung trách nhiệm việc thiết lập NgườI điều chỉnh Kiểm toán độc lập Cơ quan chủ quản/ Hội đồng quản trị/ Ủy ban kiểm tóan mục tiêu tổ chức, xác định chiến lược để đạt mục tiêu, thiết lập cấu trúc quy trình quản trị để quản lý tốt rủi ro việc hoàn thành mục tiêu Mô hình Tuyến phòng thủ thực tốt với hỗ trợ hướng dẫn quan chủ quản quản lý cấp cao tổ chức TUYẾN PHÒNG THỦ THỨ 1: QUẢN LÝ HOẠT ĐỘNG Mô hình Tuyến phòng thủ phân biệt nhóm (hoặc dòng) liên quan quản trị rủi ro hiệu sau:    Chức sở hữu quản lý rủi ro Chức giám sát rủi ro Chức cung cấp đảm bảo độc lập (Independent assurance) Theo tuyến mô hình nhà quản lý hoạt động sở hữu quản lý rủi ro Họ chịu trách nhiệm thực hành động khắc phục để giải trình kiểm soát thiếu sót Quản lý hoạt động có trách nhiệm trì việc kiểm soát nội hiệu để thực thủ thuật kiểm soát rủi ro sở hàng ngày Quản lý họat động xác định, đánh giá, kiểm soát, giảm nhẹ rủi ro, hướng dẫn phát triển thực sách qui trình nội để đảm bảo hoạt động phù hợp với mục tiêu nhiệm vụ Thông qua cấu trúc trách nhiệm phân tầng, quản lý cấp trung thiết kế thực quy trình chi tiết để điều khiển giám sát việc thực quy trình cấp nhân viên Quản lý hoạt động đương nhiên tuyến phòng thủ kiểm soát thiết kế vào hệ thống quy trình hướng dẫn quản lý hoạt động Nên có kiểm soát giám sát quản lý chỗ để đảm bảo tuân thủ nhấn mạnh cố kiểm soát, quy trình không đầy đủ, kiện bất ngờ TUYẾN PHÒNG THỦ THỨ 2: QUẢN LÝ RỦI RO VÀ CHỨC NĂNG TUÂN THỦ Trong điều kiện hoàn hảo, cần tuyến phòng thủ để đảm bảo quản lý rủi ro cách hiệu Tuy nhiên, giới thực, tuyến phòng thủ bị thiếu Tuyến thứ thiết lập chức tuân thủ quản lý rủi ro khác để xây dựng/ giám sát việc kiểm soát tuyến phòng thủ Các chức cụ thể khác tùy theo tổ chức ngành, tuyến phòng thủ có chức điển sau: Chức quản lý rủi ro tạo điều kiện giám sát việc thực biện pháp quản lý rủi ro hiệu hoạt động quản lý giúp nhà quản lý rủi ro việc xác định nguy rủi ro mục tiêu báo cáo đầy đủ thông tin liên quan rủi ro đến toàn tổ chức Chức tuân thủ: giám sát rủi ro cụ thể khác không tuân thủ pháp luật quy định hành Trong chức này, chức riêng biệt báo cáo trực tiếp đến quản lý cấp cao, vaftrong số lĩnh vực kinh doanh, trực tiếp đến quan chủ quản Thường có nhiều chức tuân thủ tồn tổ chức, với trách nhiệm giám sát việc tuân thủ loại cụ thể như: sức khỏe, an toàn, chuỗi cung ứng, môi trường giám sát chất lượng Chức giám sát rủi ro tài vấn đề báo cáo tài Quản lý thiết lập chức để đảm bảo tuyến phòng thủ thiết kế cách, chỗ hoạt động dự định Mỗi chức có mức độ độc lập với tuyến phòng thủ Vì chức quản lý, chúng can thiệp trực tiếp vào việc sửa đổi phát triển hệ thống rủi ro kiểm soát nội Do đó, tuyến phòng thủ thứ phục vụ mục đích quan trọng cung cấp phân tích thực độc lập với quan chủ quản liên quan đến quản lý rủi ro kiểm soát nội Nhiệm vụ chức khác chất cụ thể, bao gồm:       Hỗ trợ sách quản lý, xác định trách nhiệm vai trò, thiết lập mục tiêu thực Cung cấp khuôn khổ quản lý rủi ro Xác định vấn đề biết lên Xác định thay đổi rủi ro tiềm ẩn tổ chức Giúp quản lý việc phát triển quy trình kiểm soát để quản lý rủi ro vấn đề Cung cấp hướng dẫn đào tạo quy trình quản lý rủi ro    Tạo điều kiện giám sát việc thực biện pháp quản lý rủi ro hiệu hoạt động quản lý Thông báo hoạt động quản lý vấn đề lên thay đổi tình rủi ro quy định Giám sát tính an toàn hiệu kiểm soát nội bộ, xác đầy đủ báo cáo, tuân thủ pháp luật quy định, khắc phục kịp thời thiếu sót TUYẾN PHÒNG THỦ THỨ 3: KIỂM TOÁN NỘI BỘ Nhân viên kiểm toán nội cung cấp cho quan chủ quản quản lý cấp cap với đảm bảo toàn diện dựa mức độ độc lập, khách quan cao tổ chức Mức độ độc lập tuyến phòng thủ thứ Kiểm toán nội đảm bảo tính hiệu quản trị, quản lý rủi ro kiểm soát nội bộ, bao gồm cách thức mà tuyến phòng thủ đạt mục tiêu kiểm soát quản lý rủi ro Phạm vi bảo đảm báo cáo cho quản lý cấp cao quan chủ quản, thường bao gồm:    Một loạt mục tiêu, bao gồm hiệu hoạt động; an toàn tài sản, độ tin cậy tính toàn vẹn quy trình báo cáo; tuân thủ luật pháp, quy định, sách, thủ tục hợp đồng Các yếu tố khuôn khổ kiểm soát nội quản lý rủi ro, bao gồm: môi trường kiểm soát nội bộ, tất yếu tố khuôn khổ quản lý rủi ro tổ chức (tức là, xác định rủi ro, đánh giá rủi ro, phản ứng lại); thông tin truyền thông; giám sát Các đơn vị tổng thể, phận, công ty con, đơn vị điều hành, chức – bao gồm quy quy trình kinh doanh, chẳng hạn: sales, sản xuất, marketing, phận khách hàng, hoạt động – chức hỗ trợ (vd, doanh thu kế toán chi tiêu, nguồn nhân lực, thu mua, biên chế, ngân sách, sở hạ tầng quản lý tài sản, hàng tồn kho công nghệ thông tin) Thiết lập hoạt động kiểm toán nội chuyên nghiệp yêu cầu quản trị cho tất tổ chức Điều quan trọng tổ chức cỡ vừa lớn, quan trọng không đơn vị nhỏ, họ phải đối mặt với môi trường phức tạp không cấu tổ chức yếu hơn, để đảm bảo tính hiệu trình quản trị quản lý rủi ro     Kiểm toán nội góp phần tích cực vào quản trị tổ chức cách hiệu quả, đáp ứng điều kiện định – bồi dưỡng tính độc lập trình độ chuyên môn Biện pháp tốt để thiết lập trì chức kiểm toán nội độc lập, đầy đủ có thẩm quyền, bao gồm: Hoạt động theo tiêu chuẩn quốc tế công nhận cho hoạt động kiểm toán nội Báo cáo với cấp độ đủ cao tổ chức để thực nhiệm vụ vủa cách độc lập Có báo báo tích cực hiệu đến quan chủ quản KIỂM TOÁN ĐỘC LẬP, REGULATORS VÀ CÁC CƠ QUAN BÊN NGOÀI KHÁC Kiểm toán độc lập, regulators quan bên khác hoạt động cấu trúc doanh nghiệp, họ có vai trò quan trọng cấu quản trị kiểm soát tổng thể tổ chức Điều đặc biệt ngành công nghiệp chịu quy định nhà nước, chẳng hạn dịch vụ tài bảo hiểm Regulators thiết lập yêu cầu nhằm tăng cường kiểm soát tổ chức, thực chức độc lập khách quan để đánh giá toàn phần tuyến phòng thủ mô hình yêu cầu Khi phối hợp cách hiệu quả, kiểm toán viên độc lập, regulators, nhóm bên tổ chức xem tuyến phòng thủ bổ sung, cung cấp đảm bảo cho cổ đông tổ chức, bao gồm quan chủ quản quản lý cấp cao Tuy nhiệm vụ có mục tiêu phạm vi cụ thể, thông tin rủi ro thu thập nhìn chung sâu rộng phạm vi giải tuyến phòng thủ nội PHỐI HỢP TUYẾN PHÒNG THỦ Mỗi tổ chức có tình cụ thể khác nhau, nên phối hợp tuyến phòng thủ gọi “chuẩn” Khi phân công nhiệm vụ phối hợp chức quản trị rủi ro, có ích giữ vai trò nhóm trình quản trị rủi ro TUYẾN PHÒNG THỦ THỨ TUYẾN PHÒNG THỦ THỨ TUYẾN PHÒNG THỦ THỨ Quản lý rủi ro Kiểm soát rủi ro tuân thủ • Quản lý hoạt động • • Độc lập có hạn Báo cáo chủ yếu cho quản lý Đảm bảo rủi ro Kiểm toán nội • Độc lập cao • Báo cáo cho quan chủ quản • Tất dòng phòng thủ nên tồn hình thức tổ chức, quy mô tính phức tạp Quản lý rủi ro tốt có tuyến phòng thủ xác định rõ ràng riêng biệt Tuy nhiên, tình phát sinh, đặc biệt tổ chức nhỏ, kết hợp số tuyến phòng thủ định Ví dụ, trường hợp kiểm toán nội yêu cầu để thiết lập và/ quản lý hoạt động quản lý rủi ro tuân thủ tổ chức Trong trường hợp này, kiểm toán nội cần truyền đạt rõ ràng tác động kết hợp cho quan chủ quản quản lý cấp cao Nếu có trách nhiệm kép giao cho người phận, cần xem xét để tách trách nhiệm cho chức sau thời gian để thiết lập tuyến phòng thủ Bất kể mô hình Tuyến phòng thủ thực nào, quản lý cấp cao quan chủ quản cần truyền đạt rõ ràng kỳ vọng mà thông tin chia sẻ hoạt động phối hợp nhóm chịu trách nhiệm quản lý rủi ro kiểm soát tổ chức Theo Tiêu chuẩn quốc tế Thực hành kiểm toán chuyên nghiệp cho kiểm toán nội (ISPIA), giám đốc điều hành kiểm toán yêu cầu để “chia sẻ thông tin phối hợp hoạt động với nhà cung cấp đảm bảo tư vấn dịch vụ để đảm bảo phạm vi thích hợp tránh nỗ lực trùng lắp” RECOMMENDED PRACTICES:  Các trình kiểm soát vả rủi ro nên cấu trúc cho phù hợp với mô hình Tuyến phòng thủ      Mỗi tuyến phòng thủ phải hỗ trợ sách phù hợp định nghĩa vai trò Cần có phối hợp tích cực tuyến phòng thủ riêng biệt để tăng cường hiệu Chức kiểm soát rủi ro tuyến khác cần chia sẻ kiến thức thông tin để hỗ trợ tất chức tốt việc hàn thành vai trò cách hiệu Các tuyến phòng thủ không nên phối hợp cách thức làm tính hiệu Trong trường hợp chức tuyến phòng thủ kết hợp, quan chủ quản nên tư vấn cấu trúc tác động Đối với tổ chức hoạt động kiểm toán nội bộ, quản lý và/hoặc quan chủ quản nên yêu cầu giải thích tiết lộ cho bên liên quan họ xem xét cách mà đảm bảo đầy đủ hiệu quản quản trị tổ chức, quản lý rủi ro, cấu trúc kiểm soát đạt Lớp có tham gia kiểm soát quản lý phòng ban trực tiếp tham gia vào trình sản xuất, dịch vụ Lớp thứ hỗ trợ sách, phương pháp từ phòng tài chính, an ninh, chất lượng, rủi ro, tuân thủ Lớp thứ tham gia đánh giá độc lập, khách quan toàn hệ thống đội ngũ Kiểm toán nội Đánh giá/ Kiểm toán nội cần am hiểu lớp thứ 1, hiểu rõ lớp thứ có kỹ để thực công việc lớp thứ [...]... 3 TUYẾN PHÒNG THỦ Mỗi tổ chức là duy nhất và có tình huống cụ thể khác nhau, nên sẽ không có sự phối hợp 3 tuyến phòng thủ nào gọi là “chuẩn” Khi phân công nhiệm vụ và phối hợp giữa các chức năng quản trị rủi ro, có thể sẽ có ích nếu giữ các vai trò cơ bản của mỗi nhóm trong quá trình quản trị rủi ro TUYẾN PHÒNG THỦ THỨ 1 TUYẾN PHÒNG THỦ THỨ TUYẾN PHÒNG THỦ 2 THỨ 3 Quản lý rủi ro Kiểm soát rủi ro và. .. soát rủi ro và tuân thủ • Quản lý hoạt động • • Độc lập có hạn Báo cáo chủ yếu cho quản lý Đảm bảo rủi ro Kiểm toán nội bộ • Độc lập cao • Báo cáo cho cơ quan chủ quản • Tất cả 3 dòng phòng thủ nên tồn tại ở một hình thức nào đó trong mỗi tổ chức, bất kể quy mô hoặc tính phức tạp Quản lý rủi ro sẽ tốt nhất khi có 3 tuyến phòng thủ được xác định rõ ràng và riêng biệt Tuy nhiên, trong những tình huống... vấn về cấu trúc và tác động của nó Đối với tổ chức không có hoạt động kiểm toán nội bộ, quản lý và/ hoặc các cơ quan chủ quản nên được yêu cầu giải thích và tiết lộ cho các bên liên quan rằng họ đã xem xét cách mà đảm bảo đầy đủ về hiệu quản quản trị của tổ chức, quản lý rủi ro, và cấu trúc kiểm soát đạt được Lớp 1 có sự tham gia kiểm soát của quản lý các phòng ban trực tiếp tham gia vào quá trình sản... những tình huống phát sinh, đặc biệt trong các tổ chức nhỏ, có thể kết hợp một số tuyến phòng thủ nhất định Ví dụ, những trường hợp kiểm toán nội bộ được yêu cầu để thiết lập và/ hoặc quản lý các hoạt động quản lý rủi ro và tuân thủ của tổ chức Trong những trường hợp này, kiểm toán nội bộ cần truyền đạt rõ ràng tác động của các kết hợp cho cơ quan chủ quản và quản lý cấp cao Nếu có những trách nhiệm... giữa các tuyến phòng thủ riêng biệt để tăng cường hiệu quả Chức năng kiểm soát và rủi ro ở các tuyến khác nhau cần chia sẻ kiến thức và thông tin để hỗ trợ tất cả các chức năng tốt hơn trong việc hàn thành vai trò của mình một cách hiệu quả Các tuyến phòng thủ không nên phối hợp khi cách thức đó làm mất đi tính hiệu quả Trong trường hợp chức năng của các tuyến phòng thủ được kết hợp, cơ quan chủ quản nên... thiết lập 3 tuyến phòng thủ Bất kể mô hình 3 Tuyến phòng thủ được thực hiện như thế nào, quản lý cấp cao và cơ quan chủ quản cần truyền đạt rõ ràng kỳ vọng mà thông tin được chia sẻ và các hoạt động phối hợp giữa mỗi nhóm chịu trách nhiệm về quản lý rủi ro và kiểm soát của tổ chức Theo Tiêu chuẩn quốc tế về Thực hành kiểm toán chuyên nghiệp cho kiểm toán nội bộ (ISPIA), giám đốc điều hành kiểm toán được... được yêu cầu để “chia sẻ thông tin và phối hợp hoạt động với các nhà cung cấp trong và ngoài về đảm bảo và tư vấn dịch vụ để đảm bảo phạm vi thích hợp và tránh các nỗ lực trùng lắp” RECOMMENDED PRACTICES:  Các quá trình kiểm soát vả rủi ro nên được cấu trúc cho phù hợp với mô hình 3 Tuyến phòng thủ      Mỗi tuyến phòng thủ phải được hỗ trợ bởi chính sách phù hợp và định nghĩa trên vai trò Cần có... xuất, dịch vụ Lớp thứ 2 là sự hỗ trợ chính sách, phương pháp từ các phòng tài chính, an ninh, chất lượng, rủi ro, tuân thủ Lớp thứ 3 là sự tham gia đánh giá độc lập, khách quan toàn hệ thống của đội ngũ Kiểm toán nội bộ Đánh giá/ Kiểm toán nội bộ cần am hiểu cơ bản về lớp thứ 1, hiểu rõ về lớp thứ 2 và có kỹ năng để thực hiện công việc trong lớp thứ 3