MỤC LỤCGiới thiệu Tuyến phòng thủ thứ 1: Quản lý hoạt động Tuyến phòng thủ thứ 2: Quản lý rủi ro và các chức năng tuân thủ Tuyến phòng thủ thứ 3: Kiểm toán nội bộ Kiểm toán viên độc lập,
Trang 1BA TUYẾN PHÒNG THỦ TRONG QUẢN LÝ RỦI RO VÀ KIỂM SOÁT IIA Position Paper
15th April, 2016
Trang 2MỤC LỤC
Giới thiệu
Tuyến phòng thủ thứ 1: Quản lý hoạt động
Tuyến phòng thủ thứ 2: Quản lý rủi ro và các chức năng tuân thủ Tuyến phòng thủ thứ 3: Kiểm toán nội bộ
Kiểm toán viên độc lập, regulators và những cơ quan bên ngoài khác Phối hợp 3 tuyến phòng thủ
Trang 3GIỚI THIỆU
Vào thế kỷ 21, không khó để bắt gặp các nhóm kiểm toán nội bộ, chuyên gia quản trị rủi
ro doanh nghiệp, chuyên viên kiểm soát nội bộ, kiểm tra chất lượng, các nhà điều tra gian lận, và chuyên gia kiểm soát khác cùng làm việc với nhau để giúp các tổ chức quản lý rủi
ro Mỗi chuyên gia có một tầm nhìn riêng và kỹ năng cụ thể có thể mang lại giá trị vô cùng lớn cho tổ chức, nhưng vì những nhiệm vụ liên quan đến quản lý rủi ro và kiểm soát ngày càng được chia ra nhiều phòng ban và các bộ phận, nên những nhiệm vụ này cần được phối hợp một cách cẩn thận để đảm bảo rằng các qui trình kiểm soát và rủi ro hoạt động như dự định
Không thể thực hiện tất cả mỗi chức năng của kiểm soát và rủi ro – mà phải chỉ định được những vai trò cụ thể để phối hợp một cách hiệu quả giữa các nhóm chức năng này,
để tránh những kiểm soát thiếu hoặc việc trùng lặp không cần thiết Cần phải định nghĩa các trách nhiệm rõ ràng để mỗi nhóm chuyên gia hiểu ranh giới trách nhiệm của mình và làm thế nào để vai trò của họ phù hợp với cấu trúc kiểm soát và rủi ro tổng thể của tổ chức
Những nguy cơ có thể xảy ra là rất cao Nếu không có phương pháp phối hợp và gắn kết, thì các nguồn lực kiểm soát và hạn chế rủi ro sẽ không được triển khai một cách hiện quả,
và những rủi ro đáng kể có thể không được xác định và quản lý một cách hiệu quả Trong trường hợp xấu nhất, thông tin liên lạc giữa các nhóm điều khiển và rủi ro có thể chuyển giao một ít cho nhau, thay vì tranh luận về việc nhiệm vụ này là trách nhiệm của người nào Vấn đề có thể tồn tại ở bất kỳ tổ chức nào, bất kể khuôn khổ quản trị rủi ro doanh nghiệp chính thức có được sử dụng hay không Mặc dù khuôn khổ quản lý rủi ro có hiệu quả có thể xác định được các loại rủi ro mà kinh doanh hiện đại phải kiểm soát, nhưng những khuôn khổ này lại khá kín tiếng về làm cách nào để chỉ định và phối hợp các nhiệm vụ cụ thể trong tổ chức
May mắn là, các thực tiễn tốt nhất hiên nay có thể giúp tổ chức ủy quyền và phối hợp các nhiệm vụ quản lý rủi ro cần thiết với một cách tiếp cận có hệ thống Mô hình ba Tuyến phòng thủ cung cấp một cách đơn giản và hiệu quả để tăng cường truyền thông về quản
lý rủi ro và kiểm soát bằng cách làm rõ những vai trò và nhiệm vụ thiết yếu Nó cung cấp một cách nhìn mới về các hoạt động, giúp đảm bảo sự thành công liên tục trong các sáng kiến quản lý rủi ro – bất kể mức độ hay sự phức tạp Ngay cả trong tổ chức không có hệ thống quản lý rủi ro chính thức, mô hình ba tuyến phòng thủ có thể làm tăng sự rõ ràng
về rủi ro và kiểm soát và giúp cải thiện hiệu quả của hệ thống quản lý rủi ro
Trang 4BEFORE THE 3 LINES: GIÁM SÁT QUẢN LÝ RỦI RO VÀ LẬP CHIẾN
LƯỢC
Trong mô hình ba tuyến phòng thủ, kiểm soát quản lý (Management control) là tuyến
phòng thủ đầu tiên trong quản trị rủi ro, kiểm soát rủi ro và chức năng giám sát việc tuân
thủ được thiết lập bởi quản lý là tuyến phòng thủ thứ hai, và sự đảm bảo là thứ ba Mỗi
tuyến phòng thủ đóng một vai trò riêng biệt trong khuôn khổ quản trị rộng lớn của tổ
chức
MÔ HÌNH 3 TUYẾN PHÒNG THỦ
Chuyển thể từ Hướng dẫn ECIIA/FERMA về Chỉ
thị Luật doanh nghiệp EU lần 8, Điều 41.
Tuy cơ quản chủ quản và quản lý cấp cao không thuộc cả 3 tuyến trong mô hình này,
nhưng việc hoàn thành hệ thống quản lý rủi ro phải xem xét vai trò thiết yếu của cả cơ
quan chủ quan (tức là, hội đồng quản trị hoặc cơ quan tương đương) và quản lý cấp cao
Cơ quan chủ quản và quản lý cấp cao là các bên liên quan chính của 3 tuyến phòng thủ
này, và họ giúp đảm bảo cho mô hình phản ánh đúng quá trình kiểm soát và quản lý rủi
ro của tổ chức
Quản lý cấp cao
Tuyến phòng thủ thứ 2 Tuyến phòng thủ thứ 1 Tuyến phòng thủ thứ 3
Cơ quan chủ quản/ Hội đồng quản trị/ Ủy ban
kiểm tóan
Kiểm soát
quản lý
Biện pháp kiểm soát nội bộ
KIểm soát tài chính Bảo mật Quản trị rủi ro Chất lượng Tuân thủ Kiểm tra
Kiểm toán nội bộ
Regulator External audit
Trang 5Quản lý cấp cao và các cơ quan chủ quản có chung trách nhiệm trong việc thiết lập các mục tiêu của tổ chức, xác định chiến lược để đạt được các mục tiêu, và thiết lập cấu trúc
và quy trình quản trị để quản lý tốt nhất những rủi ro trong việc hoàn thành các mục tiêu này Mô hình 3 Tuyến phòng thủ được thực hiện tốt nhất với sự hỗ trợ và hướng dẫn của
cơ quan chủ quản và quản lý cấp cao của tổ chức
Trang 6TUYẾN PHÒNG THỦ THỨ 1: QUẢN LÝ HOẠT ĐỘNG
Mô hình 3 Tuyến phòng thủ phân biệt 3 nhóm (hoặc 3 dòng) liên quan quản trị rủi ro hiệu quả như sau:
Chức năng sở hữu và quản lý rủi ro
Chức năng giám sát rủi ro
Chức năng cung cấp sự đảm bảo độc lập (Independent assurance)
Theo tuyến đầu tiên của mô hình này thì nhà quản lý hoạt động sở hữu và quản lý rủi ro
Họ chịu trách nhiệm thực hiện các hành động khắc phục để giải quyết các quá trình kiểm soát thiếu sót
Quản lý hoạt động có trách nhiệm duy trì việc kiểm soát nội bộ hiệu quả và để thực hiện các thủ thuật kiểm soát rủi ro trên cơ sở hàng ngày Quản lý họat động xác định, đánh giá, kiểm soát, và giảm nhẹ rủi ro, hướng dẫn phát triển và thực hiện các chính sách và qui trình nội bộ để đảm bảo các hoạt động phù hợp với mục tiêu và nhiệm vụ Thông qua một cấu trúc trách nhiệm phân tầng, các quản lý cấp trung sẽ thiết kế và thực hiện các quy trình chi tiết để điều khiển và giám sát việc thực hiện những quy trình đó bởi các cấp nhân viên
Quản lý hoạt động đương nhiên sẽ là tuyến phòng thủ đầu tiên vì kiểm soát được thiết kế vào các hệ thống và quy trình dưới sự hướng dẫn của quản lý hoạt động Nên có bộ kiểm soát giám sát và quản lý tại chỗ để đảm bảo tuân thủ và nhấn mạnh sự cố kiểm soát, quy trình không đầy đủ, và các sự kiện bất ngờ
Trang 7TUYẾN PHÒNG THỦ THỨ 2: QUẢN LÝ RỦI RO VÀ CHỨC NĂNG
TUÂN THỦ
Trong điều kiện hoàn hảo, có thể chỉ cần một tuyến phòng thủ để đảm bảo quản lý rủi ro một cách hiệu quả Tuy nhiên, trong thế giới thực, một tuyến phòng thủ duy nhất có thể
sẽ bị thiếu Tuyến thứ 2 thiết lập các chức năng tuân thủ và quản lý rủi ro khác nhau để xây dựng/ giám sát việc kiểm soát tuyến phòng thủ đầu tiên Các chức năng cụ thể sẽ khác nhau tùy theo tổ chức hoặc ngành, nhưng tuyến phòng thủ này sẽ có các chức năng điển hình như sau:
Chức năng quản lý rủi ro tạo điều kiện và giám sát việc thực hiện các biện pháp quản lý rủi ro hiệu quả bằng hoạt động quản lý giúp nhà quản lý rủi ro trong việc xác định các nguy cơ rủi ro mục tiêu và báo cáo đầy đủ thông tin liên quan rủi ro đến toàn bộ tổ chức Chức năng tuân thủ: giám sát rủi ro cụ thể khác nhau như không tuân thủ pháp luật và các quy định hiện hành Trong chức năng này, chức năng riêng biệt báo cáo trực tiếp đến quản lý cấp cao, vaftrong một số lĩnh vực kinh doanh, trực tiếp đến các cơ quan chủ quản Thường có nhiều chức năng tuân thủ tồn tại trong tổ chức, với trách nhiệm giám sát việc tuân thủ của các loại cụ thể như: sức khỏe, an toàn, chuỗi cung ứng, môi trường hoặc giám sát chất lượng
Chức năng giám sát các rủi ro tài chính và các vấn đề báo cáo tài chính
Quản lý thiết lập các chức năng để đảm bảo tuyến phòng thủ đầu tiên được thiết kế đúng cách, đúng chỗ và hoạt động như dự định Mỗi một chức năng có một mức độ độc lập với tuyến phòng thủ đầu tiên Vì là chức năng quản lý, chúng can thiệp trực tiếp vào việc sửa đổi và phát triển hệ thống rủi ro và kiểm soát nội bộ Do đó, tuyến phòng thủ thứ 2 phục vụ một mục đích quan trọng nhưng không thể cung cấp những phân tích thực sự độc lập với cơ quan chủ quản liên quan đến quản lý rủi ro và kiểm soát nội bộ
Nhiệm vụ của những chức năng này khác nhau về bản chất cụ thể, nhưng có thể bao gồm:
Hỗ trợ chính sách quản lý, xác định trách nhiệm và vai trò, và thiết lập mục tiêu thực hiện
Cung cấp các khuôn khổ quản lý rủi ro
Xác định các vấn đề đã biết hoặc đang nổi lên
Xác định sự thay đổi trong rủi ro tiềm ẩn của tổ chức
Giúp quản lý trong việc phát triển các quy trình và kiểm soát để quản lý rủi ro và các vấn đề
Cung cấp hướng dẫn và đào tạo về quy trình quản lý rủi ro
Trang 8 Tạo điều kiện giám sát việc thực hiện các biện pháp quản lý rủi ro hiệu quả của hoạt động quản lý
Thông báo hoạt động quản lý về các vấn đề đang nổi lên và thay đổi tình huống rủi ro và quy định
Giám sát tính an toàn và hiệu quả của kiểm soát nội bộ, sự chính xác và đầy đủ của các báo cáo, sự tuân thủ pháp luật và các quy định, và khắc phục kịp thời các thiếu sót
Trang 9TUYẾN PHÒNG THỦ THỨ 3: KIỂM TOÁN NỘI BỘ
Nhân viên kiểm toán nội bộ cung cấp cho cơ quan chủ quản và quản lý cấp cap với đảm bảo toàn diện dựa trên mức độ độc lập, khách quan cao nhất trong tổ chức Mức độ độc lập này không có trong tuyến phòng thủ thứ 2 Kiểm toán nội bộ đảm bảo tính hiệu quả của quản trị, quản lý rủi ro và kiểm soát nội bộ, bao gồm cả các cách thức mà 2 tuyến phòng thủ đầu tiên đạt mục tiêu kiểm soát và quản lý rủi ro Phạm vi của bảo đảm được báo cáo cho quản lý cấp cao và cơ quan chủ quản, thường bao gồm:
Một loạt các mục tiêu, bao gồm hiệu quả hoạt động; an toàn tài sản, độ tin cậy và tính toàn vẹn của quy trình báo cáo; và sự tuân thủ luật pháp, quy định, chính sách, thủ tục và hợp đồng
Các yếu tố trong khuôn khổ kiểm soát nội bộ và quản lý rủi ro, bao gồm: môi trường kiểm soát nội bộ, tất cả các yếu tố của khuôn khổ quản lý rủi ro của tổ chức (tức là, xác định rủi ro, đánh giá rủi ro, và phản ứng lại); thông tin và truyền thông; giám sát
Các đơn vị tổng thể, bộ phận, công ty con, đơn vị điều hành, và các chức năng – bao gồm các quy quy trình kinh doanh, chẳng hạn: sales, sản xuất, marketing, bộ phận khách hàng, và các hoạt động – cũng như các chức năng hỗ trợ (vd, doanh thu và kế toán chi tiêu, nguồn nhân lực, thu mua, biên chế, ngân sách, cơ sở hạ tầng và quản lý tài sản, hàng tồn kho và công nghệ thông tin)
Thiết lập hoạt động kiểm toán nội bộ chuyên nghiệp là yêu cầu quản trị cho tất cả các tổ chức Điều này rất quan trọng đối với các tổ chức cỡ vừa và lớn, và cũng quan trọng không kém đối với các đơn vị nhỏ, vì họ có thể phải đối mặt với môi trường phức tạp không kém trong một cơ cấu tổ chức yếu hơn, để đảm bảo tính hiệu quả quá trình quản trị
và quản lý rủi ro của mình
Kiểm toán nội bộ góp phần tích cực vào quản trị tổ chức một cách hiệu quả, đáp ứng các điều kiện nhất định – bồi dưỡng tính độc lập và trình độ chuyên môn Biện pháp tốt nhất để thiết lập và duy trì chức năng kiểm toán nội bộ độc lập, đầy
đủ và có thẩm quyền, bao gồm:
Hoạt động theo tiêu chuẩn được quốc tế công nhận cho hoạt động kiểm toán nội bộ
Báo cáo với cấp độ đủ cao trong tổ chức để thực hiện nhiệm vụ vủa mình một cách độc lập
Có báo báo tích cực và hiệu quả đến cơ quan chủ quản
Trang 10KIỂM TOÁN ĐỘC LẬP, REGULATORS VÀ CÁC CƠ QUAN BÊN
NGOÀI KHÁC
Kiểm toán độc lập, regulators và các cơ quan bên ngoài khác hoạt động ngoài cấu trúc doanh nghiệp, nhưng họ cũng có vai trò quan trọng trong cơ cấu quản trị và kiểm soát tổng thể của tổ chức Điều này đặc biệt đúng trong các ngành công nghiệp chịu quy định của nhà nước, chẳng hạn như dịch vụ tài chính hoặc bảo hiểm Regulators sẽ đôi khi thiết lập yêu cầu nhằm tăng cường kiểm soát trong tổ chức, hoặc thực hiện một chức năng độc lập và khách quan để đánh giá toàn bộ hoặc một phần của các tuyến phòng thủ của mô hình đối với những yêu cầu này Khi được phối hợp một cách hiệu quả, những kiểm toán viên độc lập, regulators, và các nhóm bên ngoài tổ chức này có thể được xem như một tuyến phòng thủ bổ sung, cung cấp sự đảm bảo cho các cổ đông của tổ chức, bao gồm cả
cơ quan chủ quản quản lý cấp cao
Tuy các nhiệm vụ có mục tiêu và phạm vi cụ thể, nhưng các thông tin rủi ro thu thập được nhìn chung sẽ ít sâu rộng hơn phạm vi giải quyết của 3 tuyến phòng thủ nội bộ
Trang 11PHỐI HỢP 3 TUYẾN PHÒNG THỦ
Mỗi tổ chức là duy nhất và có tình huống cụ thể khác nhau, nên sẽ không có sự phối hợp
3 tuyến phòng thủ nào gọi là “chuẩn” Khi phân công nhiệm vụ và phối hợp giữa các chức năng quản trị rủi ro, có thể sẽ có ích nếu giữ các vai trò cơ bản của mỗi nhóm trong quá trình quản trị rủi ro
TUYẾN PHÒNG THỦ
THỨ 1
TUYẾN PHÒNG THỦ THỨ 2
TUYẾN PHÒNG THỦ THỨ 3
Quản lý rủi ro Kiểm soát rủi ro và tuân thủ Đảm bảo rủi ro
• Báo cáo chủ yếu cho quản lý
• Kiểm toán nội bộ
• Độc lập cao
• Báo cáo cho cơ quan chủ quản
Tất cả 3 dòng phòng thủ nên tồn tại ở một hình thức nào đó trong mỗi tổ chức, bất kể quy
mô hoặc tính phức tạp Quản lý rủi ro sẽ tốt nhất khi có 3 tuyến phòng thủ được xác định
rõ ràng và riêng biệt Tuy nhiên, trong những tình huống phát sinh, đặc biệt trong các tổ chức nhỏ, có thể kết hợp một số tuyến phòng thủ nhất định Ví dụ, những trường hợp kiểm toán nội bộ được yêu cầu để thiết lập và/ hoặc quản lý các hoạt động quản lý rủi ro
và tuân thủ của tổ chức Trong những trường hợp này, kiểm toán nội bộ cần truyền đạt rõ ràng tác động của các kết hợp cho cơ quan chủ quản và quản lý cấp cao Nếu có những trách nhiệm kép được giao cho một người hoặc bộ phận, cần xem xét để tách trách nhiệm cho các chức năng này sau một thời gian để thiết lập 3 tuyến phòng thủ
Bất kể mô hình 3 Tuyến phòng thủ được thực hiện như thế nào, quản lý cấp cao và cơ quan chủ quản cần truyền đạt rõ ràng kỳ vọng mà thông tin được chia sẻ và các hoạt động phối hợp giữa mỗi nhóm chịu trách nhiệm về quản lý rủi ro và kiểm soát của tổ chức Theo Tiêu chuẩn quốc tế về Thực hành kiểm toán chuyên nghiệp cho kiểm toán nội bộ (ISPIA), giám đốc điều hành kiểm toán được yêu cầu để “chia sẻ thông tin và phối hợp hoạt động với các nhà cung cấp trong và ngoài về đảm bảo và tư vấn dịch vụ để đảm bảo phạm vi thích hợp và tránh các nỗ lực trùng lắp”
RECOMMENDED PRACTICES:
Trang 12 Các quá trình kiểm soát vả rủi ro nên được cấu trúc cho phù hợp với mô hình 3 Tuyến phòng thủ
Mỗi tuyến phòng thủ phải được hỗ trợ bởi chính sách phù hợp và định nghĩa trên vai trò
Cần có sự phối hợp tích cực giữa các tuyến phòng thủ riêng biệt để tăng cường hiệu quả
Chức năng kiểm soát và rủi ro ở các tuyến khác nhau cần chia sẻ kiến thức và thông tin để hỗ trợ tất cả các chức năng tốt hơn trong việc hàn thành vai trò của mình một cách hiệu quả
Các tuyến phòng thủ không nên phối hợp khi cách thức đó làm mất đi tính hiệu quả
Trong trường hợp chức năng của các tuyến phòng thủ được kết hợp, cơ quan chủ quản nên được tư vấn về cấu trúc và tác động của nó Đối với tổ chức không có hoạt động kiểm toán nội bộ, quản lý và/hoặc các cơ quan chủ quản nên được yêu cầu giải thích và tiết lộ cho các bên liên quan rằng họ đã xem xét cách mà đảm bảo đầy đủ về hiệu quản quản trị của tổ chức, quản lý rủi ro, và cấu trúc kiểm soát đạt được
Lớp 1 có sự tham gia kiểm soát của quản lý các phòng ban trực tiếp tham gia vào quá trình sản xuất, dịch vụ Lớp thứ 2 là sự hỗ trợ chính sách, phương pháp từ các phòng tài chính, an ninh, chất lượng, rủi ro, tuân thủ Lớp thứ 3 là sự tham gia đánh giá độc lập, khách quan toàn hệ thống của đội ngũ Kiểm toán nội bộ Đánh giá/ Kiểm toán nội bộ cần
am hiểu cơ bản về lớp thứ 1, hiểu rõ về lớp thứ 2 và có kỹ năng để thực hiện công việc trong lớp thứ 3.