Như đã đề cập ở chương 1, bản chất của KTNB nhằm cải thiện quy trình quản trị doanh nghiệp, quản trị rủi ro và kiểm soát nội bộ (KSNB) của tổ chức thông qua phương pháp tiếp cận có hệ thống và nguyêntắc dựa trên định hướng rủi ro.
Sơ đồ 3.1. Vai trò của KTNB đối với quy trình quản trị, quản lý rủi ro và KSNB
Giúp doanh nghiệp, đơn vị đạt được mục tiêu của mình. Tùy vào loại hình kinh doanh, đặc thù tổ chức, sứ mệnh khác nhau mà mục tiêu của mỗi đơn vị/doanh nghiệp cǜng khác nhau. Tựu chung lại, các nhóm mục tiêu của mỗi tổ chức, doanh nghiệp có thể chia làm ba nhóm gồm:
Mục tiêu về hiệu quả hoạt động: nhằm sử dụng nguồn vốn đúng mục đích, có hiệu quả; đạt tĕng trưởng nguồn thu; tĕng trưởng doanh số; kiểm soát tốt chi phí; cung cấp hàng hóa/dịch vụ chất lượng; bảo vệ tài sản….
Mục tiêu về báo cáo thông tin tin cậy: nhằm đảm bảo báo cáo thông tin tài chính/phi tài chính trung thực, hợp lý, hợp pháp, hữu ích, kịp thời, minh bạch cho nhàquản trị ra các quyết định đúng đắn và báo cáo thông tin đầy đủ, trung thực, kịp thời ra bên ngoài.
Mục tiêu chính của KTNB là giúp/hỗ trợ đảm bảo cho tổ chức đạt được
các mục tiêu đề ra.
Quản lý của mỗi tổ chức/
đơn vị đặt ra các
Mục tiêu
KSNB, quản lý rủi ro
Rủi ro
KTNB: Ěưa ra các ý kiến độc lập và khách quan đối với quy trình quản trị của tổ chức về việc liệu các rủi ro có đang được quản lý ở mức chấp nhận được hay không
Mục tiêu tuân thủ: Ěảm bảo tuân thủ quy định của pháp luật có liên quan đến hoạt động của tổ chức/đơn vị.
Với các mục tiêu trên, không phải đơn vị nào cǜngđạt được, không phải khi nào cǜng đạt được, và không phải đơn vị đều đạt được hết các mục tiêu mà mình đặt ra… một trong những nguyên nhân là sự tồn tại/tiềm ẩn của rủi ro. Rủi ro có thể xuất phát từ môi trường bên trong đơn vị (rủi ro hoạt động, rủi ro chiến lược, rủi ro tuân thủ…), có thể do ảnh hưởng từ môi trường bên ngoài (rủi ro tín dụng, rủi ro thị trường, rủi ro lãi suất…). Ěể đạt được mục tiêu thì mỗi doanh nghiệp/tổ chức phải thiết lập các thủ tục kiểm soát nhằm ngĕn ngừa, hạn chế, phát hiện kịp thời các rủi ro. Quy trình này được bắt đầu từ việc xác định mục tiêu của doanh nghiệp/tổ chức, hoạt động, phân tích bối cảnh để nhận diện rủi ro, đánh giá/phân loại rủi ro, xác định các thủ tục kiểm soát/các giải pháp ứng phó phù hợp với rủi ro, từ đó giúp doanh nghiệp đạt được mục tiêu của mình. Tuy nhiên, không phải đơn vị nào, khi nào cǜng đạt được sự đảm bảo về quản lý, kiểm soát rủi ro. KTNB được xem như một công cụ, một chức nĕng độc lập, khách quan, đánh giá lại hiệu quả các quy trình quản trị, quảnlý rủi ro, KSNB nhằm giúp doanh nghiệp/tổ chức đạt được mục tiêu của mình. Mối quan hệ của KTNB đối với quản trị và KSNB được thể hiện như sau:
+ Nếu xét trên phương diện quản trị: KTNB là một chủ thể/chức nĕng của tổ chức quản trị trong một đơn vị bên cạnh (i) một chức nĕng định hướng, giám sát (ví dụ HĚQT), (ii) một chức nĕng Kiểm toán độc lập, và (iii) các cấp quản lý của một đơn vị.
+ Theo mô hình 3 tuyến (IIA, 2020): KTNB được coi là tuyến phòng thủ thứ ba (03) sau các chốt kiểm soát trong các quy trình, và các chức nĕng kiểm soát trong đơn vị.
+ Xét trên phương diện kiểm soát: KTNB là một chức nĕng giám sát độc lập nằm trong hợp phần giám sát của một khung KSNB của một đơn vị, bên cạnh các hợp phần khác như: (i) Môi trường kiểm soát, (ii) Quản lý rủiro, (iii) Các hoạt động kiểm soát, (iv) Trao đổi thông tin (Khung KSNB COSO, 2013).
+ Cụ thể vai trò của KTNB đối với quản trị doanh nghiệp, quản lý rủi ro và KSNB sẽ được trình bày ở các phần dưới đây.
3.1.1. Quản trịdoanh nghiệpvà mô hình ba tuyến bảo vệ
Quản trị doanh nghiệp là những cơ chế và quy định mà thông qua đó doanh nghiệp điều hành và kiểm soát các hoạt động kinh doanh của mình.
Theo mô hình ba tuyến bảo vệ (IIA, 2020), công tác quản trị doanh nghiệp yêu cầu thiết lập cơ cấu và quy trình như sau:
- Trách nhiệm giám sát: là trách nhiệm của các cấp Quản trị thông qua sự chính trực, khả nĕng lãnh đạo và minh bạch.
- Hành động (bao gồm quản trị rủi ro): là trách nhiệm của Ban Ěiều Hành thông qua cơ chế ra quyết định trên cơ sở rủi ro và sử dụng các nguồn lực.
- Ěảm bảo và tư vấn độc lập: là trách nhiệm của bộ phận KTNB độc lập thông qua trao đổi chặt chẽ và thấu hiểu tổ chức.
Hội đồng quản trị/Ủy ban kiểm toán Cơ quan chủ quản Kiểm toán độc lập, Ban giám đốc/quản lý cấp cao Kiểm toán nội bộ
Vòng bảo vệ thứ nhất:
Cung cấp hàng hóa, dịch vụ cho khách hàng; các bộ phận hỗ trợ
Vòng bảo vệ thứ hai: Hỗ trợ quản trị rủi ro; tập trung quản trị rủi ro
Vòng bảo vệ thứ ba: cung cấp sự đảm bảo và tư vấn độc lập và khách quan đối với sự phù hợp và hiệu quả của các hoạt động quản trị và quản trị rủi ro
Hình 3.1. Mô hình ba tuyến bảo vệ
Cấp quản trị chịu trách nhiệm thiết lập cơ cấu và quy trình phù hợp để quản trị hiệu quả; đạt được các mục tiêu của tổ chức và thực hiện các hoạt động để đáp ứng các yêu cầu ưu tiên của các bên. Cấp quản trị thực hiện vai trò:
+ Giám sát toàn bộ tổ chức.
+ Tương tác với các bên liên quan để theo dõi các mối quan tâm của họ. + Giao tiếp minh bạch về việc đạt được các mục tiêu.
+ Xây dựng vĕn hóa doanh nghiệp, khuyến khích các hành vi đạo đức và tinh thần trách nhiệm.
+ Thiết lập các cơ cấu và quy trình quản trị bao gồm các ủy ban hỗ trợ khi cần thiết + Cấp quyền và nguồn lực cho ban điều hành.
+ Xác định khẩu vị rủi ro và giám sát hoạt động quản trị rủi ro (bao gồm KSNB). + Giám sát việc tuân thủ với các quy định, pháp luật và các yêu cầu về đạo đức. + Thành lập và giám sát bộ phận KTNB độc lập, khách quan và đủ nĕng lực chuyên môn.
Ban điều hành chịu trách nhiệm đạt được các mục tiêu của tổchức bao gồm vai trò ở cả tuyến thứ nhất và tuyến thứ hai, cụ thể:
+ Vai trò của tuyến thứ nhất: Lãnh đạo và thực hiện các hoạt động(bao gồm quản trị rủi ro); Duy trì trao đổi thường xuyên với cấp quản trị; Thiết lập và duy trì cơ cấu và quy trình quản trị phù hợp để quản trị các hoạt động và rủi ro (bao gồm cả KSNB); Ěảm bảo tuân thủ với các quy định, pháp luật và kǶ vọng về đạo đức;
+ Vai trò của tuyến thứ hai: Cung cấp chuyên môn, hỗ trợ, giám sát và phản biện các vấn đề liên quan đến QTRR, bao gồm: Xây dựng, triển khai và cải thiện liên tục các hoạt động QTRR (bao gồm KSNB); Ěạt được các mục tiêu QTRR: tuân thủ quy định pháp luật, các yêu cầu về đạo đức, KSNB, an ninh thông tin, phát triển bền vững và kiểm soát chất lượng; Phân tích vàbáo cáo về sự phù hợp và hiệu quả của QTRR (bao gồm cả KSNB).
Mối quan hệ giữa KTNB và Ban Ěiều Hành (bao gồm Tuyến thứ nhất và Tuyến thứ hai):
+ Ěộc lập nhưng không cách ly với Ban Ěiều Hành;
+ Ěược quyền tiếp cận không giới hạn tới nhân sự, nguồn lực và thông tin;
+ Chịu trách nhiệm trước cấp quản trị;
+ Thường xuyên tương tác với Ban Ěiều Hành;
+ Tích lǜy kiến thức và hiểu biết về tổ chức để hỗ trợ cho việc cung cấp dịch vụ tư vấn và đảm bảo với vai trò của một nhà tư vấn tin cậy và đối tác chiến lược;
+ Hợp tác và tương tác với Tuyến thứ nhất và Tuyến thứ hai;
+ Không trùng lặp, chồng lấn và bỏ sót không cần thiết. Mối quan hệ giữa KTNB và cấp quản trị:
+ KTNB chịu trách nhiệm và là “tai mắt” của cấp quản trị
+ Cấp Quản trị chịu trách nhiệm giám sát bộ phận KTNB thông qua:
Ěảm bảo sự độc lập của bộ phận KTNB, bao gồm việc bổ nhiệm và miễn nhiệm trưởng KTNB
Là kênh báo cáo chính của Trưởng KTNB
Phê duyệt và cung cấp nguồn lực thực hiện Kế hoạch Kiểm toán
Nhận và xem xét các báo cáo của Trưởng KTNB
Cho phép Trưởng KTNB được tương tác không giới hạn tới cấp quản trị bao gồmcả các cuộc họp riêng mà không có sự tham gia của Ban Ěiều Hành
3.1.2. Vai trò của KTNB đối vớiquản trịdoanh nghiệp Vai trò của tuyến bảo vệ thứ ba - KTNB:
- Chịu trách nhiệm chính trước cấp quản trị.
- Ěộc lập với các trách nhiệm của Ban Ěiều Hành(BĚH).
- Cung cấp sự đảm bảo và tư vấn độc lập, khách quan cho Ban Ěiều Hành và cấp quản trị về sự phù hợp và hiệu quả của các hoạt động quản trị và quản trị rủi ro (bao gồm cả KSNB).
- Báo cáo những vấn đề gây tổn hại đến tính độc lập và khách quan lên cấp quản trị và thực hiện các biện pháp bảo vệ cần thiết.
+ Cụ thể, hoạt động KTNB phải đánh giá và đưa ra các khuyến nghị phù hợp nhằm cải tiến các quy trình quản trị cho các vấn đề về:
+ Quy trình đưa ra các quyết định về chiến lược và hoạt độngcó được chính thức thiết lập và vận hành nhất quán không?
+ Quy trình giám sát công tác quản lý rủi ro và kiểm soátcó đượcthực hiện đầy đủ và hiệu quả không?
+ Các hoạt độngtĕng cường các giátrị và đạo đức phù hợp trong doanh nghiệp có được thiết kế và triển khai hiệu quả không?
+ Quy trình liên quan đến trách nhiệm báo cáo và công tác quản lý hiệu quả hoạt động trong tổ chức có được thiết kế phù hợp, thực hiện hiệu quả không?
+ Quy trình trao đổi thông tin về rủi ro và kiểm soát với các bộ phận có đầy đủ, chính xác và kịp thời không?
+ Việc điều phối các hoạt động và trao đổi thông tin giữa HĚQT, Ban kiểm soát, kiểm toán độc lập, KTNB và các cấp quản lý có được thực hiện hiệu quả không?
Mô hình quản trị ở mỗi doanh nghiệp/tổ chức là khác nhau, phụ thuộc vào nhiều yếu tố như quy mô, cơ cấu sở hữu vốn, các yêu cầu pháp lý, loại hình doanh nghiệp, đặc điểm ngành nghề, khung quản trị mà doanh nghiệp áp dụng… Ěể tìm hiểu, đánh giá quy trình quản trị doanh nghiệp, KTVnội bộ có thể:
+ Gặp gỡ, trao đổi, phỏng vấn các thành viên HĚQT, lãnh đạo và nhân sự đảm nhiệm vai trò quản trị quan trọng trong doanh nghiệp.
+ Xem xét điều lệ doanh nghiệp, quy chế HĚQT, biên bản họp HĚQT liên quan đến chiến lược, rủi ro và những quyết định quan trọng.
+ Xem xét hướng dẫn về quy trình và chính sách liên quan + Xem xét các báo cáo KTNB đã thực hiện trước đây + Xem xét kế hoạch làm việc
+ Xem xét biên bản các cuộc họp liên quan
+ Xem xét các báo cáo và đánh giá nội bộ đã được thực hiện
+ Tham gia các cuộc họp của các bên liên quan đến quản trị doanh nghiệp