Bảng đánh giá rủi ro
Trong môi trường kinh doanh ngày nay, chức năng Kiểm toán nội bộ (IA) hiệu quả yêu cầu IA phải lên kế hoạch kỹ lưỡng, phản hồi nhanh nhạy tới sự thay đổi của rủi ro. Để gia tăng giá trị và cải thiện hiệu quả cũng hiệu suất của doanh nghiệp, IA phải ưu tiên nguồn lực, kế hoạch làm việc của mình và gắn kết với mục tiêu, ưu tiên của doanh nghiệp, giải quyết những rủi ro ảnh hưởng lớn nhất đến khả năng nhận được mục tiêu của doanh nghiệp. Để làm được điều này, IA phải độc lập đánh giá bức tranh rủi ro của doanh nghiệp, xác định những rủi ro lớn nhất và ưu tiên nguồn lực vào khu vực đó. Nếu như việc xác định và đánh giá rủi ro không làm tốt, sẽ ảnh hưởng rất lớn đến kết quả công việc mà IA có thể mang lại cho doanh nghiệp. Vậy, làm thế nào để xác định và đánh giá rủi ro cho đúng, đủ, kịp thời, chúng ta cùng xem bài viết này nhé. Trước tiên cần hiểu một số nội dung cơ bản về rủi ro. Mình đã có bài viết về cái này, bạn nào chưa đọc thì tham khảo Tại đây nhé. Bài này mình sẽ đi theo các nội dung chính sau:
Nào, cùng bắt đầu 1. Xác định rủi ro Để xác định được rủi ro, IA phải hiểu doanh nghiệp của mình bao gồm: các yếu tố bên trong như: cấu trúc quản trị, quy trình quản lý rủi ro, văn hóa tổ chức, nguồn lực,và các yếu tố bên ngoài như chính trị, môi trường, xã hội, pháp lý,IA phải xác định được mục tiêu của doanh nghiệp ở tất cả các cấp độ, bởi vì chỉ có những rủi ro ảnh hưởng đến việc nhận được mục tiêu là được xem xét. Có nhiều phương pháp để xác định rủi ro bao gồm: Checklist: Sử dụng 1 danh sách rủi ro có sẵn là một điểm khởi đầu tốt. Tuy nhiên bởi vì doanh nghiệp là duy nhất, khác biệt với các doanh nghiệp khác, do đó sử dụng 1 danh sách rủi ro có sẵn không đảm bảo cho việc xác định đúng, đủ, kịp thời danh sách rủi ro mà doanh nghiệp phải đối mặt. Benmarking: So sánh đối chuẩn cung cấp 1 sự so sánh nhiều chi tiết đối với doanh nghiệp khác hoặc doanh nghiệp mẫu trong ngành. Mặc dù so sánh đối chuẩn với các doanh nghiệp khác giúp nhanh chóng xác định được các loại rủi ro, tuy nhiên như checklist, mục tiêu mỗi doanh nghiệp và tình huống hoạt động là duy nhất, sử dụng so sánh đối chuẩn không cung cấp một danh sách rủi ro đúng, đủ và kịp thời. Phân tích các kịch bản rủi ro: Xây dựng lên các viễn cảnh, các kịch bản là cách hữu ích để xác định rủi ro mà doanh nghiệp phải đối mặt. Phân tích viễn cảnh hữu ích cụ thể trong trường hợp xác định các rủi ro khẩn cấp, rủi ro mới nổi khi mức độ không chắc chắn của các rủi ro này là cao. Đánh giá tính tổn thương: Là phương pháp đánh giá hiện trạng của doanh nghiệp, đánh giá các quy trình, quy định, năng lực và sự chuẩn bị ứng xử với rủi ro. Từ đó xác định được các khu vực yếu kém, tiềm ẩn rủi ro đến việc đạt được mục tiêu của doanh nghiệp. Brainstorming: sử dụng kỹ thuật gọi là động não, phương pháp này liệt kê toàn bộ những khả năng rủi ro mà doanh nghiệp có thể đối mặt. Kết quả là có một danh sách rất dài các rủi ro, tuy nhiên trước khi phân tích rủi ro xa hơn, cần phải xem xét để loại bỏ những rủi ro không liên quan đến doanh nghiệp. Control Seft Assessment (CSA): là phương pháp sử dụng kết hợp những cuộc khảo sát và hội thảo được thiết kế cẩn thận, tỉ mỉ và nghiêm ngặt để nhận được những hiểu biết về rủi ro và kiểm soát hiện tại của doanh nghiệp. Những người tham gia khảo sát, hội thảo thuộc tất cả các cấp độ trong doanh nghiệp. Sau khi rủi ro được xác định, chúng ta sẽ tạo ra một danh sách dài các rủi ro có thể ảnh hưởng đến việc nhận được mục tiêu của doanh nghiệp. Tuy nhiên có nhiều rủi ro ít hoặc hầu như không ảnh hưởng đến doanh nghiệp cần được loại bỏ để tập trung nhiều nỗ lực hơn trên những rủi ro liên quan và quan trọng. 2. Đánh giá rủi ro Phân loại rủi ro Bước đầu tiên của phân tích và đánh giá rủi ro là phân loại rủi ro. Không có phân loại chung nào cho các doanh nghiệp, mỗi doanh nghiệp phải quyết định dựa trên hiểu biết và phù hợp của doanh nghiệp mình. Việc phân loại là hữu ích trong việc nhóm các rủi ro liên quan cùng với nhau, từ đó dễ dàng hơn cho việc xác định các ứng xử rủi ro phù hợp. Một số phân loại rủi ro phổ biến bao gồm:
Xác định tiêu chí Bước tiếp theo là xác định các tiêu chí để đánh giá rủi ro. Thông thường có các tiêu chí phổ biến như sau:
Giá trị rủi ro Sau khi các tiêu chí để đánh giá rủi ro được xác định, các giá trị tương ứng cho các tiêu chí này cũng được xác định như sau: Mức độ ảnh hưởng Khả năng xảy ra Tính tổn thương Tốc độ rủi ro Đánh giá mức độ nghiêm trọng của rủi ro Bước tiếp theo là đánh giá cấp độ hoặc mức độ nghiêm trọng của rủi ro. Thông thường, rủi ro sẽ được đánh giá mức độ nghiêm trọng dựa trên sự kết hợp của các tiêu chính Khả năng xảy ra và Ảnh hưởng. Các kiểm toán viên nội bộ thường nhân điểm số của Khả năng xảy ra với điểm số của Ảnh hưởng để xác định mức độ nghiêm trọng của rủi ro. Kết quả tính toán sẽ được sắp xếp từ cao xuống thấp. Ví dụ: Vì giá trị của Khả năng xảy ra và mức độ Ảnh hưởng từ 1 đến 5 do đó các giá trị về cấp độ rủi ro trải dài từ 1 đến 25. Kiểm toán viên nội bộ cần xác định các mức độ nghiêm trọng của rủi ro để có thể tập trung nguồn lực. Ví dụ:
Dựa vào danh sách rủi ro, mức độ nghiêm trọng, IA tạo một heat map ưu tiên rủi ro. Heat map này hữu ích trong việc truyền thông thông tin rủi ro đến các bên liên quan, hỗ trợ ưu tiên rủi ro và phân bổ nguồn lực. Ví dụ của Heat map: Lưu ý: Mặc dù việc đánh giá được thực hiện cho từng rủi ro, tuy nhiên sau khi đánh giá từng rủi ro riêng biệt, IA cần xem xét bức tranh tổng thể về rủi ro của doanh nghiệp. Từ đó có cái nhìn bao hàm và toàn diện, đồng thời giúp phát hiện ra các khu vực đánh giá chưa phù hợp. Xác nhận lại đánh giá rủi ro với ban điều hành IA thảo luận đầu vào từ các bên liên quan xuyên suốt quy trình đánh giá rủi ro. Trưởng kiểm toán nội bộ nên thảo luận với ban điều hành về kết quả đánh giá rủi ro của IA, đảm bảo rằng IA đã hiểu đúng và toàn diện và thảo luận về lý do cho bất kỳ sự khác biệt nào trong việc đánh giá, ưu tiên rủi ro giữa IA và ban điều hành. Tuy nhiên, IA vẫn cần phải duy trì tính độc lập và khách quan đối với các phản hồi từ ban điều hành, tránh bị quá ảnh hưởng hoặc thiên vị đối với các đánh giá rủi ro của mình. Cuối cùng, sau khi đánh giá rủi ro được hoàn tất, IA sẽ sử dụng kết quả này để lên kế hoạch kiểm toán. Kế hoạch này được trình lên Ủy ban Kiểm toán hoặc HĐQT cho phê duyệt triển khai. Trên đây là nội dung bao hàm về xác định và đánh giá rủi ro được thực hiện bởi IA cho mục đích lên kế hoạch kiểm toán và tập trung nguồn lực. Các bên khác như ban điều hành, chuyên gia quản lý rủi ro cũng có thể áp dụng phương pháp tương tự. Trên tất cả, đánh giá chuyên môn là cần thiết trong xác định và đánh giá rủi ro. đánh giá rủi rokhả năng xảy ramức độ ảnh hưởngmức độ nghiêm trọng của rủi rorisk matixxác định rủi ro |