Trong môi trường kinh doanh ngày nay, chức năng Kiểm toán nội bộ [IA] hiệu quả yêu cầu IA phải lên kế hoạch kỹ lưỡng, phản hồi nhanh nhạy tới sự thay đổi của rủi ro. Để gia tăng giá trị và cải thiện hiệu quả cũng hiệu suất của doanh nghiệp, IA phải ưu tiên nguồn lực, kế hoạch làm việc của mình và gắn kết với mục tiêu, ưu tiên của doanh nghiệp, giải quyết những rủi ro ảnh hưởng lớn nhất đến khả năng nhận được mục tiêu của doanh nghiệp.
Để làm được điều này, IA phải độc lập đánh giá bức tranh rủi ro của doanh nghiệp, xác định những rủi ro lớn nhất và ưu tiên nguồn lực vào khu vực đó. Nếu như việc xác định và đánh giá rủi ro không làm tốt, sẽ ảnh hưởng rất lớn đến kết quả công việc mà IA có thể mang lại cho doanh nghiệp. Vậy, làm thế nào để xác định và đánh giá rủi ro cho đúng, đủ, kịp thời, chúng ta cùng xem bài viết này nhé.
Trước tiên cần hiểu một số nội dung cơ bản về rủi ro. Mình đã có bài viết về cái này, bạn nào chưa đọc thì tham khảo Tại đây nhé.
Bài này mình sẽ đi theo các nội dung chính sau:
- Xác định rủi ro
- Đánh giá rủi ro
Nào, cùng bắt đầu
1. Xác định rủi ro
Để xác định được rủi ro, IA phải hiểu doanh nghiệp của mình bao gồm: các yếu tố bên trong như: cấu trúc quản trị, quy trình quản lý rủi ro, văn hóa tổ chức, nguồn lực,và các yếu tố bên ngoài như chính trị, môi trường, xã hội, pháp lý,IA phải xác định được mục tiêu của doanh nghiệp ở tất cả các cấp độ, bởi vì chỉ có những rủi ro ảnh hưởng đến việc nhận được mục tiêu là được xem xét.
Có nhiều phương pháp để xác định rủi ro bao gồm:
Checklist: Sử dụng 1 danh sách rủi ro có sẵn là một điểm khởi đầu tốt. Tuy nhiên bởi vì doanh nghiệp là duy nhất, khác biệt với các doanh nghiệp khác, do đó sử dụng 1 danh sách rủi ro có sẵn không đảm bảo cho việc xác định đúng, đủ, kịp thời danh sách rủi ro mà doanh nghiệp phải đối mặt.
Benmarking: So sánh đối chuẩn cung cấp 1 sự so sánh nhiều chi tiết đối với doanh nghiệp khác hoặc doanh nghiệp mẫu trong ngành. Mặc dù so sánh đối chuẩn với các doanh nghiệp khác giúp nhanh chóng xác định được các loại rủi ro, tuy nhiên như checklist, mục tiêu mỗi doanh nghiệp và tình huống hoạt động là duy nhất, sử dụng so sánh đối chuẩn không cung cấp một danh sách rủi ro đúng, đủ và kịp thời.
Phân tích các kịch bản rủi ro: Xây dựng lên các viễn cảnh, các kịch bản là cách hữu ích để xác định rủi ro mà doanh nghiệp phải đối mặt. Phân tích viễn cảnh hữu ích cụ thể trong trường hợp xác định các rủi ro khẩn cấp, rủi ro mới nổi khi mức độ không chắc chắn của các rủi ro này là cao.
Đánh giá tính tổn thương: Là phương pháp đánh giá hiện trạng của doanh nghiệp, đánh giá các quy trình, quy định, năng lực và sự chuẩn bị ứng xử với rủi ro. Từ đó xác định được các khu vực yếu kém, tiềm ẩn rủi ro đến việc đạt được mục tiêu của doanh nghiệp.
Brainstorming: sử dụng kỹ thuật gọi là động não, phương pháp này liệt kê toàn bộ những khả năng rủi ro mà doanh nghiệp có thể đối mặt. Kết quả là có một danh sách rất dài các rủi ro, tuy nhiên trước khi phân tích rủi ro xa hơn, cần phải xem xét để loại bỏ những rủi ro không liên quan đến doanh nghiệp.
Control Seft Assessment [CSA]: là phương pháp sử dụng kết hợp những cuộc khảo sát và hội thảo được thiết kế cẩn thận, tỉ mỉ và nghiêm ngặt để nhận được những hiểu biết về rủi ro và kiểm soát hiện tại của doanh nghiệp. Những người tham gia khảo sát, hội thảo thuộc tất cả các cấp độ trong doanh nghiệp.
Sau khi rủi ro được xác định, chúng ta sẽ tạo ra một danh sách dài các rủi ro có thể ảnh hưởng đến việc nhận được mục tiêu của doanh nghiệp. Tuy nhiên có nhiều rủi ro ít hoặc hầu như không ảnh hưởng đến doanh nghiệp cần được loại bỏ để tập trung nhiều nỗ lực hơn trên những rủi ro liên quan và quan trọng.
2. Đánh giá rủi ro
Phân loại rủi ro
Bước đầu tiên của phân tích và đánh giá rủi ro là phân loại rủi ro. Không có phân loại chung nào cho các doanh nghiệp, mỗi doanh nghiệp phải quyết định dựa trên hiểu biết và phù hợp của doanh nghiệp mình. Việc phân loại là hữu ích trong việc nhóm các rủi ro liên quan cùng với nhau, từ đó dễ dàng hơn cho việc xác định các ứng xử rủi ro phù hợp. Một số phân loại rủi ro phổ biến bao gồm:
- Phân loại dựa trên đặc điểm của rủi ro: rủi ro đã biết hay chưa biết, quan trọng hay không quan trọng, có thể dự báo hay không thể, rủi ro đã có kiểm soát hay chưa,
- Phân loại cũng có thể dựa trên nguồn của rủi ro hoặc ảnh hưởng đến các khía cạnh của doanh nghiệp: chiến lược, sản phẩm, bán hàng, tài chính, công nghệ, vận hành,
Xác định tiêu chí
Bước tiếp theo là xác định các tiêu chí để đánh giá rủi ro. Thông thường có các tiêu chí phổ biến như sau:
- Ảnh hưởng: ảnh hưởng hay hậu quả là kết quả ảnh hưởng của sự kiện rủi ro lên mục tiêu. Một số ảnh hưởng phổ biến bao gồm: ảnh hưởng tài chính, uy tín doanh nghiệp, ảnh hưởng đến môi trường và xã hội, an toàn công nhân và môi trường làm việc, pháp luật, ảnh hưởng đến các thông tin hay báo cáo cho các cơ quan như UBCK, thuế,
- Khả năng xảy ra: đánh giá về tính thường xuyên của sự kiện rủi ro xảy ra trong 1 khoảng thời gian hoặc tính có thể xảy ra của sự kiện rủi ro đó
- Mức độ tổn thương của doanh nghiệp: là độ lớn của hậu quả khi sự kiện rủi ro xảy ra đối với doanh nghiệp. Độ lớn này tùy thuộc vào sự sẵn sàng cho các tình huống, khả năng ứng biến nhanh nhạy của các doanh nghiệp,
- Tính biến đổi: trong một số trường hợp, rủi ro xảy ra là khác nhau phụ thuộc vào nhiều tình huống khác nhau, điều này làm cho rủi ro khó dự báo
- Tốc độ rủi ro: đo lường tốc độ từ khi 1 sự kiện xảy ra đến khi nó ảnh hưởng lên doanh nghiệp
- Tính phụ thuộc: cần nhớ rằng khi xem xét các rủi ro, không chỉ đánh giá từng rủi ro mà cần kết hợp chúng lại. Tính phụ thuộc đo lường 2 hay nhiều rủi ro phụ thuộc cùng ảnh hưởng lên doanh nghiệp. Độ lớn của mức độ ảnh hưởng thường lớn hơn nhiều độ lớn từng rủi ro cộng lại.
- Tính liên quan: Tính liên quan cũng có liên quan đến phụ thuộc, tuy nhiên tính liên quan thể hiện ở chỗ rủi ro A xảy ra, sẽ dẫn tới rủi ro B có thể xảy ra. Do đó, đánh giá tính liên quan giúp dự báo các rủi ro khác nhau, từ đó có thể xác định được bức tranh rủi ro toàn diện hơn.
Giá trị rủi ro
Sau khi các tiêu chí để đánh giá rủi ro được xác định, các giá trị tương ứng cho các tiêu chí này cũng được xác định như sau:
Mức độ ảnh hưởng
Khả năng xảy ra
Tính tổn thương
Tốc độ rủi ro
Đánh giá mức độ nghiêm trọng của rủi ro
Bước tiếp theo là đánh giá cấp độ hoặc mức độ nghiêm trọng của rủi ro. Thông thường, rủi ro sẽ được đánh giá mức độ nghiêm trọng dựa trên sự kết hợp của các tiêu chính Khả năng xảy ra và Ảnh hưởng. Các kiểm toán viên nội bộ thường nhân điểm số của Khả năng xảy ra với điểm số của Ảnh hưởng để xác định mức độ nghiêm trọng của rủi ro. Kết quả tính toán sẽ được sắp xếp từ cao xuống thấp. Ví dụ:
Vì giá trị của Khả năng xảy ra và mức độ Ảnh hưởng từ 1 đến 5 do đó các giá trị về cấp độ rủi ro trải dài từ 1 đến 25. Kiểm toán viên nội bộ cần xác định các mức độ nghiêm trọng của rủi ro để có thể tập trung nguồn lực. Ví dụ:
- Mức độ nghiêm trọng từ 1 đến 2: Không xem xét
- Mức độ nghiêm trọng từ 3 đến 6: Sẽ xem xét 1 năm 1 lần
- Mức độ nghiêm trọng từ 5 đến 9: Xem xét 6 tháng 1 lần
- Mức độ nghiêm trọng từ 10 đến 16: Tập trung nguồn lực sau mức ưu tiên cao nhất
- Mức độ nghiêm trọng từ 20 đến 25: Tập trung nguồn lực ngay lập tức
Dựa vào danh sách rủi ro, mức độ nghiêm trọng, IA tạo một heat map ưu tiên rủi ro. Heat map này hữu ích trong việc truyền thông thông tin rủi ro đến các bên liên quan, hỗ trợ ưu tiên rủi ro và phân bổ nguồn lực. Ví dụ của Heat map:
Lưu ý: Mặc dù việc đánh giá được thực hiện cho từng rủi ro, tuy nhiên sau khi đánh giá từng rủi ro riêng biệt, IA cần xem xét bức tranh tổng thể về rủi ro của doanh nghiệp. Từ đó có cái nhìn bao hàm và toàn diện, đồng thời giúp phát hiện ra các khu vực đánh giá chưa phù hợp.
Xác nhận lại đánh giá rủi ro với ban điều hành
IA thảo luận đầu vào từ các bên liên quan xuyên suốt quy trình đánh giá rủi ro. Trưởng kiểm toán nội bộ nên thảo luận với ban điều hành về kết quả đánh giá rủi ro của IA, đảm bảo rằng IA đã hiểu đúng và toàn diện và thảo luận về lý do cho bất kỳ sự khác biệt nào trong việc đánh giá, ưu tiên rủi ro giữa IA và ban điều hành. Tuy nhiên, IA vẫn cần phải duy trì tính độc lập và khách quan đối với các phản hồi từ ban điều hành, tránh bị quá ảnh hưởng hoặc thiên vị đối với các đánh giá rủi ro của mình.
Cuối cùng, sau khi đánh giá rủi ro được hoàn tất, IA sẽ sử dụng kết quả này để lên kế hoạch kiểm toán. Kế hoạch này được trình lên Ủy ban Kiểm toán hoặc HĐQT cho phê duyệt triển khai. Trên đây là nội dung bao hàm về xác định và đánh giá rủi ro được thực hiện bởi IA cho mục đích lên kế hoạch kiểm toán và tập trung nguồn lực. Các bên khác như ban điều hành, chuyên gia quản lý rủi ro cũng có thể áp dụng phương pháp tương tự. Trên tất cả, đánh giá chuyên môn là cần thiết trong xác định và đánh giá rủi ro.