Nếu một tổ chức hiểu rõ được rủi ro phải đối mặt, thì sẽ hiểu rõ được cơ hội mà tổ chức đó có thể nắm bắt được. Nếu một tổ chức không nhìn thấy được các rủi ro nội tại, không biết được những rủi ro mà tổ chức có thể chấp nhận được, hay không biết chấp nhận rủi ro, thì tổ chức đó sẽ không biết cách phát triển và sớm muộn gì cũng sẽ tàn lụi.
Khi Harold Macmillan (Thủ tướng Vương quốc Anh nhiệm kỳ 1957-1963), được một nhà báo hỏi điều gì có thể khiến chính phủ đi chệch hướng một cách dễ dàng nhất, ông đã trả lời rằng “Các sự kiện bất ngờ, chàng trai ạ. Các sự kiện'”. Thời gian không thay đổi được điều này, cho đến hiện tại thì các nhà đầu tư và nhà quản trị đều không mong muốn các sự kiện bất ngờ xảy ra, họ muốn kiểm soát chúng hoặc tối thiểu là biết trước được thời gian sẽ xảy ra để có các biện pháp giảm thiểu tầm ảnh hưởng không tốt đến tổ chức. Đó là lý do tại sao các tổ chức cần xác định những rủi ro có thể làm phát sinh những sự kiện bất ngờ này.
Làm thế nào để bất kỳ tổ chức nào có thể kiểm soát các sự kiện bất ngờ và đồng thời nắm bắt được cơ hội trong rủi ro?
Phải hiểu rõ những rủi ro mà tổ chức phải đối mặt;
Những rủi ro tổ chức đã chuẩn bị để có thể chấp nhận được trong phạm vi cho phép;
Hành động cần thiết để quản trị được những rủi ro không chấp nhận được hoặc chưa chuẩn bị đầy đủ để chấp nhận.
RBIA là gì?
Kiểm toán nội bộ dựa trên rủi ro (RBIA) là một phương pháp kiểm toán xác định, đánh giá các rủi ro của tổ chức để xây dựng kế hoạch kiểm toán và lựa chọn các thủ tục kiểm toán nhằm đưa ra sự đảm bảo cho các nhà lãnh đạo về tính hiệu quả và tính hiệu lực của các quy trình quản lý rủi ro.
Viện Kiểm toán nội bộ (IIA) định nghĩa RBIA là một phương pháp liên kết hoạt động kiểm toán nội bộ với khuôn khổ quản lý rủi ro tổng thể của tổ chức. RBIA cho phép kiểm toán nội bộ cung cấp sự đảm bảo cho hội đồng quản trị và ban quản lý rằng các quy trình đang quản lý rủi ro một cách hiệu quả.
Khi thực hiện RBIA, báo cáo của KTNB cho nhà quản lý cấp cao và hội đồng quản trị phải bao gồm báo cáo về rủi ro đáng kể và các vấn đề kiểm soát, bao gồm cả rủi ro gian lận, vấn đề quản trị, và các vấn đề khác cần thiết hoặc theo yêu cầu của quản lý cấp cao và hội đồng quản trị.
Ưu điểm của RBIA
Tổ chức được kiểm toán nội bộ có các mục tiêu và luôn đi kèm với đó là rủi ro đe dọa việc đạt được các mục tiêu này. Tổ chức được kiểm toán nội bộ phản ứng với những mối đe dọa này bằng cách áp dụng các biện pháp và quy trình kiểm soát được thiết kế bởi kiểm toán nội bộ. Từ đó, Ban Giám đốc biết rằng các kiểm soát nội bộ được thiết kế này đang giảm rủi ro xuống mức mà họ chấp nhận được.
Bằng cách áp dụng phương pháp RBIA, kiểm toán nội bộ có thể kết luận được:
Ban Giám đốc đã xác định, đánh giá và ứng phó với các rủi ro trên và giảm thiểu rủi ro xuống mức chấp nhận được;
Các biện pháp ứng phó với rủi ro là hiệu quả trong việc quản lý rủi ro;
Trường hợp rủi ro tiềm tàng có thể vượt quá mức rủi ro có thể chấp nhận được, Ban quản trị sẽ có hành động để khắc phục điều đó;
Các quy trình kiểm soát rủi ro và việc vận hành các quy trình này vẫn đang được giám sát bởi ban giám đốc để đảm bảo chúng tiếp tục hoạt động hiệu quả;
Rủi ro, biện pháp phòng ngừa và hành động vẫn đang được phân loại và báo cáo thường xuyên.
Tổ chức của bạn đã sẵn sàng sử dụng RBIA?
Mọi tổ chức đều có các cách quản lý khác nhau, có thái độ đối phó với rủi ro khác nhau, cấu trúc, quy trình, văn hóa khác nhau. Kiểm toán viên nội bộ cần thiết kế các phương pháp áp dụng RBIS cho phù hợp với cấu trúc, quy trình và văn hóa của tổ chức của họ.
Nếu các quy trình quản lý rủi ro không quá mạnh hoặc không tồn tại, một tổ chức chưa sẵn sàng cho việc sử dụng RBIA. Quan trọng hơn, điều đó có nghĩa là hệ thống kiểm soát nội bộ của tổ chức còn kém. Lúc này, bạn có thể nghĩ đến việc sử dụng bên thứ ba để tư vấn xây dựng hệ thống kiểm soát, hoặc có thể sử dụng các bên thứ ba thực hiện chức năng kiểm toán nội bộ và tư vấn xây dựng các quy trình kiểm soát này.
RSM là một trong những đối tác tin cậy hàng đầu trong việc cung cấp các dịch vụ quản trị rủi ro, tư vấn kiểm toán nội bộ và xây dựng quy trình kiểm soát nội bộ.
Kết luận
RBIA cho phép kiểm toán nội bộ cung cấp sự đảm bảo về các quy trình quản lý rủi ro cả về thiết kế và mức độ hoạt động của chúng cũng như quản lý những rủi ro được phân loại là ”trọng yếu”, bao gồm cả tính hiệu quả của các biện pháp kiểm soát.
Comments