This study unit is the second of four covering Domain V: Governance, Risk Management, and Control from The IIA’s CIA Exam Syllabus. This domain makes up 35% of Part 1 of the CIA exam and is tested at the basic and proficient cognitive levels. The four study units are ● Study Unit 4: Governance ● Study Unit 5: Risk Management ● Study Unit 6: Controls: Types and Frameworks ● Study Unit 7: Controls: Application The learning objectives of Study Unit 5 are ● Interpret fundamental concepts of risk and the risk management process Diễn giải các khái niệm cơ bản về rủi ro và quy trình quản lý rủi ro ● Describe globally accepted risk management frameworks appropriate to the organization Mô tả các khuôn khổ quản lý rủi ro được chấp nhận trên toàn cầu phù hợp với tổ chức ● Examine the effectiveness of risk management within processes and functions Kiểm tra tính hiệu quả của hoạt động và quy trình quản lý rủi ro ● Recognize the appropriateness of the internal audit activity’s role in the organization’s risk management process Nhận thức được sự phù hợp của vai trò của hoạt động kiểm toán nội bộ trong quy trình quản lý rủi ro của tổ chức Risk management assesses and controls these risks to achieve an organization’s goals. Management must focus on risks at all levels of the entity and take the necessary action to manage them. All risks that could affect achievement of objectives must be considered. Quản lý rủi ro đánh giá và kiểm soát những rủi ro này để đạt được mục tiêu của tổ chức. Ban quản lý phải tập trung vào các rủi ro ở tất cả các cấp của đơn vị và thực hiện các hành động cần thiết để quản lý chúng. Tất cả các rủi ro có thể ảnh hưởng đến việc đạt được các mục tiêu phải được xem xét.
Study Unit Five Risk Management 5.1 5.2 5.3 11 5.4 20 This study unit is the second of four covering Domain V: Governance, Risk Management, and Control from The IIA’s CIA Exam Syllabus This domain makes up 35% of Part of the CIA exam and is tested at the basic and proficient cognitive levels The four study units are ● Study Unit 4: Governance ● Study Unit 5: Risk Management ● Study Unit 6: Controls: Types and Frameworks ● Study Unit 7: Controls: Application The learning objectives of Study Unit are ● Interpret fundamental concepts of risk and the risk management process Diễn giải khái niệm rủi ro quy trình quản lý rủi ro ● Describe globally accepted risk management frameworks appropriate to the organization Mô tả khuôn khổ quản lý rủi ro chấp nhận toàn cầu phù hợp với tổ chức ● Examine the effectiveness of risk management within processes and functions Kiểm tra tính hiệu hoạt động quy trình quản lý rủi ro ● Recognize the appropriateness of the internal audit activity’s role in the organization’s risk management process Nhận thức phù hợp vai trò hoạt động kiểm tốn nội quy trình quản lý rủi ro tổ chức Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com Risk management assesses and controls these risks to achieve an organization’s goals Management must focus on risks at all levels of the entity and take the necessary action to manage them All risks that could affect achievement of objectives must be considered Quản lý rủi ro đánh giá kiểm soát rủi ro để đạt mục tiêu tổ chức Ban quản lý phải tập trung vào rủi ro tất cấp đơn vị thực hành động cần thiết để quản lý chúng Tất rủi ro ảnh hưởng đến việc đạt mục tiêu phải xem xét copyright@gleim.com SU 5: Risk Management 5.1 Risk Management Processes Risk is “[t]he possibility of an event occurring that will have an impact on the achievement of objectives Risk is measured in terms of impact and likelihood” (The IIA Glossary) “Khả xảy kiện có tác động đến việc đạt mục tiêu Rủi ro đo lường theo tác động khả xảy ra” (Thuật ngữ IIA) ● Risk management is “a process to identify, assess, manage, and control potential events or situations to provide reasonable assurance regarding the achievement of the organization’s objectives” (The IIA Glossary) Quản lý rủi ro “một quy trình xác định, đánh giá, quản lý kiểm sốt kiện tình tiềm ẩn nhằm cung cấp đảm bảo hợp lý việc đạt mục tiêu tổ chức” (Bảng thuật ngữ IIA) ■ It is one of the three processes specifically addressed in the Definition of Internal Auditing Performance Standard 2120 Risk Management The internal audit activity must evaluate the effectiveness and contribute to the improvement of risk management processes Hoạt động kiểm toán nội phải đánh giá hiệu góp phần cải tiến quy trình quản lý rủi ro The Risk Management Process Management must focus on risks at all levels of the entity and take the necessary action to manage them All risks that could affect achievement of objectives must be considered SU 5: Risk Management Bước 1: Identification of Context (Xác định bối cảnh) ● A precondition to risk identification is identifying the significant contexts within which risks should be managed ● Điều kiện tiên để xác định rủi ro xác định bối cảnh quan trọng rủi ro cần quản lý ● Bối cảnh bao gồm điều sau: ■ Laws and regulations ■ Luật pháp quy định nhà nước ■ Capital projects ■ Kế hoạch sử dụng vốn ■ Business processes ■ Quy trình kinh doanh ■ Technology ■ Công nghệ ■ Organizations ■ Tổ chức ■ Market risk ■ Rủi ro thị trường ► Interest rates, foreign exchange rates ► Lãi suất, tỷ giá hối đoái Bước 2: Risk Identification (Xác định rủi ro) ● Risk identification should be performed at every level of the entity (entity-level, division, business unit) relevant to the identified context(s) ● Việc xác định rủi ro nên thực cấp độ thực thể (cấp thực thể, phận, đơn vị kinh doanh) liên quan đến (các) bối cảnh xác định ● Past events and future possibilities must be considered ● Phải xem xét kiện khứ khả tương lai ● SWOT analysis, workshops, and scenario analysis can be used to identify risks ● Phân tích SWOT, hội thảo phân tích kịch sử dụng để xác định rủi ro Bước 3: Risk Assessment and Prioritization (Đánh giá rủi ro ưu tiên) ● The risk assessment process may be formal and informal ● Quy trình đánh giá rủi ro thức khơng thức ● The three-part process involves: ● Quá trình gồm phần bao gồm Assessing the significance of an event Đánh giá tầm quan trọng kiện Assessing the event’s likelihood, and Đánh giá khả xảy kiên Considering the means of managing the risk Xem xét biện pháp quản lý rủi ro ● The results of assessing the likelihood and impact of the risk events identified are used to prioritize risks and produce decision-making information ● Kết đánh giá khả xảy tác động kiện rủi ro xác định sử dụng để xếp thứ tự ưu tiên rủi ro đưa thông tin định ● Risk assessment methods may be qualitative or quantitative ● Các phương pháp đánh giá rủi ro định tính định lượng ■ Risk ranking, risk maps and risk modeling ■ Xếp hạng rủi ro, đồ rủi ro lập mơ hình rủi ro Bước 4: Risk Response (Ứng phó rủi ro) ● Risk responses are the means by which an organization elects to manage individual risks ● Ứng phó với rủi ro phương pháp mà tổ chức lựa chọn để quản lý rủi ro cụ thể ● Each organization selects risk responses that align risks with the organizations risk appetite, or ● Tổ chức lựa chọn chế ứng phó rủi ro phù hợp với vị rủi ro tổ chức, ■ The level of risk the organization is willing to accept ■ Mức độ rủi ro mà tổ chức sẵn sàng chấp nhận ● Controls are actions taken by management to manage risk and ensure risk responses are carried out ● Kiểm soát hành động BQL thực để quản lý rủi ro đảm bảo biện pháp ứng phó rủi ro thực ● Residual risk is the risk that remains after risk responses are executed ● Rủi ro lại rủi ro lại sau thực biện pháp ứng phó rủi ro ● Control risk is the risk that controls fail to effectively manage controllable risk ● Rủi ro kiểm sốt rủi ro mà kiểm sốt khơng quản lý hiệu rủi ro kiểm sốt Bước 5: Risk Monitoring ● Risk monitoring is a four-step continuous process that includes aspects of prior steps ● Giám sát rủi ro quy trình liên tục gồm có bước bao gồm khía cạnh bước trước Track identified risks Evaluate current risk response plans Monitor residual risks Identify new risks Theo dõi rủi ro xác định Đánh giá kế hoạch ứng phó rủi ro Giám sát rủi ro lại Xác định rủi ro ● The two most important sources of information for ongoing assessments of the adequacy of risk responses and the changing nature of the risks are ● Hai nguồn thông tin quan trọng cho việc đánh giá liên tục phù hợp chế ứng phó rủi ro chất thay đổi rủi ro là: Those closest to the activities, such as the manager of an operating unit => However, because they design the strategy to mitigate risks, they are not always objective Những người gần gũi với hoạt động, chẳng hạn người quản lý đơn vị hoạt động => Tuy nhiên, họ thiết kế chiến lược để giảm thiểu rủi ro nên lúc họ khách quan The audit function => Analyzing risks and responses are among the normal responsibilities of internal auditors, who should be objective Chức kiểm tốn => Phân tích rủi ro phản ứng trách nhiệm thông thường kiểm toán viên nội bộ, người phải khách quan SU 5: Risk Management Responsibility for Aspects of Organizational Risk Management Trách nhiệm khía cạnh quản lý rủi ro tổ chức Risk management is a key responsibility of senior management and the board Quản lý rủi ro trách nhiệm ban quản lý HĐQT ● Boards have an oversight function They determine that risk management processes are in place, adequate, and effective ● HĐQT có chức giám sát Họ xác định quy trình quản lý rủi ro áp dụng, đầy đủ hiệu ● Management ensures that sound risk management processes are functioning ● Ban quản lý đảm bảo quy trình quản lý rủi ro hợp lý hoạt động ● The internal audit activity may be directed to examine, evaluate, report, or recommend improvements ● Hoạt động kiểm tốn nội định hướng để kiểm tra, đánh giá, báo cáo đề xuất cải tiến ■ It also has a consulting role in identifying, evaluating, and implementing risk management methods and controls ■ Nó có vai trò tư vấn việc xác định, đánh giá thực biện pháp kiểm soát quản lý rủi ro Risk management processes may be formal or informal, quantitative or subjective, or embedded in business units or centralized They are designed to fit the organization’s culture, management style, and objectives For example, a small entity may use an informal risk committee Các quy trình quản lý rủi ro thức khơng thức, định lượng chủ quan, thực thi đơn vị tập trung Chúng thiết kế để phù hợp với văn hóa, phong cách quản lý mục tiêu tổ chức Ví dụ, cơng ty nhỏ sử dụng ủy ban rủi ro khơng thức The CAE must understand management’s and the board’s expectations of the internal audit activity in risk management The understanding is codified in the charters of the internal audit activity and the board CAE phải hiểu kỳ vọng ban quản lý hội đồng quản trị hoạt động kiểm toán nội quản lý rủi ro Sự hiểu biết hệ thống hóa điều lệ hoạt động kiểm toán nội hội đồng quản trị ● If the organization has no formal risk management processes, the CAE has formal discussions with management and the board about their obligations for understanding, managing, and monitoring risks ● Nếu tổ chức khơng có quy trình quản lý rủi ro thức, CAE thảo luận thức với ban quản lý hội đồng quản trị nghĩa vụ họ việc hiểu, quản lý giám sát rủi ro SU 5: Risk Management Internal Audit’s Role in Risk Management The IIA issued the following Interpretation to clarify internal audit’s role: s a judgment resulting from the internal auditor’s assessment that: ơng phán đốn xuất phát từ đánh giá kiểm toán viên nội rằng: n’s mission; c; organization’s risk appetite; and p với vị rủi ro tổ chức; Và ner across the organization, enabling staff, management, and the board to carry out their responsibilities ong toàn tổ chức, giúp nhân viên, ban quản lý hội đồng quản trị thực trách nhiệm t this assessment during multiple engagements The results of these engagements, when viewed together, provide an understanding of the organizati đánh giá nhiều lần kiểm toán Kết kiểm toán này, xem xét nhau, giúp hiểu rõ quy trình quản lý rủi nagement activities, separate evaluations, or both ộng quản lý diễn ra, đánh giá riêng biệt hai Two Implementation Standards for assurance engagements link the assessment of risk to specific risk areas Hai Chuẩn mực Thực cho dịch vụ đảm bảo liên kết việc đánh giá rủi ro với lĩnh vực rủi ro cụ thể Implementation Standard 2120.A1 The internal audit activity must evaluate risk relating to the organization’s governance, operations, and information systems regarding the: Hoạt động kiểm toán nội phải đánh giá mức độ rủi ro liên quan đến quản trị, hoạt động hệ thống thông tin tổ chức liên quan đến Achievement of the organization’s strategic objectives; Đạt mục tiêu chiến lược tổ chức; Reliability and integrity of financial and operational information; Độ tin cậy tính trực thơng tin tài hoạt động; Effectiveness and efficiency of operations and programs; Hiệu hiệu suất chương trình hoạt động; Safeguarding of assets; and Bảo vệ tài sản; Compliance with laws, regulations, policies, procedures, and contracts Tuân thủ với Luật, quy định, sách, thủ tục hợp đồng Implementation Standard 2120.A2 The internal audit activity must evaluate the potential for the occurrence of fraud and how the organization manages fraud risk Hoạt động KTNB phải đánh giá khả xảy rủi ro gian luận cách thức để quản lý rủi ro