This study unit is the second of four covering Domain V: Governance, Risk Management, and Control from The IIA’s CIA Exam Syllabus. This domain makes up 35% of Part 1 of the CIA exam and is tested at the basic and proficient cognitive levels. The four study units are ● Study Unit 4: Governance ● Study Unit 5: Risk Management ● Study Unit 6: Controls: Types and Frameworks ● Study Unit 7: Controls: Application The learning objectives of Study Unit 5 are ● Interpret fundamental concepts of risk and the risk management process Diễn giải các khái niệm cơ bản về rủi ro và quy trình quản lý rủi ro ● Describe globally accepted risk management frameworks appropriate to the organization Mô tả các khuôn khổ quản lý rủi ro được chấp nhận trên toàn cầu phù hợp với tổ chức ● Examine the effectiveness of risk management within processes and functions Kiểm tra tính hiệu quả của hoạt động và quy trình quản lý rủi ro ● Recognize the appropriateness of the internal audit activity’s role in the organization’s risk management process Nhận thức được sự phù hợp của vai trò của hoạt động kiểm toán nội bộ trong quy trình quản lý rủi ro của tổ chức Risk management assesses and controls these risks to achieve an organization’s goals. Management must focus on risks at all levels of the entity and take the necessary action to manage them. All risks that could affect achievement of objectives must be considered. Quản lý rủi ro đánh giá và kiểm soát những rủi ro này để đạt được mục tiêu của tổ chức. Ban quản lý phải tập trung vào các rủi ro ở tất cả các cấp của đơn vị và thực hiện các hành động cần thiết để quản lý chúng. Tất cả các rủi ro có thể ảnh hưởng đến việc đạt được các mục tiêu phải được xem xét.
Trang 1Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com
1
Study Unit Five
This study unit is the second of four covering Domain V: Governance, Risk Management, and
Control from The IIA’s CIA Exam Syllabus This domain makes up 35% of Part 1 of the CIA
exam and is tested at the basic and proficient cognitive levels The four study units are
● Study Unit 4: Governance
● Study Unit 5: Risk Management
● Study Unit 6: Controls: Types and Frameworks
● Study Unit 7: Controls: Application
The learning objectives of Study Unit 5 are
● Interpret fundamental concepts of risk and the risk management process
Diễn giải các khái niệm cơ bản về rủi ro và quy trình quản lý rủi ro
● Describe globally accepted risk management frameworks appropriate to theorganization
Mô tả các khuôn khổ quản lý rủi ro được chấp nhận trên toàn cầu phù hợp với tổ chức
● Examine the effectiveness of risk management within processes and functions
Kiểm tra tính hiệu quả của hoạt động và quy trình quản lý rủi ro
● Recognize the appropriateness of the internal audit activity’s role in the organization’srisk management process
Nhận thức được sự phù hợp của vai trò của hoạt động kiểm toán nội bộ trong quy trìnhquản lý rủi ro của tổ chức
Trang 2copyright@gleim.com
Risk management assesses and controls these risks to achieve an organization’s goals.Management must focus on risks at all levels of the entity and take the necessary action to manage them All risks that could affect achievement of objectives must be considered
Quản lý rủi ro đánh giá và kiểm soát những rủi ro này để đạt được mục tiêu của tổ chức Ban quản lý phải tập trung vào các rủi ro ở tất cả các cấp của đơn vị và thực hiệncác hành động cần thiết để quản lý chúng Tất cả các rủi ro có thể ảnh hưởng đến việc đạt được các mục tiêu phải được xem xét
Trang 35.1 Risk Management Processes
Performance Standard 2120 Risk Management
The internal audit activity must evaluate the effectiveness and contribute to the improvement of risk management processes.Hoạt động kiểm toán nội bộ phải đánh giá hiệu quả và góp phần cải tiến quy trình quản lý rủi ro
2 SU 5: Risk Management
Risk is “[t]he possibility of an event occurring that will have an impact on the
achievement of objectives Risk is measured in terms of impact and likelihood”
(The IIA Glossary)
“Khả năng xảy ra một sự kiện sẽ có tác động đến việc đạt được các mục tiêu
Rủi ro được đo lường theo tác động và khả năng xảy ra” (Thuật ngữ IIA)
● Risk management is “a process to identify, assess, manage, and control potential
events or situations to provide reasonable assurance regarding the achievement
of the organization’s objectives” (The IIA Glossary)
Quản lý rủi ro là “một quy trình xác định, đánh giá, quản lý và kiểm soát các sự kiện hoặc tình huống tiềm ẩn nhằm cung cấp sự đảm bảo hợp lý về việc đạt đượccác mục tiêu của tổ chức” (Bảng thuật ngữ IIA)
■ It is one of the three processes specifically addressed in the Definition of Internal Auditing
The Risk Management Process
Management must focus on risks at all levels of the entity and take the necessary action to manage them All risks that could affect achievement of objectives must be considered
Trang 4SU 5: Risk Management 3
Bước 1: Identification of Context (Xác định bối cảnh)
● A precondition to risk identification is identifying the significant contexts within which risks should be managed
● Điều kiện tiên quyết để xác định rủi ro là xác định bối cảnh quan trọng trong đó rủi ro cần được quản lý
● Bối cảnh bao gồm những điều sau:
■ Laws and regulations
■ Luật pháp và các quy định nhà nước
► Interest rates, foreign exchange rates
► Lãi suất, tỷ giá hối đoái
Bước 2: Risk Identification (Xác định rủi ro)
● Risk identification should be performed at every level of the entity (entity-level, division, business unit) relevant to the identified context(s)
● Việc xác định rủi ro nên được thực hiện ở mọi cấp độ của thực thể (cấp thực thể, bộ phận, đơn vị kinh doanh) liên quan đến (các) bối cảnh đã xác định
● Past events and future possibilities must be considered
● Phải xem xét các sự kiện trong quá khứ và các khả năng trong tương lai
● SWOT analysis, workshops, and scenario analysis can be used to identify risks
● Phân tích SWOT, hội thảo và phân tích kịch bản có thể được sử dụng để xác định rủi ro
Bước 3: Risk Assessment and Prioritization (Đánh giá rủi ro và ưu tiên)
● The risk assessment process may be formal and informal
● Quy trình đánh giá rủi ro có thể là chính thức hoặc không chính thức
● The three-part process involves:
● Quá trình gồm 3 phần bao gồm
1 Assessing the significance of an event
Đánh giá tầm quan trọng của sự kiện
2 Assessing the event’s likelihood, and
Đánh giá khả năng xảy ra sự kiên
3 Considering the means of managing the risk
Xem xét các biện pháp quản lý rủi ro
Trang 5● The results of assessing the likelihood and impact of the risk events identified are used
to prioritize risks and produce decision-making information
● Kết quả đánh giá khả năng xảy ra và tác động của các sự kiện rủi ro đã xác định được
sử dụng để sắp xếp thứ tự ưu tiên rủi ro và đưa ra thông tin ra quyết định
● Risk assessment methods may be qualitative or quantitative
● Các phương pháp đánh giá rủi ro có thể định tính hoặc định lượng
■ Risk ranking, risk maps and risk modeling
■ Xếp hạng rủi ro, bản đồ rủi ro và lập mô hình rủi ro
Bước 4: Risk Response (Ứng phó rủi ro)
● Risk responses are the means by which an organization elects to manage individual risks
● Ứng phó với rủi ro là phương pháp mà một tổ chức lựa chọn để quản lý từng rủi ro cụthể
● Each organization selects risk responses that align risks with the organizations risk appetite, or
● Tổ chức lựa chọn các cơ chế ứng phó rủi ro phù hợp với khẩu vị rủi ro của tổ chức, hoặc
■ The level of risk the organization is willing to accept
■ Mức độ rủi ro mà tổ chức sẵn sàng chấp nhận
● Controls are actions taken by management to manage risk and ensure risk
responses are carried out
● Kiểm soát là các hành động do BQL thực hiện để quản lý rủi ro và đảm bảo các biện pháp ứng phó rủi ro được thực hiện
● Residual risk is the risk that remains after risk responses are executed.
● Rủi ro còn lại là rủi ro còn lại sau khi thực hiện các biện pháp ứng phó rủi ro.
● Control risk is the risk that controls fail to effectively manage controllable risk.
● Rủi ro kiểm soát là rủi ro mà các kiểm soát không quản lý hiệu quả rủi ro có thể
kiểm soát
Bước 5: Risk Monitoring
● Risk monitoring is a four-step continuous process that includes aspects of prior
steps
● Giám sát rủi ro là một quy trình liên tục gồm có 4 bước bao gồm các khía cạnh của các bước trước đó
1 Track identified risks
2 Evaluate current risk response plans
3 Monitor residual risks
4 Identify new risks
Trang 61 Theo dõi rủi ro đã xác định
2 Đánh giá kế hoạch ứng phó rủi ro hiện tại
3 Giám sát rủi ro còn lại
4 Xác định những rủi ro mới
● The two most important sources of information for ongoing assessments of the
adequacy of risk responses and the changing nature of the risks are
● Hai nguồn thông tin quan trọng nhất cho việc đánh giá liên tục về sự phù hợp của
các cơ chế ứng phó rủi ro và bản chất sự thay đổi của rủi ro là:
1 Those closest to the activities, such as the manager of an operating unit
=> However, because they design the strategy to mitigate risks, they are not alwaysobjective
1 Những người gần gũi nhất với các hoạt động, chẳng hạn như người quản lý của
một đơn vị hoạt động
=> Tuy nhiên, do họ thiết kế chiến lược để giảm thiểu rủi ro nên không phải lúc nào
họ cũng khách quan
2 The audit function
=> Analyzing risks and responses are among the normal responsibilities of internal auditors, who should be objective
2 Chức năng kiểm toán
=> Phân tích rủi ro và phản ứng là một trong những trách nhiệm thông thường của kiểmtoán viên nội bộ, những người phải khách quan
Trang 84 SU 5: Risk Management
Responsibility for Aspects of Organizational Risk Management
Trách nhiệm đối với các khía cạnh của quản lý rủi ro tổ chức
Risk management is a key responsibility of senior management and the board
Quản lý rủi ro là trách nhiệm chính của ban quản lý và HĐQT
● Boards have an oversight function They determine that risk management processes are in place, adequate, and effective
● HĐQT có chức năng giám sát Họ xác định rằng các quy trình quản lý rủi ro được áp
dụng, đầy đủ và hiệu quả
● Management ensures that sound risk management processes are functioning
● Ban quản lý đảm bảo rằng các quy trình quản lý rủi ro hợp lý đang hoạt động.
● The internal audit activity may be directed to examine, evaluate, report, or
recommend improvements
● Hoạt động kiểm toán nội bộ có thể được định hướng để kiểm tra, đánh
giá, báo cáo hoặc đề xuất cải tiến
■ It also has a consulting role in identifying, evaluating, and implementing risk
management methods and controls
■ Nó cũng có vai trò tư vấn trong việc xác định, đánh giá và thực hiện các biện pháp kiểm soát và quản lý rủi ro
Risk management processes may be formal or informal, quantitative or subjective, or embedded in business units or centralized They are designed to fit the organization’s culture, management style, and objectives For example, a small entity may use an informal risk committee
Các quy trình quản lý rủi ro có thể chính thức hoặc không chính thức, định lượng hoặc chủ quan, hoặc được thực thi tại từng đơn vị hoặc tập trung Chúng được thiết kế để phù hợp với văn hóa, phong cách quản lý và mục tiêu của tổ chức Ví dụ, một công ty nhỏ có thể sử dụng một ủy ban rủi ro không chính thức
The CAE must understand management’s and the board’s expectations of the internal audit activity in risk management The understanding is codified in the charters of the internal audit activity and the board
CAE phải hiểu kỳ vọng của ban quản lý và hội đồng quản trị về hoạt động kiểm toán nội
bộ trong quản lý rủi ro Sự hiểu biết được hệ thống hóa trong điều lệ của hoạt động kiểmtoán nội bộ và hội đồng quản trị
● If the organization has no formal risk management processes, the CAE has formal discussions with management and the board about their obligations for
understanding, managing, and monitoring risks
● Nếu tổ chức không có quy trình quản lý rủi ro chính thức, CAE sẽ thảo luận chính thức với ban quản lý và hội đồng quản trị về nghĩa vụ của họ đối với việc hiểu,
quản lý và giám sát rủi ro
Trang 9Interpretation of Standard 2120
Determining whether risk management processes are effective is a judgment resulting from the internal auditor’s assessment that:
Việc xác định liệu các quy trình quản lý rủi ro có hiệu quả hay không là phán đoán xuất phát từ đánh giá của kiểm toán viên nội bộ rằng:
Organizational objectives support and align with the organization’s mission;
Mục tiêu của tổ chức hỗ trợ và phù hợp với sứ mệnh của tổ chức;
Significant risks are identified and assessed;
Các rủi ro quan trọng được xác định và đánh giá
Appropriate risk responses are selected that align risks with the organization’s risk appetite; and
Các biện pháp đối phó với rủi ro phù hợp được lựa chọn phù hợp với khẩu vị rủi ro của tổ chức; Và
Relevant risk information is and communicated in a timely manner across the organization, enabling staff, management, and the board to carry out their responsibilities
Thông tin rủi ro liên quan được nắm bắt và truyền đạt kịp thời trong toàn tổ chức, giúp nhân viên, ban quản lý và hội đồng quản trị thực hiện trách nhiệm của mình
The internal audit activity may gather the information to support this assessment during multiple engagements The results of these engagements, when viewed together, provide an understanding of the organization’s risk management processes and their effectiveness.Hoạt động kiểm toán nội bộ có thể thu thập thông tin để hỗ trợ đánh giá này trong nhiều lần kiểm toán Kết quả của những cuộc kiểm toán này, khi được xem xét cùng nhau, giúp hiểu rõ về các quy trình quản lý rủi ro của tổ chức và hiệu quả của chúng
Risk management processes are monitored through ongoing management activities, separate evaluations, or both
Các quy trình quản lý rủi ro được giám sát thông qua các hoạt động quản lý đang diễn ra, các đánh giá riêng biệt hoặc cả hai
Internal Audit’s Role in Risk Management
The IIA issued the following Interpretation to clarify internal audit’s role:
Trang 10Implementation Standard 2120.A1
The internal audit activity must evaluate risk relating to the organization’s governance, operations, and information systems regarding the:Hoạt động kiểm toán nội bộ phải đánh giá mức độ rủi ro liên quan đến quản trị, hoạt động và hệ thống thông tin của tổ chức liên quan đếnAchievement of the organization’s strategic objectives;
Đạt được các mục tiêu chiến lược của tổ chức;
Reliability and integrity of financial and operational information;
Độ tin cậy và tính chính trực của thông tin tài chính và hoạt động;
Effectiveness and efficiency of operations and programs;
Hiệu quả và hiệu suất của chương trình và hoạt động;
Safeguarding of assets; and
Bảo vệ tài sản; và
Compliance with laws, regulations, policies, procedures, and contracts
Tuân thủ với Luật, quy định, chính sách, các thủ tục và hợp đồng
Implementation Standard 2120.A2
The internal audit activity must evaluate the potential for the occurrence of fraud and how the organization manages fraud risk
Hoạt động KTNB phải đánh giá khả năng xảy ra rủi ro gian luận và cách thức để quản lý rủi ro đó
Two Implementation Standards for assurance engagements link the assessment of
risk to specific risk areas
Hai Chuẩn mực Thực hiện cho dịch vụ đảm bảo liên kết việc đánh giá rủi ro với các
lĩnh vực rủi ro cụ thể
Trang 116 SU 5: Risk Management
Implementing Standard 2120
To put the previous standards into practice, the CAE and internal auditors should obtain a clear
understanding of the organization’s
Để áp đặt được các tiêu chuẩn vào thực tiễn, CAE và các KTVNB nên có được sự hiểu biết tường tận về:
● Risk appetite
● Khẩu vị rủi ro của tổ chức
● Business missions and objectives
● Mục tiêu và sử mệnh của công ty
● Business strategies
● Chiến lược kinh doanh
● Risks identified by management
● Rủi ro do ban lãnh đạo xác định
■ Risks may be financial, operational, legal or regulatory, or strategic
■ Rủi ro có thể là tài chính, hoạt động, luật pháp và quy định, hoặc chiến lược
● Current risk management environment and prior corrective actions
● Môi trường quản lý rủi ro hiện tại và các hành động khắc phục trước đó
● Means of identifying, assessing, and overseeing risks
● Các biện pháp để xác định, đánh giá và giám sát rủi ro
The CAE should speak with the board and senior management about risk appetite,
risk tolerance, and risk management
CAE nên nói chuyện với hội đồng quản trị và quản lý cấp cao về khẩu vị rủi ro, khả
năng chịu rủi ro và quản lý rủi ro
● After reviewing the strategic plan, business plan, and policies, the CAE may
determine whether strategic objectives align with the mission, vision, and risk
appetite Mid-level managers may give insight into alignment at the business-unit level
● Sau khi xem xét kế hoạch chiến lược, kế hoạch kinh doanh và chính sách, CAE có thểxác định liệu các mục tiêu chiến lược có phù hợp với sứ mệnh, tầm nhìn và khẩu vị rủi ro hay không Các nhà quản lý cấp trung có thể đưa ra cái nhìn sâu sắc về sự liên kết ở cấp đơn vị kinh doanh
Trang 12The internal audit activity
● Alerts management to new risks or inadequately mitigated risks
● Provides recommendations and action plans for risk responses
● Evaluates risk management processes
Hoạt động KTNB
● Cảnh báo cho BQL về những rủi ro mới hoặc những rủi ro được giảm thiểu chưa đầy đủ
● Cung cấp các khuyến nghị và kế hoạch hành động về ứng phó rủi ro
● Đánh giá quy trình quản lý rủi ro
Internal auditors review risk assessments by senior management, external auditors,and regulators The purpose is to learn how the organization identifies, addresses, anddetermines the acceptability of risks
Kiểm toán viên nội bộ xem xét đánh giá rủi ro của quản lý cấp cao, kiểm toán viên bênngoài và cơ quan quản lý Mục đích là để tìm hiểu cách tổ chức xác định, giải quyết vàquyết định khả năng chấp nhận rủi ro
● The responsibilities and risk processes of the board and key managers also are
evaluated
● Trách nhiệm và quy trình xử lý rủi ro của hội đồng quản trị và các nhà quản lý chủ chốt cũng được đánh giá
The internal audit actively performs its own risk assessments
KTVNB chủ động thực hiện các đánh giá rủi ro của chính mình
● The discussions with the board and management permit alignment of
recommended risk responses with the risk appetite
● Các cuộc thảo luận với hội đồng quản trị và ban quản lý cho phép sắp xếp
các cơ chế ứng phó rủi ro được khuyến nghị phù hợp với khẩu vị rủi ro
● An established framework (e.g., COSO or ISO 31000) may be used for risk identification
● Có thể sử dụng một khuôn khổ đã được thiết lập (ví dụ: COSO hoặc ISO 31000) để xác định rủi ro
● (1) New developments in the industry and (2) processes for monitoring, assessing, and responding to risks (or opportunities) may be researched
● (1) Những phát triển mới trong ngành và (2) các quy trình giám sát, đánh giá và ứng phó với rủi ro (hoặc cơ hội) có thể được nghiên cứu
The internal audit activity also should
Trang 13● Monitor all corrective actions.
● Theo dõi tất cả các hành động khắc phục
Trang 14Implementation Standard 2120.C1
During consulting engagements, internal auditors must address risk consistent with the engagement’s objectives and be alert to the existence of other significant risks
Trong quá trình thực hiện hợp đồng tư vấn, kiểm toán viên nội bộ phải giải quyết rủi ro phù hợp với mục tiêu của hợp đồng và cảnh báo với sự tồn tại của các rủi ro đáng kể khác
Implementation Standard 2120.C2
Internal auditors must incorporate knowledge of risks gained from consulting engagements into their evaluation of the organization’s risk management processes
Kiểm toán viên nội bộ phải kết hợp kiến thức về rủi ro thu được từ các cuộc kiểm toán tư vấn vào quá trình đánh giá các quy trình quản lý rủi ro của tổ chức
Để thể hiện sự tuân thủ, điều lệ kiểm toán và kế hoạch kiểm toán là các tài liệu liên quan
Also relevant are minutes of meetings in which the elements of the standard (e.g., recommendations by the internal auditors) were discussed with the board, senior management, task forces, and committees
Các tài liệu liên quan khác là các biên bản cuộc họp trong đó các yếu tố của chuẩn mực (ví dụ: khuyến nghị của kiểm toán viên nội bộ) đã được thảo luận với hội đồng quản trị, quản lý cấp cao, nhóm đặc nhiệm và ủy ban
Internal audit risk assessments and action plans demonstrate evaluation and improvement
Đánh giá rủi ro kiểm toán nội bộ và kế hoạch hành động thể hiện sự đánh giá và cải tiến
Risk Management Considerations for Consulting Engagements Những cân nhắc về quản lý rủi ro với các hợp đồng tư vấn
Three Implementation Standards address the risk management responsibilities of internal auditors when performing consulting engagements
3 chuẩn mực thực hiện trình bày trách nhiệm quản lý rủi ro của KTV nội bộ khi thực hiện dịch vụ kiểm toán tư vấn
Trang 155.2 COSO Framework Enterprise Risk Management (ERM) Overview
8 SU 5: Risk Management
COSO Risk Management Framework
Enterprise Risk Management – Integrating with Strategy and Performance (COSO ERM
framework) is a framework that complements, and incorporates some concepts of, the COSO internal control framework
Quản lý Rủi ro Doanh nghiệp – Tích hợp với Chiến lược và Hiệu suất (Khung COSO ERM)
là một khuôn khổ bổ sung và kết hợp một số khái niệm về khuôn khổ kiểm soát nội bộ COSO
The COSO ERM framework provides a basis for coordinating and integrating all of an organization’s risk management activities Effective integration
Khung COSO ERM cung cấp cơ sở để phối hợp và tích hợp tất cả các hoạt động quản lý rủi ro của một tổ chức Tích hợp hiệu quả
● Improves decision making and
● Enhances performance.
● Cải thiện việc ra quyết định
● Nâng cao hiệu quả
Effective enterprise risk management can
Quản lý rủi ro doanh nghiệp hiệu quả có thể:
● Increase the range of opportunities
● Gia tăng chuỗi cơ hội
● Identify and manage risk entity wide
● Xác định và quản lý rủi ro trên toàn doanh nghiệp
● Increase positive outcomes
● Gia tăng kết quả tích cực
● Reduce performance variability
● Giảm khả năng thay đổi hiệu quả
● Improve resource deployment
● Cải thiện khai thác tài nguyên
● Enhance enterprise resilience
● Nâng cao khả năng thích nghi doanh nghiệp
Trang 16ERM Definition and Concepts (Khái niệm và định nghĩa ERM)
ERM is based on the premise that every organization exists to provide value for its
stakeholders Accordingly, ERM is defined as
ERM dựa trên cơ sở mọi tổ chức tồn tại để cung cấp giá trị cho các bên liên quan
Theo đó, ERM được định nghĩa là
The culture, capabilities , and practices, integrated with strategy-setting and performance,
that organizations rely on to manage risk in creating, preserving , and realizing value.
Văn hóa, khả năng và hoạt động, được tích hợp với việc thiết lập chiến lược và hiệu suất, mà các tổ chức dựa vào để quản lý rủi ro trong việc tạo ra, duy trì và hiện thực hóa giá trị.
Key Concepts (Các khái niệm chính)
Culture consists of “[t]he attitudes, behaviors, and understanding about risk, both
positive and negative, that influence the decisions of management and personnel and reflect the mission, vision, and core values of the organization.”
Văn hóa bao gồm “Thái độ, hành vi và sự hiểu biết về rủi ro, cả tích cực và tiêu cực, ảnh hưởng
đến quyết định của cấp quản lý và cá nhân và tương phản với sứ mệnh, tầm nhìn và giá trị cốt lõi của tổ chức”
● Mission is the organization’s core purpose
● Sứ mệnh là mục tiêu cốt lõi của tổ chức.
● Vision is the organization’s aspirations for what it intends to achieve over time
● Tầm nhìn là khát vọng của tổ chức về những gì tổ chức dự định đạt được theo thời gian.
● Core values are the organization’s essential beliefs about what is acceptable or
unacceptable
● Giá trị cốt lõi là niềm tin cơ bản của tổ chức về những gì được chấp nhận hoặc không được chấp
nhận
Capabilities are the skills needed to carry out the entity’s mission and vision
Năng lực là những kỹ năng cần thiết để thực hiện sứ mệnh và tầm nhìn của tổ chức
Practices are the collective methods used to manage risk
Phương pháp là các phương pháp chung được sử dụng để quản lý rủi ro.
Trang 17SU 5: Risk Management 9
Integrating Strategy Setting and Performance
Tính hợp chiến lược và hoạt động
Risk must be considered in setting strategy, business objectives, performance targets, andtolerance
Rủi ro phải được xem xét trong việc thiết lập chiến lược, mục tiêu kinh doanh, mục tiêu hoạt động và khả năng chịu đựng
● Strategy communicates how the organization will achieve its mission and vision and apply its core values ERM enhances strategy selection
● Chiến lược truyền đạt cách thức tổ chức sẽ đạt được sứ mệnh và tầm nhìn cũng như
áp dụng các giá trị cốt lõi của mình ERM tăng cường lựa chọn chiến lược
● Business objectives are the steps taken to achieve the strategy
● Mục tiêu kinh doanh là các bước thực hiện để đạt được chiến lược.
● Tolerance is the range of acceptable variation in performance results (This term is identical to “risk tolerance” in the COSO internal control framework.)
● Mức độ chịu đựng là phạm vi thay đổi có thể chấp nhận được trong kết quả hoạt
động (Thuật ngữ này giống hệt với “sự chấp nhận rủi ro” trong khuôn khổ kiểm
soát nội bộ của COSO.)
The organization considers the effect of strategy on its risk profile and portfolio view
● Risk profile is a composite view of the types, severity, and interdependencies of risks related to a specific strategy or business objective and their effect on performance.
● Hồ sơ rủi ro là một cái nhìn kết hợp các loại, mức độ nghiêm trọng và sư phụ thuộc lẫnnhau của rủi ro liên quan đến mục tiêu chiến lược và mục tiêu kinh doanh cụ thể và ảnh hưởng của chúng đến hiệu quả
■ A risk profile may be created at any level (e.g., entity, division, operating unit,
or function) or aspect (e.g., product, service, or geography) of the organization
■ Hồ sơ rủi ro có thể được tạo ở các cấp độ (tổ chức, bộ phận, đơn vị kinh doanh,
hoạt động) hoặc các khía cạnh (sản phẩm, dịch vụ, khu vực)
Trang 18Risk Profile
Figure 5-1
● Portfolio view is similar to a risk profile
● Portfolio view cũng tương tự như hồ sơ rủi ro.
■ The difference is that it is a composite view of the risks related to entity-wide strategy and business objectives and their effects on entity performance.
■ Sự khác biệt là nó là một cái nhìn tổng hợp về các rủi ro liên quan đến chiến lược toàn đơn vị và các mục tiêu kinh doanh và tác động của chúng đối với hiệu quả hoạt động của đơn vị
Trang 1910 SU 5: Risk Management
Managing Risk (Quản lý rủi ro)
Risk is “[t]he possibility that events will occur and affect the achievement of strategy and business objectives.”
Rủi ro là “khả năng các sự kiện sẽ xảy ra và ảnh hưởng đến việc đạt được các mục
tiêu chiến lược và kinh doanh.”
Risk inventory consists of all identified risks that affect strategy and business objectives
Danh sách rủi ro bao gồm tất cả các rủi ro đã xác định ảnh hưởng đến mục tiêu chiến
lược và mục tiêu kinh doanh
Risk capacity is the maximum amount of risk the organization can assume
Dung tích rủi ro là mức độ rủi ro tối đa mà tổ chức có thể gánh chịu
Risk appetite consists of the amount and types of risk the organization is willing to
accept in pursuit of value
Khẩu vị rủi ro bao gồm số lượng và loại rủi ro mà tổ chức sẵn sàng chấp nhận để theo
đuổi chuỗi giá trị
Actual residual risk is the risk remaining after taking management actions to alter its severity Actual residual risk should be equal to or less than target residual risk
Rủi ro còn lại thực tế là rủi ro còn lại sau khi thực hiện các hành động quản lý để thay
đổi mức độ nghiêm trọng của nó
Inherent risk is the risk in the absence of management actions to alter its severity
Rủi ro cố hữu là rủi ro khi không có các hành động quản lý để thay đổi mức độ nghiêm
trọng của nó
● Actual residual risk remains after management actions to alter its severity
● Rủi ro còn lại thực tế vẫn còn sau các hành động quản lý để thay đổi mức độ nghiêm trọng của nó
Risk response is an action taken to bring identified risks within the organization’s risk appetite
Cách thức ứng phó rủi ro là một hoạt động để mang cấc rủi ro (đã được xác định) về mức chấp nhận
của doanh nghiệp
● A residual risk profile includes risk responses.
● Hồ sơ rủi ro còn lại bao gồm các ứng phó rủi ro
Target residual risk is the risk the entity prefers to assume knowing that management has acted or will act to alter its severity
Rủi ro còn lại mục tiêu là rủi ro mà tổ chức muốn giả định khi biết rằng ban quản lý
đã hành động hoặc sẽ hành động để thay đổi mức độ nghiêm trọng của nó
Trang 20ERM Roles and Responsibilities (Vai trò và trách nhiệm của ERM)
The board provides risk oversight of ERM culture, capabilities, and practices
However, the board can delegate to the following specialized committees:
HĐQT cung cấp giám sát rủi ro về văn hóa, khả năng và thực tiễn hoạt động quản lý rủi ro (ERM) Tuy nhiên, hội đồng quản trị có thể ủy quyền cho các ủy ban chuyên
trách sau:
● An audit committee (often required by regulators),
● Một ủy ban kiểm toán (thường được yêu cầu bởi cơ quan chức năng),
● A risk committee that directly oversees ERM, and
● Một ủy ban rủi ri giám sát trực tiệp ERM, và
● An executive compensation committee.
● Một ủy ban lương thưởng điều hành
Management has overall responsibility for ERM and is generally responsible for the
● Within management, the CEO has ultimate responsibility for ERM and achievement of
strategy and business objectives
● Trong phạm vi quản lý, CEO có trách nhiệm cuối cùng đối với ERM và việc đạt được các chiến lược và mục tiêu kinh doanh
An organization may designate a risk officer as a centralized coordinating point to
facilitate risk management across the entire enterprise
Một tổ chức có thể chỉ định một giám đốc quản lý rủi ro làm đầu mối điều phối tập trung để hỗ trợ quản lý rủi ro trên toàn doanh nghiệp
Trang 215.3 COSO Framework ERM Components and Limitations
ERM Components (Các thành phần của ERM)
The COSO ERM framework consists of five interrelated components Twenty
principles are distributed among the components
Khung COSO ERM bao gồm năm thành phần có liên quan với nhau Hai mươi
nguyên tắc được phân bổ giữa các thành phần
Figure 5-2
Trang 2212 SU 5: Risk Management
Governance and Culture
Quản trị và Văn hóa
Governance sets the organization’s tone and establishes responsibilities for ERM
Culture relates to the desired behaviors, values, and overall understanding about risk
held by personnel within the organization Five principles relate to governance and
culture
Quản trị thiết lập văn hóa của tổ chức và thiết lập trách nhiệm cho ERM Văn hóa liên quan đến các hành vi, giá trị kỳ vọng và hiểu biết tổng thể về rủi ro của nhân viên trong tổ chức Năm nguyên tắc liên quan đến quản trị và văn hóa
1 The board exercises risk oversight.
HĐQT thực hiện giám sát rủi ro
■ The full board ordinarily is responsible for risk oversight However, the board may
delegate risk oversight to a board committee, such as a risk committee.
■ Toàn bộ HĐQT thường chịu trách nhiệm giám sát rủi ro Tuy nhiên, hội đồng quản trị có thể ủy quyền giám sát rủi ro cho một ủy ban của hội đồng quản trị, chẳng hạn như ủy ban rủi ro
► Management generally has day-to-day responsibility for managing performanceand risks taken to achieve strategy and business objectives
► Ban quản lý nói chung có trách nhiệm hàng ngày trong việc quản lý hiệu quả và rủi ro để
đạt được chiến lược và mục tiêu kinh doanh
2 The organization establishes operating structures.
Tổ chức thiết lập các cơ chế hoạt động
■ They describe how the entity is organized and carries out its day-to-day operations
■ Cơ chế hoạt động mô tả cách doanh nghiệp tổ chức và thực hiện hoạt động hằng ngày
■ They generally are aligned with the entity’s legal structure and management structure
■ Chúng nhìn chung phù hợp với các cơ chế quản lý và cấu trúc pháp lý của đơn vị
► The legal structure determines how the entity operates (e.g., as a single legal
entity or as multiple, distinct legal entities)
► Cấu trúc pháp lý xác định cách tổ chức hoạt động (VD: như một tổ chức đơn lẻ,hoặc nhiều thực thể pháp lý riêng biệt)
► The management structure establishes reporting lines (e.g., direct reporting
versus secondary reporting), roles, and responsibilities Management is
responsible for clearly defining roles and responsibilities
► Cơ cấu quản lý thiết lập các dòng báo cáo (ví dụ: báo cáo trực tiếp so với
báo cáo thứ cấp), vai trò và trách nhiệm Ban lãnh đạo có trách nhiệm xác
định rõ ràng vai trò và trách nhiệm
Trang 233 The organization defines the desired culture.
Tổ chức xác định văn hóa mong muốn
■ The board and management are responsible for defining culture
■ HĐQT và BQL chịu trách nhiệm xác định văn hóa
■ Culture is shaped by internal and external factors
■ Văn hóa được hình thành bởi các yếu tố bên trong và bên ngoài
► Internal factors include (1) the level of judgment and autonomy allowed to
personnel,
(2) standards and rules, and (3) the reward system in place
Các yếu tố bên trong bao gồm: mức độ quyết định và quyền tự quyết được cho phép của nhân viên, (2) tiêu chuẩn và quy tắc (3) Hệ thống khen thưởng áp dụng
► External factors include (1) legal requirements and (2) expectations of
stakeholders (e.g., customers and investors)
► Các yếu tố bên ngoài bao gồm (1) các quy định pháp luật (2) Kỳ vọng của các bên liên quan (khách hàng và nhà đầu tư)
■ Culture is not static and will change over time
4 The organization demonstrates commitment to core values.
Tổ chức thể hiện cam kết với các giá trị cốt lõi
5 The organization attracts, develops, and retains capable individuals
Tổ chức thu hút, phát triển và giữ chân những các nhân có năng lực