This study unit is the third of four covering Domain V: Governance, Risk Management, and Control from The IIA’s CIA Exam Syllabus. This domain makes up 35% of Part 1 of the CIA exam and is tested at the basic and proficient cognitive levels. The four study units are ● Study Unit 4: Governance ● Study Unit 5: Risk Management ● Study Unit 6: Controls: Types and Frameworks ● Study Unit 7: Controls: Application The learning objectives of Study Unit 6 are ● Interpret internal control concepts and types of controls3 ● Trình bày các khái niệm về Kiểm soát nội và và các loại kiểm soát. ● Apply globally accepted internal control frameworks appropriate to the organization (COSO, etc.) ● Ứng dụng các khung thực hành kiểm soát nội bộ được chấp nhận toàn cầu phù hợp với tổ chức (COSO,…) ● Examine the effectiveness and efficiency of internal controls ● Đánh giá hiệu quả và hiệu suất của KTNB.
Trang 1Controls: Types and Frameworks
6.1
6.2
6.3
21023
31
Study Unit Six
This study unit is the third of four covering Domain V: Governance, Risk Management, and Control
from The IIA’s CIA Exam Syllabus This domain makes up 35% of Part 1 of the CIA exam and is
tested at the basic and proficient cognitive levels The four study units are
● Study Unit 4: Governance
● Study Unit 5: Risk Management
● Study Unit 6: Controls: Types and Frameworks
● Study Unit 7: Controls: Application
The learning objectives of Study Unit 6 are
● Interpret internal control concepts and types of controls3
● Trình bày các khái niệm về Kiểm soát nội và và các loại kiểm soát
● Apply globally accepted internal control frameworks appropriate to the organization (COSO, etc.)
● Ứng dụng các khung thực hành kiểm soát nội bộ được chấp nhận toàn cầu phù hợp với tổ chức(COSO,…)
● Examine the effectiveness and efficiency of internal controls
● Đánh giá hiệu quả và hiệu suất của KTNB
Trang 2Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com
Control activities are the policies and procedures that help ensure that management directives arecarried out Whether automated or manual, they have various objectives and are applied at variouslevels Relevant controls ordinarily address the entity’s objectives related to the preparation of fairlypresented financial statements, including management of risks of material misstatements
Hoạt động KTNB là các chính sách và thủ tục giúp đảm bảo các chỉ thị quản lý được thực hiện Dù tựđộng hay thủ công, chúng đều có các mục tiêu khác nhau và được áp dụng ở các mức độ khác nhau.Các kiểm soát thích hợp thường giải quyết các mục tiêu liên quan đến việc lập BCTC được trình bàyhợp lý, bao gồm cả việc quản lý rủi ro có sai sót trọng yếu
Effective controls assist with, but are not limited to, the safeguarding of assets, reliability of financialreporting, effectiveness and efficiency of operations, and compliance with applicable laws andregulations
Các biện pháp kiểm soát hiệu quả hỗ trợ, nhưng không giới hạn ở việc bảo vệ tài sản, độ tin cậy củabáo cáo tài chính, hiệu lực và hiệu quả của hoạt động cũng như tuân thủ luật pháp và quy định hiệnhành
Trang 36.1 Overview of Control Tổng quan về Kiểm soát nội bộ
2 SU 6: Controls: Types and Frameworks
Success Tip
Many questions on the CIA exam address controls Few such questions are answerable based onmemorization Moreover, no study aid can feasibly present comprehensive lists of procedures Thus,candidates must be able to apply reasoning processes and knowledge of auditing concepts tounfamiliar situations involving controls By answering our questions, you will be able to synthesize,understand, and apply internal control theory to scenarios on the CIA exam
Nhiều câu hỏi trong kỳ thi CIA trình bày về KSNB Rất ít câu hỏi như vậy có thể trả lời được dựa trên
sự ghi nhớ Hơn nữa, không có công cụ hỗ trợ học tập nào có thể trình bày một cách khả thi danhsách các đầy đủ các thủ tục Do đó, các ứng viên phải có khả năng áp dụng các quy trình và kiến thứcmột cách có logic về các ý tưởng kiểm toán với các tình huống không thân thuộc liên quan đến cáckiểm soát Bằng việc trả lời các câu hỏi của chúng tôi, bạn sẽ có khả năng tổng hợp, hiểu và áp dụngcác lý thuyết kiểm soát nội bộ vào các tình huống trong bài kiểm tra CIA
Control Definitions from The IIA Glossary
Định nghĩa kiểm soát theo Từ điển IIA
Control is “any action taken by management, the board, and other parties to manage risk and
increase the likelihood that established objectives and goals will be achieved Management plans,organizes, and directs the performance of sufficient actions to provide reasonable assurance thatobjectives and goals will be achieved.”
Kiểm soát là “bất kỳ hành động nào được thực hiện bởi ban quản lý, hội đồng quản trị và các bên
khác để quản lý rủi ro và gia tăng khả năng đạt được các mục tiêu và mục đích đã thiết lập Ban quản
lý lập kế hoạch, tổ chức và chỉ đạo việc thực hiện các hành động thích hợp để cung cấp sự đảm bảohợp lý rằng các mục tiêu và mục đích sẽ đạt được.”
Control processes are “the policies, procedures (both manual and automated), and activities that are
part of a control framework, designed and operated to ensure that risks are contained within the levelthat an organization is willing to accept.”
Các quy trình kiểm soát là “các chính sách, thủ tục (cả thủ công và tự động) và các hoạt động là một
phần của khung kiểm soát, được thiết kế và vận hành để đảm bảo rằng các rủi ro được bao hàmtrong mức độ mà một tổ chức sẵn sàng chấp nhận.”
Trang 4Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com
Control environment is “[t]he attitude and actions of the board and management regarding the
importance of control within the organization The control environment provides the discipline andstructure for the achievement of the primary objectives of the system of internal control The controlenvironment includes the following elements:
Môi trường kiểm soát là “thái độ và hành động của hội đồng quản trị và ban quản lý liên quan đến
tầm quan trọng của kiểm soát trong tổ chức Môi trường kiểm soát cung cấp các nguyên tắc và cơ chế
để đạt được các mục tiêu chính của hệ thống kiểm soát nội bộ Môi trường kiểm soát bao gồm cácyếu tố sau:
● Integrity and ethical values
● Tính chính trực và các giá trị đạo đức
● Management’s philosophy and operating style
● Triết lý và phong cách điều hành của ban quản lý
● Organizational structure
● Sơ đồ tổ chức
● Assignment of authority and responsibility
● Phân công quyền hạn và trách nhiệm
● Human resource policies and practices
● Các chính sách và hoạt động quản lý nhân sự
● Competence of personnel”
● Năng lực của nhân viên.”
Trang 5SU 6: Controls: Types and Frameworks 3
The Control Process (Quy trình kiểm soát)
Control requires feedback on the results of organizational activities for the purposes of measurementand correction
Kiểm soát yêu cầu các thông tin phản hồi về kết quả của các hoạt động của tổ chức nhằm mục đích
đo lường và điều chỉnh
The control process includes the following:
Figure 6-1The control process includes the following:
1 Establishing standards for the operation to be controlled
2 Measuring performance against the standards
3 Examining and analyzing deviations
4 Taking corrective action
5 Reappraising the standards based on experience
1 Xây dựng tiêu chuẩn cho các hoạt động được kiểm soát
2 Đo lường hiệu quả so với các tiêu chuẩn
3 Kiểm tra và phân tích các sai lệch
4 Thực hiện các hành động khắc phục
5 Đánh giá lại tiêu chuẩn dựa trên kinh nghiệm
Trang 6Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com
An evaluation-reward system should be implemented to encourage compliance with the controlsystem
Một hệ thống đánh giá khen thưởng nên được thực hiện để khuyến khích việc tuân thr hệ thốngKSNB
Internal control only provides reasonable assurance of achieving objectives It cannot provide absoluteassurance because any system of internal control has the following inherent limitations:
Kiểm soát nội bộ chỉ cung cấp sự đảm bảo hợp lý để đạt được các mục tiêu Nó không thể cung cấp
sự đảm bảo tuyệt đối vì bất kỳ hệ thống kiểm soát nội bộ nào cũng có những hạn chế cố hữu sau:
● Human judgment is faulty, and controls may fail because of simple errors or mistakes.
● Khả năng phán đoán của con người bị sai, và các kiểm soát có thể bị sau vì các lỗi hoặc sai sót
đơn giản
● Management may inappropriately override internal controls, e.g., to fraudulently achieve revenue
projections or hide liabilities
● BQL có thể áp đặt các biện pháp kiểm soát nội bộ một cách không thích hợp để đạt được gian lận
các kế hoạch doanh thu hoặc che giấu các trách nhiệm pháp lý
● Manual or automated controls can be circumvented by collusion.
● Các biện pháp kiểm soát tự động hoặc thủ công có được tránh né bằng cách thông đồng
● The cost of internal control must not be greater than its benefits.
● Chi phí cho kiểm soát nội bộ có thể lớn hơn lợi ích
Trang 74 SU 6: Controls: Types and Frameworks
Characteristics of Automated Processing (Đặc điểm của xử lý tự động)
The use of computers in business information systems has fundamental effects on the nature ofbusiness transacted, the procedures followed, the risks incurred, and the methods of mitigating thoserisks
Việc sử dụng máy tính trong hệ thống thông tin doanh nghiệp có ảnh hưởng cơ bản đến bản chất củacác giao dịch kinh doanh, các thủ tục liên quan, các rủi ro phát sinh và các phương pháp giảm thiểucác rủi ro đó
● These effects result from the characteristics that distinguish computer-based from manualprocessing
● Những ảnh hưởng này là kết quả của các đặc điểm phân biệt xử lý dựa trên máy tính với xử lý thủcông
Audit Trails (Dấu vết kiểm toán)
An audit trail is a record by which accounting measurements, details of a trade, or other financial datacan be traced back to its source Audit trails can be used to verify and track transactions For example,
a transaction processing system can trace a purchase back to a copy of the purchase order to seewhen the items were ordered and who authorized the order
Dấu vết kiểm toán là một bản ghi chép các đo lường kế toán, các bước chi tiết của một giao dịch hoặccác dữ liệu tài chính khác có thể truy ngược lại nguồn gốc của nó Dấu vế kiểm toán có thể được sửdụng để xác minh và truy vết các giao dịch Ví dụ, một hệ thống xử lý các giao dịch có thể truy vết việcmua hàng với một bản sao của đơn đặt hàng để xem thời gian các mặt hàng được order và ai đã phêduyệt đơn đặt hàng
● A complete trail useful for audit and other purposes might exist for only a short time or only incomputer-readable form
● Một dấu vết hoàn chỉnh hữu ích cho kiểm toán và các mục đích khác có thể chỉ tồn tại một thờigian ngắn hoặc ở dạng máy tính có thể đọc được
● The nature of the trail is often dependent on the transaction processing mode For example,transactions may be batched prior to processing or processed immediately as they happen
● Bản chất của các dấu vết thường phụ thuộc vào cách thức xử lý các giao dịch Ví dụ, các giao dịch
có thể được xử lý theo lô trước các giao dịch chi tiết hoặc xử lý ngay lập tức khi giao dịch phátsinh
Trang 8Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com
Uniform Processing of Transactions (Xử lý thống nhất các giao dịch)
Computer processing uniformly subjects similar transactions to the same processing instructions andthus virtually eliminates clerical error
Máy tính xử lý đồng thống nhất các giao dich theo cùng hướng dẫn xử lý và do đó hầu như loại bỏlỗi văn thư
● But programming errors (or other similar systematic errors in either the hardware or software) willresult in all similar transactions being processed incorrectly when they are processed under thesame conditions
● Nhưng lỗi chương trình (hoặc các lỗi hệ thống tương tự khác trong phần cứng hoặc phần mềm) sẽdẫn đến việc tất cả các giao dịch tương tự bị xử lý không chính xác khi chúng được xử lý trongcùng một điều kiện
For any given transaction, certain functions should be performed by separate individuals in differentparts of the organization
Đối với bất kỳ giao dịch nhất định nào, các chức năng nhất định phải được thực hiện bởi các cá nhânriêng biệt ở các bộ phận khác nhau của tổ chức
The internal control system is designed to detect fraud by one person but not fraud by collusion ormanagement override
Hệ thống kiểm soát nội bộ được thiết kế để phát hiện gian lận do một người thực hiện chứ không pháthiện gian lận do thông đồng hoặc ban quản lý chi phối
Trang 9Receiving cash, issuing a receipt to a payor, preparing a , and preparing a journal entry may once have been performed by separate individuals In a computer-based system, the receipt, deposit slip, and journal entry may be automatically d by the computer If the same employee who receives the cash is also responsible for entering the relevant data into the system, the potential for fraud or error is increased To mitigate this concern, other controls are added to lower the risk of error or fraud resulting in a similar overall risk that was prevalent before the switch to computer-based systems.
Nhận tiền mặt, phát hành biên lai cho người trả tiền, chuẩn bị một phiếu gửi tiền vào ngân hàng, và chuẩn bị ghi sổ nhật ký có thể từng được thực hiện bởi các cá nhân riêng biệt Một hệ thống dựa trên máy tính, biên lai, phiếu gửi tiền và ghi nhật ký có thể tạo tự động bởi máy tính Nếu cùng một nhân viên nhận tiền cũng chịu trách nhiệm nhập dữ liệu liên quan vào hệ thống, khả năng gian lận hoặc sai sót sẽ tăng lên Để giảm thiểu lo ngại này, các biện pháp kiểm soát khác được thêm vào để giảm rủi ro sai sót hoặc gian lận dẫn đến rủi ro tổng thể tương tự phổ biến trước khi chuyển sang hệ thống dựa trên máy tính
Computer-Generated Documents Example 6-1
Segregation of Functions: Computer-Based Systems
Sự phân chia chức năng: Các hệ thống dựa trên máy tính
Many controls once performed by separate individuals may be concentrated in computer systems
Thus, an individual who has access to the computer may perform incompatible functions
Nhiểu kiểm soát từng được thực hiện bởi các cá nhân riêng biệt có thể được tập trung trong hệ thống
máy tính
● As a result, other controls may be necessary to achieve the control objectives ordinarily
accomplished by segregation of functions
● Kết quả là, các biện pháp kiểm soát khác có thể cần thiết để đạt được các mục tiêu kiểm soát
thường được hoàn thành bằng cách tách biệt các chức năng
Trang 10EDI is the communication of electronic documents directly from a computer in one entity to a computer in another entity EDI eliminates the paper documents, both internal and external, that are the traditional basis for many audit procedures.
Trao đổi dữ liệu điện tử là cách thức truyền thông tin tài liệu điện tử từ một máy tính ở đơn vị này tới một máy tính ở đơn vị khác Trao đổi dữ liệu điện tử loại bỏ các tài liệu giấy tờ, cả bên trong và bên ngoài, là cơ sở truyền thống cho nhiều thủ tục kiểm toán
An enterprise resource planning system (ERP) at a manufacturing company may automatically generate a purchase order when materials inventory reaches a certain level If the company shares an EDI system with the vendor, the purchase order may be sent to the vendor without any human
Một hệ thống hoạch định nguồn lực doanh nghiệp của một công ty sản xuất có thể tạo tự động một đơn đặt hàng khi tồn kho nguyên vật liệu đạt đén một mức độ nhất định Nếu công ty chia sẻ một hệ thống trao đổi dữ liệu điện tử đến các nhà cung cấp, đơn đặt hàng có thể được gửi tới các NCC bằng phương thức điện tử mà không có bất kỳ sự can thiệp nào của con người
Purchase Orders in an Electronic Data Interchange (EDI) System Đơn đặt hàng trong hệ thống trao đổi dữ liệu điện tử
d Example 6-2
Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com
Potential for Errors and Fraud (Khả năng xảy ra sai sót và gian lận)
The potential for individuals, including those performing control procedures, to gain unauthorized
access to data, to alter data without visible evidence, or to gain access (direct or indirect) to assets
may be greater in computer systems
Khả năng các cá nhân, bao gồm cả những người thực hiện các thủ tục kiểm soát, đạt được quyền
truy cập trái phép vào dữ liệu, để thay đổi dữ liệu mà không có bằng chứng rõ ràng, hoặc đạt được
quyền truy cập vào các tài sản có thể lớn hơn trong các hệ thống máy tính
Decreased human involvement in handling transactions can reduce the potential for errors and fraud
resulting from human observation On the other hand, errors or fraud in the design or changing of
application programs can remain undetected for a long time
Giảm sự tham gia của con người trong việc xử lý các giao dịch có thể giảm thiểu khả năng xảy ra các
gian lận và sai sót xuất phát từ sự giám sát của con người Mặt khác, các lỗi hoặc gian lận trong việc
thiết kế hoặc thay đổi các chương trình ứng dụng có thể không bị phát hiện trong một thời gian dài
Trang 116 SU 6: Controls: Types and Frameworks
Potential for Increased Management Supervision
(Khả năng nâng cao giám sát quản lý)
Computer systems offer management many analytical tools for review and supervision of operations These additional controls may enhance internal control
Hệ thống máy tính cung cấp cho ban quản lý nhiều công cụ phân tích để xem xét và giám sát các hoạtđộng Những kiểm soát bổ sung này có thể tăng cường kiểm soát nội bộ
● Traditional comparisons of actual and budgeted operating ratios and reconciliation s of accounts are often available for review on a more timely basis
● Các so sánh truyền thống giữa tỷ lệ sử dụng hoạt động ngân sách thực tế và đối chiều tài khoản thường có sẵn để xem xét kịp thời
● Furthermore, some programmed applications provide statistics regarding computer operations that may be used to monitor actual processing
● Hơn nữa, một số ứng dụng được lập trình cung cấp các số liệu thống kê về các hoạt động máy tính
có thể được sử dụng để giám sát quá trình xử lý thực tế
Bắt đầu hoặc thực hiện các giao dịch sau đó bằng máy tính
Certain transactions may be automatically initiated or certain procedures required to execute atransaction may be automatically performed by a computer system
Các giao dịch nhất định có thể bắt đầu được tự động hóa hoặc các thủ tục được yêu cầu để thực hiệnmột giao dịch có thể được thực hiện bởi hệ thống máy tính
● The authorization of these transactions or procedures may not be documented in the same way asthose in a manual system Accordingly, management’s authorization may be implicit in itsacceptance of the design of the system
● Việc cấp phép cho các giao dịch hoặc thủ tục này có thể không ban hành thành tài liệu theo cách thủ công Theo đó, sự cho phép của BQL có thể ngầm hiểu cho việc chấp nhận thiết kế hệ thống
Dependence of Controls in Other Areas on Controls over Computer
Trang 12Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com
● The effectiveness of these controls can be dependent on the effectiveness of controls over thecompleteness and accuracy of computer processing The effectiveness of a manual review of acomputer-produced exception listing is dependent on the controls over the production of the listing
● Hiệu quả của các biện pháp kiểm soát này có thể phụ thuộc vào hiệu quả của các biện pháp kiểmsoát đối với tính đầy đủ và chính xác của quá trình xử lý bằng máy tính Hiệu quả của việc xem xétthủ công danh sách ngoại lệ do máy tính tạo ra phụ thuộc vào các biện pháp kiểm soát đối với việctạo ra danh sách đó
Computer-produced exception listing là một danh sách được tạo ra bởi máy tính hiển thịthông tin về các ngoại lệ (exceptions) đã xảy ra trong quá trình thực thi một chương trìnhmáy tính Khi một chương trình gặp phải một ngoại lệ, máy tính sẽ tạo ra một báo cáo chitiết về ngoại lệ đó, bao gồm thông tin về vị trí xảy ra, mã lỗi, nguyên nhân và các thôngtin liên quan khác Exception listing có thể giúp nhà phát triển và quản trị viên hệ thốngphân tích và gỡ lỗi chương trình để tìm ra nguyên nhân gây ra ngoại lệ và sửa chữachương trình
Trang 13SU 6: Controls: Types and Frameworks 7
Manual Controls (Human Action) vs Automated Controls (Electronic Action)
Kiểm soát thủ công (Hành động của con người) so với Kiểm soát tự động (Hành động điện tử)
Manual controls (such as bank reconciliations or sign-offs on hard copy or electronic documents) may
be more suitable where judgment and discretion are required, such as
Các kiểm soát thủ công (chẳng hạn như đối chiếu số dư ngân hàng hoặc phê duyệt trên tài liệu cứnghoặc tài liệu điện tử) có thể phù hợp hơn khi cần có sự đánh giá và hành động thận trọng, chẳng hạnnhư:
● For large, unusual, or nonrecurring transactions;
● Đối với các giao dịch lớn, bất thường và không hay xảy ra;
● For circumstances where misstatements are difficult to define, anticipate, or predict;
● Đối với các trường hợp khó xác định, lường trước hoặc dự đoán sai sót;
● In changing circumstances that require a control response outside the scope of an existingautomated control; and
● Trong các tình huống thay đổi đòi hỏi phải có phản ứng kiểm soát nằm ngoài phạm vi kiểm soát tựđộng hiện có; Và
● In monitoring the effectiveness of automated controls
● Trong việc giám sát hiệu quả của các kiểm soát tự động
Automated controls are suitable for
Các kiểm soát tự động phù hợp với
● High-volume transactions that require additional calculations
● Giao dịch khối lượng lớn yêu cầu các tính toán đặc biệt
● Routine errors that can be predicted and corrected
● Các lỗi thông thường có thể dự đoán và sửa chữa
● Circumstances that require a high degree of accuracy
● Các tình huống yêu cầu độ chính xác cao
Trang 14Performance Standard 2130 Control
The internal audit activity must assist the organization in maintaining effective controls by evaluating their effectiveness and efficiency and by promoting continuous improvement
Hoạt động kiểm toán nội bộ phải hỗ trợ tổ chức trong việc duy trì các biện pháp kiểm soát hiệu quả bằng cách đánh giá hiệu lực và hiệu quả của chúng và bằng cách thúc đẩy cải tiến liên tục
Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com
8 SU 6: Controls: Types and Frameworks
Roles of Internal Auditors in Control
Vai trò của Kiểm toán viên nội bộ trong kiểm soát
Implementation Standard 2130.A1
The internal audit activity must evaluate the adequacy and effectiveness of controls in responding to risks within
the organization’s governance, operations, and information systems regarding the:
Hoạt động kiểm toán nội bộ phải đánh giá tính đầy đủ và hiệu quả của các biện pháp kiểm soát trong việc ứng
phó với các rủi ro trong quản trị, hoạt động và hệ thống thông tin của tổ chức liên quan đến:
● Achievement of the organization’s strategic objectives
● Việc đạt được các mục tiêu chiến lược của tổ chức
● Reliability and integrity of financial and operational information
● Độ tin cậy và minh bạch của thông tin tài chính và hoạt động
● Effectiveness and efficiency of operations and programs
● Hiệu quả và hiệu suất của các chương trình và hoạt động
● Safeguarding of assets
● Các biện pháp bảo vệ tài sản
● Compliance with laws, regulations, policies, procedures, and contracts
● Sự tuân thủ với hợp động, thủ tục, chính sách, quy định và luật
Implementation Standard 2130.C1
Internal auditors must incorporate knowledge of controls gained from consulting engagements into evaluation of
the organization’s control processes
Các KTVNB phải kết hợp các kiến thức về kiểm soát đạt được từ các cuộc kiểm toán tư vấn vào việc đánh giá
chương trình kiểm soát của tổ chức
Implementation Standard 2210.A3
Adequate criteria are needed to evaluate governance, risk management, and controls Internal auditors must
ascertain the extent to which management and/or the board has established adequate criteria to determine
whether objectives and goals have been accomplished If adequate, internal auditors must use such criteria in
their evaluation If inadequate, internal auditors must identify appropriate evaluation criteria through discussion
with management and/or the board
Cần có các tiêu chí đầy đủ để đánh giá các kiểm soát, quản lý rủi ro, quản trị Các KTVNB phải xác định chắc
chắn các mức độ mà BQL và HĐQT thiết lập đầy đủ các tiêu chí để xác định liệu các mục đích và mục tiêu có
đạt được hay không? Nếu đầy đủ, kiểm toán viên nội bộ phải sử dụng các tiêu chí đó trong đánh giá của họ
Nếu không đầy đủ, kiểm toán viên nội bộ phải xác định các tiêu chí đánh giá phù hợp thông qua thảo luận với
ban quản lý và/hoặc hội đồng quản trị
Controls mitigate risks at the entity, activity, and transaction levels The roles and responsibilities are
Trang 15● Quản lý cấp cao giám sát việc thiết lập, quản lý và đánh giá hệ thống kiểm soát.
● Managers assess controls within their responsibilities.
● Các nhà quản lý đánh giá các biện pháp kiểm soát trong phạm vi trách nhiệm của họ
● The internal auditors provide assurance about the effectiveness of existing controls.
● Các KTVNB cung cấp các đảm bảo về tính hiệu quả của các biện pháp kiểm soát đang hiện hữu
Trang 16Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com
In fulfilling their responsibilities, internal auditors should
Trong việc thực hiện trách nhiệm của mình, KTV nội bộ nên:
● Clearly understand control and typical control processes
● Hiểu rõ về kiểm soát và các quy trình kiểm soát điển hình
● Consider risk appetite, risk tolerance, and risk culture
● Xem xét khẩu vị rủi ro, khả năng hứng chịu rủi ro và văn hóa rủi ro
● Understand the critical risks that could prevent reaching objectives
● Hiểu những rủi ro trọng yếu có thể ngăn cản khả năng đạt được mục tiêu
● Understand the controls that mitigate risks
● Nắm rõ các biện pháp kiểm soát giảm thiểu rủi ro
● Understand the control framework(s) used
● Nẵm được khung kiểm soát được sử dụng
● Have a process for planning, auditing, and reporting control problems
● Có một chu trình cho việc lên kế hoạch, kiểm toán và báo cáo về các vấn đề kiểm soát
Evaluating the Effectiveness of Controls
Đánh giá hiệu quả của các biện pháp kiểm soát
Controls should be assessed relative to risks at each level A risk and control matrix (Figure 6-2 in
Subunit 6.2 on page 19) may be useful to
Các biện pháp kiểm soát cần được đánh giá tương ứng với các rủi ro ở mỗi cấp độ Ma trận rủi ro vàkiểm soát có thể hữu ích để
● Identify objectives and related risks
● Xác định mục tiêu và các rủi ro liên quan
● Determine the significance of risks (impact and likelihood)
● Xác định tầm ảnh hưởng của rủi ro (tác động và khả năng xảy ra)
● Determine responses to the significant risks (for example, accept, pursue, transfer, mitigate, oravoid)
● Xác định các biện pháp ứng phó với các rủi ro quan trọng (ví dụ : chấp nhận, theo đuổi, chuyểngiao, giảm thiểu hoặc tránh)
● Determine key management controls
● Xác định các biện pháp kiểm soát chính
● Evaluate the adequacy of control design
● Đánh giá tính đầy đủ của việc thiết kế các kiểm soát
Trang 17● Test adequately designed controls to ascertain whether they have been implemented and areoperating effectively.
● Kiểm tra các biện pháp kiểm soát được thiết kế phù hợp để xác định xem chúng đã được triển khai
và vận hành hiệu quả hay chưa
Evaluating the Efficiency of Controls
Đánh giá hiệu quả của các biện pháp kiểm soát
The internal auditors consider whether management monitors the costs and benefits of control The
issue is whether resources used exceed the benefits and controls create significant issues (forexample, error, delay, or duplication of effort)
Kiểm toán viên nội bộ xem xét liệu ban quản lý có giám sát chi phí và lợi ích của việc kiểm soát haykhông Vấn đề là liệu các nguồn lực được sử dụng có vượt quá lợi ích hay không và các biện phápkiểm soát có tạo ra các vấn đề lớn hay không (ví dụ: lỗi, chậm trễ hoặc trùng lặp nỗ lực)
The level of a control should be appropriate to the relevant risk
Các cấp độ kiểm soát nên phù hợp với các rủi ro liên quan
Promoting Continuous Improvement
Thúc đẩy các cải tiến liên tục
The CAE may recommend a control framework if none exists The internal audit activity also may recommend improvements in the control environment (for example, the tone at the top should
promote an ethical culture and not tolerate noncompliance)
CAE nên khuyến nghị một khung kiểm soát nếu doanh nghiệp không có Hoạt động KTNB cũngkhuyến nghị cải tiến môi trường kiểm soát (Ví dụ: văn hóa doanh nghiệp nên thúc đẩy một văn hóađạo đức và không chấp nhận việc không tuân thủ)
Continuous improvement of controls involves
Việc cải tiến liên tục các biện pháp kiểm soát bao gồm
● Training and ongoing self-monitoring
● Đào tạo và tự giám sát liên tục
● Control (or risk and control) assessment meetings with managers
● Các cuộc họp đánh giá kiểm soát (hoặc rủi ro và kiểm soát) với các nhà quản lý
● A logical structure for documentation, analysis, and assessment of design and operation
● Một cơ chế phù hợp cho việc ghi nhận, phân tich và đánh giá việc thiết kế và vận hành hệ thốngKSNB
● Identification, evaluation, and correction of control weaknesses
● Xác định, đánh giá và khắc phục các kiểm soát yếu kém
● Informing managers about new issues, laws, and regulations
● Thông tin tới các quản lý về các vấn đề, luật, quy định mới
● Monitoring relevant technical developments (Implementation Guide 2130)
● Giám sát các phát triển kỹ thuật liên quan
Trang 18Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com
10 SU 6: Controls: Types and Frameworks
Primary Controls (Các kiểm soát chính)
Preventive controls deter the occurrence of unwanted events.
Kiểm soát phòng ngừa ngăn chặn sự xuất hiện của các sự kiện không mong muốn.
● Storing petty cash in a locked safe and segregating duties, e.g., using a lockbox system, are
■ Thiết kế cơ sở dữ liệu sao cho người dùng không thể nhập một chữ cái vào trường lưu trữ các
số liệu An Ninh, Xã hội
■ Requiring the number of invoices in a batch to be entered before processing begins
■ Yêu cầu nhập số lượng hóa đơn trong một lô trước khi bắt đầu xử lý
Detective controls alert the proper people after an unwanted event They are effective when
detection occurs before material harm occurs
Kiểm soát phát hiện cảnh báo những người thích hợp sau một sự kiện không mong muốn
Chúng có hiệu quả khi phát hiện các sự cố trước khi thiệt hại vật chất xảy ra
Trang 19Corrective controls correct the negative effects of unwanted events.
Kiểm soát khắc phục khắc phục các tác động tiêu cực của các sự kiện không mong muốn
● An example is a requirement that all cost variances over a certain amount be justified
● Một ví dụ là tất cả các khoản chênh lệch chi phí vượt một số tiền nhất định cần phải được chứngminh là đúng
Directive controls cause or encourage the occurrence of a desirable event These include thefollowing:
Kiểm soát hướng dẫn tạo ra hoặc khuyến khích sự xuất hiện của một sự kiện mong muốn Chúng
bao gồm những điều sau đây:
● Policy and procedure manuals
Trang 20Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com
Secondary Controls (Kiểm soát phụ)
A secondary control offsets the absence of a key control and acts as a fallback control
Một kiểm soát phụ bù đắp cho việc không có kiểm soát chính và hoạt động như một kiểm soát dựphòng
Compensating (mitigative) controls are likely to be established when segregation of duties is not
maintained and/or primary controls are ineffective Compensating controls may include (1) moresupervision or (2) owner involvement in the process
Các biện pháp kiểm soát bù (giảm thiểu) có thể được thiết lập khi sự phân chia trách nhiệm khôngđược duy trì và/hoặc các biện pháp kiểm soát chính không hiệu quả Các biện pháp kiểm soát đền bù
có thể bao gồm (1) giám sát nhiều hơn hoặc (2) sự tham gia của chủ sở hữu vào quy trình
● Compensating controls do not, by themselves, reduce risk to an acceptable level
● Bản thân các biện pháp kiểm soát bù không làm giảm rủi ro xuống mức có thể chấp nhận được
Example 6-4 Compensating Controls in a Cash Sale Environment
The cash sales process often lacks the segregation of duties necessary for the proper framework of control Forexample, the sales clerk often
Quy trình bán hàng thu tiền mặt thường thiếu sự phân chia nhiệm vụ cần thiết cho khung kiểm soát phù hợp Ví
dụ nhân viên bán hàng thường
● Authorizes the sale (e.g., acceptance of a check),
● Phê duyệt việc bán hàng
● Records the sale (i.e., enters it on the sales terminal), and
● Ghi nhận việc bán hàng
● Has custody of the assets related to the sale (i.e., cash and inventory)
● Được quyền quản lý tài sản liên quan đến việc bán hàng (tiền, hàng tồn kho)
Compensating controls include
Kiểm soát bù bao gồm:
● Use of a cash register or sales terminal to record the sale The terminal makes a permanent record of theevent that the clerk cannot erase
● Sử dụng máy tính tiền hoặc máy quẹt thẻ để ghi lại việc bán hàng Thiết bị này tạo ra một bản ghi vĩnh viễn
về sự kiện mà nhân viên bán hàng không thể xóa
● Assignment of one clerk to be responsible for sales recording and cash receipts during a work period Thecash drawer can be reconciled with the record of sales and accountability assigned to the clerk
● Phân công một nhân viên chịu trách nhiệm ghi nhận doanh thu và thu tiền trong thời gian làm việc Ngăn kéođựng tiền có thể được đối chiếu với báo cáo bán hàng và trách nhiệm giải trình được giao cho nhân viên bánhàng
● Increased supervision For example, cameras may be positioned to observe the clerks’ sales recording andcash collection activities
● Tăng cường giám sát Ví dụ, camera có thể được bố trí để quan sát các hoạt động thu tiền và ghi lại doanh
số bán hàng của nhân viên bán hàng
● Customer audit of the transaction Displaying the recorded transaction and providing a receipt to the customer
Trang 21provides some assurance that the recording process was accomplished appropriately by the clerk.
● Khách hàng kiểm toán giao dịch Hiển thị giao dịch được ghi lại và cung cấp biên lai cho khách hàng đảmbảo rằng quá trình ghi chép đã được nhân viên bán hàng thực hiện một cách thích hợp
● Bonding of employees responsible for handling cash Because the bonding company investigates employeesbefore providing the bond, some assurance is provided concerning their integrity Also, the bond providesinsurance against losses
● Bảo hiểm trách nhiệm nhân viên quản lý tiền Bởi vì công ty bảo hiểm điều tra nhân viên trước khi cung cấpbảo hiểm, một số đảm bảo được cung cấp liên quan đến tính chính trực của nhân viên Ngoài ra, công ty bảohiểm cũng cung cấp bảo hiểm chống lại tổn thất
Complementary controls work with other controls to reduce risk to an acceptable level In other
words, their synergy is more effective than either control by itself
Kiểm soát bổ sung đồng hành với các kiểm soát khác để giảm thiểu rủi ro tới mức chấp nhận được.Nói cách khác, tính hiệp lực của chúng thì hiệu quả hơn so với một kiểm soát
● For example, separating the functions of accounting for and custody of cash receipts iscomplemented by obtaining deposit slips validated by the bank
● Ví dụ, việc phân tách chức năng giữa kế toán (ghi nhận tiền) và người quản lý tiền mặt được thực hiện bằngcách thu thập các phiếu gửi tiền được xác nhận bởi ngân hàng (bên độc lập)
Trang 22Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com
12 SU 6: Controls: Types and Frameworks
Two Basic Processing Modes (Hai chế độ xử lý cơ bản)
Batch Processing (Xử lý hàng loạt)
In this mode, transactions are accumulated and submitted to the computer as a single batch In theearly days of computers, this was the only way a job could be processed
Trong chế độ này, các giao dịch được tích lũy và gửi tới máy tính theo đợt Trong những ngày đầu khimới xuất hiện máy tính, đây là cách duy nhất để xử lý công việc
In batch processing, the user cannot influence the process once the job has begun (except to ask that
it be aborted completely) (S)he must wait until the job is finished running to see whether anytransactions were rejected and failed to post
Trong quá trình xử lý hàng loạt, người dùng không thể tác động đến quy trình khi công việc đã bắt đầu(ngoại trừ yêu cầu hủy bỏ hoàn toàn) Người dùng phải đợi đến khi quá trình kết thúc để xem liệu cóbất kỳ giao dịch nào bị từ chối hay không được ghi nhận hay không
Despite huge advances in computer technology, this accumulation of transactions for processing on adelayed basis is still widely used It is very efficient for such applications as payroll because largenumbers of routine transactions must be processed on a regular schedule
Mặc dù có những tiến bộ to lớn ở trong CNTT, việc tập hợp các giao dịch để xử lý trong một cơ sở trìhoãn như vậy vẫn được sử dụng rộng rãi Nó rất hiệu quả đối với các ứng dụng như bảng lương vì sốlượng các giao dịch hằng ngày phải được xử lý theo lịch trình thường xuyên
Memo posting is used by banks for financial transactions when batch processing is used It posts
temporary credit or debit transactions to an account if the complete posting to update the balance will
be done as part of the end-of-day batch processing Information can be viewed immediately afterupdating
Ghi chú được sử dụng tại ngân hàng cho các giao dịch tài chính trong TH xử lý theo lô Nó thực hiện
ghi tạm thời các giao dịch nợ, có vào một tài khoản, ghi nhận hoàn thành việc cập nhập số dư tàikhoản sẽ hoàn thành trong quá trình xử lý theo lô vào cuối ngày Thông tin có thể được xem ngay khcập nhập xong
● Memo posting is an intermediate step between batch processing and real-time processing
● Bản ghi chú là một bước trung gian giưa quá trình xử lý theo lô và xử lý tức thì
Online, Real-Time Processing
In some systems, having the latest information available at all times is crucial to the proper functioning
of the system An airline reservation system is a common example
Trong một số hệ thống, việc luôn có sẵn thông tin mới nhất mọi lúc là rất quan trọng với hoạt độngbình thường của hệ thống Một hệ thống đặt vé máy bay là một ví dụ phổ biến
In an online, real-time system, the database is updated immediately upon entry of the transaction by
the operator Such systems are referred to as online transaction processing, or OLTP, systems.
Trong một hệ thống trực tuyến, thời gian thực, cơ sở dữ liệu được cập nhật ngay khi người vận hànhnhập giao dịch Những hệ thống như vậy được gọi là hệ thống xử lý giao dịch trực tuyến, hay OLTP
Trang 23Entity-Level, Process-Level, and Transaction-Level Controls
Kiểm soát cấp độ giao dịch, cấp độ quy trình và cấp độ doanh nghiệp
Entity-level controls are designed to achieve organizational objectives and to address entity-wide
risks They include governance controls and management oversight controls
Các kiểm soát cấp độ tổ chức được thiết kế để đạt được các mục tiêu của tổ chức và để xử lý các rủi
ro toàn doanh nghiệp Chúng bao gồm kiểm soát quản trị và kiểm soát giám sát của ban quản lý
● Entity-level governance controls are established by the board of directors at the highest level
(governance level) They include organizational policies and procedures that define the entity’sculture and communicate its expectations Examples include IT policies, the code of conduct,oversight of controls, and setting the risk appetite
● Kiểm soát quản trị cấp độ tổ chức được thiết lập bởi HĐQT ở cấp độ cao nhất (cấp độ quản trị).Chúng bao gồm các chính sách và thủ tục của tổ chức nhằm xác định văn hóa tổ chức và truyềnđạt những kỳ vọng của doanh nghiệp Ví dụ bao gồm các chính sách về IT, quy tắc đạo đức, giámsát các kiểm soát và thiết lập khẩu vị rủi ro
● Entity-level management oversight controls are implemented by management at the business
unit level to achieve business unit objectives and address business unit risks
● Kiểm soát giám sát của ban quản lý cấp độ tổ chức được thực hiện bởi ban quản lý ở cấp độ
đơn vị kinh doanh để đạt được các mục tiêu của đơn vị kinh doanh và xử lý các rủi ro của đơn vịkinh doanh đó
■ For example, supervisors approve employee overtime hours before they are worked, andsupervisors confirm the employees worked only the authorized hours
■ Ví dụ, người giám sát phê duyệt số giờ làm thêm của nhân viên trước khi họ làm việc, và ngườigiám sát xác nhận rằng nhân viên chỉ làm việc trong số giờ được phép
Trang 24Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com
Process-level controls are designed to achieve process objectives and to address process risks.
Examples include physical inventory counts, performance assessment, and review of revenue centerreports
Kiểm soát cấp độ quy trình được thiết kế để đạt được các mục tiêu của quy trình và xử lý các rủi
ro của quy trình đó Các ví dụ bao gồm: số lượng hàng tồn kho thực tế, đánh giá hiệu suất và xm xétcác báo cáo của trung tâm doanh thu
Transaction-level controls are designed to achieve transaction objectives and to address risks
specific to transactions Examples include application controls, exception reports, and segregation ofduties
Kiểm soát cấp độ giao dịch được thiết kế để đạt được các mục tiêu và xử lý rủi ro của từng giao
dịch cụ thể Ví dụ bao gồm: Các kiểm soát ứng dụng, báo cáo ngoại lệ và sự phân chia nhiệm vụ
IT General Controls (Kiểm soát chung về công nghệ thông tin)
General controls are approved by management and are the umbrella under which the IT function
operates They affect the organization’s entire processing environment and commonly include controlsover
Các kiểm soát chung được ban quản lý phê duyệt là hệ thống bảo vệ mà chức năng CNTT vận hành.Chúng tác động đến môi trường xử lý tổng thể của tổ chức và thường bao gồm các biện pháp kiểmsoát
● Data center and network operations;
● Hoạt động của hệ thống mạng và trung tâm dữ liệu;
● Systems software acquisition, change, and maintenance;
● Mua sắm, thay đổi hoặc duy trì các hệ thống;
● Access security; and
● Bảo vệ quyền truy cập; và
● Application system acquisition, development, and maintenance
● Duy trì, phát triển hoặc mua mới các ứng dụng
The objectives of IT general controls are to ensure the appropriate development and implementation ofapplications, as well as the integrity of program and data files and of computer operations
Mục tiêu của các kiểm soát chung về CNTT để đảm bảo sự triển khai và phát triển phù hợp của cácứng dụng, cũng như tính chính xác của các chương trình, dữ liệu và hoạt động của máy tính
The following are the most common IT general controls:
Trang 25Sau đây là các kiểm soát chung nhất về hệ thống CNTT:
● Logical access controls (e.g., passwords) over infrastructure, applications, and data limit access
in accordance with the principle that all persons should have access only to those elements of theorganization’s information systems that are necessary to perform their job duties Logical controlshave a double focus: authentication (xác thực người dùng) and authorization (thẩm quyền truy cập)
● Kiểm soát truy cập hợp lý (VD: mật khẩu) với cơ sở hạ tầng, các ứng dụng và giới hạn truy cập dữliệu theo nguyên tắc tất cả mọi người chỉ nên có quyền truy cập vào các phần của hệ thống CNTTcủa tổ chức mà cần thiết để thực hiện công việc của họ Kiểm soát truy cập hợp lý có 2 trọng tâm:xác thực người dùng và thẩm quyền truy cập
● System development life cycle controls and program change management controls ensure
that operating systems, utilities, and database management systems are acquired and changedonly under close supervision and that vendor updates are routinely installed
● Kiểm soát vòng đời phát triển và kiểm soát quản lý thay đổi chương trình đảm bảo rằng hệ điềuhành, các tiện ích và hệ thống quản lý cơ sở dữ liệu chỉ được mua hoặc thay đổi dưới sự giám sátchặt chẽ và các bản cập nhập của NCC được cài đặt thường xuyên
● Physical security controls over the data center limit physical access and environmental damage
to computer equipment, data, and important documents
● Kiểm soát an ninh vật lý đối với trung tâm dữ liệu hạn chế truy cập vật lý và thiệt hại do môi trườngđối với thiết bị máy tính, dữ liệu và tài liệu quan trọng
● System and data backup and recovery controls ensure that access to data (e.g., hardware,
software, and records), communications, work areas, and other business processes can berestored
● Kiểm soát phục hồi và sao lưu dữ liệu và hệ thống đảm bảo quyền truy cập vào dữ liệu (ví dụ: phầncứng, phần mềm và hồ sơ), thông tin niên lạc, khu vực làm vuệc và các chương trình kinh doanhkhác có thể được khôi phục
Trang 26Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com
14 SU 6: Controls: Types and Frameworks
Application Controls (Kiểm soát ứng dụng)
Nguồn: SAPP
Application controls are built into each application (payroll, accounts payable, inventory management,etc.) and are designed to ensure that only correct, authorized data enter the system and that the dataare processed and reported properly
Kiểm soát ứng dụng được xây dựng với từng ứng dụng (lương, tài khoản phải trả, quản lý hàng tồnkho,…) và được thiết kế để đảm bảo chỉ có dữ liệu chính xác và được duyệt mới được nhập vào hệthống và dữ liệu được xử lý và báo cáo phù hợp
Application controls include input, processing, and output controls
Kiểm soát ứng dụng bao gồm các kiểm soát đầu vào, quá trình xử lý và đầu ra
General controls apply to all computerized systems or applications They include a mixture of
software, hardware, and manual procedures that shape an overall control environment In contrast,
application controls are specific controls that differ with each computerized application.
Các kiểm soát chung áp dụng với tất cả hệ thống và ứng dụng được vi tính hóa Chúng bao gồm sựkết hợp giữa phần mềm, phần cứng và các quy trình thủ công nhằm hình thành một môi trường kiểmsoát tổng thể Trái ngược lại, kiểm soát ứng dụng là các kiẻm soát cụ thể với từng ứng dụng
Application controls are those that pertain to the scope of individual business processes or applicationsystems The objective of application controls is to ensure that
Kiểm soát ứng dụng là những kiểm soát liên quan đến phạm vi từng quy trình kinh doanh hoặc hệthống ứng dụng Mục tiêu của kiểm soát ứng dụng là để đảm bảo rằng
● Input data is accurate, complete, authorized, and correct
● Các yếu tố đầu vào là chính xác, đầy đủ, được phê duyệt và đúng
■ These controls vary depending on whether input is entered in online or batch mode
■ Các đầu vào này khác nhau phụ thuộc vào các yếu tố đầu vào được nhập trực tuyến hay theolô
● Data is processed as intended in an acceptable time period
● Dữ liệu được xử lý trong khoảng thời gian cho phép
■ Reasonable assurance must be provided that
■ Phải đảm bảo hợp lý rằng
► All data submitted for processing are processed and
► Tất cả các dữ liệu được gửi để xử lý đều được xử lý và
► Only approved data are processed
► Chỉ những dữ liệu được duyệt mới được xử lý