This study unit covers Domain VI: Fraud Risks from The IIA’s CIA Exam Syllabus. This domain makes up 10% of Part 1 of the CIA exam and is tested at the basic and proficient cognitive levels. The learning objectives of Study Unit 8 are ● Interpret fraud risks and types of frauds and determine whether fraud risks require special consideration when conducting an engagement ● Diễn giải rủi ro gian lận và các loại gian lận, đồng thời xác định xem rủi ro gian lận có cần được xem xét đặc biệt khi thực hiện hợp đồng dịch vụ hay không ● Evaluate the potential for occurrence of fraud (red flags, etc.) and how the organization detects and manages fraud risks ● Đánh giá khả năng xảy ra gian lận (cờ đỏ, v.v.) và cách tổ chức phát hiện và quản lý rủi ro gian lận ● Recommend controls to prevent and detect fraud and education to improve the organization’s fraud awareness ● Đề xuất các biện pháp kiểm soát để ngăn chặn và phát hiện gian lận và giáo dục để nâng cao nhận thức về gian lận của tổ chức ● Recognize techniques and internal audit roles related to forensic auditing (interview, investigation, testing, etc.) ● Công nhận các kỹ thuật và vai trò kiểm toán nội bộ liên quan đến việc hoạt động kiểm toán điều tra ( Phỏng vấn, Điều tra, Thử nghiệm,…)
Trang 1Fraud Risks and Controls
Copyright © 2022 Gleim Publications, Inc All rights reserved Duplication prohibited Reward for information exposing violators Contact copyright@gleim.com
8.1
8.2
8.3
2915
1
Study Unit Eight
This study unit covers Domain VI: Fraud Risks from The IIA’s CIA Exam Syllabus This domain makes up 10% of Part 1 of the CIA exam and is tested at the basic and proficient
cognitive levels
The learning objectives of Study Unit 8 are
● Interpret fraud risks and types of frauds and determine whether fraud risks requirespecial consideration when conducting an engagement
● Diễn giải rủi ro gian lận và các loại gian lận, đồng thời xác định xem rủi ro gian lận cócần được xem xét đặc biệt khi thực hiện hợp đồng dịch vụ hay không
● Evaluate the potential for occurrence of fraud (red flags, etc.) and how the organizationdetects and manages fraud risks
● Đánh giá khả năng xảy ra gian lận (cờ đỏ, v.v.) và cách tổ chức phát hiện và quản lý rủi
Trang 2copyright@gleim.com
Study Unit 8 covers managing fraud risks through internal controls and the internal auditfunction Management is responsible for establishing and maintaining internal control.Thus, management also is responsible for the fraud prevention program Internal auditorsmust have sufficient knowledge to evaluate the risk of fraud and the manner in which it ismanaged by the organization An internal auditor’s responsibilities for the detection offraud include
Bài học 8 đề cập đến việc quản lý rủi ro gian lận thông qua kiểm soát nội bộ và chức năngkiểm toán nội bộ Ban Giám đốc chịu trách nhiệm thiết lập và duy trì kiểm soát nội bộ Do
đó, ban quản lý cũng chịu trách nhiệm về chương trình phòng chống gian lận Kiểm toánviên nội bộ phải có đủ kiến thức để đánh giá rủi ro gian lận và cách thức quản lý gian lậncủa tổ chức Trách nhiệm của kiểm toán viên nội bộ đối với việc phát hiện gian lận baogồm
● Having sufficient knowledge to identify indicators that fraud may have beencommitted,
● Có đủ kiến thức để xác định các dấu hiệu cho thấy gian lận có thể đã xảy ra,
● Being alert to opportunities that could allow fraud (e.g., control weaknesses), and
● Cảnh giác với các cơ hội có thể dẫn đến gian lận (ví dụ: các điểm yếu trong kiểm soát)và
● Being able to evaluate the indicators of fraud sufficiently to determine whether a fraudinvestigation should be conducted
● Có thể đánh giá đầy đủ các dấu hiệu gian lận để xác định xem có nên tiến hành điềutra gian lận hay không
Trang 38.1 Fraud Risks and Types
2 SU 8: Fraud Risks and Controls
Fraud and Fraud Risk
Fraud is “any illegal act characterized by deceit, concealment, or violation of trust Theseacts are not dependent upon the threat of violence or physical force Frauds areperpetrated by parties and organizations to obtain money, property, or services; to avoidpayment or loss of services; or to secure personal or business advantage.”
Gian lận là “bất kỳ hành động bất hợp pháp nào như lừa dối, che dấu, hoặc vi phạm lòng
tin Những hành vi này không phụ thuộc vào mối đe dọa bạo lực hoặc vũ lực Gian lận docác bên và tổ chức thực hiện để lấy tiền, tài sản hoặc dịch vụ; để tránh thanh toán hoặcmất dịch vụ; hoặc để đảm bảo lợi ích cá nhân hoặc kinh doanh.”
Fraud risk is the possibility that fraud will occur and the potential effects to theorganization when it occurs
Rủi ro gian lận là khả năng gian lận sẽ xảy ra và những tác động tiềm ẩn đối với tổ chức
khi nó xảy ra
Characteristics of Fraud
Fraud is an intentional deception or misrepresentation The three conditions ordinarily
present when fraud exists include pressure (incentive ) to commit fraud, an opportunity,
and the capacity to rationalizemisconduct
Gian lận là hành vi cố ý lừa dối hoặc xuyên tạc Ba điều kiện thường xuất hiện khi gian lậntồn tại bao gồm áp lực (khuyến khích) thực hiện hành vi gian lận, cơ hội và khả năng hợp
lý hóa hành vi sai trái
1 Pressure (incentive) is the need a person tries to satisfy by committing the fraud.
Áp lực (khuyến khích) là nhu cầu mà một người cố gắng thỏa mãn bằng cách thực
hiện hành vi gian lận
■ Situational pressure can be personal (e.g., financial difficulties in an employee’spersonal life) or organizational (e.g., the desire to release positive news to thefinancial media)
■ Áp lực tình huống có thể là cá nhân (ví dụ: khó khăn tài chính trong cuộc sống cánhân của nhân viên) hoặc tổ chức (ví dụ: mong muốn đưa tin tức tích cực lên cácphương tiện truyền thông tài chính)
Trang 42 Opportunity is the ability to commit the fraud.
Cơ hội là khả năng để thực hiện hành vi gian lận
■ Opportunity is a factor in low-level employee fraud Lack of controls over cash,goods, and other organizational property, as well as insufficient segregation ofduties, are enabling factors
■ Cơ hội là yếu tố khiến nhân viên cấp thấp gian lận Thiếu sự kiểm soát đối với tiềnmặt, hàng hóa và các tài sản khác của tổ chức, cũng như sự phân chia trách nhiệmkhông đầy đủ, là những yếu tố tạo điều kiện
■ Opportunity is the characteristic that the organization can most influence, e.g., bymeans of controls
■ Cơ hội là đặc điểm mà tổ chức có thể tác động nhiều nhất, ví dụ, bằng các biện phápkiểm soát
3 Rationalization is the ability to justify the fraud It occurs when a person attributes his
or her actions to rational and creditable motives without analysis of the true and,especially, unconscious motives
Hợp lý hóa là khả năng biện minh cho hành vi gian lận Nó xảy ra khi một người quy kếthành động của mình cho những động cơ hợp lý và đáng tin cậy mà không phân tíchđộng cơ thực sự và đặc biệt là những động cơ vô thức
Feeling underpaid is a common rationalization for low-level fraud
Cảm thấy bị trả lương thấp là lý do phổ biến cho hành vi gian lận cấp thấp
■ Fraud awareness training minimizes rationalization by
■ Đào tạo nhận thức gian lận giảm thiểu hợp lý hóa các hành vi gian lận bằng cách
► Supporting the ethical tone at the top,
► Promoting an environment averse to fraud, and
► Emphasizing that the organization does not tolerate misconduct of any kind
► Khuyến khích lấy đạo đực làm tôn chỉ
► Thúc đẩy một môi trường chống gian lận
► Nhấn mạnh rằng tổ chức không chịu bất kỳ hành vi sai trái nào
Trang 5SU 8: Fraud Risks and Controls 3
Thus, an organization should have a fraud program that includes awareness, prevention,and detection programs It also should have a fraud risk assessment process to identifyfraud risks
Do đó, một tổ chức nên có một chương trình gian lận bao gồm các chương trình nhậnthức, phòng ngừa và phát hiện Nó cũng nên có một quy trình đánh giá rủi ro gian lận đểxác định rủi ro gian lận
Trang 6Types of Fraud
Asset misappropriation is stealing cash or other assets (supplies, inventory, equipment,and information) The theft may be concealed, e.g., by adjusting records
Biển thủ tài sản là ăn cắp tiền mặt hoặc các tài sản khác (vật tư, hàng tồn kho, thiết bị
và thông tin) Hành vi trộm cắp có thể được che giấu, ví dụ, bằng cách điều chỉnh hồ sơ
● For example, entering fraudulent journal entries can help conceal asset theft (e.g.,when an asset is purchased, the perpetrator debits an expense account instead of anasset account)
● Ví dụ: Gian lận ghi sổ nhật ký chung có thể giúp che giấu hành vi trộm cắp tài sản (vídụ: khi một tài sản được mua, thủ phạm ghi nợ tài khoản chi phí thay vì tài khoản tàisản)
● However, selecting a vendor based on a blanket purchase order with an approvedvendor(s) is a common business practice
● Tuy nhiên, việc lựa chọn nhà cung cấp dựa trên đơn đặt hàng được che đậy chung với(những) nhà cung cấp được phê duyệt là hành động phổ biến
Skimming is theft of cash before it is recorded, for example, accepting payment from acustomer but not recording the sale
Trộm tiền vặt là hành vi trộm cắp tiền mặt trước khi nó được ghi lại, chẳng hạn như
nhận thanh toán từ khách hàng nhưng không ghi lại giao dịch bán hàng
Payment fraud involves payment for fictitious goods or services, overstatement of
invoices, or use of invoices for personal reasons
Gian lận thanh toán liên quan đến việc thanh toán cho hàng hóa hoặc dịch vụ hư cấu,
khai khống hóa đơn hoặc sử dụng hóa đơn vì lý do cá nhân
Expense reimbursement fraud is payment for fictitious or inflated expenses, for example,
an expense report for personal travel, nonexistent meals, or extra mileage
Gian lận hoàn ứng là khoản thanh toán cho các chi phí hư cấu hoặc tăng cao, ví dụ: báo
cáo chi phí cho việc đi lại cá nhân, các bữa ăn không tồn tại hoặc số dặm di chuyển thêm
Trang 74 SU 8: Fraud Risks and Controls
Payroll fraud is a false claim for compensation, for example, overtime for hours notworked or payments to fictitious employees One control used to detect the addition offictitious persons to the payroll is for the auditor to make periodic comparisons of thenames on the payroll with persons observed working for the company
Gian lận lương là một yêu cầu tiền lương sai sự thật, chẳng hạn như làm thêm giờ cho
số giờ không làm việc hoặc thanh toán cho nhân viên hư cấu Một biện pháp kiểm soátđược sử dụng để phát hiện việc bổ sung những người hư cấu vào bảng lương là để kiểmtoán viên thực hiện so sánh định kỳ những cái tên trong bảng lương với những người làmviệc cho công ty quan sát được
Financial statement misrepresentation often overstates assets or revenue or understatesliabilities and expenses Management may benefit by selling stock, receiving bonuses, orconcealing another fraud
Việc trình bày sai báo cáo tài chính thường phóng đại tài sản hoặc doanh thu hoặc
thiếu các khoản nợ và chi phí Ban quản lý có thể hưởng lợi bằng cách bán cổ phiếu, nhậntiền thưởng hoặc che giấu một hành vi gian lận khác
Information misrepresentation provides false information, usually to outsiders in the form
of fraudulent financial statements
Xuyên tạc thông tin cung cấp thông tin sai lệch, thường là cho những người bên ngoài
dưới dạng báo cáo tài chính gian lận
Corruption is an improper use of power, e.g., bribery It often leaves little accountingevidence These crimes usually are uncovered through tips or complaints from thirdparties Corruption often involves the purchasing function
Tham nhũng là việc sử dụng quyền lực không đúng cách, ví dụ như hối lộ Nó thường để
lại ít bằng chứng kế toán Những hành vi sai này thường được phát hiện thông qua cácmẹo hoặc khiếu nại từ bên thứ ba Tham nhũng thường liên quan đến chức năng muahàng
Bribery is offering, giving, receiving, or soliciting anything of value to influence anoutcome (e.g., kickbacks) Bribes may be offered to key employees such as purchasingagents Those paying bribes tend to be intermediaries for outside vendors
Hối lộ là đề nghị, cho, nhận hoặc gạ gẫm bất cứ thứ gì có giá trị để gây ảnh hưởng đến
kết quả (ví dụ: lại quả) Hối lộ có thể được cung cấp cho nhân viên chủ chốt chẳng hạnnhư đại lý mua hàng Những người đưa hối lộ có xu hướng làm trung gian cho các nhàcung cấp bên ngoài
A conflict of interest is an undisclosed personal economic interest in a transaction that
adversely affects the organization or its shareholders
Xung đột lợi ích là lợi ích kinh tế cá nhân không được tiết lộ trong một giao dịch ảnh
hưởng xấu đến tổ chức hoặc cổ đông của tổ chức
A diversion redirects to an employee or outsider a transaction that normally benefits theorganization
Trang 8Sự chuyển hướng là sử dụng một nhân viên hoặc NCC bên ngoài, đối tượng thường
mang lại lợi ích cho tổ chức
Wrongful use of confidential or proprietary information is fraudulent
Sử dụng sai thông tin bí mật hoặc độc quyền là gian lận.
A related-party fraud is receipt of a benefit not obtainable in an arm’s-length transaction Gian lận của bên liên quan là việc nhận được lợi ích không thể đạt được trong giao dịch
ngang giá
Tax evasion is intentionally falsifying a tax return
Trốn thuế là cố tình làm sai lệch tờ khai thuế.
Low-Level Fraud vs Executive Fraud (Gian lận cấp thấp và Gian lận điều hành)
Fraud committed by staff or line employees most often consists of theft of property orembezzlement of cash The incentive might be relief of economic hardship, the desire formaterial gain, or a drug or gambling habit This type of fraud is intended to benefitindividuals and is generally committed by an individual or individuals living outside theirapparent means of support
Gian lận do nhân viên hoặc nhân viên trực tiếp thực hiện thường bao gồm hành vi trộmcắp tài sản, biển thủ tiền mặt Động cơ có thể là giảm bớt khó khăn về kinh tế, mongmuốn đạt được lợi ích vật chất hoặc nghiện ma túy hoặc cờ bạc Loại gian lận này nhằmmang lại lợi ích cho các cá nhân và thường được thực hiện bởi một hoặc nhiều cá nhânsống ngoài khả năng chi trả của mình
● Stealing petty cash or merchandise, lapping accounts receivable, and creatingnonexistent vendors are common forms of low-level fraud
● Ăn cắp tiền mặt hoặc hàng hóa lặt vặt, khống các khoản phải thu và tạo ra các nhàcung cấp không tồn tại là những hình thức gian lận cấp thấp phổ biến
Fraud at the executive level is different in that it often benefits both the self and theorganization The incentive is usually either maintaining or increasing the stock price,receiving a large bonus, or both
Gian lận ở cấp điều hành khác ở chỗ nó thường mang lại lợi ích cho cả bản thân và tổchức Động cơ thường là duy trì hoặc tăng giá cổ phiếu, nhận tiền thưởng lớn hoặc cả hai
● Executive level fraud ordinarily consists of materially misstating financial statementsbecause promotion and compensation are tied to profits
● Gian lận cấp điều hành thường bao gồm các báo cáo tài chính sai lệch trọng yếu vì cơhội thăng tiến và khoản thù lao liền với lợi nhuận
Trang 9SU 8: Fraud Risks and Controls 5
Symptoms of Fraud (Dấu hiệu của Gian lận)
A document symptom is any tampering with the accounting records to conceal a fraud.Keeping two sets of books or forcing the books to reconcile are examples
Dấu hiệu tài liệu là bất kỳ hành vi giả mạo nào đối với hồ sơ kế toán để che giấu hành
vi gian lận Giữ hai bộ sách hoặc buộc các bộ sách phải đối chiếu là những ví dụ
A lifestyle symptom is an unexplained rise in an employee’s social status or level of
material consumption
Một biểu hiện về lối sống là sự gia tăng không giải thích được về địa vị xã hội hoặc
mức độ tiêu thụ vật chất của nhân viên
A behavioral symptom (i.e., a drastic change in an employee’s behavior) may indicate thepresence of fraud Guilt and other forms of stress associated with perpetrating andconcealing the fraud may cause noticeable changes in behavior
Một biểu hiện về hành vi (nghĩa là một sự thay đổi mạnh mẽ trong hành vi của nhân
viên) có thể cho thấy sự hiện diện của hành vi gian lận Cảm giác tội lỗi và các hình thứccăng thẳng khác liên quan đến việc thực hiện và che giấu hành vi gian lận có thể gây ranhững thay đổi đáng chú ý trong hành vi
Some Indicators (Red Flags) of Possible Fraud
Một số dấu hiệu cảnh áo hành vi gian lận đã xảy ra
Even the most effective internal control can sometimes be circumvented, for example, bycollusion of two or more employees Thus, an auditor must be sensitive to conditions thatmight indicate the existence of fraud The following are examples:
Ngay cả biện pháp kiểm soát nội bộ hiệu quả nhất đôi khi cũng có thể bị phá vỡ, chẳnghạn như do sự thông đồng của hai hoặc nhiều nhân viên Vì vậy, kiểm toán viên phải nhạycảm với các điều kiện có thể chỉ ra sự tồn tại của gian lận Sau đây là những ví dụ:
● Lack of employee rotation in sensitive positions, such as cash handling
● Thiếu luân chuyển nhân viên ở các vị trí nhạy cảm, chẳng hạn như xử lý tiền mặt
● Inappropriate combination of job duties (e.g., cash collections and disbursementsresponsibilities)
● Sự kết hợp không phù hợp giữa các nhiệm vụ công việc (ví dụ: trách nhiệm thu và chitiền mặt)
● Unclear lines of responsibility and accountability
● Trách nhiệm và trách nhiệm giải trình không rõ ràng
● Unrealistic sales or production goals
● Mục tiêu sản xuất hoặc bán hàng không thực tế
Trang 10● An employee who refuses to take vacations or refuses promotion
● Nhân viên từ chối nghỉ phép hoặc từ chối thăng chức
● Established controls not applied consistently
● Các biện pháp kiểm soát đã thiết lập không được áp dụng nhất quán
● High reported profits when competitors are suffering from an economic downturn
● Lợi nhuận được báo cáo cao khi các đối thủ cạnh tranh đang bị suy thoái kinh tế
● High turnover among supervisory positions in finance and accounting areas
● Tỷ lệ luân chuyển cao giữa các vị trí giám sát trong lĩnh vực tài chính kế toán
● Excessive or unjustifiable use of sole-source procurement
● Việc sử dụng mua sắm từ nguồn duy nhất quá mức hoặc không chính đáng
● An increase in sales far out of proportion to the increase in cost of goods sold (e.g.,sales increase by 30% and cost of goods sold increase by 3%)
● Doanh thu tăng vượt xa so với mức tăng của giá vốn hàng bán (ví dụ: doanh thu tăng30% và giá vốn hàng bán tăng 3%)
● Material contract requirements in the actual contract differ from those in the requestfor bids
● Yêu cầu về hợp đồng vật chất trong hợp đồng thực tế khác với yêu cầu trong hồ sơ mờithầu
● Petty cash transactions are not handled through an imprest fund
● Các giao dịch tiền mặt nhỏ không được xử lý thông qua quỹ tạm ứng
● Business arrangements are difficult to understand and do not seem to have anypractical applicability to the entity
● Các thỏa thuận kinh doanh khó hiểu và dường như không có bất kỳ khả năng áp dụngthực tế nào đối với đơn vị
● End-of-period transactions are complex, unusual, or significant
● Giao dịch cuối kỳ phức tạp, bất thường hoặc trọng yếu
Trang 116 SU 8: Fraud Risks and Controls
Types of Fraudulent Processes (Các loại gian lận trong các quy trình)
Lapping Receivables (Ăn chặn các khoản phải thu)
In this fraud, a person (or persons) with access to customer payments and accountsreceivable records steals a customer’s payment The shortage in that customer’s accountthen is covered by a subsequent payment from another customer
Trong hành vi gian lận này, một người (hoặc những người) có quyền truy cập vào cáckhoản thanh toán của khách hàng và hồ sơ các khoản phải thu sẽ đánh cắp khoản thanhtoán của khách hàng Sự thiếu hụt trong tài khoản của khách hàng đó sau đó sẽ được bùđắp bằng khoản thanh toán tiếp theo từ một khách hàng khác
The process continues until (Quá trình này tiếp tục đến tận khi)
● A customer complains about his or her payment not being posted,
● Một khách hàng phàn nàn về khoản thanh toán của mình không được đăng
● An absence by the perpetrator allows another employee to discover the fraud, or
● Sự vắng mặt của thủ phạm cho phép một nhân viên khác phát hiện ra hành vi gian lận,hoặc
● The perpetrator covers the amount stolen
● Thủ phạm bao trả số tiền bị đánh cắp
Check Kiting (Gian lận séc)
Kiting exploits the delay between (1) depositing a check in one bank account and (2)clearing the check through the bank on which it was drawn This practice is only possiblewhen manual checks are used The widespread use of electronic funds transfer and othernetworked computer safeguards make electronic kiting difficult
Gian lận séc khai thác sự chậm trễ giữa (1) gửi séc vào một tài khoản ngân hàng và (2)
thanh toán séc qua ngân hàng mà séc được ký phát Hành vi này chỉ có thể thực hiệnđược khi phát hành séc thủ công Việc sử dụng rộng rãi chuyển tiền điện tử và các biệnpháp bảo vệ máy tính nối mạng khác khiến cho việc thả diều điện tử trở nên khó khăn
A check is kited when (1) a person (the kiter) writes an insufficient funds check on anaccount in one bank and (2) deposits the check in another bank
Séc bị gian lận khi (1) một người (người gian lận) viết séc không đủ tiền từ một tài khoản ởmột ngân hàng và (2) gửi séc vào một ngân hàng khác
The second bank immediately credits the account for some or all of the amount of thecheck, enabling the kiter to write other checks on that (nonexistent) balance The kiterthen covers the insufficiency in the first bank with another source of funds The processcan proceed in a circle of accounts at any number of banks
Ngân hàng thứ hai ngay lập tức ghi có vào tài khoản một phần hoặc toàn bộ số tiền củaséc, cho phép người gian lận viết các séc khác trên số dư (không tồn tại) đó Người gian
Trang 12lận sau đó trang trải sự thiếu hụt trong ngân hàng đầu tiên bằng một nguồn vốn khác.Quá trình này có thể tiến hành trong một nhóm tài khoản tại bất kỳ ngân hàng nào.
Trang 13Implementation Standard 1210.A2
Internal auditors must have sufficient knowledge to evaluate the risk of fraud and the manner in which it is managed by the organization, but are not expected to have the expertise of a person whose primary responsibility is detecting and investigating fraud.Kiểm toán viên nội bộ phải có đủ kiến thức để đánh giá rủi ro gian lận và cách thức quản lý gian lận của tổ chức, nhưng không được kỳ vọng phải có chuyên môn của một người có trách nhiệm chính là phát hiện và điều tra gian lận
Implementation Standard 2120.A2
The internal audit activity must evaluate the potential for the occurrence of fraud and how the organization manages fraud risk
Hoạt động kiểm toán nội bộ phải đánh giá khả năng xảy ra gian lận và cách tổ chức quản lý rủi ro gian lận
Roles of Internal Auditors
Internal auditors are not responsible for the detection of all fraud, but they always must
be alert to the possibility of fraud
Kiểm toán viên nội bộ không chịu trách nhiệm phát hiện mọi gian lận, nhưng họ luônphải cảnh giác với khả năng xảy ra gian lận
● According to Implementation Standard 1220.A1, internal auditors must exercise dueprofessional care by, among other things, considering the “probability of significanterrors, fraud, or noncompliance.”
● Theo Chuẩn mực thực hiện 1220.A1, kiểm toán viên nội bộ phải thực hiện sự thận trọngnghề nghiệp thích hợp bằng cách xem xét “xác suất xảy ra sai sót, gian lận hoặc khôngtuân thủ nghiêm trọng”
● Internal auditors therefore must consider the probability of fraud when developingengagement objectives (Implementation Standard 2210.A2)
● Do đó, kiểm toán viên nội bộ phải xem xét khả năng xảy ra gian lận khi xây dựng mụctiêu kiểm toán (Chuẩn mực hướng dẫn thực hiện 2210.A2)
The internal auditor should consider the potential for fraud risks in the assessment ofcontrol design and the choice of audit procedures
Kiểm toán viên nội bộ cần xem xét khả năng xảy ra rủi ro gian lận khi đánh giá thiết kếkiểm soát và lựa chọn các thủ tục kiểm toán
Trang 14● Internal auditors should obtain reasonable assurance that objectives for the processunder review are achieved and material control deficiencies are detected.
● Kiểm toán viên nội bộ cần có được sự đảm bảo hợp lý rằng các mục tiêu của quy trìnhđược soát xét đã đạt được và các khiếm khuyết kiểm soát trọng yếu đã được phát hiện
● The consideration of fraud risks and their relation to specific audit work aredocumented
● Việc xem xét rủi ro gian lận và mối liên hệ của chúng với công việc kiểm toán cụ thểđược lập ghi lại
Trang 158 SU 8: Fraud Risks and Controls
Internal auditors should have sufficient knowledge of fraud to identify indicators of fraud(red flags) However, internal auditors do not normally perform procedures specifically togather red flag information
Kiểm toán viên nội bộ cần có đủ kiến thức về gian lận để xác định các dấu hiệu gian lận(cờ đỏ) Tuy nhiên, kiểm toán viên nội bộ thường không thực hiện các thủ tục cụ thể đểthu thập thông tin cảnh báo rủi ro
● This knowledge includes
● Hiểu biết bao gồm:
■ The characteristics of fraud,
■ Đặc điểm của gian lận
■ The methods used to commit fraud, and
■ Các phương pháp được sử dụng để thực hiện gian lận, và
■ The various fraud schemes associated with the activities reviewed
■ Các kế hoạch lừa đảo khác nhau liên quan đến hoạt động được xem xét
Internal auditors should be alert to opportunities that could allow fraud, such as controldeficiencies
Kiểm toán viên nội bộ cần cảnh giác với các cơ hội có thể tạo ra gian lận, chẳng hạn nhưthiếu hụt kiểm soát
● If significant control deficiencies are detected, additional procedures may be performed
to determine whether fraud has occurred
● Nếu phát hiện ra những thiếu sót đáng kể trong kiểm soát, các thủ tục bổ sung có thểđược thực hiện để xác định xem có gian lận hay không
Internal auditors should evaluate the indicators of fraud and decide whether any furtheraction is necessary or whether an investigation should be recommended
Kiểm toán viên nội bộ nên đánh giá các dấu hiệu gian lận và quyết định xem có cần thựchiện thêm bất kỳ hành động nào hay không hoặc liệu có nên tiến hành điều tra haykhông
Internal auditors should evaluate whether
Kiểm toán viên nội bộ nên đánh giá liệu
● Management is actively overseeing the fraud risk management programs,
● Ban Giám đốc đang tích cực giám sát các chương trình quản lý rủi ro gian lận,
● Timely and sufficient corrective measures have been taken with respect to any notedcontrol deficiencies, and
● Các biện pháp khắc phục kịp thời và đầy đủ đã được thực hiện đối với bất kỳ thiếu sótkiểm soát nào được ghi nhận, và
● The plan for monitoring the program is adequate
● Kế hoạch giám sát chương trình phù hợp
If appropriate, internal auditors should recommend an investigation
Trang 16Nếu thích hợp, kiểm toán viên nội bộ nên đề xuất một cuộc điều tra
Trang 178.2 Fraud Controls
Fraud Management Program
The components of an effective fraud management program include the following:
● Company ethics policy
● Chính sách đạo đức của công ty
● Fraud awareness
● Nhận thức về gian lận
● Fraud risk assessment
● Đánh giá rủi ro gian lận
Kiểm soát là phương tiện chính để quản lý gian lận và đảm bảo các thành phần củachương trình quản lý gian lận hiện diện và hoạt động (Kiểm soát và các loại kiểm soátđược trình bày chi tiết trong Bài học 6.)
The COSO Internal Control Framework (covered in detail in Study Unit 6, Subunit 3) can be
applied in the fraud context to promote an environment in which fraud is effectivelymanaged
Khung kiểm soát nội bộ COSO (được trình bày chi tiết trong Bài học 6, Tiểu đơn vị 3) có
thể được áp dụng trong bối cảnh gian lận để thúc đẩy một môi trường trong đó gian lậnđược quản lý hiệu quả
● The control environment includes such elements as a code of conduct, ethics policy, or
fraud policy to set the appropriate tone at the top; hiring and promotion guidelines andpractices; and board oversight
● Môi trường kiểm soát bao gồm các yếu tố như quy tắc ứng xử, chính sách đạo đức
hoặc chính sách gian lận để thiết lập quan điểm phù hợp ở cấp cao nhất; hướng dẫn vàthực hành tuyển dụng và thăng chức; và giám sát hội đồng quản trị
Trang 18● A fraud risk assessment generally includes the following:
● Đánh giá rủi ro gian lận thường bao gồm những nội dung sau:
■ Identifying and prioritizing fraud risk factors and fraud schemes
■ Xác định và ưu tiên các yếu tố rủi ro gian lận và kế hoạch gian lận
■ Determining whether existing controls apply to potential fraud schemes andidentifying gaps
■ Xác định liệu các biện pháp kiểm soát hiện tại có áp dụng cho các kế hoạch gian lậntiềm ẩn hay không và xác định các lỗ hổng
■ Testing operating effectiveness of fraud prevention and detection controls
■ Kiểm tra hiệu quả hoạt động của các biện pháp kiểm soát ngăn ngừa và phát hiệngian lận
■ Documenting and reporting the fraud risk assessment
■ Lập hồ sơ và báo cáo đánh giá rủi ro gian lận
● Control activities are policies and procedures for business processes that includeauthority limits and segregation of duties
● Các hoạt động kiểm soát là các chính sách và thủ tục cho các quy trình kinh doanh
bao gồm các giới hạn về thẩm quyền và sự phân chia nhiệm vụ
● Fraud-related information and communication practices promote the fraud riskmanagement program and the organization’s position on risk The means used includefraud awareness training and confirming that employees comply with the organization’spolicies
● Thông tin liên quan đến gian lận và các thông lệ truyền thông thúc đẩy chương
trình quản lý rủi ro gian lận và vị thế của tổ chức đối với rủi ro Các phương tiện được sửdụng bao gồm đào tạo nâng cao nhận thức về gian lận và xác nhận rằng nhân viên tuânthủ các chính sách của tổ chức
● Monitoring evaluates antifraud controls through independent evaluations of the fraudrisk management program and use of it
● Giám sát đánh giá các biện pháp kiểm soát chống gian lận thông qua các đánh giá độc
lập về chương trình quản lý rủi ro gian lận và việc sử dụng nó
Trang 1910 SU 8: Fraud Risks and Controls
Preventing fraud Essential elements in preventing fraud are setting the correct tone at thetop and instilling a strong ethical culture The following are preventative controls:
Ngăn chặn gian lận Các yếu tố cần thiết trong việc ngăn chặn gian lận là đặt tôn chỉ
chính xác lên hàng đầu và thấm nhuần văn hóa đạo đức mạnh mẽ Sau đây là các biệnpháp kiểm soát phòng ngừa:
● Safeguarding of assets protects entities against the unauthorized use and disposal ofassets Examples include theft of assets and intellectual property
● Các biện pháp bảo vệ tài sản bảo vệ các tổ chức khỏi việc sử dụng và xử lý trái
phép tài sản Ví dụ như hành vi trộm cắp tài sản và sở hữu trí tuệ
● Computer access controls such as passwords and device authorization tables are used
to prevent improper use or manipulation of data files and programs
● Kiểm soát truy cập máy tính như mật khẩu và bảng phân quyền thiết bị được sử dụng
để ngăn chặn việc sử dụng hoặc thao tác không đúng cách đối với tệp dữ liệu vàchương trình
● A lockbox system can ensure that cash receipts are not stolen by mail clerks or otheremployees
● Hệ thống hộp khóa có thể đảm bảo rằng biên lai tiền mặt không bị nhân viên thư tínhoặc nhân viên khác đánh cắp
Detecting fraud An essential element in detecting fraud is employee feedback, as fraudtips from employees is the most common way to detect fraud Sources of employeefeedback include a whistleblower hotline, exit interviews, and employee surveys
Phát hiện gian lận Một yếu tố thiết yếu trong việc phát hiện gian lận là phản hồi của
nhân viên, vì mẹo gian lận từ nhân viên là cách phổ biến nhất để phát hiện gian lận Cácnguồn phản hồi của nhân viên bao gồm đường dây nóng tố giác, phỏng vấn thôi việc vàkhảo sát nhân viên