Trong tiến trình thực hiện kiểm toán, KTVNB phải lựa chọn đúng phương pháp tiếp cận để định hướng cách thức cũng như phân bổ thời gian cho các phần công việc. Trong cuốn “Risk Based Internal Auditing” của tác giả David Griffths (2006) đã đưa ra một số phương pháp tiếp cận kiểm toán như sau:
- Tuân thủ (Compliance): Đây là cách tiếp cận truyền thống tập trung vào tìm hiểu quy trình, quy định có được tuân thủ hay không, vì vậy nó sẽ không phù hợp với một môi trường đầy biến động và thách thức như hiện nay.
- Kiểm toán định hướng hệ thống (Systems based audit – SBA): là phương pháp
tiếp cận hiện đại nhằm đánh giá hệ thống và quy trình về tính hiệu quả và tính hữu hiệu của các quy trình, chính sách.
- Kiểm toán định hướng rủi ro (Risk-based audit - RBA): là phương pháp tiếp
cận tập trung vào những vùng có rủi ro cao nhất, luôn coi rủi ro là xuất phát điểm, hướng tới mục tiêu của tổ chức.
- Kiểm toán dựa trên đảm bảo (Assurance-based audit – ABA): là phương pháp
tiếp cận sử dụng phương pháp định hướng rủi ro để phối hợp tất cả hoạt động đảm bảo trong doanh nghiệp, giảm thiểu sự trùng lặp và đảm bảo cao nhất phục vụ cho đơn vị, nhà nước và các bên thứ 3, trong đó chủ yếu là các nhà đầu tư, các nhà cung cấp…
Bảng khảo sát của Griffths đối với các trưởng đoàn kiểm toán về các phương pháp tiếp cận chủ đạo tại các doanh nghiệp cho thấy phương pháp định hướng rủi ro ngày càng được coi là chủ đạo tăng từ 40% (năm 2000) lên đến 89% (năm 2004). Và phương pháp tiếp cận tuân thủ cũng như định hướng hệ thống đã giảm mạnh.
Bảng 1.1. Các phương pháp tiếp cận của kiểm toán nội bộ (%)
Năm
Phương pháp tiếp cận 2000 2002 2004
Định hướng rủi ro (RBA) 40 72 89
Định hướng hệ thống báo cáo tài chính 23 7 1
Định hướng hệ thống hoạt động 20 10 2
Tuân thủ 10 6 1
… … … ...
Nguồn: David Griffiths, 2006.
Bảng 1.2. So sánh giữa tiếp cận tuân thủ và tiếp cận trên cơ sở rủi ro Tiêu chí so
sánh Tiếp cận tuân thủ Tiếp cận trên cơ sở rủi ro
ND kiểm toán
Tập trung vào tuân thủ nếu sai phạm thì bắt lỗi
Đi từ mục tiêu hoạt động, sau đó tập trung vào rủi ro kiểm soát (kiểm toán hoạt động) Cơ sở Coi các quy định và thủ tục là tiêu
chuẩn
Phân tích, thiết kế các chính sách, các thủ tục và khuyến nghị.
Mục đích
Phát hiện, xác định các sai phạm và báo cáo vấn đề (tập trung vào tìm ra sai phạm giống như công tác kiểm tra)
Xác định nguyên nhân và khuyến nghị tư vấn, quan hệ phối hợp, hợp tác, chia sẻ, trao đổi để đưa ra giải pháp phát triển chứ không phải thanh tra
Chức năng Kiểm tra - Xác nhận - Khuyến nghị
Đảm bảo - Tư vấn
Đảm bảo Rủi ro quan trọng chưa được xem xét
Rủi ro quan trọng đảm bảo được quản lý
Phân bổ nguồn lực
Nguồn lực kiểm toán được dàn trải
Nguồn lực kiểm toán tập trung vào rủi ro nên phân bổ có hiệu quả hơn
Đối tượng kiểm toán
Đối tượng kiểm toán là đơn vị Đối tượng kiểm toán bao gồm cả quy trình, đặc biệt các quy trình liên quan nhiều đơn vị Định hướng Tập trung vào hiện tại và quá khứ Chú trọng tương lai
Theo đó, chúng ta có thể hiểu phương pháp tiếp cận trên cơ sở rủi ro như sau: - Đặt trọng tâm vào việc kiểm tra, đánh giá các quy trình thông qua các chốt kiểm soát để trả lời câu hỏi: quy trình có giúp nhận diện được rủi ro không, có hướng vào mục tiêu của đơn vị không.
- Xác định liệu việc tuân thủ quy trình có đủ để hóa giải các rủi ro, cần chú trọng xem các quy trình liệu có đảm bảo tính hợp lý và hiệu quả của hoạt động không.
- Luôn coi rủi ro là điểm xuất phát trong xuyên suốt cuộc kiểm toán từ lập kế hoạch, đến thực hiện kiểm toán, đến lập báo cáo kiểm toán và theo dõi sau kiểm toán.
Chuẩn mực kiểm toán nội bộ của IIA cũng hướng dẫn việc xây dựng kế hoạch kiểm toán trên cơ sở rủi ro và việc này phải thực hiện ít nhất một năm một lần để lựa chọn ưu tiên trong kiểm toán sao cho phù hợp với mục tiêu của Ngân hàng. Điều này cho phép kiểm toán nội bộ có thể đảm bảo với Hội đồng quản trị rằng quá trình quản trị rủi ro đang được thực hiện một cách hiệu quả phù hợp với với khẩu vị rủi ro của ngân hàng. (IIA, 2013, trang 9). Quy trình này được mô tả bằng sơ đồ sau:
Sơ đồ 1.3. Các bước thực hiện kiểm toán nội bộ dựa trên rủi ro
Nguồn: CIMA’s Official Study System, Management Accounting – Risk and Control Strategy, page 206.