Rủi ro kiểm soát nội bộ đề cập đến những khả năng một tổ chức có thể không đạt được một trong những mục tiêu hoạt động (objectives) của mình. Các công ty nên sử dụng kết hợp hiệu quả các biện pháp kiểm soát để giải quyết hiệu quả các rủi ro.
1. Rủi ro kiểm soát nội bộ (Internal Control Risks)
b. Các biện pháp kiểm soát (Types of Controls)
2. Chiến lược kiểm soát và giảm thiểu rủi ro (Risk Assessment and Mitigation Strategies)
I. Mục tiêu
- Thể hiện sự hiểu biết về rủi ro (risks) kiểm soát nội bộ và việc quản lý rủi ro kiểm soát nội bộ.
- Xác định và phân biệt giữa kiểm soát phòng ngừa (preventive controls) và kiểm soát phát hiện (detective controls).
- Đánh giá mức độ rủi ro kiểm soát nội bộ trong một tổ chức và đề xuất các chiến lược giảm thiểu rủi ro (risk mitigation).
II. Nội dung
Trong bài học này chúng ta sẽ tìm hiểu về
- Các rủi ro trong quá trình kiểm soát nội bộ và kiểm soát phòng ngừa, cách phát hiện và khắc phục các rủi ro đó.
- Thảo luận về các chiến lược đánh giá và giảm thiểu rủi ro cho kiểm soát nội bộ.
1. Rủi ro kiểm soát nội bộ (Internal Control Risks)
a. Rủi ro kiểm soát nội bộ (Internal Control Risks)
Rủi ro kiểm soát nội bộ đề cập đến những khả năng một tổ chức có thể không đạt được một trong những mục tiêu hoạt động (objectives) của mình.
Rủi ro thất bại kiểm soát nội bộ (risk of an internal control failure) là kết quả của rủi ro tiềm tàng (Inherent Risk) và tính hiệu quả (effectiveness) của các loại biện pháp kiểm soát khác nhau.
Rủi ro tiềm tàng (Inherent Risk) thể hiện rủi ro xảy ra sai sót trong kiểm soát nếu không có bất kỳ biện pháp kiểm soát nào.
Bản chất của rủi ro tiềm tàng là những rủi ro cố hữu xảy ra do các yếu tố như:
Ví dụ:
Rủi ro nhân viên gian lận tiền (skimming cash) tại các nhà hàng sẽ cao hơn tại các bệnh viện. Đó là hệ quả tự nhiên (natural consequence) của việc ngành nhà hàng có nhiều giao dịch tiền mặt nhỏ. Rủi ro tiềm tàng này có thể được giải quyết bằng cách sử dụng kết hợp một số loại biện pháp kiểm soát.
b. Các biện pháp kiểm soát (Types of Controls)
-
- Biện pháp kiểm soát chính (Primary controls)
-
- Biện pháp kiểm soát phụ (Secondary controls)
- Biện pháp kiểm soát theo thời gian (Time-based classification)
- Biện pháp kiểm soát bảo vệ (Safeguarding Controls)
- Các biện pháp kiểm soát bảo vệ giới hạn quyền truy cập chỉ dành cho những nhân viên được ủy quyền. Quyền truy cập này bao gồm cả quyền truy cập trực tiếp hoặc qua hệ thống máy tính vào tài sản và quyền truy cập gián tiếp, chẳng hạn như thông qua ủy quyền để có được, sử dụng hoặc định đoạt tài sản.
Ví dụ: - Biện pháp kiểm soát hiện vật (Physical Controls)
Kiểm soát hiện vật đề cập đến việc bảo vệ tài sản liên quan đến các thiết bị bảo mật và hạn chế quyền truy cập vào các chương trình và khu vực hạn chế, bao gồm cả cơ sở máy tính.
Các công ty nên sử dụng kết hợp hiệu quả các biện pháp kiểm soát để giải quyết hiệu quả các rủi ro tiềm tàng. Các biện pháp kiểm soát hiệu quả của một loại biện pháp có thể làm giảm hoặc thậm chí loại bỏ nhu cầu đối với các loại kiểm soát khác.2. Chiến lược kiểm soát và giảm thiểu rủi ro (Risk Assessment and Mitigation Strategies)
Rủi ro kiểm soát nội bộ cần được đánh giá và xác định mức độ phân bổ (allocate) các nguồn lực (thời gian, nhân công và tài chính) để giảm mức độ rủi ro xuống mức có thể chấp nhận được.
Rủi ro kiểm soát nội bộ là kết quả của khả năng xảy ra thất bại (likelihood of an internal control failure) và khả năng xảy ra tổn thất (potential for loss). Do đó, các công ty cũng phải xem xét chi phí để giải quyết các rủi ro tiềm tàng khi xảy ra thất bại trong kiểm soát nội bộ.
Ma trận rủi ro sau đây có thể được sử dụng khi xác định cách giảm thiểu rủi ro kiểm soát nội bộ:
(1) Khi khả năng xảy ra rủi ro và khả năng tổn thất do sai sót kiểm soát nội bộ là thấp, các công ty nên chấp nhận rủi ro. Trong trường hợp này, chi phí thực hiện các biện pháp kiểm soát có thể sẽ lớn hơn lợi ích của việc rủi ro thấp.
Ví dụ:
Các cửa hàng kinh doanh phần cứng có thể dễ bị khách hàng đánh cắp sản phẩm, nhưng chi phí và khả năng xảy ra thấp đến mức tốt nhất nên coi tổn thất liên quan là chi phí kinh doanh.
(2) Khi khả năng xảy ra tổn thất kiểm soát nội bộ thấp nhưng khả năng xảy ra rủi ro cao, các công ty nên thực hiện kiểm soát nội bộ để ngăn ngừa hoặc phát hiện và khắc phục lỗi kiểm soát nội bộ.
Ví dụ:
Khả năng nhân viên ăn cắp tiền tại quầy tính tiền có thể cao ngay cả khi trung bình họ không ăn cắp nhiều. Trong trường hợp này, các nhà hàng có thể muốn thực hiện kiểm soát nội bộ đối với các giao dịch tiền mặt.
(3) Khi khả năng tổn thất do sai sót kiểm soát nội bộ cao nhưng khả năng xảy ra rủi ro thấp, doanh nghiệp nên mua bảo hiểm để giúp giảm thiểu rủi ro kiểm soát nội bộ.
Ví dụ:
Bão và các thiên tai khác rất khó xảy ra nhưng khi chúng xảy ra sẽ rất tốn kém để khắc phục hậu quả. Hầu hết các công ty mua bảo hiểm để giải quyết rủi ro thiên tai
(4) Khi khả năng xảy ra tổn thất và khả năng xảy ra do sai sót kiểm soát nội bộ đều cao, các công ty có thể quyết định thay đổi chiến lược kinh doanh của mình để tránh rủi ro.
Ví dụ:
Các ngân hàng không cho những người có điểm tín dụng thấp vay những khoản tiền lớn.
III. Bài tập
Question 1: Within the context of enterprise risk management, what is the meaning of inherent risk?
Answer:
Inherent risk is the risk of an entity in the absence of any direct or focused actions by management to alter its severity.
Question 2: In order to reduce the level of risk to an acceptable level, what resources need to be assessed and allocated by the business?
Answer:
Resources that should be assessed and allocated in the process of mitigating internal control risk include:
-
- Time
- Labor
- Finance
Question 3: The risk matrix-based internal risk reduction approach considers which elements of internal control risk?
Answer:
The risk matrix helps to determine how to reduce internal control risk by considering the outcome of the likelihood of internal control failure and the potential of loss.