Phương pháp kiểm toán nội bộ dựa trên rủi ro

phù 
hợp, giá cao 
hoặc cung ứng 
muộn
5 5 25
Nguyên vật liệu thô 
được xác định bởi 
bộ phận kỹ thuật. 
Mức giá thay đổi trên 
5% cần được GĐBH 
thẩm định lại. Việc 
cung ứng chậm được 
đánh dấu trong quá 
trình mua sắm
Giám sát chất 
lượng được thực 
hiện cho cả quy 
trình. Nhân viên 
cung ứng muộn 
sẽ bị nêu tên và 
phạt.
Báo cáo lợi nhuận 
gộp sẽ nhấn 
mạnh vào phần 
chi phí tăng thêm
0 25
Mua tài 
sản cố 
định
Mua tài 
sản cố 
định
Tài sản không 
được yêu cầu 
mua sắm, tài 
sản không phù 
hợp hoặc giá 
quá cao
4 5 20
Mua sắm TSCĐ phải 
được phê duyệt theo 
quy trình đã được 
xây dựng. TSCĐ mua 
sắm quá 1.000 cần 
được báo cáo giải 
thích
Báo cáo TSCĐ 
cần được thực 
hiện và thể hiện 
rõ mức độ chênh 
lệch giữa giá trị 
thực tế so với 
ngân sách
4 2 8 12
Chú ý: I = Impact - Mức độ ảnh hưởng; L = Likelyhood - Khả năng xảy ra,
(Nguồn: IIA, 2014, Appendix C)
Bảng 3: Tính điểm rủi ro theo khả năng xảy ra và hậu quả của rủi ro
Nếu mức độ ảnh hưởng khi rủi ro xảy ra là:
Hoặc
khả năng xảy 
ra của rủi ro là:
Phương 
pháp đo 
lường 
tính 
điểm 
như sau
Điểm
Một phần quan trọng hoặc cả đơn vị bị phá sản trong 
một khoảng thời gian dài
Gần như chắc 
chắn
Rất cao
(5)
Ngăn chặn đơn vị đạt được phần chính của mục tiêu 
trong khoảng thời gian dài Có thể xảy ra
Cao
(4)
Ngăn cản đơn vị đạt được một số mục tiêu trong 
khoảng thời gian giới hạn Có khả năng
Trung 
bình
(3)
Gây ra những bất lợi nhưng không ảnh hưởng đến 
khả năng đạt được những mục tiêu chính của đơn vị Không chắc
Thấp
(2)
Gây ra những bất lợi nhỏ, nhưng không ảnh hưởng 
đến khả năng đạt được mục tiêu của tổ chức Hiếm
Rất thấp 
(1)
(Nguồn: David Griffiths, 2009, RBIA Book 1 An Introduction – Establishing the internal control framework, 
trang 19)
NGHIEÂN CÖÙU TRAO ÑOÅI
NGHIÊN CỨU KHOA HỌC KIỂM TOÁN40 Số 136 - tháng 2/2019
 (2) Thu thập các tài liệu liên quan đến quản trị 
rủi ro.
(3) Kết luận về mức độ quản trị rủi ro tại đơn 
vị: Dựa trên các tài liệu thu thập được về quản trị 
rủi ro tại đơn vị, KTNB đưa ra sự đánh giá về mức 
độ quản trị rủi ro của đơn vị. Theo David Griffiths. 
KTNB có thể sử dụng thang đo 5 mức độ để đánh 
giá về mức độ quản trị rủi ro tại đơn vị như sau:
Bảng 4: Trích bảng đánh giá mức độ quản trị rủi ro
Mức độ
Mức độ 1
Risk naïve
Mức độ 2
Risk aware
Mức độ 3 
Risk defined
Mức độ 4
Risk managed
Mức độ 5
Risk enabled
Đặc trưng
Không áp dụng 
và phát triển 
khung quản 
trị rủi ro chính 
thức
Có áp dụng 
quản trị rủi ro 
nhưng không 
thường xuyên
Chiến lược 
và chính sách 
đã được thiết 
lập và truyền 
thông, mức rủi 
ro mong muốn 
đã được xác 
định
Phát triển và 
truyền thông 
khung quản 
trị rủi ro toàn 
doanh nghiệp 
Quản trị rủi ro 
và kiểm soát 
nội bộ được 
thực hiện như 
một chức năng 
xuyên suốt 
toàn doanh 
nghiệp
Quy trình
Doanh nghiệp 
đã xác định 
mục tiêu chưa?
Có
Nhà quản trị 
đã được đào 
tạo để hiểu về 
rủi ro và trách 
nhiệm của họ 
với rủi ro 
Không Một phần
Doanh nghiệp 
đã có hệ thống 
tính điểm rủi 
ro chưa?
Doanh nghiệp 
đã xây dựng 
và thực hiện 
xác định rủi ro 
chưa?
(Nguồn: David Griffiths, Risk based Internal Audit, Book 1 – Introduction, trang 71)
(4) Báo cáo kết quả đánh giá cho nhà quản trị và 
ủy ban kiểm toán. 
(5) Làm việc với ban quản lý để xác định nội 
dung cần thực hiện từ kết quả đánh giá. 
(6) Xác định chiến lược kiểm toán cần thiết. 
Các nhiệm vụ kiểm toán lúc này phụ thuộc vào 
sự đánh giá về mức độ quản trị rủi ro tại doanh 
nghiệp cũng như sự chấp thuận của nhà quản trị 
và ủy ban kiểm toán: (1) Chiến lược đảm bảo, (2) 
khung mẫu sử dụng cho kế họach kiểm toán và (3) 
chiến lược tư vấn.
• Giai đoạn 2: Lập kế hoạch kiểm toán định kỳ 
- Periodic Audit Planning
NGHIÊN CỨU KHOA HỌC KIỂM TOÁN 41Số 136 - tháng 2/2019
Kiểm toán dựa trên rủi ro không phải là kiểm 
toán các rủi ro tại đơn vị mà là kiểm toán quản 
trị rủi ro, tập trung vào quy trình thực hiện bởi 
bộ phận quản lý của đơn vị với các nội dung; các 
phương án ứng phó với nhóm rủi ro riêng lẻ, các 
quy trình được sử dụng để đánh giá rủi ro, quyết 
định phương án ứng phó và giám sát việc thực 
hiện, báo cáo với hội đồng quản trị.
Bảng 5: Chức năng đảm bảo của RBIA
(Nguồn: IIA, 2014, trang 9)
Các công việc cần thực hiện trong giai đoạn 2 
bao gồm: (1) Xác định các phương án đối phó và 
quy trình quản trị rủi ro mà ở đó nhiệm vụ tư vấn 
của KTNB được yêu cầu, (2) Phân loại và ưu tiên 
rủi ro, (3) Liên kết giữa rủi ro và nhiệm vụ kiểm 
toán, (4) Thiết lập kế hoạch kiểm toán định kỳ và 
(5) Báo cáo với nhà quản trị và ủy ban kiểm toán.
(1) Xác định các phương án đối phó và quy 
trình quản trị rủi ro mà ở đó nhiệm vụ tư vấn của 
KTNB được yêu cầu. 
KTNB nên xem xét lại yêu cầu đảm bảo và hệ 
thống đăng ký rủi ro, sau đó liệt kê các phương án 
mà ở đó mục tiêu đảm bảo được yêu cầu, cùng với 
các thông tin về rủi ro liên quan:
Phương án ứng 
phó rủi ro kiểm toán
Chấm dứt hoạt 
động nếu rủi ro 
chúng tạo ra quá 
cao hặc quá tốn 
kém
Thực hiện dự án và kế 
hoạch để chấm dứt hoạt 
động
Chấp nhận, dung 
nạp rủi ro
Giám sát rủi ro
Chuyển giao rủi ro Quy trình chuyển giao 
rủi ro
Xử lý rủi ro Các kiểm soát hoạt động 
và kế toán quen thuộc 
là trọng tâm của KTNB 
trong nhiều năm.
(Nguồn: IIA, 2014, trang 10)
NGHIEÂN CÖÙU TRAO ÑOÅI
NGHIÊN CỨU KHOA HỌC KIỂM TOÁN42 Số 136 - tháng 2/2019
Bảng 6: Xây dựng kế hoạch kiểm toán
Nguồn: IIA, 2014, trang 12)
(2) Phân loại và ưu tiên rủi ro.
Rủi ro trong đơn vị nên được phân loại theo thứ 
tự logic nếu có số lượng lớn sẽ vô cùng hữu ích cho 
việc lập kế hoạch kiểm toán. Cách phân loại hữu 
ích này bao gồm:
• Bởi các đơn vị kinh doanh: Cách phân loại này 
thực sự hữu ích cho các tổ chức được cấu thành bởi 
nhiều các đơn vị phụ thuộc, quá trình và hệ thống 
được thực hiện khép kín. Các câu hỏi có thể được 
sử dụng lặp lại giữa các đơn vị như những rủi ro 
phát sinh từ hệ thống máy tính ở tất cả các đơn vị.
• Bởi chức năng hoặc hệ thống như bán hàng, 
cung ứng hoặc giám sát cổ phiếu. Phương pháp này 
phù hợp với tổ chức trung tâm với các hệ thống 
tích hợp.
• Bởi mục tiêu: Phương pháp này thật sự phù 
hợp khi thực hiện kiểm toán do nó liên quan trực 
tiếp đến đơn vị được kiểm toán, tạo liên kết trực 
tiếp giữa kiểm toán và các mục tiêu bị ảnh hưởng 
bởi rủi ro. Những vấn đề được nhà quản trị quản 
lý chính là những nội dung được kiểm toán nội bộ 
kiểm tra.
(3) Liên kết giữa rủi ro và nhiệm vụ kiểm toán. 
Có 2 phương pháp để có thể thực hiện liên kết 
giữa rủi ro và nhiệm vụ kiểm toán:
NGHIÊN CỨU KHOA HỌC KIỂM TOÁN 43Số 136 - tháng 2/2019
1. Nhóm các rủi ro theo đơn vị kinh doanh, 
mục tiêu, chức năng hoặc hệ thống và quyết định 
nhiệm vụ kiểm toán cung cấp sự đảm bảo đến các 
phương án ứng phó liên quan. 
2. Thiết lập hệ thống kiểm toán nội bộ. Phương 
pháp này đặt mỗi nhiệm vụ kiểm toán vào một đơn 
vị kinh doanh hoặc hệ thống mà ở đó KTNB sẽ 
cung cấp sự đảm bảo.
Bảng 7: Trích hệ thống kiểm toán nội bộ (Audit Universe)
Đơn vị 
kinh 
doanh
Nội 
dung 
kiểm 
toán
Nhóm 
kiểm 
toán
Chi tiết lần kiểm toán trước Thời điểm 
báo cáo 
thực tế
kết 
quả 
trước
Số 
kT 
tiếp
Ngân 
sách 
kT 
tiếp
Thời 
gian kT 
tiếp
Tình 
trạng
Mục tiêu 
báo cáoSố Ngân sách
Thực 
tế
Thời 
gian
Mục tiêu 
báo cáo
Cung 
ứng
Chiến 
lược 
cung 
ứng
Q 123 3 4 06/ 2016 23/6/2016 28/6/2016 Chấp nhận 3 03/2018
Không 
có KH
Cung 
ứng 
cho sản 
xuất
R 124 20 29 09/2016 25/10/2016 10/11/2016
Không 
chấp 
nhận
253 18 09/2018 Có kế họach 25/10/2018
Mua 
sắm 
TSCĐ
S
Mua 
hàng 
hóa 
T
(Nguồn: IIA, 2014, Appendix D)
Đơn vị cần phải thu thập và ghi nhận thông tin liên kết với rủi ro, phương án ứng phó và nhiệm vụ kiểm 
toán cần cung cấp sự đảm bảo cho các phương án ứng phó.
Bảng 8: Trích hệ thống rủi ro và kiển toán nội bộ (Risk and Audit Universe)
Đơn 
vị 
Rủi ro 
chính
Phương án ứng 
phó Giám sát I L
Điểm 
rủi ro 
còn 
lại
Điểm 
kiểm 
soát
Nội 
dung 
kiểm 
toán
Nhóm 
kiểm 
toán
Số 
kiểm 
toán
Báo cáo 
cuối cùng 
kết 
quả 
kT 
trước
Cung 
ứng
Mục tiêu 
không 
được thực 
hiện hiệu 
quả và hiệu 
năng
Mục tiêu chiến 
lược được trình 
bày rõ ràng trong 
văn bản, xuyên 
suốt trên mạng 
nội bộ đến tất 
cả các nhân viên 
của bộ phận
Mục tiêu chiến 
lược được 
HĐQT chấp 
nhận
5 1 5 20
Chiến 
lược 
cung 
ứng
Q 123 28/06/2017 Chấp nhận
Nguyên vật 
liệu mua 
vào không 
phù hợp, 
giá cao 
hoặc cung 
ứng muộn
Nguyên vật liệu 
thô được xác 
định bởi bộ 
phận kỹ thuật. 
Mức giá thay 
đổi trên 5% cần 
được GĐBH 
thẩm định lại. 
Việc cung ứng 
chậm được đánh 
dấu trong quá 
trình mua sắm
Giám sát chất 
lượng được 
thực hiện 
cho cả quy 
trình. Nhân 
viên cung ứng 
muộn sẽ bị nêu 
tên và phạt.
Báo cáo lợi 
nhuận gộp sẽ 
nhấn mạnh 
vào phần chi 
phí tăng thêm
0 25
Cung 
ứng 
cho 
sản 
xuất
Q 124 10/11/2017
Không 
chấp 
nhận
NGHIEÂN CÖÙU TRAO ÑOÅI
NGHIÊN CỨU KHOA HỌC KIỂM TOÁN44 Số 136 - tháng 2/2019
Tài sản 
không 
được yêu 
cầu mua 
sắm, tài sản 
không phù 
hợp hoặc 
giá quá cao
Mua sắm TSCĐ 
phải được phê 
duyệt theo quy 
trình đã được 
xây dựng. TSCĐ 
mua sắm quá 
1.000 cần được 
báo cáo giải 
thích
Báo cáo TSCĐ 
cần được thực 
hiện và thể 
hiện rõ mức 
độ chênh lệch 
giữa giá trị 
thực tế so với 
ngân sách
4 2 8 12
Cung 
ứng 
TSCĐ
S
 (Nguồn: IIA, 2014, Appendix E)
(4) Lập kế hoạch kiểm toán định kỳ.
Ước tính thời gian và nguồn lực cần thiết cho 
mỗi cuộc kiểm toán. RBIA luôn đề ra một lượng 
công việc được xác định, do đó xác định được các 
nguồn lực để hoàn thành công việc. Kiểm toán nội 
bộ có thể đề xuất tăng nhân viên, hoặc giảm số 
lượng kiểm toán viên phù thuộc vào kế hoạch kiểm 
toán được xây dựng.
(5) Báo cáo với nhà quản trị và ủy ban kiểm 
toán.
Bảng 9: kế hoạch kiểm toán mẫu
Đơn vị 
kinh 
doanh
Nội dung kiểm toán
Nhóm 
kiểm 
toán
Số 
kT 
tiếp
Ngân 
sách 
kT tiếp
Thời gian 
kiểm toán 
tiếp
kTV Tình trạng
Mục tiêu 
báo cáo
Cung ứng Chiến lược cung ứng Q 3 03/2018 Không có KH
Cung ứng Cung ứng cho sản xuất R 253 18 09/2018 Lan Có KH 25/10/2018
Cung ứng Cung ứng TSCĐ S 254 20 04/2018 Hương Trong tiến trình 03/05/2018
Cung ứng Cung ứng hàng hóa T
Nguồn: IIA, 2014, Appendix F)
• Giai đoạn 3: Nhiệm vụ kiểm toán riêng lẻ - 
Individual Audit Assignment
RBIA không phải là kiểm toán các rủi ro mà 
kiểm toán việc quản trị rủi ro tại đơn vị, do đó sẽ 
tập trung vào các biện pháp nhà quản trị thực hiện 
để ứng phó với rủi ro. KTVNB nên sử dụng thời 
gian làm việc với nhà quản trị, thảo luận và xác 
định các biện pháp kiểm soát họ đang áp dụng hơn 
là thiết lập lại kiểm soát hoặc các phương án ứng 
phó, phân tích dữ liệu cho bản thân. 
Mục tiêu của giai đoạn này là cung cấp sự đảm 
bảo trong mối liên hệ với hoạt động kinh doanh, hệ 
thống đang được xem xét cũng như được xác định 
trong kế hoạch kiểm toán, cụ thể:
✓ Nhà quản trị đã xác định, đánh giá đưa ra các 
phương án ứng phó với các rủi ro bao gồm cả các 
rủi ro phía trên và dưới mức rủi ro mong muốn 
của đơn vị.
✓ Các phương án ứng phó với rủi ro mang 
lại hiệu quả nhưng không quá mức trong việc 
quản lý các rủi ro tiềm tàng trong mức độ rủi ro 
mong muốn.
✓ Đối với các rủi ro còn lại không nằm trong 
mức độ rủi ro mong muốn, đã có các phương án 
khắc phục được xây dựng.
✓ Quá trình quản trị rủi ro, bao gồm cả hiệu 
quả của các phương án ứng phó đang được giám 
sát bởi nhà quản trị để đảm bảo chúng hoạt động 
hiệu quả.
NGHIÊN CỨU KHOA HỌC KIỂM TOÁN 45Số 136 - tháng 2/2019
✓ Rủi ro, phương án ứng phó và hành động 
đang được phân loại và báo cáo đúng đắn.
Để có thể đạt được các mục tiêu này, KTNB cần 
phải thực hiện các bước công việc như sau:
(1) Xác định phạm vi kiểm toán. 
(2) Đánh giá mức độ quản trị rủi ro của các đơn 
vị được kiểm toán.
(3) Kết luận về cấp độ đánh giá mức độ quản 
trị rủi ro.
(4) Xác nhận về phạm vị thực hiện nhiệm vụ. 
(5) Thảo luận và quan sát các giám sát kiểm soát. 
(6) Xác minh bằng chứng, kiểm soát hoặc thực 
hiện lại.
(7) Tài liệu hóa kết quả kiểm toán.
(8) Xem xét lại sự đánh giá của tổ chức về các 
rủi ro còn lại.
(9) Kết luận về phương án và quá trình quản trị 
rủi ro đã được kiểm toán.
(10) Báo cáo và nhận phản hồi.
(11) Tóm tắt kết luận kiểm toán cho ủy ban 
kiểm toán.
3. kết luận
Phương pháp kiểm toán dựa trên rủi ro được 
đánh giá là phương pháp mang lại nhiều ưu điểm 
cho đơn vị trên phương diện đánh giá về khung 
quản trị rủi ro hiện tại đơn vị áp dụng về cả phương 
diện thiết kế và vận hành. Sau quá trình đánh giá 
KTNB một lần nữa cung cấp sự đảm bảo về hiệu 
quả của quản trị rủi ro trong doanh nghiệp. Trường 
hợp trình độ quản trị rủi ro tại đơn vị được đánh 
giá ở mức độ thấp, kiểm soát nội bộ tại đơn vị hoạt 
động chưa hữu hiệu thì chức năng tư vấn của kiểm 
toán nội bộ sẽ được phát huy. Bài viết đã chỉ ra 
những yếu tố nền tảng cơ bản cho đơn vị áp dụng 
phương pháp kiểm toán nội bộ dựa trên rủi ro, làm 
rõ hơn các bước trong quy trình thực hiện giúp bộ 
phận kiểm toán nội bộ phát huy tối da chức năng 
đảm bảo và tư vấn, góp phần tạo ra giá trị cho 
doanh nghiệp.
TÀI LIỆU THAM KHẢO
1. Bộ Tài chính (1997), Quyết định số 
832-TC/QD/CDKT, Quyết định về tổ 
chức kiểm toán nội bộ, ban hành ngày 
28/10/1997;
2. Bộ Tài chính (2016), Quyết định số 
174/2016/NĐ-CP quy định Luật Kế toán, 
ban hành ngày 30/12/2016;
3. PGS,TS Thịnh Văn Vinh & TS Phạm Tiến 
Hưng (2014), Giáo trình kiểm toán nội bộ, 
Nhà xuất bản Tài chính, Hà Nội, Việt Nam;
4. Nguyễn Thị Thái An (2018), “Organization 
and internal auditing activities in Vietnamese 
enterprises: situation in reality and solutions”, 
Proceeding of International Conference 
“Bulding and Implementing an effective 
internal audit function in Vietnam and around 
the world”, NXB Tài chính, Hà nội, tr.35-40;
5. Hoang Ngoc Hung (2018), ‘Key challenges 
to establishing an Internal Audit function in 
Vietnam’, Diễn giả hội thảo quốc tế Building 
and Implementing an effective Internal 
Audit function in Vietnam and around the 
world, Hội Kế toán Kiểm toán Việt nam, 
Smart Training, tổ chức ngày 21/8/2018; 
6. Nguyễn Thị Quế & PGS.TS Trần Mạnh 
Dũng (2018), ‘Auditor’s Perception in 
Usage of Audit Information Technology in 
Vietnam’, Kỷ yếu hội thảo quốc tế “Bulding 
and Implementing an effective internal audit 
function in Vietnam and around the world”, 
NXB Tài chính, Hà nội, tr.14-26;
7. Norman Marks (2018), “A Look into the 
Future: The Next Evolution of Internal Audit 
Continuous Risk and Control Assurance”, 
Journal of Auditing, số 15, tr 15-23;
8. The IIA Global (2004), International 
Professional Practices Framework, America;
9. The IIA Global (2014), Risk based internal 
auditing, America;
10. The IIA Global (2018), Global America 
Pulse of Internal Audit, America.