Đánh giá rủi ro “động” kết hợp các loại đầu vào, bao gồm: Đánh giá định tính thông qua phỏng vấn và dữ liệu (xác định khả năng xảy ra, tác động và tốc độ xảy ra rủi ro dựa trên dữ liệu được tham khảo, các yếu tố hiện tại và kiến thức chung về doanh nghiệp); đánh giá định lượng (các chỉ số hiệu suất tài chính, hoạt động và các chỉ số kinh doanh khác được coi là chìa khóa cho sự thành công trong hoạt động); kết hợp đánh giá rủi ro từ bên ngoài (các tổ chức uy tín về các chỉ số xếp hạng doanh nghiệp, tín dụng…).
Những thách thức trong đánh giá rủi ro kiểm toán
Hiện nay, các quy định, công nghệ và nhu cầu của bên liên quan đều đang thay đổi nhanh chóng. Điều này kéo theo những thách thức cho các kiểm toán viên trong quá trình đánh giá rủi ro kiểm toán.
Trước hết, môi trường kinh doanh biến động nhanh, chuỗi cung ứng đứt gãy, lạm phát, khủng hoảng năng lượng, biến đổi khí hậu, hay các vấn đề liên quan tới phát triển bền vững, quản lý rủi ro môi trường - xã hội đều là những thách thức lớn. Bên cạnh đó, các rủi ro mới nổi như chiến tranh thuế quan và thương mại, suy giảm chi tiêu tiêu dùng cũng khó lường. Các vấn đề này đều gây ra thách thức trong đánh giá rủi ro liên quan đến thông tin kế toán, định giá tài sản, dự phòng rủi ro tài chính, nợ phải thu, hàng tồn kho...
Mặt khác, chuyển đổi số và công nghệ mới, sự gia tăng công nghệ số, AI, Blockchain, điện toán đám mây, hệ thống ERP và các công cụ quản lý đa nền tảng tạo cơ hội cho xử lý và lưu trữ khối lượng dữ liệu lớn, nhưng cũng tiềm ẩn những rủi ro về “trí tuệ nhân tạo ngầm”. Điển hình như lỗ hổng bảo mật, gian lận số, tấn công mạng ngày càng tinh vi và khó phát hiện, dữ liệu lớn nhưng phân tán. Bối cảnh đó đòi hỏi kiểm toán viên phải có kỹ năng đánh giá rủi ro công nghệ thông tin, kiểm soát chất lượng dữ liệu trước khi phân tích, áp dụng phân tích dữ liệu lớn (data analytics) hoặc ứng dụng AI để phát hiện xu hướng và các điểm bất thường.
Một thách thức lớn nữa là sự thiếu hụt nhân sự kiểm toán chất lượng cao, vừa có kiến thức về tài chính, kiểm toán công nghệ thông tin, quản trị rủi ro, ESG…, vừa có các kỹ năng trong kiểm toán như kỹ năng giao tiếp, phối kết hợp các bộ phận tại các tuyến phòng thủ số một (các bộ phận trực tiếp thực hiện giao dịch, nghiệp vụ cung cấp sản phẩm/dịch vụ cho khách hàng và đối tác) và tuyến phòng thủ số hai (các bộ phận hỗ trợ ban điều hành trong giám sát, kiểm soát tuyến phòng thủ số một như ban quản lý rủi ro, bộ phận thanh tra/kiểm soát nội bộ…). Điều này gây khó khăn cho hoạt động đánh giá rủi ro của bộ phận KTNB.
Tận dụng mọi nguồn dữ liệu để đánh giá rủi ro
Đứng trước những thách thức ngày càng gia tăng, KTNB cần chuyển sang tư duy đánh giá rủi ro “động” theo thời gian thực. Theo nghiên cứu của Nhóm tác giả Scott McCowan, Megan Duggan (năm 2022), đánh giá rủi ro “động” là quá trình liên tục thu thập dữ liệu mới từ nhiều nguồn để nhanh chóng đánh giá và xác định, sắp xếp lại thứ tự ưu tiên, trong đó đặc biệt chú ý tới các rủi ro lớn, rủi ro mới nổi. Dữ liệu đầu vào trong đánh giá rủi ro cần tận dụng từ dữ liệu nội bộ và bên ngoài để xác định một tập hợp rộng hơn các rủi ro đang thay đổi nhanh chóng.
Xuất phát từ thực tế, tác giả đưa ra một số khuyến nghị nhằm thực hiện đánh giá rủi ro “động” theo thời gian thực như sau: Trước tiên, KTNB cần cập nhật sổ đăng ký rủi ro thường xuyên (không chỉ hằng năm) dựa trên dữ liệu mới, ý kiến đóng góp của các bên liên quan và thông tin từ bên ngoài.
Các tổ chức nên cân nhắc áp dụng một nền tảng rủi ro tổng hợp các nguồn dữ liệu bên ngoài, bao gồm: Các yếu tố rủi ro của công ty ngang hàng từ các báo cáo công khai; phân tích tin tức và phương tiện truyền thông xã hội; phân tích tín dụng; xếp hạng an ninh mạng; các yếu tố địa chính trị (bao gồm Chỉ số tham nhũng và xếp hạng rủi ro quốc gia dựa trên AI); kết hợp việc sử dụng công cụ PEST (chính trị, kinh tế, xã hội và công nghệ); thông tin công khai về các mối quan hệ kinh doanh quan trọng với nhà cung cấp, khách hàng, nội bộ ngành, đối thủ cạnh tranh.
Điều này giúp hồ sơ rủi ro của KTNB luôn cập nhật và phù hợp, đánh giá lại bối cảnh rủi ro, thu thập thông tin tình báo mới và hiệu chỉnh lại kế hoạch kiểm toán khi cần thiết. Các cuộc họp thường xuyên với ban lãnh đạo là rất quan trọng để sắp xếp lại các ưu tiên rủi ro mới nổi.
Đồng thời, các tổ chức cần xây dựng văn hóa kiểm soát cởi mở với các rủi ro mới phát sinh, chẳng hạn: Khuyến khích các bộ phận công nghệ thông tin, tuân thủ, vận hành và quản lý rủi ro thảo luận cởi mở về rủi ro; thiết lập các giao thức báo cáo rõ ràng và khuyến khích đối thoại cởi mở về các mối đe dọa mới nổi. Một đánh giá rủi ro năng động, giúp đưa ra phản ứng phù hợp vào đúng thời điểm là rất quan trọng để bảo vệ và xây dựng giá trị của tổ chức.
Thứ hai, KTNB cần nâng cao kiến thức chuyên môn và kỹ năng trong đánh giá rủi ro, ứng dụng AI để có thể phân tích dữ liệu phi cấu trúc và đưa ra các mẫu thông tin, với việc nhập các thông số đánh giá phù hợp. Kiểm toán viên phải hiểu rõ về dữ liệu và cần có bộ kỹ năng để quản lý một cách hiệu quả.
Các kiểm toán viên cũng cần sử dụng các kỹ thuật trực quan hóa dữ liệu để trình bày kết quả phát hiện cho các bên liên quan; sử dụng công nghệ và tự động hóa để giám sát thường xuyên và tổng hợp dữ liệu. Tất nhiên, các kiểm toán viên nội bộ vẫn phải duy trì thái độ hoài nghi nghề nghiệp và tư duy phản biện trong quy trình đánh giá rủi ro. Vai trò của kiểm toán viên thay đổi từ người đánh giá sang người phân tích, ứng dụng các kết quả của hệ thống AI vào quá trình kiểm toán.
Bên cạnh đó, kiểm toán viên nội bộ cần hợp tác với các chuyên gia bên ngoài, nâng cao năng lực thông qua các khóa đào tạo ngắn hạn hoặc tham dự các hội thảo, tọa đàm với các chuyên gia về lĩnh vực kiểm toán công nghệ thông tin và đánh giá rủi ro, tận dụng công nghệ để tự động hóa các công việc thường xuyên. Với việc cung cấp những thông tin chuyên sâu kịp thời, KTNB có thể trở thành một đối tác và cố vấn chiến lược thực thụ./.
