Kiểm toán nội bộ: Tận dụng cơ hội trên con đường chuyển đổi

Đẩy nhanh tiến độ sử dụng và quản lý AI

Theo khảo sát Tập trung vào tương lai năm 2025 của AuditBoard, chỉ 49% giám đốc kiểm toán (CAE) đánh giá tổ chức của họ hiểu rõ về các mục đích sử dụng chính của AI. Đây là một phát hiện đáng kinh ngạc vì nó cho thấy việc đánh giá và giám sát rủi ro không đầy đủ. Việc sử dụng GenAI của KTNB cũng rất yếu kém khi có tới 50% nhóm KTNB không có nỗ lực nào hướng tới việc triển khai GenAI trong bất kỳ phần nào của công việc. Ngoài ra, chỉ có 4% CAE cho biết họ có sự tiến bộ đáng kể trong việc triển khai GenAI tại các lĩnh vực.

Những trở ngại mà KTV phải đối mặt trong quá trình áp dụng AI được cho là do thiếu hiểu biết, chi phí, các quy định nghiêm ngặt của tổ chức và sự thận trọng của từng cá nhân về việc sử dụng AI. Tuy nhiên, sự nhạy bén, phán đoán và kinh nghiệm - tấm lưới an toàn của KTV lại không được nhắc đến khi nỗ lực áp dụng AI. Thực tế, càng sử dụng nhiều các công cụ GenAI, KTV càng hiểu rõ hơn về những lợi ích và hạn chế tiềm ẩn của chúng. Do đó, việc dạy AI và đưa ra các yêu cầu là một kỹ năng quan trọng, hơn nữa, KTV phải chủ động thử nghiệm các công cụ AI như: Phân tích dữ liệu, tự động hóa các nhiệm vụ, đề xuất các quy trình, tạo bản tóm tắt, viết báo cáo, kiểm tra sự tuân thủ hoặc hỗ trợ lập kế hoạch...

Các nhóm KTNB cần làm việc với bộ phận quản lý công nghệ thông tin để xác định và đánh giá các công nghệ tiềm năng, từ đó cá nhân hóa và khám phá các trình tăng tốc do AI điều khiển để quản lý dự án, lập bản đồ kiểm soát, xác định các yêu cầu trùng lặp, tuyển dụng nhân sự, soạn thảo và tóm tắt báo cáo, mô tả rủi ro. KTV cũng có thể học hỏi các thông lệ hàng đầu từ IIA, ISACA, NIST, các KTV khác và tham gia các khóa đào tạo AI chính thức.

Vượt qua rào cản để lập kế hoạch chiến lược

Một kết quả bất ngờ từ khảo sát của AuditBoard là nhiều CAE thiếu hiểu biết sâu sắc về lập kế hoạch chiến lược (57%), trong đó, những trở ngại được nêu ra là do sự không chắc chắn về nguồn lực, mục tiêu trong tương lai, không hiểu hết mục đích của một kế hoạch chiến lược, không cùng chung quan điểm. Trong khi đó, rủi ro thường xuyên thay đổi và không chắc chắn, buộc KTNB phải có các kế hoạch chiến lược phù hợp để tuân thủ các quy định và luôn đi đúng hướng.

KTNB đang phải đối mặt với một bước ngoặt. Đây không phải là thời điểm bình thường, cần phải có hành động phi thường. Chúng ta phải trang bị tốt hơn để hiểu và đối mặt với những rủi ro của ngày mai trong khi vẫn thu được nhiều lợi ích từ các nguồn lực hạn chế.

Ông Richard Chambers Cố vấn cấp cao về Rủi ro và Kiểm toán của AuditBoard, nguyên Tổng giám đốc điều hành IIA.

Các chuyên gia nhấn mạnh rằng, đối với năm 2025, KTNB phải lên kế hoạch chiến lược chi tiết cho việc sử dụng công nghệ, cụ thể: Đánh giá khoảng cách để xác định các hạn chế về công nghệ và cơ hội cải thiện hiệu quả, hiệu suất các cuộc kiểm toán, quy trình làm việc; đánh giá tính khả thi để xác định chi phí/khả năng thành công; cộng tác với các phòng ban khác để đánh giá mức độ quan tâm trong việc triển khai một nền tảng rủi ro kết nối nhằm quản lý rủi ro và kiểm soát; sử dụng các công cụ phân tích chung; sử dụng AI và các công nghệ thu thập, làm sạch, lưu trữ dữ liệu; xác định và ứng phó với các rủi ro công nghệ liên quan đến hoạt động kiểm toán.

Cải thiện khả năng giám sát rủi ro

An ninh mạng được xếp hạng cao nhất và là lĩnh vực được kiểm toán nhiều nhất với 82% KTV đánh giá rủi ro này là "rất cao" hoặc "cao hơn mức trung bình" đối với tổ chức trong năm 2025. Tuy nhiên, các vị trí tiếp theo trên bảng xếp hạng rủi ro lại không tương xứng với những nỗ lực và kế hoạch kiểm toán đề ra. Theo đó, điều kiện kinh tế thay đổi là rủi ro số 2, nhưng lại xếp hạng số 11 trong kế hoạch kiểm toán.

Ngược lại, gian lận là rủi ro được xếp hạng ở vị trí số 10 nhưng đứng vị trí số 3 về các nỗ lực kiểm toán theo kế hoạch. Điều này cho thấy quan điểm về rủi ro và phân bổ nguồn lực KTNB không nhất quán. Thêm vào đó, 39% CAE trả lời không hợp tác với các nhóm quản trị, rủi ro và tuân thủ khác để chia sẻ công nghệ. Điểm yếu này dẫn đến dữ liệu và các nhóm không kết nối, áp lực khi kiểm toán, trùng lặp các nhiệm vụ và phạm vi kiểm soát.

Để tập trung vào việc cải thiện khả năng giám sát rủi ro, KTNB không có cách nào khác là phải đánh giá rủi ro liên tục. Điều này giúp tránh bất ngờ, giảm thiểu rủi ro, tận dụng cơ hội và điều chỉnh quản lý rủi ro theo thời gian thực. Chiến thuật giám sát rủi ro liên tục bao gồm: Các chỉ số rủi ro chính (KRI) đóng vai trò là hệ thống phát hiện rủi ro - cảnh báo sớm giúp xác định những vấn đề tiềm ẩn có thể tác động đến tổ chức trong tương lai; Giám sát các chỉ số rủi ro mới nổi bên trong và bên ngoài (xu hướng kinh tế vĩ mô, chính trị, địa chính trị, ngành và các xu hướng khác) bằng cách xem xét các bên thứ ba, dự báo kinh tế, tiêu đề tin tức, phản hồi của khách hàng và nhân viên, sáng kiến của công ty, phân tích dữ liệu.

KTNB cũng nên thảo luận với các chuyên gia về rủi ro và các thành viên của ban quản lý doanh nghiệp để hiểu cách rủi ro đang thay đổi. Kế hoạch kiểm toán năm 2025 nên được mở rộng với nhiều cuộc kiểm toán riêng biệt, ghép lại thành bức tranh toàn cảnh. Đặc biệt, quản lý rủi ro cần được tích hợp trong toàn bộ tổ chức, bao gồm: Tích hợp việc ra quyết định dựa trên rủi ro vào phân bổ nguồn lực, quản trị, quản lý, lập kế hoạch, báo cáo, chính sách, giá trị và văn hóa của tổ chức; Kết nối rõ ràng hơn quản lý rủi ro với kỳ vọng của bên liên quan; Phân công trách nhiệm và giải trình ở các cấp độ phù hợp trong toàn bộ tổ chức và tạo nên một nền văn hóa giúp tăng nhận thức, quản lý và giám sát rủi ro hiệu quả.

Các KTV cần chấp nhận rủi ro và sự không chắc chắn, đồng thời đối mặt với rủi ro bằng kỹ năng và sự tự tin. Sự hiểu biết sâu sắc và tầm nhìn xa của KTNB đóng vai trò then chốt trong việc giúp các tổ chức xác định, theo dõi và giảm thiểu cả rủi ro hiện tại và mới nổi. Bên cạnh đó, AI sẽ tồn tại lâu dài, vì vậy, việc sử dụng AI là bắt buộc, nhưng kỹ năng và khả năng phán đoán của KTV là điểm mấu chốt khẳng định AI không hoàn toàn thay thế con người./.