Xây dựng nền tảng rủi ro kết nối để tăng cường khả năng tư vấn và quản trị rủi ro
Hoạt động của Ngành - Ngày đăng : 10:21, 05/12/2024
Thiếu hụt năng lực cho các nhiệm vụ mới
Theo báo cáo “Vai trò mở rộng của KTNB” do AuditBoard thực hiện, các nhóm KTNB đang phải đối mặt với những hạn chế đáng kể về năng lực tư vấn và dự báo, không đáp ứng được kỳ vọng ngày càng tăng của các bên liên quan. 85% thời gian của KTV được phân bổ cho công việc KTNB truyền thống, chỉ có 15% được phân bổ cho tư vấn.
Đáng ngạc nhiên là hầu hết các nhà lãnh đạo KTNB đều tin rằng họ có thể làm tốt hơn. Có tới 87% giám đốc kiểm toán (CAE) thấy cơ hội để cải thiện cách thực hiện công việc kiểm toán truyền thống, nhưng gần 50% thừa nhận rằng họ không tích cực cải thiện quy trình của mình. Khi được yêu cầu mô tả toàn bộ quy trình KTNB (lập kế hoạch, thực hiện, lập báo cáo, theo dõi vấn đề, tương tác với tổ chức), chỉ có 13% CAE đánh giá quy trình của họ là được tối ưu hóa hoàn toàn, trong khi 45% CAE cho rằng quy trình của họ chỉ được tối ưu hóa một phần và không nỗ lực để tối ưu hóa.
Ngược lại với sự trì trệ và hạn chế về nguồn lực nêu trên, các Ủy ban kiểm toán hoặc Hội đồng quản trị lại yêu cầu KTNB tham gia nhiều hoạt động hơn trong 2 năm qua. Các lĩnh vực KTNB phải tham gia gồm: Môi trường, xã hội và quản trị (ESG); quản trị rủi ro doanh nghiệp (ERM); quản trị an ninh mạng, điều tra, phân tích dữ liệu, thay đổi quy định và giám sát liên tục. Đây đều là các lĩnh vực liên quan đến rủi ro.
Khảo sát của AuditBoard cũng phát hiện ra rằng, nhiều chức năng KTNB, rủi ro và tuân thủ vẫn đang hoạt động riêng lẻ hoặc hợp tác một cách không chính thức, không nhất quán, thiếu sự kết nối. Lý do được đưa ra là dữ liệu không liên kết, quy trình thủ công tốn nhiều thời gian, hạn chế về ngân sách và nguồn lực, việc áp dụng công nghệ chậm trễ và rủi ro kỹ thuật số tăng nhanh. Rõ ràng, năng lực quản lý rủi ro không theo kịp nhu cầu thực tế của các tổ chức. Các nhóm KTNB, rủi ro và tuân thủ vốn đã mỏng lại phải đảm nhận thêm nhiều công việc liên quan đến rủi ro hoặc các lĩnh vực rủi ro mới nổi.
Áp dụng phương pháp tiếp cận rủi ro kết nối
Khi các nhóm KTNB tìm cách đáp ứng những kỳ vọng ngày càng tăng, một số lĩnh vực trọng tâm được các CAE ưu tiên, bao gồm: Quản lý rủi ro tích hợp (IRM), ERM và giám sát liên tục. Sự thay đổi trọng tâm này phản ánh mức độ tăng cao của quản lý rủi ro và nhu cầu về phương pháp tiếp cận toàn diện, tích hợp hơn. Tuy nhiên, có một khoảng cách đáng kể về mức độ trưởng thành trong các hoạt động quản lý rủi ro khi 96% các tổ chức thiếu các chương trình IRM hoàn thiện. Đây vừa là thách thức vừa là cơ hội cho các nhóm KTNB dẫn đầu trong việc phát triển các hoạt động quản lý rủi ro linh hoạt hơn.
Việc đẩy mạnh phương pháp rủi ro kết nối là sự phát triển tự nhiên trong vai trò của KTNB nhờ vào chuyên môn sâu về quản trị, rủi ro và tuân thủ, cùng với mối quan hệ chặt chẽ của KTV với các phòng, ban khác.
Ông Tom O'Reilly - Giám đốc kiểm toán kiêm Cố vấn rủi ro kết nối, AuditBoard
Các chuyên gia cho rằng, phương pháp tiếp cận rủi ro kết nối để quản lý rủi ro trên toàn doanh nghiệp sẽ phá vỡ các rào cản, tăng cường sự liên kết, cho phép cộng tác, thống nhất dữ liệu và tự động hóa các quy trình chính. Hơn nữa, Tiêu chuẩn KTNB toàn cầu cũng nhấn mạnh, các KTV cần hiểu rõ hơn khuôn khổ quản trị, rủi ro và kiểm soát của tổ chức mình (Tiêu chuẩn 9.1); kế hoạch KTNB cần phải tập trung vào rủi ro (Tiêu chuẩn 9.4)...
Báo cáo của của AuditBoard khuyến nghị lộ trình cho các nhóm KTNB xây dựng nền tảng cho rủi ro kết nối với 5 bước: Trước tiên, quy trình KTNB được tối ưu hóa để giải phóng thời gian thực hiện các nhiệm vụ thường xuyên, phân công trách nhiệm phù hợp, loại bỏ công việc không cần thiết. KTV xây dựng kế hoạch khả thi, tập trung vào các rủi ro quan trọng, báo cáo theo thời gian thực và đảm bảo các cuộc kiểm toán được hoàn thành bởi KTV có năng lực phù hợp.
Thứ hai, đánh giá quản trị dữ liệu nhằm xác định dữ liệu quan trọng của tổ chức, ghi lại vị trí dữ liệu, xác định quyền truy cập, đánh giá các biện pháp kiểm soát được áp dụng để bảo vệ và giám sát dữ liệu. Thứ ba, thực hiện lập bản đồ đảm bảo bao gồm: xác định các lĩnh vực rủi ro chính của tổ chức; ghi lại tài liệu về nhóm nội bộ và bên ngoài cung cấp sự đảm bảo về các lĩnh vực rủi ro; lập bản đồ các biện pháp kiểm soát, quy trình làm việc, chiến lược và dự án cho từng lĩnh vực rủi ro; xác định các lĩnh vực có sự trùng lặp.
Thứ tư, đánh giá mức độ trưởng thành của công nghệ bằng cách kiểm kê và đánh giá các công nghệ hiện đang được sử dụng để kiểm toán, rủi ro và tuân thủ. Các khía cạnh chính bao gồm: xác định tất cả các ứng dụng kiểm toán, rủi ro và tuân thủ được sử dụng; đánh giá mức độ dễ dàng chia sẻ dữ liệu giữa các ứng dụng này; mức độ nỗ lực và chi phí cần thiết để cập nhật định kỳ dữ liệu của từng ứng dụng; tiềm năng tận dụng các nền tảng chuyên dụng cho phép tự động hóa, phân tích dữ liệu và báo cáo theo thời gian thực.
Thứ năm, thiết lập các định nghĩa rủi ro chung nhằm tạo ra một ngôn ngữ và cách tiếp cận chung về rủi ro trong toàn tổ chức. Bước cuối cùng này bao gồm: Đánh giá các hệ thống xếp hạng rủi ro khác nhau được sử dụng trong các nhóm và thống nhất về phân loại; xác định các thuộc tính rủi ro chung có thể được sử dụng trong đánh giá rủi ro; thiết lập ngưỡng chấp nhận rủi ro và khả năng chịu đựng rủi ro; thống nhất về các chỉ số rủi ro (KRI).
Thực hiện phương pháp rủi ro kết nối là một hành trình, không tổ chức nào có thể làm mọi thứ cùng một lúc, vì vậy, KTNB phải phối hợp với các nhóm rủi ro, tuân thủ và bảo mật thông tin. Để triển khai thành công, các KTV cần kết nối, truyền tải chính xác các giá trị của phương pháp này và thiết lập nhóm cộng tác gồm: Tuyến đầu tiên là những người có trách nhiệm kiểm soát rủi ro kiểm toán; Tuyến thứ hai là các CAE, lãnh đạo rủi ro và tuân thủ; Tuyến thứ ba là ban quản lý, điều hành, hội đồng quản trị và ủy ban kiểm toán - những người luôn muốn KTNB tập trung nhiều hơn vào rủi ro. Việc KTNB kết nối các điểm để có được bức tranh rõ ràng hơn về cách tổ chức đang quản lý rủi ro và tư vấn giải pháp quản lý rủi ro đúng cách là điều cần thiết để đưa ra các quyết định kinh doanh tốt hơn./.