i
MỤC LỤC
Trang
LỜI MỞ ĐẦU
CHƯƠNG I – TỔNG QUAN VỀ KIỂM SOÁT NỘI BỘ VÀ SỰ HÌNH THÀNH
HỆ THỐNG QUẢN TRỊ RỦI RO DOANH NGHIỆP 1
1.1 Tổng quan về kiểm soát nội bộ 1
1.1.1 Sự hình thành và phát triển lý thuyết kiểm soát nội bộ 1
1.1.1.1 Lòch sử hình thành 1
1.1.1.2 Đònh nghóa kiểm soát nội bộ 3
1.1.2 Các yếu tố của kiểm soát nội bộ 4
1.1.2.1 Môi trường kiểm soát 5
1.1.2.2 Đánh giá rủi ro 6
1.1.2.3 Các hoạt động kiểm soát 7
1.1.2.4 Thông tin và truyền thông 8
1.1.2.5 Giám sát 8
1.1.3 Hạn chế của lý thuyết kiểm soát nội bộ 9
1.2 Sự phát triển các lý thuyết về quản trò rủi ro 10
1.2.1 Thời kỳ tiền lý thuyết 10
1.2.2 Thời kỳ phát triển lý thuyết quản trò rủi ro 10
1.2.2.1 Nhận thức về rủi ro và các nhân tố ảnh hưởng 11
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
ii
1.2.2.2 Các công cụ quản trò rủi ro được hình thành 12
1.3 Quản trò rủi ro doanh nghiệp theo khuôn mẫu của COSO
năm 2004 16
1.3.1 Khái niệm về quản trò rủi ro doanh nghiệp 16
1.3.2 Lợi ích của quản trò rủi ro doanh nghiệp 17
1.3.3 Các yếu tố của quản trò rủi ro doanh nghiệp 19
1.3.3.1 Sơ lược các yếu tố 19
1.3.3.2 Những điểm khác biệt so với kiểm soát nội bộ 21

2.3.2.1 Mục tiêu của toàn doanh nghiệp và từng bộ phận 44
2.3.2.2 Nhận dạng rủi ro 46
2.3.2.3 Đánh giá rủi ro 47
2.3.3 Hoạt động kiểm soát 48
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
iv
2.3.3.1 Phân chia trách nhiệm 48
2.3.3.2 Kiểm soát xử lý thông tin 49
2.3.3.3 Kiểm tra độc lập và phân tích, soát xét lại 50
2.3.4 Thông tin và truyền thông 51
2.3.5 Giám sát 53
2.4 Thực trạng về quản lý rủi ro 54
2.4.1 Nhìn nhận của doanh nghiệp về rủi ro 54
2.4.2 Cơ cấu tổ chức liên quan đến việc quản lý rủi ro 56
2.5 Đánh giá chung về kiểm soát nội bộ và quản trò rủi ro tại
các doanh nghiệp Việt nam 58
CHƯƠNG III: ĐỊNH HƯỚNG XÂY DỰNG KIỂM SOÁT NỘI
BỘ TẠI CÁC DOANH NGHIỆP VIỆT NAM DỰA TRÊN
QUẢN TRỊ RỦI RO DOANH NGHIỆP 60
3.1 Phương hướng 61
3.1.1 Về phía doanh nghiệp 61
3.1.1.1 Hoàn thiện kiểm soát nội bộ theo hướng kiểm soát các rủi ro 61
3.1.1.2 Nhìn nhận rủi ro theo hướng tổng thể và tích hợp với KSNB 64
3.1.2 Các giải pháp trợ giúp 66
3.2 Đònh hướng hoàn thiện kiểm soát nội bộ tại các doanh nghiệp lớn 69
3.2.1 Hoàn thiện môi trường quản lý 69
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
v
3.2.2 Hoàn thiện cơ cấu tổ chức và phân chia quyền hạn trách nhiệm 70
3.2.2.1 Hội đồng quản trò và Ban kiểm soát/Kiểm toán nội bộ 71

Tiếp tục phát triển Báo cáo năm 1992, năm 2004 COSO công bố báo cáo
tổng thể dưới tiêu đề: Quản trò rủi ro doanh nghiệp – khuôn khổ hợp nhất. Báo cáo
năm 2004 được xây dựng trên cơ sở phát triển Báo cáo năm 1992 và tích hợp với
quản trò rủi ro tại các đơn vò. Mặt khác báo cáo COSO năm 2004 cũng đã xác đònh
được những tiêu chuẩn làm cơ sở để đánh giá rủi ro cũng như đề xuất xây dựng chu
trình quản lý rủi ro hiệu qủa trong công tác quản lý.
Ở Việt nam, kiểm soát nội bộ đã tồn tại và phát triển nhưng phần lớn còn tồn
tại nhiều yếu kém, chưa phát huy hết vai trò công cụ quản lý của doanh nghiệp. Vì
vậy, việc nghiên cứu kinh nghiệm của các nước trên thế giới để vận dụng là điều
cần thiết đối với các doanh nghiệp Việt nam hiện nay. Một mặt, giúp doanh nghiệp
tiếp cận với quan điểm hiện đại về rủi ro của các nước tiên tiến để có thể quản lý
rủi ro một cách khoa học và hiệu qủa. Mặt khác giúp doanh nghiệp có cách nhìn
nhận mới về kiểm soát nội bộ bằng cách “đi tắt đón đầu” những cách thức mới được
áp dụng ở các nước tiên tiến, qua đó hoàn thiện hệ thống kiểm soát nội bộ của mình
để phục vụ tốt hơn trong công tác quản lý. Đó cũng là lý do mà tác giả chọn đề tài
“Phát triển hệ thống kiểm soát nội bộ tại các doanh nghiệp Việt nam trên cơ sở
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
vii
quản trò rủi ro doanh nghiệp” làm luận văn tốt nghiệp thạc só kinh tế của trường
Đại học Kinh tế thành phố Hồ Chí Minh.
Mục đích nghiên cứu của luận văn
- Tổng hợp các quan điểm cơ bản về tích hợp kiểm soát nội bộ và quản trò
rủi ro.
- Tiếp cận lý luận hiện đại về rủi ro và quản trò rủi ro.
- Khảo sát, đánh giá thực trạng hệ thống kiểm soát nội bộ của các doanh
nghiệp Việt nam, đặc biệt về rủi ro và cách thức quản trò rủi ro hiện nay.
- Trên cơ sở khảo sát thực trạng, đề xuất các đònh hướng để hoàn thiện hệ
thống kiểm soát nội bộ của các loại hình doanh nghiệp Việt nam theo cách
tiếp cận mới về rủi ro.
Đối tượng và phạm vi nghiên cứu

- Chương 3: Đònh hướng xây dựng kiểm soát nội bộ tại các doanh nghiệp Việt
nam dựa trên quản trò rủi ro doanh nghiệp.
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
ix

CHƯƠNG I
TỔNG QUAN VỀ KIỂM SOÁT NỘI BỘ VÀ SỰ HÌNH THÀNH HỆ
THỐNG QUẢN TRỊ RỦI RO DOANH NGHIỆP
1.1 Tổng quan về kiểm soát nội bộ
1.1.1 Sự hình thành và phát triển lý thuyết kiểm soát nội bộ
1.1.1.1 Lòch sử hình thành
Từ khi có hoạt động kinh doanh, những người điều hành đều phải sử dụng các
biện pháp để kiểm soát các hoạt động tại đơn vò mình. Hoạt động kinh doanh càng
phát triển thì chức năng kiểm soát càng chiếm một vò trí quan trọng trong quá trình
quản lý. Thông qua các hoạt động kiểm soát, nhà quản lý đánh giá và chấn chỉnh
việc thực hiện nhằm đảm bảo đạt được các mục tiêu đã đề ra với hiệu quả cao nhất.
Để thực hiện chức năng kiểm soát, nhà quản lý sử dụng công cụ chủ yếu là
kiểm soát nội bộ (KSNB) của đơn vò. Khái niệm KSNB lúc đầu được sử dụng như là
một phương pháp giúp cho kiểm toán viên độc lập xác đònh phương pháp hiệu quả
nhất trong trong việc lập kế hoạch kiểm toán, đến chỗ được coi là một bộ phận chủ
yếu của hệ thống quản lý hữu hiệu.

viên nội bộ (IIA) và Hiệp hội kế toán viên quản trò (IMA). Qua quá trình tìm hiểu
về gian lận, COSO đã nhận thấy KSNB đã ảnh hưởng rất lớn đến khả năng xảy ra
gian lận. Vì thế, việc nghiên cứu và đưa ra một khuôn khổ chung về KSNB được đặt
ra. Báo cáo COSO 1992 là kết quả của quá trình nghiên cứu này. Báo cáo cung cấp
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
xi
một hệ thống lý luận đầy đủ nhất về KSNB cho đến thời điểm này, kế thừa và phát
triển các nghiên cứu trước đó về KSNB.
Báo cáo COSO 1992 gồm có 4 phần:
- Phần 1 – Bản tóm lược: Tổng quan về KSNB cho nhà quản lý cấp cao
- Phần 2 – Hệ thống lý luận: Đònh nghóa về KSNB, mô tả các yếu tố của KSNB
và chỉ ra những tiêu chí để kiểm soát hệ thống.
- Phần 3 – Báo cáo cho các thành viên bên ngoài: Hướng dẫn cách thức báo
cáo cho các đối tượng bên ngoài về KSNB liên quan đến tài chính.
- Phần 4 – Các công cụ đánh giá: Bao gồm các bảng biểu phục vụ cho việc
đánh giá sự hữu hiệu của hệ thống KSNB.
1.1.1.2 Đònh nghóa kiểm soát nội bộ
Theo Báo cáo của COSO năm 1992, KSNB là một quá trình do người quản
lý, hội đồng quản trò và các nhân viên của đơn vò chi phối, nó được thiết lập để cung
cấp một sự đảm bảo hợp lý nhằm thực hiện ba mục tiêu dưới đây:
- Báo cáo tài chính đáng tin cậy.
- Các luật lệ và quy đònh được tuân thủ.
- Hoạt động hữu hiệu và hiệu quả
Trong đònh nghóa trên, bốn nội dung cơ bản là quá trình, con người, đảm bảo
hợp lý và mục tiêu. Chúng được hiểu như sau:
 Kiểm soát nội bộ là một quá trình. Kiểm soát nội bộ bao gồm một
chuỗi các hoạt động kiểm soát hiện diện ở mọi bộ phận trong đơn vò và được kết
hợp với nhau thành một thể thống nhất. Quá trình kiểm soát là phương tiên để giúp
cho đơn vò đạt được các mục tiêu của mình.
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN

Các
hoạt
động
kiểm
soát
Thông
tin
và
truyền
thôn

Giám
sát
g
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
xiii

1.1.2.1 Môi trường kiểm soát
Môi trường kiểm soát phản ánh sắc thái chung của một đơn vò, chi phối ý thức
kiểm soát của mọi thành viên trong đơn vò và là nền tảng của các bộ phận khác của
kiểm soát nội bộ. Các nhân tố thuộc về môi trường kiểm soát là:
- Tính chính trực và các giá trò đạo đức: sự hữu hiệu của hệ thống kiểm soát
nội bộ phụ thuộc trực tiếp vào tính chính trực và việc tôn trọng các giá trò đạo đức
của những người liên quan đến quá trình kiểm soát. Đơn vò phải xây dựng được các
chuẩn mực, quy đònh về đạo đức cho các nhân viên và những nhà quản lý phải làm
gương trong việc thực hiện các quy đònh đó. Mặt khác, đơn vò cũng cần phải loại trừ,
giảm thiểu những áp lực và cơ hội dẫn đến những hành vi thiếu trung thực của nhân

1.1.2.2 Đánh giá rủi ro
Các hoạt động liên quan đến đơn vò bao gồm các hoạt động diễn ra tại đơn vò
và các hoạt động ở bên ngoài đều có thể phát sinh rủi ro và khó kiểm soát tất cả. Vì
vậy, đơn vò phải thận trọng khi xác đònh và phân tích những nhân tố ảnh hưởng đến
rủi ro làm cho những mục tiêu – kể cả mục tiêu chung và mục tiêu cụ thể cho từng
hoạt động – của đơn vò có thể không được thực hiện, và phải cố gắng kiểm soát
được những rủi ro này.
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
xv
Để giới hạn rủi ro ở mức chấp nhận được, đơn vò phải nhận dạng và phân tích
rủi ro trên cơ sở các mục tiêu đã được thiết lập của tổ chức từ đó mới có thể kiểm
soát được rủi ro.
- Xác đònh mục tiêu của đơn vò: Báo cáo COSO năm 1992 không cho rằng
đây là nhiệm vụ của KSNB. Tuy nhiên, các thành viên trong hệ thống KSNB phải
biết được các mục tiêu của đơn vò để nhận dạng và đánh giá những rủi ro tác động
đến việc thực hiện các mục tiêu đã đề ra.
- Nhận dạng rủi ro: rủi ro có thể tác động đến đơn vò ở mức độ toàn đơn vò
hay ảnh hưởng đến từng hoạt động cụ thể.
mức độ toàn đơn vò, các nhân tố phát sinh rủi ro là: sự đổi mới kỹ thuật,
nhu cầu khách hàng thay đổi, sự thay đổi sản của đối thủ cạnh tranh, thay đổi chính
sách của Nhà nước,.. đây là những nhân tố phát sinh từ môi trường hoạt động của
đơn vò. Trong phạm vi từng hoạt động như bán hàng, mua hàng,.. rủi ro có thể phát
sinh và tác động đến bản thân từng hoạt động trước khi gây ảnh hưởng day chuyền
đến toàn đơn vò. Thông thường rủi ro liên quan đến từng bộ phận xuất phát từ các
chính sách của đơn vò như chính sách mở rộng thò phần, chính sách cải tiến kỹ
thuật,..
Để nhận dạng rủi ro, đơn vò có thể sử dụng nhiều phương pháp khác nhau từ
việc sử dụng các phương tiện dự báo, phân tích các dữ liệu quá khứ, cho đến việc rà
soát thường xuyên các hoạt động. Trong các doanh nghiệp nhỏ, công việc này có
thể thực hiện dưới dạng những cuộc tiếp xúc với khách hàng, ngân hàng,… hoặc các

đoạn phát triển của đơn vò hay không. Giám sát có vai trò quan trọng trong kiểm
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
xvii
soát nội bộ vì nó giúp cho kiểm soát nội bộ duy trì được sự hữu hiệu trong các thời
kỳ khác nhau. Các hoạt động giám sát bao gồm giám sát thường xuyên và giám sát
đònh kỳ.
- Giám sát thường xuyên diễn ra ngay trong quá trình hoạt động, do các nhà
quản lý và các nhân viên thực hiện trong trách nhiệm của mình.
- Giám sát đònh kỳ thường thực hiện thông qua chức năng kiểm toán nội bộ
hoặc các hoạt động đònh kỳ của Ban kiểm soát, qua đó phát hiện kòp thời những yếu
kém trong hệ thống để đưa ra các biện pháp cải thiện.
(chi tiết các yếu tố của kiểm soát nội bộ xem chi tiết ở Phụ lục 1)
1.1.3 Hạn chế của lý thuyết kiểm soát nội bộ
Mặc dù đã được bổ sung và hoàn thiện trong quá trình phát triển, tuy nhiên lý
thuyết về kiểm soát nội bộ vẫn còn những hạn chế, đặc biệt trong điều kiện kinh tế
hiện nay. Các hạn chế của lý thuyết kiểm soát nội bộ thể hiện ở những mặt sau đây:
 Chưa mở rộng tầm nhìn chiến lược
Báo cáo COSO năm 1992 không xác đònh việc xây dựng các mục tiêu của đơn vò
nằm trong chu trình KSNB. Vì vậy, hệ thống KSNB được xây dựng chỉ để nhằm
mục đích kiểm soát việc thực hiện các mục tiêu đã được xác đònh, chứ không nhằm
phục vụ việc quản trò các tình huống không chắc chắn và tối ưu hoá quá trình quản
trò đó.
Mặt khác, việc xác đònh các mục tiêu, đặc biệt là các mục tiêu chiến lược không
nằm trong chu trình kiểm soát cũng làm cho hệ thống KSNB bò hạn chế về tính dự
báo đối với các loại rủi ro và vì vậy không xây dựng được các chiến lược dài hạn
đối để đối phó.
 Chưa áp dụng các phương pháp, kỹ thuật để quản trò rủi ro
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
xviii
Báo cáo COSO năm 1992 cung cấp khá nhiều các phương pháp, kỹ thuật cho

Khi hoạt động kinh doanh càng mở rộng phát triển thì doanh nghiệp phải đối
mặt mới nhiều loại rủi ro mới và phức tạp hơn, đòi hỏi phải có một lý thuyết về rủi
ro và các kỹ thuật để có thể quản lý rủi ro một cách hiệu qủa. Từ chỗ cách thức duy
nhất để quản lý rủi ro là mua các bảo hiểm cho các tổn thất có thể có đến cách thức
quản lý những tình huống không chắc chắn và tối ưu hoá việc quản trò rủi ro.
Cùng với yêu cầu về quản trò rủi ro, các lý thuyết về rủi ro và sau đó là các
kỹ thuật và các hệ thống quản trò rủi ro được hình thành. Có thể chia thành các giai
đoạn phát triển như sau:
1.2.2.1 Nhận thức về rủi ro và các nhân tố ảnh hưởng
John Haynes (1895)
John Haynes là một trong những người đầu tiên nghiên cứu về rủi ro. Theo
ông thì rủi ro là khả năng xảy ra những hư hỏng hoặc mất mát một cách tình cờ đối
với đơn vò, sự kiện không chắc chắn được coi là rủi ro khi nó sẽ có những tác động
xấu đến kết quả của đơn vò. ng cũng khẳng đònh rằng, những nhà tư bản – người
đầu tư tài sản của mình vào đơn vò – sẽ gánh chòu những rủi ro liên quan đến đơn vò.
Frank H. Knight (1921)
Theo Frank H. Knight thì rủi ro là sự kiện trong tương lai mà có thể đo lường
được sự tác động còn sự kiện không chắc chắn là những sự kiện mà không thể đo
lường được sự tác động. Mặt khác, ông cũng cho rằng: rủi ro liên quan đến tổn thất,
và sự kiện không chắc chắn liên quan đến những lợi ích mà đơn vò sẽ gặp phải trong
tương lai. Để xem xét khả năng xuất hiện của rủi ro và sự kiện không chắc chắn,
ông sử dụng các khái niệm “xác suất khách quan” và “xác suất chủ quan”.
Irving Pfeffer (1956)
Pfeffer đã tiếp tục quan điểm của Knight, và theo ông thì: thì rủi ro là sự kết
hợp của các nguy hại và được đo lường bởi xác suất xảy ra; còn sự kiện không chắc
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
xx
chắn được đo lường bởi mức độ của niềm tin. Rủi ro là trạng thái khách quan, sự
kiện không chắc chắn là trạng thái chủ quan.
Các quan điểm về rủi ro theo thời gian đã có một sự chuyển biến to lớn: từ

lường và phân tích rủi ro phục vụ ngày càng hiệu qủa cho công tác quản trò các rủi
ro tại doanh nghiệp.
1.2.2.3 Hệ thống quản trò rủi ro
 Báo cáo Basel
Trên cơ sở Báo cáo COSO năm 1992, Ủy ban Basel ban hành Báo cáo Basel
năm 1998 về kiểm soát nội bộ tại các ngân hàng và tổ chức tín dụng. Năm 2000 Ủy
ban Basel ban hành báo cáo bổ sung liên quan đến kiểm toán nội bộ, quan hệ giữa
kiểm toán viên và ngân hàng.
Nội dung của Báo cáo Basel nhằm xây dựng một hệ thống kiểm soát nội bộ
hữu hiệu, chủ yếu kiểm soát các rủi ro liên quan đến việc thực hiện các mục tiêu
tương tự như Báo cáo COSO năm 1992 và các rủi ro liên quan đến tín dụng. Báo cáo
Basel chỉ giới hạn trong phạm vi ngân hàng và các tổ chức tín dụng chứ chưa mở
rộng phạm vi ra các loại hình doanh nghiệp khác trong việc quản trò các rủi ro.
 James Lam (2003)
James Lam là người đề xuất vò trí trưởng bộ phận rủi ro (CRO), ông được xem
là CRO đầu tiên của khoảng 300 CRO hiện nay trên thế giới. Năm 1993 ông giữ
chức vụ CRO cho công ty GE Capital, từ năm 1995 đến năm 1998 ông là CRO của
công ty quản lý quỹ đầu tư Fidelity Investment – qũy đầu tư hỗ tương lớn nhất thế
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
xxii
giới với tổng tài sản lên đến 700 tỷ USD. Trong thới gian này, ông được tạp chí The
Economist và Price Waterhouse Review đánh giá là người quản trò rủi ro tốt nhất.
Năm 1999 ông tham gia công ty tư vấn Oliver, Wyman & Company và đồng
sáng lập ra công ty ERrisk, chuyên cung cấp các dòch vụ tư vấn về quản trò rủi ro và
đầu tư, đặc biệt cho các ngân hàng và công ty quản lý qũy đầu tư. Tại ERisk, đầu
tiên ông giữ chức vụ giám đốc điều hành và năm 2000 ông là phó chủ tòch Hội đồng
quản trò. Năm 2002 ông rời ERisk nhưng vẫn là thành viên Hội đồng quản trò của
công ty này.
Hiên nay ông là nhà tư vấn độc lập và chủ tòch của công ty James Lam &
Associates. Các khách hàng lớn được ông trực tiếp tư vấn bao gồm: The World

quản lý quỹ đầu tư”
4. Chuyển giao rủi ro
Chuyển giao những rủi
ro không hiệu quả
5. Phân tích rủi ro
Phát triển các công cụ phân tích hiện đại
6. Nguồn dữ liệu và kỹ thuật
Tích hợp kỹ thuật và dữ liệu
7. Thông tin cho các bên liên quan
Cải thiện sự minh bạch các thông tin về rủi ro cho các bên liên quan

 Nhận xét
Hệ thống quản trò rủi ro được xây dựng cho các loại hình doanh nghiệp đã tạo ra
những chuẩn mực để các doanh nghiệp áp dụng trong việc quản trò rủi ro và các bên
liên quan có những cơ sở để đánh giá. Tuy nhiên, các hệ thống quản trò rủi ro như đã
trình bày ở trên vẫn còn những tồn tại cơ bản sau:
- Nhấn mạnh đến những ngành nghề có rủi ro cao như ngân hàng, công ty đầu tư
mà chưa mở rộng đến các loại hình doanh nghiệp khác. Điều này gây khó khăn cho
các doanh nghiệp không nằm trong phạm vi của hệ thống quản trò rủi ro khi tiếp
cận. Ví dụ doanh nghiệp phân phối hàng tiêu dùng không thể áp dụng cách thức
quản trò rủi ro của công ty quản lý qũy,..
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
xxv
- Hệ thống quản trò rủi ro theo nhìn nhận của James Lam chỉ thuần tuý mang tính
chất quản lý mà không kết hợp với ngành nghề kế toán tài chính. Trong khi đó, theo
quy đònh của một số quốc gia thì việc quản lý rủi ro liên quan đến doanh nghiệp,
trách nhiệm đó thuộc về lónh vực kế toán tài chính, ví dụ Đạo luật Sarbanes-Oxley