BA TUYẾN PHÒNG THỦ TRONG
QUẢN LÝ RỦI RO VÀ KIỂM SOÁT
IIA Position Paper

15th April, 2016


MỤC LỤC
Giới thiệu
Tuyến phòng thủ thứ 1: Quản lý hoạt động
Tuyến phòng thủ thứ 2: Quản lý rủi ro và các chức năng tuân thủ
Tuyến phòng thủ thứ 3: Kiểm toán nội bộ
Kiểm toán viên độc lập, regulators và những cơ quan bên ngoài khác
Phối hợp 3 tuyến phòng thủ.


GIỚI THIỆU
Vào thế kỷ 21, không khó để bắt gặp các nhóm kiểm toán nội bộ, chuyên gia quản trị rủi
ro doanh nghiệp, chuyên viên kiểm soát nội bộ, kiểm tra chất lượng, các nhà điều tra gian
lận, và chuyên gia kiểm soát khác cùng làm việc với nhau để giúp các tổ chức quản lý rủi
ro. Mỗi chuyên gia có một tầm nhìn riêng và kỹ năng cụ thể có thể mang lại giá trị vô
cùng lớn cho tổ chức, nhưng vì những nhiệm vụ liên quan đến quản lý rủi ro và kiểm soát
ngày càng được chia ra nhiều phòng ban và các bộ phận, nên những nhiệm vụ này cần
được phối hợp một cách cẩn thận để đảm bảo rằng các qui trình kiểm soát và rủi ro hoạt
động như dự định.
Không thể thực hiện tất cả mỗi chức năng của kiểm soát và rủi ro – mà phải chỉ định
được những vai trò cụ thể để phối hợp một cách hiệu quả giữa các nhóm chức năng này,
để tránh những kiểm soát thiếu hoặc việc trùng lặp không cần thiết. Cần phải định nghĩa
các trách nhiệm rõ ràng để mỗi nhóm chuyên gia hiểu ranh giới trách nhiệm của mình và
làm thế nào để vai trò của họ phù hợp với cấu trúc kiểm soát và rủi ro tổng thể của tổ
chức.

audit Regulator

Quản lý cấp cao

Tuyến phòng thủ thứ 1

Tuyến phòng thủ thứ 2

Tuyến phòng thủ thứ 3

KIểm soát tài chính
Bảo mật
Kiểm soát quản
Biệnlýpháp kiểm soát nội bộ

Quản trị rủi ro

Kiểm toán nội bộ

Chất lượng
Kiểm tra
Tuân thủ

Chuyển thể từ Hướng dẫn ECIIA/FERMA về Chỉ
thị Luật doanh nghiệp EU lần 8, Điều 41.
Tuy cơ quản chủ quản và quản lý cấp cao không thuộc cả 3 tuyến trong mô hình này,
nhưng việc hoàn thành hệ thống quản lý rủi ro phải xem xét vai trò thiết yếu của cả cơ
quan chủ quan (tức là, hội đồng quản trị hoặc cơ quan tương đương) và quản lý cấp cao.
Cơ quan chủ quản và quản lý cấp cao là các bên liên quan chính của 3 tuyến phòng thủ
này, và họ giúp đảm bảo cho mô hình phản ánh đúng quá trình kiểm soát và quản lý rủi


Quản lý hoạt động có trách nhiệm duy trì việc kiểm soát nội bộ hiệu quả và để thực hiện
các thủ thuật kiểm soát rủi ro trên cơ sở hàng ngày. Quản lý họat động xác định, đánh
giá, kiểm soát, và giảm nhẹ rủi ro, hướng dẫn phát triển và thực hiện các chính sách và
qui trình nội bộ để đảm bảo các hoạt động phù hợp với mục tiêu và nhiệm vụ. Thông qua
một cấu trúc trách nhiệm phân tầng, các quản lý cấp trung sẽ thiết kế và thực hiện các
quy trình chi tiết để điều khiển và giám sát việc thực hiện những quy trình đó bởi các cấp
nhân viên.

Quản lý hoạt động đương nhiên sẽ là tuyến phòng thủ đầu tiên vì kiểm soát được thiết kế
vào các hệ thống và quy trình dưới sự hướng dẫn của quản lý hoạt động. Nên có bộ kiểm
soát giám sát và quản lý tại chỗ để đảm bảo tuân thủ và nhấn mạnh sự cố kiểm soát, quy
trình không đầy đủ, và các sự kiện bất ngờ.


TUYẾN PHÒNG THỦ THỨ 2: QUẢN LÝ RỦI RO VÀ CHỨC NĂNG
TUÂN THỦ
Trong điều kiện hoàn hảo, có thể chỉ cần một tuyến phòng thủ để đảm bảo quản lý rủi ro
một cách hiệu quả. Tuy nhiên, trong thế giới thực, một tuyến phòng thủ duy nhất có thể
sẽ bị thiếu. Tuyến thứ 2 thiết lập các chức năng tuân thủ và quản lý rủi ro khác nhau để
xây dựng/ giám sát việc kiểm soát tuyến phòng thủ đầu tiên. Các chức năng cụ thể sẽ
khác nhau tùy theo tổ chức hoặc ngành, nhưng tuyến phòng thủ này sẽ có các chức năng
điển hình như sau:
Chức năng quản lý rủi ro tạo điều kiện và giám sát việc thực hiện các biện pháp quản lý
rủi ro hiệu quả bằng hoạt động quản lý giúp nhà quản lý rủi ro trong việc xác định các
nguy cơ rủi ro mục tiêu và báo cáo đầy đủ thông tin liên quan rủi ro đến toàn bộ tổ chức.
Chức năng tuân thủ: giám sát rủi ro cụ thể khác nhau như không tuân thủ pháp luật và các
quy định hiện hành. Trong chức năng này, chức năng riêng biệt báo cáo trực tiếp đến
quản lý cấp cao, vaftrong một số lĩnh vực kinh doanh, trực tiếp đến các cơ quan chủ
quản. Thường có nhiều chức năng tuân thủ tồn tại trong tổ chức, với trách nhiệm giám sát


Tạo điều kiện giám sát việc thực hiện các biện pháp quản lý rủi ro hiệu quả của
hoạt động quản lý.
Thông báo hoạt động quản lý về các vấn đề đang nổi lên và thay đổi tình huống
rủi ro và quy định.
Giám sát tính an toàn và hiệu quả của kiểm soát nội bộ, sự chính xác và đầy đủ
của các báo cáo, sự tuân thủ pháp luật và các quy định, và khắc phục kịp thời các
thiếu sót.


TUYẾN PHÒNG THỦ THỨ 3: KIỂM TOÁN NỘI BỘ
Nhân viên kiểm toán nội bộ cung cấp cho cơ quan chủ quản và quản lý cấp cap với đảm
bảo toàn diện dựa trên mức độ độc lập, khách quan cao nhất trong tổ chức. Mức độ độc
lập này không có trong tuyến phòng thủ thứ 2. Kiểm toán nội bộ đảm bảo tính hiệu quả
của quản trị, quản lý rủi ro và kiểm soát nội bộ, bao gồm cả các cách thức mà 2 tuyến
phòng thủ đầu tiên đạt mục tiêu kiểm soát và quản lý rủi ro. Phạm vi của bảo đảm được
báo cáo cho quản lý cấp cao và cơ quan chủ quản, thường bao gồm:






Một loạt các mục tiêu, bao gồm hiệu quả hoạt động; an toàn tài sản, độ tin cậy và
tính toàn vẹn của quy trình báo cáo; và sự tuân thủ luật pháp, quy định, chính sách,
thủ tục và hợp đồng.
Các yếu tố trong khuôn khổ kiểm soát nội bộ và quản lý rủi ro, bao gồm: môi
trường kiểm soát nội bộ, tất cả các yếu tố của khuôn khổ quản lý rủi ro của tổ chức
(tức là, xác định rủi ro, đánh giá rủi ro, và phản ứng lại); thông tin và truyền thông;
giám sát.

Kiểm toán độc lập, regulators và các cơ quan bên ngoài khác hoạt động ngoài cấu trúc
doanh nghiệp, nhưng họ cũng có vai trò quan trọng trong cơ cấu quản trị và kiểm soát
tổng thể của tổ chức. Điều này đặc biệt đúng trong các ngành công nghiệp chịu quy định
của nhà nước, chẳng hạn như dịch vụ tài chính hoặc bảo hiểm. Regulators sẽ đôi khi thiết
lập yêu cầu nhằm tăng cường kiểm soát trong tổ chức, hoặc thực hiện một chức năng độc
lập và khách quan để đánh giá toàn bộ hoặc một phần của các tuyến phòng thủ của mô
hình đối với những yêu cầu này. Khi được phối hợp một cách hiệu quả, những kiểm toán
viên độc lập, regulators, và các nhóm bên ngoài tổ chức này có thể được xem như một
tuyến phòng thủ bổ sung, cung cấp sự đảm bảo cho các cổ đông của tổ chức, bao gồm cả
cơ quan chủ quản quản lý cấp cao.
Tuy các nhiệm vụ có mục tiêu và phạm vi cụ thể, nhưng các thông tin rủi ro thu thập
được nhìn chung sẽ ít sâu rộng hơn phạm vi giải quyết của 3 tuyến phòng thủ nội bộ.


PHỐI HỢP 3 TUYẾN PHÒNG THỦ
Mỗi tổ chức là duy nhất và có tình huống cụ thể khác nhau, nên sẽ không có sự phối hợp
3 tuyến phòng thủ nào gọi là “chuẩn”. Khi phân công nhiệm vụ và phối hợp giữa các
chức năng quản trị rủi ro, có thể sẽ có ích nếu giữ các vai trò cơ bản của mỗi nhóm trong
quá trình quản trị rủi ro.
TUYẾN PHÒNG THỦ
THỨ 1

TUYẾN PHÒNG THỦ THỨ TUYẾN PHÒNG THỦ
2
THỨ 3

Quản lý rủi ro

Kiểm soát rủi ro và tuân thủ


Theo Tiêu chuẩn quốc tế về Thực hành kiểm toán chuyên nghiệp cho kiểm toán nội bộ
(ISPIA), giám đốc điều hành kiểm toán được yêu cầu để “chia sẻ thông tin và phối hợp
hoạt động với các nhà cung cấp trong và ngoài về đảm bảo và tư vấn dịch vụ để đảm bảo
phạm vi thích hợp và tránh các nỗ lực trùng lắp”.
RECOMMENDED PRACTICES:
 Các quá trình kiểm soát vả rủi ro nên được cấu trúc cho phù hợp với mô hình 3
Tuyến phòng thủ.









Mỗi tuyến phòng thủ phải được hỗ trợ bởi chính sách phù hợp và định nghĩa trên
vai trò.
Cần có sự phối hợp tích cực giữa các tuyến phòng thủ riêng biệt để tăng cường
hiệu quả.
Chức năng kiểm soát và rủi ro ở các tuyến khác nhau cần chia sẻ kiến thức và
thông tin để hỗ trợ tất cả các chức năng tốt hơn trong việc hàn thành vai trò của
mình một cách hiệu quả.
Các tuyến phòng thủ không nên phối hợp khi cách thức đó làm mất đi tính hiệu
quả.
Trong trường hợp chức năng của các tuyến phòng thủ được kết hợp, cơ quan chủ
quản nên được tư vấn về cấu trúc và tác động của nó. Đối với tổ chức không có
hoạt động kiểm toán nội bộ, quản lý và/hoặc các cơ quan chủ quản nên được yêu
cầu giải thích và tiết lộ cho các bên liên quan rằng họ đã xem xét cách mà đảm bảo
đầy đủ về hiệu quản quản trị của tổ chức, quản lý rủi ro, và cấu trúc kiểm soát đạt