Cập nhật kỳ thi CIA 2025

KỲ THI CIA^® – VÌ SAO VÀ NHƯ THẾ NÀO NÓ ĐANG THAY ĐỔI

(Bản quyền © 2024 – The Institute of Internal Auditors – Tài liệu chính thức)

Lời mở đầu: Cập nhật – Căn chỉnh – Làm rõ hệ thống đề cương CIA^®

Xin chúc mừng! Mong muốn theo đuổi chứng chỉ Kiểm toán viên nội bộ được chứng nhận (CIA^®) của bạn thể hiện cam kết đối với nghề nghiệp kiểm toán nội bộ cũng như sự phát triển chuyên môn lâu dài của bạn.

CIA^® là chứng chỉ duy nhất được công nhận toàn cầu dành riêng cho kiểm toán viên nội bộ, và có một bề dày lịch sử đáng tự hào. Khi mới ra đời vào năm 1974, kỳ thi CIA^® chỉ có 654 thí sinh tại 41 địa điểm tại Hoa Kỳ. Ngày nay, hơn 200.000 người đã được cấp chứng chỉ CIA^®, kỳ thi được tổ chức tại hơn 850 trung tâm khảo thí ở 160 quốc gia.

Trong suốt 50 năm qua, cả môi trường kinh doanh toàn cầu lẫn nghề kiểm toán nội bộ đều đã thay đổi sâu sắc. Sự ra đời của Chuẩn mực Kiểm toán Nội bộ Toàn cầu (Global Internal Audit Standards™) mới của IIA là kết quả từ nỗ lực to lớn của các chuyên gia trên toàn thế giới, nhằm ghi nhận thực hành tốt nhất hiện tại và định hướng cho tương lai.

Cùng với việc ra mắt bộ Chuẩn mực mới, kỳ thi CIA^® cũng được cập nhật nội dung để đồng bộ với các khái niệm và thuật ngữ trong Chuẩn mực này.

Lý do kỳ thi CIA^® thay đổi (1.1)

Chuẩn mực mới Global Internal Audit Standards có hiệu lực từ tháng 1/2025 sẽ là cơ sở hướng dẫn nghề kiểm toán nội bộ toàn cầu. Kỳ thi CIA^® được cập nhật để căn chỉnh nội dung và cấu trúc theo chuẩn mực này.

Môi trường kinh doanh thay đổi nhanh chóng, rủi ro mới xuất hiện, và kiểm toán viên nội bộ cần tiếp tục phát triển kiến thức, kỹ năng và năng lực.

Mục tiêu kỳ thi CIA^® là xác định những người có đủ năng lực toàn cầu trong hành nghề kiểm toán nội bộ hiện đại.

Năm 2023, IIA đã thực hiện nghiên cứu năng lực toàn cầu thông qua khảo sát hơn 2.300 người (ứng viên, CIA holders, giảng viên, chuyên gia…) bằng 12 ngôn ngữ, xác nhận nhu cầu cải tổ nội dung kỳ thi.

Năm 2024, phân tích dữ liệu thi hiện tại cũng cho thấy cần cập nhật sâu hơn để nâng cao độ chính xác và giá trị của kỳ thi CIA^®.

Kỳ thi CIA^® thay đổi như thế nào? (1.2)

Kỳ thi CIA^® vẫn giữ nguyên cấu trúc 3 phần:

• Phần 1: Internal Audit Fundamentals – 125 câu – 150 phút
• Phần 2: Internal Audit Engagement – 100 câu – 120 phút
• Phần 3: Internal Audit Function – 100 câu – 120 phút

Nội dung đề thi được điều chỉnh để:

• Đồng bộ với bộ Global Internal Audit Standards™ mới
• Cập nhật theo thực tiễn kiểm toán nội bộ hiện đại
• Làm rõ các năng lực cốt lõi mà ứng viên CIA cần nắm vững
• Tập trung vào các chủ đề thực tế – đang biến động nhanh trong nghề

Ứng viên CIA^® được kỳ vọng:

• Nắm vững và vận dụng đúng Khung Chuẩn mực Nghề nghiệp Kiểm toán Nội bộ Quốc tế (IPPF)
• Có thể thực hiện cuộc kiểm toán với giám sát tối thiểu và tuân thủ các Chuẩn mực Toàn cầu
• Sử dụng tư duy phản biện và đánh giá chuyên môn để xử lý các chủ đề được đề cập trong đề cương

PHẦN 2: CIA^® PART 1 – NỀN TẢNG KIỂM TOÁN NỘI BỘ

(Internal Audit Fundamentals)

Tổng quan: Gồm 4 nhóm nội dung chính với tỷ trọng như sau:

A. Nền tảng kiểm toán nội bộ – 35%

B. Đạo đức và chuyên nghiệp – 20%

C. Quản trị, quản lý rủi ro và kiểm soát – 30%

D. Rủi ro gian lận – 15%

A. NỀN TẢNG KIỂM TOÁN NỘI BỘ (35%)

1. Mô tả mục tiêu của kiểm toán nội bộ theo Chuẩn mực Kiểm toán Nội bộ Toàn cầu

• Giải thích mục tiêu tổng thể và lợi ích của chức năng kiểm toán nội bộ
• Mô tả các điều kiện giúp tăng hiệu quả chức năng kiểm toán nội bộ

2. Giải thích nhiệm vụ và trách nhiệm của kiểm toán nội bộ, Hội đồng và CAE

• Mô tả vai trò, quyền hạn và trách nhiệm
• Vai trò của CAE trong hỗ trợ Hội đồng xây dựng/điều chỉnh nhiệm vụ
• Vai trò của Hội đồng và lãnh đạo cấp cao trong xác định quyền hạn

3. Nhận biết yêu cầu bắt buộc của Điều lệ kiểm toán nội bộ

• Nhận diện các thành phần theo Chuẩn mực Toàn cầu
• Tầm quan trọng của việc thảo luận điều lệ với Hội đồng và Ban điều hành
• Nhấn mạnh sự cần thiết của việc phê duyệt điều lệ từ Hội đồng

4. Diễn giải sự khác nhau giữa dịch vụ đảm bảo và tư vấn

• Định nghĩa từng loại
• Phân biệt "đảm bảo hạn chế" và "đảm bảo hợp lý"
• Cách xác định loại dịch vụ phù hợp trong từng bối cảnh

5. Mô tả các loại dịch vụ đảm bảo

• Đánh giá rủi ro và kiểm soát
• Tuân thủ hợp đồng và bên thứ ba
• An ninh và bảo mật IT
• Đánh giá hiệu suất, chất lượng, tuân thủ quy định
• Đánh giá văn hóa tổ chức và báo cáo quản lý

6. Mô tả các loại dịch vụ tư vấn

• Tư vấn về đào tạo kiểm soát rủi ro
• Tư vấn thiết kế hệ thống
• Thẩm định (due diligence), bảo mật dữ liệu, benchmarking
• Đánh giá kiểm soát nội bộ và vẽ sơ đồ quy trình

7. Nhận diện các tình huống có thể ảnh hưởng đến tính độc lập

• Tuyến báo cáo của CAE không phù hợp
• Ngân sách hạn chế
• Hội đồng và CAE cần bảo vệ tính độc lập
• Hạn chế phạm vi hoặc quyền truy cập

8. Nhận biết vai trò của kiểm toán nội bộ trong quản trị rủi ro

• Mô tả mô hình Ba tuyến (Three Lines Model)
• Phân biệt ranh giới giữa tuyến 1–2 và tuyến 3
• Biện pháp bảo vệ khi kiểm toán viên tham gia tuyến 1 hoặc 2

B. ĐẠO ĐỨC & CHUYÊN NGHIỆP (20%)

1. Thể hiện tính chính trực

• Áp dụng trung thực và dũng cảm trong tình huống đạo đức
• Hành xử hợp pháp và chuyên nghiệp

2. Đánh giá xem có ảnh hưởng đến tính khách quan cá nhân không

• Hiệu ứng tự đánh giá và thiên vị do quen biết
• Mâu thuẫn lợi ích

3. Phân tích chính sách bảo vệ tính khách quan

• Khi nào cần chuyển công việc hoặc thuê ngoài kiểm toán
• Khi nào cần tiết lộ sự thiếu khách quan
• Tình huống không nên nhận quà hoặc ưu đãi

4. Áp dụng kỹ năng để thực hiện trách nhiệm kiểm toán

• Giao tiếp, tư duy phản biện, đàm phán, xây dựng quan hệ, quản lý thay đổi, học hỏi liên tục

5. Thể hiện sự cẩn trọng nghề nghiệp (due professional care)

• Đánh giá chiến lược, rủi ro, hiệu quả chi phí, xác suất rủi ro, và hoài nghi nghề nghiệp

6. Bảo mật và sử dụng thông tin đúng cách

• Tuân thủ quy định pháp luật, phương pháp kiểm toán, bảo vệ thông tin và quyền riêng tư

C. QUẢN TRỊ – RỦI RO – KIỂM SOÁT (30%)

1. Mô tả khái niệm quản trị tổ chức

• Vai trò của HĐQT, lãnh đạo cấp cao, kiểm toán và các bên đảm bảo khác

2. Nhận biết tác động của văn hóa tổ chức

• Mối liên hệ giữa văn hóa và môi trường kiểm soát, rủi ro và ra quyết định

3. Nhận diện vấn đề đạo đức và tuân thủ

• Nghĩa vụ pháp lý, quy định; vai trò của kiểm toán trong khung đạo đức

4. Diễn giải các loại rủi ro

• Rủi ro chiến lược, vận hành, tài chính, tuân thủ, uy tín, bền vững xã hội – môi trường
• So sánh rủi ro tiềm ẩn và rủi ro còn lại

5. Diễn giải quy trình quản trị rủi ro

• Khẩu vị rủi ro, chu trình quản lý rủi ro và các phản hồi rủi ro của tổ chức

6. Mô tả quản lý rủi ro trong quy trình tổ chức

• Đánh giá hiệu quả thiết kế và triển khai quản lý rủi ro
• Lợi ích của khung quản lý rủi ro

7. Diễn giải khái niệm kiểm soát nội bộ

• Các loại kiểm soát: phòng ngừa, phát hiện, khắc phục
• Gợi ý kiểm soát phù hợp để giảm thiểu rủi ro

8. Đánh giá hiệu quả và hiệu suất kiểm soát

• Mô tả lợi ích của khung kiểm soát nội bộ như COSO

D. RỦI RO GIAN LẬN (15%)

1. Mô tả khái niệm và loại gian lận

• Tam giác gian lận: động cơ, cơ hội, biện minh
• Nhận diện rủi ro gian lận và các hình thức phổ biến

2. Xác định khi nào cần xem xét đặc biệt về gian lận trong cuộc kiểm toán

• Nhận diện rủi ro gian lận khi lập kế hoạch
• Đánh giá quy trình dễ bị gian lận

3. Đánh giá khả năng gian lận và cách tổ chức kiểm soát

• Đánh giá quy trình quản trị rủi ro gian lận
• Nhận diện dấu hiệu cảnh báo (red flags)

4. Mô tả các kiểm soát chống gian lận

• Vai trò “tone at the top”, phân tách nhiệm vụ, phê duyệt quyền hạn
• Hotline, đối chiếu, kiểm tra giám sát

5. Vai trò của kiểm toán nội bộ trong điều tra gian lận

• Phỏng vấn, kiểm tra, kỹ thuật điều tra, phối hợp với đội điều tra, phân tích dữ liệu gian lận

PHẦN 3: CIA^® PART 2 – THỰC HIỆN CUỘC KIỂM TOÁN (Internal Audit Engagement)

Tổng cộng 3 phần nội dung chính, với tỷ trọng như sau:

A. Lập kế hoạch cuộc kiểm toán – 50%

B. Thu thập thông tin, phân tích và đánh giá – 40%

C. Giám sát và truyền thông kết quả – 10%

A. LẬP KẾ HOẠCH CUỘC KIỂM TOÁN (50%)

1. Xác định mục tiêu và phạm vi của cuộc kiểm toán

• Áp dụng các yêu cầu theo chủ đề (Topical Requirements)
• Xem xét các yếu tố: chiến lược, rủi ro, khẩu vị rủi ro, tuân thủ pháp lý, yêu cầu quản trị, dịch vụ đảm bảo hay tư vấn
• Ghi nhận các giới hạn phạm vi (nếu có)
• Quản lý các yêu cầu từ các bên liên quan
• Ứng phó với thay đổi phạm vi và mục tiêu

2. Xác định tiêu chí đánh giá phù hợp

• Chọn tiêu chí thực tế, phù hợp với mục tiêu kiểm toán
• Đảm bảo tiêu chí giúp so sánh đáng tin cậy

3. Lập kế hoạch kiểm toán để đánh giá rủi ro và kiểm soát then chốt

• Nhận diện mục tiêu chiến lược và liên kết với hiệu suất và quản lý rủi ro
• Nhận biết rủi ro an ninh mạng, khung kiểm soát IT, bảo mật dữ liệu
• Khả năng ứng phó với khủng hoảng, phục hồi, phân tích tác động kinh doanh
• Kiến thức tài chính: tài sản, nợ, vốn, đầu tư
• Rủi ro trong quy trình phổ biến: chuỗi cung ứng, tồn kho, mua hàng, ERP, CRM…

4. Chọn phương pháp kiểm toán phù hợp

• So sánh giữa phương pháp Agile, truyền thống, tích hợp, từ xa
• Áp dụng khái niệm quản lý dự án vào kiểm toán

5. Hoàn tất đánh giá rủi ro chi tiết

• Nhận diện các rủi ro tài chính, vận hành, pháp lý, công nghệ
• Phân tích rủi ro mới nổi
• Đánh giá rủi ro liên quan đến thay đổi con người, quy trình, công nghệ
• So sánh mô hình tổ chức (phân quyền, tập trung, online…)
• Tác động văn hóa đến môi trường kiểm soát

6. Xác định thủ tục kiểm toán & xây dựng chương trình công tác

• Thiết kế quy trình đánh giá kiểm soát
• Thử nghiệm tính hiệu quả & hiệu suất kiểm soát
• Xác định kỹ thuật kiểm toán theo lĩnh vực (tài chính, IT, vận hành…)

7. Xác định nhu cầu nguồn lực kiểm toán

• Tài chính, nhân lực, công nghệ
• Phân tích ảnh hưởng của hạn chế nguồn lực

B. THU THẬP, PHÂN TÍCH VÀ ĐÁNH GIÁ (40%)

1. Xác định nguồn thông tin hỗ trợ kiểm toán

• Phỏng vấn, quan sát, walkthrough, phân tích dữ liệu
• Tài liệu: quy trình, bảng câu hỏi, khảo sát tự đánh giá

2. Đánh giá mức độ phù hợp – đủ – tin cậy của bằng chứng

• Tiêu chí đánh giá chất lượng bằng chứng
• Nguồn độc lập, chứng cứ bổ trợ, hệ thống kiểm soát tốt

3. Đánh giá công nghệ hỗ trợ kết luận kiểm toán

• AI, Machine Learning, RPA, dashboard, phân tích liên tục

4. Áp dụng phương pháp phân tích & vẽ luồng quy trình

• Mapping, walkthrough, ma trận phân công
• Phân tích dữ liệu: phân tích chuẩn đoán, dự báo, bất thường, văn bản

5. Phân tích và đánh giá tổng hợp

• Chỉ số, xu hướng, benchmarking
• Chọn kỹ thuật phân tích phù hợp với mục tiêu

6. Xác định độ lệch giữa tiêu chí & thực tế

• Tìm nguyên nhân gốc
• Đánh giá mức độ nghiêm trọng của phát hiện

7. Soạn working paper hỗ trợ kết luận

• Tổ chức hợp lý
• Đảm bảo đầy đủ bằng chứng, liên kết với kết luận

8. Tổng hợp và kết luận kiểm toán

• Tổng hợp phát hiện
• Đánh giá hiệu quả quản trị, rủi ro và kiểm soát

C. GIÁM SÁT VÀ TRUYỀN THÔNG (10%)

1. Áp dụng giám sát trong suốt cuộc kiểm toán

• Trong lập kế hoạch, phân công, rà soát working paper và đánh giá năng lực nhân sự

2. Giao tiếp hiệu quả với các bên liên quan

• Hình thức: chính thức/phi chính thức, văn bản/lời nói
• Khi nào cần nâng cấp thông tin
• Xác định đúng đối tượng nhận thông tin

PHẦN 4: CIA^® PART 3 – CHỨC NĂNG KIỂM TOÁN NỘI BỘ (Internal Audit Function)

Gồm 4 phần nội dung chính, với tỷ trọng như sau:

A. Vận hành kiểm toán nội bộ – 25%

B. Kế hoạch kiểm toán nội bộ – 15%

C. Chất lượng của chức năng kiểm toán nội bộ – 15%

D. Kết quả kiểm toán và giám sát thực hiện – 45%

A. VẬN HÀNH KIỂM TOÁN NỘI BỘ (25%)

1. Mô tả phương pháp lập kế hoạch, tổ chức, điều hành và giám sát

• Quản lý nhà cung cấp dịch vụ kiểm toán bên ngoài
• Giám sát hoạt động kiểm toán
• Cân bằng giữa đảm bảo và tư vấn
• Xác định khi cần rà soát hoặc cập nhật phương pháp kiểm toán

2. Hoạt động quản lý nguồn lực (tài chính, nhân sự, công nghệ)

• Quy trình lập ngân sách
• Tuyển dụng và đào tạo
• Quản lý hiệu suất đội ngũ kiểm toán
• Sử dụng công nghệ phù hợp
• Kỹ thuật quản trị nhân sự: thiết kế công việc, khen thưởng, mentoring, coaching

3. Liên kết chiến lược kiểm toán nội bộ với mong đợi của các bên liên quan

• Hỗ trợ chiến lược kinh doanh và quản trị rủi ro
• Mục tiêu – sứ mệnh của chức năng kiểm toán
• Điều chỉnh kế hoạch nguồn lực
• Khi nào cần xem xét lại chiến lược

4. Trách nhiệm của CAE trong giao tiếp với Hội đồng và quản lý cấp cao

• Giao tiếp chính thức và phi chính thức
• Thông báo kế hoạch kiểm toán, rủi ro trọng yếu, kết quả đánh giá chất lượng
• Phản hồi các kết quả nhiều cuộc kiểm toán (chủ đề lặp lại, rủi ro tồn dư…)

B. KẾ HOẠCH KIỂM TOÁN NỘI BỘ (15%)

1. Nguồn gốc để xác định cuộc kiểm toán

• Xây dựng “audit universe”
• Xem xét yêu cầu từ Hội đồng, pháp luật, xu hướng thị trường, công nghệ mới (AI, blockchain, RPA…)

2. Xây dựng kế hoạch kiểm toán dựa trên rủi ro (Risk-based Audit Plan)

• Phân tích và xếp hạng rủi ro
• Liên kết với chiến lược doanh nghiệp
• Điều chỉnh linh hoạt theo biến động môi trường

3. Phối hợp với các bên đảm bảo khác

• Xác định bên trong và bên ngoài
• Phân bổ và phối hợp phạm vi kiểm toán
• Đánh giá độ tin cậy của báo cáo từ bên thứ ba

C. CHẤT LƯỢNG CHỨC NĂNG KIỂM TOÁN (15%)

1. Chương trình đảm bảo và cải tiến chất lượng (QAIP)

• Thành phần chính của QAIP
• Trách nhiệm CAE trong báo cáo kết quả QAIP cho Hội đồng
• So sánh đánh giá nội bộ vs. bên ngoài
• Tiêu chuẩn của người đánh giá chất lượng
• Giám sát thường xuyên & tự đánh giá định kỳ

2. Công bố phù hợp khi không tuân thủ Chuẩn mực IIA

• Nội dung cần công bố: hoàn cảnh, hành động, ảnh hưởng, lý do
• Trình tự báo cáo lên Hội đồng

3. Thiết lập chỉ số hiệu suất (KPIs) cho kiểm toán nội bộ

• Chỉ tiêu định tính và định lượng
• Thiết lập mục tiêu hiệu quả: tài chính, vận hành, chất lượng, năng suất

D. KẾT QUẢ KIỂM TOÁN VÀ THEO DÕI THỰC HIỆN (45%)

1. Các thuộc tính của báo cáo kiểm toán hiệu quả

• Chính xác, khách quan, rõ ràng, đầy đủ, đúng lúc
• Cách áp dụng trong truyền thông kết quả

2. Truyền thông hiệu quả kết quả cuộc kiểm toán

• Nội dung: mục tiêu, phạm vi, kết luận, khuyến nghị, kế hoạch hành động
• Khi nào được sử dụng câu "được thực hiện theo Chuẩn mực Kiểm toán Nội bộ Toàn cầu"
• Ghi rõ giới hạn phạm vi (nếu có)

3. Khuyến nghị và kế hoạch hành động

• Giao tiếp khi bất đồng với quản lý
• Tính hiệu quả của kế hoạch hành động
• Đánh giá chi phí – lợi ích

4. Giao tiếp cuối cuộc kiểm toán (exit conference)

• Đối tượng: bộ phận được kiểm toán, quản lý cấp cao, HĐQT, kiểm toán độc lập, cơ quan quản lý…
• CAE chịu trách nhiệm phân phối thông tin
• Điều chỉnh nếu có lỗi trong báo cáo cuối

5. Đánh giá rủi ro còn lại sau kiểm toán (Residual Risk)

• Đánh giá hiệu quả thiết kế & vận hành kiểm soát
• Tổng hợp và phân loại phát hiện
• Sử dụng hệ thống chấm điểm đánh giá tổng thể

6. Quy trình truyền thông về việc chấp nhận rủi ro của ban lãnh đạo

• Khi rủi ro không chấp nhận được nhưng vẫn bị giữ nguyên
• Phải báo cáo lên đúng cấp quản trị theo trình tự

7. Theo dõi việc thực hiện kế hoạch hành động

• Trách nhiệm của phòng kiểm toán nội bộ
• Các bước theo dõi, xác nhận kết quả thực hiện

8. Tiến trình leo thang khi quản lý không khắc phục vấn đề

• Khi nào cần báo cáo cấp cao hơn
• Trình tự thông báo và xử lý tình huống

PHẦN 5: CHUYỂN TIẾP TỪ KỲ THI HIỆN TẠI SANG CIA^® MỚI (Transition Plan)

• Kỳ thi CIA^® hiện tại sẽ được thay thế bởi phiên bản mới sớm nhất là vào tháng 5 năm 2025, ban đầu chỉ bằng tiếng Anh.
• IIA toàn cầu sẽ làm việc với các chi nhánh quốc gia để xây dựng lộ trình chuyển đổi cho các ngôn ngữ khác từ năm 2025 trở đi.

Để biết chi tiết:

• Lịch thi cập nhật theo ngôn ngữ: www.theiia.org/CIA2025
• Tài liệu chính thức (syllabus): www.theiia.org/CIAExamSyllabus
• Liên hệ: CustomerRelations@theiia.org – hoặc tạo ticket trên CCMS