Từ điển quản lý

Standard 1112 – Chief Audit Executive Roles Beyond Internal Auditing

 

CAE thực hiện nhiệm vụ ngoài kiểm toán nội bộ là gì?

Trong trường hợp trưởng kiểm toán nội bộ có hoặc dự kiến ​​sẽ có các vai trò và/hoặc trách nhiệm nằm ngoài kiểm toán nội bộ, thì các biện pháp bảo vệ phải được áp dụng để hạn chế sự suy giảm tính độc lập hoặc khách quan.

Trưởng kiểm toán nội bộ có thể được yêu cầu đảm nhận thêm vai trò và trách nhiệm ngoài kiểm toán nội bộ, chẳng hạn như trách nhiệm đối với các hoạt động tuân thủ hoặc quản lý rủi ro. Những vai trò và trách nhiệm này có thể làm suy giảm hoặc có vẻ như làm suy giảm tính độc lập về mặt tổ chức của hoạt động kiểm toán nội bộ hoặc tính khách quan cá nhân của kiểm toán viên nội bộ. Các biện pháp bảo vệ là những hoạt động giám sát, thường được thực hiện bởi hội đồng quản trị, để giải quyết những khiếm khuyết tiềm ẩn này và có thể bao gồm các hoạt động như đánh giá định kỳ các dòng và trách nhiệm báo cáo và phát triển các quy trình thay thế để đạt được sự đảm bảo liên quan đến các lĩnh vực chịu trách nhiệm bổ sung

Diễn giải Chuẩn mực 1112 lưu ý rằng khi trưởng kiểm toán nội bộ điều hành (CAE) đảm nhận các vai trò và/hoặc trách nhiệm bên ngoài kiểm toán nội bộ, tính độc lập về tổ chức của hoạt động kiểm toán nội bộ hoặc tính khách quan cá nhân của kiểm toán viên nội bộ có thể bị suy giảm hoặc có vẻ như bị ảnh hưởng, khiếm khuyết. Tuy nhiên, trong một số trường hợp nhất định, hội đồng quản trị và quản lý cấp cao có thể thấy rằng việc tổ chức mở rộng vai trò của CAE ngoài kiểm toán nội bộ là phù hợp.

Ví dụ về các tình huống khi CAE có thể được yêu cầu thực hiện các vai trò mà ban quản lý thường chịu trách nhiệm bao gồm:

  • Yêu cầu pháp lý mới đặt ra nhu cầu cấp thiết là phải xây dựng các chính sách, quy trình, biện pháp kiểm soát và các hoạt động quản lý rủi ro để đảm bảo tuân thủ.
  • Một tổ chức cần các hoạt động quản lý rủi ro hiện tại được điều chỉnh cho phù hợp với việc bổ sung một phân khúc kinh doanh hoặc thị trường địa lý mới.
  • Các nguồn lực của tổ chức quá hạn chế hoặc tổ chức quá nhỏ để có thể thực hiện chức năng tuân thủ riêng biệt.
  • Các quy trình của tổ chức chưa trưởng thành và CAE có chuyên môn phù hợp nhất để đưa ra các nguyên tắc quản lý rủi ro trong tổ chức.

Trong một số trường hợp, CAE có thể được yêu cầu đảm nhận trách nhiệm trong các lĩnh vực quản lý rủi ro, thiết kế và vận hành các biện pháp kiểm soát cũng như tuân thủ. Ví dụ: nếu CAE được yêu cầu đảm nhận vai trò báo cáo chức năng cho quản lý cấp cao thay vì hội đồng quản trị, thì tính độc lập của CAE liên quan đến trách nhiệm kiểm toán nội bộ có thể bị suy giảm. Tiêu chuẩn 1112 hướng dẫn CAE trong những trường hợp như vậy.

Để thực hiện Tiêu chuẩn 1112, CAE phải hiểu rõ về Quy tắc đạo đức của IIA và các khái niệm về tính độc lập và khách quan, như được giải thích trong loạt tiêu chuẩn 1100 và hướng dẫn thực hiện. Ngoài ra, một số Nguyên tắc Cốt lõi của IIA đối với Thực hành Kiểm toán Nội bộ Chuyên nghiệp đề cập đến tính độc lập và khách quan của CAE. Tuyên bố sứ mệnh và điều lệ của hoạt động kiểm toán nội bộ, điều lệ của ủy ban kiểm toán cũng như các chính sách và quy tắc đạo đức của tổ chức có thể bao gồm các hướng dẫn bổ sung có liên quan dành riêng cho tổ chức.

Để giải quyết các rủi ro do suy giảm năng lực, CAE cần hiểu rõ về bất kỳ vai trò được đề xuất nào nằm ngoài kiểm toán nội bộ và trao đổi với ban quản lý cấp cao và hội đồng quản trị về các mối quan hệ báo cáo, trách nhiệm và kỳ vọng liên quan đến vai trò đó. Trong cuộc thảo luận như vậy, CAE nên nhấn mạnh các tiêu chuẩn của IIA liên quan đến tính độc lập và khách quan, khả năng suy yếu do vai trò được đề xuất gây ra, rủi ro liên quan đến vai trò được đề xuất và các biện pháp bảo vệ có thể giảm thiểu những rủi ro đó.

Tiêu chuẩn 1112 nhấn mạnh tầm quan trọng của các biện pháp bảo vệ chẳng hạn như các hoạt động giám sát, thường được thực hiện bởi hội đồng quản trị, để giải quyết những khiếm khuyết tiềm ẩn đối với tính độc lập và khách quan của CAE. Một biện pháp bảo vệ là vị trí tổ chức và mối quan hệ báo cáo của CAE. Theo Tiêu chuẩn 1110 – Tính độc lập của Tổ chức, “CAE phải báo cáo cho một cấp trong tổ chức để cho phép hoạt động kiểm toán nội bộ hoàn thành trách nhiệm của mình.” Điều này đạt được một cách hiệu quả khi CAE báo cáo theo chức năng cho hội đồng quản trị, điều này thường liên quan đến việc giám sát của hội đồng quản trị đối với việc tuyển dụng, đánh giá và trả lương cho CAE và sự phê duyệt của hội đồng đối với điều lệ kiểm toán nội bộ và kế hoạch kiểm toán nội bộ, ngân sách và các nguồn lực. Như đã nêu trong Chuẩn mực 1000 – Mục đích, Quyền hạn và Trách nhiệm, điều lệ kiểm toán nội bộ ghi lại bản chất của mối quan hệ báo cáo chức năng của CAE với hội đồng quản trị.

Những thay đổi trong tổ chức và nhân sự chủ chốt của nó có thể dẫn đến việc tái định vị hoặc xác định lại vai trò và trách nhiệm. Theo Diễn giải Tiêu chuẩn 1112, một biện pháp bảo vệ có thể giải quyết tình huống này là đánh giá định kỳ các dòng và trách nhiệm báo cáo. Việc CAE xem xét điều lệ kiểm toán nội bộ và thảo luận với ban quản lý cấp cao và hội đồng quản trị, như được mô tả trong Chuẩn mực 1000, nên bao gồm mọi thay đổi về vai trò hoặc trách nhiệm có thể ảnh hưởng đến hoạt động kiểm toán nội bộ, đặc biệt là những thay đổi có khả năng làm giảm tính độc lập của CAE và khách quan, hoặc trong thực tế hoặc bề ngoài. Nếu các trách nhiệm không kiểm toán của CAE sẽ tiếp tục, điều lệ kiểm toán nội bộ phải mô tả bản chất của công việc. Tuy nhiên, nếu những trách nhiệm đó chỉ là ngắn hạn, thì có thể không cần thiết phải thay đổi điều lệ kiểm toán nội bộ và các tài liệu khác. Trong những trường hợp như vậy, một kế hoạch chuyển giao các trách nhiệm này cho cấp quản lý có thể được triển khai để bảo vệ tính độc lập và khách quan của CAE. Kế hoạch chuyển đổi sẽ đảm bảo các nguồn lực và thời gian phù hợp để tạo điều kiện thuận lợi cho ban quản lý chấp nhận các trách nhiệm này.

Tiêu chuẩn 1130 yêu cầu CAE tiết lộ chi tiết về bất kỳ sự suy giảm nào đối với tính độc lập hoặc khách quan, cho dù trên thực tế hay bề ngoài. Tiết lộ, cho phép hội đồng quản trị đánh giá rủi ro tổng thể của các khiếm khuyết tiềm ẩn, thường diễn ra trong cuộc họp hội đồng quản trị và có thể bao gồm một cuộc thảo luận về các chủ đề liên quan, chẳng hạn như:

  • Vai trò và trách nhiệm mà CAE được yêu cầu đảm nhận.
  • Rủi ro liên quan đến cam kết.
  • Các biện pháp bảo vệ tính độc lập và khách quan của CAE, bao gồm cả việc xem xét hình thức bên ngoài.
  • Có các biện pháp kiểm soát để xác nhận rằng các biện pháp bảo vệ đang hoạt động hiệu quả.
  • Kế hoạch chuyển tiếp, nếu nhiệm vụ là ngắn hạn.
  • Thỏa thuận với quản lý cấp cao và hội đồng quản trị.

Hội đồng quản trị có thể giám sát tính khách quan của CAE bằng cách tăng mức độ giám sát áp dụng cho đánh giá rủi ro, kế hoạch kiểm toán nội bộ và thông tin liên lạc về cam kết của CAE, đồng thời xem xét bất kỳ sự thiên vị tiềm ẩn nào mà CAE có thể có liên quan đến một lĩnh vực mà họ đã thực hiện các nhiệm vụ ngoài phạm vi kiểm toán nội bộ. Để giúp bảo vệ CAE không bị suy giảm tính khách quan, Chuẩn mực 1130.A1 cấm kiểm toán viên nội bộ đánh giá các hoạt động cụ thể mà họ chịu trách nhiệm trong năm trước và Chuẩn mực 1130.A2 yêu cầu một bên bên ngoài hoạt động kiểm toán nội bộ giám sát các cam kết đảm bảo cho các chức năng mà CAE có trách nhiệm. Nếu CAE có trách nhiệm trong các lĩnh vực nằm ngoài hoạt động kiểm toán nội bộ chịu sự kiểm toán nội bộ, thì việc cung cấp dịch vụ đảm bảo sẽ được giao cho một nhà cung cấp dịch vụ đảm bảo có năng lực, khách quan báo cáo độc lập với hội đồng quản trị, thay vì CAE. Một nhà cung cấp dịch vụ đảm bảo như vậy có thể là nội bộ hoặc bên ngoài.

Đánh giá bên ngoài về hoạt động kiểm toán nội bộ (xem Tiêu chuẩn 1312 – Đánh giá bên ngoài) bao gồm đánh giá về tính độc lập và khách quan của CAE — đặc biệt là ở những khu vực mà CAE thực hiện các trách nhiệm không phải kiểm toán — có thể mang lại sự đảm bảo bổ sung cho hội đồng quản trị, miễn là tính độc lập của chuyên gia đánh giá bên ngoài có thể được xác nhận.


Tài liệu về bất kỳ biện pháp bảo vệ nào được thiết lập để giải quyết những suy giảm tiềm ẩn đối với tính độc lập và khách quan của CAE có thể giúp chứng minh sự tuân thủ với Tiêu chuẩn 1112. Tài liệu đó có thể bao gồm các tuyên bố trong chính sách và quy tắc đạo đức của tổ chức, điều lệ của ủy ban kiểm toán và nhiệm vụ của hoạt động kiểm toán nội bộ tuyên bố và điều lệ kiểm toán đã được phê duyệt, trong đó nêu rõ vai trò và trách nhiệm của CAE theo thỏa thuận với ban quản lý cấp cao và hội đồng quản trị. Sự phù hợp cũng có thể được chứng minh thông qua các sửa đổi định kỳ của điều lệ kiểm toán nội bộ, phản ánh vai trò và trách nhiệm thay đổi của hoạt động kiểm toán nội bộ. Tương tự như vậy, các kế hoạch chuyển đổi vai trò và trách nhiệm nằm ngoài kiểm toán nội bộ (ví dụ: các hoạt động quản lý rủi ro hoặc tuân thủ) từ CAE sang quản lý cũng có thể chứng minh sự phù hợp. Bằng chứng bổ sung có thể bao gồm biên bản các cuộc họp hội đồng quản trị trong đó CAE tiết lộ những khiếm khuyết tiềm ẩn đối với tính độc lập hoặc khách quan và các biện pháp bảo vệ được đề xuất để giảm thiểu rủi ro suy giảm ở mức có thể chấp nhận được.

CAE có thể chứng minh sự phù hợp bằng cách chỉ ra rằng các nhà cung cấp dịch vụ đảm bảo khác  đã đánh giá các lĩnh vực mà CAE đã đảm nhận các vai trò ngoài kiểm toán nội bộ và kế hoạch kiểm toán nội bộ, đánh giá rủi ro và thông tin liên lạc về cam kết được đánh giá độc lập về tính độc lập và khách quan. Các cuộc khảo sát khách hàng kiểm toán và đánh giá của hội đồng quản trị về hoạt động của CAE có thể bao gồm phản hồi về nhận thức về tính độc lập và khách quan của CAE. Sự phù hợp cũng có thể được xác nhận trong kết quả đánh giá bên ngoài được thực hiện bởi một chuyên gia đánh giá độc lập.

Icon email Icon phone Icon message Icon zalo