AUTHOR

IIA công bố mô hình Ba tuyến mới

Tác giả: Matt Kelly | Ngày 22 tháng 7 năm 2020

Viện Kiểm toán Nội bộ Hoa kỳ (IIA) đã công bố (20/07/2020) một phiên bản cải tiến của mô hình Ba tuyến Phòng ngự (Three Lines of Defense model) nổi tiếng của mình cho khả năng đảm bảo rủi ro (risk assurance). Có lẽ thay đổi đáng chú ý nhất: không còn gọi nó là mô hình Ba tuyến Phòng ngự (Three Lines of Defense model) nữa.  Thay vào đó, hướng dẫn IIA giờ đây chính thức được gọi là “Mô hình Ba tuyến” (“The Three Lines Model”) – vì do lời chỉ trích trong nhiều năm rằng từ “phòng ngự” đã khiến mọi người tập trung quá nhiều vào việc giảm thiểu rủi ro, thay vì quản lý rủi ro cân bằng (balanced risk management)sẽ khuyến khích một công ty chấp nhận rủi ro thích hợp. 

Đối với những người không quen thuộc với Mô hình Ba tuyến phòng ngự cũ, đó là: 

  • Tuyến phòng thủ đầu tiên: vận hành các chức năng kinh doanh như bán hàng, R & D hoặc phát triển sản phẩm
  • Tuyến phòng thủ thứ hai: các chức năng kiểm soát và rủi ro tập trung như nhân sự, pháp lý, bảo mật CNTT, tuân thủ hoặc kế toán
  • Tuyến phòng thủ thứ ba: kiểm toán nội bộ, làm việc độc lập với phần còn lại của doanh nghiệp

Mô hình ban đầu đó trông như thế này:

Một chỉ trích về mô hình Ba tuyến Phòng ngự là sự nhấn mạnh tinh vi của nó vào việc phòng thủ/phòng ngự/phòng vệ trước rủi ro, thay vì quản lý rủi ro thận trọng (thoughtful risk management). Một nguyên nhân khác là các doanh nghiệp sẽ diễn giải mô hình theo nghĩa đen, nơi mà tâm lý “đó không phải công việc của tôi, đó không phải vấn đề của tôi” có thể bắt nguồn từ đó. 

Tôi không bao giờ tập trung quá nhiều vào những lời phàn nàn đó, nhưng chúng đã có một số giá trị. Hãy xem xét đoạn trích này từ phần giới thiệu trong mô hình Ba tuyến Phòng ngự ban đầu:

Việc tồn tại các chức năng kiểm soát và rủi ro khác nhau là chưa đủ – thách thức là phải phân công các vai trò cụ thể và phối hợp hữu hiệu và hiệu quả giữa các nhóm này để không có “khoảng trống” trong kiểm soát cũng như không có sự trùng lặp không cần thiết về phạm vi đạt tới. 

Sự nhấn mạnh thực sự là về việc phối hợp các chức năng kiểm soát và rủi ro, với sự phân định rõ ràng giữa ba nhóm. IIA muốn xem xét lại toàn bộ ý tưởng đó và đã làm việc trên bản cập nhật Ba tuyến trong hơn một năm .

Mô hình Ba tuyến mới được xây dựng dựa trên ý tưởng rằng quản trị công ty tốt khuyến khích hành động để đạt được các mục tiêu. Quản lý rủi ro thận trọng là một trong những hành động như vậy, nhưng đó chỉ là một vấn đề. Quản trị tốt cũng nên để tổ chức tự tin theo đuổi các mục tiêu khác có thể dẫn đến rủi ro ở một mức độ nào đó, chẳng hạn như sáp nhập hoặc phát triển sản phẩm hoặc chiến lược bán hàng mới hoặc bất cứ điều gì. 

Mô hình mới trông như thế này:

Từ Ba Tuyến đến Sáu Nguyên tắc

Để giải thích điểm cơ bản đó về hành động và mục tiêu, Mô hình Ba tuyến mới của IIA liệt kê sáu nguyên tắc[1] – hầu hết là một cơ chế đóng khung để xác định các thuật ngữ chính như “quản trị”, “vai trò của Hội đồng quản trị” hoặc “sự độc lập của tuyến thứ ba”.

Tuy nhiên, Nguyên tắc 6 đáng được gọi cụ thể: Tạo ra và bảo vệ giá trị. Nó đáng được trích dẫn toàn bộ:

Tất cả các vai trò làm việc cùng nhau đều đóng góp chung vào việc tạo ra và bảo vệ giá trị khi chúng liên kết với nhau và với lợi ích ưu tiên của các bên liên quan. Sự liên kết của các hoạt động đạt được thông qua giao tiếp, hợp tác và cộng tác. Điều này đảm bảo độ tin cậy, tính nhất quán và tính minh bạch của thông tin cần thiết cho việc ra quyết định dựa trên rủi ro. 

Rất nhiều từ thông dụng được nhồi nhét trong ba câu đó, nhưng ngụ ý là một điều quan trọng: tạo ra và bảo vệ giá trị cho các bên liên quan trong tổ chức của bạn. Tất cả những nỗ lực của bạn trong việc xây dựng khả năng đảm bảo rủi ro mạnh mẽ – tất cả các kế hoạch kiểm toán, tất cả các thử nghiệm kiểm soát, tất cả các chính sách tuân thủ, tất cả các cuộc kiểm toán rủi ro của nhà cung cấp – đều phục vụ mục tiêu đó. 

Vì lý do đó, Mô hình Ba tuyến mới này rất đáng để bạn quan tâm. Nó đang cố gắng chuyển vị thế mặc định của công ty khỏi giảm thiểu rủi ro hoặc tuân thủ quy định, nơi mà suy nghĩ ngầm là, “Chúng ta đã giảm thiểu tất cả các rủi ro tuân thủ và kiện tụng của mình đến một số điểm tối thiểu an toàn chưa? Tốt. Bây giờ chúng tôi có thể làm bất cứ điều gì khác mà chúng tôi muốn”. 

Tư duy đó không còn thực tế nữa, bởi vì thế giới kinh doanh rất biến động và liên kết với nhau (và được quản lý chặt chẽ) đến mức các doanh nghiệp có thể không đạt được mục tiêu của mình theo mọi cách – nhiều người trong số họ khá tách rời với các nghĩa vụ tuân thủ hoặc báo cáo tài chính chính xác. Vì vậy, một tư duy tốt hơn là, “Chúng ta có hiểu tất cả những rủi ro có thể cản trở chúng ta đạt được các mục tiêu của mình không? Chúng ta đã thực hiện các thực hành khôn ngoan để tránh những rủi ro đó chưa? Tốt. Hãy tiến hành chiến lược của chúng tôi”.

Khi các nhà lãnh đạo kiểm toán và tuân thủ làm việc với hội đồng quản trị và nhóm quản lý cấp cao của họ để phát triển khả năng đảm bảo rủi ro tốt, đó là cuộc trò chuyện mà bạn muốn có. Đó là lập luận mà bạn muốn Hội đồng quản trị và đội ngũ quản lý ủng hộ. 

Khi các nhà lãnh đạo cấp cao nhìn hoạt động kinh doanh qua lăng kính đó – rằng quản lý rủi ro là tạo ra giá trị cũng như tránh rắc rối – nó đặt những gì bạn làm vào trọng tâm của chiến lược kinh doanh. Nó làm cho lời khuyên của bạn được tôn trọng hơn và nó cung cấp nhiều nguồn lực hơn cho bạn. 

Tuyến thứ hai

Ngoài sáu nguyên tắc đó, phần còn lại của hướng dẫn Ba tuyến nói về cách các tuyến có thể tương tác với nhau. Một điểm thú vị: mô hình mới này mô tả Tuyến thứ hai như thế nào. 

Trong mô hình Ba tuyến Phòng ngự trước đây, tuyến thứ hai luôn được mô tả như một danh sách các chức năng cụ thể. Kiểm soát tài chính, quản lý rủi ro, bảo mật CNTT, tuân thủ, kiểm soát chất lượng – tất cả chúng đều được xác định là các chức năng của Tuyến phòng thủ thứ hai.

Bây giờ Tuyến thứ hai được xác định là sự hỗ trợ cung cấp cho quản lý, thay vì được xác định theo tên gọi (cụ thể kiểm soát tài chính, quản lý rủi ro, bảo mật CNTT, tuân thủ, kiểm soát chất lượng). Vì vậy, mô hình mới chỉ mô tả Tuyến thứ hai là cung cấp “chuyên môn, hỗ trợ, giám sát và thách thức về các vấn đề liên quan đến rủi ro”. 

Điều đó thật khôn ngoan, bởi vì nó làm cho Mô hình Ba tuyến phù hợp hơn với nhiều tổ chức hơn, đặc biệt là những tổ chức nhỏ hơn có thể không có các nhóm chuyên trách về bảo mật CNTT, rủi ro, tuân thủ, v.v. Tên và cấu trúc không quan trọng, miễn là có chuyên môn và hỗ trợ quản lý. 

Để làm gì, chính xác là gì? IIA nói điều này về Tuyến thứ hai:

  • Cung cấp kiến ​​thức chuyên môn bổ sung, hỗ trợ, giám sát và thách thức liên quan đến quản lý rủi ro, bao gồm: 
    • Việc phát triển, triễn khai và cải tiến liên tục các thông lệ quản lý rủi ro (bao gồm cả kiểm soát nội bộ) ở cấp quá trình, hệ thống và đơn vị. 
    • Việc đạt được các mục tiêu quản lý rủi ro, chẳng hạn như: tuân thủ luật pháp, quy định và hành vi đạo đức có thể chấp nhận được; Kiểm soát nội bộ; bảo mật CNTT; Sự bền vững; và đảm bảo chất lượng.  
  • Cung cấp các phân tích và báo cáo về tính thích hợp/tính đầy đủ và hiệu quả của quản lý rủi ro (bao gồm cả kiểm soát nội bộ). 

Các chuyên gia tuân thủ có thể quan tâm đến mô tả vai trò đó. Hội đồng quản trị và các giám đốc điều hành cấp cao có thể quan tâm đến toàn bộ Mô hình Ba tuyến, với trọng tâm mới là tạo ra và bảo vệ giá trị. 

Đây là một bước tiến tốt. Trong môi trường kinh doanh khó khăn ngày nay, chúng ta cần tất cả những bước tiến tốt mà chúng ta có thể tìm thấy.

………………

Biên dịch: TS. Huỳnh Đức Trường, CPA

Nguồn: https://www.radicalcompliance.com/2020/07/22/iia-unveils-new-three-lines-model/. Truy cập 15/04/2022.

[1] Sáu nguyên tắc: Quản trị, Các vai trò của Hội đồng Quản trị, Quản lý và các vai trò của Tuyến thứ nhất và Tuyến thứ hai, các vai trò của Tuyến thứ ba, Sự độc lập của Tuyến thứ ba, và Tạo ra và bảo vệ giá trị.(ND).

Leave a comment