Hệ thống kiểm soát nội bộ nhằm vào 3 vấn đề lớn, đó là: Tuân thủ luật pháp và quy định; Đảm bảo mục tiêu của hoạt động (hiệu quả hoạt động và hiệu năng quản lý); Đảm bảo độ tin cậy của báo cáo tài chính.
Mục tiêu hoạt động là đạt mục tiêu cụ thể đã được thiết lập trong mối quan hệ đánh giá tổng thể (Mỗi mục tiêu cụ thể đều đạt được nhưng mục tiêu hoạt động chung có thể không đạt được); Khai thác, sử dụng tối ưu (kinh tế, hiệu quả, an toàn) các nguồn lực.
Mục đích của DN khi thiết lập hệ thống kiểm soát nội bộ khác với mục đích của hệ thống kiểm soát nội bộ. Mục đích của việc thiết lập hệ thống kiểm soát nội bộ của DN nhằm vào:
– Đảm bảo các mục tiêu của hệ thống kiểm soát nội bộ (tuân thủ pháp luật và quy định; Đảm bảo độ tin cậy của báo cáo tài chính; Đảm bảo mục tiêu hoạt động của đơn vị).
– Bảo vệ thông tin và tài sản trong DN, đơn vị.
– Ngăn chặn, phát hiện và xử lý các vi phạm, gian lận trong hoạt động.
– Phát hiện, thu thập đầy đủ và xử lý kịp thời các vấn đề rắc rối, những phát sinh ngoài dự kiến của DN, đơn vị.
– Tăng cường tính hiệu lực về mặt điều hành, hiệu năng quản lý, hiệu quả kinh doanh của đơn vị (quyết định quản lý phù hợp và hiệu lực, quản lý phải đem lại kết quả; kinh doanh phải thu được lợi nhuận cao).
Yếu tố cấu thành hệ thống kiểm soát nội bộ
Theo quan điểm của COSO kiểm soát nội bộ bao gồm 5 yếu tố: Môi trường kiểm soát; Quy trình đánh giá rủi ro; Hệ thống thông tin và truyền thông; Hoạt động kiểm soát; Và giám sát kiểm soát. Theo đó, các hoạt động diễn ra luôn phải được kiểm soát và có sự kiểm soát chặt chẽ để đảm bảo độ tin cậy về kết quả kiểm soát cho những đối tượng quan tâm, nhất là các đối tượng ở bên ngoài.
1. Môi trường kiểm soát của hệ thống kiểm soát nội bộ.
Môi trường kiểm soát bao gồm các yếu tố sau:
a) Truyền đạt thông tin và yêu cầu thực thi tính chính trực và các giá trị đạo đức:Tính hữu hiệu của các kiểm soát không thể cao hơn các giá trị đạo đức và tính chính trực của những người tạo ra, quản lý và giám sát các kiểm soát đó. Tính chính trực và hành vi đạo đức là sản phẩm của chuẩn mực về hành vi và đạo đức của đơn vị cũng như việc truyền đạt và thực thi các chuẩn mực này trong thực tế. Việc thực thi tính chính trực và các giá trị đạo đức bao gồm các nội dung như: biện pháp của Ban Giám đốc để loại bỏ hoặc giảm thiểu các động cơ xúi giục nhân viên tham gia vào các hành động thiếu trung thực, bất hợp pháp, hoặc phi đạo đức. Việc truyền đạt các chính sách của đơn vị về tính chính trực và các giá trị đạo đức có thể bao gồm truyền đạt tới nhân viên các chuẩn mực hành vi thông qua các chính sách của đơn vị, các quy tắc đạo đức và bằng tấm gương điển hình.
b) Cam kết về năng lực:Năng lực là kiến thức và các kỹ năng cần thiết để hoàn thành nhiệm vụ thuộc phạm vi công việc của từng cá nhân.
c) Sự tham gia của Ban quản trị: Ban quản trị có trách nhiệm quan trọng và trách nhiệm đó được đề cập trong các chuẩn mực nghề nghiệp, pháp luật và quy định khác, hoặc trong các hướng dẫn do Ban quản trị ban hành. Ngoài ra, Ban quản trị còn có trách nhiệm giám sát việc thiết kế và hiệu quả hoạt động của các thủ tục báo cáo sai phạm và các thủ tục soát xét tính hiệu quả của KSNB của đơn vị.
d) Triết lý và phong cách điều hành của Ban Giám đốc: Triết lý và phong cách điều hành của Ban Giám đốc có nhiều đặc điểm, như quan điểm, thái độ và hành động của Ban Giám đốc đối với việc lập và trình bày BCTC có thể được thể hiện qua việc lựa chọn các nguyên tắc, chính sách kế toán có thận trọng hay không khi có nhiều lựa chọn khác nhau về nguyên tắc, chính sách kế toán, hoặc sự kín kẽ và thận trọng khi xây dựng các ước tính kế toán, trong đó:
+ Nếu việc đưa ra quyết định quản lý được tập trung và chi phối bởi một người thì KTV cần chú ý đến phẩm chất và năng lực của người nắm quyền tập trung đó.
+ Nếu như quyền lực được phân tán cho nhiều người trong bộ máy quản lý thì KTV cần xem xét việc sử dụng quyền lực của người phân quyền để đề phòng trường hợp không sử dụng hết quyền hạn được giao hoặc lạm dụng quyền hạn này.
+ Phương pháp ủy quyền: Là cách thức người quản lý ủy quyền cho cấp dưới một cách chính thức. Cần có những ủy quyền rõ ràng văn bản sẽ giúp cho công việc được tiến hành dễ dàng và tránh được sự lạm dụng.
d) Cơ cấu tổ chức: Việc thiết lập một cơ cấu tổ chức thích hợp gồm việc xem xét, cân nhắc các vấn đề chính về quyền hạn, trách nhiệm và các kênh báo cáo phù hợp. Sự phù hợp của cơ cấu tổ chức phụ thuộc một phần vào quy mô và đặc điểm hoạt động của đơn vị. Cơ cấu tổ chức thực chất đây là sự phân chia trách nhiệm và quyền hạn giữa các bộ phận trong đơn vị, nó góp phần rất lớn trong việc đạt được các mục tiêu đề ra. Một cơ cấu phù hợp sẽ là cơ sở để lập kế hoạch, điều hành, kiểm soát và giám sát các hoạt động. Ngược lại, khi thiết kế không đúng, cơ cấu tổ chức có thể làm cho các thủ tục kiểm soát mất tác dụng.
Ví dụ: Nếu bố trí bộ phận kiểm toán nội bộ trực thuộc phòng kế toán, chức năng kiểm tra và đánh giá của kiểm toán nội bộ sẽ không phát huy tác dụng.
Cơ cấu tổ chức thường được mô tả thông qua sơ đồ tổ chức, trong đó phải xác định được các được các vị trí then chốt với quyền hạn, trách nhiệm và các thể thức báo cáo cho phù hợp. Ngoài ra, cơ cấu tổ chức cần phù hợp với quy mô và hoạt động của đơn vị.
đ) Phân công quyền hạn và trách nhiệm: Việc phân công quyền hạn và trách nhiệm có thể bao gồm các chính sách liên quan đến thông lệ phổ biến, hiểu biết và kinh nghiệm của các nhân sự chủ chốt, và các nguồn lực được cung cấp để thực hiện nhiệm vụ. Ngoài ra, việc phân công có thể bao gồm các chính sách và trao đổi thông tin để đảm bảo rằng tất cả nhân viên đều hiểu được mục tiêu của đơn vị, hiểu được hành động của mỗi cá nhân có liên quan với nhau và đóng góp như thế nào vào các mục tiêu đó, và nhận thức được mỗi cá nhân sẽ chịu trách nhiệm như thế nào và chịu trách nhiệm về cái gì.
e) Các chính sách và thông lệ về nhân sự: Các chính sách và thông lệ về nhân sự thường cho thấy các vấn đề quan trọng liên quan tới nhận thức về kiểm soát của đơn vị. Ví dụ, tiêu chuẩn về tuyển dụng các ứng viên có trình độ cao nhất thể hiện cam kết của đơn vị đối với những người có năng lực và đáng tin cậy.
Sự phát triển của mọi doanh nghiệp, tổ chức luôn gắn liền với đội ngũ nhân viên và họ là nhân tố quan trọng trong môi trường kiểm soát cũng như chủ thể thực hiện mọi thủ tục kiểm soát trong hoạt động của đơn vị.
Như vậy, chính sách nhân sự bao gồm toàn bộ các phương pháp quản lý và các chế độ của đơn vị đối với việc tuyển dụng, đào tạo, đánh giá, đề bạt, khen thưởng và kỷ luật đối với nhân viên trong đơn vị.
2. Quy trình đánh giá rủi ro của đơn vị trong hệ thống kiểm soát nội bộ.
a) Cho mục tiêu lập và trình bày BCTC, quy trình đánh giá rủi ro của đơn vị bao gồm việc Ban Giám đốc xác định các rủi ro kinh doanh có liên quan như thế nào đến việc lập và trình bày BCTC theo khuôn khổ về lập và trình bày BCTC, ước tính độ rủi ro, đánh giá khả năng xảy ra rủi ro và quyết định các hành động nhằm xử lý, quản trị rủi ro và kết quả thu được. Ví dụ, quy trình đánh giá rủi ro của đơn vị có thể gồm đánh giá cách đơn vị xem xét khả năng ghi nhận thiếu các giao dịch, hoặc cách xác định và phân tích các ước tính kế toán quan trọng được ghi nhận trên BCTC.
b) Các rủi ro liên quan đến độ tin cậy của BCTC bao gồm các sự kiện trong hay ngoài đơn vị, các giao dịch hoặc các tình huống có thể phát sinh và có ảnh hưởng bất lợi đến khả năng tạo lập, ghi chép, xử lý và báo cáo dữ liệu tài chính phù hợp với các cơ sở dẫn liệu của Ban Giám đốc trong BCTC. Ban Giám đốc có thể lập các chương trình, kế hoạch hoặc hành động để xử lý những rủi ro cụ thể hoặc quyết định chấp nhận rủi ro do tính đến hiệu quả kinh tế hay do xem xét các yếu tố khác. Các rủi ro có thể phát sinh hoặc thay đổi trong các tình huống như:
– Những thay đổi trong môi trường hoạt động: Những thay đổi trong môi trường pháp lý hoặc môi trường hoạt động có thể dẫn đến những thay đổi về áp lực cạnh tranh và các rủi ro khác nhau đáng kể;
– Nhân sự mới:Những nhân sự mới có thể có hiểu biết và những trọng tâm khác về KSNB;
– Hệ thống thông tin mới hoặc được chỉnh sửa: Những thay đổi quan trọng và nhanh chóng trong hệ thống thông tin có thể làm thay đổi các rủi ro liên quan đến KSNB;
– Tăng trưởng nhanh: Việc mở rộng đáng kể hoạt động quá nhanh chóng có thể tạo áp lực đối với các kiểm soát và làm tăng rủi ro kiểm soát bị thất bại;
– Công nghệ mới: Việc áp dụng các công nghệ mới vào quá trình SXKD hoặc vào hệ thống thông tin có thể làm thay đổi rủi ro trong KSNB;
– Các hoạt động, sản phẩm, mô hình kinh doanh mới: Việc tham gia vào các khu vực địa lý hoặc lĩnh vực kinh doanh hoặc các giao dịch mà đơn vị có ít kinh nghiệm có thể dẫn tới những rủi ro mới liên quan đến KSNB;
– Tái cơ cấu đơn vị: Việc tái cơ cấu có thể dẫn đến giảm biên chế, thay đổi cơ chế, cách thức quản lý hay thay đổi sự phân công, phân nhiệm làm thay đổi rủi ro liên quan đến KSNB;
– Mở rộng các hoạt động ở nước ngoài: Việc mở rộng hay mua lại các hoạt động ở nước ngoài dẫn đến các rủi ro mới và khác thường có thể ảnh hưởng đến KSNB như gia tăng hoặc thay đổi các rủi ro từ các giao dịch ngoại tệ;
– Áp dụng các quy định kế toán mới: Việc áp dụng nguyên tắc, chuẩn mực, chế độ kế toán mới hoặc thay đổi chuẩn mực, chế độ kế toán có thể ảnh hưởng đến các rủi ro trong quá trình lập và trình bày BCTC.
3. Hệ thống thông tin liên quan đến việc lập và trình bày BCTC.
Bao gồm cả các quy trình kinh doanh có liên quan và trao đổi thông tin
a) Một hệ thống thông tin bao gồm các máy móc thiết bị (phần cứng), phần mềm, nhân sự, thủ tục và dữ liệu. Nhiều hệ thống thông tin sử dụng rộng rãi công nghệ thông tin (IT).
b) Hệ thống thông tin liên quan đến mục tiêu lập và trình bày BCTC, gồm hệ thống BCTC, trong đó có các phương pháp và ghi chép để:
– Xác định và ghi nhận tất cả các giao dịch có hiệu lực; Mô tả các giao dịch một cách kịp thời, chi tiết để cho phép phân loại phù hợp các giao dịch để lập và trình bày BCTC;
– Đo lường giá trị của các giao dịch để đảm bảo giá trị giao dịch được phản ánh hợp lý trong BCTC; Xác định thời kỳ diễn ra giao dịch để ghi nhận giao dịch đúng kỳ kế toán; Trình bày thích hợp các giao dịch và các thuyết minh liên quan trên BCTC.
c) Chất lượng của thông tin tạo ra từ hệ thống sẽ ảnh hưởng đến khả năng BGĐ đưa ra các quyết định phù hợp trong việc quản lý và kiểm soát các hoạt động của đơn vị và lập BCTC một cách đáng tin cậy.
d) Việc trao đổi thông tin, liên quan đến việc cung cấp những hiểu biết về vai trò và trách nhiệm của cá nhân gắn liền với KSNB đối với việc lập và trình bày BCTC, có thể ở dạng tài liệu hướng dẫn về chính sách, hướng dẫn về kế toán và lập BCTC. Việc trao đổi thông tin có thể ở dạng điện tử, bằng lời nói và qua những hành động của Ban Giám đốc.
4. Các hoạt động kiểm soát nội bộ.
4.1. Các chính sách và các thủ tục
Các hoạt động kiểm soát liên quan tới một cuộc kiểm toán có thể được phân loại thành các chính sách và các thủ tục liên quan tới:
a) Đánh giá tình hình hoạt động: Các hoạt động kiểm soát này bao gồm việc đánh giá và phân tích tình hình hoạt động thực tế so với kế hoạch, so với dự báo hay so với tình hình hoạt động của kỳ trước; đánh giá và phân tích mối liên hệ giữa các dữ liệu khác nhau có liên quan, như dữ liệu về hoạt động và dữ liệu về tài chính, đồng thời thực hiện việc phát hiện và sửa chữa; so sánh các số liệu nội bộ với các nguồn thông tin bên ngoài và đánh giá tình hình thực hiện chức năng hay hoạt động.
b) Xử lý thông tin: Hai nhóm hoạt động kiểm soát hệ thống thông tin được sử dụng phổ biến là kiểm soát chương trình ứng dụng và kiểm soát chung về công nghệ thông tin: (i) Kiểm soát chương trình ứng dụng được áp dụng cho việc xử lý từng ứng dụng riêng lẻ, ví dụ: kiểm tra tính chính xác về mặt số học của số liệu được ghi chép, duy trì và soát xét số dư các tài khoản và bảng cân đối số phát sinh, các kiểm soát tự động như kiểm tra nhập dữ liệu đầu vào, kiểm tra việc đánh số thứ tự kết hợp với việc theo dõi thủ công các báo cáo tổng hợp ngoại lệ. (ii) Kiểm soát chung về công nghệ thông tin là những chính sách và thủ tục liên quan tới nhiều ứng dụng và hỗ trợ cho khả năng hoạt động hiệu quả của các kiểm soát chương trình ứng dụng bằng cách giúp đảm bảo khả năng hoạt động bình thường của hệ thống thông tin. Ví dụ kiểm soát các thay đổi về chương trình, kiểm soát việc truy cập hệ thống hay dữ liệu, kiểm soát việc ứng dụng các phần mềm mới, kiểm soát đối với các phần mềm để hạn chế quyền truy cập hoặc giám sát việc sử dụng các tính năng hệ thống có thể làm thay đổi dữ liệu tài chính hay thay đổi các ghi chép mà không để lại dấu vết.
c) Kiểm soát về mặt vật chất: Là các kiểm soát bao gồm:
– Bảo đảm an toàn vật chất của tài sản, bao gồm thuê nhân viên bảo vệ và sử dụng các phương tiện bảo đảm an toàn cho việc tiếp cận tài sản và hồ sơ tài liệu; Thẩm quyền truy cập vào chương trình máy tính và tệp dữ liệu.
– Định kỳ kiểm đếm và so sánh số liệu thực tế với số liệu được ghi chép trong sổ kế toán (ví dụ, so sánh kết quả kiểm kê tiền mặt, chứng khoán và hàng tồn kho thực tế với sổ kế toán).
Mức độ, phạm vi mà các kiểm soát về mặt vật chất nhằm ngăn ngừa việc trộm cắp tài sản có liên quan tới mức độ tin cậy của việc lập BCTC nên liên quan đến cả chất lượng kiểm toán, phụ thuộc vào việc tài sản có dễ bị mất cắp hay không.
d) Phân nhiệm: Giao cho những người khác nhau chịu các trách nhiệm phê duyệt giao dịch, ghi chép giao dịch và bảo quản tài sản. Việc phân nhiệm nhằm giảm cơ hội cho bất cứ cá nhân nào có thể vừa vi phạm và vừa che giấu sai phạm hoặc gian lận khi thực hiện nhiệm vụ.
4.2. Các nguyên tắc kiểm soát
Ba nguyên tắc chỉ đạo chung trong việc thiết lập hệ thống KSNB có hiệu quả là phân công, phân nhiệm; Bất kiêm nhiệp và Phê chuẩn, ủy quyền.
Nguyên tắc phân công, phân nhiệm
Trong một tổ chức có nhiều người tham gia thì các công việc cần phải được phân công cho tất cả mọi người, không để trình trạng một số người làm quá nhiều việc trong khi một số khác lại không có người làm. Theo nguyên tắc này, trách nhiệm và công việc cần được phân loại cụ thể cho nhiều bộ phận và cho nhiều người trong bộ phận. Việc phân công phân nhiệm rõ ràng tạo sự chuyên môn hóa trong công việc, sai sót ít xảy ra và khi xảy ra thường dễ phát hiện.
Mục đích của nguyên tắc này là không để cho cá nhân hay bộ phận nào có thể kiểm soát được mọi mặt của nghiệp vụ. Khi đó, công việc của người này được kiểm soát tự động bởi công việc của một nhân viên khác. Phân công công việc làm giảm rủi ro xảy ra gian lận và sai sót, đồng thời tạo điều kiện nâng cao chuyên môn của nhân viên.
Ví dụ: Nếu doanh nghiệp giao toàn bộ công tác bán hàng cho một nhân viên từ khâu nhận phiếu đặt hàng, quyết định bán chịu, lập phiếu xuất kho và giao hàng, đến lập hóa đơn, ghi chép sổ sách kế toán, lập phiếu thu và nhận tiền… Nếu trong trường hợp nhân viên tính nhầm giá bán hay giao hàng với số lượng nhiều hơn… thì sự bất cẩn này sẽ gây thiệt hại cho doanh nghiệp. Mặt khác, có khả năng tạo cơ hội cho nhân viên đó thực hiện hành vi gian lận.
Nguyên tắc bất kiêm nhiệm
Nguyên tắc này quy định sự cách ly thích hợp về trách nhiệm trong các nghiệp vụ có liên quan nhằm ngăn ngừa các sai phạm (nhất là sai phạm cố ý) và hành vi lạm dụng quyền hạn.
Ví dụ: Trong tổ chức nhân sự không thể bố trí kiêm nhiệm các nhiệm vụ phê chuẩn và thực hiện, thực hiện và kiểm soát, ghi sổ và bảo quản tài sản….
Đặc biệt, trong những trường hợp sau, nguyên tắc bất kiêm nghiệm phải được tôn trọng:
– Bất kiêm nhiệm trong việc bảo vệ tài sản với kế toán.
– Bất kiêm nhiệm trong việc phê chuẩn các nghiệp vụ kinh tế với việc thực hiện các nghiệp vụ đó.
– Bất kiêm nhiệm giữa việc điều hành với trách nhiệm ghi sổ.
Nguyên tắc ủy quyền và phê chuẩn
Để thỏa mãn các mục tiêu kiểm soát thì tất cả các nghiệp vụ kinh tế phải được phê chuẩn đúng đắn. Trong một tổ chức, nếu ai cũng làm mọi việc thì sẽ xảy ra hỗn loạn, phức tạp. Phê chuẩn là biểu hiện cụ thể của việc quyết định và giải quyết một công việc trong phạm vi nhất định. Sự phê chuẩn được thực hiện qua 2 loại:
– Phê chuẩn chung: Được thực hiện thông qua việc xây dựng các chính sách chung về những mặt hoạt động cụ thể cho các cán bộ cấp dưới tuân thủ.
Ví dụ: Xây dựng và phê chuẩn bảng giá sản phẩm cố định, hạn mức tín dụng cho khách hàng.
– Phê chuẩn cụ thể: Được thực hiện cho từng nghiệp vụ kinh tế riêng biệt. Phê chuẩn cụ thể được áp dụng đối với những nghiệp vụ có số tiền lớn hoặc quan trọng, những nghiệp vụ không thường xuyên xảy ra.
5. Giám sát các kiểm soát
a) Trách nhiệm quan trọng của Ban Giám đốc là thiết lập và duy trì KSNB một cách thường xuyên. Việc Ban Giám đốc giám sát các kiểm soát bao gồm việc xem xét liệu các kiểm soát này có đang hoạt động như dự kiến và liệu có được thay đổi phù hợp với sự thay đổi của đơn vị hay không. Việc giám sát các kiểm soát có thể bao gồm các hoạt động như: KTV nội bộ đánh giá sự tuân thủ của nhân viên phòng kinh doanh đối với các quy định của đơn vị về hợp đồng bán hàng, bộ phận pháp lý giám sát sự tuân thủ các chuẩn mực đạo đức và chính sách hoạt động của đơn vị,.. Việc giám sát cũng là để đảm bảo rằng các kiểm soát tiếp tục hoạt động một cách hiệu quả theo thời gian.
b) KTV nội bộ hoặc nhân sự thực hiện những chức năng tương tự có thể tham gia vào việc giám sát các kiểm soát của đơn vị thông qua các đánh giá riêng rẽ. Thông thường, những người này cung cấp thông tin kịp thời, đều đặn về hoạt động của KSNB, và tập trung sự chú ý vào việc đánh giá tính hiệu quả của KSNB và trao đổi thông tin về các điểm mạnh, điểm yếu cũng như đưa ra các khuyến nghị để cải thiện KSNB.
c) Các hoạt động giám sát có thể bao gồm việc sử dụng thông tin có được qua trao đổi với các đối tượng ngoài đơn vị mà những thông tin đó có thể cho thấy các vấn đề hoặc các khu vực địa lý hoặc lĩnh vực kinh doanh cần được cải thiện.