[AA/F8: Tóm tắt kiến thức] Lesson 9: Kiểm soát nội bộ (Internal control)

Hệ thống kiểm soát nội bộ có ý nghĩa đặc biệt quan trọng đối với mỗi doanh nghiệp. Vậy kiểm soát nội bộ là gì? Hệ thống này hoạt động thế nào để giúp các doanh nghiệp. Trong bài hôm nay, chúng ta sẽ tìm hiểu.

I. Hệ thống kiểm soát nội bộ (Internal control systems)

Kiểm soát nội bộ (KSNB) là quy trình được thiết kế, thực hiện và duy trì bởi ban quản trị (BQT) doanh nghiệp (those charged with governance) nhằm tạo ra sự đảm bảo hợp lí (reasonable assurance) về khả năng đạt được mục tiêu của đơn vị trong việc đảm bảo độ tin cậy của BCTC, đảm bảo tính hiệu quả và kinh tế của hoạt động và tuân thủ theo quy định và pháp luật hiện hành.

KSNB trong doanh nghiệp bao gồm 5 thành phần sau:

1. Môi trường kiểm soát (The control environment)

Môi trường kiểm soát bao gồm các chức năng quản trị liên quan đến KSNB và những nhận thức, thái độ và hoạt động của BQT doanh nghiệp về tầm quan trọng của KSNB trong đơn vị.

Môi trường kiểm soát sẽ ảnh hưởng đến sự vận hành và tính hữu hiệu của KSNB. Nếu môi trường kiểm soát mạnh, nó không những đảm bảo tính hữu hiệu của hệ thống KSNB tổng thể mà còn có thể yếu tố tích cực khi đánh giá rủi ro nếu có sai sót trọng yếu. Nếu môi trường kiểm soát yếu kém có thể làm giảm hiệu quả của hoạt động kiểm soát.

Các yếu tố trong môi trường kiểm soát:

Yếu tố	Nội dung
Truyền đạt và hiệu lực hóa tính chính trực và các giá trị đạo đức (Communication and enforcement of integrity and ethical values)	Bao gồm các yếu tố quan trọng ảnh hưởng tới hiệu lực của việc thiết kế, quản lý và giám sát các hoạt động kiểm soát
Cam kết về năng lực              (Commitment to competence)	Sự quan tâm của BQT về tiêu chuẩn năng lực đối với các công việc cụ thể, và những kiến thức, kĩ năng cần có đối với các mức năng lực đó
Sự tham gia của BQT     (Participation by those charged with governance)	Bao gồm sự độc lập của BQT, kinh nghiệm và tầm ảnh hưởng của BQT, mức độ tham gia của BQT đối với các hoạt động và sự hợp lý trong hành động của BQT với kiểm toán nội bộ và kiểm toán độc lập
Triết lý và phong cách điều hành của BQL (Management’s philosophy and operating style)	Bao gồm cách tiếp cận đối với việc quản lý và chấp nhận rủi ro kinh doanh, quan điểm và hành động đối với việc lập và trình bày BCTC và thái độ đối với các bộ phận trong doanh nghiệp
Cơ cấu tổ chức                  (Organisational structure)	Cách các hoạt động doanh nghiệp được lập kế hoạch, thực hiện và kiểm soát để đạt được mục tiêu đã đặt ra.
Phân công quyền hạn và trách nhiệm (Assignment of authority and responsibility)	Cách phân công quyền hạn và trách nhiệm trong hoạt động của doanh nghiệp và trình tự báo cáo giữa các cấp
Các chính sách về nhân sự    (Human resource policies and practices)	Bao gồm việc tuyển dụng, định hướng, đào tạo, đánh giá, tư vấn, sự thăng tiến và khắc phục hậu quả

2. Quy trình đánh giá rủi ro của doanh nghiệp (The entity’s risk assessment process)

Quy trình đánh giá rủi ro bao gồm 4 bước sau:

Kiểm toán viên (KTV) cần tìm hiểu liệu doanh nghiệp đã có quy trình đánh giá rủi ro hay chưa và liệu quy trình này có tuân thủ theo các bước trên hay không. Trong trường hợp, doanh nghiệp chưa có quy trình trên, KTV nên trao đổi với BQT về các rủi ro kinh doanh đã được xác định và biện pháp xử lí.

3. Hệ thống thông tin liên quan tới việc lập và trình bày BCTC (The information system relevant to financial reporting)

Hệ thống này bao gồm các thông tin liên quan hệ thống lập và trình bày BCTC, các thủ tục, bút toán ghi nhận, xử lí và báo cáo các giao dịch của doanh nghiệp nhằm duy trì trách nhiệm giải trình đối với các tài sản, nợ phải trả và vốn chủ sở hữu liên quan.

4. Hoạt động kiểm soát (Control activities)

Hoạt động kiểm soát là các chính sách và thủ tục, nhằm đảm bảo các quyết định của BQL được thực hiện.

Hoạt động kiểm soát gồm 5 loại sau:

Hoạt động kiểm soát	Nội dung
Sự ủy quyền      (Authorisation)	Là hoạt động kiểm soát mà theo đó giao dịch được phê duyệt bởi một cá nhân phù hợp. Ví dụ, các giao dịch dưới 100 triệu thì trưởng phòng phê duyệt, các giao dịch từ 100 triệu tới dưới 300 triệu thì giám đốc duyệt,…
Soát xét                   (Performance reviews)	Ví dụ, đối chiếu kết quả kiểm kê với sổ sách, so sánh dữ liệu nội bộ với thông tin từ nguồn bên ngoài,…
Xử lí thông tin            (Information processing)	Kiểm soát công nghệ thông tin, đặt mật mã, mật khẩu, đối chiếu số dư tài khoản ngân hàng, kiểm tra sự chính xác của việc cộng dồn đối với các tài khoản
Kiểm soát hiện vật         (Physical controls)	Ví dụ, chỉ có một số cá nhân được quyền truy cập vào các tài sản giá trị của công ty
Phân công phân nhiệm (Segregation of duties)	Phân tách người thực hiện, người ghi nhận và người kiểm soát. Ví dụ: người làm kế toán không thể đồng thời là thủ quỹ

5. Giám sát các hoạt động kiểm soát (Monitoring of controls)

Giám sát các hoạt động kiểm soát là quy trình đánh giá tính hiệu quả của KSNB qua thời gian, bao gồm tính kịp thời và đưa ra hành động sửa chữa cần thiết.

Nếu doanh nghiệp có bộ phận kiểm toán nội bộ, KTV có thể tìm hiểu về trách nhiệm của bộ phận này, cấu trúc tổ chức và các hoạt động đã thực hiện.

II. Các kỹ thuật mô tả hệ thống kiểm soát nội bộ

Trong phạm vi môn F8, chúng ta sẽ tìm hiểu 4 kỹ thuật mô tả KSNB sau:

1. Bảng tường thuật (Narrative notes)

Bảng tường thuật là để mô tả và giải thích về sự vận hành hệ thống KSNB, cùng với đưa ra những nhận xét, đánh giá của KTV để thể hiện độ hiểu biết về hệ thống.

Ví dụ:

“Kế toán tiền mặt chịu trách nhiệm mở sổ kế toán tiền mặt để ghi chép hàng ngày, liên tục theo trình tự phát sinh các khoản thu chi quỹ tiền mặt, ngoại tệ và tính ra số tồn quỹ tại mọi thời điểm. Hàng ngày thủ quỹ phải kiểm kê số tồn quỹ thực tế và tiến hành đối chiếu với số liệu của sổ kế toán tiền mặt. Nếu có chênh lệch, kế toán và thủ quỹ phải kiểm tra lại để tìm ra nguyên nhân và kiến nghị biện pháp xử lý.”

Ưu điểm	Nhược điểm
Đơn giản, dễ thực hiện, dễ hiểu Có thể áp dụng được cho mọi hệ thống do tính linh hoạt Dễ dàng cập nhật, sửa đổi khi làm trên máy tính	Mất nhiều thời gian thực hiện so với việc nói hoặc trình bày bằng lưu đồ, đặc biệt với hệ thống phức tạp Khó xác định được những kiểm soát bị thiếu sót Khó cập nhật, sửa đổi nếu thực hiện bằng viết thủ công

2. Lưu đồ (Flowcharts)

Lưu đồ có nhiều dạng, nhưng thường được minh họa bằng sơ đồ về sự lưu chuyển của thông tin trong hệ thống kế toán. Các đường thẳng thể hiện trình tự của quá trình, các biểu tượng khác đại diện cho inputs và outputs của quy trình đó.

Ví dụ:

Ưu điểm	Nhược điểm
Nếu có kinh nghiệm, KTV có thể thực hiện nhanh chóng Thông tin được trình bày dưới dạng form chuẩn, dễ dàng theo dõi và soát xét Mô tả hệ thống đầy đủ, lưu chuyển chứng từ được lần theo từ đầu đến cuối, nhờ đó, dễ xác định các điểm chưa hoàn thiện hoặc chưa rõ ràng Dễ xác định các chốt kiểm soát quan trọng và những điểm yếu trong hệ thống	Tốn nhiều thời gian Phù hợp với các hệ thống tiêu chuẩn, khó áp với các giao dịch đặc biệt Việc chỉnh sửa lớn sẽ khó khăn nếu không vẽ lại lưu đồ

3. Bảng câu hỏi (Questionnaires)

Bảng câu hỏi là một danh sách các câu hỏi được thiết kế theo mẫu. Có 2 dạng bảng câu hỏi:

• ICQs (Internal Control Questionnaires): được sử dụng để trả lời cho câu hỏi Hệ thống kiểm soát tốt như thế nào? (How good is the system of controls?) nhằm xác định hoạt động kiểm soát mong muốn đã tồn tại hay chưa. Câu trả lời được thiết kế cho dạng câu hỏi này là dạng YES/ NO, câu trả lời là NO sẽ chỉ ra rằng hệ thống kiểm soát nội bộ thiếu sót tại đó.
  Ví dụ:
  Are purchase invoices checked to goods received notes before being passed for payment?  
• ICEQs (Internal Control Evaluation Questionnaires): được sử dụng để tập trung vào những hoạt động kiểm soát quan trọng (key controls) nhằm đánh giá liệu có xảy ra sai sót hoặc gian lận tại từng giai đoạn của một chu trình. Câu trả lời YES/ NO. Tuy nhiên, câu trả lời YES thường sẽ được KTV yêu cầu giải thích nhiều hơn so với câu trả lời NO.
  Ví dụ:
  Is there reasonable assurance that all payments are properly authorised?

Ưu điểm	Nhược điểm
Nếu chuẩn bị kỹ, các kiểm soát đều được xem xét Chuẩn bị nhanh chóng Dễ sử dụng và kiểm soát Các câu hỏi được thiết kế theo mục tiêu hơn là theo các kiểm soát cụ thể, ICEQs dễ áp dụng đối với nhiều dạng hệ thống hơn so với ICQs ICEQs giúp KTV xác định được các kiểm soát quan trọng và những điểm yếu của hệ thống	Diễn giải chưa rõ ràng, dẫn tới hiểu nhầm, không xác định được kiểm soát quan trọng Có thể bao gồm một lượng lớn những kiểm soát không liên quan Có thể không bao quát những kiểm soát bất thường

4. Checklists

Checklists có thể sử dụng thay cho bảng hỏi để mô tả và đánh giá KSNB, tuy nhiên checklists sử dụng các mệnh đề và các ô trống để đánh dấu đúng hoặc sai.

Ví dụ:

III. Biện pháp đánh giá hệ thống KSNB

KTV có thể thực hiện đánh giá hệ thống KSNB thông qua một số biện pháp dưới đây:

1. Xác nhận sự hiểu biết về hệ thống (Confirming understanding)

KTV thực hiện kiểm tra từ đầu đến cuối (walk- through tests), bằng cách chọn 1 giao dịch và lần theo hệ thống để xem xét liệu tất cả các hoạt động kiểm soát cần thiết có tồn tại và có thực sự hiệu quả với giao dịch đó hay không.

2. Thử nghiệm kiểm soát (Tests of control)

Thử nghiệm kiểm soát là thủ tục kiểm toán được thiết kế để đánh giá sự vận hành hiệu quả của KSNB trong việc ngăn chặn, phát hiện và sửa chữa những sai phạm trọng yếu ở cấp độ cơ sở dẫn liệu.

Gồm có các thủ tục sau:

Thủ tục	Nội dung
Kiểm tra tài liệu                        (Inspection of documents)	Nhằm xác minh hệ thống KSNB hoạt động hiệu quả. Ví dụ: Xác minh các giao dịch đã được phê duyệt
Hỏi về KSNB                          (Enquiries about internal controls)	Ví dụ: Hỏi để biết ai là người thực tế thực hiện hoạt động mà không phải là người được giao trên giấy tờ
Thực hiện lại các thủ tục kiểm soát (Reperformance of control procedures)	Ví dụ: Đối chiếu lại tài khoản ngân hàng để đảm bảo doanh nghiệp đang thực hiện đúng
Quan sát kiểm soát            (Observation of controls)	Quan sát để thấy cách các hoạt động kiểm soát đang được thực hiện và có đúng so với quy trình không

3. Soát xét lại việc đánh giá rủi ro, chiến lược kiểm toán và kế hoạch kiểm toán

Trong quá trình kiểm toán, KTV có thể tìm ra những bằng chứng rằng KSNB không hoạt động hiệu quả như kỳ vọng. Cụ thể:

• Nếu bằng chứng thu thập được mâu thuẫn với việc đánh giá rủi ro ban đầu, KTV cần thực hiện thêm các thủ tục khác so với kế hoạch
• Nếu bằng chứng cho thấy KSNB không có hiệu lực xuyên suốt cả năm, KTV cần thực hiện bổ sung các thử nghiệm cơ bản (substantive tests).

Khi đó, rủi ro, chiến lược và kế hoạch kiểm toán cần được xem xét và điều chỉnh lại.

4. Thiếu hụt của hệ thống KSNB (Deficiencies in internal control)

Hệ thống KSNB tồn tại các thiếu hụt khi:

Thiếu hụt nghiêm trọng trong KSNB: Là một hoặc nhiều thiếu hụt trong KSNB kết hợp lại, mà theo xét đoán chuyên môn của KTV, là đủ nghiêm trọng để trao đổi với BQT đơn vị.

Các nội dung cần trao đổi:

• Mô tả về khiếm khuyết và giải thích các ảnh hưởng có thể xảy ra
• Cung cấp đủ thông tin để BQT có thể hiểu và đưa ra hướng xử lý

IV. Hệ thống KSNB trong môi trường ứng dụng công nghệ 

1. Hệ thống kiểm soát chung (General controls)

Kiểm soát chung là những chính sách và thủ tục liên quan đến các ứng dụng và hoạt động hỗ trợ nhằm đảm bảo hệ thống thông tin hoạt động liên tục, chính xác.

Hệ thống kiểm soát chung bao gồm 6 nội dung sau:

• Phát triển các ứng dụng máy tính
• Ngăn chặn, phát hiện những thay đổi chưa được phê duyệt đối với các chương trình thông qua phân quyền truy cập, yêu cầu mật khẩu truy cập…
• Các thử nghiệm và tài liệu liên quan tới việc thay đổi các chương trình
• Các kiểm soát để ngăn chặn việc sử dụng các chương trình hoặc files lỗi
• Các kiểm soát để ngăn chặn việc chỉnh sửa chưa được phê duyệt đối với các tệp dữ liệu
• Các kiểm soát để đảm bảo việc vận hành liên tục như back-up dữ liệu, mua bảo hiểm…

2. Hệ thống kiểm soát ứng dụng (Application controls)

Kiểm soát ứng dụng là các quy trình thủ công hoặc tự động, thường hoạt động ở cấp độ quy trình nghiệp vụ cụ thể, giúp ngăn chặn hoặc phát hiện về mặt bản chất và được thiết kế để đảm bảo tính trung thực của dữ liệu kế toán.

Kiểm soát ứng dụng bao gồm 3 nội dung sau:

• Kiểm soát đầu vào: tính đầy đủ, chính xác và hợp lệ
• Kiểm soát quá trình xử lý: đưa ra cảnh báo khi người dùng thoát nhưng hệ thống chưa xử lý xong
• Kiểm soát thông tin đầu ra qua:
  • Master files: các danh mục giúp nhất quán các thông tin sẽ được dùng đi dùng lại trong các giao dịch và áp dụng trên phạm vi toàn doanh nghiệp
  • Standing data: các thông tin được lưu trữ và sử dụng trong thời gian dài do ít thay đổi như tên, địa chỉ khách hàng

 V. Hạn chế của hệ thống KSNB 

Hệ thống KSNB chỉ cung cấp sự đảm bảo hợp lý cho BQT bởi hệ thống này tồn tại một số hạn chế sau:

• Chi phí bỏ ra có thể không tương xứng với lợi ích đem lại
• Tiềm ẩn sai sót do con người
• Thông đồng, cấu kết giữa các nhân viên
• Khả năng các kiểm soát bị qua mặt hoặc bị khống chế bởi các nhà quản lý
• Các kiểm soát được thiết kế đối với các giao dịch thường xuyên, không phải đối với các giao dịch bất thường nên có thể không có tác dụng với các giao dịch bất thường

Đối với các doanh nghiệp nhỏ, hệ thống KSNB cũng có những hạn chế riêng:

• Doanh nghiệp nhỏ thường có ít nhân lực, do đó hạn chế trong việc phân chia trách nhiệm và quyền hạn. Tuy nhiên, chủ sở hữu đồng thời là Giám đốc nên có khả năng giám sát tốt hơn so với các doanh nghiệp lớn.
• Doanh nghiệp nhỏ nên hệ thống KSNB có cơ cấu đơn giản hơn. Họ có thể loại bỏ các giao dịch khỏi sổ sách. KTV cần xem xét điều này khi xác định các rủi ro có sai sót trọng yếu do gian lận.

Author: Mai Vu