Trong bài này, chúng ta cùng tìm hiểu về hệ thống kiểm soát nội bộ và các vấn đề về bảo mật, pháp lý thường xuyên xảy ra trong doanh nghiệp.
I. Hệ thống kiểm soát nội bộ (Internal control system)
Kiểm soát nội bộ (KSNB) giúp tổ chức phòng ngừa rủi ro, duy trì chất lượng báo cáo và tuân thủ luật pháp và quy định. Từ đó, cung cấp sự đảm bảo hợp lý rằng các tổ chức sẽ hoàn thành các mục tiêu đã đề ra của họ.
Khuôn khổ KSNB thường bao gồm 5 thành phần sau:
Ở dạng đơn giản nhất, KSNB tạo ra sự phân biệt giữa:
- Môi trường kiểm soát (Control environment): bối cảnh tổng thể của kiểm soát
- Thủ tục kiểm soát (Control procedures): các hoạt động kiểm soát chi tiết được áp dụng.
1. Môi trường kiểm soát
Môi trường kiểm soát là thái độ tổng thể, nhận thức và hành động của các giám đốc và ban quản lý về KSNB và tầm quan trọng của chúng trong đơn vị.
Môi trường kiểm soát bao gồm phong cách quản lý, văn hóa doanh nghiệp và các giá trị được chia sẻ bởi tất cả nhân viên.
2. Thủ tục kiểm soát
Thủ tục kiểm soát là những chính sách và thủ tục ngoài môi trường kiểm soát được thiết lập nhằm đạt được các mục tiêu cụ thể của doanh nghiệp.
Thủ tục kiểm soát bao gồm các loại sau:
Phân loại |
Mục đích |
Hành chính (Administration) |
Liên quan đến việc đạt được các mục tiêu của doanh nghiệp và việc thực hiện các chính sách, các kênh giao tiếp và trách nhiệm báo cáo. |
Kế toán (Accounting) |
Cung cấp hồ sơ kế toán chính xác và trách nhiệm giải trình để ghi lại các giao dịch và thiết lập trách nhiệm đối với hồ sơ, giao dịch và tài sản. |
Ngăn chặn (Prevent) |
Ngăn ngừa lỗi xảy ra ngay từ đầu. Ví dụ: Kiểm tra hóa đơn từ nhà cung cấp có khớp với phiếu nhập kho hay không trước khi thanh toán hóa đơn. |
Phát hiện (Detect) |
Phát hiện lỗi khi chúng đã xảy ra. Ví dụ: Kiểm tra thực tế hàng tồn kho so với hàng tồn kho được ghi nhận trên sổ sách. |
Sửa lỗi (Correct) |
Loại bỏ và giảm thiểu lỗi xảy ra. Ví dụ: Kiểm tra các bản sao lưu đầu vào của máy tính vào cuối ngày. |
Tùy ý (Discretionary) |
Đây là những kiểm soát tùy thuộc vào quyết định của con người. Ví dụ: Kiểm tra chữ ký trên đơn đặt hàng. |
Không tùy ý (Non-discretionary) |
Đây là các kiểm soát được cung cấp tự động bởi hệ thống và hệ thống không thể xuất hiện một bản sao y chang để tránh sự trùng lặp. Ví dụ: Nhập mã pin tại máy rút tiền. |
Tự nguyện (Voluntary) |
Doanh nghiệp tự lựa chọn để hỗ trợ việc quản lý doanh nghiệp. |
Bắt buộc (Mandated) |
Các thủ tục được yêu cầu bởi luật pháp và các cơ quan thẩm quyền. |
Thủ công (Manual) |
Các kiểm soát này thể hiện mối quan hệ 1-1 giữa các chức năng xử lý và kiểm soát cũng như các chức năng của con người. |
Tự động (Automated) |
Các kiểm soát này là các thủ tục được lập trình sẵn và được thiết kế để ngăn ngừa, phát hiện, sửa chữa các lỗi trong suốt quá trình xử lý. |
3. Thủ tục kiểm soát tài chính (Financial control procedure)
Đối với lĩnh vực tài chính, thủ tục kiểm soát bao gồm:
4. Đặc điểm của một hệ thống kiểm soát nội bộ tốt
Một hệ thống KSNB tốt thường có các đặc điểm sau:
- Cơ cấu tổ chức được xác định rõ ràng
- Kiểm tra nội bộ đầy đủ
- Thủ tục ghi nhận cho các công việc đã hoàn thành như chữ ký, tên viết tắt, dấu vân tay
- Có thiết bị bảo vệ cho việc bảo mật thông tin
- Các chứng từ chính thức cần ghi nhận việc chuyển giao trách nhiệm đối với hàng hóa. Khi nhận hàng, cần sử dụng phiếu nhận hàng để xác nhận việc nhận hàng của thủ kho.
- Xem xét trước việc ủy quyền giao dịch
- Một hệ thống được xác định rõ ràng để ủy quyền các giao dịch trong giới hạn chi tiêu cụ thể.
- Các giao dịch đã hoàn thành cần được xem xét lại sau khi chúng đã xảy ra. Nhân sự cần có năng lực và trình độ cần thiết để thực hiện đúng trách nhiệm của họ.
- Bộ phận kiểm toán nội bộ cần có khả năng xác minh rằng hệ thống kiểm soát đang hoạt động và xem xét hệ thống để đảm bảo rằng hệ thống vẫn phù hợp với hoàn cảnh hiện tại.
5. Hạn chế về hiệu quả kiểm soát nội bộ
Hiệu quả hệ thống KSNB cũng có những hạn chế sau:
- Mặc dù có sự phân chia nhiệm vụ nhưng có thể khó tránh được do sự thông đồng của hai hoặc nhiều người chịu trách nhiệm về các nghiệp vụ đó
- Người được ủy quyền có thể lạm dụng các biện pháp kiểm soát ủy quyền
- Ban quản lý thường có thể ghi đè các kiểm soát mà họ đã tự thiết lập.
II. Kiểm toán nội bộ và kiểm soát nội bộ
Kiểm toán nội bộ (KTNB) là một hoạt động thẩm định độc lập được thành lập trong một doanh nghiệp như một dịch vụ cho doanh nghiệp đó. Nó có chức năng kiểm tra và đánh giá tính đầy đủ và hiệu quả của các kiểm soát khác.
Mục tiêu của KTNB:
- Xem xét hệ thống kế toán và KSNB
- Kiểm tra thông tin tài chính và thông tin hoạt động
- Rà soát nền kinh tế, hiệu quả và hiệu lực của các hoạt động
- Rà soát việc tuân thủ luật pháp, quy định và các yêu cầu bên ngoài khác
- Xem xét việc bảo vệ tài sản
- Đánh giá việc thực hiện các mục tiêu của doanh nghiệp
- Xác định các rủi ro kinh doanh và tài chính
- Điều tra đặc biệt vào các lĩnh vực cụ thể
Nhiều người hay lầm tưởng KTNB là KSNB bởi bản chất của chúng đều hướng tới quản trị rủi ro trong doanh nghiệp. Tuy nhiên, đây là 2 hoạt động hoàn toàn khác nhau. Cụ thể:
- KSNB là công cụ để vận hành doanh nghiệp đảm bảo tính hiệu quả, tính tuân thủ pháp lý và việc này do ban giám đốc thực hiện.
- KTNB là công cụ để kiểm tra xem doanh nghiệp có thực hiện KSNB như đã đặt ra hay không, việc này do hội đồng quản trị hoặc ban kiểm soát trực thuộc hội đồng quản trị thực hiện.
- KTNB là một phần của hệ thống KSNB.
III. Kiểm toán độc lập (External audit)
Kiểm toán độc lập là việc kiểm tra định kỳ các sổ sách kế toán và hồ sơ của một doanh nghiệp được thực hiện bởi bên thứ ba độc lập (kiểm toán viên) để đảm bảo rằng chúng đã được duy trì đúng cách, chính xác và tuân thủ các nguyên tắc, chuẩn mực kế toán và pháp lý đã được thiết lập, đồng thời đưa ra cái nhìn trung thực và công bằng về tình trạng tài chính của đơn vị.
1. So sánh kiểm toán nội bộ và kiểm toán độc lập
KTNB và kiểm toán độc lập có sự khác biệt nhau đáng kể. Cụ thể:
Tiêu chí |
Kiểm toán nội bộ |
Kiểm toán độc lập |
Mục tiêu |
Gia tăng giá trị và cải thiện hoạt động của doanh nghiệp. |
Đưa ra ý kiến về độ trung thực, hợp lí của BCTC trên các khía cạnh trọng yếu. |
Đối tượng báo cáo |
KTNB báo cáo cho Hội đồng quản trị, ủy ban kiểm toán. |
Kiểm toán độc lập báo cáo cho các cổ đông và các bên liên quan. |
Đối tượng kiểm tra |
Toàn bộ hoạt động của doanh nghiệp. |
BCTC của doanh nghiệp. |
Mối quan hệ với tổ chức |
Kiểm toán viên nội bộ thường là nhân viên của doanh nghiệp, hoặc có thể thuê ngoài (outsourcing). |
Kiểm toán viên độc lập là những người độc lập với cả công ty. Họ được bổ nhiệm bởi các cổ đông. |
2. Đánh giá của kiểm toán viên độc lập
Để đánh giá công việc của KTNB, kiểm toán độc lập cần phải đưa ra các tiêu chí rõ ràng. Cụ thể:
- Trạng thái của doanh nghiệp: Kiểm toán viên độc lập cần xem xét mọi ràng buộc hoặc hạn chế đối với KTNB.
- Phạm vi chức năng:
-
- Bản chất và mức độ của các nhiệm vụ mà KTNB thực hiện
- Xem xét liệu Ban Giám đốc có thực hiện theo các khuyến nghị của KTNB hay không và điều này được chứng minh như thế nào.
- Năng lực chuyên môn: Liệu KTNB có được thực hiện bởi những người được đào tạo kỹ thuật đầy đủ và có trình độ chuyên môn không.
- Tính chuyên nghiệp:
- Công việc KTNB có được lập kế hoạch, giám sát, soát xét và lập thành văn bản đúng cách hay không
- Có thể xem xét sự tồn tại của sổ tay đánh giá thích hợp, chương trình làm việc và giấy tờ làm việc cũng như các thủ tục tham vấn.
IV. Hệ thống bảo mật và an toàn thông tin
Bảo mật là việc bảo vệ dữ liệu khỏi các mối đe dọa tình cờ hoặc cố ý và bảo vệ hệ thống thông tin khỏi các mối đe dọa đó.
Bảo mật có thể được chia thành một số khía cạnh:
Đặc điểm |
Nội dung |
Phòng ngừa (Prevention) |
Trên thực tế, không thể ngăn chặn tất cả các mối đe dọa một cách hiệu quả. |
Phát hiện (Detection) |
Các kỹ thuật phát hiện thường được kết hợp với các kỹ thuật phòng ngừa |
Răn đe (Deterrence) |
Ví dụ: nhân viên sử dụng sai máy tính có thể được coi là cơ sở để xử lý kỷ luật. |
Quy trình khôi phục (Recovery procedures) |
Nếu mối đe dọa xảy ra, hậu quả của nó có thể được khắc phục Ví dụ: các chương trình trạm kiểm soát |
Thủ tục sửa chữa (Correction procedures) |
Những điều này đảm bảo lỗ hổng bảo mật được xử lý |
Tránh các đe dọa (Threat avoidance) |
Thực hiện thay đổi thiết kế của hệ thống. |
V. Xây dựng kiểm soát thành hệ thống thông tin
Việc xây dựng các kiểm soát thành một hệ thống thông tin là cần thiết. Tuy nhiên, cần phải cân bằng giữa mức độ kiểm soát và yêu cầu đối với hệ thống dễ sử dụng đối với người dùng.
Kiểm soát có thể được phân loại là:
1. Kiểm soát bảo mật
Kiểm soát bảo mật là bảo vệ dữ liệu khỏi các mối đe dọa ngẫu nhiên hoặc cố ý có thể gây ra sửa đổi, tiết lộ hoặc phá hủy trái phép dữ liệu và bảo vệ hệ thống thông tin khỏi sự xuống cấp.
Rủi ro đối với dữ liệu có thể đến từ nhiều nguyên nhân. Cụ thể:
- Lỗi do con người
- Lỗi kỹ thuật : phần cứng hoặc phần mềm bị trục trặc
- Thiên tai: hỏa hoạn, lũ lụt, cháy nổ, va đập, sét đánh
- Các hành động cố ý như gian lận
- Gián điệp thương mại
- Các chương trình phần mềm độc hại tìm kiếm thông tin hoặc khiến hệ thống gặp sự cố.
2. Kiểm soát tính toàn vẹn
Tính toàn vẹn được xem xét theo 2 khía cạnh:
- Tính toàn vẹn của dữ liệu: dữ liệu đảm bảo giống như trong tài liệu nguồn và không bị thay đổi, phá hủy hoặc tiết lộ một cách vô tình hoặc cố ý.
- Tính toàn vẹn của hệ thống: hệ thống hoạt động tuân theo đặc điểm kỹ thuật thiết kế, không lỗi
3. Kiểm soát dự phòng
Dự phòng là sự gián đoạn đột xuất của các dịch vụ máy tính đòi hỏi các biện pháp nằm ngoài các quy trình vận hành hàng ngày.
Chuẩn bị kế hoạch dự phòng là một trong những giai đoạn trong quá trình phát triển chính sách an ninh toàn doanh nghiệp. Một kế hoạch dự phòng là cần thiết trong trường hợp có thảm họa lớn, hoặc nếu một số biện pháp an ninh được thảo luận ở nơi khác không thành công.
Trường hợp có lỗi, tổn thất dữ liệu xảy ra, hệ thống phải phục hồi càng sớm càng tốt để không phát sinh thêm các tổn thất nặng hơn.
VI. Bài tập minh họa
The internal control system comprises which two of the following.
- Control accounting
- Control environment
- Control procedures
- Control audit
Phân tích đề:
Đề bài đang hỏi hệ thống KSNB bao gồm 2 thành phần nào?
Lời giải: B
Theo phân tích ở mục I trên, thì hệ thống KSNB bao gồm 2 thành phần cơ bản là môi trường kiểm soát và thủ tục kiểm soát.
Author: Khánh Linh