-1.png?height=120&name=SAPP%20logo%20m%E1%BB%9Bi-01%20(1)-1.png)
Kiểm soát nội bộ được thiết kế để ngăn chặn hoặc phát hiện gian lận nhằm đưa ra giải pháp cho các vấn đề khi chúng xảy ra...
1. Kiểm soát và phân loại kiểm soát
2. Phân công phân nhiệm (Segregation of duties)
3. Kiểm tra và xác minh độc lập (Independent checks and verification)
I. Mục tiêu
- Tìm hiểu về hệ thống kiểm soát (system of control) và các loại kiểm soát.
- Nhận biết được sự phân công phân nhiệm (segregation of duties) và lý do tại sao cần phải tách biệt các quy trình kiểm tra và xác minh.
- Mô tả các biện pháp kiểm soát bảo vệ (safeguarding controls).
II. Nội dung
Trong bài học này, chúng ta sẽ tìm hiểu về:
1. Kiểm soát và phân loại kiểm soát
1.1. Định nghĩa
Một hệ thống kiểm soát được thiết lập để ngăn ngừa gian lận và sai sót xảy ra hoặc ít nhất là để phát hiện và khắc phục các vấn đề khi chúng xảy ra.
Kiểm soát nội bộ được thiết kế để ngăn chặn hoặc phát hiện gian lận. Tuy nhiên, do tính chất che giấu của hoạt động gian lận nên các biện pháp kiểm soát không thể mang lại sự đảm bảo tuyệt đối.
1.2. Phân loại
Có 2 loại kiểm soát:
a. Kiểm soát sơ cấp (Primary controls)
Các loại kiểm soát sơ cấp bao gồm:
|
Định nghĩa |
Ví dụ |
|
Kiểm soát phòng ngừa (Preventive controls) ngăn chặn sự xuất hiện của các sự kiện không mong muốn. |
Lưu trữ tiền lẻ trong két an toàn có khóa và phân chia nhiệm vụ là những ví dụ về loại hình kiểm soát này. |
|
Kiểm soát phát hiện (Detective controls) cảnh báo những người thích hợp sau một sự kiện không mong muốn. Chúng có hiệu quả khi việc phát hiện xảy ra trước khi xảy ra tổn hại vật chất. |
Một lô hóa đơn gửi đi xử lý có thể bị hệ thống máy tính từ chối. Cơ chế kiểm soát phát hiện cung cấp khả năng báo cáo tự động về tất cả các lô bị từ chối cho bộ phận tài khoản phải trả. |
|
Kiểm soát khắc phục (Corrective controls) nhằm khắc phục những tác động tiêu cực của các sự kiện không mong muốn. |
Yêu cầu tất cả các chênh lệch chi phí trên một số tiền nhất định phải được chứng minh. |
|
Kiểm soát hướng dẫn (Directive controls) gây ra hoặc khuyến khích sự xuất hiện của một sự kiện mong muốn. |
Sổ tay hướng dẫn chính sách và thủ tục. |
b. Kiểm soát thứ cấp (Secondary controls)
Các loại kiểm soát thứ cấp bao gồm:
|
Định nghĩa |
Ví dụ |
|
Kiểm soát đền bù (giảm nhẹ)(Compensatory (mitigative) control) có thể làm giảm rủi ro khi các biện pháp kiểm soát chính không hiệu quả. Tuy nhiên, bản thân chúng không làm giảm rủi ro đến mức có thể chấp nhận được. |
Xem xét giám sát khi việc phân chia nhiệm vụ là không khả thi. |
|
Kiểm soát bổ trợ (Complementory controls) kết hợp với các biện pháp kiểm soát khác giúp giảm thiểu rủi ro xuống mức chấp nhận được. |
Việc tách biệt chức năng kế toán và lưu trữ các khoản thu tiền mặt được bổ sung bằng việc lấy các phiếu gửi tiền có xác nhận của ngân hàng. |
2. Phân công phân nhiệm (Segregation of duties)
Sự phân chia nhiệm vụ liên quan đến việc tách biệt các chức năng ủy quyền, lưu trữ hồ sơ và giám sát tài sản để giảm thiểu cơ hội cho một người phạm tội và che giấu sai sót hoặc gian lận trong quá trình thực hiện nhiệm vụ thông thường của mình.
Kiểm soát đền bù thay thế các biện pháp kiểm soát thông thường, chẳng hạn như phân chia nhiệm vụ khi việc phân chia nhiệm vụ không thể thực hiện được.
Ví dụ: Người phê duyệt việc mua hàng hóa, dịch vụ không phải là người đối chiếu báo cáo tài chính hàng tháng.
3. Kiểm tra và xác minh độc lập (Independent checks and verification)
Tại một thời điểm nhất định trong quy trình kiểm soát, việc đối chiếu giữa số tiền và tài sản được ghi chép phải được thực hiện bởi một bộ phận của tổ chức không liên quan đến giao dịch ban đầu hoặc không có quyền giám sát tài sản liên quan.
Cần phải điều tra việc so sánh cho thấy tài sản không khớp với giá trị được ghi nhận vì nó có thể chỉ ra gian lận hoặc sai sót.
Tần suất so sánh nhằm mục đích bảo vệ tài sản phụ thuộc vào tính chất, số lượng tài sản liên quan và chi phí cho việc so sánh.
Các biểu mẫu được đánh số trước có thể hỗ trợ việc đối chiếu vì việc thiết lập một bản ghi đầy đủ các biểu mẫu được đánh số trước sẽ dễ dàng hơn, sau đó tất cả đều có thể được đối chiếu.
4. Kiểm soát phòng ngừa (Safeguarding controls)
Các biện pháp kiểm soát bảo vệ hạn chế quyền truy cập vào tài sản của tổ chức đối với nhân viên có thẩm quyền, bao gồm cả quyền truy cập vật lý vào tài liệu và hồ sơ.
Ví dụ: Hệ thống hộp khóa.
III. Bài tập
Question 1:
What option best illustrates the concept of a detective control
| A. | A good example of a detective control would be a review process whereby an independent reviewer examines different types of account reconciliations and reports. |
| B. | A high-quality example of a detective control would be establishing an ethics hotline or other ethics reporting portal for employees to report potentially unethical activity within the organization. |
| C. | Mandate that every employee receive differentiated training about how to address potential ethical dilemmas as they arise throughout the organization. |
| D. | Management can institute a detective control in the form of increased security over both physical and digital assets, including security measures related to database access. |
Answer:
→ The answer is choice A.
This is an example of a detective control, since if the control is successfully implemented it will help management detect and uncover unethical behavior.
Choice B is incorrect. An ethical hotline or other type of reporting tool is an important part of creating an ethical organization but does not represent a detective control.
Choice C is incorrect. Differentiated ethics training is a practical and logical idea but is not a detective control as it pertains to an internal control environment.
Choice D is incorrect. Increased security measures over physical and digital assets are preventive not detective controls.
Question 2:
What is one tactic or method that could be put in place at an organization to help reduce the risks of inaccurate or unethical budgeting and analysis practices?
| A. | Instituting a mandatory review policy, C.including a trigger check if there are certain line items consistently over- or underestimated, for the organization. |
| B. | Putting into place a job rotational and cross-training program within an organization will help create opportunities for review and cross checks and will cut down on opportunities for employee malfeasance. |
| C. | Institute a data analytics program and algorithm to help automate and streamline the review process of budgets, including variance analysis meetings. |
| D. | Separate the budget preparation process from other financial planning and analysis roles to segregate certain budgeting duties. |
Answer:
→ The answer is choice A.
This is an example of a detective control, since if the control is successfully implemented it will help management detect and uncover unethical behavior.
Choice B is incorrect. An ethical hotline or other type of reporting tool is an important part of creating an ethical organization but does not represent a detective control.
Choice C is incorrect. Differentiated ethics training is a practical and logical idea, but is not a detective control as it pertains to an internal control environment.
Choice D is incorrect. Increased security measures over physical and digital assets are preventive not detective controls.