Scribd Logo
Upload

Welcome to Scribd!

  • TNG Quan V H THNG Kim Soat Ni B 1

    Uploaded by

    Tuan Huu
    21 views17 pages

    Original Title

    TNG_QUAN_V_H_THNG_KIM_SOAT_NI_B_1

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    Download as pdf or txt
    21 views17 pages

    TNG Quan V H THNG Kim Soat Ni B 1

    Uploaded by

    Tuan Huu

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    Download as pdf or txt
    of 17

    TỔNG QUAN VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ

    1.1. Lịch sử phát triển kiểm soát nội bộ


    1.1.1. Thời kỳ tiền COSO [1]
    Bắt đầu từ cuộc cách mạng công nghiệp, do yêu cầu phát triển, các Công ty cần có vốn và từ đó nhu
    cầu tăng cường quản lý vốn và kiểm tra thông tin về sử dụng vốn trở nên cấp thiết. Hình thức ban đầu
    của kiểm soát nội bộ là kiểm toán tiền và thuật ngữ kiểm soát nội bộ bắt đầu xuất hiện từ giai đoạn
    này.
    Đến năm 1929, thuật ngữ kiểm soát nội bộ được đề cập chính thức trong một Công bố của Cục Dự trữ
    Liên bang Hoa Kỳ (Federal Reserve Bulletin), theo đó kiểm soát nội bộ được định nghĩa là một công
    cụ để bảo vệ tiền và các tài sản khác đồng thời thúc đẩy nâng cao hiệu quả hoạt động, và đây là một
    cơ sở để phục vụ cho việc lấy mẫu thử nghiệm của kiểm toán viên.
    Năm 1936, trong một công bố, Hiệp hội Kế toán viên công chứng Hoa Kỳ (AICPA – American
    Institute of Certified Public Accountants) đã định nghĩa kiểm soát nội bộ “… là các biện pháp và cách
    thức được chấp nhận và được thực hiện trong một tổ chức để bảo vệ tiền và các tài sản khác, cũng
    như kiểm tra sự chính xác trong ghi chép của sổ sách”. Sau công bố này, việc nghiên cứu và đánh giá
    về kiểm soát nội bộ ngày càng được chú trọng trong cuộc kiểm toán, đặc biệt là sau vụ phá sản của
    Công ty Mc Kesson & Robbins, là một Công ty dược phẩm nổi tiếng với tổng tài sản lên đến 100
    triệu USD vào năm 1937, kiểm toán cho Công ty này là Price Waterhouse. Cổ phiếu của Công ty
    được niêm yết trên thị trường NYSE (New York Stock Exchange).
    Do hậu quả này, đến tháng 12/1938, NYSE không cho Mc Kesson & Robbins niêm yết cổ phiếu. Uỷ
    ban chứng khoán Hoa Kỳ (SEC – Securities and Exchange Commission) đã tiến hành đều tra và phát
    hiện 20 triệu USD hàng tồn kho và nợ phải thu đã bị khai khống và hơn 20% tài sản không hiện hữu
    trong thực tế. Khi nhận xét về cuộc kiểm toán này, SEC cho rằng sai phạm quan trọng và cơ bản nhất
    là cuộc kiểm toán đã được thực hiện một cách bất cẩn. Trong mọi giai đoạn của cuộc kiểm toán nêu
    trên đều có sai phạm, từ việc thực hiện thủ tục kiểm toán, việc chọn mẫu không thích hợp cho đến sự
    hiểu biết về hệ thống kiểm tra và kiểm soát nội bộ (Internal check and control) không được chủ trọng
    đúng mức. SEC cũng cho rằng việc tìm hiểu kiểm soát nội bộ không thể chỉ hạn chế ở lĩnh vực kế
    toán, mà kiểm toán viên cần có kiến thức đầy đủ hơn về cách thức mà các nghiệp vụ trên được thực
    hiện. SEC tin rằng việc thổi phồng sản phẩm dở dang của Công ty đã có thể phát hiện ra nếu kiểm
    toán viên có xem xét hệ thống kiểm soát nội bộ.
    Vào năm 1949, AICPA công bố một công trình nghiên cứu đầu tiên về kiểm soát nội bộ với nhan đề:
    “Kiểm soát nội bộ, các nhân tố cấu thành và tầm quan trọng đối với việc quản trị doanh nghiệp và đối
    với kiểm toán viên độc lập”. Trong báo cáo này, AICPA đã định nghĩa kiểm soát nội bộ là “… cơ cấu
    tổ chức và các biện pháp, cách thức liên quan được chấp nhận và thực hiện trong một tổ chức để bảo
    vệ tài sản, kiểm tra sự chính xác và đáng tin cậy của số liệu kế toán, thúc đẩy hoạt động có hiệu quả,
    khuyến khích sự tuân thủ các chính sách của người quản lý.”
    Sau đó, AICPA đã soạn thảo và ban hành nhiều chuẩn mực kiểm toán đề cập đến những khái niệm và
    khía cạnh khác nhau của kiểm soát nội bộ.
    - Trước hết, vào năm 1958, Ủy ban thủ tục kiểm toán (CAP – Committee on Auditing Proceduce)
    trực thuộc AICPA ban hành báo cáo về thủ tục kiểm toán 29 (SAP – Statement on Auditing
    Proceduce) về: “Phạm vi xem xét kiểm soát nội bộ của kiểm toán viên độc lập”, trong đó lần đầu tiên
    phân biệt kiểm soát nội bộ về quản lý và kiểm soát nội bộ về kế toán. Theo đó, thì kiểm soát nội bộ
    về kế toán bao gồm kế hoạch tổ chức, các phương pháp và thủ tục liên hệ trực tiếp đến việc bảo vệ tài

    1
    sản và tính đáng tin cậy của số liệu kế toán. Chúng thường bao gồm các thủ tục kiểm soát như hệ
    thống xét duyệt và phê chuẩn, tách biệt nhiệm vụ giữ sổ sách và lập báo cáo với bảo quản tài sản,
    kiểm soát vật chất với tài sản và kiểm toán nội bộ. Kiểm soát nội bộ về quản lý bao gồm kế hoạch tổ
    chức, các phương pháp và thủ tục liên quan chủ yếu đến tính hữu hiệu trong hoạt động và sự tuân thủ
    chính sách quản trị. Chúng chỉ liên quan gián tiếp đến thông tin tài chính, bao gồm các hoạt động
    kiểm soát như phân tích thống kê, nghiên cứu về thời gian và động cơ, báo cáo về tính hiệu quả,
    chương trình huấn luyện nhân viên và kiểm soát chất lượng.
    - Đến năm 1962, CAP tiếp tục ban hành SAP 33, đã làm rõ hơn về vấn đề này như sau: Kiểm toán
    viên độc lập trước hết sẽ quan tâm đến kiểm soát nội bộ về kế toán vì nó ảnh hưởng trực tiếp đến
    thông tin tài chính. Kiểm soát nội bộ về quản lý thường chỉ liên quan gián tiếp đến thông tin tài chính,
    do vậy kiểm toán viên sẽ không bị buộc phải đánh giá chúng. Tuy nhiên, nếu kiểm toán viên độc lập
    tin rằng một số thủ tục kiểm soát hành chính có thể ảnh hưởng đến tính đáng tin cậy của thông tin tài
    chính, kiểm toán viên sẽ phải nghiên cứu để đánh giá kiểm soát nội bộ về quản lý. Dựa trên các khái
    niệm kiểm soát kế toán và kiểm soát quản lý, CAP đã xây dựng chuẩn mực kiểm toán, trong đó yêu
    cầu Công ty kiểm toán nên giới hạn nghiên cứu kiểm soát nội bộ về kế toán. Rõ ràng sự thay đổi của
    CAP qua các giai đoạn trên là đưa ra hướng dẫn không bao quát về kiểm soát nội bộ như định nghĩa
    đầu tiên, mà chỉ trên phương diện kiểm soát nội bộ về kế toán.
    - Đến năm 1972, CAP tiếp tục ban hành SAP 54 “Tìm hiểu và đánh giá kiểm soát nội bộ” trong đó
    đưa ra bốn thủ tục kiểm soát kế toán, đó là đảm bảo nghiệp vụ chỉ được thực hiện khi đã được phê
    chuẩn, ghi nhận đúng đắn mọi nghiệp vụ để lập báo cáo, hạn chế sự tiếp cận tài sản và kiểm kê.
    Sau đó, AICPA ban hành các chuẩn mực kiểm toán (SAS – Statement on Auditing Standard) để thay
    thế cho các thủ tục kiểm toán (SAP). Trong đó SAS 1 (1973), duyệt xét lại SAP 54 và đưa ra định
    nghĩa về kiểm soát quản lý và kiểm soát kế toán như sau:
    - Kiểm soát quản lý, không chỉ hạn chế ở kế hoạch tổ chức và các thủ tục, mà còn bao gồm quá trình
    ra quyết định cho phép thực hiện nghiệp vụ của nhà quản lý.
    - Kiểm soát kế toán bao gồm các thủ tục và cách thức tổ chức ghi nhận vào sổ sách để bảo vệ tài sản,
    tính đáng tin cậy của số liệu và do vậy, nó được thiết lập để cung cấp sự bảo đảm hợp lý trên các
    phương diện sau đây:
    + Các nghiệp vụ thực hiện phù hợp với sự ủy quyền và xét duyệt của nhà quản lý.
    + Các nghiệp vụ được ghi nhận khi phát sinh để: Lập báo cáo tài chính phù hợp với chuẩn mực kế
    toán hay các quy định có liên quan; Thực hiện trách nhiệm báo cáo về tình hình tài sản.
    + Việc tiếp cận tài sản chỉ được thực hiện khi có sự cho phép của nhà quản lý.
    + Định kỳ các báo cáo về tài sản phải được so sánh với tài sản hiện hữu trong thực tế và có biện pháp
    xử lý thích hợp đối với các chênh lệch.
    Các định nghĩa trên đã khẳng định sự quan tâm của nghề nghiệp kiểm toán đối với các bộ phận (yếu
    tố) cấu thành kiểm soát nội bộ và đó chính là đối tượng nghiên cứu của các chuẩn mực kiểm toán.
    Như vậy, trong suốt thời kỳ trên, khái niệm kiểm soát nội bộ đã đang không ngừng được mở rộng ra
    khỏi những thủ tục bảo vệ tài sản và ghi chép sổ sách kế toán. Tuy nhiên, trước khi báo cáo COSO
    1992 ra đời, kiểm soát nội bộ vẫn mới chỉ dừng lại như là một phương tiện phục vụ cho kiểm toán
    viên trong kiểm toán báo cáo tài chính.

    2
    1.1.2. Giai đoạn Báo cáo COSO 1992 [1]
    Vào những thập niên 1970 – 1980, nền kinh tế của Hoa Kỳ cũng như nhiều quốc gia khác đã phát
    triển mạnh mẽ. Số lượng các Công ty tăng nhanh, kể cả các Công ty thuộc quyền sở hữu của nhà
    nước và kinh doanh quốc tế. Trong thời gian này, cùng với sự phát triển về kinh tế, các vụ gian lận
    cũng ngày càng tăng, với quy mô ngày càng lớn, gây ra tổn thất đáng kể cho nền kinh tế. Trong quá
    trình điều tra vụ tai tiếng chính trị Watergate, Quốc hội Hoa Kỳ đã phát hiện rất nhiều các hoạt động
    vận động tranh cử trái phép và rửa tiền liên quan đến nước ngoài. Vào năm 1977, Luật về chống hối
    lộ nước ngoài (Foreign Corrupt Practies Act) ra đời. Sau đó, SEC đưa ra bắt buộc các Công ty phải
    báo cáo về kiểm soát nội bộ đối với công tác kế toán ở đơn vị mình (1979). Yêu cầu về báo cáo kiểm
    soát nội bộ của Công ty cho công chúng là một chủ đề gây nhiều tranh luận. Một trong những luận
    điểm của người chống đối là thiếu các tiêu chuẩn để đánh giá tính hữu hiệu của kiểm soát nội bộ.
    Vì thế Uỷ ban COSO (The Committee of Sponsoring Organization) được thành lập vào năm 1985.
    COSO là một Ủy ban thuộc Hội đồng Quốc gia Hoa kỳ về việc chống gian lận về báo cáo tài chính
    (National Commission on Financial Reporting, hay còn được gọi là Treadway Commission) và được
    bảo trợ bởi năm tổ chức nghề nghiệp, mỗi tổ chức này đã chỉ ra một đại diện để lập ra Ủy ban COSO.
    Năm tổ chức đó là:
    - Hiệp hội Kế toán viên công chứng Hoa kỳ (AICPA - American Institute of Certified Public
    Accountants).
    - Hiệp hội Kiểm toán viên nội bộ (IIA – Institute of Internal Auditors).
    - Hiệp hội Quản trị viên tài chính (FEI – Financial Executives Institute).
    - Hiệp hội Kế toán Hoa kỳ (AAA – American Accounting Association).
    - Hiệp hội Kế toán viên quản trị (IMA – Institute of Management Accountants).
    COSO được thành lập nhằm nghiên cứu về kiểm soát nội bộ, cụ thể là:
    - Thống nhất định nghĩa về kiểm soát nội bộ để phục vụ cho nhu cầu của các đối tượng khác nhau.
    COSO đã sử dụng chính thức kiểm soát nội bộ thay vì kiểm soát nội bộ về kế toán.
    - Công bố đầy đủ một hệ thống tiêu chuẩn để giúp các đơn vị có thể đánh giá hệ thống kiểm soát nội
    bộ của họ và tìm giải pháp để hoàn thiện. Báo cáo COSO 1992 đưa ra năm bộ phận của kiểm soát nội
    bộ bao gồm: môi trường kiểm soát, đánh giá rủi ro, các hoạt động kiểm soát, thông tin và truyền
    thông, và giám sát.
    Báo cáo COSO 1992 là tài liệu đầu tiên trên thế giới nghiên cứu và định nghĩa về kiểm soát nội bộ
    một cách đầy đủ và có hệ thống. Đặc điểm nổi bật của báo cáo này là cung cấp một tầm nhìn rộng và
    mang tính quản trị, trong đó kiểm soát nội bộ không chỉ còn là một vấn đề liên quan đến báo cáo tài
    chính mà được mở rộng ra cho cả các phương diện hoạt động và tuân thủ.
    Báo cáo COSO 1992 tuy chưa thực sự hoàn chỉnh nhưng đã tạo lập được những cơ sở lý thuyết rất cơ
    bản về kiểm soát nội bộ. Sau đó, hàng loạt nghiên cứu phát triển về kiểm soát nội bộ trong nhiều lĩnh
    vực khác nhau đã ra đời. COSO phát triển về quản trị, về doanh nghiệp nhỏ, về công nghệ thông tin,
    kiểm toán độc lập, kiểm toán nội bộ, chuyên sâu vào những ngành nghề cụ thể và giám sát, cụ thể
    như sau:
    1.1.2.1. Phát triển về quản trị
    Năm 2001, COSO triển khai nghiên cứu hệ thống quản trị rủi ro doanh nghiệp (ERM – Enterprise
    Risk Management Framework) trên cơ sở Báo cáo COSO 1992. Dự thảo đã hình thành và công bố
    tháng 7/2003, theo đó ERM được định nghĩa gồm 8 bộ phận: môi trường nội bộ, thiết lập mục tiêu,
    3
    nhận diện sự kiện, đánh giá rủi ro, đối phó rủi ro, các hoạt động kiểm soát, thông tin truyền thông, và
    giám sát. Đến năm 2004, ERM đã được chính thức ban hành. ERM (2004) là “cánh tay nối dài” của
    Báo cáo COSO 1992, chứ không nhằm thay thế cho Báo cáo này.
    1.1.2.2. Phát triển theo hướng công nghệ thông tin
    Năm 1996, Bản tiêu chuẩn có tên “Các mục tiêu kiểm soát trong công nghệ thông tin và các lĩnh vự
    liên quan” (CoBIT – Control Objectives for Information and Related Technology) do Hiệp hội về
    kiểm soát và kiểm toán hệ thống thông tin (ISACA – Information System Audit and Control
    Association) ban hành. CoBIT nhấn mạnh đến kiểm soát trong môi trường tin học (CIS – Computer
    Information System), bao gồm những lĩnh vực hoạch định và tổ chức, mua và triển khai, phân phối và
    hỗ trợ, giám sát.
    1.1.2.3. Phát triển theo hướng kiểm toán độc lập
    Các chuẩn mực kiểm toán của Hoa Kỳ cũng chuyển sang sử dụng Báo cáo COSO làm nền tảng đánh
    giá hệ thống kiểm soát nội bộ, bao gồm:
    - SAS 78 (1995): Xem xét kiểm soát nội bộ trong kiểm toán báo cáo tài chính (điều chỉnh SAS 55).
    Các định nghĩa, nhân tố của kiểm soát nội bộ trong Báo cáo COSO 1992 đã được đưa vào chuẩn mực
    này.
    - SAS 94 (2001): Ảnh hưởng của công nghệ thông tin đến việc xem xét kiểm soát nội bộ trong kiểm
    toán báo cáo tài chính
    Hệ thống chuẩn mực kiểm toán quốc tế (ISA – International Standard on Auditing) cũng sử dụng báo
    cáo của COSO khi yêu cầu xem xét hệ thống kiểm soát nội bộ trong kiểm toán báo cáo tài chính, cụ
    thể là:
    - ISA 315 “Hiểu biết về tình hình kinh doanh, môi trường hoạt động đơn vị và đánh giá rủi ro các sai
    sót trọng yếu”: yêu cầu kiểm toán viên cần có hiểu biết đầy đủ về kiểm soát nội bộ và đã định nghĩa
    “Hệ thống kiểm soát nội bộ là một quá trình do bộ máy quản lý, Ban tổng giám đốc và các nhân viên
    của đơn vị chi phối, được thiết lập để cung cấp một sự đảm bảo hợp lý nhằm thực hiện ba mục tiêu
    báo cáo tài chính đáng tin cậy, pháp luật và các quy định được tuân thủ, hoạt động hữu hiệu và hiệu
    quả. Hệ thống kiểm soát nội bộ được thiết kế và thực hiện nhằm giảm thiểu những rủi ro kinh doanh
    có khả năng đe doạ đến việc đạt được những mục tiêu trên”. Như vậy, định nghĩa về kiểm soát nội
    theo ISA 315 đã dựa trên định nghĩa về kiểm soát nội bộ của Báo cáo COSO 1992. Ngoài ra các bộ
    phận cấu thành kiểm soát nội bộ được ISA 315 đưa ra cũng dựa trên Báo cáo COSO 1992.
    - ISA 265 “Thông báo về những khiếm khuyết của kiểm soát nội bộ”: yêu cầu kiểm toán viên độc lập
    thông báo về các khiếm khuyết của kiểm soát nội bộ do kiểm toán viên phát hiện được cho những
    người có trách nhiệm trong đơn vị.
    1.1.2.4. Phát triển theo hướng kiểm toán nội bộ
    Hiệp hội kiểm toán nội bộ (IIA) định nghĩa các mục tiêu của kiểm soát nội bộ bao gồm:
    - Độ tin cậy và tính trung thực của thông tin.
    - Tuân thủ các chính sách, kế hoạch, thủ tục, luật pháp và quy định.
    - Bảo vệ tài sản.
    - Sử dụng hiệu quả và kinh tế các nguồn lực.
    - Hoàn thành các mục đích và mục tiêu cho các hoạt động hoặc chương trình.

    4
    Các chuẩn mực của IIA không đi sâu vào nghiên cứu các thành phần của kiểm soát nội bộ, vì IIA là
    một thành viên của COSO nên về nguyên tắc không có sự khác biệt giữa định nghĩa của IIA và
    COSO.
    1.1.3. Giai đoạn COSO 2013 [4]
    Sau hơn 20 năm, kể từ khi ban hành Báo cáo COSO lần đầu tiên (1992), môi trường kinh doanh đã có
    những thay đổi lớn, ảnh hưởng đáng kể đến cách thức tổ chức kinh doanh, nhận diện, đánh giá và đối
    phó với rủi ro của doanh nghiệp. Báo cáo COSO 1992 mặc dù đã được áp dụng rộng rãi trên thế giới
    nhưng trước những thay đổi lớn từ môi trường nêu trên đã đặt ra những yêu cầu phải thay đổi cho phù
    hợp với tình hình mới. Có thể tóm tắt những thay đổi quan trọng như sau:
    - Thứ nhất, quá trình toàn cầu hoá tiếp tục diễn ra trên diện rộng khiến cho các mô hình kinh doanh
    thay đổi đáng kể, tính phức tạp trong kinh doanh và tốc độ luân chuyển vốn diễn ra nhanh hơn. Điều
    này đòi hỏi hệ thống kiểm soát nội bộ của doanh nghiệp cũng phải thay đổi mới có thể thích ứng
    được với tình hình mới.
    - Thứ hai, nhiều quy định và chuẩn mực mới được ban hành hoặc sửa đổi, đặt ra yêu cầu lớn hơn cho
    nhà quản lý doanh nghiệp về năng lực điều hành và trách nhiệm giải trình, trong đó có trách nhiệm
    báo cáo, quản tri rủi ro, ngăn chặn và phát hiện gian lận tại đơn vị mình.
    - Thứ ba, sự phụ thuộc vào công nghệ thông tin ngày càng cao để cải thiện kết quả kinh doanh và ra
    quyết định của doanh nghiệp. Việc sử dụng các tổ chức cung cấp dịch vụ cũng như chia sẻ thông tin
    diễn ra ngày càng phổ biến và sâu rộng. Cách thức thu thập thông tin, khai thác và chia sẻ kiểu truyền
    thống tỏ ra không còn phù hợp và hiệu quả. Và đương nhiên cách thức kiểm soát và bảo vệ đi kèm
    cũng buộc phải thay đổi.
    Những lý do trên là động lực thúc đẩy Ủy ban COSO phải tiến hành cập nhật báo cáo của mình về
    kiểm soát nội bộ để đảm bảo tính thích hợp và ứng dụng được trong môi trường hiện tại. Dự án cập
    nhật Báo cáo COSO được tiến hành từ năm 2010, bắt đầu với việc tham khảo ý kiến của các bên về
    nhu cầu cập nhật và nội dung cập nhật của Báo cáo COSO 1992. Sau đó bản dự thảo được đưa ra lấy
    ý kiến rộng rãi, điều chỉnh và chính thức ban hành tháng 5 năm 2013.
    1.1.3.1. Những nội dung không thay đổi giữa Báo cáo COSO 2013 và Báo cáo COSO 1992
    Sự chấp nhận rộng rãi của các tổ chức nghề nghiệp, các cơ quan chức năng, doanh nghiệp trên thế
    giới khiến cho những khái niệm nền tảng trong Báo cáo COSO 1992 trở thành tiêu chuẩn vững chắc
    trong thực tế. Vì vậy, bốn nội dung quan trọng của Báo cáo COSO 1992 vẫn được giữ trong Báo cáo
    COSO 2013, bao gồm:
    - Định nghĩa kiểm soát nội bộ;
    - Ba nhóm mục tiêu của đơn vị (bao gồm mục tiêu Hoạt động, Báo cáo và Tuân thủ);
    - Năm bộ phận của kiểm soát nội bộ (bao gồm Môi trường kiểm soát, Đánh giá rủi ro, Hoạt động
    kiểm soát, Thông tin – Truyền thông, và Giám sát);
    - Áp dụng xét đoán vào việc thiết kế, thực hiện, vận hành và đánh giá kiểm soát nội bộ.
    1.1.3.2. Những nội dung thay đổi trong Báo cáo COSO 2013 so với Báo cáo COSO 1992
    Có bảy (7) thay đổi quan trọng của Báo cáo COSO 2013 so với Báo cáo COSO 1992:
    - Thứ nhất, COSO 2013 nêu rõ áp dụng cách tiếp cận dựa trên nguyên tắc (principle based) khi xây
    dựng Khuôn mẫu kiểm soát nội bộ. Với cách tiếp cận dựa trên nguyên tắc, Báo cáo COSO 2013
    không liệt kê các kiểm soát mà một hệ thống kiểm soát nội bộ của đơn vị cần phải có, thay vào đó
    Báo cáo COSO 2013 nêu ra những yêu cầu cần phải tuân thủ (các nguyên tắc), còn việc lựa chọn
    5
    những kiểm soát nào để được yêu cầu là tuỳ thuộc vào xét đoán của nhà quản lý và những đặc điểm
    riêng của đơn vị. Cách tiếp cận này làm tăng tính linh động cho việc áp dụng COSO vào những tổ
    chức có quy mô và lĩnh vực hoạt động khác nhau như doanh nghiệp, tổ chức phi lợi nhuận, cơ quan
    nhà nước, ngân hàng… Cách tiếp cận này đảm bảo cho vị thế của Báo cáo COSO là khuôn mẫu về
    kiểm soát nội bộ đuợc áp dụng rộng rãi nhất trên thế giới. Báo cáo COSO 2013 đã gia tăng phần tài
    liệu minh hoạ (illustrative documents) để hỗ trợ người sử dụng trong việc lựa chọn, xây dựng các
    kiểm soát cũng như đánh giá sự hữu hiệu của hệ thống kiểm soát nội bộ. Cách tiếp cận dựa trên
    nguyên tắc này của COSO phù hợp với xu thế chung hiện nay trên thế giới. Tuy nhiên, một số nhà
    nghiên cứu cho rằng Báo cáo COSO 2013 còn có thiếu sót khi không nêu lý do tại sao COSO lại lựa
    chọn cách tiếp cận dựa trên nguyên tắc (principle based) cho lần cập nhật này.
    - Thứ hai, COSO 2013 bổ sung những yêu cầu của một hệ thống kiểm soát nội bộ hữu hiệu. Theo đó
    một hệ thống kiểm soát nội bộ hữu hiệu phải đảm bảo 5 bộ phận và các nguyên tắc tương ứng phải
    vận hành trên thực tế. Không thể lấy sự hữu hiệu của bộ phận này để bù đắp cho sự yếu kém hay
    không tồn tại của bộ phận khác. Yêu cầu này tạo thuận lợi cho việc đánh giá sự hữu hiệu của hệ thống
    kiểm soát nội bộ. Các doanh nghiệp niêm yết ở Hoa kỳ chịu sự chi phối của Luật SOX (Sarbanes –
    Oxley) hàng năm phải nộp Báo cáo đánh giá sự hữu hiệu của Hệ thống kiểm soát nội bộ cùng với Báo
    cáo tài chính. Báo cáo đánh giá sự hữu hiệu của hệ thống kiểm soát nội bộ cũng phải được kiểm toán
    bởi kiểm toán viên độc lập.
    - Thứ ba, mục tiêu báo cáo được mở rộng. Mục tiêu báo cáo không chỉ cho bên ngoài mà cho cả bên
    trong, không chỉ báo cáo tài chính mà còn cả báo cáo phi tài chính. Điều này nhằm đáp ứng kỳ vọng
    ngày càng cao của các bên liên quan về năng lực điều hành và trách nhiệm giải trình của nhà quản lý,
    trong đó có trách nhiệm báo cáo, quản trị rủi ro, ngăn chặn và phát hiện gian lận tại đơn vị.
    - Thứ tư, COSO 2013 làm rõ vai trò của việc xác lập mục tiêu và ảnh hưởng của các đối tượng bên
    ngoài đến việc xác lập mục tiêu của đơn vị. Mặc dù vẫn duy trì quan điểm xác lập mục tiêu là tiền đề
    của kiểm soát nội bộ, COSO 2013 mở rộng nội dung là cụ thể hoá mục tiêu và xem xét sự phù hợp
    của các mục tiêu được xác lập. Ngoài ra, COSO 2013 cũng thừa nhận vai trò của các cơ quan nhà
    nước, các tổ chức lập quy trong việc xác lập mục tiêu của đơn vị cũng như các tiêu chuẩn đánh giá và
    yêu cầu báo cáo về những khiếm khuyết của hệ thống kiểm soát nội bộ. Nói cách khác, kiểm soát nội
    bộ không còn là chuyện “nội bộ” của bản thân doanh nghiệp mà còn bị ảnh hưởng bởi các đối tượng
    bên ngoài. Thí dụ, Uỷ ban chứng khoán có thể đưa ra những yêu cầu cụ thể mà Công ty niêm yết phải
    tuân thủ liên quan đến kiểm soát nội bộ hoặc một đơn vị thuộc lĩnh vực công có thể phải chịu những
    quy định riêng liên quan đến mục tiêu hoạt động của đơn vị.
    - Thứ năm, những nội dung cơ bản liên quan đến năm (5) bộ phận của kiểm soát nội bộ được tổng
    hợp thành mười bảy (17) nguyên tắc kiểm soát nội bộ. Có thể nói đây là sự thay đổi đáng kể so với
    Báo cáo 1992. Trong Báo cáo trước đây, những nguyên tắc này nằm lẫn trong nội dung của Báo cáo
    và không được nêu tên một cách cụ thể. Có thể nói mười bảy (17) nguyên tắc này chính là bộ xương
    của hệ thống kiểm soát nội bộ không chỉ dễ dàng hơn cho nhà quản lý mà còn cho các đối tượng khác
    bên ngoài doanh nghiệp trong việc thiết lập và đánh giá hệ thống kiểm soát nội bộ.
    - Thứ sáu, COSO 2013 đề cập nhiều hơn đến khái niệm quản trị doanh nghiệp (governance). Báo cáo
    COSO 2013 mở rộng phần thảo luận về quản trị doanh nghiệp, nhất là các vấn đề liên quan đến hội
    đồng quản trị và các uỷ ban như uỷ ban kiểm toán, uỷ ban lương thưởng… Điều này nhằm đáp ứng
    yêu cầu cao hơn của xã hội về việc quản trị doanh nghiệp, qua đó cũng cho thấy mối quan hệ giữa
    kiểm soát nội bộ và quản trị doanh nghiệp.
    - Thứ bảy, COSO 2013 thừa nhận vai trò ngày càng quan trọng của công nghệ thông tin ảnh hưởng
    tới hoạt động kinh doanh và kiểm soát nội bộ của mỗi doanh nghiệp cũng như kỳ vọng ngày càng cao
    6
    của các đối tượng bên ngoài doanh nghiệp về năng lực của nhà quản lý, về trách nhiệm giải trình và
    về việc phòng chống gian lận.
    Tuy nhiên, một số nghiên cứu cho rằng COSO 2013 vẫn chưa thể hiện được đủ tầm quan trọng của
    công nghệ thông tin tác động tới kiểm soát nội bộ khi chỉ nêu vai trò của công nghệ thông tin trong
    phần Hoạt động kiểm soát.
    1.2. Khái niệm kiểm soát nội bộ theo Báo cáo COSO 2013
    1.2.1. Định nghĩa [9]
    Báo cáo COSO 2013 đã định nghĩa kiểm soát nội bộ như sau:
    “Kiểm soát nội bộ là một quá trình bị ảnh hưởng bởi Ban tổng giám đốc, nhà quản lý và các nhân
    viên khác của một tổ chức được thiết lập để cung cấp sự đảm bảo hợp lý nhằm đạt được mục tiêu liên
    quan đến hoạt động, báo cáo và tuân thủ”.
    COSO 2013 cung cấp ba loại mục tiêu, cho phép các tổ chức tập trung vào các khía cạnh của kiểm
    soát nội bộ khác nhau:
    - Mục tiêu hoạt động: Đề cập đến sự hiệu quả và hữu hiệu của các hoạt động trong đó bao gồm mục
    tiêu về hoạt động và tài chính đồng thời đảm bảo tài sản không bị mất mát.
    - Mục tiêu báo cáo: Đề cập đến những báo cáo tài chính và phi tài chính ra bên ngoài và trong nội bộ
    bao gồm độ tin cậy, kịp thời, minh bạch hoặc các điều khác được quy định bởi các cơ quan quản lý về
    pháp luật, quy định và chính sách của tổ chức.
    - Mục tiêu tuân thủ: Đề cập đến việc tuân thủ pháp luật và các quy định chi phối các hoạt động của tổ
    chức.
    Trong định nghĩa trên, có bốn khái niệm quan trọng cần lưu ý, đó là quá trình, con người, đảm bảo
    hợp lý và mục tiêu:
    Kiểm soát nội bộ là một quá trình
    Các hoạt động của đơn vị được thực hiện thông qua quá trình lập kế hoạch, thực hiện và giám sát. Để
    đạt được mục tiêu mong muốn, đơn vị cần kiểm soát các hoạt động của mình, kiểm soát nội bộ là quá
    trình này. Kiểm soát nội bộ không phải là một sự kiện hay tình huống mà là một chuỗi các hoạt động
    hiện diện trong mọi bộ phận, gắn bó và xuyên suốt mọi hoạt động của tổ chức và là một nội dung cơ
    bản trong các hoạt động của tổ chức. Kiểm soát nội bộ sẽ hữu hiệu khi nó là một bộ phận không tách
    rời chứ không phải chức năng bổ sung cho các hoạt động của tổ chức.
    Con người
    Kiểm soát nội bộ được thiết kế và vận hành bởi con người, đó là Hội đồng quản trị, Ban tổng giám
    đốc, nhà quản lý và các nhân viên trong đơn vị. Kiểm soát nội bộ là một công cụ giúp nhà quản trị
    quản lý doanh nghiệp hiệu quả hơn. Nói cách khác, nó được thực hiện bởi những con người trong tổ
    chức, bởi suy nghĩ và hành động của họ. Chính họ sẽ vạch ra mục tiêu, đưa ra biện pháp kiểm soát và
    vận hành chúng.
    Tuy nhiên, không phải lúc nào con người cũng hiểu rõ, trao đổi và hành động một cách nhất quán.
    Mỗi thành viên tham gia vào tổ chức với khả năng, kiến thức, kinh nghiệm và nhu cầu khác nhau.
    Một hệ thống kiểm soát nội bộ chỉ có thể hữu hiệu khi từng thành viên trong tổ chức hiểu rõ trách
    nhiệm và quyền hạn của mình. Việc kiểm soát cần được giới hạn ở mức độ nhất định. Do vậy, để
    kiểm soát nội bộ hữu hiệu cần phải xác định mối liên hệ, nhiệm vụ và cách thức thực hiện việc kiểm
    soát của từng thành viên để đạt được các mục tiêu của tổ chức.

    7
    Đảm bảo hợp lý
    Kiểm soát nội bộ chỉ có thể cung cấp sự đảm bảo hợp lý cho các nhà quản lý trong việc đạt được các
    mục tiêu của tổ chức chứ không thể đảm bảo tuyệt đối. Điều này xuất phát từ những hạn chế tiềm
    tàng trong quá trình xây dựng và vận hành hệ thống kiểm soát nội bộ, đó là do những sai lầm của con
    người khi đưa ra các quyết định, sự thông đồng của các cá nhân hay sự lạm quyền của nhà quản lý có
    thể vượt khỏi tầm kiểm soát nội bộ… Hơn nữa, một nguyên tắc cơ bản trong quản lý là chi phí cho
    quá trình kiểm soát không thể vượt quá lợi ích mong đợi mà quá trình kiểm soát đó mang lại. Tất cả
    các điều đó dẫn đến trong mọi tổ chức, dù có thể đã đầu tư rất nhiều cho việc thiết kế và vận hành hệ
    thống kiểm soát nhưng vẫn không thể có hệ thống kiểm soát nội bộ hoàn hảo.
    Các mục tiêu
    Mỗi đơn vị thường có các mục tiêu kiểm soát cần đạt được để từ đó xác định các chiến lược cần thực
    hiện. Đó có thể là mục tiêu chung cho toàn đơn vị, hay mục tiêu cụ thể cho từng hoạt động, từng bộ
    phận trong đơn vị. Có thể chia các mục tiêu kiểm soát đơn vị cần thiết lập thành ba nhóm:
    - Nhóm mục tiêu về hoạt động: nhấn mạnh đến sự hữu hiệu và hiệu quả của việc sử dụng các nguồn
    lực.
    - Nhóm mục tiêu về báo cáo tài chính: nhấn mạnh đến tính trung thực và đáng tin cậy của báo cáo tài
    chính mà tổ chức cung cấp.
    - Nhóm mục tiêu về sự tuân thủ: nhấn mạnh đến việc tuân thủ pháp luật và các quy định.
    Các mục tiêu trên có thể tách biệt nhưng cũng có thể trùng với nhau, vì một mục tiêu riêng lẻ có thể
    được xếp vào một hay nhiều loại trong ba nhóm mục tiêu trên. Sự phân loại các mục tiêu nhằm giúp
    tổ chức kiểm soát ở các phương diện khác nhau.
    1.2.2. Báo cáo COSO 2013
    1.2.2.1. Cấu trúc của Báo cáo COSO 2013 [4]
    Báo cáo COSO 2013 bao gồm 4 phần:
    - Tóm tắt cho nhà điều hành (Executive Summary);
    - Khuôn mẫu kiểm soát nội bộ và phụ lục (Framework and Appendices);
    - Công cụ đánh giá sự hữu hiệu của kiểm soát nội bộ (Illustrative Tools for Assessing Effectiveness of
    a System of Internal Control);
    - Kiểm soát nội bộ cho việc lập báo cáo tài chính cho bên ngoài (Internal Control Over External
    Financial Reporting: A Compendium of Approaches and Examples).
    Cụ thể như sau:
    Phần 1: Tóm tắt cho nhà điều hành.
    Trình bày tóm lược nội dung của Khuôn mẫu kiểm soát nội bộ (Framework) dành cho giám đốc điều
    hành, thành viên ban quản trị và các vị trí quản lý cấp cao khác.
    Phần 2: Khuôn mẫu kiểm soát nội bộ và Phụ lục.
    Trình bày chi tiết Khuôn mẫu kiểm soát nội bộ, bao gồm định nghĩa kiểm soát nội bộ, đưa ra những
    yêu cầu của một hệ thống kiểm soát nội bộ hữu hiệu, bao gồm các bộ phận và các nguyên tắc kiểm
    soát nội bộ, cung cấp định hướng cho nhà quản lý ở mọi cấp trong đơn vị biết cách thiết kế, thực hiện
    và đánh giá sự hữu hiệu của hệ thống kiểm soát nội bộ. Khuôn mẫu kiểm soát nội bộ là nội dung
    chính yếu nhất của Báo cáo COSO 2013. Phần phụ lục cung cấp thêm thông tin tham khảo bao gồm:

    8
    từ điển thuật ngữ, các lưu ý cho doanh nghiệp nhỏ và tóm tắt những thay đổi của Báo cáo COSO
    2013 so với Báo cáo COSO 1992 (mặc dù phụ lục không được coi là một phần của Khuôn mẫu).
    Phần 3: Công cụ đánh giá sự hữu hiệu của kiểm soát nội bộ
    Phần này cung cấp các mẫu biểu và những ví dụ thực tế để hỗ trợ nhà quản lý trong việc áp dụng
    khuôn mẫu kiểm soát nội bộ đặc biệt là khi đánh giá sự hữu hiệu của kiểm soát nội bộ.
    Phần 4: kiểm soát nội bộ cho việc lập báo cáo tài chính cho bên ngoài.
    Phần này cung cấp phương pháp và ví dụ thực tế về việc áp dụng những yêu cầu của kiểm soát nội bộ
    (bao gồm các bộ phận và các nguyên tắc kiểm soát nội bộ) vào việc chuẩn bị các báo cáo tài chính
    cho bên ngoài.
    1.2.2.2. Các yếu tố cấu thành hệ thống kiểm soát nội bộ [9]
    Báo cáo COSO 2013 vẫn giữ lại năm bộ phận của kiểm soát nội bộ, bao gồm: Môi trường kiểm soát,
    Đánh giá rủi ro, Hoạt động kiểm soát, Thông tin – Truyền thông, và Hoạt động giám sát. Năm bộ
    phận này có mối liên hệ chặt chẽ với nhau, cụ thể là:
    Môi trường kiểm soát: Môi trường kiểm soát nội bộ bị ảnh hưởng bởi nhiều nhân tố bên trong và
    bên ngoài, bao gồm cả lịch sử hình thành và phát triển của công ty, giá trị của công ty, thị trường, sự
    cạnh tranh, các luật và chính sách của nhà nước, các quy định của tổ chức. Môi trường kiểm soát nội
    bộ được định nghĩa thông qua các tiêu chuẩn, quy trình và hệ thống tổ chức. Hệ thống tổ chức này chỉ
    đạo mọi người ở nhiều cấp bậc trong công ty thực hiện công việc của họ, mọi thông tin sẽ được
    chuyển cho hệ thống kiểm soát nội bộ và hỗ trợ cho việc ra quyết định. Môi trường kiểm soát nội
    bộ tạo ra một khuôn phép hỗ trợ cho việc đánh giá các rủi ro, để đạt được các mục tiêu được đề trước
    của công ty, cho phép đánh giá tính hiệu quả của việc kiểm soát nội bộ, sử dụng thông tin và hệ thống
    thông tin một cách hiệu quả, và thực hiện các hoạt động giám sát.
    Đánh giá rủi ro: Tất cả các tổ chức, bất kể lớn nhỏ, cấu trúc quản lý, bản chất, lĩnh vực hoạt động
    đều gặp các rủi ro ở nhiều cấp độ. Mọi tổ chức luôn đối mặt với nhiều rủi ro xuất phát từ bên trong
    lẫn bên ngoài. Rủi ro được định nghĩa là khả năng một sự việc có thể xảy ra và có tác động tiêu cực
    đến mục tiêu đề ra của công ty. Đánh giá rủi ro liên quan đến các quy trình linh hoạt và được lặp lại
    nhiều lần để xác định và đánh giá được các rủi ro. Các rủi ro liên quan đến mục tiêu của tổ chức xuất
    phát từ khắp nơi trong tổ chức được xem là có liên quan đến khả năng chịu đựng rủi ro của tổ chức
    đó. Vì vậy, đánh giá rủi ro tạo nên nền tảng trên đó các rủi ro sẽ được quản lí. Đánh giá rủi ro cũng
    đòi hỏi việc quản lý cân nhắc các tác động của những thay đổi có thể xảy ra từ môi trường bên ngoài
    lẫn bên trong nội bộ, bên trong mô hình kinh doanh, những tác động có thể gây nên sự thiếu hiệu quả
    của việc kiểm soát nội bộ.
    Hoạt động kiểm soát: Hoạt động kiểm soát là các hoạt động được thành lập dựa trên các chính sách,
    thủ tục giúp đảm bảo sự chỉ đạo của nhà quản lý để giảm thiểu rủi ro. Hoạt động kiểm soát được tiến
    hành trên tất cả các cấp quản lý trong tổ chức, ở nhiều giai đoạn của quá trình hoạt động kinh doanh,
    và thông qua nền tảng môi trường công nghệ. Hoạt động kiểm soát có tính chất đề phòng hoặc có khả
    năng dò tìm và bao gồm nhiều hoạt động được làm thủ công hay tự động ví dụ như việc cấp
    quyền, chấp thuận, việc xác minh, đánh giá lại chất lượng hoạt động kinh doanh. Việc phân công,
    phân chia nhiệm vụ được gắn liền vào việc lựa chọn và phát triển của các hoạt động kiểm soát. Khi
    việc phân chia trách nhiệm không thể thực hiện được, nhà quản lý lựa chọn và phát triển các hoạt
    động kiểm soát khả thi khác. Hoạt động kiểm soát hỗ trợ các mục tiêu về hoạt động, báo cáo và tuân
    thủ của tổ chức.
    Thông tin và truyền thông: Thông tin cần thiết cho tổ chức để thực hiện các trách nhiệm kiểm soát
    nội bộ. Quản lý thu thập thông tin, cung cấp hoặc sử dụng những thông tin liên quan có được từ trong
    9
    nội bộ lẫn bên ngoài để phục vụ cho các chức năng của các thành phần trong kiểm soát nội bộ. Việc
    giao tiếp là quy trình liên tục, lặp đi lặp lại của việc cung cấp, chia sẻ, thu thập những thông tin cần
    thiết. Giao tiếp nội bộ là cách để thông tin được phổ biến khắp trong tổ chức, dòng thông tin từ cấp
    trên xuống cấp dưới, từ cấp dưới lên cấp trên và giữa các cấp với nhau trong tổ chức, nó cho phép
    nhân viên nhận được thông tin rõ ràng từ quản lý cấp cao, xác định các trách nhiệm cần được thực
    hiện một cách nghiêm túc. Các thành phần của thông tin và truyền thông trong khuôn khổ hỗ trợ các
    chức năng của toàn bộ các thành phần trong kiểm soát nội bộ. Phối hợp với các thành phần khác,
    thông tin và truyền thông hỗ trợ cho việc đạt được các mục tiêu của tổ chức, các mục tiêu liên quan
    đến báo cáo nội bộ lẫn công khai. Điều khiển, kiểm soát thông tin và truyền thông hỗ trợ khả năng sử
    dụng chính xác thông tin trong hệ thống kiểm soát nội bộ và thực hiện nhiệm vụ kiểm soát nội bộ của
    tổ chức.
    Hệ thống giám sát: Hoạt động kiểm soát đánh giá xem mỗi thành phần trong năm thành phần của
    kiểm soát nội bộ có tồn tại và hoạt động tốt hay không. Tổ chức dùng các hoạt động đánh giá thường
    xuyên hoặc riêng biệt, hay là sự phối hợp cả hai hoạt động đánh giá này để đảm bảo rằng các thành
    phần của kiểm soát nội bộ có tồn tại và hoạt động. Hoạt động kiểm tra là nhân tố đầu vào chính của
    hoạt động đánh giá tính hiệu quả của kiểm soát nội bộ của tổ chức. Nó cung cấp các hỗ trợ đắt
    giá cho các xác nhận, khẳng định tính hiệu quả của kiểm soát nội bộ.

    Hình 1.1. Các yếu tố cấu thành hệ thống kiểm soát nội bộ theo COSO 2013
    Nguồn: Committee of Sponsoring Organisation (2012), Internal Control – Intergrated Framework
    and Appendices [9]
    1.2.2.3. Trách nhiệm về kiểm soát nội bộ [8]
    Ban tổng giám đốc
    Ban tổng giám đốc nên thảo luận với lãnh đạo cấp cao của đơn vị về hệ thống kiểm soát nội bộ và
    cung cấp giám sát khi cần thiết. Ban tổng giám đốc chịu trách nhiệm kiểm soát nội bộ trước Hội đồng
    quản trị, thiết lập các chính sách mong đợi và cung cấp sự giám sát kiểm soát nội bộ của đơn vị mình.
    Hội đồng quản trị phải được cung cấp những thông tin về rủi ro có thể ảnh hưởng đến việc đạt được
    mục tiêu của đơn vị, các đánh giá về những khiếm khuyết của kiểm soát nội bộ, cách mà các cấp quản
    lý triển khai các hành động để giảm thiểu rủi ro liên quan đến hệ thống kiểm soát nội bộ của đơn vị.
    Nhà quản lý cấp cao
    Nhà quản lý cấp cao nên đánh giá hệ thống kiểm soát nội bộ của tổ chức theo khuôn mẫu, tập trung
    vào cách tổ chức áp dụng mười bảy nguyên tắc hỗ trợ các thành phần của kiểm soát nội bộ. Nhà quản
    lý cần xem xét những cập nhật cho phiên bản đã áp dụng năm 1992, đồng thời xem xét tác động của
    những cập nhật này lên hệ thống kiểm soát nội bộ của đơn vị. Nhà quản lý có thể xem xét sử dụng

    10
    các công cụ minh họa như là một phần của so sánh ban đầu này và là một sự đánh giá liên tục về hiệu
    quả của hệ thống kiểm soát nội bộ của tổ chức.
    Các nhà quản lý khác và nhân viên
    Toàn thể nhân viên và nhà quản lý nên xem xét các thay đổi của phiên bản này và đánh giá tác động
    của những thay đổi lên hệ thống kiểm soát nội bộ của đơn vị. Ngoài ra, mọi cá nhân nên xem xét cách
    thức thực hiện trách nhiệm của mình trong khuôn khổ và thảo luận ý tưởng với nhân sự cao cấp để
    tăng cường kiểm soát nội bộ. Cụ thể là họ nên xem xét ảnh hưởng như thế nào đến các nguyên tắc
    liên quan trong năm thành phần của kiểm soát nội bộ.
    Kiểm toán viên nội bộ
    Kiểm toán viên nội bộ nên xem xét lại kế hoạch kiểm toán nội bộ và cách thức họ đã áp dụng khuôn
    khổ ấn bản năm 1992. Kiểm toán viên nội bộ cũng nên xem xét lại một cách chi tiết những thay đổi
    cho phiên bản này và xem xét những tác động có thể có của những thay đổi về kế hoạch kiểm toán,
    đánh giá, và bất kỳ báo cáo nào trên hệ thống kiểm soát nội bộ của đơn vị.
    Kiểm toán độc lập
    Ngoài việc kiểm toán báo cáo tài chính của đơn vị, trong một số phạm vi, kiểm toán viên độc lập
    tham gia kiểm toán hoặc kiểm tra tính hiệu quả của kiểm soát nội bộ của khách hàng. Kiểm toán viên
    độc lập có thể đánh giá hệ thống kiểm soát nội bộ của đơn vị liên quan đến khuôn mẫu, tập trung vào
    cách thức mà tổ chức đã lựa chọn, phát triển, và triển khai kiểm soát ảnh hưởng đến các nguyên tắc
    trong các thành phần của kiểm soát nội bộ. Kiểm toán viên, tương tự như nhà quản lý, có thể sử dụng
    các công cụ minh họa như một phần của đánh giá hiệu quả tổng thể hệ thống kiểm soát nội bộ của
    đơn vị.
    Các tổ chức nghề nghiệp khác.
    Các tổ chức nghề nghiệp cung cấp các hướng dẫn về mục tiêu hoạt động, báo cáo, và tuân thủ, có thể
    xem xét các tiêu chuẩn và hướng dẫn của họ so với khuôn mẫu. Sự đa dạng trong phạm vi khái niệm
    và thuật ngữ được loại bỏ, tất cả các bên được hưởng lợi.
    1.3. Hạn chế và sự cần thiết của hệ thống kiểm soát nội bộ
    1.3.1. Hạn chế tiềm tàng của hệ thống kiểm soát nội bộ
    Hệ thống kiểm soát nội bộ không thể đảm bảo hoàn toàn đạt được mục tiêu của tổ chức do những hạn
    chế tiềm tàng của hệ thống kiểm soát nội bộ, đó là:
    - Thông thường yêu cầu về chi phí cho hệ thống kiểm soát nội bộ không được vượt quá những lợi ích
    mà hệ thống đó mang lại;
    - Phần lớn các thủ tục kiểm soát nội bộ được thiết lập cho các nghiệp vụ thường xuyên, lặp đi, lặp lại
    hơn là các nghiệp vụ không thường xuyên;
    - Sự phù hợp của mục tiêu được thiết lập là một điều kiện tiên quyết ảnh hưởng đến kiểm soát nội bộ
    của công ty.
    - Thực tế cho thấy rằng, khả năng người chịu trách nhiệm trong việc ra quyết định có thể sai sót hoặc
    do thiên vị, lạm dụng đặc quyền của minh.
    - Khả năng các rủi ro có thể xảy ra do sự đãng trí, thiếu chú ý khi thực hiện chức năng, nhiệm vụ hoặc
    do không hiểu rõ yêu cầu công việc.
    - Khả năng hệ thống kiểm soát nội bộ không phát hiện ra việc thông đồng của thành viên trong ban
    quản lý, nhân viên hoặc những người khác bên ngoài đơn vị.
    11
    - Do cơ chế thay đổi và yêu cầu quản lý làm cho các thủ tục kiểm soát nội bộ không kịp thay đổi theo
    hoặc do sự lạc hậu của thủ tục kiểm soát.
    - Các sự kiện bên ngoài vượt tầm kiểm soát của tổ chức.
    Chính những hạn chế nói trên của kiểm soát nội bộ là nguyên nhân khiến cho kiểm soát nội bộ không
    đảm bảo tuyệt đối, mà chỉ bảo đảm hợp lý trong việc đạt được các mục tiêu của mình.
    1.3.2. Sự cần thiết của hệ thống kiểm soát nội bộ
    Trong bất kỳ một tổ chức nào, thì sự xung đột về quyền lợi chung và quyền lợi riêng luôn tồn tại giữa
    người sử dụng lao động và người lao động. Việc quản lý rủi ro phải được quản lý như thế nào? Việc
    phân quyền, giao việc cho cấp dưới phải được thực hiện một chính xác, khoa học và hợp lý chứ
    không chỉ dựa trên cảm tính. Ngoài ra, với sự đa dạng của các hình thức kinh doanh, loại hình kinh
    doanh, với mức độ tăng trưởng ngày càng cao, chính vì vậy một hệ thống kiểm soát nội bộ vững
    mạnh sẽ đem lại lợi ích cho tổ chức như:
    - Giảm bớt sự gian lận, thông đồng của nhân viên trong đơn vị hay với bộ phận bên ngoài đơn vị.
    - Giảm bớt nguy cơ rủi ro tiềm tàng trong sản xuất kinh doanh (sai sót vô tình gây thiệt hại, các rủi ro
    làm chậm kế hoạch…).
    - Bảo vệ tài sản khỏi hư hỏng, mất mát bởi hao hụt, gian lận, lừa gạt, trộm cắp.
    - Đảm bảo tính chính xác của số liệu kế toán và báo cáo tài chính.
    - Đảm bảo mọi thành viên tuân thủ nội quy, quy chế, quy trình hoạt động của tổ chức cũng như các
    quy định của pháp luật.
    - Đảm bảo tổ chức hoạt động hiệu quả, sử dụng tối ưu các nguồn lực và đạt được mục tiêu đặt ra.
    - Bảo vệ quyền lợi của nhà đầu tư, cổ đông và gây dựng lòng tin đối với họ.
    1.4. Khuôn mẫu hệ thống kiểm soát nội bộ theo Báo cáo COSO 2013 [9]
    1.4.1. Môi trường kiểm soát
    Môi trường kiểm soát là sắc thái chung, là “bầu không khí” kiểm soát của đơn vị. Nó tập hợp các tiêu
    chuẩn, quy trình, và cấu trúc là cơ sở cho việc thực hiện kiểm soát nội bộ trong toàn tổ chức. Hội
    đồng quản trị và người quản lý cấp cao thiết lập các quy định ban đầu liên quan đến tầm quan trọng
    của kiểm soát nội bộ bao gồm cả tiêu chuẩn dự kiến của hành vi.
    Môi trường kiểm soát tạo ra một khuôn phép hỗ trợ cho các thành phần khác của hệ thống kiểm soát
    nội bộ tồn tại và hoạt động hiệu quả.
    Có năm nguyên tắc liên quan đến môi trường kiểm soát và hai mươi (20) điểm trọng tâm nhằm hỗ trợ
    việc thiết lập và đưa vào vận hành hệ thống kiểm soát nội bộ:
    1.4.1.1. Sự vững chắc, tính thống nhất trong tổ chức, quản lý và chuẩn mực đạo đức
    Có 4 điểm trọng tâm, gồm:
    - Thiết lập phong cách ban đầu.
    - Thiết lập “tiêu chuẩn thực hiện”.
    - Các đánh giá được dựa trên “tiêu chuẩn thực hiện”
    - Cần có những sự thay đổi các "tiêu chuẩn thực hiện" kịp thời và liên tục để thích nghi.

    12
    1.4.1.2. Tính độc lập của Ban tổng giám đốc với quản lý cấp cao
    Có 4 điểm trọng tâm, gồm:
    - Hình thành trách nhiệm giám sát.
    - Giao trọng trách cho những người có chuyên môn.
    - Hoạt động một cách độc lập.
    - Hỗ trợ giám sát cho hệ thống kiểm soát nội bộ.
    1.4.1.3. Thiết lập hệ thống giám sát, cơ cấu tổ chức, quy trình báo cáo, và các thẩm quyền, trách
    nhiệm tương ứng khác
    Có 3 điểm trọng tâm, gồm:
    - Cân nhắc toàn bộ cấu trúc quản lí của tổ chức
    - Thiết lập quy trình báo cáo.
    - Xác định, thiết kế và giới hạn nhiệm vụ và chức trách.
    1.4.1.4. Thu hút, phát triển và giữ lại những cá nhân có năng lực phù hợp với mục tiêu của tổ chức
    Có 4 điểm trọng tâm, gồm:
    - Thiết lập các chính sách và thực hiện.
    - Đánh giá, ước lượng khả năng và đối phó với các thiếu sót.
    - Thu hút, phát triển và giữ lại các cá nhân giỏi
    - Lên kế hoạch và chuẩn bị cho các bước tiếp theo.
    1.4.1.5. Thu hút, phát triển và giữ lại những cá nhân có trách nhiệm liên quan đến hệ thống kiểm soát
    nội bộ
    Có 5 điểm trọng tâm, gồm:
    - Thực thi trách nhiệm xuyên suốt cơ cấu quản lý, thẩm quyền và trách nhiệm.
    - Thiết lập hệ thống đánh giá chất lượng công việc, khen thưởng và tạo động lực.
    - Cân nhắc, so sánh các phương pháp đánh giá chất lượng công việc, khen thưởng và tạo động lực
    khác nhau và các hoạt động liên quan.
    - Cân nhắc đến các áp lực, gánh nặng lớn.
    - Đánh giá khả năng, khen thưởng hay kỷ luật các cá nhân
    1.4.2. Đánh giá rủi ro
    Đánh giá rủi ro là một quá trình linh động, được lặp đi lặp lại nhằm xác định, phân tích và đánh giá
    rủi ro ảnh hưởng đến việc đạt được mục tiêu của công ty, tạo nên một cơ sở để xác định rủi ro cần
    được quản lý như thế nào. Nhà quản lý cần xem xét những thay đổi có thể có ở môi trường bên ngoài
    và trong mô hình kinh doanh của đơn vị có thể ảnh hưởng đến việc đạt được mục tiêu của công ty.
    Điều kiện tiên quyết của việc đánh giá rủi ro là phải thiết lập các mục tiêu liên kết ở các cấp độ khác
    nhau của công ty.
    Có bốn nguyên tắc liên quan đến đánh giá rủi ro và hai mươi bảy (27) điểm trọng tâm nhằm hỗ trợ
    việc thiết lập và đưa vào vận hành hệ thống kiểm soát nội bộ:

    13
    1.4.2.1. Xác định mục tiêu rõ ràng để tạo điều kiện cho việc đánh giá rủi ro
    Có 15 điểm trọng tâm, gồm có:
    Mục tiêu hoạt động: có 4 điểm trọng tâm.
    - Phản ánh lựa chọn của quản lý cấp cao.
    - Cân nhắc khả năng chịu đựng rủi ro.
    - Bao gồm cả mục tiêu hoạt động lẫn mục tiêu hoạt động tài chính.
    - Tạo nền tảng để cung cấp và phân bổ nguồn lực.
    Mục tiêu báo cáo tài chính ra bên ngoài: có 3 điểm trọng tâm.
    - Tuân thủ các tiêu chuẩn kế toán có thể áp dụng.
    - Cân nhắc tính trọng yếu.
    - Phản ánh hoạt động của tổ chức.
    Mục tiêu báo cáo phi tài chính ra bên ngoài: có 3 điểm trọng tâm.
    - Tuân thủ các nguyên tắc và khuôn khổ được áp dụng.
    - Cân nhắc các mức độ yêu cầu của sự chính xác.
    - Phản ánh hoạt động của tổ chức.
    Mục tiêu báo cáo nội bộ: có 3 điểm trọng tâm.
    - Phản ánh sự lựa chọn của người quản lý.
    - Cân nhắc các mức độ yêu cầu của sự chính xác.
    - Phản ánh hoạt động của tổ chức.
    Mục tiêu tuân thủ: có 2 điểm trọng tâm.
    - Phản ánh các luật và quy định được áp đặt từ bên ngoài.
    - Cân nhắc khả năng chống chịu rủi ro.
    1.4.2.2. Xác định các rủi ro xuất phát từ bên trong tổ chức
    Có 5 điểm trọng tâm, gồm:
    - Xác định và đánh giá rủi ro xuất phát từ các mục tiêu trên.
    - Phân tích các yếu tố bên trong và bên ngoài.
    - Liên quan ở một mức độ thích hợp với công việc quản lý.
    - Đánh giá các ảnh hưởng lớn/ nhỏ của các rủi ro đã được xác định.
    - Cân nhắc giải pháp quản lý các rủi ro
    1.4.2.3. Xem xét khả năng xảy ra các gian lận khi tiến hành đánh giá rủi ro tiềm ẩn liên quan đến
    mục tiêu tổ chức.
    Có 4 điểm trọng tâm, gồm:
    - Cân nhắc các dạng gian lận khác nhau.
    - Đề cập đến các động cơ gian lận và các áp lực có thể dẫn đến gian lận.
    - Đề cập đến các sơ hở, các cơ hội theo đó gian lận có thể xảy ra.
    14
    - Xem xét đánh giá thái độ và những biện hộ.
    1.4.2.4. Xác định và đánh giá những thay đổi có thể tác động lớn đến hệ thống kiểm soát nội bộ
    Có 3 điểm trọng tâm, gồm:
    - Đánh giá những thay đổi của môi trường bên ngoài.
    - Đánh giá những thay đổi trong mô hình kinh doanh.
    - Đánh giá những thay đổi trong lãnh đạo.
    1.4.3. Hoạt động kiểm soát
    Hoạt động kiểm soát thực hiện ở tất cả các cấp trong đơn vị, ở các giai đoạn khác nhau trong quá trình
    hoạt động kinh doanh và trong môi trường công nghệ để phòng ngừa giảm thiểu rủi ro của đơn vị qua
    các hoạt động thủ công hay tự động như ủy quyền, phê duyệt, đánh giá chất lượng hoạt động kinh
    doanh. Vì vậy, việc lựa chọn và phát triển các hoạt động kiểm soát phải gắn liền với phân công, phân
    chia nhiệm vụ và phải điều chỉnh hoạt động kiểm soát khi việc phân chia trách nhiệm không phù hợp.
    Hoạt động kiểm soát phục vụ như là cơ chế quản lý trong việc đạt được các mục tiêu của tổ chức và
    có nhiều phần của quá trình mà tổ chức đó phấn đấu để đạt được những mục tiêu. Hoạt động kiểm
    soát hỗ trợ các mục tiêu về hoạt động, báo cáo và tuân thủ của tổ chức. Ví dụ, một Công ty bán hàng
    trực tuyến kiểm soát an ninh của hệ thống thông tin ảnh hưởng đến quá trình giao dịch chính xác
    và hợp lệ đối với khách hàng, việc bảo vệ thông tin mật cho thẻ thanh toán của khách hàng, tính an
    toàn và thường trực của website bán hàng. Trong trường hợp này các hoạt động kiểm soát là cần thiết.
    Có ba nguyên tắc liên quan đến hoạt động kiểm soát và mười bốn (14) điểm trọng tâm nhằm hỗ trợ
    việc thiết lập và đưa vào vận hành hệ thống kiểm soát nội bộ:
    1.4.3.1. Lựa chọn và phát triển các hoạt động kiểm soát nhằm giảm thiểu rủi ro
    Có 4 điểm trọng tâm, gồm:
    - Gắn liền với việc đánh giá rủi ro.
    - Cân nhắc những yếu tố cụ thể của tổ chức.
    - Xác định quy trình kinh doanh cần được kiểm soát.
    - Cân nhắc sự phối hợp giữa các loại hoạt động kiểm soát
    1.4.3.2. Lựa chọn và phát triển các hoạt động kiểm soát chung dựa trên nền tảng công nghệ
    Có 4 điểm trọng tâm, gồm:
    - Xác định sự phụ thuộc lẫn nhau giữa việc áp dụng công nghệ vào quá trình kinh doanh và việc quản
    lý công nghệ.
    - Thiết lập các hoạt động kiểm soát, điều khiển nền tảng công nghệ
    - Thiết lập các hoạt động điều khiển, kiểm soát các quy trình quản lý an ninh.
    - Thiết lập hoạt động kiểm soát dựa trên phát triển và bảo trì công nghệ
    1.4.3.3. Triển khai các hoạt động kiểm soát dựa trên các chính sách và thủ tục
    Có 6 điểm trọng tâm, gồm:
    - Thiết lập các chính sách, thủ tục hỗ trợ việc triển khai các chỉ đạo của ban quản lý.
    - Thiết lập trách nhiệm và trách nhiệm giải trình cho các hoạt động kiểm soát.
    - Hành động kịp thời được quy định bởi chính sách và thủ tục.
    15
    - Hành động khắc phục từ kết quả của việc kiểm soát.
    - Hành động được giao cho các cá nhân có khả năng.
    - Xem xét lại, cân nhắc lại các chính sách và thủ tục.
    1.4.4. Thông tin và truyền thông
    Thông tin cần thiết cho việc thực hiện trách nhiệm kiểm soát nội bộ để hỗ trợ đạt được các mục tiêu
    đề ra của công ty. Truyền thông được thực hiện cả trong nội bộ lẫn bên ngoài đơn vị, cung cấp cho
    công ty các thông tin cần thiết để thực hiện hàng ngày hoạt động kiểm soát nội bộ. Việc truyền thông
    các thông tin cho phép nhân viên hiểu rõ trách kiểm soát nội bộ và tầm quan trọng của họ trong việc
    đạt được các mục tiêu công ty.
    Quản lý việc thu thập thông tin, cung cấp hoặc sử dụng những thông tin có được từ trong nội bộ lẫn
    bên ngoài để phục vụ cho các chức năng của các thành phần trong kiểm soát nội bộ. Ngoài ra, việc
    kết hợp với các thành phần khác của hệ thống kiểm soát nội bộ, thông tin – truyền thông hỗ trợ việc
    đạt được các mục tiêu của công ty, bao gồm các mục tiêu liên quan đến báo cáo nội bộ và bên ngoài.
    Có ba nguyên tắc liên quan đến thông tin và truyền thông, và mười bốn (14) điểm trọng tâm nhằm hỗ
    trợ việc thiết lập và đưa vào vận hành hệ thống kiểm soát nội bộ:
    1.4.4.1. Thu thập, xử lý và sử dụng những thông tin chính xác nhằm hỗ trợ quá trình hoạt động của
    các thành phần khác trong kiểm soát nội bộ
    Có 5 điểm trọng tâm, gồm:
    - Xác định những yêu cầu đối với thông tin.
    - Nắm bắt những nguồn thông tin nội bộ và bên ngoài.
    - Xử lý các dữ liệu liên quan và tổng hợp chúng thành thông tin cần thiết.
    - Duy trì chất lượng thông qua các quy trình xử lý.
    - Cân nhắc chi phí và lợi ích mang lại.
    1.4.4.2. Trao đổi thông tin nội bộ nhằm hỗ trợ các chức năng của các thành phần trong kiểm soát nội
    bộ
    Có 4 điểm trọng tâm, gồm:
    - Giao tiếp thông tin kiểm soát nội bộ.
    - Giao tiếp với Ban tổng giám đốc.
    - Cung cấp, hỗ trợ các kênh giao tiếp riêng biệt.
    - Chọn các cách thức giao tiếp thích hợp.
    1.4.4.3. Trao đổi với các bên bên ngoài những vấn đề ảnh hưởng đến chức năng của các thành phần
    trong kiểm soát nội bộ
    Có 5 điểm trọng tâm, gồm:
    - Giao tiếp với các tổ chức bên ngoài.
    - Cho phép trao đổi thông tin hai chiều.
    - Giao tiếp với Ban tổng giám đốc.
    - Cung cấp, hỗ trợ các kênh giao tiếp riêng biệt.
    - Chọn các cách thức giao tiếp thích hợp.
    16
    1.4.5. Hoạt động giám sát
    Hoạt động giám sát được lựa chọn, phát triển và thực hiện đánh giá các hoạt động diễn ra liên tục
    hoặc riêng biệt, hay là sự phối hợp của cả hai loại đánh giá này nhằm đảm bảo rằng các thành phần
    của hệ thống kiểm soát nội bộ luôn tồn tại và hoạt động tốt; đánh giá xem còn tồn tại những khiếm
    khuyết trong kiểm soát nội bộ hay không.
    Kết quả đánh giá và những khiếm khuyết của hệ thống kiểm soát nội bộ được truyền đạt một các kịp
    thời với quản lý cấp cao và ban giám đốc những vấn đề nghiêm trọng. Việc quản lý cũng cần xác định
    hệ thống kiểm soát nội bộ có liên tục, thích hợp và có khả năng đối phó với rủi ro nữa hay không.
    Có hai nguyên tắc liên quan đến Hoạt động giám sát, và mười (10) điểm trọng tâm nhằm hỗ trợ việc
    thiết lập và đưa vào vận hành hệ thống kiểm soát nội bộ:
    1.4.5.1. Lựa chọn, phát triển và thực hiện những đánh giá liên tục hoặc riêng biệt để đảm bảo các
    thành phần của kiểm soát nội bộ được áp dụng và thực hiện
    Có 7 điểm trọng tâm, gồm:
    - Cân nhắc các đánh giá những hoạt động thường xuyên và hoạt động riêng biệt.
    - Lựa chọn và phát triển đánh giá thường xuyên và riêng biệt có cân nhắc đến sự thay đổi trong kinh
    doanh và hoạt động kinh doanh.
    - Thiết lập các tiêu chuẩn đánh giá.
    - Sử dụng những nhân sự có kiến thức.
    - Hoạt động đánh giá gắn liền với quá trình kinh doanh.
    - Điều chỉnh quy mô và tần số của việc đánh giá riêng biệt tuỳ theo các rủi ro.
    - Thực hiện đánh giá riêng biệt định kỳ để hỗ trợ các mục tiêu được phản hồi.
    1.4.5.2. Ước lượng và thông báo các khiếm khuyết của kiểm soát nội bộ một cách kịp thời với các bên
    có trách nhiệm để có các giải pháp khắc phục
    Có 3 điểm trọng tâm, gồm:
    - Đánh giá lại kết quả của quá trình đánh giá thường xuyên và riêng biệt.
    - Truyền đạt, báo cáo những khiếm khuyết của hệ thống kiểm soát nội bộ.
    - Giám sát các hoạt động khắc phục.

    17

    You might also like