Professional Documents
Culture Documents
KSNB
KSNB
Từ năm 1992 đến 2013, quan điểm của COSO đã có những điểm thay đổi cơ bản:
● Ngăn ngừa, phát hiện và giảm thiểu các gian lận;
● Ứng dụng sự phát triển của khoa học công nghệ;
● Đáp ứng các nhu cầu, quy định, chuẩn mực;
● Sự thay đổi trong mô hình kinh doanh phù hợp với sự biến động của thế giới;
● Hướng đến sự toàn cầu hóa thị trường và hoạt động kinh doanh mở rộng;
● Tăng cường các chiến lược cạnh tranh và trách nhiệm giải trình trước xã hội;
● Tiếp cận theo hướng mong đợi vào việc quản trị kinh doanh ở tầm vĩ mô.
● Nhóm mục tiêu về hoạt động: được thể hiện thông qua sự hoạt động hữu hiệu
và hiệu quả của việc sử dụng các nguồn lực nội bộ như nhân lực, vật lực và tài
lực.
● Nhóm mục tiêu về báo cáo: gồm báo cáo tài chính và phi tài chính cho người
bên ngoài và bên trong Công ty sử dụng. Mục tiêu đảm bảo tính trung thực,
hợp lý và đáng tin cậy của báo cáo đơn vị đã cung cấp.
● Nhóm mục tiêu về tuân thủ: tuân thủ pháp luật và các quy định, cụ thể là các
quy định pháp luật ban hành và quy định của Công ty.
3. Phân loại KSNB theo COSO:
Theo COSO 1992, có 2 dạng HTKSNB đó là Kiểm soát kế toán tài chính và Kiểm
soát quản lý. Đây là 2 dạng tạo nên hệ đầy đủ của HTKSNB của một tổ chức khi
cùng nhau phân chia đồng đều mỗi dạng có 2 mục tiêu hoạt động, cùng đóng góp vào
sự hoàn thành đúng mục tiêu của HTKSNB chung, mục tiêu của tổ chức đã đặt ra.
4. 17 nguyên tắc mở rộng theo mô hình kết cấu bởi 5 thành phần cấu
thành KSNB dựa theo COSO 1992:
Nguyên tắc 1: Đơn vị thể hiện được cam kết về tính chính trực và giá trị đạo đức.
Nguyên tắc 2: HĐQT chứng minh được sự độc lập với nhà quản lý và thực thi việc
giám sát sự phát triển và hoạt động của KSNB.
Nguyên tắc 3: Nhà quản lý dưới sự giám sát của HĐQT cần thiết lập cơ cấu tổ chức,
quy trình báo cáo, phân định trách nhiệm và quyền hạn nhằm đạt được mục tiêu của
đơn vị.
Nguyên tắc 4: Đơn vị phải thể hiện sự cam kết về việc sử dụng nhân viên có năng lực
thông qua tuyển dụng, duy trì và phát triển nguồn nhân lực phù hợp với mục tiêu của
đơn vị.
Nguyên tắc 5: Đơn vị cần yêu cầu các cá nhân chịu trách nhiệm báo cáo về trách
nhiệm của họ trong việc đáp ứng các mục tiêu của tổ chức.
Nguyên tắc 6: Đơn vị phải thiết lập mục tiêu rõ ràng và đầy đủ để xác định và đánh
giá các rủi ro phát sinh trong việc đạt được mục tiêu của đơn vị.
Nguyên tắc 7: Đơn vị phải nhận diện rủi ro trong việc đạt được mục tiêu của đơn vị,
tiến hành phân tích rủi ro để xác định rủi ro cần được quản lý như thế nào.
Nguyên tắc 8: Đơn vị cần xem xét các loại gian lận tiềm tàng khi đánh giá rủi ro đối
với việc đạt mục tiêu của đơn vị.
Nguyên tắc 9: Đơn vị cần xác định và đánh giá những thay đổi của môi trường ảnh
hưởng đến KSNB.
Nguyên tắc 10: Đơn vị phải lựa chọn và phát triển các hoạt động kiểm soát để góp
phần hạn chế các rủi ro giúp đạt mục tiêu trong giới hạn chấp nhận được.
Nguyên tắc 11: Đơn vị lựa chọn và phát triển các hoạt động kiểm soát chung với công
nghệ hiện đại để hỗ trợ cho việc đạt được các mục tiêu.
Nguyên tắc 12: Đơn vị tổ chức triển khai hoạt động kiểm soát thông qua nội dung các
chính sách đã được thiết lập và triển khai chính sách thành các hành động cụ thể.
Nguyên tắc 13: Đơn vị thu thập, truyền đạt và sử dụng thông tin thích hợp, có chất
lượng để hỗ trợ những bộ phận khác của KSNB.
Nguyên tắc 14: Đơn vị cần truyền đạt trong nội bộ những thông tin cần thiết, bao gồm
cả mục tiêu và trách nhiệm đối với KSNB, nhằm hỗ trợ cho chức năng kiểm soát.
Nguyên tắc 15: Đơn vị cần truyền đạt cho các đối tượng bên ngoài đơn vị về các vấn
đề ảnh hưởng đến KSNB.
Nguyên tắc 16: Đơn vị phải lựa chọn, triển khai và thực hiện việc đánh giá liên tục
hoặc định kỳ để biết chắc rằng liệu những thành phần nào của KSNB có hiện hữu và
đang hoạt động.
Nguyên tắc 17: Đơn vị phải đánh giá và thông báo những yếu kém của KSNB một
cách kịp thời cho các đối tượng có trách nhiệm bao gồm nhà quản lý và HĐQT để có
những biện pháp khắc phục.
17 nguyên tắc trên là kim chỉ nam để hướng dẫn các DN thiết kế một hệ thống KSNB
hiệu quả nhằm mang lại tối đa lợi ích cho DN.
II. Lý thuyết về hiệu quả hoạt động và mối quan hệ giữa KSNB và HQHĐ:
HQHĐ của DN thường được đánh giá và đo lường thông qua hệ thống các chỉ
tiêu về lợi nhuận. Trong nghiên cứu của mình, Hult và cộng sự (2008) đã chỉ ra
HQHĐ của DN là thuật ngữ tổng hợp, có thể đo lường thông qua: hiệu quả tài
chính, hiệu quả kinh doanh và hiệu quả tổng hợp. Hiệu quả tài chính có thể đo
lường thông qua các chỉ tiêu về lợi nhuận (ROA, ROI, ROE, ROS) hay lợi nhuận.
Hiệu quả kinh doanh được đo lường thông qua các chỉ tiêu như thị phần, năng suất
lao động, chất lượng hàng hóa /dịch vụ, mức độ thỏa mãn công việc của người lao
động.
Mối quan hệ giữa KSNB và HQHĐ của các DN:
Trên thế giới có khá nhiều nghiên cứu đã chứng minh mối quan hệ thuận chiều
giữa KSNB và HQHĐ của DN. Hay nói cách khác KSNB hiệu quả giúp đơn vị đạt
được các mục tiêu về sự hữu hiệu và HQHĐ.
Sự yếu kém hay thiếu sót của hệ thống KSNB đều ảnh hưởng tiêu cực đến
HQHĐ của DN. Các yếu kém chung về KSNB như đơn vị có thể kể đến như: thiết kế
biện pháp phòng ngừa rủi ro hoạt động, không phân tích rủi ro, thiếu thông tin thích
hợp, và có vấn đề ủy nhiệm trong tổ chức. Chính vì vậy, việc thiết kế, xây dựng và
vận hành hệ thống KSNB hiệu quả là một trong những mục tiêu quan trọng của
DN.
Đánh giá chất lượng HTKSNB của 1 doanh nghiệp để có HTKSNB hiệu quả:
Doanh nghiệp đã đề ra các biện pháp, kế hoạch, quy trình hành động cụ thể
nhằm giảm thiểu tác hại của rủi ro đến một giới hạn chấp nhận nào đó, hoặc
doanh nghiệp đã có biện pháp để toàn thể nhân viên nhận thức rõ ràng về tác hại của
rủi ro cũng như giới hạn rủi ro tối thiểu mà tổ chức có thể chấp nhận được.
Và muốn doanh nghiệp hoạt động hiệu quả, nó phải có đủ năm thành phần và từng
thành phần phải hoạt động hiệu quả, cụ thể là:
1. Môi trường kiểm soát: (Nguyên tắc 1,2,3,4,5)
Môi trường kiểm soát là thành phần quan trọng nhất của ERM và khuôn khổ kiểm
soát nội bộ. Đây là môi trường mà trong đó toàn bộ hoạt động kiểm soát nội bộ được
triển khai và có ảnh hưởng đến nhận thức kiểm soát của tất cả các nhân viên trong
công ty. Hay nói cách khác, môi trường kiểm soát được xem là những nhân tố của
công ty ảnh hưởng đến hoạt động của HTKSNB và là các yếu tố tạo môi trường trong
đó toàn bộ thành viên của công ty nhận thức được tầm quan trọng của HTKSNB.
Môi trường bên trong bao gồm các mục như sau:
1. Triết lý, phong cách điều hành và xu hướng rủi ro của Ban Giám đốc
2. Sự tham gia của Ban quản trị
3. Cam kết về các giá trị đạo đức, tính chính trực và năng lực
4. Cơ cấu tổ chức
5. Phân công quyền hạn và trách nhiệm
6. Tiêu chuẩn về nguồn nhân lực
7. Các ảnh hưởng bên ngoài
Môi trường này chỉ tốt nếu các nội dung sau được đảm bảo:
– Doanh nghiệp đã ban hành dưới dạng văn bản các quy tắc, chuẩn mực phòng ngừa
ban lãnh đạo và các nhân viên lâm vào tình thế xung đột quyền lợi với doanh nghiệp,
kể cả việc ban hành các quy định xử phạt thích hợp khi các quy tắc chuẩn mực này bị
vi phạm.
– Doanh nghiệp đã phổ biến rộng rãi các quy tắc, chuẩn mực nêu trên, đã yêu cầu tất
cả các nhân viên ký bản cam kết tuân thủ những quy tắc, chuẩn mực được thiết lập.
– Tư cách đạo đức, hành vi ứng xử và hiệu quả công việc của lãnh đạo là tấm gương
sáng để nhân viên noi theo.
– Doanh nghiệp có sơ đồ tổ chức hợp lý đảm bảo công tác quản lý (lập kế hoạch, tổ
chức, quản lý nhân sự, lãnh đạo và kiểm soát) được triển khai chính xác, kịp thời, hiệu
quả.
– Doanh nghiệp có bộ phận KSNB hoạt động theo các chuẩn mực của kiểm toán Nhà
nước và kiểm toán quốc tế. Bộ phận kiểm toán nội bộ phải có khả năng hoạt động hữu
hiệu do được trực tiếp báo cáo độc lập, cởi mở với cơ quan kiểm toán cấp trên hoặc
với các lãnh đạo cao cấp của tổ chức.
– Doanh nghiệp có các văn bản quy định chung cũng như hướng dẫn cụ thể trong hoạt
động quản lý tổng thể và trong các hoạt động chuyển ngân.
– Doanh nghiệp có hệ thống văn bản thống nhất quy định chi tiết việc tuyển dụng, đào
tạo, đánh giá nhân viên, đề bạt, trả lương, phụ cấp để khuyến khích mọi người làm
việc liêm chính, hiệu quả.
– Doanh nghiệp đã sử dụng “Bản mô tả công việc” quy định rõ yêu cầu kiến thức và
chất lượng nhân sự cho từng vị trí trong tổ chức.
– Doanh nghiệp không đặt ra những chuẩn mực, tiêu chí thiếu thực tế hoặc những
danh sách ưu tiên, ưu đãi, lương thưởng bất hợp lý tạo cơ hội cho các hành vi vô kỷ
luật, gian dối, bất lương.
– Doanh nghiệp đã áp dụng những quy tắc, công cụ kiểm toán phù hợp với những
chuẩn mực thông dụng đã được chấp nhận cho loại hình hoạt động sản xuất kinh
doanh của mình đảm bảo kết quả kiểm toán không bị méo mó sai lệch do sử dụng các
chuẩn mực, công cụ kiểm toán không phù hợp.
– Doanh nghiệp thường xuyên luân chuyển nhân sự trong các khu vực vị trí nhạy cảm.
Quan tâm, nhắc nhở, bảo vệ quyền lợi của những người làm việc trong các khu vực vị
trí độc hại, nặng nhọc theo đúng quy định
2. Đánh giá rủi ro: (Nguyên tắc 6,7,8,9)
Thành phần thứ tư và thứ năm của chế độ ERM của COSO là đánh giá rủi ro và xử lý
rủi ro. Trong đó:
● Những rủi ro tồn tại trước khi Ban Giám đốc thực hiện bất kỳ bước nào để
kiểm soát khả năng xảy ra hoặc tác động của một rủi ro được gọi là rủi ro đã
tồn tại.
● Rủi ro tồn tại sau khi Ban Giám đốc thực hiện các biện pháp kiểm soát nội bộ
hoặc xử lý rủi ro gọi là rủi ro còn lại.
Đánh giá rủi ro là một quy trình động và tác động lẫn nhau nhằm nhận diện và phân
tích các rủi ro để đạt được các mục tiêu của tổ chức, hình thành nền tảng cho việc
quyết định các rủi ro nên được quản lý, xử lý như thế nào.
Không lệ thuộc vào quy mô, cấu trúc loại hình hay vị trí địa lý, bất kỳ tổ chức nào khi
hoạt động mọi doanh nghiệp đều phải đối mặt với các loại rủi ro. Để hạn chế những
thiệt hại do rủi ro gây ra, các nhà quản lý cần tuân thủ quy trình đánh giá rủi ro bao
gồm:
● Xác định mục tiêu của doanh nghiệp;
● Nhận dạng các rủi ro hiện hữu và tiềm ẩn có thể ảnh hưởng đến việc thực hiện
mục tiêu của doanh nghiệp,
● Phân tích mức độ ảnh hưởng của chúng kể cả tần suất xuất hiện;
● Xác định các biện pháp để quản lý và giảm thiểu tác hại của chúng.
Để đánh giá rủi ro thì điều DN cần làm là xác định mục tiêu để nhận dạng và phân tích
rủi ro - đây là trọng tâm của KSNB, từ đó DN mới có thể quản trị rủi ro.
Sau các bước xác định rủi ro, phân tích rủi ro, đánh giá rủi ro thì bước cuối cùng là xử
lý rủi ro nhằm mục đích lựa chọn được các phương án xử lý rủi ro để tối ưu hóa hoạt
động kinh doanh và đảm bảo hồ sơ rủi ro của doanh nghiệp nằm trong mức độ rủi ro
chấp nhận được.
Mô hình ERM chỉ ra rằng có bốn cách để xử lý với rủi ro:
● Giảm rủi ro: bằng cách tăng cường việc sử dụng hệ thống kiểm soát nội bộ
nhằm làm giảm khả năng xuất hiện hoặc sự tác động của rủi ro xuống mức có
thể chấp nhận.
● Tránh rủi ro: bằng việc không tiến hành một số hoạt động
● Chấp nhận rủi ro: nếu rủi ro không lớn
● Chuyển giao rủi ro cho tổ chức khác: như mua bảo hiểm, góp vốn liên doanh,
đấu thầu lại.
3. Các hoạt động kiểm soát (Nguyên tắc 10,11,12)
Thành phần thứ sáu của mô hình ERM của COSO là các hoạt động kiểm soát, các
chính sách, các thủ tục và quy tắc cung cấp sự đảm bảo hợp lý rằng sự kiểm soát của
ban giám đốc về các mục tiêu được đáp ứng và các biện pháp ứng phó rủi ro được
thực hiện.
Những hoạt động kiểm soát có thể được gộp thành hai nhóm chính đó là kiểm soát
phòng ngừa và kiểm soát phát hiện. Kiểm soát phòng ngừa được thể hiện ở việc thiết
lập những chính sách và thủ tục mang tính chuẩn mực, phân công trách nhiệm hợp lý
và ủy quyền, phê duyệt. Kiểm soát phát hiện được thể hiện dưới dạng thực hiện báo
cáo đặc biệt, đối chiếu hay kiểm tra định kỳ.
● Phân chia trách nhiệm thích hợp: khi phân chia không cho phép một cá nhân
hay một bộ phận nào được thực hiện toàn bộ quy trình nghiệp vụ mà phải phân
chia cho nhiều bộ phận tham gia. Mặt khác các chức năng của một doanh
nghiệp: chức năng ghi sổ, chức năng kiểm soát, chức năng thực hiện, chức
năng bảo quản tài sản phải được phân chia trách nhiệm thích hợp.
● Phê chuẩn đúng đắn: tất cả các nghiệp vụ hoạt động đều phải được phê chuẩn
bởi các cấp quản lý trong phạm vi quyền hạn cho phép. Đối với phê chuẩn
chung thì phải đưa ra được các chính sách chung để cấp dưới thực hiện và khi
thực hiện thì không cần phải xét duyệt lần nữa. Riêng đối với phê chuẩn cụ thể
thì người quản lý phải phê chuẩn cho từng nghiệp vụ một cách cụ thể.
● Kiểm soát hệ thống sổ sách, chứng từ : phải đạt các chỉ tiêu:
Về kiểm soát chứng từ:
1. Biểu mẫu chứng từ đầy đủ , rõ ràng
2. Đánh số trước liên tục
3. Lập kịp thời
4. Lưu chuyển chuyển chứng từ khoa học
5. Bảo quản và lưu chữ chứng từ
Về kiểm soát sổ sách
1. Thiết kế sổ sách
2. Ghi chép kịp thời, chính xác
3. Bảo quản và lưu chữ
● Kiểm soát vật chất:
- Phải hạn chế được việc tiếp cận tài sản bằng cách sử dụng các thiết bị bảo vệ,
hạn chế người tiếp cận và bảo vệ thông tin.
- Kiểm kê đúng giá trị của tài sản, xác định được quyền đối với tài sản đó
● Kiểm tra độc lập việc thực hiện: Khi tiến hành kiểm tra lại việc thực hiện các
loại thủ tục kiểm soát khác phải xác định được chúng có đầy đủ hay không, có
mang lại hiệu quả hay không để có thể phát hiện các biến động bất thường, tìm
ra nguyên nhân và xử lý kịp thời.
4. Thông tin và truyền thông: (Nguyên tắc 13,14,15)
Thông tin và truyền thông liên quan đến việc tạo lập một hệ thống thông tin và truyền
thông hữu hiệu trong toàn doanh nghiệp, phục vụ việc thực hiện các mục tiêu kiểm
soát. Thông tin và truyền thông cần được thực hiện xuyên suốt theo chiều từ trên
xuống và từ dưới lên nhằm hỗ trợ việc xác định, phản ánh và trao đổi thông tin đúng
hạn và theo mẫu, giúp nhân viên thực hiện tốt nhiệm vụ:
● Xác định loại nghiệp vụ: không được ghi chép nghiệp vụ không có thực vào sổ
sách kế toán.
● Các nghiệp vụ chủ yếu: đảm bảo mọi nghiệp vụ phải được phê chuẩn hợp lý.
● Ghi nhận nghiệp vụ: đảm bảo mọi nghiệp vụ phát sinh đều được ghi chép đầy
đủ.
● Phân loại và tổng hợp nghiệp vụ: đảm bảo việc ghi chép vào đúng tài khoản và
sổ sách theo chế độ.
4.1 Thông tin
Bao gồm hệ thống các hệ thống thu nhận, xử lý, ghi chép thông tin, tổng hợp, báo cáo
các nghiệp vụ kinh tế trong doanh nghiệp và các thông tin từ bên ngoài doanh nghiệp.
Hệ thống thông tin bao gồm: cơ sở hạ tầng, phần mềm, con người, các thủ tục (thủ
công hoặc tự động) và dữ liệu nhằm đảm bảo chất lượng thông tin.
Chất lượng hệ thống thông tin chỉ đạt được khi các nội dung sau được đảm bảo:
● DN thường xuyên cập nhật các thông tin quan trọng cho ban lãnh đạo và những
người có thẩm quyền
● Hệ thống truyền thông của DN đảm bảo cho nhân viên ở mọi cấp độ đều có thể
hiểu và nắm rõ các nội quy, chuẩn mực của tổ chức; đảm bảo thông tin được
cung cấp kịp thời, chính xác đến các cấp có thẩm quyền theo quy định.
● DN đã thiết lập các kênh thông tin nóng, cho phép nhân viên báo cáo về các
hành vi, sự kiện bất thường có khả năng gây thiệt hại cho DN.
● DN đã lắp đặt hệ thống bảo vệ số liệu phòng ngừa sự truy cập, tiếp cận của
những người không có thẩm quyền.
● DN đã xây dựng các chương trình, kế hoạch phòng chống thiên tai, hiểm họa
hoặc kế hoạch ứng cứu sự cố mất thông tin số liệu.
4.2 Truyền thông
Là việc cung cấp thông tin đến các đối tượng sử dụng nhằm:
● Duy trì sự truyền thông hữu hiệu về trách nhiệm và nghĩa vụ của mỗi thành
viên
● Thiết lập các kênh thông tin ghi nhận các hạn chế hay yếu kém trong các hoạt
động
● Xem xét và chấp nhận những kiến nghị của nhân viên trong việc cải tiến hoạt
động
● Bảo đảm truyền thông giữa các bộ phận
● Mở rộng truyền thông với bên ngoài
● Phổ biến cho các đối tác về các về các tiêu chuẩn đạo đức của đơn vị
● Theo dõi phản hồi thông tin