Các hoạt động chính của COSO - Sứ mệnh Ban tổ chức bảo trợ COSO có nhiệm vụ là cung cấp cho lãnh đạo tư tưởng thông qua sự phát triển của khuôn khổ toàn diện và hướng dẫn về quản lý rủi
Trang 1TÌM HIỂU VỀ COSO VÀ KIỂM SOÁT NỘI BỘ
TRONG DOANH NGHIỆP
I- Tổng quan về COSO
1 COSO là gì?
COSO ( Committee Of Sponsoring Organization) là một ủy ban thuộc Hội đồng quốc gia Hoa kỳ về việc chống gian lận về báo cáo tài chính ( National Commission on Finalcial Reporting, hay còn được gọi là Treadway Commission) COSO được thành lập nhằm nghiên cứu về kiểm soát nội bộ, cụ thể là:
Thống nhất định nghĩa về kiểm soát nội bộ để phục vụ cho nhu cầu của các đối tượng khác nhau
Công bố đầy đủ một hệ thống tiêu chuẩn để giúp các đơn vị có thể đánh giá hệ thống kiểm soát của họ và tìm giải pháp để hoàn thiện
Báo cáo của COSO được công bố dưới tiêu đề: Kiểm soát nội bộ - Khuôn khổ hợp nhất ( Internal Control – Intergrated Framework)
2 Các hoạt động chính của COSO
- Sứ mệnh
Ban tổ chức bảo trợ (COSO) có nhiệm vụ là cung cấp cho lãnh đạo tư tưởng thông qua sự phát triển của khuôn khổ toàn diện và hướng dẫn về quản lý rủi ro doanh nghiệp, kiểm soát nội bộ và ngăn chặn gian lận được thiết kế để cải thiện hiệu suất tổ chức và quản
lý nhà nước và làm giảm mức độ gian lận trong tổ chức
- Tầm nhìn
Tầm nhìn của COSO là phải được các nhà lãnh đạo suy nghĩ thừa nhận trên thị trường toàn cầu về sự phát triển của hướng dẫn trong các lĩnh vực rủi ro và kiểm soát cho phép quản lý tốt tổ chức và giảm sự gian lận
- Lịch sử
Trang 2COSO được tổ chức vào năm 1985 để tài trợ cho Uỷ ban quốc gia về báo cáo tài chính gian lận,khởi đầu cho một lĩnh vực riêng độc lập để nghiên cứu các yếu tố nhân quả có thể dẫn đến báo cáo tài chính gian lận Nó cũng được phát triển và khuyên dùng rộng rãi cho các công ty và kiểm toán độc lập của họ, cho SEC( Ủy ban chứng khoán Mỹ) hoặc là những người điều khiển khác và cho ngành giáo dục
Ủy ban quốc gia được tài trợ bởi năm tổ chức có trụ sở tại Hoa Kỳ: Hiệp hội Kế toán
Mỹ (AAA), Viện Kế toán viên công chứng Hoa Kỳ (AICPA), Quản trị viên tài chính quốc
tế (FEI), Viện Kiểm toán viên nội bộ (IIA ), và Hiệp hội Kế toán Quốc gia (nay là Viện Quản lý Kế toán IMA) Mỗi tổ chức hoàn toàn độc lập, Ủy ban bao gồm đại diện từ ngành công nghiệp, kế toán công khai, các công ty đầu tư và Sở Giao dịch chứng khoán New York
(the American Accounting Association (AAA), the American Institute of Certified Pub-lic Accountants (AICPA), Financial Executives International (FEI), The Institute of Internal Auditors (IIA), and the National Association of Accountants (now the Institute of Manage-ment Accountants [IMA]))
Chủ tịch đầu tiên của Ủy ban Quốc gia là James C Treadway, Jr, Phó Chủ tịch và Tổng
Cố Vấn, Paine Webber Incorporated và một cựu Ủy viên của Ủy ban Chứng khoán và Hối đoái Mỹ Do đó được đặt tên là "Treadway Commission" Hiện nay, Chủ tịch COSO là David Landsittel
Mục tiêu của COSO là cung cấp cho lãnh đạo tư tưởng đối phó với ba đối tượng liên quan đến nhau: quản lý rủi ro doanh nghiệp (ERM), kiểm soát nội bộ, và ngăn chặn gian lận
Về ERM, năm 2004 COSO ban hành quản lý rủi ro doanh nghiệp - Tích hợp cơ cấu tổ
chức COSO cũng đã xuất bản một số giấy tờ bắt đầu từ năm 2009 liên quan đến ERM.
Về kiểm soát nội bộ, vào năm 1992 COSO xuất bản Kiểm soát nội bộ - Tích hợp cơ cấu
tổ chức Sau đó, vào năm 1996 COSO ban hành vấn đề kiểm soát nội bộ trong cách sử dụng thông thường Trong năm 2006, COSO xuất bản kiểm soát nội bộ trên báo cáo tài
Trang 3chính - Hướng dẫn cho các công ty nhỏ hơn,tiếp theo là Hướng dẫn về giám sát hệ thống kiểm soát nội bộ được công bố trong năm 2009 Vào cuối năm 2010, COSO công bố một
dự án để cập nhật cho bản Kiểm soát nội bộ - Tích hợp cơ cấu tổ chức năm 1992
Cuối cùng, trong lĩnh vực ngăn chặn gian lận, COSO đã xuất bản hai nghiên cứu
Nghiên cứu đầu tiên phát hành năm 1999 có tiêu đề báo cáo tài chính gian lận: 1987-1997 Một nghiên cứu tiếp tục được gọi là báo cáo tài chính gian lận: 1998-2007 đã được phát
hành trong năm 2010
- Hoạt động điều hành
COSO là một ủy ban của năm tổ chức tài trợ có đại diện đến với nhau theo định kỳ để làm việc trên các dự án cụ thể Dự án của COSO được thực hiện, xem xét và hoàn thiện theo quy định với các chính sách đã đồng ý của các tổ chức tài trợ
Các thành viên Ủy ban: Mỗi tổ chức tài trợ sẽ chỉ định một cá nhân là đại diện của mình
ở COSO Mỗi tổ chức tài trợ sẽ xác định các tiêu chuẩn và đặc điểm riêng của nó để bổ nhiệm một thành viên (ví dụ, chiều dài, thời gian của nhân viên hoặc người tiên phong, vv) Thành viên Ủy ban chịu trách nhiệm về chiến lược của COSO, kinh phí và khuôn khổ phát triển, các nghiên cứu và hướng dẫn Thành viên Ủy ban dự kiến sẽ được trao quyền, có sự tham gia và đánh giá cao sự hỗ trợ cho nhiệm vụ của COSO
Các cuộc họp Ủy ban và các kỳ vọng: Thành viên Ủy ban phải cố gắng triệu tập hàng quý để xem xét lại chiến lược của COSO, hiệu suất tài chính và hoạt động, cải tiến quy trình liên tục và bất kỳ doanh nghiệp khác như tiến độ công việc hoặc dự án mới COSO, với những lý do khác nhau, sẽ luân phiên các cuộc họp hàng quý tại các địa điểm gần nhau của các tổ chức tài trợ, với một hội nghị cũng là một lựa chọn tùy thuộc vào chương trình bàn luận
Chủ tịch COSO : Chủ tịch COSO được bổ nhiệm bởi cuộc bỏ phiếu nhất trí của các thành viên của tổ chức tài trợ Nhiệm kỳ của Chủ tịch là ba năm, thêm một năm nữa nếu có
sự thoả thuận của Chủ tịch và biểu quyết bởi các thành viên Ủy ban COSO
Trang 4Bổ nhiệm các đại diện: COSO có thể hình thành các tiểu ban hoặc các nhóm công tác theo quyết định của mình để tư vấn cho COSO về các vấn đề hướng dẫn, dự án nghiên cứu Tại quyết định của mình, COSO có thể chọn để truyền đạt các mục tiêu, phân phối hợp lý
và yêu cầu tài nguyên cho các ủy ban, các nhiệm vụ
Ngiên cứu và hướng dẫn dự án: COSO có thể chọn bên thứ ba tham gia để tiến hành nghiên cứu và thay mặt cho COSO Nghiên cứu phải phù hợp với nhiệm vụ của COSO Bổ nhiệm và các điều khoản bồi thường đòi hỏi sự chấp thuận nhất trí của các thành viên Ủy ban COSO Một thành viên ủy ban của COSO có thể tiến hành nghiên cứu nhưng phải xét lại bản thân mình từ quá trình bỏ phiếu
Thực hiện chức năng hành chính cho COSO: Kể từ khi COSO là một ủy ban được tài trợ bởi các tổ chức khác, có một nhu cầu nhất định cho các chức năng hành chính của ủy ban được thực hiện bởi một hoặc nhiều của các tổ chức tài trợ hoặc các bên thứ ba Trách nhiệm của từng tổ chức có thể thay đổi theo thời gian để phản ánh hoặc những trách nhiệm mới hoặc để cân bằng sự hỗ trợ tổng thể hành chính của từng tổ chức tài trợ Một số dịch vụ cung cấp cho COSO bao gồm: kế toán, cấp phép, quan hệ công chúng, bản quyền, phát triển trang web, giám sát dịch tài liệu, hỗ trợ hành chính và nghiên cứu
- Chức năng: COSO được thành lập để kiểm tra, phân tích, và đưa ra các khuyến nghị
về báo cáo tài chính doanh nghiệp gian lận
II- Kiểm soát nội bộ (KSNB)
1 Tại sao cần phải kiểm soát nội bộ?
Trong một tổ chức bất kỳ, sự thống nhất và xung đột quyền lợi chung - quyền lợi riêng của người sử dụng lao động với người lao động luôn tồn tại song hành Nếu không có hệ thống kiểm soát nội bộ, làm thế nào để người lao động không vì quyền lợi riêng của mình
mà làm những điều thiệt hại đến lợi ích chung của toàn tổ chức, của người sử đụng lao động? Làm sao quản lý được các rủi ro? Làm thế nào có thề phân quyền, ủy nhiệm, giao việc cho cấp dưới một cách chính xác, khoa học chứ không phải chỉ dựa trên sự tin tưởng cảm tính?
Trang 5Công ty bạn có định hướng phát triển tốt, có chiến lược kinh doanh khôn khéo và bạn cũng có một đội ngủ nhân viên giỏi nghề Thật tuyệt vời! Nhưng bạn có dám chắc rằng những ý tưởng của bạn sẽ được mọi người thực thi một cách hoàn hảo, nghĩa là đem lại hiệu quả và thành công như mong muốn?
Và điều quan trọng hơn là làm cách nào để ngăn chặn những việc làm gian dối, không minh bạch của nhân viên? Với tư cách là người chủ doanh nghiệp, bạn có cho rằng việc thiết lập một hệ thống kiểm soát nội bộ là cần thiết?
Một thực trạng khá phổ biến hiện nay là phương pháp quản lý của nhiều công ty còn lỏng lẻo, khi các công ty nhỏ được quản lý theo kiểu gia đình, còn những công ty lớn lại phân quyền điều hành cho cấp dưới mà thiếu sự kiểm tra đầy đủ Cả 2 mô hình này đều dựa trên sự tin tưởng cá nhân và thiếu những quy chế thông tin, kiểm tra chéo giữa các bộ phận
để phòng ngừa gian lận
Thiết lập một hệ thống kiểm soát nội bộ chính là thiết lập một cơ chế giám sát mà ở đó bạn không quản lý bằng lòng tin, mà bằng những quy định rõ ràng nhằm:
Giảm bớt nguy cơ rủi ro tiềm ẩn trong kinh doanh ( sai sót vô hình gây thiệt hại, các rủi ro làm chậm kế hoạch, tăng giá thành, giảm chất lượng sản phẩm…)
Bảo về tài sản khỏi bị hư hỏng, mất mát, hao hụt, gian lận, lừa gạt, trộm cắp…
Đảm bảo tính chính xác của các số liệu kế toán và báo cáo tài chính
Đảm bảo mọi thành viên tranh thủ nội quy của công ty cũng như các quy định của luật pháp
Đảm bảo sử dụng tối ưu các nguồn lực và đạt được mục tiêu đề ra
Bảo vệ quyền lợi của nhà đầu tư, cổ đông và gây dựng lòng tin đối với họ
2 Khái niệm kiểm soát nội bộ
2.1 Theo chuẩn mực kiểm toán quốc tế
Kiểm soát nội bộ là quá trình được thực hiện bởi Hội đồng quản trị, nhà quản lý và nhân viên khác và được thiết lập nhằm cung cấp một sự bảo đảm hợp lý để đạt được những mục tiêu của đơn vị như:
Trang 6- Hoạt động hữu hiệu và hiệu quả kinh doanh
- Thông tin đáng tin cậy
- Sự tuân thủ luật và qui định hiện hành
2.2 Theo chuẩn mực kiểm toán Việt Nam
Hệ thống KSNB là các quy định và các thủ tục kiểm soát do đơn vị được kiểm toán xây dựng và áp dụng nhằm bảo đảm cho đơn vị tuân thủ pháp luật và các qui định, để kiểm tra, kiểm soát, ngăn ngừa và phát hiện gian lận, sai sót; để lập báo cáo tài chính trung thực và hợp lý; nhằm bảo vệ, quản lý và sử dụng có hiệu quả tài sản của đơn vị Hệ thống kiểm soát nội bộ bao gồm môi trường kiểm soát, hệ thống kế toán và các thủ tục kiểm soát
3 Các thành phần chính của hệ thống KSNB
Theo COSO hệ thống KSNB được cấu thành do 5 bộ phận:
3.1 Môi trường kiểm soát
Là những yếu tố của công ty ảnh hưởng đến hoạt động của hệ thống kiểm soát nội bộ
và là các yếu tố tạo ra môi trường mà trong đó toàn bộ thành viên của công ty nhận thức được tầm quan trọng của hệ thống kiểm soát nội bộ Để tìm hiểu và đánh giá môi trường kiểm soát cần tìm hiểu các nhân tố sau:
Triết lý quản lý và phong cách hoạt động: Bao gồm sự tiếp cận, khả năng nhận
thức và giám sát rủi ro tronh kinh doanh, quan điểm về tính chính xác của dữ liệu
kế toán, quan điểm về khả năng đạt được các dự toán ngân sách hay thực hiện được các mục tiêu hoạt động
Sự trung thực và các giá trị đạo đức: Sự trung thực và các giá trị đạo đức được
tôn trọng thì các sai phạm sẽ được hạn chế Các nhà quản lý phải xây dựng và phổ biến rộng rãi các quan điểm, các quy tắc, các giá trị đạo đức cho toàn tổ chức
Trang 7 Chính sách nhân sự: Chính sách nhân sự ảnh hưởng quan trọng đến trình độ,
phẩm chất cũng như các giá trị đạo đức của toàn thể nhân viên trong một tổ chức Chính sách nhân sự bao gồm chính sách tuyển dụng, đào tạo, tiền lương, giám sát, khen thưởng, kỷ luật, luân chuyển nhân viên
Cơ cấu tổ chức: Cơ cấu tổ chức của một tổ chức cung cấp bộ khung chung cho
các nhà quản lý lập kế hoạch, thực hiện kế hoạch, kiểm soát, giám sát hoạt động Một cơ cấu tổ chức tốt thể hiện thong qua sự thể hiện cụ thể, rõ rang và đầy đủ các chức năng, quyền hạn, nghĩa vụ của từng bộ phận trong tổ chức
Hội đồng quản trị và ban kiểm soát: Khi ủy ban kiểm soát có sự độc lập với tổ
chức, các hoạt động kiểm soát sẽ hữu hiệu hơn vè hệ thống kiểm soát nội bộ sẽ đảm bảo tính hữu hiệu Ủy ban kiểm soát sẽ thông tin và cảnh báo đến hội đồng quản trị các rủi ro hay các tồn tại có thể xảy ra trước khi trở nên nghiêm trọng
Trình độ và phẩm chất đội ngũ cán bộ nhân viên: Để thực hiện tốt các nhiệm
vụ được giao, các nhân viên của một tổ chức cần có kiến thức, các kỹ năng và các kinh nghiệm cần thiết Phẩm chất đạo đức cũng là một yếu tố quan trọng
Cách thức phân định quyền hạn và trách nhiệm: Các nhà quản lý xác lập
quyền hạn và trách nhiệm cho các cấp quản lý nhằm thực hiện các hoạt động, xác lập các mối quan hệ báo cáo và xây dựng các phương pháp ủy quyền Việc xác lập quyền hạn và trách nhiệm cần thực hiện bằng văn bản và triển khai cho toàn
tổ chức
Các nhân tố bên ngoài: Môi trường kiểm soát có thể chịu ảnh hưởng của các
nhân tố đến từ bên ngoài một tổ chức như các thay đổi môi trường kinh doanh, các thay đổi của hệ thống luật pháp hay các thay đổi của chế độ kế toán Khi phân tích, đánh giá môi trường kiểm soát càn phải xem xét đánh giá mức độ anh hưởng của các nhân tố bên ngoài tổ chức
3.2 Đánh giá rủi ro
Các rủi ro làm cho mục tiêu của tổ chức có thể không đạt được Các rủi ro xảy ra có thể
do rất nhiều nguyên nhân đến từ cả bên ngoài và bên trong tổ chức, rủi ro có thể là rủi ro do chủ quan hay khách quan Nhà quản lý phải quyết định rủi ro nào là có thể chấp nhận và
Trang 8phải làm gì để quản lý rủi ro Để làm được điều này nhà quản lý phải thực hiện các công việc sau:
Thiết lập các mục tiêu của tổ chức: Các mục tiêu này bao gồm mục tiêu chung của
tổ chức và mục tiêu riêng của từng bộ phận hay từng hoạt động, từng giai đoạn
Nhận dạng, phân tích rủi ro khiến tổ chức không thể đạt được các mục tiêu Các
rủi ro này có thể phát sinh từ môi trường kinh doanh hay từ các chính sách của tổ chức Các khả năng rủi ro có thể đến do các mối đe dọa sau:
- Chiến lược kinh doanh sai lầm
- Các hoạt động không được thực hiện đúng
- Các rủi ro về tài chính
- Các rủi ro về thông tin
- Chọn lựa và sử dụng công nghệ không phù hợp
- Sự truy cập hệ thống bất hợp pháp
- Ngăn chặn, phá hủy dữ liệu đang được truyền tải
- Dữ liệu của hệ thống không đồng bộ hay không được tích hợp
- Truyền tải dữ liệu không hoàn chỉnh
- Hệ thống bị sự cố như lỗi phần cứng, phần mềm, bị cúp điện
- Hệ thống không tương thích với hệ thống khác
Sau khi xác định các nguy cơ có thể có, các nhà quản lý cần đánh giá rủi ro, ước tính các thiệt hại và các khả năng khắc phục thiệt hại, xác định các thủ tục kiểm soát cần thiết
3.3 Các hoạt động kiểm soát
Các hoạt động kiểm soát là những chính sách, thủ tục giúp cho việc thực hiện các chỉ đạo của người quản lý, đảm bảo có các hành động cần thiết để quản lý các rủi ro có thể phát sinh trong quá trình thực hiện mục tiêu Các hoạt động kiểm soát thường bao gồm:
Phân chia trách nhiệm đầy đủ
Để kiểm soát nội bộ hiệu quả, một cá nhân không được thực hiện quá nhiều trách nhiệm và trách nhiệm cảu từng cá nhân cần được xác định và phân chia đầy đủ, rõ rang, khi phân trách nhiệm các chức năng sau cần được tách biệt;
- Chức năng phê chuẩn nghiệp vụ
- Chức năng ghi chép
Trang 9- Chức năng bảo quản tài sản
Ủy quyền đúng đắn cho các nhiệm vụ hoặc các hoạt động Các nhà quản lý
không có đủ thời gian để giám sát, quản lý tất cả công tác Họ thiết lập các chính sách, các quy định để nhân viên tuân theo, đồng thời trao quyền cho các nhân viên thực hiện các hoạt động hay đê ra các quyết định Việc này được gọi là sự ủy quyền cho các nghiệp vụ hoặc các hoạt động
Ví dụ: Ủy quyền xét duyệt nợ phải thu của khách hàng
Kiểm soát hệ thống và quá trình xử lý thông tin Kiểm soát quá trình xử lý thông
tin là kiểm soát ứng dụng, bao gồm các thủ tục kiểm soát dữ liệu và nhập liệu đầu vào, kiểm soát quá trình xử lý dữ liệu và kiểm soát kết xuất
Ví dụ: Qui trình kiểm soát truy cập hệ thống
Kiểm tra độc lập và soát xét việc thực hiện Kiểm tra nhằm đảm bảo các nghiệp
vụ được thực hiện, xử lý chính xác là một thành phần quan trọng của kiểm soát Việc kiểm tra này cần thực hiện một cách độc lập để đảm bảo tính hữu hiệu Được gọi là kiểm tra độc lập khi người thực hiện kiểm tra không phải là chuẩn y, người thực hiện nghiệp vụ hay người ghi sổ kế toán Kiểm tra độc lập bao gồm các hoạt động sau:
- Đối chiếu hai quá trình ghi chép độc lập, ví dụ: đối chiếu số liệu giữa kế toán tiền
và số liệu của ngân hang
- So sánh giữa số thực tế và số liệu được ghi chép trên sổ sách
- Thực hiện tốt việc ghi sổ kép
- Xem xét đánh giá độc lập quá trình xử lý nghiệp vụ, ví dụ: quy định kiểm tra chứng từ trước khi ghi sổ
Kiểm tra độc lập cần được tiến hành đồng thời với quá trình soát xét việc thực hiện, soát xét lại việc thực hiện được tiến hành thông qua việc so sánh giữa kế hoạch với thực hiện, giữa dự toán với thực tế
Thiết kế và sử dụng các chứng từ và sổ phù hợp Đảm bảo cho việc ghi chép
chính xác và đầy đủ tất cả các dữ liệu cần thiết của một nghiệp vụ kinh tế Hình thức
và nội dung của chứng từ và sổ không nên quá phức tạp, phải dễ ghi, dễ kiểm tra đối chiếu và hạn chế tối đa các sai sót trong quá trình ghi chép Nội dung của chứng từ
và sổ cần thể hiện đầy đủ các yếu tố hỗ trợ cho kiểm soát, ví dụ: khả năng cung cấp
Trang 10dấu vết kiểm toán.
Đảm bảo an toàn cho tài sản vật chất và thông tin Hiện nay thông tin cũng được
xem là tài sản quan trọng của tổ chức Do đó cần phải thiết lập các thủ tục kiểm soát đảm bảo an toàn cho vật chất và thông tin An toàn về mặt vật lý thường bao gồm các thủ tục kiểm soát:
- Giám sát quản lý một cách hiệu quả và phân chia trách nhiệm đầy đủ
- Ghi chép và theo dõi chính xác, đầy đủ các biến động của tài sản vật chất và thông tin
- Hạn chế tiếp cận vật chất đối với tài sản, tiếp cận với thông tin được lưu trữ
- Bảo vệ sổ sách, các tập tin, tài liệu và chứng từ kế toán
- Kiểm soát môi trường làm việc trong tổ chức
- Giới hạn tiếp cận với trung tâm dữ liệu
3.4 Thông tin và truyền thông
Tất cả các cấp quản lý và tác nghiệp trong một tổ chức đều cần thông tin để có thể hoàn thành trách nhiệm của mình Hệ thống thông tin nhận dạng, ghi nhận xử lý và cung cấp thông tin cần thiết cho người sử dụng thông tin
Truyền thông là sự chuyển giao, truyền đạt và cung cấp thông tin cho cả nội bộ tổ chức lần bên ngoài
Thông tin và truyền thông dảm bảo cho kiểm soát có thể được thực hiện một cách hiệu quả và ngược lại, kiểm soát tốt sẽ đảm bảo sự an toàn và trung thực của thông tin
Hệ thống thông tin trong một tổ chức bao gồm nhiều phân hệ, trong đó hệ thống thông tin
kế toán đóng vai trò quan trọng Một hệ thống thông tin kế toán được thiết kế tốt sẽ đáp ứng yêu cầu phát hiện và ngăn chặn các rủi ro, gian lận
3.5 Giám sát
Giám sát là một quá trình đánh giá chất lượng thực hiện kiểm soát nội bộ một cách liên tục, giúp cho kiểm soát nội bộ luôn duy trì được sự hữu hiệu của mình qua các giai đoạn khác nhau Giám sát bao gồm giám sát thường xuyên và sự đánh giá độc lập Giám sát thường xuyên diễn ran gay trong quá trình hoạt động, do các nhân viên và các nhà quản lý thực hiện Ví dụ: kiểm tra trước khi ký duyệt chứng từ