TỔNG QUAN VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ 1.1 Lịch sử phát triển kiểm soát nội 1.1.1 Thời kỳ tiền COSO [1] Bắt đầu từ cách mạng công nghiệp, yêu cầu phát triển, Công ty cần có vốn từ nhu cầu tăng cường quản lý vốn kiểm tra thông tin sử dụng vốn trở nên cấp thiết Hình thức ban đầu kiểm soát nội kiểm toán tiền thuật ngữ kiểm soát nội bắt đầu xuất từ giai đoạn Đến năm 1929, thuật ngữ kiểm sốt nội đề cập thức Công bố Cục Dự trữ Liên bang Hoa Kỳ (Federal Reserve Bulletin), theo kiểm sốt nội định nghĩa công cụ để bảo vệ tiền tài sản khác đồng thời thúc đẩy nâng cao hiệu hoạt động, sở để phục vụ cho việc lấy mẫu thử nghiệm kiểm tốn viên Năm 1936, cơng bố, Hiệp hội Kế tốn viên cơng chứng Hoa Kỳ (AICPA – American Institute of Certified Public Accountants) định nghĩa kiểm soát nội “… biện pháp cách thức chấp nhận thực tổ chức để bảo vệ tiền tài sản khác, kiểm tra xác ghi chép sổ sách” Sau công bố này, việc nghiên cứu đánh giá kiểm soát nội ngày trọng kiểm toán, đặc biệt sau vụ phá sản Công ty Mc Kesson & Robbins, Công ty dược phẩm tiếng với tổng tài sản lên đến 100 triệu USD vào năm 1937, kiểm tốn cho Cơng ty Price Waterhouse Cổ phiếu Công ty niêm yết thị trường NYSE (New York Stock Exchange) Do hậu này, đến tháng 12/1938, NYSE không cho Mc Kesson & Robbins niêm yết cổ phiếu Uỷ ban chứng khoán Hoa Kỳ (SEC – Securities and Exchange Commission) tiến hành tra phát 20 triệu USD hàng tồn kho nợ phải thu bị khai khống 20% tài sản không hữu thực tế Khi nhận xét kiểm toán này, SEC cho sai phạm quan trọng kiểm toán thực cách bất cẩn Trong giai đoạn kiểm toán nêu có sai phạm, từ việc thực thủ tục kiểm tốn, việc chọn mẫu khơng thích hợp hiểu biết hệ thống kiểm tra kiểm sốt nội (Internal check and control) khơng chủ trọng mức SEC cho việc tìm hiểu kiểm sốt nội khơng thể hạn chế lĩnh vực kế toán, mà kiểm toán viên cần có kiến thức đầy đủ cách thức mà nghiệp vụ thực SEC tin việc thổi phồng sản phẩm dở dang Công ty phát kiểm tốn viên có xem xét hệ thống kiểm sốt nội Vào năm 1949, AICPA cơng bố cơng trình nghiên cứu kiểm soát nội với nhan đề: “Kiểm soát nội bộ, nhân tố cấu thành tầm quan trọng việc quản trị doanh nghiệp kiểm toán viên độc lập” Trong báo cáo này, AICPA định nghĩa kiểm soát nội “… cấu tổ chức biện pháp, cách thức liên quan chấp nhận thực tổ chức để bảo vệ tài sản, kiểm tra xác đáng tin cậy số liệu kế tốn, thúc đẩy hoạt động có hiệu quả, khuyến khích tuân thủ sách người quản lý.” Sau đó, AICPA soạn thảo ban hành nhiều chuẩn mực kiểm toán đề cập đến khái niệm khía cạnh khác kiểm soát nội - Trước hết, vào năm 1958, Ủy ban thủ tục kiểm toán (CAP – Committee on Auditing Proceduce) trực thuộc AICPA ban hành báo cáo thủ tục kiểm toán 29 (SAP – Statement on Auditing Proceduce) về: “Phạm vi xem xét kiểm soát nội kiểm tốn viên độc lập”, lần phân biệt kiểm soát nội quản lý kiểm sốt nội kế tốn Theo đó, kiểm soát nội kế toán bao gồm kế hoạch tổ chức, phương pháp thủ tục liên hệ trực tiếp đến việc bảo vệ tài sản tính đáng tin cậy số liệu kế tốn Chúng thường bao gồm thủ tục kiểm soát hệ thống xét duyệt phê chuẩn, tách biệt nhiệm vụ giữ sổ sách lập báo cáo với bảo quản tài sản, kiểm soát vật chất với tài sản kiểm toán nội Kiểm soát nội quản lý bao gồm kế hoạch tổ chức, phương pháp thủ tục liên quan chủ yếu đến tính hữu hiệu hoạt động tuân thủ sách quản trị Chúng liên quan gián tiếp đến thơng tin tài chính, bao gồm hoạt động kiểm sốt phân tích thống kê, nghiên cứu thời gian động cơ, báo cáo tính hiệu quả, chương trình huấn luyện nhân viên kiểm sốt chất lượng - Đến năm 1962, CAP tiếp tục ban hành SAP 33, làm rõ vấn đề sau: Kiểm toán viên độc lập trước hết quan tâm đến kiểm soát nội kế toán ảnh hưởng trực tiếp đến thơng tin tài Kiểm sốt nội quản lý thường liên quan gián tiếp đến thơng tin tài chính, kiểm tốn viên khơng bị buộc phải đánh giá chúng Tuy nhiên, kiểm toán viên độc lập tin số thủ tục kiểm sốt hành ảnh hưởng đến tính đáng tin cậy thơng tin tài chính, kiểm tốn viên phải nghiên cứu để đánh giá kiểm soát nội quản lý Dựa khái niệm kiểm soát kế toán kiểm soát quản lý, CAP xây dựng chuẩn mực kiểm tốn, u cầu Cơng ty kiểm toán nên giới hạn nghiên cứu kiểm soát nội kế toán Rõ ràng thay đổi CAP qua giai đoạn đưa hướng dẫn khơng bao qt kiểm sốt nội định nghĩa đầu tiên, mà phương diện kiểm soát nội kế toán - Đến năm 1972, CAP tiếp tục ban hành SAP 54 “Tìm hiểu đánh giá kiểm sốt nội bộ” đưa bốn thủ tục kiểm sốt kế tốn, đảm bảo nghiệp vụ thực phê chuẩn, ghi nhận đắn nghiệp vụ để lập báo cáo, hạn chế tiếp cận tài sản kiểm kê Sau đó, AICPA ban hành chuẩn mực kiểm toán (SAS – Statement on Auditing Standard) để thay cho thủ tục kiểm tốn (SAP) Trong SAS (1973), duyệt xét lại SAP 54 đưa định nghĩa kiểm soát quản lý kiểm soát kế toán sau: - Kiểm soát quản lý, không hạn chế kế hoạch tổ chức thủ tục, mà cịn bao gồm q trình định cho phép thực nghiệp vụ nhà quản lý - Kiểm soát kế toán bao gồm thủ tục cách thức tổ chức ghi nhận vào sổ sách để bảo vệ tài sản, tính đáng tin cậy số liệu vậy, thiết lập để cung cấp bảo đảm hợp lý phương diện sau đây: + Các nghiệp vụ thực phù hợp với ủy quyền xét duyệt nhà quản lý + Các nghiệp vụ ghi nhận phát sinh để: Lập báo cáo tài phù hợp với chuẩn mực kế toán hay quy định có liên quan; Thực trách nhiệm báo cáo tình hình tài sản + Việc tiếp cận tài sản thực có cho phép nhà quản lý + Định kỳ báo cáo tài sản phải so sánh với tài sản hữu thực tế có biện pháp xử lý thích hợp chênh lệch Các định nghĩa khẳng định quan tâm nghề nghiệp kiểm toán phận (yếu tố) cấu thành kiểm sốt nội đối tượng nghiên cứu chuẩn mực kiểm toán Như vậy, suốt thời kỳ trên, khái niệm kiểm sốt nội khơng ngừng mở rộng khỏi thủ tục bảo vệ tài sản ghi chép sổ sách kế toán Tuy nhiên, trước báo cáo COSO 1992 đời, kiểm soát nội dừng lại phương tiện phục vụ cho kiểm toán viên kiểm toán báo cáo tài 1.1.2 Giai đoạn Báo cáo COSO 1992 [1] Vào thập niên 1970 – 1980, kinh tế Hoa Kỳ nhiều quốc gia khác phát triển mạnh mẽ Số lượng Công ty tăng nhanh, kể Công ty thuộc quyền sở hữu nhà nước kinh doanh quốc tế Trong thời gian này, với phát triển kinh tế, vụ gian lận ngày tăng, với quy mô ngày lớn, gây tổn thất đáng kể cho kinh tế Trong trình điều tra vụ tai tiếng trị Watergate, Quốc hội Hoa Kỳ phát nhiều hoạt động vận động tranh cử trái phép rửa tiền liên quan đến nước Vào năm 1977, Luật chống hối lộ nước (Foreign Corrupt Practies Act) đời Sau đó, SEC đưa bắt buộc Cơng ty phải báo cáo kiểm sốt nội cơng tác kế tốn đơn vị (1979) u cầu báo cáo kiểm sốt nội Cơng ty cho công chúng chủ đề gây nhiều tranh luận Một luận điểm người chống đối thiếu tiêu chuẩn để đánh giá tính hữu hiệu kiểm sốt nội Vì Uỷ ban COSO (The Committee of Sponsoring Organization) thành lập vào năm 1985 COSO Ủy ban thuộc Hội đồng Quốc gia Hoa kỳ việc chống gian lận báo cáo tài (National Commission on Financial Reporting, hay gọi Treadway Commission) bảo trợ năm tổ chức nghề nghiệp, tổ chức đại diện để lập Ủy ban COSO Năm tổ chức là: - Hiệp hội Kế tốn viên cơng chứng Hoa kỳ (AICPA - American Institute of Certified Public Accountants) - Hiệp hội Kiểm toán viên nội (IIA – Institute of Internal Auditors) - Hiệp hội Quản trị viên tài (FEI – Financial Executives Institute) - Hiệp hội Kế toán Hoa kỳ (AAA – American Accounting Association) - Hiệp hội Kế toán viên quản trị (IMA – Institute of Management Accountants) COSO thành lập nhằm nghiên cứu kiểm soát nội bộ, cụ thể là: - Thống định nghĩa kiểm soát nội để phục vụ cho nhu cầu đối tượng khác COSO sử dụng thức kiểm sốt nội thay kiểm sốt nội kế tốn - Cơng bố đầy đủ hệ thống tiêu chuẩn để giúp đơn vị đánh giá hệ thống kiểm soát nội họ tìm giải pháp để hồn thiện Báo cáo COSO 1992 đưa năm phận kiểm soát nội bao gồm: mơi trường kiểm sốt, đánh giá rủi ro, hoạt động kiểm sốt, thơng tin truyền thông, giám sát Báo cáo COSO 1992 tài liệu giới nghiên cứu định nghĩa kiểm soát nội cách đầy đủ có hệ thống Đặc điểm bật báo cáo cung cấp tầm nhìn rộng mang tính quản trị, kiểm sốt nội khơng cịn vấn đề liên quan đến báo cáo tài mà mở rộng cho phương diện hoạt động tuân thủ Báo cáo COSO 1992 chưa thực hoàn chỉnh tạo lập sở lý thuyết kiểm sốt nội Sau đó, hàng loạt nghiên cứu phát triển kiểm soát nội nhiều lĩnh vực khác đời COSO phát triển quản trị, doanh nghiệp nhỏ, cơng nghệ thơng tin, kiểm tốn độc lập, kiểm toán nội bộ, chuyên sâu vào ngành nghề cụ thể giám sát, cụ thể sau: 1.1.2.1 Phát triển quản trị Năm 2001, COSO triển khai nghiên cứu hệ thống quản trị rủi ro doanh nghiệp (ERM – Enterprise Risk Management Framework) sở Báo cáo COSO 1992 Dự thảo hình thành cơng bố tháng 7/2003, theo ERM định nghĩa gồm phận: môi trường nội bộ, thiết lập mục tiêu, nhận diện kiện, đánh giá rủi ro, đối phó rủi ro, hoạt động kiểm sốt, thơng tin truyền thông, giám sát Đến năm 2004, ERM thức ban hành ERM (2004) “cánh tay nối dài” Báo cáo COSO 1992, không nhằm thay cho Báo cáo 1.1.2.2 Phát triển theo hướng công nghệ thông tin Năm 1996, Bản tiêu chuẩn có tên “Các mục tiêu kiểm sốt cơng nghệ thông tin lĩnh vự liên quan” (CoBIT – Control Objectives for Information and Related Technology) Hiệp hội kiểm sốt kiểm tốn hệ thống thơng tin (ISACA – Information System Audit and Control Association) ban hành CoBIT nhấn mạnh đến kiểm sốt mơi trường tin học (CIS – Computer Information System), bao gồm lĩnh vực hoạch định tổ chức, mua triển khai, phân phối hỗ trợ, giám sát 1.1.2.3 Phát triển theo hướng kiểm toán độc lập Các chuẩn mực kiểm toán Hoa Kỳ chuyển sang sử dụng Báo cáo COSO làm tảng đánh giá hệ thống kiểm soát nội bộ, bao gồm: - SAS 78 (1995): Xem xét kiểm soát nội kiểm toán báo cáo tài (điều chỉnh SAS 55) Các định nghĩa, nhân tố kiểm soát nội Báo cáo COSO 1992 đưa vào chuẩn mực - SAS 94 (2001): Ảnh hưởng công nghệ thông tin đến việc xem xét kiểm soát nội kiểm toán báo cáo tài Hệ thống chuẩn mực kiểm tốn quốc tế (ISA – International Standard on Auditing) sử dụng báo cáo COSO yêu cầu xem xét hệ thống kiểm soát nội kiểm toán báo cáo tài chính, cụ thể là: - ISA 315 “Hiểu biết tình hình kinh doanh, mơi trường hoạt động đơn vị đánh giá rủi ro sai sót trọng yếu”: u cầu kiểm tốn viên cần có hiểu biết đầy đủ kiểm soát nội định nghĩa “Hệ thống kiểm soát nội trình máy quản lý, Ban tổng giám đốc nhân viên đơn vị chi phối, thiết lập để cung cấp đảm bảo hợp lý nhằm thực ba mục tiêu báo cáo tài đáng tin cậy, pháp luật quy định tuân thủ, hoạt động hữu hiệu hiệu Hệ thống kiểm soát nội thiết kế thực nhằm giảm thiểu rủi ro kinh doanh có khả đe doạ đến việc đạt mục tiêu trên” Như vậy, định nghĩa kiểm soát nội theo ISA 315 dựa định nghĩa kiểm soát nội Báo cáo COSO 1992 Ngồi phận cấu thành kiểm sốt nội ISA 315 đưa dựa Báo cáo COSO 1992 - ISA 265 “Thông báo khiếm khuyết kiểm soát nội bộ”: yêu cầu kiểm tốn viên độc lập thơng báo khiếm khuyết kiểm soát nội kiểm toán viên phát cho người có trách nhiệm đơn vị 1.1.2.4 Phát triển theo hướng kiểm toán nội Hiệp hội kiểm toán nội (IIA) định nghĩa mục tiêu kiểm soát nội bao gồm: - Độ tin cậy tính trung thực thơng tin - Tuân thủ sách, kế hoạch, thủ tục, luật pháp quy định - Bảo vệ tài sản - Sử dụng hiệu kinh tế nguồn lực - Hồn thành mục đích mục tiêu cho hoạt động chương trình Các chuẩn mực IIA không sâu vào nghiên cứu thành phần kiểm sốt nội bộ, IIA thành viên COSO nên nguyên tắc khác biệt định nghĩa IIA COSO 1.1.3 Giai đoạn COSO 2013 [4] Sau 20 năm, kể từ ban hành Báo cáo COSO lần (1992), mơi trường kinh doanh có thay đổi lớn, ảnh hưởng đáng kể đến cách thức tổ chức kinh doanh, nhận diện, đánh giá đối phó với rủi ro doanh nghiệp Báo cáo COSO 1992 áp dụng rộng rãi giới trước thay đổi lớn từ môi trường nêu đặt yêu cầu phải thay đổi cho phù hợp với tình hình Có thể tóm tắt thay đổi quan trọng sau: - Thứ nhất, q trình tồn cầu hố tiếp tục diễn diện rộng khiến cho mơ hình kinh doanh thay đổi đáng kể, tính phức tạp kinh doanh tốc độ luân chuyển vốn diễn nhanh Điều địi hỏi hệ thống kiểm sốt nội doanh nghiệp phải thay đổi thích ứng với tình hình - Thứ hai, nhiều quy định chuẩn mực ban hành sửa đổi, đặt yêu cầu lớn cho nhà quản lý doanh nghiệp lực điều hành trách nhiệm giải trình, có trách nhiệm báo cáo, quản tri rủi ro, ngăn chặn phát gian lận đơn vị - Thứ ba, phụ thuộc vào công nghệ thông tin ngày cao để cải thiện kết kinh doanh định doanh nghiệp Việc sử dụng tổ chức cung cấp dịch vụ chia sẻ thông tin diễn ngày phổ biến sâu rộng Cách thức thu thập thông tin, khai thác chia sẻ kiểu truyền thống tỏ khơng cịn phù hợp hiệu Và đương nhiên cách thức kiểm soát bảo vệ kèm buộc phải thay đổi Những lý động lực thúc đẩy Ủy ban COSO phải tiến hành cập nhật báo cáo kiểm sốt nội để đảm bảo tính thích hợp ứng dụng mơi trường Dự án cập nhật Báo cáo COSO tiến hành từ năm 2010, bắt đầu với việc tham khảo ý kiến bên nhu cầu cập nhật nội dung cập nhật Báo cáo COSO 1992 Sau dự thảo đưa lấy ý kiến rộng rãi, điều chỉnh thức ban hành tháng năm 2013 1.1.3.1 Những nội dung không thay đổi Báo cáo COSO 2013 Báo cáo COSO 1992 Sự chấp nhận rộng rãi tổ chức nghề nghiệp, quan chức năng, doanh nghiệp giới khiến cho khái niệm tảng Báo cáo COSO 1992 trở thành tiêu chuẩn vững thực tế Vì vậy, bốn nội dung quan trọng Báo cáo COSO 1992 giữ Báo cáo COSO 2013, bao gồm: - Định nghĩa kiểm sốt nội bộ; - Ba nhóm mục tiêu đơn vị (bao gồm mục tiêu Hoạt động, Báo cáo Tuân thủ); - Năm phận kiểm soát nội (bao gồm Mơi trường kiểm sốt, Đánh giá rủi ro, Hoạt động kiểm sốt, Thơng tin – Truyền thơng, Giám sát); - Áp dụng xét đốn vào việc thiết kế, thực hiện, vận hành đánh giá kiểm soát nội 1.1.3.2 Những nội dung thay đổi Báo cáo COSO 2013 so với Báo cáo COSO 1992 Có bảy (7) thay đổi quan trọng Báo cáo COSO 2013 so với Báo cáo COSO 1992: - Thứ nhất, COSO 2013 nêu rõ áp dụng cách tiếp cận dựa nguyên tắc (principle based) xây dựng Khn mẫu kiểm sốt nội Với cách tiếp cận dựa nguyên tắc, Báo cáo COSO 2013 không liệt kê kiểm soát mà hệ thống kiểm soát nội đơn vị cần phải có, thay vào Báo cáo COSO 2013 nêu yêu cầu cần phải tuân thủ (các nguyên tắc), việc lựa chọn kiểm soát để yêu cầu tuỳ thuộc vào xét đoán nhà quản lý đặc điểm riêng đơn vị Cách tiếp cận làm tăng tính linh động cho việc áp dụng COSO vào tổ chức có quy mơ lĩnh vực hoạt động khác doanh nghiệp, tổ chức phi lợi nhuận, quan nhà nước, ngân hàng… Cách tiếp cận đảm bảo cho vị Báo cáo COSO khn mẫu kiểm sốt nội đuợc áp dụng rộng rãi giới Báo cáo COSO 2013 gia tăng phần tài liệu minh hoạ (illustrative documents) để hỗ trợ người sử dụng việc lựa chọn, xây dựng kiểm soát đánh giá hữu hiệu hệ thống kiểm soát nội Cách tiếp cận dựa nguyên tắc COSO phù hợp với xu chung giới Tuy nhiên, số nhà nghiên cứu cho Báo cáo COSO 2013 cịn có thiếu sót khơng nêu lý COSO lại lựa chọn cách tiếp cận dựa nguyên tắc (principle based) cho lần cập nhật - Thứ hai, COSO 2013 bổ sung yêu cầu hệ thống kiểm sốt nội hữu hiệu Theo hệ thống kiểm soát nội hữu hiệu phải đảm bảo phận nguyên tắc tương ứng phải vận hành thực tế Không thể lấy hữu hiệu phận để bù đắp cho yếu hay không tồn phận khác Yêu cầu tạo thuận lợi cho việc đánh giá hữu hiệu hệ thống kiểm soát nội Các doanh nghiệp niêm yết Hoa kỳ chịu chi phối Luật SOX (Sarbanes – Oxley) hàng năm phải nộp Báo cáo đánh giá hữu hiệu Hệ thống kiểm soát nội với Báo cáo tài Báo cáo đánh giá hữu hiệu hệ thống kiểm soát nội phải kiểm toán kiểm toán viên độc lập - Thứ ba, mục tiêu báo cáo mở rộng Mục tiêu báo cáo khơng cho bên ngồi mà cho bên trong, khơng báo cáo tài mà cịn báo cáo phi tài Điều nhằm đáp ứng kỳ vọng ngày cao bên liên quan lực điều hành trách nhiệm giải trình nhà quản lý, có trách nhiệm báo cáo, quản trị rủi ro, ngăn chặn phát gian lận đơn vị - Thứ tư, COSO 2013 làm rõ vai trò việc xác lập mục tiêu ảnh hưởng đối tượng bên đến việc xác lập mục tiêu đơn vị Mặc dù trì quan điểm xác lập mục tiêu tiền đề kiểm soát nội bộ, COSO 2013 mở rộng nội dung cụ thể hoá mục tiêu xem xét phù hợp mục tiêu xác lập Ngoài ra, COSO 2013 thừa nhận vai trò quan nhà nước, tổ chức lập quy việc xác lập mục tiêu đơn vị tiêu chuẩn đánh giá yêu cầu báo cáo khiếm khuyết hệ thống kiểm sốt nội Nói cách khác, kiểm sốt nội khơng cịn chuyện “nội bộ” thân doanh nghiệp mà bị ảnh hưởng đối tượng bên ngồi Thí dụ, Uỷ ban chứng khốn đưa yêu cầu cụ thể mà Công ty niêm yết phải tuân thủ liên quan đến kiểm soát nội đơn vị thuộc lĩnh vực cơng phải chịu quy định riêng liên quan đến mục tiêu hoạt động đơn vị - Thứ năm, nội dung liên quan đến năm (5) phận kiểm soát nội tổng hợp thành mười bảy (17) nguyên tắc kiểm soát nội Có thể nói thay đổi đáng kể so với Báo cáo 1992 Trong Báo cáo trước đây, nguyên tắc nằm lẫn nội dung Báo cáo không nêu tên cách cụ thể Có thể nói mười bảy (17) nguyên tắc xương hệ thống kiểm sốt nội khơng dễ dàng cho nhà quản lý mà cho đối tượng khác bên doanh nghiệp việc thiết lập đánh giá hệ thống kiểm soát nội - Thứ sáu, COSO 2013 đề cập nhiều đến khái niệm quản trị doanh nghiệp (governance) Báo cáo COSO 2013 mở rộng phần thảo luận quản trị doanh nghiệp, vấn đề liên quan đến hội đồng quản trị uỷ ban uỷ ban kiểm toán, uỷ ban lương thưởng… Điều nhằm đáp ứng yêu cầu cao xã hội việc quản trị doanh nghiệp, qua cho thấy mối quan hệ kiểm soát nội quản trị doanh nghiệp - Thứ bảy, COSO 2013 thừa nhận vai trò ngày quan trọng công nghệ thông tin ảnh hưởng tới hoạt động kinh doanh kiểm soát nội doanh nghiệp kỳ vọng ngày cao đối tượng bên doanh nghiệp lực nhà quản lý, trách nhiệm giải trình việc phòng chống gian lận Tuy nhiên, số nghiên cứu cho COSO 2013 chưa thể đủ tầm quan trọng công nghệ thông tin tác động tới kiểm soát nội nêu vai trị cơng nghệ thơng tin phần Hoạt động kiểm soát 1.2 Khái niệm kiểm soát nội theo Báo cáo COSO 2013 1.2.1 Định nghĩa [9] Báo cáo COSO 2013 định nghĩa kiểm soát nội sau: “Kiểm soát nội trình bị ảnh hưởng Ban tổng giám đốc, nhà quản lý nhân viên khác tổ chức thiết lập để cung cấp đảm bảo hợp lý nhằm đạt mục tiêu liên quan đến hoạt động, báo cáo tuân thủ” COSO 2013 cung cấp ba loại mục tiêu, cho phép tổ chức tập trung vào khía cạnh kiểm sốt nội khác nhau: - Mục tiêu hoạt động: Đề cập đến hiệu hữu hiệu hoạt động bao gồm mục tiêu hoạt động tài đồng thời đảm bảo tài sản khơng bị mát - Mục tiêu báo cáo: Đề cập đến báo cáo tài phi tài bên nội bao gồm độ tin cậy, kịp thời, minh bạch điều khác quy định quan quản lý pháp luật, quy định sách tổ chức - Mục tiêu tuân thủ: Đề cập đến việc tuân thủ pháp luật quy định chi phối hoạt động tổ chức Trong định nghĩa trên, có bốn khái niệm quan trọng cần lưu ý, trình, người, đảm bảo hợp lý mục tiêu: Kiểm sốt nội q trình Các hoạt động đơn vị thực thông qua trình lập kế hoạch, thực giám sát Để đạt mục tiêu mong muốn, đơn vị cần kiểm sốt hoạt động mình, kiểm sốt nội q trình Kiểm sốt nội khơng phải kiện hay tình mà chuỗi hoạt động diện phận, gắn bó xuyên suốt hoạt động tổ chức nội dung hoạt động tổ chức Kiểm soát nội hữu hiệu phận khơng tách rời chức bổ sung cho hoạt động tổ chức Con người Kiểm soát nội thiết kế vận hành người, Hội đồng quản trị, Ban tổng giám đốc, nhà quản lý nhân viên đơn vị Kiểm sốt nội cơng cụ giúp nhà quản trị quản lý doanh nghiệp hiệu Nói cách khác, thực người tổ chức, suy nghĩ hành động họ Chính họ vạch mục tiêu, đưa biện pháp kiểm soát vận hành chúng Tuy nhiên, lúc người hiểu rõ, trao đổi hành động cách quán Mỗi thành viên tham gia vào tổ chức với khả năng, kiến thức, kinh nghiệm nhu cầu khác Một hệ thống kiểm sốt nội hữu hiệu thành viên tổ chức hiểu rõ trách nhiệm quyền hạn Việc kiểm sốt cần giới hạn mức độ định Do vậy, để kiểm soát nội hữu hiệu cần phải xác định mối liên hệ, nhiệm vụ cách thức thực việc kiểm soát thành viên để đạt mục tiêu tổ chức Đảm bảo hợp lý Kiểm sốt nội cung cấp đảm bảo hợp lý cho nhà quản lý việc đạt mục tiêu tổ chức đảm bảo tuyệt đối Điều xuất phát từ hạn chế tiềm tàng trình xây dựng vận hành hệ thống kiểm sốt nội bộ, sai lầm người đưa định, thông đồng cá nhân hay lạm quyền nhà quản lý vượt khỏi tầm kiểm sốt nội bộ… Hơn nữa, nguyên tắc quản lý chi phí cho q trình kiểm sốt khơng thể vượt q lợi ích mong đợi mà q trình kiểm sốt mang lại Tất điều dẫn đến tổ chức, dù đầu tư nhiều cho việc thiết kế vận hành hệ thống kiểm sốt khơng thể có hệ thống kiểm sốt nội hồn hảo Các mục tiêu Mỗi đơn vị thường có mục tiêu kiểm sốt cần đạt để từ xác định chiến lược cần thực Đó mục tiêu chung cho toàn đơn vị, hay mục tiêu cụ thể cho hoạt động, phận đơn vị Có thể chia mục tiêu kiểm sốt đơn vị cần thiết lập thành ba nhóm: - Nhóm mục tiêu hoạt động: nhấn mạnh đến hữu hiệu hiệu việc sử dụng nguồn lực - Nhóm mục tiêu báo cáo tài chính: nhấn mạnh đến tính trung thực đáng tin cậy báo cáo tài mà tổ chức cung cấp - Nhóm mục tiêu tuân thủ: nhấn mạnh đến việc tuân thủ pháp luật quy định Các mục tiêu tách biệt trùng với nhau, mục tiêu riêng lẻ xếp vào hay nhiều loại ba nhóm mục tiêu Sự phân loại mục tiêu nhằm giúp tổ chức kiểm soát phương diện khác 1.2.2 Báo cáo COSO 2013 1.2.2.1 Cấu trúc Báo cáo COSO 2013 [4] Báo cáo COSO 2013 bao gồm phần: - Tóm tắt cho nhà điều hành (Executive Summary); - Khn mẫu kiểm sốt nội phụ lục (Framework and Appendices); - Công cụ đánh giá hữu hiệu kiểm soát nội (Illustrative Tools for Assessing Effectiveness of a System of Internal Control); - Kiểm soát nội cho việc lập báo cáo tài cho bên ngồi (Internal Control Over External Financial Reporting: A Compendium of Approaches and Examples) Cụ thể sau: Phần 1: Tóm tắt cho nhà điều hành Trình bày tóm lược nội dung Khn mẫu kiểm soát nội (Framework) dành cho giám đốc điều hành, thành viên ban quản trị vị trí quản lý cấp cao khác Phần 2: Khuôn mẫu kiểm sốt nội Phụ lục Trình bày chi tiết Khn mẫu kiểm sốt nội bộ, bao gồm định nghĩa kiểm soát nội bộ, đưa yêu cầu hệ thống kiểm soát nội hữu hiệu, bao gồm phận nguyên tắc kiểm soát nội bộ, cung cấp định hướng cho nhà quản lý cấp đơn vị biết cách thiết kế, thực đánh giá hữu hiệu hệ thống kiểm sốt nội Khn mẫu kiểm sốt nội nội dung yếu Báo cáo COSO 2013 Phần phụ lục cung cấp thêm thông tin tham khảo bao gồm: từ điển thuật ngữ, lưu ý cho doanh nghiệp nhỏ tóm tắt thay đổi Báo cáo COSO 2013 so với Báo cáo COSO 1992 (mặc dù phụ lục không coi phần Khuôn mẫu) Phần 3: Công cụ đánh giá hữu hiệu kiểm soát nội Phần cung cấp mẫu biểu ví dụ thực tế để hỗ trợ nhà quản lý việc áp dụng khn mẫu kiểm sốt nội đặc biệt đánh giá hữu hiệu kiểm soát nội Phần 4: kiểm soát nội cho việc lập báo cáo tài cho bên ngồi Phần cung cấp phương pháp ví dụ thực tế việc áp dụng yêu cầu kiểm soát nội (bao gồm phận nguyên tắc kiểm soát nội bộ) vào việc chuẩn bị báo cáo tài cho bên ngồi 1.2.2.2 Các yếu tố cấu thành hệ thống kiểm soát nội [9] Báo cáo COSO 2013 giữ lại năm phận kiểm sốt nội bộ, bao gồm: Mơi trường kiểm sốt, Đánh giá rủi ro, Hoạt động kiểm sốt, Thơng tin – Truyền thông, Hoạt động giám sát Năm phận có mối liên hệ chặt chẽ với nhau, cụ thể là: Mơi trường kiểm sốt: Mơi trường kiểm soát nội bị ảnh hưởng nhiều nhân tố bên bên ngoài, bao gồm lịch sử hình thành phát triển cơng ty, giá trị công ty, thị trường, cạnh tranh, luật sách nhà nước, quy định tổ chức Mơi trường kiểm sốt nội định nghĩa thơng qua tiêu chuẩn, quy trình hệ thống tổ chức Hệ thống tổ chức đạo người nhiều cấp bậc công ty thực công việc họ, thông tin chuyển cho hệ thống kiểm soát nội hỗ trợ cho việc định Môi trường kiểm sốt nội tạo khn phép hỗ trợ cho việc đánh giá rủi ro, để đạt mục tiêu đề trước công ty, cho phép đánh giá tính hiệu việc kiểm sốt nội bộ, sử dụng thông tin hệ thống thông tin cách hiệu quả, thực hoạt động giám sát Đánh giá rủi ro: Tất tổ chức, lớn nhỏ, cấu trúc quản lý, chất, lĩnh vực hoạt động gặp rủi ro nhiều cấp độ Mọi tổ chức đối mặt với nhiều rủi ro xuất phát từ bên lẫn bên Rủi ro định nghĩa khả việc xảy có tác động tiêu cực đến mục tiêu đề công ty Đánh giá rủi ro liên quan đến quy trình linh hoạt lặp lại nhiều lần để xác định đánh giá rủi ro Các rủi ro liên quan đến mục tiêu tổ chức xuất phát từ khắp nơi tổ chức xem có liên quan đến khả chịu đựng rủi ro tổ chức Vì vậy, đánh giá rủi ro tạo nên tảng rủi ro quản lí Đánh giá rủi ro đòi hỏi việc quản lý cân nhắc tác động thay đổi xảy từ mơi trường bên lẫn bên nội bộ, bên mơ hình kinh doanh, tác động gây nên thiếu hiệu việc kiểm soát nội Hoạt động kiểm soát: Hoạt động kiểm soát hoạt động thành lập dựa sách, thủ tục giúp đảm bảo đạo nhà quản lý để giảm thiểu rủi ro Hoạt động kiểm soát tiến hành tất cấp quản lý tổ chức, nhiều giai đoạn q trình hoạt động kinh doanh, thơng qua tảng mơi trường cơng nghệ Hoạt động kiểm sốt có tính chất đề phịng có khả dị tìm bao gồm nhiều hoạt động làm thủ công hay tự động ví dụ việc cấp quyền, chấp thuận, việc xác minh, đánh giá lại chất lượng hoạt động kinh doanh Việc phân công, phân chia nhiệm vụ gắn liền vào việc lựa chọn phát triển hoạt động kiểm soát Khi việc phân chia trách nhiệm thực được, nhà quản lý lựa chọn phát triển hoạt động kiểm soát khả thi khác Hoạt động kiểm soát hỗ trợ mục tiêu hoạt động, báo cáo tuân thủ tổ chức Thông tin truyền thông: Thông tin cần thiết cho tổ chức để thực trách nhiệm kiểm sốt nội Quản lý thu thập thơng tin, cung cấp sử dụng thông tin liên quan có từ nội lẫn bên để phục vụ cho chức thành phần kiểm soát nội Việc giao tiếp quy trình liên tục, lặp lặp lại việc cung cấp, chia sẻ, thu thập thông tin cần thiết Giao tiếp nội cách để thông tin phổ biến khắp tổ chức, dịng thơng tin từ cấp xuống cấp dưới, từ cấp lên cấp cấp với tổ chức, cho phép nhân viên nhận thơng tin rõ ràng từ quản lý cấp cao, xác định trách nhiệm cần thực cách nghiêm túc Các thành phần thông tin truyền thông khn khổ hỗ trợ chức tồn thành phần kiểm soát nội Phối hợp với thành phần khác, thông tin truyền thông hỗ trợ cho việc đạt mục tiêu tổ chức, mục tiêu liên quan đến báo cáo nội lẫn cơng khai Điều khiển, kiểm sốt thông tin truyền thông hỗ trợ khả sử dụng xác thơng tin hệ thống kiểm sốt nội thực nhiệm vụ kiểm soát nội tổ chức Hệ thống giám sát: Hoạt động kiểm soát đánh giá xem thành phần năm thành phần kiểm sốt nội có tồn hoạt động tốt hay không Tổ chức dùng hoạt động đánh giá thường xuyên riêng biệt, phối hợp hai hoạt động đánh giá để đảm bảo thành phần kiểm sốt nội có tồn hoạt động Hoạt động kiểm tra nhân tố đầu vào hoạt động đánh giá tính hiệu kiểm sốt nội tổ chức Nó cung cấp hỗ trợ đắt giá cho xác nhận, khẳng định tính hiệu kiểm sốt nội Hình 1.1 Các yếu tố cấu thành hệ thống kiểm soát nội theo COSO 2013 Nguồn: Committee of Sponsoring Organisation (2012), Internal Control – Intergrated Framework and Appendices [9] 1.2.2.3 Trách nhiệm kiểm soát nội [8] Ban tổng giám đốc Ban tổng giám đốc nên thảo luận với lãnh đạo cấp cao đơn vị hệ thống kiểm soát nội cung cấp giám sát cần thiết Ban tổng giám đốc chịu trách nhiệm kiểm soát nội trước Hội đồng quản trị, thiết lập sách mong đợi cung cấp giám sát kiểm sốt nội đơn vị Hội đồng quản trị phải cung cấp thông tin rủi ro ảnh hưởng đến việc đạt mục tiêu đơn vị, đánh giá khiếm khuyết kiểm soát nội bộ, cách mà cấp quản lý triển khai hành động để giảm thiểu rủi ro liên quan đến hệ thống kiểm soát nội đơn vị Nhà quản lý cấp cao Nhà quản lý cấp cao nên đánh giá hệ thống kiểm sốt nội tổ chức theo khn mẫu, tập trung vào cách tổ chức áp dụng mười bảy nguyên tắc hỗ trợ thành phần kiểm soát nội Nhà quản lý cần xem xét cập nhật cho phiên áp dụng năm 1992, đồng thời xem xét tác động cập nhật lên hệ thống kiểm soát nội đơn vị Nhà quản lý xem xét sử dụng 10 công cụ minh họa phần so sánh ban đầu đánh giá liên tục hiệu hệ thống kiểm soát nội tổ chức Các nhà quản lý khác nhân viên Toàn thể nhân viên nhà quản lý nên xem xét thay đổi phiên đánh giá tác động thay đổi lên hệ thống kiểm soát nội đơn vị Ngoài ra, cá nhân nên xem xét cách thức thực trách nhiệm khn khổ thảo luận ý tưởng với nhân cao cấp để tăng cường kiểm soát nội Cụ thể họ nên xem xét ảnh hưởng đến nguyên tắc liên quan năm thành phần kiểm soát nội Kiểm toán viên nội Kiểm toán viên nội nên xem xét lại kế hoạch kiểm toán nội cách thức họ áp dụng khn khổ ấn năm 1992 Kiểm tốn viên nội nên xem xét lại cách chi tiết thay đổi cho phiên xem xét tác động có thay đổi kế hoạch kiểm toán, đánh giá, báo cáo hệ thống kiểm soát nội đơn vị Kiểm tốn độc lập Ngồi việc kiểm tốn báo cáo tài đơn vị, số phạm vi, kiểm toán viên độc lập tham gia kiểm tốn kiểm tra tính hiệu kiểm soát nội khách hàng Kiểm toán viên độc lập đánh giá hệ thống kiểm sốt nội đơn vị liên quan đến khuôn mẫu, tập trung vào cách thức mà tổ chức lựa chọn, phát triển, triển khai kiểm soát ảnh hưởng đến nguyên tắc thành phần kiểm soát nội Kiểm toán viên, tương tự nhà quản lý, sử dụng cơng cụ minh họa phần đánh giá hiệu tổng thể hệ thống kiểm soát nội đơn vị Các tổ chức nghề nghiệp khác Các tổ chức nghề nghiệp cung cấp hướng dẫn mục tiêu hoạt động, báo cáo, tuân thủ, xem xét tiêu chuẩn hướng dẫn họ so với khuôn mẫu Sự đa dạng phạm vi khái niệm thuật ngữ loại bỏ, tất bên hưởng lợi 1.3 Hạn chế cần thiết hệ thống kiểm soát nội 1.3.1 Hạn chế tiềm tàng hệ thống kiểm soát nội Hệ thống kiểm sốt nội khơng thể đảm bảo hồn tồn đạt mục tiêu tổ chức hạn chế tiềm tàng hệ thống kiểm soát nội bộ, là: - Thơng thường u cầu chi phí cho hệ thống kiểm sốt nội khơng vượt q lợi ích mà hệ thống mang lại; - Phần lớn thủ tục kiểm soát nội thiết lập cho nghiệp vụ thường xuyên, lặp đi, lặp lại nghiệp vụ không thường xuyên; - Sự phù hợp mục tiêu thiết lập điều kiện tiên ảnh hưởng đến kiểm sốt nội cơng ty - Thực tế cho thấy rằng, khả người chịu trách nhiệm việc định sai sót thiên vị, lạm dụng đặc quyền minh - Khả rủi ro xảy đãng trí, thiếu ý thực chức năng, nhiệm vụ không hiểu rõ yêu cầu công việc - Khả hệ thống kiểm soát nội không phát việc thông đồng thành viên ban quản lý, nhân viên người khác bên đơn vị 11 - Do chế thay đổi yêu cầu quản lý làm cho thủ tục kiểm sốt nội khơng kịp thay đổi theo lạc hậu thủ tục kiểm soát - Các kiện bên ngồi vượt tầm kiểm sốt tổ chức Chính hạn chế nói kiểm soát nội nguyên nhân khiến cho kiểm sốt nội khơng đảm bảo tuyệt đối, mà bảo đảm hợp lý việc đạt mục tiêu 1.3.2 Sự cần thiết hệ thống kiểm soát nội Trong tổ chức nào, xung đột quyền lợi chung quyền lợi riêng tồn người sử dụng lao động người lao động Việc quản lý rủi ro phải quản lý nào? Việc phân quyền, giao việc cho cấp phải thực xác, khoa học hợp lý khơng dựa cảm tính Ngồi ra, với đa dạng hình thức kinh doanh, loại hình kinh doanh, với mức độ tăng trưởng ngày cao, hệ thống kiểm sốt nội vững mạnh đem lại lợi ích cho tổ chức như: - Giảm bớt gian lận, thông đồng nhân viên đơn vị hay với phận bên đơn vị - Giảm bớt nguy rủi ro tiềm tàng sản xuất kinh doanh (sai sót vơ tình gây thiệt hại, rủi ro làm chậm kế hoạch…) - Bảo vệ tài sản khỏi hư hỏng, mát hao hụt, gian lận, lừa gạt, trộm cắp - Đảm bảo tính xác số liệu kế tốn báo cáo tài - Đảm bảo thành viên tuân thủ nội quy, quy chế, quy trình hoạt động tổ chức quy định pháp luật - Đảm bảo tổ chức hoạt động hiệu quả, sử dụng tối ưu nguồn lực đạt mục tiêu đặt - Bảo vệ quyền lợi nhà đầu tư, cổ đơng gây dựng lịng tin họ 1.4 Khuôn mẫu hệ thống kiểm soát nội theo Báo cáo COSO 2013 [9] 1.4.1 Mơi trường kiểm sốt Mơi trường kiểm sốt sắc thái chung, “bầu khơng khí” kiểm sốt đơn vị Nó tập hợp tiêu chuẩn, quy trình, cấu trúc sở cho việc thực kiểm sốt nội tồn tổ chức Hội đồng quản trị người quản lý cấp cao thiết lập quy định ban đầu liên quan đến tầm quan trọng kiểm soát nội bao gồm tiêu chuẩn dự kiến hành vi Mơi trường kiểm sốt tạo khuôn phép hỗ trợ cho thành phần khác hệ thống kiểm soát nội tồn hoạt động hiệu Có năm nguyên tắc liên quan đến mơi trường kiểm sốt hai mươi (20) điểm trọng tâm nhằm hỗ trợ việc thiết lập đưa vào vận hành hệ thống kiểm soát nội bộ: 1.4.1.1 Sự vững chắc, tính thống tổ chức, quản lý chuẩn mực đạo đức Có điểm trọng tâm, gồm: - Thiết lập phong cách ban đầu - Thiết lập “tiêu chuẩn thực hiện” - Các đánh giá dựa “tiêu chuẩn thực hiện” - Cần có thay đổi "tiêu chuẩn thực hiện" kịp thời liên tục để thích nghi 12 1.4.1.2 Tính độc lập Ban tổng giám đốc với quản lý cấp cao Có điểm trọng tâm, gồm: - Hình thành trách nhiệm giám sát - Giao trọng trách cho người có chun mơn - Hoạt động cách độc lập - Hỗ trợ giám sát cho hệ thống kiểm soát nội 1.4.1.3 Thiết lập hệ thống giám sát, cấu tổ chức, quy trình báo cáo, thẩm quyền, trách nhiệm tương ứng khác Có điểm trọng tâm, gồm: - Cân nhắc toàn cấu trúc quản lí tổ chức - Thiết lập quy trình báo cáo - Xác định, thiết kế giới hạn nhiệm vụ chức trách 1.4.1.4 Thu hút, phát triển giữ lại cá nhân có lực phù hợp với mục tiêu tổ chức Có điểm trọng tâm, gồm: - Thiết lập sách thực - Đánh giá, ước lượng khả đối phó với thiếu sót - Thu hút, phát triển giữ lại cá nhân giỏi - Lên kế hoạch chuẩn bị cho bước 1.4.1.5 Thu hút, phát triển giữ lại cá nhân có trách nhiệm liên quan đến hệ thống kiểm sốt nội Có điểm trọng tâm, gồm: - Thực thi trách nhiệm xuyên suốt cấu quản lý, thẩm quyền trách nhiệm - Thiết lập hệ thống đánh giá chất lượng công việc, khen thưởng tạo động lực - Cân nhắc, so sánh phương pháp đánh giá chất lượng công việc, khen thưởng tạo động lực khác hoạt động liên quan - Cân nhắc đến áp lực, gánh nặng lớn - Đánh giá khả năng, khen thưởng hay kỷ luật cá nhân 1.4.2 Đánh giá rủi ro Đánh giá rủi ro trình linh động, lặp lặp lại nhằm xác định, phân tích đánh giá rủi ro ảnh hưởng đến việc đạt mục tiêu công ty, tạo nên sở để xác định rủi ro cần quản lý Nhà quản lý cần xem xét thay đổi có mơi trường bên ngồi mơ hình kinh doanh đơn vị ảnh hưởng đến việc đạt mục tiêu công ty Điều kiện tiên việc đánh giá rủi ro phải thiết lập mục tiêu liên kết cấp độ khác công ty Có bốn nguyên tắc liên quan đến đánh giá rủi ro hai mươi bảy (27) điểm trọng tâm nhằm hỗ trợ việc thiết lập đưa vào vận hành hệ thống kiểm soát nội bộ: 13 1.4.2.1 Xác định mục tiêu rõ ràng để tạo điều kiện cho việc đánh giá rủi ro Có 15 điểm trọng tâm, gồm có: Mục tiêu hoạt động: có điểm trọng tâm - Phản ánh lựa chọn quản lý cấp cao - Cân nhắc khả chịu đựng rủi ro - Bao gồm mục tiêu hoạt động lẫn mục tiêu hoạt động tài - Tạo tảng để cung cấp phân bổ nguồn lực Mục tiêu báo cáo tài bên ngồi: có điểm trọng tâm - Tn thủ tiêu chuẩn kế tốn áp dụng - Cân nhắc tính trọng yếu - Phản ánh hoạt động tổ chức Mục tiêu báo cáo phi tài bên ngồi: có điểm trọng tâm - Tuân thủ nguyên tắc khuôn khổ áp dụng - Cân nhắc mức độ yêu cầu xác - Phản ánh hoạt động tổ chức Mục tiêu báo cáo nội bộ: có điểm trọng tâm - Phản ánh lựa chọn người quản lý - Cân nhắc mức độ yêu cầu xác - Phản ánh hoạt động tổ chức Mục tiêu tuân thủ: có điểm trọng tâm - Phản ánh luật quy định áp đặt từ bên - Cân nhắc khả chống chịu rủi ro 1.4.2.2 Xác định rủi ro xuất phát từ bên tổ chức Có điểm trọng tâm, gồm: - Xác định đánh giá rủi ro xuất phát từ mục tiêu - Phân tích yếu tố bên bên ngồi - Liên quan mức độ thích hợp với công việc quản lý - Đánh giá ảnh hưởng lớn/ nhỏ rủi ro xác định - Cân nhắc giải pháp quản lý rủi ro 1.4.2.3 Xem xét khả xảy gian lận tiến hành đánh giá rủi ro tiềm ẩn liên quan đến mục tiêu tổ chức Có điểm trọng tâm, gồm: - Cân nhắc dạng gian lận khác - Đề cập đến động gian lận áp lực dẫn đến gian lận - Đề cập đến sơ hở, hội theo gian lận xảy 14 - Xem xét đánh giá thái độ biện hộ 1.4.2.4 Xác định đánh giá thay đổi tác động lớn đến hệ thống kiểm sốt nội Có điểm trọng tâm, gồm: - Đánh giá thay đổi mơi trường bên ngồi - Đánh giá thay đổi mơ hình kinh doanh - Đánh giá thay đổi lãnh đạo 1.4.3 Hoạt động kiểm soát Hoạt động kiểm soát thực tất cấp đơn vị, giai đoạn khác trình hoạt động kinh doanh mơi trường cơng nghệ để phịng ngừa giảm thiểu rủi ro đơn vị qua hoạt động thủ công hay tự động ủy quyền, phê duyệt, đánh giá chất lượng hoạt động kinh doanh Vì vậy, việc lựa chọn phát triển hoạt động kiểm sốt phải gắn liền với phân cơng, phân chia nhiệm vụ phải điều chỉnh hoạt động kiểm soát việc phân chia trách nhiệm không phù hợp Hoạt động kiểm soát phục vụ chế quản lý việc đạt mục tiêu tổ chức có nhiều phần q trình mà tổ chức phấn đấu để đạt mục tiêu Hoạt động kiểm soát hỗ trợ mục tiêu hoạt động, báo cáo tuân thủ tổ chức Ví dụ, Cơng ty bán hàng trực tuyến kiểm sốt an ninh hệ thống thơng tin ảnh hưởng đến q trình giao dịch xác hợp lệ khách hàng, việc bảo vệ thông tin mật cho thẻ tốn khách hàng, tính an tồn thường trực website bán hàng Trong trường hợp hoạt động kiểm sốt cần thiết Có ba nguyên tắc liên quan đến hoạt động kiểm soát mười bốn (14) điểm trọng tâm nhằm hỗ trợ việc thiết lập đưa vào vận hành hệ thống kiểm soát nội bộ: 1.4.3.1 Lựa chọn phát triển hoạt động kiểm soát nhằm giảm thiểu rủi ro Có điểm trọng tâm, gồm: - Gắn liền với việc đánh giá rủi ro - Cân nhắc yếu tố cụ thể tổ chức - Xác định quy trình kinh doanh cần kiểm sốt - Cân nhắc phối hợp loại hoạt động kiểm soát 1.4.3.2 Lựa chọn phát triển hoạt động kiểm sốt chung dựa tảng cơng nghệ Có điểm trọng tâm, gồm: - Xác định phụ thuộc lẫn việc áp dụng công nghệ vào trình kinh doanh việc quản lý cơng nghệ - Thiết lập hoạt động kiểm soát, điều khiển tảng công nghệ - Thiết lập hoạt động điều khiển, kiểm sốt quy trình quản lý an ninh - Thiết lập hoạt động kiểm soát dựa phát triển bảo trì cơng nghệ 1.4.3.3 Triển khai hoạt động kiểm sốt dựa sách thủ tục Có điểm trọng tâm, gồm: - Thiết lập sách, thủ tục hỗ trợ việc triển khai đạo ban quản lý - Thiết lập trách nhiệm trách nhiệm giải trình cho hoạt động kiểm soát - Hành động kịp thời quy định sách thủ tục 15 - Hành động khắc phục từ kết việc kiểm soát - Hành động giao cho cá nhân có khả - Xem xét lại, cân nhắc lại sách thủ tục 1.4.4 Thơng tin truyền thông Thông tin cần thiết cho việc thực trách nhiệm kiểm soát nội để hỗ trợ đạt mục tiêu đề công ty Truyền thông thực nội lẫn bên ngồi đơn vị, cung cấp cho cơng ty thơng tin cần thiết để thực hàng ngày hoạt động kiểm sốt nội Việc truyền thơng thơng tin cho phép nhân viên hiểu rõ trách kiểm soát nội tầm quan trọng họ việc đạt mục tiêu công ty Quản lý việc thu thập thông tin, cung cấp sử dụng thông tin có từ nội lẫn bên ngồi để phục vụ cho chức thành phần kiểm sốt nội Ngồi ra, việc kết hợp với thành phần khác hệ thống kiểm sốt nội bộ, thơng tin – truyền thơng hỗ trợ việc đạt mục tiêu công ty, bao gồm mục tiêu liên quan đến báo cáo nội bên ngồi Có ba ngun tắc liên quan đến thông tin truyền thông, mười bốn (14) điểm trọng tâm nhằm hỗ trợ việc thiết lập đưa vào vận hành hệ thống kiểm soát nội bộ: 1.4.4.1 Thu thập, xử lý sử dụng thông tin xác nhằm hỗ trợ q trình hoạt động thành phần khác kiểm soát nội Có điểm trọng tâm, gồm: - Xác định yêu cầu thông tin - Nắm bắt nguồn thơng tin nội bên ngồi - Xử lý liệu liên quan tổng hợp chúng thành thơng tin cần thiết - Duy trì chất lượng thơng qua quy trình xử lý - Cân nhắc chi phí lợi ích mang lại 1.4.4.2 Trao đổi thông tin nội nhằm hỗ trợ chức thành phần kiểm sốt nội Có điểm trọng tâm, gồm: - Giao tiếp thông tin kiểm soát nội - Giao tiếp với Ban tổng giám đốc - Cung cấp, hỗ trợ kênh giao tiếp riêng biệt - Chọn cách thức giao tiếp thích hợp 1.4.4.3 Trao đổi với bên bên ngồi vấn đề ảnh hưởng đến chức thành phần kiểm sốt nội Có điểm trọng tâm, gồm: - Giao tiếp với tổ chức bên ngồi - Cho phép trao đổi thơng tin hai chiều - Giao tiếp với Ban tổng giám đốc - Cung cấp, hỗ trợ kênh giao tiếp riêng biệt - Chọn cách thức giao tiếp thích hợp 16 1.4.5 Hoạt động giám sát Hoạt động giám sát lựa chọn, phát triển thực đánh giá hoạt động diễn liên tục riêng biệt, phối hợp hai loại đánh giá nhằm đảm bảo thành phần hệ thống kiểm sốt nội ln tồn hoạt động tốt; đánh giá xem tồn khiếm khuyết kiểm sốt nội hay khơng Kết đánh giá khiếm khuyết hệ thống kiểm soát nội truyền đạt kịp thời với quản lý cấp cao ban giám đốc vấn đề nghiêm trọng Việc quản lý cần xác định hệ thống kiểm sốt nội có liên tục, thích hợp có khả đối phó với rủi ro hay khơng Có hai ngun tắc liên quan đến Hoạt động giám sát, mười (10) điểm trọng tâm nhằm hỗ trợ việc thiết lập đưa vào vận hành hệ thống kiểm soát nội bộ: 1.4.5.1 Lựa chọn, phát triển thực đánh giá liên tục riêng biệt để đảm bảo thành phần kiểm soát nội áp dụng thực Có điểm trọng tâm, gồm: - Cân nhắc đánh giá hoạt động thường xuyên hoạt động riêng biệt - Lựa chọn phát triển đánh giá thường xuyên riêng biệt có cân nhắc đến thay đổi kinh doanh hoạt động kinh doanh - Thiết lập tiêu chuẩn đánh giá - Sử dụng nhân có kiến thức - Hoạt động đánh giá gắn liền với trình kinh doanh - Điều chỉnh quy mô tần số việc đánh giá riêng biệt tuỳ theo rủi ro - Thực đánh giá riêng biệt định kỳ để hỗ trợ mục tiêu phản hồi 1.4.5.2 Ước lượng thơng báo khiếm khuyết kiểm sốt nội cách kịp thời với bên có trách nhiệm để có giải pháp khắc phục Có điểm trọng tâm, gồm: - Đánh giá lại kết trình đánh giá thường xuyên riêng biệt - Truyền đạt, báo cáo khiếm khuyết hệ thống kiểm soát nội - Giám sát hoạt động khắc phục 17