6. Kết cấu của luận văn
1.1.2. Các bộ phận của hệ thống QTRR doanh nghiệp theo Coso 2004
phải đối mặt với nhiều loại rủi ro mới, phức tạp hơn, đòi hỏi phải có một lý thuyết về rủi ro và các kỹ thuật để có thể quản lý rủi ro một cách hiệu quả. Cùng với yêu cầu về QTRR, các lý thuyết về rủi ro, sau đó là các kỹ thuật và các hệ thống QTRR đƣợc hình thành.
Mặc dù đã tồn tại nhiều lý thuyết về QTRR nhƣng COSO vẫn khẳng định rằng cần thiết phải có một cách tiếp cận mới về rủi ro và phải xây dựng một khuôn mẫu lý thuyết cũng nhƣ các kỹ thuật áp dụng tƣơng đƣơng để các đơn vị có thể áp dụng phù hợp với điều kiện của mình.
Theo Báo cáo của COSO năm 2004 thì QTRR doanh nghiệp là một quá trình do hội đồng quản trị, các cấp quản lý và các nhân viên của đơn vị chi phối, đƣợc áp dụng trong việc thiết lập các chiến lƣợc liên quan đến toàn đơn vị và áp dụng cho tất cả các cấp độ trong đơn vị, đƣợc thiết kế để nhận dạng các sự kiện tiềm tàng có thể ảnh hƣởng đến đơn vị và QTRR trong phạm vi chấp nhận đƣợc của rủi ro nhằm cung cấp một sự đảm bảo hợp lý về việc đạt đƣợc các mục tiêu của đơn vị (COSO, 2004).
Cũng theo báo cáo của COSO năm 2004, QTRR doanh nghiệp bao gồm những bộ phận sau:
Môi trƣờng quản lý
Yếu tố đầu tiên của hệ thống kiểm soát nội bộ. Theo Báo cáo COSO 2004 “Môi trƣờng kiểm soát phản ánh sắc thái chung của một tổ chức, tác động đến ý thức củamọi ngƣời trong đơn vị, là nền tảng cho các bộ phận khác trong hệ thống”, các nhân tố của môi trƣờng kiểm soát bao gồm tính trung thực và các giá trị đạo đức; cam kết về năng lực, triết lý và phong cách điều hành của nhà quản trị; cách thức phân định quyền hạn và trách nhiệm; chính sách nhân sự; sự quan tâm và chỉ đạo của ban quản trị.
Xét trên khía cạnh xây dựng hệ thống kiểm soát nội bộ trong doanh nghiệp và tổng hợp từ các quan điểm khác nhau về môi trƣờng kiểm soát rút
ra khái niệm sau về môi trƣờng kiểm soát: môi trƣờng kiểm soát là toàn bộ các nhân tố bên trong và bên ngoài đơn vị có ảnh hƣởng đến việc thiết kế, vận hành và duy trì các thành phần khác của hệ thống kiểm soát nội bộ. Môi trƣờng kiểm soát đƣợc xác định gồm các yếu tố cụ thể sau: đặc thù về quản lý, cơ cấu tổ chức, chính sách và thủ tục về nhân sự, công tác kế hoạch và lập dự toán, Sự tham gia của Ban quản trị (Hội đồng quản trị, Ban kiểm soát và kiểm toán viên nội bộ...), các nhân tố bên ngoài. Các yếu tố của môi trƣờng chủ yếu tác động lên nhận thức của nhà quản trị cấp cao trong doanh nghiệp.
Thiết lập mục tiêu
Theo nhận định của nhiều nhà nghiên cứu, hệ thống KSNB hiệu lực và hiệu quả sẽ thúc đẩy hoạt động doanh nghiệp và đảm bảo các mong muốn của nhà quản trị sẽ trở thành hiện thực thông qua việc đảm bảo các mục tiêu kiểm soát đã thiết lập khi xây dựng hệ thống. Bên cạnh đó, nhà quản trị cũng phải quan tâm tới chi phí của hệ thống kiểm soát nội bộ, đảm bảo lợi ích mà hệ thống mang lại phù hợp với chi phí bỏ ra, yếu tốphí phải đƣợc xem xét kết hợp với mục tiêu của hệ thống kiểm soát nội bộ trong doanh nghiệp. Nhƣ vậy, mục tiêu của hệ thống kiểm soát nội bộ có thể xem nhƣ là điều kiện tiên quyết phải xác định trƣớc khi xây dựng trong doanh nghiệp.
Mục tiêu cơ bảncủa hệ thống kiểm soát nội bộ là hệ thống phải giúp đảm bảo một cách hợp lý các mong muốn của nhà quản trị trong nâng cao hiệu quả hoạt động và hiệu năng quản lý. Mục tiêu cơ bản đƣợc cụ thể hóa thành mục tiêu hoạt động, mục tiêu thông tin, mục tiêu tuân thủ. Tuy nhiên, trong quá trình vận dụng và xây dựng hệ thống kiểm soát nội bộ tại từng đơn vị, nhà quản trị cần chú ý tới tính linh hoạt trong thiết lập mục tiêu cụ thể, lý do là mục tiêu cụ thể về kiểm soát phụ thuộc lớn vào triết lý và quan điểm điều hành của nhà quản trị.
với sự tồn tại của đơn vị thông qua việc đảm bảo hiệu quả và hiệu lực của hoạt động. Mục tiêu động thƣờng phản ánh đặc điểm kinh doanh và ngành nghề kinh doanhcủa doanh nghiệp, do đó nếu không đƣợc thiết lập một cách hợp lý thì có thể dẫn tới việc sử dụng các nguồn lực trong đơn vị bị lãng phí hoặc không hiệu quả. Thông thƣờng, mục tiêu hoạt động sẽ đƣợc chi tiết ra thành: mục tiêu bảo vệ tài sản trong đơn vị bao gồm cả tài sản ngắn hạn và dài hạn tránh khỏi việc bị trộm cắp hoặc bị hƣ hỏng, bị lạm dụng; mục tiêu bảo vệ thông tin do có một số lƣợng lớn thông tin đƣợc lƣu trữ trong hệ thống máy tính nên cần phải bảo vệ một cách cẩn thận; mục tiêu hiệu quả nhằm vào việc ngăn ngừa sự lãng phí trong kinh doanh, sử dụng không hiệu quả các nguồn lực, nâng cao chất lƣợng hoạt động
Nhận dạng sự kiện tiềm tàng
Tại các doanh nghiệp thƣờng có 12 loại rủi ro hàng đầu nhƣ sau: sự yếu kém của nhà quản trị, nhân sự thiếu kiến thức và năng lực, cơ cấu tổ chức không đảm bảo phân chia trách nhiệm cụ thể, sai quy trình thực hiện (xử lý các nghiệp vụ không đúng quy trình…), rủi ro do các hoạt động bất thƣờng và các hoạt động có liên quan đến danh tiếng và uy tín của đơn vị, rủi ro pháp lý, rủi ro liên quan đến văn bản tài liệu, rủi ro thanh toán, rủi ro công nghê thông tin, rủi ro an ninh, rủi ro từ cơ sở hạ tầng (với ngành dầu khí, điện, nƣớc…), rủi ro từ những vấn đề mà đơn vị ít hiểu biết nhƣ các sự kiện có thể xảy ra trong tƣơng lai liên quan đến những tranh chấp pháp lý…
Đánh giá rủi ro
Nền tảng cho việc xây dựng hệ thống kiểm soát nội bộ là môi trƣờng kiểm soát nhƣng để xác định trọng tâm công việc kiểm soát thì quy trình đánh giá rủi ro sẽ là thành phần cần đƣợc thiết lập tiếp theo. Quy trình này sẽ giúp nhận diện và phân tích các rủi ro đối với quá trình thực hiện các mục tiêu của đơn vị để từ đó thiết kế các thủ tục kiểm soát – đây đƣợc coi là nhân tố then
chốt để phát huy hiệu quả và hiệu năng của hệ thống kiểm soát nội bộ. Doanh nghiệp không chỉ thiết lập mục tiêu mong muốn đạt đƣợc mà còn phải hiểu đƣợc với những rủi ro gặp phải trong quá trình thực hiện. Cụ thể, quy trình này sẽ đƣợc thực hiện thông qua các bƣớc sau: Xác định mục tiêu, Nhận diện rủi ro, Phân tích và đánh giá rủi ro, Quản trị sự thay đổi.
Xác định mục tiêu: nhà quản trị phải thiết lập các mục tiêu kiểm soát cần đạt đƣợc gồm cả mục tiêu tổng quát và mục tiêu chi tiết. Mục tiêu tổng quát đƣợc trình bày ở phần trên bao gồm mục tiêu về hoạt động, thông tin và tuân thủ. Tùy đối tƣợng kiểm soát cụ thể, mục tiêu chi tiết về kiểm soát sẽ đƣợc thiết lập. Đồng thời, nhà quản trị phải xác định mục tiêu then chốt để tập trung các thủ tục kiểm soát.
Nhận diện rủi ro: Nhà quản trị phải xác định đƣợc các rủi ro có liên quan đến thực hiện mục tiêu của kiểm soát. Điều này đòi hỏi nhà quản trị phải có hiểu biết căn bản về quản trị rủi ro và coi việc nhận diện rủi ro là một quá trình bắt buộc trong lập kế hoạch (Đơn vị có cơ chế để nhận diện rủi ro không? Nguyên nhân nào gây ra rủi ro – gồm cả nguyên nhân từ bên trong đơn vị và bên ngoài đơn vị?). Rủi ro đƣợc xác định ở hai mức độ là rủi ro của toàn đơn vị, rủi ro từng bộ phận. Rủi ro của toàn đơn vị có thể phát sinh do các nhân tố bên trong (năng lực của nhân viên thay đổi ngƣời quản lý, ngành nghề kinh doanh của đơn vị, Ban Kiểm soát hoạt động không hiệu quả, hệ thống xử lý thông tin bị trục trặc…) và bên ngoài đơn vị (điều kiện khí hậu, quy định mới của luật pháp, đối thủ cạnh tranh, yêu cầu của khách hàng, công nghệ mới…). Nhận diện rủi ro đƣợc thực hiện thông qua việc định kỳ đánh giá và xem xét lại các nhân tố ảnh hƣởng tới rủi ro, tập trung vào các nhân tố liên quan năng lực của nhân viên, những kinh nghiệm về rủi ro đã xảy ra trong quá khứ, quá trình ghi chép và xử lý hoạt động chủ yếu của đơn vị, quy định luật pháp có liên quan... Tiếp theo đó, tiến hành xác định nhân tố chính
gây ra rủi ro và thực hiện việc ƣớc tính khả năng xảy ra rủi ro. Rủi ro cũng cần đƣợc nhận diện ở từng bộ phận trong đơn vị, từng hoạt động cụ thể nhƣ rủi ro ở bộ phận bán hàng, sản xuất, kỹ thuật... Việc đánh giá đúng các rủi ro bộ phận nhằm duy trì rủi ro toàn đơn vị ở mức hợp lý.
Phản ứng với rủi ro;
Phân tích và đánh giá về rủi ro: bao gồm các bƣớc đánh giá về tầm quan trọng của rủi ro (đánh giá xem liệu đơn vị có chấp nhận rủi ro kinh doanh cao để có cơ hội gia tăng lợi nhuận nhanh chóng?), phân tích về rủi ro (đánh giá khả năng xảy ra rủi ro và ảnh hƣởng của rủi ro), quyết định hành động thích hợp với rủi ro (quản trị rủi ro), xem xét các giả định về rủi ro, phân tích chi phí bỏ ra để giảm rủi ro, lựa chọn biện pháp đối phó với rủi ro thích hợp (xác định xem nên làm gì: giảm thiểu rủi ro hay chia sẻ rủi ro hay chấp nhận rủi ro), thiết lập các thủ tục kiểm soát bổ sung để nâng cao tính hữu hiệu hệ thống kiểm soát trong việc đối phó với rủi ro (cần lƣu ý là trƣớc khi bổ sung thủ tục kiểm soát cần phải xem xét kỹ xem các thủ tục hiện hành có đủ để đối phó với rủi ro không?). Trong đánh giá rủi ro, nhà quản trị cũng cần chú ý là rủi ro không chỉ phát sinh từ các nhân tố bên trong và bên ngoài đã nêu ở trên mà còn có thể phát sinh do hạn chế cố hữu của hệ thống kiểm soát nội bộ. Quy trình này sẽ phát huy tác dụng với hệ thống kiểm soát nội bộ khi nhận dạng đƣợc nhân tố chính gây ra rủi ro, sau đó đƣa ra biện pháp kiểm soát thích hợp. Báo cáo rủi ro và tác động của rủi ro tới hoạt động của doanh nghiệp cho nhà quản trị cũng là một nội dung quan trọng có ảnh hƣởng tới các chính sách và thủ tục kiểm soát, phải thực hiện càng sớm càng tốt để ngăn ngừa rủi ro phát sinh, báo cáo phải tập trung vào các thiệt hại quan trọng có thể xảy ra. Quản trị sự thay đổi: đơn vị cần có một cơ chế để nhận diện những thay đổi có tác động đáng kể đến khả năng đạt mục tiêu đã thiết lập thông qua việc thu thập, xử lý, cung cấp báo cáo về những sự thay đổi mà cần chú ý đặc biệt nhƣ:
sự thay đổi của môi trƣờng hoạt động, nhân sự mới, nâng cấp hệ thống máy tính, kỹ thuật mới, tái cơ cấu, hoạt động ở nƣớc ngoài... Cơ chế này không cần quá phức tạp có thể kết hợp trong các cuộc tổng kết hoạt động, cuộc họp về phƣơng hƣớng kinh doanh... Tuy nhiên, đây xác định là một nội dung khó vì nhận định về tƣơng lai là điều không chắc chắn nhƣng nếu có một cơ chế phù hợp giúp dự đoán đƣợc những thay đổi trọng yếu thì có thể tạo cơ hội hạn chế rủi ro.
Hoạt động kiểm soát
Hoạt động kiểm soát là tập hợp các chính sách và thủ tục đảm bảo cho các chỉthị của nhà quản lý đƣợc thực hiện, là các hành động cần thiết thực hiện để đối phó với rủi ro đe dọa đến việc đạt đƣợc mục tiêu của tổ chức. Hoạt động kiểm soát tồntại ở mọi bộ phận và mọi cấp độ tổ chức trong một đơn vị.
Hoạt động kiểm soát có mặt xuyên suốt trong tổ chức, ở các mức độ và các chức năng, là những chính sách và thủ tục để đảm bảo cho các chỉ thị của nhà quản lý đƣợc thực hiện. Hoạt động kiểm soát bao gồm các hoạt động kiểm soát phòng ngừa và phát hiện rủi ro. Do đó, để cân bằng giữa thủ tục kiểm soát phát hiện và phòng ngừa thông thƣờng là phối hợp các hoạt động kiểm soát để hạn chế, bổ sung lẫn nhau giữa các thủ tục kiểm soát.
Hoạt động kiểm soát gồm những nguyên tắc sau:
Đơn vị phải lựa chọn, thiết lập các hoạt động kiểm soát để góp phần hạn chế các rủi ro giúp đơn vị đạt mục tiêu trong giới hạn chấp nhận đƣợc.
Đơn vị lựa chọn và phát triển hoạt động kiểm soát chung với công nghệ hiện đại để hỗ trợ sự thành công cho việc đạt đƣợc các mục tiêu của đơn vị.
Đơn vị triển khai hoạt động kiểm soát thông qua nội dung các chính sách đã đƣợc thiết lập và triển khai thành các thủ tục.
Thông tin và truyền thông
lƣu trữ và cung cấp thông tin trong đơn vị và góp phần tạo sự kết nối với các thành phần khác trong hệ thống kiểm soát nội bộ. Hệ thống thông tin và truyền thông ở đây bao gồm cả các thông tin giúp cho việc ra quyết định và việc cung cấp thông tin cho các nhà quản trị trong đơn vị và các cá nhân có liên quan bên ngoài đơn vị. Nội dung của thành phần này bao gồm hai bộ phận là hệ thống thông tin (trong đó thông tin do hệ thống kế toán cung cấp là quan trọng nhất) và truyền thông (cách thức trao đổi thông tin giữa các bộ phận bên trong đơn vị và bên ngoài đơn vị). Hệ thống thông tin: hệ thống này đƣợc thể hiện trong các báo cáo bao gồm cả thông tin bên trong và bên ngoài, thông tin tài chính và phi tài chính, thông tin về hoạt động thƣờng xuyên (sản xuất, bán hàng...) và không thƣờng xuyên (nhu cầu khách hàng...) cần thiết cho việc đạt mục tiêu của kiểm soát. Nguồn cung cấp thông tin thƣờng tới từ: hệ thống kế toán - giúp cung cấp phần lớn thông tin cần thiết thông qua các báo cáo của kế toán tài chính và kế toán quản trị, các báo cáo về sản xuất kinh doanh, nhân sự, marketing, các cuộc điều tra thị trƣờng (bằng bảng câu hỏi,phỏng vấn, trao đổi với khách hàng), các cuộc họp, các hội thảo chuyên ngành, các buổi tập huấn và đào tạo chuyên môn... Hệ thống thông tin tốt thƣờng có đặc điểm sau: hỗ trợ cho chiến lƣợc kinh doanh, hỗ trợ các sáng kiến kinh nghiệm, tích hợp thông tin của nhiều hoạt động (kết hợp thông tin sản xuất với thông tin tài chính), phối hợp thông tin mới và cũ, đảm bảo chất lƣợng thông tin (kịp thời, thích hợp, chính xác, cập nhật)
Hệ thống thông tin và truyền thông có quan hệ không thể tách rời tạo thành một thành phần thống nhất trong hệ thống kiểm soát nội bộ có ảnh hƣởng và liên quan tới mọi cá nhân, bộ phận trong đơn vị cũng nhƣ các đối tƣợng bên ngoài. Các phƣơng pháp cụ thể đƣợc tiến hành trong thành phần này bao gồm: duy trì hệ thống kế toán, báo cáo quản trị nội bộ, cập nhật các quy định mới, cập nhật các chính sách kế toán mới, công nghệ mới, các cuộc họp với nhân viên, đào tạo...
Giám sát
Giám sát kiểm soát đƣợc hiểu là quá trình đánh giá chất lƣợng của hệ thống kiểm soát nội bộ qua từng giai đoạn, nhằm đảm bảo hệ thống kiểm soát nội bộ luôn hoạt động hữu hiệu, phát hiện kịp thời những khiếm khuyết của hệ thống kiểm soát nội bộ và có biện pháp khắc phục càng sớm càng tốt. Giám sát bao gồm giám sát thƣờng xuyên và giám sát định kỳ, đánh giá về hệ thống kiểm soát nội bộ, báo cáo về hạn chế của hệ thống. Giám sát thƣờng xuyên đƣợc thực hiện đồng thời cùng với các hoạt động hàng ngày từ khâu lập kế hoạch, thực hiện, kiểm tra. Phạm vi hoạt động giám sát thƣờng xuyên rất rộng và công việc này đƣợc lồng ghép cùng với các thủ tục kiểm soát trực tiếp các hoạt động. Mức độ của giám sát thƣờng xuyên là lặp đi lặp lại liên tục. Giám sát thƣờng xuyên sẽ giúp nâng cao hiệu quả kiểm soát. Bên cạnh giám sát thƣờng xuyên, nhà quản lý còn cần có thông tin đầy đủ, toàn diện và khách quan hơn về tính hiệu quả, hiệu lực của hệ thống kiểm soát nội bộ thông qua giám sát định kỳ. Giám sát định kỳ thƣờng thực hiện theo thời gian