2013 và COSO 2016
1.3.6 Hoạt động kiểm soát
Hoạt động kiểm soátlà tập hợp các chính sách và thủ tục được thiết kế nhằm đảm bảo việc đạt được mục tiêu và việc chú trọng đến hệ thống KSNB một cách hợp lý. Hoạt động này luôn tồn tại và bao trùm lên tất cả các cấp độ trong tổ chức, đảm bảo hoạt động QTRR được tiến hành và được thực hiện cho bốn nhóm mục tiêu: chiến lược, hoạt động, báo cáo và tuân thủ.
Căn cứ theo yêu cầu và chức năng KSNB, hoạt động kiểm soát được chia thành năm loại: kiểm tra ngăn ngừa, kiểm tra bảo vệ, kiểm tra bằng tay, kiểm tra bằng máy tính, kiểm tra quản trị.
Nhà quản trị cần xác định các hoạt động kiểm soát phù hợp để đảm bảo các cách thức đối phó với rủi ro được tiến hành hợp lý và đúng lúc.
1.3.7. Thông tin và truyền thông.
Trong QTRR doanh nghiệp, thông tin rất cần thiết để thực hiện việc xác định, đánh giá và đối phó với rủi ro hướng đến việc đạt mục tiêu của doanh nghiệp. Nhà quản trị cần một lượng thông tin liên quan đến một hoặc một nhóm mục tiêu, thông tin về các hoạt động bên trong hoặc bên ngoài doanh nghiệp, thông tin tài chính hoặc phi tài chính… Các nhà quản trị cần phải xác định, xử lý khối lượng lớn thông tin nhận được thành thông tin hữu ích cũng như tìm kiếm các nguồn cung cấp thông tin tối cần thiết (như họp mặt khách hàng, nhà cung cấp, tham gia các hiệp hội nghề nghiệp hoặc tham gia các diễn đàn liên quan đến ngành nghề kinh doanh…).Vì vậy, doanh nghiệp cần xây dựng một hệ thống thông tin đạt các yêu cầu như linh hoạt và hội nhập một cách hiệu quả với các đối tác, gắn kết các lĩnh vực hoạt động của doanh nghiệp để cung cấp thông
tin cho nhà quản trị kịp thời và hiệu quả, chiều sâu và thời gian của thông tin tương thích với nhu cầu về nhận diện, đánh giá, đối phó với rủi ro và phạm vi sức chịu đựng rủi ro của tổ chức, kiểm soát được chất lượng thông tin của doanh nghiệp.
Truyền thông gắn liền với hệ thống thông tin, là những ứng xử đối với những kỳ vọng và nhiệm vụ và những vấn đề quan trọng khác trong tổ chức. Doanh nghiệp cần có một hệ thống truyền thông hiệu quả bao gồm truyền thông nội bộ và truyền thông ra bên ngoài nhằm tăng tính hiệu quả của việc QTRR. Vì vậy, doanh nghiệp cần lựa chọn các phương tiện truyền thông phù hợp với đặc điểm hoạt động động của mình. Các phương tiện truyền thông không chỉ bao gồm các sổ tay về chính sách, các bản ghi nhớ, email, bảng thông báo,… mà còn là cách ứng xử của nhà quản trị đối với cấp dưới.
1.3.8. Giám sát.
Giám sát là quá trình thực hiện các kiểm tra, đánh giá liên tục và độc lập cũng như báo cáo về kết quả và những khiếm khuyết cần khắc phục nhằm đạt các mục tiêu đã đề ra của tổ chức. Khi môi trường kinh doanh hoặc mục tiêu của doanh nghiệp thay đổi do các nguyên nhân khách quan (như thay đổi cơ cấu tổ chức, thay đổi nhân sự, quy trình kinh doanh…), quá trình giám sát giúp ban quản trị xác định được các chức năng của các thành phần thuộc hệ thống QTRR vận hành hiệu quả hay không.
Hoạt động giám sát gồm hai hình thức là giám sát liên tục và đánh giá riêng biệt. Hoạt động giám sát liên tục được thiết lập trong các hoạt động tác nghiệp bình thường liên tục, tuần hoàn giúp doanh nghiệp có được những thông tin phản hồi liên tục vè tính hiệu quả của các thành phần của hệ thống QTRR.Hoạt động giám sát liên tục mang lại nhiều hiệu quả hơnhoạt động đánh giá riêng biệt nhờ những hoạt động tiền kiểm tra và kiểm tra ngăn ngừa. Tuy nhiên, khi chiến lược, các quá trình chủ yếu hoặc cơ cấu tổ chức thay đổi, nhà quản trị cần thực hiện các hoạt động giám sát ngay tức thì nhằm phát hiện các vấn đề nhanh hơn. Hai hình thức giám sát nêu trên cần được sử dụng kết hợp để đảm bảo hệ thống QTRR luôn
duy trì được tính hiệu quả.
Ngoài ra, những khiếm khuyết của hoạt động QTRR cần được báo cáo đầy đủ, kịp thời cho các cấp quản trị phù hợp để củng cố việc QTRR và tăng khả năng đạt được mục tiêu của doanh nghiệp.
1.4. Quản trị rủi ro và vai trò của hệ thống kiểm soát nội bộ đối với vấn đề quản trị rủi ro trong doanh nghiệp.
1.4.1. Khái niệm về quản trị rủi ro.
Theo COSO, QTRR doanh nghiệp là một quá trình chịu sự tác động của HĐQT, ban điều hành và những người khác trong doanh nghiệp, được áp dụng từ việc xây dựng chiến lượcvà xuyên suốt trong tổ chức, được thiết lập để nhận diện biến cố có khả năng tác động đến doanh nghiệp đồng thời để quản lý các rủi ro nằm trong phạm vi mức độ rủi ro của doanh nghiệp và các đảm bảo hợp lý việc đạt được các mục tiêu đã đặt ra.
1.4.2. Phân loại rủi ro.
Căn cứ theo tính khách quan:
Rủi ro chủ quan: là ước tính của một cá nhân về rủi ro, vì vậy chịu tác động của trình độ học vấn, kinh nghiệm của cá nhân đó.
Rủi ro khách quan: thường định lượng được bằng cách thống kê số liệu để ước tính sự sai lệch của kết quả thực tế so với kế hoạch.
Căn cứ theo phạm vi ảnh hưởng:
Rủi ro cơ bản: phát sinh từ nguyên nhân ngoài tầm kiểm soát, gây hậu quả nghiêm trọng và không thể đa dạng hóa.
Rủi ro riêng biệt: xuất phát từ các biến cố chủ quan của từng cá nhân (tổ chức) và chỉ tác động đến một cá nhân (tổ chức) nhất định. Loại rủi ro này có thể đa dạng hóa.
Căn cứ theo nguồn gốc phát sinh rủi ro:
Rủi ro tĩnh: do tác động từ những thay đổi của môi trường tự nhiên tạo ra, là nguồn gốc của rủi ro thuần túy.
Rủi ro động: do những thay đổi của nền kinh tế, chính trị và pháp luật gây ra.
Căn cứ theo phạm vi xuất hiện rủi ro:
Rủi ro hệ thống: loại rủi ro gắn liền với môi trường kinh doanh, chính trị và pháp luật vì vậy không có khả năng được đa dạng hóa.
Rủi ro cụ thể: loại rủi ro gắn liền với hoạt động sản xuất kinh doanh hoặc lĩnh vực hoạt động khác của doanh nghiệp nên có thể được đa dạng hóa.
Căn cứ theo COSO:
Rủi ro chiến lược: phát sinh từ những quyết định nền tảng của HĐQT thực hiện liên quan đến mục tiêu của tổ chức.
Rủi ro hoạt động: phát sinh từ quá trình nội bộ thiếu sót hoặc thất bại, do tác động của con người, hệ thống hay những biến cố bên ngoài.
Rủi ro về báo cáo tài chính: là rủi ro xảy ra khi các hồ sơ, tài liệu cung cấp ra bên ngoài theo qui định của pháp luật, theo thỏa thuận hoặc cam kết chứa đựng thông tin sai sót và không đáng tin cậy.
Rủi ro tuân thủ: là rủi ro phát sinh tù việc không tuân thủ luật pháp, các qui định, tiêu chuẩn, chính sách nội bộ và sự kỳ vọng của các đối tượng hữu quan (khách hàng, nhà cung cấp, nhân viên,…).
1.4.3. Quy trình quản trị rủi ro doanh nghiệp.
(Nguồn: Giáo trình QTRR doanh nghiệp)
Sơ đồ 1.1: Quy trình QTRR doanh nghiệp
Quy trình QTRR gồm sáu bước, có tính liên tục:
Bước 1: Xác định chiến lược và các mục tiêu của doanh nghiệp, từ đó tạo nền tảng cho các bước tiếp theo.
Bước 2: Nhận diện biến cố nhằmphát hiện các sự kiện có thể ảnh hưởng đến việc thực hiện chiến lược và mục tiêu của doanh nghiệp, phân nhóm biến cốvà xác định là nguy cơ hay cơ hội để tiến hành quản lývà phân cấp rủi ro, bao gồm rủi ro cấp doanh nghiệp và rủi ro cấp bộ phận.
Bước 3: Đánh giá rủi ro trên hai khía cạnh là khả năng xảy ra và mức độ ảnh hưởng của các rủi ro. Đồng thời, nhà quản trị cần xem xét các biện pháp kiểm soát rủi ro.
Bước 4: Đối phó với rủi ro đảm bảo rủi ro còn lại nằm trong phạm vi mức độ rủi ro của doanh nghiệp. Căn cứ vào kết quả của bước nhận diện biến cố (nguy cơ hay cơ hội) và đánh giá rủi ro, nhà quản trị lựa chọn các chiến lược đối phó phù hợp. 1. Xác định chiến lược và các mục tiêu 2. Nhận diện biến cố 3. Đánh giá rủi ro 4. Đối phó với rủi ro 5. Các hoạt động kiểm tra 6. Truyền thông và giám sát
Bước 5: Thực hiện các hoạt động kiểm tra đảm bảo các hoạt động đối phó với rủi ro được thực hiện.
Bước 6: Truyền thông và giám sát. Truyền thông gắn liền với hệ thống thông tin của tổ chức giúp các cá nhân trong đó thực hiện nhiệm vụ của họ. Thực hiện giám sát nhằm đảm bảo các bước trên tồn tại và thực hiện đúng chức năng. Bên cạnh đó, việc báo cáo các khuyết điểm là một phần của thành phần giám sát, giúp nhà quản trị chú ý đến các điểm yếu kém hoặc tiềm năng nhằm tăng khả năng đạt mục tiêu của doanh nghiệp.
Sau khi thực hiện truyền thông và giám sát, nhà quản trị tiếp tục thực hiện bước xác định chiến lược và các mục tiêu. Trong quy trình quản trị doanh nghiệp, việc xác định chiến lược và mục tiêu là điểm bắt đầu và cũng là đích đến mà mọi hoạt động trong quy trình đều hướng đến.
1.4.4. Vai trò của hệ thống kiểm soát nội bộ đối với vấn đề quản trị rủi ro trong doanh nghiệp.
KSNB là một phần quan trọng trong QTRR doanh nghiệp. QTRR doanh nghiệp được áp dụng trong việc xây dựng mục tiêu từ cấp độ chiến lược toàn doanh nghiệp đến cấp độ bộ phận và dựa vào KSNB nhằm đảm bảo việc đạt được các mục tiêu đã đề ra. Cả hai được kết nối và bổ sung mạnh mẽ cho nhau trong việc hỗ trợ quản trị doanh nghiệp. Hai thành phần đánh giá rủi ro và đối phó với rủi ro cần phải có sự tham gia của KSNB đảm bảo việc đánh giá và đối phó được thực hiện hướng theo mục tiêu của doanh nghiệp. Vì vậy, việc áp dụng COSO 2004 vẫn được thực hiện song song và không bị thay thế bởi COSO 2013.
Mối liên hệ giữa KSNB và QTRR được thể hiện rõ qua mô hình “Ba tuyến phòng thủ”2.
Ban lãnh đạo cấp cao
HĐQT/Ủy ban kiểm toán
`C ơ q u an nh à n ư ớ c K iể m to án đ ộc lậ p Rà soát hoạt động Tuyến thứ nhất
Hoạt động kiểm soát
Tuyến thứ hai
Kiểm soát tài chính An ninh QTRR Chất lượng Thanh tra Tuân thủ Tuyến thứ ba
Kiểm toán nội bộ
(Nguồn: https://www.iia.org.uk/)
Sơ đồ 1.2: Mô hình “Ba tuyến phòng thủ”
Tuyến phòng thủ thứ nhất: Quản trị vận hành (quản lý một bộ phận chức năng tương ứng trong doanh nghiệp).
Trong tuyến phòng thủ này, các nhà quản trị vận hành là những người sở hữu và quản lý rủi ro. Họ chịu trách nhiệm duy trì các biện pháp KSNB hiệu quả và thực hiện các quy trình kiểm soát rủi ro hàng ngày, thực hiện các biện pháp nhằm khắc phục các thiếu sót của quy trình và kiểm soát.
Các nhà quản trị vận hành xác định, đánh giá, kiểm soát nhằm giảm nhẹ rủi ro, hướng dẫn phát triển và thực hiện các chính sách và thủ tục nội bộ, đảm bảo rằng các hoạt động phù hợp với mục tiêu đã đặt ra.
và quy trình nhằm hướng dẫn công việc. Cần có đầy đủ hoạt động kiểm soát về quản lý và giám sát đúng chỗ để đảm bảo sự tuân thủ và làm nổi bật các sự cố xảy ra trong quá trình kiểm soát, các quá trình không đầy đủ và các sự kiện không mong muốn.
Tuyến phòng thủ thứ hai: QTRR và các bộ phận tuân thủ
Tuyến phòng thủ này thiết lập các chức năng tuân thủ và QTRR khác nhau để giám sát việc kiểm soát tuyến phòng thủ đầu tiên. Các chức năng điển hình của tuyến phòng thủ thứ hai gồm có:
Chức năng QTRR: tạo điều kiện và giám sát việc thực hiện các biện pháp QTRR bằng các hoạt động quản lý, hỗ trợ giúp nhà quản trị vận hành xác định các rủi ro liên quan đến báo cáo và việc thực hiện mục tiêu cũng như có đầy đủ thông tin liên quan rủi ro đến toàn bộ tổ chức.
Chức năng tuân thủ: giám sát những rủi ro cụ thể liên quan đến việc không tuân thủ pháp luật và các quy định hiện hành.
Chức năng giám sát các rủi ro tài chính và các vấn đề báo cáo tài chính. Tuyến phòng thủ thứ hai gồm các bộ phận trực thuộc Ban lãnh đạo doanh nghiệp, thực hiện các chức năng độc lập với tuyến phòng thủ đầu tiên, đảm bảo tuyến này được thiết kế đúng cách và hoạt động như kế hoạch cũng như trực tiếp tham gia vào việc sửa đổi và phát triển hệ thống rủi ro và KSNB.
Tuyến phòng thủ thứ ba: Kiểm toán nội bộ (trực thuộc Ban kiểm soát và độc lập hoàn toàn với Ban điều hành)
Kiểm toán nội bộ là bộ phận đảm bảo tính hiệu quả của quản trị doanh nghiệp, QTRR và KSNB trong doanh nghiệp, đánh giá hai tuyến phòng thủ trước và các rủi ro có thể xảy ra một cách khách quan và độc lập. Phạm vi báo cáo của tuyến này bao gồm:
Các mục tiêu như: hiệu quả hoạt động, an toàn tài sản, độ tin cậy và tính toàn vẹn của quy trình báo cáo, sự tuân thủ luật pháp, quy định, chính sách, thủ tục và hợp đồng.
Các yếu tố trong khuôn khổ KSNB và QTRR, bao gồm: môi trường KSNB, xác định rủi ro, đánh giá rủi ro, phản ứng với rủi ro, thông tin và truyền thông, giám sát.
Tổng thể doanh nghiệp, các bộ phận, công ty con, doanh nghiệp điều hành, và các chức năng (các quy quy trình kinh doanh: bán hàng, sản xuất, marketing, bộ phận chăm sóc khách hàng), và các hoạt động hỗ trợ (kế toán tài chính, nguồn nhân lực, thu mua, biên chế, ngân sách, cơ sở hạ tầng và quản lý tài sản, hàng tồn kho và công nghệ thông tin).
Thiết lập hoạt động kiểm toán nội bộ chuyên nghiệp rất quan trọng đối với tất cả các doanh nghiệp thuộc bất cứ quy mô nào, vì một cơ cấu tổ chức yếu kém không đáp ứng được môi trường phức tạp bên ngoài, không thể đảm bảo tính hiệu quả của quản trị doanh nghiệp và QTRR của tổ chức.
Biện pháp tốt nhất để thiết lập và duy trì chức năng kiểm toán nội bộ độc lập, đầy đủ và có thẩm quyền, bao gồm:
Hoạt động theo chuẩn mực kiểm toán nội bộ quốc tế ;
Việc thực hiện báo cáo với lãnh đạo cấp cao trong tổ chức phải đáp ứng được tính độc lập của bộ phận kiểm toán nội bộ;
Báo cáo một cách chủ động và có hiệu quả đến cơ quan chủ quản. Kiểm toán độc lập, các nhà lập pháp và các cơ quan bên ngoài khác. Những doanh nghiệp này hoạt động độc lập và thuộc yếu tố bên ngoài doanh nghiệp, nhưng họ cũng có vai trò quan trọng trong cơ cấu quản trị và kiểm soát tổng thể của tổ chức, đặc biệt là trong các ngành chịu tác động từ các quy định của nhà nước, chẳng hạn như dịch vụ tài chính hoặc bảo hiểm. Các nhà lập pháp đôi khi thiết lập các yêu cầu nhằm tăng cường kiểm soát trong tổ chức, hoặc thực hiện một chức năng độc lập và khách quan để đánh giá toàn bộ hoặc một phần của các tuyến phòng thủ. Khi được phối hợp một cách hiệu quả, những kiểm toán viên độc lập, các nhà lập pháp và các cơ quan độc lập bên ngoài tổ chức này có thể được xem như một tuyến phòng thủ bổ sung, cung cấp sự đảm
bảo cho các cổ đông và cả cơ quan chủ quản.
Ở Việt Nam, kiểm soát nội bộ đã tồn tại và phát triển nhưng phần lớn còn tồn tại nhiều yếu kém, chưa phát huy hết vai trò công cụ quản lý của doanh nghiệp. Vì vậy, việc nghiên cứu kinh nghiệm của các nước trên thế giới để vận dụng là điều cần thiết đối với các doanh nghiệp Việt Nam hiện nay.