7. Kết cấu của đề tài
1.2.4.1. Khái niệm và mục tiêu của kiểm soát nội bộ
Theo hướng dẫn INTOSAI năm 1992 Khái niệm KSNB được định nghĩa như sau:
“KSNB là cơ cấu của một tổ chức, bao gồm nhận thức, phương pháp, quy trình và các biện pháp của người lãnh đạo nhằm bảo đảm sự hợp lý để đạt được các mục tiêu của tổ chức”. [17]
- Thúc đẩy các hoạt động của đơn vị diễn ra có trình tự, đạt được tính hữu
hiệu và hiệu quả trong việc thực hiện nhiệm vụ của đơn vị.
- Bảo vệ các nguồn lực không bị thất thoát, tham ô, lãng phí và sử dụng sai
mục đích.
- Khuyến khích tuân thủ pháp luật, quy định của nhà nước và nội bộ.
- Xây dựng và duy trì các dữ liệu tài chính và hoạt động, lập báo cáo đúng đắn, kịp thời.
Theo hướng dẫn của INTOSAI năm 2013
Khái niệm KSNB theo INTOSAI 2013 cũng giống như INTOSAI 2004 tuy nhiên về mục tiêu báo cáo theo INTOSAI có thay đổi theo hướng dẫn về quản trị rủi ro, KSNB và biện pháp giảm thiểu gian lận, từ đó giúp cải thiện hiệu quả hoạt động và tăng cường năng lực giám sát của tổ chức.
- Các vấn đề không thay đổi trong INTOSAI 2013:
+ Các tiêu chuẩn nền tảng được sử dụng để đánh giá hữu hiệu của hệ thống KSNB. + Sử dụng xét đoán trong việc đánh giá sự hữu hiệu của hệ thống KSNB. + Xác định KSNB là một quá trình không thể thiếu của tổ chức nhằm đạt được các mục tiêu về: Tính hữu hiệu và hiệu quả trong hoạt động của đơn vị, tôn trọng pháp luật và các quy định có liên quan, thiết lập và báo cáo các thông tin quản lý và thông tin tài chính đáng tin cậy và đảm bảo tính kịp thời, bảo vệ nguồn lực không thất thoát, hư hỏng, sử dụng sai mục đích.
+ Xác định hệ thống KSNB bao gồm 5 yếu tố: Môi trường kiểm soát, đánh giá rủi ro, hoạt động kiểm soát, thông tin và truyền thông và giám sát.
- Các thay đổi trong INTOSAI 2013 là:
+ Hướng dẫn về quản trị rủi ro, KSNB và biện pháp để giảm thiểu gian lận, từ đó giúp cải thiện hiệu quả hoạt động cũng như tăng cường sự giám sát của tổ chức.
+ Mở rộng mục tiêu kinh doanh và mục tiêu báo cáo, mục tiêu tài chính và phi tài chính.
+ Hướng dẫn cụ thể KSNB trong môi trường tin học.
+ Các nguyên tắc: Nguyên tắc phân công, phân nhiệm; nguyên tắc bất kiêm nhiệm; nguyên tắc ủy quyền và phê chuẩn; nguyên tắc kết nối.
1.2.4.2. Các bộ phận hợp thành kiểm soát nội bộ
Tương tự báo cáo COSO, hướng dẫn về KSNB của INTOSAI cũng đưa ra hệ thống KSNB gồm 5 bộ phận có mối quan hệ chặt chẽ với nhau, đó là: Môi trường kiểm soát, đánh giá rủi ro, hoạt động kiểm soát, thông tin và truyền thông và giám sát.
Về môi trường kiểm soát:
Môi trường kiểm soát được thiết lập trong nội bộ tổ chức và có ảnh hưởng đến nhận thức kiểm soát của tất cả các nhân viên trong đơn vị. Hay nói cách khác,
môi trường kiểm soát được xem là những nhân tố của đơn vị ảnh hưởng đến hoạt động của hệ thống KSNB và là các yếu tố tạo môi trường trong đó toàn bộ thành viên của đơn vị nhận thức được tầm quan trọng của hệ thống KSNB.
Những nhân tố ảnh hưởng đến môi trường kiểm soát bao gồm:
Một là: Tính trung thực, giá trị đạo đức và năng lực làm việc của nhân viên trong đơn vị
Tính trung thực và giá trị đạo đức của nhân viên cao sẽ tạo môi trường thuận lợi để liên kết và phát huy sức mạnh tập thể giúp đơn vị hoàn thành kế hoạch, đạt được mục tiêu của mình. Đội ngũ nhân viên là chủ thể trực tiếp thực hiện mọi thủ tục kiểm soát trong hoạt động của đơn vị.
Nếu nhân viên có năng lực, học vấn cao, đáng tin cậy nhiều khi quá trình kiểm soát có thể không được thực hiện thì vẫn đảm bảo được các mục tiêu đề ra của KSNB. Bên cạnh đó, mặc dù đơn vị có thiết kế và vận dụng các chính sách, thủ tục kiểm soát chặt chẽ nhưng với đội ngũ nhân viên kém năng lực trong công việc và thiếu trung thực về phẩm chất đạo đức thì hệ thống KSNB không thể phát huy hiệu quả.
Để có được một đội ngũ nhân viên tốt, các nhà quản lý cần có những chính sách cụ thể và rõ ràng về tuyển dụng, đào tạo, sắp xếp, đề bạt, khen thưởng, kỷ luật nhân viên. Một chính sách nhân sự tốt là một nhân tố đảm bảo cho môi trường kiểm soát mạnh.
Hai là: Triết lý quản lý và phong cách điều hành, tư cách đạo đức, hành vi ứng xử và hiệu quả công việc của lãnh đạo
Bộ máy đơn vị hoạt động tùy thuộc vào phong cách, triết lý quản lý, điều hành của lãnh đạo, nó ảnh hưởng rất lớn đến môi trường kiểm soát của tổ chức, bao gồm khả năng nhận thức và giám sát được rủi ro trong hoạt động.
Nếu nhà quản lý có quan điểm trung thực, cạnh tranh lành mạnh, họ có xu hướng coi trọng tính trung thực của BCTC đồng thời có những biện pháp để hạn chế tối đa rủi ro thì môi trường kiểm soát sẽ mạnh. Ngược lại nếu nhà quản lý có tư tưởng gian lận, không lành mạnh thì rất có thể BCTC sẽ ẩn chứa các sai phạm và từ đó môi trường kiểm soát sẽ có thể yếu kém.
Đồng thời, nhận thức của lãnh đạo về tầm quan trọng của liêm chính và đạo đức nghề nghiệp, về việc cần tổ chức bộ máy hợp lý, về việc phải phân công, ủy nhiệm, giao việc rõ ràng, về việc phải ban hành bằng văn bản các nội quy, quy chế, quy trình hoạt động…sẽ tạo ra một môi trường mà trong đó toàn bộ thành viên trong đơn vị nhận thức được tầm quan trọng của hệ thống KSNB tốt hơn, tạo sự phát triển bền vững cho đơn vị.
Ba là: Cách thức thiết lập quyền lực và trách nhiệm cũng như việc tổ chức và phát triển công việc trong tổ chức
Cơ cấu tổ chức của một đơn vị thực chất là sự phân chia quyền hạn, trách nhiệm giữa các thành viên trong đơn vị. Cơ cấu tổ chức được xây dựng hợp lý trong đơn vị sẽ góp phần tạo ra môi trường kiểm soát tốt. Cơ cấu tổ chức hợp lý đảm bảo một hệ thống xuyên suốt từ trên xuống dưới trong việc ban hành và triển khai các quyết định cũng như việc giám sát thực hiện các quyết định đó trong toàn bộ đơn vị. Một cơ cấu tổ chức hợp lý còn góp phần ngăn ngừa có hiệu quả các hành vi gian lận và sai sót trong hoạt động.
Bốn là: Những chỉ đạo, hướng dẫn của lãnh đạo
Các nhà quản lý luôn muốn thiết lập môi trường kiểm soát hiệu quả và cách thức điều hành đúng theo các chính sách của đơn vị đặt ra. Ví dụ những chỉ đạo, hướng dẫn của Ban Giám đốc về hệ thống kế hoạch và dự toán, bao gồm các kế hoạch hoạt động, kế hoạch dự toán đầu tư, sửa chữa tài sản cố định, đặc biệt là kế hoạch tài chính là những nhân tố quan trọng của quá trình kiểm soát. Nếu công tác kế hoạch được tiến hành một cách khoa học và nghiêm túc, sẽ là một công cụ kiểm soát hữu hiệu. Vì vậy, trong thực tế các nhà quản lý thường quan tâm xem xét tiến độ thực hiện kế hoạch, theo dõi những nhân tố ảnh hưởng đến kế hoạch đã lập nhằm phát hiện kịp thời những vấn đề bất thường và từ đó xử lý, điều chỉnh kế hoạch.
Tóm lại, môi trường kiểm soát có ảnh hưởng trực tiếp đến hiệu quả của các thủ tục kiểm soát. Môi trường kiểm soát mạnh sẽ là nền tảng cho sự hoạt động hiệu quả của hệ thống KSNB. Tuy nhiên môi trường kiểm soát mạnh không đồng nghĩa là hệ thống KSNB mạnh. Môi trường kiểm soát mạnh tự nó chưa đủ đảm bảo tính hiệu quả của toàn hệ thống KSNB.
Về đánh giá rủi ro:
Việc đánh giá rủi ro trong các đơn vị không lệ thuộc vào quy mô, cấu trúc, loại hình hay vị trí địa lý; bởi vì, bất kỳ tổ chức, đơn vị nào trong quá trình hoạt động đều phải đối mặt với rủi ro. Những rủi ro này có thể do bản thân đơn vị hay từ môi trường kinh tế, chính trị, xã hội bên ngoài tác động.
Rủi ro bên trong đơn vị thường do các nguyên nhân: Mâu thuẫn về mục đích hoạt động, các chiến lược của đơn vị đưa ra cản trở việc thực hiện các mục tiêu. Sự quản lý thiếu minh bạch, không coi trọng đạo đức nghề nghiệp. Chất lượng cán bộ thấp, sự cố của hệ thống máy tính, của trang thiết bị, hạ tầng cơ sở. Tổ chức và cở sở hạ tầng không thay đổi kịp với sự thay đổi, mở rộng. Chi phí cho quản lý và trả lương cao, thiếu sự kiểm tra, kiểm soát thích hợp hoặc do cấp trên thiếu quan tâm…
Để tránh bị thiệt hại do các tác động nêu trên, tổ chức cần thường xuyên: Xác định rủi ro hiện hữu và tiềm ẩn. Phân tích ảnh hưởng của chúng kể cả tần suất xuất hiện và xác định các biện pháp để quản lý và giảm thiểu tác hại của chúng.
Rủi ro là khả năng xảy ra sự cố bất lợi cho chủ thể, hay có thể hiểu nó là những nguy cơ một hành động hay một sự việc có ảnh hưởng bất lợi đến việc đạt được những mục tiêu cũng như việc thực hiện thành công những chiến lược của 1 tổ chức.
Đánh giá rủi ro là quá trình nhận dạng và phân tích những sự kiện tạo nên rủi ro ảnh hưởng đến việc đạt được mục tiêu của đơn vị, qua đó xác lập các biện pháp thích hợp để đối phó với rủi ro.
Quá trình này gồm các bước:
Thứ nhất: Nhận dạng rủi ro
Hoạt động của đơn vị có thể gặp rủi ro từ bên trong và bên ngoài, rủi ro ở cấp độ toàn đơn vị và từng hoạt động. Nhận diện rủi ro là việc nhận thức về thời điểm, mức độ một sự kiện hay hoạt động sẽ xảy ra gây ảnh hưởng tiêu cực đến hoạt động và kết quả hoạt động của đơn vị.
Một khi đơn vị nhận diện được các yếu tố rủi ro trong hoạt động của mình thì nguy cơ không đạt được mục tiêu giảm đi đáng kể. Do đó, nhận dạng rủi ro phải được thực hiện thường xuyên, liên tục bởi vì các nhân tố ảnh hưởng luôn luôn thay đổi.
Liên quan đến khu vực công, các cơ quan Nhà nước phải quản trị rủi ro ảnh hưởng đến mục tiêu giao phó, bao gồm cả các chỉ tiêu được giao trong kế hoạch của đơn vị và những rủi ro phát sinh trong quá trình thực hiện nhiệm vụ công tác được giao.
Thứ hai: Đánh giá rủi ro
Đánh giá rủi ro là việc xác định những ảnh hưởng có thể có của một sự kiện hay một hoạt động đối với hoạt động của đơn vị. Trên thực tế không thể loại bỏ hết tất cả rủi ro mà chỉ giới hạn rủi ro xảy ra ở mức độ chấp nhận được. Để làm được điều này, cấp quản lý trước hết cần đánh giá khả năng xảy ra rủi ro và mức độ ảnh hưởng của rủi ro đến mục tiêu của đơn vị.
Nếu rủi ro ảnh hưởng không đáng kể và ít có khả năng xảy ra thì không cần phải quan tâm nhiều. Ngược lại, một rủi ro ảnh hưởng trọng yếu và khả năng xảy ra cao thì đơn vị cần tập trung chú ý. Những tình huống nằm giữa hai thái cực này thường gây khó khăn cho việc đánh giá. Do vậy, đơn vị cần có những phương pháp phân tích hợp lý.
Để đánh giá rủi ro, các đơn vị có thể sử dụng các phương pháp định lượng đo lường rủi ro sau: Sử dụng công cụ toán xác suất thống kê; dựa vào các đại lượng thống kê như giá trị trung bình, phương sai, độ lệch chuẩn, độ biến thiên; sử dụng hàm hồi quy phân tích và dự báo xu hướng; phân tích dòng tiền; sử dụng thang điểm để đánh giá. Bên cạnh đó đơn vị có thể sử dụng ma trận đo lường rủi ro để đánh giá các rủi ro.
Thứ ba: Đối phó rủi ro
Có bốn biện pháp đối phó với rủi ro, đó là: Phân tán rủi ro, chấp nhận rủi ro, tránh né rủi ro và xử lý hạn chế rủi ro. Trong phần lớn các trường hợp rủi ro phải được xử lý hạn chế và đơn vị duy trì hệ thống KSNB để có biện pháp thích hợp. Các biện pháp xử lý hạn chế rủi ro ở mức độ hợp lý vì mối liên hệ giữa lợi ích và chi phí nhưng nếu nhận dạng được và đánh giá được rủi ro thì có sự chuẩn bị tốt hơn để đối phó với những rủi ro.
Về hoạt động kiểm soát:
Các hoạt động kiểm soát là các chính sách, biện pháp, quy trình, thủ tục đảm bảo chỉ thị của Ban Lãnh đạo trong giảm thiểu rủi ro và tạo điều kiện cho mục tiêu đặt ra được thực thi nghiêm túc trong toàn tổ chức.
Để đạt được hiệu quả, hoạt động kiểm soát phải phù hợp, nhất quán giữa các thời kỳ, báo cáo KSNB dễ hiểu, đáng tin cậy và liên hệ trực tiếp đến mục tiêu kiểm soát. Hoạt động kiểm soát có mặt xuyên suốt trong tổ chức, ở các mức độ và các chức năng.
Xét về mục đích, hoạt động kiểm soát bao gồm:
- Kiểm soát phòng ngừa: Là những chính sách và thủ tục kiểm soát được đưa ra nhằm ngăn ngừa, giảm thiểu khả năng xảy ra gian lận và sai sót.
- Kiểm soát phát hiện: Là những chính sách và thủ tục kiểm soát được đưa ra nhằm phát hiện kịp thời những hành vi gian lận và sai sót.
- Kiểm soát bù đắp: Là những thủ tục kiểm soát khác được đưa ra để thay thế những hoạt động kiểm soát yếu kém, không hiệu quả.
Xét về chức năng, hoạt động kiểm soát bao gồm:
- Thủ tục ủy quyền và xét duyệt: Việc thực hiện các nghiệp vụ chỉ được thực hiện bởi người được ủy quyền theo trách nhiệm và phạm vi của họ. Ủy quyền là một cách thức chủ yếu để đảm bảo rằng chỉ có những nghiệp vụ có thực mới được phê duyệt đúng mong muốn của người lãnh đạo. Các thủ tục ủy quyền phải được tài liệu hóa và công bố rõ ràng, phải bao gồm những điều kiện cụ thể. Tuân thủ những quy định chi tiết của sự ủy quyền nói trên, nhân viên thực hành đúng theo hướng dẫn, trong giới hạn được quy định của người lãnh đạo và luật pháp. Việc chấp hành nghiêm túc các thủ tục ủy quyền và xét duyệt sẽ hạn chế đáng kể những rủi ro có thể xảy ra.
- Phân chia trách nhiệm: Để giảm rủi ro về việc sai sót, lãng phí, những hành động cố ý làm sai và rủi ro không ngăn ngừa được thì không một bộ phận hay cá nhân nào được giao một công việc từ lúc bắt đầu cho đến khi kết thúc. Trách nhiệm phải được giao một cách có hệ thống cho từng cá nhân để đảm bảo sự kiểm tra, kiểm soát. Có 05 trách nhiệm chủ yếu: Ủy quyền, phê chuẩn, ghi
chép, xử lý và đánh giá các nghiệp vụ. Tuy nhiên, việc phân chia trách nhiệm có thể bị vô hiệu hóa do sự thông đồng giữa các cá nhân trong tổ chức.
Trong một số trường hợp đơn vị có quy mô nhỏ, có quá ít nhân viên để thực hiện việc phân chia phân nhiệm. Khi đó, người lãnh đạo phải nhận biết được rủi ro và bù đắp bằng những biện pháp kiểm soát khác như sự luân chuyển nhân viên, đảm bảo rằng một người không xử lý mọi mặt của một nghiệp vụ trong một thời gian dài.
- Kiểm soát quá trình xử lý thông tin và nghiệp vụ: Khả năng xảy ra rủi ro gian lận, sai sót trong quá trình thực hiện nghiệp vụ và xử lý thông tin rất cao. Do đó, quá trình này cần phải được kiểm soát chặt chẽ. Các nghiệp vụ phải được thực hiện theo quy trình hợp lý, hệ thống chứng từ, sổ sách phải được ghi chép rõ ràng.