2.1.1. Kiểm soát thông tin.
2.1.1.1. Kiểm soát trong quản lý :
Quản lý luôn được nhìn nhận là hoạt động quan trọng trong mọi lĩnh vực kinh tế - xã hội. Quản lý được tiếp cận theo nhiều khía cạnh khác nhau dẫn đến có nhiều quan điểm khác nhau về quản lý. Harold Koontz (1992) nhận định: Quản lý là quá trình nhằm đạt được sự khéo léo sử dụng các nguồn lực có hiệu quả [37, tr30]. Theo định nghĩa này thì quản lý là một quá trình tích cực, nó chăm lo đến các nguồn lực với mục tiêu cuối cùng là sử dụng các nguồn lực đó theo cách hiệu quả nhất có thể. Và quản lý được coi là một quá trình bao gồm các giai đoạn: Lập kế hoạch, tổ chức, cung cấp các nguồn lực, điều hành và kiểm soát. Quản lý là một quá trình do một hay nhiều người thực hiện, nhằm phối hợp các hoạt động của những người khác để đạt được kết quả mà một người hành động riêng rẽ không thể nào đạt được, theo James H (2001) [39, tr52].
Quá trình quản lý bắt đầu từ việc lập kế hoạch và xây dựng các mục tiêu có liên quan. Việc lập kế hoạch được trợ giúp bởi việc tổ chức và cung cấp những nguồn lực cần thiết – kể cả con người. Sau đó các nhà quản lý có những hoạt động cụ thể nhằm đạt được những mục tiêu đã xây dựng. Thông thường những hoạt động đó tự nó chưa được coi là đầy đủ. Mọi việc hiếm khi được thực hiện đúng như dự định và sai lầm cũng có thể xảy ra khi những điều kiện môi trường thay đổi. Do đó, các nhà quản lý cần những biện pháp và hành động phụ thêm để có được những mục tiêu tốt hơn, ngăn ngừa những loại hành động không mong muốn. Chức năng kiểm soát
quản lý. Như vậy, kiểm soát tồn tại như một khâu độc lập của quá trình quản lý nhưng đồng thời lại là một bộ phận chủ yếu của quá trình đó.
Kiểm soát là cần thiết trong tất cả các lĩnh vực hoạt động của con người, trong tổ chức cũng như toàn bộ xã hội. Kiểm soát là một quy trình giám sát các hoạt động để đảm bảo rằng các hoạt động này được thực hiện theo kế hoạch và chỉnh sửa các sai lệch quan trọng. Đích cuối cùng mà quá trình quản lý hướng tới chính là việc đạt được mục tiêu đã đặt ra trong khuôn khổ một tổ chức nhất định. Việc thực hiện các kế hoạch luôn phải đối mặt với những thay đổi của môi trường bên trong và bên ngoài tổ chức, nếu không có kiểm soát, các nhà quản lý sẽ không có đầy đủ thông tin để ra các quyết định thích hợp nhằm thích ứng và đối phó với sự thay đổi này, vì vậy, mục tiêu đặt ra khó có thể thực hiện được. Chính vì vậy, nghiên cứu và thực hiện kiểm soát luôn là nội dung gắn liền với quản lý.
Như vậy, kiểm soát được hiểu là kiểm tra, soát xét nhằm phát hiện những lệch lạc trong quá trình thực thi các quyết định quản lý so với các quy định, từ đó điều hành đối tượng và khách thể quản lý nhằm đạt được các mục tiêu đã định. Trên cơ sở phân tích một số quan điểm của các nhà nghiên cứu, và đưa ra khái niệm về kiểm soát như sau: “Kiểm soát là chức năng quan trọng trong quản lý, được thực hiện tại các cấp độ và giai đoạn khác nhau trong quản lý theo cách thức phù hợp với đối tượng quản lý nhằm đạt được mục tiêu của tổ chức. Kiểm soát bao gồm việc đo lường, đánh giá đối tượng kiểm soát nhằm đạt được hiệu quả trong quản lý”.
2.1.1.2. Thông tin :
Thông tin có những đặc trưng cơ bản sau:
Thứ nhất, thông tin gắn liền với quá trình điều khiển và cần được kiểm soát: Bản thân thông tin không có mục đích tự thân. Nó chỉ tồn tại và có ý nghĩa trong một hệ thống điều khiển nào đó – nơi phát thông tin. Thông tin được trao đổi từ hệ thống này sang hệ thống khác trong mối liên hệ với nhau. Việc kiểm soát nơi phát thông tin, quá trình trao đổi thông tin được thực hiện đảm bảo độ tin cậy của quá trình truyền tin.
Thứ hai, thông tin có tính tương đối và cần được lượng hóa: Mỗi thông tin chỉ là một sự phản ánh chưa đầy đủ về hiện tượng vào sự vật được phản ánh, đồng thời nó cũng phụ thuộc vào trình độ và khả năng của nơi phản ánh. Để thông tin được phản ánh đầy đủ, việc tổ chức tốt nơi phản ánh thông tin là cần thiết. Việc đo lường thông tingiúp đánh giá sự phản ánh đầy đủ từ nơi phát thông tin.
Thứ ba, tính định hướng của thông tin và kiểm soát thông tin: Thông tin phản ánh mối quan hệ giữa đối tượng được phản ánh và nơi nhận phản ánh. Thông tin được cung cấp cho những đối tượng cần thông tin. Độ tin cậy của thông tin nhận được giúp đánh giá đúng bản chất của nơi phát thông tin. Với những thông tin có ảnh hưởng trên diện rộng, đối tượng nhận thông tin đa dạng, thông tin cần được kiểm soát từ nội bộ – nơi phát thông tin và từ bên ngoài – nơi nhận thông tin(như thông tin KTTC của một CTNY trên TTCK).
Thứ tư, mỗi thông tin đều có vật mang tin và lượng tin: Nội dung tin bao giờ cũng phải có một vật mang tin nào đó. Trên một vật mang tin có thể có nhiều nội dung tin và thông tin thường thay đổi vật mang tin trong quá trình luân chuyển của mình. Vật mang tin được xây dựng đảm bảo cung cấp đủ thông tin nhằm phản ánh đúng bản chất của nơi phát thông tin (như hệ thống BCTC thể hiện thông tin KTTC của một công ty).
Thông tin kinh tế được xác định là những tín hiệu, được thu nhận, được hiểu và được đánh giá là có ích trong việc ra quyết định kinh tế của người sử dụng thông tin. Thông tin kinh tế đáp ứng những đặc trưng của thông tin nói trên do đó thông tin kinh tế cần được kiểm soát, đo lường để đảm bảo độ tin cậy thông tin.
2.1.1.3. Kiểm soát thông tin:
Kiểm soát thông tin có một số đặc tính khác biệt như:
Kiểm soát thông tin không tồn tại độc lập, không phải là một thể thống nhất hay cơ chế hoạt động. Nó thể hiện mối liên hệ giữa hệ thống điều khiển (hay người sử dụng) với môi trường trong nội bộ hoặc bên ngoài.
Kiểm soát thông tin không tồn tại cho đến khi nó thực sự được sử dụng. Kiểm soát thông tin mang tính thường xuyên đảm bảo tính chất thống nhất, kết nối giữa các thành phần thông tin. Thông tin được sử dụng và cần có sự kiểm soát nhằm đảm bảo minh bạch thông tin, tăng độ tin cậy thông tin. Các thông tin sai lệch và không được kiểm soát sẽ làm ảnh hưởng đến người sử dụng thông tin.
Do đó, kiểm soát thông tin là một yêu cầu tất yếu để đảm bảo thông tin không bị sai lệch, thông tin không bị bóp méo. Để kiểm soát thông tin cần thực hiện tổ chức kiếm soát thông tin phù hợp với đặc điểm của thông tin đó.
2.1.2. Tổ chức kiểm soát thông tin.
Tổ chức theo nghĩa rộng phải bao hàm các mối liên hệ giữa các thành phần khác nhau trong hệ thống bao gồm cả nhân sự và công việc. Mục tiêu chung của tổ chức là tạo ra mối liên hệ tối ưu giữa các yếu tố của hệ thống, theo TS. Phạm Bính Ngọ (2011) [16,tr26-28].
Vậy tổ chức kiểm soát thông tin là cách thức liên hệ giữa các thành phần khác nhau trong một hệ thống cụ thể, kết hợp kiểm soát nội bộ và kiểm soát bên ngoài cùng hướng đến thông tin quản lý.
2.2. Tổng quan về tổ chức kiểm soát nội bộ: 2.2.1. Hệ thống kiểm soát nội bộ: 2.2.1. Hệ thống kiểm soát nội bộ:
Theo COSO (2009), KSNB là một quá trình, được thực hiện bởi các nhà quản trị và nhân viên [31]. Quá trình này được thiết kế để cung cấp sự đảm bảo hợp lý nhằm đạt được các mục tiêu về hiệu quả và hiệu lực hoạt động, độ tin cậy của BCTC, tuân thủ pháp luật và quy định. KSNB gồm các thành phần có mối liên hệ chặt chẽ với nhau: Môi trường kiểm soát, đánh giá rủi ro, hoạt động kiểm soát, thông tin và truyền thông, hoạt động giám sát. Quan điểm này gắn với quan điểm phòng ngừa rủi ro của doanh nghiệp và từ phía nhà quản lý. Điều này phù hợp với những rủi ro xuất hiện nhiều hơn trong nền kinh tế thị trường hiện đại, có sự hội nhập sâu và đa dạng.
Theo VAS 400 (2001), hệ thống KSNB là các qui định và các thủ tục kiểm soát do đơn vị được kiểm toán xây dựng và áp dụng nhằm đảm bảo cho đơn vị tuân thủ pháp luật và các qui định, để kiểm tra, kiểm soát, ngăn ngừa và phát hiện gian lận, sai sót; để lập BCTC trung thực và hợp lý; nhằm bảo vệ, quản lý và sử dụng có hiệu quả tài sản của đơn vị [1]. Hệ thống KSNB bao gồm môi trường kiểm soát, hệ thống kế toán và các thủ tục kiểm soát. Khái niệm này được mô tả theo định nghĩa trong ISA 400 (hiện tại đã hết hiệu lực khi ISA 315 và ISA 330 đã có hiệu lực từ tháng 12/2009), cách tiếp cận đối với hệ thống KSNB là các quy định, các thủ tục kiểm soát (theo tính hệ thống) và từ đó sẽ ảnh hưởng đến các thành phần trong hệ thống KSNB. VAS 400 cũng đã được thay thế bởi VAS 315, 330 có hiệu lực từ ngày 01/01/2014, theo Thông tư 214/2012/TT-BTC [3].
Vậy tổ chức KSNB của đơn vị áp dụng theo quan điểm nào khi xây dựng với hệ thống KSNB cho doanh nghiệp. Theo nghiên cứu của TS.Phạm Bính Ngọ (2011) trong các đơn vị dự toán Bộ Quốc phòng [16], nghiên cứu của TS. Bùi Thị Minh Hải (2012) [8] về các doanh nghiệp dệt may Việt Nam, nghiên cứu của TS.Nguyễn Thu Hoài (2011) [13], TS.Nguyễn Thị Lan Anh (2013) [14], hệ thống KSNB bao gồm môi trường kiểm soát, hệ thống thông tin và các thủ tục kiểm soát. Theo các nghiên cứu gần đây về hệ thống KSNB tại các doanh nghiệp có quy mô khác nhau, lĩnh vực khác nhau đều tiếp cận theo ba thành phần cấu thành (xét trên thực tế các doanh nghiệp Việt Nam).
2.2.2. Các thành phần của hệ thống KSNB :
Sơ đồ 2.1 - Sơ đồ các thành phần cấu thành hệ thống kiểm soát nội bộ.
Môi trường kiểm soát
Là những yếu tố của công ty ảnh hưởng đến hoạt động của hệ thống kiểm soát nội bộ và là các yếu tố tạo ra môi trường mà trong đó toàn bộ thành viên của công ty nhận thức được tầm quan trọng của hệ thống kiểm soát nội bộ. Để tìm hiểu và đánh giá môi trường kiểm soát cần tìm hiểu các nhân tố sau:
Triết lý quản lý và phong cách hoạt động: Bao gồm sự tiếp cận, khả năng nhận thức và giám sát rủi ro trong kinh doanh, quan điểm về tính chính xác của dữ liệu kế toán, quan điểm về khả năng đạt được các dự toán ngân sách hay thực hiện được các mục tiêu hoạt động.
Sự trung thực và các giá trị đạo đức: Sự trung thực và các giá trị đạo đức được tôn
trọng thì các sai phạm sẽ được hạn chế. Các nhà quản lý phải xây dựng và phổ biến rộng rãi các quan điểm, các quy tắc, các giá trị đạo đức cho toàn tổ chức.
Chính sách nhân sự: Chính sách nhân sự ảnh hưởng quan trọng đến trình độ, phẩm
chất cũng như các giá trị đạo đức của toàn thể nhân viên trong một tổ chức. Chính sách nhân sự bao gồm chính sách tuyển dụng, đào tạo, tiền lương, giám sát, khen thưởng, kỷ luật, luân chuyển nhân viên.
Hệ thống KSNB Môi trường kiểm soát Đánh giá rủi ro Các hoạt động kiểm soát Thông tin và truyền thông Giám sát
Cơ cấu tổ chức: Cơ cấu tổ chức của một tổ chức cung cấp bộ khung chung cho các
nhà quản lý lập kế hoạch, thực hiện kế hoạch, kiểm soát, giám sát hoạt động. Một cơ cấu tổ chức tốt thể hiện thong qua sự thể hiện cụ thể, rõ ràng và đầy đủ các chức năng, quyền hạn, nghĩa vụ của từng bộ phận trong tổ chức.
Hội đồng quản trị và ban kiểm soát: Khi ủy ban kiểm soát có sự độc lập với tổ chức,
các hoạt động kiểm soát sẽ hữu hiệu hơn vè hệ thống kiểm soát nội bộ sẽ đảm bảo tính hữu hiệu. Ủy ban kiểm soát sẽ thông tin và cảnh báo đến hội đồng quản trị các rủi ro hay các tồn tại có thể xảy ra trước khi trở nên nghiêm trọng.
Trình độ và phẩm chất đội ngũ cán bộ nhân viên: Để thực hiện tốt các nhiệm vụ được
giao, các nhân viên của một tổ chức cần có kiến thức, các kỹ năng và các kinh nghiệm cần thiết. Phẩm chất đạo đức cũng là một yếu tố quan trọng.
Cách thức phân định quyền hạn và trách nhiệm: Các nhà quản lý xác lập quyền hạn và trách nhiệm cho các cấp quản lý nhằm thực hiện các hoạt động, xác lập các mối quan hệ báo cáo và xây dựng các phương pháp ủy quyền. Việc xác lập quyền hạn và trách nhiệm cần thực hiện bằng văn bản và triển khai cho toàn tổ chức.
Các nhân tố bên ngoài: Môi trường kiểm soát có thể chịu ảnh hưởng của các nhân tố
đến từ bên ngoài một tổ chức như các thay đổi môi trường kinh doanh, các thay đổi của hệ thống luật pháp hay các thay đổi của chế độ kế toán. Khi phân tích, đánh giá môi trường kiểm soát càn phải xem xét đánh giá mức độ anh hưởng của các nhân tố bên ngoài tổ chức.
Đánh giá rủi ro
Các rủi ro làm cho mục tiêu của tổ chức có thể không đạt được. Các rủi ro xảy ra có thể do rất nhiều nguyên nhân đến từ cả bên ngoài và bên trong tổ chức, rủi ro có thể là rủi ro do chủ quan hay khách quan. Nhà quản lý phải quyết định rủi ro nào là có thể chấp nhận và phải làm gì để quản lý rủi ro. Để làm được điều này nhà quản lý phải thực hiện các công việc sau:
chức và mục tiêu riêng của từng bộ phận hay từng hoạt động, từng giai đoạn
Nhận dạng, phân tích rủi ro: khiến tổ chức không thể đạt được các mục tiêu. Các rủi
ro này có thể phát sinh từ môi trường kinh doanh hay từ các chính sách của tổ chức. Các khả năng rủi ro có thể đến do các mối đe dọa sau:
- Chiến lược kinh doanh sai lầm
- Các hoạt động không được thực hiện đúng - Các rủi ro về tài chính
- Các rủi ro về thông tin
- Chọn lựa và sử dụng công nghệ không phù hợp - Sự truy cập hệ thống bất hợp pháp
- Ngăn chặn, phá hủy dữ liệu đang được truyền tải
- Dữ liệu của hệ thống không đồng bộ hay không được tích hợp - Truyền tải dữ liệu không hoàn chỉnh
- Hệ thống bị sự cố như lỗi phần cứng, phần mềm, bị cúp điện - Hệ thống không tương thích với hệ thống khác
Sau khi xác định các nguy cơ có thể có, các nhà quản lý cần đánh giá rủi ro, ước tính các thiệt hại và các khả năng khắc phục thiệt hại, xác định các thủ tục kiểm soát cần thiết.
Các hoạt động kiểm soát
Các hoạt động kiểm soát là những chính sách, thủ tục giúp cho việc thực hiện các chỉ đạo của người quản lý, đảm bảo có các hành động cần thiết để quản lý các rủi ro có thể phát sinh trong quá trình thực hiện mục tiêu. Các hoạt động kiểm soát thường bao gồm:
Phân chia trách nhiệm đầy đủ
nhiệm và trách nhiệm của từng cá nhân cần được xác định và phân chia đầy đủ, rõ