Hệ thống COSO 2013 có tiền thân xuất phát từ hệ thống COSO 1992. Báo cáo COSO 1992 là tài liệu đầu tiên trên thế giới nghiên cứu và định nghĩa về KSNB một cách đầy đủ và có hệ thống, báo cáo đưa ra các bộ phận cấu thành để giúp cho các đơn vị có thể xây dựng một hệ thống KSNB hữu hiệu. Theo báo cáo COSO 1992 hệ thống KSNB gồm 5 bộ phận có mối liên hệ chặt chẽ với nhau đó là:
- Môi trường kiểm soát - Đánh giá rủi ro
- Hoạt động kiểm soát - Thông tin và truyền thông - Giám sát
Sau hơn 21 năm, môi trường hoạt động kinh doanh đã có nhiều thay đổi đáng kể, đặc biệt là sự phát triển công nghệ thông tin trên quy mô toàn cầu và sự đổ vỡ của nhiều NH lớn trên thế giới do khủng hoảng xảy ra, COSO đã có sự rà soát lại những hướng dẫn trong báo cáo của mình để cập nhật và cải tiến nhằm giúp các tổ chức thiết kế và phát triển hệ thống KSNB phù hợp. Vì vậy năm 2013, COSO đã đưa ra phiên bản mới và được áp dụng từ ngày 01/01/2015.
Trong khuôn khổ mẫu báo cáo COSO 2013, định nghĩa KSNB và các bộ phận cấu thành theo báo cáo 1992 không thay đổi. Nội dung của COSO không chỉ phục vụ cho công tác tài chính, kế toán mà còn mở rộng đối với phạm vi toàn doanh nghiệp. Những thay đổi cơ bản của COSO 2013 tập trung vào 7 điểm chính sau:
- Tiếp cận theo hướng mong đợi vào việc quản trị công ty ở tầm vĩ mô.
- Hướng đến sự toàn cầu hóa của thị trường và hoạt động kinh doanh mở rộng. - Sự thay đổi trong mô hình kinh doanh phù hợp với biến động của thế giới. - Đáp ứng nhu cầu, mức độ phức tạp, quy định và các chuẩn mực.
- Tăng các chiến lược cạnh tranh và trách nhiệm giải trình trước xã hội. - Sử dụng sự phát triển của công nghệ hiện đại.
- Ngăn ngừa hoặc giảm đi hoặc phát hiện gian lận trong doanh nghiệp.
Theo các điểm mở rộng dựa trên nguyên tắc chung của KSNB chính là đảm bảo cho các tổ chức đạt được những mục đích đã đề ra dưới sự đồng thuận thực hiện của toàn bộ nhân viên trong một tổ chức.
Dựa vào 7 khía cạnh chính mà COSO 2013 đã điều chỉnh, mở rộng và cho ra 17 nguyên tắc theo mô hình kết cấu bởi 5 thành phần cấu thành một hệ thống KSNB dựa vào bản gốc năm 1992, diễn giải cho những khái niệm cơ bản liên quan đến mỗi yếu tố cấu thành đó.7
1.1.3.1. Môi trường kiểm soát
Môi trường kiểm soát là nền tảng ý thức, là văn hóa của tổ chức tác động đến ý thức kiểm soát của toàn bộ thành viên trong tổ chức. Môi trường kiểm soát là nền tảng cho bốn bộ phận còn lại của hệ thống KSNB nhằm xây dựng những nguyên tắc và cơ cấu hoạt động phù hợp.
Môi trường kiểm soát được thể hiện thông qua tính kỷ luật, cơ cấu tổ chức, giá trị đạo đức, tính trung thực, triết lý quản lý, phong cách điều hành. Môi trường kiểm soát ảnh hưởng đến cách thức kinh doanh của một tổ chức, đến các mục tiêu được thiết lập, đến các bộ phận còn lại của hệ thống KSNB. Điều này không chỉ đúng trong giai đoạn thiết kế mà cả trong hoạt động hàng ngày của doanh nghiệp.
Các nhân tố trong môi trường kiểm soát nêu trên đều quan trọng, nhưng mức độ quan trọng của mỗi nhân tố tùy thuộc vào từng doanh nghiệp.
Theo COSO 2013, Môi trường kiểm soát gồm các nguyên tắc sau:
Nguyên tắc 1: Đơn vị chứng minh các cam kết về tính trung thực và giá trị đạo đức.
Điều này thể hiện rằng người quản lý phải chứng tỏ đơn vị quan tâm đến tính trung thực và giá trị đạo đức.
Nguyên tắc 2: Hội đồng quản trị phải chứng tỏ sự độc lập với người quản lý và đảm nhiệm chức năng giám sát việc thiết kế và vận hành hệ thống KSNB.
Nguyên tắc 3: Nhà quản lý dưới sự giám sát của Hội đồng quản trị cần thiết lập cơ cấu tổ chức, các loại báo cáo, phân định trách nhiệm và quyền hạn nhằm đạt được mục tiêu của đơn vị.
Nguyên tắc 4: Đơn vị phải chứng tỏ sự cam kết về việc sử dụng nhân viên có năng lực thông qua tuyển dụng, duy trì và phát triển nguồn nhân lực phù hợp với mục tiêu của đơn vị.
Nguyên tắc 5: Đơn vị cần yêu cầu các cá nhân chịu trách nhiệm báo cáo về trách nhiệm của họ trong việc đáp ứng các mục tiêu của tổ chức.
Là nhân tố quan trọng trong môi trường kiểm soát, nó tác động đến việc thiết kế, thực hiện và giám sát các nhân tố khác của KSNB. Thái độ và sự quan tâm của nhà quản lý cao cấp đối với KSNB hữu hiệu phải được lan tỏa đến toàn doanh nghiệp.
Ứng xử có đạo đức và tính trung thực của toàn thể nhân viên chính là văn hóa của tổ chức. Văn hóa của tổ chức bao gồm các chuẩn mực về cách thức ứng xử và các giá trị đạo đức, cách thức truyền đạt và thực hiện trong thực tiễn. Sự hữu hiệu của hệ thống KSNB trước tiên phụ thuộc vào tính trung thực và việc tôn trọng các giá trị đạo đức của những người có liên quan đến quá trình kiểm soát. Tuy nhiên sự hữu hiệu của KSNB không chỉ tạo bởi tính trung thực và các giá trị đạo đức của người sáng lập, người quản lý mà là của toàn thể nhân viên trong đơn vị.
Xây dựng giá trị đạo đức thường rất khó khăn bởi vì cần dung hòa lợi ích của các bên như: lợi ích của nhà quản lý cấp cao với lợi ích của doanh nghiệp, của nhân viên, của nhà cung cấp, KH. Khi xây dựng giá trị đạo đức cần chú ý vấn đề sau:
- Áp lực và cơ hội: Cần giảm thiểu cơ hội và áp lực dẫn tới phát sinh các gian lận điều này giúp hạn chế những áp lực và cơ hội kèm theo các biện pháp kiểm soát thích hợp có thể giúp giảm các hành vi gian lận.
- Xây dựng và truyền đạt các hướng dẫn về đạo đức: Ngoài áp lực và cơ hội thì nguyên nhân dẫn tới sai phạm là do thiếu hiểu biết. Trong rất nhiều doanh nghiệp có phát sinh sai phạm trong lập BCTC, nhưng người thực hiện không ý thức được sai phạm của họ. Vì thế phải thiết lập quy tắc ứng xử đúng đắn và các vấn đề khác nhau đồng thời truyền đạt quy tắc này tới toàn thể nhân viên trong đơn vị họ biết được cái gì đúng, cái gì sai.
*Cam kết về năng lực
Nhà quản lý cần xác định rõ yêu cầu về năng lực cho một công việc nhất định và cụ thể hóa nó thành các yêu cầu về kiến thức và kỹ năng. Nhà quản lý chỉ nên tuyển dụng các nhân viên có kiến thức và kinh nghiệm phù hợp với nhiệm vụ được giao. Bên cạnh đó người quản lý cũng cần cân nhắc giữa việc giám sát và yêu
cầu năng lực của các nhân viên đồng thời cân nhắc giữa năng lực và chi phí để đảm bảo tốt nhất lợi ích cho doanh nghiệp.
* Hội đồng quản trị và Ủy ban kiểm toán
Đây là một nhân tố có ảnh hưởng đáng kể đến môi trường kiểm soát. Tính hữu hiệu của môi trường kiểm soát phụ thuộc vào sự độc lập của Hội đồng quản trị và Ủy ban kiểm toán với Ban điều hành. Hệ thống KSNB sẽ trở nên hữu hiệu khi:
- Hội đồng quản trị năng động và tận tâm, hướng dẫn và giám sát việc thực hiện của người quản lý.
- Hội đồng quản trị cần có thêm những người nằm ngoài Ban điều hành vì Hội đồng quản trị phải chất vấn, giám sát các hoạt động quản lý, đưa ra quan điểm phản biện và có dũng khí đấu tranh với những hành vi sai trái nghiêm trọng của người quản lý.
*Triết lý quản lý và phong cách điều hành của nhà quản lý
Triết lý quản lý và phong cách điều hành tác động đến cách thức doanh nghiệp được điều hành. Triết lý quản lý thể hiện qua quan điểm và nhận thức của người quản lý, phong cách điều hành lại thể hiện qua cá tính, tư cách và thái độ của họ khi điều hành đơn vị.
Triết lý quản lý và phong cách điều hành được phản ánh trong cách thức quản lý, sử dụng các kênh thông tin và quan hệ với cấp dưới. Ngoài ra, triết lý quản lý và phong cách điều hành còn thể hiện thông qua thái độ, quan điểm của người quản lý về việc lập và trình bày BCTC, việc lựa chọn chính sách kế toán, các ước tính kế toán và về việc phân nhiệm kế toán viên trong đơn vị.
* Cơ cấu tổ chức
Cơ cấu tổ chức cung cấp khuôn khổ mà trong đó các hoạt động của doanh nghiệp được lập kế hoạch, thực hiện, kiểm soát và giám sát. Một cơ cấu tổ chức tốt đảm bảo cho các thủ tục kiểm soát hiệu quả. Ngược lại, khi thiết kế không đúng, cơ cấu tổ chức có thể làm cho các thủ tục kiểm soát mất tác dụng.
Cơ cấu tổ chức phụ thuộc vào quy mô và bản chất hoạt động của doanh nghiệp. Chính vì vậy, không có khuôn mẫu chung duy nhất. Tuy nhiên, dù tổ chức
như thế nào, nó cũng phải giúp doanh nghiệp thực hiện chiến lược đã hoạch định để đạt được mục tiêu đề ra.
*Phân định quyền hạn và trách nhiệm
Phân định quyền hạn và trách nhiệm là việc xác định mức độ tự chủ, quyền hạn của từng cá nhân hay từng nhóm trong việc đề xuất và giải quyết vấn đề, trách nhiệm báo cáo đối với các cấp có liên quan.
Ý thức về trách nhiệm của mỗi cá nhân trong đơn vị quyết định tính chất của môi trường kiểm soát. Do đó, cần phải xác lập quyền hạn và trách nhiệm cho từng thành viên, xác lập các mối quan hệ báo cáo và xây dựng các phương pháp ủy quyền thông qua các văn bản và triển khai cho toàn đơn vị nhằm giúp từng thành viên hiểu rõ mục tiêu của tổ chức, mức độ đóng góp của họ sẽ ảnh hưởng như thế nào đến người khác cũng như mục tiêu chung của đơn vị.
* Chính sách nhân sự và việc áp dụng vào thực tế
Chính sách nhân sự biểu hiện trong thực tế thông qua việc tuyển dụng, hướng nghiệp, đào tạo, đánh giá, tư vấn, động viên, khen thưởng và kỷ luật. Khi đơn vị mong muốn đội ngũ nhân viên đủ năng lực và trung thực thì tiêu chuẩn tuyển dụng sẽ nhấn mạnh về đạo đức, kinh nghiệm công việc, kết quả công việc đã đạt được.
1.1.3.2. Đánh giá rủi ro
Đánh giá rủi ro là quá trình nhận dạng và phân tích những rủi ro ảnh hưởng đến việc đạt được mục tiêu, từ đó có thể quản trị được rủi ro. Mỗi đơn vị luôn phải đối phó với hàng loạt rủi ro từ bên trong lẫn bên ngoài. Điều kiện tiên quyết để đánh giá rủi ro là thiết lập mục tiêu. Mục tiêu phải được thiết lập ở các mức độ khác nhau và phải nhất quán. Do điều kiện kinh tế, đặc điểm và hoạt động kinh doanh, những quy định luôn thay đổi, nên cơ chế nhận dạng và đối phó rủi ro phải liên kết với sự thay đổi này.
Tất cả các đơn vị, bất kể quy mô, cấu trúc...đều phát sinh rủi ro ở tất cả các mức độ. Rủi ro ảnh hưởng đến sự tồn tại của mỗi đơn vị, đến sự thành công, tài chính, hình ảnh của đơn vị. Không có cách nào để triệt tiêu rủi ro vì vậy nhà quản lý
phải quyết định một cách thận trọng mức rủi ro như thế nào là có thể chấp nhận được và cố gắng duy trì rủi ro ở mức cho phép.
Theo COSO 2013, đánh giá rủi ro gồm các nguyên tắc sau:
Nguyên tắc 6: Đơn vị phải thiết lập mục tiêu rõ ràng và đầy đủ để nhận diện và đánh giá rủi ro phát sinh trong việc đạt được mục tiêu của đơn vị. Các mục tiêu đơn vị thường thiết lập bao gồm: mục tiêu hoạt động, mục tiêu BCTC và phi tài chính cho người bên ngoài và bên trong doanh nghiệp, mục tiêu tuân thủ.
Nguyên tắc 7: Đơn vị phải nhận diện rủi ro trong việc đạt được mục tiêu của đơn vị, tiến hành phân tích rủi ro để xác định rủi ro cần được quản trị.
Nguyên tắc 8: Đơn vị cần xem xét các loại gian lận tiềm tàng khi đánh giá rủi ro không đạt được mục tiêu của đơn vị.
Nguyên tắc 9: Đơn vị cần xác định và đánh giá những thay đổi của môi trường ảnh hưởng đến hệ thống KSNB. Các thay đổi bao gồm thay đổi từ môi trường bên ngoài (kinh tế, chính trị....), thay đổi từ cách thức kinh doanh (loại hình kinh doanh mới, kỹ thuật mới....), thay đổi từ cách thức quản lý, từ thái độ và triết lý của người quản lý về hệ thống KSNB.
1.1.3.3. Hoạt động kiểm soát
Hoạt động kiểm soát là tập hợp các chính sách và thủ tục đảm bảo cho các chỉ thị của nhà quản lý được thực hiện, là các hành động cần thiết thực hiện để đối phó với rủi ro đe dọa đến việc đạt được mục tiêu của tổ chức. Hoạt động kiểm soát tồn tại ở mọi bộ phận và mọi cấp độ tổ chức trong một đơn vị.
Mọi hoạt động kiểm soát đều bao gồm hai yếu tố là:
- Chính sách kiểm soát: Là những nguyên tắc cần làm, là cơ sở cho việc thực hiện các thủ tục kiểm soát. Chính sách kiểm soát có thể được tài liệu hóa đầy đủ và có hệ thống hoặc được lưu hành theo kiểu truyền miệng.
- Thủ tục kiểm soát: Là những quy định cụ thể để thực thi chính sách kiểm
soát. Một thủ tục sẽ không có tác dụng nếu áp dụng một cách máy móc mà không tập trung vào những yêu cầu nhà quản lý đã đề ra thông qua các chính sách. Việc
thiết lập các thủ tục kiểm soát cần phải cân đối mối quan hệ giữa lợi ích và chi phí, cân đối giữa hoạt động kiểm soát và rủi ro phát sinh.
Theo COSO 2013, Hoạt động kiểm soát gồm những nguyên tắc sau:
Nguyên tắc 10: Đơn vị phải lựa chọn, thiết lập các hoạt động kiểm soát để góp phần hạn chế các rủi ro giúp đơn vị đạt mục tiêu trong giới hạn chấp nhận được.
Nguyên tắc 11: Đơn vị lựa chọn và phát triển hoạt động kiểm soát chung với công nghệ hiện đại để hỗ trợ sự thành công cho việc đạt được các mục tiêu của đơn vị.
Nguyên tắc 12: Đơn vị triển khai hoạt động kiểm soát thông qua nội dung các chính sách đã được thiết lập và triển khai thành các thủ tục.
1.1.3.4. Thông tin truyền thông
Thông tin và truyền thông chính là điều kiện không thể thiếu cho việc thiết lập, duy trì và nâng cao năng lực kiểm soát trong đơn vị thông qua việc hình thành các báo cáo để cung cấp thông tin về hoạt động, tài chính và sự tuân thủ, bao gồm cả bên trong lẫn bên ngoài doanh nghiệp.
Mọi bộ phận và cá nhân trong doanh nghiệp đều phải có những thông tin cần thiết giúp thực hiện trách nhiệm của mình. Vì vậy những thông tin cần thiết cần phải được xác định, thu thập và truyền đạt tới những cá nhân, bộ phận có liên quan một cách kịp thời và thích hợp.
Hệ thống thông tin của doanh nghiệp tạo ra các báo cáo, trong đó chứa đựng những thông tin về tài chính, hoạt động hay tuân thủ, giúp cho nhà quản lý điều hành và kiểm soát doanh nghiệp. Các thông tin dù có nguồn gốc bên trong hay bên ngoài doanh nghiệp, các thông tin tài chính hay phi tài chính đều cần thiết cho cả ba mục tiêu của doanh nghiệp. Thông tin phải được truyền đạt, phổ biến trong toàn tổ chức, thông điệp từ quản lý phải được cung cấp một cách kịp thời tới mọi nhân viên.
Truyền thông là một phần của hệ thống thông tin nhưng được nêu ra để nhấn