Khái niệm KSNB lần đầu đuợc nêu ra tại Ủy ban tổ chức kiểm tra (COSO) năm
1992 trong Báo cáo KSNB - Khuôn khổ hợp nhất (Internal Control - Intergrated framework), “Kiểm soát nội bộ là một quá trình do nguời quản lý, HĐQT và các nhân viên của đơn vị chi phối, nó đuợc thiết lập để cung cấp một sự đảm bảo hợp lý nhằm thực hiện các mục tiêu sau đây: Đảm bảo sự tin cậy của BCTC; Đảm bảo sự tuân thủ các quy định và luật lệ; Đảm bảo các hoạt động đuợc thực hiện hiệu quả”.
Sau hơn 20 năm, COSO đã ban hành bản cập nhật mới là COSO Internal Control 2013, theo đó, “KSNB là một quá trình do nguời quản lý, HĐQT và các nhân viên của đơn vị chi phối, nó đuợc thiết lập để cung cấp một sự đảm bảo hợp lý nhằm thực hiện các mục tiêu liên quan đến hoạt động, báo cáo và tuân thủ” [32, tr.3]. Khái niệm này giữ nguyên nội dung về mục tiêu hoạt động, mục tiêu tuân thủ, nhung mục
tiêu báo cáo đã được mở rộng hơn, không chỉ đảm bảo độ tin cậy của BCTC mà còn liên quan đến độ tin cậy của các báo cáo phi tài chính và báo cáo nội bộ khác.
về các thành phần của KSNB, COSO 2013 vẫn giữ nguyên nội dung: khung KSNB bao gồm 5 yếu tố: Môi trường kiểm soát; Đánh giá rủi ro; Hoạt động kiểm soát;
Thông tin và truyền thông; Giám sát.
Sơ đồ 1.1. Các bộ phận cấu thành của Kiểm soát nội bộ (Nguồn: The 2013 Internal Control - Integrated Framework)
Môi trường kiểm soát (Control Environment): bao gồm các tiêu chuẩn, quy
trình và cấu trúc của tổ chức, cung cấp nền tảng cho việc thực hiện KSNB tổ chức. Môi trường kiểm soát là nền tảng cho các thành phần khác của KSNB. Tuy môi trường kiểm soát tốt chưa thể đảm bảo cho các quá trình kiểm soát và cả hệ thống KSNB là tốt, song môi trường kiểm soát không thuận lợi sẽ ảnh hưởng lớn đến tính hiệu lực, hiệu quả của hệ thống KSNB.
Đánh giá rủi ro (Risk Assessment): là các hoạt động nhận diện, đánh giá các
rủi ro kinh doanh, từ đó quyết định các hành động thích hợp nhằm đối phó với các rủi ro đó. Thành phần này tạo cơ sở cho cách xác định rủi ro, xử lý rủi ro, quản lý và báo cáo. Bất kỳ tổ chức, DN nào trong quá trình sản xuất kinh doanh, không phụ thuộc vào quy mô, cấu trúc, loại hình hay vị trí địa lý, cũng đều phải đối mặt với rủi ro. Những rủi ro này có thể do bản thân DN hay từ môi trường kinh tế, chính trị, xã hội bên ngoài tác động, do vậy mỗi đơn vị phải ý thức được và đối phó với rủi ro mà mình gặp phải.
Hoạt động kiểm soát (Control Activities): là các hoạt động liên quan tới
những mục tiêu và rủi ro được xác định rõ ràng, thường được xác định thông qua các thủ tục của DN và có thể đo lường được dễ dàng hơn. Hoạt động kiểm soát diễn ra trong toàn đơn vị ở mọi cấp độ và mọi hoạt động. Khi tiến hành kiểm soát thì các hành động kiểm soát phải đạt được những nội dung gồm: Phân chia trách nhiệm theo nguyên tắc bất kiêm nhiệm; Ủy quyền cho người có thẩm quyền phê chuẩn các nghiệp vụ một cách thích hợp; Kiểm soát chứng từ; Kiểm soát sổ sách; Kiểm soát vật chất; Kiểm tra sự độc lập thực hiện.
Thông tin và truyền thông (Information and Communication): Các thông
tin cần thiết phải được nhận diện, thu thập và trao đổi trong đơn vị dưới hình thức và thời gian thích hợp sao cho nó giúp mọi người trong đơn vị thực hiện được nhiệm vụ của mình. Thông tin và truyền thông tạo ra báo cáo, chứa đựng các thông tin cần thiết cho việc quản lý và kiểm soát đơn vị. Sự trao đổi thông tin hữu hiệu đòi hỏi phải diễn ra theo nhiều hướng: Từ cấp trên xuống cấp dưới, từ dưới lên trên và giữa các cấp với nhau. Mỗi cá nhân cần hiểu rõ vai trò của mình trong KSNB cũng như hoạt động của cá nhân có tác động tới công việc của người khác như thế nào. Bên cạnh đó, cũng cần có sự trao đổi giữa đơn vị với các đối tượng bên ngoài như khách hàng, nhà cung cấp, cổ đông và các cơ quan quản lý.
Hoạt động giám sát (Monitoring Activities): Là quá trình đánh giá chất lượng
của KSNB trong từng giai đoạn. Khiếm khuyết của KSNB cần được xem xét báo cáo lên cấp trên và điều chỉnh khi cần thiết. Trong môi trường kiểm soát, nhà quản lý đánh giá rủi ro đe dọa đến việc đạt được các mục tiêu cụ thể. Hoạt động kiểm soát được tiến hành nhằm đảm bảo các chỉ thị của nhà quản lý có thể ứng phó với rủi ro trong thực tế. Thông tin thích hợp cũng cần phải được thu thập và quá trình trao đổi thông tin diễn ra thông suốt trong toàn bộ tổ chức.
Tuy nhiên, quan điểm của COSO 2013 cũng có những điểm thay đổi cơ bản: - Sự toàn cầu hóa thị trường và hoạt động kinh doanh mở rộng đòi hỏi KSNB cần thay đổi để phù hợp với sự biến động của thế giới;
- Các quy định, chuẩn mực mới được ban hành, sửa đổi đặt ra yêu cầu đối với Nhà quản trị cần nâng cao năng lực điều hành và trách nhiệm giải trình trước xã hội; giúp ngăn ngừa, phát hiện và giảm thiểu các gian lận;
KSNB
Môi trường kiểm soát
1. Đơn vị thể hiện được cam kết về tính chính trực và giá trị đạo đức.
2. HĐQT chứng minh được sự độc lập với nhà quản lý và thực thi việc giám sát sự phát triển và hoạt động của KSNB.
3. Nhà quản lý dưới sự giám sát của HĐQT cần thiết lập cơ cấu tổ chức, quy trình báo cáo, phân định trách nhiệm và quyền hạn nhằm đạt được mục tiêu của đơn vị.
4. Đơn vị phải thể hiện sự cam kết về việc sử dụng nhân viên có năng lực thông qua tuyển dụng, duy trì và phát triển nguồn nhân lực phù hợp với mục tiêu của đơn vị.
5. Đơn vị cần yêu cầu các cá nhân chịu trách nhiệm báo cáo về trách nhiệm của họ trong việc đáp ứng các mục tiêu của tổ chức.
Đánh giá rủi ro
6. Đơn vị phải thiết lập mục tiêu rõ ràng và đầy đủ để xác định và đánh giá các rủi ro phát sinh trong việc đạt được mục tiêu của đơn vị.
7. Đơn vị phải nhận diện rủi ro trong việc đạt được mục tiêu của đơn vị, tiến hành phân tích rủi ro để xác định rủi ro cần được quản lý như thế nào.
8. Đơn vị cần xem xét các loại gian lận tiềm tàng khi đánh giá rủi ro đối với việc đạt mục tiêu của đơn vị.
9. Đơn vị cần xác định và đánh giá những thay đổi của môi trường ảnh hưởng đến KSNB
Hoạt động kiểm soát
10. Đơn vị phải lựa chọn và phát triển các hoạt động kiểm soát để góp phần hạn chế các rủi ro giúp đạt mục tiêu trong giới hạn chấp nhận được.
11. Đơn vị lựa chọn và phát triển các hoạt động kiểm soát chung với công nghệ hiện đại để hỗ trợ cho việc đạt được các mục tiêu.
12. Đơn vị tổ chức triển khai hoạt động kiểm soát thông qua nội dung các chính sách đã được thiết lập và triển khai chính sách thành các hành động cụ thể.
- Ứng dụng sự phát triển của khoa học công nghệ vào hoạt động kinh doanh đòi hỏi KSNB cũng phải thay đổi để phù hợp với cách thức vận hành mới.
Dựa vào các khía cạnh chính đã được điều chỉnh, COSO 2013 đã đưa ra 17 nguyên tắc mở rộng theo mô hình kết cấu bởi 5 thành phần cấu thành KSNB:
Thông tin và truyền
thông
14. Đơn vị cần truyền đạt trong nội bộ những thông tin cần thiết, bao gồm cả mục tiêu và trách nhiệm đối với KSNB, nhằm hỗ trợ cho chức năng kiểm soát.
15. Đơn vị cần truyền đạt cho các đối tượng bên ngoài đơn vị về các vấn đề ảnh hưởng đến KSNB
Hoạt động giám sát
16. Đơn vị phải lựa chọn, triển khai và thực hiện việc đánh giá liên tục hoặc định kỳ để biết chắc rằng liệu những thành phần nào của KSNB có hiện hữu và đang hoạt động.
17. Đơn vị phải đánh giá và thông báo những yếu kém của KSNB một cách kịp thời cho các đối tượng có trách nhiệm bao gồm nhà quản lý và HĐQT để có những biện pháp khắc phục
Nam số 315 - Xác định và đánh giá rủi ro có sai sót trọng yếu thông qua hiểu biết về đơn vị được kiểm toán và môi trường của đơn vị (VAS 315), ban hành theo Thông tư số 214/2012/TT-BTC: “Kiểm soát nội bộ là quy trình do Ban quản trị, Ban giám đốc và các cá nhân khác trong đơn vị thiết kế, thực hiện và duy trì để tạo ra sự đảm bảo hợp lý về khả năng đạt được mục tiêu của đơn vị trong việc đảm bảo độ tin cậy của báo cáo tài chính, đảm bảo hiệu quả, hiệu lực hoạt động, tuân thủ pháp luật và các quy
định có liên quan.,,[10, tr.1]
Kế thừa tinh thần từ COSO 2013, VAS 315 cũng phân chia KSNB ra thành 05 thành phần cơ bản:
(1) Môi trường kiểm soát bao gồm các yếu tố sau:
Truyền đạt thông tin và yêu cầu thực thi tính chính trực và các giá trị đạo đức: Tính hữu hiệu của các kiểm soát không thể cao hơn các giá trị đạo đức và tính
chính trực của những người tạo ra, quản lý và giám sát các kiểm soát đó. BGĐ thực thi tính chính trực và các giá trị đạo đức thông qua các biện pháp nhằm loại bỏ hoặc giảm thiểu động cơ xúi giục nhân viên tham gia vào các hành động thiếu trung thực, bất hợp pháp, hoặc phi đạo đức; truyền đạt tới nhân viên các chuẩn mực hành vi
thông qua các chính sách của đơn vị, các quy tắc đạo đức và bằng tấm guơng điển hình.
Cam kết về năng lực: Năng lực là kiến thức và các kỹ năng cần thiết để hoàn
thành nhiệm vụ thuộc phạm vi công việc của từng cá nhân.
Sự tham gia của Ban quản trị: Ban quản trị có trách nhiệm giám sát việc
thiết kế và hiệu quả hoạt động của các thủ tục báo cáo sai phạm và các thủ tục soát xét tính hiệu quả của KSNB của đơn vị. Trách nhiệm này đuợc đề cập trong các chuẩn mực nghề nghiệp, pháp luật và quy định khác, hoặc trong các huớng dẫn ban hành.
Triết lý và phong cách điều hành của Ban Giám đốc: đuợc thể hiện thông
qua quan điểm, thái độ và hành động của Ban Giám đốc đối với việc lập và trình bày BCTC; việc lựa chọn các nguyên tắc, chính sách kế toán có thận trọng hay không; sự thận trọng khi xây dựng các uớc tính kế toán.
Cơ cấu tổ chức: Việc thiết lập một cơ cấu tổ chức thích hợp gồm việc xem
xét, cân nhắc các vấn đề chính về quyền hạn, trách nhiệm và các kênh báo cáo phù hợp, phụ thuộc một phần vào quy mô và đặc điểm hoạt động của đơn vị. Đây thực chất là sự phân chia trách nhiệm và quyền hạn giữa các bộ phận trong đơn vị. Một cơ cấu phù hợp sẽ là cơ sở để lập kế hoạch, điều hành, kiểm soát và giám sát các hoạt động. Nguợc lại, khi thiết kế không đúng, cơ cấu tổ chức có thể làm cho các thủ tục kiểm soát mất tác dụng.
Phân công quyền hạn và trách nhiệm: có thể bao gồm các chính sách liên
quan đến thông lệ phổ biến, hiểu biết và kinh nghiệm của các nhân sự chủ chốt, và các nguồn lực đuợc cung cấp để thực hiện nhiệm vụ. Ngoài ra, việc phân công có thể bao gồm các chính sách và trao đổi thông tin để đảm bảo rằng tất cả nhân viên đều hiểu đuợc mục tiêu của đơn vị, hiểu đuợc hành động của mỗi cá nhân có liên quan với nhau và đóng góp nhu thế nào vào các mục tiêu đó, nhận thức đuợc mỗi cá nhân sẽ chịu trách nhiệm nhu thế nào và chịu trách nhiệm về cái gì.
Các chính sách và thông lệ về nhân sự: thuờng cho thấy các vấn đề quan
trọng liên quan tới nhận thức về kiểm soát của đơn vị. Sự phát triển của mọi DN, tổ chức luôn gắn liền với đội ngũ nhân viên và họ là nhân tố quan trọng trong môi truờng kiểm soát cũng nhu chủ thể thực hiện mọi thủ tục kiểm soát trong hoạt động
của đơn vị. Các chính sách và thông lệ liên quan đến các hoạt động tuyển dụng, định huớng, đào tạo, đánh giá, huớng dẫn, thăng tiến nhân viên, luơng, thuởng và các biện pháp khắc phục sai sót.
(2) Quy trình đánh giá rủi ro của đơn vị
Đối với mục tiêu lập và trình bày BCTC: quy trình đánh giá rủi ro bao gồm
các buớc: Ban Giám đốc xác định các rủi ro kinh doanh có liên quan nhu thế nào đến việc lập và trình bày BCTC theo khuôn khổ; uớc tính độ rủi ro; đánh giá khả năng xảy ra rủi ro và quyết định các hành động nhằm xử lý, quản trị rủi ro và kết quả thu đuợc.
Đối với độ tin cậy của BCTC: Ban Giám đốc có thể lập các chuơng trình, kế
hoạch hoặc hành động để xử lý những rủi ro cụ thể hoặc quyết định chấp nhận rủi ro do tính đến hiệu quả kinh tế hay xem xét các yếu tố khác. Các rủi ro có thể phát sinh hoặc thay đổi trong các tình huống nhu:
- Những thay đổi trong môi truờng pháp lý hoặc môi truờng hoạt động có thể dẫn đến những thay đổi về áp lực cạnh tranh và các rủi ro khác nhau đáng kể;
- Nhân sự mới có thể có hiểu biết và những trọng tâm khác về KSNB;
- Hệ thống thông tin mới đua vào sử dụng hoặc đuợc nâng cấp , Công nghệ mới ứng dụng có thể làm thay đổi các rủi ro liên quan đến KSNB;
- Tăng truởng nhanh có thể tạo áp lực đối với các kiểm soát và làm tăng rủi ro kiểm soát bị thất bại;
- Các hoạt động, sản phẩm, mô hình kinh doanh mới chua đuợc hoàn thiện về quy trình gấy khó khăn buớc đầu để vận hành;
- Việc tái cơ cấu có thể dẫn đến giảm biên chế, thay đổi cơ chế, cách thức quản lý hay thay đổi sự phân công, phân nhiệm làm thay đổi rủi ro liên quan đến KSNB; - Mở rộng thị phần nuớc ngoài làm gia tăng hoặc thay đổi rủi ro từ giao dịch ngoại tệ;
- Việc áp dụng nguyên tắc, chuẩn mực, chế độ kế toán mới hoặc thay đổi chuẩn mực,
chế độ kế toán có thể ảnh huởng đến các rủi ro trong quá trình lập và trình bày BCTC.
(3) Hệ thống thông tin bao gồm:
Hệ thống thông tin liên quan đến mục tiêu lập và trình bày BCTC: gồm hệ thống BCTC, phương pháp kế toán, hệ thống sổ sách, chứng từ kế toán:
- Xác định và ghi nhận tất cả các giao dịch có hiệu lực; Mô tả các giao dịch một cách kịp thời, chi tiết để cho phép phân loại phù hợp các giao dịch;
- Đo lường giá trị của các giao dịch để đảm bảo giá trị giao dịch được phản ánh hợp lý trong BCTC; Xác định thời kỳ diễn ra giao dịch để ghi nhận giao dịch đúng kỳ kế toán; Trình bày thích hợp các giao dịch và các thuyết minh liên quan trên BCTC.
Chất lượng của thông tin tạo ra từ hệ thống: ảnh hưởng đến khả năng BGĐ
đưa ra các quyết định phù hợp trong việc quản lý và kiểm soát các hoạt động của đơn vị và lập BCTC một cách đáng tin cậy.
Tài liệu hướng dẫn về chính sách, về kế toán và lập BCTC cung cấp những
hiểu biết về vai trò và trách nhiệm của cá nhân gắn liền với KSNB trong việc lập và trình bày BCTC.
(4) Các hoạt động kiểm soát liên quan tới:
Đánh giá tình hình hoạt động: so sánh thực tế với kế hoạch, so sánh thực tế
với dự báo hay so sánh giữa các kỳ; đánh giá và phân tích mối liên hệ giữa các dữ