1.2. Cơ sở lýluận về hoạtđộng kiểmsoátnộibộ trong doanhnghiệp
1.2.3. Các yếu tố cấuthành hoạtđộng kiểmsoátnộibộ trong doanhnghiệp
Khung quy định về kiểm soát nội bộ phổ biến đang đƣợc áp dụng tại các quốc gia trên thế giới hiện nay đƣợc ban hành bởi Ủy ban COSO (Committee of Sponsoring Organizations)- một Ủy ban đƣợc thành lập từ năm 1985 thuộc Ủy ban thuộc Hội đồng quốc gia Hoa Kỳ về chống gian lận trên BCTC (hay gọi tắt là Treadway Commission).
COSO đã ban hành báo cáo kiểm soát nội bộ đầu tiên vào năm 1992 (gọi tắt là báo cáo COSO 1992) về kiểm soát nội bộ nhƣ một bƣớc khởi đầu làm nền tảng cho các doanh nghiệp khi xây dựng hệ thống KSNB. Nhiều quy định của pháp luật (nhƣ Luật Sarbanes Oxley (SOX) của Hoa Kỳ, Luật doanh nghiệp, Luật các tổ chức tín dụng, Luật kiểm toán các nƣớc…), chuẩn mực kiểm toán quốc tế, chuẩn mực kiểm toán nội bộ, các quy định của Ủy ban chứng khoán của nhiều quốc gia… đã sử dụng báo cáo COSO 1992 nhƣ một tiêu chuẩn về kiểm soát nội bộ cho các đối tƣợng bắt buộc phải tuân thủ.
Năm 2013, Ủy ban COSO đã ban hành bản cập nhật mới với tên gọi “KSNB - Khuôn khổ hợp nh ất” thay thế cho COSO 1992 nhằm ứng phó với những thay đổi mạnh mẽ từ môi trƣờng kinh doanh và tốc độ phát triển của công nghệ thông tin… tới cách thức tổ chức kinh doanh, nhận diện, đánh giá và ứng phó rủi ro của doanh nghiệp trong bối cảnh toàn cầu hóa. Bản báo cáo của COSO năm 2013 có những thay đổi quan trọng nhƣ áp dụng cách thức tiếp cận dựa trên nguyên tắc (principle based) khi thiết kế KSNB, không đƣa ra các thủ tục kiểm soát mà đƣa ra các yêu cầu cần tuân thủ trong quá trình kiểm soát, mở rộng mục tiêu kiểm soát, tăng cƣờng các thủ tục kiểm soát và quản trị rủi ro, đảm bảo các yêu cầu của một hệ thống kiểm soát nội bộ hữu hiệu.Báo cáo COSO 2013 đã cho thấy sự gắn kết chặt chẽ giữa kiểm soát nội bộ và quản trị rủi ro (ERM) và quản trị doanh nghiệp.
trƣờng kiểm soát; Đánh giá rủi ro; Hoạt động kiểm soát; Thông tin và truyền thông; Giám sát.
Cơ cấu KSNB của COSO có thể đƣợc khái quát bằng Sơ đồ 1.1 – Cơ cấu kiểm soát nội bộ theo COSO 2013 nhƣ sau:
Sơ đồ 1.1: Cơ cấu kiểm soát nội bộ (Nguồn: COSO 2013)
Nhƣ vậy, các yếu tố cấu thành của KSNB có quan hệ chặt chẽ với nhau, trong đó nhấn mạnh tới việc nhà quản lý cần đánh giá rủi ro có thể đe dọa đến việc thực hiện các mục tiêu, hoạt động kiểm soát sẽ tiến hành xử lý các rủi ro trên thực tế. Trong khi đó, các thông tin thích hợp cần phải đƣợc thu thập và quá trình trao đổi thông tin phải diễn ra thông suốt trong toàn bộ tổ chức. Quá trình trên cần phải đƣợc giám sát để điều chỉnh lại hệ thống kiểm soát nội bộ khi cần thiết để đạt đƣợc mục tiêu của tổ chức.
Để đảm bảo tính hữu hiệu, việc xây dƣ̣ng quy trình kiểm soát nội bộ phải đảm bảo đã bao gồm 17 nguyên tắc mở rộng theo quy định của COSO 13 với 5 thành phần cấu thành một hệ thống KSNB theo Sơ đồ 1.2 - Các nguyên tắc kiểm soát nội bộ theo COSO 2013 nhƣ sau:
Sơ đồ 1.2: Các nguyên tắc kiểm soát nội bộ (Nguồn: COSO 2013)
Cho tới nay, các tiêu chuẩn trong báo cáo COSO 2013 vẫn đƣợc phần lớn các quốc gia trên thế giới áp dụng trong việc thiết kế và xây dựng khung KSNB cũng nhƣ các hƣớng dẫn chi tiết về KSNB, quản trị rủi ro và ngăn ngừa gian lận nhằm giảm mức độ gian lận, cải thiện hiệu suất hoạt động và quản trị của đơn vị. Theo hƣớng từ trên xuống (top-down), một đơn vi ̣ cần bắt đầu xây dựng mô hình quản trị doanh nghiệp trƣớc, tiếp đó thực hiện thiết lập cơ chế quản trị rủi ro và sau cùng mới là duy trì KSNB nhằm đảm bảo tính nhất quán từ tầm nhìn, chiến lƣợc phát triển của đơn vị đến việc thực thi các nhiệm vụ cụ thể. Tuy nhiên, tại các DNNVV do nguồn lực hạn chế thƣờng chỉ tập trung thực hiện một cấp KSNB và không có đầy đủ/hoặc nếu có nhƣng không chính
Về môi trƣờng kiểm
soát
• 1. Thực hiện cam kết nhằm đảo bảo chính trị và giá trị đạo đức.
• 2. Thực hiện trách nhiệm tổng thể.
• 3. Thiết lập cấu trúc, quyền lực và trách nhiệm. • 4. Thực thi cam kết về năng lực.
• 5. Đảm bảo trách nhiệm giải trình.
Về đánh giá rủi ro
• 6. Xác định mục tiêu cụ thể và phù hợp. • 7. Xác định và phân tích rủi ro.
• 8. Đánh giá rủi ro gian lận.
• 9. Xác định và phân tích các thay đổi quan trọng.
Về hoạt động kiểm
soát
• 10. Lựa chọn và phát triển các hoạt động kiểm soát • 11. Lựa chọn và phát triển các kiểm soát chung (IT) • 12. Ứng dụng chính xác các thủ tục
Về thông tin, truyền thông
• 13. Sử dụng thông tin phù hợp. • 14. Truyền thông nội bộ.
• 15. Truyền thông bên ngoài đơn vị
Về hoạt động giám
sát
• 16. Thực hiện đánh giá liên tục và tách biệt.
thức thực hiện ba cấp độ kiểm soát này.
1.2.3.1. Môi trường kiểm soát
Môi trƣờng kiểm soát của kiểm soát nội bộ trong doanh nghiệp cần bao gồm toàn bộ các nhân tố bên trong và bên ngoài doanh nghiệp liên quan đến tính chính trực, giá trị đạo đức của các nhà quản lý, triết lý và phong cách điều hành; cơ cấu tổ chức; việc phân định quyền hạn, trách nhiệm; chính sách nhân sự đƣợc sử dụng; công tác kế hoạch; sự tham gia của Ban quản trị và một số các yếu tố khác cụ thể nhƣ sau:
* Tính chính trực, giá trị đạo đức, triết lý và phong cách điều hành của các nhà quản lý:
Tính hiệu quả của quy trình kiểm soát nội bộ phần lớn phụ thuộc vào nhận thức, thái độ và hành động của nhà quản trị doanh nghiệp đối với hệ thống kiểm soát nội bộ. Do vậy, nhà quản lý doanh nghiệp phải ý thức và xác định đƣợc rõ ràng tầm quan trọng của kiểm soát nội bộ để từ đó sẽ định hƣớng các nhân viên cũng nhận thức đúng đắn về hoạt động kiểm tra, kiểm soát của doanh nghiệp và tuân thủ mọi quy định đề ra. Các quan điểm và phong cách điều hành của nhà quản lý sẽ ảnh hƣởng đến chính sách, chế độ và việc duy trì thực hiện chính sách đó bởi chính họ là ngƣời thiết lập ra các chính sách, thủ tục và phê chuẩn để áp dụng tại đơn vị.
Tính chính trực và giá trị đạo đức là nền tảng cho mọi hành vi, quyết định và cũng là cơ sở để thiết kế, vận hành một cách hữu hiệu quy trình kiểm soát nội bộ. Tính hữu hiệu của quy trình kiểm soát nội bộ không thể cao hơn các giá trị đạo đức và tính chính trực của những nhà kiến tạo, quản lý và giám sát hệ thống đó.
* Cơ cấu tổ chức và cách thức phân định quyền hạn, trách nhiệm
thuộc trong doanh nghiệp thể hiện rõ những nhiệm vụ cụ thể do ai hoặc bộ phận nào làm, làm việc gì và liên kết với các bộ phận, cá nhân khác trong doanh nghiệp nhƣ thế nào nhằm tạo ra sự phối hợp nhịp nhàng để thực hiện đƣợc các mục tiêu của doanh nghiệp. Cơ cấu tổ chức giúp các nhân viên làm việc cùng nhau một cách có hiệu quả thông qua:
- Phân công con ngƣời và phân bổ các nguồn lực khác cho các hoạt động.
- Xác định rõ nhiệm vụ, quyền hạn của từng nhân viên, chỉ ra sự phối hợp giữa họ với nhau thông qua các bản mô tả công việc, các sơ đồ tổ chức và văn bản phân định quyền hạn.
- Cho phép nhân viên biết đƣợc những điều gì nhà quản lý đang kỳ vọng ở họ thông qua các quy tắc, các thủ tục hoạt động và tiêu chuẩn chức danh.
- Thiết kế các quy trình để thu thập, đánh giá thông tin giúp các nhà quản trị đƣa ra và thực hiện các quyết định.
* Chính sách nhân sự và đảm bảo năng lực
Chính sách nhân sự là toàn bộ các phƣơng pháp quản lý nhân sự, các chính sách, chế độ, thủ tục và quy định của nhà quản lý về việc tuyển dụng, sắp xếp, đào tạo, đánh giá, khen thƣởng, kỷ luật, sa thải và đề bạt đối với nhân viên. Chính sách nhân sự có tác động đáng kể tới sự tồn tại và phát triển của doanh nghiệp cũng nhƣ sự hữu hiệu của hoạt động kiểm soát nội bộ. Chính sách nhân sự hợp lý sẽ đảm bảo cho nhà quản trị doanh nghiệp tuyển dụng, thu hút và giữ chân đƣợcnhững nhân sự có đạo đức, có năng lực thực sự và đề cao tính trách nhiệm trung thực, đồng thời phát huy tối đa năng lực của nhân viên. Vì vậy, việc xây dƣ̣ng chiến lƣợc tổng thể về nhân sự nhằm dự báo đƣợc cả số lƣợng và chất lƣợng nhân sự, phù hợp với chiến lƣợc và định hƣớng phát triển của doanh nghiệp là rất cần thiết chú trọng. Chiến lƣợc nhân sự sẽ giúp
định hƣớng cho việc xây dựng và điều chỉnh các chính sách nhân sự phù hợp với từng thời kỳ.
* Công tác kế hoạch
Hệ thống kế hoạch bao gồm kế hoạch cấp chiến lƣợc và kế hoạch cấp chiến thuật về mọi mặt hoạt động của doanh nghiệp chẳng nhƣ phát triển công nghệ, sản xuất, bán hàng, quản trị nguồn nhân lực, tài chính… đƣợc xây dựng trên cơ sở chiến lƣợc kinh doanh của doanh nghiệp. Lập kế hoạch là quá trình nhà quản trị xác định, lựa chọn mục tiêu và vạch ra các bƣớc thực hiện để đạt đƣợc mục tiêu đó. Kế hoạch không chỉ là định hƣớng cho công việc sẽ làm mà nó còn là công cụ để kiểm soát quá trình thực hiện công việc đó. Kế hoạch đƣợc lập một cách khoa học, nghiêm túc và sát với tình hình thực tế bao nhiêu thì công việc kiểm soát càng dễ dàng bấy nhiêu. Kế hoạch lập ra không thể cứng nhắc nó có thể thay đổi theo tình hình thực tế nên cần phải theo dõi những nhân tố ảnh hƣởng đến kế hoạch đã lập để xem xét điều chỉnh, xử lý kịp thời.
Công tác kế hoạch có vai trò quan trọng trong việc quản lý và nâng cao tính tự chủ trong hoạt động sản xuất kinh doanh của đơn vị. Lập kế hoạch giúp các nhà quản lý lựa chọn, xác định đƣợc mục tiêu và chƣơng trình hành động trong từng giai đoạn, đồng thời giúp nhà quản lý có cơ sở để kiểm tra, đôn đốc nhằm đảm bảo thực hiện đƣợc các mục tiêu đề ra.
* Sự tham gia của Ban quản trị
Tùy theo loại hình doanh nghiệp mà Ban quản trị đƣợc tổ chức khác nhau. Theo Luật doanh nghiệp 2014, đối với Doanh nghiệp Nhà nƣớc đƣợc tổ chức dƣới hình thức công ty TNHH, Ban quản trị của công ty thông thƣờng sẽ bao gồm: HĐTV, Giám đốc hoặc Tổng giám đốc và Kiểm soát viên, HĐTV quyết định việc thành lập kiểm toán nội bộ. Đối với công ty cổ phần, Ban
quản trị của công ty thƣờng bao gồm HĐQT, Ban kiểm soát, Giám đốc hoặc Tổng giám đốc, Ban kiểm toán nội bộ trực thuộc HĐQT. Nhƣ vậy, có thể thấy không phụ thuộc vào loại hình doanh nghiệp, Ban quản trị của các doanh nghiệp không thể thiếu thành phần BKS/KSV hay thậm chí còn có cả kiểm toán nội bộ. Những doanh nghiệp có quy mô lớn thƣờng lập Ủy ban kiểm toán. Đây là Ủy ban bao gồm một số thành viên trong bộ máy lãnh đạo cấp cao nhất (thành viên Hội đồng quản trị) am hiểu về lĩnh vực kiểm soát, không kiêm nhiệm chức vụ quản lý. Ủy ban kiểm toán đóng góp quan trọng cho việc thực hiện các mục tiêu của doanh nghiệp thông qua việc: (i) Giám sát sự tuân thủ pháp luật của doanh nghiệp; (ii) Giám sát quá trình thu nhận, xử lý thông tin và lập Báo cáo tài chính; (iii) Kiểm tra và giám sát bộ phận kiểm toán nội bộ, đảm bảo sự độc lập của kiểm toán nội bộ; (iv) Dung hòa những bất đồng giữa doanh nghiệp với kiểm toán viên.
Sự hữu hiệu của Ủy ban kiểm toán có ảnh hƣởng rất lớn đến môi trƣờng kiểm soát. Các nhân tố để đánh giá sự hữu hiệu của Ủy ban kiểm toán bao gồm mức độ độc lập, kinh nghiệm và uy tín của các thành viên trong Ủy ban kiểm toán, mối quan hệ của họ với bộ phận kiểm toán nội bộ và kiểm toán độc lập.
Bộ phận kiểm toán nội bộ là một bộ phận độc lập trong doanh nghiệp đƣợc tổ chức nhằm tiến hành công việc giám sát, kiểm tra và đánh giá một các thƣờng xuyên về toàn bộ hoạt động của doanh nghiệp trong đó có cả hệ thống kiểm soát nội bộ. Kiểm toán nội bộ là công cụ trợ giúp Hội đồng quản trị và Ban Giám đốc thực thi một cách có hiệu quả trách nhiệm của mình đối với việc thiết lập các quy trình kiểm soát hiệu quả về chi phí, đánh giá rủi ro, khuyến nghị các biện pháp giảm thiểu các rủi ro đƣợc xác định và đảm bảo quy trình quản trị doanh nghiệp phù hợp.
cụ giám sát, kiểm tra của chủ sở hữu, dođó,nhucầunângcaohiệuquảcủabộmáykiểmsoátnộibộ,
kiểmtoánnộibộlànhucầutấtyếuđểđảmbảotínhhiệuquảcủa hoạt động kiểm soát nội bộ.
Ngoài ra, để nâng cao chất lƣợng, đảm bảo tính hiệu lực của môi trƣờng kiểm soát thì doanh nghiệp cũng đƣợc khuyến nghị cần xây dựng, ban hành các quy chế, quy định chặt chẽ và nghiêm khắc đối với những vi phạm, thiếu ý thức trách nhiệm của các cán bộ, nhân viên khi chấp hành thực thi nhiệm vụ đƣợc giao bao gồm quy định các hình thức phạt, kỷ luật nặng không chỉ về hành chính mà còn cả vật chất.
* Các nhân tố bên ngoài
Môi trƣờng kiểm soát của doanh nghiệp còn bao gồm các nhân tố bên ngoài. Các nhân tố này nằm ngoài sự kiểm soát của các nhà quản trị doanh nghiệp nhƣng có ảnh hƣởng rất lớn đến thái độ, phong cách điều hành của các nhà quản trị cũng nhƣ việc thiết kế, vận hành các quy chế và thủ tục kiểm soát nội bộ. Thuộc nhóm các nhân tố này bao gồm tình hình chung về kinh tế, ảnh hƣởng của các cơ quan chức năng nhà nƣớc, môi trƣờng pháp lý; ảnh hƣởng của các chủ nợ và các trách nhiệm pháp lý có liên quan, chủ trƣơng, đƣờng lối, chính sách phát triển của đất nƣớc... Doanh nghiệp sẽ cần chủ động đánh giá những ảnh hƣởng của các yếu tố bên ngoài có liên quan đến kiểm soát nội bộ của đơn vị thông qua hoạt động đánh giá rủi ro một cách thƣờng xuyên.
Nhƣ vậy, để kiểm soát nội bộ đƣợc thiết kế và vận hành một cách hiệu quả, các nhà quản lý doanh nghiệp cần phải nhận thức rõ về tầm quan trọng của những yếu tố thuộc về môi trƣờng kiểm soát để làm tiền đề cho việc thiết kế các bộ phận hợp thành tiếp theo của hệ thống kiểm soát nội bộ.
Không phụ thuộc vào quy mô, cấu trúc loại hình hay vị trí địa lý, bất kỳ tổ chức nào hay mọi doanh nghiệp khi đi vào hoạt động đều phải đối mặt với các loại rủi ro. Để hạn chế những thiệt hại do rủi ro gây ra, các nhà quản lý cần tuân thủ quy trình đánh giá rủi ro bao gồm xác định mục tiêu của doanh nghiệp, nhận dạng các rủi ro hiện hữu và tiềm ẩn có thể gây ảnh hƣởng đến việc thực hiện mục tiêu của doanh nghiệp, phân tích mức độ ảnh hƣởng của chúng kể cả tần suất xuất hiện và xác định các biện pháp để quản lý và giảm thiểu tác hại có liên quan. Quy trình đánh giá rủi ro có thể đƣợc xây dƣ̣ng dƣới nhiều hình thức với các bƣớc cụ thể khác nhau. Tuy nhiên, trên góc độ chung nhất, có thể bao gồm 7 bƣớc cơ bản theo sơ đồ 1.3 - Khung quy trình đánh giá rủi ro trong doanh nghiệp dƣới đây:
Sơ đồ 1.3: Khung quy trình đánh giá rủi ro trong doanh nghiệp
Bƣớc 1-Thiếtlậpmôitrƣờngbốicảnh
Với quy trình này, đầu tiên nhà quản lý cần phải xác định mục tiêu. Báo cáo COSO không cho rằng việc xác định mục tiêu là nhiệm vụ của KSNB, tuy nhiên đây là điều kiện tiên quyết để đánh giá rủi ro. Việc đánh giá rủi ro phảiđặttrongmộtbốicảnhcụthể,bốicảnhđólàphạmvi,quymôhoạtđộng,điềukiệnho ạtđộngcủadoanhnghiệp và bối cảnh thị trƣờng, kết hợp với những mục tiêu bao gồm sứ mệnh, các mục tiêu chiến lƣợc, những chỉ tiêu đã đề ra trong ngắn hạn, trung và dài hạn của doanh nghiệp.
Truyền thông và tham vấn Giám sát rủi ro
Bƣớc 2-Xác định rủi ro
Xác định rủi ro là quá trình xác định liên tục và có hệ thống các rủi ro nảy sinh trong hoạt động kinh doanh, nhằm xác định một danh sách rủi ro đầy đủ và các sự kiện mà có thể ảnh hƣởng đến khả năng đạt mục tiêu kinh doanh, chiến lƣợc của doanh nghiệp. Các doanh nghiệp hoạt động trong lĩnh vực khác nhau thì phải đối mặt với các rủi ro khác nhau. Xác định/nhận dạng rủi ro nhằm thu thập các thông tin về các đối tƣợng có thể gặp rủi ro (con ngƣời, tài sản, trách nhiệm pháp lý của doanh nghiệp), các nguồn phát sinh rủi ro, các yếu tố mạo hiểm, hiểm họa, các loại tổn thất và rủi ro có thể gây ra cho doanh nghiệp. Các phòng ban nghiệp vụ chức năng (kinh doanh, kế toán, sản xuất, …) cần tham gia và thực hiện xác định rủi ro. Thông thƣờng, việc xác định rủi ro đƣợc thực hiện định kỳ và khi có bất kỳ sự kiện nào xảy ra (sự kiện nội bộ và sự kiện bên ngoài).
Các rủi ro mà doanh nghiệp đối mặt sẽ phụ thuộc vào loại hoạt động kinh doanh của doanh nghiệp nhƣ rủi ro chính trị, rủi ro thị trƣờng (giá cả, lãi suất, tỷ giá...), rủi ro từ nhân tố con ngƣời, rủi ro công nghệ, rủi ro môi trƣờng và các quy định về bảo vệ môi trƣờng, rủi ro về thời gian xây dựng và kỹ thuật, rủi ro về nguồn vốn, rủi ro về các yếu tố đầu vào, rủi ro về thời tiết, rủi ro về tiến độ, thời gian thi công bị kéo dài, rủi ro về an toàn lao động, rủi ro thị trƣờng về giá nguyên vật liệu, nhân công, rủi ro về quyết toán công trình, thu hồi nợ, rủi ro về luật pháp....Lĩnh vực tài chính, ngân hàng phải đối mặt với rủi ro về nợ xấu, rủi ro đầu tƣ tài chính, rủi ro thanh khoản....
Bƣớc 3- Phân tích rủi ro
Phân tích rủi ro là hoạt động nhằm xác định đƣợc mức độ ảnh hƣởng và khả năng xảy ra của rủi ro. Có rất nhiều loại rủi ro, do đó cần phân tích các rủi
ro, cần biết đƣợc đối với doanh nghiệp loại rủi ro nào có tần suất xuất hiện nhiều, loại rủi ro nào xuất hiện ít, loại rủi ro nào gây hậu quả nghiêm trọng, loại nào ít nghiêm trọng hơn… để từ đó có biện pháp quản trị rủi ro thích hợp. Việc phân tích và đánh giá rủi ro là đo lƣờng mức độ nghiêm trọng của rủi ro để đƣa ra mức độ ƣu tiên đối phó.
Thực hiện phân tích rủi ro thực chất là thực hiện phân tích nguyên nhân xảy ra và hậu quả của rủi ro. Căn cứ trên thang bảng đánh giá mức độ ảnh hƣởng và khả năng xảy ra, rủi ro sẽ đƣợc đánh giá theo định lƣợng (tài chính) hoặc định tính (phi tài chính). Doanh nghiệp cần xây dựng và thống nhất về thang bảng đánh giá mức độ ảnh hƣởng và khả năng xảy ra. Thang bảng này mô tả về mức độ ảnh hƣởng của rủi ro về khía cạnh tài chính (doanh thu, lợi nhuận, chi phí…) hoặc phi tài chính (uy tín, thƣơng hiệu, luật pháp, con ngƣời…). Trong quá trình phân tích cần chú ý rằng một sự kiện rủi ro có thể