Theo Báo cáo COSO (1992) thì một HTKSNB bao gồm 5 bộ phận có mối liên hệ chặt chẽ với nhau, đó là:
- Mơi trường kiểm sốt. - Đánh giá rủi ro. - Hoạt động kiểm soát. - Thông tin và truyền thông. - Giám sát.
1.3.1 Mơi trường kiểm sốt
Mơi trường kiểm sốt tạo ra sắc thái chung trong đơn vị, nó chi phối ý thức kiểm soát của mọi thành viên trong đơn vị và là nền tảng đối với các bộ phận khác của KSNB. Mơi trường kiểm sốt tốt sẽ là nền tảng quan trọng để HTKSNB hoạt động hiệu quả.
Các nhân tố chính thuộc về mơi trường kiểm sốt là:
- Tính chính trực và các giá trị đạo đức
Sự hữu hiệu của hệ thống KSNB trước tiên phụ thuộc vào tính chính trực và việc tôn trọng các giá trị đạo đức của những người liên quan đến các quá trình kiểm sốt. Để đáp ứng yêu cầu này, các nhà quản lý cao cấp phải xây dựng những chuẩn mực về đạo đức trong đơn vị và cư xử đúng đắn để có thể ngăn cản khơng cho các thành viên có các hành vi thiếu đạo đức hoặc phạm pháp. Muốn vậy, những nhà quản lý cần phải làm gương cho cấp dưới về việc tuân thủ các chuẩn mực và cần phải phổ biến những quy định đến mọi hành viên bằng các thể thức thích hợp.
Một cách khác để nâng cao tính chính trực và tơn trọng các giá trị đạo đức là phải loại trừ hoặc giảm thiểu những sức ép hay điều kiện có thể dẫn đến nhân viên có những hành vi thiếu trung thực. Thí dụ, gian lận trong Báo cáo tài chính có thể xuất phát từ việc nhân viên bị ép buộc phải thực hiện các mục tiêu phi thực tế của nhà quản
lại gắn chặt với số liệu báo cáo về thu nhập (Ví dụ các khoản thưởng trên lợi nhuận), nghĩa là khi có phát sinh mâu thuẫn quyền lợi…
- Đảm bảo về năng lực
Là đảm bảo cho nhân viên có được những kỹ năng và hiểu biết cần thiết để thực hiện được nhiệm vụ của mình, nếu khơng chắc chắn họ sẽ thực hiện nhiệm vụ được giao không hữu hiệu và hiệu quả. Do đó, nhà quản lý chỉ nên tuyển dụng các nhân viên có năng lực và kinh nghiệm phù hợp với nhiệm vụ được giao, và phải giám sát huấn luyện họ đầy đủ và thường xuyên.
- Hội đồng Quản trị và Ủy ban Kiểm toán
Nhiều nước trên thế giới yêu cầu các công ty cổ phần có niêm yết trên Thị trường Chứng khoán phải thành lập Ủy ban Kiểm toán. Đây là Ủy ban gồm một số thành viên trong và ngoài Hội đồng Quản trị nhưng không tham gia vào việc điều hành đơn vị. Ủy ban Kiểm tốn có thể có những đóng góp quan trọng cho việc thực hiện các mục tiêu của đơn vị, thông qua việc giám sát sự tuân thủ pháp luật, giám sát việc lập báo cáo tài chính, giữ sự độc lập của kiểm tốn nội bộ…Do có các chức năng quan trọng trên, nên sự hữu hiệu của Ủy ban Kiểm toán và Hội đồng Quản trị có ảnh hưởng lớn đến mơi trường kiểm sốt.
Các nhân tố được xem xét để đánh giá sự hữu hiệu của Hội đồng Quản trị hoặc Ủy ban Kiểm toán gồm mức độ độc lập, kinh nghiệm và uy tín của các thành viên trong Hội đồng Quản trị hoặc Ủy ban Kiểm toán, và mối quan hệ của họ với bộ phận kiểm toán nội bộ và kiểm toán độc lập.
- Triết lý quản lý và phong cách điều hành của nhà quản lý
Triết lý quản lý thể hiện quan điểm và nhận thức của nhà quản lý; phong cách điều hành lại thể hiện qua cá tính, tư cách và thái độ của họ khi điều hành đơn vị. Một số nhà quản lý rất quan tâm đến việc lập báo cáo tài chính và rất chú trọng đến việc hoàn thành hoặc vượt mức kế hoạch. Họ hài lịng với những hoạt động kinh doanh có mức rủi ro cao, nhưng có thể thu được nhiều lợi nhuận. Một số nhà quản lý khác lại rất
bảo thủ và quá thận trọng với rủi ro…Sự khác biệt về triết lý quản lý và phong cách điều hành có thể ảnh hưởng lớn đến mơi trường kiểm sốt và tác động đến việc thực hiện mục tiêu của đơn vị.
Triết lý quản lý và phong cách điều hành cũng được phản ánh trong cách thức nhà quản lý sử dụng các kênh thông tin và quan hệ với cấp dưới. Có nhiều nhà quản lý trong quá trình điều hành thích tiếp xúc và trao đổi trực tiếp với các nhân viên. Ngược lại, có các nhà quản lý chỉ thích điều hành cơng việc theo một trật tự đã được xác định trong cơ cấu tổ chức của đơn vị…
- Cơ cấu tổ chức
Cơ cấu tổ chức thực chất là sự phân chia trách nhiệm và quyền hạn giữa các bộ phận trong đơn vị, nó góp phần rất lớn trong việc đạt được các mục tiêu. Nói cách khác, cơ cấu phù hợp sẽ là cơ sở cho việc lập kế hoạch, điều hành, kiểm soát và giám sát tất cả các hoạt động của đơn vị. Vì thế, khi xây dựng một cơ cấu tổ chức phải xác định được các vị trí then chốt với quyền hạn, trách nhiệm và các thể thức báo cáo cho phù hợp. Tuy nhiên, điều này cịn phụ thuộc vào quy mơ và tính chất hoạt động của đơn vị. Cơ cấu tổ chức của một đơn vị thường được mô tả qua sơ đồ tổ chức, trong đó phản ánh các mối quan hệ về quyền hạn, trách nhiệm và báo cáo.
- Cách thức phân định quyền hạn và trách nhiệm
Việc phân định quyền hạn và trách nhiệm được xem là phần mở rộng của cơ cấu tổ chức. Nó cụ thể hóa về quyền hạn và trách nhiệm của từng thành viên trong các hoạt động của đơn vị, giúp cho mỗi thành viên phải hiểu rằng họ có nhiệm vụ cụ thể gì và từng hoạt động của họ sẽ ảnh hưởng như thế nào đến người khác trong việc hoàn thành mục tiêu. Do đó, khi mơ tả cơng việc, đơn vị cần phải thể chế hóa bằng văn bản về những nhiệm vụ và quyền hạn cụ thể của từng thành viên và quan hệ giữa họ với nhau.
- Chính sách nhân sự
viên. Chính sách nhân sự có ảnh hưởng đáng kể đến sự hữu hiệu của môi trường kiểm sốt thơng qua tác động đến các nhân tố khác trong mơi trường kiểm sốt như đảm bảo về năng lực, tính chính trực và các giá trị đạo đức… Ví dụ, một chính sách tuyển dụng dành ưu tiên cho những cá nhân có trình độ, kinh nghiệm, chính trực và hạnh kiểm tốt sẽ là sự đảm bảo không những về năng lực mà còn về phẩm chất của đội ngũ nhân viên.
Mơi trường kiểm sốt có ảnh hưởng rất quan trọng đến quá trình thực hiện và kết quả của các thủ tục kiểm sốt. Một mơi trường kiểm sốt ́u kém khơng thể nào tạo được các thủ tục kiểm sốt hữu hiệu. Ngược lại, một mơi trường kiểm sốt tốt có thể hạn chế phần nào sự thiếu sót của thủ tục kiểm sốt. Mơi trường kiểm sốt chính là điều kiện cần cho các thủ tục kiểm soát phát huy tác dụng.
1.3.2 Đánh giá rủi ro
Tất cả các hoạt động của diễn ra trong đơn vị điều có thể phát sinh những rủi ro và khó có thể kiểm sốt tất cả. Vì vậy, các nhà quản lý phải thận trọng khi xác định và phân tích những nhân tố ảnh hưởng đến rủi ro làm đe dọa những mục tiêu kể cả mục tiêu chung và mục tiêu cụ thể cho từng hoạt động của đơn vị và phải cố gắng kiểm soát được những rủi ro này.
Để giới hạn được rủi ro ở mức chấp nhận được, người quản lý phải xác định được mục tiêu của đơn vị, nhận dạng và phân tích rủi ro trên cơ sở các mục tiêu đã được thiết lập, từ đó mới có thể kiểm sốt được rủi ro.
- Xác định mục tiêu của đơn vị: Mục tiêu tuy không phải là một bộ phận của
KSNB nhưng việc xác định nó là điều kiện tiên quyết để đánh giá rủi ro. Bởi lẽ một sự kiện có trở thành một rủi ro quan trọng đối với tổ chức hay không sẽ phụ thuộc vào mức độ tác động tiêu cực của nó đến mục tiêu của đơn vị. Xác định mục tiêu bao gồm việc đưa ra sứ mệnh, hoạch định các mục tiêu chiến lược cũng như những chỉ tiêu phải đạt được trong ngắn hạn, trung hay dài hạn. Việc xác định mục tiêu có thể được thực
hiện qua việc ban hành các văn bản hoặc đơn giản hơn, qua nhận thức và phát biểu hàng ngày của người quản lý.
- Nhận dạng rủi ro: rủi ro có thể tác động đến đơn vị ở mức độ toàn đơn vị hay
chỉ ảnh hưởng đến từng hoạt động cụ thể.
Ở mức độ toàn đơn vị, các nhân tố phát sinh rủi ro đó là sự đổi mới kỹ thuật, nhu cầu khách hàng thay đổi, sự cải tiến sản phẩm của đối thủ cạnh tranh, sự thay đổi chính sách của Nhà nước, trình độ nhân viên khơng đáp ứng được yêu cầu hoặc thay đổi cán bộ quản lý...Đây là những nhân tố phát sinh từ môi trường hoạt động của đơn vị. Trong phạm vi từng hoạt động như bán hàng, mua hàng..., rủi ro có thể phát sinh và tác động đến bản thân từng hoạt động trước khi gây ảnh hưởng dây chuyền đến toàn đơn vị. Thông thường rủi ro liên quan đến từng bộ phận xuất phát từ các chính sách của đơn vị như chính sách mở rộng thị phần, chính sách cải tiến kỹ thuật...
Để nhận dạng rủi ro, người quản lý có thể sử dụng nhiều phương pháp khác nhau từ việc sử dụng các phương tiện dự báo, phân tích các dữ liệu quá khứ, cho đến việc rà soát thường xuyên các hoạt động. Đối với các doanh nghiệp nhỏ, công việc này có thể thực hiện dưới dạng những cuộc tiếp xúc với khách hàng, ngân hàng… hoặc các buổi họp giao ban trong nội bộ.
- Phân tích và đánh giá rủi ro
Vì rủi ro rất khó định lượng nên đây là công việc khá phức tạp và có nhiều phương pháp khác nhau. Thơng thường một quy trình phân tích và đánh giá rủi ro gồm các bước sau: Ước lượng tầm cỡ của rủi ro qua ảnh hưởng có thể có của nó đến việc thực hiện mục tiêu của đơn vị, xem xét khả năng xảy ra rủi ro và những biện pháp có thể sử dụng để đối phó với rủi ro.
Trong lĩnh vực kế tốn, có thể có những rủi ro đe dọa sự trung thực và hợp lý của báo cáo tài chính như ghi nhận các tài sản khơng có thực hoặc là không thuộc quyền sở hữu của đơn vị, đánh giá tài sản và các khoản nợ phải trả không phù hợp với
chuẩn mực, chế độ kế tốn, khai báo khơng đầy đủ về thu nhập và chi phí, trình bày những thơng tin tài chính khơng phù hợp với u cầu của chuẩn mực và chế độ kế toán. Các rủi ro trên có thể phát sinh từ trong bản chất hoạt động của đơn vị hoặc từ yếu kém của chính HTKSNB.
- Xử lý rủi ro: sau khi phân tích đánh giá rủi ro, có các biện pháp xử lý rủi ro như tránh rủi ro bằng cách không tiến hành một số hoạt động, chuyển giao rủi ro như mua bảo hiểm, góp vốn liên doanh, giảm thiểu rủi ro bằng cách tăng cường KSNB.
Việc đánh giá rủi ro nên được thực hiện thường xuyên định kỳ để có những biện pháp khắc phục kịp thời và những điều chỉnh thích hợp nhất là khi xảy ra những biến động của nền kinh tế, thay đổi chính sách nhà nước, cơng nghệ mới.
1.3.3 Hoạt động kiểm soát
Các hoạt động kiểm sốt là những chính sách và thủ tục giúp cho việc thực hiện các chỉ đạo của người quản lý được thực hiện nghiêm túc. Nó đảm bảo các hành động cần thiết để kiểm sốt các rủi ro mà đơn vị đang hay có thể gặp phải trong quá trình thực hiện mục tiêu của mình. Hoạt động kiểm sốt hiệu quả cần dễ hiểu, phù hợp, nhất quán và liên hệ trực tiếp đến các mục tiêu. Có nhiều loại hoạt động kiểm soát khác nhau có thể được thực hiện, và sau đây là những hoạt động kiểm soát chủ yếu tại đơn vị là:
-Phân chia trách nhiệm đầy đủ
Phân chia trách nhiệm là không cho phép một thành viên nào được giải quyết mọi mặt của nghiệp vụ từ khi hình thành cho đến khi kết thúc. Chẳng hạn, khơng thành viên nào được kiêm nhiệm các chức năng: Phê chuẩn, thực hiện, ghi chép nghiệp vụ và bảo quản tài sản.
Mục đích của phân chia trách nhiệm nhằm để các nhân viên kiểm sốt lẫn nhau; nếu có sai sót xảy ra sẽ được phát hiện nhanh chóng; đồng thời giảm cơ hội cho bất kỳ thành viên nào trong q trình thực hiện nhiệm vụ có thể gây ra và giấu diếm những sai phạm của mình.
Thí dụ như phân chia trách nhiệm đòi hỏi phải tách biệt giữa các chức năng sau đây:
+ Chức năng bảo quản tài sản với chức năng kế toán: Lý do không cho phép nhân viên bảo quản tài sản được làm nhiệm vụ lưu giữ các sổ sách kế toán về tài sản đó là để ngăn chặn hành vi tham ơ tài sản. Vì nếu cho kiêm nhiệm hai chức năng trên có thể tạo rủi ro là nhân viên sẽ tự tiện sử dụng tài sản để phục vụ cho lợi ích cá nhân và điều chỉnh sổ sách để che dấu sai phạm của mình.
+ Chức năng phê chuẩn nghiệp vụ với chức năng bảo quản tài sản: Người được giao nhiệm vụ phê chuẩn nghiệp vụ không được kiêm bảo quản tài sản vì tạo khả năng thâm lạm tài sản. Ví dụ, nếu cùng một người vừa phê chuẩn tuyển dụng nhân viên đồng thời là người phát lương có thể dẫn đến việc tuyển dụng khống nhân viên để chiếm đoạt tiền lương của các nhân viên khơng có thật này.
+ Chức năng thực hiện nghiệp vụ với chức năng kế toán: Nếu từng bộ phận vừa thực hiện nghiệp vụ vừa ghi chép và báo cáo thì họ sẽ có xu hướng thổi phồng kết quả để tăng thành tích của bộ phận hoặc khu vực của mình. Muốn khơng cho thông tin bị thiên lệch như trên, quá trình ghi sổ nên giao cho một bộ phận riêng biệt thực hiện - thường là bộ phận kế tốn.
Ngun tắc bất kiêm nhiệm tuy có thể ngăn chặn các sai phạm gian lận nhưng vẫn có thể bị vơ hiệu hóa nếu các nhân viên bắt tay thơng đồng với nhau.
- Kiểm sốt q trình xử lý thơng tin và các nghiệp vụ
Để thông tin đáng tin cậy cần phải thực hiện nhiều hoạt động kiểm sốt nhằm kiểm tra tính xác thực, đầy đủ và việc phê chuẩn các nghiệp vụ.
Khi kiểm sốt q trình xử lý thơng tin, cần bảo đảm rằng phải kiểm soát chặt chẽ hệ thống chứng từ, sổ sách và việc phê chuẩn các nghiệp vụ phải đúng đắn, cụ thể là:
+ Các chứng từ phải được đánh số liên tục trước khi sử dụng để có thể kiểm soát, tránh thất lạc và dễ dàng truy cập khi cần thiết.
+ Chứng từ cần được lập ngay khi nghiệp vụ vừa xảy ra, hoặc càng sớm càng tốt.
+ Nội dung của chứng từ cần thiết kế đơn giản, rõ ràng dễ hiểu và có thể sử dụng cho nhiều cơng dụng khác nhau. Ví dụ, hóa đơn bán hàng là căn cứ để tính tiền khách hàng, ghi nhận doanh thu vào sổ sách, thống kê hàng bán, và tính hoa hồng bán hàng.
+ Tổ chức luân chuyển chứng từ phải khoa học, kịp thời, nghĩa là chứng từ chỉ đi qua các bộ phận có liên quan đến nghiệp vụ, và phải quy định thời gian xử lý nhanh chóng để chuyển cho bộ phận tiếp theo.
+ Sổ sách cần phải đóng chắc chắn, đánh số trang, quy định nguyên tắc ghi