phụ thuộc vào một số nhân tố cụ thể. Những nhân tố này bao gồm cấu trúc tổ chức, hồ sơ rủi ro, mơi trường hoạt động, quy mơ, độ phức tạp, hoạt động và mức độ quy định, trong số những nhân tố khác. Vì nĩ xem xét tình hình cụ thể của tổ chức, quản lý sẽ thực hiện một loạt các lựa chọn liên quan đến sự phức tạp của các quy trình và phương pháp được triển khai để áp dụng các thành phần khung kiểm sốt nội bộ.
Khuơn mẫu kiểm sốt nội bộ theo Intosai GOV 9100
Theo khuơn mẫu KSNB của báo cáo Intosai GOV 9100, hệ thống KSNB khu vực cơng bao gồm 5 thành phần với các nguyên tắc như sau:
2.1.5.1. Mơi trường kiểm sốt
Mơi trường kiểm sốt của một tổ chức phản ánh văn hĩa, sắc thái chung chi phối ý thức kiểm sốt của các cá nhân trong một tổ chức và các bộ phận khác của KSNB Mơi trường kiểm sốt bao gồm các nhân tốsau:
Các nhân tố của mơi trường kiểm sốt là:
(1) Tính trung thực và các giá trị đạo đức của người quản lý và nhân viên, bao gồm cả thái độ hỗ trợ đối với kiểm sốt nội bộ mọi lúc trong tồn tổ chức;
(2) Cam kết năng lực;
(3) Triết lý và phong cách điều hành của người quản lý; (4) Cơ cấu tổ chức;
(5) Chính sách nhân sự.
Tính trung thực và các giá trị đạo đức: Tính chính trực và các giá trị đạo đức
của các nhà quản lý và nhân viên xác định thơng qua cư xử chuẩn mực của họ trong cơng việc, thể hiện qua sự tuân thủ các luật lệ, quy định và đạo đức của cán bộ cơng chức viên chức ở mọi thời điểm. Điều này luơn thể hiện qua các việc như tuân thủ quy tắc ứng xử, kê khai tài sản cá nhân, lập bảng tự kiểm điểm định kỳ hàng năm
Ngồi ra, tổ chức phải cho cơng chúng thấy được nhiệm vụ, sứ mệnh và tiêu chuẩn đạo đức của họ thơng qua các văn bản chính thức.
Cam kết năng lực: thể hiện qua trình độ hiểu biết, kỹ năng làm việc của nhân
viên đảm bảo kỹ cương, đạo đức , trung thực, tiết kiệm, thực hiện cơng việc hữu hiệu và hiệu quả cũng như sự đúng đắn về trách nhiệm của mình liên quan đến KSNB.
Nhà quản lý và nhân viên phải đảm bảo duy trì mức độ hiểu biết của họ về tầm quan trọng của KSNB của việc phát triển và duy trì một HTKSNB tốt và thực hiện nhiệm vụ của mình nhằm hồn thành các mục tiêu kiểm sốt nội bộ chung và sứ mệnh của tổ chức.
Triết lý quản lý và phong cách điều hành của lãnh đạo: triết lý quản lý và
phong cách điều hành cùa nhà lãnh đạo thể hiện qua cá tính, tư cách, thái độ, cách xử lý, ứng xử thể hiện của mình để làm gương cho nhân viên. Triết lý quản lý và phong cách điều hành cùa nhà lãnh đạo sẽ ảnh hưởng đáng kể đến hệ thống kiểm sốt nội bộ và tác động đến việc thực hiện các mục tiêu của tổ chức. Khi nhà quản lý cấp cao nhất xác định rằng KSNB là rất quan trọng thì những thành viên khác trong tổ chức sẽ nhận biết và cố gắng cùng nhau xây dựng hệ thống KSNB. Và ngược lại, khi các thành viên trong tổ chức thấy rằng việc kiểm sốt khơng phải là mối quan tâm lớn của nhà quản lý cấp cao thì mục tiêu kiểm sốt tại tổ chức gần như là khơng thể đạt được hiệu quả.
Cơ cấu tổ chức: một cơ cấu tổ chức hợp lý phải đảm bảo sự thơng suốt trong
việc giao quyền, ủy quyền và phân cơng trách nhiệm. Một cơ cấu tổ chức bao gồm: Sự phân quyền và trách nhiệm
Quyền hạn và trách nhiệm báo cáo Hệ thống báo cáo phù hợp
Cơ cấu tổ chức xác định quyền hạn và trách nhiệm cửa từng bộ phận trong tổ chức. Một cơ cấu tổ chức phù hợp sẽ tác động tốt đến mơi trường kiểm sốt và ngược lại. Do vậy, cơ cấu tổ chức phải thiết kế sao cho ngăn chặn được vi phạm cũng như ngăn chặn những hành vi che giấu sai phạm. Cơ cấu tổ chức cĩ thể bao gồm một đơn vị kiểm tốn nội bộ độc lập với các bộ phận khác và đơn vị kiểm tốn nội bộ này báo cáo trực tiếp lên bộ phận quản lý cao nhất trong tổ chức.
Chính sách nhân sự: chính sách nhân sự bao gồm việc tuyển dụng, định
hướng, đào tạo và giáo dục, bổ nhiệm, khen thưởng, kỷ luật …Mỗi cá nhân đĩng vai trị nhất định trong một tổ chức và cĩ vai trị quan trọng trong KSNB.
Chính sách nhân sự cĩ ảnh hưởng đáng kể đến sự hữu hiệu của HTKSNB . Nên khi quyết định tuyển dụng thì đảm bảo đối tượng tuyển dụng cĩ giá trị đạo đức, liêm chính cũng như cĩ kinh nghiệm để thực hiện cơng việc của họ. Các nhà quản lý và nhân viên phải cĩ đẩy đủ hiểu biết về hệ thống KSNB và sẵn sàng chịu trách nhiệm. Điều này rất quan trọng để KSNB cĩ hiệu quả và cĩ ảnh hưởng rất lớn trong việc phát triển tính chuyên nghiệp và thực thi chính sách minh bạch trong tổ chức; đặc biệt, đánh giá hiệu quả hoạt động và bổ nhiệm phải dựa trên thành quả cơng việc.
2.1.5.2. Đánh giá rủi ro
Đánh giá rủi ro là quá trình quan trọng nhằm xác định và phân tích rủi ro cĩ thể ảnh hưởng đến mục tiêu của tổ chức từ đĩ xác định các biện pháp đối phĩ kịp thời. quy trình này bao gồm các bước sau:
- Nhận dạng rủi ro:
• Liên quan đến mục tiêu của tổ chức; • Tồn diện;
• Bao gồm các rủi ro do các nhân tốbên ngồi và bên trong, ở cả tổ chức và mức độ hoạt động;
- Đánh giá rủi ro:
• Ước tính tầm quan trọng của rủi ro; • Đánh giá khả năng xảy ra rủi ro;
Đánh giá rủi ro cĩ thể chấp nhận được của tổ chức; Đưa ra các giải pháp kịp thời:
• Bốn giải pháp đối phĩ với rủi ro phải được xem xét: chuyển giao, chịu đựng, xử lý hoặc chấm dứt; trong số này, xử lý rủi ro là phù hợp nhất với các hướng dẫn này vì kiểm sốt nội bộ hữu hiệu là cơ chế chính để xử lý rủi ro;
• Các biện pháp kiểm sốt thích hợp cĩ thể là giám sát hoặc ngăn ngừa. Cụ thể hĩa các mục tiêu của đơn vị: mục tiêu khơng phải là một bộ phận của kiểm sốt nội bộ nhưng việc xác định nĩ là điều kiện tiên quyết để đánh giá rủi ro. Bởi lẽ một sự kiện cĩ trở thành một rủi ro quan trọng đối với đơn vị hay khơng sẽ phụ thuộc vào mức độ tác động tiêu cực của nĩ đến mục tiêu của đơn vị. Trong quá
trình đánh giá rủi ro, người quản ý cần dựa vào mục tiêu chung đã được thiết lập để cụ thể hĩa thành các mục tiêu và phổ biến để từng bộ phận, từng hoạt động cĩ thể nhận dạng rủi ro.
Nhận dạng rủi ro: rủi ro cĩ thể rủi ro bên trong, rủi ro bên ngồi tổ chức hay
rủi ro của từng bộ phận, rủi ro ở cấp tồn đơn vị. việc xác định phương án đánh giá rủi ro phụ thuộc vào việc xác định rủi ro nào, ảnh hưởng như thế nào đến mục tiêu của tổ chức.
Xác định rủi ro là quá trình liên tục và xuyên suốt, được lập đi lập lại và được
thực hiện cùng với quá trình lập kế hoạch. Ở khu vực cơng, các cơ quan nhà nước phải quản trị rủi ro ảnh hưởng đến mục tiêu giao phĩ, bao gồm các chỉ tiêu được giao trong kế hoạch đơn vị.
Đánh giá rủi ro là việc đánh giá tầm quan trọng, ước tính thiệt hại mà rủi ro
cĩ thể gây ra và khả năng rủi ro cĩ thể xảy ra. Cĩ nhiều cách xác định rủi ro rùy theo loại rủi ro như thế nào nhưng phải đánh giá rủi ro một cách cĩ hệ thống. Mục đích chính của việc đánh giá rủi ro là giúp nhà quản lý cĩ thể tìm ra phương án kịp thời để đối phĩ, ngăn chặn cũng như thực hiện các thủ tục kiểm sốt theo thứ tự ưu tiên. Đơn vị cĩ thể dùng phương pháp định tính, định lượng hoặc cả hai để đánh giá mức độ rủi ro:
Đánh giá rủi ro cĩ thể chấp nhận được: một việc quan trọng để xem xét, đối
phĩ rủi ro là xác định mức rủi ro nào cĩ thể chấp nhận được. Để xác định nguồn rủi ro cĩ thể chấp nhận được cần phải xem xét cả 2 loại rủi ro, đĩ là rủi ro vốn cĩ và rủi ro cịn lại. Rủi ro vốn cĩ là rủi ro đối với một thực thể trong trường hợp khơng cĩ bất kỳ hoạt động quản lý nào cĩ thể làm thay đổi khả năng xảy ra rủi ro hoặc ảnh hưởng của rủi ro. Rủi ro cịn lại là rủi ro của một hoạt động, sự kiện, một phương pháp hoặc một quá trình ngay cả khi những biện pháp đối phĩ rủi ro đã được áp dụng. Mức rủi ro cĩ thể chấp nhận được phụ thuộc vào nhận thức được tầm quan trọng của rủi ro đĩ ảnh hưởng như thế nào đến mục tiêu. Xác định rủi ro co thể chấp nhận được là một vấn đề chủ quan nhưng nĩ vẫn là một giai đoạn quan trọng trong việc xây dựng chiến
Phát triển các biện pháp đối phĩ với rủi ro: cĩ bốn biện pháp đối phĩ với
rủi ro là phân tán rủi ro, chấp nhận rủi ro, tránh né rủi ro và xử lý hạn chế rủi ro. Phần lớn các trường hợp các rủi ro phải được xử lý hạn chế và duy trì hệ thống KSNB hiệu quả để cĩ biện pháp thích hợp, giữ rủi ro ở mức chấp nhận được; Vì các đơn vị nhà nước phải làm theo nhiệm vụ được giao. Trong một đơn vị, rủi ro khơng thể khơng cĩ nên mục đích của việc xử lý là phải ngăn chặn được rủi ro ở mức thấp nhất.
2.1.5.3. Hoạt động kiểm sốt
Hoạt động kiểm sốt là những chính sách, phương thức đối phĩ với rủi ro để mục tiêu của đơn vị đạt được kết quả. Để đạt được hiệu quả, hoạt động kiểm sốt phải phù hợp, thống nhất theo kế hoạch trong trong suốt một thời kỳ, chi phí hiệu quả, đầy đủ, hợp lý và phải liên quan trực tiếp đến mục tiêu kiểm sốt. Hoạt động kiểm sốt xảy ra trong tồn tổ chức, tại các cấp và trong tất cả các phịng chức năng. Bao gồm một loạt các hoạt động kiểm sốt phịng ngừa và kiểm sốt phát hiện. Cụ thể như :
(1) Các thủ tục phê duyệt và xét duyệt;
(2) Phân cơng nhiệm vụ (ủy quyền, xử lý, ghi chép, đánh giá); (3) Kiểm sốt quyền truy cập vào tài nguyên và hồ sơ;
(4) Xác minh; (5) Hịa giải;
(6) Đánh giá hiệu suất hoạt động;
(7) Đánh giá các hoạt động, quy trình và hoạt động;
(8) Giám sát (phân cơng, xem xét và phê duyệt, hướng dẫn và đào tạo).
Thủ tục ủy quyền và xét duyệt: việc thực hiện nhiệm vụ phải là người được
ủy quyền và làm trong phạm vi quyền hạn của mình. Việc ủy quyền phải thực hiện rõ ràng bằng văn bản. Nhân viên sau khi được ủy quyền phải thực hiện nhiệm vụ của mình trong phạm vi được ủy quyền được thiết lập bởi nhà quản lý và pháp luật.
Phân cơng nhiệm vụ: các nhân viên trong đơn vị phải được phân cơng cơng
việc một cách rõ ràng, một hệ thống kiểm sốt nội bộ hữu hiệu địi hỏi khơng cĩ người nào thực hiện quá nhiều trách nhiệm và quyền hạn cũng như khơng thực hiện từ đầu đến cuối của một chu trình. Một đơn vị cần chú ý đến việc bất kiêm nhiệm nhằm
tránh gian lận cĩ thể xảy ra đảm bảo rằng cĩ sự kiểm tra chéo lẫn nhau giữa các nhân viên.
Tuy nhiên, việc thơng đồng của các nhân viên cĩ thể làm giảm hoặc triệt tiêu hiệu quả của HTKSNB . Do đĩ, nhà quản lý cần nhận thức để phát hiện rủi ro một cách kịp thời chẳng hạn như định kỳ luân chuyển nhân viên.
Chứng từ, sổ sách ghi chép: việc thiết kế mẫu chứng từ, sổ sách ghi chép cĩ
logic, rõ ràng giúp cho việc ghi chép số liệu một cách đầy đủ giảm thiểu các rủi ro sai sĩt cĩ thể xảy ra, tránh việc ghi chép trùng lắp và dễ dàng trong việc đối chiếu số liệu. Các chứng từ, sổ sách cần phải được sự phê duyệt của cấp trên và xác nhận của những người cĩ liên quan. Việc dự trữ, đánh số thứ tự được thực hiện theo quy định của pháp luật và theo quy định kế tốn.
Bảo vệ tài sản: tài sản của một tổ chức bao gồm tiền, hàng hĩa, máy mĩc , thiết bị thơng tin…các thủ tục bảo vệ tài sản bao gồm:
Giám sát hiệu quả và phân định riêng biệt các chức năng Bảo quản, ghi chép tài sản bao gồm cả thơng tin
Giới hạn việc tiếp cận tài sản
Giữ tài sản ở nơi riêng biệt, đảm bảo an tồn, nhất là con dấu và chữ ký khắc sẵn (nếu cĩ)
Kiểm tra đối chiếu: các nghiệp vụ phải được kiểm tra đối chiếu trước khi xử lý và báo cáo lên cấp trên hay cơng bố ra bên ngồi.
Hoạt động kiểm sốt cơng nghệ thơng tin
Hệ thống thơng tin ngụ ý các loại hoạt động kiểm sốt cụ thể. Do đĩ, các kiểm sốt cơng nghệ thơng tin bao gồm hai nhĩm chính:
Kiểm sốt chung
Kiểm sốt chung là cấu trúc, chính sách và thủ tục áp dụng cho tất cả hoặc một phân đoạn lớn của hệ thống thơng tin của một tổ chức và giúp đảm bảo hoạt động đúng đắn của chúng. Chúng tạo ra mơi trường trong đĩ các hệ thống ứng dụng và kiểm sốt hoạt động.
Các loại kiểm sốt chung là (1) lập kế hoạch và quản lý chương trình bảo mật, (2) kiểm sốt truy cập, (3) kiểm sốt sự phát triển, bảo trì và thay đổi phần mềm ứng dụng, (4) kiểm sốt phần mềm hệ thống, (5) ) phân biệt trách nhiệm và (6) tính liên tục của dịch vụ.
Kiểm sốt ứng dụng
Các kiểm sốt ứng dụng là cấu trúc, chính sách và thủ tục áp dụng cho các hệ thống ứng dụng riêng biệt, riêng lẻ và cĩ liên quan trực tiếp đến các ứng dụng máy tính cá nhân. Các kiểm sốt này thường được thiết kế để ngăn chặn, phát hiện và sửa lỗi và bất thường khi luồng thơng tin thơng qua các hệ thống thơng tin.
Các kiểm sốt chung và ứng dụng liên quan đến nhau và cả hai đều cần thiết để giúp đảm bảo xử lý thơng tin đầy đủ và chính xác. Bởi vì cơng nghệ thơng tin thay đổi nhanh chĩng, các kiểm sốt liên quan phải phát triển liên tục để duy trì hiệu quả.
2.1.5.4. Thơng tin và truyền thơng
Thơng tin và truyền thơng là điều cần thiết để thực hiện tất cả các mục tiêu kiểm sốt nội bộ.
Thơng tin: Điều kiện tiên quyết cho thơng tin đáng tin cậy và cĩ liên quan là
ghi lại nhanh chĩng và phân loại các giao dịch và sự kiện phù hợp. Thơng tin cần thiết phải được xác định, thu thập và truyền đạt trong một hình thức và khung thời gian cho phép nhân viên thực hiện kiểm sốt nội bộ và các trách nhiệm khác (giao tiếp kịp thời với đúng người). Do đĩ, hệ thống kiểm sốt nội bộ như vậy và tất cả các giao dịch và các sự kiện quan trọng cần được ghi chép đầy đủ.
Hệ thống thơng tin tạo ra các báo cáo cĩ chứa thơng tin hoạt động, tài chính và phi tài chính và thơng tin cĩ liên quan đến tuân thủ và cĩ thể điều hành và kiểm sốt hoạt động. Chúng đối phĩ khơng chỉ với dữ liệu được tạo ra nội bộ, mà cịn thơng tin về các sự kiện bên ngồi, các hoạt động và điều kiện cần thiết để cho phép đưa ra quyết định và báo cáo.
Khả năng của người quản lý đưa ra quyết định thích hợp bị ảnh hưởng bởi chất lượng thơng tin ngụ ý rằng thơng tin phải phù hợp, kịp thời, chính xác và dễ tiếp cận.
Thơng tin trong một tổ chức được tổng hợp nhằm phục vụ cho quá trình ra quyết định, điều kiển các hoạt động của đơn vị và khơng phải thơng tin nào cũng cần thiết mà phải phụ thuộc vào các nhân tố sau:
Tính kịp thời: thơng tin được cung cấp đúng thời điểm, đúng mục đích cần thiết của nhà quản trị.
Tính chính xác: thơng tin phải phản ánh đúng nội dung cần thu thập