Bảng 2.3 : Tổng hợp mức độ hữu hiệu thành phần môi trường kiểm soát
1.2 Hệ thống KSNB theo khuôn mẫu COSO
1.2.3 Các thành phần của hệ thống KSNB
Theo báo cáo COSO (2013) thì một hệ thống KSNB bao gồm năm thành phần có mối quan hệ chặc chẽ với nhau, gồm:
- Mơi trường kiểm sốt - Đánh giá rủi ro
- Các hoạt động kiểm sốt - Thơng tin và truyền thông - Giám sát
1.2.3.1 Môi trường kiểm sốt
“Mơi trường kiểm sốt phản ánh sắc thái chung của một tổ chức, tác động đến ý thức của mọi người trong đơn vị, là nền tảng cho các bộ phận khác trong hệ thống kiểm soát nội bộ”. (Kiểm sốt nội bộ, 2012, trang 56)
Mơi trường kiểm sốt là tiếng nói của một tổ chức, ảnh hưởng đến ý thức kiểm soát của con người, là nền tảng cho tất cả các thành phần khác của hệ thống. Yếu kém từ “tiếng nói từ cấp trên” (tone at the top) có liên quan đến hầu hết các thất bại về tài chính trong thập kỷ qua.
Tầm quan trọng đáng kể của mơi trường kiểm sốt là rõ ràng trong COSO 2013. Mơi trường kiểm sốt có ảnh hưởng lan rộng đến đánh giá rủi ro, thiết lập các mục tiêu, các hoạt động kiểm sốt, thơng tin và truyền thơng, và các hoạt động giám sát. Môi trường kiểm sốt hữu hiệu hay khơng phụ thuộc vào Hội đồng quản trị và ban quản lý - người thiết lập tiếng nói một tổ chức thơng qua các chính sách, hành vi và quản trị hiệu quả. Nếu tiếng nói được thiết lập bởi quản lý đối với việc đảm bảo thông tin BCTC tin cậy là lỏng lẻo, gian lận BCTC có nhiều khả năng xảy ra. Các nhân tố của mơi trường kiểm sốt liên quan đến mục tiêu BCTC bao gồm:
a. Tính trung thực và các giá trị đạo đức
Các chính sách, các quy định về tính trung thực và giá trị đạo đức thể hiện điều mà nhà quản lý mong muốn. Chẳng hạn, nhà quản lý đưa ra chính sách yêu cầu nhân viên chú trọng đến việc đảm bảo thơng tin BCTC đáng tin cậy, đảm bảo lợi ích của người sử dụng thông tin. Nếu sự trung thực và các giá trị đạo đức được tơn trọng thì các sai phạm ảnh hưởng đến các mục tiêu của DN, trong đó có mục tiêu liên quan BCTC sẽ được hạn chế. Nhà quản lý cao cấp, trước hết là Giám đốc điều hành, đóng một vai trò quan trọng trong việc xây dựng văn hóa tổ chức và thiết lập nền tảng đạo đức cho tổ chức đó.
b. Hội đồng quản trị và Ủy ban kiểm toán
Hội đồng quản trị và Ủy ban kiểm tốn có vai trò quan trọng trong việc thiết lập hệ thống KSNB đảm bảo BCTC đáng tin cậy, thực hiện giám sát và đánh giá tính hữu hiệu của hệ thống đối với việc lập và trình bày BCTC. Tính hữu hiệu của nhân tố này phụ thuộc vào sự độc lập của Hội đồng quản trị và Ủy ban kiểm toán với Ban điều hành, kinh nghiệm và vị trí của các thành viên trong Hội đồng quản trị, mức độ tham gia, mức độ giám sát và các hành động của Hội đồng quản trị đối với hoạt động cơng ty. Ngồi ra, nó cịn phụ thuộc vào việc liệu Hội đồng quản trị và Ủy ban kiểm tốn có thể hiện hết vai trị của mình trong việc đánh giá rủi ro ảnh hưởng đến độ tin cậy của BCTC cũng tính hữu hiệu của KSNB đối với việc lập và trình bày BCTC.
Triết lý quản lý thể hiện qua quan điểm, nhận thức của nhà quản lý; phong cách điều hành lại thể hiện qua cá tính, tư cách và thái độ của họ khi điều hành đơn vị. Do đó, triết lý quản lý và phong cách điều hành tác động đến cách thức DN được điều hành. Thí dụ, một quan điểm khơng đúng đắn của Giám đốc khi báo cáo về lợi nhuận có thể làm mất đi tính trung thực và hợp lý của BCTC. Ngược lại, triết lý quản lý của nhà quản trị là chú trọng uy tín, đạo đức trong kinh doanh, quan tâm đến lợi ích của nhà đầu tư, thì sẽ có những chính sách nhấn mạnh yêu cầu đảm bảo thông tin trên BCTC đáng tin cậy. Sự khác biệt về triết ký quản lý và phong cách điều hành có thể ảnh hưởng đến mơi trường kiểm soát và tác động đến độ tin cậy của thông tin BCTC.
d. Cơ cấu tổ chức: Cơ cấu tổ chức cung cấp khuôn khổ mà trong đó các hoạt động của DN được lập kế hoạch, thực hiện, kiểm soát và giám sát. Một cơ cấu tổ chức tốt được thể hiện thông qua sự thể hiện cụ thể, rõ ràng và đầy đủ các chức năng, quyền hạn, nghĩa vụ của từng bộ phận trong tổ chức. Để hỗ trợ hữu hiệu cho mục tiêu đảm bảo thông tin BCTC đáng tin cậy thì cơ cấu tổ chức phải phù hợp với đặc điểm kinh doanh, xác định rõ chức năng, quyền hạn và trách nhiệm chủ yếu từng cấp, từng phòng ban, xác định cấp bậc cần báo cáo thích hợp sẽ đảm bảo các thủ tục kiểm sốt hữu hiệu. Nó tạo điều kiện cho việc thiết lập các kênh thông tin liên lạc về việc báo cáo các vấn đề ảnh hưởng đến mục tiêu BCTC một cách hiệu quả.
e. Cam kết về năng lực
Năng lực phản ánh kiến thức và kỹ năng cần thiết của nhân viên để hoàn thành nhiệm vụ. Năng lực yếu kém của nhân viên kế tốn có thể dẫn đến những sai lệch trọng yếu trên BCTC. Để đảm bảo thông tin trên BCTC tin cậy, kiến thức và kỹ năng của nhân viên kế tốn là vơ cùng quan trọng, ảnh hưởng trực tiếp mục tiêu đảm bảo BCTC đáng tin cậy. Nhà quản lý cần xác định rõ yêu cầu về năng lực liên quan đến việc lập BCTC của nhân viên và cụ thể hóa nó thành các yêu cầu về kiến thức và kỹ năng khi tuyển dụng.
f. Phân định quyền hạn và trách nhiệm
Phân định quyền hạn và trách nhiệm là xác định mức độ tự chủ, quyền hạn của từng cá nhân hay từng nhóm trong việc đề xuất và giải quyết vấn đề, trách
nhiệm báo cáo với các cấp có liên quan. Đối với mục tiêu đảm bảo BCTC đáng tin cậy, nó cụ thể hóa quyền hạn và trách nhiệm của từng thành viên trong các hoạt động lập và trình bày BCTC, giúp cho mỗi thành viên hiểu rõ họ có nhiệm vụ cụ thể gì và vai trị của họ sẽ ảnh hưởng như thế nào đến mục tiêu. Khi mô tả công việc, đơn vị cần thể chế hóa thành văn bản về những nhiệm vụ và quyền hạn cụ thể của từng thành viên.
g. Chính sách nhân sự
Để đạt được mục tiêu đảm bảo BCTC đáng tin cậy, chính sách nhân sự phải được thiết lập hỗ trợ hữu hiệu cho mục tiêu này. Cụ thể là, DN mong muốn đội ngũ nhân viên đủ năng lực, trung thực để đảm bảo thông tin trên BCTC đáng tin cậy thì tiêu chuẩn tuyển dụng sẽ nhấn mạnh các yêu cầu về năng lực chuyên môn, đạo đức, kinh nghiệm công việc, … Cách thức tuyển dụng nhân viên đảm bảo hỗ trợ DN lựa chọn được những ứng viên ưu tú nhất về năng lực và phẩm chất. DN nên chú trọng việc đào tạo, hỗ trợ nhân viên nâng cao năng lực và kỹ năng cần thiết. Bên cạnh đó, DN tổ chức đánh giá việc thực hiện công việc của nhân viên
Theo hướng dẫn của COSO 2013, các nguyên tắc chính để đánh giá tính hữu hiệu của mơi trường kiểm soát đối với mục tiêu BCTC đáng tin cậy được mô tả trong bảng 1.1
Bảng 1.1: Nguyên tắc kiểm sốt nội bộ - Mơi trường kiểm sốt
1. Tính trung thực và giá trị đạo đức giá trị - Nhà quản lý hàng đầu hiểu biết và thiết lập các tiêu chuẩn ứng xử phục vụ cho mục tiêu BCTC đáng tin cậy.
2. Hội đồng quản trị và ủy ban kiểm toán - Hội đồng quản trị hiểu và thi hành trách nhiệm giám sát liên quan đến báo cáo tài chính và kiểm sốt nội bộ liên quan.
3. Triết lý quản lý và phong cách điều hành – Triết lý quản trị và phong cách điều hành có hỗ trợ để đạt được kiểm soát nội bộ hữu hiệu đối với BCTC hay không?
4. Cơ cấu tổ chức – Cơ cấu tổ chức của công ty có hỗ trợ kiểm sốt nội bộ hữu hiệu trên BCTC hay không?
5. Cam kết về năng lực đảm bảo BCTC đáng tin cậy – cơng ty có th nhân viên
có năng lực đảm bảo BCTC đáng tin cậy và có vai trị giám sát liên quan
quyền hạn và trách nhiệm thích hợp để tạo điều kiện KSNB hiệu quả trên BCTC hay khơng?
7. Chính sách nhân sự – Chính sách nhân sự và việc thực thi có được thiết kế và thực hiện để tạo điều kiện cho KSNB BCTC hiệu quả hay không?
Nguồn: COSO 2013, trang 9-12, tổng hợp bởi tác giả 1.2.3.2 Đánh giá rủi ro
Mỗi đơn vị ln phải đối phó với hàng loạt các rủi ro từ bên trong lẫn bên ngoài. Nhà quản lý phải đánh giá và phân tích những rủi ro có thể ảnh hưởng đến mục tiêu đảm nảo BCTC đáng tin cậy. COSO (2013: 33-38) nhấn mạnh tầm quan trọng của việc thiết lập các mục tiêu và xem đó là điều kiện tiên quyết để đánh giá rủi ro. Các mục tiêu liên quan đến BCTC trong các đơn vị là lập chính xác, phù hợp, kịp thời và đáng tin cậy thông tin tài chính để chứng minh và giải trình trách nhiệm, đáp ứng yêu cầu báo cáo theo luật định, hạch toán cho các bên liên quan biết về hoạt động tài chính của mình và để hỗ trợ việc ra quyết định (CIPFA 2002:24)
Cụm từ “trung thực và đáng tin cậy” được dùng trong mục tiêu BCTC bao gồm việc trình bày hợp lý, tuân thủ các nguyên tắc kế toán được chấp nhận rộng rãi hay các quy định khác có liên quan. Sự trình bày hợp lý được định nghĩa là: những nguyên tắc kế toán được chọn và áp dụng được chấp nhận rộng rãi; BCTC cung cấp thông tin về những vấn đề trọng yếu; thơng tin trình bày một cách logic, rõ ràng và dễ hiểu. Những rủi ro liên quan phải được lường trước như: sai sót, gian lận của nhân viên, lạm quyền của nhà quản lý, hoặc rủi ro bị đánh cắp, phá hoại dữ liệu của đối tượng bên ngồi đơn vị, việc ứng dụng phần mềm kế tốn trong việc xử lý kế toán và lập BCTC
Theo hướng dẫn của COSO 2013, khi đánh giá thành phần đánh giá rủi ro, các nguyên tắc cơ bản áp dụng được mô tả trong bảng 1.2
Bảng 1.2: Nguyên tắc kiểm soát nội bộ – Đánh giá rủi ro Các nguyên tắc – Đánh giá rủi ro Các nguyên tắc – Đánh giá rủi ro
Tầm quan trọng các mục tiêu của báo cáo tài chính - nhà quản lý quy định cụ
thể đầy đủ và rõ ràng các mục tiêu đối với BCTC cho phép việc xác định các rủi ro đối với tính tin cậy của BCTC
Rủi ro BCTC – Công ty xác định và phân tích rủi ro để đạt được mục tiêu BCTC là cơ sở để xác định cách để kiểm soát rủi ro
Rủi ro về gian lận – Tiềm tàng những sai sót trọng yếu do gian lận có được xem
xét kỹ lưỡng khi đánh giá những rủi ro ảnh hưởng đến mục tiêu BCTC.
Nguồn: COSO 2013: trang 13-14, tổng hợp bởi tác giả
1.2.3.3 Các hoạt động kiểm soát
Hoạt động kiểm sốt là các chính sách và thủ tục giúp mục tiêu đảm bảo BCTC đáng tin cậy của DN được thực hiện. Chúng bao gồm một loạt các hoạt động đa dạng như xét duyệt, ủy quyền, xác minh, đối chiếu, xem xét kết quả hoạt động, an tồn tài sản và phân cơng nhiệm vụ. Việc lập BCTC cuối kỳ bao gồm các hoạt động sau đây, mà các kiểm sốt thích hợp nên được áp dụng (AICPA 2006:33)
- Các thủ tục được sử dụng để tổng hợp các nghiệp vụ vào trong sổ cái; - Các thủ tục được sử dụng để ký duyệt, ủy quyền, ghi chép và quá trình chuyển các bút toán nhật ký vào trong sổ cái;
- Thủ tục soạn thảo BCTC và thơng tin thuyết minh liên quan
Có nhiều loại hoạt động kiểm soát khác nhau mà một tổ chức có thể thiết kế và áp dụng như kiểm sốt phịng ngừa, kiểm sốt phát hiện, kiểm soát bù đắp hay kiểm sốt thủ cơng, kiểm sốt trong mơi trường máy tính và kiểm sốt quản lý.
Trong mơi trường ứng dụng phần mềm kế toán, các hoạt động kiểm soát bao gồm kiểm soát dữ liệu đưa vào hệ thống, kiểm sốt q trình xử lý dữ liệu và thơng tin kết xuất ở đầu ra. Các hoạt động kiểm soát chung và kiểm soát ứng dụng cần thiết được thiết kế, áp dụng và tích hợp trên phần mềm để hỗ trợ hữu hiệu đảm bảo BCTC được lập và trình bày đáng tin cậy.
Theo COSO 2013, các nguyên tắc chính đánh giá tính hữu hiệu của thành phần hoạt động kiểm sốt được trình bày dưới bảng 1.3
Bảng 1.3: Nguyên tắc kiểm soát nội bộ –Hoạt động kiểm soát
1 Tương quan với đánh giá rủi ro – Có các hành động được thực hiện để giải quyết các rủi ro, hỗ trợ đạt được mục tiêu BCTC đáng tin cậy
2 Lựa chọn và áp dụng các hoạt động kiểm soát – Các hoạt động kiểm soát được lựa chọn và áp dụng có xem xét chi phí và hiệu quả của chúng trong việc giảm thiểu các rủi ro ảnh hưởng đến mục tiêu BCTC
3 Chính sách và thủ tục – Chính sách liên quan đến BCTC đáng tin cậy được thiết lập và truyền đạt tồn cơng ty, với thủ tục tương ứng để đạt được kết quả định trước
4 Kiểm sốt cơng nghệ thơng tin – Các thủ tục kiểm soát liên quan việc ứng dụng phần mềm kế tốn có được thiết kế và thực hiện hỗ trợ để đạt được các mục tiêu BCTC đáng tin cậy hay không?
Nguồn: COSO 2013, trang 15-18, tổng hợp bởi tác giả 1.2.3.4 Thơng tin và truyền thơng
Thơng tin liên quan đến tính tin cậy của BCTC phải được xác định, thu thập cung cấp cho những người có nhu cầu sử dụng dưới hình thức và thời điểm phù hợp. Thông tin và truyền thông hữu hiệu hỗ trợ người sử dụng tiếp cận thông tin kịp thời, làm cơ sở đưa ra các quyết định liên quan. Nhận thức được tầm quan trọng của thơng tin và truyền thơng, COSO 2013 đã xem nó như là một thành phần kiểm sốt riêng biệt.
Thơng tin và truyền thơng chính là điều kiện khơng thể thiếu cho việc thiết lập, duy trì và nâng cao tính hữu hiệu của kiểm sốt trong đơn vị. Truyền thông là sự chuyển giao, truyền đạt và cung cấp thông tin. Truyền thơng sử dụng các hình thức như các văn bản quy định, các tài liệu kế tốn, các bảng ghi nhớ,…hay cũng có thể là các lệnh miệng, các hành vi của các nhà quản lý.
Các nguyên tắc đánh giá tính hữu hiệu của thành phần này theo hướng dẫn của COSO 2013 được trình bày ở bảng 1.4
Bảng 1.4: Nguyên tắc kiểm soát nội bộ – Thông tin và truyền thông Các nguyên tắc – Thông tin và truyền thông Các nguyên tắc – Thông tin và truyền thông
1 Thông tin Báo cáo tài chính - thơng tin cần thiết được xác định, được thu thập, được sử dụng ở tất cả các cấp của công ty, và được công bố dưới một hình thức và thời điểm hỗ trợ việc đạt được các mục tiêu BCTC.
2 Thơng tin kiểm sốt nội bộ - Thông tin cần thiết để tạo thuận lợi cho hoạt
công bố trong một hình thức và thời gian hỗ trợ nhân viên thực hiện trách nhiệm KSNB của họ.
3 Truyền thông nội bộ - Việc truyền thông hỗ trợ việc hiểu biết và thực hiện
mục tiêu KSNB, các quy trình, và trách nhiệm cá nhân.
4 Truyền thơng bên ngồi - Các vấn đề ảnh hưởng đến mục tiêu BCTC đáng
tin cậy được truyền thơng với bên ngồi.