1.6 .Các bộ phận hợp thành hệ thống kiểm soát nội bộ
1.6.3 .Hoạt động kiểm soát
Hoạt động kiểm sốt là những chính sách và thủ tục được thiết lập nhằm đối phó với rủi ro và tạo điều kiện cho các mục tiêu đề ra được thực thi nghiêm túc, hiệu quả trong toàn đơn vị. Hoạt động kiểm soát tồn tại ở mọi bộ phận và mọi cấp độ tổ chức trong một đơn vị.
Để có hiệu quả, hoạt động kiểm sốt cần phải:
-Phù hợp (Có nghĩa là các kiểm soát phải đúng nơi và tương xứng với rủi ro liên quan).
-Thực hiện thường xuyên theo kế hoạch theo thời gian dài (Có nghĩa là, được tuân thủ một cách cẩn thận bởi tất cả các nhân viên có liên quan và khơng bỏ qua khi nhà quản lý cấp cao khơng có mặt tại đơn vị hoặc khối lượng cơng việc nhiều).
-Đạt được hiệu quả chi phí (Có nghĩa là các chi phí thực hiện sự kiểm sốt khơng được vượt q lợi ích thu được).
-Đầy đủ, hợp lý và liên quan trực tiếp đến mục tiêu kiểm soát.
Hoạt động kiểm soát được thực hiện trong toàn tổ chức, các cấp quản lý và trong tất cả các bộ phận. Chúng bao gồm một loạt các điều tra và kiểm sốt phịng ngừa các hoạt động đa dạng, ví dụ như: Thủ tục ủy quyền và xét duyệt, phân chia trách nhiệm (ủy quyền, thực hiện, xem xét, ghi chép), kiểm soát nguồn lực và ghi chép, xác minh, đối chiếu, soát xét kết quả hoạt động của tổ chức, sốt xét các q trình và các hoạt động, giám sát (giao phó, xem xét và phê duyệt, hướng dẫn và đào tạo).
8 nội dung trên thì trong đó có 3 nội dung để phòng ngừa rủi ro, 3 nội dung để phát hiện rủi ro và 2 nội dung kết hợp cả phòng ngừa và phát hiện rủi ro. Các đơn vị phải đạt được sự cân bằng thích hợp giữa điều tra và các hoạt động kiểm sốt phịng ngừa. Hành động khắc phục là một sự bổ sung cần thiết để kiểm soát các hoạt động nội bộ để đạt được các mục tiêu.
Thủ tục ủy quyền và xét duyệt
thẩm quyền. Việc ủy quyền nhằm đảm bảo các giao dịch và sự kiện chỉ được thực hiện bởi các cấp quản lý. Thủ tục cấp phép, trong đó nên được ghi chép rõ ràng và thông báo cho các nhà quản lý và nhân viên, bao gồm các điều kiện cụ thể mà ủy quyền phải thực hiện. Ủy quyền phải phù hợp với các điều khoản của một ủy quyền có nghĩa là nhân viên hành động theo chỉ thị và trong giới hạn được thiết lập bởi nhà quản lý hoặc pháp luật.
Sự ủy quyền phải đúng đắn cho các nghiệp vụ hoặc các hoạt động. Sự ủy quyền bao gồm ủy quyền chung và ủy quyền chi tiết. Ủy quyền chung liên quan đến toàn bộ hoạt động hay toàn bộ tổ chức hoặc liên quan đến tất cả các hoạt động trong một nghiệp vụ. Ủy quyền chi tiết là trường hợp ủy quyền phê chuẩn một nghiệp vụ đơn lẻ và cụ thể, không phát sinh thường xuyên
Phân chia trách nhiệm (ủy quyền, thực hiện, xem xét, ghi chép)
Để giảm thiểu sai sót, lãng phí, hành động sai và rủi ro từ việc không giải quyết được vấn đề, khơng có cá nhân hoặc nhóm nào quản lý tất cả các quy trình quan trọng của một giao dịch hay sự kiện. Nhiệm vụ và trách nhiệm phải được phân chia cho nhiều cá nhân để đảm bảo có hiệu quả và đạt được sự cân bằng. Nhiệm vụ chính bao gồm ủy quyền, thực hiện, ghi chép, xem xét và kiểm toán các giao dịch.
Sự thơng đồng có thể dẫn đến giảm hiệu quả hoặc không đạt được kết quả trong hệ thống kiểm soát nội bộ. Những tổ chức nhỏ có quá ít nhân viên để có thể thực hiện việc kiểm soát này, trong trường hợp đó các cấp quản lý nên chú ý đến các rủi ro. Việc thay đổi nhân viên sẽ bảo đảm nhân viên đó khơng xử lý tất các khía cạnh của giao dịch trong khoảng thời gian quá dài. Bên cạnh đó, việc khuyến khích và các kì nghỉ hàng năm sẽ giảm rủi ro do việc thay đổi nhân lực tạm thời.
Khi phân chia trách nhiệm, các chức năng sau cần được tách biệt: -Chức năng phê chuẩn nghiệp vụ.
-Chức năng ghi chép: Bao gồm cả việc lập chứng từ, ghi sổ kế toán, chuẩn bị các tài liệu để đối chiếu, lập báo cáo thực hiện.
-Chức năng quản lý tài sản: Bao gồm quản lý tiền, quản lý hàng tồn kho, nhận séc hay lập séc thanh toán.
Kiểm soát truy cập nguồn lực và ghi chép
Truy cập vào các nguồn tài nguyên và ghi chép phải được giới hạn cho các cá nhân có thẩm quyền và trách nhiệm để bảo vệ việc sử dụng các nguồn lực. Hạn chế quyền truy cập vào tài nguyên làm giảm nguy cơ của việc sử dụng trái phép hoặc thiệt hại cho đơn vị và giúp đạt được chỉ thị của nhà quản lý. Mức độ hạn chế phụ thuộc vào sự cạn kiệt của các nguồn tài nguyên và nhận thức rủi ro về mất mát hoặc sử dụng không đúng và nên được đánh giá theo định kỳ. Ngày nay, khi khoa học công nghệ tiến bộ, quy trình thực hiện được sự hỗ trợ ngày càng nhiều của công nghệ thơng tin, phần mềm máy tính…
Xác minh
Các giao dịch và sự kiện quan trọng được xác minh trước và sau quá trình, ví dụ như khi giao hàng, số lượng hàng hoá cung cấp được xác minh với số lượng hàng đặt hàng. Sau đó, số lượng hàng hóa ghi trên hóa đơn được xác minh với số lượng hàng hoá nhận được. Hàng tồn kho được xác minh qua kiểm kê.
Đối chiếu
Các ghi chép được đối chiếu với các tài liệu thích hợp trên cơ sở thường xuyên, ví dụ như tài liệu kế tốn có liên quan đến tài khoản ngân hàng được đối chiếu thường với báo cáo ngân hàng tương ứng.
Soát xét kết quả hoạt động của tổ chức
Kết quả hoạt động của tổ chức sẽ được xem xét lại một cách thường xuyên nhằm đánh giá sự hữu hiệu và hiệu quả. Nếu kết quả không đạt được như mục tiêu đề ra, cần xem xét lại cả quy trình để có những cải tiến cần thiết.
Kiểm tra nhằm đảm bảo các nghiệp vụ được thực hiện, xử lý chính xác là một thành phần quan trọng của kiểm soát. Kiểm tra độc lập các kết quả đạt được để đảm bảo tính hữu hiệu của hoạt động. Kiểm tra độc lập bao gồm các hoạt động:
-Đối chiếu hai quá trình ghi chép độc lập, ví dụ đối chiếu giữa số liệu kế tốn và thủ kho, đối chiếu giữa sổ kế toán chi tiết với kế toán tổng hợp,…
-So sánh giữa số thực tế và số liệu được ghi chép trên sổ sách, hoạt động này thường được thực hiện thơng qua q trình kiểm kê.
-Thực hiện tốt việc ghi sổ kép, kiểm tra đối chiếu số liệu trên bảng cân đối phát sinh.
-Xem xét, đánh giá độc lập q trình xử lý nghiệp vụ. Ví dụ quy định kiểm tra chứng từ trước khi ghi sổ, kế toán phải thu kiểm tra q trình lập hóa đơn…
-Thiết kế và sử dụng các chứng từ và sổ phù hợp
Soát xét các quá trình hoạt động và các hoạt động
Hoạt động, quy trình và các hoạt động phải được định kỳ xem xét để đảm bảo rằng chúng phù hợp với quy định hiện hành, chính sách, thủ tục hoặc các yêu cầu khác. Có nghĩa là cần xem xét lại thực tế hoạt động của một tổ chức và được phân biệt rõ ràng từ giám sát của kiểm soát nội bộ.
Giám sát (giao phó, xem xét và xét duyệt, hướng dẫn và đào tạo)
Giám sát có thẩm quyền giúp đảm bảo rằng các mục tiêu kiểm soát nội bộ đạt được. Giao phó, xem xét và xét duyệt, hướng dẫn và đào tạo công việc của nhân viên bao gồm:
-Nhiệm vụ, trách nhiệm và giải trình được giao phó rõ ràng cho từng nhân viên.
-Có hệ thống xem xét công việc của mỗi thành viên trong phạm vi cần thiết.
-Phê duyệt các điểm trọng yếu để đảm bảo vận hành như dự định.
Ban giám sát công việc không nên làm giảm đi trách nhiệm giám sát trong lúc thực hiện nghĩa vụ giám sát. Giám sát cũng cung cấp cho nhân viên sự hướng dẫn và đào tạo cần thiết để giúp phát hiện các lỗi, sự lãng phí và các hành vi sai trái được giảm thiểu mà những điều này chỉ có những người giám sát mới hiểu và nắm bắt được.
Các đơn vị phải đạt được sự cân bằng thích hợp giữa các hoạt động phịng ngừa và phát hiện rủi ro, theo đó thường kết hợp các giám sát được sử dụng để bù đắp cho những nhược điểm riêng của kiểm soát cá nhân.
Khi một hoạt động kiểm soát được thực hiện, điều quan trọng là đảm bảo về hiệu quả của nó thu được. Do đó hành động khắc phục là một bổ sung cần thiết để kiểm soát hoạt động. Hơn nữa, phải hiểu rằng hoạt động kiểm soát chỉ là một phần của hệ
thống kiểm soát nội bộ. Hoạt động kiểm sốt nên được tích hợp với bốn thành phần khác của hệ thống kiểm soát nội bộ.
Hoạt động kiểm sốt cơng nghệ thơng tin
Cơng nghệ thơng tin tiên tiến thì tổ chức càng phụ thuộc vào các hệ thống thơng tin máy tính để thực hiện các hoạt động của mình và để xử lý, duy trì và báo cáo thơng tin cần thiết. Độ tin cậy, bảo mật dữ liệu trên máy vi tính và của các hệ thống xử lý, duy trì và báo cáo những dữ liệu này là điều quan tâm chính của cả nhà quản lý và kiểm toán viên của các tổ chức. Mặc dù hệ thống thông tin bao hàm các hoạt động cụ thể của kiểm sốt nhưng cơng nghệ thơng tin khơng phải là một vấn đề "độc lập" của kiểm sốt. Nó là một phần khơng thể thiếu của hầu hết các hoạt động kiểm soát trong đơn vị.
Việc sử dụng các hệ thống tự động xử lý thông tin làm xuất hiện một số rủi ro cần phải được xem xét bởi tổ chức. Những rủi ro xuất phát từ những thứ khác, xử lý thống nhất của giao dịch, hệ thống thông tin tự động bắt đầu giao dịch, tăng khả năng lỗi không bị phát hiện, sự tồn tại, đầy đủ và khối lượng của những hoạt động kiểm toán, bản chất của các phần cứng và phần mềm được sử dụng và ghi âm bất thường hoặc các cơng việc giao dịch. Ví dụ, một rủi ro vốn có từ việc xử lý thống nhất của các giao dịch là bất kỳ lỗi phát sinh từ vấn đề lập trình máy tính sẽ xảy ra thường xun trong giao dịch tương tự. Kiểm sốt cơng nghệ thơng tin hiệu quả có thể cung cấp cho nhà quản lý đảm bảo hợp lý rằng thông tin được xử lý bởi hệ thống đáp ứng mục tiêu kiểm soát mong muốn, chẳng hạn như đảm bảo tính đầy đủ, kịp thời, hiệu lực của dữ liệu và bảo tồn tính tồn vẹn của nó.
Hoạt động kiểm sốt cơng nghệ thơng tin là một phần của hoạt động kiểm soát. Kiểm sốt cơng nghệ thơng tin gồm 2 nhóm chính: Kiểm sốt chung và kiểm sốt ứng dụng
Kiểm soát chung: Là cấu trúc, các chính sách và thủ tục áp dụng cho tất cả
hoặc một phân đoạn lớn của hệ thống thông tin của một thực thể và giúp đảm bảo hoạt động liên tục và ổn định, tạo ra môi trường hoạt động của các hệ thống ứng dụng và kiểm soát.
Kiểm soát ứng dụng: Là các cơ cấu, chính sách và thủ tục áp dụng để tách
biệt các ứng dụng trên máy vi tính cá nhân. Các kiểm soát thường được thiết kế để ngăn chặn, phát hiện và sửa lỗi những thông tin bất thường từ hệ thống thơng tin.
Các kiểm sốt thường được thiết kế để ngăn chặn, phát hiện chính xác lỗi và những vi phạm như luồng thông tin thông qua hệ thống thông tin.
Kiểm soát ứng dụng bao gồm các hoạt động kiểm sốt được lập trình, chẳng hạn như sửa đổi tự động và dẫn theo dõi sản lượng máy tính tạo ra, chẳng hạn như ý kiến của báo cáo xác định từ chối hoặc khoản bất thường.
Kiểm soát chung và kiểm soát ứng dụng trên hệ thống máy tính được liên hệ với nhau. Hiệu quả nói chung là một yếu tố quan trọng trong việc xác định hiệu quả của kiểm sốt ứng dụng. Nếu các biện pháp nói chung là yếu, nó làm giảm nghiêm trọng độ tin cậy của kiểm soát liên quan các ứng dụng cá nhân. Nếu khơng có kiểm sốt chung hiệu quả, kiểm sốt ứng dụng có thể khơng hiệu quả bằng cách ghi đè lên, gian lận hoặc sửa đổi. Ví dụ, chỉnh sửa kiểm tra được thiết kế để ngăn chặn người dùng nhập vào số bất hợp lý trong giờ làm việc thành một hệ thống bảng lương có thể là một kiểm soát ứng dụng hiệu quả. Tuy nhiên, kiểm sốt này khơng thể dựa vào nếu các kiểm sốt chung cho phép sửa đổi chương trình trái phép có thể cho phép một số giao dịch được miễn từ chỉnh sửa.