COSO 1992 thể hiện một quan điểm hiện đại về KSNB và tích hợp các lĩnh vực được kiểm soát khác nhau gồm cả tài chính và phi tài chính.
1.2.2. Những yếu tố cấu thành kiểm soát nội bộ theo Khung Kiểm soát nội bộ của COSO
Điểm mấu chốt của Khung kiểm soát nội bộ theo COSO là phải luôn xem xét mỗi hoạt động kiểm soát được nhận diện trong quan hệ với những hoạt động kiểm soát khác có liên quan. Dựa trên định nghĩa chung về KSNB, COSO sử dụng mô hình 3 mảng để mô tả hệ thống kiểm soát nội bộ trong một doanh nghiệp. Hình 2 dưới đây khái quát về khung kiểm soát nội bộ COSO theo mô hình 3 mảng với 5 mức độ và 3 yếu tố cấu thành của KSNB trong DN.
Hình 1.1: Khung KSNB COSO - Liên hệ giữa các yếu tố của KSNB - Mục tiêu - Các đơn vị/hoạt động
Giám sát hoạt động kiểm soát Thông tin và truyền thông Các hoạt động kiểm soát
Đánh giá rủi ro
Thực thể kinh doanh hoặc những hoạt động của đơn vị
Có thể bạn quan tâm!
- Khái Quát Về Phương Pháp Nghiên Cứu Của Luận Án
- Tổng Hợp Thông Tin Về Năng Lực, Trình Độ Đào Tạo Của Đối Tượng
- Bản Chất Của Ksnb Theo Cách Tiếp Lý Thuyết Khác Nhau [93]
- Hoàn thiện hoạt động kiểm soát nội bộ trong các Ngân hàng thương mại Việt Nam - 8
- Khung Kiểm Soát Nội Bộ Cho Các Ngân Hàng Thương Mại
- Tuyên Bố Basel Và Vấn Đề Kiểm Soát Nội Bộ Trong Các Ngân Hàng
Xem toàn bộ 241 trang tài liệu này.
Môi trường kiểm soát
(a) Môi trường kiểm soát
Đây là cơ sở của bất cứ cấu trúc kiểm soát nội bộ nào và thường được COSO gọi tên là môi trường kiểm soát nội bộ. COSO nhấn mạnh tới môi trường kiểm soát nội bộ vì đây là nhóm yếu tố có ảnh hưởng lớn tới các hoạt động dược thiết kế và đánh giá rủi ro. Môi trường kiểm soát là nền tảng cho tất cả các yếu tố khác của KSNB. Môi trường phản ánh quan điểm, nhận thức và hành động của ban giám đốc, ban quản trị và những vấn đề quan trọng khác của KSNB có liên quan trong doanh nghiệp.
Trong khi thực hiện kiểm tra, các kiểm toán viên nội bộ nên cố gắng tìm hiểu và đánh giá tổng thể về môi trường kiểm soát nội bộ. Khi môi trường kiểm soát bị đánh giá là yếu, một kiểm toán viên nội bộ sẽ chắc chắn sẽ tìm kiếm những lĩnh vực
có liên quan đến kiểm soát bổ sung. Trong một doanh nghiệp nhỏ, những nhân tố thuộc môi trường kiểm soátn sẽ thường không khuôn mẫu. Tuy nhiên, kiểm toán viên vẫn nên tập trung vào những nhân tố môi trường kiểm soát phù hợp từ thực thể kinh doanh như là những yếu tố cần thiết của hoạt động kiêm soát nội bộ. Thông thường, những yếu tố thuộc môi trường kiểm soát nội bộ có thể phân chia thành:
(i) Tính chính trực và giá trị đạo đức: Đây là những nhân tố cần thiết cho môi trường kiểm soát nội bộ. Giá trị đạo đức thường được xác định bởi những thông điệp về chính sách truyền thông mạnh mẽ. Nếu một doanh nghiệp phát triển yếu tố cốt lõi của một dòng sản phẩm nhấn mạnh vào tính chính trực và những giá trị đạo đức; đồng thời nếu các cổ đông ủng hộ theo tiêu chuẩn cốt lõi như vậy thì doanh nghiệp dường như có sự đảm bảo về một cách thức thiết lập giá trị phù hợp. Để xây dựng tính chính trực và những giá trị đạo đức, một chức năng kiểm toán nội bộ mạnh mẽ nên là một yếu tố chính của môi trường kiểm soát theo quan điểm của COSO. Nếu kiểm toán nội bộ phát hiện nhà quản trị đang duy trì những hạn chế đối với chức năng kiểm toán này thì kiểm toán nội bộ và trưởng bộ phận kiểm toán nên nhắc nhỏ ban quản trị về vai trò quan trọng của mình như là một phần của cấu trúc kiểm soát nội bộ tổng thể trong doanh nghiệp. Quan trọng hơn, kiểm toán nội bộ có thể trao đổi những vấn đề liên quan với ban giám đốc qua ủy ban kiểm toán.
(ii) Cam kết về năng lực: Môi trường kiểm soát của một doanh nghiệp có thể bị sói mòn nếu một số lượng đáng kể những vị trí được sử dụng không có đủ kỹ năng công việc theo yêu cầu. Các kiểm toán viên nội bộ sẽ bắt gặp vấn đề này nhiều lần khi đánh giá, phỏng vấn một nhân viên được giao nhiệm vụ cụ thể.
Một doanh nghiệp cần chi tiết các mức độ năng lực theo yêu cầu đối với những mục đích công việc đa dạng khác nhau và thể hiện những yêu cầu công việc theo những mức độ cần thiết của kỹ năng và sự hiểu biết. Bằng cách sắp xếp và sử dụng đúng nhân viên vào công việc phù hợp và thực hiện đào tạo phù hợp với yêu cầu thì doanh nghiệp có thể thỏa mãn những yếu tố môi trường kiểm soát quan trọng theo COSO.
Đánh giá năng lực nhân viên là một phần quan trọng của môi trường kiểm soát. Mặc dù việc đánh giá này là một công việc khó khăn nhưng lại đóng vai trò
quan trọng không những cho môi trường kiểm soát mà còn làm cơ sở cho cải thiện KSNB nói chung.
(iii) Ban giám đốc và ủy ban kiểm toán: Môi trường kiểm soát bị ảnh hưởng bởi hành động của ban giám đốc và của ủy ban kiểm toán (nếu có). Môi trường kiểm soát chịu ảnh hưởng rất lớn từ hành động của ban giám đốc và ủy ban kiểm toán. Một ban độc lập và chủ động là một yếu tố cần thiết của môi trường kiểm soát theo COSO. Bằng cách thiết lập các chính sách ở mức độ cao và kiểm tra việc thực hiện toàn bộ doanh nghiệp, ban giám đốc và ủy ban kiểm toán có trách nhiệm cuối cùng đối với việc thiết lập truyền thông ở mức cao.
(iv) Triết lý quản trị và phong cách điều hành: Triết lý và phong cách điều hành của nhà quản trị cấp cao có ảnh hưởng đáng kể tới môi trường kiểm soát của doanh nghiệp. Một số giám đốc cấp cao tạo ra những rủi ro ở mức toàn doanh nghiệp xuất phát từ hoạt động kinh doanh mới do họ phụ trách hoặc mạo hiểm đối với sản phẩm; một số khác có thể rất thận trọng hoặc bảo thủ. Một số giám đốc dường như hoạt động vì vị trí bản thân trong khi một số khác lại nhấn mạnh tới chuẩn tắc mọi hoạt động. Một số giám đốc có thể có cách tiếp cận nóng vội, độc đoán và thiếu kiềm chế trong thuyết minh về thuế và những nguyên tắc lập báo cáo tài chính. Những triết lý quản trị và phong cách hoạt động nêu trên là một yếu tố cấu thành môi trường kiểm soát của doanh nghiệp. Dưới góc độ người đánh giá cần xem thực trạng của KSNB, người thực hiện đánh giá cần hiểu những nhân tố nêu trên và cách xem xét chúng khi đánh giá hiệu lực KSNB.
(v) Cấu trúc tổ chức: Yếu tố này cung cấp một nguyên tắc cho lập kế hoạch, thực hiện, kiểm soát và giám sát các hoạt động nhằm giúp đỡ đạt được các mục tiêu chung. Yếu tố thuộc môi trường kiểm soát này liên quan tới việc quản lý và tổ chức các chức năng trong doanh nghiệp. Một số doanh nghiệp tổ chức tập trung ở mức độ cao, một số khác lại phân tán theo sản phẩm, khu vực địa lý hoặc những nhân tố khác. Số còn lại có thể tổ chức theo mô hình ma trận mà không có dòng báo cáo trực tiếp, đơn lẻ nào được thực hiện. Cấu trúc tổ chức là một khía cạnh quan trọng của môi trường kiểm soát nhưng không có cấu trúc nào có thể tạo ra một môi trường kiểm soát nội hoàn hảo. Một cấu trúc tổ chức có thể xem là một
con đường hoặc một cách tiếp cận cho những nỗ lực làm việc cá nhân để được giao nhiệm vụ và được thống nhất đạt được các mục tiêu chung. Trong khi khái niệm này có thể áp dụng theo cách trong đó mỗi cá nhân tự quản lý nỗ lực của mình thì điều này có khả năng áp dụng tốt hơn cho một bộ phận hoặc nỗ lực theo nhóm.
Đối với mọi doanh nghiệp hoặc thực thể kinh doanh nói chung đều cần một kế hoạch tổ chức hiệu lực. Thông thường, một yếu điểm trong hoạt động kiểm soát tổ chức có thể có ảnh hưởng rộng tới môi trường kiểm soát tổng thể. Mặc dù những ràng buộc rõ ràng liên quan tới phê chuẩn, đôi khi doanh nghiệp đã xây dựng hoạt động kiểm soát trên cơ sở không hiệu quả. Điều này có thể dẫn tới sự mở rộng theo thời gian dẫn tới các thủ tục kiểm soát bị phá vỡ.
(vi) Giao quyền hạn và trách nhiệm: Giao quyền là cách thức cần thiết để những trách nhiệm được xác định trong quan hệ với những mô tả công việc và được cấu trúc trong quan hệ với mô hình tổ chức của doanh nghiệp. Mặc dù giao nhiệm vụ có thể không tránh khỏi sự chồng chéo hoặc chung nhiệm vụ nhưng điều cần thiết là thông báo trách nhiệm rõ ràng. Sự thất bại đối với việc phân quyền rõ ràng và trách nhiệm theo phạm vi công việc thường dẫn tới những lúng túng hoặc xung đột giữa những nỗ lực cá nhân và nỗ lực làm việc tập thể. Một doanh nghiệp có thể tự đặt mình vào tình thế rủi ro nếu có quá nhiều quyết định có liên quan tới các mục tiêu ở mức cao được trao quyền cho những vị trí không thích hợp mà không có cơ chế kiểm soát quản lý thích hợp. Thêm vào đó, mỗi cá nhân trong doanh ngiệp phải có sự hiểu biết về các mục tiêu tổng thể của doanh nghiệp và cách thức hành động cá nhân có iên quan để đạt được những mục tiêu.
(vii) Chính sách nhân sự và sử dụng lao động: Khía cạnh này có liên quan tới những hoạt động cụ thể khác nhau như thuê mướn, định hướng, đào tạo, đánh giá, tư vấn, khuyến khích, phạt và những hành động sửa chữa phù hợp. Trong khi chức năng nhân sự nên đưa ra những chính sách và hướng dẫn quan trọng thì việc thực thi sẽ gửi một thông điệp tới nhân viên theo các mức độ mong muốn theo sự tuân thủ kiểm soát nội bộ, hành vi đạo đức và năng lực. Chẳng hạn, những nhân viên ở vị trí cấp cao có khả năng lạm dụng một chính sách sử dụng nguồn nhân lực bằng cách gửi ngay lập tức một thông điệp tới những cấp nhân viên khác (thấp hơn)
trong doanh nghiệp nhưng ở cấp quản lý cao hơn thì điều này lại không xảy ra. Những lĩnh vực mà chính sách và thực hành quản lý nhân sự thường cho là quan trọng gồm:
Thuê và tuyển dụng nhân viên
Định hướng nhân viên mới của doanh nghiệp
Đánh giá, khuyến khích và xử phạt
Những hình thức thức kỷ luật.
Những chính sách và thủ tục quản lý nguồn nhân lực hiệu lực là một nhân tố tích cực trong môi trường kiểm soát tổng thể. Vấn đề nhân sự ảnh hưởng tới việc thực thi những mệnh lệnh hoặc quyết định từ nhà quản trị cấp cao. Kiểm toán nội bộ hay những bên thực hiện đánh giá nói chung nên xem xét yếu tố này khi thực hiện đánh giá những nhân tố khác theo khung kiểm soát COSO.
(b) Đánh giá rủi ro
Khả năng của doanh nghiệp có thể đạt được mục tiêu đặt ra hay không phụ thuộc vào nhiều nhân tố khác nhau bên trong và bên ngoài doanh nghiệp – rủi ro. Hiểu và quản lý môi trường rủi ro là một yếu tố cơ bản của KSNB. Một doanh nghiệp nên có một qui trình để đánh giá những rủi ro tiềm tàng có thể ảnh hướng tới việc đạt được mục tiêu.
Quản trị rủi ro KSNB theo COSO nên là một quá trình nhìn về phía trước. Quá trình này được thực hiện ở tất cả các mức độ và cho tất cả cá hoạt động thực tế trong phạm vi doanh nghiệp. COSO mô tả đánh giá rủi ro theo quá trình 3 bước:
(I) Ước tính đầy đủ về rủi ro
(II) Đánh giá khả năng hoặc tần suất có thể xảy ra rủi ro
(III) Xem xét cách thức rủi ro có thể quản lý và đánh giá rủi ro và xác định những hành động cần thiết phải thực hiện.
Quá trình đánh giá rủi ro theo COSO đặt trách nhiệm lên vai nhà quản lý nhằm đánh giá liệu có tồn tại một rủi ro nào đáng kể hay không và nếu có thì hành động cần thiết là gì. KSNB cũng nhấn mạnh là phân tích rủi ro không phải là một quá trình lý thuyết mà thường là con đường dẫn tới thành công tổng hợp cho doanh
nghiệp và những yếu tố nội tại khác đối với nhiều hoạt động của doanh nghiệp hay thực thể kinh doanh. Một số loại rủi ro do những nhân tố cả bên trong và bên ngoài có thể ảnh hưởng tới toàn bộ doanh nghiệp. Khung kiểm soát COSO đề xuất những rủi ro này nên được xem xét theo 3 cách tiếp cận là:
i) Những rủi ro doanh nghiệp theo các nhân tố bên ngoài: bao gồm sự thay đổi về công nghệ, thay đổi nhu cầu khách hàng, giá cả, chính sách bảo hành hoặc dịch vụ. Ngoài ra, chính sách mới hoặc những qui định mới có thể ảnh hưởng mạnh mẽ tới chính sách hoặc chiến lược hoạt động, kể cả thảm họa.
ii) Những rủi ro doanh nghiệp theo những nhân tố bên trong: Bởi vì các kiểm toán viên nội bộ thường nhấn mạnh tới những kiểm tra tiếp theo của mình nên có thể có một số loại rủi ro ở mức độ doanh nghiệp. Ví dụ, hệ thống mạng bị “sập” có thể ảnh hưởng tới hoạt bộ hoạt động của doanh nghiệp.
iii) Rủi ro theo mức độ hoạt động cụ thể: Bên cạnh những rủi ro được xem xét ở mức độ rộng toàn doanh nghiệp, một số loại rủi ro nên được xem xét cho những đơn vị kinh doanh quan trọng và hoạt động then chốt. Chẳng hạn, hoạt động marketing, tài chính, tin học. Kiểm toán viên nội bộ nên xem xét những thiếu sót của mỗi quá trình như là một phần của quá trình đánh giá hoạt động kiểm soát tổng thể.
Nhà quản lý có thể thường có những quá trình khác trong đó xuất hiện hoạt động đánh giá rủi ro nhưng chưa đi vào bản chất. Khi thực hiện kiểm tra những lĩnh vực có rủi ro, kiểm toán viên nội bộ nên đánh giá những phân tích và thảo luận lý do cho việc đánh giá thấp một số loại rủi ro theo từng trường hợp.
(c) Các hoạt động kiểm soát
Các hoạt động kiểm soát là những chính sách và thủ tục nhằm đảm bảo cho những hành động được nhận diện để xác định rủi ro, được thực hiện tại doanh nghiệp. Các hoạt động kiểm soát thường theo bề rộng của hoạt động kiểm soát bộ phận. Hoạt động kiểm soát tồn tại ở những mức quản lý khác nhau trong doanh nghiệp. Khái niệm hoạt động kiểm soát là một phần quan trọng trong xây dựng và thiết lập hoạt động kiểm soát hiệu lực trong doanh nghiệp. COSO nhận diện một số
hoạt động kiểm soát theo quá trình. Từ cách tiếp cận của kiểm toán nội bộ, những hoạt động kiểm soát nên hợp nhất lại để hỗ trợ xây dựng KSNB tổng thể hiệu lực.
Hoạt động kiểm soát thường được phân loại theo hình thức thực hiện (thủ công, công nghệ thông tin hoặc kiểm soát quản lý). Chúng được mô tả trong quan hệ với khả năng ngăn chặn, sửa chữa hoặc các hoạt động kiểm soát phát hiện. COSO đề xuất một cách thức phân loại hoạt động kiểm soát trong phạm vi một doanh nghiệp. Danh mục những hoạt động kiểm soát dưới đây được COSO đề xuất cho một doanh nghiệp phổ biến, gắn với một số lượng nhỏ những hoạt động kiểm soát được thực hiện trong một lĩnh vực hoạt động kinh doanh bình thường:
i). Đánh giá cấp cao: Nhà quản lý và các kiểm toán viên nội bộ ở n hiều mức độ quản lý khác nhau cần đánh giá các kết quả của hoạt động, đối chiếu kết quả với mục tiêu, so sánh với số liệu thống kê và đo lường trên những tiêu chuẩn khác. Nhà quản lý hành động theo những kết quả đánh giá cấp cao và áp dụng những hành động sửa chữa kịp thời.
ii). Chức năng chỉ đạo hoặc quản lý hoạt động: Những nhà quản lý ở các cấp khác nhau có thể đánh giá các báo cáo hoạt động từ hệ thống kiểm soát của họ và thực hiện hành động sửa chữa phù hợp. Nhiều hệ thống quản lý đã xây dựng để đưa ra những báo cáo ngoại trừ đối với hoạt động kiểm soát này. Ví dụ, hệ thống an ninh tin học sẽ có cơ chế để báo cáo những hành vi truy cập vào hệ thống không được phép. Hoạt động kiểm soát trong trường hợp này là quá trình quản lý tiếp theo việc các sự kiện được báo cáo và thực hiện những hành động sửa chữa phù hợp.
iii). Xử lý thông tin: Các hệ thống tin học, bao gồm nhiều hoạt động kiểm soát nơi mà các hệ thống thực hiện kiểm tra nội bộ đối với sự tuân thủ trong một phạm vi nhất định và sau đó báo cáo về những yếu tố ngoại trừ KSNB. Tiếp theo, những yếu tố bị ngoại trừ (theo báo cáo) nên được thực hiện sửa chữa phù hợp bằng những thủ tục của một hệ thống tự động, bằng cá nhân phụ trách hoặc bằng chính hành động của nhà quản trị. Những hoạt động kiểm soát khác bao gồm hoạt động kiểm soát đối với phát triển hệ thống mới hoặc đối với việc truy cập vào dữ iệu và các tệp chương trình.
iv). Hoạt động kiểm soát vật chất: Một doanh nghiệp nên có những hoạt động
kiểm soát phù hợp đối với những tài sản vật chất. Ví dụ, chương trình kiểm kê định kỳ đối với hàng tồn kho là một hoạt động kiểm soát chính. Trong trường hợp này, kiểm toán viên nội bộ có thể đóng vai trò chính trong giám sát sự tuân thủ khi thực hiện kiểm kê.
v). Những chỉ số hoạt động: Nhà quản trị nên liên kết việc thiết lập dữ liệu, bao gồm cả hoạt động và tài chính, trở thành một dữ liệu khác và thực hiện phân tích, điều tra hoặc đưa ra hành động sửa chữa phù hợp. Quá trình này cho thấy một hoạt động kiểm soát doanh nghiệp quan trọng có thể thỏa mãn những yêu cầu báo cáo tài chính và hoạt động trong doanh nghiệp.
vi). Phân chia trách nhiệm: Trách nhiệm cần được phân tách giữa những cá nhân để giảm rủi ro xảy ra sai sót hoặc hành động không phù hợp. Thủ tục kiểm soát cơ bản này nên được kiểm toán viên nội bộ xem xét trong tất cả các trường hợp.
Hoạt động kiểm soát thường liên quan tới cả thiết lập một chính sách và thủ tục tác động tới chính sách. Trong khi những hoạt động kiểm soát có thể chỉ được thông tin bằng miệng, thì theo COSO, không có vấn đề gì về cách thức thông tin mà vấn đề nằm ở chỗ kiểm soát có thực hiện “thận trọng, đầy đủ và nhất quán” không. Đây cũng chính là vấn đề được các bên đánh giá (KSNB) quan tâm trong đánh giá KSNB trong doanh nghiệp.
Theo COSO, hoạt động kiểm soát cần có quan hệ chặt chẽ với những rủi ro đã được xác định. Hoạt động kiểm soát nội bộ là một quá trình và hoạt động kiểm soát cần được thiết lập để xác định những rủi ro đã xác định. Tất cả các hoạt động kiểm soát nội bộ nên góp phần vào cấu trúc kiểm soát tổng thể. Các bên thực hiện đánh giá kiểm soát, bao gồm cả kiểm toán nội bộ, hiểu khái niệm này khi đánh giá hoạt động kiểm soát cũng như đề xuất cải thiện hoạt động.
Bên cạnh hệ thống hoạt động thủ công, COSO cũng nhấn mạnh tới những thủ tục kiểm soát đối với hệ thống thông tin hoặc hệ thống tin học quan trọng cùng với các hoạt động và sự tuân thủ các qui định có liên quan. COSO chia hoạt động kiểm soát các hệ thống thông tin thành hoạt động kiểm soát chung việc ghi nhận và hoạt động kiểm soát ứng dụng. Hoạt động kiểm soát chung vận dụng cho nhiều chức năng của các hệ thống thông tin để đảm bảo các thủ tục kiểm soát là phù hợp