Hoàn thiện hoạt động kiểm soát nội bộ trong các Ngân hàng thương mại Việt Nam - 8


đối với tất cả những ứng dụng (ví dụ, khóa phòng để máy chủ để ngăn chặn việc ra vào phòng có để thiết bị máy chủ). Hoạt động kiểm soát ứng dụng đề cập tới những quá trình tin học cụ thể (ví dụ, kiểm soát của chương trình máy tính nhằm ngăn chặn việc trả lương cho nhân viên không có hồ sơ gốc lưu trên máy tính). COSO nhấn mạnh vào hàng loạt những lĩnh vực kiểm soát tin học để đánh giá tính phù hợp của KSNB. Khung kiểm soát nội bộ COSO kết luận trên cơ sở thảo luận về sự cần thiết đối với việc xem xét tác động của những công nghệ có liên quan khi đánh giá các hoạt động kiểm soát hệ thống thông tin. Theo sự phát triển nhanh chóng của công nghệ thông tin, KSNB theo COSO không giới thiệu bất cứ điều gì thực sự mới bắt kịp với hoạt động kiểm soát trong môi trường xử lý dữ liệu tin học nhưng nhấn mạnh vào tầm quan trọng của chúng trong môi trường kiểm soát nội bộ tổng thể.

(d) Thông tin và truyền thông

Thông tin và truyền thông có liên quan với nhau nhưng là những nhân tố khác nhau của khung kiểm soát nội bộ theo quan điểm của COSO. Thông tin phù hợp được hỗ trợ bởi hệ thống tin học, phải được thông tin lên trên và xuống dưới phù hợp với đối tượng và thời gian để cho phép các cá nhân có thể thực hiện trách nhiệm của mình theo cách thức tốt nhất. Bên cạnh hệ thống thông tin chính thức và phi chính thức, doanh nghiệp phải có những thủ tục hiệu lực phù hợp để thông tin tới các bên (trong và ngoài doanh nghiệp). Những thông tin và quá trình truyền thông trong doanh nghiệp phải được tìm hiểu trong bất cứ trường hợp nào khi đánh giá KSNB cụ thể. Thông thường, có 2 khía cạnh có liên quan trong quá trình tìm hiểu nhằm mục tiêu đánh giá hoạt động kiểm soát liên quan tới thông tin và truyền thông là quan hệ giữa thông tin và hoạt động kiểm soát; khía cạnh truyền thông của KSNB.

(i) Quan hệ giữa thông tin và KSNB: Một doanh nghiệp cần thông tin ở những mức độ khác nhau nhằm đạt được mục tiêu hoạt động, tài chính và tuân thủ. Hoạt động kiểm soát theo COSO đưa ra một cách tiếp cận rộng đối với khái niệm hệ thống thông tin, cụ thể, hệ thống thông tin có thể là hệ thống thủ công, hệ thống tự động hoặc một khái niệm mới.

Kiểm soát nội bộ các hệ thống công nghệ thông tin theo COSO nên nhấn


mạnh vào tầm quan trọng của hệ thống lưu giữ và hỗ trợ thông tin trong quan hệ với nhu cầu tổng thể của doanh nghiệp. Những hệ thống thông tin hiệu lực thực hiện hỗ trợ đối với những thay đổi ở nhiều mức độ khác nhau. Tuy nhiên, kiểm toán viên nội bộ thường quan tâm tới những tình huống mà việc ứng dụng công nghệ thông tin đã được thực hiện trong nhiều năm để hỗ trợ cho một sự thiết lập khác đối với nhu cầu. Mặc dù hoạt động kiểm soát tốt thì ứng dụng này có thể không hỗ trợ cho những nhu cầu hiện tại của doanh nghiệp. KSNB theo COSO đưa ra một quan điểm rộng theo những loại tình huống và chỉ ra sự cần thiết phải hiểu những yêu cầu hiện tại của cả các quá trình thủ công và công nghệ tự động.

Quá trình xử lý kế toán và tài chính thường là những hệ thống được tự động hóa đầu tiên trong doanh nghiệp dựa trên sự phát triển của hệ thống máy tính. Hầu hết các doanh nghiệp thực hiện nhiều lần nâng cấp hệ thống thông tin nhưng những quy trình nền tảng có thể không thay đổi lớn. Một doanh nghiệp vẫn sẽ có hệ thống sổ cái, hệ thống tính lương, hệ thống quản lý tồn kho, phải thu khách hàng, phải trả người bán và nhưng hệ thống thông tin cốt yếu khác. KSNB theo COSO đề xuất doanh nghiệp hiệu lực nên dựa trên những ứng dụng cốt lõi để thực hiện những hệ thống thông tin chiến lược (strategic system) và hệ thống thông tin liên kết (integrated system). Bằng hệ thống thông tin chiến lược báo cáo hoạt động kiểm soát COSO đề xuất ban quản trị nên xem xét lập kế hoạch, thiết kế và thực hiện những hệ thống thông tin như một phần trong chiến lược của doanh nghiệp. Những hệ thống chiến lược hỗ trợ cho hoạt động kinh doanh và trợ giúp doanh nghiệp thực hiện những nhiệm vụ kinh doanh tổng thể. Nhiều doanh nghiệp đã phát triển các hệ thống thông tin để hỗ trợ cho các chiến lược kinh doanh. Qua đó, doanh nghiệp có thể phản ứng tốt hơn tới sự thay đổi trên thị trường và trong môi trường kiểm soát. KSNB COSO cũng nhấn mạnh tới tầm quan trọng của những hệ thống thông tin tự động liên kết với các hoạt động. COSO đưa ra quan điểm này nhưng chỉ vận dụng khi là hệ thống mới. Một hệ thống mới sẽ không cần thiết cung cấp hoạt động kiểm soát tốt hơn. Những ứng dụng cũ đã được thử nghiệm, kiểm tra trong thực tế trong khi những hệ thống mới thì ngược lại.

Báo cáo KSNB COSO có một đoạn ngắn về vai trò quan trọng của chất

Có thể bạn quan tâm!

Xem toàn bộ 241 trang tài liệu này.


lượng thông tin. Những hệ thống thông tin chất lượng thấp, nhiều sai sót và thiếu, ảnh hưởng tới khả năng của nhà quản lý để đưa ra các quyết định phù hợp. Các báo cáo nên chứa đựng đủ dữ liệu và thông tin để hỗ trợ cho KSNB hiệu lực. Để xác định chất lượng của thông tin, một trong những yếu tố sau cần chắc chắn tồn tại:

Hoàn thiện hoạt động kiểm soát nội bộ trong các Ngân hàng thương mại Việt Nam - 8

• Nội dung của thông tin báo cáo là phù hợp

• Thông tin đúng thời điểm và có sẵn khi yêu cầu

• Thông tin là hiện tại hoặc ở mức gần nhất so với yêu cầu

• Dữ liệu và thông tin là đúng

• Thông tin có thể đánh giá đối với những bên phù hợp.

(ii) Khía cạnh truyền thông của KSNB: Truyền thông được xác định như một yếu tố kiểm soát nội bộ riêng rẽ trong khung kiểm soát nội bộ theo COSO. Các kênh truyền thông cho phép cá nhân thực hiện báo cáo tài chính, thực hiện trách nhiệm hoạt động và tuân thủ. COSO nhấn mạnh tới việc truyền thông phải thực hiện ở mức động rộng nhất định, bao gồm cả xem xét các cá nhân, tập thể và những kỳ vọng của họ. Những kênh truyền thông phù hợp có vai trò quan trọng trong khung kiểm soát tổng thể và một doanh nghiệp cần thiết lập những kênh truyền thông ngoài những mức độ tổ chức khác nhau và hoạt động cũng như là với những đối tác có lợi ích từ bên ngoài. Mặc dù các kênh truyền thông có thể có nhiều mảng, KSNB theo COSO nhấn mạnh tới những yếu tố riêng rẽ của hệ thống truyền thông nội bộ và bên ngoài. Kiểm toán viên nội bộ phải luôn tập trung vào các kênh truyền thông như ứng dụng công nghệ thông tin, các thủ tục thủ công, những tài liệu công khai. Trong khi những tài liệu này là một yếu tố rất quan trọng của truyền thông thì COSO lại có quan điểm mở rộng khi xem xét KSNB.

Theo COSO yếu tố quan trọng nhất của truyền thông nội bộ là những gì mà cổ đông nhận được từ nhà quản trị cấp cao “nhắc nhở” họ về trách nhiệm kiểm soát nội bộ. Yêu cầu rõ ràng trong thông điệp này đó là tầm quan trọng để đảm bảo doanh nghiệp sẽ thực hiện những nguyên tắc kiểm soát nội bộ hiệu lực. Thông điệp này là một phần của chính sách truyền thông. Thêm vào đó, tất cả cổ đông cần hiểu trách nhiệm và hành động như thế nào để phù hợp với hệ thống kiểm soát tổng thể. Nếu điều này không xảy ra, cổ đông có thể đối mặt với rủi ro hoặc thậm chí có


những quyết định không tốt.

Hầu hết các cổ đông cần biết những giới hạn và danh giới khi hành động của họ có thể là bất hợp pháp, phi đạo đức hoặc không đúng đắn. Cá nhân khác cũng cần biết làm thế nào phản ứng với những sai sót hoặc những sự kiện không mong muốn trong khi thực hiện trách nhiệm. Vì thế, họ cũng cần những thông điệp từ nhà quản trị, trên văn bản và một quá trình đào tạo phù hợp.

Truyền thông phải đi theo hai chỉ dẫn và KSNB nhấn mạnh các cổ đông phải có một cơ chế để báo cáo cập nhật từ bên ngoài doanh nghiệp. Truyền thông theo cách này gồm 2 bộ phận là truyền thông từ những kênh báo cáo tin cậy, bình thường và đặc biệt. Báo cáo bình thường đề cập tới quá trình trong đó các cổ đông được kỳ vọng để báo cáo dựa vào tình huống, sai sót hoặc vấn đề thông qua những giám sát viên của họ. Hình thức truyền thông này nên được khuyến khích một cách tự do và doanh nghiệp nên tránh “đánh người đưa tin” nếu nhận được những báo cáo xấu. Ngược lại, các cổ đông thường có xu hướng báo cáo chỉ những thông tin tốt và các giám đốc có thể không nhận thức được những vấn đề nghiêm trọng. Bởi vì cá nhân đôi khi phải miễn cưỡng báo cáo những vấn đề cho giám sát trung gian nên các chương trình kiểm soát là cần thiết. Đây là một cơ chế cho phép các nhân có thể báo cáo ẩn danh những vấn đề liên quan tới cấp cao hơn trong doanh nghiệp để giải quyết vấn đề. Trong một số trường hợp, ủy ban kiểm toán thiết lập một chương trình kiểm soát cho phép báo cáo những sai sót hoặc không đúng của KSNB.

Doanh nghiệp cũng cần thiết lập những kênh truyền thông với các đối tác bên ngoài, bao gồm cả khách hàng, nhà cung cấp, cổ đông, ngân hàng, nhà lập pháp và những đối tượng khác. Truyền thông với bên ngoài nên thực hiện dựa trên những quan hệ công chúng. Thông tin cung cấp ra bên ngoài nên có liên quan tới những vấn đề mà họ quan tâm, xây dựng một sự hiểu biết tốt hơn về doanh ngh iệp và những thử thách mà doanh nghiệp phải đối mặt. Gửi thông tin báo cáo tối ưu ra bên ngoài khi doanh nghiệp nhận ra có nhiều vấn đề trong cung cấp thông điệp không phù hợp nội bộ.

Truyền thông với bên ngoài có thể là một cách rất quan trọng để nhận diện


những vấn đề kiểm soát tiềm tàng. Những cơ chế độc lập nên được thiết lập để nhận được những thông tin và hành động dựa trên thông tin phù hợp, bao gồm cả những hành động sửa chữa khi cần thiết. Những hình thức truyền thông mở và truyền thông hai chiều miễn phí có thể cảnh báo cho doanh nghiệp những vấn đề truyền thông tiềm tàng hoặc cho phép thảo luận và giải quyết nhiều vấn đề ở mức độ trái chiều với công chúng.

Không có một phương pháp đúng đắn nào của truyền thông thông tin kiểm soát nội bộ trong phạm vi doanh nghiệp. Doanh nghiệp hiện đại có thể thông tin những thông điệp của họ qua những thông báo rộng rãi, những hướng dẫn, trang web, qua hình ảnh hoặc những bài phát biểu của thành viên HĐQT. Tuy nhiên, những hành động thực hiện trả trước hoặc sau thông điệp sẽ đem lại những tín hiệu mạnh mẽ hơn đối với người tiếp nhận truyền thông. COSO tóm lược yếu tố truyền thông này như sau: “Một thực thể có bề dày thành tích, lịch sử hoạt động chính trực, các cá nhân có hiểu biết tốt về văn hóa của công ty, dường như sẽ ít có khó khăn trong truyền thông những thông điệp của họ. Một thực thể không có những yếu tố truyền thống dường như sẽ cần phải nỗ lực hơn để tuyên truyền thông điệp của đơn vị.”

(e) Giám sát

Trong khi hệ thống kiểm soát nội bộ sẽ hoạt động hiệu lực với những hỗ trợ từ nhà quản lý, thủ tục kiểm soát và mối quan hệ giữa thông tin và truyền thông thì các quá trình này phải phải được giám sát. Giám sát đã từ lâu là vai trò của kiểm toán viên nội bộ. Các kiểm toán viên nội bộ thực hiện đánh giá để xem xét sự tuân thủ với những thủ tục đã thiết lập. Tuy nhiên, COSO đã đưa ra quan điểm rộng hơn đối với hoạt động giám sát. Cụ thể, KSNB theo COSO ghi nhận các thủ tục kiểm soát và những hệ thống khác thay đổi theo thời gian. Những gì xuất hiện sẽ trở nên hiệu lực khi nó được thiết lập đầu tiên nhưng có thể không hiệu lực trong tương lai.

Một quá trình giám sát nên được thiết lập phù hợp để đánh giá hiệu lực của các yếu tố KSNB và để đưa ra hành động sửa chữa khi không phù hợp. Trong khi những hệ thống như vậy nêu lên vai trò quan trọng của kiểm toán viên nội bộ thì yếu tố kiểm soát nội bộ này không thể bị loại bỏ riêng chỉ đối với các kiểm toán


viên nội bộ khi nhà quản lý không chú ý tới những vấn đề kiểm soát tiềm tàng khác. Một doanh ngiệp cần thiết lập một hoạt động giám sát đa dạng để đo lường hiệu lực của KSNB. Nó có thể thực hiện từ những đánh giá riêng rẽ cũng như là các hoạt động đang diễn ra để giám sát hoạt động và đưa ra hành động sửa chữa khi được yêu cầu.

Nhiều chức năng kinh doanh có thể mang đặc điểm như hoạt động giám sát. Mặc dù các kiểm toán viên nội bộ thường không nghĩ như vậy về chức năng này nhưng COSO đưa ra những ví dụ về yếu tố giám sát đang thực hiện của hoạt động kiểm soát như:

(i) Chức năng thông thường của quản trị hoạt động: Nhà quản lý thông thường đánh giá các hoạt động và báo cáo tài chính cấu thành hoạt động giám sát quan trọng. Tuy nhiên, đểm chú ý đặc biệt là những yếu tố ngoại trừ được báo cáo và những độ lệch hoạt động kiểm soát tiềm tàng;

(ii) Truyền thông từ những đối tác bên ngoài: Đây là yếu tố có quan hệ rất gần với yếu tố truyền thông từ những đối tác bên ngoài đã phân tích ở phần trên. Truyền thông bên ngoài đo lường hoạt động giám sát, chẳng hạn một số điện thoại khách hàng phàn nàn, là quan trọng. Tuy nhiên, doanh nghiệp cần giám sát chặt chẽ những cuộc gọi và cần có hành động sửa chữa đầu tiên khi cần thiết.

(iii) Cấu trúc doanh ngiệp và hoạt động giám sát: Trong khi nhà quản lý cấp cao thường đánh giá các báo cáo tóm tắt và thực hiện những hành động sửa chữa thì ở cấp giám sát đầu tiên và cấu trúc doanh nghiệp thường thực hiện thêm những vai trò quan trọng trong giám sát. Ví dụ, giám sát trực tiếp đối với những hoạt động văn phòng nên đánh giá theo chỗi hoạt động và sửa chữa sai sót ở mức thấp hơn và đảm bảo cải thiện hoạt động văn phòng. COSO nhấn mạnh vào vai trò của phân chia trách nhiệm phù hợp. Chia trách nhiệm giữa nhân viên cho phép họ duy trì sự giám sát bằng cách kiểm tra những người khác.

(iv) Hàng tồn kho và chỉnh hợp tài sản: Kiểm kê định kỳ hàng tồn kho, chứng khoán hoặc những tài sản vật chất khác là hoạt động giám sát quan trọng.

Trong khi KSNB theo quan điểm của COSO chỉ ra tầm quan trọng của hoạt


động giám sát kiểm soát nội bộ thì nó cũng đề xuất “nó có thể sẽ hữu ích để đem tới một cái nhìn trong sáng theo thời gian” về hiệu lực của KSNB từ những đánh giá riêng rẽ. Tần suất và bản chất của những đánh giá riêng rẽ phụ thuộc vào sự mở rộng đối với bản chất của doanh nghiệp và mức độ quan trọng của rủi ro phải kiểm soát. Nhà quản trị có thể muốn thực hiện một đánh giá ban đầu đối với môi trường kiểm soát nội bộ định kỳ nhưng kiểm toán nội bộ cần thực hiện nhiều đánh giá ban đầu đối với những lĩnh vực kiểm soát cụ thể. Những đánh giá này thường được tiến hành đầu tiên khi có một hoạt động mua sắm tài sản cố định, một sự thay đổi trong kinh doanh hoặc một số hoạt động quan trọng khác.

COSO cũng nhấn mạnh vào những đánh giá có thể được thực hiện bởi nhà quản trị trực tiếp tới những đánh giá bản thân. Kiểm toán nội bộ không yêu cầu thực hiện những đánh giá này trừ khi có yêu cầu và thời gian xem xét có thể là trước khi kiểm toán nội bộ có kế hoạch đánh giá thông thường tại một số lĩnh vực hoạt động. Tuy nhiên, nhà quản trị có trách nhiệm cần xem xét lịch trình và thực hiện những đánh giá cá nhân trên cơ sở những nguyên tắc cơ bản. Những đánh giá nội bộ có thể chỉ ra những vấn đề kiểm soát nội bộ tiềm tàng và là nguyên nhân dẫn tới nhà quản trị thực hiện những hành động sửa chữa. Bởi vì tự đánh giá bản thân thường không toàn diện như những đánh giá của kiểm toán nội bộ thông thường nên bước đánh giá sau khi lập báo cáo của kiểm toán viên nội bộ hoặc những đánh giá khác có thể được thực hiện nếu những vấn đề nghiêm trọng tiềm ẩn có thể diễn trong khi tự đánh giá bản thân bị giới hạn.

Hướng dẫn KSNB theo COSO chỉ ra một quá trình đánh giá đối với hoạt

động kiểm soát nội bộ. Người thực hiện đánh giá nên:

(1) Phát triển sự hiểu biết về thiết kế hệ thống kiểm soát;

(2) Kiểm tra những hoạt động kiểm soát then chốt;

(3) Phát triển các kết luận dựa trên những kết quả kiểm tra.

Thực hiện theo trình tự trên thực chất là thực hiện quá trình kiểm toán nội bộ. COSO cũng đề cập tới việc so sánh với tiêu chuẩn (benchmarking) như là một cách tiếp cận thay thế. So sánh với tiêu chuẩn là một quá trình so sánh những quá trình và thủ tục kiểm soát của doanh nghiệp với những doanh nghiệp tương tự hoặc cũng


có thể so sánh với số liệu thông tin của ngành. Cách tiếp cận này sẽ thuận lợi đối với một số trường hợp đo lường nhưng cũng có thể tạo ra những nguy cơ cho phương thức đo lường khác.

KSNB theo COSO xác nhận có nhiều thủ tục hiệu lực cao nhưng không chính thức hoặc không được văn bản hóa. Tuy nhiên, những hoạt động kiểm soát này có thể được kiểm tra và đánh giá theo cách tương tự như những thủ tục được văn bản hóa. Đánh giá của các kiểm toán viên nội bộ về hệ thống kiểm soát tài chính nội bộ của doanh nghiệp sẽ yêu cầu một mức độ chắc chắn để xem xét những mức độ của tài liệu hệ thống như là một phận của công việc đánh giá. Nếu một quá trình tồn tại là không khuôn mẫu, không được văn bản hóa nhưng lại hiệu lực thì việc đánh giá sẽ cần thiết để chuẩn bị những tài liệu đánh giá để giải thích quá trình đã hoạt động như thế nào và bản chất của hoạt động kiểm soát nội bộ đã thực hiện.

Trong trường hợp kiểm soát tồn tại những thiếu sót và được phát hiện, những thiếu sót này cần được báo cáo cho những nhà quản lý phù hợp của doanh nghiệp. Vấn đề thường đặt ra cho kiểm toán viên nội bộ là xác định báo cáo những gì trong trường hợp có nhiều thông tin chi tiết có thể bị ảnh hưởng và báo cáo trực tiếp cho ai. KSNB theo COSO cho rằng “tất các những thiếu sót kiểm soát nội bộ có thể ảnh hưởng tới việc đạt được mục tiêu của thực thể kinh doanh nên chúng cần được báo cáo cho những người có thể thực hiện hành động cần thiết”. Đây là một thông điệp rõ ràng nhưng khó có thể thực hiện. Doanh nghiệp hiện đại ngày nay sẽ không có vấn đề gì nếu được tổ chức tốt nhưng sẽ mắc sai lầm nếu có nhiều thiếu sót hoặc sai sót của KSNB. KSNB theo COSO đề xuất phải nhận diện những thiếu sót và báo cáo chúng, đồng thời có thể thực hiện điều tra để hiểu bản chất nếu chúng là nguyên nhân của những thiếu sót kiểm soát tổng thể.

Hướng dẫn KSNB của COSO kết luận bằng việc thảo luận về việc báo cáo những thiếu sót của kiểm soát nội bộ cho ai trong doanh nghiệp. Trong đoạn hướng dẫn, KSNB theo COSO cung cấp hướng dẫn hữu ích cho hoạt động đánh giá như sau: “Những phát hiện về thiếu sót hoạt động kiểm soát nội bộ nên được báo cáo không chỉ cho cá nhân chịu trách nhiệm đối với chức năng ấy hoặc hoạt động liên quan, người ở vị trí thực hiện hành động sửa chữa, mà còn hướng tới ít nhất một cấp

..... Xem trang tiếp theo?
⇦ Trang trước - Trang tiếp theo ⇨

Ngày đăng: 28/04/2022