Luận án tiến sĩ kinh tế mối quan hệ giữa kiểm soát nội bộ, rủi ro gian lận và lập kế hoạch kiểm toán trong kiểm toán báo cáo tài chính

BỘ GIÁO DỤC VÀ ĐÀO TẠO MỐI QUAN HỆ GIỮA KIỂM SOÁT NỘI BỘ, RỦI RO GIAN LẬN VÀ LẬP KẾ HOẠCH KIỂM TOÁN BÁO CÁO TÀI CHÍNH LUẬN ÁN TIẾN SĨ KẾ TOÁN, KIỂM TOÁN VÀ PHÂN TÍCH Hà Nội, 2015 BỘ GIÁO DỤC VÀ ĐÀO TẠ[.]



MỐI QUAN HỆ GIỮA KIỂM SOÁT NỘI BỘ, RỦI RO GIAN LẬN VÀ LẬP KẾ HOẠCH KIỂM TOÁN

BÁO CÁO TÀI CHÍNH

LUẬN ÁN TIẾN SĨ KẾ TOÁN, KIỂM TOÁN VÀ PHÂN

TÍCH



MỐI QUAN HỆ GIỮA KIỂM SOÁT NỘI BỘ, RỦI RO GIAN LẬN VÀ LẬP KẾ HOẠCH KIỂM TOÁN

BÁO CÁO TÀI CHÍNH

Chuyên ngành : Kế toán - Kiểm toán và Phân tích

LUẬN ÁN TIẾN SĨ KẾ TOÁN, KIỂM TOÁN VÀ PHÂN

TÍCH

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình khoa học của riêng cá nhân tôi Các sốliệu, kết quả nêu trong luận án này là trung thực và có nguồn gốc rõ ràng

Tác giả

Tác giả xin bày tỏ lòng biết ơn sâu sắc đến quý thầy cô trong Bộ môn Kiểmtoán, Viện Kế toán- Kiểm toán – Trường Đại học Kinh tế Quốc dân đã đóng góp ýkiến sửa chữa Luận án, cảm ơn quý Thầy Cô của Viện Đào Tạo sau đại học đã tạođiều kiện giúp đỡ Tác giả trong quá trình học tập tại Trường.

Tác giả xin bày tỏ lòng biết ơn sâu sắc đến các đồng nghiệp khoa Kế Kiểm toán – Học Viện ngân hàng đã giúp đỡ động viên trong suốt thời giannghiên cứu

toán-Cuối cùng, tác giả bày tỏ sự cảm ơn tới những người thân trong gia đình:Cha, mẹ, anh, chị, em, vợ và các con đã động viên khích lệ tác giả trong suốt quátrình nghiên cứu và hoàn thành luận án

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CẢM ƠN ii

DANH MỤC CHỮ VIẾT TẮT vi

PHẦN MỞ ĐẦU 1

1 Sự cần thiết của nghiên cứu 1

2 Mục đích nghiên cứu của luận án 4

3 Đối tượng và phạm vi nghiên cứu 5

4 Những đóng góp mới của luận án 5

5 Bố cục của luận án 6

CHƯƠNG 1: LÝ LUẬN CHUNG VỀ KIỂM SOÁT NỘI BỘ, RỦI RO GIAN LẬN VÀ LẬP KẾ HOẠCH KIỂM TOÁN 7

1.1 Kiểm soát và kiểm soát nội bộ 7

1.1.1 Khái niệm kiểm soát 7

1.1.2 Phân loại kiểm soát 9

1.2 Kiểm soát nội bộ và cơ sở thiết lập kiểm soát nội bộ 9

1.2.1 Khái niệm kiểm soát nội bộ .9

1.2.2 Cơ sở cho việc thiết lập kiểm soát nội bộ 12

1.3 Các thành phần của kiểm soát nội bộ theo khuôn mẫu của COSO 23

1.3.1 Môi trường kiểm soát 23

1.3.2 Đánh giá rủi ro 24

1.3.3 Các hoạt động kiểm soát 25

1.3.4 Thông tin và truyền thông 27

1.3.5 Giám sát 28

1.4 Gian lận và các yếu tố rủi ro có thể dẫn tới gian lận báo cáo tài chính 28

1.4.1 Gian lận báo cáo tài chính 28

1.4.2 Các nhân tố rủi ro dẫn đến hành vi gian lận - tam giác gian lận 30

1.4.3 Trách nhiệm của Ban Giám đốc và kiểm toán viên với gian lận 33

1.5 Lập kế hoạch kiểm toán báo cáo tài chính 35

1.6 Mối quan hệ giữa đánh giá kiểm soát nội bộ, rủi ro gian lận và lập kế hoạch kiểm toán 38

1.6.1 Bản chất của xét đoán trong kiểm toán 38

1.6.2 Lý thuyết về xét đoán ra quyết định chủ quan 39

1.6.3 Mối quan hệ giữa đánh giá kiểm soát nội bộ, rủi ro gian lận và lập kế

hoạch kiểm toán báo cáo tài chính 41

TÓM TẮT CHƯƠNG 1 44

CHƯƠNG 2: TỔNG QUAN NGHIÊN CỨU VÀ PHÁT TRIỂN GIẢ THUYẾT 45 2.1 Tổng quan nghiên cứu liên quan và phát triển giả thuyết 45

2.1.1 Mối quan hệ giữa kiểm soát nội bộ và gian lận báo cáo tài chính 45

2.1.2 Mối quan hệ giữa kiểm soát nội bộ và lập kế hoạch kiểm toán 51

2.1.3 Các nhân tố rủi ro có thể dẫn tới gian lận và lập kế hoạch kiểm toán 60

TÓM TẮT CHƯƠNG 2 65

CHƯƠNG 3: PHƯƠNG PHÁP NGHIÊN CỨU 66

3.1 Thiết kế nghiên cứu 66

3.1.1 Phương pháp nghiên cứu 66

3.1.2 Quy trình nghiên cứu 67

3.2 Nghiên cứu định tính 68

3.2.1 Các bước nghiên cứu định tính 68

3.2.2 Kết quả nghiên cứu định tính 69

3.3 Nghiên cứu định lượng sơ bộ 85

3.3.1 Phương pháp đánh giá độ tin cậy thang đo 85

3.3.2 Kết quả nghiên cứu sơ bộ định lượng 87

TÓM TẮT CHƯƠNG 3 90

CHƯƠNG 4: KIỂM ĐỊNH GIẢ THUYẾT VÀ KẾT QUẢ NGHIÊN CỨU 91

4.1 Nghiên cứu định lượng chính thức 91

4.1.1 Thống kê mô tả mẫu nghiên cứu 91

4.1.2 Đánh giá độ tin cậy của thang đo 93

4.2 Kiểm định giả thuyết 97

4.2.1 Kiểm soát nội bộ và gian lận báo cáo tài chính 97

4.2.2 Đánh giá Kiểm soát nội bộ và lập kế hoạch kiểm toán 99

4.2.3 Kiểm toán viên có thực hiện đánh giá các nhân tố rủi ro có thể dẫn tới gian lận không và có thực hiện sửa đssổi kế hoạch kiểm toán đối với các nhân tố rủi ro gian lận được đánh giá không 107

TÓM TẮT CHƯƠNG 4 113

CHƯƠNG 5: PHÂN TÍCH KẾT QUẢ NGHIÊN CỨU VÀ KHUYẾN NGHỊ 114 5.1 Những hạn chế của kiểm soát nội bộ trong doanh nghiệp 114

5.1.1 Hạn chế về môi trường kiểm soát 114

5.1.2 Hạn chế trong đánh giá rủi ro 116

5.1.3 Hạn chế trong hệ thống thông tin truyền thông 118

5.1.4 Hạn chế trong các hoạt động kiểm soát 120

5.1.5 Hạn chế trong giám sát kiểm soát nội bộ 121

5.2 Hạn chế trong việc đánh giá kiểm soát nội bộ, đánh giá các nhân tố rủi ro có thể dẫn tới gian lận làm cơ sở lập kế hoạch trong quá trình kiểm toán báo cáo tài chính 122

5.2.1 Hạn chế trong đánh giá kiểm soát nội bộ làm cơ sở cho việc lập kế hoạch kiểm toán 122

5.2.2 Hạn chế trong việc đánh giá các nhân tố rủi ro có thể dẫn tới gian lận và lập kế hoạch kiểm toán 125

5.3 Nguyên nhân dẫn tới những tồn tại trong kiểm soát nội bộ, đánh giá kiểm soát nội bộ và các nhân tố rủi ro có thể dẫn tới gian lận trong lập kế hoạch chương trình kiểm toán 126

5.4 Sự cần thiết phải hoàn thiện đối với kiểm soát nội bộ trong các doanh nghiệp, xét đoán kiểm soát nội bộ và các nhân tố rủi ro có thể dẫn tới gian lận của các kiểm toán viên và doanh nghiệp kiểm toán 128

5.5 Một số khuyến nghị 129

5.5.1 Đối với doanh nghiệp được kiểm toán 129

5.5.2 Một số khuyến nghị tới các doanh nghiệp kiểm toán và các kiểm toán viên 135

5.5.3 Một số khuyến nghị đối với các cơ quan chức năng 139

Kết luận và hạn chế nghiên cứu 141 DANH MỤC TÀI LIỆU THAM KHẢO

PHỤ LỤC

AICPA American Institute of Certified Public Accountants

BCTC Báo cáo tài chính

COBIT Control Objectives for information and related Technology

COSO Committee of sponsoring Organizations

Hiệp hội các tổ chức bảo trợ

HĐQT Hội đồng quản trị

IASB International Accounting Standards Board

Ủy ban Chuẩn mực kiểm toán quốc tế

IFAC International Federation of Accountants

Liên đoàn kế toán quốc tế

IFRS International Financial reporting Standards

Chuẩn mực quốc tế về lập báo cáo tài chính

ISACF Information System Audit and control Foundation

ISACS

KTV

information system audit and control association

Kiểm toán viên

ITGI information technology governance institute

KSNB Kiểm soát nội bộ

KTNB Kiểm toán nội bộ

KTTC Kiểm toán tài chính

PCAO

B

Public company accounting oversight board

Ủy ban giám sát kiểm toán các công ty đại chúng

SAC Systems Auditability and control

SAS Statement on auditing Standards

SEC U.S Securities and Exchange Commision

Ủy Ban chứng khoán mỹ

UBCK Ủy ban chứng khoán Nhà nước

Bảng 3.3: Thang đo đánh giá rủi ro 79

Bảng 3.4 Thang đo thành phần thông tin- truyền thông 80

Bảng 3.5: Thang đo hoạt động kiểm soát 81

Bảng 3.6: Thang đo thành phần giám sát kiểm soát 82

Bảng 3.7: Thang đo lập kế hoạch kiểm toán 82

Bảng 3.8: Danh mục các nhân tố rủi ro có thể dẫn tới gian lận 83

Bảng 3.9: Kết quả thang đo định lượng sơ bộ 88

Bảng 4.1: Thống kê mô tả mẫu nghiên cứu 92

Bảng 4.2: Kết quả đánh giá độ tin cậy thang đo qua Cronbach Alpha 93

Bảng 4.3: Kết quả đánh giá độ tin cậy của thang đo qua phân tích nhân tố khám phá EFA 96

Bảng 4.4: Kết quả khảo sát mối quan hệ giữa kiểm soát nội bộ và gian lận báo cáo tài chính trong doanh nghiệp 98

Bảng 4.5: Kết quả khảo sát kiểm soát nội bộ không thể ngăn chặn được nguy cơ xảy ra gian lận 99

Bảng 4.6: Kết quả kiểm định giả thuyết KTV không đánh giá môi trường kiểm soát 100

Bảng 4.7: Kết quả kiểm định giả thuyết kiểm toán viên không đánh giá thành phần đánh giá rủi ro trong quá trình thực hiện kiểm toán 101

Bảng 4.8: Kết quả kiểm định giả thuyết KTV không đánh giá thành phần thông tin truyền thông trong quá trình thưc hiện kiểm toán 102

Bảng 4.9: Kết quả kiểm định giả thuyết kiểm toán viên không đánh giá thành phần hoạt động kiểm soát trong quá trình thực hiện kiểm toán 102

Bảng 4.10: Kết quả kiểm định giả thuyết kiểm toán viên không đánh giá thành phần giám sát trong quá trình thực hiện kiểm toán 103

Bảng 4.11: Bảng tóm tắt kết quả mô hình hồi quy 105

Bảng 4.12: Kết quả khảo sát đánh giá tầm quan trọng của các nhân tố rủi ro 108

có thể dẫn tới gian lận 108

Bảng 5.1: Những tồn tại trong môi trường kiểm soát 115

Bảng 5.2: Những tồn tại trong đánh giá rủi ro 117

Bảng 5.3: Những tồn tại trong hệ thống thông tin truyền thông 119

Bảng 5.4: Những tồn tại trong hoạt động kiểm soát 120

Bảng 5.5: Những tồn tại trong giám sát kiểm soát nội bộ 121

DANH MỤC HÌNH

Hình 1.4: Mô hình tam giác gian lận của Cressey (1953) 33 Hình 2.1: Tam giác kiểm toán độc lập 57

PHẦN MỞ ĐẦU

1 Sự cần thiết của nghiên cứu

Từ đầu những năm 1990 trở về đây trên thế giới đã xảy ra rất nhiều vụ bêbối tài chính mà hậu quả của những vụ bê bối này đã gây thiệt hại rất lớn đến cácnhà đầu tư, cho chính bản thân doanh nghiệp, và cho nền kinh tế các nước như các

vụ bê bối của: Erron, WorldCom, Parmalat, Huyndai, Lehman Brothers……TạiViệt nam kể từ khi thị trường chứng khoán bắt đầu đi vào hoạt động từ năm 2000cũng đã có nhiều vụ bê bối tài chính liên quan đến các công ty niêm yết trên thịtrường chứng khoán như: Bông bạch Tuyết, Dược Viễn đông, Vinashin….Đã cónhiều nhà nghiên cứu tìm hiểu, khám phá bản chất và nguyên nhân dẫn đến những

vụ bê bối trên Các kết quả nghiên cứu đều đi đến kết luận một trong những nguyênnhân quan trọng của các vụ bê bối là do các hành vi gian lận trong việc cung cấpthông tin minh bạch tình hình tài chính và đây là một hệ quả yếu kém của: Cấu trúc

bộ máy quản trị, Văn hóa doanh nghiệp - các giá trị đạo đức, phạm vi hoạt động của kiểm soát nội bộ đối với việc ngăn ngừa-phát hiện gian lận Kristina (2012) [76] và kinh nghiệm đánh giá của kiểm toán viên độc lập đối với gian lận và lập

kế hoạch kiểm toán Beasley et al (2000) [56]

Trên thế giới vai trò của kiểm soát nội bộ trong việc ngăn ngừa, phát hiệngian lận đã được nhiều nhà nghiên cứu tìm hiểu và minh chứng Theo Kadir (2012)[78] thì các kiểm soát nội bộ luôn được thiết kế để giảm thiểu khả năng xảy ra rủi ro

có thể dẫn tới gian lận Roth và Espersen ( 2003) [92] trong một nghiên cứu vềkiểm soát nội bộ với gian lận trong các Ngân hàng tại Iran đã kết luận kiểm soát nội

bộ được coi là một công cụ hữu hiệu đảm bảo cho việc phát hiện, ngăn ngừa các rủi

ro gian lận có thể xảy ra trong quá trình đạt được mục tiêu của các tổ chức Abiola(2009) [44] đã nghiên cứu tác động của kiểm soát nội bộ trong lĩnh vực ngân hàngtại Nigeria Kết quả của phân tích cho thấy các chức năng ngăn ngừa, phát hiện vàkiểm soát gian lận là có mối quan hệ tương hỗ với nhau và kiểm soát nội bộ là mộtcông cụ quan trọng trong việc ngăn ngừa và phát hiện gian lận trong lĩnh vực ngânhàng tại Nigeria

Nhận thấy được tầm quan trọng của kiểm soát nội bộ, năm 1992 Coso đã

công bố một báo cáo với tiêu đề “ Kiểm soát nội bộ- Một khuôn khổ hợp nhất”

Mục tiêu của báo cáo này nhằm định nghĩa kiểm soát nội bộ, mô tả các thành phầncủa kiểm soát nội bộ, cung cấp các tiêu chuẩn và các công cụ hỗ trợ cho việc đánhgiá kiểm soát nội bộ và trọng tâm chính của kiểm soát nội bộ là một quá trình chịuảnh hưởng bởi Ban giám đốc, các nhà quản lý và các thành viên khác trong tổ chứctheo Coso thì kiểm soát nội bộ được thiết kế để cung cấp sự đảm bảo hợp lý liênquan đến việc đạt được các loại mục tiêu: Hiệu quả và hiệu lực của hoạt động; Sựtin cậy của báo cáo tài chính; Tuân thủ pháp luật và các quy định liên quan ( Coso1992) [58]

Báo cáo của Coso đã nhấn mạnh hệ thống kiểm soát nội bộ là một phươngsách của quản lý, báo cáo này đã trở thành các tiêu chuẩn mà rất nhiều tổ chức theođuổi mong muốn hướng tới trong hoạt động kinh doanh của mình (Knechel, 2007)[79,80] Cho đến nay có rất ít những phản bác về định nghĩa kiểm soát nội bộ củaCoso, định nghĩa này đã được thừa nhận rộng rãi và là cơ sở định nghĩa về kiểmsoát nội bộ trong các quy định ngày nay Báo cáo của Coso cũng quy định rõ việcthiết kế kiểm soát nội bộ, ngăn ngừa, phát hiện gian lận là thuộc trách nhiệm trực tiếpcủa Ban giám đốc đơn vị được kiểm toán (IAS, VAS 315; IAS, VAS 240) [4, 5]

Cùng với trách nhiệm thiết lập kiểm soát nội bộ Ban giám đốc cũng đồngthời chịu trách nhiệm về việc lập và trình bày trung thực báo cáo tài chính cho đơn

vị của mình Tuy nhiên, để đảm bảo được tính khách quan của số liệu đưa ra trênbáo cáo tài chính tới các đối tương quan tâm thì thông tin và số liệu trên báo cáo tàichính cần phải được xác minh bởi kiểm toán độc lập Mục đích chính của kiểm toánbáo cáo tài chính của kiểm toán độc lập là làm tăng độ tin cậy của người sử dụngđối với báo cáo tài chính, thông qua việc kiểm toán viên đưa ra ý kiến về việc liệubáo cáo tài chính có được lập, trên các khía cạnh trọng yếu, phù hợp với khuôn khổ

về lập và trình bày báo cáo tài chính được áp dụng hay không Để thực hiện đượcmục tiêu này trong quá trình thực hiện kiểm toán các kiểm toán viên cần lập kếhoạch kiểm toán nhằm hướng tới cuộc kiểm toán có hiệu quả nhất Căn cứ để lập

kế hoạch kiểm toán là việc kiểm toán viên cần tìm hiểu về tình hình hoạt động kinh

doanh của đơn vị trong đó có kiểm soát nội bộ để từ đó thiết kế thời gian, nhân sự

và phạm vi các thủ tục kiểm toán nhằm đạt được các mục tiêu kiểm toán đã đặt ra.Bên cạnh đó để có thể xác định được trọng tâm của các rủi ro có thể có gian lậntrọng yếu xảy ra trong quá trình thực hiện kiểm toán viên cần phải xét tới nhữngnhân tố rủi ro có thể dẫn tới gian lận trong doanh nghiệp Theo Chuẩn mực kiểm

toán Việt nam 315 thì kiểm toán viên và doanh nghiệp kiểm toán cần “xác định và

đánh giá rủi ro có sai sót trọng yếu do gian lận hoặc nhầm lẫn ở cấp độ báo cáo tài chính và cấp độ cơ sở dẫn liệu, thông qua hiểu biết về đơn vị được kiểm toán và môi trường của đơn vị, trong đó có kiểm soát nội bộ, từ đó cung cấp cơ sở cho việc thiết kế và thực hiện các biện pháp xử lý đối với rủi ro có sai sót trọng yếu đã được đánh giá” Việc đánh giá kiểm soát nội bộ, rủi ro gian lận và lập kế hoạch kiểm

toán đòi hỏi các kiểm toán viên phải sử dụng rất nhiều xét đoán chuyên môn (IAS,VSA325; IAS, VSA240) [4,5] Theo Trotman (1988) [105] thì xét đoán của kiểmtoán viên trong quá trình kiểm toán là một dạng hành vi ra quyết định Vì vậy, để cóthể có được những quyết định đúng trong quá trình kiểm toán các kiểm toán viêncần phải: được đào tạo bài bản, có những kiến thức về ngành nghề của khách hàng,kinh nghiệm và thái độ hoài nghi nghề nghiệp cũng như các phương pháp tiếp cậnkiểm toán phù hợp với thực tế tại đơn vị được kiểm toán Trên thực tế, kể từ khikiểm toán độc lập xuất hiện tại Việt nam từ năm 1991 đến nay đã xuất hiện nhiềunhững vụ bê bối liên quan đến chất lượng yếu kém của kiểm toán viên trong quátrình thực hiện như: Kiểm toán Báo cáo tài chính của Công ty Bông bạch tuyết;Dược Viễn đông; kiểm toán tập đoàn Vinashin… những yếu kém trong kiểm toánnày có nhiều nguyên nhân nhưng một trong những nguyên nhân quan trọng là sựyếu kém của kiểm soát nội bộ trong chính các đơn vị này và việc đánh giá về kiểmsoát nội bộ, rủi ro gian lận cũng như lập kế hoạch kiểm toán của các kiểm toán viêncòn hạn chế và chưa thực sự đáp ứng đúng yêu cầu của Chuẩn mực kiểm toán Vềmặt lý luận, tại Việt Nam cho đến này có rất ít các nghiên cứu về mối quan hệ giữađánh giá kiểm soát nội bộ, rủi ro gian lận và lập kế hoạch kiểm toán làm cơ sở choviệc cải thiện chất lượng kiểm toán từ đó cải thiện mức độ minh bạch hóa thông tintài chính của các doanh nghiệp

Xuất phát từ yêu cầu của các Chuẩn mực kiểm toán; tình hình thực tiễn và lý

luận tại Việt nam nêu trên NCS lựa chọn đề tài: “Mối quan hệ giữa: Kiểm soát nội

bộ, rủi ro gian lận và lập kế hoạch kiểm toán trong kiểm toán báo cáo tài chính”

2 Mục đích nghiên cứu của luận án

Mục đích chính của nghiên cứu là kiểm định mối quan hệ giữa việc đánh giákiểm soát nội bộ, đánh giá các nhân tố rủi ro gian lận, gian lận và việc lập kế hoạchkiểm toán Hay nói cách khác nghiên cứu chính của luận án là tìm ra giải đáp chocác câu hỏi sau:

(1) Kiểm toán viên có thực hiện đánh giá kiểm soát nội bộ trong quá trìnhthực hiện kiểm toán báo cáo tài chính không?

(2) KSNB yếu kém có phải là nguyên nhân chính dẫn tới các gian lận trongbáo cáo tài chính tại các doanh nghiệp không?

(3) Kiểm soát nội bộ trong các doanh nghiệp Việt nam hiện nay có ngănngừa được các nguy cơ có thể xảy ra gian lận trong báo cáo tài chính không?

(4) Việc đánh giá các thành phần của kiểm soát nội bộ có ảnh hưởng tới việclập kế hoạch kiểm toán báo cáo tài chính không?

(5) Các kiểm toán viên đang đánh giá mức độ quan trọng của các nhân tố rủi

ro có thể dẫn tới gian lận như thế nào?

(6) Kiểm toán viên có sửa đổi lập kế hoạch kiểm toán tương ứng với cácnhân tố rủi ro có thế dẫn tới gian lận được đánh giá không?

Mô hình nghiên cứu của Luận án

Ngoài các câu hỏi nghiên cứu chính trên, luận án cũng trình bày lý thuyết về

“ Ra quyết định chủ quan” liên quan đến việc xét đoán của kiểm toán viên đối vớikiểm soát nội bộ, rủi ro gian lận và lập kế hoạch kiểm toán làm cơ sở cho việc giải

Kiểm soát nội bô:

Môi trường kiểm soát

thích các hành vi trong quá trình thực hiện đánh giá trong kiểm toán Trên cơ sở kếtquả kiểm định các giả thuyết, luận án đưa ra những tồn tại trong kiểm soát nội bộcủa các doanh nghiệp hiện nay, thực trạng của việc đánh giá kiểm soát nội bộ làm

cơ sở cho việc lập kế hoạch kiểm toán; đánh giá các nhân tố rủi ro có thể dẫn tớigian lận và việc sửa đổi kế hoạch, chương trình kiểm toán tương ứng Từ đó luận ánđưa ra một số khuyến nghị với các doanh nghiệp được kiểm toán; doanh nghiệpkiểm toán và các cơ quan chức năng liên quan

3 Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu của luận án là “ Mối quan hệ giữa : kiểm soát nội bộ,rủi ro gian lận ( Bao gồm gian lận và các nhân tố rủi ro có thể dẫn tới gian lận) vàlập kế hoạch kiểm toán trong kiểm toán báo cáo tài chính Như vậy luận án nghiêncứu về việc đánh giá cá nhân của các kiểm toán viên trong quá trình hành nghềkiểm toán thực tế đối với kiểm soát nội bộ, gian lận, các nhân tố rủi ro có thể dẫntới gian lận và lập kế hoạch kiểm toán trong quá trình kiểm toán báo cáo tài chính

Phạm vi nghiên cứu của luận án là các kiểm toán viên đang hành nghề kiểmtoán tại Việt nam bao gồm: Các kiểm toán viên hành nghề trong các công ty kiểmtoán nước ngoài tại Việt Nam, các công ty của Việt Nam thuộc hãng kiểm toánquốc tế và các công ty kiểm toán của Việt nam

4 Những đóng góp mới của luận án

Thông qua nghiên cứu của mình tác giả đã có một số đóng góp mới về mặt lýluận và thực tiễn trong kiểm toán tại bối cảnh của Việt nam Cụ thể:

Về mặt lý luận: (1) Luận án làm rõ mối quan hệ giữa việc đánh giá các thànhphần của kiểm soát nội bội với việc lập kế hoạch kiểm toán (2) Nghiên cứu đã đưa

ra thang đo của 06 biến số phù hợp với bối cảnh nghiên cứu tại Việt nam thông qua

nghiên cứu định tính và đánh giá qua 02 bước nghiên cứu định lượng đó là: “Môi

trường kiểm soát; đánh giá rủi ro; các hoạt động kiểm soát; hệ thống thông tin truyền thông; giám sát kiểm soát nội bộ và lập kế hoạch kiểm toán” (3) Khám phá

mối quan hệ giữa việc đánh giá các nhân tố rủi ro có thể dẫn tới gian lận và lập kếhoạch kiểm toán

Về mặt thực tiễn: (1) Từ kết quả nghiên cứu cho thấy hiện nay kiểm toánviên có thực hiện đánh giá kiểm soát nội bộ trong quá trình kiểm toán (2) Kết quảkiểm định của nghiên cứu tác giả nhận thấy rằng việc đánh giá kiểm soát nội bộ của

các kiểm toán viên hiện nay chưa thực sự được coi là cơ sở quan trọng trong việclập kế hoạch chương trình kiểm toán hay nói cách khác việc đánh giá kiểm soát nội

bộ đôi khi chỉ mang tính thủ tục chưa có sự kết nối với việc xác định phạm vi củacác thủ tục kiểm toán tiếp theo (3) Khẳng định sự thiếu hụt của kiểm soát nội bộ lànguyên nhân chính dẫn tới gian lận báo cáo tài chính trong các doanh nghiệp củaViệt Nam; (4) Khẳng định doanh nghiệp với một hệ thống kiểm soát nội bộ tốt cóthể ngăn chặn được các nguy cơ xảy ra gian lận và sai sót trong quá trình lập vàtrình bày báo cáo tài chính;

Kết quả của luận án sẽ giúp cho các doanh nghiệp được kiểm toán và cáccông ty kiểm toán thấy được thực trạng của kiểm soát nội bộ và việc đánh giá kiểmsoát nội bộ hiện nay Để từ đó có những phương pháp thiết lập và duy trì kiểm soátnội bộ trong doanh nghiệp của mình Đối với kiểm toán viên phải thường xuyêntrau dồi các kỹ năng kinh nghiệm và sự hiểu biết của mình về khách hàng kiểm toánlàm cơ sở cho việc xét đoán để từ đó có thể sử dụng kết quả xét đoán thu thập đượccác bằng chứng đầy đủ và thích hợp cho các mục tiêu kiểm toán đặt ra Mặt khác,các kiểm toán viên cần nhận thấy được tầm quan trọng của việc tuân thủ các chuẩnmực chuyên môn trong quá trình hành nghề;

Luận án cũng đã giải thích rõ bản chất đầy đủ nhất của kiểm soát nội bộtrong một doanh nghiệp theo khuôn mẫu của Coso, đồng thời từ kết quả nghiên cứucho thấy việc cần thiết phải xây dựng một quy định về việc trình bày và duy trìkiểm soát nội bộ bắt buộc đối với các doanh nghiệp hiện nay

5 Bố cục của luận án

Để trình bày toàn bộ nội dung nghiên cứu của mình, bố cục của luận án đượcchia thành 05 thành phần chính:

Phần mở đầu

Chương 1: Lý luận chung về kiểm soát nội bộ, rủi ro gian lận và lập kế

hoạch kiểm toán

Chương 2: Tổng quan nghiên cứu và phát triển giả thuyết

Chương 3: Phương pháp nghiên cứu

Chương 4: Kết quả nghiên cứu và kiểm định giả thuyết

Chương 5: Phân tích Kết quả nghiên cứu và khuyến nghị

CHƯƠNG 1

LÝ LUẬN CHUNG VỀ KIỂM SOÁT NỘI BỘ, RỦI RO GIAN LẬN

VÀ LẬP KẾ HOẠCH KIỂM TOÁN

1.1 Kiểm soát và kiểm soát nội bộ

1.1.1 Khái niệm kiểm soát

Kiểm soát được xem xét là một chức năng quan trọng của các nhà quản lý,

kiểm soát được định nghĩa như là một quá trình “giữ cho mọi thứ đi đúng hướng”

( Merchant, 1985, tr1) [85] và được nhận biết như là một chức năng cuối cùng củaquá trình quản lý (Merchant, 1985, tr.2) [85] Theo Anthony et al (1989,tr.5)

[41,43] thì “ Kiểm soát là một quá trình hướng dẫn một tập hợp các thay đổi để đạt

được các mục tiêu dự kiến, kiểm soát là một khái niệm rộng và có thể sử dụng cho con người, mọi vật, các hoàn cảnh và tổ chức Trong tổ chức thì kiểm soát bao gồm các kế hoạch khác nhau và quá trình kiểm soát”.

Theo Simon (1995, tr.29) [94]“ Kiểm soát hàm ý rằng quản lý vốn là sự mâu

thuẫn giữa một mặt là việc không ngừng đổi mới với mặt khác là đạt được các mục tiêu dự tính, để cả hai mặt này đều được biến đổi tạo ra sự tăng trưởng lợi nhuận của tổ chức”

Anthony và Govindarajan ( 2004) [43] đã định nghĩa kiểm soát là “ Là quá

trình các nhà quản lý tác động tới các thành viên khác trong tổ chức để thực hiện mục tiêu của tổ chức” ( tr.7) Garrison và Noreen ( 2000) [65] đã đề xuất một khái

niệm khác về kiểm soát quản lý như sau “ Là các bước được thiết lập bởi các nhà

quản lý cố gắng làm tăng thêm khả năng có thể đạt được các mục tiêu đặt ra trong

kế hoạch và đảm bảo các bộ phận chức năng hoạt động đồng nhất với các chính sách trong tổ chức” ( tr378)

Theo GS.TS Nguyễn Quang Quynh (2008) [15,16] “ kiểm soát được hiểu là

tổng hợp các phương sách để hiểu và điều hành các đối tượng hoặc khách thể quản lý” PGS-TS Nguyễn Thị Phương Hoa (2011, tr 14) [17] cho rằng “kiểm soát là quá trình đo lường, đánh giá và tác động lên đối tượng kiểm soát nhằm bảo đảm mục tiêu, kế hoạch của tổ chức được thực hiện một cách có hiệu quả”

Kiểm soát trong tổ chức có thể được trình bày theo nhiều phương pháp, từviệc giám sát các chỉ dẫn tới việc phản hồi hệ thống, kiểm soát văn hóa và kiểm soát

xã hội ( Simon 1995, trang 5) [94] Nhiều nhà nghiên cứu đã thừa nhận rằng kiểm

soát là khác nhau đối với nhiều chủ thể khác nhau, Chua et al ( 1989, tr4) [60] đãđưa ra 03 khía cạnh nổi bật dễ nhận biết của kiểm soát là: (1) Kiểm soát như mộtphương thức định hướng hoặc điều khiển (2) Kiểm soát như một phương thức caitrị một người hoặc một nhóm người bởi một nhóm người khác (3) Kiểm soát làmột quá trình của việc giám sát quản lý.

Kiểm soát là cần thiết đối với bất kỳ tổ chức nào để giúp cho các hoạt độngđược triển khai theo đúng với các mục tiêu mà tổ chức đã đặt ra Kiểm soát được sửdụng như một phương thức để đảm bảo các thành phần tham gia tổ chức sẽ thựchiện những công việc mà tổ chức mong muốn Theo Merchant ( 1985, tr4) [85] thì

“ Kiểm soát được coi như là một chức năng của quản lý, ảnh hưởng liên quan đến hành vi của con người, bởi vì con người tạo ra mọi thứ trong tổ chức Hay nói cách khác, kiểm soát liên quan đến các nhà quản lý thực hiện một loạt các bước để đảm bảo rằng những người trong tổ chức sẽ làm những việc tốt nhất cho tổ chức” Có

một vài lý do dẫn đến sự cần thiết phải có kiểm soát: Sự thiếu hụt các hướng dẫn;các vấn đề về động cơ; giới hạn về con người ( Merchant, 1985) [85] Khi có mộtvấn đề kiểm soát các nhà quản lý sẽ đối diện với nó bằng các cách thức cụ thể như:giới hạn, tự động hóa, và chia sẻ rủi ro Kiểm soát lỏng lẻo có thể đưa lại nhiều bấtlợi đối với tổ chức như: sự thiếu hụt sản phẩm, nhân viên; khách hàng không hàilòng, không có khả năng cạnh tranh trên thị trường Việc kết hợp yếu kém ở phạm

vi các cấp độ trong tổ chức, cũng có thể là do việc kiểm soát nghèo nàn Có nhiềukiểm soát có thể có hại đối với tính hữu hiệu trong hoạt động của tổ chức Ví dụ:kiểm soát quá chặt có thể làm giảm mất sự linh động và động cơ của tổ chức, hoặc

có thể làm tăng chí phí hoạt động và áp lực đối với nhân viên Theo đó việc duy trìmột cân bằng tối ưu giữa tính nhất quán và sự linh hoạt trong quá trình kiểm soát làrất quan trọng và luôn là một nhiệm vụ chính khó khăn nhất đối với tổ chức

Quá trình kiểm soát về cơ bản bao gồm các bước cơ bản sau: (1) Định rõ cáckết quả mong muốn; (2) Thiết lập các dự báo kết quả; (3) Thiết lập các tiêu chuẩncủa các kết quả và dự báo; (4) Thiết lập mạng lưới thông tin và mạng lưới phản hồi;(5) Đánh giá thông tin và thực hiện các hoạt động sửa chữa (Stoner và Wankei,

1986 tr17) [97] Mỗi một quá trình kiểm soát đều yêu cầu một loạt các bước gồmcác mục tiêu cụ thể và các mục tiêu chung và đánh giá làm thế nào để có thể đạt

được các mục tiêu đó một cách hiệu quả nhất Theo Merchant ( 1982, tr42) [85] “

Sau khi đưa ra chiến lược, thiết lập được kết hoạch thì công việc tiếp theo của các nhà quản lý là phải thiết kế các thủ tục để đảm bảo các kế hoạch được thực hiện và nếu điều kiện cho phép thì các kế hoạch này có thể được sửa đổi”

1.1.2 Phân loại kiểm soát

Hoạt động kiểm soát trong một tổ chức rất đa dạng có thể được phân loạitheo nhiều tiêu thức khác nhau Theo PGS-TS Nguyễn Thị Phương Hoa (2011) [17]thì có thể phân biệt kiểm soát theo các tiêu thức sau:

Thứ nhất: Theo mức độ ảnh hưởng: Kiểm soát trực tiếp và kiểm soát tổng

quát Kiểm soát trực tiếp được xây dựng trên cơ sở đánh giá các yếu tố các bộ phậncấu thành hệ thống quản lý Kiểm soát tổng quát là sự kiểm soát tổng thể đối vớinhiều hệ thống, nhiều công việc khác nhau ( Tr 15)

Thứ hai: Theo nội dung: Kiểm soát tổ chức và kiểm soát kế toán Trong đó,

kiểm soát tổ chức được thiết lập nhằm đảm bảo sự tuân thủ và hữu hiệu của tổ chứcđối với các chính sách, các kế hoạch và cá quy định pháp luật hiện hành, bảo đảmcác hoạt động được diễn ra theo các mục tiêu quản lý; bảo đảm việc sử dụng nguồnlực một cách hợp lý Kiểm soát kế toán được thiết lập nhằm tập trung vào việc kiểmtra thông tin cung cấp cho việc ra quyết định Kiểm soát kế toán trợ giúp cho việcđảm bảo độ tin cậy, xác thực và đầy đủ của thông tin tài chính, thông tin nghiệp vụ

và là những biện pháp bảo vệ tài sản của đơn vị.( Tr 15)

Thứ ba: Theo thời điểm kiểm soát và thời điểm xảy ra nghiệp vụ có ba loại: Kiểm soát trước thực hiện, kiểm soát trong thực hiện và kiểm soát sau thực

hiện Trong đó, kiểm soát trước thực hiện diễn ra trước khi đối tượng kiểm soát thựchiện hoạt động, có mục tiêu ngăn ngừa sai phạm xảy ra Kiểm soát trong thực hiệnkhi đối tượng kiểm soát đang hoạt động, nhằm mục tiêu thu thập thông tin phản hồi

để có các biện pháp can thiêp kịp thời Kiểm soát sau thực hiện khi đối tượng kiểmsoát đã kết thúc hoạt động, nhằm mục đích đánh giá kết quả và đúc rút kinh nghiệm.( Tr16)

Thứ tư: Theo quan hệ giữa các thủ thể với khách thể: kiểm soát bao gồm

kiểm soát từ bên ngoài và kiểm soát nội bộ Trong đó, kiểm soát bên ngoài đượcthực hiện bởi các chủ thể bên ngoài còn kiểm soát nội bộ được thực hiện bởi cácchủ thể bên trong doanh nghiệp Tuy nhiên cách phân loại theo tiêu chí này chỉ cótính chất tương đối vì một đối tượng có thê vừa là chủ thể quản lý vừa là đối tượng

bị quản lý (Nguyễn Bình Ngọ, 2012) [22]

1.2 Kiểm soát nội bộ và cơ sở thiết lập kiểm soát nội bộ

1.2.1 Khái niệm kiểm soát nội bộ

Cách phân loại theo quan hệ giữa các chủ thể và khách thể thì kiểm soát bao

gồm kiểm soát bên ngoài và kiểm soát nội bộ ( KSNB) Cũng giống như khái niệmkiểm soát thì khái niệm kiểm soát nội bộ cũng là một khái niệm có ý nghĩa rộng đãđược nhiều nhà nghiên cứu và các tổ chức định nghĩa Việc sử dụng kiểm soát nội

bộ trong doanh nghiệp và trong kiểm toán đã được phát triển và không ngừng thay

đổi từ đầu thế kỷ 20 ( Heier et al, 2005) [74] Trong quá khứ thì khái niệm “kiểm

soát nội bộ” được giới hạn trong phạm vi “ Kiểm tra nội bộ”, vào những năm 1930

hệ thống kiểm tra nội bộ được định nghĩa như: là sự kết hợp của một hệ thống kiểmtra và các thủ tục phòng ban liên quan, trong đó một người thực hiện nghĩa vụ củamình một cách độc lập và kiểm tra công việc của người khác như là các nhân tố rõnét liên quan đến khả năng phát hiện ra các gian lận ( Sawyer et al ,2003) [98] Cáckhái niệm đầu tiên này đã chỉ ra tầm quan trọng của kiểm soát nội bộ trong việc trợgiúp để ngăn ngừa và phát hiện gian lận

Quan điểm của AICPA (1992) [58] đã mở rộng và định nghĩa kiểm soát nội

bộ là “việc lập kế hoạch của tổ chức và tất cả sự kết hợp các cách thức, đo lường

đựa thừa nhận trong phạm vi tổ chức để đảm bảo an toàn của tài sản, kiểm tra tính đúng đắn và tin cậy của các dữ liệu kế toán, thúc đẩy tính hữu hiệu của hoạt động, thúc đẩy sự tham gia các quy định trong tổ chức” Khái niệm của AICPA đã mở

rộng hơn rất nhiều so với các quan điểm trước đó về kiểm soát nội bộ, AICPA chorằng kiểm soát nội bộ không chỉ liên quan đến việc kiểm tra kế toán mà còn gắn liềnvới việc đảm bảo an toàn của tài sản, tuân thủ các quy định của đơn vị, giảm thiểurủi ro và đạt được các mục tiêu của tổ chức

Năm 1992 Coso [58] đã công bố một báo cáo với tiêu đề “ Kiểm soát nội bộ- Một khuôn khổ hợp nhất” Mục tiêu của báo cáo này nhằm định nghĩa kiểm

soát nội bộ, mô tả các thành phần của kiểm soát nội bộ, cung cấp các tiêu chuẩn vàcác công cụ hỗ trợ cho việc đánh giá kiểm soát nội bộ và trọng tâm chính của kiểm

soát nội bộ là một quá trình “ Kiểm soát nội bộ được định nghĩa như một quá trình,

chịu ảnh hưởng bởi Ban giám đốc, các nhà quản lý và các thành viên khác trong tổ chức, được thiết kế để cung cấp sự đảm bảo hợp lý liên quan đến việc đạt được các loại mục tiêu sau đây: Hiệu quả và hiệu lực của hoạt động; Sự tin cậy của báo cáo tài chính; Tuân thủ pháp luật và các quy định liên quan ( Coso 1992) Xuất phát từ các chức năng và các quá trình trong quản lý thì kiểm soát nội bộ bao gồm 05 thành phần chính sau: Môi trường kiểm soát; Đánh giá rủi ro; Giám sát; Các hoạt động kiểm soát và Thông tin và truyền thông” (Coso 1994 Tr 13) [58]

Báo cáo của Coso đã nhấn mạnh hệ thống kiểm soát nội bộ là một phương

sách của quán lý, báo cáo này đã trở thành các tiêu chuẩn mà rất nhiều tổ chức theođuổi mong muốn hướng tới trong hoạt động kinh doanh của mình (Knechel 2007)[79,80] Cho đến nay có rất ít những phản bác về định nghĩa kiểm soát nội bộ củaCoso, định nghĩa này đã được thừa nhận rộng rãi và là cơ sở định nghĩa về kiểmsoát nội bộ trong các quy định ngày nay Cụ thể:

Tại Mỹ Năm 1996 thì Hiệp hội về kiểm tra hệ thống thông tin và kết hợpkiểm soát ISACS ( information system audit and control association) và Viện quảntrị công nghệ thông tin ITGI ( information technology governance institute) đã banhành một bộ tiêu chuẩn quốc tế về quản lý công nghệ thông tin Cobit [101] CoBiTcung cấp cho các nhà quản lý, những người kiểm tra và những người sử dụng ITmột loạt các phép đo, dụng cụ đo, các quy trình và các hướng dẫn thực hành tốt nhất

để giúp họ tăng tối đa lợi nhuận thông qua việc sử dụng công nghệ thông tin và giúp

họ quản lý và kiểm soát IT trong công ty Mục đích của CoBiT là “nghiên cứu,

phát triển, quảng bá và xúc tiến một tập hợp các mục tiêu kiểm soát CNTT được chấp nhận phổ biến để các nhà quản lý doanh nghiệp và những người kiểm tra sử dụng hàng ngày” Cobit đã phát triển định nghĩa kiểm soát nội bộ dựa vào khuôn

khổ hợp nhất của Coso “ Là các chính sách, các thủ tục, công việc và cơ cấu tổ

chức được thiết kế để cung cấp sự đảm bảo hợp lý cho việc đạt được các mục tiêu trong kinh doanh và ngăn ngừa, phát hiện,sửa chữa những sự kiện xảy ra không mong muốn” ( Cobit 2000; 10) [101]

Ủy ban kiểm toán nội bộ của Mỹ ( Institute of internal auditors) đã đưa ramột báo cáo về nghiên cứu cơ sở của hệ thống kiểm tra và kiểm soát SAC( Research foundation’s System auditability and control) [101] Báo cáo này đãcung cấp những hướng dẫn cho việc sử dụng, quản lý và bảo vệ nguồn lực côngnghệ thông tin và thảo luận những ảnh hưởng đối với người sử dụng máy tính, viễnthông và những công nghệ mới ( Colbert et al 2005) [101] SAC đã đưa ra định

nghĩa về hệ thống kiểm soát nội bộ “ là một tập hợp các quá trình, chức năng, các

hoạt động, các phân hệ và nhân sự, những nhân sự trong tổ chức sẽ được nhóm lại hoặc phân công nhiệm vụ rõ ràng để có thể đạt được các mục tiêu mà tổ chức đặt ra” (Colbert el al 2005) [101]

Vào năm 2003 Ủy ban Chuẩn mực kiểm toán và các Dịch vụ đảm bảo quốc

tế ( IAASB-The internaltional Auditing and assurance Standard Board) thuộc liênđoàn Kế toán quốc tế (IFAC) đã ban hành một số chuẩn mực Kiểm toán mới trong

đó có Chuẩn mực ISA 315 [4] “ Hiểu biết tình hình kinh doanh, môi trường của

doanh nghiệp và đánh giá rủi ro có sai phạm trọng yếu” trên cơ sở đề cập một

cách toàn diện về khái niệm rủi ro trong kiểm toán Chuẩn mực này đã thay thế chocác Chuẩn mực trước đó như ISA 310 – Hiểu biết về hoạt động kinh doanh; ISA400- Đánh giá rủi ro và kiểm soát nội bộ [3] Quan điểm về kiểm soát nội bộ trongISA 315 đã có rất nhiều thay đổi so với các Chuẩn mực kiểm toán trước đó, và về

cơ bản là thừa nhận định nghĩa kiểm soát nội bộ theo khuôn mẫu của Coso “ KSNB

Là một quá trình được thiết kế và chịu sự chi phối của các nhà quản lý và các nhân viên trong một tổ chức nhằm cung cấp sự đảm bảo hợp lý về việc đạt được các mục tiêu liên quan đến độ tin cậy của báo cáo tài chính, hữu hiệu trong hoạt động, quản

lý và tuân thủ các quy định, luật lệ liên quan” Và kiểm soát nội bộ bao gồm 05 thành phần: Môi trường kiểm soát; đánh giá rủi ro; Các hoạt động kiểm soát; giám sát và thông tin truyền thông.

Mặc dù các định nghĩa trên về cơ bản bao gồm nhiều khía cạnh giống nhau,nhưng cũng có một vài điểm khác biệt Coso đã nhấn mạnh kiểm soát nội bộ nhưmột quy trình Cobit xem xét kiểm soát nội bộ như một quy trình gồm có các chínhsách, các thủ tục, nhiệm vụ và cơ cấu tổ chức trợ giúp cho các quá trình và mục tiêukinh doanh SAC đã nhấn mạnh kiểm soát nội bộ là một hệ thống Tuy nhiên chỉ cóbáo cáo của Coso là tập chung ở góc độ tổng thể doanh nghiệp còn các cơ sở khácchủ yếu tập chung vào một vài khía cạnh cụ thể trong thực tế hoạt động củadoanh nghiệp

1.2.2 Cơ sở cho việc thiết lập kiểm soát nội bộ

Trong những năm gần đây các kiểm toán viên, các nhà quản lý, kế toán viên

và các nhà hành pháp dành rất nhiều sự quan tâm tới việc xây dựng, thiết kế hệthống kiểm soát nội bộ Cho đến nay có 05 tài liệu quan trọng làm cơ sở cho việcthiết kế và vận hành kiểm soát nội bộ bao gồm: Khuôn khổ kiểm soát và kiểm tra hệthống thông tin- Cobit ( Controls objectives for information and relatedTechnology); Khuôn khổ kiểm tra, kiểm soát của Ủy ban kiểm toán nội bộ (IIA);Khuôn khổ hợp nhất kiểm soát nội bộ của Coso; Quản lý rủi ro – Một khuôn khổhợp nhất Coso (ERM) Và các chuẩn mực xem xét kiểm soát nội bộ trong thực hiệnkiểm toán báo cáo tài chính ( SAS 55; SAS 78; SAS 94 ) của AICPA [101]

Kiểm soát nội bộ theo khuôn khổ của COSO

Năm 1992 Coso đã công bố một báo cáo với tiêu đề “ Kiểm soát nội Một khuôn khổ hợp nhất” Mục tiêu của báo cáo này nhằm định nghĩa kiểm soát

bộ-nội bộ, mô tả các thành phần của kiểm soát bộ-nội bộ, cung cấp các tiêu chuẩn và cáccông cụ hỗ trợ cho việc đánh giá kiểm soát nội bộ và trọng tâm chính của báo cáo

này coi kiểm soát nội bộ là một quá trình và là một công cụ của quản lý Cho đếnnay có rất ít những phản bác về định nghĩa kiểm soát nội bộ của Coso, định nghĩanày đã được thừa nhận rộng rãi và là cơ sở định nghĩa về kiểm soát nội bộ trong cácquy định ngày nay

(*) Cơ sở cho việc thiết kế: Kiểm soát nội bộ được thiết lập sẽ hướng các

công ty vào kết quả kinh doanh, đạt được các mục tiêu của nó, và giảm thiểu nhữnghoạt động bất thường xảy ra trong quá trình hoạt động Kiểm soát nội bộ giúp chocác nhà quản lý thích ứng với sự thay đổi nhanh của môi trường cạnh tranh và môitrường kinh tế, sự thay đổi trong nhu cầu và những mong muốn của khách hàng, cấutrúc tăng trưởng trong tương lai Kiểm soát nội bộ thúc đẩy hiệu quả, giảm thiểu rủi

ro do thiếu hụt tài sản và trợi giúp trong việc đảm bảo lập báo cáo tài chính trung

thực cũng như tuân thủ các quy định và luật pháp liên quan ( Coso 1992) [58]

(*) Định nghĩa kiểm soát nội bộ: Kiểm soát nội bộ là một quá trình chịu

ảnh hưởng bởi Ban giám đốc, các nhà quản lý và các đối tượng khác, được thiết kế

để cung cấp sự đảm bảo hợp lý liên quan đến việc đạt được các mục tiêu: Sự tin cậycủa Báo cáo tài chính; Hiệu quả và hiệu lực của hoạt động và Tuân thủ pháp luật vàcác quy định liên quan

(*) Mục tiêu kiểm soát nội bộ của Coso: hiệu quả và hiệu lực của hoạt

động; Lập báo cáo tài chính tin cậy; Tuân thủ luật pháp và các quy định có liênquan (Colbert&Bowen, 1996.26) [101]

(*) Các thành phần kiểm soát nội bộ của Coso:

- Môi trường kiểm soát: Bao gồm các nhân tố như triết lý điều hành, phong

cách lãnh đạo, chính sách nhân sự, tính chính trực và các giá trị đạo đức, cơ cấu tổchức và sự tham gia của các nhà lãnh đạo trong đơn vị

- Đánh giá rủi ro: Bao gồm việc phân tích và nhận định rủi ro

Nhận định rủi ro bao gồm việc xem xét các nhân tố bên trong và bên ngoàinhư sau: Nhân tố bên ngoài : Sự phát triển của công nghệ, năng lực cạnh tranh vàthay đổi của nền kinh tế; Nhân tố bên trong: Chất lượng nguồn nhân lực, bản chấtcủa các hoạt động kinh doanh của đơn vị và đặc điểm của quá trình xử lý hệ thốngthông tin Phân tích rủi ro liên quan đến việc ước định những rủi ro trọng yếu có thểảnh hưởng đến hoạt động kinh doanh của doanh nghiệp, đánh giá khả năng xảy racủa rủi ro và xem xét các phương thức để quản lý các rủi ro đó

- Các hoạt động kiểm soát: Là các thủ tục, chính sách trợ giúp cho việc

đảm bảo các hướng dẫn của các nhà quản lý đều được thực hiện Hoạt động kiểmsoát bao gồm việc xem xét các hệ thống kiểm soát, kiểm soát vật chất, phân chia

trách nhiệm, và kiểm soát hệ thống thông tin.

- Thông tin và truyền thông: Doanh nghiệp phải có được hệ thống thông

tin truyền thông thích hợp trong toàn bộ tổ chức của mình Hệ thống thông tin đượcnhận biết, thu nhận ; báo cáo tài chính và thông tin trong hoạt động có ích cho việckiểm soát các hoạt động kinh doanh của mình

- Giám sát: Quản lý giám sát hệ thống kiểm soát thông qua việc xem xét

các kết quả đầu ra và các quy định hoạt động kiểm soát

Monitoring

Control Activities Risk Assessment Control Environment

Hình 1.1: Mô hình kiểm soát nội bộ của Coso (1992)

Quản lý rủi ro – Một khuôn khổ hợp nhất ( ERM)

Quản lý rủi ro doanh nghiệp theo một khuôn khổ hợp nhất ( ERM) cũngđược phát triển bởi Coso ( 2004) Đó là một quá trình được xây dựng trong mộtdoanh nghiệp và được ứng dụng để nhận biết rủi ro nhằm cung cấp sự đảm bảohợp lý đạt được các mục tiêu kinh doanh và mục tiêu báo cáo tài chính củadoanh nghiệp

Các thành phần của ERM cũng tương tự như thành phần của kiểm soát nội

bộ theo khuôn mẫu của Coso hệ thống này cũng bao gồm một môi trường nội bộgần giống như của môi trường kiểm soát của Coso Một trong những khâu quantrọng của ERM là thiết lập mục tiêu, trong đó bao gồm việc thiết lập các mục tiêukết quả kinh doanh của doanh nghiệp Chẳng hạn như các nhà quản lý có thể thiếtlập mục tiêu về lợi nhuận hoạt động, hoạt động trong một môi trường thân thiện,tuân thủ các quy định và pháp luật liên quan, bảo toàn vốn, hoặc để đem lại một nơilàm việc thực sự có danh tiếng và uy tín

Sau khi thiết lập mục tiêu thì bước tiếp theo của ERM là nhận biết các sựkiện có thể ảnh hưởng đến việc đạt được mục tiêu của doanh nghiệp bao gồm cả sựkiện bên trong và sự kiện bên ngoài Ví dụ như là sự thay đổi của công nghệ, tham

gia thị trường mới, nhân viên gian lận, mua bán – sáp nhập, thay đổi lãi suất…tất cảnhững bất lợi trên đều có thể ảnh hưởng tới việc đạt được các mục tiêu của doanhnghiệp đặt ra Mỗi một sự kiện trên sẽ được đánh giá trong một thời kỳ để kiểm soátcác rủi ro có thể xảy ra liên quan đến các sự kiện Đối với các rủi ro được đánh giácác nhà quản lý cần phải nhận biết và đưa ra các phương án thích hợp nhằm giảmthiểu hoặc chia sẻ rủi ro thông qua việc thiết kế các thủ tục kiểm soát thích hợp

ERM cũng giống như Coso cả hai khuôn khổ này đều nhấn mạnh tầm quantrọng của chất lượng và nguồn lực công nghệ thông tin, và đều yêu cầu các quytrình cần phải được giám sát liên tục

Sự khác biệt lớn nhất giữa ERM và khuôn khổ kiểm soát nội bộ của Cosochính là sự định hướng Khuôn khổ kiểm soát nội bộ của coso được miêu tả nhưmột sự kết hợp từ dưới lên trên, xem xét doanh nghiệp như một đơn vị riêng lẻ vớitập hợp các rủi ro đơn lẻ ERM được miêu tả như một sự kết hợp trong toàn doanhnghiệp, cho phép các phòng ban, các bộ phận có mục tiêu, rủi ro khác nhau vànhững phương án đối với các rủi ro Một danh mục các rủi ro sẽ được xem xét cho

cả các phòng ban, các đơn vị kinh doanh cũng như trong toàn doanh nghiệp Trongmột số trường hợp có thể coi ERM là một sự mở rộng của khuôn khổ kiểm soát nội

bộ của Coso và được ứng dụng cụ thể trong các hoạt động kinh doanh phức tạp

Bảng 1.1: So sánh các thành phần của Kiểm soát nội bộ và ERM theo Coso

Hình 1.2: Mô hình quản lý rủi ro – Theo Coso ( ERM)

Kiểm soát nội bộ theo khuôn khổ của COBIT

Cobit là một chuẩn quốc tế về quản lý công nghệ thông tin gồm những thựchành ( cơ sở) tốt nhất về quản lý công nghệ thông tin do ISACA và ITGI xây dựngnăm 1996 Cobit cung cấp cho các nhà quản lý, những người sử dụng IT một loạtcác phép đo, công cụ đo lường, các quy trình và các hướng dẫn thực hành tốt nhất

để giúp họ gia tăng tối đa lợi nhuận thông qua việc sử dụng công nghệ thông tin vàgiúp họ quản lý và kiểm soát IT trong công ty Cơ sở này cho phép các nhà quản lý

có thể chuẩn hóa việc bảo đảm và kiểm soát thực hành trong môi trường công nghệthông tin Cobit đã phát triển định nghĩa kiểm soát từ COSO bao gồm các chínhsách, thủ tục, công việc và cấu trúc tổ chức được thiết kế để cung cấp sự đảm bảohợp lý về việc đạt được các mục tiêu kinh doanh cũng như việc phát hiện, hạn chế

và khắc phục tối đa những sự kiện không mong muốn xảy ra khi hoạt động trongmôi trường công nghệ thông tin ( Cobit 2000:10) [101] Nội dung của Cobit vềkiểm soát được trình bày tóm tắt như sau

(*) Cơ sở cho việc thiết kế: Nguồn lực công nghệ thông tin cần phải được

quản lý bởi một nhóm các quy trình công nghệ thông tin sẵn có nhằm cung cấp các

thông tin mà một tổ chức kinh doanh cần để có thể đạt được mục tiêu của mình( ISACF, 1996 Audit Guidelines) [101]

(*) Định nghĩa kiểm soát nội bộ: Giống như các chuẩn mực của AICPA

( SAS 55; SAS78; SAS94) [35,36,37], Cobit đã phát triển định nghĩa kiểm soát nội

bộ từ Coso : Bao gồm các chính sách, các thủ tục, thực hành , và cấu trúc tổ chức

được thiết kế nhằm cung cấp một sự đảm bảo hợp lý cho việc đạt được các mục tiêu kinh doanh và các sự kiện không mong muốn ảnh hưởng đến việc đạt được mục tiêu

sẽ được ngăn chặn, phát hiện hoặc sửa chữa

Định nghĩa về mục tiêu kiểm soát công nghệ thông tin của Cobit cũng được

phát triển từ SAS [101]: Đó là một bảng báo cáo về các kết quả mong muốn và các

mục tiêu cần phải đạt được thông qua việc thực hiện các thủ tục kiểm soát trong một hoạt động công nghệ thông tin cụ thể

(*) Mục tiêu kiểm soát nội bộ của Cobit: Sự tin cậy của báo cáo tài chính;

hiệu quả và hiệu lưc của các hoạt động; Tuân thủ luật pháp và các quy định có liênquan; bảo mật, an toàn và tính có ích của thông tin (Colbert&Bowen, 1996.26) [101]

(*) Mục tiêu thiết kế của Cobit hướng tới:

- Đưa ra một khuôn khổ chung có thể ứng dụng tốt trong việc thực hànhquản trị thông tin và kiểm soát công nghệ thông tin

- Thiết lập một bộ chuẩn cho các nhà quản lý dựa vào để đánh giá được sự antoàn thông tin và thực hành kiểm soát trong môi trường công nghệ thông tin

- Đảm bảo cho người sử dụng dịch vụ công nghệ thông tin được đảm bảo antoàn và tồn tại các kiểm soát để trợ giúp cho các kiểm toán viên có thể xác nhận vềtình trạng kiểm soát nội bộ và tư vấn cho các nhà quản lý về sự an toàn của việckiểm soát và các vấn đề liên quan đến công nghệ thông tin

- Tạo điều kiện cho việc phát triển rõ ràng các chính sách và thực hành tốtkiểm soát công nghệ thông tin trong tất cả các ngành nghề ( Colbert & Bowen,1996:26) [101]

(*) Nội dung của Cobit bao gồm: Một bảng tóm tắt điều hành; khuôn khổ

cho việc kiểm soát công nghệ thông tin; một danh mục các mục tiêu kiểm soát; vàmột tập hợp các hướng dẫn kiểm toán Các mục tiêu kiểm soát và các hướng dẫnkiểm toán có thể được xây dựng từ khuôn khổ kiểm soát công nghệ thông tin

( Colbert & Bowen, 1996: 26) [101]

(*) Để đạt được mục tiêu kinh doanh, Cobit cũng yêu cầu các thông tin

cần phải thỏa mãn các tiêu chuẩn: Hiệu quả; Hiệu lực; Đầy đủ; Có thể sử dụng;

Hợp pháp ; Tin cậy

(*) Các thành phần kiểm soát nội bộ của Cobit:

- Lập kế hoạch và tổ chức: Bao gồm chiến lược, các phương thức thực hiện

và liên quan đến việc nhận biết các cách thức mà công nghệ thông tin có thể đónggóp tốt nhất tới việc đạt được các mục tiêu của doanh nghiệp Mặt khác việc thựchiện tầm nhìn chiến lược cần phải được lập kế hoạch, truyền thông và quản lý đốivới các bối cảnh khác nhau Một tổ chức lớn cần phải có một cơ sở hạ tầng côngnghệ để quản lý

- Nhận biết và thực hiện ( Acquisition and implementation) Để thực hiện

chiến lược công nghệ thông tin, các giải pháp công nghệ thông tin cần được nhậnbiết, phát triển hoặc các yêu cầu, cũng như việc thực hiện và kết hợp trong quá trìnhkinh doanh Điều này cũng đảm bảo cho việc duy trì sự tồn tại của hệ thống

- Giám sát Quy trình công nghệ thông tin cần được quy định để đánh giá

qua thời gian về chất lược của nó và tuân thủ các quy định về kiểm soát ( ISACF,1996: Audit guidelines) [101]

- Chuyển giao và hỗ trợ (Delivery and support): Liên quan đến việc

chuyển giao theo yêu cầu của dịch vụ như đào tạo Cùng với quá trình chuyển giao

là sự hỗ trợ trong quy trình cần phải được thiết lập

Hình 1.3: Mô hình kiểm soát trong môi trường công nghệ thông tin theo Cobit

Kiểm soát nội bộ theo quan điểm của AICPA

SAS55, 78, 94 [35,36,37] “ Xem xét kiểm soát nội bộ trong quá trình kiểmtoán báo cáo tài chính” là các chuẩn mực kiểm toán được ban hành bởi Ủy banchuẩn mực kiểm toán của Hiệp hội kế toán viên công chứng Mỹ ( AICPA-American Institute of Certified Public Accountants) [101] Các chuẩn mực này đềuđịnh nghĩa kiểm soát nội bộ, miêu tả các thành phần của kiểm soát nội bộ, cung câpnhững hướng dẫn tác động vào kiểm soát khi lập và thực hiện kiểm toán báo cáo tàichính Nội dung của SAS được tóm tắt như sau:

(*) Cơ sở cho việc thiết kế: Có được một sự hiểu biết đầy đủ về kiểm soát

nội bộ trong lập kế hoạch kiểm toán và xác định nội dung, thời gian và phạm vi các

thủ tục cần thực hiện ( AICPA, 1995:2) [101]

(*) Định nghĩa kiểm soát nội bộ: SAS 78 [36] đã thay thế định nghĩa kiểm soát nội bộ quy định tại SAS 55 [35] và định nghĩa này cũng dựa trên cơ

sở của Coso Kiểm soát nội bộ là một quá trình chịu ảnh hưởng bởi Ban giám đốc,

các nhà quản lý và các đối tượng khác, được thiết kế để cung cấp sự đảm bảo hợp lýliên quan đến việc đạt được các mục tiêu: Sự tin cậy của Báo cáo tài chính; Hiệuquả và hiệu lực của hoạt động và; Tuân thủ pháp luật và các quy định liên quan

(*) Mục tiêu kiểm soát nội bộ của SAS: Sự tin cậy của Báo cáo tài chính;

Hiệu quả và hiệu lực của hoạt động và; Tuân thủ pháp luật và các quy định liênquan (Colbert&Bowen, 1996.26) [101]

(*) Yêu cầu của SAS [35,36,37]: Yêu cầu các kiểm toán viên độc lập phải

thực hiện các thủ tục để đạt được sự hiểu biết về các thành phần của kiểm soát nội bộtrong quá trình lập kế hoạch kiểm toán làm cơ sở cho việc xác định phạm vi các côngviệc tiếp theo từ đó có đầy đủ bằng chứng làm cơ sở cho ý kiến kiểm toán của mình

(*) Các thành phần kiểm soát nội bộ của SAS:

- Môi trường kiểm soát: Tập hợp những đặc điểm chung nhất của một tổ

chức, ảnh hưởng bởi ý thức kiểm soát của chính những người trong tổ chức đó, vàcung cấp các quy tắc và cấu trúc

- Đánh giá rủi ro: Liên quan đến việc nhận biết và phân tích các rủi ro liên

quan đến việc đạt được các mục tiêu của doanh nghiêp, tạo cơ sở cho việc nhận

dạng và quản lý rủi ro

- Các hoạt động kiểm soát: Là các thủ tục, chính sách trợ giúp cho việc đảm

bảo các hướng dẫn của các nhà quản lý đều được thực hiện

- Thông tin và truyền thông: Là việc nhận biết, tiếp thu và trao đổi thông tintrong một môi trường Giúp cho các cá nhân ở đó thực hiện được trách nhiệm của họ

- Giám sát: Là quá trình đánh giá chất lượng của hoạt động kiểm soát nội bộ qua thời gian (IACPA, 1995,3) [101]

Kiểm soát nội bộ theo khuôn khổ của IIA

Vào năm 1977 Viện kiểm toán viên nội bộ của Mỹ (IIA) đã ban hành một

báo cáo có tên kiểm tra hệ thống và báo cáo kiểm soát ( Systems auditability and

control report) viết tắt là SAC, với mục tiêu nhấn mạnh tầm quan trọng của công

nghệ thông tin và các rủi ro liên quan tương ứng trong việc thiết kế kiểm soát nội

bộ Báo cáo này đã đưa ra những thủ tục kiểm soát để giảm thiểu rủi ro, đề xuất cácthủ tục kiểm toán để có thể đánh giá được sự tồn tại và hiệu quả của các thủ tụckiểm soát Báo cáo này được sử dụng cho cả kiểm toán viên độc lập và kiểm toánviên nội bộ và được coi như một hướng dẫn kiểm soát công nghệ thông tin và thựchiện kiểm toán trong môi trường tin học SAC đã định nghĩa kiểm soát nội bộ, mô

tả các thành phần của kiểm soát nội bộ, cung cấp một vài tiêu thức để phân loạikiểm soát, định nghĩa mục tiêu và rủi ro kiểm soát và định nghĩa vai trò của kiểmtoán viên nội bộ ( Colbert&Bowen, 1996.29) [101] Nội dung của SAC được tómtắt như sau:

(*) Cơ sở cho việc thiết kế: Có được đầy đủ các thủ tục kiểm soát đối với

nguồn lực thông tin trong một tổ chức là việc cần phải được ưu tiên hàng đầu

( SAC, 1996 Audit guideline) [101]

(*) Định nghĩa kiểm soát nội bộ: Là một tập hợp các quy trình, các nhiệm

vụ, các hoạt động, các phân hệ và con người được nhóm lại đồng thời hoặc riêngbiệt có chủ ý để đảm bảo đạt được hiệu quả các mục tiêu( Colbert & Bowen,1996.29) [101]

(*) Mục tiêu kiểm soát nội bộ của SAC: Lập báo cáo tài chính tin cậy ;

hiệu quả và hiệu lực của hoạt động; Tuân thủ luật pháp và các quy định có liên

quan (Colbert&Bowen, 1996.26) [101]

(*) Các thành phần kiểm soát nội bộ của SAC:

- Môi trường kiểm soát: Bao gồm cấu trúc tổ chức, các khung kiểm soát, các

chính sách và thủ tục và các ảnh hưởng bên ngoài

- Hệ thống thủ công và hệ thống tự động: Hệ thống tự động là hệ thống có

sử dụng phần mềm tích hợp

- Các thủ tục kiểm soát Bao gồm các thủ tục kiểm soát chung và các thủ tục

kiểm soát cụ thể (Colbert&Bowen , 1996: 29).[101]

Từ các quan niệm về kiểm soát nội bộ đối với các khuôn khổ ta có thể nhậnthấy rằng SAC xem xét kiểm soát nội bộ như một hệ thống ( Một tập hợp các chứcnăng và con người, mối quan hệ tương hỗ của họ) Nó xác định con người như làmột thành phần không thể thiếu của hệ thống kiểm soát nội bộ SAC cũng cho rằngcác mục tiêu cần phải được đo lường rõ ràng Trong khi đó Coso nhấn mạnh kiểmsoát nội bộ là một quy trình và đó là một phần hoạt động kinh doanh của doanhnghiệp, Coso đã lưu ý rằng con người liên quan trong cấu trúc kiểm soát nội bộ làcác thành viên Ban giám đốc, các nhà quản lý hoặc các cá nhân khác trong doanhnghiệp Mục tiêu của Coso được tập trung vào các hoạt động, báo cáo tài chính vàtính tuân thủ

SAS định nghĩa kiểm soát nội bộ giống hệt của Coso, nhưng nhấn mạnh tầmquan trọng của sự tin cậy báo cáo tài chính, trong khi đó Coso nhấn mạnh vào hiệuquả của hoạt động Cobit trong định nghĩa về kiểm soát nội bộ của mình cũng nhấnmạnh tầm quan trọng của kiểm soát nội bộ như là một quy trình và con người lànguồn lực chính được quản lý bởi các quy trình công nghệ thông tin

Trong luận án của mình NCS tập trung đi sâu vào mô hình kiểm soát nội

bộ của Coso Bởi vì, đây là mô hình đầu tiên đầy đủ nhất và mô hình này đã trởthành nền tảng cho việc thiết lập các mô hình kiểm soát nội bộ trong các tổ chứchiện nay

chính Các nhà quản lý các kiểm toán viên công nghệ thông

Tập hợp các quy trình, phân hệ và con

Bao gồm các chính sách, các thủ tục, thực hành , và cấu trúc tổ chức được thiết kế nhằm cung cấp một sự đảm bảo hợp lý cho việc đạt được các mục tiêu kinh doanh và các sự kiện không mong muốn ảnh hưởng đến việc đạt được mục tiêu sẽ được ngăn chặn, phát hiện hoặc sửa chữa.

Là một tập hợp các quy trình, các nhiệm vụ, các hoạt động, các phân hệ và con người được nhóm lại đồng thời hoặc riêng biệt có chủ ý để đảm bảo đạt được hiệu quả các mục tiêu( Colbert & Bowen, 1996.29

Kiểm soát nội bộ là một quá trình chịu ảnh hưởng bởi Ban giám đốc, các nhà quản lý và các đối tượng khác, được thiết kế để cung cấp sự đảm bảo hợp

lý liên quan đến việc đạt được các mục tiêu: Sự tin cậy của Báo cáo tài chính; Hiệu quả và hiệu lực của hoạt động và; Tuân thủ pháp luật và các quy định liên quan

Mục tiêu kiểm soát

Sự tin cậy của báo cáo tài chính;

hiệu quả và hiệu lưc của các hoạt động; Tuân thủ luật pháp và các quy định có liên quan; bảo mật, an toàn

và tính có ích của thông tin (Colbert&Bowen, 1996.26)

Lập báo cáo tài chính tin cậy ; hiệu quả và hiệu lực của hoạt động; Tuân thủ luật pháp

và các quy định có liên quan

(Colbert&Bowen, 1996.26)

Sự tin cậy của Báo cáo tài chính; Hiệu quả và hiệu lực của hoạt động và; Tuân thủ pháp luật và các quy định liên quan (Colbert&Bowen, 1996.26)

Phạm vi Tổng thể doanh nghiệp Công nghệ thông tin Công nghệ thông tin Báo cáo tài chính

Trách nhiệm Các nhà quản lý Các nhà quản lý Các nhà quản lý Các nhà quản lý

1.3 Các thành phần của kiểm soát nội bộ theo khuôn mẫu của COSO

1.3.1 Môi trường kiểm soát

Môi trường kiểm soát là một thành phần trung tâm quyết định đến hiệu quảcủa kiểm soát nội bộ Môi trường kiểm soát là những nhân tố cho thấy những đặcđiểm chung của một tổ chức, chịu ảnh hưởng bởi ý thức của chính những con ngườitrong tổ chức đó, các nghiên cứu trước đã chỉ ra rằng môi trường kiểm soát yếu kém

là những nguyên nhân chính gây ra các sai lầm trong hoạt động tài chính của mộtđơn vị Môi trường kiểm soát là nhân tố có ảnh hưởng lan tỏa tới các thành phầnkhác của kiểm soát nội bộ như: Đánh giá rủi ro, thiết lập mục tiêu, các hoạt độngkiểm soát, hệ thống thông tin truyền thông, và các hoạt động giám sát ( Coso1994:23) [58] Việc xây dựng một môi trường kiểm soát hiệu quả có tác động mạnh

mẽ vào quá trình quản lý và quản trị doanh nghiệp, đồng thời sẽ thúc đẩy việc thayđổi hành vi của nhân viên giúp cho doanh nghiệp có thể đạt được mục tiêu đặt ra.Hooks et al (1984) [72] đã miêu tả môi trường kiểm soát như là một phần, một hoạtđộng của văn hóa tổ chức Môi trường kiểm soát được bắt đầu bởi các nhà quản trị,quản lý doanh nghiệp, nếu những chính sách và thủ tục được xây dựng bởi các nhàquản lý lỏng lẻo thì sai phạm về báo cáo tài chính có thể sẽ xảy ra Một vài nghiêncứu đã chỉ ra rằng hơn 80% trường hợp sai phạm báo cáo tài chính được đưa ra bởiSEC từ năm 1987 đến năm 1997 liên quan đến các nhà quản lý

Các yếu tố của môi trường kiểm soát nội bộ bao gồm:

Tính chính trực và các giá trị đạo đức

Tính hữu hiệu của các kiểm soát không thể cao hơn các giá trị đạo đức vàtính chính trực của những người tạo ra, quản lý và giám sát đó Tính chính trực vàcác giá trị đạo đức là nhân tố cơ bản của môi trường kiểm soát, ảnh hưởng bởi việcthiết kế, quản trị và giám sát các thành phần khác của kiểm soát nội bộ Tính chínhtrực và các giá trị đạo đức là sản phẩm của chuẩn mực về hành vi và đạo đức củađơn vị cũng như việc truyền đạt và thực thi các chuẩn mực này trong thực tế

Cam kết về năng lực:

Năng lực là kiến thức và các kỹ năng cần thiết để hoàn thành nhiệm vụ thuộcphạm vi công việc của từng cá nhân Các nhà quản lý cần phải định rõ mức độ nănglực cần thiết đối với các công việc cụ thể và yêu cầu tương ứng về tri thức và kỹnăng đối với công việc đó Tri thức và kỹ năng lại phụ thuộc vào các yếu tố như sựthông minh, quá trình đào tạo và kinh nghiệm của các cá nhân Chính vì vậy nhà

quản lý doanh nghiệp thường phải thực hiện việc cân đối giữa mức độ công việc vớinăng lực của các cá nhân.

Sự tham gia của Ban quản trị:

Ban quản trị có ảnh hưởng đáng kể đến nhận thức về kiểm soát nội bộ , Banquản trị có trách nhiệm quan trọng và trách nhiệm đó được đề cập trong các chuẩnmực đạo đức nghề nghiệp, pháp luật và các quy định khác, hoặc các hướng dẫnđược ban hành vì lợi ích của Ban quản trị Bên cạnh đó, Ban quản trị còn có tráchnhiệm giám sát việc thiết kế và hiệu quả hoạt động của các thủ tục báo cáo các saiphạm và các thủ tục soát xét tính hữu hiệu của kiểm soát nội bộ của đơn vị

Triết lý và phong cách điều hành của Ban giám đốc:

Là quan điểm, thái độ và hành động của Ban giám đốc đối với việc chậpnhận các rủi ro kinh doanh, lập và trình bày báo cáo tài chính, sự thận trọng của Bangiám đốc trong việc xây dựng các ước tính kế toán

Cơ cấu tổ chức: Việc thiết lập một cơ cấu tổ chức thích hợp gồm việc xem

xét, cân nhắc các vấn đề chính về quyền hạn, trách nhiệm và các cấp bậc báo cáocho phù hợp Sự phù hợp của cơ cấu tổ chức phụ thuộc một phần vào quy mô vàđặc điểm hoạt động của đơn vị

Phân công quyền hạn và trách nhiệm

Việc phân công quyền hạn và trách nhiệm có thể bao gồm các chính sáchliên quan đến thông lệ phổ biến, hiểu biết về kinh nghiệm của các nhân sự chủ chốt,

và các nguồn lực được cung cấp đẻ thực hiện nhiệm vụ Ngoài ra, việc phân công cóthể bao gồm các chính sách và trao đổi thông tin để đảm bảo rằng tất cả các nhânviên đều hiểu được mục tiêu của đơn vị, hiểu được hành động của mỗi cá nhân cóliên quan tới nhau như thế nào và đóng góp như thế nào vào mục tiêu đặt ra

Các chính sách và thông lệ về nhân sự

Các chính sách và thông lệ về nhân sự thường cho thấy các vấn đề quantrọng liên quan đến nhận thức về kiểm soát của đơn vị Các tiêu chuẩn về tuyểndụng và đánh giá nhân sự, cam kết của đơn vị đối với người có năng lực và có sự tincậy Các chính sách đào tạo, hội thảo liên quan đến các nhiệm vụ trong tương lai

được rủi ro Do điều kiện kinh tế, đặc điểm và hoạt động kinh doanh, những quyđịnh luôn thay đổi, nên cơ chế nhận dạng và đối phó với rủi ro phải liên kết với sựthay đổi này.

Coso (1994:33-39) [58] đã nhấn mạnh tầm quan trọng của việc thiết lập mụctiêu trong một doanh nghiệp và việc đánh giá rủi ro được coi như một điều kiện tiênquyết Do đó việc quản lý phải làm rõ việc thiết lập các mục tiêu trước khi nhận biếtrủi ro cũng như các hoạt động cần thiết để quản lý các loại rủi ro này Việc thiết lậpcác mục tiêu được coi như một phần của quá trình quản lý, nó không giống nhưquy trình của kiểm soát nội bộ mà phụ thuộc vào mục tiêu của doanh nghiệp và chủ

sở hữu Mục tiêu của doanh nghiệp có thể được phân làm 03 nhóm: (1) Mục tiêuhoạt động; (2) Mục tiêu cho việc lập và trình bày báo cáo tài chính; (3) Mục tiêutuân thủ

Có nhiều cách phân loại rủi ro theo Chong (2003: 10) [59] thì rủi ro có thểđược chia thành 02 nhóm: Nhóm thứ nhất là loại rủi ro ở cấp độ doanh nghiệp làloại rủi ro có thể ra tăng từ các nhân tố bên trong hoặc bên ngoài doanh nghiệp( VD: Sự thay đổi và phát triển của khoa học công nghệ, sự thay đổi của khách hàngquan trọng, thay đổi trong các quy định của Nhà nước ) Nhóm thứ 02 là nhóm rủi

ro ở cấp độ hoạt động là loại rủi ro xảy ra gắn liền với các quy trình hoạt động củadoanh nghiệp ( VD: rủi ro liên quan đến việc lập và trình bày báo cáo tài chính, rủi

ro trong quy trình sản xuất; rủi ro bán hàng, rủi ro thanh khoản )

Trong năm 2004 Coso đã phát triển thêm một khuôn khổ cho việc quản lý rủi

ro trong một tổ chức có tên gọi Khuôn khổ quản lý rủi ro trong doanh nghiệp( Enterprise Risk management Framework- ERM) Khuôn khổ ERM bao trùm lêntất cả các thành phần ( 05 thành phần ) của khuôn khổ kiểm soát nội bộ, tuy nhiên

nó cũng là những thành phần của các mục tiêu cần thiết lập trong doanh nghiệp,nhận biết các sự kiện và các rủi ro tương ứng ( Rittenberg 2005) [93] Trong luận ánnày các thành phần của ERM được coi như là một phần của quá trình quản lý rộnglớn, không phải là một thành phần của kiểm soát nội bộ giám sát báo cáo tài chính

do đó luận án không trình bày phạm vi của khuôn khổ này

1.3.3 Các hoạt động kiểm soát

Nếu môi trường kiểm soát và đánh giá rủi ro là các khái niệm rộng bao trùm

ở cấp độ doanh nghiệp và nó thường khó hình dung cũng như đánh giá hơn bởi sựthiêu hụt các tiêu chuẩn thì hoạt động kiểm soát liên quan tới những mục tiêu và rủi

ro được xác định rõ ràng thường được xác định thông qua các thủ tục của doanh

nghiệp và có thể đo lường được dễ dàng hơn

Theo Coso (2004) thì hoạt động kiểm soát là các chính sách và các thủ tụctrợ giúp đảm bảo cho các chỉ đạo của các nhà quản lý được thực hiện Hoạt độngkiểm soát xuất hiện trong khắp tổ chức, ở tất cả các cấp độ và trong tất cả các chứcnăng Hoạt động kiểm soát bao gồm nhiều hoạt động như sau (VAS 315) [4]:

(1) Đánh giá tình hình hoạt động: Các hoạt động kiểm soát này bao gồm

việc đánh giá và phân tích tình hình hoạt động thực tế so với kế hoạch, so với dựbáo hay so với tình hình hoạt động của kỳ trước; đánh giá và phân tích mối liên hệgiữa các dữ liệu khác nhau có liên quan, như dữ liệu về hoạt động và dữ liệu về tàichính, đồng thời thực hiện việc phát hiện và sửa chữa; so sánh các số liệu nội bộvới các nguồn thông tin bên ngoài và đánh giá tình hình thực hiện chức năng hayhoạt động

(2) Xử lý thông tin: Hai nhóm hoạt động kiểm soát hệ thống thông tin được

sử dụng phổ biến là kiểm soát chương trình ứng dụng và kiểm soát chung về côngnghệ thông tin Kiểm soát chương trình ứng dụng được áp dụng cho việc xử lý từngứng dụng riêng lẻ Kiểm soát chung về công nghệ thông tin là những chính sách vàthủ tục liên quan tới nhiều ứng dụng và hỗ trợ cho khả năng hoạt động hiệu quả củacác kiểm soát chương trình ứng dụng bằng cách giúp đảm bảo khả năng hoạt độngbình thường của hệ thống thông tin

(3) Kiểm soát về mặt vật chất: Là các kiểm soát bao gồm:

Bảo đảm an toàn vật chất của tài sản, bao gồm thuê nhân viên bảo vệ và sửdụng các phương tiện bảo đảm an toàn cho việc tiếp cận tài sản và hồ sơ tàiliệu;Thẩm quyền truy cập vào chương trình máy tính và tệp dữ liệu; Định kỳ kiểmđếm và so sánh số liệu thực tế với số liệu được ghi chép trong sổ sách Mức độ,phạm vi mà các kiểm soát về mặt vật chất nhằm ngăn ngừa việc trộm cắp tài sản cóliên quan tới mức độ tin cậy của việc lập báo cáo tài chính, và do đó, liên quan đến

cả chất lượng kiểm toán, phụ thuộc vào việc tài sản có dễ bị mất cắp hay không

(4) Phân công trách nhiệm: Giao cho những người khác nhau chịu các trách

nhiệm về phê duyệt giao dịch, ghi chép giao dịch và trông coi, bảo quản tài sản.Việc phân nhiệm nhằm giảm cơ hội cho bất cứ cá nhân nào có thể vừa vi phạm

và vừa che giấu sai phạm hoặc gian lận trong quá trình thực hiện nhiệm vụ thôngthường của mình

Một số hoạt động kiểm soát nhất định có thể phụ thuộc vào sự tồn tại củacác chính sách phù hợp ở cấp độ cao hơn do Ban Giám đốc hoặc Ban quản trị thiết

lập

1.3.4 Thông tin và truyền thông

Các thông tin cần thiết phải được nhận dạng, thu thập và trao đổi trong đơn

vị dưới hình thức và thời gian thích hợp sao cho nó giúp mọi người trong đơn vịthực hiện được nhiệm vụ của mình Thông tin và truyền thông tạo ra báo cáo, chứađựng các thông tin cần thiết cho việc quản lý và kiểm soát đơn vị Sự trao đổi thôngtin hữu hiệu đòi hỏi phải diễn ra theo nhiều hướng: từ cấp trên xuống cấp dưới, từdưới lên trên và giữa các cấp với nhau Mỗi cá nhân cần hiểu rõ vai trò của mìnhtrong HTKSNB cũng như hoạt động của cá nhân có tác động tới công việc củangười khác như thế nào Ngoài ra, cũng cần có sự trao đổi hữu hiệu giữa đơn vị vớicác đối tượng bên ngoài như khách hàng, nhà cung cấp, cổ đông và các cơ quanquản lý

Hệ thống thông tin đưa ra các báo cáo, các thông tin hoạt động, tài chính vàtính tuân thủ của doanh nghiệp, nó đảm bảo cho sự hoạt động cũng như giám sátdoanh nghiệp Hệ thống thông tin không chỉ bao gồm những thông tin bên trongdoanh nghiệp mà còn bao gồm cả những sự kiện phát sinh bên ngoài, là những hoạtđộng và những điều kiện cần thiết cho việc ra quyết định và lập các báo cáo cungcấp thông tin ra bên ngoài Thông tin tài chính có thể được sử dụng để ra các quyếtđịnh trong quá trình hoạt động và một vài thông tin hoạt động là dữ liệu thiết yếucho việc lập và trình bày báo cáo tài chính Hệ thống thông tin liên quan đến mụctiêu lập và trình bày báo cáo tài chính, gồm hệ thống báo cáo tài chính, trong đó cócác phương pháp và ghi chép để: Xác định và ghi nhận tất cả các giao dịch có hiệulực; Mô tả các giao dịch một cách kịp thời, chi tiết để cho phép phân loại phù hợpcác giao dịch để lập và trình bày báo cáo tài chính; Đo lường giá trị của các giaodịch để đảm bảo giá trị giao dịch được phản ánh hợp lý trong báo cáo tài chính; Xácđịnh thời kỳ diễn ra giao dịch để ghi nhận giao dịch đúng kỳ kế toán; Trình bàythích hợp các giao dịch và các thuyết minh liên quan trên báo cáo tài chính

Truyền thông là hoạt động vôn có trong hệ thống thông tin, truyền thôngtrong doanh nghiệp có thể được chia thành truyền thông nội bộ và truyền thông bênngoài Truyền thông nội bộ liên quan đến việc thu nhận các dữ liệu liên quan đếnhoạt động quản lý doanh nghiệp và truyền thông một cách rõ ràng các chỉ đạo củacác cấp quản lý cấp cao đến toàn bộ nhân viên về trách nhiệm kiểm soát nội bộ cầnphải được thực hiện một cách nghiêm túc Truyền thông bên ngoài hướng tới cácnhà cung cấp, các khách hàng, ngân hàng, kiểm toán viên độc lập và các cổ đông

Giám sát được định nghĩa như một quá trình đánh giá chất lượng hoạt động của hệ thống kiểm soát nội bộ qua thời gian Việc đánh giá này được thực hiện

thông qua quá trình giám sát liên tục hoặc giám sát tách biệt hoặc kết hợp cả haiphương pháp trên Giám sát liên tục xuất hiện trong quá trình các hoạt động diễn ra,

nó bao gồm cá quy định về hoạt động quản lý , hoạt động giám sát và các hoạt độngkhác mà các cá nhân thực hiện nghĩa vụ của họ trong tổ chức Phạm vi và tần xuấtcủa đánh giá tách biệt phụ thuộc chính vào việc đánh giá rủi ro và hiệu quả của cácthủ tục giám sát liên tục Những hạn chế của kiểm soát nội bộ cần phải được báocáo tới các nhà quản lý cấp cao và ban giám đốc Giám sát là các phương pháp củanhà quản lý cho việc liên tục và kiểm tra hiệu quả để đảm bảo các thủ tục kiểm soátđược tuân thủ Với thành phần giám sát kiểm soát nội bộ như một vòng tuần hoàngiám sát để trợ giúp cho việc cải thiện hoạt động kiểm soát, hệ thống thông tin vàmôi trường kiểm soát

1.4 Gian lận và các yếu tố rủi ro có thể dẫn tới gian lận báo cáo tài chính

1.4.1 Gian lận báo cáo tài chính

Gian lận xuất hiện cùng với sự xuất hiện của xã hội loài người Cùng với quátrình phát triển của xã hội, hành vi gian lận ngày càng tinh vi hơn và biểu hiện dưới

vô số hình thức khác nhau Nguồn gốc của gian lận bắt đầu từ khi loài người chuyển

từ cuộc sống riêng biệt của từng cá thể sang sống chung thành cộng đồng Hìnhthức sơ khai của gian lận là hành vi ăn cắp tài sản nhằm thỏa mãn nhu cầu của cánhân Gian lận ngày càng phát triển cùng với sự phát triển của nền kinh tế, gian lận

đã xuất hiện trong mọi nghề nghiệp và gây nhiều ảnh hưởng tiêu cực đến sự pháttriển của xã hội Chính vì vậy, trên thế giới đã có nhiều công trình nghiên cứu vềgian lận, đứng trên nhiều góc độ khác nhau, nhằm giúp các nghề nghiệp có liênquan tìm được biện pháp ngăn ngừa và phát hiện gian lận Mặc dù vậy, khái niệmgian lận, sai sót và phương pháp phát hiện, ngăn chặn chúng đã được hình thành vàphát triển để trở thành một hệ thống lý luận liên quan mật thiết đến nhiều nghề

nghiệp Quá trình nhận thức về bản chất gian lận và sai sót đã đưa đến các địnhnghĩa khác nhau từ đơn giản đến phức tạp, các khái niệm này thay đổi cùng với sựphát triển của xã hội loài người.

Theo Từ điển Tiếng Việt (2006) [30], Gian lận là hành vi dối trá, mánh

khóe, lừa lọc người khác Còn sai sót là khuyết điểm không lớn do sơ suất gây ra.

Theo từ điển của Webster [112] thì “ Gian lận là sự dối trá có chủ ý khiếnmột người nào đó phải từ bỏ tài sản hoặc một vài nghĩa vụ pháp lý”

Theo chuẩn mực kiểm toán số 240 [5]“ Trách nhiệm của kiểm toán viên liên

quan đến gian lận trong kiểm toán báo cáo tài chính” : “Gian lận là hành vi cố ý do

một hay nhiêu người trong Ban quản trị, Ban giám đốc, các nhân viên hoặc bên thứ

ba thực hiện bằng các hành vi gian dối để thu lợi bất chính hoặc bất hợp pháp”

Như vậy hiểu theo nghĩa tổng quát có thể coi gian lận là việc thực hiện cáchành vi không hợp pháp nhằm lừa gạt, dối trá để thu được một lợi ích nào đó

Từ khái niệm chung về gian lận các nhà nghiên cứu tiếp tục đưa ra khái niệm

về gian lận báo cáo tài chính Theo Hiệp hội các nhà điều tra gian lận Hòa kỳ

( ACFE) [42] thì gian lận báo cáo tài chính là: “ là sự chủ ý, có tính toán, trình bày

sai hoặc bỏ sót các sự kiện quan trọng, hoặc dữ liệu kế toán có thể đưa đến sự hiểu lầm khi người đọc xem xét các thông tin được sử dụng và có thể là lý do để thay đổi việc xét đoán và ra quyết định của mình”

Theo Thornhill và Well ( 1993) [102] thì “ Gian lận báo cáo tài chính thươngđược thực hiện bởi các nhà quản lý và thường liên quan đến việc khai khống thunhập và tài sản”

Theo ỦY ban kiểm toán viên nội bộ (IIA) [101] : “ Gian lận báo cáo tàichính liên quan đến việc lãnh đạo các cấp cố tình trình bày sai hoặc trình bày khôngthích hợp hoặc che đậy những sai phạm liên quan đến báo cáo tài chính”

Theo Coso thì gian lận báo cáo tài chính “là một hành vi chủ ý hoặc thiếuthận trọng hoặc cả hai hoặc bỏ sót mà kết quả dẫn tới những sai phạm trọng yếu trênbáo cáo tài chính”

Trong giai đoạn gần đây thì AICPA đã đưa ra chuẩn mực kiểm toán SAS 82trong đó nêu rõ “ Gian lận báo cáo tài chính là một sự sai sót hoặc bỏ sót trên báocáo tài chính” SAS 82 [38] đã định nghĩa gian lận trên cơ sở gắn với các hành động

có chủ ý hoặc vô ý tạo ra những sai phạm trên báo cáo tài chính SAS 82 cũng đãchỉ ra hai loại gian lận mà kiểm toán viên cần phải xem xét khi thực hiện kiểm toán:

- Gian lận báo cáo tài chính: Liên quan đến việc chủ ý trình bày sai hoặc bỏ