Mối quan hệ giữa kiểm soát nội bộ, rủi ro gian lận và lập kế hoạch kiểm toán trong kiểm toán báo cáo tài chính

1. Sự cần thiết của nghiên cứu Từ đầu những năm 1990 trở về đây trên thế giới đã xảy ra rất nhiều vụ bê bối tài chính mà hậu quả của những vụ bê bối này đã gây thiệt hại rất lớn đến các nhà đầu t ư, cho chính bản thân doanh nghiệp, và cho nền kinh tế các nước như các vụ bê bối của: Enron, WorldCom, Parmalat, Huyndai, Lehman Brothers……Tại Việt nam kể từ khi thị trường chứng khoán bắt đầu đi vào hoạt động từ năm 2000 cũng đã có nhiều vụ bê b ối tài chính liên quan đến các công ty niêm yết trên thị trường chứng khoán như: Bông bạch Tuyết, Dược Viễn đông, Vinashin….Đã có nhiều nhà nghiên cứu tìm hiểu, khám phá bản chất và nguyên nhân dẫn đến những vụ bê bối trên. Các kết quả nghiên cứu đều đi đến kết luận một trong những nguyên nhân quan trọng của các vụ bê bối là do các hành vi gian l ận trong việc cung cấp thông tin minh bạch tình hình tài chính và đây là một hệ quả yếu kém của: Cấu trúc bộ máy quản trị, Văn hóa doanh nghiệp - các giá trị đạo đức, phạm vi hoạt động của kiểm soát nội bộ đối với việc ngăn ngừa-phát hiện gian lận Kristina (2012) [76] và kinh nghiệm đánh giá của kiểm toán viên độc lập đối với gian lận và lập kế hoạch kiểm toán Beasley et al (2000) [56] Trên thế giới vai trò của kiểm soát nội bộ trong việc ngăn ngừa, phát hiện gian l ận đã được nhiều nhà nghiên cứu tìm hiểu và minh chứng. Theo Kadir (2012) [78] thì các kiểm soát nội bộ luôn được thiết kế để giảm thiểu khả năng xảy ra rủi ro có thể dẫn tới gian lận. Roth và Espersen (2003) [92] trong một nghiên cứu về kiểm soát nội bộ với gian lận trong các Ngân hàng tại Iran đã kết luận kiểm soát nội bộ được coi là một công cụ hữu hiệu đảm bảo cho việc phát hiện, ngăn ngừa các rủi ro gian lận có thể xảy ra trong quá trình đạt được mục tiêu của các tổ chức. Abiola (2009) [44] đã nghiên cứu tác động của kiểm soát nội bộ trong lĩnh vực ngân hàng tại Nigeria. Kết quả của phân tích cho th ấy các chức năng ngăn ngừa, phát hiện và kiểm soát gian lận là có mối quan h ệ tương hỗ với nhau và kiểm soát nội bộ là một công cụ quan trọng trong việc ngăn ngừa và phát hiện gian lận trong lĩnh vực ngân hàng tại Nigeria. Nhận thấy được tầm quan trọng của kiểm soát nội bộ, năm 1992 Coso đã công b ố một báo cáo với tiêu đề “Kiểm soát nội bộ- Một khuôn khổ hợp nhất” Mục tiêu c ủa báo cáo này nhằm định nghĩa kiểm soát nội bộ, mô tả các thành phần của kiểm soát n ội bộ, cung cấp các tiêu chuẩn và các công cụ hỗ trợ cho việc đánh giá kiểm soát nội bộ và trọng tâm chính của kiểm soát nội bộ là một quá trình chịu ảnh hưởng bởi Ban giám đốc, các nhà quản lý và các thành viên khác trong tổ chức theo Coso thì kiểm soát nội bộ được thiết kế để cung cấp sự đảm bảo hợp lý liên quan đến việc đạt được các loại mục tiêu: Hiệu quả và hiệu lực của hoạt động; Sự tin cậy của báo cáo tài chính; Tuân thủ pháp luật và các quy định liên quan (Coso 1992). [58] Báo cáo của Coso đã nhấn mạnh hệ thống kiểm soát nội bộ là một phương sách c ủa quản lý, báo cáo này đã trở thành các tiêu chuẩn mà rất nhiều tổ chức theo đuổi mong mu ốn hướng tới trong hoạt động kinh doanh của mình (Knechel, 2007) [79,80]. Cho đến nay có rất ít những phản bác về định nghĩa kiểm soát nội bộ của Coso, định nghĩa này đã được thừa nhận rộng rãi và là cơ sở định nghĩa về kiểm soát nội bộ trong các quy định ngày nay. Báo cáo của Coso cũng quy định rõ việc thiết kế kiểm soát nội b ộ, ngăn ngừa, phát hiện gian lận là thuộc trách nhiệm trực tiếp của Ban giám đốc đơn vị được kiểm toán (IAS, VAS 315; IAS, VAS 240) [4, 5] Cùng với trách nhiệm thiết lập kiểm soát nội bộ Ban giám đốc cũng đồng thời ch ịu trách nhiệm về việc lập và trình bày trung thực báo cáo tài chính cho đơn vị của mình. Tuy nhiên, để đảm bảo được tính khách quan của số liệu đưa ra trên báo cáo tài chính tới các đối tượng quan tâm thì thông tin và số liệu trên báo cáo tài chính cần ph ải được xác minh bởi kiểm toán độc lập. Mục đích chính của kiểm toán báo cáo tài chính c ủa kiểm toán độc lập là làm tăng độ tin cậy của người sử dụng đối với báo cáo tài chính, thông qua việc kiểm toán viên đưa ra ý kiến về việc liệu báo cáo tài chính có được lập, trên các khía cạnh trọng yếu, phù hợp với khuôn khổ về lập và trình bày báo cáo tài chính được áp dụng hay không. Để thực hiện được mục tiêu này trong quá trình th ực hiện kiểm toán các kiểm toán viên cần lập kế hoạch kiểm toán nhằm hướng tới cuộc kiểm toán có hiệu quả nhất. Căn cứ để lập kế hoạch kiểm toán là việc kiểm toán viên c ần tìm hiểu về tình hình hoạt động kinh doanh của đơn vị trong đó có kiểm soát nội bộ để từ đó thiết kế thời gian, nhân sự và phạm vi các thủ tục kiểm toán nhằm đạt được các mục tiêu kiểm toán đã đặt ra. Bên cạnh đó để có thể xác định được trọng tâm c ủa các rủi ro có thể có gian lận trọng yếu xảy ra trong quá trình thực hiện kiểm toán viên c ần phải xét tới những nhân tố rủi ro có thể dẫn tới gian lận trong doanh nghiệp. Theo Chuẩn mực kiểm toán Việt nam 315 thì kiểm toán viên và doanh nghiệp kiểm toán c ần “xác định và đánh giá rủi ro có sai sót trọng yếu do gian lận hoặc nhầm lẫn ở cấp độ báo cáo tài chính và cấp độ cơ sở dẫn liệu, thông qua hiểu biết về đơn vị được kiểm toán và môi trường của đơn vị, trong đó có kiểm soát nội bộ, từ đó cung c ấp cơ sở cho việc thiết kế và thực hiện các biện pháp xử lý đối với rủi ro có sai sót tr ọng yếu đã được đánh giá” . Việc đánh giá kiểm soát nội bộ, rủi ro gian lận và lập kế ho ạch kiểm toán đòi hỏi các kiểm toán viên phải sử dụng rất nhiều xét đoán chuyên môn (IAS, VSA325; IAS, VSA240) [4,5]. Theo Trotman (1988) [105] thì xét đoán của kiểm toán viên trong quá trình kiểm toán là một dạng hành vi ra quyết định. Vì vậy, để

Trường đại học kinh tế quốc dân Trường đại học kinh tế quốc dân Trường đại học kinh tế quốc dân

Hà nội - 2016

LỜI CẢM ƠN

Tác giả xin bày tỏ sự cảm ơn sâu sắc tới PGS.TS Nguyễn Thị Phương Hoa người hướng dẫn khoa học, đã tận tình hướng dẫn Tác giả trong suốt quá trình thực hiện nghiên cứu luận án

Tác giả xin trân trọng cảm ơn sự giúp đỡ nhiệt tình và quý báu của các kiểm toán viên và các cán bộ thuộc Hiệp hội kiểm toán viên Việt Nam (VACPA), Công ty TNHH Kiểm toán E&Y, Công ty TNHH Kiểm toán DTL, Công ty TNHH Kiểm toán IFC, Công ty TNHH Kiểm toán Đại Dương, Công ty TNHH Kiểm toán Thăng Long, Công ty TNHH Kiểm toán Thủ Đô đã dành thời gian trả lời phỏng vấn và trả lời phiếu khảo sát của tác giả

Tác giả xin bày tỏ lòng biết ơn sâu sắc đến quý thầy cô trong Bộ môn Kiểm toán, Viện Kế toán- Kiểm toán - Trường Đại học Kinh tế Quốc dân đã đóng góp ý kiến sửa chữa Luận án, cảm ơn quý Thầy Cô của Viện Đào Tạo sau đại học đã tạo điều kiện giúp đỡ Tác giả trong quá trình học tập tại Trường

Tác giả xin bày tỏ lòng biết ơn sâu sắc đến các đồng nghiệp khoa Kế toán- Kiểm toán - Học Viện ngân hàng đã giúp đỡ động viên trong suốt thời gian nghiên cứu

Cuối cùng, tác giả bày tỏ sự cảm ơn tới những người thân trong gia đình: Cha,

mẹ, anh, chị, em, vợ và các con đã động viên khích lệ tác giả trong suốt quá trình nghiên cứu và hoàn thành luận án

Trân trọng cảm ơn!

Hà nội, ngày tháng năm 2016

Tác giả

Nguyễn Thành Trung

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CẢM ƠN ii

MỤC LỤC iii

DANH MỤC CHỮ VIẾT TẮT vi

DANH MỤC BẢNG BIỂU vii

DANH MỤC HÌNH ix

PHẦN MỞ ĐẦU 1

CHƯƠNG 1 LÝ LUẬN CHUNG VỀ KIỂM SOÁT NỘI BỘ, RỦI RO GIAN LẬN VÀ LẬP KẾ HOẠCH KIỂM TOÁN BÁO CÁO TÀI CHÍNH 6

1.1 Kiểm soát và kiểm soát nội bộ 6

1.1.1 Khái niệm kiểm soát 6

1.1.2 Phân loại kiểm soát 8

1.2 Kiểm soát nội bộ và cơ sở thiết lập kiểm soát nội bộ 8

1.2.1 Khái niệm kiểm soát nội bộ 8

1.2.2 Cơ sở cho việc thiết lập kiểm soát nội bộ 11

1.3 Các thành phần của kiểm soát nội bộ theo khuôn mẫu của COSO 22

1.3.1 Môi trường kiểm soát 22

1.3.2 Đánh giá rủi ro 23

1.3.3 Các hoạt động kiểm soát 24

1.3.4 Thông tin và truyền thông 26

1.3.5 Giám sát 27

1.4 Gian lận và các yếu tố rủi ro có thể dẫn tới gian lận báo cáo tài chính 27

1.4.1 Gian lận báo cáo tài chính 27

1.4.2 Các nhân tố rủi ro dẫn đến hành vi gian lận - tam giác gian lận 29

1.4.3 Trách nhiệm của Ban Giám đốc và kiểm toán viên với gian lận 32

1.5 Lập kế hoạch kiểm toán báo cáo tài chính 34

1.6 Mối quan hệ giữa đánh giá kiểm soát nội bộ, rủi ro gian lận và lập kế hoạch kiểm toán 37

1.6.1 Bản chất của xét đoán trong kiểm toán 37

1.6.2 Lý thuyết về xét đoán ra quyết định chủ quan 38

1.6.3 Mối quan hệ giữa đánh giá kiểm soát nội bộ, rủi ro gian lận và lập kế hoạch kiểm toán báo cáo tài chính 40

TÓM TẮT CHƯƠNG 1 43

CHƯƠNG 2 TỔNG QUAN NGHIÊN CỨU VÀ PHÁT TRIỂN GIẢ THUYẾT 44

2.1 Tổng quan nghiên cứu liên quan và phát triển giả thuyết 44

2.1.1 Mối quan hệ giữa kiểm soát nội bộ và lập kế hoạch kiểm toán 44

2.1.2 Mối quan hệ giữa kiểm soát nội bộ và gian lận báo cáo tài chính 52

2.1.3 Các nhân tố rủi ro có thể dẫn tới gian lận và lập kế hoạch kiểm toán 58

TÓM TẮT CHƯƠNG 2 63

CHƯƠNG 3 PHƯƠNG PHÁP NGHIÊN CỨU 64

3.1 Thiết kế nghiên cứu: 64

Quá trình nghiên cứu được thực hiện qua hai bước chính là nghiên cứu định tính và nghiên cứu định lượng 64

3.2 Nghiên cứu định tính 65

3.2.1 Các bước nghiên cứu định tính 65

3.2.2 Kết quả nghiên cứu định tính 66

3.3 Nghiên cứu định lượng 83

3.3.1 Phương pháp đánh giá độ tin cậy thang đo 83

3.3.2 Kiểm định One T-test kiểm định trung bình của một tổng thể 85

3.3.3 Kiểm định Chi square về sự tồn tại mối quan hệ giữa hai biến 86

3.3.4 Kết quả nghiên cứu sơ bộ định lượng mối quan hệ giữa kiểm soát nội bộ và lập kế hoạch kiểm toán 86

TÓM TẮT CHƯƠNG 3 90

CHƯƠNG 4 91

KIỂM ĐỊNH GIẢ THUYẾT VÀ KẾT QUẢ NGHIÊN CỨU 91

4.1 Thống kê mô tả mẫu nghiên cứu 91

4.2 Kiểm định giả thuyết 93

4.2.1 Mối quan hệ giữa kiểm soát nội bộ và lập kế hoạch kiểm toán 93

4.2.2 Kiểm soát nội bộ và gian lận báo cáo tài chính 106

4.2.3 Các nhân tố rủi ro có thể dẫn tới gian lận và lập kế hoạch kiểm toán 109

TÓM TẮT CHƯƠNG 4 117

CHƯƠNG 5 PHÂN TÍCH KẾT QUẢ NGHIÊN CỨU VÀ KHUYẾN NGHỊ 118

5.1 Những hạn chế của kiểm soát nội bộ trong doanh nghiệp 118

5.1.1 Hạn chế về môi trường kiểm soát 118

5.1.2 Hạn chế trong đánh giá rủi ro 120

5.1.3 Hạn chế trong hệ thống thông tin truyền thông 122

5.1.4 Hạn chế trong các hoạt động kiểm soát 124

5.1.5 Hạn chế trong giám sát kiểm soát nội bộ: Giám sát kiểm soát nội bộ là quy trình đánh giá tính hữu hiệu của kiểm soát nội bộ trong từng giai đoạn 125

5.2 Hạn chế trong việc đánh giá kiểm soát nội bộ, đánh giá các nhân tố rủi ro có thể dẫn tới gian lận làm cơ sở lập kế hoạch trong quá trình kiểm toán báo cáo

tài chính 126

5.2.1 Hạn chế trong đánh giá kiểm soát nội bộ làm cơ sở cho việc lập kế hoạch kiểm toán 126

5.2.2 Hạn chế trong việc đánh giá các nhân tố rủi ro có thể dẫn tới gian lận và lập kế hoạch kiểm toán 129

5.3 Nguyên nhân dẫn tới những tồn tại trong kiểm soát nội bộ, đánh giá kiểm soát nội bộ và các nhân tố rủi ro có thể dẫn tới gian lận trong lập kế hoạch chương trình kiểm toán 130

5.4 Sự cần thiết phải hoàn thiện đối với kiểm soát nội bộ trong các doanh nghiệp, xét đoán kiểm soát nội bộ và các nhân tố rủi ro có thể dẫn tới gian lận của các kiểm toán viên và doanh nghiệp kiểm toán 132

5.5 Một số khuyến nghị 133

5.5.1 Đối với doanh nghiệp được kiểm toán 133

5.5.2 Một số khuyến nghị tới các doanh nghiệp kiểm toán và các kiểm toán viên 138

5.5.3 Một số khuyến nghị đối với các cơ quan chức năng 142

KẾT LUẬN VÀ HẠN CHẾ NGHIÊN CỨU 144 DANH MỤC CÁC CÔNG TRÌNH NGHIÊN CỨU CỦA TÁC GIẢ LIÊN QUAN ĐẾN ĐỀ TÀI LUẬN ÁN

DANH MỤC TÀI LIỆU THAM KHẢO

PHỤ LỤC

DANH MỤC CHỮ VIẾT TẮT

ACFE American College of Forensic Examiners Association of Certified Fraud

Examiners

AICPA American Institute of Certified Public Accountants

BCTC Báo cáo tài chính

COBIT Control Objectives for information and related Technology

COSO Committee of sponsoring Organizations

Hiệp hội các tổ chức bảo trợ

HĐQT Hội đồng quản trị

IASB International Accounting Standards Board

Ủy ban Chuẩn mực kiểm toán quốc tế

IFAC International Federation of Accountants

Liên đoàn kế toán quốc tế

IFRS International Financial reporting Standards

Chuẩn mực quốc tế về lập báo cáo tài chính

ISACF Information System Audit and control Foundation

ISACS

KTV

information system audit and control association

Kiểm toán viên

ITGI information technology governance institute

KSNB Kiểm soát nội bộ

KTNB Kiểm toán nội bộ

KTTC Kiểm toán tài chính

PCAOB Public company accounting oversight board

Ủy ban giám sát kiểm toán các công ty đại chúng

SAC Systems Auditability and control

SAS Statement on auditing Standards

SEC U.S Securities and Exchange Commision

Ủy Ban chứng khoán mỹ

UBCK Ủy ban chứng khoán Nhà nước

VACPA Hội kiểm toán viên hành nghề Việt nam

DANH MỤC BẢNG BIỂU

Bảng 1.1: S7o sánh các thành phần của Kiểm soát nội bộ và ERM theo Coso 14

Bảng 1.2: Bảng so sánh tóm tắt các cơ sở thiết lập kiểm soát nội bộ 21

Bảng 3.1: Phương pháp nghiên cứu 65

Bảng 3.2 Thang đo môi trường kiểm soát 75

Bảng 3.3: Thang đo đánh giá rủi ro 76

Bảng 3.4: Thang đo thành phần thông tin- truyền thông 77

Bảng 3.5: Thang đo hoạt động kiểm soát 78

Bảng 3.6: Thang đo thành phần giám sát kiểm soát 79

Bảng 3.7: Thang đo lập kế hoạch kiểm toán 80

Bảng 3.8: Danh mục các nhân tố rủi ro có thể dẫn tới gian lận 80

Bảng 3.9: Kết quả thang đo định lượng sơ bộ 87

Bảng 4.1: Thống kê mô tả mẫu nghiên cứu 91

Bảng 4.2: Kết quả kiểm định giả thuyết KTV không đánh giá môi trường kiểm soát 94

Bảng 4.3: Kết quả kiểm định giả thuyết kiểm toán viên không đánh giá thành phần đánh giá rủi ro trong quá trình thực hiện kiểm toán 94

Bảng 4.4: Kết quả kiểm định giả thuyết KTV không đánh giá thành phần thông tin truyền thông trong quá trình thưc hiện kiểm toán 95

Bảng 4.5: Kết quả kiểm định giả thuyết kiểm toán viên không đánh giá thành phần hoạt động kiểm soát trong quá trình thực hiện kiểm toán 96

Bảng 4.6: Kết quả kiểm định giả thuyết kiểm toán viên không đánh giá thành phần giám sát trong quá trình thực hiện kiểm toán 96

Bảng 4.7: Kết quả đánh giá độ tin cậy thang đo qua Cronbach Alpha 98

Bảng 4.8: Kết quả đánh giá độ tin cậy của thang đo 102

qua phân tích nhân tố khám phá EFA 102

Bảng 4.9: Bảng tóm tắt kết quả mô hình hồi quy 105

Bảng 4.10: Kết quả khảo sát mối quan hệ giữa kiểm soát nội bộ 107

và gian lận báo cáo tài chính trong doanh nghiệp 107

Bảng 4.11: Kết quả khảo sát kiểm soát nội bộ không thể ngăn chặn được nguy cơ xảy ra gian lận 108

Bảng 4.12: Kết quả khảo sát đánh giá tầm quan trọng của các nhân tố rủi ro 110

có thể dẫn tới gian lận 110

Bảng 5.1: Những tồn tại trong môi trường kiểm soát 119

Bảng 5.2: Những tồn tại trong đánh giá rủi ro 121

Bảng 5.3: Những tồn tại trong hệ thống thông tin truyền thông 123

Bảng 5.4: Những tồn tại trong hoạt động kiểm soát 124

Bảng 5.5: Những tồn tại trong giám sát kiểm soát nội bộ 125

DANH MỤC HÌNH

Hình 1.1: Mô hình kiểm soát nội bộ của Coso (1992) 13Hình 1.2: Mô hình quản lý rủi ro – Theo Coso (ERM) 15Hình 1.3: Mô hình kiểm soát trong môi trường công nghệ thông tin theo Cobit 17Hình 1.4: Mô hình tam giác gian lận của Cressey (1953) 32Hình 2.1: Tam giác kiểm toán độc lập 49

PHẦN MỞ ĐẦU

1 Sự cần thiết của nghiên cứu

Từ đầu những năm 1990 trở về đây trên thế giới đã xảy ra rất nhiều vụ bê bối tài chính mà hậu quả của những vụ bê bối này đã gây thiệt hại rất lớn đến các nhà đầu

tư, cho chính bản thân doanh nghiệp, và cho nền kinh tế các nước như các vụ bê bối của: Enron, WorldCom, Parmalat, Huyndai, Lehman Brothers……Tại Việt nam kể từ khi thị trường chứng khoán bắt đầu đi vào hoạt động từ năm 2000 cũng đã có nhiều vụ

bê bối tài chính liên quan đến các công ty niêm yết trên thị trường chứng khoán như: Bông bạch Tuyết, Dược Viễn đông, Vinashin….Đã có nhiều nhà nghiên cứu tìm hiểu, khám phá bản chất và nguyên nhân dẫn đến những vụ bê bối trên Các kết quả nghiên cứu đều đi đến kết luận một trong những nguyên nhân quan trọng của các vụ bê bối là

do các hành vi gian lận trong việc cung cấp thông tin minh bạch tình hình tài chính và đây là một hệ quả yếu kém của: Cấu trúc bộ máy quản trị, Văn hóa doanh nghiệp - các

giá trị đạo đức, phạm vi hoạt động của kiểm soát nội bộ đối với việc ngăn ngừa-phát hiện gian lận Kristina (2012) [76] và kinh nghiệm đánh giá của kiểm toán viên độc

Trên thế giới vai trò của kiểm soát nội bộ trong việc ngăn ngừa, phát hiện gian lận đã được nhiều nhà nghiên cứu tìm hiểu và minh chứng Theo Kadir (2012) [78] thì các kiểm soát nội bộ luôn được thiết kế để giảm thiểu khả năng xảy ra rủi ro có thể dẫn tới gian lận Roth và Espersen (2003) [92] trong một nghiên cứu về kiểm soát nội bộ với gian lận trong các Ngân hàng tại Iran đã kết luận kiểm soát nội bộ được coi là một công cụ hữu hiệu đảm bảo cho việc phát hiện, ngăn ngừa các rủi ro gian lận có thể xảy

ra trong quá trình đạt được mục tiêu của các tổ chức Abiola (2009) [44] đã nghiên cứu tác động của kiểm soát nội bộ trong lĩnh vực ngân hàng tại Nigeria Kết quả của phân tích cho thấy các chức năng ngăn ngừa, phát hiện và kiểm soát gian lận là có mối quan

hệ tương hỗ với nhau và kiểm soát nội bộ là một công cụ quan trọng trong việc ngăn ngừa và phát hiện gian lận trong lĩnh vực ngân hàng tại Nigeria

Nhận thấy được tầm quan trọng của kiểm soát nội bộ, năm 1992 Coso đã công

bố một báo cáo với tiêu đề “Kiểm soát nội bộ- Một khuôn khổ hợp nhất” Mục tiêu

của báo cáo này nhằm định nghĩa kiểm soát nội bộ, mô tả các thành phần của kiểm soát nội bộ, cung cấp các tiêu chuẩn và các công cụ hỗ trợ cho việc đánh giá kiểm soát nội bộ và trọng tâm chính của kiểm soát nội bộ là một quá trình chịu ảnh hưởng bởi Ban giám đốc, các nhà quản lý và các thành viên khác trong tổ chức theo Coso thì kiểm soát nội bộ được thiết kế để cung cấp sự đảm bảo hợp lý liên quan đến việc đạt

được các loại mục tiêu: Hiệu quả và hiệu lực của hoạt động; Sự tin cậy của báo cáo tài chính; Tuân thủ pháp luật và các quy định liên quan (Coso 1992) [58]

Báo cáo của Coso đã nhấn mạnh hệ thống kiểm soát nội bộ là một phương sách của quản lý, báo cáo này đã trở thành các tiêu chuẩn mà rất nhiều tổ chức theo đuổi mong muốn hướng tới trong hoạt động kinh doanh của mình (Knechel, 2007) [79,80] Cho đến nay có rất ít những phản bác về định nghĩa kiểm soát nội bộ của Coso, định nghĩa này đã được thừa nhận rộng rãi và là cơ sở định nghĩa về kiểm soát nội bộ trong các quy định ngày nay Báo cáo của Coso cũng quy định rõ việc thiết kế kiểm soát nội

bộ, ngăn ngừa, phát hiện gian lận là thuộc trách nhiệm trực tiếp của Ban giám đốc đơn

vị được kiểm toán (IAS, VAS 315; IAS, VAS 240) [4, 5]

Cùng với trách nhiệm thiết lập kiểm soát nội bộ Ban giám đốc cũng đồng thời chịu trách nhiệm về việc lập và trình bày trung thực báo cáo tài chính cho đơn vị của mình Tuy nhiên, để đảm bảo được tính khách quan của số liệu đưa ra trên báo cáo tài chính tới các đối tượng quan tâm thì thông tin và số liệu trên báo cáo tài chính cần phải được xác minh bởi kiểm toán độc lập Mục đích chính của kiểm toán báo cáo tài chính của kiểm toán độc lập là làm tăng độ tin cậy của người sử dụng đối với báo cáo tài chính, thông qua việc kiểm toán viên đưa ra ý kiến về việc liệu báo cáo tài chính có được lập, trên các khía cạnh trọng yếu, phù hợp với khuôn khổ về lập và trình bày báo cáo tài chính được áp dụng hay không Để thực hiện được mục tiêu này trong quá trình thực hiện kiểm toán các kiểm toán viên cần lập kế hoạch kiểm toán nhằm hướng tới cuộc kiểm toán có hiệu quả nhất Căn cứ để lập kế hoạch kiểm toán là việc kiểm toán viên cần tìm hiểu về tình hình hoạt động kinh doanh của đơn vị trong đó có kiểm soát nội bộ để từ đó thiết kế thời gian, nhân sự và phạm vi các thủ tục kiểm toán nhằm đạt được các mục tiêu kiểm toán đã đặt ra Bên cạnh đó để có thể xác định được trọng tâm của các rủi ro có thể có gian lận trọng yếu xảy ra trong quá trình thực hiện kiểm toán viên cần phải xét tới những nhân tố rủi ro có thể dẫn tới gian lận trong doanh nghiệp Theo Chuẩn mực kiểm toán Việt nam 315 thì kiểm toán viên và doanh nghiệp kiểm

toán cần “xác định và đánh giá rủi ro có sai sót trọng yếu do gian lận hoặc nhầm lẫn

ở cấp độ báo cáo tài chính và cấp độ cơ sở dẫn liệu, thông qua hiểu biết về đơn vị được kiểm toán và môi trường của đơn vị, trong đó có kiểm soát nội bộ, từ đó cung cấp cơ sở cho việc thiết kế và thực hiện các biện pháp xử lý đối với rủi ro có sai sót

hoạch kiểm toán đòi hỏi các kiểm toán viên phải sử dụng rất nhiều xét đoán chuyên môn (IAS, VSA325; IAS, VSA240) [4,5] Theo Trotman (1988) [105] thì xét đoán của kiểm toán viên trong quá trình kiểm toán là một dạng hành vi ra quyết định Vì vậy, để

có thể có được những quyết định đúng trong quá trình kiểm toán các kiểm toán viên cần phải: được đào tạo bài bản, có những kiến thức về ngành nghề của khách hàng, kinh nghiệm và thái độ hoài nghi nghề nghiệp cũng như các phương pháp tiếp cận kiểm toán phù hợp với thực tế tại đơn vị được kiểm toán Trên thực tế, kể từ khi kiểm toán độc lập xuất hiện tại Việt nam từ năm 1991 đến nay đã xuất hiện nhiều những vụ

bê bối liên quan đến chất lượng yếu kém của kiểm toán viên trong quá trình thực hiện như: Kiểm toán Báo cáo tài chính của Công ty Bông bạch tuyết; Dược Viễn đông; kiểm toán tập đoàn Vinashin… những yếu kém trong kiểm toán này có nhiều nguyên nhân nhưng một trong những nguyên nhân quan trọng là sự yếu kém của kiểm soát nội

bộ trong chính các đơn vị này và việc đánh giá về kiểm soát nội bộ, rủi ro gian lận cũng như lập kế hoạch kiểm toán của các kiểm toán viên còn hạn chế và chưa thực sự đáp ứng đúng yêu cầu của Chuẩn mực kiểm toán Về mặt lý luận, tại Việt Nam cho đến này có rất ít các nghiên cứu về mối quan hệ giữa đánh giá kiểm soát nội bộ, rủi ro gian lận và lập kế hoạch kiểm toán làm cơ sở cho việc cải thiện chất lượng kiểm toán

từ đó cải thiện mức độ minh bạch hóa thông tin tài chính của các doanh nghiệp

Xuất phát từ yêu cầu của các Chuẩn mực kiểm toán; tình hình thực tiễn và lý

luận tại Việt nam nêu trên NCS lựa chọn đề tài: “Mối quan hệ giữa kiểm soát nội bộ,

rủi ro gian lận và lập kế hoạch kiểm toán trong kiểm toán báo cáo tài chính”

2 Mục đích nghiên cứu của luận án

Mục đích chính của nghiên cứu là kiểm định mối quan hệ giữa việc đánh giá kiểm soát nội bộ, đánh giá các nhân tố rủi ro gian lận, gian lận và việc lập kế hoạch kiểm toán Hay nói cách khác nghiên cứu chính của luận án là tìm ra giải đáp cho các

câu hỏi sau:

(1) Kiểm toán viên có thực hiện đánh giá kiểm soát nội bộ trong quá trình thực hiện kiểm toán báo cáo tài chính không?

(2) KSNB yếu kém có phải là nguyên nhân chính dẫn tới các gian lận trong báo cáo tài chính tại các doanh nghiệp không?

(3) Kiểm soát nội bộ trong các doanh nghiệp Việt nam hiện nay có ngăn ngừa được các nguy cơ có thể xảy ra gian lận trong báo cáo tài chính không?

(4) Việc đánh giá các thành phần của kiểm soát nội bộ có ảnh hưởng tới việc lập kế hoạch chương trình kiểm toán báo cáo tài chính không?

(5) Các kiểm toán viên đang đánh giá mức độ quan trọng của các nhân tố rủi ro

có thể dẫn tới gian lận như thế nào?

(6) Kiểm toán viên có sửa đổi kế hoạch kiểm toán tương ứng với các nhân tố rủi ro có thế dẫn tới gian lận được đánh giá không?

Mô hình nghiên cứu của Luận án

Ngoài các câu hỏi nghiên cứu chính trên, luận án cũng trình bày lý thuyết về “ Ra quyết định chủ quan” liên quan đến việc xét đoán của kiểm toán viên đối với kiểm soát nội bộ, rủi ro gian lận và lập kế hoạch kiểm toán làm cơ sở cho việc giải thích các hành vi trong quá trình thực hiện đánh giá trong kiểm toán Trên cơ sở kết quả kiểm định các giả thuyết, luận án đưa ra những tồn tại trong kiểm soát nội bộ của các doanh nghiệp hiện nay, thực trạng của việc đánh giá kiểm soát nội bộ làm cơ sở cho việc lập kế hoạch kiểm toán; đánh giá các nhân tố rủi ro có thể dẫn tới gian lận và việc sửa đổi kế hoạch, chương trình kiểm toán tương ứng Từ đó luận án đưa ra một số khuyến nghị với các doanh nghiệp được kiểm toán; doanh nghiệp kiểm toán và các cơ quan chức năng liên quan

3 Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu của luận án là “Mối quan hệ giữa: kiểm soát nội bộ, rủi

ro gian lận (Bao gồm gian lận và các nhân tố rủi ro có thể dẫn tới gian lận) và lập kế hoạch kiểm toán trong kiểm toán báo cáo tài chính Như vậy luận án nghiên cứu về việc đánh giá cá nhân của các kiểm toán viên trong quá trình hành nghề kiểm toán thực tế đối với kiểm soát nội bộ, gian lận, các nhân tố rủi ro có thể dẫn tới gian lận và lập kế hoạch kiểm toán trong quá trình kiểm toán báo cáo tài chính

Phạm vi nghiên cứu của luận án là các kiểm toán viên đang hành nghề kiểm toán tại Việt nam bao gồm: Các kiểm toán viên hành nghề trong các công ty kiểm toán nước ngoài tại Việt Nam, các công ty của Việt Nam thuộc hãng kiểm toán quốc tế và các công ty kiểm toán của Việt nam

4 Những đóng góp mới của luận án

Thông qua nghiên cứu của mình tác giả đã có một số đóng góp mới về mặt lý luận và thực tiễn trong kiểm toán tại bối cảnh của Việt nam Cụ thể:

Về mặt lý luận: (1) Luận án làm rõ mối quan hệ giữa việc đánh giá các thành phần của kiểm soát nội bội với việc lập kế hoạch kiểm toán (2) Nghiên cứu đã đưa ra thang đo của 06 biến số phù hợp với bối cảnh nghiên cứu tại Việt nam thông qua nghiên

cứu định tính và đánh giá qua 02 bước nghiên cứu định lượng đó là: “Môi trường kiểm

soát; đánh giá rủi ro; các hoạt động kiểm soát; hệ thống thông tin truyền thông; giám

Kiểm soát nội bô:

Môi trường kiểm soát

Đánh giá rủi ro

Thông tin truyền thông

Hoạt động kiểm soát

sát kiểm soát nội bộ và lập kế hoạch kiểm toán” (3) Khám phá mối quan hệ giữa việc đánh giá các nhân tố rủi ro có thể dẫn tới gian lận và lập kế hoạch kiểm toán

Về mặt thực tiễn: (1) Từ kết quả nghiên cứu cho thấy hiện nay kiểm toán viên có thực hiện đánh giá kiểm soát nội bộ trong quá trình kiểm toán (2) Kết quả kiểm định của nghiên cứu tác giả nhận thấy rằng việc đánh giá kiểm soát nội bộ của các kiểm toán viên hiện nay chưa thực sự được coi là cơ sở quan trọng trong việc lập kế hoạch chương trình kiểm toán hay nói cách khác việc đánh giá kiểm soát nội bộ đôi khi chỉ mang tính thủ tục chưa có sự kết nối với việc xác định phạm vi của các thủ tục kiểm toán tiếp theo (3) Khẳng định sự thiếu hụt của kiểm soát nội bộ là nguyên nhân chính dẫn tới gian lận báo cáo tài chính trong các doanh nghiệp của Việt Nam; (4) Khẳng định doanh nghiệp với một hệ thống kiểm soát nội bộ tốt có thể ngăn chặn được các nguy cơ xảy ra gian lận

và sai sót trong quá trình lập và trình bày báo cáo tài chính;

Kết quả của luận án sẽ giúp cho các doanh nghiệp được kiểm toán và các công

ty kiểm toán thấy được thực trạng của kiểm soát nội bộ và việc đánh giá kiểm soát nội

bộ hiện nay Để từ đó có những phương pháp thiết lập và duy trì kiểm soát nội bộ trong doanh nghiệp của mình Đối với kiểm toán viên phải thường xuyên trau dồi các

kỹ năng kinh nghiệm và sự hiểu biết của mình về khách hàng kiểm toán làm cơ sở cho việc xét đoán để từ đó có thể sử dụng kết quả xét đoán thu thập được các bằng chứng đầy đủ và thích hợp cho các mục tiêu kiểm toán đặt ra Mặt khác, các kiểm toán viên cần nhận thấy được tầm quan trọng của việc tuân thủ các chuẩn mực chuyên môn trong quá trình hành nghề;

Luận án cũng đã giải thích rõ bản chất đầy đủ nhất của kiểm soát nội bộ trong một doanh nghiệp theo khuôn mẫu của Coso, đồng thời từ kết quả nghiên cứu cho thấy việc cần thiết phải xây dựng một quy định về việc trình bày và duy trì kiểm soát nội bộ bắt buộc đối với các doanh nghiệp hiện nay

Chương 2: Tổng quan nghiên cứu và phát triển giả thuyết

Chương 3: Phương pháp nghiên cứu

Chương 4: Kết quả nghiên cứu và kiểm định giả thuyết

Chương 5: Phân tích Kết quả nghiên cứu và khuyến nghị

CHƯƠNG 1

LÝ LUẬN CHUNG VỀ KIỂM SOÁT NỘI BỘ, RỦI RO GIAN LẬN

VÀ LẬP KẾ HOẠCH KIỂM TOÁN BÁO CÁO TÀI CHÍNH

1.1 Kiểm soát và kiểm soát nội bộ

Kiểm soát được xem xét là một chức năng quan trọng của các nhà quản lý,

kiểm soát được định nghĩa như là một quá trình “giữ cho mọi thứ đi đúng hướng”

(Merchant, 1985, tr1) [85] và được nhận biết như là một chức năng cuối cùng của quá

trình quản lý (Merchant, 1985, tr.2) [85] Theo Anthony et al (1989,tr.5) [41,43] thì “

Kiểm soát là một quá trình hướng dẫn một tập hợp các thay đổi để đạt được các mục tiêu dự kiến, kiểm soát là một khái niệm rộng và có thể sử dụng cho con người, mọi vật, các hoàn cảnh và tổ chức Trong tổ chức thì kiểm soát bao gồm các kế hoạch khác nhau và quá trình kiểm soát”

Theo Simon (1995, tr.29) [94] “Kiểm soát hàm ý rằng quản lý vốn là sự mâu

thuẫn giữa một mặt là việc không ngừng đổi mới với mặt khác là đạt được các mục tiêu dự tính, để cả hai mặt này đều được biến đổi tạo ra sự tăng trưởng lợi nhuận của

tổ chức”

Anthony và Govindarajan (2004) [43] đã định nghĩa kiểm soát là “Là quá trình

các nhà quản lý tác động tới các thành viên khác trong tổ chức để thực hiện mục tiêu

kiểm soát quản lý như sau “Là các bước được thiết lập bởi các nhà quản lý cố gắng

làm tăng thêm khả năng có thể đạt được các mục tiêu đặt ra trong kế hoạch và đảm bảo các bộ phận chức năng hoạt động đồng nhất với các chính sách trong tổ chức” (tr378)

Theo GS.TS Nguyễn Quang Quynh (2008) [15,16] “kiểm soát được hiểu là

tổng hợp các phương sách để hiểu và điều hành các đối tượng hoặc khách thể quản lý” PGS-TS Nguyễn Thị Phương Hoa (2011, tr 14) [17] cho rằng “kiểm soát là quá

trình đo lường, đánh giá và tác động lên đối tượng kiểm soát nhằm bảo đảm mục tiêu,

kế hoạch của tổ chức được thực hiện một cách có hiệu quả”

Kiểm soát trong tổ chức có thể được trình bày theo nhiều phương pháp, từ việc giám sát các chỉ dẫn tới việc phản hồi hệ thống, kiểm soát văn hóa và kiểm soát xã hội (Simon 1995, trang 5) [94] Nhiều nhà nghiên cứu đã thừa nhận rằng kiểm soát là khác

nhau đối với nhiều chủ thể khác nhau, Chua et al (1989, tr4) [60] đã đưa ra 03 khía cạnh nổi bật dễ nhận biết của kiểm soát là: (1) Kiểm soát như một phương thức định hướng hoặc điều khiển (2) Kiểm soát như một phương thức cai trị một người hoặc một nhóm người bởi một nhóm người khác (3) Kiểm soát là một quá trình của việc giám sát quản lý

Kiểm soát là cần thiết đối với bất kỳ tổ chức nào để giúp cho các hoạt động được triển khai theo đúng với các mục tiêu mà tổ chức đã đặt ra Kiểm soát được sử dụng như một phương thức để đảm bảo các thành phần tham gia tổ chức sẽ thực hiện

những công việc mà tổ chức mong muốn Theo Merchant (1985, tr4) [85] thì “Kiểm

soát được coi như là một chức năng của quản lý, ảnh hưởng liên quan đến hành vi của con người, bởi vì con người tạo ra mọi thứ trong tổ chức Hay nói cách khác, kiểm

dẫn đến sự cần thiết phải có kiểm soát: Sự thiếu hụt các hướng dẫn; các vấn đề về động cơ; giới hạn về con người (Merchant, 1985) [85] Khi có một vấn đề kiểm soát các nhà quản lý sẽ đối diện với nó bằng các cách thức cụ thể như: giới hạn, tự động hóa, và chia sẻ rủi ro Kiểm soát lỏng lẻo có thể đưa lại nhiều bất lợi đối với tổ chức như: sự thiếu hụt sản phẩm, nhân viên; khách hàng không hài lòng, không có khả năng cạnh tranh trên thị trường Việc kết hợp yếu kém ở phạm vi các cấp độ trong tổ chức, cũng có thể là do việc kiểm soát nghèo nàn Có nhiều kiểm soát có thể có hại đối với tính hữu hiệu trong hoạt động của tổ chức Ví dụ: kiểm soát quá chặt có thể làm giảm mất sự linh động và động cơ của tổ chức, hoặc có thể làm tăng chí phí hoạt động và áp lực đối với nhân viên Theo đó việc duy trì một cân bằng tối ưu giữa tính nhất quán và

sự linh hoạt trong quá trình kiểm soát là rất quan trọng và luôn là một nhiệm vụ chính khó khăn nhất đối với tổ chức

Quá trình kiểm soát về cơ bản bao gồm các bước cơ bản sau: (1) Định rõ các kết quả mong muốn; (2) Thiết lập các dự báo kết quả; (3) Thiết lập các tiêu chuẩn của các kết quả và dự báo; (4) Thiết lập mạng lưới thông tin và mạng lưới phản hồi; (5) Đánh giá thông tin và thực hiện các hoạt động sửa chữa (Stoner và Wankei, 1986 tr17) [97] Mỗi một quá trình kiểm soát đều yêu cầu một loạt các bước gồm các mục tiêu cụ thể và các mục tiêu chung và đánh giá làm thế nào để có thể đạt được các mục

tiêu đó một cách hiệu quả nhất Theo Merchant ( 1982, tr42) [85] “Sau khi đưa ra

chiến lược, thiết lập được kết hoạch thì công việc tiếp theo của các nhà quản lý là phải thiết kế các thủ tục để đảm bảo các kế hoạch được thực hiện và nếu điều kiện cho phép thì các kế hoạch này có thể được sửa đổi”

1.1.2 Phân loại kiểm soát

Hoạt động kiểm soát trong một tổ chức rất đa dạng có thể được phân loại theo nhiều tiêu thức khác nhau Theo PGS-TS Nguyễn Thị Phương Hoa (2011) [17] thì có thể phân biệt kiểm soát theo các tiêu thức sau:

Thứ nhất: Theo mức độ ảnh hưởng: Kiểm soát trực tiếp và kiểm soát tổng

quát Kiểm soát trực tiếp được xây dựng trên cơ sở đánh giá các yếu tố các bộ phận cấu thành hệ thống quản lý Kiểm soát tổng quát là sự kiểm soát tổng thể đối với nhiều

hệ thống, nhiều công việc khác nhau (Tr 15)

Thứ hai: Theo nội dung: Kiểm soát tổ chức và kiểm soát kế toán Trong đó,

kiểm soát tổ chức được thiết lập nhằm đảm bảo sự tuân thủ và hữu hiệu của tổ chức đối với các chính sách, các kế hoạch và cá quy định pháp luật hiện hành, bảo đảm các hoạt động được diễn ra theo các mục tiêu quản lý; bảo đảm việc sử dụng nguồn lực một cách hợp lý Kiểm soát kế toán được thiết lập nhằm tập trung vào việc kiểm tra thông tin cung cấp cho việc ra quyết định Kiểm soát kế toán trợ giúp cho việc đảm bảo độ tin cậy, xác thực và đầy đủ của thông tin tài chính, thông tin nghiệp vụ và là những biện pháp bảo vệ tài sản của đơn vị (Tr 15)

Thứ ba: Theo thời điểm kiểm soát và thời điểm xảy ra nghiệp vụ có ba loại: Kiểm soát trước thực hiện, kiểm soát trong thực hiện và kiểm soát sau thực hiện

Trong đó, kiểm soát trước thực hiện diễn ra trước khi đối tượng kiểm soát thực hiện hoạt động, có mục tiêu ngăn ngừa sai phạm xảy ra Kiểm soát trong thực hiện khi đối tượng kiểm soát đang hoạt động, nhằm mục tiêu thu thập thông tin phản hồi để có các biện pháp can thiêp kịp thời Kiểm soát sau thực hiện khi đối tượng kiểm soát đã kết thúc hoạt động, nhằm mục đích đánh giá kết quả và đúc rút kinh nghiệm (Tr16)

Thứ tư: Theo quan hệ giữa các thủ thể với khách thể: kiểm soát bao gồm

kiểm soát từ bên ngoài và kiểm soát nội bộ Trong đó, kiểm soát bên ngoài được thực hiện bởi các chủ thể bên ngoài còn kiểm soát nội bộ được thực hiện bởi các chủ thể bên trong doanh nghiệp Tuy nhiên cách phân loại theo tiêu chí này chỉ có tính chất tương đối vì một đối tượng có thê vừa là chủ thể quản lý vừa là đối tượng bị quản lý (Nguyễn Bình Ngọ, 2012) [22]

1.2 Kiểm soát nội bộ và cơ sở thiết lập kiểm soát nội bộ

1.2.1 Khái niệm kiểm soát nội bộ

Cách phân loại theo quan hệ giữa các chủ thể và khách thể thì kiểm soát bao gồm kiểm soát bên ngoài và kiểm soát nội bộ ( KSNB) Cũng giống như khái niệm kiểm soát thì khái niệm kiểm soát nội bộ cũng là một khái niệm có ý nghĩa rộng đã

được nhiều nhà nghiên cứu và các tổ chức định nghĩa Việc sử dụng kiểm soát nội bộ trong doanh nghiệp và trong kiểm toán đã được phát triển và không ngừng thay đổi từ đầu thế kỷ 20 (Heier et al, 2005) [74] Trong quá khứ thì khái niệm “kiểm soát nội bộ” được giới hạn trong phạm vi “ Kiểm tra nội bộ”, vào những năm 1930 hệ thống kiểm tra nội bộ được định nghĩa như: là sự kết hợp của một hệ thống kiểm tra và các thủ tục phòng ban liên quan, trong đó một người thực hiện nghĩa vụ của mình một cách độc lập và kiểm tra công việc của người khác như là các nhân tố rõ nét liên quan đến khả năng phát hiện ra các gian lận (Sawyer et al ,2003) [98] Các khái niệm đầu tiên này đã chỉ ra tầm quan trọng của kiểm soát nội bộ trong việc trợ giúp để ngăn ngừa và phát hiện gian lận

Quan điểm của AICPA (1992) [58] đã mở rộng và định nghĩa kiểm soát nội bộ

là “việc lập kế hoạch của tổ chức và tất cả sự kết hợp các cách thức, đo lường đựa thừa nhận trong phạm vi tổ chức để đảm bảo an toàn của tài sản, kiểm tra tính đúng đắn và tin cậy của các dữ liệu kế toán, thúc đẩy tính hữu hiệu của hoạt động, thúc đẩy

nhiều so với các quan điểm trước đó về kiểm soát nội bộ, AICPA cho rằng kiểm soát nội bộ không chỉ liên quan đến việc kiểm tra kế toán mà còn gắn liền với việc đảm bảo

an toàn của tài sản, tuân thủ các quy định của đơn vị, giảm thiểu rủi ro và đạt được các mục tiêu của tổ chức

Năm 1992 Coso [58] đã công bố một báo cáo với tiêu đề “Kiểm soát nội bộ-

bộ, mô tả các thành phần của kiểm soát nội bộ, cung cấp các tiêu chuẩn và các công cụ

hỗ trợ cho việc đánh giá kiểm soát nội bộ và trọng tâm chính của kiểm soát nội bộ là

một quá trình “ Kiểm soát nội bộ được định nghĩa như một quá trình, chịu ảnh hưởng

bởi Ban giám đốc, các nhà quản lý và các thành viên khác trong tổ chức, được thiết kế

để cung cấp sự đảm bảo hợp lý liên quan đến việc đạt được các loại mục tiêu sau đây: Hiệu quả và hiệu lực của hoạt động; Sự tin cậy của báo cáo tài chính; Tuân thủ pháp luật và các quy định liên quan (Coso 1992) Xuất phát từ các chức năng và các quá trình trong quản lý thì kiểm soát nội bộ bao gồm 05 thành phần chính sau: Môi trường kiểm soát; Đánh giá rủi ro; Giám sát; Các hoạt động kiểm soát và Thông tin và truyền thông” (Coso 1994 Tr 13) [58]

Báo cáo của Coso đã nhấn mạnh hệ thống kiểm soát nội bộ là một phương sách của quán lý, báo cáo này đã trở thành các tiêu chuẩn mà rất nhiều tổ chức theo đuổi mong muốn hướng tới trong hoạt động kinh doanh của mình (Knechel 2007) [79,80] Cho đến nay có rất ít những phản bác về định nghĩa kiểm soát nội bộ của Coso, định

nghĩa này đã được thừa nhận rộng rãi và là cơ sở định nghĩa về kiểm soát nội bộ trong các quy định ngày nay Cụ thể:

Tại Mỹ Năm 1996 thì Hiệp hội về kiểm tra hệ thống thông tin và kết hợp kiểm soát ISACS (information system audit and control association) và Viện quản trị công nghệ thông tin ITGI (information technology governance institute) đã ban hành một bộ tiêu chuẩn quốc tế về quản lý công nghệ thông tin Cobit [101] CoBiT cung cấp cho các nhà quản lý, những người kiểm tra và những người sử dụng IT một loạt các phép

đo, dụng cụ đo, các quy trình và các hướng dẫn thực hành tốt nhất để giúp họ tăng tối

đa lợi nhuận thông qua việc sử dụng công nghệ thông tin và giúp họ quản lý và kiểm

soát IT trong công ty Mục đích của CoBiT là “nghiên cứu, phát triển, quảng bá và

xúc tiến một tập hợp các mục tiêu kiểm soát CNTT được chấp nhận phổ biến để các

phát triển định nghĩa kiểm soát nội bộ dựa vào khuôn khổ hợp nhất của Coso “Là các

chính sách, các thủ tục, công việc và cơ cấu tổ chức được thiết kế để cung cấp sự đảm bảo hợp lý cho việc đạt được các mục tiêu trong kinh doanh và ngăn ngừa, phát

Ủy ban kiểm toán nội bộ của Mỹ (Institute of internal auditors) đã đưa ra một báo cáo về nghiên cứu cơ sở của hệ thống kiểm tra và kiểm soát SAC (Research foundation’s System auditability and control) [101] Báo cáo này đã cung cấp những hướng dẫn cho việc sử dụng, quản lý và bảo vệ nguồn lực công nghệ thông tin và thảo luận những ảnh hưởng đối với người sử dụng máy tính, viễn thông và những công nghệ mới (Colbert et al 2005) [101] SAC đã đưa ra định nghĩa về hệ thống kiểm soát

nội bộ “ là một tập hợp các quá trình, chức năng, các hoạt động, các phân hệ và nhân

sự, những nhân sự trong tổ chức sẽ được nhóm lại hoặc phân công nhiệm vụ rõ ràng

Vào năm 2003 Ủy ban Chuẩn mực kiểm toán và các Dịch vụ đảm bảo quốc tế (IAASB-The internaltional Auditing and assurance Standard Board) thuộc liên đoàn

Kế toán quốc tế (IFAC) đã ban hành một số chuẩn mực Kiểm toán mới trong đó có

Chuẩn mực ISA 315 [4] “ Hiểu biết tình hình kinh doanh, môi trường của doanh

diện về khái niệm rủi ro trong kiểm toán Chuẩn mực này đã thay thế cho các Chuẩn mực trước đó như ISA 310 – Hiểu biết về hoạt động kinh doanh; ISA 400- Đánh giá rủi ro và kiểm soát nội bộ [3] Quan điểm về kiểm soát nội bộ trong ISA 315 đã có rất nhiều thay đổi so với các Chuẩn mực kiểm toán trước đó, và về cơ bản là thừa nhận định nghĩa kiểm soát nội bộ theo khuôn mẫu của Coso “ KSNB Là một quá trình được

thiết kế và chịu sự chi phối của các nhà quản lý và các nhân viên trong một tổ chức nhằm cung cấp sự đảm bảo hợp lý về việc đạt được các mục tiêu liên quan đến độ tin cậy của báo cáo tài chính, hữu hiệu trong hoạt động, quản lý và tuân thủ các quy định, luật lệ liên quan” Và kiểm soát nội bộ bao gồm 05 thành phần: Môi trường kiểm soát; đánh giá rủi ro; Các hoạt động kiểm soát; giám sát và thông tin truyền thông

Mặc dù các định nghĩa trên về cơ bản bao gồm nhiều khía cạnh giống nhau, nhưng cũng có một vài điểm khác biệt Coso đã nhấn mạnh kiểm soát nội bộ như một quy trình Cobit xem xét kiểm soát nội bộ như một quy trình gồm có các chính sách, các thủ tục, nhiệm vụ và cơ cấu tổ chức trợ giúp cho các quá trình và mục tiêu kinh doanh SAC đã nhấn mạnh kiểm soát nội bộ là một hệ thống Tuy nhiên chỉ có báo cáo của Coso là tập chung ở góc độ tổng thể doanh nghiệp còn các cơ sở khác chủ yếu tập chung vào một vài khía cạnh cụ thể trong thực tế hoạt động của doanh nghiệp

Trong những năm gần đây các kiểm toán viên, các nhà quản lý, kế toán viên và các nhà hành pháp dành rất nhiều sự quan tâm tới việc xây dựng, thiết kế hệ thống kiểm soát nội bộ Cho đến nay có 05 tài liệu quan trọng làm cơ sở cho việc thiết kế và vận hành kiểm soát nội bộ bao gồm: Khuôn khổ kiểm soát và kiểm tra hệ thống thông tin- Cobit ( Controls objectives for information and related Technology); Khuôn khổ kiểm tra, kiểm soát của Ủy ban kiểm toán nội bộ (IIA); Khuôn khổ hợp nhất kiểm soát nội bộ của Coso; Quản lý rủi ro – Một khuôn khổ hợp nhất Coso (ERM) Và các chuẩn mực xem xét kiểm soát nội bộ trong thực hiện kiểm toán báo cáo tài chính ( SAS 55; SAS 78; SAS 94 ) của AICPA [101]

Kiểm soát nội bộ theo khuôn khổ của COSO

Năm 1992 Coso đã công bố một báo cáo với tiêu đề “ Kiểm soát nội bộ- Một

mô tả các thành phần của kiểm soát nội bộ, cung cấp các tiêu chuẩn và các công cụ hỗ trợ cho việc đánh giá kiểm soát nội bộ và trọng tâm chính của báo cáo này coi kiểm soát nội bộ là một quá trình và là một công cụ của quản lý Cho đến nay có rất ít những phản bác về định nghĩa kiểm soát nội bộ của Coso, định nghĩa này đã được thừa nhận

rộng rãi và là cơ sở định nghĩa về kiểm soát nội bộ trong các quy định ngày nay

(*) Cơ sở cho việc thiết kế: Kiểm soát nội bộ được thiết lập sẽ hướng các công

ty vào kết quả kinh doanh, đạt được các mục tiêu của nó, và giảm thiểu những hoạt động bất thường xảy ra trong quá trình hoạt động Kiểm soát nội bộ giúp cho các nhà quản lý thích ứng với sự thay đổi nhanh của môi trường cạnh tranh và môi trường kinh

tế, sự thay đổi trong nhu cầu và những mong muốn của khách hàng, cấu trúc tăng trưởng trong tương lai Kiểm soát nội bộ thúc đẩy hiệu quả, giảm thiểu rủi ro do thiếu hụt tài sản và trợi giúp trong việc đảm bảo lập báo cáo tài chính trung thực cũng như

tuân thủ các quy định và luật pháp liên quan (Coso 1992) [58]

(*) Định nghĩa kiểm soát nội bộ: Kiểm soát nội bộ là một quá trình chịu ảnh

hưởng bởi Ban giám đốc, các nhà quản lý và các đối tượng khác, được thiết kế để cung cấp sự đảm bảo hợp lý liên quan đến việc đạt được các mục tiêu: Sự tin cậy của Báo cáo tài chính; Hiệu quả và hiệu lực của hoạt động và Tuân thủ pháp luật và các quy định liên quan

(*) Mục tiêu kiểm soát nội bộ của Coso: hiệu quả và hiệu lực của hoạt động;

Lập báo cáo tài chính tin cậy; Tuân thủ luật pháp và các quy định có liên quan (Colbert&Bowen, 1996.26) [101]

(*) Các thành phần kiểm soát nội bộ của Coso:

- Môi trường kiểm soát: Bao gồm các nhân tố như triết lý điều hành, phong

cách lãnh đạo, chính sách nhân sự, tính chính trực và các giá trị đạo đức, cơ cấu tổ

chức và sự tham gia của các nhà lãnh đạo trong đơn vị

Nhận định rủi ro bao gồm việc xem xét các nhân tố bên trong và bên ngoài như sau: Nhân tố bên ngoài : Sự phát triển của công nghệ, năng lực cạnh tranh và thay đổi của nền kinh tế; Nhân tố bên trong: Chất lượng nguồn nhân lực, bản chất của các hoạt động kinh doanh của đơn vị và đặc điểm của quá trình xử lý hệ thống thông tin Phân tích rủi ro liên quan đến việc ước định những rủi ro trọng yếu có thể ảnh hưởng đến hoạt động kinh doanh của doanh nghiệp, đánh giá khả năng xảy ra của rủi ro và xem

xét các phương thức để quản lý các rủi ro đó

- Các hoạt động kiểm soát: Là các thủ tục, chính sách trợ giúp cho việc đảm

bảo các hướng dẫn của các nhà quản lý đều được thực hiện Hoạt động kiểm soát bao gồm việc xem xét các hệ thống kiểm soát, kiểm soát vật chất, phân chia trách nhiệm,

và kiểm soát hệ thống thông tin

- Thông tin và truyền thông: Doanh nghiệp phải có được hệ thống thông tin

truyền thông thích hợp trong toàn bộ tổ chức của mình Hệ thống thông tin được nhận biết, thu nhận ; báo cáo tài chính và thông tin trong hoạt động có ích cho việc kiểm

soát các hoạt động kinh doanh của mình

- Giám sát: Quản lý giám sát hệ thống kiểm soát thông qua việc xem xét các kết quả đầu ra và các quy định hoạt động kiểm soát

Hình 1.1: Mô hình kiểm soát nội bộ của Coso (1992) Quản lý rủi ro - Một khuôn khổ hợp nhất (ERM)

Quản lý rủi ro doanh nghiệp theo một khuôn khổ hợp nhất (ERM) cũng được phát triển bởi Coso (2004) Đó là một quá trình được xây dựng trong một doanh nghiệp và được ứng dụng để nhận biết rủi ro nhằm cung cấp sự đảm bảo hợp lý đạt được các mục tiêu kinh doanh và mục tiêu báo cáo tài chính của doanh nghiệp

Các thành phần của ERM cũng tương tự như thành phần của kiểm soát nội bộ theo khuôn mẫu của Coso hệ thống này cũng bao gồm một môi trường nội bộ gần giống như của môi trường kiểm soát của Coso Một trong những khâu quan trọng của ERM là thiết lập mục tiêu, trong đó bao gồm việc thiết lập các mục tiêu kết quả kinh doanh của doanh nghiệp Chẳng hạn như các nhà quản lý có thể thiết lập mục tiêu về lợi nhuận hoạt động, hoạt động trong một môi trường thân thiện, tuân thủ các quy định

và pháp luật liên quan, bảo toàn vốn, hoặc để đem lại một nơi làm việc thực sự có danh tiếng và uy tín

Sau khi thiết lập mục tiêu thì bước tiếp theo của ERM là nhận biết các sự kiện

có thể ảnh hưởng đến việc đạt được mục tiêu của doanh nghiệp bao gồm cả sự kiện bên trong và sự kiện bên ngoài Ví dụ như là sự thay đổi của công nghệ, tham gia thị trường mới, nhân viên gian lận, mua bán - sáp nhập, thay đổi lãi suất…tất cả những bất lợi trên đều có thể ảnh hưởng tới việc đạt được các mục tiêu của doanh nghiệp đặt

ra Mỗi một sự kiện trên sẽ được đánh giá trong một thời kỳ để kiểm soát các rủi ro có

thể xảy ra liên quan đến các sự kiện Đối với các rủi ro được đánh giá các nhà quản lý cần phải nhận biết và đưa ra các phương án thích hợp nhằm giảm thiểu hoặc chia sẻ rủi

ro thông qua việc thiết kế các thủ tục kiểm soát thích hợp

ERM cũng giống như Coso cả hai khuôn khổ này đều nhấn mạnh tầm quan trọng của chất lượng và nguồn lực công nghệ thông tin, và đều yêu cầu các quy trình cần phải được giám sát liên tục

Sự khác biệt lớn nhất giữa ERM và khuôn khổ kiểm soát nội bộ của Coso chính

là sự định hướng Khuôn khổ kiểm soát nội bộ của coso được miêu tả như một sự kết hợp từ dưới lên trên, xem xét doanh nghiệp như một đơn vị riêng lẻ với tập hợp các rủi

ro đơn lẻ ERM được miêu tả như một sự kết hợp trong toàn doanh nghiệp, cho phép các phòng ban, các bộ phận có mục tiêu, rủi ro khác nhau và những phương án đối với các rủi ro Một danh mục các rủi ro sẽ được xem xét cho cả các phòng ban, các đơn vị kinh doanh cũng như trong toàn doanh nghiệp Trong một số trường hợp có thể coi ERM là một sự mở rộng của khuôn khổ kiểm soát nội bộ của Coso và được ứng dụng

cụ thể trong các hoạt động kinh doanh phức tạp

Bảng 1.1: S7o sánh các thành phần của Kiểm soát nội bộ và ERM theo Coso

Môi trường bên trong X X

Nhận biết các sự kiện X

Hoạt động kiểm soát X X

Thông tin và truyền thông X X

Hình 1.2: Mô hình quản lý rủi ro – Theo Coso (ERM) Kiểm soát nội bộ theo khuôn khổ của COBIT

Cobit là một chuẩn quốc tế về quản lý công nghệ thông tin gồm những thực hành (cơ sở) tốt nhất về quản lý công nghệ thông tin do ISACA và ITGI xây dựng năm 1996 Cobit cung cấp cho các nhà quản lý, những người sử dụng IT một loạt các phép đo, công cụ đo lường, các quy trình và các hướng dẫn thực hành tốt nhất để giúp họ gia tăng tối đa lợi nhuận thông qua việc sử dụng công nghệ thông tin và giúp

họ quản lý và kiểm soát IT trong công ty Cơ sở này cho phép các nhà quản lý có thể chuẩn hóa việc bảo đảm và kiểm soát thực hành trong môi trường công nghệ thông tin Cobit đã phát triển định nghĩa kiểm soát từ COSO bao gồm các chính sách, thủ tục, công việc và cấu trúc tổ chức được thiết kế để cung cấp sự đảm bảo hợp lý về việc đạt được các mục tiêu kinh doanh cũng như việc phát hiện, hạn chế và khắc phục tối đa những sự kiện không mong muốn xảy ra khi hoạt động trong môi trường công nghệ thông tin (Cobit 2000:10) [101] Nội dung của Cobit về kiểm soát được trình bày tóm tắt như sau

(*) Cơ sở cho việc thiết kế: Nguồn lực công nghệ thông tin cần phải được quản

lý bởi một nhóm các quy trình công nghệ thông tin sẵn có nhằm cung cấp các thông tin

mà một tổ chức kinh doanh cần để có thể đạt được mục tiêu của mình ( ISACF, 1996

Audit Guidelines) [101]

(*) Định nghĩa kiểm soát nội bộ: Giống như các chuẩn mực của AICPA ( SAS

55; SAS78; SAS94) [35,36,37], Cobit đã phát triển định nghĩa kiểm soát nội bộ từ

Coso : Bao gồm các chính sách, các thủ tục, thực hành , và cấu trúc tổ chức được thiết

kế nhằm cung cấp một sự đảm bảo hợp lý cho việc đạt được các mục tiêu kinh doanh

và các sự kiện không mong muốn ảnh hưởng đến việc đạt được mục tiêu sẽ được ngăn chặn, phát hiện hoặc sửa chữa

Định nghĩa về mục tiêu kiểm soát công nghệ thông tin của Cobit cũng được

phát triển từ SAS [101]: Đó là một bảng báo cáo về các kết quả mong muốn và các

mục tiêu cần phải đạt được thông qua việc thực hiện các thủ tục kiểm soát trong một hoạt động công nghệ thông tin cụ thể

(*) Mục tiêu kiểm soát nội bộ của Cobit: Sự tin cậy của báo cáo tài chính; hiệu

quả và hiệu lưc của các hoạt động; Tuân thủ luật pháp và các quy định có liên quan; bảo mật, an toàn và tính có ích của thông tin (Colbert&Bowen, 1996.26) [101]

(*) Mục tiêu thiết kế của Cobit hướng tới:

- Đưa ra một khuôn khổ chung có thể ứng dụng tốt trong việc thực hành quản trị thông tin và kiểm soát công nghệ thông tin

- Thiết lập một bộ chuẩn cho các nhà quản lý dựa vào để đánh giá được sự an toàn thông tin và thực hành kiểm soát trong môi trường công nghệ thông tin

- Đảm bảo cho người sử dụng dịch vụ công nghệ thông tin được đảm bảo an toàn và tồn tại các kiểm soát để trợ giúp cho các kiểm toán viên có thể xác nhận về tình trạng kiểm soát nội bộ và tư vấn cho các nhà quản lý về sự an toàn của việc kiểm soát và các vấn đề liên quan đến công nghệ thông tin

- Tạo điều kiện cho việc phát triển rõ ràng các chính sách và thực hành tốt kiểm soát công nghệ thông tin trong tất cả các ngành nghề ( Colbert & Bowen, 1996:26) [101]

(*) Nội dung của Cobit bao gồm: Một bảng tóm tắt điều hành; khuôn khổ cho

việc kiểm soát công nghệ thông tin; một danh mục các mục tiêu kiểm soát; và một tập hợp các hướng dẫn kiểm toán Các mục tiêu kiểm soát và các hướng dẫn kiểm toán có thể được xây dựng từ khuôn khổ kiểm soát công nghệ thông tin ( Colbert & Bowen,

1996: 26) [101]

(*) Để đạt được mục tiêu kinh doanh, Cobit cũng yêu cầu các thông tin cần

phải thỏa mãn các tiêu chuẩn: Hiệu quả; Hiệu lực; Đầy đủ; Có thể sử dụng; Hợp

pháp; Tin cậy

(*) Các thành phần kiểm soát nội bộ của Cobit:

liên quan đến việc nhận biết các cách thức mà công nghệ thông tin có thể đóng góp tốt nhất tới việc đạt được các mục tiêu của doanh nghiệp Mặt khác việc thực hiện tầm nhìn chiến lược cần phải được lập kế hoạch, truyền thông và quản lý đối với các bối

cảnh khác nhau Một tổ chức lớn cần phải có một cơ sở hạ tầng công nghệ để quản lý

lược công nghệ thông tin, các giải pháp công nghệ thông tin cần được nhận biết, phát triển hoặc các yêu cầu, cũng như việc thực hiện và kết hợp trong quá trình kinh doanh Điều này cũng đảm bảo cho việc duy trì sự tồn tại của hệ thống

thời gian về chất lược của nó và tuân thủ các quy định về kiểm soát ( ISACF, 1996:

Audit guidelines) [101]

- Chuyển giao và hỗ trợ (Delivery and support): Liên quan đến việc chuyển

giao theo yêu cầu của dịch vụ như đào tạo Cùng với quá trình chuyển giao là sự hỗ trợ trong quy trình cần phải được thiết lập

Hình 1.3: Mô hình kiểm soát trong môi trường công nghệ thông tin theo Cobit Kiểm soát nội bộ theo quan điểm của AICPA

SAS55, 78, 94 [35,36,37] “Xem xét kiểm soát nội bộ trong quá trình kiểm toán báo cáo tài chính” là các chuẩn mực kiểm toán được ban hành bởi Ủy ban chuẩn mực kiểm toán của Hiệp hội kế toán viên công chứng Mỹ (AICPA- American Institute of

Certified Public Accountants) [101] Các chuẩn mực này đều định nghĩa kiểm soát nội

bộ, miêu tả các thành phần của kiểm soát nội bộ, cung câp những hướng dẫn tác động vào kiểm soát khi lập và thực hiện kiểm toán báo cáo tài chính Nội dung của SAS được tóm tắt như sau:

(*) Cơ sở cho việc thiết kế: Có được một sự hiểu biết đầy đủ về kiểm soát nội

bộ trong lập kế hoạch kiểm toán và xác định nội dung, thời gian và phạm vi các thủ tục

cần thực hiện (AICPA, 1995:2) [101]

(*) Định nghĩa kiểm soát nội bộ: SAS 78 [36] đã thay thế định nghĩa kiểm soát nội bộ quy định tại SAS 55 [35] và định nghĩa này cũng dựa trên cơ sở của Coso Kiểm soát nội bộ là một quá trình chịu ảnh hưởng bởi Ban giám đốc, các nhà

quản lý và các đối tượng khác, được thiết kế để cung cấp sự đảm bảo hợp lý liên quan đến việc đạt được các mục tiêu: Sự tin cậy của Báo cáo tài chính; Hiệu quả và hiệu lực của hoạt động và; Tuân thủ pháp luật và các quy định liên quan

(*) Mục tiêu kiểm soát nội bộ của SAS: Sự tin cậy của Báo cáo tài chính;

Hiệu quả và hiệu lực của hoạt động và; Tuân thủ pháp luật và các quy định liên quan (Colbert&Bowen, 1996.26) [101]

(*) Yêu cầu của SAS [35,36,37]: Yêu cầu các kiểm toán viên độc lập phải thực

hiện các thủ tục để đạt được sự hiểu biết về các thành phần của kiểm soát nội bộ trong quá trình lập kế hoạch kiểm toán làm cơ sở cho việc xác định phạm vi các công việc tiếp theo

từ đó có đầy đủ bằng chứng làm cơ sở cho ý kiến kiểm toán của mình

(*) Các thành phần kiểm soát nội bộ của SAS:

ảnh hưởng bởi ý thức kiểm soát của chính những người trong tổ chức đó, và cung cấp

các quy tắc và cấu trúc

quan đến việc đạt được các mục tiêu của doanh nghiêp, tạo cơ sở cho việc nhận dạng

và quản lý rủi ro

bảo các hướng dẫn của các nhà quản lý đều được thực hiện

- Thông tin và truyền thông: Là việc nhận biết, tiếp thu và trao đổi thông tin trong một môi trường Giúp cho các cá nhân ở đó thực hiện được trách nhiệm của họ

qua thời gian (IACPA, 1995,3) [101]

Kiểm soát nội bộ theo khuôn khổ của IIA

Vào năm 1977 Viện kiểm toán viên nội bộ của Mỹ (IIA) đã ban hành một báo

cáo có tên kiểm tra hệ thống và báo cáo kiểm soát (Systems auditability and control

tin và các rủi ro liên quan tương ứng trong việc thiết kế kiểm soát nội bộ Báo cáo này

đã đưa ra những thủ tục kiểm soát để giảm thiểu rủi ro, đề xuất các thủ tục kiểm toán

để có thể đánh giá được sự tồn tại và hiệu quả của các thủ tục kiểm soát Báo cáo này được sử dụng cho cả kiểm toán viên độc lập và kiểm toán viên nội bộ và được coi như một hướng dẫn kiểm soát công nghệ thông tin và thực hiện kiểm toán trong môi trường tin học SAC đã định nghĩa kiểm soát nội bộ, mô tả các thành phần của kiểm soát nội bộ, cung cấp một vài tiêu thức để phân loại kiểm soát, định nghĩa mục tiêu và rủi ro kiểm soát và định nghĩa vai trò của kiểm toán viên nội bộ ( Colbert&Bowen, 1996.29) [101] Nội dung của SAC được tóm tắt như sau:

(*) Cơ sở cho việc thiết kế: Có được đầy đủ các thủ tục kiểm soát đối với

nguồn lực thông tin trong một tổ chức là việc cần phải được ưu tiên hàng đầu (SAC,

1996 Audit guideline) [101]

(*) Định nghĩa kiểm soát nội bộ: Là một tập hợp các quy trình, các nhiệm vụ,

các hoạt động, các phân hệ và con người được nhóm lại đồng thời hoặc riêng biệt có chủ ý để đảm bảo đạt được hiệu quả các mục tiêu (Colbert & Bowen, 1996.29) [101]

(*) Mục tiêu kiểm soát nội bộ của SAC: Lập báo cáo tài chính tin cậy; hiệu

quả và hiệu lực của hoạt động; Tuân thủ luật pháp và các quy định có liên quan (Colbert&Bowen, 1996.26) [101]

(*) Các thành phần kiểm soát nội bộ của SAC:

chính sách và thủ tục và các ảnh hưởng bên ngoài

dụng phần mềm tích hợp

kiểm soát cụ thể (Colbert&Bowen, 1996: 29).[101]

Từ các quan niệm về kiểm soát nội bộ đối với các khuôn khổ ta có thể nhận thấy rằng SAC xem xét kiểm soát nội bộ như một hệ thống (Một tập hợp các chức năng và con người, mối quan hệ tương hỗ của họ) Nó xác định con người như là một thành phần không thể thiếu của hệ thống kiểm soát nội bộ SAC cũng cho rằng các

mục tiêu cần phải được đo lường rõ ràng Trong khi đó Coso nhấn mạnh kiểm soát nội

bộ là một quy trình và đó là một phần hoạt động kinh doanh của doanh nghiệp, Coso

đã lưu ý rằng con người liên quan trong cấu trúc kiểm soát nội bộ là các thành viên Ban giám đốc, các nhà quản lý hoặc các cá nhân khác trong doanh nghiệp Mục tiêu của Coso được tập trung vào các hoạt động, báo cáo tài chính và tính tuân thủ

SAS định nghĩa kiểm soát nội bộ giống hệt của Coso, nhưng nhấn mạnh tầm quan trọng của sự tin cậy báo cáo tài chính, trong khi đó Coso nhấn mạnh vào hiệu quả của hoạt động Cobit trong định nghĩa về kiểm soát nội bộ của mình cũng nhấn mạnh tầm quan trọng của kiểm soát nội bộ như là một quy trình và con người là nguồn lực chính được quản lý bởi các quy trình công nghệ thông tin

Trong luận án của mình NCS tập trung đi sâu vào mô hình kiểm soát nội bộ của Coso Bởi vì, đây là mô hình đầu tiên đầy đủ nhất và mô hình này đã trở thành nền tảng cho việc thiết lập các mô hình kiểm soát nội bộ trong các tổ chức hiện nay

Bảng 1.2: Bảng so sánh tóm tắt các cơ sở thiết lập kiểm soát nội bộ

Đối tượng quan tâm

Các nhà quản lý, người sử dụng và các kiểm toán viên công nghệ thông tin

Các kiểm toán viên nội bộ Các kiểm toán viên độc lập

Xem xét kiểm soát

Tập hợp một quá trình bao gồm các chính sách, các thủ tục và thực hành

Tập hợp các quy trình, phân hệ và con

Bao gồm các chính sách, các thủ tục, thực hành , và cấu trúc tổ chức được thiết kế nhằm cung cấp một sự đảm bảo hợp lý cho việc đạt được các mục tiêu kinh doanh và các sự kiện không mong muốn ảnh hưởng đến việc đạt được mục tiêu sẽ được ngăn chặn, phát hiện hoặc sửa chữa

Là một tập hợp các quy trình, các nhiệm vụ, các hoạt động, các phân hệ và con người được nhóm lại đồng thời hoặc riêng biệt có chủ ý để đảm bảo đạt được hiệu quả các mục tiêu( Colbert & Bowen, 1996.29

Kiểm soát nội bộ là một quá trình chịu ảnh hưởng bởi Ban giám đốc, các nhà quản lý và các đối tượng khác, được thiết kế để cung cấp sự đảm bảo hợp lý liên quan đến việc đạt được các mục tiêu: Sự tin cậy của Báo cáo tài chính; Hiệu quả và hiệu lực của hoạt động và; Tuân thủ pháp luật và các quy định liên quan

Mục tiêu kiểm soát

Sự tin cậy của báo cáo tài chính;

hiệu quả và hiệu lưc của các hoạt động; Tuân thủ luật pháp và các quy định có liên quan; bảo mật, an toàn

và tính có ích của thông tin (Colbert&Bowen, 1996.26)

Lập báo cáo tài chính tin cậy ; hiệu quả và hiệu lực của hoạt động; Tuân thủ luật pháp

và các quy định có liên quan

(Colbert&Bowen, 1996.26)

Sự tin cậy của Báo cáo tài chính; Hiệu quả và hiệu lực của hoạt động và; Tuân thủ pháp luật và các quy định liên quan (Colbert&Bowen, 1996.26)

1.3 Các thành phần của kiểm soát nội bộ theo khuôn mẫu của COSO

Môi trường kiểm soát là một thành phần trung tâm quyết định đến hiệu quả của kiểm soát nội bộ Môi trường kiểm soát là những nhân tố cho thấy những đặc điểm chung của một tổ chức, chịu ảnh hưởng bởi ý thức của chính những con người trong tổ chức đó, các nghiên cứu trước đã chỉ ra rằng môi trường kiểm soát yếu kém là những nguyên nhân chính gây ra các sai lầm trong hoạt động tài chính của một đơn vị Môi trường kiểm soát là nhân tố có ảnh hưởng lan tỏa tới các thành phần khác của kiểm soát nội bộ như: Đánh giá rủi ro, thiết lập mục tiêu, các hoạt động kiểm soát, hệ thống thông tin truyền thông, và các hoạt động giám sát (Coso 1994:23) [58] Việc xây dựng một môi trường kiểm soát hiệu quả có tác động mạnh mẽ vào quá trình quản lý và quản trị doanh nghiệp, đồng thời sẽ thúc đẩy việc thay đổi hành vi của nhân viên giúp cho doanh nghiệp có thể đạt được mục tiêu đặt ra Hooks et al (1984) [72] đã miêu tả môi trường kiểm soát như là một phần, một hoạt động của văn hóa tổ chức Môi trường kiểm soát được bắt đầu bởi các nhà quản trị, quản lý doanh nghiệp, nếu những chính sách và thủ tục được xây dựng bởi các nhà quản lý lỏng lẻo thì sai phạm về báo cáo tài chính có thể sẽ xảy ra Một vài nghiên cứu đã chỉ ra rằng hơn 80% trường hợp sai phạm báo cáo tài chính được đưa ra bởi SEC từ năm 1987 đến năm 1997 liên quan đến các nhà quản lý

Các yếu tố của môi trường kiểm soát nội bộ bao gồm:

Tính chính trực và các giá trị đạo đức

Tính hữu hiệu của các kiểm soát không thể cao hơn các giá trị đạo đức và tính chính trực của những người tạo ra, quản lý và giám sát đó Tính chính trực và các giá trị đạo đức là nhân tố cơ bản của môi trường kiểm soát, ảnh hưởng bởi việc thiết kế, quản trị và giám sát các thành phần khác của kiểm soát nội bộ Tính chính trực và các giá trị đạo đức là sản phẩm của chuẩn mực về hành vi và đạo đức của đơn vị cũng như việc truyền đạt và thực thi các chuẩn mực này trong thực tế

Cam kết về năng lực:

Năng lực là kiến thức và các kỹ năng cần thiết để hoàn thành nhiệm vụ thuộc phạm vi công việc của từng cá nhân Các nhà quản lý cần phải định rõ mức độ năng lực cần thiết đối với các công việc cụ thể và yêu cầu tương ứng về tri thức và kỹ năng đối với công việc đó Tri thức và kỹ năng lại phụ thuộc vào các yếu tố như sự thông minh, quá trình đào tạo và kinh nghiệm của các cá nhân Chính vì vậy nhà quản lý

doanh nghiệp thường phải thực hiện việc cân đối giữa mức độ công việc với năng lực của các cá nhân

Sự tham gia của Ban quản trị:

Ban quản trị có ảnh hưởng đáng kể đến nhận thức về kiểm soát nội bộ , Ban quản trị có trách nhiệm quan trọng và trách nhiệm đó được đề cập trong các chuẩn mực đạo đức nghề nghiệp, pháp luật và các quy định khác, hoặc các hướng dẫn được ban hành vì lợi ích của Ban quản trị Bên cạnh đó, Ban quản trị còn có trách nhiệm giám sát việc thiết kế và hiệu quả hoạt động của các thủ tục báo cáo các sai phạm và các thủ tục soát xét tính hữu hiệu của kiểm soát nội bộ của đơn vị

Triết lý và phong cách điều hành của Ban giám đốc:

Là quan điểm, thái độ và hành động của Ban giám đốc đối với việc chập nhận các rủi ro kinh doanh, lập và trình bày báo cáo tài chính, sự thận trọng của Ban giám đốc trong việc xây dựng các ước tính kế toán

cân nhắc các vấn đề chính về quyền hạn, trách nhiệm và các cấp bậc báo cáo cho phù hợp Sự phù hợp của cơ cấu tổ chức phụ thuộc một phần vào quy mô và đặc điểm hoạt động của đơn vị

Phân công quyền hạn và trách nhiệm

Việc phân công quyền hạn và trách nhiệm có thể bao gồm các chính sách liên quan đến thông lệ phổ biến, hiểu biết về kinh nghiệm của các nhân sự chủ chốt, và các nguồn lực được cung cấp đẻ thực hiện nhiệm vụ Ngoài ra, việc phân công có thể bao gồm các chính sách và trao đổi thông tin để đảm bảo rằng tất cả các nhân viên đều hiểu được mục tiêu của đơn vị, hiểu được hành động của mỗi cá nhân có liên quan tới nhau như thế nào và đóng góp như thế nào vào mục tiêu đặt ra

Các chính sách và thông lệ về nhân sự

Các chính sách và thông lệ về nhân sự thường cho thấy các vấn đề quan trọng liên quan đến nhận thức về kiểm soát của đơn vị Các tiêu chuẩn về tuyển dụng và đánh giá nhân sự, cam kết của đơn vị đối với người có năng lực và có sự tin cậy Các chính sách đào tạo, hội thảo liên quan đến các nhiệm vụ trong tương lai

Mỗi đơn vị luôn phải đối mặt với rủi ro bên trong và rủi ro bên ngoài Điều kiện trước tiên để đánh giá rủi ro là thiết lập mục tiêu Mục tiêu phải được thiết lập ở các

cấp độ khác nhau và phải nhất quán Đánh giá rủi ro là quá trình nhận dạng và phân tích những rủi ro ảnh hưởng đến việc đạt được mục tiêu, từ đó có thể quản trị được rủi

ro Do điều kiện kinh tế, đặc điểm và hoạt động kinh doanh, những quy định luôn thay đổi, nên cơ chế nhận dạng và đối phó với rủi ro phải liên kết với sự thay đổi này

Coso (1994:33-39) [58] đã nhấn mạnh tầm quan trọng của việc thiết lập mục tiêu trong một doanh nghiệp và việc đánh giá rủi ro được coi như một điều kiện tiên quyết Do đó việc quản lý phải làm rõ việc thiết lập các mục tiêu trước khi nhận biết rủi ro cũng như các hoạt động cần thiết để quản lý các loại rủi ro này Việc thiết lập các mục tiêu được coi như một phần của quá trình quản lý, nó không giống như quy trình của kiểm soát nội bộ mà phụ thuộc vào mục tiêu của doanh nghiệp và chủ sở hữu Mục tiêu của doanh nghiệp có thể được phân làm 03 nhóm: (1) Mục tiêu hoạt động; (2) Mục tiêu cho việc lập và trình bày báo cáo tài chính; (3) Mục tiêu tuân thủ

Có nhiều cách phân loại rủi ro theo Chong (2003: 10) [59] thì rủi ro có thể được chia thành 02 nhóm: Nhóm thứ nhất là loại rủi ro ở cấp độ doanh nghiệp là loại rủi ro

có thể ra tăng từ các nhân tố bên trong hoặc bên ngoài doanh nghiệp (VD: Sự thay đổi

và phát triển của khoa học công nghệ, sự thay đổi của khách hàng quan trọng, thay đổi trong các quy định của Nhà nước ) Nhóm thứ 02 là nhóm rủi ro ở cấp độ hoạt động

là loại rủi ro xảy ra gắn liền với các quy trình hoạt động của doanh nghiệp (VD: rủi ro liên quan đến việc lập và trình bày báo cáo tài chính, rủi ro trong quy trình sản xuất; rủi ro bán hàng, rủi ro thanh khoản )

Trong năm 2004 Coso đã phát triển thêm một khuôn khổ cho việc quản lý rủi ro trong một tổ chức có tên gọi Khuôn khổ quản lý rủi ro trong doanh nghiệp ( Enterprise Risk management Framework- ERM) Khuôn khổ ERM bao trùm lên tất cả các thành phần ( 05 thành phần ) của khuôn khổ kiểm soát nội bộ, tuy nhiên nó cũng là những thành phần của các mục tiêu cần thiết lập trong doanh nghiệp, nhận biết các sự kiện và các rủi ro tương ứng ( Rittenberg 2005) [93] Trong luận án này các thành phần của ERM được coi như là một phần của quá trình quản lý rộng lớn, không phải là một thành phần của kiểm soát nội bộ giám sát báo cáo tài chính do đó luận án không trình bày phạm vi của khuôn khổ này

Nếu môi trường kiểm soát và đánh giá rủi ro là các khái niệm rộng bao trùm ở cấp độ doanh nghiệp và nó thường khó hình dung cũng như đánh giá hơn bởi sự thiêu hụt các tiêu chuẩn thì hoạt động kiểm soát liên quan tới những mục tiêu và rủi ro được xác định rõ ràng thường được xác định thông qua các thủ tục của doanh nghiệp và có

thể đo lường được dễ dàng hơn

Theo Coso (2004) thì hoạt động kiểm soát là các chính sách và các thủ tục trợ giúp đảm bảo cho các chỉ đạo của các nhà quản lý được thực hiện Hoạt động kiểm soát xuất hiện trong khắp tổ chức, ở tất cả các cấp độ và trong tất cả các chức năng Hoạt động kiểm soát bao gồm nhiều hoạt động như sau (VAS 315) [4]:

(1) Đánh giá tình hình hoạt động: Các hoạt động kiểm soát này bao gồm việc

đánh giá và phân tích tình hình hoạt động thực tế so với kế hoạch, so với dự báo hay so với tình hình hoạt động của kỳ trước; đánh giá và phân tích mối liên hệ giữa các dữ liệu khác nhau có liên quan, như dữ liệu về hoạt động và dữ liệu về tài chính, đồng thời thực hiện việc phát hiện và sửa chữa; so sánh các số liệu nội bộ với các nguồn thông tin bên ngoài và đánh giá tình hình thực hiện chức năng hay hoạt động

(2) Xử lý thông tin: Hai nhóm hoạt động kiểm soát hệ thống thông tin được sử

dụng phổ biến là kiểm soát chương trình ứng dụng và kiểm soát chung về công nghệ thông tin Kiểm soát chương trình ứng dụng được áp dụng cho việc xử lý từng ứng dụng riêng lẻ Kiểm soát chung về công nghệ thông tin là những chính sách và thủ tục liên quan tới nhiều ứng dụng và hỗ trợ cho khả năng hoạt động hiệu quả của các kiểm soát chương trình ứng dụng bằng cách giúp đảm bảo khả năng hoạt động bình thường của hệ thống thông tin

(3) Kiểm soát về mặt vật chất: Là các kiểm soát bao gồm:

Bảo đảm an toàn vật chất của tài sản, bao gồm thuê nhân viên bảo vệ và sử dụng các phương tiện bảo đảm an toàn cho việc tiếp cận tài sản và hồ sơ tài liệu;Thẩm quyền truy cập vào chương trình máy tính và tệp dữ liệu; Định kỳ kiểm đếm và so sánh số liệu thực tế với số liệu được ghi chép trong sổ sách Mức độ, phạm vi mà các kiểm soát về mặt vật chất nhằm ngăn ngừa việc trộm cắp tài sản có liên quan tới mức

độ tin cậy của việc lập báo cáo tài chính, và do đó, liên quan đến cả chất lượng kiểm toán, phụ thuộc vào việc tài sản có dễ bị mất cắp hay không

(4) Phân công trách nhiệm: Giao cho những người khác nhau chịu các trách

nhiệm về phê duyệt giao dịch, ghi chép giao dịch và trông coi, bảo quản tài sản Việc phân nhiệm nhằm giảm cơ hội cho bất cứ cá nhân nào có thể vừa vi phạm và vừa che giấu sai phạm hoặc gian lận trong quá trình thực hiện nhiệm vụ thông thường của mình

Một số hoạt động kiểm soát nhất định có thể phụ thuộc vào sự tồn tại của các chính sách phù hợp ở cấp độ cao hơn do Ban Giám đốc hoặc Ban quản trị thiết lập

1.3.4 Thông tin và truyền thông

Các thông tin cần thiết phải được nhận dạng, thu thập và trao đổi trong đơn vị

dưới hình thức và thời gian thích hợp sao cho nó giúp mọi người trong đơn vị thực hiện được nhiệm vụ của mình Thông tin và truyền thông tạo ra báo cáo, chứa đựng các thông tin cần thiết cho việc quản lý và kiểm soát đơn vị Sự trao đổi thông tin hữu hiệu đòi hỏi phải diễn ra theo nhiều hướng: từ cấp trên xuống cấp dưới, từ dưới lên trên và giữa các cấp với nhau Mỗi cá nhân cần hiểu rõ vai trò của mình trong HTKSNB cũng như hoạt động của cá nhân có tác động tới công việc của người khác như thế nào Ngoài ra, cũng cần có sự trao đổi hữu hiệu giữa đơn vị với các đối tượng bên ngoài như khách hàng, nhà cung cấp, cổ đông và các cơ quan quản lý

Hệ thống thông tin đưa ra các báo cáo, các thông tin hoạt động, tài chính và tính tuân thủ của doanh nghiệp, nó đảm bảo cho sự hoạt động cũng như giám sát doanh nghiệp Hệ thống thông tin không chỉ bao gồm những thông tin bên trong doanh nghiệp mà còn bao gồm cả những sự kiện phát sinh bên ngoài, là những hoạt động và những điều kiện cần thiết cho việc ra quyết định và lập các báo cáo cung cấp thông tin

ra bên ngoài Thông tin tài chính có thể được sử dụng để ra các quyết định trong quá trình hoạt động và một vài thông tin hoạt động là dữ liệu thiết yếu cho việc lập và trình bày báo cáo tài chính Hệ thống thông tin liên quan đến mục tiêu lập và trình bày báo cáo tài chính, gồm hệ thống báo cáo tài chính, trong đó có các phương pháp và ghi chép để: Xác định và ghi nhận tất cả các giao dịch có hiệu lực; Mô tả các giao dịch một cách kịp thời, chi tiết để cho phép phân loại phù hợp các giao dịch để lập và trình bày báo cáo tài chính; Đo lường giá trị của các giao dịch để đảm bảo giá trị giao dịch được phản ánh hợp lý trong báo cáo tài chính; Xác định thời kỳ diễn ra giao dịch để ghi nhận giao dịch đúng kỳ kế toán; Trình bày thích hợp các giao dịch và các thuyết minh liên quan trên báo cáo tài chính

Truyền thông là hoạt động vôn có trong hệ thống thông tin, truyền thông trong doanh nghiệp có thể được chia thành truyền thông nội bộ và truyền thông bên ngoài Truyền thông nội bộ liên quan đến việc thu nhận các dữ liệu liên quan đến hoạt động quản lý doanh nghiệp và truyền thông một cách rõ ràng các chỉ đạo của các cấp quản

lý cấp cao đến toàn bộ nhân viên về trách nhiệm kiểm soát nội bộ cần phải được thực hiện một cách nghiêm túc Truyền thông bên ngoài hướng tới các nhà cung cấp, các khách hàng, ngân hàng, kiểm toán viên độc lập và các cổ đông

1.3.5 Giám sát

Hệ thống kiểm soát nội bộ và việc ứng dụng các kiểm soát sẽ thay đổi theo thời gian Điều này là do các nguyên nhân như: Nhân sự mới, các thủ tục giám sát có hiệu quả không giống nhau, sự mâu thuẫn về thời gian và nguồn lực, sự thay đổi trong hoàn cảnh Chính vì thế các nhà quản lý cần phải thực hiện việc nhận biết và quan sát liên tục kiểm soát nội bộ và hiệu quả của kiểm soát nội bộ trong doanh nghiệp

qua quá trình giám sát liên tục hoặc giám sát tách biệt hoặc kết hợp cả hai phương pháp trên Giám sát liên tục xuất hiện trong quá trình các hoạt động diễn ra, nó bao gồm cá quy định về hoạt động quản lý , hoạt động giám sát và các hoạt động khác mà các cá nhân thực hiện nghĩa vụ của họ trong tổ chức Phạm vi và tần xuất của đánh giá tách biệt phụ thuộc chính vào việc đánh giá rủi ro và hiệu quả của các thủ tục giám sát liên tục Những hạn chế của kiểm soát nội bộ cần phải được báo cáo tới các nhà quản

lý cấp cao và ban giám đốc Giám sát là các phương pháp của nhà quản lý cho việc liên tục và kiểm tra hiệu quả để đảm bảo các thủ tục kiểm soát được tuân thủ Với thành phần giám sát kiểm soát nội bộ như một vòng tuần hoàn giám sát để trợ giúp cho việc cải thiện hoạt động kiểm soát, hệ thống thông tin và môi trường kiểm soát

1.4 Gian lận và các yếu tố rủi ro có thể dẫn tới gian lận báo cáo tài chính

Gian lận xuất hiện cùng với sự xuất hiện của xã hội loài người Cùng với quá trình phát triển của xã hội, hành vi gian lận ngày càng tinh vi hơn và biểu hiện dưới vô

số hình thức khác nhau Nguồn gốc của gian lận bắt đầu từ khi loài người chuyển từ cuộc sống riêng biệt của từng cá thể sang sống chung thành cộng đồng Hình thức sơ khai của gian lận là hành vi ăn cắp tài sản nhằm thỏa mãn nhu cầu của cá nhân Gian lận ngày càng phát triển cùng với sự phát triển của nền kinh tế, gian lận đã xuất hiện trong mọi nghề nghiệp và gây nhiều ảnh hưởng tiêu cực đến sự phát triển của xã hội Chính vì vậy, trên thế giới đã có nhiều công trình nghiên cứu về gian lận, đứng trên nhiều góc độ khác nhau, nhằm giúp các nghề nghiệp có liên quan tìm được biện pháp ngăn ngừa và phát hiện gian lận Mặc dù vậy, khái niệm gian lận, sai sót và phương pháp phát hiện, ngăn chặn chúng đã được hình thành và phát triển để trở thành một hệ thống lý luận liên quan mật thiết đến nhiều nghề nghiệp Quá trình nhận thức về bản chất gian lận và sai sót đã đưa đến các định nghĩa khác nhau từ đơn giản đến phức tạp, các khái niệm này thay đổi cùng với sự phát triển của xã hội loài người

Theo Từ điển Tiếng Việt (2006) [30], Gian lận là hành vi dối trá, mánh khóe,

lừa lọc người khác Còn sai sót là khuyết điểm không lớn do sơ suất gây ra

Theo từ điển của Webster [112] thì “Gian lận là sự dối trá có chủ ý khiến một người nào đó phải từ bỏ tài sản hoặc một vài nghĩa vụ pháp lý”

Theo chuẩn mực kiểm toán số 240 [5]“ Trách nhiệm của kiểm toán viên liên

quan đến gian lận trong kiểm toán báo cáo tài chính”: “Gian lận là hành vi cố ý do

một hay nhiêu người trong Ban quản trị, Ban giám đốc, các nhân viên hoặc bên thứ ba thực hiện bằng các hành vi gian dối để thu lợi bất chính hoặc bất hợp pháp”

Như vậy hiểu theo nghĩa tổng quát có thể coi gian lận là việc thực hiện các hành

vi không hợp pháp nhằm lừa gạt, dối trá để thu được một lợi ích nào đó

Từ khái niệm chung về gian lận các nhà nghiên cứu tiếp tục đưa ra khái niệm về gian lận báo cáo tài chính Theo Hiệp hội các nhà điều tra gian lận Hòa kỳ (ACFE)

[42] thì gian lận báo cáo tài chính là: “ là sự chủ ý, có tính toán, trình bày sai hoặc bỏ

sót các sự kiện quan trọng, hoặc dữ liệu kế toán có thể đưa đến sự hiểu lầm khi người đọc xem xét các thông tin được sử dụng và có thể là lý do để thay đổi việc xét đoán và

Theo Coso thì gian lận báo cáo tài chính “là một hành vi chủ ý hoặc thiếu thận trọng hoặc cả hai hoặc bỏ sót mà kết quả dẫn tới những sai phạm trọng yếu trên báo cáo tài chính”

Trong giai đoạn gần đây thì AICPA đã đưa ra chuẩn mực kiểm toán SAS 82 trong đó nêu rõ “ Gian lận báo cáo tài chính là một sự sai sót hoặc bỏ sót trên báo cáo tài chính” SAS 82 [38] đã định nghĩa gian lận trên cơ sở gắn với các hành động có chủ

ý hoặc vô ý tạo ra những sai phạm trên báo cáo tài chính SAS 82 cũng đã chỉ ra hai loại gian lận mà kiểm toán viên cần phải xem xét khi thực hiện kiểm toán:

- Gian lận báo cáo tài chính: Liên quan đến việc chủ ý trình bày sai hoặc bỏ sót giá trị, công bố thông tin sai về báo cáo tài chính

- Biển thủ tài sản: Biển thủ tài sản xuất hiện khi nhân viên có hành động ăn

cắp tài sản của công ty, các tài sản này có thể là tiền hoặc tài sản dạng vật chất

Năm 2002 IACPA [101] cũng ban hành SAS 99 [39] thay thế cho SAS 82 Chuẩn mực này không thay đổi các khái niệm về gian lận và tiếp tục nhấn mạnh trách nhiệm của kiểm toán viên về việc phát hiện gian lận trong quá trình kiểm toán đó là: (1) thảo luận trong nhóm thành viên kiểm toán về các rủi ro có thể dẫn tới gian lận; (2) Trao đổi với các nhà quản lý về khả năng hoặc nghi ngờ khi có gian lận; (3) Mở rộng hơn các yếu tố rủi ro có thể dẫn tới gian lận nhằm trợ giúp cho kiểm toán viên có thể đánh giá gian lận trong quá trình kiểm toán; (4) Xem xét các kế hoạch của các nhà quản lý nhằm giảm thiểu những rủi ro có thể nhận biết hoặc những sự kiện làm gia tăng giá trị rủi ro; (5) phát triển những kỹ thuật đánh giá phù hợp đối với những rủi ro

có thể dẫn tới gian lận

Nhân tố dẫn tới rủi ro có gian lận “Là các sự kiện hoặc điều kiện phản ánh một

động cơ hoặc áp lực phải thực hiện hành vi gian lận hoặc tạo cơ hội thực hiện hành vi

Trên thực tế, hành vi gian lận thường được che dấu và rất khó phát hiện, vì vậy kiểm toán viên phải đánh giá xem các thông tin thu thập được từ các thủ tục đánh giá rủi ro khác và các hoạt động liên quan có dấu hiệu cho thấy sự tồn tại của một hoặc nhiều yếu tố dẫn đến rủi ro có gian lận hay không Qua quan sát, kiểm toán viên có thể rất khó phát hiện các yếu tố dẫn đến rủi ro có gian lận và ngay cả khi có các yếu tố này cũng chưa chắc gian lận đã xảy ra Tuy nhiên các yếu tố này thường xuất hiện khi các hành vi gian lận đã xuất hiện và do đó nó có thể là dấu hiệu của rủi ro có sai sót trọng yếu do gian lận

Theo Chuẩn mực VSA 240 [5] thì Các yếu tố dẫn đến rủi ro có gian lận khó có thể phân loại theo mức độ quan trọng Tầm quan trọng của các yếu tố dẫn đến rủi ro có gian lận là rất khác nhau Tại một số đơn vị với những điều kiện cụ thể, một số yếu tố này có thể có nhưng không nhất thiết cho thấy rủi ro có sai sót trọng yếu Do đó, việc xác định yếu tố dẫn đến rủi ro có gian lận có tồn tại hay không và nó có được xem xét khi đánh giá rủi ro báo cáo tài chính có sai sót trọng yếu do gian lận hay không đòi hỏi kiểm toán viên phải thực hiện các xét đoán chuyên môn

Quy mô, mức độ phức tạp và hình thức sở hữu của đơn vị có ảnh hưởng quan trọng đến việc xem xét các yếu tố dẫn đến rủi ro có gian lận liên quan Ví dụ, các đơn

vị có quy mô lớn thường có nhiều yếu tố hạn chế các hành động bất hợp pháp của Ban Giám đốc, như: (1) Ban quản trị thực hiện công tác giám sát một cách hiệu quả; (2) Có

bộ phận kiểm toán nội bộ hoạt động hiệu quả; (3) Có văn bản quy định về đạo đức và biện pháp chống gian lận có hiệu lực Bên cạnh yếu tố về Quy mô và độ phức tạp thì khi xem xét theo cấp độ từng bộ phận kinh doanh có thể cung cấp những hiểu biết khác với khi so sánh với các yếu tố dẫn đến rủi ro có gian lận thu thập được khi xem xét theo cấp độ toàn đơn vị (Chuẩn mực 240)

Cressey (1950) [61] trên cơ sở khảo sát 200 trường hợp tội phạm kinh tế dưới góc độ tham ô và biển thủ tài sản nhằm tìm ra các nguyên nhân dẫn đến các hành vi vi phạp pháp luật Cressey đã đưa ra mô hình tam giác gian lận (Fraud Triangle) để trình bày các nhân tố dẫn đến hành vi gian lận và cho đến ngày nay thì mô hình này đã trở thành một trong những lý thuyết quan trọng, chính thống được sử dụng trong nghiên cứu về gian lận Các chuẩn mực của AICPA (SAS 53, SAS 82 và SAS 99) và các chuẩn mực của IFRS (ISA 240) đều đã dựa vào lý thuyết của Cressey để ban hành các quy định về gian lận

Theo lý thuyết về gian lận của Cressey thì để gian lận xuất hiện phải có 03 điều kiện sau:

- Động cơ (hay Áp lực): Gian lận thường phát sinh khi nhân viên, người quản

lý hay tổ chức phải chịu áp lực Áp lực có thể là những bế tắc trong cuộc sống cá nhân, trong công việc hoặc bị sức ép từ các bên Một số trường hợp phổ biến có thể tạo ra động cơ thực hiện hành vi gian lận như: Một số yếu tố có thể dẫn tới cơ hội thực hiện hành vi gian lận: (1) Sự ổn định tài chính hay khả năng sinh lời bị ảnh hưởng bởi tình hình kinh tế, ngành nghề kinh doanh hay điều kiện hoạt động của đơn vị; (2) Áp lực cao đối với Ban Giám đốc nhằm đáp ứng các yêu cầu hoặc kỳ vọng của các bên thứ ba; (3) Các thông tin cho thấy tình hình tài chính cá nhân của Ban Giám đốc hoặc Ban quản trị

bị ảnh hưởng bởi kết quả hoạt động của doanh nghiệp; (4) Áp lực cao đối với Ban Giám đốc hoặc nhân sự điều hành để đạt được các mục tiêu tài chính mà Ban quản trị đặt ra, bao gồm các chính sách khen thưởng theo doanh thu hay tỷ suất lợi nhuận

- Cơ hội: Sẽ tạo ra khả năng có thể thực hiện hành vi gian lận bởi vì các đối

tượng gian lận không bao giờ mong muốn bị bắt và họ tin rằng hành động gian lận của

họ sẽ không bị phát hiện Cơ hội thường xuất hiện khi kiểm soát nội bộ yếu kém, việc quản lý - giám sát bị hạn chế, việc thiết kế các thủ tục phát hiện ra gian lận không thích hợp Trong 03 yếu tố của tam giác gian lận thì cơ hội là yếu tố được kiểm soát phổ biến nhất trong tổ chức, bởi vì tổ chức có thể thiết kế các chương trình, các thủ tục

và kiểm soát để không cho các đối tượng gian lận có cơ hội thực hiện hành vi của mình Có hai yếu tố liên quan đến cơ hội là nắm bắt thông tin và kỹ năng thực hiện Trong đó:

Nắm bắt thông tin là việc quan sát được, nghe được, hành vi gian lận của một người khác hay nhận thấy được tại vị trí của mình có thể thực hiện một hành vi gian lận tương tự vì không bị giám sát hay khả năng ít bị phát hiện

Kỹ năng thực hiện là cách thức để thực hiện hành vi gian lận, kỹ năng này tùy thuộc vào vị trí của họ trong tổ chức Hầu hết cách thức tham ô, biển thủ tài sản đều gắn liền với những công việc hàng ngày, quen thuộc của các đối tượng gian lận

Một số trường hợp có thể dẫn tới cơ hội thực hiện hành vi gian lận: Đặc điểm

của ngành hay các hoạt động của đơn vị có thể tạo ra cơ hội cho gian lận trong báo cáo tài chính thường phát sinh từ việc giám sát hoạt động của Ban Giám đốc không hiệu quả do những nguyên nhân sau: Cơ cấu tổ chức phức tạp hoặc không ổn định và Kiểm soát nội bộ kém hiệu lực.

- Biện minh hành vi gian lận: Các cá nhân có thể biện minh cho việc thực

hiện hành vi gian lận Một số cá nhân có thái độ, tính cách hoặc hệ thống các giá trị đạo đức cho phép họ thực hiện một hành vi gian lận một cách cố ý Tuy nhiên, ngay cả khi không có các điều kiện như vậy thì những cá nhân trung thực cũng có thể thực hiện hành vi gian lận khi ở trong môi trường có áp lực mạnh

Một số trường hợp có thể tạo ra sự biện minh cho hành vi gian lận: Cấp quản lý truyền đạt, thực hiện, hỗ trợ hoặc yêu cầu thực hiện văn hoá doanh nghiệp hoặc tiêu chuẩn đạo đức nghề nghiệp không phù hợp và không hiệu quả; Thành viên Ban Giám đốc không có chuyên môn nghiệp vụ về tài chính nhưng can thiệp hoặc áp đặt quá mức trong việc lựa chọn chính sách kế toán hoặc xác định những ước tính kế toán quan trọng; Đã có tiền sử vi phạm pháp luật về chứng khoán hoặc pháp luật và các quy định khác, hoặc đơn vị bị khiếu kiện, hoặc Ban quản trị, Ban Giám đốc bị cáo buộc gian lận hoặc vi phạm pháp luật và các quy định; Mâu thuẫn thường xuyên với doanh nghiệp kiểm toán hiện tại hoặc doanh nghiệp kiểm toán tiền nhiệm về vấn đề kế toán, kiểm toán, hoặc báo cáo; Có những yêu cầu bất hợp lý đối với kiểm toán viên, ví dụ như thúc ép không thực tế về thời gian hoàn thành cuộc kiểm toán hoặc việc phát hành báo cáo kiểm toán; Hạn chế đối với kiểm toán viên như hạn chế quyền tiếp cận nhân viên, tiếp cận thông tin hoặc khả năng thông báo với Ban quản trị; Ban Giám đốc có hành vi khống chế kiểm toán viên, hạn chế phạm vi kiểm toán, việc lựa chọn hoặc tiếp xúc với nhân viên được phân công để tham gia hoặc tư vấn cho cuộc kiểm toán