Sổ tay Kiểm soát nội bộ

Thách thức giám sát trong việc đạt được hiệu quả chi phí Kiểm soát nội bộ Đặc biệt trong trường hợp nhà quản lý xem kiểm soát như một gánh nặng tài chính được thêmvào hệ thống kinh doanh

SỔ TAY HƯỚNG DẪN HOẠT ĐỘNG

KIỂM SOÁT NỘI BỘ

CÔNG TY CỔ PHẦN NGUYÊN VŨ

Version 1.0

Ngày 01/06/2016

Page 1 of 240

Mục lục

Chương I: Chương trình Kiểm soát nội bộ 7

A Kiểm soát nội bộ - Khái niệm và Nguyên tắc 7

1 Khái niệm về Kiểm soát nội bộ 24

2 Mục tiêu của kiểm soát nội bộ 24

3 Phạm vi áp dụng 25

4 Các thành phần và nguyên tắc kiểm soát nội bộ 25

5 Những hạn chế của kiểm soát nội bộ 28

6 Các thuật ngữ và định nghĩa 29

B Tiến trình kiểm soát nội bộ 34

1 Chính sách kiểm soát nội bộ 34

2 Quy trình kiểm soát nội bộ 44

2.1 Môi trường kiểm soát: 46

2.2 Đánh giá rủi ro 51

2.3 Hoạt động kiểm soát 52

2.4 Thông tin và Truyền thông 56

2.5 Theo dõi, Đánh giá và Báo cáo 56

C Các thủ tục kiểm soát nội bộ 61

1 SỰ ỦY QUYỀN 62

2 CHƯƠNG TRÌNH CÔNG NGHỆ THÔNG TIN 79

3 CHƯƠNG TRÌNH HỢP NHẤT CÁC TÀI KHOẢN KẾ TOÁN 88

D Chỉ dẫn kiểm tra các hoạt động kiểm soát nội bộ 92

1 Phải trả - Giải ngân yêu cầu thanh toán cho nhà cung cấp bên thứ ba [1] 111

2 Tài khoản phải thu - Dự phòng khoản thu khó đòi [2] 114

3 Tài khoản phải thu - Ứng tiền mặt [3] 117

4 Khoản phải thu- Nhờ thu [4] 121

5 Khoản phải thu – Quản trị tín dụng [5] 124

6 Tiền mặt và chứng khoán khả mại [6] 127

7 Lập kế hoạch và phân tích tài chính [7] 130

8 Tài sản cố định, Tài sản dài hạn, tài sản cố định hữu hình [8] 132

9 Giao dịch nội bộ - Cross charge [9] 135

12 Tiền lương [12] 147

13 Thu mua [13] 150

14 Ghi nhận doanh thu [14] 153

15 Đơn hàng bán lẻ cho đối tác kinh doanh [15] 156

16 Thuế thu nhập [16] 159

E Lịch trình kiểm soát nội bộ 162

Chương II: Chương trình quản trị rủi ro 196 Chương trình quản trị rủi ro theo tiêu chuẩn quốc gia Việt Nam TCVN ISO 3100:2011 199

A Quản lý rủi ro - Nguyên tắc và hướng dẫn (Risk management – Principles and guidelines) 199

1 Phạm vi áp dụng 199

2 Thuật ngữ và định nghĩa 199

2.1 Rủi ro (Risk) 199

2.2 Quản lý rủi ro (Risk management) 199

2.3 Cấu trúc Công ty của quản lý rủi ro (Risk management framework) 200

2.4 Chính sách quản lý rủi ro (Risk management policy) 200

2.5 Quan điểm đối với rủi ro (Risk attitude) 200

2.6 Kế hoạch quản lý rủi ro (Risk management plan) 200

2.7 Chủ sở hữu rủi ro (Risk owner) 200

2.8 Quá trình quản lý rủi ro (Risk management process) 200

2.9 Thiết lập bối cảnh (Establishing the context) 200

2.10 Bối cảnh bên ngoài (External context) 200

2.11 Bối cảnh nội bộ (Internal context) 201

2.12 Trao đổi thông tin và tư vấn (Communication and consultation) 201

2.13 Bên liên quan (Stakeholder) 201

2.14 Đánh giá rủi ro (Risk assessment) 201

2.15 Xác định rủi ro (Risk identification) 201

2.16 Nguồn rủi ro (Risk source) 202

2.17 Sự kiện (Event) 202

2.18 Hậu quả (Consequence) 202

2.19 Khả năng xảy ra (Likelihood) 202

2.20 Hồ sơ (tiểu sử của) rủi ro (Risk profile) 202

2.21 Phân tích rủi ro (Risk analysis) 202

2.22 Chuẩn mực của rủi ro (Risk criteria) 203

Page 3 of 240

2.23 Mức độ rủi ro (Level of risk) 203

2.24 Đánh giá rủi ro (Risk evaluation) 203

2.25 Xử lý rủi ro (Risk treatment) 203

2.26 Kiểm soát (control) 203

2.27 Rủi ro tồn đọng (Residual risk) 203

2.28 Theo dõi (Monitoring) 204

2.29 Xem xét (Review) 204

3 Nguyên tắc 204

4 Cấu trúc của Công ty 205

4.1 Khái quát 205

4.2 Nhiệm vụ và cam kết 206

4.3 Thiết kế cơ cấu Tổ chức quản lý rủi ro 207

4.3.1 Hiểu về Công ty và bối cảnh của tổ chức 207

4.3.2 Thiết lập chính sách quản lý rủi ro 207

4.3.3 Trách nhiệm giải trình 207

4.3.4 Tích hợp vào các quá trình của Công ty 208

4.3.5 Nguồn lực 208

4.3.6 Thiết lập cơ chế báo cáo và thông tin nội bộ 208

4.3.7 Thiết lập cơ chế báo cáo và trao đổi thông tin ra ngoài 208

4.4 Thực hiện quản lý rủi ro 209

4.4.1 Thực hiện cơ cấu Công ty quản lý rủi ro 209

4.4.2 Thực hiện quá trình quản lý rủi ro 209

4.5 Theo dõi và xem xét cơ cấu Công ty 209

4.6 Cải tiến liên tục cơ cấu Công ty 209

5 Quá trình 209

5.1 Khái quát 209

5.2 Truyền thông và tham vấn 210

5.3 Thiết lập bối cảnh 211

5.3.1 Khái quát 211

5.3.2 Thiết lập bối cảnh bên ngoài 211

5.3.3 Thiết lập bối cảnh nội bộ 211

5.4 Đánh giá rủi ro 213

5.4.1 Khái quát 213

5.4.2 Xác định rủi ro 213

5.4.3 Phân tích rủi ro 214

5.4.4 Đánh giá ước lượng rủi ro 214

5.5 Xử lý rủi ro 215

5.5.1 Khái quát 215

5.5.2 Lựa chọn các tùy chọn xử lý rủi ro 215

5.5.3 Chuẩn bị và thực hiện các phương án xử lý rủi ro 216

5.6 Theo dõi và xem xét 216

5.7 Lập hồ sơ quá trình quản lý rủi ro 217

B Phụ lục A (tham khảo) - Các thuộc tính của quản lý rủi ro tăng cường 218

A.1 Khái quát 218

A.2 Các kết quả chính 218

A.2.1 Tổ chức có hiểu biết chính xác, toàn diện và thực tế về những rủi ro của mình 218

A.2.2 Các rủi ro của Công ty nằm trong phạm vi tiêu chí rủi ro 218

A.3 Các thuộc tính 218

A.3.1 Cải tiến liên tục 218

A.3.2 Trách nhiệm đầy đủ với rủi ro 218

A.3.3 Áp dụng quản lý rủi ro trong việc ra quyết định 219

A.3.4 Trao đổi thông tin liên tục 219

A.3.5 Tích hợp đầy đủ trong cơ cấu quản trị của Công ty 219

C Phụ lục B (tham khảo) - Danh sách những rủi ro thường gặp trong hệ thống kế toán Việt Nam 220

I TÀI SẢN 220

1 Tiền mặt 220

2 Tiền gửi ngân hàng 220

3 Đầu tư tài chính ngắn hạn 221

4 Các khoản phải thu của khách hàng 221

5 Phải thu khác 222

6 Hàng tồn kho 222

7 Tạm ứng 224

8 Thuế GTGT được khấu trừ 225

Page 5 of 240

9 Hàng gửi bán 225

10 Cầm cố, kí quỹ, kí cược 225

11 TSCĐ hữu hình & vô hình 226

12 Tài sản cố định thuê tài chính 227

13 Góp vốn liên doanh 228

14 Xây dựng cơ bản dở dang 228

15 Phải thu nội bộ 228

16 Chi phí SXKD dở dang 229

17 Chi phí trả trước, chi phí chờ kết chuyển 229

18 Đầu tư dài hạn 229

19 Chi sự nghiệp 229

II NỢ PHẢI TRẢ VÀ NGUỒN VỐN CHỦ SỞ HỮU 230

1 Vay ngắn hạn, vay dài hạn 230

2 Phải trả người bán 231

3 Thuế và các khoản phải nộp NSNN 232

4 Lương và các khoản phải trả công nhân viên chức 234

5 Chi phí phải trả 235

6 Phải trả nội bộ 235

7 Phải trả khác 236

8 Nợ dài hạn 236

9 Nợ dài hạn đến hạn trả 236

10 Nhận kí quỹ, kí cược của khách hàng 237

11 Nguồn vốn kinh doanh 237

12 Các quỹ 414,415,431, 451 238

D Phụ lục C (tham khảo) – Phân loại Danh mục rủi ro 238

I 12 nhân tố bên ngoài ảnh hưởng đến kiểm soát của Công ty 238

II Nhận diện 17 loại rủi ro (để nguyên bản gốc tiếng Anh để tham chiếu) 238

E Thư mục tài liệu tham khảo 241

Chương I: Chương trình Kiểm soát nội bộ

A Kiểm soát nội bộ - Khái niệm và Nguyên tắc

DẪN NHẬP

Quản trị là gì? Theo Liên đoàn Kế toán quốc tế (IFAC), quản trị đề cập đến một tập hợp

các trách nhiệm và hoạt động được thực hiện bởi quản lý với mục tiêu cung cấp hướng đichiến lược và hướng dẫn sách lược để đảm bảo thực hiện mục tiêu của công ty, những rủi

ro được xác định và quản lý, và nguồn lực được phân công một cách hợp lý Thông điệpchính là: quản trị là một quá trình mà khi thực hiện, sẽ làm tăng tính chính trực và tráchnhiệm giải trình và chứng minh khả năng lãnh đạo

Lưu ý rằng khái niệm quản trị không giới hạn với những công ty vốn cổ phần đại chúng

và không giới hạn pháp luật và các quy định Nhiều bài học được rút ra từ các công ty đạichúng đã từng đối mặt với những tác động dữ dội đến thị trường và tài sản của họ Nhữngcông ty “không đại chúng” (“not so public”) có thể hưởng lợi từ việc áp dụng các công cụđược sử dụng trên hành trình quản trị Vì vậy, nếu bạn là một công ty tư nhân hoặc nhỏ,

có những cảnh báo và những lợi ích mà bạn cần phải chú ý đến

Quản trị về cái gì? Quản trị là về việc tạo ra và duy trì môi trường làm việc đạo đức, đó là

về việc thiết lập và tuân theo các quy tắc; đó là về tính minh bạch và công khai Quản trị

là về việc tạo ra và làm theo một quy trình thiết lập, truyền thông, thực hiện và đánh giácác nguyên tắc, quy tắc và các quy định cần thiết để tiến hành kinh doanh

Quản trị bắt nguồn từ đâu? Từ một quan điểm tài chính – kế toán, Cơ quan nhà

nước/công bắt nguồn từ luật và những tổ chức quản lý như Ủy ban kiểm soát Chứngkhoán và thị trường hối đoái (SEC), Hội đồng tiêu chuẩn kế toán tài chính (FASB) và Banthanh tra kế toán (PCAOB)

Bên ngoài, các tổ chức quản lý đề xuất các nguyên tắc, quy tắc và phương pháp nhằm mụcđích làm tăng tính liêm chính trong các thông tin định tính và định lượng cung cấp chocác cổ đông và nhà đầu tư tiềm năng Để tuân thủ quản trị bên ngoài (externalgovernance), các nhà lãnh đạo phải tìm cách truyền đạt và tích hợp các quy tắc, quy địnhchung vào thực tiễn kinh doanh nội bộ

Cơ quan nhà nước bắt nguồn từ các nguồn bên ngoài công ty, trong khi các ban quản trịcông ty bắt nguồn từ bên trong nội bộ Một số của ảnh hưởng của Cơ quan Nhà nước như:

 Ổn định thị trường, được thúc đẩy bởi các nhà đầu tư và những người ở vị trí giámsát đòi hỏi phải có thông tin chính xác, đầy đủ và minh bạch

 Ổn định chính trị và kinh tế, được kích thích bởi chính quyền địa phương áp đặtcác nguyên tắc kinh tế và quy định về các ngành công nghiệp cụ thể

 Ổn định tài chính, thường được xác định là thước đo giữa giá cổ phiếu và giá trị tàisản

Page 7 of 240

Là một phần của cơ quan nhà nước, những người được yêu cầu thực hiện các quy tắc phảicung cấp đầu vào cho các cơ quan quản lý; ví dụ, công ty đại chúng đáp ứng yêu cầu báocáo tài chính hàng quý Những công ty và những bên quan tâm khác sẽ đóng góp ý kiến đểđịnh hướng hiện tại và trong tương lai SEC và PCAOB xem xét và đánh giá các bản đệtrình và ý kiến để xác định tính thỏa đáng của các quy định hiện hành và làm thế nào đểnhững quy định này được cải thiện SEC và PCAOB là cơ quan cuối cùng chịu tráchnhiệm giám sát việc tuân thủ các điều luật và quy định kế toán – tài chính của Cơ quannhà nước.

Tuân thủ theo Cơ quan nhà nước để thể hiện bằng cách đáp ứng các yêu cầu báo cáo vàcác nhà lãnh đạo công ty để chứng minh tính chính xác và đẩy đủ của những gì được báocáo Bởi vì các nhà lãnh đạo không thể giám sát tất cả mọi khía cạnh công việc kinhdoanh, nên họ sẽ thuyên chuyển và tích hợp các điều luật và quy định bên ngoài vào cácchính sách, thủ tục nội bộ, kết quả là hình thành một môi trường pháp lý quản trị trongcông ty

Mục tiêu của ban quản trị công ty đơn giản là để tích hợp quy định của cơ quan nhà nướcvào quy trình công ty và tuân thủ những luật lệ, quy định về báo cáo và công bố thông tin.Quản trị công ty hay quản trị doanh nghiệp được định nghĩa là một quá trình, do Hội đồngquản trị, giám đốc, nhà quản lý, các phòng ban của công ty đề xướng để áp dụng mộtchiến lược mà nhờ đó công ty sẽ đạt được:

 Tuân thủ pháp luật và các quy định hiện hành

 Tính minh bạch và độ tin cậy của các báo cáo được công khai để việc ra quyết địnhđược chính xác và kịp thời

 Đúng cách thức (tức là, có hiệu lực và hiệu quả) thực hiện chức năng các quy trìnhcủa công ty, bao gồm những tác động tích cực đến cộng đồng; giao dịch chân thành

và công bằng với khách hàng, nhà cung cấp, và nhân viên; sự bồi thường; và đánhgiá việc quản lý

Quản trị nội bộ hay quản trị doanh nghiệp được đánh giá bằng việc xem xét, phân tích vàtài liệu hướng dẫn thực hành nội bộ và quy trình cần thiết để hoàn thành công việc Quytrình kinh doanh nội bộ quy định cách công việc được tổ chức và thực hiện; xác định cácđiểm nhạy cảm để xem xét, phê duyệt và phát triển Các chủ sở hữu quy trình kinh doanhchịu trách nhiệm thiết lập quy trình tuân thủ và chưa hoạt động hiệu lực và có hiệu quả.Đối với mục đích của chúng ta, thuật ngữ quản trị doanh nghiệp được sử dụng rộng rãi đểchỉ việc thông qua những quy tắc, quy định bên ngoài với quản trị doanh nghiệp, là cầunối giữa những yêu cầu bên ngoài với quy trình, nguồn lực nội bộ

Tại sao quản trị, tại sao phải là bây giờ? Vì đó là luật.

nguồn lực quốc tế với mục đích xác định và tinh lọc các nguyên tắc và quy tắc quản trị.

Đối với hầu hết các công ty, cần tập trung vào quản trị doanh nghiệp và các nhiệm vụ cầnthiết để đáp ứng các quy định tuân thủ và giám sát Đối với bất kỳ doanh nghiệp nào, phảixác định giá trị trong hành động Chương trình thiết lập và giám sát quản trị doanh nghiệpphải giúp đóng góp lợi nhuận cho công ty thông qua cải thiện quy trình quản lý và raquyết định

Quản trị doanh nghiệp là tạo ra một môi trường và văn hóa nội bộ nhằm đáp ứng việc raquyết định nội bộ và báo cáo tài chính ra bên ngoài Do đó, nếu cơ quan nhà nước là cơquan luật pháp thì cơ quan quản trị doanh nghiệp là về thuyên chuyển và tích hợp luậtpháp vào cơ cấu của doanh nghiệp Quản trị doanh nghiệp là:

 Cung cấp số liệu chính xác, đầy đủ và kịp thời các thông tin cần thiết cho việc raquyết định của khách hàng và các bên liên quan khác

 Cung cấp lực lượng lao động với các công cụ và nguồn lực cần thiết để hành động

và giữ chân các cá nhân có trách nhiệm cần thiết cho một lực lượng lao động hiệusuất cao

 Tăng cường năng lực cốt lõi của công ty và hệ thống công việc để quản lý và cảithiện quy trình chính Để biết doanh nghiệp đang ở đâu và tạo ra một môi trường

để thành công

 Quản trị doanh nghiệp nhằm đảm bảo quá trình hoạt động được xác định, đo lường,

và xem xét trong khi vẫn tiếp tục đạt các mục tiêu của công ty và đáp ứng yêu cầubáo cáo của Cơ quan nhà nước Là một phần của giám sát, quá trình hoạt động cầnphải được ghi lại và đánh giá rủi ro để đảm bảo phù hợp với việc ra quyết định nội

bộ và báo cáo ra bên ngoài

 Hành trình quản trị từ bên ngoài đến nội bộ doanh nghiệp, để giám sát và trở lạiquản trị nhà nước được thể hiện trong sơ đồ sau đây Chú ý rằng các vai trò vàtrách nhiệm của quản trị doanh nghiệp là để thực hiện luật lệ quy định của nhànước vào quy mô doanh nghiệp và việc đánh giá và giám sát các hoạt động rủiro/giám sát Trong việc thực hiên các quy trình của công ty, dữ liệu và thông tin,báo cáo cả chính thức và không chính thức phải được chuyển đến nhóm lãnh đạo.Các lãnh đạo điều hành và ban giám đốc chịu trách nhiệm cuối cùng về hiệu lực vàhiệu quả hoạt động của các quá trình này và báo cáo kết quả công ty cho các cơquan quản trị nhà nước

SƠ ĐỒ HÀNH TRÌNH QUẢN TRỊ

Các cơ quan luật lệ quy định, chỉ thị các hướng dẫn Công ty sẽ nhận và đánh giá các yêucầu và phát triển kế hoạch tích hợp chúng vào quá trình vận hành của mình hoặc đánh giácác nguy cơ nếu không thực hiện chúng

Thông thường, sẽ mất thời gian và nguồn lực để đáp ứng các chỉ thị và trong khoảng thờigian chờ đợi đó sẽ phát sinh các nguy cơ Công ty cần đánh giá các yêu cầu và xác địnhphạm vi hoạt động và mức độ nào mình cần để thay đổi các quy trình Việc đánh giá nàyđòi hỏi phải có sự hiểu biết và đánh giá quá trình với những rủi ro cụ thể của công ty Khicông ty quyết định quá trình và làm cách nào để thực hiện thay đổi quá trình, một kế

Page 9 of 240

hoạch chuyển đổi và dự án sẽ được khởi xướng và tích hợp vào hoạt động của doanhnghiệp Trong giai đoạn chuyển tiếp và sau đó có thể tồn lại các nguy cơ, bắt buộc công typhải giám sát và đánh giá lại định kỳ.

Sau khi thực hiện và triển khai, quy trình được cập nhật và tác động của các thay đổi trongquy định được đánh giá thông qua việc xử lý các công việc kinh doanh Hiệu lực và hiệuquả của quá trình hoạt động được giám sát bởi các chương trình đánh giá rủi ro và tuânthủ

Công ty sử dụng các kỹ thuật đánh giá rủi ro để đánh giá nguy cơ Nếu quyết định khôngchấp nhận rủi ro, quy trình vận hành sẽ được cập nhật Nếu quyết định chấp nhận rủi ro ởmột mức độ nào đó, thì rủi ro cần được quản lý với sự giám sát được gắn vào quá trìnhquản lý rủi ro

Nếu kết quả của quá trình hoạt động được xác nhận, và các tác động và ảnh hưởng của rủi

ro được xác định, sẽ ban hành các báo cáo cho lãnh đạo điều hành và ban giám đốc Khi

đã thông qua, họ sẽ phát hành báo cáo bên ngoài để đáp ứng yêu cầu báo cáo quy định củanhà nước

Bổ sung, xóa bỏ và thay đổi các quy tắc và quy định ngoài doanh nghiệp xảy ra khi các cơquan quản lý bên ngoài nhận được báo cáo của công ty và thông tin phản hồi và cũng nhưcác cơ quan đánh giá các chỉ số môi trường kinh tế khác Hành trình quản trị sẽ hoàn tất

PHỤ LỤC

MỘT SỐ THÔNG TIN KÈM THEO VỀ COSO, SOX VÀ PCAOB

Hiện nay trong mỗi quyển sổ tay kiểm soát nội bộ đều nhắc đến Khuôn khổ của Ủy banchống gian lận khi lập báo cáo tài chính và đạo luật Sarbanes-Oxley Sau đây sẽ là tổngquan ngắn gọn và các cột mốc quan trọng liên quan đến hành trình quản trị kiểm soát nộibộ

Khuôn khổ COSO

Năm 1992, Ủy ban chống gian lận khi lập báo cáo tài chính (COSO) đã ban hành cuốnKiểm soát nội bộ-Cơ cấu tổ chức hội nhập để giúp các doanh nghiệp, tổ chức đánh giá vàcủng cố hệ thống kiểm soát nội bộ của họ Khuôn khổ này đã được các giám đốc điềuhành, thành viên Hội đồng quản trị, quản lý, và các tổ chức chuyên nghiệp, v.v… côngnhận như một khung toàn diện thích hợp cho kiểm soát nội bộ Để biết thêm thông tin vềCOSO, truy cập www.coso.org

Cuốn sách này không thay thế cũng như không làm thay đổi khuôn khổ, mà sẽ lại cung cấp cáchướng dẫn về làm thế nào để tích hợp nó trong môi trường kiểm soát nội bộ Chủ yếu là đưavào thảo luận và mô tả các khái niệm COSO; quyển sổ tay này sử dụng COSO như một công

cụ và hướng dẫn để thực hiện chương trình tùy chỉnh của công ty Quá trình kiểm soát nội bộbắt đầu với việc thiết lập mục tiêu báo cáo tài chính có liên quan đến hoạt động kinh doanh vàhoàn cảnh cụ thể của công ty

cách quản lý rủi ro thông qua một loạt các hoạt động kiểm soát như thế nào Quản lý thực hiệnphương pháp tiếp cận để nắm bắt quy trình và truyền đạt thông tin cần thiết để báo cáo tàichính và các thành phần khác của hệ thống kiểm soát nội bộ Tất cả điều này được thực hiệntrong bối cảnh môi trường kiểm soát của công ty, được định hình và cải tiến khi cần thiết đểcung cấp cho những đặc điểm thích hợp ngay từ đầu Các thành phần này được giám sát đểđảm bảo các kiểm soát vẫn tiếp tục hoạt động đúng theo thời gian.

Các thành phần COSO bao gồm:

• Môi trường kiểm soát là một chỉ thị về mức độ ý thức

kiểm soát của công ty Nó là cơ sở cho tất cả các thànhphần khác đưa ra định hướng, kỷ luật, và cấu trúc

• Đánh giá rủi ro là việc xác định và phân tích các rủi ro

liên quan đến mục tiêu đạt được Thành phần này tạo cơ

sở cho cách xác định rủi ro, quản lý và báo cáo

• Các hoạt động kiểm soát được gắn vào trong các quá

trình hoạt động và tài chính và đảm bảo thực hiện cáchành động cần thiết

• Thông tin và Truyền thông xác định, thu thập, và truyền

dữ liệu ngược xuôi và thông tin

• Giám sát đề cập đến quá trình đánh giá và ước lượng

hiệu quả quá trình, và sự tuân thủ trong việc giải quyết cácmục tiêu kiểm soát nội bộ Bao gồm trong phần giám sát của COSO là trách nhiệm báo cáo vềtình hình kiểm soát nội bộ của công ty

Thách thức giám sát trong việc đạt được hiệu quả chi phí Kiểm soát nội bộ

Đặc biệt trong trường hợp nhà quản lý xem kiểm soát như một gánh nặng tài chính được thêmvào hệ thống kinh doanh, chứ không công nhận các nhu cầu kinh doanh và lợi ích từ việc kiểmsoát hiệu quả được tích hợp với các quy trình cốt lõi Những thách thức đó là:

 Có đủ nguồn lực để đạt được sự phân quyền thích hợp

 Tuyển dụng các cá nhân ưu tiên về chuyên môn báo cáo tài chính và chuyên môn khác

để phục vụ ban giám đốc và các ban kiểm toán một cách hiệu quả

 Tuyển chọn và giữ lại những nhân viên đủ kinh nghiệm và kỹ năng kế toán và báo cáotài chính

 Chú ý quản lý từ hoạt động kinh doanh nhằm cung cấp đủ tập trung vào kế toán và báocáo tài chính

 Duy trì kiểm soát thích hợp trong hệ thống thông tin máy tính với nguồn lực kỹ thuậthạn chế

Khung COSO nhận thấy rằng công ty đầu tiên phải có một tập hợp các mục tiêu báo cáo tàichính Ở mức độ cao, mục tiêu của báo cáo tài chính là để chuẩn bị cho các báo cáo tài chínhđáng tin cậy, trong đó bao gồm việc thu thập đảm bảo hợp lý rằng các báo cáo tài chính không

có sai sót lớn Từ mục tiêu cấp cao này, quản lý thiết lập hỗ trợ các mục tiêu liên quan đếnhoạt động kinh doanh của công ty và hoàn cảnh và những phản ánh trong các tài khoản báocáo tài chính của công ty và thuyết minh thông tin liên quan Hiệu quả có được là do chỉ tập

Page 11 of 240

trung vào những mục tiêu áp dụng trực tiếp cho các doanh nghiệp và liên quan đến hoạt động

và hoàn cảnh cần thiết đối với báo cáo tài chính

Đạo luật Sarbanes-Oxley

Luật Bảo vệ Nhà đầu tư và Sửa đổi chế độ Kế toán ở Công ty Cổ phần năm 2002 thường đượcgọi là Đạo luật Sarbanes-Oxley (SOX), được đặt theo tên của nhà tài trợ - Thượng nghị sĩ Hoa

Kỳ Paul Sarbanes và Dân biểu Hoa Kỳ Michael Oxley Đạo luật Oxley Sarbanes- (SOX) yêucầu tất cả các công ty đại chúng giao cho: Giám đốc điều hành (CEO) và giám đốc tài chính(CFO) thẩm quyền trong kiểm soát nội bộ của công ty và có cơ hội để chứng tỏ việc quản trịminh bạch

Các phần chính của SOX có ảnh hưởng đến vấn đề này bao gồm:

• Mục 301: liên quan đến khiếu nại kế toán và kiểm toán

• Mục 302: thiết lập các trách nhiệm cho CEO và CFO trong việc thiết lập và duy trì kiểm soátnội bộ

• Mục 404: trong đó đề cập đến kiểm soát nội bộ qua việc xác nhận và tuyên bố báo cáo tàichính

• Mục 409: yêu cầu công khai ngay lập tức các sự kiện trọng đại

Các yêu cầu của SOX dựa trên các nguyên tắc cơ bản của kinh doanh Mỗi doanh nghiệp dù cótuân thủ SOX hay không, đều có lợi từ việc thực hiện kiểm soát nội bộ Những lợi ích của cơcấu kiểm soát nội bộ tốt và các quy trình là chúng mang lại giá trị kinh doanh còn hơn cả việctuân thủ bắt buộc những quy định SOX Có 2 phần trong SOX cần đề cập ở đây: Mục 302 và404

Mục 302 tập trung vào trách nhiệm quản lý CEO và CFO phải tự xác nhận họ có trách nhiệmđối với các quy trình và kiểm soát công khai Mỗi báo cáo quý phải bao gồm các đánh giá vềviệc thiết lập và hiệu quả của các kiểm soát đó

Mục 404 ủy quyền đánh giá hàng hàng năm về chương trình kiểm soát nội bộ Các quy tắc yêucầu quản lý căn cứ đánh giá dựa trên các khuôn khổ được công nhận như của COSO Quản lýđiều hành chỉ đạo hỗ trợ đánh giá với bằng chứng đầy đủ Mục 404 thêm bổ sung các tráchnhiệm của kiểm toán độc lập, những người phải thực hiện kiểm toán đánh giá quản lý và đưa

ra ý kiến kiểm toán có liên quan

SOX và COSO đã cung cấp các nhiệm vụ và xác định phương pháp mà các bộ phận kiểm soátnội bộ đang sử dụng Các công ty chỉ tập trung vào việc tuân thủ pháp luật, mà sẽ bỏ lỡ nhữnglợi ích tiềm năng của việc sử dụng các quy định hành động như một chất xúc tác cho sự thayđổi của toàn công ty Các công ty có thể tận dụng các quy định SOX để nâng cao hiệu quả laođộng và năng suất, hợp lý hóa hoạt động, và đưa ra quyết định tài chính tốt một cách kịp thời,thông tin tài chính minh bạch hơn Các hành động biểu hiện cơ hội nâng cao tính thanh liêmcủa công ty, khôi phục niềm tin của nhà đầu tư, và thúc đẩy nền kinh tế đi lên

PCAOB

Ban thanh tra kế toán (PCAOB) nhận nhiệm vụ từ mục 102 của đạo luật SOX năm 2002, trong

đó yêu cầu các công ty kế toán phải đăng ký với BCAOB nếu họ chuẩn bị hoặc báo cáo vấn đềkiểm toán cho công ty đại chúng Hoa Kỳ

PCAOB là một tổ chức phi lợi nhuận được tạo ra bởi SOX để giám sát các kiểm toán viên củacông ty đại chúng để bảo vệ lợi ích các nhà đầu tư và hơn nữa là lợi ích của cộng đồng trongviệc chuẩn bị các báo cáo kiểm toán độc lập, công bằng

PCAOB kiểm toán các kiểm toán viên và cung cấp báo cáo ra đại chúng PCAOB được ủythác để cung cấp, truyền thông và kiểm tra tính tuân thủ các tiêu chuẩn kiểm toán chung.Thông tin bổ sung cho PCAOB có thể xem tại http://www.pcaobus.org/

ĐÁNH GIÁ RỦI RO

Chúng ta đang sống trong thời kỳ không ổn định và dễ biến đổi, khả năng công ty tiến hànhkinh doanh có thể bị phủ nhận bởi các thế lực ngoài tầm kiểm soát Có một danh sách rất dàicác yếu tố mà đòi hỏi công ty phải luôn để tâm Những yếu tố này bao gồm các tác độngkhông giới hạn liên quan đến:

 Tham nhũng, gian lận

 Chu kỳ kinh tế

 Toàn cầu hóa

 Các quy định gia tăng

 Cạnh tranh hoặc hợp nhất các ngành công nghiệp

 Nhu cầu tiêu dùng

 Tội phạm công nghệ

Việc đánh giá hay không đánh giá những rủi ro sẽ mang lại cái giá phải trả riêng cho sự thấtbại nếu bỏ lỡ cơ hội, thông tin và chương trình quá tải, lo ngại rủi ro tăng và chi phí cao Công ty thành công và vận hành tốt sẽ biết cách làm thế nào để sử dụng nguy với lợi thế của

họ Trong công ty sẽ có những người giám sát và thậm chí là tìm kiếm những nguy hiểm vớimục đích thúc đẩy sự đổi mới và tận dụng lợi thế thương mại Những công ty này cũng biếtrằng các nguồn lực đang cạn kiệt và lãng phí khi mức độ rủi ro tăng Hiểu được sự khác biệt làrất quan trọng

Đổi mới và tìm kiếm các cơ hội trong lĩnh vực bán hàng, tiếp thị, nghiên cứu và phát triển Cónhững rủi ro tài chính khi việc đổi mới và tìm kiếm không phù hợp với mục tiêu dài hạn củacông ty hoặc khi khả năng tài chính, công nghệ… không được thực hiện trước khi đầu tư vàonhững mưu cầu này

Rủi ro hoạt động xảy ra khi có sự lãng phí quá mức được xác đinh bởi các biện pháp đo lường

Page 13 of 240

hiệu lực và hiệu quả Rủi ro tài chính xuất hiện khi các ngân sách hoặc kế hoạch không đượcđáp ứng và có những lỗ hổng trong quy trình kiểm soát nội bộ, là thời cơ xảy ra gian lận.Trọng tâm trong cuốn sổ tay này là loại nguy cơ có thể làm ảnh hưởng đến việc kiểm soát nội

bộ, bao gồm cả rủi ro trong hoạt động và tài chính

Rủi ro là gì? Rủi ro là về những điều bất thình lình; dù tình cờ hay nguy hiểm Rủi ro là về dự

đoán những gì không được lên kế hoạch Quản lý rủi ro liên quan đến một quá trình lập kếhoạch, tổ chức, lãnh đạo, kiểm soát, và truyền thông nhằm giảm thiểu những ảnh hưởng củarủi ro về vốn và thu nhập của một tổ chức

Quản lý mở rộng chiều sâu và bề rộng của các quá trình bao gồm không chỉ những rủi ro liênquan đến thiệt hại bất ngờ mà còn cả tình hình tài chính, chiến lược và hoạt động

Rủi ro về? Rủi ro về việc hiểu bản chất và áp dụng cách tiếp cận một cách thận trọng Các

công ty hiểu rõ nguy cơ và định vị được nó trong vận hành kinh doanh, sử dụng nó để giảmthiểu các mối đe dọa không cần thiết và thậm chí có thể thu lợi nhuận từ việc chấp nhận rủi romột cách thông minh Quản lý rủi ro làm tăng giá trị khi cung cấp cơ hội tiết kiệm chi phíthông qua việc xác định và điều chỉnh hoạt động thiếu hiệu quả, khi nó thúc đẩy những suynghĩ rộng ra, khi nó mở ra cơ hội để đón đầu cạnh tranh Rủi ro là về sự tự tin và sẵn sàng đểhành động

Không cần phải ngăn ngừa tất cả mọi rủi ro Ví dụ, hãy xem lại sơ đồ quản trị Khi các quy tắc,quy định của cơ quan nhà nước được tiếp nhận, các đánh giá cần thiết sẽ được tiến hành để xácđịnh liệu quy trình nào có sức ảnh hưởng Một khi quy trình đó được xác định là cần thiết đểxác định phương pháp tốt nhất để thực hiện theo quy định với phân tích tỉ số lợi ích/chi phí Quyết định có thể là:

 Chấp nhận các quy định và tích hợp chúng và quy trình hiện tại

 Chấp nhận các quy định và tích hợp chúng vào quy trình đã được thiết lập lại, pháttriển một kế hoạch chuyển đổi quy trình

 Chấp nhận các quy định và xác định cách tiếp cận quản lý cao nhất để đáp ứng các yêucầu báo cáo quy định và không tích hợp nó vào quy trình

 Chấp nhận một phần các quy định và tích hợp chúng vào các quy trình hiện tại hoặc đãđược thiết kế lại Những phần quy định không được thông qua cũng được xem là rủi ro

và cần phải quản lý Những phần này phải được ghi chép lại đầy đủ trong đó có lý do làtại sao không thể được thông qua vào thời điểm đó Nếu có thể, việc giảm thiểu kiểmsoát phải được thông qua và giám sát thu thập bằng chứng chứng minh đã có sự nỗ lựckhi áp dụng luật lệ vào công ty Ngay cả với các tài liệu hướng dẫn và việc giảm thiểukiểm soát, người điều chỉnh vẫn có thể xem xét ít hơn việc không thích ứng với luậtpháp Quyết định đối với việc không tuân thủ có thể là một mức phạt lớn và nguy cơđối với danh tiếng của công ty

về kế toán hoặc tài chính chúng ta thường gặp phải.

Duy trì hoạt động kinh doanh

Đảm bảo hệ thống và các hoạt động kinh doanh

có dự phòng và có thể phục hồi nếu có thảm họathiên nhiên hoặc hoạt động thất bại

Môi trường kinh doanh và quản trị

Là một chỉ số về văn hóa của công ty; tập hợptinh thần chung của công ty, đơn vị kinh doanh;ảnh hưởng đến việc kiểm soát ý thức con người;

và là nền tảng của quản lý rủi ro và kiểm soátnội bộ; cung cấp kết cấu và tinh thần kỷ luật.Quản lý sự thay đổi

Lãnh đạo công ty và nhân viên không thể/ khôngsẵn sàng để thực hiện quá trình/sản xuất/cải tiếndịch vụ nhanh chóng để bắt kịp sự thay đổi củamôi trường

Tính tuân thủ Thước đo sự phù hợp với pháp luật và quy địnhhiện hành, cũng như các chính sách và thủ tục

nội bộ

Danh tiếng/Sự thỏa mãn khách hàng

Rủi ro mà hàng hóa/dịch vụ của công ty khôngđáp ứng hoặc vượt lố quá sự mong đợi củakhách hàng vì thiếu tập trung vào nhu cầu kháchhàng

Bảo mật thông tin

Sự bảo vệ các thông tin nhạy cảm và quan trọng

và các tài sản vật chất hỗ trợ công nghệ thôngtin

Sức khỏe và an toàn nhân viên

Rủi ro sức khỏe và an toàn do thiếu kiểm soátdẫn đến nhiều công ty đã phải chịu trách nhiệmbồi thường

Báo cáo tài chính

Rủi ro khi ban hành báo cáo tài chính cho cơquan quản lý, các nhà đầu tư hiện tại/ tiềm năng

và những người cho vay bị thiếu sót hoặc có saisót nghiêm trọng

Nguồn nhân lực

Khả năng của nhân viên đểm quản lý hoạt độngkinh doanh hiệu quả, bao gồm việc thuyênchuyển, duy trì đội ngũ nhân viên, kỹ năng giaotiếp, trao quyền, trách nhiệm, ủy thác, quyềnhạn, sự liêm chính, phán xét và đào tạo

Hợp pháp

Rủi ro mà pháp luật và khả năng tranh chấpkhông được kể đến một cách đầy đủ vào quátrình ra quyết định quản lý

Vận hành và xử lý

Tính liên tục kinh doanh bao gồm các yêu tố bêntrong (văn hóa, con người và quy trình) và bênngoài (môi trường cạnh tranh, chính trị và xãhội)

Page 15 of 240

trách nhiệm thay đổi môi trường, không dựa trêncác đầu vào thích hợp, hoặc, quá trình lập kếhoạch không được truyền đạt thống nhất trongtoàn công ty.

Cam kết giá/Hợp đồng Biến động giá hàng hóa do nguyên liệu hoặc sảnphẩn dẫn đến thiếu hụt ngân sách hoặc thu nhập

dự kiến

Môi trường công nghiệp/pháp lý

Bộ máy điều chỉnh áp đặt thay đổi môi trườngpháp lý công nghiệp dẫn đến tăng áp lực cạnhtranh hoặc thay đổi quy trình vận hành

Báo cáo

Liên quan đến báo cáo nội bộ và bên ngoài, bịảnh hưởng bởi hiểu biết của nhân viên về cácnguyên tắc kế toán chung (GAAP), cũng nhưcác nguyên tắc kế toán nội bộ và quy định bổsung

Quản trị rủi ro

Xác định tác hại nếu điều kiện tín dụng và thịtrường thay đổi hay nếu bán hàng, giới hạn tàichính, tín dụng không được thiết lập, cập nhật vàgiám sát

Công nghệ

Thất bại cơ sở hạ tầng (hệ thống thông tin truyềnthông và/hoặc giới hạn hoạt động), bao gồmnhững thất bại trong đánh giá rủi ro về tác độngcủa việc thay đổi công nghệ

Gian lận khác với rủi ro Gian lận xảy ra khi có đủ 3 yếu tố chung về: động lực, cơ hội và nhâncách Các mức độ của động cơ thường phụ thuộc vào áp lực tình huống, và có thể thấy động cơkhi có nhu cầu về tiền hay để thoản mãn cá nhân hoặc để làm giảm bớt nỗi lo sợ thất bại

Cơ hội là chỉ những tình huống mà có thể xảy ra gian lận, như là sự yếu kém trong kiểm soátnội bộ, hoặc môi trường hoạt động, phong cách quản lý và văn hóa doanh nghiệp gần gũi.Nhân cách ở đây chỉ đặc tính cá nhân hoặc hành vi sẵn sàng gian lận Các tiêu chuẩn đạo đức

và sự liêm chính cần phải “mềm dẻo” để biện minh cho việc gian lận, ngoài nhu cầu cần phảinuôi con cái hoặc chi trả bệnh phí cho người trong gia đình

Giảm thiểu gian lận có vẻ khó khăn hơn giảm thiểu rủi ro Vì rất khó để gây ảnh hưởng đếnđộng lực của một cá nhân đối với gian lận, ít người sẽ chịu chia sẻ đến mức độ đó Nhân cáchđôi khi có thể được thay đổi thông qua các chương trình đào tạo và nhận thức Giải quyết yếu

tố cơ hội là yêu cầu đơn giản, hiệu quả nhất, bằng cách phát triển và triển khai các hệ thốngkiểm soát hiệu quả Khi không thể loại bỏ các cơ hội gian lận, với các chương chương trình hỗtrợ ta có thể giảm thiểu chúng bằng cách tạo ra môi ra môi trường của sự siêng năng và cóhành động thích hợp ở mức độ thích hợp

cố mà công ty sẵn sàng chấp nhận Khi công ty đạt đến ngưỡng rủi ro, xử lý quản lý rủi ro vàkiểm soát kinh doanh sẽ được thực hiện để mang mức độ nguy cơ trở lại mức chấp nhận được.Sau đây là một bài tập đơn giản mà bạn có thể thực hiện được Hãy nhìn bao quát các sự việcbạn lo ngại có thể xảy ra rủi ro Không nghĩ nhiều về nó, mà bạn hãy trả lời những câu hỏibằng ấn tượng đầu tiên, sau đó đánh giá và thể hiện chúng vào ma trận rủi ro.

 Những quá trình hoặc lĩnh vực bạn nghĩ hiện tại có nhiều rủi ro nhất? Xem xét sử dụngmột cách tiếp cận từ cái chung nhất để xác định những lĩnh vực sẽ xảy ra tác độngnhiều nhất nếu kiểm soát nội bộ yếu Xem xét báo cáo tài chính, báo cáo lợi nhuận, vàbảng cân đối kế toán Liện kê những tài khoản có số dư lớn nhất (doanh thu, hàng tồnkho, các khoản thuế) Nó sẽ giúp xác định những rủi ro nguy cơ trong các lĩnh vực này

 Ý kiến rằng bạn đã không thực hiện bất kỳ nghiên cứu, điều tra đến khu vực mà bạnchuẩn bị phân bổ nguồn lực? Lý do là nếu những khu vực này đã làm bạn lo ngại, vàbạn có thể gọi tên các rủi ro và chuẩn bị dành thời gian, tiền bạc để tìm hiểu thêm; thìđây rõ ràng là một vấn đề quan trọng đòi hỏi sự chú ý của bạn Hãy xem xét những tácđộng tài chính và vận hành định lượng cũng như định tính cho xác xuất và khả năng sựviệc này sẽ xảy ra

 Mức độ rủi ro nào đòi hỏi một chiến lược phản hồi chính thức để giảm thiểu các tácđộng trọng yếu? Nói cách khác, bạn có muốn loại bỏ tất cả các rủi ro, hoặc bạn sẵnsàng chấp nhận mức độ rủi ro hiện tại?

Lập bản đồ rủi ro theo một ma trận khả năng và tác động và lập nhóm các rủi ro mà bạn sẵnsàng để:

 Chấp nhận – giữ lại rủi ro trong cấu trúc doanh nghiệp và cung cấp các nguồn lực để

giám sát và theo dõi

 Giảm thiểu và kiểm soát – thiết lập các ngưỡng kiểm soát để đảm bảo rằng nếu đeo

đuổi, rủi ro sẽ được giám sát và theo dõi; và nếu không đeo đuổi, sẽ thiết lập một kếhoạch chuyển đổi để loại bỏ rủi ro khỏi cấu trúc doanh nghiệp

 Chia sẻ - xem xét lựa chọn thay thế trên cách mà rủi ro có thể được chia sẻ với khách

hàng, nhà cung cấp, nhà bán hàng hoặc những người khác

 Ngăn ngừa – loại bỏ rủi ro khỏi cấu trúc doanh nghiệp và ngăn chặn nguy cơ tại nguồn

của nó

Page 17 of 240

Khi phản hồi của bạn được thể hiện lên hệ thống, hãy xác định những gì bạn có thể làm đểgiảm thiểu rủi ro Bảng dưới đây là một vài ví dụ điển hình.

Để mở rộng khả năng tiếp cận của bạn, hãy yêu cầu người quản lý quy trình hoặc giám đốckinh doanh hoàn thành các dữ liệu sau về các quy trình mà họ thấy nản chí Chỉ cần đầu tưkhoảng thời gian 20 phút, bạn đã có thể nhận được 80% dữ liệu then chốt về vùng các nguycơ

Danh sách quy

trình

Chọn một cấp độ rủi ro thích hợp mà bạn sẵn sàng chấp nhận

Phải thu (A/R—

ty lớn nhấttoàn cầu

Những kháchhàng không cókhả năng trảđược nợ

Giảm thiểu rủi

ro bằng cáchthực hiện địnhgiá tín dụng đốivới giao dịchtrên $50K

Đối với kháchhàng có mức độrủi ro, chia sẻ rủi

ro tín dụng bằngcách yêu cầu trảtrước 1/3 giá trịgiao dịch

Do not acceptinvoices withoutappropriatemanagement-level approval

Reduce the

accepting atwo-

between theinvoice andreceiving report

on selectedpreidentifiedpurchases

Phân tích và ưu tiên danh sách cung cấp điểm bắt đầu cho quá trình quản lý của bạn.

GIÁM SÁT

Nơi nào có quy tắc và rủi ro, thì sẽ có cơ hội và kiểm soát Ví dụ, nguyên tắc khi lái xe trênđường cao tốc là 60 dặm/h Có những cơ hội với những mẫu xe có độ chính xác cao, và rủi rokhi các tài xế không tuân thủ luật lệ Vì vậy, cần có giám sát Tuy nhiên, giám sát không chỉ làlập ra chính sách và bắt người vi phạm; giám sát phải có hệ quả Vì vậy, rủi ro, giám sát và kếtquả có liên quan khá chặt chẽ với nhau

Vậy giám sát đến từ đâu? Giám sát được bao gồm trong các quy tắc, quy định của cơ quan

nhà nước, Ủy ban kiểm soát Chứng khoán và thị trường hối đoái (SEC), Đạo luật SarbanesOxley (SOX), Ban thanh tra kế toán (PCAOB) Ngoài việc thực hiện giám sát các cơ quankhác, mỗi cơ quan nhà nước phải có trách nhiệm giám sát cả các quy tắc, quy định củamình Ví dụ: PCAOB giám sát kiểm toán viên làm công việc kiểm toán và cung cấp ý kiến

về tình hình tài chính của công ty

Giám sát là gì? Giám sát được định nghĩa là một sự xem xét kỹ lưỡng, thận trọng và là sự

can thiệp Cách tiếp cận giám sát hiệu quả có khả năng ảnh hưởng đến các nhà lãnh đạo,

sự vận hành và nền văn hóa tổ chức Chương trình giám sát thành công sẽ tìm ra đượcnhững lãng phí, gian lận và việc lạm dụng; bảo vệ quyền cá nhân; đảm bảo tuân thủ pháp

Lưu ý người đọc:

Từ “Quy trình” được sử dụng trong toàn bộ văn bản và để chỉ các nhiệm vụ lặp lại, cóthể định nghĩa, dự đoán, đo lường được Để một quy trình hoàn thiện, cần phải gồm cótất cả các phương diện sau:

 Có thể xác định được (Definable): tức là có một phạm vi cụ thể bao gồm hàngloạt các nhiệm vụ; có bắt đầu và kết thúc Có đầu vào, hoạt động, và kết quả đầu

ra được xác định

 Có thể lặp lại (Repeatable) trong đó có các nhiệm vụ lặp đi lặp lại để làm thànhquy trình Để đảm bảo kết quả nhất quán, mỗi khi thực hiện nhiệm vụ phải đượcthực hiện cùng một cách Trình tự thực hiện nhiệm vụ thường ít hoặc khôngthay đổi Ví dụ: Nhiệm vụ E luôn tiến hành trước nhiệm vụ F

 Có thể dự báo (Predictable) khi nhiệm vụ bắt đầu, nhất quán, so sánh kết quả

Có thể tính toán được các yếu tố đầu vào, và biết các kết quả đầu ra dự kiến Vídụ: E + F =G

 Có thể đo lường (Measurable) về những biện pháp được gắn vào quá trình nhưmột chỉ số về tính có thể dự đoán của quá trình

 Có thể tích hợp (Integratable) các quá trình phụ thuộc, liên quan với nhau Vd C+D =E

Nếu mục tiêu của kiểm soát là để đảm bảo kết quả có thể xác định, lặp lại, dự báo được mỗikhi quá trình được tiếp nối, thì tại sao không tạo ra các hồ sơ để hỗ trợ quá trình?

Lưu ý rằng nếu bạn không thiết lập được các khâu kiểm soát thích hợp cho quá trình, thìquá trình đó vẫn có thể xác định nhưng không được kiểm soát Vì vậy, một quá trình đượcxác định không có nghĩa là được kiểm soát

luật, và đánh giá hiệu suất của một doanh nghiệp.

Giám sát được thiết để quan sát tất cả mọi thứ một cách khách quan và độc lập Chươngtrình đánh giá xem xét, theo dõi và kiểm tra việc chấp hành, thực hiện các chính sách thủtục, bảo đảm pháp luật được thực thi một cách trung thực Với PCAOB, chương trìnhgiám sát xem xét các quy trình và chịu trách nhiệm rà soát, kiểm tra và khắc phục Do đó,khi PCAOB đánh giá các kiểm toán viên, giám sát nội bộ sẽ đánh giá hiệu quả và hiệu lựccủa kiểm toán nội bộ và kiểm soát Để cung cấp tính khách quan và độc lập, nguyên tắcgiám sát cơ bản là tách biệt chức năng giám sát từ quản lý điều hành hoạt động

Giám sát về cái gì? Giám sát là thiết lập một chương trình để giải quyết câu hỏi về rủi ro

tiềm tàng và cung cấp kiểm tra để đảm bảo tuân thủ các nguyên tắc, quy tắc, chính sách vàthủ tục Với quản trị và rủi ro, giám sát là một quá trình, một phần của chương trình dùng

để cải thiện tính toàn vẹn, độ tin cậy, và trách nhiệm giải trình của các thông tin để raquyết định Quản trị và giám sát phải áp dụng chương trình và quy trình kỷ luật để tựgiám sát

Giám sát về việc phân công các vai trò cho kiểm toán viên và những người đánh giá kiểmtoán viên Một khía cạnh của vai trò kiểm toán là cung cấp các rà soát cẩn thận, kỹ lưỡngxem công ty có đang tuân thủ các quy tắc, quy định hiện hành không Hậu quả của việckhông tuân thủ bao gồm:

 Các khoản tiền phạt đối với công ty, giám đốc điều hành, và/hoặc Hội đồng quảntrị

 Chứng khoán mất giá

 Gây thiệt hại đối với hình ảnh và danh tiếng của công ty, bao gồm những mất mát

về nhân viên, khách hàng, nhà cung cấp

 Bị tước giấy phép kinh doanh, có nghĩa là công ty không được tiến hành kinhdoanh nữa

Một trong các chức năng của kiểm soát nội bộ là để cung cấp tín hiệu cảnh báo sớm khiphát hiện điểm yếu Chương trình kiểm soát nội bộ xác định các vấn đề quản trị cần theodõi và các quy trình nội bộ có nguy cơ rủi ro cao Khi PCAOB kiểm toán độc lập, chứcnăng kiểm soát nội bộ phải giám sát những quy trình để đảm bảo tính tuân thủ trong công

ty, bao gồm tính hiệu quả và hiệu lực của kiểm toán nội bộ

Tuy nhiên, chương trình không giới hạn chỉ trong việc giám sát công ty; để có hiệu quảphải có sự giám sát riêng của từng chương trình Kiểm soát nội bộ phải theo dõi và đolường tính hiệu quả của chương trình trong việc cung cấp và theo dõi việc quản trị Làmột phần của hướng dẫn COSO, chương trình kiểm soát nội bộ cũng cần được đánh giá

Tại sao phải giám sát? Để giữ tính trách nhiệm của nhà lãnh đạo Tính trách nhiệm để

chứng minh rằng các chính sách thủ tục quản trị đang được thực hiện trong toàn công ty.Sức mạnh của việc sử dụng việc kiểm soát là nó khuyến khích các nhà lãnh đạo rà soátcác phòng ban, các hoạt động đánh giá, chính sách thay đổi, tái phân bổ nguồn lực và

công ty trong việc thực hiện các quy trình hiệu quả và giữ tinh thần trách nhiệm của nhàlãnh đạo.

Sử dụng bảng dưới đây để bắt đầu xác định điểm cần giám sát Áp dụng này để xác định

và nhận biết tầm quan trọng và thực hiện các nguyên tắc giám sát

Bên cạnh mỗi báo cáo, hãy đánh giá mức độ quan trọng của nguyên tắc trong công ty, vàbạn nghĩ bạn đang làm ở mức độ nào để đáp ứng nguyên tắc đó Sử dụng mức độ cao,thấp, trung bình để đánh giá Là một lãnh đạo công ty, bạn cần có cái nhìn sâu sắc và ócphán xét những gì là quan trọng và mức độ thực hiện nó có tốt hay không

Tầm quan trọng ý chỉ mức độ quan trọng của các nguyên tắc và thực hành đối với vậnhành kinh doanh, và hiệu suất chỉ mức độ các thực hành này được thực hiện trong văn hóa

và môi trường công ty Hãy trung thực – kết quả sẽ giúp cải thiện công ty

 Đảm bảo rằng công ty tuân thủ cácluật và quy định liên quan

 Truyền thông giữa công ty và cácbên liên quan

 Xác định và giám sát các khu vựcrủi ro; các chỉ số hiệu suất chính

Cơ quan giám

sát

Các cơ quan chủ quản có trách nhiệm gọicác ủy ban và/ hoặc các phòng ban trựcthuộc để hỗ trợ thực hiện trách nhiệm giámsát của mình Các ủy ban/ phòng ban sẽ có:

 Nguồn lực và sự độc lập cần thiết

để thực hiện nhiệm vụ của mình

Các thành viên Ủy ban phải có các

kỹ năng, kiến thức, và năng lực cầnthiết để đảm bảo hiệu quả

 Một nhiệm vụ rõ ràng để xác địnhthành viên, trách nhiệm và tráchnhiệm giải trình

 Một quá trình xác định để truy cập,giám sát và kiểm tra các quy trình

và thông tin liên quan

 Lịch trình các cuộc họp định kỳ đểtheo dõi các hành động được thựchiện

 Các thủ tục xác định cho báo cáo

Các thành viên phân ban và bộ phận sẽ:

 Nhận thông tin chính xác, kháchquan đầy đủ và kịp thời trước khinêu ý kiến hoặc ra quyết định

 Phải chịu sự đánh giá của cơ quanquản lý

Môi trường đạo

đức

Cơ quan chủ quản sẽ:

 Xây dựng, truyền thông và kiểm tracách hành xử

 Cung cấp một quy trình kín đểchống gian lận, tham nhũng và cácloại rủi ro khác

Kiểm toán, rủi

ro và tính tuân

thủ

Quản lý điều hành sẽ có trách nhiệm:

 Đối với việc thiết lập, thực hiện,giám sát và tích hợp các chính sáchthủ tục, tập quán và hoạt động của

cơ quan nhà nước vào quản trịdoanh nghiệp

 Thiết lập chức năng kiểm soát nội

bộ và kiểm toán nội bộ hiệu quả đểcung cấp thông tin phản hồi độc lập

về khả năng quản lý công ty

Đối với các mục đánh giá:

 Tầm quan trọng cao, hiệu suất cao – xin chúc mừng, bạn đã đạt được trạng tháithực tiễn tốt nhất

 Tầm quan trọng cao, hiệu suất thấp – hãy xem xét phát triển kế hoạch hành động

chương trình kiểm soát đã mất đi tính độc lập và khách quan của nó Lời khuyên là để trởlại vấn đề cơ bản, hãy áp dụng kỹ thuật quản lý dự án xác định trách nhiệm vai trò, vàthiết kế các hoạt động kiểm soát, giám sát vào mỗi quy trình dựa vào mức độ rủi ro có thểchấp nhận được.

Bạn giám sát quá nhiều hoặc giám sát không đúng chỗ khi:

 Không làm tăng giá trị

 Gây ảnh hưởng chính trị

 Không chú trọng kết quả

 Mục tiêu mang tính nguy hại hơn là giám sát để cải tiến xây dựng

 Các cuộc họp để lên kế hoạch giám sát được ưu tiên và vượt quá thời gian, nguồnlực cần thiết để tiến hành hoạt động giám sát thực tế

Áp dụng chương trình giám sát thành công trong công ty sẽ bao gồm:

 Tính độc lập và khách quan

 Cách tiếp cận có hệ thống, định kỳ liên quan đến phạm vị và lĩnh vực kinh doanh

 Rà soát toàn diện và phân tích xử lý toàn bộ các quy trình

 Kết hợp việc sử dụng các đầu vào từ các hoạt động kiểm soát và cân bằng

 Hiệu suất của các cá nhân có chuyên môn trong lĩnh vực thực hiện kiểm toán vàkiểm soát nội bộ cũng như các khu vực chức năng được kiểm toán và điều tra

 Các cơ quan chức năng

 Tài liệu cùng các hành động xác định và theo đuổi đến cùng

 Kết quả báo cáo lên chuỗi cấp bậc các nhà lãnh đạo và điều hành

Theo quy định của SOX, ban giám đốc và lãnh đạo điều hành sẽ chịu trách nhiệm về việcgiám sát hiệu quả của kiểm soát và công bố thông tin kiểm soát nội bộ của công ty Giámsát rất quan trọng, nếu kiểm toán viên độc lập xác định rằng hội đồng không thực hiệntrách nhiệm giám sát của mình, sẽ dẫn đến thất bại lớn

Hội đồng quản trị không chỉ chịu trách nhiệm giám sát, mà còn là thành phần của kiểmsoát nội bộ Hội đồng quản trị giám sát về chức năng báo cáo tài chính, kiểm toán nội bộ,quản lý rủi ro và mối quan hệ với kiểm toán độc lập là một yếu tố của kiểm soát nội bộ.Như đã mô tả ở trên, Hội đồng quản trị và lãnh đạo có trách nhiệm chỉ đạo và chuyển đổiquy tắc quản trị nhà nước vào trong doanh nghiệp, và họ có trách nhiệm thực hiện việcgiám sát tuân thủ các quy định của nhà nước

1 Khái niệm về Kiểm soát nội bộ

Kiểm soát nội bộ là một tiến trình được thực hiện bởi Hội đồng quản trị, Ban Kiểm soát, Ngườiquản lý và các cá nhân khác; được thiết lập nhằm mục đích đảm bảo một cách hợp lý việc hoàn

thành các mục tiêu của công ty liên quan đến hoạt động sản xuất kinh doanh (Operations), Báo cáo tài chính (Financial Reporting), tính tuân thủ (Compliance) và sự minh bạch

c Kiểm soát nội bộ không phải là một sự kiện mà là một loạt các hành động diễn ra trongcông ty Những hoạt động này lan tỏa và mang tính cố hữu trong công tác điều hànhcông ty Tiến trình quản lý hoạt động kinh doanh của công ty được thực hiện thông qua

việc (1) lập kế hoạch, (2) tổ chức thực hiện, (3) lãnh đạo và (4) kiểm soát Kiểm

soát nội bộ là một chức năng của Người quản lý và được tích hợp vào tiến trình này

d Kiểm soát nội bộ có thể được kỳ vọng đưa ra các lý do hợp lý, không phải là cơ sởtuyệt đối

e Kiểm soát nội bộ được tích hợp vào cấu trúc của tổ chức, hướng đến việc đạt mục tiêu

ở một hoặc nhiều cấp độ khác nhau và có thể trùng lắp giữa hoạt động kinh doanh, báocáo và tính tuân thủ

2 Mục tiêu của kiểm soát nội bộ

a Tính hiệu lực và hiệu quả (Effectiveness and Efficiency) trong tất cả các hoạt động

sản xuất kinh doanh; thể hiện qua:

i Phạm vi hoạt động (Scope);

ii Chất lượng (Quality);

iii Thời gian (Time);

iv Chi phí (Cost);

b Tính đáng tin cậy của báo cáo tài chính (Reliability of financial Reporting); độ tin

cậy thể hiện qua:

i Đúng thẩm quyền (Authorization);

ii Nguyên tắc ghi nhận (Recording);

c Tính tuân thủ (Compliance): là việc thực thi các hành động theo đúng các chỉ thị

hoặc theo đúng các quy định và quy trình có hiệu lực đã đề ra Trong môi trườngdoanh nghiệp, sự tuân thủ thể hiện ở hai cấp độ:

i Tuân thủ tất cả các quy định của pháp luật hiện hành tại Việt Nam;

ii Tuân thủ các quy định của Điều lệ công ty; các quy trình, quy định nội bộ, vănhóa, chuẩn mực, giá trị cốt lõi của Công ty Nguyên Vũ

d Tính minh bạch (Transparency): bao gồm:

i Sự chính xác: Thông tin phản ánh chính xác dữ liệu tổng hợp từ sự kiện phát

sinh;

ii Sự nhất quán: Thông tin được trình bày có thể so sánh được và là kết quả của

những phương pháp được áp dụng đồng nhất;

iii Sự thích hợp: Khả năng thông tin tạo ra các quyết định khác biệt, giúp người

sử dụng dự đoán kết quả trong quá khứ, hiện tại và tương lai hoặc giúp xácnhận và hiệu chỉnh các mong đợi;

iv Sự đầy đủ: Thông tin phản ánh một cách đầy đủ các sự kiện phát sinh và các

đối tượng có liên quan;

v Sự rõ ràng: Thông tin truyền đạt được thông điệp và dễ hiểu;

vi Sự kịp thời: Thông tin có sẵn cho người sử dụng trước khi thông tin giảm khả

năng ảnh hưởng đến các quyết định;

vii Sự thuận tiện: Thông tin được thu thập và tổng hợp dễ dàng.

3 Phạm vi áp dụng

Chương trình kiểm soát nội bộ này được áp dụng cho Công ty Cổ phần Nguyên Vũ và các đơn

vị hạch toán phụ thuộc của Công ty Cổ Phần Nguyên Vũ

Chương trình này không sử dụng cho mục đích cấp chứng nhận

4 Các thành phần và nguyên tắc kiểm soát nội bộ

Khung kiểm soát nội bộ bao gồm năm (05) thành phần và mười bảy (17) nguyên tắc cơ bảnliên quan đến năm (05) thành phần này

05 thành phần của kiểm soát nội bộ 17 nguyên tắc của kiểm soát nội bộ

1 Kiểm soát Môi trường (Control

The board of directors demonstrates independence

of management and exercises oversight for the development and performance of internal control.

05 thành phần của kiểm soát nội bộ 17 nguyên tắc của kiểm soát nội bộ

03 Quản lý cùng ban giám sát thiết lập các cấutrúc, báo cáo và các chức năng, trách nhiệm phùhợp để theo đuổi mục tiêu

Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives.

04 Công ty thực hiện cam kết đối với việc thu hút,phát triển và giữ chân người tài để thực hiệnmục tiêu

The Organization demonstrates a commitment to attract, develop, and retain competent individual in alignment with objectives.

05 Công ty chịu trách nhiệm về những nhiệm vụkiểm soát nội bộ trong việc theo đuổi các mụctiêu

The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives

2 Đánh giá rủi ro (Risk

management)

06 Công ty quy định các mục tiêu cụ thể, rõ ràng

để có thể xác định và đánh giá những rủi ro liênquan

The organization specifies objectives with sufficient clarity to enable identification and assessment of risks relating to objectives

07 Công ty nhận diện rủi ro để có thể đạt mục tiêu

và phân tích rủi ro là cơ sở để xác định quản trịrủi ro như thế nào

The organization identifies risks to achievement of its objectives across the entity and analyses risks as a basis for determining how the risks should be managed.

08 Công ty cân nhắc khả năng gian lận trong việcđánh giá rủi ro để đạt được các mục tiêu

The organization considers the potential of fraud

in assessing risks to achievement of objectives.

09 Công ty xác định và đánh giá những thay đổi

có thể ảnh hưởng đến hệ thống kiểm soát nội bộ

The organization identifies and assesses changes that could significantly impact the system of internal control.

3 Kiểm soát hoạt động (Control 10 Lựa chọn và phát triển các hoạt động kiểm soát

05 thành phần của kiểm soát nội bộ 17 nguyên tắc của kiểm soát nội bộ

contribute to the mitigation of risks to the achievement of objectives to acceptable levels.

11 Lựa chọn và phát triển các hoạt động kiểm soátchung bằng công nghệ để hỗ trợ đạt được mục tiêu

Select and develops general control activities over technology to support the achievement of objectives.

12 Triển khai hoạt động kiểm soát theo như trongcác chính sách và thủ tục liên quan để thực hiệnchính sách

Deploy control activities as manifested in policies that establish what is expected and in relevant procedures to effect the policies.

4 Thông tin, truyền thông

(Information and Communication)

13 Công ty thu nhận/tạo ra và sử dụng các thôngtin chất lượng, liên quan để hỗ trợ hoạt động củacác thành phần khác trong kiểm soát nội bộ

The organization obtains or generates and uses relevant, quality information to support the functioning of other components of internal control

14 Công ty truyền đạt thông tin trong nội bộ, baogồm cả mục tiêu và trách nhiệm kiểm soát nội bộ,

để hỗ trợ hoạt động của các thành phần khác trongkiểm soát nội bộ

The organization internally communicates information, including objectives and responsibilities for internal control, necessary to support the functioning of other component of internal control.

15 Công ty truyền thông với các cơ quan bên ngoài

về các vấn đề ảnh hưởng đến chức năng của cácthành phần khác trong kiểm soát nội bộ

The organization communicates to external parties regarding matters affecting the functioning of other components of internal control.

5 Hoạt động giám sát (Monitoring

Activities) 16 Công ty lựa chọn, phát triển và thực hiện việcđánh giá liên tục/ hoặc riêng rẽ để xác định các bộ

phận của kiểm soát nội bộ có tồn tại và hoạt độnghay không

The organization selects, develops and performs ongoing and/or separate evaluations to ascertain whether the components of internal controls are present and functioning.

17 Công ty đánh giá và thông tin về những thiếusót kiểm soát nội bộ một cách kịp thời đến các bênchịu trách nhiệm (bao gồm quản lý cấp cao và Hội

05 thành phần của kiểm soát nội bộ 17 nguyên tắc của kiểm soát nội bộ

đồng quản trị) để khắc phục

The organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management and the board of directors, as appropriate.

5 Những hạn chế của kiểm soát nội bộ

Ở bất kỳ tổ chức nào, dù đã được đầu tư thiết lập và vận hành hệ thống kiểm soát nội bộ,nhưng hệ thống kiểm soát nội bộ vẫn không thể hoàn toàn hữu hiệu

Cho dù ngay cả khi xây dựng một hệ thống hoàn hảo về cấu trúc thì hiệu quả thật sự của nóvẫn phụ thuộc chủ yếu vào yếu tố con người, nghĩa là phụ thuộc vào năng lực làm việc và tínhđáng tin cậy của lực lượng lao động đó

Do đó, hệ thống kiểm soát nội bộ chỉ giúp hạn chế đến mức thấp nhất có thể chấp nhận đượccác rủi ro, sai phạm có thể xảy ra

Hạn chế của kiểm soát nội bộ xuất phát từ các nguyên nhân sau:

- Những hạn chế xuất phát từ bản thân nhân viên như: sự vô ý, bất cẩn, đãng trí, chủquan ước lượng sai, hiểu sai chỉ dẫn của cấp trên, hoặc hiểu sai các báo cáo của cấpdưới;

- Khả năng đánh lừa, lẩn tránh của nhân viên thông qua sự thông đồng với nhau hoặc vớicác cá nhân, tổ chức bên ngoài công ty;

- Hoạt động kiểm soát thường chỉ nhắm vào các nghiệp vụ thường xuyên phát sinh mà ítchú ý đến những nghiệp vụ không thường xuyên Do đó, các sai phạm trong các tìnhhuống này thường hay bị bỏ qua;

- Yêu cầu trên hết của người quản lý là chi phí bỏ ra cho hoạt động kiểm soát phải nhỏhơn giá trị thiệt hại được tính do sai sót hay gian lận gây ra

- Luôn luôn tiềm ẩn khả năng các cá nhân có trách nhiệm kiểm soát đã lạm dụng quyềnhạn của mình nhằm phục vụ cho mưu đồ riêng

- Điều kiện hoạt động của công ty đã thay đổi dẫn tới những thủ tục kiểm soát khôngcòn phù hợp

Tất cả các hạn chế nêu trên của kiểm soát nội bộ là nguyên nhân khiến cho kiểm soát nội

bộ không thể bảo đảm tuyệt đối trong việc đạt được mục tiêu của mình

6 Các thuật ngữ và định nghĩa

Kiểm soát ứng dụng (Application Controls) — Các quy trình được lập trình trong phần mềm

ứng dụng, và các quy trình hướng dẫn liên quan được thiết lập để đảm bảo xử lý thông tin đầy

đủ và chính xác Ví dụ như kiểm tra chỉnh sửa dữ liệu đầu vào trên máy tính, kiểm tra trình tự

và các quy trình hướng dẫn để theo dõi danh sách các mặt hàng trong báo cáo ngoại lệ

Programmed procedures in application software, and related manual procedures, designed to help ensure the completeness and accuracy of information processing Examples include computerized edit checks of input data, numerical sequence checks and manual procedures to follow up on items listed in exception reports.

Category —

One of three groupings of objectives of internal control, control activities or controls Thecategories are effectiveness and efficiency of operations, reliability of financial reporting, andcompliance with applicable laws and regulations The categories overlap, so that a particularobjective, for example, might fall into more than one category

Tính tuân thủ (Compliance)— phải tuân theo luật pháp và các quy định đối với công ty

Having to do with conforming with laws and regulations applicable to an entity.

Thành phần (Component) — Một trong 5 yếu tố của kiểm soát nội bộ Các thành phần kiểm

soát nội bộ là kiểm soát môi trường, đánh giá rủi ro, kiểm soát hoạt động, thông tin và truyềnthông, và giám sát

One of five elements of internal control The internal control components are the control environment, risk assessment, control activities, information and communication, and monitoring.

Kiểm soát máy tính (Computer Controls) — (1) Kiểm soát bằng máy tính, tức là việc kiểm

soát được lập trình trong phần mềm máy tính (ngược lại với kiểm soát thủ công) (2) Kiểmsoát bằng máy tính việc xử lý thông tin, bao gồm các kiểm soát chung và kiểm soát ứng dụng(cả lập trình và thủ công)

(1) Controls performed by computer, i.e., controls programmed into computer software (contrast with Manual Controls) (2) Controls over computer processing of information, consisting of general controls and application controls (both programmed and manual).

Kiểm soát (Control) — (1) Danh từ, được sử dụng như một đề tài, vd sự tồn tại của kiểm soát

– là chính sách hoặc thủ tục, là một phần của kiểm soát nội bộ Sự kiểm soát tồn tại bất kỳtrong 5 thành phần (2) Danh từ, được sử dụng như một đối tượng, vd, để thực hiện kiểm soát– kết quả của các chính sách và thủ tục đã được thiết kế để kiểm soát; kết quả này có thể ảnhhưởng tính hiệu quả của kiểm soát nội bộ (3) Động từ, vd, để kiểm soát- điều tiết; để thiết lập

và thực hiện chính sách - ảnh hưởng kiểm soát

(1) A noun, used as a subject, e.g., existence of a control — a policy or procedure that is part

of internal control A control can exist within any of the five components (2) A noun, used as

an object, e.g., to effect control — the result of policies and procedures designed to control; this result may or may not be effective internal control (3) A verb, e.g., to control — to regulate; to establish or implement a policy that effects control.

Tiêu chuẩn (Criteria) — Một tập hợp các tiêu chuẩn mà dựa vào đó hệ thống kiểm soát nội

bộ có thể đo lường trong xác định tính hiệu quả Trong bối cảnh hạn chế vốn có của kiểm soátnội bộ, 5 thành phần kiểm soát nội bộ đại diện cho các tiêu chí về hiệu quả kiểm soát nội bộcho mỗi loại kiểm soát Đối với loại – độ tin cậy của báo cáo tài chính, cần 1 tiêu chuẩn chitiết hơn, the material weakness concept

A set of standards against which an internal control system can be measured in determining effectiveness The five internal control components, taken in the context of inherent limitations

of internal control, represent criteria for internal control effectiveness for each of the three control categories For one category, reliability of financial reporting, there is a more detailed criterion, the material weakness concept.

Sự thiếu sót (Deficiency) — Một kiểm soát nhận biết được, tiềm năng hoặc khiếm khuyết,

hoặc cơ hội để củng cố hệ thống kiểm soát nội bộ để công ty có khả năng thực hiện mục tiêu

A perceived, potential or real internal control shortcoming, or an opportunity to strengthen the internal control system to provide a greater likelihood that the entity’s objectives are achieved.

Kế hoạch (Design) — (1) Ý định Được sử dụng trong định nghĩa kiểm soát nội bộ, thiết kế

hệ thống kiểm soát nội bộ cung cấp sự đảm bảo hợp lý để đạt mục tiêu; khi ý định được thựchiện, hệ thống có thể coi là có hiệu quả (2) Kế hoạch; cách hệ thống sẽ hoạt động

(1) Intent As used in the definition of internal control, the internal control system design is intended to provide reasonable assurance as to achievement of objectives; when the intent is realized, the system can be deemed effective (2) Plan; the way a system is supposed to work, contrasted with how it actually works 120

Kiểm soát dò tìm (Detective Control) — Việc kiểm soát được thiết lập để phát hiện các vấn

đề hoặc kết quả ngoài ý muốn (ngược vs Kiểm soát ngăn ngừa)

A control designed to discover an unintended event or result (contrast with Preventive Control).

Chịu ảnh hưởng (Effected) — Được sử dụng trong hệ thống kiểm soát nội bộ: ra kế hoạch và

duy trì

Used with an internal control system: devised and maintained.

Kiểm soát nội bộ hiệu quả (Effective Internal Control) - Kiểm soát nội bộ có thể được đánh

giá là có hiệu quả trong mỗi hạng mục, tương ứng; nếu Hội đồng quản trị và quản lý có lý dođảm bảo rằng:

 Họ hiểu được mức độ mà các mục tiêu hoạt động của đơn vị đều đã đạt được

 Việc công khai báo cáo tài chính đang được chuẩn bị

 Luật và các quy định liên quan được tuân thủ

Đây là điều kiện của kiểm soát nội bộ

Internal control can be judged effective in each of the three categories, respectively, if the board of directors and management have reasonable assurance that:

This is a state or condition of internal control.

Hệ thống kiểm soát nội bộ có hiệu quả (Effective Internal Control System) — Đồng nghĩa

với Kiểm soát nội bộ hiệu quả

A synonym for Effective Internal Control.

Đơn vị (Entity) — Một tổ chức có quy mô bất kỳ được thành lập cho một mục đích nào đó Ví

dụ, một đơn vị có thể là doanh nghiệp kinh doanh, tổ chức phi lợi nhuận, cơ quan chính phủhoặc học viện Các thuật ngữ khác được sử dụng đồng nghĩa như tổ chức, doanh nghiệp

An organization of any size established for a particular purpose An entity may, for example,

be a business enterprise, not-for-profit organization, government HĐQTy or academic institution Other terms used as synonyms include organization and enterprise.

Các giá trị đạo đức (Ethical Values) — Các giá trị đạo đức cho phép người ra quyết định xác

định tập hợp hành vi thích hợp, những giá trị này dựa trên những gì gọi là “đúng”, cũng có thểvượt quá những gì gọi là “hợp pháp”

Moral values that enable a decision maker to determine an appropriate course of behavior; these values should be based on what is “right,” which may go beyond what is “legal.”

Báo cáo tài chính (Financial Reporting) — Được sử dụng với “mục tiêu” hoặc “kiểm soát”:

việc phải làm với độ tin cậy của những báo cáo tài chính được công bố

Used with “objectives” or “controls”: having to do with the reliability of published financial statements.

Kiểm soát chung (General Controls) — Các chính sách và thủ tục giúp đảm bảo hệ thống

thông tin máy tính hoạt động liên tục, chính xác Chúng bao gồm những kiểm soát đối vớitrung tâm vận hành dữ liệu, việc chuyển đổi phần mềm hệ thống và duy trì, bảo mật truy cập

và phát triển hệ thống ứng dụng và bảo trì Kiểm soát chung hỗ trợ các chức năng của kiểmsoát ứng dụng lập trình Các thuật ngữ khác đôi khi được dùng để miêu tả kiểm soát chungnhư kiểm soát máy tính chung và kiểm soát công nghệ thông tin

Policies and procedures that help ensure the continued, proper operation of computer information systems They include controls over data center operations, system software acquisition and maintenance, access security and application system development and maintenance General controls support the functioning of programmed application controls Other terms sometimes used to describe general controls are general computer controls and information technology controls.

Các hạn chế vốn có (Inherent Limitations) — Những hạn chế của hệ thống kiểm soát nội bộ.

Những hạn chế liên quan đến giới hạn của sự phán xét con người; hạn chế nguồn lực và sự cầnthiết xem xét chi phí của kiểm soát liên quan đến lợi ích mong muốn; trong thực thế, các sự cố

có thể xảy ra; và cũng như khả năng quản lý câu kết và lạm quyền

Those limitations of all internal control systems The limitations relate to the limits of human judgment; resource constraints and the need to consider the cost of controls in relation to expected benefits; the reality that breakdowns can occur; and the possibility of management override and collusion.

Tính liêm chính (Integrity) — Phẩm chất tốt của nguyên tắc đạo đức; ngay thẳng, trung thực

và chân thành; mong muốn làm điều đúng, và sống theo các giá trị và tiêu chuẩn đạo đức

The quality or state of being of sound moral principle; uprightness, honesty and sincerity; the desire to do the right thing, to profess and live up to a set of values and expectations.

Kiểm soát nội bộ (Internal Control) — Một tiến trình được thực hiện bởi Hội đồng quản trị,

quản lý và nhân viên của công ty, kiểm soát nội bộ được thiết lập để đảm bảo thực hiện đượccác mục tiêu:

 Hiệu lực và hiệu quả hoạt động

 Độ tin cậy của báo cáo tài chính

 Tính tuân thủ pháp luật và các quy định hiện hành

Một hệ thống kiểm soát nội bộ được coi là hiệu quả khi nó đáp ứng được các tiêu chuẩn quyđịnh

A process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:

● Effectiveness and efficiency of operations.

● Reliability of financial reporting.

● Compliance with applicable laws and regulations.

When an internal control system satisfies specified criteria, it can be deemed effective.

Hệ thống kiểm soát nội bộ (Internal Control System) — Đông nghĩa với Kiểm soát nội bộ

A synonym for Internal Control

Kiểm soát cấp quản lý (Management Controls)— Việc kiểm soát được thực hiện bởi một

hoặc nhiều nhà quản lý cấp độ bất kỳ trong công ty

Controls performed by one or more managers at any level in an organization.

Sự can thiệp quản lý (Management Intervention) — Hành động quản lý chống lại các chính

sách, thủ tục đã được quy định vì mục đích hợp pháp; cần có sự can thiệp quản lý để giảiquyết những công việc kinh doanh, sự kiện bất thường và không đúng tiêu chuẩn, nếu không

sẽ bị hệ thống xử lý một cách không phù hợp (ngược với Sự lạm quyền quản lý)

Management’s actions to overrule prescribed policies or procedures for legitimate purposes; management intervention is usually necessary to deal with non-recurring and non-standard transactions or events that otherwise might be handled inappropriately by the system (contrast this term with Management Override).

Sự lạm quyền quản lý (Management Override) — Việc quản lý bác bỏ các chính sách và thủ

tục quy định cho các mục đích bất hợp pháp với mục đích trục lợi cá nhân hoặc làm tăng tìnhhình tài chính của công ty hoặc tình trạng tuân thủ

Management’s overruling of prescribed policies or procedures for illegitimate purposes with

Quy trình quản lý (Management Process) — Một loạt các hành động của quản lý để vận

hành công ty Hệ thống kiểm soát nội bộ chỉ là một phần và được tích hợp với quy trình quảnlý

The series of actions taken by management to run an entity An internal control system is a part of and integrated with the management process.

Kiểm soát thủ công (Manual Controls) — Việc kiểm soát thực hiện một cách thủ công,

không phải bằng máy tính (ngược với Kiểm soát máy tính)

Controls performed manually, not by computer (contrast with Computer Controls (1)).

Hoạt động (Operations) — được sử dụng với “mục tiêu” hoặc “kiểm soát”: những gì phải làm

với tính hiệu lực và hiệu quả hoạt động của công ty, bao gồm cả hiệu suất và lợi nhuận mụctiêu, và bảo vệ nguồn lực

Used with “objectives” or “controls”: having to do with the effectiveness and efficiency of an entity’s operations, including performance and profitability goals, and safeguarding resources.

Chính sách (Policy) — Mệnh lệnh của quản lý về những gì nên làm để thực hiện kiểm soát.

Chính sách là cơ sở cho các thủ tục để thực hiện chính sách đó

Management’s dictate of what should be done to effect control A policy serves as the basis for procedures for its implementation.

Kiểm soát ngăn ngừa Preventive Control — Kiểm soát được thiết lập để tránh các sự kiện,

kết quả ngoài ý muốn (trái với Kiểm soát dò tìm)

A control designed to avoid an unintended event or result (contrast with Detective Control).

Thủ tục (Procedure) — Là hành động để mà thực hiện chính sách.

An action that implements a policy.

Báo cáo tài chính được công bố (Published Financial Statements) — Báo cáo tài chính, báo

cáo tài chính tạm thời và những dữ liệu bắt nguồn từ những báo cáo như vậy, chẳng hạn nhưthông cáo thu nhập, báo cáo công khai

Financial statements, interim and condensed financial statements and selected data derived from such statements, such as earnings releases, reported publicly.

Đảm bảo hợp lý (Reasonable Assurance) — Bất kể khái niệm kiểm soát nội bộ được thiết lập

và vận hành như thế nào, cũng không thể đảm bảo rằng sẽ thực hiện được mục tiêu của công

ty Điều này là do các hạn chế vốn có trong tất cả các hệ thống kiểm soát nội bộ

The concept that internal control, no matter how well designed and operated, cannot guarantee that an entity’s objectives will be met This is because of Inherent Limitations in all internal control systems.

Độ tin cậy của Báo cáo tài chính (Reliability of Financial Reporting) — Được sử dụng khi

báo cáo tài chính được công bố, độ tin cậy được định nghĩa là sự chuẩn bị báo cáo tài chínhphải phù hợp, được chấp nhận với những nguyên tắc kế toán và yêu cầu quy định nhằm mụcđích bên ngoài, trong tình huống thiết yếu Hỗ trợ cho việc công bố là 5 nhận định báo cáo tàichính cơ bản: (1) sự tồn tại hay phát sinh, (2) tính đầy đủ, (3) các quyền và nghĩa vụ, (4) đinh

giá hoặc phân bổ, và (5) trình bày và công bố thông tin Khi áp dụng cho báo cáo tài chính tạmthời/tóm tắt hoặc dữ liệu bắt nguồn từ những báo cáo như vậy, các yếu tố đại diện chỉ áp dụngcho phạm vi có liên quan đến việc trình bày.

Used in the context of published financial statements, reliability is defined as the preparation

of financial statements fairly presented in conformity with generally accepted (or other relevant and appropriate) accounting principles and regulatory requirements for external purposes, within the context of materiality Supporting fair presentation are the five basic financial statement assertions: (1) existence or occurrence, (2) completeness, (3) rights and obligations, (4) valuation or allocation, and (5) presentation and disclosure When applied to interim or condensed financial statements or selected data derived from such statements, the factors representing fair presentation and the assertions apply only to the extent they are relevant to the presentation.

Điều kiện báo cáo (Reportable Condition) — Sự thiếu sót trong kiểm soát nội bộ liên quan

đến báo cáo tài chính; đó là một sự thiếu sót đáng kể trong việc thiết lập hoặc vận hành kiểmsoát nội bộ, có thể ảnh hưởng xấu đến khả năng ghi chép, xử lý, tổng hợp và báo cáo dữ liệutài chính của công ty với những nhận định của quản lý trong các báo cáo tài chính

An internal control deficiency related to financial reporting; it is a significant deficiency in the design or operation of the internal control system, which could adversely affect the entity’s ability to record, process, summarize and report financial data consistent with the assertions

of management in the financial statements.

B Tiến trình kiểm soát nội bộ

1 Chính sách kiểm soát nội bộ

Kiểm soát nội bộ không chỉ là những luật lệ; chúng hợp nhất những quy tắc, niềm tin, giá trị

và văn hóa của công ty Các hoạt động kiểm soát nội bộ không chỉ là việc xem xét qui trình cóphù hợp với các văn bản Kiểm soát nội bộ không chỉ là những quy trình tiêu chuẩn hóa; nóbao gồm việc chứng minh rằng những quyết định được đưa ra cơ bản dựa trên những nguyêntắc, tài liệu giả định, tiêu chuẩn và chứng cứ

Kiểm soát nội bộ là một phần của quá trình quản trị để đánh giá, kiểm tra, giám sát, định giá

và báo cáo trên tình trạng của việc thực hiện quy định Cơ quan nhà nước

Kiểm soát nhắc đến việc sắp đặt những hoạt động được dùng để chỉ dẫn, quản lý và qui địnhhướng dẫn Kiểm soát nội bộ đưa ra kỹ năng phát triển và ứng dụng vào một công ty, nơi dùng

sự phán đoán để đánh giá và xác định sự tuân thủ Những người thực hiện việc kiểm soát nội

bộ phải có năng lực và quyền hành để thúc đẩy và nhắc nhở việc tìm kiếm

Kiểm soát nội bộ chỉ ra chương trình các hoạt động được thiết lập để bắt và giám sát nhữngnguy hiểm tiềm ẩn có thể dẫn đến hậu quả: sai sót nghiêm trọng, điều bỏ sót, tuyên bố sai hoặcgian lận Chương trình kiểm soát nội bộ là cốt lõi của rủi ro, giám sát và đánh giá – mà Cơ

Chương trình kiểm soát nội bộ cung cấp bảo đảm chắc chắn cho quy trình:

• Thiết lập giới hạn để ủy quyền quyền hành hoặc phê chuẩn để chỉ dẫn và điều chỉnh các hoạtđộng kinh doanh như những nhu cầu bởi quy định và nhận biết trong thủ tục và chính sách

• Kiểm tra và báo cáo trên việc tuân thủ với những giới hạn được thiết lập

• Định lượng hiệu lực và hiệu quả hoạt động

• Đánh giá sự đáng tin cậy của báo cáo tài chính

• Báo cáo trên việc tuân thủ với những luật lệ và quy định đang áp dụng

• Hỗ trợ nỗ lực cải tiến bằng việc kiểm tra giới hạn ủy quyền

Chương trình là một tập hợp cụ thể của những chính sách, thủ tục và các hoạt động được thiết

kế để giải quyết xử lý các cơ hội, rủi ro và điều không chắc chắn

Kiểm soát nội bộ làm gì? Kiểm soát nội bộ là đánh giá rủi ro, sự bỏ sót, và báo cáo tình hình

kiểm soát công ty Thường gây nhầm lẫn với kiểm toán nội bộ, thậm chí ở nhiều công ty, kiểmsoát nội bộ lại là thuộc cấp của kiểm toán nội bộ Cả kiểm soát nội bộ và kiểm toán nội bộthường giống nhau trong mục đích là gia tăng giá trị và nâng cao hoạt động của tổ chức Cảhai đều dùng kỹ thuật kiểm toán và công cụ phân tích để đánh giá và định giá môi trường kinhdoanh

Kiểm soát nội bộ khác với kiểm toán nội bộ là kiểm soát nội bộ không chỉ đánh giá và định

giá tình hình tuân thủ của công ty trong khả năng sai sót, mà nó còn tham gia giải quyết trongviệc vạch ra, chứng minh, truyền đạt, đào tạo, kiểm tra, và hỗ trợ hoạt động của công ty cũngnhư các mục tiêu tài chính Nhiều công ty dùng kiểm soát nội bộ như một kiểm toán phí phạt

để các phòng ban và giám đốc có thể đưa ý kiến và quyết định về những tập quán kinh doanh

và sự thi hành của cơ quan chức năng

Kiểm toán nội bộ nói chung quan tâm đến dữ liệu phê chuẩn và báo cáo ở điểm cuối cùng của

chu trình với mục đích đưa ra đánh giá và quan điểm Kiểm soát nội bộ quan tâm đến sự phêchuẩn những qui trình tài chính và hoạt động được dùng trong một chu trình với mục đích bày

ra yếu điểm và nhận diện mảng cần cải tiến

Tóm lại kiểm toán nội bộ định giá và đánh giá một qui trình ở “điểm thời gian” còn kiểm soátnội bộ định giá và đánh giá sự thực hiện trong một “khoảng thời gian”

Mô hình và những yêu cầu kiểm soát nội bộ đến từ đâu? Kiểm soát nội bộ là một phần của

chu trình quản trị mà xuất phát từ luật lệ bên ngoài tổ chức và quy định được đưa vào thủ tục

và chính sách chiến lược và quy trình mà khi triển khai, được dùng để tạo ra dữ liệu, thông tin

và báo cáo cho những tổ chức bên ngoài hoặc nơi khởi nguồn của luật lệ

Kiểm soát nội bộ được bắt đầu với môi trường kiểm soát mạnh, được “sở hữu” bởi quản lý và

là trách nhiệm của mỗi nhân viên Những hoạt động kiểm soát phải được thiết kế và lồng

vào trong quy trình kinh doanh.

Ủy ban thuộc Hội đồng quốc gia về chống gian lận khi lập báo cáo tài chính (COSO) năm

1992 đã ban hành Khung hợp nhất – kiểm soát nội bộ để hỗ trợ kinh doanh và việc đánh giá

và tăng cường hệ thống kiểm soát của họ Những người điều hành, thành viên Hội đồng quản trị, người điều chỉnh, những người đặt ra tiêu chuẩn, chuyên gia của tổ chức đã công nhận khung này như một mô hình toàn diện thích hợp cho hoạt động kiểm soát.

Kết quả của việc giải quyết và đáp ứng yêu cầu của SOX, hầu hết bộ phận kiểm soát nội bộtrải qua việc ràng buộc nguồn lực và những yêu cầu thời gian không thực tế Kết quả là kiểmsoát nội bộ trước đó khác xa với kiểm soát nội bộ hiện tại Trong lịch sử, kiểm soát nội bộ xemxét những hoạt động và quy trình tài chính với việc được cung cấp nguồn lực để tìm kiếm,điều tra và giải quyết thực tế - những vấn đề phát sinh (được hiểu ngày nay là tuân thủ) Ngàynay, điểm chính là bởi khối lượng luật lệ, việc kiểm tra kiểm soát nội bộ trừ loại trừ quá trìnhhoạt động và tập trung vào xác nhận mức độ phù hợp của việc xem xét và ủy quyền hiện tại

Do đó, nhìn chung, chức năng kiểm soát nội bộ không phải là chức năng them vào mà cũngkhông phải là họ được mời đến như một thành viên giá trị của nhóm Trong nhiều công ty,quản lý kiểm soát nội bộ là trận chiến mệt mỏi từ việc chiến đấu “giết chết những nhà quảnlý”

Sau đây là những dấu hiệu mà chương trình kiểm soát nội bộ của bạn không hoạt động theonhư dự tính:

- Người lao động nói “Tôi không biết mà”? Nếu vậy, một dấu hiệu đặt ra rằng đã có sựthiếu hiểu biết về chính sách, thủ tục hoặc quy định của chính phủ

- Khi bạn hỏi một nhân viên họ thực hiện một nhiệm vụ cụ thể, họ trả lời “Chúng tôi tintưởng A, người làm tất cả những điều đó”, đây đã có thể là một dấu hiệu phân chianhiệm vụ không thích đáng

- Nếu có việc chia sẻ mật khẩu, mở khóa văn phòng, hoặc tiền mặt không được đảm bảo,

đó chính là quyền không phù hợp truy cập bảo vệ tài sản

- “Chỉ cần nó được làm, tôi không quan trọng nó được làm như thế nào” là dấu hiệuchắc chắn của việc kiểm soát không được đếm xỉa và là một chỉ dẫn quan trọng củahàng tấn những hậu quả xảy ra sau đó

- Khi thực hiện: “Con người là con người và những lỗi đã xảy ra Bạn không thể đoántrước hoặc chấm dứt rủi ro” Có giới hạn vốn có và có phép đối xứng giữa công việccủa những người lao động và được yêu cầu để thực hiện và dữ liệu và những kỹ năngđược làm sẵn sàng cho họ

Cuốn sổ tay này đi từ gốc rễ lịch sử kiểm soát nội bộ và kết hợp quản lý quy trình, quản lý tàichính và những kỹ thuật kiểm toán để thực hiện chương trình

Tại sao phải kiểm soát nội bộ? Để đảm bảo việc tuân thủ pháp luật, và để các nhà lãnh đạo có

trách nhiệm đối với các quyết định có thể ảnh hưởng đến môi trường làm việc

Các quá trình có thể được khắc phục thông qua việc sử dụng một chương trình kiểm soát nội

2 Đánh giá không đầy đủ về nguy cơ của các hoạt động nhất định trên các bảng cân đối (Liênkết với đánh giá rủi ro COSO);

3 Hoạt động kiểm soát không đầy đủ hoặc thất bại, chẳng hạn như phân công nhiệm vụ, phêduyệt, xác nhận, và báo cáo quá trình tổ chức;

4 Sự truyền đạt thiếu thông tin giữa các cấp độ quản lý, đặc biệt trong các vấn đề truyền đạtlên cấp trên;

5 Sử dụng không đầy đủ hoặc không hiệu quả hoạt động giám sát bao gồm các chương trìnhkiểm toán kiểm và soát nội bộ

Lợi ích nhận được từ một chương trình kiểm soát nội bộ tốt bao gồm:

• Tăng hiệu quả hoạt động, báo cáo tài chính đáng tin cậy;

• Tăng lợi nhuận;

• Cải thiện tài liệu hướng dẫn kiểm soát và đánh giá quá trình kiểm soát;

• Cải thiện định nghĩa kiểm soát thông qua việc tổ chức, bao gồm các mối liên hệ giữa kiểmsoát và rủi ro

Các công ty kiểm soát hiệu quả thường nâng cao được hiệu quả hoạt động, trao đổi thông tin,

độ tin cậy, tính linh hoạt, và khả năng phục hồi Công ty với kiểm soát hiệu quả thường đạt kếhoạch đã định, phân phối nguồn lực, và cung cấp những thông tin và dữ liệu chắc chắn, đángtin cậy để ra quyết định và báo cáo

Sự nhấn mạnh về kiểm soát nội bộ đã thúc đẩy thực hiện và kiểm tra theo yêu cầu ban đầu.Các nhà lãnh đạo biết làm thế nào để tận dụng những hiểu biết thu được từ chương trình kiểmsoát nội bộ để tạo ra giá trị cho toàn bộ tổ chức

Chương sau đây trình bày chương trình với mục tiêu cung cấp:

• Hiệu quả hoạt động – để xác định và sửa lỗi trong quá trình xử lý giao dịch, sản xuất sảnphẩm, và/hoặc cung cấp dịch vụ;

• Giám sát hoạt động kiểm soát nội bộ và báo cáo tài chính (VAS) – bao gồm các dữ liệu vàthông tin từ bên ngoài để đáp ứng các quy định;

• Giám sát và kiểm soát nội bộ đối với tất cả các quy định pháp luật đang được áp dụng – theoquy định của quốc gia và khu vực mà công ty tiến hành hoạt động kinh doanh

Chương trình và Quy trình

Tại sao chương trình kiểm soát nội bộ không phải là một quy trình kiểm soát nội bộ?

Một chương trình không chỉ là một quy trình Chương trình đảm bảo rằng có một quy trình

theo đó mục tiêu của chương trình phải được nghiên cứu, quyết định và thực thi Một nhà quản

lý chương trình sẽ liên tục xác nhận tính hợp lệ của các mục tiêu và cách tiếp cận phù hợp nhấtcho công ty Còn một nhà quản lý quy trình chỉ chấp hành một cách nhất quán mà không cần

mở rộng hay thay đổi yêu cầu và phạm vi quy trình

Lưu ý rằng mục tiêu đầu tiên của điều lệ kiểm soát nội bộ là để thiết lập một chương trìnhkiểm soát nội bộ

Quá trình thu thập các khoản phải thu (A/R) có mục tiêu là xác định trước nhiệm vụ để tạođiều kiện thu các khoản phải thu từ khách hàng Quá trình bao gồm:

• Đầu vào: dữ liệu và thông tin liên quan đến hóa đơn được gửi bởi bộ phận hóa đơn

• Quy trình: Xác định thủ tục hướng dẫn người thu A/R để tính toán thời gian và cách thức khi

họ gặp khách hàng

• Các bước thủ tục: (1) Chạy báo cáo của khách hàng, (2) xác định và lựa chọn những khách

hàng có hóa đơn đến thời hạn, (3) liên lạc với những khách hàng này để thu tiền hoặc thốngnhất về thanh toán hóa đơn, (4) gia tăng thủ tục cho khách hàng bị vỡ nợ, (5) nỗ lực liên lạckết quả với khách hàng, (6) chuẩn bị đầu ra

• Đầu ra: Báo cáo về tình trạng tài khoản nợ quá hạn Lưu ý việc áp dụng tiền mặt thu được là

một quá trình khác chứ không phải đầu ra đã được xác định của bộ phận thu

Một chương trình khác ở chỗ nó là một loạt các quá trình được liên kết và chỉ cần thay đổiđịnh kỳ hoặc cập nhật cho các đầu vào cơ bản như khi quy tắc và quy định thay đổi Phần thựchiện của chương trình thường là các phần chức năng và bao gồm một chu kỳ có ảnh hưởngđến toàn bộ công ty

Một chương trình A/R có mục tiêu tối ưu hóa chính sách và thủ tục A/R để tối đa hóa doanhthu và giảm thiểu rủi ro công ty Chương trình bao gồm:

• Đầu vào: (1) Mục đích và mục tiêu của công ty (vd: Bán hàng và các biện pháp A/R); (2) các

điều khoản và điều kiện bán hàng, (3) lợi nhuận bán hàng, (4) đầu vào bên ngoài từ Dun &Bradstreet, tổ chức tín dụng và khách hàng, (5) báo cáo trữ tiền mặt từ ngân quỹ

• Phạm vi Chương trình: quản lý tín dụng, các ứng dụng tiền mặt

• Thủ tục: (1) đánh giá và hỗ trợ thiết lập các mục tiêu của công ty và các mục tiêu liên quan

đến điều kiện và điều khoản kinh doanh; (2) phân bổ nguồn lực và nhân viên để thực hiện các

(8) chuẩn bị, xem xét và phân tích hiệu quả A/R và báo cáo hiệu quả cho quản lý; (9) đánh giácác chương trình A/R

• Đầu ra: (1) Báo cáo tình trạng khách hàng; (2) các bút toán và báo cáo kế toán để làm đầu

vào cho kế toán tổng hợp và báo cáo bên ngoài; (4) cải tiến liên tục cho chương trình A/RMột chương trình và một quy trình giống nhau ở chỗ cả hai đều xác định, lặp lại, có thể dựđoán và đo lường được; cả hai đều được tích hợp trong kết cấu của công ty và đều yêu cầuminh chứng bằng tài liệu

Tài chính, hoạt động, và rủi ro, kiểm soát và kiểm tra

Kiểm soát hoạt động và tài chính tồn tại trong rủi ro đánh giá và được định nghĩa như sau:

• Rủi ro hoạt động ảnh hưởng đến cách làm việc được thiết kế, thực hiện, giám sát hoặc đolường Rủi ro hoạt động chỉ các loại cơ hội và điểm yếu trong nội bộ, có ảnh hưởng đến quytrình và tác động đến mục tiêu và mục đích hoạt động của công ty Rủi ro hoạt động xảy ra khiquy trình không được thực hiện một cách hiệu quả và tài sản không được an toàn hoặc có nguy

cơ bị lạm dụng bởi gian lận, trộm cắp hoặc các điều kiện môi trường khác Tất cả các rủi rohoạt động đều tác động đến tài chính

• Rủi ro tài chính là kết quả của rủi ro hoạt động và gây ra hậu quả sử dụng tài chính khônghiệu quả Rủi ro tài chính có thể xảy ra khi việc xử lý kế toán không được cập nhật để phảnánh những thay đổi đối với yêu cầu báo cáo tài chính và được coi là những rủi ro không theoyêu cầu

• Rủi ro hiệu suất xảy ra khi mà công ty và các trưởng phòng ban muốn đạt được những chỉ thịthi hành quan trọng đặc biệt Rủi ro hiệu suất thường được đưa ra để vượt qua kiểm soát tàichính và hoạt động và yêu cầu cân nhắc hành động

Kiểm soát nội bộ về việc báo cáo tài chính

Cơ quan chức năng nhà nước quy định những quy tắc và tiêu chuẩn để đánh giá quản lý và báocáo tình hình kiểm soát nội bộ qua báo báo tài chính (VAS)

• Đạo luật Sarbanes-Oxley Act (SOX) của Ủy ban chứng khoán và thị trường chứng khoán Mỹ(SEC) thông qua quy tắc chi tiết để thực hiện các yêu cầu hành động liên quan đến kiểm soátnội bộ Cụ thể, mục 302 và 404 quy định các đánh giá kiểm soát nội bộ để quản lý phải đượcchứng thực

• Các tiêu chuẩn kiểm toán bên ngoài được thực hiện bởi Ủy ban Giám sát hoạt động kiểmtoán cho các công ty đại chúng (Public Company Accounting Oversight Board – PCAOB).Những tiêu chuẩn này mô tả các phương pháp tiếp cận, kiểm tra cần thiết và các hướng dẫnkhác mà các kiểm toán viên bên ngoài đơn vị phải tuân theo khi báo cáo về hiệu quả của kiểmsoát nội bộ Ủy ban Giám sát hoạt động kiểm toán cho các công ty đại chúng sẽ đánh giá cáckiểm toán viên để đảm bảo những tiêu chuẩn này được tuân thủ

• Theo luật Sarbanes-Oxley và Ủy ban chứng khoán Mỹ, báo cáo quản lý về hiệu quả kiểmsoát nội bộ tiết lệ các tiêu chí dựa vào đó quản lý đánh giá hiệu quả Các tiêu chuẩn được chấpnhận theo khung hợp nhất – kiểm soát nội bộ của Ủy ban thuộc Hội đồng quốc gia về chốnggian lận khi lập báo cáo tài chính COSO

Ủy ban thuộc Hội đồng quốc gia về chống gian lận khi lập báo cáo tài chính

Khung tích hợp của COSO bao gồm các kiểm soát hoạt động và kiểm soát tài chính đưa rarằng việc kiểm soát hoạt động có ảnh hưởng gián tiếp đến các số liệu và thuyết minh được báocáo trong báo cáo tài chính Khung COSO xác định kiểm soát nội bộ liên quan đến việc đạtđược các mục tiêu của công ty về tổ chức, tài chính, và mục tiêu tuân thủ

Các hướng dẫn kiểm soát nội bộ trong quyển này bao gồm cả mục tiêu kiểm soát tài chính vàkiểm soát hoạt động, chỉ ra rằng 2 quá trình này phụ thuộc lẫn nhau ở cả khía cạnh hoạt động,

đó là, mối quan hệ giữa nguyên nhân – kết quả giữa những yêu cầu báo cáo tài chính và hoạtđộng Vì vậy, các tiếp cận kiểm soát nội bộ phải xem xét gốc rễ của ngành kiểm soát nội bộbao gồm giám sát hoạt động và tài chính

Mục tiêu của kiểm soát nội bộ là thiết lập một chương trình để khi triển khai không chỉ xemxét kết quả của quá trình đó mà là có được đánh giá về cả một chương trình tổng thể

COSO cung cấp các hệ thống kiểm soát nội bộ, được cấu thành gồm 5 phần:

1 Môi trường kiểm soát

2 Đánh giá rủi ro

3 Hoạt động kiểm soát

4 Thông tin và truyền thông

5 Giám sát, đánh giá và kiểm tra

Sau đây là định nghĩa về các thành phần của kết cấu, bao gồm tự đánh giá để giúp bạn xem xétcông ty đã đáp dụng khuôn khổ này như thế nào

PHỤ LỤC

TỰ ĐÁNH GIÁ KHUNG KIỂM SOÁT NỘI BỘ THEO CHUẨN COSO

COSO xác định các yếu tố và phạm vi kiểm soát nội bộ như một khuôn khổ giám sát quản trị

từ nhà nước đến doanh nghiệp Sau mỗi yếu tố là một số câu hỏi để tự đánh giá

Như với các bài tập trên, hãy hoàn thành bài tập này cá nhân hoặc theo nhóm Lý do là, là mộtgiám đốc điều hành, bạn cần phải biết rõ doanh nghiệp của mình nhất và điều gì làm bạn longại Khi trả lời những câu hỏi này, áp dụng ma trận theo sau để có thể tạo cơ sở đánh giá.Bạn nghĩ việc kết hợp khuôn khổ COSO vào trong công ty và hoạt động của bộ phận kiểmsoát nội bộ tốt như thế nào? Sử dụng các định nghĩa và câu hỏi được liệt kê sau mỗi phầnCOSO, đánh giá công ty bạn về mức độ áp dụng những yếu tố này vào các hoạt động tiếp cận,triển khai và kết quả Sử dụng thang điểm sau để tự đánh giá cấp độ Bạn phải đáp ứng các cấp

độ thấp trước khi tiến tới cấp độ tiếp theo

Chú ý rằng sự tiến triển cấp độ lên cấp cao hơn, sẽ có nhiều yêu cầu có chiều sâu hơn, cầntriển khai tích hợp hơn Kết quả chứng minh rằng cách tiếp cận và triển khai sẽ tạo ra nhữngcải tiến được yêu cầu để đạt được xếp hạng trong các hạng mục cao hơn