1. Trang chủ
  2. » Giáo Dục - Đào Tạo

TNG QUAN v h THNG KIM SOAT NI b 1

17 8 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 17
Dung lượng 398,27 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Đến năm 1929, thuật ngữ kiểm soát nội bộ được đề cập chính thức trong một Công bố của Cục Dự trữ Liên bang Hoa Kỳ Federal Reserve Bulletin, theo đó kiểm soát nội bộ được định nghĩa là m

Trang 1

TỔNG QUAN VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ 1.1 Lịch sử phát triển kiểm soát nội bộ

1.1.1 Thời kỳ tiền COSO [1]

Bắt đầu từ cuộc cách mạng công nghiệp, do yêu cầu phát triển, các Công ty cần có vốn và từ đó nhu cầu tăng cường quản lý vốn và kiểm tra thông tin về sử dụng vốn trở nên cấp thiết Hình thức ban đầu

của kiểm soát nội bộ là kiểm toán tiền và thuật ngữ kiểm soát nội bộ bắt đầu xuất hiện từ giai đoạn

này

Đến năm 1929, thuật ngữ kiểm soát nội bộ được đề cập chính thức trong một Công bố của Cục Dự trữ

Liên bang Hoa Kỳ (Federal Reserve Bulletin), theo đó kiểm soát nội bộ được định nghĩa là một công

cụ để bảo vệ tiền và các tài sản khác đồng thời thúc đẩy nâng cao hiệu quả hoạt động, và đây là một

cơ sở để phục vụ cho việc lấy mẫu thử nghiệm của kiểm toán viên

Năm 1936, trong một công bố, Hiệp hội Kế toán viên công chứng Hoa Kỳ (AICPA – American Institute of Certified Public Accountants) đã định nghĩa kiểm soát nội bộ “… là các biện pháp và cách thức được chấp nhận và được thực hiện trong một tổ chức để bảo vệ tiền và các tài sản khác, cũng như kiểm tra sự chính xác trong ghi chép của sổ sách” Sau công bố này, việc nghiên cứu và đánh giá

về kiểm soát nội bộ ngày càng được chú trọng trong cuộc kiểm toán, đặc biệt là sau vụ phá sản của Công ty Mc Kesson & Robbins, là một Công ty dược phẩm nổi tiếng với tổng tài sản lên đến 100 triệu USD vào năm 1937, kiểm toán cho Công ty này là Price Waterhouse Cổ phiếu của Công ty được niêm yết trên thị trường NYSE (New York Stock Exchange)

Do hậu quả này, đến tháng 12/1938, NYSE không cho Mc Kesson & Robbins niêm yết cổ phiếu Uỷ ban chứng khoán Hoa Kỳ (SEC – Securities and Exchange Commission) đã tiến hành đều tra và phát hiện 20 triệu USD hàng tồn kho và nợ phải thu đã bị khai khống và hơn 20% tài sản không hiện hữu trong thực tế Khi nhận xét về cuộc kiểm toán này, SEC cho rằng sai phạm quan trọng và cơ bản nhất

là cuộc kiểm toán đã được thực hiện một cách bất cẩn Trong mọi giai đoạn của cuộc kiểm toán nêu trên đều có sai phạm, từ việc thực hiện thủ tục kiểm toán, việc chọn mẫu không thích hợp cho đến sự

hiểu biết về hệ thống kiểm tra và kiểm soát nội bộ (Internal check and control) không được chủ trọng

đúng mức SEC cũng cho rằng việc tìm hiểu kiểm soát nội bộ không thể chỉ hạn chế ở lĩnh vực kế toán, mà kiểm toán viên cần có kiến thức đầy đủ hơn về cách thức mà các nghiệp vụ trên được thực hiện SEC tin rằng việc thổi phồng sản phẩm dở dang của Công ty đã có thể phát hiện ra nếu kiểm toán viên có xem xét hệ thống kiểm soát nội bộ

Vào năm 1949, AICPA công bố một công trình nghiên cứu đầu tiên về kiểm soát nội bộ với nhan đề:

“Kiểm soát nội bộ, các nhân tố cấu thành và tầm quan trọng đối với việc quản trị doanh nghiệp và đối với kiểm toán viên độc lập” Trong báo cáo này, AICPA đã định nghĩa kiểm soát nội bộ là “… cơ cấu

tổ chức và các biện pháp, cách thức liên quan được chấp nhận và thực hiện trong một tổ chức để bảo

vệ tài sản, kiểm tra sự chính xác và đáng tin cậy của số liệu kế toán, thúc đẩy hoạt động có hiệu quả, khuyến khích sự tuân thủ các chính sách của người quản lý.”

Sau đó, AICPA đã soạn thảo và ban hành nhiều chuẩn mực kiểm toán đề cập đến những khái niệm và khía cạnh khác nhau của kiểm soát nội bộ

- Trước hết, vào năm 1958, Ủy ban thủ tục kiểm toán (CAP – Committee on Auditing Proceduce) trực thuộc AICPA ban hành báo cáo về thủ tục kiểm toán 29 (SAP – Statement on Auditing Proceduce) về: “Phạm vi xem xét kiểm soát nội bộ của kiểm toán viên độc lập”, trong đó lần đầu tiên phân biệt kiểm soát nội bộ về quản lý và kiểm soát nội bộ về kế toán Theo đó, thì kiểm soát nội bộ

về kế toán bao gồm kế hoạch tổ chức, các phương pháp và thủ tục liên hệ trực tiếp đến việc bảo vệ tài

Trang 2

sản và tính đáng tin cậy của số liệu kế toán Chúng thường bao gồm các thủ tục kiểm soát như hệ thống xét duyệt và phê chuẩn, tách biệt nhiệm vụ giữ sổ sách và lập báo cáo với bảo quản tài sản, kiểm soát vật chất với tài sản và kiểm toán nội bộ Kiểm soát nội bộ về quản lý bao gồm kế hoạch tổ chức, các phương pháp và thủ tục liên quan chủ yếu đến tính hữu hiệu trong hoạt động và sự tuân thủ chính sách quản trị Chúng chỉ liên quan gián tiếp đến thông tin tài chính, bao gồm các hoạt động kiểm soát như phân tích thống kê, nghiên cứu về thời gian và động cơ, báo cáo về tính hiệu quả, chương trình huấn luyện nhân viên và kiểm soát chất lượng

- Đến năm 1962, CAP tiếp tục ban hành SAP 33, đã làm rõ hơn về vấn đề này như sau: Kiểm toán viên độc lập trước hết sẽ quan tâm đến kiểm soát nội bộ về kế toán vì nó ảnh hưởng trực tiếp đến thông tin tài chính Kiểm soát nội bộ về quản lý thường chỉ liên quan gián tiếp đến thông tin tài chính,

do vậy kiểm toán viên sẽ không bị buộc phải đánh giá chúng Tuy nhiên, nếu kiểm toán viên độc lập tin rằng một số thủ tục kiểm soát hành chính có thể ảnh hưởng đến tính đáng tin cậy của thông tin tài chính, kiểm toán viên sẽ phải nghiên cứu để đánh giá kiểm soát nội bộ về quản lý Dựa trên các khái niệm kiểm soát kế toán và kiểm soát quản lý, CAP đã xây dựng chuẩn mực kiểm toán, trong đó yêu cầu Công ty kiểm toán nên giới hạn nghiên cứu kiểm soát nội bộ về kế toán Rõ ràng sự thay đổi của CAP qua các giai đoạn trên là đưa ra hướng dẫn không bao quát về kiểm soát nội bộ như định nghĩa đầu tiên, mà chỉ trên phương diện kiểm soát nội bộ về kế toán

- Đến năm 1972, CAP tiếp tục ban hành SAP 54 “Tìm hiểu và đánh giá kiểm soát nội bộ” trong đó đưa ra bốn thủ tục kiểm soát kế toán, đó là đảm bảo nghiệp vụ chỉ được thực hiện khi đã được phê chuẩn, ghi nhận đúng đắn mọi nghiệp vụ để lập báo cáo, hạn chế sự tiếp cận tài sản và kiểm kê Sau đó, AICPA ban hành các chuẩn mực kiểm toán (SAS – Statement on Auditing Standard) để thay thế cho các thủ tục kiểm toán (SAP) Trong đó SAS 1 (1973), duyệt xét lại SAP 54 và đưa ra định nghĩa về kiểm soát quản lý và kiểm soát kế toán như sau:

- Kiểm soát quản lý, không chỉ hạn chế ở kế hoạch tổ chức và các thủ tục, mà còn bao gồm quá trình

ra quyết định cho phép thực hiện nghiệp vụ của nhà quản lý

- Kiểm soát kế toán bao gồm các thủ tục và cách thức tổ chức ghi nhận vào sổ sách để bảo vệ tài sản, tính đáng tin cậy của số liệu và do vậy, nó được thiết lập để cung cấp sự bảo đảm hợp lý trên các phương diện sau đây:

+ Các nghiệp vụ thực hiện phù hợp với sự ủy quyền và xét duyệt của nhà quản lý

+ Các nghiệp vụ được ghi nhận khi phát sinh để: Lập báo cáo tài chính phù hợp với chuẩn mực kế toán hay các quy định có liên quan; Thực hiện trách nhiệm báo cáo về tình hình tài sản

+ Việc tiếp cận tài sản chỉ được thực hiện khi có sự cho phép của nhà quản lý

+ Định kỳ các báo cáo về tài sản phải được so sánh với tài sản hiện hữu trong thực tế và có biện pháp

xử lý thích hợp đối với các chênh lệch

Các định nghĩa trên đã khẳng định sự quan tâm của nghề nghiệp kiểm toán đối với các bộ phận (yếu tố) cấu thành kiểm soát nội bộ và đó chính là đối tượng nghiên cứu của các chuẩn mực kiểm toán Như vậy, trong suốt thời kỳ trên, khái niệm kiểm soát nội bộ đã đang không ngừng được mở rộng ra khỏi những thủ tục bảo vệ tài sản và ghi chép sổ sách kế toán Tuy nhiên, trước khi báo cáo COSO

1992 ra đời, kiểm soát nội bộ vẫn mới chỉ dừng lại như là một phương tiện phục vụ cho kiểm toán viên trong kiểm toán báo cáo tài chính

Trang 3

1.1.2 Giai đoạn Báo cáo COSO 1992 [1]

Vào những thập niên 1970 – 1980, nền kinh tế của Hoa Kỳ cũng như nhiều quốc gia khác đã phát triển mạnh mẽ Số lượng các Công ty tăng nhanh, kể cả các Công ty thuộc quyền sở hữu của nhà nước và kinh doanh quốc tế Trong thời gian này, cùng với sự phát triển về kinh tế, các vụ gian lận cũng ngày càng tăng, với quy mô ngày càng lớn, gây ra tổn thất đáng kể cho nền kinh tế Trong quá trình điều tra vụ tai tiếng chính trị Watergate, Quốc hội Hoa Kỳ đã phát hiện rất nhiều các hoạt động vận động tranh cử trái phép và rửa tiền liên quan đến nước ngoài Vào năm 1977, Luật về chống hối

lộ nước ngoài (Foreign Corrupt Practies Act) ra đời Sau đó, SEC đưa ra bắt buộc các Công ty phải

báo cáo về kiểm soát nội bộ đối với công tác kế toán ở đơn vị mình (1979) Yêu cầu về báo cáo kiểm soát nội bộ của Công ty cho công chúng là một chủ đề gây nhiều tranh luận Một trong những luận điểm của người chống đối là thiếu các tiêu chuẩn để đánh giá tính hữu hiệu của kiểm soát nội bộ

Vì thế Uỷ ban COSO (The Committee of Sponsoring Organization) được thành lập vào năm 1985 COSO là một Ủy ban thuộc Hội đồng Quốc gia Hoa kỳ về việc chống gian lận về báo cáo tài chính (National Commission on Financial Reporting, hay còn được gọi là Treadway Commission) và được bảo trợ bởi năm tổ chức nghề nghiệp, mỗi tổ chức này đã chỉ ra một đại diện để lập ra Ủy ban COSO Năm tổ chức đó là:

- Hiệp hội Kế toán viên công chứng Hoa kỳ (AICPA - American Institute of Certified Public Accountants)

- Hiệp hội Kiểm toán viên nội bộ (IIA – Institute of Internal Auditors)

- Hiệp hội Quản trị viên tài chính (FEI – Financial Executives Institute)

- Hiệp hội Kế toán Hoa kỳ (AAA – American Accounting Association)

- Hiệp hội Kế toán viên quản trị (IMA – Institute of Management Accountants)

COSO được thành lập nhằm nghiên cứu về kiểm soát nội bộ, cụ thể là:

- Thống nhất định nghĩa về kiểm soát nội bộ để phục vụ cho nhu cầu của các đối tượng khác nhau

COSO đã sử dụng chính thức kiểm soát nội bộ thay vì kiểm soát nội bộ về kế toán

- Công bố đầy đủ một hệ thống tiêu chuẩn để giúp các đơn vị có thể đánh giá hệ thống kiểm soát nội

bộ của họ và tìm giải pháp để hoàn thiện Báo cáo COSO 1992 đưa ra năm bộ phận của kiểm soát nội

bộ bao gồm: môi trường kiểm soát, đánh giá rủi ro, các hoạt động kiểm soát, thông tin và truyền thông, và giám sát

Báo cáo COSO 1992 là tài liệu đầu tiên trên thế giới nghiên cứu và định nghĩa về kiểm soát nội bộ một cách đầy đủ và có hệ thống Đặc điểm nổi bật của báo cáo này là cung cấp một tầm nhìn rộng và mang tính quản trị, trong đó kiểm soát nội bộ không chỉ còn là một vấn đề liên quan đến báo cáo tài chính mà được mở rộng ra cho cả các phương diện hoạt động và tuân thủ

Báo cáo COSO 1992 tuy chưa thực sự hoàn chỉnh nhưng đã tạo lập được những cơ sở lý thuyết rất cơ bản về kiểm soát nội bộ Sau đó, hàng loạt nghiên cứu phát triển về kiểm soát nội bộ trong nhiều lĩnh vực khác nhau đã ra đời COSO phát triển về quản trị, về doanh nghiệp nhỏ, về công nghệ thông tin, kiểm toán độc lập, kiểm toán nội bộ, chuyên sâu vào những ngành nghề cụ thể và giám sát, cụ thể như sau:

1.1.2.1 Phát triển về quản trị

Năm 2001, COSO triển khai nghiên cứu hệ thống quản trị rủi ro doanh nghiệp (ERM – Enterprise Risk Management Framework) trên cơ sở Báo cáo COSO 1992 Dự thảo đã hình thành và công bố tháng 7/2003, theo đó ERM được định nghĩa gồm 8 bộ phận: môi trường nội bộ, thiết lập mục tiêu,

Trang 4

nhận diện sự kiện, đánh giá rủi ro, đối phó rủi ro, các hoạt động kiểm soát, thông tin truyền thông, và giám sát Đến năm 2004, ERM đã được chính thức ban hành ERM (2004) là “cánh tay nối dài” của Báo cáo COSO 1992, chứ không nhằm thay thế cho Báo cáo này

1.1.2.2 Phát triển theo hướng công nghệ thông tin

Năm 1996, Bản tiêu chuẩn có tên “Các mục tiêu kiểm soát trong công nghệ thông tin và các lĩnh vự liên quan” (CoBIT – Control Objectives for Information and Related Technology) do Hiệp hội về kiểm soát và kiểm toán hệ thống thông tin (ISACA – Information System Audit and Control Association) ban hành CoBIT nhấn mạnh đến kiểm soát trong môi trường tin học (CIS – Computer Information System), bao gồm những lĩnh vực hoạch định và tổ chức, mua và triển khai, phân phối và

hỗ trợ, giám sát

1.1.2.3 Phát triển theo hướng kiểm toán độc lập

Các chuẩn mực kiểm toán của Hoa Kỳ cũng chuyển sang sử dụng Báo cáo COSO làm nền tảng đánh giá hệ thống kiểm soát nội bộ, bao gồm:

- SAS 78 (1995): Xem xét kiểm soát nội bộ trong kiểm toán báo cáo tài chính (điều chỉnh SAS 55) Các định nghĩa, nhân tố của kiểm soát nội bộ trong Báo cáo COSO 1992 đã được đưa vào chuẩn mực này

- SAS 94 (2001): Ảnh hưởng của công nghệ thông tin đến việc xem xét kiểm soát nội bộ trong kiểm toán báo cáo tài chính

Hệ thống chuẩn mực kiểm toán quốc tế (ISA – International Standard on Auditing) cũng sử dụng báo cáo của COSO khi yêu cầu xem xét hệ thống kiểm soát nội bộ trong kiểm toán báo cáo tài chính, cụ thể là:

- ISA 315 “Hiểu biết về tình hình kinh doanh, môi trường hoạt động đơn vị và đánh giá rủi ro các sai sót trọng yếu”: yêu cầu kiểm toán viên cần có hiểu biết đầy đủ về kiểm soát nội bộ và đã định nghĩa

“Hệ thống kiểm soát nội bộ là một quá trình do bộ máy quản lý, Ban tổng giám đốc và các nhân viên của đơn vị chi phối, được thiết lập để cung cấp một sự đảm bảo hợp lý nhằm thực hiện ba mục tiêu báo cáo tài chính đáng tin cậy, pháp luật và các quy định được tuân thủ, hoạt động hữu hiệu và hiệu quả Hệ thống kiểm soát nội bộ được thiết kế và thực hiện nhằm giảm thiểu những rủi ro kinh doanh

có khả năng đe doạ đến việc đạt được những mục tiêu trên” Như vậy, định nghĩa về kiểm soát nội theo ISA 315 đã dựa trên định nghĩa về kiểm soát nội bộ của Báo cáo COSO 1992 Ngoài ra các bộ phận cấu thành kiểm soát nội bộ được ISA 315 đưa ra cũng dựa trên Báo cáo COSO 1992

- ISA 265 “Thông báo về những khiếm khuyết của kiểm soát nội bộ”: yêu cầu kiểm toán viên độc lập thông báo về các khiếm khuyết của kiểm soát nội bộ do kiểm toán viên phát hiện được cho những người có trách nhiệm trong đơn vị

1.1.2.4 Phát triển theo hướng kiểm toán nội bộ

Hiệp hội kiểm toán nội bộ (IIA) định nghĩa các mục tiêu của kiểm soát nội bộ bao gồm:

- Độ tin cậy và tính trung thực của thông tin

- Tuân thủ các chính sách, kế hoạch, thủ tục, luật pháp và quy định

- Bảo vệ tài sản

- Sử dụng hiệu quả và kinh tế các nguồn lực

- Hoàn thành các mục đích và mục tiêu cho các hoạt động hoặc chương trình

Trang 5

Các chuẩn mực của IIA không đi sâu vào nghiên cứu các thành phần của kiểm soát nội bộ, vì IIA là một thành viên của COSO nên về nguyên tắc không có sự khác biệt giữa định nghĩa của IIA và COSO

1.1.3 Giai đoạn COSO 2013 [4]

Sau hơn 20 năm, kể từ khi ban hành Báo cáo COSO lần đầu tiên (1992), môi trường kinh doanh đã có những thay đổi lớn, ảnh hưởng đáng kể đến cách thức tổ chức kinh doanh, nhận diện, đánh giá và đối phó với rủi ro của doanh nghiệp Báo cáo COSO 1992 mặc dù đã được áp dụng rộng rãi trên thế giới nhưng trước những thay đổi lớn từ môi trường nêu trên đã đặt ra những yêu cầu phải thay đổi cho phù hợp với tình hình mới Có thể tóm tắt những thay đổi quan trọng như sau:

- Thứ nhất, quá trình toàn cầu hoá tiếp tục diễn ra trên diện rộng khiến cho các mô hình kinh doanh

thay đổi đáng kể, tính phức tạp trong kinh doanh và tốc độ luân chuyển vốn diễn ra nhanh hơn Điều này đòi hỏi hệ thống kiểm soát nội bộ của doanh nghiệp cũng phải thay đổi mới có thể thích ứng được với tình hình mới

- Thứ hai, nhiều quy định và chuẩn mực mới được ban hành hoặc sửa đổi, đặt ra yêu cầu lớn hơn cho

nhà quản lý doanh nghiệp về năng lực điều hành và trách nhiệm giải trình, trong đó có trách nhiệm báo cáo, quản tri rủi ro, ngăn chặn và phát hiện gian lận tại đơn vị mình

- Thứ ba, sự phụ thuộc vào công nghệ thông tin ngày càng cao để cải thiện kết quả kinh doanh và ra

quyết định của doanh nghiệp Việc sử dụng các tổ chức cung cấp dịch vụ cũng như chia sẻ thông tin diễn ra ngày càng phổ biến và sâu rộng Cách thức thu thập thông tin, khai thác và chia sẻ kiểu truyền thống tỏ ra không còn phù hợp và hiệu quả Và đương nhiên cách thức kiểm soát và bảo vệ đi kèm cũng buộc phải thay đổi

Những lý do trên là động lực thúc đẩy Ủy ban COSO phải tiến hành cập nhật báo cáo của mình về kiểm soát nội bộ để đảm bảo tính thích hợp và ứng dụng được trong môi trường hiện tại Dự án cập nhật Báo cáo COSO được tiến hành từ năm 2010, bắt đầu với việc tham khảo ý kiến của các bên về nhu cầu cập nhật và nội dung cập nhật của Báo cáo COSO 1992 Sau đó bản dự thảo được đưa ra lấy

ý kiến rộng rãi, điều chỉnh và chính thức ban hành tháng 5 năm 2013

1.1.3.1 Những nội dung không thay đổi giữa Báo cáo COSO 2013 và Báo cáo COSO 1992

Sự chấp nhận rộng rãi của các tổ chức nghề nghiệp, các cơ quan chức năng, doanh nghiệp trên thế giới khiến cho những khái niệm nền tảng trong Báo cáo COSO 1992 trở thành tiêu chuẩn vững chắc trong thực tế Vì vậy, bốn nội dung quan trọng của Báo cáo COSO 1992 vẫn được giữ trong Báo cáo COSO 2013, bao gồm:

- Định nghĩa kiểm soát nội bộ;

- Ba nhóm mục tiêu của đơn vị (bao gồm mục tiêu Hoạt động, Báo cáo và Tuân thủ);

- Năm bộ phận của kiểm soát nội bộ (bao gồm Môi trường kiểm soát, Đánh giá rủi ro, Hoạt động kiểm soát, Thông tin – Truyền thông, và Giám sát);

- Áp dụng xét đoán vào việc thiết kế, thực hiện, vận hành và đánh giá kiểm soát nội bộ

1.1.3.2 Những nội dung thay đổi trong Báo cáo COSO 2013 so với Báo cáo COSO 1992

Có bảy (7) thay đổi quan trọng của Báo cáo COSO 2013 so với Báo cáo COSO 1992:

- Thứ nhất, COSO 2013 nêu rõ áp dụng cách tiếp cận dựa trên nguyên tắc (principle based) khi xây

dựng Khuôn mẫu kiểm soát nội bộ Với cách tiếp cận dựa trên nguyên tắc, Báo cáo COSO 2013 không liệt kê các kiểm soát mà một hệ thống kiểm soát nội bộ của đơn vị cần phải có, thay vào đó Báo cáo COSO 2013 nêu ra những yêu cầu cần phải tuân thủ (các nguyên tắc), còn việc lựa chọn

Trang 6

những kiểm soát nào để được yêu cầu là tuỳ thuộc vào xét đoán của nhà quản lý và những đặc điểm riêng của đơn vị Cách tiếp cận này làm tăng tính linh động cho việc áp dụng COSO vào những tổ chức có quy mô và lĩnh vực hoạt động khác nhau như doanh nghiệp, tổ chức phi lợi nhuận, cơ quan nhà nước, ngân hàng… Cách tiếp cận này đảm bảo cho vị thế của Báo cáo COSO là khuôn mẫu về kiểm soát nội bộ đuợc áp dụng rộng rãi nhất trên thế giới Báo cáo COSO 2013 đã gia tăng phần tài liệu minh hoạ (illustrative documents) để hỗ trợ người sử dụng trong việc lựa chọn, xây dựng các kiểm soát cũng như đánh giá sự hữu hiệu của hệ thống kiểm soát nội bộ Cách tiếp cận dựa trên nguyên tắc này của COSO phù hợp với xu thế chung hiện nay trên thế giới Tuy nhiên, một số nhà nghiên cứu cho rằng Báo cáo COSO 2013 còn có thiếu sót khi không nêu lý do tại sao COSO lại lựa chọn cách tiếp cận dựa trên nguyên tắc (principle based) cho lần cập nhật này

- Thứ hai, COSO 2013 bổ sung những yêu cầu của một hệ thống kiểm soát nội bộ hữu hiệu Theo đó

một hệ thống kiểm soát nội bộ hữu hiệu phải đảm bảo 5 bộ phận và các nguyên tắc tương ứng phải vận hành trên thực tế Không thể lấy sự hữu hiệu của bộ phận này để bù đắp cho sự yếu kém hay không tồn tại của bộ phận khác Yêu cầu này tạo thuận lợi cho việc đánh giá sự hữu hiệu của hệ thống kiểm soát nội bộ Các doanh nghiệp niêm yết ở Hoa kỳ chịu sự chi phối của Luật SOX (Sarbanes – Oxley) hàng năm phải nộp Báo cáo đánh giá sự hữu hiệu của Hệ thống kiểm soát nội bộ cùng với Báo cáo tài chính Báo cáo đánh giá sự hữu hiệu của hệ thống kiểm soát nội bộ cũng phải được kiểm toán bởi kiểm toán viên độc lập

- Thứ ba, mục tiêu báo cáo được mở rộng Mục tiêu báo cáo không chỉ cho bên ngoài mà cho cả bên

trong, không chỉ báo cáo tài chính mà còn cả báo cáo phi tài chính Điều này nhằm đáp ứng kỳ vọng ngày càng cao của các bên liên quan về năng lực điều hành và trách nhiệm giải trình của nhà quản lý, trong đó có trách nhiệm báo cáo, quản trị rủi ro, ngăn chặn và phát hiện gian lận tại đơn vị

- Thứ tư, COSO 2013 làm rõ vai trò của việc xác lập mục tiêu và ảnh hưởng của các đối tượng bên

ngoài đến việc xác lập mục tiêu của đơn vị Mặc dù vẫn duy trì quan điểm xác lập mục tiêu là tiền đề của kiểm soát nội bộ, COSO 2013 mở rộng nội dung là cụ thể hoá mục tiêu và xem xét sự phù hợp của các mục tiêu được xác lập Ngoài ra, COSO 2013 cũng thừa nhận vai trò của các cơ quan nhà nước, các tổ chức lập quy trong việc xác lập mục tiêu của đơn vị cũng như các tiêu chuẩn đánh giá và yêu cầu báo cáo về những khiếm khuyết của hệ thống kiểm soát nội bộ Nói cách khác, kiểm soát nội

bộ không còn là chuyện “nội bộ” của bản thân doanh nghiệp mà còn bị ảnh hưởng bởi các đối tượng bên ngoài Thí dụ, Uỷ ban chứng khoán có thể đưa ra những yêu cầu cụ thể mà Công ty niêm yết phải tuân thủ liên quan đến kiểm soát nội bộ hoặc một đơn vị thuộc lĩnh vực công có thể phải chịu những quy định riêng liên quan đến mục tiêu hoạt động của đơn vị

- Thứ năm, những nội dung cơ bản liên quan đến năm (5) bộ phận của kiểm soát nội bộ được tổng

hợp thành mười bảy (17) nguyên tắc kiểm soát nội bộ Có thể nói đây là sự thay đổi đáng kể so với Báo cáo 1992 Trong Báo cáo trước đây, những nguyên tắc này nằm lẫn trong nội dung của Báo cáo

và không được nêu tên một cách cụ thể Có thể nói mười bảy (17) nguyên tắc này chính là bộ xương của hệ thống kiểm soát nội bộ không chỉ dễ dàng hơn cho nhà quản lý mà còn cho các đối tượng khác bên ngoài doanh nghiệp trong việc thiết lập và đánh giá hệ thống kiểm soát nội bộ

- Thứ sáu, COSO 2013 đề cập nhiều hơn đến khái niệm quản trị doanh nghiệp (governance) Báo cáo

COSO 2013 mở rộng phần thảo luận về quản trị doanh nghiệp, nhất là các vấn đề liên quan đến hội đồng quản trị và các uỷ ban như uỷ ban kiểm toán, uỷ ban lương thưởng… Điều này nhằm đáp ứng yêu cầu cao hơn của xã hội về việc quản trị doanh nghiệp, qua đó cũng cho thấy mối quan hệ giữa kiểm soát nội bộ và quản trị doanh nghiệp

- Thứ bảy, COSO 2013 thừa nhận vai trò ngày càng quan trọng của công nghệ thông tin ảnh hưởng

tới hoạt động kinh doanh và kiểm soát nội bộ của mỗi doanh nghiệp cũng như kỳ vọng ngày càng cao

Trang 7

của các đối tượng bên ngoài doanh nghiệp về năng lực của nhà quản lý, về trách nhiệm giải trình và

về việc phòng chống gian lận

Tuy nhiên, một số nghiên cứu cho rằng COSO 2013 vẫn chưa thể hiện được đủ tầm quan trọng của công nghệ thông tin tác động tới kiểm soát nội bộ khi chỉ nêu vai trò của công nghệ thông tin trong phần Hoạt động kiểm soát

1.2 Khái niệm kiểm soát nội bộ theo Báo cáo COSO 2013

1.2.1 Định nghĩa [9]

Báo cáo COSO 2013 đã định nghĩa kiểm soát nội bộ như sau:

“Kiểm soát nội bộ là một quá trình bị ảnh hưởng bởi Ban tổng giám đốc, nhà quản lý và các nhân viên khác của một tổ chức được thiết lập để cung cấp sự đảm bảo hợp lý nhằm đạt được mục tiêu liên quan đến hoạt động, báo cáo và tuân thủ”

COSO 2013 cung cấp ba loại mục tiêu, cho phép các tổ chức tập trung vào các khía cạnh của kiểm soát nội bộ khác nhau:

- Mục tiêu hoạt động: Đề cập đến sự hiệu quả và hữu hiệu của các hoạt động trong đó bao gồm mục tiêu về hoạt động và tài chính đồng thời đảm bảo tài sản không bị mất mát

- Mục tiêu báo cáo: Đề cập đến những báo cáo tài chính và phi tài chính ra bên ngoài và trong nội bộ bao gồm độ tin cậy, kịp thời, minh bạch hoặc các điều khác được quy định bởi các cơ quan quản lý về pháp luật, quy định và chính sách của tổ chức

- Mục tiêu tuân thủ: Đề cập đến việc tuân thủ pháp luật và các quy định chi phối các hoạt động của tổ chức

Trong định nghĩa trên, có bốn khái niệm quan trọng cần lưu ý, đó là quá trình, con người, đảm bảo

hợp lý và mục tiêu:

Kiểm soát nội bộ là một quá trình

Các hoạt động của đơn vị được thực hiện thông qua quá trình lập kế hoạch, thực hiện và giám sát Để đạt được mục tiêu mong muốn, đơn vị cần kiểm soát các hoạt động của mình, kiểm soát nội bộ là quá trình này Kiểm soát nội bộ không phải là một sự kiện hay tình huống mà là một chuỗi các hoạt động hiện diện trong mọi bộ phận, gắn bó và xuyên suốt mọi hoạt động của tổ chức và là một nội dung cơ bản trong các hoạt động của tổ chức Kiểm soát nội bộ sẽ hữu hiệu khi nó là một bộ phận không tách rời chứ không phải chức năng bổ sung cho các hoạt động của tổ chức

Con người

Kiểm soát nội bộ được thiết kế và vận hành bởi con người, đó là Hội đồng quản trị, Ban tổng giám đốc, nhà quản lý và các nhân viên trong đơn vị Kiểm soát nội bộ là một công cụ giúp nhà quản trị quản lý doanh nghiệp hiệu quả hơn Nói cách khác, nó được thực hiện bởi những con người trong tổ chức, bởi suy nghĩ và hành động của họ Chính họ sẽ vạch ra mục tiêu, đưa ra biện pháp kiểm soát và vận hành chúng

Tuy nhiên, không phải lúc nào con người cũng hiểu rõ, trao đổi và hành động một cách nhất quán Mỗi thành viên tham gia vào tổ chức với khả năng, kiến thức, kinh nghiệm và nhu cầu khác nhau Một hệ thống kiểm soát nội bộ chỉ có thể hữu hiệu khi từng thành viên trong tổ chức hiểu rõ trách nhiệm và quyền hạn của mình Việc kiểm soát cần được giới hạn ở mức độ nhất định Do vậy, để kiểm soát nội bộ hữu hiệu cần phải xác định mối liên hệ, nhiệm vụ và cách thức thực hiện việc kiểm soát của từng thành viên để đạt được các mục tiêu của tổ chức

Trang 8

Đảm bảo hợp lý

Kiểm soát nội bộ chỉ có thể cung cấp sự đảm bảo hợp lý cho các nhà quản lý trong việc đạt được các mục tiêu của tổ chức chứ không thể đảm bảo tuyệt đối Điều này xuất phát từ những hạn chế tiềm tàng trong quá trình xây dựng và vận hành hệ thống kiểm soát nội bộ, đó là do những sai lầm của con người khi đưa ra các quyết định, sự thông đồng của các cá nhân hay sự lạm quyền của nhà quản lý có thể vượt khỏi tầm kiểm soát nội bộ… Hơn nữa, một nguyên tắc cơ bản trong quản lý là chi phí cho quá trình kiểm soát không thể vượt quá lợi ích mong đợi mà quá trình kiểm soát đó mang lại Tất cả các điều đó dẫn đến trong mọi tổ chức, dù có thể đã đầu tư rất nhiều cho việc thiết kế và vận hành hệ thống kiểm soát nhưng vẫn không thể có hệ thống kiểm soát nội bộ hoàn hảo

Các mục tiêu

Mỗi đơn vị thường có các mục tiêu kiểm soát cần đạt được để từ đó xác định các chiến lược cần thực hiện Đó có thể là mục tiêu chung cho toàn đơn vị, hay mục tiêu cụ thể cho từng hoạt động, từng bộ phận trong đơn vị Có thể chia các mục tiêu kiểm soát đơn vị cần thiết lập thành ba nhóm:

- Nhóm mục tiêu về hoạt động: nhấn mạnh đến sự hữu hiệu và hiệu quả của việc sử dụng các nguồn lực

- Nhóm mục tiêu về báo cáo tài chính: nhấn mạnh đến tính trung thực và đáng tin cậy của báo cáo tài chính mà tổ chức cung cấp

- Nhóm mục tiêu về sự tuân thủ: nhấn mạnh đến việc tuân thủ pháp luật và các quy định

Các mục tiêu trên có thể tách biệt nhưng cũng có thể trùng với nhau, vì một mục tiêu riêng lẻ có thể được xếp vào một hay nhiều loại trong ba nhóm mục tiêu trên Sự phân loại các mục tiêu nhằm giúp

tổ chức kiểm soát ở các phương diện khác nhau

1.2.2 Báo cáo COSO 2013

1.2.2.1 Cấu trúc của Báo cáo COSO 2013 [4]

Báo cáo COSO 2013 bao gồm 4 phần:

- Tóm tắt cho nhà điều hành (Executive Summary);

- Khuôn mẫu kiểm soát nội bộ và phụ lục (Framework and Appendices);

- Công cụ đánh giá sự hữu hiệu của kiểm soát nội bộ (Illustrative Tools for Assessing Effectiveness of

a System of Internal Control);

- Kiểm soát nội bộ cho việc lập báo cáo tài chính cho bên ngoài (Internal Control Over External Financial Reporting: A Compendium of Approaches and Examples)

Cụ thể như sau:

Phần 1: Tóm tắt cho nhà điều hành

Trình bày tóm lược nội dung của Khuôn mẫu kiểm soát nội bộ (Framework) dành cho giám đốc điều hành, thành viên ban quản trị và các vị trí quản lý cấp cao khác

Phần 2: Khuôn mẫu kiểm soát nội bộ và Phụ lục

Trình bày chi tiết Khuôn mẫu kiểm soát nội bộ, bao gồm định nghĩa kiểm soát nội bộ, đưa ra những yêu cầu của một hệ thống kiểm soát nội bộ hữu hiệu, bao gồm các bộ phận và các nguyên tắc kiểm soát nội bộ, cung cấp định hướng cho nhà quản lý ở mọi cấp trong đơn vị biết cách thiết kế, thực hiện

và đánh giá sự hữu hiệu của hệ thống kiểm soát nội bộ Khuôn mẫu kiểm soát nội bộ là nội dung chính yếu nhất của Báo cáo COSO 2013 Phần phụ lục cung cấp thêm thông tin tham khảo bao gồm:

Trang 9

từ điển thuật ngữ, các lưu ý cho doanh nghiệp nhỏ và tóm tắt những thay đổi của Báo cáo COSO

2013 so với Báo cáo COSO 1992 (mặc dù phụ lục không được coi là một phần của Khuôn mẫu)

Phần 3: Công cụ đánh giá sự hữu hiệu của kiểm soát nội bộ

Phần này cung cấp các mẫu biểu và những ví dụ thực tế để hỗ trợ nhà quản lý trong việc áp dụng khuôn mẫu kiểm soát nội bộ đặc biệt là khi đánh giá sự hữu hiệu của kiểm soát nội bộ

Phần 4: kiểm soát nội bộ cho việc lập báo cáo tài chính cho bên ngoài

Phần này cung cấp phương pháp và ví dụ thực tế về việc áp dụng những yêu cầu của kiểm soát nội bộ (bao gồm các bộ phận và các nguyên tắc kiểm soát nội bộ) vào việc chuẩn bị các báo cáo tài chính cho bên ngoài

1.2.2.2 Các yếu tố cấu thành hệ thống kiểm soát nội bộ [9]

Báo cáo COSO 2013 vẫn giữ lại năm bộ phận của kiểm soát nội bộ, bao gồm: Môi trường kiểm soát, Đánh giá rủi ro, Hoạt động kiểm soát, Thông tin – Truyền thông, và Hoạt động giám sát Năm bộ phận này có mối liên hệ chặt chẽ với nhau, cụ thể là:

Môi trường kiểm soát: Môi trường kiểm soát nội bộ bị ảnh hưởng bởi nhiều nhân tố bên trong và

bên ngoài, bao gồm cả lịch sử hình thành và phát triển của công ty, giá trị của công ty, thị trường, sự cạnh tranh, các luật và chính sách của nhà nước, các quy định của tổ chức Môi trường kiểm soát nội

bộ được định nghĩa thông qua các tiêu chuẩn, quy trình và hệ thống tổ chức Hệ thống tổ chức này chỉ đạo mọi người ở nhiều cấp bậc trong công ty thực hiện công việc của họ, mọi thông tin sẽ được chuyển cho hệ thống kiểm soát nội bộ và hỗ trợ cho việc ra quyết định Môi trường kiểm soát nội

bộ tạo ra một khuôn phép hỗ trợ cho việc đánh giá các rủi ro, để đạt được các mục tiêu được đề trước của công ty, cho phép đánh giá tính hiệu quả của việc kiểm soát nội bộ, sử dụng thông tin và hệ thống thông tin một cách hiệu quả, và thực hiện các hoạt động giám sát

Đánh giá rủi ro: Tất cả các tổ chức, bất kể lớn nhỏ, cấu trúc quản lý, bản chất, lĩnh vực hoạt động

đều gặp các rủi ro ở nhiều cấp độ Mọi tổ chức luôn đối mặt với nhiều rủi ro xuất phát từ bên trong lẫn bên ngoài Rủi ro được định nghĩa là khả năng một sự việc có thể xảy ra và có tác động tiêu cực đến mục tiêu đề ra của công ty Đánh giá rủi ro liên quan đến các quy trình linh hoạt và được lặp lại nhiều lần để xác định và đánh giá được các rủi ro Các rủi ro liên quan đến mục tiêu của tổ chức xuất phát từ khắp nơi trong tổ chức được xem là có liên quan đến khả năng chịu đựng rủi ro của tổ chức

đó Vì vậy, đánh giá rủi ro tạo nên nền tảng trên đó các rủi ro sẽ được quản lí Đánh giá rủi ro cũng đòi hỏi việc quản lý cân nhắc các tác động của những thay đổi có thể xảy ra từ môi trường bên ngoài lẫn bên trong nội bộ, bên trong mô hình kinh doanh, những tác động có thể gây nên sự thiếu hiệu quả của việc kiểm soát nội bộ

Hoạt động kiểm soát: Hoạt động kiểm soát là các hoạt động được thành lập dựa trên các chính sách,

thủ tục giúp đảm bảo sự chỉ đạo của nhà quản lý để giảm thiểu rủi ro Hoạt động kiểm soát được tiến hành trên tất cả các cấp quản lý trong tổ chức, ở nhiều giai đoạn của quá trình hoạt động kinh doanh,

và thông qua nền tảng môi trường công nghệ Hoạt động kiểm soát có tính chất đề phòng hoặc có khả năng dò tìm và bao gồm nhiều hoạt động được làm thủ công hay tự động ví dụ như việc cấp quyền, chấp thuận, việc xác minh, đánh giá lại chất lượng hoạt động kinh doanh Việc phân công, phân chia nhiệm vụ được gắn liền vào việc lựa chọn và phát triển của các hoạt động kiểm soát Khi việc phân chia trách nhiệm không thể thực hiện được, nhà quản lý lựa chọn và phát triển các hoạt động kiểm soát khả thi khác Hoạt động kiểm soát hỗ trợ các mục tiêu về hoạt động, báo cáo và tuân thủ của tổ chức

Thông tin và truyền thông: Thông tin cần thiết cho tổ chức để thực hiện các trách nhiệm kiểm soát

nội bộ Quản lý thu thập thông tin, cung cấp hoặc sử dụng những thông tin liên quan có được từ trong

Trang 10

nội bộ lẫn bên ngoài để phục vụ cho các chức năng của các thành phần trong kiểm soát nội bộ Việc giao tiếp là quy trình liên tục, lặp đi lặp lại của việc cung cấp, chia sẻ, thu thập những thông tin cần thiết Giao tiếp nội bộ là cách để thông tin được phổ biến khắp trong tổ chức, dòng thông tin từ cấp trên xuống cấp dưới, từ cấp dưới lên cấp trên và giữa các cấp với nhau trong tổ chức, nó cho phép nhân viên nhận được thông tin rõ ràng từ quản lý cấp cao, xác định các trách nhiệm cần được thực hiện một cách nghiêm túc Các thành phần của thông tin và truyền thông trong khuôn khổ hỗ trợ các chức năng của toàn bộ các thành phần trong kiểm soát nội bộ Phối hợp với các thành phần khác, thông tin và truyền thông hỗ trợ cho việc đạt được các mục tiêu của tổ chức, các mục tiêu liên quan đến báo cáo nội bộ lẫn công khai Điều khiển, kiểm soát thông tin và truyền thông hỗ trợ khả năng sử dụng chính xác thông tin trong hệ thống kiểm soát nội bộ và thực hiện nhiệm vụ kiểm soát nội bộ của

tổ chức

Hệ thống giám sát: Hoạt động kiểm soát đánh giá xem mỗi thành phần trong năm thành phần của

kiểm soát nội bộ có tồn tại và hoạt động tốt hay không Tổ chức dùng các hoạt động đánh giá thường xuyên hoặc riêng biệt, hay là sự phối hợp cả hai hoạt động đánh giá này để đảm bảo rằng các thành phần của kiểm soát nội bộ có tồn tại và hoạt động Hoạt động kiểm tra là nhân tố đầu vào chính của hoạt động đánh giá tính hiệu quả của kiểm soát nội bộ của tổ chức Nó cung cấp các hỗ trợ đắt giá cho các xác nhận, khẳng định tính hiệu quả của kiểm soát nội bộ

Hình 1.1 Các yếu tố cấu thành hệ thống kiểm soát nội bộ theo COSO 2013

Nguồn: Committee of Sponsoring Organisation (2012), Internal Control – Intergrated Framework

and Appendices [9]

1.2.2.3 Trách nhiệm về kiểm soát nội bộ [8]

Ban tổng giám đốc

Ban tổng giám đốc nên thảo luận với lãnh đạo cấp cao của đơn vị về hệ thống kiểm soát nội bộ và cung cấp giám sát khi cần thiết Ban tổng giám đốc chịu trách nhiệm kiểm soát nội bộ trước Hội đồng quản trị, thiết lập các chính sách mong đợi và cung cấp sự giám sát kiểm soát nội bộ của đơn vị mình Hội đồng quản trị phải được cung cấp những thông tin về rủi ro có thể ảnh hưởng đến việc đạt được mục tiêu của đơn vị, các đánh giá về những khiếm khuyết của kiểm soát nội bộ, cách mà các cấp quản

lý triển khai các hành động để giảm thiểu rủi ro liên quan đến hệ thống kiểm soát nội bộ của đơn vị

Nhà quản lý cấp cao

Nhà quản lý cấp cao nên đánh giá hệ thống kiểm soát nội bộ của tổ chức theo khuôn mẫu, tập trung vào cách tổ chức áp dụng mười bảy nguyên tắc hỗ trợ các thành phần của kiểm soát nội bộ Nhà quản

lý cần xem xét những cập nhật cho phiên bản đã áp dụng năm 1992, đồng thời xem xét tác động của những cập nhật này lên hệ thống kiểm soát nội bộ của đơn vị Nhà quản lý có thể xem xét sử dụng

Ngày đăng: 08/01/2022, 09:25

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w