1. Môi trường Kiểm soát
Môi trường kiểm soát là nền tảng cho tất cả các thành phần khác của KSNB, tạo ra một môi trường có kỷ luật và cấu trúc, đồng thời ảnh hưởng đến ý thức kiểm soát của mọi người trong đơn vị.
• Tính trung thực và các giá trị đạo đức:
◦ Đây là nhân tố quan trọng nhất của môi trường kiểm soát, tác động đến việc thiết kế, thực hiện và giám sát các thành phần khác.
◦ Văn hóa của tổ chức được thể hiện qua các chuẩn mực về hành vi, cách thức truyền đạt và thực hiện các giá trị đạo đức.
◦ Nhà quản lý cấp cao đóng vai trò quan trọng trong việc thiết lập “tông màu ở đỉnh” bằng hành động và tấm gương của mình. Một thái độ “làm như tôi nói, đừng làm như tôi làm” sẽ tạo ra một môi trường kiểm soát không lành mạnh.
◦ Các áp lực và cơ hội có thể dẫn đến gian lận, ví dụ như áp lực phải đạt các mục tiêu phi thực tế hoặc việc thiếu các biện pháp kiểm soát hiệu quả.
• Cam kết về năng lực:
◦ Nhà quản lý cần xác định các yêu cầu về kiến thức và kỹ năng cần thiết cho từng công việc và đảm bảo nhân viên có đủ năng lực để hoàn thành nhiệm vụ.
◦ Sự cân bằng giữa năng lực và chi phí là cần thiết, đòi hỏi sự giám sát và yêu cầu năng lực cao hơn ở nhân viên có thể phải đối mặt với sự thay đổi.
• Hội đồng quản trị và Ủy ban kiểm toán:
◦ Một HĐQT và Ủy ban kiểm toán năng động và độc lập là yếu tố quan trọng để đảm bảo giám sát hiệu quả.
◦ Họ chịu trách nhiệm giám sát các hoạt động của ban điều hành, đảm bảo hệ thống KSNB hoạt động hiệu quả và có kinh nghiệm, vị thế phù hợp để thực hiện vai trò của mình.
• Triết lý quản lý và phong cách điều hành:
◦ Cách thức nhà quản lý điều hành doanh nghiệp có tác động lớn đến ý thức kiểm soát. Các yếu tố bao gồm thái độ đối với rủi ro kinh doanh (chấp nhận rủi ro cao hay thấp), quan điểm về báo cáo tài chính, và cách xử lý thông tin.
• Cơ cấu tổ chức:
◦ Cung cấp khuôn khổ để lập kế hoạch, thực hiện, kiểm soát và giám sát các hoạt động.
◦ Một cơ cấu tổ chức phù hợp cần xác định rõ quyền hạn và trách nhiệm, các cấp báo cáo, và phải phù hợp với quy mô và bản chất hoạt động của doanh nghiệp.
• Phân định quyền hạn và trách nhiệm:
◦ Là việc xác định mức độ tự chủ, quyền hạn và trách nhiệm của từng cá nhân hoặc nhóm.
◦ Việc phân quyền hợp lý đảm bảo các quyết định được đưa ra nhanh chóng, đồng thời khuyến khích sự chủ động của nhân viên.
◦ Cần có sự cân bằng giữa việc trao quyền và trách nhiệm giải trình.
• Chính sách nhân sự và việc áp dụng trong thực tế:
◦ Các chính sách về tuyển dụng, đào tạo, đánh giá, khen thưởng và kỷ luật là thông điệp của doanh nghiệp về tính chính trực, đạo đức và năng lực.
◦ Các chính sách này phải được truyền đạt rõ ràng và áp dụng nhất quán trong toàn tổ chức.
2. Đánh giá Rủi ro
Đánh giá rủi ro là quá trình mà nhà quản lý nhận dạng và phân tích các rủi ro có thể cản trở việc đạt được mục tiêu, từ đó đưa ra các biện pháp quản lý phù hợp.
2.1. Xác định mục tiêu:
◦ Đây là điều kiện tiên quyết để đánh giá rủi ro. Nếu không có mục tiêu, sẽ không có cơ sở để xác định rủi ro.
◦ Các mục tiêu được phân thành ba loại chính:
▪ Mục tiêu hoạt động: Liên quan đến hiệu quả và hiệu suất sử dụng các nguồn lực của đơn vị.
▪ Mục tiêu báo cáo tài chính: Liên quan đến việc công bố báo cáo tài chính trung thực, đáng tin cậy và tóm tắt.
▪ Mục tiêu tuân thủ: Liên quan đến sự tuân thủ các luật lệ và quy định mà đơn vị phải chịu sự chi phối.
2.2. Nhận dạng và phân tích Rủi ro:
◦ Rủi ro có thể phát sinh từ các nhân tố bên trong và bên ngoài.
◦ Các nhân tố bên ngoài: Thay đổi công nghệ, nhu cầu khách hàng, cạnh tranh, thay đổi luật pháp, thiên tai, biến động kinh tế.
◦ Các nhân tố bên trong: Gián đoạn trong hệ thống thông tin, năng lực nhân viên, bản chất hoạt động, sự thiếu giám sát của HĐQT.
◦ Sau khi nhận dạng, nhà quản lý cần phân tích rủi ro, tức là đánh giá khả năng xảy ra (xác suất) và tầm quan trọng (ảnh hưởng) của chúng.
2.3. Quản trị sự thay đổi:
◦ Do môi trường kinh doanh liên tục thay đổi, cần có một cơ chế để nhận dạng và đối phó với những rủi ro liên quan đến sự thay đổi.
◦ Các tình huống cần chú ý đặc biệt bao gồm: thay đổi môi trường hoạt động, có nhân sự mới, hệ thống thông tin mới, tăng trưởng nhanh, công nghệ mới, dòng sản phẩm mới, tái cấu trúc công ty, hoạt động ở nước ngoài.
3. Hoạt động Kiểm soát
Đây là các chính sách và thủ tục được thiết lập để đối phó với rủi ro và giúp đảm bảo các mục tiêu của tổ chức được thực hiện. Hoạt động kiểm soát tồn tại ở mọi cấp và mọi bộ phận trong một đơn vị.
3.1. Các loại hoạt động kiểm soát phổ biến:
| Loại hoạt động | Mô tả |
| Soát xét của nhà quản lý cấp cao | So sánh kết quả thực tế với dự toán, kế hoạch để đánh giá hiệu quả hoạt động và có hành động điều chỉnh kịp thời. |
| Quản trị hoạt động | Các nhà quản lý trực tiếp giám sát hoạt động của bộ phận mình, ví dụ như giám đốc bán hàng soát xét báo cáo về hiệu quả của đội ngũ. |
| Phân chia trách nhiệm hợp lý | Tách biệt các chức năng để giảm thiểu sai sót và gian lận. Các chức năng cần tách biệt bao gồm: phê chuẩn, thực hiện nghiệp vụ, ghi sổ kế toán và bảo quản tài sản. |
| Kiểm soát quá trình xử lý thông tin | Bao gồm kiểm soát chung (đảm bảo môi trường hệ thống ổn định) và kiểm soát ứng dụng (đảm bảo tính chính xác, đầy đủ của dữ liệu trong từng ứng dụng cụ thể). |
| Kiểm soát vật chất | Các biện pháp bảo vệ tài sản vật chất khỏi việc sử dụng hoặc tiếp cận trái phép, như kho bãi, nhà xưởng, tiền bạc, hàng hóa. |
| Phân tích rà soát | So sánh các bộ số liệu khác nhau để phát hiện các biến động bất thường và điều tra nguyên nhân (ví dụ: so sánh doanh thu với chi phí). |
3.2 Các loại hình kiểm soát theo mục đích:
◦ Kiểm soát phòng ngừa: Ngăn chặn sai sót và gian lận xảy ra.
◦ Kiểm soát phát hiện: Tìm ra các sai sót và gian lận đã xảy ra.
◦ Kiểm soát bù đắp: Bổ sung cho các điểm yếu trong các thủ tục kiểm soát khác.
4. Thông tin và Truyền thông
Hệ thống thông tin và truyền thông hiệu quả là yếu tố sống còn để thu thập, xử lý và báo cáo thông tin cần thiết cho việc quản lý và kiểm soát doanh nghiệp.
4.1. Thông tin:
◦ Thông tin cần phải có chất lượng cao, nghĩa là phải hợp lý, kịp thời, cập nhật, chính xác và dễ tiếp cận.
◦ Thông tin được thu thập từ cả nguồn nội bộ và bên ngoài (ví dụ: thông tin thị trường, thông tin từ đối thủ, quy định mới).
◦ Hệ thống thông tin hỗ trợ các quyết định chiến lược (mang tính chiến lược), chiến thuật (tích hợp hoạt động) và tác nghiệp (hàng ngày).
4.2 Truyền thông:
◦ Là việc cung cấp thông tin cho đúng người vào đúng thời điểm để họ thực hiện trách nhiệm của mình.
◦ Truyền thông nội bộ: Luồng thông tin phải đi theo mọi hướng: từ trên xuống (chỉ thị), từ dưới lên (báo cáo, phản hồi), và ngang hàng (phối hợp). Các kênh truyền thông hiệu quả giúp nhân viên hiểu rõ vai trò và trách nhiệm của mình.
◦ Truyền thông bên ngoài: Giao tiếp hiệu quả với các đối tác như khách hàng, nhà cung cấp, cơ quan quản lý và cổ đông là rất quan trọng để đạt được mục tiêu.
5. Giám sát
Giám sát là quá trình đánh giá chất lượng hoạt động của hệ thống KSNB theo thời gian để đảm bảo hệ thống vẫn hoạt động hiệu quả và được điều chỉnh khi cần thiết.
• Các hình thức giám sát:
◦ Giám sát thường xuyên: Được thực hiện liên tục trong quá trình hoạt động hàng ngày của đơn vị. Ví dụ: hoạt động quản lý và giám sát thường nhật, đối chiếu số liệu, báo cáo hoạt động.
◦ Giám sát định kỳ: Được thực hiện thông qua các cuộc đánh giá riêng biệt, không thường xuyên. Phạm vi và tần suất phụ thuộc vào mức độ rủi ro và hiệu quả của việc giám sát thường xuyên. Hoạt động này thường do kiểm toán nội bộ, kiểm toán độc lập hoặc các nhà quản lý thực hiện.
• Báo cáo về những khiếm khuyết:
◦ Các thiếu sót hoặc khiếm khuyết trong hệ thống KSNB được phát hiện qua giám sát phải được báo cáo kịp thời cho các cấp quản lý có trách nhiệm và cho HĐQT/Ủy ban kiểm toán.
◦ Thông tin báo cáo phải chỉ rõ bản chất của khiếm khuyết và các hành động khắc phục đã hoặc sẽ được thực hiện.