Tóm tắt KSNB Môn Kiểm soát và Kiểm toán Nội bộ KVC môn Kiểm soát nội bộ | Trường Đại học Sư phạm Kỹ thuật Thành phố Hồ Chí Minh

KIỂM SOÁT VÀ KIỂM TOÁN NỘ I BỘ KVC IC: KSNB ICS: HTKSNB
KSNB theo lý thuyết chung (COSO)
COSO (Committee of Sponsoring Organizations): Ủy ban các tổ chức bảo trợ => dành cho KV tư
✓Hệ thống mục tiêu của tổ chức gồm: Tầm nhìn (vision); Sứ mệnh (mission); Mục đích (Gold); Mục tiêu (Objective).
→Giống nhau giữa 5 KN bên dưới là: đều tạo ra mục tiêu, động lực để đơn vị vận hành, là dích
đến để đơn vị đạt được. Khác nhau:
-Mục tiêu là cái mà tổ chức muốn đạt được trong ngắn hạn, là quá trình tiến tới mục đích.
- Mục đích mang tính vĩ mô, bao quát mục tiêu trong dài hạn.
- Định hướng là con đường để đạt được thứ mình muốn đạt được.
- Sứ mệnh: Giúp định hướng cho ban quản lý biết được mức độ hoạt động cần triển khai và thực
thi ; Là 1 quá trình, nói về hiện tại hướng đến tương lai.
- Tầm nhìn: Nói về tương lai. Là lý tưởng cho tương lai, là 1 hình tượng or tiêu chuẩn mà tổ chức
muốn hoặc đạt được trong tương lai.
✓Tôn chỉ là con đường (chủ trương, đường lối) mà tổ chức đó đang đi. Có thể thể hiện qua khẩu
hiệu và gắn liền sứ mệnh xã hội của tổ chức đó. Cách thức để thực hiện tiêu thức là tôn chỉ.
✓Mục tiêu của DN là một tổng thể mục đích (cái mà đơn vị mong muốn đạt được), mục tiêu
(trong từng giai đoạn), chỉ tiêu (lượng hóa, cụ thể hóa).
✓Mục tiêu của 1 tổ chức gồm 2 nhóm: Mục tiêu tài chính (Thặng dư, kết dư; mức tăng trưởng)
và mục tiêu phi tài chính (Mức độ c ch
ạnh tranh; thương hiệu; văn hóa tổ ức; nhân văn).
Rủi ro trong tổ chức: là yếu tố, thành phần, nguyên nhân ngăn tổ chức không đạt được mục tiểu,
mục đích của mình. Có 3 loại RR:
- RR vận hành từ môi trường bên ngoài (Enternal risk)
- RR hoạt động từ hoạt động nội bộ (Operational risk)
-RR tuân thủ từ việc tuân thủ pháp luật (Compliancal risk)
Các cách đối phó RR: Từ chối rủi ro, chấp nhận rủi ro, chuyển giao rủi ro, giảm thiểu rủi ro (thiếp lập HTKSNB).
▪ 4 chức năng của hoạt động quản trị (4 basic functions of Management) : Planning; Organizing; Directing; Controling
- KSNB là chức năng thứ 4 (Internal control (IC) is this 4th function)
- KSNB (IC) là một kỹ thuật sử dụng bởi các nhà quản lý hay ban lãnh đạo để giúp đỡ các tổ chức
nhằm đạt mục tiêu/ mục đích đề ra.
▪ Đơn vị trong tổ chức cần KSNB để (Mục đích)
-Cung cấp sự đảm bảo chắc chắn hơn rằng tổ chức sẽ đạt được mục tiêu hoạt động (operating),
BCTC , tuân thủ (compliance).
-Định hướng (Direction), chính sách (policies), thủ tục và thông lệ (proedures & practices)
➔Tóm lại, chúng ta cần KSNB để
1. Đạt được mục tiêu/ sứ mệnh của tổ chức…Achieve ojbectives/ mission of organization
2. Ban QL giải quyết/ đối phó với sự thay đổi của môi trường, nhu cầu KH và thách thức trong tương lai.
3. Đảm bảo chất lượng báo cáo nội bộ (internal) và bên ngoài (external)
4. Phát huy hiệu quả, giảm rủi ro thất thoát tài sản…Promote efficiency, reduce risk of assets loss
5. Đảm bảo tuân thủ pháp luật và quy định…Compliance laws and regulations
▪ Feature of controls (4 Đặc điểm của KS)
-Tạo ra để thúc đẩy việc đạt các mục đích đã thỏa thuận
- KS liên quan đến CP. Bất kì KS nào cũng tốn CP, vì vậy l i
ợ ích phải vượt CP => Benefit exceed the cost
- KS không mang tính chất riêng lẻ/ riêng biệt, vì nó thuộc QKS của người vận hành => Not be viewed in isolation.
-KS phải được thực hiện thường xuyên, liên tục => Reviewed and updated regulary.
▪ Hệ thống KSNB là hệ thống các cơ chế quản lý trong đơn vị được cụ thể hóa bằng quy chế
quản lý do ban lãnh đạo ban hành nhằm giảm thiểu các RR làm tổ chức không đạt được mục tiêu.
Quy chế quản lý là các cơ chế đã được “luật hóa”.
▪ Định nghĩa KSNB theo COSO 1992:
- A process: Là một quy trình => diễn biến liên tục
- Effected by people at very level: Được thực hiện bởi các HĐQT, ban QL, các nhân viên khác =>
do con người ở mọi cấp độ tác động
-Reasonable assurance: Thiết kế để cung cấp sự đảm bảo hợp lý (không đảm bảo tuyệt đối)
đạt được mục tiêu 3 loại sau (Do IC cung cấp):
+ Hữu hiệu (Effectiveness) và hiệu quả (Efficiency) của hoạt động
+ Độ tin cậy (Reliability) BCTC
+ Tuân thủ luật và các quy định
➔KSNB là những gì chúng ta muốn xảy ra sẽ xảy ra và không muốn xảy ra sẽ không xảy ra.
Một số VD về KSNB: Khóa đồ đạc có giá trị, khóa xe và nhà, giữ bản sao tờ khai thuế, cân bằng
số séc, giữ số pin thẻ ATM và thẻ riêng biệt, xem lại hóa đơn và sao kê thẻ tín dụng trước khi thanh toán….
-RR đối với việc đạt được mục tiêu càng nhiều thì nhu cầu KS hiệu quả càng cao
-KS kém (weak) dẫn đến thất bại, gian lận, thua lỗ và tổn hại đến tổ chức:
▪ KSNB quan trọng vì:
1. Giảm (Reducing) và ngăn ngừa (preventing) lỗi một cách hiệu quả về CP
2. Đảm bảo các vấn đề ưu tiên được xác định (identified) và giải quyết (addressed)
3. Bảo vệ nhân viên và nguồn lực
4. Cung cấp phù hợp các kiểm tra và số dư (balances)
5. Làm các cuộc kiểm toán trở nên hiệu quả (efficient audits), từ đó rút ngắn tg (shorted
timeines), ít thử nghiệm (less testing) và ít yêu cầu đối với nhân viên.
CARES: COMPLIANCE (law, policies, regulations) – ACCOMPLISHMENT – RELEVANT & RELIABLE
(data or financial reporting) – EFFECTIVE & EFECIENT – SAFEGUARDING (tài sản)
➔ Tuân thủ - hoàn thành – phù hợp và đáng tin cậy – hữu hiệu và hiệu quả – bảo vệ
-KSNB kém (Weak) làm tăng RR thông qua:
+ Business interruption: Gián đoạn kinh doanh (sự cố, thảm họa hệ thống,…)
+ Erroneous Management Decisions: Quyết định quản lý sai lầm (thông tin sai lệch, không đầy đủ,..)
+ Fraud, Embezzlement and Theft: Lừa đảo tham ô, trộm cắp (từ ban QL, nhân viên, khách hàng,
nhà cung cấp or công chúng,…)
+ Statutory Sancitions: Xử phạt theo luật định (do không tuân thủ xác quy định, yêu cầu,…)
+ Excessive costs/ deficient revenues: CP vượt mức/ DT thiếu hụt
+ Loss, Misuse or Destruction of asset: Mất mát, sử dụng sai mục đích or phá hủy tài sản (các
tài sản không chủ ý như tiền, htk, thiết bị)
▪ Tất cả nhân viên trong tổ chức đều có trách nhiệm KSNB (Everyone).
▪ Các vai trò khác nhau tùy vào mức độ trách nhiệm và bản chất của sự tham gia của cá nhân
(tức là ở cấp độ nào sẽ có vai trò KSNB tương ứng với cấp đó)
▪ Các nhà quản lý, giám sát viên phải chịu trách nhiệm đảm bảo rằng IC được thành lập & hoạt
động theo đúng mục tiêu/ sứ mệnh của đơn vị đề ra.
▪ Người chịu trách nhiệm KSNB (Slide 44)
Ban quản lý (Management)
Tất cả nhân viên (Employees)
-Chủ tịch cung cấp, định hướng cho QTV cấp -Đọc, hiểu các chính sách và thủ tục ảnh hưởng đến công việc. cao.
-Các phó CT đưa ra định hướng cho QTV cấp - Đánh giá tính đúng đắn của giao dịch (Có
cao chịu trách nhiệm về các lĩnh vực chức
hợp pháp và đạo đức) năng chính. - Bv tài sản
-Trưởng khoa và trưởng bộ phận có trách - Đánh giá tính kinh tế, hiệu quả của hoạt
nhiệm thiết kế và triển khai các hệ thống kiểm động soát m ở ức chi tiết.
-Thực hiện theo các KS đã thiết lập (established)
-Thông báo cho ban QL khi IC không hoạt động.
▪ Mục tiêu của KSNB:
-Chiến lược – Strategic – mục tiêu/ mục đích cao, phù hợp hỗ trợ sứ mệnh
-Vận hành - Operational – sử dụng hiệu quả và hữu hiệu các nguồn lực
- Báo cáo - Reporting – tính toàn vẹn (integrity) và độ tin cậy
- Tuân thủ - Compliance - luật và các quy định
- Bảo vệ - Stawerdship
▪ Vai trò của KSNB
-Bảo vệ TS của công ty
-Đảm bảo các ghi chép, chín sách của công ty
- Thúc đẩy hđ hiệu quả
- Tăng cường pháp luật
- Giảm bớt cơ hội có khả năng xảy ra gian lận…
KSNB trong KV công (theo INTOSAI)
▪ INTOSAI (Internatiional Organization of Supreme Audit Instititions): Tổ chức quốc tế các cơ quan kiểm toán tối cao -Đư c
ợ thành lập 1953, theo sáng kiến của ông Emilio Fernandez Camus – nguyên chủ tịch SAI Cuba.
- INTOSAI là một hiệp hội toàn cầu của các cơ quan chính phủ. Thành viên là các văn phòng KS
tài chính của các quốc gia. INTOSAI tự chủ (autonomous), độc lập (independent) và là tổ chức
phi chính trị (non-political organization).
▪ Vai trò của INTOSAI – The Role of INTOSAI
-Thúc đẩy trao đổi về ý kiến và kinh nghiệm trong lĩnh vực kiểm toán chính phủ giữa các SAI (các
cơ quan kiểm toán tối cao).
-Tiêu chuẩn và hướng dẫn không bắt buộc do tính độc lập của SAI.
-Ủy ban và nhóm làm việc là diễn đàn hợp tác về các vấn đề chuyên môn.
▪ INCOSAI : Đại hội đồng quốc tế về các tổ chức kiểm toán tối cao
▪ ISSAI: Chuẩn mực quốc tế của cơ quan kiểm toán tối cao
▪ KSNB trong KV công là toàn bộ các KS đư c
ợ thiết lập bởi người đứng đầu tổ chức công, cho phép:
-Tính hợp pháp, kinh tế, hiệu qủa, hữu hiệu, minh bạch
- Triển khai các chiến lư c và k ợ ế hoạch
- Bảo vệ TS, độ tin cậy và đầy đủ về thông tin và báo cáo
- Tuân thủ hợp đồng và trách nhiệm pháp lý v i bên th ớ ứ 3
- Quản lý các yếu tố rủi ro.
▪ Định nghĩa KSNB trong KV công (giáo trình trang 14) ế –
KV công - theo INTOSAI
Lý thuy t chung theo COSO
KSNB là 1 quy trình được chi phối bởi các ban KSNB là một quy trình được thực hiện bởi cac
quản lý và cá nhân trong đơn vị, được thiết HĐQT, ban Qly, các nhân viên khác (ở mọi cấp
lập để giải quyết/ đối phó các rủi ro, nhằm độ), thiết kế để cung cấp sự đảm bảo hợp lý
đạt được các sứ mệnh và mục tiêu chung của nhằm đạt được 3 mục tiêu sau:
tổ chức. Có 4 mục tiêu:
+ Hữu hiệu (Effectiveness) và hiệu quả
+ Thực hiện trật tự, đạo đức, kinh tế, hữu (Efficiency) của hoạt động hiệu và hiệu quả
+ Độ tin cậy (Reliability) BCTC
+ Hoàn thành trách nhiệm giải trình
+ Tuân thủ luật và các quy định
+ Tuân thủ luật và quy định
+ Bảo vệ nguồn lực tránh thất thoát, lạm dụng, hư hỏng.
▪ Slide 64/ Giáo trình tr.15 - Đặc điểm của KSNB KVC (Có 6 đặc điểm)– Features of IC in PS
-Đây là một quá trình tích hợp năng động liên tục
(continuously) thích ứng với những thay đổi
mà tổ chức đang đối mặt.
- Tất cả các ban quản lý, nhân viên các cấp phải tham gia vào quá trình KSNB.
1. Một quá trình quan trọng: KSNB không phải là một sự kiện, tình huống. Diễn ra trong suốt
quá trình hoạt động trên cơ sở liên tục (ongoing basis)
2. Thực hiện bởi ban quản lý và nhân viên khác:
- Bị ảnh hưởng bởi con người, vì vậy họ phải biết rõ vai trò, trách nhiệm và gi i ớ hạn trong thẩm quyền của mình.
- Nhân viên chính là cán bộ, công chức, viên chức hoạt động ở các bộ phận khác nhau .
- Nhà quản lý sẽ đưa ra các hoạt động KSNB vào thực hiện, vận hành, giám sát (monitor)
và đánh giá (evaluate).
- Đòi hỏi phải có sáng kiến quản lý (significant management).
- KSNB là công cụ quản lý và liên quan đến mục tiêu của tổ chức, KSNB bị tác động bởi bản chất con ngư i (hu ờ man nuture).
3. Theo đuổi sứ mệnh của đơn vị - pursuit of mission: Quan tâm đến việc đạt được sứ mệnh;
việc cung cấp dịch vụ và có kết quả có l i cho l ợ i í
ợ ch (service and a benificial outome)
4. Giải quyết rủi ro – Address risk:
- Một tổ chức luôn phải đối mặt với nhiều RR, nhà quản lý phải xác định và đối phó với
RR để tối đa hóa khả năng đạt được mục tiêu của mình.
- KSNB chỉ cung cấp sự đảm bảo hợp lý chứ không tuyệt đối với việc đạt được sứ mệnh và mục tiêu.
5. Cung cấp sự đảm bảo hợp lý
- Sự đảm bảo hợp lý tương đương với mức độ tin cậy thỏa đáng
- Các nhà Qly nên xác định các rủi ro vốn có và mức độ RR có thể chấp nhận được.
- Phản ánh quan điểm về sự không chắc chắn và rủi ro liên quan đến tương lai.
- CP KSNB không được vượt quá lợi ích thu được – Cost of IC should not exceed benefit derived
+ CP đề cập đến thước đo tài chính (Financial measure) của nguồn lực tiêu hao
(Resources consumend) và là thước đo kinh tế (the economic measure) của cơ hội bị mất.
+ Lợi ích được đo lư ng b ờ
ằng mức độ giảm thiểu rủi ro (the risk..reduced) đe dọa đến mục tiêu đã nêu.
6. Đạt được các mục tiêu - Hướng đến việc đạt được 4 mục tiêu chung:
(slide 74/ giáo trình tr.19)
▪ Các thành phần cấu thành Hệ thống KSNB (slide 79)
Hệ thống KSNB COSO/ INTOSAI gồm 5 bộ phận hợp thành:
- Môi trường kiểm soát (Control environment): Là nền tảng cho toàn bộ hệ thống KSNB.
- Đánh giá rủi ro (Risk assessment): Xác định và phân tích RR liên quan đến việc đạt được các mục tiêu.
- Hoạt động kiểm soát (Control activities): Các công cụ giúp ngăn ngừa và phát hiện RR
- Thông tin và truyền thông (Information and Communication) - Giám sát ( Monitoring)
▪ Mối quan hệ giữa mục tiêu và 5 thành phần của HTKSNB (ICS)
-ICS có liên quan và áp dụng cho tất cả các tổ chức, cách thức quản lý áp dụng ICS sẽ rất khác
nhau tùy theo bản chất của đơn vị và phụ thuộc vào 7 yếu tố:
+ Cơ cấu tổ chức – Organizational structure
+ Hồ sơ rủi ro – Risk profile
+ Môi trường hoạt động – Operating eviroment + Kích thước – Size
+ Phức tạp – Complexity
+ Hoạt động – activities
+ Mức độ qui định – Degree of regulation
▪ Môi trường kiểm soát (Control environment)
MTKS trong lý thuyết chung (COSO) – slide 85
Trong KV công (INTOSAI) – slide
▪ Là nền tảng cho tất cả các tiêu chuẩn/ ▪ Là nền tảng cho tất cả các thành phần
chuẩn mực (standards) khác về IC.
(components) khác của IC.
▪ Ảnh hưởng đến tất cả quyết định và hoạt ▪ Ảnh hưởng đến ý thức kiểm soát của nhân động trong tổ chức. viên trong tổ chức.
▪ Các tổ chức hiệu quả thiết lập khả năng ▪ 5 yếu tố tạo thành:
truyền đạt mệnh lệnh hay còn gọi là “âm điệu
1. Tính chính trực và giá trị đạo đức của
cao nhất trong tổ chức” – Tone at the top.
quản lý và nhân viên.
▪ Các yếu tố gồm: chính trực; giá trị đạo đức; 2. Cam kết về năng lực
năng lực của nhân viên; triết lý và phong cách
3. Khả năng truyền đạt mệnh lệnh hay
điều hành của ban quản lý.
còn gọi là âm điệu cao nhất trong tổ
▪ MTKS liên quan đến các hành vi, chính sách,
chức (Tone at the top): Triết lý của
thủ tục phản ánh thái độ chung (overal
nhà quản lý và phong cách hoạt
attude) của ban lãnh đạo cấp cao của KH, động:
giám đốc, CSH của một đơn vị về IC và tầm
- Thái độ khuyến khích KSNB, tính độc quan trọng của nó. lập, năng lực
▪ 7 yếu tố tạo thành:
- Một quy định về đạo đức thiết lập
1. Tính chính trực và giá trị đạo đức
bởi ban quản lý, tư vấn và đánh hiệu
(Integrity and ethical values)
suất (performance appraisals).
- Nhằm loại bỏ các động cơ khuyến
4. Cơ cấu tổ chức
khích cư xử không đúng đắn.
5. Chính sách và thực tiễn về nguồn
- Truyền đạt các chuẩn mực hành vi nhân lực.
bằng các chuẩn mực hành vi hay gọi
là các quy định về đạo đức (Codes of conduct – COC).
2. Cam kết về năng lực Commitment to competence)
- Sự cân nhắc của Nhà QL và tất cả
nhân viên về trình độ năng lực cho
phép và cách thức chuyển đổi chúng
thành các kỹ năng và kiến thức cần thiết.
3. Hội đồng quản trị và ủy ban kiểm toán (Board of directors and audit committee)
- HTQT giao trách nhiệm về IC cho ban
QL và chịu trách nhiệm đánh giá độc
lập thường xuyên về IC do ban QL thành lập.
4. Triết lý và phong cách điều hành của ban
quản lý (Management’s philosophy and operating style)
5. Cơ cấu tổ chức (Organizational structure)
- Giúp kiểm toán viên hiểu đư c c ợ ách
thức HĐKD của KH và thực hiện các
biện pháp kiểm soát.
6. Phân chia thẩm quyền và trách nhiệm (Assignment of authority and responsibility)
7. Chính sách về nhân lực và thực tiễn
(Human resource policies and practices)
▪ Đánh giá RR – Risk assessment (slide 102, giáo trình tr.28)
Đánh giá RR – Theo COSO
Đánh giá RR KVC - theo INTOSAI
▪ RR là các sự kiện bên trong - internal or bên ▪ Đánh giá RR là quá trình nhận dạng và phân
ngoài – external (điều kiện kinh tế, thay đổi tích những RR có liên quan đến việc đạt được
nhân sự, hệ thống mới, thiên tai,..) đe dọa mục tiêu của tổ chức, từ đó đưa ra các biện
đến việc hoàn thành mục tiêu. pháp ứng phó. Bao gồm:
➔ RR xảy ra khi chúng ta cố gắng đạt được 1. Nhận diện RR (Risk identification)
mục tiêu trong môi trường không chắc chắn - Cần biết mục tiêu chính của tổ chức
(uncertain eviroment), thường được đo
- Cần áp dụng các công cụ thích hợp, 2
lường bằng khả năng xảy ra (terms of
công cụ phổ biến là:
likelihood) và hậu quả.
+ Đưa ra đánh giá RR (commissioning a
▪ Đánh giá RR là quá trình xác định, đánh giá risk): là thủ tục thực hiện từ trên xuống
và quyết định cách quản lý các sự kiện…
+ Tự đánh giá RR (risk self assessment):
▪ RR ảnh hưởng đến khả năng thành công của thủ tục có cách tiếp cận từ dưới lên
đơn vị, mức cạnh tranh trong ngành, ảnh - Được nhận diện liên tục (onging), lặp đi
hưởng đến việc duy trì sức mạnh tài chính. lặp lại.
Thực tế, hoàn toàn không thể đưa rủi ro về
- Phương pháp tiếp cận “tờ giấy trắng” – con số 0. clean sheet of paper
▪ Theo COSO, RR là khả năng một sự kiện có - Việc nhận diện phải được lồng ghép vào
thể xảy ra và đem lại ảnh hưởng tiêu cực đến quá trình KD.
việc đạt được các mục tiêu mà tổ chức đã 2. Đánh giá RR (Risk evaluation) thiếp lập.
- Xác định được các loại RR đang tồn tại;
▪ Quản lý RR nên được áp dụng cho tất cả các đánh giá tầm quan trọng (significance) và khả
cấp trong tổ chức:
năng xảy ra (likelihood of the risk) của RR đó.
+ Toàn doanh nghiệp – Enterprise-wide
- Một số RR được phân tích theo những (chiến lược)
con số), (RR tài chính – financial risk) trong khi
+ Đơn vị kinh doanh – Business unit (hoạt
nhiều RR khó có thể định lượng được (RR động)
danh tiếng – repulation risk).
+ Dự án cụ thể - Project-specific (chiến thuật) 3. Khẩu vị RR (Assessment of “Risk
+ Kiểm toán nội bộ - Internal audit (lập kế appetite”) – slide 118, gtrinh tr.32
hoạch, mục tiêu, phạm vi)
- Là mức độ mà đơn vị sẵn sàng đối mặt
trước khi xét thất hành động là cần thiết.
=>Giải pháp thay thế cho quản lý RR là quản - Là vấn đề chủ quan (subjective) lý RR. - RR có 2 loại:
▪ Chính phủ xác định và phân tích RR có lên + RR tiềm tàng (inhernet risk) là khi
quan đến việc đạt được các mục tiêu.
không có bất kỳ hành động/ thành viên quản
▪ RR xảy ra từ nguồn bên trong và bên ngoài lý nào nó vẫn tồn tại. – slide 111
+ RR còn lại (Residual risk): RR còn lại
-Bên trong: Nhân sự, công nghệ m i;
ớ Hệ sau khi quản lý ứng phó với nó.
thống/ quy trình máy tính mới; tinh thần 4. Phát triển các phản hồi (Development of giảm,… respones)
-Bên ngoài: những thay đổi về kinh tế, chính - Chuyển đổi (Transferred)
trị; thay đổi nhu cầu & mong đợi của KH; pháp - Chấp nhận (Tolerated)
luật & quy định; thảm họa thiên nhiên,…
- Chấm dứt (Terminated) - Xử lý (Treated)
▪ Yếu tố bên trong tác động RR: slide 122
Thay đổi về nhân sự; quan hệ nhân viên; hệ
thống thông tin; xử lí dữ liệu; bv TS,…
▪ Yếu tố bên ngoài: Điều kiện kinh tế, xã hội,
chính trị, quy định bên ngoài; sự kiện tự
nhiên, thay đổi ông nghệ,… ✓Quy chế quản lý:
- Là các cơ chế kiểm soát đã được luật hóa
- Cơ chế kiểm soát – mặt chìm: được cụ thể hóa bằng các quy định-các quy định có lồng thủ tục KS trong đó - C qu ơ chế ản lý – mặt nổi
Có 3 loại quy chế quản lý:
1. Quy chế cá nhân (cho từng cá nhân trong tổ chức) → VD: bảng mô tả công việc, quyết định bổ nhiệm
2. Quy chế bộ phận (cho từng phòng, ban, bộ phận, chi nhánh,…) → VD: quy chế và hđ phòng tổ chức
3. Quy chế nghiệp vụ (cho toàn đơn vị - mỗi quy chế cho một quy trình nghiệp vụ trong tổ
chức) → VD: quy chế bán hàng, quy chế tiền lương,… ✓Nội dung quy chế
-Gồm các quy định, có thể là giả định, quy định, chế tài… ✓ Các dạng RR:
- RR vận hành (Running risk): RR từ môi trường bên ngoài
- RR hoạt động (Operating risk): vi phạm quy chế quản lý và vấn đề nguồn lực của tổ chức
- RR tuân thủ (Compliance risk): vi phạm pháp luật nhà nước
▪ Hoạt động kiểm soát (Control activities)
HĐKS trong ký thuyết chung (COSO) – slide 133
HĐKS trong KVC (INTOSAI) – GT tr.34
▪ Là công cụ (Tools): Chính sách – thủ tục – ▪ HĐKS là các chính sách và thủ tục được đơn
quy trình, được thiết kế và thực hiện để đảm vị thiết lập nhằm đối phó RR.
bảo rằng các chỉ thị quản lý được thực hiện→ ▪ Cần đạt sự cân bằng thích hợp giữa các hoạt
3P: policies – procedures – processes
động KS phòng ngừa và phát hiện.
▪ Giúp ngăn ngừa (prevent) or giảm thiểu rủi ▪ Để đạt hiệu quả, các HĐKS phải phù hợp,
ro (reduce risk) có thể cản tr
ở việc hoàn thành nhất quán theo KH và có hiệu quả về CP, hợp mục tiêu.
lý và liên quan trực tiếp đến mục tiêu KS.
▪ Xảy ra trong toàn bộ tổ chức, tất cả các cấp Các HĐKS bao gồm nhiều chính sách, thủ tục
và trong tất cả các chức năng.
có tính đa dạng và khác biệt nhưng có quan
▪ Có 7 cách: Phê duyệt, ủy quyền, xác minh, hệ với nhau, gồm 8 nội dung:
đối chiếu (chỉnh hợp), đảm bảo TS, đánh giá →Chi tiết trong GT tr.35, 36
hiệu quả hoạt động, phân chia trách nhiệm.
------------------------------------- ▪ Có 5 HDKSNB chính:
Kiểm soát trong KVC là gì?
1. Phân chia nhiệm vụ (Separation of
▪ Là bất kì hành động nào do BQL thực hiện Duties):
để nâng cao khả năng đạt được mục tiêu.
- Phân chia trách nhiệm giữa các nhân
- KS phòng ngừa (Preventive control)
viên khác nhau để một cá nhân
là hoạt động KS nhằm ngăn ngừa,
không kiểm soát tất cả các khía cạnh
giảm thiểu khả năng sai sót ảnh của giao dịch.
hưởng đến việc đạt được các mục
- Giảm cơ hội cho nhân viên phạm tội
tiêu. VD: SD mật khẩu máy tính để
và che giấu sai sót (cố ý or vô ý), gian
ngăn ngừa truy cập trái phép,… lận…
- KS phát hiện (Detective ) để phát
- Tách biệt các chức năng ủy quyền
hiện và sửa chữa kịp thời các sự kiện
(Authorization), lưu giữ hồ sơ
không mong muốn xảy ra. VD: Cuối (recordkeeping) và giám sát
ngày, thủ quỹ ktra tiền mặt v i ớ sổ (custody). sách, TH kiểm kê qu ỹ bị thừa hoặc
- Tách nhiệm vụ IT khỏi người dùng.
thiếu thì sẽ xử lí, điều chỉnh kịp thời.
2. Có hệ thống chứng từ, sổ sách đầy đủ
- KS định hướng (Directive) để
(Document): Tài liệu và lưu trữ bằng
khuyến khích sự kiện mong muốn chứng để chứng minh:
xảy ra. VD: Đơn vị thường xuyên tổ
- Các quyết định và sự kiện quan
chức các cuộc họp, không chỉ
trọng…thường liên quan đến việc sử
BCKQKD mà còn hướng dẫn cho
dụng, cam kết or chuyển giao nguồn
nhân viên các bước tiếp theo để lực.
từng bước hoàn thành mục tiêu.
- Giao dịch (transactions)…cho phép
✓VD về KS phòng ngừa và KS phát
một giao dịch theo dõi từ khi bắt đầu hiện cho đến khi hoàn thành.
▪ Có 2 loại KS: KS cứng và KS mềm
- Chính sách & thủ tục (Policies &
- KS cứng là KS chính thức như chính
procedures) … đặt ra các nguyên tắc
sách và thủ tục, đối chiếu hs kế toán,
(principles) và phương pháp cơ bản
phê duyệt quản lý, KHKD, đư c ợ lập (methods).
thành vb, quy tắc ứng xử,… - Có 3 yêu cầu:
- KS mềm là KS không chính thức gồm
+ Bắt buộc phải đánh số liên tục
năng lực, kiến thức, sự hiểu biết của
+ Phải được lập gần ngày giao dịch
nhân viên, hành vi đạo đức,…
+ Chứng từ phải có mẫu mã thiết kế 1
→KS mềm khó kiểm tra hơn KS cứng vì cách rõ ràng.
chúng thường không có phương pháp
3. Ủy quyền & Phê duyệt KTKS rõ ràng.
- Ban Qly lập tài liệu và truyền đạt
- 3 nhóm hoạt động có liên quan đến
những hđ cần phê duyệt, dựa trên
biện pháp KS cứng và mềm là: Hệ
mức độ RR đối với tổ chức.
thống và quy trình (xác minh); Năng
- Các giao dịch đảm bảo đư c ợ thực
lực; Văn hóa (lãnh đạo, hành vi, thái
hiện bởi các nhân viên trong phạm vi độ).
quyền hạn được BQL cấp.
- Cần có sự ủy quyền cụ thể trong từng TH cụ thể.
4. Bảo vệ TS (Security of Asset)
- Bảo mật (secure) và hạn chế quyền
truy cập (restrict access) vào thiết bị,
tiền, htk,… để giảm RR or sử dụng trái phép.
- Thực hiện kiểm kê định kỳ để xác
minh sự tồn tại, số lư ng, v ợ ị trí,…
- Các yêu cầu: Ngăn chặn/ hạn chế
truy cập; Kiểm soát truy cập; sao lưu và phục hồi.
5. Rà soát và điều chỉnh (Reconciliation &
review): Kiểm tra độc lập (Independent
checks) việc thực hiện
- Mức độ xem xét cơ bản về tính trọng
yếu, rủi ro và tầm quan trọng tổng
thể đối với mục tiêu của TC.
- Đảm bảo tần suất để phát hiện và
hành động một cách kịp thời.
▪ Truyền thông & thông tin (Communication & Information)
Trong lý thuyết chung (Theo COSO) – slide 158
Trong KV công (INTOSAI) – slide 163
▪ Thông tin quan trọng phải đư c
ợ nắm bắt, ▪ TT & TT là cần thiết để thực hiện tất cả các
xác định (identified) và truyền đạt kịp thời mục tiêu KSNC.
(communicated on a timele basis).
▪ HTTT và liên lạc phù hợp giúp nhân viên thu
▪ TT hiệu quả và hệ thống truyền thông cho thập (obtain) và xử lý TT cần thiết để thực
phép tổ chức trao đổi TT cần thiết để quản lý, hiện KS. kiểm soát hđ.
▪ Thông tin: Xem chi tiết Gt tr.41, 42 và slide
▪ Thông tin cần phải truyền đạt từ trên xuống 164-166
( flow dowm), ngang ( across) và lên (up) ▪ Truyền thông: Xem GT tr.42, 42 và slide 167 trong tổ chức.
-Tất cả nv cần nhận thức rõ:
▪ Hiệu quả của hệ thống TT phụ thuộc vào 5 +Vai trò của chính học trong HTKSNB (ICS);
yếu tố:
+ Các hđ cá nhân của họ liên quan thế nào
1. Thông tin phải được lập dựa trên kế hoạch đến cv người khác
chiến lược và để hiểu được mục đích rõ ràng
+ Cần có sự giao tiếp hiệu quả với đối tượng bên ngoài.
2. Cần phải cấp đủ nguồn lực cho hệ thống
3. Thông tin phải đến đúng người
4. Thông tin phải đầy đủ chi tiết và kịp thời
5. Báo cáo cần chính xác, cung cấp thông tin cần thiết.
▪Dòng / luồng TT hiệu quả: Up&down của tổ
chức – các thông điệp rõ ràng từ cấp trên về
triết lý, mục tiêu và chính sách là phưng tiện
giao tiếp giữa cấp trên và cấp dưới; Toàn tổ
chức (theo chiều ngang) – cá nhân và phòng ban chia sẻ thông tin.
-Hiệu quả của hệ thống liên lạc còn phụ
thuộc vào nhiều yếu tố khác:
1. Nhiệm vụ và trách nhiệm của nhân viên
được truyền đạt một cách hiệu quả - Bảng mô tả công việc
2. Các kênh liên lạc cần tồn tại để nhân viên
báo cáo những hành vi bị nghi ngờ là không
phù hợp – Kênh tiếp nhận thông tin nội bộ ( bộ phận công đoàn)
3. Quản lý nên tiếp thu các đề xuất cải tiến
của nhân viên – Sự cầu thị và thái độ tiếp
nhận thông tin của nhà quản lý
4. Thông tin liên lạc phải hiệu quả giữa các
bộ phận – Cơ cấu tổ chức các phòng ban, bộ phận
5. Thông tin phải kịp thời, đầy đủ để các cá
nhân thực hiện hiệu quả trách nhiệm của
mình. – Chức năng, nhiệm vụ của bộ phận
công nghệ thông tin trong tổ chức.
6. Các đối tượng bên ngoài cần phải biết
được các tiêu chuẩn của tổ chức – Chiến
lược và bộ phận tiếp thị
7. Họ phải theo dõi phản hồi kịp thời thông
tin phù hợp. – Bộ phận tiếp nhận và phản
hồi thông tin, chăm sóc khách hàng.
- Khía cạnh truyền thông của các thành phần
này liên quan đến việc cung cấp sự hiểu biết
về vau trò và trách nhiệm của từng cá nhân
liên quan đến việc kiểm soát nội bộ.
- Mọi người nên hiểu các hoạt động của họ
liên quan như thế nào đến công việc của
những người khác và cách báo cáo trường
hợp ngoại lệ cho cấp quản lý cao hơn.
- Các kênh liên lạc mở giúp đảm bảo rằng các
trường hợp ngoại lệ được báo cáo xử lý.
-Truyền thông cũng bao gồm chính sách, sổ
tay kế toán và các báo cáo tài chính.
▪ Giám sát – Monitoring Theo COSO:
ICS phải được theo dõi để đánh giá hiệu quả của chúng. Xem chúng có hoạt động như dự định hay không.
-Giám sát liên tục là cần thiết để phản ứng linh hoạt với các điều kiện thay đổi. Các biện pháp
kiểm soát đã trở nên lỗi thời, dư thừa?
Giám sát xảy ra trong quá trình hoạt động hàng ngày, nó bao gồm các hoạt động quản lý và
giám sát thông thường và các hoạt động khác mà nhân viên thực hiện khi thực hiện nhiệm vụ của mình
-Quản lý khách hàng liên tục và định kỳ đánh giá chất lượng của IC để xác định xem các biện
pháp có hoạt động như dự kiến hay không và có được sửa đổi khi cần thiết hay không.
Đối với nhiều công ty, đặc biệt là công tu lớn, bộ phận kiểm toán nội bộ là cần thiết để giám sát hiệu quả.
-Để duy trì tính độc lập của kiểm toán nội bộ, bắt buộc họ phải độc lập với các bộ phận điều
hành và kế toán, và họ phải báo cáo với các cấp có thẩm quyền cao, tốt nhất là ủy ban kiểm
toán của hội đồng quản trị. -Giám sát bao gồm:
+ Ban lãnh đạo xem xét các báo cáo tài chính về tính đúng đắn và xu hướng
+ Xem xét và phân tích các lời khuyên và lời phàn nàn từ nguồn bên ngoài.
+ So sách dữ liệu được ghi lại với tài sản vật chất.
+ Tự đánh giá, đánh giá nội bộ và đánh giá bên ngoài
+ Thiết lập các phương tiện để báo cáo và sửa chữa các thiếu sót.
Theo INTOSAI (xem GT tr.43)