I. Tổng quan hệ thống kiểm soát nội bộ theo khung COSO 2013
Một hệ thống kiểm soát nội bộ (HTKSNB) hiệu quả là nền tảng cho sự phát triển bền vững của mọi doanh nghiệp. Nó không chỉ là một tập hợp các quy tắc, mà là một quá trình toàn diện, chịu sự chi phối từ Hội đồng quản trị, Ban giám đốc và toàn thể nhân viên. Theo định nghĩa của khung COSO năm 2013, kiểm soát nội bộ được thiết kế để cung cấp sự đảm bảo hợp lý trong việc đạt được ba mục tiêu chính: hiệu quả hoạt động, độ tin cậy của báo cáo tài chính và sự tuân thủ quy trình, quy định pháp luật. Con người là yếu tố trung tâm của một HTKSNB vững mạnh. Mọi thành viên trong tổ chức, từ cấp quản lý cao nhất đến nhân viên, đều có trách nhiệm trong việc vận hành và duy trì hệ thống này. Một hệ thống dù được thiết kế hoàn hảo đến đâu cũng sẽ thất bại nếu thiếu sự cam kết và tuân thủ từ con người. Vai trò cốt lõi của kiểm soát nội bộ là giúp doanh nghiệp quản trị rủi ro doanh nghiệp một cách chủ động, ngăn chặn các sai sót và hành vi gian lận, bảo vệ tài sản và tối ưu hóa việc sử dụng nguồn lực. Trong bối cảnh kinh tế đầy biến động, vai trò của kiểm soát nội bộ càng trở nên quan trọng, giúp ban lãnh đạo đưa ra quyết định kinh doanh chính xác dựa trên dữ liệu đáng tin cậy. Một HTKSNB mạnh mẽ cũng góp phần tạo dựng niềm tin với các nhà đầu tư và đối tác bên ngoài, khẳng định sự minh bạch và chuyên nghiệp của tổ chức.
1.1. Khái niệm và các nguyên tắc kiểm soát nội bộ cốt lõi
Theo COSO (The Committee of Sponsoring Organizations of the Treadway Commission), kiểm soát nội bộ là một quá trình được thiết kế để cung cấp sự đảm bảo hợp lý về việc đạt được các mục tiêu liên quan đến hoạt động, báo cáo và tuân thủ. Quá trình này bao gồm các chính sách, thủ tục và hoạt động được thực hiện bởi con người ở mọi cấp trong tổ chức. Các nguyên tắc kiểm soát nội bộ cơ bản bao gồm: nguyên tắc phân công phân nhiệm rõ ràng (tránh một cá nhân kiểm soát mọi khía cạnh của một giao dịch), nguyên tắc bất kiêm nhiệm, nguyên tắc ủy quyền và phê duyệt, và nguyên tắc minh bạch. Việc tuân thủ các nguyên tắc này giúp tạo ra một cơ chế kiểm tra và đối chiếu chéo, giảm thiểu cơ hội cho sai sót và phòng chống gian lận.
1.2. 5 thành phần của hệ thống kiểm soát nội bộ theo COSO
HTKSNB theo khung COSO 2013 được cấu thành từ năm thành phần có mối liên hệ chặt chẽ với nhau. Thứ nhất là Môi trường kiểm soát, tạo nên nền tảng và văn hóa của tổ chức. Thứ hai là Đánh giá rủi ro, quá trình nhận diện và phân tích các rủi ro có thể ảnh hưởng đến mục tiêu. Thứ ba là Hoạt động kiểm soát, bao gồm các chính sách và thủ tục được thiết lập để giảm thiểu rủi ro. Thứ tư là Thông tin và truyền thông, đảm bảo thông tin liên quan được nhận diện, thu thập và trao đổi kịp thời. Cuối cùng là Giám sát và đánh giá, quá trình theo dõi và đánh giá tính hiệu quả của toàn bộ hệ thống theo thời gian. Sự kết hợp đồng bộ của năm thành phần này tạo nên một HTKSNB toàn diện và hữu hiệu.
1.3. Lợi ích và những hạn chế của kiểm soát nội bộ
Một HTKSNB hiệu quả mang lại nhiều lợi ích: bảo vệ tài sản, đảm bảo tính chính xác của dữ liệu kế toán, nâng cao hiệu quả hoạt động, và thúc đẩy sự tuân thủ pháp luật. Tuy nhiên, không có hệ thống nào là hoàn hảo. Các hạn chế của kiểm soát nội bộ có thể đến từ sự thông đồng của nhiều cá nhân, sự lạm quyền của nhà quản lý, hoặc các sai sót do yếu tố con người. Hơn nữa, chi phí để xây dựng và duy trì một hệ thống phức tạp đôi khi có thể vượt quá lợi ích mà nó mang lại, đặc biệt với các doanh nghiệp nhỏ. HTKSNB chỉ cung cấp sự đảm bảo hợp lý, không phải là sự đảm bảo tuyệt đối, trong việc đạt được các mục tiêu của đơn vị.
II. Thực trạng kiểm soát nội bộ Các yếu kém rủi ro tiềm ẩn
Thực tiễn tại nhiều doanh nghiệp Việt Nam, bao gồm cả nghiên cứu tình huống tại Công ty CP Cảng Tôn Thất Thuyết, cho thấy hệ thống kiểm soát nội bộ còn tồn tại nhiều yếu kém và lỗ hổng. Những hạn chế này không chỉ làm giảm hiệu quả hoạt động mà còn tạo ra những rủi ro tiềm ẩn, ảnh hưởng trực tiếp đến kết quả kinh doanh và sự phát triển bền vững. Một trong những vấn đề phổ biến nhất bắt nguồn từ môi trường kiểm soát. Nhiều doanh nghiệp chưa thực sự chú trọng xây dựng văn hóa chính trực và các giá trị đạo đức. Việc phân chia trách nhiệm và quyền hạn còn chồng chéo, không rõ ràng, dẫn đến xung đột nội bộ và thiếu trách nhiệm giải trình. Các chính sách nhân sự, từ tuyển dụng đến đào tạo, chưa được chuẩn hóa để đảm bảo năng lực nhân viên phù hợp với yêu cầu công việc. Bên cạnh đó, quy trình đánh giá rủi ro thường bị xem nhẹ hoặc thực hiện một cách hình thức. Doanh nghiệp thường bị động trước những thay đổi của thị trường và môi trường kinh doanh do thiếu một cơ chế nhận diện, phân tích và đối phó rủi ro một cách có hệ thống. Các hoạt động kiểm soát như phê duyệt, đối chiếu, kiểm tra thường không được thực hiện nhất quán, hoặc các quy trình kiểm soát nội bộ đã lỗi thời, không còn phù hợp với quy mô và mức độ phức tạp của hoạt động hiện tại. Tình trạng này dẫn đến thất thoát tài sản, sai sót trong số liệu kế toán và tăng nguy cơ gian lận.
2.1. Đánh giá môi trường kiểm soát và các chính sách nhân sự
Một môi trường kiểm soát yếu kém là gốc rễ của nhiều vấn đề. Nghiên cứu cho thấy, tại nhiều đơn vị, triết lý quản lý và phong cách điều hành chưa thể hiện rõ cam kết đối với kiểm soát nội bộ. Cơ cấu tổ chức chưa được tối ưu, sự phân công quyền hạn và trách nhiệm không rõ ràng. Các chính sách nhân sự chưa chú trọng vào việc nâng cao năng lực và đạo đức nghề nghiệp. Tình trạng nhân viên thiếu kỹ năng, không được đào tạo cập nhật kiến thức thường xuyên dẫn đến việc xử lý công việc theo lối mòn, kém hiệu quả và không thể đáp ứng các yêu cầu kiểm soát mới.
2.2. Lỗ hổng trong quy trình đánh giá rủi ro và hoạt động kiểm soát
Nhiều doanh nghiệp chưa xây dựng một quy trình kiểm soát nội bộ bài bản cho việc đánh giá rủi ro. Các rủi ro tiềm ẩn từ hoạt động kinh doanh, tài chính, tuân thủ không được nhận diện và phân tích đầy đủ. Hệ quả là các hoạt động kiểm soát trở nên rời rạc và không nhắm đúng vào các khu vực trọng yếu. Ví dụ, việc đối chiếu công nợ không được thực hiện thường xuyên, quy trình xuất kho và bán hàng thiếu các bước kiểm tra chéo, dẫn đến sai sót trên hóa đơn, thất thoát hàng tồn kho và gây phàn nàn từ khách hàng. Đây là những biểu hiện rõ ràng của một hệ thống thiếu sự chặt chẽ.
2.3. Hậu quả từ việc thiếu giám sát và truyền thông kém hiệu quả
Sự thiếu vắng một cơ chế giám sát và đánh giá hiệu quả khiến các yếu kém không được phát hiện và khắc phục kịp thời. Hệ thống thông tin và truyền thông nội bộ hoạt động kém hiệu quả, thông tin không được trao đổi một cách xuyên suốt giữa các cấp và các phòng ban. Điều này gây khó khăn trong việc phối hợp và thực thi các thủ tục kiểm soát. Hậu quả trực tiếp là các sai phạm, chẳng hạn như việc chậm nộp thuế dẫn đến bị phạt (như trường hợp của Cảng Tôn Thất Thuyết), làm giảm lợi nhuận và ảnh hưởng đến quyền lợi của người lao động. Sự thiếu giám sát cũng làm giảm tính tuân thủ quy trình trong toàn tổ chức.
III. Phương pháp hoàn thiện môi trường kiểm soát và đánh giá rủi ro
Để khắc phục những yếu kém và xây dựng một hệ thống kiểm soát nội bộ vững mạnh, doanh nghiệp cần bắt đầu từ nền tảng. Việc hoàn thiện môi trường kiểm soát và quy trình đánh giá rủi ro là hai bước đi chiến lược, tạo tiền đề cho sự cải thiện của các thành phần khác. Trước hết, ban lãnh đạo cần thể hiện cam kết mạnh mẽ đối với tính chính trực và các giá trị đạo đức, đồng thời phải làm gương trong mọi hoạt động. Cần xây dựng và ban hành một bộ quy tắc ứng xử bằng văn bản, mô tả rõ các hành vi được chấp nhận và không được chấp nhận, và truyền đạt nhất quán trong toàn tổ chức. Song song đó, việc rà soát và chuẩn hóa lại cơ cấu tổ chức, phân định rõ ràng quyền hạn và trách nhiệm cho từng vị trí, từng phòng ban là yêu cầu cấp thiết. Điều này giúp loại bỏ sự chồng chéo, tăng cường trách nhiệm giải trình và tạo ra một môi trường làm việc minh bạch. Về quản trị rủi ro doanh nghiệp, cần chuyển từ cách tiếp cận bị động sang chủ động. Doanh nghiệp phải xây dựng một quy trình đánh giá rủi ro chính thức và định kỳ. Quy trình này bắt đầu bằng việc xác định các mục tiêu rõ ràng, sau đó nhận diện các rủi ro (cả bên trong và bên ngoài) có thể cản trở việc đạt được mục tiêu đó. Các rủi ro sau khi được nhận diện cần được phân tích về khả năng xảy ra và mức độ ảnh hưởng, từ đó có biện pháp đối phó phù hợp: chấp nhận, né tránh, chuyển giao hay giảm thiểu.
3.1. Nâng cao tính chính trực và cam kết về năng lực nhân sự
Xây dựng một môi trường kiểm soát lành mạnh đòi hỏi sự tập trung vào con người. Ban lãnh đạo phải là người tiên phong trong việc đề cao tính chính trực. Đồng thời, công ty cần đầu tư vào chính sách nhân sự, từ việc xây dựng bản mô tả công việc chi tiết cho từng vị trí đến việc tuyển dụng những nhân viên có đủ năng lực và phẩm chất đạo đức. Các chương trình đào tạo thường xuyên về chuyên môn, kỹ năng và các quy định của hệ thống kiểm soát nội bộ là rất cần thiết để đảm bảo mọi nhân viên hiểu rõ và thực hiện đúng trách nhiệm của mình.
3.2. Xây dựng quy trình nhận diện và phân tích rủi ro toàn diện
Một quy trình đánh giá rủi ro hiệu quả phải mang tính hệ thống. Doanh nghiệp cần thành lập một đội ngũ hoặc giao trách nhiệm cho một bộ phận chuyên trách về quản trị rủi ro doanh nghiệp. Quá trình này bao gồm các bước: xác định mục tiêu, nhận diện các rủi ro liên quan (rủi ro chiến lược, hoạt động, tài chính, tuân thủ), phân tích và đánh giá mức độ nghiêm trọng của từng rủi ro. Các công cụ như sơ đồ xương cá hay ma trận rủi ro có thể được áp dụng để việc phân tích trở nên trực quan và hiệu quả hơn. Kết quả đánh giá là cơ sở để thiết kế các hoạt động kiểm soát phù hợp.
IV. Cách tối ưu hoạt động kiểm soát và hệ thống thông tin nội bộ
Sau khi đã củng cố môi trường kiểm soát và quy trình đánh giá rủi ro, bước tiếp theo là tối ưu hóa các hoạt động kiểm soát và hệ thống thông tin và truyền thông. Đây là những thành phần mang tính thực thi, đảm bảo các định hướng của ban lãnh đạo được hiện thực hóa trong các hoạt động hàng ngày. Các hoạt động kiểm soát cần được thiết kế lại để giải quyết trực tiếp các rủi ro đã được nhận diện. Điều này bao gồm việc xây dựng, cập nhật và ban hành các chính sách, thủ tục bằng văn bản cho mọi quy trình trọng yếu như mua hàng, bán hàng, quản lý kho, tính lương. Nguyên tắc phân chia trách nhiệm (bất kiêm nhiệm) phải được áp dụng triệt để. Ví dụ, người duyệt chi không đồng thời là người lập phiếu chi và người giữ quỹ. Các thủ tục kiểm soát vật chất đối với tài sản, hàng tồn kho cần được tăng cường thông qua kiểm kê định kỳ và hệ thống an ninh. Đồng thời, việc cải thiện hệ thống thông tin và truyền thông là yếu tố sống còn. Doanh nghiệp cần đảm bảo thông tin tài chính và phi tài chính được thu thập chính xác, xử lý kịp thời và truyền đạt đến đúng đối tượng. Việc ứng dụng công nghệ thông tin, chẳng hạn như phần mềm kế toán, ERP, giúp tự động hóa nhiều khâu, giảm thiểu sai sót do con người và cung cấp báo cáo quản trị nhanh chóng. Các kênh truyền thông đa chiều (từ trên xuống, từ dưới lên và ngang cấp) cần được khuyến khích để nhân viên có thể báo cáo các vấn đề, sai phạm một cách kịp thời.
4.1. Thiết lập các quy trình kiểm soát nội bộ và phân chia trách nhiệm
Việc thiết lập các quy trình kiểm soát nội bộ rõ ràng là nền tảng của hoạt động kiểm soát. Mỗi quy trình cần có các chốt kiểm soát cụ thể. Ví dụ, trong quy trình mua hàng, cần có sự phê duyệt độc lập ở các khâu: yêu cầu mua hàng, lựa chọn nhà cung cấp, và thanh toán. Việc phân chia trách nhiệm rõ ràng giúp ngăn ngừa phòng chống gian lận và sai sót. Cần định kỳ rà soát các quy trình này để đảm bảo chúng vẫn phù hợp và hiệu quả khi hoạt động của công ty thay đổi.
4.2. Cải thiện hệ thống thông tin và truyền thông đa chiều
Một hệ thống thông tin và truyền thông hiệu quả đảm bảo thông tin cần thiết cho việc ra quyết định và kiểm soát được lưu chuyển thông suốt. Doanh nghiệp nên đầu tư vào hệ thống công nghệ thông tin để chuẩn hóa dữ liệu và báo cáo. Ngoài ra, cần thiết lập các kênh giao tiếp chính thức như các cuộc họp giao ban định kỳ, hệ thống email nội bộ, và các báo cáo hoạt động. Quan trọng hơn, cần xây dựng một văn hóa cởi mở, nơi nhân viên không ngần ngại báo cáo các vấn đề bất thường cho cấp quản lý mà không sợ bị trù dập.
V. Bí quyết triển khai giám sát hiệu quả hệ thống kiểm soát nội bộ
Một hệ thống kiểm soát nội bộ không thể hoạt động hiệu quả nếu thiếu cơ chế giám sát và đánh giá. Giám sát là quá trình liên tục theo dõi và đánh giá chất lượng hoạt động của hệ thống, nhằm đảm bảo các thành phần của nó vẫn hiện hữu, vận hành đúng thiết kế và được điều chỉnh kịp thời khi có sự thay đổi. Việc triển khai giám sát hiệu quả không phải là một công việc đơn lẻ mà là sự kết hợp giữa các hoạt động giám sát thường xuyên và các cuộc đánh giá định kỳ. Giám sát thường xuyên được tích hợp ngay trong các hoạt động quản lý và vận hành hàng ngày. Các cấp quản lý trực tiếp đóng vai trò then chốt trong việc giám sát công việc của nhân viên, kiểm tra việc tuân thủ quy trình, đối chiếu báo cáo và giải quyết các vấn đề phát sinh. Đây là tuyến phòng thủ đầu tiên và quan trọng nhất. Bên cạnh đó, các cuộc đánh giá định kỳ mang tính độc lập và khách quan hơn. Hoạt động này có thể được thực hiện bởi bộ phận kiểm toán nội bộ của công ty hoặc một đơn vị độc lập bên ngoài. Mục tiêu của đánh giá định kỳ là xem xét toàn diện thiết kế và vận hành của HTKSNB, xác định các khiếm khuyết và đề xuất các giải pháp cải tiến. Vai trò của Ban kiểm soát trong việc giám sát hoạt động của Hội đồng quản trị và Ban giám đốc cũng cực kỳ quan trọng, đảm bảo tính minh bạch và tuân thủ ở cấp cao nhất.
5.1. Áp dụng các hoạt động giám sát thường xuyên và định kỳ
Giám sát thường xuyên bao gồm việc rà soát các báo cáo hoạt động hàng ngày, hàng tuần của các nhà quản lý, thực hiện đối chiếu đột xuất, và theo dõi các chỉ số hiệu suất chính (KPIs). Hoạt động này giúp phát hiện sớm các sai lệch. Trong khi đó, giám sát định kỳ, như các cuộc kiểm toán nội bộ hàng quý hoặc hàng năm, cung cấp một cái nhìn sâu hơn về tính đầy đủ và hiệu quả hoạt động của các thủ tục kiểm soát. Sự kết hợp của cả hai hình thức này tạo ra một cơ chế giám sát toàn diện.
5.2. Vai trò của ban kiểm soát và kiểm toán nội bộ trong giám sát
Ban kiểm soát, do Đại hội đồng cổ đông bầu ra, có nhiệm vụ giám sát tính hợp pháp, hợp lý trong quản lý điều hành và ghi chép kế toán của công ty. Bộ phận kiểm toán nội bộ là một công cụ đắc lực cho ban lãnh đạo và Ban kiểm soát. Chức năng của kiểm toán nội bộ là đánh giá độc lập về hệ thống quản trị rủi ro doanh nghiệp và các quy trình kiểm soát nội bộ. Các phát hiện và kiến nghị từ kiểm toán nội bộ là cơ sở quan trọng để liên tục hoàn thiện hệ thống.
VI. Hướng đi tương lai cho hệ thống kiểm soát nội bộ doanh nghiệp
Hoàn thiện hệ thống kiểm soát nội bộ là một hành trình liên tục, không phải là một đích đến. Trong bối cảnh kinh tế số phát triển mạnh mẽ và các rủi ro kinh doanh ngày càng phức tạp, HTKSNB của doanh nghiệp cũng cần có sự chuyển đổi để thích ứng. Hướng đi trong tương lai không chỉ dừng lại ở việc tuân thủ quy trình truyền thống mà còn phải tích hợp công nghệ và tư duy quản trị hiện đại. Các giải pháp đã đề xuất, từ việc củng cố môi trường kiểm soát đến tối ưu hóa hoạt động kiểm soát và giám sát, cần được triển khai theo một lộ trình rõ ràng, có sự phân công trách nhiệm cụ thể và các tiêu chí đo lường hiệu quả. Ban lãnh đạo phải đóng vai trò dẫn dắt, truyền thông về tầm quan trọng của việc thay đổi và tạo điều kiện để mọi thành viên tham gia vào quá trình hoàn thiện. Nhìn về tương lai, các xu hướng như phân tích dữ liệu lớn (Big Data), trí tuệ nhân tạo (AI) và tự động hóa quy trình bằng robot (RPA) đang mở ra những cơ hội mới cho kiểm soát nội bộ. Doanh nghiệp có thể sử dụng các công cụ này để thực hiện giám sát liên tục, phát hiện các giao dịch bất thường theo thời gian thực và tự động hóa các thủ tục kiểm soát lặp đi lặp lại. Việc áp dụng các chuẩn mực quốc tế như Đạo luật Sarbanes-Oxley (SOX) cũng sẽ trở thành yêu cầu tất yếu đối với các công ty đại chúng, đòi hỏi một HTKSNB minh bạch và hiệu quả hơn nữa.
6.1. Tóm tắt các giải pháp và lộ trình hoàn thiện hệ thống
Lộ trình hoàn thiện hệ thống kiểm soát nội bộ cần được xây dựng theo từng giai đoạn. Giai đoạn đầu tập trung vào việc nâng cao nhận thức và xây dựng nền tảng môi trường kiểm soát. Giai đoạn tiếp theo là rà soát, chuẩn hóa và ban hành các quy trình kiểm soát nội bộ cho các hoạt động trọng yếu. Giai đoạn cuối cùng là triển khai cơ chế giám sát và đánh giá liên tục, đồng thời ứng dụng công nghệ để nâng cao hiệu quả. Mỗi giai đoạn cần có kế hoạch hành động cụ thể và mục tiêu rõ ràng.
6.2. Xu hướng kiểm soát nội bộ trong quản trị rủi ro doanh nghiệp
Trong tương lai, kiểm soát nội bộ sẽ ngày càng gắn kết chặt chẽ với quản trị rủi ro doanh nghiệp (ERM). Thay vì chỉ tập trung vào phòng chống gian lận và sai sót tài chính, hệ thống sẽ mở rộng ra việc quản lý các rủi ro chiến lược, rủi ro an ninh mạng và rủi ro liên quan đến tính bền vững (ESG). Việc chuyển đổi số đòi hỏi các biện pháp kiểm soát mới để bảo vệ dữ liệu và đảm bảo an toàn thông tin. Doanh nghiệp nào chủ động nắm bắt các xu hướng này sẽ có lợi thế cạnh tranh vượt trội và khả năng chống chịu tốt hơn trước các biến động.