CHƯƠNG 1: CƠ SỞ LÝ LUẬN 1.1 Lịch sử hình thành và phát triển hệ thống KSNB 1.1 Giai đoạn tiền COSO năm 1992 Năm 1929, Công bố của Cục Dự trữ liên bang Hoa Kỳ (Federal Reserv Bulletin) – tiền thân của chuẩn mực kiểm toán Hoa Kỳ - lần đầu tiên đưa ra khái niệm về KSNB và chính thức công nhận vai trò của hệ thống KSNB trong DN. Khái niệm KSNB lúc này được sử dụng trong các tài liệu kiểm toán và được hiểu đơn giản như là một biện pháp giúp cho việc: + Bảo vệ tiền không bị các nhân viên gian lận + Bảo vệ tài sản không bị thất thoát + Ghi chép kế toán chính xác + Tuân thủ chính sách của nhà quản lý và nâng cao hiệu quả hoạt động của DN. Từ năm 1936, trong một công bố của Hiệp hội kế toán viên công chứng Hoa Kỳ (AICPA) đã định nghĩa KSNB là “các biện pháp và cách thức được chấp nhận và được thực hiện để bảo vệ tiền và tài sản, cũng như kiểm tra việc ghi chép chính xác số liệu”. Sau công bố này thì việc nghiên cứu và đánh giá về hệ thống KSNB ngày càng được chú trọng trong cuộc kiểm toán.
Từ năm 1949, Hiệp hội kế toán viên công chứng Hoa Kỳ (AICPA) đã định nghĩa KSNB là cơ cấu tổ chức và các biện pháp, cách thức liên quan được chấp nhận và thực hiện trong một tổ chức để bảo vệ tài sản, kiểm tra tính chính xác và đáng tin cậy của dữ liệu kế toán, thúc đẩy hoạt động đạt hiệu quả, khuyến khích sự tuân thủ các chính sách của người quản lý. Như vậy, khái niệm KSNB đã không ngừng mở rộng ra khỏi những thủ tục bảo vệ tài sản và ghi chép sổ sách kế toán. Tuy nhiên, trước khi có báo cáo COSO ra đời, KSNB vẫn mới chỉ là phương tiện phục vụ cho kiểm toán viên trong kiểm toán BCTC.2 Báo cáo COSO năm 1992 Sự hình thành những quan điểm khác nhau về KSNB giữa các tổ chức đã dẫn đến những bối rối cho các cơ quan quản lý nhà nước, các nhà lập pháp, các 10 doanh nghiệp, các nhà đầu tư, các kế toán, kiểm toán viên… Điều này đã dẫn đến một đòi hỏi thiết yếu là một định nghĩa chung về KSNB để đáp ứng các mục đích sử dụng khác nhau của các nhóm người khác nhau: các hội nghề nghiệp, giới doanh nhân, các học giả…; đồng thời cung cấp một nền tảng để các DN và các tổ chức tiếp cận đánh giá tính hữu hiệu của hệ thống KSNB tại đơn vị mình, và xác định cách thức cải tiến. Báo cáo COSO đã ra đời trong hoàn cảnh đó, đặt nền tảng lý thuyết thống nhất về hệ thống KSNB.
Ủy ban COSO (Committed Of Sponsoring Organization) là một Ủy ban thuộc Hội đồng quốc gia Hoa Kỳ về việc chống gian lận về BCTC. Ủy ban này bao gồm Hiệp hội Kế toán viên công chứng Hoa Kỳ (AICPA), Hội Kế toán Hoa Kỳ (AAA), Hiệp hội các nhà quản trị tài chính (FEI), Hiệp hội kiểm toán viên nội bộ (IIA) và Hiệp hội kế toán viên quản trị (IMA). Báo cáo COSO là sản phẩm nghiên cứu của Ủy ban COSO trong hơn 3 năm. Báo cáo COSO là hệ thống lý luận hoàn chỉnh nhất về hệ thống KSNB tính đến nay.
Theo báo cáo COSO năm 1992 thì Kiểm soát nội bộ là quá trình do người quản lý, hội đồng quản trị và các nhân viên của đơn vị chi phối, nó được thiết lập để cung cấp một sự đảm bảo hợp lý nhằm thực hiện các mục tiêu: Đảm bảo sự tin cậy của báo cáo tài chính; đảm bảo sự tuân thủ các qui định và luật lệ; đảm bảo các hoạt động được thực hiện hiệu quả. Kiểm soát nội bộ được thiết kế và vận hành bởi con người: Ban giám đốc, nhà quản lý và các nhân viên trong đơn vị; là công cụ của nhà quản lý chứ không thay thế cho quản lý; ở đây con người sẽ vạch ra mục tiêu đưa ra các biện pháp kiểm soát và vận hành chúng, mặt khác để KSNB có hiệu quả thì mọi thành viên trong một tổ chức phải hiểu rõ về trách nhiệm và quyền hạn của mình, xác định được mối liên hệ, nhiệm vụ, cách thức thực hiện để đạt được mục tiêu chung của tổ chức. Kiểm soát nội bộ đảm bảo các mục tiêu, có rất nhiều mục tiêu kiểm soát nội bộ cần đạt tới đó là: Mục tiêu về sự tuân thủ, mục tiêu về báo cáo tài chính và mục tiêu về hoạt động. 11 Kiểm soát nội bộ là một quá trình, bởi tất cả các hoạt động của một đơn vị đều phải thông qua một chuỗi các quá trình từ lập kế hoạch, thực hiện và giám sát, các hoạt động này được diễn ra hằng ngày gắn bó vào hoạt động của một tổ chức.
Kiểm soát nội bộ đảm bảo tính hợp lý cho nhà quản lý, điều này cho biết KSNB đảm bảo tính hợp lý của việc thực hiện các mục tiêu của nhà quản lý song không phải là đảm bảo tuyệt đối do KSNB khi vận hành vẫn còn có những hạn chế như: Sai lầm của con người khi đưa ra quyết định, sự thông đồng của các cá nhân,. - Theo như COSO thì KSNB gồm 5 yếu tố cấu thành: Môi trường kiểm soát, đánh giá rủi ro, hoạt động kiểm soát, thông tin và truyền thông, giám sát. + Môi trường kiểm soát: Các nhân tố chính của môi trường kiểm soát bao gồm: Tính chính trực và giá trị đạo đức thể hiện ở việc nhà quản lý phải tuân thủ các chuẩn mực, đạo đức, lối sống, cư xử, xây dựng được văn hóa trong đơn vị và phổ biến đến mọi thành viên trong tổ chức bằng cách thức phù hợp, song song với đó nhà quản lý phải tuyển dụng nhân viên có kiến thức và kinh nghiệm phù hợp với nhiệm vụ được giao để nhân viên có khả năng hoàn thành nhiệm vụ. Tuy nhiên, mỗi một doanh nghiệp có quy mô hoạt động khác nhau nên cơ cấu tổ chức cũng khác nhau, từ đó mỗi doanh nghiệp cần phải cụ thể hóa bằng văn bản về những quyền hạn và trách nhiệm, sự liên hệ với nhau giữa các bộ phận trong một tổ chức.
+ Đánh giá rủi ro: Trước tiên nhà quản lý cần phải xác định mục tiêu vì mục tiêu là điều kiện tiên quyết để đánh giá rủi ro; sau đó tiến hành nhận dạng rủi ro: Rủi ro xuất hiện trong kinh doanh như đối thủ cạnh tranh, thông tin không chuẩn xác,.; rủi ro về tài chính như lãi suất, tỷ giá. Vậy làm sao để có thể nhận dạng được rủi ro, điều tiên quyết là sử dụng các phương pháp như trao đổi, phân tích dữ liệu,.Sau khi đã nhận dạng được rủi ro thì cần đánh giá rủi ro, đây được xem là một việc tương đối khó và phức tạp vì cần phải định lượng rủi ro và đề ra được các biện pháp có thể để đối phó với rủi ro. 12 + Hoạt động kiểm soát là những chính sách, thủ tục để đảm bảo cho các yêu cầu của nhà quản lý được thực hiện thể hiện ở việc phân chia trách nhiệm, kiểm soát quá trình xử lý thông tin, bảo vệ tài sản, phân tích, rà soát. + Thông tin và truyền thông: thông tin đơn vị cung cấp phải đảm bảo chính xác, cập nhật, truy cập thuận tiện.
Thông tin được tiếp thu và truyền đạt đảm bảo mọi thành viên trong tổ chức hiểu rõ công việc của mình, tiếp nhận đầy đủ và chính xác yêu cầu của cấp trên cũng như mối quan hệ giữa các thành viên. + Giám sát: Hoạt động giám sát là quá trình mà nhà quản lý đánh giá chất lượng của hệ thống kiểm soát, xác định KSNB có vận hành như đúng thiết kế hay không, cần phải sửa đổi, bổ sung cho phù hợp với điều kiện thực tế; do đó cần phải tiến hành giám sát thường xuyên đối với những góp ý từ khách hàng, nhà cung cấp, các biến động bất thường.và giám sát định kỳ đối với báo cáo tài chính thông qua các cuộc kiểm toán định kỳ.3 Báo cáo COSO năm 2004 Trên cơ sở báo cáo của COSO năm 1992, COSO tiếp tục triển khai nghiên cứu hệ thống đánh giá rủi ro doanh nghiệp (viết tắt là ERM) năm 2001. Bản dự thảo ERM đã được công bố vào tháng 7 năm 2003; cho đến năm 2004 thì hệ thống đánh giá rủi ro doanh nghiệp chính thức được ban hành; trong đó ERM được định nghĩa gồm 8 bộ phận: Môi trường nội bộ, thiết lập mục tiêu, nhận diện sự kiện, đánh giá rủi ro, đối phó rủi ro, các hoạt động kiểm soát, thông tin truyền thông và giám sát. Tuy nhiên, hiểu một cách đúng đắn nhất thì ERM không phải để thay thế cho báo cáo COSO 1992 mà được coi là sự kế thừa, tiếp nối của báo cáo COSO 1992.4 Báo cáo COSO năm 2013 Kế thừa 05 nguyên tắc của Báo cáo COSO 1992, báo cáo COSO 2013 đã mở rộng ra 17 nguyên tắc; trong đó: - Môi trường kiểm soát: 13 + Nguyên tắc 1: Đơn vị chứng minh các cam kết về tính trung thực và giá trị đạo đức.
Điều này thể hiện rằng người quản lý phải chứng tỏ đơn vị quan tâm đến tính trung thực và giá trị đạo đức. + Nguyên tắc 2: Hội đồng quản trị phải chứng tỏ sự độc lập với người quản lý và đảm nhiệm chức năng giám sát việc thiết kế và vận hành hệ thống kiểm soát nội bộ. + Nguyên tắc 3: Nhà quản lý dưới sự giám sát của Hội đồng quản trị cần thiết lập cơ cấu tổ chức, các loại báo cáo, phân định trách nhiệm và quyền hạn nhằm đạt được mục tiêu của đơn vị. + Nguyên tắc 4: Đơn vị phải chứng tỏ sự cam kết về việc sử dụng nhân viên có năng lực thông qua tuyển dụng, duy trì và phát triển nguồn nhân lực phù hợp với mục tiêu của đơn vị.
+ Nguyên tắc 5: Đơn vị cần yêu cầu các cá nhân chịu trách nhiệm báo cáo về trách nhiệm của họ trong việc đáp ứng các mục tiêu của tổ chức. - Rủi ro kiểm soát: + Nguyên tắc 6: Đơn vị phải thiết lập mục tiêu rõ ràng và đầy đủ để nhận diện và đánh giá rủi ro phát sinh trong việc đạt được mục tiêu của đơn vị. Các mục tiêu đơn vị thường thiết lập bao gồm: mục tiêu hoạt động, mục tiêu báo cáo tài chính và phi tài chính cho người bên ngoài và bên trong doanh nghiệp, mục tiêu tuân thủ. + Nguyên tắc 7: Đơn vị phải nhận diện rủi ro trong việc đạt được mục tiêu của đơn vị, tiến hành phân tích rủi ro để xác định rủi ro cần được quản trị.