Tải bản đầy đủ (.pdf) (82 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

Hoàn thiện hệ thống kiểm soát nội bộ theo hướng quản trị rủi ro tại công ty trách nhiệm hữu hạn Diamond Việt Nam

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (704.07 KB, 82 trang )

1

PHẦN MỞ ĐẦU
1. Lý do thực hiện đề tài
Trong nền sản xuất thương mại toàn cầu hóa hiện nay, khi các công ty đẩy
mạnh hoạt động ở những lãnh thổ mới tìm kiếm chi phí thấp hơn, các tổ chức phải
thường xuyên cải tổ, sát nhập, thay đổi cấu trúc, đổi mới sản phẩm. Để phù hợp với
xu thế kinh tế mở cửa hội nhập, nền kinh tế nói chung và hoạt động sản xuất kinh
doanh nói riêng đã có nhiều thay đổi phong phú, các hoạt động kinh tế diễn ra ngày
càng sôi động trên phạm vi lớn, thu hút mọi thành phần kinh tế tham gia. Hội nhập
kinh tế quốc tế đem lại nhiều thuận lợi đồng thời cũng đặt ra nhiều thách thức với
các doanh nghiệp Việt Nam, các doanh nghiệp có sức cạnh tranh kém, quy mô nhỏ
có nguy cơ phá sản cao. Tìm cách đứng vững trên thị trường và phù hợp với sự phát
triển của nền kinh tế thì mỗi đơn vị sản xuất kinh doanh đều cố gắng làm cho doanh
nghiệp mình tăng trưởng và phát triển. Bên cạnh việc thường xuyên nâng cao chất
lượng sản phẩm, tiết kiệm chi phí sản xuất, hạ giá thành sản phẩm, các nhà quản lý
còn phải quan tâm đến vấn đề kiểm soát doanh nghiệp, bởi vì trong mọi hoạt động
của doanh nghiệp, kiểm tra kiểm soát luôn giữ vai trò quan trọng trong quá trình
quản lý và được thực hiện chủ yếu bởi hệ thống kiểm soát nội bộ.
Thực tế ở các công ty nước ngoài thuộc các tập đoàn lớn trên thế giới thì xây
dựng và quản lý một hệ thống kiểm soát nội bộ không còn xa lạ gì với họ, nhưng
khi các công ty này đầu tư vào Việt Nam cần phải điều chỉnh và thay đổi sao cho
phù hợp với luật pháp, quy định và tình hình thực tế tại Việt Nam. Ở Việt Nam hiện
nay, các doanh nghiệp đều nhận thức được vai trò của hệ thống kiểm soát nội bộ,
nhưng việc xây dựng hệ thống kiểm soát nội bộ tại các doanh nghiệp thường chỉ tập
trung vào các chỉ số kinh tế tài chính và kết quả cuối cùng với thói quen tìm lỗi, đổ
trách nhiệm chứ ít chú trọng kiểm tra, kiểm soát toàn bộ hoạt động của tổ chức, lấy
ngăn chặn, phòng ngừa là chính. Tuy nhiên, trong quá trình triển khai ấy thường
gặp phải các khó khăn do thiếu phương pháp quản lý có hệ thống, dẫn đến sự thay
đổi đột ngột, phát sinh các rủi ro không lường trước và tạo hiệu ứng ngược lại, kéo
theo tổ chức tụt hậu so với trước đó, thậm chí tổ chức còn bị phá sản chính vì sự


thay đổi không phù hợp này.


2

Điều này cho chúng ta thấy vấn đề kiểm soát và phòng ngừa rủi ro là một
vấn đề hết sức cấp bách hiện nay. Bên cạnh đó, như chúng ta thường nói “phòng
hơn chống”, đừng để “mất bò mới lo làm chuồng”, có thể khẳng định rằng, vấn đề
nâng cao hiệu quả hoạt động của hệ thống kiểm soát nội bộ gắn với quản lý rủi ro
cần được quan tâm đúng mức. Trong quá trình thực thi chiến lược sẽ thường có
nhiều rủi ro xảy ra làm ảnh hưởng đến quá trình tiến tới mục tiêu doanh nghiệp. Hệ
thống quản lý rủi ro trong doanh nghiệp được thiết lập nhằm san lấp những khiếm
khuyết này. Mặc dù công ty có định hướng phát triển tốt, có chiến lược kinh doanh
khôn khéo và có một đội ngũ nhân viên giỏi nghề. Thật tuyệt vời! Nhưng có dám
chắc rằng những ý tưởng của ban lãnh đạo sẽ được mọi người thực thi một cách
hoàn hảo, nghĩa là đem lại hiệu quả và thành công như mong muốn? Và điều quan
trọng hơn cả là làm cách nào để ngăn chặn những việc làm gian lận, sai sót, không
minh bạch của nhân viên.
Một hệ thống kiểm soát nội bộ theo hướng quản trị rủi ro sẽ đem lại cho tổ
chức các lợi ích như: giảm bớt nguy cơ rủi ro tiềm ẩn trong sản xuất kinh doanh,
bảo vệ tài sản, tiền bạc, thông tin,…đảm bảo tính chính xác của các số liệu, đảm
bảo mọi thành viên tuân thủ nội quy, quy chế, quy trình hoạt động của tổ chức cũng
như các quy định của luật pháp, đảm bảo tổ chức hoạt động hiệu quả, sử dụng tối ưu
các nguồn lực và đạt được mục tiêu đề ra.
Chính vì tầm quan trọng của hệ thống kiểm soát nội bộ và quản trị rủi ro
cùng với tình hình thực tế nên tôi chọn đề tài “Hoàn thiện hệ thống kiểm soát nội
bộ theo hướng quản trị rủi ro tại công ty trách nhiệm hữu hạn Diamond Việt
Nam” làm đề tài luận văn thạc sĩ cho mình.
Mặc dù có nhiều công trình nghiên cứu về kiểm soát rủi ro và kiểm soát nội
bộ theo hướng quản trị rủi ro nhưng ở mỗi ngành, mỗi doanh nghiệp có những đặc

điểm khác nhau. Đề tài nghiên cứu của tác giả kế thừa và phát huy các nghiên cứu
trước đó ứng với thực tế của công ty trách nhiệm hữu hạn Diamond Việt Nam, đưa
ra hệ thống giải pháp có giá trị ứng dụng để nâng cao giá trị doanh nghiệp.
2. Các nghiên cứu có liên quan
Trƣơng Thị Bích Ngọc (2012), “Giải pháp nâng cao hiệu quả kiểm soát
rủi ro tại các doanh nghiệp Việt Nam trong thời kỳ hội nhập kinh tế thế giới”,


3

luận văn thạc sĩ, Trƣờng Đại học Kinh Tế Tp. Hồ Chí Minh. Trong đề tài này
tác giả đã hệ thống hóa cơ sở lý luận về quản trị rủi ro và kiểm soát rủi ro; tiếp cận
lý luận hiện đại về các mô hình kiểm soát rủi ro thông qua việc nghiên cứu các tài
liệu có liên quan đến kiểm soát rủi ro trong và ngoài nước; phân tích mô hình kiểm
soát rủi ro thông qua việc xây dựng hệ thống quản trị rủi ro doanh nghiệp (ERM) –
một xu hướng mới của nền kinh tế. Đồng thời, phân tích thực trạng kiểm soát rủi ro
tại các doanh nghiệp trên thế giới cũng như thất bại của một số doanh nghiệp trong
việc nhận diện rủi ro và kiểm soát rủi ro để làm bài học kinh nghiệm cho Việt Nam.
Đề tài còn đánh giá thực trạng nhận diện rủi ro và kiểm soát rủi ro tại các doanh
nghiệp Việt Nam thông qua cuộc khảo sát tại 100 doanh nghiệp, từ đó phân tích
những mặt tích cực, yếu kém trong việc kiểm soát rủi ro và nguyên nhân tồn tại của
những yếu kém đó. Đề xuất các giải pháp để nâng cao hiệu quả kiểm soát rủi ro tại
các doanh nghiệp Việt Nam trong giai đoạn hội nhập kinh tế thế giới. Tuy nhiên,
luận văn không tập trung nghiên cứu để xây dựng tổ chức quy trình cho một doanh
nghiệp cụ thể cũng như không nghiên cứu ứng dụng các kỹ thuật định lượng rủi ro.
Nguyễn Thị Hồng Phúc (2012), “Hoàn thiện hệ thống kiểm soát nội bộ
hướng đến quản trị rủi ro tại công ty trách nhiệm hữu hạn Fujikura Việt Nam”,
luận văn thạc sĩ, Trƣờng Đại học Kinh Tế Tp. Hồ Chí Minh Trong đề tài này tác
giả đã đánh giá vai trò quan trọng của hệ thống kiểm soát nội bộ và quản trị rủi ro
trong việc đạt mục tiêu của đơn vị. Tác giả khảo sát thực tế tại công ty TNHH

Fujikura Việt Nam. Từ đó tổng kết kết quả khảo sát thực trạng. Kết hợp giữa thực tế
và lý thuyết báo cáo COSO 1992 và COSO 2004 để đưa ra nhận xét, đánh giá, phân
tích và các giải pháp nhằm khắc phục những nhược điểm của các quy trình xử lý
nghiệp vụ mà công ty áp dụng. Đúc kết kinh nghiệm từ thực tế và cơ sở lý luận
hoàn thiện các quy trình kiểm soát nội bộ trong hệ thống kiểm soát nội bộ và hướng
đến công tác quản trị rủi ro tại công ty TNHH Fujikura Việt Nam.
Lê Y Uyên (2013), “Hoàn thiện hệ thống kiểm soát nội bộ nhằm hạn chế
rủi ro hoạt động tại công ty trách nhiệm hữu hạn Happy Cook”, luận văn thạc sĩ,
trƣờng đại học kinh tế Tp. Hồ Chí Minh. Luận văn nghiên cứu chủ yếu bằng
phương pháp định tính. Ngoài ra còn sử dụng thêm các phương pháp khác như:
phương pháp nghiên cứu tài liệu, phương pháp tổng hợp, phân tích, phỏng vấn và


4

khảo sát bằng bảng câu hỏi. Qua việc nghiên cứu thực trạng hệ thống kiểm soát nội
bộ tại công ty, tác giả đưa ra những giải pháp hoàn thiện hệ thống kiểm soát nội bộ
nhằm hạn chế rủi ro hoạt động trong qui trình sản xuất tại doanh nghiệp. Giúp
doanh nghiệp hoạt động hiệu quả hơn, phòng tránh những tổn thất và hạn chế được
rủi ro có thể xảy ra.
Nguyễn Thị Xuân Linh (2014), “Hoàn thiện hệ thống kiểm soát rủi ro tại
các doanh nghiệp chế biến gỗ tỉnh Bình Định”, luận văn thạc sĩ, Trƣờng Đại
học Kinh Tế Tp. Hồ Chí Minh. Luận văn sử dụng phương pháp nghiên cứu định
lượng và định tính. Tác giả sử dụng phương pháp tổng hợp, hệ thống hóa lý luận
dựa trên nền tảng COSO năm 2004 về kiểm soát rủi ro. Tác giả xây dựng bảng câu
hỏi khảo sát 56 doanh nghiệp chế biến gỗ tỉnh Bình Định, tập trung ở các khu công
nghiệp Phú Tài, khu công nghiệp Long Mỹ, khu công nghiệp Nhơn Hòa. Dữ liệu
thu thập được từ bảng câu hỏi khảo sát các doanh nghiệp chế biến gỗ tỉnh Bình
Định tác giả xử lý thông qua phương pháp thống kê mô tả, từ đó nhận diện các yếu
tố rủi ro trong ngành chế biến gỗ; có hay không các doanh nghiệp chế biến gỗ đã

xây dựng hệ thống kiểm soát rủi ro cho mình và nếu có doanh nghiệp đã xây dựng ở
mức độ nào; cuối cùng là đề ra giải pháp hoàn thiện hệ thống kiểm soát rủi ro cho
các doanh nghiệp. Hạn chế của luận văn là mẫu khảo sát chưa đủ lớn, thời gian
khảo sát ngắn, chưa tiến hành đánh giá định lượng các yếu tố tác động đến rủi ro
bên trong và bên ngoài doanh nghiệp.
Nguyễn Thị Minh Huệ (2014), “Kiểm soát rủi ro hoạt động xuất nhập
khẩu tại các doanh nghiệp da giày trên địa bàn tỉnh Đồng Nai – Thực trạng và
giải pháp”, luận văn thạc sĩ, Trƣờng Đại học Lạc Hồng. Luận văn trình bày được
cơ sở lý luận cơ bản về rủi ro và kiểm soát rủi ro theo COSO 2004, mối quan hệ
giữa kiểm soát rủi ro với các bộ phận chức năng và bài học kinh nghiệm kiểm soát
rủi ro một số công ty nước ngoài, từ đó rút ra bài học kinh nghiệm cho các doanh
nghiệp da giày Việt Nam nói chung và doanh nghiệp da giày tỉnh Đồng Nai nói
riêng. Trên cơ sở kết quả khảo sát 15 doanh nghiệp và nghiên cứu văn bản của nhà
nước, ngành có liên quan, ý kiến của một số chuyên gia ngành, số liệu kim ngạch
xuất khẩu ngành da giày tỉnh Đồng Nai để đánh giá thực trạng kiểm soát rủi hoạt
động xuất nhập khẩu tại các doanh nghiệp da giày trên địa bàn tỉnh Đồng Nai. Tác


5

giả đề xuất hệ thống các giải pháp nhằm nâng cao hiệu quả kiểm soát rủi ro hoạt
động xuất khẩu tại các doanh nghiệp da giày Việt Nam nói chung và doanh nghiệp
da giày trên địa bàn tỉnh Đồng Nai nói riêng và đưa ra các kiến nghị với Nhà nước,
Chính phủ, Hiệp hội nhằm hỗ trợ cho các doanh nghiệp trong việc xây dựng và
hoàn thiện hệ thống kiểm soát rủi ro hiệu quả và thiết thực. Hạn chế của đề tài mẫu
khảo sát còn ít nên chưa sử dụng phương pháp định lượng để khám phá các nhân tố
tác động đến tổ chức hệ thống kiểm soát rủi ro tại các doanh nghiệp da giày trên địa
bàn tỉnh Đồng Nai.
Lê Vũ Tƣờng Vy (2014), “Hoàn thiện hệ thống kiểm soát nội bộ theo
hướng quản trị rủi ro tại công ty cổ phần cảng Quy Nhơn”, luận văn thạc sĩ,

Trƣờng Đại học Kinh Tế Tp. Hồ Chí Minh. Tác giả thực hiện phương pháp quan
sát thực tế tổ chức hệ thống kiểm soát nội bộ và quản trị rủi ro tại công ty; nghiên
cứu các văn bản pháp quy, quy chế, các báo cáo của công ty; phỏng vấn sâu người
có vị trí quan trọng trong hệ thống kiểm soát nội bộ và quản trị rủi ro tại công ty.
Dựa trên cơ sở thống kê mô tả, khảo sát thực tế bằng cách: tự tác giả tạo lập và đánh
vào bản khảo sát 8 yếu tố hệ thống kiểm soát nội bộ theo báo cáo COSO 2004 trước
khi kiểm định lại vấn đề quan sát bằng cách phỏng vấn sâu lãnh đạo để rút ra thực
trạng cho vấn đề nghiên cứu tại công ty cổ phần cảng Quy Nhơn. Hạn chế của đề tài
là việc khảo sát đánh giá đề ra giải pháp còn mang tính chủ quan của tác giả cũng
như cá nhân lãnh đạo công ty, chưa mang tính khách quan toàn diện.
Các công trình khoa học nêu trên rất có ý nghĩa về mặt lý luận và thực tiễn
để tác giả nghiên cứu và thực hiện luận văn của mình.
3. Mục tiêu nghiên cứu của đề tài
 Mục tiêu chung
- Hoàn thiện hệ thống kiểm soát nội bộ theo hướng quản trị rủi ro tại công ty
trách nhiệm hữu hạn Diamond Việt Nam.
 Mục tiêu cụ thể
- Hệ thống hóa cơ sở lý luận về kiểm soát nội bộ theo hướng quản trị rủi ro
dựa trên nền tảng COSO 2004 về kiểm soát rủi ro.
- Đánh giá thực trạng hệ thống kiểm soát rủi ro theo hướng quản trị rủi ro tại
công ty trách nhiệm hữu hạn Diamond Việt Nam.


6

- Từ thực trạng của công ty trách nhiệm hữu hạn Diamond Việt Nam đề ra
một số giải pháp hoàn thiện hệ thống kiểm soát nội bộ theo hướng quản trị rủi ro
cho công ty.
4. Đối tƣợng và phạm vi nghiên cứu
- Đối tượng nghiên cứu: hệ thống lý luận về kiểm soát nội bộ theo hướng

quản trị rủi ro.
- Phạm vi nghiên cứu: công ty trách nhiệm hữu hạn Diamond Việt Nam từ
tháng 01/2015 đến 08/2015.
5. Phƣơng pháp nghiên cứu
Phương pháp nghiên cứu sử dụng chủ yếu bằng phương pháp định tính. Cụ
thể như sau:
- Phương pháp tổng hợp hệ thống các lý luận từ các tài liệu khoa học trong
và ngoài nước về kiểm soát nội bộ gắn với quản trị rủi ro trong doanh nghiệp.
- Phương pháp tổng hợp số liệu, so sánh và phân tích đánh giá thực tế tổ
chức hệ thống kiểm soát nội bộ theo hướng quản trị rủi ro theo số liệu thứ cấp. Tác
giả dùng phương pháp điều tra khảo sát, phương pháp thống kê mô tả để tổng hợp
và phân tích các kết quả khảo sát.
- Phương pháp diễn giải và quy nạp nhằm đưa ra các giải pháp nâng cao hiệu
quả của hệ thống kiểm soát nội bộ theo hướng quản trị rủi ra tại đơn vị nghiên cứu.
6. Đóng góp mới của đề tài
- Đánh giá thực trạng kiểm soát nội bộ theo hướng quản trị rủi ro tại công ty
trách nhiệm hữu hạn Diamond Việt Nam.
- Các giải pháp hoàn thiện kiểm soát nội bộ theo hướng quản trị rủi ro tại
công ty trách nhiệm hữu hạn Diamond Việt Nam được xây dựng một cách cụ thể,
chi tiết, phù hợp với thực tế hoạt động của công ty.
7. Kết cấu của luận văn
Ngoài phần mở đầu và kết luận, kết cấu luận văn gồm 3 chương:
Chương 1: Cơ sở lý luận về hệ thống kiểm soát nội bộ theo hướng quản trị
rủi ro trong doanh nghiệp.


7

Chương 2: Thực trạng hệ thống kiểm soát nội bộ theo hướng quản trị rủi ro
tại công ty trách nhiệm hữu hạn Diamond Việt Nam.

Chương 3: Các giải pháp hoàn thiện hệ thống kiểm soát nội bộ theo hướng
quản trị rủi ro tại công ty trách nhiệm hữu hạn Diamond Việt Nam.


8

CHƢƠNG 1
CƠ SỞ L LUẬN V H TH NG KI M SO T N I B
THEO HƢỚNG QUẢN TRỊ RỦI RO TRONG
DOANH NGHI P
1.1. Tổng quan về kiểm soát nội bộ
1.1.1. Lịch sử hình thành và phát triển của kiểm soát nội bộ
 Giai đoạn sơ khai
Thuật ngữ kiểm soát nội bộ bắt đầu xuất hiện từ đầu thế kỷ 20 trong các tài
liệu về kiểm toán, với hình thức ban đầu là kiểm soát tiền. Năm 1929, thuật ngữ
kiểm soát nội bộ được đề cập chính thức trong một công bố của Cục dự trữ Liên
bang Hoa Kỳ như là một công cụ bảo vệ tiền và các tài sản khác, đồng thời thúc đẩy
nâng cao hiệu quả hoạt động, và đây là một cơ sở để phục vụ cho việc lấy mẫu thử
nghiệm của kiểm toán viên (Committee of Sponsoring Organization, 2004).
Năm 1936, trong một công bố, Hiệp hội Kế toán viên công chứng Hoa Kỳ
(AICPA) đã định nghĩa kiểm soát nội bộ “… là các biện pháp và cách thức được
chấp nhận và được thực hiện trong một tổ chức để bảo vệ tiền và các tài sản khác,
cũng như kiểm tra sự chính xác trong ghi chép của sổ sách”.
 Giai đoạn hình thành
Năm 1949, Hiệp hội Kế toán viên công chứng Hoa Kỳ (AICPA) công bố
công trình nghiên cứu đầu tiên về kiểm soát nội bộ "Kiểm soát nội bộ, các nhân tố
cấu thành và tầm quan trọng đối với việc quản trị doanh nghiệp và đối với kiểm
toán viên độc lập". Trong báo cáo này đã định nghĩa kiểm soát nội bộ là: “…cơ cấu
tổ chức và các biện pháp, cách thức liên quan được chấp nhận và thực hiện trong
một tổ chức để bảo vệ tài sản, kiểm tra sự chính xác và đáng tin cậy của số liệu kế

toán, thúc đẩy hoạt động có hiệu quả, khuyến khích sự tuân thủ các chính sách của
người quản lý”.
Năm 1958, Ủy ban thủ tục kiểm toán (CAP) thuộc AICPA ban hành báo cáo
thủ tục kiểm toán 29 "Phạm vi xem xét kiểm soát nội bộ của kiểm toán viên độc
lập" đã phân biệt kiểm soát nội bộ về kế toán và kiểm soát nội bộ về quản lý.


9

Đến 1972, CAP tiếp tục ban hành thủ tục kiểm toán 54 “Tìm hiểu và đánh
giá kiểm soát nội bộ” trong đó đưa ra bốn thủ tục kiểm soát kế toán, đó là đảm bảo
nghiệp vụ chỉ được thực hiện khi đã được phê chuẩn, ghi nhận đúng đắn mọi nghiệp
vụ để lập báo cáo, hạn chế sự tiếp cận tài sản và kiểm kê.
Năm 1973, CAP xét duyệt lại thủ tục kiểm toán 54 và đưa ra định nghĩa về
kiểm soát kế toán và kiểm soát quản lý.
Như vậy, trong suốt thời kỳ trên, khái niệm kiểm soát nội bộ đã không ngừng
được mở rộng ra khỏi những thủ tục bảo vệ tài sản và ghi chép sổ sách kế toán. Tuy
nhiên, trước khi báo cáo COSO 1992 ra đời, kiểm soát nội bộ vẫn mới chỉ dừng lại
như là một phương tiện phục vụ cho kiểm toán viên trong kiểm toán báo cáo tài chính
(Bộ môn kiểm toán, Khoa Kế toán - Kiểm toán Trường Đại học Kinh Tế Tp.HCM
2012).
 Giai đoạn phát triển
Vào những năm 1970 đến 1980, nền kinh tế Hoa Kỳ cũng như các quốc gia
khác trên thế giới phát triển mạnh mẽ làm cho số lượng các công ty tăng nhanh chóng,
cùng với đó là sự gian lận cũng ngày càng tăng gây tổn thất lớn cho nền kinh tế.
Năm 1977, sau vụ Watergate (1973) với các khoản thanh toán bất hợp pháp
cho Chính phủ nước ngoài, Quốc hội Mỹ đã thông qua Luật về chống hội lộ nước
ngoài. Sau đó, Ủy ban chứng khoán Hoa Kỳ bắt buộc các công ty phải báo cáo về
kiểm soát nội bộ đối với công tác kế toán ở đơn vị mình (1979).
Sự tranh luận liên quan đến yêu cầu báo cáo về kiểm soát nội bộ của công ty

cho công chúng đã đưa đến thành lập Ủy ban COSO vào năm 1985 dưới sự bảo trợ
của 5 tổ chức: Hiệp hội Kế toán viên công chứng Hoa Kỳ (AICPA), Hiệp hội Kế
toán Hoa Kỳ (AAA), Hiệp hội Kiểm toán viên nội bộ (IIA), Hiệp hội Quản trị viên
tài chính (FEI) và Hiệp hội Kế toán viên quản trị (IMA).
Trước tiên, COSO đã sử dụng chính thức từ kiểm soát nội bộ thay vì kiểm
soát nội bộ về kiểm toán. Sau đó, AICPA cũng đã quyết định không sử dụng thuật
ngữ kiểm soát kế toán và kiểm soát quản lý.
Năm 1992, Báo cáo COSO được ban hành. Đây là tài liệu đầu tiên trên thế
giới đã đưa ra khuôn mẫu lý thuyết về kiểm soát nội bộ một cách đầy đủ và có hệ
thống.


10

Báo cáo COSO năm 1992 bao gồm 4 phần: tóm tắt dành cho người điều
hành, khuôn mẫu của kiểm soát nội bộ, báo cáo cho đối tượng bên ngoài, công cụ
đánh giá hệ thống kiểm soát nội bộ.
Báo cáo này cũng đưa ra 5 yếu tố của kiểm soát nội bộ gồm: môi trường kiểm
soát, đánh giá rủi ro, các hoạt động kiểm soát, thông tin - truyền thông, giám sát.
Báo cáo COSO 1992 là tài liệu đầu tiên trên thế giới nghiên cứu và định
nghĩa về kiểm soát nội bộ một cách đầy đủ và có hệ thống. Đặc điểm nổi bật của
cáo cáo này là một tầm nhìn rộng và mang tính quản trị, trong đó kiểm soát nội bộ
không chỉ là một vấn đề liên quan đến báo cáo tài chính mà được mở rộng ra cho
các lĩnh vực hoạt động và tuân thủ (Bộ môn kiểm toán, Khoa Kế toán - Kiểm toán
Trường Đại học Kinh Tế Tp.HCM 2012).
 Giai đoạn hiện đại (Thời kỳ hậu COSO – từ 1992 đến nay)
Báo cáo COSO 1992 tuy chưa thật hoàn chỉnh nhưng đã đưa ra được cơ sở lý
thuyết cơ bản nhất về kiểm soát nội bộ, làm cơ sở cho sự ra đời hàng loạt nghiên
cứu về kiểm soát nội bộ trên nhiều lĩnh vực khác nhau như:
- Phát triển về phía quản trị

Năm 2001, COSO triển khai nghiên cứu hệ thống quản trị rủi ro doanh
nghiệp (ERM – Enterprise Risk Management Framework) trên cơ sở Báo cáo
COSO 1992. Dự thảo đã hình thành và công bố vào tháng 7 năm 2003, theo đó
ERM được định nghĩa gồm 8 bộ phận: môi trường nội bộ, thiết lập mục tiêu , nhận
diện sự kiện, đánh giá rủi ro, các hoạt động kiểm soát, thông tin truyền thông và
giám sát. Đến năm 2004, ERM đã được chính thưc ban hành. Cần lưu ý rằng, ERM
(2004) là “là cánh tay nối dài” của Báo cáo COSO (1992) chứ không nhằm thay thế
cho báo cáo này.
- Phát triển cho doanh nghiệp nhỏ
Năm 2006, COSO nghiên cứu và ban hành hướng dẫn “Kiểm soát nội bộ đối
với báo cáo tài chính – Hướng dẫn cho các công ty đại chúng quy mô nhỏ” (gọi tắt
là COSO Guidance 2006). Hướng dẫn này dựa trên nền tảng của Báo cáo COSO
1992 và giải thích về cách thức áp dụng kiểm soát nội bộ trong các công ty đại
chúng quy mô nhỏ (smaller publicly tradeed companies). Đặc điểm của báo cáo này


11

là tập trung hướng dẫn cho phù hợp với điều kiện của các doanh nghiệp nhỏ hơn là
việc tuân thủ Luật Sarbanes-Oxley (SOX).
- Phát triển theo hƣớng công nghệ thông tin
Năm 1996, Bản tiêu chuẩn có tên “Các mục tiêu kiểm soát trong công nghệ
thông tin và các lĩnh vực liên quan” (CoBIT – Control Objectives for Information
and Related Technology) do hiệp hội về kiểm toán và kiểm soát hệ thống thông tin
(ISACA – Information System Audit and Control Association) ban hành. CoBIT
nhấn mạnh đến kiểm soát trong môi trường tin học (CIS – Computer Information
System), bao gồm những lĩnh vực hoạch định và tổ chức, mua và triển khai, phân
phối và hỗ trợ, giám sát.
- Phát triển theo hƣớng kiểm toán độc lập
Các chuẩn mực kiểm toán của Hoa Kỳ, cũng chuyển sang sử dụng Báo cáo

COSO làm nền tảng đánh giá hệ thống kiểm soát nội bộ, bao gồm: SAS 78 (1995),
SAS 94 (2001), ISA 315, ISA 265.
- Phát triển theo hƣớng kiểm toán nội bộ
Hiệp hội kiểm toán viên nội bộ (IIA) định nghĩa các mục tiêu của kiểm soát
nội bộ bao gồm:
+ Độ tin cậy và tính trung thực của thông tin.
+ Tuân thủ các chính sách, kế hoạch, thủ tục, luật pháp và qui định.
+ Bảo vệ tài sản.
+ Sử dụng hiệu quả và kinh tế các nguồn lực.
+ Hoàn thành các mục đích và mục tiêu cho các hoạt động chương trình.
Các chuẩn mực của IIA không đi sâu vào nghiên cứu các thành phần của
kiểm soát nội bộ, vì IIA là một thành viên của COSO nên về nguyên tắc không có
sự khác biệt giữa định nghĩa của IIA và COSO.
- Phát triển theo hƣớng chuyên sâu vào những ngành nghề cụ thể
Lĩnh vực ngân hàng là lĩnh vực đã có những nghiên cứu khá đầy đủ và chi
tiết về kiểm soát nội bộ trong ngành nghề của mình. Báo cáo Basel (1998) của Ủy
ban Basel về giám sát ngân hàng (BCBS – Basel Committee on Banking
Supervision) đã đưa ra công bố về khuôn khổ kiểm soát nội bộ trong ngân hàng
(Framework for Internal Control System in Banking Organisation).


12

Báo cáo trên đã định nghĩa kiểm soát nội bộ: “Kiểm soát nội bộ là một quá
trình bị chi phối bởi Hội đồng quản trị, các nhà quản lý cao cấp và nhân viên. Nó
không chỉ là một thủ tục hay chính sách được thực hiện tại một thời điểm cụ thể mà
là một hoạt động liên tục ở mọi cấp trong ngân hàng . Hội đồng quản trị và nhà
quản lý cấp cao có trách nhiệm thiết lập một nền văn hóa thích hợp để trợ giúp cho
quá trình kiểm soát nội bộ cũng như liên tục giám sát sự hữu hiệu của nó, tuy nhiên
mỗi cá nhân trong tổ chức phải tham gia quá trình này. Các mục tiêu chính sách của

kiểm soát nội bộ được phân loại như sau:
+ Sự hữu hiệu và hiệu quả của các hoạt động.
+ Sự tin cậy, đầy đủ và kịp thời của thông tin tài chính và quản trị.
+ Sự tuân thủ pháp luật và các qui định có liên quan. ”
Theo công bố này, kiểm soát nội bộ bao gồm các bộ phận sau:
+ Sự giám sát của nhà quản lý và văn hóa kiểm soát.
+ Ghi nhận và đánh giá rủi ro.
+ Các hoạt động kiểm soát và phân chia trách nhiệm.
+ Thông tin và truyền thông.
+ Giám sát và điều chỉnh sai sót.
Báo cáo Basel (1998) không đưa ra những lý luận mới mà chỉ vận dụng các
lý luận cơ bản của COSO vào lĩnh vực ngân hàng (Bộ môn kiểm toán, Khoa Kế toán
- Kiểm toán Trường Đại học Kinh Tế Tp.HCM 2012).
- Hƣớng dẫn về giám sát hệ thống kiểm soát nội bộ
COSO cũng đưa ra Dự thảo Hướng dẫn về giám sát hệ thống kiểm soát nội
bộ (Exposure Draft, COSO 2008) dựa trên khuôn mẫu COSO 1992 nhằm giúp các
tổ chức tự giám sát chất lượng của hệ thống kiểm soát nội bộ. Hướng dẫn này
(COSO Guidance 2008) gồm 3 phần: Hướng dẫn, Ứng dụng và Thí dụ. Năm 2009,
phần 1 – Hướng dẫn đã chính thức được ban hành. Cần lưu ý rằng COSO Guidance
2008 này không nhằm thay thế COSO Guidance 2006 mà bổ sung thêm và tập rung
cho việc nâng cao hiệu quả giám sát đối với kiểm soát nội bộ trong đơn vị.
Năm 2004, COSO đã chính thức ban hành Khuôn khổ hợp nhất về quản trị
rủi ro trong doanh nghiệp (ERM – Enterprise Risk Management – Integrated


13

Framework). Mục đích của ERM không phải chỉ nhằm giảm thiểu rủi ro mà còn
giúp nhà quản trị rủi ro toàn doanh nghiệp một cách hữu hiệu hơn. Nói cách khác,
ERM giúp nhà quản lý và Hội đồng quản trị của công ty ra quyết định tốt hơn trên

cơ sở hiểu biết đầy đủ hơn về các rủi ro có liên quan (Committee of Sponsoring
Organization, 2004).
Tháng 5 năm 2013, COSO ban hành một bản cập nhật kiểm soát nội bộ để
phản ánh những thay đổi trong thế giới kinh doanh trong vòng 20 năm kể từ khi ban
hành các khuôn khổ ban đầu. Trong khi tiếp tục giữ lấy một nguyên tắc - phương
pháp tiếp cận, bản cập nhật kết hợp nhiều minh họa hướng dẫn và giải thích các
khái niệm trong khuôn khổ và được thiết kế nhằm giúp các tổ chức trong nỗ lực của
họ để thích ứng với sự phức tạp và tốc độ thay đổi ngày càng tăng (Bộ môn kiểm
toán, Khoa Kế toán - Kiểm toán Trường Đại học Kinh Tế Tp.HCM 2012).
1.1.2. Định nghĩa về kiểm soát nội bộ
Theo báo cáo COSO 1992, kiểm soát nội bộ là một quá trình bị chi phối bởi
người quản lý, hội đồng quản trị và các nhân viên của đơn vị, nó được thiết lập để
cung cấp một sự đảm bảo hợp lý nhằm đạt được các mục tiêu sau đây:
- Sự hữu hiệu và hiệu quả của các hoạt động.
- Sự tin cậy của báo cáo tài chính.
- Sự tuân thủ pháp luật và các quy định.
QUÁ
TRÌNH
Hữu hiệu và hiệu quả
của các hoạt động

Hội đồng quản trị

Người quản lý

Kiểm
Soát
Nội
Bộ


Độ tin cậy của thông
tin
Tuân thủ Pháp luật và
Các luật định

Các nhân viên

ĐẢM BẢO
HỢP LÝ

(Nguồn:Bộ môn kiểm toán, Khoa Kế toán – Kiểm toán trường Đại học Kinh Tế
Tp.HCM. 2012)
Sơ đồ 1.1: Qui trình kiểm soát nội bộ


14

Trong định nghĩa trên có 4 nội dung cơ bản là: quá trình, con người, đảm bảo
hợp lý và mục tiêu.
 Kiểm soát nội bộ là một quá trình. Kiểm soát nội bộ bao gồm một chuỗi
hoạt động kiểm soát hiện diện ở mọi bộ phận trong đơn vị và được kết hợp với
nhau thành một thể thống nhất. Quá trình kiểm soát là phương tiện để giúp cho đơn
vị đạt được các mục tiêu của mình.
 Kiểm soát nội bộ đƣợc thiết lập và vận hành bởi con ngƣời. Cần hiểu
rằng kiểm soát nội bộ không chỉ đơn thuần là những chính sách, thủ tục, biểu
mẫu… mà phải gồm cả những con người trong tổ chức như: Hội đồng Quản trị, Ban
giám đốc và các nhân viên. Chính con người sẽ định ra mục tiêu, thiết lập cơ chế
kiểm soát ở mọi nơi và vận hành chúng.
 Kiểm soát nội bộ cung cấp một sự đảm bảo hợp lý, chứ không phải đảm
bảo tuyệt đối là các mục tiêu sẽ đạt được. Vì khi vận hành hệ thống kiểm soát,

những yếu kém có thể xảy ra do các sai lầm của con người dẫn đến không đạt được
các mục tiêu. Kiểm soát nội bộ có thể ngăn chặn và phát hiện những sai lầm nhưng
không thể đảm bảo là chúng không bao giờ xảy ra. Hơn nữa, một nguyên tắc cơ bản
trong việc đưa ra quyết định quản lý là chi phí cho quá trình kiểm soát không thể
vượt quá lợi ích được mong đợi từ quá trình kiểm soát đó. Do đó, tuy người quản lý
có thể nhận thức đầy đủ về các rủi ro, thế nhưng nếu chi phí cho quá trình kiểm soát
quá cao thì họ vẫn không áp dụng các thủ tục để kiểm soát rủi ro.
1.1.3. Mục tiêu của kiểm soát nội bộ.
- Đối với báo cáo tài chính: kiểm soát nội bộ phải đảm bảo về tính trung
thực và đáng tin cậy, bởi vì chính người quản lý đơn vị phải có trách nhiệm lập báo
cáo tài chính phù hợp với chuẩn mực và chế độ kế toán hiện hành.
- Đối với tính tuân thủ: kiểm soát nội bộ trước hết phải đảm bảo hợp lý về
việc chấp hành luật pháp và các qui định. Điều này xuất phát từ trách nhiệm của
người quản lý đối với hành vi không tuân thủ của đơn vị. Bên cạnh đó kiểm soát nội
bộ còn phải hướng mọi thành viên trong đơn vị vào việc tuân thủ các chính sách,
quy định nội bộ, qua đó đảm bảo được mục tiêu của đơn vị.
- Đối với mục tiêu sự hữu hiệu và hiệu quả của các hoạt động: kiểm soát
nội bộ giúp đơn vị bảo vệ và sử dụng hiệu quả các nguồn lực, bảo mật thông tin, nâng


15

cao uy tín, mở rộng thị trường, thực hiện các chiến lược kinh doanh của đơn vị (Bộ
môn kiểm toán, Khoa Kế toán - Kiểm toán Trường Đại học Kinh Tế Tp.HCM 2012).
1.2. Tổng quan về quản trị rủi ro
1.2.1. Khái niệm và nội dung của quản trị rủi ro doanh nghiệp
Theo Báo cáo của COSO (2004) thì: “Quản trị rủi ro (QTRR) doanh nghiệp
là một quá trình do hội đồng quản trị, các cấp quản lý và các nhân viên của đơn vị
chi phối, được áp dụng trong việc thiết lập các chiến lược liên quan đến toàn đơn vị
và áp dụng cho tất cả các cấp độ trong đơn vị, được thiết kế để nhận dạng các sự

kiện tiềm tàng có thể ảnh hưởng đến đơn vị và quản trị rủi ro trong phạm vi chấp
nhận được của rủi ro nhằm cung cấp một sự đảm bảo hợp lý về việc đạt được các
mục tiêu của đơn vị” (Committee of Sponsoring Organization, 2004).
Theo định nghĩa trên, các nội dung cơ bản của QTRR là: quá trình, con
người, thiết lập chiến lược, áp dụng toàn đơn vị, nhận dạng sự kiện, đảm bảo hợp lý
và mục tiêu. Chúng được hiểu như sau:
 Quản trị rủi ro doanh nghiệp là một quá trình: QTRR bao gồm một chuỗi
các hoạt động liên tục tác động đến toàn đơn vị thông qua những hoạt động quản lý
để điều hành sự hoạt động của đơn vị. Quá trình quản trị rủi ro doanh nghiệp giúp
đơn vị tác động trực tiếp đến việc thực hiện các mục tiêu đã đề ra và góp phần hoàn
thành sứ mạng của đơn vị.
 Quản trị rủi ro doanh nghiệp đƣợc thiết kế và vận hành bởi con
ngƣời: QTRR không chỉ đơn thuần là những chính sách, thủ tục, biểu mẫu,.. mà
phải bao gồm những con người trong đơn vị như hội đồng quản trị, ban giám đốc và
các nhân viên khác. Mỗi cá nhân trong đơn vị với những đặc điểm riêng sẽ tác động
đến cách thức người đó nhận dạng, đánh giá và phản ứng với rủi ro. Với QTRR,
đơn vị cung cấp cho mọi người khuôn khổ chung về rủi ro trong phạm vi mục tiêu
hoạt động của đơn vị.
 Quản trị rủi ro đƣợc áp dụng trong việc thiết lập các chiến lƣợc: mỗi
đơn vị thường thiết lập các sứ mạng cho tổ chức của mình và các mục tiêu liên quan
để đạt đến sứ mạng đó. Với mỗi mục tiêu, đơn vị thiết lập các chiến lược tương ứng
để thực hiện và cũng có thể thiết lập các mục tiêu liên quan ở cấp độ thấp hơn. Khi


16

đó, QTRR hỗ trợ cho các cấp quản lý xem xét các rủi ro liên quan đến việc lựa chọn
các chiến lược thay thế khác nhau.



p dụng cho toàn đơn vị: QTRR không xem xét rủi ro trong một sự kiện

riêng biệt hoặc cấp độ riêng rẽ mà xem xét hoạt động trên tất cả các cấp độ của đơn
vị, từ cấp độ toàn đơn vị như kế hoạch chiến lược và phân bổ nguồn lực đến các
mảng hoạt động cụ thể như hoạt động marketing, nguồn nhân lực và đến các chu
trình nghiệp vụ như chu trình sản xuất, xem xét hạn mức tín dụng của khách hàng,..
 QTRR đƣợc thiết kế để nhận dạng các sự kiện: các sự kiện tiềm tàng tác
động đến đơn vị phải được nhận dạng thông qua QTRR. Khi sự kiện tiềm tàng được
nhận dạng, đơn vị đánh giá được rủi ro và cơ hội liên quan đến các sự kiện, từ đó
xây dựng các cách thức quản lý rủi ro liên quan trong phạm vi mức rủi ro có thể
chấp nhận của đơn vị.
 Mức rủi ro có thể chấp nhận: là mức độ rủi ro mà đơn vị sẵn sàng chấp
nhận để thực hiện việc làm tăng giá trị xét trên bình diện toàn đơn vị. Nó phản ánh
triết lý về rủi ro và phong cách văn hoá của đơn vị. Rủi ro có thể chấp nhận có thể
được xem xét một cách định lượng hoặc định tính. Theo phương thức định tính, rủi
ro được chia thành các cấp độ như cao, trung bình và thấp,.. còn theo phương thức
định lượng thì rủi ro được xem xét trong sự tương quan với các mức độ tăng trưởng
và lợi nhuận.
 Rủi ro bộ phận: là mức rủi ro liên quan đến từng mục tiêu cụ thể. Rủi ro bộ
phận là mức rủi ro chấp nhận được trong việc thực hiện những mục tiêu cụ thể.
Việc xác định mức rủi ro có thể chấp nhận giúp định hướng phân bổ các nguồn lực
trong đơn vị dựa trên tương quan giữa kết quả kỳ vọng và nguồn lực đã đầu tư. Các
nhà quản lý xem xét mức rủi ro có thể chấp nhận trong sự phù hợp với cơ cấu tổ
chức, con người, quá trình thực hiện và qua đó thiết lập các yếu tố cần thiết phản
ứng và giám sát rủi ro một cách hữu hiệu.
 QTRR đem lại một sự đảm bảo hợp lý, chứ không phải là đảm bảo tuyệt
đối, là các mục tiêu sẽ được thực hiện. Vì những sự kiện không chắc chắn và rủi ro
thuộc về tương lai, do đó không ai có thể dự đoán tuyệt đối chính xác. Hơn nữa,
QTRR được vận hành bởi con người do đó những sai sót do con người gây ra là
không thể tránh. Mặt khác, các hoạt động kiểm soát dù có được thiết kế và hoàn



17

thiện đến thế nào đi chăng nữa vẫn không thể kiểm soát hết được tất cả các sự kiện
liên quan đến đơn vị (Committee of Sponsoring Organization, 2004).
QTRR là phương tiện để đạt được mục tiêu: trong phạm vi sứ mạng của
đơn vị đã được thiết lập, các nhà quản lý xây dựng các mục tiêu chiến lược, lựa
chọn cách thức tiến hành và thiết lập các mục tiêu liên quan. ERM, với sự phân loại
các mục tiêu, sẽ phân định rõ từng nội dung mà đơn vị hướng đến.
 Các mục tiêu của đơn vị bao gồm:
- Mục tiêu chiến lược: liên quan đến các mục tiêu tổng thể và phục vụ cho sứ
mạng của đơn vị.
- Mục tiêu hoạt động: liên quan đến việc sử dụng các nguồn lực một cách
hữu hiệu và hiệu quả.
- Mục tiêu báo cáo: liên quan đến sự trung thực và đáng tin cậy của các báo
cáo liên quan đến đơn vị.
- Mục tiêu tuân thủ: đảm bảo hợp lý việc chấp hành luật pháp và các quy định
1.2.2. Lợi ích và hạn chế của quản trị rủi ro doanh nghiệp
1.2.2.1. Lợi ích của quản trị rủi ro doanh nghiệp
Tạo lập sự phù hợp giữa lựa chọn chiến lược và mức rủi ro có thể chấp nhận:
khi lựa chọn một chiến lược giữa nhiều khả năng khác nhau thì trước hết phải xem
xét mức rủi ro có thể chấp nhận trước, rồi mới đến lựa chọn chiến lược cụ thể, sau
đó thiết lập các mục tiêu liên quan đến chiến lược đã được chọn và cuối cùng là
cách thức được thiết lập để quản lý các rủi ro liên quan.
Làm tăng hiệu quả đối với việc phản ứng với rủi ro: QTRR cung cấp các kỹ
thuật và phương pháp cụ thể trong việc nhận dạng và lựa chọn các phương thức
phản ứng với rủi ro như né tránh rủi ro, giảm thiểu rủi ro, chuyển giao rủi ro và
chấp nhận rủi ro sẽ giúp các nhà quản lý phản ứng với rủi ro một cách hiệu quả.
Giảm thiểu tổn thất bất ngờ trong quá trình hoạt động: QTRR làm tăng khả

năng của đơn vị về việc nhận dạng các sự kiện tiềm tàng, đánh giá rủi ro, thiết lập
cách thức phản ứng với rủi ro và do đó giảm thiểu những chi phí và tổn thất bất ngờ.
Nhận dạng và quản lý rủi ro xuyên suốt toàn đơn vị: mỗi đơn vị phải đối mặt
với rất nhiều loại rủi ro tác động đến nhiều bộ phận khác nhau. Và QTRR đòi hỏi


18

người quản lý không chỉ quản lý các loại rủi ro riêng biệt mà còn phải hiểu được sự
tác động lẫn nhau của các rủi ro đó. Từ đó giúp cho đơn vị có cái nhìn hệ thống đối
với các loại rủi ro và phản ứng hiệu quả hơn cho mục tiêu tổng thể.
Cung cấp các phản ứng tổng hợp cho nhiều loại rủi ro: QTRR xem xét các
rủi ro một cách tổng thể và hệ thống vì vậy các giải pháp phản ứng thường hướng
đến được xem xét cho các rủi ro liên quan do đó một giải pháp có thể xử lý cho
nhiều rủi ro khác nhau.
Giúp đơn vị nắm bắt những cơ hội trong kinh doanh: QTRR xem xét tất cả
các sự kiện tiềm tàng liên quan đến đơn vị không chỉ có rủi ro và vì vậy giúp các
nhà quản lý nhận dạng các sự kiện mang đến cơ hội từ đó đưa ra những phản ứng
thích hợp để tận dụng những cơ hội đó.
Cải thiện sự phân bổ nguồn vốn của đơn vị: Có được đầy đủ thông tin về rủi
ro giúp nhà quản lý đánh giá tổng quát nhu cầu về vốn và tối ưu hoá việc phân bổ
vốn của đơn vị (Bộ môn kiểm toán, Khoa Kế toán - Kiểm toán Trường Đại học
Kinh Tế Tp.HCM 2012).
1.2.2.2. Hạn chế của quản trị rủi ro doanh nghiệp
Tương tự như hệ thống KSNB, một hệ thống QTRR được xem là hữu hiệu,
dù đã được thiết kế và vận hành thế nào đi chăng nữa, nhằm cung cấp một sự đảm
bảo hợp lý trong việc thực hiện các mục tiêu của đơn vị chứ không đảm bảo tuyệt
đối. Điều này xuất phát từ những hạn chế của hệ thống QTRR doanh nghiệp. Cụ thể
như sau:
- Rủi ro liên quan đến tương lai và chứa đựng yếu tố không chắc chắn. Một

chu trình QTRR dù được đầu tư rất nhiều trong thiết kế cũng không thể nhận dạng
hết toàn bộ các rủi ro và do đó không thể đánh giá chính xác sự tác động của chúng.
- Những hạn chế xuất phát từ con người liên quan trong chu trình QTRR
như: việc ra quyết định sai do thiếu thông tin, bị áp lực trong sản xuất kinh doanh;
sự vô ý, bất cẩn, đãng trí; hiểu sai chỉ dẫn của cấp trên hoặc báo cáo của cấp dưới;
việc đảm nhận vị trí công việc tạm thời, thay thế cho người khác;…
- Sự thông đồng giữa các nhân viên với nhau hay với các bộ phận bên ngoài
đơn vị.


19

- Khi đưa ra các quyết định, yêu cầu thường xuyên và trên hết là của người
quản lý là xem xét quan hệ giữa chi phí bỏ ra và lợi ích thu được. Việc phản ứng
với rủi ro và tiếp theo đó là các hoạt động giám sát cũng phải đảm bảo rằng lợi ích
có được phải lớn hơn chi phí mà đơn vị bỏ ra.
- Luôn có khả năng những người quản lý lạm quyền trong chu trình QTRR
nhằm phục vụ cho các mưu đồ riêng (Bộ môn kiểm toán, Khoa Kế toán - Kiểm toán
Trường Đại học Kinh Tế Tp.HCM 2012).
1.3. Nội dung hệ thống kiểm soát nội bộ theo hƣớng quản trị rủi ro (theo Báo
cáo COSO 2004)
Theo Báo cáo của COSO năm 2004, QTRR doanh nghiệp bao gồm những bộ
phận sau: (Committee of Sponsoring Organization, 2004).
1.3.1. Môi trƣờng quản lý
Môi trường quản lý phản ánh sắc thái chung của một đơn vị, chi phối ý thức
của các thành viên trong đơn vị về rủi ro và đóng vai trò nền tảng cho các yếu tố
khác của QRRR. Nó tạo nên cấu trúc và phương thức vận hành về quản trị rủi ro
trong đơn vị.
Các nhân tố chính thuộc về môi trường quản lý là:
- Triết lý của nhà quản lý về quản trị rủi ro: triết lý về quản trị rủi ro là quan

điểm, nhận thức và thái độ của nhà quản lý, điều này tạo nên cách thức mà đơn vị
tiếp cận với rủi ro trong tất cả các hoạt động, từ phát triển chiến lược đến các hoạt
động hàng ngày. Triết lý quản lý phản ánh những giá trị mà đơn vị theo đuổi, tác
động đến văn hoá và cách thức đơn vị hoạt động, và ảnh hưởng đến việc áp dụng
các yếu tố khác của ERM bao gồm cách thức nhận dạng rủi ro, các loại rủi ro được
chấp nhận và cách thức quản lý chúng.
- Rủi ro có thể chấp nhận: là mức độ rủi ro mà xét trên bình diện tổng thể,
đơn vị sẵn lòng chấp nhận để theo đuổi giá trị. Nó phản ánh triết lý về quản trị rủi ro
của nhà quản lý cấp cao, và ảnh hưởng đến văn hoá, cách thức hoạt động của đơn
vị. Rủi ro có thể chấp nhận được xem xét khi đơn vị xác định các chiến lược, ở đó
lợi ích kỳ vọng của một chiến lược phải phù hợp với mức rủi ro có thể chấp nhận đã
đề ra. Các chiến lược khác nhau sẽ dẫn đến những mức độ rủi ro khác nhau đối với


20

đơn vị, một khi mức rủi ro có thể chấp nhận được xác lập sẽ giúp ích cho nhà quản
lý lựa chọn chiến lược nằm trong giới hạn chịu đựng đối với các loại rủi ro.
- Hội đồng quản trị : đây là một bộ phận quan trọng và ảnh hưởng đến
những yếu tố khác. Vai trò của Hội đồng quản trị được thể hiện ở việc giám sát ban
quản lý trong việc lựa chọn chiến lược, lên kế hoạch và việc thực hiện nó.
Các nhân tố được xem xét để đánh giá sự hữu hiệu của Hội đồng quản trị gồm
mức độ độc lập, kinh nghiệm và uy tín của các thành viên, và mối quan hệ giữa họ
với bộ phận kiểm toán nội bộ và kiểm toán độc lập. Cho dù trong lịch sử đơn vị
chưa phải gánh chịu những tổn thất, cho dù chưa có bằng chứng hay dấu hiệu nào
cho thấy đơn vị phải đối mặt với những rủi ro quan trọng, thì Hội đồng quản trị
cũng không nên suy nghĩ rằng rủi ro sẽ không xảy đến. Phải luôn ý thức rằng, cho
dù có một chiến lược hay, đội ngũ nhân sự lành nghề, chu trình được thiết kế khoa
học và kỹ thuật áp dụng là đáng tin cậy thì đơn vị vẫn phải đối mặt với tổn hại từ
các loại rủi ro và việc quản trị rủi ro vẫn rất cần thiết.

- Tính chính trực và các giá trị đạo đức: Sự hữu hiệu của hệ thống quản trị
rủi ro trước tiên phụ thuộc vào tính chính trực và việc tôn trọng các giá trị đạo đức
của những người có liên quan đến quá trình quản trị rủi ro. Để đáp ứng yêu cầu này,
các nhà quản lý cấp cao phải xây dựng những chuẩn mực về đạo đức trong đơn vị
và cư xử đúng đắn để ngăn cản không cho các thành viên có các hành vi thiếu đạo
đức hoặc phạm pháp. Muốn vậy, những nhà quản lý, đặc biệt là giám đốc điều hành
(CEO) cần phải làm gương cho cấp dưới trong việc tuân thủ các chuẩn mực đạo đức
và phổ biến những quy định đến mọi thành viên bằng những thể thức thích hợp.
Một cách khác để nâng cao tính chính trực và sự tôn trọng các giá trị đạo đức là
phải loại trừ hoặc giảm thiểu những sức ép hoặc điều kiện có thể dẫn đến nhân viên
có thể có những hành vi thiếu trung thực. Ví dụ, gian lận trong các báo cáo có thể
xuất phát từ việc nhân viên bị ép buộc phải thực hiện các mục tiêu phi thực tế của
nhà quản lý. Hành động không đúng của nhà quản lý có thể phát sinh khi quyền lợi
của nhà quản lý lại gắn chặt với số liệu trên báo cáo,..
- Đảm bảo về năng lực: Là đảm bảo cho nhân viên có được những kỹ năng
và hiểu biết cần thiết để thực hiện được nhiệm vụ của mình, nếu không họ sẽ không
thực hiện nhiệm vụ được giao hữu hiệu và hiệu quả. Do đó, nhà quản lý chỉ tuyển


21

dụng những nhân viên có trình độ đào tạo và kinh nghiệm phù hợp với nhiệm vụ
được giao, và phải giám sát và huấn luyện họ đầy đủ và thường xuyên.
- Cơ cấu tổ chức: Là sự phân chia quyền hạn và trách nhiệm của các bộ phận
trong đơn vị, góp phần quan trọng trong việc thực hiện các mục tiêu. Nói cách khác,
cơ cấu phù hợp sẽ là cơ sở cho việc lập kế hoạch, điều hành, kiểm soát và giám sát
các hoạt động của đơn vị. Vì vậy, khi xây dựng một cơ cấu tổ chức phải xác định
được các vị trí then chốt với các quyền hạn, trách nhiệm với các thể thức báo cáo
cho phù hợp. Tuy nhiên, điều này còn phụ thuộc vào quy mô và tính chất hoạt động
của đơn vị. Cho dù với bất cứ loại hình cơ cấu nào đều phải đảm bảo hệ thống quản

trị rủi ro hoạt động hữu hiệu và các hoạt động được tiến hành để đạt mục tiêu mà
đơn vị đề ra.
- Cách thức phân định quyền hạn và trách nhiệm: Phân định quyền hạn và
trách nhiệm được xem là phần mở rộng của cơ cấu tổ chức. Nó cụ thể hoá quyền
hạn và trách nhiệm của từng thành viên và từng nhóm thành viên trong đơn vị, giúp
cho mỗi thành viên và nhóm hiểu rằng họ có nhiệm vụ cụ thể gì và từng hoạt động
của họ có ảnh hưởng như thế nào đối với những nhóm hay thành viên khác trong
việc hoàn thành mục tiêu. Do đó, khi mô tả công việc, đơn vị cần phải thể chế hoá
bằng văn bản về những nhiệm vụ và quyền hạn cụ thể của từng thành viên và nhóm
thành viên, và quan hệ giữa họ với nhau.
- Chính sách nhân sự: là các chính sách và thủ tục của nhà quản lý về việc
tuyển dụng, huấn luyện, bổ nhiệm, đánh giá, sa thải, khen thưởng, kỷ luật nhân viên.
Chính sách nhân sự có ảnh hưởng đáng kể đến sự hữu hiệu của môi trường quản lý
thông qua tác động đến những nhân tố khác trong môi trường quản lý như đảm bảo
về năng lực, tính chính trực,…
1.3.2. Thiết lập mục tiêu
Các mục tiêu được thiết lập đầu tiên ở cấp độ chiến lược, từ đó đơn vị xây
dựng bốn mục tiêu tổng quát: chiến lược, hoạt động, báo cáo, và tuân thủ. Việc thiết
lập các mục tiêu của đơn vị là điều kiện đầu tiên để nhận dạng, đánh giá và phản
ứng với rủi ro.


22

Các mục tiêu chiến lược: là những mục tiêu cấp cao của đơn vi, các mục tiêu
này phù hợp và ủng hộ cho sứ mạng mà đơn vị đã đề ra. Nó thể hiện sự lựa chọn
của nhà quản lý về cách thức đơn vị tạo lập giá trị cho chủ sở hữu của mình.
Các mục tiêu liên quan: là những mục tiêu cụ thể hơn so với mục tiêu chiến
lược và phù hợp với mục tiêu chiến lược đã được lập. Mặc dù các mục tiêu trong
đơn vị rất đa dạng, nhưng các mục tiêu liên quan đến các mục tiêu chiến lược có thể

chia thành các loại sau:
- Các mục tiêu hoạt động: các mục tiêu này liên quan đến sự hữu hiệu và
hiệu quả của hoạt động tại đơn vị, bao gồm cách thức hoạt động của đơn vị, lợi
nhuận và việc bảo vệ nguồn lực như thế nào. Dưới mỗi mục tiêu hoạt động cơ bản thì
đơn vị có thể xây dựng các mục tiêu nhỏ hơn nhằm đảm bảo cho sự hữu hiệu và hiệu
quả của các hoạt động tại đơn vị, hướng đơn vị đi đến mục tiêu cao nhất của mình.
- Các mục tiêu về báo cáo: gắn liền với sự trung thực và đáng tin cậy của các
báo cáo, bao gồm các báo cáo cho bên trong và bên ngoài và có thể liên quan đến
các thông tin tài chính và phi tài chính. Các báo cáo đáng tin cậy cung cấp cho nhà
quản lý những thông tin đầy đủ và chính xác để điều hành và giám sát các hoạt
động xảy ra tại đơn vị, hướng đến các mục đích đã dự tính trước. Việc báo cáo
cũng liên quan đến những thông tin công bố ra bên ngoài như báo cáo tài chính, báo
cáo đến các cơ quan chức năng về các lĩnh vực liên quan, báo cáo về thảo luận và
phân tích của ban đều hành cho các cổ đông,…
- Các mục tiêu tuân thủ: liên quan đến việc tuân thủ luật pháp, quy định của
Nhà nước và chấp hành các chính sách, thủ tục tại đơn vị. Đơn vị phải kiểm soát
các hoạt động của mình sao cho phù hợp với luật pháp, quy định của Nhà nước
cũng như các chính sách, thủ tục mà đơn vị đặt ra.
1.3.3. Nhận dạng sự kiện tiềm tàng
Sự kiện tiềm tàng: là biến cố bắt nguồn từ bên trong hoặc bên ngoài đơn vị
ảnh hưởng đến việc thực hiện mục tiêu của đơn vị. Một sự kiện có thể có ảnh hưởng
tích cực hoặc tiêu cực đến đơn vị và có thể cả hai.
Các yếu tố ảnh hưởng: có nhiều yếu tố có thể dẫn đến các sự kiện tác động
đến việc thực hiện mục tiêu của đơn vị.


23

 Các yếu tố bên ngoài bao gồm:
- Môi trường kinh tế: gồm các sự kiện liên quan đến mặt bằng giá cả, nguồn

vốn có thể huy động, chi phí sử dụng vốn, tỷ lệ thất nghiệp, đối thủ cạnh tranh mới…
- Môi trường tự nhiên: thiên tai, sự tác động của môi trường đến nhà
xưởng, sự tiếp cận nguồn nguyên liệu thô, di dân giữa các vùng địa lý,..
- Các yếu tố chính trị: các quy định mới của luật pháp, chính sách thuế, sự
hạn chế của nhà nước đối với các khu vực thị trường,..
- Các yếu tố xã hội: tình trạng già/trẻ của dân số, phong tục tập quán, cấu
trúc gia đình, ưu tiên nghề nghiệp của dân chúng, các hoạt động khủng bố,…
- Sự tiến bộ của khoa học kỹ thuật: các hình thức thương mại điện tử mới,
sự gia tăng nhu cầu về các dịch vụ kỹ thuật cao,…
 Các yếu tố bên trong tác động đến sự kiện tiềm tàng bao gồm:
- Cơ sở vật chất: dùng để liên lạc với các trung tâm của đơn vị, giảm thiểu
thời hạn cung ứng các yếu tố đầu vào, cải thiện sự hài lòng cho khách hàng.
- Nhân sự: tai nạn lao động, gian lận của nhân viên, hiệu lực của hợp đồng
lao động, các hành động làm tổn hại đến tiền bạc và danh tiếng của đơn vị,…
- Các chu trình: sự không phù hợp giữa chu trình công việc và các quy
định của nhà quản lý, các lỗi khi thực hiện các chu trình, thực hiện việc thuê ngoài
khi chưa được xem xét thoả đáng,..
- Áp dụng khoa học kỹ thuật: việc thay đổi máy móc, công nghệ để đáp
ứng về doanh thu, khối lượng; máy móc bị trục trặc, gian lận trong thực hiện công
việc.
Việc xác định được các yếu tố bên trong và bên ngoài tác động đến đơn vị có
tác dụng quan trọng đến việc nhận dạng các sự kiện tiềm tàng. Một khi các yếu tố
ảnh hưởng đã được nhận dạng, nhà quản lý có thể xem xét tầm quan trọng của
chúng và tập trung vào các sự kiện có thể ảnh hưởng đến việc thực hiện các mục
tiêu của đơn vị.
Ngoài việc nhận diện các sự kiện tiềm tàng ở mức độ toàn đơn vị, sự kiện
tiềm tàng cũng có thể được nhận diện ở mức độ chi tiết cho các hoạt động. Điều này
giúp cho việc đánh giá các rủi ro theo các hoạt động hoặc các chức năng chính, ví



24

dụ đơn vị phải xem xét các sự kiện tiềm tàng liên quan đến công việc bán hàng, sản
xuất, tiếp thị, ứng dụng công nghệ,…
Sự phụ thuộc lẫn nhau giữa các sự kiện: các sự kiện liên quan đến đơn vị
thường không xuất hiện độc lập mà có sự tương tác lẫn nhau. Một sự kiện xuất hiện
có thể tạo ra, tác động đến một sự kiện khác và các sự kiện có thể xuất hiện đồng
thời. Trong việc nhận dạng các sự kiện, đơn vị phải biết được sự liên quan giữa các
sự kiện là như thế nào. Bằng cách đánh giá sự liên quan giữa các sự kiện, đơn vị có
thể biết được nơi nào cần tập trung cần thiết để quản trị rủi ro. Ví dụ, sự thay đổi về
lãi suất cơ bản của ngân hàng Nhà nước sẽ tác động đến tỷ giá hối đoái và do đó
tác động đến thu nhập hoặc tổn thất của các đơn vị kinh doanh ngoại tệ.
Phân biệt cơ hội và rủi ro: sự kiện tiềm tàng nếu xuất hiện sẽ tác động tiêu
cực hoặc tích cực đến đơn vị hoặc tác động cả hai. Nếu sự kiện có tác động tiêu cực,
đe dọa nguy cơ đạt được mục tiêu của đơn vị, thì đòi hỏi đơn vị phải đánh giá rủi ro
và phản ứng với rủi ro. Nếu sự kiện có tác động tích cực đến đơn vị, làm thuận lợi
việc thực hiện mục tiêu của đơn vị hoặc tạo giá trị cho đơn vị, thì phải được xem xét
trở lại đối với các chiến lược đã được xây dựng.
1.3.4. Đánh giá rủi ro
Các nhân tố bên trong và bên ngoài có thể tạo ra các sự kiện ảnh hưởng đến
việc thực hiện mục tiêu của đơn vị. Mặc dù một số nhân tố có tính chất chung đặc
trưng cho từng ngành, nhưng sự tác động đối với từng đơn vị cụ thể thì hoàn toàn
khác nhau, bởi vì mục tiêu và sự lựa chọn của mỗi đơn vị trong quá khứ của mỗi
đơn vị là không giống nhau. Trong việc đánh giá rủi ro, đơn vị phải xem xét các sự
kiện trong hoàn cảnh và điều kiện cụ thể của riêng đơn vị mình chẳng hạn như: quy
mô của đơn vị, sự phức tạp của các hoạt động, mức độ tác động của các quy định
lên các hoạt động của đơn vị,..
Các sự kiện được xem xét bao gồm các sự kiện đã được đơn vị dự tính và
các sự kiện không được dự tính. Các sự kiện đã dự tính bao gồm những sự kiện
thường xuyên lặp đi lặp lại, sự kiện diễn ra hàng ngày hoặc các sự kiện đã được tiên

liệu trong kế hoạch của đơn vị.
Rủi ro tiềm tàng và rủi ro kiểm soát: rủi ro tiềm tàng là rủi ro do thiếu các
hoạt động của đơn vị nhằm thay đổi khả năng hoặc sự tác động của các rủi ro đó.


25

Rủi ro kiểm soát là rủi ro vẫn còn tồn tại sau khi đơn vị đã phản ứng với rủi ro. Đơn
vị cần phải xem xét cả rủi ro tiềm tàng và rủi ro kiểm soát, đầu tiên là xem xét các
rủi ro tiềm tàng, sau đó khi đã có phương án phản ứng với rủi ro tiềm tàng thì tiếp
tục xem xét đến rủi ro kiểm soát.
Ước lượng khả năng và ảnh hưởng: các sự kiện tiềm tàng phải được đánh giá
trên hai khía cạnh: khả năng xảy ra và mức độ tác động của nó. Những sự kiện mà
khả năng xuất hiện thấp và tác động ít đến đơn vị thì không cần phải tiếp tục xem
xét. Ngược lại, các sự kiện với khả năng xuất hiện cao và tác động lớn thì cần phải
xem xét kỹ càng. Các sự kiện nằm giữa hai thái cực này đòi hỏi sự đánh giá phức
tạp, điều quan trọng là phải phân tích kỹ lưỡng và hợp lý.
Để đo lường khả năng xuất hiện một sự kiện, có thể dùng các chỉ tiêu định
tính như cao, trung bình, thấp hoặc các cấp độ chi tiết khác. Hoặc có thể dùng chỉ
tiêu định lượng như: tỷ lệ xuất hiện, tần suất xuất hiện,..
Đơn vị đo lường tác động của một sự kiện thông thường là cùng hoặc tương
tự với đơn vị đo lường của việc thực hiện mục tiêu để có thể đánh giá được mức độ
tác động của sự kiện đó. Chẳng hạn một đơn vị với mục tiêu là duy trì dịch vụ khác
hàng ở một mức độ nào đó thì đơn vị đo lường mục tiêu này có thể là: chỉ số hài
lòng của khách hàng, số lượng các khách hàng than phiền về dịch vụ,… thì khi đó
đơn vị để đo lường tác động của các rủi ro đối với dịch vụ khách hàng, chẳng hạn
thời gian website của công ty không truy cập được, phải hoàn toàn tương tự.
Sự liên hệ giữa các sự kiện: đối với những sự kiện độc lập với nhau thì đơn
vị đánh giá các sự kiện một cách độc lập. Nhưng nếu có sự liên hệ giữa các sự kiện
hoặc các sự kiện cùng kết hợp lại với nhau sẽ tạo nên những tác động lớn thì đơn vị

phải đánh giá được tác động tổng hợp đó. Bởi vì, một sự kiện riêng lẻ có thể có tác
động nhỏ nhưng sự kết hợp hoặc tác động dây chuyền có thể có ảnh hưởng quan
trọng đến việc thực hiện mục tiêu của đơn vị. Ví dụ, một công ty tham gia vào thị
trường nước ngoài với nhà quản lý mới là người địa phương, chưa hiểu biết về cách
thức đánh giá hoạt động của công ty mẹ, sử dụng hệ thống báo cáo chưa được kiểm
tra sẽ dẫn đến rủi ro về gian lận và sai sót trong báo cáo tài chính.
Khi rủi ro tác động đến nhiều bộ phận, đơn vị kết hợp các rủi ro đó trong
danh sách các sự kiện và xem xét trước hết sự tác động đến từng bộ phận, sau đó


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×