Môi trường kiểm soát là "linh hồn," là nền tảng của hệ thống KSNB. Nó phản ánh thái độ, nhận thức, giá trị đạo đức và hành động của ban lãnh đạo và toàn bộ nhân viên đối với việc kiểm soát. Một môi trường kiểm soát mạnh mẽ tạo ra văn hóa doanh nghiệp lành mạnh, nơi mọi người có ý thức tuân thủ và trách nhiệm.

Các yếu tố cấu thành môi trường kiểm soát:

• Tính chính trực và giá trị đạo đức: Yếu tố cốt lõi, là kim chỉ nam cho mọi hành động.
• Ví dụ:
• Xây dựng và ban hành "Quy tắc ứng xử", "Quy tắc đạo đức kinh doanh".
• Thiết lập đường dây nóng báo cáo vi phạm (whistleblowing hotline).
• Cam kết chống tham nhũng, hối lộ, gian lận.
• Xử lý nghiêm các hành vi vi phạm đạo đức.
• Cam kết về năng lực: Đảm bảo nhân viên có đủ năng lực, kỹ năng, kinh nghiệm.
• Ví dụ:
• Xây dựng tiêu chuẩn năng lực cho từng vị trí công việc.
• Tuyển dụng đúng người, đúng việc.
• Tổ chức đào tạo và phát triển nhân viên thường xuyên.
• Đánh giá năng lực dựa trên tiêu chí rõ ràng, minh bạch.
• Sự tham gia của Ban lãnh đạo: Ban lãnh đạo phải là tấm gương, tiên phong trong việc thực hiện và tuân thủ.
• Ví dụ:
• Tham gia các buổi họp, hội thảo về KSNB.
• Thường xuyên trao đổi với bộ phận kiểm toán nội bộ/kiểm soát rủi ro.
• Xử lý nghiêm minh các trường hợp vi phạm, không bao che.
• Đưa các vấn đề về kiểm soát nội bộ vào chương trình nghị sự của các cuộc họp quan trọng.
• Cơ cấu tổ chức và phân công trách nhiệm: Cơ cấu rõ ràng giúp phân định trách nhiệm, quyền hạn, tránh chồng chéo/bỏ sót.
• Ví dụ:
• Xây dựng sơ đồ tổ chức chi tiết.
• Ban hành bảng mô tả công việc (JD) cho từng vị trí.
• Quy định rõ ràng về quy trình ủy quyền và phê duyệt.
• Chính sách nhân sự: Chính sách công bằng, minh bạch, nhất quán tạo động lực cho nhân viên.
• Ví dụ:
• Xây dựng quy trình tuyển dụng, đánh giá hiệu suất, khen thưởng, kỷ luật rõ ràng.
• Thực hiện khảo sát mức độ hài lòng của nhân viên.
• Xây dựng chính sách lương, thưởng, phúc lợi cạnh tranh.

Ví dụ về môi trường kiểm soát yếu kém:

• Công ty X: Ban lãnh đạo không quan tâm đến đạo đức kinh doanh, thường xuyên có các hành vi mờ ám, không minh bạch. Nhân viên không được đào tạo đầy đủ, không có ý thức tuân thủ quy định. Hậu quả là công ty X liên tục gặp các vấn đề về gian lận, thất thoát tài sản, uy tín bị ảnh hưởng nghiêm trọng.

2. Đánh giá Rủi ro (Risk Assessment) - "Nhìn trước" các Nguy cơ

Đánh giá rủi ro là quá trình xác định, phân tích và đánh giá các rủi ro có thể ảnh hưởng đến việc đạt được mục tiêu.

Các bước đánh giá rủi ro:

1. Xác định mục tiêu: Doanh nghiệp cần xác định rõ các mục tiêu (SMART).
2. Xác định rủi ro: Xác định các rủi ro từ cả bên trong và bên ngoài.
• Công cụ hỗ trợ: Phân tích SWOT, PESTLE, Brainstorming, phỏng vấn, khảo sát.
3. Phân tích rủi ro: Phân tích mức độ nghiêm trọng (tác động) và khả năng xảy ra.
• Công cụ hỗ trợ: Ma trận rủi ro (Risk Matrix).
4. Ưu tiên rủi ro: Xác định các rủi ro cần ưu tiên xử lý.

 Ví dụ về đánh giá rủi ro:

• Công ty du lịch:
• Rủi ro về an toàn: Tai nạn giao thông, ngộ độc thực phẩm, mất hành lý...
• Rủi ro về thiên tai: Bão lũ, động đất, sóng thần...
• Rủi ro về dịch bệnh: COVID-19, cúm gia cầm...
• Rủi ro về chính trị: Thay đổi chính sách visa, bất ổn chính trị...
• Rủi ro về tài chính: Biến động tỷ giá, lạm phát...
• Công ty công nghệ:
• Rủi ro về an ninh mạng: Tấn công ransomware, đánh cắp dữ liệu...
• Rủi ro về cạnh tranh: Xuất hiện đối thủ mới, sản phẩm thay thế...
• Rủi ro về pháp lý: Vi phạm bản quyền, tranh chấp sở hữu trí tuệ...
• Rủi ro về nhân sự: Thiếu hụt nhân tài, chảy máu chất xám...

3. Hoạt động Kiểm soát (Control Activities) - "Lá chắn" Bảo vệ Doanh nghiệp

Hoạt động kiểm soát là các chính sách, thủ tục, biện pháp để giảm thiểu rủi ro, đảm bảo đạt được mục tiêu.

Các loại hoạt động kiểm soát:

• Phê duyệt và ủy quyền (Approval and Authorization):
• Phê duyệt: Hành động chính thức cho phép. Ví dụ: Giám đốc phê duyệt dự án, trưởng phòng phê duyệt đơn xin nghỉ phép.
• Ủy quyền: Trao quyền cho người khác thực hiện. Ví dụ: Ủy quyền cho kế toán trưởng ký séc, ủy quyền cho nhân viên bán hàng giảm giá.
• Phân tách nhiệm vụ (Segregation of Duties): Ví dụ: Người giữ tiền không kiêm người ghi sổ, người mua hàng không kiêm người duyệt mua hàng.
• Kiểm tra và đối chiếu (Verification and Reconciliation): Ví dụ: Kiểm kê kho, đối chiếu số dư ngân hàng, kiểm tra hóa đơn.
• Bảo vệ tài sản (Safeguarding Assets): Ví dụ: Két sắt, camera, bảo vệ, khóa cửa, hàng rào.
• Kiểm soát truy cập (Access Control): Ví dụ: Phân quyền trên hệ thống, mật khẩu, thẻ từ, vân tay.

Ví dụ về hoạt động kiểm soát trong các quy trình:

• Quy trình mua hàng:
• Yêu cầu báo giá từ nhiều nhà cung cấp.
• Phê duyệt đơn đặt hàng trước khi gửi cho nhà cung cấp.
• Kiểm tra hàng hóa khi nhận hàng.
• Đối chiếu hóa đơn với đơn đặt hàng và phiếu nhập kho.
• Quy trình bán hàng:
• Kiểm tra tín dụng của khách hàng trước khi bán chịu.
• Phê duyệt đơn hàng trước khi xuất kho.
• Lập hóa đơn bán hàng.
• Theo dõi công nợ phải thu.
• Quy trình quản lý kho:
• Kiểm kê kho định kỳ.
• Kiểm soát ra vào kho.
• Bảo quản hàng hóa đúng cách.
• Ghi chép thẻ kho đầy đủ.

4. Thông tin và Truyền thông (Information and Communication) - "Cầu nối" Hiệu quả

Thông tin và truyền thông đảm bảo mọi người hiểu rõ mục tiêu, rủi ro, trách nhiệm và hoạt động kiểm soát.

• Thông tin: Dữ liệu đã được xử lý, có ý nghĩa.
• Truyền thông: Quá trình trao đổi thông tin.

Yêu cầu: Đầy đủ, chính xác, kịp thời, dễ hiểu, đúng đối tượng, đáng tin cậy.

Các công cụ, phương tiện truyền thông nội bộ:

• Email, bảng tin nội bộ, website công ty.
• Phần mềm chat nội bộ (Slack, Microsoft Teams...).
• Họp giao ban, họp chuyên đề, hội thảo.
• Báo cáo, tài liệu, hướng dẫn.
• Mạng xã hội nội bộ (nếu có)

5. Giám sát (Monitoring Activities) - "Đôi mắt" Tinh tường

Giám sát là quá trình theo dõi, đánh giá hiệu quả của hệ thống KSNB và điều chỉnh khi cần.

Các hoạt động giám sát:

• Giám sát liên tục (Ongoing Monitoring): Tích hợp vào hoạt động thường ngày.
• Ví dụ:
• Quản lý trực tiếp giám sát công việc của nhân viên.
• Theo dõi các chỉ số hiệu suất (KPIs).
• Xem xét các báo cáo bất thường (ví dụ: báo cáo về các giao dịch vượt hạn mức).
• Tự động hóa giám sát (vd: sử dụng các cảnh báo tự động trên hệ thống khi có giao dịch bất thường).
• Đánh giá định kỳ (Periodic Evaluation): Độc lập, thường do kiểm toán nội bộ/bên thứ ba.
• Ví dụ:
• Kiểm toán nội bộ đánh giá các quy trình, hoạt động.
• Tự đánh giá (self-assessment) của các bộ phận.
• Kiểm toán độc lập (bên thứ ba) thực hiện kiểm toán báo cáo tài chính.
• Đánh giá của chuyên gia tư vấn bên ngoài.
• Báo cáo và khắc phục (Reporting and Remediation): Báo cáo vấn đề và khắc phục kịp thời.

Ví dụ:

• Giám sát liên tục:
• Một ngân hàng sử dụng hệ thống để tự động phát hiện và cảnh báo các giao dịch đáng ngờ (ví dụ: giao dịch có giá trị lớn, giao dịch vào thời điểm bất thường, giao dịch từ các địa điểm không quen thuộc).
• Một công ty sản xuất theo dõi liên tục các chỉ số về chất lượng sản phẩm (ví dụ: tỷ lệ sản phẩm lỗi, số lượng phàn nàn của khách hàng).
• Đánh giá định kỳ:
• Một công ty thực hiện kiểm toán nội bộ hàng năm để đánh giá hiệu quả của hệ thống kiểm soát các rủi ro về gian lận.
• Một bộ phận tự đánh giá mức độ tuân thủ các quy định về an toàn lao động.

Lợi ích của việc áp dụng COSO:

• Giảm thiểu rủi ro.
• Nâng cao hiệu quả hoạt động.
• Tăng cường tuân thủ.
• Bảo vệ tài sản.
• Cải thiện uy tín.
• Tạo môi trường làm việc minh bạch
• Hỗ trợ ra quyết định