Chương 3 Rủi ro và Kiểm soát trong AIS Phần 1 – Kiểm soát nội bộ 1
Chương 3Rủi ro và Kiểm soát trong AIS
Phần 1 – Kiểm soát nội bộ
1
• Tìm hiểu sự cần thiết của kiểm soát • Làm rõ khái niệm của hệ thống kiểm soát
nội bộ (KSNB)• Tìm hiểu các thành phần của hệ thống
KSNB• Phân loại rủi ro và đánh giá rủi ro• Phân loại các thủ tục kiểm soát• Các thủ tục kiểm soát nghiệp vụ
2
Mục tiêu
Các vấn đề chung về KSNB
3
Mục tiêu của doanh
nghiệp
Làm ăn thua lỗ
BCTC không trung thực Vi phạm pháp luật
Tài sản bị mất mát
• KIỂM SOÁT là 1 trong những chức năng của nhà quản trị nhằm đảm bảo cho 1 tổ chức đạt được mục tiêu đề ra Kiểm soát gắn liền với mục tiêu đề ra
• RỦI RO luôn có thể phát sinh trong quá trình hoạt động của 1 tổ chức, 1 hệ thống Hạn chế các rủi ro phát sinh
4
Tại sao cần KIỂM SOÁT?
• Mối đe dọa khách quan bên ngoài: mất điện, cháy...• Mối đe dọa từ phương tiện, máy móc: do phần mềm
hỏng, không chính xác... phần cứng hỏng, lỗi thời…• Mối đe dọa từ sự vô ý của con người: Cẩu thả, lơ
đễnh…• Mối đe dọa từ hành động cố ý: Phá hoại, biển thủ,
thông đồng, gian lận…
• 65% các nguy cơ từ sự vô ý của con người, 20% từ nguyên nhân khách quan bên ngoài, 15% từ gian lận (Romney, AIS, 2004)
5
CÁC MỐI ĐE DỌA ĐỐI VỚI HTTTKT
Định nghĩa KSNB (COSO)
6
Kiểm sóat nội bộ
Đảm bảo hợp lý
Hội đồng quản trị
Hội đồng quản trị
Nhà quản lý
Nhà quản lý
Caùc nhaân vieân khaùc
Caùc nhaân vieân khaùc
Họat động hữu hiệu và hiệu quả
Họat động hữu hiệu và hiệu quả
BCTC đáng tin cậy
BCTC đáng tin cậy
Tuân thủ pháp luật và các qui
định
Tuân thủ pháp luật và các qui
định
Quá trình
Con người Mục tiêu
• COSO là chữ viêt tắt của The Committee of Sponsoring Organization of Treadway Commision Thành lập 1992
• Treadway Commission – Hội đồng quốc gia Hoa Kỳ về chống gian lận khi lập báo cáo tài chính
• Sponsoring Organizations : Bao gồm 5 tổ chức– Hiệp hội ké tóan công chứng Mỹ (AICPA)– Hội kế tóan Mỹ (American Accounting Association – AAA)– Hiệp hội quản trị viên tài chính ( the Finalcial Excutives
Institute - FEI)– Hiệp hội kế tóan viên quản trị ( Institute of management
Accountants – IMA)– Hiệp hội kiểm tóan viên nội bộ ( the Institute of Internal
Auditors – IIA)
7
KIỂM SOÁT NỘI BỘ
• Khái niệm: – Là một quá trình thiết kế bởi các nhà quản lý
và các nhân viên của một tổ chức để cung cấp một sự đảm bảo hợp lý trong việc thực hiện các mục tiêu:• Hoạt động hữu hiệu và hiệu quả. • Thông tin đáng tin cậy. • Sự tuân thủ các luật lệ và quy định
8
KIỂM SOÁT NỘI BỘ
• Các nội dung quan trọng liên quan đến khái niệm KSNB – KSNB là 1 quá trình/1 hệ thống– KSNB do con người và thực hiện bởi con người– KSNB đảm bảo hợp lý chứ không tuyệt đối– KSNB gắn liền và là phương tiện để đạt mục tiêu
9
KIỂM SOÁT NỘI BỘ
10
Moâi tröôøng kieåm soaùt
Ñaùnh giaù ruûi ro
Hoaït ñoäng kieåm soaùt
Giaùm saùt
Caùc boä phaän hôïp thaønh cuûa KSNB
Thoâ
ng tin
& T
ruye
àn thoâ
ng Th
oâng tin
& Tru
yeàn th
oâng
11
Môi trường kiểm soát
Sự trung thực và các giá trị đạo
đức
Phong cách
quản lý, điều hành
Cơ cấu tổ chức
Hội đồng quản trị/ ban kiểm
soát
Chính sách
nhân sự
Vai trò độc lập của bộ phận
kiểm tra
Uỷ quyền và phân
chia trách nhiệm
12
Rủi ro là nhữngcái làm mục tiêu không đạt được.
Đánh giá rủi ro là việc nhận dạng vàphân tích rủi ro đe dọa các mục tiêu của mình.
Xác định mục tiêu
Nhận diện rủi ro
Đánh giá mức độ rủi ro
Đưa ra các hoạt động quản lý
Mức độ
rủi ro
Mức Thiệt hại
Xác suất rủi ro
= X
Ruûi ro xuaát hieän do nhieàu nguyeân nhaân VD: hoaït ñoäng, HT KSNB yeáu keùm, thay ñoåi moâi tröôøng KS, Kthuaät…
.
Các hoạt động kiểm sóat
Ước tính chi phí hiệu quả KS đề nghị
Quyết định áp dụng hay không áp dụng
13
Việc thiết lập các thủ tục kiểm soát phụ thuộc vào mối quan hệ lợi ích - chi phí
Lợi ích của thủ tục kiểm soát = mức giảm trọng yếu của rủi ro từ thủ tục kiểm soát mang lại
Cao
Thấp
Thấp CaoTổn thất ước tính
Trọng yếu
% xảy ra
Đánh giá rủi ro
14
Phân loại rủi ro
Rủi ro thực hiện hoạt động
Rủi ro quá trình xử lý thông tin
Rủi ro hệ thống
Liên quan đến:+ Nguồn lực+ Sự kiện+ Đối tượng
Liên quan đến:+ Ghi nhận+ Xử lý+ Cung cấp
Liên quan đến:+ Phát triển+ Sử dụng+ Bảo quản
Rủi ro thực hiện hoạt động
• Thực hiện không hữu hiệu, hiệu quả và không tuân thủ
– Nghiệp vụ, hoạt động không được xét duyệt– Nghiệp vụ đã xét duyệt nhưng không được thực
hiện, hoặc thực hiện nhiều lần (bị trùng lắp)– Sai đối tượng liên quan– Sử dụng sai sót nguồn lực (Sai sản phẩm, SL,
giá …)– Mất mát tài sản, thiếu hụt tài sản
15
Đánh giá rủi ro hoạt động
• Nhận dạng các hoạt động/ sự kiện được thực hiện theo các chu trình kinh doanh
• Nhận dạng các đối tượng, nguồn lực liên quan đến các hoạt động trên
• Nhận dạng các rủi ro cho từng hoạt động trên. Loại trừ các rủi ro không trọng yếu
• Xác định các nguyên nhân của các rủi ro trên
16
Ví dụ: Cafe Sinh viên
• Nghiệp vụ, hoạt động không được xét duyệt
• NVụ đã xét duyệt nhưng không được thực hiện, hoặc nhiều lần
• Sai đối tượng (KH, NCC)• Sai sót loại SP liên quan• Sai sót về SL, chất lượng,
giá cả của SP• Mất mát tài sản, thiếu tài
sản
• Bán hàng cho bạn bè, không thu tiền
• Quên bán hàng cho khách hàng hoặc phục vụ nhiều lần
• Phục vụ sai khách hàng• Bán sai loại nước yêu cầu• Bán sai số lượng, tính giá
sai, chất lượng kém• Không thu tiền KH, thu
thiếu, mất tiển• Mất, thiếu NVL pha chế
17
Rủi ro quá trình xử lý thông tin• Quá trình ghi chép, nhập liệu
– Thiếu hoặc không ghi chép, nhập liệu nghiệp vụ hoặc trùng lắp
– Ghi sai nguồn lực (loại, SL, giá cả)
– Ghi sai các đối tượng liên quan
• Đánh giá rủi ro
– Xác định các sự kiện cần ghi nhận
– Xác định dữ liệu cần thu thập liên quan đến sự kiện
– Xác định các rủi ro
– Xác định nguyên nhân
18
Rủi ro quá trình xử lý thông tin
• Quá trình xử lý, cập nhật và cung cấp
– Không cập nhật hoặc cập nhật nhiều lần
– Cập nhật không đúng thời điểm
– Cập nhật sai đối tượng, nguồn lực liên quan,
– Cung cấp thông tin sai đối tượng, thời điểm…
• Đánh giá rủi ro
– Xác định các sự kiện có hoạt động cập nhật
– Xác định đối tượng, nguồn lực liên quan đến cập nhật
– Xác định các rủi ro và nguyên nhân
19
Rủi ro hệ thống
• Quá trình phát triển– Thời gian kéo dài, chi phí cao, hệ thống không
đạt yêu cầu, thất bại…• Quá trình sử dụng
– Không đúng đối tượng sử dụng, sử dụng sai chức năng…
• Quá trình bảo quản– Hư hỏng hệ thống, mất mát dữ liệu…
20
Các hoạt động kiểm soát
• Phân loại theo các rủi ro:
– Rủi ro thực hiện hoạt động Kiểm soát nghiệp vụ
– Rủi ro xử lý thông tin Kiểm soát ứng dụng
– Rủi ro hệ thống Kiểm soát chung
• Phân loại theo tính chất sử dụng:
– Kiểm soát dự phòng (ngăn ngừa)
– Kiểm soát phát hiện
– Kiểm soát sửa sai
21
Kiểm soát nghiệp vụ
1. Ủy quyền và xét duyệt
Tránh lạm quyền, hạn chế nghiệp vụ không hợp lệ
Giao quyền xét duyệt đi kèm với trách nhiệm
Các loại ủy quyền:
Ủy quyền hoàn toàn: Áp dụng cho các công việc hàng ngày
Ủy quyền từng phần: Đối với các nghiệp vụ đặc thù
22
Kiểm soát nghiệp vụ
2. Phân chia trách nhiệm giữa các chức năng khi thực hiện 1 hoạt động:
Chức năng xét duyệt nghiệp vụ: Xét duyệt và ra quyết định thực hiện
Chức năng thực hiện: thực hiện nghiệp vụ
Chức năng ghi chép: Ghi chép nội dung liên quan
Chức năng bảo vệ tài sản: bảo quản tiền bạc, tài sản… liên quan
Nguyên tắc bất kiêm nhiệm: Một cá nhân không thể kiêm nhiệm 2 trong 4 chức năng trên
23
24
Ngăn ngừa việc ghi nhận không đúng để che dấu Nvụ không hợp lệ
Ngăn ngừa xét duyệt Nvụ
không hợp lệ để tham ô tài sản
Xét duyệt
Bảo vệ tài sản
Ghi chép
Ngăn ngừa việc ghi nhận sai để che dấu tài sản
mất mát
Kiểm soát nghiệp vụ
3. Dùng thông tin về các sự kiện có trước để kiểm soát sự kiện phát sinh sau:
Thông tin từ các chứng từ. VD: Dùng thông tin về các đơn đặt hàng để kiểm soát hoạt động phát hành hóa đơn
Thông tin, dữ liệu từ các tập tin máy tính. VD: Danh sách KH có sẵn, giá bán được duyệt để kiểm soát nghiệp vụ bán hàng
4. Quy định trình tự diễn ra của các nghiệp vụ.
25
Kiểm soát nghiệp vụ
5. Đánh số trước các chứng từ để hạn chế mất mát và tránh trùng lắp
6. Ghi nhận các cá nhân liên quan đến quá trình thực hiện nghiệp vụ để xem xét trách nhiệm
7. Hạn chế sự xâm nhập và truy cập vào tài sản và dữ liệu, thông tin
8. Kiểm tra đối chiếu 2 nguồn độc lập về nghiệp vụ. VD Đối chiếu giữa số thực tế và số ghi chép sổ sách
26
Thông tin, truyền thông
• Thông tin– Khả năng cung cấp và trợ giúp thông tin từ
các hệ thống thông trong tổ chức – Các thủ tục kiểm soát được thiết lập gắn liền
với việc tổ chức hệ thống thông tin• Truyền thông:
– Truyền đạt vai trò và trách nhiệm của các cá nhân đối với KSNB
– Các kênh trao đổi thông tin từ cấp trên xuống cấp dưới, cấp dưới phản hồi lên cấp trên và trao đổi giữa các phòng ban với nhau
27
Theo dõi, giám sát
• Đánh giá tính hữu hiệu và hiệu quả của hệ thống KSNB và tiến hành các thay đổi cho KSNB khi cần thiết
• Hoạt động giám sát phải độc lập
• Các hình thức
– Tổ chức bộ phận giám sát
– Tổ chức kế toán trách nhiệm
– Tổ chức kiểm toán nội bộ
28
Bài tập 1
Hãy chỉ ra các cặp công việc nào sau đây vi phạm quy tắc bất kiêm nhiệm trong việc thực hiện KSNB trong DN:
1. Trưởng phòng quản trị vật tư và thủ kho vật tư
2. Thủ kho và nhân viên lương
3. Thủ quỹ và kế toán phải thu
4. Trưởng phòng tài vụ và kế toán trưởng
5. Trưởng phòng quản trị vật tư và NV phụ trách lương
29
Bài tập 2
DN thương mại ABC có 04 nhân viên quản lý được phân công như sau:
1. Cô Hồng quản lý nhân sự chấm công và phát lương
2. Anh Nam thu tiền hàng hóa của KH và quản lý sổ sách, ghi chép, theo dõi về nợ phải thu
3. Cô Cúc tiến hành giao dịch thanh toán cho nhà cung cấp, theo dõi các khoản phải trả, quản lý tiền mặt tại quỹ và ngân hàng, tổng hợp số liệu kế toán
4. Anh Vũ làm thủ kho đồng thời tiến hành việc mua và nhận hàng hóa
Theo Anh/ chị, việc phân công đã hợp lý chưa? Anh/ chị có đề xuất nào thay đổi để hoàn thiện hay không?
30