Như chúng ta đã biết, trước khi có Báo cáo COSO 1992, các quan điểm đều cho rằng hệ thống kiểm soát nội bộ (KSNB) gồm có môi trường kiểm soát, hệ thống kế toán, và các thủ tục kiểm soát. Năm 2013, Báo cáo COSO bổ sung thêm các nguyên tắc để phục vụ cho công tác quản trị toàn diện của doanh nghiệp nhằm giảm rủi ro kinh doanh và hướng đến quản trị chiến lược theo hướng đa mục tiêu. Như vậy, hệ thống KSNB theo Báo cáo COSO năm 2013 gồm 5 thành phần của một hệ thống kiểm soát nội bộ dựa trên bản gốc năm 1992.
Bảng các thành phần của hệ thống kiểm soát nội bộ
Theo Chuẩn mực Kiểm toán Việt Nam (Vietnamese Accounting Standards – VSA) thì hệ thống KSNB là sự kết hợp của năm thành tố: môi trường kiểm soát, đánh giá rủi ro, hoạt động kiểm soát, thông tin và truyền thông, hoạt động giám sát. Để nghiên cứu hệ thống KSNB trong NHTM, tác giả dựa trên Khung KSNB của COSO 2013, theo đó hệ thống KSNB gồm 5 yếu tố cấu thành bao gồm: môi trường kiểm soát; đánh giá rủi ro; hoạt động kiểm soát; thông tin và truyền thông; giám sát.
1. Môi trường kiểm soát
Theo Báo cáo COSO “Môi trường kiểm soát phản ánh sắc thái chung của một tổ chức, tác động đến ý thức của mọi người trong đơn vị, là nền tảng cho các bộ phận khác trong hệ thống”[2]. Môi trường kiểm soát bao gồm các chức năng quản trị và quản lý, các quan điểm nhận thức và hành động của Ban quản trị và Ban giám đốc liên quan đến KSNB đối với hoạt động của đơn vị. Môi trường kiểm soát phản ánh đặc điểm của đơn vị, chịu ảnh hưởng bởi ý thức của chính những con người trong tổ chức đó. Môi trường kiểm soát yếu kém là nguyên nhân chính gây ra các sai phạm trong hoạt động tài chính của đơn vị. Chính vì vậy, việc xây dựng môi trường kiểm soát hiệu quả có tác động mạnh mẽ vào quá trình quản lý và quản trị doanh nghiệp. Môi trường kiểm soát bắt đầu bới các nhà quản trị, quản lý doanh nghiệp và là nhân tố ảnh hưởng đến các thành phần khác của KSNB.
Có nhiều nghiên cứu về các yếu tố của môi trường kiểm soát. Theo VSA 400 thì môi trường kiểm soát là những nhận thức, quan điểm, sự quan tâm và hoạt động của thành viên Hội đồng quản trị, Ban giám đốc đối với hệ thống KSNB và vai trò của hệ thống KSNB trong đơn vị. Theo VSA 315, môi trường kiểm soát gồm các yếu tố sau: Sự trung thực và các giá trị đạo đức; Đảm bảo về năng lực; Sự tham gia của Ban quản trị; Triết lý và phong cách điều hành của Ban giám đốc; Cơ cấu tổ chức; Phân công quyền hạn và trách nhiệm; Các chính sách về nhân sự.
Sự trung thực và các giá trị đạo đức: Các yếu tố của môi trường chủ yếu tác động lên nhận thức của nhà quản trị cấp cao trong ngân hàng. Yếu tố quan trọng trước hết trong môi trường kiểm soát liên quan tới tính chính trực và giá trị đạo đức cũng như cam kết về năng lực, triết lý và phong cách điều hành của nhà quản trị, đặc biệt là nhà quản trị cấp cao tại doanh nghiệp và phân công phân nhiệm tại đơn vị là đặc thù quản lý. Đây là những yếu tố có mối liên hệ với nhau hình thành nên đặc thù quản lý trong đơn vị. Đặc thù quản lý ảnh hưởng tới việc thiết kế các thủ tục kiểm soát và duy trì hoạt động kiểm soát.
Đảm bảo về năng lực: Là cam kết của Ban giám đốc về các mức độ năng lực và kỹ năng cần thiết để đáp ứng cho từng nhiệm vụ.
Sự tham gia của Hội đồng quản trị và BKS: Sự tham gia này nhằm đảm bảo lợi ích của chính Ban quản trị, họ có trách nhiệm rất quan trọng được qui định trong các chuẩn mực đạo đức nghề nghiệp, pháp luật và các quy định khác của đơn vị. Ban quản trị có ảnh hưởng lớn đến nhận thức về KSNB. Ban quản trị cũng có trách nhiệm giám sát việc thiết kế và hiệu quả hoạt động của các thủ tục báo cáo các sai phạm và xem xét tính hữu hiệu của KSNB trong đơn vị. Tính hữu hiệu của yếu tố này phụ thuộc vào tính độc lập của BKS, Kiểm toán viên nội bộ so với Ban giám đốc; kinh nghiệm của các thành viên, cũng như sự phối hợp giữa các thành viên.
Triết lý quản lý và phong cách điều hành của Ban giám đốc: Là quan điểm, thái độ và hành động của Ban giám đốc đối với việc chấp nhận các rủi ro kinh doanh, lập và trình bày Báo cáo tài chính.
Cơ cấu tổ chức: Cơ cấu tổ chức phản ánh việc phân chia quyền lực, trách nhiệm và nghĩa vụ của mọi thành viên trong đơn vị cũng như phản ánh mối quan hệ hợp tác, phối hợp, kiểm soát và chia sẻ thông tin lẫn nhau trong cùng một đơn vị. Cơ cấu tổ chức hợp lý sẽ giúp cho việc điều hành, kiểm soát của nhà quản trị được thực hiện hợp lý, tránh sự chồng chéo trong thực hiện hoặc tồn tại hoạt động không được kiểm soát.
Phân định quyền hạn và trách nhiệm: Nguyên tắc trong phân chia quyền hạn, trách nhiệm, nghĩa vụ trong cơ cấu tổ chức bao gồm xác định rõ chức năng, nhiệm vụ của từng bộ phận, cá nhân bằng hệ thống văn bản (phân công phân nhiệm, phê chuẩn ủy quyền); cách ly thích hợp chức năng phê chuẩn, thực hiện, ghi sổ, bảo quản tài sản (bất kiêm nhiệm); đảm bảo sự độc lập tương đối giữa các nhiệm vụ.
Chính sách về nhân sự: Các cá nhân trong đơn vị đều tham gia vào hệ thống KSNB và là chủ thể của mọi hoạt động trong đơn vị, do đó nếu bất cứ cá nhân nào kém năng lực và không trung thực thì đều có tác động đến kiểm soát. Các chính sách và thủ tục về nhân sự được ban hành tại ngân hàng một mặt nhằm tuyển dụng, huấn luyện, sử dụng, đánh giá, đề bạt, khen thưởng và kỷ luật nhân sự được rõ ràng, công bằng, hợp lý. Mặt khác, chính sách và thủ tục này còn hướng tới sự đảm bảo về năng lực của nhân sự và sự khuyến khích các phẩm chất đạo đức tốt đẹp của người lao động.
Ngoài ra, môi trường kiểm soát còn chịu ảnh hưởng bởi các nhân tố bên trong đơn vị như văn hóa, truyền thống, ảnh hưởng của các cơ quản quản lý nhà nước, các chủ nợ, kiểm toán viên độc lập… Các nhân tố này tạo ra những ảnh hưởng đáng kể đến việc thiết kế và vận hành của hệ thống KSNB.
2. Quy trình đánh giá rủi ro
Quy trình đánh giá rủi ro của đơn vị hình thành nên cơ sở để Ban giám đốc xác định các rủi ro cần được quản lý. Quy trình này sẽ giúp nhận diện và phân tích các rủi ro đối với quá trình thực hiện các mục tiêu của đơn vị để từ đó thiết kế các thủ tục kiểm soát – đây được coi là nhân tố then chốt để phát huy hiệu quả và hiệu năng của hệ thống KSNB. Ngân hàng không chỉ thiết lập mục tiêu mong muốn đạt được mà còn phải hiểu được với những rủi ro gặp phải trong quá trình thực hiện. Quy trình đánh giá rủi ro được thực hiện thông qua các bước: Xác định mục tiêu; Nhận diện rủi ro; Phân tích và đánh giá rủi ro; Quyết định các hành động thích hợp đối với các rủi ro đó.
Xác định mục tiêu: Mục tiêu phải được thiết lập ở các cấp độ khác nhau và phải nhất quán. Nhà quản trị phải thiết lập các mục tiêu kiểm soát cần đạt được gồm cả mục tiêu tổng quát và mục tiêu chi tiết. Mục tiêu tổng quát bao gồm mục tiêu về hoạt động, thông tin và tuân thủ. Tùy đối tượng kiểm soát cụ thể, mục tiêu chi tiết về kiểm soát sẽ được thiết lập.Đồng thời, nhà quản trị phải xác định mục tiêu then chốt để tập trung các thủ tục kiểm soát.
Nhận diện rủi ro: Nhà quản trị ngân hàng phải xác định được các rủi ro có liên quan đến thực hiện mục tiêu của kiểm soát. Rủi ro được xác định ở hai mức độ là rủi ro của toàn đơn vị, rủi ro từng bộ phận. Rủi ro của toàn đơn vị có thể phát sinh do các nhân tố bên trong (năng lực của nhân viên,thay đổi người quản lý, ngành nghề kinh doanh của đơn vị, BKS hoạt động không hiệu quả, hệ thống xử lý thông tin bị trục trặc…) và bên ngoài đơn vị (điều kiện khí hậu, quy định mới của luật pháp, đối thủ cạnh tranh, yêu cầu của khách hàng, công nghệ mới…). Rủi ro từng bộ phận là rủi ro xảy ra gắn liền với các quy trình hoạt động của doanh nghiệp (rủi ro liên quan đến việc lập và trình bày Báo cáo tài chính, rủi ro trong quy trình nghiệp vụ…). Nhận diện rủi ro được thực hiện thông qua việc định kỳ đánh giá và xem xét lại các nhân tố ảnh hưởng tới rủi ro, tập trung vào các nhân tố liên quan năng lực của nhân viên, những kinh nghiệm về rủi ro đã xảy ra trong quá khứ, quá trình ghi chép và xử lý hoạt động chủ yếu của đơn vị, quy định luật pháp có liên quan… Tiếp theo đó, tiến hành xác định nhân tố chính gây ra rủi ro và thực hiện việc ước tính khả năng xảy ra rủi ro. Rủi ro cũng cần được nhận diện ở từng bộ phận trong đơn vị, từng hoạt động cụ thể như rủi ro ở bộ phận bán hàng, sản xuất, kỹ thuật… Việc đánh giá đúng các rủi ro bộ phận nhằm duy trì rủi ro toàn đơn vị ở mức hợp lý.
Phân tích và đánh giá về rủi ro: Là đánh giá về tầm quan trọng của rủi ro (đánh giá xem liệu đơn vị có chấp nhận rủi ro kinh doanh cao để có cơ hội gia tăng lợi nhuận), phân tích về rủi ro (đánh giá khả năng xảy ra rủi ro và ảnh hưởng của rủi ro), quyết định hành động thích hợp với rủi ro (quản trị rủi ro), xem xét các giả định về rủi ro, phân tích chi phí bỏ ra để giảm rủi ro, lựa chọn biện pháp đối phó với rủi ro thích hợp (giảm thiểu rủi ro, chia sẻ rủi ro hay chấp nhận rủi ro), thiết lập các thủ tục kiểm soát bổ sung để nâng cao tính hữu hiệu hệ thống kiểm soát trong việc đối phó với rủi ro. Trong đánh giá rủi ro, nhà quản trị cũng cần chú ý là rủi ro không chỉ phát sinh từ các nhân tố bên trong và bên ngoài đã nêu ở trên mà còn có thể phát sinh do hạn chế cố hữu của hệ thống KSNB. Quy trình này sẽ phát huy tác dụng với hệ thống KSNB khi nhận dạng được nhân tố chính gây ra rủi ro, sau đó đưa ra biện pháp kiểm soát thích hợp. Báo cáo rủi ro và tác động của rủi ro tới hoạt động của doanh nghiệp cho nhà quản trị cũng là một nội dung quan trọng có ảnh hưởng tới các chính sách và thủ tục kiểm soát, phải thực hiện càng sớm càng tốt để ngăn ngừa rủi ro phát sinh, báo cáo phải tập trung vào các thiệt hại quan trọng có thể xảy ra.
Quyết định các hành động thích hợp đối với các rủi ro: Ngân hàng cần có một cơ chế để nhận diện những thay đổi có tác động đáng kể đến khả năng đạt mục tiêu đã thiết lập thông qua việc thu thập, xử lý, cung cấp báo cáo về những sự thay đổi như: sự thay đổi của môi trường hoạt động, nhân sự mới, nâng cấp hệ thống máy tính, kỹ thuật mới, tái cơ cấu, hoạt động ở nước ngoài… Cơ chế này không cần quá phức tạp có thể kết hợp trong các cuộc tổng kết hoạt động, cuộc họp về phương hướng kinh doanh… Tuy nhiên, đây xác định là một nội dung khó vì nhận định về tương lai là điều không chắc chắn nhưng nếu có một cơ chế phù hợp giúp dự đoán được những thay đổi trọng yếu thì có thể hạn chế được rủi ro.
3. Hoạt động kiểm soát
Theo COSO 2005 thì hoạt động kiểm soát là các chính sách và các thủ tục trợ giúp đảm bảo cho các chỉ đạo của các nhà quản lý được thực hiện. Mục tiêu của các hoạt động kiểm soát là nhằm đảm bảo rằng các chỉ đạo của Ban giám đốc được thực hiện. Hoạt động kiểm soát xuất hiện trong khắp tổ chức, ở tất cả các cấp độ và trong tất cả các chức năng. Hoạt động kiểm soát tồn tại ở mọi cấp quản trị trong ngân hàng, gồm cả hoạt động kiểm soát chung liên quan tới nhiều mục tiêu kiểm soát và hoạt động kiểm soát cụ thể tập trung vào từng mục tiêu riêng biệt. Giữa hoạt động kiểm soát và quy trình đánh giá rủi ro có mối quan hệ chặt chẽ với nhau, thông qua đánh giá rủi ro sẽ định hướng cho việc xây dựng các chính sách, các thủ tục kiểm soát có tính thực tế và phù hợp.
Soát xét của nhà quản lý cấp cao: Điều này đòi hỏi nhà quản lý phải hiểu biết về các loại kiểm soát để thiết kế các thủ tục trong hoạt động kiểm soát cho phù hợp. Chính sách kiểm soát là những nguyên tắc và chỉ đạo về kiểm soát cần thiết làm cơ sở cho việc thực hiện các kiểm soát. Chính sách có thể ban hành thành văn bản hoặc thực hiện thông qua truyền miệng, thể hiện nguyên tắc cơ bản về kiểm soát và nguyên tắc kiểm soát đặc thù của đơn vị. Thủ tục kiểm soát hiện nay khi thiết kế thường xét theo mức ảnh hưởng của kiểm soát gồm có thủ tục kiểm soát trực tiếp (cụ thể) và kiểm soát tổng quát. Thủ tục kiểm soát trực tiếp: được xây dựng trên cơ sở đánh giá từng hoạt động, từng bộ phận cấu thành trong đơn vị mà cần phải được kiểm soát, bao gồm nhiều chức năng (khâu) nhằm mục đích đảm bảo các mục tiêu về thông tin, hoạt động và tuân thủ. Cụ thể, phê duyệt của nhà quản trị: Các hoạt động phải được sự phê chuẩn đúng đắn của nhà quản lý trong phạm vi quyền hạn cho phép trên hai mức độ là phê duyệt chung và phê duyệt cụ thể. Phê duyệt chung là trường hợp nhà quản trị cấp cao ban hành các chính sách áp dụng cho toàn ngân hàng, nhân viên cấp dưới căn cứ vào chính sách đó để xét duyệt các hoạt động trong thẩm quyền. Phê duyệt cụ thể: là trường hợp nhà quản lý cấp cao xét duyệt riêng từng nghiệp vụ mà không đưa ra chính sách chung thường áp dụng với các nghiệp vụ không thường xuyên như thanh lý tài sản, mua sắm tài sản cố định…, nghiệp vụ có số tiền lớn vượt mức quy định thông thường.
Quản trị hoạt động: Các hoạt động kiểm soát này bao gồm việc đánh giá và phân tích tình hình hoạt động thực tế so với kế hoạch, so với dự báo, so với tình hình hoạt động của kỳ trước. Phân tích mối liên hệ giữa các dữ liệu khác nhau có liên quan như các dữ liệu về hoạt động, các dữ liệu về tài chính, số liệu nội bộ với thông tin bên ngoài thông qua thủ tục kiểm soát lại việc thực hiện và thủ tục kiểm soát độc lập với việc thực hiện do các nhà quản lý tiến hành. Với kiểm soát độc lập việc thực hiện thì nhà quản trị sẽ soát xét các báo cáo về kết quả của hoạt động mà họ phụ trách, so sánh với dự toán và kế hoạch đề ra và các dữ liệu khác có liên quan. Thông thường bao gồm đánh giá của nhà quản lý cấp cao về các chính sách chung và nhà quản trị cấp trung gian về các công việc tại bộ phận họ phụ trách. Khâu công việc này giúp nhà quản trị đánh giá được hiệu quả của hoạt động, mức độ hoàn thành công việc đồng thời phát hiện những điểm bất thường để có điều chỉnh thích hợp nhằm đảm bảo đạt được mục tiêu đã đề ra.
Phân chia trách nhiệm đầy đủ: Thực hiện phân chia trách nhiệm hợp lý giữa các bộ phận, cá nhân nhằm hạn chế những sai phạm có thể xảy ra trong hoạt động của ngân hàng. Cụ thể như không để một cá nhân nắm toàn bộ các khâu của một quy trình kinh doanh từ khi phát sinh đến khi kết thúc, tách biệt giữa chức năng phê duyệt với chức năng bảo quản tài sản, chức năng kế toán với chức năng bảo quản tài sản, chức năng xét duyệt với chức năng kế toán. Việc phân chia trách nhiệm về hoạt động kèm theo việc phân chia trách nhiệm xét duyệt, cấp quản lý càng cao thì càng có thẩm quyền và trách nhiệm phê duyệt với số tiền càng lớn, cấp trên có thể ủy quyền cho cấp dưới trong phạm vi phù hợp để tăng trách nhiệm của cấp dưới. Nguyên tắc cơ bản bao gồm phân công, phân nhiệm; phê chuẩn ủy quyền; bất kiêm nhiệm. Các nguyên tắc kiểm soát phải được áp dụng một cách nhất quán.
Kiểm soát quá trình xử lý thông tin là nhằm xem xét việc xử lý, cung cấp thông tin về các giao dịch, hoạt động để tìm hiểu xem chúng có được ghi sổ đầy đủ, chính xác, có căn cứ chứng minh tính hợp pháp và hợp lệ thông qua kiểm soát hệ thống chứng từ và sổ kế toán. Quá trình kiểm soát này bao gồm kiểm soát tổng quá và kiểm soát ứng dụng. Kiểm soát tổng quát (gián tiếp): là việc kiểm soát tổng thể với nhiều hệ thống, nhiều công việc khác nhau. Đây là công việc thuộc về chức năng của bộ phận công nghệ thông tin trong đơn vị và nếu cần thì có thể phải sử dụng đến các chuyên gia về công nghệ thông tin. Có thể chia ra làm hai loại kiểm soát là kiểm soát chung và kiểm soát ứng dụng. Kiểm soát chung: là loại kiểm soát áp dụng cho tất cả các hệ thống ứng dụng để đảm bảo các hệ thống này hoạt động liên tục và ổn định bao gồm kiểm soát hoạt động của trung tâm dữ liệu, kiếm soát phần mềm hệ thống, kiểm soát truy cập, kiểm soát các hệ thống ứng dụng. Trong đó, kiểm soát hoạt động của trung tâm dữ liệu gồm các hoạt động lên kế hoạch, sắp xếp lịch trình, sao lưu và phục hồi dữ liệu nếu có sự cố. Kiểm soát phần mềm hệ thống bao gồm kiểm soát việc mua, bảo trì các phần mềm như hệ điều hành, phần mềm ứng dụng, phần mềm truyền thông, phần mềm quản trị dữ liệu…
Kiểm soát truy cập nhằm ngăn ngừa việc xâm nhập trái phép vào các thông tin trên hệ thống đảm bảo người sử dụng phải có tên đăng nhập, mật khẩu, mật khẩu phải được thay đổi liên tục. Kiểm soát việc bảo trì và phát triển các hệ thống ứng dụng nhằm đảm bảo các ứng dụng đáp ứng nhu cầu của người sử dụng và cung cấp thông tin, phát triển ứng dụng phải có sự xét duyệt của người có thẩm quyền. Kiểm soát ứng dụng là kiểm soát áp dụng cho từng hệ thống cụ thể ví dụ quá trình mua hàng, bán hàng, thanh toán, chi phí… nhằm đảm bảo là các dữ liệu phải được nhập vào và xử lý một cách chính xác, phát hiện các dữ liệu không hợp lý. Nội dung của kiếm soát ứng dụng bao gồm dữ liệu đầu vào (việc phê chuẩn, tính chính xác của dữ liệu), quá trình xử lý (kiểm tra theo từng đợt vận hành, kiểm tra chéo, cài đặt các kiểm soát lập trình sẵn…), dữ liệu đầu ra (kiểm soát số liệu sau xử lý, kiểm soát số liệu lưu trữ…) thông qua các chương trình ứng dụng thích hợp.
Kiểm soát vật chất: Kiểm soát vật chất nhằm đảm bảo sự hiện hữu, chất lượng của tài sản. Kiểm soát tài sản là việc ban hành các quy chế, thủ tục để nhằm bảo vệ tài sản và thông tin trong đơn vị. Đây là loại hình kiểm soát mà thường được nghĩ tới đầu tiên khi nói về KSNB. Loại hình này được thực hiện thông qua các biện pháp như sử dụng trang thiết bị như két sắt, nhà kho, hàng rào…và định kỳ tiến hành kiểm kê tài sản, đối chiếu số liệu trên sổ sách để báo cáo kịp thời các chênh lệch và xử lý các sai phạm phát sinh.
Kiểm soát lại việc thực hiện (phân tích rà soát) là việc đánh giá lại quá trình thực hiện giúp phát hiện những điểm bất thường trong quá trình thực hiện bằng hệ thống định mức chi phí, chỉ số tài chính, hệ thống báo cáo cho phép phát hiện sai lệch…
4. Hệ thống thông tin và trao đổi thông tin
Hệ thống thông tin và trao đổi thông tin tạo ra báo cáo, chứa đựng các thông tin cần thiết cho việc quản lý và kiểm soát của đơn vị. Các thông tin cần thiết phải được nhận dạng thu thập và trao đổi trong đơn vị để giúp mọi người thực hiện nhiệm vụ của mình. Thành phần này phản ánh về một hệ thống tổng thể liên quan tới xử lý, lưu trữ và cung cấp thông tin trong đơn vị và góp phần tạo sự kết nối với các thành phần khác trong hệ thống KSNB. Hệ thống thông tin và trao đổi thông tin ở đây bao gồm cả các thông tin giúp cho việc ra quyết định và việc cung cấp thông tin cho các nhà quản trị trong đơn vị và các cá nhân có liên quan bên ngoài đơn vị. Nội dung của thành phần này bao gồm hai bộ phận là hệ thống thông tin (trong đó thông tin do hệ thống kế toán cung cấp là quan trọng nhất) và truyền thông (cách thức trao đổi thông tin giữa các bộ phận bên trong đơn vị và bên ngoài đơn vị).
Hệ thống thông tin: Hệ thống này được thể hiện trong các báo cáo bao gồm cả thông tin bên trong và bên ngoài, thông tin tài chính và phi tài chính, thông tin về hoạt động thường xuyên (sản xuất, bán hàng…) và không thường xuyên (nhu cầu khách hàng…) cần thiết cho việc đạt mục tiêu của kiểm soát. Nguồn cung cấp thông tin thường tới từ hệ thống kế toán – giúp cung cấp phần lớn thông tin cần thiết thông qua các báo cáo của kế toán tài chính và kế toán quản trị, các báo cáo về sản xuất kinh doanh, nhân sự, marketing, các cuộc điều tra thị trường, các cuộc họp, các hội thảo chuyên ngành, các buổi tập huấn và đào tạo chuyên môn…
Hệ thống thông tin tốt sẽ hỗ trợ cho chiến lược kinh doanh, hỗ trợ các sáng kiến kinh nghiệm, tích hợp thông tin của nhiều hoạt động (kết hợp thông tin sản xuất với thông tin tài chính), phối hợp thông tin mới và cũ, đảm bảo chất lượng thông tin kịp thời, thích hợp, chính xác, cập nhật. Theo VSA 315, hệ thống thông tin gồm thông tin từ hệ thống kế toán và các quy trình kinh doanh, các hoạt động có liên quan. Thông tin liên quan tới hệ thống kế toán, thông tin sẽ liên quan tới các thủ tục, tài liệu kế toán, các bút toán ghi sổ, báo cáo kế toán. Các thủ tục, tài liệu kế toán được thiết kế để ghi chép và báo cáo về giao dịch, giải quyết các giao dịch bị xử lý sai… Các bút toán ghi sổ bao gồm bút toán thông dụng (mua, bán, thanh toán…) và không thông dụng (bút toán điều chỉnh khi lập Báo cáo tài chính hợp nhất, thanh lý, ước tính kế toán…).
Thông tin liên quan tới các quy trình sản suất kinh doanh được quản lý và xử lý, lưu trữ thông qua các phần mềm máy tính như phần mềm ứng dụng để thống kê, lưu trữ dữ liệu, lập các bảng tính… và các phần mềm chuyên biệt như quản lý dự án, đánh giá chất lượng, thiết kế, hoạch định nhu cầu, dự trữ… Hệ thống thông tin còn gồm thông tin từ quản trị nhân sự và thông tin từ marketing. Thông tin marketing là thông tin liên quan tới nhu cầu của người sử dụng dịch vụ, sản phẩm gồm xác định khách hàng tiềm năng, liên hệ khách hàng, giải quyết khiếu nại, tài liệu liên quan tới khách hàng, xử lý đơn đặt hàng, quản lý khách hàng, xúc tiến bán hàng, dự báo bán hàng… Phần mềm liên quan tới thông tin này cũng gồm phần mềm ứng dụng để xử lý thông tin, ghi chép, lập bảng tính…và phần mềm chuyên dụng như trợ giúp bộ phận bán hàng, quản lý giao dịch bán hàng. Thông tin từ nhân sự gồm thông tin tuyển dụng, sắp xếp công việc, đánh giá chất lượng công việc, quản lý thời gian làm việc, thông tin đào tạo và phát triển nhân lực…
Truyền thông được coi là một chức năng của hệ thống thông tin, bao gồm cả cung cấp thông tin cho bên trong và bên ngoài. Truyền thông bên trong đơn vị bao gồm kênh thông tin hàng dọc, hàng ngang và kênh thông tin bổ sung. Kênh thông tin hàng dọc là kênh thông tin truyền thông tin từ trên xuống dưới và từ dưới lên trên. Nhân viên nhận được mệnh lệnh từ nhà quản lý cấp cao để thực hiện công việc đúng trách nhiệm và quy định, nhà quản trị nhận được thông tin phản hồi, đề xuất từ nhân viên và phản hồi lại. Kênh thông tin hàng ngang là kênh để trao đổi giữa các cá nhân trong cùng bộ phận, trao đổi giữa các bộ phận khác nhau. Kênh thông tin bổ sung được thiết lập khi các kênh chính hoạt động không hiệu quả. Truyền thông bên ngoài đơn vị gồm: thu nhận thông tin từ các đối tượng bên ngoài doanh nghiệp như khách hàng, nhà cung cấp, ngân hàng, cơ quan quản lý nhà nước…và báo cáo cho các cấp quản trị thích hợp. Ngược lại, doanh nghiệp phải cung cấp thông tin cho các đối tượng bên ngoài để giúp họ hiểu về tình hình của đơn vị đảm bảo thông tin phải nhất quán, kịp thời, phù hợp yêu cầu pháp lý.
5. Giám sát
Giám sát các kiểm soát là quy trình đánh giá hiệu quả hoạt động của KSNB trong từng giai đoạn, nhằm đảm bảo hệ thống KSNB luôn hoạt động hữu hiệu, phát hiện kịp thời những khiếm khuyết của hệ thống kiểm soát nội bộ và có biện pháp khắc phục càng sớm càng tốt. Giám sát bao gồm giám sát thường xuyên và giám sát định kỳ, đánh giá về hệ thống KSNB, báo cáo về hạn chế của hệ thống.
Giám sát thường xuyên: là giám sát được thực hiện đồng thời cùng với các hoạt động hàng ngày từ khâu lập kế hoạch, thực hiện, kiểm tra. Ví dụ: đối chiếu số liệu ghi chép trên sổ kế toán với số liệu kiểm kê thực tế, kiểm tra thông tin từ các khách hàng, yêu cầu nhân viên thực hiện cung cấp thường xuyên các báo cáo về thủ tục kiểm soát thực hiện tại bộ phận của mình, giám sát của kiểm toán viên nội bộ với từng công việc, xem xét các báo cáo quản trị, xem xét kết quả của các cuộc họp, thảo luận…Phạm vi hoạt động giám sát thường xuyên rất rộng và công việc này được lồng ghép cùng với các thủ tục kiểm soát trực tiếp các hoạt động. Mức độ của giám sát thường xuyên là lặp đi lặp lại liên tục. Giám sát thường xuyên sẽ giúp nâng cao hiệu quả kiểm soát.
Giám sát định kỳ: là giám sát thường thực hiện theo thời gian nhất định hoặc khi có tình huống đặc biệt như thay đổi nhà quản lý cấp cao, tái cấu trúc… Người thực hiện giám sát định kỳ thông thường là người thực hiện hoạt động, họ tự đánh giá về các chính sách thủ tục kiểm soát tại bộ phận dưới sự hướng dẫn của nhà quản lý bộ phận và cung cấp kết quả cho nhà quản lý cấp cao nhất trong đơn vị, kiểm toán viên nội bộ (nếu có), kiểm toán viên độc lập cũng tham gia vào công việc giám sát định kỳ. Phương tiện để thực hiện hoạt động giám sát định kỳ đó là bảng kiểm tra, bảng câu hỏi, lưu đồ.
Sau khi hoàn thiện trên các tài liệu trên, doanh nghiệp có thể so sánh với doanh nghiệp khác có hệ thống kiểm soát nội bộ tốt hơn hoặc nhờ các bên tư vấn soát xét hộ để tìm ra những khiếm khuyết có thể có và nguyên nhân của khiếm khuyết phát hiện, lập các báo cáo đánh giá về hệ thống cũng như các hạn chế của hệ thống.Thông thường, hệ thống kiểm soát nội bộ sẽ được thiết kế để giám sát thường xuyên được thực hiện ở một mức độ nhất định, và khi giám sát thường xuyên càng hiệu quả thì có thể giảm thực hiện giám sát định kỳ.
Giám sát định kỳ giúp phát hiện nhanh các khiếm khuyết do được thực hiện sau khi xảy ra vấn đề tuy nhiên sẽ làm phát sinh thêm chi phí cho hệ thống kiểm soát. Do đó, doanh nghiệp nên xây dựng hệ thống kiểm soát theo hướng tích hợp giám sát thường xuyên trong quá trình kiểm soát, để giảm khối lượng thủ tục kiểm soát và tiết kiệm chi phí.Từ những khái quát chung về giám sát kiểm soát có thể cho thấy hoạt động này là rất cần thiết trong xây dựng và duy trì hệ thống KSNB trong ngân hàng. Nhà quản lý nhất thiết phải thực hiện tốt công tác giám sát để xác định được liệu hệ thống KSNB còn phù hợp, phát hiện và ngăn ngừa rủi ro mới hay không, hoặc cần phải thay đổi để phù hợp với điều kiện mới.
Tham khảo thêm
- Bùi Thanh Sơn (2020). Kiểm soát nội bộ trong các ngân hàng thương mại Việt Nam. Luận án tiến sĩ Kinh tế (Chuyên ngành Quản lý kinh tế). Học viện Khoa học xã hội – Viện Hàn lâm Khoa học xã hội Việt Nam. Hà Nội.
- Bank of China. Financial Reports (2017 Annual Report).
