TÌM HIỂU VỀ COSO VÀ KIỂM SOÁT NỘI BỘ
TRONG DOANH NGHIỆP
I- Tổng quan về COSO
1. COSO là gì?
COSO ( Committee Of Sponsoring Organization) là một ủy ban thuộc Hội đồng quốc
gia Hoa kỳ về việc chống gian lận về báo cáo tài chính ( National Commission on Finalcial
Reporting, hay còn được gọi là Treadway Commission). COSO được thành lập nhằm
nghiên cứu về kiểm soát nội bộ, cụ thể là:
 Thống nhất định nghĩa về kiểm soát nội bộ để phục vụ cho nhu cầu của các đối
tượng khác nhau.
 Công bố đầy đủ một hệ thống tiêu chuẩn để giúp các đơn vị có thể đánh giá hệ thống
kiểm soát của họ và tìm giải pháp để hoàn thiện.
Báo cáo của COSO được công bố dưới tiêu đề: Kiểm soát nội bộ - Khuôn khổ hợp nhất
( Internal Control – Intergrated Framework).
2. Các hoạt động chính của COSO
- Sứ mệnh
Ban tổ chức bảo trợ (COSO) có nhiệm vụ là cung cấp cho lãnh đạo tư tưởng thông
qua sự phát triển của khuôn khổ toàn diện và hướng dẫn về quản lý rủi ro doanh nghiệp,
kiểm soát nội bộ và ngăn chặn gian lận được thiết kế để cải thiện hiệu suất tổ chức và quản
lý nhà nước và làm giảm mức độ gian lận trong tổ chức.
- Tầm nhìn
Tầm nhìn của COSO là phải được các nhà lãnh đạo suy nghĩ thừa nhận trên thị
trường toàn cầu về sự phát triển của hướng dẫn trong các lĩnh vực rủi ro và kiểm soát cho
phép quản lý tốt tổ chức và giảm sự gian lận
- Lịch sử
COSO được tổ chức vào năm 1985 để tài trợ cho Uỷ ban quốc gia về báo cáo tài chính
gian lận,khởi đầu cho một lĩnh vực riêng độc lập để nghiên cứu các yếu tố nhân quả có thể
dẫn đến báo cáo tài chính gian lận. Nó cũng được phát triển và khuyên dùng rộng rãi cho
các công ty và kiểm toán độc lập của họ, cho SEC( Ủy ban chứng khoán Mỹ) hoặc là
những người điều khiển khác và cho ngành giáo dục
Ủy ban quốc gia được tài trợ bởi năm tổ chức có trụ sở tại Hoa Kỳ: Hiệp hội Kế toán

làm việc trên các dự án cụ thể. Dự án của COSO được thực hiện, xem xét và hoàn thiện
theo quy định với các chính sách đã đồng ý của các tổ chức tài trợ.
Các thành viên Ủy ban: Mỗi tổ chức tài trợ sẽ chỉ định một cá nhân là đại diện của mình
ở COSO. Mỗi tổ chức tài trợ sẽ xác định các tiêu chuẩn và đặc điểm riêng của nó để bổ
nhiệm một thành viên (ví dụ, chiều dài, thời gian của nhân viên hoặc người tiên phong, vv).
Thành viên Ủy ban chịu trách nhiệm về chiến lược của COSO, kinh phí và khuôn khổ phát
triển, các nghiên cứu và hướng dẫn. Thành viên Ủy ban dự kiến sẽ được trao quyền, có sự
tham gia và đánh giá cao sự hỗ trợ cho nhiệm vụ của COSO.
Các cuộc họp Ủy ban và các kỳ vọng: Thành viên Ủy ban phải cố gắng triệu tập hàng
quý để xem xét lại chiến lược của COSO, hiệu suất tài chính và hoạt động, cải tiến quy
trình liên tục và bất kỳ doanh nghiệp khác như tiến độ công việc hoặc dự án mới. COSO,
với những lý do khác nhau, sẽ luân phiên các cuộc họp hàng quý tại các địa điểm gần nhau
của các tổ chức tài trợ, với một hội nghị cũng là một lựa chọn tùy thuộc vào chương trình
bàn luận.
Chủ tịch COSO : Chủ tịch COSO được bổ nhiệm bởi cuộc bỏ phiếu nhất trí của các
thành viên của tổ chức tài trợ. Nhiệm kỳ của Chủ tịch là ba năm, thêm một năm nữa nếu có
sự thoả thuận của Chủ tịch và biểu quyết bởi các thành viên Ủy ban COSO.
Bổ nhiệm các đại diện: COSO có thể hình thành các tiểu ban hoặc các nhóm công tác
theo quyết định của mình để tư vấn cho COSO về các vấn đề hướng dẫn, dự án nghiên cứu.
Tại quyết định của mình, COSO có thể chọn để truyền đạt các mục tiêu, phân phối hợp lý
và yêu cầu tài nguyên cho các ủy ban, các nhiệm vụ.
Ngiên cứu và hướng dẫn dự án: COSO có thể chọn bên thứ ba tham gia để tiến hành
nghiên cứu và thay mặt cho COSO. Nghiên cứu phải phù hợp với nhiệm vụ của COSO. Bổ
nhiệm và các điều khoản bồi thường đòi hỏi sự chấp thuận nhất trí của các thành viên Ủy
ban COSO. Một thành viên ủy ban của COSO có thể tiến hành nghiên cứu nhưng phải xét
lại bản thân mình từ quá trình bỏ phiếu.
Thực hiện chức năng hành chính cho COSO: Kể từ khi COSO là một ủy ban được tài
trợ bởi các tổ chức khác, có một nhu cầu nhất định cho các chức năng hành chính của ủy
ban được thực hiện bởi một hoặc nhiều của các tổ chức tài trợ hoặc các bên thứ ba. Trách
nhiệm của từng tổ chức có thể thay đổi theo thời gian để phản ánh hoặc những trách nhiệm

 Bảo về tài sản khỏi bị hư hỏng, mất mát, hao hụt, gian lận, lừa gạt, trộm cắp…
 Đảm bảo tính chính xác của các số liệu kế toán và báo cáo tài chính.
 Đảm bảo mọi thành viên tranh thủ nội quy của công ty cũng như các quy định của
luật pháp.
 Đảm bảo sử dụng tối ưu các nguồn lực và đạt được mục tiêu đề ra
 Bảo vệ quyền lợi của nhà đầu tư, cổ đông và gây dựng lòng tin đối với họ.
2. Khái niệm kiểm soát nội bộ
2.1. Theo chuẩn mực kiểm toán quốc tế
Kiểm soát nội bộ là quá trình được thực hiện bởi Hội đồng quản trị, nhà quản lý và nhân
viên khác và được thiết lập nhằm cung cấp một sự bảo đảm hợp lý để đạt được những mục
tiêu của đơn vị như:
- Hoạt động hữu hiệu và hiệu quả kinh doanh
- Thông tin đáng tin cậy
- Sự tuân thủ luật và qui định hiện hành
2.2. Theo chuẩn mực kiểm toán Việt Nam
Hệ thống KSNB là các quy định và các thủ tục kiểm soát do đơn vị được kiểm toán xây
dựng và áp dụng nhằm bảo đảm cho đơn vị tuân thủ pháp luật và các qui định, để kiểm tra,
kiểm soát, ngăn ngừa và phát hiện gian lận, sai sót; để lập báo cáo tài chính trung thực và
hợp lý; nhằm bảo vệ, quản lý và sử dụng có hiệu quả tài sản của đơn vị. Hệ thống kiểm soát
nội bộ bao gồm môi trường kiểm soát, hệ thống kế toán và các thủ tục kiểm soát
3. Các thành phần chính của hệ thống KSNB
Theo COSO hệ thống KSNB được cấu thành do 5 bộ phận:
3.1Môi trường kiểm soát
Là những yếu tố của công ty ảnh hưởng đến hoạt động của hệ thống kiểm soát nội bộ
và là các yếu tố tạo ra môi trường mà trong đó toàn bộ thành viên của công ty nhận thức
được tầm quan trọng của hệ thống kiểm soát nội bộ. Để tìm hiểu và đánh giá môi trường
kiểm soát cần tìm hiểu các nhân tố sau:
• Triết lý quản lý và phong cách hoạt động: Bao gồm sự tiếp cận, khả năng nhận
thức và giám sát rủi ro tronh kinh doanh, quan điểm về tính chính xác của dữ liệu
kế toán, quan điểm về khả năng đạt được các dự toán ngân sách hay thực hiện

3.2Đánh giá rủi ro
Các rủi ro làm cho mục tiêu của tổ chức có thể không đạt được. Các rủi ro xảy ra có thể
do rất nhiều nguyên nhân đến từ cả bên ngoài và bên trong tổ chức, rủi ro có thể là rủi ro do
chủ quan hay khách quan. Nhà quản lý phải quyết định rủi ro nào là có thể chấp nhận và
phải làm gì để quản lý rủi ro. Để làm được điều này nhà quản lý phải thực hiện các công
việc sau:
• Thiết lập các mục tiêu của tổ chức: Các mục tiêu này bao gồm mục tiêu chung của
tổ chức và mục tiêu riêng của từng bộ phận hay từng hoạt động, từng giai đoạn
• Nhận dạng, phân tích rủi ro khiến tổ chức không thể đạt được các mục tiêu. Các
rủi ro này có thể phát sinh từ môi trường kinh doanh hay từ các chính sách của tổ
chức. Các khả năng rủi ro có thể đến do các mối đe dọa sau:
- Chiến lược kinh doanh sai lầm
- Các hoạt động không được thực hiện đúng
- Các rủi ro về tài chính
- Các rủi ro về thông tin
- Chọn lựa và sử dụng công nghệ không phù hợp
- Sự truy cập hệ thống bất hợp pháp
- Ngăn chặn, phá hủy dữ liệu đang được truyền tải
- Dữ liệu của hệ thống không đồng bộ hay không được tích hợp
- Truyền tải dữ liệu không hoàn chỉnh
- Hệ thống bị sự cố như lỗi phần cứng, phần mềm, bị cúp điện
- Hệ thống không tương thích với hệ thống khác
Sau khi xác định các nguy cơ có thể có, các nhà quản lý cần đánh giá rủi ro, ước tính các
thiệt hại và các khả năng khắc phục thiệt hại, xác định các thủ tục kiểm soát cần thiết.
3.3Các hoạt động kiểm soát
Các hoạt động kiểm soát là những chính sách, thủ tục giúp cho việc thực hiện các chỉ
đạo của người quản lý, đảm bảo có các hành động cần thiết để quản lý các rủi ro có thể phát
sinh trong quá trình thực hiện mục tiêu. Các hoạt động kiểm soát thường bao gồm:
• Phân chia trách nhiệm đầy đủ
Để kiểm soát nội bộ hiệu quả, một cá nhân không được thực hiện quá nhiều trách nhiệm và

• Thiết kế và sử dụng các chứng từ và sổ phù hợp. Đảm bảo cho việc ghi chép
chính xác và đầy đủ tất cả các dữ liệu cần thiết của một nghiệp vụ kinh tế. Hình thức
và nội dung của chứng từ và sổ không nên quá phức tạp, phải dễ ghi, dễ kiểm tra đối
chiếu và hạn chế tối đa các sai sót trong quá trình ghi chép. Nội dung của chứng từ
và sổ cần thể hiện đầy đủ các yếu tố hỗ trợ cho kiểm soát, ví dụ: khả năng cung cấp
dấu vết kiểm toán.
• Đảm bảo an toàn cho tài sản vật chất và thông tin. Hiện nay thông tin cũng được
xem là tài sản quan trọng của tổ chức. Do đó cần phải thiết lập các thủ tục kiểm soát
đảm bảo an toàn cho vật chất và thông tin. An toàn về mặt vật lý thường bao gồm
các thủ tục kiểm soát:
- Giám sát quản lý một cách hiệu quả và phân chia trách nhiệm đầy đủ
- Ghi chép và theo dõi chính xác, đầy đủ các biến động của tài sản vật chất và
thông tin
- Hạn chế tiếp cận vật chất đối với tài sản, tiếp cận với thông tin được lưu trữ
- Bảo vệ sổ sách, các tập tin, tài liệu và chứng từ kế toán
- Kiểm soát môi trường làm việc trong tổ chức
- Giới hạn tiếp cận với trung tâm dữ liệu
3.4Thông tin và truyền thông
Tất cả các cấp quản lý và tác nghiệp trong một tổ chức đều cần thông tin để có thể
hoàn thành trách nhiệm của mình. Hệ thống thông tin nhận dạng, ghi nhận xử lý và cung
cấp thông tin cần thiết cho người sử dụng thông tin
Truyền thông là sự chuyển giao, truyền đạt và cung cấp thông tin cho cả nội bộ tổ chức lần
bên ngoài
Thông tin và truyền thông dảm bảo cho kiểm soát có thể được thực hiện một cách
hiệu quả và ngược lại, kiểm soát tốt sẽ đảm bảo sự an toàn và trung thực của thông tin
Hệ thống thông tin trong một tổ chức bao gồm nhiều phân hệ, trong đó hệ thống thông tin
kế toán đóng vai trò quan trọng. Một hệ thống thông tin kế toán được thiết kế tốt sẽ đáp ứng
yêu cầu phát hiện và ngăn chặn các rủi ro, gian lận
3.5Giám sát
Giám sát là một quá trình đánh giá chất lượng thực hiện kiểm soát nội bộ một cách

5. Các nguy cơ đối với dữ liệu và an toàn thông tin kế toán
5.1Nguy cơ đối với dữ liệu kế toán
Dữ liệu kế toán có thể bị sai lệch do sai sót, gian lận hay vi phạm pháp luật
• Sai sót. Sai sót có thể là do không cẩn thận hay có thể là do thiếu kiến thức. Ví dụ:
bán hàng thu tiền mặt nhân viên có thể ghi si thành bán thu trả chậm
• Gian lận. Có hai dạng gian lận;
- Gian lận quản lý: Nhân viên quản lý có thể cố ý làm sai thông tin tài chính như
báo cáo lợi nhuận cao hơn để tăng tiền thưởng cho cá nhân hoặc tăng giá cổ
phiếu do họ đang nắm giữ.
- Tham ô – biển thủ: Tài sản của tổ chức có thể bị lấy đi một cách bất hợp pháp vì
mục đích cá nhân.
5.2Nguồn rủi ro trong quản lý dữ liệu
• Nguồn nội bộ. Có thể là nhân viên trong tổ chức thấy được sơ hỏ nên lợi dụng cơ
hội trộm cắp tài sản
- Các nhân viên tác nghiệp như nhân viên kế toán, bán hàng có cơ hội tiếp cận lấy
cắp tài sản
- Các nhà quản lý trung gian
- Ngoài ra thông đồng nội bộ cũng có thể xảy ra
• Nguồn bên ngoài. Có thể từ các mối quan hệ kinh doanh hay từ các cá nhân bên
ngoài muốn đánh cắp tài sản của tổ chức
- Bên bán hay bên mua có các mối kinh doanh với doanh nghiệp có thể qua giao
dịch có thể thâm nhập một cách gián tiếp vào thông tin dữ liệu
- Tội phạm có thể lợi dụng điểm yếu của hệ thống an toàn dữ liệu để thực hiện lừa
đảo tài sản
5.3Các dạng rủi ro đối với dữ liệu kế toán
• Phá hủy dữ liệu và chương trình. Sự phá hủy hệ thống thông tin có thể do vô ý
hay cố ý. Để ngăn chặn việc này tổ chức phải quan tâm đến việc thuê nhân viên vận
hành máy vi tính được đào tạo tốt, có hướng dẫn cụ thể về quá trình bảo vệ các tập
tin.
• Gián điệp. Các công ty cạnh tranh có thể tìm cách để thâm nhập vào hệ thống thông

 Phát hiện che dấu số liệu. Ví dụ để che dấu việc lấy cắp, nhân viên chỉnh số liệu kế
toán. Thông thường người gian lận sẽ tìm một khoản chi phí nào đó hay điều chỉnh
số liệu từ một tài khoản sang một tài khoản khác ít được kiểm soát hơn như từ tài
khoản phải thu của khách hàng sang tài khoản phải thu khác.
6. Để hệ thống KSNB thực sự có hiệu quả
Rất khó để tìm ra một công thức chung giúp bạn khắc phục những yếu kém của hệ thống
kiểm soát trong công ty bạn. Tuỳ từng công ty, tuỳ từng khuyết điểm mà bạn cần có những
biện pháp riêng biệt nhưng việc thực hiện thành công các biện pháp kiểm soát nội bộ đòi
hỏi một số nguyên tắc chung:
 Một môi trường văn hoá nhấn mạnh đến sự chính trực, giá trị đạo đức và phân công
trách nhiệm rõ ràng
 Quy trình hoạt động và quy trình kiểm soát nội bộ được xác định rõ ràng bằng văn
bản và được truyền đạt rộng rãi trong nội bộ công ty
 Các hoạt động rủi ro được phân tách rõ ràng giữa những nhân viên khác nhau
 Tất cả các giao dịch phải được thực hiện với sự uỷ quyền thích hợp
 Mọi nhân viên đều phải tuân thủ hệ thống kiểm soát nội bộ
 Trách nhiệm kiểm tra và giám sát được phân tách rõ ràng
 Định kỳ tiến hành các biện pháp kiểm tra độc lập
 Mọi giao dịch quan trọng phải được ghi lại dưới dạng văn bản
 Định kỳ phải kiểm tra và nâng cao hiệu quả của các biện pháp kiểm soát nội bộ.
III- Kết luận
Trong khu vực công tại Việt Nam hiện nay, khái niệm kiểm soát nội bộ còn rất mới
mẻ. Các nhà quản lý trong khu vực công thường dựa trên các quy định của pháp luật, kinh
nghiệm cá nhân để hành xử hơn là một cái nhìn tổng quát và có hệ thống về công tác kiểm
soát. Ngoài ra, việc thiếu một kỹ năng phân tích từ mục tiêu, rủi ro đến các hoạt động kiểm
soát sẽ dẫn đến tổn hao nguồn lực vào những thủ tục kiểm soát không cần thiết trong khi lại
bỏ sót những rủi ro quan trọng.
Các doanh nghiệp cần tạo dựng nền tảng cho những phát triển bền vững sau này
thông qua những thiết kế hệ thống hữu hiệu, là một trong những việc làm hết sức cụ thể để
nâng cao năng lực cạnh tranh trong quá trình hội nhập kinh tế quốc tế mặc dù đây là công