1
PHẦN MỞ ĐẦU
1. Lý do thực hiện đề tài
Trong nền sản xuất thương mại toàn cầu hóa hiện nay, khi các công ty đẩy
mạnh hoạt động ở những lãnh thổ mới tìm kiếm chi phí thấp hơn, các tổ chức phải
thường xuyên cải tổ, sát nhập, thay đổi cấu trúc, đổi mới sản phẩm. Để phù hợp với
xu thế kinh tế mở cửa hội nhập, nền kinh tế nói chung và hoạt động sản xuất kinh
doanh nói riêng đã có nhiều thay đổi phong phú, các hoạt động kinh tế diễn ra ngày
càng sôi động trên phạm vi lớn, thu hút mọi thành phần kinh tế tham gia. Hội nhập
kinh tế quốc tế đem lại nhiều thuận lợi đồng thời cũng đặt ra nhiều thách thức với
các doanh nghiệp Việt Nam, các doanh nghiệp có sức cạnh tranh kém, quy mô nhỏ
có nguy cơ phá sản cao. Tìm cách đứng vững trên thị trường và phù hợp với sự phát
triển của nền kinh tế thì mỗi đơn vị sản xuất kinh doanh đều cố gắng làm cho doanh
nghiệp mình tăng trưởng và phát triển. Bên cạnh việc thường xuyên nâng cao chất
lượng sản phẩm, tiết kiệm chi phí sản xuất, hạ giá thành sản phẩm, các nhà quản lý
còn phải quan tâm đến vấn đề kiểm soát doanh nghiệp, bởi vì trong mọi hoạt động
của doanh nghiệp, kiểm tra kiểm soát luôn giữ vai trò quan trọng trong quá trình
quản lý và được thực hiện chủ yếu bởi hệ thống kiểm soát nội bộ.
Thực tế ở các công ty nước ngoài thuộc các tập đoàn lớn trên thế giới thì xây
dựng và quản lý một hệ thống kiểm soát nội bộ không còn xa lạ gì với họ, nhưng
khi các công ty này đầu tư vào Việt Nam cần phải điều chỉnh và thay đổi sao cho
phù hợp với luật pháp, quy định và tình hình thực tế tại Việt Nam. Ở Việt Nam hiện
nay, các doanh nghiệp đều nhận thức được vai trò của hệ thống kiểm soát nội bộ,
nhưng việc xây dựng hệ thống kiểm soát nội bộ tại các doanh nghiệp thường chỉ tập
trung vào các chỉ số kinh tế tài chính và kết quả cuối cùng với thói quen tìm lỗi, đổ
trách nhiệm chứ ít chú trọng kiểm tra, kiểm soát toàn bộ hoạt động của tổ chức, lấy
ngăn chặn, phòng ngừa là chính. Tuy nhiên, trong quá trình triển khai ấy thường
gặp phải các khó khăn do thiếu phương pháp quản lý có hệ thống, dẫn đến sự thay
đổi đột ngột, phát sinh các rủi ro không lường trước và tạo hiệu ứng ngược lại, kéo
theo tổ chức tụt hậu so với trước đó, thậm chí tổ chức còn bị phá sản chính vì sự
điểm khác nhau. Đề tài nghiên cứu của tác giả kế thừa và phát huy các nghiên cứu
trước đó ứng với thực tế của công ty trách nhiệm hữu hạn Diamond Việt Nam, đưa
ra hệ thống giải pháp có giá trị ứng dụng để nâng cao giá trị doanh nghiệp.
2. Các nghiên cứu có liên quan
Trƣơng Thị Bích Ngọc (2012), “Giải pháp nâng cao hiệu quả kiểm soát
rủi ro tại các doanh nghiệp Việt Nam trong thời kỳ hội nhập kinh tế thế giới”,
3
luận văn thạc sĩ, Trƣờng Đại học Kinh Tế Tp. Hồ Chí Minh. Trong đề tài này
tác giả đã hệ thống hóa cơ sở lý luận về quản trị rủi ro và kiểm soát rủi ro; tiếp cận
lý luận hiện đại về các mô hình kiểm soát rủi ro thông qua việc nghiên cứu các tài
liệu có liên quan đến kiểm soát rủi ro trong và ngoài nước; phân tích mô hình kiểm
soát rủi ro thông qua việc xây dựng hệ thống quản trị rủi ro doanh nghiệp (ERM) –
một xu hướng mới của nền kinh tế. Đồng thời, phân tích thực trạng kiểm soát rủi ro
tại các doanh nghiệp trên thế giới cũng như thất bại của một số doanh nghiệp trong
việc nhận diện rủi ro và kiểm soát rủi ro để làm bài học kinh nghiệm cho Việt Nam.
Đề tài còn đánh giá thực trạng nhận diện rủi ro và kiểm soát rủi ro tại các doanh
nghiệp Việt Nam thông qua cuộc khảo sát tại 100 doanh nghiệp, từ đó phân tích
những mặt tích cực, yếu kém trong việc kiểm soát rủi ro và nguyên nhân tồn tại của
những yếu kém đó. Đề xuất các giải pháp để nâng cao hiệu quả kiểm soát rủi ro tại
các doanh nghiệp Việt Nam trong giai đoạn hội nhập kinh tế thế giới. Tuy nhiên,
luận văn không tập trung nghiên cứu để xây dựng tổ chức quy trình cho một doanh
nghiệp cụ thể cũng như không nghiên cứu ứng dụng các kỹ thuật định lượng rủi ro.
Nguyễn Thị Hồng Phúc (2012), “Hoàn thiện hệ thống kiểm soát nội bộ
hướng đến quản trị rủi ro tại công ty trách nhiệm hữu hạn Fujikura Việt Nam”,
luận văn thạc sĩ, Trƣờng Đại học Kinh Tế Tp. Hồ Chí Minh Trong đề tài này tác
giả đã đánh giá vai trò quan trọng của hệ thống kiểm soát nội bộ và quản trị rủi ro
trong việc đạt mục tiêu của đơn vị. Tác giả khảo sát thực tế tại công ty TNHH
xây dựng hệ thống kiểm soát rủi ro cho mình và nếu có doanh nghiệp đã xây dựng ở
mức độ nào; cuối cùng là đề ra giải pháp hoàn thiện hệ thống kiểm soát rủi ro cho
các doanh nghiệp. Hạn chế của luận văn là mẫu khảo sát chưa đủ lớn, thời gian
khảo sát ngắn, chưa tiến hành đánh giá định lượng các yếu tố tác động đến rủi ro
bên trong và bên ngoài doanh nghiệp.
Nguyễn Thị Minh Huệ (2014), “Kiểm soát rủi ro hoạt động xuất nhập
khẩu tại các doanh nghiệp da giày trên địa bàn tỉnh Đồng Nai – Thực trạng và
giải pháp”, luận văn thạc sĩ, Trƣờng Đại học Lạc Hồng. Luận văn trình bày được
cơ sở lý luận cơ bản về rủi ro và kiểm soát rủi ro theo COSO 2004, mối quan hệ
giữa kiểm soát rủi ro với các bộ phận chức năng và bài học kinh nghiệm kiểm soát
rủi ro một số công ty nước ngoài, từ đó rút ra bài học kinh nghiệm cho các doanh
nghiệp da giày Việt Nam nói chung và doanh nghiệp da giày tỉnh Đồng Nai nói
riêng. Trên cơ sở kết quả khảo sát 15 doanh nghiệp và nghiên cứu văn bản của nhà
nước, ngành có liên quan, ý kiến của một số chuyên gia ngành, số liệu kim ngạch
xuất khẩu ngành da giày tỉnh Đồng Nai để đánh giá thực trạng kiểm soát rủi hoạt
động xuất nhập khẩu tại các doanh nghiệp da giày trên địa bàn tỉnh Đồng Nai. Tác
5
giả đề xuất hệ thống các giải pháp nhằm nâng cao hiệu quả kiểm soát rủi ro hoạt
động xuất khẩu tại các doanh nghiệp da giày Việt Nam nói chung và doanh nghiệp
da giày trên địa bàn tỉnh Đồng Nai nói riêng và đưa ra các kiến nghị với Nhà nước,
Chính phủ, Hiệp hội nhằm hỗ trợ cho các doanh nghiệp trong việc xây dựng và
hoàn thiện hệ thống kiểm soát rủi ro hiệu quả và thiết thực. Hạn chế của đề tài mẫu
khảo sát còn ít nên chưa sử dụng phương pháp định lượng để khám phá các nhân tố
tác động đến tổ chức hệ thống kiểm soát rủi ro tại các doanh nghiệp da giày trên địa
bàn tỉnh Đồng Nai.
Lê Vũ Tƣờng Vy (2014), “Hoàn thiện hệ thống kiểm soát nội bộ theo
hướng quản trị rủi ro tại công ty cổ phần cảng Quy Nhơn”, luận văn thạc sĩ,
quản trị rủi ro.
- Phạm vi nghiên cứu: công ty trách nhiệm hữu hạn Diamond Việt Nam từ
tháng 01/2015 đến 08/2015.
5. Phƣơng pháp nghiên cứu
Phương pháp nghiên cứu sử dụng chủ yếu bằng phương pháp định tính. Cụ
thể như sau:
- Phương pháp tổng hợp hệ thống các lý luận từ các tài liệu khoa học trong
và ngoài nước về kiểm soát nội bộ gắn với quản trị rủi ro trong doanh nghiệp.
- Phương pháp tổng hợp số liệu, so sánh và phân tích đánh giá thực tế tổ
chức hệ thống kiểm soát nội bộ theo hướng quản trị rủi ro theo số liệu thứ cấp. Tác
giả dùng phương pháp điều tra khảo sát, phương pháp thống kê mô tả để tổng hợp
và phân tích các kết quả khảo sát.
- Phương pháp diễn giải và quy nạp nhằm đưa ra các giải pháp nâng cao hiệu
quả của hệ thống kiểm soát nội bộ theo hướng quản trị rủi ra tại đơn vị nghiên cứu.
6. Đóng góp mới của đề tài
- Đánh giá thực trạng kiểm soát nội bộ theo hướng quản trị rủi ro tại công ty
trách nhiệm hữu hạn Diamond Việt Nam.
- Các giải pháp hoàn thiện kiểm soát nội bộ theo hướng quản trị rủi ro tại
công ty trách nhiệm hữu hạn Diamond Việt Nam được xây dựng một cách cụ thể,
chi tiết, phù hợp với thực tế hoạt động của công ty.
7. Kết cấu của luận văn
Ngoài phần mở đầu và kết luận, kết cấu luận văn gồm 3 chương:
Chương 1: Cơ sở lý luận về hệ thống kiểm soát nội bộ theo hướng quản trị
rủi ro trong doanh nghiệp.
7
Chương 2: Thực trạng hệ thống kiểm soát nội bộ theo hướng quản trị rủi ro
tại công ty trách nhiệm hữu hạn Diamond Việt Nam.
toán, thúc đẩy hoạt động có hiệu quả, khuyến khích sự tuân thủ các chính sách của
người quản lý”.
Năm 1958, Ủy ban thủ tục kiểm toán (CAP) thuộc AICPA ban hành báo cáo
thủ tục kiểm toán 29 "Phạm vi xem xét kiểm soát nội bộ của kiểm toán viên độc
lập" đã phân biệt kiểm soát nội bộ về kế toán và kiểm soát nội bộ về quản lý.
9
Đến 1972, CAP tiếp tục ban hành thủ tục kiểm toán 54 “Tìm hiểu và đánh
giá kiểm soát nội bộ” trong đó đưa ra bốn thủ tục kiểm soát kế toán, đó là đảm bảo
nghiệp vụ chỉ được thực hiện khi đã được phê chuẩn, ghi nhận đúng đắn mọi nghiệp
vụ để lập báo cáo, hạn chế sự tiếp cận tài sản và kiểm kê.
Năm 1973, CAP xét duyệt lại thủ tục kiểm toán 54 và đưa ra định nghĩa về
kiểm soát kế toán và kiểm soát quản lý.
Như vậy, trong suốt thời kỳ trên, khái niệm kiểm soát nội bộ đã không ngừng
được mở rộng ra khỏi những thủ tục bảo vệ tài sản và ghi chép sổ sách kế toán. Tuy
nhiên, trước khi báo cáo COSO 1992 ra đời, kiểm soát nội bộ vẫn mới chỉ dừng lại
như là một phương tiện phục vụ cho kiểm toán viên trong kiểm toán báo cáo tài chính
(Bộ môn kiểm toán, Khoa Kế toán - Kiểm toán Trường Đại học Kinh Tế Tp.HCM
2012).
Giai đoạn phát triển
Vào những năm 1970 đến 1980, nền kinh tế Hoa Kỳ cũng như các quốc gia
khác trên thế giới phát triển mạnh mẽ làm cho số lượng các công ty tăng nhanh chóng,
cùng với đó là sự gian lận cũng ngày càng tăng gây tổn thất lớn cho nền kinh tế.
Năm 1977, sau vụ Watergate (1973) với các khoản thanh toán bất hợp pháp
cho Chính phủ nước ngoài, Quốc hội Mỹ đã thông qua Luật về chống hội lộ nước
ngoài. Sau đó, Ủy ban chứng khoán Hoa Kỳ bắt buộc các công ty phải báo cáo về
kiểm soát nội bộ đối với công tác kế toán ở đơn vị mình (1979).
Sự tranh luận liên quan đến yêu cầu báo cáo về kiểm soát nội bộ của công ty
Năm 2001, COSO triển khai nghiên cứu hệ thống quản trị rủi ro doanh
nghiệp (ERM – Enterprise Risk Management Framework) trên cơ sở Báo cáo
COSO 1992. Dự thảo đã hình thành và công bố vào tháng 7 năm 2003, theo đó
ERM được định nghĩa gồm 8 bộ phận: môi trường nội bộ, thiết lập mục tiêu , nhận
diện sự kiện, đánh giá rủi ro, các hoạt động kiểm soát, thông tin truyền thông và
giám sát. Đến năm 2004, ERM đã được chính thưc ban hành. Cần lưu ý rằng, ERM
(2004) là “là cánh tay nối dài” của Báo cáo COSO (1992) chứ không nhằm thay thế
cho báo cáo này.
- Phát triển cho doanh nghiệp nhỏ
Năm 2006, COSO nghiên cứu và ban hành hướng dẫn “Kiểm soát nội bộ đối
với báo cáo tài chính – Hướng dẫn cho các công ty đại chúng quy mô nhỏ” (gọi tắt
là COSO Guidance 2006). Hướng dẫn này dựa trên nền tảng của Báo cáo COSO
1992 và giải thích về cách thức áp dụng kiểm soát nội bộ trong các công ty đại
chúng quy mô nhỏ (smaller publicly tradeed companies). Đặc điểm của báo cáo này
11
là tập trung hướng dẫn cho phù hợp với điều kiện của các doanh nghiệp nhỏ hơn là
việc tuân thủ Luật Sarbanes-Oxley (SOX).
- Phát triển theo hƣớng công nghệ thông tin
Năm 1996, Bản tiêu chuẩn có tên “Các mục tiêu kiểm soát trong công nghệ
thông tin và các lĩnh vực liên quan” (CoBIT – Control Objectives for Information
and Related Technology) do hiệp hội về kiểm toán và kiểm soát hệ thống thông tin
(ISACA – Information System Audit and Control Association) ban hành. CoBIT
nhấn mạnh đến kiểm soát trong môi trường tin học (CIS – Computer Information
System), bao gồm những lĩnh vực hoạch định và tổ chức, mua và triển khai, phân
phối và hỗ trợ, giám sát.
- Phát triển theo hƣớng kiểm toán độc lập
Các chuẩn mực kiểm toán của Hoa Kỳ, cũng chuyển sang sử dụng Báo cáo
kiểm soát nội bộ được phân loại như sau:
+ Sự hữu hiệu và hiệu quả của các hoạt động.
+ Sự tin cậy, đầy đủ và kịp thời của thông tin tài chính và quản trị.
+ Sự tuân thủ pháp luật và các qui định có liên quan. ”
Theo công bố này, kiểm soát nội bộ bao gồm các bộ phận sau:
+ Sự giám sát của nhà quản lý và văn hóa kiểm soát.
+ Ghi nhận và đánh giá rủi ro.
+ Các hoạt động kiểm soát và phân chia trách nhiệm.
+ Thông tin và truyền thông.
+ Giám sát và điều chỉnh sai sót.
Báo cáo Basel (1998) không đưa ra những lý luận mới mà chỉ vận dụng các
lý luận cơ bản của COSO vào lĩnh vực ngân hàng (Bộ môn kiểm toán, Khoa Kế toán
- Kiểm toán Trường Đại học Kinh Tế Tp.HCM 2012).
- Hƣớng dẫn về giám sát hệ thống kiểm soát nội bộ
COSO cũng đưa ra Dự thảo Hướng dẫn về giám sát hệ thống kiểm soát nội
bộ (Exposure Draft, COSO 2008) dựa trên khuôn mẫu COSO 1992 nhằm giúp các
tổ chức tự giám sát chất lượng của hệ thống kiểm soát nội bộ. Hướng dẫn này
(COSO Guidance 2008) gồm 3 phần: Hướng dẫn, Ứng dụng và Thí dụ. Năm 2009,
phần 1 – Hướng dẫn đã chính thức được ban hành. Cần lưu ý rằng COSO Guidance
2008 này không nhằm thay thế COSO Guidance 2006 mà bổ sung thêm và tập rung
cho việc nâng cao hiệu quả giám sát đối với kiểm soát nội bộ trong đơn vị.
Năm 2004, COSO đã chính thức ban hành Khuôn khổ hợp nhất về quản trị
rủi ro trong doanh nghiệp (ERM – Enterprise Risk Management – Integrated
13
Framework). Mục đích của ERM không phải chỉ nhằm giảm thiểu rủi ro mà còn
giúp nhà quản trị rủi ro toàn doanh nghiệp một cách hữu hiệu hơn. Nói cách khác,
ERM giúp nhà quản lý và Hội đồng quản trị của công ty ra quyết định tốt hơn trên
Độ tin cậy của thông
tin
Tuân thủ Pháp luật và
Các luật định
Các nhân viên
ĐẢM BẢO
HỢP LÝ
(Nguồn:Bộ môn kiểm toán, Khoa Kế toán – Kiểm toán trường Đại học Kinh Tế
Tp.HCM. 2012)
Sơ đồ 1.1: Qui trình kiểm soát nội bộ
14
Trong định nghĩa trên có 4 nội dung cơ bản là: quá trình, con người, đảm bảo
hợp lý và mục tiêu.
Kiểm soát nội bộ là một quá trình. Kiểm soát nội bộ bao gồm một chuỗi
hoạt động kiểm soát hiện diện ở mọi bộ phận trong đơn vị và được kết hợp với
nhau thành một thể thống nhất. Quá trình kiểm soát là phương tiện để giúp cho đơn
vị đạt được các mục tiêu của mình.
Kiểm soát nội bộ đƣợc thiết lập và vận hành bởi con ngƣời. Cần hiểu
rằng kiểm soát nội bộ không chỉ đơn thuần là những chính sách, thủ tục, biểu
mẫu… mà phải gồm cả những con người trong tổ chức như: Hội đồng Quản trị, Ban
giám đốc và các nhân viên. Chính con người sẽ định ra mục tiêu, thiết lập cơ chế
kiểm soát ở mọi nơi và vận hành chúng.
Kiểm soát nội bộ cung cấp một sự đảm bảo hợp lý, chứ không phải đảm
bảo tuyệt đối là các mục tiêu sẽ đạt được. Vì khi vận hành hệ thống kiểm soát,
kiện tiềm tàng có thể ảnh hưởng đến đơn vị và quản trị rủi ro trong phạm vi chấp
nhận được của rủi ro nhằm cung cấp một sự đảm bảo hợp lý về việc đạt được các
mục tiêu của đơn vị” (Committee of Sponsoring Organization, 2004).
Theo định nghĩa trên, các nội dung cơ bản của QTRR là: quá trình, con
người, thiết lập chiến lược, áp dụng toàn đơn vị, nhận dạng sự kiện, đảm bảo hợp lý
và mục tiêu. Chúng được hiểu như sau:
Quản trị rủi ro doanh nghiệp là một quá trình: QTRR bao gồm một chuỗi
các hoạt động liên tục tác động đến toàn đơn vị thông qua những hoạt động quản lý
để điều hành sự hoạt động của đơn vị. Quá trình quản trị rủi ro doanh nghiệp giúp
đơn vị tác động trực tiếp đến việc thực hiện các mục tiêu đã đề ra và góp phần hoàn
thành sứ mạng của đơn vị.
Quản trị rủi ro doanh nghiệp đƣợc thiết kế và vận hành bởi con
ngƣời: QTRR không chỉ đơn thuần là những chính sách, thủ tục, biểu mẫu,.. mà
phải bao gồm những con người trong đơn vị như hội đồng quản trị, ban giám đốc và
các nhân viên khác. Mỗi cá nhân trong đơn vị với những đặc điểm riêng sẽ tác động
đến cách thức người đó nhận dạng, đánh giá và phản ứng với rủi ro. Với QTRR,
đơn vị cung cấp cho mọi người khuôn khổ chung về rủi ro trong phạm vi mục tiêu
hoạt động của đơn vị.
Quản trị rủi ro đƣợc áp dụng trong việc thiết lập các chiến lƣợc: mỗi
đơn vị thường thiết lập các sứ mạng cho tổ chức của mình và các mục tiêu liên quan
để đạt đến sứ mạng đó. Với mỗi mục tiêu, đơn vị thiết lập các chiến lược tương ứng
để thực hiện và cũng có thể thiết lập các mục tiêu liên quan ở cấp độ thấp hơn. Khi
16
đó, QTRR hỗ trợ cho các cấp quản lý xem xét các rủi ro liên quan đến việc lựa chọn
các chiến lược thay thế khác nhau.
17
thiện đến thế nào đi chăng nữa vẫn không thể kiểm soát hết được tất cả các sự kiện
liên quan đến đơn vị (Committee of Sponsoring Organization, 2004).
QTRR là phương tiện để đạt được mục tiêu: trong phạm vi sứ mạng của
đơn vị đã được thiết lập, các nhà quản lý xây dựng các mục tiêu chiến lược, lựa
chọn cách thức tiến hành và thiết lập các mục tiêu liên quan. ERM, với sự phân loại
các mục tiêu, sẽ phân định rõ từng nội dung mà đơn vị hướng đến.
Các mục tiêu của đơn vị bao gồm:
- Mục tiêu chiến lược: liên quan đến các mục tiêu tổng thể và phục vụ cho sứ
mạng của đơn vị.
- Mục tiêu hoạt động: liên quan đến việc sử dụng các nguồn lực một cách
hữu hiệu và hiệu quả.
- Mục tiêu báo cáo: liên quan đến sự trung thực và đáng tin cậy của các báo
cáo liên quan đến đơn vị.
- Mục tiêu tuân thủ: đảm bảo hợp lý việc chấp hành luật pháp và các quy định
1.2.2. Lợi ích và hạn chế của quản trị rủi ro doanh nghiệp
1.2.2.1. Lợi ích của quản trị rủi ro doanh nghiệp
Tạo lập sự phù hợp giữa lựa chọn chiến lược và mức rủi ro có thể chấp nhận:
khi lựa chọn một chiến lược giữa nhiều khả năng khác nhau thì trước hết phải xem
xét mức rủi ro có thể chấp nhận trước, rồi mới đến lựa chọn chiến lược cụ thể, sau
đó thiết lập các mục tiêu liên quan đến chiến lược đã được chọn và cuối cùng là
cách thức được thiết lập để quản lý các rủi ro liên quan.
Làm tăng hiệu quả đối với việc phản ứng với rủi ro: QTRR cung cấp các kỹ
thuật và phương pháp cụ thể trong việc nhận dạng và lựa chọn các phương thức
phản ứng với rủi ro như né tránh rủi ro, giảm thiểu rủi ro, chuyển giao rủi ro và
chấp nhận rủi ro sẽ giúp các nhà quản lý phản ứng với rủi ro một cách hiệu quả.
Giảm thiểu tổn thất bất ngờ trong quá trình hoạt động: QTRR làm tăng khả
chu trình QTRR dù được đầu tư rất nhiều trong thiết kế cũng không thể nhận dạng
hết toàn bộ các rủi ro và do đó không thể đánh giá chính xác sự tác động của chúng.
- Những hạn chế xuất phát từ con người liên quan trong chu trình QTRR
như: việc ra quyết định sai do thiếu thông tin, bị áp lực trong sản xuất kinh doanh;
sự vô ý, bất cẩn, đãng trí; hiểu sai chỉ dẫn của cấp trên hoặc báo cáo của cấp dưới;
việc đảm nhận vị trí công việc tạm thời, thay thế cho người khác;…
- Sự thông đồng giữa các nhân viên với nhau hay với các bộ phận bên ngoài
đơn vị.
19
- Khi đưa ra các quyết định, yêu cầu thường xuyên và trên hết là của người
quản lý là xem xét quan hệ giữa chi phí bỏ ra và lợi ích thu được. Việc phản ứng
với rủi ro và tiếp theo đó là các hoạt động giám sát cũng phải đảm bảo rằng lợi ích
có được phải lớn hơn chi phí mà đơn vị bỏ ra.
- Luôn có khả năng những người quản lý lạm quyền trong chu trình QTRR
nhằm phục vụ cho các mưu đồ riêng (Bộ môn kiểm toán, Khoa Kế toán - Kiểm toán
Trường Đại học Kinh Tế Tp.HCM 2012).
1.3. Nội dung hệ thống kiểm soát nội bộ theo hƣớng quản trị rủi ro (theo Báo
cáo COSO 2004)
Theo Báo cáo của COSO năm 2004, QTRR doanh nghiệp bao gồm những bộ
phận sau: (Committee of Sponsoring Organization, 2004).
1.3.1. Môi trƣờng quản lý
Môi trường quản lý phản ánh sắc thái chung của một đơn vị, chi phối ý thức
của các thành viên trong đơn vị về rủi ro và đóng vai trò nền tảng cho các yếu tố
khác của QRRR. Nó tạo nên cấu trúc và phương thức vận hành về quản trị rủi ro
trong đơn vị.
Các nhân tố chính thuộc về môi trường quản lý là:
- Triết lý của nhà quản lý về quản trị rủi ro: triết lý về quản trị rủi ro là quan
- Tính chính trực và các giá trị đạo đức: Sự hữu hiệu của hệ thống quản trị
rủi ro trước tiên phụ thuộc vào tính chính trực và việc tôn trọng các giá trị đạo đức
của những người có liên quan đến quá trình quản trị rủi ro. Để đáp ứng yêu cầu này,
các nhà quản lý cấp cao phải xây dựng những chuẩn mực về đạo đức trong đơn vị
và cư xử đúng đắn để ngăn cản không cho các thành viên có các hành vi thiếu đạo
đức hoặc phạm pháp. Muốn vậy, những nhà quản lý, đặc biệt là giám đốc điều hành
(CEO) cần phải làm gương cho cấp dưới trong việc tuân thủ các chuẩn mực đạo đức
và phổ biến những quy định đến mọi thành viên bằng những thể thức thích hợp.
Một cách khác để nâng cao tính chính trực và sự tôn trọng các giá trị đạo đức là
phải loại trừ hoặc giảm thiểu những sức ép hoặc điều kiện có thể dẫn đến nhân viên
có thể có những hành vi thiếu trung thực. Ví dụ, gian lận trong các báo cáo có thể
xuất phát từ việc nhân viên bị ép buộc phải thực hiện các mục tiêu phi thực tế của
nhà quản lý. Hành động không đúng của nhà quản lý có thể phát sinh khi quyền lợi
của nhà quản lý lại gắn chặt với số liệu trên báo cáo,..
- Đảm bảo về năng lực: Là đảm bảo cho nhân viên có được những kỹ năng
và hiểu biết cần thiết để thực hiện được nhiệm vụ của mình, nếu không họ sẽ không
thực hiện nhiệm vụ được giao hữu hiệu và hiệu quả. Do đó, nhà quản lý chỉ tuyển
21
dụng những nhân viên có trình độ đào tạo và kinh nghiệm phù hợp với nhiệm vụ
được giao, và phải giám sát và huấn luyện họ đầy đủ và thường xuyên.
- Cơ cấu tổ chức: Là sự phân chia quyền hạn và trách nhiệm của các bộ phận
trong đơn vị, góp phần quan trọng trong việc thực hiện các mục tiêu. Nói cách khác,
cơ cấu phù hợp sẽ là cơ sở cho việc lập kế hoạch, điều hành, kiểm soát và giám sát
các hoạt động của đơn vị. Vì vậy, khi xây dựng một cơ cấu tổ chức phải xác định
được các vị trí then chốt với các quyền hạn, trách nhiệm với các thể thức báo cáo
cho phù hợp. Tuy nhiên, điều này còn phụ thuộc vào quy mô và tính chất hoạt động
của đơn vị. Cho dù với bất cứ loại hình cơ cấu nào đều phải đảm bảo hệ thống quản
chia thành các loại sau:
- Các mục tiêu hoạt động: các mục tiêu này liên quan đến sự hữu hiệu và
hiệu quả của hoạt động tại đơn vị, bao gồm cách thức hoạt động của đơn vị, lợi
nhuận và việc bảo vệ nguồn lực như thế nào. Dưới mỗi mục tiêu hoạt động cơ bản thì
đơn vị có thể xây dựng các mục tiêu nhỏ hơn nhằm đảm bảo cho sự hữu hiệu và hiệu
quả của các hoạt động tại đơn vị, hướng đơn vị đi đến mục tiêu cao nhất của mình.
- Các mục tiêu về báo cáo: gắn liền với sự trung thực và đáng tin cậy của các
báo cáo, bao gồm các báo cáo cho bên trong và bên ngoài và có thể liên quan đến
các thông tin tài chính và phi tài chính. Các báo cáo đáng tin cậy cung cấp cho nhà
quản lý những thông tin đầy đủ và chính xác để điều hành và giám sát các hoạt
động xảy ra tại đơn vị, hướng đến các mục đích đã dự tính trước. Việc báo cáo
cũng liên quan đến những thông tin công bố ra bên ngoài như báo cáo tài chính, báo
cáo đến các cơ quan chức năng về các lĩnh vực liên quan, báo cáo về thảo luận và
phân tích của ban đều hành cho các cổ đông,…
- Các mục tiêu tuân thủ: liên quan đến việc tuân thủ luật pháp, quy định của
Nhà nước và chấp hành các chính sách, thủ tục tại đơn vị. Đơn vị phải kiểm soát
các hoạt động của mình sao cho phù hợp với luật pháp, quy định của Nhà nước
cũng như các chính sách, thủ tục mà đơn vị đặt ra.
1.3.3. Nhận dạng sự kiện tiềm tàng
Sự kiện tiềm tàng: là biến cố bắt nguồn từ bên trong hoặc bên ngoài đơn vị
ảnh hưởng đến việc thực hiện mục tiêu của đơn vị. Một sự kiện có thể có ảnh hưởng
tích cực hoặc tiêu cực đến đơn vị và có thể cả hai.
Các yếu tố ảnh hưởng: có nhiều yếu tố có thể dẫn đến các sự kiện tác động
đến việc thực hiện mục tiêu của đơn vị.
23
Các yếu tố bên ngoài bao gồm:
- Môi trường kinh tế: gồm các sự kiện liên quan đến mặt bằng giá cả, nguồn
24
dụ đơn vị phải xem xét các sự kiện tiềm tàng liên quan đến công việc bán hàng, sản
xuất, tiếp thị, ứng dụng công nghệ,…
Sự phụ thuộc lẫn nhau giữa các sự kiện: các sự kiện liên quan đến đơn vị
thường không xuất hiện độc lập mà có sự tương tác lẫn nhau. Một sự kiện xuất hiện
có thể tạo ra, tác động đến một sự kiện khác và các sự kiện có thể xuất hiện đồng
thời. Trong việc nhận dạng các sự kiện, đơn vị phải biết được sự liên quan giữa các
sự kiện là như thế nào. Bằng cách đánh giá sự liên quan giữa các sự kiện, đơn vị có
thể biết được nơi nào cần tập trung cần thiết để quản trị rủi ro. Ví dụ, sự thay đổi về
lãi suất cơ bản của ngân hàng Nhà nước sẽ tác động đến tỷ giá hối đoái và do đó
tác động đến thu nhập hoặc tổn thất của các đơn vị kinh doanh ngoại tệ.
Phân biệt cơ hội và rủi ro: sự kiện tiềm tàng nếu xuất hiện sẽ tác động tiêu
cực hoặc tích cực đến đơn vị hoặc tác động cả hai. Nếu sự kiện có tác động tiêu cực,
đe dọa nguy cơ đạt được mục tiêu của đơn vị, thì đòi hỏi đơn vị phải đánh giá rủi ro
và phản ứng với rủi ro. Nếu sự kiện có tác động tích cực đến đơn vị, làm thuận lợi
việc thực hiện mục tiêu của đơn vị hoặc tạo giá trị cho đơn vị, thì phải được xem xét
trở lại đối với các chiến lược đã được xây dựng.
1.3.4. Đánh giá rủi ro
Các nhân tố bên trong và bên ngoài có thể tạo ra các sự kiện ảnh hưởng đến
việc thực hiện mục tiêu của đơn vị. Mặc dù một số nhân tố có tính chất chung đặc
trưng cho từng ngành, nhưng sự tác động đối với từng đơn vị cụ thể thì hoàn toàn
khác nhau, bởi vì mục tiêu và sự lựa chọn của mỗi đơn vị trong quá khứ của mỗi
đơn vị là không giống nhau. Trong việc đánh giá rủi ro, đơn vị phải xem xét các sự
kiện trong hoàn cảnh và điều kiện cụ thể của riêng đơn vị mình chẳng hạn như: quy
mô của đơn vị, sự phức tạp của các hoạt động, mức độ tác động của các quy định
lên các hoạt động của đơn vị,..
Các sự kiện được xem xét bao gồm các sự kiện đã được đơn vị dự tính và
các sự kiện không được dự tính. Các sự kiện đã dự tính bao gồm những sự kiện
thường xuyên lặp đi lặp lại, sự kiện diễn ra hàng ngày hoặc các sự kiện đã được tiên
phải đánh giá được tác động tổng hợp đó. Bởi vì, một sự kiện riêng lẻ có thể có tác
động nhỏ nhưng sự kết hợp hoặc tác động dây chuyền có thể có ảnh hưởng quan
trọng đến việc thực hiện mục tiêu của đơn vị. Ví dụ, một công ty tham gia vào thị
trường nước ngoài với nhà quản lý mới là người địa phương, chưa hiểu biết về cách
thức đánh giá hoạt động của công ty mẹ, sử dụng hệ thống báo cáo chưa được kiểm
tra sẽ dẫn đến rủi ro về gian lận và sai sót trong báo cáo tài chính.
Khi rủi ro tác động đến nhiều bộ phận, đơn vị kết hợp các rủi ro đó trong
danh sách các sự kiện và xem xét trước hết sự tác động đến từng bộ phận, sau đó
Copyright: Tài liệu đại học ©