Chương 4: KIỂM SOÁT NỘI BỘ

AIS- 13th Marshall B.Romney & Paul John Steinbart :

chapter 5, 7
 Mục tiêu

1. Hiểu khái quát về ba khuôn mẫu kiểm soát: COBIT, COSO, ERM
2. Mô tả các thành phần của khuôn mẫu kiểm soát ERM

2
 Nội dung
1. Ba khuôn mẫu kiểm soát COBIT, COSO, ERM
2. Các thành phần của khuôn mẫu kiểm soát ERM
3. Môi trường nội bộ
4. Thiết lập mục tiêu
5. Xác định sự kiện
6. Đánh giá rủi ro
7. Phản ứng rủi ro
8. Hoạt động kiểm soát
9. Thông tin & truyền thông
10.Giám sát
3
Tầm quan trọng của kiểm soát

4
1. Ba khuôn mẫu kiểm soát

Hiệp hội kiểm toán và Ủy ban của các tổ

kiểm soát hệ thống
thông tin
chức bảo trợ
(ISACA) (COSO)

Khuôn mẫu
Khuôn mẫu
kiểm soát nội
COBIT
bộ

Khuôn mẫu
quản trị rủi
ro DN (ERM)
5
 1. Ba khuôn mẫu kiểm soát:
COBIT, COSO & ERM

COBIT: là một khuôn mẫu về an ninh và kiểm

soát cho phép:
 BQL đánh giá các biện pháp an ninh và kiểm soát của
môi trường CNTT
 Người dùng dịch vụ CNTT được bảo đảm có đủ an
ninh và kiểm soát
 KTV chứng minh được những ý kiến kiểm soát nội bộ
của họ và tư vấn về các vấn đề an ninh và kiểm soát
CNTT

6
1. Ba khuôn mẫu kiểm soát:
COBIT, COSO & ERM

• KSNB là một quá trình, bị chi phối bởi Hội đồng

quản trị, ban giám đốc & các nhân viên của đơn vị,
được thiết kế để cung cấp một sự đảm bảo hợp lý
cho việc đạt những mục tiêu về hoạt động, báo cáo
COSO & tuân thủ. (COSO 2013)

• Qtri rủi ro doanh nghiệp là một quá trình, bị chi phối

bởi Hội đồng quản trị, ban giám đốc & các nhân
viên của đơn vị, được áp dụng trong thiết lập chiến
lược; được thiết kế để nhận dạng các sự kiện tiềm
tàng có thể ảnh hưởng đến DN & quản lý rủi ro
trong mức độ cho phép để cung cấp sự đảm bảo
hợp lý cho việc đạt được các mục tiêu của DN.
ERM (ERM 2004)
7
2. Các thành phần của ERM

8
 3. Môi trường nội bộ
 Môi trường nội bộ, được hiểu là sắc thái văn hóa chung của
doanh nghiệp, tác động đến ý thức của mọi người trong DN, cụ
thể:
 Chi phối ban quản lý trong việc thiết lập chiến lược & mục tiêu, tổ
chức các hoạt động kinh doanh, xác định, đánh giá và phản hồi rủi
ro.
 Tác động đến hành vi ứng xử của nhân viên
 Môi trường nội bộ bao gồm:
 Triết lý quản lý, phong cách điều hành và khả năng chấp nhận rủi ro
(risk appetite)
 Cam kết về tính chính trực, giá trị đạo đức và năng lực
 Giám sát kiểm soát nội bộ bởi Hội đồng quản trị
 Cơ cấu tổ chức
 Cách thức phân định quyền hạn và trách nhiệm
 Chính sách nhân sự 9
 3.1. Triết lý quản lý, phong cách điều hành và
khả năng chấp nhận rủi ro (risk appetite)
 Triết lý quản lý & phong cách điều hành tác động đến
cách thức DN được điều hành. Cụ thể, nó ảnh hưởng
đến chính sách, thủ tục, sự truyền đạt (bằng lời & văn
bản) và các quyết định.
 Mỗi DN đều có một khả năng chấp nhận rủi ro riêng.
Đó là lượng rủi ro mà DN sẵn sàng chấp nhận để đạt
mục tiêu. Để tránh rủi ro quá mức, khả năng chấp nhận
rủi ro phải phù hợp với chiến lược của DN.
 Triết lý quản lý & phong cách điều hành càng được thể
hiện một cách có trách nhiệm, càng được truyền đạt
một cách rõ ràng thì nhân viên sẽ hành xử càng có
trách nhiệm hơn 10
 3.2 Cam kết về tính chính trực, giá trị
đạo đức và năng lực
• Các DN cần một nền tảng văn hóa nhấn mạnh đến tính
chính trực, sự cam kết về giá trị đạo đức và quyền hạn.
• Tính chính trực & giá trị đạo đức được lan tỏa mạnh mẽ
khi bản thân nhà quản lý phải làm gương.
• Tính chính trực & giá trị đạo đức được truyền đạt bằng
cách:
– Tích cực giảng dạy
– Tránh mong đơi phi thực tế hoặc khuyến khích những hành động không
trung thực hoặc bất hợp pháp
– Khen thưởng sự chính trực của nhân viên một cách nhất quán, đưa ra tên
gọi bằng lời đối với hành vi nào là trung thực, hành vi nào không
– Phát triển một bộ qui tắc ứng xử bằng văn bản, mô tả rõ các hành vi trung
thực và không trung thực
– Yêu cầu nhân viên báo cáo hành vi không trung thực hoặc bất hợp pháp
– Cam kết về năng lực
11
 3.3 Giám sát kiểm soát nội bộ bởi Hội
đồng quản trị
 Hội đồng quản trị đại diện cho các cổ đông, kiểm tra hoạt động
của ban giám đốc một cách độc lập.
 Hội đồng quản trị cũng phê duyệt các chiến lược DN và xem xét
các chính sách bảo mật.
 Ủy ban kiểm toán (gồm các thành viên độc lập với hội đồng
quản trị) chịu trách nhiệm đối với bctc, sự tuân thủ qui định,
kiểm soát nội bộ & việc thuê mướn, giám sát các KTV nội bộ và
KTV độc lập
 Sự hữu hiệu của hội đồng quản trị và ủy ban kiểm toán phụ
thuộc vào:
• Sự độc lập của hội đồng quản trị và ủy ban kiểm toán với ban giám đốc
DN
• Sự phối hợp giữa hội đồng quản trị & ủy ban kiểm toán với ban giám
đốc DN
12
 3.4. Cơ cấu tổ chức

 Cơ cấu tổ chức của công ty cung cấp một khuôn mẫu cho việc lập
kế hoạch, thực hiện, kiểm soát và giám sát các hoạt động.
 Các khía cạnh quan trọng của cơ cấu tổ chức:
– Quyền hạn tập trung hoặc phân tán
– Mối quan hệ báo cáo trực tiếp hay mối quan hệ báo cáo ma trận
– Tổ chức theo ngành, dòng sản phẩm, vị trí địa lý hoặc hệ thống tiếp thị
– Cách phân chia trách nhiệm ảnh hưởng đến các yêu cầu thông tin
– Tổ chức và định hình việc phân chia trách nhiệm cho các chức năng kế
toán, kiểm toán và hệ thống thông tin
– Qui mô và bản chất hoạt động của DN

13
 3.5 Cách thức phân định quyền hạn và
trách nhiệm
 Cách thức phân định quyền hạn và trách nhiệm là việc
xác định mức độ tự chủ, quyền hạn của từng phòng ban,
cá nhân trong việc đề xuất & giải quyết vấn đề, trách
nhiệm báo cáo với các cấp có liên quan
 Nhà quản lý cần đảm bảo các nhân viên hiểu được mục
tiêu DN, phân định quyền hạn và trách nhiệm đối với
mục tiêu cho từng phòng ban và cá nhân, giữ cho họ có
trách nhiệm để đạt mục tiêu và khuyến khích sử dụng
sáng kiến để giải quyết vấn đề.
 Phân định Quyền hạn và trách nhiệm được thiết kế và
truyền đạt bằng cách sử dụng mô tả công việc chính
thức, đào tạo nhân viên, lịch trình hoạt động, ngân sách,
quy tắc ứng xử và chính sách và thủ tục bằng văn bản.
14
 3.6. Chính sách nhân sự
 Chính sách nhân sự chi phối sự trung thực và lòng
trung thành của nhân viên. Chính sách nhân sự cần
yêu cầu rõ ràng về mức độ chuyên môn, năng lực,
hành vi đạo đức và tính chính trực.
 Chính sách nhân sự bao gồm các chính sách và thủ tục
liên quan đến việc:
– tuyển dụng
– bồi thường, đánh giá và thăng tiến
– đào tạo
– Quản lý nhân viên bất mãn
– thôi việc
– Khen thưởng
– Luân chuyển nhân sự
– Hợp đồng bảo mật thông tin
15
3.7. Các yếu tố tác động bên ngoài

 Các yếu tố tác động bên ngoài bao gồm yêu

cầu được đưa ra bởi các cơ quan quản lý, thị
trường chứng khoán…

16
 4. Thiết lập mục tiêu (trang 226)
 Mục tiêu chiến lược: là mục tiêu cấp cao, phù hợp và
hỗ trợ cho sứ mệnh của doanh nghiệp (mission), tạo ra
giá trị cho các cổ đông
 Mục tiêu hoạt động: là mục tiêu liên quan đến tính
hữu hiệu và hiệu quả của các hoạt động doanh nghiệp
và xác định cách thức phân bổ nguồn lực
 Mục tiêu báo cáo: là mục tiêu giúp đảm bảo tính chính
xác, đầy đủ, đáng tin cậy của các báo cáo, cải thiện việc
ra quyết định, và giám sát các hoạt động và kết quả
kinh doanh của doanh nghiệp
 Mục tiêu tuân thủ: là mục tiêu giúp doanh nghiệp tuân
thủ luật, các qui định và điều lệ được áp dụng

17
 5. Xác định sự kiện

 Sự kiện là sự cố, sự việc có thể xảy ra từ các nguồn bên

trong hay bên ngoài DN làm ảnh hưởng đến việc triển
khai chiến lược hoặc việc đạt được mục tiêu. Sự kiện có
thể có tác động tích cực, tiêu cực hoặc cả hai.
 Khi sự kiện xảy ra, nó có thể kích hoạt các sự kiện khác.
 Các kỹ thuật để xác định sự kiện:
– xây dựng danh sách đầy đủ các sự kiện tiềm tàng,
– thực hiện phân tích nội bộ,
– giám sát các sự kiện và điểm kích hoạt (trigger points),
– thực hiện hội thảo và phỏng vấn,
– sử dụng khai thác dữ liệu và phân tích các qui trình kinh
doanh
18
 6. Đánh giá rủi ro

 Rủi ro: là khả năng một sự kiện sẽ xảy ra và gây ra tác động bất
lợi đến việc đạt được mục tiêu (theo COSO 2013)
 Rủi ro gồm: rủi ro tiềm tàng (inherent risks) và rủi ro còn lại
(residual risks)
 Rủi ro tiềm tàng: là rủi ro có sai lệch tiềm ẩn, vốn có đối với doanh nghiệp
 Rủi ro còn lại là rủi ro còn sót lại sau khi nhà quản lý thực hiện các kiểm soát
nội bộ hoặc một số phản ứng khác với rủi ro

Đánh giá Đánh giá

Phản ứng
rủi ro tiềm
tàng
với rủi ro rủi ro còn lại

Làm sao để đánh giá rủi ro tiềm tàng và phát

triển một phản ứng rủi ro (a risk response)? 19
20
 7. Phản ứng với rủi ro

 Giảm thiểu: giảm khả năng xảy ra và tác động của rủi ro bằng
cách thực hiện một hệ thống kiểm soát nội bộ hữu hiệu

 Chấp nhận: chấp nhận khả năng xảy ra và tác động của rủi ro

 Chia sẻ/ chuyển giao rủi ro: chia sẻ rủi ro hoặc chuyển nó cho
đối tác khác bằng cách mua bảo hiểm hoặc thuê ngoài một hoạt
động

 Né tránh: né tránh rủi ro bằng cách không tham gia vào các hoạt
động tạo ra rủi ro. Điều này có thể đòi hỏi công ty phải bán một
bộ phận, bỏ một dòng sản phẩm hoặc không mở rộng thị trường
như dự đoán

21
Phân biệt sự kiện & gian lận với rủi ro

 Sự kiện & rủi ro

 Gian lận và rủi ro

22
 Sự kiện & rủi ro

Sự kiện có thể tác động tích cực hoặc tiêu cực đến việc

đạt mục tiêu, trong đó:

Cơ
 Sự kiện có tác động tích cực đến việc đạt mục tiêu:
hội
 Sự kiện có tác động tiêu cực đến việc đạt mục tiêu: Rủi ro

23
 Gian lận & rủi ro trong AIS
 Giận lận: là Hành vi cố ý lừa dối, giấu diếm &
xuyên tạc sự thật với mục đich tư lợi
 Chuẩn mực kiểm toán số 240: “Gian lận là hành vi
cố ý do một hay nhiều người trong Ban quản trị, ban
giám đốc, các nhân viên hoặc bên thứ ba thực hiện
bằng các hành vi gian dối để thu lợi bất chính hoặc bất
hợp pháp”
Gian lận thường dẫn đến rủi ro nghiêm trọng gây
hại cho DN không chỉ ở khía cạnh tài chính mà
còn ở khía cạnh hình ảnh và danh tiếng của DN.
24
 8. Các hoạt động kiểm soát
 Hoạt động kiểm soát là các chính sách và thủ tục mà
ban quản lý triển khai trong doanh nghiệp, ở tất cả các
cấp, và trong tất cả các chức năng, nhằm đảm bảo rằng
các phản ứng rủi ro được thực hiện.

 Chính sách Thủ tục

 là những nguyên tắc, là cơ sở  Là những qui định, biện pháp cụ
cho việc thực hiện các thủ tục thể để thực thi chính sách
 Cần phải được viết bằng văn
bản, thực hiện xuyên suốt và
nhất quán trong DN.
 Thường được truyền đạt bằng
lời, hiệu quả khi chính sách dễ
hiểu & tồn tại lâu dài trong DN
25
 8. Các hoạt động kiểm soát
 Phân loại: ngoài việc phân loại theo mục tiêu kiểm
soát (chiến lược, hoạt động, báo cáo, tuân thủ), hoạt
động kiểm soát còn được phân theo:
– Kiểm soát ngăn ngừa: là các kiểm soát ngăn chặn các vấn
đề trước khi chúng phát sinh
– Kiểm soát phát hiện: là các kiểm soát được thiết kế để
phát hiện ra các vấn đề kiểm soát chưa được ngăn chặn
– Kiểm soát bù đắp: là các kiểm soát xác định và sửa sai các
vấn đề, đồng thời bù đắp cho các kết quả lỗi

26
 8. Các hoạt động kiểm soát
 Các thủ tục kiểm soát cụ thể:
 Ủy quyền phù hợp cho nghiệp vụ và hoạt động
 Phân chia trách nhiệm
 Kiểm soát phát triển và chuyển đổi hệ thống
 Kiểm soát quản trị việc thay đổi (chương 5)
 Thiết kế và sử dụng chứng từ, sổ sách
 Đảm bảo an toàn cho tài sản, sổ sách và dữ liệu
 Kiểm tra độc lập việc thực hiện
27
 8.1 Ủy quyền phù hợp
 Do khó khăn trong việc giám sát từng hoạt động
và quyết định của DN, ban quản lý thiết lập các
chính sách cho nhân viên tuân theo và sau đó trao
quyền cho họ. Việc trao quyền này được gọi là ủy
quyền
 Cách thức thực hiện việc ủy quyền:
– Ký tài liệu, chứng từ hoặc báo cáo
– Khởi tạo nhập mã ủy quyền (authorization code) trên
hệ thống
– Chữ ký điệnt tử
 Phân loại:
– Ủy quyền đặc biệt (specific authorization)
– Ủy quyền chung (general authorization)
28
 8.2 Phân chia trách nhiệm

Ngăn ngừa việc Ngăn ngừa xét

ghi nhận không Xét duyệt Nvụ
đúng để che dấu duyệt không hợp lệ
Nvụ không hợp lệ để tham ô tài
sản
Phân chia
Bảo
trách nhiệm Ghi vệ
kế toán đạt chép tài
được khi
sản
những chức
Ngăn ngừa việc ghi nhận sai để
năng trên che dấu tài sản mất mát
được tách
biệt
29
8.3 Kiểm soát phát triển và chuyển đổi hệ thống

 Kiểm soát phát triển và chuyển đổi hệ thống bao gồm các thủ
tục kiểm soát liên quan đến việc phê duyệt của ban quản lý,
sự tham gia của người dùng, đồng thời cũng liên quan đến
quá trình phân tích, thiết kế, thử nghiệm, triển khai và chuyển
đổi hệ thống.
 Một số thủ tục kiểm soát phát triển và chuyển đổi hệ thống:
– Ban chỉ đạo cần hướng dẫn và giám sát việc phát triển và mua lại hệ
thống
– Kế hoạch chiến lược tổng thể cần được phát triển và cập nhật hàng năm
– Thiết lập một kế hoạch phát triển dự án chi tiết
– Xây dựng một lịch trình xử lý dữ liệu để chỉ ra khi nào mỗi tác vụ sẽ được
thực hiện
– Thiết lập các hoạt động đo lường thành quả của hệ thống để đánh giá hệ
thống
– Tiến hành việc đánh giá sau khi thực hiện

30
8.4 Kiểm soát quản trị thay đổI (chương 5)

 Là qui trình chính thức nhằm đảm bảo rằng

các sửa đổi với phần cứng, phần mềm hoặc
các qui trình không làm giảm độ tin cậy của hệ
thống

31
8.5 Thiết kế và sử dụng chứng từ, sổ sách
 Thiết kế và sử dụng chứng từ (chứng từ điện tử
hoặc chứng từ giấy) phù hợp nhằm đảm bảo ghi
nhận đầy đủ, chính xác tất cả dữ liệu của các nghiệp
vụ liên quan.
 Cần lưu ý:
– Mẫu biểu và nội dung đơn giản, giảm thiểu lỗi và dễ
kiểm tra đối chiếu
– Chứng từ bắt đầu một giao dịch cần được xét duyệt
– Chứng từ nên được đánh số trước
– Xác định trách nhiệm của các cá nhân tham gia hoạt
động trên
32
 8.6 Đảm bảo an toàn cho tài sản, sổ
sách và dữ liệu

Một số lưu ý:
 Tạo ra và thực thi các chính sách và thủ tục
phù hợp
 Duy trì ghi nhận chính xác cho tất cả tài sản
 Hạn chế tiếp cận với tài sản của DN
 Bảo vệ sổ sách/ báo cáo và chứng từ

33
 8.7 Kiểm tra độc lập

 Việc kiểm tra độc lập được thực hiện bởi một nhân
viên không phải là người thực hiện hoạt động ban
đầu, nhằm đảm bảo các nghiệp vụ được xử lý
chính xác.
 Kiểm tra độc lập bao gồm những hoạt động sau:
– Tiến hành thực hiện những đánh giá cấp cao định kỳ
– Thực hiện báo cáo đánh giá phân tích
– Đối chiếu sổ sách/ báo cáo có nguồn độc lập
– So sánh giữa số lượng thực tế vào số lượng trên sổ sách
– Đánh giá độc lập

34
 9. Thông tin và truyền thông

 Hệ thống thông tin và truyền thông cần nắm bắt và trao đổi
thông tin cần thiết để thực thi, quản lý và kiểm soát các hoạt
động của tổ chức.
 Thông tin phù hợp được xác định, thu thập và truyền đạt trong
một biểu mẫu và khung thời gian cho phép mọi người thực hiện
trách nhiệm của họ.
 Giao tiếp hiệu quả cũng xảy ra theo nghĩa rộng hơn: từ trên
xuống, từ dưới lên và theo chiều ngang
 Ba nguyên tắc được áp dụng cho qui trình thông tin và truyền
thông:
– Thu thập và tạo ra thông tin chất lượng cao, phù hợp để hỗ trợ KSNB
– Truyền đạt thông tin nội bộ bao gồm các mục tiêu và trách nhiệm, để
hỗ trợ các thành phần khác của KSNB
– Truyền đạt các vấn đề kiểm soát nội bộ thích hợp cho các đối tác bên
ngoài
35
 10. Giám sát
 Hệ thống kiểm soát nội bộ phải được giám sát, đánh giá liên
tục và sửa đổi khi cần thiết. Bất kỳ sự thiếu sót nào cũng phải
được báo cáo cho cấp quản lý và ban giám đốc.
 Một số phương pháp giám sát kết quả hoạt động của DN như:
– Thực hiện các đánh giá kiểm soát nội bộ
– Triển khai giám sát hiệu quả
– Sử dụng hệ thống kế toán trách nhiệm
– Giám sát các hoạt động của hệ thống
– Theo dõi phần mềm và thiết bị di động đã mua
– Tiến hành kiểm toán định kỳ
– Sử dụng một nhân viên an ninh máy tính (CSO) và một giám đốc tuân thủ
(CCO)
– Sử dụng các chuyên gia bảo mật
– Cài đặt phần mềm phát hiện gian lận
– Triển khai số điện thoại khẩn để báo cáo gian lận
36
 Thuật ngữ
STT Thuật ngữ Trang Dịch
tham
chiếu
1 Application controls 217 Kiểm soát ứng dụng
2 Audit committee 225 Ủy ban kiểm toán
3 Audit trail 237 Dấu vết kiểm toán
4 Authorization 231 Ủy quyền
5 Background check 226 Kiểm tra thông tin cá nhân/ kiểm
tra lý lịch
6 Chief compliance officer (CCO) 239 Giám đốc tuân thủ
7 Conclusion 233 Thông đồng
8 Committee of sponsoring 221 Ủy ban của các tổ chức bảo trợ
Organizations (COSO)
9 Compliance objectives 202 Mục tiêu tuân thủ
10 Computer forensics specialists 239 Các chuyên gia bảo mật máy tính
37
 Thuật ngữ
STT Thuật ngữ Trang Dịch
tham
chiếu
11 Computer security officer (CSO) 239 Nhân viên an ninh mạng
12 Control activities 231 Các hoạt động kiểm soát
13 Corrective control 217 Kiểm soát bù đắp
14 Data processing schedule 234 Lịch trình xử lý dữ liệu
15 Detective controls 217 Kiểm soát phát hiện
16 Digital signature 231 Chữ ký điện tử
17 Enterprise Risk Management – 221 Khuôn mẫu tích hợp về quản trị
Integrated Framework (ERM) rủi ro doanh nghiệp
18 Event 228 Sự kiện
19 Expected loss 230 Mức thiệt hại kỳ vọng
20 Exposure or impact 217 Thiệt hại/ tác động

38
 Thuật ngữ
STT Thuật ngữ Trang Dịch
tham
chiếu
21 Forensic investigator 239 Các chuyên gia bảo mật
22 Fraud hotline 240 Số điện thoại khẩn để báo cáo
gian lận
23 General authorization 231 Ủy quyền chung
24 General controls 217 Kiểm soát chung
25 Inherent risk 228 Rủi ro tiềm tàng
26 Internal control 217 kiểm soát nội bộ
27 Internal environment 221 Môi trường nội bộ

39