Cuối tháng 05/2023, IIA Việt Nam đã phối hợp cùng CFO Việt Nam và VNIDA tổ chức thành công 02 buổi hội thảo song song ở Hà Nội và Thành phố Hồ Chí Minh (HCMC) với sự hiện diện của đông đảo các khách mời và các đối tác chuyên môn.
Đây là một chủ đề thu hút được sự quan tâm của các giám đốc tài chính, kế toán trưởng, nhân sự kiểm toán nội bộ, ban kiểm soát, thành viên hội đồng quản trị, ban giám đốc,… với số lượng tham dự gần 145 người tại Hồ Chí Minh và gần 100 người tại Hà Nội. Rất nhiều chia sẻ từ các chuyên gia, các trao đổi hỏi đáp trong tọa đàm mang tính chất thực tiễn giúp các thành viên tham dự hội thảo hiểu được bản chất, nắm bắt được thực chất của các vấn đề mà các doanh nghiệp đang phải đối mặt. IIA Việt Nam tóm lược các nội dung chính về chủ đề này theo các nhóm câu hỏi dưới đây:
1. Hiểu đúng về quy trình lập báo cáo tài chính như thế nào?
Báo cáo Tài chính (Financial Statements) được lập theo các chuẩn mực kế toán được chấp nhận hoặc theo quy định như CMKT Việt Nam (VAS) hoặc CMKTQT (IFRS). Các báo cáo tài chính được lập và công bố định kỳ năm, quý, tháng theo yêu cầu của pháp luật (như đối với doanh nghiệp niêm yết) hoặc yêu cầu của các bên có quyền lợi liên quan như các nhà đầu tư, công ty mẹ, các tổ chức tín dụng v.v. Một quy trình lập báo cáo tài chính không chỉ đơn thuần là việc khóa sổ kế toán, phân loại tài khoản hay trình bày báo cáo tài chính theo mẫu mà là một quá trình phức tạp, xuyên suốt trong các hoạt động của công ty: từ ghi nhận giao dịch khi phát sinh; xác định và đo lường giá trị ghi nhận; định khoản hoặc phân loại tài khoản; các bút toán và tính toán khóa sổ như ước tính kế toán, các xét đoán chuyên môn; chuẩn bị nội dung thông tin cần thuyết minh hoặc phải công bố,…
Các thông tin và dữ liệu kế toán này được ghi nhận và xử lý thủ công hoặc qua các phần mềm tích hợp trong toàn bộ hệ thống công nghệ thông tin của doanh nghiệp, do đó sẽ có những rủi ro liên quan đến tính “trung thực và hợp lý” của báo cáo tài chính cuối cùng, bao gồm cả các sai sót kế toán, thậm trí rủi ro gian lận liên quan đến tài sản, doanh thu, chi phí, kết quả sản xuất kinh doanh v.v. cho đến các rủi ro tiềm ẩn trong công nghệ thông tin.
Thực tế theo xu hướng phát triển của quản trị công ty cũng như kỳ vọng gia tăng của các cổ đông và nhà đầu tư cũng như của các cơ quan quản lý nhà nước, các thông tin cần công bố không chỉ giới hạn ở các thông tin tài chính mà còn mở rộng ra các thông tin phi tài chính như thông tin tương lai, thông tin Môi trường – Xã hội – Quản trị (ESG)
2. Tại sao cần quan tâm đến ICFR và ICFR có quan trọng không?
Để các dữ liệu và thông tin của các giao dịch và hoạt động của doanh nghiệp được ghi nhận, theo dõi, đo lường, xác định giá trị, được trình bày và công bố thông tin “true and fair view” trên báo cáo tài chính theo các chuẩn mực kế toán được đăng ký/chấp nhận thì doanh nghiệp phải xác định được các rủi ro có thể ảnh hưởng đến tính chính xác, đầy đủ và phù hợp của các số liệu được ghi chép trong hệ thống sổ sách kế toán và được tổng hợp, diễn giải trên báo cáo tài chính. Theo các nguyên tắc quản trị công ty tốt cũng như theo quy định pháp lý thì hội đồng quản trị và ban giám đốc công ty phải chịu trách nhiệm thiết lập và duy trì các hệ thống quy trình và kiểm soát nội bộ phù hợp, qua đó cũng chịu trách nhiệm cuối cùng và cao nhất về tính trung thực và hợp lý của báo cáo tài chính của doanh nghiệp.
Phạm vi hoạt động sản xuất kinh doanh và mức độ phức tạp của các giao dịch kinh tế mà doanh nghiệp thực hiện, bao gồm các giao dịch đặc thù như hình thành tài sản vô hình, sử dụng các công cụ phái sinh, công cụ nợ, các giao dịch mua bán hợp nhất, sử dụng công nghệ thông tin, số hóa v.v. sẽ làm gia tăng các rủi ro tiềm ẩn về hạch toán kế toán và báo cáo tài chính nhằm đưa ra một bức tranh “trung thực và hợp lý” nhất về doanh nghiệp. Thực tế này đòi hỏi các doanh nghiệp phải tăng cường và dựa nhiều hơn vào các kiểm soát rủi ro càng sớm càng tốt từ khi phát sinh các giao dịch kinh tế. Tính hiệu quả của các kiểm soát được thiết lập và duy trì đối với các dữ liệu và thông tin tài chính, hạch toán kế toán sẽ làm gia tăng độ tin cậy của báo cáo tài chính. Hội đồng quản trị và ban giám đốc sẽ yên tâm hơn khi đặt bút ký duyệt và thông qua báo cáo tài chính của doanh nghiệp cho mục đích công bố thông tin cho cơ quan quản lý nhà nước, cho cổ đông, cho nhà đầu tư và cho thị trường.
Trong khi ở các nước tiên tiến và các thị trường vốn phát triển, các doanh nghiệp có thể áp dụng các khung kiểm soát nội bộ và quản lý rủi ro ở cấp độ cao như Khung Kiểm soát Nội bộ tích hợp COSO, đồng thời cũng phải tuân thủ các quy định về trách nhiệm và xác nhận tính hiệu quả của hệ thống kiểm soát nội bộ như các yêu cầu của SOX404 (Hoa Kỳ), JSOX (Nhật Bản) v.v. để đạt được độ tin cậy cao hơn về các thông tin tài chính và phi tài chính được doanh nghiệp phát hành và công bố, thì ở Việt Nam các doanh nghiệp vẫn phải tự “mày mò” và “tự phát” trong việc hoàn thiện hệ thống kiểm soát nội bộ của mình, đặc biệt là các kiểm soát quy trình khóa sổ, lập báo cáo tài chính ICFR. Điều đáng nói là các khung kiểm soát nội bộ và quản lý rủi ro tiên tiến như Khung COSO không chỉ giúp doanh nghiệp đạt được mức độ tin cậy cao hơn về báo cáo (tài chính và phi tài chính) mà còn giúp doanh nghiệp đảm bảo hiệu quả trong các hoạt động sản xuất kinh doanh (operations) và tuân thủ các quy định pháp luật (compliance).
Theo thông lệ quản trị công ty tốt, hệ thống kiểm soát nội bộ và quản lý rủi ro được thiết lập theo mô hình 03 tuyến của Viện Kiểm toán viên Nội bộ (IIA) bao gồm các chức năng sản xuất kinh doanh (tuyến 1), các chức năng giám sát của ban điều hành (tuyến 2) và chức năng kiểm toán nội bộ thuộc cấp quản trị cao nhất trong doanh nghiệp (tuyến 3). Bên cạnh đó, kiểm toán độc lập cũng được xem là tuyến thứ 4 với vai trò đưa ra ý kiến về báo cáo tài chính của doanh nghiệp bên cạnh các chức năng giám sát đặc thù của Việt nam như ban kiểm soát. Tuy nhiên, cũng cần ghi nhận là việc kiểm toán báo cáo tài chính của kiểm toán độc lập hay việc thẩm định báo cáo tài chính của ban kiểm soát của rất nhiều doanh nghiệp cũng không chú trọng việc đánh giá hoặc dựa vào độ tin cậy của các kiểm soát quy trình lập báo cáo tài chính.
Nếu doanh nghiệp thiết lập và duy trì được một hệ thống kiểm soát nội bộ hiệu quả xuyên suốt quy trình từ nhập liệu cho đến hạch toán và lập báo cáo tài chính thì không chỉ đảm bảo có được một báo cáo có độ tin cậy cao, phản ánh trung thực và hợp lý tình hình tài chính cũng như kết quả kinh doanh mà còn là cơ hội để tối ưu chi phí và nguồn lực cho việc kiểm toán và thẩm định báo cáo tài chính. Bên cạnh đó việc chuẩn hóa hoặc kiện toàn các kiểm soát quy trình khóa sổ và lập báo cáo tài chính cũng là một hợp phần quan trọng mà lãnh đạo doanh nghiệp phải chú trọng để chuẩn bị đáp ứng và tuân thủ yêu cầu xác nhận hiệu quả/hiệu suất của hệ thống kiểm soát nội bộ trong doanh nghiệp, đặc biệt là các doanh nghiệp niêm yết.
Một hệ thống kiểm soát nội bộ trong quy trình lập báo cáo tài chính không hiệu quả sẽ tạo rủi ro báo cáo tài chính khi công bố sẽ bị sai sót, hoặc bị ý kiến kiểm toán không chấp nhận toàn phần làm ảnh hưởng đến việc chấp hành quy định, chính sách, ảnh hưởng đến giá trị công ty, đến khả năng tiếp cận vốn, vi phạm các thỏa thuận tài trợ,… hoặc thậm chí dẫn đến rủi ro pháp lý khác.
3. Làm thế nào để có ICFR hiệu quả và phù hợp?
Để có được một hệ thống ICFR hiệu quả thì cần có sự đầu tư về quy trình và con người cũng như hạ tầng kỹ thuật, đặc biệt với những doanh ngiệp đã áp dụng ERP và/hoặc các giải pháp công nghệ thông tin/số hóa trong các hoạt động sản xuất kinh doanh và quản trị. Lĩnh vực hoạt động càng nhiều, địa bàn hoạt động càng rộng, các giao dịch càng phức tạp và đặc thù thì nhu cầu đầu tư vào hệ thống ICFR càng lớn. Lãnh đạo doanh nghiệp cần xác định và xin phê duyệt ngân sách riêng cho việc nâng cấp và kiện toàn hệ thống ICFR theo các chuẩn như khung COSO. IIA Việt Nam cũng có đề án phối hợp với các hiệp hội nghề nghiệp về kế toán – kiểm toán để xây dựng tài liệu tham chiếu/tham khảo về khung kiểm soát nội bộ cho các doanh nghiệp Việt Nam.
Bên cạnh đó, cần có cơ chế thúc đẩy và phát huy hiệu quả của từng tuyến phòng vệ có liên quan đến các bước ghi nhận và xử lý số liệu, hạch toán và báo cáo thông tin tài chính – kế toán từ các kiểm soát được tích hợp trong các quy trình hoạt động (sản xuất, bán hàng, thanh toán v.v.) đến các hoạt động kiểm tra của các chức năng quản lý rủi ro và tuân thủ (gồm các rủi ro và tuân thủ liên quan đến báo cáo và công bố thông tin tài chính) của Ban điều hành và cuối cùng là đánh giá độc lập của một chức năng kiểm toán nội bộ. Các doanh nghiệp cũng có thể đặt đầu bài hoặc thậm chí yêu cầu các đơn vị kiểm toán độc lập có rà soát và đánh giá về ICFR và đưa ra các khuyến nghị trong thư quản lý cho mục đích kiện toàn.
Tuy nhiên, quan trọng nhất vẫn là sự chỉ đạo và giám sát của HĐQT thông qua UBKT hoặc có sự phối hợp với BKS (trong mô hình không có UBKT) về việc thiết lập một hệ thống kiểm soát nội bộ, bao gồm ICFR hiệu quả. Quan trọng hơn nữa là sự bảo trợ của HĐQT và Ban Giám đốc là những cấp chịu trách nhiệm cuối cùng về tính trung thực và hợp lý của các báo cáo tài chính khi được công bố cho các bên có lợi ích liên quan như cơ quan quản lý, cổ đông, các nhà đầu tư, các tổ chức tài trợ vốn,…
Nguồn: https://theiia-vietnam.org/kiem-soat-noi-bo-doi-voi-bao-cao-tai-chinh-internal-controls-over-financial-reporting-icfr/