Tăng cường kiểm soát nội bộ, giảm thiểu rủi ro cho doanh nghiệp
(Tài chính) Mức độ chấp nhận rủi ro của một đơn vị giúp nhà quản lý biết được làm thế nào để đối phó với rủi ro gian lận. Trong giải quyết rủi ro gian lận, đơn vị luôn phải thận trọng để đảm bảo rằng các kiểm soát phòng ngừa gian lận hoạt động có hiệu quả và được thiết kế thích hợp.
Trong nền kinh tế thị trường luôn xuất hiện những tổ chức, cá nhân thực hiện các hành vi gian lận, gây ảnh hưởng và thiệt hại cho các đơn vị, tổ chức. Do đó, nhu cầu đánh giá về rủi ro gian lận bên trong chính các đơn vị, tổ chức trong nền kinh tế tất yếu hình thành.
Bản chất của việc đánh giá rủi ro gian lận là xác định các hành vi gian lận có thể có; Người thực hiện hành vi gian lận cũng như nơi mà hành vi gian lận có thể xảy ra. Từ đó, cơ quan chức năng có các biện pháp ngăn chặn, phát hiện và xử lý kịp thời. Do đó, việc đánh giá rủi ro gian lận thường được thực hiện định kỳ nhằm phát hiện các dấu hiệu và người thực hiện hành vi gian lận cũng như nơi mà hành vi gian lận có thể xảy ra.
Việc đánh giá rủi ro gian lận thường bao gồm 3 yếu tố then chốt sau:
- Nhận diện các rủi ro gian lận tiềm tàng nhằm đánh giá rủi ro có gian lận có thể có, bao gồm các yếu tố như loại gian lận, dấu hiệu gian lận, động cơ, áp lực và cơ hội dẫn đến gian lận.
- Đánh giá khả năng, mức độ của rủi ro gian lận tiềm tàng nhằm đánh giá khả năng và mức độ ảnh hưởng có thể của gian lận đã được nhận diện. Việc đánh giá này có thể dựa vào các thông tin trong quá khứ; những gian lận đã xảy ra hoặc phỏng vấn nhân viên của đơn vị.
- Xử lý đối với các gian lận được nhận diện. Trên cơ sở phân tích lợi ích và chi phí của các thủ tục kiểm soát, đơn vị xây dựng các thủ tục kiểm soát nhằm ngăn chặn và phát hiện, xử lý các rủi ro gian lận được nhận diện.
Đánh giá về rủi ro gian lận
Các đơn vị, tổ chức có thể áp dụng các bước làm sau:
Bước 1: Xây dựng nhóm đánh giá rủi ro gian lận
Đây là bước đầu tiên trong đánh giá rủi ro gian lận. Theo đó, nhà quản lý cần xây dựng một nhóm đánh giá rủi ro gian lận, bao gồm các cá nhân trong đơn vị khác nhau về kiến thức, kỹ năng và quan điểm; đồng thời, có quyền yêu cầu dữ liệu từ nhiều nguồn khác nhau. Các thành viên trong nhóm có thể gồm các cá nhân từ các bộ phận tài chính – kế toán; phi tài chính và nhân sự; pháp chế (nếu có) và kiểm toán nội bộ. Ở bước này, nhóm đánh giá nên có sự tham gia của nhà quản lý cấp cao. Bởi họ có tác động rất lớn đến hiệu quả của việc xử lý các gian lận được phát hiện.
Bước 2: Nhận diện rủi ro gian lận
Nhóm đánh giá rủi ro cần xem xét toàn bộ quá trình hoạt động và quy trình xử lý các nghiệp vụ của đơn vị để tìm ra rủi ro có gian lận có thể có. Việc xem xét các hoạt động của đơn vị sẽ giúp các thành viên trong nhóm thảo luận và đánh giá về động cơ, áp lực và cơ hội dẫn đến gian lận, rủi ro nảy sinh từ việc lạm quyền của nhà quản lý. Thông tin về nhận diện rủi ro gian lận cần được thông báo cho Ban giám đốc hoặc ban kiểm toán (nếu có). Trong trường hợp đơn vị không có các ban trên, nên thông báo với nhà quản lý cấp cao nhất của đơn vị. Theo đó, các yếu tố mà nhóm đánh giá rủi ro cần xem xét bao gồm: Động cơ, áp lực và cơ hội của gian lận và rủi ro lạm quyền của nhà quản lý.
- Động cơ, áp lực và cơ hội: Cơ hội thực hiện hành vi gian lận luôn tồn tại trong các tổ chức. Những cơ hội này tồn tại nhiều nhất ở nơi mà hệ thống kiểm soát nội bộ yếu và thiếu sự phân công, phân nhiệm. Tuy nhiên, cũng có thể một vài gian lận, đặc biệt các gian lận tạo ra bởi nhà quản lý điều hành hệ thống kiểm soát nội bộ. Chính do những gian lận này, ngoài việc giám sát của nhà quản lý cấp cao đơn vị cần có một Ban kiểm toán hiệu quả và cần có bộ phận kiểm toán nội bộ hoạt động tốt để quản trị rủi ro gian lận.
- Rủi ro lạm quyền kiểm soát của nhà quản lý: Việc xem xét khả năng lạm quyền kiểm soát của nhà quản lý là yếu tố rất quan trọng. Các nhà quản lý trong một đơn vị đều nắm được các thủ tục kiểm soát và các thủ tục hoạt động nhằm ngăn chặn gian lận. Vì thế, khi một quản lý muốn thực hiện hành vi gian lận, họ có thể sử dụng kiến thức của mình để che giấu các hành vi gian lận. Ví dụ, một quản lý có quyền đề xuất nhà cung cấp mới và phê duyệt thanh toán cho các hoá đơn của nhà cung cấp, anh ta có thể tạo ra nhà cung cấp giả và sau đó yêu cầu thanh toán các hoá đơn giả từ nhà cung cấp đó. Vì thế, khi đánh giá rủi ro gian lận, nhóm đánh giá cần lưu ý rằng việc lạm quyền của nhà quản lý cần phải được so sánh với đánh giá của hệ thống kiểm soát nội bộ.
- Các rủi ro có gian lận phổ biến mà nhóm đánh giá rủi ro gian lận cần xem xét, gồm: Để nhận diện rủi ro gian lận, nhóm đánh giá cần có sự hiểu biết về các loại rủi ro gian lận và hình thức của các rủi ro đó ở từng loại hình doanh nghiệp cụ thể. Quá trình này bao gồm việc thu thập thông tin về quá trình hoạt động kinh doanh của đơn vị và thu thập thông tin về các gian lận tiềm tàng từ bên trong đơn vị thông qua phỏng vấn các các nhân viên, xem xét các dữ liệu cũng như thực hiện các thủ tục phân tích. Các gian lận có thể nhận diện ở ba loại chính: gian lận trên báo cáo tài chính; biển thủ tài sản và tham ô.
(i) Gian lận trên báo cáo tài chính: là hành vi cố ý làm sai lệch thông tin trên báo cáo tài chính có thể dẫn đến: Doanh thu và chi phí được báo cáo không phù hợp; Số dư được phản ánh không đúng về giá trị; Che giấu biển thủ tài sản; Che giấu các khoản phải thu và chi phí không được phê chuẩn. Trong một số trường hợp khác, mục đích của gian lận không phải là báo cáo tài chính của đơn vị mà là để che đậy việc biển thủ hoặc sử dụng tài sản không hiệu quả. Trong trường hợp này, báo cáo tài chính cũng chứa đựng các gian lận.
(ii) Biển thủ tài sản: Tài sản của đơn vị có thể bị biển thủ bởi nhân viên, khách hàng hoặc nhà cung cấp. Do đó, đơn vị cần phải đảm bảo rằng các thủ tục kiểm soát luôn được thực hiện một cách thường xuyên. Trong quá trình đánh giá rủi ro gian lận, nhóm đánh giá cần có sự hiểu biết về các loại tài sản có thể bị biển thủ; Vị trí của tài sản cũng như phòng ban trực tiếp kiểm soát và sử dụng tài sản này. Những dấu hiệu thông thường của sự biển thủ:
+ Nhân viên: Mua sắm, thanh toán đối với nhà cung cấp không có thật; Thanh toán khống, hóa đơn không có thật; Thanh toán hóa đơn cho hàng hóa, dịch vụ không được thực hiện; Trộm cắp hàng tồn kho;
+ Nhân viên thông đồng với nhà cung cấp, khách hàng hoặc bên thứ ba: Những khoản thanh toán khống hoặc hóa đơn không có thật; Hóa đơn cho hàng hóa, dịch vụ không được thực hiện;
+ Nhà cung cấp: Hóa đơn bị ghi khống hoặc không có thật; Vận chuyển hàng hóa trong phạm vi hẹp hoặc có sự thay thế của hàng hóa kém chất lượng hơn; Hóa đơn cho hàng hóa, dịch vụ không được thực hiện.
Việc ngăn ngừa các rủi ro này không chỉ yêu cầu sự tham gia của đội ngũ bảo vệ, mà còn cần đến sự kiểm soát mang tính phát hiện định kỳ như kiểm kê hàng tồn kho. Tuy nhiên, một thủ phạm thông minh có thể biết trước những hoạt động kiểm soát này và lên kế hoạch cho hành vi gian lận của mình, cũng như che giấu chúng phía sau các hoạt động kiểm soát đó. Những người thực hiện việc đánh giá rủi ro luôn phải nhớ kỹ điều này khi xem xét các dấu hiệu của biển thủ tài sản và những tác động của chúng đến đơn vị.
(iii) Tham ô: Tham ô được định nghĩa là lạm dụng quyền lực được giao phó cho lợi ích cá nhân. Có nhiều loại tham ô khác nhau như: Nhận biếu tặng từ việc chỉ định việc thực hiện hợp đồng và tiếp tay cho các nhà cung cấp để thực hiện hành vi gian lận…
(iv) Thông tin và rủi ro gian lận: Với các đơn vị dựa vào hệ thống công nghệ thông tin để tiến hành kinh doanh và xử lý thông tin tài chính, nếu hệ thống thông tin được thiết kế kém hiệu quả hoặc không đầy đủ, có thể tạo điều kiện cho hành vi gian lận. Thực tế hiện nay, hệ thống máy tính thường được kết nối bởi mạng Internet, do vậy các mối đe doạ từ bên ngoài có thể dẫn đến các tổn thất tài chính và thông tin quan trọng. Công nghệ thông tin vì thế trở thành một thành phần quan trọng trong đánh giá rủi ro, đặc biệt là rủi ro gian lận. Dù dưới hình thức hack, virus, hoặc truy cập trái phép vào dữ liệu, rủi ro có gian lận của công nghệ thông tin có thể ảnh hưởng đến tất cả mọi người. Hệ thống công nghệ thông tin có thể được sử dụng bởi người có ý định thực hiện hành vi gian lận với cả 3 loại hình gian lận:
+ Truy cập trái phép vào các ứng dụng kế toán: Cá nhân không có quyền truy cập vào hệ thống sổ cái, hệ thống sổ chi tiết, hoặc các công cụ báo cáo tài chính.
+ Lạm quyền trong kiểm soát hệ thống: Kiểm soát tổng quát hệ thống máy tính bao gồm việc giới hạn việc truy nhập các ứng dụng hoặc các chương trình kiểm soát. Nhân viên công nghệ thông tin có thể truy cập những dữ liệu đã bị hạn chế hoặc điều chỉnh những ghi chép một cách gian lận.
Để quản lý những rủi ro ngày càng gia tăng, rủi ro công nghệ thông tin cần được đưa vào việc đánh giá rủi ro gian lận của một đơn vị.
Bước 3: Đánh giá khả năng và mức độ của rủi ro có gian lận tiềm tàng đã được nhận dạng
Đánh giá khả năng và mức độ của rủi ro có gian lận tiềm tàng đã được nhận diện cho phép đơn vị có thể quản lý rủi ro gian lận và áp dụng các thủ tục phòng ngừa và phát hiện hợp lý. Theo đó, đơn vị cần xem xét các rủi ro gian lận tiềm tàng và các rủi ro gian lận khi không xét đến hệ thống kiểm soát nội bộ. Bằng tiếp cận này, nhà quản lý sẽ có thể xem xét tất cả rủi ro gian lận có thể có và thiết kế các thủ tục kiểm soát để giải quyết các rủi ro. Sau khi sơ đồ hóa rủi ro gian lận, có thể vẫn còn các rủi ro nhất định, bao gồm cả rủi ro lạm quyền của nhà quản lý cấp dưới khi thiết lập các thủ tục kiểm soát. Do vậy, nhà quản lý cấp cao phải đánh giá mức độ của những rủi ro và quyết định dựa trên bản chất, mức độ gian lận để đưa ra các thủ tục kiểm soát ngăn ngừa và phát hiện gian lận cũng như các thủ tục giải quyết.
Khả năng: Đánh giá của nhà quản lý về khả năng xảy ra của một rủi ro gian lận đã xảy ra trong quá khứ tại đơn vị, tỷ lệ rủi ro gian lận trong ngành kinh doanh của đơn vị. Các yếu tố khác cần được xem xét bao gồm số lượng các giao dịch cá nhân, sự phức tạp của rủi ro gian lận và số lượng người tham gia xem xét, phê duyệt quy trình. Để đánh giá khả năng gian lận xảy ra có 3 loại: Ít khả năng, có khả năng xảy ra và hầu như chắc chắn xảy ra.
Mức độ: Đánh giá của nhà quản lý về mức độ của rủi ro có gian lận không chỉ trên báo cáo tài chính mà còn có ý nghĩa trách nhiệm hình sự, dân sự và pháp lý. Đơn vị cũng có thể phân loại mức độ của hành vi gian lận tiềm năng trong nhiều trường hợp. Tuy nhiên, để phân loại một cách đầy đủ thường có ba mức độ: không đáng kể, hơn mức đáng kể và trọng yếu.
Con người/Phòng, ban: Là một phần của quy trình đánh giá rủi ro, đơn vị sẽ phải đánh giá những động cơ và cơ hội của cá nhân hay phòng ban và sử dụng những thông tin thu được từ quy trình này để đánh giá liệu cá nhân và phòng ban đó có cơ hội để thực hiện hành vi gian lận hay không. Nếu có thông qua các phương tiện nào? Những thông tin này có thể được tóm tắt vào mạng lưới đánh giá rủi ro gian lận và có thể giúp đơn vị thiết kế những phản hồi rủi ro thích hợp, nếu cần thiết.
Bước 4: Phản hồi các rủi ro có gian lận còn lại
Mức độ rủi ro chấp nhận được ở các đơn vị là khác nhau. Do vậy, một số đơn vị chỉ muốn giải quyết những rủi ro gian lận ảnh hưởng trọng yếu đến tài chính. Trong khi, ở các đơn vị khác muốn có một chương trình phản hồi gian lận một cách mạnh mẽ. Nhiều đơn vị có chính sách "không chấp nhận" đối với gian lận. Tuy nhiên, có thể có một số rủi ro có gian lận mà khi đơn vị xem xét đến một số yếu tố họ có thể quyết định không xây dựng kiểm soát nhằm giải quyết những rủi ro đó. Nhưng nếu gian lận được phát hiện, đơn vị sẽ không chấp nhận gian lận này.
Mức độ chấp nhận rủi ro của một đơn vị giúp nhà quản lý biết được làm thế nào để đối phó với rủi ro gian lận. Nhà quản lý cần phải thực hiện đúng mức độ của kiểm soát dựa trên khả năng chấp nhận rủi ro đã được thiết lập tại đơn vị. Trong giải quyết rủi ro gian lận, đơn vị luôn phải thận trọng để đảm bảo rằng các kiểm soát phòng ngừa gian lận hoạt động có hiệu quả và được thiết kế thích hợp.
________________
Tài liệu tham khảo:
1. http://www.nd.gov;
2. https://www.theiia.org.
Bài đăng trên Tạp chí Tài chính số 8- 2014