Tránh rủi ro trong quá trình lập báo cáo tài chính
Một hệ thống kiểm soát nội bộ tốt sẽ giúp đảm bảo tính minh bạch, chính xác và tin cậy của báo cáo tài chính, hỗ trợ đắc lực cho quản trị rủi ro, qua đó tạo niềm tin với các nhà đầu tư và thu hút nguồn vốn cho doanh nghiệp.
Báo cáo tài chính là hệ thống thông tin kinh tế, tài chính của đơn vị kế toán, được trình bày theo mẫu biểu quy định tại chuẩn mực kế toán và chế độ kế toán. Quá trình lập báo cáo tài chính bao gồm nhiều công việc như: duy trì danh mục tài khoản kế toán, thu thập các bút toán khóa sổ cuối kỳ, thực hiện khóa sổ, lập báo cáo tài chính và hợp nhất.
Điều đáng lưu ý là tất cả công việc này đều tiềm ẩn nhiều rủi ro có thể phát sinh do lỗi, do không áp dụng đúng các chuẩn mực kế toán hoặc do cố tình gian lận.
Một ví dụ điển hình là việc nhiều doanh nghiệp chậm nộp báo cáo tài chính sau kiểm toán năm 2022 buộc Sở Giao dịch chứng khoán TP.HCM (HoSE) phải ra công văn nhắc nhở hồi tháng 4/2023, trong đó có các doanh nghiệp lớn như Công ty CP Tập đoàn Đầu tư địa ốc NoVa (NVL), Công ty CP Tập đoàn Xây dựng Hòa Bình (HBC), Vietnam Airlines (HVN)… Ngày 5/5, HOSE cũng nêu tên bốn công ty chậm nộp báo cáo tài chính quý I/2023 gồm Nhựa Đông Á (DAG), Đầu tư Hải Phát (HPX), Apax Holdings (IBC) và Gỗ Trường Thành (TTF).
Chia sẻ trong hội thảo "Thông lệ tốt xây dựng hệ thống kiểm soát nội bộ phục vụ báo cáo tài chính" do CFO Việt Nam phối hợp IIA Việt Nam và VNIDA tổ chức, bà Đinh Thị Thủy, Giám đốc phụ trách Dịch vụ tư vấn doanh nghiệp của Ernst & Young Việt Nam cho biết, việc chậm nộp báo cáo tài chính chỉ là một trong số rất nhiều rủi ro diễn ra trong quy trình lập báo cáo tài chính.
Cụ thể, trong quá trình duy trì danh mục tài khoản kế toán, tài khoản kế toán có thể được tạo/thay đổi bởi nhân sự không có thẩm quyền. Hệ thống tài khoản kế toán không phù hợp với quy định của chuẩn mực và nhu cầu quản lý của đơn vị. Danh mục tài khoản được sử dụng không thống nhất giữa các đơn vị.
Trong quá trình thu thập các bút toán khóa sổ cuối kỳ, rủi ro có thể gặp phải là các khoản trích trước không được thực hiện kịp thời hoặc chính xác, các bút toán không được phê duyệt hoặc rà soát kịp thời, các ước tính kế toán không được tính toán chính xác.
Khi thực hiện khóa sổ, các bút toán đóng sổ có thể không được ghi nhận phù hợp. Các cập nhật, chỉnh sửa sau khi đóng sổ không được phát hiện, rà soát và phê duyệt kịp thời.
Khi lập báo cáo tài chính, việc trình bày và thuyết minh báo cáo có thể không đầy đủ hoặc chính xác. Báo cáo tài chính không được nộp đúng thời hạn theo luật định. Doanh nghiệp không thực hiện thuyết minh báo cáo tài chính theo yêu cầu của các chuẩn mực hiện hành.
Đối với những đơn vị thực hiện báo cáo tài chính hợp nhất thì rủi ro là giao dịch nội bộ giữa các bên liên quan không được cấn trừ phù hợp. Báo cáo tài chính của đơn vị không được hợp nhất vào báo cáo tài chính hợp nhất.
Có cùng quan điểm, bà Đinh Thị Hương Giang, Giám đốc phụ trách Bộ phận tư vấn của Grant Thornton Việt Nam cho rằng, các rủi ro liên quan đến báo cáo tài chính thường bắt nguồn từ việc: khai khống lợi nhuận thực tế, thao túng thông tin trên báo cáo tài chính, các kiểm soát không hiệu quả đối với các sai sót trong hạch toán hoặc sự làm quyền quản lý, HĐQT bị chi phối hay sử dụng các thủ thuật kế toán cho mục đích cá nhân…
Để giảm thiểu những rủi ro này, giới chuyên gia trong lĩnh vực tài chính khuyến nghị doanh nghiệp xây dựng và vận hành hệ thống kiểm soát nội bộ phục vụ báo cáo tài chính (ICFR) như một cấu phần trong hệ thống kiểm soát nội bộ của doanh nghiệp.
Theo đó, kiểm soát nội bộ là quá trình chi phối bởi cấp quản lý, HĐQT và các nhân sự trong tổ chức, được thiết lập để cung cấp sự đảm bảo hợp lý về việc đảm bảo: tuân thủ các quy định và pháp luật, các hoạt động được thực hiện hiệu quả; sự tin cậy của các báo cáo của doanh nghiệp.
ICFR là hệ thống các quy trình và chính sách được thiết kế và vận hành nhằm cung cấp sự đảm bảo hợp lý rằng báo cáo tài chính của công ty là đáng tin cậy và được lập nhằm tuân thủ các chuẩn mực kế toán có liên quan. Nhờ đó, hỗ trợ việc ra quyết định trong kinh doanh, giảm thiểu rủi ro và gia tăng sự tin tưởng của nhà đầu tư.
Tìm điểm bắt đầu
Để triển khai ICFR, đại diện EY chia sẻ quy trình 5 bước, bắt đầu với việc đánh giá mức độ sẵn sàng theo khung hệ thống kiểm soát nội bộ COSO (Hoa Kỳ) hoặc các thông lệ hàng đầu khác cũng như mức độ sẵn sàng của kiểm soát chung về công nghệ thông tin.
Ở bước thứ hai, doanh nghiệp cần thiết lập cơ chế quản trị, trách nhiệm giải trình, tôn chỉ lãnh đạo phù hợp và kiểm soát văn hóa trong tổ chức thông qua đào tạo và truyền thông.
“Một tập đoàn FDI lớn đến từ Nhật Bản mất tới 5 năm mới có thể bắt đầu yên tâm và tự quản lý hệ thống kiểm soát nội bộ với nguồn lực của chính họ. Họ lập một tổ về ICFR, sau đó xây lộ trình hoàn thiện các vấn đề về kiểm soát nội bộ cấp công ty, quy trình và hệ thống công nghệ thông tin”, bà Thủy cho biết.
Bước thứ ba là đánh giá rủi ro bao gồm cả rủi ro gian lận và xác định phạm vi, có thể sử dụng công nghệ để tăng hiệu quả đánh giá. Bước bốn là triển khai các biện pháp nhanh như xác định cơ hội tự động hóa kiểm soát và tiết kiệm nguồn lực, thiết lập các chính sách kế toán rõ ràng và nhất quán… Bước năm là đánh giá hiệu quả và giám sát liên tục.
Cũng nói về việc xây dựng kiểm soát nội bộ phục vụ báo cáo tài chính cho doanh nghiệp, đại diện đến từ Grant Thornton chia sẻ quy trình 7 bước.
Một là xác định các tài khoản báo cáo tài chính trọng yếu, ví dụ như “tiền và tương đương tiền”, “đầu tư nắm giữ đến ngày đáo hạn”, “phải thu ngắn hạn khách hàng”…. Theo Chuẩn mực kiểm toán Việt Nam số 320, thông tin được coi là trọng yếu khi nếu thiếu thông tin đó hoặc thiếu tính chính xác của thông tin đó sẽ ảnh hưởng đến các quyết định kinh tế của người sử dụng báo cáo tài chính.
Ngưỡng trọng yếu cần được xác định để phân tích định lượng, xác định trọng số của các yếu tố rủi ro (giá trị, khả năng xảy ra gian lận, biến động chỉ số…) và đánh giá định tính (thấp, trung bình hay cao) của các yếu tố rủi ro. Mỗi tài khoản cũng sẽ được định lượng cho từng yếu tố rủi ro.
Chẳng hạn như khoản mục “tiền và tương đương tiền” của một doanh nghiệp sau khi định lượng đã được xác định là có giá trị cao và có khả năng xảy ra gian lận.
Bước hai là xác định các cơ sở dẫn liệu liên quan cho các tài khoản rủi ro cao và trung bình như tính hiện hữu; tính đầy đủ; tính chính xác, đánh giá và phân bổ; quyền và nghĩa vụ; trình bày.
Chẳng hạn, sau khi đánh giá dựa trên các cơ sở dẫn liệu, khoản mục “tiền và tương đương tiền” được xác định là có độ rủi ro trung bình.
Dựa trên kết quả của hai bước đầu, doanh nghiệp phải xác định các quy trình kinh doanh có đóng góp trọng yếu vào các tài khoản quan trọng đó nhằm tiến hành đánh giá xem những quy trình nào cần kiểm soát rủi ro.
Chẳng hạn, khoản mục “tiền và tương đương tiền” có quy trình liên quan là “quản lý ngân quỹ” – quy trình thuộc nhóm rủi ro cao cần được kiểm soát.
Bước bốn là đánh giá môi trường kiểm soát cấp độ doanh nghiệp. Trong đó, xác định và đánh giá các quy trình cấp doanh nghiệp để xác định các biện pháp kiểm soát tương ứng, liệu rằng các biện pháp kiểm soát có đẩy đủ nhằm giảm thiểu rủi ro sai sót đối với cơ sở dẫn liệu báo cáo tài chính có liên quan hay không.
Bước năm là xác định các biện pháp kiểm soát cần có để giảm thiểu rủi ro sai phạm bằng cách sử dụng: thông tin thu được từ cuộc họp của HĐQT/ban tổng giám đốc/ban kiểm soát; thảo luận cùng các nhân sự của chức năng tài chính – kế toán; rà soát các văn bản hiện có của tổ chức liên quan đến những quy trình kinh doanh có mức độ rủi ro cao được xác định ở bước thứ ba.
Bước sáu là xác định và đánh giá mức độ phụ thuộc liên quan đến công nghệ thông tin.
Bước bảy là phát triển chương trình kiểm tra và giám sát. Dựa trên kết quả quá trình lập kế hoạch và xác định phạm vi ICFR, tổ chức sẽ phân bổ nguồn lực để thực hiện việc kiểm tra giám sát những khu vực được xác định là có rủi ro cao hoặc trung bình với các đầu việc cụ thể.
Bà Giang lưu ý, cần báo cáo hiện trạng và kết quả kiểm tra định kỳ, khắc phục những thiếu sót trong kiểm soát và cải tiến liên tục nhằm phù hợp với các thay đổi bên trong và ngoài doanh ngh
Trong khi đó, đại diện đến từ EY nhấn mạnh, yếu tố thành công then chốt của việc triển khai ICFR trước hết nằm ở con người mà đầu tiên phải là ý chí cũng như kiến thức và chuyên môn về ICFR của người lãnh đạo cấp cao. Bên cạnh đó, bà cũng cho rằng doanh nghiệp cần duy trì chức năng kiểm toán nội bộ mạnh mẽ và độc lập, chính sách và quy trình công nghệ thông tin hợp lý, an toàn.
Các chuyên gia lưu ý rằng, hệ thống kiểm soát nội bộ phục vụ báo cáo tài chính cần phù hợp, may đo cho từng doanh nghiệp để đảm bảo cân bằng giữa lợi ích và chi phí trong quản trị rủi ro, phục vụ được mục tiêu của doanh nghiệp.