Giới thiệu chung về mô hình ERM (Enterprise Risk Management)
Năm 2001, Ủy ban Các tổ chức bảo trợ (COSO) của Ủy ban Treadway đã ủy thác cho PricewaterhouseCoopers phát triển phương pháp nhận biết, đánh giá và quản trị rủi ro một cách hiệu quả. Dự án kết thúc vào năm 2004 với sự ra đời của mô hình hệ thống quản trị rủi ro doanh nghiệp – ERM.
ERM được định nghĩa như sau:
Quản trị rủi ro trong doanh nghiệp là một quá trình với sự tham gia của hội đồng quản trị, các cấp quản lý và nhân viên, áp dụng trong việc thiết lập chiến lược, được thiết kế để nhận diện các yếu tố tiềm ẩn có khả năng ảnh hưởng tới doanh nghiệp và quản trị rủi ro, và bảo đảm đạt được những mục tiêu doanh nghiệp đã đề ra.
Mục đích của mô hình là nhận biết được tất cả các yếu tố có thể ảnh hưởng đến việc đạt được các mục tiêu đề ra. Những yếu tố này được chia thành hai loại: những yếu tố có tác động tích cực tới mục tiêu và những yếu tố có tác động tiêu cực tới mục tiêu.
Những yếu tố có tác động tích cực tới mục tiêu thể hiện những cơ hội, trong khi đó, những yếu tố có tác động tiêu cực tới mục tiêu thể hiện những rủi ro. Tất cả đều phải được quản lý với một quy trình rõ ràng bao gồm các giai đoạn: nhận biết và phân tích, phản ứng và quản lý, kiểm soát và giám sát.
Quá trình quản trị rủi ro được hỗ trợ bởi những nền tảng như: triết lý rủi ro, tính liêm chính và các giá trị đạo đức, quản trị doanh nghiệp, năng lực và trách nhiệm, … Các doanh nghiệp nên thực hiện ERM hiệu quả bởi ERM hỗ trợ đắc lực trong quản trị rủi ro bằng cách cung cấp những đánh giá có hệ thống và có mối quan hệ hữu cơ giữa các thành phần và tổng thể.
Việc đánh giá ERM ở mọi cấp độ là rất quan trọng vì nó hỗ trợ nhận diện những điểm mạnh và điểm yếu. Từ đó, tổ chức đưa ra những giải pháp lấp đầy những chỗ trống và cải thiện quản trị doanh nghiệp cũng như quản trị rủi ro.
Những khái niệm trong mô hình ERM được áp dụng ở mọi cấp độ trong doanh nghiệp, nó đưa ra một cách nhìn mới về rủi ro trong doanh nghiệp, từ công tác thiết lập chiến lược đến những hoạt động hàng ngày.

Mô hình ERM
Cũng giống như một ngôi nhà cần nền móng vững chắc, môi trường kiểm soát là nền tảng cho các thành phần khác trong mô hình. Quá trình quản trị rủi ro là trọng tâm của mô hình, phát hiện và đánh giá rủi ro sẽ vô dụng nếu không tiến hành các biện pháp xử lý và thường xuyên kiểm soát rủi ro. Các quá trình vận hành và kinh doanh sẽ không hiệu quả nếu không có dòng thông tin vào, ra và trao đổi chéo trong doanh nghiệp. Thành phần giám sát cũng đóng vai trò quan trọng như tất cả các thành phần khác trong mô hình vì nó giúp doanh nghiệp nhận biết được công việc có được thực hiện một cách hiệu quả hay không.
Sau đây, bài viết sẽ tập trung phân tích những nội dung chi tiết và đưa ra những đánh giá, nhận xét về hai thành phần cuối cùng trong mô hình ERM là Thông tin truyền thông và Giám sát.

1. Thông tin truyền thông
1.1 Khái niệm:
Thông tin truyền thông là thành phần thứ bảy trong mô hình ERM của COSO.
Các tổ chức bảo trợ (COSO) của Ủy ban Treadway đã định nghĩa:
Thông tin đươc truyền đạt đến các bộ phận cá nhân trong đơn vị dưới các hình thức và thời gian thích hợp, đảm bảo mọi người trong tổ chức có thể thực hiện được nhiệm vụ của mình. Truyền thông là sự cung cấp thông tin bên trong đơn vị với bên ngoài.. Sự trao đổi thông tin hữu hiệu đòi hỏi phải diễn ra theo chiều hướng từ cấp trên xuống cấp dưới, từ cấp dưới lên cấp trên và các cấp ngang hang với nhau. Mõi cá nhân cần hiểu vai trò của mình trong hệ thống kiểm soát nội bộ cũng như hoạt động của cá nhân tác động đến hệ thống như thế nào. Ngoài ra cũng cần có sư trao đổi thông tin hữu hiệu với các đối tượng bên ngoài như khách hàng, nhà cung cấp, cổ đông và cơ quan thuế. Thông tin và truyền thông tạo ra các báo cáo, chứa đựng các thông tin cần thiết cho việc quản lý và kiểm soát đơn vị. Nhờ có hệ thống thông tin liên lạc chính xác, trung thực và các hoạt động truyền thông kịp thời mà các thành viên trong đơn vị nắm bắt, trao đổi , xử lý, quản lý và kiểm soát các hoạt động của doanh nghiệp được hiệu quả.
Cụ thể là, trong hệ thống kế toán, thuật ngữ “thông tin” liên quan đến cách thức ghi nhận, xử lý, tổng hợp, báo cáo các nghiệp vụ kinh tế trong công ty.
Hệ thống kế toán và các thủ tục kiểm soát tập trung bảo vệ tài sản và kiểm tra tính chính xác, tính đáng tin của dữ liệu kế toán. Trách nhiệm của người quản lý là đảm bảo hệ thống kế toán của công ty đo lường, xử lý thông tin các dữ liệu tài chính từ các nghiệp vụ kinh tế thích hợp cho người sử dụng
Truyền thông là việc truyền đạt thông tin cho người lao động biết về vai trò và trách nhiệm của họ đối với tổ chức.
Tổ chức thực hiện truyền thông bằng cách in thành tập sách, bảng ghi nhớ hay hệ thống mạng, huấn luyện và tái huấn luyện cho vị trí của từng nhân viên . Mục đích là làm nhân viên hiểu vai trò của mình trong tổ chức và phối hợp với mọi người trong xử lý công việc.
1.2 Các yếu tố của thông tin và truyền thông:
Thông tin qua mục tiêu:
Công ty nên kiểm định và đảm bảo dựa trên nền tảng các thông tin liên quan đến các mục tiêu chiến lược, mục tiêu hoạt động, mục tiêu báo cáo và mục tiêu tuân thủ được chuyển đến đúng lúc và dưới dạng cho phép công ty tiến hành các hoạt động kinh doanh liên quan đến ERM.
Chất lượng thông tin:
Công ty cần đảm bảo chất lượng của các thông tin được cung cấp theo chiều sâu, theo thời gian, tính hiệu lực, tính chính xác và khả năng tiếp cận.
Quản lý thông tin:
Công ty nên thiết lâp các chương trình quản lý dữ liệu theo lịch sử doanh nghiệp và các các chương trình quản lý dữ liệu cập nhật cho phép các hệ thống thông tin cung cấp thông tin cần thiết. Quá trình quản trị cần thúc đẩy các hệ thống kết hợp để hỗ trợ việc tiếp cận thông tin.
Truyền thông:
Ban giám đốc, với tư cách là người đại diện cho chủ sở hữu của công ty phải được thông báo về những thông tin mang tính chất nhạy cảm về các rủi ro mà công ty đang đối mặt trong quá trình thực hiện mục tiêu đề ra. Cần đảm bảo sự tương tác liên tục giữa quản lý cấp cao và các cấp quản lý trung gian cũng như cần có các kênh giao tiếp từ cấp dưới lên cấp trên để khuyến khích báo cáo các thông tin liên quan, ví dụ như những vi phạm và những bất thường diễn ra.
Công ty nên thiết lập các kênh truyền thông mở với các cổ đông một phần để hiểu hơn các nhu cầu của khách hàng, và cũng để thông báo với các cổ đông về rủi ro và các giới hạn.
Các công ty cũng như các giám đốc điều hành cần phải nhạy cảm với các mối quan hệ với công chúng và nhận ra được rằng thiết lập các mối quan hệ tốt với tất cả cổ đông, khách hàng, chủ sở hữu, nhân viên, nhà cung cấp và các cộng đồng tại địa phương cần rất nhiều thời gian tuy vậy chúng lại có thể bị hủy hoại chỉ trong phút chốc.(Kendall, 1998).
Bên cạnh đó, công ty nên tương tác với các cổ đông cung cấp các mức độ thông tin hợp lý để đáp ứng nhu cầu và các yêu cầu thường xuyên phát sinh. Công ty cũng nên thiết lâp một chính sách xác định các thông tin liên quan và phối hợp quá trình phơi bày. Để tăng tính minh bạch, các nhà lãnh đạo đang yêu cầu phơi bày ngày càng nhiều rủi ro hơn. Công ty cần thiết lập chính sách phơi bày trong đó định nghĩa và phối hợp những thông tin được phơi bày.
Chất lượng hệ thống tốt khi những nội dung sau được đảm bảo:
* Doanh nghiệp thường xuyên cập nhật các thông tin quan trọng cho ban lãnh đạo và những người có thẩm quyền.
* Hệ thống truyền thông của doanh nghiệp đảm bảo cho nhân viên ở mọi cấp độ đều có thể hiểu và nắm rõ các nội quy, chuẩn mực của tổ chức, đảm bảo thông tin được cung cấp kịp thời, chính xác đến các cấp có thẩm quyền theo quy định.
* Doanh nghiệp đã thiết lập các kênh thông tin nóng (một ủy ban hay một cá nhân nào đó có trách nhiệm tiếp nhận thông tin tố giác, hoặc lắp đặt hộp thư góp ý) cho phép nhân viên báo cáo về các hành vi, sự kiện bất thường có khả năng gây thiệt hại cho doanh nghiệp.
* Doanh nghiệp đã lắp đặt hệ thống bảo vệ số liệu phòng ngừa sự truy cập, tiếp cận của những người không có thẩm quyền.
* Doanh nghiệp đã xây dựng các chương trình, kế hoạch phòng chống thiên tai, hiểm họa và/ hoặc kế hoạch ứng cứu sự cố mất thông tin số liệu.

1.3 Đánh giá nhận xét
Ưu điểm:
– Thông tin truyền thông là các nhân tố quan trọng trong hoạt động quản lý, là công cụ không thể thiếu để lãnh đạo, điều hành và kiểm soát mọi hoạt động của các nhà quản trị doanh nghiệp.
– Nhờ có thông tin truyền thông, mọi thành viên của đơn vị có thể hiểu rõ công việc của mình, tiếp nhận đầy đủ và chính xác các chỉ thị từ cấp trên, hiểu rõ mối quan hệ với các thành viên khác và sử dụng được những phương tiện truyền thông trong đơn vị. Các thông tin từ bên ngoài cũng được tiếp nhận và ghi nhận trung thực, đầy đủ, để đơn vị có những phản ứng kịp thời.
– Hệ thống thông tin của một đơn vị có thể được xử lý trên máy tính, qua hệ thống thủ công hoặc kết hợp cả hai, tuy nhiên đều phải bảo đảm các yêu cầu chất lượng của thông tin là thích hợp, cập nhật, chính xác và truy cập thuận tiện. Để nâng cao hiệu quả của quá trình xử lý và cung cấp thông tin thì việc ứng dụng công nghệ thông tin trong công tác quản lý nói chung và trong hạch toán kế toán nói riêng tại các doanh nghiệp là tất yếu..
– Trường hợp hệ thống thông tin của đơn vị được xử lý trên máy tính thì dữ liệu được tự động chuyển đến hệ thống thông tin kế toán từ nhiều bộ phận chức năng. Trong trường hợp này, bộ phận kế toán chỉ thực hiện kiểm tra chứ không nhập lại các chứng từ. Điều này cho phép tiết kiệm thời gian , công sức và đảm bảo cung cấp thông tin một cách kịp thời, nhanh chóng.

Nhược điểm;
– Quá trình vận hành hệ thống thông tin kế toán của doanh nghiệp lại tiềm ẩn
rất nhiều rủi ro làm ảnh hưởng đến tính chính xác , độ tin cậy của thông tin cung cấp.
– Các nguy cơ dẫn đến rủi ro về thông tin kế toán có thể do sai sót hoặc gian
lận. Sai sót phổ biến thường gặp là do các nhân viên kế toán thiếu cẩn thận hoặc no yếu về kiến thức trong quá trình thu thập, xử lý và cập nhật thông tin. Gian lận là hành vi cố ý làm sai lệch thông tin vì mục đích chiếm đoạt tài sản hay tư lợi cá nhân và điều này thường khó phát hiện ra. Trong môi trường xử lý thông tin bằng máy vi tính, các hành vi gian lận có thể được thực hiện bằng những công cụ, ỹ thuật tinh vi và phức tạp hơn nhiều so với môi trường xử lý bằng tay.
– Các chương trình do máy tính thực hiện nên nếu có một khiếm khuyết trong
chương trình hoặc lỗi phần cứng có thể làm cho kết quả bi sai lệch một cách có hệ thống, từ đó thông tin tạo ra cũng sẽ không đáng tin cậy.
– Khả năng truy cập, phá hủy hệ thống và dữ liệu cao: Trong hệ thống xử lý
trực tuyến, khả năng bị sửa đổi , đánh cắp, phá hủy dữ liệu và chương trình thường rất cao.
1.4 Mục tiêu của hệ thống thông tin kế toán (AIS)
Theo Hiệp hội kế toán viên công chứng của Mỹ (AICPA), một AIS có năm mục tiêu cơ bản sau đây:
Một là, nhận diện và ghi chép tất cả các nghiệp vụ hợp lệ.
Hai là, phân loại các nghiệp vụ một cách hợp lý.
Ba là, ghi chép các nghiệp vụ với đúng giá trị tiền tệ.
Bốn là, ghi chép các nghiệp vụ đúng kỳ kế toán.
Năm là, Trình bày các nghiệp vụ và các vấn đề liên quan vào các báo cáo tài chính một cách hợp lý.

Do đó, kế toán viên phải hiểu cách thức làm những công việc sau:
– Phát sinh các nghiệp vụ
– Nắm bắt được dữ liệu và chuyển chúng thành dạng mà máy tính có thể đọc được
– Đánh giá và cập nhật các tài liệu máy tính
– Xử lý dữ liệu
– Báo cáo thông tin cho người dùng cả trong và ngoài doanh nghiệp
Để thực hiện được những nhiệm vụ trên, kế toán viên cần hiểu các ghi chép
và thủ tục kế toán, các tài liệu hỗ trợ và các tài khoản cụ thể trong các báo cáo tài chính liên quan đến quá trình xử lý và ghi chép các nghiệp vụ.
Những điều nêu trên giúp cho dấu vết kiểm toán trở nên dễ dàng. Dấu vết kiểm toán được hiểu như sau: Khi một doanh nghiệp thực hiện các thủ tục kiểm soát nội bộ thì đó có thể là thủ tục có để lại dấu vết hoặc không có dấu vết. Dấu vết ở đây chính là những gì mà công việc đó để lại mà khi nhìn vào ta sẽ biết được công việc đó có được thực hiện hay không. Ví dụ, thủ tục phê chuẩn sẽ để lại dấu vết là các chữ ký hoặc con dấu… Và khi kiểm toán viên tiến hành kiểm toán sẽ căn cứ vào các dấu vết này. Trong điều kiện hạch toán thủ công, mọi dấu vết kiểm toán đều phải được lưu giữ đầy đủ trên hệ thống chứng từ, sổ sách kế toán. Kế toán phải thực hiện việc chỉnh sửa các sai sót theo những qui định nghiêm ngặt nhằm lưu lại các dấu vết kiểm toán. Trong trường hợp xử lí trên máy tính, toàn bộ dấu vết kiểm toán thường không được lưu lại, hoặc chỉ được lưu giữ trong một thời gian ngắn dưới những dạng chỉ có thể đọc bởi máy tính. Do đó, khi một hệ thống ứng dụng phức tạp xử lí một khối lượng lớn nghiệp vụ, nếu các dấu vết kiểm toán không được lưu giữ đầy đủ sẽ gây khó khăn trong việc kiểm tra, phát hiện kịp thời các sai sót, gian lận. Một AIS được thiết kế tốt phải cho phép lưu lại tất cả các dấu vết kiểm toán trong một thời gian dài để xác định chính xác thời gian dữ liệu được chỉnh sửa bởi các cá nhân cụ thể.
Các hệ thống kế toán thường bao gồm một vài hệ thống kế toán con, mỗi hệ thống con được thiết kế để xử lý một loại nghiệp vụ cụ thể. Mặc dù chúng khác nhau về loại nghiệp vụ được xử lý, tất cả các hệ thống kế toán con đều tuân theo một trình tự nhất định gọi là Vòng quay kế toán.
2. Giám sát
2.1 Khái niệm
Giám sát là thành phần thứ 8 trong mô hình ERM của COSO
Giám sát là các thủ tục đánh giá lại các thể hiện của một hệ thống kiểm soát nội bộ hiệu quả.
2.2 Các phương pháp giám sát
Các phương pháp thực hiện giám sát bao gồm:
2.2.1 Thực hiện đánh giá ERM
2.2.2 Thực hiện giám sát hiệu quả
2.2.3 Sử dụng kế toán trách nhiệm
2.2.4 Giám sát hoạt động của hệ thống
2.2.5 Theo dõi phần mềm đã mua
2.2.6 Tiến hành kiểm toán định kỳ
2.2.7 Thuê một nhân viên an ninh máy tính và các chuyên gia tư vấn bảo mật
2.2.8 Thu hút các chuyên gia điều tra
2.2.9 Cài đặt phần mềm phát hiện gian lận
2.2.10 Bố sung một đường dây nóng về gian lận
2.1.1 Thực hiện đánh giá ERM
Thực hiện đánh giá ERM hay đánh giá hiệu quả quản lý rủi ro của doanh nghiệp có thể được thực hiện thông qua những chuẩn đánh giá có sãn hoặc thông qua quá trình tự đánh giá. Việc tự đánh giá yêu cầu phải có những nhận xét chi tiết về quá trình thực hiện quản lý rủi ro bởi một nhà phê bình có uy tín. Đó có thể là một tập hợp những nhà quản lý rủi ro hay do chính kiểm toán nội bộ thực hiện. Họ sẽ đưa ra những lời nhận xét nhưng đôi khi những đánh giá này bị hạn chế ở một số lĩnh vực cụ thể hoặc giấu diếm cho quá trình quản lý của những doanh nghiệp đó. Trong trường hợp này, các doanh nghiệp có thể thuê một nhà chuyên môn có uy tin bên ngoài công ty để thực hiện công tác đánh giá hiệu quả quản lý. Tuy nhiên, đối với nhiều doanh nghiệp, nhóm những nhà quản lý rủi ro và bộ phận kiểm toán nội bộ mới là những nguồn lực có sẵn tốt nhất của doanh nghiệp để đưa ra những ý kiến chính xác về hiệu quả thực hiện. Dĩ nhiên, kiểm toán nội bộ phải là một bộ phận độc lập trong doanh nghiệp, có chức năng báo cáo tới hội động kiểm toán và có trách nhiệm trong việc lên kế hoạch và lịch trình kiểm soát của các kiểm toán viên. Một kiểm toán viên nội bộ hoạt động có hiểu quả thông thường sẽ có nhiều hoạt động đánh giá khác và việc làm này cần phải phối hợp với những hoạt động kiểm toán nội bộ đã được lên kế hoạch.
Bộ phận kiểm toán nội bộ, nhóm quản lý rủi ro, những chuyên gia ngoài doanh nghiệp, hoặc những nhân viên của doanh nghiệp đã được đào tạo có thể sử dụng những phương thức sau để đánh giá:
 Biểu đồ tiến độ (Process flowcharting): Là một phần của bất kỳ quá trình quản lý rủi ro nào. Các phòng ban có trách nhiệm thiết lập một biểu đồ tiến độ ghi lại toàn bộ quá trình quản lý. Những biều đồ này sẽ rất hữu dụng cho quá trình tự đánh giá. Để làm được điều này đòi hỏi phải nhìn lại những tài liệu đã cung cấp , xác định xem những dẫn chứng bằng tài liệu đó còn đúng với điều kiện hiện tại hay không, và cập nhật biểu đồ tiến độ cho phù hợp. Chính sự cập nhật này sẽ xác định xem những rủi ro đã nhận biết còn xuất hiện hay không hoặc những rủi ro đã được nhận biết có thích đáng hay không.
 Đánh giá về rủi ro và tài liệu về quản lý (Reviews of risk and control materials) : Quá trình đánh giá quản lý rủi ro thường cho ra một khối lượng lớn tài liệu hướng dẫn, thủ tục tài liệu, báo cáo định dạng và tương tự như vậy. Việc đánh giá rủi ro và tài liệu về quản lý rủi ro sẽ rất giá trị nếu nhìn nhận từ quan điểm về tính hiệu quả.
 Benchmarking: Đây là một thuật ngữ rất hay bị sử dụng nhầm. ” Benchmarking” là một kỹ thuật quản trị nhằm cải thiện hoạt động kinh doanh. Kỹ thuật này được sử dụng để so sánh tình hình hoạt động giữa các tổ chức khác nhau nhưng hoạt động trong lĩnh vực tương tự nhau hoặc giữa các bộ phận trong cùng một tổ chức.Benchmarking là một phương pháp mang tính liên tục dùng để đánh giá, cải tiến sản phẩm, dịch vụ và thói quen để đạt được vị trí dẫn đầu trong ngành. Phương pháp này cũng được định nghĩa như là một phương pháp “tìm kiếm những cách thức tốt nhất trong thực tiễn giúp cho doanh nghiệp hoạt động tốt hơn trong ngành” . Việc tập hợp thông tin để so sánh là một việc rất khó vì các đối thủ thường không sẵn lòng chia sẻ những thông tin mang tính cạnh tranh. Benchmarking có thể so sánh các phương thức kinh doanh tương tự nhau mà không cần xem liệu sản phẩm đầu ra các khác nhau hay hoặc đầu ra khó tính toán.
 Câu hỏi (Questionaires): Đây là một phương pháp tốt để thu thập được thông tin từ lượng lớn những người tham gia. Câu hỏi được gửi đến cho các cổ đông với những yêu cầu để có thông tin cụ thể. Phương pháp này rất có giá trị với việc quản lý khi những người trả lời thuộc những địa điểm khác nhau.
 Những buổi họp được tạo điều kiện (Facilitated sessions): Những thông tin có giá trị tập hợp lại bằng việc đặt câu hỏi cho những người đã được lựa chọn tham gia cuộc họp nhóm được chỉ dẫn bởi một nhóm trưởng có chuyên môn. Đây là một cách tiếp cận mà rất nhiều doanh nghiệp sử dụng để tập hợp những thông tin nghiên cứu thị trường thông qua nhóm chủ đạo. Đây cũng là cách để tập hợp một nhóm những thành viên- thuộc những vị trí khác nhau trong doanh nghiệp- để đánh giá về rủi ro của doanh nghiệp ở một lĩnh vực cụ thể. Những thành viên với những trách nhiệm khác nhau cùng hợp tác đưa ra những thông tin về rủi ro của một số hoạt động của doanh nghiệp.
Mục đích của việc quản lý là để đánh giá xem quản lý rủi ro được thực hiện như thế nào trong doanh nghiệp. Vì thế cần thường xuyên báo cáo những thiếu xót với những người quản lý phụ trách rủi ro của doanh nghiệp ở những lĩnh vực mà họ giám sát cũng như cho bộ phận quản lý rủi ro.
Bài viết xin đưa ra một số đánh giá, nhận xét về ưu điểm cũng như nhược điểm của phương pháp này.
Về ưu điểm:
– Nhìn chung những đánh giá về hiệu quả của việc thực hiện quản lý rủi ro chính xác và khách quan vì những đánh giá đều do những người có chuyên môn về rủi ro đưa ra
– Thông qua việc đánh giá để nhận biết được những rủi ro còn đang tồn tại trong doanh nghiệp và phát hiện được những rủi ro có thể phát sinh trong quá trình hoạt động từ đó đưa ra được giải pháp phù hợp
Về nhược điểm:
– Trong một vài trường hợp, việc đưa ra đánh giá gặp khó khăn do có tác động từ phía doanh nghiệp (ví dụ nếu người đánh giá là kiểm toán viên nội bộ)
– Thiếu những chuyên gia có chuyên môn về quản lý rủi ro.
2.2.2 Thực hiện giám sát hiệu quả
Trên thực tế, nhiều lãnh đạo doanh nghiệp thường đặt nặng trọng tâm vào hoạt động kinh doanh, lợi nhuận, doanh thu thay vì tập trung nhiều đến kiểm soát các hoạt động của doanh nghiệp. Các doanh nghiệp không nâng cao được vấn đề kiểm soát sẽ phải đối mặt với rất nhiều kiểu rủi ro khác nhau: thua lỗ về tài chính nghiêm trọng, ảnh hưởng xấu đến luồng tiền và giá trị cổ phiếu, làm sụt giảm uy tín với khách hàng, nhân viên và nhà đầu tư. Trong giai đoạn khủng hoảng toàn cầu đã được dự báo gần như chạm đáy và bắt đầu có những dấu hiệu phục hồi, mặc dù quá trình phục hồi có thể diễn ra với tốc độ và tính chất khác nhau tùy theo ngành và vị trí địa lý của doanh nghiệp đang hoạt động, sự chuẩn bị đầy đủ của doanh nghiệp về mọi mặt trong đó có cả quy trình, chiến lược quản lý rủi ro và các hoạt động kiểm soát doanh nghiệp sẽ giúp họ không bị rơi vào thế bị động và có nhiều khả năng hơn để tận dụng các cơ hội phát triển sau suy thoái. Một câu hỏi đặt ra vậy làm thế nào để thực hiện kiểm soát hiệu quả.
Trước hết phải chú trọng phát triển về nguồn lực con người.
 Tuyển dụng: Doanh nghiệp nên tuyển chọn những nhân viên có chuyên môn và đáp ứng được đầy đủ yêu cầu tuyển dụng. Những nhân viên tiềm năng sẽ được kiểm tra lại về kiến thức nền, kinh nghiệm làm việc.Doanh nghiệp sẽ trang bị cho nhân viên những hiểu biết về về giá trị, văn hóa và cách thức hoạt động của mình. Doanh nghiệp sẽ đào tạo và tạo điều kiện để nhân viên phát triển và trau dồi thêm về chuyên môn.
 Đánh giá, khen thưởng và kỷ luật : Sẽ có những quy định về đánh giá hiệu quả làm việc của công nhân viên, không phải với mục đích chạy theo số lượng. Vì vấn đề đánh giá và đền bù có thể gây những ảnh hưởng tiêu cực đến sự tự tin của công nhân viên nên việc đưa ra hệ thống quy định sẽ dựa trên nguyên tắc công bằng cho tất cả mọi người. Đối với những hành động không có kỷ luật, cũng sẽ có những chính sách phù hợp. Nếu bất kỳ một nhân viên nào có những hành động vi phạm kỷ luật sẽ chịu những hình phát theo từng mực độ vi phạm và nặng nhất là sa thải. Tất cả những chính sách về đánh giá, khen thưởng hay kỷ luật đều vì mục đích khuyến khích nhân viên cũng như huấn luyện nhân viên ngày một chuyên nghiệp hơn.
Vấn đề thứ hai cần quan tâm để kiểm soát có hiệu quả đó là nâng cao nhiệm vụ giám sát của đội ngũ quản lý rủi ro và của Ban Giám Đốc. Để làm được điều đó, các doanh nghiệp cần:
 Xây dựng đội ngũ quản lý rủi ro hiệu quả : Nhiệm vụ của các tổ chức quản lý rủi ro đó là xác định, đo lường và đánh giá rủi ro một cách nhất quán trong từng đơn vị kinh doanh của cả doanh nghiệp và sau đó đưa ra các đánh giá và quan điểm chiến lược có sự tích hợp và trên quy mô toàn doanh nghiệp nhằm đảm bảo rằng hồ sơ quản lý rủi ro của mình phù hợp và nhất quán với chiến lược tổng thể của doanh nghiệp. Cơ cấu của các tổ chức này sẽ thay đổi tùy theo mô hình hoạt động của doanh nghiệp. Ví dụ, trong những tập đoàn đa ngành và phức hợp có quy mô lớn như GE, mỗi đơn vị kinh doanh cần có bộ phận quản lý rủi ro riêng với những đặc thù và tính chất cụ thể. Tuy nhiên, dù theo cấu trúc nào đi chăng nữa, các nguyên tắc cơ bản là không thay đổi. Cụ thể như sau:
• Nhân sự tài năng: Các giám đốc quản lý rủi ro (CRO) trong tập đoàn cũng như trong từng bộ phận riêng biệt phải thực sự có kiến thức và kinh nghiệm sâu rộng để có thể cố vấn cho CEO và có tính đến mối quan hệ lợi nhuận – rủi ro trong các quyết định kinh doanh của doanh nghiệp. Chìa khóa để thành công trong việc quản lý rủi ro của các doanh nghiệp và tập đoàn lớn đó chính là bổ nhiệm được những CRO thực sự tài năng và những CRO này sẽ báo cáo trực tiếp lên CEO hoặc CFO, và những CRO này cũng thực sự được ưu đãi ngang tầm một giám đốc doanh nghiệp thành viên.
• Tách bạch vai trò và nhiệm vụ: Các doanh nghiệp phải tách biệt rõ ràng vai trò của các cấp quản lý rủi ro, đó là những người thiết lập các chính sách và giám sát việc thực hiện các chính sách đó với những người phát hiện và quản lý các rủi ro.
• Làm rõ trách nhiệm từng cá nhân: Các chức năng quản lý rủi ro đòi hỏi phải có bảng mô tả công việc rõ ràng, ví dụ thiết lập, xác định và kiểm soát các chính sách. Mối liên kết cũng như tính ràng buộc trách nhiệm cũng cần được xác định rõ, đặc biệt giữa bộ phận quản lý rủi ro của doanh nghiệp và các đơn vị kinh doanh trực thuộc.
 Giám sát quản lý rủi ro của Ban giám đốc: Ban giám đốc của doanh nghiệp cần phải hiểu rõ và dự báo trước được các rủi ro chính doanh nghiệp sẽ phải đối mặt và phải đảm bảo rằng bộ máy lãnh đạo cấp cao của mình có đầy đủ năng lực trong việc điều hành và quản lý rủi ro khi cần thiết. Để có được sự giám sát và quản lý rủi ro hiệu quả, Ban giám đốc phải giải quyết tốt các vấn đề then chốt sau:
• Cơ cấu quản lý: Ban giám đốc phải quyết định rõ việc giám sát và quản lý rủi ro nên giao cho một bộ phận hiện có trong doanh nghiệp (như bộ phận kiểm toán hoặc ban tài chính) hay thành lập một bộ phận chuyên trách mới, hay phân chia giữa các bộ phận trong doanh nghiệp. Trên thực tế, bộ phận kiểm toán/kế toán thường được giao trọng trách này, tuy nhiên, do bộ phận này đã phải gánh một trách nhiệm khá quan trọng là đảm bảo tính chính xác của các báo cáo tài chính, nên tự thân bộ phận này khó có thể đảm đương tốt thêm một chức năng mới là giám sát và quản lý rủi ro.
• Cơ chế báo cáo rủi ro: Các báo cáo giám sát và quản lý rủi ro lên Ban giám đốc và các bộ phận phụ trách phải vượt ra ngoài phạm vi chỉ là số liệu thuần túy bằng cách đưa ra các đánh đổi có thể có giữa rủi ro và lợi nhuận thu về. Bởi vì bản thân dữ liệu chưa thể nói lên hết được vấn đề hoặc chưa đưa ra những cơ hội cho các cuộc tranh luận hữu ích.
• Đào tạo và kinh nghiệm: Các chương trình đào tạo có thể cần thiết đối với các thành viên của Ban giám đốc. Ban giám đốc cũng nên xem xét xem liệu họ có thực sự cần thành viên mới có kinh nghiệm phong phú đến mức nào hay không
• Chu trình: Ban giám đốc cần rà soát lại tính hiệu quả của chu trình quản lý rủi ro định kỳ của mình. Tập trung vào các vấn đề như cấu trúc và chức năng của các bộ phận chuyên trách, sự hiểu biết đầy đủ về rủi ro và kinh nghiệm quản lý rủi ro của các thành viên Ban giám đốc là những nét chủ đạo trong việc giám sát chu trình của Ban giám đốc. Một số doanh nghiệp cũng sử dụng các công cụ tự đánh giá để cho phép các lãnh đạo cấp cao xếp hạng và đánh giá tính hiệu quả của quy trình quản lý rủi ro do Ban giám đốc tiến hành trên rất nhiều khía cạnh như tính minh bạch trong quản lý rủi ro, cơ chế báo cáo rủi ro, các cuộc họp định kỳ và cả tính chuyên nghiệp trong nhận thức và đánh giá rủi ro. Công tác rà soát như vậy nên tiến hành hàng năm.
Phương pháp nêu trên có những ưu, nhược điểm sau.
Ưu điểm:
– Giúp nâng cao hiệu quả hoạt động và chất lượng của doanh nghiệp
– Nâng cao được tay nghề và tính chuyên nghiệp của nhân viên
Nhược điểm:
– Phải đầu tư nhiều chi phí và thời gian
– Yêu cầu phải có những chuyên gia có tầm nhìn và hiểu biết rộng có đủ khả năng kiểm soát mà hiện tại
2.2.3 Sử dụng kế toán trách nhiệm
Kế toán trách nhiệm là một hệ thống kiểm soát quản lý dựa trên nguyên tắc phân quyền và trách nhiệm. Kế toán trách nhiệm là một hệ thống theo đó các nhà quản lý đưa ra quyết định thẩm quyền ra trách nhiệm cho từng hoạt động xảy ra trong một khu vực cụ thể của công ty. Theo hệ thống này, các nhà quản lý chịu trách nhiệm cho các hoạt động của các phân đoạn. (Venkatrathnam và Reddy).
Mục đích của kế toán trách nhiệm là thiết lập và báo cáo nguyên nhân và hậu quả mối quan hệ giữa các hoạt động của các nhà quản lý cụ thể và kết quả tài chính của các hoạt động này (Caplan, năm 1992).
Sử dụng kế toán trách nhiệm trong giám sát bao gồm việc sử dụng:
+ Ngân sách, hạn ngạch, lịch trình, chi phí tiêu chuẩn, và các tiêu chuẩn chất lượng.
+ Báo cáo hiệu suất là báo cáo so sánh hiệu suất thực tế với hiệu suất dự kiếnvà phương sai nổi bật.
+ Thủ tục điều tra những chênh lệch đáng kể và có những hành động kịp thời để điều chỉnh các tình thế bất lợi.
Đánh giá về phương pháp sử dụng kế toán trách nhiệm, chúng ta có thể đưa ra những nhận định về ưu, nhược điểm như sau:
Ưu điểm:
– Giúp nâng cao hiệu quả hoạt động và chất lượng của doanh nghiệp do được phân quyền trách nhiệm từng hoạt động cụ thể của công ty. Các nhà quản lý thiết lập một mô hình cơ cấu tốt nhất để sử dụng ngân sách, theo các quy chuẩn và kịp thời điều chỉnh khi những điều kiện bất lợi.
– Thông qua việc sử dung kế toán trách nhiệm để phát hiện và han chế rủi ro trong doanh nghiệp có thể phát sinh trong quá trình hoạt động từ đó đưa ra được giải pháp phù hợp.
Nhược điểm:
– Kế toán trách nhiệm được sử dụng hiệu quả cao ở các công ty lớn có sự phân nhiệm rõ ràng, sử dụng tại các công ty vừa và nhỏ chưa thực sự hiệu quả.
– Thiếu những nhà quản lý có chuyên môn trong việc sử dụng kế toán trách nhiệm.
2.2.4 Giám sát hoạt động của hệ thống
Có các gói phần mềm quản lý và phân tích rủi ro để xem xét lại các biện pháp an ninh mạng và máy tính , phát hiện việc đột nhập bất hợp pháp vào hệ thống, kiểm ra những điểm yếu và lỗ hổng thông báo những điểm yếu đã phát hiện ra và gợi ý cách khắc phục.
Thông số chi phí có thể được nhập vào để cân bằng mức độ chấp nhận được rủi ro và mức độ hiệu quả của chi phí.
Phần mềm này giúp theo dõi và chống lại virus, phần mềm gián điệp, thư rác, quảng cáo “pop-up” (hình thức quảng cáo hiển thị trong một cửa sổ mới khi bạn ghé thăm một website nào đó), và ngăn chặn các trình duyệt bị tấn công. Phần mềm cũng giúp các công ty phục hồi các hành vi gian lận và bị làm hại đồng thời khôi phục lại hệ thống như tình trạng trước sự cố.
Các hoạt động và các giao dịch của hệ thống phải được ghi lại trong một bản ghi chỉ rõ ai đã truy cập dữ liệu, khi nào, và từ thiết bị đầu cuối nào.
Bản ghi cần được xem xét thường xuyên để giám sát hoạt động của hệ thống và truy cứu nguyên nhân của bất kỳ vấn đề nào phát sinh.
Dữ liệu thu thập có thể được sử dụng để đánh giá hiệu quả làm việc của nhân viên, kiểm soát chi phí công ty, chống lại gián điệp và những tấn công khác và để phục vụ các yêu cầu pháp lý.
Các công ty giám sát hoạt động của hệ thống cần phải đảm bảo rằng họ không vi phạm quyền riêng tư của nhân viên. Người sử dụng lao động không thể theo dõi một cách kín đáo những thông tin của những nhân viên một khi những nhân viên đó có một “kỳ vọng hợp lý về sự riêng tư.” Do đó nhà tuyển dụng phải đảm bảo nhân viên nhận thức được liên lạc kinh doanh không phải là riêng tư. Để thực hiện mục tiêu này doanh nghiệp cần đề ra những chính sách có văn bản kèm theo mà nhân viên nhất trí, trên đó chỉ rõ:
+ Các công nghệ nhân viên sử dụng trong công việc thuộc về công ty.
+ Email nhận được trên các máy tính của công ty không phải là riêng tư và quản lý nhân sự có quyền đọc.
+ Nhân viên không nên sử dụng công nghệ theo bất kỳ cách nào nhằm giúp ích cho đối thủ của công ty.
Dựa vào những lý thuyết trên đây, chúng ta có thể rút ra nhận xét như sau:
Ưu điểm:
– Giúp nâng cao hiệu quả hoạt động và tận dụng nguồn nhân lực của doanh nghiệp do được áp dụng công nghệ thông tin đồng thời hạn chế sử dụng công nghệ vào việc riêng tư đồng thời nâng cao sự bảo mật của công ty đối với những nguy cơ bên trong và từ bên ngoài doanh nghiệp.
– Nâng cao được chuyên môn, trách nhiệm và tính chuyên nghiệp của nhân viên.
Nhược điểm:
– Phải đầu tư nhiều chi phí, thời gian và nguồn nhân lực và cần phải luôn cập nhật, nâng cấp phần mềm.
– Yêu cầu phải có những chuyên gia có tầm nhìn và hiểu biết rộng, có chuyên môn cao cả về công nghệ và chuyên môn. Hiện tại những chuyên gia này vẫn còn rất thiếu.
2.2.5 Theo dõi phần mềm đã mua
Liên minh Phần mềm Doanh nghiệp (BSA) tích cực theo dõi và xử phạt những công ty vi phạm các thỏa thuận về cấp phép phần mềm. Để tuân thủ bản quyền, các công ty cần định kỳ kiểm tra phần mềm kiểm toán để đảm bảo rằng có đủ giấy phép sử dụng phần mềm cho tất cả người sử dụng, công ty không phải trả tiền cấp giấy phép nhiều hơn cần thiết và phải đảm bảo thông báo cho nhân viên những hậu quả của việc sử dụng phần mềm không có giấy phép.
Ưu điểm của phương pháp này là:
– Đảm bảo được tính hợp pháp trong việc sử dụng phần mềm, giảm thiểu rủi ro liên quan đến pháp lý về luật bản quyền.
– Nâng cao ý thức và tính chuyên nghiệp trong làm việc của nhân viên.
Bên cạnh đó, phương pháp theo dõi phần mềm đã mua có hạn chế là việc thực hiện tốn thời gian và nhiều khi không cần thiết khi doanh nghiệp đã thực hiện mua và cài đặt phần mềm có bản quyền ngay từ đầu.
2.2.6 Tiến hành kiểm toán định kỳ
Để giám sát rủi ro và phát hiện gian lận và sai sót, công ty thực hiện định kì các công tác kiểm toán độc lập, kiểm toán nội bộ và kiểm tra an ninh mạng đặc biệt. Kiểm toán viên nên kiểm tra hệ kiểm soát của hệ thống và duyệt các tập tin hệ thống sử dụng cho các hoạt động đáng ngờ.
Một điều cần phải chú ý khi thực hiện công tác kiểm toán đó là phải đảm bảo cho quyền riêng tư của nhân viên không bị xâm phạm. Do dó, bộ phận thực hiện kiểm toán cần thông báo cho hiểu rõ nhân viên kiểm toán viên sẽ tiến hành giám sát ngẫu nhiên với hai tiêu chí đó là tránh xâm phạm quyền riêng tư của nhân viên và tạo ra “tinh thần tự phát hiện” có thể ngăn chặn tội phạm và giảm thiểu sai sót.
i. Kiểm toán độc lập
Là loại kiểm toán được tiến hành bởi các kiểm toán viên thuộc các công ty, các văn phòng kiểm toán chuyên nghiệp. Kiểm toán độc lập là hoạt động dịch vụ tư vấn được pháp luật thừa nhận và quản lý chặt chẽ. Quan hệ giữa các chủ thể kiểm toán (kiểm toán viên/tổ chức kiểm toán và đơn vị kinh tế được kiểm toán) là quan hệ mua bán dịch vụ, đơn vị kinh tế được kiểm toán trả phí dịch vụ cho các kiểm toán viên theo thỏa thuận trong hợp đồng kiểm toán. Các kiểm toán viên độc lập là những người hội đủ các tiêu chuẩn theo chuẩn mực kiểm toán và các quy định pháp lý về hành nghề kiểm toán.
Kiểm toán độc lập chủ yếu hoạt động trong lĩnh vực kiểm toán báo cáo tài chính, thực hiện các dịch vụ tư vấn tài chính, kế toán. Ngoài ra, tùy từng thời kỳ kinh tế và yêu cầu cụ thể của khách hàng, kiểm toán viên độc lập còn thực hiện các dịch vụ khác như kiểm toán hoạt động, kiểm toán tuân thủ và đặc biệt là kiểm toán các quyết toán giá trị công trình xây dựng cơ bản hoàn thành, xác định giá trị vốn góp.
Hoạt động kiểm toán độc lập là hoạt động kiểm toán rất phổ biến ở các nước có nền kinh tế phát triển, vì thế hoạt động kiểm toán nói chung thường được coi là hoạt động kiểm toán độc lập. Trong hoạt động kiểm toán độc lập thì kiểm toán báo cáo tài chính là chủ yếu, theo đó đề cập về kiểm toán độc lập tức là kiểm toán độc lập báo cáo tài chính.
ii. Kiểm toán nội bộ
Là loại kiểm toán do các kiểm toán viên nội bộ của đơn vị tiến hành theo yêu cầu của Giám đốc doanh nghiệp hoặc thủ trưởng đơn vị. Theo chuẩn mực kiểm toán quốc tế số 610 thì kiểm toán nội bộ “Là bộ phận kiểm soát trong đơn vị, thực hiện kiểm tra vì lợi ích của đơn vị này. Trong số các công việc thực hiện, chủ yếu gồm kiểm tra, đánh giá và kiểm soát tính thích đáng và hiệu quả của các hệ thống kế toán và kiểm soát nội bộ”.
Kiểm toán nội bộ thường được tổ chức theo mô hình sau:

Kiểm toán nội bộ là một hoạt động tư vấn và đảm bảo độc lập và khách quan được thiết lập nhằm gia tăng giá trị và hoàn thiện hoạt động của doanh nghiệp. Kiểm toán nội bộ bao gồm các công việc: xem xét độ tin cậy và tính toàn vẹn của thông tin hoạt động và tài chính, cung cấp một thẩm định về tính hiệu quả của kiểm soát nội bộ, đánh giá sự tuân thủ các chính sách và quy trình quản lý, luật lệ và quy định được áp dụng của nhân viên, đánh giá tính hiệu quả của công tác quản lý. Kiểm toán viên nội bộ cũng đóng một vai trò quan trọng trong việc giúp đỡ các công ty thực hiện SOX 404. Trong lĩnh vực này, kiểm toán viên nội bộ thường là một phần của nhóm đánh giá rủi ro trong vai trò cố vấn.Ví dụ, kiểm toán viên nội bộ có thể tư vấn Hội đồng quản trị về các biện pháp quản lý điều hành trong tương lai, để giúp xác định các rủi ro có thể xuất hiện.
Kiểm toán nội bộ có thể phát hiện: làm thêm giờ trái quy định, tài sản không được tận dụng, hàng tồn kho đã lỗi thời, chi phí bồi hoàn bị độn thêm, ngân sách và hạn ngạch quá lỏng lẻo, chi phí vốn kém hợp lý và những bế tắc trong sản xuất.
Kiểm toán nội bộ phải được tổ chức độc lập với hoạt động kiểm toán và điều hành để đảm bảo không xảy ra gian lận. Kiểm toán trưởng phải báo cáo cho ủy ban kiểm toán của ban giám đốc chứ không phải là giám đốc điều hành hoặc giám đốc tài chính.
iii. Kiểm toán an ninh mạng
Kiểm toán an ninh mạng là một phương thức mà với nó mức độ hiệu quả hoạt động an ninh mạng của một tổ chức có thể được theo dõi và nó cho phép điều tra và xác định chính xác các xu hướng được lựa chọn và các sự cố an ninh cụ thể. Các loại tính năng kiểm tra bảo mật mạng tồn tại trong tất cả các nền tảng máy tính hiện đại, chẳng hạn như các bản ghi sự kiện an ninh và các bản ghi hoạt động của cơ sở dữ liệu. Ít phổ biến hơn là những công cụ kiểm toán cho phép việc sáp nhập, hợp nhất các thông tin trên các nền tảng khác nhau đến 1 mức độ nào đó.
Kiểm toán an ninh mạng xem xét hai loại thông tin rộng rãi. Loại thứ nhất là các dữ liệu tĩnh, chẳng hạn như định nghĩa hệ thống, các giao thức được sử dụng, quy định mật khẩu, định nghĩa tường lửa và các loại tương tự. Loại thứ hai là loại dữ liệu các chương trình phần mềm an ninh làm việc các hoạt động đã diễn ra. Truy cập vào cơ sở dữ liệu, chuyển giao các tập tin, kiểm sát người sử dụng đăng nhập ở đâu và khi nào là một vài hoạt động phổ biến hơn trong kiểm toán an ninh mạng.
Tiến hành kiểm toán định kỳ có những ưu điểm như sau:
– Đảm bảo tính minh bạch cho hoạt động của công ty.
– Có thể tư vấn cho các hoạt động của công ty để tránh rủi ro
Nhược điểm của phương pháp này là:
– Thực hiện định kì gây tốn thời gian.
– Công tác kiểm toán vẫn có thể xảy ra sai sót và gian lận.
2.2.7 Thuê một nhân viên bảo mật máy tính và các chuyên gia tư vấn máy tính
Thực tế, các mối đe doạ AIS đang tăng lên bởi vì những rủi ro và việc thiếu bảo vệ ngày càng gia tăng trong vài năm. Các máy tính và máy chủ có có mặt ở khắp mọi nơi. Ngoài ra, mạng máy tính phân tán làm cho dữ liệu có sẵn cho nhiều người sử dụng. Không chỉ vậy, mạng diện rộng (WAN) cho phép khách hàng và nhà cung cấp có quyền truy cập vào hệ thống và dữ liệu của nhau. Vì vậy, kiểm soát, giám sát và bảo mật là rất quan trọng. Các công ty bây giờ đã nhận ra được những vấn đề này và đưa ra những biện pháp tích cực để kiểm soát, giám sát và bảo mật một cách tốt nhất. Ngoài việc, giáo dục nhân viên về các biện pháp kiểm soát, giám sát, bảo mật các thông tin, các công ty còn thuê một nhân viên bảo mật máy tính (CSO)và những chuyên gia tư vấn máy tính .
CSO chịu trách nhiệm về bảo mật hệ thống thông tin kế toán (AIS). Trong đó, hệ thống thông tin kế toán (AIS) được hiểu là một cấu phần đặc biệt của hệ thống thông tin quản lý, nhằm thu thập, xử lý và báo cáo các thông tin liên quan đến các nghiệp vụ tài chính. Mối quan hệ giữa hệ thống thông tin kế toán (AIS) và hệ thống thông tin quản lý được thể hiện qua sơ đồ dưới đây:

Để hiểu rõ về vai trò và trách nhiệm của CSO, ta xét CSO trong mối liên hệ với CIO và CISO.
Hầu như tất cả các tập đoàn lớn và các tổ chức chính phủ đều có giám đốc công nghệ thông tin (CIO) và giám đốc về bảo mật thông tin (CISO)và nhân viên bảo mật máy tính (CSO).
Các CIO và CISO có mối quan hệ chặt chẽ với các CSO và họ đều có công việc riêng. Trong khi, CIO chịu trách nhiệm cung cấp dịch vụ thông tin tới công ty, lực lượng lao động của công ty đó,và các bên liên quan khác thì CISO là chịu trách nhiệm cho sự an toàn của các hệ thống thông tin và các thông tin chứa bên trong nó. Trong những công ty truyền thống, CSO chịu trách nhiệm xác định độ nhạy cảm của thông tin và bảo vệ thông tin.Cụ thể hơn, CSOs thường vẫn là chịu trách nhiệm cho việc bảo hộ thông tin khi thông tin tồn tại ở những hình thức khác ngoài dạng điện tử. Ví dụ, nhiều thông tin tồn tại dưới các hình thức văn bản giấy. Những tài liệu này, khi chứa các trang có thông tin nhạy cảm, cần được bảo vệ. Các biện pháp bảo mật truyền thống sẽ được áp dụng như hồ sơ bị khóa, hoặc các két giữ trong các khu vực được bảo mật của công ty nơi mà những người không có thẩm quyền sẽ không được truy cập vào những thông tin đó. Những phương pháp bảo mật truyền thống giúp ngăn chặn sự thỏa hiệp hoặc hành vi đánh cắp thông tin nhạy cảm về công ty hoặc tổ chức. Trong một số công ty và tổ chức, nhiệm vụ của CISO được giao cho các CSO, tuy nhiên, nó là phổ biến hơn khi nhìn thấy công việc của họ tách bạch ra hoặc có thể là CISO báo cáo tình hình cho CSO. Hơn nữa, CSOs thường chịu trách nhiệm làm việc với những nhà sáng tạo ra thông tin và với các nhà luật sư về sở hữu trí tuệ để quyết định mức độ nhạy cảm của thông tin. Ngoài ra, CSO thông thường chịu trách nhiệm phát triển quy trình bảo vệ thông tin nhạy cảm và đảm bảo nhân viên trong công ty hiểu cách bảo mật các nguồn tin này. Nếu có các vấn đề liên quan, CSO thường báo cáo tới các giám đốc điều hành (COO) hoặc tổng giám đốc điều hành(CEO)
(Theo cuốn Hệ thống thông tin kế toán (Accounting Information Systems) của Gelinas, Sutton & Oram xuất bản năm 1999)
Ngoài việc thuê nhân viên bảo mật máy tính, nhiều công ty cũng sử dụng những chuyên gia tư vấn máy tính bên ngoài hoặc các nhóm chuyên trong nội bộ của công ty để kiểm tra và đánh giá các thủ tục an ninh và hệ thống máy tính của họ.
Nhận xét về phương pháp này, chúng ta có thể rút ra:
Ưu điểm
– Thông tin sẽ được bảo mật một cách tương đối an toàn
– Các vấn đề rò rỉ thông tin của công ty sẽ nhanh chóng được phát hiện và khắc
phục kịp thời nhờ các nhân viên bảo mật máy tính và các chuyên gia tư vấn máy tính
Nhược điểm
– Không phải công ty nào cũng có đủ khả năng để thuê được các nhân viên bảo
mật máy tính và đặc biệt là các chuyên gia tư vấn máy tính
2.2.8 Thuê các chuyên gia điều tra
Hiện nay, kế toán điều tra là một trong những lĩnh vực phát triển nhanh nhất của kế toán. Chúng ta có thể khẳng định được đều đó do đạo luật SOX, SAS-99 và yêu cầu của hội đồng giám đốc đưa ra là việc kế toán điều hành phải là một phần liên tục của báo cáo tài chính và quá trình quản trị doanh nghiệp.
Đạo luật SOX được ban hành ngày 30/7/2002 , sau hậu quả của nhiều vụ bê bối tài chính gây thiệt hại hàng tỷ USD cho các nhà đầu tư ở nhiều tập đoàn như Enron, WorldCom, Tyco, và sau sự đổ vỡ của hãng kiểm toán Arthur Andersen.
Lúc bấy giờ, Đạo luật được đồng bảo trợ bởi Thượng nghị sỹ Paul Sarbanes, Hạ nghị sỹ Michael Oxley và được coi là cải cách quan trọng nhất trong luật pháp về chứng khoán Mỹ kể từ sau chương trình kinh tế New Deal do Tổng thống Franklin D. Roosevelt khởi xướng những năm 1930.
Mục tiêu chính của Đạo luật SOX là nhằm bảo vệ lợi ích của các nhà đầu tư bằng cách buộc các công ty đại chúng (công ty cổ phần đã phát hành chứng khoán ra công chúng) phải đảm bảo tính minh bạch của các báo cáo tài chính được công bố. SOX bao gồm 11 chương và có phạm vi điều chỉnh khá rộng, từ trách nhiệm của Hội đồng quản trị cho đến các hình phạt xử lý vi phạm. Điều khoản quan trọng nhất của Đạo luật SOX là quy định thành lập Hội đồng Giám sát Kế toán các Công ty đại chúng tại Mỹ (PCAOB) – cơ quan chịu trách nhiệm giám sát, thanh tra các công ty kiểm toán (có vai trò kiểm toán các công ty đại chúng). Đạo luật cũng quy định các vấn đề liên quan đến tính độc lập của các kiểm toán viên, quản trị doanh nghiệp, đánh giá kiểm soát nội bộ và việc tăng cường công khai về thông tin tài chính doanh nghiệp. Đồng thời, Đạo luật cũng bổ sung thêm các quy định ràng buộc trách nhiệm cá nhân của Giám đốc Điều hành và Giám đốc Tài chính đối với độ tin cậy của các báo cáo tài chính. Theo đó, mức phạt tối đa đối với các tội danh liên quan đến các thay đổi, hủy hồ sơ, tài liệu hay cản trở điều tra lên đến 20 năm tù. Bên cạnh đó, Đạo luật SOX yêu cầu các công ty đại chúng phải có những thay đổi trong kiểm soát nội bộ, đặc biệt là kiểm soát công tác kế toán thông qua mục 404. Theo mục này, Hội đồng quản trị cần lập một Báo cáo kiểm soát nội bộ trong Báo cáo thường niên, trong đó cần chỉ rõ trách nhiệm của Hội đồng quản trị trong việc xây dựng và duy trì bộ máy kiểm soát nội bộ đối với báo cáo tài chính, đồng thời cũng cần đưa ra đánh giá về hiệu quả của bộ máy kiểm soát nội bộ này. Sau đó, Báo cáo cần sự chứng thực của công ty kiểm toán đã đăng ký.

Ông Michael J.Gallagher – Chủ tịch Trung tâm Chất lượng kiểm toán thuộc Ủy ban Điều hành các Thông lệ nghề nghiệp Kiểm toán nhận xét: “Chúng tôi tin rằng Đạo luật đã rất thành công trong việc đạt các mục tiêu đặt ra”. Ông Gallagher chỉ ra rằng Đạo luật SOX đã đem đến nhiều lợi ích, bao gồm: tăng cường công tác quản trị doanh nghiệp, tăng cường tính độc lập cho kiểm toán viên, tăng cường sự minh bạch và trách nhiệm giải trình cho các báo cáo tài chính, yêu cầu các công ty đại chúng và các kiểm toán viên tập trung vào kiểm soát nội bộ, tạo ra sự giám sát độc lập công việc kiểm toán thông qua cơ quan PCAOB. Ông cũng cho biết, đối với nhiều công ty, chi phí để có thể tuân thủ theo Đạo luật là rất cao, đặc biệt là giai đoạn đầu. Tuy nhiên về sau, những chi phí này đã giảm đáng kể.
Giáo sư Luật tại trường Đại học Mississippi – ông Mercer Bullard tin rằng, điểm sáng nhất của Đạo luật là sự thành lập PCAOB: “PCAOB đã xác định hàng trăm sai phạm kiểm toán trong gần 2000 cuộc thanh tra của mình. PCAOB luôn coi trọng lợi ích của tất cả các bên liên quan đặc biệt là các doanh nghiệp nhỏ. Tôi đặc biệt khuyến nghị Quốc hội cần tiếp tục hỗ trợ cho các công việc của PCAOB và cần trao cho PCAOB những sự độc lập cần thiết tạo điều kiện cho cơ quan này hoạt động”. (Theo Báo Kiểm toán số 13/2012)

Ngoài đạo luật SOX, SAS-99 cũng trợ giúp đắc lực cho công việc kế toán điều tra .Năm 2002, Viện Kế toán viên công chứng Mỹ(AICPA) đã ban hành một tiêu chuẩn kiểm toán mới phát hiện gian lận, Tuyên bố về tiêu chuẩn kiểm toán (SAS) 99: Xem xét gian lận trong một kiểm toán báo cáo tài chính. AICPA tin SAS 99 sẽ thay đổi đáng kể hiệu suất của kiểm toán viên, do đó cải thiện khả năng kiểm toán viên sẽ phát hiện các sai sót trọng yếu trong báo cáo tài chính do gian lận bằng cách đặt tập trung nhiều hơn vào việc thực hiện chủ nghĩa hoài nghi chuyên nghiệp trong suốt kiểm toán. Các tiêu chuẩn mới yêu cầu kiểm toán viên xác định và xem xét rủi ro sai sót trọng yếu do gian lận khi lập kế hoạch và thực hiện kiểm toán thông qua trao đổi giữa các thành viên nhóm kiểm toán, thực hiện thủ tục phân tích, xem xét báo cáo không phù hợp của doanh thu và ghi đè lên quản lý của kiểm soát nội bộ, đánh giá kiểm soát nội bộ giải quyết những rủi ro được xác định gian lận, và đánh giá trong suốt kiểm toán và hoàn thành kiểm toán nguy cơ gian lận dựa trên kết quả của thủ tục kiểm toán.
Các tiêu chuẩn mới cũng yêu cầu kiểm toán viên để giao tiếp về gian lận để quản lý, Uỷ ban kiểm toán, và những người khác, và tài liệu xem xét của kiểm toán viên gian lận. SAS 99 đã được thông qua và có hiệu quả cho kiểm toán báo cáo tài chính trong thời gian bắt đầu vào hoặc sau ngày 15 tháng 12 năm 2002. PCAOB, điều chỉnh cho ngành công nghiệp kiểm toán được thành lập bởi Đạo luật Sarbanes-Oxley vào năm 2002, cập nhật các tiêu chuẩn đầu tiên với Kiểm toán Chuẩn mực số 5, được thông qua trong năm 2007. PCAOB sửa đổi các tiêu chuẩn trong tháng 12 năm 2010 như AU Mục 316:. Xem xét gian lận trong kiểm toán báo cáo tài chính.
Kế toán điều tra chuyên về điều tra và phát hiện gian lận. Các bước chính trong quá trình phân tích điều tra là thu thập dữ liệu, xử lý sơ bộ dữ liệu, phân tích dữ liệu và thông báo. Ví dụ, các phân tích điều tra có thể sử dụng để xem xét lại hành vi mua bán thẻ của nhân viên để đánh giá xem việc mua bán thẻ nào đã bị chuyển hướng tới việc sử dụng cá nhân.
Kế toán điều tra có thể tham gia vào việc tái hiện lại quá trình phạm tội và tịch thu các thủ tục tố tụng liên quan tới các hành vi phạm tội thực tế hoặc giả định như rửa tiền. Ở Vương quốc Anh, đạo luật về tội ác 2003 đã được ra đời để chống lại các hành vi này. Ở Ấn Độ, có những người chuyên về kế toán điều tra được gọi là chuyên gia kế toán điều tra được cấp chứng chỉ. Ở các nước khác, một số kế toán điều tra cũng là các thẩm tra viên về gian lận được cấp chứng chỉ, kế toán Công chứng với chứng nhận AICPA trong lĩnh vực điều tra tài chính. Vì vậy, hầu hết các nhân viên kế toán pháp lý là các CPA và có thể đã được đào tạo đặc biệt với FBI, CIA và cơ quan thực thi pháp luật khác. Đặc biệt, các kế toán điều tra yêu cầu phải là những người có kỹ năng máy tính cần thiết để phát hiện, chống những kẻ lừa đảo, những kẻ sử dụng công nghệ tinh vi để phạm tội. Đó cũng là lý do mà hiệp hội các chuyên gia kiểm định gian lận (ACFE) đã thành lập một chương trình chứng nhận chuyên nghiệp cho các nhà kiểm định gian lận.
Người quản lý cũng có thể cần gọi các chuyên gia điều tra máy tính để được giúp đỡ. Họ giúp phát hiện, giải nén, bảo vệ, và chú giải bằng chứng trên máy tính để tính chính xác, tính toàn vẹn, và tính thuyết phục của nó sẽ không bị khuất phục trước những thách thức pháp lý.
Sự cố thông thường được điều tra bởi các chuyên gia điều tra máy tính bao gồm: Việc sử dụng Internet không đúng cách; gian lận; phá hoại; mất mát, trộm cắp, hay sửa đổi dữ liệu;lấy thông tin từ email và cơ sở dữ liệu mà người sử dụng nghĩ rằng chúng đã bị xóa ; xác định người đã thực hiện một số hành động trên một máy tính.
Vì vậy, kế toán điều tra ngày càng đóng vai trò chủ động trong việc giảm thiểu nguy cơ gian lận bằng cách thiết kế và thực hiện các thủ tục mở rộng như là một phần của công việc kiểm toán theo luật định, đóng vai trò là cố vấn cho các ủy ban kiểm toán ngăn chặn gian lận, và hỗ trợ trong các nghiên cứu phân tích đầu tư.
Việc thuê các chuyên gia điều tra có hai ưu điểm sau đây:
– Các công ty sẽ nhanh chóng phát hiện và ngăn chặn kịp thời các nguy cơ gian
lận nhờ các kế toán điều tra.
– Các công ty sẽ tiết kiệm thời gian và chi phí khi họ thuê kế toán điều tra vì
các kế toán điều tra không chỉ giỏi về lĩnh vực kế toán mà họ còn nắm vững được các kỹ năng máy tính cần thiết để phát hiện gian lận.
Bên cạnh những ưu điểm kể trên, phương pháp này còn tồn tại những hạn chế:
– Do công việc kế toán điều tra không chỉ đòi hỏi hiểu biết về lĩnh vực kế toán
mà còn về cả máy tính nên để tìm được một kế toán điều tra giỏi về cả chuyên môn lẫn nghiệp vụ là tương đối khó.
– Các công ty nhỏ hầu như không có đủ kinh phí để thuê kế toán điều tra.
2.2.9 Cài đặt phần mềm phát hiện gian lận:
Ngăn ngừa gian lận với phần mềm phát hiện gian lận
Ngăn ngừa và quản lý gian lận đã trở thành nguyên nhân gây lo lắng của nhiều tổ chức. Các vụ việc liên quan đến gian lận ngày một gia tăng trong những năm gần đây, bởi vậy việc phát hiện gian lận càng trở nên quan trọng hơn. Kết quả là nhiều tổ chức và các nhà quản lý buộc phải tìm các giải pháp để phòng ngừa và phát hiện gian lận. Nếu không có một phương pháp tiếp cận chủ động để ngăn ngừa gian lận, khả năng đạt được và duy trì lòng tin của khách hàng gần như không tồn tại. Do đó, một nhu cầu đối với các tổ chức là có một chương trình quản lý gian lận hữu hiệu để làm giảm nguy cơ thất thoát.
Phần mềm là chìa khóa để ngăn ngừa và phát hiện gian lận
Mặc dù, việc phát hiện gian lận ngay tức khắc có thể là một nhiệm vụ khó, nhưng không phải là không thể. Điều quan trọng đối với các tổ chức là thực hiện đầy đủ các bước để bảo vệ doanh nghiệp khỏi những nguy cơ tiềm ẩn. Để giúp chống lại các hành vi gian lận có thể, ưu tiên hàng đầu là sử dụng công nghệ phù hợp. Các hệ thống phần mềm cụ thể, như sử dụng phân tích và quản lý tài liệu, đóng vai trò quan trọng trong việc phát hiện và phòng chống gian lận. Giữ lập trường về sử dụng quản lý cũng cho phép theo dõi và truy tìm các điểm tiềm năng dễ bị tổn thương có thể cung cấp cho một kẻ phạm tội dựa vào lỗ hổng của luật pháp. Quản lý tài liệu cũng rất quan trọng trong việc phòng chống gian lận. Bản chụp điện tử của tài liệu chắc chắn rằng các doanh nghiệp có thể để duy trì độ tin cậy của bằng chứng. Để các giải pháp phát hiện gian lận và các giải pháp ngăn ngừa gian lận trực tuyến thực sự hiệu quả, chúng cần cung cấp khả năng theo dõi hàng ngày cùng với khả năng đảm bảo xác định, ghi âm và cách sử dụng dữ liệu. Việc thu hút các công nghệ mới để phát hiện và ngăn ngừa gian lận là rất quan trọng.
Chọn phần mềm phát hiện gian lận phù hợp
Bởi vì gian lận có thể ảnh hưởng bất lợi đến thương hiệu của doanh nghiệp và danh tiếng của sản phẩm, Các doanh nghiệp cần thiết phải có dữ liệu phân tích về các hoạt động thị trường gian lận khác nhau. Cài đặt phần mềm phát hiện gian lận thích hợp có thể bảo vệ doanh nghiệp khỏi các thiệt hại phát sinh do gian lận trong mua hàng hóa sản phẩm. Các công ty cần phải hành động nhanh chóng để ngăn chặn hàng giả bằng cách chọn các giải pháp phần mềm phát hiện gian lận tốt nhất phù hợp với công ty và bảo vệ tài sản trí tuệ. Kiểm tra nhu cầu kinh doanh của doanh nghiệp và xem xét các dịch vụ được cung cấp bởi các sản phẩm phần mềm khác nhau để tìm thấy sản phẩm phù hợp nhất với mức độ bảo hiểm cần thiết. Mỗi tổ chức đều có nguy cơ bị khai thác bởi những kẻ lừa đảo. Bằng cách xem xét các thông số kỹ thuật sản phẩm và lựa chọn giải pháp tốt nhất, doanh nghiệp sẽ được bảo vệ.
“Mạng lưới thần kinh”
Những người gian lận thường có xu hướng hành động theo một khuôn mẫu nhất định và để lại các đầu mối. Hiện nay, các phần mềm đã được phát triển để phát hiện các dấu hiệu gian lận. Trong đó, một số công ty sử dụng “mạng lưới thần kinh” (chương trình mô phỏng não bộ và có năng lực học hỏi) rất chính xác trong việc xác định gian lận bị nghi ngờ.
Bản chất kế thừa của mạng lưới thần kinh là khả năng học hỏi, có thể để nắm bắt và đại diện cho các mối quan hệ đầu vào đầu ra phức tạp. Động lực cho sự phát triển của công nghệ mạng lưới thần kinh xuất phát từ mong muốn phát triển một hệ thống nhân tạo có thể thực hiện nhiệm vụ “thông minh” tương tự như được thực hiện bởi bộ não con người. Các mạng thần kinh tương tự như bộ não con người trong hai cách sau đây:
– Một mạng lưới thần kinh có được kiến thức thông qua học tập.
– Kiến thức mạng lưới thần kinh được lưu trữ trong các thế mạnh kết nối giữa các tế bào thần kinh được gọi là trọng lượng khớp thần kinh. Sức mạnh thực sự và lợi thế của các mạng thần kinh nằm trong khả năng của mình để đại diện cho cả hai mối quan hệ tuyến tính và phi tuyến tính và khả năng để tìm hiểu các mối quan hệ trực tiếp từ các dữ liệu được mô hình hóa. Các mô hình tuyến tính truyền thống đơn giản là không đủ khi nói đến mô hình hóa dữ liệu có chứa các đặc tính phi tuyến tính.
Có thể thấy, phương pháp cài đặt phần mềm phát hiện gian lận có những ưu điểm vượt trội như:
– Giảm hành vi gian lận, giảm thiệt hại cho doanh nghiệp nhờ phát hiện sớm gian lận.
– Dễ dàng kết hợp dữ liệu từ nhiều nguồn khác nhau.
– Kết hợp nhiều công nghệ nhân tạo thông minh để xác định các hoạt động đáng ngờ (phân nhóm, các mạng thần kinh, quy tắc, cấu hình).
– Có nhiều sản phẩm để lựa chọn, dễ sử dụng, chi phí không quá cao.
Những nhược điểm dễ nhận ra của phương pháp này là:
– Khó hoạt động với hệ thống dữ liệu lớn.
– Hạn chế của phần mềm có thể gây ra hậu quả lớn do đưa ra những dấu hiệu gian lận sai lệch.
2.2.10 Bổ sung một đường dây nóng về gian lận
Rất nhiều gian lận được biết hay bị nghi ngờ bởi cả những người bên trong lẫn bên ngoài công ty. Thách thức đối với nhà quản lý là phải làm thế nào để thuyết phục những người ‘vô tội’ đó rằng “lên tiếng” (thông qua một đường dây nóng hoặc thanh tra) là trách nhiệm cũng như rất nhiều lợi ích của chính họ. Văn hóa chống gian lận và quá trình báo cáo của tổ chức có thể ảnh hưởng lớn đến người tố giác, tuy nhiên điều đó chỉ đáng lo ngại khi xảy ra những hậu quả có ảnh hưởng lớn. Đối với người tố giác, mặt trái của hành động tố cáo có thể là bị chấn thương, sa thải hoặc bị tẩy chay bởi các đồng nghiệp.
Có ba tiêu chí chính cho một cơ chế tố cáo thành công:
– Trách nhiệm nghĩa là là một nhân viên của tổ chức, nhân viên phải có nghĩa vụ bảo vệ tài sản và danh tiếng của công ty và do đó, nếu nghi ngờ hoặc quan sát hành vi sai trái, họ được yêu cầu báo cáo thông qua các kênh thích hợp.
Những người chứng kiến hành vi gian lận thường bị giằng xé bởi những cảm xúc trái ngược nhau. Một mặt, họ muốn bảo vệ công ty và tố cáo thủ phạm gian lận. Mặt khác, họ không thoải mái trong vai trò tố giác và cảm thấy dễ dàng hơn khi giữ im lặng. Thêm vào đó, họ do dự trong việc tố cáo bởi họ biết hậu quả của những người đã tạo ra hành vi gian lận trước đó. Nhiệm vụ của nhà quản lý là giúp nhân viên của mình nhận thức được trách nhiệm tố giác hành vi gian lận.
– Bảo mật nghĩa là danh tính của người tố cáo sẽ không được cung cấp cho bất kỳ bên thứ ba nào.
– Giấu tên nghĩa là nhân viên không cần phải cung cấp tên. Một điều rất quan trọng là để người lao động biết và tin tưởng rằng quá trình báo cáo thực sự là vô danh. Họ sẽ được chỉ định một số tài liệu tham khảo trong trường hợp cần phải thực hiện theo dõi cuộc gọi, cung cấp thêm thông tin hoặc yêu cầu thông tin phản hồi.
Doanh nghiệp có thể thực hiện dịch vụ bằng nguồn lực bên ngoài, có sẵn thông qua các bên thứ ba và cung cấp nhiều lợi ích, bao gồm:
– Đảm bảo với người lao động rằng cảnh báo của anh/ chị ta là thực sự vô danh.
– Có sẵn 24/7
– Thường có năng lực đa ngôn ngữ – một ưu thế quan trọng cho các tổ chức đa quốc gia.
– Người báo cáo có thể liên lạc với nhân viên nếu cần thêm thông tin sau khi tiếp xúc ban đầu.
– Người lao động có thể được thông báo về kết quả báo cáo của mình
– Chi phí thấp.
Người quản lý đường dây nóng cần đảm bảo tính chính xác và kịp thời báo cáo, phân biệt giữa các cuộc gọi sau đây:
– Những cáo buộc có tính chất hình sự.
– Những cáo buộc có thể chứng minh các hành vi về kỷ luật.
– Các cuộc gọi không mang tính nghiêm túc.
– Những cáo buộc chứng minh hành vi tức thời.
– Những cáo buộc khác (như nhân sự tranh chấp, bất bình cá nhân, chính trị hay chủng tộc).
Trên thực tế không thể tránh khỏi việc thông tin về các vấn đề không liên quan đến gian lận cũng sẽ được cung cấp, bởi vậy phải sàng lọc thông tin trước khi chuyển đến cho các bộ phận có liên quan. Tuy nhiên những thông tin này không được bỏ qua vì nó có thể dẫn đến việc người tố cáo mất niềm tin vào hệ thống và nói với đồng nghiệp, họ sẽ được thuyết phục không lên tiếng nếu có trường hợp gian lận xảy ra.
Cũng như việc sử dụng đường dây nóng trong các lĩnh vực khác, sử dụng đường dây nóng trong kiểm soát nội bộ có những ưu điểm sau:
– Giảm hành vi gian lận, trộm cắp. Giảm thiếu tối đa thiệt hại tiềm ẩn cho doanh nghiệp thông qua phát hiện sớm.
– Sự an tâm cho người tố giác (ẩn danh) và những người chịu trách nhiệm quản trị doanh nghiệp.
Trong khi đó, sử dụng đường dây nóng cũng tồn tại nhiều nhược điểm sau:
– Tiềm ẩn chi phí liên quan đến việc trả lời các cuộc gọi: số lượng cuộc gọi, mức độ nghiêm trọng của vấn đề, tính hợp pháp của vấn đề (không đủ chứng cớ, các cuộc gọi vu khống), tính trọng yếu của vấn đề.
– Tiềm ẩn sai sót trong quy trình và các đánh giá liên quan đến việc: đánh giá vấn đề, thu thập thông tin bổ sung, truyền đạt các vấn đề, điều tra lời tố cáo, quản lý và báo cáo điều tra.
– Tiềm ẩn chi phí liên quan đến việc điều tra tất cả các cuộc gọi.
– Điều tra, theo dõi khó khăn do người gọi tố giác ẩn danh.
– Tiềm ẩn các vụ kiện liên quan đến điều tra.
– Tiềm ẩn ảnh hưởng của các cuộc điều tra không thành công.
– Liên quan đến các vấn đề bảo mật dữ liệu và bảo vệ người tố giác.

Kết luận

Bài thảo luận đã đưa ra những kiến thức cơ bản về hai thành phần cuối cùng trong mô hình ERM của COSO là Thông tin truyền thông và Giám sát dựa trên nhiều nguồn tài liệu tham khảo. Dựa trên những kiến thức lý thuyết đó, bài thảo luận đưa ra những đánh giá, nhận xét trên phương diện ưu điểm và khuyết điểm của Thông tin truyền thông cũng như từng thành phần cấu thành Giám sát. Những đánh giá, nhận xét được trình bày ngay sau khi nghiên cứu từng phần nên tiện theo dõi.

Dựa vào những kiến thức lý thuyết và điều kiện thực tế, việc áp dụng mô hình ERM nói chung và hai thành phần Thông tin truyền thông và Giám sát nói riêng rất khác nhau giữa các quốc gia, giữa các tổ chức. Bài thảo luận mong rằng đã đưa ra những kiến thức nền đúng đắn, những đánh giá, nhận xét chính xác và có tính ứng dụng cao, đóng góp cho sự phát triển của môn học Hệ thống thông tin kế toán cũng như của thực tế ứng dụng hệ thống thông tin kế toán.