Quy trình kiểm toán nội bộ cho doanh nghiệp vừa và nhỏ (SME)

Trong bối cảnh kinh doanh ngày càng phức tạp, việc xây dựng một quy trình kiểm toán nội bộ hiệu quả là yếu tố then chốt giúp doanh nghiệp vừa và nhỏ (SME) quản lý rủi ro, bảo vệ tài sản và hoạt động bền vững. Tuy nhiên, nhiều doanh nghiệp vẫn còn nhầm lẫn hoặc chưa hiểu rõ về cách thức triển khai.

Trong bài viết này, Thuận Thiên sẽ cung cấp cho bạn một hướng dẫn toàn diện, chi tiết về quy trình kiểm toán nội bộ dành riêng cho các doanh nghiệp SME tại Việt Nam, dựa trên các quy định pháp luật mới nhất năm 2025.

Cơ sở pháp lý:

• Luật số 88/2015/QH13 của Quốc hội: Luật Kế toán
• Nghị định số 05/2019/NĐ-CP của Chính phủ: Về kiểm toán nội bộ
• Thông tư số 08/2021/TT-BTC của Bộ Tài chính: Ban hành chuẩn mực kiểm toán nội bộ Việt Nam và các nguyên tắc đạo đức nghề nghiệp kiểm toán nội bộ
• Thông tư số 66/2020/TT-BTC của Bộ Tài chính: Ban hành Quy chế mẫu về kiểm toán nội bộ áp dụng cho doanh nghiệp
• Nghị định 17/2012/NĐ-CP

I. Tổng quan về kiểm toán nội bộ

1. Kiểm toán nội bộ là gì?

Theo khoản 3 Điều 39 Luật Kế toán 2015, kiểm toán nội bộ là việc kiểm tra, đánh giá, giám sát tính đầy đủ, thích hợp và tính hữu hiệu của kiểm soát nội bộ. Đây là một hoạt động đảm bảo và tư vấn độc lập, khách quan được thiết kế nhằm gia tăng giá trị và cải thiện các hoạt động của một tổ chức.

Mục tiêu chính của kiểm toán nội bộ là hỗ trợ doanh nghiệp đạt được các mục tiêu của mình thông qua việc áp dụng phương pháp tiếp cận có hệ thống và nguyên tắc nhằm đánh giá, nâng cao hiệu quả của các quy trình quản trị, quản lý rủi ro và kiểm soát.

2. Nhiệm vụ của kiểm toán nội bộ

Căn cứ khoản 4 Điều 39 Luật Kế toán 2015, kiểm toán nội bộ có các nhiệm vụ chính sau:

• Kiểm tra hệ thống kiểm soát nội bộ: Đánh giá tính phù hợp, hiệu lực và hiệu quả của hệ thống kiểm soát nội bộ, từ đó xác định các điểm yếu và đề xuất cải thiện.
• Xác minh thông tin tài chính: Kiểm tra và xác nhận chất lượng, độ tin cậy của thông tin kinh tế, tài chính, đảm bảo các báo cáo được chính xác trước khi trình ký duyệt.
• Giám sát tuân thủ pháp luật: Kiểm tra việc tuân thủ các nguyên tắc hoạt động, quản lý, pháp luật, chế độ tài chính, kế toán và các chính sách, nghị quyết của lãnh đạo.
• Phát hiện và phòng ngừa rủi ro: Chủ động phát hiện những sơ hở, yếu kém, gian lận trong quản lý, bảo vệ tài sản và đề xuất các giải pháp cải tiến hệ thống quản lý, điều hành.

3. Phân biệt kiểm toán nội bộ, kiểm soát nội bộ và kiểm toán độc lập

Nhiều doanh nghiệp thường nhầm lẫn giữa các khái niệm này. Bạn có thể phân biệt như sau:

• Kiểm soát nội bộ: Là toàn bộ các cơ chế, chính sách, quy trình do ban lãnh đạo và nhân viên thiết lập, vận hành hàng ngày nhằm phòng ngừa, phát hiện và xử lý rủi ro.
• Kiểm toán nội bộ: Là hoạt động đánh giá độc lập về tính hiệu quả của hệ thống kiểm soát nội bộ đó. Kiểm toán nội bộ được thực hiện bởi nhân viên trong công ty (hoặc đi thuê ngoài), diễn ra liên tục và báo cáo cho ban lãnh đạo.
• Kiểm toán độc lập: Do một bên thứ ba (công ty kiểm toán) thực hiện, thường mỗi năm một lần, với mục tiêu chính là xác minh tính trung thực và hợp lý của báo cáo tài chính để cung cấp cho các bên liên quan bên ngoài (nhà đầu tư, ngân hàng, cơ quan thuế).

II. Cơ sở pháp lý về kiểm toán nội bộ

1. Doanh nghiệp nào bắt buộc phải thực hiện kiểm toán nội bộ?

Theo Điều 10 Nghị định 05/2019/NĐ-CP, các doanh nghiệp sau đây bắt buộc phải thực hiện công tác kiểm toán nội bộ:

• Công ty niêm yết.
• Doanh nghiệp mà nhà nước sở hữu trên 50% vốn điều lệ là công ty mẹ hoạt động theo mô hình công ty mẹ – công ty con.
• Doanh nghiệp nhà nước là công ty mẹ hoạt động theo mô hình công ty mẹ – công ty con.

Đối với các doanh nghiệp SME không thuộc các đối tượng trên, pháp luật khuyến khích thực hiện kiểm toán nội bộ để nâng cao hiệu quả quản trị doanh nghiệp và quản lý rủi ro.

2. Nguyên tắc cơ bản của kiểm toán nội bộ

Theo Điều 5 Nghị định 05/2019/NĐ-CP, hoạt động kiểm toán nội bộ phải tuân thủ 3 nguyên tắc vàng:

1. Tính độc lập: Người làm kiểm toán nội bộ không được chịu sự can thiệp khi thực hiện nhiệm vụ và không được đảm nhận các công việc thuộc đối tượng kiểm toán.
2. Tính khách quan: Đảm bảo sự trung thực, chính xác, công bằng, không có lợi ích cá nhân liên quan đến đối tượng được kiểm toán.
3. Tuân thủ pháp luật: Tuân thủ các quy định của pháp luật và chịu trách nhiệm trước pháp luật về kết quả kiểm toán.

III. Quy trình kiểm toán nội bộ 5 bước cho doanh nghiệp SME

1. Bước 1: Lập kế hoạch kiểm toán

Đây là bước nền tảng quyết định sự thành công của cả quá trình. Kế hoạch cần được xây dựng một cách bài bản.

• Xây dựng Quy chế kiểm toán nội bộ: Doanh nghiệp cần xây dựng quy chế rõ ràng, bao gồm mục tiêu, phạm vi, vị trí, nhiệm vụ, quyền hạn của bộ phận kiểm toán nội bộ.
• Đánh giá rủi ro và lập kế hoạch hàng năm: Kế hoạch kiểm toán năm phải được xây dựng dựa trên phương pháp tiếp cận theo rủi ro. Các bộ phận/nghiệp vụ có rủi ro cao phải được ưu tiên kiểm toán (ít nhất mỗi năm một lần) và cần dự phòng thời gian cho các cuộc kiểm toán đột xuất.
• Xác định mục tiêu và phạm vi kiểm toán cụ thể: Với SME, nên ưu tiên các lĩnh vực có rủi ro cao như: quản lý tiền mặt, chu trình bán hàng – thu tiền, mua hàng – thanh toán, quản lý hàng tồn kho, quản lý tài sản cố định, tính lương và phúc lợi.

2. Bước 2: Thực hiện kiểm toán

Sau khi có kế hoạch, bộ phận kiểm toán sẽ tiến hành các thủ tục cần thiết để thu thập thông tin.

• Thu thập bằng chứng kiểm toán: Kiểm toán viên sử dụng các kỹ thuật như quan sát, phỏng vấn, đối chiếu, tính toán lại, kiểm tra chứng từ để thu thập các bằng chứng đầy đủ, thích hợp và đáng tin cậy.
• Đánh giá hiệu quả kiểm soát nội bộ: Tập trung vào việc đánh giá tính đầy đủ và hiệu quả của các quy trình quản trị, quản lý rủi ro; chất lượng thực thi trách nhiệm; và mức độ tuân thủ chính sách, pháp luật.
• Ghi chép và lưu trữ: Toàn bộ quá trình thực hiện, các bằng chứng thu thập được và kết quả phải được ghi chép và lưu trữ đầy đủ để làm cơ sở cho các kết luận kiểm toán.

3. Bước 3: Báo cáo kết quả kiểm toán

Kết quả của cuộc kiểm toán phải được trình bày một cách rõ ràng và mang tính xây dựng.

• Cấu trúc báo cáo: Báo cáo kiểm toán phải trình bày rõ nội dung và phạm vi kiểm toán; các đánh giá, kết luận và cơ sở đưa ra ý kiến; các yếu kém, tồn tại, sai sót đã phát hiện.
• Đưa ra kiến nghị: Đề xuất các biện pháp sửa chữa, khắc phục sai sót cụ thể, khả thi và phù hợp với nguồn lực của SME. Đồng thời kiến nghị các giải pháp để cải tiến, hoàn thiện quy trình.
• Phân phối báo cáo: Báo cáo được gửi cho Hội đồng quản trị/Hội đồng thành viên, Tổng Giám đốc/Giám đốc, và các bộ phận được kiểm toán để thảo luận và thống nhất hành động.

4. Bước 4: Theo dõi và giám sát thực hiện kiến nghị

Vai trò của kiểm toán nội bộ không dừng lại ở việc phát hành báo cáo.

• Lập kế hoạch theo dõi: Xây dựng một lịch trình cụ thể để giám sát việc thực hiện các kiến nghị, trong đó xác định rõ thời hạn và người chịu trách nhiệm.
• Đánh giá hiệu quả cải thiện: Đánh giá mức độ hiệu quả của các biện pháp khắc phục đã được thực hiện, so sánh tình hình trước và sau khi cải thiện, và xác định các rủi ro còn tồn tại.

5. Bước 5: Quản lý rủi ro liên tục

Kiểm toán nội bộ gắn liền với quy trình quản lý rủi ro của doanh nghiệp.

• Nhận diện rủi ro: Thường xuyên phân tích môi trường kinh doanh, rà soát quy trình để nhận diện các rủi ro mới.
• Phân tích và đánh giá rủi ro: Sử dụng ma trận rủi ro (đánh giá theo tác động và xác suất) để xếp hạng và ưu tiên xử lý.
• Lập kế hoạch ứng phó: Đưa ra các biện pháp ứng phó phù hợp như tránh, giảm thiểu, chuyển giao hoặc chấp nhận rủi ro.
• Giám sát và cải tiến: Liên tục theo dõi và đánh giá hiệu quả của các giải pháp quản lý rủi ro để điều chỉnh kịp thời.

IV. Tổ chức bộ máy và xây dựng hệ thống kiểm soát nội bộ

1. Mô hình tổ chức kiểm toán nội bộ cho SME

Tùy thuộc vào quy mô, SME có thể lựa chọn mô hình phù hợp:

• Mô hình tối giản (doanh nghiệp nhỏ): Có thể bố trí 1 nhân viên chuyên trách hoặc bán thời gian, hoặc lựa chọn phương án thuê ngoài dịch vụ kiểm toán nội bộ theo định kỳ.
• Mô hình mở rộng (doanh nghiệp vừa): Thành lập một phòng/bộ phận kiểm toán nội bộ với 2-3 nhân viên, có thể phân chia chuyên môn theo từng lĩnh vực (tài chính, hoạt động, tuân thủ).

2. Tiêu chuẩn nhân sự kiểm toán nội bộ

Theo Điều 11 Nghị định 05/2019/NĐ-CP, người làm kiểm toán nội bộ cần đáp ứng các tiêu chuẩn về trình độ (bằng đại học trở lên), kinh nghiệm (từ 3-5 năm trong lĩnh vực liên quan) và có kiến thức đầy đủ về pháp luật, hoạt động của đơn vị cũng như kỹ năng kiểm toán chuyên môn.

3. Xây dựng hệ thống kiểm soát nội bộ hiệu quả theo mô hình COSO

Để kiểm toán nội bộ hoạt động hiệu quả, doanh nghiệp cần có một hệ thống kiểm soát nội bộ vững chắc, thường được xây dựng dựa trên 5 thành phần của mô hình COSO:

1. Môi trường kiểm soát: Là nền tảng, thể hiện văn hóa, giá trị đạo đức và thái độ của ban lãnh đạo đối với việc kiểm soát.
2. Đánh giá rủi ro: Quá trình nhận diện và phân tích các rủi ro có thể ảnh hưởng đến mục tiêu của doanh nghiệp.
3. Hoạt động kiểm soát: Các chính sách, thủ tục cụ thể để giảm thiểu rủi ro như phân tách nhiệm vụ, phê duyệt, đối chiếu, kiểm soát kép.
4. Thông tin và truyền thông: Hệ thống thu thập và trao đổi thông tin trong nội bộ và với bên ngoài, đảm bảo thông tin đến đúng người, đúng lúc.
5. Giám sát: Các hoạt động đánh giá liên tục hoặc định kỳ để đảm bảo hệ thống kiểm soát nội bộ đang vận hành hiệu quả.

V. Thách thức và giải pháp cho doanh nghiệp SME

1. Những thách thức phổ biến

• Hạn chế về nguồn lực: SME thường đối mặt với khó khăn về ngân sách, thiếu nhân lực có chuyên môn sâu về kiểm toán và khó khăn trong việc đầu tư công nghệ.
• Thiếu hiểu biết về giá trị: Nhiều lãnh đạo vẫn coi kiểm toán nội bộ là một gánh nặng chi phí thay vì một công cụ quản trị hữu hiệu để tạo ra giá trị.

2. Các giải pháp khả thi

• Bắt đầu từ những điều cơ bản: Thiết lập các quy trình kiểm soát đơn giản nhưng hiệu quả (ví dụ: nguyên tắc 2 người duyệt chi), sử dụng checklist và quy trình chuẩn hóa.
• Thuê ngoài dịch vụ kiểm toán nội bộ: Đây là giải pháp tối ưu cho nhiều SME. Theo khoản 3 Điều 10 Nghị định 05/2019/NĐ-CP, doanh nghiệp có thể thuê tổ chức kiểm toán độc lập đủ điều kiện để cung cấp dịch vụ này, giúp tiết kiệm chi phí, tiếp cận chuyên gia và đảm bảo tính khách quan.
• Ứng dụng công nghệ phù hợp: Tận dụng các công cụ chi phí thấp hoặc miễn phí như Excel, Google Sheets, Google Data Studio để quản lý rủi ro và tự động hóa một số quy trình kiểm tra.

VI. Tóm tắt quy trình kiểm toán nội bộ cho doanh nghiệp vừa và nhỏ (SME) toàn tập 2025

Tóm lại, việc xây dựng và vận hành một quy trình kiểm toán nội bộ bài bản là một khoản đầu tư chiến lược cho sự phát triển bền vững của các doanh nghiệp SME. Bằng cách tuân thủ quy trình 5 bước từ lập kế hoạch, thực hiện, báo cáo, theo dõi cho đến quản lý rủi ro liên tục, doanh nghiệp có thể chủ động phát hiện và ngăn ngừa các sai sót, gian lận.

Dù lựa chọn tự xây dựng đội ngũ hay thuê ngoài dịch vụ, điều quan trọng là ban lãnh đạo phải nhận thức đúng đắn về vai trò của kiểm toán nội bộ như một người đồng hành tin cậy, giúp cải thiện hiệu quả hoạt động, nâng cao uy tín và hỗ trợ ra quyết định kinh doanh một cách chính xác. Hy vọng rằng những hướng dẫn chi tiết mà Thuận Thiên đã chia sẻ sẽ giúp bạn tự tin triển khai hoạt động này tại doanh nghiệp của mình.