Key takeaway

Kiểm soát nội bộ là tập hợp quy trình và thủ tục do ban điều hành thiết lập để ngăn ngừa và phát hiện rủi ro trong vận hành hàng ngày - bên mua M&A phải thiết lập lại ngay sau closing, không chờ phát hiện vấn đề mới xây.

WHAT

Kiểm soát nội bộ là tập hợp các chính sách, quy trình và hoạt động kiểm tra được thiết kế để đảm bảo tính chính xác của báo cáo tài chính, tuân thủ pháp lý, và hiệu quả vận hành. Bao gồm kiểm soát phòng ngừa (preventive) và kiểm soát phát hiện (detective). Trong doanh nghiệp, KSNB gắn với hoạt động hàng ngày của ban điều hành cho tuyến vận hành (tuyến 1) và tuyến hỗ trợ/giám sát chuyên trách (tuyến 2), bao trùm phân quyền và kiểm soát chất lượng, tài chính, tuân thủ.

WHY/HOW

Kiểm soát nội bộ là trụ cột trực tiếp ngăn ngừa thất thoát chi phí, dòng tiền và rủi ro vận hành. Thủ tục kiểm soát có thể là ngăn ngừa hoặc phát hiện, ví dụ: nguyên tắc bốn mắt (một người không vừa đề xuất vừa quyết định), phân quyền theo hạn mức, đối chiếu độc lập định kỳ với nhà cung cấp/khách hàng, kiểm kê vật lý định kỳ, báo cáo nội bộ định kỳ. Mọi thủ tục phải cân đối chi phí và lợi ích: không nên dựng kiểm soát tốn kém hơn cả rủi ro mà nó ngăn.

Trong M&A, khi bên mua tiếp quản một công ty đang vận hành, hệ thống KSNB của đơn vị mục tiêu thường được xây dựng để phục vụ chủ sở hữu cũ - không tương thích với yêu cầu giám sát của cổ đông mới. Thiếu KSNB phù hợp khiến gian lận kế toán, rút tài sản, và vi phạm cam kết hợp đồng có thể diễn ra trong nhiều năm mà không bị phát hiện. Trong giai đoạn 100 ngày đầu sau deal, phải cơ cấu lại KSNB theo nhu cầu cổ đông mới.

Notes

  • 2026-05

    • Rủi ro lớn nhất là người lãnh đạo override control (gạt bỏ quy định, điều hành theo cảm hứng); giải pháp là đào tạo lãnh đạo và xây dựng văn hóa tone at the top - cấp cao nhất phải tuân thủ trước để cấp dưới noi theo.
    • Tham chiếu khung quốc tế: COSO.
    • Thông tư 99 (27/10/2025) Điều 3: doanh nghiệp có trách nhiệm tự xây dựng quy chế quản trị nội bộ và tổ chức kiểm soát nội bộ nhằm phân định rõ quyền, nghĩa vụ, trách nhiệm. Không thể đổ hết trách nhiệm cho kế toán trưởng - mỗi quy trình phải có người chịu trách nhiệm rõ ràng.
  • 2025-11

    • Phân biệt kế toán và kiểm soát nội bộ: kế toán ghi chép sau khi giao dịch đã hình thành; kiểm soát nội bộ kiểm soát trong quá trình hình thành giao dịch, ngăn ngừa rủi ro trước khi xảy ra.
    • TT99 Điều 3 bắt buộc từ 01/01/2026: quy chế quản trị nội bộ + tổ chức kiểm soát nội bộ + thủ tục kiểm soát bằng văn bản; tham chiếu quốc tế: SOX 2002 Section 404 (sau Enron/WorldCom).
    • DN cần chuẩn hóa: điều lệ, quy chế quản trị, quy chế tài chính, quy trình bộ phận, ma trận phân quyền, lưu đồ quy trình.
  • 2025-07

    • Khuyến nghị cho DN nhỏ và vừa: không cần quy trình 15-20 trang khó cập nhật; chỉ cần ma trận rủi ro - kiểm soát và ma trận phân quyền (ai làm, ai tham vấn, ai quyết định).
    • Case M&A thực tế: EQU sở hữu 80% trường Ngôi Sao nhưng KSNB yếu → TGĐ cũ gian lận kéo dài >1 năm trước khi bị phát hiện; AON Financial không kiểm soát được số liệu kế toán trong giai đoạn post-closing → tuyên bố hợp đồng vô hiệu.
  • 2024-03

    • ACFE đưa tăng cường kiểm soát nội bộ vào top 5 xu hướng 2024: quy định pháp lý buộc doanh nghiệp tự xây dựng hệ thống KSNB và kiểm toán nội bộ để ngăn chặn gian lận BCTC, gian lận lợi nhuận, gian lận vốn
  • 2021-06

    • Tuyến 1 (chủ sở hữu rủi ro tự kiểm soát) và Tuyến 2 (bộ phận chuyên biệt) đều trực thuộc Ban Giám đốc - đây là điểm khác biệt so với Tuyến 3 (KTNB) trực thuộc HĐQT
    • Nguyên tắc: người sở hữu rủi ro phải tự xây dựng thủ tục kiểm soát trong quy trình vận hành của mình
  • 2021-03

    • Nghị định 05/2019/NĐ-CP: quy định về kiểm soát nội bộ - chính thức hiệu lực 01/04/2021 (sau 2 năm quá độ)
    • Thông tư 66 và 67/2020 của Bộ Tài chính: quy chế mẫu kiểm soát nội bộ cho doanh nghiệp và khối hành chính sự nghiệp
    • Ví dụ áp dụng: nếu Bệnh viện Bạch Mai áp dụng đúng kiểm soát nội bộ thì có thể giảm thiểu được các rủi ro gian lận đã xảy ra
  • TT99 Điều 3 căn cứ Điều 39 Luật Kế toán 2015, học từ đạo luật Sarbanes-Oxley (SOX 2002) của Mỹ sau vụ Enron. Bối cảnh ban hành: nhiều vụ án kinh tế VN gần đây có tội danh vi phạm quy định kế toán gây hậu quả nghiêm trọng trong khi kế toán không tham gia tạo lập giao dịch. TT99 phân định rõ trách nhiệm từng bộ phận để không đổ hết lên kế toán trưởng.

  • Công cụ thực thi KSNB theo TT99: ma trận phân quyền (RACI - Responsible/Accountable/Consulted/Informed), lưu đồ công việc, văn bản ký tá, quy trình phân quyền phân cấp chi tiết.