BÀI 2 ĐÁNH GIÁ KIỂM SOÁT NỘI BỘeldata3.neu.topica.vn/TXKTKI02/Giao trinh/04_NEU_TXKTTI02...Theo Chuẩn mực kiểm toán quốc tế 315 (ISA 315), kiểm soát nội

Bài 2: Đánh giá kiểm soát nội bộ

TXKTKT02_Bai2_v1.0016101206 19

BÀI 2

ĐÁNH GIÁ KIỂM SOÁT NỘI BỘ

Hướng dẫn học

Để học tốt bài này, sinh viên cần tham khảo các phương pháp học sau:

Học đúng lịch trình của môn học theo tuần, làm các bài luyện tập đầy đủ và tham gia thảo luận trên diễn đàn.

Đọc tài liệu: Giáo trình Kiểm toán tài chính – NXB Đại học Kinh tế quốc dân; xuất bản năm 2014 do GS.TS. Nguyễn Quang Quynh và PGS.TS. Ngô Trí Tuệ chủ biên.

Sinh viên làm việc theo nhóm và trao đổi với giảng viên trực tiếp tại lớp học hoặc qua email.

Tham khảo các thông tin từ trang Web môn học.

Nội dung

Bài học này tập trung vào bản chất và nội dung kiểm soát nội bộ, quy trình đánh giá kiểm soát nội bộ của khách thể kiểm toán do kiểm toán độc lập thực hiện.

Mục tiêu

Nắm được bản chất của kiểm soát nội bộ;

Nắm được nội dung của các yếu tố cấu thành kiểm soát nội bộ;

Nắm được quy trình đánh giá kiểm soát nội bộ thông qua bốn bước: (1) thu thập sự hiểu biết về kiểm soát nội bộ của khách thể kiểm toán, (2) đánh giá sơ bộ về rủi ro kiểm soát, (3) thực hiện các thử nghiệm kiểm soát, (4) đánh giá lại rủi ro kiểm soát để thiết kế các thử nghiệm kiểm toán.


20 TXKTKT02_Bai2_v1.0016101206

Tình huống dẫn nhập

Hoàng là kiểm toán viên độc lập được phân công kiểm toán báo cáo tài chính lần đầu tiên cho Công ty Cổ phần KB trong năm tài chính kết thúc vào ngày 31/12/2014. KB là một công ty có quy mô lớn, được thành lập từ năm 2005, kinh doanh trong lĩnh vực bán lẻ và bán buôn các sản phẩm điện gia dụng như ti vi, tủ lạnh, điều hòa,… với một hệ thống chuỗi các siêu thị điện máy hoạt động chủ yếu trên địa bàn thành phố Hà Nội và một số tỉnh lân cận. Kiểm toán viên nhận thấy danh mục hàng hóa kinh doanh của KB rất đa dạng, tuy nhiên hàng trong kho bị sắp xếp khá lộn xộn nên nhiều khi việc tìm đúng hàng để giao cho khách mất khá nhiều thời gian. Nhân viên của KB được ra vào kho khá tự do trong khi hệ thống camera lắp đặt trong kho nhiều chỗ khuất không quan sát được, thậm chí một số ngày bị mất tín hiệu mà không có người để sửa chữa kịp thời. Ở chi nhánh KB mới khai trương tại Lào Cai, do thiếu nhân viên nên kế toán vật tư của chi nhánh kiêm luôn thủ kho. Khi kiểm tra tài liệu đối với nghiệp vụ thanh toán với khách hàng, Hoàng nhận thấy các nghiệp vụ bán lẻ thu tiền ngay không có vấn đề gì. Tuy nhiên, với các nghiệp vụ bán buôn cho các khách hàng lớn, đặc biệt khách hàng ngoại tỉnh, số nợ dây dưa, chậm trả khá lớn so với tổng dư nợ phải thu khách hàng. Kế toán thanh toán ít khi thực hiện việc đối chiếu công nợ với khách hàng, hơn nữa, các chênh lệch được phát hiện không được giải quyết triệt để giữa KB với khách hàng.

Với tư cách là kiểm toán viên, anh (chị) hãy:

1. Xác định những hạn chế trong kiểm soát nội bộ tại Công ty Cổ phần KB và nêu ảnh hưởng (nếu có) của chúng đến hoạt động của KB?

2. Đánh giá rủi ro kiểm soát đối với các khoản mục và nghiệp vụ có liên quan trong tình huống trên?

3. Nêu nội dung thử nghiệm kiểm soát cần thực hiện đối với các khoản mục và nghiệp vụ liên quan trong tình huống trên?

4. Đề xuất các thủ tục kiểm soát cần thiết đối với KB để khắc phục các hạn chế đã được xác định?


TXKTKT02_Bai2_v1.0016101206 21

2.1. Bản chất của kiểm soát nội bộ

Về khái niệm, theo Chuẩn mực Kiểm toán Quốc tế 315 (ISA 315), kiểm soát nội bộ được hiểu là quá trình do Ban quản trị, Ban giám đốc và các cá nhân khác trong đơn vị thiết kế và thực hiện nhằm cung cấp sự đảm bảo hợp lý trong việc đạt được các mục tiêu sau:

Độ tin cậy của báo cáo tài chính;

Tính hiệu quả và hiệu năng trong hoạt động của đơn vị;

Tuân thủ các luật lệ và quy định.

Bản chất của kiểm soát nội bộ được hiểu trên các khía cạnh sau đây:

Thứ nhất, kiểm soát nội bộ hướng đến việc hiện thực hóa các mục tiêu của một đơn vị. Kiểm soát nội bộ được thiết kế và thực hiện nhằm đạt được các mục tiêu liên quan đến các hoạt động của đơn vị (operation objectives). Mục tiêu này không chỉ giới hạn ở việc sử dụng hiệu quả các nguồn lực của đơn vị mà còn hướng đến việc đảm bảo thực hiện các mục tiêu về tài chính như tăng doanh thu, tiết kiệm chi phí, tối đa hóa lợi nhuận,… và bảo vệ tài sản của đơn vị. Kiểm soát nội bộ giúp cho đơn vị đạt được mục tiêu liên quan đến báo cáo tài chính (reporting objectives). Cụ thể, việc lập và trình bày báo cáo tài chính cần đảm bảo độ tin cậy, sự minh bạch, tính kịp thời và đáp ứng các yêu cầu khác trong lập báo cáo tài chính theo quy định pháp luật và các chính sách của đơn vị. Kiểm soát nội bộ cũng hướng đến mục tiêu tuân thủ (compliance objectives) nhằm đảm bảo đơn vị tuân thủ các quy định pháp lý có hiệu lực chi phối và điều tiết các hoạt động của đơn vị.

Thứ hai, kiểm soát nội bộ là một quá trình được thực hiện liên tục.

Thứ ba, kiểm soát nội bộ do các cá nhân trong đơn vị chi phối. Kiểm soát nội bộ không chỉ đơn giản thể hiện ở việc thiết kế các chính sách và thủ tục kiểm soát mà quan trọng hơn, các chính sách và thủ tục kiểm soát phải do các cá nhân ở các cấp độ khác nhau trong đơn vị thực hiện để đạt được các mục tiêu mong đợi.

Thứ tư, kiểm soát nội bộ thể hiện sự thích nghi và hòa hợp với cơ cấu tổ chức của đơn vị. Kiểm soát nội bộ cần được thực hiện ở mọi cấp độ tổ chức, đặc biệt với các doanh nghiệp có quy mô lớn bao gồm các chi nhánh, đơn vị thành viên, phòng ban và các quá trình kinh doanh.

Thứ năm, kiểm soát nội bộ, cho dù được thiết kế hoàn hảo đến đâu chăng nữa, chỉ có thể cung cấp sự đảm bảo hợp lý (reasonable assuarance) – mà không phải là sự đảm bảo tuyệt đối – đối với việc đạt được các mục tiêu mà đơn vị kỳ vọng.

Theo ISA 315, kiểm soát nội bộ không thể đảm bảo một báo cáo tài chính tin cậy tuyệt đối vì các hạn chế tiềm tàng của nó. Kiểm soát nội bộ phụ thuộc rất lớn vào tính chính trực của các cá nhân thực hiện các hoạt động và những người chịu trách nhiệm giám sát các chính sách và thủ tục kiểm soát đã ban hành trong đơn vị. Kiểm soát nội bộ không thể loại trừ toàn bộ các sai sót hoặc gian lận có thể xảy ra do nhân viên của đơn vị chịu áp lực trong công việc, hoặc do tính tình cẩu thả, mệt mỏi trong quá trình


22 TXKTKT02_Bai2_v1.0016101206

thực hiện công việc, hoặc nguy hiểm hơn, có sự thông đồng giữa người thực hiện sai phạm với kiểm soát viên. Một số nhà quản lý thể hiện sự tin tưởng quá mức vào khả năng ngăn ngừa các sai sót và gian lận của kiểm soát nội bộ, từ đó tạo ra những cơ hội cho các cá nhân trong đơn vị thực hiện các sai phạm mà không bị phát hiện. Hầu hết các chính sách và thủ tục kiểm soát chỉ hướng đến các hoạt động thường xuyên do đơn vị thực hiện mà khó có thể kiểm soát được các hoạt động không thường xuyên, nằm ngoài dự kiến của nhà quản lý. Kiểm soát nội bộ bị hạn chế bởi mối quan hệ giữa chi phí và kết quả. Khi thực hiện các hoạt động kiểm soát, nhà quản lý thường cân nhắc chi phí thực hiện các hoạt động này có tương xứng với những lợi ích mà chúng mang lại hay không. Kiểm soát nội bộ có thể lạc hậu khi các chính sách và thủ tục kiểm soát không được sửa đổi và cập nhật phù hợp với những thay đổi từ môi trường kể cả bên trong và bên ngoài của đơn vị. Cuối cùng, trong quá trình lập và trình bày báo cáo tài chính, nhà quản lý cũng phải thực hiện các ước tính kế toán (như dự phòng nợ phải thu khó đòi, dự phòng giảm giá hàng tồn kho,…), và lựa chọn áp dụng các phương pháp kế toán (khấu hao tài sản cố định hoặc tính giá xuất của hàng tồn kho,…) nên báo cáo tài chính không thể tuyệt đối tin cậy vì chúng phần nào thể hiện ý chí chủ quan của nhà quản lý trong đó.

2.2. Các thành phần của kiểm soát nội bộ

Theo Chuẩn mực kiểm toán quốc tế 315 (ISA 315), kiểm soát nội bộ của đơn vị bao gồm năm thành phần: (i) môi trường kiểm soát; (ii) quy trình đánh giá rủi ro của đơn vị; (iii) hệ thống thông tin; (iv) các hoạt động kiểm soát và; (v) giám sát.

2.2.1. Môi trường kiểm soát

Môi trường kiểm soát đóng vai trò quan trọng, là nền tảng trong hệ thống kiểm soát nội bộ của đơn vị. Môi trường kiểm soát bao gồm thái độ, nhận thức và các hành động của Ban quản trị, Ban giám đốc về kiểm soát nội bộ và tầm quan trọng của kiểm soát nội bộ trong đơn vị.

Môi trường kiểm soát bao gồm các yếu tố: (i) tính chính trực và các giá trị đạo đức; (ii) cam kết về năng lực; (iii) sự tham gia của ban quản trị; (iv) triết lý và phong cách điều hành của nhà quản lý; (v) cơ cấu tổ chức; (vi) phân công quyền hạn và trách nhiệm; (vii) chính sách nhân sự.

Thứ nhất, tính chính trực và các giá trị đạo đức (integrity and ethical values): Tính chính trực và các giá trị đạo đức là yếu tố cấu thành quan trọng của môi trường kiểm soát. Nó ảnh hưởng đến tính hiệu quả của việc thiết kế, quản lý và giám sát các thành phần khác của kiểm toán nội bộ. Một trong những biểu hiện của tính chính trị và giá trị đạo đức là các chuẩn mực đạo đức do nhà quản lý ban hành và áp dụng bởi các thành viên trong đơn vị. Để ngăn ngừa các sai phạm, đặc biệt là gian lận, nhà quản lý cần nỗ lực, cố gắng giảm bớt hoặc loại bỏ các động cơ và sự cám dỗ có thể khiến cho nhân viên trong đơn vị có những hành động không trung thực, trái luật pháp và trái đạo lý. Các giá trị đạo đức cần được tuyên truyền rộng rãi đến nhân viên thông qua các văn bản về quy định về đạo đức, chuẩn mực ứng xử.

Thứ hai, cam kết về năng lực (commitment to competence): Năng lực thể hiện các kỹ năng, kiến thức và khả năng cần thiết của con người để thực hiện các nhiệm vụ


TXKTKT02_Bai2_v1.0016101206 23

nhất định. Nhà quản lý cần đảm bảo mọi nhân viên trong đơn vị đều hội tụ đủ các kỹ năng, kiến thức và khả năng để thực hiện được các công việc được giao. Cam kết về năng lực thể hiện ở việc nhà quản lý thiết lập và thực hiện các chính sách nhân sự hợp lý để đảm bảo các vấn đề sau đây:

Xác định các kỹ năng, kiến thức cần thiết phải đáp ứng đối với mọi vị trí làm việc trong đơn vị;

Thẩm tra bằng cấp hoặc chứng chỉ của các ứng viên trong quá trình tuyển dụng nhân sự;

Chỉ thực hiện tuyển dụng và đề bạt đối với nhân viên có đủ năng lực;

Thiết lập các chương trình đào tạo cho nhân viên để họ có cơ hội nâng cao kỹ năng và kiến thức chuyên môn.

Thứ ba, sự tham gia của Ban quản trị (participation of those charged with governance): Sự tham gia của nhà quản trị có ảnh hưởng đáng kể đến kiểm soát nội bộ. Đây là điều kiện quan trọng đảm bảo cho quản trị doanh nghiệp (corporate governance) được vận hành hiệu quả. Ban quản trị có trách nhiệm giám sát sự vận hành của kiểm soát nội bộ và quá trình lập báo cáo tài chính. Các thành viên của Hội đồng quản trị cần phải độc lập với các nhà quản lý nhằm đảm bảo tính khách quan trong giám sát và đánh giá kiểm soát nội bộ. Một Ban quản trị năng động và thực hiện đúng trách nhiệm trước hết phải thể hiện ở khả năng họ có thể giảm được nguy cơ kiểm soát nội bộ bị nhà quản lý của đơn vị chi phối và thâu tóm. Để hỗ trợ cho Ban quản trị hoàn thành trách nhiệm, Ủy ban kiểm toán được thiết lập nhằm giám sát quá trình lập báo cáo tài chính của đơn vị. Ủy ban kiểm toán chịu trách nhiệm duy trì mối liên hệ thường xuyên với kiểm toán viên nội bộ và kiểm toán viên bên ngoài đơn vị, bao gồm việc lựa chọn và đưa ra các quyết định chấp nhận kiểm toán. Các thành viên của Ủy ban kiểm toán cũng phải độc lập với nhà quản lý, đồng thời cần am hiểu và có nhiều kinh nghiệm về các vấn đề liên quan đến việc lập và trình bày báo cáo tài chính.

Thứ tư, triết lý và phong cách điều hành của nhà quản lý (management’s philiosophy and operating style): Thông qua các hoạt động, nhà quản lý phát đi các tín hiệu đến nhân viên về quan điểm và nhận thức của họ về tầm quan trọng của kiểm soát nội bộ. Nếu nhà quản lý nhấn mạnh vào việc lập báo cáo tài chính tin cậy và tuân thủ các quy định pháp lý thì các nhân viên của đơn vị sẽ phải quan tâm nhiều hơn đến các vấn đề này nhằm đáp ứng yêu cầu của nhà quản lý. Ngoài ra, khi xem xét nhân tố này, kiểm toán viên cũng cần đánh giá về triết lý và phong cách điều hành của nhà quản lý đối với kiểm soát rủi ro kinh doanh, thái độ và hành động của họ đối với việc lập báo cáo tài chính hoặc nhận thức của họ đối với việc xử lý thông tin, chức năng của kế toán và nhân viên.

Thứ năm, cơ cấu tổ chức (organizational structure): Cơ cấu tổ chức thể hiện sự phân định về quyền và trách nhiệm của các bộ phận, cá nhân trong một đơn vị, đồng thời phản ánh sự phân quyền về kiểm soát. Thông qua việc tìm hiểu về cơ cấu tổ chức của đơn vị, kiểm toán viên có thể hiểu về rõ về chức năng, trách nhiệm và quyền hạn của các bộ phận trong đơn vị và nhận biết được cách thức vận hành của kiểm soát nội bộ.


24 TXKTKT02_Bai2_v1.0016101206

Thứ sáu, phân công quyền hạn và trách nhiệm (assignment of authority and responsibilites): Cách thức phân công quyền hạn và trách nhiệm (assignment of authoriry and responsibilities) trong một đơn vị quyết định đến việc các cá nhân trong đơn vị ý thức rõ ràng về quyền hạn, công việc và trách nhiệm mà họ cần phải đảm nhận. Nếu việc phân công quyền hạn và trách nhiệm không rõ ràng, không đầy đủ sẽ làm giảm hiệu lực của kiểm soát nội bộ. Ví dụ, trong bộ phận kế toán, thông qua việc xác định quyền hạn, công việc và trách nhiệm rõ ràng, kế toán theo dõi thanh toán với khách hàng sẽ nắm rõ các công việc, trình tự và thời gian thực hiện công việc mà mình phải đảm nhận (ví dụ thực hiện đối chiếu công nợ với khách hàng theo định kỳ, thực hiện các biện pháp nhắc và đốc thúc công nợ,… giúp cho đơn vị có thể giảm được thiệt hại do khách hàng chậm thanh toán hoặc không thanh toán các khoản nợ đến hạn).

Thứ bảy, các chính sách về nhân sự (human resources policies and practices): Nguồn nhân lực là yếu tố then chốt trong kiểm soát nội bộ. Nếu nhân viên có năng lực và trung thực thì cho dù thiếu vắng các thủ tục kiểm soát quan trọng, báo cáo tài chính được lập ra vẫn đảm bảo độ tin cậy. Ngược lại, nếu nhân viên không có đủ các kỹ năng và kiến thức cần thiết, luôn muốn thực hiện các hành vi gian lận thì các hoạt động kiểm soát cần được tăng cường để ngăn ngừa các gian lận và sai sót có thể. Tuy nhiên, kể cả trường hợp nhân viên trung thực và có năng lực, kiểm soát nội bộ vẫn có thể có nhiều hạn chế vì các lý do như nhân viên không hài lòng về chính sách lương thưởng của đơn vị, hoặc họ có quá nhiều áp lực vì khối lượng công việc quá tải. Chính vì vậy, chính sách nhân sự có thể đảm bảo được tính hiệu lực của kiểm soát nội bộ thông qua các hoạt động tuyển dụng, đánh giá nhân sự, đào tạo, đề bạt và đãi ngộ người lao động đúng đắn và hợp lý.

2.2.2. Quy trình đánh giá rủi ro

Quy trình đánh giá rủi ro (entity’s risk assessment process) của đơn vị được hiểu là quy trình nhận diện và đối phó với các rủi ro. Đánh giá rủi ro trong việc lập và trình bày báo cáo tài chính là quy trình nhà quản lý nhận diện và phân tích các rủi ro liên quan đến việc lập báo cáo tài chính nhằm bảo đảm phù hợp với các chuẩn mực kế toán. Ví dụ, nếu một doanh nghiệp thường xuyên bán sản phẩm với giá thấp hơn giá vốn hàng bán để xả hàng tồn kho do công nghệ sản xuất sản phẩm thay đổi quá nhanh, doanh nghiệp cần áp dụng đầy đủ nhiều biện pháp kiểm soát khác nhau để đối phó với rủi ro do hàng tồn kho ứ đọng và tồn quá nhiều. Trong quá trình hoạt động, doanh nghiệp có thể đối mặt với rất nhiều rủi ro vì các lý do như nguồn nhân lực không đảm bảo chất lượng, các đối thủ mới gia nhập vào thị trường, công nghệ sản xuất sản phẩm thay đổi, các chi nhánh và đơn vị thành viên hoạt động ở các địa bàn phân tán dẫn đến sư khó khăn trong quản lý và kiểm soát, kinh tế suy thoái,… Tất cả các nhân tố này đều gia tăng rủi ro kinh doanh của đơn vị. Chính vì vậy, việc đánh giá rủi ro là cần thiết nhằm đảm bảo cho đơn vị có thể hiện thực được các mục tiêu đã xác định. Quy trình đánh giá rủi ro bao gồm nhiều bước như: (i) nhận diện rủi ro, (ii) ước tính mức độ và tầm quan


TXKTKT02_Bai2_v1.0016101206 25

trọng của rủi ro, (iii) đánh giá khả năng xảy ra rủi ro và; (iv) triển khai các hành động cụ thể và cần thiết để giảm rủi ro xuống mức có thể chấp nhận được.

Trong một đơn vị, nếu nhà quản lý xác định việc đánh giá rủi ro là một bộ phận cấu thành kiểm soát nội bộ, từ đó thiết kế và vận hành các thủ tục kiểm soát để giảm thiểu sai sót và gian lận trong lập báo cáo tài chính thì kiểm toán viên cần đánh giá rủi ro để quyết định số lượng bằng chứng kiểm toán cần thu thập. Nếu quy trình đánh giá rủi ro của đơn vị được thực hiện hiệu quả, kiểm toán viên có thể giảm số lượng bằng chứng cần thu thập và ngược lại.

Kiểm toán viên thu thập sự hiểu biết về quy trình đánh giá rủi ro của đơn vị bằng nhiều cách khác nhau như: điều tra thông qua bảng hỏi, thảo luận với nhà quản lý của đơn vị về cách thức nhận diện, đánh giá và xác định các biện pháp để kiểm soát và giảm thiểu rủi ro trong viêc lập và trình bày báo cáo tài chính.

2.2.3. Hệ thống thông tin và truyền thông

Hệ thống thông tin và truyền thông (information and communication system) là thành phần quan trọng trong kiểm soát nội bộ. Trong mối quan hệ với kiểm toán tài chính, kiểm toán viên cần xem xét hệ thống thông tin kế toán (là chủ yếu) và thông tin phi kế toán của đơn vị. Mục đích của hệ thống thông tin và truyền thông là nhận diện, phân loại, ghi chép, xử lý và báo cáo về các nghiệp vụ kinh tế đã phát sinh nhằm đảm bảo trách nhiệm giải trình về tài sản, nợ phải trả và vốn chủ sở hữu của đơn vị.

Hệ thống thông tin trong đơn vị cần thường bao gồm nhiều phân hệ liên quan đến các loại nghiệp vụ như: bán hàng, thu tiền; mua hàng, thanh toán;... Với từng loại nghiệp vụ, hệ thống thông tin cần thỏa mãn đầy đủ các mục tiêu kiểm soát như: (i) các nghiệp vụ được ghi nhận phải thực sự phát sinh; (ii) các nghiệp vụ đã phát sinh phải được ghi nhận đầy đủ; (iii) giá trị (bằng tiền) của các nghiệp vụ được ghi nhận chính xác; (iv) các nghiệp vụ được trình bày và phân loại đúng đắn; (v) các nghiệp vụ được ghi nhận đúng kỳ và; (vi) các nghiệp vụ được cộng dồn và tổng hợp chính xác. Ví dụ, với nghiệp vụ bán hàng, hệ thống thông tin cần đảm bảo rằng hàng hóa và dịch vụ đã chuyển giao quyền sở hữu cho khách hàng cần phải được ghi nhận là doanh thu và được ghi chép đúng kỳ kế toán.

Nhằm thu thập sự hiểu biết về hệ thống thông tin của đơn vị, kiểm toán viên xác định các vấn đề sau: (i) nhận diện các nghiệp vụ chính, điển hình trong đơn vị; (ii) cách thức nhận diện và ghi chép các nghiệp vụ; (iii) các loại chứng từ và tài liệu kế toán và bản chất của chúng; (vi) cách thức đơn vị xử lý các nghiệp vụ quan trọng và; (v) bản chất và nội dung của quy trình lập báo cáo tài chính bao gồm các thủ tục để truy cập vào các nghiệp vụ và điều chỉnh chúng trên các sổ cái.

2.2.4. Các hoạt động kiểm soát

Các hoạt động kiểm soát (control activities) bao gồm các chính sách và thủ tục được thiết kế nhằm đảm bảo việc thực hiện các hành động cần thiết để đối phó với các


26 TXKTKT02_Bai2_v1.0016101206

rủi ro ảnh hưởng đến quá trình đạt được mục tiêu của đơn vị. Các hoạt động kiểm soát của đơn vị thường bao gồm:

Thứ nhất, phân tách nhiệm vụ đầy đủ (adequate separation of duties): Phân tách nhiệm vụ là hoạt động không thể thiếu trong kiểm soát nội bộ, đặc biệt đối với đơn vị có quy mô lớn. Mục đích của phân tách nhiệm vụ nhằm ngăn chặn các trường hợp một cá nhân hoặc một bộ phận của đơn vị đảm nhận toàn bộ các nhiệm vụ từ khi bắt đầu đến khi kết thúc một nghiệp vụ, từ đó tạo cơ hội cho sai sót hoặc gian lận gia tăng. Nếu không phân tách nhiệm vụ, nguy cơ kiểm soát nội bộ bị thao túng là điều hoàn toàn có thể xảy ra. Chính vì vậy, cần phân tách các nhiệm vụ sau:

(i) Phân tách nhiệm vụ bảo vệ tài sản với nhiệm vụ kế toán: Nếu một cá nhân đồng thời thực hiện hai nhiệm vụ này có thể tạo cơ hội tốt cho gian lận trong trường hợp cá nhân đó muốn lấy cắp tài sản của đơn vị, đồng thời điều chỉnh thông tin kế toán để che giấu sai phạm.

(ii) Phân tách thẩm quyền phê chuẩn nghiệp vụ với nhiệm vụ bảo vệ tài sản liên quan đến nghiệp vụ đó: Hoạt động kiểm soát này có thể ngăn ngừa gian lận về biển thủ hoặc tham ô tài sản khi một cá nhân có thẩm quyền phê duyệt nghiệp vụ và có thẩm quyền kiểm soát tài sản liên quan đến nghiệp vụ đó.

(iii) Phân tách trách nhiệm thực hiện nghiệp vụ với trách nhiệm ghi chép, bảo quản sổ sách kế toán nhằm đảm bảo việc ghi nhận và xử lý thông tin khách quan, không theo chiều hướng có lợi cho cá nhân chịu trách nhiệm thực hiện nghiệp vụ.

(iv) Phân tách nhiệm vụ của bộ phận quản lý và kiểm soát công nghệ thông tin với các phòng ban sử dụng hệ thống thông tin để thực hiện nhiệm vụ: Việc phân tách này có thể giảm bớt sự chồng chéo về chức năng và nhiệm vụ giữa bộ phận quản lý và kiểm soát thông tin với các đơn vị sử dụng hệ thống này để xử lý các nghiệp vụ. Ví dụ, chức năng thiết kế và kiểm soát các phần mềm kế toán do bộ phận IT đảm nhận, trong khi đó bộ phận kế toán thực hiện trách nhiệm cập nhật thông tin

Thứ hai, phê chuẩn các nghiệp vụ (authorization of transactions and activities): Các nghiệp vụ, trước khi được thực hiện thì cần phải có sự phê duyệt nhằm đảm bảo các yêu cầu về kiểm soát nhằm hạn chế các rủi ro. Ví dụ, trước khi chi tiền cần phải duyệt chi bởi nhà quản lý có đủ thẩm quyền nhằm hạn chế các gian lận như chi tiền sai mục đích, chi khống, biển thủ tài sản. Trong các nghiệp vụ giao hàng nhưng khách hàng trả tiền sau, cần phê duyệt tín dụng nhằm hạn chế các khoản nợ xấu từ khách hàng. Có hai cách phê duyệt bao gồm phê duyệt chung (general authorization) và phê duyệt cụ thể (specific authorization). Phê duyệt cụ thể áp dụng đối với từng nghiệp vụ. Ví dụ, duyệt giá bán một chiếc xe ô tô đã qua sử dụng cho khách hàng tại một công ty chuyên kinh doanh xe ô tô đã qua sử dụng. Phê duyệt chung áp dụng cho các nghiệp vụ. Ví dụ một doanh nghiệp đưa ra chính sách bán chịu cho khách hàng trong đó quy định rõ: bất cứ khách hàng nào muốn được tiếp tục mua chịu trước hết phải thanh toán toàn bộ số nợ từ nghiệp vụ mua chịu trước đó.

Thứ ba, xử lý thông tin (information processing): Hoạt động kiểm soát này yêu cầu các chứng từ và tài liệu được lập và luân chuyển để ghi nhận và xử lý các nghiệp vụ phải đầy đủ. Các chứng từ và tài liệu cho dù dưới dạng văn bản hoặc điện tử phải cung cấp bằng chứng về sự phát sinh và tính hợp lý, hợp lệ của các nghiệp vụ (audit trail).


TXKTKT02_Bai2_v1.0016101206 27

Việc xử lý thông tin cần đảm bảo hai khía cạnh là thiết kế sử dụng các chứng từ theo các yêu cầu sau:

Các chứng từ phải được đánh số thứ tự trước và liên tục nhằm tránh thất lạc và được bảo quản một cách khoa học để sẵn sàng được sử dụng cho các mục đích khác nhau (kiểm tra, đối chiếu) khi cần. Việc đánh số thứ tự trước và liên tục là một biện pháp hữu hiệu nhằm đảm bảo tính đầy đủ trong ghi nhận các nghiệp vụ kinh tế đã phát sinh.

Chứng từ và tài liệu kế toán cần được lập ngay tại thời điểm nghiệp vụ kinh tế phát sinh để đảm bảo tính đúng kỳ trong ghi nhận các nghiệp vụ.

Chứng từ được thiết kế cho các mục đích và nơi sử dụng khác nhau, nhằm hạn chế sự lãng phí không cần thiết về mặt giấy tờ. Ví dụ, một chứng từ điện tử được lập để giao hàng cho khách có thể được sử dụng như là chứng từ xuất kho, nhằm cung cấp thông tin về ngày tháng phát sinh nghiệp vụ, số lượng hàng được giao, số tiền khách hàng phải thanh toán và được sử dụng để ghi nhận sự thay đổi của hàng tồn kho.

Chứng từ được thiết kế hợp lý nhằm tăng tính chính xác và khả năng kiểm soát nghiệp vụ trong quá trình chuẩn bị và lập chứng từ, đặc biệt với các chứng từ điện tử.

Thứ tư, kiểm soát vật chất (physical controls): Tài sản và các tài liệu, thông tin của một đơn vị phải được bảo vệ an toàn để tránh các nguy cơ bị mất cắp, lạm dụng hoặc bị hư hỏng. Với các đơn vị có sự lệ thuộc lớn vào hệ thống công nghệ thông tin thì các thiết bị máy móc, chương trình phần mềm máy tính, hệ thống dữ liệu cần được bảo vệ an toàn bởi một khi chúng bị hư hỏng, hoặc thâm nhập từ bên ngoài, đơn vị sẽ tốn kém nhiều chi phí để sửa chữa hoặc phục hồi lại hệ thống.

Để bảo vệ tài sản và các tài liệu, thông tin, cần áp dụng các biện pháp kiểm soát phòng ngừa để tránh các rủi ro. Ví dụ, hàng tồn kho của đơn vị cần được bảo quản an toàn trong hệ thống kho bãi với các điều kiện về an ninh phù hợp nhằm tránh bị lấy cắp đồng thời hạn chế sự tiếp cận của các nhân viên không có thẩm quyền đối với hàng tồn kho.

Thứ năm, kiểm soát độc lập việc thực hiện các nghiệp vụ (independent check on performance): Hoạt động này đảm bảo cơ chế thực hiện đối với các hoạt động kiểm soát đã trình bày ở trên. Một tên gọi khác đối với hoạt động này là thẩm tra nội bộ (internal verification). Kiểm soát độc lập luôn cần thiết trong đơn vị vì nhiều lý do. Trước hết, kiểm soát nội bộ của đơn vị có xu hướng thay đổi theo thời gian, vì vậy cần rà soát thường xuyên để tránh trường hợp kiểm soát nội bộ bị chệch hướng. Các nhân viên trong đơn vị có thể nhầm lẫn, quên hoặc đôi khi vì cẩu thả nên không áp dụng các thủ tục kiểm soát một cách đầy đủ. Chính vì vậy, cần phải có nhân viên phù hợp để quan sát và đánh giá các hoạt động của họ nhằm giảm thiểu gian lận và sai sót gia tăng vì các tình huống trên.

Nhân viên chịu trách nhiệm thực hiện công việc thẩm tra nội bộ phải độc lập với những người thực hiện công việc và chuẩn bị tài liệu. Ví dụ, nhân viên thực hiện việc đối chiếu số liệu với ngân hàng cần độc lập với kế toán viên phụ trách tiền gửi ngân hàng.


28 TXKTKT02_Bai2_v1.0016101206

Trong hệ thống thông tin kế toán có sử dụng phần mềm kế toán, phần mềm kế toán cần được thiết kế để các hoạt động thẩm tra độc lập được thực hiện tự động. Ví dụ, phần mềm máy tính có thể ngăn chặn việc xử lý số liệu thanh toán đối với người bán khi mã số của đơn đặt hàng không phù hợp với mã số của chứng từ nhập hàng liên quan đến hóa đơn mua hàng trong hệ thống.

2.2.5. Giám sát

Các hoạt động giám sát (monitoring) do nhà quản lý của đơn vị qui định thực hiện thường xuyên hoặc định kỳ nhằm đánh giá quá trình thiết kế và vận hành của kiểm soát nội bộ có theo đúng dự kiến hay không và chất lượng của kiểm soát nội bộ trên thực tế, từ đó đưa ra các quyết định sửa chữa kiểm soát nội bộ (nếu cần thiết). Thông tin được sử dụng để đánh giá được thu thập từ nhiều nguồn khác nhau như: nghiên cứu thực trạng kiểm soát nội bộ, báo cáo của kiểm toán nội bộ, các thông tin từ các kênh bên ngoài đơn vị như ngân hàng, khách hàng, nhà cung cấp,...

Trong các đơn vị, đặc biệt đơn vị có quy mô lớn, kiểm toán nội bộ được coi là bộ phận thiết yếu chịu trách nhiệm giám sát kiểm soát nội bộ. Để đảm bảo tính hiệu quả trong giám sát, kiểm toán nội bộ phải độc lập với các cá nhân, phòng ban chịu sự giám sát từ kiểm toán nội bộ. Kết quả giám sát cần được báo cáo lên cấp có thẩm quyền cao nhất của đơn vị như Ban quản trị hoặc Ủy ban kiểm toán để xử lý.

2.3. Đánh giá kiểm soát nội bộ trong kiểm toán tài chính

Trong quá trình kiểm toán, kiểm toán viên phải thu thập hiểu biết đầy đủ về các thành phần của kiểm soát nội bộ (KSNB) để lập kế hoạch kiểm toán và xác định các thử nghiệm kiểm toán cần thực hiện như thử nghiệm kiểm soát và thử nghiệm cơ bản.

Trong tất cả các cuộc kiểm toán, kiểm toán viên phải hiểu biết về kiểm soát nội bộ, đặc biệt các hoạt động kiểm soát có ảnh hưởng đến quá trình lập và trình bày báo cáo tài chính. Sự hiểu biết của kiểm toán viên phải đủ để nhận diện rủi ro kiểm soát và để xem xét các nhân tố ảnh hưởng đến rủi ro có sai phạm trọng yếu, từ đó thiết kế các thử nghiệm kiểm toán có hiệu quả.

Dưới đây là quy trình các công việc mà kiểm toán viên đánh giá kiểm soát nội bộ trong cuộc kiểm toán tài chính. Các công việc có thể được thực hiện theo một trình tự bao gồm bốn bước: (i) tìm hiểu về kiểm soát nội bộ; (ii) đánh giá sơ bộ về rủi ro kiểm soát; (iii) thiết kế và thực hiện các thử nghiệm kiểm soát; (iv) đánh giá lại rủi ro kiểm soát và thiết kế các thử nghiệm kiểm toán thích hợp.


TXKTKT02_Bai2_v1.0016101206 29

Thu thập hiểu biết về môi trường kiểm soát

Thu thập hiểu biết về quy trình đánh giá rủi

Thu thập hiểu biết về hệ thống thông tin.

Thu thập hiểu biết về các hoạt động kiểm soát.

Thu thập hiểu biết về giám sát kiểm soát.

Mô tả hiểu biết về kiểm soát nội bộ.

Thực hiện đánh giá sơ bộ về rủi ro kiểm soát dựa trên hiểu biết hiện tại.

Rủi ro kiểm soát có được đánh giá cao hay không?

Có kiểm soát nào bổ sung không?

Tăng mức đánh giá rủi ro kiểm soát.

Thực hiện thủ tục thử nghiệm cơ bản theo kế hoạch bổ sung.

Thực hiện thử nghiệm kiểm soát để hỗ trợ đánh giá rủi ro kiểm soát.

Có bất cứ sai sót tìm thấy chỉ ra ít tin cậy về kiểm soát nội bộ hay không?

Thực hiện các thủ tục trong thử nghiệm cơ bản theo kế hoạch.

Có

Có

Không

Không

Bảng 2.1. Các bước đánh giá kiểm soát nội bộ


30 TXKTKT02_Bai2_v1.0016101206

Bước1: Thu thập sự hiểu biết của Kiểm toán viên về Kiểm soát nội bộ

Kiểm toán viên thu thập hiểu biết về kiểm soát nội bộ trên các mặt chủ yếu:

Thu thập hiểu biết về môi trường kiểm soát;

Thu thập hiểu biết về quy trình nhận diện rủi ro liên quan đến các mục tiêu lập BCTC và về quyết định chọn các hành động xử lý các rủi ro;

Thu thập hiểu biết về hệ thống thông tin về các loại nghiệp vụ, số dư tài khoản và trình bày trên BCTC;

Thu thập hiểu biết về các hoạt động kiểm soát để đánh giá rủi ro có sai sót;

Thu thập hiểu biết về các loại hoạt động chủ yếu mà đơn vị áp dụng để giám sát KSNB;

Mô tả hiểu biết về KSNB.

Hiểu biết về môi trường kiểm soát

ISA 315 yêu cầu kiểm toán viên có được hiểu biết về môi trường kiểm soát đủ để đánh giá tính hữu hiệu của KSNB. Phương pháp và thủ tục áp dụng để hiểu biết về môi trường kiểm soát bao gồm:

Thẩm vấn nhân viên quản lý chủ chốt.

Kiểm tra tài liệu của đơn vị.

Quan sát các hoạt động của đơn vị.

Môi trường kiểm soát có ảnh hưởng lan tỏa đến việc đánh giá rủi ro có sai sót trọng yếu. Ví dụ, Ban giám đốc năng động, độc lập có thể ảnh hưởng đến triết lý và phong cách hoạt động của cán bộ cấp cao. Như vậy, môi trường kiểm soát không ngăn ngừa hoặc phát hiện và sửa chữa bản thân sai sót trọng yếu mà nó có ảnh hưởng đến việc đánh giá của KTV về kiểm soát khác và rủi ro. Từ đó, môi trường kiểm soát ảnh hưởng đến bản chất, thời gian và phạm vi của thủ tục kiểm toán của các kiểm toán viên độc lập.

Hiểu biết về quy trình đánh giá rủi ro của đơn vị

Kiểm toán viên cần xác minh xem Ban quản lý nhận diện rủi ro kinh doanh thế nào và đánh giá ảnh hưởng của rủi ro, đánh giá khả năng xảy ra rủi ro và quyết định đưa ra các hành động quản lý rủi ro. Thủ tục kiểm toán viên có thể áp dụng bao gồm:

Thẩm vấn Ban quản lý về các rủi ro kinh doanh mà Ban quản lý đã nhận diện, xem xét chúng có gây ra những sai sót trọng yếu hay không?

Ban quản lý không nhận diện những rủi ro có sai sót trọng yếu, Kiểm toán viên xem xét xem Ban quản lý đáng lẽ nhận biết được và nếu như vậy thì vì sao mà quá trình đánh giá thất bại.

Nếu đơn vị chưa có quy trình hoặc quy trình chưa được chuẩn hóa, Kiểm toán viên cần trao đổi với Ban quản lý liệu đơn vị có rủi ro kinh doanh liên quan đến mục tiêu lập và trình bày Báo cáo tài chính đã được phát hiện hay chưa và được xử lý ra sao, điều này có chấp nhận được hay không?

Hiểu biết về hệ thống thông tin

Kiểm toán viên phải có được kiến thức đầy đủ về hệ thống thông tin của đơn vị. Trước tiên, kiểm toán viên cần có hiểu biết về lộ trình mà các nghiệp vụ phải trải qua, cả về


TXKTKT02_Bai2_v1.0016101206 31

thủ công và máy tính hóa của hệ thống thông tin. Đồng thời, nhận biết phạm vi mà máy tính được sử dụng trong ứng dụng kế toán quan trọng.

Các thủ tục cần thiết để có được hiểu biết về hệ thống thông tin:

Thẩm vấn Ban quản lý và nhân viên;

Kiểm tra hồ sơ tài liệu;

Chứng từ và báo cáo;

Đọc tài liệu mô tả về hệ thống thông tin hoặc sử dụng tài liệu như sơ đồ tài khoản hoặc tài liệu hướng dẫn các thủ tục;

Quan sát các hoạt động của đơn vị;

Dựa vào kinh nghiệm trước đây với khách hàng;

Soát xét giấy tờ làm việc của năm trước.

ISA 315 yêu cầu kiểm toán viên có được hiểu biết xem đơn vị gắn kết vai trò lập báo cáo tài chính và trách nhiệm và các vấn đề quan trọng liên quan đến lập BCTC. Nó bao gồm phạm vi mà nhân viên hiểu xem hoạt động của họ trong hệ thống thông tin liên quan đến hoạt động khác như thế nào và phương thức của lập báo cáo.

Hiểu biết về các hoạt động kiểm soát

Hiểu biết về hoạt động kiểm soát bao gồm các hoạt động hiểu về rủi ro có sai sót trọng yếu và đủ để lập kế hoạch kiểm toán, xem xét đơn vị đã đối phó như thế nào với những rủi ro nảy sinh từ công nghệ thông tin.

Các kỹ thuật kiểm toán thường áp dụng để hiểu biết về các hoạt động kiểm soát bao gồm:

Thẩm vấn nhân viên của công ty khách hàng;

Kiểm tra tài liệu;

Quan sát xử lý các nghiệp vụ và quản lý tài sản.

Kiểm toán viên thường sử dụng kỹ thuật kiểm tra từ đầu đến cuối (walk – through test) để làm rõ hiểu biết về thông tin thu được. Kiểm tra từ đầu đến cuối liên quan đến với việc xác minh đối chiếu về một hoặc một số nghiệp vụ của từng loại thông qua chứng từ tài liệu, báo cáo kế toán, kiểm tra các bộ phận liên quan, những người có trách nhiệm về việc xử lý và các hoạt động kiểm soát đang hiệu lực. Ví dụ kiểm toán viên có thể lựa chọn một số nghiệp vụ ghi chép trong nhật ký bán hàng và đối chiếu xuống chứng từ gốc có liên quan (hóa đơn, đơn đặt hàng, chuyển hàng và tài khoản).

Kiểm toán viên phải hiểu biết đầy đủ các hoạt động kiểm soát để xem xét một hoạt động kiểm soát cụ thể, hoặc đơn lẻ hoặc kết hợp với các hoạt động kiểm soát khác, có ngăn ngừa hoặc phát hiện và sửa chữa các sai phạm trọng yếu trong các loại nghiệp vụ, số dư và trình bày trên báo cáo tài chính hay không.

Còn về ứng dụng kế toán qua máy tính, kiểm toán viên cần hiểu hướng đi mà các nghiệp vụ trải qua trong hệ thống thông tin. Kiểm toán viên có thể soát xét kiểm soát chung kể cả khi không đánh giá rủi ro kiểm soát ở mức không cao. Thường thì việc soát xét do chuyên gia kiểm toán về máy tính thực hiện hoặc kiểm toán viên có đào tạo bổ sung về hệ thống máy tính hóa. Việc soát xét được thực hiện qua thẩm vấn và nhân viên công nghệ thông tin, soát xét các tài liệu hiện có như hướng dẫn của khách hàng, giấy tờ làm việc năm trước và các thông tin khác về cài đặt máy tính, các ứng dụng kế toán qua máy tính.


32 TXKTKT02_Bai2_v1.0016101206

Hiểu biết về giám sát

Kiểm toán viên phải hiểu biết về các hoạt động cơ bản mà đơn vị sử dụng để giám sát KSNB về lập BCTC và hiểu biết về thiết kế các hoạt động sửa chữa các hoạt động kiểm soát. Trong nhiều đơn vị, kiểm toán nội bộ góp phần giám sát các hoạt động của đơn vị. Kiểm toán viên cần có được hiểu biết về nguồn thông tin liên quan đến các hoạt động giám sát của đơn vị và cơ sở mà Ban quản lý xem xét thông tin là đủ tin cậy.

Mô tả hiểu biết về kiểm soát nội bộ

Mô tả HTKSNB: có thể sử dụng 3 cách:

Sử dụng bảng câu hỏi về KSNB và các bản liệt kê;

Sử dụng bản tường thuật;

Lưu đồ.

Sử dụng bảng câu hỏi và bản liệt kê

Bảng câu hỏi được xây dựng theo các mục tiêu chi tiết về KSNB, nó có xu hướng ít chi tiết hơn các biểu mẫu tổng quát về môi trường kiểm soát và các hoạt động kiểm soát; thường có một phần riêng biệt cho từng loại nghiệp vụ hay chu trình. Các câu hỏi có thể sử dụng câu hỏi đóng và câu hỏi mở. Tuy nhiên, thường sử dụng câu hỏi đóng và những câu trả lời “không” sẽ cho biết nhược điểm của KSNB.

Ví dụ: Bảng 2.1. Bảng câu hỏi về kiểm soát nội bộ

Mỗi câu hỏi phải trả lời “có” hoặc “không” hoặc “không áp dụng”. Nếu câu trả lời “không” đề nghị giải thích.

Bán hàng Có/Không/Không áp dụng

1. Tất cả đơn đặt hàng được phê duyệt trước khi chấp nhận

2. Bộ phân phê duyệt bán chịu tách biệt với bộ phận bán hàng, thu tiền và kế toán?

3. Phiếu xuất hàng có:

a. Được lập cho tất cả hàng ra khỏi đơn vị không?

b. Được đánh số trước không?

4. Kiểm tra có được thực hiện để đảm bảo rằng số hàng xuất đã được hạch toán không?

5. Hóa đơn có:

a. Được lập cho tất cả các nghiệp vụ bán hàng không?

b. Được đánh số trước không?

6. Kiểm tra có được thực hiện để đảm bảo rằng tất cả hóa đơn bán hàng được hạch toán không?

7. Có kiểm tra hóa đơn với phiếu xuất hàng không?

8. Hóa đơn có được kiểm tra:

a. Số tổng cộng không?

b. Giá cả không?

Cách mô tả bằng Bảng câu hỏi hay bản liệt kê có ưu điểm là kiểm toán viên có thể tiến hành nhanh chóng, thuận tiện vì được lập sẵn. Tuy nhiên nó cũng có nhược điểm là khó phù hợp với mọi loại hình doanh nghiệp.


TXKTKT02_Bai2_v1.0016101206 33

Sử dụng bản tường thuật

Bản tường thuật là bản mô tả bằng văn bản về các chính sách và thủ tục KSNB, mô tả về cơ cấu KSNB của khách hàng. Bảng tường thuật sẽ cung cấp thêm sự

phân tích về KSNB và sẽ giúp Kiểm toán viên hiểu biết đầy đủ hơn về KSNB.

Ví dụ: Bảng 2.2: Mô tả trần thuật – một phần hệ thống kế toán bán hàng

Bộ phận vận chuyển, dựa trên đơn đặt hàng được phê duyệt, lập phiếu chuyển

hàng 3 liên khi vận chuyển hàng. Phiếu chuyển hàng được gửi:

1. Gửi cho khách hàng cùng với hàng hóa.

2. Gửi để lưu giữ hồ sơ tài khoản phải thu. Đơn đặt hàng được lưu theo thứ tự.

3. Gửi cho bộ phận phát hành hóa đơn.

Bộ phận phát hành hóa đơn dùng phiếu xuất kho để lập hóa đơn bán hàng gồm

2 liên và gửi:

1. Gửi cho khách hàng.

2. Gửi để lưu giữ hồ sơ phải thu. Chứng từ vận chuyển được lưu theo thứ tự.

Bộ phận lưu giữ hồ sơ phải thu định kỳ đối chiếu hóa đơn bán hàng với chứng từ

vận chuyển được, cụ thể:

1. Hóa đơn bán hàng được ghi vào sổ phải thu.

2. Hóa đơn bán hàng và chứng từ vận chuyển được lưu theo tên của khách hàng

theo thứ tự a,b,c,…

Bản tường thuật có ưu điểm là cung cấp sự linh hoạt khi chỉ viết về những gì được cho là quan trọng trong KSNB, nhưng nó cũng phụ thuộc rất nhiều vào khả năng của Kiểm toán viên khi viết. Do đó, cách mô tả bằng bản trần thuật sẽ phù hợp hơn

đối với những hệ thống tương đối đơn giản.

Lưu đồ

Lưu đồ sử dụng các biểu tượng để tạo ra sơ đồ về hệ thống thông tin và các hoạt động kiểm soát. Lưu đồ bao gồm lưu đồ ngang và lưu đồ dọc mô tả các quá trình kiểm soát áp dụng qua các chứng từ, tài liệu kế toán cùng quy trình vận động và luân chuyển chúng thông qua các ký hiệu và biểu đồ. Điều này rất hữu ích trong trường hợp các hệ thống mà nó kết hợp xử lý thủ công và xử lý máy tính trong các

ứng dụng kế toán quan trọng.


34 TXKTKT02_Bai2_v1.0016101206

Ví dụ:

Sơ đồ 2.1: Lưu đồ về phần đầu của hệ thống kế toán bán hàng

Bước 2: Đánh giá sơ bộ về rủi ro kiểm soát

Sau khi có được sự hiểu biết về các thành phần của kiểm soát nội bộ, kiểm toán viên sẽ đánh giá rủi ro kiểm soát cho các cơ sở dẫn liệu liên quan đến số dư tài khoản, loại nghiệp vụ và trình bày trên báo cáo tài chính.

Để đánh giá cần thực hiện các công việc:

Nhận diện các mục tiêu kiểm soát;

Nhận diện quy trình kiểm soát đặc thù;

Đánh giá nhược điểm của kiểm soát nội bộ theo các mục tiêu: nhược điểm của kiểm soát nội bộ được hiểu là sự vắng mặt của các thủ tục, các quá trình kiểm soát thích đáng mà nếu không có thì sẽ làm tăng rủi ro, tăng khả năng tồn tại nhiều sai phạm trọng yếu;

Đánh giá rủi ro kiểm soát theo yếu tố định tính (mức cao, mức không cao: trung bình hoặc thấp).

Bộ phận chuyển hàng Bộ phận phát hành hoá đơn

Phòng tín dụng

Phê duyệt đơn đặt hàng

Phiếu giao hàng

Lập phiếu chuyển hàng

Gửi cho khách hàng

cùng với hàng hóa

Phiếu giao hàng

Không

A

Phiếu giao hàng

B

Gửi cho

khách hàng

Lập hoá đơn bán hàng


TXKTKT02_Bai2_v1.0016101206 35

Kiểm toán viên đánh giá rủi ro kiểm soát ở mức cao do các chính sách và thủ tục kiểm soát khi:

Các chính sách và thủ tục kiểm soát hoặc không có, hoặc có nhưng không hoạt động.

Các chính sách và thủ tục kiểm soát có thể hữu hiệu nhưng thực hiện thử nghiệm kiểm soát để thu thập bằng chứng về tính hữu hiệu tốn nhiều thời gian hơn thực hiện thử nghiệm cơ bản.

Rủi ro kiểm soát không liên quan đến cơ sở dẫn liệu đặc biệt.

Kiểm toán viên có thể quyết định đánh giá rủi ro kiểm soát ở mức không cao. Khi đó kiểm toán viên phải có được đủ bằng chứng kiểm toán thích hợp. Đầu tiên, kiểm toán viên nhận diện các hoạt động kiểm soát có khả năng ngăn ngừa hoặc phát hiện các sai sót trọng yếu. Tiếp theo kiểm toán viên thực hiện thử nghiệm kiểm soát để đánh giá tính hữu hiệu của các hoạt động kiểm soát.

Kiểm toán viên có thể thực hiện đánh giá khác nhau về rủi ro kiểm soát cho từng số dư tài khoản, từng loại nghiệp vụ hoặc trình bày trọng yếu, hoặc cho các cơ sở dẫn liêụ. Ví dụ, kiểm toán viên có thể đánh giá rủi ro kiểm soát đối với cơ sở dẫn liệu về hàng tồn kho là cao, các cơ sở dẫn liệu về tiền là thấp, hoặc đánh giá rủi ro về sự hiện có của tiền là thấp nhưng rủi ro về tính đầy đủ của tiền là cao.

Bước 3: Thực hiện thử nghiệm kiểm soát (thử nghiệm tuân thủ)

Thử nghiệm kiểm soát được hiểu là việc kiểm tra để thu thập bằng chứng kiểm toán về sự thiết kế phù hợp và sự vận hành hữu hiệu của hệ thống kế toán và kiểm soát nội bộ. Khi thực hiện thử nghiệm kiểm soát, kiểm toán viên phải thu thập được các bằng chứng về tính hữu hiệu của kiểm soát nội bộ trên các mặt sau:

Về thiết kế: xem xét kiểm soát nội bộ có được thiết kế để hướng đến ngăn ngừa, phát hiện và sửa chữa các sai phạm.

Về vận hành: kiểm soát nội bộ có tồn tại và hoạt động liên tục trong suốt niên độ kế toán hay không.

Thử nghiệm kiểm soát được thực hiện với những phương pháp khác nhau tuỳ thuộc từng trường hợp cụ thể.

Phương pháp kiểm tra tài liệu hoặc thực hiện lại các thủ tục kiểm soát được áp dụng nếu các thủ tục để lại dấu vết trực tiếp trên tài liệu như các chữ ký phê duyệt, hoá đơn lưu…

Nếu các thủ tục kiểm soát không để lại dấu vết trong tài liệu, kiểm toán viên tiến hành quan sát các hoạt động liên quan đến kiểm soát nội bộ hoặc phỏng vấn nhân viên đơn vị về các thủ tục kiểm soát.

Ngoài ra, kiểm toán viên có thể sử dụng các phương pháp bổ sung để xác minh kết quả thử nghiệm. Ví dụ với phép thử “walk through test” kiểm toán viên có thể theo dõi từng bước thực hiện nghiệp vụ trên sổ sách hoặc trong thực tế để đánh giá về kiểm soát đối với nghiệp vụ.

Bước 4: Đánh giá lại rủi ro kiểm soát và thiết kế các thử nghiệm kiểm toán

Dựa trên các thông tin thu thập từ các thử nghiệm kiểm soát, kiểm toán viên tổng hợp kết quả khảo sát về kiểm soát nội bộ bằng cách lập bảng đánh giá kiểm soát nội bộ.

Bảng đánh giá kiểm soát nội bộ phải ghi nhận các thông tin sau:


36 TXKTKT02_Bai2_v1.0016101206

Các mục tiêu kiểm soát nội bộ với từng khoản mục;

Mô tả thực trạng kiểm soát nội bộ;

Bản chất và tính hệ trọng của các rủi ro;

Đánh giá của kiểm toán viên về kiểm soát nội bộ cho từng chu trình hay từng khoản mục;

Sau khi lập bảng đánh giá về kiểm soát nội bộ, kiểm toán viên tiến hành đánh giá lại rủi ro kiểm soát.

Ảnh hưởng về thiết kế thử nghiệm cơ bản

Mức độ của rủi ro kiểm soát có ảnh hưởng trực tiếp đến việc kiểm toán viên thiết kế các thử nghiệm cơ bản. Thử nghiệm cơ bản được hiểu là việc kiểm tra để thu thập bằng chứng về các sai phạm trọng yếu có ảnh hưởng đến độ tin cậy của thông tin trên BCTC. Theo đó, thử nghiệm cơ bản gồm thực hiện thủ tục phân tích, kiểm tra chi tiết các nghiệp vụ, kiểm tra chi tiết các số dư và kiểm tra chi tiết trình bày các thông tin.

Nếu rủi ro kiểm soát được đánh giá là cao (độ tin cậy vào kiểm soát nội bộ thấp) thì rủi ro phát hiện phải ở mức thấp. Rủi ro phát hiện được giảm xuống do thực hiện các thử nghiệm cơ bản. Nếu rủi ro kiểm soát được đánh giá càng cao thì độ tin cậy vào kiểm soát nội bộ càng thấp, khi đó kiểm toán viên phải thực hiện nhiều thử nghiệm cơ bản để giảm rủi ro kiểm toán xuống mức có thể chấp nhận được.


TXKTKT02_Bai2_v1.0016101206 37

Tóm lược cuối bài

Kiểm soát nội bộ cung cấp sự đảm bảo hợp lý nhằm giúp cho đơn vị đạt được các mục tiêu cơ bản bao gồm: đảm bảo độ tin cậy của thông tin được trình bày trên báo cáo tài chính; đảm bảo hiệu quả và hiệu năng hoạt động; đảm bảo việc tuân thủ các quy định pháp lý.

Kiểm soát nội bộ bao gồm năm bộ phận cấu thành: môi trường kiểm soát, hệ thống thông tin và truyền thông, đánh giá rủi ro, các hoạt động kiểm soát, giám sát.

Trong kiểm toán tài chính, kiểm toán viên cần phải đánh giá kiểm soát nội bộ nhằm hiểu rõ về thực tế kiểm soát nội bộ của đơn vị, đánh giá rủi ro kiểm soát từ đó thiết kế nội dung, bản chất và phạm vi và thời gian các thử nghiệm kiểm toán thích hợp. Quy trình đánh giá kiểm soát nội bộ bao gồm bốn bước: (i) tìm hiểu về kiểm soát nội bộ, (ii) đánh giá sơ bộ về rủi ro kiểm soát; (iii) thiết kế và thực hiện thử nghiệm kiểm soát; (iv) đánh giá lại rủi ro kiểm soát để thiết kế các thử nghiệm kiểm toán.


38 TXKTKT02_Bai2_v1.0016101206

Câu hỏi ôn tập

1. Trình bày khái niệm kiểm soát nội bộ. Những hạn chế cố hữu nào của kiểm soát nội bộ có ý nghĩa như thế nào đối với kiểm toán viên?

2. Trình bày nội dung của kiểm soát nội bộ.

3. Trình bày quy trình đánh giá kiểm soát nội bộ.

4. Phân tích vai trò của nhân tố phân chia quyền hạn và trách nhiệm trong môi trường kiểm soát có ảnh hưởng đến tính hiệu lực của kiểm soát nội bộ.

5. Phân tích vai trò của hệ thống thông tin kế toán đối với việc đảm bảo độ tin cậy của thông tin trên báo cáo tài chính.

6. Phân tích vai trò của các hoạt động kiểm soát có ảnh hưởng đến khả năng xảy ra sai phạm

trọng yếu trên báo cáo tài chính của khách thể kiểm toán.

7. Phân biệt hai hoạt động kiểm soát: phân tách nhiệm vụ đầy đủ và kiểm soát độc lập việc thực hiện các nghiệp vụ.

8. Phân biệt bước công việc thứ hai và bước công việc thứ tư trong quy trình đánh giá kiểm

soát nội bộ.

9. Phân tích ảnh hưởng của rủi ro kiểm soát đến việc lập kế hoạch và thiết kế chương trình kiểm toán.

10. Phân tích sự khác biệt trong tìm hiểu kiểm soát nội bộ đối với khách thể kiểm toán cũ và khách thể kiểm toán mới.

Documents

BÀI 2 ĐÁNH GIÁ KIỂM SOÁT NỘI BỘeldata3.neu.topica.vn/TXKTKI02/Giao trinh/04_NEU_TXKTTI02...Theo Chuẩn mực kiểm toán quốc tế 315 (ISA 315), kiểm soát nội