IV. QUY TRèNH KIỂM TOÁN
1. Kiểm soỏt nội bộ
Nội dung phần này đề cập những vấn đề cơ bản về rủi ro kiểm toỏn, đỏnh giỏ rủi ro và kiểm soỏt nội bộ, cựng đặc điểm kiểm toỏn trong mụi trường tin học cũng như cỏc yếu tố cần xem xột khi kiểm toỏn đơn vị cú sử dụng dịch vụ bờn ngoài.
Về khỏi niệm, hệ thống kiểm soỏt nội bộ là cỏc quy định và cỏc thủ tục kiểm soỏt do đơn vị được kiểm toỏn xõy dựng và ỏp dụng nhằm bảo đảm cho đơn vị tuõn thủ phỏp luật và cỏc quy định, để kiểm tra, kiểm soỏt, ngăn ngừa và phỏt hiện gian lận, sai sút; để lập BCTC trung thực và hợp lý; nhằm bảo vệ, quản lý và sử dụng cú hiệu quả tài sản của đơn vị. Hệ thống kiểm soỏt nội bộ bao gồm mụi trường kiểm soỏt, hệ thống kế toỏn và cỏc thủ tục kiểm soỏt.
1.1. Đỏnh giỏ rủi ro và kiểm soỏt nội bộ (CM 400)
Rủi ro tiềm tàng: Là rủi ro tiềm ẩn, vốn cú do khả năng từng nghiệp vụ, từng khoản mục trong BCTC chứa đựng sai sút trọng yếu khi tớnh riờng rẽ hoặc tớnh gộp, mặc dự cú hay khụng cú hệ thống kiểm soỏt nội bộ.
Rủi ro kiểm soỏt: Là rủi ro xảy ra sai sút trọng yếu trong từng nghiệp vụ, từng khoản mục trong BCTC khi tớnh riờng rẽ hoặc tớnh gộp mà hệ thống kế toỏn và hệ thống kiểm soỏt nội bộ khụng ngăn ngừa hết hoặc khụng phỏt hiện và sửa chữa kịp thời.
Rủi ro phỏt hiện: Là rủi ro xảy ra sai sút trọng yếu trong từng nghiệp vụ, từng khoản mục trong BCTC khi tớnh riờng rẽ hoặc tớnh gộp mà trong quỏ trỡnh kiểm toỏn, KTV và DNKT khụng phỏt hiện được.
Rủi ro kiểm toỏn: Là rủi ro do KTV và DNKT đưa ra ý kiến nhận xột khụng thớch hợp khi BCTC đó được kiểm toỏn cũn cú những sai sút trọng yếu. Rủi ro kiểm toỏn bao gồm ba bộ phận: rủi ro tiềm tàng, rủi ro kiểm soỏt và rủi ro phỏt hiện.
Đỏnh giỏ rủi ro kiểm toỏn: Là việc KTV và DNKT xỏc định mức độ rủi ro kiểm toỏn cú thể xảy ra là cao hay thấp, bao gồm đỏnh giỏ rủi ro tiềm tàng, rủi ro kiểm soỏt và rủi ro phỏt hiện. Rủi ro kiểm toỏn được xỏc định trước khi lập kế hoạch và trước khi thực hiện kiểm toỏn.
Khi xỏc định phương phỏp tiếp cận kiểm toỏn, KTV phải quan tõm đến những đỏnh giỏ ban đầu về rủi ro tiềm tàng, rủi ro kiểm soỏt để xỏc định mức độ rủi ro phỏt hiện cú thể chấp nhận được cho cơ sở dẫn liệu của BCTC và xỏc định nội dung, lịch trỡnh, phạm vi của cỏc thủ tục cơ bản cho cơ sở dẫn liệu đú.
b) Thử nghiệm kiểm soỏt
Trong giai đoạn thực hiện kiểm toỏn, KTV thực hiện cỏc thử nghiệm kiểm soỏt để thu thập đầy đủ bằng chứng về tớnh hiệu quả của hệ thống kế toỏn và hệ thống kiểm soỏt nội bộ trờn cỏc phương diện:
- Thiết kế: Hệ thống kế toỏn và hệ thống kiểm soỏt nội bộ của đơn vị được thiết kế sao cho cú đủ khả năng ngăn ngừa, phỏt hiện và sửa chữa cỏc sai sút trọng yếu;
- Thực hiện: Hệ thống kế toỏn và hệ thống kiểm soỏt nội bộ tồn tại và hoạt động một cỏch hữu hiệu trong suốt thời kỳ xem xột.
Ngoài cỏc thử nghiệm kiểm soỏt, KTV cú thể thực hiện cỏc thủ tục kiểm toỏn khỏc để thu thập đầy đủ bằng chứng về tớnh hiệu quả của việc thiết kế và thực hiện của hệ thống kế toỏn và hệ thống kiểm soỏt nội bộ, như thu thập bằng chứng thụng qua việc thu thập thụng tin và quan sỏt cỏc hoạt động của cỏc hệ thống này.
c) Cỏc bước thực hiện thử nghiệm kiểm soỏt bao gồm:
- Kiểm tra chứng từ của cỏc nghiệp vụ kinh tế và cỏc sự kiện để thu được bằng chứng kiểm toỏn về hoạt động hữu hiệu của hệ thống kế toỏn và hệ thống kiểm soỏt nội bộ;
- Phỏng vấn, quan sỏt thực tế việc thực hiện chức năng, nhiệm vụ kiểm soỏt của những người thực thi cụng việc kiểm soỏt nội bộ xem cú để lại bằng chứng kiểm soỏt hay khụng;
- Kiểm tra lại việc thực hiện thủ tục kiểm soỏt nội bộ, vớ dụ kiểm tra lại bảng đối chiếu tiền gửi của đơn vị với ngõn hàng, xem xột lại biờn bản kiểm kờ quỹ, kiểm kờ hàng
tồn kho, đối chiếu lại cụng nợ để đảm bảo rằng chỳng cú được đơn vị thực hiện hay khụng.
Trờn cở sở kết quả đỏnh giỏ rủi ro và kiểm soỏt nội bộ, KTV thiết kế và thực hiện cỏc thủ tục kiểm toỏn tương ứng trong thử nghiệm cơ bản.
1.2. Thực hiện kiểm toỏn trong mụi trường tin học (CMKT số 401)
a) Sự cần thiết phải đỏnh giỏ mụi trường tin học
Trong kiểm toỏn BCTC, KTV cần đỏnh giỏ ảnh hưởng của mụi trường tin học lờn quỏ trỡnh kiểm toỏn. Mụi trường tin học cú thể ảnh hưởng đến :
- Cỏc thủ tục KTV ỏp dụng nhằm tỡm hiểu về hệ thống kế toỏn và kiểm soỏt nội bộ; - Việc xỏc định rủi ro tiềm tàng, rủi ro kiểm soỏt và đỏnh giỏ của KTV về rủi ro kiểm toỏn;
- Việc thiết kế và thực hiện cỏc thử nghiệm kiểm soỏt và thử nghiệm cơ bản phự hợp để đạt được mục tiờu kiểm toỏn.
b) Cỏc giai đoạn đỏnh giỏ mụi trường tin học
(1) Khi lập kế hoạch kiểm toỏn BCTC với những mảng cụng việc cú thể chịu ảnh hưởng của mụi trường tin học của khỏch hàng, KTV phải tớnh đến tầm quan trọng và độ phức tạp của hệ thống tin học và tớnh sẵn cú của những dữ liệu tin học cú thể cần cho kiểm toỏn.
(2) Khi đỏnh giỏ rủi ro và kiểm soỏt nội bộ, KTV đỏnh giỏ rủi ro tiềm tàng và rủi ro kiểm soỏt cho cỏc cơ sở dẫn liệu liờn quan đến cỏc khoản mục trờn BCTC doanh nghiệp. Những rủi ro tiềm tàng và rủi ro kiểm soỏt trong mụi trường tin học cú thể cú tỏc động rộng hoặc hẹp đến khả năng cú sai sút trọng yếu trờn số dư một tài khoản hoặc giao dịch trong những tỡnh huống xỏc định.
(3) Khi xỏc định cỏc thủ tục kiểm toỏn trong giai đoạn thực hiện kiểm toỏn, KTV cần xem xột mụi trường tin học nhằm giảm rủi ro kiểm toỏn thấp tới mức cú thể chấp nhận được.
1.3. Cỏc yếu tố cần xem xột khi kiểm toỏn đơn vị cú sử dụng dịch vụ bờn ngoài (CM số 402) (CM số 402)
a) Sự cần thiết
KTV phải đỏnh giỏ ảnh hưởng của cỏc dịch vụ mà tổ chức bờn ngoài cung cấp cho đơn vị được kiểm toỏn liờn quan đến hệ thống kế toỏn và hệ thống kiểm soỏt nội bộ nhằm lập kế hoạch kiểm toỏn và xõy dựng phương phỏp tiếp cận cú hiệu quả.
Tổ chức cung cấp dịch vụ cú thể thiết lập và thực hiện những chớnh sỏch và thủ tục ảnh hưởng đến hệ thống kế toỏn và hệ thống kiểm soỏt nội bộ của đơn vị sử dụng dịch vụ. KTV cần xỏc định phạm vi của cỏc dịch vụ cung cấp bởi một tổ chức bờn ngài và ảnh hưởng của nú đối với cụng tỏc kiểm toỏn.
b) Cỏc yếu tố cần xem xột
- Tớnh chất của cỏc dịch vụ do tổ chức bờn ngoài cung cấp.
- Điều kiện của hợp đồng và mối liờn hệ giữa đơn vị sử dụng dịch vụ và đơn vị cung cấp dịch vụ
- Cỏc cơ sở dẫn liệu BCTC cú tớnh trọng yếu chịu ảnh hưởng bởi việc sử dụng dịch vụ bờn ngoài.
- Cỏc rủi ro tiềm tàng liờn quan đến cỏc cơ sở dẫn liệu nờu trờn.
- Tỏc động qua lại của hệ thống kế toỏn và hệ thống kiểm soỏt nội bộ của đơn vị sử dụng dịch vụ và của đơn vị cung cấp dịch vụ.
- Cỏc thủ tục kiểm soỏt nội bộ của đơn vị sử dụng dịch vụ đối với cỏc giao dịch do tổ chức cung cấp dịch vụ xử lý.
- Năng lực và khả năng về tài chớnh của đơn vị cung cấp dịch vụ.
- Thụng tin về tổ chức cung cấp dịch vụ như thụng tin ghi trờn hướng dẫn người sử dụng và hướng dẫn kỹ thuật.
- Cỏc thụng tin cú sẵn liờn quan đến cỏc kiểm soỏt chung và kiểm soỏt hệ thống tin học liờn quan đến ứng dụng của đơn vị sử dụng dịch vụ.
Trờn cơ sở xem xột cỏc yếu tố nờu trờn, KTV kết luận hoạt động của tổ chức cung cấp dịch vụ khụng ảnh hưởng (hoặc cú ảnh hưởng đỏng kể) lờn đơn vị sử dụng dịch vụ và do đú khụng ảnh hưởng (hoặc cú tỏc động) đến kiểm toỏn. KTV phải thu thập thụng tin về tớnh hữu hiệu của hệ thống kiểm soỏt nội bộ và ấn định rủi ro kiểm soỏt ở mức độ phự hợp.