5. Đánh giá tính trọng yếu và rủi ro
5.2 Đánh giá rủi ro kiểm toán
Chuẩn mc Kiểm toán Quốc tế ISA 400 - Đánh giá rủi ro và kiểm soát nội bộ nêu rằng: Rủi ro kiểm toán là rủi ro mà chuyên gia kiểm toán đ“ a ra một ý kiến không đúng cho những sai sót trọng yếu trong Báo cáo tài chính. Rủi ro này đợc chia thành ba mức: Rủi ro tiềm tàng, rủi ro kiểm soát và rủi ro phát hiện .” [2;1]
Theo định nghĩa trong Chuẩn mực Kiểm toán Việt Nam số 400 - Đánh giá rủi ro và kiểm soát nội bộ: “Rủi ro kiểm toán là rủi ro do công ty kiểm toán và kiểm toán viên đa ra ý kiến nhận xét không thích hợp khi Báo cáo tài chính đã đợc kiểm toán còn có những sai sót trọng yếu. Rủi ro kiểm toán bao gồm ba bộ phận: rủi ro tiềm tàng, rủi ro kiểm soát và rủi ro phát hiện”.[7;2]
5.2.1 Rủi ro kiểm toán mong muốn (DAR Desire Audit Risk)–
Rủi ro kiểm toán mong muốn là rủi ro đợc xác định một cách chủ quan. Đó là mức độ mà kiểm toán viên sẵn sàng chấp nhận là Báo cáo tài chính có thể có sai sót trọng yếu sau khi cuộc kiểm toán hoàn thành và đã đi đến ý kiến chấp nhận toàn phần. Khi kiểm toán viên quyết định một tỷ lệ rủi ro thấp hơn có, điều này có nghĩa là kiểm toán viên muốn đợc chắc chắn hơn là Báo cáo tài chính không bị sai phạm trọng yếu.Mức rủi ro này đợc xác định phụ thuộc vào hai yếu tố sau:
- Mức độ mà theo đó ngời sử dụng bên ngoài tin tởng vào Báo cáo tài chính: khi những ngời sử dụng bên ngoài đặt nhiều niềm tin vào Báo cáo tài chính thì kiểm toán viên cần xác định một mức rủi ro kiểm toán thấp, từ đó tằn số lợng bằng chứng kiểm toán thu thập và tăng độ chính xác trong kết luận đa ra của mình.
- Khả năng khách hàng gặp khó khăn về tài chính sau khi báo cáo kiểm toán công bố: nếu khả năng này cao thì kiểm toán viên phải thiết lập một mức rủi ro kiểm toán mong muốn thấp hơn so với khách hàng không gặp khó khăn về tài chính, từ đó tăng số lợng bằng chứng kiểm toán phải thu thập. Điều này dẫn đến chi phí kiểm toán tăng lên để giảm thiểu các khả năng các vụ kiện mà kiểm toán viên và công ty kiểm toán phải đơng đầu trong tơng lai.Việc dự đoán những thất bại tài chính của khách hàng trong tơng lai là khó khăn. Tuy nhiên kiểm toán viên có thể dựa vào các cơ sở sau đây để phán đoán sự kiện này: khả năng hoán chuyển thành tiền mặt, các khoản lãi (lỗ) trong các năm trớc, các biện pháp nhằm gia tăng quá trình tài trợ, bản chất công việc kinh doanh của khách hàng.
Căn cứ vào các yếu tố trên kiểm toán viên sẽ xác định một mức rủi ro kiểm toán mong muốn cho toàn bộ các Báo cáo tài chính đợc kiểm toán.
Chuyên đề tốt nghiệp Trần Thị Hờng - Kiểm toán 41 Rủi ro kiểm toán mong muốn và bằng chứng kiểm toán có mối quan hệ tỷ lệ nghịch.
5.2.2 Đánh giá rủi ro tiềm tàng (IR Inherent Risk)–
Đoạn 4, Chuẩn mực Kiểm toán Quốc tế ISA 400 - Đánh giá rủi ro và kiểm soát nội bộ, định nghĩa: “Rủi ro tiềm tàng là khả năng số d của một tài khoản trong Báo cáo tài chính có chứa đựng những sai sót trọng yếu khi tính riêng biệt hoặc tính gộp với các sai sót trong các tài khoản khác, dù có hay không có kiểm soát nội bộ .” [4;1]
Theo Chuẩn mực Kiểm toán Việt Nam số 400 - Đánh giá rủi ro và kiểm soát nội bộ: “Rủi ro tiềm tàng là rủi ro tiềm ẩn, vốn có do khả năng từng nghiệp vụ, từng khoản mục trong Báo cáo tài chính chứa đựng sai sót trọng yếu khi tính riêng rẽ hoặc tính gộp, mặc dù có hay không có hệ thống kiểm soát nội bộ .” [4;2]
Rủi ro tiềm tàng nằm trong chức năng hoạt động kinh doanh của doanh nghiệp, trong môi trờng kinh doanh cũng nh trong bản chất số d các tài khoản hoặc các loại nghiệp vụ kinh tế. Do vậy, khi đánh giá rủi ro cố hữu kiểm toán viên phải dựa vào các yếu tố ảnh hởng sau:
-Bản chất kinh doanh của khách hàng
-Đặc điểm hoạt động của đơn vị:cơ cấu tổ chức, mục tiêu kinh doanh, cơ cấu nhân sự chủ chốt của khách hàng, quy mô sản xuất, phơng pháp sản xuất, quy trình công nghệ, tình hình tài chính của khách hàng, chính sách kế toán, yêu cầu về báo cáo
-Tính chính trực của BanGiám đốc -Kết quả các lần kiểm toán trớc
- Hợp đồng kiểm toán lần đầu và hợp đồng kiểm toán dài hạn - Các nghiệp vụ kinh tế không thờng xuyên
- Các ớc tính kế toán
- Quy mô của các số d tài khoản
-Các nhân tố bên ngoài ảnh hởng đến hoạt động kinh doanh của khách hàng Kiểm toán viên cần cân nhắc lần lợt các yếu tố trên và quyết định mức rủi ro tiềm tàng thích hợp đối với từng khoản mục trên Báo cáo tài chính. Rủi ro tiềm tàng có quan hệ tỷ lệ thuận với bằng chứng kiểm toán.
Chuyên đề tốt nghiệp Trần Thị Hờng - Kiểm toán 41 Đoạn 5, Chuẩn mực Kiểm toán Quốc tế ISA 400 - Đánh giá rủi ro và kiểm soát nội bộ, nêu rõ: “Rủi ro kiểm soát là rủi ro trong đó một sai sót trọng yếu trong một tài khoản trong Báo cáo tài chính, riêng biệt hay gộp với các sai sót trong những tài khoản khác, đã không đợc hệ thống kế toán và hệ thống kiểm soát nội bộ ngăn ngừa hoặc phát hiện và sửa chữa kịp thời trong thời gian mong muốn .” [5;1]
Theo Chuẩn mực Kiểm toán Việt nam số 400 - Đánh giá rủi ro và kiểm soát nội bộ: “Rủi ro kiểm soát là rủi ro xảy ra sai sót trọng yếu trên Báo cáo tài chính khi tính riêng rẽ hoặc tính gộp mà hệ thống kế toán và hệ thống kiểm soát nội bộ không ngăn ngừa hết đợc hoặc không phát hiện và sửa chữa kịp thời .” [5;2]
Rủi ro kiểm soát sẽ luôn xuất hiện và khó tránh khỏi do những hạn chế có tính bản chất của bất cứ hệ thống kiểm soát nội bộ nào. Để đánh giá rủi ro kiểm soát, kiểm toán viên cần xem xét tính hợp lý của các quy chế kiểm soát cũng nh kiểm tra việc tôn trọng các biện pháp kiểm soát. Khi không đánh giá và kiểm tra đợc nh trên thì kiểm toán viên nên giả định rằng rủi ro kiểm soát là cao.
Sơ đồ 1.3: Khái quát việc nghiên cứu hệ thống kiểm soát nội bộ của khách hàng và quá trình đánh giá rủi ro kiểm toán trong kiểm toán Báo cáo tài chính
Lập kế
hoạch Không thể kiểm toán kiểm toán Có 3 khả năng Không Thể Giảm
Nguồn: Đánh giá hệ thống kiểm soát nội bộ, Kiểm toán tài chính - ĐHKTQD
Đạt được hiểu biết về HKSNB của khách hàng đủ để lập kế toán BCTC
Đánh giá xem liệu các BCTC có thể kiểm toán được hay không?
Quy trình đánh giá rủi ro kiểm soát
Mức được chứng minh bằng sự hiểu biết đã có
ý kiến từ chối hoặc “ ”
rút ra khỏi hợp đồng
Mức
tối đa Mức thấp hơn khả dĩ có
thể chứng minh được
Lập kế hoạch và thực hiện các thử nghiệm kiểm soát
Xác định liệu mức đánh giá về rủi ro kiểm soát có được giảm hơn từ kết quả các thử nghiệm kiểm soát hay không Rủi ro kiểm soát tăng hơn so với
mức đánh giá ban đầu hoặc ở mức tối đa. Rủi ro phát hiện giảm xuống và phải lập các trắc nghiệm kiểm toán để thoả mãn mức rủi ro phát hiện thấp hơn này
Rủi ro kiểm soát giảm xuống, rủi ro phát hiện tăng lên và phải lập kế hoạch các trắc nghiệm kiểm toán để thoả mãn mức rủi ro phát hiện tăng lên này
Mở rộng sự hiểu biết nếu thấy cần thiết
5.2.3.1 Thu thập hiểu biết về hệ thống kiểm soát nội bộ và mô tả chi tiết trên giấy tờ làm việc
Chuẩn mực Kiểm toán Việt Nam số 400 - Đánh giá rủi ro và kiểm soát nội bộ, quy định: “Kiểm toán viên phải có đủ hiểu biết về hệ thống kế toán và hệ thống kiểm soát nội bộ của khách hàng để lập kế hoạch kiểm toán tổng thể và chơng trình kiểm toán thích hợp, có hiệu quả... Khi tìm hiểu hệ thống kế toán và hệ thống kiểm soát nội để lập kế hoạch kiểm toán, kiểm toán viên sẽ hiểu biết đợc việc thiết kế và thực hiện của hệ thống kế toán và hệ thống kiểm soát nội bộ của khách hàng”.[2,20;2]
Trong giai đoạn này, kiểm toán viên tìm hiểu về kiểm soát nội bộ của đơn vị khách hàng trên hai mặt chủ yếu: Thiết kế kiểm soát nội bộ về quy chế kiểm soát và thiết kế về bộ máy kiểm soát; hoạt động liên tục và có hiệu lực của kiểm soát nội bộ.
Phơng pháp tiếp cận: có nhiều phơng pháp tiếp cận để thu thập hiểu biết về hệ thống kiểm soát nội bộ và đánh giá rủi ro kiểm soát, trong đó có hai cách phổ biến nh sau:
- Phơng pháp tiép cận theo khoản mục: cách làm này dễ thực hiện do tiếp cận với từng khoản mục cá biệt.
-Phơng pháp tiếp cận theo chu trình nghiệp vụ: theo phơng pháp này kiểm toán viên xem xét các chính sách, thủ tục kiểm soát đến từng chu trình nghiệp vụ (chu trình đầu t tài chính, chu trình mua hàng và thanh toán, chu trình tiền lơng và nhân viên...)
Thể thức để đạt đợc sự hiểu biết về hệ thống kiểm soát nội bộ:
- Dựa vào kinh nghiệm trớc đây của kiểm toán viên với khách hàng. -Thẩm vấn nhân viên công ty khách hàng.
- Xem xét các sổ tay về thủ tục và chế độ của công ty khách hàng. - Kiểm tra các chứng từ và sổ sách đã hoàn tất.
- Quan sát các mặt hoạt động và quá trình hoạt động của công ty khách hàng. Trong trờng hợp công ty khách hàng đã đợc kiểm toán bởi một công ty kiểm toán khác, kiểm toán viên có thể đề nghị với công ty khách hàng cho phép liên lạc với công ty kiểm toán đó để thu thập thêm thông tin, đặc biệt là những thông tin về sự thay đổi trong hệ thống kiểm soát nội bộ và những sai phạm đáng lu ý của kỳ kiểm
toán năm trớc để đề phòng những sai phạm đó tái hiện trong năm kiểm toán hiện hành.
Mô tả hệ thống kiểm soát nội bộ:
Để mô tả hệ thống kiểm soát nội bộ, kiểm toán viên sử dụng một trong ba phơng pháp hoặc kết hợp cả ba phơng pháp sau tuỳ thuộc vào đặc điểm đơn vị đợc kiểm toán và quy mô kiểm toán:
- Bảng câu hỏi về hệ thống kiểm soát nội bộ (Questionaire) - Bảng tờng thuật (Narretive)
-Lu đồ (Flowchart)
Việc sử dụng kết hợp bảng câu hỏi, lu đồ, với bảng tờng thuật sẽ giúp kiểm toán viên hiểu biết tốt hơn về hệ thống kiểm soát nộ bộ của đơn vị khách hàng. Trong thực tế, kiểm toán viên thờng sử dụng kết hợp các hình thức này để cung cấp cho kiểm toán viên hình ảnh rõ nét nhất về hệ thống kiểm soát nội bộ.
5.2.3.2 Đánh giá ban đầu về rủi ro kiểm soát để lập kế hoạch cho từng khoản mục Đoạn 22, Chuẩn mực Kiểm toán Quốc tế ISA 400 - Đánh giá rủi ro và kiểm soát nội bộ, quy định: “Sau khi hiểu đợc hệ thống kế toán và kiểm soát nội bộ chuyên gia kiểm toán phải thực hịên đánh giá ban đầu về rủi ro kiểm soát theo các cơ sở dẫn liệu cho số d của mỗi tài khoản trọng yếu .” [22;1]
Theo Chuẩn mực Kiểm toán Việt Nam số 400 - Đánh giá rủi ro và kiểm soát nội bộ: “ Dựa trên sự hiểu biết về hệ thống kế toán và hệ thống kiểm soát nội bộ, kiểm toán viên và công ty kiểm toán phải đánh giá ban đầu về rủi ro kiểm soát đối với cơ sở dẫn liệu cho từng số d tài khoản hoặc các nghiệp vụ kinh tế chủ yếu .” [28;2]
Nh vậy, sau khi thu thập đợc một sự hiểu biết về cách thiết kế và sự vận hành của hệ thống kiểm soát nội bộ, kiểm toán viên sẽ đa ra đánh giá ban đầu về rủi ro kiểm soát cho từng mục tiêu kiểm soát chi tiết. Công việc này đợc làm riêng rẽ cho từng loại nghiệp vụ kinh tế chủ yếu trong từng chu trình nghiệp vụ theo các bớc sau đây:
-Nhận diện các mục tiêu kiểm soát mà theo đó quá trình đánh giá vận dụng: Trong bớc này kiểm toán viên sẽ vận dụng các mục tiêu kiểm soát nội bộ cụ thể cho từng loại nghiệp vụ chủ yếu của công ty mà theo đó có thể đánh giá rủi ro kiểm soát đối với từng khoản mục.
- Nhận diện các quá trình kiểm soát đặc thù:
ở bớc này, kiểm toán viên không nhất thiết phải xem xét mọi quá trình kiểm soát mà chỉ phải nhận diện và phân tích các quá trình kiểm soát chủ yếu (có khả năng ảnh hởng lớn nhất đến việc thoả mãn các mục tiêu kiểm soát), đảm bảo tính hiệu quả cho cuộc kiểm toán.
- Nhận diện và đánh giá các nhợc điểm của hệ thống kiểm soát nội bộ:
Nhợc điểm của hệ thống của hệ thống kiểm soát nội bộ là sự vắng mặt của các quá trình kiểm soát thích đáng mà điều này sẽ làm tăng khả năng rủi ro của việc tồn tại các sai phạm trên Báo cáo tài chính.
-Đánh giá rủi ro kiểm soát:
Khi đã nhận diện đợc quá trình kiểm soát và các nhợc điểm của hệ thống kiểm soát nội bộ, kiểm toán viên tiến hành đánh giá rủi ro kiểm soát ban đầu đối với từng mục tiêu kiểm soát của từng nghiệp vụ kinh tế. Kiểm toán viên có thể đánh giá rủi ro theo yếu tố định tính thấp, trung bình, cao hoặc theo tỷ lệ phần trăm.
Theo Chuẩn mực Kiểm toán Việt Nam số 400 - Đánh giá rủi ro và kiểm soát nội bộ, “Kiểm toán viên thờng đánh giá rủi ro kiểm soát ở mức cao đối với cơ sở dẫn liệu của Báo cáo tài chính trong trờng hợp:
- Hệ thống kế toán và hệ thống kiểm soát nội bộ không đầy đủ. - Hệ thống kế toán và hệ thống kiểm soát nội bộ không hiệu quả.
- Kiểm toán viên không đợc cung cấp đầy đủ cơ sở để đánh giá sự đầy đủ và hiệu quả của hệ thống kế toán và hệ thống kiểm soát nội bộ của khách hàng
Kiểm toán viên thờng đánh giá rủi ro kiểm soát ở mức độ không cao đối với cơ sở dẫn liệu trên Báo cáo tài chính trong trờng hợp:
- Kiểm toán viên có đủ cơ sở để kết luận hệ thống kế toán và hệ thống kiểm soát nội bộ đợc thiết kế có thể ngăn ngừa, phát hiện và sửa chữa các sai sót trọng yếu.
- Kiểm toán viên có kế hoạch thực hiện thử nghiệm kiểm soát làm cơ sở cho việc đánh giá mức độ rủi ro kiểm soát”.[28;2]
Mức độ rủi ro kiểm soát ban đầu này sẽ đợc chứng minh bằng việc thực hiện các khảo sát ở giai đoạn tiếp theo của cuộc kiểm toán trớc khi kiểm toán viên đa ra mức độ rủi ro kiểm soát thích hợp đợc áp dụng.
5.2.4 Rủi ro phát hiện (DR Detection Risk)–
Chuẩn mực kiểm toán Quốc tế ISA 400 - Đánh giá rủi ro và kiểm soát nội bộ, định nghĩa: “Rủi ro phát hiện là rủi ro trong đó những kiẻm soát chi tiết do chuyên gia kiểm toán thực hiện cũng đã không phát hiện ra những sai sót trọng yếu trong một tài khoản trong Báo cáo tài chính khi nằm riêng biệt hay khi gộp với những sai sót trong những tài khoản khác .” [6;1]
Theo Chuẩn mực Kiểm toán Việt Nam số 400 - Đánh giá rủi ro và kiểm soát nội bộ: “Rủi ro phát hiện là rủi ro xảy ra sai sót trọng yếu trên Báo cáo tài chính khi tính riêng rẽ hoặc tính gộp mà trong quá trình kiểm toán, kiểm toán viên và công ty