II. CÁC MÔ HÌNH RỦI RO KIỂM TOÁN
2.2 Mô hình rủi ro kiểm toán trong kiểm toán kiểm soát nội bộ
2.2.1 Mục tiêu của kiểm toán kiểm soát nội bộ
Trước khi đưa ra mô hình đánh giá rủi ro kiểm toán, cần phải hiểu được bản chất và mục tiêu của kiểm toán kiểm soát nội bộ là như thế nào. Trong phần này, cần làm rõ một số vấn đề sau.
Kiểm toán kiểm soát nội bộ là cách nói tắt của kiểm toán hệ thống kiểm soát nội bộ. Ở đây cần phân biệt giữa kiểm toán nội bộ và kiểm toán hệ thống
kiếm soát nội bộ. Theo liên đoàn Kế toán Quốc tế ( IFAC ), hệ thống kiểm soát nội bộ là một hệ thống chính sách và thủ tục được thiết lập nhằm đạt được bốn mục tiêu sau: bảo vệ tài sản của đơn vị; bảo đảm độ tin cậy của các thông tin; bảo đảm việc thực hiện các chế độ pháp lý và bảo đảm hiệu quả của hoạt động. Ứng với quan điểm trên, có 4 nhân tố tác động tới hệ thống kiểm soát nội bộ : môi trường kiểm soát, hệ thống thông tin; các thủ tục kiểm soát và hệ thống kiểm toán nội bộ. Như vậy, kiểm toán nội bộ là một bộ phận của hệ thống kiểm soát nội bộ. Do đó kiểm toán kiểm soát nội bộ bao gồm cả công việc đánh giá hệ thống kiểm toán nội bộ.
Một diểm đáng lưu ý là mục tiêu của kiểm toán kiểm soát nội bộ không phải là phát hiện ra các sai phạm trọng yếu trên bảng khai tài chính. Mục tiêu của kiểm toán kiểm soát nội bộ là đưa ra ý kiến về tính hiệu quả của hệ thống kiểm soát nội bộ của khách thể kiểm toán. Mặt khác, hệ thống kiểm soát nội bộ không thể được đánh giá là hiệu quả nếu tồn tại một hay nhiều khuyết điểm trọng yếu ( material weakness), nên để có cơ sở đưa ra ý kiến, kiểm toán viên nên lập kế hoạch và tiến hành đánh giá rủi ro để thu thập số lượng các bằng chứng đầy đủ và phù hợp để đưa ra ý kiến. Hơn nữa, khuyết điểm trọng yếu có thể tồn tại ngay cả khi trong các bảng khai tài chính không tồn tại các sai phạm trọng yếu. Như vậy, thực chất mục tiêu của kiểm toán kiểm soát nội bộ là đạt được các bảo đảm hợp lý rằng không có khuyết điểm trọng yếu mà không được phát hiện trong quá trình thiết kế, thực hiện và hiệu quả hoạt động của hệ thống kiểm soát nội bộ của khách thể.
2.2.2. Rủi ro kiểm toán trong kiểm toán kiểm toán kiểm soát nội bộ
Trong kiểm toán kiểm soát nội bộ, một định nghĩa về rủi ro kiểm toán đầu tiên được đưa ra là: “ rủi ro đưa ra một ý kiến không phù hợp về hiệu quả của hệ thống kiểm soát nội bộ”.Như phần trên đã đề cập, mục tiêu của kiểm
toán kiểm soát nội bộ là đạt được một mức độ bảo đảm cao về ý kiến đưa ra khi đánh giá xem hệ thống kiểm soát nội bộ của khách thể có tồn tại những khuyết điểm trọng yếu hay không ( material weakness). Kiểm toán viên không nên đưa một ý kiến không có chất lượng về hệ thống kiểm soát nội bội nếu kiểm toán viên tin rằng có rủi ro khuyết điểm trọng yếu không được phát hiện là không thể giảm thiểu với một mức độ thấp có thể chấp nhận được. Do đó, rủi ro kiểm toán trong kiểm toán kiểm soát nội bộ là rủi ro mà khách thể có những khuyết điểm trọng yếu mà kiểm toán viên không thể phát hiện được.
2.2.3 Nguyên nhân cần thiết phải có một mô hình rủi ro kiểm toán mới.
Kiểm toán kiểm soát nội bộ khác với kiểm toán tài chính. Kiểm toán kiểm soát nội bộ bao gồm các công việc liên quan đến đánh giá một quá trình, trong khi kiểm toán tài chính bao gồm các công việc liên quan đến đánh giá các kết quả đầu ra. Đối với kiểm toán kiểm soát nội bộ, kiểm toán viên không phải thực hiện các thử nghiệm cơ bản trên số dư các khoản mục và loại hình nghiệp vụ. Hơn nữa, thử nghiệm kiểm soát là thử nghiệm đầu tiên được kiểm toán viên thực hiện trong kiểm toán kiểm soát nội bộ.
Với một số điểm khác biệt ở trên và mục tiêu kiểm toán của kiểm soát nội bộ, đặt ra một yêu cầu tất yếu rằng mô hình rủi ro kiểm toán 2.1 ( mô hình được trình bày trong mục 2.1) không trực tiếp phục vụ cho những yêu cầu của kiểm toán kiểm soát nội bộ. Mặc dù mô hình rủi ro kiểm toán 2.1 có bước đánh giá rủi ro kiểm soát nhưng chưa giúp kiểm toán viên đánh giá sâu hơn về hệ thống kiểm soát nội bộ. Hơn nữa, mô hình rủi ro kiểm toán 2.1 được thiết kế để giúp kiểm toán viên xác định phạm vi thử nghiệm cơ bản và thử nghiệm kiểm soát cho việc phát hiện các sai phạm trọng yếu trên bảng khai tài chính, khó vận dụng trong tình huống này khi cần phát hiện ra các khuyết điểm trọng
yếu và có nhiều bước đánh giá không cần thiết đối với kiểm toán kiểm soát nội bộ làm chi phí kiểm toán tăng.
AR = IR x CR x DR
Rủi ro sai phạm trọng yếu => chỉ đối với các bảng khai tài chính, chưa đi sâu phân tích các nhân tố cấu thành nên rủi ro trong hệ thống kiểm soát nội bộ.
Vì những lý do trên, kiểm toán kiểm soát nội bộ cần một mô hình rủi ro kiểm toán giúp kiểm toán viên xác định phạm vi thử nghiệm phù hợp.
2.2.4. Mô hình rủi ro kiểm toán trong kiểm toán kiểm soát nội bộ
Trước khi đưa ra mô hình chúng tôi phân biệt 2 khái niệm cơ bản để tránh gây nhầm lẫn và hiểu lầm. Đó là rủi ro sai phạm trọng yếu ( risk of material misstatement) và rủi ro khuyết điểm trọng yếu ( risk of material wealness )
Rủi ro sai phạm trọng yếu là khả năng kiểm toán viên đưa ra ý kiến không đúng về các sai phạm liên quan đến bảng khai tài chính. Tức là, giả sử kiểm toán , viên đưa ra ý kiến về các bảng khai tài chính là không có sai sót, trong khi thực chất là có tồn tại. Như vậy, rủi ro sai phạm trọng yếu đã xảy ra. Thực chất rủi ro sai phạm trọng yếu chính là sự kết hợp giữa rủi ro tiềm tàng và rủi ro kiểm soát ( IR x CR )
Rủi ro khuyết điểm trọng yếu là khả năng kiểm toán viên đưa ra ý kiến không đúng về các khuyết điểm còn tại tại trong hệ thống kiểm soát nội bộ. Tức là, giả sử kiểm toán , viên đưa ra ý kiến về các khuyết điểm trọng yếu trong hệ thống kiểm soát nội bộ là không tồn tại, trong khi thực chất là có tồn tại. Như vậy, rủi ro khuyết điểm trọng yếu đã xảy ra.
Bản thân hệ thống kiểm soát nội bộ có tồn tại một hay một số các khuyết điểm (nhược điểm ) trọng yếu. Từ đó có thể gây ra các hậu quả khác nhau
trong đó có thể xảy ra sai phạm trọng yếu. Như vậy, các khuyết điểm trọng yếu của hộ thống kiểm soát nội bộ là một trong những nguyên nhân gây ra sai phạm trọng yếu trong các bảng khai tài chính. Khi đánh giá rủi ro các khuyết điểm trọng yếu đòi hỏi kiểm toán viên phải đánh giá hệ thống kiểm soát nội bộ trên nhiều khía cạnh, không đơn thuần chỉ đánh giá những rủi ro có thể xảy ra trên bảng khai tài chính.
Từ những phân tích trên cho thấy, mô hình rủi ro trong kiểm toán kiểm soát nội bộ cần tập vào đánh giá rủi ro các khuyết điểm trọng yếu không được phát hiện hơn là rủi ro các sai phạm trọng yếu. Tuy nhiên, mô hình này không thể chỉ sử dụng rủi ro khuyết điểm trọng yếu không được phát hiện là một thành phần. Vì nếu như vậy, mô hình sẽ trở nên quá đơn giản nhưng phân tích lại gặp khó khăn.
Rủi ro trong kiểm toán kiểm soát nội bội ( AR) = rủi ro các khuyết điểm trọng yếu không được phát hiện ( risk of undetected material weakness)
Mô hình này không cung cấp một khung chương trình chung cho kiểm toán viên xác định phạm vi thử nghiệm bởi vì nó không phân tích các thành phần của rủi ro kiểm toán. Một khách thể có thể có những khuyết điểm trọng yếu khi:
Hệ thống kiểm soát nội bộ không được thiết kế phù hợp cho việc hạn chế các rủi ro tiềm tàng
Hệ thống kiểm soát nội bộ không được thực hiện phù hợp
Sự thiết kế và thực hiện hệ thống kiểm soát nội bộ là không được hoạt động hiệu quả.
Từ đó, một mô hình mới được đưa ra như sau:
AR = f ( CDIR / được cung cấp bổ sung từ IR ; COER / nếu CDI hiệu quả)
Trong đó:
AR ( audit risk in internal control audits) = rủi ro kiểm toán ( mong muốn hoặc đã đạt được ) trong kiểm toán kiểm soát nội bộ khi đưa ra kết luận về hệ thống kiểm soát nội bộ của khách thể không có khuyết điểm trọng yếu trong khi thực sự là có khuyết điểm trọng yếu.
IR ( inherit risk ) = rủi ro tiềm tàng là khả năng xảy ra khuyết điểm trọng yếu cho dù có hoặc không có hệ thống kiểm soát nội bộ
CDIR ( control design and implementation risk ) = rủi ro thiết kế và thực hiện kiểm soát là rủi ro đánh giá của kiểm toán viên về hệ thống kiểm soát nội bộ không được thiết kế và thực hiện phù hợp ( khi đã sáng tỏ về IR) để ngăn chặn hoặc phát hiện và sửa chữa các tập hợp khuyết điểm trọng yếu
CDI = quá trình thiết kế và thực hiện kiểm soát
COER ( control operating effective risk )= rủi ro hiệu quả hoạt động kiểm soát là rủi ro đánh giá của kiểm toán viên hệ thống kiểm soát nội bộ được thiết kế và thực hiện phù hợp nhưng không phát huy hiệu quả đầy đủ để ngăn chặn hoặc phát hiện và sửa chữa các khuyết điểm trọng yếu.
Kiểm toán viên có thể đánh giá CDIR và COER trong bước lập kế hoạch kiểm toán để đánh giá mức độ rủi ro kiểm toán mong muốn và đánh giá lại vào cuối giai đoạn thực hiện kiểm toán để đánh giá mức độ rủi ro kiểm toán đạt được.
Sau đây, chúng tôi sẽ phân tích sâu hơn về vai trò của các yếu tố trong mô hình
Vai trò của rủi ro tiềm tàng ( IR)
Rủi ro tiềm tàng là rủi ro sai phạm trọng yếu nếu như không có hệ thống kiểm soát. Nếu rủi ro này thấp, cho dù hệ thống kiểm soát có kém thế nào đi nữa thì rủi ro khuyết điểm trọng yếu cũng thấp. Điều này xảy ra bởi vì với sai phạm trọng yếu mà kiểm soát nội bộ sẽ không thể phát hiện hoặc ngăn chặn
và sửa chữa nó ( rủi ro tiềm tàng xuất hiện ) thì tức là có tồn tại khuyết điểm trong hệ thống kiểm soát nội bộ. Vấn đề ở đây là các khuyết điểm có trọng yếu hay không thì còn phụ thuộc vào quy mô và mức độ ảnh hưởng của các sai phạm trọng yếu. Với IR thấp thì sai phạm trọng yếu khó xảy ra, và do đó rủi ro khuyết điểm trọng yếu là thấp. Tuy nhiên trong thực tế IR thường không thấp ( cách đánh giá IR tương tự như trong mô hình 2.1). Ta nhận thấy rằng: IR cao thì hệ thống kiểm soát cần được thiết kế và thực hiện tốt hơn, trong khi IR thấp thì yêu cầu đó có thể được giảm xuống. Do đó khi đánh giá CDIR nhất thiết phải kết hợp đánh giá cả IR của khách thể.
Vai trò của COER
Kiểm toán sử dụng COER để xác định phạm vi thủ tục kiểm soát. Do đó, chức năng của nó tương tự như chức năng của rủi ro phát hiện ( CR trong mô hình 2.1) và được đánh giá gần tương tự như vậy. Kiểm toán viên sử dụng 1 – COER để xác định mức độ bảo đảm cần thiết cho các thủ tục kiểm soát.
Mô hình nêu bật quan điểm rằng: kiểm toán viên chỉ thực hiện các thử nghiệm kiểm soát nếu như theo đánh giá CDIR thì hệ thống kiểm soát được thiết kế và thực hiện phù hợp. Nếu như hệ thống kiểm soát được thiết kế và thực hiện không phù hợp thì kiểm toán viên không cần phải xác định COER nữa và thực hiện các thử nghiệm cơ bản để phát hiện các khuyết điểm trọng yếu trong hệ thống kiểm soát.
Mô hình trên là cơ sở cho các mục tiêu phát triển nhận thức cho kiểm toán kiểm soát nội bộ trong tương lai. Kiểm toán viên có thể mở rộng mô hình và phân tích sâu hơn với nhiều yếu tố thành phần trong đó cần đặc biệt quan tâm tới môi trường kiểm soát (được thể hiện rất rõ trong ISA 315 – identifying and assesing the risks of material misstatement through understanding the entity and its environment – xác định và đánh giá rủi ro sai phạm trọng yếu thông qua hiểu biết về thực thể và môi trường của nó)
2.3.Mô hình rủi ro kiểm toán trong kiểm toán liên kết
Khái niệm kiểm toán liên kết có thể được hiểu theo nhiệu khía cạnh khác nhau.Trong phạm vi nghiên cứu này, chúng tôi xây dựng mô hình rủi ro cho kiểm toán liên kết – tức là một cuộc kiểm toán kết hợp giữa kiểm toán bảng khai tài chính và kiểm toán kiểm soát nội bộ.
2.3.1 Nguyên nhân cần thiết lập một mô hình rủi ro kiểm toán mới.
Mô hình rủi ro kiểm toán 2.1 đã cung cấp một khung mẫu về quan điểm và nhận thức cho kiểm toán các bảng khai tài chính hơn 40 năm. Mặc dù, có những khó khăn thực tế trong việc thực hiện và những phê bình về cơ sở lý thuyết của nó, nhưng công bằng mà nói thì mô hình 2.1 có hiệu quả trong việc giúp các kiểm toán viên phân tích rủi ro và sử dụng các phân tích đó để xây dựng nội dung, lịch trình và phạm vi thực các thủ tục kiểm toán trong kiểm toán tài chính. Mô hình rủi ro kiểm toán cung cấp một khung mẫu về nhận thức cho các chuẩn mực đánh giá rủi ro kiểm toán.
Trong những năm gần đây, nhiều kiểm toán viên đã gặp khó khăn khi áp dụng mô hình 2.1 vào kiểm toán hệ thống kiểm soát nội bộ - thường được kết hợp với kiểm toán tài chính. Như vậy một cuộc kiểm toán liên kết là sự thỏa thuận / cam kết về việc kiểm toán viên cung cấp / đưa ra ý kiến về hiệu quả của kiểm soát nội bộ và các bảng khai tài chính. Vấn đề ở đây là các kiểm toán viên phải làm thế nào để sử dụng các thủ tục giống nhau mà lại đạt được cả hai mục tiêu trên.
Mặt khác, có một thực tế là chi phí cho các cuộc kiểm toán liên kết thường cao hơn kiểm toán tài chính. Rõ ràng, khi chỉ cần phải đưa ra ý kiến về các bảng khai tài chính trong kiểm toán tài chính thì với kiểm toán liên kết, các kiểm toán viên phải đưa thêm ý kiến về hệ thống kiểm soát nội bộ.Thêm vào đó, trong kiểm toán tài chính cũng cần phải đánh giá hệ thống kiểm soát
nội bộ của khách thể nhưng ở mức độ không cụ thể bằng kiểm toán liên kết. Do đó kiểm toán liên kết cần thu thập nhiều bằng chứng hơn để đưa ra các kết luận phù hợp. Tất nhiên, chi phí cho kiểm toán sẽ tăng lên. Từ đây, ta cũng nhận thấy rằng việc thiếu một mô hình chuẩn để đánh giá rủi ro cho kiểm toán liên kết cũng góp phần làm chi phí kiểm toán cao hơn.
Hiện nay mô hình rủi ro kiểm toán cho kiểm toán liên kết vẫn chưa được ghi nhận rõ ràng trong các chuẩn mực kiểm toán hoặc các lý thuyết về kiểm toán. Nhu cầu xây dựng một mô hình mới là cần thiết để xác định phạm vi thực hiện các thử nghiệm kiểm soát và thử nghiệm cơ bản một cách phù hợp mà vẫn đạt được cả hai mục tiêu của kiểm toán liên kết. Mô hình mới giúp kiểm toán viên tránh được tiến hánh quá nhiều các thủ tục mà không có hiệu quả.
2.3.2 Mô hình rủi ro kiểm toán trong kiểm toán liên kết.
Trong kiểm toán liên kết này, chúng tôi đề xuất sử dụng cả hai mô hình rủi ro kiểm toán 2.1 và mô hình 2.2 ( được nêu rõ trong mục 2.1.1 và 2.2.4). Kiểm toán viên sẽ sử dụng kết quả từ mô hình 2.3 là đầu vào cho mô hình 2.1. Đầu tiên, kiểm toán viên sử dụng mô hình 2.3 làm cơ sở để quyết định phạm vi của các thử nghiệm kiểm soát. Sau đó, kiểm toán viên sử dụng 2.1 để xác