bản chất của bất cứ hệ thống kiểm soát nội bộ nào. Để đánh giá rủi ro kiểm soát, cần xem xét tính hợp lý của các quy chế kiểm soát cũng như kiểm tra việc tôn trọng các biện pháp kiểm soát. Khi không đánh giá và kiểm tra được như trên thì nên giả định rằng rủi ro kiểm soát là cao.
2.2.6. Nghiên cứu hệ thống kiểm soát nội bộ của khách hàng và đánh giá rủi ro kiểm soát. kiểm soát.
Thu thập hiểu biết về hệ thống kiểm soát nội bộ và mô tả chi tiết trên giấy tờ làm việc.
Có nhiều phương pháp tiếp cận để thu thập hiểu biết về hệ thống kiểm soát nội bộ và đánh giá rủi ro kiểm soát, trong đó có hai cách phổ biến là:
Tiếp cận theo khoản mục.
Kiểm toán viên có thể thu thập những hiểu biết về hệ thống kiểm soát nội bộ dựa vào kinh nghiệm trước đây với khách hàng; thẩm vấn nhân viên công ty khách hàng; xem xét các sổ tay về thủ tục và chế độ của công ty khách hàng; kiểm tra các chứng từ và so sánh hoàn tất; quan sát các mặt hoạt động và quá trình hoạt động của công ty khách hàng…
Để mô tả hệ thống kiểm soát nội bộ, có thể sử dụng một trong ba phương pháp hoặc kết hợp cẩ ba phương pháp sau tùy thuộc vào đặc điểm đơn vị được kiểm toán và quy mô kiểm toán: bảng câu hỏi về hệ thống kiểm soát nội bộ (Questionaire), bảng tường thuật (Narretive), lưu đỗ (Flowchart).
Đánh giá ban đầu về rủi ro kiểm soát để lập kế hoạch cho từng khoản mục. Sau khi thu thập được một số hiểu biết về cách thiết kế và sự vận hành của hệ thống kiểm soát nội bộ, kiểm toán viên sẽ đưa ra đánh giá ban đầu về rủi ro kiểm soát cho từng cho từng mục tiêu kiểm soát chi tiết. Công việc này được làm riêng rẽ cho từng loại nghiệp vụ kinh tế chủ yếu trong từng chu trình nghiệp vụ theo các bước sau:
Nhận diện các mục tiêu kiểm soát mà theo đó quá trình đánh giá vận dụng: Trong bước này kiểm toán viên sẽ vận dụng các mục tiêu kiểm toán nội bộ cụ thể cho từng loại nghiệp vụ chủ yếu của công ty. Từ đó có thể đánh giá rủi ro kiểm soát đối với từng khoản mục.
Nhận diện các quá trình kiểm soát đặc thù: Ở bước này, nhất thiết phải xem xét mọi quá trình kiểm toán và chỉ phải nhận diện và phân tích các quá trình kiểm soát chủ yếu ( có khả năng ảnh hưởng lớn nhất đến việc thỏa mãn các mục tiêu kiểm soát ), đảm bảo tính hiệu quả của cuộc kiểm toán.
Nhận diện và đánh giá các nhược điểm của hệ thống kiểm soát nội bộ: Nhược điểm của hệ thống kiểm soát nội bộ là sự vắng mặt của các quá trình kiểm soát thích đáng có khả năng làm tăng rủi ro các sai phạm trên Báo cáo tài chính.
Đánh giá rủi ro kiểm soát: Khi đã nhận diện được quá trình kiểm soát và các nhược điểm của hệ thống kiểm soát nội bộ, bước tiếp theo là đánh giá rủi ro kiểm soát ban đầu đối với từng mục tiêu kiểm soát của từng nghiệp vụ kinh tế. Có thể đánh giá rủi ro theo yếu tố định tính thấp, trung bình, cao hoặc theo tỉ lệ phần trăm.
Theo Chuẩn mực Kiểm toán Việt Nam Số 400 – Đánh giá rủi ro và kiểm soát nội bộ, kiểm toán viên thường đánh giá rủi ro kiểm soát ở mức cao đối với cơ sở dẫn liệu của Báo cáo tài chính trong các trường hợp:
Hệ thống kế toán và hệ thống kiểm soát nội bộ không đầy đủ.
Hệ thống kế toán và hệ thống kiểm soát nội bộ không hiệu quả.
Kiểm toán viên không cung cấp đầy đủ cơ sở để để đánh giá sự đầy đủ và hiệu qua của hệ thống kế toán và hệ thống kiểm toán nội bộ của khách hàng.
Kiểm toán viên thường đánh giá rủi ro kiểm soát ở mức độ không cao đối với cơ sở dữ liệu trên Báo cáo tài chính trong trường hợp:
Kiểm toán viên có đầy đủ cơ sở để kết luận hệ thống kế toán và hệ thống kiểm soát nội bộ được thiết kế có thể ngăn ngừa, phát hiện và sửa chữa các sai sót trọng yếu.
Kiểm có kế hoạch thực hiện thử nghiệm kiểm soát làm cơ sở cho việc đánh giá mức độ rủi ro kiểm soát.
Mức độ rủi ro kiểm soát ban đầu này sẽ được chứng minh bằng việc thực hiện các khảo sát ở gaii đoạn tiếp theo của cuộc kiểm toán trước khi kiểm toán viên đưa ra mức độ rủi ro kiểm soát thích hợp được áp dụng.
Rủi ro phát hiện (DR – Detection Risk )
Rủi ro phát hiện là khả năng xảy ra các sai sót hoặc gian lận trên Báo cáo tài chính mà không được ngăn chặn hay phát hiện bởi hệ thống kiểm soát nội bộ cũng không được kiểm toán viên phát hiện trong quá trình kiểm toán. Mức độ rủi ro phát hiện có quan hệ trực tiếp với phương pháp kiểm toán của kiểm toán viên. Một số rủi ro phát hiện thường xảy ra cho dù có kiểm tra 100% số dư các tài khoản và nghiệp vụ vì:
Kiểm toán viên có thể lựa chọn và áp dụng các phương pháp kiểm toán không phù hợp, điều này thường xẩy ra đối với những kiểm toán mới, thực hiện không hợp lý quy trình kiểm toán cho mỗi phần hành.
Phát hiện ra bằng chứng nhưng không nhận thức được sai sót, nên thường đưa ra kết luận sai về phần đó cũng như Báo cáo tài chính.
Kiểm toán viên thường không phát hiện ra sai sót do có sự thông đồng nhất trí bên trong doanh nghiệp làm sai các chính sách và chế độ do Ban giám đốc đề ra.
Rủi ro phát hiện được xác định từ ba loại rủi ro: Rủi ro kiểm toán mong muốn (DAR), rủi ro tiềm tàng (IR), rủi ro kiểm soát (CR) theo công thức sau:
