5) Biểu đồ hệ thống mạng của Ngân hàng XYZ:
2.2.3.2Những đặc trưng cụ thể trong quy trình đánh giá rủi ro kiểm toán tại 2 Công ty
Công ty
• Điểm khác biệt trong việc đánh giá rủi ro kiểm toán trong quá trình lập kế hoạch kiểm toán giữa khách hàng cũ và khách hàng mới tiếp nhận
Xét về bản chất thì quy trình đánh giá rủi ro kiểm toán trong mỗi cuộc kiểm toán nói chung và trong quá trình lập kế hoạch kiểm toán đối với mỗi khách hàng đều phải thống nhất như nhau, đều phải thực hiện các bước đánh giá như trên. Tuy nhiên tùy thuộc vào từng khách hàng mà Giám đốc kiểm toán, người thực hiện quy trình đánh giá sẽ có những điều chỉnh về phạm vi tài liệu tìm kiếm, các thủ tục đánh giá cho phù hợp. Trong báo cáo này ta đã đi tìm hiểu quy trình thực hiện đánh giárủi ro kiểm toán trong giai đoạn lập kế hoạch kiểm toán của 2 khách hàng của công ty là Ngân hàng XYZ – khách hàng cũ và Công ty ABC-Khách hàng mới của Công ty, đặc điểm này đã làm nảy sinh một sự khác biệt trong quy trình đánh giá đối với khách hàng được thể hiện ở việc đánh giá để ra quyết định chấp nhận kiểm toán cho khách hàng. Đây là một bước được Ernst & Young Việt Nam áp dụng với mọi khách hàng, qua đó, các kiểm toán viên mới có thể xác định xem những rủi ro đó có ảnh hưởng đến uy tin của Công ty không? Đối với Ngân hàng XYZ-khách hàng mà Ernst & Young Việt Nam đã thực hiện kiểm toán năm trước, công ty chỉ tìm hiểu những sự thay đổi trong năm của Ngân hàng về cơ cấu tổ chức, nhân sự (giám đốc, trưởng các phòng ban…), dịch vụ, những chính sách tín
dụng của Nhà nước (như Quy định 493 của Ngân hàng Nhà nước…), những biến động kinh tế trong nước và thế giới có ảnh hưởng đến hoạt động của ngân hàng (như sự sụt giảm giá trị của ngoại tệ mạnh là đồng Đô la Mỹ…) và những mục tiêu thực hiện trong năm của Ngân hàng XYZ để xác định được những rủi ro có thể tồn tại trên Báo cáo tài chính của Ngân hàng vì những thông tin cơ bản về Ngân hàng đã được các kiểm toán viên thu thập cho cuộc kiểm toán tiến hành vào năm trước tại Ngân hàng-đây được coi là thông tin cơ sở về khách hàng cho những năm kiểm toán tiếp theo. Hơn nữa trong quá trình thực hiện kiểm toán, các kiểm toán viên sẽ dựa vào những đánh giá rủi ro của cuộc kiểm toán năm ngoái để đánh giá lại những rủi ro có thể phát sinh đối với cuộc kiểm toán năm nay.
Còn đối với Công ty ABC, do là một khách hàng lần đầu Ernst & Young Việt Nam thực hiện kiểm toán, do đó những thông tin về khách hàng gần như không có. Để đánh giá được những rủi ro của khách hàng, các kiểm toán viên phải thu thập đầy đủ những thông tin về khách hàng như năm thành lập, ngành nghề lĩnh vực kinh doanh, sản phẩm cung cấp, số vốn điều lệ, hình thức công ty, địa chỉ, cơ cấu tổ chức bộ máy quản lý, những thông tin về ngành hoạt động, điều kiện phát triển, các nhà cung cấp và khách hàng chủ yếu …của Công ty ABC để xem liệu khách hàng có những yếu tố rủi ro nào có thể làm ảnh hưởng đến uy tín và mang lại rủi ro cho công ty thực hiện kiểm toán hay không?
Như vậy, cùng là thu thập thông tin nhưng đối với Ngân hàng XYZ là thì là sự thu thập những thay đổi trọng yếu của Ngân hàng trong năm 2007, còn đối với Công ty ABC thì thu thập đầy đủ những thông tin ban đầu về công ty.
• Điểm khác biệt trong việc đánh giá rủi ro kiểm toán trong quá trình lập kế hoạch kiểm toán do đặc điểm ngành nghề kinh doanh của từng khách hàng
Điểm khác biệt đầu tiên là ở chỗ XYZ là một ngân hàng Nhà nước lớn, do đặc điểm của ngành nghề hoạt động với sự đa dạng trong dịch vụ cung cấp cho khách hàng nên số lượng nghiệp vụ hàng ngày của Ngân hàng là vô cùng lớn, phức tạp và chứa đựng nhiều rủi ro. Do đó quá trình đánh giá rủi ro kiểm toán trong việc thực hiện kiểm toán tại Ngân hàng phải được thực hiện một cách nghiêm túc và thật tỉ mỉ và cẩn trọng. Còn đối với Công ty ABC, do đặc điểm ngành nghề kinh doanh bản chất có tính rủi ro ít hơn ngành Ngân hàng, các nghiệp vụ của Công ty này chủ yếu liên quan đến việc sản
xuất và bán hàng nên số lượng các nghiệp vụ ít hơn và cũng kém phức tạp hơn. Do đó các thủ tục đánh giá rủi ro đối với khách hàng này tuy vẫn được áp dụng cùng một quy trình nhưng độ phức tạp và số lượng rủi ro cần phải xét đến không lớn như ở Ngân hàng XYZ.
Điểm khác biệt thứ hai, Ngân hàng là ngành hoạt động phức tạp và luôn cần sự hỗ trợ của hệ thống công nghệ thông tin, đặc biệt là đối với Ngân hàng lớn như XYZ thì hệ thống công nghệ thông tin hỗ trợ thống nhất giữa các chi nhánh và hội sở chính của Ngân hàng là một phần không thể thiếu, do đó Ngân hàng này đã áp dụng hệ thống phần mềm SIBS để kiểm soát các hoạt động của mình. Đây là một hệ thống vô cùng phức tạp và là một bộ phận của hệ thống kiểm soát nội bộ của Ngân hàng, do đó Ernst & Young Việt Nam không thể bỏ qua các thủ tục nhằm đánh giá hệ thống này và những rủi ro có thể phát sinh từ hệ thống. Ernst & Young Việt Nam đã áp dụng 2 thủ tục đánh giá:
• Tìm hiểu độ phức tạp của Hệ thống công nghệ thông tin SIBS của Ngân hàng: Công việc này được một bộ phận gồm những nhân viên chuyên về công nghệ thông tin chuyên đi kiểm tra về hệ thống công nghệ thông tin khách hàng của Công ty Ernst & Young Việt Nam thực hiện. Họ sẽ tìm hiểu về công nghệ áp dụng của Khách hàng, cách thức hoạt động, những ứng dụng công nghệ thông tin trong hoạt động của Ngân hàng, cũng như mức độ quan tâm của Ngân hàng đến việc hoàn thiện và phát triển hệ thống công nghệ thông tin.
• Tìm hiểu, thực hiện kiểm tra xuyên suốt, tiến hành kiểm tra chi tiết và đánh giá về những hoạt động kiểm soát công nghệ thông tin của Ngân hàng: Việc này được các kiểm toán viên thực hiện nhằm xem xét các ứng dụng công nghệ thông tin trong mọi hoạt động giao dịch của Ngân hàng có được thực hiện và được kiểm soát chặt chẽ. Mọi sự thay đổi trong hệ thống công nghệ thông tin có được kiểm duyệt, phê chuẩn và có hợp lý không? Việc truy nhập số liệu vào hệ thống có được thực hiện một cách logic hay không?
Còn đối với Công ty ABC do Công ty chỉ sử dụng duy nhất một công nghệ thông tin là phần mềm kế toán Bravo để phục vụ cho hoạt động của phòng Kế toán nên Ernst & Young Việt Nam đã quyết định bỏ qua công đoạn tìm hiểu độ phức tạp của hệ thống công nghệ thông tin vì nếu thực hiện thì sẽ gây tốn chi phí không cần thiết. Tuy nhiên
các kiểm toán viên vẫn thực hiện công đoạn tìm hiểu, thực hiện kiểm tra xuyên suốt, tiến hành kiểm tra chi tiết và đánh giá về những hoạt động kiểm soát về phần mềm Kế toán của công ty, nhưng công đoạn này cũng được thực hiện hết sức giản đơn để phù hợp với sự đơn giản của phần mềm thông tin mà công ty áp dụng.
Như vậy, tùy thuộc vào độ phức tạp của hệ thống thông tin của từng khách hàng mà Ernst & Young Việt Nam có thể quyết định bỏ qua một số bước có thể không cần thiết để tiết kiệm chi phí.