3.2.3.1. Xây dụng kế hoạch kiểm toán dựa trên đánh giá rủi ro
Yêu cầu của kế hoạch kiểm toán là: Kế hoạch kiểm toán phải được lập một cách thích hợp nhằm đảm bảo bao quát hết các khía cạnh trọng yếu của cuộc kiểm toán; phát hiện gian lận, rủi ro và những vấn đề tiềm ẩn; và đảm bảo cuộc kiểm toán được hoàn thành đúng thời hạn. Kế hoạch kiểm toán giúp cho việc triển khai kiểm toán chủ động. Có thể nói trong các bước của quy trình kiểm toán trên cơ sở đánh giá rủi ro thì bước lập kế hoạch được xem là bước khởi đầu và quan trọng nhất điều đó được thể hiện trong chuẩn mực cũng như thực tiễn áp dụng cụ thể như sau:
Theo chuẩn mực kiểm toán của IIA yêu cầu việc ghi chép đánh giá rủi ro phải được thực hiện trong bước lập kế hoạch kiểm toán.
Chuẩn mực kiểm toán Việt Nam Số 400 (VSA 400) nêu rõ “Kiểm toán viên phải có đủ hiểu biết về hệ thống kế toán và hệ thống kiểm soát nội bộ của khách hàng để lập kế hoạch kiểm toán tổng thể và chương trình kiểm toán thích hợp, có hiệu quả. Kiểm toán viên phải sử dụng khả năng xét đoán chuyên môn của mình để đánh giá rủi ro kiểm toán và xác định các thủ tục
92
kiểm toán nhằm giảm các rủi ro kiểm toán xuống thấp tới mức có thể chấp nhận được”.
Theo thông lệ chung thì các NHTW thường xây dựng kế hoạch kiểm toán trung và dài hạn 3 năm và 5 năm trên cơ sở đánh giá rủi ro làm cơ sơ để lập kế hoạch kiểm toán hàng năm. Kế hoạch kiểm toán hàng năm cần đặt trong bối cảnh kế hoạch kiểm toán trung và dài hạn và sắp xếp các đơn vị, hệ thống /quy trình/nghiệp vụ sẽ thực hiện kiểm toán theo thứ tự mức độ rủi ro từ cao xuống thấp. Tuy nhiên, với điều kiện của Việt Nam hiện nay thì nhiệm vụ lập kế hoạch kiểm toán trung, dài hạn gặp nhiều khó khăn do cơ sở dữ liệu về rủi ro, quản trị rủi ro NHTW đang chưa được thiết lập đầy đủ như đã nêu ở trên. Do đó, trước mắt, NHNN Việt Nam cần tập trung xây dựng kế hoạch kiểm toán hàng năm trên cơ sở rủi ro, từng bước tạo điều kiện tiền đề cho việc xây dựng kế hoạch trung và dài hạn trong tương lai... Đánh giá rủi ro là điểm xuất phát của quy trình lập kế hoạch kiểm toán. Quy trình đánh giá rủi ro là quy trình phát hiện và phân tích những rủi ro liên quan đến thực hiện các mục tiêu của đơn vị, tạo cơ sở cho việc xác định cách thức quản lý các rủi ro đó. Muốn đánh giá rủi ro phải có môi trường và phương pháp đánh giá trong đó trách nhiệm tự kiểm soát rủi ro của các đơn vị được xác định rõ ràng. NHNN phải triển khai hệ thống quản lý rủi ro như đã trình bày ở trên. Kết quả tự kiểm soát đánh giá rủi ro của mỗi đơn vị và kết quả phân tích, đánh giá rủi ro của Phòng đánh giá rủi ro và kiểm soát chất lượng kiểm toán là kênh thông tin quan trọng phục vụ đánh giá rủi ro của bộ phận lập kế hoạch kiểm toán.
Một số nội dung cụ thể trong đánh giá rủi ro lập kế hoạch kiểm toán của Vụ Kiểm toán nội bộ như sau:
* Xây dựng danh mục đối tượng kiểm toán
Để lập kế hoạch kiểm toán cần phải xây dựng danh mục đối tượng kiểm toán, danh mục đối tượng kiểm toán bao gồm tất cả các đối tượng kiểm
toán dự kiến. Các đối tượng kiểm toán bao gồm các Chi nhánh, Vụ, Cục và Quy trình, nghiệp vụ, hệ thống liên quan đến nhiều Vụ, Cục. Trên cơ sở danh mục đối tượng kiểm toán sẽ tiến hành xác định các rủi ro phù hợp với các đơn vị được kiểm toán. Hiện tại thì danh mục rủi ro hay còn gọi là hồ sơ rủi ro (Phụ lục 01) chưa được NHNN Việt Nam xây dựng. Trong trường hợp chưa có danh mục rủi ro thì Phòng đánh giá rủi ro thuộc Vụ Kiểm toán nội bộ xây dựng một danh mục rủi ro để hỗ trợ và phục vụ công tác lập kế hoạch kiểm toán. Danh mục rủi ro được xây dựng dựa trên mục tiêu của các đối tượng được kiểm toán.
* Nguyên tắc của quy trình đánh giá và xếp hạng rủi ro đó là:
+ Việc đánh giá rủi ro và xếp hạng rủi ro được thực hiện tại tất cả các Chi nhánh, Vụ, Cục và quy trình nghiệp vụ.
+ Cần xếp hạng mức độ rủi ro của các hoạt động bên trong từng Vụ, Cục, NHTW, công việc xếp hạng rủi ro phải được rà soát thường xuyên mỗi khi có sự thay đổi, bổ sung chức năng, nhiệm vụ của đơn vị, sự thay đổi quy trình nghiệp vụ, quy trình quản lý và sự thay đổi về nhân sự cán bộ chủ chốt.
+ Việc phân loại rủi ro theo các mức độ: cao, trung bình, thấp phải được sử dụng thường xuyên.
Đánh giá mức độ ảnh hưởng và khả năng xảy ra rủi ro:Vụ Kiểm toán nội bộ phải tính toán, đánh giá khả năng xảy ra và mức độ ảnh hưởng đối với từng rủi ro trên cơ sở ước tính các tổn thất, thiệt hại về tiền, tài sản, con người và uy tín của NHNN, dự đoán xu hướng biến thiên của rủi ro có thể tăng hoặc giảm.
* Sử dụng phương pháp cho điểm để đánh giá rủi ro cụ thể như sau:
Kiểm toán trên cơ sở rủi ro đòi hỏi KTV phải hiểu các khái niệm, thuật ngữ và bản chất về quản lý rủi ro. KTV phải hiểu và mô tả được hệ thống, quy trình, nghiệp vụ để đánh giá mức độ rủi ro tiềm tàng của đối tượng kiểm toán;
94
hiểu biết về hệ thống kiểm soát nội bộ của đơn vị để đánh giá mức độ rủi ro kiểm soát, mức độ rủi ro có thể được đo lường bằng phương pháp cho điểm. Tuy nhiên, cách cho điểm để đánh giá mức rủi ro là công việc mang tính chủ quan nghề nghiệp.
- Đối với các đơn vị Chi nhánh: Các Chi nhánh thường có đặc thù hoạt động và chức năng, nhiệm vụ tương tự nhau thực hiện đánh giá mức độ rủi ro dựa trên các tiêu chí như sau:
+Quy mô hoạt động của Chi nhánh;
+ Sự thay đổi về cơ cấu tổ chức và lãnh đạo đơn vị: thông thường do mới bổ nhiệm, miễn nhiệm;
+ Dựa vào kết luận và báo cáo kiểm toán của các đợt kiểm toán trước; + Đánh giá, báo cáo của các Vụ, Cục NHTW đối với Chi nhánh thông qua hệ thống thông tin báo cáo, cơ chế phối hợp giữa Vụ Kiểm toán nội bộ và các Vụ, Cục chức năng khác như Vụ Tài chính - Kế toán, Cục Công nghệ tin học ngân hàng... trong việc cung cấp thông tin;
+ Các yếu tố khách quan khác: như điều kiện địa lý, kinh tế...
Việc tính điểm rủi ro đối với từng tiêu chí đánh giá dựa trên phương pháp sau: Vì các Chi nhánh có hoạt động tương tự nhau nên để so sánh mức độ rủi ro giữa các Chi nhánh thì trong các tiêu chí đánh giá rủi ro nên xác định tỷ trọng của mỗi tiêu chí dựa trên mức độ quan trọng (Hay còn gọi là trọng số). Tỷ trọng % này xác định mức độ ảnh hưởng của tiêu chí đó trong tổng số các tiêu chí đánh giá rủi ro.
Cho điểm rủi ro đối với từng tiêu chí đánh giá ở các mức từ thấp đến cao (ví dụ từ 1 đến 5 điểm), kết hợp điểm tiêu chí với tỷ trọng để tính ra điểm rủi ro. ( Xem Phụ lục 03: Đánh giá rủi ro tại các Chi nhánh )
- Đối với các quy trình, nghiệp vụ:
Rủi ro thường phát sinh ở các quy trình, nghiệp vụ liên quan đến nhiều Vụ, Cục được đánh giá theo các tiêu chí sau:
TT Tiêu chí đánh giá xếp hạng rủi ro Mức độ ảnh hưởng (Trọng số RR) 100% Tông số điêm
1 Đây có phải là những hoạt động chính của Ngân hàng Nhà nước hay không?_________________
0÷ 3
điểm 15 (0÷3 điểm) x 15
Quy trình/nghiệp vụ có phải là những hoạt động chính của NHNN không? Những lỗi hoặc thiệt hại sẽ ảnh hưởng đến uy tín của NHNN như thế nào?
Những lỗi thiệt hại sẽ liên quan đến vi phạm pháp luật;
Những lỗi và thiệt hại sẽ ảnh hưởng vật chất, tài chính của NHNN; Mức độ phức tạp của nghiệp vụ;
Mức độ hoàn thiện của nghiệp vụ;
Trước đây đã xảy ra lỗ hay thiệt hại đó chưa?
Có lỗi hay sai phạm nghiêm trọng nào được phát hiện trong đợt kiểm toán trước không?
Thời gian tiến hành đợt kiểm toán trước đến nay có lâu không?
Chất lượng quản lý và nhân sự có đáp ứng được yêu cầu quản lý không?
Theo đó, mỗi hệ thống, nghiệp vụ, quy trình được xếp hạng rủi ro theo các tiêu chí với số điểm từ 0 đến 3. Trong đó:
- Điểm 0: Mức độ rủi ro hầu như chắc chắn không có - Điểm 1: Mức độ rủi ro thấp
- Điểm 2: Mức độ rủi ro trung bình - Điểm 3: Mức độ rủi ro cao
Xác định trọng số (mức độ ảnh hưởng) của các tiêu chí
Mỗi tiêu chí có mức độ ảnh hưởng khác nhau đến mục tiêu và hoạt động chung của NHNN Việt Nam. Có 3 mức ảnh hưởng:
- Mức 1 (trọng số là 5): Anh hưởng thấp
- Mức 2 (trọng số là 10): Anh hưởng trung bình - Mức 3 (trọng số là 15): Anh hưởng cao
Bảng 3.1: BẢNG TÍNH ĐIỂM RỦI RO ĐỐI VỚI MỘT HỆ THỐNG, QUY TRÌNH NGHIỆP VỤ TẠI NGÂN HÀNG NHÀ NƯỚC VIỆT NAM
^^
2 Những lỗi và thiệt hại sẽ ảnh hưởng như thế nào đến uy tín của Ngân hàng Nhà nước ?_____________
0÷3
điểm 15 (0÷3 điểm) x 15 Những lỗi và thiệt hại có
liên quan đến vi phạm
pháp luật không?_________ 0 ÷ 3 điểm
15 (0÷3 điểm) x 15
^4 Những lỗi và thiệt hại sẽ ảnh hưởng vật chất (các tài khoản trên báo cáo tài chính) của Ngân hàng Nhà nước?______________ 0÷ 3 điểm 15 (0÷3 điểm) x 15 ^5 Mức độ phức tạp của nghiệp vụ? 0 ÷ 3 điểm 10 (0÷3 điểm) x 10 ~ 6 Mức độ hoàn thiện/ổn định của nghiệp vụ? 0 ÷ 3 điểm 5 (0÷3 điểm) x 5
7 Trước đây đã xảy ra lỗi
hay thiệt hại chưa? 0 ÷ 3
điểm 10 (0÷3 điểm) x 10 8 Có sai phạm hoặc lỗi
nghiêm trọng nào được phát hiện trong lần kiểm toán trước hay không?
0÷ 3
điểm 5 (0÷3 điểm) x 5
~ 9
Lần kiểm toán trước tiến hành cách đây có lâu
không? 0 ÷ 3
Chất lượng quản lý (nhân sự có đầy đủ và chất lượng có đáp ứng được yêu cầu quản lý hay
không?)._______________ 0 ÷3 điểm 5 (0÷3 điểm) x 5 Tổng cộng 100 xxx 97
STT Tên đơn vị Mức độ rủi ro
ĩ Vụ Chính sách tiền tệ Cao
- Tổng số điểm tối đa là 300 điểm. Trong đó: + Từ 0 đến 85 điểm: Rủi ro thấp
+ Từ 90 đến 180 điểm: Rủi ro trung bình + Từ 185 đến 300 điểm: Rủi ro cao
- Trên cơ sở điểm rủi ro quy trình, nghiệp vụ quyết định tần suất kiểm toán như sau:
Điểm rủi ro từ 0 đến 85 (Rủi ro thấp) sẽ kiểm toán 3 năm /1 lần
Điểm rủi ro từ 90 đến 180 (Rủi ro trung bình) sẽ kiểm toán 2 năm/ 1 lần Điểm rủi ro từ 185 đến 300 (Rủi ro cao) sẽ kiểm toán 1 năm/ 1 lần (Xem Phụ lục 04: Bảng đánh giá rủi ro quy trình nghiệp vụ NHNN) - Đối với các Vụ, Cục NHTW có chức năng, nhiệm vụ khác nhau
Các Vụ, Cục NHTW là những đơn vị có chức năng tham mưu cho
Thống đốc trong việc xây dựng các cơ chế, chính sách về tiền tệ tín dụng, một số thì thực hiện tác nghiệp các nghiệp vụ NHTW. về tổng thể việc đánh giá rủi ro cần xem xét, đánh giá mục tiêu, chức năng, nhiệm vụ của mỗi đơn vị trong mối quan hệ tác động đến việc thực hiện các mục tiêu, chức năng nhiệm vụ của NHTW, cũng như dựa vào kinh nghiệm, kỹ năng nghề nghiệp để đưa ra xếp hạng rủi ro tóm tắt sơ bộ các đơn vị NHNN. Mức xếp hạng rủi ro mang tính định hướng và có thể được điều chỉnh lại nếu có những thay đổi lớn về tổ chức bộ máy, con người hoặc những thay đổi về mức rủi ro của các hoạt động nghiệp vụ thuộc đơn vị đó. (Xem bảng 3.2: Bảng đánh giá rủi ro đối với các Vụ, Cục, đơn vị tại trụ sở chính NHTW)
98
Bảng 3.2: BẢNG ĐÁNH GIÁ RỦI RO ĐỐI VỚI CÁC VỤ, CỤC, ĐƠN VỊ TẠI TRỤ SỞ CHÍNH NGÂN HÀNG TRUNG ƯƠNG
3 Vụ Thanh toán Trung bình
4 Vụ Tín dụng Trung bình
5 Vụ Dự báo thống kê tiền tệ Cao
6 Vụ Hợp tác quốc tế Thâp
7 Vụ Pháp chế Thâp
8 Vụ Tài chính - Kế toán Cao
9 Vụ Tô chức cán bộ Thâp
ĩõ- Vụ Thi đua- Khen thưởng Thâp
1Γ
^ Ũ Văn phòng Thâp
T
Cục Công nghệ tin học Cao
Ĩ3- Cục Phát hành và kho quỹ Cao
1 4~
Cục Quản trị Trung bình (Trừ đâu
thầu mua sắm tài sản)
ữ- Sở Giao dịch Cao
16 Cơ quan thanh tra, giám sát NH Cao
Ỹ 7~
Văn phòng đại diện tại TP.HCM Thâp
18- Viện chiến lược ngân hàng Thâp
Ĩ9- Trung tâm Thông tin tín dụng Trung bình
20 Thời báo ngân hàng Thâp
2Ĩ Tạp chí ngân hàng Thâp
3.2.3.2. Thực hiện cuộc kiểm toán
Trong quá trình thực hiện cuộc kiểm toán Trưởng đoàn kiểm toán và KTV phải thường xuyên cập nhật chương trình kiểm toán dựa trên kết quả đánh giá rủi ro. Việc cập nhật này dẫn tới quyết định tăng, giảm số lượng mẫu kiểm toán, một số khoản mục có thể được bổ sung vào quá trình kiểm tra, thử nghiệm để tăng mức độ bảo đảm. Công việc cụ thể trong bước này đó là kiểm tra chi tiết các hồ sơ, chứng từ để đưa ra kết luận.
Đối với các Vụ, Cục NHTW ngoài việc kiểm tra chi tiết các hồ sơ, chứng từ còn phải xem xét mức độ quản trị rủi ro tại các đơn vị này. Nội dung xem xét mức độ quản trị rủi ro bao gồm:
+ KTV phải xem hệ thống quản trị rủi ro của đơn vị có tuân thủ các nguyên tắc và quy định trong quản lý rủi ro hay không?; hoạt động quản lý rủi ro có thích hợp, hiệu quả hay không?. Muốn vậy KTV phải rà soát lại quy trình quản lý rủi ro bao gồm: Rà soát việc xác định rủi ro, định lượng rủi ro có thực hiện đúng phương pháp định lượng theo khung rủi ro không?, việc điều tiết hạn chế và giám sát rủi ro.
- Đánh giá hiệu quả của của các chốt kiểm soát, hệ thống KSNB.
Hệ thống KSNB của NHNN là tổng thể các cơ chế, chính sách, quy trình, quy định nội bộ, cơ cấu tổ chức của đơn vị thuộc NHNN được thiết lập phù hợp với các quy định của pháp luật và được tổ chức thực hiện nhằm đảm bảo các nguồn lực được quản lý và sử dụng đúng pháp luật, đúng mục đích, tiết kiệm, hiệu quả; ngăn ngừa rủi ro, phát hiện, xử lý kịp thời các hành vi gian lận, sai sót; cung cấp thông tin trung thực, phục vụ kịp thời cho việc ra các quyết định quản lý; đảm bảo thực hiện được các mục tiêu đã đề ra.
Đánh giá hệ thống KSNB là một trong những công việc quan trọng để xác định nội dung kiểm toán, phương pháp kiểm toán, dự kiến quy mô mẫu kiểm toán, thời gian và các thử nghiệm nào nên được thực hiện trong một
100
cuộc kiểm toán. Đây cũng là cơ sở để KTV thiết lập các thủ tục phân tích và thiết kế; thực hiện các thử nghiệm cơ bản nhằm thu thập đầy đủ các bằng chứng cần thiết. Do đó, quá trình này không chỉ thể hiện sự tuân thủ chuẩn mực, mà còn góp phần làm cho cuộc kiểm toán hữu hiệu và hiệu quả hơn. Cách tiếp cận đánh giá hệ thống KSNB gồm:
+ Nhận biết các thủ rục kiểm soát đang tồn tại; + Những thủ tục kiểm soát chính còn thiếu hụt;
+ Hậu quả có thể xảy ra do thiếu các hoạt động kiểm soát quan trọng; + Các biện pháp bổ sung để khắc phục yếu kém của hệ thống KSNB. KTV có thể sử dụng các phương pháp khác nhau để lưu trữ thông tin liên quan đến hệ thống KSNB. Hình thức và phạm vi lưu trữ những thông tin này tùy thuộc vào quy mô và tính chất phức tạp của đơn vị và hệ thống