1.3.1 Lịch sử phát triển về đánh giá rủi ro theo chuẩn mực kiểm tốn quốc tế
Nhằm “Phát triển và tăng cường sự phối hợp nghiệp vụ kế tốn bằng các chuẩn mực hài hịa trên phạm vi tồn thế giới”, tháng 10/1977, Liên đồn các nhà kế tốn quốc tế (IFAC) đã ra đời. Trong IFAC, cĩ nhiều uỷ ban đảm trách các chức năng khác nhau, IAPC là Uỷ ban thực hành kiểm tốn quốc tế phụ trách soạn thảo các nguyên tắc chỉ đạo kiểm tốn quốc tế. Năm 1980, IAPC đã ban hành các nguyên tắc chỉ đạo kiểm tốn quốc tế IAG.
Nhận thức được tầm quan trọng của rủi ro và tiếp cận dựa vào rủi ro trong kiểm tốn, trong 29 nguyên tắc chỉ đạo do IAPC ban hành, cĩ các nguyên tắc chủ yếu liên quan đến cơng tác đánh giá rủi ro gồm:
IAG 4: Kế hoạch kiểm tốn
IAG 6: Nghiên cứu đánh giá hệ thống kế tốn và các quy chế kiểm sốt nội bộ cĩ liên quan đến một cuộc kiểm tốn
IAG 25: Trọng yếu và rủi ro
IAG 29: Đánh giá rủi ro tiềm tàng, rủi ro kiểm sốt và tác động của nĩ đối với phương pháp kiểm tốn cơ bản
Trong IAG 25, rủi ro kiểm tốn được định nghĩa như sau: “Rủi ro kiểm tốn là
những rủi ro mà kiểm tốn viên cĩ thể mắc phải khi đưa ra những nhận xét khơng xác đáng về các thơng tin tài chính và đĩ là các sai sĩt nghiêm trọng”.
Bên cạnh định nghĩa về rủi ro kiểm tốn , IAG 25 cũng nêu ra bản chất của mỗi loại rủi ro: rủi ro tiềm tàng, rủi ro kiểm sốt, rủi ro phát hiện và mối quan hệ qua lại giữa các loại rủi ro; mối quan hệ giữa trọng yếu và rủi ro kiểm tốn trong giai đoạn lập kế hoạch và trong việc đánh giá bằng chứng kiểm tốn.
Như vậy, IAG 25 mới chỉ dừng lại ở việc đưa ra định nghĩa và mơ tả khái niệm
“trọng yếu và rủi ro trong kiểm tốn”, mối quan hệ nội tại giữa chúng và việc kiểm tốn viên áp dụng những khái niệm này khi lập kế hoạch và tiến hành một cuộc kiểm tốn.
IAG 29 tiến bộ hơn một bước là hướng dẫn cho kiểm tốn viên đánh giá các rủi ro tiềm tàng, rủi ro kiểm sốt và sử dụng sự đánh giá đĩ để hình thành phương pháp kiểm tốn cơ bản mà kiểm tốn viên dự định tiến hành nhằm hạn chế rủi ro phát
hiện ở mức thấp nhất cĩ thể được.
Theo IAG 29, để đánh giá rủi ro tiềm tàng, kiểm tốn viên dùng khả năng chuyên mơn của mình để đánh giá hàng loạt các nhân tố ở giai đoạn lập báo cáo tài chính và
ro kiểm sốt thơng qua q trình đánh giá tính hiệu quả của hệ thống kiểm sốt nội bộ và hệ thống kế tốn của doanh nghiệp trong việc ngăn chặn hay phát hiện các sai sĩt quan trọng trong báo cáo tài chính.
Từ những năm 1900, mục đích kiểm tốn đã chuyển từ phát hiện và ngăn chặn các gian lận sang xác nhận về tính trung thực và hợp lý trên các khía cạnh trọng yếu của báo cáo tài chính. Để đáp ứng mục tiêu này, kiểm tốn viên khơng nhất thiết phải
kiểm tra tất cả các nghiệp vụ phát sinh. Kể từ đĩ, phương thức tiếp cận kiểm tốn đã biến đổi từ tiếp cận theo bảng cân đối kế tốn đến tiếp cận theo chu trình nghiệp vụ.
Đến những năm 1980, phương thức tiếp cận kiểm tốn theo phân tích rủi ro tài
chính được sử dụng. Cách tiếp cận này yêu cầu kiểm tốn viên phải xem xét một
cách thận trọng những vấn đề về rủi ro và trọng yếu trong quá trình chuẩn bị
chương trình kiểm tốn cho từng chu trình nghiệp vụ của doanh nghiệp. Chương trình kiểm tốn phải nhấn mạnh vào những khu vực cĩ rủi ro cao và các khoản mục trọng yếu trong cuộc kiểm tốn. Để theo kịp những thay đổi này, địi hỏi sự ra đời của các chuẩn mực kiểm tốn.
Đến năm 1994, IAPC đã nâng cấp các nguyên tắc thực hành kiểm tốn quốc tế và
ban hành chuẩn mực kiểm tốn quốc tế ISA. Trong hệ thống chuẩn mực kiểm tốn quốc tế ở giai đoạn này, các chuẩn mực liên quan trực tiếp đến đánh giá rủi ro trong kiểm tốn báo cáo tài chính gồm:
ISA 240 – Gian lận và sai sĩt
ISA 250 – Xem xét tính tuân thủ pháp luật và các quy định trong kiểm tốn báo cáo tài chính
ISA 300 – Lập kế hoạch kiểm tốn
ISA 310 – Hiểu biết về tình hình kinh doanh ISA 400 – Đánh giá rủi ro và kiểm sốt nội bộ
Trong các chuẩn mực trên, ISA 400 giữ vai trị trung tâm. Sơ đồ sau đây sẽ tĩm tắt mối quan hệ giữa các chuẩn mực trong việc thiết lập các yêu cầu đối với cơng tác
đánh giá rủi ro:
Hình 1.2: Mối quan hệ giữa các chuẩn mực liên quan đánh giá rủi ro
ISA 400 đề cập khái niệm rủi ro kiểm tốn như sau: “Rủi ro kiểm tốn là rủi ro do kiểm tốn viên và cơng ty kiểm tốn đưa ra ý kiến nhận xét khơng thích hợp khi báo cáo tài chính đã được kiểm tốn cịn cĩ những sai sĩt trọng yếu”.
Chuẩn mực yêu cầu kiểm tốn viên phải cĩ đủ hiểu biết về hệ thống kế tốn và hệ thống kiểm sốt nội bộ của khách hàng để lập kế hoạch kiểm tốn tổng thể và chương trình kiểm tốn thích hợp, cĩ hiệu quả.
ISA 400 cho rằng tồn bộ sai sĩt và gian lận là do bản chất của khoản mục được kiểm tốn gây ra, điều này cĩ thể thấy qua cách kiểm tốn truyền thống của các kiểm tốn viên là tiếp cận từng khoản mục rồi đưa ra chiến lược để phát hiện sai sĩt và gian lận.
Như vậy, nhìn chung ISA 400 trong giai đoạn này chỉ nhấn mạnh đến rủi ro về mặt tài chính (nghĩa là chỉ quan tâm đến số liệu trên báo cáo tài chính), chưa đề cập đến
ảnh hưởng của mơi trường kinh doanh như chiến lược của doanh nghiệp, ngành
ISA 310
ISA 250 ISA 240
ISA 400
Đầu thế kỷ 21, từ sự sụp đổ hàng loạt các cơng ty hàng đầu trên thế giới như Enron,
Worldcom, ... trong đĩ cĩ lỗi của cơng ty kiểm tốn. Sự sụp đổ và thất bại trong các cuộc kiểm tốn buộc Hội nghề nghiệp phải xem xét và hiệu đính các chuẩn mực đã
được ban hành. Liên quan đến mơ hình rủi ro, chuẩn mực hiện hành khơng sử dụng
mơ hình rủi ro truyền thống vì mơ hình này ngày càng bộc lộ nhược điểm. Trong
mơ hình truyền thống, rủi ro được tiếp cận ở trạng thái tĩnh trong khi thực tế rủi ro thay đổi chủ yếu theo mơi trường kinh doanh mà các thay đổi này thường diễn ra và luơn cĩ ảnh hưởng lớn đến ngành nghề và các doanh nghiệp hoạt động trong ngành nghề đĩ. Bên cạnh đĩ, trong một số trường hợp, khĩ tách biệt rủi ro tiềm tàng và rủi ro kiểm sốt. Nên nếu chỉ tập trung vào rủi ro về mặt tài chính trong cuộc kiểm tốn, việc tư vấn sẽ kém hiệu quả.
Do đĩ, phương thức tiếp cận kiểm tốn theo phân tích rủi ro tài chính được nâng
cấp bằng cách tập trung nhiều hơn vào các rủi ro kinh doanh hay rủi ro mang tính chất chiến lược mà khách hàng đang gặp phải, tức chuyển sang tiếp cận kiểm tốn theo mơ hình rủi ro kinh doanh.
Mơ hình rủi ro kinh doanh yêu cầu bên cạnh những hiểu biết về rủi ro tác động đến việc xử lý và ghi chép các nghiệp vụ, kiểm tốn viên phải cĩ kiến thức sâu rộng hơn về hoạt động kinh doanh của khách hàng, cụ thể là chiến lược kinh doanh, rủi ro
gắn với chiến lược kinh doanh của khách hàng, các biện pháp đối phĩ rủi ro và xác
định ảnh hưởng của các rủi ro đến sự trình bày trung thực và hợp lý của báo cáo tài
chính.
Theo phương pháp tiếp cận này, kiểm tốn viên phải dành nhiều thời gian hơn cho giai đoạn lập kế hoạch. Đối với các nghiệp vụ thường xuyên xảy ra, kiểm tốn viên sẽ dựa nhiều hơn vào hệ thống kiểm sốt nội bộ bằng cách thực hiện các thử nghiệm kiểm sốt. Kiểm tốn viên sẽ chỉ tập trung kiểm tra chi tiết các nghiệp vụ khơng thường xuyên và với cách tiếp cận như thế, kiểm tốn viên tin rằng sẽ giảm được rủi ro kiểm tốn và tăng tính hiệu quả của cuộc kiểm tốn.
Như vậy với một cách nhìn tồn diện hơn về doanh nghiệp (Top-down), mơ hình rủi ro kinh doanh giúp cho cuộc kiểm tốn trở nên hiệu quả và hữu hiệu hơn so với cách tiếp cận truyền thống dựa trên việc kiểm tra các nghiệp vụ và số dư để suy ra các thơng tin trên báo cáo tài chính (Bottom-up). Việc nhấn mạnh hơn vào các rủi ro kinh doanh của cách tiếp cận này khơng mâu thuẫn mà chỉ mở rộng hơn phương thức tiếp cận theo rủi ro tài chính.
Do những thay đổi trong quan điểm đánh giá rủi ro dẫn đến chuẩn mực ISA 400 đã khơng cịn hiệu lực và sự ra đời hai chuẩn mực liên quan đến cơng tác đánh giá rủi ro gồm:
ISA 315 - Hiểu biết về tình hình kinh doanh, mơi trường hoạt động đơn vị và
đánh giá rủi ro các sai sĩt trọng yếu
ISA 330 - Thủ tục của kiểm tốn viên trong việc đối phĩ với những rủi ro đã lường trước
Ngồi ra, các chuẩn mực kiểm tốn khác liên quan đến đánh giá rủi ro (ISA 200,
ISA 240) cũng được thay đổi theo hướng giúp kiểm tốn viên nhận định đầy đủ hơn về nhân tố đưa đến rủi ro để từ đĩ cĩ phản ứng thích hợp.
Như vậy cĩ thể thấy rằng từ sự thất bại trong cuộc kiểm tốn của các cơng ty kiểm tốn, chuẩn mực kiểm tốn đã thay đổi theo hướng đưa ra hướng dẫn chi tiết hơn về những vấn đề cịn đang tranh luận.
1.3.2 Các chuẩn mực kiểm tốn quốc tế hiện hành liên quan đến đánh giá rủi ro
1.3.2.1 Chuẩn mực kiểm tốn quốc tế ISA 200 - Mục tiêu và nguyên tắc cơ bản chi phối kiểm tốn báo cáo tài chính
Chuẩn mực kiểm tốn ISA 200 ban hành năm 2004 cĩ bổ sung đoạn 13 đến 21 đề cập đến rủi ro kiểm tốn và trách nhiệm của kiểm tốn viên đối với trọng yếu và rủi ro như sau:
Trong quá trình theo đuổi các mục tiêu của doanh nghiệp, tùy thuộc vào lĩnh vực hoạt động và các yếu tố về mơi trường kinh doanh, doanh nghiệp sẽ phải đối mặt với rất nhiều rủi ro. Tuy nhiên, khơng phải tất cả các rủi ro này đều ảnh hưởng đến báo cáo tài chính và việc nhận diện thuộc phạm vi trách nhiệm của Ban Giám đốc. Trong khi đĩ, trách nhiệm của kiểm tốn viên là nhận diện những rủi ro nào cĩ ảnh hưởng tới báo cáo tài chính.
Kiểm tốn viên phải lập kế hoạch và thực hiện cuộc kiểm tốn nhằm giảm thiểu rủi ro kiểm tốn tới mức cĩ thể chấp nhận được. Kiểm tốn viên thực hiện các thủ tục kiểm tốn nhằm đánh giá rủi ro cĩ ảnh hưởng trọng yếu tới báo cáo tài chính và
giảm thiểu rủi ro phát hiện bằng việc tiến hành thêm các thủ tục kiểm tốn dựa trên các đánh giá.
Bên cạnh việc xem xét rủi ro theo cách tiếp cận tổng thể, kiểm tốn viên cần đánh giá rủi ro ở mức độ chi tiết theo từng cơ sở dẫn liệu mà cụ thể là: theo nghiệp vụ
phát sinh, theo số dư của tài khoản và theo việc trình bày và khai báo thơng tin.
1.3.2.2 Chuẩn mực kiểm tốn quốc tế ISA 240 - Gian lận và sai sĩt
Chuẩn mực kiểm tốn ISA 240 ban hành năm 2004 đã nêu đầy đủ, chi tiết hơn về các bước tiến hành để đánh giá gian lận và thủ tục phát hiện bao gồm: thảo luận, thu thập thơng tin, nhận diện rủi ro, đánh giá rủi ro, thiết kế thủ tục kiểm tốn, đánh giá bằng chứng, thơng báo, tài liệu hố gian lận.
1.3.2.3 Chuẩn mực kiểm tốn quốc tế ISA 315 - Hiểu biết về tình hình kinh doanh, mơi trường hoạt động đơn vị và đánh giá rủi ro các sai sĩt trọng yếu
(Chuẩn mực này cĩ hiệu lực đối với kiểm tốn báo cáo tài chính cho các niên độ bắt
đầu hoặc sau ngày 15 tháng 12 năm 2004)
ISA 315 đặc biệt nhấn mạnh đến mơ hình rủi ro kinh doanh, một cách tiếp cận mới trong quy trình đánh giá rủi ro kiểm tốn. Chuẩn mực này yêu cầu kiểm tốn viên cần tăng cường sự hiểu biết về đơn vị được kiểm tốn và mơi trường kinh doanh, về hệ thống kiểm sốt nội bộ. Chuẩn mực cũng yêu cầu các kiểm tốn viên trong cùng
một nhĩm kiểm tốn phải thảo luận về khả năng cĩ các sai lệch trọng yếu trong báo cáo tài chính và mở rộng các yêu cầu về lập hồ sơ kiểm tốn đối với việc đánh giá rủi ro.
Cụ thể, Chuẩn mực ISA 315 đề cập đến các vấn đề chính như sau:
Thủ tục đánh giá rủi ro và nguồn thơng tin về cơng ty được kiểm tốn và mơi trường kinh doanh kể cả kiểm sốt nội bộ: Kiểm tốn viên cần cĩ hiểu biết về doanh nghiệp, về mơi trường kinh doanh kể cả hệ thống kiểm sốt nội bộ, đủ để nhận diện rủi ro cĩ sai phạm trọng yếu trên báo cáo tài chính do sai sĩt hay gian lận gây ra, và
đủ để thiết kế và thực hiện thử nghiệm kiểm sốt, bao gồm cả hệ thống kiểm sốt
nội bộ. Các thủ tục bao gồm:
+ Phỏng vấn người quản lý và các nhân viên đơn vị + Thủ tục phân tích
+ Quan sát và kiểm tra
+ Thảo luận trong nhĩm kiểm tốn về khả năng báo cáo tài chính cĩ sai lệch trọng yếu
Hiểu biết về đơn vị và mơi trường kinh doanh, bao gồm cả hệ thống kiểm sốt nội bộ: Phần này yêu cầu kiểm tốn viên hiểu biết về các khía cạnh trọng yếu của doanh nghiệp và mơi trường hoạt động, các thành phần của hệ thống kiểm sốt nội bộ, để nhận định và đánh giá rủi ro cĩ sai lệch trọng yếu. Các thơng tin cần tìm hiểu gồm:
+ Các nhân tố bên ngồi, như: ngành nghề, quy định pháp lý, hệ thống kế tốn, …
+ Tính chất và đặc điểm của đơn vị
+ Mục tiêu, chiến lược và các rủi ro kinh doanh cĩ liên quan + Đánh giá và sốt xét kết quả hoạt động
Đánh giá rủi ro cĩ sai lệch trọng yếu: Phần này yêu cầu kiểm tốn viên phải đánh giá rủi ro cĩ sai sĩt trọng yếu ở mức độ báo cáo tài chính và ở mức độ từng cơ
sở dẫn liệu cho nhĩm nghiệp vụ, cho số dư tài khoản và cho trình bày và cơng bố.
Để đánh giá, kiểm tốn viên cần:
+ Nhận diện những rủi ro thơng qua thu thập hiểu biết tình hình của đơn vị và mơi trường, bao gồm hệ thống kiểm sốt; và xem xét loại nghiệp vụ, số dư tài khoản, và việc trình bày trên báo cáo tài chính
+ Liên hệ những rủi ro đã nhận diện với những sai sĩt cĩ thể xảy ra ở mức
độ cơ sở dẫn liệu
+ Xem xét liệu các rủi ro cĩ đưa đến sai lệch trọng yếu trên báo cáo tài
chính
+ Phần này cũng yêu cầu kiểm tốn viên xác định xem cĩ hay khơng những rủi ro đã đánh giá là những rủi ro trọng yếu cần cĩ những cân nhắc
đặc biệt, hoặc đĩ là những rủi ro mà chỉ thực hiện những thử nghiệm cơ
bản thì khơng đủ cung cấp bằng chứng hữu hiệu. Kiểm tốn viên được yêu cầu đánh giá việc thiết kế và việc thực hiện hệ thống kiểm sốt nội bộ
trong thực tế. Cần chú ý những rủi ro mà những thủ tục kiểm tốn riêng lẻ khơng cung cấp đủ bằng chứng thích hợp.
Duyệt xét lại việc đánh giá rủi ro: Việc đánh giá rủi ro ở mức độ cơ sở dẫn liệu dựa trên các bằng chứng đáng tin cậy qua cuộc kiểm tốn và cĩ thể thay đổi theo bằng chứng thu thập được.
Thơng tin cho ban lãnh đạo (Governance và Management): Kiểm tốn viên phải thơng báo cho ban lãnh đạo ngay khi cĩ thể các yếu kém trọng yếu trong kiểm sốt