II. MỘT SỐ MẪU BẢNG CÂU HỎI ĐIỀU TRA HỆ THỐNG KIỂM SOÁT NỘI BỘ
2. Doanh nghiệp khách hàng áp dụng phương pháp hạch toán kế toán trong mô
trong môi trường máy vi tính.
Trên thực tế, hầu hết các doanh nghiệp hiện nay không Ýt thì nhiều cũng sử dụng phương pháp hạch toán kế toán bằng phần mềm kế toán máy. Các phần mềm kế toán máy rất đa dạng song được gọi chung là hệ thống xử lý dữ liệu điện tử (EDP- Electronic Data Processing).
Hệ thống kiểm soát nội bộ trong môi trường kế toán thủ công và môi trường EDP có những điểm khác nhau cơ bản sau:
Các hình thức kiểm soát trong một hệ thống EDP có thể được xếp vào hai loại: Quá trình kiểm soát chung và quá trình kiểm soát ứng dụng.
• Quá trình kiểm soát chung: các quá trình kiểm soát chung bao gồm bốn
loại:
+ Kế hoạch về tổ chức và hoạt động của hệ thống EDP: Trong hầu hết các hệ thống EDP các chức năng ghi vào sổ nhật ký, sổ phụ, sổ cái tổng hợp đều được thực hiện đồng thời trên máy computer. Như vậy, không có sự phân tách chức năng ghi sổ trong hệ thống EDP, nhưng vẫn có thể có sự phân tách trách nhiệm trong nội bộ EDP để làm giảm khả năng sai số và sai quy tắc. Sự phân tách trách nhiệm này được thể hiện như sau: Có sự độc lập giữa người phân tích của hệ thống, người lập trình, người điều khiển máy computer, người thủ thư và nhóm kiểm soát dữ liệu.
+ Các thủ tục để kiểm soát các chương trình máy vi tính: Mục đích của lĩnh vực kiểm soát chung này là để đảm bảo rằng khách hàng kiểm soát đầy đủ một số khía cạnh của các chương trình máy tính và các chứng từ chứng minh liên quan. Bằng chứng chủ yếu kiểm toán viên xem xét lại trong lĩnh vực này là
các chuẩn mực của tài liệu chứng minh của tổ chức đó. Đối với hầu hết các công
ty, các chuẩn mực đó có sẵn trong quyển sổ tay chuẩn mực, thường bao gồm bốn phần chính: Các yêu cầu của hệ thống (mục đích của hệ thống, đầu vào, đầu ra của hệ thống); tài liệu chứng minh việc lập trình (tài liệu về việc viết và khảo sát các chương trình của phần mềm); những hướng dẫn vận hành chương trình; những hướng dẫn cho người sử dụng.
+ Các quá trình kiểm soát phần cứng: các quá trình kiểm soát phần cứng được nhà sản xuất gài vào thiết bị để phát hiện ra các háng hóc của thiết bị.
+ Các quá trình kiểm soát quyền sử dụng thiết bị, các chương trình và hồ
sơ dữ kiện: các quá trình kiểm soát quyền sử dụng liên quan tới việc đảm bảo là
chỉ có người được phép mới có thể sử dụng thiết bị và có quyền sử dụng phần mềm cũng như hồ sơ dữ kiện. Thường sử dụng hệ thống mật khẩu (passwords). Theo một hệ thống mã hoá, mật khẩu phải được nhập vào máy tính hoặc thiết bị đầu cuối của máy tính trước khi chương trình phần mềm hoạt động.
Một quá trình kiểm soát chung liên quan tới tất cả các bộ phận của hệ thống EDP, do đó phải được đánh giá ngay từ đầu cuộc kiểm toán, trước khi đánh giá các quá trình kiểm soát ứng dụng.
• Quá trình kiểm soát ứng dụng:
Các quá trình kiểm soát ứng dụng áp dụng vào một mục đích sử dụng đặc thù của hệ thống. Các loại quá trình kiểm soát ứng dụng bao gồm: giai đoạn nhập số liệu đầu vào, quá trình xử lý và giai đoạn kết quả số liệu ở đầu ra.
Mục đích của quá trình tìm hiểu hệ thống kiểm soát nội bộ và đánh giá rủi ro kiểm soát trong một hệ thống EDP cũng giống như trong một hệ thống kế toán thủ công, đều nhằm thu thập thông tin về hệ thống kiểm soát nội bộ của khách hàng, nhận diện các quá trình kiểm soát và các điểm mạnh, điểm yếu của hệ thống kiểm soát nội bộ, đánh giá bước đầu rủi ro kiểm soát và xác minh là các quá trình kiểm soát nội bộ thực tế đang hoạt động phù hợp với kế hoạch thiết kế.
Cũng như hệ thống kế toán thủ công, giai đoạn đánh giá sơ bộ hệ thống kiểm soát nội bộ của đơn vị khách hàng trong hệ thống EDP, kiểm toán viên củng sử dụng một trong ba phương pháp sau hoặc có thể sử dụng kết hợp các phương pháp tuỳ thuộc vào quy mô của đơn vị được kiểm toán và quy mô của cuộc kiểm toán: Bảng tường thuật về kiểm soát nội bộ, Lưu đồ và Bảng câu hỏi điều tra về hệ thống kiểm soát nội bộ.
Mục tiêu của bài viết là đi sâu nghiên cứu về Bảng câu hỏi điều tra, vì vậy ở phần này sẽ không đề cập đến hai phương pháp còn lại để đánh giá sơ bộ hệ thống kiểm soát nội bộ.
2.1. Đối với công việc tổ chức máy và kiểm soát truy nhập số liệu:
Bước đầu tiên trong việc đánh giá công việc tổ chức máy và kiểm soát truy nhập số liệu là kiểm toán viên phải chuẩn bị hoặc yêu cầu khách hàng chuẩn bị một sự mô tả sơ lược về hệ thống máy tính được sử dụng trong đơn vị khách hàng. Bản mô tả sơ lược đó phải bao gồm một biểu đồ tổ chức, mô tả phần cứng và các thiết bị ngoại vi, mạng lưới hệ thống trao đổi thông tin, quy trình chính xử lý thông tin (xử lý trực tuyến hoặc xử lý theo khối), tài liệu đầu vào quan trọng và số liệu đầu ra, các chương trình phần mềm được doanh nghiệp khách hàng sử dụng, và một sơ đồ bố trí trung tâm dữ liệu.
CÂU HÁI TRẢ LỜI Nhận xét,đánh giá
Có Không NA
Tổ chức:
1. Có sự phân tách trách nhiệm thích đáng giữa:
a. Người phân tích hệ thống, người lập trình, người điều khiển máy tính, người thủ thư và nhóm kiểm soát số liệu.
b. Người lập trình, người kiểm soát và điều hoà số liệu đầu vào và kết quả đầu ra.
c. Người điều khiển máy vi tính, người thực hiện nghiệp vụ và người phê chuẩn sự thay đổi của các hồ sơ, tài liệu chính.
hay không?
2. Những người điều khiển máy vi tính định kỳ có thay phiên nhau lần lượt không?
3. Người lập trình và người phân tích hệ thống định kỳ có thay phiên nhau từ lần áp dụng này tới lần áp dụng khác không?
Dữ liệu và thủ tục kiểm soát:
1. Có sự tách biệt giữa bộ phận điều hành máy vi tính, bộ phận kiểm soát và bộ phận cân đối đầu vào, đầu ra hay không?
2. Có các thủ tục được viết ra nhằm thiết lập số liệu đầu vào cho quá trình
hay không?
3. Có thủ tục sắp xếp và phân loại số liệu đầu ra tới những người sử dụng thông tin không?
Kiểm soát truy cập số liệu:
1.Có sự hạn chế truy cập số liệu của phòng máy tính đối với những nhân viên đã được chấp nhận?
2. Những người điều khiển máy tính có bị hạn chế truy cập chương trình và những chứng từ đã nhập không? 3. Để truy cập những hồ sơ, tài liệu trực tuyến có đòi hỏi một hệ thống mật khẩu nhất định để xác định và hiệu lực hoá người sử dụng cuối cùng không?
2.2. Đối với chứng từ và sự phát triển hệ thống máy tính:
CÂU HÁI Có TRẢ LỜIKhông NA Nhận xét,đánh giá
Sự phát triển hệ thống máy tính:
1. Có tồn tại một kế hoạch để phát triển hệ thống máy tính mới thay thế cho hệ thống cũ?
2. Thiết kế và sự phát triển của hệ thống mới có liên quan tới những người sử dụng và nhân viên máy tính không?
3. Có tồn tại một quy trình phê chuẩn và xem xét lại ở cuối mỗi giai đoạn quan trọng trong sự phát triển hệ thống mới không?
Chứng từ:
1. Có tồn tại những tiêu chuẩn về chứng từ trong hệ thống mới và có thay đổi chứng từ khi hệ thống cũ đang được xem xét lại?
2. Những chứng từ sau có tồn tại trong mỗi lần áp dụng không?
+ Các sơ đồ về hệ thống. + Các sơ đồ ghi chép.
+ Những thủ tục chương trình chọn lọc. + Bảng kê các nguồn chương trình. + Hướng dẫn vận hành máy tính.
+ Bản ghi những thay đổi và phê chuẩn.
Trong hệ thống EDP kiểm toán viên thiết kế một hệ thống kiểm soát từng chu trình. Nguyên nhân nảy sinh thiết kế này là do thực tế hệ thống kiểm soát được sử dụng trong mỗi chu trình: bán hàng và thu tiền, mua hàng và thanh toán, tiền lương và nhân viên và một số chu trình nhất định khác. Hệ thống kiểm soát này được tổ chức trên nguyên tắc gồm có ba loại kiểm soát: kiểm soát số liệu đầu vào, kiểm soát quá trình xử lý số liệu và kiểm soát số liệu đầu ra.
2.3. Đối với thủ tục kiểm soát số liệu đầu vào:
Các thủ tục kiểm soát số liệu đầu vào bao gồm: - Sù phê chuẩn số liệu đầu vào.
- Kiểm tra các con sè. - Ghi lại các tổng số.
- Thủ tục kiểm soát xử lý theo khối đối với những con số tài chính. - Thủ tục kiểm soát xử lý theo khối đối với những con số nhỏ lẻ. - Kiểm tra về những đặc điểm có hiệu lực, có giá trị.
- Kiểm tra về những dấu hiệu có giá trị. - Kiểm tra những dữ liệu bị thiếu, bị mất… - Các kiểm tra tiếp theo.
- Các thử nghiệm hợp lý.
- Đưa ra, khẳng định lại những sai phạm.
CÂU HÁI Có TRẢ LỜIKhông NA Nhận xét,đánh giá
Sự phê chuẩn các nghiệp vụ:
1.Những thủ tục được thiết lập có bảo đảm rằng chỉ những nghiệp vụ đã được phê chuẩn mới được chấp nhận hay không?
a. Những dấu hiệu của sự kiểm soát, phê chuẩn có ở trên chứng từ gốc không?
b. Những phê chuẩn chung đối với quy trình có tác dụng đối với mọi nghiệp vụ hay không?
c. Có sử dụng những con số xác định, những mã số bảo đảm và hệ thống mật khẩu để bảo mật cho những người sử dụng cuối cùng?
Tính đầy đủ của số liệu đầu vào:
1. Những hệ thống kiểm soát chung có được thiết lập bởi người sử dụng trước để tạo dữ liệu cho quy trình không? 2. Có người thẩm tra lại những dữ liệu đầu vào nhận được có đảm bảo được cung cấp từ người sử dụng trước và đã được kiểm soát ở trung tâm máy tính hay không?
Sự chuyển đổi dữ liệu:
1.Những thủ tục được thiết lập có thực hiện những kiểm soát cần thiết xuyên suốt quy trình loại bỏ một số nghiệp vụ hay không? Chúng bao gồm:
a. Những dấu hiệu chính thức của những ghi chép bị loại bỏ.
b. Xem xét lại nguyên nhân của sự loại bỏ đó.
c. Sửa chữa, hiệu chỉnh những ghi chép bị loại bỏ.
d. Xem xét lại sự chấp thuận, phê chuẩn những sửa chữa.
e. Nhập lại số liệu theo sự điều chỉnh, sửa chữa ở những nơi có số liệu sai giống như số liệu gốc.
2.4. Đối với thủ tục kiểm soát quá trình xử lý số liệu:
Các thủ tục kiểm soát quá trình xử lý số liệu gồm: - Thủ tục kiểm soát chương trình.
- Báo cáo thủ tục kiểm soát sử dụng. - Các tài liệu nhật ký, sổ lé trình. - Các thử nghiệm hợp lý.
Nhận xét, đánh giá
Có Không NA
Tính đầy đủ:
1. Các thủ tục kiểm soát chương trình có bao gồm các bước công việc trong suốt quy trình xử lý?
2. Các phần mềm chương trình có kiểm tra những dấu hiệu hay những mật khẩu, hoặc cả hai cho sù truy cập tới một chương trình nhất định?
3. Những thủ tục kiểm soát có được đặt sẵn trong tất cả các tài liệu, và được thẩm tra bởi những chương trình cập nhật mỗi khi một tài liệu được đưa vào sử dụng trong quá trình xử lý?
Kiểm soát hồ sơ:
1. Phần mềm chương trình có kiểm tra các mục chính trong nội bộ hồ sơ và những nhãn hiệu có dấu vết kiểm soát?
2. Những hồ sơ dưới dạng băng, đĩa có đủ chất lượng để làm tài liệu kèm theo không?
3. Những hồ sơ tài liệu cũ được cung cấp như một bằng chứng kiểm toán có giữ được độc lập với các tài liệu hiện hành không?
2.5. Đối với thủ tục kiểm soát số liệu đầu ra:
Thủ tục kiểm soát số liệu đầu ra bao gồm: - Thủ tục kiểm soát chung.
- Sù thay đổi của những hồ sơ, tài liệu chính. - Sù sắp xếp và phân loại số liệu đầu ra.
CÂU HÁI TRẢ LỜI Nhận xét,đánh giá
Có Không NA
1. Thủ tục kiểm soát số liệu đầu vào và số liệu đầu ra có phù hợp nhau không?
đổi từng khoản mục trên hồ sơ chính thì có kéo theo sù thay đổi ở số liệu đầu ra không?
3. Bảng kê sự sắp xếp và phân loại cho những số liệu đầu ra có tồn tại đối với từng lần áp dụng không?
4. Tất cả tài liệu đầu ra có được xác định với những nhãn hiệu bên trong và bên ngoài hay không?
KẾT LUẬN
Bảng câu hỏi điều tra hệ thống kiểm soát nội bộ của khách hàng là một công cụ rất hữu dụng đối với các kiểm toán viên độc lập. Hệ thống câu hỏi được thiết kế sẵn, thường có mẫu chuẩn trong các công ty kiểm toán độc lập nên việc sử dụng rất dễ dàng, thuận tiện và được tiến hành nhanh chóng. Song, nó chỉ thực sự phát huy tác dụng nếu kiểm toán viên sử dụng bảng câu hỏi điều tra để tìm hiểu khách hàng tiền kiểm toán. Bởi giai đoạn tìm hiểu khách hàng một cách sơ bộ và khái quát nhất để quyết định kí kết hợp đồng kiểm toán cần được thực hiện nhanh chóng. Còn những mẫu bảng câu hỏi điều tra sẵn có không phù hợp với giai đoạn đánh giá sơ bộ hệ thống kiểm soát nội bộ của khách hàng. Do những mẩu biểu có sẵn, được thiết kế một cách chung nhất nên đôi khi không phù hợp với thực trạng của doanh nghiệp khách hàng về quy mô, lĩnh vực kinh doanh… Các kiểm toán viên nên vẫn áp dụng những mẫu biểu có sẵn nhưng phảI kết hợp sửa đổi linh hoạt, hợp lý cho phù hợp với từng đối tượng khách hàng về mọi mặt để có thể đánh giá hệ thống kiểm soát nội bộ của khách hàng một cách chính xác nhất với mức chi phí thấp nhất và thời gian ngắn nhất.
Do đặc tính của bảng câu hỏi điều tra là phụ thuộc nhiều vào ý chí chủ quan của người trả lời, vì thế kết quả của bảng câu hỏi điều tra chỉ là căn cứ để kiểm toán viên sử dụng, phân tích thực tế doanh nghiệp khách hàng dùa trên óc xét đoán nhà nghề của mình, cộng với kinh nghiệm nghề nghiệp, kiểm toán viên đưa ra quyết định về rủi ro kiểm soát CR.
Để có được một cái nhìn khái quát và hoàn hảo về hệ thống kiểm soát nội bộ của doanh nghiệp khách hàng thì kiểm toán viên cần sử dụng kết hợp hai phương pháp lưu đồ và bảng câu hỏi điều tra. Có những trường hợp kiểm toán viên sử dụng kết hợp cả ba phương pháp: lưu đồ, bảng tường thuật và bảng câu hỏi điều tra khi có những nghiệp vụ bất thường xảy ra mà không thể biểu diễn trên lưu đồ, kiểm toán viên dùng bảng tường thuật để mô tả chi tiết về những nghiệp vụ bất thường đó. Việc sử dụng phương pháp nào hoặc kết hợp những phương pháp nào với nhau không có một chuẩn mực quy định được, nó phụ thuộc vào từng trường hợp cụ thể và dùa vào khả năng phán đoán cùng kinh nghiệm nghề nghiệp của kiểm toán viên để quyết định sẽ sử dụng phương pháp nào. Nhưng trên thực tế, dù trường hợp cụ thể như thế nào, phương pháp bảng câu hỏi điều tra vẫn là phương pháp tối ưu nhất và luôn được ưu tiên lùa chọn sử dụng.
DANH MỤC TÀI LIỆU THAM KHẢO
1. Giáo trình Kiểm toán tài chính – GS-T.S Nguyễn Quang Quynh Đại học Kinh Tế Quốc Dân.
2. Kiểm toán- Auditing
Alvin ARens – James K.Loebbecke. 3. Auditing – Eighth Edition
Jack C. Robertson, Ph.D., CPA, CFE. 4. ACCA study text
BPP Publishing – June 2000.
5. Chuẩn mực Kiểm toán Việt Nam sè 400 “Đánh giá rủi ro và kiểm toán