Kiểm soát nội bộ của đơn vị được kiểm toán
Kiểm soát nội bộ của đơn vị được kiểm toán
A42. Hiểu biết về kiểm soát nội bộ giúp kiểm toán viên xác định các loại sai sót tiềm tàng và các yếu tố ảnh hưởng đến rủi ro có sai sót trọng yếu và xác định nội dung, lịch trình và phạm vi của các thủ tục kiểm toán tiếp theo.
A43. Các hướng dẫn quan trọng về kiểm soát nội bộ được trình bày ở bốn phần sau:
· Bản chất và đặc điểm chung của kiểm soát nội bộ;
· Các kiểm soát liên quan đến cuộc kiểm toán;
· Nội dung và mức độ hiểu biết về các kiểm soát liên quan;
· Các thành phần của kiểm soát nội bộ.
Bản chất và đặc điểm chung của kiểm soát nội bộ
Mục đích của kiểm soát nội bộ
A44. Kiểm soát nội bộ được thiết kế, thực hiện và duy trì nhằm giải quyết các rủi ro kinh doanh đã được xác định, gây ra nguy cơ đơn vị không đạt được một trong các mục tiêu liên quan đến:
· Độ tin cậy của quy trình lập và trình bày báo cáo tài chính;
· Hiệu quả và hiệu suất hoạt động;
· Việc tuân thủ pháp luật và các quy định hiện hành.
Việc thiết kế, thực hiện và duy trì kiểm soát nội bộ có thể thay đổi theo quy mô và mức độ phức tạp của đơn vị.
Lưu ý khi kiểm toán các đơn vị nhỏ
A45. Các đơn vị nhỏ có thể sử dụng các phương pháp, quy trình, và thủ tục đơn giản hơn để thực hiện mục tiêu của mình.
Các hạn chế của kiểm soát nội bộ
A46. Kiểm soát nội bộ, dù hiệu quả đến mức nào, cũng chỉ có thể cung cấp cho đơn vị một sự đảm bảo hợp lý về việc đạt được mục tiêu lập và trình bày báo cáo tài chính của đơn vị. Khả năng đạt được mục tiêu chịu ảnh hưởng bởi những hạn chế vốn có của kiểm soát nội bộ. Các hạn chế này bao gồm việc xét đoán của con người có thể có sai lầm khi đưa ra quyết định và sự thất bại của kiểm soát nội bộ có thể xảy ra do sai sót của con người, ví dụ có thể có sai sót trong việc thiết kế hoặc thay đổi một kiểm soát. Tương tự, một kiểm soát có thể hoạt động không hiệu quả, như thông tin được tạo ra để phục vụ việc kiểm soát nội bộ (ví dụ, báo cáo ngoại lệ) không được sử dụng có hiệu quả do người chịu trách nhiệm rà soát thông tin này không hiểu rõ mục đích của thông tin hoặc không có những hành động phù hợp.
A47. Ngoài ra, các kiểm soát có thể không tác dụng do sự thông đồng của hai hay nhiều người hoặc bị Ban Giám đốc khống chế. Ví dụ, Ban Giám đốc có thể thỏa thuận riêng với khách hàng nhằm thay đổi các điều khoản và điều kiện trong hợp đồng bán hàng chuẩn của đơn vị, dẫn đến việc ghi nhận doanh thu không chính xác. Cũng như vậy, chức năng kiểm tra của phần mềm máy tính giúp phát hiện và báo cáo về các giao dịch vượt hạn mức tín dụng cho phép có thể bị khống chế hoặc vô hiệu hóa.
A48. Bên cạnh đó, khi thiết kế và thực hiện các kiểm soát, Ban Giám đốc có thể đánh giá về nội dung và phạm vi của các kiểm soát được chọn để thực hiện, và về bản chất và mức độ rủi ro mà họ quyết định chấp nhận.
Lưu ý khi kiểm toán các đơn vị nhỏ
A49. Các đơn vị nhỏ thường có ít nhân lực, do đó có thể hạn chế khả năng phân công trách nhiệm. Tuy nhiên, trong đơn vị nhỏ mà người chủ sở hữu đồng thời là Giám đốc thì người đó có khả năng giám sát tốt hơn so với đơn vị lớn. Sự giám sát này có thể bù đắp những hạn chế trong việc phân công trách nhiệm.
A50. Mặt khác, người chủ sở hữu đồng thời là Giám đốc cũng có nhiều khả năng hơn trong việc khống chế các kiểm soát do hệ thống kiểm soát nội bộ có cơ cấu đơn giản hơn. Kiểm toán viên cần xem xét điều này khi xác định các rủi ro có sai sót trọng yếu do gian lận.
Phân chia các thành phần của kiểm soát nội bộ
A51. Trong các chuẩn mực kiểm toán quốc tế, kiểm soát nội bộ được chia thành năm thành phần nhằm cung cấp một khuôn khổ giúp kiểm toán viên xem xét các khía cạnh khác nhau trong kiểm soát nội bộ của đơn vị có thể ảnh hưởng như thế nào đến cuộc kiểm toán:
(a) Môi trường kiểm soát;
(b) Quy trình đánh giá rủi ro của đơn vị;
(c) Hệ thống thông tin liên quan đến việc lập và trình bày báo cáo tài chính, bao gồm các quy trình kinh doanh có liên quan, và trao đổi thông tin;
(d) Các hoạt động kiểm soát; và
(e) Giám sát các kiểm soát.
Sự phân chia này không nhất thiết thể hiện cách thức đơn vị thiết kế, thực hiện và duy trì kiểm soát nội bộ hoặc các thức phân loại các thành phần đó. Kiểm toán viên có thể sử dụng các thuật ngữ hay các quy định khác ngoài chuẩn mực này để mô tả các thành phần khác nhau của kiểm soát nội bộ cũng như sự tác động của các thành phần này đến cuộc kiểm toán, với điều kiện là tất cả các thành phần được mô tả trong chuẩn mực này đều được đề cập đến.
A52. Đoạn A69-A104 Chuẩn mực này hướng dẫn áp dụng cho năm thành phần của kiểm soát nội bộ liên quan đến việc kiểm toán báo cáo tài chính. Phụ lục 1 của Chuẩn mực này giải thích kỹ hơn về các thành phần của kiểm soát nội bộ.
Đặc điểm của các yếu tố thủ công và các yếu tố tự động trong kiểm soát nội bộ liên quan đến việc đánh giá rủi ro của kiểm toán viên
A53. Hệ thống kiểm soát nội bộ của đơn vị bao gồm các yếu tố thủ công và các yếu tố tự động. Đặc điểm của các yếu tố thủ công và các yếu tố tự động có liên quan đến việc đánh giá rủi ro của kiểm toán viên cũng như các thủ tục kiểm toán tiếp theo dựa trên kết quả đánh giá đó.
A54. Việc sử dụng các yếu tố thủ công hay tự động trong kiểm soát nội bộ cũng ảnh hưởng đến cách thức tạo lập, ghi chép, xử lý và báo cáo các giao dịch:
· Các kiểm soát thủ công có thể bao gồm thủ tục phê duyệt, rà soát các giao dịch, đối chiếu và theo dõi các khoản đối chiếu đó. Ngoài ra, đơn vị có thể sử dụng các kiểm soát tự động để tạo lập, ghi chép, xử lý và báo cáo các giao dịch theo dạng điện tử để thay thế các tài liệu bằng giấy.
· Các kiểm soát trong hệ thống công nghệ thông tin là sự kết hợp cả kiểm soát tự động (ví dụ: các kiểm soát được thiết kế trong các chương trình máy tính) và kiểm soát thủ công. Ngoài ra, các kiểm soát thủ công có thể độc lập với công nghệ thông tin, có thể sử dụng các thông tin do công nghệ thông tin tạo ra, hoặc có thể giới hạn trong việc giám sát tính hữu hiệu của công nghệ thông tin và của các kiểm soát tự động và để giải quyết các tình huống ngoại lệ. Khi sử dụng công nghệ thông tin để tạo lập, ghi chép, xử lý và báo cáo các giao dịch hay các dữ liệu tài chính khác để đưa vào báo cáo tài chính, các hệ thống và chương trình phần mềm có thể gồm các kiểm soát liên quan tới các cơ sở dẫn liệu tương ứng đối với các tài khoản trọng yếu, hoặc mang tính quyết định đối với hoạt động hữu hiệu của các kiểm soát thủ công có sự phụ thuộc vào công nghệ thông tin.
Sự kết hợp các yếu tố thủ công và tự động trong kiểm soát nội bộ của đơn vị phụ thuộc vào đặc điểm và mức độ phức tạp của hệ thống công nghệ thông tin được sử dụng.
A55. Nhìn chung, công nghệ thông tin mang lại nhiều lợi ích cho kiểm soát nội bộ. Công nghệ thông tin giúp cho đơn vị có khả năng:
· Áp dụng nhất quán các quy tắc hoạt động đã đề ra, thực hiện được các phép tính phức tạp khi xử lý khối lượng giao dịch hoặc dữ liệu lớn;
· Nâng cao tính kịp thời, tính sẵn có và độ chính xác của thông tin;
· Tạo điều kiện thuận tiện cho việc phân tích thông tin;
· Nâng cao khả năng giám sát hoạt động của đơn vị, cũng như giám sát các chính sách và thủ tục của đơn vị;
· Giảm nguy cơ các kiểm soát bị vô hiệu hóa; và
· Nâng cao khả năng đạt được hiệu quả trong việc phân chia nhiệm vụ, bằng cách áp dụng các kiểm soát an ninh trong các chương trình ứng dụng, cơ sở dữ liệu và trong các hệ điều hành.
A56. Công nghệ thông tin cũng có thể mang đến những rủi ro cụ thể cho kiểm soát nội bộ của đơn vị, ví dụ:
· Tin cậy vào hệ thống hoặc chương trình trong khi hệ thống, chương trình lại xử lý không chính xác dữ liệu hoặc sử dụng dữ liệu không chính xác để xử lý, hoặc cả hai tình huống;
· Việc truy cập dữ liệu trái phép có thể dẫn đến dữ liệu bị xóa hoặc bị thay đổi không phù hợp, bao gồm hạch toán các giao dịch không đúng thẩm quyền, hạch toán các giao dịch không có thật, hoặc hạch toán các giao dịch không chính xác. Các rủi ro này gia tăng khi có nhiều người sử dụng truy cập vào một cơ sở dữ liệu chung.
· Khả năng nhân viên phụ trách hệ thống công nghệ thông tin có được đặc quyền truy cập nhiều hơn mức cần thiết so với nhiệm vụ được giao, do đó phá vỡ sự phân nhiệm;
· Những thay đổi trái phép dữ liệu gốc;
· Những thay đổi trái phép hệ thống hoặc chương trình;
· Thất bại trong việc tạo lập những thay đổi cần thiết đối với hệ thống hoặc chương trình;
· Can thiệp thủ công không thích hợp;
· Khả năng mất dữ liệu hoặc không thể truy cập vào dữ liệu khi cần thiết.
A57. Các yếu tố thủ công trong kiểm soát nội bộ có thể phù hợp hơn đối với các tình huống cần đến sự xét đoán và thận trọng, ví dụ:
· Các giao dịch lớn, bất thường hoặc không xảy ra thường xuyên;
· Các tình huống mà sai sót khó xác định và khó dự đoán;
· Các tình huống thường xuyên biến đổi đòi hỏi thêm các kiểm soát ngoài phạm vi các kiểm soát tự động hiện có;
· Giám sát tính hữu hiệu của kiểm soát tự động.
A58. Các kiểm soát thủ công trong kiểm soát nội bộ thường có độ tin cậy thấp hơn so với kiểm soát tự động do kiểm soát thủ công có thể dễ bị bỏ sót, bị khống chế và dễ mắc phải các sai sót đơn giản. Kiểm soát thủ công cũng có thể không đảm bảo tính nhất quán. Kiểm soát thủ công thường không phù hợp trong các tình huống sau:
· Khối lượng giao dịch lớn và thường xuyên lặp lại, hoặc các tình huống lỗi có thể dự đoán, có thể được ngăn chặn, phát hiện và sửa chữa bằng các kiểm soát được tự động hóa;
· Các hoạt động kiểm soát mà cách thức thực hiện có thể thiết kế và tự động hóa một cách phù hợp.
A59. Mức độ và tính chất rủi ro đối với kiểm soát nội bộ thường thay đổi tùy theo bản chất và đặc điểm của hệ thống thông tin của đơn vị. Đơn vị xử lý những rủi ro từ việc sử dụng công nghệ thông tin hoặc sử dụng các yếu tố thủ công trong kiểm soát nội bộ bằng cách thiết lập các kiểm soát hữu hiệu dựa trên đặc điểm hệ thống thông tin của đơn vị.
Các kiểm soát liên quan đến cuộc kiểm toán
A60. Các mục tiêu của đơn vị có mối liên hệ trực tiếp với các kiểm soát được thực hiện để cung cấp sự đảm bảo hợp lý về việc đạt được các mục tiêu đó. Tuy nhiên, không phải tất cả các mục tiêu của đơn vị và các kiểm soát liên quan đến báo cáo tài chính, hoạt động và sự tuân thủ đều liên quan đến việc đánh giá rủi ro của kiểm toán viên.
A61. Khi kiểm toán viên xét đoán về việc liệu một kiểm soát đơn lẻ hay kết hợp với các kiểm soát khác có liên quan đến cuộc kiểm toán hay không, các yếu tố có thể xem xét bao gồm:
· Mức trọng yếu;
· Mức độ nghiêm trọng của các rủi ro liên quan;
· Quy mô của đơn vị;
· Đặc điểm hoạt động kinh doanh của đơn vị, bao gồm các đặc điểm về tổ chức và sở hữu;
· Tính đa dạng và sự phức tạp trong hoạt động của đơn vị;
· Pháp luật và các quy định có liên quan;
· Các tình huống và các thành phần áp dụng của kiểm soát nội bộ;
· Đặc điểm và mức độ phức tạp của các hệ thống trong kiểm soát nội bộ của đơn vị, bao gồm cả việc sử dụng các tổ chức cung cấp dịch vụ;
· Sự tồn tại và cách thức một kiểm soát cụ thể, riêng lẻ hay kết hợp với các kiểm soát khác, có thể ngăn chặn, phát hiện và sửa chữa các sai sót trọng yếu.
A62. Các kiểm soát đối với tính đầy đủ và chính xác của thông tin được đơn vị cung cấp có thể liên quan đến cuộc kiểm toán nếu kiểm toán viên dự định sử dụng thông tin đó để thiết kế và thực hiện các thủ tục kiểm toán tiếp theo. Các kiểm soát liên quan đến các mục tiêu hoạt động và tính tuân thủ cũng có thể liên quan đến cuộc kiểm toán nếu các kiểm soát đó liên quan đến các dữ liệu mà kiểm toán viên đánh giá hoặc sử dụng khi thực hiện các thủ tục kiểm toán.
A63. Kiểm soát nội bộ đối với việc bảo vệ tài sản nhằm tránh việc mua, sử dụng và thanh lý không đúng thẩm quyền có thể bao gồm các kiểm soát liên quan đồng thời đến việc lập, trình bày báo cáo tài chính và các mục tiêu hoạt động của đơn vị. Đánh giá của kiểm toán viên về các kiểm soát này thường giới hạn ở các thủ tục liên quan đến độ tin cậy của báo cáo tài chính.
A64. Một đơn vị thường có các kiểm soát đối với một số mục tiêu không liên quan đến cuộc kiểm toán, do đó kiểm toán viên không cần phải xem xét các kiểm soát này. Ví dụ, đơn vị có thể dựa vào hệ thống kiểm soát tự động phức tạp để đảm bảo hiệu quả và hiệu suất hoạt động (ví dụ, hệ thống kiểm soát tự động của hãng hàng không đảm bảo đúng lịch trình bay), tuy nhiên, các kiểm soát này có thể không liên quan đến cuộc kiểm toán. Ngoài ra, mặc dù kiểm soát nội bộ có thể áp dụng trong toàn bộ đơn vị, hoặc trong một số bộ phận nghiệp vụ hay một số chu trình kinh doanh bất kỳ, hiểu biết về các kiểm soát nội bộ liên quan đến bộ phận nghiệp vụ hay các chu trình kinh doanh đó có thể không liên quan đến cuộc kiểm toán.
Lưu ý khi kiểm toán các đơn vị trong lĩnh vực công
A65. Khi kiểm toán các đơn vị trong lĩnh vực công, kiểm toán viên thường có nhiều trách nhiệm hơn đối với việc xem xét kiểm soát nội bộ, ví dụ, kiểm toán viên phải báo cáo về tính tuân thủ của đơn vị đối với các quy tắc và chuẩn mực nhất định trong lĩnh vực công. Kiểm toán viên cũng có thêm trách nhiệm báo cáo về sự tuân thủ pháp luật và các quy định. Do vậy, việc xem xét kiểm soát nội bộ có thể rộng hơn và chi tiết hơn.
Nội dung và mức độ hiểu biết về các kiểm soát có liên quan
A66. Khi đánh giá về mặt thiết kế của một kiểm soát, kiểm toán viên cần xem xét liệu kiểm soát đó, riêng lẻ hoặc kết hợp cùng các kiểm soát khác, có khả năng ngăn chặn hoặc phát hiện và sửa chữa một cách hiệu quả các sai sót trọng yếu hay không. Một kiểm soát được thực hiện có nghĩa là kiểm soát đó đang tồn tại và được đơn vị sử dụng. Nếu một kiểm soát không hiệu quả thì đánh giá việc thực hiện kiểm soát đó cũng không có ích gì, do vậy trước tiên cần xem xét về mặt thiết kế của kiểm soát. Một kiểm soát được thiết kế không phù hợp có thể là một khiếm khuyết nghiêm trọng trong kiểm soát nội bộ của đơn vị.
A67. Thủ tục đánh giá rủi ro để thu thập các bằng chứng kiểm toán về thiết kế và thực hiện các kiểm soát liên quan có thể bao gồm:
· Phỏng vấn nhân sự của đơn vị;
· Quan sát việc áp dụng các kiểm soát cụ thể;
· Kiểm tra các báo cáo và tài liệu;
· Kiểm tra các giao dịch trên hệ thống thông tin liên quan đến báo cáo tài chính.
Để đạt được mục tiêu thu thập bằng chứng kiểm toán, nếu kiểm toán viên sử dụng thủ tục phỏng vấn thì cần phải sử dụng kết hợp với các thủ tục khác.
A68. Nếu kiểm toán viên chỉ tìm hiểu về các kiểm soát của đơn vị thì chưa đủ để kiểm tra tính hữu hiệu của các kiểm soát đó, trừ khi đơn vị có những biện pháp tự động hóa để đảm bảo cho các kiểm soát hoạt động nhất quán. Ví dụ, bằng chứng kiểm toán cho thấy một kiểm soát thủ công được thực hiện tại một thời điểm nào đó không thể chứng minh cho tính hữu hiệu của kiểm soát đó tại các thời điểm khác trong kỳ kiểm toán. Tuy nhiên, do tính nhất quán vốn có của quy trình xử lý công nghệ thông tin (xem đoạn A55), tùy theo đánh giá của kiểm toán viên, các thủ tục kiểm toán nhằm xác định liệu một kiểm soát tự động có được thực hiện hay không cũng có thể được sử dụng để kiểm tra tính hữu hiệu của kiểm soát đó. Kiểm tra tính hữu hiệu của các kiểm soát được quy định và hướng dẫn cụ thể tại Chuẩn mực kiểm toán quốc tế số 330.[10]
Trả lời