Kiểm soát nội bộ của đơn vị được kiểm toán

A42. Hiểu biết về kiểm soát nội bộ giúp kiểm toán viên xác định các loại sai sót tiềm tàng và các yếu tố ảnh hưởng đến rủi ro có sai sót trọng yếu và xác định nội dung, lịch trình và phạm vi của các thủ tục kiểm toán tiếp theo.

A43. Các hướng dẫn quan trọng về kiểm soát nội bộ được trình bày ở bốn phần sau:

(1) Bản chất và đặc điểm chung của kiểm soát nội bộ;

(2) Các kiểm soát liên quan đến cuộc kiểm toán;

(3) Nội dung và mức độ hiểu biết về các kiểm soát liên quan;

(4) Các thành phần của kiểm soát nội bộ.

Bản chất và đặc điểm chung của kiểm soát nội bộ.

Mục đích của kiểm soát nội bộ

A44. Kiểm soát nội bộ được thiết kế, thực hiện và duy trì nhằm giải quyết các rủi ro kinh doanh đã được xác định, gây ra nguy cơ đơn vị không đạt được một trong các mục tiêu liên quan đến:

(1) Độ tin cậy của quy trình lập và trình bày báo cáo tài chính;

(2) Hiệu quả và hiệu suất hoạt động;

(3) Việc tuân thủ pháp luật và các quy định hiện hành.

Việc thiết kế, thực hiện và duy trì kiểm soát nội bộ có thể thay đổi theo quy mô và mức độ phức tạp của đơn vị.

Lưu ý khi kiểm toán các đơn vị nhỏ

A45. Các đơn vị nhỏ có thể sử dụng ít chức năng, ít thủ tục hơn và các quy trình, thủ tục đơn giản hơn để thực hiện mục tiêu của mình.

Các hạn chế của kiểm soát nội bộ

A46. Kiểm soát nội bộ, dù hiệu quả đến mức nào, cũng chỉ có thể cung cấp cho đơn vị một sự đảm bảo hợp lý để đạt được mục tiêu lập và trình bày báo cáo tài chính của đơn vị. Khả năng đạt được mục tiêu chịu ảnh hưởng bởi những hạn chế vốn có của kiểm soát nội bộ. Các hạn chế này bao gồm việc con người có thể có sai lầm khi đưa ra quyết định và sự thất bại của kiểm soát nội bộ có thể xảy ra do sai sót của con người, ví dụ có thể có sai sót trong việc thiết kế hoặc thay đổi một kiểm soát. Tương tự, một kiểm soát có thể hoạt động không hiệu quả, như thông tin thu thập phục vụ việc kiểm soát nội bộ không được sử dụng hợp lý do người chịu trách nhiệm rà soát thông tin này không hiểu rõ mục đích của thông tin hoặc không có những hành động phù hợp.

A47. Ngoài ra, các kiểm soát có thể bị vô hiệu hóa do sự thông đồng của hai hay nhiều người hoặc bị Ban Giám đốc khống chế. Ví dụ, Ban Giám đốc có thể có các “thỏa thuận phụ” với khách hàng nhằm thay đổi các điều khoản trong hợp đồng bán hàng mẫu của đơn vị, dẫn đến việc ghi nhận doanh thu không chính xác. Cũng như vậy, chức năng của phần mềm máy tính giúp phát hiện và báo cáo về các giao dịch vượt hạn mức tín dụng cho phép có thể bị khống chế hoặc vô hiệu hóa.

A48. Bên cạnh đó, khi thiết kế và thực hiện các kiểm soát, Ban Giám đốc có thể thực hiện các xét đoán về phạm vi, mức độ các kiểm soát mà Ban Giám đốc lựa chọn thực hiện và về phạm vi, mức độ rủi ro mà họ quyết định chấp nhận.

Lưu ý khi kiểm toán các đơn vị nhỏ

A49. Các đơn vị nhỏ thường có ít nhân lực, do đó hạn chế trong việc phân chia trách nhiệm và quyền hạn. Tuy nhiên, trong đơn vị nhỏ mà người chủ sở hữu đồng thời là Giám đốc thì người đó có khả năng giám sát tốt hơn so với đơn vị lớn. Sự giám sát này có thể bù đắp những hạn chế trong việc phân chia trách nhiệm và quyền hạn.

A50. Mặt khác, người chủ sở hữu đồng thời là Giám đốc cũng có nhiều khả năng hơn trong việc khống chế các kiểm soát do hệ thống kiểm soát nội bộ có cơ cấu đơn giản hơn. Kiểm toán viên cần xem xét điều này khi xác định các rủi ro có sai sót trọng yếu do gian lận.

Sự phân chia kiểm soát nội bộ thành các thành phần

A51. Trong các chuẩn mực kiểm toán Việt Nam, kiểm soát nội bộ được chia thành năm thành phần nhằm cung cấp một khuôn khổ giúp kiểm toán viên xem xét các khía cạnh khác nhau trong kiểm soát nội bộ của đơn vị có thể ảnh hưởng tới cuộc kiểm toán như thế nào:

(a) Môi trường kiểm soát;

(b) Quy trình đánh giá rủi ro của đơn vị;

(c) Hệ thống thông tin liên quan đến việc lập và trình bày báo cáo tài chính, bao gồm các quy trình kinh doanh có liên quan, và trao đổi thông tin;

(d) Các hoạt động kiểm soát;

(e) Giám sát các kiểm soát.

Sự phân chia này không nhất thiết phải thể hiện cách thức đơn vị thiết kế, thực hiện và duy trì kiểm soát nội bộ hoặc các thành phần đó được phân loại như thế nào. Kiểm toán viên có thể sử dụng các thuật ngữ hay các quy định khác để thể hiện các thành phần khác nhau của kiểm soát nội bộ cũng như sự tác động của các thành phần này đến cuộc kiểm toán, với điều kiện là tất cả các thành phần được mô tả trong Chuẩn mực này đều được đề cập đến.

A52. Đoạn A69 – A104 Chuẩn mực này hướng dẫn áp dụng cho năm thành phần của kiểm soát nội bộ liên quan đến việc kiểm toán báo cáo tài chính. Phụ lục 01 của Chuẩn mực này cung cấp thêm các thành phần của kiểm soát nội bộ.

Đặc điểm của các yếu tố thủ công và các yếu tố tự động trong kiểm soát nội bộ ảnh hưởng đến việc đánh giá rủi ro của kiểm toán viên

A53. Hệ thống kiểm soát nội bộ của đơn vị bao gồm các yếu tố thủ công và các yếu tố tự động. Đặc điểm của các yếu tố thủ công và các yếu tố tự động có liên quan đến việc đánh giá rủi ro của kiểm toán viên cũng như các thủ tục kiểm toán tiếp theo dựa trên kết quả đánh giá đó.

A54. Việc sử dụng các yếu tố thủ công hay tự động trong kiểm soát nội bộ cũng ảnh hưởng đến cách thức tạo lập, ghi chép, xử lý và báo cáo các giao dịch:

(1) Các kiểm soát thủ công có thể bao gồm thủ tục phê duyệt, rà soát các giao dịch, đối chiếu và theo dõi các khoản đối chiếu đó. Ngoài ra, đơn vị có thể sử dụng các kiểm soát tự động để tạo lập, ghi chép, xử lý và báo cáo các giao dịch theo dạng điện tử để thay thế các tài liệu bằng giấy.

(2) Các kiểm soát trong hệ thống công nghệ thông tin là sự kết hợp cả kiểm soát tự động (ví dụ: các kiểm soát được thiết kế trong các chương trình máy tính) và kiểm soát thủ công. Ngoài ra, các kiểm soát thủ công có thể độc lập với công nghệ thông tin, có thể sử dụng các dữ liệu từ hệ thống công nghệ thông tin, hoặc có thể giới hạn trong việc giám sát tính hữu hiệu của công nghệ thông tin, tính hữu hiệu của các kiểm soát tự động và để giải quyết các tình huống ngoại lệ. Khi sử dụng công nghệ thông tin để tạo lập, ghi chép, xử lý và báo cáo các giao dịch hay các dữ liệu tài chính khác để đưa vào báo cáo tài chính, các hệ thống và chương trình phần mềm có thể gồm các kiểm soát liên quan tới các cơ sở dẫn liệu tương ứng đối với các tài khoản trọng yếu, hoặc mang tính quyết định đối với hoạt động hữu hiệu của các kiểm soát thủ công có sự phụ thuộc vào công nghệ thông tin.

Sự kết hợp các yếu tố thủ công và tự động trong kiểm soát nội bộ của đơn vị phụ thuộc vào đặc điểm và mức độ phức tạp của hệ thống công nghệ thông tin được sử dụng.

A55. Nhìn chung, công nghệ thông tin mang lại nhiều lợi ích cho kiểm soát nội bộ. Công nghệ thông tin giúp cho đơn vị có khả năng:

(1) Áp dụng nhất quán các quy tắc hoạt động đã đề ra, thực hiện được các tính toán phức tạp khi xử lý khối lượng giao dịch và dữ liệu lớn;

(2) Nâng cao tính kịp thời, tính sẵn có và độ chính xác của thông tin;

(3) Tạo điều kiện thuận tiện cho việc phân tích thông tin;

(4) Nâng cao khả năng giám sát hoạt động của đơn vị, cũng như giám sát các chính sách và thủ tục của đơn vị;

(5) Giảm nguy cơ các kiểm soát bị vô hiệu hóa;

(6) Nâng cao khả năng đạt được hiệu quả trong việc phân chia nhiệm vụ, bằng cách áp dụng các kiểm soát an ninh trong các chương trình ứng dụng, cơ sở dữ liệu và trong các hệ điều hành.

A56. Công nghệ thông tin cũng có thể mang đến những rủi ro cụ thể cho kiểm soát nội bộ của đơn vị, ví dụ:

(1) Tin cậy vào hệ thống hoặc chương trình trong khi hệ thống, chương trình lại xử lý không chính xác dữ liệu hoặc sử dụng dữ liệu không chính xác để xử lý, hoặc cả hai tình huống;

(2) Việc truy cập dữ liệu trái phép có thể dẫn đến dữ liệu bị xóa hoặc bị thay đổi, bao gồm hạch toán các giao dịch không đúng thẩm quyền, hạch toán các giao dịch không có thật, hoặc hạch toán các giao dịch không chính xác. Các rủi ro này gia tăng khi có nhiều người sử dụng truy cập vào một cơ sở dữ liệu chung;

(3) Khả năng nhân viên phụ trách hệ thống công nghệ thông tin có được đặc quyền truy cập nhiều hơn mức cần thiết so với nhiệm vụ được giao, do đó phá vỡ sự phân nhiệm;

(4) Những thay đổi trái phép dữ liệu gốc;

(5) Những thay đổi trái phép hệ thống hoặc chương trình;

(6) Thất bại trong việc tạo lập những thay đổi cần thiết đối với hệ thống hoặc chương trình;

(7) Can thiệp thủ công không chính xác;

(8) Khả năng mất dữ liệu hoặc không thể truy cập vào dữ liệu khi được yêu cầu.

A57. Các yếu tố thủ công trong kiểm soát nội bộ có thể phù hợp hơn đối với các tình huống cần đến sự xét đoán và thận trọng, ví dụ:

(1) Các giao dịch lớn, bất thường hoặc không lặp lại;

(2) Các tình huống mà sai sót khó xác định và khó dự đoán;

(3) Các tình huống thường xuyên biến đổi đòi hỏi thêm các kiểm soát ngoài phạm vi các kiểm soát tự động hiện có;

(4) Giám sát tính hiệu quả của kiểm soát tự động.

A58. Các kiểm soát thủ công trong kiểm soát nội bộ thường có độ tin cậy thấp hơn so với kiểm soát tự động do kiểm soát thủ công có thể dễ bị bỏ sót, bị khống chế và dễ mắc phải các sai sót đơn giản. Kiểm soát thủ công cũng có thể không đảm bảo tính nhất quán. Kiểm soát thủ công thường không phù hợp trong các tình huống sau:

(1) Khối lượng giao dịch lớn và thường xuyên lặp lại, hoặc các tình huống lỗi có thể dự đoán, có thể được ngăn chặn, phát hiện và sửa chữa bằng các kiểm soát được tự động hóa;

(2) Các hoạt động kiểm soát mà cách thức thực hiện có thể thiết kế và tự động hóa một cách phù hợp.

A59. Phạm vi và đặc điểm của các rủi ro đối với kiểm soát nội bộ thường thay đổi tùy theo bản chất và đặc điểm của hệ thống thông tin của đơn vị. Đơn vị xử lý những rủi ro từ việc sử dụng công nghệ thông tin hoặc sử dụng các yếu tố thủ công trong kiểm soát nội bộ bằng cách thiết kế các kiểm soát hữu hiệu dựa trên đặc điểm hệ thống thông tin của đơn vị.

Các kiểm soát liên quan đến cuộc kiểm toán

A60. Các mục tiêu của đơn vị có mối liên hệ trực tiếp với các kiểm soát được thực hiện để cung cấp sự đảm bảo hợp lý nhằm đạt được các mục tiêu đó. Tuy nhiên, không phải tất cả các mục tiêu của đơn vị và các kiểm soát liên quan đến báo cáo tài chính, hoạt động và sự tuân thủ đều liên quan đến việc đánh giá rủi ro của kiểm toán viên.

A61. Khi kiểm toán viên xét đoán về việc liệu một kiểm soát đơn lẻ hay kết hợp với các kiểm soát khác có liên quan đến cuộc kiểm toán hay không, các yếu tố có thể xem xét bao gồm:

(1) Tính trọng yếu;

(2) Mức độ nghiêm trọng của các rủi ro liên quan;

(3) Quy mô của đơn vị;

(4) Đặc điểm hoạt động kinh doanh của đơn vị, bao gồm các đặc điểm về đơn vị và chủ sở hữu;

(5) Tính đa dạng và sự phức tạp trong hoạt động của đơn vị;

(6) Các quy định pháp luật hiện hành;

(7) Các tình huống và các thành phần áp dụng của kiểm soát nội bộ;

(8) Đặc điểm và mức độ phức tạp của các hệ thống trong kiểm soát nội bộ của đơn vị, bao gồm cả việc sử dụng tổ chức cung cấp dịch vụ;

(9) Sự tồn tại và cách thức một kiểm soát cụ thể, riêng lẻ hay kết hợp với các kiểm soát khác, có thể ngăn chặn, phát hiện và sửa chữa các sai sót trọng yếu.

A62. Các kiểm soát đối với tính đầy đủ và chính xác của thông tin được đơn vị cung cấp có thể liên quan đến cuộc kiểm toán nếu kiểm toán viên dự định sử dụng thông tin đó để thiết kế và thực hiện các thủ tục kiểm toán tiếp theo. Các kiểm soát liên quan đến các mục tiêu hoạt động và tính tuân thủ cũng có thể liên quan đến cuộc kiểm toán nếu các kiểm soát đó liên quan đến các dữ liệu mà kiểm toán viên đánh giá hoặc sử dụng khi thực hiện các thủ tục kiểm toán.

A63. Các kiểm soát nội bộ đối với việc bảo vệ tài sản nhằm tránh việc mua, sử dụng và thanh lý không đúng thẩm quyền có thể bao gồm các kiểm soát liên quan đồng thời đến việc lập, trình bày báo cáo tài chính và các mục tiêu hoạt động của đơn vị. Đánh giá của kiểm toán viên về các kiểm soát này thường giới hạn ở các thủ tục liên quan đến độ tin cậy của báo cáo tài chính.

A64. Một đơn vị thường có các kiểm soát đối với một số mục tiêu không liên quan đến cuộc kiểm toán, do đó kiểm toán viên không cần phải xem xét các kiểm soát này. Ví dụ, đơn vị có thể dựa vào hệ thống kiểm soát tự động phức tạp để đảm bảo hiệu quả và hiệu suất hoạt động (ví dụ, hệ thống kiểm soát tự động của hãng hàng không đảm bảo đúng lịch trình bay), tuy nhiên, các kiểm soát này có thể không liên quan đến cuộc kiểm toán. Ngoài ra, mặc dù kiểm soát nội bộ có thể áp dụng trong toàn bộ đơn vị, hoặc trong một số bộ phận nghiệp vụ hay một số chu trình kinh doanh bất kỳ, hiểu biết về các kiểm soát nội bộ liên quan đến bộ phận nghiệp vụ hay các chu trình kinh doanh đó có thể không liên quan đến cuộc kiểm toán.

Lưu ý khi kiểm toán các đơn vị trong lĩnh vực công

A65. Khi kiểm toán các đơn vị trong lĩnh vực công, kiểm toán viên thường có nhiều trách nhiệm hơn đối với việc xem xét kiểm soát nội bộ, ví dụ, kiểm toán viên phải báo cáo về tính tuân thủ của đơn vị đối với quy định về chi tiêu đối với đơn vị hành chính. Kiểm toán viên cũng có thêm trách nhiệm báo cáo về sự tuân thủ pháp luật và các quy định. Do vậy, việc xem xét kiểm soát nội bộ có thể rộng hơn và chi tiết hơn.

Nội dung và mức độ hiểu biết về các kiểm soát có liên quan (hướng dẫn đoạn 13 Chuẩn mực này)

A66. Khi đánh giá về mặt thiết kế của một kiểm soát, kiểm toán viên cần xem xét liệu kiểm soát đó, riêng lẻ hoặc kết hợp cùng các kiểm soát khác, có khả năng ngăn chặn hoặc phát hiện và sửa chữa một cách hiệu quả các sai sót trọng yếu hay không. Một kiểm soát được thực hiện có nghĩa là kiểm soát đó đang tồn tại và được đơn vị sử dụng. Nếu một kiểm soát không hiệu quả thì đánh giá việc thực hiện kiểm soát đó cũng không có nhiều ý nghĩa, do vậy trước tiên cần xem xét về mặt thiết kế của kiểm soát. Một kiểm soát được thiết kế không phù hợp có thể là một khiếm khuyết nghiêm trọng trong kiểm soát nội bộ của đơn vị.

A67. Thủ tục đánh giá rủi ro để thu thập các bằng chứng kiểm toán về thiết kế và thực hiện các kiểm soát liên quan có thể bao gồm:

(1) Phỏng vấn nhân sự của đơn vị;

(2) Quan sát việc áp dụng các kiểm soát cụ thể;

(3) Kiểm tra các báo cáo và tài liệu;

(4) Kiểm tra các giao dịch trên hệ thống thông tin liên quan đến báo cáo tài chính.

Để đạt được mục tiêu thu thập bằng chứng kiểm toán, nếu kiểm toán viên sử dụng thủ tục phỏng vấn thì cần phải sử dụng kết hợp với các thủ tục khác.

A68. Nếu kiểm toán viên chỉ hiểu biết về các kiểm soát của đơn vị thì chưa đủ để kiểm tra tính hữu hiệu của các kiểm soát đó, trừ khi đơn vị có những biện pháp tự động hóa để đảm bảo cho các kiểm soát hoạt động nhất quán. Ví dụ, bằng chứng kiểm toán cho thấy một kiểm soát thủ công được thực hiện tại một thời điểm nào đó không thể chứng minh cho tính hữu hiệu của kiểm soát đó tại các thời điểm khác trong kỳ kiểm toán. Tuy nhiên, do tính nhất quán vốn có của quy trình xử lý công nghệ thông tin (xem đoạn A55 Chuẩn mực này), tùy theo đánh giá của kiểm toán viên, các thủ tục kiểm toán nhằm xác định liệu một kiểm soát tự động có được thực hiện hay không cũng có thể được sử dụng để kiểm tra tính hữu hiệu của kiểm soát đó. Chuẩn mực kiểm toán Việt Nam số 330 quy định và hướng dẫn việc kiểm tra tính hữu hiệu của các kiểm soát.

Các thành phần của kiểm soát nội bộ – Môi trường kiểm soát (hướng dẫn đoạn 14 Chuẩn mực này)

A69. Môi trường kiểm soát bao gồm các chức năng quản trị và quản lý, các quan điểm, nhận thức và hành động của Ban quản trị và Ban Giám đốc liên quan đến kiểm soát nội bộ và tầm quan trọng của kiểm soát nội bộ đối với hoạt động của đơn vị. Môi trường kiểm soát tạo nên đặc điểm chung của một đơn vị, có tác động trực tiếp đến ý thức của từng thành viên trong đơn vị về công tác kiểm soát.

A70. Để tìm hiểu về môi trường kiểm soát của đơn vị, kiểm toán viên có thể cần xem xét các yếu tố của môi trường kiểm soát sau đây:

(a) Truyền đạt thông tin và yêu cầu thực thi tính chính trực và các giá trị đạo đức: Đây là những yếu tố then chốt ảnh hưởng đến hiệu quả của việc thiết kế, vận hành và giám sát các kiểm soát;

(b) Cam kết về năng lực: Sự cân nhắc của Ban Giám đốc về các mức độ năng lực cần đáp ứng cho mỗi nhiệm vụ cụ thể, các kỹ năng và kiến thức cần thiết tương ứng;

(c) Sự tham gia của Ban quản trị:

(1) Độc lập đối với Ban Giám đốc đơn vị;

(2) Có kinh nghiệm và vị thế;

(3) Mức độ tham gia của Ban quản trị, những thông tin Ban quản trị nhận được và sự xem xét kỹ lưỡng các hoạt động;

(4) Tính hợp lý trong hành động của Ban quản trị, gồm mức độ phức tạp của các câu hỏi đã được đặt ra và theo sát việc xử lý của Ban Giám đốc, và cách làm việc của Ban Giám đốc với kiểm toán nội bộ và kiểm toán độc lập.

(d) Triết lý và phong cách điều hành của Ban Giám đốc:

(1) Cách tiếp cận đối với việc quản lý và chấp nhận rủi ro kinh doanh;

(2) Quan điểm và hành động đối với việc lập và trình bày báo cáo tài chính;

(3) Quan điểm đối với việc xử lý thông tin, công việc kế toán và nhân sự.

(e) Cơ cấu tổ chức: Khuôn khổ mà theo đó các hoạt động của đơn vị được lập kế hoạch, thực hiện, kiểm soát và soát xét nhằm đạt được mục tiêu;

(f) Phân công quyền hạn và trách nhiệm: Cách thức phân công quyền hạn và trách nhiệm đối với các hoạt động; cách thức thiết lập trình tự hệ thống báo cáo và sự phân chia quyền hạn và trách nhiệm giữa các cấp;

(g) Các chính sách và thông lệ về nhân sự: Các chính sách và thông lệ liên quan đến các hoạt động tuyển dụng, định hướng, đào tạo, đánh giá, hướng dẫn, thăng tiến nhân viên, lương, thưởng và các biện pháp khắc phục sai sót.

Bằng chứng kiểm toán về các yếu tố của môi trường kiểm soát

A71. Các bằng chứng kiểm toán thích hợp về các yếu tố của môi trường kiểm soát có thể được thu thập bằng việc kết hợp thủ tục phỏng vấn và các thủ tục đánh giá rủi ro khác, như chứng thực kết quả phỏng vấn qua quan sát hoặc kiểm tra tài liệu. Ví dụ, bằng việc phỏng vấn Ban Giám đốc và nhân viên, kiểm toán viên tìm hiểu được cách thức Ban Giám đốc truyền đạt cho nhân viên quan điểm của họ về các thông lệ kinh doanh và hành vi đạo đức kinh doanh. Sau đó, kiểm toán viên sẽ xác định xem các kiểm soát tương ứng đã được thực hiện hay chưa, bằng việc xem xét các yếu tố như, liệu Ban Giám đốc có bộ quy tắc đạo đức kinh doanh bằng văn bản không và họ có ứng xử theo bộ quy tắc đạo đức kinh doanh hay không.

Ảnh hưởng của môi trường kiểm soát đến việc đánh giá rủi ro có sai sót trọng yếu

A72. Một số yếu tố của môi trường kiểm soát của đơn vị có ảnh hưởng lớn đến việc đánh giá rủi ro có sai sót trọng yếu. Ví dụ, Ban quản trị đơn vị sẽ có ảnh hưởng đáng kể đến ý thức về công tác kiểm soát của đơn vị, vì một trong những nhiệm vụ của Ban quản trị là cân bằng những áp lực đặt ra đối với Ban Giám đốc liên quan đến lập và trình bày báo cáo tài chính mà những áp lực này có thể phát sinh từ các nhu cầu thị trường và kế hoạch tiền lương. Hiệu quả của việc thiết kế môi trường kiểm soát liên quan đến sự tham gia của Ban quản trị chịu ảnh hưởng bởi các vấn đề như:

(1) Sự độc lập của Ban quản trị đối với Ban Giám đốc và khả năng đánh giá hoạt động của Ban Giám đốc;

(2) Hiểu biết của Ban quản trị về các nghiệp vụ kinh doanh của đơn vị;

(3) Mức độ Ban quản trị đánh giá về tính phù hợp của báo cáo tài chính đối với khuôn khổ về lập và trình bày báo cáo tài chính được áp dụng.

A73. Trong các yếu tố của môi trường kiểm soát, một Hội đồng quản trị độc lập và tích cực có thể ảnh hưởng đến triết lý và tác phong làm việc của các thành viên Ban Giám đốc. Tuy nhiên, một số yếu tố khác của môi trường kiểm soát có thể chỉ có hiệu quả hạn chế. Ví dụ, các chính sách và thông lệ về nhân sự nhằm tuyển dụng các nhân sự tài chính, kế toán và công nghệ thông tin có năng lực có thể làm giảm rủi ro sai sót trong quá trình xử lý thông tin tài chính nhưng không thể loại bỏ xu hướng Ban Giám đốc báo cáo lợi nhuận cao hơn thực tế.

A74. Khi kiểm toán viên đánh giá rủi ro có sai sót trọng yếu, sự tồn tại của một môi trường kiểm soát thỏa đáng có thể là một yếu tố tích cực của đơn vị. Tuy nhiên, một môi trường kiểm soát thỏa đáng có thể giúp giảm rủi ro do gian lận nhưng không thể ngăn chặn hoàn toàn gian lận. Ngược lại, những khiếm khuyết trong môi trường kiểm soát có thể làm giảm hiệu quả của các kiểm soát, nhất là đối với gian lận. Ví dụ, việc Ban Giám đốc không bố trí đủ nguồn lực để xử lý các rủi ro về an toàn công nghệ thông tin có thể gây ảnh hưởng bất lợi đến kiểm soát nội bộ, bằng cách cho phép tạo ra những thay đổi không phù hợp trong chương trình máy tính, thay đổi dữ liệu hoặc xử lý giao dịch không đúng thẩm quyền. Theo hướng dẫn tại đoạn A2 – A3 Chuẩn mực kiểm toán Việt Nam số 330, môi trường kiểm soát cũng có ảnh hưởng đến nội dung, lịch trình và phạm vi của các thủ tục kiểm toán tiếp theo.

A75. Bản thân môi trường kiểm soát không thể tự ngăn chặn hoặc tự phát hiện và sửa chữa một sai sót trọng yếu. Tuy nhiên, môi trường kiểm soát có thể ảnh hưởng đến đánh giá của kiểm toán viên về tính hữu hiệu của các kiểm soát khác (ví dụ, việc giám sát các kiểm soát và sự vận hành của các hoạt động kiểm soát cụ thể) và do đó, ảnh hưởng đến đánh giá của kiểm toán viên về rủi ro có sai sót trọng yếu.

Lưu ý khi kiểm toán các đơn vị nhỏ

A76. Môi trường kiểm soát trong đơn vị nhỏ thường khác biệt so với đơn vị lớn. Ví dụ, Ban quản trị trong đơn vị nhỏ có thể không có thành viên độc lập hoặc từ bên ngoài đơn vị và công tác quản trị có thể do chính chủ sở hữu đồng thời là Giám đốc đơn vị đảm nhận, vì không có người sở hữu nào khác. Đặc điểm của môi trường kiểm soát có thể ảnh hưởng đến tầm quan trọng của các kiểm soát khác, hoặc ảnh hưởng đến việc không có các kiểm soát khác. Ví dụ, một chủ sở hữu kiêm Giám đốc năng động có thể làm giảm khả năng xảy ra rủi ro do thiếu sự phân chia trách nhiệm trong đơn vị nhỏ, tuy nhiên, điều này có thể làm gia tăng các rủi ro khác như rủi ro các kiểm soát bị khống chế.

A77. Ngoài ra, bằng chứng kiểm toán về các yếu tố trong môi trường kiểm soát ở các đơn vị nhỏ có thể không thể hiện bằng văn bản, như việc truyền đạt thông tin giữa Ban Giám đốc và nhân viên có thể theo hình thức không chính thức nhưng vẫn hiệu quả. Ví dụ, một đơn vị nhỏ có thể không có bộ quy tắc đạo đức kinh doanh bằng văn bản nhưng thay vào đó, đơn vị xây dựng văn hóa doanh nghiệp, nhấn mạnh tầm quan trọng của tính chính trực và hành vi đạo đức thông qua lời nói và tấm gương của Ban Giám đốc.

A78. Do vậy, khi tìm hiểu về môi trường kiểm soát của đơn vị nhỏ, kiểm toán viên cần đặc biệt quan tâm đến quan điểm, nhận thức và hành động của Ban Giám đốc hoặc của chủ sở hữu đồng thời là Giám đốc đơn vị.

Các thành phần của kiểm soát nội bộ – Quy trình đánh giá rủi ro của đơn vị (hướng dẫn đoạn 15 Chuẩn mực này)

A79. Quy trình đánh giá rủi ro của đơn vị hình thành nên cơ sở để Ban Giám đốc xác định các rủi ro cần được quản lý. Một quy trình đánh giá rủi ro phù hợp với hoàn cảnh, bản chất, quy mô và mức độ phức tạp của đơn vị có thể giúp kiểm toán viên phát hiện các rủi ro có sai sót trọng yếu. Kiểm toán viên phải sử dụng xét đoán chuyên môn để xác định quy trình đánh giá rủi ro của đơn vị có phù hợp hay không.

Lưu ý khi kiểm toán các đơn vị nhỏ (hướng dẫn đoạn 17 Chuẩn mực này)

A80. Đơn vị nhỏ thường không có quy trình đánh giá rủi ro được thiết lập một cách chính thức. Trong trường hợp này, Ban Giám đốc thường phát hiện rủi ro thông qua việc trực tiếp tham gia vào công việc kinh doanh. Mặc dù vậy, kiểm toán viên vẫn phải phỏng vấn về các rủi ro được phát hiện và cách thức Ban Giám đốc giải quyết những rủi ro này.

Các thành phần của kiểm soát nội bộ – Hệ thống thông tin liên quan đến việc lập và trình bày báo cáo tài chính, bao gồm các quy trình kinh doanh có liên quan, và trao đổi thông tin

Hệ thống thông tin liên quan đến việc lập và trình bày báo cáo tài chính, bao gồm các quy trình kinh doanh có liên quan (hướng dẫn đoạn 18 Chuẩn mực này)

A81. Hệ thống thông tin liên quan đến mục tiêu lập và trình bày báo cáo tài chính, trong đó có hệ thống kế toán, bao gồm các thủ tục và tài liệu được thiết kế và xây dựng để:

(1) Tạo lập, ghi chép, xử lý và báo cáo các giao dịch của đơn vị (cũng như các sự việc và các điều kiện) và duy trì trách nhiệm liên quan đối với tài sản, nợ phải trả và nguồn vốn chủ sở hữu;

(2) Giải quyết các giao dịch đã bị xử lý sai, ví dụ theo dõi và tất toán các khoản mục chờ xử lý một cách kịp thời;

(3) Xử lý và giải thích cho những cách thức có thể khống chế hoặc bỏ qua các kiểm soát;

(4) Chuyển dữ liệu từ hệ thống xử lý giao dịch sang Sổ Cái;

(5) Thu thập thông tin liên quan đến báo cáo tài chính về các sự việc và các điều kiện khác ngoài các giao dịch phát sinh, như việc khấu hao tài sản và các thay đổi trong khả năng thu hồi các khoản phải thu;

(6) Đảm bảo những thông tin cần thuyết minh theo khuôn khổ về lập và trình bày báo cáo tài chính được áp dụng đã được thu thập, ghi chép, xử lý, tóm tắt và trình bày phù hợp trên báo cáo tài chính.

Các bút toán ghi sổ

A82. Hệ thống thông tin của một đơn vị thường bao gồm các bút toán ghi sổ thông dụng được dùng lặp đi lặp lại để ghi nhận các giao dịch. Ví dụ, các bút toán ghi sổ để ghi nhận vào Sổ Cái các giao dịch về doanh thu, mua hàng, thanh toán hoặc định kỳ ghi nhận các ước tính kế toán của Ban Giám đốc như thay đổi ước tính về khả năng thu hồi các khoản phải thu.

A83. Trong quy trình lập và trình bày báo cáo tài chính, đơn vị cũng sử dụng các bút toán ghi sổ không thông dụng để ghi nhận các giao dịch không thường xuyên, các giao dịch bất thường hoặc các điều chỉnh. Ví dụ về các bút toán không thông dụng gồm: các bút toán điều chỉnh khi lập báo cáo tài chính hợp nhất, các bút toán khi hợp nhất hay thanh lý hoạt động kinh doanh hoặc các ước tính về tổn thất tài sản. Trong hệ thống kế toán thủ công, kiểm toán viên có thể nhận biết các bút toán không thông dụng qua việc kiểm tra các sổ chi tiết, các bút toán và các tài liệu liên quan. Khi sử dụng hệ thống kế toán tự động, các bút toán như trên có thể chỉ tồn tại dưới dạng dữ liệu điện tử, do đó, kiểm toán viên có thể dễ nhận biết hơn bằng cách sử dụng các kỹ thuật kiểm toán dựa trên sự hỗ trợ của máy tính.

Các quy trình kinh doanh có liên quan

A84. Các quy trình kinh doanh của một đơn vị là các hoạt động được thiết kế nhằm:

(1) Phát triển, mua sắm, sản xuất, bán và phân phối các sản phẩm và dịch vụ của đơn vị;

(2) Bảo đảm tuân thủ pháp luật và các quy định;

(3) Ghi nhận thông tin, bao gồm cả các thông tin kế toán và thông tin báo cáo tài chính.

Các quy trình kinh doanh của đơn vị tạo ra các giao dịch được hệ thống thông tin ghi nhận, xử lý và báo cáo. Việc tìm hiểu các quy trình kinh doanh của đơn vị, trong đó có cách thức các giao dịch phát sinh, sẽ giúp kiểm toán viên hiểu về hệ thống thông tin của đơn vị liên quan đến việc lập và trình bày báo cáo tài chính theo cách thức phù hợp với hoàn cảnh đơn vị.

Lưu ý khi kiểm toán các đơn vị nhỏ

A85. Trong các đơn vị nhỏ, hệ thống thông tin và các quy trình kinh doanh liên quan đến việc lập và trình bày báo cáo tài chính thường ít phức tạp hơn nhưng cũng không kém phần quan trọng so với các đơn vị lớn. Các đơn vị nhỏ có sự tham gia tích cực của Ban Giám đốc có thể không cần những hướng dẫn kế toán quá chi tiết, hệ thống sổ kế toán phức tạp hoặc các chính sách bằng văn bản. Do đó, khi kiểm toán một đơn vị nhỏ, kiểm toán viên có thể dễ dàng tìm hiểu về hệ thống và các quy trình, đồng thời có thể dựa nhiều vào thủ tục phỏng vấn hơn thay cho soát xét tài liệu. Tuy nhiên, việc tìm hiểu về hệ thống và các quy trình vẫn rất quan trọng ngay cả đối với cuộc kiểm toán các đơn vị nhỏ.

Trao đổi thông tin (hướng dẫn đoạn 19 Chuẩn mực này)

A86. Việc trao đổi thông tin của đơn vị về vai trò, trách nhiệm và các vấn đề quan trọng liên quan đến báo cáo tài chính cần đồng thời cung cấp những hiểu biết về vai trò và trách nhiệm của cá nhân gắn với kiểm soát nội bộ đối với báo cáo tài chính. Việc trao đổi thông tin gồm các vấn đề như: mức độ hiểu biết của một cá nhân về mối liên hệ giữa công việc của họ trong hệ thống thông tin báo cáo tài chính với công việc của những người khác và cách thức báo cáo các tình huống ngoại lệ tới các cấp quản lý phù hợp trong đơn vị. Việc trao đổi thông tin có thể dưới dạng tài liệu hướng dẫn về chính sách và tài liệu hướng dẫn về lập báo cáo tài chính. Các kênh thông tin mở giúp đảm bảo rằng các trường hợp ngoại lệ được báo cáo và xử lý.

Lưu ý khi kiểm toán các đơn vị nhỏ

A87. Việc trao đổi thông tin ở các đơn vị nhỏ có thể ít phức tạp và dễ dàng hơn so với các đơn vị lớn do có ít cấp quản lý và khả năng tiếp cận với Ban Giám đốc dễ dàng hơn.

Các thành phần của kiểm soát nội bộ – Các hoạt động kiểm soát (hướng dẫn đoạn 20 Chuẩn mực này)

A88. Các hoạt động kiểm soát là các chính sách và thủ tục nhằm đảm bảo rằng các chỉ đạo của Ban Giám đốc được thực hiện. Dù trong hệ thống công nghệ thông tin hay thủ công thì các hoạt động kiểm soát đều có những mục tiêu đa dạng và được áp dụng ở các cấp độ tổ chức và chức năng khác nhau của đơn vị. Ví dụ về các hoạt động kiểm soát cụ thể bao gồm các hoạt động kiểm soát liên quan đến:

(1) Phê duyệt;

(2) Đánh giá hoạt động;

(3) Xử lý thông tin;

(4) Các kiểm soát vật chất (khóa an toàn, két sắt, camera…);

(5) Phân chia nhiệm vụ.

A89. Các hoạt động kiểm soát liên quan đến cuộc kiểm toán là:

(1) Các hoạt động kiểm soát có liên quan đến các rủi ro đáng kể và các hoạt động kiểm soát liên quan đến các rủi ro mà nếu chỉ thực hiện thử nghiệm cơ bản sẽ không cung cấp đầy đủ bằng chứng kiểm toán thích hợp, như đã quy định ở các đoạn 29 và 30 Chuẩn mực này; hoặc

(2) Các hoạt động kiểm soát được xác định là có liên quan theo xét đoán của kiểm toán viên.

A90. Xét đoán của kiểm toán viên về việc liệu một hoạt động kiểm soát có liên quan đến cuộc kiểm toán hay không chịu ảnh hưởng bởi những rủi ro mà kiểm toán viên đã xác định là có thể làm phát sinh sai sót trọng yếu và liệu kiểm toán viên có cho rằng việc kiểm tra tính hữu hiệu của hoạt động kiểm soát đó là cần thiết để xác định phạm vi thử nghiệm cơ bản hay không.

A91. Kiểm toán viên có thể chú trọng vào việc phát hiện và tìm hiểu về các hoạt động kiểm soát ở những khu vực được nhận định rằng thường có mức độ rủi ro có sai sót trọng yếu cao hơn. Khi có nhiều hoạt động kiểm soát cùng hướng đến một mục tiêu, kiểm toán viên không cần phải tìm hiểu về từng hoạt động kiểm soát liên quan đến mục tiêu đó.

A92. Từ những hiểu biết về các thành phần khác của kiểm soát nội bộ, kiểm toán viên sẽ biết được các hoạt động kiểm soát đơn vị đã có hoặc không có, từ đó giúp kiểm toán viên xác định xem có cần phải tìm hiểu thêm về các hoạt động kiểm soát hay không.

Lưu ý khi kiểm toán các đơn vị nhỏ

A93. Những nguyên tắc của hoạt động kiểm soát trong đơn vị nhỏ thường tương tự đối với đơn vị lớn, tuy nhiên cách hoạt động có thể có khác biệt. Ngoài ra, đối với các đơn vị nhỏ, một số hoạt động kiểm soát có thể không thích hợp vì đã có sự kiểm soát của Ban Giám đốc. Ví dụ, việc chỉ Ban Giám đốc có thẩm quyền cấp tín dụng cho khách hàng và phê duyệt các khoản mua sắm lớn có thể cho phép kiểm soát chặt chẽ các tài khoản và giao dịch quan trọng, làm giảm hoặc loại bỏ nhu cầu sử dụng các hoạt động kiểm soát chi tiết khác.

A94. Các hoạt động kiểm soát liên quan đến cuộc kiểm toán các đơn vị nhỏ thường nằm trong những chu trình kinh doanh chính như doanh thu, mua sắm và các chi phí nhân viên.

Rủi ro phát sinh từ công nghệ thông tin (hướng dẫn đoạn 21 Chuẩn mực này)

A95. Việc sử dụng công nghệ thông tin ảnh hưởng đến cách thức thực hiện các hoạt động kiểm soát. Dưới góc độ của kiểm toán viên, các kiểm soát đối với hệ thống công nghệ thông tin (gồm các kiểm soát chung về công nghệ thông tin và các kiểm soát chương trình ứng dụng) được xác định là có hiệu quả khi duy trì được tính toàn vẹn của thông tin và tính bảo mật của dữ liệu được hệ thống thông tin xử lý.

A96. Các kiểm soát chung về công nghệ thông tin là các chính sách và thủ tục liên quan đến nhiều chương trình ứng dụng và hỗ trợ cho hiệu quả hoạt động của các kiểm soát chương trình ứng dụng. Các kiểm soát chung được áp dụng cho máy chủ cỡ lớn, cỡ nhỏ và các môi trường người sử dụng đầu cuối. Các kiểm soát chung về công nghệ thông tin duy trì tính toàn vẹn của thông tin và tính bảo mật dữ liệu thường gồm các kiểm soát đối với:

(1) Trung tâm dữ liệu và các hoạt động kết nối mạng;

(2) Mua sắm, thay đổi và bảo trì hệ thống phần mềm;

(3) Thay đổi chương trình;

(4) Bảo mật truy cập;

(5) Mua sắm, phát triển và bảo trì các hệ thống ứng dụng.

Những kiểm soát này thường được thực hiện để xử lý các rủi ro đã nêu trong đoạn A56 Chuẩn mực này.

A97. Các kiểm soát chương trình ứng dụng là các thủ tục thủ công hoặc tự động, thường hoạt động ở cấp độ chu trình kinh doanh và áp dụng đối với việc xử lý giao dịch của các chương trình ứng dụng riêng lẻ. Các kiểm soát chương trình ứng dụng có thể là các kiểm soát mang tính ngăn chặn hoặc phát hiện và được thiết kế để đảm bảo tính toàn vẹn của các dữ liệu kế toán. Do đó, các kiểm soát chương trình ứng dụng liên quan đến các thủ tục được sử dụng để tạo lập, ghi chép, xử lý và báo cáo các giao dịch hoặc các dữ liệu tài chính khác. Các kiểm soát này nhằm đảm bảo các giao dịch phát sinh đã được phê duyệt, được ghi nhận và xử lý đầy đủ, chính xác. Ví dụ, kiểm tra tự động dữ liệu đầu vào, việc đánh số thứ tự kết hợp với việc theo dõi thủ công các báo cáo tổng hợp ngoại lệ hoặc chỉnh sửa tại thời điểm nhập dữ liệu.

Các thành phần của kiểm soát nội bộ – Giám sát các kiểm soát (hướng dẫn đoạn 22 Chuẩn mực này)

A98. Giám sát các kiểm soát là quy trình đánh giá hiệu quả hoạt động của kiểm soát nội bộ trong từng giai đoạn. Quy trình này bao gồm việc đánh giá tính hiệu quả của các kiểm soát một cách kịp thời và tiến hành các biện pháp khắc phục cần thiết. Ban Giám đốc thực hiện việc giám sát các kiểm soát thông qua các hoạt động liên tục, các đánh giá riêng biệt hoặc kết hợp cả hai. Các hoạt động giám sát liên tục thường gắn liền với các hoạt động lặp đi lặp lại của một đơn vị và bao gồm các hoạt động quản lý và giám sát thường xuyên.

A99. Các hoạt động giám sát của Ban Giám đốc cũng sử dụng những thông tin thu thập từ bên ngoài như các khiếu nại của khách hàng và các ý kiến của cơ quan quản lý có thể cho thấy các vấn đề hoặc các lĩnh vực cần cải thiện.

Lưu ý khi kiểm toán các đơn vị nhỏ

A100. Việc Ban Giám đốc giám sát các kiểm soát thường thể hiện bằng sự tham gia sát sao của Ban Giám đốc hoặc chủ sở hữu đồng thời là Giám đốc vào các hoạt động của đơn vị. Điều này sẽ giúp Ban Giám đốc phát hiện ra các khác biệt đáng kể giữa thực tế so với dự kiến và phát hiện những dữ liệu tài chính không chính xác, từ đó đưa ra biện pháp sửa đổi phù hợp đối với kiểm soát đó.

Kiểm toán nội bộ (hướng dẫn đoạn 23 Chuẩn mực này)

A101. Kiểm toán nội bộ của đơn vị được kiểm toán có thể có liên quan đến cuộc kiểm toán nếu trách nhiệm và hoạt động của bộ phận này có liên quan đến việc lập và trình bày báo cáo tài chính của đơn vị và kiểm toán viên dự định sử dụng công việc của kiểm toán viên nội bộ để thay đổi nội dung, lịch trình, hoặc thu hẹp phạm vi các thủ tục kiểm toán phải thực hiện. Nếu kiểm toán viên xác định công việc của kiểm toán nội bộ là có liên quan đến cuộc kiểm toán, kiểm toán viên cần áp dụng các quy định và hướng dẫn của Chuẩn mực kiểm toán Việt Nam số 610.

A102. Mục tiêu, trách nhiệm và vị thế của kiểm toán nội bộ trong đơn vị có thể thay đổi, tùy thuộc vào quy mô, cơ cấu tổ chức của đơn vị, các yêu cầu của Ban Giám đốc và Ban quản trị. Trách nhiệm của kiểm toán nội bộ có thể bao gồm việc giám sát kiểm soát nội bộ, quản trị rủi ro và đánh giá sự tuân thủ pháp luật và các quy định. Mặt khác, trách nhiệm của kiểm toán nội bộ có thể giới hạn trong việc đánh giá tính kinh tế, hiệu quả và hiệu suất hoạt động, do đó có thể không liên quan đến việc lập báo cáo tài chính của đơn vị.

A103. Nếu trách nhiệm của kiểm toán nội bộ có liên quan đến việc lập báo cáo tài chính của đơn vị, kiểm toán viên độc lập cần xem xét các hoạt động mà kiểm toán nội bộ đã hoặc sẽ thực hiện, trong đó có thể bao gồm việc soát xét kế hoạch của kiểm toán nội bộ trong kỳ, nếu có, và thảo luận về kế hoạch đó với kiểm toán viên nội bộ.

Các nguồn thông tin (hướng dẫn đoạn 24 Chuẩn mực này)

A104. Nhiều thông tin sử dụng trong hoạt động giám sát có thể được cung cấp bởi hệ thống thông tin của đơn vị. Nếu Ban Giám đốc giả định dữ liệu sử dụng cho việc giám sát là chính xác mà không có cơ sở cho giả định đó, thông tin có thể có sai sót dẫn đến việc Ban Giám đốc đưa ra các kết luận sai lầm từ các hoạt động giám sát. Do vậy, kiểm toán viên phải tìm hiểu về hoạt động giám sát của đơn vị như là một thành phần của kiểm soát nội bộ, bao gồm:

(1) Các nguồn thông tin liên quan đến hoạt động giám sát của đơn vị;

(2) Cơ sở để Ban Giám đốc cho rằng thông tin là đáng tin cậy cho mục đích giám sát.