Thử nghiệm kiểm soát đối với rủi ro đã đánh giá

Thử nghiệm kiểm soát đối với rủi ro đã đánh giá

Thiết kế và thực hiện thử nghiệm kiểm soát

A20. Các thử nghiệm kiểm soát chỉ được thực hiện đối với những kiểm soát mà kiểm toán viên xác định rằng được thiết kế phù hợp để ngăn chặn hoặc phát hiện và sửa chữa một sai sót trọng yếu trong một cơ sở dẫn liệu. Nếu các kiểm soát khác nhau về cơ bản được thực hiện tại những thời điểm khác nhau trong giai đoạn được kiểm toán thì mỗi kiểm soát đó phải được xem xét riêng.

A21. Việc kiểm tra tính hữu hiệu của hoạt động kiểm soát khác với việc tìm hiểu và đánh giá về mặt thiết kế và thực hiện của các kiểm soát đó. Tuy nhiên, kiểm toán viên vẫn có thể sử dụng các loại thủ tục kiểm toán giống nhau để kiểm tra. Vì thế, kiểm toán viên có thể quyết định cách kiểm tra hiệu quả là kiểm tra tính hữu hiệu của hoạt động kiểm soát đồng thời với việc đánh giá về mặt thiết kế và xác định rằng các kiểm soát đó đã được thực hiện.

A22. Hơn nữa, mặc dù một số thủ tục đánh giá rủi ro có thể không được thiết kế để làm thử nghiệm kiểm soát nhưng các thủ tục đó cũng có thể cung cấp bằng chứng kiểm toán về tính hữu hiệu của hoạt động kiểm soát và, do đó, đóng vai trò như thử nghiệm kiểm soát. Ví dụ, các thủ tục đánh giá rủi ro của kiểm toán viên có thể bao gồm:

· Phỏng vấn về việc sử dụng dự toán của Ban Giám đốc;

· Quan sát việc Ban Giám đốc so sánh chi phí dự tính và chi phí thực tế hàng tháng;

· Kiểm tra các báo cáo để phát hiện biến động giữa số liệu thực tế với kế hoạch.

Các thủ tục kiểm toán này không chỉ cung cấp những hiểu biết về công tác lập kế hoạch của đơn vị và liệu kế hoạch đó đã được thực hiện hay chưa, mà còn có thể cung cấp bằng chứng kiểm toán về tính hữu hiệu của quy trình lập kế hoạch của đơn vị trong việc ngăn ngừa hoặc phát hiện các sai sót trọng yếu trong phân loại chi phí.

A23. Hơn nữa, kiểm toán viên có thể thiết kế một thử nghiệm kiểm soát để thực hiện đồng thời với việc kiểm tra chi tiết cùng một giao dịch. Mặc dù mục tiêu của thử nghiệm kiểm soát khác với mục tiêu của kiểm tra chi tiết nhưng có thể thực hiện đồng thời cả hai thủ tục này đối với cùng một giao dịch, gọi là “thử nghiệm kép”. Ví dụ, kiểm toán viên có thể thiết kế và đánh giá các kết quả kiểm tra một hóa đơn nhằm xác định xem hóa đơn đó đã được phê duyệt hay chưa, đồng thời cung cấp bằng chứng kiểm toán chi tiết về giao dịch đó. Thử nghiệm kép được thiết kế và đánh giá bằng cách xem xét riêng rẽ mục tiêu của thử nghiệm kiểm soát và mục tiêu của kiểm tra chi tiết.

A24. Trong một số trường hợp, kiểm toán viên có thể nhận thấy rằng không thể thiết kế các thử nghiệm cơ bản một cách hiệu quả mà bản thân các thử nghiệm này cung cấp đầy đủ bằng chứng kiểm toán thích hợp ở cấp độ cơ sở dẫn liệu.[3] Tình huống này có thể xảy ra khi một đơn vị thực hiện giao dịch kinh doanh bằng công nghệ thông tin và không ghi lại hoặc không lưu trữ bằng tài liệu mà chỉ thông qua hệ thống công nghệ thông tin. Trong trường hợp này, kiểm toán viên phải thực hiện các thử nghiệm kiểm soát có liên quan theo yêu cầu trong đoạn 8(b).

Bằng chứng kiểm toán và độ tin cậy dự tính

A25. Kiểm toán viên có thể đạt được mức độ đảm bảo cao hơn về tính hữu hiệu của hoạt động kiểm soát khi phương pháp kiểm toán chủ yếu sử dụng thử nghiệm kiểm soát, đặc biệt là khi không thể thu thập đầy đủ bằng chứng kiểm toán thích hợp chỉ từ các thử nghiệm cơ bản.

Nội dung và phạm vi của thử nghiệm kiểm soát

Các thủ tục kiểm toán khác kết hợp với thủ tục phỏng vấn

A26. Chỉ thực hiện thủ tục phỏng vấn thôi thì không đủ để kiểm tra tính hữu hiệu của các kiểm soát, do đó, kiểm toán viên cần thực hiện các thủ tục kiểm toán khác kết hợp với phỏng vấn. Thủ tục phỏng vấn kết hợp với kiểm tra hoặc thực hiện lại có thể cung cấp sự đảm bảo cao hơn so với việc kết hợp thủ tục phỏng vấn và quan sát vì quan sát chỉ phù hợp tại thời điểm diễn ra giao dịch.

A27. Nội dung của một kiểm soát cụ thể sẽ ảnh hưởng đến loại thủ tục cần thực hiện để thu thập bằng chứng kiểm toán về tính hoạt động hữu hiệu của kiểm soát đó. Ví dụ, nếu tính hoạt động hữu hiệu được chứng minh dưới hình thức văn bản thì kiểm toán viên có thể quyết định kiểm tra tài liệu của đơn vị để thu thập bằng chứng kiểm toán về tính hoạt động hữu hiệu đó. Tuy nhiên, đối với các kiểm soát khác, tài liệu về hoạt động có thể sẽ không có sẵn hoặc không thích hợp. Ví dụ, có thể không có tài liệu về hoạt động của một số yếu tố của môi trường kiểm soát như việc phân quyền, phân nhiệm, hoặc không có tài liệu về một số loại hoạt động kiểm soát như các hoạt động kiểm soát được xử lý bằng máy tính. Trong trường hợp này, kiểm toán viên có thể thu thập bằng chứng về tính hoạt động hữu hiệu bằng cách phỏng vấn kết hợp với các thủ tục kiểm toán khác, như quan sát hoặc sử dụng các kỹ thuật kiểm toán với sự hỗ trợ của máy tính.

Phạm vi của thử nghiệm kiểm soát

A28. Kiểm toán viên có thể phải mở rộng phạm vi thử nghiệm đối với một kiểm soát khi cần thu thập bằng chứng kiểm toán thuyết phục hơn về tính hữu hiệu của kiểm soát đó. Ngoài mức độ tin cậy vào các kiểm soát, kiểm toán viên có thể xem xét các vấn đề sau khi xác định phạm vi của thử nghiệm kiểm soát:

· Tần suất thực hiện kiểm soát của đơn vị trong suốt giai đoạn;

· Khoảng thời gian trong giai đoạn kiểm toán mà kiểm toán viên tin cậy vào tính hữu hiệu của hoạt động kiểm soát;

· Tỷ lệ sai lệch dự kiến của một kiểm soát;

· Tính thích hợp và độ tin cậy của bằng chứng kiểm toán cần thu thập về tính hữu hiệu của hoạt động kiểm soát ở cấp độ cơ sở dẫn liệu;

· Phạm vi của bằng chứng kiểm toán cần thu thập được từ các thử nghiệm kiểm soát khác liên quan đến cơ sở dẫn liệu đó.

Chuẩn mực kiểm toán quốc tế số 530[4] quy định và hướng dẫn chi tiết hơn về phạm vi thử nghiệm.

A29. Do tính nhất quán vốn có của quy trình xử lý công nghệ thông tin, kiểm toán viên có thể không cần phải mở rộng phạm vi thử nghiệm đối với một kiểm soát tự động. Một kiểm soát tự động sẽ được thực hiện một cách nhất quán nếu chương trình (bao gồm các bảng biểu, tệp tin hay dữ liệu cố định được sử dụng trong chương trình) không thay đổi. Nếu kiểm toán viên xác định là một kiểm soát tự động vận hành đúng như dự kiến (việc xác định có thể được thực hiện tại thời điểm bắt đầu thực hiện kiểm soát hoặc một thời điểm khác) thì kiểm toán viên có thể xem xét thực hiện các thử nghiệm để xác định rằng kiểm soát đó tiếp tục vận hành hiệu quả. Các thử nghiệm đó có thể bao gồm việc xác định:

· Các thay đổi của chương trình sẽ không được thực hiện khi chưa có sự kiểm soát thích hợp đối với các thay đổi đó;

· Phiên bản chính thức của chương trình được sử dụng để xử lý giao dịch; và

· Các kiểm soát chung khác có liên quan được thực hiện hiệu quả.

Các thử nghiệm này cũng có thể bao gồm việc xác định rằng những thay đổi của chương trình chưa được triển khai, như trường hợp đơn vị sử dụng các gói phần mềm ứng dụng mà không chỉnh sửa hoặc bảo trì các phần mềm này. Ví dụ, kiểm toán viên có thể kiểm tra hồ sơ quản trị về an ninh công nghệ thông tin để thu thập được bằng chứng kiểm toán cho thấy chưa có sự truy cập trái phép nào trong suốt giai đoạn.

Thử nghiệm đối với các kiểm soát gián tiếp (Tham chiếu: Đoạn 10(b))

A30. Trong một số trường hợp, kiểm toán viên có thể cần thu thập bằng chứng kiểm toán để chứng minh tính hữu hiệu của hoạt động kiểm soát gián tiếp. Ví dụ, khi kiểm toán viên quyết định kiểm tra tính hữu hiệu của việc người sử dụng báo cáo soát xét báo cáo ngoại lệ về việc bán hàng vượt hạn mức nợ cho phép, thì việc soát xét của người sử dụng và các hoạt động liên quan sau đó là các kiểm soát được kiểm toán viên xác định là liên quan trực tiếp. Các kiểm soát đối với tính chính xác của thông tin trong báo cáo (ví dụ, kiểm soát chung về công nghệ thông tin) được coi là các kiểm soát gián tiếp.

A31. Do tính nhất quán vốn có của quy trình xử lý công nghệ thông tin, bằng chứng kiểm toán về việc thực hiện một ứng dụng kiểm soát tự động, khi được xem xét kết hợp với các bằng chứng kiểm toán về tính hữu hiệu của hoạt động kiểm soát chung của đơn vị (đặc biệt là các kiểm soát đối với sự thay đổi), cũng có thể cung cấp bằng chứng kiểm toán quan trọng về tính hữu hiệu của hoạt động kiểm soát đó.

Lịch trình thử nghiệm kiểm soát

Khoảng thời gian tin cậy dự tính (Tham chiếu: Đoạn 11)

A32. Bằng chứng kiểm toán chỉ liên quan đến một thời điểm vẫn có thể là đầy đủ cho mục đích kiểm toán, ví dụ khi thử nghiệm kiểm soát đối với việc kiểm kê hàng tồn kho của đơn vị vào cuối kỳ kế toán. Mặt khác, nếu kiểm toán viên dự định dựa vào một kiểm soát trong cả giai đoạn, kiểm toán viên cần thực hiện các thử nghiệm có khả năng cung cấp bằng chứng kiểm toán về việc kiểm soát đó được thực hiện hiệu quả tại những thời điểm liên quan trong giai đoạn đó. Những thử nghiệm loại này có thể bao gồm thử nghiệm đối với việc giám sát các kiểm soát của đơn vị.

Sử dụng bằng chứng kiểm toán thu thập được trong giai đoạn giữa kỳ (Tham chiếu: Đoạn 12(b))

A33. Khi xác định bằng chứng kiểm toán bổ sung cần thu thập về các kiểm soát được thực hiện trong giai đoạn từ giữa kỳ đến cuối kỳ, kiểm toán viên cần xem xét các yếu tố bao gồm:

· Mức độ nghiêm trọng của các rủi ro có sai sót trọng yếu đã được đánh giá ở cấp độ cơ sở dẫn liệu;

· Các kiểm soát cụ thể đã được thử nghiệm trong giai đoạn giữa kỳ, cũng như những thay đổi quan trọng đối với các kiểm soát đó kể từ khi được thử nghiệm, kể cả những thay đổi về hệ thống thông tin, quy trình và nhân sự;

· Mức độ thu thập được bằng chứng kiểm toán về tính hữu hiệu của các hoạt động kiểm soát đó;

· Khoảng thời gian còn lại của giai đoạn kiểm toán;

· Phạm vi thử nghiệm cơ bản mà kiểm toán viên dự định giảm bớt dựa vào mức độ tin cậy của các kiểm soát;

· Môi trường kiểm soát.

A34. Kiểm toán viên có thể thu thập bằng chứng kiểm toán bổ sung bằng cách thực hiện thử nghiệm kiểm soát cho giai đoạn còn lại hoặc kiểm tra công tác giám sát các kiểm soát của đơn vị được kiểm toán.

Sử dụng bằng chứng kiểm toán thu thập được từ các cuộc kiểm toán trước (Tham chiếu: Đoạn 13)

A35. Trong một số trường hợp nhất định, bằng chứng kiểm toán thu thập được từ các cuộc kiểm toán trước cũng có thể cung cấp bằng chứng cho cuộc kiểm toán hiện tại nếu kiểm toán viên thực hiện các thủ tục kiểm toán để chứng minh các bằng chứng kiểm toán năm trước vẫn tiếp tục phù hợp cho cuộc kiểm toán hiện tại. Ví dụ, khi thực hiện cuộc kiểm toán trước, kiểm toán viên đã xác định là một kiểm soát tự động của đơn vị đã vận hành như dự kiến thì trong cuộc kiểm toán hiện tại, kiểm toán viên có thể thu thập bằng chứng kiểm toán để xác định liệu có thay đổi nào trong kiểm soát tự động này có thể ảnh hưởng đến hiệu quả kiểm soát hay không, thông qua việc phỏng vấn Ban Giám đốc và kiểm tra nhật ký theo dõi để xác định các kiểm soát nào đã bị thay đổi. Bằng chứng kiểm toán về những thay đổi này có thể giúp kiểm toán viên quyết định tăng hoặc giảm bằng chứng kiểm toán cần thu thập trong giai đoạn hiện tại để đánh giá tính hữu hiệu của hoạt động kiểm soát.

Các kiểm soát đã thay đổi kể từ các cuộc kiểm toán trước

A36. Các thay đổi có thể làm ảnh hưởng đến tính thích hợp của bằng chứng kiểm toán đã thu thập được từ các cuộc kiểm toán trước, làm cho các bằng chứng này không còn tiếp tục được kiểm toán viên tin cậy trong cuộc kiểm toán hiện tại. Ví dụ, các thay đổi trong hệ thống cho phép đơn vị nhận một báo cáo mới từ hệ thống có thể không ảnh hưởng đến tính thích hợp của bằng chứng kiểm toán đã thu thập được từ cuộc kiểm toán trước nhưng các thay đổi làm cho dữ liệu được cộng lũy kế hoặc được tính toán theo một cách khác sẽ ảnh hưởng đến tính thích hợp của bằng chứng kiểm toán đó.

Các kiểm soát không thay đổi kể từ các cuộc kiểm toán trước (Tham chiếu: Đoạn 14(b))

A37. Kiểm toán viên cần sử dụng xét đoán chuyên môn để quyết định liệu có thể tiếp tục tin tưởng vào những bằng chứng kiểm toán đã thu thập được trong các cuộc kiểm toán trước đối với các kiểm soát sau:

(a) Các kiểm soát không có sự thay đổi kể từ lần thử nghiệm cuối cùng; và

(b) Các kiểm soát không làm giảm bớt rủi ro đáng kể.

Kiểm toán viên cũng sử dụng xét đoán chuyên môn để xác định khoảng thời gian thích hợp để kiểm tra lại các kiểm soát, tuy nhiên theo quy định tại đoạn 14 (b), việc này cần được thực hiện ít nhất một lần trong 3 năm liên tục.

A38. Nói chung, rủi ro có sai sót trọng yếu càng cao, hoặc mức độ tin cậy vào kiểm soát càng lớn, thì thời gian giữa các lần kiểm tra càng ngắn. Các yếu tố có thể rút ngắn thời gian kiểm tra lại một kiểm soát, hoặc làm cho kiểm toán viên quyết định không tin cậy vào bằng chứng kiểm toán thu thập được từ các cuộc kiểm toán trước, bao gồm:

· Môi trường kiểm soát yếu kém;

· Sự yếu kém của công tác giám sát các kiểm soát;

· Các kiểm soát liên quan được thực hiện chủ yếu bằng phương thức thủ công;

· Thay đổi nhân sự có ảnh hưởng đáng kể đến việc ứng dụng một kiểm soát;

· Tình hình thay đổi dẫn đến sự cần thiết phải thay đổi về kiểm soát;

· Yếu kém trong các kiểm soát chung về công nghệ thông tin.

A39. Khi kiểm toán viên dự định tin cậy vào bằng chứng kiểm toán thu thập được từ các cuộc kiểm toán trước đối với một số kiểm soát, việc kiểm tra một số trong các kiểm soát đó ở từng cuộc kiểm toán sẽ cung cấp thông tin chứng thực về tính hữu hiệu liên tục của môi trường kiểm soát. Việc này giúp kiểm toán viên quyết định liệu có thể tin cậy vào bằng chứng kiểm toán đã thu thập được từ các cuộc kiểm toán trước hay không.

Đánh giá tính hữu hiệu của hoạt động kiểm soát

A40. Một sai sót trọng yếu được kiểm toán viên phát hiện là dấu hiệu rõ ràng về sự tồn tại của một khiếm khuyết nghiêm trọng trong kiểm soát nội bộ.

A41. Khái niệm tính hữu hiệu của hoạt động kiểm soát vẫn cho thấy có thể có những sai lệch trong cách thức triển khai các kiểm soát của đơn vị. Những sai lệch đó có thể do các yếu tố như thay đổi nhân sự chủ chốt, sự dao động đáng kể về số lượng giao dịch theo mùa vụ và các nhầm lẫn chủ quan. Tỷ lệ sai lệch được phát hiện, đặc biệt là khi so với tỷ lệ sai lệch dự kiến, có thể cho thấy không thể tin cậy vào kiểm soát để giảm rủi ro ở cấp độ cơ sở dẫn liệu xuống mức độ mà kiểm toán viên đánh giá.

 

Share this post

Trả lời

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *