Việc đo lường và đánh giá kết quả hoạt động của đơn vị

11. ISA 315 v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

Việc đo lường và đánh giá kết quả hoạt động của đơn vị (Tham chiếu: Đoạn 11(e))

  • Ban Giám đốc và những cá nhân khác sẽ đo lường và đánh giá những vấn đề được xác định là quan trọng. Việc đo lường kết quả, từ bên trong hay bên ngoài đơn vị, đều sẽ tạo ra những áp lực cho đơn vị. Những áp lực này có thể thúc đẩy Ban Giám đốc thực hiện những hành động nhằm cải thiện kết quả hoạt động hoặc làm sai lệch báo cáo tài chính. Do đó, hiểu biết về cách đo lường kết quả hoạt động của đơn vị sẽ giúp kiểm toán viên xem xét liệu các áp lực để đạt được mục tiêu hoạt động có thể dẫn đến các hành động của Ban Giám đốc làm tăng rủi ro có sai sót trọng yếu, kể cả sai sót do gian lận hay không. Chuẩn mực kiểm toán quốc tế số 240 quy định và hướng dẫn về các rủi ro có gian lận.
  • Việc đo lường và đánh giá kết quả hoạt động có thể có cùng mục đích, nhưng không hoàn toàn giống như việc giám sát các kiểm soát (một thành phần của kiểm soát nội bộ, trình bày tại đoạn A98-A104):
  • Đo lường và đánh giá kết quả hoạt động là đo lường và đánh giá liệu hoạt động kinh doanh có đạt được mục tiêu Ban Giám đốc (hoặc bên thứ 3) đề ra hay không;
  • Việc giám sát các kiểm soát đặc biệt tập trung vào giám sát hiệu quả của kiểm soát nội bộ.

Tuy nhiên trong một vài tình huống, các chỉ tiêu đánh giá cũng cung cấp thông tin giúp Ban Giám đốc phát hiện được những khiếm khuyết của kiểm soát nội bộ.

  • Ví dụ về các thông tin nội bộ được Ban Giám đốc sử dụng để đo lường và đánh giá kết quả hoạt động mà kiểm toán viên có thể xem xét, bao gồm:
  • Những chỉ tiêu đánh giá kết quả hoạt động chủ yếu (tài chính và phi tài chính), những tỉ suất quan trọng, những xu hướng và số liệu thống kê hoạt động;
  • Phân tích kết quả hoạt động theo từng giai đoạn;
  • Kế hoạch tài chính, dự báo, phân tích biến động, thông tin về các bộ phận và các báo cáo đánh giá hoạt động của các bộ phận, phòng ban hoặc các cấp khác;
  • Đánh giá kết quả công việc của nhân viên và chính sách lương bổng ưu đãi;
  • So sánh kết quả hoạt động của đơn vị với các đối thủ cạnh tranh.
    • Các tổ chức, cá nhân bên ngoài cũng có thể đo lường và đánh giá kết quả hoạt động của đơn vị. Ví dụ, thông tin bên ngoài như các báo cáo phân tích và báo cáo xếp hạng tín nhiệm có thể cung cấp cho kiểm toán viên những thông tin hữu ích. Những loại báo cáo này thường được thu thập từ đơn vị được kiểm toán.
    • Việc đo lường và đánh giá nội bộ có thể cho thấy các kết quả hoặc xu hướng không mong đợi đòi hỏi Ban Giám đốc phải xác định nguyên nhân và tiến hành những biện pháp khắc phục (trong một số tình huống, phải phát hiện và sửa chữa sai sót một cách kịp thời). Việc đo lường và đánh giá kết quả hoạt động cũng có thể cho kiểm toán viên thấy các rủi ro có sai sót liên quan đến báo cáo tài chính là có thực. Ví dụ, qua việc đo lường và đánh giá kết quả hoạt động có thể cho thấy sự tăng trưởng nhanh hoặc lợi nhuận bất thường so với các đơn vị khác trong cùng ngành. Đặc biệt, những thông tin này khi kết hợp với các yếu tố khác như hình thức thưởng hoặc chế độ lương ưu đãi dựa trên kết quả công việc có thể cho thấy rủi ro tiềm tàng về sự thiên lệch của Ban Giám đốc khi lập báo cáo tài chính.

Lưu ý khi kiểm toán các đơn vị nhỏ

  • Các đơn vị nhỏ thường không có quy trình đo lường và đánh giá kết quả hoạt động. Việc phỏng vấn Ban Giám đốc có thể cho thấy Ban Giám đốc dựa vào các chỉ tiêu chủ yếu để đánh giá kết quả hoạt động và để có những biện pháp phù hợp. Nếu kết quả phỏng vấn cho thấy đơn vị không thực hiện việc đo lường và đánh giá kết quả hoạt động thì có thể tăng rủi ro sai sót không được phát hiện và sửa chữa.

Kiểm soát nội bộ của đơn vị được kiểm toán (Tham chiếu: Đoạn 12)

  • Hiểu biết về kiểm soát nội bộ giúp kiểm toán viên xác định các loại sai sót tiềm tàng và các yếu tố ảnh hưởng đến rủi ro có sai sót trọng yếu và xác định nội dung, lịch trình và phạm vi của các thủ tục kiểm toán tiếp theo.
  • Các hướng dẫn quan trọng về kiểm soát nội bộ được trình bày ở bốn phần sau:
  • Bản chất và đặc điểm chung của kiểm soát nội bộ;
  • Các kiểm soát liên quan đến cuộc kiểm toán;
  • Nội dung và mức độ hiểu biết về các kiểm soát liên quan;
  • Các thành phần của kiểm soát nội bộ.

Bản chất và đặc điểm chung của kiểm soát nội bộ

vinasc-city-2

Mục đích của kiểm soát nội bộ

  • Kiểm soát nội bộ được thiết kế, thực hiện và duy trì nhằm giải quyết các rủi ro kinh doanh đã được xác định, gây ra nguy cơ đơn vị không đạt được một trong các mục tiêu liên quan đến:
  • Độ tin cậy của quy trình lập và trình bày báo cáo tài chính;
  • Hiệu quả và hiệu suất hoạt động;
  • Việc tuân thủ pháp luật và các quy định hiện hành.

Việc thiết kế, thực hiện và duy trì kiểm soát nội bộ có thể thay đổi theo quy mô và mức độ phức tạp của đơn vị.

Lưu ý khi kiểm toán các đơn vị nhỏ

  • Các đơn vị nhỏ có thể sử dụng các phương pháp, quy trình, và thủ tục đơn giản hơn để thực hiện mục tiêu của mình.

Các hạn chế của kiểm soát nội bộ

  • Kiểm soát nội bộ, dù hiệu quả đến mức nào, cũng chỉ có thể cung cấp cho đơn vị một sự đảm bảo hợp lý về việc đạt được mục tiêu lập và trình bày báo cáo tài chính của đơn vị. Khả năng đạt được mục tiêu chịu ảnh hưởng bởi những hạn chế vốn có của kiểm soát nội bộ. Các hạn chế này bao gồm việc xét đoán của con người có thể có sai lầm khi đưa ra quyết định và sự thất bại của kiểm soát nội bộ có thể xảy ra do sai sót của con người, ví dụ có thể có sai sót trong việc thiết kế hoặc thay đổi một kiểm soát. Tương tự, một kiểm soát có thể hoạt động không hiệu quả, như thông tin được tạo ra để phục vụ việc kiểm soát nội bộ (ví dụ, báo cáo ngoại lệ) không được sử dụng có hiệu quả do người chịu trách nhiệm rà soát thông tin này không hiểu rõ mục đích của thông tin hoặc không có những hành động phù hợp.
  • Ngoài ra, các kiểm soát có thể không tác dụng do sự thông đồng của hai hay nhiều người hoặc bị Ban Giám đốc khống chế. Ví dụ, Ban Giám đốc có thể thỏa thuận riêng với khách hàng nhằm thay đổi các điều khoản và điều kiện trong hợp đồng bán hàng chuẩn của đơn vị, dẫn đến việc ghi nhận doanh thu không chính xác. Cũng như vậy, chức năng kiểm tra của phần mềm máy tính giúp phát hiện và báo cáo về các giao dịch vượt hạn mức tín dụng cho phép có thể bị khống chế hoặc vô hiệu hóa.
  • Bên cạnh đó, khi thiết kế và thực hiện các kiểm soát, Ban Giám đốc có thể đánh giá về nội dung và phạm vi của các kiểm soát được chọn để thực hiện, và về bản chất và mức độ rủi ro mà họ quyết định chấp nhận.

Lưu ý khi kiểm toán các đơn vị nhỏ

  • Các đơn vị nhỏ thường có ít nhân lực, do đó có thể hạn chế khả năng phân công trách nhiệm. Tuy nhiên, trong đơn vị nhỏ mà người chủ sở hữu đồng thời là Giám đốc thì người đó có khả năng giám sát tốt hơn so với đơn vị lớn. Sự giám sát này có thể bù đắp những hạn chế trong việc phân công trách nhiệm.
  • Mặt khác, người chủ sở hữu đồng thời là Giám đốc cũng có nhiều khả năng hơn trong việc khống chế các kiểm soát do hệ thống kiểm soát nội bộ có cơ cấu đơn giản hơn. Kiểm toán viên cần xem xét điều này khi xác định các rủi ro có sai sót trọng yếu do gian lận.

Phân chia các thành phần của kiểm soát nội bộ

  • Trong các chuẩn mực kiểm toán quốc tế, kiểm soát nội bộ được chia thành năm thành phần nhằm cung cấp một khuôn khổ giúp kiểm toán viên xem xét các khía cạnh khác nhau trong kiểm soát nội bộ của đơn vị có thể ảnh hưởng như thế nào đến cuộc kiểm toán:
  • Môi trường kiểm soát;
  • Quy trình đánh giá rủi ro của đơn vị;
    • Hệ thống thông tin liên quan đến việc lập và trình bày báo cáo tài chính, bao gồm các quy trình kinh doanh có liên quan, và trao đổi thông tin;
  • Các hoạt động kiểm soát; và
  • Giám sát các kiểm soát.

Sự phân chia này không nhất thiết thể hiện cách thức đơn vị thiết kế, thực hiện và duy trì kiểm soát nội bộ hoặc các thức phân loại các thành phần đó. Kiểm toán viên có thể sử dụng các thuật ngữ hay các quy định khác ngoài chuẩn mực này để mô tả các thành phần khác nhau của kiểm soát nội bộ cũng như sự tác động của các thành phần này đến cuộc kiểm toán, với điều kiện là tất cả các thành phần được mô tả trong chuẩn mực này đều được đề cập đến.

  • Đoạn A69-A104 Chuẩn mực này hướng dẫn áp dụng cho năm thành phần của kiểm soát nội bộ liên quan đến việc kiểm toán báo cáo tài chính. Phụ lục 1 của Chuẩn mực này giải thích kỹ hơn về các thành phần của kiểm soát nội bộ.

Đặc điểm của các yếu tố thủ công và các yếu tố tự động trong kiểm soát nội bộ liên quan đến việc đánh giá rủi ro của kiểm toán viên

  • Hệ thống kiểm soát nội bộ của đơn vị bao gồm các yếu tố thủ công và các yếu tố tự động. Đặc điểm của các yếu tố thủ công và các yếu tố tự động có liên quan đến việc đánh giá rủi ro của kiểm toán viên cũng như các thủ tục kiểm toán tiếp theo dựa trên kết quả đánh giá đó.
  • Việc sử dụng các yếu tố thủ công hay tự động trong kiểm soát nội bộ cũng ảnh hưởng đến cách thức tạo lập, ghi chép, xử lý và báo cáo các giao dịch:
  • Các kiểm soát thủ công có thể bao gồm thủ tục phê duyệt, rà soát các giao dịch, đối chiếu và theo dõi các khoản đối chiếu đó. Ngoài ra, đơn vị có thể sử dụng các kiểm soát tự động để tạo lập, ghi chép, xử lý và báo cáo các giao dịch theo dạng điện tử để thay thế các tài liệu bằng giấy.
  • Các kiểm soát trong hệ thống công nghệ thông tin là sự kết hợp cả kiểm soát tự động (ví dụ: các kiểm soát được thiết kế trong các chương trình máy tính) và kiểm soát thủ công. Ngoài ra, các kiểm soát thủ công có thể độc lập với công nghệ thông tin, có thể sử dụng các thông tin do công nghệ thông tin tạo ra, hoặc có thể giới hạn trong việc giám sát tính hữu hiệu của công nghệ thông tin và của các kiểm soát tự động và để giải quyết các tình huống ngoại lệ. Khi sử dụng công nghệ thông tin để tạo lập, ghi chép, xử lý và báo cáo các giao dịch hay các dữ liệu tài chính khác để đưa vào báo cáo tài chính, các hệ thống và chương trình phần mềm có thể gồm các kiểm soát liên quan tới các cơ sở dẫn liệu tương ứng đối với các tài khoản trọng yếu, hoặc mang tính quyết định đối với hoạt động hữu hiệu của các kiểm soát thủ công có sự phụ thuộc vào công nghệ thông tin.

Sự kết hợp các yếu tố thủ công và tự động trong kiểm soát nội bộ của đơn vị phụ thuộc vào đặc điểm và mức độ phức tạp của hệ thống công nghệ thông tin được sử dụng.

  • Nhìn chung, công nghệ thông tin mang lại nhiều lợi ích cho kiểm soát nội bộ. Công nghệ thông tin giúp cho đơn vị có khả năng:
  • Áp dụng nhất quán các quy tắc hoạt động đã đề ra, thực hiện được các phép tính phức tạp khi xử lý khối lượng giao dịch hoặc dữ liệu lớn;
  • Nâng cao tính kịp thời, tính sẵn có và độ chính xác của thông tin;
  • Tạo điều kiện thuận tiện cho việc phân tích thông tin;
  • Nâng cao khả năng giám sát hoạt động của đơn vị, cũng như giám sát các chính sách và thủ tục của đơn vị;
  • Giảm nguy cơ các kiểm soát bị vô hiệu hóa; và
  • Nâng cao khả năng đạt được hiệu quả trong việc phân chia nhiệm vụ, bằng cách áp dụng các kiểm soát an ninh trong các chương trình ứng dụng, cơ sở dữ liệu và trong các hệ điều hành.
    • Công nghệ thông tin cũng có thể mang đến những rủi ro cụ thể cho kiểm soát nội bộ của đơn vị, ví dụ:
  • Tin cậy vào hệ thống hoặc chương trình trong khi hệ thống, chương trình lại xử lý không chính xác dữ liệu hoặc sử dụng dữ liệu không chính xác để xử lý, hoặc cả hai tình huống;
  • Việc truy cập dữ liệu trái phép có thể dẫn đến dữ liệu bị xóa hoặc bị thay đổi không phù hợp, bao gồm hạch toán các giao dịch không đúng thẩm quyền, hạch toán các giao dịch không có thật, hoặc hạch toán các giao dịch không chính xác. Các rủi ro này gia tăng khi có nhiều người sử dụng truy cập vào một cơ sở dữ liệu chung.
  • Khả năng nhân viên phụ trách hệ thống công nghệ thông tin có được đặc quyền truy cập nhiều hơn mức cần thiết so với nhiệm vụ được giao, do đó phá vỡ sự phân nhiệm;
  • Những thay đổi trái phép dữ liệu gốc;
  • Những thay đổi trái phép hệ thống hoặc chương trình;
  • Thất bại trong việc tạo lập những thay đổi cần thiết đối với hệ thống hoặc chương trình;
  • Can thiệp thủ công không thích hợp;
  • Khả năng mất dữ liệu hoặc không thể truy cập vào dữ liệu khi cần thiết.
    • Các yếu tố thủ công trong kiểm soát nội bộ có thể phù hợp hơn đối với các tình huống cần đến sự xét đoán và thận trọng, ví dụ:
  • Các giao dịch lớn, bất thường hoặc không xảy ra thường xuyên;
  • Các tình huống mà sai sót khó xác định và khó dự đoán;
  • Các tình huống thường xuyên biến đổi đòi hỏi thêm các kiểm soát ngoài phạm vi các kiểm soát tự động hiện có;
  • Giám sát tính hữu hiệu của kiểm soát tự động.
    • Các kiểm soát thủ công trong kiểm soát nội bộ thường có độ tin cậy thấp hơn so với kiểm soát tự động do kiểm soát thủ công có thể dễ bị bỏ sót, bị khống chế và dễ mắc phải các sai sót đơn giản. Kiểm soát thủ công cũng có thể không đảm bảo tính nhất quán. Kiểm soát thủ công thường không phù hợp trong các tình huống sau:
  • Khối lượng giao dịch lớn và thường xuyên lặp lại, hoặc các tình huống lỗi có thể dự đoán, có thể được ngăn chặn, phát hiện và sửa chữa bằng các kiểm soát được tự động hóa;
  • Các hoạt động kiểm soát mà cách thức thực hiện có thể thiết kế và tự động hóa một cách phù hợp.
    • Mức độ và tính chất rủi ro đối với kiểm soát nội bộ thường thay đổi tùy theo bản chất và đặc điểm của hệ thống thông tin của đơn vị. Đơn vị xử lý những rủi ro từ việc sử dụng công nghệ thông tin hoặc sử dụng các yếu tố thủ công trong kiểm soát nội bộ bằng cách thiết lập các kiểm soát hữu hiệu dựa trên đặc điểm hệ thống thông tin của đơn vị.