Liên hệ các kiểm soát với các cơ sở dẫn liệu

11. ISA 315 v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

Liên hệ các kiểm soát với các cơ sở dẫn liệu (Tham chiếu: Đoạn 26(c))

  • Trong quá trình đánh giá rủi ro, kiểm toán viên cần xác định các kiểm soát có thể ngăn chặn hoặc phát hiện và sửa chữa các sai sót trọng yếu trong từng cơ sở dẫn liệu cụ thể. Nhìn chung, kiểm toán viên cần hiểu biết về các kiểm soát và liên hệ các kiểm soát này với các cơ sở dẫn liệu trong các chu trình và hệ thống có các kiểm soát đó, vì bản thân từng hoạt động kiểm soát riêng lẻ thường không xử lý được rủi ro. Thông thường, chỉ khi kết hợp nhiều hoạt động kiểm soát cùng với các thành phần khác của kiểm soát nội bộ thì mới đủ để xử lý rủi ro.
  • Ngược lại, một số hoạt động kiểm soát có thể có ảnh hưởng nhất định đến từng cơ sở dẫn liệu trong một nhóm giao dịch hoặc số dư tài khoản cụ thể. Ví dụ, các hoạt động kiểm soát mà đơn vị thiết kế nhằm đảm bảo rằng nhân viên của đơn vị sẽ kiểm đếm và ghi nhận chính xác số liệu hàng tồn kho khi kiểm kê định kỳ hàng năm sẽ liên quan trực tiếp đến cơ sở dẫn liệu là tính hiện hữu và tính đầy đủ của số dư hàng tồn kho.
  • Các kiểm soát có thể liên quan trực tiếp hoặc gián tiếp đến một cơ sở dẫn liệu. Kiểm soát càng ít liên quan đến cơ sở dẫn liệu thì càng kém hiệu quả trong việc ngăn chặn hoặc phát hiện và sửa chữa sai sót trong cơ sở dẫn liệu đó. Ví dụ, thủ tục soát xét của trưởng phòng kinh doanh đối với báo cáo bán hàng tại các cửa hàng cụ thể theo khu vực chỉ liên quan gián tiếp đến cơ sở dẫn liệu là tính đầy đủ của doanh thu bán hàng. Do đó, kiểm soát này có thể ít hiệu quả trong việc giảm rủi ro cho cơ sở dẫn liệu “tính đầy đủ” so với các kiểm soát khác có liên quan trực tiếp, như thủ tục đối chiếu giữa chứng từ vận chuyển với hóa đơn bán hàng.

Rủi ro đáng kể

Xác định rủi ro đáng kể (Tham chiếu: Đoạn 28)

  • Rủi ro đáng kể thường liên quan đến các giao dịch lớn không thường xuyên hoặc các vấn đề cần xét đoán. Giao dịch không thường xuyên là các giao dịch có giá trị hoặc tính chất bất thường, do đó phát sinh không thường xuyên. Các vấn đề cần xét đoán có thể bao gồm các ước tính kế toán mà việc đo lường các ước tính đó chứa đựng yếu tố không chắc chắn đáng kể. Các giao dịch thường xuyên, đơn giản được xử lý một cách có hệ thống thường ít phát sinh rủi ro đáng kể.
  • Đối với các giao dịch lớn không thường xuyên, rủi ro có sai sót trọng yếu thường nhiều hơn và phát sinh từ các vấn đề như:
  • Sự can thiệp nhiều hơn của Ban Giám đốc vào việc quy định phương pháp hạch toán kế toán;
  • Can thiệp thủ công nhiều hơn vào quá trình thu thập và xử lý dữ liệu;
  • Các phép tính toán hoặc nguyên tắc kế toán phức tạp;
  • Tính chất của các giao dịch không thường xuyên khiến đơn vị khó có thể thực hiện các kiểm soát một cách hiệu quả đối với những rủi ro đó.
    • Đối với các vấn đề mang tính xét đoán quan trọng cần đến các ước tính kế toán, rủi ro có sai sót trọng yếu thường nhiều hơn và phát sinh từ các vấn đề như:
  • Nguyên tắc kế toán đối với các ước tính kế toán hoặc ghi nhận doanh thu có thể được diễn giải theo cách khác nhau;
  • Các xét đoán cần thiết có thể mang tính chủ quan hoặc phức tạp hoặc cần các giả định về ảnh hưởng của các sự kiện xảy ra trong tương lai, như xét đoán về giá trị hợp lý.
    • Chuẩn mực kiểm toán quốc tế số 330 quy định ảnh hưởng của việc xác định một rủi ro là đáng kể đối với các thủ tục kiểm toán tiếp theo.[13]

Rủi ro đáng kể liên quan đến rủi ro có sai sót trọng yếu do gian lận

vinasc-da-lat

  • Chuẩn mực kiểm toán quốc tế số 240 quy định và hướng dẫn chi tiết hơn về việc xác định và đánh giá rủi ro có sai sót trọng yếu do gian lận.[14]

Tìm hiểu các kiểm soát liên quan đến các rủi ro đáng kể (Tham chiếu: Đoạn 29)

  • Mặc dù rủi ro liên quan đến các giao dịch lớn không thường xuyên hoặc các vấn đề cần xét đoán thường không thuộc phạm vi của các kiểm soát thông thường, Ban Giám đốc vẫn có thể có các biện pháp khác để xử lý những rủi ro đó. Do vậy, kiểm toán viên cần tìm hiểu xem đơn vị có thiết kế và thực hiện các kiểm soát đối với rủi ro đáng kể phát sinh từ các vấn đề bất thường hoặc cần xét đoán hay không, liệu Ban Giám đốc có biện pháp đối với những rủi ro đó hay không và biện pháp như thế nào. Những biện pháp có thể gồm:
  • Các hoạt động kiểm soát như rà soát các giả định của lãnh đạo cấp cao hoặc các chuyên gia;
  • Ghi chép lại quy trình thực hiện ước tính;
  • Phê duyệt của Ban quản trị.
    • Ví dụ, đối với những sự kiện chỉ xảy ra 1 lần như việc nhận được thông báo về một vụ kiện quan trọng, kiểm toán viên cần xem xét biện pháp xử lý của đơn vị, gồm những vấn đề như: vụ việc có được tham khảo ý kiến của chuyên gia phù hợp (như chuyên gia tư vấn pháp luật trong hoặc ngoài đơn vị) hay không, đơn vị đã thực hiện đánh giá về những ảnh hưởng tiềm tàng hay chưa và dự định thuyết minh như thế nào về vụ việc này trong báo cáo tài chính.
    • Trong một số trường hợp, các kiểm soát mà Ban Giám đốc áp dụng đối với các rủi ro có sai sót trọng yếu đáng kể có thể vẫn không xử lý được thích đáng các rủi ro này. Đây là một biểu hiện của khiếm khuyết nghiêm trọng trong kiểm soát nội bộ của đơn vị.[15]

Những rủi ro mà nếu chỉ thực hiện các thử nghiệm cơ bản sẽ không cung cấp đầy đủ bằng chứng kiểm toán thích hợp (Tham chiếu: Đoạn 30)

  • Rủi ro có sai sót trọng yếu có thể liên quan trực tiếp tới việc ghi chép các nhóm giao dịch hoặc số dư các tài khoản phát sinh thường xuyên và việc lập báo cáo tài chính một cách đáng tin cậy. Những rủi ro như vậy có thể bao gồm rủi ro về xử lý không chính xác hoặc không đầy đủ các nhóm giao dịch quan trọng và thường xuyên của đơn vị như doanh thu, mua hàng, thu chi tiền.
  • Khi những giao dịch kinh doanh thường xuyên đó được xử lý với mức độ tự động hóa cao, với rất ít hoặc không có sự can thiệp thủ công thì kiểm toán viên không thể chỉ áp dụng thử nghiệm cơ bản đối với các rủi ro này. Ví dụ, trường hợp này xảy ra khi một lượng lớn thông tin của đơn vị được tạo lập, ghi chép, xử lý hoặc báo cáo chỉ ở dạng thông tin điện tử như trong một hệ thống tích hợp. Trong các tình huống đó:
  • Bằng chứng kiểm toán chỉ có thể có ở dạng thông tin điện tử và sự đầy đủ, thích hợp của bằng chứng kiểm toán thường phụ thuộc vào tính hữu hiệu của các kiểm soát đối với tính chính xác và đầy đủ của thông tin;
  • Khả năng xảy ra việc thông tin được tạo lập hoặc bị thay đổi không phù hợp và không bị phát hiện ra có thể lớn hơn nếu các kiểm soát phù hợp không được thực hiện một cách hiệu quả.
    • Chuẩn mực kiểm toán quốc tế số 330 quy định các thủ tục kiểm toán tiếp theo khi phát hiện những rủi ro nêu trên.[16]

Xem xét lại đánh giá rủi ro (Tham chiếu: Đoạn 31)

  • Trong quá trình kiểm toán, kiểm toán viên có thể nhận thấy các thông tin có sự khác biệt đáng kể so với các thông tin mà kiểm toán viên đã sử dụng để đánh giá rủi ro. Ví dụ, việc đánh giá rủi ro có thể dựa vào kỳ vọng của kiểm toán viên về hoạt động hữu hiệu của một số kiểm soát. Khi tiến hành thử nghiệm đối với các kiểm soát này, kiểm toán viên có thể thu thập được bằng chứng kiểm toán cho thấy các kiểm soát đó không hoạt động hữu hiệu tại một số thời điểm của cuộc kiểm toán. Tương tự, khi thực hiện các thử nghiệm cơ bản, kiểm toán viên có thể phát hiện ra các sai sót về số liệu hoặc các sai sót có tần suất xảy ra lớn hơn so với dự kiến của kiểm toán viên khi đánh giá rủi ro. Trong những tình huống như vậy, việc đánh giá rủi ro có thể không phản ánh hợp lý tình hình thực tế của đơn vị và các thủ tục kiểm toán tiếp theo đã được lập kế hoạch có thể không hiệu quả trong việc phát hiện ra các sai sót trọng yếu. Xem thêm các quy định và hướng dẫn tại Chuẩn mực kiểm toán quốc tế số 330.