Bài giảng Kiểm toán tài chính - Bài 2: Đánh giá kiểm soát nội bộ

Bài giảng Kiểm toán tài chính - Bài 2: Đánh giá kiểm soát nội bộ cung cấp đến người học các kiến thức về bản chất, nội dung kiểm soát nội bộ, quy trình đánh giá kiểm soát nội bộ của khách thể kiểm toán do kiểm toán độc lập thực hiện.

Hướng dẫn học

Để học tốt bài này,sinh viên cần tham khảo các phương pháp học sau:

 Học đúng lịch trình của môn học theo tuần, làm các bài luyện tập đầy đủ và tham gia thảo luận trên diễn đàn

 Đọc tài liệu: Giáo trình Kiểm toán tài chính – NXB Đại học Kinh tế quốc dân; xuất bản năm 2014 do GS.TS Nguyễn Quang Quynh và PGS.TS Ngô Trí Tuệ chủ biên

 Sinh viên làm việc theo nhóm và trao đổi với giảng viên trực tiếp tại lớp học hoặc qua email

 Tham khảo các thông tin từ trang Web môn học

Nội dung

Bài học này tập trung vào bản chất và nội dung kiểm soát nội bộ, quy trình đánh giá kiểm soát nội bộ của khách thể kiểm toán do kiểm toán độc lập thực hiện

Mục tiêu

 Nắm được bản chất của kiểm soát nội bộ;

 Nắm được nội dung của các yếu tố cấu thành kiểm soát nội bộ;

 Nắm được quy trình đánh giá kiểm soát nội bộ thông qua bốn bước: (1) thu thập sự hiểu biết về kiểm soát nội bộ của khách thể kiểm toán, (2) đánh giá sơ bộ về rủi ro kiểm soát, (3) thực hiện các thử nghiệm kiểm soát, (4) đánh giá lại rủi ro kiểm soát để thiết

kế các thử nghiệm kiểm toán

T ình huống dẫn nhập

Hoàng là kiểm toán viên độc lập được phân công kiểm toán báo cáo tài chính lần đầu tiên cho Công ty Cổ phần KB trong năm tài chính kết thúc vào ngày 31/12/2014 KB là một công ty có quy mô lớn, được thành lập từ năm 2005, kinh doanh trong lĩnh vực bán lẻ và bán buôn các sản phẩm điện gia dụng như ti vi, tủ lạnh, điều hòa,… với một hệ thống chuỗi các siêu thị điện máy hoạt động chủ yếu trên địa bàn thành phố Hà Nội và một số tỉnh lân cận Kiểm toán viên nhận thấy danh mục hàng hóa kinh doanh của KB rất đa dạng, tuy nhiên hàng trong kho bị sắp xếp khá lộn xộn nên nhiều khi việc tìm đúng hàng để giao cho khách mất khá nhiều thời gian Nhân viên của KB được ra vào kho khá tự do trong khi hệ thống camera lắp đặt trong kho nhiều chỗ khuất không quan sát được, thậm chí một số ngày bị mất tín hiệu mà không có người để sửa chữa kịp thời Ở chi nhánh KB mới khai trương tại Lào Cai, do thiếu nhân viên nên kế toán vật tư của chi nhánh kiêm luôn thủ kho Khi kiểm tra tài liệu đối với nghiệp vụ thanh toán với khách hàng, Hoàng nhận thấy các nghiệp vụ bán lẻ thu tiền ngay không có vấn đề gì Tuy nhiên, với các nghiệp vụ bán buôn cho các khách hàng lớn, đặc biệt khách hàng ngoại tỉnh, số nợ dây dưa, chậm trả khá lớn so với tổng dư nợ phải thu khách hàng Kế toán thanh toán ít khi thực hiện việc đối chiếu công nợ với khách hàng, hơn nữa, các chênh lệch được phát hiện không được giải quyết triệt để giữa KB với khách hàng

Với tư cách là kiểm toán viên, anh (chị) hãy:

1 Xác định những hạn chế trong kiểm soát nội bộ tại Công ty Cổ phần KB

và nêu ảnh hưởng (nếu có) của chúng đến hoạt động của KB?

2 Đánh giá rủi ro kiểm soát đối với các khoản mục và nghiệp vụ có liên quan trong tình huống trên?

3 Nêu nội dung thử nghiệm kiểm soát cần thực hiện đối với các khoản mục

và nghiệp vụ liên quan trong tình huống trên?

4 Đề xuất các thủ tục kiểm soát cần thiết đối với KB để khắc phục các hạn chế đã được xác định?

2.1 Bản chất của kiểm soát nội bộ

Về khái niệm, theo Chuẩn mực Kiểm toán Quốc tế 315 (ISA 315), kiểm soát nội bộ

được hiểu là quá trình do Ban quản trị, Ban giám đốc và các cá nhân khác trong đơn vị thiết kế và thực hiện nhằm cung cấp sự đảm bảo hợp lý trong việc đạt được các mục tiêu sau:

 Độ tin cậy của báo cáo tài chính;

 Tính hiệu quả và hiệu năng trong hoạt động của đơn vị;

 Tuân thủ các luật lệ và quy định

Bản chất của kiểm soát nội bộ được hiểu trên các khía cạnh sau đây:

Thứ nhất, kiểm soát nội bộ hướng đến việc hiện

thực hóa các mục tiêu của một đơn vị Kiểm soát

nội bộ được thiết kế và thực hiện nhằm đạt được các

mục tiêu liên quan đến các hoạt động của đơn vị

(operation objectives) Mục tiêu này không chỉ giới

hạn ở việc sử dụng hiệu quả các nguồn lực của đơn

vị mà còn hướng đến việc đảm bảo thực hiện các

mục tiêu về tài chính như tăng doanh thu, tiết kiệm

chi phí, tối đa hóa lợi nhuận,… và bảo vệ tài sản của đơn vị Kiểm soát nội bộ giúp

cho đơn vị đạt được mục tiêu liên quan đến báo cáo tài chính (reporting objectives)

Cụ thể, việc lập và trình bày báo cáo tài chính cần đảm bảo độ tin cậy, sự minh bạch, tính kịp thời và đáp ứng các yêu cầu khác trong lập báo cáo tài chính theo quy định pháp luật và các chính sách của đơn vị Kiểm soát nội bộ cũng hướng đến mục tiêu

tuân thủ (compliance objectives) nhằm đảm bảo đơn vị tuân thủ các quy định pháp lý

có hiệu lực chi phối và điều tiết các hoạt động của đơn vị

Thứ hai, kiểm soát nội bộ là một quá trình được thực hiện liên tục

Thứ ba, kiểm soát nội bộ do các cá nhân trong đơn vị chi phối Kiểm soát nội bộ

không chỉ đơn giản thể hiện ở việc thiết kế các chính sách và thủ tục kiểm soát mà quan trọng hơn, các chính sách và thủ tục kiểm soát phải do các cá nhân ở các cấp độ khác nhau trong đơn vị thực hiện để đạt được các mục tiêu mong đợi

Thứ tư, kiểm soát nội bộ thể hiện sự thích nghi và hòa hợp với cơ cấu tổ chức của đơn

vị Kiểm soát nội bộ cần được thực hiện ở mọi cấp độ tổ chức, đặc biệt với các doanh nghiệp có quy mô lớn bao gồm các chi nhánh, đơn vị thành viên, phòng ban và các quá trình kinh doanh

Thứ năm, kiểm soát nội bộ, cho dù được thiết kế hoàn hảo đến đâu chăng nữa, chỉ có thể cung cấp sự đảm bảo hợp lý (reasonable assuarance) – mà không phải là sự đảm

bảo tuyệt đối – đối với việc đạt được các mục tiêu mà đơn vị kỳ vọng

Theo ISA 315, kiểm soát nội bộ không thể đảm bảo một báo cáo tài chính tin cậy tuyệt đối vì các hạn chế tiềm tàng của nó Kiểm soát nội bộ phụ thuộc rất lớn vào tính chính trực của các cá nhân thực hiện các hoạt động và những người chịu trách nhiệm giám sát các chính sách và thủ tục kiểm soát đã ban hành trong đơn vị Kiểm soát nội

bộ không thể loại trừ toàn bộ các sai sót hoặc gian lận có thể xảy ra do nhân viên của đơn vị chịu áp lực trong công việc, hoặc do tính tình cẩu thả, mệt mỏi trong quá trình

thực hiện công việc, hoặc nguy hiểm hơn, có sự thông đồng giữa người thực hiện sai phạm với kiểm soát viên Một số nhà quản lý thể hiện sự tin tưởng quá mức vào khả năng ngăn ngừa các sai sót và gian lận của kiểm soát nội bộ, từ đó tạo ra những cơ hội cho các cá nhân trong đơn vị thực hiện các sai phạm mà không bị phát hiện Hầu hết các chính sách và thủ tục kiểm soát chỉ hướng đến các hoạt động thường xuyên do đơn vị thực hiện mà khó có thể kiểm soát được các hoạt động không thường xuyên, nằm ngoài dự kiến của nhà quản lý Kiểm soát nội bộ bị hạn chế bởi mối quan hệ giữa chi phí và kết quả Khi thực hiện các hoạt động kiểm soát, nhà quản lý thường cân nhắc chi phí thực hiện các hoạt động này có tương xứng với những lợi ích mà chúng mang lại hay không Kiểm soát nội bộ có thể lạc hậu khi các chính sách và thủ tục kiểm soát không được sửa đổi và cập nhật phù hợp với những thay đổi từ môi trường

kể cả bên trong và bên ngoài của đơn vị Cuối cùng, trong quá trình lập và trình bày

báo cáo tài chính, nhà quản lý cũng phải thực hiện các ước tính kế toán (như dự phòng

nợ phải thu khó đòi, dự phòng giảm giá hàng tồn kho,…), và lựa chọn áp dụng các phương pháp kế toán (khấu hao tài sản cố định hoặc tính giá xuất của hàng tồn kho,…) nên báo cáo tài chính không thể tuyệt đối tin cậy vì chúng phần nào thể hiện ý chí chủ quan của nhà quản lý trong đó

2.2 Các thành phần của kiểm soát nội bộ

Theo Chuẩn mực kiểm toán quốc tế 315 (ISA 315), kiểm soát nội bộ của đơn vị bao gồm năm thành phần: (i) môi trường kiểm soát; (ii) quy trình đánh giá rủi ro của đơn vị; (iii) hệ thống thông tin; (iv) các hoạt động kiểm soát và; (v) giám sát

2.2.1 Môi trường kiểm soát

Môi trường kiểm soát đóng vai trò quan trọng, là nền tảng trong hệ thống kiểm soát nội bộ của đơn vị Môi trường kiểm soát bao gồm thái độ, nhận thức và các hành động của Ban quản trị, Ban giám đốc về kiểm soát nội bộ và tầm quan trọng của kiểm soát nội bộ trong đơn vị

Môi trường kiểm soát bao gồm các yếu tố: (i) tính chính trực và các giá trị đạo đức; (ii) cam kết về năng lực; (iii) sự tham gia của ban quản trị; (iv) triết lý và phong cách điều hành của nhà quản lý; (v) cơ cấu tổ chức; (vi) phân công quyền hạn và trách nhiệm; (vii) chính sách nhân sự

Thứ nhất, tính chính trực và các giá trị đạo đức (integrity and ethical values): Tính

chính trực và các giá trị đạo đức là yếu tố cấu thành quan trọng của môi trường kiểm soát Nó ảnh hưởng đến tính hiệu quả của việc thiết kế, quản lý và giám sát các thành phần khác của kiểm toán nội bộ Một trong những biểu hiện của tính chính trị và giá trị đạo đức là các chuẩn mực đạo đức do nhà quản lý ban hành và áp dụng bởi các thành viên trong đơn vị Để ngăn ngừa các sai phạm, đặc biệt là gian lận, nhà quản lý cần nỗ lực, cố gắng giảm bớt hoặc loại bỏ các động cơ và sự cám dỗ có thể khiến cho nhân viên trong đơn vị có những hành động không trung thực, trái luật pháp và trái đạo lý Các giá trị đạo đức cần được tuyên truyền rộng rãi đến nhân viên thông qua các văn bản về quy định về đạo đức, chuẩn mực ứng xử

Thứ hai, cam kết về năng lực (commitment to competence): Năng lực thể hiện các

kỹ năng, kiến thức và khả năng cần thiết của con người để thực hiện các nhiệm vụ

nhất định Nhà quản lý cần đảm bảo mọi nhân viên trong đơn vị đều hội tụ đủ các kỹ năng, kiến thức và khả năng để thực hiện được các công việc được giao Cam kết về năng lực thể hiện ở việc nhà quản lý thiết lập và thực hiện các chính sách nhân sự hợp

lý để đảm bảo các vấn đề sau đây:

 Xác định các kỹ năng, kiến thức cần thiết phải đáp ứng đối với mọi vị trí làm việc trong đơn vị;

 Thẩm tra bằng cấp hoặc chứng chỉ của các ứng viên trong quá trình tuyển dụng nhân sự;

 Chỉ thực hiện tuyển dụng và đề bạt đối với nhân viên có đủ năng lực;

 Thiết lập các chương trình đào tạo cho nhân viên để họ có cơ hội nâng cao kỹ năng

và kiến thức chuyên môn

Thứ ba, sự tham gia của Ban quản trị (participation

of those charged with governance): Sự tham gia của

nhà quản trị có ảnh hưởng đáng kể đến kiểm soát

nội bộ Đây là điều kiện quan trọng đảm bảo cho

quản trị doanh nghiệp (corporate governance) được

vận hành hiệu quả Ban quản trị có trách nhiệm

giám sát sự vận hành của kiểm soát nội bộ và quá

trình lập báo cáo tài chính Các thành viên của Hội đồng quản trị cần phải độc lập với các nhà quản lý nhằm đảm bảo tính khách quan trong giám sát và đánh giá kiểm soát nội bộ Một Ban quản trị năng động và thực hiện đúng trách nhiệm trước hết phải thể hiện ở khả năng họ có thể giảm được nguy cơ kiểm soát nội bộ bị nhà quản lý của đơn

vị chi phối và thâu tóm Để hỗ trợ cho Ban quản trị hoàn thành trách nhiệm, Ủy ban kiểm toán được thiết lập nhằm giám sát quá trình lập báo cáo tài chính của đơn vị Ủy ban kiểm toán chịu trách nhiệm duy trì mối liên hệ thường xuyên với kiểm toán viên nội bộ và kiểm toán viên bên ngoài đơn vị, bao gồm việc lựa chọn và đưa ra các quyết định chấp nhận kiểm toán Các thành viên của Ủy ban kiểm toán cũng phải độc lập với nhà quản lý, đồng thời cần am hiểu và có nhiều kinh nghiệm về các vấn đề liên quan đến việc lập và trình bày báo cáo tài chính

Thứ tư, triết lý và phong cách điều hành của nhà quản lý (management’s philiosophy and operating style): Thông qua các hoạt động, nhà quản lý phát đi các tín hiệu đến

nhân viên về quan điểm và nhận thức của họ về tầm quan trọng của kiểm soát nội bộ Nếu nhà quản lý nhấn mạnh vào việc lập báo cáo tài chính tin cậy và tuân thủ các quy định pháp lý thì các nhân viên của đơn vị sẽ phải quan tâm nhiều hơn đến các vấn đề này nhằm đáp ứng yêu cầu của nhà quản lý Ngoài ra, khi xem xét nhân tố này, kiểm toán viên cũng cần đánh giá về triết lý và phong cách điều hành của nhà quản lý đối với kiểm soát rủi ro kinh doanh, thái độ và hành động của họ đối với việc lập báo cáo tài chính hoặc nhận thức của họ đối với việc xử lý thông tin, chức năng của kế toán và nhân viên

Thứ năm, cơ cấu tổ chức (organizational structure): Cơ cấu tổ chức thể hiện sự phân

định về quyền và trách nhiệm của các bộ phận, cá nhân trong một đơn vị, đồng thời phản ánh sự phân quyền về kiểm soát Thông qua việc tìm hiểu về cơ cấu tổ chức của đơn vị, kiểm toán viên có thể hiểu về rõ về chức năng, trách nhiệm và quyền hạn của các bộ phận trong đơn vị và nhận biết được cách thức vận hành của kiểm soát nội bộ

Thứ sáu, phân công quyền hạn và trách nhiệm (assignment of authority and responsibilites): Cách thức phân công quyền hạn và trách nhiệm (assignment of authoriry and responsibilities) trong một đơn vị quyết định đến việc các cá nhân trong

đơn vị ý thức rõ ràng về quyền hạn, công việc và trách nhiệm mà họ cần phải đảm nhận Nếu việc phân công quyền hạn và trách nhiệm không rõ ràng, không đầy đủ sẽ làm giảm hiệu lực của kiểm soát nội bộ Ví dụ, trong bộ phận kế toán, thông qua việc xác định quyền hạn, công việc và trách nhiệm rõ ràng, kế toán theo dõi thanh toán với khách hàng sẽ nắm rõ các công việc, trình tự và thời gian thực hiện công việc mà mình phải đảm nhận (ví dụ thực hiện đối chiếu công nợ với khách hàng theo định kỳ, thực hiện các biện pháp nhắc và đốc thúc công nợ,… giúp cho đơn vị có thể giảm được thiệt hại do khách hàng chậm thanh toán hoặc không thanh toán các khoản nợ

đến hạn)

Thứ bảy, các chính sách về nhân sự (human resources policies and practices): Nguồn

nhân lực là yếu tố then chốt trong kiểm soát nội bộ Nếu nhân viên có năng lực và trung thực thì cho dù thiếu vắng các thủ tục kiểm soát quan trọng, báo cáo tài chính được lập ra vẫn đảm bảo độ tin cậy Ngược lại, nếu nhân viên không có đủ các kỹ năng và kiến thức cần thiết, luôn muốn thực hiện các hành vi gian lận thì các hoạt động kiểm soát cần được tăng cường để ngăn ngừa các gian lận và sai sót có thể Tuy nhiên, kể cả trường hợp nhân viên trung thực và có năng lực, kiểm soát nội bộ vẫn có thể có nhiều hạn chế vì các lý do như nhân viên không hài lòng về chính sách lương thưởng của đơn vị, hoặc họ có quá nhiều áp lực vì khối lượng công việc quá tải Chính

vì vậy, chính sách nhân sự có thể đảm bảo được tính hiệu lực của kiểm soát nội bộ thông qua các hoạt động tuyển dụng, đánh giá nhân sự, đào tạo, đề bạt và đãi ngộ người lao động đúng đắn và hợp lý

2.2.2 Quy trình đánh giá rủi ro

Quy trình đánh giá rủi ro (entity’s risk assessment

process) của đơn vị được hiểu là quy trình nhận

diện và đối phó với các rủi ro Đánh giá rủi ro trong

việc lập và trình bày báo cáo tài chính là quy trình

nhà quản lý nhận diện và phân tích các rủi ro liên

quan đến việc lập báo cáo tài chính nhằm bảo đảm

phù hợp với các chuẩn mực kế toán Ví dụ, nếu một

doanh nghiệp thường xuyên bán sản phẩm với giá thấp hơn giá vốn hàng bán để xả hàng tồn kho do công nghệ sản xuất sản phẩm thay đổi quá nhanh, doanh nghiệp cần

áp dụng đầy đủ nhiều biện pháp kiểm soát khác nhau để đối phó với rủi ro do hàng tồn kho ứ đọng và tồn quá nhiều Trong quá trình hoạt động, doanh nghiệp có thể đối mặt với rất nhiều rủi ro vì các lý do như nguồn nhân lực không đảm bảo chất lượng, các đối thủ mới gia nhập vào thị trường, công nghệ sản xuất sản phẩm thay đổi, các chi nhánh và đơn vị thành viên hoạt động ở các địa bàn phân tán dẫn đến sư khó khăn trong quản lý và kiểm soát, kinh tế suy thoái,… Tất cả các nhân tố này đều gia tăng rủi ro kinh doanh của đơn vị Chính vì vậy, việc đánh giá rủi ro là cần thiết nhằm đảm bảo cho đơn vị có thể hiện thực được các mục tiêu đã xác định Quy trình đánh giá rủi

ro bao gồm nhiều bước như: (i) nhận diện rủi ro, (ii) ước tính mức độ và tầm quan

trọng của rủi ro, (iii) đánh giá khả năng xảy ra rủi ro và; (iv) triển khai các hành động

cụ thể và cần thiết để giảm rủi ro xuống mức có thể chấp nhận được

Trong một đơn vị, nếu nhà quản lý xác định việc đánh giá rủi ro là một bộ phận cấu thành kiểm soát nội bộ, từ đó thiết kế và vận hành các thủ tục kiểm soát để giảm thiểu sai sót và gian lận trong lập báo cáo tài chính thì kiểm toán viên cần đánh giá rủi ro để quyết định số lượng bằng chứng kiểm toán cần thu thập Nếu quy trình đánh giá rủi ro của đơn vị được thực hiện hiệu quả, kiểm toán viên có thể giảm số lượng bằng chứng cần thu thập và ngược lại

Kiểm toán viên thu thập sự hiểu biết về quy trình đánh giá rủi ro của đơn vị bằng nhiều cách khác nhau như: điều tra thông qua bảng hỏi, thảo luận với nhà quản lý của đơn vị về cách thức nhận diện, đánh giá và xác định các biện pháp để kiểm soát và giảm thiểu rủi ro trong viêc lập và trình bày báo cáo tài chính

2.2.3 Hệ thống thông tin và truyền thông

Hệ thống thông tin và truyền thông (information and communication system) là thành

phần quan trọng trong kiểm soát nội bộ Trong mối quan hệ với kiểm toán tài chính, kiểm toán viên cần xem xét hệ thống thông tin kế toán (là chủ yếu) và thông tin phi kế toán của đơn vị Mục đích của hệ thống thông tin và truyền thông là nhận diện, phân loại, ghi chép, xử lý và báo cáo về các nghiệp vụ kinh tế đã phát sinh nhằm đảm bảo trách nhiệm giải trình về tài sản, nợ phải trả và vốn chủ sở hữu của đơn vị

Hệ thống thông tin trong đơn vị cần thường bao

gồm nhiều phân hệ liên quan đến các loại nghiệp vụ

như: bán hàng, thu tiền; mua hàng, thanh toán;

Với từng loại nghiệp vụ, hệ thống thông tin cần thỏa

mãn đầy đủ các mục tiêu kiểm soát như: (i) các

nghiệp vụ được ghi nhận phải thực sự phát sinh; (ii)

các nghiệp vụ đã phát sinh phải được ghi nhận đầy

đủ; (iii) giá trị (bằng tiền) của các nghiệp vụ được

ghi nhận chính xác; (iv) các nghiệp vụ được trình

bày và phân loại đúng đắn; (v) các nghiệp vụ được

ghi nhận đúng kỳ và; (vi) các nghiệp vụ được cộng

dồn và tổng hợp chính xác Ví dụ, với nghiệp vụ bán hàng, hệ thống thông tin cần đảm bảo rằng hàng hóa và dịch vụ đã chuyển giao quyền sở hữu cho khách hàng cần phải được ghi nhận là doanh thu và được ghi chép đúng kỳ kế toán

Nhằm thu thập sự hiểu biết về hệ thống thông tin của đơn vị, kiểm toán viên xác định các vấn đề sau: (i) nhận diện các nghiệp vụ chính, điển hình trong đơn vị; (ii) cách thức nhận diện và ghi chép các nghiệp vụ; (iii) các loại chứng từ và tài liệu kế toán và bản chất của chúng; (vi) cách thức đơn vị xử lý các nghiệp vụ quan trọng và; (v) bản chất và nội dung của quy trình lập báo cáo tài chính bao gồm các thủ tục để truy cập vào các nghiệp vụ và điều chỉnh chúng trên các sổ cái

2.2.4 Các hoạt động kiểm soát

Các hoạt động kiểm soát (control activities) bao gồm các chính sách và thủ tục được thiết kế nhằm đảm bảo việc thực hiện các hành động cần thiết để đối phó với các

rủi ro ảnh hưởng đến quá trình đạt được mục tiêu của đơn vị Các hoạt động kiểm soát của đơn vị thường bao gồm:

Thứ nhất, phân tách nhiệm vụ đầy đủ (adequate separation of duties): Phân tách

nhiệm vụ là hoạt động không thể thiếu trong kiểm soát nội bộ, đặc biệt đối với đơn vị

có quy mô lớn Mục đích của phân tách nhiệm vụ nhằm ngăn chặn các trường hợp một cá nhân hoặc một bộ phận của đơn vị đảm nhận toàn bộ các nhiệm vụ từ khi bắt đầu đến khi kết thúc một nghiệp vụ, từ đó tạo cơ hội cho sai sót hoặc gian lận gia tăng Nếu không phân tách nhiệm vụ, nguy cơ kiểm soát nội bộ bị thao túng là điều hoàn toàn có thể xảy ra Chính vì vậy, cần phân tách các nhiệm vụ sau:

(i) Phân tách nhiệm vụ bảo vệ tài sản với nhiệm vụ kế toán: Nếu một cá nhân đồng thời thực hiện hai nhiệm vụ này có thể tạo cơ hội tốt cho gian lận trong trường hợp

cá nhân đó muốn lấy cắp tài sản của đơn vị, đồng thời điều chỉnh thông tin kế toán để che giấu sai phạm

(ii) Phân tách thẩm quyền phê chuẩn nghiệp vụ với nhiệm vụ bảo vệ tài sản liên quan đến nghiệp vụ đó: Hoạt động kiểm soát này có thể ngăn ngừa gian lận về biển thủ hoặc tham ô tài sản khi một cá nhân có thẩm quyền phê duyệt nghiệp vụ và có thẩm quyền kiểm soát tài sản liên quan đến nghiệp vụ đó

(iii) Phân tách trách nhiệm thực hiện nghiệp vụ với trách nhiệm ghi chép, bảo quản sổ sách kế toán nhằm đảm bảo việc ghi nhận và xử lý thông tin khách quan, không theo chiều hướng có lợi cho cá nhân chịu trách nhiệm thực hiện nghiệp vụ

(iv) Phân tách nhiệm vụ của bộ phận quản lý và kiểm soát công nghệ thông tin với các phòng ban sử dụng hệ thống thông tin để thực hiện nhiệm vụ: Việc phân tách này có thể giảm bớt sự chồng chéo về chức năng và nhiệm vụ giữa bộ phận quản lý và kiểm soát thông tin với các đơn vị sử dụng hệ thống này để xử lý các nghiệp vụ Ví dụ, chức năng thiết kế và kiểm soát các phần mềm kế toán do bộ phận IT đảm nhận, trong khi đó bộ phận kế toán thực hiện trách nhiệm cập nhật thông tin

Thứ hai, phê chuẩn các nghiệp vụ (authorization of transactions and activities): Các

nghiệp vụ, trước khi được thực hiện thì cần phải có sự phê duyệt nhằm đảm bảo các yêu cầu về kiểm soát nhằm hạn chế các rủi ro Ví dụ, trước khi chi tiền cần phải duyệt chi bởi nhà quản lý có đủ thẩm quyền nhằm hạn chế các gian lận như chi tiền sai mục đích, chi khống, biển thủ tài sản Trong các nghiệp vụ giao hàng nhưng khách hàng trả tiền sau, cần phê duyệt tín dụng nhằm hạn chế các khoản nợ xấu từ khách hàng Có

hai cách phê duyệt bao gồm phê duyệt chung (general authorization) và phê duyệt cụ thể (specific authorization) Phê duyệt cụ thể áp dụng đối với từng nghiệp vụ Ví dụ,

duyệt giá bán một chiếc xe ô tô đã qua sử dụng cho khách hàng tại một công ty chuyên kinh doanh xe ô tô đã qua sử dụng Phê duyệt chung áp dụng cho các nghiệp

vụ Ví dụ một doanh nghiệp đưa ra chính sách bán chịu cho khách hàng trong đó quy định rõ: bất cứ khách hàng nào muốn được tiếp tục mua chịu trước hết phải thanh toán toàn bộ số nợ từ nghiệp vụ mua chịu trước đó

Thứ ba, xử lý thông tin (information processing): Hoạt động kiểm soát này yêu cầu

các chứng từ và tài liệu được lập và luân chuyển để ghi nhận và xử lý các nghiệp vụ

phải đầy đủ Các chứng từ và tài liệu cho dù dưới dạng văn bản hoặc điện tử phải cung cấp bằng chứng về sự phát sinh và tính hợp lý, hợp lệ của các nghiệp vụ (audit trail)

Việc xử lý thông tin cần đảm bảo hai khía cạnh là thiết kế sử dụng các chứng từ theo các yêu cầu sau:

 Các chứng từ phải được đánh số thứ tự trước và liên tục nhằm tránh thất lạc và

được bảo quản một cách khoa học để sẵn sàng được sử dụng cho các mục đích khác nhau (kiểm tra, đối chiếu) khi cần Việc đánh số thứ tự trước và liên tục là một biện pháp hữu hiệu nhằm đảm bảo tính đầy đủ trong ghi nhận các nghiệp vụ kinh tế đã phát sinh

 Chứng từ và tài liệu kế toán cần được lập ngay tại thời điểm nghiệp vụ kinh tế phát

sinh để đảm bảo tính đúng kỳ trong ghi nhận các nghiệp vụ

 Chứng từ được thiết kế cho các mục đích và nơi sử dụng khác nhau, nhằm hạn chế

sự lãng phí không cần thiết về mặt giấy tờ Ví dụ, một chứng từ điện tử được lập

để giao hàng cho khách có thể được sử dụng như là chứng từ xuất kho, nhằm cung cấp thông tin về ngày tháng phát sinh nghiệp vụ, số lượng hàng được giao, số tiền khách hàng phải thanh toán và được sử dụng để ghi nhận sự thay đổi của hàng tồn kho

 Chứng từ được thiết kế hợp lý nhằm tăng tính chính xác và khả năng kiểm soát

nghiệp vụ trong quá trình chuẩn bị và lập chứng từ, đặc biệt với các chứng từ điện tử

Thứ tư, kiểm soát vật chất (physical controls): Tài sản và các tài liệu, thông tin của

một đơn vị phải được bảo vệ an toàn để tránh các nguy cơ bị mất cắp, lạm dụng hoặc

bị hư hỏng Với các đơn vị có sự lệ thuộc lớn vào hệ thống công nghệ thông tin thì các thiết bị máy móc, chương trình phần mềm máy tính, hệ thống dữ liệu cần được bảo vệ

an toàn bởi một khi chúng bị hư hỏng, hoặc thâm nhập từ bên ngoài, đơn vị sẽ tốn kém nhiều chi phí để sửa chữa hoặc phục hồi lại hệ thống

Để bảo vệ tài sản và các tài liệu, thông tin, cần áp dụng các biện pháp kiểm soát phòng ngừa để tránh các rủi ro Ví dụ, hàng tồn kho của đơn vị cần được bảo quản an toàn trong hệ thống kho bãi với các điều kiện về an ninh phù hợp nhằm tránh bị lấy cắp đồng thời hạn chế sự tiếp cận của các nhân viên không có thẩm quyền đối với hàng tồn kho

Thứ năm, kiểm soát độc lập việc thực hiện các nghiệp vụ (independent check on performance): Hoạt động này đảm bảo cơ chế thực hiện đối với các hoạt động kiểm

soát đã trình bày ở trên Một tên gọi khác đối với hoạt động này là thẩm tra nội bộ

(internal verification) Kiểm soát độc lập luôn cần thiết trong đơn vị vì nhiều lý do

Trước hết, kiểm soát nội bộ của đơn vị có xu hướng thay đổi theo thời gian, vì vậy cần

rà soát thường xuyên để tránh trường hợp kiểm soát nội bộ bị chệch hướng Các nhân viên trong đơn vị có thể nhầm lẫn, quên hoặc đôi khi vì cẩu thả nên không áp dụng các thủ tục kiểm soát một cách đầy đủ Chính vì vậy, cần phải có nhân viên phù hợp

để quan sát và đánh giá các hoạt động của họ nhằm giảm thiểu gian lận và sai sót gia tăng vì các tình huống trên

Nhân viên chịu trách nhiệm thực hiện công việc thẩm tra nội bộ phải độc lập với những người thực hiện công việc và chuẩn bị tài liệu Ví dụ, nhân viên thực hiện việc đối chiếu số liệu với ngân hàng cần độc lập với kế toán viên phụ trách tiền gửi ngân hàng

Trong hệ thống thông tin kế toán có sử dụng phần mềm kế toán, phần mềm kế toán cần được thiết kế để các hoạt động thẩm tra độc lập được thực hiện tự động Ví dụ, phần mềm máy tính có thể ngăn chặn việc xử lý số liệu thanh toán đối với người bán khi mã số của đơn đặt hàng không phù hợp với mã số của chứng từ nhập hàng liên quan đến hóa đơn mua hàng trong hệ thống

2.2.5 Giám sát

Các hoạt động giám sát (monitoring) do nhà quản lý của đơn vị qui định thực hiện

thường xuyên hoặc định kỳ nhằm đánh giá quá trình thiết kế và vận hành của kiểm soát nội bộ có theo đúng dự kiến hay không và chất lượng của kiểm soát nội bộ trên thực tế, từ đó đưa ra các quyết định sửa chữa kiểm soát nội bộ (nếu cần thiết) Thông tin được sử dụng để đánh giá được thu thập từ nhiều nguồn khác nhau như: nghiên cứu thực trạng kiểm soát nội bộ, báo cáo của kiểm toán nội bộ, các thông tin từ các kênh bên ngoài đơn vị như ngân hàng, khách hàng, nhà cung cấp,

Trong các đơn vị, đặc biệt đơn vị có quy mô lớn, kiểm toán nội bộ được coi là bộ phận thiết yếu chịu trách nhiệm giám sát kiểm soát nội bộ Để đảm bảo tính hiệu quả trong giám sát, kiểm toán nội bộ phải độc lập với các cá nhân, phòng ban chịu sự giám sát

từ kiểm toán nội bộ Kết quả giám sát cần được báo cáo lên cấp có thẩm quyền cao nhất của đơn vị như Ban quản trị hoặc Ủy ban kiểm toán để xử lý

2.3 Đánh giá kiểm soát nội bộ trong kiểm toán tài chính

Trong quá trình kiểm toán, kiểm toán viên phải thu thập hiểu biết đầy đủ về các thành phần của kiểm soát nội bộ (KSNB) để lập kế hoạch kiểm toán và xác định các thử nghiệm kiểm toán cần thực hiện như thử nghiệm kiểm soát và thử nghiệm cơ bản Trong tất cả các cuộc kiểm toán, kiểm toán viên phải hiểu biết về kiểm soát nội bộ, đặc biệt các hoạt động kiểm soát có ảnh hưởng đến quá trình lập và trình bày báo cáo tài chính Sự hiểu biết của kiểm toán viên phải đủ để nhận diện rủi ro kiểm soát và để xem xét các nhân tố ảnh hưởng đến rủi ro có sai phạm trọng yếu, từ đó thiết kế các thử nghiệm kiểm toán có hiệu quả

Dưới đây là quy trình các công việc mà kiểm toán viên đánh giá kiểm soát nội bộ trong cuộc kiểm toán tài chính Các công việc có thể được thực hiện theo một trình tự bao gồm bốn bước: (i) tìm hiểu về kiểm soát nội bộ; (ii) đánh giá sơ bộ về rủi ro kiểm soát; (iii) thiết kế và thực hiện các thử nghiệm kiểm soát; (iv) đánh giá lại rủi ro kiểm soát và thiết kế các thử nghiệm kiểm toán thích hợp