CHAPTER 5 - YÊU CẦU KIỂM TOÁN BÊN NGOÀI

Rủi ro kiểm toán là khả năng báo cáo tài chính của công ty xuất hiện sai sót trọng yếu và kiểm toán viên đưa ra ý kiến kiểm toán không phù hợp. Để đánh giá rủi ro và lập kế hoạch kiểm toán, kiểm toán viên thường sử dụng mô hình rủi ro kiểm toán...

I. Mục tiêu

• Đánh giá vai trò của PCAOB như được mô tả trong Tiêu chuẩn Kiểm toán.
• Phân tích rủi ro tiềm ẩn (inherent risk), rủi ro kiểm soát (control risk), và rủi ro phát hiện (detection risk).
• Hiểu và phân biệt giữa các biện pháp kiểm soát phòng ngừa (preventive controls) và kiểm soát phát hiện (detective controls).
• Phân tích sự khác biệt giữa phương pháp từ trên xuống (dựa trên rủi ro) [top-down (risk-based) approach] và phương pháp từ dưới lên (bottom-up approach) trong kiểm toán kiểm soát nội bộ.
• Các trách nhiệm của kiểm toán viên bên ngoài. 

II. Nội dung

Trong bài học này chúng ta sẽ tìm hiểu về Ủy ban giám sát kế toán công ty đại chúng (PCAOB) và một số khía cạnh của kiểm toán bên ngoài (external audit) bao gồm:

• Mô hình rủi ro kiểm toán (Audit risk model).
• Kiểm toán kiểm soát nội bộ (Auditing of internal control).
• Các phương pháp kiểm tra tính phù hợp và khắc phục các lỗ hổng kiểm soát nội bộ.
• Ý kiến kiểm toán (audit opinions). 

1. Ủy ban giám sát kế toán công ty đại chúng (PCAOB)

1.1. Định nghĩa

Đạo luật Sarbanes-Oxley năm 2002 (SOX) đã thành lập Ủy ban giám sát kế toán công ty đại chúng (PCAOB), có nhiệm vụ giám sát các tổ chức kiểm toán kiểm tra các 'người phát hành' (issuers). Điều này có nghĩa là các công ty đại chúng phải nộp hồ sơ lên Ủy ban Chứng khoán và Giao dịch Mỹ (SEC). PCAOB chịu trách nhiệm ban hành các tiêu chuẩn kiểm toán và thường xuyên đánh giá chất lượng cũng như việc tuân thủ các tiêu chuẩn này của các kiểm toán viên.

Các trách nhiệm của kiểm toán viên bao gồm: 

1.2. Phương pháp tiếp cận kiểm toán 

Có bốn phương pháp tiếp cận kiểm toán:

• Phương pháp tiếp cận thủ tục cơ bản (substantive procedures)
• Phương pháp tiếp cận bảng cân đối kế toán
• Phương pháp tiếp cận dựa trên hệ thống (systems-based)
• Phương pháp tiếp cận dựa trên rủi ro (risk-based) 

 

Phương pháp	Định nghĩa	Ví dụ
Phương pháp tiếp cận thủ tục cơ bản	Phương pháp thủ tục cơ bản còn được gọi là phương pháp đối chiếu chứng từ hoặc phương pháp xác minh trực tiếp.	Cung cấp số dư tài khoản và giao dịch. Kiểm tra các nhóm giao dịch. Lập hồ sơ tài khoản. Kiểm tra hồ sơ tài chính.
Phương pháp tiếp cận bảng cân đối kế toán	Phương pháp tiếp cận bảng cân đối kế toán trong kiểm toán bao gồm việc kiểm tra việc ghi nhận chính xác về sự tồn tại, quyền sở hữu và giá trị của tài sản và nợ phải trả của công ty. Với phương pháp tiếp cận bảng cân đối kế toán, giả sử nếu tất cả các tài khoản trong bảng cân đối kế toán được kiểm tra và xác minh, thì báo cáo lãi/lỗ của công ty sẽ không bị sai lệch đáng kể.	Trong các cơ sở dẫn liệu bảng cân đối kế toán hoặc cơ sở dẫn liệu số dư tài khoản: Sự tồn tại, quyền và nghĩa vụ, tính đầy đủ, định giá và phân bổ, những khẳng định này liên quan đến một số khẳng định trong báo cáo kết quả hoạt động kinh doanh. Điều này có nghĩa là nếu các cơ sở dẫn liệu số dư tài khoản được ghi nhận chính xác trong bảng cân đối kế toán, thì điều này đồng nghĩa các cơ sở dẫn liệu báo cáo kết quả hoạt động kinh doanh được ghi nhận chính xác. Một số mục trong báo cáo kết quả hoạt động kinh doanh có thể được chọn để kiểm tra khi sử dụng phương pháp tiếp cận bảng cân đối kế toán.
Phương pháp tiếp cận dựa trên hệ thống	Với phương pháp kiểm toán này, các kiểm toán viên dựa vào hệ thống kiểm soát nội bộ của khách hàng để tiến hành kiểm toán, với điều kiện hệ thống kiểm soát này đã được thiết lập một cách phù hợp và đầy đủ. Phương pháp này có chiến lược đối lập so với phương pháp tiếp cận thủ tục cơ bản.	Tập trung vào việc kiểm tra hệ thống kiểm soát nội bộ của khách hàng để giả định rằng hệ thống báo cáo tài chính của khách hàng sẽ ít rủi ro hơn.
Phương pháp tiếp cận dựa trên rủi ro	Xác định các rủi ro tuân thủ cao nhất đối với tổ chức, từ đó ưu tiên cho các kiểm soát tuân thủ, chính sách và thủ tục của tổ chức. Đây được gọi là phương pháp 'từ trên xuống' (top-down) trong việc xác định rủi ro. Khi chương trình tuân thủ (compliance programmer) giảm bớt các rủi ro cao nhất xuống mức chấp nhận được, nó sẽ chuyển sang xử lý các rủi ro thấp hơn.	Rủi ro rửa tiền có thể được đo lường bằng cách sử dụng các hạng mục khác nhau trong phương pháp tiếp cận dựa trên rủi ro, và có thể được điều chỉnh bởi các biến số rủi ro. Các tiêu chí rủi ro thường được sử dụng nhất là: rủi ro quốc gia, rủi ro khách hàng và rủi ro dịch vụ.

 

2. Rủi ro kiểm toán và mô hình rủi ro kiểm toán (Audit risks and Audit risk model)

2.1. Rủi ro kiểm toán (Audit risks)

Rủi ro kiểm toán là khả năng báo cáo tài chính của công ty xuất hiện sai sót trọng yếu và kiểm toán viên đưa ra ý kiến kiểm toán không phù hợp.

Ý kiến kiểm toán không phù hợp hoặc không chính xác có thể gây ảnh hưởng tới công ty, giảm độ tin cậy vào báo cáo tài chính và kiểm toán viên.

Rủi ro kiểm toán phải được giảm xuống mức thích hợp trước khi ý kiến về báo cáo tài chính được đưa ra.  

2.2. Mô hình rủi ro kiểm toán (Audit risk model) 

Kiểm toán bao gồm một loạt các bước được thiết kế để cung cấp cho kiểm toán viên đủ bằng chứng để xác nhận ý kiến của họ về việc báo cáo tài chính có phản ánh đúng đắn và không có sai sót trọng yếu hay không.

Để đánh giá rủi ro và lập kế hoạch kiểm toán, kiểm toán viên thường sử dụng mô hình rủi ro kiểm toán.

Mô hình rủi ro kiểm toán phân chia rủi ro kiểm toán thành 3 loại:  

• Rủi ro tiềm tàng (Inherent risk) là khả năng báo cáo tài chính có sai sót trọng yếu khi không có các biện pháp kiểm soát. Những rủi ro này liên quan đến các quyết định kinh doanh, văn hóa và môi trường của khách hàng kiểm toán.
• Rủi ro kiểm soát (control risk) là khả năng hệ thống kiểm soát nội bộ của khách hàng không thể ngăn chặn, phát hiện và sửa chữa sai sót trọng yếu trong báo cáo tài chính.
• Rủi ro phát hiện (detection risk) là khả năng các thủ tục của kiểm toán viên không phát hiện được sai sót trọng yếu trong báo cáo tài chính.

Ba loại rủi ro này có tính tương tác. Vì vậy nếu kiểm soát nội bộ của khách hàng hiệu quả thì kiểm toán viên sẽ có thể thực hiện công việc của họ với ít thử nghiệm kiểm toán (audit test) hơn. 

3. Kiểm toán kiểm soát nội bộ (Auditing of internal control)

3.1. Kiểm toán kiểm soát nội bộ (Auditing of internal control)

Trong mục 404 SOX, các công ty đại chúng được yêu cầu thiết lập và duy trì hệ thống kiểm soát nội bộ.

Kiểm toán viên độc lập có trách nhiệm chứng thực và báo cáo về tính đầy đủ của các biện pháp kiểm soát nội bộ của công ty đại chúng đối với báo cáo tài chính. 

 Quy trình bao gồm: 

3.2. Phương pháp kiểm toán kiểm soát nội bộ 

Có hai phương pháp để kiểm toán tính hiệu quả của hoạt động kiểm soát nội bộ:

• Phương pháp tiếp cận từ trên xuống (Dựa trên rủi ro) – Top-down (risk-based) approach.
• Phương pháp tiếp cận từ dưới lên – Bottom-up approach 

a. Phương pháp tiếp cận từ trên xuống (dựa trên rủi ro) (Top-down approach - Risked-based approach)

Phương pháp tiếp cận từ trên xuống được sử dụng trong việc lựa chọn các biện pháp kiểm soát để kiểm tra.

Kiểm toán viên đánh giá rủi ro tổng thể lần lượt theo các cấp độ như sau:  

Quá trình kiểm tra các biện pháp kiểm soát cấp tổng thể (entity level) nên được bắt đầu với các biện pháp có mức độ ảnh hưởng lớn tới ý kiến của kiểm toán viên. Điều này sẽ giúp các kiểm toán viên đưa ra quyết định xem nên tăng cường hay giảm bớt các thử nghiệm sẽ thực hiện với các biện pháp kiểm soát khác.

Theo Tiêu chuẩn Kiểm toán số 5 (AS No. 5) kiểm toán viên cần đạt được các mục tiêu sau khi lựa chọn các kiểm soát để thử nghiệm:

• • Hiểu quy trình giao dịch liên quan đến các cơ sở dẫn liệu có liên quan.
  • Xác định các điểm trong quy trình của công ty tại đó có thể phát sinh sai sót trọng yếu.
  • Xác định các kiểm soát mà ban quản lý đã triển khai để giải quyết các sai sót tiềm ẩn này.  
    
    

b. Phương pháp tiếp cận từ dưới lên (Bottom-up approach)

Phương pháp tiếp cận từ dưới lên coi tất cả các biện pháp kiểm soát đều như nhau bất kể rủi ro tiềm ẩn.

Các công ty sẽ áp dụng cùng một mức độ kiểm tra cho từng quy trình kiểm soát nội bộ. Điều này thường dẫn đến việc tốn nhiều thời gian và công sức hơn cho các biện pháp kiểm soát đối với các giao dịch thông thường có ít hoặc không có rủi ro dẫn đến sai sót trọng yếu trong báo cáo tài chính, thay vì tập trung vào các biện pháp kiểm soát có rủi ro cao và các biện pháp kiểm soát ở cấp đơn vị có rủi ro có sai sót trọng yếu cao hơn. 

Phương pháp từ dưới lên có thể hữu ích trong các tình huống khi:

• • Vấn đề hoặc dự án quá phức tạp để có thể hiểu hết ngay từ ban đầu.
  • Cần xây dựng một nền tảng kiến thức chi tiết trước khi chuyển sang công việc ở cấp độ cao hơn.
  • Không rõ cách các thành phần khác nhau của vấn đề hoặc dự án kết hợp với nhau.

Cần thử nghiệm và lặp lại các thành phần khác nhau để tìm ra giải pháp tốt nhất. 

4. Các phương pháp kiểm tra tính phù hợp và khắc phục các lỗ hổng kiểm soát nội bộ.

4.1. Các phương pháp kiểm tra tính phù hợp của kiểm soát nội bộ 

Các phương pháp được sử dụng để kiểm tra tính đầy đủ của các kiểm soát nội bộ là những phương pháp giống như những phương pháp được sử dụng trong việc thực hiện kiểm tra qua các bước (walk-through): 

4.2. Khắc phục các lỗ hổng kiểm soát nội bộ

Lỗ hổng trong kiểm soát nội bộ xảy ra khi thiết kế hoặc hoạt động của một biện pháp kiểm soát không cho phép ban lãnh đạo hoặc nhân viên ngăn chặn hoặc phát hiện và sửa chữa sai sót một cách kịp thời trong quá trình thực hiện các chức năng được giao. 

Nguyên nhân	Cách khắc phục
Thiếu sót trong thiết kế: Một kiểm soát cần thiết bị thiếu hoặc một kiểm soát hiện có không đạt được kết quả mong muốn. Thiếu sót trong vận hành: Một kiểm soát được thiết kế đúng cách nhưng không hoạt động như đã thiết kế hoặc được thực hiện bởi một người không có quyền thực hiện.	Đào tạo bổ sung cho nhân viên. Triển khai các hoạt động kiểm soát hoặc chính sách mới. Đánh giá các nguồn lực cần thiết để thực hiện một quy trình hiệu quả hơn.

5. Ý kiến kiểm toán (Audit opinion) 

Ý kiến kiểm toán (Audit opinion) là ý kiến của kiểm toán viên về báo cáo tài chính của khách hàng sau khi kết thúc cuộc kiểm toán. Đối với công ty đại chúng, báo cáo của kiểm toán viên cũng bao gồm ý kiến về việc liệu công ty có kiểm soát nội bộ hiệu quả đối với báo cáo tài chính hay không.

Các loại ý kiến kiểm toán mà kiểm toán viên có thể đưa ra bao gồm: 

Ý kiến kiểm toán (Audit opinion)
Chấp nhận (Unmodified opinion)	Cần điều chỉnh (Modified opinion)
Ý kiến chấp nhận toàn phần (Unqualified opinion)	Ý kiến kiểm toán ngoại trừ (Qualified opinion)	Ý kiến trái ngược (Adverse opinion)	Từ chối đưa ra ý kiến (Disclaimer of opinion)
Kiểm toán viên đã kiểm tra toàn bộ báo cáo tài chính và thu thập được đầy đủ bằng chứng thích hợp về việc báo cáo tài chính không còn chứa đựng các sai sót trọng yếu, tuân thủ chuẩn mực GAAP.	Kiểm toán viên nhận thấy báo cáo tài chính bị sai lệch trọng yếu (nhưng không phổ quát) hoặc kiểm toán viên bị cản trở trong việc thu thập đầy đủ bằng chứng kiểm toán cho một số lĩnh vực của báo cáo tài chính. Sau khi thu thập đủ bằng chứng kiểm toán thích hợp, kiểm toán viên sẽ kết luận rằng các sai sót, dù là riêng lẻ hay tổng hợp, là trọng yếu nhưng không phổ quát đối với báo cáo tài chính.	Kiểm toán viên có bằng chứng cho thấy báo cáo tài chính có sai sót trọng yếu và phổ quát, không tuân thủ GAAP.	Kiểm toán viên mặc dù đã thu thập đủ bằng chứng kiểm toán thích hợp về những yếu tố không chắc chắn, nhưng không thể đưa ra ý kiến về báo cáo tài chính do sự tương tác tiềm tàng của các yếu tố không chắc chắn này và khả năng tác động tích lũy của chúng lên báo cáo tài chính.

 

Dựa theo đánh giá chuyên môn của kiểm toán viên, ảnh hưởng lan tỏa đối với báo cáo tài chính có những đặc điểm sau: 

Bản chất của vấn đề dẫn đến việc sửa đổi	Phán đoán của kiểm toán viên về mức độ ảnh hưởng hoặc khả năng ảnh hưởng của các hiệu ứng đối với báo cáo tài chính.
	Không có và không trọng yếu	Trọng yếu nhưng không phổ quát	Trọng yếu và phổ quát
Báo cáo tài chính bị sai sót trọng yếu.	Ý kiến kiểm toán không sửa đổi (chấp nhận toàn phần)	Ý kiến kiểm toán ngoại trừ	Ý kiến trái ngược
Không thể thu thập đủ bằng chứng kiểm toán thích hợp.	Ý kiến kiểm toán không sửa đổi (chấp nhận toàn phần)	Ý kiến kiểm toán ngoại trừ	Từ chối đưa ra ý kiến

 

III. Bài tập

Question 1: Within the context of enterprise risk management, what is the meaning of inherent risk?

A. Inherent risk is the risk of financial statements material misstatement cannot be detected by internal control.
B. Inherent risk is the risk to the entity in data management.
C. Inherent risk is the risk to an entity in the management to alter its severity
D. Inherent risk is the risk that the auditors do not accept the financial statements

 

Answer:

Choice C is the correct answer.

Inherent risk is the likelihood that the financial statements contain a material misstatement in the absence of controls. These risks are related to the business decisions, culture, and environment of the audit client.

 

 

Question 2: State the primary purpose of an audit?

 

Answer:

To provide financial statement users with an opinion on whether the financial statements are fairly presented, in all material respects, in accordance with the applicable financial reporting framework.

 

 

Question 3: When should an auditor's opinion be modified?

 

Answer:

A modification to the auditor's report is necessary when:

• The auditor determines that the financial statements as a whole are materially misstated (GAAP issue); or
• The auditor is unable to obtain sufficient appropriate audit evidence to conclude that the financial statements as a whole are free from material misstatement (GAAS issue).