Xác định rủi ro tiềm tàng (inherent risk), rủi ro kiểm soát (control risk) và rủi ro phát hiện (detection risk).
Xác định vai trò của Ban giám sát kế toán công ty đại chúng (PCAOB) trong việc cung cấp hướng dẫn kiểm toán (auditing) kiểm soát nội bộ.
Phân biệt giữa cách tiếp cận từ trên xuống (top-down approach) (dựa trên rủi ro) và cách tiếp cận từ dưới lên (bottom-up approach) để kiểm toán kiểm soát nội bộ.
Xác định phương pháp tiếp cận được PCAOB ưu tiên sử dụng để kiểm toán kiểm soát nội bộ như được nêu trong Chuẩn mực kiểm toán (Auditing Standard).
Hiểu biết về trách nhiệm của kiểm toán viên bên ngoài (external auditor), bao gồm các loại ý kiến kiểm toán (audit opinions) mà kiểm toán viên bên ngoài đưa ra.

II. Nội dung

Trong bài học này chúng ta sẽ tìm hiểu về một số khía cạnh của kiểm toán bên ngoài (external audit) bao gồm:

Mô hình rủi ro kiểm toán (Audit risk model).
Kiểm toán kiểm soát nội bộ (Auditing of internal control).
Ý kiến kiểm toán (audit opinions).

1. Rủi ro kiểm toán và mô hình rủi ro kiểm toán (Audit risks and Audit risk model)

1.1. Rủi ro kiểm toán (Audit risks)

Rủi ro kiểm toán là khả năng báo cáo tài chính của công ty xuất hiện sai sót trọng yếu và kiểm toán viên đưa ra ý kiến kiểm toán không phù hợp.

Ý kiến kiểm toán không phù hợp hoặc không chính xác có thể gây ảnh hưởng tới công ty, giảm độ tin cậy vào báo cáo tài chính và kiểm toán viên.

Rủi ro kiểm toán phải được giảm xuống mức thích hợp trước khi ý kiến về báo cáo tài chính được đưa ra.

1.2. Mô hình rủi ro kiểm toán (Audit risk model)

Để đánh giá rủi ro và lập kế hoạch kiểm toán, kiểm toán viên thường sử dụng mô hình rủi ro kiểm toán.

Mô hình rủi ro kiểm toán phân chia rủi ro kiểm toán thành 3 loại:

1EC5.1-1

Rủi ro tiềm tàng (Inherent risk) là khả năng báo cáo tài chính có sai sót trọng yếu khi không có các biện pháp kiểm soát. Những rủi ro này liên quan đến các quyết định kinh doanh, văn hóa và môi trường của khách hàng kiểm toán.
Rủi ro kiểm soát (control risk) là khả năng hệ thống kiểm soát nội bộ của khách hàng không thể ngăn chặn, phát hiện và sửa chữa sai sót trọng yếu trong báo cáo tài chính.
Rủi ro phát hiện (detection risk) là khả năng các thủ tục của kiểm toán viên không phát hiện được sai sót trọng yếu trong báo cáo tài chính.

Ba loại rủi ro này có tính tương tác. Vì vậy nếu kiểm soát nội bộ của khách hàng hiệu quả thì kiểm toán viên sẽ có thể thực hiện công việc của họ với ít thử nghiệm kiểm toán (audit test) hơn.

1EC5.2-1

2. Kiểm toán kiểm soát nội bộ (Auditing of internal control)

2.1. Kiểm toán kiểm soát nội bộ (Auditing of internal control)

Trong mục 404 SOX, các công ty đại chúng được yêu cầu thiết lập và duy trì hệ thống kiểm soát nội bộ.

Kiểm toán viên độc lập có trách nhiệm chứng thực và báo cáo về tính đầy đủ của các biện pháp kiểm soát nội bộ của công ty đại chúng đối với báo cáo tài chính.

2.2. Phương pháp kiểm toán kiểm soát nội bộ

Có hai phương pháp để kiểm toán tính hiệu quả của hoạt động kiểm soát nội bộ:

1EC5.3-1

a. Phương pháp tiếp cận từ trên xuống (dựa trên rủi ro) (Top-down approach - Risked-based approach)

Phương pháp tiếp cận từ trên xuống được sử dụng trong việc lựa chọn các biện pháp kiểm soát để kiểm tra.

Kiểm toán viên đánh giá rủi ro tổng thể ở cấp độ báo cáo tài chính, xem xét các biện pháp kiểm soát ở cấp độ tổng thể (entity level), sau đó tập trung vào các tài khoản (accounts), thuyết minh (disclosures) và cơ sở dẫn liệu (asertions) có khả năng xảy ra sai sót trọng yếu.

Quy trình tiếp cận từ trên xuống như sau:

1EC5.4-1

Kiểm toán viên có thể thay đổi bản chất, thời gian và phạm vi thử nghiệm của họ để giảm rủi ro kiểm toán xuống mức có thể chấp nhận được.

b. Phương pháp tiếp cận từ dưới lên (Bottom-up approach)

Phương pháp tiếp cận từ dưới lên coi tất cả các biện pháp kiểm soát đều như nhau bất kể rủi ro tiềm ẩn.

Các công ty sẽ áp dụng cùng một mức độ kiểm tra cho từng quy trình kiểm soát nội bộ. Điều này thường dẫn đến việc tốn nhiều thời gian và công sức hơn cho các biện pháp kiểm soát đối với các giao dịch thông thường có ít hoặc không có rủi ro dẫn đến sai sót trọng yếu trong báo cáo tài chính, thay vì tập trung vào các biện pháp kiểm soát có rủi ro cao và các biện pháp kiểm soát ở cấp đơn vị có rủi ro có sai sót trọng yếu cao hơn.

c. Phương pháp được ưu tiên hơn

Phương pháp tiếp cận từ trên xuống là phương pháp được quy định trong Chuẩn mực kiểm toán số 5 (Auditing Standard No.5). Chuẩn mực Kiểm toán PCAOB (PCAOB auditing standards) và Tuyên bố về Chuẩn mực Kiểm toán của AICPA (AICPA statements of auditing standards) yêu cầu kiểm toán viên thực hiện phương pháp tiếp cận từ trên xuống, dựa trên rủi ro để kiểm toán kiểm soát nội bộ đối với báo cáo tài chính.

Ưu điểm của cách tiếp cận từ trên xuống so với từ dưới lên bao gồm:

1EC5.5-1

3. Ý kiến kiểm toán (Audit opinion)

3.1. Ý kiến kiểm toán và phân loại ý kiến kiểm toán

Ý kiến kiểm toán (Audit opinion) là ý kiến của kiểm toán viên về báo cáo tài chính của khách hàng sau khi kết thúc cuộc kiểm toán. Đối với công ty đại chúng, báo cáo của kiểm toán viên cũng bao gồm ý kiến về việc liệu công ty có kiểm soát nội bộ hiệu quả đối với báo cáo tài chính hay không.

Các loại ý kiến kiểm toán mà kiểm toán viên có thể đưa ra bao gồm:

Ý kiến kiểm toán (Audit opinion)
Chấp nhận (Unmodified opinion)	Cần điều chỉnh (Modified opinion)
Ý kiến chấp nhận toàn phần (Unqualified opinion)	Ý kiến chấp nhận từng phần (Qualified opinion)	Ý kiến trái ngược (Adverse opinion)	Ý kiến từ chối (Disclaimer of opinion)
Kiểm toán viên đã kiểm tra toàn bộ báo cáo tài chính và thu thập được đầy đủ bằng chứng thích hợp về việc báo cáo tài chính không còn chứa đựng các sai sót trọng yếu.	Kiểm toán viên nhận thấy báo cáo tài chính bị sai lệch trọng yếu (nhưng không lan tỏa) hoặc kiểm toán viên bị cản trở trong việc thu thập đầy đủ bằng chứng kiểm toán cho một số lĩnh vực của báo cáo tài chính.	Kiểm toán viên có bằng chứng cho thấy báo cáo tài chính có sai sót trọng yếu và lan tỏa.	Kiểm toán viên không thể thu thập được đầy đủ bằng chứng kiểm toán để đưa ra ý kiến về độ tin cậy của báo cáo tài chính.

Dựa theo đánh giá chuyên môn của kiểm toán viên, ảnh hưởng lan tỏa đối với báo cáo tài chính có những đặc điểm sau:

1EC5.6

3.2. Thời điểm sử dụng ý kiến kiểm toán

Biểu đồ dưới đây tóm tắt thời điểm sử dụng các ý kiến kiểm toán khác nhau:

Tính trọng yếu của vấn đề

(Materiality of Problem)

Báo cáo tài chính bị sai sót trọng yếu (Vấn đề về báo cáo tài chính)

Financial Statements Are Materially Misstated (Financial Statement Issues)

Không có khả năng thu thập đầy đủ bằng chứng kiểm toán phù hợp (Vấn đề kiểm toán)

Inability to Obtain Sufficient Appropriate Audit Evidence (Audit Issues)

Không có hoặc không quan trọng

(None or immaterial)

Ý kiến chấp nhận toàn phần

(Unqualified opinion)

Ý kiến chấp nhận toàn phần

(Unqualified opinion)

Quan trọng nhưng không lan tỏa

(Material but not pervasive)

Ý kiến chấp nhận từng phần

(Qualified opinion)

Ý kiến chấp nhận từng phần

(Qualified opinion)

Quan trọng và lan tỏa

(Material and pervasive)

Ý kiến trái ngược

(Adverse opinion)

Ý kiến từ chối

(Disclaimer of opinion)

III. Bài tập

Question 1: Within the context of enterprise risk management, what is the meaning of inherent risk?

A. Inherent risk is the risk of financial statements material misstatement cannot be detected by internal control.
B. Inherent risk is the risk to the entity in data management.
C. Inherent risk is the risk to an entity in the management to alter its severity
D. Inherent risk is the risk that the auditors do not accept the financial statements

Answer:

Choice C is the correct answer.

Inherent risk is the likelihood that the financial statements contain a material misstatement in the absence of controls. These risks are related to the business decisions, culture, and environment of the audit client.

Question 2: State the primary purpose of an audit?

Answer:

To provide financial statement users with an opinion on whether the financial statements are fairly presented, in all material respects, in accordance with the applicable financial reporting framework.

Question 3: When should an auditor's opinion be modified?

Answer:

A modification to the auditor's report is necessary when:

The auditor determines that the financial statements as a whole are materially misstated (GAAP issue); or
The auditor is unable to obtain sufficient appropriate audit evidence to conclude that the financial statements as a whole are free from material misstatement (GAAS issue).