Chuyên đề Hoàn thiện quy trình đánh giá rủi ro kiểm toán trong Kiểm toán báo cáo tài chính do Công ty TNHH Ernst & Young Việt Nam thực hiện

a Ngân hàng. Ủy ban kiểm soát nội bộ sẽ xem xét kết quả hoạt động kinh doanh và báo cáo lên Giám đốc một cách thường xuyên. Từ đó, các Kiểm toán viên đã đánh giá rằng: Tại Ngân hàng , Ban Kế toán và Ban Công nghệ thông tin hiện đang hoạt động gắn liền với những hệ thống mới. Định kỳ, những người quản lý ở các cấp sẽ phải báo cáo cho cấp cao hơn về việc thực hiện của các chi nhánh hay các khu vực thuộc quản lý của họ. Tất cả các kết quả thực tế sẽ được so sánh với Ngân sách. Đồng thời các kiểm toán viên cũng đã phát hiện ra một điểm yếu của Ngân hàng, đó là hiện nay, cùng việc thực hiện hệ thống mới, các yêu cầu vấn chưa được thỏa mãn và do đó, mức độ hài lòng của nhân viên không phải là cao nhất. Sự kiểm tra Đây là quá trình đánh giá chất lượng của việc thực hiện kiểm soát nội bộ theo thời gian. Một trách nhiệm quan trọng của việc quản lý là thiết lập và duy trì kiểm soát nội bộ. Các nhà quản lý của Ngân hàng thực hiện kiểm tra các hoạt động kiểm soát để biết khi nào họ hoạt động như đã định và khi nào họ phải thay đổi để thích nghi với những thay đổi của các điều kiện. Đối với Ngân hàng XYZ, sau khi thu thập được đủ tài liệu, các kiểm toán viên nhận thấy ở Ngân hàng đang tồn tại những vấn đề sau: Định kỳ, bộ phận kiểm toán nội bộ sẽ cung cấp các báo cáo về các kết quả bổ sung cho Hội đồng Quản trị, Ngân hàng Nhà nước. Cuối mỗi quý, báo cáo giám sát nội bộ sẽ được trình lên Hội đồng quản trị và Ngân hàng Nhà nước. Phạm vi của cuộc kiểm toán nội bộ vẫn bị giới hạn trong việc kiểm tra các thủ tục, tính tuân thủ các nguyên tắc, do đó, không nhiều mảng công việc trên Báo cáo tài chính được thực hiện. Sau khi có được những cơ sở trên, các Kiểm toán viên mới đưa ra những đánh giá của mình về sự Kiểm tra trong Kiểm soát nội bộ của Ngân hàng như sau: Chức năng kiểm toán nội bộ của Ngân hàng là khá yếu do nhân viên không có đủ kinh nghiệm, được đào tạo không bài bản nên có kỹ năng và chất lượng kém. Với mức năng lực này, tính hữu ích của kiểm toán nội bộ sẽ bị giới hạn về mục đích của nó. Hơn thế nữa, bộ phận kiểm toán nội bộ của Ngân hàng được đặt ở chi nhánh nào thì chỉ thực hiện kiểm toán cho chi nhánh đó, vì vậy công việc của họ sẽ không độc lập với chi nhánh. Các nhà quản lý có thể hành động dựa trên những ý kiến của kiểm toán nội bộ. Các thủ tục kiểm tra được thực hiện bởi Ngân hàng Nhà nước, kiểm toán nội bộ và kiểm tra một chiều của nhà quản lý. Chức năng giám sát bởi Ngân hàng Nhà nước là tương đối đơn giản, không mang tính toàn diện nhưng vẫn có ích cho mục đích kiểm soát và kiểm tra các hoạt động của ngân hàng. Sau khi xem xét từng yếu tố của kiểm soát nội bộ, Ernst & Young Việt Nam đã đi đến kết luận về tính hiệu quả của Ngân hàng XYZ. Theo Ernst & Young Việt Nam thì XYZ là một ngân hàng nhà nước chịu sự giám sát và kiểm soát chặt chẽ, nghiêm túc của Ngân hàng Nhà nước và các cổ đông khác. Ban quản lý của Ngân hàng xuất hiện nhằm có thẩm quyền trong những nhiệm vụ và trách nhiệm được giao phó. Hội đồng quản trị và Ban giám sát của Ngân hàng đã thiết lập một cách hiệu quả những hệ thống và chính sách để ngăn ngừa và phát hiện các sai sót và gian lận. Ngân hàng XYZ đã thiết lập những quy tắc, luật lệ và những thủ tục toàn diện tạo điều kiện cho chức năng kiểm soát và kiểm tra của ngân hàng. Mặc dù những yếu kém tồn tại có thể được xác định tại các cấp chi nhánh nhưng về tổng thể Ernst & Young Việt Nam vẫn đánh giá khả năng quản lý của Ngân hàng là đủ tốt trong việc phát hiện những kỳ vọng và sự chệch hướng từ những luật lệ của Ngân hàng. Theo những nhận xét trên đây thì các kiểm toán viên của Ernst & Young Việt Nam đã đi đến kết luận rằng: Hệ thống kiểm soát nội bộ của Ngân hàng XYZ hoạt động hiệu quả. Như vậy, rủi ro kiểm soát của ngân hàng được đánh giá là ở mức thấp. 2.2.5 Xác định những rủi ro gian lận đối với những sai sót trọng yếu Thông qua những hiểu biết về đặc điểm của gian lận, nhóm kiểm toán đã tiến hành tổ chức một số buổi thảo luận với sự tham gia của những kiểm toán viên đã thực hiện kiểm toán cho ngân hàng vào năm 2006 tại Hội sở chính và Sở giao dịch 1 của Ngân hàng XYZ và đưa ra kết luận: Các Báo cáo tài chính của Ngân hàng dường như vẫn còn tồn tại các sai sót. Mặc dù có thể không phải là kết quả của gian lận nhưng chúng ta vẫn nên dành sự quan tâm đặc biệt tập trung vào các tài khoản của các doanh nghiệp tại ngân hàng. Kinh nghiệm làm việc vào năm ngoái đã cho thấy tại ngân hàng vẫn còn tồn tại những khoản mục ảnh hưởng tới số liệu của báo cáo tài chính mà chưa thể giải quyết được như dự phòng cho nợ khó đòi. Sau đó các kiểm toán viên sẽ tìm hiểu những yếu tố rủi ro có liên quan đến việc gian lận trong báo cáo tài chính như sức ép phải giảm tỷ lệ nợ xấu xuống dưới 5% vào năm 2007 mà ngân hàng đang phải gánh chịu, việc này sẽ làm nảy sinh nguy cơ Ngân hàng sẽ ghi thiếu các khoản dự phòng tín dụng và ghi khống các khoản thu từ lãi suất… Tiếp đó, các kiểm toán viên sẽ đánh giá những yếu tố rủi ro có liên quan đến việc ghi nhận không đúng tài sản của ngân hàng như: vì Ngân hàng đang trong quá trình cổ phần hóa do đó báo cáo tài chính của ngân hàng năm 2007 sẽ được sử dụng để tính giá trị của ngân hàng cho việc phát hành lần đầu, do đó các nhà quản lý phải chịu sức ép trong việc ghi tăng giá trị tài sản. Trong quá trình lập kế hoạch kiểm toán, các kiểm toán viên đã thực hiện những thủ tục phân tích có liên quan đến doanh thu nhằm xác định được những liên hệ bất thường, không kỳ vọng có liên quan đến các tài khoản về doanh thu có thể là những gian lận trọng yếu trên báo cáo tài chính. Để có được những thông tin thực tế về khách hàng để xác định được các yếu tố rủi ro về gian lận của ngân hàng, các kiểm toán viên sẽ thực hiện kỹ thuật phỏng vấn những người quản lý cấp cao, bộ phận kiểm toán nội bộ và những người khác mà cụ thể là Kế toán trưởng, Trưởng ban Tín dụng và Trưởng ban Tài chính của Ngân hàng XYZ về những vấn đề sau: Trình độ chuyên môn, sự hiểu biết của những người quản lý của Ngân hàng về những vấn đề có liên quan Những quy trình, thủ tục để những người quản lý có thể xác định được các yếu tố rủi ro gian lận của ngân hàng Những chương trình và những kiểm soát được thiết lập nhằm xác định hay ngăn ngừa những rủi ro gian lận tồn tại và cách thức những người quản lý của Ngân hàng có thể kiểm soát được những chương trình đó Cách thức những người quản lý của Ngân hàng có thể theo dõi hiệu quả làm việc của các nhân viên dưới quyền. 2.2.6 Xác định những tài khoản cần chú ý và những lớp nghiệp vụ cần chú ý có liên quan Để xác định được những tài khoản nổi bật, các kiểm toán viên phải dựa vào mức sai sót có thể bỏ qua(TE), quy mô của tài khoản, số lượng các nghiệp vụ, mức độ phức tạp của khoản mục và những điều chỉnh mang tính trọng yếu của khoản mục. Một khoản mục được coi là cần phải chú ý khi mà khoản mục đó có quy mô lớn hơn Mức sai sót có thể bỏ qua, có số lượng nghiệp vụ lớn, hay có các nghiệp vụ phức tạp và có liên quan đến những điều chỉnh cần chú ý trong năm. Do đó, các Kiểm toán viên liệt kế tất cả các khoản mục tồn tại trên các Báo cáo Tài chính của Ngân hàng và xác định những yếu tố kể trên của mỗi khoản mục. Sau khi có được những thông tin trên, kiểm toán viên sẽ tiến hành đánh giá xem khoản mục nào sẽ là khoản mục cần chú ý bằng cách lập bảng như bảng dưới đây: Số chưa kiểm toán 31/12/2007 Xác định những khoản mục đáng chú ý Tổng cộng Lớn hơn TE Số lượng nghiệp vụ lớn Các nghiệp vụ phức tạp Có liên quan đền những điều chỉnh cần chú ý Cần chú ý Cơ sở dẫn liệu Bảng Cân đối kế toán Tiền và tương đương tiền 1,361,067 Y Y N N Y E, C, R&0 ………………………. ………… …….. ………. ………. ……...... ……… ……... Ta sẽ lấy khoản mục “Tiền và tương đương tiền” để minh họa cho việc xác định khoản mục cần chú ý. Ngân hàng XYZ là khách hàng cũ của công ty, đồng thời những kết quả kiểm toán năm trước đã cho thấy: Ngân hàng không có những sai sót nghiêm trọng, những sai sót xuất hiện trong năm 2006 đã được Ngân hàng cải thiện vào năm 2007 và hệ thống kiểm soát nội bộ của Ngân hàng trong năm 2007 cũng được đánh giá là hoạt động có hiệu quả…Chính vì những lý do này mà Ernst & Young Việt Nam đã xác định Mức trọng yếu kế hoạch (PM) cho toàn bộ Báo cáo Tài chính của Ngân hàng XYZ là bằng 1% lợi nhuận trước thuế (300,000 triệu VNĐ) và mức độ sai sót có thể bỏ qua cho mỗi khoản mục (TE) là bằng 50% Mức trọng yếu kế hoạch (150,000 triệu VNĐ). Vì khách hàng này của Công ty là Ngân hàng XYZ, hoạt động trong ngành ngân hàng nên với đặc thù kinh doanh đó thì khoản mục “Tiền và tương đương tiền” của Ngân hàng có quy mô lớn hơn mức độ sai sót có thể bỏ qua (1,361,067 triệu VNĐ), đồng thời, khoản mục này cũng có số lượng nghiệp vụ rất lớn và khá phức tạp. Tuy trong năm 2007, Ngân hàng không có những điều chỉnh đáng chú ý liên quan đến khoản mục “Tiền và tương đương tiền” nhưng vì có những đặc điểm trên mà khoản mục này đã được xếp là một khoản mục cần chú ý như trong bảng trên. Từ những khoản mục cần chú ý đã xác định được ở trên, các kiểm toán viên mới xác định được những lớp nghiệp vụ cần chú ý có liên quan đến những khoản mục đó. Cụ thể đối với khoản mục “Tiền và tương đương tiền” đã xác định ở trên thì có 3 lớp nghiệp vụ cần chú ý có liên quan đến khoản mục này, gồm có: Các nghiệp vụ thuộc về chi tiền Các nghiệp vụ thuộc về thu tiền Các nghiệp vụ thuộc liên quan đến máy rút tiền tự động (ATM) Những khoản mục này được xác định là cần chú ý bởi đây là những hoạt động chủ yếu liên quan đến tiền và tương đương tiền của khách hàng, có quy mô và số lượng nghiệp vụ lớn và khá phức tạp. 2.2.7. Tìm hiểu về quy trình và những điểm dễ xảy ra sai sót của lớp nghiệp vụ và thực hiện kiểm tra xuyên suốt Với việc xác định được những lớp nghiệp cần chú ý, các kiểm toán viên dễ dàng đi sâu vào đánh giá những rủi ro của mỗi lớp nghiệp vụ. Để làm được việc này, các kiểm toán viên cần phải thực hiện công đoạn tìm hiểu để phát hiện ra những điểm dễ xảy ra sai sót của lớp nghiệp vụ, sau đó thực hiện công đoạn kiểm tra xuyên suốt đối với lớp nghiệp vụ dựa theo những điểm dễ xảy ra rủi ro đó, để từ đó có thể đánh giá được những rủi ro của mỗi nghiệp vụ. Đối với khoản mục “Tiền và tương đương tiền”, các kiểm toán viên sẽ thực hiện việc tìm hiểu quy trình 3 lớp nghiệp vụ chi tiền, thu tiền và tiền ở máy ATM. Sau đây, ta sẽ tìm hiểu việc thực hiện công đoạn này với lớp nghiệp vụ tiền ở máy ATM để minh họa. Với lớp nghiệp vụ đối với tiền trong máy ATM thì đầu tiên các kiểm toán viên sẽ tìm hiểu về quy trình phát hành thẻ ATM cho khách hàng từ việc khách hàng đến đăng ký làm thẻ cho đến khi khách hàng nhận được thẻ ATM của mình. Tiếp đó, kiểm toán viên sẽ tìm hiểu kỹ hơn về những vấn đề cụ thể liên quan đến thẻ ATM của ngân hàng XYZ như sau: Những dịch vụ mà thẻ ATM cung cấp cho khách hàng: rút tiền, xem số dư, mua sắm thông qua hệ thống liên ngân hàng… Những giới hạn của thẻ ATM: Số lần rút và lượng tiền cho phép rút ra trong ngày của từng loại thẻ bị giới hạn, không linh hoạt… Lãi suất: được hưởng mức lãi suất của tiền gửi thanh toán… Phương pháp hạch toán: Khi khách hàng rút tiền ghi: Nợ Tài khoản khách hàng Có Tài khoản Tiền tại máy ATM Khi khách hàng gửi tiền vào tài khoản ghi: Nợ Tài khoản Tiền tại máy ATM Có Tài khoản khách hàng Sau khi có được những hiểu biết trên, kiểm toán viên sẽ xác định những điểm dễ xảy ra sai sót đối với những nghiệp vụ liên quan đến tiền trong máy ATM được liệt kê dưới đây. Những điểm dễ xảy ra sai sót Những hoạt động kiểm soát quản lý Cơ sở dấn liệu liên quan Rủi ro có liên quan Các nghiệp vụ không được nhập đúng vào hệ thống Giám sát để kiểm tra và phê chuẩn hoạt động của nhân viên thực hiện đăng ký cho khách hàng trên hệ thống và chứng từ. Tiền và tương đương tiền (E,C,V, R&O) Các khoản thu nhập từ phí và hoa hồng (C,E,V,P&D,R&O) Tiền dễ bị các nhân viên biển thủ Các nghiệp vụ bị ghi sai vào Sổ Cái Ghi khống/ghi thiếu thu nhập Phân loại sai tiền gửi Tiền khách hàng gửi vào tài khoản không được cập nhật ngay lập tức Cuối ngày, thực hiện đối chiếu danh sách các nghiệp vụ trong ngày với toàn bộ chứng từ của mỗi chi nhánh để chắc chắn rằng mọi khoản tiền gửi đã được ghi nhận. Tiền và tương đương tiền (C,E,V,R&O) Tiền gửi của khách hàng (C,E,V,R&O,P&D) Ghi khống/ghi thiếu tài khoản tài sản Ghi khống/ghi thiếu tài khoản tiền gửi Tính không đầy đủ của tài khoản tiền do các nghiệp vụ không được ghi nhận đúng kỳ Ghi khống/ghi thiếu của tài khoản tiền Tất cả các nghiệp vụ không được ghi nhận đầy đủ và chính xác Tất cả các nghiệp đã hoàn thành phải được đặt ở trạng thái “Đã hoàn thành” trên màn hình Thực hiện đối chiếu cuối ngày tại phòng kế toán để chắc chắn rằng không có sai sót nào xuất hiện trong ngày. Tiền và tương đương tiền (E,C,V, R&O) Chi phí trả lãi (C,M,O, P&D) Các khoản thu nhập từ phí và hoa hồng (C,E,V,P&D,R&O) Tiền dễ bị các nhân viên biển thủ Các nghiệp vụ bị ghi sai vào Sổ Cái Ghi khống/ghi thiếu thu nhập Phân loại sai tiền gửi Sau đó, các kiểm toán viên đã thực hiện kiểm tra xuyên suốt đối với những hoạt động kiểm soát những rủi ro trên nhằm đánh giá xem những rủi ro đó có được hạn chế bởi những kiểm soát trên không được thể hiện ở bảng dưới đây: Tên hoạt động kiểm soát Tần suất Thực hiện bởi Thiết kế Hoạt động Cuối ngày, thực hiện đối chiếu danh sách các nghiệp vụ trong ngày với toàn bộ chứng từ của mỗi chi nhánh để chắc chắn rằng mọi khoản tiền gửi đã được ghi nhận. Hàng ngày Bộ phận kế toán Hiệu quả Hiệu quả Khi khách hàng đến thực hiện giao dịch, họ được yêu cầu phải khai tên giao dịch và chữ ký để kiểm tra cả trên hệ thống và trên chứng từ. Nhiều lần trong ngày Hệ thống và chứng từ Hiệu quả Hiệu quả Giám sát để kiểm tra và phê chuẩn hoạt động của nhân viên thực hiện đăng ký cho khách hàng trên hệ thống và chứng từ. Nhiều lần trong ngày Người kiểm soát Hiệu quả Hiệu quả Thực hiện đối chiếu cuối ngày tại phòng kế toán để chắc chắn rằng không có sai sót nào xuất hiện trong ngày. Hàng ngày Kế toán viên Hiệu quả Hiệu quả Khi những hoạt động kiểm soát này được thiết và hoạt động có hiệu quả thì những rủi ro tiềm tàng ở trên sẽ được đánh giá ở mức độ thấp. 2.2.8 Tìm hiểu những hoạt động kiểm soát của công nghệ thông tin Các kiểm toán viên sẽ thực hiện việc tìm hiểu về phạm vi của hệ thống kiểm soát bằng công nghệ thông tin của Ngân hàng. Sau đó sẽ chia nhỏ hệ thống này theo những mục đích kiểm soát hệ thống bao gồm: Quản lý những thay đổi Truy nhập logic Những kiểm soát công nghệ thông tin khác Tiếp đó, các kiểm toán viên sẽ liệt kê những hoạt động kiểm soát cho từng loại đã phân trên đây để tiến hành thực hiện kiểm tra xuyên suốt. Ví dụ, đối với việc Quản lý những thay đổi của hệ thống công nghệ thông tin, các kiểm toán viên đã thu thập được những thông tin sau của khách hàng: Hệ thống SIBS là một phần mềm mà Ngân hàng XYZ mua của một công ty phát triển phần mềm của Singapore, do vậy Ngân hàng không được tự ý thay đổi các ứng dụng trong phần mềm mà phải gửi yêu cầu thay đổi chương trình cho công ty phần mềm. Những lỗi hệ thống của phần mềm từ các phòng ban, các chi nhánh và Trung tâm công nghệ thông tin của Ngân hàng sẽ được Ban Quản trị SIBS tập hợp. Đối với những thay đổi khẩn cấp thì những thay đổi sẽ được thực hiện trước khi có sự phê chuẩn của Trưởng phòng Công nghệ và sau đó Ngân hàng sẽ phải gửi một bản “Yêu cầu nghiên cứu” cho nhà cung cấp phần mềm để học có thể kiểm tra lại những thay đổi đã thực hiện trước đó. Tất cả những yêu cầu thay đổi đều phải được ghi vào Mẫu “Yêu cầu nghiên cứu” để gửi đến Nhóm Quản trị SIBS để gửi đến nhà cung cấp phần mềm. Dựa trên yêu cầu này, nhà cung cấp sẽ nghiên cứu, kiểm tra, sửa các lỗi hệ thống và phát triển phần mềm. Việc kiểm tra những thay đổi sẽ được thực hiện đồng thời ở Ngân hàng do Ban Quản trị SIBS, Phòng Công Nghệ hoặc Trung tâm Công nghệ thông tin và ở Nhà cung cấp Phần mềm. Những thay đổi này sẽ được Trưởng ban Công nghệ phê chuẩn và trong một số trường hợp đặc biệt và quan trọng thì sẽ do Giám đốc Trung tâm Công nghệ thông tin phê chuẩn. Đặc biệt, Ngân hàng XYZ cũng có sự phân tách khá rõ ràng trong việc sử dụng hệ thống công nghệ thông tin trong từng mảng ứng dụng, cụ thể là trong việc phát triển, kiểm tra hệ thống thì Ngân hàng sử dụng máy chủ 660IBM và để tiến hành các hoạt động kinh doanh của mình thì Ngân hàng sử dụng máy chủ 790 IBM. Từ những hiểu biết trên, các kiểm toán viên đã thực hiện kiểm tra xuyên suốt những vấn đề liên quan đến việc quản lý những thay đổi về Công nghệ thông tin như sau: Mục tiêu Người thực hiện Thiết kế kiểm soát Kiểm tra Những thay đổi đều được kiểm tra Nhóm trưởng nhóm quản trị SIBS thực hiện kiểm tra. Hiệu quả Toàn bộ Những thay đổi là chính đáng Trưởng phòng công nghệ và các phòng ban khác sẽ thẩm định. Hiệu quả Toàn bộ Những thay đổi đều được thử nghiệm Trưởng phòng công nghệ và nhóm trưởng nhóm quản trị SIBS thực hiện thử nghiệm. Hiệu quả Toàn bộ Những thay đổi được phê chuẩn Giám đốc Hội sở chính và Giám đốc ban Công nghệ thông tin phê chuẩn những thay đổi. Hiệu quả Toàn bộ Sau khi thực hiện những thủ tục kiểm tra xuyên suốt này, các kiểm toán viên đã đưa ra kết luận rằng các hoạt động kiểm soát công nghệ thông tin được thiết kế và hoạt động có hiệu quả. 2.2.9. Thiết kế và thực hiện kiểm tra chi tiết hoạt động kiểm soát đối với hệ thống công nghệ thông tin trong hoạt động của Ngân hàng XYZ Sau khi thực hiện kiểm tra xuyên suốt, các kiểm toán viên sẽ thực hiện kiểm tra chi tiết đối với những thay đổi trong hệ thống thông tin của ngân hàng bằng cách: Đối với mỗi mục tiêu kiểm soát đã được xác định, kiểm toán viên sẽ chọn ra một số hoạt động để kiểm tra. Chẳng hạn như muốn kiểm tra sự phê chuẩn, kiểm tra, thử nghiệm và chính đáng của những thay đổi trong hệ thống thông tin của ngân hàng, các kiểm toán viên đã tập hợp các danh sách những thay đổi trong các yếu tố công nghệ liên quan trong môi trường công nghệ thông tin của khách hàng từ khi bắt đầu kỳ kiểm toán cho đến khi thực hiện kiểm tra và chọn ra một số mẫu để kiểm tra. Để thực hiện kiểm tra những thay đổi trong hệ thống thông tin của Ngân hàng XYZ, các kiểm toán viên đã tập hợp tất cả 26 thay đổi trong năm trong hệ thống của ngân hàng và tiến hành kiểm tra 25/26 khoản thay đổi đó để kiểm tra xem những thay đổi đó có xác đáng hay không, có được kiểm tra, phê chuẩn và thử nghiệm hay không như được trình bày ở bảng dưới đây và đã đi đến kết luận những thay đổi của ngân hàng đã đạt thỏa mãn được yêu cầu đặt ra. Ta có thể lấy ví dụ trên bảng dưới đây để minh họa cho phần công việc này của các Kiểm toán viên: Vào ngày 05 tháng 2 năm 2007, phòng Công nghệ đã nhận được yêu cầu thay đổi trong hệ thống từ Phòng tín dụng do xuất hiện một lỗi hệ thống, đó là việc Lãi suất phải trả bị ghi nhận 2 lần. Để thực hiện kiểm tra chi tiết sự thay đổi này, các Kiểm toán viên đã thu thập các bằng chứng kiểm toán có liên quan bao gồm: Mẫu “Yêu cầu Nghiên cứu” có chữ ký của Trưởng phòng Tín dụng, “Biên bản Kiểm tra lỗi hệ thống” của Phòng Công nghệ, “Biên bản Phê duyệt thay đổi” có chữ ký của Trưởng ban Công nghệ của Ngân hàng, “Biên bản Mô tả Công việc” của Lập trình viên thực hiện…để xác định xem những thay đổi này của Ngân hàng có thật sự thỏa đáng, có được kiểm tra, được thử nghiệm và phê chuẩn hay không? Kết luận của kiểm toán trong trường hợp này là Ngân hàng XYZ đã áp dụng hệ thống thông tin SIBS được thiết kế và hoạt động có hiệu quả, như vậy rủi kiểm soát từ công nghệ thông tin được đánh giá là thấp. Khách hàng: Ngân hàng XYZ Kiểm tra những thay đổi của chương trình-Phê duyêt, kiểm tra,thử nghiệm,thích hợp Kết thúc năm: 31-12-07 Ngày kiểm tra: 12-2007 Hệ thống: SIBS Thực hiện bởi: BQT Các kiểm soát MC-1: Những thay đổi là xác đáng.MC-2: Những thay đổi được kiểm tra.MC-3: Những thay đổi được phê chuẩn. Thủ tục kiểm tra: Mục đích: Để xác định những thay đổi trong chương trình có xác đáng, đựoc kiểm tra và được phê chuẩn không. Phạm vi: Tất cả những thay đổi trong năm 2007 (Tổng cộng có 26 sự thay đổi)Phạm vi thực hiện kiểm tra: 25Các nguồn lực:  a.) Nguồn tài liệu để kiểm tra: Các tài liệu về những thay đổi được yêu cầu.  b.) IBM iSeries 570.  c.) Thời gian kiểm tra: 1/1/2007-31/12/2007 d.) Kiểm tra cùng Mr…..là nhóm trưởng của nhóm quản trị SIBS. Kết quả # Loại thay đổi Ứng dụng Ký hiệu Miêu tả Ngày yêu cầu Ngày thực hiện thay đổi Người yêu cầu Người kiểm tra Người cho phép Lập trình viên Người thực hiện A B C D 1 Lỗi hệ thống Tiền gửi 0107_DD Lãi suất được trả bị ghi nhận 2 lần 5-Jan-07 18-Jan-07 UyênLTT Sonlh Le Cong Nguyen Đỗ Thị Thanh Sơn Bui Manh Cuong 3 3 3 3 2 Lỗi hệ thống Hệ thống 0307_SS Hoạt động thừa 5-Jan-07 24-Nov-07 cuongbm Sonlh Le Cong Nguyen Seiaboon Bui Manh Cuong 3 3 3 3 … … … … … … 2.2.10 Đánh giá rủi ro kiểm toán Trong suốt quá trình tiến hành thực hiện từng công đoạn để đánh giá rủi ro, đến công đoạn này, các kiểm toán viên sẽ đưa ra đánh giá cuối cùng về rủi ro tiềm tàng và rủi ro kiểm soát đối với từng khoản mục nhằm đưa ra mức đánh giá về rủi ro phát hiện mà các kiểm toán viên phải đảm bảo được trong giai đoạn thực hiện kiểm toán để duy trì được mức độ rủi ro kiểm toán có thể chấp nhận được mà Ernst & Young Việt Nam đã áp dụng với mọi khách hàng của công ty. Ta sẽ lấy khoản mục Tiền và tương đương tiền để minh họa: Từ kết quả thu được trong việc xác định những rủi ro tồn tại trong khoản mục “Tiền và tương đương tiền”, trong từng lớp nghiệp vụ cần chú ý của khoản mục này như Thu tiền, Chi tiền và Tiền trong máy ATM, cùng những cơ sở dẫn liệu liên quan đến khoản mục đó, Ernst & Young Việt Nam đã tiến hành đánh giá mức rủi ro tiềm tàng và rủi ro kiểm soát của khoản mục này để từ đó xác định được mức rủi ro tổ hợp (hay là rủi ro phát hiện) mà các kiểm toán viên phải đảm bảo khi thực hiện các thủ tục kiểm tra chi tiết đối với khoản mục “Tiền và tương đương tiền” trong quá trình thực hiện kiểm toán như sau: Cơ sở dẫn liệu Rủi ro tiềm tàng Rủi ro kiểm soát Rủi ro tổ hợp Tiền và tương đương tiền-Tính đầy đủ (C) Cao Trung bình Thấp Tiền và tương đương tiền-Tính hiện hữu (E) Cao Trung bình Thấp Tiền và tương đương tiền-Quyền và nghĩa vụ (R&O) Cao Trung bình Thấp Tiền và tương đương tiền-Đo lường (M) Cao Trung bình Thấp Theo các kiểm toán viên thì bản thân khoản mục “Tiền và tương đương tiền” là khoản mục có mức độ rủi ro rất lớn đối với mọi doanh nghiệp. Khách hàng này của Công ty lại là một ngân hàng nên lượng tiền ra vào rất lớn và có liên quan đến hầu hết các nghiệp vụ phức tạp của Ngân hàng, đặc biệt là những nghiệp vụ liên quan đến ngoại tệ bởi việc xác định giá trị lại phụ thuộc rất nhiều vào tỷ giá hối đoái khác nhau tại mỗi thời điểm khác nhau, việc xác định không chính xác tỷ giá sẽ làm cho các số liệu phản ánh không đúng giá trị của khoản mục này nhất là trong tình hình hiện nay tỷ giá này luôn biến động bất thường, do đó khoản mục “Tiền và tương đương tiền” của Ngân hàng XYZ được các Kiểm toán viên đánh giá có Mức độ Rủi ro tiềm tàng cao. Tuy nhiên khi thực hiện các thủ tục đánh giá về hệ thống kiểm soát của Ngân hàng XYZ, Ernst & Young Việt Nam nhận thấy rằng: Ngân hàng có bộ máy Kế toán với những nhân viên bề dày kinh nghiệm chuyên môn, có sự phân chia công việc rất rõ ràng và luôn phải chịu sự kiểm soát của những cán bộ cấp cao về chuyên môn. Đặc biệt do đặc thù về ngành nghề kinh doanh, Ngân hàng đã xây dựng được cho mình một hệ thống công nghệ thông tin rất hiện đại, hầu hết các hoạt động của Ngân hàng trong đó có các nghiệp vụ Thu tiền, Chi tiền và Tiền trong máy ATM đều được thực hiện trên các phần mềm được xây dựng riêng (ví dụ: Từ việc khách hàng đăng ký làm thẻ ATM đến việc phát hành thẻ ATM cho khách hàng và khi khách hàng thực hiện các hoạt động với máy ATM đều phải thông qua hệ thống công nghệ thông tin quản lý của Ngân hàng) …những hoạt động này được thiết kế và thực hiện nhằm tăng cường kiểm soát của Ngân hàng với các hoạt động của mình. Mọi sự thay đổi trong hệ thống công nghệ thông tin này đều phải được sự phê chuẩn, kiểm duyệt và thử nghiệm của các cán bộ có trách nhiệm và của các chuyên gia nước ngoài cung cấp phần mềm cho Ngân hàng, việc làm này sẽ góp phần làm giảm bớt những rủi ro kiểm soát do hệ thống công nghệ thông tin cho các khoản mục nói chung và khoản mục “Tiền và tương đương tiền” nói riêng. Với những thông tin trên, các Kiểm toán viên đã đánh giá rằng Ngân hàng XYZ đã thiết kế được một hệ thống kiểm soát nội bộ khá chặt chẽ và hoạt động có hiệu quả. Tuy nhiên do trong năm tại Ngân hàng vẫn còn xảy ra một vài sự cố đáng tiếc như việc nhân viên tại một vài chi nhánh vẫn biển thủ một số tiền đáng kể, hệ thống công nghệ thông tin vẫn xuất hiện một số lỗi hệ thống dù đã được khắc phục kịp thời…Do đó, các Kiểm toán viên của Ernst & Young Việt Nam đã đánh giá rằng mức độ rủi ro kiểm soát của Ngân hàng với khoản mục “Tiền và tương đương tiền” vẫn ở mức Trung bình. Từ Mức độ rủi ro Tiềm tàng được đánh giá ở mức Cao và Mức độ rủi ro Kiểm soát ở mức Trung bình, dựa theo công thức xác định của Ernst & Young Việt Nam, các Kiểm toán viên đã đi đến kết luận về Mức độ rủi ro