Vai trò quan trọng nhất là người thực hiện kiểm toán
Tất cả chuẩn mực của KTNN và chuẩn mực kiểm toán độc lập đều đưa ra những hướng dẫn rất tổng thể, trong đó nhấn mạnh vai trò quan trọng nhất là người thực hiện kiểm toán. Deloitte toàn cầu cũng đã đưa ra khung hướng dẫn, nhưng trên thực tế kiểm toán, chúng tôi vẫn phụ thuộc nhiều vào kiểm toán viên. Khi Deloitte kiểm toán một DN niêm yết, thông thường đối tượng quan tâm nhất trong báo cáo tài chính (BCTC) là lợi nhuận. Song, thực tế lại có DN hoạt động rất tốt, doanh thu cao mà vẫn lỗ, hoặc có trường hợp lợi nhuận của DN gần như bằng không. Nếu áp dụng theo tỷ lệ lợi nhuận thì mức trọng yếu trong trường hợp này là không phù hợp. Do đó, Deloitte đã đưa ra một phương pháp thực tế hơn dựa trên sự kết hợp nhiều chỉ tiêu. Ví dụ, với DN niêm yết thì có thể kết hợp lợi nhuận và xác định theo quy mô hoạt động của DN (tài sản, doanh thu) để từ đó xác định mức trọng yếu tổng thể đối với BCTC.
Mô hình xác định mức trọng yếu của Deloitte bao gồm một hệ thống phần mềm hướng dẫn với 3 chỉ tiêu: loại hình công ty gì, chọn chỉ tiêu nào để xác định mức độ trọng yếu, tỷ lệ xác định là bao nhiêu. Tuy nhiên, đó chỉ là hướng dẫn, dự kiến mức trọng yếu nào là do người chịu trách nhiệm kiểm toán đưa ra quyết định cuối cùng.
Chính sách tham vấn cần có thêm nguyên tắc: đó là trong cuộc kiểm toán phải có một người chịu trách nhiệm chính và một người bên cạnh làm việc độc lập để kiểm soát chất lượng kiểm toán ngay tại thời điểm đó. Nếu người kiểm soát chất lượng vẫn chưa đồng ý với người chịu trách nhiệm chính thì sẽ cần đến bộ phận kỹ thuật quốc gia hoặc bộ phận kỹ thuật khu vực. Đây chính là điểm tạo ra rất nhiều mâu thuẫn, tranh luận, tác động lên toàn bộ kết quả của cuộc kiểm toán. Bởi vậy, Deloitte luôn tổ chức họp trong nhóm kiểm toán, bao gồm cả người kiểm soát chất lượng để trao đổi, thống nhất việc chọn trọng yếu nào, mức độ là bao nhiêu, cao hay thấp…
Xác định mức trọng yếu tổng thể và trọng yếu chi tiết
Từ mức trọng yếu tổng thể trong BCTC, chúng tôi sẽ đưa xuống mức trọng yếu thực hiện công việc chi tiết. Mức thứ hai này phụ thuộc rất nhiều vào hệ thống kiểm soát nội bộ, áp dụng công nghệ thông tin, bản chất quản trị của DN.
Có một vấn đề mà KTNN cũng như kiểm toán độc lập đều vấp phải, đó là khi kiểm toán các tổng công ty (TCT) và tập đoàn (TĐ), khái niệm về trọng yếu đối với các BCTC hợp nhất rất khác so với BCTC của đơn vị độc lập. Mức trọng yếu của một đơn vị độc lập có thể áp dụng với một chỉ tiêu, nhưng với TĐ, TCT kinh doanh đa ngành đa nghề (ngân hàng, bảo hiểm, năng lượng, thông tin…), mức trọng yếu phải chia làm hai bước: bước một, phải xác định được đâu là hoạt động trọng tâm của TCT, TĐ; bước hai, trong mức trọng yếu đó phải tính toán để có sự phân bổ mức trọng yếu và sai sót xảy ra rủi ro trọng yếu xuống các công ty con nhỏ hơn. Trong thời gian tới, KTNN cũng cần áp dụng cách thực hiện đánh giá trọng yếu như vậy.
Trong kiểm toán các TCT, TĐ, chúng ta thống nhất với chuẩn mực kiểm toán quốc tế là trước tiên phải xác định mức độ trọng yếu tổng thể cho toàn TCT, TĐ và cố gắng thống nhất với tất cả công ty con. Ví dụ, chúng tôi có thể dựa trên tổng doanh thu toàn TĐ, từ đó xác định ra các bộ phận trọng yếu trong TĐ, như: công ty con có tổng doanh thu chiếm tỷ lệ bao nhiêu % trong TĐ và được phân bổ mức trọng yếu tương ứng, nhưng mức trọng yếu của công ty con bao giờ cũng thấp hơn mức trọng yếu của TĐ.
Nếu xác định mức trọng yếu của công ty con bằng mức của TĐ thì tất cả các sai sót của từng công ty con so với BCTC hợp nhất của cả TĐ sẽ không hợp lý. Tuy nhiên, có trường hợp thứ hai là trong TĐ còn một loại rủi ro nữa từ giao dịch nội bộ của các công ty con. Với các giao dịch nội bộ, Deloitte thường phân loại riêng để đánh giá, xác định trọng yếu. Có nhiều trường hợp, giao dịch trong nội bộ TĐ chứa đựng sai sót và rủi ro trọng yếu dẫn đến ý kiến kiểm toán sai. Bản thân TĐ đó có thể can thiệp mang tính chuyên môn nghiệp vụ để tạo ra một BCTC tốt nhưng không đúng trong thực tế. Do đó, việc phân bổ mức trọng yếu trong từng thành viên TĐ, đồng thời tất cả các giao dịch nội bộ phải được tách ra để xem xét riêng.
Rủi ro về công nghệthông tin phải được xem là trọng yếu
Hệ thống công nghệ thông tin gần như được áp dụng trong mọi DN, đặc biệt trong các tổ chức tài chính, ngân hàng. Nếu chỉ áp dụng phương pháp kiểm toán chọn mẫu mà không quan tâm đến kiểm soát hệ thống công nghệ thông tin và sử dụng các phần mềm kiểm toán hỗ trợ thì trong nhiều trường hợp BCTC chưa chắc đã trung thực và hợp lý. Gần đây, chúng ta có rất nhiều ví dụ liên quan đến các DN vận tải hàng không, ngân hàng... Trong trường hợp sai sót về công nghệ thông tin, mặt nghiệp vụ có thể đúng nhưng tổng hợp BCTC thì vẫn sai. Do vậy, rủi ro về công nghệ thông tin cũng phải được xem là rủi ro trọng yếu.
Deloitte và E&Y cũng như các công ty khác trong Big Four đã sử dụng rất nhiều phần mềm hỗ trợ kiểm toán, như: phần mềm hỗ trợ chọn mẫu, phần mềm đánh giá tổng thể thông tin, phần mềm kiểm tra hệ thống thông tin của khách hàng… Chúng tôi đánh giá cả dữ liệu đầu vào, dữ liệu đầu ra, quá trình xử lý dữ liệu để đưa ra kết quả cuối cùng, đồng thời đánh giá khả năng bảo mật hệ thống thông tin trong trường hợp có sự tấn công từ bên ngoài. Đó là những nguyên tắc chung mà các công ty kiểm toán độc lập lớn trên thế giới đều áp dụng.
Các kết luận, kiến nghị kiểm toán phù hợp với hiện tại
KTNN đang có xu hướng tiến gần hơn với kiểm toán độc lập, nhưng có một chức năng KTNN vẫn phải giữ đó là kiểm toán tuân thủ, đảm bảo sự tuân thủ về pháp luật, các quy định về cơ chế và chính sách. Vậy KTNN và kiểm toán độc lập có thể chia sẻ với nhau những gì? Thực tế, kiểm toán BCTC thường mang tính hậu kiểm, tức là số liệu phát sinh của năm này được kiểm toán vào năm sau, thậm chí một số trường hợp có thể vài năm sau mới kiểm toán. Do đó, việc đưa ra các kết luận, kiến nghị kiểm toán phù hợp với hiện tại chính là trách nhiệm của KTNN.
Riêng vấn đề này, vai trò của KTNN cao hơn kiểm toán độc lập. Trong thực hiện dịch vụ kiểm toán, Deloitte luôn muốn sử dụng các dữ liệu trong quá khứ mang tính hậu kiểm để dự báo các rủi ro trong tương lai, từ đó đưa ra những khuyến nghị và đề xuất với khách hàng. Những rủi ro đó có thể là rủi ro về mặt kinh doanh, chính sách, pháp luật, thậm chí có thể đánh giá về hiệu quả sử dụng nguồn vốn, hiệu quả của dự án...
VŨ ĐỨC NGUYÊN
Phó TGĐ Công ty TNHH Deloitte Việt Nam
