Trưởng kiểm toán nội bộ chịu trách nhiệm xây quy trình kiểm toán nội bộ của doanh nghiệp và đảm bảo quy trình này được vận hành một cách hiệu quả. Nội dung chi tiết và các mẫu biểu của quy trình kiểm toán nội bộ có thể tùy thuộc vào quy mô của doanh nghiệp cũng như phạm vi và mức độ phức tạp của công tác kiểm toán nội bộ. Định kỳ, Trưởng kiểm toán nội bộ sẽ cập nhật quy trình kiểm toán nội bộ và chỉnh sửa phù hợp với những vấn đề mới phát sinh cũng những thay đổi trong hoạt động của doanh nghiệp.
Cuộc kiểm toán hoặc tư vấn là các nhiệm vụ, các công việc hoặc hoạt động rà soát cụ thể được giao cho kiểm toán nội bộ ví dụ như kiểm toán, rà soát việc tự đánh giá kiểm soát, kiểm tra phát hiện gian lận hoặc tư vấn. Một cuộc kiểm toán hoặc tư vấn có thể bao gồm nhiều nhiệm vụ hoặc nhiều hoạt động được thiết kế nhằm đạt được một loạt mục tiêu cụ thể có liên quan đến nhau.
Với mỗi cuộc kiểm toán hoặc tư vấn, quy trình kiểm toán nội bộ được chia thành bốn giai đoạn chính: lập kế hoạch, thực hiện kiểm toán, báo cáo kết quả kiểm toán và giám sát triển khai kết quả thực hiện khuyến nghị kiểm toán.
- Lập kế hoạch kiểm toán
Chuẩn mực của IIA yêu cầu các kiểm toán viên nội bộ phải xây dựng và ghi chép một kế hoạch cho mỗi cuộc kiểm toán hoặc tư vấn bao gồm mục tiêu, phạm vi, thời gian và việc phân bổ nguồn lực. Các kiểm toán viên nội bộ sẽ lập biên bản ghi nhớ về kế hoạch để ghi lại các mục tiêu, phạm vi kiểm toán, đánh giá rủi ro và các nội dung ưu tiên kiểm toán. Biên bản ghi nhớ cũng là tài liệu quan trọng để trao đổi về mục tiêu, phạm vi kiểm toán và các thông tin quan trọng khác cho các thành viên trong nhóm kiểm toán.
- Thực hiện Kiểm toán
Thông thường, những kiểm soát cơ bản sẽ được tiến hành ở giai đoạn thực hiện đã được xác định ở giai đoạn lập kế hoạch căn cứ vào việc đánh giá tính đầy đủ của thiết kế hệ thống kiểm soát nội bộ. Ở giai đoạn thực hiện kiểm toán, các kiểm toán viên nội bộ tiến hành những thử nghiệm kiểm soát cơ bản đó và ghi chép lại kết quả kiểm toán làm bằng chứng cho việc đánh giá hiệu quả quy trình kiểm soát nội bộ.
Trước khi thực hiện kiểm toán, các kiểm toán viên nội bộ xem xét:
- Tài liệu kế hoạch kiểm toán để nắm rõ mục tiêu, phạm vi, chương trình kiểm toán bao gồm các thủ tục kiểm toán, thời gian và nguồn lực thực hiện kiểm toán.
- Các kỳ vọng của Hội đồng quản trị và lãnh đạo doanh nghiệp để phản ảnh thông tin cần thiết nhằm đạt được mục tiêu kiểm toán.
- Các chính sách và quy định pháp lý liên quan đến thông tin cá nhân trước khi thực hiện kiểm toán tư vấn với luật sư của doanh nghiệp hoặc các chuyên gia để làm rõ các quan ngại và thắc mắc có thể nảy sinh khi truy cập thông tin cá nhân.
Ngoài ra, trong khi thực hiện kiểm toán, nếu thấy kế hoạch thử nghiệm không được lập đủ chi tiết thì các kiểm toán viên nội bộ có thể bổ sung các chi tiết thử nghiệm như các tiêu chí cũng như quy mô thử nghiệm, phương pháp chọn mẫu, số lượng mẫu cần thiết để thu thập được thông tin đầy đủ. Nếu các thủ tục thử nghiệm được nêu ở trong trương trình kiểm toán không mang lại được đầy đủ các thông tin để đưa ra kết luận hoặc ý kiến tư vấn, các kiểm toán viên nội bộ cần điều chỉnh kế hoạch thử nghiệm và tiến hành thử nghiệm bổ sung. Mọi điều chỉnh hoặc bổ sung đối với chương trình kiểm toán đều phải được phê duyệt ngay.
Để làm căn cứ cho kết quả kiểm toán và kết luận của mình, các kiểm toán viên nội bộ xác định thông tin, thực hiện phân tích và đánh giá, và ghi chép thông tin thông qua việc thực hiện các thủ tục kiểm toán được lập trong chương trình kiểm toán.
Bằng chứng kiểm toán là những thứ kiểm toán viên thu được thông qua việc thực hiện các thủ tục quan sát, phỏng vấn và kiểm tra. Bằng chứng kiểm toán được sử dụng để làm căn cứ cho việc đưa ra kết luận và khuyến nghị đối với những phát hiện của kiểm toán. Bằng chứng kiểm toán có thể được chia thành các nhóm như sau:
- Bằng chứng thu được bằng việc quan sát con người, tài sản, sự kiện như là hình ảnh, phim chụp, sơ đồ, biểu đồ, bản đồ, các ghi chép kết quả quan sát.
- Bằng chứng có tính chứng thực như các thư từ, biên bản ghi nhớ, thư diện tử, các phản hồi từ các cuộc khảo sát, điều tra và phỏng vấn. Bằng chứng có thể là trả lời trực tiếp hoặc bằng văn bản.
- Bằng chứng dưới hình thức tài liệu là loại bằng chứng phổ biến nhất và bao gồm các thông tin được viết lại hoặc được cung cấp bởi các phương tiện truyền thông khác.
- Bằng chứng phân tích là các phân tích, xác nhận, tổng hợp, so sánh sử dụng thông tin được thu thập từ các nguồn khác nhau. Ví dụ như dữ liệu chuẩn của ngành, của các doanh nghiệp tương đương, kết quả của năm trước, quyết toán thuế v.v…
- Báo cáo kết quả kiểm toán
Chuẩn mực của IIA yêu cầu Trưởng kiểm toán nội bộ phải thực hiện báo cáo định kỳ cho Hội đồng quản trị và lãnh đạo doanh nghiệp. Tần suất và nội dung báo cáo tùy thuộc vào tầm quan trọng của báo cáo và mức độ cấp thiết của các hành động cần được lãnh đạo và Hội đồng quản trị thực hiện. Các kiểm toán viên nội bộ phải báo cáo kết quả theo các tiêu chí, chất lượng và các yêu cầu về việc phát hành cũng như gửi báo cáo. Ngoài ra, nếu có yêu cầu về việc đưa ra ý kiến tổng thể thì các kiểm toán viên nội bộ đưa ra ý kiến tổng thể theo đúng yêu cầu quy định.
Quy định về công tác trao đổi và báo cáo kết quả kiểm toán thường được xây dựng và ban hành nhằm đảm bảo tính nhất quán và hiêu quả trong việc báo cáo kết quả kiểm toán. Quy định này được xây dựng căn cứ vào chính sách và quy trình của các bên liên quan cũng như kỳ vọng của Hội đồng quản trị và lãnh đạo doanh nghiệp về các báo cáo kiểm toán.
Các kiểm toán viên nội bộ có thể xem xét quy trình và chính sách kiểm toán nội bộ để xác định các mẫu biểu nên sử dụng. Các mẫu biểu thường giúp đảm bảo trao đổi hợp lý và nhất quán trong suốt các giai đoạn kiểm toán. Ngoài ra, các kiểm toán viên nội bộ cũng cần xem xét cả hướng dẫn về văn phong của doanh nghiệp trước khi soạn thảo các văn bản trao đổi có thể trình bày kết quả cuối cùng phù hợp với văn phong được doanh nghiệp chấp nhận.
Nội dung chi tiết của quy định về trao đổi thông tin và báo cáo kết quả tùy thuộc vào bản chất của từng doanh nghiệp và mức độ phức tạp của công tác kiểm toán nội bộ, nhưng thông thường sẽ bao gồm hướng dẫn liên quan đến trao đổi và báo cáo về:
- Thông tin, quan sát và kết quả kiểm toán.
- Thông tin giữa kỳ và cuối kỳ.
- Theo dõi và giám sát.
- Các vi phạm pháp luật.
- Thông tin nhạy cảm.
- Thông tin với các bên liên quan bên ngoài doanh nghiệp.
- Giám sát triển khai kết quả, thực hiện khuyến nghị kiểm toán
Khi kết thúc cuộc kiểm toán, các phát hiện và khuyến nghị cải tiến phải được trao đổi và báo cáo đến các cấp có liên quan của doanh nghiệp để có biện pháp khắc phục, sửa chữa sai sót kịp thời.
Giám sát triển khai kết quả thực hiện khuyến nghị kiểm toán là hoạt động các kiểm toán viên nội bộ kiểm tra xem các biện pháp sửa chữa, khắc phục sai sót đã được thực hiện chưa.
Chuẩn mực yêu cầu Trưởng kiểm toán nội bộ phải thiết lập và duy trì một hệ thống kiểm soát về việc chuẩn bị giám sát và công tác giám sát kết quả triển khai khuyến nghị đã được báo cáo cho lãnh đạo doanh nghiệp.
Quy trình giám sát có thể phức tạp hoặc đơn giản tùy thuộc vào một số các yếu tố bao gồm quy mô và mức độ phức tạp của doanh nghiệp cũng như việc sử dụng phần mềm theo dõi giám sát. Khi xây dựng quy trình này, Trưởng kiểm toán nội bộ cân nhắc những vấn đề sau:
- Mức độ tự động và chi tiết.
- Các loại phát hiện cần giám sát (cụ thể là tất cả hay là chỉ có những phát hiện có rủi ro cao).
- Cách thức và tần suất xác định tình trạng của các hành động/biện pháp khắc phục đang triển khai.
- Khi nào kiểm toán nội bộ xác nhận một cách độc lập tính hiệu quả của những biện pháp khắc phục.
- Tần suất, thể loại và mức độ báo cáo được thực hiện.
Thông thường, Trưởng kiểm toán xây dựng hoặc mua công cụ, máy móc hoặc hệ thống hỗ trợ để theo dõi và giám sát kết quả và báo cáo các thông tin trên. Căn cứ vào thông tin được các cấp quản lý chịu trách nhiệm cung cấp cho kiểm toán nội bộ, tình trạng của các hành động khắc phục được
Cập nhật vào hệ thống một cách định kỳ và thường do các cấp quản lý cập nhật một cách trực tiếp sử dụng một hệ thống chung theo dõi các vấn đề ngoại lệ.
Trưởng kiểm toán nội bộ xác định hình thức báo cáo kết quả giám sát dựa trên xét đoán chuyên môn của mình và những kỳ vọng đã được thỏa thuận. Các hình thức có thể gồm
- Báo cáo chi tiết tình trạng của mọi phát hiện trong từng cuộc kiểm toán.
- Báo cáo tình trạng của những phát hiện được phân loại rủi ro cao.
- Báo cáo biện pháp khắc phục đã được hoàn thành và đánh giá chất lượng của chúng.
Ngoài việc báo cáo tình trạng, các kiểm toán viên nội bộ còn có phân loại các biện pháp khắc phục theo quy trình kinh doanh hoặc theo chủ thể thực hiện, phản ảnh các số liệu thống kê như tỷ lệ phần trăm các biện pháp khắc phục đang theo dõi, quá hạn và đã hoàn thành đúng hạn. Đối với những biện pháp khắc phục yêu cầu phải đánh giá hiệu quả, các kiểm toán viên nội bộ báo cáo không chỉ biện pháp khắc phục đã được hoàn thành mà còn cả việc liệu biện pháp đó có khắc phục được vấn đề căn bản hay không. Nắm bắt và đo lường những cải tiến dựa vào việc thực thi những biện pháp khắc phục được xem là một thông lệ được áp dụng rộng rãi.
Tần suất và phương pháp tiếp cận hoạt động giám sát được Trưởng kiểm toán nội bộ xác định trên cơ sở xét đoán chuyên môn của mình cũng như kỳ vọng của Hội đồng quản trị và lãnh đạo doanh nghiệp. Ngoài ra, phương pháp tiếp cận được xác định căn cứ vào mức độ rủi ro đã được đánh giá cũng như nguồn lực sẵn có. Một số ví dụ về tần suất và phương pháp tiếp cận:
- Theo dõi và cầu cập nhật định kỳ tình trạng của tất cả các biện pháp khắc phục phải được hoàn thành ở kỳ trước.
- Theo dõi định kỳ các cuộc kiểm toán có khuyến nghị quan trọng để đánh giá một cách cụ thể chất lượng của những biện pháp khắc phục đã được thực hiện.
- Theo dõi các biện pháp khắc phục đang được triển khai trong quá trình kiểm toán dự định sẽ triển khai tại chính đối tượng đó.
Mặc dù các cấp quản lý có trách nhiệm cần có thời gian để thực hiện các biện pháp khắc phục, việc thu thập và tìm hiểu những công việc đang được triển khai nhìn chung được xem là hữu dụng để giúp các kiểm toán viên nội bộ có được một quy trình giám sát hiệu quả và năng suất.