Theo Hướng dẫn của Kiểm toán nhà nước Na Uy, phân tích giao dịch (PTGD) là kỹ thuật kiểm toán được sử dụng để đánh giá rủi ro gian lận và tham nhũng (GL&TN) trong một tổ chức cụ thể. Để hệ thống hóa các giao dịch theo những tiêu chí lựa chọn, kiểm toán viên (KTV) cần có khả năng phân tích với sự hỗ trợ của các công cụ kỹ thuật.
Sử dụng hiệu quả các phần mềm
Kinh nghiệm quốc tế cho thấy, Công cụ và Kỹ thuật kiểm toán có sự trợ giúp của máy tính (CAATT) rất quan trọng trong việc phân tích lượng dữ liệu lớn, gia tăng hiệu quả kiểm toán và dẫn hướng đến các vùng rủi ro quan trọng. Việc đưa CAATT vào giai đoạn sớm hơn trong quy trình kiểm toán thay vì ở giai đoạn sau là bước đi thông minh. Kỹ thuật này không chỉ phù hợp để đánh giá rủi ro mà còn được KTV sử dụng khi muốn phân tích dữ liệu để làm rõ các nghi vấn đặc biệt về GL&TN mà không cần tổ chức đó có mặt, hoặc không muốn để nghi phạm có thể nhận thức được điều này.
Số lượng giao dịch càng lớn thì càng có lợi cho KTV khi sử dụng các công cụ hỗ trợ máy tính để phân tích. Tùy thuộc vào quyền truy cập và cơ sở hạ tầng kỹ thuật, dữ liệu giao dịch thường do chính cơ quan kiểm toán tối cao thu thập. Tuy nhiên, trong một số trường hợp, các bộ dữ liệu phải được lấy thông qua các đơn đặt hàng đặc biệt từ tổ chức đang nghi vấn.
Rất nhiều công cụ phần mềm khác nhau phục vụ mục đích kiểm toán. Trong đó, một số công cụ có thể được sử dụng để phát hiện GL&TN. Không cần phân biệt chương trình phần mềm được sử dụng, nhưng sẽ thuận lợi hơn nếu chương trình đó có thể nhập nhiều định dạng dữ liệu khác nhau. Nhìn chung, tất cả các loại dữ liệu điện tử có thể được hệ thống hóa (không chỉ về giao dịch) theo cùng một phương pháp, nhưng tiêu chí lựa chọn sẽ phụ thuộc vào lĩnh vực được chọn để kiểm tra.
Những lưu ý khi trích xuất và phân tích dữ liệu
PTGD giúp KTV có thể xem xét chi tiết hơn về khả năng xảy ra rủi ro cũng như xác định được các phương thức GL&TN liên quan nhất. Các lĩnh vực phù hợp để PTGD là mua sắm, bán và chuyển nhượng, các khoản tài trợ, tiền lương, khoản tiền hoàn và hàng tồn kho.
Nguy cơ GL&TN thường xuất hiện trong lĩnh vực mua sắm với các dấu hiệu có thể được phát hiện thông qua PTGD, bao gồm: Vi phạm các quy trình và biện pháp kiểm soát, tư lợi từ các tài nguyên trong tổ chức, xung đột lợi ích giữa nhân viên và nhà cung cấp, các khoản thanh toán lớn cho các doanh nghiệp nhỏ do một người hoặc một số người điều hành, khoản thanh toán cho các công ty ngoại biên và tại vùng “thiên đường thuế”, sự thiếu minh bạch liên quan đến các nhà cung cấp và các điều khoản có lợi cho các nhà cung cấp.
Khi PTGD, KTV sử dụng dữ liệu tài chính từ các quy trình như: Tài khoản phải trả, tài khoản phải thu, chi phí đi lại và sổ cái. Đối với mua sắm, hoạt động này đặc biệt có liên quan trong việc trích xuất dữ liệu từ tài khoản phải trả và cũng có thể từ sổ cái. Trong PTGD, sẽ có 50-80 giao dịch được chọn để xem xét kỹ lưỡng hơn. Số lượng giao dịch được chọn có thể thay đổi tùy thuộc vào quy mô tổ chức. KTV sẽ sử dụng chuyên môn chuyên nghiệp để tìm các ví dụ cho thấy nguy cơ GL&TN cao và yếu kém trong kiểm soát nội bộ.
Thật khó để phân tích dữ liệu bằng cách chỉ nghiên cứu nó ở định dạng điện tử. Do đó, để có được một ý tưởng tốt về các hình thức giao dịch khác nhau, KTV nên in các trích xuất từ bảng tính và đặt chúng theo hàng ngang. Các trường được chọn để phân tích sâu hơn nên được hiển thị dưới dạng một giao dịch dọc - theo một dòng - theo mặt dọc A4. Các trích xuất khác nhau kết nối với nhau giúp KTV nắm bắt về các hình thức giao dịch của tổ chức. Dữ liệu càng trích xuất được nhiều thì KTV càng có nhiều khả năng phát hiện các dấu hiệu tiềm ẩn rủi ro.
Điều quan trọng khi phân tích các trích xuất là KTV phải xác định được trường hợp “dương tính giả”, nghĩa là, những phát hiện trong các tiêu chí lựa chọn không thể hiện nguy cơ GL&TN. Thông thường, các trích xuất có chứa nhiều giao dịch hơn sẽ là mối lưu ý để kiểm tra thêm. Dựa trên việc kiểm tra và PTGD, KTV sẽ chọn một vài người nhận để truy vấn thêm.
Các nguồn dữ liệu chính và những câu hỏi cần thiết
Để PTGD của một tổ chức, KTV cần căn cứ vào các nguồn dữ liệu sau: Dữ liệu tài chính từ hệ thống kế toán của đơn vị (liên quan đến người nhận thanh toán và giao dịch); bản sao chứng từ thanh toán thu được từ đơn vị (hóa đơn từ mua sắm và doanh thu); thông tin khác thu được từ đơn vị (thông tin liên quan đến đơn đặt hàng, hợp đồng, thủ tục, giao thức thực hiện, thư từ...); thông tin có thể truy cập công khai về các công ty; sổ hộ tịch quốc gia; sổ đăng ký quốc gia về doanh nghiệp/công nhân viên; danh bạ điện thoại và các dịch vụ thông tin khác; thông tin chung trên internet và hồ sơ bưu chính công cộng của các tổ chức công.
Các câu hỏi liên quan đến PTGD có thể bao gồm nhiều nguồn thông tin khác nhau. Tuy nhiên, trước khi KTV nhận biết chung về các rủi ro quan trọng nhất và các điểm yếu có thể có trong hệ thống kiểm soát nội bộ, các câu hỏi chủ yếu nên tập trung vào: Cơ sở cho giao dịch; vai trò và quyền sở hữu trong các công ty; lịch sử làm việc (xác định mối quan hệ tiềm năng gần gũi giữa các đồng nghiệp cũ - hiện đại diện cho nhà cung cấp và khách hàng) và bản chất của mối quan hệ giữa thực thể công được kiểm toán và các nhà cung cấp cụ thể (xác định việc lạm dụng thông tin bên trong để gian lận giá thầu tiềm năng).
Để nhận biết được các nguồn lực sẵn có được sử dụng trong trường hợp rủi ro cao, KTV nên thực hiện các truy vấn chuyên sâu sau khi hoàn thành các yêu cầu giới thiệu. Ngay từ đầu, KTV cần tập trung đánh giá hệ thống kiểm soát nội bộ của tổ chức, xác định các trường hợp minh họa những điểm yếu có thể có trong hệ thống này. Ngoài ra, KTV có thể truy vấn thêm các vấn đề liên quan đến lựa chọn hóa đơn. Hóa đơn sẽ cung cấp thêm thông tin liên quan đến giao dịch/nhà cung cấp mà KTV không thể nhìn thấy từ báo cáo tài chính của tổ chức./.
Theo Hướng dẫn của Kiểm toán nhà nước Na Uy, một bản trình bày thích hợp về các phát hiện sẽ hỗ trợ tổ chức theo dõi các lĩnh vực có rủi ro quan trọng. Do đó, trong giai đoạn cuối của PTGD, KTV nên lập báo cáo tóm tắt tổng thể gồm các nội dung: Trình bày mục đích và phạm vi tổng thể của phân tích; mô tả từng bước phân tích (rủi ro, trích xuất dữ liệu, lựa chọn giao dịch, truy vấn, nguồn thông tin); lặp lại các bước quan sát chính và các lĩnh vực rủi ro quan trọng; cung cấp các ví dụ của các lĩnh vực rủi ro khác nhau và các khuyến nghị cho tổ chức. |
THÀNH ĐỨC
(Báo Kiểm toán số 51/2022)