Kiểm toán nội bộ được hội đồng, quản lý, và các bên liên quan khác yêu cầu đưa ra các ý kiến cho mỗi báo cáo kiểm toán cũng như tổng quan về sự phù hợp của quản trị (governance), quản lý rủi ro (risk management), và kiểm soát (control) trong tổ chức. Những yêu cầu này có thể là 1 sự đảm bảo (assurance) hoặc 1 ý kiến ở cấp độ tổng quan toàn tổ chức vĩ mô (macro-level) hoặc là các thành phần cụ thể cho từng hoạt động vi mô (miro-level). Bài viết dưới đây FMIT sẽ giới thiệu một số thông tin cơ bản cho việc chuẩn bị và trình bày ý kiến kiểm toán nội bộ ở các cấp độ này. Chi tiết chương trình có thể tìm thấy trong các khóa học liên quan về kiểm toán nội bộ theo chuẩn IIA được tổ chức tại FMIT.

Kiểm toán nội bộ cần phải cung cấp các ý kiến của họ khi thực hiện các chương trình kiểm toán ở mức độ vi mô (micro) và vĩ mô (macro), bao gồm ý kiến về sự phù hợp của các chính sách, thủ tục, và quy trình để bổ trợ cho hoạt động quản trị (governance), rủi ro (risk management), và kiểm soát nội bộ (internal controls). Khi được kết xuất, các ý kiến này thường được ở dạng văn bản và sẽ có giá trị cao nhất nếu chúng ở hình thức đảm bảo tích cực (positive assurance), thi thoảng gọi là đảm bảo hợp lý (reasonable assurance). CAE là cá nhân phù hợp nhất để đưa ra ý kiến vĩ mô (macro) với cương vị của họ để có được các quan điểm rời rạc từ các kết quả kiểm toán ở mức độ vi mô (micro).

Các ý kiến có thể đưa ra bao gồm cả cấp độ vi mô (hoạt động cụ thể) và vĩ mô (trên phạm vi tổng thể), ví dụ như:

• Ý kiến về hệ thống tổng thể của kiểm soát nội bộ cho lĩnh vực báo cáo tài chính (vĩ mô).
• Ý kiến về các kiểm soát và thủ tục của tổ chức cho việc tuân thủ với quy định pháp luật, như sức khỏe và an toàn, khi các kiểm soát và thủ tục được thực hiện ở nhiều quốc gia hoặc chi nhánh (vĩ mô).
• Ý kiến về hiệu lực của các kiểm soát như là quản lý kết quả và ngân sách, khi những kiểm soát được thực hiện ở nhiều chi nhánh và bao phủ các hoạt động chính về tài sản, nguồn lực, doanh thu của tổ chức (vĩ mô).
• Ý kiến về 1 quy trình kinh doanh cụ thể hoặc hoạt động cụ thể trong phòng ban, tổ chức, hoặc vị trí (vi mô)
• Ý kiến về hệ thống kiểm soát nội bộ ở chi nhánh hoặc đơn vị báo cáo, khi tất cả các công việc được thực hiện tại chương trình kiểm toán cụ thể (vi mô)
• Ý kiến về tuân thủ của tổ chức với chính sách, luật, quy định về bảo mật dữ liệu, khi phạm vi công việc được thực hiện tại 1 đơn vị hoặc 1 phòng ban cụ thể (vi mô).

Khi đưa ra ý kiến kiểm toán nội bộ, CAE xem xét các tác động có thể với tổ chức nếu báo cáo đó có thể chuyển đến một số người sử dụng bên ngoài. Trong hoàn cảnh đó nó cần phải có tư vấn pháp lý phù hợp, cụ thể về thông tin bảo mật. Việc thảo luận với các bên liên quan bao gồm:

• Giá trị của ý kiến với bên liên quan, bao gồm lý do được yêu cầu
• Thời gian để phát hành và loại ý kiến
• Hình thức của ý kiến (nói hoặc viết)
• Mức độ đảm bảo
• Thời điểm hoặc thời gian mà ý kiến đề cập.
• Phạm vi ý kiến (ví dụ giới hạn bởi báo cáo tài chính, kiểm soát hoạt động, hoặc tuân thủ)
• Tiêu chí sử dụng để diễn đạt ý kiến
• Quy trình được sử dụng liên quan đến kết quả kiểm toán
• Người sử dụng tiềm năng ngoài ban quản lý và hội đồng

• Các tính chất duy nhất của mức độ vĩ mô so với ý kiến vi mô. Ý kiến vĩ mô thông thường dựa trên kết quả của nhiều dự án kiểm toán, trong khi ý kiến vi mô dựa trên kết quả của 1 dự án kiểm toán hoặc 1 vài dự án trên một thời gian có giới hạn.
• Bản chất của ý kiến đưa ra; đặc biệt, sự đảm bảo là tiêu cực hoặc tích cực đưa ra. Tổng quát, nhiều chứng cứ và phạm vi công việc được yêu cầu cho những ý kiến đảm bảo tích cực (positive assurance).
• Mục đích và sử dụng các yêu cầu đặc biệt trong đó ý kiến được kết xuất.
• Bản chất và mức độ mở rộng của chứng cứ kiểm toán cần được hỗ trợ ý kiến phải được cung cấp đúng lúc để thực hiện công việc. Điều này đặc biệt quan trọng với ý kiến vĩ mô, khi mà yêu cầu từ nhiều dự án khác nhau.
• Thảo luận và đồng thuận với các bên liên quan (đặc biệt với quản lý cấp cao và hội đồng) về các tiêu chí sẽ sử dụng để đưa ra ý kiến
• Nhu cầu về việc lập kế hoạch kiểm toán một cách cẩn thận để đưa ra chứng cứ đầy đủ, liên quan hỗ trợ cho ý kiến. Phương pháp này bao gồm tích hợp nhiều kết quả của các kiểm toán hoàn chỉnh trước đó để hỗ trợ cho ý kiến, hoặc nhận ra các lĩnh vực có rủi ro nghiêm trọng nơi mà chứng cứ kiểm toán cần phải hoàn chỉnh và bổ trợ cho ý kiến. Hơn nữa, nhiều dự án cần phải được tiến hành để đưa ra ý kiến, những dự án này phải được nhận diện và bao gồm trong kế hoạch kiểm toán nội bộ.
• Việc xem xét tất cả các dự án theo kế hoạch, có liên quan, và thời gian cho phép để thực hiện đánh giá tổng kết. Ví dụ, đưa ra ý kiến về kiểm soát tồn kho ở tổ chức có phạm vi toàn cầu (ví dụ, kiếm toán trên 30 quốc gia) sẽ cần có kế hoạch mở rộng về phạm vi và thời gian để hoàn thành công việc trước khi đưa ra được ý kiến kiểm toán.
• Xem xét có đủ nguồn lực và kỹ năng cần thiết để thực hiện tất cả các công việc yêu cầu để hỗ trợ đầy đủ cho ý kiến không. Nếu không, hãy xem xét có từ chối đưa ra ý kiến, hoặc xác định mức độ chất lượng của ý kiến (bằng cách loại trừ những lĩnh vực nào đó hoặc rủi ro từ phạm vi của ý kiến).
• Các thảo luận với quản lý và truyền thông về kế hoạch kiểm toán, bao gồm thời gian và phạm vi của mỗi dự án và tiêu chí được dùng trong đưa ra ý kiến sẽ được cung cấp bởi cấp quản lý, và có thể là hội đồng.

Đảm bảo tích cực (positive assurance) hoặc đảm bảo hợp lý (reasonable assurance) đưa ra mức độ cao nhất về đảm bảo và là 1 trong những loại ý kiến kiểm toán mạnh nhất. Trong ý kiến này, kiểm toán nội bộ phải có kết luận cụ thể, ví dụ, có hoặc không việc kiểm soát nội bộ hoạt động hiệu lực trong tình huống cụ thể hoặc rủi ro có được quản lý hiệu quả hoặc không.

Trong nhiều tình huống khác, việc diễn đạt ý kiến có thể bao gồm 1 phạm vi các mức độ (grades), trong đó trả lời các kiểm soát nội bộ hoặc quản trị rủi ro có hiệu lực không với một hệ thống thang đo. Ví dụ thường thấy là sử dụng thay màu (đỏ-vàng-xanh) hoặc sử dụng thang điểm (từ 1-4). Khi những thang này được sử dụng, chúng phải được sự đồng thuận và hiểu thống nhất trong tổ chức. Việc diễn đạt ý kiến cũng có thể bao gồm thông tin về hướng của ý kiến trong các kiểm toán trước đó. Ví dụ, ý kiến có thể chỉ ra rằng kiểm soát nội bộ hoặc quản trị rủi ro có thể đạt yêu cầu, nhưng hiệu quả có thể đã suy giảm từ kỳ kiểm toán trước đó.

Ý kiến đảm bảo tích cực cần phải có mức độ chứng cứ cao nhất. Có nghĩa là không chỉ quy trình giảm rủi ro hoặc các kiểm soát là đầy đủ và hiệu lực mà còn phải chỉ ra chứng cứ thu thập được để có một sự chắc chắn. Kiểm toán nội bộ phải có đầy đủ trách nhiệm trong việc tìm ra các chứng cứ áp dụng nguyên tắc thận trọng. Sự đảm bảo tích cực giúp người đọc có mức độ tin tưởng và thỏa mái hơn trong thông tin. Vì thế, hoạt động kiểm toán nội bộ thường được yêu cầu cung cấp những ý kiến như vậy.

Với ý kiến vĩ mô thường được đưa ra tại một thời điểm nhất định (ví dụ hàng năm), các chứng cứ bổ trợ thường được bổ sung theo thời gian và dựa vào kết quả của nhiều chương trình làm việc, thực hiện bởi những nhóm khác nhau, và ý kiến không chính thức. Ý kiến cấp độ vĩ mô có thể phát triển và thay đổi khi các chương trình kiểm toán hoàn chỉnh và chứng cứ mới thêm vào (bao gồm kết quả hoặc ngoại trừ). Trong một vài tình huống, kiểm toán nội bộ có thể không đạt được chứng cứ đầy đủ (do giới hạn nguồn lực) để bổ trợ cho ý kiến vĩ mô. Vì thế, chỉ có thể có được ý kiến vĩ mô bị giới hạn (limited macro opinion); ví dụ, ý kiến về tuân thủ luật môi trường có thể bị giới hạn khi loại trừ việc đánh giá vấn đề tuân thủ với quy trình xả thải. Những ý kiến giới hạn nên được ghi nhân trước trong quá trình lập kế hoạch, vì thế các bên liên quan hiểu được giới hạn của các ý kiến.

Diễn đạt ý kiến vĩ mô có thể là một nhiệm vụ phức tạp. Nó yêu cầu phải có phương pháp luận và lập kế hoạch:

• Tích hợp và diễn đạt các kết quả từ nhiều chương trình kiểm toán, có thể vài chương trình đã hoàn thành nhiều tháng trước đó. Trong trường hợp này, CAE sẽ phải xem xét cẩn trọng để đảm bảo các tiêu chuẩn nhất quan được sử dụng trong tất cả các chương trình kiểm toán nhằm đánh giá kết quả và đưa ra kết luận. Hơn nữa, những hành động theo dõi khắc phục của chương trình kiểm toán trước đó cũng phải được xem xét.
• Các phương pháp luận dùng tích hợp các chứng cứ thông qua các phương tiện ít chính thống. Điều này có thể xảy ra khi nhiều ý kiến vĩ mô thường đòi hỏi có tính chất phổ biến và phạm vi bao trùm. Ví dụ, các kết quả tự đánh giá của ban quản lý và những chứng cứ không chính thống khác từ nhiều nguồn khác nhau có thể được sử dụng nếu kiểm toán nội bộ thấy nó tin cậy. Chứng cứ không chính thức có thể sử dụng trong đánh giá chủ quan (ví dụ, đi thực địa hoặc quan sát), nhưng mức độ tin cậy các chứng cứ này cần phải diễn đạt khi trình bày ý kiến vĩ mô.
• Việc đưa ra ý kiến này đôi khi có được thông qua có được kết quả cũng những nhóm công việc khác. Ví dụ, rà soát công việc của nhóm chất lượng bên trong tổ chức hoặc công việc đáp ứng yêu cầu luật pháp, và mỗi công việc được thực hiện sử dụng phương pháp đảm bảo khác nhau. Để thực hiện tình huống này, CAE đánh giá rủi ro tương ứng với việc sử dụng công việc của các bên khác và cân nhắc khi diễn đạt ý kiến kiểm toán.

Diễn đạt ý kiến vi mô thường là kết quả trong một nhiệm vụ kiểm toán nội bộ cụ thể. Trong những nhiệm vụ này có thể là liên quan đến kiểm soát của một quy trình cụ thể, rủi ro, hoặc bộ phận cụ thể. Việc hình thành ý kiến như vậy yêu cầu xem xét kết quả kiểm toán và đánh giá mức độ (rating) tương ứng của chúng. Ý kiến vi mô thường ít phức tạp hơn ý kiến vĩ mô. Các khảo sát gần đây chỉ ra rằng hầu hết các tổ chức kiểm toán trên thế giới đưa ra các ý kiến vi mô, sử dụng hệ thống thang điểm (rating/grading system) để diễn giải ý kiến tổng quan. Tuy nhiên, cũng cho thấy rằng nhiều tổ chức kiểm toán không phát triển các khung tiêu chí đánh giá một cách chính thức để đưa ra kết luận của họ.

Trong vài tổ chức, kiểm toán nội bộ đưa ra ý kiến vĩ mô (macro) về rủi ro và tổ chức ở tổng thế, và ý kiến vi mô (micro) có thể không quan trọng đối với quản lý cấp cao hoặc hội đồng vì họ chỉ quan tâm về mặt tổng thể. Trong tình huống này, việc quản lý sự mong đợi của các bên liên quan bên dưới quản lý cấp cao là quan trọng vì lĩnh vực kiểm toán sẽ tạo ra báo cáo và ý kiến cho lĩnh vực cụ thể đáp ứng yêu cầu các bộ phận này.