19 Jul
19Jul

Audit Risk is the risk that the auditor expresses an inappropriate audit opinion when the financial statements are materially misstated. In simple terms, it is the risk that the financial statements contain a material error or fraud, but the auditor does not detect it and still issues an unmodified opinion.


Under ISA 200, audit risk is a function of the risks of material misstatement and detection risk. The risks of material misstatement consist of inherent risk and control risk. Inherent risk and control risk are risks of the entity, while detection risk is the risk that the auditor’s procedures will not detect a material misstatement that exists.


The traditional audit risk model can be understood as:


Audit Risk = Inherent Risk × Control Risk × Detection Risk


Inherent Risk is the risk that an account balance, transaction, or disclosure may be materially misstated before considering internal controls. For example, revenue recognition, impairment of goodwill, inventory valuation, complex financial instruments, related party transactions, and management estimates often have higher inherent risk because they involve judgment, complexity, or incentive to misstate.


Control Risk is the risk that the company’s internal controls will not prevent, detect, or correct a material misstatement on a timely basis. For example, if the company has weak segregation of duties, poor approval controls, unreliable system access controls, or no proper review of journal entries, control risk may be assessed as high.


Detection Risk is the risk that the auditor’s procedures will not detect a material misstatement. Unlike inherent risk and control risk, detection risk is managed by the auditor. If inherent risk and control risk are high, the auditor needs to reduce detection risk by performing stronger audit procedures, obtaining more persuasive evidence, increasing sample sizes, testing closer to year-end, or using more experienced team members.


The first step in assessing audit risk is to understand the entity and its environment. This includes the business model, industry conditions, revenue drivers, cost structure, regulatory environment, ownership structure, financing arrangements, IT systems, internal controls, and management incentives. ISA 315 requires auditors to identify and assess risks of material misstatement through understanding the entity, its environment, and its system of internal control.


The second step is to identify where material misstatement could occur. Auditors should consider both the financial statement level and the assertion level. At the financial statement level, risks may arise from going concern problems, weak governance, management pressure, fraud risk, or poor internal control environment. At the assertion level, risks relate to specific accounts and assertions, such as existence of receivables, completeness of liabilities, valuation of inventory, accuracy of revenue, or cut-off of sales.


The third step is to assess inherent risk and control risk. The auditor should consider the likelihood and magnitude of possible misstatement. A balance may be high risk because it is large, complex, judgmental, unusual, subject to management bias, or vulnerable to fraud. The auditor should also understand whether controls are designed properly and whether they have been implemented. If the auditor plans to rely on controls, tests of controls may be required.


The fourth step is to identify significant risks. Significant risks are risks that require special audit consideration. These often include fraud risks, revenue recognition risks, management override of controls, complex estimates, unusual transactions, major acquisitions, going concern issues, or transactions outside the normal course of business. Significant risks normally require more focused audit procedures and stronger audit documentation.


The fifth step is to design audit responses. ISA 330 requires auditors to design and perform further audit procedures in response to assessed risks of material misstatement. If risk is low and controls are reliable, the auditor may use a combination of tests of controls, substantive analytical procedures, and limited tests of details. If risk is high or controls are weak, the auditor should perform more substantive procedures, obtain more external evidence, test larger samples, or perform procedures closer to year-end.


For example, if revenue is assessed as high risk because management has pressure to meet targets and there are many manual credit notes after year-end, the auditor may perform detailed cut-off testing, inspect sales contracts, test delivery documents, review subsequent credit notes, test journal entries, and perform data analytics over unusual revenue transactions.
The sixth step is to reassess audit risk throughout the audit. Risk assessment is not a one-time exercise at planning. If the auditor finds unexpected errors, control deficiencies, inconsistent explanations, unusual journal entries, or new information from subsequent events, the audit risk assessment should be updated and audit procedures should be revised.


In practice, audit risk assessment should be documented in working papers such as Business Understanding Memo, Risk Assessment Matrix, Fraud Risk Assessment, Internal Control Understanding, Significant Risk Assessment, Audit Strategy Memo, and Audit Response Plan. These working papers should clearly link business risks to financial statement accounts, assertions, assessed risk level, and planned audit responses.


In summary, Audit Risk is the risk that the auditor gives an inappropriate opinion on materially misstated financial statements. Auditors assess audit risk by understanding the business, identifying risks of material misstatement, assessing inherent and control risks, identifying significant risks, and designing audit procedures to reduce detection risk to an acceptably low level. A good audit does not start from a checklist; it starts from a clear understanding of where the financial statements could be materially wrongใ


Audit Risk คืออะไร และผู้สอบบัญชีมีวิธีการประเมินอย่างไร?


Audit Risk หรือความเสี่ยงในการสอบบัญชี คือความเสี่ยงที่ผู้สอบบัญชีจะแสดงความเห็นไม่เหมาะสมต่องบการเงิน ทั้งที่งบการเงินมีการแสดงข้อมูลผิดพลาดที่มีสาระสำคัญ กล่าวอย่างง่ายคือ งบการเงินมีข้อผิดพลาดหรือการทุจริตที่มีสาระสำคัญ แต่ผู้สอบบัญชีตรวจไม่พบ และยังแสดงความเห็นแบบไม่มีเงื่อนไข


ตาม ISA 200 ความเสี่ยงในการสอบบัญชีเป็นผลจากความเสี่ยงที่งบการเงินอาจแสดงข้อมูลผิดพลาดที่มีสาระสำคัญ และความเสี่ยงที่ผู้สอบบัญชีตรวจไม่พบ โดยความเสี่ยงที่งบการเงินอาจผิดพลาดประกอบด้วยความเสี่ยงสืบเนื่องและความเสี่ยงจากการควบคุม ส่วนความเสี่ยงที่ตรวจไม่พบเป็นความเสี่ยงที่เกิดจากวิธีการตรวจสอบของผู้สอบบัญชีเอง


หากอธิบายแบบเข้าใจง่าย ความเสี่ยงในการสอบบัญชีประกอบด้วย 3 ส่วนหลัก คือ ความเสี่ยงสืบเนื่อง × ความเสี่ยงจากการควบคุม × ความเสี่ยงที่ตรวจไม่พบ


ความเสี่ยงสืบเนื่อง คือความเสี่ยงที่ยอดบัญชี รายการ หรือการเปิดเผยข้อมูลอาจผิดพลาดอย่างมีสาระสำคัญก่อนพิจารณาระบบควบคุมภายใน เช่น รายได้ ค่าความนิยม สินค้าคงเหลือ เครื่องมือทางการเงิน รายการกับกิจการที่เกี่ยวข้องกัน และประมาณการทางบัญชี มักมีความเสี่ยงสูง เพราะมีความซับซ้อน ใช้ดุลยพินิจสูง หรือมีแรงจูงใจให้ผู้บริหารตกแต่งตัวเลข


ความเสี่ยงจากการควบคุม คือความเสี่ยงที่ระบบควบคุมภายในของกิจการไม่สามารถป้องกัน ตรวจพบ หรือแก้ไขข้อผิดพลาดที่มีสาระสำคัญได้ทันเวลา เช่น ไม่มีการแบ่งแยกหน้าที่ที่ดี ไม่มีการอนุมัติรายการอย่างเหมาะสม สิทธิในระบบบัญชีไม่รัดกุม หรือไม่มีการสอบทานรายการปรับปรุงบัญชีอย่างเพียงพอ กรณีเช่นนี้ผู้สอบบัญชีอาจประเมินความเสี่ยงจากการควบคุมไว้สูง


ความเสี่ยงที่ตรวจไม่พบ คือความเสี่ยงที่วิธีการตรวจสอบของผู้สอบบัญชีไม่สามารถตรวจพบข้อผิดพลาดที่มีสาระสำคัญได้ ความเสี่ยงส่วนนี้ผู้สอบบัญชีสามารถบริหารได้ผ่านการออกแบบงานตรวจ หากความเสี่ยงสืบเนื่องและความเสี่ยงจากการควบคุมสูง ผู้สอบบัญชีต้องลดความเสี่ยงที่ตรวจไม่พบลง เช่น เพิ่มความเข้มของวิธีตรวจ ใช้หลักฐานจากภายนอกมากขึ้น เพิ่มขนาดตัวอย่าง ตรวจใกล้วันสิ้นงวด หรือใช้ทีมงานที่มีประสบการณ์มากขึ้น


ขั้นตอนแรกในการประเมินความเสี่ยงในการสอบบัญชี คือการทำความเข้าใจกิจการและสภาพแวดล้อมของกิจการ ผู้สอบบัญชีควรเข้าใจรูปแบบธุรกิจ อุตสาหกรรม รายได้หลัก โครงสร้างต้นทุน กฎระเบียบที่เกี่ยวข้อง โครงสร้างผู้ถือหุ้น แหล่งเงินทุน ระบบสารสนเทศ ระบบควบคุมภายใน และแรงจูงใจของผู้บริหาร ISA 315 กำหนดให้ผู้สอบบัญชีระบุและประเมินความเสี่ยงจากการแสดงข้อมูลผิดพลาดที่มีสาระสำคัญ โดยอาศัยความเข้าใจกิจการ สภาพแวดล้อม และระบบควบคุมภายในของกิจการ


ขั้นตอนที่สองคือระบุว่าข้อผิดพลาดที่มีสาระสำคัญอาจเกิดขึ้นตรงไหน ผู้สอบบัญชีควรพิจารณาทั้งระดับงบการเงินโดยรวมและระดับบัญชีหรือข้อกล่าวอ้าง ระดับงบการเงินโดยรวมอาจเกี่ยวกับปัญหาการดำเนินงานต่อเนื่อง ธรรมาภิบาลอ่อนแอ แรงกดดันของผู้บริหาร ความเสี่ยงทุจริต หรือสภาพแวดล้อมการควบคุมที่ไม่ดี ส่วนระดับบัญชีหรือข้อกล่าวอ้างอาจเกี่ยวกับความมีอยู่จริงของลูกหนี้ ความครบถ้วนของเจ้าหนี้ การวัดมูลค่าสินค้าคงเหลือ ความถูกต้องของรายได้ หรือการตัดรอบบัญชีของยอดขาย


ขั้นตอนที่สามคือประเมินความเสี่ยงสืบเนื่องและความเสี่ยงจากการควบคุม ผู้สอบบัญชีควรพิจารณาทั้งโอกาสเกิดข้อผิดพลาดและขนาดของผลกระทบ ยอดบัญชีหนึ่งอาจมีความเสี่ยงสูงเพราะมีมูลค่าสูง ซับซ้อน ใช้ดุลยพินิจมาก เป็นรายการผิดปกติ มีโอกาสเกิดอคติของผู้บริหาร หรือมีความเสี่ยงทุจริต นอกจากนี้ ผู้สอบบัญชีควรเข้าใจว่าการควบคุมภายในออกแบบเหมาะสมหรือไม่ และนำไปใช้จริงหรือไม่ หากตั้งใจจะพึ่งพาการควบคุม อาจต้องทดสอบการควบคุมเพิ่มเติม


ขั้นตอนที่สี่คือระบุความเสี่ยงสำคัญ ความเสี่ยงสำคัญคือความเสี่ยงที่ต้องได้รับการพิจารณาเป็นพิเศษในการสอบบัญชี มักเกี่ยวข้องกับความเสี่ยงทุจริต การรับรู้รายได้ การใช้อำนาจของผู้บริหารในการบันทึกรายการ ประมาณการที่ซับซ้อน รายการผิดปกติ การซื้อกิจการ ปัญหาการดำเนินงานต่อเนื่อง หรือรายการที่ไม่เกิดขึ้นเป็นประจำ ความเสี่ยงเหล่านี้มักต้องใช้วิธีตรวจที่เข้มขึ้นและมีเอกสารรองรับดุลยพินิจที่ชัดเจน


ขั้นตอนที่ห้าคือออกแบบวิธีตรวจสอบเพื่อตอบสนองความเสี่ยง ISA 330 กำหนดให้ผู้สอบบัญชีออกแบบและปฏิบัติงานตรวจสอบเพิ่มเติมเพื่อตอบสนองความเสี่ยงจากการแสดงข้อมูลผิดพลาดที่ประเมินไว้ หากความเสี่ยงต่ำและการควบคุมน่าเชื่อถือ ผู้สอบบัญชีอาจใช้การทดสอบการควบคุม การวิเคราะห์เชิงเนื้อหาสาระ และการตรวจรายละเอียดในขอบเขตที่เหมาะสม แต่หากความเสี่ยงสูงหรือการควบคุมอ่อนแอ ผู้สอบบัญชีควรเพิ่มการตรวจเนื้อหาสาระ ใช้หลักฐานจากภายนอกมากขึ้น เพิ่มขนาดตัวอย่าง หรือทำการตรวจใกล้วันสิ้นงวดมากขึ้น


ตัวอย่างเช่น หากผู้สอบบัญชีประเมินว่ารายได้มีความเสี่ยงสูง เพราะผู้บริหารมีแรงกดดันให้ทำยอดขายตามเป้า และมีใบลดหนี้จำนวนมากหลังวันสิ้นงวด ผู้สอบบัญชีอาจต้องตรวจการตัดรอบบัญชีอย่างละเอียด ตรวจสัญญาขาย ตรวจใบส่งสินค้า ตรวจใบลดหนี้หลังวันสิ้นงวด ตรวจรายการปรับปรุงบัญชี และใช้การวิเคราะห์ข้อมูลเพื่อค้นหารายการขายที่ผิดปกติ


ขั้นตอนที่หกคือทบทวนความเสี่ยงตลอดงานสอบบัญชี การประเมินความเสี่ยงไม่ใช่งานที่ทำครั้งเดียวตอนวางแผน หากระหว่างตรวจพบข้อผิดพลาดที่ไม่คาดคิด ข้อบกพร่องของการควบคุม คำอธิบายที่ไม่สอดคล้องกัน รายการบัญชีผิดปกติ หรือข้อมูลใหม่จากเหตุการณ์หลังวันสิ้นงวด ผู้สอบบัญชีควรปรับปรุงการประเมินความเสี่ยงและแก้ไขแผนการตรวจสอบให้เหมาะสม


ในทางปฏิบัติ การประเมินความเสี่ยงควรบันทึกในกระดาษทำการ เช่น Business Understanding Memo, Risk Assessment Matrix, Fraud Risk Assessment, Internal Control Understanding, Significant Risk Assessment, Audit Strategy Memo และ Audit Response Plan กระดาษทำการเหล่านี้ควรเชื่อมความเสี่ยงทางธุรกิจกับบัญชี ข้อกล่าวอ้าง ระดับความเสี่ยงที่ประเมิน และวิธีตรวจสอบที่วางแผนไว้อย่างชัดเจน


โดยสรุป ความเสี่ยงในการสอบบัญชีคือความเสี่ยงที่ผู้สอบบัญชีจะแสดงความเห็นไม่เหมาะสมเมื่องบการเงินมีข้อผิดพลาดที่มีสาระสำคัญ ผู้สอบบัญชีประเมินความเสี่ยงโดยทำความเข้าใจธุรกิจ ระบุจุดที่งบการเงินอาจผิดพลาด ประเมินความเสี่ยงสืบเนื่องและความเสี่ยงจากการควบคุม ระบุความเสี่ยงสำคัญ และออกแบบวิธีตรวจเพื่อลดความเสี่ยงที่ตรวจไม่พบให้อยู่ในระดับที่ยอมรับได้ งานสอบบัญชีที่ดีจึงไม่ได้เริ่มจากแบบตรวจสอบ แต่เริ่มจากความเข้าใจว่าตัวเลขในงบการเงินอาจผิดพลาดตรงไหนและเพราะอะไร

External References

  • IAASB — ISA 200, Overall Objectives of the Independent Auditor and the Conduct of an Audit in Accordance with International Standards on Auditing.
  • IAASB — ISA 315, Identifying and Assessing the Risks of Material Misstatement.
  • IAASB — ISA 330, The Auditor’s Responses to Assessed Risks.
  • IAASB — Audit Risk Standards and risk-based audit approach.
Comments
* The email will not be published on the website.