Kiểm toán nội bộ được hội đồng, quản lý, và các bên liên quan khác yêu cầu đưa ra các ý kiến cho mỗi báo cáo kiểm toán cũng như tổng quan về sự phù hợp của quản trị (governance), quản lý rủi ro (risk management), và kiểm soát (control) trong tổ chức. Những yêu cầu này có thể là 1 sự đảm bảo (assurance) hoặc 1 ý kiến ở cấp độ tổng quan toàn tổ chức vĩ mô (macro-level) hoặc là các thành phần cụ thể cho từng hoạt động vi mô (miro-level). Bài viết dưới đây FMIT sẽ giới thiệu một số thông tin cơ bản cho việc chuẩn bị và trình bày ý kiến kiểm toán nội bộ ở các cấp độ này. Chi tiết chương trình có thể tìm thấy trong các khóa học liên quan về kiểm toán nội bộ theo chuẩn IIA được tổ chức tại FMIT.
Kiểm toán nội bộ cần phải cung cấp các ý kiến của họ khi thực hiện các chương trình kiểm toán ở mức độ vi mô (micro) và vĩ mô (macro), bao gồm ý kiến về sự phù hợp của các chính sách, thủ tục, và quy trình để bổ trợ cho hoạt động quản trị (governance), rủi ro (risk management), và kiểm soát nội bộ (internal controls). Khi được kết xuất, các ý kiến này thường được ở dạng văn bản và sẽ có giá trị cao nhất nếu chúng ở hình thức đảm bảo tích cực (positive assurance), thi thoảng gọi là đảm bảo hợp lý (reasonable assurance). CAE là cá nhân phù hợp nhất để đưa ra ý kiến vĩ mô (macro) với cương vị của họ để có được các quan điểm rời rạc từ các kết quả kiểm toán ở mức độ vi mô (micro).
Các ý kiến có thể đưa ra bao gồm cả cấp độ vi mô (hoạt động cụ thể) và vĩ mô (trên phạm vi tổng thể), ví dụ như:
Khi đưa ra ý kiến kiểm toán nội bộ, CAE xem xét các tác động có thể với tổ chức nếu báo cáo đó có thể chuyển đến một số người sử dụng bên ngoài. Trong hoàn cảnh đó nó cần phải có tư vấn pháp lý phù hợp, cụ thể về thông tin bảo mật. Việc thảo luận với các bên liên quan bao gồm:
Đảm bảo tích cực (positive assurance) hoặc đảm bảo hợp lý (reasonable assurance) đưa ra mức độ cao nhất về đảm bảo và là 1 trong những loại ý kiến kiểm toán mạnh nhất. Trong ý kiến này, kiểm toán nội bộ phải có kết luận cụ thể, ví dụ, có hoặc không việc kiểm soát nội bộ hoạt động hiệu lực trong tình huống cụ thể hoặc rủi ro có được quản lý hiệu quả hoặc không.
Trong nhiều tình huống khác, việc diễn đạt ý kiến có thể bao gồm 1 phạm vi các mức độ (grades), trong đó trả lời các kiểm soát nội bộ hoặc quản trị rủi ro có hiệu lực không với một hệ thống thang đo. Ví dụ thường thấy là sử dụng thay màu (đỏ-vàng-xanh) hoặc sử dụng thang điểm (từ 1-4). Khi những thang này được sử dụng, chúng phải được sự đồng thuận và hiểu thống nhất trong tổ chức. Việc diễn đạt ý kiến cũng có thể bao gồm thông tin về hướng của ý kiến trong các kiểm toán trước đó. Ví dụ, ý kiến có thể chỉ ra rằng kiểm soát nội bộ hoặc quản trị rủi ro có thể đạt yêu cầu, nhưng hiệu quả có thể đã suy giảm từ kỳ kiểm toán trước đó.
Ý kiến đảm bảo tích cực cần phải có mức độ chứng cứ cao nhất. Có nghĩa là không chỉ quy trình giảm rủi ro hoặc các kiểm soát là đầy đủ và hiệu lực mà còn phải chỉ ra chứng cứ thu thập được để có một sự chắc chắn. Kiểm toán nội bộ phải có đầy đủ trách nhiệm trong việc tìm ra các chứng cứ áp dụng nguyên tắc thận trọng. Sự đảm bảo tích cực giúp người đọc có mức độ tin tưởng và thỏa mái hơn trong thông tin. Vì thế, hoạt động kiểm toán nội bộ thường được yêu cầu cung cấp những ý kiến như vậy.
Với ý kiến vĩ mô thường được đưa ra tại một thời điểm nhất định (ví dụ hàng năm), các chứng cứ bổ trợ thường được bổ sung theo thời gian và dựa vào kết quả của nhiều chương trình làm việc, thực hiện bởi những nhóm khác nhau, và ý kiến không chính thức. Ý kiến cấp độ vĩ mô có thể phát triển và thay đổi khi các chương trình kiểm toán hoàn chỉnh và chứng cứ mới thêm vào (bao gồm kết quả hoặc ngoại trừ). Trong một vài tình huống, kiểm toán nội bộ có thể không đạt được chứng cứ đầy đủ (do giới hạn nguồn lực) để bổ trợ cho ý kiến vĩ mô. Vì thế, chỉ có thể có được ý kiến vĩ mô bị giới hạn (limited macro opinion); ví dụ, ý kiến về tuân thủ luật môi trường có thể bị giới hạn khi loại trừ việc đánh giá vấn đề tuân thủ với quy trình xả thải. Những ý kiến giới hạn nên được ghi nhân trước trong quá trình lập kế hoạch, vì thế các bên liên quan hiểu được giới hạn của các ý kiến.
Diễn đạt ý kiến vĩ mô có thể là một nhiệm vụ phức tạp. Nó yêu cầu phải có phương pháp luận và lập kế hoạch:
Diễn đạt ý kiến vi mô thường là kết quả trong một nhiệm vụ kiểm toán nội bộ cụ thể. Trong những nhiệm vụ này có thể là liên quan đến kiểm soát của một quy trình cụ thể, rủi ro, hoặc bộ phận cụ thể. Việc hình thành ý kiến như vậy yêu cầu xem xét kết quả kiểm toán và đánh giá mức độ (rating) tương ứng của chúng. Ý kiến vi mô thường ít phức tạp hơn ý kiến vĩ mô. Các khảo sát gần đây chỉ ra rằng hầu hết các tổ chức kiểm toán trên thế giới đưa ra các ý kiến vi mô, sử dụng hệ thống thang điểm (rating/grading system) để diễn giải ý kiến tổng quan. Tuy nhiên, cũng cho thấy rằng nhiều tổ chức kiểm toán không phát triển các khung tiêu chí đánh giá một cách chính thức để đưa ra kết luận của họ.
Trong vài tổ chức, kiểm toán nội bộ đưa ra ý kiến vĩ mô (macro) về rủi ro và tổ chức ở tổng thế, và ý kiến vi mô (micro) có thể không quan trọng đối với quản lý cấp cao hoặc hội đồng vì họ chỉ quan tâm về mặt tổng thể. Trong tình huống này, việc quản lý sự mong đợi của các bên liên quan bên dưới quản lý cấp cao là quan trọng vì lĩnh vực kiểm toán sẽ tạo ra báo cáo và ý kiến cho lĩnh vực cụ thể đáp ứng yêu cầu các bộ phận này.