Tải bản đầy đủ (.pdf) (124 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Kinh tế

LUẬN VĂN THẠC SĨ : VẬN DỤNG CHUẨN MỰC QUỐC TẾ ĐỂ XÂY DỰNG QUY TRÌNH VÀ THỦ TỤC KIỂM TOÁN HỆ THỐNG CÔNG NGHỆ THÔNG TIN TRONG KIỂM TOÁN BÁO CÁO TÀI CHÍNH TẠI VIỆT NAM

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.62 MB, 124 trang )

B GIÁO DC VÀ ÀO TO
TRNG I HC KINH T TP. H CHÍ MINH
•



NG THÁI NGC KHIÊM












LUN VN THC S KINH T






TP. H Chí Minh – Nm 2014

VN DNG CHUN MC QUC T  XÂY DNG
QUY TRÌNH VÀ TH TC KIM TOÁN H THNG
CÔNG NGH THÔNG TIN TRONG KIM TOÁN BÁO


CÁO TÀI CHÍNH TI VIT NAM
B GIÁO DC VÀ ÀO TO
TRNG I HC KINH T TP. H CHÍ MINH
•



NG THÁI NGC KHIÊM











Chuyên ngành : K toán
Mã s : 60340301

LUN VN THC S KINH T

NGI HNG DN KHOA HC:
PGS.TS PHM VN DC

TP. H Chí Minh – Nm 2014
VN DNG CHUN MC QUC T  XÂY DNG
QUY TRÌNH VÀ TH TC KIM TOÁN H THNG

CÔNG NGH THÔNG TIN TRONG KIM TOÁN BÁO
CÁO TÀI CHÍNH TI VIT NAM
LI CAM OAN

Tôi xin cam đoan đây là công trình nghiên cu ca riêng tôi. Kt qu nêu trong lun
vn là trung thc và cha tng đc công b trong bt c công trình nghiên cu
nào.

NG THÁI NGC KHIÊM
MC LC

Trang ph bìa
Li cam đoan
Mc lc
Danh mc vit tt
Danh mc các bng
Danh mc hình v
PHN M U 1
1. Tính cp thit ca đ tài 1
2. Tng quan các vn đ nghiên cu 4
3. Mc tiêu lun vn 8
4. Phng pháp nghiên cu 8
5. Phm vi và đi tng nghiên cu 10
6. Các đóng góp ca lun vn 10
7. Trình bày và kt cu lun vn 11
CHNG 1: QUY TRÌNH VÀ TH TC KIM TOÁN CÔNG NGH
THÔNG TIN 12
1.1 KIM TOÁN CÔNG NGH THÔNG TIN 12
1.1.1 Quá trình hình thành, phát trin ca kim toán CNTT. 12
1.1.2 Mc tiêu và vai trò ca kim toán h thng công ngh thông tin 14

1.2 QUY TRÌNH VÀ TH TC KIM TOÁN CÔNG NGH THÔNG TIN 19
1.2.1 Lp k hoch kim toán 19
1.2.2 Thc hin kim toán và đánh giá 24
CHNG 2: THC TRNG QUY TRÌNH VÀ CÁC TH TC KIM TOÁN
CNTT TRONG KIM TOÁN BCTC ÁP DNG TI VIT NAM 43
2.1 C S PHÁP LÝ CHO VIC KIM TOÁN CNTT TI VIT NAM 43
2.2
THC TRNG XÂY DNG QUY TRÌNH VÀ TH TC KIM TOÁN
CNTT TRONG CUC KIM TOÁN BCTC CA CÁC CÔNG TY KIM
TOÁN VIT NAM
47
2.2.1 Mc tiêu kho sát 47
2.2.2 i tng, thi gian và phm vi kho sát 48
2.2.3 Phng pháp kho sát 48
2.2.4 Kt qu kho sát 49
2.2.5 Minh ha quy trình và th tc kim toán CNTT trong mt cuc kim toán
BCTC 51
CHNG 3: VN DNG XÂY DNG QUY TRÌNH VÀ TH TC KIM
TOÁN CNTT TRONG KIM TOÁN BCTC TI VIT NAM 55
3.1 GII PHÁP CHUNG 55
3.2 GII PHÁP C TH 59
3.2.1. Ban hành các khái nim liên quan đn kim toán CNTT 59
3.2.2. Chun hóa quy trình lp k hoch và thc hin kim toán CNTT theo chun
mc quc t 60
3.2.3. Phi hp vi các bên liên quan xây dng đng b c s h tng và kin trúc
liên quan 62
KT LUN 63
TÀI LIU THAM KHO
PH LC
DANH MC VIT TT


AICPA: Hip hi K toán viên công chng Hoa K
BCTC: Báo cáo tài chính
CEO: Giám đc điu hành doanh nghip
COBIT (Control Objectives for Information and related Technology): Kim soát
các vn đ đi vi thông tin và k thut liên quan.
COSO (the Committee of Sponsoring Organizations of Treadway Commission): y
ban chng gian ln báo cáo tài chính
CNTT: Công ngh thông tin
ERP (Enterprise resource planning): H thng hoch đnh ngun lc doanh nghip
CNTT: H thng công ngh thông tin
HSBC (Hongkong and Shanghai Banking Corporation): Tp đoàn Ngân hàng Hng
Kông và Thng Hi
ISACA (Information Systems Audit and Control Association): Hip hi kim soát
và kim toán h thng thông tin.
IT (Information Technology): Công ngh thông tin
ITAF (IT Assurance Framework): Khuôn mu đm bo công ngh thông tin
KTV: Kim toán viên
VAS (Vietnamese Accounting Standard): Chun mc k toán Vit Nam
VN: Vit Nam
VSA (Vietnamese Standards on Auditing): Chun mc kim toán Vit Nam

DANH MC CÁC BNG

Bng 1.1: Phân loi kim soát h thng tng quát (General IT Control)
Bng 1.2: Hiu qu các loi th nghim tng ng vi các kim soát ng dng
Bng 2.1: S lng công ty kim toán đã thc hin kim toán CNTT trong cuc
kim toán BCTC
Bng 2.2: S lng khách hàng trong nm 2012 ca 6 công ty kim toán ln ti
Vit Nam


DANH MC HÌNH V

Hình 1.1: Quy trình lp k hoch và thc hin kim toán CNTT
Hình 1.2: Quy trình thc hin kim toán CNTT trong cuc kim toán BCTC
Hình 1.3: Phân loi kim soát x lý (Process control)
Hình 1.4: Kim soát h thng tng quát (General IT Control)
Hình 1.5: La chn thc hin th nghim kim soát h thng tng quát tng ng
vi các ng dng KTV s s dng
Hình 1.6: Mi tng quan ca kim soát ng dng vi kim soát h thng tng quát




1
PHN M U

1. TÍNH CP THIT CA  TÀI
H thng thông tin k toán thu thp d liu và x lý thông tin k toán nhm mc
tiêu cung cp cho ngi s dng bên trong và bên ngoài doanh nghip các vn đ
tài chính doanh nghip đ t đó đa ra các quyt đnh phù hp. Cht lng thông
tin k toán nh hng trc tip đn cht lng và hiu qu quyt đnh ca ngi s
dng thông tin. Vì th, cht lng thông tin k toán đc quan tâm hàng đu trong
hot đng qun tr. Ti Hoa K, đo lut Sarbanes Oxley (2002) đc xây dng
nhm bo v li ích ca các nhà đu t vào các công ty đi chúng bng cách buc
các công ty này phi ci thin s đm bo và tin tng vào các báo cáo, các thông
tin tài chính công khai; các hip hi t chc ngh nghip cng ln lt đa ra các
nghiên cu và báo cáo v khuôn mu, chun mc đ đm bo cht lng thông tin
k toán.
Trc s đa dng và quan trng ca thông tin k toán, ngi s dng phát sinh nhu

cu đc cung cp các dch v bo đm t bên th ba đc lp khách quan có trình
đ chuyên môn cao và đc pháp lut cho phép hot đng. Các đn v kim toán ra
đi đáp ng nhu cu trên cùng vi các loi hình dch v đm bo ph bin đc
phân loi theo chc nng nh sau: kim toán báo cáo tài chính, kim toán tuân th
và kim toán hot đng. Vi bt k loi hình kim toán nào, khi đi tng đ kim
toán viên thc hin các th tc kim toán là h thng công ngh thông tin, phm trù
“kim toán h thng công ngh thông tin” xut hin vi khái nim c th và ni
dung là nhng quy trình, th tc cht ch nhm mc đích thu thp bng chng và
đánh giá bng chng v các hot đng ca h thng thông tin đã đc t chc. Vic
đánh giá các bng chng phi đm bo rng hot đng ca h thng y đc bo
mt, chính trc, hu hiu và hiu qu nhm đt đc các mc tiêu ca t chc đã đ
ra. Công vic này đc thc hin chung vi vic kim toán báo cáo tài chính, kim
toán ni b hay kim toán vì mc đích khác.


2
Cùng vi s bùng n ca ngành công ngh thông tin, các công ty phát trin và cung
cp gii pháp qun tr cho ra đi hàng lot h thng qun lý tích hp sâu vào tng
hot đng ca doanh nghip nhm thu thp, x lý, cung cp chính xác, kp thi các
thông tin tài chính trong doanh nghip, bao gm c thông tin k toán nhm đáp ng
nhu cu s dng thông tin ca nhiu đi tng. Các h thng trên đc gi chung
vi tên gi “H thng hoch đnh các ngun lc doanh nghip” (Enterprise
Resource Planning – ERP). Thut ng ERP đc Gartner Group of Stamford, CT,
USA s dng t nhng nm đu ca thp niên 70 ca th k trc (1970s) nhm
mô t h thng phn mm doanh nghip đc hình thành và phát trin t nhng h
thng qun lý và kim soát kinh doanh giúp doanh nghip hoch đnh và qun lý
các ngun lc bên trong và bên ngoài doanh nghip. Vic ng dng ERP rng rãi
bi các doanh nghip chng t hiu qu kinh t mà h thng này mang li dn đn
kim toán CNTT càng tr nên ph bin và là mt phn không th tách ri trong các
cuc kim toán.

Tuy nhiên, xu th trên ch mi bt đu din ra ti Vit Nam trong nhng nm gn
đây vi quy mô nh. Giai đon 2008, theo báo cáo tình hình ng dng CNTT –
Truyn thông trong doanh nghip, ch có 3.48% doanh nghip ng dng ERP
(www.itb.vn
1
); ti thi đim tháng 02/2010, có 102 doanh nghip Vit Nam đã thc
hin thành công ERP (Nguyn Th Bích Liên, 2012). Mt khác, công vic kim toán
quy trình và h thng công ngh thông tin đòi hi kim toán viên phi có kin thc
tài chính k toán, đng thi phi có kin thc v h thng thông tin cng nh am
hiu v các ng dng ERP ph bin ti Vit Nam cng nh đang đc s dng rng
rãi trên th gii.
Do đó, kim toán CNTT vn còn là mt khái nim mi ti Vit Nam và cha đc
hng dn bi Hi kim toán viên hành ngh Vit Nam (Vietnam Association of
Certified Public Accountants - VACPA); các cuc kim toan CNTT hin nay vn
da trên vic xem xét tính tuân th các th tc, các quy đnh trong ni quy ti đn
1
Vin Tin hc Doanh nghip, Phòng Thng mi và Công nghip Vit Nam (VCCI-ITB)



3
v thuc nhng tp đoàn quc t đu t vào Vit Nam đã xây dng sn h thng
kim soát ni b cht ch và áp dng các quy đnh ni b trong tp đoàn cho tt c
đn v thành viên ti mi quc gia. i vi các doanh nghip khác trong nc, ch
có Ngân hàng Nhà nc Vit Nam quy đnh v quy trình kim toán hot đng qun
lý, s dng h thng công ngh thông tin ti các đn v ngân hàng nhà nc (Vn
bn s 4918/Q-NHNN, 2012). Nh vy, khi thc hin cuc kim toán, kim toán
viên vn da vào hng dn trong b chun mc kim toán Vit Nam là Chun
mc s 401 – Thc hin kim toán trong môi trng tin hc, Chun mc s 500 –
Bng chng kim toán và Chun mc s 610 – S dng công vic ca chuyên gia

cng nh áp dng các chun mc t b khuôn mu kim toán h thng (ITAF,
2013) hoc da vào mô hình kim soát CobiT
2
làm cn c so sánh, đi chiu tuân
th. Hin nay, đã có 17 chun mc kim toán và đm bo h thng (IS Audit and
Assurance Standards, 2013) đc ISACA ban hành và 18 d tho hng dn (IS
Audit and Assurance Guideline) đang hoàn tt các th tc cui cùng đ đc ban
hành chính thc.
T tm quan trng ca vn đ cng nh s lng nghiên cu cha nhiu, lun vn
chn đ tài “Vn dng chun mc quc t đ xây dng quy trình và th tc kim
toán h thng công ngh thông tin trong kim toán báo cáo tài chính ti Vit
Nam”.
Lun vn đ cp ti các quy trình và th tc kim toán h thng công ngh thông tin
đang đc áp dng hin nay ti Vit Nam và khon cách so vi các chun mc
đc áp dng quc t. Da vào kt qu kim toán h thng, kim toán viên có c s
đ đánh giá quá trình tuân th và qun tr h thng đi vi doanh nghip tích hp
sâu công ngh thông tin vào công tác qun lý, c th là các doanh nghip trin khai
2
CobiT –Control Objectives for Information and related Technology- do Vin qun lý công ngh thông tin
(IT Governance Institute) thuc Hip hi v kim soát và kim toán HTTT (ISACA-Information System
Audit and Control Association) ban hành nm 1996. COBIT nhn mnh đn kim soát trong môi trng tin
hc



4
ERP, t đó to c s đ đa ra kt lun v báo cáo tài chính ca doanh nghip đc
kim toán.
2. TNG QUAN CÁC VN  NGHIÊN CU
Nh đã đ cp, t l trin khai và ng dng ERP ca các doanh nghip ti Vit Nam

còn tng đi khiêm tn, mt khác kim toán viên không nhng phi có kin thc
tài chính k toán, đng thi li phi có kin thc vng chc v nhiu h thng công
ngh thông tin khác nhau, do đó cha có nhiu bài vit và nghiên cu đc thc
hin ti môi trng Vit Nam v lnh vc kim toán h thng công ngh thông tin
mt cách trc tip, ch yu các ngun tài liu đc dch t nc ngoài và các bài
nghiên cu v hot đng kim soát thông tin trong môi trng tin hc hóa ti doanh
nghip. Tuy nhiên, do hot đng kim toán CNTT có nhiu đim tng đng vi
hot đng kim soát thông tin, nên các nghiên cu đó cng có đóng góp đáng k
cho vic hình thành và xây dng chun mc kim toán h thng công ngh thông
tin vn còn đang b ng ti Vit Nam.
Cng chính vì th, các hng dn kim toán h thng công ngh thông tin hin ti
đc mô t chung trong quy trình kim toán báo cáo tài chính hoc quy trình kim
soát ni b và cha tách h thng thông tin thành mt thc th cn đc kim toán
và ra ý kin riêng bit, mc dù phm vi áp dng ca chun mc kim toán Vit Nam
s 401 – Thc hin kim toán trong môi trng tin hc (VSA 401) khng đnh kh
nng vn dng ca chun mc cho mc đích “kim toán thông tin tài chính khác và
các dch v có liên quan ca công ty kim toán trong môi trng tin hc ca khách
hàng” (on 3, VSA 401), tuy nhiên chun mc trên đã ht hiu lc t đu nm
2014 và không có chun mc tng ng trong b 37 chun mc kim toán mi ca
Vit Nam
3
. Chun mc cng đ cp đn vn đ k nng và nng lc ca kim toán
3
Chun mc kim toán Vit Nam s 401 – Thc hin kim toán trong môi trng tin hc - Ban hành và công
b theo Quyt đnh s 195/2003/Q-BTC ngày 28 tháng 11 nm 2003 ca B trng B Tài chính và có
hiu lc thi hành t tháng 12/2003 đn ht tháng 12/2013. Không có chun mc tng ng trong b 37 chun
mc kim toán Vit Nam đc ban hành theo Thông T 214 /2012/TT-BTC ngày 6 tháng 12 nm 2012 ca
B Tài chính.




5
viên và công ty kim toán đ có th thõa mãn yêu cu trong vic đánh giá ri ro và
kim soát ni b theo hng dn ca chun mc kim toán Vit Nam s 400 –
ánh giá ri ro và kim soát ni b và phân tích bn cht và đc đim các ri ro
nh sau:
- Thiu du vt ca các giao dch
- Quy trình x lý thng nht các giao dch
- S phân chia các chc nng b hn ch
- Kh nng ca sai sót và không tuân th
- T to và thc hin các giao dch
- S ph thuc ca các bc kim soát khác đi vi quá trình x lý thông tin
bng máy tính
- Tng kh nng giám sát ca Ban Giám đc
- Tng kh nng s dng k thut kim toán đc máy tính tr giúp
Da nhng đc đim và bn cht trên, kim toán viên và công ty kim toán phi
xem xét môi trng tin hc trong vic thit lp các th tc kim toán đ gim ri ro
kim toán thp đn mc có th chp nhn đc. Và trong trng hp h thng có
tính phc tp cao, cn xem xét vic s dng s giúp đ ca chuyên gia thành tho
nhng k nng cn thit trong khi lp k hoch và kim toán viên phi thu thp đy
đ bng chng kim toán thích hp đ đm bo rng công vic ca chuyên gia thc
hin là đúng mc đích ca cuc kim toán, tuân th theo Chun mc kim toán Vit
Nam s 620 – S dng t liu ca chuyên gia
4
. (on 6, VSA 401).
VSA 401 có vai trò quan trng nh là hng dn đu tiên và là nn móng cho hot
đng kim toán CNTT, to tin đ cho các chun mc khác ra đi, đc bit trong
4
Chun mc kim toán Vit Nam s 620 – S dng t liu ca chuyên gia - Ban hành và công b theo Quyt
đnh s 195/2003/Q-BTC ngày 28 tháng 11 nm 2003 ca B trng B Tài chính và có hiu lc thi hành

t tháng 12/2003 đn ht tháng 12/2013 và đc thay th bng Chun mc kim toán Vit Nam s 620 – S
dng công vic ca chuyên gia trong b 37 chun mc kim toán Vit Nam đc ban hành theo Thông T
214 /2012/TT-BTC ngày 6 tháng 12 nm 2012 ca B Tài chính



6
bi cnh 37 chun mc kim toán Vit Nam đc xây dng theo chun mc quc t
đc ban hành bi b Tài chính bt đu có hiu lc t nm 2014.
Do hot đng xem xét môi trng tin hc ca doanh nghip trong vic lp k hoch
và thit lp các th tc kim toán có quan h cht ch vi hot đng kim soát ni
b ca doanh nghip. Trong bài vit đng trên cng thông tin khoa k toán ca i
hc Duy Tân (www.kketoan.duytan.edu.vn), H Tun V đã đa ra gii pháp hn
ch ri ro tim n đi vi hot đng kim soát trong môi trng tin hc. Bài vit
phân loi các ri ro da trên nguyên nhân nh sau:
- Xut phát t thit b phn cng
- Xut phát t s vn hành ca h thng mng
- Xut phát t s thit k ca phn mm ng dng
- Xut phát t công vic lu tr d liu
- Xut phát t s tác đng bên ngoài và s không trung thc ca con ngi
Qua nhn đnh v các nguyên nhân đó, tác gi đa ra gii pháp hn ch các ri ro
tim n đi vi hot đng kim soát trong môi trng tin hc cho doanh nghip
bng vic thc hin hai mc tiêu chính:
- Thc hin hot đng kim soát chung bao gm: kim soát con ngi, kim
soát vt cht, vn hành máy tính
- Thc hin hot đng kim soát ng dng thông qua ràng buc trách nhim
vi các đi tng có liên quan nh doanh nghip, nhà cung cp phn mm,
b phn k thut.
Song song vi vic quy đnh rõ trách nhim cho tng đi tng, tác gi còn đ xut
gii pháp kim soát d liu t khâu đu vào, khâu x lý và giai đon có thông tin

đu ra. C th nh vic thit lp chính sách an ninh h thng, kim soát nhp liu đ
đm bo cht lng d liu đu vào, kim soát các chc nng t đng ca phn
mm, các thc x lý s liu đ trong quá trình x lý d liu và kim tra đi chiu
vi các thông tin đu ra. Hn ch ca bài vit không đ cp đn phng thc thc


7
hin c th mà ch đa ra các ý tng chính trong vic thc hin hot đng kim
soát đc khoa hc và có tính bao ph rng nhm hn ch ri ro.
Vn đ ri ro đc xem xét trên nhiu khía cnh khác nhau, đa dng v nguyên
nhân cng nh tính cht, tuy nhiên mc tiêu chính ca vic xây dng môi trng tin
hc trong doanh nghip dùng to nn tng đ phát trin các h thng thông tin nói
chung và h thng thông tin k toán nói riêng nhm cung cp thông tin k toán mô
t các vn đ tài chính ca doanh nghip. Chính vì th, cht lng thông tin tr
thành mt đi tng đc nghiên cu. Thông tin có hn 20 thuc tính, bao gm các
thuc tính đc đ cp nhiu nht nh tính chính xác, nht quán, an ninh, kp thi
v.v… (Knight and Burn, 2005). Thông tin đc xem nh có cht lng khi các
thuc tính đc bo toàn, không b thay đi qua quá trình x lý và đn tay ngi s
dng, chính vì th các nhân t nh hng đn cht lng thông tin nói chung và
thông tin k toán nói riêng trong môi ng dng tin hc ti doanh nghip, đc bit
khi doanh nghip trin khai h thng hoch đnh ngun lc doanh nghip ERP đc
phân tích nhm to c s cho vic xây dng hot đng kim soát (Nguyn Bích
Liên, 2012). Trong quá trình phân tích và kho sát, Nguyn Bích Liên đã nhn đnh
ra đc mt s nhân t mi và đa ra phng pháp c th đ kim soát các nhân t
đ đm bo cht lng thông tin k toán nhm phc v các mc đích ca ngi s
dng.
Nh vy, các đ tài, bài vit cng nh công trình nghiên cu hin có đã tip cn hu
ht các khía cnh ca h thng công ngh thông tin ti doanh nghip, cng nh đa
ra đc các bin pháp đ kim soát h thng nhm đm bo các mc tiêu ban đu
h thng đc thit k. Tuy nhiên vn cha làm rõ khái nim kim toán CNTT cng

nh đa ra đc quy trình và th tc c th nói chung và áp dng cho kim toán
BCTC nói riêng. Do đó, lun vn s c gng gii quyt các vn đ trên.


8
3. MC TIÊU LUN VN
- Làm rõ phm trù kim toán CNTT thông qua vic tìm hiu khái nim và
phân tích các ni dung; c th là quy trình và th tc kim toán theo hng
dn ca khuôn mu kim toán h thng ITAF.
- Thc trng xây dng quy trình và áp dng các th tc kim toán h thng
công ngh thông tin trong cuc kim toán BCTC ti Vit Nam thông qua
kho sát ti các công ty kim toán.
- Kin ngh xây dng h thng chun mc kim toán CNTT phù hp vi môi
trng Vit Nam nhm rút ngn khon cách k vng kim toán trong cuc
kim toán BCTC.
4. PHNG PHÁP NGHIÊN CU
 đt đc mc tiêu đ ra, lun vn cn gii quyt ba vn đ chính có quan h cht
ch nhau, đó là: (1) Phm trù kim toán CNTT và các ni dung hng dn ca
khuôn mu kim toán h thng ITAF. Mc đích ca phn này là làm rõ khái nim,
cng nh quy trình xây dng và th tc kim toán h thng công ngh thông tin da
theo chun mc quc t; (2) Thc trng áp dng ti Vit Nam thông qua kho sát
quy trình và th tc thc hin kim toán CNTT trong cuc kim toán BCTC ti các
công ty kim toán. Mc đích ca phn này làm rõ công vic thc t ca kim toán
viên khi thc hin cuc kim toán vi các loi hình doanh nghip khác nhau. (3)
Kin ngh xây dng h thng chun mc kim toán CNTT phù hp vi môi trng
Vit Nam. Mc đích ca phn này ch ra các khon cách k vng gia khách hàng,
các chun mc hin ti và thc t ti Vit Nam nhm đ xut gii pháp rút ngn
khon cách cng nh kin ngh xây dng b chun mc va phù hp vi môi
trng Vit Nam va đng b vi th gii.
 gii quyt vn đ (1) Phm trù kim toán CNTT và các ni dung hng dn ca

khuôn mu kim toán h thng ITAF. Lun vn s dng phng pháp so sánh các


9
lý thuyt nn v kim toán CNTT, các quan đim ca các t chc ngh nghip có
tính quc t hay các c quan qun lý nhà nc.
 gii quyt vn đ (2) Thc trng áp dng ti Vit Nam. Lun vn s dng
phng pháp thc nghim thông qua vic kho sát các th tc và quy trình kim
toán đã áp dng ti các loi hình doanh nghip ti các cuc kim toán BCTC có ng
dng kim toán CNTT gn đây ti các công ty kim toán Vit Nam. Kt qu k
vng là các th tc và quy trình (nu có) thc hin tuân theo chun mc và hng
dn Quc t. Các khác bit s đc phân tích làm c s cho kin ngh.
 gii quyt vn đ (3) Kin ngh xây dng h thng chun mc kim toán CNTT
phù hp vi môi trng Vit Nam. Thông qua kt qu có đc khi gii quyt vn đ
(1) và (2), so sánh, tng kt và đánh giá.


10
5. PHM VI VÀ I TNG NGHIÊN CU
Phm vi nghiên cu là các công ty kim toán Vit Nam cung cp dch v kim toán
BCTC cho các doanh nghip Vit Nam có tích hp sâu công ngh thông tin vào
công tác qun lý, c th là vic trin khai thành công H thng hoch đnh các
ngun lc doanh nghip ti đn v (ERP), các h thng MRP, MRP II v.v… có b
sung phân h Tài chính – K toán hoc các h thng tng đng do doanh nghip
t phát trin.
i tng nghiên cu là quy trình và th tc kim toán CNTT đc áp dng cho
các cuc kim toán BCTC thuc phm vi nghiên cu. i tng nghiên cu còn
bao gm các khuôn mu lý thuyt, các chun mc, hng dn đc ban hành bi
ISACA v kim toán h thng công ngh thông tin, các vn bn hng dn ca các
t chc có thm quyn, c quan nhà nc, hip hi ngh nghip.

6. CÁC ÓNG GÓP CA LUN VN
V mt lý thuyt, lun vn làm rõ khái nim kim toán CNTT vn còn rt mi ti
Vit Nam, kt ni quy trình và th tc kim toán t chun mc quc t vi thc
trng kim toán BCTC ti Vit Nam. T đó to nn tng cho các nghiên cu khác
v vic xây dng b chun mc kim toán CNTT ti Vit Nam.
Kt qu nghiên cu ca lun vn có giá tr tham kho đi vi các kim toán viên
trong vic xây dng k hoch kim toán các doanh nghip s dng ERP ti Vit
Nam.


11
7. TRÌNH BÀY VÀ KT CU LUN VN
Lun vn la chn phng pháp trình bày truyn thng vi ba phn chính. Kt cu
lun vn nh sau:
• Phn m đu: Gii thiu v các lý do chn la đ tài, mc tiêu nghiên cu,
phng pháp nghiên cu và kt cu đ tài.
• Chng 1: Quy trình và th tc kim toán h thng công ngh thông tin
• Chng 2: Thc trng quy trình và các th tc kim toán áp dng ti các
công ty kim toán ti Vit Nam
• Chng 3: Vn dng xây dng quy trình và th tc kim toán CNTT trong
kim toán BCTC ti Vit Nam.
• Kt lun chung lun vn.


12
CHNG 1: QUY TRÌNH VÀ TH TC KIM TOÁN H
THNG CÔNG NGH THÔNG TIN

1.1 KIM TOÁN CÔNG NGH THÔNG TIN
1.1.1 Quá trình hình thành, phát trin ca kim toán công ngh thông tin

Kim toán công ngh thông tin (CNTT) là mt phn ca quá trình kim toán tng
th, đó là mt trong nhng công c h tr đ qun tr tt doanh nghip. Khái nim
kim toán ra đi t rt lâu t nhng hình thc s khai ban đu vi vic kim tra tính
chính xác ca các ghi chép k toán cho đn nay, kim toán xut hin vi nhiu chc
nng khác nhau nh kim toán báo cáo tài chính, kim toán hot đng và kim toán
tuân th. Hot đng kim toán đã tri qua mt quá trình phát trin phc tp gn lin
vi các s kin lch s trên th gii và luôn đc hoàn thin đ đáp ng đc yêu
cu qun lý kinh t trong tng thi k.
Cùng vi s phát trin ca ngành công ngh thông tin và nhng ng dng ca máy
tính vào trong các hot đng ca doanh nghip, đnh cao là vic trin khai H thng
hoch đnh ngun lc doanh nghip (EPR). H thng đã tích hp các hot đng
kinh doanh ca nhiu vùng hot đng trong ni b doanh nghip thành mt h
thng chung vi mt c s d liu chung, nó bao gm các phân h c bn nhm h
tr các hot đng marketing, tài chính, k toán, sn xut và qun tr ngun nhân lc.
Không nhng th ERP hng ti lp k hoch và lch trình ti c ngi cung cp
ngun lc cho doanh nghip trên c s lp k hoch nhu cu và lch trình khách
hàng mt cách nng đng. Cng chính vì th, khi lng d liu phát sinh, đc x
lý và lu tr mi ngày thông qua các nghip v kinh t ti doanh nghip càng tr
nên phc tp và khó kim soát. Mt khác, các d liu trên là c s đ h thng
thông tin k toán đa ra kt qu là thông tin k toán vi vai trò ht sc quan trng
trong vic ra quyt đnh ca các nhà qun tr. Cht lng ca thông tin k toán trong
môi trng ng dng h thng công ngh thông tin nói chung và ERP nói riêng tr


13
thành vn đ quan tâm ca các nhà qun tr. Kim toán h thng công ngh thông
tin k toán ra đi trong bi cnh đó vi hình thc ban đu là Kim toán x lý d liu
đin t (Electronic Data Process Auditing) nh h qu tt yu ca vic trin khai
công ngh vào h thng k toán, sau đó đc phát trin rng rãi thành Kim toán h
thng công ngh thông tin (IT auditing) khi các h thng k toán đn gin đc

thay th dn dn theo quy mô m rng ca công ty bi các h thng phc tp vi
nhiu chc nng và phân h hn.
Các kim toán viên đu tiên trong lnh vc trên đã tp hp và thành lp Hip hi
kim toán viên x lý d liu đin t (Electronic Data Processing Auditors
Association) vào nm 1968 và là tin thân ca tin thân ca Hip hi kim toán đin
t hin nay. Mc tiêu ca hip hi bao gm vic xây dng các th tc kim toán
mu, chun mc và hng dn kim toán. n phm đu tiên ca hip hi vi tên
gi Control Objectives đc phát hành vào nm 1977 và đc bit đn rng rãi vi
tên gi CobiT (Control Objectives for Information and related Technology). Vào
nm 1944, hip hi đi tên thành Hip hi kim soát và kim toán h thng thông
tin (ISACA – Information Systems Audit and Control Association) đ phù hp vi
quy mô và hot đng ca hi trong môi trng thay đi nhanh chóng ca công
ngh. Vào nm 2008, hip hi đng ký tên vit tt ISACA tr thành tên hot đng
chính thc, thay th cho cm t “Hip hi kim toán và kim soát h thng thông
tin”. Mc tiêu chính ca ISACA vn bao gm vic xây dng các th tc, chun mc
và hng dn kim toán h thng công ngh thông tin, đào to và cp chng ch
hành ngh cho kim toán viên. Hin ti, ISACA đã ban hành b chun mc và
hng dn kim toán di tên gi là “Khuôn mu kim toán đin t” (ITAF – IT
Assurance Framework). B khuôn mu đc chia ra làm hai phn:
• Phn chun mc vi 17 chun mc đc chia làm 3 nhóm:
- Chun mc chung (nhóm chun mc 1000): bao gm các nguyên tc đc
thc hin khi hành ngh đm bo h thng thông tin. Nhóm chun mc quy
đnh v đo đc, đc lp, mc tiêu cng nh kin thc, nng lc và k nng


14
phù hp. V c bn, các chun mc này không có nhiu khác bit so vi b
chun mc kim toán quc t (ISA - International Standards on Auditing) do
IFAC (International Federation of Accountants) ban hành.
- Chun mc thc hành (nhóm chun mc 1200): bao gm các nguyên tc khi

lp k hoch, giám sát, phm vi kim toán, ri ro và mc trng yu, phân b
ngun lc, bng chng kim toán và đm bo, thc hành đánh giá chuyên
môn và thn trng.
- Chun mc báo cáo (nhóm chun mc 1400): đ cp đn các li báo cáo,
phng tin thông tin và các thông tin nên đc trao đi.
• Phn hng dn vi 15 hng dn
- Các hng dn đc son tho nhm to s liên kt gia các chun mc vi
nhau, đng thi liên kt gia chun mc vi CobiT nhm din gii c th
hn các nguyên tc trong các chun mc vi s hiu tng ng vi s hiu
ca chun mc và đc đánh s bt đu t 2000.
Các s hiu trong chun mc và hng dn ch có ý ngha đnh danh, không th
hin th t áp dng. Khi thc hin kim toán, kim toán viên phi xem xét các
chun mc và hng dn trong mi quan h tng quan và b tr ln nhau.
1.1.2 Mc tiêu và vai trò ca kim toán h thng công ngh thông tin
T khi ra đi cho đn nay, tuy thi gian phát trin ca kim toán CNTT tng đi
ngn so vi quá trình phát trin dài hàng trm nm ca ngh kim toán và s phát
trin đó gn lin vi s phát trin ca công ngh thông tin, kim toán CNTT đã tri
qua không ít thay đi.
Tuy không có đnh ngha thng nht trên th gii v khái nim kim toán CNTT
cho đn nay, nhiu tác gi đã mô t kim toán CNTT bng cách đa ra các phân loi
khác nhau v mc tiêu. Theo Goodman và Lawless (1994), có ba hng tip cn đ
hình thành nên kim toán CNTT bao gm:


15
- Kim toán quy trình đi mi công ngh (Technological innovation process
audit): Cuc kim toán này xây dng mt h s ri ro cho các d án hin có
và d án mi. Cuc kim toán s đánh giá mc kinh nghim ca doanh
nghip đi vi công ngh đã chn cng nh đ ph bin ca công ngh đó
trên th trng, trong cu trúc mi d án và trong th phn ca nn công

nghip ca d án đó.
- Kim toán so sánh ci tin (Innovative comparison audit): cuc kim toán
này đánh giá kh nng ci tin ca doanh nghip đc kim toán so vi đi
th ca nó. Cuc kim toán này cn s dng đánh giá ca các công ty và vin
nghiên cu phát trin cng nh các bn báo cáo theo dõi sn xut sn phm
mi trên thc t ca doanh nghip.
- Kim toán v th công ngh (Technological position audit): cuc kim toán
này đánh giá các công ngh mà doanh nghip đang s hu hoc cn trang b.
Giai đon 1994 là thi k vàng khi khoa hc máy tính không ch b gii hn phc
v trong các môi trng chuyên môn nh phòng nghiên cu, thí nghim, cc thng
kê, ngân hàng… mà dn dn tip cn doanh nghip và m rng sang ngi dùng
ph thông vi giá thành thit b r, s dng đn gin. Cách phân loi ca Goodman
và Lawless mang trng tâm là công ngh vì b nh hng nhiu bi s phát trin
ca khoa hc máy tính trong thi k này.
Ngoài ra, kim toán CNTT còn đc chia thành 5 nhóm theo đi tng kim toán
là:
- H thng và ng dng (Systems and Applications): Cuc kim toán xác
minh các h thng và các ng dng là phù hp, có hiu qu, và đc kim
soát đy đ đ đm bo tính hp l, đáng tin cy, kp thi và an toàn  đu
vào, x lý, và đu ra  tt c các cp đ hot đng ca h thng.
- Phng tin x lý thông tin (Information Processing Facilities): Cuc kim
toán xác minh các phng tin x lý đc kim soát đ đm bo x lý kp


16
thi, chính xác và hiu qu di các điu kin hot đng bình thng hoc
có kh nng b gián đon.
- Phát trin h thng (Systems Development): Cuc kim toán đ xác minh h
thng đc phát trin đáp ng các mc tiêu ca t chc, và đ đm bo rng
h thng đc phát trin phù hp vi các tiêu chun đc chp nhn chung

cho s phát trin h thng.
- Qun lý CNTT và kin trúc doanh nghip (Management of IT and Enterprise
Architecture): Cuc kim toán xác minh ban qun lý CNTT đã phát trin mt
c cu có trt t và xây dng th tc đ đm bo mt môi trng kim soát
hiu qu cho hot đng x lý thông tin.
- Máy khách/máy ch, mng vin thông, mng ni b và mng ni b m rng
(Client/Server, Telecommunications, Intranets, and Extranets): Cuc kim
toán xác minh các kim soát vin thông đã đc thit lp ti máy khách (máy
tính nhn dch v), máy ch và trên mng kt ni các máy khách và máy ch.
Tuy vic phân loi kim toán CNTT khá đa dng và có nhiu quan đim, tuy nhiên
công vic chung ca kim toán CNTT vn xoay quanh hai khía cnh chính là vic
đánh giá kim soát chung môi trng và h thng đng thi kim soát ng dng.
Theo Weber (1998), kim toán CNTT là quy trình thu thp và đánh giá bng chng
đ xác minh mt h thng công ngh thông tin có đm bo an toàn tài sn, toàn vn
d liu, đt đc mc đích t chc mt cách hu hiu và tiêu th tài nguyên mt
cách hiu qu. Trong phm vi ca đ tài, các mc tiêu trên đc thc hin tng
phn và có chn lc nhm h tr cho mc tiêu chung ca toàn cuc kim toán là
đa ra ý kin trên BCTC ca đn v đc kim toán.
Ngày nay, h thng thông tin tr nên phc tp vi nhiu thành phn hp thành h
tr ln nhau đ đa ra gii pháp kinh doanh. Di bt k hình thc nào kim toán
CNTT mang li, s đm bo v h thng thông tin ch có th đt đc khi tt c các
thành t đc đánh giá và bo đm an toàn. Mc tiêu chính ca kim toán CNTT có
th đc phân loi nh sau:


17
- Soát xét yu t vt lý và môi trng (Physical and environmental review):
bao gm soát xét an toàn vt lý, ngun cung nng lng, điu hòa nhit đ,
kim soát đ m và các nhân t môi trng khác.
- Soát xét qun tr h thng (System administration review): bao gm kim tra

an ninh ti các h thng vn hành, h thng qun tr c s d liu, tt c các
th tc và tuân th v qun tr h thng.
- Soát xét ng dng phn mm (Application software review): các ng dng ,
phn mm kinh doanh có th bao gm phn mm tin lng, hóa đn, h
thng x lý đn hàng đt qua mng, hoc mt h thng qun tr ngun lc
đang điu hành doanh nghip. Soát xét các ng dng phn mm bao gm
kim soát và phân quyn truy cp, x lý li và các bt thng, lun x lý
kinh doanh bên trong ng dng, các th tc và kim soát th công b sung.
Thêm vào đó, soát xét vòng đi phát trin h thng cng nên đc tin hành.
- Soát xét an ninh h thng (Network security review): soát xét các liên kt
bên trong và bên ngoài h thng, bo mt bên ngoài, tng la, danh sách
truy cp router
5
, quét cng d liu và các hng dn phát hin.
- Soát xét kh nng hot đng kinh doanh liên tc (Business continuity
review): Bao gm vic xây dng kh nng trung hòa li và duy trì phn cng
d phòng, quy trình sao lu và lu tr d liu, lên k hoch và th nghim
khôi phc/phc hi kinh doanh sau thm ha.
- Soát xét tính toàn vn d liu (Data integrity review): Mc đích xem xét k
lng các d liu trong thi gian thc nhm xác đnh các kim soát và nh
hng ca các khuyt đim đã phát hin t nhng soát xét đã thc hin bên
trên. Nhng th nghim c bn có th đc thc hin bng cách s dng các
phn mm máy tính khái quát.
Tt c nhng yu t này cn đc gii quyt đ trình bày cho ban qun lý mt đánh
giá rõ ràng ca h thng. Ví d, phn mm ng dng có th đc thit k tt và
5
Router, hay thit b đnh tuyn hoc b đnh tuyn, là mt thit b mng máy tính dùng đ chuyn các gói
d liu qua mt liên mng và đn các đu cui, thông qua mt tin trình đc gi là đnh tuyn.
(


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×