Áp dụng kiểm toán công nghệ thông tin trong kiểm toán báo cáo tài chính do các công ty kiểm toán độc lập tại việt nam thực hiện
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (284.68 KB, 51 trang )
TRƯỜNG ĐẠI HỌC KINH TẾ QUỐC DÂN
VIỆN KẾ TOÁN – KIỂM TỐN
ĐỀ ÁN MƠN HỌC
CHUN NGÀNH KIỂM TỐN
Đề tài: Áp dụng Kiểm tốn cơng nghệ thơng tin trong Kiểm
tốn báo cáo tài chính do các cơng ty kiểm tốn độc lập tại
Việt Nam thực hiện
Họ tên sinh viên: ĐOÀN THỊ MINH HUYỀN
Lớp: Đề án mơn học - Kiểm tốn(219)_5
Mã số sinh viên: 11176113
Giáo viên hướng dẫn: TS. Bùi Thị Minh Hải
HÀ NỘI, 04/2020
MỤC LỤC
.........................................................................................................................................................1
MỤC LỤC.......................................................................................................................................2
DANH MỤC CÁC KÝ HIỆU VIẾT TẮT......................................................................................3
DANH MỤC BẢNG BIỂU.............................................................................................................4
LỜI MỞ ĐẦU..................................................................................................................................5
Chương 1........................................................................................................................................7
CƠ SỞ LÝ LUẬN CHUNG VỀ KIỂM TỐN CƠNG NGHỆ THƠNG TIN TRONG KIỂM
TỐN BÁO CÁO TÀI CHÍNH DO KIỂM TỐN ĐỘC LẬP THỰC HIỆN..........................7
1.1 Khái qt chung về Kiểm tốn báo cáo tài chính.............................................................7
1.1.1 Khái niệm kiểm tốn báo cáo tài chính...........................................................................7
1.1.2 Vai trị của Kiểm tốn báo cáo tài chính..........................................................................9
1.2
Khái qt chung về Kiểm tốn cơng nghệ thơng tin..................................................11
1.2.1 Khái niệm Kiểm tốn cơng nghệ thơng tin...................................................................11
1.2.2
Mục tiêu Kiểm tốn cơng nghệ thơng tin................................................................12
1.2.3
Phân loại kiểm tốn cơng nghệ thơng tin.................................................................13
1.2.4
Vai trị kiểm tốn cơng nghệ thơng tin.....................................................................15
1.3
Kiểm tốn cơng nghệ thơng tin trong kiểm tốn báo cáo tài chính..........................17
1.3.1 Nội dung kiểm tốn cơng nghệ thơng tin......................................................................17
1.3.2 Quy trình kiểm tốn cơng nghệ thơng tin......................................................................18
Chương 2:.....................................................................................................................................25
THỰC TRẠNG ÁP DỤNG KIỂM TỐN CƠNG NGHỆ THƠNG TIN TRONG KIỂM
TỐN BÁO CÁO TÀI CHÍNH DO CÁC CƠNG TY KIỂM TỐN ĐỘC LẬP TẠI VIỆT
NAM THỰC HIỆN......................................................................................................................25
2.1 Các quy định pháp lý cho kiểm tốn cơng nghệ thông tin tại Việt Nam.......................25
2.2 Thực trạng áp dụng Kiểm tốn cơng nghệ thơng tin trong các cuộc kiểm tốn báo
cáo tài chính..............................................................................................................................27
2.3 Minh họa áp dụng Kiểm tốn cơng nghệ thơng tin trong kiểm tốn báo cáo tài chính
thực hiện bởi công ty TNHH KPMG Việt Nam....................................................................29
Chương 3:.....................................................................................................................................44
NHẬN XÉT VÀ ĐỀ XUẤT KIẾN NGHỊ HOÀN THIỆN VIỆC ÁP DỤNG KIỂM TỐN
CƠNG NGHỆ THƠNG TIN TRONG KIỂM TỐN BÁO CÁO TÀI CHÍNH KIỂM TỐN
TÀI CHÍNH DO CÁC DOANH NGHIỆP KIỂM TOÁN ĐỘC LẬP TẠI VIỆT NAM THỰC
HIỆN.............................................................................................................................................44
3.1 Nhận xét chung về việc áp dụng Kiểm tốn cơng nghệ thơng tin trong các cuộc kiểm
tốn báo cáo tài chính..............................................................................................................44
3.1.1 Ưu điểm........................................................................................................................44
3.1.2 Nhược điểm..................................................................................................................45
3.2 Một số khó khăn trong việc thực hiện kiểm tốn cơng nghệ thơng tin tại Việt Nam...45
3.3 Kiến nghị hồn thiện áp dụng kiểm tốn cơng nghệ thơng tin trong kiểm tốn báo cáo
tài chính.....................................................................................................................................46
KẾT LUẬN....................................................................................................................................49
DANH MỤC TÀI LIỆU THAM KHẢO.......................................................................................50
DANH MỤC CÁC KÝ HIỆU VIẾT TẮT
Chữ
Viết tắt
Báo cáo tài chính
BCTC
KTV
KTV
Ban giám đốc
BGĐ
Chuẩn mực kiểm tốn
CMKT
Kiểm sốt nội bộ
KSNB
Doanh nghiệp kiểm tốn
DNKT
Kiểm tốn nhà nước
KTNN
Kiểm tốn nội bộ
KTNB
Cơng nghệ thơng tin
CNTT
Cơ sở dẫn liệu
CSDL
Bằng chứng kiểm toán
BCKT
DANH MỤC BẢNG BIỂU
Bảng 2.1 Các kiểm soát ứng dụng cho khoản mục và thuyết minh trọng yếu
Bảng 2.2 Các kiểm soát hệ thống tổng quát tương ứng với các kiểm soát ứng dụng đã
nhận diện
Bảng 2.3 Các kiểm soát hệ thống tổng quát tương ứng với các kiểm soát ứng dụng đã
nhận diện
Bảng 2.4 Thông tin tổng hợp của kiểm soát ứng dụng
LỜI MỞ ĐẦU
Với sự bùng nổ của Công nghệ thông tin (CNTT) hiện nay, ngày càng nhiều các tổ
chức ứng dụng hệ thống CNTT hiện đại trong hoạt động quản lý tài chính và các nghiệp
vụ. Do vậy, để thực hiện kiểm tốn địi hỏi phải có sự thay đổi phù hợp với môi trường
ứng dụng CNTT. Cùng với sự gia tăng của lượng người dùng máy tính và sự thay đổi
trong hệ thống kế toán, thuật ngữ Kiểm toán công nghệ thông tin ra đời nhằm đáp ứng
nhu cầu đó với mục đích thu thập bằng chứng và đánh giá bằng chứng về các hoạt động
của hệ thống thông tin đã được tổ chức
Trong kiểm toán báo cáo tài chính kiểm tốn CNTT đóng vai trị như một thủ tục
soát xét hệ thống nhằm hỗ trợ kiểm toán viên thực hiện kiểm toán BCTC thu thập bằng
chứng hoặc đưa ra đánh giá về các kiểm soát doanh nghiệp thiết lập.
Tuy nhiên, ở Việt Nam khái niệm về Kiểm toán cơng nghệ thơng tin vẫn cịn khá
mới mẻ trong khi đối với nhiều nước phát triển trên thế giới thì đây là một công việc đã
được thực hiện thường xuyên trong các cuộc kiểm tốn BCTC. Chính vì thế, nhận thấy
được tầm quan trọng và tính cấp thiết của Kiểm toán CNTT trong Kiểm toán BCTC, em
đã chọn đề tài:
“ Áp dụng Kiểm tốn cơng nghệ thơng tin trong Kiểm tốn báo cáo tài chính do các
cơng ty kiểm tốn độc lập tại Việt Nam thực hiện”
Nội dung đề án mơn học Kiểm tốn gồm 3 phần chính:
Chương 1: Cơ sở lý luận chung về kiểm tốn cơng nghệ thơng tin trong kiểm tốn
tài chính do kiểm tốn độc lập thực hiện
Chương 2: Thực trạng áp dụng kiểm tốn cơng nghệ thơng tin trong kiểm tốn báo
cáo tài chính do các doanh nghiệp kiểm toán độc lập tại Việt Nam thực hiện
Chương 3: Nhận xét chung và khuyến nghị nhằm hồn thiện việc áp dụng kiểm
tốn cơng nghệ thơng tin trong kiểm tốn báo cáo tài chính
Do còn nhiều hạn chế về mặt thời gian cũng như kiến thức và kinh nghiệm thực tế
nên không tránh khỏi những sai sót. Em mong nhận được sự giúp đỡ, góp ý của cơ để
hồn thiện hơn nữa đề án này
Em xin gửi lời cảm ơn sâu sắc tới Cơ giáo, TS. Bùi Thị Minh Hải đã tận tình chỉ
bảo, góp ý giúp em trong suốt q trình hồn thiện đề án này!
Chương 1
CƠ SỞ LÝ LUẬN CHUNG VỀ KIỂM TỐN CƠNG NGHỆ THƠNG TIN TRONG
KIỂM TỐN BÁO CÁO TÀI CHÍNH DO KIỂM TOÁN ĐỘC LẬP THỰC HIỆN
1.1 Khái quát chung về Kiểm tốn báo cáo tài chính
1.1.1 Khái niệm kiểm tốn báo cáo tài chính
“Kiểm tốn tài chính là hoạt động xác minh và bày tỏ ý kiến về các bảng khai tài
chính của các thực thể kinh tế do các KTV có trình độ nghiệp vụ tương xứng đảm nhận
và dựa trên hệ thống pháp lý đang có hiệu lực.” (Giáo trình Lý thuyết Kiểm tốn )
Theo chuẩn mực kiểm tốn Việt Nam, Kiểm tốn tài chính là một hoạt động đặc
trưng của kiểm toán, với mục tiêu cụ thể là “đưa ra ý kiến xác nhận rằng Báo cáo tài
chính có được lập trên cơ sở chuẩn mực và chế độ kế tốn hiện hành (hoặc được chấp
nhận), có tuân thủ pháp luật liên quan, có phản ánh trung thực và hợp lý trên các khía
cạnh trọng yếu hay khơng”
Đối tượng của kiểm tốn báo cáo tài chính
“Đối tượng trực tiếp của KTTC là cái Bảng khai tài chính. Bộ phận quan trọng của
những bảng khai này là BCTC. Trong kiểm tốn BCTC, có hai các cơ bản để phân chia
đối tượng kiểm toán thành các phần hành kiểm tốn khác nhau là: theo khoản mục và chu
trình
Thơng thường KTTC gồm các phần hành chính sau:
+ Kiểm tốn chu trình bán hàng và thu tiền
+ Kiểm tốn tiền mặt
+ Kiểm tốn chu trình mua hàng và trả tiền
+ Kiểm tốn chu trình tiền lương và nhân viên
+ Kiểm tốn hàng tồn kho
+ Kiểm toán đầu tư và chi trả
+ Kiểm tốn tiếp nhận và hồn trả vốn”
(Giáo trình Kiểm tốn tài chính ĐH Kinh tế Quốc Dân)
Khách thể và chủ thể của kiểm toán báo cáo tài chính
Chủ thể và khách thể trong kiểm tốn tài chính được xác định tùy thuộc vào từng
cuộc kiểm tốn cụ thể. Với các đơn vị sử dụng kinh phí hoặc vốn đầu tư từ ngân sách nhà
nước thì việc kiểm tốn các bảng khai tài chính thường do kiểm tốn nhà nước thực hiện.
Với các đơn vị cịn lại thuộc diện bắt buộc phải kiểm toán hàng năm với tư cách là một
cơng ty niêm yết thì chủ thể kiểm tốn bảng khai tài chính tương ứng sẽ là cơng ty hoặc
văn phịng kiểm tốn độc lập. Trong mối quan hệ nội kiểm phục vụ cho mục đích quản trị
nội bộ, việc kiểm tốn các bảng khai tài chính của các đơn vị thành viên trong một tổng
công ty, tập đồn,... thuộc về trách nhiệm của kiểm tốn nội bộ.
Mục tiêu kiểm tốn báo cáo tài chính
“ Mục tiêu tổng thể của kiểm toán viên và doanh nghiệp kiểm toán khi thực hiện
một cuộc kiểm toán báo cáo tài chính là:
(a)
Đạt được sự đảm bảo hợp lý rằng liệu báo cáo tài chính, xét trên phương
diện tổng thể, có cịn sai sót trọng yếu do gian lận hoặc nhầm lẫn hay khơng, từ đó giúp
kiểm tốn viên đưa ra ý kiến về việc liệu báo cáo tài chính có được lập phù hợp với
khn khổ về lập và trình bày báo cáo tài chính được áp dụng, trên các khía cạnh trọng
yếu hay khơng;
(b)
Lập báo cáo kiểm tốn về báo cáo tài chính và trao đổi thơng tin theo quy
định của chuẩn mực kiểm toán Việt Nam, phù hợp với các phát hiện của kiểm toán viên.
Trong trường hợp không thể đạt được sự đảm bảo hợp lý và ý kiến kiểm toán dạng ngoại
trừ là chưa đủ để cung cấp thông tin cho người sử dụng báo cáo tài chính dự kiến thì
chuẩn mực kiểm tốn Việt Nam yêu cầu kiểm toán viên phải từ chối đưa ra ý kiến hoặc
rút khỏi cuộc kiểm toán theo pháp luật và các quy định có liên quan.” ( Chuẩn mực kiểm
toán số 200 – Điểm 11,12)
Cơ sở tiến hành
Nhằm đạt được mục tiêu trên, kiểm toán viên phải dựa vào hệ thống chuẩn mực kế
toán (là cơ bản), chế độ kế toán hiện hành cùng hệ thống các văn bản pháp lý đang có
hiệu lực điều chỉnh hoạt động của khách thể kiểm toán. Do những người sử dụng bảng
khai tài chính thường là bên ngồi đơn vị được kiểm tốn, quan tâm đến thơng tin tài
chính với các mục đích khác nhau nên cơ sở thực hiện kiểm toán (hệ thống chuẩn mực)
cần phải đảm bảo tính thống nhất.
Kết quả kiểm tốn
Kết quả kiểm tốn phải thể hiện được ý kiến của chủ thể kiểm tốn về độ tin cậy
của thơng tin được trình bày trong bảng khai tài chính. Các kết luận này có thể được trình
bày trong biên bản kiểm tốn, và chủ yếu là trong báo cáo kiểm tốn.
Bên cạnh đó, kiểm tốn viên có thể cung cấp thêm các dịch vụ gia tăng như đưa ra
các lời khuyên hoặc tư vấn về hồn thiện kiểm sốt nội bộ hoặc hệ thống kế toán của
khách thể kiểm toán trong thư quản lý.
1.1.2 Vai trị của Kiểm tốn báo cáo tài chính
Thứ nhất, tạo niềm tin cho những người quan tâm
Trong cơ chế thị trường có nhiều người quan tâm tới tình hình tài chính và sự phản
ánh của nó trong tài liệu kế tốn. Những người quan tâm có thể kể đến là:
- Các cơ quan nhà nước: cần có những thơng tin trung thực để điều tiết nền kinh tế
vĩ mô
- Các nhà đầu tư: cần có tài liệu tin cậy để trước hết có hướng đầu tư đúng đắn,
sau đó điều hành, sử dụng vốn và cuối cùng là có những tài liệu trung thực về phân phối
kết quả đầu tư
- Người lao động cần có thơng tin đáng tin cậy về kết quả kinh doanh, ăn chia
phân phói và thực hiện chính sách tiền lương
- Khách hàng, nhà cung cấp và những người quan tâm khác cần hiểu rõ thực chất
kinh doanh về tài chính của các đơn vị về nhiều mặt
Có thể nói việc tạo niềm tin cho những người quan tâm là yếu tố quyết định sự ra
đời và phát triển của kiểm tốn tài chính với tư cách là một hoạt động độc lập
Thứ hai, góp phần hướng dẫn nghiệp vụ và củng cố nền hoạt động tài chính nói riêng và
hoạt động của đơn vị được kiểm tốn nói chung
Hoạt đdộng tài chính bao gồm những mối quan hệ đa dang, luôn biến đổi và được
cấu thành bởi hàng loạt nghiệp vụ cụ thể. Để hướng các nghiệp vụ này vào mục tiêu giải
quyết tốt các quan hệ trên khơng những cần có định hướng đúng và thực hiện tốt mà cịn
cần thường xun sốt xét việc thực hiện để hướng các nghiệp vụ vào quỹ đạo mong
muốn.
Thứ ba, góp phần nâng cao hiệu quả và năng lực quản lý
Rõ ràng kiểm tốn tài chính khơng chỉ có chức năng xác minh mà cịn có chức
năng tư vấn, đặc biệt trong những bước chuyển đổi cơ chế kinh tế có nhiều mối quan hệ
phức tạp này sinh. Do đó, chính sách trên cơ sở xây dựng đồng bộ và tổ chức thực hiện
tốt kiểm toán mọi lĩnh vực trên cơ sở tích lũy kinh nghiệm từ xác minh đi đến hoạt động
tư vấn sẽ giúp duy trì kỉ cương và đảm bảo phát triển đúng hướng
1.2
Khái quát chung về Kiểm tốn cơng nghệ thơng tin
1.2.1 Khái niệm Kiểm tốn cơng nghệ thơng tin
Kiểm tốn cơng nghệ thơng tin, tiền thân là Kiểm toán xử lý dữ liệu điện tử
(EDP), thuật ngữ này ra đời trong bối cảnh công nghệ thông tin ngày càng được áp dụng
rộng rãi vào hệ thống kế toán. Vào giữa những năm 1960, với sự thay đổi của các thiết bị
máy tính nhỏ gọn hơn và ít tốn kém hơn đã dẫn đến sự gia tăng việc sử dụng máy móc
trong các doanh nghiệp và sự xuất hiện của các loại hệ thống kế toán khác nhau. Điều
này đặt ra một nhu cầu rằng là Kiểm toán viên phải làm quen với khái niệm “ Dữ liệu
điện tử (EDP) ” trong các tổ chức. Năm 1968, các kiểm toán viên Big Eight (nay là Big
Four ) đã tham gia vào việc phát triển kiểm toán EDP. Cũng trong khoảng thời gian này,
các Kiểm toán viên đầu tiên trong lĩnh vực đã thành lập Hiệp hội kiểm toán xử lý dữ liệu
(EDPAA), sau này Hiệp hội Kiểm toán điện tử. Từ khi ra đời cho đến nay, tuy thời gian
phát triển của kiểm toán CNTT tương đối ngắn so với quá trình phát triển dài hàng trăm
năm của nghề kiểm tốn và sự phát triển đó gắn liền với sự phát triển của công nghệ
thông tin, kiểm tốn CNTT đã trải qua khơng ít thay đổi.
Mặc dù hiện nay chưa có định nghĩa thống nhất về khái niệm Kiểm tốn cơng
nghệ thơng tin, song theo chuẩn mực ISSAI 5300 ( ban hành tháng 2/2016) Kiểm toán
CNTT được định nghĩa là “việc kiểm tra hoặc xem xét hệ thống CNTT và các chốt kiểm
soát liên quan nhằm đảm bảo hoặc phát hiện những vi phạm liên quan đến các nguyên lý:
Tính hợp pháp, chính xác, tính hiệu lực, hiệu quả, kinh tế.”
Theo ASOSAI (tổ chức các cơ quan Kiểm toán tối cao châu Á) “Kiểm toán CNTT
là quá trình thu thập và đánh giá bằng chứng để xác định một hệ thống máy tính đã được
thiết kế để duy trì tính tồn vẹn dữ liệu, đảm bảo an toàn tài sản, cho phép các mục tiêu
của tổ chức đạt được hiệu quả và sử dụng các nguồn lực một cách tối ưu.”
Kiểm toán CNTT là một phần của cuộc kiểm tốn tổng thể, có thể được tích hợp
với các loại hình kiểm tốn khác: Kiểm tốn báo cáo tài chính nhằm kiểm tra tính chính
xác và tn thủ của các dữ liệu tài chính; Kiểm tốn tn thủ nhằm đánh giá tính tn thủ
các kiểm sốt nội bộ; Kiểm toán hoạt động nhằm đánh giá hệ thống CNTT trong việc đáp
ứng nhu cầu của người dùng không để diễn ra các rủi ro không cần thiết
1.2.2 Mục tiêu Kiểm tốn cơng nghệ thơng tin
Khác với mục tiêu của Kiểm tốn tài chính là “ đưa ra ý kiến xác nhận rằng Báo
cáo tài chính có được lập trên cơ sở chuẩn mực và chế độ kế tốn hiện hành (hoặc được
chấp nhận), có tn thủ pháp luật liên quan, có phản ánh trung thực và hợp lý dựa trên
khía cạnh trọng yếu hay khơng”, mục tiêu của việc thực hiện một cuộc kiểm tốn cơng
nghệ thơng tin là để đánh giá hệ thống thông tin máy tính (computerised information
system – CIS) của khách thể kiểm tốn nhằm xác định tính kịp thời, chính xác, đầy đủ và
đáng tin cậy của kết quả thông tin đầu ra, cũng như đảm bảo tính bảo mật, tồn vẹn, tính
sẵn sàng, độ tin cậy của dữ liệu và việc tuân thủ các yêu cầu pháp lý và các quy định có
liên quan. Mục tiêu kiểm tốn sẽ khác nhau tùy theo tính chất, loại hình kiểm tốn là một
báo cáo tài chính hay kiểm tốn hoạt động.
Nếu việc thực hiện kiểm tốn cơng nghệ thơng tin như là một phần của kiểm tốn
báo cáo tài chính, các mục tiêu sẽ bao gồm:
-
Hiểu được cách thức quản lý việc sử dụng cơng nghệ thơng tin để cải thiện quy
trình kinh doanh quan trọng của các tổ chức.
-
Hiểu được mức độ lan tỏa của việc sử dụng cơng nghệ thơng tin vào q trình kinh
doanh cũng như sự ảnh hưởng trong việc lập báo cáo tài chính và các rủi ro liên
quan đến quá trình này.
-
Hiểu được cách các tổ chức sử dụng công nghệ thông tin trong việc xử lý, lưu trữ
và truyền thông các thông tin tài chính ảnh hưởng đến hệ thống kiểm sốt nội bộ
cũng như sự đánh giá về rủi ro tiềm tàng và rủi ro kiểm soát.
-
Xác định và hiểu được các phương thức mà nhà quản lý sử dụng để đo lường,
đánh giá và kiểm sốt các quy trình cơng nghệ thơng tin
-
Đưa ra các kết luận về tính hiệu quả của các kiểm sốt đối với các quy trình hệ
thống thông tin các tác động trực tiếp và quan trọng đến các thơng tin tài chính.
Trách nhiệm của kiểm toán viên trong việc xác định và đánh giá các rủi ro của sai
sót trọng yếu, thơng qua sự hiểu biết về thực thể và môi trường của đơn vị. Do đó, trong
mơi trường máy tính, điều quan trọng là phải hiểu cách các hoạt động kiểm sốt có thể
ảnh hưởng đến báo cáo tài chính. Kiểm tốn viên cần có được sự hiểu biết về hệ thống
thơng tin, bao gồm các quy trình kinh doanh liên quan, liên quan đến báo cáo tài chính.
Trọng tâm của kiểm tốn kiểm sốt CNTT là đánh giá tính bảo mật, tính tồn vẹn và tính
sẵn sàng (CIA) của tài nguyên hệ thống thơng tin . Mặt khác, kiểm tốn tài chính liên
quan đến việc trình bày báo cáo tài trung thực, hợp lý. Kiểm toán viên cần đánh giá xem
các cơ sở dẫn liệu như Sự phát sinh, tính đầy đủ, chính xác, đúng kỳ, phân loại và tính giá
có được đáp ứng để có thể đưa ra ý kiến phù hợp hay khơng.
Mối liên kết giữa hai kiểm tốn BCTC và kiểm toán CNTT là các mục tiêu kiểm
soát CNTT (Bảo mật, Tính tồn vẹn và Tính khả dụng) có thể có tác động đến các CSDL.
Đánh giá các kiểm sốt CNTT này giúp kiểm toán viên đưa ra một sự đảm bảo hoặc mặt
khác về việc trình bày báo cáo tài chính trung thực, hợp lý bằng cách sử dụng các hệ
thống thơng tin và các quy trình.
Nếu kiểm tốn công nghệ thông tin được áp dụng trong cuộc kiểm toán hoạt động,
mục tiêu sẽ được xác định rõ hơn thơng qua vai trị của cơng nghệ thơng tin trong cuộc
kiểm toán. Cụ thể:
- Khi Cơng nghệ thơng tin là nội dung chính của cuộc kiểm tốn thì mục tiêu cuộc
kiểm tốn sẽ chú trọng trong việc đảm bảo tất cả các khía cạnh của hệ thống công nghệ
thông tin đều được thực hiện một cách hiệu quả.
- Khi Kiểm tốn cơng nghệ thơng tin một bộ phận cấu thành trong kiểm tốn hoạt
động, thì trọng tâm của kiểm tốn cơng nghệ thơng tin là xem xét tác động của CNTT
đối với hoạt động của tổ chức
1.2.3 Phân loại kiểm tốn cơng nghệ thơng tin
Nhiều tác giả đã mơ tả kiểm tốn CNTT bằng cách đưa ra các phân loại khác nhau
về mục tiêu. Theo Goodman và Lawless (1994), có ba hướng tiếp cận để hình thành nên
kiểm tốn CNTT bao gồm:
- Kiểm tốn quy trình đổi mới cơng nghệ (Technological innovation process
audit): Cuộc kiểm toán này xây dựng một hồ sơ rủi ro cho các dự án hiện có và dự án
mới. Cuộc kiểm toán sẽ đánh giá mức kinh nghiệm của doanh nghiệp đối với công nghệ
đã chọn cũng như độ phổ biến của cơng nghệ đó trên thị trường, trong cấu trúc mỗi dự án
và trong thị phần của nền cơng nghiệp của dự án đó.
- Kiểm tốn so sánh cải tiến (Innovative comparison audit): cuộc kiểm toán này
đánh giá khả năng cải tiến của doanh nghiệp được kiểm toán so với đối thủ của nó. Cuộc
kiểm tốn này cần sử dụng đánh giá của các công ty và viện nghiên cứu phát triển cũng
như các bản báo cáo theo dõi sản xuất sản phẩm mới trên thực tế của doanh nghiệp.
- Kiểm tốn vị thế cơng nghệ (Technological position audit): cuộc kiểm tốn này
đánh giá các cơng nghệ mà doanh nghiệp đang sở hữu hoặc cần trang bị.
Cách phân loại của Goodman và Lawless mang trọng tâm là công nghệ vì bị ảnh
hưởng nhiều bởi sự phát triển của khoa học máy tính trong thời kỳ này.
Nếu nhìn nhận kiểm toán CNTT như là một phần của một cuộc kiểm tốn tổng thể
và phân loại dựa trên loại hình kiểm tốn mà kiểm tốn CNTT có thể áp dụng thì ta được:
- Kiểm tốn IS: Q trình thu thập và đánh giá bằng chứng để xác định xem hệ
thống thông tin và các tài nguyên liên quan có bảo vệ đầy đủ tài sản, duy trì tính tồn vẹn
và dữ liệu của hệ thống hay khơng, cung cấp thơng tin có liên quan và đáng tin cậy, đạt
được mục tiêu của tổ chức, sử dụng tài nguyên một cách có hiệu quả và kiểm soát nội bộ
cung cấp sự đảm bảo hợp lý các mục tiêu kinh doanh, hoạt động và kiểm sốt và các sai
sót khơng mong muốn sẽ được ngăn chặn, hoặc được phát hiện và sửa chữa kịp thời.
- Kiểm tốn tài chính: Kiểm tốn CNTT xuất hiện trong kiểm tốn tài chính để
đánh giá xem các hệ thống thông tin và các tài nguyên liên quan (bao gồm thơng tin) có
bảo vệ đầy đủ dữ liệu tồn vẹn hay khơng.
- Kiểm tốn hoạt động: q trình kiểm tra độc lập, khách quan và đáng tin cậy về
việc các hệ thống, hoạt động, chương trình của một đơn vị có hoạt động theo các nguyên
tắc kinh tế, hiệu quả và hiệu năng hay không và đề ra các giải pháp để cải thiện tình hình.
Kiểm tốn viên CNTT sẽ kiểm tra các hệ thống CNTT được thực hiện liên quan đến các
tiêu chí về kinh tế, hiệu quả, và hiệu năng.
Ngồi ra, kiểm tốn CNTT cịn được chia thành 5 nhóm theo đối tượng kiểm tốn
là:
- Hệ thống và ứng dụng (Systems and Applications): Cuộc kiểm toán xác minh các
hệ thống và các ứng dụng là phù hợp, có hiệu quả, và được kiểm sốt đầy đủ để đảm bảo
tính hợp lệ, đáng tin cậy, kịp thời và an toàn ở đầu vào, xử lý, và đầu ra ở tất cả các cấp
độ hoạt động của hệ thống.
- Phương tiện xử lý thông tin (Information Processing Facilities): Cuộc kiểm toán
xác minh các phương tiện xử lý được kiểm sốt để đảm bảo xử lý kịp thời, chính xác và
hiệu quả dưới các điều kiện hoạt động bình thường hoặc có khả năng bị gián đoạn.
- Phát triển hệ thống (Systems Development): Cuộc kiểm toán để xác minh hệ
thống được phát triển đáp ứng các mục tiêu của tổ chức, và để đảm bảo rằng hệ thống
được phát triển phù hợp với các tiêu chuẩn được chấp nhận chung cho sự phát triển hệ
thống.
- Quản lý CNTT và kiến trúc doanh nghiệp (Management of IT and Enterprise
Architecture): Cuộc kiểm toán xác minh ban quản lý CNTT đã phát triển một cơ cấu có
trật tự và xây dựng thủ tục để đảm bảo một mơi trường kiểm sốt hiệu quả cho hoạt động
xử lý thông tin.
- Máy khách/máy chủ, mạng viễn thông, mạng nội bộ và mạng nội bộ mở rộng
(Client/Server, Telecommunications, Intranets, and Extranets): Cuộc kiểm tốn xác
minh các kiểm sốt viễn thơng đã được thiết lập tại máy khách (máy tính nhận dịch
vụ), máy chủ và trên mạng kết nối các máy khách và máy chủ.
1.2.4 Vai trị kiểm tốn cơng nghệ thơng tin
Theo ASOSAI, kiểm tốn CNTT là một phần của quy trình kiểm tốn tổng thể.
Kiểm tốn CNTT được áp dụng trong việc thực hiện kiểm tốn tài chính, kiểm tốn hoạt
động và kiểm tốn hệ thống thơng tin.
Kiểm tốn hệ thống thông tin: Mặc dù KTV CNTT không phải là người xây dựng,
lập trình viên nhưng vẫn phải đưa ra các sự đảm bảo về: xác định và áp dụng vào hệ
thống mới các cơng cụ kiểm sốt được; các cơng cụ kiểm sốt sử dụng để quản lý dự án
và phát triển các quyết định dự án phải minh bạch; xây dựng các chuẩn mực, tiêu chí, tiêu
chuẩn kiểm tốn…
Kiểm tốn hoạt đơng: Kiểm tốn CNTT đóng một trong hai vai trị của kiểm tốn
hoạt động trên cả 2 khía cạnh: khi CNTT là nội dung chính của cuộc kiểm toán và kiểm
toán CNTT là một bộ phận cấu thành trong một cuộc kiểm toán hoạt động.
Kiểm toán tài chính: Mục đích tổng thể của bộ phận CNTT trong cuộc kiểm tốn
tài chính là nhằm đánh giá độ tin cậy của các cơng cụ kiểm sốt CNTT hỗ trợ việc xử lý
sổ sách tài chính của đơn vị.
Trong cuộc kiểm toán BCTC, kiểm toán CNTT với chức năng như một thủ tục
soát xét hệ thống nhằm hỗ trợ kiểm toán viên thực hiện kiểm toán BCTC thu thập bằng
chứng hoặc đưa ra đánh giá về các kiểm soát doanh nghiệp thiết lập. Ngồi ra, Kiểm tốn
CNTT đóng vai trị quan trọng đối với kiểm tốn viên tài chính và kiểm toán báo cáo tài
chính vì CNTT là nền tảng của các hệ thống kế tốn hiện nay. Kiểm tốn CNTT cịn góp
phần đảm bảo hệ thống được sử dụng để lập nên các báo cáo tài chính đang hoạt động tốt
và tạo ra các báo cáo tài chính phản ánh chính xác tình hình của cơng ty cũng như cung
cấp cho kiểm tốn viên thơng tin và quy trình mà khách hàng sử dụng để lập báo cáo tài
chính. Nhờ đó mà việc đưa ra các kết luận kiểm tốn chính xác hơn. Kiểm toán CNTT
vượt xa việc chứng minh rằng báo cáo tài chính của cơng ty đáp ứng các cơ sở dẫn liệu,
thay vào đó đào sâu bên dưới lớp thơng tin do cơng ty cung cấp và tìm kiếm trong phần
mềm để xem liệu hệ thống mà công ty sử dụng để ghi lại tất cả các thông tin tài chính hay
khơng để xem xét có hay khơng các sai sót và gian lận. Ví dụ, khi một kiểm tốn viên
đang chứng minh sự hiện hữu (phát sinh), họ thường sẽ xem nhật ký bán hàng để xem
mặt hàng nào được bán và sau đó chứng minh rằng mặt hàng đó đã thực sự được bán.
Một kiểm tốn viên CNTT sẽ truy cập vào hệ thống và đọc mã chứng minh rằng khi mua
(bán) hàng hóa, hệ thống sẽ phản ánh nghiệp trong nhật ký bán hàng và thẻ kho.
Kiểm toán viên cần xem xét các kiểm soát trong quá trình kiểm tốn tài chính. Vai
trị của kiểm tốn viên CNTT trong quy trình kiểm tốn tài chính là hỗ trợ kiểm tốn viên
trong việc xác định liệu có thể tin tưởng vào các kiểm soát mà đơn vị thực hiện và hiệu
quả của mơi trường kiểm sốt CNTT cũng như môi trường ứng dụng hay không. Kết quả
từ các cơng việc được thực hiện bởi kiểm tốn viên CNTT sẽ xác định cách tiếp cận mà
kiểm toán viên quy định sẽ thực hiện trong q trình kiểm tốn.
1.3
Kiểm tốn cơng nghệ thơng tin trong kiểm tốn báo cáo tài chính
1.3.1 Nội dung kiểm tốn cơng nghệ thơng tin
Đánh giá và giám sát các kiểm soát CNTT là một phần khơng thể thiếu trong mơi
trường kiểm sốt CNTT của tổ chức. Kiểm toán viên cần cung cấp lời khuyên liên quan
đến việc thiết kế, triển khai, vận hành và cải tiến các kiểm soát CNTT.
Kiểm soát là tất cả các phương pháp, chính sách và quy trình đảm bảo bảo vệ tài
sản của tổ chức, tính chính xác và độ tin cậy của hồ sơ và tuân thủ các tiêu chuẩn quản lý.
Kiểm toán viên cần phân biệt giữa kiểm soát tổng quát và kiểm soát ứng dụng. Các kiểm
soát tổng qt thiết lập một mơi trường mà trong đó các hệ thống CNTT được phát triển,
vận hành, quản lý và duy trì theo một số quy trình kiểm sốt. Ví dụ về các biện pháp
kiểm sốt tổng qt bao gồm xây dựng và thực hiện chiến lược và chính sách bảo mật của
hệ thống thông tin, tổ chức của nhân viên,...Kiểm soát ứng dụng là các điều khiển cụ thể
và duy nhất cho từng ứng dụng máy tính. Kiểm soát ứng dụng bao gồm xác thực nhập dữ
liệu, mã hóa dữ liệu được truyền,..
Kiểm sốt tổng qt
Các kiểm sốt tổng quát là nền tảng của cấu trúc kiểm soát CNTT. Chúng liên
quan đến mơi trường chung trong đó các hệ thống CNTT được phát triển, vận hành, quản
lý và bảo trì. Các kiểm sốt CNTT nói chung thiết lập một khung kiểm soát tổng thể cho
các hoạt động CNTT và cung cấp một số đảm bảo rằng các mục tiêu kiểm soát tổng thể
được thỏa mãn. Các điều khiển này được thiết kế để quản lý và giám sát mơi trường
CNTT và do đó, ảnh hưởng đến tất cả các hoạt động liên quan đến CNTT.
Các kiểm soát CNTT tổng quát có liên quan đến cơ sở hạ tầng CNTT của thực thể,
bao gồm mọi chính sách, quy trình và thực hành làm việc liên quan đến CNTT. Các quy
trình kiểm sốt sẽ chi phối sự phân chia nhiệm vụ, sử dụng tài sản CNTT, mua lại và bảo
trì ứng dụng CNTT, kiểm soát truy cập và hoạt động của trung tâm dữ liệu.Vai trị chính
của kiểm tốn viên là đảm bảo các kiểm soát nội bộ hoạt động trong một thực thể. Khi
thực thể hoạt động trong môi trường CNTT, kiểm toán viên cần đánh giá thiết kế, triển
khai và tuân thủ khung kiểm soát CNTT. Mọi khu vực kiểm soát đều dựa trên một bộ các
mục tiêu kiểm sốt nhằm tìm cách giảm thiểu rủi ro kiểm soát và kiểm toán viên cần đánh
giá xem các kiểm sốt được triển khai có đủ để đáp ứng mục tiêu hay khơng. Kiểm tốn
viên phải hiểu các phạm trù rộng và phạm vi kiểm soát chung trong hoạt động, đánh giá
sự chú ý của quản lý và nhận thức của nhân viên trong tổ chức, và tìm hiểu mức độ hiệu
quả của các kiểm soát để đảm bảo cung cấp. Nếu các điều khiển tổng thế yếu, chúng sẽ
làm giảm đáng kể độ tin cậy của các điều khiển liên quan đến các ứng dụng CNTT riêng
lẻ.
Kiểm soát ứng dụng
Các kiểm soát được thực hiện trong các ứng dụng quy trình nghiệp vụ thường
được gọi là các kiểm sốt ứng dụng. Kiểm soát ứng dụng đề cập đến các kiểm soát đối
với việc xử lý các giao dịch và dữ liệu trong một hệ thống ứng dụng và do đó, dành riêng
cho từng ứng dụng. Trong các kiểm sốt CNTT tổng quát trong một thực thể dành cho
môi trường điều khiển chung cho các hệ thống thông tin, các kiểm sốt ứng dụng được
tích hợp vào các ứng dụng cụ thể để đảm bảo và bảo vệ tính đầy đủ, chính xác, hợp lệ,
tồn vẹn, tin cậy và bảo mật của thơng tin. Do đó, các mục tiêu của kiểm soát ứng dụng
thường liên quan đến việc đảm bảo:
- Dữ liệu được chuẩn bị cho mục nhập / đầu vào là đầy đủ, hợp lệ và đáng tin cậy
- Dữ liệu được chuyển đổi thành dạng tự động và được nhập vào ứng dụng một
cách chính xác, đầy đủ và đúng thời gian
- Dữ liệu được ứng dụng xử lý hoàn toàn và đúng thời hạn và phù hợp với các yêu
cầu đã thiết lập;
- Đầu ra được bảo vệ khỏi sửa đổi trái phép và được thực hiện theo các chính sách
quy định.
1.3.2 Quy trình kiểm tốn cơng nghệ thơng tin
1.3.2.1 Lập kế hoạch kiểm tốn
Kiểm tốn viên lập kế hoạch kiểm toán để đảm bảo cuộc kiểm toán đúng thời hạn,
phát hiện gian lận, rủi ro và những vấn đề tiềm ẩn. Mặt khác, để đánh giá được sự thành
cơng của cuộc kiểm tốn hệ thống, kiểm toán viên cần xác định phạm vi và mục tiêu của
cuộc kiểm tốn thơng qua các thử nghiệm về hệ thống thơng tin. Để xác định mục tiêu
kiểm tốn và đảm bảo thơng tin thu thập được có hiệu quả, kiểm toán viên cần xác định
mức trọng yếu, đánh giá rủi ro kiểm tốn nhằm tìm ra những bằng chứng thích hợp và
đầy đủ trong suốt q trình kiểm toán.
a.
Chuẩn bị kế hoạch kiểm toán: bao gồm đánh giá tính khách quan, tính tồn vẹn và
năng lực kỹ thuật của nhân viên kiểm toán và thiết lập thời gian ngân sách cho cuộc kiểm
tốn. Nó cũng bao gồm đạt được sự hiểu biết và kỳ vọng chung thông qua việc phát hành
thư xác nhận
b.
Thu thập thơng tin: Kiểm tốn viên CNTT phải thu thập được thơng tin về các
khía cạnh sau đây của đơn vị được kiểm toán:
-
Chức năng tổ chức và môi trường hoạt động: bao gồm sự hiểu biết chung về các
hoạt động kinh doanh khác nhau và các chức năng liên quan đến khách thể kiểm tốn, các
hệ thống thơng tin hỗ trợ hoạt động, cũng như mơi trường mà nó đang hoạt động.
-
Cơ cấu tổ chức: Kiểm tốn viên CNTT cần có được sự hiểu biết về hệ thống phân
cấp tổ chức cũng như cấu trúc bộ phận CNTT.
-
Mức độ quan trọng của hệ thống CNTT. Các hệ thống CNTT có thể được phân
loại thành Hệ thống then chốt và Hệ thống hỗ trợ. Hệ thống then chốt là những hệ thống
khi gặp trục trặc hoặc gián đoạn sẽ có ảnh hưởng nghiêm trọng đến tổ chức. Hệ thống hỗ
trợ là những hệ thống giúp ích cho việc quyết định quản lý, sự vắng mặt của nó có thể
khơng dẫn đến một tác động nghiêm trọng như các hệ thống then chốt
-Bản chất của phần cứng và phần mềm được sử dụng. Hiểu các chi tiết phần cứng của tổ
chức nói chung và hệ thống CNTT nói riêng có tầm quan trọng quan trọng đối với kiểm
tốn viên. Thơng tin này cung cấp cho kiểm toán viên sự hiểu biết về các rủi ro liên quan.
Mặc dù thế giới đang hướng tới tiêu chuẩn hóa phần cứng, sự khác biệt vẫn tồn tại và mỗi
loại phần cứng lại đi kèm với các lỗ hổng riêng địi hỏi các kiểm sốt cụ thể.. Kiểm toán
viên cần hiểu loại phần mềm được sử dụng trong tổ chức, thu thập chi tiết về hệ điều
hành, hệ thống ứng dụng và cơ sở dữ liệu, hệ thống quản lý. Đánh giá sơ bộ về phần cứng
và phần mềm sẽ cho phép lập kế hoạch về phương pháp kiểm toán và các nguồn lực cần
thiết cho việc thu thập chứng cứ.
-
Bản chất và mức độ rủi ro ảnh hưởng đến hệ thống.
c.
Đánh giá tính trọng yếu và rủi ro
Đánh giá tính trọng yếu
Khi xác định mức độ trọng yếu, kiểm tốn viên có thể kiểm tốn các khoản mục
chi tiền tệ như kiểm soát và xử lý phần cứng, kiểm soát phần logic, kiểm soát hệ thống
quản lý nhân sự, kiểm soát nhà máy, kiểm soát mật mã. Đối với các nghiệp vụ liên quan
đến tiền tệ, cần lưu ý một số thước đo: Quy trình kinh doanh mà hệ thống máy tính hỗ trợ
chủ yếu; Chi phí đầu tư và chi phí hoạt động của hệ thống (phần cứng, phần mềm, dịch
vụ của bên thứ ba…); Chi phí ẩn của các sai sót; Số lượng nghiệp vụ hay yêu cầu được
xử lý trong mọi thời kỳ; Mức phạt cho những hành vi không tuân thủ quy định của pháp
luật hay của đơn vị.
Đánh giá rủi ro
Kiểm toán viên phải đánh giá rủi ro kiểm toán và xác định các thủ tục kiểm toán
nhằm giảm thiểu các rủi ro kiểm tốn xuống thấp tới mức có thể chấp nhận được, cần
xem xét những vấn đề chung và cụ thể của hệ thống thông tin để đánh giá rủi ro tiềm
tàng.
Quản lý rủi ro là một yêu cầu thiết yếu của các hệ thống CNTT hiện đại, trong đó
bảo mật là quan trọng. Nó có thể được định nghĩa là một quá trình xác định rủi ro, đánh
giá rủi ro và thực hiện các bước để giảm rủi ro xuống mức chấp nhận được. Ba mục tiêu
bảo mật của bất kỳ tổ chức nào là Bí mật, Tính tồn vẹn và Tính khả dụng. Đánh giá rủi
ro là một xem xét có hệ thống về:
-
Tác hại có thể xảy ra với doanh nghiệp do lỗi bảo mật, có tính đến các hậu quả
tiềm ẩn của việc mất bảo mật, tính tồn vẹn hoặc tính sẵn có của thơng tin và các tài sản
khác.
-
Khả năng thực tế của một sự cố như vậy xảy ra trong bối cảnh các mối đe dọa và
lỗ hổng phổ biến hiện nay và các biện pháp kiểm sốt hiện đang được triển khai
Các bước có thể được thực hiện theo cách tiếp cận dựa trên rủi ro để lập kế hoạch kiểm
toán là:
1- Kiểm kê các hệ thống thông tin được sử dụng trong tổ chức và phân loại chúng.
2- Xác định hệ thống nào ảnh hưởng đến các chức năng hoặc tài sản quan trọng.
3- Đánh giá những rủi ro ảnh hưởng đến các hệ thống này và mức độ nghiêm trọng của
tác động đối với doanh nghiệp.
4- Dựa trên đánh giá trên quyết định mức độ ưu tiên kiểm toán, nguồn lực, lịch trình và
tần suất.
d.
Nghiên cứu hệ thống kiểm sốt nội bộ của khách hàng và đánh giá rủi ro kiểm soát
Tiến hành kiểm tra các quy trình xử lý cơng nghệ thơng tin có tác động trực tiếp và quan
trọng trong việc xử lý thơng tin tài chính. Đánh giá tính hiệu lực trong thiết kế của từng
quy trình CNTT chính và các kiểm soát nội bộ liên quan. Trong trường hợp việc đánh giá
không thể được thực hiện ở cấp quy trình chính, có thể thay thế quy trình CNTT ở cấp
thấp hơn (ví dụ: cấp quy trình phụ) và đánh giá hiệu quả của thiết kế quy trình phụ.
1.3.2.2 Thực hiện kiểm tốn
Đối với cuộc kiểm tốn BCTC có tích hợp kiểm tốn CNTT, q trình thực hiện
kiểm tốn CNTT được tiến hành như sau
Bước 1: Đối tượng được tập trung phân tích ở bước này là BCTC của đơn vị được kiểm
toán. Ở cấp độ báo cáo tài chính, KTV cần thực hiện:
-
Xác định các khoản mục và thuyết minh trọng yếu
-
Xác định các cơ sở dẫn liệu cho báo cáo tài chính
-
Đồng thời phỏng vấn tìm hiểu quy trình xử lý thơng tin cũng như hệ thống CNTT
khách hàng triển khai và áp dụng.
Các bước này có thể được thực hiện trước trong quá trình lập kế hoạch tổng thể và
xây dựng chương trình kiểm tốn. Mục đích tạo tiền đề cho việc thực hiện bước tiếp theo
ở cấp độ sâu hơn.
Bước 2: Sau khi đã thực hiện bước 1, KTV tìm hiểu sâu hơn vào cấp độ xử lý trong hệ
thống của doanh nghiệp. Tại đây, KTV cần phải:
-
Nhận diện được các kiểm soát và phân loại kiểm soát tổng thủ cơng, kiểm sốt
ứng dụng.
-
Xác định và lựa chọn các kiểm soát tương ứng với các khoản mục và thuyết minh
đã vạch ra ở bước 1.
Giai đoạn này được thực hiện tại thực địa khi KTV sử dụng kiến thức chuyên mơn
để nhận diện và phân loại các kiểm sốt thơng qua quá trình phỏng vấn, đặc biệt là phỏng
vấn bộ phận chuyên trách về hệ thống như trưởng phòng IT, người phụ trách kỹ thuật...,
quan sát và tiếp cận hệ thống CNTT của đơn vị được kiểm toán.
Kiểm soát thực hiện được chia làm 2 nhóm chính
- Kiểm sốt thủ cơng.
- Kiểm sốt ứng dụng.
Đối với kiểm sốt tổng qt, KTV có thể áp dụng các thủ tục thu thập bằng chứng
của kiểm tốn BCTC một cách bình thường thơng qua thử nghiệm kiểm soát và thử
nghiệm cơ bản. Kiểm sốt ứng dụng có phạm vi hẹp hơn so với kiểm sốt chung. Kiểm
sốt ứng dụng xem xét tính hiệu quả của các kiểm soát tự động, cũng như sự vận hành
của ứng dụng để đảm bảo các dữ liệu cung cấp được đầy đủ và chính xác. Ứng dụng
(application) ở đây được hiểu là các phần mềm máy tính liên kết trực tiếp hoặc gián tiếp
vào một cơ sở dữ liệu (database) để thực hiện các chức năng của nó như nhập xuất, xử lý
dữ liệu. Ví dụ: phần mềm kế tốn, phần mềm quản lý hàng tồn kho, phần mềm tính lương
Bước 3: Thơng qua kết quả ở bước 2, KTV xem xét lại kiểm soát hệ thống tổng quát
(General IT Control) đồng thời xác định và lựa chọn các kiểm soát chung của hệ thống.
Kiểm soát chung đánh giá nhận thức của doanh nghiệp với môi trường công nghệ
thông tin. Đây là mức kiểm soát cơ bản và tổng quát nhất nhằm ngăn chặn và phát hiện
các rủi ro ảnh hưởng đến hệ thống của doanh nghiệp.
Tuy nhiên, việc thực hiện Bước 3 – thử nghiệm kiểm soát hệ thống tổng quát chỉ
cần thiết khi KTV dự kiến sẽ tin tưởng vào các kiểm soát ứng dụng hoặc kiểm soát hỗn
hợp (kiểm soát bán thủ cơng với sự hỗ trợ của kiểm sốt tự động). Công việc này tương
đồng với thử nghiệm kiểm soát (Test of controls) trong kiểm toán BCTC, khi mà hệ
thống kiểm soát tổng quát được thiết kế chặt chẽ và các kiểm soát hoạt động tốt trong
việc ngăn chặn rủi ro sẽ giảm thiểu được công việc cần thực hiện khi thử nghiệm ở cấp
độ kiểm soát xử lý. Đối với các nhân tố của kiểm soát hệ thống tổng qt khơng liên quan
(khơng thuộc ứng dụng có kiểm soát tự động, hoặc thuộc ứng dụng kiểm soát tự động
nhưng phục vụ cho tài khoản không trọng yếu → khơng có ảnh hưởng đáng kể lên
BCTC), KTV khơng cần thực hiện.
Bước 4: Kiểm toán viên thực hiện các thủ tục kiểm tra đối với kiểm sốt tự động, thủ
cơng hoặc hỗn hợp và kiểm sốt chung của mơi trường. Có thể thực hiện thử nghiệm
kiểm sốt bằng cách đánh giá thiết kế và thử nghiệm thiết lập bằng cách tái thực hiện một
nghiệp vụ từ giai đoạn chứng từ cho đến khi được ghi nhận vào hệ thống.
Bước 5: Trong bước này, KTV đưa ra kết luận về kiểm sốt hệ thống tổng qt và tìm
kiếm các kiểm sốt tổng quát khác thay thế nếu trường hợp kết quả thử nghiệm cho thấy
kiểm soát tổng quát được lựa chọn thất bại trong việc ngăn ngừa rủi ro. Các kiểm soát
ứng dụng thuộc cấp độ kiểm soát xử lý và được bao quát bởi cấp kiểm soát cao hơn là
kiểm soát hệ thống tổng quát . Tại đây, các thử nghiệm kiểm sốt ứng dụng có đặc tính
tương tự như thử nghiệm cơ bản trong kiểm toán BCTC. Để giảm thiểu khối lượng thử
nghiệm phải thực hiện, các KTV và chun gia hệ thống tìm kiếm các kiểm sốt hệ thống
tổng quát chi phối và bao quát các kiểm soát ứng dụng để áp dụng các thử nghiệm hệ
thống. Ở giai đoạn này, các thử nghiệm kiểm soát hệ thống tổng qt có đặc tính tương tự
thử nghiệm kiểm sốt trong kiểm tốn BCTC.
Vì đặc điểm của hệ thống bao gồm nhiều kiểm soát khác nhau, một kiểm sốt bị
thất bại trong việc ngăn ngừa rủi ro khơng đồng nghĩa với việc tồn hệ thống khơng thể
ngăn ngừa rủi ro. Có thể có các kiểm sốt khác vẫn hồn thành tốt chức năng của mình và
bù khuyết cho kiểm sốt đã lựa chọn thử nghiệm.
Ví dụ: Trường hợp 1: Doanh nghiệp khơng có chính sách về IT, khơng tổ chức cập nhật
kiến thức cho nhân viên cũng như quy trình kiểm tra, tạo mới, hủy bỏ tài khoản; tuy
nhiên kiểm soát về mật khẩu truy cập vào ứng dụng và hệ thống được thực hiện tốt, kiểm
tra lịch sử truy cập các tài khoản của nhân viên đã nghỉ việc sau ngày nhân viên đó rời
cơng ty khơng thấy bất thường → hệ thống vẫn được quản lý tập trung và hoạt động hiệu
quả
Trường hợp 2: Doanh nghiệp khơng tổ chức kiểm sốt nhận diện và cấp phép đối với các
tiếp cận vật lý với hệ thống như máy chủ không được để khu vực riêng biệt, nhân viên
khơng liên quan có thể trực tiếp tiếp xúc với máy chủ, khơng có ký nhận ra/vào khu vực
máy chủ v.v... → KTV xác minh các kiểm soát khác bổ khuyết bao gồm xem xét hệ thống
camera an ninh, kiểm tra hồ sơ chứng từ về các lần bảo dưỡng hệ thống, kiểm tra tập tin
giám sát (log file) trong hệ thống v.v... để đảm bảo khơng có trường hợp mất cắp, tác
động phá hoại lên hệ thống máy xảy ra trong năm tài chính → Hệ thống vẫn đảm bảo
được chức năng của mình.
Bước 6: Sau khi đánh giá về các kiểm soát trong cấp quản lý hệ thống tổng quát (General
IT Control), nhận diện rõ các kiểm soát kém hiệu quả và các kiểm soát thay thế. KTV
đánh giá các kết quả đó ảnh hưởng đến kiểm sốt hoạt động như thế nào (Process Level
Control), liệu các ứng dụng hoạt động trong môi trường tổng quát tương ứng có bị ảnh
hưởng bởi các kiểm sốt tổng qt kém hiệu quả hay khơng. Có hai trường hợp xảy ra:
Trường hợp khơng có ảnh hưởng: Kiểm sốt ở cấp độ tổng quát kém hiệu quả nhưng
kiểm soát ở cấp độ xử lý lại hữu hiệu → KTV có thể nhận xét về hệ thống hoạt động hiệu
quả, cung cấp bằng chứng đáng tin cậy trong việc các khoản mục tương ứng trên báo cáo
tài chính thể hiện trung thực và hợp lý. Trường hợp có ảnh hưởng: Kiểm sốt ở cấp độ xử
lý bị ảnh hưởng bởi sự kém hiệu quả của cấp độ tổng qt → KTV khơng có cơ sở để
đưa ra kết luận, vì thế cần thiết phải xác định các thủ tục kiểm sốt thủ cơng thay thế.
Nếu các kiểm sốt thủ cơng có thể loại bỏ được các rủi ro từ sự kém hiệu quả của hệ
thống tự động (ví dụ như hoạt động kiểm tra đối chiếu sổ cái xuất ra từ hệ thống với số
liệu thực tế không phát sinh chênh lệch), các khoản mục tương ứng trên báo cáo tài chính
vẫn thể hiện trung thực hợp lý.
1.3.2.3 Kết thúc kiểm toán
Sau khi KTV đã thực hiện xong các bước kiểm toán hệ thống và thu thập bằng
chứng đầy đủ, KTV có thể đưa ra kết luận về hệ thống có thể tin cậy và tiến hành tiếp các
thủ tục kiểm toán BCTC theo chương trình kiểm tốn đã định. Nếu KTV khơng thể thực
hiện các bước từ 1 đến 7 do thiếu kiến thức và kinh nghiệm cần thiết được quy định trong
chuẩn mực, cần thiết có sự tham gia của chuyên gia trong việc kiểm tra và đưa ý kiến.
Nếu ý kiến rút ra từ các bằng chứng kiểm toán hệ thống cho thấy hệ thống không thực sự
đáng tin cậy, không đủ cơ sở để phản ánh trung thực hợp lý các tài khoản và thuyết minh
đã chọn trong bước 1. Kiểm toán viên phải thay thế thủ tục kiểm toán khác nhằm xác
minh đủ cơ sở dẫn liệu cho các tài khoản đó nhằm mục đích đưa ý kiến cho BCTC, đồng
thời trao đổi với ban quản lý về các phát hiện trên. Các ý kiến này độc lập với ý kiến
kiểm tốn trên BCTC. Có thể KTV CNTT hoặc chuyên gia đưa ý kiến loại trừ đối với hệ
thống nhưng BCTC có thể được chấp nhận tồn phần do các thử nghiệm kiểm soát và thử
nghiệm cơ bản trong thủ tục kiểm toán BCTC cung cấp đầy đủ bằng chứng kiểm toán
chứng tỏ BCTC là trung thực và hợp lý. Các ý kiến kiểm toán về hệ thống bao gồm:
• Ý kiến chấp nhận tồn phần (Unqualified opinion): KTV bày tỏ ý kiến về việc
khơng tìm thấy các điểm phải loại trừ hoặc khơng có loại trừ đối với các điểm trọng yếu
• Ý kiến chấp nhận có nhấn mạnh (Qualified opinion): Có loại trừ các điểm kém
hữu hiệu quan trọng trong hệ thống nhưng khơng trọng yếu
• Ý kiến loại trừ (Adverse opinion): Có một hoặc nhiều điểm kém hữu hiệu trong
hệ thống là trọng yếu.
