Tài liệu tham khảo kiểm toán công nghệ thông tin

DANH MUC CAC TU VIET TAT DANH MUC TU VIET TAT TIENG VIET Từ viết tắt Cụm từ tiếng Anh | Cụm từ tiếng Việt AI Artificial Inteligence Trí tuệ nhân tạo ASD Agile System Development Phát t

NGAN HANG NHA NUGC VIET NAM

TRUONG DAI HOC NGAN HANG TP HO CHi MINH

GB

TRUONG DAI HOC NGAN HANG THANH PHO HO CHi MINH

TAT LIEU THAM KHAO

KIEM TOAN CONG NGHE THONG TIN

Chủ biên: ThS Trần Thị Hải Vân, FCCA, CIA

Thành viên:

ThS Ngô Minh Tâm, CPA

TS Nguyễn Thị Mai Hương

TS Nguyễn Thị Đoan Trang ThS Đỗ Thị Hương

TS Trần Thị Thu Thủy

TP HCM, tháng 12 năm 2022

DANH MUC CAC TU VIET TAT

DANH MUC TU VIET TAT TIENG VIET

Từ viết tắt Cụm từ tiếng Anh | Cụm từ tiếng Việt

AI Artificial Inteligence Trí tuệ nhân tạo

ASD Agile System Development Phát triển hệ thống linh hoạt ASWD Adaptive Software Development Phát triển phần mềm thích

ứng

BCP Business Continuity Planning Ké hoach hoat động liên tục

CAAT Computer Assisted Audit Technique | Kỹ thuật kiểm toán có sự hỗ

trợ của máy tính COBIT | Control Objectives For Information | Khung quản tị Mục tiêu

And Related Technology kim soát về công nghệ

thông tin DRP Desaster Recovery Planning Kế hoạch khắc phục thảm

họa

EUD End User Development Phat trién ngudi ding cudi GTAG Global Technology Audit Guide Hướng dẫn kiểm toán công

nghé toan cau

loT Internet of Things Mạng lưới vạn vat

IS Information System Hệ thông thông tin

ISACA Information Systems Audit and Hiệp hội kiểm soát và kiểm

Control Association toán công nghệ thông tin ISOMEC | Intemational Organization for Tổ chức Tiêu chuân hóa

Standardization /International Quốc tế/ Ủy ban Kỹ thuật

Electrotechnical Commission Điện Quốc tế

IT Information Technology Công nghệ thông tin

ITIL Information Technology Thu vién ha tang công nghệ

Infrastructure Library thông tin

JAD Joint Application Development Phát triển ứng dụng chung MDM Mobile Device Management Quản lý thiết bị đi động

NIST National Institute of Standards and Viện Tiêu chuẩn và Công

Technology nghệ Quốc gia Hoa Kỳ RAD Rapid Application Development Tạo mẫu và phát triển ứng

dụng nhanh

SDLC System development life cycle Vòng đời phát triển hệ thống

1H

LOI MO DAU

Kiểm toán công nghệ thông tin là một lĩnh vực đang còn rất mới mẻ đối với cả kiểm toán

độc lập lẫn kiểm toán nội bộ tại Việt Nam Lĩnh vực nảy ngày càng chiếm nhiều sự quan

tâm của giới nghiên cứu, giới thực tiễn cũng như các sinh viên ngành kế toán kiểm toán

Cuốn tài liệu tham khảo “Kiểm toán công nghệ thông tin” được Bộ môn Kiểm toán —

Khoa Kế toán kiểm toán — Trường Đại học Ngân hàng Thành phố Hồ Chí Minh biên soạn dựa trên việc tổng hợp các chuẩn mực quốc tế về kiểm soát và kiểm toán công nghệ thông tin, tham khảo đến các giáo trình, tài liệu quốc tế liên quan đến lĩnh vực này cũng như các quy định và thực tiến tại Việt Nam Đây sẽ là tài liệu hữu ích giúp sinh viên chuyên ngành

kế toán kiểm toán nói riêng, và sinh viên khối ngành kinh tế nói chung có thẻ:

e© Nắm được kiến thức lý thuyết nền tảng đối với quy trình kiểm toán công nghệ thông tin, kiểm soát nội bộ trong môi trường công nghệ thông tin, các công cụ và kỹ thuật sử dụng trong kiểm toán công nghệ thông tin

e Hiéu va van dung cac thu tuc kiểm toán đối với một số lĩnh vực chính trong kiểm toán

công nghệ thông tin như kiểm toán quá trình phát triển hệ thống công nghệ thông tin, kiêm toán hoạt động của hệ thống thông tin và kiểm toán an toàn thông tin

e©_ Áp dụng kiến thức lý thuyết vào giải đáp các câu hỏi và giải quyết các bài tập tinh

huông minh họa

Nội dung của cuốn sách chia làm 6 chương như sau:

e_ Chương 1: Tổng quan về kiểm toán công nghệ thông tin

e_ Chương 2: Kiểm soát nội bộ trong môi trường công nghệ thông tin

e©_ Chương 3: Các công cụ và kỹ thuật trong kiểm toán công nghệ thông tin e_ Chương 4: Kiểm toán sự phát triển và thay đổi hệ thống công nghệ thông tin e_ Chương 5: Kiểm toán hoạt động hệ thống thông tin

e©_ Chương 6: Kiểm toán an toàn thông tin

Kết cấu các chương được xây dựng thống nhất, bao gồm:

e Mục tiêu chương

e© Lý thuyết của chương

e Cau hoi va bai tap

Đối với câu hỏi và bai tap ở mỗi chương, chúng tôi xây dựng hệ thống các câu hỏi ôn tập, câu hỏi trắc nghiệm, câu hỏi dạng Đúng/ Sai và giải thích, và các bài tập tình huống Các bai tập cũng có kết cấu đa dạng, phù hợp với nội dung môn học đồng thời giúp sinh viên

có thể vận dụng một số kỹ năng cơ bản trong kiêm toán công nghệ thông tin Bên cạnh

đó, ở mỗi chương đều được cung cấp đáp án của một số câu hỏi/ bài tập điền hình để sinh viên tham khảo, và một số câu hỏi/bài tập không có lời giải để khuyên khích tỉnh thần tự học của sinh viên

Tham gia biên soạn cuốn tài liệu này là các giảng viên thuộc bộ môn Kiểm toán - Khoa

Kế toán kiểm toán — Trường Đại học Ngân hàng Thành phố Hồ Chí Minh, bao gồm: e© ThS Trần Thị Hải Vân, FCCA, CIA - Giảng viên bộ môn kiêm toán — Chủ biên

e ThS Ng6 Minh Tam, CPA, Senior Manager - Baker Tilly A&C

e© TS Nguyễn Thị Mai Hương — Trưởng bộ môn kiểm toán ~ Thành viên

e ThS Đỗ Thị Hương — Giảng viên bộ môn kiểm toán — Thành viên

e TS Nguyễn Thị Đoan Trang — Giảng viên bộ môn kiểm toán - Thành viên

e TS Tran Thi Thu Thủy — Giảng viên bộ môn kiêm toán - Thành viên

Đây là lần đầu tiên cuốn tài liệu được xuất bản, đù chúng tôi đã thực sự rất cần

trọng trong quá trình biên soạn nhưng chắc chắn không thể tránh khỏi các thiếu sót Chúng tôi rất mong nhận được ý kiến đóng góp của Hội đồng Khoa học Trường Đại học Ngân hàng Thành phô Hồ Chí Minh, các đồng nghiệp, các chuyên gia và những người

làm thực tế, và các bạn độc giả

Các ý kiến đóng góp xm gửi về địa chỉ:

Bộ môn Kiểm toán

Trường Đại học Ngân hàng Thành phó Hồ Chí Minh

36 Tôn Thất Đạm, Phường Nguyễn Thái Bình, Quận 1, TP.HCM

CHUONG 1: TONG QUAN VE KIEM TOAN CONG NGHE

THONG TIN

Mục tiêu chương

Sam khi nghiên cứu xong chương này, người đọc có thể:

- _ Hiểu về quản trị CNTT và chiến lược quản trị CNTT, giải thích tầm quan trọng

của quản trị CNTT và chiến lược quản trị CNTT

- Xác định chiến lược CNTT và thảo luận về những xu hướng mới nồi trong CNTT

- Hiéu được khái niệm, vai trò của Kiểm toán CNTT về giải thích về các bước

trong quy trình kiểm toán CNTT;

- Thao luận về tẩm quan trọng của việc tuân thủ chuẩn mực và quy định liên

quan đến Kiêm toán CNTT

LY THUYET CHUONG

1.1 Môi trường công nghệ thông tin

1.1.1 Quản trị và chiến lược về công nghệ thông tin

a Quan trị công nghệ thông tin

Trong xu thế phát triển hiện nay, các doanh nghiệp phải tận dụng tốt nhất các cơ hội đổi mới CNTT để bắt kịp xu thế và nâng cao vị thế cạnh tranh Công nghệ thông tin (CNTT) là một thuật ngữ bao gồm phần mềm, mạng lưới, hệ thống máy tính sử dụng cho việc phân phối và xử lý dữ liệu, trao đối, lưu trữ và sử dụng thông tin đưới hình thức khác nhau CNTT đã trở thành một phần quan trọng trong các chiến lược kinh doanh của các doanh nghiệp, nó vừa là yêu tố hỗ trợ vừa là yếu tô giúp nâng cao các mục tiêu của doanh nghiệp

Quản trị doanh nghiệp là một hệ thống các thiết chế, chính sách, luật lệ nhằm định hướng, vận hành và kiểm soát doanh nghiệp, qua đỏ đưa ra các vấn đẻ về quyền quyết định, trách nhiệm giải trình và hành vi của một tô chức Quản trị CNTT (IT governance)

là một phần của quản trị doanh nghiệp nhằm đưa ra một cấu trúc và quy trình với mục đích sử dụng tối ưu năng lực CNTT để đảm bảo phát triển bền vững và hỗ trợ toi đa chiến lược và mục tiêu của doanh nghiệp (Otero A R., 2019) Điều này đặt ra yêu cầu cho việc cung cấp cấu trúc đề đạt được sự liên kết của các hoạt động và quy trình CNTT với các mục tiêu kinh doanh, kết hợp CNTT vào chương trình quản lý rủi ro doanh nghiệp, quản

lý hiệu suất của CNTT, đảm bảo mang lại các giá trị của CNTT và đảm bảo tuân thủ quy

3

định và thực hiện đầy đủ các biện pháp kiểm soát nội bộ Do đó, quản trị CNTT được

triển khai một cách hiệu quả sẽ được thực hiện khi các hoạt động và quy trình CN TT phủ hợp với địmh hướng do co quan quan tn dat ra dé đạt được các mục tiêu của doanh

nghiệp

Quản trị CNTT là cung cấp cấu trúc và định hướng đề đạt được sự liên kết giữa chiến lược CNTT với chiến lược kinh doanh đáp ứng mục tiêu quản trị, và điều này có nghĩa là phải có sự hợp tác chặt chế giữa CN TTT và nhà quản lý doanh nghiệp

b Chiến lược CNTT

Chiến lược CNTT của một đoanh nghiệp đưa ra các hướng dẫn chính thức về việc mua lại, phân bổ và quản lý tài nguyên CNTT phù hợp với mục đích và mục tiêu của tô chức Nó là một phần của chiến lược tông thê của doanh nghiệp về CNTT và phải phù hợp với chiến lược kinh doanh đề đảm bảo rằng các nguồn lực không bị lãng phí cho các

dự án hoặc quy trình không góp phần đạt được các mục tiêu chung của tổ chức

Một chiến lược CNTT cũng sẽ đưa ra lộ trình cho các kế hoạch hoạt động và một khuôn khô đề đánh giá các khoản đầu tư công nghệ, được phát triển với sự tham gia của người dùng dé giải quyết định hướng công nghệ trong tương lai Sự liên kết này nên có ở tất cả các cấp của quy trình lập kế hoạch đề cung cấp sự đảm bảo rằng các kế hoạch hoạt

động luôn hỗ trợ các mục tiêu kinh doanh

1.1.2 Các xu hướng mới nỗi trong việc áp dụng công nghệ thông tin

CNTT đã tác động đến các lĩnh vực quan trọng khác nhau của môi trường kinh doanh, bao gồm cả việc sử dụng và xử lý thông tin, quy trình kiêm soát và nghiệp vụ kiểm toán Nhu cầu kiêm soát đối với CNTT, đặc biệt là trong thương mại, đã được nâng cao đáng kế trong những năm qua Một số tác động của CNTT có thê thay:

e Công nghệ đã cải thiện đáng kể khả năng nắm bắt, lưu trữ, phân tích và xử lý lượng dữ liệu và thông tin, hỗ trợ cho việc ra quyết định của nhà quản lý Nó cũng

đã trở thành một yếu tô hỗ trợ chính cho các quy trình sản xuất và dịch vụ

e© Công nghệ đã tác động đáng kể đến các hệ thông quy trình kiểm soát Mặc dù các mục tiêu kiểm soát nói chung không thay đổi (ngoại trừ một số mục tiêu cụ thê về công nghệ), nhưng công nghệ đã thay đối cách thức kiểm soát các hệ thống e©_ Công nghệ đã tác động đến nghề kiểm toán về cách thức thực hiện kiêm toán (thu thập và phân tích thông tin) và kế cả các kiến thức cân thiết để đưa ra các đánh gia

về tính hiệu lực, hiệu quả của hệ thống và các hoạt động cũng như độ tm cậy của

các báo cáo

Công nghệ không ngừng phát triển và tìm cách định hình môi trường CNTT trong các doanh nghiệp Sau đây là các mô tả ngắn gọn về các xu hướng công nghệ khác nhau gần đây đã và sẽ chắc chắn sẽ tiếp tục ảnh hưởng đến hoạt động kinh doanh, cách thức kiểm soát của các doanh nghiệp:

e Dién toan dam may (Cloud)

e Ung dung di déng va may tinh (MDM- Mobile Device Management)

e Phân tích dữ liệu lớn

e_ Công nghệ bảo mật

e Tri tué nhan tao (AI — Artificial Inteligence)

e_ Công nghệ chuỗi khối (Blockchain)

1.2 Kiểm toán công nghệ thông tin

1.2.1 Khái niệm

Theo ISACA (2010), kiểm toán CNTT đề cập đến việc kiểm tra và đánh giá mức

độ tuân thủ một tiêu chuẩn hay hướng dẫn, mức độ chính xác của các báo cáo hoặc sự đáp Ứng các mục tiêu về tính hữu hiệu và hiệu quả Kiểm toán CNTT có thê được định nghĩa

là việc kiểm tra chính thức, độc lập và khách quan đối với cơ sở hạ tầng CNTT của tô

chức đề xác định xem các hoạt động (ví dụ: thủ tục, kiểm soát, v.v.) co liên quan dén viéc

thu thập, xử lý, lưu trữ, phân phối, và sử dụng thông tin tuân thủ các hướng dẫn, bảo vệ

tài sản, duy trì tính toàn vẹn của dữ liệu và hoạt động hiệu quả và hiệu quá để đạt được

các mục tiêu của tô chức (Senft và cộng sự, 2012) Kiểm toán CNTT cung cấp sự đảm bảo hợp lý rằng thông tin do các ứng dụng tạo ra trong tổ chức là chính xác, đầy đủ và hỗ trợ việc ra quyết định hiệu quả Vai trò của kiểm toán CNTT là đề đánh giá tính đầy đủ của các hệ thông ứng dụng đề đáp ứng nhu cầu xử lý, đánh giá tính đầy đủ của kiểm soát nội bộ và đảm bảo rằng các tài sản được kiêm soát bởi các hệ thống đó được bảo vệ đầy

1.2.2 Vai trò của kiểm toán công nghệ thông tin

Kiểm toán viên CNTT góp phần tạo ra hiệu quả chung đối với việc sử dụng và ứng dụng CNTT trong tổ chức Chăng hạn, thông qua một cuộc kiểm toán phát triển hệ thông CNTT, kiểm toán viên CNTT có thể đưa ra các khuyến nghị về kiêm soát nội bộ cho quy trình phát triển hệ thống như sự phê chuân các kế hoạch, quá trình thử nghiệm toàn diện cho hệ thông mới, và các yêu cầu bảo mật thông tin trong thiết kề hệ thông

Kiểm toán viên CNTT cũng đóng vai trò tích cực trong việc hỗ trợ các tổ chức xây dựng chính sách, thủ tục, tiêu chuẩn và/hoặc thực tiễn tốt nhất về an toàn thông tin, dau

vết kiểm toán, kiểm soát, thử nghiệm, v.v Ví dụ: một chính sách bảo mật thông ft tốt có

thê bao gồm: (¡) Chỉ định các tính năng bảo mật bắt buộc; (ii) Xác định “kỳ vọng hợp lý”

về quyền riêng tư liên quan đến các vấn đề như giám sát hoạt động của mọi người: (ii) Xác định quyền và đặc quyền truy cập và bảo vệ tài sản khỏi mất mát, tiết lộ hoặc thiệt hại bằng cách chỉ định nguyên tắc sử dụng có thê chấp nhận được cho người dùng: (ïv) Đưa ra nguyên tắc cho giao tiếp bên ngoài (hệ thống mạng intemet); (v) Xác định trách nhiệm của tất cả người dùng: (vi) Thiết lập lòng tin thông qua chính sách mật khẩu hiệu qua; (vii) Chi dinh quy trình khôi phục; (vi) Yêu cầu ghi lại các vi phạm; (ix) Thừa nhận rằng chủ sở hữu, người quản lý và khách hàng của thông tin cần phải báo cáo những bất thường và bảo vệ việc sử dụng và phô biến thông tin đó; (x) Cung cấp cho người dùng thông tin hỗ trợ liên quan chính sách bảo mật thông tin chung trên trang website của doanh nghiệp

1.2.3 Quy trình kiểm toán công nghệ thông tin

Quy trình kiểm toán CNTT tương tự như kiểm toán báo cáo tài chính hay kiểm

toán nội bộ Tuy nhiên, mục đích của kiểm toán báo cáo tài chính là đánh giá việc báo cáo tài chính có được lập trên cơ sở chuẩn mực và chế độ kế toán hiện hành, tuân thủ

pháp luật liên quan và phản ánh trung thực, hợp lý trên các khía cạnh trọng yếu, còn mục đích của kiêm toán CNTT là xem xét và đánh giá tính sẵn sàng, tính bảo mật và tính toàn vẹn thông qua việc trả lời những câu hỏi như: Hệ thông máy tính có sẵn sàng cho hoạt động sản xuất kinh doanh tại mọi thời điểm; có phải chỉ những người có thâm quyền mới được sử dụng không: đã cung cấp thông tin chính xác, trung thực và kịp thời không,v.v

Quy trình kiểm toán CNTT bao gồm các giai đoạn chính sau:

Giai đoạn: Lập kế hoạch kiểm toán

hạn, nâng cao khả năng phát hiện gian lận, rủi ro và những vấn đề tiềm ân Mặt khác,

kiểm toán viên cần xác định phạm vi và mục tiêu của cuộc kiểm toán thông qua các

thử nghiệm về hệ thống thông tin Đề xác định mục tiêu kiểm toán và đảm bảo thông tin thu thập được có hiệu quả, kiểm toán viên cần đánh giá rủi ro nhằm tìm ra những bằng chứng thích hợp và đầy đủ trong suốt quá trình kiểm toán Kiểm toán viên phải

đánh giá rủi ro kiểm toán và xác định các thủ tục kiểm toán nhằm giảm thiểu các rủi ro

kiêm toán xuống thấp tới mức có thê chấp nhận được, cần xem xét những vấn đề chung

và cụ thê của hệ thống thông tin đề đánh giá rủi ro tiềm tàng

Giai đoạn: Thực hiện kiểm toán

Kiểm toán CNTT được thực hiện chung với một cuộc kiểm toán báo cáo tài

chính hay một cuộc kiểm toán hoạt động và có quy trình tương tự Nhưng trong cùng quy trình kiểm toán, kiểm toán CNTT có mục đích xem xét, đánh giá hệ thông thông tin của doanh nghiệp

Giai đoạn hoàn thành cuộc kiếm toản

Kiểm toán viên cần ghi lại từng phát hiện quan trọng với bản báo cáo về khung pháp lý, sự kiện, kết luận và rủi ro CNTT; Ngoài những phát hiện riêng lẻ, Kiểm toán viên cần đưa ra kết luận chung về kiểm soát CNTT Cùng với đó, KTV cần giải thích từng điểm yếu trong kiểm soát liên quan đến rủi ro CNTT

Giai đoạn: Theo dõi sau kiểm toán

Nếu kiểm toán CNTT được thực hiện như một cuộc kiểm toán hoạt động, thì thông thường kiểm toán viên CNTT còn phải thực hiện một giai đoạn theo đối sau kiểm toán Đây là giai đoạn kiểm toán viên theo dõi việc thực hiện các khuyến nghị kiểm toán có được tuân thủ đầy đủ và hiệu quả

1.3 Các chuẩn mực và quy định liên quan đến kiểm toán công nghệ thông tin

1.3.1 Thu vién co sé ha tang CNTT (ITIL)

ITIL được Văn phòng Thương mại Chính phủ (OGC) của Vương quốc Anh phat triển như một thư viện gồm các quy trình thực hành tốt nhất để quản lý địch vụ CNTT Được áp dụng rộng rãi trên thế giới, ITIL cung cấp hướng dẫn về các phương pháp tốt nhất trong lĩnh vực quản lý dịch vụ CNTT

1.3.2 Bộ tiêu chuẩn COBIT

COBIT là một khung quản trị CNTT nhằm giúp các doanh nghiệp tuân thủ quy

định, quản lý rủi ro và điều chỉnh chiến lược CNTT với mục tiêu của tổ chức Đây là một

7

giới Áp dụng tiêu chuẩn COBIT trong kiểm soát sẽ có nhiều lợi ích: giúp nhân viên, người quán lý, giám đốc điều hành và kiểm toán viên hiểu được hệ thông CNTT của đơn

vị, nâng cao mức độ bảo mật và thiết kế các biện pháp kiêm soát phù hợp

1.3.3 Khung ISO/IEC 27000

Nhóm tiêu chuẩn ISO/IEC 27000 bao gồm các kỹ thuật giúp các tổ chức bảo mật

tài sản thông tin của họ Một số tiêu chuẩn liên quan đến các kỹ thuật bảo mật CNTTT bao

gồm:

- _ Các yêu cầu đối với việc thiết lập, triển khai, duy trì, đánh giá và cải tiến liên tục

hệ thống quản lý an toàn thông tin trong bối cảnh của tổ chức Các yêu cầu này là chung chung và nhằm mục đích áp dụng cho tất cả các tổ chức,không phân biệt loại hình, quy mô, tính chất (ISO/IEC 27001:2013)

- _ Hướng dẫn triển khai hệ thống quản lý an toan théng tin (ISO/IEC DIS 27003)

- _ Hướng dẫn thực hiện quán lý an ninh thông tin (nghĩa là bắt đầu, thực hiện, duy trì

và cải thiện an ninh thông tin) cho truyền thông liên ngành và liên tô chức (SO/IEC 27010:2015)

- ISO/IEC 27013:2015 Huéng dan trién khai tích hợp hệ thống quản lý an ninh thông tin, như được quy định trong ISO/IEC 27001 và hệ thống quản lý dịch vụ,

như được quy định trong ISO/IEC 20000-1

Tóm lại, các khung quản lý CNTT ITIL, COBIT và ISO/IEC 27002 đều là những khuôn khô thực hành tốt nhất liên quan đến CNTT đề tuân thủ quy định và quản trị doanh nghiệp Tuy nhiên, sẽ là thách thức nếu một doanh nghiệp áp dụng một khuôn khô tích hợp dựa trên ba tiêu chuẩn này Việc điều chỉnh ITIL, COBIT và ISO/IEC 27002 không chỉ chính thức hóa mối quan hệ giữa chúng mà quan trọng nhất là cho phép các tô chức: (1) triên khai một phương pháp tuân thủ, tích hợp, duy nhất nhằm mang lại các mục tiêu kiêm soát chung về quản trị doanh nghiệp: (i1) đáp ứng các yêu cầu quy định về dữ liệu và quy định liên quan đến quyên riêng tư; và (ii) sẵn sàng cho chứng nhận bên ngoài đối với

ISO 27001 va ISO 20000, cả hai chứng nhận này đều thẻ hiện sự tuân thủ

CAU HOI VA BAI TAP CHUONG 1

A CAU HOI ON TAP

Cau 1: Hay cho biét méi quan hé gitra quan trị và chiến lược CNTT?

Câu 2: Kiểm toán CNTT là gì? Vai trò của kiểm toán CNTT?

Câu 3: Hãy cho biết các chuân mực và quy định liên quan đến kiểm toán công nghệ thông tin?

Câu 4: Phân biệt thử nghiệm kiểm soát và thử nghiệm cơ bản trong kiểm toán CNTT?

Câu 5: Trình bày các nội dung chính của quy trình kiểm toán công nghệ thông tin?

B CAU HOI TRAC NGHIEM

1 Kiểm toán công nghệ thông tin đánh giá rủi ro liên quan đến hệ thống CNTT bao gồm:

a Con người, quy trình, công nghệ

b May tinh xach tay, may chu, may tinh dé ban

c Sự hiệu quả, năng suất, và tuân thủ

d Vận chuyền, vận hành, quản trị

2 Tất cả các đối tượng sau đều là mục tiêu đánh giá của một cuộc kiểm toán CNTT, ngoại trừ

a Báo mật thông tin

b Kế hoạch kinh doanh liên tục

c Việc phối màu trang web

d Kiểm soát truy cập

3 “Là một phần của quản trị doanh nghiệp nhằm đưa ra một cấu trúc và quy trình tiên tiến với mục đích sử dụng tối ưu năng lực CNTT đề đảm bảo phát triển bền vững và hỗ

trợ tối đa chiến lược và mục tiêu của doanh nghiệp” Đây là khái nệm về:

a Những nguyên tắc và tiêu chuân của CNTT và hệ thống thông tin (IS - Information System hay HTTT);

b Các chiến lược tổ chức, quản trị, sử dụng của doanh nghiệp hay kiến trúc của CNTT,

kỹ năng và chiến lược con người, chi phí và giá trị chiến lược, danh mục đầu tư quản lý chiến lược, chiến lược quản lý dich vu CNTT;

c Xác định nguồn cung ứng chiến lược và chiến lược quản lý CNTT nói chung trong một

tô chức

d Tất cả các nội dung trên

5 Ví dụ nào sau đây không phải là kiểm soát chung?

a Lập kế hoạch sao lưu dữ liệu định kỳ

b Tiến hành thử nghiệm cho các phân mềm mua sắm mới

c Kiểm tra xác thực đữ liệu đầu vào

d Kiểm soát an toàn vật ly

C CÂU HỎI ĐÚNG/SAI VÀ GIẢI THÍCH

1 Kiểm toán CNTT không bao gồm việc xác định các điểm yếu trong mạng hệ thông và

tạo kế hoạch hành động dé ngăn chặn các vi pham bao mat trong công nghệ

2 Kiểm toán CNTT có thẻ được tiễn hành như một cuộc kiểm toán riêng biệt, và cũng có thể tiễn hành như là một thành phần trong một cuộc kiểm toán báo cáo tài chính, kiếm toán hoạt động hay kiểm toán tuân thủ

3 Kiêm toán viên CNTT không bao giờ làm việc với kiêm toán viên độc lập

4 Kiểm toán viên CNTT có khả năng có thê làm việc tại ngân hàng, doanh nghiệp hay tại công ty kiêm toán độc lập

5 Kiểm soát trong môi trường CNTT thường không áp dụng nguyên tắc phân chia trách

nhiệm do được xử lý tự động trên hệ thống máy tính

Bài 2: Phòng kiểm toán nội bộ của công ty CK đang thành lập một nhóm kiểm toán

chuyên về CNTT để thực hiện các cuộc kiểm toán CNTT Hãy cho biết

a Tại sao một doanh nghiệp cần các cuộc kiểm toán CNTT2 Một cuộc kiểm toán CNTT

có thê được thực hiện bởi các kiểm toán viên độc lập bên ngoài không?

b Các kiểm toán viên CNTT cần có những tiêu chuẩn về nghề nghiệp nào?

c Các tiêu chuẩn/chuân mực được sử dụng để đánh gia trong một cuộc kiểm toán CNTT

CHUONG 2: KIEM SOAT NOI BO TRONG MOI TRUONG

CONG NGHE THONG TIN

Mục tiêu chương

Sam khi nghiên cứu xong chương này, người đọc có thể:

- _ Xác định và đánh giá các rủi ro trong môi trường CNTT

- - Năm bắt được các khuôn khô và chuẩn mục liên quan đến kiêm soát nội bộ

trong môi trường CNTT

- Hiệu được các mục tiêu kiêm soái và các hoạt động kiêm soát của kiêm soát nội

Bộ trong môi trường CNTT

LY THUYET CHUONG

2.1 Các rủi ro trong môi trường công nghệ thông tin

Trong bối cảnh của cuộc cách mạng công nghiệp 4.0, các doanh nghiệp đã và đang từng bước thực hiện chuyển đổi số toàn điện nhằm đáp ứng cho mục tiêu phát triên nhanh

và bền vững của mình trong giai đoạn mới Song song với quá trình chuyên đổi này, các rủi ro liên quan đến hệ thống thông tin và công nghệ của doanh nghiệp cũng dần được nhận diện, theo dõi và xử lý

Các rủi ro trong môi trường công nghệ thông tin có thể được phân loại theo từng

nhóm mục tiêu và được định nghĩa như sau:

e_ Rủi ro an ninh mạng

e_ Rủi ro truy cập

e©_ Rủi ro quyên riêng tư

e_ Rủi ro quản trị dữ liệu

e Rui ro toàn vẹn đữ liệu

e©_ Rủi ro người dùng cuối

e_ Rủi ro ứng dụng đám mây

2.2 Kiểm soát nội bộ trong môi trường công nghệ thông tin

2.2.1 Các khuôn khỗ về kiểm soát nội bộ trong môi trường công nghệ thông tin Khuôn khô kiêm soát nội bộ trong môi trường CNTT (sau đây gọi là tắt là “Khuôn khổ”)

là những mô hình được công nhận rộng rãi trên toàn cầu được sử dụng đề thiết lập hệ

12

thống kiểm soát nội bộ trong môi trường CNTT của doanh nghiệp Việc lựa chọn Khuôn khổ liên quan đến việc quyết định mô hình nào sẽ được áp dụng nhằm mang lại lợi ích cho doanh nghiệp Các Khuôn khô thường được khái quát hóa đề sử dụng rộng rãi, nhưng không có khuôn khô nào có thê phù hợp tuyệt đối với tất cả các loại hình kinh doanh của doanh nghiệp hoặc tất cả các khía cạnh CNTT Do đó, các Khuôn khô luôn được thiết kế

để tùy chỉnh cho phù hợp với nhu câu và thực tế kinh doanh của từng doanh nghiệp Thông thường mỗi Khuôn khổ sẽ thiên về một “nhóm” các kiểm soát đề giải quyết một số loại rủi ro cụ thể Hiểu đúng về các rủi ro CNTT mà doanh nghiệp đang phải đối mặt và khâu vị rủi ro của đoanh nghiệp là điều kiện tiên quyết đề lựa chọn Khuôn khổ phù hợp

Có nhiều Khuôn khô được công nhận và áp dụng rộng rãi trên toàn cầu

2.2.1.1 Khung an ninh mạng NIST (NIST Cybersecurity Framework)

NIST Cybersecurity Framework la mét b6 hudng dan nham giam thiểu rủi ro an ninh

mạng của doanh nghiệp, do Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (US National Institute of Standards and Technology - NIST) xuất bản dựa trên các chuân mực, hướng dẫn và thông lệ hiện có Khuôn khổ này cung cấp các phân loại cấp độ cao về các hậu quả an ninh mang (cybersecurity outcomes) va cac phuong phap dé danh giá và quản

lý những hậu quả đó Ngoài ra, nó cũng bao gồm hướng dẫn về bảo vệ quyền riêng tư và quyền tự do dân sự trong bối cảnh an ninh mạng Nó đã được dịch sang nhiều ngôn ngữ

và được sử dụng bởi một số chính phủ cũng như nhiều doanh nghiệp và tổ chức Một

nghiên cứu năm 2016 cho thay 70% các tô chức được khảo sát coi Khuôn khổ NIST

Cybersecurity Framework là bộ hướng dẫn thực hành tốt nhất (best practice) phd bién dé

bảo mật máy tính

2.2.1.2 Tiêu chuẩn ISO 27000

Loạt tiêu chuẩn ISO 27000 liên quan đến Hệ thống quản lý an toàn thông tin (information

security management systems - ISMS) với mục đích đảm bảo rằng thông tin nhạy cảm của tô chức vẫn được bảo mật Loạt tiêu chuẩn này áp dụng quy trình quản lý rủi ro đề bảo mật thông tin Loạt tiêu chuân ISO 27000 được tạo ra để cung cấp các tiêu chuân ISMS được công nhận trên toàn cầu cho các tô chức trong tất cả các ngành nghề và bất kê

quy mô của tô chức Các tiêu chuẩn thuộc nhóm ISO 27000 luôn được rà soát, điều chỉnh

và bô sung kịp thời đề bắt kịp với nhu cầu bảo mật trong bồi cảnh những tiến bộ khoa học

— công nghệ bùng nô trong thời dai 4.0

e 2.2.1.3 Bộ tiêu chuẩn COBIT

13

COBIT la tén viét tat cha “Control Objectives for Information and Related Technology”,

là một khuôn khổ pho bién duoc chap nhận rộng rai trên toàn cầu do Hiệp hội Kiểm toán

và Kiểm soát Hệ thống Thông tin (Information Systems Audit and Control Association — ISACA) tạo ra ISACA giúp doanh nghiệp đạt được các mục tiêu quản trị và quản lý

CNTT Phiên bản hiện tại của Khuôn khổ là COBIT 2019, giup:

e©_ Người dùng hài lòng hơn với các kết quá đầu ra của hệ thống CNTT và sự bảo mật

của hệ thống CNTT

e Ban lãnh đạo hiểu vai trò của CNTT và vị trí của nó trong chiến lược tô chức

e©_ Ban quản lý tạo ra nhiều giá trị hơn từ tài nguyên CNTT, đáp ứng việc tuân thủ quy định và kiểm soát rủi ro CNTT bằng cách cung cấp nhận thức rủi ro tốt hơn đề đưa ra các quyết định sáng suốt

Khuôn khô này có thể được điều chỉnh để sử dụng bởi bất kỳ quy mô hoặc loại hình doanh nghiệp nào nhằm thiết lập và đạt được các mục tiêu quản trị và quản lý riêng biệt

cho các hệ thông thông tin của mình

2.2.1.4 Thư viện cơ sở hạ tầng CNTT ITIL

Thu vién co sé ha tang CNTT (the IT Infrastructure Library — ITIL) la mét khuén khổ thực hành tốt nhất (best practice) tập hợp các hướng dẫn thực hành chỉ tiết cho các hoạt động CNTT như quán lý dịch vụ CNTT (TT service management - ITSM) va quan lý tài san CNTT (IT asset management - ITAM)

TTIL mô tả các quy trình, thủ tục, nhiệm vụ và các danh mục (checklists) không dành

riêng cho loại hình doanh nghiệp cũng như công nghệ cụ thể nào Nó thiết lập các cơ sở

cho phép doanh nghiệp lập ké hoạch, thực hiện và đo lường Nó còn được sử dụng dé

chứng minh sự tuân thủ và dé do lường sự cải thiện Kẻ từ nam 2013, ITIL da thudc sé

hữu của AXELOS, một liên doanh giữa Capita và Văn phòng Nội các Vương quốc Anh 2.2.2 Mục tiêu kiểm soát

Mỗi Khuôn khổ sẽ mô tả các mục tiêu kiểm soát đối với CNTT khác nhau Dưới dây là một số quan điểm về các mục tiêu đối với CNTT

Theo hướng dẫn thực hành GTAG (Global Technology Audi Guide) của IIA, các mục tiêu kiếm soát nội bộ CNTT bao gầm:

e Bao vé tai sản/nguồn lực/vốn chủ sở hữu

e Đảm bảo rằng thông tin luôn sẵn có, đáng tin cậy và được giới hạn thích hợp

e Yéu câu người dùng chịu trách nhiệm về các chức năng được thực hiện

14

e Bao vé quyén riêng tư và danh tính của khách hàng

e© Cung cấp hỗ trợ và bằng chứng về hiệu quả công việc của nhân viên (Nhân viên

có thê chứng minh rằng họ đã làm đúng.)

e Duy tn tinh xác thực và tính toàn vẹn của đữ liệu và hệ thống

e©_ Đảm bảo với cấp quản lý rằng các quy trình tự động được kiêm soát

© Cung cấp lộ trình kiểm toán cho tất cả các giao dịch tự động và do người dùng

thực hiện

2.2.3.1 Phân loại theo mức độ của kiểm soát

Một cách phân loại phố biên của kiểm soát CNTT là kiểm soát chung và kiểm soát ứng dụng

Kiểm soat chung CNTT (Information Technology General Controls - ITGCs)

Các biện pháp kiểm soát chung áp dụng cho tất cả các thành phần, quy trình và đữ liệu của hệ thông Các biện pháp kiểm soát chung bao gồm, nhưng không giới hạn ở, quản trị CNTT, quan ly rủi ro, quản lý tài nguyên, vận hành CNTT, phát triển va bao trì ứng dụng, quản lý người dùng, bảo mật logic, bảo mật vật lý, quản lý thay đổi, sao lưu và phục hồi cũng như tính hoạt động liên tục của doanh nghiệp

Kiém soat teng dung (Application controls)

Kiểm soát ứng dụng liên quan đến phạm vi của các quy trình kinh doanh hoặc hệ thống ứng đụng riêng lẻ và xoay quanh các yếu tô đầu vào, xử lý và đầu ra của từng ứng dụng

cụ thê Mục tiêu của các biện pháp kiểm soát ứng dụng là đảm bảo rằng:

e©_ Dữ liệu đầu vào chính xác, đầy đủ, được cấp phép

e© Dữ liệu được xử lý như dự kiến trong khoảng thời gian có thê chấp nhận được

e© Dữ liệu được lưu trữ chính xác và đầy đủ

e© Kết quả đầu ra chính xác và đầy đủ

e© Một bản ghi được duy trì đề theo dõi quá trình đữ liệu từ đầu vào đến lưu trữ và

cuối cùng là đầu ra

2.2.3.2 Phân loại theo chức năng của kiểm soát

Chức năng của một kiểm soát có liên quan mật thiết đến việc đánh giá thiết kế và hiệu quả

của nó Xét theo chức năng, các biện pháp kiêm soát thường được phân loại là kiểm soát phòng ngừa, kiêm soát phát hiện hoặc kiểm soát sửa chữa

15

Kiểm soát phòng ngừa (prevenfive confols) ngăn ngừa lỗi, thiêu sót hoặc sự cô bảo mật xảy ra Một vi dụ về kiêm soát phòng ngừa là quy trình xác thực đữ liệu đầu vào Kiểm soát phát hiện (detective confrols) giúp phát hiện các lỗi hoặc sự cố vượt qua các biện pháp kiểm soát phòng ngừa

Kiểm soát sửa chữa (corrective confrol) giúp khắc phục các lỗi, thiêu sót hoặc sự cô khi chúng đã được phát hiện

2.2.3.3 Phân loại kiểm soát theo vai trò, trách nhiệm của các bên có liên quan Một cách phân loại kiểm soát phổ biến khác là theo cấp chịu trách nhiệm dam bảo các

kiểm soát được thực hiện và duy trì đúng cách Với mục đích đánh giá vai trò và trách

nhiệm, hướng dẫn này chủ yếu phân loại các biện pháp kiểm soát CNTT là quản trị CNTT, quản lý CNTTT và kỹ thuật

Kiểm soát quan tri CNTT (IT Governance Controls)

Trách nhiệm chính đối với việc giám sát kiểm soát nội bộ thuộc về Hội đồng quản trị với vai trò là người quản lý khuôn khô quản trị

Kiểm soát quan ly CNTT (IT Management Controls)

Trách nhiệm quản lý đối với kiểm soát nội bộ thường liên quan đến việc tiếp can tat ca các lĩnh vực của doanh nghiệp với sự quan tâm đặc biệt đến các tài sản quan trọng, thông

tin nhạy cảm và các chức năng vận hành

Kiém soat kj thuat (Technical Controls)

Kiểm soát kỹ thuật thường tạo thành xương sống của khung kiểm soát quản lý Vì vậy, nếu các biện pháp kiêm soát kỹ thuật yếu kém thì tác động sẽ ảnh hưởng đến toàn bộ

khung kiểm soát

2.2.3.4 Phân loại theo hệ thống phân cấp kiểm soát CNTT

Các biện pháp kiểm soát riêng lẻ trong một doanh nghiệp có thê được phân loại trong hệ thong phan cap kiểm soát CNTT — từ các tuyên bồ chính sách cấp cao tổng thê đo ban

giám đốc ban hành và được Hội đồng quản trị phê duyệt cho đến các cơ chế kiểm soát cụ

thê được tích hợp vào các hệ thông ứng dụng

Tất cả các doanh nghiệp đều cần xác định sử mệnh và mục tiêu của mình thông qua các

kế hoạch chiến lược và tuyên bồ chính sách Nếu không có tuyên bồ rõ ràng về chính sách

và tiêu chuẩn để định hướng, các danh nghiệp có thê trở nên mất phương hướng và hoạt động không hiệu quả

Các tuyên bố về chính sách CNTT có thể bao gồm, nhưng không giới hạn đối với:

16

e Chinh sach chung vé muc dé bao mat va quyén riéng tu trong toan doanh nghiép

e Tuyén bé vé phan loai théng tin va quyén truy cập ở mỗi cấp độ

e Dinh nghia vé cac khai niém vé quyén so hitu dit ligu va hé thong, citing nhu quyén

hạn cần thiết để tạo, sửa đôi hoặc xóa thông tin

e Chính sách nhân sự xác định và thực thi các điều kiện cho nhân viên trong các lĩnh

vực nhạy cảm

e Định nghĩa về các yêu cầu lập kế hoạch kinh doanh liên tục tổng thể

CÂU HỎI VÀ BÀI TẬP CHƯƠNG 2

A CÂU HỎI ÔN TẬP

Cau 1: Hé thong CNTT của doanh nghiệp bao gồm những thành phần nào?

Câu 2: Kê tên các rủi ro CNTT liên quan đến mục tiêu báo vệ tài sản CNTT và quyền riêng tư?

Câu 3: Những quy định liên quan nào đến kiêm soát nội bộ trong môi trường CNTT? Câu 4: Trình bày các nguyên tắc của khuôn khô quản trị và hệ thống quản trị COBIT

20192

Câu 5: Các hướng dẫn của NIST đã hỗ trợ các cơ quan và tô chức liên bang như thế nào

trong việc cải thiện đáng ké chat luong bao mat CNTT tong thê của họ?

Câu 6: Mục tiêu của kiểm soát nội bộ liên quan đến CNTT là gì?

Câu 7: Kề tên các kiêm soát được phân loại theo chức năng và trình bày mối liên kết giữa chúng?

Câu 8: Trình bày những điềm khác nhau giữa Kiểm soát chung và Kiểm soát ứng dụng? Câu 9: Trình bày các kiểm soát được phân loại theo hệ thông phân cấp kiêm soát CNTT? Câu 10: Những sai phạm liên quan đến CNTT nào có thê xảy ra trong các chu trình ảnh

hưởng đến BCTC?

B CAU HOI TRAC NGHIEM

1 Doanh nghiệp cấp quyền truy cập vào các phần hành cụ thể của ứng dụng cho từng cá nhân nhằm ngăn ngừa:

a._ Rủi ro khôi phục thảm họa

b Rủi ro quản trị

c Rủi ro truy cập

17

d Rui ro ứng dụng đảm mây

2 Doanh nghiệp thiếu quản trị, giám sát và kiểm soát đối với các ứng dụng, hệ thống và chương trình được sử đụng phi tập trung, dẫn đến:

a Tang chỉ phí giảm sát

b Tiết kiệm chỉ phí kiểm soát

c Dữ liệu quan trọng trong kmh doanh có khả năng gặp rủi ro do dữ liệu này không được quản lý và báo vệ ở mức độ thích hợp

d Tất cả các phương án trên đều sai

3 Việc thiếu kỷ luật và tiêu chuân hóa các quy trình hoạt động đang gây ra lỗi xử lý và giản đoạn kinh doanh là rủi ro:

a Rủi ro tự động hóa

b Ruiro déi mới công nghệ

c Rủi ro vận hành

d Rủi ro quán lý thay đôi

4 Doanh nghiệp thiếu năng lực và khả năng về nguồn lực CNTT hoặc nhà thầu đề đáp ứng nhu cầu công nghệ hiện tại và tương lai là:

a Ruiro thiếu sự liên kết

a Mang lại lợi ích cho doanh nghiệp

b Các Khuôn khổ thường được khái quát hóa để sử dụng rộng rãi, nhưng không có khuôn khổ nào có thể phù hợp tuyệt đối với tất cả các loại hình kinh doanh của doanh nghiệp hoặc tất cả các khía cạnh CNTT

c Thông thường mỗi Khuôn khô sẽ thiên về một “nhóm” các kiểm soát đề giải quyết

một số loại rủi ro cụ thê

d Tất cả các phương án trên đều đúng

C CÂU HỎI ĐÚNG/SAI VÀ GIẢI THÍCH

1 Doanh nghiệp có khả năng bị tốn thất khi hệ thống công nghệ thông tin bị xâm hại hoặc

bị giản đoạn

2 Rủi ro CNTT liên quan đến quản lý, sử dụng phần cứng, phần mềm, truyền thông, giao điện hệ thống, vận hành và con người, chỉ ảnh hưởng đến các mục tiêu bảo mật của hệ thống CNTT

18

van ban cho CNTT

4 Trong thời gian dịch bệnh Covid kéo đài các doanh nghiệp thiếu các công cụ, công nghệ và nguồn lực đây đủ đề kích hoạt và hỗ trợ lực lượng lao động từ xa cũng không ảnh hưởng nhiều đến việc hoạt động bình thường của doanh nghiệp

5 Doanh nghiệp càng sử dụng nhiều ứng dụng CNTT sẽ hạn chế được các rủi ro xảy ra

D BÀI TẬP

Bài 1: Công ty M là doanh nghiệp đang vận hành một sàn thương mại điện tử và đang

trong quá trình hoàn thiện hệ thong quan tri ri ro va kiểm soát nội bộ, đặc biệt là về kiểm

soát nội bộ trong môi trường CNTT Hãy cho biết kiểm soát nội bộ trong môi trường CNTT sẽ có những điểm khác biệt gì so với môi trường thủ công?

Bài 2: Hãy cho biết các rủi ro và thủ tục kiểm soát liên quan đến các mục tiêu sau (điền vào bảng):

Quản lý kiểm | Bảo mật của hệ thống phù hợp

soát truy cập được thực hiện, quản lý và ghi lại

dé bao vệ chống lại việc truy cập

trái phép hoặc sửa đổi các chương

trình và đữ liệu, dẫn đến việc xử

lý hoặc ghi chép thông tin tai

chính không đầy đủ, không chính

Quản lý kiểm | Các chương trình và hệ thông

soát thay đổi được thực hiện một cách thích

hợp theo cách hỗ trợ việc xử lý và

shi chép thông tím tài chính một

cách chính xác, đầy đủ và hợp lệ

Quản lý hoạt | Dữ liệu được quán lý thích hợp để

động CNTT cung cấp sự đám bao hop ly rang

dữ liệu tài chính vẫn đầy đủ, chính

xác và hợp lệ trong suốt quá trình

19

cập nhật và lưu trữ

20

CHUONG 3: CAC CONG CU VÀ KY THUAT TRONG KIEM

TOAN CONG NGHE THONG TIN

Muc tiéu chuong

Sam khi nghiên cứu xong chương này, người đọc có thể:

- Nêu được các kỹ thuật tim hiểu và mô tả về các hệ thông và quy trình

- Hiểu và vận dụng được phương pháp lưu đồ trong việc mô tả hệ thông

- Giải thích và mô tả được vai trò của các kỹ thuật kiêm toán có sự hỗ trợ của máy

tính CAATs

- Phân tích được các ứng dụng của các kỹ thuật kiêm toán có sự hỗ trợ của máy

tính CAATs

LY THUYET CHUONG 3.1 Các kỹ thuật tìm hiểu và mô tả hệ thống

Việc hiểu và mô tả hệ thông thông tin của đoanh nghiệp đóng vai trò quan trọng trong

cuộc kiểm toán Mô tả hệ thong thông tin, đặc biệt là các hệ thống ứng dụng về tài chính,

giúp kiêm toán viên, kê toán, nhà tư vân, ban giám đôc, hiểu về kiêm soát nội bộ của hệ thống, và quan trọng nhất là để đánh giá hiệu quả của hệ thông Mô tả các hệ thông ứng

dụng tài chính cũng là yêu cầu bắt buộc của chuẩn mực kiểm toán, đề kiểm toán viên hiểu

về các kiêm soát tự động và thủ công mà doanh nghiệp đang áp dụng Thông thường kiểm toán viên tìm hiểu và mô tả hệ thông bằng bản tường thuật, sơ đồ, lưu đồ, bảng biểu, 3.1.1 Bản tường thuật

Bán tường thuật là sự mô tả bằng văn bản về các vấn đề về kiêm soát nội bộ của doanh nghiệp Bản tường thuật thường được sử dụng dé ghi nhận sự hiểu biết của kiểm toán viên

về kiểm soát nội bộ của doanh nghiệp trong trường hợp hệ thống kiểm soát của doanh nghiệp không quá phức tạp Bản tường thuật cũng có thê được sử dụng đề mô tả một phần hoặc một chu trình đơn giản trong doanh nghiệp, và được dùng phôi hợp với các phương pháp tìm hiểu và mô tá kiểm soát nội bộ khác

3.1.2 Sơ đồ - biểu đồ

Sơ đồ dòng dữ liệu (Data flow diaprams - DFDs), là phương pháp mô tả nhân mạnh vào các bước cần thực hiện (process-oriented) trong một quy trình thông qua việc sử dụng các

21

hình ảnh hoặc biêu tượng để mô tả quá trình chuyên đối đữ liệu và cách đữ liệu lưu chuyền trong toàn bộ doanh nghiệp

Sơ đỗ quy trinh kinh doanh (Business process diagrams) la phuong pháp mô tả nhấn mạnh vào sự hiển thị trực quan các hoạt động khác nhau đang diễn ra trong một quy trình kinh doanh Các sơ đồ quy trình kinh doanh này cũng hiền thị tổ chức hoặc quy trình (ví dụ: bảng lương, các khoản phải trả, giải ngân tiền mặt, v.v.) đang thực sự thực hiện như thé nao

3.1.3 Lưu đồ

Lưu đồ là dùng những kỹ thuật, ký hiệu tiêu chuẩn đề mô tả về hệ thống ứng dụng, quy trình xử lý

Đối với kiểm toán viên, lưu đồ được dùng để xác định điểm mạnh và điềm yếu về kiêm

soát trong hệ thông ứng dụng tài chính, từ đó xác định hướng kiểm toán

3.2 Các kỹ thuật kiểm toán có sự hỗ trợ của máy tính (CAATTs)

3.2.1 Các loại kỹ thuật CAATs

CAATs (Computer-Assisted Audit Techniques) là các kỹ thuật ứng dụng CNTT trong

kiểm toán CAATs có thể được sử dụng bởi cả kiểm toán viên CNTT hoặc kiểm toán viên

kiểm toán báo cáo tài chính theo nhiều cách khác nhau đề đánh gia tinh toàn vẹn của ứng

dụng, xác định sự tuân thủ các thủ tục và liên tục theo dõi kết quả xử lý

Hiện nay theo các tài liệu hướng dẫn của ISACA, CA ATs bao gồm nhiều loại công cụ và

kỹ thuật như phần mềm kiêm toán tổng quát (GAS), phần mềm tiện ích, phần mềm gỡ lỗi

và quét, kiêm tra đữ liệu (test data), phần mềm ứng dụng theo dõi và lập bản đồ, và các hệ thong chuyên gia Sau đây là các kỹ thuật phố biến nhất:

Phần mềm kiểm toán tông quat (GAS — General Audit Software)

Phần mềm kiểm toán tổng quát (GAS) đề cập đến phần mềm tiêu chuẩn có khả năng đọc

và truy cập đữ liệu từ các nền tảng cơ sở dữ liệu khác nhau GAS cung cấp cho kiểm toán viên CNTT một phương tiện độc lập để truy cập vào các đữ liệu để phân tích và giải quyết vấn đề trên các tệp dữ liệu Một số tính năng thông thường của GAS bao gồm tính toán toán học, phân tầng, phân tích thống kê, kiêm tra thứ tự (sequence check), kiêm tra trùng lặp và tính toán lại

Dữ liệu thử nghiệm (Test data)

Dữ liệu thử nghiệm (test data) là kỹ thuật lấy một bộ dữ liệu mẫu để đưa vào một hệ

thong/img dụng để đánh giá xem có tôn tại lỗi logic trong chương trình hay không và liệu chương trình có đáp ứng các mục tiêu của nó Hay nói cách khác, kiểm toán viên dùng kỹ

22

thuật đữ liệu thử nghiệm đề đánh giá các hoạt động kiểm soát tự động trong hệ thông của doanh nghiệp có xử lý đúng các đữ liệu không Chẳng hạn, kiêm toán CNTT nhập một

loạt các giao dịch thử nghiệm vào màn hình nhập ứng dụng đề đạt được các mục tiêu sau:

- Hiểu biết chung về logic chương trình liên quan đến một hệ thông phức tạp

«_ Xác định rằng các giao dịch hợp lệ đang được ứng dụng xử lý chính xác

°Ò Xác định rằng các giao dịch không hợp lệ đã được xác định chính xác và được

gan cv (flagged) boi cac kiêm soát của chương trình ứng dụng

3.2.2 Các ứng dụng của các kỹ thuật CAATs

3.2.2.1 Kỹ thuật CAATs trong lấy mẫu kiểm toán

Có một sô công cụ kiêm toán CAATs được sử dụng đề hỗ trợ kiểm toán viên trong việc

xác định cỡ mẫu và chọn mẫu Chẳng hạn như các phần mềm chọn mẫu có thê tự động

tính cỡ mẫu và chọn các mẫu từ các tông thể theo tiêu chí được lựa chọn hoặc ngầu nhiên

Có 2 loại kỹ thuật lấy mẫu:

- - Lấy mẫu phi thống kê (theo xét đoán): Mẫu được chọn dựa trên kiến thức và kinh nghiệm của kiểm toán viên Sự xét đoán khi lấy mẫu có thể là chọn một khoảng thời gian, khu vực địa lý hoặc một tiêu chí cụ thê nào đó

- - Lấy mẫu thống kê: Mẫu được chọn ngẫu nhiên và đánh giá thông qua việc áp dụng

lý thuyết xác suất

3.2.2.2 Kỹ thuật CAATs trong kiểm toán ứng dụng

Có nhiều kỹ thuật CAATs hữu ích cho kiểm toán viên nhằm kiểm tra các ứng dụng và tính toàn vẹn của đữ liệu Chẳng hạn, kiểm toán viên có thể sử đụng các công cụ phân tích

dữ liệu (Data Analytics - DA) hoặc các thủ tục để kiểm tra đữ liệu thô đẻ đưa ra kết luận

Kỹ thuật phân tích đữ liệu được sử dụng trong nhiều ngành đề cho phép ra quyết định tốt

hơn và trong khoa học đề xác minh hoặc bác bỏ các mô hình hoặc lý thuyết hiện có Phân tích đữ liệu khác biệt với khai thác đữ liệu về phạm vi, mục đích và trọng tâm của việc

phân tích Khai thác dữ liệu phân loại lượng đữ liệu không lồ bằng cách sử dụng phần

mềm đề xác định các mẫu chưa được phát hiện và thiết lập các mỗi quan hệ ấn Phân tích

dữ liệu tập trung vào quá trình đưa ra kết luận (hoặc suy ra) chỉ dựa trên những gì đã biết 3.2.2.3 Các ứng dụng kỹ thuật CAATs khac

CAAT trong kiểm toán các kiểm soát ứng dụng

Khi đánh giá các kiểm soát ứng dụng, kiểm toán viên kiểm tra các kiêm soát đầu vào, xử

lý và đầu ra cụ thể cho ứng dụng Kiểm soát ứng dụng cũng được gọi là “kiểm soát tự

động”

23

CAAT rat hữu ích cho kiểm toán viên khi đánh giá các biện pháp kiểm soát ứng dụng liên quan đến việc xử lý các giao địch Như đã mô tả ở trên, các kiểm soát liên quan đến việc

xử lý các giao dịch liên quan đến tính chính xác, đầy đủ, hợp lệ của đữ liệu được thu thập, nhập, xử lý, lưu trữ, truyền đạt và báo cáo Kiểm toán viên thường làm việc với các bảng tính và /hoặc cơ sở dữ liệu do khách hàng của tô chức cung cấp khi thực hiện các thủ tục của họ Các kiêm soát ứng dụng trên bảng tính và / hoặc cơ sở dữ liệu thường được kiểm

toán viên kiêm tra bao gồm kiểm tra tính chính xác toán học, xác thực đầu vào dữ liệu và thực hiện kiểm tra tính liên tục của số thứ tự Kiểm toán viên phải đảm bảo các loại kiểm soát này được thực hiện một cách hiệu quả đề đảm bảo kết quả chính xác

CAATs trong đánh giá hoạt động

Đánh giá hoạt động tập trung vào việc đánh giá hiệu lực, hiệu quả và đạt mục tiêu liên

quan các hoạt động quản lý hệ thống thông tin Các bước trong kiểm toán đề đánh giá hoạt động tương tự như kiểm toán CNTT hay kiểm toán BCTC, ngoại trừ phạm vị Các bước cụ thê trong đánh giá hoạt động gồm:

- Xem xét lại tài liệu, chính sách hoạt động

- Xác nhận những thủ tục với cá nhân và người quản lý

- Quan sát các chức năng, quá trình hoạt động

- Kiểm tra các báo cáo và kề hoạch hoạt động, báo cáo và kế hoạch tài chính

- Kiểm tra sự chính xác của thông tin hoạt động

- Kiểm tra các kiểm soát hoạt động

24

CAU HOI VA BAI TAP CHUONG 3

A CAU HOI ON TAP

Câu 1: Cho biết các kỹ thuật kiểm toán có sự hỗ trợ của máy tính CA ATs là gì và đem lại

những lợi ích gì cho kiểm toán viên CNTT?

Câu 2: Nêu các kỹ thuật để mô ta hệ thông?

Câu 3: Nêu các ứng dụng của các kỹ thuật CAATs?

Câu 4: Cho biết kỹ thuật phân tích đữ liệu (Data analytics) được ứng dụng trong kiểm toán như thế nào?

Câu 5: Cho biết các ứng dụng của phần mềm kiểm toán trong kiêm toán báo cáo tài chính

và kiểm toán các ứng dụng?

B CAU HOI TRAC NGHIEM

1 Các công cụ kiêm toán có thể hỗ trợ kiêm toán viên trong trong việc:

a Lập kế hoạch và theo dõi kế hoạch kiểm toán

b Phân tích số liệu, thông tin phục vụ công việc kiểm toán báo cáo tài chính

a Tiết kiệm thời gian xử lý công việc kiểm toán

b Giảm thiêu rủi ro phát hiện xuống bằng 0

c Đánh giá tính toàn vẹn của ứng dụng, xác định việc tuân thủ các quy trình va theo đối một cách liên tục kết quả xử lý

d Tuân thủ các quy định nghề nghiệp

5 Chức năng của kiểm toán sử dụng máy tính là:

a Lựa chọn các khoản mục, các nội dung cụ thê theo mục đích của kiêm toán viên

b Mở rộng kiểm tra phan lớn hoặc toàn bộ cỡ mẫu

c Phân tích dữ liệu (so sánh, tóm tắt dữ liệu và có thê biêu diễn đữ liệu dưới dạng đồ họa)

d Tất cả các chức năng trên

C CÂU HỎI ĐÚNG/SAI VÀ GIẢI THÍCH

1 Lưu đồ là cách thức tốt nhất để mô tả về hệ thông kiểm soát nội bộ của doanh nghiệp được kiêm toán

2 Sơ đồ dòng dữ liệu (data flow diagram) nhắn mạnh đến các bước cụ thê của quy trình thực tế và các kiêm soát được thiết kế và thực hiện trong quy trình đó

3 Chi co kiém toán viên CNTT mới sử dụng các kỹ thuật CAATs đề phục vụ cho công việc kiểm toán

4 Kiểm toán viên bắt buộc phải sử dụng phần mềm kiểm toán đề thực hiện các thử nghiệm kiểm toán

D BÀI TẬP

Bài 1: Kiểm toán viên có thê sử dụng rất nhiều phường pháp khác nhau đề tìm hiểu và mô

tả về kiểm soát nội bộ của doanh nghiệp, ví dụ sử dung ban tường thuật, sơ đồ, lưu đồ

Yêu cầu:

a Phân tích các điểm mạnh, điểm yếu của phương pháp bản tường thuật, sơ đỗ, lưu đồ

b Mỗi phương pháp nêu trong câu a thường được sử dụng cho các mục đích cụ thể nào

Bài 2: Kiểm toán viên Á đang thực hiện kiểm toán báo cáo tài chính cho một ngân hàng

thương mại và chuẩn bị có cuộc họp với nhóm kiêm toán công nghệ thông tin của công ty kiêm toán nhằm đánh giá hệ thống thông tin kế toán của ngân hàng trong việc tạo lập, xử

lý, ghi chép các giao dịch và lập báo cáo tài chính

Yêu cầu:

26