1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tìm hiểu quy trình kiểm toán r ncông nghệ thông tin

49 0 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Tìm Hiểu Quy Trình Kiểm Toán Công Nghệ Thông Tin
Tác giả Nguyễn Thị Thanh Trúc
Người hướng dẫn ThS. Đào Vũ Hoài Giang
Trường học Trường Đại Học Kinh Tế - Luật
Chuyên ngành Kế Toán – Kiểm Toán
Thể loại khóa luận tốt nghiệp
Năm xuất bản 2018
Thành phố Thành Phố Hồ Chí Minh
Định dạng
Số trang 49
Dung lượng 650,48 KB

Cấu trúc

  • 1.1. Sự cần thiết của đề tài (6)
  • 1.2. Mục tiêu nghiên cứu (7)
  • 1.3. Phương pháp nghiên cứu (7)
  • 1.4. Phạm vi và hạn chế (8)
  • CHƯƠNG 1: KHÁI QUÁT VỀ KIỂM SOÁT VÀ KIỂM TOÁN CÔNG NGHỆ THÔNG TIN (9)
    • 1.1. Công nghệ thông tin (9)
      • 1.1.1. Công nghệ thông tin trong thời đại mới (9)
      • 1.1.2. Tầm quan trọng của kiểm soát và kiểm toán công nghệ thông tin (11)
    • 1.2. Rủi ro thường gặp (13)
    • 1.3. Khái quát về kiểm soát và kiểm toán công nghệ thông tin (15)
      • 1.3.1. Kiểm soát công nghệ thông tin (15)
        • 1.3.1.1. Khái niệm (15)
        • 1.3.1.2. Phân loại (16)
        • 1.3.1.3. Ý nghĩa của kiểm soát công nghệ thông tin (19)
      • 1.3.2. Kiểm toán công nghệ thông tin (19)
        • 1.3.2.1. Khái niệm (19)
        • 1.3.2.2. Những yêu cầu về kiểm toán công nghệ thông tin (20)
        • 1.3.2.3. Mục tiêu kiểm toán (23)
        • 1.3.2.4. Vai trò của kiểm toán công nghệ thông tin (23)
  • CHƯƠNG 2: QUY TRÌNH KIỂM TOÁN CÔNG NGHỆ THÔNG TIN (26)
    • 2.1. Thu thập thông tin và tìm hiểu sơ bộ (26)
    • 2.2. Đánh giá rủi ro ban đầu và lập kế hoạch kiểm toán (27)
    • 2.3. Kiểm toán việc mua sắm và lắp đặt hệ thống công nghệ thông tin (29)
    • 2.4. Kiểm toán quá trình vận hành và duy trì hệ thống công nghệ thông tin (31)
      • 2.4.1. Kiểm toán các kiểm soát chung (31)
        • 2.4.1.1. Kiểm soát tổ chức (31)
        • 2.4.1.2. Kiểm soát hoạt động (32)
        • 2.4.1.3. Kiểm soát vật lý (34)
        • 2.4.1.4. Kiểm soát truy cập nội bộ (35)
      • 2.4.2. Kiểm toán các kiểm soát ứng dụng (36)
        • 2.4.2.1. Kiểm soát đầu vào (36)
        • 2.4.2.2. Kiểm soát việc xử lý dữ liệu (37)
        • 2.4.2.3. Kiểm soát đầu ra (39)
    • 2.5. Kiểm toán việc cải tiến và phát triển hệ thống công nghệ thông tin (40)
  • CHƯƠNG 3: KIỂM TOÁN CÔNG NGHỆ THÔNG TIN TRONG TƯƠNG LAI (43)
    • 3.1. Xu hướng phát triển của kiểm toán công nghệ thông tin (43)
    • 3.2. Những thách thức và yêu cầu đặt ra trong thời đại mới (45)
  • KẾT LUẬN (48)
  • TÀI LIỆU THAM KHẢO (49)

Nội dung

Mặt khác, do quá trình vận hành và sự tồn tại của mỗi doanh nghiệp ngày nay phụ thuộc phần lớn vào hệ thống thông tin, các nhà quản trị cần một sự đảm bảo độc lập, trung thực và hợp lý r

Sự cần thiết của đề tài

Trong nền kinh tế định hướng thị trường, kiểm toán độc lập đóng vai trò thiết yếu, cung cấp thông tin chính xác và đáng tin cậy cho các thành phần kinh tế Báo cáo tài chính (BCTC) là phương tiện truyền tải thông tin quan trọng từ doanh nghiệp đến các bên liên quan, hỗ trợ quyết định kinh tế Với tư cách là bên thứ ba độc lập, kiểm toán độc lập được pháp luật công nhận cung cấp ý kiến kiểm toán đáng tin cậy, đảm bảo tính minh bạch và trung thực của thông tin tài chính Ngoài ra, kiểm toán độc lập còn nâng cao hiệu quả quản trị bằng cách kiểm tra hệ thống kiểm soát nội bộ, giúp doanh nghiệp phát hiện và xử lý sai sót kịp thời, từ đó hoàn thiện quy trình quản lý tài chính và hoạt động sản xuất kinh doanh.

Kiểm toán độc lập đã phát triển và đổi mới theo xu hướng thị trường, đặc biệt là sự tham gia của công nghệ thông tin trong quản trị doanh nghiệp Công nghệ thông tin không chỉ ảnh hưởng đến việc lập và trình bày báo cáo tài chính (BCTC) mà còn trở thành yếu tố thiết yếu trong kiểm toán độc lập Tuy nhiên, sự phát triển này cũng mang đến những rủi ro tiềm ẩn, đe dọa tính trung thực của thông tin, do đó, việc hạn chế rủi ro và nâng cao bảo mật thông tin trở thành yêu cầu cấp thiết cho doanh nghiệp Các hoạt động kiểm soát đã ra đời để hỗ trợ phòng ngừa rủi ro trong việc sử dụng công nghệ thông tin Trong bối cảnh công nghiệp hóa, kiểm toán công nghệ thông tin đã trở thành quy trình không thể thiếu trong kiểm toán độc lập Đề tài nghiên cứu “Tìm hiểu quy trình kiểm toán công nghệ thông tin” sẽ cung cấp kiến thức cơ bản về tầm quan trọng của kiểm soát và quy trình kiểm toán công nghệ thông tin, đồng thời khám phá xu hướng phát triển và thách thức trong ngành kiểm toán Qua đó, người đọc sẽ được trang bị kỹ năng cần thiết để đáp ứng nhu cầu của ngành nghề trong tương lai.

Mục tiêu nghiên cứu

- Lý thuyết về kiểm soát và kiểm toán công nghệ thông tin

- Quy trình kiểm toán công nghệ thông tin

- Xu hướng phát triển của kiểm toán công nghệ thông tin trong tương lai, những yêu cầu và thách thức đặt ra đối với nghề kiểm toán

- Nhận xét và kiến nghị.

Phương pháp nghiên cứu

- Nghiên cứu cơ sở lý luận, tổng hợp các tài liệu nghiên cứu về kiểm soát và kiểm toán công nghệ thông tin

- Nghiên cứu về quy trình kiểm toán công nghệ thông tin trong doanh nghiệp

- Tổng hợp tài liệu và tìm hiểu về xu hướng phát triển của kiểm toán công nghệ thông tin trong tương lai

- Phân tích những yêu cầu và thách thức đặt ra đối với nghề kiểm toán

- Nhận xét và đề xuất kiến nghị.

Phạm vi và hạn chế

Đề tài “Tìm hiểu quy trình kiểm toán công nghệ thông tin” nghiên cứu cơ sở lý luận về kiểm soát và kiểm toán công nghệ thông tin Bài viết tìm hiểu trình tự và thủ tục cụ thể của quy trình kiểm toán công nghệ thông tin, đồng thời phản ánh xu hướng phát triển trong tương lai của lĩnh vực này Ngoài ra, nghiên cứu cũng phân tích các yêu cầu và thách thức mà ngành kiểm toán công nghệ thông tin đang phải đối mặt.

Trong quá trình nghiên cứu, việc xảy ra sai sót là điều không thể tránh khỏi do hạn chế về thời gian và kinh nghiệm thực tiễn Bài viết chỉ có thể phản ánh một cách tổng quát lý thuyết dựa trên số lượng tài liệu nghiên cứu có hạn Do đó, Khóa luận Tốt nghiệp không thể tránh khỏi những hạn chế nhất định.

KHÁI QUÁT VỀ KIỂM SOÁT VÀ KIỂM TOÁN CÔNG NGHỆ THÔNG TIN

Công nghệ thông tin

1.1.1 Công nghệ thông tin trong thời đại mới

Theo Luật Công nghệ thông tin Số 67/2006/QH11, công nghệ thông tin được định nghĩa là tập hợp các phương pháp khoa học, công nghệ và công cụ kỹ thuật hiện đại Nó phục vụ cho việc sản xuất, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin số.

Công nghệ thông tin đã xuất hiện ở Việt Nam từ sớm, với cột mốc quan trọng vào năm 1997 khi Việt Nam chính thức kết nối với Internet toàn cầu Đến nay, Việt Nam là quốc gia có tỷ lệ tăng trưởng Internet nhanh nhất khu vực và nằm trong số những nước có tỷ lệ tăng trưởng cao nhất thế giới Sự phát triển của công nghệ thông tin đã mang lại những ảnh hưởng lớn đến mọi mặt của đời sống xã hội, mở ra những cơ hội khám phá và sáng tạo mới cho con người.

Việc ứng dụng công nghệ thông tin đã mang lại những chuyển biến tích cực cho đời sống xã hội và hoạt động sản xuất kinh doanh Ngày nay, sở hữu một hệ thống thông tin kết nối toàn cầu là yêu cầu thiết yếu cho doanh nghiệp, giúp xử lý dữ liệu hiệu quả và phản ứng nhanh chóng với cơ hội kinh doanh Công nghệ thông tin hiện đại cho phép nhân viên làm việc từ bất kỳ đâu, tạo ra môi trường làm việc linh hoạt và tối ưu hóa sự đa dạng trong lực lượng lao động toàn cầu Bên cạnh đó, nhà quản trị có thể dễ dàng quản lý hoạt động tổ chức và liên lạc với các thành viên ở mọi nơi, giúp giảm đáng kể chi phí hoạt động.

Khi nhu cầu xử lý dữ liệu tốc độ cao gia tăng, công nghệ thông tin ngày càng trở nên thiết yếu trong thương mại toàn cầu, mang lại những đột phá trong quản lý, sản xuất và phân phối Khả năng truy cập, thu thập, xử lý và lưu trữ dữ liệu được cải thiện nhờ ứng dụng công nghệ thông tin trong sản xuất hàng hóa và dịch vụ, giúp nhiều ngành như xây dựng, cơ khí, in ấn, dệt may và dầu khí hoạt động hiệu quả và tăng năng suất Công nghệ thông tin còn thúc đẩy tự động hóa trong sản xuất, tiết kiệm lao động và tối ưu hóa công suất hoạt động Việc xây dựng thương hiệu, phát triển sản phẩm và mở rộng mạng lưới phân phối qua mạng xã hội cũng gia tăng giá trị kinh tế cho Việt Nam Thương mại trực tuyến đã tạo ra một cuộc cách mạng mới trong mua bán và thanh toán, khẳng định vai trò quan trọng của công nghệ thông tin trong nền kinh tế thị trường và là cầu nối thiết yếu giữa các thành phần kinh tế, xã hội.

Trong nền kinh tế thị trường, công nghệ thông tin đóng vai trò quan trọng trong việc thúc đẩy tăng trưởng và đổi mới, tạo ra nhiều ngành nghề mới với nguồn nhân lực chất lượng cao, góp phần hình thành nền kinh tế tri thức tại Việt Nam Công nghệ thông tin không chỉ ảnh hưởng đến sản xuất kinh doanh mà còn làm thay đổi cách thức hoạt động của hệ thống kiểm soát nội bộ trong doanh nghiệp Kiểm toán công nghệ thông tin cũng cần phải thích ứng với sự phát triển này, yêu cầu kiểm toán viên trang bị thêm kiến thức và kỹ năng công nghệ thông tin Hơn nữa, môi trường pháp lý cho ứng dụng và phát triển công nghệ thông tin ở Việt Nam ngày càng hoàn thiện với nhiều nghị định và thông tư, tạo điều kiện thuận lợi cho sự đổi mới và phát triển.

Công nghệ thông tin đóng vai trò chủ lực trong việc giúp Việt Nam thực hiện thành công công nghiệp hóa, hiện đại hóa, từ đó củng cố nền kinh tế và nâng cao vị thế trên trường quốc tế Tuy nhiên, yêu cầu về mạng lưới công nghệ thông tin ngày càng cao, đòi hỏi không chỉ về tốc độ và khối lượng truyền tải mà còn về chi phí đầu tư và vận hành hợp lý Các sản phẩm và dịch vụ công nghệ cũng cần đa dạng và linh hoạt, phù hợp với đặc điểm của từng tổ chức và khả năng thích ứng với thị trường biến động.

1.1.2 Tầm quan trọng của kiểm soát và kiểm toán công nghệ thông tin

Sự phát triển của công nghệ thông tin đã cách mạng hóa hoạt động doanh nghiệp, thay thế phương pháp thu thập dữ liệu thủ công bằng ứng dụng máy tính và giảm thiểu việc lưu trữ hồ sơ Các tổ chức hiện nay ngày càng phụ thuộc vào hệ thống thông tin để quản lý sản xuất, xử lý dữ liệu và lập báo cáo cho quyết định kinh tế Cuộc cách mạng công nghệ đã cải thiện đáng kể quy trình sản xuất kinh doanh, nhưng cũng mang đến rủi ro tiềm ẩn cần biện pháp kiểm soát Độ tin cậy của dữ liệu và báo cáo từ hệ thống thông tin đang trở thành mối quan tâm lớn.

Hiện nay, tội phạm máy tính, đánh cắp dữ liệu và gian lận thông tin đang gia tăng đáng kể Sự phát triển nhanh chóng của công nghệ thông tin khiến cho các biện pháp an ninh, dù truyền thống hay hiện đại, đều gặp khó khăn trong việc đảm bảo hiệu quả.

Mặc dù có nhiều biện pháp bảo vệ hệ thống thông tin trước các mối đe dọa từ bên ngoài, không có phương pháp nào có thể đảm bảo an toàn hoàn toàn Các quy định pháp luật hỗ trợ doanh nghiệp trong việc giảm thiểu tấn công từ tội phạm công nghệ, nhưng vẫn tồn tại những lỗ hổng và có thể nhanh chóng trở nên lỗi thời nếu không được cập nhật thường xuyên An toàn và bảo mật thông tin hiện nay không chỉ là mối quan tâm của pháp luật hay các chuyên gia, mà đã trở thành vấn đề quan trọng ảnh hưởng đến mọi người sử dụng công nghệ thông tin.

Trong thời đại toàn cầu hóa, công nghệ thông tin đóng vai trò quan trọng trong việc cạnh tranh trên thị trường thương mại và trở thành nguồn lực chủ chốt của doanh nghiệp Doanh nghiệp cần xây dựng mạng lưới thông tin kết nối toàn cầu, có khả năng truyền tải và xử lý lượng lớn dữ liệu Máy tính hỗ trợ con người trong mọi hoạt động, từ đơn giản đến phức tạp, nhưng bất kỳ rủi ro nào đối với hệ thống máy tính đều có thể gây ảnh hưởng nghiêm trọng đến hoạt động sản xuất kinh doanh Đặc biệt, với những doanh nghiệp phụ thuộc vào công nghệ thông tin, một sai sót nhỏ có thể dẫn đến tổn thất lớn Vì vậy, hệ thống thông tin trở thành tài sản quý giá, và các nhà quản trị cần thiết lập biện pháp kiểm soát để bảo vệ tài sản này.

Trong bối cảnh hiện nay, sự tồn tại và vận hành của doanh nghiệp phụ thuộc nhiều vào hệ thống thông tin, vì vậy các nhà quản trị cần đảm bảo rằng các hoạt động kiểm soát công nghệ thông tin được thiết kế và vận hành hiệu quả Để đạt được điều này, họ tìm kiếm sự đảm bảo từ hoạt động kiểm toán Tuy nhiên, với sự biến động không ngừng của công nghệ thông tin và các rủi ro mới phát sinh, chức năng đảm bảo này cần được thực hiện bởi đội ngũ nhân lực có trình độ chuyên môn cao và hiểu biết sâu rộng về công nghệ Hệ thống thông tin có những đặc thù riêng biệt tùy thuộc vào từng doanh nghiệp, đòi hỏi kiến thức và kỹ năng chuyên biệt để đưa ra nhận xét và tư vấn chính xác Do đó, kiểm toán công nghệ thông tin đã trở thành một bộ phận quan trọng, đảm bảo và hỗ trợ doanh nghiệp trong việc ứng dụng công nghệ thông tin.

Trong nền kinh tế hiện đại, kiểm soát và kiểm toán công nghệ thông tin đảm bảo hệ thống thông tin hoạt động hiệu quả và các báo cáo được lập ra trung thực Các hoạt động này giúp hạn chế rủi ro trong việc sử dụng công nghệ thông tin cho sản xuất kinh doanh Ngày nay, kiểm toán độc lập nhận thấy máy tính là công cụ hỗ trợ đắc lực trong kiểm tra, khiến kiểm toán công nghệ thông tin trở thành phần không thể thiếu trong quy trình kiểm toán báo cáo tài chính (BCTC) Qua việc đánh giá hệ thống thông tin, kiểm toán độc lập thu thập bằng chứng cần thiết để đánh giá chất lượng thông tin Đồng thời, kiểm toán công nghệ thông tin giúp đánh giá tính thích hợp và đầy đủ của hoạt động kiểm soát, từ đó xác định hiệu quả của hệ thống kiểm soát nội bộ trong doanh nghiệp Qua thời gian, kiểm toán công nghệ thông tin đã trở thành quy trình thiết yếu cho kiểm toán độc lập.

Rủi ro thường gặp

Trong lĩnh vực công nghệ thông tin, luôn có những yếu tố và sai phạm nhất định gây ra rủi ro tiềm ẩn, đe dọa đến hoạt động của hệ thống thông tin và ảnh hưởng đến toàn bộ quy trình sản xuất kinh doanh của doanh nghiệp Những rủi ro này có thể xuất phát từ các yếu tố khách quan bên ngoài hoặc từ những yếu tố chủ quan bên trong chính hệ thống thông tin đang được áp dụng.

Sự truy cập và thay đổi dữ liệu trái phép là một mối đe dọa nghiêm trọng đối với các ứng dụng công nghệ thông tin, vốn được thiết kế với nhiều chức năng tương ứng với từng cấp độ quyền hạn khác nhau nhằm đảm bảo phân chia trách nhiệm Sau khi ứng dụng đi vào hoạt động, lập trình viên cần ngừng quyền truy cập vào hệ thống để bảo mật thông tin Rủi ro truy cập trái phép gia tăng khi có rò rỉ thông tin nội bộ, tạo điều kiện cho bên ngoài xâm nhập và thay đổi dữ liệu Hệ quả là thông tin nhạy cảm có thể bị đánh cắp, đe dọa an ninh tổ chức Đặc biệt, các doanh nghiệp sử dụng hệ thống thông tin từ bên ngoài cần chú trọng hơn đến bảo mật dữ liệu do các giới hạn an ninh liên quan đến khoảng cách và quyền truy cập từ xa.

Dữ liệu bị mất là một mối đe dọa lớn đối với hệ thống thông tin, vốn đóng vai trò quan trọng trong việc lưu trữ dữ liệu của doanh nghiệp trong suốt quá trình hoạt động sản xuất kinh doanh Hệ thống này có thể bị ảnh hưởng bởi thiên tai, hỏa hoạn, gián đoạn nguồn điện, cũng như sự xâm nhập của virus và các hành động có mục đích từ con người.

Hệ thống máy tính, khi được sử dụng để xử lý và lưu trữ thông tin dưới dạng dữ liệu điện tử, có thể tiềm ẩn những sai sót do sự hạn chế sự tham gia của con người Mặc dù việc này nhằm ngăn chặn truy cập trái phép và bảo vệ thông tin nhạy cảm, nhưng sự tự động hóa quá mức có thể dẫn đến những rủi ro mà con người không thể phát hiện và xử lý kịp thời.

Trong quá trình hoạt động, các giao dịch bất thường thường xuất hiện, mặc dù chúng không xảy ra thường xuyên Hệ thống máy tính không thể bao quát hết mọi trường hợp, dẫn đến rủi ro khi các giao dịch này bị xử lý tự động theo các thủ tục đã thiết lập cho giao dịch thông thường Điều này khiến cho những nghiệp vụ đặc biệt không được phát hiện và giải quyết đúng cách.

Hệ thống thông tin trong doanh nghiệp có vai trò quan trọng, và bất kỳ sự gián đoạn nào trong hoạt động của nó đều có thể dẫn đến rủi ro lớn, ảnh hưởng trực tiếp đến quy trình và kết quả kinh doanh Những rủi ro này có thể phát sinh từ các sự cố bất ngờ hoặc từ sự hạn chế trong khả năng hoạt động của hệ thống thông tin.

Thông tin không chính xác là một rủi ro lớn trong việc sử dụng hệ thống thông tin, xuất phát từ việc nhân viên thiếu kiến thức chuyên môn để xác định thông tin cần thu thập hoặc chưa được đào tạo đầy đủ về cách vận hành hệ thống Ngoài ra, rủi ro này cũng đến từ các nhà quản trị, khi họ không sử dụng các báo cáo một cách hiệu quả Ví dụ, nhà quản trị có thể không phát hiện thông tin quan trọng trong báo cáo hoặc không hợp nhất ý nghĩa của các thông tin đã cung cấp, dẫn đến việc không khai thác triệt để giá trị của dữ liệu từ hệ thống thông tin.

Rủi ro hệ thống vận hành sai mục đích xảy ra khi thông tin không được sử dụng đúng cách, dẫn đến hậu quả nghiêm trọng Nguyên nhân có thể là do nhân viên hiểu sai về quy trình hoặc do sai sót vô ý và cố ý trong sử dụng Thêm vào đó, những lỗi trong thiết kế và xây dựng hệ thống cũng có thể góp phần gây ra rủi ro này, mà con người chưa phát hiện ra.

Khái quát về kiểm soát và kiểm toán công nghệ thông tin

1.3.1 Kiểm soát công nghệ thông tin

Theo thống kê gần đây, phần lớn các tổ chức thất bại trong việc kiểm soát hệ thống thông tin chủ yếu đến từ các nguyên nhân sau:

Sự bùng nổ của các ứng dụng công nghệ thông tin đã tạo ra nhu cầu ngày càng cao về nguồn nhân lực có trình độ chuyên môn cao trong các tổ chức.

Vận hành và kiểm soát một hệ thống thông tin toàn cầu gặp nhiều thách thức hơn so với hệ thống tập trung truyền thống.

Toàn cầu hóa công nghệ thông tin đã mở rộng khả năng truy cập của khách hàng, nhà cung cấp và các bên liên quan khác vào mạng lưới kết nối Tuy nhiên, điều này cũng gia tăng các rủi ro liên quan đến an ninh thông tin, đe dọa đến việc bảo mật dữ liệu.

Một số tổ chức dù đã triển khai kiểm soát công nghệ thông tin nhưng chưa thiết kế đầy đủ các thủ tục cần thiết, dẫn đến việc bảo vệ hệ thống không toàn diện Hệ quả là, các vấn đề kiểm soát công nghệ thông tin bị đánh giá thấp, khiến doanh nghiệp chưa nhận thức rõ tầm quan trọng của chúng đối với hoạt động sản xuất kinh doanh và sự tồn tại của tổ chức Điều này dẫn đến việc các hoạt động kiểm soát không được thiết kế một cách phù hợp và đầy đủ Ngoài ra, một số nhà quản trị có xu hướng tập trung vào lợi ích ngắn hạn như lợi nhuận và tiết kiệm chi phí, qua đó bỏ qua các hoạt động kiểm soát cần thiết.

Bất kỳ lỗ hổng nào trong hệ thống thông tin đều có thể dẫn đến những sự cố không mong muốn, ảnh hưởng đến hoạt động của hệ thống và gây tổn hại cho hoạt động sản xuất kinh doanh của doanh nghiệp Do đó, các tổ chức cần nắm vững kiến thức cơ bản về kiểm soát công nghệ thông tin để thực hiện các biện pháp bảo vệ tài sản, đặc biệt là các nhà quản trị.

Theo TechTarget Network, kiểm soát công nghệ thông tin được hiểu là các thủ tục và chính sách do nhà quản trị thiết lập nhằm đảm bảo rằng công nghệ thông tin trong doanh nghiệp hoạt động hiệu quả và hợp lý Điều này bao gồm việc đảm bảo thông tin từ hệ thống là chính xác và đáng tin cậy, cũng như việc tuân thủ các quy định pháp luật và quy định hiện hành.

Theo danh mục, kiểm soát công nghệ thông tin được phân thành hai loại chính, kiểm soát chung và kiểm soát ứng dụng

Kiểm soát chung (General Controls)

Kiểm soát chung bao gồm các thủ tục, chính sách kiểm soát áp dụng chung cho toàn bộ môi trường xử lý thông tin

Kiểm soát chung chủ yếu bao gồm các vấn đề về:

Căn cứ vào cơ cấu tổ chức của công ty, việc phân chia trách nhiệm và quyền hạn của từng thành viên trong hệ thống thông tin cần được thực hiện một cách hợp lý và phù hợp.

Trong môi trường công nghệ thông tin, việc tổ chức bộ máy cần phải tách biệt rõ ràng giữa chức năng xử lý thông tin và các chức năng khác Đồng thời, cần phân chia các bộ phận bên trong hệ thống xử lý thông tin một cách hợp lý.

Kiểm soát vận hành hệ thống là yếu tố quan trọng giúp đảm bảo hệ thống hoạt động đúng mục đích và tuân thủ trách nhiệm cũng như quyền hạn đã được quy định cho từng thành viên.

Kiểm soát vật lý là biện pháp quan trọng nhằm hạn chế rủi ro cho phép các đối tượng không liên quan tiếp cận trực tiếp với hệ thống máy tính và các thiết bị liên quan khác.

Kiểm soát truy cập nội bộ là quá trình hạn chế và phân chia quyền truy cập cho các đối tượng sử dụng hệ thống Điều này bao gồm việc nhận dạng đối tượng sử dụng, phân quyền truy cập và theo dõi quá trình sử dụng để đảm bảo an toàn và bảo mật thông tin.

Để đảm bảo khả năng hoạt động liên tục, việc kiểm soát thiết bị lưu trữ và bảo vệ an toàn cho các thiết bị này là rất quan trọng Đồng thời, cần thực hiện sao lưu dự phòng dữ liệu để tránh mất mát thông tin quan trọng.

Kiểm soát quá trình cải tiến và phát triển hệ thống thông tin là yếu tố quan trọng để đảm bảo quy trình này diễn ra đúng quy định và đạt được mục tiêu đã đề ra Quá trình này bao gồm các bước thiết yếu như lập kế hoạch phát triển, xác định yêu cầu, đánh giá và lựa chọn phương pháp phù hợp, cũng như phân chia quyền hạn và trách nhiệm rõ ràng.

Lập kế hoạch khắc phục hậu quả cho các sự cố ngoài ý muốn là rất quan trọng, bao gồm việc xác định thứ tự ưu tiên phục hồi, phân chia trách nhiệm cho từng cá nhân trong quá trình phục hồi, thực hiện sao lưu dự phòng cho chương trình nguồn, và mua bảo hiểm cho hệ thống để đảm bảo an toàn và hiệu quả trong quản lý rủi ro.

Kiểm soát ứng dụng (Application Controls)

Kiểm soát ứng dụng là tập hợp các quy trình kiểm soát được áp dụng cho một chương trình ứng dụng xử lý thông tin cụ thể, bao gồm các thủ tục kiểm soát nhập liệu, xử lý và kết xuất dữ liệu.

Kiểm soát ứng dụng được thiết kế nhằm đảm bảo các mục tiêu đầy đủ, hợp lệ và chính xác Cụ thể:

- Tất cả các dữ liệu phát sinh đều được ghi nhận vào hệ thống

- Tất cả dữ liệu được ghi nhận hợp lệ

- Tất cả dữ liệu hợp lệ được ghi nhận và xử lý chính xác

- Báo cáo, kết xuất phải được thực hiện đầy đủ, hợp lệ và chính xác

QUY TRÌNH KIỂM TOÁN CÔNG NGHỆ THÔNG TIN

Thu thập thông tin và tìm hiểu sơ bộ

Trước khi bắt đầu kiểm toán, việc thu thập thông tin và hiểu biết ban đầu về khách hàng là rất quan trọng, vì nó tạo nền tảng cho quá trình lập kế hoạch kiểm toán hiệu quả.

Trong giai đoạn này, cần thu thập thông tin quan trọng về đặc điểm tổ chức, ngành nghề hoạt động, tình hình tài chính và các rủi ro tiềm ẩn mà doanh nghiệp đang đối mặt Kiểm toán công nghệ thông tin có trách nhiệm tìm hiểu và thu thập các thông tin này liên quan đến khách hàng.

Môi trường và chức năng hoạt động của doanh nghiệp bao gồm việc nghiên cứu tổng quan về môi trường kinh doanh, đặc điểm của ngành nghề, các chức năng hoạt động chính, cũng như các loại hệ thống thông tin hỗ trợ cho các hoạt động trong lĩnh vực này.

Kiểm toán công nghệ thông tin cần phân tích cấu trúc tổ chức và cấp bậc của doanh nghiệp, đồng thời tìm hiểu cách thức tổ chức và hệ thống thông tin hiện tại đang được áp dụng.

Hệ thống thông tin bao gồm các bộ phận chủ chốt và bộ phận hỗ trợ, trong đó các bộ phận chủ chốt thực hiện các chức năng chính Bất kỳ sai sót nào ở giai đoạn này đều có thể gây ảnh hưởng nghiêm trọng đến hoạt động của toàn bộ hệ thống.

Bộ phận hỗ trợ đóng vai trò quan trọng trong việc hình thành quyết định của nhà quản trị Tuy nhiên, sự vắng mặt của các bộ phận này không gây ảnh hưởng lớn đến hoạt động của hệ thống thông tin.

Việc hiểu rõ về phần cứng và phần mềm trong hệ thống thông tin là rất quan trọng đối với kiểm toán công nghệ thông tin, giúp kiểm toán viên xác định các rủi ro tiềm ẩn Mỗi loại phần cứng đi kèm với những rủi ro riêng, yêu cầu các biện pháp kiểm soát đặc thù Đồng thời, kiểm toán viên cần nắm bắt các đặc điểm của phần mềm, bao gồm thông tin về hệ thống hoạt động, ứng dụng và quản lý dữ liệu Ngoài ra, việc tìm hiểu cấu trúc mạng kết nối, công nghệ kết nối và các biện pháp bảo mật cũng là một phần không thể thiếu trong quy trình kiểm toán.

Kiểm toán công nghệ thông tin không chỉ đảm bảo tính chính xác của hệ thống mà còn phải xác định các rủi ro tiềm ẩn có thể ảnh hưởng đến hoạt động của hệ thống thông tin và quy trình sản xuất kinh doanh của doanh nghiệp.

Một vài phương pháp giúp kiểm toán viên có thể thu thập được những thông tin cần thiết như:

- Tìm hiểu các tài liệu lưu hành trong tổ chức

- Xem xét và phân tích các kế hoạch chiến lược

- Phỏng vấn các nhân viên có liên quan

- Quan sát và tìm hiểu cơ sở vật chất, hệ thống thông tin

Thông tin thu thập trong giai đoạn tìm hiểu ban đầu là cơ sở quan trọng để kiểm toán viên xác định hoàn cảnh của cuộc kiểm toán Điều này cho phép họ nhận diện các rủi ro tiềm ẩn và thiết lập mục tiêu cũng như phạm vi kiểm toán một cách hiệu quả.

Đánh giá rủi ro ban đầu và lập kế hoạch kiểm toán

Quản trị rủi ro công nghệ thông tin là quy trình thiết yếu trong môi trường ứng dụng máy tính, bao gồm các bước xác định, tiếp cận và thiết lập thủ tục kiểm soát nhằm giảm thiểu rủi ro đến mức chấp nhận được Quy trình này giúp kiểm toán viên đánh giá các rủi ro tiềm ẩn trong hệ thống thông tin và môi trường kinh doanh của doanh nghiệp Đánh giá rủi ro là một quá trình hệ thống nhằm xem xét các tổn thất có thể ảnh hưởng đến tính bảo mật, trung thực và khả dụng của thông tin Những tổn thất này có thể phát sinh từ các rủi ro tiềm ẩn, điểm yếu trong hệ thống thông tin hoặc sự thiếu sót trong kiểm soát nội bộ, từ đó hình thành các thủ tục kiểm toán phù hợp để đảm bảo các mục tiêu bảo mật, trung thực và khả dụng của thông tin.

Kiểm toán viên cần cân nhắc sự đánh đổi giữa lợi ích và chi phí theo tiêu chí của ban quản trị Ban quản trị có thể chấp nhận một mức độ sai sót cho phép khi rủi ro liên quan thấp Do đó, kiểm toán viên phải hiểu rõ triết lý quản lý, phong cách điều hành và các chính sách của ban quản trị trước khi xác định tính chấp nhận được của rủi ro tiềm ẩn.

Kiểm toán viên có thể lựa chọn phương pháp đánh giá rủi ro phù hợp với từng hoàn cảnh cụ thể, phân loại theo mức độ cao, trung bình và thấp dựa trên sự xét đoán nghề nghiệp Đánh giá rủi ro ban đầu cũng cần xem xét sự đầy đủ của các hoạt động kiểm soát nội bộ trong doanh nghiệp Công việc này có thể thực hiện thông qua việc trao đổi với ban quản trị, phỏng vấn nhân viên liên quan, hoặc xem xét các tài liệu văn bản về thủ tục kiểm soát trong doanh nghiệp.

Sau khi thực hiện đánh giá rủi ro sơ bộ về hệ thống kiểm soát nội bộ, kiểm toán viên lập kế hoạch kiểm toán dựa trên kết quả này Việc lập kế hoạch dựa vào đánh giá rủi ro giúp kiểm toán viên làm việc hiệu quả hơn, tránh lãng phí nguồn lực và thực hiện các thủ tục kiểm toán không cần thiết Dựa vào các rủi ro tiềm tàng và rủi ro kiểm soát, bao gồm cả kiểm soát công nghệ thông tin, kiểm toán viên xác định các thủ tục kiểm soát quan trọng và tiến hành kiểm tra tính hiệu quả của các hoạt động kiểm soát này trong doanh nghiệp.

Trong quá trình lập kế hoạch kiểm toán, việc xác định mục tiêu kiểm toán từ ban đầu là rất quan trọng để định hướng công việc Mục tiêu này có thể được điều chỉnh trong suốt quá trình thực hiện nhằm đảm bảo tính phù hợp với bối cảnh thực tế Bên cạnh đó, xác định phạm vi kiểm toán cũng đóng vai trò thiết yếu, không chỉ trong kế hoạch mà còn giúp kiểm toán viên có cái nhìn rõ ràng hơn về lịch trình, khối lượng công việc và các thủ tục kiểm toán cần thực hiện.

Việc lập kế hoạch trong quá trình kiểm toán công nghệ thông tin thường được thực hiện theo các bước như sau:

- Tìm hiểu đặc điểm và chi tiết hệ thống thông tin đang được sử dụng trong doanh nghiệp

- Xác định các bộ phận có chức năng chủ chốt

- Tìm hiểu những rủi ro có thể xảy ra và đánh giá ảnh hưởng của những rủi ro này đến hoạt động của doanh nghiệp

- Lập kế hoạch kiểm toán dựa trên những đánh giá ban đầu

Mặc dù việc thu thập thông tin và đánh giá rủi ro diễn ra ở giai đoạn đầu của quy trình kiểm toán, việc lập kế hoạch là một hoạt động lặp đi lặp lại trong suốt quá trình này Đánh giá ban đầu cung cấp cơ sở cho việc xác định mức độ và loại thủ tục kiểm toán cần thực hiện Trong quá trình kiểm toán, nếu kiểm toán viên phát hiện thêm bằng chứng cho thấy hệ thống kiểm soát nội bộ không hiệu quả, các đánh giá ban đầu sẽ được xem xét lại, dẫn đến việc lập kế hoạch kiểm toán mới dựa trên những kết luận mới nhất.

Kiểm toán việc mua sắm và lắp đặt hệ thống công nghệ thông tin

Quy trình mua sắm và lắp đặt hệ thống công nghệ thông tin thường gồm các bước như sau:

Để xây dựng một tổ chức hiệu quả, cần xác định chiến lược hoạt động và chính sách quản trị phù hợp Việc đánh giá các yêu cầu hoạt động trong tổ chức là rất quan trọng, đồng thời cần xem xét các công cụ hỗ trợ có khả năng đáp ứng những yêu cầu này.

- Thiết lập yêu cầu về hệ thống thông tin

- Liệt kê và xem xét tất cả phương pháp khả thi

- Đánh giá mức độ đáp ứng các yêu cầu đặt ra của tất cả các phương pháp

- Lựa chọn phương pháp thích hợp và tối ưu nhất

- Tiến hành việc mua sắm và lắp đặt hệ thống

Quy trình mua sắm và lắp đặt hệ thống thông tin có thể điều chỉnh linh hoạt theo từng trường hợp cụ thể, với các bước có thể thay đổi hoặc kết hợp tùy thuộc vào hoàn cảnh thực tế.

Ban quản trị đã quy định rõ ràng và đầy đủ các chính sách liên quan đến quá trình mua sắm và lắp đặt hệ thống thông tin bằng văn bản.

- Đảm bảo quá trình mua sắm và lắp đặt hệ thống thông tin được thực hiện đúng theo các quy định

- Quá trình mua sắm và lắp đặt hệ thống thông tin được phê duyệt đầy đủ

- Phương án được lựa chọn là khả thi và hợp lý nhất

Trong quá trình kiểm toán quy trình mua sắm và lắp đặt hệ thống công nghệ thông tin, kiểm toán viên cần kiểm tra các vấn đề sau:

Chính sách quản lý và các quy định liên quan đến việc mua sắm và lắp đặt hệ thống thông tin được quy định rõ ràng và đầy đủ bằng văn bản.

- Thủ tục phê duyệt có được phân chia phù hợp và thực hiện hiệu quả

- Quy trình mua sắm và lắp đặt hệ thống thông tin có tuân thủ đúng các chính sách và chiến lược quản trị

- Công đoạn thực hiện có được ghi nhận và báo cáo đầy đủ, chính xác và kịp thời

Quy trình đánh giá và lựa chọn đảm bảo rằng việc mua sắm và thiết lập hệ thống thông tin được thực hiện một cách hiệu quả và hợp lý nhất.

- Các chi phí phát sinh thực sự hiện hữu và có liên quan

Kiểm toán viên có trách nhiệm kiểm tra các tài liệu như báo cáo dự án, hợp đồng, bảng phân tích chi phí, bản quyền ứng dụng và hóa đơn giao dịch để xác minh tính xác thực và hợp lý trong hoạt động mua sắm và lắp đặt hệ thống thông tin Báo cáo nghiên cứu tính khả thi của dự án đầu tư cần trình bày đầy đủ mục tiêu, thỏa thuận giao dịch, phương án giải quyết, yêu cầu tài chính và kế hoạch thực hiện Ngoài ra, khi một dự án được chọn, báo cáo cũng cần bổ sung các nội dung liên quan khác.

- Đặc điểm nổi bật cho thấy nhà cung cấp tiềm năng và tính khả thi của dự án

- Những yêu cầu về chuyên môn và thỏa thuận thương mại được đề xuất trong hợp đồng

Khi ký kết hợp đồng mua bán, cần chú ý đến các thông tin chi tiết về việc cung cấp sản phẩm, bao gồm thời gian lắp đặt và thời gian sử dụng hữu ích Ngoài ra, các điều khoản bảo hành và các chi phí hỗ trợ phát sinh trong quá trình lắp đặt cũng rất quan trọng Hơn nữa, hợp đồng nên đề cập đến các điều khoản liên quan đến việc mở rộng và phát triển hệ thống công nghệ thông tin trong tương lai để đảm bảo tính linh hoạt và khả năng nâng cấp.

Kiểm toán quá trình vận hành và duy trì hệ thống công nghệ thông tin

Do thời gian và khối lượng tài liệu nghiên cứu hạn chế, bài viết chỉ tổng quát lý thuyết về một số quy trình kiểm toán chính liên quan đến các hoạt động kiểm soát chung như kiểm soát tổ chức, kiểm soát vật lý, kiểm soát truy cập nội bộ, và kiểm soát hoạt động, cũng như các hoạt động kiểm soát ứng dụng bao gồm kiểm soát đầu vào, kiểm soát xử lý dữ liệu, và kiểm soát đầu ra.

2.4.1 Kiểm toán các kiểm soát chung

Mục tiêu của kiểm toán các kiểm soát chung là để kiểm tra và đánh giá tính đầy đủ, phù hợp của các thủ tục kiểm soát, nhằm đảm bảo hệ thống thông tin hoạt động liên tục, hiệu quả và hữu hiệu.

- Đảm bảo quyền hạn và trách nhiệm của từng đối tượng trong hệ thống thông tin được phân chia hợp lý

- Hạn chế tối đa rủi ro gian lận hay các hành động phá họa cố ý xảy ra do lợi dụng sự kiêm nhiệm nhiều chức năng trong hệ thống

- Đảm bảo quyền truy cập của từng đối tượng sử dụng đều được phê duyệt thích hợp

- Cơ cấu tổ chức, trách nhiệm và quyền hạn của từng thành viên phải được quy định đầy đủ và rõ ràng bằng văn bản

Kiểm toán viên tiến hành xác minh xem cơ cấu tổ chức và quyền hạn của các đối tượng sử dụng hệ thống thông tin có được ban quản trị phân chia rõ ràng và đầy đủ hay không Để thu thập bằng chứng cần thiết, các phương pháp như kiểm tra tài liệu về cơ cấu tổ chức, xem xét bảng tóm tắt chức năng của từng bộ phận, và quan sát hoạt động của nhân viên có thể được áp dụng Khi hệ thống thông tin thiết lập chức năng phân chia quyền truy cập, kiểm toán viên có thể so sánh thông tin trong hồ sơ nhân viên với quyền hạn thực tế để đảm bảo rằng cơ sở phân chia tự động đã được thiết lập chính xác và đầy đủ theo từng chức năng thích hợp.

Năng suất hoạt động của hệ thống thông tin là yếu tố quan trọng để đảm bảo hoạt động liên tục với công suất ổn định trong thời gian dài Để đạt được mục tiêu này, cần phải ước tính chính xác các yêu cầu ứng dụng trong tương lai, cũng như khả năng lưu trữ và năng suất của hệ thống.

- Quản lý: giám sát thường xuyên quá trình vận hành của hệ thống thông tin để phát hiện và xử lý kịp thời các sai sót

- Lưu trữ: việc lưu trữ các dữ liệu dự phòng phải được thực hiện định kỳ nhằm phòng ngừa các sự cố không mong muốn có thể xảy ra

Phần mềm hỗ trợ đóng vai trò quan trọng trong việc kết nối người sử dụng với bộ phận kỹ thuật, giúp thu thập ý kiến đóng góp và hỗ trợ Chúng cho phép người dùng phản ánh các vấn đề gặp phải trong quá trình sử dụng hệ thống, từ đó giúp bộ phận chịu trách nhiệm nhanh chóng khắc phục và xử lý những yếu kém trong hệ thống.

- Bảo trì: hệ thống thông tin cần được kiểm tra và bảo dưỡng định kỳ, đảm bảo quá trình hoạt động bình thường và hiệu quả

Kiểm soát và giám sát

Tất cả các hoạt động trong hệ thống cần sự giám sát chặt chẽ từ ban quản trị Kiểm toán viên có thể đánh giá hiệu quả kiểm soát công nghệ thông tin bằng cách xem xét công việc giám sát của ban quản trị đối với hệ thống thông tin trong doanh nghiệp Khi ban quản trị không thể giám sát liên tục, các ứng dụng quản lý và bảo mật tự động sẽ được triển khai để bảo vệ hệ thống Kiểm toán viên có thể kiểm tra hiệu quả của các ứng dụng này bằng cách truy cập vào hệ thống hoặc xem xét thiết kế ứng dụng và đánh giá tính hợp lý của các chức năng quản lý đã được thiết lập.

Kiểm toán viên không chỉ kiểm tra chất lượng hoạt động của các ứng dụng quản lý mà còn cần xem xét việc thực hiện kiểm tra và bảo dưỡng định kỳ Điều này đảm bảo rằng hệ thống thông tin hoạt động hiệu quả và ổn định.

Một hệ thống thông tin hiệu quả cần tiếp thu ý kiến đóng góp và khắc phục hạn chế Do đó, việc thiết lập mạng lưới kết nối giữa quản lý và người sử dụng là thiết yếu Mạng lưới này không chỉ hỗ trợ trao đổi ý kiến mà còn giúp ban quản trị đánh giá hiệu quả hoạt động của hệ thống Hơn nữa, thông qua mạng lưới, nhà quản trị có thể tư vấn cho nhân viên về cách vận hành đúng các chức năng của hệ thống thông tin.

Quy định, hướng dẫn bằng văn bản

Các chính sách hoạt động cần được quy định rõ ràng để hỗ trợ ban quản trị trong việc đạt được các mục tiêu đề ra Tất cả chính sách và tài liệu hướng dẫn phải được ban hành bằng văn bản nhằm giúp nhân viên sử dụng hệ thống thông tin hiệu quả và lưu trữ thông tin phục vụ quản trị Tài liệu hướng dẫn nên bao gồm quy trình vận hành, cách sử dụng, hướng dẫn khắc phục lỗi và thông tin liên lạc khi gặp sự cố.

Mức độ chi tiết của văn bản hướng dẫn phụ thuộc vào quy mô doanh nghiệp và đặc điểm hệ thống thông tin Các tổ chức lớn với hệ thống phức tạp thường cần văn bản hướng dẫn chi tiết hơn, trong khi doanh nghiệp nhỏ với hệ thống đơn giản sẽ sử dụng tài liệu hướng dẫn ít chi tiết hơn.

Kế hoạch sao lưu dữ liệu và khắc phục sự cố

Kiểm toán viên cần đảm bảo rằng ban quản trị có các kế hoạch dự phòng phù hợp để ứng phó linh hoạt với sự cố không mong muốn ảnh hưởng đến hệ thống thông tin Các kế hoạch này phải được lập thành văn bản, lưu trữ và kiểm tra định kỳ để điều chỉnh khi cần thiết Sao lưu dữ liệu dự phòng cũng cần thực hiện thường xuyên, với trách nhiệm rõ ràng cho từng đối tượng Chu kỳ sao lưu phải được xác định phù hợp với từng loại dữ liệu, có thể là hàng ngày, hàng tuần, hàng tháng hoặc hàng quý Cuối cùng, dữ liệu sao lưu và các kế hoạch khắc phục sự cố cần được lưu trữ an toàn và bảo mật.

Mục tiêu của kiểm soát vật lý là ngăn chặn sự truy cập trái phép và tấn công vào hệ thống máy tính doanh nghiệp Để bảo vệ hệ thống, cần hạn chế sự tiếp cận của các yếu tố bên ngoài và giảm thiểu các nguy cơ như hỏa hoạn, thiên tai, và sự cố về nguồn điện, nhằm bảo vệ tài sản của doanh nghiệp một cách hiệu quả.

Ngoài ra, kiểm soát vật lý còn nhằm mục đích hạn chế tối đa các rủi ro có thể xảy ra đe dọa đến hệ thống thông tin như:

- Hành động vô ý hoặc cố ý của nhân viên gây thiệt hại đến tài sản của doanh nghiệp

- Máy tính và các thiết bị liên quan bị đánh cắp

- Sự cố như chập điện có nguy cơ làm tổn hại đến các bộ phận và thiết bị trong hệ thống

Kiểm soát vật lý trong doanh nghiệp cần đảm bảo rằng chỉ những đối tượng được ban quản trị phê duyệt mới có quyền truy cập vào hệ thống máy tính, và mỗi cá nhân phải hiểu rõ quyền hạn cùng trách nhiệm của mình trong việc bảo vệ thông tin Ban quản trị cần quy định rõ ràng các quy tắc đi kèm với biện pháp kỷ luật Kiểm toán viên cần đánh giá xem ban quản trị đã thiết lập đầy đủ các biện pháp kiểm soát để ngăn chặn sự truy cập trái phép vào hệ thống máy tính và thiết bị hỗ trợ hay chưa Cơ sở vật chất cần được thiết kế hợp lý để bảo vệ tài sản khỏi các sự cố như hỏa hoạn, chập điện và xâm nhập từ bên ngoài Các biện pháp an ninh như thiết bị đăng nhập, camera giám sát, hệ thống phòng cháy chữa cháy, thiết bị chống trộm và nhân viên bảo vệ là cần thiết Hoạt động kiểm soát phải đảm bảo an toàn cho toàn bộ doanh nghiệp, không chỉ riêng hệ thống thông tin Kiểm toán viên cũng có trách nhiệm kiểm tra việc bảo trì định kỳ các hệ thống an ninh để đảm bảo thiết bị hoạt động hiệu quả.

2.4.1.4 Kiểm soát truy cập nội bộ

Kiểm soát truy cập nội bộ là quy trình đảm bảo mỗi thành viên trong tổ chức chỉ có quyền truy cập vào hệ thống thông tin phù hợp với chức năng công việc của họ Điều này có nghĩa là người dùng chỉ được phép truy cập vào các thông tin cần thiết cho nhiệm vụ của mình, trong khi các thông tin nhạy cảm được giới hạn với số lượng truy cập nhất định để bảo vệ dữ liệu.

Kiểm soát truy cập nội bộ sẽ giúp doanh nghiệp hạn chế tối đa được các rủi ro như:

- Người sử dụng truy cập vào các chức năng không liên quan đến công việc của mình, sửa chữa hoặc xóa bỏ các dữ liệu trái phép

- Các thông tin nhạy cảm trong hệ thống bị truy cập trái phép từ các đối tượng không có thẩm quyền

Kiểm toán viên thực hiện kiểm tra và đánh giá các hoạt động kiểm soát do ban quản trị thiết lập để đảm bảo quản lý quyền truy cập của các thành viên trong tổ chức Quyền truy cập nội bộ cần được phân chia rõ ràng theo chức năng và quyền hạn tương ứng, đồng thời phải được thiết lập chính xác trong các ứng dụng của hệ thống thông tin.

Kiểm toán việc cải tiến và phát triển hệ thống công nghệ thông tin

Dù hệ thống thông tin đã được lắp đặt và vận hành hoàn chỉnh, việc thay đổi một phần hoặc toàn bộ các bộ phận trong hệ thống vẫn có thể diễn ra Những thay đổi này có thể ảnh hưởng lớn đến các hoạt động kiểm soát hiện tại và tác động đến chức năng hoạt động của hệ thống thông tin.

Quy trình cải tiến và phát triển hệ thống thông tin trong doanh nghiệp bao gồm các bước như lập kế hoạch, xác định yêu cầu, phân tích phương pháp khả thi và lựa chọn phương án tối ưu Mỗi giai đoạn trong quy trình đều quan trọng và cần sự kiểm tra độc lập từ kiểm toán viên Kiểm toán quy trình này bao gồm các thủ tục nhằm đảm bảo các hoạt động kiểm soát được thiết kế hợp lý và thực hiện đầy đủ, đồng thời việc cải tiến hệ thống thông tin phải tuân thủ các quy định và chính sách quản lý, đáp ứng yêu cầu và mục tiêu đề ra.

Khi giao kế hoạch phát triển hệ thống thông tin cho nhà cung cấp bên ngoài, kiểm toán viên cần xem xét hợp đồng giữa khách hàng và nhà cung cấp Nhà cung cấp phải cung cấp đầy đủ mã nguồn và tài liệu liên quan, đảm bảo doanh nghiệp có thể quản lý hệ thống độc lập Dữ liệu cung cấp cần đầy đủ và khả thi để sửa đổi hoặc phát triển hệ thống sau này Hợp đồng cũng phải quy định rõ thời gian bàn giao và phương thức bồi thường nếu nhà cung cấp không thực hiện đúng cam kết Việc xác định tổn thất tiềm ẩn do trì hoãn trong phát triển hệ thống cũng rất quan trọng, và kiểm toán viên cần kiểm tra các biện pháp kiểm soát của ban quản trị để giảm thiểu thiệt hại.

Kiểm toán quy trình phát triển hệ thống thông tin có thể được phân loại thành ba loại chính:

Kiểm toán quản lý đóng vai trò quan trọng trong việc đánh giá hiệu quả các chính sách và quy trình phát triển dự án Nó xem xét mức độ đáp ứng các yêu cầu đã đề ra, tính hợp lý của chi phí đầu tư và việc tuân thủ các tiêu chuẩn chất lượng do nhà quản trị quy định Đồng thời, kiểm toán cũng đánh giá các hoạt động kiểm tra và kiểm soát của ban quản trị đối với quy trình phát triển hệ thống thông tin trong doanh nghiệp.

Kiểm toán thiết kế dự án nhằm đánh giá tính đầy đủ và chính xác của thiết kế hệ thống, đảm bảo đáp ứng các yêu cầu đã đặt ra Mục tiêu chính là xác định xem hệ thống có cung cấp đầy đủ các chức năng cần thiết, bao gồm cả kiểm soát và bảo mật an toàn cho thông tin trong doanh nghiệp hay không.

Kiểm toán thực hành thường diễn ra sau sáu tháng hệ thống mới đi vào hoạt động, nhằm kiểm tra và đánh giá tính hiệu quả của hệ thống Quá trình này không chỉ xem xét mức độ đáp ứng các yêu cầu trong thực tế mà còn phân tích mối quan hệ giữa giá trị kinh tế đạt được và chi phí đã đầu tư.

Mặc dù kiểm toán công nghệ thông tin không bắt buộc tham gia vào quá trình phát triển hệ thống thông tin, kiểm toán viên cần nhận thức rõ những thay đổi có thể ảnh hưởng đến quá trình kiểm toán Họ cũng nên trao đổi với ban quản trị về những vấn đề quan trọng cần xem xét khi phát triển hệ thống thông tin.

- Những yếu kém tồn tại trong hệ thống kiểm soát nội bộ

- Các dữ liệu cần được giữ lại hoặc phục hồi

- Các yêu cầu khác nhằm phục vụ cho mục đích kiểm toán

Trong quá trình kiểm toán việc cải tiến và phát triển hệ thống thông tin trong doanh nghiệp, kiểm toán viên cần lưu ý các vấn đề sau đây:

- Các chính sách của ban quản trị về việc cải tiến và phát triển hệ thống thông tin có được quy định đầy đủ, rõ ràng và hợp lý

- Cách thức phê duyệt quy trình cải tiến và phát triển hệ thống thông tin

- Quá trình cải tiến và phát triển hệ thống thông tin có được tiến hành đúng theo quy định, với phương án khả thi và hợp lý nhất

- Thông tin chi tiết về quá trình cải tiến và phát triển hệ thống thông tin có được ghi nhận và báo cáo đầy đủ, chính xác, kịp thời

- Sự đánh đổi giữa lợi ích và chi phí

- Các ứng dụng công nghệ sẵn có trong tổ chức có được sử dụng và phát huy tối đa trước khi quyết định phát triển một hệ thống mới

- Các hướng dẫn sử dụng và vận hành hệ thống mới có được quy định rõ ràng cho từng đối tượng sử dụng hệ thống.

KIỂM TOÁN CÔNG NGHỆ THÔNG TIN TRONG TƯƠNG LAI

Xu hướng phát triển của kiểm toán công nghệ thông tin

Trong thời đại kỹ thuật số hiện nay, công nghệ máy tính đã trở thành yếu tố thiết yếu trong hoạt động sản xuất kinh doanh Kiểm toán công nghệ thông tin ngày càng trở nên phổ biến và có mối liên hệ chặt chẽ với tất cả các doanh nghiệp, bất kể lĩnh vực hoạt động Nghề kiểm toán công nghệ thông tin được xem là có tiềm năng lớn và triển vọng phát triển trong kỷ nguyên mới.

Trong tương lai, các tổ chức sẽ ngày càng phụ thuộc vào ứng dụng công nghệ thông tin, không chỉ để lưu trữ và xử lý dữ liệu mà còn để lập kế hoạch và quản trị doanh nghiệp, thay thế các chức năng thủ công Sự phổ biến của công nghệ thông tin trong thương mại cũng đồng nghĩa với việc gia tăng các vấn đề về an ninh công nghệ, khiến các tổ chức phải chú trọng hơn đến việc bảo mật thông tin nhạy cảm Kiểm toán công nghệ thông tin sẽ trở thành một công cụ quan trọng, giúp bảo vệ doanh nghiệp khỏi tổn thất và phát hiện kịp thời các rủi ro tiềm ẩn trong quá trình hoạt động.

Trong thời đại mới, kiểm toán công nghệ thông tin ngày càng trở thành một hoạt động chuyên nghiệp quan trọng trong nền kinh tế, đòi hỏi các kiểm toán viên phải có kiến thức, kỹ năng, đạo đức nghề nghiệp và năng lực chuyên môn vững chắc Sự phát triển này phản ánh yêu cầu về khả năng ứng biến linh hoạt trong nhiều lĩnh vực, khi mà phạm vi ảnh hưởng của công nghệ thông tin ngày càng mở rộng Do đó, khối lượng thủ tục kiểm toán cũng gia tăng, trải rộng trên nhiều ứng dụng công nghệ thông tin và các lĩnh vực kinh tế đa dạng Các kiểm toán viên tương lai cần trang bị nền tảng vững chắc để xử lý linh hoạt các tình huống khác nhau và đáp ứng nhu cầu của khách hàng với các trình độ chuyên môn phong phú.

Khả năng học tập liên tục là yêu cầu thiết yếu trong sự nghiệp kiểm toán công nghệ thông tin, giúp chuyên gia thích nghi với những biến đổi từ cuộc cách mạng công nghệ Để đảm bảo hoạt động kiểm soát hiệu quả, không chỉ kiểm toán viên mà cả ban quản trị doanh nghiệp cần có chuyên môn và hiểu biết phù hợp Kỹ năng học tập liên tục là công cụ quan trọng cho sự phát triển nghề nghiệp trong môi trường thay đổi liên tục Bên cạnh đó, nguyên tắc đạo đức nghề nghiệp là nền tảng cần thiết cho hoạt động kiểm toán, đặc biệt trong thời đại công nghệ Sự chuyên nghiệp về đạo đức không chỉ nâng cao uy tín mà còn bảo vệ quyền lợi của các bên liên quan, giúp nhà đầu tư xác định hướng đi ít rủi ro và nhiều tiềm năng.

Internet sẽ trở thành kho tàng kiến thức khổng lồ, hỗ trợ kiểm toán viên trong việc nâng cao tri thức và chia sẻ kinh nghiệm Kiểm toán viên cần tận dụng nguồn tài nguyên này để trang bị những yêu cầu nghề nghiệp cần thiết Công nghệ thông tin không chỉ là đối tượng kiểm toán mà còn là công cụ hỗ trợ đắc lực cho kiểm toán viên Trong tương lai, kiểm toán công nghệ thông tin sẽ phụ thuộc nhiều hơn vào các ứng dụng công nghệ và phần mềm kiểm toán chuyên biệt Một số chức năng tự động hóa sẽ được phát triển, thay thế hoàn toàn sự tham gia của con người trong các hoạt động chuyên môn Công nghệ thông tin sẽ tiếp tục xâm nhập và thay đổi cách thức vận hành của kiểm toán công nghệ thông tin trong tương lai.

Khi các ứng dụng công nghệ thông tin tiếp tục đóng vai trò quan trọng trong việc xử lý dữ liệu thành thông tin hữu ích cho quyết định kinh tế, nhu cầu đảm bảo thông tin trung thực, hợp lý và hiệu quả của các hoạt động kiểm soát nội bộ sẽ vẫn tồn tại và phát triển Kiểm toán công nghệ thông tin sẽ tiếp tục lớn mạnh cùng sự phát triển của công nghệ thông tin trong tương lai, đồng thời mở rộng phạm vi hoạt động và yêu cầu chuyên môn Để tồn tại và phát triển trong nền kinh tế hiện đại, các kiểm toán viên tương lai cần tự giác trang bị kỹ năng và kiến thức cần thiết, đáp ứng vai trò của một bộ phận hoạt động chuyên nghiệp.

Những thách thức và yêu cầu đặt ra trong thời đại mới

Cuộc cách mạng công nghiệp 4.0 hiện nay đang mang lại những tiến bộ nổi bật trong ứng dụng công nghệ thông tin Nó không chỉ tối ưu hóa đời sống xã hội và hoạt động sản xuất kinh doanh mà còn đặt ra nhiều thách thức và yêu cầu mới Những thay đổi này ảnh hưởng sâu rộng đến mọi hoạt động trong nền kinh tế, đặc biệt là lĩnh vực kiểm toán.

Cuộc cách mạng công nghiệp 4.0 đã xóa bỏ ranh giới địa lý trong lĩnh vực kiểm toán, cho phép thực hiện công việc này trên toàn cầu Tuy nhiên, điều này tạo ra thách thức lớn về trình độ chuyên môn cho lực lượng lao động, đặc biệt là ở các nước đang phát triển như Việt Nam, nếu muốn cạnh tranh với nguồn nhân lực chất lượng cao từ các quốc gia khác Sự phát triển của trí tuệ nhân tạo và tự động hóa có khả năng làm giảm số lượng việc làm, chuyển giao nhiều công việc thủ công cho công nghệ Dù vậy, trí tuệ nhân tạo chỉ hỗ trợ công việc theo lập trình sẵn, không thể thay thế hoàn toàn con người trong việc phân tích và đưa ra giải pháp cho các tình huống phức tạp Do đó, kiểm toán viên tương lai cần có kiến thức sâu rộng để đảm nhận vai trò quản lý cao cấp và vận hành các ứng dụng công nghệ thông tin hiện đại.

Môi trường làm việc của kiểm toán viên sẽ thay đổi đáng kể nhờ vào việc ứng dụng công nghệ thông tin tiên tiến trong kế toán tài chính Các hồ sơ dữ liệu thủ công sẽ được chuyển đổi hoàn toàn thành dữ liệu điện tử, đòi hỏi kiểm toán viên phải có kiến thức và kỹ năng vận hành các ứng dụng công nghệ này Điều này giúp kiểm toán viên thu thập bằng chứng kiểm toán chính xác và đầy đủ Khi thích nghi với môi trường công nghệ hiện đại, kiểm toán viên sẽ nhận diện được các rủi ro đặc thù và lựa chọn phương pháp kiểm toán phù hợp, đảm bảo hiệu quả và hiệu suất công việc.

Dữ liệu lớn mở ra cơ hội tiếp cận kiến thức vô hạn nhưng cũng tiềm ẩn rủi ro về thông tin không chính thống, yêu cầu kiểm toán viên phải cẩn trọng khi sử dụng nguồn thông tin công cộng Sự can thiệp của hệ thống thông tin vào quá trình ghi nhận và xử lý dữ liệu có thể đe dọa tính trung thực và hợp lý của thông tin tài chính trong doanh nghiệp Công nghệ thông tin hiện đại làm gia tăng khả năng xảy ra sai sót và gian lận, do đó, kiểm toán viên cần duy trì tinh thần cảnh giác, trách nhiệm nghề nghiệp cao và không ngừng nâng cao kỹ năng chuyên môn để thích ứng với các tình huống biến đổi.

Đạo đức nghề nghiệp ngày càng trở nên quan trọng trong bối cảnh công nghệ phát triển mạnh mẽ, khi mà nhiều công việc có thể được thực hiện tự động Các dịch vụ đảm bảo và tư vấn trở thành nhu cầu thiết yếu, đặc biệt trong lĩnh vực công nghệ thông tin, nơi tiềm ẩn nhiều rủi ro Việc tuân thủ các nguyên tắc đạo đức nghề nghiệp không chỉ giúp kiểm toán viên xây dựng hình ảnh chuyên nghiệp mà còn củng cố uy tín trong ngành Điều này góp phần tối đa hóa hiệu quả của chức năng đảm bảo hợp lý trong hoạt động kiểm toán.

Để tồn tại và phát triển bền vững trong thời đại công nghiệp hóa, kiểm toán viên cần trang bị đầy đủ kiến thức và kỹ năng chuyên môn Họ cũng phải có tinh thần tự giác học hỏi và thường xuyên cập nhật công nghệ thông tin để không bị lạc hậu Đồng thời, kiểm toán viên cần giữ vững tinh thần trách nhiệm cao, tuân thủ các nguyên tắc đạo đức nghề nghiệp, đặt lợi ích công chúng lên trên lợi ích cá nhân, nhằm đảm bảo các dịch vụ kiểm toán đạt tiêu chuẩn chất lượng và đáng tin cậy.

Ngày đăng: 16/12/2024, 09:48

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w