BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KINH TẾ TP HỒ CHÍ MINH • NGŨ THÁI NGỌC KHIÊM VẬN DỤNG CHUẨN MỰC QUỐC TẾ ĐỂ XÂY DỰNG QUY TRÌNH VÀ THỦ TỤC KIỂM TỐN HỆ THỐNG CƠNG NGHỆ THƠNG TIN TRONG KIỂM TỐN BÁO CÁO TÀI CHÍNH TẠI VIỆT NAM LUẬN VĂN THẠC SĨ KINH TẾ TP Hồ Chí Minh – Năm 2014 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KINH TẾ TP HỒ CHÍ MINH • NGŨ THÁI NGỌC KHIÊM VẬN DỤNG CHUẨN MỰC QUỐC TẾ ĐỂ XÂY DỰNG QUY TRÌNH VÀ THỦ TỤC KIỂM TỐN HỆ THỐNG CƠNG NGHỆ THƠNG TIN TRONG KIỂM TỐN BÁO CÁO TÀI CHÍNH TẠI VIỆT NAM Chuyên ngành : Kế toán Mã số : 60340301 LUẬN VĂN THẠC SĨ KINH TẾ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS PHẠM VĂN DƯỢC TP Hồ Chí Minh – Năm 2014 LỜI CAM ĐOAN Tơi xin cam đoan cơng trình nghiên cứu riêng Kết nêu luận văn trung thực chưa công bố cơng trình nghiên cứu NGŨ THÁI NGỌC KHIÊM MỤC LỤC Trang phụ bìa Lời cam đoan Mục lục Danh mục viết tắt Danh mục bảng Danh mục hình vẽ PHẦN MỞ ĐẦU 1 Tính cấp thiết đề tài Tổng quan vấn đề nghiên cứu Mục tiêu luận văn Phương pháp nghiên cứu Phạm vi đối tượng nghiên cứu 10 Các đóng góp luận văn 10 Trình bày kết cấu luận văn 11 CHƯƠNG 1: QUY TRÌNH VÀ THỦ TỤC KIỂM TỐN CƠNG NGHỆ THÔNG TIN 12 1.1 KIỂM TOÁN CÔNG NGHỆ THÔNG TIN 12 1.1.1 Quá trình hình thành, phát triển kiểm toán CNTT 12 1.1.2 Mục tiêu vai trị kiểm tốn hệ thống công nghệ thông tin 14 1.2 QUY TRÌNH VÀ THỦ TỤC KIỂM TỐN CƠNG NGHỆ THƠNG TIN 19 1.2.1 Lập kế hoạch kiểm toán 19 1.2.2 Thực kiểm toán đánh giá 24 CHƯƠNG 2: THỰC TRẠNG QUY TRÌNH VÀ CÁC THỦ TỤC KIỂM TỐN CNTT TRONG KIỂM TOÁN BCTC ÁP DỤNG TẠI VIỆT NAM 43 2.1 CƠ SỞ PHÁP LÝ CHO VIỆC KIỂM TOÁN CNTT TẠI VIỆT NAM 43 2.2 THỰC TRẠNG XÂY DỰNG QUY TRÌNH VÀ THỦ TỤC KIỂM TỐN CNTT TRONG CUỘC KIỂM TỐN BCTC CỦA CÁC CƠNG TY KIỂM TOÁN VIỆT NAM 47 2.2.1 Mục tiêu khảo sát 47 2.2.2 Đối tượng, thời gian phạm vi khảo sát 48 2.2.3 Phương pháp khảo sát 48 2.2.4 Kết khảo sát 49 2.2.5 Minh họa quy trình thủ tục kiểm tốn CNTT kiểm toán BCTC 51 CHƯƠNG 3: VẬN DỤNG XÂY DỰNG QUY TRÌNH VÀ THỦ TỤC KIỂM TOÁN CNTT TRONG KIỂM TOÁN BCTC TẠI VIỆT NAM 55 3.1 GIẢI PHÁP CHUNG 55 3.2 GIẢI PHÁP CỤ THỂ 59 3.2.1 Ban hành khái niệm liên quan đến kiểm toán CNTT 59 3.2.2 Chuẩn hóa quy trình lập kế hoạch thực kiểm tốn CNTT theo chuẩn mực quốc tế 60 3.2.3 Phối hợp với bên liên quan xây dựng đồng sở hạ tầng kiến trúc liên quan 62 KẾT LUẬN 63 TÀI LIỆU THAM KHẢO PHỤ LỤC DANH MỤC VIẾT TẮT AICPA: Hiệp hội Kế toán viên cơng chứng Hoa Kỳ BCTC: Báo cáo tài CEO: Giám đốc điều hành doanh nghiệp COBIT (Control Objectives for Information and related Technology): Kiểm soát vấn đề thông tin kỹ thuật liên quan COSO (the Committee of Sponsoring Organizations of Treadway Commission): Ủy ban chống gian lận báo cáo tài CNTT: Cơng nghệ thơng tin ERP (Enterprise resource planning): Hệ thống hoạch định nguồn lực doanh nghiệp CNTT: Hệ thống công nghệ thông tin HSBC (Hongkong and Shanghai Banking Corporation): Tập đoàn Ngân hàng Hồng Kông Thượng Hải ISACA (Information Systems Audit and Control Association): Hiệp hội kiểm soát kiểm toán hệ thống thông tin IT (Information Technology): Công nghệ thông tin ITAF (IT Assurance Framework): Khuôn mẫu đảm bảo công nghệ thơng tin KTV: Kiểm tốn viên VAS (Vietnamese Accounting Standard): Chuẩn mực kế toán Việt Nam VN: Việt Nam VSA (Vietnamese Standards on Auditing): Chuẩn mực kiểm toán Việt Nam DANH MỤC CÁC BẢNG Bảng 1.1: Phân loại kiểm soát hệ thống tổng quát (General IT Control) Bảng 1.2: Hiệu loại thử nghiệm tương ứng với kiểm sốt ứng dụng Bảng 2.1: Số lượng cơng ty kiểm toán thực kiểm toán CNTT kiểm toán BCTC Bảng 2.2: Số lượng khách hàng năm 2012 cơng ty kiểm tốn lớn Việt Nam DANH MỤC HÌNH VẼ Hình 1.1: Quy trình lập kế hoạch thực kiểm tốn CNTT Hình 1.2: Quy trình thực kiểm tốn CNTT kiểm tốn BCTC Hình 1.3: Phân loại kiểm sốt xử lý (Process control) Hình 1.4: Kiểm sốt hệ thống tổng qt (General IT Control) Hình 1.5: Lựa chọn thực thử nghiệm kiểm soát hệ thống tổng quát tương ứng với ứng dụng KTV sử dụng Hình 1.6: Mối tương quan kiểm soát ứng dụng với kiểm soát hệ thống tổng quát PHẦN MỞ ĐẦU TÍNH CẤP THIẾT CỦA ĐỀ TÀI Hệ thống thông tin kế tốn thu thập liệu xử lý thơng tin kế toán nhằm mục tiêu cung cấp cho người sử dụng bên bên doanh nghiệp vấn đề tài doanh nghiệp để từ đưa định phù hợp Chất lượng thông tin kế toán ảnh hưởng trực tiếp đến chất lượng hiệu định người sử dụng thơng tin Vì thế, chất lượng thơng tin kế tốn quan tâm hàng đầu hoạt động quản trị Tại Hoa Kỳ, đạo luật Sarbanes Oxley (2002) xây dựng nhằm bảo vệ lợi ích nhà đầu tư vào công ty đại chúng cách buộc công ty phải cải thiện đảm bảo tin tưởng vào báo cáo, thơng tin tài cơng khai; hiệp hội tổ chức nghề nghiệp đưa nghiên cứu báo cáo khuôn mẫu, chuẩn mực để đảm bảo chất lượng thông tin kế toán Trước đa dạng quan trọng thơng tin kế tốn, người sử dụng phát sinh nhu cầu cung cấp dịch vụ bảo đảm từ bên thứ ba độc lập khách quan có trình độ chuyên môn cao pháp luật cho phép hoạt động Các đơn vị kiểm toán đời đáp ứng nhu cầu với loại hình dịch vụ đảm bảo phổ biến phân loại theo chức sau: kiểm tốn báo cáo tài chính, kiểm toán tuân thủ kiểm toán hoạt động Với loại hình kiểm tốn nào, đối tượng để kiểm toán viên thực thủ tục kiểm toán hệ thống công nghệ thông tin, phạm trù “kiểm tốn hệ thống cơng nghệ thơng tin” xuất với khái niệm cụ thể nội dung quy trình, thủ tục chặt chẽ nhằm mục đích thu thập chứng đánh giá chứng hoạt động hệ thống thông tin tổ chức Việc đánh giá chứng phải đảm bảo hoạt động hệ thống bảo mật, trực, hữu hiệu hiệu nhằm đạt mục tiêu tổ chức đề Công việc thực chung với việc kiểm toán báo cáo tài chính, kiểm tốn nội hay kiểm tốn mục đích khác Cùng với bùng nổ ngành công nghệ thông tin, công ty phát triển cung cấp giải pháp quản trị cho đời hàng loạt hệ thống quản lý tích hợp sâu vào hoạt động doanh nghiệp nhằm thu thập, xử lý, cung cấp xác, kịp thời thơng tin tài doanh nghiệp, bao gồm thơng tin kế tốn nhằm đáp ứng nhu cầu sử dụng thông tin nhiều đối tượng Các hệ thống gọi chung với tên gọi “Hệ thống hoạch định nguồn lực doanh nghiệp” (Enterprise Resource Planning – ERP) Thuật ngữ ERP Gartner Group of Stamford, CT, USA sử dụng từ năm đầu thập niên 70 kỷ trước (1970s) nhằm mô tả hệ thống phần mềm doanh nghiệp hình thành phát triển từ hệ thống quản lý kiểm soát kinh doanh giúp doanh nghiệp hoạch định quản lý nguồn lực bên bên doanh nghiệp Việc ứng dụng ERP rộng rãi doanh nghiệp chứng tỏ hiệu kinh tế mà hệ thống mang lại dẫn đến kiểm toán CNTT trở nên phổ biến phần tách rời kiểm toán Tuy nhiên, xu bắt đầu diễn Việt Nam năm gần với quy mô nhỏ Giai đoạn 2008, theo báo cáo tình hình ứng dụng CNTT – Truyền thơng doanh nghiệp, có 3.48% doanh nghiệp ứng dụng ERP (www.itb.vn 1); thời điểm tháng 02/2010, có 102 doanh nghiệp Việt Nam thực thành cơng ERP (Nguyễn Thị Bích Liên, 2012) Mặt khác, cơng việc kiểm tốn quy trình hệ thống cơng nghệ thơng tin địi hỏi kiểm tốn viên phải có kiến thức tài kế tốn, đồng thời phải có kiến thức hệ thống thông tin am hiểu ứng dụng ERP phổ biến Việt Nam sử dụng rộng rãi giới Do đó, kiểm tốn CNTT cịn khái niệm Việt Nam chưa hướng dẫn Hội kiểm toán viên hành nghề Việt Nam (Vietnam Association of Certified Public Accountants - VACPA); kiểm toan CNTT dựa việc xem xét tính tuân thủ thủ tục, quy định nội quy đơn Viện Tin học Doanh nghiệp, Phịng Thương mại Cơng nghiệp Việt Nam (VCCI-ITB) Phí Tên kiểm sốt: Phỏng vấn quy trình cập nhật tỷ phí hoa hồng hoa ITAC01 - Truy hệ thống HUB Trao đổi với người phân hồng cập để thay đổi tỷ quyền cập nhật tỷ lệ hoa hồng lệ hoa hồng (giao Xem xét hệ thống HUB để tìm chế xây dịch tài dựng sẵn hỗ trợ cho việc phân quyền thơng qua quy kiều hối) trình Thu thập danh sách người dùng hệ thống Loại kiểm sốt: HUB phân quyền cập nhật phí hoa hồng, Truy cập hệ thống xác minh tính phù hợp việc phân quyền (Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)  Đối với kiểm soát ứng dụng thuộc loại thiết lập hệ thống tài khoản kiểm soát ITAC04, ITAC05, ITAC07  ITAC11, KTV chuyên gia hệ thống áp dụng loại hình thử nghiệm Tính tốn thủ cơng/Theo dấu (Manual recalculation/ Tracing) loại thử nghiệm mang lại hiệu cao cho mục đích kiểm tra tính hữu hiệu kiểm soát KTV trực tiếp đánh giá kết thu từ hệ thống tự động việc so sánh đối chiếu với kết thực thủ cơng Do tính chất tương đồng kiểm sốt trên, luận văn phân tích chi tiết thủ tục thực với kiểm sốt ITAC04 - Tính tốn tự động thu nhập từ lãi - Các khoản cho vay thấu chi Bảng 2.8 tóm tắt thơng tin kiểm sốt ứng dụng ITAC04 Bảng 2.10: Thơng tin tổng hợp kiểm soát ứng dụng ITAC04 Lãi HUB ITAC04 - Tính tốn tự động thu nhập từ lãi - Các khoản cho vay thấu chi Thiết lập hệ thống tài khoản Loại kiểm soát: Truy cập vào hệ thống liệu - Hiệu Kiểm sốt thay đổi chương trình - Hiệu Kiểm soát hệ thống Kiểm soát phát triển ứng dụng - Khơng khả dụng tổng qt Kiểm sốt vận hành hệ thống - Hiệu Thủ tục đánh giá thiết kế thử nghiệm triển khai Chu trình kinh doanh Ứng dụng Kiểm sốt ứng dụng Mục tiêu Tìm hiểu quy trình kinh doanh Thử nghiệm thiết lập truy cập Thực Phỏng vấn điều kiện tính tốn lãi ghi nhận vào Sổ Cái (GL posting) Xem xét thiết lập hệ thống HUB có áp dụng điều kiện định nghĩa tài khoản Trao đổi với nhân viên cấp quyền truy cập HUB để thay đổi thiết lập sản phẩm vay Thử nghiệm thay đổi Phỏng vấn thay đổi/cập nhật năm chương trình Chọn mẫu từ hệ thống HUB + Kiểm tra yêu cầu thay đổi + Kiểm tra truy cập không hợp lệ + Kiểm tra chuyển đổi môi trường phát triển sang thực Thử nghiệm hiệu Chọn mẫu vay thực thủ tục: + Tính tốn lại khoản lãi vay dựa hồ sơ vay với liệu hệ thống + Theo dấu nghiệp vụ ghi nhận lãi vào sổ (Nguồn: hồ sơ kiểm toán – tác giả tổng hợp) Mục tiêu 1: Phỏng vấn điều kiện tính tốn lãi ghi nhận vào Sổ Cái (GL posting) Đối với lãi phát sinh từ khoản vay thông thường: Tiếp cận trao đổi với bà Nguyễn Thị Mai Anh - Finance Operation Officer quy định tính tốn lãi vay điều kiện ghi sổ KTV biết: - Cơng thức tính lãi thiết lập sẵn hệ thống HUB o Lãi ngày = Số dư tài khoản x Lãi suất / 360 o Lãi lũy kế = Lãi ngày x Số ngày lũy kế - Đối với khoản vay hạn, lãi vay tính cộng thêm phần lãi suất hạn vào lãi suất thông thường Theo hướng dẫn NHNN, lãi suất hạn không vượt 150% lãi suất thơng thường Lãi q hạn dồn tích ghi sổ ngày ghi đảo lại vào ngày hôm sau lãi hạn tốn khoản vay q hạn bị xóa sổ o Lãi vay hạn = (Số dư tài khoản x Lãi suất phạt x Lãi suất x Số ngày) / 360 - Lãi vay ghi sổ tự động ngày hệ thống sau: o Nợ “Lãi phải thu”/ Có “Thu nhập từ lãi” - Khi khách hàng toán tiền lãi, bút toán ghi sổ hệ thống sau: o Nợ “Tài khoản tốn KH”/ Có “Lãi phải thu” Đối với lãi phát sinh từ thẻ tín dụng: Tiếp cận trao đổi với bà Đỗ Nguyễn Thụy Product Management Officer quy định tính tốn lãi cấp tín dụng điều kiện ghi sổ KTV biết: - Các thông tin sau phải nhập vào hệ thống web (web-base system) để khởi tạo hồ sơ khách hàng sử dụng thẻ o Số tài khoản: Tự động khởi tạo hệ thống o Thông tin khách hàng: Họ tên, ngày sinh, địa o Hạn mức tín dụng: Xác thực cấp Quản lý trở lên nhập vào hệ thống o Ngày lập bảng: Dựa vào ngày thỏa thuận với khách hàng o Ngày toán: Ngày lập bảng + 15 ngày o Thanh toán tối thiểu: 5% tổng số dư tối thiếu 50.000VND - Phương thức tính lãi sau áp dụng cho hệ thống WHIRL o Lãi ngày = Số dư tài khoản x Lãi suất / 365 (hoặc 366) o Lãi lũy kế = Lãi ngày x Số ngày lũy kế - Nếu khách hàng khơgn thực tốn tối thiểu ngày toán, khoản lãi ghi sổ sau: o Nợ “Tài khoản toán KH – Thấu chi”/ Có “Thu nhập từ lãi” Mục tiêu 2: Xem xét thiết lập hệ thống HUB có áp dụng điều kiện định nghĩa tài khoản Trao đổi với nhân viên cấp quyền truy cập HUB để thay đổi thiết lập sản phẩm vay Nghiệp vụ cho vay hệ thống HUB: Qua vấn bà Trần Thị Thuyên Software Delivery Supervisor, KTV biết cơng thức tính lãi vay lập trình sẵn hệ thống HUB Để thay đổi cơng thức thêm bớt sản phẩm vay, người dùng cần phải thực theo quy trình với nhiều cấp xét duyệt khác Các sản phẩm vay quản lý qua giao diện ZA2 - Credit System & Decision Support System Controls hệ thống HUB Chỉ có bà Ngơ Thị Thùy Dương Software Delivery officer với mã định danh A453 phép truy cập vào giao diện để quản lý bảo trì thiết lập cho sản phẩm vay Quan sát thử nghiệm đăng nhập bà Thuyên với mã định danh HMGR thực hiện, KTV nhận thấy hệ thống từ chối truy cập Với hỗ trợ ông Nguyễn Quang Hải - Information Security Risk Officer, KTV thu thập danh sách người dùng từ hệ thống HUB nhận thấy, nhóm người dùng PRODCTRL bao gồm thành viên bà Ngô Thị Thùy Dương phân quyền truy cập giao diện ZA2 Do hệ thống HUB không yêu cầu xét duyệt có thao tác quản lý bảo trì thực hiện, có rủi ro kiểm sốt cấp quản lý không nhận biết thay đổi  kiểm soát hữu hiệu Trao đổi sâu với bà Thuyên kiểm soát khác ngồi kiểm sốt khơng hữu hiệu vừa phát hiện, KTV nhận thấy bà Thuyên thực việc kiểm tra báo cáo SS555R1(Tổng hợp bảo trì tồn hệ thống HUB) vào ngày cách thủ công đánh dấu lên xác nhận việc bảo trì thực cách hợp lý  ảnh hưởng kiểm soát hữu hiệu thấp Phỏng vấn bà Ngô Thị Thùy Dương - Software Delivery officer việc bảo trì hệ thống quản lý thẻ (WHIRL) KTV biết cơng việc thực phịng IT tập đồn Khơng có nhân viên HSBC Vietnam cấp phép thực công việc Phỏng vấn bà Nguyễn Thị Thanh Hằng - Finance Operation officer hệ thống tài khoản liên kết với hoạt động ghi sổ tự động thuộc chu trình lãi KTV biết tài khoản liên kết với sản phẩm vay định theo quy định tập đoàn lập trình sẵn Được hỗ trợ bà Hằng, danh sách tài khoản khai báo trích xuất KTV đối chiếu với nhóm kiểm tốn BCTC nhận thấy tài khoản thuộc nhóm tài khoản lãi phải thu doanh thu từ lãi  mục tiêu đạt Nghiệp vụ thẻ hệ thống WHIRL: Qua vấn bà Trần Thị Thuyên - Software Delivery Supervisor, thiết lập tính tốn lãi lập trình sẵn hệ thống WHIRL đặt quản lý phòng IT tập đồn Khơng có nhân viên HSBC Vietnam cấp phép truy cập vào thiết lập hệ thống WHIRL Tất thay đổi hệ thống WHIRL phải đề xuất xét duyệt theo quy trình trước thực phịng IT tập đồn  mục tiêu đạt Mục tiêu 3: Phỏng vấn thay đổi/cập nhật năm chọn mẫu từ hệ thống HUB Đối chiếu vấn từ cá nhân thuộc phịng ban vị trí khác nhau, thông tin cung cấp trùng khớp hợp lý Do thay đổi cập nhật thực nhiều lần năm, KTV chuyên gia hệ thống thu thập danh sách thay đổi nhận thấy thay đổi ghi nhận rõ ràng thông tin người yêu cầu, nội dung thay đổi rõ ràng, người kiểm tra Do KTV chuyên gia hệ thống thực thủ tục tương tự cấp độ kiểm soát hệ thống tổng quát  kiểm soát thay đổi/cập nhật hữu hiệu Mục tiêu 4: Thử nghiệm hiệu - tính tốn lại theo dấu nghiệp vụ Lãi phải thu từ khoản cho vay: Mẫu thử nghiệm sau chọn từ sở liệu: - Tài khoản: 99-000119-374 - Vốn gốc: 140.768,82 USD - Lãi suất: 6,06%/năm - Ngày bắt đầu: 25 tháng 12 năm 2008 - Ngày đáo hạn: 26 tháng năm 2015 KTV thực việc tính tốn lãi suất theo ngày dựa thông tin thu thập số liệu lấy từ mẫu chọn Số liệu kiểm toán Số liệu hệ thống Chênh lệch 23.7 23 -0.7 Lãi ngày Kết tính tốn cho thấy chênh lệch kết tính tốn thủ cơng kết hệ thống Chênh lệch việc làm trịn số, ảnh hưởng chênh lệch khơng trọng yếu KTV nhận thấy, hệ thống không ghi sổ khoản lãi tính theo khoản vay, thay vào hệ thống gộp chung tất khoản lãi ngày ghi thành nghiệp vụ vào sổ để giảm số lượng nghiệp vụ phát sinh Để theo dấu nghiệp vụ từ giai đoạn tính tốn đến hạch toán vào sổ, KTV thực thủ tục sau: - Thu thập danh sách chi tiết khoản lãi tính theo khoản vay tạo hệ thống, kiểm tra mẫu thử nghiệm có nằm danh dách - Thu thập danh sách chi tiết khoản lãi tính cho ngày trước Tổng lãi chênh lệch ngày khớp với giá trị ghi sổ - Kiểm tra tài khoản sử dụng để ghi nhận lãi phù hợp với trình tìm hiểu  Kiểm sốt vận hành hiệu Lãi phải thu từ thẻ tín dụng: Mẫu thử nghiệm sau chọn từ sở liệu: - Mã thẻ: 4450-9300-xxxx-1399 - Loại thẻ: VISA Classic - Ngày lập bảng: 14 tháng 10 năm 2013 - Ngày toán: 29 tháng 10 năm 2013 - Số dư tài khoản: 7.888.050,54 - Thanh toán tối thiểu: 394.402,53 KTV thực việc tính tốn lãi suất theo ngày dựa thơng tin thu thập số liệu lấy từ mẫu chọn Số liệu kiểm tốn Lãi Hạn mức tín dụng Thanh toán tối thiểu 78,051.29 7,888,051.29 394,402.53 Số liệu hệ thống 78,050.54 7,888,050.54 394,402.53 Chênh lệch 0.75 0.75 - Kết tính tốn cho thấy chênh lệch kết tính tốn thủ cơng kết hệ thống Chênh lệch việc làm tròn số, ảnh hưởng chênh lệch không trọng yếu Để theo dấu nghiệp vụ lãi từ thẻ, KTV thu thập báo cáo R25 liệt kê tồn lãi suất thẻ tín dụng VISA Classic kiểm tra tồn nghiệp vụ tính lãi Tổng lãi phát sinh 1.658.751.426,87 ; bao gồm lãi phát sinh mẫu chọn 78,050.54 (Hình 2.1) Hình 2.1: Minh họa báo cáo R25 – Lãi phát sinh từ thẻ mẫu thử nghiệm (Nguồn: hồ sơ kiểm toán – tác giả tổng hợp) Sản phẩm thẻ VISA Classic thuộc nhóm sản phẩm mang tên mã 400 KTV tổng hợp tất lãi phát sinh tương ứng với sản phẩm thuộc nhóm 400 nhận thấy tổng số tương ứng đưa vào hệ thống HUB (Hình 2.2 Hình 2.3) Hình 2.2: Minh họa sổ ghi nhận nghiệp vụ tính lãi nhóm sản phẩm 400 ∑ 2,245,874,044 (Nguồn: hồ sơ kiểm tốn – tác giả tổng hợp) Hình 2.3: Dữ liệu tương ứng hệ thống HUB với lãi phát sinh nhóm sản phẩm 400 (Nguồn: hồ sơ kiểm toán – tác giả tổng hợp) Trong hệ thống HUB, tài khoản 926831 mang tính chất tạm thời có số dư cuối ngày Tổng nợ có tài khoản cấn trừ lẫn số dư cuối chuyển sang tài khoản 919117 – tài khoản lập bảng cân đối kế toán (thấu chi) Hình 2.4: Minh họa liệu kết chuyển từ hệ thống lên bảng cân đối kế toán (Nguồn: hồ sơ kiểm toán – tác giả tổng hợp) Kết luận: Kiểm soát ITAC05 thiết kế hữu hiệu vận hành hiệu  Đối với kiểm soát ứng dụng thuộc loại truy cập hệ thống kiểm soát ITAC01, ITAC03 ITAC06, việc áp dụng hỗn hợp thử nghiệm trực tuyến (Online test) phân tích báo cáo thiết lập (Printed config) mang lại hiệu cao KTV quan sát kết theo thời gian thực hoạt động kiểm soát ứng dụng Do tính chất tương đồng kiểm sốt trên, luận văn phân tích chi tiết thủ tục thực với kiểm soát ITAC03 - Truy cập tỷ giá hối đối Bảng sau tóm tắt thơng tin kiểm sốt ứng dụng ITAC03 Bảng 2.11: Thơng tin tổng hợp kiểm soát ứng dụng ITAC03 Cấp vốn Ngoại hối HUB TREAT ITAC03 - Truy cập tỷ giá hối đoái Kiểm soát ứng dụng Truy cập hệ thống Loại kiểm soát: Truy cập vào hệ thống liệu - Hiệu Kiểm soát thay đổi chương trình - Hiệu Kiểm sốt hệ thống Kiểm sốt phát triển ứng dụng - Khơng khả dụng tổng quát Kiểm soát vận hành hệ thống - Hiệu Thủ tục đánh giá thiết kế thử nghiệm triển khai Mục tiêu Thực Tìm hiểu quy trình Phỏng vấn quy trình cập nhật tỷ giá hối đoái hệ kinh doanh thống HUB TREAT Trao đổi với người phân quyền cập nhật lãi suất ký gửi Tìm hiểu quy trình Xem xét hệ thống HUB TREAT để tìm chế doanh nghiệp xây dựng sẵn hỗ trợ cho việc phân quyền thơng qua quy thực tiễn trình Chu trình kinh doanh Ứng dụng Xác minh quyền truy cập người dùng Thu thập danh sách người dùng hệ thống HUB TREAT vừa phân quyền cập nhật lãi suất ký gửi, xác minh tính phù hợp việc phân quyền (Nguồn: hồ sơ kiểm toán – tác giả tổng hợp) Mục tiêu 1: Phỏng vấn quy trình cập nhật tỷ giá hối đoái hệ thống HUB TREAT Trao đổi với người phân quyền cập nhật lãi suất ký gửi KTV chuyên gia hệ thống vấn ông Đinh Đức Quang - GMS Control Officer quy trình cập nhật tỷ giá hối đoái hệ thống HUB Quy trình thực sau: - Tỷ giá quản lý cập nhật nhân viên giao dịch ngoại hối – F/X Trader dựa mẫu đơn giấy theo mẫu chấp thuận từ phòng kinh doanh tiền tệ ngoại hối (Treasury Department) - Tỷ giá hiệu lực HUB áp dụng ngay, không cần qua bước xét duyệt trực tuyến Thông tin tương tự ghi nhận qua vấn bà Nguyễn Thị Thu Hằng Manager Financial Reporting KTV chuyên gia hệ thống vấn bà Nguyễn Dương Hạnh Vân - GMS Control Officer quy trình cập nhật tỷ giá hối đối hệ thống TREAT Quy trình thực sau: - Tỷ giá quản lý cập nhật trợ lý GMS thuộc phòng GMS - Các tỷ giá có hiệu lực phải chấp thuận GMS Officer Thông tin tương tự ghi nhận qua vấn ông Đinh Đức Quang - GMS Control Officer Kết luận: Mục tiêu đạt Mục tiêu 2: Xem xét hệ thống HUB TREAT để tìm chế xây dựng sẵn hỗ trợ cho việc phân quyền thơng qua quy trình Với hỗ trợ ông Quang (hệ thống HUB) bà Vân (hệ thống TREAT), KTV chuyên gia hệ thống tiếp cận giao diện đăng nhập với thông tin thể tên giao diện, phiên làm việc, người đăng nhập, trạng thái xét duyệt (chờ/đã chấp thuận) v.v… Các thông tin tỷ giá hối đối cập nhật qua hình làm việc đề cập Ảnh chụp hình lưu vào hồ sơ kiểm toán  Mục tiêu đạt Bảng 2.12: Tên giao diện chức tương ứng hệ thống HUB TREAT Hệ thống HUB TREAT Cơng việc Cập nhật/Bảo trì Xét duyệt Giao diện N86 Giao diện D111 Giao diện J111 (Nguồn: hồ sơ kiểm toán – tác giả tổng hợp) Mục tiêu 3: Thu thập danh sách người dùng hệ thống HUB TREAT vừa phân quyền cập nhật tỷ giá, xác minh tính phù hợp việc phân quyền Phỏng vấn ơng Nguyễn Quang Hải - Information Security Risk Officer biết - Hệ thống HUB TREAT quản lý người dùng theo thứ tự phịng ban, sau theo nhóm - Mỗi nhóm có quyền truy cập hình/trình đơn/mã nghiệp vụ… định Người dùng phải phân vào nhóm phù hợp thuộc xác phịng ban để thực công việc liên quan → Kiểm chứng cho thấy, kiểm sốt viên từ phịng Phát triển phần mềm xác thực hoạt động hệ thống nhân viên khác kể có mã nghiệp vụ trùng khớp - Nếu nhân viên có quyền truy cập trình đơn (menu) hệ thống, nhân viên có quyền tương ứng với tồn trình đơn phụ (sub-menu) liên quan • Phân tích báo cáo thiết lập Dưới hỗ trợ ông Hải, nhóm KTV chuyên gia in thiết lập hệ thống HUB TREAT để xem xét yếu tố bên Theo thiết lập này, KTV nhận thấy: Đối với hệ thống HUB: nhóm người dùng GMTRADING có quyền truy cập giao diện N86 cập nhật tỷ giá hối đối Bản danh sách tồn người dùng hệ thống HUB trích xuất lọc lấy người dùng thuộc nhóm GMTRADING, đối chiếu với văn ủy quyền, người dùng thuộc phòng GMS cấp phép để thực cơng việc Đối với hệ thống TREAT: nhóm người dùng TRYCONA có quyền cập nhật tỷ giá hối đối qua giao diện D111 nhóm người dùng TRYCON có xét duyệt thay đổi qua giao diện J111 Bản danh sách toàn người dùng hệ thống TREAT trích xuất lọc lấy người dùng thuộc nhóm TRYCONA TRYCON Đối chiếu với văn ủy quyền, người dùng thuộc phòng GMS cấp phép để thực công việc Bảng 2.13: Danh sách người dùng có quyền cập nhật xét duyệt thay đổi tỷ giá hối đoái hệ thống TREAT ID LTNP Tên LE THI NHAT PHUONG Mã Nhân Viên 43502034 VBDN NGUYEN THI LE MAI 43587670 NDVH NGUYEN DUONG HANH VAN 43422907 Nhóm Phịng ban TRYCONA VNM GMS TRYCONA VNM GMS TRYCON VNM GMS (Nguồn: hồ sơ kiểm tốn – tác giả tổng hợp) • Thử nghiệm trực tuyến Quan sát bà Nguyễn Dương Hạnh Vân (TREAT ID: NDHV) thực thao tác truy cập vào giao diện D111 – Cập nhật bảo trì KTV nhận thấy hệ thống từ chối quyền truy cập người dùng thuộc nhóm TRYCON phép truy cập giao diện J111 – Xét duyệt Hình 2.5: Thử nghiệm trực tuyến truy cập giao diện cập nhật tỷ giá từ người dùng thuộc nhóm xét duyệt (Nguồn: hồ sơ kiểm toán – tác giả tổng hợp) Tương tự, quan sát bà Nguyễn Thị Lệ Mai (TREAT ID: VBDN) thực thao tác truy cập vào giao diện J111 – Xét duyệt KTV nhận thấy hệ thống từ chối quyền truy cập người dùng thuộc nhóm TRYCONA phép truy cập giao diện D111 – Cập nhật Hình 2.6: Thử nghiệm trực tuyến truy cập giao diện xét duyệt tỷ giá từ người dùng thuộc nhóm cập nhật (Nguồn: hồ sơ kiểm toán – tác giả tổng hợp) Các văn bản, hướng dẫn, danh sách người dùng, ảnh chụp hình thu thập lưu hồ sơ kiểm toán Dựa kết thử nghiệm, KTV kết luận kiểm soát ITAC03 thiết kế hữu hiệu vận hành hiệu Như vậy, KTV chuyên gia hệ thống thực thử nghiệm kiểm soát ứng dụng nhận diện qua trình lập kế hoạch thử nghiệm sơ Kết thử nghiệm cho thấy kiểm soát ứng dụng thiết kế hữu hiệu hoạt động hiệu suốt niên độ theo mục đích thiết kế kiểm sốt Từ đó, KTV đưa kết luận hệ thống đáng tin cậy, đảm bảo sở dẫn liệu tài khoản thuyết minh trọng yếu chọn ... cơng nghệ thơng tin kiểm tốn báo cáo tài Việt Nam? ?? Luận văn đề cập tới quy trình thủ tục kiểm tốn hệ thống công nghệ thông tin áp dụng Việt Nam khoản cách so với chuẩn mực áp dụng quốc tế Dựa vào... VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KINH TẾ TP HỒ CHÍ MINH • NGŨ THÁI NGỌC KHIÊM VẬN DỤNG CHUẨN MỰC QUỐC TẾ ĐỂ XÂY DỰNG QUY TRÌNH VÀ THỦ TỤC KIỂM TỐN HỆ THỐNG CƠNG NGHỆ THƠNG TIN TRONG KIỂM TỐN BÁO CÁO... ty kiểm tốn Việt Nam • Chương 3: Vận dụng xây dựng quy trình thủ tục kiểm toán CNTT kiểm toán BCTC Việt Nam • Kết luận chung luận văn 12 CHƯƠNG 1: QUY TRÌNH VÀ THỦ TỤC KIỂM TỐN HỆ THỐNG CƠNG NGHỆ