Áp dụng kiểm toán công nghệ thông tin trong kiểm toán báo cáo tài chính do các công ty kiểm toán độc lập tại việt nam thực hiện

MỤC LỤC 1 MỤC LỤC 2 DANH MỤC CÁC KÝ HIỆU VIẾT TẮT 3 DANH MỤC BẢNG BIỂU 4 LỜI MỞ ĐẦU 5 Chương 1 7 CƠ SỞ LÝ LUẬN CHUNG VỀ KIỂM TOÁN CÔNG NGHỆ THÔNG TIN TRONG KIỂM TOÁN BÁO CÁO TÀI CHÍNH DO KIỂM TOÁN ĐỘC LẬP THỰC HIỆN 7 1.1 Khái quát chung về Kiểm toán báo cáo tài chính 7 1.1.1 Khái niệm kiểm toán báo cáo tài chính 7 1.1.2 Vai trò của Kiểm toán báo cáo tài chính 9 1.2 Khái quát chung về Kiểm toán công nghệ thông tin 11 1.2.1 Khái niệm Kiểm toán công nghệ thông tin 11 1.2.2 Mục tiêu Kiểm toán công nghệ thông tin 12 1.2.3 Phân loại kiểm toán công nghệ thông tin 13 1.2.4 Vai trò kiểm toán công nghệ thông tin 15 1.3 Kiểm toán công nghệ thông tin trong kiểm toán báo cáo tài chính 17 1.3.1 Nội dung kiểm toán công nghệ thông tin 17 1.3.2 Quy trình kiểm toán công nghệ thông tin 18 Chương 2: 25 THỰC TRẠNG ÁP DỤNG KIỂM TOÁN CÔNG NGHỆ THÔNG TIN TRONG KIỂM TOÁN BÁO CÁO TÀI CHÍNH DO CÁC CÔNG TY KIỂM TOÁN ĐỘC LẬP TẠI VIỆT NAM THỰC HIỆN 25 2.1 Các quy định pháp lý cho kiểm toán công nghệ thông tin tại Việt Nam 25 2.2 Thực trạng áp dụng Kiểm toán công nghệ thông tin trong các cuộc kiểm toán báo cáo tài chính 27 2.3 Minh họa áp dụng Kiểm toán công nghệ thông tin trong kiểm toán báo cáo tài chính thực hiện bởi công ty TNHH KPMG Việt Nam 29 Chương 3: 44 NHẬN XÉT VÀ ĐỀ XUẤT KIẾN NGHỊ HOÀN THIỆN VIỆC ÁP DỤNG KIỂM TOÁN CÔNG NGHỆ THÔNG TIN TRONG KIỂM TOÁN BÁO CÁO TÀI CHÍNH KIỂM TOÁN TÀI CHÍNH DO CÁC DOANH NGHIỆP KIỂM TOÁN ĐỘC LẬP TẠI VIỆT NAM THỰC HIỆN 44 3.1 Nhận xét chung về việc áp dụng Kiểm toán công nghệ thông tin trong các cuộc kiểm toán báo cáo tài chính 44 3.1.1 Ưu điểm 44 3.1.2 Nhược điểm 45 3.2 Một số khó khăn trong việc thực hiện kiểm toán công nghệ thông tin tại Việt Nam 45 3.3 Kiến nghị hoàn thiện áp dụng kiểm toán công nghệ thông tin trong kiểm toán báo cáo tài chính 46 KẾT LUẬN 49 DANH MỤC TÀI LIỆU THAM KHẢO 50 DANH MỤC CÁC KÝ HIỆU VIẾT TẮT Chữ Viết tắt Báo cáo tài chính BCTC KTV KTV Ban giám đốc BGĐ Chuẩn mực kiểm toán CMKT Kiểm soát nội bộ KSNB Doanh nghiệp kiểm toán DNKT Kiểm toán nhà nước KTNN Kiểm toán nội bộ KTNB Công nghệ thông tin CNTT Cơ sở dẫn liệu CSDL Bằng chứng kiểm toán BCKT DANH MỤC BẢNG BIỂU Bảng 2.1 Các kiểm soát ứng dụng cho khoản mục và thuyết minh trọng yếu Bảng 2.2 Các kiểm soát hệ thống tổng quát tương ứng với các kiểm soát ứng dụng đã nhận diện Bảng 2.3 Các kiểm soát hệ thống tổng quát tương ứng với các kiểm soát ứng dụng đã nhận diện Bảng 2.4 Thông tin tổng hợp của kiểm soát ứng dụng LỜI MỞ ĐẦU Với sự bùng nổ của Công nghệ thông tin (CNTT) hiện nay, ngày càng nhiều các tổ chức ứng dụng hệ thống CNTT hiện đại trong hoạt động quản lý tài chính và các nghiệp vụ. Do vậy, để thực hiện kiểm toán đòi hỏi phải có sự thay đổi phù hợp với môi trường ứng dụng CNTT. Cùng với sự gia tăng của lượng người dùng máy tính và sự thay đổi trong hệ thống kế toán, thuật ngữ Kiểm toán công nghệ thông tin ra đời nhằm đáp ứng nhu cầu đó với mục đích thu thập bằng chứng và đánh giá bằng chứng về các hoạt động của hệ thống thông tin đã được tổ chức Trong kiểm toán báo cáo tài chính kiểm toán CNTT đóng vai trò như một thủ tục soát xét hệ thống nhằm hỗ trợ kiểm toán viên thực hiện kiểm toán BCTC thu thập bằng chứng hoặc đưa ra đánh giá về các kiểm soát doanh nghiệp thiết lập . Tuy nhiên, ở Việt Nam khái niệm về Kiểm toán công nghệ thông tin vẫn còn khá mới mẻ trong khi đối với nhiều nước phát triển trên thế giới thì đây là một công việc đã được thực hiện thường xuyên trong các cuộc kiểm toán BCTC. Chính vì thế, nhận thấy được tầm quan trọng và tính cấp thiết của Kiểm toán CNTT trong Kiểm toán BCTC, em đã chọn đề tài: “ Áp dụng Kiểm toán công nghệ thông tin trong Kiểm toán báo cáo tài chính do các công ty kiểm toán độc lập tại Việt Nam thực hiện” Nội dung đề án môn học Kiểm toán gồm 3 phần chính: Chương 1: Cơ sở lý luận chung về kiểm toán công nghệ thông tin trong kiểm toán tài chính do kiểm toán độc lập thực hiện Chương 2: Thực trạng áp dụng kiểm toán công nghệ thông tin trong kiểm toán báo cáo tài chính do các doanh nghiệp kiểm toán độc lập tại Việt Nam thực hiện Chương 3: Nhận xét chung và khuyến nghị nhằm hoàn thiện việc áp dụng kiểm toán công nghệ thông tin trong kiểm toán báo cáo tài chính Do còn nhiều hạn chế về mặt thời gian cũng như kiến thức và kinh nghiệm thực tế nên không tránh khỏi những sai sót. Em mong nhận được sự giúp đỡ, góp ý của cô để hoàn thiện hơn nữa đề án này Em xin gửi lời cảm ơn sâu sắc tới Cô giáo, TS. Bùi Thị Minh Hải đã tận tình chỉ bảo, góp ý giúp em trong suốt quá trình hoàn thiện đề án này Chương 1 CƠ SỞ LÝ LUẬN CHUNG VỀ KIỂM TOÁN CÔNG NGHỆ THÔNG TIN TRONG KIỂM TOÁN BÁO CÁO TÀI CHÍNH DO KIỂM TOÁN ĐỘC LẬP THỰC HIỆN 1.1 Khái quát chung về Kiểm toán báo cáo tài chính 1.1.1 Khái niệm kiểm toán báo cáo tài chính “Kiểm toán tài chính là hoạt động xác minh và bày tỏ ý kiến về các bảng khai tài chính của các thực thể kinh tế do các KTV có trình độ nghiệp vụ tương xứng đảm nhận và dựa trên hệ thống pháp lý đang có hiệu lực.” (Giáo trình Lý thuyết Kiểm toán ) Theo chuẩn mực kiểm toán Việt Nam, Kiểm toán tài chính là một hoạt động đặc trưng của kiểm toán, với mục tiêu cụ thể là “đưa ra ý kiến xác nhận rằng Báo cáo tài chính có được lập trên cơ sở chuẩn mực và chế độ kế toán hiện hành (hoặc được chấp nhận), có tuân thủ pháp luật liên quan, có phản ánh trung thực và hợp lý trên các khía cạnh trọng yếu hay không”  Đối tượng của kiểm toán báo cáo tài chính “Đối tượng trực tiếp của KTTC là cái Bảng khai tài chính. Bộ phận quan trọng của những bảng khai này là BCTC. Trong kiểm toán BCTC, có hai các cơ bản để phân chia đối tượng kiểm toán thành các phần hành kiểm toán khác nhau là: theo khoản mục và chu trình Thông thường KTTC gồm các phần hành chính sau: + Kiểm toán chu trình bán hàng và thu tiền + Kiểm toán tiền mặt + Kiểm toán chu trình mua hàng và trả tiền + Kiểm toán chu trình tiền lương và nhân viên + Kiểm toán hàng tồn kho + Kiểm toán đầu tư và chi trả + Kiểm toán tiếp nhận và hoàn trả vốn” (Giáo trình Kiểm toán tài chính ĐH Kinh tế Quốc Dân)  Khách thể và chủ thể của kiểm toán báo cáo tài chính Chủ thể và khách thể trong kiểm toán tài chính được xác định tùy thuộc vào từng cuộc kiểm toán cụ thể. Với các đơn vị sử dụng kinh phí hoặc vốn đầu tư từ ngân sách nhà nước thì việc kiểm toán các bảng khai tài chính thường do kiểm toán nhà nước thực hiện. Với các đơn vị còn lại thuộc diện bắt buộc phải kiểm toán hàng năm với tư cách là một công ty niêm yết thì chủ thể kiểm toán bảng khai tài chính tương ứng sẽ là công ty hoặc văn phòng kiểm toán độc lập. Trong mối quan hệ nội kiểm phục vụ cho mục đích quản trị nội bộ, việc kiểm toán các bảng khai tài chính của các đơn vị thành viên trong một tổng công ty, tập đoàn,... thuộc về trách nhiệm của kiểm toán nội bộ.  Mục tiêu kiểm toán báo cáo tài chính “ Mục tiêu tổng thể của kiểm toán viên và doanh nghiệp kiểm toán khi thực hiện một cuộc kiểm toán báo cáo tài chính là: (a) Đạt được sự đảm bảo hợp lý rằng liệu báo cáo tài chính, xét trên phương diện tổng thể, có còn sai sót trọng yếu do gian lận hoặc nhầm lẫn hay không, từ đó giúp kiểm toán viên đưa ra ý kiến về việc liệu báo cáo tài chính có được lập phù hợp với khuôn khổ về lập và trình bày báo cáo tài chính được áp dụng, trên các khía cạnh trọng yếu hay không; (b) Lập báo cáo kiểm toán về báo cáo tài chính và trao đổi thông tin theo quy định của chuẩn mực kiểm toán Việt Nam, phù hợp với các phát hiện của kiểm toán viên. Trong trường hợp không thể đạt được sự đảm bảo hợp lý và ý kiến kiểm toán dạng ngoại trừ là chưa đủ để cung cấp thông tin cho người sử dụng báo cáo tài chính dự kiến thì chuẩn mực kiểm toán Việt Nam yêu cầu kiểm toán viên phải từ chối đưa ra ý kiến hoặc rút khỏi cuộc kiểm toán theo pháp luật và các quy định có liên quan.” ( Chuẩn mực kiểm toán số 200 – Điểm 11,12)  Cơ sở tiến hành Nhằm đạt được mục tiêu trên, kiểm toán viên phải dựa vào hệ thống chuẩn mực kế toán (là cơ bản), chế độ kế toán hiện hành cùng hệ thống các văn bản pháp lý đang có hiệu lực điều chỉnh hoạt động của khách thể kiểm toán. Do những người sử dụng bảng khai tài chính thường là bên ngoài đơn vị được kiểm toán, quan tâm đến thông tin tài chính với các mục đích khác nhau nên cơ sở thực hiện kiểm toán (hệ thống chuẩn mực) cần phải đảm bảo tính thống nhất.  Kết quả kiểm toán Kết quả kiểm toán phải thể hiện được ý kiến của chủ thể kiểm toán về độ tin cậy của thông tin được trình bày trong bảng khai tài chính. Các kết luận này có thể được trình bày trong biên bản kiểm toán, và chủ yếu là trong báo cáo kiểm toán. Bên cạnh đó, kiểm toán viên có thể cung cấp thêm các dịch vụ gia tăng như đưa ra các lời khuyên hoặc tư vấn về hoàn thiện kiểm soát nội bộ hoặc hệ thống kế toán của khách thể kiểm toán trong thư quản lý. 1.1.2 Vai trò của Kiểm toán báo cáo tài chính Thứ nhất, tạo niềm tin cho những người quan tâm Trong cơ chế thị trường có nhiều người quan tâm tới tình hình tài chính và sự phản ánh của nó trong tài liệu kế toán. Những người quan tâm có thể kể đến là: Các cơ quan nhà nước: cần có những thông tin trung thực để điều tiết nền kinh tế vĩ mô Các nhà đầu tư: cần có tài liệu tin cậy để trước hết có hướng đầu tư đúng đắn, sau đó điều hành, sử dụng vốn và cuối cùng là có những tài liệu trung thực về phân phối kết quả đầu tư Người lao động cần có thông tin đáng tin cậy về kết quả kinh doanh, ăn chia phân phói và thực hiện chính sách tiền lương Khách hàng, nhà cung cấp và những người quan tâm khác cần hiểu rõ thực chất kinh doanh về tài chính của các đơn vị về nhiều mặt Có thể nói việc tạo niềm tin cho những người quan tâm là yếu tố quyết định sự ra đời và phát triển của kiểm toán tài chính với tư cách là một hoạt động độc lập Thứ hai, góp phần hướng dẫn nghiệp vụ và củng cố nền hoạt động tài chính nói riêng và hoạt động của đơn vị được kiểm toán nói chung Hoạt đdộng tài chính bao gồm những mối quan hệ đa dang, luôn biến đổi và được cấu thành bởi hàng loạt nghiệp vụ cụ thể. Để hướng các nghiệp vụ này vào mục tiêu giải quyết tốt các quan hệ trên không những cần có định hướng đúng và thực hiện tốt mà còn cần thường xuyên soát xét việc thực hiện để hướng các nghiệp vụ vào quỹ đạo mong muốn. Thứ ba, góp phần nâng cao hiệu quả và năng lực quản lý Rõ ràng kiểm toán tài chính không chỉ có chức năng xác minh mà còn có chức năng tư vấn, đặc biệt trong những bước chuyển đổi cơ chế kinh tế có nhiều mối quan hệ phức tạp này sinh. Do đó, chính sách trên cơ sở xây dựng đồng bộ và tổ chức thực hiện tốt kiểm toán mọi lĩnh vực trên cơ sở tích lũy kinh nghiệm từ xác minh đi đến hoạt động tư vấn sẽ giúp duy trì kỉ cương và đảm bảo phát triển đúng hướng 1.2 Khái quát chung về Kiểm toán công nghệ thông tin 1.2.1 Khái niệm Kiểm toán công nghệ thông tin Kiểm toán công nghệ thông tin, tiền thân là Kiểm toán xử lý dữ liệu điện tử (EDP), thuật ngữ này ra đời trong bối cảnh công nghệ thông tin ngày càng được áp dụng rộng rãi vào hệ thống kế toán. Vào giữa những năm 1960, với sự thay đổi của các thiết bị máy tính nhỏ gọn hơn và ít tốn kém hơn đã dẫn đến sự gia tăng việc sử dụng máy móc trong các doanh nghiệp và sự xuất hiện của các loại hệ thống kế toán khác nhau. Điều này đặt ra một nhu cầu rằng là Kiểm toán viên phải làm quen với khái niệm “ Dữ liệu điện tử (EDP) ” trong các tổ chức. Năm 1968, các kiểm toán viên Big Eight (nay là Big Four ) đã tham gia vào việc phát triển kiểm toán EDP. Cũng trong khoảng thời gian này, các Kiểm toán viên đầu tiên trong lĩnh vực đã thành lập Hiệp hội kiểm toán xử lý dữ liệu (EDPAA), sau này Hiệp hội Kiểm toán điện tử. Từ khi ra đời cho đến nay, tuy thời gian phát triển của kiểm toán CNTT tương đối ngắn so với quá trình phát triển dài hàng trăm năm của nghề kiểm toán và sự phát triển đó gắn liền với sự phát triển của công nghệ thông tin, kiểm toán CNTT đã trải qua không ít thay đổi. Mặc dù hiện nay chưa có định nghĩa thống nhất về khái niệm Kiểm toán công nghệ thông tin, song theo chuẩn mực ISSAI 5300 ( ban hành tháng 22016) Kiểm toán CNTT được định nghĩa là “việc kiểm tra hoặc xem xét hệ thống CNTT và các chốt kiểm soát liên quan nhằm đảm bảo hoặc phát hiện những vi phạm liên quan đến các nguyên lý: Tính hợp pháp, chính xác, tính hiệu lực, hiệu quả, kinh tế.” Theo ASOSAI (tổ chức các cơ quan Kiểm toán tối cao châu Á) “Kiểm toán CNTT là quá trình thu thập và đánh giá bằng chứng để xác định một hệ thống máy tính đã được thiết kế để duy trì tính toàn vẹn dữ liệu, đảm bảo an toàn tài sản, cho phép các mục tiêu của tổ chức đạt được hiệu quả và sử dụng các nguồn lực một cách tối ưu.” Kiểm toán CNTT là một phần của cuộc kiểm toán tổng thể, có thể được tích hợp với các loại hình kiểm toán khác: Kiểm toán báo cáo tài chính nhằm kiểm tra tính chính xác và tuân thủ của các dữ liệu tài chính; Kiểm toán tuân thủ nhằm đánh giá tính tuân thủ các kiểm soát nội bộ; Kiểm toán hoạt động nhằm đánh giá hệ thống CNTT trong việc đáp ứng nhu cầu của người dùng không để diễn ra các rủi ro không cần thiết 1.2.2 Mục tiêu Kiểm toán công nghệ thông tin Khác với mục tiêu của Kiểm toán tài chính là “ đưa ra ý kiến xác nhận rằng Báo cáo tài chính có được lập trên cơ sở chuẩn mực và chế độ kế toán hiện hành (hoặc được chấp nhận), có tuân thủ pháp luật liên quan, có phản ánh trung thực và hợp lý dựa trên khía cạnh trọng yếu hay không”, mục tiêu của việc thực hiện một cuộc kiểm toán công nghệ thông tin là để đánh giá hệ thống thông tin máy tính (computerised information system – CIS) của khách thể kiểm toán nhằm xác định tính kịp thời, chính xác, đầy đủ và đáng tin cậy của kết quả thông tin đầu ra, cũng như đảm bảo tính bảo mật, toàn vẹn, tính sẵn sàng, độ tin cậy của dữ liệu và việc tuân thủ các yêu cầu pháp lý và các quy định có liên quan. Mục tiêu kiểm toán sẽ khác nhau tùy theo tính chất, loại hình kiểm toán là một báo cáo tài chính hay kiểm toán hoạt động. Nếu việc thực hiện kiểm toán công nghệ thông tin như là một phần của kiểm toán báo cáo tài chính, các mục tiêu sẽ bao gồm: Hiểu được cách thức quản lý việc sử dụng công nghệ thông tin để cải thiện quy trình kinh doanh quan trọng của các tổ chức. Hiểu được mức độ lan tỏa của việc sử dụng công nghệ thông tin vào quá trình kinh doanh cũng như sự ảnh hưởng trong việc lập báo cáo tài chính và các rủi ro liên quan đến quá trình này. Hiểu được cách các tổ chức sử dụng công nghệ thông tin trong việc xử lý, lưu trữ và truyền thông các thông tin tài chính ảnh hưởng đến hệ thống kiểm soát nội bộ cũng như sự đánh giá về rủi ro tiềm tàng và rủi ro kiểm soát. Xác định và hiểu được các phương thức mà nhà quản lý sử dụng để đo lường, đánh giá và kiểm soát các quy trình công nghệ thông tin Đưa ra các kết luận về tính hiệu quả của các kiểm soát đối với các quy trình hệ thống thông tin các tác động trực tiếp và quan trọng đến các thông tin tài chính. Trách nhiệm của kiểm toán viên trong việc xác định và đánh giá các rủi ro của sai sót trọng yếu, thông qua sự hiểu biết về thực thể và môi trường của đơn vị. Do đó, trong môi trường máy tính, điều quan trọng là phải hiểu cách các hoạt động kiểm soát có thể ảnh hưởng đến báo cáo tài chính. Kiểm toán viên cần có được sự hiểu biết về hệ thống thông tin, bao gồm các quy trình kinh doanh liên quan, liên quan đến báo cáo tài chính. Trọng tâm của kiểm toán kiểm soát CNTT là đánh giá tính bảo mật, tính toàn vẹn và tính sẵn sàng (CIA) của tài nguyên hệ thống thông tin . Mặt khác, kiểm toán tài chính liên quan đến việc trình bày báo cáo tài trung thực, hợp lý. Kiểm toán viên cần đánh giá xem các cơ sở dẫn liệu như Sự phát sinh, tính đầy đủ, chính xác, đúng kỳ, phân loại và tính giá có được đáp ứng để có thể đưa ra ý kiến phù hợp hay không. Mối liên kết giữa hai kiểm toán BCTC và kiểm toán CNTT là các mục tiêu kiểm soát CNTT (Bảo mật, Tính toàn vẹn và Tính khả dụng) có thể có tác động đến các CSDL. Đánh giá các kiểm soát CNTT này giúp kiểm toán viên đưa ra một sự đảm bảo hoặc mặt khác về việc trình bày báo cáo tài chính trung thực, hợp lý bằng cách sử dụng các hệ thống thông tin và các quy trình. Nếu kiểm toán công nghệ thông tin được áp dụng trong cuộc kiểm toán hoạt động, mục tiêu sẽ được xác định rõ hơn thông qua vai trò của công nghệ thông tin trong cuộc kiểm toán. Cụ thể: Khi Công nghệ thông tin là nội dung chính của cuộc kiểm toán thì mục tiêu cuộc kiểm toán sẽ chú trọng trong việc đảm bảo tất cả các khía cạnh của hệ thống công nghệ thông tin đều được thực hiện một cách hiệu quả. Khi Kiểm toán công nghệ thông tin một bộ phận cấu thành trong kiểm toán hoạt động, thì trọng tâm của kiểm toán công nghệ thông tin là xem xét tác động của CNTT đối với hoạt động của tổ chức 1.2.3 Phân loại kiểm toán công nghệ thông tin Nhiều tác giả đã mô tả kiểm toán CNTT bằng cách đưa ra các phân loại khác nhau về mục tiêu. Theo Goodman và Lawless (1994), có ba hướng tiếp cận để hình thành nên kiểm toán CNTT bao gồm: Kiểm toán quy trình đổi mới công nghệ (Technological innovation process audit): Cuộc kiểm toán này xây dựng một hồ sơ rủi ro cho các dự án hiện có và dự án mới. Cuộc kiểm toán sẽ đánh giá mức kinh nghiệm của doanh nghiệp đối với công nghệ đã chọn cũng như độ phổ biến của công nghệ đó trên thị trường, trong cấu trúc mỗi dự án và trong thị phần của nền công nghiệp của dự án đó. Kiểm toán so sánh cải tiến (Innovative comparison audit): cuộc kiểm toán này đánh giá khả năng cải tiến của doanh nghiệp được kiểm toán so với đối thủ của nó. Cuộc kiểm toán này cần sử dụng đánh giá của các công ty và viện nghiên cứu phát triển cũng như các bản báo cáo theo dõi sản xuất sản phẩm mới trên thực tế của doanh nghiệp. Kiểm toán vị thế công nghệ (Technological position audit): cuộc kiểm toán này đánh giá các công nghệ mà doanh nghiệp đang sở hữu hoặc cần trang bị. Cách phân loại của Goodman và Lawless mang trọng tâm là công nghệ vì bị ảnh hưởng nhiều bởi sự phát triển của khoa học máy tính trong thời kỳ này. Nếu nhìn nhận kiểm toán CNTT như là một phần của một cuộc kiểm toán tổng thể và phân loại dựa trên loại hình kiểm toán mà kiểm toán CNTT có thể áp dụng thì ta được: Kiểm toán IS: Quá trình thu thập và đánh giá bằng chứng để xác định xem hệ thống thông tin và các tài nguyên liên quan có bảo vệ đầy đủ tài sản, duy trì tính toàn vẹn và dữ liệu của hệ thống hay không, cung cấp thông tin có liên quan và đáng tin cậy, đạt được mục tiêu của tổ chức, sử dụng tài nguyên một cách có hiệu quả và kiểm soát nội bộ cung cấp sự đảm bảo hợp lý các mục tiêu kinh doanh, hoạt động và kiểm soát và các sai sót không mong muốn sẽ được ngăn chặn, hoặc được phát hiện và sửa chữa kịp thời. Kiểm toán tài chính: Kiểm toán CNTT xuất hiện trong kiểm toán tài chính để đánh giá xem các hệ thống thông tin và các tài nguyên liên quan (bao gồm thông tin) có bảo vệ đầy đủ dữ liệu toàn vẹn hay không. Kiểm toán hoạt động: quá trình kiểm tra độc lập, khách quan và đáng tin cậy về việc các hệ thống, hoạt động, chương trình của một đơn vị có hoạt động theo các nguyên tắc kinh tế, hiệu quả và hiệu năng hay không và đề ra các giải pháp để cải thiện tình hình. Kiểm toán viên CNTT sẽ kiểm tra các hệ thống CNTT được thực hiện liên quan đến các tiêu chí về kinh tế, hiệu quả, và hiệu năng. Ngoài ra, kiểm toán CNTT còn được chia thành 5 nhóm theo đối tượng kiểm toán là: Hệ thống và ứng dụng (Systems and Applications): Cuộc kiểm toán xác minh các hệ thống và các ứng dụng là phù hợp, có hiệu quả, và được kiểm soát đầy đủ để đảm bảo tính hợp lệ, đáng tin cậy, kịp thời và an toàn ở đầu vào, xử lý, và đầu ra ở tất cả các cấp độ hoạt động của hệ thống. Phương tiện xử lý thông tin (Information Processing Facilities): Cuộc kiểm toán xác minh các phương tiện xử lý được kiểm soát để đảm bảo xử lý kịp thời, chính xác và hiệu quả dưới các điều kiện hoạt động bình thường hoặc có khả năng bị gián đoạn. Phát triển hệ thống (Systems Development): Cuộc kiểm toán để xác minh hệ thống được phát triển đáp ứng các mục tiêu của tổ chức, và để đảm bảo rằng hệ thống được phát triển phù hợp với các tiêu chuẩn được chấp nhận chung cho sự phát triển hệ thống. Quản lý CNTT và kiến trúc doanh nghiệp (Management of IT and Enterprise Architecture): Cuộc kiểm toán xác minh ban quản lý CNTT đã phát triển một cơ cấu có trật tự và xây dựng thủ tục để đảm bảo một môi trường kiểm soát hiệu quả cho hoạt động xử lý thông tin. Máy kháchmáy chủ, mạng viễn thông, mạng nội bộ và mạng nội bộ mở rộng (ClientServer, Telecommunications, Intranets, and Extranets): Cuộc kiểm toán xác minh các kiểm soát viễn thông đã được thiết lập tại máy khách (máy tính nhận dịch vụ), máy chủ và trên mạng kết nối các máy khách và máy chủ. 1.2.4 Vai trò kiểm toán công nghệ thông tin Theo ASOSAI, kiểm toán CNTT là một phần của quy trình kiểm toán tổng thể. Kiểm toán CNTT được áp dụng trong việc thực hiện kiểm toán tài chính, kiểm toán hoạt động và kiểm toán hệ thống thông tin. Kiểm toán hệ thống thông tin: Mặc dù KTV CNTT không phải là người xây dựng, lập trình viên nhưng vẫn phải đưa ra các sự đảm bảo về: xác định và áp dụng vào hệ thống mới các công cụ kiểm soát được; các công cụ kiểm soát sử dụng để quản lý dự án và phát triển các quyết định dự án phải minh bạch; xây dựng các chuẩn mực, tiêu chí, tiêu chuẩn kiểm toán… Kiểm toán hoạt đông: Kiểm toán CNTT đóng một trong hai vai trò của kiểm toán hoạt động trên cả 2 khía cạnh: khi CNTT là nội dung chính của cuộc kiểm toán và kiểm toán CNTT là một bộ phận cấu thành trong một cuộc kiểm toán hoạt động. Kiểm toán tài chính: Mục đích tổng thể của bộ phận CNTT trong cuộc kiểm toán tài chính là nhằm đánh giá độ tin cậy của các công cụ kiểm soát CNTT hỗ trợ việc xử lý sổ sách tài chính của đơn vị. Trong cuộc kiểm toán BCTC, kiểm toán CNTT với chức năng như một thủ tục soát xét hệ thống nhằm hỗ trợ kiểm toán viên thực hiện kiểm toán BCTC thu thập bằng chứng hoặc đưa ra đánh giá về các kiểm soát doanh nghiệp thiết lập. Ngoài ra, Kiểm toán CNTT đóng vai trò quan trọng đối với kiểm toán viên tài chính và kiểm toán báo cáo tài chính vì CNTT là nền tảng của các hệ thống kế toán hiện nay. Kiểm toán CNTT còn góp phần đảm bảo hệ thống được sử dụng để lập nên các báo cáo tài chính đang hoạt động tốt và tạo ra các báo cáo tài chính phản ánh chính xác tình hình của công ty cũng như cung cấp cho kiểm toán viên thông tin và quy trình mà khách hàng sử dụng để lập báo cáo tài chính. Nhờ đó mà việc đưa ra các kết luận kiểm toán chính xác hơn. Kiểm toán CNTT vượt xa việc chứng minh rằng báo cáo tài chính của công ty đáp ứng các cơ sở dẫn liệu, thay vào đó đào sâu bên dưới lớp thông tin do công ty cung cấp và tìm kiếm trong phần mềm để xem liệu hệ thống mà công ty sử dụng để ghi lại tất cả các thông tin tài chính hay không để xem xét có hay không các sai sót và gian lận. Ví dụ, khi một kiểm toán viên đang chứng minh sự hiện hữu (phát sinh), họ thường sẽ xem nhật ký bán hàng để xem mặt hàng nào được bán và sau đó chứng minh rằng mặt hàng đó đã thực sự được bán. Một kiểm toán viên CNTT sẽ truy cập vào hệ thống và đọc mã chứng minh rằng khi mua (bán) hàng hóa, hệ thống sẽ phản ánh nghiệp trong nhật ký bán hàng và thẻ kho. Kiểm toán viên cần xem xét các kiểm soát trong quá trình kiểm toán tài chính. Vai trò của kiểm toán viên CNTT trong quy trình kiểm toán tài chính là hỗ trợ kiểm toán viên trong việc xác định liệu có thể tin tưởng vào các kiểm soát mà đơn vị thực hiện và hiệu quả của môi trường kiểm soát CNTT cũng như môi trường ứng dụng hay không. Kết quả từ các công việc được thực hiện bởi kiểm toán viên CNTT sẽ xác định cách tiếp cận mà kiểm toán viên quy định sẽ thực hiện trong quá trình kiểm toán. 1.3 Kiểm toán công nghệ thông tin trong kiểm toán báo cáo tài chính 1.3.1 Nội dung kiểm toán công nghệ thông tin Đánh giá và giám sát các kiểm soát CNTT là một phần không thể thiếu trong môi trường kiểm soát CNTT của tổ chức. Kiểm toán viên cần cung cấp lời khuyên liên quan đến việc thiết kế, triển khai, vận hành và cải tiến các kiểm soát CNTT. Kiểm soát là tất cả các phương pháp, chính sách và quy trình đảm bảo bảo vệ tài sản của tổ chức, tính chính xác và độ tin cậy của hồ sơ và tuân thủ các tiêu chuẩn quản lý. Kiểm toán viên cần phân biệt giữa kiểm soát tổng quát và kiểm soát ứng dụng. Các kiểm soát tổng quát thiết lập một môi trường mà trong đó các hệ thống CNTT được phát triển, vận hành, quản lý và duy trì theo một số quy trình kiểm soát. Ví dụ về các biện pháp kiểm soát tổng quát bao gồm xây dựng và thực hiện chiến lược và chính sách bảo mật của hệ thống thông tin, tổ chức của nhân viên,...Kiểm soát ứng dụng là các điều khiển cụ thể và duy nhất cho từng ứng dụng máy tính. Kiểm soát ứng dụng bao gồm xác thực nhập dữ liệu, mã hóa dữ liệu được truyền,.. Kiểm soát tổng quát Các kiểm soát tổng quát là nền tảng của cấu trúc kiểm soát CNTT. Chúng liên quan đến môi trường chung trong đó các hệ thống CNTT được phát triển, vận hành, quản lý và bảo trì. Các kiểm soát CNTT nói chung thiết lập một khung kiểm soát tổng thể cho các hoạt động CNTT và cung cấp một số đảm bảo rằng các mục tiêu kiểm soát tổng thể được thỏa mãn. Các điều khiển này được thiết kế để quản lý và giám sát môi trường CNTT và do đó, ảnh hưởng đến tất cả các hoạt động liên quan đến CNTT. Các kiểm soát CNTT tổng quát có liên quan đến cơ sở hạ tầng CNTT của thực thể, bao gồm mọi chính sách, quy trình và thực hành làm việc liên quan đến CNTT. Các quy trình kiểm soát sẽ chi phối sự phân chia nhiệm vụ, sử dụng tài sản CNTT, mua lại và bảo trì ứng dụng CNTT, kiểm soát truy cập và hoạt động của trung tâm dữ liệu.Vai trò chính của kiểm toán viên là đảm bảo các kiểm soát nội bộ hoạt động trong một thực thể. Khi thực thể hoạt động trong môi trường CNTT, kiểm toán viên cần đánh giá thiết kế, triển khai và tuân thủ khung kiểm soát CNTT. Mọi khu vực kiểm soát đều dựa trên một bộ các mục tiêu kiểm soát nhằm tìm cách giảm thiểu rủi ro kiểm soát và kiểm toán viên cần đánh giá xem các kiểm soát được triển khai có đủ để đáp ứng mục tiêu hay không. Kiểm toán viên phải hiểu các phạm trù rộng và phạm vi kiểm soát chung trong hoạt động, đánh giá sự chú ý của quản lý và nhận thức của nhân viên trong tổ chức, và tìm hiểu mức độ hiệu quả của các kiểm soát để đảm bảo cung cấp. Nếu các điều khiển tổng thế yếu, chúng sẽ làm giảm đáng kể độ tin cậy của các điều khiển liên quan đến các ứng dụng CNTT riêng lẻ. Kiểm soát ứng dụng Các kiểm soát được thực hiện trong các ứng dụng quy trình nghiệp vụ thường được gọi là các kiểm soát ứng dụng. Kiểm soát ứng dụng đề cập đến các kiểm soát đối với việc xử lý các giao dịch và dữ liệu trong một hệ thống ứng dụng và do đó, dành riêng cho từng ứng dụng. Trong các kiểm soát CNTT tổng quát trong một thực thể dành cho môi trường điều khiển chung cho các hệ thống thông tin, các kiểm soát ứng dụng được tích hợp vào các ứng dụng cụ thể để đảm bảo và bảo vệ tính đầy đủ, chính xác, hợp lệ, toàn vẹn, tin cậy và bảo mật của thông tin. Do đó, các mục tiêu của kiểm soát ứng dụng thường liên quan đến việc đảm bảo: Dữ liệu được chuẩn bị cho mục nhập đầu vào là đầy đủ, hợp lệ và đáng tin cậy Dữ liệu được chuyển đổi thành dạng tự động và được nhập vào ứng dụng một cách chính xác, đầy đủ và đúng thời gian Dữ liệu được ứng dụng xử lý hoàn toàn và đúng thời hạn và phù hợp với các yêu cầu đã thiết lập; Đầu ra được bảo vệ khỏi sửa đổi trái phép và được thực hiện theo các chính sách quy định. 1.3.2 Quy trình kiểm toán công nghệ thông tin 1.3.2.1 Lập kế hoạch kiểm toán Kiểm toán viên lập kế hoạch kiểm toán để đảm bảo cuộc kiểm toán đúng thời hạn, phát hiện gian lận, rủi ro và những vấn đề tiềm ẩn. Mặt khác, để đánh giá được sự thành công của cuộc kiểm toán hệ thống, kiểm toán viên cần xác định phạm vi và mục tiêu của cuộc kiểm toán thông qua các thử nghiệm về hệ thống thông tin. Để xác định mục tiêu kiểm toán và đảm bảo thông tin thu thập được có hiệu quả, kiểm toán viên cần xác định mức trọng yếu, đánh giá rủi ro kiểm toán nhằm tìm ra những bằng chứng thích hợp và đầy đủ trong suốt quá trình kiểm toán. a. Chuẩn bị kế hoạch kiểm toán: bao gồm đánh giá tính khách quan, tính toàn vẹn và năng lực kỹ thuật của nhân viên kiểm toán và thiết lập thời gian ngân sách cho cuộc kiểm toán. Nó cũng bao gồm đạt được sự hiểu biết và kỳ vọng chung thông qua việc phát hành thư xác nhận b. Thu thập thông tin: Kiểm toán viên CNTT phải thu thập được thông tin về các khía cạnh sau đây của đơn vị được kiểm toán: Chức năng tổ chức và môi trường hoạt động: bao gồm sự hiểu biết chung về các hoạt động kinh doanh khác nhau và các chức năng liên quan đến khách thể kiểm toán, các hệ thống thông tin hỗ trợ hoạt động, cũng như môi trường mà nó đang hoạt động. Cơ cấu tổ chức: Kiểm toán viên CNTT cần có được sự hiểu biết về hệ thống phân cấp tổ chức cũng như cấu trúc bộ phận CNTT. Mức độ quan trọng của hệ thống CNTT. Các hệ thống CNTT có thể được phân loại thành Hệ thống then chốt và Hệ thống hỗ trợ. Hệ thống then chốt là những hệ thống khi gặp trục trặc hoặc gián đoạn sẽ có ảnh hưởng nghiêm trọng đến tổ chức. Hệ thống hỗ trợ là những hệ thống giúp ích cho việc quyết định quản lý, sự vắng mặt của nó có thể không dẫn đến một tác động nghiêm trọng như các hệ thống then chốt Bản chất của phần cứng và phần mềm được sử dụng. Hiểu các chi tiết phần cứng của tổ chức nói chung và hệ thống CNTT nói riêng có tầm quan trọng quan trọng đối với kiểm toán viên. Thông tin này cung cấp cho kiểm toán viên sự hiểu biết về các rủi ro liên quan. Mặc dù thế giới đang hướng tới tiêu chuẩn hóa phần cứng, sự khác biệt vẫn tồn tại và mỗi loại phần cứng lại đi kèm với các lỗ hổng riêng đòi hỏi các kiểm soát cụ thể.. Kiểm toán viên cần hiểu loại phần mềm được sử dụng trong tổ chức, thu thập chi tiết về hệ điều hành, hệ thống ứng dụng và cơ sở dữ liệu, hệ thống quản lý. Đánh giá sơ bộ về phần cứng và phần mềm sẽ cho phép lập kế hoạch về phương pháp kiểm toán và các nguồn lực cần thiết cho việc thu thập chứng cứ. Bản chất và mức độ rủi ro ảnh hưởng đến hệ thống. c. Đánh giá tính trọng yếu và rủi ro Đánh giá tính trọng yếu Khi xác định mức độ trọng yếu, kiểm toán viên có thể kiểm toán các khoản mục chi tiền tệ như kiểm soát và xử lý phần cứng, kiểm soát phần logic, kiểm soát hệ thống quản lý nhân sự, kiểm soát nhà máy, kiểm soát mật mã. Đối với các nghiệp vụ liên quan đến tiền tệ, cần lưu ý một số thước đo: Quy trình kinh doanh mà hệ thống máy tính hỗ trợ chủ yếu; Chi phí đầu tư và chi phí hoạt động của hệ thống (phần cứng, phần mềm, dịch vụ của bên thứ ba…); Chi phí ẩn của các sai sót; Số lượng nghiệp vụ hay yêu cầu được xử lý trong mọi thời kỳ; Mức phạt cho những hành vi không tuân thủ quy định của pháp luật hay của đơn vị. Đánh giá rủi ro Kiểm toán viên phải đánh giá rủi ro kiểm toán và xác định các thủ tục kiểm toán nhằm giảm thiểu các rủi ro kiểm toán xuống thấp tới mức có thể chấp nhận được, cần xem xét những vấn đề chung và cụ thể của hệ thống thông tin để đánh giá rủi ro tiềm tàng. Quản lý rủi ro là một yêu cầu thiết yếu của các hệ thống CNTT hiện đại, trong đó bảo mật là quan trọng. Nó có thể được định nghĩa là một quá trình xác định rủi ro, đánh giá rủi ro và thực hiện các bước để giảm rủi ro xuống mức chấp nhận được. Ba mục tiêu bảo mật của bất kỳ tổ chức nào là Bí mật, Tính toàn vẹn và Tính khả dụng. Đánh giá rủi ro là một xem xét có hệ thống về: Tác hại có thể xảy ra với doanh nghiệp do lỗi bảo mật, có tính đến các hậu quả tiềm ẩn của việc mất bảo mật, tính toàn vẹn hoặc tính sẵn có của thông tin và các tài sản khác. Khả năng thực tế của một sự cố như vậy xảy ra trong bối cảnh các mối đe dọa và lỗ hổng phổ biến hiện nay và các biện pháp kiểm soát hiện đang được triển khai Các bước có thể được thực hiện theo cách tiếp cận dựa trên rủi ro để lập kế hoạch kiểm toán là: 1 Kiểm kê các hệ thống thông tin được sử dụng trong tổ chức và phân loại chúng. 2 Xác định hệ thống nào ảnh hưởng đến các chức năng hoặc tài sản quan trọng. 3 Đánh giá những rủi ro ảnh hưởng đến các hệ thống này và mức độ nghiêm trọng của tác động đối với doanh nghiệp. 4 Dựa trên đánh giá trên quyết định mức độ ưu tiên kiểm toán, nguồn lực, lịch trình và tần suất. d. Nghiên cứu hệ thống kiểm soát nội bộ của khách hàng và đánh giá rủi ro kiểm soát Tiến hành kiểm tra các quy trình xử lý công nghệ thông tin có tác động trực tiếp và quan trọng trong việc xử lý thông tin tài chính. Đánh giá tính hiệu lực trong thiết kế của từng quy trình CNTT chính và các kiểm soát nội bộ liên quan. Trong trường hợp việc đánh giá không thể được thực hiện ở cấp quy trình chính, có thể thay thế quy trình CNTT ở cấp thấp hơn (ví dụ: cấp quy trình phụ) và đánh giá hiệu quả của thiết kế quy trình phụ. 1.3.2.2 Thực hiện kiểm toán Đối với cuộc kiểm toán BCTC có tích hợp kiểm toán CNTT, quá trình thực hiện kiểm toán CNTT được tiến hành như sau Bước 1: Đối tượng được tập trung phân tích ở bước này là BCTC của đơn vị được kiểm toán. Ở cấp độ báo cáo tài chính, KTV cần thực hiện: Xác định các khoản mục và thuyết minh trọng yếu Xác định các cơ sở dẫn liệu cho báo cáo tài chính Đồng thời phỏng vấn tìm hiểu quy trình xử lý thông tin cũng như hệ thống CNTT khách hàng triển khai và áp dụng. Các bước này có thể được thực hiện trước trong quá trình lập kế hoạch tổng thể và xây dựng chương trình kiểm toán. Mục đích tạo tiền đề cho việc thực hiện bước tiếp theo ở cấp độ sâu hơn. Bước 2: Sau khi đã thực hiện bước 1, KTV tìm hiểu sâu hơn vào cấp độ xử lý trong hệ thống của doanh nghiệp. Tại đây, KTV cần phải: Nhận diện được các kiểm soát và phân loại kiểm soát tổng thủ công, kiểm soát ứng dụng. Xác định và lựa chọn các kiểm soát tương ứng với các khoản mục và thuyết minh đã vạch ra ở bước 1. Giai đoạn này được thực hiện tại thực địa khi KTV sử dụng kiến thức chuyên môn để nhận diện và phân loại các kiểm soát thông qua quá trình phỏng vấn, đặc biệt là phỏng vấn bộ phận chuyên trách về hệ thống như trưởng phòng IT, người phụ trách kỹ thuật..., quan sát và tiếp cận hệ thống CNTT của đơn vị được kiểm toán. Kiểm soát thực hiện được chia làm 2 nhóm chính Kiểm soát thủ công. Kiểm soát ứng dụng. Đối với kiểm soát tổng quát, KTV có thể áp dụng các thủ tục thu thập bằng chứng của kiểm toán BCTC một cách bình thường thông qua thử nghiệm kiểm soát và thử nghiệm cơ bản. Kiểm soát ứng dụng có phạm vi hẹp hơn so với kiểm soát chung. Kiểm soát ứng dụng xem xét tính hiệu quả của các kiểm soát tự động, cũng như sự vận hành của ứng dụng để đảm bảo các dữ liệu cung cấp được đầy đủ và chính xác. Ứng dụng (application) ở đây được hiểu là các phần mềm máy tính liên kết trực tiếp hoặc gián tiếp vào một cơ sở dữ liệu (database) để thực hiện các chức năng của nó như nhập xuất, xử lý dữ liệu. Ví dụ: phần mềm kế toán, phần mềm quản lý hàng tồn kho, phần mềm tính lương Bước 3: Thông qua kết quả ở bước 2, KTV xem xét lại kiểm soát hệ thống tổng quát (General IT Control) đồng thời xác định và lựa chọn các kiểm soát chung của hệ thống. Kiểm soát chung đánh giá nhận thức của doanh nghiệp với môi trường công nghệ thông tin. Đây là mức kiểm soát cơ bản và tổng quát nhất nhằm ngăn chặn và phát hiện các rủi ro ảnh hưởng đến hệ thống của doanh nghiệp. Tuy nhiên, việc thực hiện Bước 3 – thử nghiệm kiểm soát hệ thống tổng quát chỉ cần thiết khi KTV dự kiến sẽ tin tưởng vào các kiểm soát ứng dụng hoặc kiểm soát hỗn hợp (kiểm soát bán thủ công với sự hỗ trợ của kiểm soát tự động). Công việc này tương đồng với thử nghiệm kiểm soát (Test of controls) trong kiểm toán BCTC, khi mà hệ thống kiểm soát tổng quát được thiết kế chặt chẽ và các kiểm soát hoạt động tốt trong việc ngăn chặn rủi ro sẽ giảm thiểu được công việc cần thực hiện khi thử nghiệm ở cấp độ kiểm soát xử lý. Đối với các nhân tố của kiểm soát hệ thống tổng quát không liên quan (không thuộc ứng dụng có kiểm soát tự động, hoặc thuộc ứng dụng kiểm soát tự động nhưng phục vụ cho tài khoản không trọng yếu → không có ảnh hưởng đáng kể lên BCTC), KTV không cần thực hiện. Bước 4: Kiểm toán viên thực hiện các thủ tục kiểm tra đối với kiểm soát tự động, thủ công hoặc hỗn hợp và kiểm soát chung của môi trường. Có thể thực hiện thử nghiệm kiểm soát bằng cách đánh giá thiết kế và thử nghiệm thiết lập bằng cách tái thực hiện một nghiệp vụ từ giai đoạn chứng từ cho đến khi được ghi nhận vào hệ thống. Bước 5: Trong bước này, KTV đưa ra kết luận về kiểm soát hệ thống tổng quát và tìm kiếm các kiểm soát tổng quát khác thay thế nếu trường hợp kết quả thử nghiệm cho thấy kiểm soát tổng quát được lựa chọn thất bại trong việc ngăn ngừa rủi ro. Các kiểm soát ứng dụng thuộc cấp độ kiểm soát xử lý và được bao quát bởi cấp kiểm soát cao hơn là kiểm soát hệ thống tổng quát . Tại đây, các thử nghiệm kiểm soát ứng dụng có đặc tính tương tự như thử nghiệm cơ bản trong kiểm toán BCTC. Để giảm thiểu khối lượng thử nghiệm phải thực hiện, các KTV và chuyên gia hệ thống tìm kiếm các kiểm soát hệ thống tổng quát chi phối và bao quát các kiểm soát ứng dụng để áp dụng các thử nghiệm hệ thống. Ở giai đoạn này, các thử nghiệm kiểm soát hệ thống tổng quát có đặc tính tương tự thử nghiệm kiểm soát trong kiểm toán BCTC. Vì đặc điểm của hệ thống bao gồm nhiều kiểm soát khác nhau, một kiểm soát bị thất bại trong việc ngăn ngừa rủi ro không đồng nghĩa với việc toàn hệ thống không thể ngăn ngừa rủi ro. Có thể có các kiểm soát khác vẫn hoàn thành tốt chức năng của mình và bù khuyết cho kiểm soát đã lựa chọn thử nghiệm. Ví dụ: Trường hợp 1: Doanh nghiệp không có chính sách về IT, không tổ chức cập nhật kiến thức cho nhân viên cũng như quy trình kiểm tra, tạo mới, hủy bỏ tài khoản; tuy nhiên kiểm soát về mật khẩu truy cập vào ứng dụng và hệ thống được thực hiện tốt, kiểm tra lịch sử truy cập các tài khoản của nhân viên đã nghỉ việc sau ngày nhân viên đó rời công ty không thấy bất thường → hệ thống vẫn được quản lý tập trung và hoạt động hiệu quả Trường hợp 2: Doanh nghiệp không tổ chức kiểm soát nhận diện và cấp phép đối với các tiếp cận vật lý với hệ thống như máy chủ không được để khu vực riêng biệt, nhân viên không liên quan có thể trực tiếp tiếp xúc với máy chủ, không có ký nhận ravào khu vực máy chủ v.v... → KTV xác minh các kiểm soát khác bổ khuyết bao gồm xem xét hệ thống camera an ninh, kiểm tra hồ sơ chứng từ về các lần bảo dưỡng hệ thống, kiểm tra tập tin giám sát (log file) trong hệ thống v.v... để đảm bảo không có trường hợp mất cắp, tác động phá hoại lên hệ thống máy xảy ra trong năm tài chính → Hệ thống vẫn đảm bảo được chức năng của mình. Bước 6: Sau khi đánh giá về các kiểm soát trong cấp quản lý hệ thống tổng quát (General IT Control), nhận diện rõ các kiểm soát kém hiệu quả và các kiểm soát thay thế. KTV đánh giá các kết quả đó ảnh hưởng đến kiểm soát hoạt động như thế nào (Process Level Control), liệu các ứng dụng hoạt động trong môi trường tổng quát tương ứng có bị ảnh hưởng bởi các kiểm soát tổng quát kém hiệu quả hay không. Có hai trường hợp xảy ra: Trường hợp không có ảnh hưởng: Kiểm soát ở cấp độ tổng quát kém hiệu quả nhưng kiểm soát ở cấp độ xử lý lại hữu hiệu → KTV có thể nhận xét về hệ thống hoạt động hiệu quả, cung cấp bằng chứng đáng tin cậy trong việc các khoản mục tương ứng trên báo cáo tài chính thể hiện trung thực và hợp lý. Trường hợp có ảnh hưởng: Kiểm soát ở cấp độ xử lý bị ảnh hưởng bởi sự kém hiệu quả của cấp độ tổng quát → KTV không có cơ sở để đưa ra kết luận, vì thế cần thiết phải xác định các thủ tục kiểm soát thủ công thay thế. Nếu các kiểm soát thủ công có thể loại bỏ được các rủi ro từ sự kém hiệu quả của hệ thống tự động (ví dụ như hoạt động kiểm tra đối chiếu sổ cái xuất ra từ hệ thống với số liệu thực tế không phát sinh chênh lệch), các khoản mục tương ứng trên báo cáo tài chính vẫn thể hiện trung thực hợp lý. 1.3.2.3 Kết thúc kiểm toán Sau khi KTV đã thực hiện xong các bước kiểm toán hệ thống và thu thập bằng chứng đầy đủ, KTV có thể đưa ra kết luận về hệ thống có thể tin cậy và tiến hành tiếp các thủ tục kiểm toán BCTC theo chương trình kiểm toán đã định. Nếu KTV không thể thực hiện các bước từ 1 đến 7 do thiếu kiến thức và kinh nghiệm cần thiết được quy định trong chuẩn mực, cần thiết có sự tham gia của chuyên gia trong việc kiểm tra và đưa ý kiến. Nếu ý kiến rút ra từ các bằng chứng kiểm toán hệ thống cho thấy hệ thống không thực sự đáng tin cậy, không đủ cơ sở để phản ánh trung thực hợp lý các tài khoản và thuyết minh đã chọn trong bước 1. Kiểm toán viên phải thay thế thủ tục kiểm toán khác nhằm xác minh đủ cơ sở dẫn liệu cho các tài khoản đó nhằm mục đích đưa ý kiến cho BCTC, đồng thời trao đổi với ban quản lý về các phát hiện trên. Các ý kiến này độc lập với ý kiến kiểm toán trên BCTC. Có thể KTV CNTT hoặc chuyên gia đưa ý kiến loại trừ đối với hệ thống nhưng BCTC có thể được chấp nhận toàn phần do các thử nghiệm kiểm soát và thử nghiệm cơ bản trong thủ tục kiểm toán BCTC cung cấp đầy đủ bằng chứng kiểm toán chứng tỏ BCTC là trung thực và hợp lý. Các ý kiến kiểm toán về hệ thống bao gồm: • Ý kiến chấp nhận toàn phần (Unqualified opinion): KTV bày tỏ ý kiến về việc không tìm thấy các điểm phải loại trừ hoặc không có loại trừ đối với các điểm trọng yếu • Ý kiến chấp nhận có nhấn mạnh (Qualified opinion): Có loại trừ các điểm kém hữu hiệu quan trọng trong hệ thống nhưng không trọng yếu • Ý kiến loại trừ (Adverse opinion): Có một hoặc nhiều điểm kém hữu hiệu trong hệ thống là trọng yếu. Chương 2: THỰC TRẠNG ÁP DỤNG KIỂM TOÁN CÔNG NGHỆ THÔNG TIN TRONG KIỂM TOÁN BÁO CÁO TÀI CHÍNH DO CÁC CÔNG TY KIỂM TOÁN ĐỘC LẬP TẠI VIỆT NAM THỰC HIỆN 2.1 Các quy định pháp lý cho kiểm toán công nghệ thông tin tại Việt Nam Trên thực tế, kiểm toán CNTT vẫn còn là một khái niệm mới tại Việt Nam và chưa được hướng dẫn bởi Hội kiểm toán viên hành nghề Việt Nam (VACPA). Do đó, các cuộc kiểm toán CNTT hiện nay vẫn dựa trên việc xem xét tính tuân thủ các thủ tục, các quy định trong nội quy tại đơn vị thuộc những tập đoàn quốc tế đầu tư vào Việt Nam đã xây dựng sẵn hệ thống kiểm soát nội bộ chặt chẽ và áp dụng các quy định nội bộ trong tập đoàn cho tất cả đơn vị thành viên tại mỗi quốc gia. Hoạt động kiểm toán được phân lại dưới ba hình thức là kiểm toán BCTC, kiểm toán tuân thủ và kiểm toán hoạt động. Đối với hoạt động kiểm toán CNTT, do đặc thù của hoạt động này, kiểm toán CNTT có thể tồn tại ở cả ba hình thức trên. Kiểm toán CNTT có thể là một phần của cuộc kiểm toán BCTC, hỗ trợ KTV trong việc thu thập bằng chứng kiểm toán và đưa ý kiến độc lập về hệ thống để KTV có thể sử dụng theo hướng dẫn của VSA 620 – Sử dụng công việc của chuyên gia, hoặc kiểm toán CNTT độc lập trở thành một dịch vụ bảo đảm giúp nâng cao hiệu lực, hiệu quả quản lý, điều hành kinh tế, tài chính của Nhà nước và hoạt động kinh doanh của doanh nghiệp. Chuẩn mực kiểm toán Việt Nam số 620 – Sử dụng tư liệu của chuyên gia Ban hành và công bố theo Quyết định số 1952003QĐBTC ngày 28 tháng 11 năm 2003 của Bộ trưởng Bộ Tài chính và có hiệu lực thi hành từ tháng 122003 đến hết tháng 122013 và được thay thế bằng Chuẩn mực kiểm toán Việt Nam số 620 – Sử dụng công việc của chuyên gia trong bộ 37 chuẩn mực kiểm toán Việt Nam được ban hành theo Thông Tư 214 2012TTBTC ngày 6 tháng 12 năm 2012 của Bộ Tài chính Các hướng dẫn kiểm toán hệ thống công nghệ thông tin hiện tại được mô tả chung trong quy trình kiểm toán báo cáo tài chính hoặc quy trình kiểm soát nội bộ và chưa tách hệ thống thông tin thành một thực thể cần được kiểm toán và ra ý kiến riêng biệt, mặc dù phạm vi áp dụng của chuẩn mực kiểm toán Việt Nam số 401 – Thực hiện kiểm toán trong môi trường tin học (VSA 401) khẳng định khả năng vận dụng của chuẩn mực cho mục đích “kiểm toán thông tin tài chính khác và các dịch vụ có liên quan của công ty kiểm toán trong môi trường tin học của khách hàng” (Đoạn 3, VSA 401). Kiểm toán viên và công ty kiểm toán phải xem xét môi trường tin học trong việc thiết lập các thủ tục kiểm toán để giảm rủi ro kiểm toán thấp đến mức có thể chấp nhận được. Và trong trường hợp hệ thống có tính phức tạp cao, cần xem xét việc sử dụng sự giúp đỡ của chuyên gia thành thạo những kỹ năng cần thiết trong khi lập kế hoạch và kiểm toán viên phải thu thập đầy đủ bằng chứng kiểm toán thích hợp để đảm bảo rằng công việc của chuyên gia thực hiện là đúng mục đích của cuộc kiểm toán, tuân thủ theo Chuẩn mực kiểm toán Việt Nam số 620 – Sử dụng tư liệu của chuyên gia. (Đoạn 6, VSA 401). Tuy nhiên chuẩn mực trên đã hết hiệu lực từ đầu năm 2014 và không có chuẩn mực tương ứng trong bộ 37 chuẩn mực kiểm toán mới của Việt Nam. Cũng chính vì vậy, cơ sở pháp lý của hoạt động kiểm toán CNTT trong cuộc kiểm toán BCTC vận dụng chủ yếu VSA số 500 – Bằng chứng kiểm toán và VSA số 620 – Sử dụng tư liệu của chuyên gia, và trong những trường hợp chuẩn mực hiện hành của Việt Nam không quy định, KTV tham chiếu ưu tiên đến các chuẩn mực quốc tế, bao gồm ISA và ITAAS , sau đó tham chiếu đến các thông lệ quốc tế, hướng dẫn của hội nghề nghiệp quốc tế và bộ phương pháp kiểm toán của công ty kiểm toán nếu có. Hiện nay, đã có 17 chuẩn mực kiểm toán và đảm bảo hệ thống (IS Audit and Assurance Standards, 2013) được ISACA ban hành và 18 dự thảo hướng dẫn (IS Audit and Assurance Guideline) đang hoàn tất các thủ tục cuối cùng để được ban hành chính thức. 2.2 Thực trạng áp dụng Kiểm toán công nghệ thông tin trong các cuộc kiểm toán báo cáo tài chính Thuật ngữ ERP được Gartner Group of Stamford, CT, USA sử dụng từ những năm đầu của thập niên 70 của thế kỷ trước (1970s) nhằm mô tả hệ thống phần mềm doanh nghiệp được hình thành và phát triển từ những hệ thống quản lý và kiểm soát kinh doanh giúp doanh nghiệp hoạch định và quản lý các nguồn lực bên trong và bên ngoài doanh nghiệp. Việc ứng dụng ERP rộng rãi bởi các doanh nghiệp chứng tỏ hiệu quả kinh tế mà hệ thống này mang lại dẫn đến kiểm toán CNTT càng trở nên phổ biến và là một phần không thể tách rời trong các cuộc kiểm toán Tuy nhiên, xu thế trên chỉ mới bắt đầu diễn ra tại Việt Nam trong những năm gần đây với quy mô nhỏ. Giai đoạn 2008, theo báo cáo tình hình ứng dụng CNTT – Truyền thông trong doanh nghiệp, chỉ có 3.48% doanh nghiệp ứng dụng ERP (www.itb.vn1); tại thời điểm tháng 022010, có 102 doanh nghiệp Việt Nam đã thực hiện thành công ERP (Nguyễn Thị Bích Liên, 2012). Mặt khác, công việc kiểm toán quy trình và hệ thống công nghệ thông tin đòi hỏi kiểm toán viên phải có kiến thức tài chính kế toán, đồng thời phải có kiến thức về hệ thống thông tin cũng như am hiểu về các ứng dụng ERP phổ biến tại Việt Nam cũng như đang được sử dụng rộng rãi trên thế giới. Như đã đề cập, tỷ lệ triển khai và ứng dụng ERP của các doanh nghiệp tại Việt Nam còn tương đối khiêm tốn, mặt khác kiểm toán viên không những phải có kiến thức tài chính kế toán, đồng thời lại phải có kiến thức vững chắc về nhiều hệ thống công nghệ thông tin khác nhau, do đó chưa có nhiều bài viết và nghiên cứu được thực hiện tại môi trường Việt Nam về lĩnh vực kiểm toán hệ thống công nghệ thông tin một cách trực tiếp, chủ yếu các nguồn tài liệu được dịch từ nước ngoài và các bài nghiên cứu về hoạt động kiểm soát thông tin trong môi trường tin học hóa tại doanh nghiệp. Tuy nhiên, do hoạt động kiểm toán CNTT có nhiều điểm tương đồng với hoạt động kiểm soát thông tin, nên các nghiên cứu đó cũng có đóng góp đáng kể cho việc hình thành và xây dựng chuẩn mực kiểm toán hệ thống công nghệ thông tin vốn còn đang bỏ ngỏ tại Việt Nam. Ngoài ra, mức độ hiểu biết chuyên sâu về CNTT tại các công ty kiểm toán còn có sự khác biệt. Tại các công ty kiểm toán Big Four, bên cạnh bộ phận kiểm toán đều có bộ phận hay nhóm CNTT hỗ trợ cho hoạt động kiểm toán (có thể nằm trong Phòng quản lý rủi ro) là các kỹ sư về tin học và CNTT chuyên nghiệp, có chứng chỉ kiểm toán hệ thống thông tin (thường là chứng chỉ CISACertified Information System Auditor) và khi kiểm toán NHTM thì nhân sự trong đoàn kiểm toán có bố trí một số thành viên phụ trách kiểm toán CNTT (gọi là nhóm kiểm toán IT) để hỗ trợ cho nhóm kiểm toán tài chính trong quá trình kiểm toán. Ví dụ, khi kiểm toán những đơn vị có hoạt động phụ thuộc lớn vào hệ thống CNTT như các ngân hàng thương mại, KTV xác định các vấn đề cần kiểm tra, bộ phận CNTT sẽ thực hiện các thủ tục, nhằm xác minh những vấn đề này. Những vấn đề được kiểm tra có thể bao gồm: Kiểm tra tính bảo mật và phân quyền trong hệ thống thông tin ngân hàng, kiểm tra việc quy định và thực hiện các thủ tục kiểm soát chung và kiểm soát ứng dụng trong ngân hàng. Đối với các khoản mục thu nhập lãi, chi phí lãi, bộ phận CNTT có thể kiểm tra lại thuật toán tính lãi để đảm bảo công thức tính trong hệ thống là đúng. Đối với các công ty kiểm toán khác thường không có bộ phận CNTT riêng biệt. Vì vậy, khi kiểm toán những đơn vị có hệ thống công nghệ phức tạp, các công ty này sẽ đi thuê chuyên gia công nghệ từ bên ngoài hoặc là không sử dụng các chuyên gia công nghệ mà chủ yếu dựa vào kiểm tra chi tiết số liệu và kiểm tra hiệu quả của KSNB. Với quy mô giao dịch lớn và mức độ ứng dụng CNTT lớn trong các doanh nghiệp (DN) hiện nay thì việc không sử dụng các thủ tục kiểm toán có sự trợ giúp của máy tính, có thể ảnh hưởng tới chất lượng và tính hiệu quả của cuộc kiểm toán. Bên cạnh đó, rủi ro mất thông tin, dữ liệu thông qua việc kết nối internet cũng là một vấn đề quan trọng đối với cơ quan quản lý và DN. Các phần tử xấu có thể lợi dụng các thông tin, kết quả kiểm toán chưa chính thức để thực hiện các mục đích phá hoại, gây hoang mang dư luận, ảnh hưởng xấu đến hình ảnh của cơ qua kiểm toán… Một khảo sát được thực hiện trong khoản thời gian từ tháng 4 năm 2013 đến tháng 6 năm 2014 với 154 công ty đăng ký hành nghề tính đến ngày 2032013 được công bố VACPA thì chỉ có 4 công ty thuộc nhóm các hãng thành viên của các hang kiểm toán quốc tế là Công ty TNHH KPMG VN, Công ty TNHH ErnstYoung VN, Công ty TNHH Price Waterhouse Coopers VN và Công ty TNHH Deloitte Việt Nam (Big4) có xây dựng quy trình và áp dụng kiểm toán CNTT đối với các cuộc kiểm toán BCTC đã thực hiện, các công ty kiểm toán còn lại chưa áp dụng quy trình từ các hiệp hội mà

TRƯỜNG ĐẠI HỌC KINH TẾ QUỐC DÂNVIỆN KẾ TOÁN – KIỂM TOÁN

ĐỀ ÁN MÔN HỌC

CHUYÊN NGÀNH KIỂM TOÁN

Đề tài: Áp dụng Kiểm toán công nghệ thông tin trong Kiểmtoán báo cáo tài chính do các công ty kiểm toán độc lập tại

Việt Nam thực hiện

Họ tên sinh viên: ĐOÀN THỊ MINH HUYỀN

Lớp: Đề án môn học - Kiểm toán(219)_5 Mã số sinh viên: 11176113

Giáo viên hướng dẫn: TS Bùi Thị Minh Hải

HÀ NỘI, 04/2020

CƠ SỞ LÝ LUẬN CHUNG VỀ KIỂM TOÁN CÔNG NGHỆ THÔNG TIN TRONG KIỂMTOÁN BÁO CÁO TÀI CHÍNH DO KIỂM TOÁN ĐỘC LẬP THỰC HIỆN 7

1.1 Khái quát chung về Kiểm toán báo cáo tài chính 7

1.1.1 Khái niệm kiểm toán báo cáo tài chính 7

1.1.2 Vai trò của Kiểm toán báo cáo tài chính 9

1.2Khái quát chung về Kiểm toán công nghệ thông tin 11

1.2.1 Khái niệm Kiểm toán công nghệ thông tin 11

1.2.2 Mục tiêu Kiểm toán công nghệ thông tin 12

1.2.3 Phân loại kiểm toán công nghệ thông tin 13

1.2.4 Vai trò kiểm toán công nghệ thông tin 15

1.3Kiểm toán công nghệ thông tin trong kiểm toán báo cáo tài chính 17

1.3.1 Nội dung kiểm toán công nghệ thông tin 17

1.3.2 Quy trình kiểm toán công nghệ thông tin 18

Chương 2: 25

THỰC TRẠNG ÁP DỤNG KIỂM TOÁN CÔNG NGHỆ THÔNG TIN TRONG KIỂM TOÁN BÁO CÁO TÀI CHÍNH DO CÁC CÔNG TY KIỂM TOÁN ĐỘC LẬP TẠI VIỆT NAM THỰC HIỆN 25

2.1 Các quy định pháp lý cho kiểm toán công nghệ thông tin tại Việt Nam 25

2.2 Thực trạng áp dụng Kiểm toán công nghệ thông tin trong các cuộc kiểm toán báo cáo tài chính 27

2.3 Minh họa áp dụng Kiểm toán công nghệ thông tin trong kiểm toán báo cáo tài chính thực hiện bởi công ty TNHH KPMG Việt Nam 29

Chương 3: 44

NHẬN XÉT VÀ ĐỀ XUẤT KIẾN NGHỊ HOÀN THIỆN VIỆC ÁP DỤNG KIỂM TOÁN CÔNG NGHỆ THÔNG TIN TRONG KIỂM TOÁN BÁO CÁO TÀI CHÍNH KIỂM TOÁNTÀI CHÍNH DO CÁC DOANH NGHIỆP KIỂM TOÁN ĐỘC LẬP TẠI VIỆT NAM THỰC HIỆN 44

3.1 Nhận xét chung về việc áp dụng Kiểm toán công nghệ thông tin trong các cuộc kiểm toán báo cáo tài chính 44

3.1.1 Ưu điểm 44 3.1.2 Nhược điểm 45

3.2 Một số khó khăn trong việc thực hiện kiểm toán công nghệ thông tin tại Việt Nam .453.3 Kiến nghị hoàn thiện áp dụng kiểm toán công nghệ thông tin trong kiểm toán báo cáotài chính 46

KẾT LUẬN 49 DANH MỤC TÀI LIỆU THAM KHẢO 50

DANH MỤC CÁC KÝ HIỆU VIẾT TẮT

Doanh nghiệp kiểm toán DNKT

DANH MỤC BẢNG BIỂU

Bảng 2.1 Các kiểm soát ứng dụng cho khoản mục và thuyết minh trọng yếu

Bảng 2.2 Các kiểm soát hệ thống tổng quát tương ứng với các kiểm soát ứng dụng đã

LỜI MỞ ĐẦU

Với sự bùng nổ của Công nghệ thông tin (CNTT) hiện nay, ngày càng nhiều các tổ chức ứng dụng hệ thống CNTT hiện đại trong hoạt động quản lý tài chính và các nghiệp vụ Do vậy, để thực hiện kiểm toán đòi hỏi phải có sự thay đổi phù hợp với môi trường ứng dụng CNTT Cùng với sự gia tăng của lượng người dùng máy tính và sự thay đổi trong hệ thống kế toán, thuật ngữ Kiểm toán công nghệ thông tin ra đời nhằm đáp ứng nhu cầu đó với mục đích thu thập bằng chứng và đánh giá bằng chứng về các hoạt động của hệ thống thông tin đã được tổ chức

Trong kiểm toán báo cáo tài chính kiểm toán CNTT đóng vai trò như một thủ tục soát xét hệ thống nhằm hỗ trợ kiểm toán viên thực hiện kiểm toán BCTC thu thập bằng chứng hoặc đưa ra đánh giá về các kiểm soát doanh nghiệp thiết lập

Tuy nhiên, ở Việt Nam khái niệm về Kiểm toán công nghệ thông tin vẫn còn khá mới mẻ trong khi đối với nhiều nước phát triển trên thế giới thì đây là một công việc đã được thực hiện thường xuyên trong các cuộc kiểm toán BCTC Chính vì thế, nhận thấy được tầm quan trọng và tính cấp thiết của Kiểm toán CNTT trong Kiểm toán BCTC, em đã chọn đề tài:

“ Áp dụng Kiểm toán công nghệ thông tin trong Kiểm toán báo cáo tài chính do cáccông ty kiểm toán độc lập tại Việt Nam thực hiện”

Nội dung đề án môn học Kiểm toán gồm 3 phần chính:

Chương 1: Cơ sở lý luận chung về kiểm toán công nghệ thông tin trong kiểm toán tài chính do kiểm toán độc lập thực hiện

Chương 2: Thực trạng áp dụng kiểm toán công nghệ thông tin trong kiểm toán báo cáo tài chính do các doanh nghiệp kiểm toán độc lập tại Việt Nam thực hiện

Chương 3: Nhận xét chung và khuyến nghị nhằm hoàn thiện việc áp dụng kiểm toán công nghệ thông tin trong kiểm toán báo cáo tài chính

Do còn nhiều hạn chế về mặt thời gian cũng như kiến thức và kinh nghiệm thực tế nên không tránh khỏi những sai sót Em mong nhận được sự giúp đỡ, góp ý của cô để hoàn thiện hơn nữa đề án này

Em xin gửi lời cảm ơn sâu sắc tới Cô giáo, TS Bùi Thị Minh Hải đã tận tình chỉ

bảo, góp ý giúp em trong suốt quá trình hoàn thiện đề án này!

Chương 1

CƠ SỞ LÝ LUẬN CHUNG VỀ KIỂM TOÁN CÔNG NGHỆ THÔNG TIN TRONGKIỂM TOÁN BÁO CÁO TÀI CHÍNH DO KIỂM TOÁN ĐỘC LẬP THỰC HIỆN1.1 Khái quát chung về Kiểm toán báo cáo tài chính

1.1.1 Khái niệm kiểm toán báo cáo tài chính

“Kiểm toán tài chính là hoạt động xác minh và bày tỏ ý kiến về các bảng khai tài chính của các thực thể kinh tế do các KTV có trình độ nghiệp vụ tương xứng đảm nhận

và dựa trên hệ thống pháp lý đang có hiệu lực.” (Giáo trình Lý thuyết Kiểm toán )

Theo chuẩn mực kiểm toán Việt Nam, Kiểm toán tài chính là một hoạt động đặc trưng của kiểm toán, với mục tiêu cụ thể là “đưa ra ý kiến xác nhận rằng Báo cáo tài chính có được lập trên cơ sở chuẩn mực và chế độ kế toán hiện hành (hoặc được chấp nhận), có tuân thủ pháp luật liên quan, có phản ánh trung thực và hợp lý trên các khía cạnh trọng yếu hay không”

 Đối tượng của kiểm toán báo cáo tài chính

“Đối tượng trực tiếp của KTTC là cái Bảng khai tài chính Bộ phận quan trọng của

những bảng khai này là BCTC Trong kiểm toán BCTC, có hai các cơ bản để phân chia

đối tượng kiểm toán thành các phần hành kiểm toán khác nhau là: theo khoản mục và chu trình

Thông thường KTTC gồm các phần hành chính sau: + Kiểm toán chu trình bán hàng và thu tiền

+ Kiểm toán tiền mặt

+ Kiểm toán chu trình mua hàng và trả tiền + Kiểm toán chu trình tiền lương và nhân viên + Kiểm toán hàng tồn kho

+ Kiểm toán đầu tư và chi trả

+ Kiểm toán tiếp nhận và hoàn trả vốn”

(Giáo trình Kiểm toán tài chính ĐH Kinh tế Quốc Dân)

 Khách thể và chủ thể của kiểm toán báo cáo tài chính

Chủ thể và khách thể trong kiểm toán tài chính được xác định tùy thuộc vào từng cuộc kiểm toán cụ thể Với các đơn vị sử dụng kinh phí hoặc vốn đầu tư từ ngân sách nhà nước thì việc kiểm toán các bảng khai tài chính thường do kiểm toán nhà nước thực hiện Với các đơn vị còn lại thuộc diện bắt buộc phải kiểm toán hàng năm với tư cách là một công ty niêm yết thì chủ thể kiểm toán bảng khai tài chính tương ứng sẽ là công ty hoặc văn phòng kiểm toán độc lập Trong mối quan hệ nội kiểm phục vụ cho mục đích quản trị nội bộ, việc kiểm toán các bảng khai tài chính của các đơn vị thành viên trong một tổng công ty, tập đoàn, thuộc về trách nhiệm của kiểm toán nội bộ

 Mục tiêu kiểm toán báo cáo tài chính

“  Mục tiêu tổng thể của kiểm toán viên và doanh nghiệp kiểm toán khi thực hiện

một cuộc kiểm toán báo cáo tài chính là:

      (a)      Đạt được sự đảm bảo hợp lý rằng liệu báo cáo tài chính, xét trên phương diện tổng thể, có còn sai sót trọng yếu do gian lận hoặc nhầm lẫn hay không, từ đó giúp kiểm toán viên đưa ra ý kiến về việc liệu báo cáo tài chính có được lập phù hợp với khuôn khổ về lập và trình bày báo cáo tài chính được áp dụng, trên các khía cạnh trọng yếu hay không;

       (b)      Lập báo cáo kiểm toán về báo cáo tài chính và trao đổi thông tin theo quy định của chuẩn mực kiểm toán Việt Nam, phù hợp với các phát hiện của kiểm toán viên  Trong trường hợp không thể đạt được sự đảm bảo hợp lý và ý kiến kiểm toán dạng ngoại trừ là chưa đủ để cung cấp thông tin cho người sử dụng báo cáo tài chính dự kiến thì chuẩn mực kiểm toán Việt Nam yêu cầu kiểm toán viên phải từ chối đưa ra ý kiến hoặc rút khỏi cuộc kiểm toán theo pháp luật và các quy định có liên quan.” ( Chuẩn mực kiểm toán số 200 – Điểm 11,12)

 Cơ sở tiến hành

Nhằm đạt được mục tiêu trên, kiểm toán viên phải dựa vào hệ thống chuẩn mực kế toán (là cơ bản), chế độ kế toán hiện hành cùng hệ thống các văn bản pháp lý đang có hiệu lực điều chỉnh hoạt động của khách thể kiểm toán Do những người sử dụng bảng khai tài chính thường là bên ngoài đơn vị được kiểm toán, quan tâm đến thông tin tài

chính với các mục đích khác nhau nên cơ sở thực hiện kiểm toán (hệ thống chuẩn mực) cần phải đảm bảo tính thống nhất.

 Kết quả kiểm toán

Kết quả kiểm toán phải thể hiện được ý kiến của chủ thể kiểm toán về độ tin cậy của thông tin được trình bày trong bảng khai tài chính Các kết luận này có thể được trình bày trong biên bản kiểm toán, và chủ yếu là trong báo cáo kiểm toán

Bên cạnh đó, kiểm toán viên có thể cung cấp thêm các dịch vụ gia tăng như đưa ra các lời khuyên hoặc tư vấn về hoàn thiện kiểm soát nội bộ hoặc hệ thống kế toán của khách thể kiểm toán trong thư quản lý.

1.1.2 Vai trò của Kiểm toán báo cáo tài chính

Thứ nhất, tạo niềm tin cho những người quan tâm

Trong cơ chế thị trường có nhiều người quan tâm tới tình hình tài chính và sự phản ánh của nó trong tài liệu kế toán Những người quan tâm có thể kể đến là:

- Các cơ quan nhà nước: cần có những thông tin trung thực để điều tiết nền kinh tế vĩ mô

- Các nhà đầu tư: cần có tài liệu tin cậy để trước hết có hướng đầu tư đúng đắn, sau đó điều hành, sử dụng vốn và cuối cùng là có những tài liệu trung thực về phân phối kết quả đầu tư

- Người lao động cần có thông tin đáng tin cậy về kết quả kinh doanh, ăn chia phân phói và thực hiện chính sách tiền lương

- Khách hàng, nhà cung cấp và những người quan tâm khác cần hiểu rõ thực chất kinh doanh về tài chính của các đơn vị về nhiều mặt

Có thể nói việc tạo niềm tin cho những người quan tâm là yếu tố quyết định sự ra đời và phát triển của kiểm toán tài chính với tư cách là một hoạt động độc lập

Thứ hai, góp phần hướng dẫn nghiệp vụ và củng cố nền hoạt động tài chính nói riêng và

hoạt động của đơn vị được kiểm toán nói chung

Hoạt đdộng tài chính bao gồm những mối quan hệ đa dang, luôn biến đổi và được cấu thành bởi hàng loạt nghiệp vụ cụ thể Để hướng các nghiệp vụ này vào mục tiêu giải quyết tốt các quan hệ trên không những cần có định hướng đúng và thực hiện tốt mà còn cần thường xuyên soát xét việc thực hiện để hướng các nghiệp vụ vào quỹ đạo mong muốn.

Thứ ba, góp phần nâng cao hiệu quả và năng lực quản lý

Rõ ràng kiểm toán tài chính không chỉ có chức năng xác minh mà còn có chức năng tư vấn, đặc biệt trong những bước chuyển đổi cơ chế kinh tế có nhiều mối quan hệ phức tạp này sinh Do đó, chính sách trên cơ sở xây dựng đồng bộ và tổ chức thực hiện tốt kiểm toán mọi lĩnh vực trên cơ sở tích lũy kinh nghiệm từ xác minh đi đến hoạt động tư vấn sẽ giúp duy trì kỉ cương và đảm bảo phát triển đúng hướng

1.2 Khái quát chung về Kiểm toán công nghệ thông tin

1.2.1 Khái niệm Kiểm toán công nghệ thông tin

Kiểm toán công nghệ thông tin, tiền thân là Kiểm toán xử lý dữ liệu điện tử (EDP), thuật ngữ này ra đời trong bối cảnh công nghệ thông tin ngày càng được áp dụng rộng rãi vào hệ thống kế toán Vào giữa những năm 1960, với sự thay đổi của các thiết bị máy tính nhỏ gọn hơn và ít tốn kém hơn đã dẫn đến sự gia tăng việc sử dụng máy móc trong các doanh nghiệp và sự xuất hiện của các loại hệ thống kế toán khác nhau Điều này đặt ra một nhu cầu rằng là Kiểm toán viên phải làm quen với khái niệm “ Dữ liệu điện tử (EDP) ” trong các tổ chức Năm 1968, các kiểm toán viên Big Eight (nay là Big Four ) đã tham gia vào việc phát triển kiểm toán EDP Cũng trong khoảng thời gian này, các Kiểm toán viên đầu tiên trong lĩnh vực đã thành lập Hiệp hội kiểm toán xử lý dữ liệu (EDPAA), sau này Hiệp hội Kiểm toán điện tử Từ khi ra đời cho đến nay, tuy thời gian phát triển của kiểm toán CNTT tương đối ngắn so với quá trình phát triển dài hàng trăm năm của nghề kiểm toán và sự phát triển đó gắn liền với sự phát triển của công nghệ thông tin, kiểm toán CNTT đã trải qua không ít thay đổi.

Mặc dù hiện nay chưa có định nghĩa thống nhất về khái niệm Kiểm toán công nghệ thông tin, song theo chuẩn mực ISSAI 5300 ( ban hành tháng 2/2016) Kiểm toán

CNTT được định nghĩa là “việc kiểm tra hoặc xem xét hệ thống CNTT và các chốt kiểm soát liên quan nhằm đảm bảo hoặc phát hiện những vi phạm liên quan đến các nguyên lý: Tính hợp pháp, chính xác, tính hiệu lực, hiệu quả, kinh tế.”

Theo ASOSAI (tổ chức các cơ quan Kiểm toán tối cao châu Á) “Kiểm toán CNTT là quá trình thu thập và đánh giá bằng chứng để xác định một hệ thống máy tính đã được thiết kế để duy trì tính toàn vẹn dữ liệu, đảm bảo an toàn tài sản, cho phép các mục tiêu của tổ chức đạt được hiệu quả và sử dụng các nguồn lực một cách tối ưu.”

Kiểm toán CNTT là một phần của cuộc kiểm toán tổng thể, có thể được tích hợp với các loại hình kiểm toán khác: Kiểm toán báo cáo tài chính nhằm kiểm tra tính chính xác và tuân thủ của các dữ liệu tài chính; Kiểm toán tuân thủ nhằm đánh giá tính tuân thủ các kiểm soát nội bộ; Kiểm toán hoạt động nhằm đánh giá hệ thống CNTT trong việc đáp ứng nhu cầu của người dùng không để diễn ra các rủi ro không cần thiết

1.2.2 Mục tiêu Kiểm toán công nghệ thông tin

Khác với mục tiêu của Kiểm toán tài chính là “ đưa ra ý kiến xác nhận rằng Báo cáo tài chính có được lập trên cơ sở chuẩn mực và chế độ kế toán hiện hành (hoặc được chấp nhận), có tuân thủ pháp luật liên quan, có phản ánh trung thực và hợp lý dựa trên khía cạnh trọng yếu hay không”, mục tiêu của việc thực hiện một cuộc kiểm toán công nghệ thông tin là để đánh giá hệ thống thông tin máy tính (computerised information system – CIS) của khách thể kiểm toán nhằm xác định tính kịp thời, chính xác, đầy đủ và đáng tin cậy của kết quả thông tin đầu ra, cũng như đảm bảo tính bảo mật, toàn vẹn, tính sẵn sàng, độ tin cậy của dữ liệu và việc tuân thủ các yêu cầu pháp lý và các quy định có liên quan Mục tiêu kiểm toán sẽ khác nhau tùy theo tính chất, loại hình kiểm toán là một báo cáo tài chính hay kiểm toán hoạt động

Nếu việc thực hiện kiểm toán công nghệ thông tin như là một phần của kiểm toán báo cáo tài chính, các mục tiêu sẽ bao gồm:

- Hiểu được cách thức quản lý việc sử dụng công nghệ thông tin để cải thiện quy trình kinh doanh quan trọng của các tổ chức.

- Hiểu được mức độ lan tỏa của việc sử dụng công nghệ thông tin vào quá trình kinh doanh cũng như sự ảnh hưởng trong việc lập báo cáo tài chính và các rủi ro liên quan đến quá trình này.

- Hiểu được cách các tổ chức sử dụng công nghệ thông tin trong việc xử lý, lưu trữ và truyền thông các thông tin tài chính ảnh hưởng đến hệ thống kiểm soát nội bộ cũng như sự đánh giá về rủi ro tiềm tàng và rủi ro kiểm soát.

- Xác định và hiểu được các phương thức mà nhà quản lý sử dụng để đo lường, đánh giá và kiểm soát các quy trình công nghệ thông tin

- Đưa ra các kết luận về tính hiệu quả của các kiểm soát đối với các quy trình hệ thống thông tin các tác động trực tiếp và quan trọng đến các thông tin tài chính Trách nhiệm của kiểm toán viên trong việc xác định và đánh giá các rủi ro của sai sót trọng yếu, thông qua sự hiểu biết về thực thể và môi trường của đơn vị Do đó, trong môi trường máy tính, điều quan trọng là phải hiểu cách các hoạt động kiểm soát có thể ảnh hưởng đến báo cáo tài chính Kiểm toán viên cần có được sự hiểu biết về hệ thống thông tin, bao gồm các quy trình kinh doanh liên quan, liên quan đến báo cáo tài chính Trọng tâm của kiểm toán kiểm soát CNTT là đánh giá tính bảo mật, tính toàn vẹn và tính sẵn sàng (CIA) của tài nguyên hệ thống thông tin Mặt khác, kiểm toán tài chính liên quan đến việc trình bày báo cáo tài trung thực, hợp lý Kiểm toán viên cần đánh giá xem các cơ sở dẫn liệu như Sự phát sinh, tính đầy đủ, chính xác, đúng kỳ, phân loại và tính giá có được đáp ứng để có thể đưa ra ý kiến phù hợp hay không.

Mối liên kết giữa hai kiểm toán BCTC và kiểm toán CNTT là các mục tiêu kiểm soát CNTT (Bảo mật, Tính toàn vẹn và Tính khả dụng) có thể có tác động đến các CSDL Đánh giá các kiểm soát CNTT này giúp kiểm toán viên đưa ra một sự đảm bảo hoặc mặt khác về việc trình bày báo cáo tài chính trung thực, hợp lý bằng cách sử dụng các hệ thống thông tin và các quy trình.

Nếu kiểm toán công nghệ thông tin được áp dụng trong cuộc kiểm toán hoạt động, mục tiêu sẽ được xác định rõ hơn thông qua vai trò của công nghệ thông tin trong cuộc kiểm toán Cụ thể:

- Khi Công nghệ thông tin là nội dung chính của cuộc kiểm toán thì mục tiêu cuộc kiểm toán sẽ chú trọng trong việc đảm bảo tất cả các khía cạnh của hệ thống công nghệ thông tin đều được thực hiện một cách hiệu quả.

- Khi Kiểm toán công nghệ thông tin một bộ phận cấu thành trong kiểm toán hoạt động, thì trọng tâm của kiểm toán công nghệ thông tin là xem xét tác động của CNTT đối với hoạt động của tổ chức

1.2.3 Phân loại kiểm toán công nghệ thông tin

Nhiều tác giả đã mô tả kiểm toán CNTT bằng cách đưa ra các phân loại khác nhau về mục tiêu Theo Goodman và Lawless (1994), có ba hướng tiếp cận để hình thành nên kiểm toán CNTT bao gồm:

- Kiểm toán quy trình đổi mới công nghệ (Technological innovation process audit): Cuộc kiểm toán này xây dựng một hồ sơ rủi ro cho các dự án hiện có và dự án mới Cuộc kiểm toán sẽ đánh giá mức kinh nghiệm của doanh nghiệp đối với công nghệ đã chọn cũng như độ phổ biến của công nghệ đó trên thị trường, trong cấu trúc mỗi dự án và trong thị phần của nền công nghiệp của dự án đó

- Kiểm toán so sánh cải tiến (Innovative comparison audit): cuộc kiểm toán này đánh giá khả năng cải tiến của doanh nghiệp được kiểm toán so với đối thủ của nó Cuộc kiểm toán này cần sử dụng đánh giá của các công ty và viện nghiên cứu phát triển cũng như các bản báo cáo theo dõi sản xuất sản phẩm mới trên thực tế của doanh nghiệp

- Kiểm toán vị thế công nghệ (Technological position audit): cuộc kiểm toán này đánh giá các công nghệ mà doanh nghiệp đang sở hữu hoặc cần trang bị

Cách phân loại của Goodman và Lawless mang trọng tâm là công nghệ vì bị ảnh hưởng nhiều bởi sự phát triển của khoa học máy tính trong thời kỳ này

Nếu nhìn nhận kiểm toán CNTT như là một phần của một cuộc kiểm toán tổng thể và phân loại dựa trên loại hình kiểm toán mà kiểm toán CNTT có thể áp dụng thì ta được:

- Kiểm toán IS: Quá trình thu thập và đánh giá bằng chứng để xác định xem hệ

thống thông tin và các tài nguyên liên quan có bảo vệ đầy đủ tài sản, duy trì tính toàn vẹn và dữ liệu của hệ thống hay không, cung cấp thông tin có liên quan và đáng tin cậy, đạt được mục tiêu của tổ chức, sử dụng tài nguyên một cách có hiệu quả và kiểm soát nội bộ cung cấp sự đảm bảo hợp lý các mục tiêu kinh doanh, hoạt động và kiểm soát và các sai sót không mong muốn sẽ được ngăn chặn, hoặc được phát hiện và sửa chữa kịp thời.

- Kiểm toán tài chính: Kiểm toán CNTT xuất hiện trong kiểm toán tài chính để

đánh giá xem các hệ thống thông tin và các tài nguyên liên quan (bao gồm thông tin) có bảo vệ đầy đủ dữ liệu toàn vẹn hay không.

- Kiểm toán hoạt động: quá trình kiểm tra độc lập, khách quan và đáng tin cậy về

việc các hệ thống, hoạt động, chương trình của một đơn vị có hoạt động theo các nguyên tắc kinh tế, hiệu quả và hiệu năng hay không và đề ra các giải pháp để cải thiện tình hình Kiểm toán viên CNTT sẽ kiểm tra các hệ thống CNTT được thực hiện liên quan đến các tiêu chí về kinh tế, hiệu quả, và hiệu năng.

Ngoài ra, kiểm toán CNTT còn được chia thành 5 nhóm theo đối tượng kiểm toán là:

- Hệ thống và ứng dụng (Systems and Applications): Cuộc kiểm toán xác minh các hệ thống và các ứng dụng là phù hợp, có hiệu quả, và được kiểm soát đầy đủ để đảm bảo tính hợp lệ, đáng tin cậy, kịp thời và an toàn ở đầu vào, xử lý, và đầu ra ở tất cả các cấp độ hoạt động của hệ thống.

- Phương tiện xử lý thông tin (Information Processing Facilities): Cuộc kiểm toán xác minh các phương tiện xử lý được kiểm soát để đảm bảo xử lý kịp thời, chính xác và hiệu quả dưới các điều kiện hoạt động bình thường hoặc có khả năng bị gián đoạn

- Phát triển hệ thống (Systems Development): Cuộc kiểm toán để xác minh hệ thống được phát triển đáp ứng các mục tiêu của tổ chức, và để đảm bảo rằng hệ thống được phát triển phù hợp với các tiêu chuẩn được chấp nhận chung cho sự phát triển hệ thống

- Quản lý CNTT và kiến trúc doanh nghiệp (Management of IT and Enterprise Architecture): Cuộc kiểm toán xác minh ban quản lý CNTT đã phát triển một cơ cấu có trật tự và xây dựng thủ tục để đảm bảo một môi trường kiểm soát hiệu quả cho hoạt động xử lý thông tin

- Máy khách/máy chủ, mạng viễn thông, mạng nội bộ và mạng nội bộ mở rộng (Client/Server, Telecommunications, Intranets, and Extranets): Cuộc kiểm toán xác minh các kiểm soát viễn thông đã được thiết lập tại máy khách (máy tính nhận dịch vụ), máy chủ và trên mạng kết nối các máy khách và máy chủ.

1.2.4 Vai trò kiểm toán công nghệ thông tin

Theo ASOSAI, kiểm toán CNTT là một phần của quy trình kiểm toán tổng thể Kiểm toán CNTT được áp dụng trong việc thực hiện kiểm toán tài chính, kiểm toán hoạt động và kiểm toán hệ thống thông tin.

Kiểm toán hệ thống thông tin: Mặc dù KTV CNTT không phải là người xây dựng,

lập trình viên nhưng vẫn phải đưa ra các sự đảm bảo về: xác định và áp dụng vào hệ thống mới các công cụ kiểm soát được; các công cụ kiểm soát sử dụng để quản lý dự án và phát triển các quyết định dự án phải minh bạch; xây dựng các chuẩn mực, tiêu chí, tiêu chuẩn kiểm toán…

Kiểm toán hoạt đông: Kiểm toán CNTT đóng một trong hai vai trò của kiểm toán

hoạt động trên cả 2 khía cạnh: khi CNTT là nội dung chính của cuộc kiểm toán và kiểm toán CNTT là một bộ phận cấu thành trong một cuộc kiểm toán hoạt động.

Kiểm toán tài chính: Mục đích tổng thể của bộ phận CNTT trong cuộc kiểm toán

tài chính là nhằm đánh giá độ tin cậy của các công cụ kiểm soát CNTT hỗ trợ việc xử lý sổ sách tài chính của đơn vị. 

Trong cuộc kiểm toán BCTC, kiểm toán CNTT với chức năng như một thủ tục soát xét hệ thống nhằm hỗ trợ kiểm toán viên thực hiện kiểm toán BCTC thu thập bằng chứng hoặc đưa ra đánh giá về các kiểm soát doanh nghiệp thiết lập Ngoài ra, Kiểm toán CNTT đóng vai trò quan trọng đối với kiểm toán viên tài chính và kiểm toán báo cáo tài

chính vì CNTT là nền tảng của các hệ thống kế toán hiện nay Kiểm toán CNTT còn góp phần đảm bảo hệ thống được sử dụng để lập nên các báo cáo tài chính đang hoạt động tốt và tạo ra các báo cáo tài chính phản ánh chính xác tình hình của công ty cũng như cung cấp cho kiểm toán viên thông tin và quy trình mà khách hàng sử dụng để lập báo cáo tài chính Nhờ đó mà việc đưa ra các kết luận kiểm toán chính xác hơn Kiểm toán CNTT vượt xa việc chứng minh rằng báo cáo tài chính của công ty đáp ứng các cơ sở dẫn liệu, thay vào đó đào sâu bên dưới lớp thông tin do công ty cung cấp và tìm kiếm trong phần mềm để xem liệu hệ thống mà công ty sử dụng để ghi lại tất cả các thông tin tài chính hay không để xem xét có hay không các sai sót và gian lận Ví dụ, khi một kiểm toán viên đang chứng minh sự hiện hữu (phát sinh), họ thường sẽ xem nhật ký bán hàng để xem mặt hàng nào được bán và sau đó chứng minh rằng mặt hàng đó đã thực sự được bán Một kiểm toán viên CNTT sẽ truy cập vào hệ thống và đọc mã chứng minh rằng khi mua (bán) hàng hóa, hệ thống sẽ phản ánh nghiệp trong nhật ký bán hàng và thẻ kho.

Kiểm toán viên cần xem xét các kiểm soát trong quá trình kiểm toán tài chính Vai trò của kiểm toán viên CNTT trong quy trình kiểm toán tài chính là hỗ trợ kiểm toán viên trong việc xác định liệu có thể tin tưởng vào các kiểm soát mà đơn vị thực hiện và hiệu quả của môi trường kiểm soát CNTT cũng như môi trường ứng dụng hay không Kết quả từ các công việc được thực hiện bởi kiểm toán viên CNTT sẽ xác định cách tiếp cận mà kiểm toán viên quy định sẽ thực hiện trong quá trình kiểm toán.

1.3Kiểm toán công nghệ thông tin trong kiểm toán báo cáo tài chính

1.3.1 Nội dung kiểm toán công nghệ thông tin

Đánh giá và giám sát các kiểm soát CNTT là một phần không thể thiếu trong môi trường kiểm soát CNTT của tổ chức Kiểm toán viên cần cung cấp lời khuyên liên quan đến việc thiết kế, triển khai, vận hành và cải tiến các kiểm soát CNTT.

Kiểm soát là tất cả các phương pháp, chính sách và quy trình đảm bảo bảo vệ tài sản của tổ chức, tính chính xác và độ tin cậy của hồ sơ và tuân thủ các tiêu chuẩn quản lý Kiểm toán viên cần phân biệt giữa kiểm soát tổng quát và kiểm soát ứng dụng Các kiểm soát tổng quát thiết lập một môi trường mà trong đó các hệ thống CNTT được phát triển, vận hành, quản lý và duy trì theo một số quy trình kiểm soát Ví dụ về các biện pháp kiểm soát tổng quát bao gồm xây dựng và thực hiện chiến lược và chính sách bảo mật của hệ thống thông tin, tổ chức của nhân viên, Kiểm soát ứng dụng là các điều khiển cụ thể

và duy nhất cho từng ứng dụng máy tính Kiểm soát ứng dụng bao gồm xác thực nhập dữ liệu, mã hóa dữ liệu được truyền,

Kiểm soát tổng quát

Các kiểm soát tổng quát là nền tảng của cấu trúc kiểm soát CNTT Chúng liên quan đến môi trường chung trong đó các hệ thống CNTT được phát triển, vận hành, quản lý và bảo trì Các kiểm soát CNTT nói chung thiết lập một khung kiểm soát tổng thể cho các hoạt động CNTT và cung cấp một số đảm bảo rằng các mục tiêu kiểm soát tổng thể được thỏa mãn Các điều khiển này được thiết kế để quản lý và giám sát môi trường CNTT và do đó, ảnh hưởng đến tất cả các hoạt động liên quan đến CNTT.

Các kiểm soát CNTT tổng quát có liên quan đến cơ sở hạ tầng CNTT của thực thể, bao gồm mọi chính sách, quy trình và thực hành làm việc liên quan đến CNTT Các quy trình kiểm soát sẽ chi phối sự phân chia nhiệm vụ, sử dụng tài sản CNTT, mua lại và bảo trì ứng dụng CNTT, kiểm soát truy cập và hoạt động của trung tâm dữ liệu.Vai trò chính của kiểm toán viên là đảm bảo các kiểm soát nội bộ hoạt động trong một thực thể Khi thực thể hoạt động trong môi trường CNTT, kiểm toán viên cần đánh giá thiết kế, triển khai và tuân thủ khung kiểm soát CNTT Mọi khu vực kiểm soát đều dựa trên một bộ các mục tiêu kiểm soát nhằm tìm cách giảm thiểu rủi ro kiểm soát và kiểm toán viên cần đánh giá xem các kiểm soát được triển khai có đủ để đáp ứng mục tiêu hay không Kiểm toán viên phải hiểu các phạm trù rộng và phạm vi kiểm soát chung trong hoạt động, đánh giá sự chú ý của quản lý và nhận thức của nhân viên trong tổ chức, và tìm hiểu mức độ hiệu quả của các kiểm soát để đảm bảo cung cấp Nếu các điều khiển tổng thế yếu, chúng sẽ làm giảm đáng kể độ tin cậy của các điều khiển liên quan đến các ứng dụng CNTT riêng lẻ.

Kiểm soát ứng dụng

Các kiểm soát được thực hiện trong các ứng dụng quy trình nghiệp vụ thường được gọi là các kiểm soát ứng dụng Kiểm soát ứng dụng đề cập đến các kiểm soát đối với việc xử lý các giao dịch và dữ liệu trong một hệ thống ứng dụng và do đó, dành riêng cho từng ứng dụng Trong các kiểm soát CNTT tổng quát trong một thực thể dành cho môi trường điều khiển chung cho các hệ thống thông tin, các kiểm soát ứng dụng được tích hợp vào các ứng dụng cụ thể để đảm bảo và bảo vệ tính đầy đủ, chính xác, hợp lệ, toàn vẹn, tin cậy và bảo mật của thông tin Do đó, các mục tiêu của kiểm soát ứng dụng thường liên quan đến việc đảm bảo:

- Dữ liệu được chuẩn bị cho mục nhập / đầu vào là đầy đủ, hợp lệ và đáng tin cậy - Dữ liệu được chuyển đổi thành dạng tự động và được nhập vào ứng dụng một cách chính xác, đầy đủ và đúng thời gian

- Dữ liệu được ứng dụng xử lý hoàn toàn và đúng thời hạn và phù hợp với các yêu cầu đã thiết lập;

- Đầu ra được bảo vệ khỏi sửa đổi trái phép và được thực hiện theo các chính sách quy định.

1.3.2 Quy trình kiểm toán công nghệ thông tin 1.3.2.1 Lập kế hoạch kiểm toán

Kiểm toán viên lập kế hoạch kiểm toán để đảm bảo cuộc kiểm toán đúng thời hạn, phát hiện gian lận, rủi ro và những vấn đề tiềm ẩn Mặt khác, để đánh giá được sự thành công của cuộc kiểm toán hệ thống, kiểm toán viên cần xác định phạm vi và mục tiêu của cuộc kiểm toán thông qua các thử nghiệm về hệ thống thông tin Để xác định mục tiêu kiểm toán và đảm bảo thông tin thu thập được có hiệu quả, kiểm toán viên cần xác định mức trọng yếu, đánh giá rủi ro kiểm toán nhằm tìm ra những bằng chứng thích hợp và đầy đủ trong suốt quá trình kiểm toán.

a Chuẩn bị kế hoạch kiểm toán: bao gồm đánh giá tính khách quan, tính toàn vẹn và năng lực kỹ thuật của nhân viên kiểm toán và thiết lập thời gian ngân sách cho cuộc kiểm toán Nó cũng bao gồm đạt được sự hiểu biết và kỳ vọng chung thông qua việc phát hành thư xác nhận

b Thu thập thông tin: Kiểm toán viên CNTT phải thu thập được thông tin về các khía cạnh sau đây của đơn vị được kiểm toán:

- Chức năng tổ chức và môi trường hoạt động: bao gồm sự hiểu biết chung về các

hoạt động kinh doanh khác nhau và các chức năng liên quan đến khách thể kiểm toán, các hệ thống thông tin hỗ trợ hoạt động, cũng như môi trường mà nó đang hoạt động

- Cơ cấu tổ chức: Kiểm toán viên CNTT cần có được sự hiểu biết về hệ thống phân cấp tổ chức cũng như cấu trúc bộ phận CNTT.

- Mức độ quan trọng của hệ thống CNTT Các hệ thống CNTT có thể được phân loại thành Hệ thống then chốt và Hệ thống hỗ trợ Hệ thống then chốt là những hệ thống khi gặp trục trặc hoặc gián đoạn sẽ có ảnh hưởng nghiêm trọng đến tổ chức Hệ thống hỗ

trợ là những hệ thống giúp ích cho việc quyết định quản lý, sự vắng mặt của nó có thể không dẫn đến một tác động nghiêm trọng như các hệ thống then chốt

-Bản chất của phần cứng và phần mềm được sử dụng Hiểu các chi tiết phần cứng của tổ chức nói chung và hệ thống CNTT nói riêng có tầm quan trọng quan trọng đối với kiểm toán viên Thông tin này cung cấp cho kiểm toán viên sự hiểu biết về các rủi ro liên quan Mặc dù thế giới đang hướng tới tiêu chuẩn hóa phần cứng, sự khác biệt vẫn tồn tại và mỗi loại phần cứng lại đi kèm với các lỗ hổng riêng đòi hỏi các kiểm soát cụ thể Kiểm toán viên cần hiểu loại phần mềm được sử dụng trong tổ chức, thu thập chi tiết về hệ điều hành, hệ thống ứng dụng và cơ sở dữ liệu, hệ thống quản lý Đánh giá sơ bộ về phần cứng và phần mềm sẽ cho phép lập kế hoạch về phương pháp kiểm toán và các nguồn lực cần thiết cho việc thu thập chứng cứ.

- Bản chất và mức độ rủi ro ảnh hưởng đến hệ thống c Đánh giá tính trọng yếu và rủi ro

Đánh giá tính trọng yếu

Khi xác định mức độ trọng yếu, kiểm toán viên có thể kiểm toán các khoản mục chi tiền tệ như kiểm soát và xử lý phần cứng, kiểm soát phần logic, kiểm soát hệ thống quản lý nhân sự, kiểm soát nhà máy, kiểm soát mật mã Đối với các nghiệp vụ liên quan đến tiền tệ, cần lưu ý một số thước đo: Quy trình kinh doanh mà hệ thống máy tính hỗ trợ chủ yếu; Chi phí đầu tư và chi phí hoạt động của hệ thống (phần cứng, phần mềm, dịch vụ của bên thứ ba…); Chi phí ẩn của các sai sót; Số lượng nghiệp vụ hay yêu cầu được xử lý trong mọi thời kỳ; Mức phạt cho những hành vi không tuân thủ quy định của pháp luật hay của đơn vị.

Đánh giá rủi ro

Kiểm toán viên phải đánh giá rủi ro kiểm toán và xác định các thủ tục kiểm toán nhằm giảm thiểu các rủi ro kiểm toán xuống thấp tới mức có thể chấp nhận được, cần xem xét những vấn đề chung và cụ thể của hệ thống thông tin để đánh giá rủi ro tiềm tàng.

Quản lý rủi ro là một yêu cầu thiết yếu của các hệ thống CNTT hiện đại, trong đó bảo mật là quan trọng Nó có thể được định nghĩa là một quá trình xác định rủi ro, đánh

giá rủi ro và thực hiện các bước để giảm rủi ro xuống mức chấp nhận được Ba mục tiêu bảo mật của bất kỳ tổ chức nào là Bí mật, Tính toàn vẹn và Tính khả dụng Đánh giá rủi ro là một xem xét có hệ thống về:

- Tác hại có thể xảy ra với doanh nghiệp do lỗi bảo mật, có tính đến các hậu quả tiềm ẩn của việc mất bảo mật, tính toàn vẹn hoặc tính sẵn có của thông tin và các tài sản khác.

- Khả năng thực tế của một sự cố như vậy xảy ra trong bối cảnh các mối đe dọa và lỗ hổng phổ biến hiện nay và các biện pháp kiểm soát hiện đang được triển khai

Các bước có thể được thực hiện theo cách tiếp cận dựa trên rủi ro để lập kế hoạch kiểm toán là:

1- Kiểm kê các hệ thống thông tin được sử dụng trong tổ chức và phân loại chúng 2- Xác định hệ thống nào ảnh hưởng đến các chức năng hoặc tài sản quan trọng.

3- Đánh giá những rủi ro ảnh hưởng đến các hệ thống này và mức độ nghiêm trọng của tác động đối với doanh nghiệp.

4- Dựa trên đánh giá trên quyết định mức độ ưu tiên kiểm toán, nguồn lực, lịch trình và tần suất.

d Nghiên cứu hệ thống kiểm soát nội bộ của khách hàng và đánh giá rủi ro kiểm soát Tiến hành kiểm tra các quy trình xử lý công nghệ thông tin có tác động trực tiếp và quan trọng trong việc xử lý thông tin tài chính Đánh giá tính hiệu lực trong thiết kế của từng quy trình CNTT chính và các kiểm soát nội bộ liên quan Trong trường hợp việc đánh giá không thể được thực hiện ở cấp quy trình chính, có thể thay thế quy trình CNTT ở cấp thấp hơn (ví dụ: cấp quy trình phụ) và đánh giá hiệu quả của thiết kế quy trình phụ.

1.3.2.2 Thực hiện kiểm toán

Đối với cuộc kiểm toán BCTC có tích hợp kiểm toán CNTT, quá trình thực hiện kiểm toán CNTT được tiến hành như sau

Bước 1: Đối tượng được tập trung phân tích ở bước này là BCTC của đơn vị được kiểm

toán Ở cấp độ báo cáo tài chính, KTV cần thực hiện:

- Xác định các khoản mục và thuyết minh trọng yếu - Xác định các cơ sở dẫn liệu cho báo cáo tài chính

- Đồng thời phỏng vấn tìm hiểu quy trình xử lý thông tin cũng như hệ thống CNTT khách hàng triển khai và áp dụng

Các bước này có thể được thực hiện trước trong quá trình lập kế hoạch tổng thể và xây dựng chương trình kiểm toán Mục đích tạo tiền đề cho việc thực hiện bước tiếp theo ở cấp độ sâu hơn

Bước 2: Sau khi đã thực hiện bước 1, KTV tìm hiểu sâu hơn vào cấp độ xử lý trong hệ

thống của doanh nghiệp Tại đây, KTV cần phải:

- Nhận diện được các kiểm soát và phân loại kiểm soát tổng thủ công, kiểm soát ứng dụng

- Xác định và lựa chọn các kiểm soát tương ứng với các khoản mục và thuyết minh đã vạch ra ở bước 1

Giai đoạn này được thực hiện tại thực địa khi KTV sử dụng kiến thức chuyên môn để nhận diện và phân loại các kiểm soát thông qua quá trình phỏng vấn, đặc biệt là phỏng vấn bộ phận chuyên trách về hệ thống như trưởng phòng IT, người phụ trách kỹ thuật , quan sát và tiếp cận hệ thống CNTT của đơn vị được kiểm toán

Kiểm soát thực hiện được chia làm 2 nhóm chính - Kiểm soát thủ công.

- Kiểm soát ứng dụng

Đối với kiểm soát tổng quát, KTV có thể áp dụng các thủ tục thu thập bằng chứng của kiểm toán BCTC một cách bình thường thông qua thử nghiệm kiểm soát và thử nghiệm cơ bản Kiểm soát ứng dụng có phạm vi hẹp hơn so với kiểm soát chung Kiểm soát ứng dụng xem xét tính hiệu quả của các kiểm soát tự động, cũng như sự vận hành của ứng dụng để đảm bảo các dữ liệu cung cấp được đầy đủ và chính xác Ứng dụng (application) ở đây được hiểu là các phần mềm máy tính liên kết trực tiếp hoặc gián tiếp vào một cơ sở dữ liệu (database) để thực hiện các chức năng của nó như nhập xuất, xử lý dữ liệu Ví dụ: phần mềm kế toán, phần mềm quản lý hàng tồn kho, phần mềm tính lương

Bước 3: Thông qua kết quả ở bước 2, KTV xem xét lại kiểm soát hệ thống tổng quát

(General IT Control) đồng thời xác định và lựa chọn các kiểm soát chung của hệ thống Kiểm soát chung đánh giá nhận thức của doanh nghiệp với môi trường công nghệ thông tin Đây là mức kiểm soát cơ bản và tổng quát nhất nhằm ngăn chặn và phát hiện các rủi ro ảnh hưởng đến hệ thống của doanh nghiệp.

Tuy nhiên, việc thực hiện Bước 3 – thử nghiệm kiểm soát hệ thống tổng quát chỉ cần thiết khi KTV dự kiến sẽ tin tưởng vào các kiểm soát ứng dụng hoặc kiểm soát hỗn hợp (kiểm soát bán thủ công với sự hỗ trợ của kiểm soát tự động) Công việc này tương đồng với thử nghiệm kiểm soát (Test of controls) trong kiểm toán BCTC, khi mà hệ thống kiểm soát tổng quát được thiết kế chặt chẽ và các kiểm soát hoạt động tốt trong việc ngăn chặn rủi ro sẽ giảm thiểu được công việc cần thực hiện khi thử nghiệm ở cấp độ kiểm soát xử lý Đối với các nhân tố của kiểm soát hệ thống tổng quát không liên quan (không thuộc ứng dụng có kiểm soát tự động, hoặc thuộc ứng dụng kiểm soát tự động nhưng phục vụ cho tài khoản không trọng yếu → không có ảnh hưởng đáng kể lên BCTC), KTV không cần thực hiện.

Bước 4: Kiểm toán viên thực hiện các thủ tục kiểm tra đối với kiểm soát tự động, thủ

công hoặc hỗn hợp và kiểm soát chung của môi trường Có thể thực hiện thử nghiệm kiểm soát bằng cách đánh giá thiết kế và thử nghiệm thiết lập bằng cách tái thực hiện một nghiệp vụ từ giai đoạn chứng từ cho đến khi được ghi nhận vào hệ thống

Bước 5: Trong bước này, KTV đưa ra kết luận về kiểm soát hệ thống tổng quát và tìm

kiếm các kiểm soát tổng quát khác thay thế nếu trường hợp kết quả thử nghiệm cho thấy kiểm soát tổng quát được lựa chọn thất bại trong việc ngăn ngừa rủi ro Các kiểm soát ứng dụng thuộc cấp độ kiểm soát xử lý và được bao quát bởi cấp kiểm soát cao hơn là kiểm soát hệ thống tổng quát Tại đây, các thử nghiệm kiểm soát ứng dụng có đặc tính tương tự như thử nghiệm cơ bản trong kiểm toán BCTC Để giảm thiểu khối lượng thử nghiệm phải thực hiện, các KTV và chuyên gia hệ thống tìm kiếm các kiểm soát hệ thống tổng quát chi phối và bao quát các kiểm soát ứng dụng để áp dụng các thử nghiệm hệ thống Ở giai đoạn này, các thử nghiệm kiểm soát hệ thống tổng quát có đặc tính tương tự thử nghiệm kiểm soát trong kiểm toán BCTC

Vì đặc điểm của hệ thống bao gồm nhiều kiểm soát khác nhau, một kiểm soát bị thất bại trong việc ngăn ngừa rủi ro không đồng nghĩa với việc toàn hệ thống không thể ngăn ngừa rủi ro Có thể có các kiểm soát khác vẫn hoàn thành tốt chức năng của mình và bù khuyết cho kiểm soát đã lựa chọn thử nghiệm.

Ví dụ: Trường hợp 1: Doanh nghiệp không có chính sách về IT, không tổ chức cập nhật kiến thức cho nhân viên cũng như quy trình kiểm tra, tạo mới, hủy bỏ tài khoản; tuy nhiên kiểm soát về mật khẩu truy cập vào ứng dụng và hệ thống được thực hiện tốt, kiểm tra lịch sử truy cập các tài khoản của nhân viên đã nghỉ việc sau ngày nhân viên đó rời công ty không thấy bất thường → hệ thống vẫn được quản lý tập trung và hoạt động hiệu quả

Trường hợp 2: Doanh nghiệp không tổ chức kiểm soát nhận diện và cấp phép đối với các tiếp cận vật lý với hệ thống như máy chủ không được để khu vực riêng biệt, nhân viên không liên quan có thể trực tiếp tiếp xúc với máy chủ, không có ký nhận ra/vào khu vực máy chủ v.v → KTV xác minh các kiểm soát khác bổ khuyết bao gồm xem xét hệ thống camera an ninh, kiểm tra hồ sơ chứng từ về các lần bảo dưỡng hệ thống, kiểm tra tập tin giám sát (log file) trong hệ thống v.v để đảm bảo không có trường hợp mất cắp, tác động phá hoại lên hệ thống máy xảy ra trong năm tài chính → Hệ thống vẫn đảm bảo được chức năng của mình.

Bước 6: Sau khi đánh giá về các kiểm soát trong cấp quản lý hệ thống tổng quát (General

IT Control), nhận diện rõ các kiểm soát kém hiệu quả và các kiểm soát thay thế KTV đánh giá các kết quả đó ảnh hưởng đến kiểm soát hoạt động như thế nào (Process Level Control), liệu các ứng dụng hoạt động trong môi trường tổng quát tương ứng có bị ảnh hưởng bởi các kiểm soát tổng quát kém hiệu quả hay không Có hai trường hợp xảy ra: Trường hợp không có ảnh hưởng: Kiểm soát ở cấp độ tổng quát kém hiệu quả nhưng kiểm soát ở cấp độ xử lý lại hữu hiệu → KTV có thể nhận xét về hệ thống hoạt động hiệu quả, cung cấp bằng chứng đáng tin cậy trong việc các khoản mục tương ứng trên báo cáo tài chính thể hiện trung thực và hợp lý Trường hợp có ảnh hưởng: Kiểm soát ở cấp độ xử lý bị ảnh hưởng bởi sự kém hiệu quả của cấp độ tổng quát → KTV không có cơ sở để đưa ra kết luận, vì thế cần thiết phải xác định các thủ tục kiểm soát thủ công thay thế Nếu các kiểm soát thủ công có thể loại bỏ được các rủi ro từ sự kém hiệu quả của hệ thống tự động (ví dụ như hoạt động kiểm tra đối chiếu sổ cái xuất ra từ hệ thống với số

liệu thực tế không phát sinh chênh lệch), các khoản mục tương ứng trên báo cáo tài chính vẫn thể hiện trung thực hợp lý.

1.3.2.3 Kết thúc kiểm toán

Sau khi KTV đã thực hiện xong các bước kiểm toán hệ thống và thu thập bằng chứng đầy đủ, KTV có thể đưa ra kết luận về hệ thống có thể tin cậy và tiến hành tiếp các thủ tục kiểm toán BCTC theo chương trình kiểm toán đã định Nếu KTV không thể thực hiện các bước từ 1 đến 7 do thiếu kiến thức và kinh nghiệm cần thiết được quy định trong chuẩn mực, cần thiết có sự tham gia của chuyên gia trong việc kiểm tra và đưa ý kiến Nếu ý kiến rút ra từ các bằng chứng kiểm toán hệ thống cho thấy hệ thống không thực sự đáng tin cậy, không đủ cơ sở để phản ánh trung thực hợp lý các tài khoản và thuyết minh đã chọn trong bước 1 Kiểm toán viên phải thay thế thủ tục kiểm toán khác nhằm xác minh đủ cơ sở dẫn liệu cho các tài khoản đó nhằm mục đích đưa ý kiến cho BCTC, đồng thời trao đổi với ban quản lý về các phát hiện trên Các ý kiến này độc lập với ý kiến kiểm toán trên BCTC Có thể KTV CNTT hoặc chuyên gia đưa ý kiến loại trừ đối với hệ thống nhưng BCTC có thể được chấp nhận toàn phần do các thử nghiệm kiểm soát và thử nghiệm cơ bản trong thủ tục kiểm toán BCTC cung cấp đầy đủ bằng chứng kiểm toán chứng tỏ BCTC là trung thực và hợp lý Các ý kiến kiểm toán về hệ thống bao gồm:

• Ý kiến chấp nhận toàn phần (Unqualified opinion): KTV bày tỏ ý kiến về việc không tìm thấy các điểm phải loại trừ hoặc không có loại trừ đối với các điểm trọng yếu

• Ý kiến chấp nhận có nhấn mạnh (Qualified opinion): Có loại trừ các điểm kém hữu hiệu quan trọng trong hệ thống nhưng không trọng yếu

• Ý kiến loại trừ (Adverse opinion): Có một hoặc nhiều điểm kém hữu hiệu trong hệ thống là trọng yếu.