Quá trình th c hi n ki m toán đánh d u s chuy n ti p t giai đo n l p k ho ch sang giai đo n th c nghi m ch ng trình ki m toán đã xây d ng. T i th c đ a, ki m toán viên áp d ng các th t c ki m toán trong ph m vi k ho ch đã v ch ra đ thu
th p các b ng ch ng ki m toán. Chu n m c ki m toán Vi t Nam s 5006 – B ng ch ng ki m toán h ng d n nh sau: “B n ch t c a b ng ch ng ki m toán là mang tính tích l y và đ c thu th p ch y u t vi c th c hi n các th t c ki m toán trong su t cu c ki m toán” và “Các tài li u, thông tin đ c s d ng làm b ng ch ng ki m toán có th đ c l p b i m t chuyên gia do đ n v đ c ki m toán tuy n d ng ho c thuê.” ( o n A1, VSA 500). Theo quy đnh và h ng d n t i Chu n m c ki m toán Vi t Nam s 3156 và s 3306, b ng ch ng ki m toán đ c s d ng đ đ a ra k t
lu n làm c s cho ý ki n ki m toán đ c thu th p b ng cách:
• Th c hi n các th t c đánh giá r i ro;
• Th c hi n các th t c ki m toán ti p theo, bao g m:
o Th nghi m ki m soát theo yêu c u c a các chu n m c ki m toán
Vi t Nam, ho c theo l a ch n c a ki m toán viên;
o Th nghi m c b n, bao g m các ki m tra chi ti t và các th t c phân
tích c b n.
i v i cu c ki m toán BCTC có tích h p ki m toán CNTT, quá trình th c hi n ki m toán CNTT đ c ti n hành nh sau (Hình 1.2):
B c 1: i t ng đ c t p trung phân tích b c này là BCTC c a đ n v
đ c ki m toán. c p đ báo cáo tài chính, KTV c n th c hi n:
- Xác đ nh các kho n m c và thuy t minh tr ng y u
- Xác đ nh các c s d n li u cho báo cáo tài chính
- ng th i ph ng v n tìm hi u quy trình x lý thông tin c ng nh h th ng CNTT khách hàng tri n khai và áp d ng.
Các b c này có th đ c th c hi n tr c trong quá trình l p k ho ch t ng th và xây d ng ch ng trình ki m toán. M c đích t o ti n đ cho vi c th c hi n b c ti p theo c p đ sâu h n.
6Chu n m c ki m toán Vi t Nam s 315, 330, 500 – Ban hành và công b theo Thông T 214 /2012/TT- BTC ngày 6 tháng 12 n m 2012 c a B Tài chính, có hi u l c t ngày 1 tháng 1 n m 2014.
Hình 1.2: Quy trình th c hi n ki m toán CNTT trong cu c ki m toán BCTC
(Ngu n: ISACA, 2013. CISA review manual. Ch ng 1, tác gi t ng h p)
B c 2: Sau khi đã th c hi n b c 1, KTV tìm hi u sâu h n vào c p đ x lý
trong h th ngc a doanhnghi p. T i đây, KTV c n ph i:
- Nh n di n đ c các ki m soát và phân lo i ki m soát th công, ki m soát ng d ng.
- Xác đ nh và l a ch n các ki m soát t ng ng v i các kho n m c và thuy t minh đã v ch ra b c 1.
Giai đo n này đ c th c hi n t i th c đ a khi KTV s d ng ki n th c chuyên môn đ nh n di n và phân lo i các ki m soát thông qua quá trình ph ng v n, đ c bi t là ph ng v n b ph n chuyên trách v h th ng nh tr ng phòng IT, ng i ph trách k thu t..., quan sát và ti p c n h th ng CNTT c a đ n v đ c ki m toán.
Ki m soát th c hi n đ c chia làm 2 nhóm chính(Bi u đ 1.2.2.2):
- Ki m soát th công; và
Hình 1.3: Phân lo i ki m soát x lý (Process control)
(Ngu n: ISACA, 2007. CobiT 4.1)
i v i ki m soát th công, KTV có th áp d ng các th t c thu th p b ng ch ng c a ki m toán BCTC m t cách bình th ngthông qua th nghi m ki m soát và th nghi m c b n. Ki m soát ng d ng có ph m vi h p h n so v i ki m soát chung.
Ki m soát ng d ng xem xét tính hi u qu c a các ki m soát t đ ng, c ng nh s
v n hành c a ng d ng đ đ m b o các d li u cung c p đ c đ y đ và chính xác.
ng d ng (application) đây đ c hi u là các ph n m m máy tính liên k t tr c ti p
ho c gián ti p vào m t c s d li u (database) đ th c hi n các ch c n ng c a nó
nh nh p xu t, x lý d li u. Ví d : ph n m m k toán, ph n m m qu n lý hàng t n
kho, ph n m m tính l ng… Ki m soát ng d ng có 4 lo i bao g m
• Báo cáo (Exception/Edit Reports)
Báo cáo đ c t o ra t ng d ng có th là m t v n b n đi n t đ c trình bày d i
d ng báo cáo truy n th ng, ho c có th là thông báo v n t t, b ng kê, bi u đ , b ng
tóm l c… i v i m t ph n m m k toán, thu t ng báo cáo đây không ch
đ c hi u là các báo cáo tài chính mà còn bao g m s cái, s ph , b ng theo dõi
tu i n , danh sách n đ n h n ph i tr , s chi ti t nh p xu t t n hàng t n kho…
Các báo cáo này ph i đ c ki m tra đ đ m b o tính chính xác và đ y đ c a thông
tin v n hành và trong báo cáo đó có th ch a các báo cáo s b đ ki m tra tính chính xác và đ y đ c a d li u đ u vào c ng nh các th t c ki m soát.
đ m b o tính chính xác và đ y đ c a d li u trên báo cáo, các báo cáo này ph i đ c đ i chi u (reconcile) v i s sách, ch ng t phát sinh trong tháng ho c thi t l p cho ng d ng nh n bi t các thông tin không phù h p trên báo cáo. Ví d : k toán
viên xem l i các hóa đ n mua vào đ c kh u tr và không đ c kh u tr trong
tháng tr c khi s d ng báo cáo xu t t h th ng đ kê khai thu qua m ng, ho c
các ng d ng phát hi n nghi p v bán hàng cho khách hàng không có tên trong
danh m c khách hàng hi n h u, hóa đ n v a xu t không có thông tin trùng kh p
v i đ n hàng t ng ng…
• Thi t l p và h th ng các tài kho n (System Configuration & Account Mapping)
Các ng d ng luôn có nh ng thi t l p (settings) đ tùy bi n theo yêu c u c a ng i
s d ng. Các thi t l p này đ c l p v i nh ng thi t l p c a toàn h th ng. Vi c tùy
ch nh các thi t l p này d a vào quy đnh c a doanh nghi p. Vì th đ ki m soát
đ c các thi t l p, doanh nghi p c n xây d ng h ng d n thao tác và v n hành ng
d ng đ y đ và ph i đ m b o các tính n ng luôn đ c thi t l p phù h p v i quy
đnh. ng d ng có th đ c b t t t nh m b o v d li u kh i các ho t đ ng x lý
không phù h p, ví d nh s a xóa d li u, ho c thêm vào các nghi p v sau khi h th ng đã đóng s vào cu i n m tài chính.
• Ki m soát giao th c (Interface Controls)
Giao th c là cách th c các ng d ng có th giao ti p v i nhau nh m chuy n t i thông tin gi a các h th ng. V i ph m vi h p là h th ng thông tin trong doanh
nghi p, các giao th c này có th đ c tùy bi n đ chuy n m t ph n d li u gi a hai
(hay nhi u) h th ng m t cách đ y đ , chính xác và trung th c.
Vi c truy n t i d li u có th x y ra th ng xuyên nh vi c chuy n đ i d li u t
h th ng c sang h th ng m i, ho c có th c p nh t các d li u t ch ng trình
ch m công sang ch ng trình h ch toán ghi s c a phòng k toán. Yêu c u c a
ki m soát chính là vi c ng i dùng (nhân viên) quen thu c v i v i các giao th c
• Truy c p h th ng (System Access)
M t nhân viên ho c m t nhóm nhân viên có quy n truy c p vào h th ng thông tin
nh đ c thi t l p trong h th ng ph n ki m soát chung. Vi c truy c p này bao
g m t ng tác v i các máy tính và ng d ng c a doanh nghi p đ th c hi n các tác
v đ c phép. Ví d nh vi c h ch toán, ghi s , truy xu t các báo cáo.
Vi c ki m soát truy c p t ng ng d ng c n đ c th c hi n đ ng b v i h th ng.
Các nhân viên ph i tuân th theo quy đnh c a doanh nghi p v b o m t. Ví d ,
nhân viên không đ c phép ti t l m t kh u cá nhân đ đ ng nh p vào ph n hành
c a mình cho ng i khác, k c đ ng nghi p n u không có yêu c u chính th c và
yêu c u đó đ c xét duy t b i ng i có th m quy n, ho c nhân viên – trong quy n
h n c a mình – ch đ c phép thao tác và x lý d li u c a công ty trên máy tính do
công ty c p phát nh m b o m t d li u.
B c 3: Thông qua k t qu b c 2, KTV xem xét l i ki m soát h th ng t ng
quát (General IT Control) đ ng th i xác đ nh và l a ch n các ki m soát chung c a
h th ng. Công vi c t i b c 3 có th th c hi n đ ng th i t i b c 2 ho c trong đi u ki n cho phép, b c 2 và 3 có th thay đ i th t th c hi n.Ki m soát chung có th đ c mô t qua hình 1.4.
Hình 1.4: Ki m soát h th ng t ng quát (General IT Control)
Ki m soát chung đánh giá nh n th c c a doanh nghi p v i môi tr ng công ngh
thông tin. ây là m c ki m soát c b n và t ng quát nh t nh m ng n ch n và phát
hi n các r i ro nh h ng đ n h th ng c a doanh nghi p. V i đ c tr ng c a ERP g m nhi u phân h (module) khác nhau cùng liên k t vào m t c s d li u. Ki m soát h th ng thông tin k toán góc đ này đ c li t kê trong b ng 1.1 bao g m:
B ng 1.1: Phân lo i ki m soát h th ng t ng quát (General IT Control)
A Access to program and data Truy c p vào h th ng và d li u
A1 Information security policy/user
awareness
Chính sách b o m t/Nh n th c c a nhân viên
A2 Identification and authentication Nh n di n và c p phép
A3 Access administration Qu n tr truy c p
A4 Configuration of access rules Thi t l p quy t c truy c p h th ng
A5 Super users Ng i dùng đ c bi t
A6 Monitoring Giám sát
A7 Physical access T ng tácv t lý
B Program changes Ki m soát thay đ i ch ng trình
B1 Authorization, development, testing
and approval
C p phép, phát tri n, th nghi m, ch p thu n
B2 Migration to the production
environment
Chuy n đ i sang môi tr ng s n xu t
B3 Configuration changes Thay đ i các thi t l p
B4 Emergency changes Thay đ i kh n c p
C Program development Ki m soát phát tri n ng d ng
C1 Methodology for
development/acquisition
Ph ng th c xây d ng ho c tích h p
C2 Design, development, testing,
approval and implementation
C p phép, phát tri n, th nghi m, ch p thu n
C3 Data migration Di chuy n d li u
D Computer Operations Ki m soát v n hành h th ng
D1 Incident and problem management
procedures
Th t c gi i quy t các r i ro
D2 Backup and recovery procedures Sao l u và ph c h i d li u
D4 Job processing X lý d li u
(Ngu n: ISACA, 2007. CobiT 4.1)
Tuy nhiên, vi c th c hi n B c 3 – th nghi m ki m soát h th ng t ng quát ch c n thi t khi KTV d ki n s tin t ng vào các ki m soát ng d ng ho c ki m soát h n h p (ki m soát bán th công v i s h tr c a ki m soát t đ ng). Công vi c này t ng đ ng v i th nghi m ki m soát (Test of controls) trong ki m toán BCTC, khi mà h th ng ki m soát t ng quát đ c thi t k ch t ch và các ki m soát ho t đ ng t t trong vi c ng n ch n r i ros gi m thi u đ c công vi c c n th c hi n khi th nghi m c p đ ki m soát x lý. i v i các nhân t c a ki m soát h th ng t ng quát không liên quan(không thu c ng d ng có ki m soát t đ ng, ho c thu c ng d ng ki m soát t đ ng nh ng ph c v cho tài kho n không tr ng y u không có nh h ng đáng k lên BCTC), KTV không c n th c hi n. Hình 1.5 minh h a vi c l a ch n th c hi n ki m soát h th ng t ng quát theo các tiêu chí đã v ch ra trong k ho ch
Hình 1.5: L a ch n th c hi n th nghi mki m soát h th ng t ng quát t ng ng v i các ng d ngKTV s s d ng
(Ngu n: ISACA, 2013. CISA review manual)
• Truy c p vào h th ng và d li u (Access to Programs and Data)
Ki m soát các truy c p vào h th ng thông tin nh m ng n ch n và phát hi n các cá nhân tác đ ng trái phép vào h th ng. Vi c ki m soát này bao g m vi c ki m tra t o m i, h y b hay thay đ i các tài kho n (bao g m c tài kho n c a ng i s d ng cu i, chuyên viên IT và ng i qu n tr h th ng) và các c ch b o mât c a h th ng t ng ng d ng (application), c s d li u (database), h đi u hành (operating system) và h th ng m ng.
- Nh n th c c a nhân viên: v i t c đ phát tri n hi n nay, nhi u ph n hành và nghi p v đã đ c máy tính th c hi n thay cho con ng i, tuy nhiên con ng i v n đ m nhi m nhi u vaitrò khác nhau, đ c bi t là các công vi c qu n tr c n s t duy, xét đoán. Chính vì có s tham gia c a con ng i trong các quy trình, nh n th c v an toàn h th ng và b o m t d li u đóng vai trò l n trong vi c gi cho h th ng tránh kh i các r i ro xu t phát t con ng i. Doanh nghi p nên đ t ra nh ng quy đ nh, h ng d n c th v vi c truy c p h th ng (IT policy) song song v i vi c ph bi n chính sách b o m t và ki m tra soát xét tuân th đ nhân viên hi u đ c vai trò và trách nhi m c a mình.
- Phân quy n truy c p:vi c phân quy n truy c p khá hi u qu trong vi c ng n ch n ng i dùng truy c p vào các khu v c không thu c ph m vi và th m quy n c a mình trên h th ng. đ m b o vi c phân quy n đ c h u hi u c n ph i tuân th theo chính sách và h ng d n c a công ty. V c b n, phân quy n h u hi u là khi các tài kho n đ c l p khi nhân viên gia nh p công ty và đ c xóa kh i h th ng khi nhân viên ngh vi c. Ph m vi phân quy n đ c thi t l p d a trên vai trò, ch c v c a nhân viên. Các tài kho n đ c b o m t b ng m t kh u m nh (khó đoán, đ dài thích h p và có ch a các ký t đ c bi t, ch , s ). Ngoài ra vi c phân quy n ph i đ c ki m tra, soát xét liên t c và th c hi n k p th i khi có thay đ i v nhân s và công tác.
- Nh n di n và c p phép:đ i v i các t ng tác v t lý, h th ng ph i đ c đ t n i an toàn, d quan sát theo dõi và đ c b o v (c a có khóa, ch ng tr m, ch ng