Đây là giai đoạn quan trọng trong quá trình kiểm toán, nó cung cấp cho kiểm toán viên những cơ sở ban đầu cho việc thiết kế và hình dung được khối lượng và những công việc cần thực hiện trong quá trình kiểm toán. Những công việc kiểm toán viên thường thực hiện trong giai đoạn này đó là:
- Hiểu biết về HTTT và các kiểm soát HTTT của DN.
- Đánh giá sơ bộ về rủi ro kiểm soát, xác định sai phạm tiềm tàng, các thủ tục kiểm soát liên quan.
- Lập kế hoạch kiểm toán toàn hệ thống.
3.2.1.1. Hiểu biết tổng quan về hệ thống thông tin và các kiểm soát hệ thống thông tin của doanh nghiệp:
Việc tìm hiểu khách hàng và đánh giá hệ thống kiểm soát nội bộ là cần thiết đối với hầu hết tất cả các cuộc kiểm toán. Điều này giúp KTV hoạch định các thủ tục kiểm toán phù hợp với đặc điểm HTTT của đơn vị, xác định được những khu vực có rủi ro cao. Từ đó, kiểm toán viên có thể xây dựng và thực hiện kế hoạch, chương trình kiểm toán một cách hữu hiệu.
a. Tìm hiểu tổng qua về HTTT kế toán của doanh nghiệp:
Đối với việc tìm hiểu tổng quan về HTTT kế toán, phương pháp tiến hành đó là: thu thập và nghiên cứu tài liệu về HTTT kế toán của đơn vị, quan sát hệ thống của đơn vị, phỏng vấn cán bộ chủ chốt doanh nghiệp và bộ phận CNTT. Qua đó, kiểm toán viên đạt được những hiểu biết nhất định về HTTT kế toán của khách hàng trên các phương diện:
Hiểu biết về cấu trúc HTTT kế toán của khách hàng: HTTT kế toán gồm có các hệ thống con và chương trình ứng dụng nào, chương trình hệ thống bao gồm bao nhiêu phần hành, HTTT chịu trách nhiệm quản lý bởi bộ phận nào, bộ phận quản lý được cài đặt tại chi nhánh Việt Nam hay do công ty mẹở nước ngoài quản lý (đối với chi nhánh công ty nước ngoài),…
Hiểu biết về cơ cấu tổ chức của bộ phận CNTT hiện tại của khách hàng:
bao gồm việc tìm hiểu chức năng và quyền hạn của bộ phận này, tổng số nhân viên cũng như chức năng của từng thành viên trong bộ phận.
Xác định những chương trình, phần mềm hệ thống quan trọng: Đây là những phần mềm hệ thống có ảnh hưởng đến hoạt động tài chính kế toán cũng như đến BCTC của khách hàng. Do đó, KTV cần thiết phải xác định được những chương trình ứng dụng này để thiết kế thủ tục kiểm toán thích hợp và tiết kiệm thời gian thực hiện kiểm toán. Đây là bước rất quan trọng trong quá trình tìm hiểu tổng quan về HTTT của doanh nghiệp. Nó giúp KTV tập trung kiểm tra những phần quan trọng và có ảnh hưởng đến BCTC nhiều nhất, làm tăng hiệu quả công việc.
b. Hiểu biết về hệ thống kiểm soát hệ thống thông tin của đơn vị được
kiểm toán:
Hệ thống kiểm soát nội bộ liên quan đến HTTT trong doanh nghiệp bao gồm các thủ tục kiểm soát được thiết kế và cài đặt nhằm ngăn ngừa và phát hiện các sai phạm, rủi ro và gian lận liên quan đến hệ thống trong doanh nghiệp. Thông thường các thủ tục kiểm soát trong doanh nghiệp thường tập trung kiểm soát các vấn đề tài chính liên quan đến hệ thống như sau:
Thủ tục kiểm soát hệ thống thông tin Thay đổi chương trình Truy cập vào các chương trình và dữ liệu Phát triển chương trình, hệ thống mới Hoạt động vận hành của máy tính và kiểm soát dữ liệu
Chính sách bảo mật & nhận thức người dùng Truy cập vào phòng chứa máy chủ
Truy cập quản trị Nhận dạng và xác thực
Giám sát
Kiểm tra và phê duyệt sự thay đổi Đưa chương trình mới vào sử dụng
Kiểm tra, phê duyệt việc triển khai
Di chuyển dữ liệu vào chương trình mới
Sao lưu và các thủ tục phục hồi dữ liệu
Các sự cố và thủ tục quản lý vấn đề
Hình 3.2 Sơđồ tóm tắt các thủ tục kiểm toán HTTT trong doanh nghiệp có sử dụng máy tính.
Nguồn: Tài liệu kiểm toán tại KPMG Việt Nam [8]
KTV cần tìm hiểu về các thủ tục kiểm soát được cài đặt trong doanh nghiệp để
có cơ sở đánh giá rủi ro tiềm tàng và rủi ro kiểm soát thích hợp. Từ đó, nó giúp KTV xác định được nội dung và phạm vi của các thủ tục kiểm toán cần thực hiện.
3.2.1.2. Đánh giá sơ bộ về rủi ro kiểm soát:
Sau khi thực hiện tìm hiểu tống quát về HTTT và hệ thống kiểm toán nội bộ
của doanh nghiệp, KTV xác định những sai phạm tiềm tàng có thể xảy ra trong hệ
thống, từđó xác định rủi ro kiểm soát có thể xảy ta để lên kế hoạch kiểm toán cho phù hợp.
- Các ứng dụng hoặc chương trình trên hệ thống có thể xử lý dữ liệu không chính xác hoặc dữ liệu sau khi xử lý không chính xác hoặc cả hai trường hợp trên.
- Nhân viên truy cập trái phép vào dữ liệu có thể dẫn đến nguy cơ phá hủy dữ liệu hoặc dữ liệu bị thay đổi, bao gồm thực hiện các giao dịch trái phép hoặc giao dịch không có thực, hoặc thực hiện không chính xác các giao dịch, thực hiện các hoạt động gây ảnh hưởng đến HTTT.
- Khả năng nhân viên CNTT có quyền truy cập vượt quá quyền hạn được phân định để thực hiện nhiệm vụđược giao, qua đó phá bỏ sự phân chia trách nhiệm.
- Khả năng nhân viên thay đổi dữ liệu trái phép trong tổng thể các tập tin. - Khả năng nhân viên thay đổi trái phép hệ thống hoặc các chương trình. - Các nhân viên CNTT không thực hiện những thay đổi cần thiết cho hệ thống hoặc các chương trình khi được yêu cầu.
- Nhân viên CNTT tự ý thực hiện các can thiệp vào HTTT khi chưa được yêu cầu hoặc phê duyệt.
- Dữ liệu có khả năng bị mất hoặc không thể truy cập được dữ liệu cần sử dụng.
b. Lên kế hoạch kiểm toán:
Sau khi thực hiện xong giai đoạn này, KTV lên kế hoạch kiểm toán toàn hệ thống, tập trung kiểm tra những chương trình, phần mềm ứng dụng có liên quan mật thiết đến quá trình lập BCTC. KTV lập kế hoạch để đảm bảo cuộc kiểm toán đúng thời hạn, phát hiện được những gian lận, rủi ro.
Khi lên kế hoạch kiểm toán, kiểm toán viên cần chú ý những vấn đề sau: - Chi phí và thời gian thực hiện.
- Mức độ của thông tin được yêu cầu để thu thập bằng chứng kiểm toán có ở trong trạng thái sẵn sàng đáp ứng.
- Sự sẵn lòng của ban quản lý đơn vịđược kiểm toán.
Trong quá trình thực hiện tìm hiểu về HTTT kế toán của đơn vị được kiểm toán, nếu KTV nhận thấy rằng có một số hoạt động liên quan đến hệ thống mà doanh nghiệp không thực hiện trong niên độ, ví dụ như trong niên độ, doanh nghiệp không thực hiện thay đổi bất cứ chương trình ứng dụng nào thì KTV không cần phải
thực hiện kiểm toán hoạt động này, tuy nhiên vì yêu cầu thận trọng nghề nghệp, KTV vẫn phải tìm hiểu và ghi chép lại để đảm bảo rằng hoạt động này thực sự
không có phát sinh trong niên độ kiểm toán.