Dựa trên mức ROR có thể chấp nhận được, số lượng sai phạm của mẫu và quy mô mẫu, ta xác định được tỉ lệ sai phạm tối đa của tổng thể-AUDR (phụ lục), từ đó đánh giá kết quả mẫu theo bảng sau:
Thuộc tính EDR
(%) TDR(%) ROR(%) Cỡ mẫu Số sai phạm của mẫu
AUDR
(%) Kết luận
1. Các PC có đầy đủ
năm chữ ký 0 6 10 64 0 3,8 Giữ nguyên CR ban đầu
2. PC phải đính kèm hoá đơn gốc và các chứng từ liên quan được trưởng phòng kinh doanh, giám đốc và kế toán trưởng ký duyệt (giấy yêu cầu)
1,75 4 10 166 4 3,3 Giữ nguyên CR
ban đầu
3. Hoá đơn đính kèm PC phải đóng dấu “Đã thanh toán” và đầy đủ các nội dung
1,75 4 10 166 7 7,2 Tăng CR ban
Thuộc tính 3 có AUDR > TDR nên phải điều chỉnh tăng mức CR đánh giá ban đầu, và phải đánh giá bản chất của sai phạm cũng như ảnh hưởng của nó đến BCTC để thiết kế thử nghiệm cơ bản tương ứng:
Thuộc tính Số lượng các
sai phạm Bản chất sai phạm Thử nghiệm cơ bản
3 7 Các hoá đơn đính
kèm phiếu chi sai mã số thuế hoặc không ghi MST
Tăng cỡ mẫu, kiểm tra toàn bộ các phiếu chi còn lại để xác định tổng số tiền của các khoản chi không có chứng từ gốc hợp lệ
4.3 Ưu điểm và đề xuất nhằm giảm chi phí chọn mẫu.
Chọn mẫu thống kê giúp kiểm toán viên chọn được các phần tử đại diện cho tổng thể, nhất là không phải kiểm tra toàn bộ đối với những tổng thể nhỏ, nhưng có thể sẽ tốn thời gian chọn mẫu do phải đánh số lại cho chứng từ, tra cứu các bảng để xác định cỡ mẫu, chọn lựa các phần tử của mẫu. Nhằm giảm bớt thời gian của những công việc đó, em xin đề xuất cách khắc phục như sau:
- Công ty cần xây dựng một chương trình hay phần mềm chọn mẫu áp dụng chung cho tất cả các cuộc kiểm toán.
- Về việc xác định ROR, TDR: kiểm toán viên dựa vào Hồ sơ thường trực, Hồ sơ làm việc cũ, kết hợp với những thay đổi trong năm của đơn vị để đánh giá lại ROR, TDR và sử dụng kết quả chọn mẫu năm ngoái đánh giá TDR.
- Viết chương trình giao cho máy tính thực hiện phần công việc: xác định cỡ mẫu, tỉ lệ sai phạm tối đa của tổng thể và so sánh hai hệ số TDR và AUDR, kết luận mức CR ban đầu.
- Sử dụng những ứng dụng của máy tính trong việc đánh số thứ tự chứng từ, chọn mẫu ngẫu nhiên bằng chương trình chọn số ngẫu nhiên như phụ lục 9B.
- Ngoài ra công ty có thể sử dụng phần mềm kiểm toán để hỗ trợ cho công tác chọn mẫu.
5. Đánh giá KSNB khi thực hiện kiểm toán trong môi trường tin học:
Để thực hiện kiểm toán trong môi trường tin học thì trước hết kiểm toán viên phài có sự hiểu biết về nó. Dù kiểm toán viên quyết định có nên tin cậy vào KSNB của khách hàng hay không, thì họ cũng phải đánh giá nó, và vì thế không thể bỏ qua việc xác định ảnh hưởng của công nghệ thông tin đến hệ thống KSNB. Kỹ năng này giúp kiểm toán viên có thể hiểu rõ được hệ thống KSNB, xác định ảnh hưởng của nó đến IR và CR, và thiết kế các thử nghiệm kiểm toán hữu hiệu và hiệu quả.
Để dễ hình dung em xin đề xuất các bước đánh giá ảnh hưởng của hệ thống máy tính đến rủi ro kiểm soát khi thực hện kiểm toán BCTC tại công ty ABC:
- Tìm hiểu về hệ thống xử lý thông tin trên máy của đơn vị:
Bước 1: Lập bảng câu hỏi về hệ thống máy tính
a. Bảng câu hỏi đánh giá hoạt động kiểm soát chung:
Câu hỏi đánh giá các thủ tục: Có/ Không/ Không áp
dụng
Kiểm soát việc thiết lập và phát triển hệ thống
1. Có những chính sách, thủ tục bằng văn bản về việc bảo mật hệ thống thông tin trên máy không?
Có Đã có quy định bằng văn bản.
Có xây dựng các tài liệu hệ thống (như tài liệu quản trị, tài liệu ứng dụng, tài liệu vận hành hệ thống) hay không?
Có Xây dựng từ khi mới đưa hệ
thống vào sử dụng. Các bút toán được thực hiện tự động đã
được sự phê chuẩn của cấp có thẩm quyền hay chưa?
Có Được phê chuẩn ngay khi lập
trình hệ thống.
Về chính sách nhân sự
Việc tuyển dụng các nhân viên kế toán có yêu cầu về trình độ tin học ngoài trình độ chuyên môn không?
Có Các nhân viên kế toán đều đã có bằng kế toán máy.
Sự phân chia trách nhiệm
Có sự độc lập giữa người quản trị CSDL, người vận hành hệ thống và những người sử dụng hay không?
Có KTT là người quản lý CSDL, nhân viên vận hành ở phòng CNTT, còn NSD là các kế toán viên ở phòng TCKT Kiểm soát vật chất 2. Có những thủ tục kiểm soát vật chất nhằm hạn chế các cá nhân tiếp cận phòng máy tính không? Có - Có khoá thẻ từ
- Khách bên ngoài vào phải đi cùng nhân viên được phép. Các thiết bị mạng quan trọng (như các tủ
Hub, Switch, đường dây mạng, các thiết bị đầu cuối, thiết bị mã hoá dữ liệu trên đường truyền…) có được bảo vệ an toàn, tránh bị hư hỏng và xâm nhập trái phép không?
Có Được quản lý ở phòng CNTT
Có sử dụng phần mềm chống virus hay các phần mềm an ninh mạng, và chúng có hiệu quả trong việc ngăn chặn dữ liệu bị phá huỷ, sao chép không?
Có Sử dụng phần mềm Bkav-pro
Kiểm soát truy cập
3. Các lập trình viên có bị hạn chế truy cập vào những chương trình ứng dụng và các tập tin dữ liệu hay không?
Có Chương trình bảo mật hệ điều hành giới hạn việc truy cập vào các chương trình hay dữ liệu khác.
Có xây dựng thư viện dữ liệu nhằm đảm bảo các lập trình viên không sử dụng các tập tin và những chương trình hiện đang sử dụng không?
Có Có riêng các tập tin chạy thử được sử dụng cho những chương trình thử nghiệm. 4. Các nhân viên vận hành máy tính có Có Các nhân viên điều hành
trình nguồn hay không? chương trình nguồn để sửa đổi Có kiểm soát chặt chẽ các chương trình
tiện ích có khả năng thay đổi dữ liệu mà không để lại dấu vết kiểm toán không?
Có Việc truy cập các chương trình tiện ích bị hạn chế bởi chương trình bảo mật.
Có thiết kế chương trình có khả năng ghi nhận tất cả các hoạt động của hệ điều hành và của từng máy tính đang vận hành không?
Có Sử dụng chương trình ghi nhận nhật ký truy cập để kiểm soát việc truy cập và thực hiện các thao tác trên hệ thống.
Có sử dụng mật khẩu hay các chương trình nhận dạng khác để kiểm soát việc truy cập hệ thống hay không?
Có Mỗi người sử dụng được cấp
một mật khẩu truy cập, và thiết bị tự động logoff sau 10 phút không hoạt động.
Có kiểm soát mật khẩu nhằm đảm bảo chúng được bảo mật và luôn được thay đổi hay không?
Có Lập mật khẩu với độ dài 12 ký tự cả số và chữ, và thay đổi mật khẩu mỗi tháng một lần. Các máy trạm có được kết nối Internet
không?
Không Khi thay đổi nhân sự hay cho thôi việc
một nhân viên, có thay đổi mật khẩu của nhân viên cũ hay không?
Có Mật khẩu được đổi ngay sau
khi có sự thay đổi nhân sự. Có định kỳ kiểm soát danh mục phần
mềm trong hệ thống và sự thay đổi dung lượng của chúng để phát hiện ra các chương trình lạ hay không?
Không Chưa có thủ tục kiểm soát này.
Kiểm soát lưu trữ dữ liệu
Có sao lưu dữ liệu ra các thiết bị lưu trữ (như đĩa CD, đĩa mềm, ổ cứng…) và chúng có được bảo đảm không bị nhầm lẫn với nhau hay không?
Có Sao lưu dữ liệu hàng ngày ra đĩa và dán nhãn cho chúng, các đĩa được sắp xếp theo thứ tự thời gian.
Các sự kiện quan trọng (như vi phạm tính bảo mật, sử dụng phần mềm bị hạn chế…) có được xử lý ngay bởi nhà quản lý có thẩm quyền hay không?
Có Kế toán trưởng là người phụ
trách bảo mật hệ thống và xử lý các sự cố phát sinh.
Khắc phục sự cố về điện
Những thiết bị quan trọng (máy chủ, máy trạm…) có đủ các thiết bị lưu điện (UPS), thiết bị ổn định nguồn điện (ổn áp) hay không?
Có Sử dụng ổn áp để ổn định
nguồn điện.
Qua đó có thể đánh giá CR đối với hoạt động kiểm soát chung của công ty ABC là thấp.
b. Bảng câu hỏi đánh giá hoạt động kiểm soát ứng dụng:
Câu hỏi cho các thủ tục: Có/ Không/ Không áp
dụng
Kiểm soát đầu vào