5) Biểu đồ hệ thống mạng của Ngân hàng XYZ:
2.2.2.9. Thiết kế và thực hiện kiểm tra chi tiết hoạt động kiểm soát đối với hệ thống công nghệ thông tin trong hoạt động của Ngân hàng XYZ
thống công nghệ thông tin trong hoạt động của Ngân hàng XYZ
Sau khi thực hiện kiểm tra xuyên suốt, các kiểm toán viên sẽ thực hiện kiểm tra chi tiết đối với những thay đổi trong hệ thống thông tin của ngân hàng bằng cách: Đối với mỗi mục tiêu kiểm soát đã được xác định, kiểm toán viên sẽ chọn ra một số hoạt động để kiểm tra. Chẳng hạn như muốn kiểm tra sự phê chuẩn, kiểm tra, thử nghiệm và chính đáng của những thay đổi trong hệ thống thông tin của ngân hàng, các kiểm toán viên đã tập hợp các danh sách những thay đổi trong các yếu tố công nghệ liên quan trong môi trường công nghệ thông tin của khách hàng từ khi bắt đầu
kỳ kiểm toán cho đến khi thực hiện kiểm tra và chọn ra một số mẫu để kiểm tra. Để thực hiện kiểm tra những thay đổi trong hệ thống thông tin của Ngân hàng XYZ, các kiểm toán viên đã tập hợp tất cả 26 thay đổi trong năm trong hệ thống của ngân hàng và tiến hành kiểm tra 25/26 khoản thay đổi đó để kiểm tra xem những thay đổi đó có xác đáng hay không, có được kiểm tra, phê chuẩn và thử nghiệm hay không như được trình bày ở bảng dưới đây và đã đi đến kết luận những thay đổi của ngân hàng đã đạt thỏa mãn được yêu cầu đặt ra. Ta có thể lấy ví dụ trên bảng dưới đây để minh họa cho phần công việc này của các Kiểm toán viên: Vào ngày 05 tháng 2 năm 2007, phòng Công nghệ đã nhận được yêu cầu thay đổi trong hệ thống từ Phòng tín dụng do xuất hiện một lỗi hệ thống, đó là việc Lãi suất phải trả bị ghi nhận 2 lần. Để thực hiện kiểm tra chi tiết sự thay đổi này, các Kiểm toán viên đã thu thập các bằng chứng kiểm toán có liên quan bao gồm: Mẫu “Yêu cầu Nghiên cứu” có chữ ký của Trưởng phòng Tín dụng, “Biên bản Kiểm tra lỗi hệ thống” của Phòng Công nghệ, “Biên bản Phê duyệt thay đổi” có chữ ký của Trưởng ban Công nghệ của Ngân hàng, “Biên bản Mô tả Công việc” của Lập trình viên thực hiện…để xác định xem những thay đổi này của Ngân hàng có thật sự thỏa đáng, có được kiểm tra, được thử nghiệm và phê chuẩn hay không?
Kết luận của kiểm toán trong trường hợp này là Ngân hàng XYZ đã áp dụng hệ thống thông tin SIBS được thiết kế và hoạt động có hiệu quả, như vậy rủi kiểm soát từ công nghệ thông tin được đánh giá là thấp.
Bảng 2.13: Bảng kiểm tra sự kiểm soát hệ thống thông tin của Ngân hàng XYZ Khách hàng: Ngân hàng XYZ
Kiểm tra những thay đổi của chương trình-Phê duyêt, kiểm tra,thử nghiệm,thích hợp
Kết thúc năm: 31-12-07
Ngày kiểm tra: 12-2007
Hệ thống: SIBS
Các kiểm soát
MC-1: Những thay đổi là xác đáng.
MC-2: Những thay đổi được kiểm tra.
MC-3: Những thay đổi được phê chuẩn.
Thủ tục kiểm tra:
Mục đích: Để xác định những thay đổi trong chương trình có xác đáng, đựoc kiểm tra và được phê chuẩn không. Phạm vi: Tất cả những thay đổi trong năm 2007 (Tổng cộng có 26 sự thay đổi)
Phạm vi thực hiện kiểm tra
Các nguồn lực:
a.) Nguồn tài liệu để kiểm tra: Các tài liệu về những thay đổi được yêu cầu. b.) IBM iSeries 570.
c.) Thời gian kiểm tra: 1/1/2007-31/12/2007 d.) Kiểm tra cùng Mr…..là nhóm trưởng của nhóm quản trị SIBS.
Kết quả # Loại thay đổi Ứng
dụng Ký hiệu Miêu tả Ngày yêu cầu
Ngày thực hiện thay đổi Người yêu cầu Người kiểm tra Người cho phép 1 Lỗi hệ thống Tiền gửi 0107_DD Lãi suất được trả bị ghi nhận 2 lần
5-Jan-07 18-Jan-07 UyênLTT Sonlh Le Cong Nguyen 2 Lỗi
hệ thống
Hệ
thống 0307_SS Hoạt động thừa 5-Jan-07 24-Nov-07 cuongbm Sonlh Le Cong Nguyen
2.2.2.10 Đánh giá rủi ro kiểm toán
Trong suốt quá trình tiến hành thực hiện từng công đoạn để đánh giá rủi ro, đến công đoạn này, các kiểm toán viên sẽ đưa ra đánh giá cuối cùng về rủi ro tiềm tàng và rủi ro kiểm soát đối với từng khoản mục nhằm đưa ra mức đánh giá về rủi ro phát hiện mà các kiểm toán viên phải đảm bảo được trong giai đoạn thực hiện kiểm toán để duy trì được mức độ rủi ro kiểm toán có thể chấp nhận được mà Ernst & Young Việt Nam đã áp dụng với mọi khách hàng của công ty. Ta sẽ lấy khoản mục Tiền và tương đương tiền để minh họa:
Từ kết quả thu được trong việc xác định những rủi ro tồn tại trong khoản mục “Tiền và tương đương tiền”, trong từng lớp nghiệp vụ cần chú ý của khoản mục này như Thu tiền, Chi tiền và Tiền trong máy ATM, cùng những cơ sở dẫn liệu liên quan đến khoản mục đó, Ernst & Young Việt Nam đã tiến hành đánh giá mức rủi ro tiềm tàng và rủi ro kiểm soát của khoản mục này để từ đó xác định được mức rủi ro tổ hợp (hay là rủi ro phát hiện) mà các kiểm toán viên phải đảm bảo khi thực hiện các thủ tục kiểm tra chi tiết đối với khoản mục “Tiền và tương đương tiền” trong quá trình thực hiện kiểm toán như sau:
Bảng 2.14: Bảng đánh giá rủi ro kiểm toán của khoản mục Tiền và tương đương tiền của Ngân hàng XYZ
Cơ sở dẫn liệu Rủi ro tiềm tàng Rủi ro kiểm soát Rủi ro tổ hợp
Tiền và tương đương tiền-Tính đầy
đủ (C) Cao Trung bình Thấp
Tiền và tương đương tiền-Tính hiện
hữu (E) Cao Trung bình Thấp
Tiền và tương đương tiền-Quyền và
nghĩa vụ (R&O) Cao Trung bình Thấp Tiền và tương đương tiền-Đo lường
(M) Cao Trung bình Thấp
Theo các kiểm toán viên thì bản thân khoản mục “Tiền và tương đương tiền” là khoản mục có mức độ rủi ro rất lớn đối với mọi doanh nghiệp. Khách hàng này của Công ty lại là một ngân hàng nên lượng tiền ra vào rất lớn và có liên quan đến hầu hết các nghiệp vụ phức tạp của Ngân hàng, đặc biệt là những nghiệp vụ liên quan đến ngoại tệ bởi việc xác định giá trị lại phụ thuộc rất nhiều vào tỷ giá hối đoái khác nhau tại mỗi thời điểm khác nhau, việc xác định không chính xác tỷ giá sẽ làm cho các số liệu phản ánh không đúng giá trị của khoản mục này nhất là trong tình hình hiện nay tỷ giá này
luôn biến động bất thường, do đó khoản mục “Tiền và tương đương tiền” của Ngân hàng XYZ được các Kiểm toán viên đánh giá có Mức độ Rủi ro tiềm tàng cao.
Tuy nhiên khi thực hiện các thủ tục đánh giá về hệ thống kiểm soát của Ngân hàng XYZ, Ernst & Young Việt Nam nhận thấy rằng: Ngân hàng có bộ máy Kế toán với những nhân viên bề dày kinh nghiệm chuyên môn, có sự phân chia công việc rất rõ ràng và luôn phải chịu sự kiểm soát của những cán bộ cấp cao về chuyên môn. Đặc biệt do đặc thù về ngành nghề kinh doanh, Ngân hàng đã xây dựng được cho mình một hệ thống công nghệ thông tin rất hiện đại, hầu hết các hoạt động của Ngân hàng trong đó có các nghiệp vụ Thu tiền, Chi tiền và Tiền trong máy ATM đều được thực hiện trên các phần mềm được xây dựng riêng (ví dụ: Từ việc khách hàng đăng ký làm thẻ ATM đến việc phát hành thẻ ATM cho khách hàng và khi khách hàng thực hiện các hoạt động với máy ATM đều phải thông qua hệ thống công nghệ thông tin quản lý của Ngân hàng) … những hoạt động này được thiết kế và thực hiện nhằm tăng cường kiểm soát của Ngân hàng với các hoạt động của mình. Mọi sự thay đổi trong hệ thống công nghệ thông tin này đều phải được sự phê chuẩn, kiểm duyệt và thử nghiệm của các cán bộ có trách nhiệm và của các chuyên gia nước ngoài cung cấp phần mềm cho Ngân hàng, việc làm này sẽ góp phần làm giảm bớt những rủi ro kiểm soát do hệ thống công nghệ thông tin cho các khoản mục nói chung và khoản mục “Tiền và tương đương tiền” nói riêng. Với những thông tin trên, các Kiểm toán viên đã đánh giá rằng Ngân hàng XYZ đã thiết kế được một hệ thống kiểm soát nội bộ khá chặt chẽ và hoạt động có hiệu quả. Tuy nhiên do trong năm tại Ngân hàng vẫn còn xảy ra một vài sự cố đáng tiếc như việc nhân viên tại một vài chi nhánh vẫn biển thủ một số tiền đáng kể, hệ thống công nghệ thông tin vẫn xuất hiện một số lỗi hệ thống dù đã được khắc phục kịp thời…Do đó, các Kiểm toán viên của Ernst & Young Việt Nam đã đánh giá rằng mức độ rủi ro kiểm soát của Ngân hàng với khoản mục “Tiền và tương đương tiền” vẫn ở mức Trung bình. Từ Mức độ rủi ro Tiềm tàng được đánh giá ở mức Cao và Mức độ rủi ro Kiểm soát ở mức Trung bình, dựa theo công thức xác định của Ernst & Young Việt Nam, các Kiểm toán viên đã đi đến kết luận về Mức độ rủi ro Tổ hợp (hay là Rủi ro phát hiện) của mình đối với các Cơ sở dẫn liệu của Khoản mục “Tiền và tương đương tiền” là ở mức Thấp.
Từ mức rủi ro phát hiện có thể chấp nhận được đã xác định như trên, kiểm toán viên sẽ có cơ sở để thiết kế các thử nghiệm kiểm tra chi tiết tiếp theo đối với khoản mục
“Tiền và tương đương tiền”.