5) Biểu đồ hệ thống mạng của Ngân hàng XYZ:
2.2.2.8 Tìm hiểu những hoạt động kiểm soát của công nghệ thông tin
Các kiểm toán viên sẽ thực hiện việc tìm hiểu về phạm vi của hệ thống kiểm soát bằng công nghệ thông tin của Ngân hàng. Sau đó sẽ chia nhỏ hệ thống này theo những mục đích kiểm soát hệ thống bao gồm:
• Quản lý những thay đổi • Truy nhập logic
• Những kiểm soát công nghệ thông tin khác
Tiếp đó, các kiểm toán viên sẽ liệt kê những hoạt động kiểm soát cho từng loại đã phân trên đây để tiến hành thực hiện kiểm tra xuyên suốt. Ví dụ, đối với việc Quản lý những thay đổi của hệ thống công nghệ thông tin, các kiểm toán viên đã thu thập được những thông tin sau của khách hàng:
Hệ thống SIBS là một phần mềm mà Ngân hàng XYZ mua của một công ty phát triển phần mềm của Singapore, do vậy Ngân hàng không được tự ý thay đổi các ứng dụng trong phần mềm mà phải gửi yêu cầu thay đổi chương trình cho công ty phần mềm. Những lỗi hệ thống của phần mềm từ các phòng ban, các chi nhánh và Trung tâm công nghệ thông tin của Ngân hàng sẽ được Ban Quản trị SIBS tập hợp. Đối với những thay đổi khẩn cấp thì những thay đổi sẽ được thực hiện trước khi có sự phê chuẩn của Trưởng phòng Công nghệ và sau đó Ngân hàng sẽ phải gửi một bản “Yêu cầu nghiên cứu” cho nhà cung cấp phần mềm để học có thể kiểm tra lại những thay đổi đã thực hiện trước đó. Tất cả những yêu cầu thay đổi đều phải được ghi vào Mẫu “Yêu cầu nghiên cứu” để gửi đến Nhóm Quản trị SIBS để gửi đến nhà cung cấp phần mềm. Dựa trên yêu cầu này, nhà cung cấp sẽ nghiên cứu, kiểm tra, sửa các lỗi hệ thống và phát triển phần mềm. Việc kiểm tra những thay đổi sẽ được thực hiện đồng thời ở Ngân hàng do Ban Quản trị SIBS, Phòng Công Nghệ hoặc Trung tâm Công nghệ thông tin và ở Nhà cung cấp Phần mềm. Những thay đổi này sẽ được Trưởng ban Công nghệ phê chuẩn và trong một số trường hợp đặc biệt và quan trọng thì sẽ do Giám đốc Trung tâm Công nghệ thông tin phê chuẩn. Đặc biệt, Ngân hàng
XYZ cũng có sự phân tách khá rõ ràng trong việc sử dụng hệ thống công nghệ thông tin trong từng mảng ứng dụng, cụ thể là trong việc phát triển, kiểm tra hệ thống thì Ngân hàng sử dụng máy chủ 660IBM và để tiến hành các hoạt động kinh doanh của mình thì Ngân hàng sử dụng máy chủ 790 IBM.
Từ những hiểu biết trên, các kiểm toán viên đã thực hiện kiểm tra xuyên suốt những vấn đề liên quan đến việc quản lý những thay đổi về Công nghệ thông tin như sau:
Bảng 2.12: Bảng kiểm tra xuyên suốt việc quản lý Công nghệ thông tin của Ngân hàng XYZ
Mục tiêu Người thực hiện Thiết kế kiểm soát Kiểm tra
Những thay đổi đều được kiểm
tra Nhóm trưởng nhóm quản trị SIBS thực hiện kiểm tra. Hiệu quả Toàn bộ Những thay đổi là chính đáng Trưởng phòng công nghệ và các phòng
ban khác sẽ thẩm định.
Hiệu quả Toàn bộ Những thay đổi đều được thử
nghiệm Trưởng phòng công nghệ và nhóm trưởng nhóm quản trị SIBS thực hiện thử nghiệm.
Hiệu quả Toàn bộ
Những thay đổi được phê
chuẩn Giám đốc Hội sở chính và Giám đốc ban Công nghệ thông tin phê chuẩn những thay đổi.
Hiệu quả Toàn bộ
Sau khi thực hiện những thủ tục kiểm tra xuyên suốt này, các kiểm toán viên đã đưa ra kết luận rằng các hoạt động kiểm soát công nghệ thông tin được thiết kế và hoạt động có hiệu quả.