3.2. Vận dụng quy trình kiểm toán hệ thống thông tin kế toán của
3.2.1. Giai đoạn lập kế hoạch:
Đây là giai đoạn quan trọng trong quá trình kiểm tốn, nó cung cấp cho kiểm tốn viên những cơ sở ban đầu cho việc thiết kế và hình dung được khối lượng và những công việc cần thực hiện trong quá trình kiểm tốn. Những cơng việc kiểm tốn viên thường thực hiện trong giai đoạn này đó là:
- Hiểu biết về HTTT và các kiểm soát HTTT của DN.
- Đánh giá sơ bộ về rủi ro kiểm soát, xác định sai phạm tiềm tàng, các thủ tục
kiểm soát liên quan.
- Lập kế hoạch kiểm tốn tồn hệ thống.
3.2.1.1. Hiểu biết tổng quan về hệ thống thơng tin và các kiểm sốt hệ thống thơng tin của doanh nghiệp:
Việc tìm hiểu khách hàng và đánh giá hệ thống kiểm soát nội bộ là cần thiết đối với hầu hết tất cả các cuộc kiểm toán. Điều này giúp KTV hoạch định các thủ tục kiểm toán phù hợp với đặc điểm HTTT của đơn vị, xác định được những khu vực có rủi ro cao. Từ đó, kiểm tốn viên có thể xây dựng và thực hiện kế hoạch, chương trình kiểm tốn một cách hữu hiệu.
a. Tìm hiểu tổng qua về HTTT kế toán của doanh nghiệp:
Đối với việc tìm hiểu tổng quan về HTTT kế tốn, phương pháp tiến hành đó là: thu thập và nghiên cứu tài liệu về HTTT kế toán của đơn vị, quan sát hệ thống của đơn vị, phỏng vấn cán bộ chủ chốt doanh nghiệp và bộ phận CNTT. Qua đó, kiểm tốn viên đạt được những hiểu biết nhất định về HTTT kế toán của khách hàng trên các phương diện:
Hiểu biết về cấu trúc HTTT kế tốn của khách hàng: HTTT kế tốn gồm có
các hệ thống con và chương trình ứng dụng nào, chương trình hệ thống bao gồm bao nhiêu phần hành, HTTT chịu trách nhiệm quản lý bởi bộ phận nào, bộ phận quản lý được cài đặt tại chi nhánh Việt Nam hay do công ty mẹ ở nước ngoài quản lý (đối với chi nhánh cơng ty nước ngồi),…
Hiểu biết về cơ cấu tổ chức của bộ phận CNTT hiện tại của khách hàng:
bao gồm việc tìm hiểu chức năng và quyền hạn của bộ phận này, tổng số nhân viên cũng như chức năng của từng thành viên trong bộ phận.
Xác định những chương trình, phần mềm hệ thống quan trọng: Đây là những phần mềm hệ thống có ảnh hưởng đến hoạt động tài chính kế tốn cũng như đến BCTC của khách hàng. Do đó, KTV cần thiết phải xác định được những chương trình ứng dụng này để thiết kế thủ tục kiểm tốn thích hợp và tiết kiệm thời gian thực hiện kiểm toán. Đây là bước rất quan trọng trong quá trình tìm hiểu tổng quan về HTTT của doanh nghiệp. Nó giúp KTV tập trung kiểm tra những phần quan trọng và có ảnh hưởng đến BCTC nhiều nhất, làm tăng hiệu quả công việc.
b. Hiểu biết về hệ thống kiểm sốt hệ thống thơng tin của đơn vị được
kiểm toán:
Hệ thống kiểm soát nội bộ liên quan đến HTTT trong doanh nghiệp bao gồm các thủ tục kiểm soát được thiết kế và cài đặt nhằm ngăn ngừa và phát hiện các sai phạm, rủi ro và gian lận liên quan đến hệ thống trong doanh nghiệp. Thông thường các thủ tục kiểm soát trong doanh nghiệp thường tập trung kiểm soát các vấn đề tài chính liên quan đến hệ thống như sau:
Thủ tục kiểm sốt hệ thống thơng tin Thay đổi chương trình Truy cập vào các chương trình và dữ liệu Phát triển chương trình, hệ thống mới Hoạt động vận hành của máy tính và kiểm sốt dữ liệu
Chính sách bảo mật & nhận thức người dùng Truy cập vào phòng chứa máy chủ
Truy cập quản trị Nhận dạng và xác thực
Giám sát
Kiểm tra và phê duyệt sự thay đổi Đưa chương trình mới vào sử dụng
Kiểm tra, phê duyệt việc triển khai
Di chuyển dữ liệu vào chương trình mới
Sao lưu và các thủ tục phục hồi dữ liệu
Các sự cố và thủ tục quản lý vấn đề
Hình 3.2 Sơ đồ tóm tắt các thủ tục kiểm tốn HTTT trong doanh nghiệp có sử dụng máy tính.
Nguồn: Tài liệu kiểm tốn tại KPMG Việt Nam [8]
KTV cần tìm hiểu về các thủ tục kiểm soát được cài đặt trong doanh nghiệp để có cơ sở đánh giá rủi ro tiềm tàng và rủi ro kiểm sốt thích hợp. Từ đó, nó giúp
KTV xác định được nội dung và phạm vi của các thủ tục kiểm toán cần thực hiện.
3.2.1.2. Đánh giá sơ bộ về rủi ro kiểm soát:
Sau khi thực hiện tìm hiểu tống quát về HTTT và hệ thống kiểm toán nội bộ của doanh nghiệp, KTV xác định những sai phạm tiềm tàng có thể xảy ra trong hệ
thống, từ đó xác định rủi ro kiểm sốt có thể xảy ta để lên kế hoạch kiểm toán cho
phù hợp.
- Các ứng dụng hoặc chương trình trên hệ thống có thể xử lý dữ liệu khơng
chính xác hoặc dữ liệu sau khi xử lý khơng chính xác hoặc cả hai trường hợp trên. - Nhân viên truy cập trái phép vào dữ liệu có thể dẫn đến nguy cơ phá hủy dữ liệu hoặc dữ liệu bị thay đổi, bao gồm thực hiện các giao dịch trái phép hoặc giao dịch khơng có thực, hoặc thực hiện khơng chính xác các giao dịch, thực hiện các hoạt động gây ảnh hưởng đến HTTT.
- Khả năng nhân viên CNTT có quyền truy cập vượt quá quyền hạn được phân định để thực hiện nhiệm vụ được giao, qua đó phá bỏ sự phân chia trách nhiệm.
- Khả năng nhân viên thay đổi dữ liệu trái phép trong tổng thể các tập tin. - Khả năng nhân viên thay đổi trái phép hệ thống hoặc các chương trình. - Các nhân viên CNTT không thực hiện những thay đổi cần thiết cho hệ thống hoặc các chương trình khi được yêu cầu.
- Nhân viên CNTT tự ý thực hiện các can thiệp vào HTTT khi chưa được yêu cầu hoặc phê duyệt.
- Dữ liệu có khả năng bị mất hoặc không thể truy cập được dữ liệu cần sử dụng.
b. Lên kế hoạch kiểm toán:
Sau khi thực hiện xong giai đoạn này, KTV lên kế hoạch kiểm tốn tồn hệ thống, tập trung kiểm tra những chương trình, phần mềm ứng dụng có liên quan mật thiết đến quá trình lập BCTC. KTV lập kế hoạch để đảm bảo cuộc kiểm toán đúng thời hạn, phát hiện được những gian lận, rủi ro.
Khi lên kế hoạch kiểm toán, kiểm toán viên cần chú ý những vấn đề sau: - Chi phí và thời gian thực hiện.
- Mức độ của thông tin được yêu cầu để thu thập bằng chứng kiểm tốn có ở trong trạng thái sẵn sàng đáp ứng.
- Sự sẵn lòng của ban quản lý đơn vị được kiểm tốn.
Trong q trình thực hiện tìm hiểu về HTTT kế toán của đơn vị được kiểm toán, nếu KTV nhận thấy rằng có một số hoạt động liên quan đến hệ thống mà doanh nghiệp không thực hiện trong niên độ, ví dụ như trong niên độ, doanh nghiệp khơng thực hiện thay đổi bất cứ chương trình ứng dụng nào thì KTV khơng cần phải
thực hiện kiểm toán hoạt động này, tuy nhiên vì yêu cầu thận trọng nghề nghệp, KTV vẫn phải tìm hiểu và ghi chép lại để đảm bảo rằng hoạt động này thực sự khơng có phát sinh trong niên độ kiểm tốn.
3.2.2. Giai đoạn thực hiện kiểm tốn:
Trong q trình thực hiện kiểm toán, KTV thường sử dụng các phương pháp chủ yếu là: phỏng vấn các nhà quản lý, quan sát hệ thống thực hiện, kiểm tra các loại tài liệu và sổ sách, quan sát các hoạt động kiểm soát và vận hành của chúng trong thực tiễn, … để thu thập được bằng chứng kiểm tốn đầy đủ và thích hợp.
KTV chỉ kiểm tra hiệu quả hoạt động của các kiểm sốt HTTT, nếu nó có ảnh hưởng đến q trình xử lý số liệu trên BCTC của doanh nghiệp trong kỳ. Ví dụ, nếu doanh nghiệp khơng có phát triển hệ thống hoặc chương trình mới diễn ra trong giai đoạn thực hiện kiểm tốn, KTV khơng bắt buộc phải hồn thành phần này của hệ thống kiểm sốt HTTT.
Vì kiểm tốn hệ thống thơng tin là một lĩnh vực khá mới mẻ, do đó để tiện cho người đọc trong quá trình theo dõi, đề tài xin trình bày một quy trình nhỏ riêng bao gồm các bước tìm hiểu, thực hiện các thử nghiệm kiểm sốt và đưa ra kết luận cho mỗi một hoạt động chính của hệ thống như sau:
- Hoạt động truy cập vào các chương trình và dữ liệu. - Việc thay đổi chương trình.
- Việc phát triển hệ thống, chương trình mới.
- Hoạt động vận hành của máy tính và kiểm sốt dữ liệu.
3.2.2.1. Truy cập vào các chương trình và dữ liệu:
a. Tìm hiểu việc thiết kế và cài đặt các kiểm sốt liên quan đến truy cập
vào các chương trình và dữ liệu:
Việc tìm hiểu các hoạt động liên quan đến việc truy cập vào các chương trình và dữ liệu có thể giúp KTV nắm và xác định được các thủ tục kiểm soát liên quan được cài đặt. KTV tiến hành việc thu thập và tìm hiểu các văn bản, tài liệu của khách hàng liên quan đến HTTT, phỏng vấn người quản lý và các nhân viên có liên quan, quan sát quá trình hoạt động của HTTT, … để có được sự hiểu biết về hoạt động của các thành phần sau:
Hình 3.3 Các kiểm sốt liên quan đến truy cập vào các chương trình và dữ liệu
Các văn bản hướng dẫn sử dụng, nội quy liên quan đến HTTT và nhận thức
của nhân viên về các văn bản này: Việc tìm hiểu bao gồm 2 vấn đề chính đó là sự
tồn tại trong doanh nghiệp của các chính sách, văn bản do công ty ban hành và mức
độ phổ biến, nhận thức của nhân viên trong công ty về các văn bản này.
Việc truy cập vào phòng chứa máy chủ: KTV tìm hiểu phịng chứa máy chủ
được cài đặt ở đâu, do bộ phận nào chịu trách nhiệm quản lý, giới hạn người được
phép truy cập vào phòng này được tổ chức ra sao, hình thức truy cập vào phòng
máy chủ: dùng thẻ từ, dùng mật khẩu, hay dùng vân tay,…
Việc truy cập quản trị: KTV tìm hiểu quy trình để thành lập một tài khoản mới,
hủy bỏ một tài khoản đang sử dụng và thay đổi một số quyền truy cập cho nhân viên đang sử dụng phải theo thứ tự các bước, có sự xét duyệt của những bộ phần nào, ai là người chịu trách nhiệm thực hiện,…
Quá trình nhận dạng và xác thực: KTV xem xét có các kiểm sốt như nhập
userID và mật mã khi muốn đăng nhập vào HTTT và độ phức tạp của mật mã có bảo đảm an tồn và khó bị đánh cắp.
Giám sát: Việc giám sát có được cài đặt, và nếu có thì thời gian bao lâu thực hiện một lần và do ai chịu trách nhiệm thực hiện việc giám sát,… là những vấn đề mà KTV quan tâm trong phần này.
(Xem minh họa thực tế về việc tìm hiểu các kiểm soát liên quan đến truy cập vào các chương trình và dữ liệu trong Bảng 3.11 tại Phụ lục 1)
Thông qua những hiểu biết của KTV về hoạt động liên quan đến quyền truy
cập vào HTTT kế toán, KTV cần đánh giá và thực hiện các thử nghiệm kiểm soát để kiểm tra rằng những kiểm soát này đang tồn tại và hoạt động hiệu quả trong HTTT của khách hàng.
Để dễ theo dõi quá trình thực hiện kiểm tốn, người viết xin trình bày q trình thực hiện này theo các giai đoạn sau:
- Xác định các sai phạm tiềm tàng.
- Tìm hiểu về các thủ tục kiểm soát được cài đặt để kiểm soát mỗi hoạt động. - Thiết kế và thực hiện những thử nghiệm kiểm soát được hiện để đánh giá sự tồn tại và hữu hiệu của các kiểm soát này, cuối cùng xin đưa ra kết luận sau khu thực hiện các thử nghiệm cho mỗi riêng một kiểm soát.
Các thủ tục được thực hiện trong hoạt động truy cập vào chương trình và dữ liệu của hệ thống được tổng hợp trong Bảng 3.2.
Bảng 3.2 Bảng tóm tắt các sai phạm tiềm tàng, thủ tục kiểm soát chủ yếu, thử nghiệm kiểm soát- truy cập vào các chương trình và dữ liệu.
Sai phạm tiềm tàng: Nhân viên khơng có hiểu biết về vận hành chương trình, thực
hiện khơng đúng khi sử dụng hệ thống.
Thủ tục kiểm soát
- Ban hành các văn bản về vận hành các chương trình ứng dụng để hướng dẫn cho nhân viên.
- Phổ biến rộng rãi các văn bản này trong tồn thể cơng ty.
- Định kỳ tổ chức các chương trình đào tạo nhân viên kiến thức và kỹ năng sử dụng hệ thống.
Thử nghiệm kiểm soát
- Kiểm tra các văn bản liên quan, các thành phần quy định trong các văn bản, và biên bản, danh sách các nhân viên tham gia vào các chương trình đào tạo về HTTT trong doanh nghiệp.
- Phỏng vấn để biết các chương trình đào tạo có được tổ chức định kỳ, mức độ nhận thức của nhân viên về các văn bản này.
Sai phạm tiềm tàng: Nhân viên truy cập trái phép vào phòng chứa máy chủ dẫn
Thủ tục kiểm soát
- Hệ thống máy chủ được lưu giữ ở một vị trí an tồn, riêng biệt. - Hạn chế số người có khả năng truy cập vào nơi này.
- Thiết kế, cài đặt các phương tiện đảm bảo an toàn ra vào như: máy quét thẻ từ, nhận dạng vân tay, nhận dạng khuôn mặt, …
- Cài đặt chương trình ghi nhận thơng tin về các lần truy cập vào máy chủ.
Thử nghiệm kiểm soát
- Phỏng vấn việc hệ thống máy chủ lắp đặt ở đâu, những yêu cầu cần thiết khi muốn ra vào nơi này.
- Quan sát nơi lưu giữ có tách biệt, có cài đặt các phương tiện bảo vệ an toàn, quan sát cách thức ra vào nơi này của người được phép truy cập.
- Kiểm tra danh mục những người được phép truy cập có được phê duyệt.
- Kiểm tra một số mẫu in theo dõi từ hệ thống, đảm bảo những người đã truy cập là những người được phép ra vào.
Sai phạm tiềm tàng: Thực hiện trái phép việc thành lập, xóa bỏ, thay đổi quyền hạn truy cập của tài khoản sử dụng trên hệ thống.
Thủ tục kiểm sốt
- Thiết kế quy trình chung các bước để thành lập, xóa bỏ, thay đổi một tài khoản.
- Tất cả các yêu cầu thành lập, xóa bỏ, thay đổi tài khoản phải được sự phê duyệt và chấp thuận.
- Hạn chế số người có khả năng trực tiếp thực hiện việc này trong doanh nghiệp.
Thử nghiệm kiểm sốt
- Phỏng vấn quy trình các bước thành lập, xóa, thay đổi quyền truy cập của một tài khoản.
-Chọn mẫu trường hợp mở, xóa, thay đổi tài khoản để kiểm tra có thực hiện theo quy trình quy định, có được phê duyệt.
được phê duyệt.
Sai phạm tiềm tàng: Nhân viên truy cập trái phép, khơng thích hợp vào các
chương trình ứng dụng.
Thủ tục kiểm sốt
- Thiết lập việc truy cập địi hỏi phải có User Name và Password. - Quy định chính sách mật khẩu (Password Policies): Password phải phức tạp (Complexity), có chiều dài nhiều (password length), khó đốn, có cả chữ hoa, chữ thường, số và ký tự đặc biệt.
- Quy định thời gian thay đổi password bao lâu một lần: qui định thời gian tồn tại tối thiểu của mật khẩu (Minimum Password Age) và thời gian tối đa cần phải đổi mật khẩu (Maximum Password Age)
Thử nghiệm kiểm soát
- Phỏng vấn việc sử dụng các kiểm soát để đảm bảo việc truy cập vào hệ thống thích hợp.
- Quan sát quá trình nhân viên đăng nhập vào hệ thống.
- Kiểm tra các quy định về độ phức tạp, chiều dài mật khẩu, thời gian thay đổi password.
Sai phạm tiềm tàng: Hệ thống khơng kiểm sốt được việc truy cập của người sử dụng.
Thủ tục kiểm soát
- Thực hiện việc giám sát, kiểm tra lại định kỳ các quyền truy cập. - Phân chia trách nhiệm người có thẩm quyền thực hiện việc giám sát.
- Quá trình kiểm tra lại phải được sự phê duyệt.
Thử nghiệm kiểm soát
- Phỏng vấn quá trình thực hiện kiểm soát lại, ai là người có thẩm