.6 Thủ tục kiểm sốt q trình nhận dạng và xác thực

Một phần của tài liệu Luận văn thạc sĩ UEH vận dụng quy trình kiểm toán hệ thống thông tin kế toán tại công ty kiểm toán KPMG hỗ trợ kiểm toán báo cáo tài chính cho các doanh nghiệp kiểm toán việt nam (Trang 86)

Thủ tục Nội dung

Thủ tục thứ nhất

Phỏng vấn cấp quản lý và các nhân viên liên quan để biết được khách hàng có sử dụng kiểm soát nào để hạn chế việc truy cập hệ thống trái phép, mức độ phức tạp của các kiểm soát này,…

Thủ tục thứ hai

Quan sát nhân viên muốn truy cập vào hệ thống có phải thực hiện các yêu cầu của các kiểm soát như nhập mật khẩu, username,…

Thủ tục thứ ba

Kiểm tra các quy định về độ phức tạp của các kiểm soát như: độ dài mật khẩu, bao lâu thay đổi một lần,…

(Xem minh họa thực tế về thực hiện thử nghiệm kiểm soát đối với thủ tục kiểm soát việc nhận dạng và xác thực trong Bảng 3.14 tại Phụ lục 4)

Giám sát:

Các thử nghiệm kiểm soát để thu thập bằng chứng đánh giá việc thiết kế, cài đặt và hoạt động hữu hiệu của các thủ tục kiểm soát liên quan:

Bảng 3.7 Thủ tục kiểm soát việc giám sát

Thủ tục Nội dung

Thủ tục thứ nhất

Phỏng vấn việc giám sát có được thực hiện, ai là người có thẩm quyền thực hiện, bao lâu thực hiện một lần, quy trình thực hiện như thế nào.

Thủ tục thứ hai

Kiểm tra các văn bản, tài liệu liên quan, kiểm tra sự phê duyệt.

Thủ tục thứ ba

Chọn mẫu một số biên bản của các đợt thực hiện giám sát để kiểm tra thực hiện những việc gì và có được phê duyệt hay không.

(Xem minh họa thực tế về thực hiện thử nghiệm kiểm soát đối với thủ tục kiểm soát việc giám sát trong Bảng 3.15 tại Phụ lục 5)

Dựa trên các bằng chứng thu thập được sau khi thực hiện các thử nghiệm kiểm soát trên, kiểm toán viên sẽ đưa ra kết luận về hoạt động hiệu quả của các kiểm soát được cài đặt trong hệ thống thông tin. Sẽ thấy được các lỗ hổng bảo mật của hệ thống, nhằm tăng thêm thơng tin liên quan đến q trình kiểm soát hệ thống, giúp dễ dàng nâng cấp, sửa chữa hệ thống hồn thiện hơn. Kiểm tốn viên sẽ ghi lại (document) tất cả các thông tin này nhằm làm phong phú hơn các thông tin liên quan đến HTTT và làm giàu kinh nghiệm kiểm tốn của chính kiểm tốn viên.

3.2.2.2. Thay đổi chương trình:

Với mục tiêu kiểm toán xác định các thủ tục kiểm soát đã được thiết lập để đảm bảo rằng các thay đổi cho hệ thống hiện có được kiểm tra, phê duyệt, thực hiện đúng quy trình và có ghi chép lại trong các văn bản.

Cũng như phần trên, đề tài trình bày kết cấu của hoạt động thay đổi chương trình trong bảng bên dưới:

Bảng 3.8 Các sai phạm tiềm tàng, thủ tục kiểm soát chủ yếu, thử nghiệm kiểm sốt-Thay đổi

chương trình.

Sai phạm tiềm tàng: Chương trình sau khi thay đổi không đáp ứng được yêu cầu.

Thủ tục kiểm soát

-Mọi yêu cầu thay đổi đều phải được xem xét, phê duyệt trước khi thực hiện.

-Phê duyệt, kiểm tra lại chương trình bởi các cấp có thẩm quyền trước khi đưa vào sử dụng.

-Yêu cầu thay đổi chương trình phải xuất phát từ nhu cầu của bộ phận sử dụng chương trình để đảm bảo sự thay đổi đáp ứng như cầu. -Kết quả nghiệm thu phải chính xác khi thay đổi chương trình mới.

Thử nghiệm kiểm sốt

-Phỏng vấn về quy trình, các bước xét duyệt trước và trong khi thực hiện thay đổi chương trình.

-Kiểm tra sự phê duyệt trong các tài liệu, văn bản liên quan đến việc thay đổi chương trình.

-Kiểm tra kết quả nghiệm thu của việc thay đổi chương trình.

hưởng đến dữ liệu và hoạt động của hệ thống.

Thủ tục kiểm sốt

-Thiết lập riêng chương trình tách biệt với hệ thống sẵn có để thực hiện các thử nghiệm, nghiên cứu thay đổi chương trình.

-Giới hạn số người truy cập vào chương trình thử nghiệm này để tránh ảnh hưởng đến hoạt động của hệ thống.

Thử nghiệm kiểm soát

-Quan sát để kiểm tra xem có chương trình riêng, tách biệt nhằm phục vụ quá trình thực hiện thay đổi mà không ảnh hưởng đến dữ liệu của hệ thống.

-Phỏng vấn, kiểm tra danh sách những người được phép tham gia thực hiện thay đổi chương trình này.

Sai phạm tiềm tàng: Nguy cơ sửa chữa trái phép trong quá trình đưa chương trình

được thay đổi vào sử dụng.

Thủ tục kiểm soát

-Giới hạn những người tham gia di chuyển chương trình được thay đổi vào sử dụng.

-Giám sát quá trình di chuyển thường xuyên để đảm bảo việc di chuyển diễn ra suôn sẻ, và xử lý kịp thời các vấn đề phát sinh.

Thử nghiệm kiểm soát

-Kiểm tra danh sách những người tham gia di chuyển chương trình đã thay đổi vào hệ thống sử dụng.

-Kiểm tra các văn bản liên quan đến giám sát việc hồn tất q trình di chuyển, xem xét sự phê duyệt trên các văn bản này.

Sai phạm tiềm tàng: Dữ liệu khơng tương thích giữa chương trình cũ và chương

trình mới. Thủ tục kiểm sốt

-Chuyển đổi dữ liệu để chương trình mới sử dụng đầy đủ, đúng qui cách.

Thử nghiệm kiểm soát

-Kiểm tra tất cả dữ liệu được sử dụng đầy đủ, đúng qui cách trên chương trình mới.

Vì đây là một hoạt động không thường xuyên xảy ra trong doanh nghệp. Trong trường hợp, đơn vị được kiểm tốn khơng có hoạt đơng thay đổi chương trình ứng

dụng trong niên độ thì kiểm tốn viên chỉ tiến hành phỏng vấn các cấp quản lý có

thẩm quyền liên quan như Trưởng phịng CNTT, và chứng thực lại thơng qua việc phỏng vấn kiểm toán viên nội bộ hoặc các cấp quản lý khác để biết được trong năm doanh nghiệp có thực hiện thay đổi chương trình, nếu khơng có kiểm toán viên bỏ qua việc kiểm tra liên quan đến vấn đề này.

3.2.2.3. Phát triển chương trình:

Phát triển chương trình, hệ thống mới là một việc làm khá phổ biến. Tại Việt Nam hiện nay đa số là mua chương trình có sẵn do cơng ty chun về phần mềm

cung cấp, do vậy cũng dễ gặp rủi ro đó là chương trình mới mua về khơng sử dụng

được, dẫn đến lãng phí và có khi cịn gây ảnh hưởng đến số liệu trên BCTC. Do vậy việc phê duyệt, kiểm tra trong trường hợp này là hết sức cần thiết.

Bảng 3.9 Các sai phạm tiềm tàng, thủ tục kiểm soát chủ yếu, thử nghiệm kiểm sốt-Phát triển chương trình

Sai phạm tiềm tàng: Chương trình sau khi được phát triển không đáp ứng được yêu cầu.

Thủ tục kiểm soát

- Mọi yêu cầu phát triển chương trình mới đều phải được xem xét, phê duyệt trước khi thực hiện.

- Phê duyệt, kiểm tra lại chương trình bởi các cấp có thẩm quyền trước khi đưa vào sử dụng.

Thử nghiệm kiểm sốt

- Phỏng vấn về quy trình, các bước xét duyệt trước và trong khi thực hiện phát triển chương trình.

- Kiểm tra sự phê duyệt trong các tài liệu, văn bản liên quan đến việc phát triển chương trình.

Sai phạm tiềm tàng: Dữ liệu di chuyển khơng đầy đủ và chính xác từ hệ thống cũ

sang hệ thống mới. Thủ tục

kiểm soát

- Hạn chế danh sách nhân viên tham gia vào quá trình chuyển dữ liệu.

- Giám sát quá trình di chuyển dữ liệu thường xuyên. - Phê duyệt, kiểm tra lại sau khi hoàn tất việc di chuyển.

Thử nghiệm kiểm soát

- Kiểm tra danh sách nhân viên được phép tham gia di chuyển dữ liệu.

- Kiểm tra các văn bản liên quan đến giám sát việc hồn tất q trình di chuyển, xem xét sự phê duyệt trên các văn bản này.

Nguồn: Tác giả tổng hợp từ tài liệu kiểm toán HTTT tại KPMG.[8]

Đây là hoạt động không thường xuyên của hệ thống, do vậy trong niên độ kiểm

toán thường gặp tình trạng doanh nghệp khơng thực hiện phát triển hệ thống mới. Trong những trường hợp như vậy, KTV cần tìm hiểu về các chương trình này được phát triển vào thời gian nào,… và ghi chép lại để làm cơ sở đánh giá, không thực hiện thêm các thử nghiệm kiểm soát.

3.2.2.4. Hoạt động vận hành của hệ thống và kiểm soát dữ liệu:

Trong quá trình vận hành, hệ thống khơng thể tránh khỏi việc xảy ra các sự cố, lỗi. Nếu những sự cố có liên quan đến các chương trình ứng dụng quan trọng không

được báo cáo lên và giải quyết kịp thời sẽ ảnh hưởng rất lớn đến tính chính xác và đầy đủ của dữ liệu trong hệ thống, dẫn đến sai lệch số liệu trên BCTC. Do vậy,

KTV cần hết sức quan tâm đến việc phát hiện và xử lý các sự cố trên hệ thống kịp thời trong doanh nghiệp, đảm bảo sự an toàn và đầy đủ của dữ liệu trong hệ thống. Ngoài ra, các dữ liệu trên hệ thống có khả năng bị virus tấn công, đánh cắp, phá hoại, hủy bỏ trái phép hoặc do các thảm họa gây nên. Vì thế, KTV cần quan tâm đến sự tồn tại và hữu hiệu của các hoạt động kiểm soát việc sao lưu cất giữ dữ liệu trong các phương tiện an toàn ngoài hệ thống, cũng như đảm bảo khả năng phục hồi dữ liệu gốc trong trường hợp có sự cố xảy ra.

a. Tìm hiểu các kiểm sốt liên quan đến hoạt động vận hành của hệ thống và kiểm soát dữ liệu:

Trong giai đoạn này, KTV cần tìm hiểu:

- Khi hệ thống phát sinh sự cố trong quá trình vận hành thì bộ phận nào chịu trách nhiệm nhận báo cáo và giải quyết các vấn đề này.

- Doanh nghiệp có cài đặt chương trình để thực hiện sao lưu các dữ liệu thường ngày sau khi hết ngày làm việc để đảm bảo an tồn dữ liệu.

- Có thủ tục nào nhằm đảm bảo dữ liệu được lưu giữ an tồn và có thể khơi phục nếu xảy ra sự cố.

- Hạn chế những người có thể tiếp cận dữ liệu,…

(Xem minh họa thực tế về tìm hiểu các kiểm soát liên quan đến hoạt động vận hành của hệ thống trong Bảng 3.16 tại Phụ lục 6)

b. Thực hiện các thử nghiệm kiểm soát:

Cũng như phần trên, đề tài tổng hợp các vấn đề liên quan trong bảng 3.10:

Bảng 3.10 Các sai phạm tiềm tàng, thủ tục kiểm soát chủ yếu, thử nghiệm kiểm soát-Hoạt động vận hành hệ thống và kiểm soát dữ liệu

Sai phạm tiềm tàng: Quá trình xử lý các dữ liệu trên hệ thống có thể gặp sự cố gây

ảnh hưởng đến thông tin trên BCTC.

Thủ tục kiểm soát

- Thiết lập bộ phận chịu trách nhiệm theo dõi, nhận thông tin về các sự cố, hỗ trợ xử lý các sự cố xảy ra từ hệ thống.

- Phê duyệt việc thực hiện xử lý các sự cố.

- Kiểm tra, giám sát đảm bảo các sự cố này thực sự có phát sinh và được báo cáo lên bộ phận có thẩm quyền.

Thử nghiệm kiểm sốt

- Phỏng vấn q trình, các thủ tục thực hiện để báo cáo các sự cố lên bộ phận chịu trách nhiệm.

- Kiểm tra việc tồn tại bộ phận chịu trách nhiệm xử lý vấn đề này có tồn tại.

- Chọn mẫu các phiên bản ghi nhận lại để xem xét các sự cố được báo cáo lên, được phê duyệt xử lý và đã được xử lý.

Sai phạm tiềm tàng: Nguy cơ mất dữ liệu do thảm họa, thiên tai và các yếu tố khác

tác động. Thủ tục kiểm soát

- Thiết lập lịch trình sao lưu dữ liệu thường xuyên và định kỳ.

vệ phù hợp.

- Phân chia trách nhiệm, hạn chế người có thực hiện cơng việc sao lưu và có khả năng tiếp cận các phương tiện lưu trữ này.

- Kiểm tra định kỳ các phương tiện lưu trữ để đảm bảo nó an tồn và đầy đủ.

- Giám sát, kiểm tra lại các phương tiện lưu trữ tránh trường hợp quá trình sao lưu thực hiện thất bại hoặc không đầy đủ.

- Thiết lập quy trình phục hồi dữ liệu khi có sự cố xảy ra.

Thử nghiệm kiểm soát

- Kiểm tra lịch trình sao lưu về thời gian thực hiện và cách thức thực hiện.

- Phỏng vấn nơi cất giữ các phương tiện lưu trữ.

- Quan sát các phương tiện lưu trữ này có được cất giữ nơi an tồn, nơi này có cài đặt các hệ thống, phương tiện để hạn chế người truy cập không được phê duyệt.

- Kiểm tra các văn bản liên quan đến việc sao lưu và quy trình xử lý khơi phục dữ liệu khi có thảm họa xảy ra.

- Kiểm tra danh sách những người được phép thực hiện sao lưu, cất giữ và phục hồi dữ liệu

Nguồn: Tác giả tổng hợp từ tài liệu kiểm toán HTTT tại KPMG.[8]

Thông qua những hiểu biết về các hoạt động của các kiểm soát được cài đặt

trong HTTT liên quan đến vấn đề này, KTV sẽ tiến hành đánh giá và thiết kế các thử nghiệm kiểm soát để đảm bảo các kiểm soát được thiết kế, cài đặt và hoạt động có hiệu quả đảm bảo hoạt động vận hành của hệ thống và việc kiểm soát dữ liệu của khách hàng hiệu quả.

Các thử nghiệm kiểm soát trong phần này tập trung vào hai vấn đề chính của hệ thống liên quan đến hoạt động vận hành của máy tính và kiểm sốt dữ liệu: Các thủ tục quản lý sự cố có thể xảy ra và sao lưu, phục hồi dữ liệu.

Với mục tiêu là xem xét khách hàng có các kiểm sốt để đảm bảo các vấn đề, sự cố có khả năng tác động đến báo cáo tài chính được xem xét và giải quyết một

cách kịp thời.

(Xem minh họa thực tế về việc thực hiện các thử nghiệm kiểm soát liên quan

đến các thủ tục quản lý sự cố trong Bảng 3.17 tại Phụ lục 7)

Sao lưu và phục hồi dữ liệu:

Dữ liệu trên hệ thống thông tin là rất quan trọng. Việc sao lưu và phục hồi dữ liệu có ý nghĩa sống cịn cho hệ thống thơng tin làm việc ổn định. Với những hiểu biết về hoạt động của các kiểm soát, KTV đánh giá và thiết kế các thử nghiệm kiểm soát để thu thập bằng chứng đánh giá việc thiết kế, cài đặt và hoạt động hữu hiệu của các thủ tục kiểm soát liên quan đến quá trình sao lưu và phục hồi dữ liệu.

(Xem minh họa thực tế về việc thực hiện các thử nghiệm kiểm soát liên quan

đến sao lưu và thủ tục phục hồi dữ liệu trong Bảng 3.18 tại Phụ lục 8)

Kết luận:

Từ những bằng chứng thu được từ các thử nghiệm kiểm soát trên, kiểm toán

viên đánh giá và đưa ra kết luận về hiệu quả của các thủ tục kiểm soát được cài đặt trong hệ thống thông tin liên quan đến phần này.

3.2.3. Hồn thành kiểm tốn:

3.2.3.1. Tổng hợp lại kết quả của tồn bộ q trình kiểm tốn và phát hành báo cáo kiểm toán:

Sau khi thực hiện đầy đủ các giai đoạn trên bao gồm việc tìm hiểu về hoạt động của các kiểm soát và thực hiện các thử nghiệm kiểm soát để thu thập bằng chứng cho việc thiết kế, cài đặt và hoạt động hữu hiệu của các thủ tục kiểm soát. KTV tiến hành tổng hợp lại kết quả của tồn bộ q trình kiểm tốn như sau:

- Rà soát lại những thử nghiệm kiểm soát đã thực hiện đã cung cấp bằng chứng đầy đủ và hợp lý đáp ứng được những mục tiêu kiểm toán đặt ra.

- Xem xét lại tính tin cậy của những bằng chứng thu thập được.

- Tổng hợp lại toàn bộ kết quả theo từng vấn đề của HTTT kế toán và phát hành kết luận cho báo cáo gồm:

• Việc phát triển chương trình. • Việc thay đổi chương trình.

• Hoạt động vận hành của máy tính và kiểm sốt dữ liệu.

3.2.3.2. Phát hành thư quản lý:

Kết thúc q trình kiểm tốn, kiểm tốn viên HTTT kế tốn sẽ tóm tắt những phát hiện trọng yếu mà KTV đã ghi nhận được trong q trình kiểm tốn để phát hành thư quản lý. Bao gồm:

- Những phát hiện trọng yếu mà KTV gặp phải trong q trình kiểm tốn cho

Một phần của tài liệu Luận văn thạc sĩ UEH vận dụng quy trình kiểm toán hệ thống thông tin kế toán tại công ty kiểm toán KPMG hỗ trợ kiểm toán báo cáo tài chính cho các doanh nghiệp kiểm toán việt nam (Trang 86)

(111 trang)