Giai đoạn thực hiện kiểm toán:

Một phần của tài liệu Luận văn thạc sĩ UEH vận dụng quy trình kiểm toán hệ thống thông tin kế toán tại công ty kiểm toán KPMG hỗ trợ kiểm toán báo cáo tài chính cho các doanh nghiệp kiểm toán việt nam (Trang 77 - 93)

3.2. Vận dụng quy trình kiểm toán hệ thống thông tin kế toán của

3.2.2. Giai đoạn thực hiện kiểm toán:

Trong q trình thực hiện kiểm tốn, KTV thường sử dụng các phương pháp chủ yếu là: phỏng vấn các nhà quản lý, quan sát hệ thống thực hiện, kiểm tra các loại tài liệu và sổ sách, quan sát các hoạt động kiểm soát và vận hành của chúng trong thực tiễn, … để thu thập được bằng chứng kiểm toán đầy đủ và thích hợp.

KTV chỉ kiểm tra hiệu quả hoạt động của các kiểm sốt HTTT, nếu nó có ảnh hưởng đến quá trình xử lý số liệu trên BCTC của doanh nghiệp trong kỳ. Ví dụ, nếu doanh nghiệp khơng có phát triển hệ thống hoặc chương trình mới diễn ra trong giai đoạn thực hiện kiểm tốn, KTV khơng bắt buộc phải hoàn thành phần này của hệ thống kiểm sốt HTTT.

Vì kiểm tốn hệ thống thơng tin là một lĩnh vực khá mới mẻ, do đó để tiện cho người đọc trong quá trình theo dõi, đề tài xin trình bày một quy trình nhỏ riêng bao gồm các bước tìm hiểu, thực hiện các thử nghiệm kiểm soát và đưa ra kết luận cho mỗi một hoạt động chính của hệ thống như sau:

- Hoạt động truy cập vào các chương trình và dữ liệu. - Việc thay đổi chương trình.

- Việc phát triển hệ thống, chương trình mới.

- Hoạt động vận hành của máy tính và kiểm sốt dữ liệu.

3.2.2.1. Truy cập vào các chương trình và dữ liệu:

a. Tìm hiểu việc thiết kế và cài đặt các kiểm soát liên quan đến truy cập

vào các chương trình và dữ liệu:

Việc tìm hiểu các hoạt động liên quan đến việc truy cập vào các chương trình và dữ liệu có thể giúp KTV nắm và xác định được các thủ tục kiểm soát liên quan được cài đặt. KTV tiến hành việc thu thập và tìm hiểu các văn bản, tài liệu của khách hàng liên quan đến HTTT, phỏng vấn người quản lý và các nhân viên có liên quan, quan sát q trình hoạt động của HTTT, … để có được sự hiểu biết về hoạt động của các thành phần sau:

Hình 3.3 Các kiểm soát liên quan đến truy cập vào các chương trình và dữ liệu

Các văn bản hướng dẫn sử dụng, nội quy liên quan đến HTTT và nhận thức

của nhân viên về các văn bản này: Việc tìm hiểu bao gồm 2 vấn đề chính đó là sự

tồn tại trong doanh nghiệp của các chính sách, văn bản do cơng ty ban hành và mức

độ phổ biến, nhận thức của nhân viên trong công ty về các văn bản này.

Việc truy cập vào phòng chứa máy chủ: KTV tìm hiểu phòng chứa máy chủ

được cài đặt ở đâu, do bộ phận nào chịu trách nhiệm quản lý, giới hạn người được

phép truy cập vào phòng này được tổ chức ra sao, hình thức truy cập vào phòng

máy chủ: dùng thẻ từ, dùng mật khẩu, hay dùng vân tay,…

Việc truy cập quản trị: KTV tìm hiểu quy trình để thành lập một tài khoản mới,

hủy bỏ một tài khoản đang sử dụng và thay đổi một số quyền truy cập cho nhân viên đang sử dụng phải theo thứ tự các bước, có sự xét duyệt của những bộ phần nào, ai là người chịu trách nhiệm thực hiện,…

Quá trình nhận dạng và xác thực: KTV xem xét có các kiểm soát như nhập

userID và mật mã khi muốn đăng nhập vào HTTT và độ phức tạp của mật mã có bảo đảm an tồn và khó bị đánh cắp.

Giám sát: Việc giám sát có được cài đặt, và nếu có thì thời gian bao lâu thực hiện một lần và do ai chịu trách nhiệm thực hiện việc giám sát,… là những vấn đề mà KTV quan tâm trong phần này.

(Xem minh họa thực tế về việc tìm hiểu các kiểm sốt liên quan đến truy cập vào các chương trình và dữ liệu trong Bảng 3.11 tại Phụ lục 1)

Thông qua những hiểu biết của KTV về hoạt động liên quan đến quyền truy

cập vào HTTT kế toán, KTV cần đánh giá và thực hiện các thử nghiệm kiểm soát để kiểm tra rằng những kiểm soát này đang tồn tại và hoạt động hiệu quả trong HTTT của khách hàng.

Để dễ theo dõi q trình thực hiện kiểm tốn, người viết xin trình bày quá trình thực hiện này theo các giai đoạn sau:

- Xác định các sai phạm tiềm tàng.

- Tìm hiểu về các thủ tục kiểm sốt được cài đặt để kiểm soát mỗi hoạt động. - Thiết kế và thực hiện những thử nghiệm kiểm soát được hiện để đánh giá sự tồn tại và hữu hiệu của các kiểm soát này, cuối cùng xin đưa ra kết luận sau khu thực hiện các thử nghiệm cho mỗi riêng một kiểm soát.

Các thủ tục được thực hiện trong hoạt động truy cập vào chương trình và dữ liệu của hệ thống được tổng hợp trong Bảng 3.2.

Bảng 3.2 Bảng tóm tắt các sai phạm tiềm tàng, thủ tục kiểm soát chủ yếu, thử nghiệm kiểm sốt- truy cập vào các chương trình và dữ liệu.

Sai phạm tiềm tàng: Nhân viên khơng có hiểu biết về vận hành chương trình, thực

hiện khơng đúng khi sử dụng hệ thống.

Thủ tục kiểm soát

- Ban hành các văn bản về vận hành các chương trình ứng dụng để hướng dẫn cho nhân viên.

- Phổ biến rộng rãi các văn bản này trong toàn thể cơng ty.

- Định kỳ tổ chức các chương trình đào tạo nhân viên kiến thức và kỹ năng sử dụng hệ thống.

Thử nghiệm kiểm soát

- Kiểm tra các văn bản liên quan, các thành phần quy định trong các văn bản, và biên bản, danh sách các nhân viên tham gia vào các chương trình đào tạo về HTTT trong doanh nghiệp.

- Phỏng vấn để biết các chương trình đào tạo có được tổ chức định kỳ, mức độ nhận thức của nhân viên về các văn bản này.

Sai phạm tiềm tàng: Nhân viên truy cập trái phép vào phịng chứa máy chủ dẫn

Thủ tục kiểm sốt

- Hệ thống máy chủ được lưu giữ ở một vị trí an tồn, riêng biệt. - Hạn chế số người có khả năng truy cập vào nơi này.

- Thiết kế, cài đặt các phương tiện đảm bảo an toàn ra vào như: máy quét thẻ từ, nhận dạng vân tay, nhận dạng khuôn mặt, …

- Cài đặt chương trình ghi nhận thơng tin về các lần truy cập vào máy chủ.

Thử nghiệm kiểm soát

- Phỏng vấn việc hệ thống máy chủ lắp đặt ở đâu, những yêu cầu cần thiết khi muốn ra vào nơi này.

- Quan sát nơi lưu giữ có tách biệt, có cài đặt các phương tiện bảo vệ an toàn, quan sát cách thức ra vào nơi này của người được phép truy cập.

- Kiểm tra danh mục những người được phép truy cập có được phê duyệt.

- Kiểm tra một số mẫu in theo dõi từ hệ thống, đảm bảo những người đã truy cập là những người được phép ra vào.

Sai phạm tiềm tàng: Thực hiện trái phép việc thành lập, xóa bỏ, thay đổi quyền hạn truy cập của tài khoản sử dụng trên hệ thống.

Thủ tục kiểm soát

- Thiết kế quy trình chung các bước để thành lập, xóa bỏ, thay đổi một tài khoản.

- Tất cả các yêu cầu thành lập, xóa bỏ, thay đổi tài khoản phải được sự phê duyệt và chấp thuận.

- Hạn chế số người có khả năng trực tiếp thực hiện việc này trong doanh nghiệp.

Thử nghiệm kiểm soát

- Phỏng vấn quy trình các bước thành lập, xóa, thay đổi quyền truy cập của một tài khoản.

-Chọn mẫu trường hợp mở, xóa, thay đổi tài khoản để kiểm tra có thực hiện theo quy trình quy định, có được phê duyệt.

được phê duyệt.

Sai phạm tiềm tàng: Nhân viên truy cập trái phép, khơng thích hợp vào các

chương trình ứng dụng.

Thủ tục kiểm soát

- Thiết lập việc truy cập địi hỏi phải có User Name và Password. - Quy định chính sách mật khẩu (Password Policies): Password phải phức tạp (Complexity), có chiều dài nhiều (password length), khó đốn, có cả chữ hoa, chữ thường, số và ký tự đặc biệt.

- Quy định thời gian thay đổi password bao lâu một lần: qui định thời gian tồn tại tối thiểu của mật khẩu (Minimum Password Age) và thời gian tối đa cần phải đổi mật khẩu (Maximum Password Age)

Thử nghiệm kiểm soát

- Phỏng vấn việc sử dụng các kiểm soát để đảm bảo việc truy cập vào hệ thống thích hợp.

- Quan sát q trình nhân viên đăng nhập vào hệ thống.

- Kiểm tra các quy định về độ phức tạp, chiều dài mật khẩu, thời gian thay đổi password.

Sai phạm tiềm tàng: Hệ thống khơng kiểm sốt được việc truy cập của người sử dụng.

Thủ tục kiểm soát

- Thực hiện việc giám sát, kiểm tra lại định kỳ các quyền truy cập. - Phân chia trách nhiệm người có thẩm quyền thực hiện việc giám sát.

- Quá trình kiểm tra lại phải được sự phê duyệt.

Thử nghiệm kiểm soát

- Phỏng vấn quá trình thực hiện kiểm sốt lại, ai là người có thẩm quyền thực hiện, bao lâu thực hiện một lần.

- Kiểm tra các văn bản có được phê duyệt.

- Chọn mẫu một số biên bản của các đợt thực hiện giám sát để kiểm tra sự phê duyệt.

Đi sâu vào quá trình thực hiện các thử nghiệm kiểm soát, đề tài nghiên cứu chi

tiết hơn về q trình thực hiện các thử nghiệm kiểm sốt cho mỗi thủ tục kiểm soát liên quan đến hoạt động truy cập vào chương trình, dữ liệu như: Chính sách bảo mật thông tin và nhận thức người dùng; Truy cập vào phòng chứa máy chủ; Truy cập quản trị; Nhận dạng và xác thực; Giám sát.

Trong giai đoạn thực hiện các thử nghiệm kiểm soát, kiểm toán viên sẽ sử dụng các phương pháp kỹ thuật kiểm toán khác nhau để thu thập bằng chứng kiểm toán phục vụ cho hai mục tiêu kiểm toán sau:

- Các thủ tục kiểm soát liên quan được doanh nghiệp thiết kế và cài đặt trong hệ thống, hay chính là kiểm tra sự tồn tại của các kiểm soát trong hệ thống thông tin của doanh nghiệp.

- Kiểm tra các kiểm sốt này hoạt động có hữu hiệu hay khơng, có đảm bảo ngăn ngừa được rủi ro và các sai phạm trọng yếu có khả năng xảy ra hay không.

Trong trường hợp KTV đánh giá sơ bộ ban đầu rủi ro kiểm sốt khơng cao, KTV có thể chỉ thực hiện các thử nghiệm kiểm soát để đánh giá việc tồn tại của một số thủ tục kiểm soát liên quan được thiết kế và cài đặt. Ngồi ra, KTV có thể quyết định khơng thực hiện các thử nghiệm kiểm sốt để thu thập bằng chứng về tính hiệu quả của các thủ tục kiểm soát nội bộ HTTT của đơn vị được kiểm toán.

Các thử nghiệm kiểm soát chi tiết mà kiểm tốn viên sẽ thực hiện:

Chính sách bảo mật thông tin và nhận thức người dùng:

Thủ tục thứ nhất là, Phỏng vấn các cấp quản lý liên quan để biết được các văn

bản này có được cập nhật hàng năm, trong năm có bao nhiêu chương trình đào tạo, phổ biến các chính sách, văn bản này cho nhân viên, đối tượng tham gia các khóa đào tạo này có mở rộng cho tồn nhân viên.

Thủ tục thứ hai là, Kiểm tra các tài liệu, văn bản mới nhất hướng dẫn liên

quan đến HTTT của khách hàng, xem xét trong những văn bản có quy định tương

xứng như những gì KTV đã tìm hiểu trước đó, kiểm tra danh sách những nhân viên tham gia khóa đào tạo để đảm bảo nhân viên có được nhận thức về việc bảo mật khi truy cập hệ thống và dữ liệu.

Bảng 3.3 Minh họa về thực hiện thử nghiệm kiểm soát đối với mục tiêu chính

sách bảo mật thơng tin và nhận thức người dùng.

Kiểm sốt

1 Chính sách bảo mật thông tin tồn tại, phù hợp và phổ biến cho tất cả người sử dụng.

Thủ tục đánh giá việc thiết kế và thực hiện Kết luận

Ngày 16/02/2009, KPMG phỏng vấn ông Phan Hùng- Trưởng phòng CNTT và biết được rằng các chính sách và văn bản liên quan đến bảo mật thơng tin và chương trình đào tạo do Hội Sở phát hành cho toàn hệ thống định kỳ mỗi năm 1 lần.

KPMG kiểm tra phiên bản mới nhất của chính sách bảo mật thơng tin và được biết rằng nó đã được bao quát đầy đủ các hoạt động liên quan đến HTTT của Ngân hàng. Các chủ đề chính của các chính sách như sau:

Những quy định chung. Quản lý phòng chứa máy chủ.

Quản lý văn phịng khác ngồi phịng chứa máy chủ.

Quản lý việc phát triển dự án hệ thống mới.

Chức năng của việc quản lý an ninh của Hệ thống thơng tin.

Quản lý các chương trình ứng dụng.

Quản lý mạng nội bộ.

Quản lý các sự cố an ninh thông tin.

Quản lý hoạt động của HTTT.

KMPG kiểm tra danh sách các nhân viên tham gia chương trình đào tạo hàng năm về chính sách bảo mật thông tin cho nhân viên tổ chức ngày 15 và 16 tháng 12/2008 (chỉ có một chương trình đào tạo trong năm) và xác nhận rằng 68 trong số 70 nhân viên và tất cả 6 người trong đội ngũ quản lý chi nhánh tại TP Hồ Chí Minh có tham

gia chương trình đào tạo.

Thủ tục kiểm tra hoạt động hiệu quả của các kiểm soát được

cài đặt. Kết quả

Các thử nghiệm kiểm tra việc thiết kế và cài đặt các kiểm soát trong HTTT đã cung cấp bằng chứng cho tính hiệu quả của các thủ tục kiểm soát trên.

Hiệu quả

Nguồn: Hồ sơ kiểm toán HTTT tại KPMG. [8]

Truy cập phòng chứa máy chủ:

Bảng 3.4 Các thủ tục liên quan đến việc truy cập phòng chứa máy chủ

Thủ tục Nội dung

Thủ tục thứ nhất

Phỏng vấn cấp quản lý và nhân viên liên quan để nắm được hệ

thống máy chủ có được đặt ở vị trí riêng biệt và an toàn, việc truy cập vào địa điểm đặt hệ thống máy chủ có hạn chế số người tiếp

cận, có những hệ thống bảo vệ nào được cài đặt để đảm bảo không bị xâm nhập trái phép.

Thủ tục thứ hai

Quan sát vị trí của phịng chứa máy chủ của ngân hàng để xác minh rằng nó được tách ra khỏi khu vực hoạt động có khả năng dễ bị xâm nhập và có cài đặt biện pháp bảo vệ hạn chế sự tiếp cận từ bên

ngoài.

Thủ tục thứ ba

Kiểm tra lại danh mục những người được phép ra vào để kiểm tra

hoặc thay đổi trên hệ thống máy chủ, xem xét danh sách này đã được phê duyệt bởi những người có thẩm quyền.

Thủ tục thứ

Quan sát để kiểm tra có phải chỉ những người trong danh sách mới

có thể tiếp cận được phòng chứa máy chủ.

Thủ tục thứ năm

Kiểm tra các mẫu in từ hệ thống ghi chép lại các lần truy cập vào cửa phòng máy chứ máy chủ để kiểm tra những người có tên trong danh sách này có nằm trong số những người được phép truy cập vào phòng chứa máy chủ.

Thủ tục thứ sáu

Kiểm tra các mẫu in từ hệ thống để kiểm tra những người đăng nhập vào máy chủ là những người nằm trong danh sách đã được phê duyệt.

Thủ tục thứ bảy

Chọn một số nhân viên không nằm trong danh sách được ủy quyền và nhờ họ truy cập vào phòng chứa máy chủ, quan sát xem họ có thể tiếp cận được vào phịng chứa máy chủ,…

(Xem minh họa thực tế về thực hiện thử nghiệm kiểm soát đối với thủ tục kiểm

soát việc truy cập hệ thống máy chủ trong Bảng 3.12 tại Phụ lục 2)

Hoạt động truy cập quản trị:

Nhằm xác định xem liệu khách hàng đã thiết lập các thủ tục để các tài khoản

người dùng được thêm vào, sửa đổi và xóa một cách kịp thời để giảm nguy cơ truy cập trái phép hoặc không phù hợp vào các hệ thống của tổ chức có liên quan đến báo cáo tài chính.

KTV tiến hành các thử nghiệm kiểm soát để thu thập bằng chứng về việc thiết kế và cài đặt các thủ tục kiểm sốt có liên quan:

Bảng 3.5 Thủ tục kiểm sốt truy cập phịng quản trị

Thủ tục Nội dung

Thủ tục thứ nhất

Phỏng vấn cấp quản lý và các nhân viên có liên quan về quy trình để tiến hàng mở, xóa hoặc thêm bớt quyền truy cập cho một tài khoản.

Một phần của tài liệu Luận văn thạc sĩ UEH vận dụng quy trình kiểm toán hệ thống thông tin kế toán tại công ty kiểm toán KPMG hỗ trợ kiểm toán báo cáo tài chính cho các doanh nghiệp kiểm toán việt nam (Trang 77 - 93)

(111 trang)