3.2. Vận dụng quy trình kiểm toán hệ thống thông tin kế toán của
3.2.1. Giai đoạn lập kế hoạch:
Đây là giai đoạn quan trọng trong quá trình kiểm tốn, nó cung cấp cho kiểm tốn viên những cơ sở ban đầu cho việc thiết kế và hình dung được khối lượng và những công việc cần thực hiện trong quá trình kiểm tốn. Những cơng việc kiểm tốn viên thường thực hiện trong giai đoạn này đó là:
- Hiểu biết về HTTT và các kiểm soát HTTT của DN.
- Đánh giá sơ bộ về rủi ro kiểm soát, xác định sai phạm tiềm tàng, các thủ tục
kiểm soát liên quan.
- Lập kế hoạch kiểm tốn tồn hệ thống.
3.2.1.1. Hiểu biết tổng quan về hệ thống thơng tin và các kiểm sốt hệ thống thơng tin của doanh nghiệp:
Việc tìm hiểu khách hàng và đánh giá hệ thống kiểm soát nội bộ là cần thiết đối với hầu hết tất cả các cuộc kiểm toán. Điều này giúp KTV hoạch định các thủ tục kiểm toán phù hợp với đặc điểm HTTT của đơn vị, xác định được những khu vực có rủi ro cao. Từ đó, kiểm tốn viên có thể xây dựng và thực hiện kế hoạch, chương trình kiểm tốn một cách hữu hiệu.
a. Tìm hiểu tổng qua về HTTT kế toán của doanh nghiệp:
Đối với việc tìm hiểu tổng quan về HTTT kế tốn, phương pháp tiến hành đó là: thu thập và nghiên cứu tài liệu về HTTT kế toán của đơn vị, quan sát hệ thống của đơn vị, phỏng vấn cán bộ chủ chốt doanh nghiệp và bộ phận CNTT. Qua đó, kiểm tốn viên đạt được những hiểu biết nhất định về HTTT kế toán của khách hàng trên các phương diện:
Hiểu biết về cấu trúc HTTT kế tốn của khách hàng: HTTT kế tốn gồm có
các hệ thống con và chương trình ứng dụng nào, chương trình hệ thống bao gồm bao nhiêu phần hành, HTTT chịu trách nhiệm quản lý bởi bộ phận nào, bộ phận quản lý được cài đặt tại chi nhánh Việt Nam hay do công ty mẹ ở nước ngoài quản lý (đối với chi nhánh cơng ty nước ngồi),…
Hiểu biết về cơ cấu tổ chức của bộ phận CNTT hiện tại của khách hàng:
bao gồm việc tìm hiểu chức năng và quyền hạn của bộ phận này, tổng số nhân viên cũng như chức năng của từng thành viên trong bộ phận.
Xác định những chương trình, phần mềm hệ thống quan trọng: Đây là những phần mềm hệ thống có ảnh hưởng đến hoạt động tài chính kế tốn cũng như đến BCTC của khách hàng. Do đó, KTV cần thiết phải xác định được những chương trình ứng dụng này để thiết kế thủ tục kiểm tốn thích hợp và tiết kiệm thời gian thực hiện kiểm toán. Đây là bước rất quan trọng trong quá trình tìm hiểu tổng quan về HTTT của doanh nghiệp. Nó giúp KTV tập trung kiểm tra những phần quan trọng và có ảnh hưởng đến BCTC nhiều nhất, làm tăng hiệu quả công việc.
b. Hiểu biết về hệ thống kiểm sốt hệ thống thơng tin của đơn vị được
kiểm toán:
Hệ thống kiểm soát nội bộ liên quan đến HTTT trong doanh nghiệp bao gồm các thủ tục kiểm soát được thiết kế và cài đặt nhằm ngăn ngừa và phát hiện các sai phạm, rủi ro và gian lận liên quan đến hệ thống trong doanh nghiệp. Thông thường các thủ tục kiểm soát trong doanh nghiệp thường tập trung kiểm soát các vấn đề tài chính liên quan đến hệ thống như sau:
Thủ tục kiểm sốt hệ thống thơng tin Thay đổi chương trình Truy cập vào các chương trình và dữ liệu Phát triển chương trình, hệ thống mới Hoạt động vận hành của máy tính và kiểm sốt dữ liệu
Chính sách bảo mật & nhận thức người dùng Truy cập vào phòng chứa máy chủ
Truy cập quản trị Nhận dạng và xác thực
Giám sát
Kiểm tra và phê duyệt sự thay đổi Đưa chương trình mới vào sử dụng
Kiểm tra, phê duyệt việc triển khai
Di chuyển dữ liệu vào chương trình mới
Sao lưu và các thủ tục phục hồi dữ liệu
Các sự cố và thủ tục quản lý vấn đề
Hình 3.2 Sơ đồ tóm tắt các thủ tục kiểm tốn HTTT trong doanh nghiệp có sử dụng máy tính.
Nguồn: Tài liệu kiểm tốn tại KPMG Việt Nam [8]
KTV cần tìm hiểu về các thủ tục kiểm soát được cài đặt trong doanh nghiệp để có cơ sở đánh giá rủi ro tiềm tàng và rủi ro kiểm sốt thích hợp. Từ đó, nó giúp
KTV xác định được nội dung và phạm vi của các thủ tục kiểm toán cần thực hiện.
3.2.1.2. Đánh giá sơ bộ về rủi ro kiểm soát:
Sau khi thực hiện tìm hiểu tống quát về HTTT và hệ thống kiểm toán nội bộ của doanh nghiệp, KTV xác định những sai phạm tiềm tàng có thể xảy ra trong hệ
thống, từ đó xác định rủi ro kiểm sốt có thể xảy ta để lên kế hoạch kiểm toán cho
phù hợp.
- Các ứng dụng hoặc chương trình trên hệ thống có thể xử lý dữ liệu khơng
chính xác hoặc dữ liệu sau khi xử lý khơng chính xác hoặc cả hai trường hợp trên. - Nhân viên truy cập trái phép vào dữ liệu có thể dẫn đến nguy cơ phá hủy dữ liệu hoặc dữ liệu bị thay đổi, bao gồm thực hiện các giao dịch trái phép hoặc giao dịch khơng có thực, hoặc thực hiện khơng chính xác các giao dịch, thực hiện các hoạt động gây ảnh hưởng đến HTTT.
- Khả năng nhân viên CNTT có quyền truy cập vượt quá quyền hạn được phân định để thực hiện nhiệm vụ được giao, qua đó phá bỏ sự phân chia trách nhiệm.
- Khả năng nhân viên thay đổi dữ liệu trái phép trong tổng thể các tập tin. - Khả năng nhân viên thay đổi trái phép hệ thống hoặc các chương trình. - Các nhân viên CNTT không thực hiện những thay đổi cần thiết cho hệ thống hoặc các chương trình khi được yêu cầu.
- Nhân viên CNTT tự ý thực hiện các can thiệp vào HTTT khi chưa được yêu cầu hoặc phê duyệt.
- Dữ liệu có khả năng bị mất hoặc không thể truy cập được dữ liệu cần sử dụng.
b. Lên kế hoạch kiểm toán:
Sau khi thực hiện xong giai đoạn này, KTV lên kế hoạch kiểm tốn tồn hệ thống, tập trung kiểm tra những chương trình, phần mềm ứng dụng có liên quan mật thiết đến quá trình lập BCTC. KTV lập kế hoạch để đảm bảo cuộc kiểm toán đúng thời hạn, phát hiện được những gian lận, rủi ro.
Khi lên kế hoạch kiểm toán, kiểm toán viên cần chú ý những vấn đề sau: - Chi phí và thời gian thực hiện.
- Mức độ của thông tin được yêu cầu để thu thập bằng chứng kiểm tốn có ở trong trạng thái sẵn sàng đáp ứng.
- Sự sẵn lòng của ban quản lý đơn vị được kiểm tốn.
Trong q trình thực hiện tìm hiểu về HTTT kế toán của đơn vị được kiểm toán, nếu KTV nhận thấy rằng có một số hoạt động liên quan đến hệ thống mà doanh nghiệp không thực hiện trong niên độ, ví dụ như trong niên độ, doanh nghiệp khơng thực hiện thay đổi bất cứ chương trình ứng dụng nào thì KTV khơng cần phải
thực hiện kiểm toán hoạt động này, tuy nhiên vì yêu cầu thận trọng nghề nghệp, KTV vẫn phải tìm hiểu và ghi chép lại để đảm bảo rằng hoạt động này thực sự khơng có phát sinh trong niên độ kiểm tốn.