PHẦN II: NỘI DUNG VÀ KẾT QUẢ NGHIÊN CỨU
CHƯƠNG 3: MỘT SỐ BIỆN PHÁP GÓP PHẦN HOÀN THIỆN CÔNG TÁC LẬP KẾ HOẠCH KIỂM TOÁN TRONG KIỂM TOÁN BCTC TẠI CÔNG TY
3.2. Một số biện pháp góp phần hoàn thiện công tác lập kế hoạch kiểm toán trong kiểm toán BCTC tại công ty TNHH Kiểm toán & Kế toán AAC
3.2.6. Đánh giá hệ thống KSNB trong môi trường tin học
Như đã đề cập trong phần hạn chế, AAC chưa chú trọng đến việc đánh giá hệ thống KSNB trong môi trường tin học. Do đó, công ty nên có hướng giải quyết để khắc phục nhược điểm đó như phải tăng cường trìnhđộ về hệ thống thông tin cho các KTV thông qua việc tổ chức các khóa học, đồng thời xây dựng nên một bảng câu hỏi riêng để đánh giá hệ thống KSNB trong môi tường tin học.
Trường Đại học Kinh tế Huế
Khóa luận tốt nghiệp GVHD: ThS. Nguyễn Trà Ngân Do những hạn chế nhất định về mặt kiến thức của những vấn đề liên quan đến môi trường tin học, dựa trên những tài liệu tìm hiểu được, tôi xin đưa ra bảng câu hỏi tìm hiểu và đánh giá sơ bộ hệ thống KSNB áp dụng trong môi trường tin học, bao gồm bảng câu hỏi đánh giá hoạt động kiểm soát chung và bảng câu hỏi đánh giá hoạt động kiểm soát ứng dụng.
- Thứ nhất, đối với bảng câu hỏi đánh giá hoạt động kiểm soát chung: Hoạt động kiểm soát chung là hoạt động kiểm soát được xây dựng để áp dụng cho tất cả các phần hành của môi trường tin học. Sự hữu hiệu của hoạt động kiểm soát chung là tiền đề cho sự tồn tại của hoạt động kiểm soát ứng dụng, bởi những yếu kém trong kiểm soát chung sẽ làm mất tác dụng của những thủ tục kiểm soát trong kiểm soát ứng dụng.
Khi xây dựng bảng câu hỏi liên quan đến hoạt động này KTV nên đánh giá hoạt động kiểm soát theo từng tiến trìnhđể có cái nhìn rõ ràng hơn, cụ thể hơn, bao gồm05 tiến trình sau:
Thiết lập và phát triển các chương trình và hệ thống
Thay đổi các chương trình và hệ thống hiện hữu
Truy cập chương trình và dữ liệu
Các hoạt động vận hành máy tính và kiểm soát dữ liệu
Các hoạt động kiểm soát vật chất
Ở mỗi tiến trình, các câu hỏi được xây dựng cần xoay quanh các vấn đề liên quan đến tiến trìnhđó, cũng như cần khái quát lên được hoạt động kiểm soát chung của đơn vị.
Ví dụ, đối với tiến trình thiết lập và phát triển các chương trình và hệ thống, KTV cần xem xét việc thiết lập này xuất phát từ đâu, phục vụ cho nhu cầu của ai, có tài liệu hướng dẫn hay không… Hay như tiến trình truy cập chương trình và dữ liệu thì việc có hay không việc xảy ra hiện tượng mất mát, thiệt hại, sửa chữa hay truy cập trái phép dữ liệu, tập tin, chương trình… là một vấn đề cần được quan tâm. Dưới đây là bảng câu hỏi đánh giá hoạt động kiểm soát chung được xây dựng cho từng tiến trình một.
Trường Đại học Kinh tế Huế
Khóa luận tốt nghiệp GVHD: ThS. Nguyễn Trà Ngân Bảng 3.4- Câu hỏi đánh giá hoạt động kiểm soát chung
Câu hỏi Mức điểm
-1 0 1
Thiết lập và phát triển các chương trình và hệ thống
1. Chương trình kế toán đang sử dụng tại đơn vị có đáp ứng nhu cầu của người sử dụng hay không?
2. Có thực hiện các thử nghiệm thích hợp trước khi ứng dụng chương trình?
3. Có xây dựng các tài liệu hệ thống (gồm tài liệu quản trị, tài liệu ứng dụng, tài liệu vận hành hệ thống) hay không?
Thay đổi các chương trình và hệ thống hiện hữu
1. Các đề nghị thay đổi có được trình bày trong báo cáođề nghị thay đổi chương trình không?
2. Những thay đổi có được cấptrên phê duyệt hay không?
3. Mọi thay đổi được đề nghị có được xem xét thích hợp trước khi phê duyệt không?
4. Sau khi điều chỉnh, những thay đổi có được thử nghiệm trước khi đưa vào sử dụng chính thức không?
5. Lý do và các nội dung đã thay đổi có được lưu trữ trong tài liệu không?
Truy cập chương trình và dữ liệu
1. Có thực hiện phân quyền cho người dùng quyền truy cập –sử dụng hệ thống và quyền truy cập dữ liệu không?
2. Những người dùng được cấp quyền truy cập hệ thống có tương thích với chức năng và nhiệm vụ của mình không?
3. Có sử dụng mật khẩu hay các chương trình nhận dạng khác để kiểm soát việc truy cập hệ thống hay không?
4. Có kiểm soát mật khẩu nhằm bảo đảm chúng được bảo mật và luôn được thay đổi định kỳkhông?
5. Danh sách người được phép sử dụng có được cập nhập thường xuyên không?
6. Những hoạt động kiểm soát việc chuyển dữ liệu qua các thiết
Trường Đại học Kinh tế Huế
Khóa luận tốt nghiệp GVHD: ThS. Nguyễn Trà Ngân dụng kỹ thuật thông tin phản hồi, sử dụng đường truyền riêng)
có được thiết lập không?
7. Lập trình viên có bị hạn chế truy cập vào những chương trình ứng dụng và các tập tin dữ liệu hiện đang sử dụng hay không?
8. Có xây dựng thư viện dữ liệu nhằm đảm bảo các lập trình viên không sử dụng các tập tin dữ liệu và những chương trình hiện đang sử dụng hay không?
9. Các nhân viên vận hành máy tính có bị hạn chế truy cập vào những chương trình nguồn hay không?
10. Có kiểm soát chặt chẽ các chương trình tiện ích có khả năng thay đổi dữliệu mà không để lại dấu vết kiểm toán không?
11. Hệ điều hành máy tính có được lập trình để theo dõi mọi trường hợp truy cập không đũng tên người được sử dụng và nhập sai mật khẩu?
12. Có thiết kế chương trình có khả năng ghi nhận tất cả các hoạt động của chương trìnhđang vận hành để người quản lý kiểm tra hay không?
Các hoạt động vận hành máy tính và kiểm soát dữ liệu
1. Nhân viên vận hành có được truy cập vào các tài liệu chi tiết về chương trình vận hành không?
2. Việc quy định các bước công việc và giám sát có được thực hiện chặt chẽ để kiểm soát khả năng sửa đổi trái phép chương trình không?
3. Việc rà soát nhật ký vận hành có được bộ phận kiểm soát dữ liệu thực hiện thường xuyên không?
Các hoạt động kiểm soát vật chất
1. Có những chính sách và thủ tục bằng văn bản về bảo mật hệ thống thông tin máy tính hay không?
2. Có những thủ tục kiểm soát vật chất thích hợp nhằm hạn chế các cá nhân tiếp cận phòng máy không?
3. Các thiết bị mạng quan trọng(như các tủ Hub, Switch, đường dây mạng, các thiết bị đầu cuối, thiết bị mã hoá dữ liệu trên đường truyền…) và các thiết bị hệ thống máy tính có được bảo quản tại một nơi an toàn, tránh tình trạng bị hư hỏng hay mất cắp?
4. Có sử dụng phần mềm chống virus hay các phầnmềm an ninh mạng?Nếu có, chúng có hiệu quả trong việc ngăn chặn dữ liệu bị phá
Trường Đại học Kinh tế Huế
Khóa luận tốt nghiệp GVHD: ThS. Nguyễn Trà Ngân huỷ, sao chép không?
5. Các tập tin và chương trình có được sao chép, lưu trữ, cập nhật thường xuyên trên các phương tiện lưu trữ không?
6. Các bản sao có được lưu trữ tách biệt với nơi lưu trữ bản gốc không?
7. Có các thủ tục tái khôi phục dữ liệu trong trường hợp dữ liệu bị đánh cắp hay mất mát do lỗi khách quan, vô tình.
8. Tất cả các vi phạm có được ghi nhận và được điều tra tức thời bởi một nhà quản lý cóthẩm quyền không?
Tỷ lệ rủi ro (%) Kết luận
- Thứ hai, đối với bảng câu hỏi đánh giá hoạt động kiểm soát ứng dụng: Sau khi thực hiện đánh giá hoạt động kiểm soát chung, KTV sẽ tiến hành đánh giá hoạt động kiểm soát ứng dụng. Đây là hoạt động kiểm soát chỉ liên quan đến từng phần hành cụ thể, đến từng ứng dụng của máy tính trong những trường hợp cụ thể như quá trính bán hàng, mua hàng…, bao gồm hoạt động kiểm soát được lập sẵn trong máy tính và hoạt động kiểm soát do con người thực hiện. Các hoạt động này nhằm đảm bảo cho dữ liệu của từng quá trình được nhập và xử lý chính xác và đầy đủ trong hệ thống máy tính, cũng như được dữ liệu được lưu trữ, kiểm soát nghiêm ngặt. Để tiến hành đánh giá hoạt động kiểm soát ứng dụng, KTV có thể phân hoạt động kiểm soát này thành ba loại, và các câu hỏi đặt ra dựa trên cơ sở ba loại đó, gồm: kiểm soát dữ liệu đầu vào, kiểm soát quy trình xử lý dữ liệu và kiểm soát thông tin đầu ra. Bảng câu hỏi đánh giá hoạt động kiểm soát ứng dựng dưới đây sẽ minh họa một số thông tin cần tìm hiểu đối với ba loại của hoạt động kiểm soát ứng dụng.
Trường Đại học Kinh tế Huế
Khóa luận tốt nghiệp GVHD: ThS. Nguyễn Trà Ngân Bảng 3.5- Câu hỏi đánh giá hoạt động kiểm soát ứngdụng
Câu hỏi Mức điểm
-1 0 1
Kiểm soát dữ liệu đầu vào
1. Các chứng từ gốc có được đánh số thứ tự liên tục trước không?
2. Dữ liệu trước khi nhập vào có được phê duyệt không?
3. Chứng từ sau khi nhập liệu có được đánh dấu để phân biệt không?
4. Có thực hiện mã hóa các đối tượng (nhà cung cấp, khách hàng, chủ nợ, ngân hàng, nhân viên…)
5. Hệ thống được thiết kế để đảm bảo nhập chính xác các loại số hiệu khách hàng, mã số nhân viên … không?
6. Dữ liệu được nhập vào hệ thống có phải theo một thứ tự nhất định không?
7. Hệ thống có được đảm bảo khả năng phát hiện ra những dữ liệu nhập không đúng loại đã khai báo không?
8. Khi khai báo dữ liệu không hợp lý hệ thống có báo lỗi không?
9. Đối với những dữ liệu đã được khai báo trước, nếu nhập một thôngtin trong số các thông tin đó thì các thông tin khác có tự động nhập vào không?
10.Có đặt ra các giới hạn (mức tồn kho tối thiểu, số giờ công, ngày công tối đa tối đa…) để phát hiện các dữ liệu nhập không hợp lệ?
11. Các thông tin trên một mẫu tin có bắt buộc phải được nhập liệu đầy đủ, không được bỏ trống không?
12. Hệ thống có được thiết kế để tự động tính số tổng kiểm soát khi nhập liệu?
Kiểm soát quy trình xử lý dữ liệu
1. Các dữ liệu có liên kết với nhau qua các mối liên hệ dữ liệu có thể thay đổi hoặc xóa đi khi ràng buộc dữ liệu đang tồn tại không?
Trường Đại học Kinh tế Huế
Khóa luận tốt nghiệp GVHD: ThS. Nguyễn Trà Ngân 2. Có thực hiện thường xuyên kiểm tra và xóa khỏi danh mục
dữ liệu những dữ liệu không còn sử dụng không?
3. Hệ thống có phát hiện được những sai sót của dữ liệu trên các chứng từ mệnh lệnh và các chứng từ chấp hành không?
4. Các chênh lệch do làm tròn số có được xử lý không?
5. Các thông tin bất thường trong quá trình xử lý (như hàng tồn âm, các khoản tiền âm…) có được phát hiện và thông báo không?
6.Định kỳ có thực hiện đối chiếu công nợ phải thu, phải trả, đối chiếu ngân hàng … không?
Kiểm soát thông tin đầu ra
1.Định kìđơn vị có tiền hành đối chiếu giữa dữ liệu đầu ra với dữ liệu nhập vào máy tính không?
2. Có thực hiện đối chiếu giữa kết xuất với dữ liệu nhập thông qua các số tổngkiểm soát?
3. Các báo cáo in ra có phù hợp với nhu cầu thông tin của người sử dụng không?
4. Dữ liệu đầu ra được kiểm tra lại và phê duyệt không?
5.Có quy định hủy các dữ liệu, thông tin bí mật sau khi tạo ra kết xuất trên giấy than, trên các bản in thử, bản nháp… không?
6. Các giải pháp an toàn cho hệ thống mạng có được tăng cường khi chuyển giao thông tin trên hệ thống mạng máy tính không?
Tỷ lệ rủi ro (%) Kết luận
Trường Đại học Kinh tế Huế
Khóa luận tốt nghiệp GVHD: ThS. Nguyễn Trà Ngân