1, giai đoạn chuẩn bị kiểm tốn
Mục tiêu kiểm tốn là đánh giá tính hiệu quả và hiệu lực của hệ thống thơng tin. Cụ thể
Các khoản đầu tư vào phát triển và vận hành hệ thống thơng tin cĩ hiệu quả hay lãng phí
Hệ thống thơng tin cĩ hoạt động nhằm đạt được mục tiêu xác định cho hệ thống thơng tin hay k
Phạm vi kiểm tốn là sự giới hạn về thời gian và khơng gian của hệ thơng tin được kiểm tốn do đĩ đề cập đến những hệ thống thơng tin cụ thể được phát triển trong khoảng thời gian cụ thể
Ktv hệ thống thơng tin nên cĩ một số chuyên mơn trong các lĩnh vực - Dự kiến và phát triển hệ thống
- Áp dụng với máy tính các nghiệp vụ như thanh tốn lương thanh tốn báo cáo hoạt động và thu nhập
- Các chuẩn mực an ninh hệ thống thơng tin - Các kĩ thuật kiểm tốn được hỗ trợ bởi máy tính - Phát triển hệ thống và quản lí dự án
- Phục hồi sự cố và dự trù những vấn đề bất ngờ - Kinh doanh qua mạng thiết kế và an ninh mạng - Chiến lược hệ thống thơng tin nĩi chung
- Bảo vệ dữ liệu và các yêu cầu của pháp luật
- Các lĩnh vực kĩ thuật chuyên mơn như quản trị mạng và hệ thống quản lí dữ liệu
Thơng tin cần thu thập bao gồm
- Về thủ tục và quá trình phát triển hệ thống thơng tin
- Về sự phàn nàn hay các báo cáo trục trặc của hệ thống thồn tin
Lập kế hoạch sử dụng nguồn lực kiểm tốn thơng qua việc xem xét các yếu tố sau - Tính liêm chính kinh nghiệm và kiến thức của nhà quản lí hệ thống thơng tin - Thay đổi nhà quản lí hệ thống thơng tin
- Áp lực đối với nhà quản lí hệ thống thơng tin khiến họ dấu diếm hay báo cáo sai thơng tin
- Các yếu tố ảnh hưởng đến ngành kinh doanh của dn
- Mức độ ảnh hưởng của bên thứ 3 đối với việc kiểm sốt hệ thống được kiểm tốn - Các phát hiện từ các cuộc kiểm tốn trước
ở mức độ kiểm sốt hệ thống thơng tin chi tiết ktv cĩ thể cân nhắc các lĩnh vực kiểm tốn
- Các phát hiện của những cuộc kiểm tốn trước trong cùng lĩnh vực - Tính phức tạp của các hệ thống cĩ liên quan
- Mức độ can thiệp thủ cơng bắt buộc
- Khả năng dễ bị hoặc bị chiếm đoạt các tài sản được quản lí bởi hệ thống - Khả năng một số hoạt động lên đến đỉnh cao trong thời gian kiểm tốn - Các hoạt động bên ngồi thơng lệ xử lí của hệ thống thơng tin
- Tính liêm chính kinh nghiệm và kĩ năng của nhà quản lí và đội ngũ nhân viên cĩ liên quan đến việc áp dụng các kiểm sốt hệ thống thơng tin
Quản lí các nguồn lực kiểm tốn hệ thống thơng tin cần lưu ý
- Một chu kì kiểm tốn nên được lập kế hoạch để bao quát hết các áp dụng máy tính cơ bản
- Cần thiết lập sự liên hệ cĩ tính xây dựng với nhà quản lí hệ thống thơng tin của dn
- Nhận định được những khĩ khăn trong tuyển mộ các ktv hệ thống thơng tin cĩ trình độ
- Chiều sâu cuả các chuyeengia kĩ thuật cần được xác định kĩ bằng từ ngữ phù hợp trong mơ tả cơng việc
Quản lí các nguồn lực kiểm tốn hệ thống thơng tin cần lưu ý
- Thời gian của cuộc kiểm tốn hệ thống thơng tin cần được lập kế hoạch vì các hệ thống cĩ xu hướng thay đổi khi cĩ cảnh báo trong chiến lược của dn
- Kinh phí cho cuộc kiểm tốn nên cĩ dự trù cho các phương tiện máy tính kĩ thuật cao cho ktv sử dụng
- Chủ nhiệm kiểm tốn cần thực hiện hay sắp đặt sự rà sốt về mặt kĩ thuạt đối với cơng việc của ktv hệ thống thơng tin. Cơng việc cần được giám sát thích đáng
- Ktv hệ thống thơng tin cĩ thể dành thời gian hỗ trợ các chức năng kiểm tốn bằng việc phát triển các kĩ thuật kiểm tốn
Tiêu chuẩn đánh giá cần
- Lựa chọn phù hợp với đối tượng cần kiểm tốn (hoạt động phát triển hệ thống thơng tin hay vận dụng hệ thống thơng tin )
- Số lượng tiêu chuẩn đánh giá phụ thuộc vào nguồn lực của cuộc kiểm tốn Tiêu chuẩn đánh giá được chọn cần được thảo luận với bộ phận được đánh giá để cĩ được sự nhất trí về tiêu chuẩn đánh giá trước khi sử dụng
2, giai đoạn thực hiện kiểm tốn a, Kiểm tốn phát triển hệ thống
Khi rà sốt quá trình phát triển, hệ thống cần lưu ý:
- KTV là một người sử dụng hệ thống thơng tin và cĩ thể đặt câu hỏi - KTV cần bỏ qua những điều khĩ hiểu sau những phép tính
- Mơ hình kiểm tốn gắn kêts cĩ thể được thiết lập trong hệ thống moíư và cho phép tiếp cận ko hạn chế các tệp thơng tin cần kiểm tốn
- Khối lượng kiểm tra trong cuộc kiểm tốn nên phù hợp với kế hoạch phát triển hệ thơng, nếu kế hoạch phát triển hệ thống cĩ qui mơ lớn , kiểm tốn cũng cần tăng cường về phạm vi
- Kiểm tốn phát triển hệ thống thơng tin cĩ thể được xem như tìm kiếm những khiếm khuyết, nếu kiểm tốn viên kiểm tra cơng việc của đội ngũ dự án, KTV cĩ thể bị cảm nhận như một lực lượng tiêu cực.
- Kiểm tốn viên nên được đào tạo thích đáng trước khi xử lý một phát triển hệ thống phức tạp
- Cĩ mối quan hệ giữa kiểm tốn và sự bảo đảm chất lượng, nếu cĩ chương tình chất lượng phù hợp cho phát triển hệ thống được sắp xếp bởi phịng hệ thống thơng tin - Kiểm tốn gây tốn kém về chi phí và thời gian và KTV nên đánh giá cáo những kiểm sốt cĩ tính thực tế. Doanh nghiệp khơng thể hoạt động với các chính sách cĩ rủi ro bằng khơng cho tất cả các hoạt động . Tiêu thức đánh giá là kiểm sốt cần thích đáng và hiệu quả.
- Kiểm tốn viên cần làm quen trước khi rà sốt bất kỳ sự phát triển hệ thống nào và tài liệu về hệ thống cần được thu thập và xem xét trwocs.
- Một nội dung quan trọng KTV cĩ thể thực hiện là đưa ra một loạt các câu hỏi đối với nhà từ vấn bên ngồi chịu trách nhiệm quản lý hay điều phối dự án
- Kiểm tốn đầu vào từng dự án cĩ thể phát hiện những nhược điểm trong quá trình phát triển hệ thống.
b, Kiểm tốn các áp dụng hệ thống thơng tin
- Khi kiểm tốn các áp dụng hệ thống thơng tin, cần nhận thức mối quan hệ giữa các hoạt động kinh doanh và các hệ thống được máy tính hố nhằm hỗ trợ cho quá trình lập và thực hiện các mục tiêu kinh doanh
- KTV cĩ thể tập trung vào các rủi ro liên quan đến đầu vào , quá trình xử lý thơng tin hoặc kết quả đầu ra của hệ thống thơng tin
- KTV cĩ thể chú ý nhiều hơn đến các hoạt động kiểm sốt tại các bộ phận cấp cao - Các kiểm sốt việc áp dụng cần phải được iểm tra bới KTV theo yêu cầu rằng tất cả các phát hiện kiểm tốn đều phải cĩ bằng chứng kiểm tốn thích đáng.
- Cách kiểm tốn này bỏ qua sự tồn tại của máy tính và dựa vào các nhà quản lý để cĩ được thơng tin mà KTV yêu cầu
- KTV cần duy trì mức độ độc lập nhất định và thực hiện một cách chủ động hơn và cần độc lập với nhà quản lý và cĩ khả năng đảm bảo thơng tin yêu cầu
- Điều này cĩ thể thực hiện thơng qua sự liên lạc với đội ngũ hỗ trợ hệ thống thơng tin hoặc tạo lập các phương tiện kiểm tốn đặc biết trong hệ thống khi xây dựng hệ thống. - Một cách lựa chọn khác là phịng kiểm tốn cĩ thể xây dựng hệ thống phần mềm của mình để lấy dữ liệu và kiểm tra các thủ tục kiểm sốt
- KTV đưa module vào hệ thống thơng tin của khách hàng để chọn ra những nghiệp vụ hay giao dịch cần quan tâm
- Sau đĩ phân tích các giao dịch được chọn về cĩ tính cĩ thực, tính đúng đắn trong việc xử lý.
- KTV dành thời gian để làm việc với các KTV khác về các nhu cầu thẩm vấn của họ và kiểm tra dữ liệu sẽ được xây dựng và áp dụng.
- Người phụ trách kiểm tốn nên bảo đảm rằng điều này sẽ xảy ra và cĩ chính sách kiểm tốn đối với vấn đề quan trọng này.
Đối với lập kế hoạch về thảm hoạ, kiểm tốn viên thực hiện kiểm tốn theo các nội dung:
+ Khuyến nghị về một kế hoạch về thảm hoạ + Kiểm tra độc lập kế hoạch này
+ rà sốt hợp đồng với nhà cung cấp thiết bị trên cơ sở chọn thầu
+ Xem xét mức độ kế hoạch được hiểu bởi tất cả những người tham gia + Tư vấn cho uỷ ban thảm hoạ về các hệ luỵ an ninh cần tính đến.
3, Giai đoạn kết thúc kiểm tốn
- KTV cần đoan chắc rằng các mục tiêu kiểm tốn đã đạt được và khơng cịn cĩ lĩnh vực nào bị bỏ sĩt khi KTV ra khỏi hệ thống
- Báo cáo kiểm tốn cần được gửi cho lãnh đạo đơn vị và nhà quản lý bộ phận hệ thốg thơng tin, người sử dụng các hệ thống thơng tin.