Những lưu ý về dữ liệu và quy trình khi kiểm toán công nghệ thông tin

11/11/2022
Xem cỡ chữ Đọc bài viết In trang Google

Việc áp dụng công nghệ thông tin (CNTT) trong quy trình nghiệp vụ làm thay đổi bản chất của bằng chứng, quy trình kiểm toán và môi trường kiểm soát nội bộ (KSNB). Nó cũng tạo ra các lỗ hổng mới và gian lận, do đó, các thủ tục kiểm toán mới là cần thiết để đối phó với những thách thức này.

KTV phải hiểu được các hệ thống CNTT của thực thể được kiểm toán. Ảnh minh họa

Độ tin cậy của dữ liệu - yếu tố quyết định thành công của cuộc kiểm toán
 
Theo Hướng dẫn kiểm toán trong môi trường CNTT của Tòa thẩm kế châu Âu (ECA), việc sử dụng các hệ thống CNTT ngày càng có tác động đến kiểm toán. Các rủi ro liên quan đến CNTT phải được tính đến khi đánh giá độ tin cậy của tài khoản, tính hợp pháp của các giao dịch và hiệu quả của các hệ thống kiểm soát nội bộ.
 
Chuẩn mực kiểm toán số 300 (các nguyên tắc cơ bản của kiểm toán hoạt động) của Tổ chức quốc tế Các cơ quan Kiểm toán tối cao (ISSAI 300) nhấn mạnh, độ tin cậy của dữ liệu là yếu tố quyết định việc hoàn thành mục tiêu kiểm toán. Do đó, khi kế toán hoặc các hệ thống thông tin khác được số hóa, kiểm toán viên (KTV) cần đánh giá khả năng hoạt động của KSNB để đảm bảo tính toàn vẹn, độ tin cậy và tính đầy đủ của dữ liệu.
 
Hướng dẫn của ECA đưa ra khuyến nghị rằng, dữ liệu được sản xuất, lưu trữ hoặc cung cấp cho KTV bằng phương tiện CNTT không nên được coi là đáng tin cậy cho đến khi KTV có bằng chứng thuyết phục. Các thành phần của độ tin cậy gồm tính chính xác, tính đầy đủ và tính hợp lệ. Chất lượng của dữ liệu nhận được từ đối tượng được kiểm toán có thể ảnh hưởng đáng kể đến kết quả thực hiện các mục tiêu kiểm toán.
 
Bằng chứng về độ tin cậy của dữ liệu sẽ tùy thuộc vào bản chất của dữ liệu đó, có thể xác định từ việc đảm bảo các KSNB đang hoạt động tốt, hoặc thông qua kiểm tra chéo (đối chiếu với dữ liệu từ các nguồn khác), hoặc có thể kết hợp cả hai cách. Việc không có các biện pháp kiểm soát CNTT phù hợp có thể làm phát sinh rủi ro có sai sót trọng yếu, ảnh hưởng đến bản chất, thời gian và mức độ của các thủ tục kiểm toán liên quan đến CNTT tiếp theo.
 
Các bước thực hiện kiểm toán công nghệ thông tin
 
Ở giai đoạn lập kế hoạch kiểm toán, KTV cần xác định các rủi ro có liên quan đến mục tiêu kiểm toán và xác định kiểm soát nào sẽ được đánh giá trong giai đoạn thực hiện, chẳng hạn các kiểm soát chung (như đối với môi trường điều khiển CNTT), hay kiểm soát ứng dụng (trong các ứng dụng CNTT liên quan đến quản lý tài chính).
 
Đối với giai đoạn này, điều quan trọng là KTV phải hiểu được các hệ thống CNTT của thực thể được kiểm toán, kiểm kê các hệ thống và tài nguyên CNTT (ngân sách và nhân sự CNTT, tổ chức CNTT, phần mềm và phần cứng). Đồng thời, KTV phải xác định ứng dụng CNTT nào quan trọng trong phạm vi báo cáo tài chính và quản lý doanh nghiệp và có được thông tin, hiểu biết đầy đủ về vấn đề của chúng.
 
Để thuận tiện cho việc đánh giá rủi ro và lập kế hoạch cho các nhiệm vụ kiểm toán CNTT, KTV cần ghi chép lại: Ứng dụng CNTT nào đưa vào báo cáo tài chính và giao dịch, khu vực tài khoản nào được xử lý thông qua các ứng dụng CNTT này. Mục đích của việc đánh giá sự phức tạp của các hệ thống CNTT là để xác định rủi ro và quyết định xem có cần hỗ trợ bên ngoài không.
 
Trong giai đoạn thực hiện, đối với kiểm soát chung, KTV cần tập trung vào kiểm soát quản trị và quản lý CNTT; kiểm soát quản lý dữ liệu; kiểm soát bảo mật thông tin; kiểm soát quản lý thay đổi đảm bảo rằng các hệ thống và điều khiển tiếp tục hoạt động như thiết kế; kiểm soát thuê ngoài. Tiêu chí quan trọng nhất đối với thông tin khi xem xét các kiểm soát chung là tính toàn vẹn (độ tin cậy).
 
Hiệu quả của kiểm soát CNTT sẽ phụ thuộc vào độ mạnh của các kiểm soát chung. Nếu KTV kết luận rằng các kiểm soát chung có hiệu quả thì bước tiếp theo là đánh giá tính hiệu quả của các kiểm soát ứng dụng. Tuy nhiên, các điều khiển chung không hiệu quả sẽ khiến các điều khiển ứng dụng không hiệu quả (hoặc làm hạn chế nghiêm trọng hiệu quả của chúng). Vì vậy, KTV chỉ nên xem xét các kiểm soát ứng dụng nếu các kiểm soát chung có hiệu quả.
 
Đối với kiểm soát ứng dụng (được thực hiện thủ công hoặc bằng phần mềm máy tính), KTV cần đánh giá 6 loại chính: Kiểm soát tài liệu hệ thống; kiểm soát đầu vào; kiểm soát xử lý; kiểm soát đầu ra; kiểm soát truyền dữ liệu; dữ liệu thường trực và kiểm soát tệp chủ. KTV có thể thu thập bằng chứng kiểm toán bằng cách quan sát, kiểm tra, điều tra và xác nhận, tái lập, tính toán lại, phân tích hoặc các phương pháp được chấp nhận chung khác.
 
Giai đoạn cuối cùng - báo cáo, ECA khuyến nghị KTV cần ghi lại từng phát hiện quan trọng với bản báo cáo về khung pháp lý, sự kiện, kết luận và rủi ro CNTT. Ngoài những phát hiện riêng lẻ, KTV cần đưa ra kết luận chung về kiểm soát CNTT. Cùng với đó, KTV cần giải thích từng điểm yếu trong kiểm soát liên quan đến rủi ro CNTT.
Việc đánh giá có thể dẫn đến ba kết luận như sau: Kiểm soát CNTT hoạt động hiệu quả, nhất quán và liên tục trong suốt thời gian xem xét; điểm yếu được nhận thấy trong tính hiệu quả và liên tục của kiểm soát CNTT, nhưng hệ thống tổng thể được coi là đáng tin cậy; các kiểm soát CNTT không đáng tin cậy - không hoạt động như mong đợi, không hoạt động liên tục trong thời gian được xem xét hoặc không kiểm tra chúng được.
 
Cũng giống như các cuộc kiểm toán khác, kiểm toán CNTT phải được thực hiện, ghi chép, giám sát và chịu sự kiểm soát chất lượng tiêu chuẩn chung của cơ quan kiểm toán./.
 
THÙY LÊ
(Báo Kiểm toán số 45/2022)

 
 

Xem thêm »