Kiểm toán công nghệ thông tin (CNTT) là quá trình đánh giá các hệ thống thông
tin của tổ chức để đảm bảo tính toàn vẹn, bảo mật và hiệu quả của chúng. Việc
áp dụng CNTT trong quy trình nghiệp vụ làm thay đổi bản chất của bằng chứng,
quy trình kiểm toán và môi trường kiểm soát nội bộ (KSNB). Nó cũng tạo ra các
lỗ hổng mới và gian lận, do đó, các thủ tục kiểm toán mới là cần thiết để đối
phó với những thách thức này.
1. Độ tin cậy của dữ liệu - yếu tố quyết định thành công của cuộc kiểm toán
- Theo Hướng dẫn kiểm toán trong môi trường CNTT của Tòa thẩm kế châu Âu (ECA), việc sử dụng các hệ thống CNTT ngày càng có tác động đến kiểm toán. Các rủi ro liên quan đến CNTT phải được tính đến khi đánh giá độ tin cậy của tài khoản, tính hợp pháp của các giao dịch và hiệu quả của các hệ thống KSNB.
- Chuẩn mực kiểm toán số 300 (các nguyên tắc cơ bản của kiểm toán hoạt động) của Tổ chức quốc tế Các cơ quan Kiểm toán tối cao (ISSAI 300 - Performance Audit Principles) nhấn mạnh rằng độ tin cậy của dữ liệu là yếu tố quyết định việc hoàn thành mục tiêu kiểm toán. Do đó, khi kế toán hoặc các hệ thống thông tin khác được số hóa thì kiểm toán viên (KTV) cần đánh giá khả năng hoạt động của KSNB để đảm bảo tính toàn vẹn, độ tin cậy và tính đầy đủ của dữ liệu.
- Hướng dẫn của ECA đưa ra khuyến nghị rằng, dữ liệu được sản xuất, lưu trữ hoặc cung cấp cho KTV bằng phương tiện CNTT không nên được coi là đáng tin cậy cho đến khi KTV có bằng chứng thuyết phục. Các thành phần của độ tin cậy gồm tính chính xác, tính đầy đủ và tính hợp lệ. Chất lượng của dữ liệu nhận được từ đối tượng được kiểm toán có thể ảnh hưởng đáng kể đến kết quả thực hiện các mục tiêu kiểm toán.
- Bằng chứng về độ tin cậy của dữ liệu sẽ tùy thuộc vào bản chất của dữ liệu đó, có thể xác định từ việc đảm bảo các KSNB đang hoạt động tốt, hoặc thông qua kiểm tra chéo (đối chiếu với dữ liệu từ các nguồn khác), hoặc có thể kết hợp cả hai cách. Việc không có các biện pháp kiểm soát CNTT phù hợp có thể làm phát sinh rủi ro có sai sót trọng yếu, ảnh hưởng đến bản chất, thời gian và mức độ của các thủ tục kiểm toán liên quan đến CNTT tiếp theo.
2. Các bước thực hiện kiểm toán công nghệ thông tin
- Ở giai đoạn lập kế hoạch kiểm toán, KTV cần xác định các rủi ro có liên quan đến mục tiêu kiểm toán và xác định kiểm soát nào sẽ được đánh giá trong giai đoạn thực hiện, chẳng hạn các kiểm soát chung (như đối với môi trường điều khiển CNTT), hay kiểm soát ứng dụng (trong các ứng dụng CNTT liên quan đến quản lý tài chính).
- Đối với giai đoạn này, điều quan trọng là KTV phải hiểu được các hệ thống CNTT của đơn vị được kiểm toán, kiểm kê các hệ thống và tài nguyên CNTT (ngân sách và nhân sự CNTT, tổ chức CNTT, phần mềm và phần cứng). Đồng thời, KTV phải xác định ứng dụng CNTT nào quan trọng trong phạm vi báo cáo tài chính và quản lý doanh nghiệp và có được thông tin, hiểu biết đầy đủ về vấn đề của chúng.
- Để thuận tiện cho việc đánh giá rủi ro và lập kế hoạch cho các nhiệm vụ kiểm toán CNTT, KTV cần ghi chép lại: Ứng dụng CNTT nào đưa vào báo cáo tài chính và giao dịch, khu vực tài khoản nào được xử lý thông qua các ứng dụng CNTT này. Mục đích của việc đánh giá sự phức tạp của các hệ thống CNTT là để xác định rủi ro và quyết định xem có cần hỗ trợ bên ngoài không.
- Trong giai đoạn thực hiện, đối với kiểm soát chung, KTV cần tập trung vào kiểm soát quản trị và quản lý CNTT; kiểm soát quản lý dữ liệu; kiểm soát bảo mật thông tin; kiểm soát quản lý thay đổi đảm bảo rằng các hệ thống và điều khiển tiếp tục hoạt động như thiết kế; kiểm soát thuê ngoài. Tiêu chí quan trọng nhất đối với thông tin khi xem xét các kiểm soát chung là tính toàn vẹn (độ tin cậy).
- Hiệu quả của kiểm soát CNTT sẽ phụ thuộc vào độ mạnh của các kiểm soát chung. Nếu KTV kết luận rằng các kiểm soát chung có hiệu quả thì bước tiếp theo là đánh giá tính hiệu quả của các kiểm soát ứng dụng. Tuy nhiên, các điều khiển chung không hiệu quả sẽ khiến các điều khiển ứng dụng không hiệu quả (hoặc làm hạn chế nghiêm trọng hiệu quả của chúng). Vì vậy, KTV chỉ nên xem xét các kiểm soát ứng dụng nếu các kiểm soát chung có hiệu quả.
- Đối với kiểm soát ứng dụng (được thực hiện thủ công hoặc bằng phần mềm máy tính), KTV cần đánh giá 6 loại chính:
- Kiểm soát tài liệu hệ thống;
- Kiểm soát đầu vào;
- Kiểm soát xử lý;
- Kiểm soát đầu ra;
- Kiểm soát truyền dữ liệu; dữ liệu thường trực và
- Kiểm soát tệp chủ.
- KTV có thể thu thập bằng chứng kiểm toán bằng cách quan sát, kiểm tra, điều tra và xác nhận, tái lập, tính toán lại, phân tích hoặc các phương pháp được chấp nhận chung khác.
- Giai đoạn cuối cùng - lập báo cáo, ECA khuyến nghị KTV cần ghi lại từng phát hiện quan trọng với bản báo cáo về khung pháp lý, sự kiện, kết luận và rủi ro CNTT. Ngoài những phát hiện riêng lẻ, KTV cần đưa ra kết luận chung về kiểm soát CNTT. Cùng với đó, KTV cần giải thích từng điểm yếu trong kiểm soát liên quan đến rủi ro CNTT.
- Việc đánh giá có thể dẫn đến ba kết luận như sau:
- Kiểm soát CNTT hoạt động hiệu quả, nhất quán và liên tục trong suốt thời gian xem xét;
- Điểm yếu được nhận thấy trong tính hiệu quả và liên tục của kiểm soát CNTT, nhưng hệ thống tổng thể được coi là đáng tin cậy;
- Các kiểm soát CNTT không đáng tin cậy - không hoạt động như mong đợi, không hoạt động liên tục trong thời gian được xem xét hoặc không kiểm tra chúng được.
3. Lưu ý trong quy trình Kiểm toán CNTT
3.1 Đánh giá rủi ro
- Xác định và đánh giá rủi ro: xác định các rủi ro tiềm ẩn liên quan đến hệ thống CNTT và đánh giá mức độ ảnh hưởng của chúng đối với hoạt động của công ty.
- Quản lý rủi ro: thiết lập các biện pháp kiểm soát và quản lý rủi ro phù hợp để giảm thiểu tác động của chúng.
3.2 Tuân thủ quy định pháp luật và tiêu chuẩn
- Tuân thủ các quy định pháp luật: đảm bảo các quy trình và hệ thống CNTT tuân thủ các quy định pháp luật hiện hành và các tiêu chuẩn trong ngành.
- Kiểm tra tuân thủ định kỳ: thực hiện các cuộc kiểm tra tuân thủ định kỳ để đảm bảo rằng công ty không vi phạm các quy định phát luật cũng như các tiêu chuẩn của ngành.
3.3 Quản lý thay đổi
- Quy trình quản lý thay đổi: thiết lập quy trình để đảm bảo rằng tất cả các thay đổi trong hệ thống CNTT đều được kiểm soát và phê duyệt trước khi đưa vào triển khai.
- Đánh giá tác động của thay đổi: đánh giá tác động đối với hệ thống và dữ liệu trước khi thực hiện để giảm thiểu các rủi ro không mong muốn.
Kiểm toán CNTT là một phần quan trọng trong việc đảm bảo an toàn và hiệu quả
của các hệ thống thông tin trong tổ chức. Bằng cách chú ý đến các yếu tố
liên quan đến dữ liệu và quy trình, doanh nghiệp có thể giảm thiểu rủi ro và
đảm bảo rằng các hoạt động CNTT của mình luôn tuân thủ các tiêu chuẩn và quy
định cần thiết. Những lưu ý được nêu ra trong bài viết này sẽ giúp các doanh
nghiệp thực hiện kiểm toán CNTT một cách hiệu quả và đáng tin cậy.
Nguồn: https://www.sav.gov.vn/Pages/chi-tiet-tin.aspx?ItemID=1935&l=Nghiencuutraodoi