GIỚI THIỆU VỀ ĐỀ TÀI NGHIÊN CỨU
Tính cấp thiết của đề tài
Sự phát triển nhanh chóng của công nghệ đã thúc đẩy việc áp dụng dữ liệu lớn vào hệ thống thông tin, mang lại nhiều lợi ích cho doanh nghiệp Việc này không chỉ cải thiện khả năng quản lý dữ liệu mà còn giảm thiểu sai sót trong quá trình nhập liệu, đồng thời nâng cao khả năng dự đoán và hỗ trợ ra quyết định chiến lược hiệu quả hơn.
Nghiên cứu ứng dụng dữ liệu lớn trong hệ thống thông tin từ góc nhìn kiểm toán viên là rất quan trọng để nâng cao chất lượng kiểm toán công nghệ thông tin Bài nghiên cứu này cung cấp cái nhìn cập nhật về tình hình kiểm soát dữ liệu lớn tại các doanh nghiệp, giúp kiểm toán viên CNTT xây dựng chiến lược phù hợp cho các cuộc kiểm toán sắp tới.
Tổng quan các nghiên cứu trước
Theo nghiên cứu của Carolyn Strand Norman và các cộng sự (2009) cùng với Tommy Singleton (2017), kiểm soát chung CNTT (ITGCs) là một loại kiểm soát nội bộ cơ bản, tạo nền tảng cho việc tin cậy vào thông tin do hệ thống cung cấp Ngoài ra, các tiêu chuẩn an ninh thông tin như NIST, ISO 27001, PCI DSS và HIPAA khẳng định vai trò quan trọng của ITGCs trong việc duy trì tuân thủ quy định và bảo vệ an toàn cho hệ thống thông tin của tổ chức Những tiêu chuẩn này cung cấp hướng dẫn và nguyên tắc về an toàn thông tin, giúp xác định và giảm thiểu rủi ro an ninh, đồng thời bảo vệ dữ liệu quan trọng khỏi các cuộc tấn công và xâm nhập trái phép.
ITGCs không chỉ ảnh hưởng đến uy tín và hình ảnh của doanh nghiệp trên thị trường và với các cổ đông, mà còn đóng vai trò quan trọng trong việc giảm thiểu lỗi kế toán trong quá trình lập báo cáo tài chính Theo nghiên cứu của Grant và cộng sự (2008), việc áp dụng phân tích định lượng đã chứng minh được hiệu quả của ITGCs trong việc nâng cao độ chính xác của báo cáo tài chính.
Nghiên cứu về "Ảnh hưởng của các kiểm soát CNTT lên BCTC" đã chỉ ra mối liên hệ rõ ràng giữa các thiếu sót trong CNTT và các lỗi kế toán Kết quả cho thấy có sự khác biệt đáng kể về số lượng lỗi kế toán giữa các công ty có lỗ hổng trong kiểm soát CNTT và những công ty có hệ thống CNTT được quản lý chặt chẽ.
Giáo trình CITP i được O’Reilly phân phối, nhấn mạnh mối quan hệ giữa hệ thống kiểm soát nội bộ (IC) và kiểm soát CNTT (ITGCs) theo chuyên gia Tommie W Singleton Hệ thống kiểm soát nội bộ là yếu tố then chốt để đảm bảo độ tin cậy của báo cáo tài chính (BCTC) và quy trình kinh doanh trong các tổ chức Kiểm soát tổng quát về CNTT có vai trò quản lý chức năng CNTT, ảnh hưởng đến rủi ro CNTT mà doanh nghiệp phải đối mặt, từ đó tác động đến hoạt động kinh doanh và độ tin cậy của các kiểm soát ứng dụng Các khái niệm bảo mật thông tin là thiết yếu cho hệ thống kiểm soát nội bộ hiệu quả, bao gồm việc xác định, thiết kế, triển khai và giám sát các quy trình bảo vệ thông tin và dữ liệu.
Mục tiêu nghiên cứu
Từ góc nhìn của kiểm toán viên CNTT, bài viết mô phỏng kiểm toán và đánh giá hiệu quả các kiểm soát CNTT chung tại doanh nghiệp ABC, đặc biệt trong các phần hành sử dụng Big Data để tạo ra các thành phần trên báo cáo tài chính Dựa trên chuẩn mực ISO 27001, tác giả đưa ra các hàm ý quan trọng cho doanh nghiệp nhằm cải thiện quy trình kiểm soát và bảo mật thông tin.
Nghiên cứu và đánh giá tình hình sử dụng dữ liệu lớn tại doanh nghiệp ABC, cùng với các hệ thống bảo mật liên quan và những rủi ro trong kiểm soát công nghệ thông tin, là điều cần thiết để nâng cao hiệu quả hoạt động kinh doanh.
Mô phỏng quá trình kiểm toán CNTT cho DN ABC nhằm đánh giá hiệu quả hệ thống kiểm soát nội bộ, từ đó đưa ra các giải pháp và tư vấn cụ thể để tối ưu hóa quản lý rủi ro Các giải pháp này bao gồm cải thiện hệ thống kiểm soát nội bộ, tăng cường khả năng đối phó với các rủi ro tiềm ẩn, và đề xuất các chính sách nhằm nâng cao hiệu quả hoạt động kinh doanh của DN ABC.
Câu hỏi nghiên cứu
Doanh nghiệp ABC đang tích cực áp dụng dữ liệu lớn trong hoạt động kinh doanh, tuy nhiên, hiệu quả sử dụng dữ liệu này phụ thuộc nhiều vào hệ thống kiểm soát nội bộ Hệ thống kiểm soát nội bộ không chỉ đảm bảo tính chính xác và an toàn của dữ liệu mà còn tối ưu hóa quy trình ra quyết định dựa trên dữ liệu lớn Việc cải thiện hệ thống kiểm soát nội bộ sẽ góp phần nâng cao hiệu quả khai thác và sử dụng dữ liệu lớn, từ đó thúc đẩy sự phát triển bền vững cho DN ABC.
Quá trình kiểm toán CNTT và xác định các rủi ro CNTT cho DN ABC đã đƣợc thực hiện nhƣ thế nào?
Làm thế nào để tối ƣu hóa quản lý rủi ro và cải thiện hiệu quả hoạt động của
DN ABC, từ góc nhìn kiểm toán CNTT?
Đối tƣợng và phạm vi nghiên cứu
Đối tƣợng nghiên cứu: Doanh nghiệp ABC, bao gồm các hoạt động và quy trình kinh doanh của DN có sử dụng HTTT kế toán
Nghiên cứu này tập trung vào việc mô phỏng quá trình kiểm toán và đánh giá rủi ro tại doanh nghiệp ABC, do đó sẽ được giới hạn trong phạm vi địa lý của doanh nghiệp này.
Nghiên cứu này sẽ sử dụng dữ liệu sơ cấp từ doanh nghiệp ABC, tập trung vào năm tài chính 2022, bắt đầu từ ngày 1 tháng 1 và kết thúc vào ngày 31 tháng 12 năm 2022.
Phương pháp nghiên cứu
Phương pháp phân tích tài liệu là kỹ thuật thu thập thông tin từ các tài liệu và báo cáo liên quan đến quy trình kiểm toán và đánh giá rủi ro.
DN ABC Các tài liệu cần đƣợc xác thực để đảm bảo tính chính xác và đáng tin cậy
Sử dụng để trả lời câu hỏi nghiên cứu 1 và 3
Phương pháp nghiên cứu trường hợp được áp dụng để phân tích hoạt động và quy trình kinh doanh của doanh nghiệp ABC, đồng thời tìm hiểu cách thức thực hiện kiểm toán và đánh giá rủi ro trong doanh nghiệp Phương pháp này sẽ giúp trả lời câu hỏi nghiên cứu thứ nhất.
Phương pháp phỏng vấn được áp dụng để thu thập thông tin từ các chuyên gia kiểm toán và quản lý tại DN ABC, nhằm đánh giá hệ thống CNTT và thực trạng sử dụng dữ liệu lớn trong doanh nghiệp Phương pháp này sẽ giúp trả lời cho câu hỏi nghiên cứu 1.
Phương pháp mô phỏng được áp dụng để tiến hành một cuộc kiểm toán tại DN ABC, nhằm tái hiện quá trình kiểm toán và đánh giá rủi ro liên quan đến hoạt động kinh doanh sử dụng dữ liệu lớn Mô hình này cung cấp cái nhìn sâu sắc cho các nhà quản lý về quy trình kiểm toán và quản lý rủi ro, từ đó giúp họ đưa ra các giải pháp hiệu quả nhằm cải thiện hoạt động và quản lý rủi ro trong doanh nghiệp Phương pháp này cũng phục vụ để trả lời cho câu hỏi nghiên cứu 2.
Cuộc kiểm toán mô phỏng dựa trên dữ liệu thực tế từ DN ABC và tài liệu tham khảo, nhằm phân tích và đánh giá hiệu quả hoạt động Mô hình này cung cấp tư vấn từ góc nhìn của nhà quản lý, giúp cải thiện hiệu quả hoạt động và quản lý rủi ro cho doanh nghiệp.
Kết cấu luận văn
Chương 1: Giới thiệu tổng quan về đề tài nghiên cứu
Chương 2: Giải thích các khái niệm chính trong đề tài
Chương 3: Mô tả quy trình kiểm toán CNTT chung tại EY, tập trung vào việc đánh giá rủi ro từ các kiểm soát dữ liệu lớn và các công cụ xử lý nó trong doanh nghiệp
Chương 4: Mô phỏng chi tiết cuộc kiểm toán DN ABC: tiến hành mô phỏng việc kiểm toán DN ABC bằng phương pháp mô phỏng để đánh giá rủi ro trong các hoạt động kinh doanh có sử dụng HTTT để xử lý dữ liệu lớn của DN Mô phỏng quy trình
Chương 5: Nhận xét và đưa ra các hàm ý.
Đóng góp của đề tài
1.8.1 Đóng góp về mặt lý thuyết
Lĩnh vực kế toán - kiểm toán và quản lý doanh nghiệp, cùng với hệ thống thông tin quản lý, cung cấp cái nhìn sâu sắc về quy trình kiểm toán công nghệ thông tin Bài viết này hướng đến sinh viên ngành kế toán - kiểm toán, quản trị kinh doanh và hệ thống thông tin quản lý, cũng như những người làm nghề kế toán và kiểm toán báo cáo tài chính, bảo hiểm và dịch vụ đảm bảo Tài liệu này sẽ là nguồn tham khảo hữu ích cho quá trình giảng dạy, học tập và thực hành trong ngành.
1.8.2 Đóng góp về mặt thực tiễn
Trong lĩnh vực quản lý doanh nghiệp, việc hiểu rõ quy trình kiểm soát công nghệ thông tin (CNTT) và các rủi ro tiềm ẩn từ hệ thống CNTT là rất quan trọng Điều này giúp nhà quản lý đưa ra các giải pháp quản lý hiệu quả nhằm giảm thiểu rủi ro và nâng cao tính minh bạch trong hoạt động kinh doanh.
Trong lĩnh vực kế toán - kiểm toán, tài liệu hỗ trợ giúp nhân sự trong quá trình kiểm toán hiểu và đánh giá rủi ro của hệ thống kiểm soát nội bộ một cách hiệu quả hơn Điều này góp phần quan trọng vào việc đưa ra ý kiến kiểm toán cuối cùng với chất lượng cao hơn.
Lĩnh vực khoa học dữ liệu và trí tuệ nhân tạo đang phát triển mạnh mẽ, đặc biệt trong kế toán - kiểm toán Việc áp dụng các phương pháp mô phỏng để phân tích dữ liệu giúp đưa ra những kết luận chính xác và tư vấn hiệu quả, từ đó đóng góp vào sự tiến bộ của các phương pháp trong lĩnh vực này.
Chương 1 trình bày tính cấp thiết của đề tài, tổng quan các nghiên cứu trước, mục tiêu nghiên cứu, đối tượng và phạm vi nghiên cứu, phương pháp nghiên cứu và kết cấu luận văn Ngoài ra, phần cuối chương 1 cũng thể hiện giá trị đóng góp về mặt thực tiễn và lý thuyết của đề tài "Ứng dụng dữ liệu lớn (Big Data) trong tổ chức hệ thống thông tin tại DN từ góc nhìn của kiểm toán viên công nghệ thông tin – nghiên cứu thực nghiệm tại EY Việt Nam" như một tài liệu tham khảo trong tương lai.
CƠ SỞ LÝ THUYẾT
Tổng quan về lĩnh vực nghiên cứu
Khái niệm về thông tin:
Theo A.D Madden, thông tin có bốn dạng chính: thứ nhất, thông tin lưu trữ dưới dạng kiến thức như sách báo; thứ hai, thông tin từ môi trường xung quanh như các tín hiệu dự báo thời tiết; thứ ba, thông tin trong quá trình truyền thông giữa người với người; và thứ tư, thông tin như tài nguyên hoặc hàng hóa được tạo ra trong một thông điệp giữa người gửi và người nhận, trong đó người nhận sẽ mã hóa thông điệp theo cách của họ, đồng thời thêm giá trị khi thông tin được trao đổi hoặc phổ biến đến các đối tượng khác.
Theo đó thông tin đƣợc phân tích trong bài sẽ là thông tin dạng thứ 4
Khái niệm về hệ thống thông tin
Hệ thống thông tin (HTTT) là một cấu trúc tổ chức chứa thông tin, bao gồm các thành phần chính như phần cứng, phần mềm, dữ liệu, quy trình và con người HTTT được thiết kế với mục đích thu thập, lưu trữ, xử lý và truyền tải thông tin hiệu quả.
Khái niệm về HTTT kế toán (Accounting Information System):
HTTT kế toán không chỉ bao gồm các phần mềm như Misa và Fast, mà còn có nhiều phần mềm hỗ trợ khác cho bộ phận kế toán tài chính trong doanh nghiệp Theo Trang (2023), hệ thống AIS bao gồm tài liệu và số liệu tài chính kế toán, với các loại thông tin phổ biến nhất.
- Bảng chấm công nhân viên
- Thông tin thuế lưu trữ
- Đơn đề nghị, hóa đơn mua và bán hàng
- Báo cáo thanh toán của KH, đối tác
- Dữ liệu kiểm kê hàng hóa
Các loại dữ liệu này được lưu trữ trong hệ thống thông qua mã hóa tương tự như ngôn ngữ truy vấn SQL Sau khi dữ liệu được truy xuất, kế toán viên có thể sử dụng chúng để hoàn thiện báo cáo tài chính, bảng lương và các tài liệu liên quan khác.
Khái niệm về kiểm toán CNTT
KT CNTT là quá trình đánh giá hiệu quả của các hệ thống thông tin và quản lý rủi ro liên quan đến việc sử dụng công nghệ thông tin trong tổ chức Quá trình này bao gồm việc kiểm tra tính hợp lệ của dữ liệu, bảo mật, sự phân tán, khả năng sẵn sàng và tính chính xác của hệ thống (CISA, 2012).
Khái niệm về Big Data
Big Data là khái niệm chỉ khối lượng lớn dữ liệu, bao gồm cả dữ liệu cấu trúc và không cấu trúc, được tạo ra từ nhiều nguồn khác nhau với tốc độ nhanh chóng Việc khai thác thông tin hữu ích từ Big Data thường yêu cầu sử dụng các công nghệ và phương pháp phân tích tiên tiến (Oberoi et al., 2016).
Sự khác biệt chính giữa dữ liệu lớn và dữ liệu thông thường nằm ở cách thức tổ chức dữ liệu, bao gồm dữ liệu cấu trúc và phi cấu trúc.
Trong bối cảnh dữ liệu lớn đang trở thành một yếu tố quan trọng trong kinh doanh, việc thu thập thông tin cá nhân từ khách hàng đang dấy lên nhiều lo ngại Các nhà quản lý cần chú trọng đến việc bảo vệ hệ thống thông tin trước những rủi ro tiềm ẩn như đánh cắp dữ liệu, hacker và rò rỉ thông tin Quan trọng hơn cả, họ phải đảm bảo an toàn cho chính khách hàng của mình.
Ngày 21/9/2021, ba nhân viên FPT đã ăn cắp dữ liệu nhạy cảm của KH (Báo Tuổi trẻ Online, 2021)
Giữa năm 2021, một nghệ sĩ tại Việt Nam bị lộ sao kê tài khoản ngân hàng MBBank mà chƣa có sự cho phép của họ (Lao Động, 2021)
Cuối năm 2022, gần nửa triệu khách hàng Toyota đã bị lộ thông tin, gây ra lo ngại về an toàn thông tin trong bối cảnh hàng loạt bê bối công nghệ diễn ra trên toàn cầu Những sự cố này không chỉ ảnh hưởng đến người dùng mà còn đặt xã hội vào tình trạng nguy hiểm Đây là thời điểm quan trọng để kiểm toán công nghệ thông tin được tích hợp vào quy trình kiểm toán tài chính, nhằm hỗ trợ đưa ra ý kiến cuối cùng về hệ thống kiểm soát nội bộ.
KH một cách tốt nhất
Kiểm toán công nghệ thông tin (KT CNTT) là yếu tố then chốt trong việc bảo vệ người dùng, đảm bảo rằng các hệ thống thông tin và dữ liệu đáp ứng yêu cầu về bảo mật, tính toàn vẹn và khả năng sẵn sàng sử dụng Qua việc thực hiện KT CNTT, các tổ chức có thể bảo vệ đúng cách hệ thống và dữ liệu, ngăn chặn mất mát thông tin quan trọng hoặc các cuộc tấn công, đồng thời đảm bảo rằng hệ thống luôn sẵn sàng hoạt động khi cần thiết.
Khái niệm về quy trình phụ cho việc lên BCTC (Sub-processes for FSCP)
FSCP, hay "Quy trình Đóng Báo cáo Tài chính", là một bước quan trọng trong chu kỳ kế toán của doanh nghiệp Trong quy trình này, thông tin tài chính được thu thập, phân tích và xử lý nhằm tạo ra Báo cáo Tài chính (BCTC) của doanh nghiệp.
(Xem thêm về chi tiết các quy trình phụ của quy trình lên BCTC ở PHỤ LỤC 4)
Theo ISA 330, kiểm toán viên cần lập kế hoạch kiểm toán bằng cách xác định mức độ rủi ro, phạm vi kiểm toán, đánh giá tài chính và xác định các lớp giao dịch quan trọng (SCOTs) Theo ISA 315, các SCOTs này được xác định dựa trên mức độ quan trọng và rủi ro liên quan đến chúng đối với báo cáo tài chính Đội kiểm toán BCTC sẽ thực hiện công việc này, sử dụng các phương pháp và tiêu chuẩn kiểm toán để đánh giá các lớp giao dịch trong hệ thống tài chính của doanh nghiệp.
Sau khi kiểm tra, nếu kiểm toán viên phát hiện sai sót hoặc bất thường trong các giao dịch quan trọng, họ sẽ đánh giá hiệu quả của biện pháp kiểm soát hiện tại và đề xuất các khuyến nghị nhằm cải thiện quy trình và chính sách.
Vai trò của CNTT trong hoạt động kinh doanh
CNTT đóng vai trò quan trọng trong kinh doanh và tài chính, từ việc sử dụng Microsoft Excel đến các ứng dụng phức tạp như SAP, cho phép doanh nghiệp tùy chỉnh theo nhu cầu Doanh nghiệp có thể lựa chọn phần mềm với cấu hình sẵn hoặc tùy chỉnh để phù hợp với yêu cầu sử dụng Kiểm toán CNTT sau đó phân tích hệ thống thông tin của doanh nghiệp để đưa ra quyết định chiến lược kiểm toán phù hợp, dựa trên các mô hình tổ chức hệ thống.
DN hoàn toàn dựa vào các thiết lập và thay đổi do nhà cung cấp kiểm soát Do đó, trong quá trình kiểm toán CNTT, dữ liệu cần được thu thập trực tiếp từ nhà cung cấp hệ thống thông tin cho khách hàng, chứ không phải từ bộ phận IT của khách hàng.
Hệ thống thông tin và các thành phần CNTT
2.2.1 Mối quan hệ giữa hoạt động quản lý, tác nghiệp và HTTT
HTTT là hệ thống bao gồm con người, quy trình và thiết bị công nghệ thông tin tương tác nhằm thu thập, xử lý và lưu trữ dữ liệu, từ đó cung cấp thông tin cho người sử dụng liên quan.
Ví dụ sau đây sẽ làm rõ về mối quan hệ giữa hoạt động quản lý, tác nghiệp và HTTT:
Hình 1 Hệ thống thông tin kế toán
Mối quan hệ giữa hệ thống thông tin kế toán (HTTT) và các phòng ban trong doanh nghiệp (DN) cùng khách hàng được minh hoạ từ bài giảng của Tiến sĩ Huỳnh Thị Hồng Hạnh.
Trong quy trình điển hình, hệ thống thông tin (HTTT) đóng vai trò quan trọng trong hoạt động kinh doanh, với các phần tương tác trực tiếp được KT CNTT thu thập và kiểm tra bằng chứng Cụ thể, các bước này bao gồm việc xác định các điểm tiếp xúc của HTTT trong quy trình, từ đó đảm bảo tính chính xác và hiệu quả trong việc quản lý thông tin và ra quyết định.
Môi trường CNTT bao gồm ba khái niệm chính: môi trường thực, môi trường phát triển ứng dụng và môi trường kiểm thử ứng dụng
Hình 2 Ba loại môi trường CNTT
- Môi trường thực là bao gồm phần cứng và phần mềm mà người dùng sử dụng để thực hiện các tác vụ trong hệ thống
- Môi trường phát triển ứng dụng là môi trường để lập trình viên phát triển các ứng dụng phần mềm
Môi trường kiểm thử ứng dụng là nơi thực hiện kiểm tra và đánh giá tính chính xác của phần mềm, nhằm xác nhận rằng ứng dụng hoạt động đúng trước khi được đưa vào sử dụng thực tế.
Trong kỹ thuật phần mềm, "môi trường CNTT" bao gồm các thành phần phần cứng, phần mềm và mạng cần thiết cho hoạt động của hệ thống công nghệ thông tin Môi trường này không chỉ bao gồm các thiết bị vật lý như máy tính, mà còn có môi trường phát triển và môi trường kiểm thử Môi trường phát triển cung cấp công cụ và tài nguyên cho lập trình viên viết và biên dịch mã nguồn, trong khi môi trường kiểm thử hỗ trợ việc kiểm tra và gỡ lỗi mã nguồn phần mềm.
2.2.3 Thành phần môi trường CNTT
Giải nghĩa chi tiết về ứng dụng của các thành phần CNTT và vai trò của KT CNTT đối với các cấu phần này, tham khảo PHỤ LỤC 3
Môi trường IT bao gồm máy tính chạy phần mềm hệ điều hành và lưu trữ các chương trình như ứng dụng IT cùng cơ sở dữ liệu Các ứng dụng này thu thập và sử dụng dữ liệu, trong khi phần mềm mạng kết nối các máy tính, giúp việc sử dụng ứng dụng IT và xử lý dữ liệu trở nên dễ dàng hơn Ngoài ra, tính năng bảo mật thường được tích hợp trong mỗi thành phần của môi trường IT.
Máy tính sử dụng hệ điều hành để quản lý và điều khiển các tác vụ, đồng thời lưu trữ và chạy các chương trình ứng dụng cùng cơ sở dữ liệu để xử lý dữ liệu Phần mềm mạng cho phép các máy tính kết nối và truy cập từ xa các chương trình ứng dụng và cơ sở dữ liệu Mỗi thành phần đều tích hợp các tính năng bảo mật nhằm bảo vệ an toàn cho dữ liệu hệ thống Để xác định quy trình mà KT CNTT áp dụng, cần chú ý đến các khái niệm như SCOT và quy trình phụ của FSCP.
Chương 2 trình bày các khái niệm quan trọng được sử dụng xuyên suốt trong bài, trong đó bao gồm có khái niệm về thông tin, công nghệ thông tin, hệ thống thông tin và hệ thống thông tin kế toán, ngoài ra còn có các thuật ngữ CNTT quan trọng đƣợc sử dụng với tần suất thấp trong bài nhƣng mang ý nghĩa trừu tƣợng trong ngành CNTT và khó hiểu đã đƣợc tổng hợp ở phần "Một số thuật ngữ liên quan" nhằm hạn chế sự gián đoạn mạch bài khi phải giải thích những kiểm soát phức tạp Bên cạnh đó, ý nghĩa của những khái niệm lớn trong bài nhƣ SCOT, FSCP, Big Data, dữ liệu cấu trúc và dữ liệu phi cấu trúc cũng đƣợc giải thích trong phần này.
GIỚI THIỆU QUY TRÌNH ITGCs TẠI EY VIỆT NAM
Sự khác biệt giữa kiểm toán CNTT và kiểm toán BCTC
Hình 4 Hình minh hoạ tất cả thủ tục kiểm soát tại doanh nghiệp
Trong hình, các dấu chấm tròn biểu thị cho toàn bộ thủ tục kiểm soát mà doanh nghiệp thực hiện, với các thủ tục trên hệ thống thông tin được thể hiện bằng dấu tròn màu tím Sau khi tiến hành kiểm toán, kiểm toán CNTT sẽ đưa ra kết luận về hiệu quả của các kiểm soát này.
Kiểm toán BCTC có thể xác định rằng các thủ tục kiểm soát còn lại sẽ được thực hiện thử nghiệm kiểm soát hoặc thử nghiệm cơ bản.
Có 2 kịch bản kiểm toán sau khi kiểm toán CNTT đƣa ra kết luận của mình:
- Các kiểm soát trên HTTT đƣợc kết luận là hiệu quả: kiểm toán BCTC thực hiện thử nghiệm kiểm soát cho các thủ tục kiểm soát còn lại
- Các kiểm soát trên HTTT đƣợc kết luận là không hiệu quả: kiểm toán
BCTC thực hiện thử nghiệm cơ bản cho các thủ tục kiểm soát còn lại.
Khái niệm ITGCS
Thủ tục kiểm soát CNTT chung là chuỗi hoạt động nhằm đảm bảo tính chính xác, độ tin cậy và an toàn của thông tin tài chính trong hệ thống CNTT Quá trình này bao gồm kiểm tra, phân tích, đánh giá và cải tiến các quy trình, chính sách, cũng như thực hiện các biện pháp kiểm soát trong hệ thống CNTT.
Theo khung ISACA, ITGC (Kiểm soát chung CNTT) bao gồm các quy trình, chính sách và thủ tục nhằm đảm bảo tính toàn vẹn, an ninh và hiệu quả của hệ thống thông tin Những điều kiện kiểm soát này được áp dụng trên toàn bộ môi trường CNTT của tổ chức, bao gồm quy trình, chính sách, phương pháp và quản lý tài nguyên CNTT ITGC đóng vai trò quan trọng trong việc bảo vệ tính toàn vẹn, sẵn sàng, hiệu quả và an toàn của hệ thống CNTT.
Đặc điểm quy trình ITGCs
ITGCs bao gồm các nhóm kiểm soát chính nhƣ sau:
Quản lý quyền truy cập là một yếu tố quan trọng trong bảo mật thông tin, giúp đảm bảo rằng người dùng chỉ được phép truy cập vào những dữ liệu và ứng dụng cần thiết cho công việc của họ Điều này không chỉ bảo vệ thông tin nhạy cảm mà còn tối ưu hóa hiệu suất làm việc.
Quản lý mật khẩu là yếu tố quan trọng trong việc bảo vệ thông tin người dùng Để đảm bảo an toàn, người dùng cần đăng nhập bằng mật khẩu mạnh và thực hiện việc thay đổi mật khẩu định kỳ.
Quản lý phân quyền là một yếu tố quan trọng trong việc bảo mật thông tin, đảm bảo rằng người dùng chỉ có quyền truy cập vào các dữ liệu và ứng dụng cần thiết để thực hiện công việc của họ một cách hiệu quả.
Quản lý việc sao lưu và khôi phục sau sự cố là rất quan trọng, đảm bảo thông tin được sao lưu định kỳ và lưu trữ an toàn, giúp phục hồi dữ liệu khi cần thiết.
Quản lý bảo mật vật lý: Đảm bảo rằng các máy chủ, thiết bị và phần mềm đƣợc bảo vệ khỏi mất mát hoặc truy cập trái phép
KT CNTT sẽ đánh giá hiệu quả của các thủ tục kiểm soát công nghệ thông tin liên quan đến các mục tiêu đã đề ra, nhằm đưa ra các khuyến nghị cần thiết để cải thiện điều kiện kiểm soát.
Mục đích của quy trình kiểm toán ITGCs
Theo quy trình và các buổi đào tạo nội bộ cho kiểm toán công nghệ thông tin tại EY, việc kiểm toán các doanh nghiệp sử dụng hệ thống thông tin trong sản xuất kinh doanh là rất quan trọng.
KT CNTT cần phải tìm hiểu sâu sắc:
Vai trò của CNTT trong DN (CNTT tham gia những phần nào và có khả năng tạo ra những thông tin gì)
Cách DN sử dụng và kiểm soát nó
Với nguồn lực hạn chế trong mỗi cuộc kiểm toán, kiểm toán công nghệ thông tin (KT CNTT) không cần tham gia vào toàn bộ quy trình có sự nhúng của CNTT Họ chỉ cần tập trung vào những quy trình mà doanh nghiệp (DN) nhập dữ liệu, xử lý, bảo trì và báo cáo thông tin ảnh hưởng đến báo cáo tài chính (BCTC) Những quy trình liên quan đến CNTT nhưng không được kiểm toán CNTT kiểm tra sẽ không ảnh hưởng đến thông tin trên BCTC, chẳng hạn như quy trình lập trình trang web hay thay đổi giao diện ứng dụng.
CNTT có thể hỗ trợ DN và hoạt động tài chính của DN dưới nhiều dạng thức khác nhau, bao gồm:
- Công cụ tính toán dành cho người dùng cuối: Microsoft Excel
Off-the-shelf software, also known as commercial software, refers to products provided by third-party vendors as a type of service Popular examples of off-the-shelf software used by businesses include Salesforce, QuickBooks, and Trello.
Hình 5 Các phần mềm off-the-shelf
(Nguồn: Tác giả tổng hợp)
Phần mềm tự phát triển trong doanh nghiệp, thường được gọi là In-house, là loại phần mềm phổ biến trong các cuộc kiểm toán tổ chức tài chính và ngân hàng Đặc trưng của ngành này là yêu cầu cao về tính bảo mật, do đó, phần mềm này được thiết kế để đáp ứng các tiêu chuẩn khắt khe trong lĩnh vực tài chính.
- Phần mềm đƣợc lập trình sẵn, phức tạp nhƣng có thể cấu hình lại theo ý muốn của DN nhƣ SAP
Hình 6 Phần mềm SAP và các ứng dụng liên quan
Các bước tìm hiểu quy trình và đánh giá việc sử dụng CNTT của doanh nghiệp sẽ được thực hiện theo hướng dẫn của EY GAM (EY Global Audit Methodology) như sau (PHỤ LỤC 7).
Hình 7 Quy trình kiểm toán CNTT
Chi tiết các bước trong quy trình ITGCs
Mỗi doanh nghiệp đều vận hành môi trường công nghệ thông tin (CNTT) thông qua các quy trình quản lý CNTT Quy trình CNTT bao gồm một chuỗi các hoạt động cần thiết để hệ thống CNTT đáp ứng yêu cầu của doanh nghiệp, như thực hiện thay đổi phần mềm, cung cấp quyền truy cập cho người dùng và giám sát hoạt động của các chương trình máy tính.
1 Tìm hiểu mô hình ứng dụng CNTT của doanh nghiệp
2 Tìm hiểu ảnh hưởng của CNTT lên các thành phần của hệ thống kiểm soát nội bộ
3 Kiểm toán báo cáo tài chính xác định các nhóm giao dịch quan trọng (SCOT) và những quy trình phụ của quá trình đóng sổ (FSCP)
4 Xác định các ứng dụng có liên quan tới các SCOT và quy trình phụ của quá trình đóng sổ.
5 Xác định các thành phần
CNTT liên quan (cơ sở dữ liệu, hệ điều hành, phần mềm mạng) hỗ trợ cho các ứng dụng ở bước 4.
6 Tìm hiểu quy trình CNTT đang được vận hành cho các ứng dụng này và những thành phần CNTT khác Xác định ảnh hưởng của chúng lên các tìm hiểu của kiểm toán về chiến lược kiểm toán Các quy trình này bao gồm (1) Kiểm soát thay đổi; (2) Kiểm soát truy cập và (3) Kiểm soát vận hành
7 Xác định các rủi ro và các thủ tục kiểm soát mà doanh nghiệp đang sử dụng cho 3 quy trình trên.
8 Đánh giá tính hiệu quả của các thủ tục kiểm soát và thông báo cho đội kiểm toán tài chính
9 Khi quá trình kiểm toán ITGCs của khách hàng được thực hiện cho kì kiểm toán giữa năm (
