LUẬN VĂN THẠC SĨ : VẬN DỤNG CHUẨN MỰC QUỐC TẾ ĐỂ XÂY DỰNG QUY TRÌNH VÀ THỦ TỤC KIỂM TOÁN HỆ THỐNG CÔNG NGHỆ THÔNG TIN TRONG KIỂM TOÁN BÁO CÁO TÀI CHÍNH TẠI VIỆT NAM

NG THÁI NG C KHIÊM... CISA review manual.

CÁO TÀI CHÍNH T I VI T NAM

CÁO TÀI CHÍNH T I VI T NAM

Tôi xin cam đoan đây là công trình nghiên c u c a riêng tôi K t qu nêu trong lu n

v n là trung th c và ch a t ng đ c công b trong b t c công trình nghiên c u nào

NG THÁI NG C KHIÊM

Trang ph bìa

L i cam đoan

M c l c

Danh m c vi t t t

Danh m c các b ng

Danh m c hình v

PH N M U 1

1 Tính c p thi t c a đ tài 1

2 T ng quan các v n đ nghiên c u 4

3 M c tiêu lu n v n 8

4 Ph ng pháp nghiên c u 8

5 Ph m vi và đ i t ng nghiên c u 10

6 Các đóng góp c a lu n v n 10

7 Trình bày và k t c u lu n v n 11

CH NG 1: QUY TRÌNH VÀ TH T C KI M TOÁN CÔNG NGH THÔNG TIN 12

1.1 KI M TOÁN CÔNG NGH THÔNG TIN 12

1.1.1 Quá trình hình thành, phát tri n c a ki m toán CNTT 12

1.1.2 M c tiêu và vai trò c a ki m toán h th ng công ngh thông tin 14

1.2 QUY TRÌNH VÀ TH T C KI M TOÁN CÔNG NGH THÔNG TIN 19

1.2.1 L p k ho ch ki m toán 19

1.2.2 Th c hi n ki m toán và đánh giá 24

CH NG 2: TH C TR NG QUY TRÌNH VÀ CÁC TH T C KI M TOÁN CNTT TRONG KI M TOÁN BCTC ÁP D NG T I VI T NAM 43

CNTT TRONG CU C KI M TOÁN BCTC C A CÁC CÔNG TY KI M

TOÁN VI T NAM 47

2.2.1 M c tiêu kh o sát 47

2.2.2 i t ng, th i gian và ph m vi kh o sát 48

2.2.3 Ph ng pháp kh o sát 48

2.2.4 K t qu kh o sát 49

2.2.5 Minh h a quy trình và th t c ki m toán CNTT trong m t cu c ki m toán BCTC 51

CH NG 3: V N D NG XÂY D NG QUY TRÌNH VÀ TH T C KI M TOÁN CNTT TRONG KI M TOÁN BCTC T I VI T NAM 55

3.1 GI I PHÁP CHUNG 55

3.2 GI I PHÁP C TH 59

3.2.1 Ban hành các khái ni m liên quan đ n ki m toán CNTT 59

3.2.2 Chu n hóa quy trình l p k ho ch và th c hi n ki m toán CNTT theo chu n m c qu c t 60

3.2.3 Ph i h p v i các bên liên quan xây d ng đ ng b c s h t ng và ki n trúc liên quan 62

K T LU N 63

TÀI LI U THAM KH O

PH L C

AICPA: Hi p h i K toán viên công ch ng Hoa K

BCTC: Báo cáo tài chính

COBIT (Control Objectives for Information and related Technology): Ki m soát các v n đ đ i v i thông tin và k thu t liên quan

ban ch ng gian l n báo cáo tài chính

CNTT: Công ngh thông tin

ISACA (Information Systems Audit and Control Association): Hi p h i ki m soát

và ki m toán h th ng thông tin

IT (Information Technology): Công ngh thông tin

ITAF (IT Assurance Framework): Khuôn m u đ m b o công ngh thông tin

B ng 1.1: Phân lo i ki m soát h th ng t ng quát (General IT Control)

Hình 1.2: Quy trình th c hi n ki m toán CNTT trong cu c ki m toán BCTC

Hình 1.3: Phân lo i ki m soát x lý (Process control)

Hình 1.4: Ki m soát h th ng t ng quát (General IT Control)

Hình 1.5: L a ch n th c hi n th nghi m ki m soát h th ng t ng quát t ng ng

v i các ng d ng KTV s s d ng

Hình 1.6: M i t ng quan c a ki m soát ng d ng v i ki m soát h th ng t ng quát

PH N M U

1 TÍNH C P THI T C A TÀI

H th ng thông tin k toán thu th p d li u và x lý thông tin k toán nh m m c tiêu cung c p cho ng i s d ng bên trong và bên ngoài doanh nghi p các v n đ tài chính doanh nghi p đ t đó đ a ra các quy t đ nh phù h p Ch t l ng thông tin k toán nh h ng tr c ti p đ n ch t l ng và hi u qu quy t đ nh c a ng i s

d ng thông tin Vì th , ch t l ng thông tin k toán đ c quan tâm hàng đ u trong

ho t đ ng qu n tr T i Hoa K , đ o lu t Sarbanes Oxley (2002) đ c xây d ng

nh m b o v l i ích c a các nhà đ u t vào các công ty đ i chúng b ng cách bu c các công ty này ph i c i thi n s đ m b o và tin t ng vào các báo cáo, các thông tin tài chính công khai; các hi p h i t ch c ngh nghi p c ng l n l t đ a ra các nghiên c u và báo cáo v khuôn m u, chu n m c đ đ m b o ch t l ng thông tin

k toán

Tr c s đa d ng và quan tr ng c a thông tin k toán, ng i s d ng phát sinh nhu

c u đ c cung c p các d ch v b o đ m t bên th ba đ c l p khách quan có trình

đ chuyên môn cao và đ c pháp lu t cho phép ho t đ ng Các đ n v ki m toán ra

đ i đáp ng nhu c u trên cùng v i các lo i hình d ch v đ m b o ph bi n đ c phân lo i theo ch c n ng nh sau: ki m toán báo cáo tài chính, ki m toán tuân th

và ki m toán ho t đ ng V i b t k lo i hình ki m toán nào, khi đ i t ng đ ki m toán viên th c hi n các th t c ki m toán là h th ng công ngh thông tin, ph m trù

dung là nh ng quy trình, th t c ch t ch nh m m c đích thu th p b ng ch ng và đánh giá b ng ch ng v các ho t đ ng c a h th ng thông tin đã đ c t ch c Vi c đánh giá các b ng ch ng ph i đ m b o r ng ho t đ ng c a h th ng y đ c b o

m t, chính tr c, h u hi u và hi u qu nh m đ t đ c các m c tiêu c a t ch c đã đ

toán n i b hay ki m toán vì m c đích khác

Cùng v i s bùng n c a ngành công ngh thông tin, các công ty phát tri n và cung

c p gi i pháp qu n tr cho ra đ i hàng lo t h th ng qu n lý tích h p sâu vào t ng

ho t đ ng c a doanh nghi p nh m thu th p, x lý, cung c p chính xác, k p th i các thông tin tài chính trong doanh nghi p, bao g m c thông tin k toán nh m đáp ng nhu c u s d ng thông tin c a nhi u đ i t ng Các h th ng trên đ c g i chung

v i tên g i “H th ng ho ch đ nh các ngu n l c doanh nghi p” (Enterprise

USA s d ng t nh ng n m đ u c a th p niên 70 c a th k tr c (1970s) nh m

mô t h th ng ph n m m doanh nghi p đ c hình thành và phát tri n t nh ng h

th ng qu n lý và ki m soát kinh doanh giúp doanh nghi p ho ch đ nh và qu n lý các ngu n l c bên trong và bên ngoài doanh nghi p Vi c ng d ng ERP r ng rãi

b i các doanh nghi p ch ng t hi u qu kinh t mà h th ng này mang l i d n đ n

ki m toán CNTT càng tr nên ph bi n và là m t ph n không th tách r i trong các

cu c ki m toán

Tuy nhiên, xu th trên ch m i b t đ u di n ra t i Vi t Nam trong nh ng n m g n đây v i quy mô nh Giai đo n 2008, theo báo cáo tình hình ng d ng CNTT – Truy n thông trong doanh nghi p, ch có 3.48% doanh nghi p ng d ng ERP

hi n thành công ERP (Nguy n Th Bích Liên, 2012) M t khác, công vi c ki m toán quy trình và h th ng công ngh thông tin đòi h i ki m toán viên ph i có ki n th c tài chính k toán, đ ng th i ph i có ki n th c v h th ng thông tin c ng nh am

hi u v các ng d ng ERP ph bi n t i Vi t Nam c ng nh đang đ c s d ng r ng rãi trên th gi i

Do đó, ki m toán CNTT v n còn là m t khái ni m m i t i Vi t Nam và ch a đ c

h ng d n b i H i ki m toán viên hành ngh Vi t Nam (Vietnam Association of

d a trên vi c xem xét tính tuân th các th t c, các quy đ nh trong n i quy t i đ n

1 Vi n Tin h c Doanh nghi p, Phòng Th ng m i và Công nghi p Vi t Nam (VCCI-ITB)

v thu c nh ng t p đoàn qu c t đ u t vào Vi t Nam đã xây d ng s n h th ng

ki m soát n i b ch t ch và áp d ng các quy đ nh n i b trong t p đoàn cho t t c

đ n v thành viên t i m i qu c gia i v i các doanh nghi p khác trong n c, ch

có Ngân hàng Nhà n c Vi t Nam quy đ nh v quy trình ki m toán ho t đ ng qu n

lý, s d ng h th ng công ngh thông tin t i các đ n v ngân hàng nhà n c (V n

b n s 4918/Q -NHNN, 2012) Nh v y, khi th c hi n cu c ki m toán, ki m toán viên v n d a vào h ng d n trong b chu n m c ki m toán Vi t Nam là Chu n

m c s 401 – Th c hi n ki m toán trong môi tr ng tin h c, Chu n m c s 500 –

B ng ch ng ki m toán và Chu n m c s 610 – S d ng công vi c c a chuyên gia

c ng nh áp d ng các chu n m c t b khuôn m u ki m toán h th ng (ITAF,

th Hi n nay, đã có 17 chu n m c ki m toán và đ m b o h th ng (IS Audit and

hành chính th c

T t m quan tr ng c a v n đ c ng nh s l ng nghiên c u ch a nhi u, lu n v n

ch n đ tài “V n d ng chu n m c qu c t đ xây d ng quy trình và th t c ki m

toán h th ng công ngh thông tin trong ki m toán báo cáo tài chính t i Vi t Nam”

Lu n v n đ c p t i các quy trình và th t c ki m toán h th ng công ngh thông tin đang đ c áp d ng hi n nay t i Vi t Nam và kho n cách so v i các chu n m c

đ c áp d ng qu c t D a vào k t qu ki m toán h th ng, ki m toán viên có c s

đ đánh giá quá trình tuân th và qu n tr h th ng đ i v i doanh nghi p tích h p sâu công ngh thông tin vào công tác qu n lý, c th là các doanh nghi p tri n khai

2 CobiT –Control Objectives for Information and related Technology- do Vi n qu n lý công ngh thông tin (IT Governance Institute) thu c Hi p h i v ki m soát và ki m toán HTTT (ISACA-Information System Audit and Control Association) ban hành n m 1996 COBIT nh n m nh đ n ki m soát trong môi tr ng tin

h c

ERP, t đó t o c s đ đ a ra k t lu n v báo cáo tài chính c a doanh nghi p đ c

ki m toán

2 T NG QUAN CÁC V N NGHIÊN C U

Nh đã đ c p, t l tri n khai và ng d ng ERP c a các doanh nghi p t i Vi t Nam còn t ng đ i khiêm t n, m t khác ki m toán viên không nh ng ph i có ki n th c tài chính k toán, đ ng th i l i ph i có ki n th c v ng ch c v nhi u h th ng công ngh thông tin khác nhau, do đó ch a có nhi u bài vi t và nghiên c u đ c th c

hi n t i môi tr ng Vi t Nam v l nh v c ki m toán h th ng công ngh thông tin

m t cách tr c ti p, ch y u các ngu n tài li u đ c d ch t n c ngoài và các bài nghiên c u v ho t đ ng ki m soát thông tin trong môi tr ng tin h c hóa t i doanh nghi p Tuy nhiên, do ho t đ ng ki m toán CNTT có nhi u đi m t ng đ ng v i

ho t đ ng ki m soát thông tin, nên các nghiên c u đó c ng có đóng góp đáng k cho vi c hình thành và xây d ng chu n m c ki m toán h th ng công ngh thông tin v n còn đang b ng t i Vi t Nam

C ng chính vì th , các h ng d n ki m toán h th ng công ngh thông tin hi n t i

đ c mô t chung trong quy trình ki m toán báo cáo tài chính ho c quy trình ki m soát n i b và ch a tách h th ng thông tin thành m t th c th c n đ c ki m toán

và ra ý ki n riêng bi t, m c dù ph m vi áp d ng c a chu n m c ki m toán Vi t Nam

s 401 – Th c hi n ki m toán trong môi tr ng tin h c (VSA 401) kh ng đ nh kh

n ng v n d ng c a chu n m c cho m c đích “ki m toán thông tin tài chính khác và các d ch v có liên quan c a công ty ki m toán trong môi tr ng tin h c c a khách

2014 và không có chu n m c t ng ng trong b 37 chu n m c ki m toán m i c a

3 Chu n m c ki m toán Vi t Nam s 401 – Th c hi n ki m toán trong môi tr ng tin h c - Ban hành và công

b theo Quy t đ nh s 195/2003/Q -BTC ngày 28 tháng 11 n m 2003 c a B tr ng B Tài chính và có

hi u l c thi hành t tháng 12/2003 đ n h t tháng 12/2013 Không có chu n m c t ng ng trong b 37 chu n

m c ki m toán Vi t Nam đ c ban hành theo Thông T 214 /2012/TT-BTC ngày 6 tháng 12 n m 2012 c a

B Tài chính

viên và công ty ki m toán đ có th thõa mãn yêu c u trong vi c đánh giá r i ro và

ki m soát n i b theo h ng d n c a chu n m c ki m toán Vi t Nam s 400 –

ánh giá r i ro và ki m soát n i b và phân tích b n ch t và đ c đi m các r i ro

- T ng kh n ng giám sát c a Ban Giám đ c

D a nh ng đ c đi m và b n ch t trên, ki m toán viên và công ty ki m toán ph i

ki m toán th p đ n m c có th ch p nh n đ c Và trong tr ng h p h th ng có tính ph c t p cao, c n xem xét vi c s d ng s giúp đ c a chuyên gia thành th o

nh ng k n ng c n thi t trong khi l p k ho ch và ki m toán viên ph i thu th p đ y

đ b ng ch ng ki m toán thích h p đ đ m b o r ng công vi c c a chuyên gia th c

hi n là đúng m c đích c a cu c ki m toán, tuân th theo Chu n m c ki m toán Vi t

đ ng ki m toán CNTT, t o ti n đ cho các chu n m c khác ra đ i, đ c bi t trong

4 Chu n m c ki m toán Vi t Nam s 620 – S d ng t li u c a chuyên gia - Ban hành và công b theo Quy t

đ nh s 195/2003/Q -BTC ngày 28 tháng 11 n m 2003 c a B tr ng B Tài chính và có hi u l c thi hành

t tháng 12/2003 đ n h t tháng 12/2013 và đ c thay th b ng Chu n m c ki m toán Vi t Nam s 620 – S

d ng công vi c c a chuyên gia trong b 37 chu n m c ki m toán Vi t Nam đ c ban hành theo Thông T

214 /2012/TT-BTC ngày 6 tháng 12 n m 2012 c a B Tài chính

b i c nh 37 chu n m c ki m toán Vi t Nam đ c xây d ng theo chu n m c qu c t

đ c ban hành b i b Tài chính b t đ u có hi u l c t n m 2014

Do ho t đ ng xem xét môi tr ng tin h c c a doanh nghi p trong vi c l p k ho ch

và thi t l p các th t c ki m toán có quan h ch t ch v i ho t đ ng ki m soát n i

b c a doanh nghi p Trong bài vi t đ ng trên c ng thông tin khoa k toán c a i

h c Duy Tân (www.kketoan.duytan.edu.vn), H Tu n V đã đ a ra gi i pháp h n

ch r i ro ti m n đ i v i ho t đ ng ki m soát trong môi tr ng tin h c Bài vi t phân lo i các r i ro d a trên nguyên nhân nh sau:

- Xu t phát t thi t b ph n c ng

- Xu t phát t s v n hành c a h th ng m ng

- Xu t phát t s thi t k c a ph n m m ng d ng

- Xu t phát t công vi c l u tr d li u

Qua nh n đ nh v các nguyên nhân đó, tác gi đ a ra gi i pháp h n ch các r i ro

ti m n đ i v i ho t đ ng ki m soát trong môi tr ng tin h c cho doanh nghi p

b ng vi c th c hi n hai m c tiêu chính:

soát v t ch t, v n hành máy tính

- Th c hi n ho t đ ng ki m soát ng d ng thông qua ràng bu c trách nhi m

v i các đ i t ng có liên quan nh doanh nghi p, nhà cung c p ph n m m,

b ph n k thu t

Song song v i vi c quy đ nh rõ trách nhi m cho t ng đ i t ng, tác gi còn đ xu t

gi i pháp ki m soát d li u t khâu đ u vào, khâu x lý và giai đo n có thông tin

đ u ra C th nh vi c thi t l p chính sách an ninh h th ng, ki m soát nh p li u đ

đ m b o ch t l ng d li u đ u vào, ki m soát các ch c n ng t đ ng c a ph n

m m, các th c x lý s li u đ trong quá trình x lý d li u và ki m tra đ i chi u

v i các thông tin đ u ra H n ch c a bài vi t không đ c p đ n ph ng th c th c

hi n c th mà ch đ a ra các ý t ng chính trong vi c th c hi n ho t đ ng ki m soát đ c khoa h c và có tính bao ph r ng nh m h n ch r i ro

V n đ r i ro đ c xem xét trên nhi u khía c nh khác nhau, đa d ng v nguyên nhân c ng nh tính ch t, tuy nhiên m c tiêu chính c a vi c xây d ng môi tr ng tin

h c trong doanh nghi p dùng t o n n t ng đ phát tri n các h th ng thông tin nói chung và h th ng thông tin k toán nói riêng nh m cung c p thông tin k toán mô

t các v n đ tài chính c a doanh nghi p Chính vì th , ch t l ng thông tin tr thành m t đ i t ng đ c nghiên c u Thông tin có h n 20 thu c tính, bao g m các thu c tính đ c đ c p nhi u nh t nh tính chính xác, nh t quán, an ninh, k p th i

thu c tính đ c b o toàn, không b thay đ i qua quá trình x lý và đ n tay ng i s

d ng, chính vì th các nhân t nh h ng đ n ch t l ng thông tin nói chung và thông tin k toán nói riêng trong môi ng d ng tin h c t i doanh nghi p, đ c bi t khi doanh nghi p tri n khai h th ng ho ch đ nh ngu n l c doanh nghi p ERP đ c phân tích nh m t o c s cho vi c xây d ng ho t đ ng ki m soát (Nguy n Bích Liên, 2012) Trong quá trình phân tích và kh o sát, Nguy n Bích Liên đã nh n đ nh

ra đ c m t s nhân t m i và đ a ra ph ng pháp c th đ ki m soát các nhân t

đ đ m b o ch t l ng thông tin k toán nh m ph c v các m c đích c a ng i s

d ng

Nh v y, các đ tài, bài vi t c ng nh công trình nghiên c u hi n có đã ti p c n h u

h t các khía c nh c a h th ng công ngh thông tin t i doanh nghi p, c ng nh đ a

ra đ c các bi n pháp đ ki m soát h th ng nh m đ m b o các m c tiêu ban đ u

h th ng đ c thi t k Tuy nhiên v n ch a làm rõ khái ni m ki m toán CNTT c ng

nh đ a ra đ c quy trình và th t c c th nói chung và áp d ng cho ki m toán

3 M C TIÊU LU N V N

- Làm rõ ph m trù ki m toán CNTT thông qua vi c tìm hi u khái ni m và

phân tích các n i dung; c th là quy trình và th t c ki m toán theo h ng

d n c a khuôn m u ki m toán h th ng ITAF

- Th c tr ng xây d ng quy trình và áp d ng các th t c ki m toán h th ng

công ngh thông tin trong cu c ki m toán BCTC t i Vi t Nam thông qua

kh o sát t i các công ty ki m toán

- Ki n ngh xây d ng h th ng chu n m c ki m toán CNTT phù h p v i môi

tr ng Vi t Nam nh m rút ng n kho n cách k v ng ki m toán trong cu c

ki m toán BCTC

đ t đ c m c tiêu đ ra, lu n v n c n gi i quy t ba v n đ chính có quan h ch t

ch nhau, đó là: (1) Ph m trù ki m toán CNTT và các n i dung h ng d n c a

c ng nh quy trình xây d ng và th t c ki m toán h th ng công ngh thông tin d a

theo chu n m c qu c t ; (2) Th c tr ng áp d ng t i Vi t Nam thông qua kh o sát

quy trình và th t c th c hi n ki m toán CNTT trong cu c ki m toán BCTC t i các công ty ki m toán M c đích c a ph n này làm rõ công vi c th c t c a ki m toán

viên khi th c hi n cu c ki m toán v i các lo i hình doanh nghi p khác nhau (3)

Ki n ngh xây d ng h th ng chu n m c ki m toán CNTT phù h p v i môi tr ng

Vi t Nam M c đích c a ph n này ch ra các kho n cách k v ng gi a khách hàng,

các chu n m c hi n t i và th c t t i Vi t Nam nh m đ xu t gi i pháp rút ng n kho n cách c ng nh ki n ngh xây d ng b chu n m c v a phù h p v i môi

tr ng Vi t Nam v a đ ng b v i th gi i

gi i quy t v n đ (1) Ph m trù ki m toán CNTT và các n i dung h ng d n c a khuôn m u ki m toán h th ng ITAF Lu n v n s d ng ph ng pháp so sánh các

lý thuy t n n v ki m toán CNTT, các quan đi m c a các t ch c ngh nghi p có tính qu c t hay các c quan qu n lý nhà n c

gi i quy t v n đ (2) Th c tr ng áp d ng t i Vi t Nam Lu n v n s d ng

ph ng pháp th c nghi m thông qua vi c kh o sát các th t c và quy trình ki m toán đã áp d ng t i các lo i hình doanh nghi p t i các cu c ki m toán BCTC có ng

d ng ki m toán CNTT g n đây t i các công ty ki m toán Vi t Nam K t qu k

v ng là các th t c và quy trình (n u có) th c hi n tuân theo chu n m c và h ng

d n Qu c t Các khác bi t s đ c phân tích làm c s cho ki n ngh

gi i quy t v n đ (3) Ki n ngh xây d ng h th ng chu n m c ki m toán CNTT

phù h p v i môi tr ng Vi t Nam Thông qua k t qu có đ c khi gi i quy t v n đ (1) và (2), so sánh, t ng k t và đánh giá

5 PH M VI VÀ I T NG NGHIÊN C U

Ph m vi nghiên c u là các công ty ki m toán Vi t Nam cung c p d ch v ki m toán

công tác qu n lý, c th là vi c tri n khai thành công H th ng ho ch đ nh các ngu n l c doanh nghi p t i đ n v (ERP), các h th ng MRP, MRP II v.v… có b sung phân h Tài chính – K toán ho c các h th ng t ng đ ng do doanh nghi p

t phát tri n

i t ng nghiên c u là quy trình và th t c ki m toán CNTT đ c áp d ng cho

bao g m các khuôn m u lý thuy t, các chu n m c, h ng d n đ c ban hành b i ISACA v ki m toán h th ng công ngh thông tin, các v n b n h ng d n c a các

t ch c có th m quy n, c quan nhà n c, hi p h i ngh nghi p

6 CÁC ÓNG GÓP C A LU N V N

V m t lý thuy t, lu n v n làm rõ khái ni m ki m toán CNTT v n còn r t m i t i

Vi t Nam, k t n i quy trình và th t c ki m toán t chu n m c qu c t v i th c

tr ng ki m toán BCTC t i Vi t Nam T đó t o n n t ng cho các nghiên c u khác

v vi c xây d ng b chu n m c ki m toán CNTT t i Vi t Nam

K t qu nghiên c u c a lu n v n có giá tr tham kh o đ i v i các ki m toán viên trong vi c xây d ng k ho ch ki m toán các doanh nghi p s d ng ERP t i Vi t Nam

• Ch ng 3: V n d ng xây d ng quy trình và th t c ki m toán CNTT trong

ki m toán BCTC t i Vi t Nam

• K t lu n chung lu n v n

CH NG 1: QUY TRÌNH VÀ TH T C KI M TOÁN H

TH NG CÔNG NGH THÔNG TIN

1.1 KI M TOÁN CÔNG NGH THÔNG TIN

1.1.1 Quá trình hình thành, phát tri n c a ki m toán công ngh thông tin

Ki m toán công ngh thông tin (CNTT) là m t ph n c a quá trình ki m toán t ng

th , đó là m t trong nh ng công c h tr đ qu n tr t t doanh nghi p Khái ni m

ki m toán ra đ i t r t lâu t nh ng hình th c s khai ban đ u v i vi c ki m tra tính chính xác c a các ghi chép k toán cho đ n nay, ki m toán xu t hi n v i nhi u ch c

n ng khác nhau nh ki m toán báo cáo tài chính, ki m toán ho t đ ng và ki m toán tuân th Ho t đ ng ki m toán đã tr i qua m t quá trình phát tri n ph c t p g n li n

v i các s ki n l ch s trên th gi i và luôn đ c hoàn thi n đ đáp ng đ c yêu

th ng chung v i m t c s d li u chung, nó bao g m các phân h c b n nh m h

tr các ho t đ ng marketing, tài chính, k toán, s n xu t và qu n tr ngu n nhân l c Không nh ng th ERP h ng t i l p k ho ch và l ch trình t i c ng i cung c p ngu n l c cho doanh nghi p trên c s l p k ho ch nhu c u và l ch trình khách hàng m t cách n ng đ ng C ng chính vì th , kh i l ng d li u phát sinh, đ c x

lý và l u tr m i ngày thông qua các nghi p v kinh t t i doanh nghi p càng tr nên ph c t p và khó ki m soát M t khác, các d li u trên là c s đ h th ng thông tin k toán đ a ra k t qu là thông tin k toán v i vai trò h t s c quan tr ng

trong vi c ra quy t đ nh c a các nhà qu n tr Ch t l ng c a thông tin k toán trong môi tr ng ng d ng h th ng công ngh thông tin nói chung và ERP nói riêng tr

thành v n đ quan tâm c a các nhà qu n tr Ki m toán h th ng công ngh thông

tin k toán ra đ i trong b i c nh đó v i hình th c ban đ u là Ki m toán x lý d li u

đi n t (Electronic Data Process Auditing) nh h qu t t y u c a vi c tri n khai

công ngh vào h th ng k toán, sau đó đ c phát tri n r ng rãi thành Ki m toán h

th ng công ngh thông tin (IT auditing) khi các h th ng k toán đ n gi n đ c

thay th d n d n theo quy mô m r ng c a công ty b i các h th ng ph c t p v i nhi u ch c n ng và phân h h n

Các ki m toán viên đ u tiên trong l nh v c trên đã t p h p và thành l p Hi p h i

t hi n nay M c tiêu c a hi p h i bao g m vi c xây d ng các th t c ki m toán

m u, chu n m c và h ng d n ki m toán n ph m đ u tiên c a hi p h i v i tên

g i Control Objectives đ c phát hành vào n m 1977 và đ c bi t đ n r ng rãi v i

tên g i CobiT (Control Objectives for Information and related Technology) Vào

n m 1944, hi p h i đ i tên thành Hi p h i ki m soát và ki m toán h th ng thông

quy mô và ho t đ ng c a h i trong môi tr ng thay đ i nhanh chóng c a công ngh Vào n m 2008, hi p h i đ ng ký tên vi t t t ISACA tr thành tên ho t đ ng chính th c, thay th cho c m t “Hi p h i ki m toán và ki m soát h th ng thông

và h ng d n ki m toán h th ng công ngh thông tin, đào t o và c p ch ng ch hành ngh cho ki m toán viên Hi n t i, ISACA đã ban hành b chu n m c và

h ng d n ki m toán d i tên g i là “Khuôn m u ki m toán đi n t ” (ITAF – IT

- Chu n m c chung (nhóm chu n m c 1000): bao g m các nguyên t c đ c

th c hi n khi hành ngh đ m b o h th ng thông tin Nhóm chu n m c quy

đ nh v đ o đ c, đ c l p, m c tiêu c ng nh ki n th c, n ng l c và k n ng

phù h p V c b n, các chu n m c này không có nhi u khác bi t so v i b chu n m c ki m toán qu c t (ISA - International Standards on Auditing) do IFAC (International Federation of Accountants) ban hành

- Chu n m c th c hành (nhóm chu n m c 1200): bao g m các nguyên t c khi

l p k ho ch, giám sát, ph m vi ki m toán, r i ro và m c tr ng y u, phân b ngu n l c, b ng ch ng ki m toán và đ m b o, th c hành đánh giá chuyên môn và th n tr ng

- Chu n m c báo cáo (nhóm chu n m c 1400): đ c p đ n các l i báo cáo,

ph ng ti n thông tin và các thông tin nên đ c trao đ i

- Các h ng d n đ c so n th o nh m t o s liên k t gi a các chu n m c v i nhau, đ ng th i liên k t gi a chu n m c v i CobiT nh m di n gi i c th

h n các nguyên t c trong các chu n m c v i s hi u t ng ng v i s hi u

c a chu n m c và đ c đánh s b t đ u t 2000

Các s hi u trong chu n m c và h ng d n ch có ý ngh a đ nh danh, không th

hi n th t áp d ng Khi th c hi n ki m toán, ki m toán viên ph i xem xét các chu n m c và h ng d n trong m i quan h t ng quan và b tr l n nhau

1.1.2 M c tiêu và vai trò c a ki m toán h th ng công ngh thông tin

T khi ra đ i cho đ n nay, tuy th i gian phát tri n c a ki m toán CNTT t ng đ i

ng n so v i quá trình phát tri n dài hàng tr m n m c a ngh ki m toán và s phát tri n đó g n li n v i s phát tri n c a công ngh thông tin, ki m toán CNTT đã tr i qua không ít thay đ i

Tuy không có đ nh ngh a th ng nh t trên th gi i v khái ni m ki m toán CNTT cho đ n nay, nhi u tác gi đã mô t ki m toán CNTT b ng cách đ a ra các phân lo i

- Ki m toán quy trình đ i m i công ngh (Technological innovation process

audit): Cu c ki m toán này xây d ng m t h s r i ro cho các d án hi n có

và d án m i Cu c ki m toán s đánh giá m c kinh nghi m c a doanh nghi p đ i v i công ngh đã ch n c ng nh đ ph bi n c a công ngh đó trên th tr ng, trong c u trúc m i d án và trong th ph n c a n n công nghi p c a d án đó

- Ki m toán so sánh c i ti n (Innovative comparison audit): cu c ki m toán

này đánh giá kh n ng c i ti n c a doanh nghi p đ c ki m toán so v i đ i

th c a nó Cu c ki m toán này c n s d ng đánh giá c a các công ty và vi n nghiên c u phát tri n c ng nh các b n báo cáo theo dõi s n xu t s n ph m

m i trên th c t c a doanh nghi p

- Ki m toán v th công ngh (Technological position audit): cu c ki m toán

này đánh giá các công ngh mà doanh nghi p đang s h u ho c c n trang b

Giai đo n 1994 là th i k vàng khi khoa h c máy tính không ch b gi i h n ph c

v trong các môi tr ng chuyên môn nh phòng nghiên c u, thí nghi m, c c th ng

kê, ngân hàng… mà d n d n ti p c n doanh nghi p và m r ng sang ng i dùng

ph thông v i giá thành thi t b r , s d ng đ n gi n Cách phân lo i c a Goodman

c a khoa h c máy tính trong th i k này

Ngoài ra, ki m toán CNTT còn đ c chia thành 5 nhóm theo đ i t ng ki m toán là:

- H th ng và ng d ng (Systems and Applications): Cu c ki m toán xác

vào, x lý, và đ u ra t t c các c p đ ho t đ ng c a h th ng

- Ph ng ti n x lý thông tin (Information Processing Facilities): Cu c ki m

- Qu n lý CNTT và ki n trúc doanh nghi p (Management of IT and Enterprise

hi u qu cho ho t đ ng x lý thông tin

- Máy khách/máy ch , m ng vi n thông, m ng n i b và m ng n i b m r ng

tính nh n d ch v ), máy ch và trên m ng k t n i các máy khách và máy ch

Tuy vi c phân lo i ki m toán CNTT khá đa d ng và có nhi u quan đi m, tuy nhiên công vi c chung c a ki m toán CNTT v n xoay quanh hai khía c nh chính là vi c đánh giá ki m soát chung môi tr ng và h th ng đ ng th i ki m soát ng d ng Theo Weber (1998), ki m toán CNTT là quy trình thu th p và đánh giá b ng ch ng

đ xác minh m t h th ng công ngh thông tin có đ m b o an toàn tài s n, toàn v n

d li u, đ t đ c m c đích t ch c m t cách h u hi u và tiêu th tài nguyên m t

ph n và có ch n l c nh m h tr cho m c tiêu chung c a toàn cu c ki m toán là

đ a ra ý ki n trên BCTC c a đ n v đ c ki m toán

Ngày nay, h th ng thông tin tr nên ph c t p v i nhi u thành ph n h p thành h

tr l n nhau đ đ a ra gi i pháp kinh doanh D i b t k hình th c nào ki m toán

thành t đ c đánh giá và b o đ m an toàn M c tiêu chính c a ki m toán CNTT có

th đ c phân lo i nh sau:

- Soát xét y u t v t lý và môi tr ng (Physical and environmental review):

bao g m soát xét an toàn v t lý, ngu n cung n ng l ng, đi u hòa nhi t đ ,

ki m soát đ m và các nhân t môi tr ng khác

- Soát xét qu n tr h th ng (System administration review): bao g m ki m tra

an ninh t i các h th ng v n hành, h th ng qu n tr c s d li u, t t c các

th t c và tuân th v qu n tr h th ng

- Soát xét ng d ng ph n m m (Application software review): các ng d ng ,

ph n m m kinh doanh có th bao g m ph n m m ti n l ng, hóa đ n, h

th ng x lý đ n hàng đ t qua m ng, ho c m t h th ng qu n tr ngu n l c đang đi u hành doanh nghi p Soát xét các ng d ng ph n m m bao g m

ki m soát và phân quy n truy c p, x lý l i và các b t th ng, lu n x lý kinh doanh bên trong ng d ng, các th t c và ki m soát th công b sung Thêm vào đó, soát xét vòng đ i phát tri n h th ng c ng nên đ c ti n hành

- Soát xét an ninh h th ng (Network security review): soát xét các liên k t

truy c p router5, quét c ng d li u và các h ng d n phát hi n

- Soát xét kh n ng ho t đ ng kinh doanh liên t c (Business continuity

d phòng, quy trình sao l u và l u tr d li u, lên k ho ch và th nghi m khôi ph c/ph c h i kinh doanh sau th m h a

- Soát xét tính toàn v n d li u (Data integrity review): M c đích xem xét k

l ng các d li u trong th i gian th c nh m xác đ nh các ki m soát và nh

h ng c a các khuy t đi m đã phát hi n t nh ng soát xét đã th c hi n bên

ph n m m máy tính khái quát

T t c nh ng y u t này c n đ c gi i quy t đ trình bày cho ban qu n lý m t đánh giá rõ ràng c a h th ng Ví d , ph n m m ng d ng có th đ c thi t k t t và

5 Router, hay thi t b đ nh tuy n ho c b đ nh tuy n, là m t thi t b m ng máy tính dùng đ chuy n các gói

d li u qua m t liên m ng và đ n các đ u cu i, thông qua m t ti n trình đ c g i là đ nh tuy n (http://vi.wikipedia.org/wiki/Router)

th c hi n v i t t c các tính n ng b o m t, nh ng m t kh u m c đ nh c a ng i

thay đ i, do đó cho phép ai đó truy c p các t p tin d li u tr c ti p Tình hu ng đó

s ph đ nh các bi n pháp an ninh đã đ c xây d ng trong ng d ng T ng t nh

v y, các t ng l a và b o m t h th ng k thu t có th đã đ c th c hi n r t t t,

thi t k và tri n khai kém b ng cách s d ng chính mã s nhân viên, nhân viên có

th xem đ c thông tin quan tr ng và nh y c m ngoài ph m vi quy n h n c a h

M c dù các nhân t trên c n đ c xem xét toàn b nh ng đi u đó là không b t

bu c, vì th đ đ t đ c m c tiêu, m i ki m toán viên s th c hi n b ng nhi u

ph ng th c khác nhau, có ng i s xem xét k l ng các nhân t này và b qua các nhân t khác Tuy nhiên c n thi t ph i có k n ng đ th c hi n các vi c liên quan và k t qu ki m toán ph i đ c xem xét trong t ng hòa các m i quan h i u

đó s giúp ki m toán viên và ban qu n lý có cái nhìn t ng th v các v n đ c n gi i quy t và đi u đó là t i c n thi t

trên r i ro Khi các t ch c ngày càng ng d ng h th ng công ngh thông tin, có

th có nhi u s khác nhau trong ng d ng, ho c có s khác nhau trong tính n ng,

ho t đ ng Các t ch c còn có th có nhi u máy tính đ c cài đ t nhi u n i trên

th gi i Trong hoàn c nh đó, ph ng pháp ti p c n d a trên r i ro s tr l i đ c câu h i c n ki m toán cái gì, khi nào và th ng xuyên ra sao R i ro ti m tàng luôn

t n t i trong các h th ng thông tin, và r i ro này nh h ng đ n h th ng khác

r t nghiêm tr ng đ i v i h th ng thanh toán m t c a hàng bán l đông đúc R i

ro th c hi n thay đ i không qua xét duy t có th là ngu n g c c a gian l n ho c th t thoát ti m tàng đ i v i h th ng ngân hàng Các r i ro trên có th x y ra v i h

th ng x lý d li u ho c m t h th ng t ng h p d li u nh ng l i ít gây nguy h i

h n Khi đó ng i l p k ho ch ph i đánh giá các r i ro đ có th l p k ho ch hi u

qu trong vi c đ t t i m c tiêu ki m toán

- Ki m kê h th ng thông tin đang s d ng t i t ch c và phân lo i chúng

- Quy t đ nh xem h th ng nào nh h ng đ n các ch c n ng tr ng y u ho c các tài s n nh ti n, v t li u, khách hàng, đ a ra quy t đ nh v.v… và chúng

v n hành sát v i th c t nh th nào

- Ti p c n các r i ro nh h ng lên h th ng này và các nh h ng đáng k lên ho t đ ng kinh doanh

- X p h ng h th ng d a trên nh ng đánh giá trên và quy t đ nh th t u tiên

ki m toán, ngu n l c, th i gian bi u và đ th ng xuyên

Ki m toán viên có th l p k ho ch ki m toán theo t ng n m mà ki m toán viên s

d a vào đó đ th c hi n

1.2 QUY TRÌNH VÀ TH T C KI M TOÁN H TH NG CÔNG NGH THÔNG TIN

1 2.1 L p k ho ch ki m toán

báo cáo tài chính và các lo i hình ki m toán khác Hi n t i, ki m toán CNTT không

ch là ki m toán ho t đ ng và ki m toán tuân th mà còn đóng vai trò trong ki m

ki m toán D i b t k m c đích nào, đ th c hi n ch c n ng xác minh và bày t ý

ki n c a ki m toán, ki m toán CNTT c ng c n th c hi n các th t c và thu th p đ y

đ b ng ch ng làm c s đ a ra ý ki n th c hi n đ c đi u đó, ki m toán viên

ph i tr qua giai đo n phân tích và l p k ho ch c th đ đ m b o cu c ki m toán

đ c thành công Do m i lo i ki m toán có ch c n ng c th khác nhau, đ i t ng

c th khác nhau và quan h ch th khách th ki m toán khác nhau nên ki m toán

đ c các b ng ch ng này, ki m toán viên c n tri n khai các ph ng pháp c b n trong t ng tình hu ng c th , đ c g i là ph ng pháp thu th p b ng ch ng ki m

toán, trong đó ý ki n c a Ki m toán viên v h th ng s đ c s d ng đ ti n hành các th t c ti p theo trong ch ng trình ki m toán BCTC L p k ho ch ki m toán

là giai đo n đ u tiên mà các KTV c n th c hi n trong m i cu c ki m toán nh m t o

ra các đi u ki n pháp lý c ng nh nh ng đi u ki n c n thi t khác cho ki m toán

L p k ho ch ki m toán không ch xu t phát t yêu c u chính c a cu c ki m toán

đ chu n b các đi u ki n c b n cho cu c ki m toán mà còn là nguyên t c c b n trong công tác ki m toán đã đ c quy đ nh thành chu n m c có vai trò quan tr ng chi ph i t i ch t l ng và hi u qu chung c a toàn b cu c ki m toán

Trong ph m vi đ tài, lu n án không đ c p đ n vi c l p k ho ch ki m toán cho

t ng th cu c ki m toán, thay vào đó t p trung phân tích các yêu c u c a chu n m c

đ i v i ki m toán CNTT và ng d ng trong m t cu c ki m toán BCTC Do gi i h n

c a chu n m c và các h ng d n t ng ng trong vi c đ nh h ng ki m toán viên

m c qu c t có th đ c tóm t t qua hình 1.1:

(Ngu n: H th ng chu n m c ki m toán CNTT qu c t - ISACA)

Trong đó, chu n m c s 1201 đóng vai trò trung tâm, tr c ti p đ a ra các ch d n và nguyên t c trong vi c l p k ho ch C th , vi c l p k ho ch ph i d a theo nh ng

đ nh h ng sau:

- M c tiêu, ph m vi, th i bi u và s n ph m bàn giao

- Phù h p v i lu t pháp và các chu n m c chuyên môn

- S d ng ph ng pháp ti p c n d a trên r i ro khi th y phù h p

- Các v n đ đ c tr ng c a cu c ki m toán

- Tài li u và các quy đ nh v báo cáo

Ngoài ra, ki m toán viên c n xây d ng k ho ch, trong đó mô t các v n đ :

- N i dung c a cu c ki m toán, m c tiêu, th i bi u và các ngu n l c c n thi t

- Th i gian và các th t c ki m toán m r ng đ hoàn thành cu c ki m toán

th c hi n đ c các nguyên t c trên, chu n m c yêu c u ki m toán viên ph i

- Hi u rõ v các ho t đ ng đ c ki m toán Ki n th c m r ng c n thi t cho

cu c ki m toán ph i đ c quy t đ nh b i b n ch t doanh nghi p, môi tr ng

ho t đ ng, các l nh v c có r i ro và m c tiêu c a cu c ki m toán

- Xem xét các h ng d n và ch d n v v n đ chính, c ng nh th a mãn yêu

c u pháp lu t, các quy đ nh, quy t c, ch th , h ng d n do chính ph ho c ngành công nghi p

o Các ngu n nhân l c có v i ki n th c, k n ng và kinh nghi m phù

h p

o Quy t đ nh các ph ng ti n c n thi t đ thu th p b ng ch ng, th c

hi n ki m tra, chu n b và t ng h p thông tin cho m c đích báo cáo

o Yêu c u v báo cáo và công b

- Th hi n rõ các v n đ sau trong đánh giá

o Các thông tin liên quan c n thu th p

o Th t c đ xác minh và công nh n thông tin thu th p đ c và kh

đ y đ và đ c t o đi u ki n đ ti p c n các cá nhân, h s , ngu n l c khi có yêu c u

V m t t ng th , chu n m c đ a ra các nguyên t c r t chi ti t mà m t k ho ch

ki m toán c n ph i đ m b o Kh i đ u là vi c đánh giá r i ro và xem xét đ n r i ro trong su t quá trình l p k ho ch Trong quá trình l p k ho ch, ki m toán viên quy t đ nh m c tr ng y u, các b ng ch ng c n thu th p và s d ng công vi c c a chuyên gia đ h tr thu th p b ng ch ng ho c đ a ý ki n Ngoài ra chu n m c còn

đ a ra các nguyên t c trong vi c th c hi n và giám sát cu c ki m toán và đ c p t i các hành vi trái pháp lu t Nhìn chung, trong quá trình l p k ho ch, ki m toán viên

có th chia thành ba b ph n bao g m: k ho ch chi n l c, k ho ch ki m toán

t ng th , ch ng trình ki m toán

• L p k ho ch chi n l c

K ho ch chi n l c ph i đ c l p cho các cu c ki m toán l n v quy mô, tính ch t

ph c t p, đ a bàn r ng, nhi u k liên ti p Lo i k ho ch này th ng ng v i ki m toán tuân th và ki m toán ho t đ ng khi đ i t ng ki m toán tr c ti p là CNTT c a doanh nghi p Trong cu c ki m toán BCTC, ki m toán CNTT đóng vai trò nh m t

th t c soát xét h th ng nh m h tr ki m toán viên th c hi n ki m toán BCTC thu

th p b ng ch ng ho c đ a ra đánh giá v các ki m soát doanh nghi p thi t l p i

v i tr ng h p này, k ho ch chi n l c s đ c l p cho m c tiêu ki m toán

ho ch chi n l c cho các cu c ki m toán không có nh ng đ c đi m nêu trên K

ho ch chi n l c ph i do ng i ph trách cu c ki m toán l p và đ c Giám đ c

ho c ng i đ ng đ u Công ty ki m toán phê duy t

• L p k ho ch t ng th

K ho ch ki m toán t ng th ph i đ c l p cho m i cu c ki m toán, trong đó mô t

ph m vi d ki n và cách th c ti n hành công vi c ki m toán, đi u này đ c chu n

Ch ng trình ki m toán là m t danh sách các th t c ki m toán s đ c th c hi n

nh m hoàn t t cu c ki m toán Ch ng trình ki m toán đ c xây d ng trong quá trình l p k ho ch t ng th và c n s a đ i c p nh t khi có v n đ m i phát sinh ch a

đ c xem xét trong giai đo n l p k ho ch Do m i ph n hành ki m toán có v trí,

đ c đi m khác nhau nên ph m vi, lo i hình ki m toán c ng khác nhau d n đ n s

l ng và th t các b c k t đi m b t đ u đ n đi m k t thúc công vi c ki m toán

và xây d ng qui trình ki m toán riêng cho t ng nghi p v Ch ng trình ki m toán

là nh ng d ki n chi ti t v các công vi c ki m toán c n th c hi n, th i gian hoàn thành, s phân công lao đ ng gi a các KTV c ng nh d ki n v nh ng t li u, thông tin liên quan c n s d ng và thu th p Tr ng tâm c a ch ng trình ki m toán

là các th t c ki m toán c n th c hi n hay b ph n đ c ki m toán i v i ki m toán BCTC, ch ng trình ki m toán s ti p c n chi ti t đ n t ng kho n m c trên BCTC

1.2.2 Th c hi n ki m toán và đánh giá

Quá trình th c hi n ki m toán đánh d u s chuy n ti p t giai đo n l p k ho ch sang giai đo n th c nghi m ch ng trình ki m toán đã xây d ng T i th c đ a, ki m toán viên áp d ng các th t c ki m toán trong ph m vi k ho ch đã v ch ra đ thu

th p các b ng ch ng ki m toán Chu n m c ki m toán Vi t Nam s 5006 – B ng

ch ng ki m toán h ng d n nh sau: “B n ch t c a b ng ch ng ki m toán là mang

tính tích l y và đ c thu th p ch y u t vi c th c hi n các th t c ki m toán trong

su t cu c ki m toán” và “Các tài li u, thông tin đ c s d ng làm b ng ch ng ki m toán có th đ c l p b i m t chuyên gia do đ n v đ c ki m toán tuy n d ng ho c thuê.” ( o n A1, VSA 500) Theo quy đ nh và h ng d n t i Chu n m c ki m toán

• Th c hi n các th t c đánh giá r i ro;

• Th c hi n các th t c ki m toán ti p theo, bao g m:

o Th nghi m ki m soát theo yêu c u c a các chu n m c ki m toán

Vi t Nam, ho c theo l a ch n c a ki m toán viên;

o Th nghi m c b n, bao g m các ki m tra chi ti t và các th t c phân tích c b n

i v i cu c ki m toán BCTC có tích h p ki m toán CNTT, quá trình th c hi n

ki m toán CNTT đ c ti n hành nh sau (Hình 1.2):

đ c ki m toán c p đ báo cáo tài chính, KTV c n th c hi n:

- Xác đ nh các kho n m c và thuy t minh tr ng y u

- Xác đ nh các c s d n li u cho báo cáo tài chính

CNTT khách hàng tri n khai và áp d ng

Các b c này có th đ c th c hi n tr c trong quá trình l p k ho ch t ng th và xây d ng ch ng trình ki m toán M c đích t o ti n đ cho vi c th c hi n b c ti p theo c p đ sâu h n

6 Chu n m c ki m toán Vi t Nam s 315, 330, 500 – Ban hành và công b theo Thông T 214 BTC ngày 6 tháng 12 n m 2012 c a B Tài chính, có hi u l c t ngày 1 tháng 1 n m 2014

Hình 1.2: Quy trình th c hi n ki m toán CNTT trong cu c ki m toán BCTC

(Ngu n: ISACA, 2013 CISA review manual Ch ng 1, tác gi t ng h p)

 B c 2: Sau khi đã th c hi n b c 1, KTV tìm hi u sâu h n vào c p đ x lý

trong h th ng c a doanh nghi p T i đây, KTV c n ph i:

- Nh n di n đ c các ki m soát và phân lo i ki m soát th công, ki m soát

ng d ng

- Xác đ nh và l a ch n các ki m soát t ng ng v i các kho n m c và thuy t minh đã v ch ra b c 1

Giai đo n này đ c th c hi n t i th c đ a khi KTV s d ng ki n th c chuyên môn

đ nh n di n và phân lo i các ki m soát thông qua quá trình ph ng v n, đ c bi t là

k thu t , quan sát và ti p c n h th ng CNTT c a đ n v đ c ki m toán

Ki m soát th c hi n đ c chia làm 2 nhóm chính (Bi u đ 1.2.2.2):

- Ki m soát th công; và

- Ki m soát ng d ng

Hình 1.3: Phân lo i ki m soát x lý (Process control)

(Ngu n: ISACA, 2007 CobiT 4.1)

i v i ki m soát th công, KTV có th áp d ng các th t c thu th p b ng ch ng

c a ki m toán BCTC m t cách bình th ng thông qua th nghi m ki m soát và th nghi m c b n Ki m soát ng d ng có ph m vi h p h n so v i ki m soát chung

nh nh p xu t, x lý d li u Ví d : ph n m m k toán, ph n m m qu n lý hàng t n

• Báo cáo (Exception/Edit Reports)

đ c hi u là các báo cáo tài chính mà còn bao g m s cái, s ph , b ng theo dõi

đ m b o tính chính xác và đ y đ c a d li u trên báo cáo, các báo cáo này ph i

đ c đ i chi u (reconcile) v i s sách, ch ng t phát sinh trong tháng ho c thi t l p cho ng d ng nh n bi t các thông tin không phù h p trên báo cáo Ví d : k toán

các ng d ng phát hi n nghi p v bán hàng cho khách hàng không có tên trong

• Thi t l p và h th ng các tài kho n (System Configuration & Account

Mapping)

đ c các thi t l p, doanh nghi p c n xây d ng h ng d n thao tác và v n hành ng

đ nh ng d ng có th đ c b t t t nh m b o v d li u kh i các ho t đ ng x lý không phù h p, ví d nh s a xóa d li u, ho c thêm vào các nghi p v sau khi h

th ng đã đóng s vào cu i n m tài chính

• Ki m soát giao th c (Interface Controls)

Giao th c là cách th c các ng d ng có th giao ti p v i nhau nh m chuy n t i thông tin gi a các h th ng V i ph m vi h p là h th ng thông tin trong doanh

này

• Truy c p h th ng (System Access)

M t nhân viên ho c m t nhóm nhân viên có quy n truy c p vào h th ng thông tin

Vi c ki m soát truy c p t ng ng d ng c n đ c th c hi n đ ng b v i h th ng

công ty c p phát nh m b o m t d li u

 B c 3: Thông qua k t qu b c 2, KTV xem xét l i ki m soát h th ng t ng

h th ng Công vi c t i b c 3 có th th c hi n đ ng th i t i b c 2 ho c trong đi u

ki n cho phép, b c 2 và 3 có th thay đ i th t th c hi n Ki m soát chung có th

đ c mô t qua hình 1.4

(Ngu n: ISACA, 2007 CobiT 4.1)

Ki m soát chung đánh giá nh n th c c a doanh nghi p v i môi tr ng công ngh

hi n các r i ro nh h ng đ n h th ng c a doanh nghi p V i đ c tr ng c a ERP

g m nhi u phân h (module) khác nhau cùng liên k t vào m t c s d li u Ki m soát h th ng thông tin k toán góc đ này đ c li t kê trong b ng 1.1 bao g m:

B ng 1.1: Phân lo i ki m soát h th ng t ng quát (General IT Control)

A Access to program and data Truy c p vào h th ng và d li u

awareness

Chính sách b o m t/Nh n th c c a nhân viên

B Program changes Ki m soát thay đ i ch ng trình

Chuy n đ i sang môi tr ng s n xu t

C Program development Ki m soát phát tri n ng d ng

development/acquisition

Ph ng th c xây d ng ho c tích h p

approval and implementation

C p phép, phát tri n, th nghi m,

ch p thu n

C3 Data migration Di chuy n d li u

D Computer Operations Ki m soát v n hành h th ng

procedures

Th t c gi i quy t các r i ro

(Ngu n: ISACA, 2007 CobiT 4.1)

Tuy nhiên, vi c th c hi n B c 3 – th nghi m ki m soát h th ng t ng quát ch

c n thi t khi KTV d ki n s tin t ng vào các ki m soát ng d ng ho c ki m soát

h n h p (ki m soát bán th công v i s h tr c a ki m soát t đ ng) Công vi c này t ng đ ng v i th nghi m ki m soát (Test of controls) trong ki m toán BCTC, khi mà h th ng ki m soát t ng quát đ c thi t k ch t ch và các ki m soát ho t

đ ng t t trong vi c ng n ch n r i ro s gi m thi u đ c công vi c c n th c hi n khi

th nghi m c p đ ki m soát x lý i v i các nhân t c a ki m soát h th ng

t ng quát không liên quan (không thu c ng d ng có ki m soát t đ ng, ho c thu c

ng d ng ki m soát t đ ng nh ng ph c v cho tài kho n không tr ng y u không

có nh h ng đáng k lên BCTC), KTV không c n th c hi n Hình 1.5 minh h a

vi c l a ch n th c hi n ki m soát h th ng t ng quát theo các tiêu chí đã v ch ra trong k ho ch

Hình 1.5: L a ch n th c hi n th nghi m ki m soát h th ng t ng quát t ng ng

v i các ng d ng KTV s s d ng

(Ngu n: ISACA, 2013 CISA review manual)

• Truy c p vào h th ng và d li u (Access to Programs and Data)

Ki m soát các truy c p vào h th ng thông tin nh m ng n ch n và phát hi n các cá nhân tác đ ng trái phép vào h th ng Vi c ki m soát này bao g m vi c ki m tra t o

m i, h y b hay thay đ i các tài kho n (bao g m c tài kho n c a ng i s d ng

cu i, chuyên viên IT và ng i qu n tr h th ng) và các c ch b o mât c a h

th ng t ng ng d ng (application), c s d li u (database), h đi u hành (operating system) và h th ng m ng