SAS 145 yêu cầu kiểm toán viên xác định các ứng dụng và khía cạnh trong môi trường CNTT của đơn vị được kiểm toán có chứa rủi ro; sau đó, xác định các rủi ro cụ thể phát sinh từ việc sử dụng CNTT và các biện pháp kiểm soát CNTT để giải quyết rủi ro. Khi đánh giá được rủi ro, kiểm toán viên sẽ xác định được các biện pháp kiểm soát và thực hiện các thủ tục liên quan.
.jpg)
Trong quá trình đánh giá rủi ro, SAS 145 hướng dẫn kiểm toán viên tìm hiểu về cách thức thông tin được truyền qua hệ thống thông tin của đơn vị được kiểm toán, bao gồm cách thức bắt đầu các giao dịch, cách thức ghi chép, xử lý, sửa chữa thông tin, tích hợp vào hệ thống sổ cái chung và trình bày trong báo cáo tài chính.
AICPA nhấn mạnh, việc hiểu rõ những ứng dụng CNTT nào đang được áp dụng, những rủi ro phát sinh từ việc sử dụng CNTT và các biện pháp kiểm soát CNTT mà đơn vị được kiểm toán triển khai để giải quyết rủi ro sẽ ảnh hưởng đến kế hoạch kiểm toán.
SAS 145 giải thích tại sao kiểm toán viên phải xác định các ứng dụng CNTT cùng với các rủi ro và biện pháp kiểm soát chung về CNTT. Các hệ thống CNTT đóng vai trò rất quan trọng đối với đơn vị được kiểm toán, do đó việc nắm bắt những thông tin này sẽ là chìa khóa giúp kiểm toán viên thực hiện cuộc kiểm toán hiệu quả.
SAS 145 cũng hướng dẫn việc xác định những ứng dụng nào dễ gặp rủi ro. Những ứng dụng CNTT có khả năng tạo ra rủi ro cao gồm các ứng dụng sử dụng hệ thống giao diện phức tạp; có khối lượng dữ liệu hoặc giao dịch lớn; có nhiều chức năng.
Ngược lại, ứng dụng CNTT ít có khả năng tạo ra rủi ro khi nó là một ứng dụng độc lập; khối lượng dữ liệu hoặc giao dịch ít; chức năng của ứng dụng không phức tạp; mỗi giao dịch đều được hỗ trợ bởi tài liệu gốc.
Theo SAS 145, rủi ro phát sinh từ việc sử dụng CNTT bao gồm các rủi ro liên quan đến các ứng dụng CNTT yếu kém, xử lý dữ liệu thiếu chính xác. Loại ứng dụng CNTT đơn vị được kiểm toán sử dụng cùng các rủi ro, các biện pháp kiểm soát có thể ảnh hưởng đến việc đánh giá rủi ro của kiểm toán viên, ảnh hưởng đến số lượng các thủ tục kiểm toán tiếp theo mà kiểm toán viên cần thực hiện để có thể giảm rủi ro kiểm toán.
AICPA cho rằng, khi sự phụ thuộc vào dữ liệu và công nghệ tiếp tục tăng lên, các rủi ro liên quan đến CNTT trong kiểm toán báo cáo tài chính cũng tăng theo. Kiểm toán viên có thể giảm thiểu rủi ro liên quan đến việc sử dụng CNTT và nâng cao hiệu lực, hiệu quả của các thủ tục kiểm toán bằng cách nâng cao hiểu biết toàn diện về môi trường CNTT của đơn vị được kiểm toán, đánh giá các biện pháp kiểm soát và thực hiện các thủ tục liên quan.
Việc tuân theo các yêu cầu được nêu trong SAS 145 sẽ giúp kiểm toán viên giải quyết hiệu quả những vấn đề phức tạp của hệ thống CNTT và xác định những vấn đề cần ưu tiên trong khi tiến hành kiểm toán. Các yêu cầu của SAS 145 mang lại cho kiểm toán viên những hướng dẫn có giá trị để xác định, đánh giá và ứng phó với những rủi ro hiệu quả hơn./.
(Theo AICPA)
.png "AICPA ra mắt công cụ hỗ trợ thực hành kiểm toán báo cáo tài chính")
