Kiểm toán công nghệ thông tin theo hướng dẫn của ASOSAI
Hoạt động của Ngành - Ngày đăng : 09:55, 05/11/2019
(BKTO) - Đề án nghiên cứu thứ 6 của Tổ chức Các cơ quan Kiểm toán tối cao châu Á (ASOSAI) về kiểm toán công nghệ thông tin (CNTT) đã được Hội nghị Ban Điều hành ASOSAI lần thứ 31 thông qua vào tháng 10/2002 tại Manila (Philippines). Sản phẩm của Đề án này là hướng dẫn kiểm toán CNTT cho các SAI.
Áp dụng kiểm toán công nghệ thông tin trong các cuộc kiểm toán
Theo ASOSAI, kiểm toán CNTT là một phần của quy trình kiểm toán tổng thể. Kiểm toán CNTT được áp dụng trong việc thực hiện kiểm toán tài chính, kiểm toán hoạt động và kiểm toán hệ thống thông tin.
Kiểm toán tài chính: Mục đích tổng thể của bộ phận CNTT trong cuộc kiểm toán tài chính là nhằm đánh giá độ tin cậy của các công cụ kiểm soát CNTT hỗ trợ việc xử lý sổ sách tài chính của đơn vị.
Giai đoạn lập kế hoạch: Trong quá trình thực hiện kiểm toán CNTT lồng trong một cuộc kiểm toán tài chính, phương pháp kiểm toán được áp dụng là phương pháp dựa trên đánh giá rủi ro. Có 4 thủ tục được xây dựng nhằm thiết lập phương pháp để kết luận về tính hiệu quả và hiệu lực của công cụ kiểm soát quy trình CNTT tác động trực tiếp tới quy trình xử lý thông tin tài chính của đơn vị, đó là: Xác định phạm vi phân tích quy trình xử lý CNTT; thông tin cơ bản về môi trường CNTT của đơn vị được kiểm toán; kiểm tra các quy trình xử lý CNTT có tác động trực tiếp và quan trọng tới việc xử lý thông tin tài chính; đánh giá tính hiệu lực của việc thiết kế từng quy trình xử lý CNTT chính và các công cụ kiểm soát nội bộ liên quan.
Giai đoạn thực hiện kiểm toán: Khi áp dụng phương pháp kiểm toán dựa trên rủi ro, kiểm toán viên (KTV) cần tập trung vào những lĩnh vực có rủi ro cao nhất đối với việc đơn vị không thể trình bày báo cáo tài chính một cách trung thực, hợp lý. KTV CNTT cần phải nhận thức được một số lĩnh vực có rủi ro tiềm tàng trong môi trường máy tính mà đơn vị dựa vào đó để lập dữ liệu tài chính sau: Đơn vị được kiểm toán xây dựng và vận hành các ứng dụng riêng của mình hơn là thuê ngoài và sử dụng các phần mềm chuyên ngành, phần mềm tài chính; các khía cạnh liên quan đến lĩnh vực hoạt động hoặc môi trường nội bộ có thể tác động đến việc xây dựng và áp dụng các công cụ kiểm soát; người sử dụng phải có quyền truy cập các chức năng hay dữ liệu cụ thể; người sử dụng có khả năng thay đổi dữ liệu và lập các báo cáo…
Giai đoạn lập báo cáo: Thông thường, báo cáo kiểm toán thường bao gồm các hình thức sau: thư quản lý, báo cáo kiểm toán tóm tắt và báo cáo kiểm toán cuối cùng.
Kiểm toán hoạt động: Kiểm toán CNTT đóng một trong hai vai trò của kiểm toán hoạt động trên cả 2 khía cạnh: khi CNTT là nội dung chính của cuộc kiểm toán và kiểm toán CNTT là một bộ phận cấu thành trong một cuộc kiểm toán hoạt động.
Lập kế hoạch kiểm toán: Các chủ đề kiểm toán được lựa chọn trên 2 cơ sở: nâng cao trách nhiệm giải trình, tính kinh tế, hiệu quả và hiệu lực; đảm bảo bao trùm tất cả các hoạt động trong giới hạn nguồn lực kiểm toán. Có thể lựa chọn chủ đề kiểm toán hoạt động trên cơ sở một số tiêu chí: tác động kiểm toán dự kiến; tính trọng yếu về tài chính; rủi ro đối với quản lý thiếu hiệu quả; tầm quan trọng của các chương trình, hoạt động của đơn vị… Dựa vào việc lựa chọn các chủ đề kiểm toán, KTV CNTT cần tính đến các khía cạnh quan trọng sau đây khi lập kế hoạch kiểm toán: kiến thức về đơn vị; mục tiêu kiểm toán; phạm vi kiểm toán; xác định các tiêu chí phù hợp để hỗ trợ KTV đánh giá các vấn đề kiểm toán…
Giai đoạn thực hiện kiểm toán: KTV cần phải đánh giá các thông tin về chủ đề kiểm toán, gắn các thông tin này với việc lập kế hoạch kiểm toán và thực hiện kiểm toán tại hiện trường. Khi lập kế hoạch kiểm toán, cần phải thiết lập tiêu chí, tiêu chuẩn kiểm toán để dựa vào đó đối chiếu với hoạt động thực tế của đơn vị. Các tiêu chí, tiêu chuẩn kiểm toán cần được trao đổi, thảo luận với đơn vị trước khi tiến hành kiểm toán.
Lập báo cáo kiểm toán: KTV cần rà soát và đánh giá kết luận đưa ra trong báo cáo có đủ bằng chứng hay không. Báo cáo kiểm toán hoạt động là khác nhau tùy thuộc vào sự khác nhau trong nhiệm vụ, phạm vi kiểm toán cũng như mức độ phức tạp của chủ đề và phát hiện kiểm toán. Nếu kiểm toán CNTT là một bộ phận của kiểm toán hoạt động, KTV phải lập một báo cáo nhỏ thuộc báo cáo kiểm toán hoạt động về việc đoàn kiểm toán hoạt động dựa vào hệ thống CNTT để xác định các khía cạnh của cuộc kiểm toán như thế nào.
Kiểm toán hệ thống thông tin: Mặc dù KTV CNTT không phải là người xây dựng, lập trình viên nhưng vẫn phải đưa ra các sự đảm bảo về: xác định và áp dụng vào hệ thống mới các công cụ kiểm soát được; các công cụ kiểm soát sử dụng để quản lý dự án và phát triển các quyết định dự án phải minh bạch; xây dựng các chuẩn mực, tiêu chí, tiêu chuẩn kiểm toán…
Bài học kinh nghiệm cho KTNN Việt Nam
Thực hiện Kế hoạch chiến lược phát triển KTNN giai đoạn 2013-2017 và Chiến lược phát triển KTNN đến năm 2020, KTNN Việt Nam đã thành lập Phòng Kiểm toán CNTT vào năm 2015. Tính đến nay, KTNN đã thực hiện được 2 cuộc kiểm toán CNTT độc lập. Kết quả kiểm toán bước đầu đã tiếp cận được dữ liệu gốc của các phần mềm trọng yếu khắc phục được hạn chế của các cuộc kiểm toán thông thường; xử lý và phân tích được các dữ liệu cực kỳ lớn; tiếp cận các rủi ro liên quan đến CNTT một cách có hệ thống… Bên cạnh đó, KTNN đang xây dựng Hướng dẫn kiểm toán CNTT và biên soạn tài liệu đào tạo về kiểm toán CNTT làm cơ sở cho việc triển khai thực hiện kiểm toán CNTT một cách thống nhất.
Để kiểm toán CNTT của KTNN phát huy hiệu quả và đáp ứng các yêu cầu theo thông lệ và chuẩn mực quốc tế, trong thời gian tới, KTNN cần thực hiện một số giải pháp sau: Áp dụng các chuẩn mực quốc tế vào công tác kiểm toán CNTT; Coi trọng công tác khảo sát, lập kế hoạch dựa trên đánh giá rủi ro và xác định trọng yếu trong kiểm toán CNTT; Xây dựng và phát triển đội ngũ KTV CNTT; Đẩy mạnh triển khai các cuộc kiểm toán CNTT chuyên đề (trên cơ sở lồng ghép các loại hình kiểm toán). Ngoài ra, việc tham khảo các tài liệu hướng dẫn của Tổ chức quốc tế Các cơ quan Kiểm toán tối cao (INTOSAI), ASOSAI và học hỏi kinh nghiệm thực tiễn của các cơ quan kiểm toán tối cao có kiểm toán CNTT phát triển là rất cần thiết vì điều này sẽ cung cấp cho KTNN Việt Nam nhiều phương pháp tiếp cận khác nhau khi triển khai kiểm toán CNTT.
TS. ĐẶNG THỊ HOÀNG LIÊN
Vụ Chế độ và Kiểm soát chất lượng kiểm toán, KTNN
Theo Báo Kiểm toán số 44 ra ngày 31-10-2019