Từ năm 2011, KTNN đã bước đầu ứng dụng CNTT vào các hoạt động của đơn vị cũng như thực hiện một số cuộc kiểm toán. Lãnh đạo KTNN kỳ vọng, việc xây dựng quy trình tạo lập, lưu trữ và khai thác hồ sơ kiểm toán điện tử không chỉ lưu trữ các văn bản trên giao diện điện tử mà còn tạo ra giá trị gia tăng trong hoạt động kiểm toán.
KTNN nỗ lực xây dựng hạ tầng CNTT
Để thực hiện các mục tiêu trên, KTNN đã có định hướng xây dựng các phần mềm ứng dụng và đã thu được những kết quả bước đầu:
Đối với nhóm phần mềm hỗ trợ hoạt động chỉ đạo điều hành và quản lý nội bộ, KTNN đã xây dựng Phần mềm Quản lý tài chính (triển khai sử dụng trong toàn ngành từ cuối năm 2016); Phần mềm quản lý hồ sơ công việc; Phần mềm Quản lý nhân sự (đang hoàn thiện và sẽ đưa vào sử dụng từ đầu năm 2018); Cổng thông tin điện tử; Phần mềm Quản lý đào tạo, Phần mềm Quản lý về đối ngoại - hợp tác quốc tế dự kiến sẽ xây dựng và triển khai trong thời gian tới.
Nhóm phần mềm hỗ trợ hoạt động kiểm toán là hệ thống phần mềm lớn, triển khai trong toàn ngành, gồm nhiều module giúp hỗ trợ các công tác khác nhau trong quá trình quản lý hoạt động kiểm toán. Các module đã được xây dựng bao gồm: Module quản lý, theo dõi nhật ký kiểm toán, nhật ký công tác; Module quản lý theo dõi thực hiện kiến nghị kiểm toán; số hóa toàn bộ hồ sơ liên quan đến hoạt động kiểm toán.
Nhóm các phần mềm hỗ trợ kỹ thuật kiểm toán là hệ thống được triển khai trên quy mô toàn ngành, hỗ trợ việc phân tích dữ liệu, trích rút, tổng hợp, chọn mẫu và thực hiện kỹ thuật kiểm toán trên các tệp dữ liệu để xác định những sai sót, những điểm bất thường, xu hướng của thông tin tài chính trên các lĩnh vực kiểm toán ngân sách, đầu tư xây dựng cơ bản, DN và tài chính ngân hàng.
Hệ thống CNTT đã trở thành một phần tất yếu trong hoạt động của KTNN, đặc biệt trong thời đại CMCN 4.0. Mọi hoạt động quan trọng như khảo sát, báo cáo, thống kê… đều được xử lý và lưu trữ trên hệ thống CNTT. Đi cùng với sự phát triển chung của ngành thì hệ thống CNTT cũng rất dễ bị tấn công bởi hàng loạt các mối đe dọa trên internet như tấn công từ chối dịch vụ, ăn cắp và phá hoại dữ liệu… Do đó, việc xây dựng hệ thống CNTT không chỉ nhằm thúc đẩy hoạt động nhanh, hiệu quả mà còn phải đảm bảo an ninh bảo mật. Đây là một yếu tố vô cùng quan trọng và cần đặc biệt quan tâm để tạo ra một hạ tầng mạng an toàn, kết nối thông suốt, tạo tiền đề kết nối giữa các hệ thống giúp cho các đơn vị trong ngành có thể trao đổi được thông tin nhanh chóng và an toàn hơn, phục vụ tốt hơn cho công tác báo cáo thu thập thông tin.
Kiểm toán CNTT và những kết quả bước đầu
Đối với hoạt động kiểm toán, việc ứng dụng công nghệ hiện đại đã giúp cho việc phân tích thông tin, dữ liệu của KTV được nhanh chóng và chính xác hơn, tạo nguồn dữ liệu lớn phục vụ cho hoạt động kiểm toán như: tập hợp được nhiều thông tin từ tổng hợp đến chi tiết liên quan đến các đầu mối kiểm toán; lưu trữ hồ sơ kiểm toán của Đoàn, Tổ kiểm toán trong tất cả các giai đoạn của quy trình kiểm toán, tạo điều kiện thuận lợi cho việc xác định nội dung, phạm vi, trọng tâm, trọng yếu kiểm toán, góp phần nâng cao chất lượng kiểm toán.
Ngoài ra, công tác kiểm soát chất lượng kiểm toán được thực hiện dễ dàng và chặt chẽ hơn thông qua hệ thống nhật ký kiểm toán trực tuyến nhằm giảm thiểu rủi ro kiểm toán cho các kiểm toán viên.
Thời gian qua, KTNN đã cử chuyên gia về kiểm toán CNTT tham gia Đoàn kiểm toán ngân sách địa phương tại Thành phố Đà Nẵng và tỉnh Quảng Nam; phối hợp cùng KTNN chuyên ngành VII tổ chức cuộc kiểm toán CNTT đầu tiên tại Ngân hàng TMCP Vietcombank và triển khai thí điểm một số kỹ thuật kiểm toán trong môi trường CNTT tại các ngân hàng thương mại lớn. Các cuộc kiểm toán đã mang lại nhiều kết quả khả quan.
Đối với cuộc kiểm toán ngân sách địa phương, CNTT hỗ trợ xác định tính đúng đắn của báo cáo quyết toán: KTNN đã tiếp cận ở mức tổng hợp cũng như chi tiết luồng tiền di chuyển giữa hệ thống tài khoản 12 phân đoạn COA của đơn vị cấp tỉnh (bao gồm hàng trăm nghìn tài khoản chi tiết đến đơn vị, mục lục ngân sách, nội dung kinh tế…) tại thời điểm 31/12, 31/1 và thời gian quyết toán chính.
Hỗ trợ xác nhận tính đúng đắn và tuân thủ số liệu quyết toán thông qua việc chỉ ra hiện tượng vi phạm các quy định quyết toán chi tiết đến từng hồ sơ, dự án và đơn vị như: kéo thu năm sau, chuyển nguồn, tạm ứng trước sau ngày 31/12, chi sau ngày 31/01, …
Đặc biệt, CNTT đã cung cấp bức tranh toàn cảnh cũng như chi tiết việc điều hành ngân sách. Thông qua dữ liệu gốc, phần mềm TABMIS đã phát hiện chính xác các hiện tượng:
Giữ lại nguồn ngân sách dự toán cấp 0 để điều hành theo quý, các nguồn ngân sách dự toán cấp 1 phân bổ không kịp thời (dồn hết vào cuối năm) và các kiến nghị khác liên quan đến điều hành dự toán tại địa phương;
Ứng trước ngân sách cho xây dựng cơ bản hàng nghìn tỷ đồng (ngoài kế hoạch vốn); điều chuyển nguồn của các nhiệm vụ chi không đúng Luật Ngân sách; cuối năm trong cơ cấu chuyển nguồn xuất hiện tiểu mục - dự toán chưa phân cho đơn vị cấp I lên đến hàng nghìn tỷ đồng;
Chỉ ra những ai, tại thời điểm nào, dùng nguồn vốn nào chi cho các nhiệm vụ chi gì trong suốt năm ngân sách.
Bên cạnh đó, CNTT cũng hỗ trợ việc đối chiếu từ các hệ thống khác nhau. Tại Đà Nẵng, ứng dụng CNTT đã cung cấp thông tin toàn bộ việc sở hữu đất đai, chuyển nhượng trên địa bàn; chỉ ra việc Sở Tài nguyên và Môi trường chưa cung cấp đầy đủ ngay từ đầu số liệu cho Đoàn kiểm toán thông qua việc lưu giữ số liệu các dự án lớn tại một máy chủ riêng; chỉ ra việc lập sổ của Cục Thuế để thu thuế đất phi nông nghiệp trên quận Ngũ Hành Sơn chỉ bằng 1/5 số liệu của Sở…
Tại cuộc kiểm toán ngân hàng TMCP Vietcombank, Đoàn kiểm toán đã chỉ ra những bất cập trong quản trị CNTT, cụ thể như: không có kế hoạch chiến lược CNTT; không đánh giá rủi ro và mua bảo trì hệ thống CNTT định kỳ; không cập nhật các phần mềm đáp ứng các thay đổi về quản lý của NHNN; không tổ chức lưu giữ hệ thống hồ sơ phần mềm có hệ thống. Với các bằng chứng trên, Ngân hàng đã không thực hiện các chuẩn mực về quản trị CNTT theo các tiêu chuẩn đã cam kết và thông lệ quốc tế.
Ngoài ra, KTNN còn chỉ ra hiện tượng “cho mượn mật khẩu” diễn ra nghiêm trọng ở mọi chi nhánh, mọi cấp và các nghiệp vụ khảo sát. Việc phân quyền theo chức danh nghiệp vụ không được thực hiện nghiêm túc. Đội ngũ CNTT có thể thay đổi dữ liệu nghiệp vụ thực tế do không tách biệt hoàn toàn giữa môi trường kiểm thử và môi trường vận hành thực tế. Các thông tin tài chính nghiệp vụ sẽ có rủi ro bị thay đổi, tiếp cận trái phép.
Kết quả kiểm toán cũng chỉ ra sự thiếu vắng kiểm soát nghiệp vụ bằng hệ thống CNTT dẫn đến chênh lệch về số liệu tài sản thế chấp, dự phòng rủi ro, chấm điểm xếp hạng tín dụng và nghiệp vụ khác. Trên cơ sở đó, Đoàn kiểm toán đã lượng hóa được những ảnh hưởng của số liệu lên báo cáo tài chính của đơn vị và khoanh vùng số liệu nghi ngờ yêu cầu đơn vị rà soát; chỉ ra một số công thức tính toán xử lý dữ liệu không chính xác như tính lãi dự thu của thẻ tín dụng, không trả tiền lãi dưới 1.000 đồng cho các khoản vay không kỳ hạn. Các kết quả trên phản ánh việc cài đặt công thức trên hệ thống máy tính chưa tuân thủ các quy định của Nhà nước.
Tương tự như các lĩnh vực kiểm toán khác của KTNN, kiểm toán CNTT được triển khai tại các tổ chức tài chính - ngân hàng đã góp phần: đánh giá hệ thống CNTT liên quan đến lập và trình bày báo cáo kiểm toán trong việc hỗ trợ lập báo cáo tài chính đảm bảo tính chính xác, đầy đủ, phù hợp với các chuẩn mực kiểm toán và chế độ tài chính hiện hành của Nhà nước, tính an toàn, bảo mật thông tin hoạt động nghiệp vụ của đơn vị được kiểm toán.
Đánh giá việc chấp hành pháp luật và các quy định về xây dựng, quản lý, vận hành, kiểm soát hệ thống CNTT liên quan đến lập báo cáo tài chính của đơn vị được kiểm toán. Hỗ trợ trong việc ứng dụng CNTT nhằm xác định, phân tích, đánh giá đối với từng nghiệp vụ cụ thể của đơn vị được kiểm toán. Thực tế cho thấy, nhờ kiểm toán viên được tiếp cận dữ liệu gốc của các phần mềm, tiến hành triển khai phương pháp và kỹ thuật kiểm toán CNTT thích hợp, từ đó tiếp cận sâu vào nghiệp vụ kiểm toán nên các kết quả kiểm toán đạt được đều rất khả quan.
Mặc dù vậy, sự phát triển mạnh mẽ của CNTT cũng đang đặt ra một số thách thức cơ bản cho quá trình kiểm toán lĩnh vực này. Đó là: bảo đảm các dự án CNTT sử dụng ngân sách tiến hành hiệu quả; bảo đảm các hệ thống CNTT trọng yếu của quốc gia hoạt động chính xác, tuân thủ theo pháp luật và đạt hiệu quả cao; bảo đảm kiểm toán viên được tiếp cận với các dữ liệu chính xác và đầy đủ từ các hệ thống CNTT của đơn vị; cơ sở dữ liệu chuyên ngành của KTNN được cập nhật có chọn lọc từ các cơ sở dữ liệu quốc gia.
Để giải quyết những thách thức trên, nhiều nhà chuyên môn cho rằng, KTNN nên chọn hướng tiếp cận kiểm toán CNTT theo chuẩn mực ISSAI 5300 của tổ chức INTOSAI với các mục tiêu cụ thể như: kiểm toán hệ thống và dự án CNTT trọng yếu; xây dựng cơ sở dữ liệu kiểm toán chuyên ngành cung cấp bức tranh toàn cảnh nền tài chính quốc gia; triển khai các hoạt động kiểm toán CNTT tại các đoàn kiểm toán với việc tận dụng tối đa hiểu biết về hệ thống CNTT cùng hệ thống kiểm soát của đơn vị và các cơ sở dữ liệu kiểm toán chuyên ngành.
Theo đó, KTNN cần hoàn thiện tài liệu hướng dẫn cùng cơ sở pháp lý; kiểm toán định kỳ các hệ thống CNTT trọng yếu; chọn kiểm toán một số chuyên đề kiểm toán CNTT dễ thực hiện và có tỷ lệ thành công cao; chỉ đạo quyết liệt công tác tổ chức nhân sự gắn với đào tạo….
THÙY LÊ
Theo Đặc san Kiểm toán số 68 ra tháng 02/2018
.jpg "Cần xem xét rủi ro từ công nghệ thông tin trong quá trình kiểm toán")
