Trong thời đại bùng bổ công nghệ thông tin ngày nay, không thể đo lường hết phạm vi ứng dụng công nghệ thông tin cũng như hiệu quả vào mọi lĩnh vực của đời sống, trong đó có hoạt động quản lý, kinh doanh. Tuy nhiên, bên cạnh những lợi ích, hiệu quả to lớn từ việc ứng dụng công nghệ thông tin mang lại, vẫn tiềm ẩn những rủi ro mà người sử dụng chưa lường hết được, vì vậy, một loại hình dịch vụ mới ra đời nhằm mục đích kiểm tra tính trung thực, hợp lý và sự hữu hiệu của công nghệ thông tin. Đó chính là kiểm toán hệ thống thông tin (information techonology audit)

Kiểm toán hệ thống thông tin.

Kiểm toán hệ thống thông tin (KTHTTT) là việc thực hiện các thủ tục kiểm soát một thực thể cấu trúc hệ thống công nghệ thông tin. Thuật ngữ KTHTTT trước đây thường được gọi là kiểm toán xử lý dữ liệu điện tử. Đây là quá trình thu thập bằng chứng và đánh giá bằng chứng về các hoạt động của hệ thống thông tin đã được tổ chức. Việc đánh giá các bằng chứng phải đảm bảo rằng hoạt động của hệ thống ấy phải bảo mật, chính trực, hữu hiệu, và hiệu quả nhằm đạt được các mục tiêu của tổ chức đã đề ra. Công việc này được thực hiện chung với việc kiểm toán báo cáo tài chính (KTBCTC), kiểm toán nội bộ hay kiểm toán vì các mục đích khác.

Quy trình KTHTTT tương tự như kiểm toán BCTC hay kiểm toán nội bộ. Tuy nhiên, mục đích của kiểm toán BCTC là xác nhận việc BCTC có được lập trên cơ sở chuẩn mực và chế độ kiểm toán hiện hành (hoặc được chấp nhận), tuân thủ pháp luật liên quan và phản ánh trung thực, hợp lý trên các khía cạnh trọng yếu hay không? Còn mục đích của KTHTTT là xem xét và đánh giá tính sẵn sàng và tính bảo mật và tính chính trực thông qua việc trả lời những câu hỏi sau: Hệ thống máy tính có sẵn sàng cho hoạt động sản xuất kinh doanh tại mọi thời điểm? Liệu hệ thống thông tin có phải chỉ những người có thẩm quyền mới được sử dụng không? Liệu hệ thống thông tin đã cung cấp thông tin chính xác, trung thực và kịp thời không?

KTHTTT bao gồm các loại: Kiểm toán hệ thống máy tính và phần mềm ứng dụng, kiểm toán các tiện ích xử lý của hệ thống thông tin, kiểm toán về việc triển khai và phát triển hệ thống, kiểm toán về hệ thống mạng nội bộ, mạng internet.

Quy trình KTHTTT

Lập kế hoạch kiểm toán

KTV lập kế hoạch kiểm toán để đảm bảo cuộc kiểm toán đúng thời hạn, phát hiện gian lận, rủi ro và những vấn đề tiềm ẩn. Chủ nhiệm kiểm toán viên hệ thống phải biết rõ năng lực của các nhân viên kiểm toán để phân công công việc cho từng người. Mặt khác, để đánh giá được sự thành công của cuộc kiểm toán hệ thống, KTV cần xác định phạm vi và mục tiêu của cuộc kiểm toán thông qua các thử nghiệm về hệ thống thông tin. Để xác định mục tiêu kiểm toán và đảm bảo thông tin thu thập được có hiệu quả, KTV cần xác định mức trọng yếu, đánh giá rủi ro kiểm toán nhằm tìm ra những bằng chứng thích hợp và đầy đủ trong suốt quá trình kiểm toán.

Khi xác định mức độ trọng yếu, KTV có thể kiểm toán các khoản mục chi tiền tệ như kiểm soát và xử lý phần cứng, kiểm soát phần logic, kiểm soát hệ thống quản lý nhân sự, kiểm soát nhà máy, kiểm soát mật mã. Đối với các nghiệp vụ liên quan đến tiền tệ, cần lưu ý một số thước đo: Quy trình kinh doanh mà hệ thống máy tính hỗ trợ chủ yếu; Chi phí đầu tư và chi phí hoạt động của hệ thống (phần cứng, phần mềm, dịch vụ của bên thứ ba…); Chi phí ẩn của các sai sót; Số lượng nghiệp vụ hay yêu cầu được xử lý trong mọi thời kỳ; Mức phạt cho những hành vi không tuân thủ quy định của pháp luật hay của đơn vị.

KTV phải đánh giá rủi ro kiểm toán và xác định các thủ tục kiểm toán nhằm giảm thiểu các rủi ro kiểm toán xuống thấp tới mức có thể chấp nhận được. Để đơn giản, thông thường người ta chia rủi ro làm các mức: cao, trung bình và thấp. Theo đó, đưa ra tỷ lệ rủi ro kiểm toán cần thiết cho cuộc kiểm toán. Khi xác địh rủi ro kiểm toán, KTV cần chú ý đến các loại thông tin: Chi phí về phần mềm cần có để thực hiện kỉêm tra; Mức độ thông tin yêu cầu để đánh gía rủi ro kiểm toán phải ở trong trạng thái sẵn sàng đáp ứng; sự sẵn lòng của ban quản lý đơn vị được kiểm toán.

KTV cần xem xét những vấn đề chung và cụ thể của hệ thống thông tin để đánh giá rủi ro tiềm tàng. Đối với những vấn đề chung, cần xem xét kiến thức và kinh nghiệm của bộ phận quản lý công nghệ thông tin, hệ thống tổ hức kinh doanh, sự thay đổi ban quan rlý công nghệ thông tin. Xem lại những báo cáo kiểm toán của các kỳ trước. Đối với những vấn đề cụ thể, cần xem xét sự phức tạp của hệ thống, mức độ can thiệp bằng thủ công nếu có yêu cầu, các loại tài sản có tính nhạy cảm, xem lại những báo cáo kiểm toán của các kỳ trước.

Còn rủi ro kiểm soát được xác định và đánh giá bởi hệ thống kiểm soát nội bộ. KTV hệ thống cần xem xét các thủ tục như: thủ tục kiểm soát những thay đổi chương trình, quyền sử dụng bản quyền phần mềm.

Rủi ro phát hiện được xác định thông qua việc KTV hệ thống đánh giá rủi ro tiềm tàng và rủi ro kiểm soát.

Các loại bằng chứng kiểm toán cần thu thập khi kiểm toán hệ thống về cơ bản là dựa vào mức độ rủi ro mà KTV đánh gía, bao gồm: bằng chứng quan sát, sự bảo mật của hệ thống máy tính, bằng chứng tài liệu, các mẫu tin về nghiệp vụ kinh tế phát sinh, các chính sách, các lưu đồ hệ thống, bằng chứng từ việc phân tích (thu thập được qua việc so sánh các tỷ lệ lỗi giữa phần mềm, các nghiệp vụ kinh tế và người sử dụng)

Để đánh giá hệ thống kiểm soát nội bộ, KTV xem xét môi trường kiểm soát, hệ thống máy tính và các thủ tục kiểm soát.

Thực hiện kiểm toán.

Như đã đề cập, KTHTTT được thực hiện chung với KTBCTC hay KTNB và có quy trình tương tự như KTBCTC hay KTNB. Nhưng trong cùng quy trình kiểm toán, KTHTTT có mục đích xem xét, đánh giá hệ thống thông tin của DN. Có thể chia hệ thống phương pháp kiểm toán thành hai loại phương pháp, đó là phương pháp thử nghiệm cơ bản và phương pháp thử nghiệm kiểm soát.

Phương pháp thử nghiệm cơ bản được thiết kế và sử dụng nhằm mục đích thu thập các bằng chứng có liên quan đến các dữ liệu do hệt hống kiểm toán của đơn vị được kiểm toán cung cấp. Đặc trưng cơ bản của phương pháp này là việc tiến hành thử nghiệm, đánh giá đều được lựa vào số liệu, các thông tin trong BCTC và hệ thống kế toán của đơn vị. Cụ thể, KTV sẽ thực hiện hai thủ tục: thủ tục phân tích đánh giá tổng quát (gọi tắt là thủ tục phân tích) và thủ tục kiểm tra chi tiết các nghiệp vụ và số dư.

Kỹ thuật phân tích còn giúp KTV "chẩn đoán" được nhanh chóng khu vực có thể sai sót để làm trọng tâm cho việc kiểm toán. Các thông tin thu được do áp dụng phương pháp phân tích còn giúp KTV quyết định nội dung, thời gian và phạm vi sử dụng các phương pháp kiểm toán khác.

Áp dụng phương pháp phân tích trong khi lập kế hoạch kiểm toán có thể sử dụng cả số liệu tài chính và các thông tin không mang tính chất tài chính như số lao động, diện tích kho tàng, diện tích khu bán hàng, công tác tiến độ sản xuất và các thông tin tương tự.

Trong giai đoạn này, phương pháp phân tích được sử dụng như một phương pháp kiểm tra cơ bản nhằm thu thập các bằng chứng để chứng minh cho một cơ sở dữ liệu cá biệt có liên quan đến số dư tài chính hoặc một loại nghiệp vụ nào đó.

Các bằng chứng về các khoản cơ sở dữ liệu các khoản mục trong báo cáo có thể thu thập được khi tiến hành thử nghiệm chi tiết các nghiệp vụ, số dư hoặc sử dụng phương pháp phân tích hay kết hợp cả hai phương pháp.

Khi sử dụng phương pháp phân tích cho mục đích này, KTV cần xem xét các vấn đề sau: Mục đích của phương pháp phân tích và mức độ KTV có thể tin cậy vào phương pháp phân tích; Tính hữu dụng của các thông tin tài chính và các thông tin không có tính chất tài chính; Độ tin cậy của các thông tin hiện có; Tính so sánh của các thông tin hiện có. Các kinh nghiệm mà KTV thu thập được trong kỳ kiểm toán trước về hiệu lực của quy chế kiểm toán nội bộ và các dạng "vấn đề" đã phát sinh trong các kỳ trước để điều chỉnh số liệu kiểm toán. Với hệ thống kiểm soát nội bộ yếu kém, việc áp dụng đơn thuần phương pháp phân tích để đưa ra kết luận là hết sức nguy hiểm.

Các KTV nghiên cứu, đánh giá hệ thống kiểm soát nội bộ là để đánh giá mức độ rủi ro trong kiểm soát, làm cơ sở cho việc lựa chọn các phương pháp kiểm toán thích hợp. Khi xem xét hệ thống kiểm toán nội bộ DN, các KTV phải trả lời được câu hỏi: Liệu công việc kiểm toán có thể dựa vào hệ thống kiểm soát của DN được hay không? Để giải đáp câu hỏi này, về thực chất, KTV phải xem xét mức độ thoả mãn về kiểm soát trong từng trường hợp cụ thể. Nếu rủi ro kiểm soát khi lập kế hoạch kiểm toán được đánh giá là cao, thoả mãn về kiểm soát thấp và KTV không thể tin tưởng và không thể dựa vào hệ thống kiểm soát nội bộ DN. Trong trường hợp rủi ro kiểm soát được đánh giá là thấp, mức thoả mãn về điều kiện kiểm soát còn tuỳ thuộc vào mức độ đánh giá thực tế hiệu quả của hệ thống kiểm soát trong quá trình kiểm toán của KTV.

Tuỳ thuộc mức độ thoả mãn về kiểm soát, KTV có thể áp dụng các phương pháp kiểm toán tuân thủ cụ thể sau:

Phương pháp cập nhật cho các hệ thống. Kỹ thuật này đòi hỏi việc kiểm tra chi tiết một loạt các nghiệp vụ cùng loại ghi chép từ đầu đến cuối để xem xét, đánh giá các bước kiểm soát áp dụng trong hệ thống điều hành nội bộ. Ví dụ, các nghiệp vụ bán hàng có thể được kiểm tra từ khi nhận đơn đặt hàng cho đến khi nhận được tiền bán hàng. Kiểm tra hệ thống cho phép đánh giá lại mức độ rủi ro kiểm toán và thiết kế các thử nghiệm chi tiết về kiểm soát.

Các thử nghiệm chi tiết đối với kiểm soát. Thử nghiệm chi tiết về kiểm soát là các thử nghiệm được tiến hành để thu thập bằng chứng về sự hữu hiệu của quy chế kiểm soát và các bước kiểm soát, làm cơ sở cho việc thiết kế phương pháp thử nghiệm kiểm toán cơ bản.

Việc tiến hành hay không tiến hành các thử nghiệm chi tiết về kiểm soát phụ thuộc vào việc đánh giá lại mức độ rủi ro kiểm toán sau khi đã áp dụng kỹ thuật kiểm tra hệ thống. Nếu mức độ rủi ro kiểm soát đã đánh giá sơ bộ khi lập kế hoạch xuống một mức thấp hơn, KTV sẽ tiến hành các thử nghiệm chi tiết về kiểm soát cần thiết để có được những bằng chứng về sự hữu hiệu tương ứng của kiểm soát nội bộ. Đây là cơ sở để KTV giới hạn phạm vi của các thử nghiệm cơ bản phải tiến hành (nhất là các thử nghiệm chi tiết về nghiệp vụ và số dư tài khoản đối với các khoản mục liên quan). Ngược lại, nếu mức rủi ro kiểm soát được đánh giá ở mức cao và xét thấy không có khả năng giảm được trong thực tế, KTV sẽ không thực hiện các thử nghiệm chi tiết về kiểm soát mà phải tiến hành ngay các thử nghiệm cơ bản ở mức độ phù hợp. Đây là giai đoạn, là công việc mang tính chủ quan, tuỳ thuôộ vào bản lĩnh nghề nghiệp và sự xét đoán của KTV.

Các thử nghiệm chi tiết đối với kiểm soát (kiểm soát độc lập và quản lý, kiểm soát xử lý, kiểm soát để bảo vệ tài sản) chủ yếu cũng được thực hiện trên cơ sở kiểm tra mẫu các quy chế kiểm soát nội bộ. Ngoài ra, phương pháp này còn kết hợp với các biện pháp quan sát trực tiếp, phỏng vấn khách hàng và kiểm tra đối chiếu để bổ sung kỹ thuật lấy mẫi kiểm toán…

KTHTTT là loại hình dịch vụ kiểm toán ra đời muộn so với các dịch vụ kiểm toán khác nhưng có thể nói, dịch vụ này có ý nghĩa quan trọng đối với hoạt động sản xuất, kinh doanh của DN nói riêng và sự phát triển của DN nói chung trong thời đại công nghệ thông tin.

THS. Trần Phước-ĐH Công nghiệp TP.HCM (Tạp chí Kế toán)
Tapchiketoan.com