Chương 9: KIỂM TOÁN HỆ THỐNG THÔNG TIN

1.  Vai trò của HTTT

HTTT giữ vai trò quan trọng trong HĐ of DN vì cung cấp TT làm cơ sở ra QĐ cho nhà quản lý.  Các HĐ máy tính hay HĐ xử lý dự liệu điện tử là một trong những lĩnh vực quan trọng nhất hỗ trợ NQL. Các HĐ máy tính quan trọng đvới NQL và KTV bởi các lý do:

Thứ nhất: chi phí cao của việc đầu tư vào kỹ thuật thông tin trong đó có chi phí thiết lập dẫn đến sự quan tâm về tính hiệu quả của khoản đầu tư ngân quỹ này.

Thứ 2: HTTT có tác động đến việc đạt được mục tiêu của đơn vị. trong DN, rất nhiều các hoạt động nghiệp vụ phụ thuộc vào các hoạt động máy tính. HTTT hỗ trợ cho việc chuyển đổi dữ liệu thô thành cơ sở đáng tin cậy và đảm bảo cho việc ra QĐ.

2. Kiểm toán quanh máy tính và kiểm toán qua máy tính

KT quanh máy tính : KTV điều chỉnh cách tiếp cận thông thường mà k vận dụng thêm các kiến thức chuyên môn về các áp dụng máy tính. KT quanh MTính là cách thức KT dựa vào NQL để có đc những lịch trình và thông tin ktra. KT quanh máy tính đc gọi là KT với cách tiếp cận hộp đen, trong đó MT đc xem như 1 vật thể lạ nà KTV sẽ ko đề cập đến. cách thức này ko thúc đẩy tính độc lập của KTVcũng như k nâng cao đc hiểu biết của KTV về hthống đc KT, khiến KT bị lạc hậu so với yêu cầu quản lý về phát hiện sai phạm và những vấn đề ko hiệu quả.

KT qua máy tính: là cách thức Kt mà trong đó KTV có thể tích hợp tệp dữ liệu có khả năng rà soát các kiểm soát các hệ thống trong phần mềm để thu thập các thông tin cần thiết. hơn nữa, các mô phỏng song song có thể đc sử dụng để thiết lập mô hình của KTV về ctrình đang HĐ. Phần mềm thẩm vấn có thể đc sử dụng để có đc các mẫu KT phù hợp cho vc phân tích trong khi Ktra dữ liệu có thể đc sử dụng để Ktra tính hiệu lực của các thủ tục kiểm soát liệt kê trong  tài liệu.

3. Các hoạt động máy tính

3.1. Hoạt động phát triển hệ thống. Phát triển hệ thống là khía cạnh quan trọng nhất của bất cứ ctrình máy tính nào, bảo đảm nhiều tiêu chí đc thoả mãn. Phần lớn các HThống mới là HThống nâng cao hoặc thay thế, trong khi các phần mềm mới mở rộng HThống hiện tại.

Khi phát triển hệ thống, cần đảm bảo phát triển 3 yếu tố:Nhân sự, thông tin, công nghệ.

+ Nhân sự: đề cập đến cách thức bố trí nhân sự, kỹ năng và năng khiếu của nhân viên, cách thức hệ thống mới đc bán cho họ, cách thức sắp đặt HĐ của HThống mới, nhu cầu hợp lý hoá các quá trình hoạt động, đặc biệt là đối với sự luân chuyển các tệp thông tin qua các thủ tục xử lý dữ liệu, cách lấy và chuyển thông tin đến người y/cầu từ bên trong và bên ngoài tổ chức.

+Thông tin: đề cập đến loại báo cáo chuẩn tắc đc ycầu, mô hình hệ thống thông tin hỗ trợ cho vc ra QĐ đòi hỏi đặc điểm này phải linh hoạt và kiểm soát đc bới ng sử dụng; loại dữ liệu sẵn có và trạng thái chung của dữ liệu; dữ liệu mới đc yêu cầu và cách chúng có thế đc tạo ra,mức độ lưu dữ lịêu thủ công hay trên máy.

+ Công nghệ: sự căng thẳng hay sự nhấn mạnh vào HT và knăng cần để xử lý vẫn đề này; loại Ht hoat động và cấu hình máy cần thiết, các sắp đặt tiêu chuẩn máy mới, giao diện giữa kiến trúc CNTT hiện tại bao gồm các mạng và các liên kết; các kĩ năng của nhân viên CNTT và mức độ phụ thuộc nhà cung cập.

+ Mối quan hệ: các vấn đề nhân sự QĐ giải pháp thông tin và điều này QĐ các yêu cầu về công nghệ.

+ vai trờ của KT phát triển hệ thống thông tin:

Đảm bảo: đảm bảo với các nhà quản lý DN rằng các cơ chế phát triển hệ thống là hoạt động

Cảnh báo: thông báo với NQL khi có rủi ro đáng kể

Tư vấn: khuyên NQL cách quản lý rủi ro

Hành động: xúc tiến các HĐ nhằm đảm bảo quản lý rủi ro tốt hơn

3.2. Áp dụng HTTT. Chiến lược HTTT, an ninh hệ thống và phương pháp thông qua đó các hệ thống mới và nâng cao đc phát triển và đưa vàp HĐ đều đóng góp vào môi trường HTTT. Có thể Kt các áp dụng HTTT bằng cách xem xét các ksoát chuẩn tắc đvới đầu vào, xử lý dữ liệu và đầu ra của hệ thống, và danh mục các kiểm soát đó có thể dùng để đảm bảo thông tin là đầy đủ, đáng tin cậy, được phép , được xử lý đúng và lưu trữ.

An ninh hệ thống là một vấn đề quan trọng ảnh hưởng đến tính ổn địng of môi trường của các HTTT. Những nguy cơ như gian lận bằng máy tính, gián điệp, phá hoại, thảm họa tự nhiên có thể làm suy yếu hệ thống mạng cuat DN và phá hoại các cơ sở dữ liệu quan trọng. một cách thức để đảm bảo AN hệ thống là  lập KH về thảm hoạ thông tin. Đó là sự chuẩn bị về khả năg xảy ra những sự cố ko mong muốn trong HTTT có thể gây hậu quả tiêu cực đến giá cổ phiếu,DT, đơn đặt hàng, các nhà cung cấp và các vấn đề ảnh hưởng đến uy tín của DN.  Các kế hoạch về đảm bảo an ninh hệ thpnsg ên đc thảo luận thường xuyên, và đề ra cách xử lý.

4. Tiêu chi đánh giá HTTT

4.1. Tiêu chí đánh giá PTriển hệ thống

Các HT có thể bị thất bại khi vc xác định hệ thống ko bảo đảm thích đáng, và khi HT HĐ vượt quá dự toán, NQL sẽ bắt đầu lảng tránh khỏi những thất bại có thể. Hai kĩ thuật chính để đảm bảo một HT tốt sẽ đi vào HĐ là các chuẩn mực phát triển HT và chuẩn mực quản lý dự án. Thực tế quản lý dự án vững chắc đc đánh giá qua các tiêu chí:

Các KS thích đáng đc XD trong HT mới tại GĐoạn phát triển

Đánh giá bắt buộc với các KS trc khi HĐồng đc kí kết

HT phát triển nhất quán với chính sách của DN

Có KH sử dụng máy tính trong DN và KH đc rà soát bởi NQL

Các công vc phát triển đc thể hiện thích đáng trong tài liệu

Nhân sự của HĐ máy tính đc sử dụng đúng đắn và khai thác tổt khả năng

4.2. Tiêu chí đánh giá vc áp dụng HTTT

4.2.1. các kiểm soát đầu vào cơ bản: các thủ tục với ng sử dụng; hạn chế tiếp cận; mã hoá, mật khẩu; kiểm soát tiếp cận, an ninh và mật khẩu; cảnh báo về lỗi mắc phải…

4.2.2. KS xử lý dữ liệu: kiểm tra sự tương thích; KS thất bại hệ thống; KTra đầu vào có bị lặp lại, KTra trình tự đvới các số liệu liên tiếp; kiểm tra tính đầy đủ, dữ liệu bị mất, giới hạn…

4.2.3. kiểm soát đầu ra: các báo cáo phù hợp; tài liệu công việc, cơ chế bảo đảm đầu ra; quy định về tài liệu đc lưu trên máy tính…

5. Kỹ thuật thu thập bằng chứng

KTV sử dụng các KThuật KT với sự hỗ trợ của máy tính. Các bằng chúng phải đầy đủ và tin cậy.  bằng chứng đc thu thập bởi KTV từ HTTT.

Quy trình áp dụng các chương trình thẩm vấn KT: KTV đưa ra MTiêu KT, chương trình sẽ xác định các loại kiểm tra cần thực hiện, sau đó thu thập các tệp thông tin cần kiểm tra và tiến hành thẩm vấn tệp thôgn tin lựa chọn, ktra Kquả và KLuận và cung cấp đầu ra của ctrình là KLuận để kết nối với các phần hành kiểm toán khác.

Các kỹ thuật KT với sự hỗ trợ của máy tính cần đc áp dụng nhằm đánh giá mục tiêu kiểm soát . khi lựa chọn kỹ thuật phù hợp nhất, KTV có thể cân nhắc một số các yếu tố:

Mức độ đảm bảo mà KTV yêu cầu

Mức độ chuyên môn kỹ thuật sẵn có ở KTV

Tầm quan trọng của HTTT

Việc rà soát một lần rồi thôi hay còn tiếp diễn

Chi phí và thời gian thiết lập, duy trì các kỹ thuật

Tính phức tạp của các thủ tục kiểm toán

KTV sử dụng phần mềm thẩm vấn để phân tích dữ liệu thu thập từ các tệp thông tin trong máy tính. Quan trọng khi áp dụng thủ tục ktra từ đầu đến cuối, thử nghiệm tuân thủ, thử nghiệm cơ bản. sử dụng phần mềm cơ bản hữu dụng khi dữ liệu có khối lượng lớn, thiếu dấu vết KT…

Ngoài ra, KTV còn sử dụng KThuật phỏng vấn. kĩ thuật này giúp thu thập BCKT ngoài  HTTT

6. Quy trình kiểm toán

6.1. Chuẩn bị kiểm toán

+ Xác định mục tiêu và phạm vi kiểm toán: mục tiêu KT là đánh giá tính hiệu quả và hiệu lực của HTTT. Phạm vi KT là sự giới hạn về TGian và Kgian của  HTTT đc KT, đề cập đến những HTTT cụ thể đc phát triển.

+ chỉ định ng phụ trách công vc KT: KTV cần có các kỹ năng về máy tính để xác định và thẩm tra được các kiểm soát máy tính mà không phải dựa nhièu vào phòng máy tính

+ thu thập TT: TT về thủ tục và quá trình phát triển HTTT, vè sự phàn nàn hay các bác cáo trục trặc của HTTT

+ Lập KH KT: cuộc KT HTTT cần đc lập KH và giám sát chu đáo. Cuộc KT ko có KH rất khó KSoát. Đánh giá rủi ro đc sử dung để lập KH sử dung nguồi lực kiểm toán thông qua vc xem xét các yếu tố:

Tính liêm chính, kinh nghiệm và kiến thức của NQL HTTT

Bản chất của HĐ kinh doanh và của hệ thống

Mức độ ảnh hưởng của bên thứ 3 đối với vc kiểm soát hệ thống đc KT

Các phát hiện từ cuộc KT trước

Các công vc KT HTTT cần đc lập KH và NQL KT cần xác định phương pháp , cách tiếp cận KT, thủ tục đc thực hiện, lĩnh vực sẽ KT.

+ Lựa chọn tiêu chuẩn đnáh giá: tiêu chuẩn đánh giá cần đc lựa chọn phù hợp với đối tượng kiểm toán, số lượng tiêu chuẩn đánh giá phụ thuộc vào nguồn lực của cuộc KT. Tiêu chuẩn đánh giá đc chọn cần đc thảo luận với bộ phận đc đánh giá để co đc sự nhất trí về tiêu chuẩn đánh giá trc khi sử dụng

6.2. thực hiện KT

+ KT phát triển hệ thống: KTV nên xúc tiến vc sử dungk các nguyên tắc  quản lsy dự án tốt. có 2 cách tiếp cận:

-Xem xét cách thức DN KSoát sự phát triển hệ thống nói chung. Để ktra tính tuân thủ, một số dự án đc phát triển trong quá khứ và hiện tại đc chọn để kiểm tra để xem xét mức độ áp dụng trong thực tế quá trình phát triển hệ thống xác định.

- đảm bảo kiểm toán đối với tất cả các dự án phát triển chính. KTV có thể tư vấn về những hệ quả của những KSoát thích hợp với hệ thống đnag phát triển. vai trò của KTV như ng phát hiện các lõ hổng về KSoát. KTV có trách  nhiệm bảo đảm hệ thống đc kiểm soát vũng chắc. NQL chịu trách nhiệm về KS và vai trò của KT là rà soát và tư vấn về những nhược điểm of KSoát.

+ kiểm toán các áp dụng HTTT: cần nhận thực mỗi quan hệ giữa các HĐKD và các hệ thống máy tính nhằm hỗ trợ cho quá trình lập và thực hiện các mục tiêu KD. KTV có thể tập trung vào các rủi ro liên quan đến đầu vào, quá trình xử lý thông tin hoặc két quả đầu ra của HTTT. Các kiểm soát vc áp dụng cần phải đc kiểm tra bới KTV theo yêu cầu rằng tất cả các phát hiện kiểm toán đều có bằng chứng KT thích đáng .

6.3. kết thúc kiểm toán

KTV cần cân nhắc rằng các mục tiêu kiểm toán đã đạt đc và ko còn lĩnh vực nào bị bỏ sót khi KTV ra khỏi hệ thống. BCKT cần đc gửi cho lãnh đạo đơn vị và NQL bộ phận HTTT, ng sử dụng các HTTT.