Luận văn Thạc sĩ Kinh tế: Vận dụng chuẩn mực quốc tế để xây dựng quy trình và thủ tục kiểm toán hệ thống công nghệ thông tin trong kiểm toán báo cáo tài chính tại Việt Nam

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC KINH TẾ TP. HỒ CHÍ MINH

•

NGŨ THÁI NGỌC KHIÊM

VẬN DỤNG CHUẨN MỰC QUỐC TẾ ĐỂ XÂY DỰNG

QUY TRÌNH VÀ THỦ TỤC KIỂM TOÁN HỆ THỐNG

CÔNG NGHỆ THÔNG TIN TRONG KIỂM TOÁN BÁO

CÁO TÀI CHÍNH TẠI VIỆT NAM

LUẬN VĂN THẠC SĨ KINH TẾ

TP. Hồ Chí Minh – Năm 2014

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC KINH TẾ TP. HỒ CHÍ MINH

•

NGŨ THÁI NGỌC KHIÊM

VẬN DỤNG CHUẨN MỰC QUỐC TẾ ĐỂ XÂY DỰNG

QUY TRÌNH VÀ THỦ TỤC KIỂM TOÁN HỆ THỐNG

CÔNG NGHỆ THÔNG TIN TRONG KIỂM TOÁN BÁO

CÁO TÀI CHÍNH TẠI VIỆT NAM

Chuyên ngành

: Kế toán

Mã số

: 60340301

LUẬN VĂN THẠC SĨ KINH TẾ

NGƯỜI HƯỚNG DẪN KHOA HỌC:

PGS.TS PHẠM VĂN DƯỢC

TP. Hồ Chí Minh – Năm 2014

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi. Kết quả nêu trong luận

văn là trung thực và chưa từng được công bố trong bất cứ công trình nghiên cứu

nào.

NGŨ THÁI NGỌC KHIÊM

MỤC LỤC

Trang phụ bìa

Lời cam đoan

Mục lục

Danh mục viết tắt

Danh mục các bảng

Danh mục hình vẽ

PHẦN MỞ ĐẦU ....................................................................................................... 1

1. Tính cấp thiết của đề tài ......................................................................................... 1

2. Tổng quan các vấn đề nghiên cứu .......................................................................... 4

3. Mục tiêu luận văn ................................................................................................... 8

4. Phương pháp nghiên cứu ........................................................................................ 8

5. Phạm vi và đối tượng nghiên cứu ........................................................................ 10

6. Các đóng góp của luận văn .................................................................................. 10

7. Trình bày và kết cấu luận văn .............................................................................. 11

CHƯƠNG 1: QUY TRÌNH VÀ THỦ TỤC KIỂM TOÁN CÔNG NGHỆ

THÔNG TIN ........................................................................................................... 12

1.1 KIỂM TOÁN CÔNG NGHỆ THÔNG TIN ...................................................... 12

1.1.1 Quá trình hình thành, phát triển của kiểm toán CNTT. .................................. 12

1.1.2 Mục tiêu và vai trò của kiểm toán hệ thống công nghệ thông tin ................... 14

1.2 QUY TRÌNH VÀ THỦ TỤC KIỂM TOÁN CÔNG NGHỆ THÔNG TIN ...... 19

1.2.1 Lập kế hoạch kiểm toán .................................................................................. 19

1.2.2 Thực hiện kiểm toán và đánh giá .................................................................... 24

CHƯƠNG 2: THỰC TRẠNG QUY TRÌNH VÀ CÁC THỦ TỤC KIỂM TOÁN

CNTT TRONG KIỂM TOÁN BCTC ÁP DỤNG TẠI VIỆT NAM ................. 43

2.1 CƠ SỞ PHÁP LÝ CHO VIỆC KIỂM TOÁN CNTT TẠI VIỆT NAM ... 43

2.2 THỰC TRẠNG XÂY DỰNG QUY TRÌNH VÀ THỦ TỤC KIỂM TOÁN

CNTT TRONG CUỘC KIỂM TOÁN BCTC CỦA CÁC CÔNG TY KIỂM

TOÁN VIỆT NAM ................................................................................................ 47

2.2.1 Mục tiêu khảo sát ............................................................................................ 47

2.2.2 Đối tượng, thời gian và phạm vi khảo sát ....................................................... 48

2.2.3 Phương pháp khảo sát ..................................................................................... 48

2.2.4 Kết quả khảo sát .............................................................................................. 49

2.2.5 Minh họa quy trình và thủ tục kiểm toán CNTT trong một cuộc kiểm toán

BCTC ....................................................................................................................... 51

CHƯƠNG 3: VẬN DỤNG XÂY DỰNG QUY TRÌNH VÀ THỦ TỤC KIỂM

TOÁN CNTT TRONG KIỂM TOÁN BCTC TẠI VIỆT NAM ........................ 55

3.1 GIẢI PHÁP CHUNG ......................................................................................... 55

3.2 GIẢI PHÁP CỤ THỂ ......................................................................................... 59

3.2.1. Ban hành các khái niệm liên quan đến kiểm toán CNTT .............................. 59

3.2.2. Chuẩn hóa quy trình lập kế hoạch và thực hiện kiểm toán CNTT theo chuẩn

mực quốc tế .............................................................................................................. 60

3.2.3. Phối hợp với các bên liên quan xây dựng đồng bộ cơ sở hạ tầng và kiến trúc

liên quan ................................................................................................................... 62

KẾT LUẬN ............................................................................................................. 63

TÀI LIỆU THAM KHẢO

PHỤ LỤC

DANH MỤC VIẾT TẮT

AICPA: Hiệp hội Kế toán viên công chứng Hoa Kỳ

BCTC: Báo cáo tài chính

CEO: Giám đốc điều hành doanh nghiệp

COBIT (Control Objectives for Information and related Technology): Kiểm soát

các vấn đề đối với thông tin và kỹ thuật liên quan.

COSO (the Committee of Sponsoring Organizations of Treadway Commission): Ủy

ban chống gian lận báo cáo tài chính

CNTT: Công nghệ thông tin

ERP (Enterprise resource planning): Hệ thống hoạch định nguồn lực doanh nghiệp

CNTT: Hệ thống công nghệ thông tin

HSBC (Hongkong and Shanghai Banking Corporation): Tập đoàn Ngân hàng Hồng

Kông và Thượng Hải

ISACA (Information Systems Audit and Control Association): Hiệp hội kiểm soát

và kiểm toán hệ thống thông tin.

IT (Information Technology): Công nghệ thông tin

ITAF (IT Assurance Framework): Khuôn mẫu đảm bảo công nghệ thông tin

KTV: Kiểm toán viên

VAS (Vietnamese Accounting Standard): Chuẩn mực kế toán Việt Nam

VN: Việt Nam

VSA (Vietnamese Standards on Auditing): Chuẩn mực kiểm toán Việt Nam

DANH MỤC CÁC BẢNG

Bảng 1.1: Phân loại kiểm soát hệ thống tổng quát (General IT Control)

Bảng 1.2: Hiệu quả các loại thử nghiệm tương ứng với các kiểm soát ứng dụng

Bảng 2.1: Số lượng công ty kiểm toán đã thực hiện kiểm toán CNTT trong cuộc

kiểm toán BCTC

Bảng 2.2: Số lượng khách hàng trong năm 2012 của 6 công ty kiểm toán lớn tại

Việt Nam

DANH MỤC HÌNH VẼ

Hình 1.1: Quy trình lập kế hoạch và thực hiện kiểm toán CNTT

Hình 1.2: Quy trình thực hiện kiểm toán CNTT trong cuộc kiểm toán BCTC

Hình 1.3: Phân loại kiểm soát xử lý (Process control)

Hình 1.4: Kiểm soát hệ thống tổng quát (General IT Control)

Hình 1.5: Lựa chọn thực hiện thử nghiệm kiểm soát hệ thống tổng quát tương ứng

với các ứng dụng KTV sẽ sử dụng

Hình 1.6: Mối tương quan của kiểm soát ứng dụng với kiểm soát hệ thống tổng quát

1

PHẦN MỞ ĐẦU

1. TÍNH CẤP THIẾT CỦA ĐỀ TÀI

Hệ thống thông tin kế toán thu thập dữ liệu và xử lý thông tin kế toán nhằm mục

tiêu cung cấp cho người sử dụng bên trong và bên ngoài doanh nghiệp các vấn đề

tài chính doanh nghiệp để từ đó đưa ra các quyết định phù hợp. Chất lượng thông

tin kế toán ảnh hưởng trực tiếp đến chất lượng và hiệu quả quyết định của người sử

dụng thông tin. Vì thế, chất lượng thông tin kế toán được quan tâm hàng đầu trong

hoạt động quản trị. Tại Hoa Kỳ, đạo luật Sarbanes Oxley (2002) được xây dựng

nhằm bảo vệ lợi ích của các nhà đầu tư vào các công ty đại chúng bằng cách buộc

các công ty này phải cải thiện sự đảm bảo và tin tưởng vào các báo cáo, các thông

tin tài chính công khai; các hiệp hội tổ chức nghề nghiệp cũng lần lượt đưa ra các

nghiên cứu và báo cáo về khuôn mẫu, chuẩn mực để đảm bảo chất lượng thông tin

kế toán.

Trước sự đa dạng và quan trọng của thông tin kế toán, người sử dụng phát sinh nhu

cầu được cung cấp các dịch vụ bảo đảm từ bên thứ ba độc lập khách quan có trình

độ chuyên môn cao và được pháp luật cho phép hoạt động. Các đơn vị kiểm toán ra

đời đáp ứng nhu cầu trên cùng với các loại hình dịch vụ đảm bảo phổ biến được

phân loại theo chức năng như sau: kiểm toán báo cáo tài chính, kiểm toán tuân thủ

và kiểm toán hoạt động. Với bất kỳ loại hình kiểm toán nào, khi đối tượng để kiểm

toán viên thực hiện các thủ tục kiểm toán là hệ thống công nghệ thông tin, phạm trù

“kiểm toán hệ thống công nghệ thông tin” xuất hiện với khái niệm cụ thể và nội

dung là những quy trình, thủ tục chặt chẽ nhằm mục đích thu thập bằng chứng và

đánh giá bằng chứng về các hoạt động của hệ thống thông tin đã được tổ chức. Việc

đánh giá các bằng chứng phải đảm bảo rằng hoạt động của hệ thống ấy được bảo

mật, chính trực, hữu hiệu và hiệu quả nhằm đạt được các mục tiêu của tổ chức đã đề

ra. Công việc này được thực hiện chung với việc kiểm toán báo cáo tài chính, kiểm

toán nội bộ hay kiểm toán vì mục đích khác.

2

Cùng với sự bùng nổ của ngành công nghệ thông tin, các công ty phát triển và cung

cấp giải pháp quản trị cho ra đời hàng loạt hệ thống quản lý tích hợp sâu vào từng

hoạt động của doanh nghiệp nhằm thu thập, xử lý, cung cấp chính xác, kịp thời các

thông tin tài chính trong doanh nghiệp, bao gồm cả thông tin kế toán nhằm đáp ứng

nhu cầu sử dụng thông tin của nhiều đối tượng. Các hệ thống trên được gọi chung

với tên gọi “Hệ thống hoạch định các nguồn lực doanh nghiệp” (Enterprise

Resource Planning – ERP). Thuật ngữ ERP được Gartner Group of Stamford, CT,

USA sử dụng từ những năm đầu của thập niên 70 của thế kỷ trước (1970s) nhằm

mô tả hệ thống phần mềm doanh nghiệp được hình thành và phát triển từ những hệ

thống quản lý và kiểm soát kinh doanh giúp doanh nghiệp hoạch định và quản lý

các nguồn lực bên trong và bên ngoài doanh nghiệp. Việc ứng dụng ERP rộng rãi

bởi các doanh nghiệp chứng tỏ hiệu quả kinh tế mà hệ thống này mang lại dẫn đến

kiểm toán CNTT càng trở nên phổ biến và là một phần không thể tách rời trong các

cuộc kiểm toán.

Tuy nhiên, xu thế trên chỉ mới bắt đầu diễn ra tại Việt Nam trong những năm gần

đây với quy mô nhỏ. Giai đoạn 2008, theo báo cáo tình hình ứng dụng CNTT –

Truyền thông trong doanh nghiệp, chỉ có 3.48% doanh nghiệp ứng dụng ERP

(www.itb.vn1); tại thời điểm tháng 02/2010, có 102 doanh nghiệp Việt Nam đã thực

hiện thành công ERP (Nguyễn Thị Bích Liên, 2012). Mặt khác, công việc kiểm toán

quy trình và hệ thống công nghệ thông tin đòi hỏi kiểm toán viên phải có kiến thức

tài chính kế toán, đồng thời phải có kiến thức về hệ thống thông tin cũng như am

hiểu về các ứng dụng ERP phổ biến tại Việt Nam cũng như đang được sử dụng rộng

rãi trên thế giới.

Do đó, kiểm toán CNTT vẫn còn là một khái niệm mới tại Việt Nam và chưa được

hướng dẫn bởi Hội kiểm toán viên hành nghề Việt Nam (Vietnam Association of

Certified Public Accountants - VACPA); các cuộc kiểm toan CNTT hiện nay vẫn

dựa trên việc xem xét tính tuân thủ các thủ tục, các quy định trong nội quy tại đơn 1 Viện Tin học Doanh nghiệp, Phòng Thương mại và Công nghiệp Việt Nam (VCCI-ITB)

3

vị thuộc những tập đoàn quốc tế đầu tư vào Việt Nam đã xây dựng sẵn hệ thống

kiểm soát nội bộ chặt chẽ và áp dụng các quy định nội bộ trong tập đoàn cho tất cả

đơn vị thành viên tại mỗi quốc gia. Đối với các doanh nghiệp khác trong nước, chỉ

có Ngân hàng Nhà nước Việt Nam quy định về quy trình kiểm toán hoạt động quản

lý, sử dụng hệ thống công nghệ thông tin tại các đơn vị ngân hàng nhà nước (Văn

bản số 4918/QĐ-NHNN, 2012). Như vậy, khi thực hiện cuộc kiểm toán, kiểm toán

viên vẫn dựa vào hướng dẫn trong bộ chuẩn mực kiểm toán Việt Nam là Chuẩn

mực số 401 – Thực hiện kiểm toán trong môi trường tin học, Chuẩn mực số 500 –

Bằng chứng kiểm toán và Chuẩn mực số 610 – Sử dụng công việc của chuyên gia

cũng như áp dụng các chuẩn mực từ bộ khuôn mẫu kiểm toán hệ thống (ITAF,

2013) hoặc dựa vào mô hình kiểm soát CobiT2 làm căn cứ so sánh, đối chiếu tuân

thủ. Hiện nay, đã có 17 chuẩn mực kiểm toán và đảm bảo hệ thống (IS Audit and

Assurance Standards, 2013) được ISACA ban hành và 18 dự thảo hướng dẫn (IS

Audit and Assurance Guideline) đang hoàn tất các thủ tục cuối cùng để được ban

hành chính thức.

Từ tầm quan trọng của vấn đề cũng như số lượng nghiên cứu chưa nhiều, luận văn

chọn đề tài “Vận dụng chuẩn mực quốc tế để xây dựng quy trình và thủ tục kiểm

toán hệ thống công nghệ thông tin trong kiểm toán báo cáo tài chính tại Việt

Nam”.

Luận văn đề cập tới các quy trình và thủ tục kiểm toán hệ thống công nghệ thông tin

đang được áp dụng hiện nay tại Việt Nam và khoản cách so với các chuẩn mực

được áp dụng quốc tế. Dựa vào kết quả kiểm toán hệ thống, kiểm toán viên có cơ sở

để đánh giá quá trình tuân thủ và quản trị hệ thống đối với doanh nghiệp tích hợp

sâu công nghệ thông tin vào công tác quản lý, cụ thể là các doanh nghiệp triển khai

2 CobiT –Control Objectives for Information and related Technology- do Viện quản lý công nghệ thông tin (IT Governance Institute) thuộc Hiệp hội về kiểm soát và kiểm toán HTTT (ISACA-Information System Audit and Control Association) ban hành năm 1996. COBIT nhấn mạnh đến kiểm soát trong môi trường tin học

4

ERP, từ đó tạo cơ sở đề đưa ra kết luận về báo cáo tài chính của doanh nghiệp được

kiểm toán.

2. TỔNG QUAN CÁC VẤN ĐỀ NGHIÊN CỨU

Như đã đề cập, tỷ lệ triển khai và ứng dụng ERP của các doanh nghiệp tại Việt Nam

còn tương đối khiêm tốn, mặt khác kiểm toán viên không những phải có kiến thức

tài chính kế toán, đồng thời lại phải có kiến thức vững chắc về nhiều hệ thống công

nghệ thông tin khác nhau, do đó chưa có nhiều bài viết và nghiên cứu được thực

hiện tại môi trường Việt Nam về lĩnh vực kiểm toán hệ thống công nghệ thông tin

một cách trực tiếp, chủ yếu các nguồn tài liệu được dịch từ nước ngoài và các bài

nghiên cứu về hoạt động kiểm soát thông tin trong môi trường tin học hóa tại doanh

nghiệp. Tuy nhiên, do hoạt động kiểm toán CNTT có nhiều điểm tương đồng với

hoạt động kiểm soát thông tin, nên các nghiên cứu đó cũng có đóng góp đáng kể

cho việc hình thành và xây dựng chuẩn mực kiểm toán hệ thống công nghệ thông

tin vốn còn đang bỏ ngỏ tại Việt Nam.

Cũng chính vì thế, các hướng dẫn kiểm toán hệ thống công nghệ thông tin hiện tại

được mô tả chung trong quy trình kiểm toán báo cáo tài chính hoặc quy trình kiểm

soát nội bộ và chưa tách hệ thống thông tin thành một thực thể cần được kiểm toán

và ra ý kiến riêng biệt, mặc dù phạm vi áp dụng của chuẩn mực kiểm toán Việt Nam

số 401 – Thực hiện kiểm toán trong môi trường tin học (VSA 401) khẳng định khả

năng vận dụng của chuẩn mực cho mục đích “kiểm toán thông tin tài chính khác và

các dịch vụ có liên quan của công ty kiểm toán trong môi trường tin học của khách

hàng” (Đoạn 3, VSA 401), tuy nhiên chuẩn mực trên đã hết hiệu lực từ đầu năm

2014 và không có chuẩn mực tương ứng trong bộ 37 chuẩn mực kiểm toán mới của

Việt Nam3. Chuẩn mực cũng đề cập đến vấn đề kỹ năng và năng lực của kiểm toán

3 Chuẩn mực kiểm toán Việt Nam số 401 – Thực hiện kiểm toán trong môi trường tin học - Ban hành và công bố theo Quyết định số 195/2003/QĐ-BTC ngày 28 tháng 11 năm 2003 của Bộ trưởng Bộ Tài chính và có hiệu lực thi hành từ tháng 12/2003 đến hết tháng 12/2013. Không có chuẩn mực tương ứng trong bộ 37 chuẩn mực kiểm toán Việt Nam được ban hành theo Thông Tư 214 /2012/TT-BTC ngày 6 tháng 12 năm 2012 của Bộ Tài chính.

5

viên và công ty kiểm toán để có thể thõa mãn yêu cầu trong việc đánh giá rủi ro và

kiểm soát nội bộ theo hướng dẫn của chuẩn mực kiểm toán Việt Nam số 400 –

Đánh giá rủi ro và kiểm soát nội bộ và phân tích bản chất và đặc điểm các rủi ro

như sau:

- Thiếu dấu vết của các giao dịch

- Quy trình xử lý thống nhất các giao dịch

- Sự phân chia các chức năng bị hạn chế

- Khả năng của sai sót và không tuân thủ

- Tự tạo và thực hiện các giao dịch

- Sự phụ thuộc của các bước kiểm soát khác đối với quá trình xử lý thông tin

bằng máy tính

- Tăng khả năng giám sát của Ban Giám đốc

- Tăng khả năng sử dụng kỹ thuật kiểm toán được máy tính trợ giúp

Dựa những đặc điểm và bản chất trên, kiểm toán viên và công ty kiểm toán phải

xem xét môi trường tin học trong việc thiết lập các thủ tục kiểm toán để giảm rủi ro

kiểm toán thấp đến mức có thể chấp nhận được. Và trong trường hợp hệ thống có

tính phức tạp cao, cần xem xét việc sử dụng sự giúp đỡ của chuyên gia thành thạo

những kỹ năng cần thiết trong khi lập kế hoạch và kiểm toán viên phải thu thập đầy

đủ bằng chứng kiểm toán thích hợp để đảm bảo rằng công việc của chuyên gia thực

hiện là đúng mục đích của cuộc kiểm toán, tuân thủ theo Chuẩn mực kiểm toán Việt

Nam số 620 – Sử dụng tư liệu của chuyên gia4. (Đoạn 6, VSA 401).

VSA 401 có vai trò quan trọng như là hướng dẫn đầu tiên và là nền móng cho hoạt

động kiểm toán CNTT, tạo tiền đề cho các chuẩn mực khác ra đời, đặc biệt trong

4 Chuẩn mực kiểm toán Việt Nam số 620 – Sử dụng tư liệu của chuyên gia - Ban hành và công bố theo Quyết định số 195/2003/QĐ-BTC ngày 28 tháng 11 năm 2003 của Bộ trưởng Bộ Tài chính và có hiệu lực thi hành từ tháng 12/2003 đến hết tháng 12/2013 và được thay thế bằng Chuẩn mực kiểm toán Việt Nam số 620 – Sử dụng công việc của chuyên gia trong bộ 37 chuẩn mực kiểm toán Việt Nam được ban hành theo Thông Tư 214 /2012/TT-BTC ngày 6 tháng 12 năm 2012 của Bộ Tài chính

6

bối cảnh 37 chuẩn mực kiểm toán Việt Nam được xây dựng theo chuẩn mực quốc tế

được ban hành bởi bộ Tài chính bắt đầu có hiệu lực từ năm 2014.

Do hoạt động xem xét môi trường tin học của doanh nghiệp trong việc lập kế hoạch

và thiết lập các thủ tục kiểm toán có quan hệ chặt chẽ với hoạt động kiểm soát nội

bộ của doanh nghiệp. Trong bài viết đăng trên cổng thông tin khoa kế toán của Đại

học Duy Tân (www.kketoan.duytan.edu.vn), Hồ Tuấn Vũ đã đưa ra giải pháp hạn

chế rủi ro tiềm ẩn đối với hoạt động kiểm soát trong môi trường tin học. Bài viết

phân loại các rủi ro dựa trên nguyên nhân như sau:

- Xuất phát từ thiết bị phần cứng

- Xuất phát từ sự vận hành của hệ thống mạng

- Xuất phát từ sự thiết kế của phần mềm ứng dụng

- Xuất phát từ công việc lưu trữ dữ liệu

- Xuất phát từ sự tác động bên ngoài và sự không trung thực của con người

Qua nhận định về các nguyên nhân đó, tác giả đưa ra giải pháp hạn chế các rủi ro

tiềm ẩn đối với hoạt động kiểm soát trong môi trường tin học cho doanh nghiệp

bằng việc thực hiện hai mục tiêu chính:

- Thực hiện hoạt động kiểm soát chung bao gồm: kiểm soát con người, kiểm

soát vật chất, vận hành máy tính

- Thực hiện hoạt động kiểm soát ứng dụng thông qua ràng buộc trách nhiệm

với các đối tượng có liên quan như doanh nghiệp, nhà cung cấp phần mềm,

bộ phận kỹ thuật.

Song song với việc quy định rõ trách nhiệm cho từng đối tượng, tác giả còn đề xuất

giải pháp kiểm soát dữ liệu từ khâu đầu vào, khâu xử lý và giai đoạn có thông tin

đầu ra. Cụ thể như việc thiết lập chính sách an ninh hệ thống, kiểm soát nhập liệu để

đảm bảo chất lượng dữ liệu đầu vào, kiểm soát các chức năng tự động của phần

mềm, các thức xử lý số liệu để trong quá trình xử lý dữ liệu và kiểm tra đối chiếu

với các thông tin đầu ra. Hạn chế của bài viết không đề cập đến phương thức thực

7

hiện cụ thể mà chỉ đưa ra các ý tưởng chính trong việc thực hiện hoạt động kiểm

soát được khoa học và có tính bao phủ rộng nhằm hạn chế rủi ro.

Vấn đề rủi ro được xem xét trên nhiều khía cạnh khác nhau, đa dạng về nguyên

nhân cũng như tính chất, tuy nhiên mục tiêu chính của việc xây dựng môi trường tin

học trong doanh nghiệp dùng tạo nền tảng để phát triển các hệ thống thông tin nói

chung và hệ thống thông tin kế toán nói riêng nhằm cung cấp thông tin kế toán mô

tả các vấn đề tài chính của doanh nghiệp. Chính vì thế, chất lượng thông tin trở

thành một đối tượng được nghiên cứu. Thông tin có hơn 20 thuộc tính, bao gồm các

thuộc tính được đề cập nhiều nhất như tính chính xác, nhất quán, an ninh, kịp thời

v.v… (Knight and Burn, 2005). Thông tin được xem như có chất lượng khi các

thuộc tính được bảo toàn, không bị thay đổi qua quá trình xử lý và đến tay người sử

dụng, chính vì thế các nhân tố ảnh hưởng đến chất lượng thông tin nói chung và

thông tin kế toán nói riêng trong môi ứng dụng tin học tại doanh nghiệp, đặc biệt

khi doanh nghiệp triển khai hệ thống hoạch định nguồn lực doanh nghiệp ERP được

phân tích nhằm tạo cơ sở cho việc xây dựng hoạt động kiểm soát (Nguyễn Bích

Liên, 2012). Trong quá trình phân tích và khảo sát, Nguyễn Bích Liên đã nhận định

ra được một số nhân tố mới và đưa ra phương pháp cụ thể để kiểm soát các nhân tố

để đảm bảo chất lượng thông tin kế toán nhằm phục vụ các mục đích của người sử

dụng.

Như vậy, các đề tài, bài viết cũng như công trình nghiên cứu hiện có đã tiếp cận hầu

hết các khía cạnh của hệ thống công nghệ thông tin tại doanh nghiệp, cũng như đưa

ra được các biện pháp để kiểm soát hệ thống nhằm đảm bảo các mục tiêu ban đầu

hệ thống được thiết kế. Tuy nhiên vẫn chưa làm rõ khái niệm kiểm toán CNTT cũng

như đưa ra được quy trình và thủ tục cụ thể nói chung và áp dụng cho kiểm toán

BCTC nói riêng. Do đó, luận văn sẽ cố gắng giải quyết các vấn đề trên.

8

3. MỤC TIÊU LUẬN VĂN

- Làm rõ phạm trù kiểm toán CNTT thông qua việc tìm hiểu khái niệm và

phân tích các nội dung; cụ thể là quy trình và thủ tục kiểm toán theo hướng

dẫn của khuôn mẫu kiểm toán hệ thống ITAF.

- Thực trạng xây dựng quy trình và áp dụng các thủ tục kiểm toán hệ thống

công nghệ thông tin trong cuộc kiểm toán BCTC tại Việt Nam thông qua

khảo sát tại các công ty kiểm toán.

- Kiến nghị xây dựng hệ thống chuẩn mực kiểm toán CNTT phù hợp với môi

trường Việt Nam nhằm rút ngắn khoản cách kỳ vọng kiểm toán trong cuộc

kiểm toán BCTC.

4. PHƯƠNG PHÁP NGHIÊN CỨU

Để đạt được mục tiêu đề ra, luận văn cần giải quyết ba vấn đề chính có quan hệ chặt

chẽ nhau, đó là: (1) Phạm trù kiểm toán CNTT và các nội dung hướng dẫn của

khuôn mẫu kiểm toán hệ thống ITAF. Mục đích của phần này là làm rõ khái niệm,

cũng như quy trình xây dựng và thủ tục kiểm toán hệ thống công nghệ thông tin dựa

theo chuẩn mực quốc tế; (2) Thực trạng áp dụng tại Việt Nam thông qua khảo sát

quy trình và thủ tục thực hiện kiểm toán CNTT trong cuộc kiểm toán BCTC tại các

công ty kiểm toán. Mục đích của phần này làm rõ công việc thực tế của kiểm toán

viên khi thực hiện cuộc kiểm toán với các loại hình doanh nghiệp khác nhau. (3)

Kiến nghị xây dựng hệ thống chuẩn mực kiểm toán CNTT phù hợp với môi trường

Việt Nam. Mục đích của phần này chỉ ra các khoản cách kỳ vọng giữa khách hàng,

các chuẩn mực hiện tại và thực tế tại Việt Nam nhằm đề xuất giải pháp rút ngắn

khoản cách cũng như kiến nghị xây dựng bộ chuẩn mực vừa phù hợp với môi

trường Việt Nam vừa đồng bộ với thế giới.

Để giải quyết vấn đề (1) Phạm trù kiểm toán CNTT và các nội dung hướng dẫn của

khuôn mẫu kiểm toán hệ thống ITAF. Luận văn sử dụng phương pháp so sánh các

9

lý thuyết nền về kiểm toán CNTT, các quan điểm của các tổ chức nghề nghiệp có

tính quốc tế hay các cơ quan quản lý nhà nước.

Để giải quyết vấn đề (2) Thực trạng áp dụng tại Việt Nam. Luận văn sử dụng

phương pháp thực nghiệm thông qua việc khảo sát các thủ tục và quy trình kiểm

toán đã áp dụng tại các loại hình doanh nghiệp tại các cuộc kiểm toán BCTC có ứng

dụng kiểm toán CNTT gần đây tại các công ty kiểm toán Việt Nam. Kết quả kỳ

vọng là các thủ tục và quy trình (nếu có) thực hiện tuân theo chuẩn mực và hướng

dẫn Quốc tế. Các khác biệt sẽ được phân tích làm cơ sở cho kiến nghị.

Để giải quyết vấn đề (3) Kiến nghị xây dựng hệ thống chuẩn mực kiểm toán CNTT

phù hợp với môi trường Việt Nam. Thông qua kết quả có được khi giải quyết vấn đề

(1) và (2), so sánh, tổng kết và đánh giá.

10

5. PHẠM VI VÀ ĐỐI TƯỢNG NGHIÊN CỨU

Phạm vi nghiên cứu là các công ty kiểm toán Việt Nam cung cấp dịch vụ kiểm toán

BCTC cho các doanh nghiệp Việt Nam có tích hợp sâu công nghệ thông tin vào

công tác quản lý, cụ thể là việc triển khai thành công Hệ thống hoạch định các

nguồn lực doanh nghiệp tại đơn vị (ERP), các hệ thống MRP, MRP II v.v… có bổ

sung phân hệ Tài chính – Kế toán hoặc các hệ thống tương đương do doanh nghiệp

tự phát triển.

Đối tượng nghiên cứu là quy trình và thủ tục kiểm toán CNTT được áp dụng cho

các cuộc kiểm toán BCTC thuộc phạm vi nghiên cứu. Đối tượng nghiên cứu còn

bao gồm các khuôn mẫu lý thuyết, các chuẩn mực, hướng dẫn được ban hành bởi

ISACA về kiểm toán hệ thống công nghệ thông tin, các văn bản hướng dẫn của các

tổ chức có thẩm quyền, cơ quan nhà nước, hiệp hội nghề nghiệp.

6. CÁC ĐÓNG GÓP CỦA LUẬN VĂN

Về mặt lý thuyết, luận văn làm rõ khái niệm kiểm toán CNTT vốn còn rất mới tại

Việt Nam, kết nối quy trình và thủ tục kiểm toán từ chuẩn mực quốc tế với thực

trạng kiểm toán BCTC tại Việt Nam. Từ đó tạo nền tảng cho các nghiên cứu khác

về việc xây dựng bộ chuẩn mực kiểm toán CNTT tại Việt Nam.

Kết quả nghiên cứu của luận văn có giá trị tham khảo đối với các kiểm toán viên

trong việc xây dựng kế hoạch kiểm toán các doanh nghiệp sử dụng ERP tại Việt

Nam.

11

7. TRÌNH BÀY VÀ KẾT CẤU LUẬN VĂN

Luận văn lựa chọn phương pháp trình bày truyền thống với ba phần chính. Kết cấu

luận văn như sau:

• Phần mở đầu: Giới thiệu về các lý do chọn lựa đề tài, mục tiêu nghiên cứu,

phương pháp nghiên cứu và kết cấu đề tài.

• Chương 1: Quy trình và thủ tục kiểm toán hệ thống công nghệ thông tin

• Chương 2: Thực trạng quy trình và các thủ tục kiểm toán áp dụng tại các

công ty kiểm toán tại Việt Nam

• Chương 3: Vận dụng xây dựng quy trình và thủ tục kiểm toán CNTT trong

kiểm toán BCTC tại Việt Nam.

• Kết luận chung luận văn.

12

CHƯƠNG 1: QUY TRÌNH VÀ THỦ TỤC KIỂM TOÁN HỆ THỐNG CÔNG NGHỆ THÔNG TIN

1.1 KIỂM TOÁN CÔNG NGHỆ THÔNG TIN

1.1.1 Quá trình hình thành, phát triển của kiểm toán công nghệ thông tin

Kiểm toán công nghệ thông tin (CNTT) là một phần của quá trình kiểm toán tổng

thể, đó là một trong những công cụ hỗ trợ để quản trị tốt doanh nghiệp. Khái niệm

kiểm toán ra đời từ rất lâu từ những hình thức sơ khai ban đầu với việc kiểm tra tính

chính xác của các ghi chép kế toán cho đến nay, kiểm toán xuất hiện với nhiều chức

năng khác nhau như kiểm toán báo cáo tài chính, kiểm toán hoạt động và kiểm toán

tuân thủ. Hoạt động kiểm toán đã trải qua một quá trình phát triển phức tạp gắn liền

với các sự kiện lịch sử trên thế giới và luôn được hoàn thiện để đáp ứng được yêu

cầu quản lý kinh tế trong từng thời kỳ.

Cùng với sự phát triển của ngành công nghệ thông tin và những ứng dụng của máy

tính vào trong các hoạt động của doanh nghiệp, đỉnh cao là việc triển khai Hệ thống

hoạch định nguồn lực doanh nghiệp (EPR). Hệ thống đã tích hợp các hoạt động

kinh doanh của nhiều vùng hoạt động trong nội bộ doanh nghiệp thành một hệ

thống chung với một cơ sở dữ liệu chung, nó bao gồm các phân hệ cơ bản nhằm hỗ

trợ các hoạt động marketing, tài chính, kế toán, sản xuất và quản trị nguồn nhân lực.

Không những thế ERP hướng tới lập kế hoạch và lịch trình tới cả người cung cấp

nguồn lực cho doanh nghiệp trên cơ sở lập kế hoạch nhu cầu và lịch trình khách

hàng một cách năng động. Cũng chính vì thế, khối lượng dữ liệu phát sinh, được xử

lý và lưu trữ mỗi ngày thông qua các nghiệp vụ kinh tế tại doanh nghiệp càng trở

nên phức tạp và khó kiểm soát. Mặt khác, các dữ liệu trên là cở sở để hệ thống

thông tin kế toán đưa ra kết quả là thông tin kế toán với vai trò hết sức quan trọng

trong việc ra quyết định của các nhà quản trị. Chất lượng của thông tin kế toán trong

môi trường ứng dụng hệ thống công nghệ thông tin nói chung và ERP nói riêng trở

13

thành vấn đề quan tâm của các nhà quản trị. Kiểm toán hệ thống công nghệ thông

tin kế toán ra đời trong bối cảnh đó với hình thức ban đầu là Kiểm toán xử lý dữ liệu

điện tử (Electronic Data Process Auditing) như hệ quả tất yếu của việc triển khai

công nghệ vào hệ thống kế toán, sau đó được phát triển rộng rãi thành Kiểm toán hệ

thống công nghệ thông tin (IT auditing) khi các hệ thống kế toán đơn giản được

thay thế dần dần theo quy mô mở rộng của công ty bởi các hệ thống phức tạp với

nhiều chức năng và phân hệ hơn.

Các kiểm toán viên đầu tiên trong lĩnh vực trên đã tập hợp và thành lập Hiệp hội

kiểm toán viên xử lý dữ liệu điện tử (Electronic Data Processing Auditors

Association) vào năm 1968 và là tiền thân của tiền thân của Hiệp hội kiểm toán điện

tử hiện nay. Mục tiêu của hiệp hội bao gồm việc xây dựng các thủ tục kiểm toán

mẫu, chuẩn mực và hướng dẫn kiểm toán. Ấn phẩm đầu tiên của hiệp hội với tên

gọi Control Objectives được phát hành vào năm 1977 và được biết đến rộng rãi với

tên gọi CobiT (Control Objectives for Information and related Technology). Vào

năm 1944, hiệp hội đổi tên thành Hiệp hội kiểm soát và kiểm toán hệ thống thông

tin (ISACA – Information Systems Audit and Control Association) để phù hợp với

quy mô và hoạt động của hội trong môi trường thay đổi nhanh chóng của công

nghệ. Vào năm 2008, hiệp hội đăng ký tên viết tắt ISACA trở thành tên hoạt động

chính thức, thay thế cho cụm từ “Hiệp hội kiểm toán và kiểm soát hệ thống thông

tin”. Mục tiêu chính của ISACA vẫn bao gồm việc xây dựng các thủ tục, chuẩn mực

và hướng dẫn kiểm toán hệ thống công nghệ thông tin, đào tạo và cấp chứng chỉ

hành nghề cho kiểm toán viên. Hiện tại, ISACA đã ban hành bộ chuẩn mực và

hướng dẫn kiểm toán dưới tên gọi là “Khuôn mẫu kiểm toán điện tử” (ITAF – IT

• Phần chuẩn mực với 17 chuẩn mực được chia làm 3 nhóm:

Assurance Framework). Bộ khuôn mẫu được chia ra làm hai phần:

- Chuẩn mực chung (nhóm chuẩn mực 1000): bao gồm các nguyên tắc được

thực hiện khi hành nghề đảm bảo hệ thống thông tin. Nhóm chuẩn mực quy

định về đạo đức, độc lập, mục tiêu cũng như kiến thức, năng lực và kỹ năng

14

phù hợp. Về cơ bản, các chuẩn mực này không có nhiều khác biệt so với bộ

chuẩn mực kiểm toán quốc tế (ISA - International Standards on Auditing) do

IFAC (International Federation of Accountants) ban hành.

- Chuẩn mực thực hành (nhóm chuẩn mực 1200): bao gồm các nguyên tắc khi

lập kế hoạch, giám sát, phạm vi kiểm toán, rủi ro và mức trọng yếu, phân bổ

nguồn lực, bằng chứng kiểm toán và đảm bảo, thực hành đánh giá chuyên

môn và thận trọng.

- Chuẩn mực báo cáo (nhóm chuẩn mực 1400): đề cập đến các lại báo cáo,

• Phần hướng dẫn với 15 hướng dẫn

phương tiện thông tin và các thông tin nên được trao đổi.

- Các hướng dẫn được soạn thảo nhằm tạo sự liên kết giữa các chuẩn mực với

nhau, đồng thời liên kết giữa chuẩn mực với CobiT nhằm diễn giải cụ thể

hơn các nguyên tắc trong các chuẩn mực với số hiệu tương ứng với số hiệu

của chuẩn mực và được đánh số bắt đầu từ 2000.

Các số hiệu trong chuẩn mực và hướng dẫn chỉ có ý nghĩa định danh, không thể

hiện thứ tự áp dụng. Khi thực hiện kiểm toán, kiểm toán viên phải xem xét các

chuẩn mực và hướng dẫn trong mối quan hệ tương quan và bổ trợ lẫn nhau.

1.1.2 Mục tiêu và vai trò của kiểm toán hệ thống công nghệ thông tin

Từ khi ra đời cho đến nay, tuy thời gian phát triển của kiểm toán CNTT tương đối

ngắn so với quá trình phát triển dài hàng trăm năm của nghề kiểm toán và sự phát

triển đó gắn liền với sự phát triển của công nghệ thông tin, kiểm toán CNTT đã trải

qua không ít thay đổi.

Tuy không có định nghĩa thống nhất trên thế giới về khái niệm kiểm toán CNTT

cho đến nay, nhiều tác giả đã mô tả kiểm toán CNTT bằng cách đưa ra các phân loại

khác nhau về mục tiêu. Theo Goodman và Lawless (1994), có ba hướng tiếp cận để

hình thành nên kiểm toán CNTT bao gồm:

15

- Kiểm toán quy trình đổi mới công nghệ (Technological innovation process

audit): Cuộc kiểm toán này xây dựng một hồ sơ rủi ro cho các dự án hiện có

và dự án mới. Cuộc kiểm toán sẽ đánh giá mức kinh nghiệm của doanh

nghiệp đối với công nghệ đã chọn cũng như độ phổ biến của công nghệ đó

trên thị trường, trong cấu trúc mỗi dự án và trong thị phần của nền công

nghiệp của dự án đó.

- Kiểm toán so sánh cải tiến (Innovative comparison audit): cuộc kiểm toán

này đánh giá khả năng cải tiến của doanh nghiệp được kiểm toán so với đối

thủ của nó. Cuộc kiểm toán này cần sử dụng đánh giá của các công ty và viện

nghiên cứu phát triển cũng như các bản báo cáo theo dõi sản xuất sản phẩm

mới trên thực tế của doanh nghiệp.

- Kiểm toán vị thế công nghệ (Technological position audit): cuộc kiểm toán

này đánh giá các công nghệ mà doanh nghiệp đang sở hữu hoặc cần trang bị.

Giai đoạn 1994 là thời kỳ vàng khi khoa học máy tính không chỉ bị giới hạn phục

vụ trong các môi trường chuyên môn như phòng nghiên cứu, thí nghiệm, cục thống

kê, ngân hàng… mà dần dần tiếp cận doanh nghiệp và mở rộng sang người dùng

phổ thông với giá thành thiết bị rẻ, sử dụng đơn giản. Cách phân loại của Goodman

và Lawless mang trọng tâm là công nghệ vì bị ảnh hưởng nhiều bởi sự phát triển

của khoa học máy tính trong thời kỳ này.

Ngoài ra, kiểm toán CNTT còn được chia thành 5 nhóm theo đối tượng kiểm toán

là:

- Hệ thống và ứng dụng (Systems and Applications): Cuộc kiểm toán xác

minh các hệ thống và các ứng dụng là phù hợp, có hiệu quả, và được kiểm

soát đầy đủ để đảm bảo tính hợp lệ, đáng tin cậy, kịp thời và an toàn ở đầu

vào, xử lý, và đầu ra ở tất cả các cấp độ hoạt động của hệ thống.

- Phương tiện xử lý thông tin (Information Processing Facilities): Cuộc kiểm

toán xác minh các phương tiện xử lý được kiểm soát để đảm bảo xử lý kịp

16

thời, chính xác và hiệu quả dưới các điều kiện hoạt động bình thường hoặc

có khả năng bị gián đoạn.

- Phát triển hệ thống (Systems Development): Cuộc kiểm toán để xác minh hệ

thống được phát triển đáp ứng các mục tiêu của tổ chức, và để đảm bảo rằng

hệ thống được phát triển phù hợp với các tiêu chuẩn được chấp nhận chung

cho sự phát triển hệ thống.

- Quản lý CNTT và kiến trúc doanh nghiệp (Management of IT and Enterprise

Architecture): Cuộc kiểm toán xác minh ban quản lý CNTT đã phát triển một

cơ cấu có trật tự và xây dựng thủ tục để đảm bảo một môi trường kiểm soát

hiệu quả cho hoạt động xử lý thông tin.

- Máy khách/máy chủ, mạng viễn thông, mạng nội bộ và mạng nội bộ mở rộng

(Client/Server, Telecommunications, Intranets, and Extranets): Cuộc kiểm

toán xác minh các kiểm soát viễn thông đã được thiết lập tại máy khách (máy

tính nhận dịch vụ), máy chủ và trên mạng kết nối các máy khách và máy chủ.

Tuy việc phân loại kiểm toán CNTT khá đa dạng và có nhiều quan điểm, tuy nhiên

công việc chung của kiểm toán CNTT vẫn xoay quanh hai khía cạnh chính là việc

đánh giá kiểm soát chung môi trường và hệ thống đồng thời kiểm soát ứng dụng.

Theo Weber (1998), kiểm toán CNTT là quy trình thu thập và đánh giá bằng chứng

để xác minh một hệ thống công nghệ thông tin có đảm bảo an toàn tài sản, toàn vẹn

dữ liệu, đạt được mục đích tổ chức một cách hữu hiệu và tiêu thụ tài nguyên một

cách hiệu quả. Trong phạm vi của đề tài, các mục tiêu trên được thực hiện từng

phần và có chọn lọc nhằm hỗ trợ cho mục tiêu chung của toàn cuộc kiểm toán là

đưa ra ý kiến trên BCTC của đơn vị được kiểm toán.

Ngày nay, hệ thống thông tin trở nên phức tạp với nhiều thành phần hợp thành hỗ

trợ lẫn nhau để đưa ra giải pháp kinh doanh. Dưới bất kỳ hình thức nào kiểm toán

CNTT mang lại, sự đảm bảo về hệ thống thông tin chỉ có thể đạt được khi tất cả các

thành tố được đánh giá và bảo đảm an toàn. Mục tiêu chính của kiểm toán CNTT có

thể được phân loại như sau:

17

- Soát xét yếu tố vật lý và môi trường (Physical and environmental review):

bao gồm soát xét an toàn vật lý, nguồn cung năng lượng, điều hòa nhiệt độ,

kiểm soát độ ẩm và các nhân tố môi trường khác.

- Soát xét quản trị hệ thống (System administration review): bao gồm kiểm tra

an ninh tại các hệ thống vận hành, hệ thống quản trị cơ sở dữ liệu, tất cả các

thủ tục và tuân thủ về quản trị hệ thống.

- Soát xét ứng dụng phần mềm (Application software review): các ứng dụng ,

phần mềm kinh doanh có thể bao gồm phần mềm tiền lương, hóa đơn, hệ

thống xử lý đơn hàng đặt qua mạng, hoặc một hệ thống quản trị nguồn lực

đang điều hành doanh nghiệp. Soát xét các ứng dụng phần mềm bao gồm

kiểm soát và phân quyền truy cập, xử lý lỗi và các bất thường, luồn xử lý

kinh doanh bên trong ứng dụng, các thủ tục và kiểm soát thủ công bổ sung.

Thêm vào đó, soát xét vòng đời phát triển hệ thống cũng nên được tiến hành.

- Soát xét an ninh hệ thống (Network security review): soát xét các liên kết

bên trong và bên ngoài hệ thống, bảo mật bên ngoài, tường lửa, danh sách

truy cập router5, quét cổng dữ liệu và các hướng dẫn phát hiện.

- Soát xét khả năng hoạt động kinh doanh liên tục (Business continuity

review): Bao gồm việc xây dựng khả năng trung hòa lỗi và duy trì phần cứng

dự phòng, quy trình sao lưu và lưu trữ dữ liệu, lên kế hoạch và thử nghiệm

khôi phục/phục hồi kinh doanh sau thảm họa.

- Soát xét tính toàn vẹn dữ liệu (Data integrity review): Mục đích xem xét kỹ

lưỡng các dữ liệu trong thời gian thực nhằm xác định các kiểm soát và ảnh

hưởng của các khuyết điểm đã phát hiện từ những soát xét đã thực hiện bên

trên. Những thử nghiệm cơ bản có thể được thực hiện bằng cách sử dụng các

phần mềm máy tính khái quát.

Tất cả những yếu tố này cần được giải quyết để trình bày cho ban quản lý một đánh

giá rõ ràng của hệ thống. Ví dụ, phần mềm ứng dụng có thể được thiết kế tốt và 5 Router, hay thiết bị định tuyến hoặc bộ định tuyến, là một thiết bị mạng máy tính dùng để chuyển các gói dữ liệu qua một liên mạng và đến các đầu cuối, thông qua một tiến trình được gọi là định tuyến. (http://vi.wikipedia.org/wiki/Router)

18

thực hiện với tất cả các tính năng bảo mật, nhưng mật khẩu mặc định của người

dùng cấp cao nhất trong hệ thống được sử dụng trên các máy chủ có thể không được

thay đổi, do đó cho phép ai đó truy cập các tập tin dữ liệu trực tiếp. Tình huống đó

sẽ phủ định các biện pháp an ninh đã được xây dựng trong ứng dụng. Tương tự như

vậy, các tường lửa và bảo mật hệ thống kỹ thuật có thể đã được thực hiện rất tốt,

nhưng các phân quyền và kiểm soát truy cập trong phần mềm ứng dụng có thể được

thiết kế và triển khai kém bằng cách sử dụng chính mã số nhân viên, nhân viên có

thể xem được thông tin quan trọng và nhạy cảm ngoài phạm vi quyền hạn của họ.

Mặc dù các nhân tố trên cần được xem xét toàn bộ nhưng điều đó là không bắt

buộc, vì thế để đạt được mục tiêu, mỗi kiểm toán viên sẽ thực hiện bằng nhiều

phương thức khác nhau, có người sẽ xem xét kỹ lưỡng các nhân tố này và bỏ qua

các nhân tố khác. Tuy nhiên cần thiết phải có kỹ năng để thực hiện các việc liên

quan và kết quả kiểm toán phải được xem xét trong tổng hòa các mối quan hệ. Điều

đó sẽ giúp kiểm toán viên và ban quản lý có cái nhìn tổng thể về các vấn đề cần giải

quyết và điều đó là tối cần thiết.

Ngoài ra, mục tiêu kiểm toán còn có thể đạt được bằng phương pháp tiếp cận dựa

trên rủi ro. Khi các tổ chức ngày càng ứng dụng hệ thống công nghệ thông tin, có

thể có nhiều sự khác nhau trong ứng dụng, hoặc có sự khác nhau trong tính năng,

hoạt động. Các tổ chức còn có thể có nhiều máy tính được cài đặt ở nhiều nơi trên

thế giới. Trong hoàn cảnh đó, phương pháp tiếp cận dựa trên rủi ro sẽ trả lời được

câu hỏi cần kiểm toán cái gì, khi nào và thường xuyên ra sao. Rủi ro tiềm tàng luôn

tồn tại trong các hệ thống thông tin, và rủi ro này ảnh hưởng đến hệ thống khác

nhau theo các cách khác nhau. Rủi ro không khả dụng dù chỉ kéo dài một giờ có thể

rất nghiêm trọng đối với hệ thống thanh toán ở một cửa hàng bán lẻ đông đúc. Rủi

ro thực hiện thay đổi không qua xét duyệt có thể là nguồn gốc của gian lận hoặc thất

thoát tiềm tàng đối với hệ thống ngân hàng. Các rủi ro trên có thể xảy ra với hệ

thống xử lý dữ liệu hoặc một hệ thống tổng hợp dữ liệu nhưng lại ít gây nguy hại

hơn. Khi đó người lập kế hoạch phải đánh giá các rủi ro để có thể lập kế hoạch hiệu

quả trong việc đạt tới mục tiêu kiểm toán.

19

- Kiểm kê hệ thống thông tin đang sử dụng tại tổ chức và phân loại chúng.

- Quyết định xem hệ thống nào ảnh hưởng đến các chức năng trọng yếu hoặc

các tài sản như tiền, vật liệu, khách hàng, đưa ra quyết định v.v… và chúng

vận hành sát với thực tế như thế nào.

- Tiếp cận các rủi ro ảnh hưởng lên hệ thống này và các ảnh hưởng đáng kể

lên hoạt động kinh doanh.

- Xếp hạng hệ thống dựa trên những đánh giá trên và quyết định thứ tự ưu tiên

kiểm toán, nguồn lực, thời gian biểu và độ thường xuyên.

Kiểm toán viên có thể lập kế hoạch kiểm toán theo từng năm mà kiểm toán viên sẽ

dựa vào đó để thực hiện.

1.2 QUY TRÌNH VÀ THỦ TỤC KIỂM TOÁN HỆ THỐNG CÔNG

NGHỆ THÔNG TIN

1.2.1 Lập kế hoạch kiểm toán

Kiểm toán hệ thống công nghệ thông tin có nhiều điểm tương đồng với kiểm toán

báo cáo tài chính và các loại hình kiểm toán khác. Hiện tại, kiểm toán CNTT không

chỉ là kiểm toán hoạt động và kiểm toán tuân thủ mà còn đóng vai trò trong kiểm

toán báo cáo tài chính như một thủ tục hỗ trợ kiểm toán viên thu thập bằng chứng

kiểm toán. Dưới bất kỳ mục đích nào, để thực hiện chức năng xác minh và bày tỏ ý

kiến của kiểm toán, kiểm toán CNTT cũng cần thực hiện các thủ tục và thu thập đầy

đủ bằng chứng làm cơ sở đưa ra ý kiến. Để thực hiện được điều đó, kiểm toán viên

phải trả qua giai đoạn phân tích và lập kế hoạch cụ thể để đảm bảo cuộc kiểm toán

được thành công. Do mỗi loại kiểm toán có chức năng cụ thể khác nhau, đối tượng

cụ thể khác nhau và quan hệ chủ thể khách thể kiểm toán khác nhau nên kiểm toán

CNTT trong cuộc kiểm toán BCTC, cách thức kết hợp các phương pháp cơ bản trên

cũng có những điểm đặc thù. Xét theo chức năng chung của kiểm toán, kiểm toán

BCTC hướng tới việc bày tỏ các ý kiến trên cơ sở các bằng chứng kiểm toán, để có

được các bằng chứng này, kiểm toán viên cần triển khai các phương pháp cơ bản

trong từng tình huống cụ thể, được gọi là phương pháp thu thập bằng chứng kiểm

20

toán, trong đó ý kiến của Kiểm toán viên về hệ thống sẽ được sử dụng để tiến hành

các thủ tục tiếp theo trong chương trình kiểm toán BCTC. Lập kế hoạch kiểm toán

là giai đoạn đầu tiên mà các KTV cần thực hiện trong mỗi cuộc kiểm toán nhằm tạo

ra các điều kiện pháp lý cũng như những điều kiện cần thiết khác cho kiểm toán.

Lập kế hoạch kiểm toán không chỉ xuất phát từ yêu cầu chính của cuộc kiểm toán

để chuẩn bị các điều kiện cơ bản cho cuộc kiểm toán mà còn là nguyên tắc cơ bản

trong công tác kiểm toán đã được quy định thành chuẩn mực có vai trò quan trọng

chi phối tới chất lượng và hiệu quả chung của toàn bộ cuộc kiểm toán.

Trong phạm vi đề tài, luận án không đề cập đến việc lập kế hoạch kiểm toán cho

tổng thể cuộc kiểm toán, thay vào đó tập trung phân tích các yêu cầu của chuẩn mực

đối với kiểm toán CNTT và ứng dụng trong một cuộc kiểm toán BCTC. Do giới hạn

của chuẩn mực và các hướng dẫn tương ứng trong việc định hướng kiểm toán viên

nên trong chuẩn mực chỉ đưa ra những nguyên tắc và yêu cầu chung cần thực hiện.

Quy trình lập kế hoạch và thực hiện kiểm toán CNTT được quy định trong chuẩn

mực quốc tế có thể được tóm tắt qua hình 1.1:

(Nguồn: Hệ thống chuẩn mực kiểm toán CNTT quốc tế - ISACA)

Hình 1.1: Quy trình lập kế hoạch và thực hiện kiểm toán CNTT

21

Trong đó, chuẩn mực số 1201 đóng vai trò trung tâm, trực tiếp đưa ra các chỉ dẫn và

nguyên tắc trong việc lập kế hoạch. Cụ thể, việc lập kế hoạch phải dựa theo những

định hướng sau:

- Mục tiêu, phạm vi, thời biểu và sản phẩm bàn giao

- Phù hợp với luật pháp và các chuẩn mực chuyên môn

- Sử dụng phương pháp tiếp cận dựa trên rủi ro khi thấy phù hợp

- Các vấn đề đặc trưng của cuộc kiểm toán

- Tài liệu và các quy định về báo cáo

Ngoài ra, kiểm toán viên cần xây dựng kế hoạch, trong đó mô tả các vấn đề:

- Nội dung của cuộc kiểm toán, mục tiêu, thời biểu và các nguồn lực cần thiết

- Thời gian và các thủ tục kiểm toán mở rộng để hoàn thành cuộc kiểm toán.

Để thực hiện được các nguyên tắc trên, chuẩn mực yêu cầu kiểm toán viên phải

- Hiểu rõ về các hoạt động được kiểm toán. Kiến thức mở rộng cần thiết cho

cuộc kiểm toán phải được quyết định bởi bản chất doanh nghiệp, môi trường

hoạt động, các lĩnh vực có rủi ro và mục tiêu của cuộc kiểm toán.

- Xem xét các hướng dẫn và chỉ dẫn về vấn đề chính, cũng như thỏa mãn yêu

cầu pháp luật, các quy định, quy tắc, chỉ thị, hướng dẫn do chính phủ hoặc

ngành công nghiệp.

- Thực hiện đánh giá rủi ro để cung cấp một sự đảm bảo hợp lý rằng tất cả

khoản mục trọng yếu sẽ được tiếp cận đầy đủ trong suốt quá trình kiểm toán.

Sau đó có thể xây dựng chiến lược kiểm toán, các mức trọng yếu, nguồn lực

cần thiết.

- Xây dựng kế hoạch kiểm toán sử dụng phương pháp quản lý dự án phù hợp

để đảm bảo tất cả hoạt động vẫn phù hợp với mục tiêu và nằm trong phạm vi

ngân sách.

- Đưa vào kế hoạch các vấn đề đặc trưng như sau:

o Các nguồn nhân lực có với kiến thức, kỹ năng và kinh nghiệm phù

hợp

22

o Quyết định các phương tiện cần thiết để thu thập bằng chứng, thực hiện kiểm tra, chuẩn bị và tổng hợp thông tin cho mục đích báo cáo

o Các tiêu thức đánh giá sẽ được sử dụng o Yêu cầu về báo cáo và công bố - Thể hiện rõ các vấn đề sau trong đánh giá o Mục tiêu, phạm vi và thời gian o Nguồn lực o Vai trò và trách nhiệm o Các nhóm rủi ro và ảnh hưởng của chúng trong kế hoạch kiểm toán o Công cụ và kỹ thuật áp dụng o Phỏng vấn điều tra cần thực hiện o Các thông tin liên quan cần thu thập o Thủ tục để xác minh và công nhận thông tin thu thập được và khả

năng sử dụng làm bằng chứng kiểm toán

o Các giả thiết liên quan đến phương thức, tiếp cận, thủ tục, kết quả dự

đoán và kết luận

- Lên thời biểu làm việc cho cuộc kiểm toán tương ứng với thời gian, mức độ

đáp ứng, các cam kết và yêu cầu của ban quản lý đối với kiểm toán viên

trong phạm vi có thể.

- Điều chỉnh kế hoạch suốt quá trình thực hiện để tiếp cận các vấn đề phát sinh

trong suốt cuộc kiểm toán, ví dụ như rủi ro mới, các giả thiết sai lầm hoặc kết

quả điều tra từ những thủ tục đã thực hiện.

- Đối với kiểm toán nội bộ

o Trao đổi điều lệ kiểm toán với đơn vị được kiểm toán, sử dụng thư thỏa thuận cung cấp dịch vụ hoặc các hình thức xác nhận và chấp

thuận tham gia khi cần thiết.

o Trao đổi kế hoạch với đơn vị được kiểm toán để cập nhật thông tin đầy đủ và được tạo điều kiện để tiếp cận các cá nhân, hồ sơ, nguồn lực

khi có yêu cầu.

23

- Đối với kiểm toán độc lập

o Chuẩn bị các thư thỏa thuận cung cấp dịch vụ riêng biệt cho mỗi cuộc

kiểm toán.

o Chuẩn bị kế hoạch kiểm toán, tối thiểu phải thể hiện được mục tiêu và

phạm vi cuộc kiểm toán.

Về mặt tổng thể, chuẩn mực đưa ra các nguyên tắc rất chi tiết mà một kế hoạch

kiểm toán cần phải đảm bảo. Khởi đầu là việc đánh giá rủi ro và xem xét đến rủi ro

trong suốt quá trình lập kế hoạch. Trong quá trình lập kế hoạch, kiểm toán viên

quyết định mức trọng yếu, các bằng chứng cần thu thập và sử dụng công việc của

chuyên gia để hỗ trợ thu thập bằng chứng hoặc đưa ý kiến. Ngoài ra chuẩn mực còn

đưa ra các nguyên tắc trong việc thực hiện và giám sát cuộc kiểm toán và đề cập tới

các hành vi trái pháp luật. Nhìn chung, trong quá trình lập kế hoạch, kiểm toán viên

có thể chia thành ba bộ phận bao gồm: kế hoạch chiến lược, kế hoạch kiểm toán

tổng thể, chương trình kiểm toán.

• Lập kế hoạch chiến lược

Kế hoạch chiến lược phải được lập cho các cuộc kiểm toán lớn về quy mô, tính chất

phức tạp, địa bàn rộng, nhiều kỳ liên tiếp. Loại kế hoạch này thường ứng với kiểm

toán tuân thủ và kiểm toán hoạt động khi đối tượng kiểm toán trực tiếp là CNTT của

doanh nghiệp. Trong cuộc kiểm toán BCTC, kiểm toán CNTT đóng vai trò như một

thủ tục soát xét hệ thống nhằm hỗ trợ kiểm toán viên thực hiện kiểm toán BCTC thu

thập bằng chứng hoặc đưa ra đánh giá về các kiểm soát doanh nghiệp thiết lập. Đối

với trường hợp này, kế hoạch chiến lược sẽ được lập cho mục tiêu kiểm toán

BCTC. Tuy nhiên, theo yêu cầu quản lý của mình, Công ty kiểm toán có thể lập kế

hoạch chiến lược cho các cuộc kiểm toán không có những đặc điểm nêu trên. Kế

hoạch chiến lược phải do người phụ trách cuộc kiểm toán lập và được Giám đốc

hoặc người đứng đầu Công ty kiểm toán phê duyệt.

• Lập kế hoạch tổng thể

24

Kế hoạch kiểm toán tổng thể phải được lập cho mọi cuộc kiểm toán, trong đó mô tả

phạm vi dự kiến và cách thức tiến hành công việc kiểm toán, điều này được chuẩn

mực 1201 đề cập khá rõ cùng với hướng dẫn 2021 giải thích các yêu cầu của chuẩn

mực cũng như định hướng thực hiện. Kế hoạch kiểm toán tổng thể phải đầy đủ, chi

tiết làm cơ sở để lập chương trình kiểm toán. Hình thức và nội dung của kế hoạch

kiểm toán tổng thể thay đổi tuỳ theo qui mô của khách hàng, tính chất phức tạp của

công việc kiểm toán, phương pháp và kỹ thuật kiểm toán đặc thù do kiểm toán viên

sử dụng.

• Thiết kế chương trình kiểm toán

Chương trình kiểm toán là một danh sách các thủ tục kiểm toán sẽ được thực hiện

nhằm hoàn tất cuộc kiểm toán. Chương trình kiểm toán được xây dựng trong quá

trình lập kế hoạch tổng thể và cần sửa đổi cập nhật khi có vấn đề mới phát sinh chưa

được xem xét trong giai đoạn lập kế hoạch. Do mỗi phần hành kiểm toán có vị trí,

đặc điểm khác nhau nên phạm vi, loại hình kiểm toán cũng khác nhau dẫn đến số

lượng và thứ tự các bước kể từ điểm bắt đầu đến điểm kết thúc công việc kiểm toán

và xây dựng qui trình kiểm toán riêng cho từng nghiệp vụ. Chương trình kiểm toán

là những dự kiến chi tiết về các công việc kiểm toán cần thực hiện, thời gian hoàn

thành, sự phân công lao động giữa các KTV cũng như dự kiến về những tư liệu,

thông tin liên quan cần sử dụng và thu thập. Trọng tâm của chương trình kiểm toán

là các thủ tục kiểm toán cần thực hiện hay bộ phận được kiểm toán. Đối với kiểm

toán BCTC, chương trình kiểm toán sẽ tiếp cận chi tiết đến từng khoản mục trên

BCTC.

1.2.2 Thực hiện kiểm toán và đánh giá

Quá trình thực hiện kiểm toán đánh dấu sự chuyển tiếp từ giai đoạn lập kế hoạch

sang giai đoạn thực nghiệm chương trình kiểm toán đã xây dựng. Tại thực địa, kiểm

toán viên áp dụng các thủ tục kiểm toán trong phạm vi kế hoạch đã vạch ra để thu

25

thập các bằng chứng kiểm toán. Chuẩn mực kiểm toán Việt Nam số 5006 – Bằng

chứng kiểm toán hướng dẫn như sau: “Bản chất của bằng chứng kiểm toán là mang

tính tích lũy và được thu thập chủ yếu từ việc thực hiện các thủ tục kiểm toán trong

suốt cuộc kiểm toán” và “Các tài liệu, thông tin được sử dụng làm bằng chứng kiểm

toán có thể được lập bởi một chuyên gia do đơn vị được kiểm toán tuyển dụng hoặc

thuê.” (Đoạn A1, VSA 500). Theo quy định và hướng dẫn tại Chuẩn mực kiểm toán

Việt Nam số 3156 và số 3306, bằng chứng kiểm toán được sử dụng để đưa ra kết

luận làm cơ sở cho ý kiến kiểm toán được thu thập bằng cách:

• Thực hiện các thủ tục đánh giá rủi ro;

• Thực hiện các thủ tục kiểm toán tiếp theo, bao gồm:

o Thử nghiệm kiểm soát theo yêu cầu của các chuẩn mực kiểm toán

Việt Nam, hoặc theo lựa chọn của kiểm toán viên;

o Thử nghiệm cơ bản, bao gồm các kiểm tra chi tiết và các thủ tục phân

tích cơ bản.

Đối với cuộc kiểm toán BCTC có tích hợp kiểm toán CNTT, quá trình thực hiện

kiểm toán CNTT được tiến hành như sau (Hình 1.2):

 Bước 1: Đối tượng được tập trung phân tích ở bước này là BCTC của đơn vị

được kiểm toán. Ở cấp độ báo cáo tài chính, KTV cần thực hiện:

- Xác định các khoản mục và thuyết minh trọng yếu

- Xác định các cơ sở dẫn liệu cho báo cáo tài chính

- Đồng thời phỏng vấn tìm hiểu quy trình xử lý thông tin cũng như hệ thống

CNTT khách hàng triển khai và áp dụng.

Các bước này có thể được thực hiện trước trong quá trình lập kế hoạch tổng thể và

xây dựng chương trình kiểm toán. Mục đích tạo tiền đề cho việc thực hiện bước tiếp

theo ở cấp độ sâu hơn.

6 Chuẩn mực kiểm toán Việt Nam số 315, 330, 500 – Ban hành và công bố theo Thông Tư 214 /2012/TT- BTC ngày 6 tháng 12 năm 2012 của Bộ Tài chính, có hiệu lực từ ngày 1 tháng 1 năm 2014.

26

(Nguồn: ISACA, 2013. CISA review manual. Chương 1, tác giả tổng hợp)

Hình 1.2: Quy trình thực hiện kiểm toán CNTT trong cuộc kiểm toán BCTC

 Bước 2: Sau khi đã thực hiện bước 1, KTV tìm hiểu sâu hơn vào cấp độ xử lý

trong hệ thống của doanh nghiệp. Tại đây, KTV cần phải:

- Nhận diện được các kiểm soát và phân loại kiểm soát thủ công, kiểm soát

ứng dụng.

- Xác định và lựa chọn các kiểm soát tương ứng với các khoản mục và thuyết

minh đã vạch ra ở bước 1.

Giai đoạn này được thực hiện tại thực địa khi KTV sử dụng kiến thức chuyên môn

để nhận diện và phân loại các kiểm soát thông qua quá trình phỏng vấn, đặc biệt là

phỏng vấn bộ phận chuyên trách về hệ thống như trưởng phòng IT, người phụ trách

kỹ thuật..., quan sát và tiếp cận hệ thống CNTT của đơn vị được kiểm toán.

Kiểm soát thực hiện được chia làm 2 nhóm chính (Biểu đồ 1.2.2.2):

- Kiểm soát thủ công; và

- Kiểm soát ứng dụng.

27

(Nguồn: ISACA, 2007. CobiT 4.1)

Hình 1.3: Phân loại kiểm soát xử lý (Process control)

Đối với kiểm soát thủ công, KTV có thể áp dụng các thủ tục thu thập bằng chứng

của kiểm toán BCTC một cách bình thường thông qua thử nghiệm kiểm soát và thử

nghiệm cơ bản. Kiểm soát ứng dụng có phạm vi hẹp hơn so với kiểm soát chung.

Kiểm soát ứng dụng xem xét tính hiệu quả của các kiểm soát tự động, cũng như sự

vận hành của ứng dụng để đảm bảo các dữ liệu cung cấp được đầy đủ và chính xác.

Ứng dụng (application) ở đây được hiểu là các phần mềm máy tính liên kết trực tiếp

hoặc gián tiếp vào một cơ sở dữ liệu (database) để thực hiện các chức năng của nó

như nhập xuất, xử lý dữ liệu. Ví dụ: phần mềm kế toán, phần mềm quản lý hàng tồn

kho, phần mềm tính lương… Kiểm soát ứng dụng có 4 loại bao gồm

• Báo cáo (Exception/Edit Reports)

Báo cáo được tạo ra từ ứng dụng có thể là một văn bản điện tử được trình bày dưới

dạng báo cáo truyền thống, hoặc có thể là thông báo vắn tắt, bảng kê, biểu đồ, bảng

tóm lược… Đối với một phần mềm kế toán, thuật ngữ báo cáo ở đây không chỉ

được hiểu là các báo cáo tài chính mà còn bao gồm sổ cái, sổ phụ, bảng theo dõi

tuổi nợ, danh sách nợ đến hạn phải trả, sổ chi tiết nhập xuất tồn hàng tồn kho…

Các báo cáo này phải được kiểm tra để đảm bảo tính chính xác và đầy đủ của thông

tin vận hành và trong báo cáo đó có thể chứa các báo cáo sơ bộ để kiểm tra tính

chính xác và đầy đủ của dữ liệu đầu vào cũng như các thủ tục kiểm soát.

28

Để đảm bảo tính chính xác và đầy đủ của dữ liệu trên báo cáo, các báo cáo này phải

được đối chiếu (reconcile) với sổ sách, chứng từ phát sinh trong tháng hoặc thiết lập

cho ứng dụng nhận biết các thông tin không phù hợp trên báo cáo. Ví dụ: kế toán

viên xem lại các hóa đơn mua vào được khấu trừ và không được khấu trừ trong

tháng trước khi sử dụng báo cáo xuất từ hệ thống để kê khai thuế qua mạng, hoặc

các ứng dụng phát hiện nghiệp vụ bán hàng cho khách hàng không có tên trong

danh mục khách hàng hiện hữu, hóa đơn vừa xuất không có thông tin trùng khớp

với đơn hàng tương ứng…

• Thiết lập và hệ thống các tài khoản (System Configuration & Account

Mapping)

Các ứng dụng luôn có những thiết lập (settings) để tùy biến theo yêu cầu của người

sử dụng. Các thiết lập này độc lập với những thiết lập của toàn hệ thống. Việc tùy

chỉnh các thiết lập này dựa vào quy định của doanh nghiệp. Vì thế để kiểm soát

được các thiết lập, doanh nghiệp cần xây dựng hướng dẫn thao tác và vận hành ứng

dụng đầy đủ và phải đảm bảo các tính năng luôn được thiết lập phù hợp với quy

định. Ứng dụng có thể được bật tắt nhằm bảo vệ dữ liệu khỏi các hoạt động xử lý

không phù hợp, ví dụ như sửa xóa dữ liệu, hoặc thêm vào các nghiệp vụ sau khi hệ

thống đã đóng sổ vào cuối năm tài chính.

• Kiểm soát giao thức (Interface Controls)

Giao thức là cách thức các ứng dụng có thể giao tiếp với nhau nhằm chuyển tải

thông tin giữa các hệ thống. Với phạm vi hẹp là hệ thống thông tin trong doanh

nghiệp, các giao thức này có thể được tùy biến để chuyển một phần dữ liệu giữa hai

(hay nhiều) hệ thống một cách đầy đủ, chính xác và trung thực.

Việc truyền tải dữ liệu có thể xảy ra thường xuyên như việc chuyển đổi dữ liệu từ

hệ thống cũ sang hệ thống mới, hoặc có thể cập nhật các dữ liệu từ chương trình

chấm công sang chương trình hạch toán ghi sổ của phòng kế toán. Yêu cầu của

kiểm soát chính là việc người dùng (nhân viên) quen thuộc với với các giao thức

này.

29

• Truy cập hệ thống (System Access)

Một nhân viên hoặc một nhóm nhân viên có quyền truy cập vào hệ thống thông tin

như được thiết lập trong hệ thống ở phần kiểm soát chung. Việc truy cập này bao

gồm tương tác với các máy tính và ứng dụng của doanh nghiệp để thực hiện các tác

vụ được phép. Ví dụ như việc hạch toán, ghi sổ, truy xuất các báo cáo.

Việc kiểm soát truy cập ở tầng ứng dụng cần được thực hiện đồng bộ với hệ thống.

Các nhân viên phải tuân thủ theo quy định của doanh nghiệp về bảo mật. Ví dụ,

nhân viên không được phép tiết lộ mật khẩu cá nhân để đăng nhập vào phần hành

của mình cho người khác, kể cả đồng nghiệp nếu không có yêu cầu chính thức và

yêu cầu đó được xét duyệt bởi người có thẩm quyền, hoặc nhân viên – trong quyền

hạn của mình – chỉ được phép thao tác và xử lý dữ liệu của công ty trên máy tính do

công ty cấp phát nhằm bảo mật dữ liệu.

 Bước 3: Thông qua kết quả ở bước 2, KTV xem xét lại kiểm soát hệ thống tổng

quát (General IT Control) đồng thời xác định và lựa chọn các kiểm soát chung của

hệ thống. Công việc tại bước 3 có thể thực hiện đồng thời tại bước 2 hoặc trong điều

kiện cho phép, bước 2 và 3 có thể thay đổi thứ tự thực hiện. Kiểm soát chung có thể

được mô tả qua hình 1.4.

(Nguồn: ISACA, 2007. CobiT 4.1)

Hình 1.4: Kiểm soát hệ thống tổng quát (General IT Control)

30

Kiểm soát chung đánh giá nhận thức của doanh nghiệp với môi trường công nghệ

thông tin. Đây là mức kiểm soát cơ bản và tổng quát nhất nhằm ngăn chặn và phát

hiện các rủi ro ảnh hưởng đến hệ thống của doanh nghiệp. Với đặc trưng của ERP

gồm nhiều phân hệ (module) khác nhau cùng liên kết vào một cơ sở dữ liệu. Kiểm

soát hệ thống thông tin kế toán ở góc độ này được liệt kê trong bảng 1.1 bao gồm:

Bảng 1.1: Phân loại kiểm soát hệ thống tổng quát (General IT Control)

A Access to program and data Truy cập vào hệ thống và dữ liệu

A1 Information security policy/user Chính sách bảo mật/Nhận thức của

awareness nhân viên

A2 Identification and authentication Nhận diện và cấp phép

A3 Access administration Quản trị truy cập

A4 Configuration of access rules Thiết lập quy tắc truy cập hệ thống

A5 Super users Người dùng đặc biệt

A6 Monitoring Giám sát

A7 Physical access Tương tác vật lý

B Program changes Kiểm soát thay đổi chương trình

B1 Authorization, development, testing Cấp phép, phát triển, thử nghiệm,

and approval chấp thuận

B2 Migration to the production Chuyển đổi sang môi trường sản xuất

environment

B3 Configuration changes Thay đổi các thiết lập

B4 Emergency changes Thay đổi khẩn cấp

C Program development Kiểm soát phát triển ứng dụng

C1 Methodology for Phương thức xây dựng hoặc tích hợp

development/acquisition

C2 Design, development, testing, Cấp phép, phát triển, thử nghiệm,

approval and implementation chấp thuận

31

C3 Data migration Di chuyển dữ liệu

D Computer Operations Kiểm soát vận hành hệ thống

D1 Incident and problem management Thủ tục giải quyết các rủi ro

procedures

D2 Backup and recovery procedures Sao lưu và phục hồi dữ liệu

(Nguồn: ISACA, 2007. CobiT 4.1)

D4 Job processing Xử lý dữ liệu

Tuy nhiên, việc thực hiện Bước 3 – thử nghiệm kiểm soát hệ thống tổng quát chỉ

cần thiết khi KTV dự kiến sẽ tin tưởng vào các kiểm soát ứng dụng hoặc kiểm soát

hỗn hợp (kiểm soát bán thủ công với sự hỗ trợ của kiểm soát tự động). Công việc

này tương đồng với thử nghiệm kiểm soát (Test of controls) trong kiểm toán BCTC,

khi mà hệ thống kiểm soát tổng quát được thiết kế chặt chẽ và các kiểm soát hoạt

động tốt trong việc ngăn chặn rủi ro sẽ giảm thiểu được công việc cần thực hiện khi

thử nghiệm ở cấp độ kiểm soát xử lý. Đối với các nhân tố của kiểm soát hệ thống

tổng quát không liên quan (không thuộc ứng dụng có kiểm soát tự động, hoặc thuộc

ứng dụng kiểm soát tự động nhưng phục vụ cho tài khoản không trọng yếu → không

có ảnh hưởng đáng kể lên BCTC), KTV không cần thực hiện. Hình 1.5 minh họa

việc lựa chọn thực hiện kiểm soát hệ thống tổng quát theo các tiêu chí đã vạch ra

trong kế hoạch

32

Hình 1.5: Lựa chọn thực hiện thử nghiệm kiểm soát hệ thống tổng quát tương ứng

(Nguồn: ISACA, 2013. CISA review manual)

với các ứng dụng KTV sẽ sử dụng

• Truy cập vào hệ thống và dữ liệu (Access to Programs and Data)

Kiểm soát các truy cập vào hệ thống thông tin nhằm ngăn chặn và phát hiện các cá

nhân tác động trái phép vào hệ thống. Việc kiểm soát này bao gồm việc kiểm tra tạo

mới, hủy bỏ hay thay đổi các tài khoản (bao gồm cả tài khoản của người sử dụng

cuối, chuyên viên IT và người quản trị hệ thống) và các cơ chế bảo mât của hệ

thống ở tầng ứng dụng (application), cơ sở dữ liệu (database), hệ điều hành

(operating system) và hệ thống mạng.

33

- Nhận thức của nhân viên: với tốc độ phát triển hiện nay, nhiều phần hành và

nghiệp vụ đã được máy tính thực hiện thay cho con người, tuy nhiên con người vẫn

đảm nhiệm nhiều vai trò khác nhau, đặc biệt là các công việc quản trị cần sự tư duy,

xét đoán. Chính vì có sự tham gia của con người trong các quy trình, nhận thức về

an toàn hệ thống và bảo mật dữ liệu đóng vai trò lớn trong việc giữ cho hệ thống

tránh khỏi các rủi ro xuất phát từ con người. Doanh nghiệp nên đặt ra những quy

định, hướng dẫn cụ thể về việc truy cập hệ thống (IT policy) song song với việc phổ

biến chính sách bảo mật và kiểm tra soát xét tuân thủ để nhân viên hiểu được vai trò

và trách nhiệm của mình.

- Phân quyền truy cập: việc phân quyền truy cập khá hiệu quả trong việc ngăn chặn

người dùng truy cập vào các khu vực không thuộc phạm vi và thẩm quyền của mình

trên hệ thống. Để đảm bảo việc phân quyền được hữu hiệu cần phải tuân thủ theo

chính sách và hướng dẫn của công ty. Về cơ bản, phân quyền hữu hiệu là khi các tài

khoản được lập khi nhân viên gia nhập công ty và được xóa khỏi hệ thống khi nhân

viên nghỉ việc. Phạm vi phân quyền được thiết lập dựa trên vai trò, chức vụ của

nhân viên. Các tài khoản được bảo mật bằng mật khẩu mạnh (khó đoán, độ dài thích

hợp và có chứa các ký tự đặc biệt, chữ, số). Ngoài ra việc phân quyền phải được

kiểm tra, soát xét liên tục và thực hiện kịp thời khi có thay đổi về nhân sự và công

tác.

- Nhận diện và cấp phép: đối với các tương tác vật lý, hệ thống phải được đặt ở nơi

an toàn, dễ quan sát theo dõi và được bảo vệ (cửa có khóa, chống trộm, chống

cháy…). Nhân viên không có thẩm quyền không được phép tiếp cận khu vực đặt

máy chủ, phòng lưu trữ dữ liệu… mọi sự tiếp cận (vào/ra) đều phải được ghi nhận

đầy đủ (check in/check out) với mục đích ghi rõ ràng, chữ kí nhân viên và người

cấp phép. Đối với các truy cập lô-gíc, khi nhân viên đăng nhập, hệ thống và ứng

dụng phải kiểm tra mật khẩu (tối thiểu), kiểm tra vân tay, gương mặt, cầu mắt (nếu

có)…

34

- Người dùng đặc biệt (super user): đây là nhân viên có quyền không giới hạn, có

thể thực hiện các thay đổi trên hệ thống, truy cập dữ liệu cũng như phân quyền cho

các nhân viên khác. “Super user” có thể là chuyên viên hoặc trưởng phòng IT, giám

đốc, tổng giám đốc… Các người dùng đặc biệt này phải được giới hạn trong một

nhóm nhỏ và chịu sự quản lý đặc biệt. Các hoạt động trên hệ thống của người dùng

đặc biệt phải được theo dõi để đảm bảo các hoạt động đó phục vụ cho các mục đích

phù hợp.

- Tương tác vật lý (Physical access): các tương tác vật lý bao gồm các tiếp cận trực

tiếp như va chạm, tháo lắp, sửa chữa bảo trì phần cứng, v.v… các tương tác này có

thể gây nguy hại cho cấu trúc của hệ thống nếu không được theo dõi và quản lý chặt

chẽ. Hệ thống máy không được đặt tại khu vực cách ly và không được kiểm soát có

thể xảy ra các hư hỏng vật chất do hành vi vô ý hoặc cố ý phá hoại. Trái ngược với

tương tác vật lý là tương tác logic (Logic access), khi đối tượng sử dụng các ứng

dụng, phần mềm, khai thác các lỗ hổng để tiếp cận hệ thống qua các giao tiếp mạng,

phương thức truyền tải dữ liệu v.v… để truy cập vào hệ thống. Tương tác logic có

thể hạn chế thông qua các kiểm soát ở trên.

• Kiểm soát thay đổi chương trình (Program Changes)

Song song với việc kiểm soát truy cập, kiểm soát thay đổi theo dõi các sự thay đổi

trong hệ thống nhằm đảm bảo các sự thay đổi đó đã được phê quyệt, thẩm định,

kiểm tra, cấp phép. Việc thay đổi chương trình cần phải được lập thành quy định cụ

thể với các bước thực hiện rõ ràng. Cụ thể, bất kỳ yêu cầu thay đổi nào cũng phải

được khai báo và đệ trình cho người có thẩm quyền xét duyệt. Sau khi yêu cầu được

xét duyệt, việc thực hiện phải được mô tả và ghi chú lại nhằm phục vụ cho quá trình

kiểm thử. Các thử nghiệm, kiểm thử phải được thực hiện trong môi trường tách biệt

với hệ thống hiện tại nhằm tránh gây lỗi làm đình trệ hệ thống hiện tại. Sau khi đã

được đánh giá đầy đủ, những thay đổi này sẵn sàng áp dụng cho hệ thống hiên tại.

Việc triển khai áp dụng cần phải được nghiệm thu trước khi kết thúc quy trình thay

đổi.

35

Đối với các thay đổi tức thời, các thay đổi nhỏ và ảnh hưởng ít trọng yếu tới hệ

thống như thay đổi độ dài tối thiểu của mật khẩu, thời gian khả dụng của mật khẩu

trước khi phải thay mới… việc xét duyệt có thể được thực hiện thông qua các cấp

quản lý gần kề sau khi các thay đổi được thực hiện.

KTV cần lưu ý, nếu trong kỳ kế toán, nếu không có sự thay đổi nào trong hệ thống

thì không cần thực hiện thử nghiệm cho kiểm soát này.

• Kiểm soát phát triển ứng dụng (Program Development)

Kiểm soát hệ thống mới tương đối giống với kiểm soát thay đổi chương trình nhưng

ở mức độ phức tạp hơn. Doanh nghiệp khi triển khai từ hệ thống cũ sang hệ thống

mới phải xây dựng kế hoạch chuyển đổi phù hợp, được xét duyệt qua nhiều cấp bậc

nhằm đảm bảo tính khả thi và thành công của dự án. Quá trình thử nghiệm, kiểm

thử cũng phải được thực hiện trong môi trường tách biệt với hệ thống hiện tại. Sau

khi hệ thống mới đã hoạt động ổn định mới thực hiện viện chuyển đổi dữ liệu từ hệ

thống cũ sang hệ thống mới.

KTV cần lưu ý, nếu trong kỳ kế toán, nếu không có sự thay đổi nào trong hệ thống

thì không cần thực hiện thử nghiệm cho kiểm soát này.

• Kiểm soát vận hành hệ thống (Computer Operations)

Kiểm soát nhằm đảm bảo hệ thống vận hành được thông suốt, theo kế hoạch định

sẵn. Kiểm soát vận hành hệ thống bao gồm việc kiểm tra việc kiểm soát xử lý cuối

ngày, nếu phát sinh lỗi thì các bước đã tiến hành khắc phục lỗi như thế nào, kiểm tra

việc thông tin hệ thống được lưu trữ kịp thời và có thể phục hồi khi có yêu cầu, các

kế hoạch và quy trình tiến hành khi có thảm họa (disaster) xảy ra.

- Xử lý công việc (Job processing): do đặc trưng của 1 phần mềm ERP là có cấu

trúc phân hệ, gồm nhiều phần mềm riêng lẻ tập hợp lại, mỗi phần mềm có một chức

năng riêng. Từng phân hệ có thể hoạt động độc lập và cũng có thể kết nối với nhau

để chia sẻ thông tin với các phân hệ khác nhằm tạo nên một hệ thống mạnh hơn

thông qua 1 hệ cơ sở dữ liệu (database). Quá trình tập hợp dữ liệu từ các phân hệ

36

khác nhau có thể diễn ra liên tục theo thời gian thực hoặc tại mỗi thời điểm định

trước (cuối ngày, cuối tuần, cuối tháng…). Ví dụ như các chi nhánh bảo hiểm

chuyển tải dữ liệu về hội sở chính, hoặc ngân hàng tính lãi suất tiền gửi và khoản

vay của khách hàng vào cuối mỗi ngày. Các hoạt động xử lý dữ liệu này cần được

kiểm soát để tránh các sự cố bất thường xảy ra, gây ảnh hưởng đến hoạt động của

doanh nghiệp ở kỳ kế tiếp. Đặc biệt đối với các doanh nghiệp cần sử dụng kết quả

xử lý dữ liệu của ngày hôm trước làm cơ sở cho hoạt động của ngày hôm sau.

- Sao lưu và phục hồi dữ liệu (Backup and restore): các dữ liệu được lưu trữ một

cách có hệ thống và có kế hoạch rõ ràng cụ thể nhằm tránh các thảm họa hoặc sự cố

gây mất mát, hư hỏng các dữ liệu hiện tại. Kế hoạch sao lưu phải được thực hiện

nghiêm túc và được kiểm tra định kỳ. Tùy thuộc vào quy mô công ty mà dữ liệu có

thể được lưu trữ trên các phương tiện khác nhau như băng từ, ổ đĩa cứng, hoặc lưu

trữ trực tuyến. Doanh nghiệp cũng có thể sử dụng phương pháp sao lưu định kỳ

hoặc thường xuyên, mỗi lần thực hiện có thể sao lưu một phần hoặc toàn bộ dữ liệu.

Các dữ liệu này phải được cất giữ an toàn và bảo mật nhằm không bị đánh cắp hoặc

tiếp cận bởi người không có thẩm quyền. Doanh nghiệp được khuyến khích cất giữ

các dữ liệu tại nơi khác với trụ sở doanh nghiệp nhằm tránh các thiên tai như động

đất, lũ lụt hoặc thảm họa như chiến tranh, khủng bố…

Song song với kế hoạch sao lưu dữ liệu, doanh nghiệp cần xây dựng kế hoạch phục

hồi sau thiên tai, thảm họa. Bất kỳ sự chậm trễ trong việc phục hồi kinh doanh đều

làm tăng tổn thất của doanh nghiệp. Các kế hoạch này phải được phổ biến rộng rãi

tới toàn nhân viên, tùy vào mức độ bất ổn của khu vực mà doanh nghiệp có thể định

kỳ cập nhật, phổ biến, huấn luyện và kiểm tra các kỹ năng ứng phó và khả năng

tuân thủ kế hoạch.

- Thủ tục giải quyết các rủi ro (Reporting of incidents and problems): trong quá

trình xử lý và sao lưu dữ liệu, cần có hướng dẫn để nhân viên ứng phó với các tình

huống lỗi phát sinh. Nếu nhân viên thực hiện thủ tục xử lý và sao lưu dữ liệu, doanh

nghiệp cân nhắc việc cắt cử chuyên viên IT theo dõi, giám sát các quy trình trên để

37

có thể xử lý sự cố kịp thời. Doanh nghiệp nên xây dựng sẵn quy trình để các nhân

viên đều có thể tìm kiếm và tiếp cận với sự giúp đỡ dễ dàng nhất.

Trong quá trình hoạt động thông thường, cần có quy trình để tiếp cận và xử lý lỗi

một cách hiệu quả. Doanh nghiệp có thể xây dựng phòng ban chuyên về kỹ thuật để

có thể ứng phó với các tình huống hiệu quả.

 Bước 4: Kiểm toán viên thực hiện các thủ tục kiểm tra đối với kiểm soát tự

động, thủ công hoặc hỗn hợp và kiểm soát chung của môi trường. Có thể thực hiện

thử nghiệm kiểm soát bằng cách đánh giá thiết kế và thử nghiệm thiết lập bằng cách

tái thực hiện một nghiệp vụ từ giai đoạn chứng từ cho đến khi được ghi nhận vào hệ

thống.

Mặt khác, để rút ra kết luận về cấp độ kiểm soát hoạt động (Process Level Control),

KTV vẫn cần phải thực hiện thử nghiệm trên các kiểm soát ứng dụng (IT

Application Control) dựa trên các tiếp cận về rủi ro đã thực hiện thông qua các bước

trước.

Bảng 1.2: Hiệu quả các loại thử nghiệm tương ứng với các kiểm soát ứng dụng

Loại thử nghiệm

Loại kiểm soát

Tài liệu khác (Other documents) Phân tích báo cáo thiết lập (Printed config) Thử nghiệm trực tuyến (Online test) Tính toán thủ công/ Theo dấu (Manual recalculati on/ Tracing)

Có Có Có Có

Có Có Có Có Thiết lập và hệ thống các tài khoản (System configuration/ Account mapping) Báo cáo (Exception/ Edit reports)

Không Có Không Không Giao thức kiểm soát (Interface controls)

Có Không Có Không Truy cập hệ thống (System Access)

38

(Nguồn: ISACA, 2013. CISA review manual)

Ghi chú: Có Không Có : Các thử nghiệm vận hành mang lại hiệu quả kiểm tra cao : Các thử nghiệm vận hành lại hiệu quả kiểm tra không cao : Các thử nghiệm vận hành thường dùng cho hệ thống ít phức tạp

- Thử nghiệm trực tuyến (Online test): thực hiện thử nghiệm trong môi trường

hoạt động của ứng dụng. Ví dụ: Thực hiện các thay đổi và quan sát kết quả

thay đổi tức thời.

- Tính toán thủ công/ Theo dấu (Manual recalculation/ Tracing): chọn mẫu các

nghiệp vụ, tính toán lại dựa trên các dữ liệu đầu vào để đảm bảo ứng dụng xử

lý cho ra kết quả phù hợp hoặc theo dấu các nghiệp vụ từ đầu chu trình cho

đến giai đoạn kết thúc và xem xét tính hợp lý của kết quả.

- Phân tích báo cáo thiết lập (Printed config): In các thiết lập từ hệ thống và

kiểm tra các thiết lập đó. Ví dụ: danh sách người dùng được cấp phép lưu

trong thiết lập, bảng các tùy chọn đang được kích hoạt. Kiểm tra các thiết lập

cho báo cáo do hệ thống tạo và xuất (System Generated Reports). KTV cũng

được yêu cầu phải đảm bảo cơ sở dẫn liệu đầy đủ và chính xác của thông tin

khi sử dụng thông tin từ các báo cáo này.

- Tài liệu khác (Other documents): Các tài liệu chứng minh tính hiệu quả của

các kiểm soát ứng dụng như biên bản kiểm định chất lượng của bên thứ ba

v.v…

Sau khi thực hiện xong các thủ tục trên sơ đồ quy trình kiểm toán CNTT phía trên,

KTV hoàn tất hồ sơ và tổng hợp lại các bằng chứng kiểm toán để thực hiện phân

tích đánh giá ở bước 5.

 Bước 5: Trong bước này, KTV đưa ra kết luận về kiểm soát hệ thống tổng quát

và tìm kiếm các kiểm soát tổng quát khác thay thế nếu trường hợp kết quả thử

nghiệm cho thấy kiểm soát tổng quát được lựa chọn thất bại trong việc ngăn ngừa

rủi ro. Các kiểm soát ứng dụng thuộc cấp độ kiểm soát xử lý (Process Level

39

Control) và được bao quát bởi cấp kiểm soát cao hơn là kiểm soát hệ thống tổng

quát (General IT Control). Tại đây, các thử nghiệm kiểm soát ứng dụng có đặc tính

tương tự như thử nghiệm cơ bản trong kiểm toán BCTC. Để giảm thiểu khối lượng

thử nghiệm phải thực hiện, các KTV và chuyên gia hệ thống tìm kiếm các kiểm soát

hệ thống tổng quát chi phối và bao quát các kiểm soát ứng dụng để áp dụng các thử

nghiệm hệ thống. Ở giai đoạn này, các thử nghiệm kiểm soát hệ thống tổng quát có

đặc tính tương tự thử nghiệm kiểm soát trong kiểm toán BCTC.

Vì đặc điểm của hệ thống bao gồm nhiều kiểm soát khác nhau, một kiểm soát bị

thất bại trong việc ngăn ngừa rủi ro không đồng nghĩa với việc toàn hệ thống không

thể ngăn ngừa rủi ro. Có thể có các kiểm soát khác vẫn hoàn thành tốt chức năng

của mình và bù khuyết cho kiểm soát đã lựa chọn thử nghiệm.

(Nguồn: ISACA, 2013. CISA review manual)

Hình 1.6: Mối tương quan của kiểm soát ứng dụng với kiểm soát hệ thống tổng quát

Ví dụ:

Trường hợp 1: Doanh nghiệp không có chính sách về IT, không tổ chức cập nhật

kiến thức cho nhân viên cũng như quy trình kiểm tra, tạo mới, hủy bỏ tài khoản; tuy

nhiên kiểm soát về mật khẩu truy cập vào ứng dụng và hệ thống được thực hiện tốt,

kiểm tra lịch sử truy cập các tài khoản của nhân viên đã nghỉ việc sau ngày nhân

40

viên đó rời công ty không thấy bất thường → hệ thống vẫn được quản lý tập trung

và hoạt động hiệu quả

Trường hợp 2: Doanh nghiệp không tổ chức kiểm soát nhận diện và cấp phép đối

với các tiếp cận vật lý với hệ thống như máy chủ không được để khu vực riêng biệt,

nhân viên không liên quan có thể trực tiếp tiếp xúc với máy chủ, không có ký nhận

ra/vào khu vực máy chủ v.v... → KTV xác minh các kiểm soát khác bổ khuyết bao

gồm xem xét hệ thống camera an ninh, kiểm tra hồ sơ chứng từ về các lần bảo

dưỡng hệ thống, kiểm tra tập tin giám sát (log file) trong hệ thống v.v... để đảm bảo

không có trường hợp mất cắp, tác động phá hoại lên hệ thống máy xảy ra trong năm

tài chính → Hệ thống vẫn đảm bảo được chức năng của mình.

 Bước 6: Sau khi đánh giá về các kiểm soát trong cấp quản lý hệ thống tổng quát

(General IT Control), nhận diện rõ các kiểm soát kém hiệu quả và các kiểm soát

thay thế. KTV đánh giá các kết quả đó ảnh hưởng đến kiểm soát hoạt động như thế

nào (Process Level Control), liệu các ứng dụng hoạt động trong môi trường tổng

quát tương ứng có bị ảnh hưởng bởi các kiểm soát tổng quát kém hiệu quả hay

không. Có hai trường hợp xảy ra:

Trường hợp không có ảnh hưởng: Kiểm soát ở cấp độ tổng quát kém hiệu quả

nhưng kiểm soát ở cấp độ xử lý lại hữu hiệu → KTV có thể nhận xét về hệ thống

hoạt động hiệu quả, cung cấp bằng chứng đáng tin cậy trong việc các khoản mục

tương ứng trên báo cáo tài chính thể hiện trung thực và hợp lý.

Trường hợp có ảnh hưởng: Kiểm soát ở cấp độ xử lý bị ảnh hưởng bởi sự kém hiệu

quả của cấp độ tổng quát → KTV không có cơ sở để đưa ra kết luận, vì thế cần thiết

phải xác định các thủ tục kiểm soát thủ công thay thế. Nếu các kiểm soát thủ công

có thể loại bỏ được các rủi ro từ sự kém hiệu quả của hệ thống tự động (ví dụ như

hoạt động kiểm tra đối chiếu sổ cái xuất ra từ hệ thống với số liệu thực tế không

phát sinh chênh lệch), các khoản mục tương ứng trên báo cáo tài chính vẫn thể hiện

trung thực hợp lý.

41

 Bước 7: Sau khi KTV đã thực hiện xong các bước kiểm toán hệ thống và thu

thập bằng chứng đầy đủ, KTV có thể đưa ra kết luận về hệ thống có thể tin cậy và

tiến hành tiếp các thủ tục kiểm toán BCTC theo chương trình kiểm toán đã định.

Nếu KTV không thể thực hiện các bước từ 1 đến 7 do thiếu kiến thức và kinh

nghiệm cần thiết được quy định trong chuẩn mực, cần thiết có sự tham gia của

chuyên gia trong việc kiểm tra và đưa ý kiến.

Nếu ý kiến rút ra từ các bằng chứng kiểm toán hệ thống cho thấy hệ thống không

thực sự đáng tin cậy, không đủ cơ sở để phản ánh trung thực hợp lý các tài khoản và

thuyết minh đã chọn trong bước 1. Kiểm toán viên phải thay thế thủ tục kiểm toán

khác nhằm xác minh đủ cơ sở dẫn liệu cho các tài khoản đó nhằm mục đích đưa ý

kiến cho BCTC, đồng thời trao đổi với ban quản lý về các phát hiện trên.

Chuẩn mực kiểm toán CNTT 1004 – Mong đợi hợp lý quy định về các loại ý kiến

kiểm toán do KTV CNTT có thể đưa ra đối với hệ thống. Các ý kiến này độc lập

với ý kiến kiểm toán trên BCTC. Có thể KTV CNTT hoặc chuyên gia đưa ý kiến

loại trừ đối với hệ thống nhưng BCTC có thể được chấp nhận toàn phần do các thử

nghiệm kiểm soát và thử nghiệm cơ bản trong thủ tục kiểm toán BCTC cung cấp

đầy đủ bằng chứng kiểm toán chứng tỏ BCTC là trung thực và hợp lý. Các ý kiến

kiểm toán về hệ thống bao gồm:

• Ý kiến chấp nhận toàn phần (Unqualified opinion): KTV bày tỏ ý kiến về

việc không tìm thấy các điểm phải loại trừ hoặc không có loại trừ đối với các

điểm trọng yếu

• Ý kiến chấp nhận có nhấn mạnh (Qualified opinion): Có loại trừ các điểm

kém hữu hiệu quan trọng trong hệ thống nhưng không trọng yếu

• Ý kiến loại trừ (Adverse opinion): Có một hoặc nhiều điểm kém hữu hiệu

trong hệ thống là trọng yếu.

42

KẾT LUẬN CHƯƠNG 1 BCTC là công cụ phản ánh thực trạng tài chính và tình hình kết quả kinh doanh của

một doanh nghiệp do đó BCTC có vai trò quan trọng trong cả công tác quản lý nội

bộ cũng như cung cấp thông tin cho các đối tượng bên ngoài. Trong phạm vi

chương 1, luận văn đi sâu nghiên cứu các vấn đề lý luận về quy trình và thủ tục

kiểm toán CNTT trong một cuộc kiểm toán BCTC cũng như các yêu cầu của chuẩn

mực quốc tế về kiểm toán CNTT. Trong xu hướng hội nhập kinh tế của Việt Nam

thì hội nhập trong lĩnh vực kế toán là một yêu cầu khách quan. Do đó, tìm hiểu về

hệ thống chuẩn mực quốc tế, xem xét tiến trình hòa hợp với chuẩn mực quốc tế sẽ là

tiền đề cho việc đánh giá thực trạng tại Việt Nam, từ đó góp phần gia tăng tính hữu

ích của thông tin trên BCTC đối với các đối tượng sử dụng và hiệu quả công việc

đối với công ty cung cấp dịch vụ kiểm toán và đảm bảo.

43

CHƯƠNG 2: THỰC TRẠNG QUY TRÌNH VÀ CÁC THỦ

TỤC KIỂM TOÁN CNTT TRONG KIỂM TOÁN BCTC ÁP

DỤNG TẠI VIỆT NAM

2.1 CƠ SỞ PHÁP LÝ CHO VIỆC KIỂM TOÁN CNTT TẠI VIỆT NAM

Năm 2011, với mục tiêu thống nhất quản lý hoạt động kiểm toán độc lập tại Việt

Nam, quốc hội khóa XII đã ban hành Luật kiểm toán độc lập (Luật số:

67/2011/QH12) là văn bản pháp lý cao nhất về kiểm toán có hiệu lực từ ngày

01/01/2012. Luật kiểm toán độc lập đã tạo cơ sở cho các loại hình kiểm toán phát

triển tại Việt Nam. Cụ thể:

- Điều 4, mục đích của kiểm toán độc lập: “Hoạt động kiểm toán độc lập nhằm

góp phần công khai, minh bạch thông tin kinh tế, tài chính của đơn vị được

kiểm toán và doanh nghiệp, tổ chức khác; làm lành mạnh môi trường đầu tư;

thực hành tiết kiệm, chống lãng phí, phòng, chống tham nhũng; phát hiện và

ngăn chặn vi phạm pháp luật; nâng cao hiệu lực, hiệu quả quản lý, điều hành

kinh tế, tài chính của Nhà nước và hoạt động kinh doanh của doanh nghiệp”.

- Điều 5.9: “Kiểm toán báo cáo tài chính là việc kiểm toán viên hành nghề,

doanh nghiệp kiểm toán, chi nhánh doanh nghiệp kiểm toán nước ngoài tại

Việt Nam kiểm tra, đưa ra ý kiến về tính trung thực và hợp lý trên các khía

cạnh trọng yếu của báo cáo tài chính của đơn vị được kiểm toán theo quy

định của chuẩn mực kiểm toán”.

- Điều 5.10: “Kiểm toán tuân thủ là việc kiểm toán viên hành nghề, doanh

nghiệp kiểm toán, chi nhánh doanh nghiệp kiểm toán nước ngoài tại Việt

Nam kiểm tra, đưa ra ý kiến về việc tuân thủ pháp luật, quy chế, quy định mà

đơn vị được kiểm toán phải thực hiện”.

- Điều 5.11: “Kiểm toán hoạt động là việc kiểm toán viên hành nghề, doanh

nghiệp kiểm toán, chi nhánh doanh nghiệp kiểm toán nước ngoài tại Việt

44

Nam kiểm tra, đưa ra ý kiến về tính kinh tế, hiệu lực và hiệu quả hoạt động

của một bộ phận hoặc toàn bộ đơn vị được kiểm toán.”

Hoạt động kiểm toán được phân lại dưới ba hình thức là kiểm toán BCTC, kiểm

toán tuân thủ và kiểm toán hoạt động. Đối với hoạt động kiểm toán CNTT, do đặc

thù của hoạt động này, kiểm toán CNTT có thể tồn tại ở cả ba hình thức trên. Kiểm

toán CNTT có thể là một phần của cuộc kiểm toán BCTC, hỗ trợ KTV trong việc

thu thập bằng chứng kiểm toán và đưa ý kiến độc lập về hệ thống để KTV có thể sử

dụng theo hướng dẫn của VSA 620 – Sử dụng công việc của chuyên gia, hoặc kiểm

toán CNTT độc lập trở thành một dịch vụ bảo đảm giúp nâng cao hiệu lực, hiệu quả

quản lý, điều hành kinh tế, tài chính của Nhà nước và hoạt động kinh doanh của

doanh nghiệp.

Do Luật kiểm toán độc lập là văn bản pháp lý cao nhất và mang tính tổng quát nhất

nên không đề cập đến phạm trù kiểm toán CNTT, thay vào đó, Luật tạo cơ sở pháp

lý cho Bộ tài chính xây dựng Chuẩn mực kiểm toán và chuẩn mực đạo đức nghề

nghiệp kế toán, kiểm toán trên cơ sở chuẩn mực quốc tế (Luật kiểm toán độc lập,

Điều 6.4). Trước khi Luật kiểm toán độc lập được ban hành vào năm 2011, Bộ tài

chính đã xây dựng 38 chuẩn mực kiểm toán Việt Nam, ban hành và công bố theo

Quyết định số 120/1999/QĐ-BTC ngày 27 tháng 09 năm 1999 của Bộ trưởng Bộ

Tài chính và có hiệu lực thi hành từ tháng 10/1999. Để đáp ứng với tình hình phát

triển xã hội, Bộ Tài chính đã soạn thảo và thay thế bộ chuẩn mực kiểm toán Việt

Nam ban hành năm 1999 bằng bộ 42 chuẩn mực kiểm toán Việt Nam, trong đó bao

gồm 37 chuẩn mực kiểm toán Việt Nam được soạn thảo và ban hành lại cùng với 5

chuẩn mực kiểm toán cũ được giữ lại theo Thông tư số 214 /2012/TT-BTC, ngày

06 tháng 12 năm 2012.

Điểm đáng chú ý trong bộ chuẩn mực kiểm toán Việt Nam ban hành năm 1999 là

chuẩn mực số 401 – Thực hiện kiểm toán trong môi trường tin học. Chuẩn mực

định nghĩa, “Môi trường tin học là môi trường mà trong đó đơn vị được kiểm toán

thực hiện công việc kế toán hoặc xử lý thông tin tài chính trên máy vi tính với các

45

mức độ áp dụng khác nhau, chủng loại máy hoặc phần mềm có quy mô và mức độ

phức tạp khác nhau, cho dù hệ thống máy tính do đơn vị được kiểm toán hoặc bên

thứ ba vận hành” (VSA 401, điều 5). Từ đó, chuẩn mực nhận định, việc sử dụng

máy vi tính làm thay đổi quá trình xử lý thông tin, lưu trữ và chuyển tải thông tin tài

chính và có thể ảnh hưởng đến hệ thống kế toán và hệ thống kiểm soát nội bộ của

đơn vị được kiểm toán. Do vậy, môi trường tin học cũng có thể ảnh hưởng đến:

- Các thủ tục do kiểm toán viên thực hiện để có được sự hiểu biết đầy đủ về hệ

thống kế toán và hệ thống kiểm soát nội bộ;

- Việc xem xét rủi ro tiềm tàng, rủi ro kiểm soát và đánh giá của kiểm toán

viên về rủi ro kiểm toán;

- Việc thiết kế và thực hiện các thử nghiệm kiểm soát và thử nghiệm cơ bản

phù hợp để đạt được mục đích kiểm toán.

Từ đó, chuẩn mực đưa ra các nguyên tắc trong việc lựa chọn nhân sự thực hiện cuộc

kiểm toán, các nguyên tắc trong việc lập kế hoạch và đánh giá rủi ro. Điều 8 và

Điều 9 của VSA 401 quy định rõ, khi lập kế hoạch về những công việc của cuộc

kiểm toán chịu ảnh hưởng của môi trường tin học, kiểm toán viên và công ty kiểm

toán phải hiểu biết tầm quan trọng và tính phức tạp của sự vận hành hệ thống máy

tính và khả năng trong việc cung cấp thông tin cần thiết cho cuộc kiểm toán.

Cụ thể, kiểm toán viên phải chú ý:

- Tầm quan trọng và tính phức tạp của quá trình xử lý thông tin bằng máy tính

trong mỗi phần hành kế toán quan trọng. Tầm quan trọng liên quan đến tính

trọng yếu của cơ sở dẫn liệu của báo cáo tài chính chịu tác động bởi quy

trình xử lý thông tin bằng máy tính. Tính phức tạp thể hiện trong các ví dụ:

- Số lượng nghiệp vụ lớn tới mức mà người sử dụng khó có thể xác định và

sửa chữa các lỗi trong quá trình xử lý thông tin;

- Máy tính tự động xử lý các giao dịch hoặc nghiệp vụ quan trọng hoặc tự

động thực hiện chuyển bút toán sang một phần hành khác;

46

- Máy tính có thể thực hiện các phép tính phức tạp và tự động xử lý các nghiệp

vụ hoặc bút toán quan trọng mà không được hoặc không thể kiểm tra lại;

- Các giao dịch điện tử với đơn vị khác thiếu việc kiểm tra bằng phương pháp

thủ công.

- Cấu trúc hoạt động của hệ thống máy tính của đơn vị được kiểm toán và mức

độ tập trung hoặc phân tán của việc xử lý thông tin bằng máy tính, đặc biệt

khi các xử lý này có ảnh hưởng đến việc phân công trách nhiệm công việc.

- Khả năng sẵn có của dữ liệu: Các tài liệu kế toán và bằng chứng khác được

kiểm toán viên yêu cầu có thể chỉ tồn tại trong thời gian ngắn hoặc dưới dạng

chỉ có thể đọc được trên máy. Hệ thống thông tin máy tính của đơn vị được

kiểm toán có thể đưa ra các báo cáo nội bộ hữu dụng trong việc thực hiện các

thử nghiệm cơ bản. Khả năng sử dụng kỹ thuật kiểm toán được máy tính trợ

giúp có thể làm tăng tính hiệu quả trong việc thực hiện các thủ tục kiểm toán

hoặc có thể cho phép kiểm toán viên áp dụng một số thủ tục trên toàn bộ các

tài khoản hoặc các nghiệp vụ với chi phí thấp.

Trường hợp đơn vị được kiểm toán sử dụng hệ thống máy tính phức tạp, có công

suất lớn, kiểm toán viên và công ty kiểm toán cần phải có những hiểu biết về môi

trường tin học và xác định xem môi trường này có ảnh hưởng đến việc đánh giá rủi

ro tiềm tàng và rủi ro kiểm soát hay không

Chuẩn mực VSA 401 được xem là chuẩn mực đầu tiên của Việt Nam có điểm tương

đồng rất lớn đối với bộ 17 chuẩn mực kiểm toán CNTT quốc tế ban hành bởi

ISACA. Tuy nhiên, trong quá trình xây dựng bộ chuẩn mực kiểm toán mới để đạt

được sự hội tụ với bộ chuẩn mực kiểm toán quốc tế (ISA) ban hành bởi (IFAC),

chuẩn mực VSA 401 đã bị loại bỏ và không có chuẩn mực thay thế trong bộ chuẩn

mực ban hành bởi Bộ Tài chính trong năm 2012. Mặt khác, hạn chế của bộ chuẩn

mực ISA là việc tập trung nhiều vào hoạt động kiểm toán tài chính trên các thông

tin tài chính của đơn vị được cung cấp dịch vụ kiểm toán và đảm bảo. Do đó, khuôn

mẫu kiểm toán CNTT Quốc tế (ITAF) và bộ chuẩn mực kiểm toán CNTT (ITAAS)

được xây dựng tách biệt với ISA nhằm tập trung sâu hơn hoạt động kiểm toán

47

CNTT. ITAAS có thể được áp dụng song song với ISA trong một cuộc kiểm toán

BCTC có ứng dụng kiểm toán CNTT, hoặc áp dụng độc lập như một cuộc kiểm

toán tuân thủ và kiểm toán hoạt động. Bộ chuẩn mực kiểm toán Việt Nam ban hành

năm 1999 đã thực hiện được sự trung hòa giữa ISA và ITAAS khi đính kèm chuẩn

mực 401, tuy bộ chuẩn mực kiểm toán Việt Nam ban hành năm 2012 đã hội tụ tốt

hơn với ISA, nhưng lại thiếu đi sự hội tụ với ITAAS.

Cũng chính vì vậy, cơ sở pháp lý của hoạt động kiểm toán CNTT trong cuộc kiểm

toán BCTC vận dụng chủ yếu VSA số 500 – Bằng chứng kiểm toán và VSA số 620

– Sử dụng tư liệu của chuyên gia, và trong những trường hợp chuẩn mực hiện hành

của Việt Nam không quy định, KTV tham chiếu ưu tiên đến các chuẩn mực quốc tế,

bao gồm ISA và ITAAS, sau đó tham chiếu đến các thông lệ quốc tế, hướng dẫn

của hội nghề nghiệp quốc tế và bộ phương pháp kiểm toán của công ty kiểm toán

nếu có.

2.2 THỰC TRẠNG XÂY DỰNG QUY TRÌNH VÀ THỦ TỤC KIỂM

TOÁN CNTT TRONG CUỘC KIỂM TOÁN BCTC CỦA CÁC CÔNG

TY KIỂM TOÁN VIỆT NAM

2.2.1 Mục tiêu khảo sát

Nội dung khảo sát của luận văn hướng đến mục tiêu tổng quát là tìm hiểu thực trạng

xây dựng quy trình và thủ tục kiểm toán CNTT trong cuộc kiểm toán BCTC của các

công ty kiểm toán Việt Nam. Nội dung khảo sát được thực hiện với các mục tiêu cụ

thể như sau:

- Nhận xét, đánh giá các đặc điểm chung của các công ty kiểm toán Việt Nam

- Tìm hiểu thực trạng xây dựng quy trình và thủ tục kiểm toán CNTT trong

cuộc kiểm toán BCTC

48

2.2.2 Đối tượng, thời gian và phạm vi khảo sát

Đối tượng khảo sát: Đối tượng được tiến hành khảo sát là các công ty kiểm toán

hoạt động tại Việt Nam có thực hiện kiểm toán CNTT trong cuộc kiểm toán BCTC

cho các khách hàng được kiểm toán từ trước đến nay.

Thời gian khảo sát: Các công ty kiểm toán được khảo sát trong khoản thời gian từ

tháng 4 năm 2013 đến tháng 6 năm 2014.

Phạm vi khảo sát: bao gồm 154 công ty đăng ký hành nghề tính đến ngày 20/3/2013

được công bố trong số phụ lục 07 của “Báo cáo tổng kết hoạt động năm 2012 và

phương hướng hoạt động năm 2013 của các công ty kiểm toán” công bố bởi Hội

kiểm toán viên hành nghề Việt Nam (VACPA).

2.2.3 Phương pháp khảo sát:

Do đặc thù của luận văn là nghiên cứu quy trình và thủ tục kiểm toán CNTT trong

cuộc kiểm toán BCTC đã thực hiện bởi các công ty kiểm toán và đánh giá tính tuân

thủ, tác giả thu thập thông tin bằng 3 hình thức: (1) Xem xét hồ sơ kiểm toán (2)

Phỏng vấn trực tiếp (3) Phỏng vấn thông qua gửi thư điện tử.

Trong đó, phương pháp xem xét hồ sơ kiểm toán cung cấp thông tin đầy đủ và

chính xác nhất được tác giả ưu tiên thực hiện, kết hợp với phương pháp phỏng vấn

trực tiếp và phỏng vấn thông qua gửi thư điện tử trong từng điều kiện nhằm làm rõ

hơn các vấn đề liên quan đến quy trình và thủ tục thực hiện kiểm toán CNTT. Các

phương pháp thu thập thông tin trên được thực hiện kết hợp với nhau và không thực

hiện riêng lẻ trong bất kỳ trường hợp thỏa mãn điều kiện khảo sát.

Các cá nhân tham gia khảo sát bao gồm các KTV trực tiếp phụ trách kiểm toán

BCTC của các khách hàng có thực hiện kiểm toán CNTT và có vị trí từ trưởng

nhóm trở lên, các chuyên gia hệ thống làm việc trong các bộ phận chuyên môn của

các công ty kiểm toán. Bảng câu hỏi khảo sát được đính kèm tại Phụ lục 5 và danh

sách các cá nhân tham gia phỏng vấn thuộc các công ty kiểm toán đủ điều kiện

được đính kèm tại Phụ lục 2 của đề tài.

49

2.2.4 Kết quả khảo sát:

Qua số liệu thu thập từ các doanh nghiệp được khảo sát, tác giả đã thống kê và có

được kết quả như sau. Việc phân loại quy mô các công ty kiểm toán theo tiêu chuẩn

nghị định 56/2009/NĐ-CP:

Bảng 2.1: Số lượng công ty kiểm toán đã thực hiện kiểm toán CNTT trong cuộc

kiểm toán BCTC

STT Quy mô Tổng số công ty khảo sát

Số lượng công ty kiểm toán đã thực hiện kiểm toán CNTT trong cuộc kiểm toán BCTC Hãng thành viên (Networks firm) Hãng hội viên hiệp hội (Association members) Hãng đại diện liên lạc (Correspond- ent firms) Nội địa (Local firm)

1 Siêu nhỏ 27

2 Nhỏ 87

3 Vừa 25 - - -

4 Lớn 15 - - - - - - - - - - - - 4

(Nguồn: Tác giả khảo sát)

Qua kết quả khảo sát, chỉ có 4 công ty thuộc nhóm các hãng thành viên của các

hang kiểm toán quốc tế là Công ty TNHH KPMG VN, Công ty TNHH

Ernst&Young VN, Công ty TNHH Price Waterhouse Coopers VN và Công ty

TNHH Deloitte Việt Nam (Big4) có xây dựng quy trình và áp dụng kiểm toán

CNTT đối với các cuộc kiểm toán BCTC đã thực hiện, các công ty kiểm toán còn

lại chưa áp dụng quy trình từ các hiệp hội mà công ty đó đang là thành viên do

không có khách hàng hội đủ điều kiện hoặc chưa xây dựng quy trình.

Do mỗi khách hàng tương ứng tối thiểu với một hợp đồng kiểm toán, trong đó so

sánh với mối tương quan giữa số lượng công ty kiểm toán thực hiện quy trình trên

đối với tỷ trọng khách hàng của các công ty kiểm toán trong năm 2012, nhận thấy

50

nhóm 6 công ty trong bảng 2.2 chiếm 25% thị phần, trong giả thiết tất cả khách

hàng có môi trường kế toán đủ điều kiện để áp dụng quy trình kiểm toán CNTT thì

các công ty kiểm toán có đủ năng lực thực hiện chỉ chiếm 16%. Nếu áp dụng tỷ lệ

các doanh nghiệp triển khai ERP tại Việt Nam là 3.83% theo thống kê của ITB

(Nguyễn Bích Liên, 2012), số cuộc kiểm toán BCTC có thực hiện kiểm toán CNTT

chỉ chiếm 0,6% trên tổng số hợp đồng kiểm toán được ký kết trong năm 2012. Thực

tế tỷ lệ đó thấp hơn do không phải tất cả hợp đồng cung cấp dịch vụ của các công ty

kiểm toán chỉ hạn chế trong phạm vi kiểm toán báo cáo tài chính.

Bảng 2.2: Số lượng khách hàng trong năm 2012 của 6 công ty kiểm toán lớn tại

Việt Nam

Tên công ty kiểm toán

Công ty TNHH Deloitte Việt Nam Công ty TNHH Ernst & Young Việt Nam Công ty TNHH PricewaterhouseCoopers VN Công ty TNHH KPMG Công ty Dịch vụ Tư vấn Tài chính Kế toán và Kiểm toán Công ty TNHH Kiểm toán và Tư vấn A&C Tổng Số khách hàng 1.267 1.226 1.107 1.758 1.470 1.329 8.157 Tỷ trọng 3.87% 3.75% 3.39% 5.38% 4.50% 4.06% 24.94%

(Nguồn: Báo cáo tổng kết hoạt động năm 2012 và phương hướng hoạt động năm

2013 của các công ty kiểm toán - VACPA)

Mặt khác, thông qua khảo sát hồ sơ kiểm toán (Phụ lục 01), tác giả nhận thấy các

quy trình và thủ tục thực hiện đều tương đối đồng nhất và thỏa mãn các nguyên tắc

của chuẩn mực kiểm toán CNTT quốc tế đặt ra do bốn công ty trên đã áp dụng

nguyên mẫu chuẩn mực và hướng dẫn khi xây dựng quy trình và thủ tục kiểm toán.

51

2.2.5 Minh họa quy trình và thủ tục kiểm toán CNTT trong một cuộc

kiểm toán BCTC

Qua khảo sát cho thấy có sự tương đồng trong quy trình và thủ tục kiểm toán CNTT

thực hiện bởi các công ty kiểm toán đã khảo sát trên. Để minh họa, luận văn mô tả

quy trình và thủ tục áp dụng cho Ngân hàng HSBC Việt Nam trong cuộc kiểm toán

BCTC kết thúc năm tài chính tại ngày 31 tháng 12 năm 2013 được thực hiện bởi

công ty kiểm toán KPMG Việt Nam (Phụ lục 6). Việc lựa chọn mẫu minh họa được

thực hiện dựa trên các thông tin sau:

- Theo định nghĩa tại Điều 4, Luật các tổ chức tín dụng Việt Nam, tổ chức tín

dụng là doanh nghiệp thực hiện một, một số hoặc tất cả các hoạt động ngân

hàng. Tổ chức tín dụng bao gồm ngân hàng, tổ chức tín dụng phi ngân hàng,

tổ chức tài chính vi mô và quỹ tín dụng nhân dân7. Do hoạt động ngân hàng

được sử dụng làm tiêu chí xác định doanh nghiệp là tổ chức tín dụng, luận

văn lựa chọn mẫu minh họa là ngân hàng với đầy đủ đặc tính đặc trưng của

một tổ chức tín dụng.

- Quy trình và thủ tục kiểm toán HTCNTT, bao gồm chương trình kiểm toán

mẫu tại công ty kiểm toán KPMG Việt Nam nói riêng và các công ty được

khảo sát có hoạt động này nói chung được xây dựng dựa theo chuẩn mực

quốc tế, phương pháp được hướng dẫn bởi các hội nghề nghiệp và được áp

dụng đồng nhất tại các đơn vị được công ty cung cấp dịch vụ kiểm toán.

- Yếu tố áp dụng CNTT trong hoạt động của các tổ chức tín dụng nói chung và

nhóm các ngân hàng nói riêng được thúc đẩy bởi các chính sách quản lý điều

hành của Ngân hàng Nhà nước và bản thân doanh nghiệp đầu tư phát triển để

tăng năng lực cạnh tranh. CNTT được xem như một xu hướng chính trong

7 Luật các tổ chức tin dụng – Văn bản số 47/2010/QH12 - Ban hành và công bố ngày 16 tháng 06 năm 2010 bởi Quốc hội nước CHXHCN Việt Nam.

52

hoạt động ngân hàng hiện đại thập niên vừa qua dẫn đến thay đổi đáng kể

trong cách thức quản lý, điều hành và thực hiện công việc tại ngân hàng. 8

Mặt khác, từ kết quả khảo sát ở Chương 2, thông qua khảo sát hồ sơ kiểm toán (Phụ

lục 1), các loại hình doanh nghiệp khác được khảo sát bao gồm các loại hình doanh

nghiệp được quy định theo Luật doanh nghiệp Việt Nam có áp dụng quy trình và

thủ tục kiểm toán hệ thống công nghệ thông tin trong cuộc kiểm toán báo cáo tài

chính cũng mang đầy đủ đặc tính của mẫu minh họa và các điều kiện này cũng được

dùng để lập kế hoạch kiểm toán, trong đó có việc sử dụng công việc của chuyên gia

hệ thống trong việc kiểm tra HTCNTT.

- Các doanh nghiệp sử dụng hệ thống quản trị nguồn lực ERP (SAP, Oracle,

Microsoft Dynamics, JD Edwards, PeopleSoft… ) hoặc các hệ thống tương

đương để quản trị hoạt động doanh nghiệp.

- Dữ liệu tài chính kế toán được tính toán bởi phần mềm, trong điều kiện hệ

thống bị gián đoạn (hư hỏng, sự cố v.v…), không có quy trình hoặc thủ tục

thủ công thay thế hoặc không thể thay thế các quy trình hệ thống để quản trị

dữ liệu tài chính kế toán.

- Doanh nghiệp tổ chức riêng phòng IT để hỗ trợ nhân viên sử dụng các ứng

dụng thương mại

- Việc kiểm toán phụ thuộc vào một hoặc nhiều kiểm soát ứng dụng vốn là

một phần của hệ thống.

- Việc kiểm toán phụ thuộc vào các thông tin từ một hoặc nhiều ứng dụng

dành riêng cho mục đích kiểm tra, báo cáo và việc đánh giá các thông tin này

không thể thực hiện bằng các thủ tục cơ bản nếu không tin cậy vào các kiểm

soát tự động.

- Việc kiểm toán cũng phụ thuộc vào các báo cáo xuất ra từ hệ thống mà việc

đánh giá cơ sở dẫn liệu “đầy đủ” và “chính xác” không thể thực hiện bằng

các thủ tục cơ bản nếu không tin cậy vào các kiểm soát tự động.

8 Vai trò của công nghệ ngân hàng trong chiến lược phát triển ngân hang giai đoạn 2011-2020 – Nguyễn Thị Kim Thanh – Tạp chí Ngân hàng số 13/2010.

53

Các doanh nghiệp không phải tổ chức tín dụng thỏa mãn các điều kiện trên tương

đối ít. Nhóm các doanh nghiệp đủ điều kiện này thường có quy mô lớn, có nguồn

gốc nước ngoài và tập trung ở các lĩnh vực sản xuất, thương mại, dịch vụ. Mục tiêu

trọng tâm cuộc kiểm toán hiện tại là việc đưa ra ý kiến kiểm toán cho BCTC. Quy

trình lập kế hoạch được xây dựng dựa trên hướng dẫn của chuẩn mực kiểm toán

quốc tế, chuẩn mực kiểm toán Việt Nam, hướng dẫn của hội nghề nghiệp và quy

chế của công ty trong việc chuẩn hóa các quy trình. Kế hoạch kiểm toán cho nhóm

• Thu thập thông tin cơ sở

• Xem xét lại kết quả của cuộc kiểm toán trước và hồ sơ kiểm toán chung

• Đánh giá khả năng chấp nhận kiểm toán

• Hợp đồng kiểm toán

• Thực hiện các thủ tục phân tích

• Đánh giá trọng yếu và rủi ro kiểm toán

• Ước lượng sử dụng công việc của chuyên gia

• Xây dựng chương trình kiểm toán

• Thực hiện kiểm toán

các doanh nghiệp này vẫn được thực hiện theo trình tự:

Do đó, mẫu minh họa được trình bày trong luận văn mang tính đại diện cho các hồ

sơ kiểm toán đã khảo sát tại các đơn vị thỏa mãn điều kiện tìm hiểu quy trình xây

dựng và thủ tục kiểm toán HTCNTT trong một cuộc kiểm toán BCTC.

54

KẾT LUẬN CHƯƠNG 2

Qua những vấn đề được đề cập và phân tích ở chương 2, có thể thấy được thực

trạng tại Việt Nam, ngoài bốn công ty kiểm toán là Công ty TNHH KPMG VN,

Công ty TNHH Ernst&Young VN, Công ty TNHH Price Waterhouse Coopers VN

và Công ty TNHH Deloitte Việt Nam (Big4) có xây dựng quy trình và áp dụng

kiểm toán CNTT đối với các cuộc kiểm toán BCTC đã thực hiện, các công ty kiểm

toán còn lại hoặc đã xây dựng quy trình nhưng chưa áp dụng tại Việt Nam do không

có khách hàng hội đủ điều kiện (nhóm thành viên của các hãng kiểm toán quốc tế,

hội viên hiệp hội quốc tế) hoặc chưa xây dựng quy trình (nhóm các công ty kiểm

toán còn lại). Đối với các công ty kiểm toán đã xây dựng và áp dụng quy trình trên

thực tế, có thể thấy quy trình và thủ tục thực hiện khá chặt chẽ và bám sát các chuẩn

mực quốc tế và theo các hướng dẫn của hội nghề nghiệp quốc tế. Nguyên nhân

chính là do CMKT quốc tế đã và đang không ngừng cập nhật cho phù hợp với nền

kinh tế thế giới, và môi trường doanh nghiệp tại các quốc gia phát triển đã hoàn

thiện làm khoản cách giữa lý thuyết và thực tế được rút ngắn đáng kể. Khi vận dụng

các quy trình và thủ tục được xây dựng sẵn từ các hãng kiểm toán quốc tế, khoản

cách giữa lý thuyết và thực tế phát triển tại Việt Nam còn lớn, do đó chỉ có một số

lượng nhỏ các doanh nghiệp có môi trường kế toán phát triển đủ điều kiện để KTV

áp dụng các quy trình kiểm toán CNTT trong cuộc kiểm toán BCTC. Từ việc tìm

hiểu thực trạng, phân tích được nguyên nhân.

Chương 3 của luận văn sẽ đưa ra các giải pháp để vận dụng các chuẩn mực và quy

trình kiểm toán CNTT quốc tế vào Việt Nam, một mặt để tạo cơ sở pháp lý cho việc

thực hiện kiểm toán CNTT tại Việt Nam khi ứng dụng ERP là một xu thế tất yếu

của doanh nghiệp, mặt khác nâng cao năng lực của các công ty kiểm toán nội địa để

thích ứng với thị trường kiểm toán đầy tiềm năng.

55

CHƯƠNG 3: VẬN DỤNG XÂY DỰNG QUY TRÌNH VÀ THỦ

TỤC KIỂM TOÁN CNTT TRONG KIỂM TOÁN BCTC TẠI

VIỆT NAM

3.1 GIẢI PHÁP CHUNG

Kiểm toán CNTT xuất hiện ở Việt Nam khi các doanh nghiệp áp dụng rộng rãi

CNTT vào việc quản lý để đưa ra các quyết định nhanh chóng. Việt Nam đang bắt

kịp với xu hướng thế giới khi tỷ lệ doanh nghiệp ứng dụng các hệ thống quản trị

nguồn lực ngày càng tăng dù còn khiêm tốn. Tất các các luồng nghiệp vụ của doanh

nghiệp, từ lúc mua hàng đến lúc thanh toán, đặt hàng và thu tiền khách hàng đều

được ghi nhận và kiểm soát hầu hết trên hệ thống CNTT. Công việc kiểm toán lúc

này có sự thay đổi, các công tác soát xét thủ công chiếm phần lớn trong thủ tục

kiểm toán được thay thế bằng kiểm toán hệ thống để cuộc kiểm toán hiệu quả hơn.

Do đặc điểm phát sinh của kiểm toán CNTT bắt nguồn từ nhu cầu thực tiễn và tự

hoàn thiện để đáp ứng nhu cầu thực tiễn, việc thiếu sự quản lý của nhà nước và hội

nghề nghiệp trong giai đoạn đầu là không thể tránh khỏi. Cụ thể:

- Việt Nam đã xây dựng thành công Luật kiểm toán và Bộ chuẩn mực kiểm

toán nhằm điều tiết hoạt động kiểm toán báo cáo tài chính, kiểm toán tuân

thủ và kiểm toán hoạt động phù hợp với môi trường phát triển của Việt Nam

nói chung và môi trường kế toán Việt Nam nói riêng. Hoạt động kiểm toán

CNTT xuất hiện sau và tồn tại dưới cả ba hình thức kiểm toán trên nhưng

chưa được đề cập và hướng dẫn trong các văn bản liên quan.

- Hoạt động thi và cấp chứng chỉ KTV của VACPA có điều khoản mở rộng chấp nhận hoặc chấp nhận từng phần (yêu cầu thi bổ sung) 9 đối với những

người đã đạt các chứng chỉ chuyên gia kế toán hoặc chứng chỉ kiểm toán

viên của các tổ chức nghề nghiệp nước ngoài nhưng loại trừ chứng chỉ kiểm

9 Điều 10, Điều 11 và Điều 12 – Thông tư số 129/2012/TT-BTC ban hành ngày 09 tháng 8 năm 2012 bởi Bộ Tài Chính, quy định Quy định về việc thi và cấp chứng chỉ kiểm toán viên và chứng chỉ hành nghề kế toán.

56

toán viên hệ thống cấp bởi ISACA. Chứng chỉ KTV của VACPA không bao

gồm chức năng kiểm toán hệ thống.

- Chuẩn mực kiểm toán Việt Nam định nghĩa chuyên gia là “Là cá nhân hoặc

tổ chức có kinh nghiệm chuyên môn trong một lĩnh vực riêng biệt ngoài lĩnh

vực kế toán, kiểm toán” (Đoạn 06, VSA 620); chuẩn mực không căn cứ trên

bằng cấp hoặc chứng chỉ chuyên môn là những văn kiện có tính pháp lý làm

điều kiện tối thiểu để xác định chuyên gia.

- Chưa có chương trình đào tạo kiểm toán viên hệ thống chính thức tại Việt

Nam vì yêu cầu thực tiễn đòi hỏi kiểm toán viên hệ thống phải được trang bị

song song kiến thức về tài chính kế toán và CNTT.

Việc định hướng xây dựng quy trình và thủ tục kiểm toán tại Việt Nam là một việc

làm cấp thiết đáp ứng nhu cầu thực tế nhằm nâng cao hiệu quả quản lý của Hội nghề

nghiệp đối với chất lượng kiểm toán, đồng thời chuẩn hóa các hoạt động kiểm toán

vốn đang trong giai đoạn phát triển tại thị trường Việt Nam. Việc định hướng cần

phải đảm bảo các tiêu chí sau:

• Quy trình và thủ tục kiểm toán phù hợp với chuẩn mực và thông lệ quốc tế.

Việc xây dựng quy trình và thủ tục kiểm toán phù hợp với chuẩn mực và thông

lệ quốc tế sẽ giúp Việt Nam thực hiện được hai mục tiêu:

- Đảm bảo sự hội nhập: các tiêu chuẩn đánh giá của Việt Nam sẽ tương đồng

với các tiêu chuẩn đánh giá của quốc tế, như vậy việc hòa nhập với nền kinh

tế toàn cầu sẽ rút ngắn khoảng cách.

- Đảm bảo tính đồng bộ của hệ thống kế toán: hệ thống chuẩn mực của Việt

Nam hiện nay đều dựa vào chuẩn mực quốc tế, vì vậy định giá phù hợp theo

chuẩn mực quốc tế và thông lệ quốc tế để đảm báo tính thống nhất giữa các

chuẩn mực.

57

• Quy trình và thủ tục kiểm toán phù hợp với đặc điểm Việt Nam.

Việc xây dựng quy trình và thủ tục kiểm toán phù hợp với chuẩn mực và thông

lệ quốc tế sẽ giúp Việt Nam thực hiện được hai mục tiêu:

- Môi trường kinh doanh hiện có từng bước theo xu hướng quốc tế hoá. Song

song với sự phát triển của các doanh nghiệp Việt Nam, sự mở rộng của các

doanh nghiệp có vốn đầu tư nước ngoài làm cho môi trường kinh doanh

chuyển dần theo thông lệ quốc tế.

- Liên kết hệ thống pháp lý, bao gồm các văn bản về kế toán, kiểm toán, các

hướng dẫn từ các đơn vị có liên quan.

Các mục tiêu trong giai đoạn hiện nay là hoàn thiện các chuẩn mực đã ban hành,

làm rõ các yêu cầu về kiểm toán CNTT để triển khai áp dụng thực tế một cách đồng

nhất và khoa học. Mục tiêu dài hạn là việc xây dựng chương trình đào tạo đội ngũ

kiểm toán viên hệ thống để bổ sung cho thị trường lao động vốn đang thiếu hụt

nhân lực có chuyên môn và có kinh nghiệm, đặc biệt là kinh nghiệm tại môi trường

doanh nghiệp Việt Nam. Để đạt được các mục tiêu trên, luận văn đề xuất thực hiện

các giải pháp sau:

• Ban hành các hướng dẫn giải thích về kiểm toán CNTT

Phổ biến phạm trù kiểm toán công nghệ thông tin mang lại nhiều lợi ích cho xã hội.

Trong ngắn hạn, việc ban hành các hướng dẫn giải thích về kiểm toán hệ thống sẽ

có các tác động sau:

- Thu hút sự quan tâm của các doanh nghiệp về loại hình dịch vụ đảm bảo

mới, tạo cơ hội cho các công ty cung cấp dịch vụ kiểm toán và đảm bảo cùng

khai thác thị trường tiềm năng.

- Tạo sự quan tâm của công chúng nói chung và những người sử dụng báo cáo

kiểm toán nói riêng, gia tăng sự giám sát của công chúng và hội nghề nghiệp

với hoạt động kiểm toán.

58

Trong dài hạn:

- Tạo nguồn cung nhân lực có chuyên môn được đào tạo trực tiếp để trở thành

kiểm toán viên hệ thống, giảm áp lực cho mục tiêu toàn dụng lao động do có

sự thúc đẩy của cầu lao động.

- Giảm khoản cách kỳ vọng kiểm toán thông qua việc hạn chế các kỳ vọng

không hợp lý của công chúng về kết quả kiểm toán.

• Hoàn thiện các chuẩn mực đã ban hành và ban hành các văn bản pháp lý,

chuẩn mực mới

Trong ngắn hạn, hoàn thiện các chuẩn mực đã ban hành giúp các chuẩn mực bám

sát với tình hình thực tế nhằm tăng khả năng điều tiết và quản lý của hội nghề

nghiệp, từ đó kiểm soát được chất lượng kiểm toán.

Trong dài hạn, công tác soạn thảo các các văn bản pháp lý và chuẩn mực mới dựa

trên nền tảng chuẩn mực và thông lệ quốc tế giúp Việt Nam thúc đẩy hội nhập và

tạo môi trường pháp lý đồng bộ với thế giới cho các doanh nghiệp hoạt động, đặc

biệt là nhóm các doanh nghiệp nước ngoài đầu tư tại Việt Nam và nhóm doanh

nghiệp trong nước đầu tư tại nước ngoài. Ngoài ra, có thể tái ban hành VSA 401 có

sửa đổi bổ sung để tạo mối liên kết với chuẩn mực quốc tế.

Hơn nữa, công tác hoàn thiện, sửa đổi và bổ sung chuẩn mực giúp rút ngắn khoản

cách kỳ vọng kiểm toán do hạn chế được khoản cách chuẩn mực và khoản cách

thực hiện.

• Ban hành quy trình và thủ tục kiểm toán mẫu

Hội kiểm toán viên hành nghề Việt Nam (VACPA) đã xây dựng Chương trình kiểm

toán mẫu trong khuôn khổ Dự án “Tăng cường năng lực Hội kiểm toán viên hành

nghề Việt Nam” do Ngân hàng thế giới tài trợ và đã chính thức ban hành tại Quyết

định số 1089/QĐ-VACPA ngày 01/10/2010 của Chủ tịch Hội kiểm toán viên hành

nghề Việt Nam. Trong chương trình kiểm toán mẫu bao gồm các quy trình và thủ

tục kiểm toán gợi ý giúp định hướng cho KTV thực hiện các thủ tục bám sát mục

59

tiêu kiểm toán và dựa trên tinh thần chuẩn mực hiện hành. Việc hoàn thiện chuẩn

mực để phản ánh kịp thời tình hình thực tế dẫn đến việc cập nhật chương trình kiểm

toán mẫu để tiếp tục duy trì năng lực KTV.

Việc ban hành quy trình và thủ tục kiểm toán mẫu đẩy mạnh tính nhất quán của chất

lượng kiểm toán tại các công ty kiểm toán, giúp cho các công ty kiểm toán nhỏ tăng

cường năng lực, nâng cao chất lượng chung của toàn ngành kiểm toán và tăng

cường tính cạnh tranh. Kiểm toán chất lượng dẫn đến báo cáo tài chính chất lượng,

nâng cao tính chính trực và độ tin cậy của báo cáo tài chính đối với nhà đầu tư và

công chúng.

3.2 GIẢI PHÁP CỤ THỂ

3.2.1 Ban hành các khái niệm liên quan đến kiểm toán CNTT

Kiểm toán CNTT là quy trình thu thập và đánh giá bằng chứng để xác minh một hệ

thống thông tin và các nguồn tài nguyên khác có đảm bảo an toàn tài sản, toàn vẹn

dữ liệu, hệ thống minh bạch, đạt được mục đích tổ chức một cách hữu hiệu và tiêu

thụ tài nguyên một cách hiệu quả; và hệ thống kiểm soát nội bộ cung cấp sự bảo

đảm hợp lý rằng hoạt động kinh doanh và các mục tiêu kiểm soát tiếp cận được

nhau; và các sự kiện không mong muốn sẽ bị ngăn chặn, hoặc phát hiện, hoặc được

hiệu chỉnh kịp thời. (CISA review manual, trang 48)

Kiểm soát hệ thống tổng quát là các kiểm soát áp dụng cho từng bộ phận của hệ

thống, quy trình và dữ diệu của một tổ chức định trước hoặc của một môi trường tin

học. Bao gồm các nhân tố chính:

- Truy cập vào hệ thống và dữ liệu

- Kiểm soát thay đổi chương trình

- Kiểm soát phát triển ứng dụng

- Kiểm soát vận hành hệ thống

60

Kiểm soát ứng dụng là các ứng dụng tin học hoặc các chương trình kiểm soát vận

hành tự động được thiết kế để đảm bảo tính đầy đủ và chính xác của dữ liệu từ đầu

vào đến đầu ra. Bao gồm các nhân tố chính:

- Báo cáo

- Thiết lập và hệ thống các tài khoản

- Kiểm soát giao thức

- Truy cập hệ thống

3.2.2 Chuẩn hóa quy trình lập kế hoạch và thực hiện kiểm toán CNTT theo

chuẩn mực quốc tế

Hiện tại, có thể nói Việt Nam chưa có cơ sở pháp lý đầy đủ và các chuẩn mực chính

thức cho một cuộc kiểm toán CNTT nói chung và cho cuộc kiểm toán BCTC có ứng

dụng kiểm toán CNTT nói riêng mà chỉ dừng ở mức sơ khai là kiểm toán trong môi

trường tin học. Qua đánh giá thực trạng cũng cho thấy, tỷ lệ các công ty kiểm toán

đã xây dựng quy trình nói trên chỉ hạn chế trong phạm vi Big 4, mặt khác, đứng

trước thực tiễn môi trường doanh nghiệp Việt Nam đang hội nhập với thế giới trong

việc ứng dụng CNTT vào trong hoạt động mà tiên phong ở Việt Nam là các doanh

nghiệp có quy mô lớn hoặc có nguồn gốc nước ngoài. Môi trường hiện tại hội tụ đủ

điều kiện để áp dụng toàn bộ các chuẩn mực, hướng dẫn của quốc tế vào Việt Nam.

Bộ tài chính nên có văn bản chỉ đạo, ủy quyền cho hội kiểm toán viên hành nghề

Việt Nam thực hiện dịch thuật và chuyển thể các chuẩn mực, hướng dẫn quốc tế

sang tiếng Việt và chính thức ban hành song song với chuẩn mực kiểm toán Việt

Nam. Danh sách các chuẩn mực quốc tế hiện đang lưu hành cần được chuyển thể:

Số hiệu quốc tế Tên chuẩn mực kiểm toán CNTT quốc tế

1001 1002 1003 1004 Audit Charter Organisational Independence Professional Independence Reasonable Expectation

Điều lệ kiểm toán Độc lập có tổ chức Độc lập chuyên nghiệp Kỳ vọng hợp lý Trách nhiệm chăm sóc chuyên nghiệp Sự thành thạo 1005 1006 Due Professional Care Proficiency

61

Số hiệu quốc tế Tên chuẩn mực kiểm toán CNTT quốc tế

1007 1008 1201 Assertions Criteria Engagement Planning

1202 1203 1204 1205 Risk Assessment in Planning Performance and Supervision Materiality Evidence

1206 Using the Work of Other Experts

1207 1401 1402 Irregularity and Illegal Acts Reporting Follow-up Activities Cơ sở dẫn liệu Tiêu chuẩn Kế hoạch kiểm toán Tiếp cận rủi ro trong lập kế hoạch Thực hiện và giám sát Mức trọng yếu Bằng chứng Sử dụng công việc của các chuyên gia khác Hành vi trái luật và bất hợp pháp Báo cáo Hoạt động theo sau

(Nguồn: http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-

Audit-and-Assurance/Pages/Standards-for-IT-Audit-and-Assurance-English.aspx)

Việc lập kế hoạch phải dựa theo những định hướng sau:

- Mục tiêu, phạm vi, thời biểu và sản phẩm bàn giao

- Phù hợp với luật pháp và các chuẩn mực chuyên môn

- Sử dụng phương pháp tiếp cận dựa trên rủi ro khi thấy phù hợp

- Các vấn đề đặc trưng của cuộc kiểm toán

- Tài liệu và các quy định về báo cáo

Chương trình kiểm toán bao gồm các thủ tục cơ bản:

- Tiếp nhận và ghi chú các hiểu biết về lĩnh vực hoặc chủ thể kiểm toán

- Lên kế hoạch kiểm toán chi tiết bao gồm các bước kiểm toán CNTT và liệt

kê các công việc tương ứng với thời gian biểu

- Soát xét sơ bộ lĩnh vực hoặc chủ thể kiểm toán

- Đánh giá lĩnh vực hoặc chủ thể kiểm toán

- Nhận diện và đánh giá mức độ phù hợp của các kiểm soát có phù hợp với

mục tiêu kiểm soát

62

o Xác định các khoản mục và thuyết minh trọng yếu, cơ sở dẫn liệu cho

báo cáo tài chính, tìm hiểu quy trình xử lý thông tin.

o Tìm hiểu cấp độ xử lý trong hệ thống của doanh nghiệp và nhận diện các kiểm soát, lựa chọn kiểm soát tương ứng với khoản mục và thuyết

minh trọng yếu

o Xem xét kiểm soát hệ thống tổng quát, xác định và lựa chọn các kiểm

soát chung bao trùm các kiểm soát xử lý

o Thực hiện các thủ tục kiểm tra đối với kiểm soát tự động, thủ công

hoặc hỗn hợp và kiểm soát chung của môi trường

o Kết luận về kiểm soát hệ thống tổng quát và tìm kiếm các kiểm soát

tổng quát khác thay thế nếu kiểm soát đó kém hữu hiệu

o Đánh giá các kết quả ảnh hưởng đến kiểm soát hoạt động o Kết luận về độ tin cậy của hệ thống và tiến hành tiếp các thủ tục kiểm

toán BCTC theo chương trình kiểm toán đã định

- Báo cáo và thực hiện các công việc theo sau

3.2.3 Phối hợp với các bên liên quan xây dựng đồng bộ cơ sở hạ tầng và kiến

trúc liên quan

Nhà trường: xúc tiến nhóm nghiên cứu khoa học về lĩnh vực kiểm toán CNTT nói

chung và trong BCTC nói riêng. Phối hợp với các cơ quan nhà nước, các công ty

kiểm toán để tổ chức các hội thảo chuyên đề, nắm bắt nhu cầu và cập nhật xu thế

phát triển để xây dựng chương trình đào tạo kịp thời. Cung cấp cho thị trường lao

động có tay nghề, kiến thức và kỹ năng cần thiết trong lĩnh vực mới.

Kết hợp với các trung tâm đào tạo nước ngoài nhằm đưa một phần hoặc toàn bộ

chương trình đào tạo chứng chỉ nghề vào chương trình học đại học hoặc cao đẳng

nhằm nâng cao chất lượng giáo dục, duy trì mức độ sâu sát giữa giáo dục và thực tế.

Các công cty kiểm toán: phối hợp với nhà trường và các cơ quan nhà nước, tham

gia các hội thảo nhằm cập nhật các thông tin về các công cụ quản trị mới, xu thế

63

phát triển của thế giới nhằm định hướng giáo dục trong việc xây dựng kế hoạch đào

tạo; định hướng cho pháp lý bắt kịp với thực tế.

Nhà nước: Bộ tài chính, Hiệp hội Kiểm toán Việt Nam phối hợp với các công ty

kiểm toán thống nhất các khái niệm và thuật ngữ nhằm triển khai đồng bộ các chuẩn

mực và hướng dẫn quốc tế, cung cấp bộ chương trình kiểm toán mẫu. Viện Tin học

Doanh nghiệp, Phòng Thương mại và Công nghiệp Việt Nam xúc tiến triển khai

CNTT vào môi trường doanh nghiệp thông qua các dự án khảo sát, tư vấn và tọa

đàm với doanh nghiệp.

KẾT LUẬN CHƯƠNG 3

Với những hạn chế còn tồn tại trong Hệ thống Chuẩn mực Kiểm toán Việt Nam

hiện hành, luận văn đưa ra các giải pháp kèm theo những kiến nghị nhằm hoàn thiện

Hệ thống Chuẩn mực Kiểm toán Việt Nam theo hướng hòa hợp và hội tụ với Chuẩn

mực Kiểm toán quốc tế nhằm góp phần nâng cao độ tin cậy của BCTC và gia tăng

hiệu quả các cuộc kiểm toán BCTC được thực hiện bởi các công ty cung cấp dịch

vụ kiểm toán và đảm bảo. Các giải pháp đề xuất chỉ có thể thực hiện trong thực tiễn

khi có sự phối hợp của các cơ quan chức năng như Bộ Tài Chính, Hội Kiểm toán

viên hành nghề Việt Nam (VACPA) cùng với sự hỗ trợ của các ban ngành trong

việc định hướng và phát triển lĩnh vực CNTT, đặc biệt là ứng dụng CNTT vào trong

hoạt động quản lý của doanh nghiệp.

64

KẾT LUẬN

Kiểm toán Hệ thống CNTT có lịch sử phát triển tương đối ngắn so với các loại hình

kiểm toán khác nhưng có vai trò lớn trong bối cảnh các doanh nghiệp ứng dụng

CNTT ngày càng sâu vào công tác quản lý. Xu hướng tích hợp CNTT vào trong

hoạt động doanh nghiệp càng thể hiện rõ trong những năm gần đây khi công nghệ

phát triển nhanh chóng giúp cho các hoạt động thủ công trước đây trở nên không

hiệu quả và bị thay thế bởi các hoạt động tự động. Cũng chính vì thế, hoạt động

kiểm toán cũng phải thay đổi cho phù hợp và kiểm toán Hệ thống CNTT ra đời

nhằm đáp ứng yêu cầu đó.

Kiểm toán Hệ thống CNTT xuất hiện tại Việt Nam tương đối muộn so với thế giới.

Với lợi thế là một quốc gia ổn định về chính trị, có điều kiện tại nguyên và nguồn

lao động phổ thông, Việt Nam thu hút nhiều tập đoàn lớn và các công ty nước ngoài

đầu tư tại đây. Cũng chính vì thế, quá trình hội nhập diễn ra nhanh chóng với những

phương pháp quản lý tiên tiến được đưa vào Việt Nam, trong đó xu hướng ứng

dụng các hệ thống quản trị nguồn lực trong doanh nghiệp là điều tất yếu. Từ đó tạo

điều kiện cho Kiểm toán Hệ thống CNTT xuất hiện.

Đứng trước thực tế đó, Việt Nam cần phải có những bước chuẩn bị thiết thực nhằm

đưa hoạt động kiểm toán mới này vào trong sự quản lý để đảm bảo sự đồng bộ,

thống nhất. Đồng thời tạo điều kiện để loại hình hoạt động này được phát triển,

mang lại những đóng góp trực tiếp và gián tiếp cho đất nước.

TÀI LIỆU THAM KHẢO

I. Danh mục tài liệu tiếng Việt:

1. Bộ môn kiểm toán trường Đại học Kinh tế Thành phố Hồ Chí Minh, 2010.

Kiểm soát nội bộ, Nhà xuất bản Phương Đông.

2. Cao Thị Cúc, 2013. Vận dụng chuẩn mực kế toán quốc tế để hoàn thiện báo cáo

tài chính tại các công ty niêm yết Việt Nam nhằm nâng cao hữu ích của thông

tin cho các nhà đầu tư. Luận văn thạc sĩ kinh tế, trường Đại học Kinh tế Thành

phố Hồ Chí Minh.

3. Hồ Tuấn Vũ, 2013. Giải pháp hạn chế rủi ro tiềm ẩn đối với hoạt động kiểm

soát trong môi trường tin học.

che-rui-ro-tiem-an-doi-voi-hoat-dong-kiem-soat-trong-moi-truong-tin-hoc-ths.-

ho-tuan-vu> [Ngày truy cập: 05/05/2014]

4. Hội kiểm toán viên hành nghề Việt Nam, 2013. Báo cáo tổng kết hoạt động

năm 2012 và phương hướng hoạt động năm 2013 của các công ty kiểm toán.

&idinfo=3363&idtype=91> [Ngày truy cập: 01/06/2014]

5. Huỳnh Thị Hồng Hạnh và Nguyễn Mạnh Toàn, 2011. Kiểm soát và đảm bảo an

toàn hệ thống thông tin kế toán trong điều kiện tin học hóa. Tạp chí Khoa học

và công nghệ, số 44, trang 3.

6. Kiểm toán nhà nước, 2013. Các giải pháp nâng cao chất lượng kiểm toán hoạt động. < http://www.sav.gov.vn/2866-1-ndt/cac-giai-phap-nang-cao-chat-luong-

kiem-toan-hoat-dong.sav> [Ngày truy cập: 14/05/2014]

7. Nguyễn Bích Liên, 2012. Xác định và kiểm soát các nhân tố ảnh hưởng chất

lượng thông tin kế toán trong môi trường ứng dụng hệ thống hoạch định nguồn

lực doanh nghiệp tại các doanh nghiệp Việt Nam. Luận án tiến sĩ kinh tế,

trường Đại học Kinh tế Thành phố Hồ Chí Minh.

8. Nguyễn Thị Kim Thanh, 2010. Vai trò của công nghệ ngân hàng trong chiến

lược phát triển ngân hàng giai đoạn 2011-2020. Tạp chí Ngân hàng, số 13,

trang 15.

9. Trần Mạnh Dũng và Lại Thị Thu Thủy, 2013. Khoảng cách kỳ vọng trong kiểm

toán. Tạp chí Kế toán và Kiểm toán, số 5, trang 23

10. Trần Thị Giang Tân, 2011. Cơ sở lý luận và thực tiễn của việc thiết lập các quy

định về kiểm soát chất lượng cho hoạt động kiểm toán độc lập ở Việt Nam. Đề

tài nghiên cứu cấp bộ, trường Đại học kinh tế TP Hồ Chí Minh.

11. Trần Thanh Thúy, 2011. Tình hình ứng dụng ERP và sự tác động của ERP đến

tổ chức hệ thống thông tin kế toán tại các doanh nghiệp Việt Nam. Luận án thạc

sĩ kinh tế, trường Đại học Kinh tế Thành phố Hồ Chí Minh.

12. Vũ Thị Ngọc Thảo, 2012. Ứng dụng công nghệ thông tin vào kế toán và kiểm

soát tại các doanh nghiệp nhỏ và vừa Việt Nam. Luận văn thạc sĩ kinh tế,

trường Đại học Kinh tế Thành phố Hồ Chí Minh.

II. Danh mục tài liệu tiếng Anh:

13. ISACA, 2013. Standards for IS Audit and Assurance.

Audit-and-Assurance/Pages/Standards-for-IT-Audit-and-Assurance-

English.aspx> [Ngày truy cập: 30/05/2014]

14. ISACA, 2013. IS Audit and Assurance Guidelines.

Audit-and-Assurance/Pages/IT-Audit-and-Assurance-Guidelines.aspx> [Ngày

truy cập: 30/05/2014]

15. ISACA, 2013. IS Audit and Assurance Standards and Guidelines Awaiting

Final Approval

Audit-and-Assurance/Pages/Exposure-Documents.aspx> [Ngày truy cập:

30/05/2014]

16. ISACA, 2013. CISA review manual.

17. ISACA, 2007. CobiT 4.1. United States of America.

18. ISACA, 2007. IT Governance Implementation Guide: Using CobiT and Val IT,

United States of America.

19. Laudon, K. C. & Laudon, J. P., 1995. Essentials of Management Information

Systems- Organization and Technology, Prentice Hall.

20. Richard A. Goodman, Michael W. Lawless (1994). Technology and strategy:

conceptual models and diagnostics. Oxford University Press US.

21. Ron A. Weber, 1998. Information Systems Control and Audit, JSW Media.

PHỤ LỤC

Phụ lục 1: Danh sách các công ty kiểm toán thực hiện kiểm toán CNTT trong kiểm

toán BCTC đã khảo sát

Phụ lục 2: Danh sách cá nhân thuộc các công ty có xây dựng quy trình và thủ tục

kiểm toán CNTT tham gia phỏng vấn

Phụ lục 3: Danh mục các chuẩn mực kiểm toán CNTT quốc tế đã ban hành

Phụ lục 4: Danh mục các hướng dẫn chuẩn mực kiểm toán và bảo đảm hệ thống

CNTT quốc tế đã ban hành

Phụ lục 5: Bảng câu hỏi về quy trình và thủ tục kiểm toán CNTT trong kiểm toán

BCTC tại VN

Phụ lục 6: Ví dụ minh họa

PHỤ LỤC 1

Danh sách các cuộc kiểm toán BCTC ứng dụng quy trình và thủ tục kiểm toán

CNTT đã khảo sát

STT Đơn vị kiểm toán Tên khách hàng

1 Công ty TNHH KPMG Việt Nam

2 Công ty TNHH KPMG Việt Nam

3 Công ty TNHH KPMG Việt Nam Công ty Cổ phần Chứng khoán Thiên Việt Công ty Cổ phần Chứng khoán Phú Hưng Ngân hàng TMCP Quân đội

4 Công ty TNHH KPMG Việt Nam

5 Công ty TNHH KPMG Việt Nam

6 Công ty TNHH KPMG Việt Nam

7

8

9 Công ty TNHH Ernst & Young Việt Nam Công ty TNHH Ernst & Young Việt Nam Công ty TNHH Ernst & Young Việt Nam

10 Công ty TNHH Ernst & Young Việt Nam

11 Công ty TNHH Ernst & Young Việt Ngân Hàng TNHH Một Thành Viên HSBC Việt Nam Công ty TNHH Samsung SDI Việt Nam Công ty TNHH Dinh Dưỡng Á Châu (Asia Nutrition) Ngân hàng TMCP Kỹ thương Việt Nam (Techcombank) Ngân hàng TMCP Phát triển TP.HCM (HDBank) Công ty Nước giải khát Quốc tế PepsiCo Việt Nam Công ty TNHH Xi măng Holcim Việt Nam Công ty TNHH II-VI Việt Nam Nam

12 Công ty TNHH PricewaterhouseCoopers Việt Nam

13 Công ty TNHH Ngân hàng TMCP Sài Gòn Thương Tín (Sacombank) Ngân hàng Commonwealth Việt Nam PricewaterhouseCoopers Việt Nam

14 Công ty TNHH PricewaterhouseCoopers Việt Nam

15 Công ty TNHH Công ty Cổ phần sữa Việt nam (Vinamilk) Công ty Cổ phần Tôn Hoa Sen PricewaterhouseCoopers Việt Nam

16 Công ty TNHH Công ty Cổ phần Nhựa Rạng Đông PricewaterhouseCoopers Việt Nam

17 Công ty TNHH Deloitte Việt Nam Ngân hàng Công Thương Việt Nam (Vietinbank)

18 Công ty TNHH Deloitte Việt Nam Ngân hàng TMCP đầu tư và phát triển VN (BIDV)

STT Đơn vị kiểm toán Tên khách hàng

19 Công ty TNHH Deloitte Việt Nam Ngân hàng Thương mại Cổ phần ACB

20 Công ty TNHH Deloitte Việt Nam Công Ty TNHH Perfetti Van Melle Việt Nam

(Nguồn: tác giả tổng hợp)

PHỤ LỤC 2

Danh sách cá nhân thuộc các công ty có xây dựng quy trình và thủ tục kiểm toán

CNTT tham gia phỏng vấn

STT Đơn vị kiểm toán Tên cá nhân Vị trí

1 Nguyễn Vĩnh Nghi Trưởng phòng

2 Nguyễn Chí Thành Phó phòng

3 Nguyễn Thị Hoàng Yến Phó phòng

4 Nguyễn Hoàn Hảo Trưởng nhóm

5 Phạm Thúy Vy Phó phòng

6 Ngô Thị Thúy Hòa Phó phòng

7 Lê Minh Ngân Trưởng nhóm

8 Lư Ngọc Trâm Trưởng nhóm

9 Nguyễn Quốc Anh Huy Phó phòng

Công ty TNHH KPMG Việt Nam Công ty TNHH KPMG Việt Nam Công ty TNHH KPMG Việt Nam Công ty TNHH KPMG Việt Nam Công ty TNHH Ernst & Young Việt Nam Công ty TNHH Ernst & Young Việt Nam Công ty TNHH Ernst & Young Việt Nam Công ty TNHH Ernst & Young Việt Nam Công ty TNHH PricewaterhouseCoopers Việt Nam 10 Công ty TNHH Hoàng Quỳnh Tiên Phó phòng

PricewaterhouseCoopers Việt Nam 11 Công ty TNHH Trần Quang Sơn Tùng Trưởng nhóm

PricewaterhouseCoopers Việt Nam 12 Công ty TNHH Trần Đức Cường Trưởng nhóm

PricewaterhouseCoopers Việt Nam

13 Công ty TNHH Deloitte Nguyễn Thanh Hương Phó phòng Việt Nam

14 Công ty TNHH Deloitte Đỗ Trung Kiên Phó phòng Việt Nam

15 Công ty TNHH Deloitte Trần Văn Đoàn Trưởng nhóm Việt Nam

PHỤ LỤC 3

Danh mục các chuẩn mực kiểm toán CNTT quốc tế đã ban hành

Số hiệu Tên chuẩn mực Ngày hiệu lực

1001 1002 1003 1004 1005 1006 1007 1008 1201 1202 1203 1204 1205 1206 1207 1401 1402 Audit Charter Organisational Independence Professional Independence Reasonable Expectation Due Professional Care Proficiency Assertions Criteria Engagement Planning Risk Assessment in Planning Performance and Supervision Materiality Evidence Using the Work of Other Experts Irregularity and Illegal Acts Reporting Follow-up Activities 1/11/2013 1/11/2013 1/11/2013 1/11/2013 1/11/2013 1/11/2013 1/11/2013 1/11/2013 1/11/2013 1/11/2013 1/11/2013 1/11/2013 1/11/2013 1/11/2013 1/11/2013 1/11/2013 1/11/2013

(Nguồn: http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-

Audit-and-Assurance/Pages/Standards-for-IT-Audit-and-Assurance-English.aspx)

PHỤ LỤC 4

Danh mục các hướng dẫn chuẩn mực kiểm toán và bảo đảm hệ thống CNTT quốc tế đã ban hành.

Số hiệu Tên hướng dẫn Ngày hiệu lực

2001 2002 2003 2004 2005 2006 2007 2008 2201 2202 2203 2204 2205 2206 2207 2208 2401 2402 Audit Charter Organisational Independence Professional Independence Reasonable Expectation Due Professional Care Proficiency Assertions Criteria Engagement Planning Risk Assessment in Audit Planning Performance and Supervision Materiality Evidence Using the Work of Other Experts Irregularity and Illegal Acts Audit Sampling Reporting Follow-up Activities 1/9/2014 1/9/2014 1/9/2014 1/9/2014 1/9/2014 1/9/2014 1/9/2014 1/9/2014 1/9/2014 1/9/2014 1/9/2014 1/9/2014 1/9/2014 1/9/2014 1/9/2014 1/9/2014 1/9/2014 1/9/2014

(Nguồn: http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-

Audit-and-Assurance/Pages/IT-Audit-and-Assurance-Guidelines.aspx)

PHỤ LỤC 5

BẢNG CÂU HỎI VỀ QUY TRÌNH VÀ THỦ TỤC KIỂM TOÁN CÔNG

NGHỆ THÔNG TIN TRONG KIỂM TOÁN BÁO CÁO TÀI CHÍNH

TẠI VIỆT NAM

Kính chào Anh/Chị,

Tôi tên là Ngũ Thái Ngọc Khiêm – học viên cao học tại Đại học Kinh tế Tp. Hồ Chí

Minh. Hiện nay tôi đang nghiên cứu đề tài “Vận dụng chuẩn mực quốc tế để xây

dựng quy trình và thủ tục kiểm toán hệ thống công nghệ thông tin trong kiểm toán

báo cáo tài chính tại Việt Nam”. Quá trình nghiên cứu cần dựa vào những thông tin

thực tế từ các công ty kiểm toán hoạt động tại Việt Nam có thực hiện kiểm toán

HTCNTT trong cuộc kiểm toán BCTC cho các khách hàng được kiểm toán từ trước

đến nay.

Mong các Anh/Chị dành chút thời gian trả lời bảng câu hỏi hoặc tham gia phỏng

vấn trực tiếp với tôi. Không có câu trả lời đúng hay sai và toàn bộ dữ liệu thu thập

được chỉ dùng cho việc kiểm chứng những lý thuyết trong chủ đề này. Tôi xin cam

đoan giữ bí mật các câu trả lời và chỉ sử dụng kết hợp với kết quả của những người

khác với mục đích nghiên cứu.

Chân thành cảm ơn và rất mong sự giúp đỡ của Anh/Chị.

Trong quá trình thực hiện bảng câu hỏi, vui lòng không bỏ trống các câu hỏi có

đánh dấu (*).

A. THÔNG TIN NGƯỜI THAM GIA KHẢO SÁT

Anh/Chị vui lòng cho biết các thông tin sau.

Họ và tên: .....................................................................................................

Đơn vị công tác (*): .....................................................................................................

Thời gian công tác (*): ............ (tháng) Vị trí công tác hiện tại (*): .............................

Điện thoại liên hệ (*): .......................... Thư điện tử (*): .............................................

B. THÔNG TIN VỀ ĐƠN VỊ CÔNG TÁC

Cụm từ “Công ty” trong các câu hỏi sau đề cập đến công ty kiểm toán Anh/Chị

đang công tác hiện nay

1. Hiện tại, công ty có quy trình và thủ tục kiểm toán hệ thống công nghệ thông

tin hay không? Nếu không, xin vui lòng dừng thực hiện phần câu hỏi này và

chuyển sang mục C. (*)

Có

⃝ Không

⃝ 2. Quy trình và thủ tục kiểm toán hệ thống công nghệ thông tin (“HTCNTT”)

có được áp dụng cho cuộc kiểm toán BCTC nào được công ty kiểm toán từ

trước đến nay không? (*)

Có

Không ⃝

⃝ 3. Anh/Chị đã từng tham gia vào cuộc kiểm toán BCTC có áp dụng thủ tục

kiểm toán HTCNTT không? Nếu không, xin vui lòng dừng thực hiện phần

câu hỏi này và chuyển sang mục C. (*)

Có

Không ⃝

⃝ 4. Anh/Chị vui lòng cho biết tối thiểu một tên khách hàng (kèm loại hình doanh

nghiệp) mà cuộc kiểm toán BCTC của khách hàng đó có áp dụng thủ tục

kiểm toán HTCNTT.

i. ........................................................................................ (*)

ii. ..........................................................................................

iii. ........................................................................................

5. Anh/Chị vui lòng cho biết tên HTCNTT áp dụng tại đơn vị khách hàng được

kiểm toán theo thứ tự trả lời được liệt kê ở câu hỏi 4.

i. ...........................................................................................

ii. ..........................................................................................

iii. ........................................................................................

6. Các thông tin tài chính, kế toán có được tính toán và quản lý bởi các hệ thống

kể trên hay không? (*)

Có

Không ⃝

⃝ 7. Nếu sự cố kỹ thuật xảy ra, các thủ tục xử lý thủ công có thể thay thế hệ thống

kể trên hay không? (*)

Có

Không ⃝

⃝ 8. Các thủ tục kiểm soát có bị lệ thuộc vào các chức năng của hệ thống kể trên

hay không? (*)

Có

Không ⃝

⃝ 9. Các thủ tục kiểm soát có bị lệ thuộc vào các báo cáo xuất ra bởi hệ thống kể

trên hay không? (*)

Có

Không ⃝

⃝ 10. Anh/Chị có biết về bộ khuôn mẫu kiểm toán HTCNTT ban hành bởi

ISACA? (*)

Có

Không ⃝

⃝

11. Anh/Chị đã đọc các chuẩn mực và hướng dẫn kiểm toán HTCNTT ban hành

bởi ISACA? (*)

Có

Không ⃝

⃝ 12. Anh/Chị có nhận thấy sự khác biệt giữa quy trình và thủ tục kiểm toán

HTCNTT được xây dựng bởi công ty so với ISACA? (*)

Có

Không ⃝

⃝ Nếu có sự khác biệt, Anh/Chị vui lòng cung cấp bằng chứng về sự khác

biệt đó hoặc trao đổi trực tiếp thông qua thông tin liên hệ cuối bảng câu

hỏi (không bắt buộc).

C. THÔNG TIN KHÁC

1. Cho phép tôi liên hệ với Anh/Chị thông qua điện thoại và thư điện tử cung

cấp ở mục A bảng câu hỏi này.

Có

Không ⃝

2. Vui lòng tham chiếu đến người mà anh chị cho rằng: ⃝

- người đó trực tiếp tham gia vào cuộc kiểm toán cuộc kiểm toán BCTC có

thực hiện thủ tục kiểm toán HTCNTT, hoặc

- công ty người đó công tác có có thực hiện kiểm toán HTCNTT trong

cuộc kiểm toán BCTC cho các khách hàng được kiểm toán từ trước đến

nay

Người tham chiếu: ...................................... Đơn vị công tác: ...........................

Điện thoại liên hệ: ....................................... Thư điện tử: .................................

Xin cảm ơn Anh/Chị đã dành thời gian thực hiện bảng câu hỏi này. Nếu Anh/Chị

quan tâm đến đề tài, vui lòng liên hệ qua hộp thư điện tử ngockhiem@gmail.com

hoặc trao đổi trực tiếp thông qua số điện thoại (+84) 916.07.04.05. Mọi thông tin

Anh/Chị cung cấp sẽ giúp đề tài được hoàn thiện và hữu ích hơn.

Trân trọng.



PHỤ LỤC 6

Minh họa quy trình và thủ tục kiểm toán HTCNTT trong cuộc kiểm toán

BCTC tại NH HSBC bởi công ty TNHH KPMG Việt Nam

2.2.5.1. Xác định mục tiêu và lập kế hoạch kiểm toán

Do HSBC VN là khách hàng hiện hữu được công ty kiểm toán KPMG cung cấp

dịch vụ từ những năm trước. Kế hoạch chiến lược được cập nhật và phê duyệt, trong

đó vạch ra định hướng phát triển quan hệ và tạo cơ hội hợp tác lâu dài trên các lĩnh

vực khác nhau: kiểm toán, thuế, tư vấn v.v… tương ứng với sự phát triển của HSBC

VN.

Mục tiêu trọng tâm cuộc kiểm toán hiện tại là việc đưa ra ý kiến kiểm toán cho

BCTC của Ngân hàng HSBC Việt Nam cho năm tài chính kết thúc tại ngày 31

tháng 12 năm 2013.

• Hoàn thiện hệ thống kiểm soát thông qua việc phát hiện các khiếm khuyết tiềm

Các mục tiêu khác bao gồm:

• Tổng hợp các mô tả hạn chế hiện hữu trong hoạt động và định hướng cải thiện

tàng

Để đạt được các mục tiêu trên, chủ nhiệm kiểm toán thực hiện quy trình đánh giá

khách hàng và thu thập thông tin để lập kế hoạch kiểm toán tổng thể thông qua việc

trao đổi với ban quản lý của NH HSBC. Quy mô của cuộc kiểm toán được thiết lập

với các thỏa thuận về:

- Thời gian và địa điểm thực hiện kiểm toán thực địa

- Các chuẩn mực, quy định và khuôn mẫu kiểm toán được áp dụng

- Thời gian biểu làm việc và sản phẩm bàn giao ở mỗi giai đoạn

- Số lượng KTV tham dự và trách nhiệm của các bên liên quan.

Trong quá trình lập kế hoạch, chủ nhiệm kiểm toán nhận thấy HSBC Vietnam là

ngân hàng có 100% vốn đầu tư nước ngoài. Với lợi thế công nghệ của một tập đoàn

đa quốc gia, cũng như phục vụ cho mục đích quản lý của công ty mẹ tại nước sở tại,

hệ thống thông tin trong HSBC VN được xây dựng và phát triển mạnh mẽ. Mặt

khác, với bản chất là một ngân hàng thương mại, số lượng nghiệp vụ kinh tế liên

quan đến hoạt động ngân hàng phát sinh mỗi ngày rất lớn và đa dạng (chuyển tiền,

vay và cho vay, mua bán ngoại tệ, ký gửi, nộp tiền và rút tiền v.v…) khối lượng dữ

liệu cần xử lý rất nhiều (hạch toán, theo dõi hạn mức tín dụng, theo dõi tuổi nợ, quy

đổi ngoại tệ, tính lãi phải thu phải trả v.v…), hơn nữa, phạm vi các nghiệp vụ có thể

diễn ra trong và ngoài lãnh thổ Việt Nam, HT CNTT đóng vai trò tối quan trọng

trong việc đảm bảo cho hoạt động của ngân hàng được hoạt động suông sẻ. Các thử

nghiệm kiểm soát và thử nghiệm cơ bản áp dụng cho các khoản mục và thuyết minh

trên BCTC có thể không đem lại hiệu quả do thiếu đi các yếu tố của kế toán truyền

thống:

- Hạch toán tự động thay cho hạch toán thủ công. Hạch toán kế toán không

phải là điểm bắt đầu mà là kết quả của quá trình xử lý thông tin  KTV gặp

khó khăn hoặc không thể truy lại dấu vết nghiệp vụ.

- Chứng từ điện tử thay cho chứng từ giấy, chữ ký số thay cho chữ ký thông

thường  khó khăn hoặc không thể xác minh tính xác thực và hợp lệ

- Sự tham gia của con người trong quá trình thu thập, xử lý dữ liệu là tối thiểu.

Chính vì thế, cần có sự tham gia của chuyên gia trong lĩnh CNTT nhằm hỗ trợ cho

KTV trong việc kiểm toán BCTC. Công việc trên được thực hiện bởi phòng Quản lý

rủi ro thông tin (Information Risk Management – IRM) thuộc bộ phận tư vấn của

KPMG VN. Các KTV và chuyên gia hệ thống sẽ tham gia quá trình kiểm toán thực

địa tại HSBC VN, thực hiện các thủ tục kiểm toán HTCNTT và cho ý kiến đánh giá

về hệ thống.

Kế hoạch kiểm toán được thảo luận bởi nhóm KTV và nhóm chuyên gia để thống

nhất mục tiêu, thời gian, phạm vi và yêu cầu thực hiện theo hướng dẫn của chuẩn

mực. Các thông tin trên được tóm tắt trong mục I, II và III của biên bản ghi nhớ kế

hoạch (Planning memo) và được lưu vào hồ sơ kiểm toán.

Trong quá trình lập kế hoạch, nhóm KTV và chuyên gia hệ thống nhận diện ứng

dụng với các kiểm soát ứng dụng tương ứng thuộc những khoản mục và thuyết

minh trọng yếu cụ thể được liệt kê trong bảng 2.1 và bảng 2.2:

Bảng 2.3: Tổng quan các ứng dụng thuộc phạm vi thử nghiệm bao gồm:

Tên viết tắt Mô tả chức năng Ứng dụng điện tử

HUB HSBC Universal Banking System: Core banking system Hệ thống ngân hàng trung tâm, bao quát toàn bộ hoạt động ngân hàng

TREATS Treasury Trading System: Hệ thống giao dịch tiền tệ và dịch vụ ngoại hối

Treasury and Foreign Exchange Services

WHIRL Bank card management system Hệ thống quản lý thẻ ngân hàng

SMART Report Reporting system from HSBC to State bank Hệ thống báo cáo phục vụ cho NHNN

Bảng 2.4: Các kiểm soát ứng dụng cho khoản mục và thuyết minh trọng yếu tại

Ngân hàng HSBC Việt Nam

Kiểm soát ứng dụng Khoản mục và thuyết minh trọng yếu Chu trình Ứng dụng điện tử

Lãi Chi phí phải trả lãi vay phải trả tiền gửi

ITAC06 - Truy cập để cập nhật lãi suất cơ bản/lãi suất tiền gửi Lãi Chi phí lãi tiền gửi

Lãi Thu nhập từ lãi tiền gửi ITAC08 - Tính toán tự động thu nhập từ lãi - Trái phiếu

S B U H

Lãi Chi phí lãi tiền gửi

Lãi ITAC05 - Tính toán tự động chi phí lãi - Tiền gửi khách hàng Chi phí phải trả lãi vay phải trả tiền gửi

Lãi Lãi phải thu trích trước từ các khoản cho khách hàng vay

Lãi ITAC09 - Tính toán tự động thu nhập từ lãi - Đặt cọc Thu nhập từ lãi tiền gửi

Thu nhập dịch vụ thanh toán ITAC01 - Truy cập để thay đổi tỷ lệ hoa hồng (giao dịch tài chính và kiều hối)

Phí và Hoa hồng Lãi Lãi phải thu trích trước từ các khoản cho khách hàng vay

Lãi

ITAC04 - Tính toán tự động thu nhập từ lãi - Các khoản cho vay và thấu chi Thu nhập từ lãi tiền gửi

Lãi Chi phí lãi tiền gửi

Lãi ITAC10 - Tính toán tự động chi phí lãi Chi phí phải trả lãi vay phải trả tiền gửi

Thu nhập dịch vụ thanh toán Ủy quyền kiều hối (Ngân hàng trực tuyến) Phí và Hoa hồng

Kinh doanh ngoại tệ - Lời ITAC03 - Truy cập tỷ giá hối đoái cơ bản

Sản phẩm phái sinh

ITAC07 - Phí bảo hiểm trái phiếu / giảm giá chứng khoán

Giao dịch chứng khoán nợ

Cấp vốn và Ngoại hối Cấp vốn và Ngoại hối Cấp vốn và Ngoại hối Lãi Thu nhập từ lãi tiền gửi ITAC08 - Tính toán tự động thu nhập từ lãi - Trái phiếu

Lãi Chi phí lãi tiền gửi

ITAC10 - Tính toán tự động chi phí lãi - takings Lãi Trích trước lãi vay phải trả từ các khoản tiền gửi

S T A E R T

Đánh giá lại mỗi ngày Giao dịch chứng khoán nợ

Cấp vốn và Ngoại hối

Sản phẩm phái sinh

Cấp vốn và Ngoại hối Lãi Lãi phải thu trích trước từ các khoản cho khách hàng vay

Lãi ITAC09 - Tính toán tự động thu nhập từ lãi - Đặt cọc Thu nhập từ lãi tiền gửi

Kinh doanh ngoại tệ - Lời ITAC03 - Truy cập tỷ giá hối đoái cơ bản

Sản phẩm phái sinh

ITAC07 - Phí bảo hiểm trái phiếu / giảm giá chứng khoán

Giao dịch chứng khoán nợ

Cấp vốn và Ngoại hối Cấp vốn và Ngoại hối Cấp vốn và Ngoại hối

Credit ITAC11 - Phân loại nhóm nợ theo NHNN Dự phòng cho các khoản cho vay và thấu chi

t r o p e R

T R A M S

Lãi

L R I H W

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

ITAC04 - Tính toán tự động thu nhập từ lãi - Các khoản cho vay và thấu chi Lãi phải thu trích trước từ các khoản cho khách hàng vay Thu nhập từ lãi tiền gửi

Các kiểm soát ứng dụng thuộc cấp độ kiểm soát xử lý (Process Level Control) và

được bao quát bởi cấp kiểm soát cao hơn là kiểm soát hệ thống tổng quát (General

IT Control). Để giảm thiểu khối lượng công việc, KTV và chuyên gia hệ thống xác

định các kiểm soát hệ thống tổng quát để thực hiện các thử nghiệm đánh giá hiệu

quả thông qua các thủ tục quan sát, phỏng vấn v.v… Bảng 2.3 mô tả hoạt động của

các kiểm soát hệ thống tổng quát.

Bảng 2.5: Mô tả hoạt động kiểm soát hệ thống tổng quát tương ứng với các kiểm

soát ứng dụng đã nhận diện tại Ngân hàng HSBC Việt Nam

Truy cập vào hệ thống và dữ liệu - Access to program and data

1 Quản trị truy cập - Access Administration

Khi một nhân viên mới được tuyển dụng, Quản lý khu vực kinh doanh (Business

Area Manager) thông báo cho Phòng IT thông qua hệ thống GSR. Phòng IT tạo

phân quyền truy cập theo mẫu yêu cầu (bao gồm cả quyền người dùng đặc biệt

và các truy cập đặc quyền), Phòng IT cũng tạo ra mã định danh người dùng (ID),

tên truy cập và mật khẩu tạm thời.

Khi một nhân viên nhận quyết định thôi công tác, phòng Nhân sự thông báo cho

Phòng IT qua email để vô hiệu hóa tài khoản người lao động đó.

2 Thiết lập nguyên tắc truy cập - Configuration of Access rules

Ban quản lý của HSBC lập một danh sách chính thức liệt kê vai trò các phòng

ban liên quan. Người dùng cuối có quyền truy cập vào các chức năng của hệ

thống theo căn cứ ưu tiên như sau:

+ Dựa trên phân quyền theo nhóm thành viên của họ

+ Dựa trên vai trò và vị trí của thành viên

+ Dựa trên trách nhiệm được phân công

Có rất nhiều nhóm người dùng trong HUB & TREAT. Mỗi nhóm người sử dụng

được gán với nhiều chức năng khác nhau trong đó xác định ủy quyền và đặc

quyền truy cập.

3 Chính sách mật khẩu - Password policy

Truy cập vào HUB và TREAT đòi hỏi người dùng cuối thực hiện 2 cấp độ xác

thực: Domain Network (Mạng) và HUB/TREAT (Ứng dụng). Thiết lập mật

khẩu HUB & TREAT được thực hiện bởi HSBC Hong Kong. Tất cả người dùng

cuối phải tuân thủ chính sách bảo mật liên quan đến yêu cầu lập mật khẩu phức

tạp. Theo hướng dẫn sử dụng của cả hai hệ thống, các quy định mật khẩu được

thiết lập như sau:

+ Chiều dài mật khẩu tối thiểu: 6 ký tự

+ Độ phức tạp của mật khẩu: ký tự chữ cái và số

Network Domain

HSBC Việt Nam là một đơn vị hoạt động (Operation Unit) trong mạng lưới của

HSBC (Network Domain). Truy cập vào OU đòi hỏi người dùng cuối để cung

cấp tên đăng nhập và mật khẩu hợp lệ. Mạng lưới cũng áp dụng chính sách mật

khẩu phức tạp. Chính sách mật khẩu được thiết lập trong phạm vi của mạng như

sau:

+ Chiều dài mật khẩu tối thiểu: 7 ký tự

+ Thời gian hiệu lực tối đa: 180 ngày

+ Ghi nhớ mật khẩu đã thay: 1 mật khẩu

+ Đăng nhập sai: 5 lần

+ Thời gian khóa truy cập: 3 phút

4 Tương tác vật lý - Physical access

Các máy chủ trọng yếu (HUB, TREAT, Domain) được đặt tại Hong Kong và

được chia sẻ với tất cả chi nhánh HSBC và các đơn vị hoạt động trong đó có

HSBC Vietnam

5 Người dùng đặc biệt - Super user

Cấp độ hoạt động và cấp độ cơ sở dữ liệu (Operating & Database level): HSBC

Vietnam không có người dùng đặc biệt ở 2 cấp độ này

HUB:

Cấp độ ứng dụng: Truy cập với quyền quản trị và cấp phép truy cập cho người

dùng khác được giới hạn trong nhóm BIRO (Business Information Risk Officer).

BIRO thuộc nhóm người dùng USRCTRLCLK trong hệ thống HUB.

TREAT:

Cấp độ ứng dụng: Truy cập với quyền quản trị và cấp phép truy cập cho người

dùng khác được giới hạn trong nhóm BIRO (Business Information Risk Officer).

BIRO thuộc nhóm người dùng ITSECOFF trong hệ thống TREAT.

6 Quản trị người dùng - User monitoring

Mỗi năm, ông Nguyễn Quang Hải gửi kế hoạch soát xét và tái cấp phép người

dùng trong hệ thống HUB cho quản lý trực tiếp là Ông Kenneth. Khi kế hoạch

được chấp thuận, ông Hải sẽ gửi kế hoạch chi tiết trong đó có phạm vi, mục tiêu,

đối tượng cần kiểm tra, thời hạn và danh sách toàn bộ người dùng trong hệ thống

cho các bộ phận điều phối. Điều phối viên trực thuộc bộ phận nào sẽ xem xét và

phản hồi cho ông Hải nếu có bất kỳ thay đổi nào.

Kiểm soát thay đổi chương trình - Program changes

1 Đề xuất thay đổi chương trình - Program Change Initiation

Bộ phận hỗ trợ kỹ thuật (IT Helpdesk) tại Việt Nam sẽ là nơi đầu tiên hỗ trợ cho

bất kỳ sự cố/yêu cầu thay đổi liên quan đến hệ thống. Bộ phận sẽ thẩm định khả

năng xử lý các yêu cầu đó trước khi chuyển giao cho Bộ phận hỗ trợ kỹ thuật

Hong Kong. Yêu cầu được điền vào Biểu mẫu/Email, trên cơ sở đó, Bộ phận hộ

trợ kỹ thuật tại Hong Kong sẽ tổng hợp rồi tạo mẫu yêu cầu mới theo chuẩn với

tên gọi là PPCR và gửi cho công ty thuê ngoài bởi HSBC Global đặt tại Canada

và yêu cầu họ thực hiện sự thay đổi. Các công ty thuê ngoài sẽ khởi tạo mẫu tiếp

nhận thay đổi và yêu cầu người đề xuất thay đổi xác nhận.

SMART Report - Hệ thống báo cáo phục vụ cho NHNN

Bộ phận hỗ trợ kỹ thuật (IT Helpdesk) tại Việt Nam sẽ là nơi đầu tiên hỗ trợ cho

bất kỳ sự cố/yêu cầu thay đổi liên quan đến hệ thống. Nếu không thể xử lý, yêu

cầu sẽ được chuyển giao cho Công ty Cổ phần FPT - đơn vị sở hữu hệ thống để

yêu cầu giúp đỡ.

Kiểm soát vận hành hệ thống - Computer Operations

1 Xử lý công việc - Job processing

Tất cả công việc xử lý và các giao thức truyền tải dữ liệu trong HUB được quản

lý bởi HSBC Hong Kong.

2 Sao lưu và phục hồi dữ liệu - Backup and restore

Tất cả công việc sao lưu và phục hồi dữ liệu trong HUB được quản lý bởi HSBC

Hong Kong.

3 Thủ tục giải quyết các rủi ro - Reporting of incidents and problems

Bộ phận hỗ trợ kỹ thuật (IT Helpdesk) tại Việt Nam sẽ là nơi đầu tiên hỗ trợ cho

bất kỳ sự cố hoặc lỗi nào xảy ra đối với mạng hoặc hệ thống. Nếu sự cố phức

tạp, Bộ phận hỗ trợ kỹ thuật sẽ đóng vai trò trung gian để liên kết người dùng và

IT Helpdesk Hong Kong.

Các yêu cầu hỗ trợ được theo dõi bằng biểu mẫu điện tử (Yêu cầu/Đang xử

lý/Đã giải quyết) trong mạng nội bộ. Thông thường, người dùng liên hệ Ông

Nguyễn Hoàng Dũng - Trợ lý quản lý, Hệ thống ngân hàng Trung Tâm qua thư

điện tử hoặc điện thoại trực tiếp. Ông Dũng sẽ phân công nhân viên hỗ trợ và ghi

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

nhận vào hệ thống để theo dõi.

Dựa trên các mô tả hoạt động kiểm soát hệ thống tổng quát đã thu thập được, KTV

lập bảng chi tiết các kiểm soát, đồng thời đưa ra đánh giá rủi ro và đề ra phương

thức tiếp cận kiểm toán theo bảng 2.4.

Bảng 2.6: Các kiểm soát hệ thống tổng quát tương ứng với các kiểm soát ứng dụng

đã nhận diện tại Ngân hàng HSBC Việt Nam

Kiểm soát hệ thống tổng Đánh giá rủi Số TT Phương pháp tiếp cận quát ro

APD Truy cập vào hệ thống và dữ liệu - Access to program and data

APD1 Security Chính sách + Mức độ thay đổi + Thực hiện các thử

Policy bảo mật và sự phức tạp của nghiệm đối với: Văn bản

các thay đổi là chính sách bảo mật được APD2 Restricted Hạn chế tác

Thấp. phê duyệt. Kiến thức và physical động vật lý

nhận thức về bảo mật. + Có tiền sử về access

APD3 System Quy tắc truy hoạt động kém Quy định truy cập. Cấp

access rules cập hệ hiệu quả của ứng phép và Thu hồi cấp

thống dụng thu hồi cấp phép truy cập ứng dụng.

phép trong HUB. Điều kiện thiết lập mật APD4 User access Yêu cầu

khẩu. Kiểm soát truy cập request truy cập từ

định kỳ và ứng dụng → Dựa trên các người dùng

truy cập của Quản trị yếu tố đã biết, các APD5 Revoke Thu hồi

viên rủi ro liên quan access quyền truy

đến nhân tố kiểm cập + Phương thức thực

soát này được APD6 Passwords Mật khẩu hiện: Kiểm tra chọn mẫu

đánh giá ở mức theo chương trình kiểm APD7 Review Soát xét

thấp. toán mẫu của KPMG. active users người dùng

Thu thập bằng chứng về hiện hành

các thay đổi trọng yếu APD8 Security Vi phạm an

trong kiểm soát. violations ninh

Không thực hiện thử

nghiệm đối với kiểm

soát "Tương tác vật lý"

và "Quản trị viên truy

cập hệ thống và dữ liệu"

do HSBC Hong Kong

chịu trách nhiệm các thử

nghiệm này.

PC Kiểm soát thay đổi chương trình - Program changes

PC1 Authorizati Cấp phép + Mức độ thay đổi + Thực hiện các thử

on of cho các yêu và sự phức tạp của nghiệm đối với: Phê

change cầu thay đổi các thay đổi/truy duyệt thay đổi chương

request cập là Thấp. Các trình.

thay đổi được + Phương thức thực

kiểm soát bởi hiện: Kiểm tra chọn mẫu

chuyên gia vùng. theo chương trình kiểm

toán mẫu của KPMG. Không có tiền sử

Thu thập bằng chứng về về hoạt động kém

các thay đổi trọng yếu hiệu quả

trong kiểm soát.

→ Dựa trên các Do HSBC Hongkong

yếu tố đã biết, các thực hiện các thay đổi

rủi ro liên quan này trước khi triển khai

đến nhân tố kiểm tại HSBC VN → Không

soát này được thực hiện thử nghiệm

đánh giá ở mức kiểm thử chức năng, quy

thấp. trình chuyển từ môi

trường xây dựng sang

môi trường ứng dụng,

phân chia phạm vi môi

trường xây dựng và môi

trường ứng dụng

PD Kiểm soát phát triển ứng dụng - Program development

Không thực hiện thử nghiệm vì không có phát sinh phát triển ứng dụng trong niên

độ.

CO Kiểm soát vận hành hệ thống - Computer Operations

CO1 Reporting of Báo cáo về + Mức độ thay đổi + Thực hiện các thử

incidents and sự cố và lỗi và sự phức tạp của nghiệm đối với: Quy

problems các thay đổi là trình quản lý sự cố và

CO2 Backup Sao lưu dữ Thấp. Các thay lỗi.

schedule liệu đổi được kiểm + Phương thức thực

soát bởi chuyên hiện: Kiểm tra chọn mẫu

gia vùng. Không theo chương trình kiểm

có tiền sử về hoạt toán mẫu của KPMG.

động kém hiệu Thu thập bằng chứng về

quả các thay đổi trọng yếu

trong kiểm soát. → Dựa trên các

yếu tố đã biết, các Do HSBC Hongkong

rủi ro liên quan thực hiện quy trình sao

đến nhân tố kiểm lưu, phục hồi dữ liệu và

soát này được xử lý → Không thực

đánh giá ở mức hiện thử nghiệm đối với

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

thấp. kiểm soát này

Ở giai đoạn này, KTV và nhóm chuyên gia hệ thống đã thực hiện xong bước lập kế

hoạch với đầy đủ mục tiêu, phạm vi, thời biểu và sản phẩm bàn giao cũng như các

nguồn lực cần thiết. Dựa trên chương trình kiểm toán đã thống nhất, nhóm KTV

tiến hành giai đoạn kiểm toán thực địa để thu thập bằng chứng phục vụ cho việc đưa

ra ý kiến về hệ thống.

2.2.5.2. Thực hiện kiểm toán

Quy trình kiểm tra hệ thống tương đồng với quy trình kiểm tra hệ thống kiểm soát

nội bộ tại doanh nghiệp. KTV và chuyên gia hệ thống đánh giá về mặt thiết kế của

kiểm soát có phù hợp với mục tiêu kiểm soát hay không thông qua thủ tục đánh giá

thiết kế (Evaluation of Design and Implementation) và thử nghiệm triển khai (Test

of Implementation) trên các kiểm soát hệ thống tổng quát. Nếu kiểm soát đó hữu

hiệu về mặt thiết kế và được triển khai hợp lý, KTV sẽ thực hiện thử nghiệm hiệu

quả (Test of Effectiveness) thông qua việc xem xét hoạt động của kiểm soát đó

trong niên độ. Nếu các bằng chứng thu thập được cho thấy kiểm soát hệ thống tổng

quát hữu hiệu trong việc ngăn ngừa sai sót và gian lận, KTV có đủ cơ sở để hạ mức

đánh giá rủi ro cho các kiểm soát ứng dụng hoặc chấp nhận kết quả là hữu hiệu từ

đó kết luận về cơ sở dẫn liệu tương ứng của khoản mục và thuyết minh trọng yếu.

Bảng 2.7: Mô tả đánh giá về mặt thiết kế của các kiểm soát hệ thống tổng quát và

thủ tục đã thực hiện.

Truy cập vào hệ thống và dữ liệu - Access to program and data

APD1 - Thực hiện phỏng vấn ông Nguyễn Quang Hải - Chuyên viên Rủi ro

Chính sách bảo mật thông tin (Information Security Risk Officer) về việc chính

bảo mật sách bảo mật thông tin có được văn bản hóa và được cấp phép phổ

(Security biến bởi Ban quản lý hay không. KTV nhận thấy chính sách bảo mật

Policy) mang tên BIM FIM đã được lưu trữ và phổ biến trên mạng nội bộ.

Văn bản này là chính sách bảo mật thông tin toàn cầu của HSBC bao

gồm các yếu tố đã đề cập trong mô tả kiểm soát ứng dụng APD1

(Xem bảng 2.1.1.2 và 2.1.1.3). Phỏng vấn cho biết, chính sách được

phổ biến cho nhân viên thông qua các khóa đào tạo điện tử (e-

learning) và thông qua tuyên truyền trong mạng nội bộ. Ngoài ra, các

nhân viên mới đều bắt buộc tham dự khóa phổ biến chính sách (bao

gồm chính sách bảo mật) trong ngày đầu tiên gia nhập đội ngũ cán bộ

Ngân hàng và ký xác nhận lên biên bản chấp thuận chính sách (Staff

agreement).

Bản sao chính sách bảo mật và bản chấp thuận chính sách được thu

thập và lưu hồ sơ kiểm toán. Các thông tin trong các văn bản trên đều

hợp lý.

APD2 - Thực hiện phỏng vấn ông Nguyễn Công Phương Nam - Giám sát viên

Hạn chế phòng CNTT về việc ngăn chặn các tương tác vật lý. Phỏng vấn cho

tương tác thấy Ngân hàng sử dụng khóa từ và thẻ ra vào nhằm hạn chế nhân

vật lý viên tiếp cận các khu vực không thuộc thẩm quyền, đặc biệt khu vực

(Restricted máy chủ. KTV ghi nhận hiện trạng máy chủ đặt tại Việt Nam chỉ

physical dùng phục vụ hệ thống SMART Report - Phục vụ mục đích quản lý

của NHNN, các máy chủ khác (hệ thống HUB và TREAT) được đặt

access) tại Hong Kong. Ông Nam cho biết, chỉ có 5 thành viên phòng CNTT

được cấp phép tiếp cận phòng máy chủ tại Việt Nam. Qua quan sát

phòng máy với sự hỗ trợ kỹ thuật, KTV nhận thấy phòng máy được

trang bị camera an ninh, máy điều hòa và hệ thống cứu hỏa (vận hành

24/7).

Bản sao danh sách thành viên được cấp phép truy cập phòng máy chủ

được thu thập và lưu hồ sơ kiểm toán.

APD3 - Thực hiện phỏng vấn ông Nguyễn Anh Khoa - Chuyên viên Rủi ro

Quy tắc bảo mật thông tin - Hệ thống TREAT về các thiết lập truy cập hệ

truy cập hệ thống. Phỏng vấn cho thấy mỗi người dùng được phân nhóm và mỗi

thống nhóm được cấp các quyền truy cập khác nhau để sử dụng các chức

(System năng trong hệ thống TREAT. Tương tự, thực hiện phỏng vấn và nhận

câu trả lời tương tự từ ông Nguyễn Quang Hải - Chuyên viên Rủi ro access

rules) bảo mật thông tin - Hệ thống HUB.

Bản sao sơ đồ phân quyền dạng ma trận của hệ thống TREAT và

HUB được thu thập và lưu hồ sơ kiểm toán.

Đối với hệ thống SMART REPORT với chức năng xuất báo cáo phù

hợp với các quy định của Ngân hàng Nhà Nước Việt Nam, chỉ có

phòng Tài chính được cấp quyền truy cập.

APD4 - Ngẫu nhiên thu thập phiếu yêu cầu từ hệ thống cho vụ việc số

Yêu cầu 43751287, điều tra và xác thực phiếu yêu cầu. Kết quả cho thấy,

truy cập từ phiếu được tạo ra bởi Hung Nguyen - Entity Manager vào ngày

người dùng 09/01/2013, được xác thực bởi ông Nguyễn Anh Khoa - Chuyên viên

Rủi ro bảo mật thông tin. Đối chiếu thông tin người khởi tạo phiếu (User

yêu cầu, cho thấy hồ sơ cá nhân trùng khớp. access

request)

APD5 - Thu thập email từ phòng Nhân sự cho phòng IT thông báo về việc

Thu hồi nhân viên mang mã số ID43577939 kết thúc quá trình công tác và đề

quyền truy xuất thu hồi tài khoản trên hệ thống. Qua kiểm hồ sơ nghỉ việc và tra

cập trạng thái của tài khoản hệ thống, tài khoản đã được đình chỉ kịp thời.

(Revoke Bản sao danh sách tài khoản đình chỉ được thu thập và lưu hồ sơ

access) kiểm toán

APD6 - Thực hiện phỏng vấn ông Nguyễn Anh Khoa và ông Nguyễn Quang

Mật khẩu Hải - Giám sát viên phòng CNTT về việc mật khẩu được thiết lập.

(Password) Phỏng vấn cho thấy hướng dẫn thiết lập mật khẩu của phòng IT dựa

trên quy định chung của vùng.

Bản sao văn bản hướng dẫn và ảnh chụp màn hình hệ thống được thu

thập và lưu hồ sơ kiểm toán. Bao gồm

+ Domain Password

+ HUB Password

+ TREAT Password

+ WHIRL Password

Mật khẩu của hệ thống SMART sử dụng mật khẩu của Windows để

xác thực. KTV không thể kiểm tra thiết lập mật khẩu của HUB,

TREAT và Domain do HSBC Vietnam bị giới hạn truy cập vào phần

thiết lập này. KTV yêu cầu giám sát viên thay đổi mật khẩu thành 1

ký tự để thử nghiệm yêu cầu về độ dài cũng như độ phức tạp. Các

thay đổi trên đều bị từ chối bởi hệ thống.

APD7 - Thực hiện phỏng vấn ông Nguyễn Anh Khoa về việc soát xét danh

Soát xét sách người dùng hiện hành. Phỏng vấn cho biết, hoạt động soát xét

người dùng được thực hiện 2 lần/năm do trưởng phòng thực hiện dưới tên chính

hiện hành thức là quy trình tái cấp phép người dùng trong hệ thống GRMR

(Review (toàn cầu). KTV thu thập email gửi từ hệ thống GRMR yêu cầu ông

active Chi Uong - Trưởng phòng Rủi ro bảo mật và Gian lận (Head of

users) Security and Fraud Risk) về việc tái cấp phép người dùng định kỳ.

ông Uông cần cung cấp thông tin tất cả tài khoản đang cần tái cấp

phép và đã thu hồi, chi tiết phân quyền và ký xác nhận. Nếu sau thời

hạn cho phép, danh sách tài khoản không được gửi lên GRMR, những

tài khoản không được tái cấp phép sẽ mất hiệu lực và ảnh hưởng đến

hoạt động kinh doanh.

APD8 - Vi Thực hiện phỏng vấn ông Nguyễn Quang Hải - Chuyên viên Rủi ro

phạm an bảo mật thông tin (Information Security Risk Officer), KTV được

ninh biết hiện tại Ngân hàng sử dụng phần mềm bảo mật, diệt virus

(Security McAfee. KTV nhận thấy phần mềm được thiết lập chế độ cập nhật tự

violations) động định kỳ và chế độ quét định kỳ. Thông tin về phần mềm được

thu thập và lưu hồ sơ kiểm toán

Kiểm soát thay đổi chương trình - Program changes

PC1 - Cấp KTV điều tra và nhận thấy có vài thay đổi nhỏ trong hệ thống ngân

phép cho hàng trung tâm (HUB, TREAT và WHIRL). KTV thu thập các phiếu

các yêu cầu yêu cầu thay đổi tại Bộ phận hỗ trợ kỹ thuật và chọn ngẫu nhiên một

thay đổi phiếu từ người dùng để kiểm tra tính hợp lệ cũng như chấp thuận cấp

(Authoriza- phép.

tion of

change

request)

Kiểm soát vận hành hệ thống - Computer Operations

CO1 - Báo Thực hiện phỏng vấn ông Nguyễn Hoàng Dũng, Quản lý Hệ thống

cáo về sự Ngân hàng Trung tâm về việc các sự cố được quản lý và xử lý. KTV

cố và lỗi thu thập văn bản hướng dẫn quy trình xử lý sự cố tại phòng hỗ trợ.

(Reporting KTV tiếp cận hệ thống eRequest - dùng theo dõi các yêu cầu giải

of incidents quyết sự cố và nhận thấy, các sự cố được ghi chú với các chi tiết sau:

and + Tên người yêu cầu

problems) + Tên phòng ban

+ Ngày yêu cầu

+ Hệ thống

+ Mức ưu tiên

+ Người phụ trách

+ Diễn giải sự cố

KTV thu thập một mẫu, đối chiếu các thông tin và đánh dấu kết quả.

Sự cố được giải quyết kịp thời. Bản sao hồ sơ sự cố được thu thập và

lưu hồ sơ kiểm toán

CO2 - Sao KTV tìm hiểu kế hoạch sao lưu và phục hồi dữ liệu với sự hỗ trợ của

lưu dữ liệu ông Nguyễn Công Phương Nam. KTV nhận thấy máy chủ sao lưu

(Backup được thiết lập để thực hiện công việc sao lưu trọn bộ theo ngày (daily

schedule) full-backup) vào lúc 22:00 mỗi ngày từ Thứ 2 đến Thứ 5 và thực hiện

sao lưu trọn bộ theo tuần (weekly full-backup) vào lúc 22:00 Thứ 6

và sao lưu trọn bộ theo tháng (monthly full-backup) vào lúc 22:00

Thứ 7 cuối cùng của tháng. Báo cáo sao lưu lần cuối được lưu vào

ngày 4/4/2013 - trước ngày thực hiện thủ tục kiểm tra của KTV 1

ngày theo như mô tả. Kết quả sao lưu thành công và đúng theo kế

hoạch.

Bản sao kế hoạch sao lưu và phục hồi được thu thập và lưu hồ sơ

kiểm toán

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

Thử nghiệm được KTV sử dụng trong lúc đánh giá thiết kế và thử nghiệm triển khai

là thủ tục phỏng vấn, quan sát và thực hiện lại (Walkthrough). Trong thủ tục thực

hiện lại, KTV sẽ chọn ra một mẫu và lần theo lại các dấu vết từ điểm khởi đầu của

quy trình cho đến kết quả cuối cùng hiện có, ví dụ như quy trình xử lý sự cố hoặc

quy trình thu hồi quyền truy cập. Kết luận cho thấy các thiết kế đều hữu hiệu trong

việc ngăn chặn rủi ro và được triển khai đầy đủ, để có đủ bằng chứng về hoạt động

hiệu quả, KTV thực hiện thử nghiệm với số lượng mẫu mở rộng tại các thời điểm

trong năm tùy thuộc vào bản chất và tần suất thực hiện kiểm soát. Kết luận về hoạt

động hiệu quả của các kiểm soát hệ thống tổng quát được tóm tắt qua bảng 2.6 như

sau:

Bảng 2.8: Kết luận về các kiểm soát hệ thống tổng quát

ID Kiểm soát Rủi ro Kết luận Loại kiểm soát

Truy cập vào hệ thống và dữ liệu - Access to program and data

Thấp Thủ công Hiệu quả APD1 Chính sách bảo mật - Security Policy

Thấp Tự động Hiệu quả APD2 Hạn chế tương tác vật lý - Restricted physical access

APD3 Quy tắc truy cập hệ thống Thấp Hỗn hợp Hiệu quả - System access rules

Thấp Hỗn hợp Hiệu quả

APD4 Yêu cầu truy cập từ người dùng - User access request

Thấp Hỗn hợp Hiệu quả APD5 Thu hồi quyền truy cập - Revoke access

APD6 Mật khẩu - Passwords Thấp Tự động Hiệu quả

APD7 Soát xét người dùng hiện Thấp Hỗn hợp Hiệu quả

hành - Review active users

APD8 Vi phạm an ninh - Thấp Tự động Hiệu quả Security violations

Kiểm soát thay đổi chương trình - Program changes

PC1 Thấp Hỗn hợp Hiệu quả

Cấp phép cho các yêu cầu thay đổi - Authorization of change request

Kiểm soát vận hành hệ thống - Computer Operations

CO1 Báo cáo về sự cố và lỗi - Thấp Hỗn hợp Hiệu quả

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

CO2 Thấp Tự động Hiệu quả Reporting of incidents and problems Sao lưu dữ liệu - Backup schedule

Sau khi KTV thu thập đầy đủ bằng chứng về kiểm soát hệ thống tổng quát, quy

trình kiểm toán bước sang giai đoạn thử nghiệm các kiểm soát ứng dụng điện tử (IT

Application Control) được xác định từ những giai đoạn đầu (Bảng 2.1.1.1). Với kết

luận các kiểm soát hệ thống tổng quát là hiệu quả, mức rủi ro của các kiểm soát ứng

dụng có thể được thiết lập là “Thấp”. KTV thực hiện thủ tục đánh giá thiết kế và

thử nghiệm triển khai, sau đó thực hiện thử nghiệm hiệu quả bằng cách mở rộng số

lượng mẫu tại các thời điểm trong năm tùy thuộc vào bản chất và tần suất thực hiện

kiểm soát. Bảng 2.7 mô tả quy trình đánh giá thiết kế và thử nghiệm triển khai.

Bảng 2.9: Thủ tục đánh giá thiết kế và thử nghiệm triển khai các kiểm soát ứng

dụng

Chu Kiểm soát ứng Thủ tục đánh giá thiết kế và thử nghiệm triển

trình dụng khai

Cấp vốn Tên kiểm soát: 1. Phỏng vấn quy trình cập nhật tỷ giá hối đoái

và ITAC03 - Truy trong hệ thống HUB và TREAT. Trao đổi với

Ngoại cập tỷ giá hối đoái người được phân quyền cập nhật lãi suất ký gửi.

hối cơ bản 2. Xem xét hệ thống HUB và TREAT để tìm các cơ

chế xây dựng sẵn hỗ trợ cho việc phân quyền thông

Loại kiểm soát: qua quy trình trên

Truy cập hệ thống 3. Thu thập danh sách người dùng trên hệ thống

HUB và TREAT vừa được phân quyền cập nhật tỷ

giá, xác minh tính phù hợp của việc phân quyền đó

Tín Tên kiểm soát: 1. Phỏng vấn các điều kiện trong việc phân loại

dụng ITAC11 - Phân nhóm nợ.

loại nhóm nợ theo 2. Xem xét các thiết lập hệ thống của SMART

NHNN Report có áp dụng các điều kiện phân loại nhóm nợ

và định nghĩa tài khoản. Trao đổi với nhân viên

Loại kiểm soát: được cấp quyền truy cập SMART Report.

Thiết lập và hệ 3. Phỏng vấn các thay đổi/cập nhật về phân loại

thống các tài nhóm nợ trong năm.

khoản Chọn mẫu từ hệ thống SMART Report

+ Kiểm tra các yêu cầu thay đổi

+ Kiểm tra truy cập không hợp lệ

+ Kiểm tra chuyển đổi môi trường phát triển sang

thực hiện

4. Chọn 5 khoản nợ đến hạn chưa thanh toán và

phân loại vào 5 nhóm nợ theo hướng dẫn của

NHNH; chọn 2 khoản nợ vừa được nâng hạng và

kiểm tra chứng từ liên quan để xác minh tính chính

xác của nhóm nợ.

Đầu tư Tên kiểm soát: 1. Phỏng vấn các điều kiện trong việc phân bổ chiết

ITAC07 - Phí bảo khấu, giảm giá trái phiếu và ghi nhận vào Sổ Cái

hiểm trái phiếu / (GL posting).

giảm giá chứng 2. Xem xét các thiết lập hệ thống của TREAT có áp

khoán dụng các điều kiện và định nghĩa tài khoản. Trao

đổi với nhân viên được cấp quyền truy cập TREAT

Loại kiểm soát: để thay đổi thiết lập các sản phẩm chứng khoán.

Thiết lập và hệ 3. Phỏng vấn các thay đổi/cập nhật về phân loại

thống các tài chứng khoán trong năm.

khoản Chọn mẫu từ hệ thống TREAT

+ Kiểm tra các yêu cầu thay đổi

+ Kiểm tra truy cập không hợp lệ

+ Kiểm tra chuyển đổi môi trường phát triển sang

thực hiện

4. Chọn mẫu chứng khoán và thực hiện thủ tục:

+ Tính toán lại khoản chiết khấu, giảm giá dựa trên

dữ liệu giao dịch với dữ liệu trên hệ thống. Theo

dấu nghiệp vụ phân bổ chiết khấu được ghi vào sổ

cái.

Lãi Tên kiểm soát: 1. Phỏng vấn các điều kiện tính toán lãi và ghi nhận

ITAC04 - Tính vào Sổ Cái (GL posting).

toán tự động thu 2. Xem xét các thiết lập hệ thống của HUB có áp

nhập từ lãi - Các dụng các điều kiện và định nghĩa tài khoản. Trao

khoản cho vay và đổi với nhân viên được cấp quyền truy cập HUB để

thấu chi thay đổi thiết lập các sản phẩm vay.

3. Phỏng vấn các thay đổi/cập nhật trong năm.

Loại kiểm soát: Chọn mẫu từ hệ thống HUB

Thiết lập và hệ + Kiểm tra các yêu cầu thay đổi

thống các tài + Kiểm tra truy cập không hợp lệ

khoản + Kiểm tra chuyển đổi môi trường phát triển sang

thực hiện

4. Chọn mẫu vay và thực hiện thủ tục:

+ Tính toán lại khoản lãi vay dựa trên hồ sơ vay với

dữ liệu trên hệ thống. Theo dấu nghiệp vụ ghi nhận

lãi vào sổ cái.

Lãi Tên kiểm soát: Tương tự ITAC04

ITAC10 - Tính

toán tự động chi

phí lãi

Loại kiểm soát:

Thiết lập và hệ

thống các tài

khoản

Lãi Tên kiểm soát: Tương tự ITAC04

ITAC08 - Tính

toán tự động thu

nhập từ lãi - Trái

phiếu

Loại kiểm soát:

Thiết lập và hệ

thống các tài

khoản

Lãi Tên kiểm soát: Tương tự ITAC04

ITAC09 - Tính

toán tự động thu

nhập từ lãi - Đặt

cọc

Loại kiểm soát:

Thiết lập và hệ

thống các tài

khoản

Lãi Tên kiểm soát: Tương tự ITAC04

ITAC05 - Tính

toán tự động chi

phí lãi - Tiền gửi

khách hàng

Loại kiểm soát:

Thiết lập và hệ

thống các tài

khoản

Lãi Tên kiểm soát: 1. Phỏng vấn quy trình cập nhật lãi suất trong hệ

ITAC06 - Truy thống HUB. Trao đổi với người được phân quyền

cập để cập nhật lãi cập nhật lãi suất.

suất cơ bản/lãi 2. Xem xét hệ thống HUB để tìm các cơ chế xây

suất tiền gửi dựng sẵn hỗ trợ cho việc phân quyền thông qua quy

trình trên

Loại kiểm soát: 3. Thu thập danh sách người dùng trên hệ thống

Truy cập hệ thống HUB được phân quyền cập nhật lãi suất, xác minh

tính phù hợp của việc phân quyền đó

Phí và Tên kiểm soát: 1. Phỏng vấn quy trình cập nhật tỷ phí và hoa hồng

hoa ITAC01 - Truy trong hệ thống HUB. Trao đổi với người được phân

hồng cập để thay đổi tỷ quyền cập nhật tỷ lệ hoa hồng.

lệ hoa hồng (giao 2. Xem xét hệ thống HUB để tìm các cơ chế xây

dịch tài chính và dựng sẵn hỗ trợ cho việc phân quyền thông qua quy

kiều hối) trình trên

3. Thu thập danh sách người dùng trên hệ thống

Loại kiểm soát: HUB được phân quyền cập nhật phí và hoa hồng,

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

Truy cập hệ thống xác minh tính phù hợp của việc phân quyền đó

 Đối với các kiểm soát ứng dụng thuộc loại thiết lập và hệ thống các tài khoản

như kiểm soát ITAC04, ITAC05, ITAC07  ITAC11, KTV và chuyên gia hệ

thống áp dụng loại hình thử nghiệm Tính toán thủ công/Theo dấu (Manual

recalculation/ Tracing) vì loại thử nghiệm này mang lại hiệu quả cao nhất cho mục

đích kiểm tra tính hữu hiệu của kiểm soát. KTV trực tiếp đánh giá kết quả thu được

từ hệ thống tự động bằng việc so sánh đối chiếu với kết quả thực hiện thủ công. Do

tính chất tương đồng của các kiểm soát trên, luận văn phân tích chi tiết thủ tục đã

thực hiện với kiểm soát ITAC04 - Tính toán tự động thu nhập từ lãi - Các khoản

cho vay và thấu chi. Bảng 2.8 tóm tắt các thông tin về kiểm soát ứng dụng ITAC04.

Bảng 2.10: Thông tin tổng hợp của kiểm soát ứng dụng ITAC04

Chu trình kinh doanh Lãi Ứng dụng Kiểm soát ứng dụng

Loại kiểm soát:

Kiểm soát hệ thống tổng quát

HUB ITAC04 - Tính toán tự động thu nhập từ lãi - Các khoản cho vay và thấu chi Thiết lập và hệ thống các tài khoản Truy cập vào hệ thống và dữ liệu - Hiệu quả Kiểm soát thay đổi chương trình - Hiệu quả Kiểm soát phát triển ứng dụng - Không khả dụng Kiểm soát vận hành hệ thống - Hiệu quả

Thủ tục đánh giá thiết kế và thử nghiệm triển khai

Mục tiêu 1. Tìm hiểu quy trình kinh doanh 2. Thử nghiệm thiết lập và truy cập

3. Thử nghiệm thay đổi chương trình

Thực hiện 1. Phỏng vấn các điều kiện tính toán lãi và ghi nhận vào Sổ Cái (GL posting) 2. Xem xét các thiết lập hệ thống của HUB có áp dụng các điều kiện và định nghĩa tài khoản. Trao đổi với nhân viên được cấp quyền truy cập HUB để thay đổi thiết lập các sản phẩm vay. 3. Phỏng vấn các thay đổi/cập nhật trong năm. Chọn mẫu từ hệ thống HUB + Kiểm tra các yêu cầu thay đổi + Kiểm tra truy cập không hợp lệ + Kiểm tra chuyển đổi môi trường phát triển sang thực hiện

4. Thử nghiệm hiệu quả 4. Chọn mẫu vay và thực hiện thủ tục:

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

+ Tính toán lại khoản lãi vay dựa trên hồ sơ vay với dữ liệu trên hệ thống. + Theo dấu nghiệp vụ ghi nhận lãi vào sổ cái.

Mục tiêu 1: Phỏng vấn các điều kiện tính toán lãi và ghi nhận vào Sổ Cái (GL

posting)

Đối với lãi phát sinh từ các khoản vay thông thường: Tiếp cận và trao đổi với bà

Nguyễn Thị Mai Anh - Finance Operation Officer về quy định tính toán lãi vay và

điều kiện ghi sổ. KTV được biết:

- Công thức tính lãi được thiết lập sẵn trong hệ thống HUB o Lãi ngày = Số dư tài khoản x Lãi suất / 360. o Lãi lũy kế = Lãi ngày x Số ngày lũy kế

- Đối với khoản vay quá hạn, lãi vay sẽ được tính cộng thêm phần lãi suất quá

hạn vào lãi suất thông thường. Theo hướng dẫn của NHNN, lãi suất quá hạn

không vượt quá 150% lãi suất thông thường. Lãi quá hạn dồn tích được ghi

sổ mỗi ngày và được ghi đảo lại vào ngày hôm sau cho đến khi lãi quá hạn

được thanh toán hoặc khoản vay quá hạn bị xóa sổ.

o Lãi vay quá hạn = (Số dư tài khoản x Lãi suất phạt x Lãi suất x Số

ngày) / 360.

- Lãi vay được ghi sổ tự động mỗi ngày bởi hệ thống như sau:

o Nợ “Lãi phải thu”/ Có “Thu nhập từ lãi”

- Khi khách hàng thanh toán tiền lãi, bút toán ghi sổ bởi hệ thống như sau: o Nợ “Tài khoản thanh toán của KH”/ Có “Lãi phải thu”

Đối với lãi phát sinh từ thẻ tín dụng: Tiếp cận và trao đổi với bà Đỗ Nguyễn Thụy -

Product Management Officer về quy định tính toán lãi cấp tín dụng và điều kiện ghi

sổ. KTV được biết:

- Các thông tin sau phải được nhập vào hệ thống nền web (web-base system)

để khởi tạo hồ sơ khách hàng sử dụng thẻ

o Số tài khoản: Tự động khởi tạo bởi hệ thống o Thông tin khách hàng: Họ tên, ngày sinh, địa chỉ o Hạn mức tín dụng: Xác thực bởi cấp Quản lý trở lên và được nhập vào

hệ thống.

o Ngày lập bảng: Dựa vào ngày thỏa thuận với khách hàng o Ngày thanh toán: Ngày lập bảng + 15 ngày o Thanh toán tối thiểu: 5% trên tổng số dư và tối thiếu 50.000VND.

- Phương thức tính lãi sau được áp dụng cho hệ thống WHIRL. o Lãi ngày = Số dư tài khoản x Lãi suất / 365 (hoặc 366). o Lãi lũy kế = Lãi ngày x Số ngày lũy kế

- Nếu khách hàng khôgn thực hiện thanh toán tối thiểu tại ngày thanh toán,

khoản lãi trên sẽ được ghi sổ như sau:

o Nợ “Tài khoản thanh toán của KH – Thấu chi”/ Có “Thu nhập từ lãi”

Mục tiêu 2: Xem xét các thiết lập hệ thống của HUB có áp dụng các điều kiện

và định nghĩa tài khoản. Trao đổi với nhân viên được cấp quyền truy cập HUB

để thay đổi thiết lập các sản phẩm vay

Nghiệp vụ cho vay trong hệ thống HUB: Qua phỏng vấn bà Trần Thị Thuyên -

Software Delivery Supervisor, KTV được biết công thức tính lãi vay đã được lập

trình sẵn trong hệ thống HUB. Để thay đổi công thức này hoặc thêm hoặc bớt các

sản phẩm vay, người dùng cần phải thực hiện theo quy trình với nhiều cấp xét duyệt

khác nhau.

Các sản phẩm vay được quản lý qua giao diện ZA2 - Credit System & Decision

Support System Controls trong hệ thống HUB. Chỉ có bà Ngô Thị Thùy Dương -

Software Delivery officer với mã định danh A453 được phép truy cập vào giao diện

trên để quản lý và bảo trì các thiết lập cho sản phẩm vay. Quan sát thử nghiệm đăng

nhập do bà Thuyên với mã định danh HMGR thực hiện, KTV nhận thấy hệ thống từ

chối truy cập.

Với sự hỗ trợ của ông Nguyễn Quang Hải - Information Security Risk Officer, KTV

thu thập danh sách người dùng từ hệ thống HUB và nhận thấy, nhóm người dùng

PRODCTRL bao gồm 1 thành viên là bà Ngô Thị Thùy Dương được phân quyền

truy cập giao diện ZA2. Do hệ thống HUB không yêu cầu xét duyệt khi có các thao

tác quản lý và bảo trì được thực hiện, có rủi ro kiểm soát khi các cấp quản lý không

nhận biết được những thay đổi mới nhất  kiểm soát kém hữu hiệu.

Trao đổi sâu hơn với bà Thuyên về các kiểm soát khác ngoài kiểm soát không hữu

hiệu vừa phát hiện, KTV nhận thấy bà Thuyên thực hiện việc kiểm tra báo cáo

SS555R1(Tổng hợp bảo trì toàn hệ thống HUB) vào ngày tiếp theo một cách thủ

công và đánh dấu lên đó như là xác nhận việc bảo trì được thực hiện một cách hợp

lý  ảnh hưởng của kiểm soát kém hữu hiệu là thấp.

Phỏng vấn bà Ngô Thị Thùy Dương - Software Delivery officer về việc bảo trì hệ

thống quản lý thẻ (WHIRL). KTV được biết công việc trên được thực hiện bởi

phòng IT của tập đoàn. Không có nhân viên của HSBC Vietnam được cấp phép

thực hiện công việc trên.

Phỏng vấn bà Nguyễn Thị Thanh Hằng - Finance Operation officer về hệ thống tài

khoản liên kết với hoạt động ghi sổ tự động thuộc chu trình lãi. KTV được biết mỗi

tài khoản được liên kết với một sản phẩm vay nhất định theo quy định của tập đoàn

và được lập trình sẵn. Được sự hỗ trợ của bà Hằng, danh sách các tài khoản đang

khai báo được trích xuất. KTV đối chiếu với nhóm kiểm toán BCTC và nhận thấy

các tài khoản này thuộc nhóm tài khoản lãi phải thu và doanh thu từ lãi  mục tiêu

2 đã đạt được.

Nghiệp vụ thẻ trong hệ thống WHIRL:

Qua phỏng vấn bà Trần Thị Thuyên - Software Delivery Supervisor, các thiết lập

tính toán lãi cũng được lập trình sẵn trong hệ thống WHIRL và được đặt dưới sự

quản lý của phòng IT tập đoàn. Không có nhân viên HSBC Vietnam được cấp phép

truy cập vào các thiết lập của hệ thống WHIRL. Tất cả thay đổi trên hệ thống

WHIRL đều phải đề xuất và xét duyệt theo quy trình trước khi thực hiện bởi phòng

IT tập đoàn  mục tiêu 2 đã đạt được.

Mục tiêu 3: Phỏng vấn các thay đổi/cập nhật trong năm và chọn mẫu từ hệ

thống HUB

Đối chiếu phỏng vấn từ các cá nhân thuộc các phòng ban và vị trí khác nhau, các

thông tin được cung cấp đều trùng khớp và hợp lý. Do các thay đổi và cập nhật

được thực hiện nhiều lần trong năm, KTV và chuyên gia hệ thống thu thập danh

sách các thay đổi này và nhận thấy các thay đổi đều được ghi nhận rõ ràng các

thông tin người yêu cầu, nội dung thay đổi rõ ràng, người kiểm tra. Do KTV và

chuyên gia hệ thống đã thực hiện thủ tục tương tự ở cấp độ kiểm soát hệ thống tổng

quát  kiểm soát thay đổi/cập nhật là hữu hiệu.

Mục tiêu 4: Thử nghiệm hiệu quả - tính toán lại và theo dấu nghiệp vụ.

Lãi phải thu từ khoản cho vay:

Mẫu thử nghiệm sau được chọn từ cơ sở dữ liệu:

- Tài khoản: 99-000119-374

- Vốn gốc: 140.768,82 USD

- Lãi suất: 6,06%/năm.

- Ngày bắt đầu: 25 tháng 12 năm 2008

- Ngày đáo hạn: 26 tháng 3 năm 2015

KTV thực hiện việc tính toán lãi suất theo ngày dựa trên thông tin thu thập được và

các số liệu lấy từ mẫu đã chọn.

Số liệu kiểm toán Số liệu hệ thống Chênh lệch

23.7 23 -0.7

Lãi ngày

Kết quả tính toán cho thấy chênh lệch giữa kết quả tính toán thủ công và kết quả hệ

thống. Chênh lệch này do việc làm tròn số, ảnh hưởng của chênh lệch là không

trọng yếu.

KTV nhận thấy, hệ thống không ghi sổ khoản lãi được tính theo từng khoản vay,

thay vào đó hệ thống gộp chung tất cả khoản lãi trong ngày và ghi thành một nghiệp

vụ duy nhất vào sổ cái để giảm số lượng nghiệp vụ phát sinh. Để theo dấu nghiệp

vụ từ giai đoạn tính toán đến khi được hạch toán vào sổ, KTV thực hiện các thủ tục

sau:

- Thu thập danh sách chi tiết các khoản lãi được tính theo từng khoản vay bởi

tạo bởi hệ thống, kiểm tra mẫu thử nghiệm có nằm trong danh dách

- Thu thập danh sách chi tiết các khoản lãi được tính cho ngày trước đó. Tổng

lãi chênh lệch giữa 2 ngày khớp với giá trị ghi sổ.

- Kiểm tra các tài khoản sử dụng để ghi nhận lãi phù hợp với quá trình tìm

hiểu.

 Kiểm soát vận hành hiệu quả.

Lãi phải thu từ thẻ tín dụng:

Mẫu thử nghiệm sau được chọn từ cơ sở dữ liệu:

- Mã thẻ: 4450-9300-xxxx-1399

- Loại thẻ: VISA Classic

- Ngày lập bảng: 14 tháng 10 năm 2013

- Ngày thanh toán: 29 tháng 10 năm 2013.

- Số dư tài khoản: 7.888.050,54

- Thanh toán tối thiểu: 394.402,53

KTV thực hiện việc tính toán lãi suất theo ngày dựa trên thông tin thu thập được và

các số liệu lấy từ mẫu đã chọn.

Số liệu kiểm toán Số liệu hệ thống Chênh lệch

78,051.29 7,888,051.29 394,402.53 78,050.54 7,888,050.54 394,402.53 0.75 0.75 -

Lãi Hạn mức tín dụng Thanh toán tối thiểu

Kết quả tính toán cho thấy chênh lệch giữa kết quả tính toán thủ công và kết quả hệ

thống. Chênh lệch này do việc làm tròn số, ảnh hưởng của chênh lệch là không

trọng yếu.

Để theo dấu nghiệp vụ lãi từ thẻ, KTV thu thập báo cáo R25 liệt kê toàn bộ lãi suất

các thẻ tín dụng VISA Classic và kiểm tra sự tồn tại của nghiệp vụ tính lãi. Tổng lãi

phát sinh là 1.658.751.426,87 ; bao gồm lãi phát sinh của mẫu được chọn là

78,050.54. (Hình 2.1)

Hình 2.1: Minh họa báo cáo R25 – Lãi phát sinh từ thẻ và mẫu thử nghiệm

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

Sản phẩm thẻ VISA Classic thuộc nhóm sản phẩm mang tên mã 400. KTV tổng hợp

tất cả lãi phát sinh tương ứng với các sản phẩm thuộc nhóm 400 và nhận thấy tổng

số tương ứng đã được đưa vào hệ thống HUB (Hình 2.2 và Hình 2.3).

Hình 2.2: Minh họa sổ cái ghi nhận nghiệp vụ tính lãi của nhóm sản phẩm 400

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

∑ 2,245,874,044

Hình 2.3: Dữ liệu tương ứng trong hệ thống HUB với lãi phát sinh của nhóm sản

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

phẩm 400

Trong hệ thống HUB, tài khoản 926831 mang tính chất tạm thời có số dư cuối ngày

bằng 0. Tổng nợ và có trên tài khoản này sẽ được cấn trừ lẫn nhau và số dư cuối

cùng chuyển sang tài khoản 919117 – tài khoản lập bảng cân đối kế toán (thấu chi).

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

Hình 2.4: Minh họa dữ liệu kết chuyển từ hệ thống lên bảng cân đối kế toán

Kết luận: Kiểm soát ITAC05 được thiết kế hữu hiệu và vận hành hiệu quả.

 Đối với các kiểm soát ứng dụng thuộc loại truy cập hệ thống như kiểm soát

ITAC01, ITAC03 và ITAC06, việc áp dụng hỗn hợp thử nghiệm trực tuyến (Online

test) và phân tích báo cáo thiết lập (Printed config) mang lại hiệu quả cao khi KTV

quan sát các kết quả theo thời gian thực về hoạt động kiểm soát của ứng dụng. Do

tính chất tương đồng của các kiểm soát trên, luận văn phân tích chi tiết thủ tục đã

thực hiện với kiểm soát ITAC03 - Truy cập tỷ giá hối đoái cơ bản. Bảng sau tóm tắt

các thông tin về kiểm soát ứng dụng ITAC03.

Bảng 2.11: Thông tin tổng hợp của kiểm soát ứng dụng ITAC03

Chu trình kinh doanh Cấp vốn và Ngoại hối Ứng dụng

Kiểm soát ứng dụng Loại kiểm soát:

Kiểm soát hệ thống tổng quát

HUB TREAT ITAC03 - Truy cập tỷ giá hối đoái cơ bản Truy cập hệ thống Truy cập vào hệ thống và dữ liệu - Hiệu quả Kiểm soát thay đổi chương trình - Hiệu quả Kiểm soát phát triển ứng dụng - Không khả dụng Kiểm soát vận hành hệ thống - Hiệu quả

Thủ tục đánh giá thiết kế và thử nghiệm triển khai Mục tiêu 1. Tìm hiểu quy trình kinh doanh

Thực hiện 1. Phỏng vấn quy trình cập nhật tỷ giá hối đoái trong hệ thống HUB và TREAT. Trao đổi với người được phân quyền cập nhật lãi suất ký gửi. 2. Xem xét hệ thống HUB và TREAT để tìm các cơ chế xây dựng sẵn hỗ trợ cho việc phân quyền thông qua quy trình trên 2. Tìm hiểu quy trình doanh nghiệp trong thực tiễn

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

3. Xác minh quyền truy cập người dùng 3. Thu thập danh sách người dùng trên hệ thống HUB và TREAT vừa được phân quyền cập nhật lãi suất ký gửi, xác minh tính phù hợp của việc phân quyền đó

Mục tiêu 1: Phỏng vấn quy trình cập nhật tỷ giá hối đoái trong hệ thống HUB

và TREAT. Trao đổi với người được phân quyền cập nhật lãi suất ký gửi

KTV và chuyên gia hệ thống phỏng vấn ông Đinh Đức Quang - GMS Control

Officer về quy trình cập nhật tỷ giá hối đoái trong hệ thống HUB. Quy trình thực

hiện như sau:

- Tỷ giá chỉ được quản lý và cập nhật bởi nhân viên giao dịch ngoại hối – F/X

Trader dựa trên mẫu đơn giấy theo mẫu và được chấp thuận từ phòng kinh

doanh tiền tệ và ngoại hối (Treasury Department)

- Tỷ giá hiệu lực trên HUB được áp dụng ngay, không cần qua bước xét duyệt

trực tuyến.

Thông tin tương tự được ghi nhận qua phỏng vấn bà Nguyễn Thị Thu Hằng -

Manager Financial Reporting.

KTV và chuyên gia hệ thống phỏng vấn bà Nguyễn Dương Hạnh Vân - GMS

Control Officer về quy trình cập nhật tỷ giá hối đoái trong hệ thống TREAT. Quy

trình thực hiện như sau:

- Tỷ giá chỉ được quản lý và cập nhật bởi trợ lý GMS thuộc phòng GMS. - Các tỷ giá có hiệu lực phải được chấp thuận bởi GMS Officer.

Thông tin tương tự được ghi nhận qua phỏng vấn ông Đinh Đức Quang - GMS

Control Officer.

Kết luận: Mục tiêu 1 đã đạt được.

Mục tiêu 2: Xem xét hệ thống HUB và TREAT để tìm các cơ chế xây dựng sẵn

hỗ trợ cho việc phân quyền thông qua quy trình trên

Với sự hỗ trợ của ông Quang (hệ thống HUB) và bà Vân (hệ thống TREAT), KTV

và chuyên gia hệ thống tiếp cận giao diện đăng nhập với các thông tin thể hiện tên

giao diện, phiên làm việc, người đăng nhập, trạng thái xét duyệt (chờ/đã chấp thuận)

v.v… Các thông tin tỷ giá hối đoái được cập nhật qua màn hình làm việc được đề

cập. Ảnh chụp màn hình được lưu vào hồ sơ kiểm toán  Mục tiêu 2 đã đạt được.

Bảng 2.12: Tên các giao diện và chức năng tương ứng trong hệ thống HUB và

TREAT

Công việc

Hệ thống

Cập nhật/Bảo trì Giao diện N86 Xét duyệt -

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

HUB TREAT Giao diện D111 Giao diện J111

Mục tiêu 3: Thu thập danh sách người dùng trên hệ thống HUB và TREAT

vừa được phân quyền cập nhật tỷ giá, xác minh tính phù hợp của việc phân

quyền đó

Phỏng vấn ông Nguyễn Quang Hải - Information Security Risk Officer và được biết

- Hệ thống HUB và TREAT quản lý người dùng theo thứ tự phòng ban, sau đó

theo nhóm.

- Mỗi nhóm có quyền truy cập các màn hình/trình đơn/mã nghiệp vụ… nhất

định. Người dùng phải được phân vào nhóm phù hợp và thuộc chính xác

phòng ban để được thực hiện các công việc liên quan.

→ Kiểm chứng cho thấy, kiểm soát viên từ phòng Phát triển phần mềm cũng

không thể xác thực các hoạt động trên hệ thống của nhân viên khác kể cả khi

có mã nghiệp vụ trùng khớp.

- Nếu một nhân viên có quyền truy cập một trình đơn (menu) trong hệ thống,

nhân viên đó có quyền tương ứng với toàn bộ trình đơn phụ (sub-menu) liên

quan.

• Phân tích báo cáo thiết lập

Dưới sự hỗ trợ của ông Hải, nhóm KTV và chuyên gia in các thiết lập trong hệ

thống HUB và TREAT để xem xét các yếu tố bên trong. Theo các thiết lập này,

KTV nhận thấy:

Đối với hệ thống HUB: nhóm người dùng GMTRADING có quyền truy cập giao

diện N86 và cập nhật tỷ giá hối đoái. Bản danh sách toàn bộ người dùng trong hệ

thống HUB được trích xuất và lọc lấy người dùng thuộc nhóm GMTRADING, đối

chiếu với các văn bản ủy quyền, các người dùng này đều thuộc phòng GMS và được

cấp phép để thực hiện các công việc trên.

Đối với hệ thống TREAT: nhóm người dùng TRYCONA có quyền cập nhật tỷ giá

hối đoái qua giao diện D111 và nhóm người dùng TRYCON có xét duyệt thay đổi

qua giao diện J111. Bản danh sách toàn bộ người dùng trong hệ thống TREAT được

trích xuất và lọc lấy người dùng thuộc 2 nhóm TRYCONA và TRYCON. Đối chiếu

với các văn bản ủy quyền, các người dùng này đều thuộc phòng GMS và được cấp

phép để thực hiện các công việc trên.

Bảng 2.13: Danh sách người dùng có quyền cập nhật và xét duyệt thay đổi tỷ giá

hối đoái trong hệ thống TREAT

ID Tên Nhóm Phòng ban

LTNP LE THI NHAT PHUONG Mã Nhân Viên 43502034

VBDN NGUYEN THI LE MAI 43587670

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

NDVH NGUYEN DUONG HANH 43422907 VAN TRYCONA VNM GMS TRYCONA VNM GMS TRYCON VNM GMS

• Thử nghiệm trực tuyến

Quan sát bà Nguyễn Dương Hạnh Vân (TREAT ID: NDHV) thực hiện thao tác truy

cập vào giao diện D111 – Cập nhật và bảo trì. KTV nhận thấy hệ thống từ chối

quyền truy cập do người dùng thuộc nhóm TRYCON chỉ được phép truy cập giao

diện J111 – Xét duyệt.

Hình 2.5: Thử nghiệm trực tuyến truy cập giao diện cập nhật tỷ giá từ người dùng

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

thuộc nhóm xét duyệt

Tương tự, quan sát bà Nguyễn Thị Lệ Mai (TREAT ID: VBDN) thực hiện thao tác

truy cập vào giao diện J111 – Xét duyệt. KTV nhận thấy hệ thống từ chối quyền

truy cập do người dùng thuộc nhóm TRYCONA chỉ được phép truy cập giao diện

D111 – Cập nhật.

Hình 2.6: Thử nghiệm trực tuyến truy cập giao diện xét duyệt tỷ giá từ người dùng

thuộc nhóm cập nhật

(Nguồn: hồ sơ kiểm toán – tác giả tổng hợp)

Các văn bản, hướng dẫn, danh sách người dùng, ảnh chụp màn hình được thu thập

và lưu hồ sơ kiểm toán. Dựa trên kết quả thử nghiệm, KTV kết luận kiểm soát

ITAC03 được thiết kế hữu hiệu và vận hành hiệu quả.

Như vậy, KTV và chuyên gia hệ thống đã thực hiện thử nghiệm đối với các kiểm

soát ứng dụng nhận diện được qua quá trình lập kế hoạch và thử nghiệm sơ bộ. Kết

quả thử nghiệm cho thấy các kiểm soát ứng dụng được thiết kế hữu hiệu và hoạt

động hiệu quả suốt niên độ theo đúng mục đích thiết kế kiểm soát. Từ đó, KTV đưa

ra kết luận về hệ thống đáng tin cậy, đảm bảo được các cơ sở dẫn liệu của những tài

khoản và thuyết minh trọng yếu đã chọn.