I. Kiểm Toán CNTT KPMG Tổng Quan Tầm Quan Trọng 55 ký tự
Trong những năm gần đây, ứng dụng và phát triển của CNTT trong quản lý, sản xuất và kinh doanh của tổ chức ngày càng trở nên quan trọng. Do đó, việc bảo vệ an ninh, tính toàn vẹn, khả năng sẵn sàng và độ tin cậy của dữ liệu phụ thuộc vào việc tăng cường quản lý rủi ro công nghệ thông tin. Tuy nhiên, vai trò của kiểm toán CNTT trong các hợp đồng kiểm toán của các công ty kiểm toán độc lập ở Việt Nam và thậm chí trên toàn thế giới, vẫn chưa nhận được nhiều nghiên cứu chuyên sâu. Hơn nữa, chỉ có các công ty Big Four ở Việt Nam, bao gồm KPMG, cung cấp dịch vụ tư vấn và kiểm toán CNTT chuyên nghiệp. Do đó, nghiên cứu này tìm cách giải quyết một khoảng trống trong tài liệu bằng cách điều tra chức năng cụ thể của kiểm toán CNTT trong quy trình kiểm toán tại KPMG Limited. Nghiên cứu sẽ xem xét vai trò của kiểm toán CNTT trong chất lượng kiểm toán tổng thể cũng như hiệu quả của các quy trình kiểm toán CNTT của KPMG trong việc xác minh báo cáo tài chính. Đồng thời, nghiên cứu xem xét các vấn đề mà nhóm kiểm toán gặp phải khi đánh giá tính chính xác của dữ liệu.
Theo Harvard Financial Administration - Risk Management & Audit Services (2023), một kiểm toán CNTT bao gồm đánh giá cơ sở hạ tầng, ứng dụng, sử dụng dữ liệu, chính sách và quy trình vận hành của một tổ chức so với các tiêu chuẩn đã thiết lập.
1.1. Định nghĩa và khái niệm kiểm toán công nghệ thông tin
Kiểm toán CNTT liên quan đến việc đánh giá và thẩm định cơ sở hạ tầng CNTT, ứng dụng, sử dụng và quản lý dữ liệu, chính sách, thủ tục và quy trình hoạt động của một tổ chức so với các tiêu chuẩn hoặc hướng dẫn đã được thiết lập. Mục đích của các cuộc kiểm toán này là để xác định xem các biện pháp kiểm soát tại chỗ có bảo vệ hiệu quả các tài sản công nghệ thông tin và phù hợp với các mục tiêu và mục tiêu của tổ chức hay không, đảm bảo tính toàn vẹn và an ninh của chúng. European Court of Accounts' Guide (2011) đã nêu: “Khi đánh giá tính chính xác của hệ thống kiểm soát nội bộ, tính hợp lệ của các giao dịch và tính chính xác của kế toán, các rủi ro liên quan đến CNTT phải được xem xét.”
1.2. Mục tiêu nghiên cứu kiểm toán CNTT tại KPMG
Nghiên cứu này điều tra tầm quan trọng của kiểm toán CNTT và các trách nhiệm cụ thể của kiểm toán viên CNTT ở các cấp độ khác nhau của nhân viên KPMG tham gia vào các hợp đồng kiểm toán. Các mục tiêu chính của nghiên cứu như sau: Phân tích vai trò của Kiểm toán CNTT. Kiểm tra cơ sở nghiên cứu và phân tích của từng hợp đồng kiểm toán CNTT. Kiểm tra các phương pháp của KPMG để thực hiện đánh giá hệ thống CNTT.
II. Thách Thức Rủi Ro Vì Sao Cần Kiểm Toán CNTT 57 ký tự
Việc sử dụng các hệ thống CNTT ngày càng ảnh hưởng đến các cuộc kiểm toán. ITA giúp nhóm kiểm toán hiểu rõ hơn về môi trường CNTT và các rủi ro CNTT liên quan của khách hàng; xác định “Điều gì có thể sai” liên quan đến CNTT và các biện pháp kiểm soát liên quan; giúp nhóm kiểm toán kết luận về hiệu quả của các biện pháp kiểm soát tự động/thủ công với thành phần tự động (KPMG, 2023). ITA tham gia vào một hợp đồng kiểm toán cho mục đích kiểm tra và đánh giá các hệ thống và cơ sở hạ tầng CNTT liên quan đến việc chuẩn bị báo cáo tài chính của khách hàng. Trước đây, khi chuyển đổi số chưa bùng nổ, kiểm toán CNTT là một khái niệm khá xa vời. Sau Nghị định số 13/2023/NĐ-CP của Chính phủ, kiểm toán CNTT gần như đã trở thành bắt buộc.
2.1. Vai trò của kiểm toán CNTT trong kỷ nguyên số
Bài báo của B. Nugroho (2018) thảo luận về vai trò của kiểm toán CNTT trong kỷ nguyên chuyển đổi số. Trong kỷ nguyên số, rủi ro CNTT là một mối quan tâm lớn đối với ban quản lý cấp cao, vì nó có thể đe dọa môi trường CNTT và thậm chí toàn bộ hoạt động kinh doanh. Kiến thức hạn chế về CNTT gây khó khăn cho ban quản lý cấp cao trong việc đánh giá hiệu quả của việc triển khai CNTT, do đó kiểm toán CNTT ngày càng trở nên quan trọng trong việc đảm bảo rằng việc triển khai CNTT không tạo ra những rủi ro không thể chấp nhận được.
2.2. Ảnh hưởng của IT Governance đến hiệu quả kiểm toán
Một nghiên cứu định tính của Mathew Nicho (2008) đã sử dụng nhiều nghiên cứu điển hình để phát hiện ra rằng các khuôn khổ kiểm toán CNTT và quản trị có thể được sử dụng để đo lường hiệu quả của các thực thể Hệ thống Thông tin một cách khoa học. Nghiên cứu cũng xác định các yếu tố có thể ảnh hưởng đến hiệu quả của các khuôn khổ này, chẳng hạn như sự phù hợp với các mục tiêu của tổ chức, việc sử dụng các số liệu tùy chỉnh và sự tham gia của các bên liên quan. Luận án đóng góp một số đóng góp cho lĩnh vực kiểm toán CNTT và quản trị, bao gồm cung cấp một khuôn khổ để đo lường hiệu quả của các thực thể IS, xác định các yếu tố có thể ảnh hưởng đến hiệu quả của các khuôn khổ này và cung cấp bằng chứng thực nghiệm để hỗ trợ việc sử dụng chúng.
III. Quy Trình Kiểm Toán CNTT Tại KPMG Hướng Dẫn Chi Tiết 59 ký tự
Một dự án Kiểm toán Công nghệ Thông tin (ITA) sẽ bao gồm ba giai đoạn chính: Lập kế hoạch, Kiểm tra các biện pháp kiểm soát và Tóm tắt và Đánh giá các thiếu sót. Quy trình kiểm toán CNTT sẽ được thực hiện bởi nhóm ITA, là một phần của nhóm kiểm toán. Lập kế hoạch là giai đoạn đầu tiên của kiểm toán CNTT và cũng là giai đoạn quan trọng nhất. Giai đoạn này đóng vai trò là đánh giá rủi ro ban đầu, chủ yếu tập trung vào việc thu thập thông tin chi tiết về hệ thống thông tin của khách hàng. Mục đích của nó là để xác định các rủi ro CNTT liên quan đến kiểm soát tài chính, đánh giá mức độ phức tạp của thông tin hệ thống của doanh nghiệp và thiết lập phạm vi kiểm toán cho cả kiểm soát thủ công và tự động.
3.1. Mục đích của các hợp đồng kiểm toán CNTT
Trước mỗi hợp đồng, nhóm quản lý (bao gồm Đối tác, Giám đốc và (các) Người quản lý hợp đồng) phụ trách hợp đồng sẽ xem xét và xác định các Rủi ro liên quan và phạm vi các biện pháp Kiểm soát CNTT của Khách hàng sẽ được kiểm toán. Xác định rõ ràng các mục tiêu sẽ giúp khách hàng tuân thủ phương pháp kiểm toán của KPMG, và nhóm ITA sẽ được định hướng để thực hiện kiểm toán các biện pháp kiểm soát CNTT thủ công và tự động, phục vụ cho kết quả cuối cùng tổng thể của cuộc kiểm toán báo cáo tài chính của khách hàng.
3.2. Xác định phạm vi và các yêu cầu kiểm toán
Sự gia tăng của các rủi ro dựa trên công nghệ đã dẫn đến sự nhấn mạnh lớn hơn vào các biện pháp kiểm soát tự động. Dự án này nhằm mục đích hỗ trợ xác định và kiểm tra các Biện pháp Kiểm soát Tự động (nếu có). Các phần tiếp theo nêu bật các khu vực xem xét ITA được yêu cầu. Xác định Biện pháp Kiểm soát Tự động (Kiểm soát Ứng dụng) đang được kiểm tra; Phạm vi GITC cho Biện pháp Kiểm soát Ứng dụng; Địa điểm kiểm toán – Văn phòng (các) của Khách hàng; Các sản phẩm bàn giao – Báo cáo cuối cùng để bàn giao cho Khách hàng.
3.3. Thời gian ước tính triển khai kiểm toán
Trung bình, một hợp đồng kiểm toán sẽ kéo dài từ 1 đến 3 tháng. Hầu hết các hợp đồng sẽ diễn ra trong mùa cao điểm kiểm toán của năm từ tháng 9 đến tháng 3 năm sau (6 tháng). Việc ước tính thời gian cũng sẽ có ý nghĩa nội bộ trong nhóm kiểm toán. KPMG quản lý hiệu suất chặt chẽ giữa các nhóm và nội bộ trong nhóm. Mỗi hợp đồng chỉ có một thời gian ước tính nhất định để triển khai, kiểm toán viên cần đảm bảo giờ làm việc của họ trong giai đoạn đó. Vượt quá số giờ triển khai sẽ ảnh hưởng đến hiệu suất làm việc, thời gian giao hàng cho khách hàng và uy tín của KPMG.
IV. Hiểu Hệ Thống CNTT Nền Tảng Cho Kiểm Toán Hiệu Quả 60 ký tự
Việc hiểu CNTT trong bối cảnh kiểm toán bao gồm quá trình nghiên cứu và điều tra các hệ thống thông tin của doanh nghiệp được kiểm toán. Điều này dẫn đến một “hồ sơ hiểu biết CNTT” bao gồm toàn bộ hệ thống CNTT và các quy trình kinh doanh CNTT của tổ chức. Mục tiêu chính của kiểm toán CNTT là kiểm tra các quy trình kinh doanh CNTT liên quan đến việc sản xuất báo cáo tài chính. Để đạt được điều này, kiểm toán viên CNTT phải có hiểu biết toàn diện về các lớp kiểm soát khác nhau trong hệ thống CNTT của doanh nghiệp có liên quan đến các quy trình CNTT được kiểm toán. Việc phân loại hiệu quả các biện pháp kiểm soát này là rất quan trọng. Bằng cách phân loại các lớp CNTT liên quan đến quản lý tài chính, kiểm toán viên CNTT có thể ưu tiên các nỗ lực đánh giá của họ và đảm bảo đánh giá kỹ lưỡng tất cả các lĩnh vực liên quan trong quá trình kiểm toán.
4.1. Các lớp hệ thống thông tin trong doanh nghiệp
Hiểu rõ các lớp của hệ thống CNTT là yếu tố then chốt để kiểm toán hiệu quả. Hệ thống thông tin của doanh nghiệp thường bao gồm 4 lớp chính: Ứng dụng, Nền tảng cơ sở dữ liệu (Database), Hệ điều hành (Operating System), và Cơ sở hạ tầng mạng (Network Infrastructure). Mỗi lớp có các biện pháp kiểm soát riêng, và kiểm toán viên cần hiểu rõ cách chúng tương tác để bảo vệ dữ liệu và đảm bảo tính toàn vẹn của hệ thống.
4.2. IT understanding profile trong kiểm toán là gì
Để xây dựng “IT understanding profile”, kiểm toán viên CNTT cần thu thập thông tin chi tiết về các quy trình kinh doanh CNTT, các ứng dụng đang sử dụng, cơ sở hạ tầng CNTT, chính sách và quy trình bảo mật, và các biện pháp kiểm soát đang được áp dụng. Thông tin này có thể được thu thập thông qua phỏng vấn, xem xét tài liệu và thực hiện các thử nghiệm kiểm soát.
V. Phương Pháp Kiểm Tra CNTT Đảm Bảo Tính Chính Xác 58 ký tự
Khi đã nắm vững thông tin về hệ thống CNTT và các quy trình kiểm soát, kiểm toán viên cần thực hiện các thử nghiệm kiểm soát để xác minh hiệu quả của các biện pháp kiểm soát. Có nhiều phương pháp kiểm tra CNTT khác nhau, bao gồm: Kiểm tra tính tuân thủ (Compliance Testing), Kiểm tra thực tế (Substantive Testing). Kết quả của các thử nghiệm này sẽ giúp kiểm toán viên đánh giá liệu các biện pháp kiểm soát có hoạt động hiệu quả như mong đợi hay không, và có đủ để giảm thiểu rủi ro CNTT hay không.
5.1. Kiểm tra tính tuân thủ Compliance Testing
Phương pháp này tập trung vào việc xác định xem các chính sách và quy trình có được tuân thủ đúng cách hay không. Kiểm tra tính tuân thủ bao gồm xem xét tài liệu, phỏng vấn nhân viên và quan sát các hoạt động. Ví dụ: kiểm tra xem nhân viên có tuân thủ chính sách bảo mật mật khẩu hay không.
5.2. Kiểm tra thực tế Substantive Testing
Phương pháp này tập trung vào việc xác minh tính chính xác và đầy đủ của dữ liệu. Kiểm tra thực tế bao gồm kiểm tra dữ liệu trực tiếp, so sánh dữ liệu từ các nguồn khác nhau và thực hiện các phép tính lại. Ví dụ: kiểm tra xem số dư tài khoản có khớp với hồ sơ hay không.
VI. Đánh Giá Khuyến Nghị Cải Thiện Quy Trình Kiểm Toán CNTT 60 ký tự
Sau khi hoàn thành các thử nghiệm kiểm soát, kiểm toán viên sẽ đánh giá các bằng chứng thu thập được và đưa ra kết luận về hiệu quả của hệ thống kiểm soát CNTT. Nếu phát hiện các điểm yếu hoặc thiếu sót, kiểm toán viên sẽ đưa ra các khuyến nghị để cải thiện quy trình. Các khuyến nghị này có thể bao gồm tăng cường các biện pháp kiểm soát hiện có, triển khai các biện pháp kiểm soát mới, hoặc cải thiện các chính sách và quy trình hiện có. Việc thực hiện các khuyến nghị này sẽ giúp doanh nghiệp giảm thiểu rủi ro CNTT và cải thiện tính toàn vẹn của báo cáo tài chính.
6.1. Tóm tắt kết quả kiểm toán CNTT
Báo cáo tóm tắt cần nêu bật các điểm mạnh và điểm yếu của hệ thống kiểm soát CNTT. Đồng thời, cần nhấn mạnh các rủi ro CNTT quan trọng và những ảnh hưởng tiềm tàng của chúng đối với hoạt động kinh doanh và báo cáo tài chính.
6.2. Khuyến nghị cải thiện hệ thống kiểm soát CNTT
Các khuyến nghị cần được trình bày rõ ràng, chi tiết và có tính khả thi cao. Đồng thời, cần xác định các bước cụ thể cần thực hiện, nguồn lực cần thiết và thời gian dự kiến để thực hiện các khuyến nghị này. Ngoài ra, báo cáo cần nhấn mạnh tầm quan trọng của việc thực hiện các khuyến nghị này để giảm thiểu rủi ro và cải thiện hoạt động kinh doanh.
