kthdchuong9
CHƯƠNG 9 : KIỂM TOÁN HOẠT ĐỘNG THÔNG TIN
I- HỆ THỐNG THÔNG TIN TRONG DOANH NGHIỆP VÀ ẢNH HƯỞNG ĐẾN KIỂM TOÁN
Các hoạt động máy tính quan trọng đối với nhà quản lí và kiểm toán viên bởi nhiều lí do
Thứ 1 : chi phí cao của việc đầu tư vào kĩ thuật thông tin trong đó có chi phí thiết lập dẫn đến sự quan tâm về tính hiệu quả của khoản đầu tư ngân quĩ này
Thứ 2 : hệ thống thông tin có tác động đến việc đạt được các mục tiêu của đơn vị
Kiểm toán máy tính có xu hướng được biết đến như kiểm toán hệ thống thông tin vì quan điểm kiểm toán máy tính được chuyển dịch sang quan điểm hỗ trợ cho việc chuyển đổi dữ liệu thô thành cơ sở đáng tin cậy và đảm bảo cho việc ra quyết định
Kiểm toán quanh máy tính là cách thức kiểm toán dựa vào nhà quản lí để có được những lịh trình và thông tin kiểm tra
Kiểm toán quanh máy tính cũng còn được gọi là kiểm toán với cách tiếp cận hộp đen trong đó máy tính được xem như 1 vật thể lạ mà ktv sẽ k đề cập đến
Cách thức này k thucs đẩy tính độc lập của ktv cũng như k nâng cao sự hiểu biết của ktv về hệ thống được kiểm toán khiến kiểm toán bị lạc hậu so với yêu cầu của quản lí về phát hiện sai phạm và những vấn đề k hiệu quả
Kiểm toán qua máy tính là việc ktv có thể tích hợp file có tính năng rà soát các kiểm soát các hệ thống trong phần mềm để thu thập các thông tin cần thiết
Phần mềm thẩm vấn có thể được sử dụng để có được các mẫu kiểm toán phù hợp cho việc phân tích trong khi kiểm tra dữ liệu có thể được sử dụng để kiểm tra tính hiệu lực của các thủ tục kiểm soát liệt kê trong tài liệu
- Các hoạt động máy tính
Ø Phát triển hệ thống thông tin
Nghiên cứu ban đầu về tính khả thi phân tích hệ thống về các yêu cầu của người sử dụng
Vạch ra thiết kế hệ thống và các đặc điểm của hệ thống
Xác định chi tiết các yêu cầu kĩ thuật
Đặt mua hệ thống
Kiểm tra lập kế hoạch thực hiện
Đào tạo người sử dụng
Thực hiện hệ thống
Rà soát sau khi thực hiện – bảo trì và nâng cấp
- Yếu tố nhân sự đề cập đến cách thức bố trí nhân sự kĩ năng của nhân viên cách thức sắp đặt hoạt động của hệ thống mới sự luân chuyển các tệp thông tin cách lấy và chuyển thông tin đến người yêu cầu
- Yếu tố thông tin đề cập đến loại báo cáo mô hình hệ thống thông tin hỗ trợ việc ra quyết định đòi hỏi đặc điểm này phải linh hoạt và kiểm soát được bởi người sử dụng; loại dữ liệu sẵn có và trạng thái chung của dữ liệu ; mức độ lưu dữ liệu thủ công hay trên máy
- Yếu tố công nghệ gồm sự căng thẳng hay sự nhấn mạnh vào hệ thống và khả năng cần để xử lí vấn đề này loại hệ thống hoạt động và cấu hình máy cần thiết , các sắp đặt tiêu chuẩn cho máy mới ;các kĩ năng của nhân viên công nghệ thông tin và mức độ phụ thuộc nhà cung cấp
- Phát triển hệ thống thông tin k tốt có thể đưa đến rất nhiều rủi ro cho doanh nghiệp bao gồm
o Hệ thống kém tiêu chuẩn đi vào hoạt động
o Những thay đổi k được cho phép xảy ra trong hệ thống
o Hệ thống k linh hoạt và khó điều chỉnh khi hệ thống thay đổi
o Sự ngừng trệ trong kinh doanh và mất niềm tin của khách hàng khi hệ thống gặp sự cố
o Mất niềm tin giữa nhà quản lí và nhân viên khi hệ thống thất bại
o Gian lận có khả năng dễ xảy ra
o Chi phí quá cao làm cho đầu tư vào phương tiện máy tính vượt quá ngân sách và toàn chương trình máy tính hóa
o Luật pháp có thể bị vi phạm đặc biệt liên quan đến luật bảo vệ dữ liệu
o Kiểm toán phát triển hệ thống thông tin có vai trò
Đảm bảo: đảm bảo với nhà quản lí doanh nghiệp rằng các cơ chế phát triển hệ thống là hoạt động
Cảnh báo : thông báo với nhà quản lí khi có những rủi ro đáng kể
Tư vấn: khuyên nhà quản lí cách quản lí rủi ro
Hành động : xúc tiến hành động nhằm đảm bảo sự quản lí rủi ro tốt hơn
Ø Áp dụng hệ thống thông tin
- Chiến lược hệ thống thông tin an ninh hệ thống thông tin và phương pháp thông qua đó các hệ thống mới nâng cao được phát triển và đưa vào hoạt động để đóng góp vào môi trường của các hệ thống thông tin
- Môi trường này đảm bảo các áp dụng cho hệ thống như lưu kho thu nhập, thanh toán , các quá trình kinh doanh , quản lí hoạt đông, kế toán tài chính, lập quyết toán , đặt hàng và lập kế hoạch… được áp dụng theo cách kiểm soát được
- Có thể kiểm toán các áp dụng hệ thống thông tin bằng cách xem xét các kiểm soát chuẩn tắc đối với đầu vào xử lí dữ liệu và bảo đảm thông tin là đầy đủ đáng tin cậy được phép được xử lí đúng và được lưu trữ.
II- TIÊU CHÍ ĐÁNH GIÁ HỆ THỐNG THÔNG TIN
1, tiêu chí đánh giá phát triển hệ thống
- Quản lí dự án
Các kiểm soát thích đáng được xây dựng trong hệ thống mới tại giai đoạn phát triển
Đánh giá bắt buộc đối với các kiểm soát nên được thực hiện trước khi hợp đồng được kí
Hệ thống được phát triển nhất quán với chính sách của dn
Có kế hoạch sử dụng máy tính trong dn và kế hoạch này được rà roát bởi lãnh đạo doanh nghiệp
Các công việc phát triển được thể hiện thích đáng trong tài liệu
Nhân sự của hoạt động máy tính được sử dụng đúng đắn và khai thác tốt khả năng
Các hệ quả về nhân sự của chương trình máy tính hóa được thảo luận đầy đủ với nhà quản lí với các nhóm nhân sự
- Các mối quan hệ
Có sự hỗ trợ thích đáng từ lãnh đạo cấp cao đối với hoạt động nghiên cứu điều tra với nhiều hoạt động trong dn
Sự phối hợp giữa các hoạt động này được tính đến trong phát triển hệ thống
Các hoạt động phối hợp giữa các nhà quản lí được tận dụng
Các yêu cầu về lập trình được phối hợp một cách đúng đắn
2, tiêu chí đánh giá việc áp dụng hệ thống thông tin
- Các kiểm soát đầu vào cơ bản
· Các thủ tục đối với người sử dụng
· Hạn chế tiếp cận
· Mã hóa mật khẩu
· Gõ 2 lần và thẩm tra
· Sự đầy đủ ví dụ số lô
· Tài liệu về đầu vào được thiết kế tốt
· Kiểm soát sự tiếp cận an ninh và mật khẩu
· Kiểm soát số tổng cộng
· Những chuyển giao điện tử được phép
· Đào tạo và tuyển dụng nhân viên
· Phân tách trách nhiệm
· Tường lửa
· Phần mềm chống virut
· Kiểm tra tính chính xác
· Rà soát và phê duyệt của người giám sát
· Cảnh báo về lỗi mắc phải
- Kiểm soát xử lí dữ liệu trong phần mềm
§ Kiểm tra sự tương thích
§ Kiểm tra những ngoại lệ ví dụ làm ngoài giờ chỉ thực hiện đối với một số nhân viên
§ Kiểm soát thất bại hệ thống
§ Kiểm soát nhận định file
§ Kiểm tra đầu vào có bị lặp lại
§ Kiểm tra trình tự đối với các số liệu liên tiếp
§ Kiểm tra tính đầy đủ ví dụ tất cả các trường dữ liệu đều có thông tin và tất cả dữ liệu đều được sử dụng
§ Kiểm soát việc tính tổng số
§ Kiểm tra dữ liệu bị mất
§ Kiểm tra giới hạn
§ Các thủ tục phục hồi
§ Các báo cáo ngoại lệ
- Kiểm soát đầu ra
· Các báo cáo phù hợp
· Tài liệu công việc
· Các báo cáo về lỗi và các ngoại lệ
· Những ưu tiên đối với đầu ra
· Báo cáo chỉ gửi đến người có thẩm quyền
· Cơ chế bảo đảm đầu ra được nhận kịp thời
· Dữ liệu được đệ trình nhanh chóng khi cần thiết
· Các trường hợp ngoại lệ được điều tra bởi người có trách nhiệm
· Tất cả đầu ra kì vọng đều đạt được
· Qui định về lưu tài liệu trên hệ thống máy tính
· Thông tin về người sử dụng để đảm bảo báo cáo sẽ k bị gửi đến những người k sử dụng
Qui định về việc hủy các tài liệu và báo cáo
III- KĨ THUẬT THU THẬP BẰNG CHỨNG KIỂM TOÁN
Khi kiểm toán hệ thống thông tin ktv sử dụng các kĩ thuật kiểm toán với sự hỗ trợ của máy tính
Để minh chứng cho các phát hiện kiểm toán các bằng chứng kiểm toán cần được thu thập đầy đủ và đáng tin cậy
Ktv cần thẩm tra các thủ tục kiểm soát tự động chọn và kiểm tra các nghiệp vụ được lưu trong các tệp thông tin
Ktv cần xâm nhập vào trong hệ thống và bảo đảm bao quát được tất cả dữ liệu tự động
IV- QUI TRÌNH KIỂM TOÁN HỆ THỐNG THÔNG TIN
1, giai đoạn chuẩn bị kiểm toán
Mục tiêu kiểm toán là đánh giá tính hiệu quả và hiệu lực của hệ thống thông tin. Cụ thể
Các khoản đầu tư vào phát triển và vận hành hệ thống thông tin có hiệu quả hay lãng phí
Hệ thống thông tin có hoạt động nhằm đạt được mục tiêu xác định cho hệ thống thông tin hay k
Phạm vi kiểm toán là sự giới hạn về thời gian và không gian của hệ thông tin được kiểm toán do đó đề cập đến những hệ thống thông tin cụ thể được phát triển trong khoảng thời gian cụ thể
Ktv hệ thống thông tin nên có một số chuyên môn trong các lĩnh vực
- Dự kiến và phát triển hệ thống
- Áp dụng với máy tính các nghiệp vụ như thanh toán lương thanh toán báo cáo hoạt động và thu nhập
- Các chuẩn mực an ninh hệ thống thông tin
- Các kĩ thuật kiểm toán được hỗ trợ bởi máy tính
- Phát triển hệ thống và quản lí dự án
- Phục hồi sự cố và dự trù những vấn đề bất ngờ
- Kinh doanh qua mạng thiết kế và an ninh mạng
- Chiến lược hệ thống thông tin nói chung
- Bảo vệ dữ liệu và các yêu cầu của pháp luật
- Các lĩnh vực kĩ thuật chuyên môn như quản trị mạng và hệ thống quản lí dữ liệu
Thông tin cần thu thập bao gồm
- Về thủ tục và quá trình phát triển hệ thống thông tin
- Về sự phàn nàn hay các báo cáo trục trặc của hệ thống thồn tin
Lập kế hoạch sử dụng nguồn lực kiểm toán thông qua việc xem xét các yếu tố sau
- Tính liêm chính kinh nghiệm và kiến thức của nhà quản lí hệ thống thông tin
- Thay đổi nhà quản lí hệ thống thông tin
- Áp lực đối với nhà quản lí hệ thống thông tin khiến họ dấu diếm hay báo cáo sai thông tin
- Bản chất của hoạt động kinh doanh và của hệ thống
- Các yếu tố ảnh hưởng đến ngành kinh doanh của dn
- Mức độ ảnh hưởng của bên thứ 3 đối với việc kiểm soát hệ thống được kiểm toán
- Các phát hiện từ các cuộc kiểm toán trước
ở mức độ kiểm soát hệ thống thông tin chi tiết ktv có thể cân nhắc các lĩnh vực kiểm toán
- Các phát hiện của những cuộc kiểm toán trước trong cùng lĩnh vực
- Tính phức tạp của các hệ thống có liên quan
- Mức độ can thiệp thủ công bắt buộc
- Khả năng dễ bị hoặc bị chiếm đoạt các tài sản được quản lí bởi hệ thống
- Khả năng một số hoạt động lên đến đỉnh cao trong thời gian kiểm toán
- Các hoạt động bên ngoài thông lệ xử lí của hệ thống thông tin
- Tính liêm chính kinh nghiệm và kĩ năng của nhà quản lí và đội ngũ nhân viên có liên quan đến việc áp dụng các kiểm soát hệ thống thông tin
Quản lí các nguồn lực kiểm toán hệ thống thông tin cần lưu ý
- Một chu kì kiểm toán nên được lập kế hoạch để bao quát hết các áp dụng máy tính cơ bản
- Cần thiết lập sự liên hệ có tính xây dựng với nhà quản lí hệ thống thông tin của dn
- Nhận định được những khó khăn trong tuyển mộ các ktv hệ thống thông tin có trình độ
- Chiều sâu cuả các chuyeengia kĩ thuật cần được xác định kĩ bằng từ ngữ phù hợp trong mô tả công việc
Quản lí các nguồn lực kiểm toán hệ thống thông tin cần lưu ý
- Thời gian của cuộc kiểm toán hệ thống thông tin cần được lập kế hoạch vì các hệ thống có xu hướng thay đổi khi có cảnh báo trong chiến lược của dn
- Kinh phí cho cuộc kiểm toán nên có dự trù cho các phương tiện máy tính kĩ thuật cao cho ktv sử dụng
- Chủ nhiệm kiểm toán cần thực hiện hay sắp đặt sự rà soát về mặt kĩ thuạt đối với công việc của ktv hệ thống thông tin. Công việc cần được giám sát thích đáng
- Ktv hệ thống thông tin có thể dành thời gian hỗ trợ các chức năng kiểm toán bằng việc phát triển các kĩ thuật kiểm toán
Tiêu chuẩn đánh giá cần
- Lựa chọn phù hợp với đối tượng cần kiểm toán (hoạt động phát triển hệ thống thông tin hay vận dụng hệ thống thông tin )
- Số lượng tiêu chuẩn đánh giá phụ thuộc vào nguồn lực của cuộc kiểm toán
Tiêu chuẩn đánh giá được chọn cần được thảo luận với bộ phận được đánh giá để có được sự nhất trí về tiêu chuẩn đánh giá trước khi sử dụng
2, giai đoạn thực hiện kiểm toán
a, Kiểm toán phát triển hệ thống
Khi rà soát quá trình phát triển, hệ thống cần lưu ý:
- KTV là một người sử dụng hệ thống thông tin và có thể đặt câu hỏi
- KTV cần bỏ qua những điều khó hiểu sau những phép tính
- Mô hình kiểm toán gắn kêts có thể được thiết lập trong hệ thống moíư và cho phép tiếp cận ko hạn chế các tệp thông tin cần kiểm toán
- Khối lượng kiểm tra trong cuộc kiểm toán nên phù hợp với kế hoạch phát triển hệ thông, nếu kế hoạch phát triển hệ thống có qui mô lớn , kiểm toán cũng cần tăng cường về phạm vi
- Kiểm toán phát triển hệ thống thông tin có thể được xem như tìm kiếm những khiếm khuyết, nếu kiểm toán viên kiểm tra công việc của đội ngũ dự án, KTV có thể bị cảm nhận như một lực lượng tiêu cực.
- Kiểm toán viên nên được đào tạo thích đáng trước khi xử lý một phát triển hệ thống phức tạp
- Có mối quan hệ giữa kiểm toán và sự bảo đảm chất lượng, nếu có chương tình chất lượng phù hợp cho phát triển hệ thống được sắp xếp bởi phòng hệ thống thông tin
- Kiểm toán gây tốn kém về chi phí và thời gian và KTV nên đánh giá cáo những kiểm soát có tính thực tế. Doanh nghiệp không thể hoạt động với các chính sách có rủi ro bằng không cho tất cả các hoạt động . Tiêu thức đánh giá là kiểm soát cần thích đáng và hiệu quả.
- Kiểm toán viên cần làm quen trước khi rà soát bất kỳ sự phát triển hệ thống nào và tài liệu về hệ thống cần được thu thập và xem xét trwocs.
- Một nội dung quan trọng KTV có thể thực hiện là đưa ra một loạt các câu hỏi đối với nhà từ vấn bên ngoài chịu trách nhiệm quản lý hay điều phối dự án
- Kiểm toán đầu vào từng dự án có thể phát hiện những nhược điểm trong quá trình phát triển hệ thống.
b, Kiểm toán các áp dụng hệ thống thông tin
- Khi kiểm toán các áp dụng hệ thống thông tin, cần nhận thức mối quan hệ giữa các hoạt động kinh doanh và các hệ thống được máy tính hoá nhằm hỗ trợ cho quá trình lập và thực hiện các mục tiêu kinh doanh
- KTV có thể tập trung vào các rủi ro liên quan đến đầu vào , quá trình xử lý thông tin hoặc kết quả đầu ra của hệ thống thông tin
- KTV có thể chú ý nhiều hơn đến các hoạt động kiểm soát tại các bộ phận cấp cao
- Các kiểm soát việc áp dụng cần phải được iểm tra bới KTV theo yêu cầu rằng tất cả các phát hiện kiểm toán đều phải có bằng chứng kiểm toán thích đáng.
- Phương pháp tiếp cận truyền thống là KTV phân tích các tập bản in từ máy tính.
- Cách kiểm toán này bỏ qua sự tồn tại của máy tính và dựa vào các nhà quản lý để có được thông tin mà KTV yêu cầu
- KTV cần duy trì mức độ độc lập nhất định và thực hiện một cách chủ động hơn và cần độc lập với nhà quản lý và có khả năng đảm bảo thông tin yêu cầu
- Điều này có thể thực hiện thông qua sự liên lạc với đội ngũ hỗ trợ hệ thống thông tin hoặc tạo lập các phương tiện kiểm toán đặc biết trong hệ thống khi xây dựng hệ thống.
- Một cách lựa chọn khác là phòng kiểm toán có thể xây dựng hệ thống phần mềm của mình để lấy dữ liệu và kiểm tra các thủ tục kiểm soát
- KTV đưa module vào hệ thống thông tin của khách hàng để chọn ra những nghiệp vụ hay giao dịch cần quan tâm
- Sau đó phân tích các giao dịch được chọn về có tính có thực, tính đúng đắn trong việc xử lý.
- KTV dành thời gian để làm việc với các KTV khác về các nhu cầu thẩm vấn của họ và kiểm tra dữ liệu sẽ được xây dựng và áp dụng.
- Người phụ trách kiểm toán nên bảo đảm rằng điều này sẽ xảy ra và có chính sách kiểm toán đối với vấn đề quan trọng này.
Đối với lập kế hoạch về thảm hoạ, kiểm toán viên thực hiện kiểm toán theo các nội dung:
+ Khuyến nghị về một kế hoạch về thảm hoạ
+ Kiểm tra độc lập kế hoạch này
+ rà soát hợp đồng với nhà cung cấp thiết bị trên cơ sở chọn thầu
+ Xem xét mức độ kế hoạch được hiểu bởi tất cả những người tham gia
+ Tư vấn cho uỷ ban thảm hoạ về các hệ luỵ an ninh cần tính đến.
3, Giai đoạn kết thúc kiểm toán
- KTV cần đoan chắc rằng các mục tiêu kiểm toán đã đạt được và không còn có lĩnh vực nào bị bỏ sót khi KTV ra khỏi hệ thống
- Báo cáo kiểm toán cần được gửi cho lãnh đạo đơn vị và nhà quản lý bộ phận hệ thốg thông tin, người sử dụng các hệ thống thông tin.
Bạn đang đọc truyện trên: Truyen4U.Com