Kiểm soát rủi ro khi kiểm toán trong môi trường công nghệ thông tin
Sự phụ thuộc vào dữ liệu và công nghệ thông tin (CNTT) có thể gây ra nhiều rủi ro khác nhau ảnh hưởng đến báo cáo tài chính và quy trình kiểm toán. Kiểm toán viên (KTV) có thể giảm thiểu rủi ro và nâng cao hiệu lực, hiệu quả của các thủ tục kiểm toán bằng những hiểu biết toàn diện về môi trường CNTT của tổ chức, đánh giá các biện pháp kiểm soát và thực hiện các thủ tục liên quan.
Những rủi ro có thể xảy ra từ việc ứng dụng công nghệ
Theo Viện Kế toán Công chứng Hoa Kỳ (AICPA), các ứng dụng CNTT có nhiều khả năng xảy ra rủi ro phát sinh do khối lượng dữ liệu hoặc giao dịch ngày càng lớn; chức năng của ứng dụng rất phức tạp, tự động bắt đầu các giao dịch hoặc có nhiều phép tính phức tạp làm nền tảng cho các mục nhập tự động. Ngoài ra, các nhà quản lý dựa vào ứng dụng để xử lý hoặc duy trì dữ liệu, cũng như thực hiện một số biện pháp kiểm soát tự động.
Trong giai đoạn lập kế hoạch kiểm toán, KTV phải hiểu được các hệ thống CNTT của tổ chức, kiểm kê các hệ thống và tài nguyên CNTT (ngân sách và nhân sự, phần mềm và phần cứng). Đồng thời, xác định ứng dụng CNTT nào quan trọng liên quan đến báo cáo tài chính và quản lý doanh nghiệp, từ đó thu thập thông tin, tìm hiểu đầy đủ về chúng.
Rủi ro phát sinh từ việc sử dụng CNTT cũng bao gồm các rủi ro liên quan đến việc các ứng dụng CNTT đang xử lý dữ liệu không chính xác do truy cập trái phép vào dữ liệu, phá hủy/thay đổi dữ liệu không đúng cách, hoặc nhiều người dùng truy cập vào cơ sở dữ liệu chung. Thêm vào đó, nhiều tổ chức đang bỏ qua việc thực hiện những thay đổi cần thiết đối với ứng dụng CNTT hoặc các khía cạnh khác của môi trường CNTT; can thiệp thủ công không phù hợp; nhân viên CNTT có được các đặc quyền truy cập vượt quá những đặc quyền cần thiết để thực hiện nhiệm vụ được giao cũng sẽ dẫn đến phá vỡ sự phân chia nhiệm vụ.
Hàng loạt những thay đổi trái phép đối với các ứng dụng CNTT hoặc các khía cạnh khác của môi trường CNTT sẽ dẫn đến khả năng mất dữ liệu hoặc không thể truy cập dữ liệu theo yêu cầu. Những rủi ro này đều ảnh hưởng đến việc đánh giá của KTV về rủi ro kiểm soát và rủi ro tiềm ẩn ở cấp độ cơ sở dẫn liệu, từ đó ảnh hưởng đến số lượng các thủ tục kiểm toán cần thực hiện.
Các biện pháp kiểm soát trong môi trường công nghệ thông tin
Theo Chuẩn mực kiểm toán số 145 (SAS 145) - Hiểu biết về đơn vị, môi trường của đơn vị và đánh giá rủi ro có sai sót trọng yếu - do AICPA phát hành, các KTV không nhất thiết phải trở thành chuyên gia CNTT, nhưng họ cần thường xuyên cập nhật những ứng dụng công nghệ mà tổ chức đang sử dụng và các biện pháp kiểm soát CNTT của tổ chức. Phán đoán chuyên môn của KTV là chìa khóa để nhận ra nơi có rủi ro để mở rộng phạm vi kiểm toán một cách hợp lý.
SAS 145 yêu cầu KTV xem xét việc sử dụng công nghệ của khách hàng, những rủi ro mà việc sử dụng công nghệ mang lại và những biện pháp kiểm soát nào (nếu có) được áp dụng để giải quyết những rủi ro này. Nói cách khác, KTV sẽ xác định ứng dụng nào, các khía cạnh nào trong môi trường CNTT của đơn vị có rủi ro, từ đó xác định các biện pháp kiểm soát và thực hiện các thủ tục liên quan đến các biện pháp kiểm soát đó.
Chuẩn mực kiểm toán số 300 (các nguyên tắc cơ bản của kiểm toán hoạt động) của Tổ chức quốc tế Các cơ quan Kiểm toán tối cao (ISSAI 300) cũng nhấn mạnh, khi thực hiện kiểm toán, KTV cần tập trung vào kiểm soát quản trị và quản lý CNTT; kiểm soát quản lý dữ liệu; kiểm soát bảo mật thông tin; kiểm soát quản lý thay đổi đảm bảo rằng các hệ thống và điều khiển tiếp tục hoạt động như thiết kế; kiểm soát thuê ngoài. Tiêu chí quan trọng nhất đối với thông tin khi xem xét các kiểm soát chung là tính toàn vẹn (độ tin cậy).
Để thuận tiện cho việc đánh giá rủi ro và lập kế hoạch kiểm toán trong môi trường CNTT, KTV cần ghi chép đầy đủ: Ứng dụng CNTT nào đưa vào báo cáo tài chính và giao dịch; Khu vực tài khoản nào được xử lý thông qua các ứng dụng CNTT. Mục đích của việc đánh giá sự phức tạp của các hệ thống CNTT là để xác định rủi ro và quyết định xem có cần hỗ trợ bên ngoài không.
Hiệu quả của kiểm soát CNTT sẽ phụ thuộc vào độ mạnh của các kiểm soát chung. Nếu KTV kết luận rằng các kiểm soát chung có hiệu quả thì bước tiếp theo là đánh giá tính hiệu quả của các kiểm soát ứng dụng (được thực hiện thủ công hoặc bằng phần mềm máy tính). Với kiểm soát ứng dụng, KTV cần đánh giá 6 loại chính: Kiểm soát tài liệu hệ thống; kiểm soát đầu vào; kiểm soát xử lý; kiểm soát đầu ra; kiểm soát truyền dữ liệu; dữ liệu thường trực và kiểm soát tệp chủ. KTV có thể thu thập bằng chứng kiểm toán bằng cách quan sát, kiểm tra, điều tra và xác nhận, tái lập, tính toán lại, phân tích hoặc các phương pháp được chấp nhận chung khác.
Bên cạnh đó, khi dựa vào ứng dụng CNTT để thu thập bằng chứng kiểm toán, KTV cần kiểm tra các biện pháp kiểm soát đối với báo cáo do hệ thống tạo ra. Điều này bao gồm việc xác định và kiểm tra các biện pháp kiểm soát CNTT chung nhằm giải quyết rủi ro, chẳng hạn như thay đổi chương trình trái phép hoặc giả mạo dữ liệu. Hiểu được những thay đổi này giúp KTV đánh giá rủi ro tiềm ẩn ở cấp độ cơ sở dẫn liệu.
Việc hiểu rõ những ứng dụng CNTT nào đang được áp dụng, các đặc điểm khác của môi trường CNTT, những rủi ro phát sinh từ việc sử dụng CNTT và các biện pháp kiểm soát CNTT chung do đơn vị triển khai sẽ giúp KTV xây dựng một kế hoạch kiểm toán khả thi. Hệ thống CNTT rất quan trọng đối với đơn vị nên sự hiểu biết sẽ là chìa khóa giúp KTV thực hiện cuộc kiểm toán một cách hiệu quả./.