Hệ thống thông tin đóng vai trò cần thiết đối với hoạt động của các doanh nghiệp, kể cả doanh nghiệp hoạt động vì lợi nhuận hay phi lợi nhuận cũng cần phải duy trì một hệ thống thông tin. Do đó, việc kiểm toán hệ thống thông tin luôn được các doanh nghiệp chú trọng. Bài viết dưới đây của LVN Group về Quy trình kiểm toán hệ thống thông tin hi vọng đem lại nhiều thông tin chi tiết và cụ thể đến Quý bạn đọc.
Quy trình kiểm toán hệ thống thông tin
1. Khái niệm kiểm toán hệ thống thông tin
Kiểm toán hệ thống thông tin là việc thực hiện các thủ tục kiểm soát một thực thể cấu trúc hệ thống công nghệ thông tin. Thuật ngữ Kiểm toán hệ thống thông tin trước đây thường được gọi là kiểm toán xử lý dữ liệu điện tử. Đây là quá trình thu thập bằng chứng và đánh giá bằng chứng về các hoạt động của hệ thống thông tin đã được tổ chức. Việc đánh giá các bằng chứng phải đảm bảo rằng hoạt động của hệ thống ấy phải bảo mật, chính trực, hữu hiệu, và hiệu quả nhằm đạt được các mục tiêu của tổ chức đã đề ra. Công việc này được thực hiện chung với việc kiểm toán báo cáo tài chính, kiểm toán nội bộ hay kiểm toán vì các mục đích khác.
2. Mục đích của kiểm toán hệ thống thông tin
Mục đích của kiểm toán hệ thống thông tin là nhận xét và đánh giá tính đúng đắn, tính bảo mật và tính chính xác thông qua việc trả lời những câu hỏi sau: Hệ thống máy tính có sẵn sàng cho quá trình sản xuất kinh doanh tại mọi thời gian? Liệu hệ thống thông tin có phải chỉ những người có thẩm quyền mới được dùng không? Liệu hệ thống thông tin đã đưa được ra thông tin chính xác, trung thực và kịp thời không?
3. Quy trình kiểm toán hệ thống thông tin
3.1 Lên kế hoạch kiểm toán
Kiểm toán viên (KTV) lên kế hoạch kiểm toán để đảm bảo cuộc kiểm toán đúng thời hạn, phát hiện gian lận, rủi ro và những vấn đề tiềm ẩn. Chủ nhiệm kiểm toán viên hệ thống phải biết rõ năng lực của các chuyên viên kiểm toán để phân công công việc cho từng người. Mặt khác, để đánh giá được sự thành công của cuộc kiểm toán hệ thống, KTV cần định hướng được phạm vi và mục tiêu của cuộc kiểm toán thông qua các trải nghiệm về hệ thống thông tin. Để định hướng được mục tiêu kiểm toán và đảm bảo thông tin thu thập được có hiệu quả, KTV cần xác định mức trọng yếu, nhận định rủi ro kiểm toán nhằm đưa ra những chứng cứ thích hợp và trọn vẹn trong suốt quá trình kiểm toán.
Khi xác định mức độ trọng yếu, KTV có thể kiểm toán các khoản mục chi tiền tệ như rà soát và xử lý phần cứng, kiểm soát phần logic, kiểm soát hệ thống quản lý nhân sự, kiểm soát nhà máy, kiểm soát mật mã. Đối với các kĩ năng liên quan đến tiền tệ, cần lưu ý một số thước đo:
Quy trình kinh doanh mà hệ thống máy tính hỗ trợ chủ yếu, Chi phí đầu tư và phí tổn hoạt động của hệ thống (phần cứng, phần mềm, dịch vụ của bên thứ ba…) Chi phí ẩn của các sai sót, Số lượng nghiệp vụ hay yêu cầu được xử lý trong mọi thời kỳ. Mức phạt cho những hành động không tuân thủ quy định của pháp luật hay của đơn vị.
Kiểm toán viên (KTV) phải đánh giá rủi ro kiểm toán và xác định các thủ tục kiểm toán nhằm giảm thiểu các rủi ro kiểm toán xuống nhất tới mức có thể chấp nhận được. Để đơn giản, thông thường người ta chia rủi ro làm nhiều mức: cao, trung bình và thấp. Theo đó, đưa ra tỷ lệ rủi ro kiểm toán cần thiết cho cuộc kiểm toán. Khi xác định rủi ro kiểm toán, KTV cần lưu ý đến các loại thông tin: Chi phí về phần mềm cần có để thực hiện kiểm tra, Mức độ thông tin yêu cầu để đánh giá rủi ro kiểm toán phải ở trong trạng thái sẵn sàng đáp ứng, sự sẵn lòng của ban quản lý đơn vị được kiểm toán.
KTV cần chú ý tới những vấn đề chung và cụ thể của hệ thống thông tin để đánh giá rủi ro tiềm tàng. Đối với những vấn đề chung, cần xem xét kiến thức và kinh nghiệm của bộ phận quản lý công nghệ thông tin, hệ thống tổ chức kinh doanh, sự đổi thay ban quản lý công nghệ thông tin. Xem lại những số liệu kiểm toán của các kỳ trước. Đối với những vấn đề cụ thể, cần xem xét sự phức tạp của hệ thống, mức độ can thiệp bằng thủ công nếu có yêu cầu, các loại tài sản có tính nhạy cảm, xem lại những báo cáo kiểm toán của các kỳ trước.
Còn rủi ro kiểm soát được tổng hợp và đánh giá bởi hệ thống kiểm soát nội bộ. KTV hệ thống cần xem xét các thủ tục như: thủ tục kiểm soát những thay đổi chương trình, quyền sử dụng bản quyền phần mềm.
Rủi ro phát hiện được xác định thông qua việc KTV hệ thống đánh giá rủi ro tiềm tàng và rủi ro kiểm soát. Các loại bằng chứng kiểm toán cần tổng hợp khi kiểm toán hệ thống về cơ bản là dựa vào mức độ rủi ro mà KTV đánh giá, bao gồm: bằng chứng quan sát, sự bảo mật của hệ thống máy tính, bằng chứng tài liệu, các mẫu tin về nghiệp vụ kinh tế phát sinh, các chính sách, các lưu đồ hệ thống, bằng chứng từ việc phân tích (tổng hợp được qua việc so sánh các tỷ lệ lỗi giữa phần mềm, các nghiệp vụ kinh tế và người sử dụng). Để có nhận định chính xác hệ thống kiểm soát nội bộ, KTV xem xét môi trường kiểm soát, hệ thống máy tính và các thủ tục kiểm soát.
3.2. Thực hành kiểm toán
Như đã đề cập, kiểm toán hệ thống thông tin được thực hiện chung với kiểm toán báo cáo tài chính hay kiểm toán nội bộ và có quá trình tương tự như kiểm toán báo cáo tài chính hay kiểm toán nội bộ . Nhưng trong cùng quá trình kiểm toán, kiểm toán hệ thống thông tin có mục tiêu xem xét, đánh giá hệ thống thông tin của DN. Có thể phân chia hệ thống phương pháp kiểm toán thành hai phương pháp, đó là phương pháp thử nghiệm cơ bản và phương pháp thử nghiệm kiểm soát.
Phương pháp thử nghiệm cơ bản được thiết kế và sử dụng nhằm mục đích tổng hợp các bằng chứng có liên hệ đến các dữ liệu do hệ thống kiểm toán của đơn vị được kiểm toán gửi tới.
4. Các câu hỏi liên quan thường gặp
4.1 Các loại kiểm toán hệ thống thông tin?
Kiểm toán hệ thống thông tin bao gồm các loại: Kiểm toán hệ thống máy tính và phần mềm ứng dụng, kiểm toán các tiện ích xử lý của hệ thống thông tin, kiểm toán về việc triển khai và phát triển hệ thống, kiểm toán về hệ thống mạng nội bộ, mạng internet.
4.2 Phương pháp kiểm toán hệ thống thông tin thế nào?
Phương pháp cập nhật cho các hệ thống. Kỹ thuật này đòi hỏi việc kiểm tra chi tiết một loạt các nghiệp vụ cùng loại ghi chép từ đầu đến cuối để xem xét, đánh giá các bước kiểm soát áp dụng trong hệ thống điều hành nội bộ. Ví dụ, các nghiệp vụ bán hàng có thể được kiểm tra từ khi nhận đơn đặt hàng cho đến khi nhận được tiền bán hàng. Kiểm tra hệ thống cho phép đánh giá lại mức độ rủi ro kiểm toán và thiết kế các thử nghiệm chi tiết về kiểm soát.
4.3 Hệ thống thông tin là gì?
Hệ thống thông tin (Information Systems – IS) là một hệ thống bao gồm nhiều yếu tố có mối quan hệ với nhau. Chúng được sử dụng để cùng thu thập, xử lý và lưu trữ, phân phối dữ liệu và thông tin nhằm đạt được một mục tiêu nhất định.
4.4 Đặc điểm của hệ thống thông tin là gì?
- Hỗ trợ các chức năng xử lý dữ liệu trong giao dịch và lưu trữ;
- Sử dụng cơ sở dữ liệu thống nhất với nhiều chức năng xử lý dữ liệu;
- Cung cấp trọn vẹn thông tin cho người quản lý truy cập dữ liệu;
- Có khả năng thích ứng với những thay đổi trong xử lý thông tin Đảm bảo an toàn và toàn vẹn dữ liệu.
Trên đây là bài viết mà chúng tôi gửi tới đến Quý bạn đọc về Quy trình kiểm toán hệ thống thông tin. Trong quá trình nghiên cứu và nghiên cứu, nếu như quý bạn đọc còn câu hỏi hay quan tâm đến Quy trình kiểm toán hệ thống thông tin, quý bạn đọc vui lòng liên hệ với chúng tôi để được hướng dẫn và hỗ trợ pháp lý hoặc sử dụng các dịch vụ pháp lý khác từ LVN Group. LVN Group cam kết sẽ giúp bạn có trải nghiệm tốt nhất về các dịch vụ mà mình gửi tới đến khách hàng. Chúng tôi luôn đồng hành pháp lý cùng bạn.