CHƯƠNG 11: KIẾM TOÁN DỰA TRÊN HỆ THỐNG THÔNG TIN

KẾ TOÁN
1. Mô tả bản chất, phạm vi và mục tiêu của công việc kiểm toán và xác định các vấn đề
chính các bước trong quy trình kiểm toán.
2. Xác định sáu mục tiêu của đánh giá hệ thống thông tin và mô tả cách tiếp cận kiểm
toán dựa trên rủi ro có thể được sử dụng để thực hiện những các mục tiêu.
3. Mô tả phần mềm đánh giá máy tính và giải thích cách nó được sử dụng trong đánh
giá một AIS.
4. Mô tả bản chất và phạm vi của một cuộc kiểm toán hoạt động.
Seattle Paper Products (SPP) đang sửa đổi hệ thống trả lương cho bộ phận bán hàng
của mình để thay đổi cách nó tính toán hoa hồng bán hàng. Theo hệ thống cũ, hoa
hồng là tỷ lệ phần trăm cố định của doanh số bán đô la. Hệ thống mới phức tạp hơn
đáng kể, với tỷ lệ hoa hồng thay đổi tùy theo sản phẩm được bán và tổng khối lượng đô
la giảm giá.
Jason Scott được giao sử dụng phần mềm kiểm toán để viết một chương trình thử
nghiệm mô phỏng song song để tính toán hoa hồng bán hàng và so sánh chúng với
hoa hồng được tạo bởi hệ thống. Jason có được tài liệu hệ thống tính lương cần thiết
và các chi tiết về chính sách hoa hồng bán hàng mới và chuẩn bị chương trình của
mình.
Jason đã sử dụng dữ liệu giao dịch bán hàng từ kỳ tính lương cuối cùng để chạy
chương trình của mình. Trước sự ngạc nhiên của anh ấy, các tính toán của anh ấy ít
hơn 5.000 đô la so với các tính toán được sản xuất bởi chương trình mới của SPP.
Khoảng một nửa số nhân viên bán hàng của công ty có sự khác biệt riêng. Jason kiểm
tra lại mã chương trình của mình nhưng không thể tìm thấy bất kỳ lỗi nào. Anh ấy đã
chọn một nhân viên bán hàng với một sự khác biệt và tính hoa hồng bằng tay. Kết quả
đồng ý với chương trình của mình.
Anh ấy đã xem xét chính sách hoa hồng mới với người quản lý bán hàng, từng dòng
một và kết luận rằng ông đã hiểu hoàn toàn chính sách mới. Jason hiện tin rằng
chương trình của mình là đúng và lỗi nằm ở chương trình mới của SPP. Anh ấy bây giờ
đang tự hỏi bản thân những điều sau
Câu hỏi:
1. Làm thế nào mà một lỗi lập trình có ý nghĩa quan trọng này lại có thể bị bỏ qua bởi
những người có kinh nghiệm các lập trình viên đã xem xét và kiểm tra kỹ lưỡng hệ
thống mới?
2. Đây là một lỗi vô ý, hay nó có thể là một gian lận?
3. Có thể làm gì để tìm lỗi trong chương trình?

GIỚI THIỆU
Chương này tập trung vào kiểm toán hệ thống thông tin kế toán (AIS). Kiểm toán là quá
trình thu thập và đánh giá bằng chứng có hệ thống liên quan đến các khẳng định về
kinh tế các hành động và sự kiện để xác định mức độ tương ứng của chúng với các
tiêu chí đã thiết lập.
Kết quả của cuộc đánh giá sau đó sẽ được thông báo cho những người dùng quan
tâm. Kiểm toán yêu cầu cẩn thận lập kế hoạch và thu thập, soát xét và lập hồ sơ bằng
chứng kiểm toán. Khi phát triển các khuyến nghị, đánh giá viên sử dụng các tiêu chí đã
được thiết lập, chẳng hạn như các nguyên tắc kiểm soát được mô tả trong các chương
trước, làm cơ sở để đánh giá.
Nhiều tổ chức ở Hoa Kỳ sử dụng kiểm toán viên nội bộ để đánh giá các hoạt động của
công ty. Các chính phủ sử dụng kiểm toán viên để đánh giá hiệu quả hoạt động quản lý
và sự tuân thủ với mục đích lập pháp. Bộ Quốc phòng thuê kiểm toán viên để xem xét
tài chính hồ sơ của các công ty có hợp đồng quốc phòng. Các công ty đại chúng thuê
bên ngoài kiểm toán viên để cung cấp một soát xét độc lập về báo cáo tài chính của họ.
Chương này được viết dưới góc nhìn của một kiểm toán viên nội bộ. Kiểm toán nội bộ
là một hoạt động tư vấn và đảm bảo độc lập, khách quan được thiết kế để gia tăng giá
trị và cải thiện hiệu lực và hiệu quả của tổ chức, bao gồm hỗ trợ thiết kế và thực hiện
của một AIS. Kiểm toán nội bộ giúp một tổ chức hoàn thành các mục tiêu của mình
bằng cách mang lại một cách tiếp cận có hệ thống, có kỷ luật để đánh giá và nâng cao
hiệu quả của quản lý rủi ro, các quy trình kiểm soát và quản trị.
Có một số loại đánh giá nội bộ khác nhau:
1. Kiểm toán tài chính kiểm tra độ tin cậy và tính toàn vẹn của các giao dịch tài chính,
kế toán hồ sơ và báo cáo tài chính.
2. Hệ thống thông tin, hoặc kiểm soát nội bộ, đánh giá xem xét các kiểm soát của AIS
để đánh giá việc tuân thủ các chính sách và thủ tục kiểm soát nội bộ và tính hiệu quả
của nó trong việc bảo vệ tài sản. Các cuộc đánh giá thường đánh giá đầu vào và đầu ra
của hệ thống, quá trình xử lý kiểm soát, kế hoạch sao lưu và phục hồi, bảo mật hệ
thống và cơ sở máy tính.
3. Kiểm toán hoạt động liên quan đến việc sử dụng tiết kiệm và hiệu quả các nguồn lực
và việc hoàn thành các mục tiêu và mục tiêu đã thiết lập.
4. Đánh giá tuân thủ xác định xem các đơn vị có tuân thủ luật hiện hành hay không, quy
định, chính sách và thủ tục. Các cuộc đánh giá này thường dẫn đến các khuyến nghị về
cải tiến các quy trình và kiểm soát được sử dụng để đảm bảo tuân thủ các quy định.
5. Một cuộc kiểm toán điều tra xem xét các sự cố có thể có gian lận, chiếm đoạt tài sản,
lãng phí và lạm dụng, hoặc các hoạt động không phù hợp của chính phủ.
Ngược lại, kiểm toán viên bên ngoài chịu trách nhiệm trước các cổ đông của công ty và
hầu hết là quan tâm đến việc thu thập bằng chứng cần thiết để đưa ra ý kiến về báo
cáo tài chính. Họ chỉ quan tâm gián tiếp đến hiệu quả của AIS công ty. Tuy vậy, đánh
giá viên bên ngoài được yêu cầu để đánh giá xem chiến lược đánh giá bị ảnh hưởng
như thế nào bởi một tổ chức sử dụng công nghệ thông tin (CNTT). Đánh giá viên bên
ngoài có thể cần các kỹ năng chuyên môn để:
(1) xác định cuộc đánh giá sẽ bị ảnh hưởng như thế nào bởi CNTT
(2) đánh giá và đánh giá các biện pháp kiểm soát CNTT
(3) thiết kế và thực hiện cả thử nghiệm kiểm soát CNTT và thử nghiệm nội dung.
Mặc dù có sự phân biệt giữa kiểm toán nội bộ và kiểm toán bên ngoài, nhưng nhiều
cuộc kiểm toán nội bộ các khái niệm và kỹ thuật được thảo luận trong chương này cũng
áp dụng cho các cuộc đánh giá bên ngoài.
Phần đầu tiên của chương này cung cấp một cái nhìn tổng quan về kiểm toán và các
bước trong tiến trình kiểm toán.
Phần thứ hai mô tả phương pháp luận và tập hợp các kỹ thuật để đánh giá kiểm soát
nội bộ trong AIS và tiến hành đánh giá hệ thống thông tin.
Phần thứ ba thảo luận về phần mềm máy tính và các kỹ thuật khác để đánh giá độ tin
cậy và tính toàn vẹn thông tin trong AIS. Cuối cùng, đánh giá hoạt động của một AIS
được xem xét.

BẢN CHẤT CỦA KIỂM TOÁN

TỔNG QUAN VỀ QUY TRÌNH KIỂM TOÁN
Tất cả các cuộc đánh giá đều tuân theo một chuỗi hoạt động giống nhau. Kiểm toán có
thể được chia thành bốn giai đoạn: lập kế hoạch, thu thập bằng chứng, đánh giá bằng
chứng và truyền đạt kết quả đánh giá. Hình 11-1 là tổng quan của quá trình đánh giá và
liệt kê nhiều thủ tục được thực hiện trong mỗi giai đoạn này.
LẬP KẾ HOẠCH KIỂM TOÁN
Lập kế hoạch đánh giá xác định lý do, cách thức, thời điểm và đối tượng mà cuộc đánh
giá sẽ thực hiện được thực hiện. Bước đầu tiên là thiết lập phạm vi và mục tiêu của
cuộc đánh giá.
Ví dụ, một kiểm toán của một công ty được tổ chức công khai xác định xem báo cáo tài
chính của nó có được trình bày hay không công bằng. Ngược lại, kiểm toán nội bộ có
thể kiểm tra một bộ phận cụ thể hoặc một ứng dụng máy tính. Nó có thể tập trung vào
các kiểm soát nội bộ, thông tin tài chính, hiệu quả hoạt động hoặc một số sự kết hợp
của ba.
Một nhóm kiểm toán với kinh nghiệm và chuyên môn cần thiết được hình thành. Họ trở
nên quen thuộc với bên được đánh giá bằng cách trao đổi với nhân viên giám sát và
điều hành, hệ thống đánh giá tài liệu, và xem xét các phát hiện kiểm toán trước.
Một cuộc kiểm toán được lập kế hoạch để khối lượng công việc kiểm toán lớn nhất tập
trung vào các lĩnh vực có các yếu tố nguy cơ cao nhất. Có ba loại rủi ro kiểm toán:
1. Rủi ro cố hữu là tính dễ bị rủi ro trọng yếu trong trường hợp không có các biện pháp
kiểm soát. Ví dụ, một hệ thống sử dụng xử lý trực tuyến, mạng, cơ sở dữ liệu, viễn
thông và các hình thức công nghệ tiên tiến khác có nhiều rủi ro cố hữu hơn so với hệ
thống xử lý hàng loạt.
2. Rủi ro kiểm soát là rủi ro mà kiểm soát nội bộ có sai sót trọng yếu. cấu trúc và thành
các báo cáo tài chính. Một công ty có kiểm soát nội bộ yếu kém có rủi ro kiểm soát cao
hơn so với rủi ro kiểm soát chặt chẽ. Rủi ro kiểm soát có thể được xác định bằng cách
xem xét môi trường kiểm soát, thử nghiệm các kiểm soát nội bộ và xem xét các điểm
yếu của kiểm soát được xác định trong các cuộc đánh giá trước và đánh giá chúng đã
được sửa chữa như thế nào.
3. Rủi ro phát hiện là rủi ro mà kiểm toán viên và các thủ tục kiểm toán của họ sẽ không
phát hiện ra một trọng yếu lỗi hoặc sai sót.
Để kết thúc giai đoạn lập kế hoạch, một chương trình đánh giá được chuẩn bị để chỉ ra
bản chất, mức độ, và thời gian của các thủ tục cần thiết để đạt được các mục tiêu kiểm
toán và giảm thiểu rủi ro kiểm toán. Một ngân sách thời gian được chuẩn bị và các
nhân viên được chỉ định để thực hiện các bước kiểm toán cụ thể.
Thiết lập phạm vi và mục tiêu
Tổ chức nhóm kiểm toán
Phát triển kiến thức về hoạt động kinh doanh
Xem xét kết quả kiểm toán trước
Xác định các yếu tố rủi ro
Chuẩn bị chương trình kiểm toán
Thu thập bằng chứng kiểm toán
Quan sát các hoạt động điều hành
Xem xét tài liệu
Thảo luận với nhân viên
Bảng câu hỏi
Kiểm tra thực tế tài sản
Xác nhận thông qua bên thứ ba
Thực hiện các thủ tục
Chứng từ nguồn tài liệu
Đánh giá phân tích
Kiểm tra lấy mẫu
Đánh giá bằng chứng kiểm toán
Đánh giá chất lượng của các kiểm soát nội bộ
Đánh giá độ tin cậy của thông tin
Đánh giá hiệu suất hoạt động
Xem xét nhu cầu về bằng chứng bổ sung
Xem xét các yếu tố rủi ro
Xem xét các yếu tố trọng yếu
Các phát hiện kiểm tra tài liệu
Thông báo kết quả đánh giá
Xây dựng kết luận kiểm toán
Xây dựng các đề xuất cho quản lý
Lập báo cáo kiểm toán
Trình bày kết quả đánh giá cho ban giám đốc
THU THẬP BẰNG CHỨNG KIỂM TOÁN
Phần lớn nỗ lực kiểm toán được dành để thu thập bằng chứng. Tại vì nhiều thử nghiệm
đánh giá không thể được thực hiện trên tất cả các mục đang được xem xét, chúng
thường được thực hiện trên một cơ sở mẫu. Sau đây là những cách phổ biến nhất để
thu thập bằng chứng kiểm toán:
 Quan sát các hoạt động được đánh giá (ví dụ: theo dõi cách nhân viên kiểm soát
dữ liệu xử lý công việc xử lý dữ liệu khi nó được nhận)
 Xem xét tài liệu để hiểu cách thức một quy trình cụ thể hoặc hệ thống kiểm soát
nội bộ được cho là hoạt động
 Thảo luận với nhân viên về công việc của họ và về cách họ thực hiện một số
công việc thủ tục
 Bảng câu hỏi thu thập dữ liệu
 Kiểm tra thực tế về số lượng và / hoặc tình trạng của tài sản hữu hình, chẳng
hạn như thiết bị và hàng tồn kho
  Xác nhận tính chính xác của thông tin, chẳng hạn như số dư tài khoản khách
hàng, thông qua giao tiếp với các bên thứ ba độc lập
 Thực hiện lại các phép tính để xác minh thông tin định lượng (ví dụ: tính toán lại
chi phí khấu hao hàng năm)
 Chứng nhận tính hợp lệ của giao dịch bằng cách kiểm tra các tài liệu hỗ trợ,
chẳng hạn như đơn đặt hàng, báo cáo nhận và hóa đơn của nhà cung cấp hỗ trợ
giao dịch tài khoản phải trả
 Đánh giá phân tích các mối quan hệ và xu hướng giữa các thông tin để phát hiện
các mục điều đó cần được nghiên cứu thêm. Ví dụ: kiểm toán viên cho một
chuỗi cửa hàng đã phát hiện ra rằng tỷ lệ khoản phải thu trên doanh thu của một
cửa hàng quá cao. Một cuộc điều tra tiết lộ rằng người quản lý đang chuyển các
khoản tiền thu được cho cô ấy sử dụng cá nhân.
Một cuộc kiểm toán điển hình có sự kết hợp của các thủ tục kiểm toán. Ví dụ, một cuộc
đánh giá kiểm soát nội bộ sử dụng nhiều hơn việc quan sát, xem xét tài liệu, phỏng vấn
nhân viên và thực hiện lại của các thủ tục kiểm soát. Kiểm toán tài chính tập trung vào
việc kiểm tra thực tế, xác nhận, đánh giá phân tích và thực hiện lại các tính toán số dư
tài khoản.
ĐÁNH GIÁ BẰNG CHỨNG KIỂM TOÁN
Kiểm toán viên đánh giá các bằng chứng thu thập được và quyết định cho dù nó ủng hộ
một kết luận thuận lợi hay không thuận lợi. Nếu không thể kết luận được, đánh giá viên
thực hiện đủ các thủ tục bổ sung để đi đến một kết luận cuối cùng.
Bởi vì lỗi tồn tại trong hầu hết các hệ thống, kiểm toán viên tập trung vào việc phát hiện
và báo cáo những điều đó ảnh hưởng đáng kể đến việc giải thích của Ban Giám đốc
đối với các phát hiện đánh giá. Xác định trọng yếu, điều gì được và không quan trọng
trong một cuộc kiểm toán, là vấn đề của xét đoán chuyên môn.
Tính trọng yếu quan trọng hơn đối với kiểm toán bên ngoài, trong đó trọng tâm là sự
công bằng về tài chính tuyên bố, hơn là đánh giá nội bộ, trong đó trọng tâm là tuân thủ
quản lý các chính sách.
Kiểm toán viên tìm kiếm sự đảm bảo hợp lý rằng không có sai sót trọng yếu nào trong
thông tin hoặc quá trình được kiểm toán. Bởi vì rất tốn kém để tìm kiếm sự đảm bảo
hoàn toàn, kiểm toán viên có một số rủi ro khiến kết luận kiểm toán không chính xác.
Khi vốn có hoặc kiểm soát rủi ro cao, kiểm toán viên phải có được sự đảm bảo cao hơn
để bù đắp cho sự không chắc chắn lớn hơn và những rủi ro.
Trong tất cả các giai đoạn kiểm toán, các phát hiện và kết luận được ghi lại trong các
giấy tờ làm việc kiểm toán.
Tài liệu đặc biệt quan trọng ở giai đoạn đánh giá, khi kết luận phải được tiếp cận và hỗ
trợ.
TRUYỀN THÔNG KẾT QUẢ KIỂM TOÁN
Kiểm toán viên nộp báo cáo tóm tắt bằng văn bản các phát hiện và khuyến nghị kiểm
toán đối với ban giám đốc, ủy ban kiểm toán, hội đồng quản trị, và các bên thích hợp
khác. Sau đó, kiểm toán viên thường thực hiện một nghiên cứu tiếp theo để xác định
các khuyến nghị có được thực hiện hay không.
CÁCH TIẾP CẬN KIỂM TOÁN DỰA VÀO RỦI RO
Phương pháp đánh giá kiểm soát nội bộ sau đây, được gọi là phương pháp đánh giá
dựa trên rủi ro, cung cấp một khuôn khổ để thực hiện đánh giá hệ thống thông tin:
1. Xác định các mối đe dọa (gian lận và sai sót) mà công ty phải đối mặt. Đây là danh
sách của sự tình cờ hoặc cố ý lạm dụng và làm hỏng hệ thống.
2. Xác định các thủ tục kiểm soát để ngăn ngừa, phát hiện hoặc sửa chữa các mối đe
dọa. Đây là tất cả các biện pháp kiểm soát mà Ban Giám đốc đã áp dụng và kiểm toán
viên phải xem xét và kiểm tra để giảm thiểu các mối đe dọa.
3. Đánh giá các thủ tục kiểm soát. Kiểm soát được đánh giá theo hai cách:
 Việc xem xét hệ thống xác định liệu các thủ tục kiểm soát có thực sự được thực
hiện hay không.
 Thử nghiệm các kiểm soát được thực hiện để xác định xem các kiểm soát hiện
tại có hoạt động như dự định.
4. Đánh giá các điểm yếu của kiểm soát để xác định ảnh hưởng của chúng về bản chất,
thời gian hoặc mức độ của các thủ tục kiểm toán. Nếu kiểm toán viên xác định rằng rủi
ro kiểm soát quá cao vì hệ thống kiểm soát không đầy đủ, kiểm toán viên có thể phải
thu thập thêm bằng chứng, tốt hơn bằng chứng, hoặc bằng chứng kịp thời hơn. Kiểm
soát các điểm yếu trong một lĩnh vực có thể được chấp nhận nếu có các kiểm soát bù
đắp trong các lĩnh vực khác.
Phương pháp tiếp cận dựa trên rủi ro cung cấp cho kiểm toán viên hiểu biết rõ ràng
hơn về gian lận và các lỗi có thể xảy ra và các rủi ro và rủi ro có liên quan. Nó cũng
giúp họ lập kế hoạch làm thế nào để kiểm tra và đánh giá các kiểm soát nội bộ, cũng
như cách lập kế hoạch các thủ tục kiểm toán tiếp theo. Kết quả là cơ sở hợp lý để phát
triển các khuyến nghị đối với ban quản lý về cách hệ thống kiểm soát AIS nên được cải
thiện.

KIỂM TOÁN HỆ THỐNG THÔNG TIN

Mục đích của đánh giá hệ thống thông tin là xem xét và đánh giá các kiểm soát nội bộ
bảo vệ hệ thống. Khi thực hiện đánh giá hệ thống thông tin, đánh giá viên phải xác định
để đáp ứng sáu mục tiêu sau:
1. Các điều khoản bảo mật bảo vệ thiết bị máy tính, chương trình, thông tin liên lạc và
dữ liệu khỏi sự truy cập, sửa đổi hoặc phá hủy trái phép.
2. Việc phát triển và mua lại chương trình được thực hiện theo quy định của ban quản
lý ủy quyền chung và cụ thể.
3. Các sửa đổi chương trình có sự cho phép và phê duyệt của ban quản lý.
4. Xử lý các giao dịch, tệp, báo cáo và các hồ sơ máy tính khác là chính xác và đầy đủ.
5. Dữ liệu nguồn không chính xác hoặc được ủy quyền không phù hợp sẽ được xác
định và xử lý theo các chính sách quản lý theo quy định.
6. Các tệp dữ liệu máy tính là chính xác, đầy đủ và bảo mật.
Hình 11-2 mô tả mối quan hệ giữa sáu mục tiêu này và hệ thống thông tin các thành
phần. Mỗi mục tiêu này sẽ được thảo luận chi tiết trong các phần sau. Mỗi mô tả bao
gồm kế hoạch đánh giá để hoàn thành từng mục tiêu, cũng như các kỹ thuật và các thủ
tục để thực hiện kế hoạch.
MỤC TIÊU 1: BẢO MẬT TỔNG THỂ
Bảng 11-1 sử dụng cách tiếp cận dựa trên rủi ro để trình bày một khuôn khổ để đánh
giá máy tính tổng thể Bảo vệ. Nó cho thấy rằng các mối đe dọa bảo mật hệ thống tổng
thể bao gồm thiệt hại do vô tình hoặc cố ý đến tài sản hệ thống; truy cập trái phép, tiết
lộ hoặc sửa đổi dữ liệu và chương trình; trộm cắp; và gián đoạn các hoạt động kinh
doanh quan trọng.
BẢNG 11-1 Khung đánh giá an ninh máy tính tổng thể
CÁC LOẠI LỖI VÀ LỖI
Trộm cắp hoặc vô tình hoặc cố ý làm hỏng phần cứng
Mất mát, trộm cắp hoặc truy cập trái phép vào các chương trình, dữ liệu và các tài
nguyên hệ thống khác
Mất mát, trộm cắp hoặc tiết lộ trái phép dữ liệu bí mật
Sửa đổi hoặc sử dụng trái phép các chương trình và tệp dữ liệu
Gián đoạn các hoạt động kinh doanh quan trọng
QUY TRÌNH KIỂM SOÁT
Kế hoạch bảo vệ / an toàn thông tin
Giới hạn truy cập vật lý vào thiết bị máy tính
Giới hạn quyền truy cập hợp lý vào hệ thống bằng cách sử dụng các kiểm soát xác
thực và ủy quyền
Kiểm soát lưu trữ và truyền dữ liệu
Quy trình bảo vệ chống vi rút
Quy trình sao lưu và phục hồi tệp
Thiết kế hệ thống chịu lỗi
Kế hoạch khắc phục hậu quả thiên tai
bảo dưỡng phòng ngừa
Tường lửa
Bảo hiểm thương vong và gián đoạn kinh doanh
CÁC THỦ TỤC KIỂM TOÁN: XEM LẠI HỆ THỐNG
Kiểm tra các trang web máy tính
Xem xét các kế hoạch bảo vệ / bảo vệ thông tin và phục hồi sau thảm họa
Phỏng vấn nhân viên hệ thống thông tin về các thủ tục bảo mật
Xem xét các chính sách và thủ tục truy cập vật lý và logic
Xem lại các chính sách và thủ tục sao lưu và phục hồi tệp
Xem xét các chính sách và thủ tục lưu trữ và truyền dữ liệu
Xem xét các quy trình được sử dụng để giảm thiểu thời gian ngừng hoạt động của hệ
thống
Xem xét các hợp đồng bảo trì của nhà cung cấp
Kiểm tra nhật ký truy cập hệ thống
Kiểm tra các chính sách bảo hiểm thương vong và gián đoạn kinh doanh
CÁC THỦ TỤC KIỂM TOÁN: THỬ NGHIỆM KIỂM SOÁT
Quan sát và kiểm tra các quy trình truy cập trang máy tính
Tuân thủ việc chuẩn bị và lưu trữ bên ngoài các tệp sao lưu
Kiểm tra quy trình chuyển nhượng và sửa đổi cho ID người dùng và mật khẩu
Điều tra cách xử lý các nỗ lực truy cập trái phép
Xác minh mức độ và hiệu quả của mã hóa dữ liệu
Xác minh việc sử dụng hiệu quả các biện pháp kiểm soát truyền dữ liệu
Xác minh việc sử dụng hiệu quả tường lửa và các quy trình bảo vệ chống vi-rút
Xác minh việc sử dụng bảo trì phòng ngừa và nguồn điện liên tục
Xác minh số tiền và giới hạn trong phạm vi bảo hiểm
Kiểm tra kết quả của các mô phỏng thử nghiệm kế hoạch khắc phục thảm họa
KIỂM SOÁT TOÀN DIỆN
Các chính sách nhân sự hợp lý, bao gồm cả việc phân biệt các nhiệm vụ không tương
thích
Kiểm soát người dùng hiệu quả
Các thủ tục kiểm soát để giảm thiểu những mối đe dọa này bao gồm phát triển một bảo
mật thông tin / kế hoạch bảo vệ, hạn chế truy cập vật lý và logic, mã hóa dữ liệu, bảo vệ
chống lại vi rút, triển khai tường lửa, thiết lập các kiểm soát truyền dữ liệu, ngăn chặn
và khôi phục từ lỗi hệ thống hoặc thảm họa.
Các thủ tục rà soát hệ thống bao gồm kiểm tra các trang máy tính; phỏng vấn nhân sự;
rà soát các chính sách và thủ tục; và kiểm tra nhật ký truy cập, chính sách bảo hiểm và
kế hoạch khắc phục hậu quả thiên tai.
Đánh giá viên kiểm tra các biện pháp kiểm soát an ninh bằng cách quan sát các thủ tục,
xác minh rằng các biện pháp kiểm soát đặt và làm việc như dự định, điều tra các lỗi
hoặc vấn đề để đảm bảo chúng đã được xử lý một cách chính xác và kiểm tra bất kỳ
bài kiểm tra nào đã thực hiện trước đó. Ví dụ, một cách để kiểm tra kiểm soát truy cập
hợp lý là cố gắng đột nhập vào một hệ thống. Trong thời kỳ an ninh của chính phủ Hoa
Kỳ kiểm toán, kiểm toán viên đã sử dụng thiết bị đầu cuối của đại lý để truy cập trái
phép vào hệ thống máy tính của họ, vô hiệu hóa các quy trình kiểm tra bảo mật và kiểm
soát hệ thống từ thiết bị đầu cuối. Các sự cố an ninh có thể xảy ra do kiểm soát hành
chính kém và không đủ phần mềm bảo mật.
Các chính sách nhân sự hợp lý và sự phân tách hiệu quả các nhiệm vụ không tương
thích có thể một phần bù đắp cho bảo mật máy tính kém. Kiểm soát người dùng tốt
cũng sẽ hữu ích, miễn là người dùng đó nhân viên có thể nhận ra đầu ra bất thường
của hệ thống. Bởi vì không chắc những điều khiển này có thể bù đắp vô thời hạn đối
với bảo mật máy tính kém, kiểm toán viên nên đặc biệt khuyến nghị rằng bảo mật
những điểm yếu được sửa chữa.
MỤC TIÊU 2: PHÁT TRIỂN VÀ ĐIỀU CHỈNH CHƯƠNG TRÌNH
Vai trò của đánh giá viên trong việc phát triển hệ thống nên được giới hạn trong việc
đánh giá độc lập các hệ thống hoạt động phát triển. Để duy trì tính khách quan, đánh
giá viên không nên giúp phát triển hệ thống.
Hai điều có thể sai trong quá trình phát triển chương trình:
(1) lỗi lập trình không cố ý do hiểu sai thông số kỹ thuật hệ thống hoặc lập trình bất cẩn
(2) trái phép hướng dẫn cố tình chèn vào chương trình. Những vấn đề này có thể được
kiểm soát bằng cách yêu cầu quản lý và người dùng ủy quyền và phê duyệt, kiểm tra kỹ
lưỡng và thích hợp tài liệu.
Trong quá trình xem xét hệ thống, đánh giá viên nên thảo luận về các thủ tục phát triển
với ban giám đốc, người sử dụng hệ thống và nhân viên hệ thống thông tin. Họ cũng
nên xem xét các chính sách, các thủ tục, tiêu chuẩn và tài liệu được liệt kê trong Bảng
11-2.
BẢNG 11-2 Khung đánh giá sự phát triển chương trình
CÁC LOẠI LỖI VÀ LỖI
Lỗi lập trình do sơ ý hoặc mã chương trình trái phép
QUY TRÌNH KIỂM SOÁT
Xem xét các thỏa thuận cấp phép phần mềm
Ủy quyền quản lý để phát triển chương trình và mua lại phần mềm
Quản lý và người dùng phê duyệt các thông số kỹ thuật lập trình
Kiểm tra kỹ lưỡng các chương trình mới, bao gồm kiểm tra sự chấp nhận của người
dùng
Hoàn thành tài liệu hệ thống, bao gồm cả phê duyệt
CÁC THỦ TỤC KIỂM TOÁN: XEM LẠI HỆ THỐNG
Đánh giá độc lập quá trình phát triển hệ thống
Xem xét các chính sách và thủ tục phát triển / mua lại hệ thống
Xem xét các chính sách và thủ tục ủy quyền và phê duyệt hệ thống
Xem xét các tiêu chuẩn đánh giá chương trình
Rà soát các tiêu chuẩn tài liệu hệ thống và chương trình
Xem xét các thông số kỹ thuật thử nghiệm, dữ liệu thử nghiệm và kết quả thử nghiệm
Xem xét các chính sách và thủ tục phê duyệt thử nghiệm
Xem xét việc mua lại các chính sách và thủ tục của thỏa thuận cấp phép bản quyền
Thảo luận với quản lý, người dùng và nhân viên hệ thống thông tin về
thủ tục phát triển
CÁC THỦ TỤC KIỂM TOÁN: THỬ NGHIỆM KIỂM SOÁT
Phỏng vấn người dùng về sự tham gia vào việc mua / phát triển và triển khai hệ thống
của họ
Xem xét biên bản các cuộc họp của nhóm phát triển để có bằng chứng về sự tham gia
Xác minh quản lý và phê duyệt đăng xuất của người dùng tại các điểm mốc phát triển
Xem lại thông số kỹ thuật kiểm tra, dữ liệu kiểm tra và kết quả kiểm tra hệ thống
Xem lại các thỏa thuận cấp phép phần mềm
KIỂM SOÁT TOÀN DIỆN
Kiểm soát xử lý mạnh mẽ
Xử lý độc lập dữ liệu thử nghiệm bởi đánh giá viên
Để kiểm tra các biện pháp kiểm soát phát triển hệ thống, đánh giá viên nên phỏng vấn
các nhà quản lý và người sử dụng hệ thống, kiểm tra các phê duyệt phát triển và xem
xét các biên bản họp của nhóm phát triển. Kiểm toán viên nên xem lại tất cả các tài liệu
liên quan đến quá trình thử nghiệm để đảm bảo rằng tất cả các thay đổi của chương
trình đã được kiểm chứng. Đánh giá viên cần kiểm tra các thông số kỹ thuật thử
nghiệm và dữ liệu thử nghiệm và đánh giá kết quả kiểm tra. Đánh giá viên phải xác định
chắc chắn các vấn đề kết quả thử nghiệm không mong muốn đã được giải quyết như
thế nào.
Các biện pháp kiểm soát chế biến mạnh mẽ có thể bù đắp cho các kiểm soát phát triển
không đầy đủ nếu kiểm toán viên thu được bằng chứng thuyết phục về việc tuân thủ
các biện pháp kiểm soát chế biến, sử dụng các kỹ thuật chẳng hạn như xử lý dữ liệu
thử nghiệm độc lập. Nếu không thu thập được bằng chứng này, kiểm toán viên có thể
phải kết luận rằng tồn tại một điểm yếu trọng yếu của kiểm soát nội bộ và nguy cơ bị đe
dọa nghiêm trọng trong các chương trình ứng dụng là cao không thể chấp nhận được.
MỤC TIÊU 3: SỬA ĐỔI CHƯƠNG TRÌNH
Bảng 11-3 trình bày một khuôn khổ để đánh giá các thay đổi đối với các chương trình
ứng dụng và hệ thống phần mềm. Các mối đe dọa tương tự xảy ra trong quá trình phát
triển chương trình xảy ra trong chương trình sự sửa đổi.
Ví dụ: một lập trình viên được chỉ định sửa đổi hệ thống tính lương của công ty anh ta
đã chèn một lệnh để xóa tất cả các tệp công ty nếu anh ta bị chấm dứt hợp đồng. Khi
anh ta bị sa thải, hệ thống bị lỗi và xóa các tập tin quan trọng.
BẢNG 11-3 Khung đánh giá các sửa đổi chương trình
CÁC LOẠI LỖI VÀ LỖI
Lỗi lập trình do sơ ý hoặc mã chương trình trái phép
QUY TRÌNH KIỂM SOÁT
Liệt kê các thành phần chương trình cần sửa đổi
Ủy quyền quản lý và phê duyệt các sửa đổi chương trình
Sự chấp thuận của người dùng về các thông số kỹ thuật thay đổi chương trình
Kiểm tra kỹ lưỡng các thay đổi của chương trình, bao gồm kiểm tra sự chấp nhận của
người dùng
Hoàn thành tài liệu thay đổi chương trình, bao gồm cả phê duyệt
Các phiên bản phát triển, thử nghiệm và sản xuất riêng biệt của các chương trình
Các thay đổi được thực hiện bởi nhân viên độc lập với người dùng và lập trình viên
Kiểm soát truy cập logic
CÁC THỦ TỤC KIỂM TOÁN: XEM LẠI HỆ THỐNG
Xem xét các chính sách, tiêu chuẩn và thủ tục sửa đổi chương trình
Xem xét các tiêu chuẩn tài liệu để sửa đổi chương trình
Xem lại tài liệu cuối cùng về các sửa đổi chương trình
Xem xét các thủ tục kiểm tra sửa đổi chương trình và phê duyệt kiểm tra
Xem lại thông số kỹ thuật thử nghiệm, dữ liệu thử nghiệm và kết quả thử nghiệm
Xem xét các chính sách và thủ tục phê duyệt thử nghiệm
Xem xét các tiêu chuẩn đánh giá chương trình
Thảo luận các chính sách và thủ tục sửa đổi với quản lý, người dùng và nhân viên hệ
thống
Xem xét các chính sách và thủ tục kiểm soát truy cập hợp lý
CÁC THỦ TỤC KIỂM TOÁN: THỬ NGHIỆM KIỂM SOÁT
Xác minh người dùng và người quản lý ký phê duyệt cho các thay đổi chương trình
Xác minh rằng các thành phần chương trình cần sửa đổi đã được xác định và liệt kê
Xác minh rằng các thủ tục và tài liệu kiểm tra thay đổi chương trình tuân thủ các tiêu
chuẩn
Xác minh rằng các điều khiển truy cập logic có hiệu lực đối với các thay đổi chương
trình
Quan sát việc thực hiện thay đổi chương trình
Xác minh rằng các phiên bản phát triển, thử nghiệm và sản xuất riêng biệt được duy trì
Xác minh rằng các thay đổi không được thực hiện bởi người dùng hoặc nhân viên lập
trình
Kiểm tra các thay đổi chương trình trái phép hoặc sai sót bằng cách sử dụng chương
trình so sánh mã nguồn,
tái xử lý và mô phỏng song song
KIỂM SOÁT TOÀN DIỆN
Kiểm tra đánh giá độc lập đối với các thay đổi chương trình trái phép hoặc sai lầm
Kiểm soát xử lý mạnh mẽ
Khi một thay đổi chương trình được đệ trình để phê duyệt, một danh sách tất cả các
bản cập nhật bắt buộc phải được biên dịch và được phê duyệt bởi ban quản lý và
người sử dụng chương trình. Tất cả các thay đổi của chương trình phải được đã thử
nghiệm và ghi lại. Trong quá trình thay đổi, chương trình phát triển phải được giữ tách
biệt với phiên bản sản xuất. Sau khi chương trình sửa đổi được phê duyệt, việc sản
xuất phiên bản thay thế phiên bản phát triển.
Trong quá trình đánh giá hệ thống, đánh giá viên nên thảo luận về quá trình thay đổi với
ban giám đốc và nhân sự người dùng. Các chính sách, thủ tục và tiêu chuẩn để phê
duyệt, sửa đổi, thử nghiệm và việc ghi lại những thay đổi cần được kiểm tra. Tất cả các
tài liệu tài liệu cuối cùng cho chương trình các thay đổi, bao gồm cả các thủ tục và kết
quả thử nghiệm, cần được xem xét lại. Các thủ tục được sử dụng để hạn chế quyền
truy cập hợp lý vào chương trình phát triển cần được xem xét lại.
Một phần quan trọng của thử nghiệm kiểm soát là xác minh rằng các thay đổi của
chương trình đã được xác định, liệt kê, phê duyệt, kiểm tra và tài liệu. Đánh giá viên
cần xác minh rằng sự phát triển riêng biệt và các chương trình sản xuất được duy trì và
những thay đổi được thực hiện bởi một người độc lập của người dùng và các chức
năng lập trình. Kiểm soát truy cập của chương trình phát triển bảng được xem xét để
xác minh rằng chỉ những người dùng được ủy quyền mới có quyền truy cập vào hệ
thống.
Đánh giá viên nên kiểm tra các chương trình trên cơ sở bất ngờ để đề phòng việc nhân
viên chèn các thay đổi chương trình trái phép sau khi hoàn thành đánh giá và xóa
chúng trước khi kiểm toán tiếp theo. Có ba cách đánh giá viên kiểm tra các thay đổi
chương trình trái phép:
1. Sau khi thử nghiệm một chương trình mới, người đánh giá giữ một bản sao mã
nguồn của nó. Kiểm toán viên sử dụng một nguồn chương trình so sánh mã để so sánh
phiên bản hiện tại của chương trình với nguồn mã số. Nếu không có thay đổi nào được
cho phép, hai phiên bản phải giống hệt nhau; bất kỳ sự khác biệt nào nên được điều
tra. Nếu sự khác biệt là một thay đổi được cho phép, đánh giá viên sẽ kiểm tra chương
trình thay đổi thông số kỹ thuật để đảm bảo rằng các thay đổi đã được ủy quyền và kết
hợp chính xác.
2. Trong kỹ thuật xử lý lại, kiểm toán viên xử lý lại dữ liệu bằng cách sử dụng mã nguồn
và so sánh đầu ra với đầu ra của công ty. Sự khác biệt trong kết quả đầu ra được điều
tra.
3. Trong mô phỏng song song, đánh giá viên viết một chương trình thay vì sử dụng mã
nguồn, so sánh các kết quả đầu ra và điều tra bất kỳ sự khác biệt nào. Mô phỏng song
song có thể được sử dụng để thử nghiệm một chương trình trong quá trình thực hiện.
Ví dụ, Jason đã sử dụng kỹ thuật này để kiểm tra một phần hệ thống trả lương cho bộ
phận bán hàng mới của SPP.
Đối với mỗi thay đổi lớn của chương trình, đánh giá viên quan sát thử nghiệm và thực
hiện, xem xét các ủy quyền và tài liệu, và thực hiện các bài kiểm tra độc lập. Nếu bước
này bị bỏ qua và lập trình các biện pháp kiểm soát thay đổi sau đó được chứng minh là
không phù hợp, không thể dựa vào kết quả đầu ra của chương trình.
Nếu thiếu điều khiển thay đổi chương trình, điều khiển bù là so sánh mã nguồn, xử lý
lại hoặc mô phỏng song song do đánh giá viên thực hiện. Điều khiển xử lý âm thanh,
được kiểm tra viên độc lập, có thể bù đắp một phần cho những thiếu sót đó. Tuy vậy,
nếu thiếu sót là do hạn chế không đầy đủ về truy cập tệp chương trình, đánh giá viên
nên đề xuất mạnh mẽ các hành động để tăng cường các biện pháp kiểm soát truy cập
hợp lý của tổ chức.
MỤC TIÊU 4: XỬ LÝ MÁY TÍNH
Bảng 11-4 cung cấp một khuôn khổ để kiểm tra việc xử lý các giao dịch, tệp và các hồ
sơ máy tính để cập nhật tệp và cơ sở dữ liệu và tạo báo cáo.
Trong quá trình xử lý máy tính, hệ thống có thể không phát hiện được đầu vào sai,
không đúng cách sửa lỗi đầu vào, xử lý đầu vào sai, hoặc phân phối hoặc tiết lộ đầu ra
không đúng cách.
Bảng 11-4 trình bày các thủ tục kiểm soát để phát hiện và ngăn chặn các mối đe dọa
này và hệ thống xem xét và thử nghiệm các kiểm soát được sử dụng để hiểu các kiểm
soát, đánh giá tính đầy đủ của chúng và kiểm tra liệu chúng có hoạt động bình thường
hay không.
Đánh giá viên định kỳ đánh giá lại các kiểm soát xử lý để đảm bảo độ tin cậy liên tục
của chúng. Nếu như chúng không đạt yêu cầu, các kiểm soát dữ liệu nguồn và người
dùng có thể đủ mạnh để bù đắp. Nếu như không, tồn tại một điểm yếu trọng yếu và cần
thực hiện các bước để loại bỏ các thiếu sót trong kiểm soát.
Một số kỹ thuật chuyên biệt được sử dụng để kiểm tra các kiểm soát xử lý, mỗi kỹ thuật
đều có ưu nhược điểm riêng. Không có kỹ thuật nào hiệu quả cho mọi trường hợp; tất
cả đều thích hợp hơn trong một số tình huống và ít hơn ở những tình huống khác. Kiểm
toán viên không nên tiết lộ kỹ thuật mà họ sử dụng, bởi vì làm như vậy có thể làm giảm
hiệu quả của chúng. Mỗi thủ tục này bây giờ được giải thích.
BẢNG 11-4 Khung đánh giá kiểm soát xử lý máy tính
CÁC LOẠI LỖI VÀ LỖI
Không phát hiện được dữ liệu đầu vào không chính xác, không đầy đủ hoặc trái phép
Không thể sửa đúng các lỗi được gắn cờ bởi các thủ tục chỉnh sửa dữ liệu
Giới thiệu các lỗi vào tệp hoặc cơ sở dữ liệu trong quá trình cập nhật
Phân phối hoặc tiết lộ đầu ra máy tính không đúng cách
Sự thiếu chính xác cố ý hoặc vô ý trong việc báo cáo
QUY TRÌNH KIỂM SOÁT
Quy trình chỉnh sửa dữ liệu
Sử dụng hợp lý các nhãn tệp bên trong và bên ngoài
Đối chiếu tổng số lô
Quy trình sửa lỗi hiệu quả
Tài liệu vận hành dễ hiểu và hướng dẫn sử dụng
Giám sát có thẩm quyền đối với các hoạt động của máy tính
Xử lý hiệu quả đầu vào và đầu ra dữ liệu của nhân viên kiểm soát dữ liệu
Chuẩn bị danh sách thay đổi tệp và tóm tắt để bộ phận người dùng xem xét
Duy trì các điều kiện môi trường thích hợp trong cơ sở máy tính
CÁC THỦ TỤC KIỂM TOÁN: XEM LẠI HỆ THỐNG
Xem xét tài liệu quản trị để có các tiêu chuẩn kiểm soát xử lý
Xem lại tài liệu hệ thống để chỉnh sửa dữ liệu và các kiểm soát xử lý khác
Xem lại tài liệu vận hành để biết tính đầy đủ và rõ ràng
Xem lại các bản sao của danh sách lỗi, báo cáo tổng số hàng loạt và danh sách thay
đổi tệp
Quan sát các hoạt động của máy tính và các chức năng điều khiển dữ liệu
Thảo luận về quá trình xử lý và kiểm soát đầu ra với người vận hành và hệ thống thông
tin người giám sát
CÁC THỦ TỤC KIỂM TOÁN: THỬ NGHIỆM KIỂM SOÁT
Đánh giá mức độ đầy đủ của các tiêu chuẩn và thủ tục kiểm soát quá trình xử lý
Đánh giá tính đầy đủ và đầy đủ của các kiểm soát chỉnh sửa dữ liệu
Xác minh sự tuân thủ các quy trình kiểm soát xử lý bằng cách quan sát máy tính và dữ
liệu kiểm soát hoạt động
Xác minh rằng đầu ra của hệ thống ứng dụng được phân phối đúng cách
Đối chiếu một mẫu tổng số lô; theo dõi sự khác biệt
Theo dõi một mẫu dữ liệu chỉnh sửa các lỗi thường xuyên để đảm bảo xử lý thích hợp
Xác minh độ chính xác của quá trình xử lý các giao dịch nhạy cảm
Xác minh độ chính xác xử lý của các giao dịch do máy tính tạo
Tìm kiếm mã sai hoặc trái phép thông qua phân tích logic chương trình
Kiểm tra độ chính xác và đầy đủ của các kiểm soát xử lý bằng cách sử dụng dữ liệu thử
nghiệm
Giám sát các hệ thống xử lý trực tuyến bằng cách sử dụng các kỹ thuật đánh giá đồng
thời
Tạo lại các báo cáo đã chọn để kiểm tra độ chính xác và đầy đủ
KIỂM SOÁT TOÀN DIỆN
Kiểm soát người dùng mạnh mẽ và kiểm soát hiệu quả dữ liệu nguồn
XỬ LÝ DỮ LIỆU KIỂM TRA
Một cách để kiểm tra một chương trình là xử lý một tập hợp giá trị giả định và các giao
dịch không hợp lệ. Chương trình phải xử lý tất cả các giao dịch hợp lệ một cách chính
xác và từ chối tất cả những cái không hợp lệ. Tất cả các đường dẫn logic nên được
kiểm tra bằng một hoặc nhiều giao dịch thử nghiệm. Không hợp lệ dữ liệu bao gồm các
bản ghi bị thiếu dữ liệu, các trường chứa số lượng lớn không hợp lý, không hợp lệ số
tài khoản hoặc mã xử lý, dữ liệu phi số trong trường số và bản ghi ngoài sự nối tiếp.
Các tài nguyên sau đây rất hữu ích khi chuẩn bị dữ liệu thử nghiệm:
 Danh sách các giao dịch thực tế
 Các giao dịch thử nghiệm mà công ty đã sử dụng để thử nghiệm chương trình
 Một trình tạo dữ liệu thử nghiệm, chuẩn bị dữ liệu thử nghiệm dựa trên các thông
số kỹ thuật của chương trình
Trong hệ thống xử lý hàng loạt, chương trình của công ty và bản sao của các tệp có
liên quan được sử dụng để xử lý dữ liệu thử nghiệm. Kết quả được so sánh với đầu ra
chính xác đã xác định trước; sự khác biệt chỉ ra lỗi xử lý hoặc thiếu sót kiểm soát cần
điều tra.
Trong hệ thống trực tuyến, đánh giá viên nhập dữ liệu thử nghiệm, sau đó quan sát và
ghi lại phản hồi của hệ thống.
Nếu hệ thống chấp nhận các giao dịch thử nghiệm có sai sót, kiểm toán viên sẽ đảo
ngược các ảnh hưởng của giao dịch, điều tra vấn đề và khuyến nghị sửa chữa thiếu
sót.
Xử lý các giao dịch thử nghiệm có hai nhược điểm. Đầu tiên, kiểm toán viên phải chi
tiêu đáng kể thời gian hiểu hệ thống và chuẩn bị các giao dịch thử nghiệm. Thứ hai,
kiểm toán viên phải đảm bảo rằng dữ liệu thử nghiệm không ảnh hưởng đến các tệp và
cơ sở dữ liệu của công ty. Kiểm toán viên có thể đảo ngược ảnh hưởng của các giao
dịch thử nghiệm hoặc xử lý các giao dịch trong một lần chạy riêng biệt bằng cách sử
dụng bản sao của tệp hoặc cơ sở dữ liệu. Tuy nhiên, một lần chạy riêng biệt sẽ loại bỏ
một số tính xác thực có được từ xử lý dữ liệu thử nghiệm với các giao dịch thông
thường. Bởi vì các thủ tục đảo ngược có thể tiết lộ sự tồn tại và bản chất của thử
nghiệm kiểm toán viên đối với nhân sự chủ chốt, nó có thể kém hiệu quả hơn một thử
nghiệm được che giấu kiểm tra.
KỸ THUẬT KIỂM TOÁN HIỆN NAY
Vì các giao dịch có thể được xử lý trực tuyến hệ thống mà không để lại dấu vết đánh
giá, bằng chứng thu thập sau khi dữ liệu được xử lý là không đủ cho các mục đích kiểm
toán. Ngoài ra, do nhiều hệ thống trực tuyến xử lý các giao dịch liên tục, rất khó để
dừng hệ thống để thực hiện các thử nghiệm đánh giá. Do đó, kiểm toán viên sử dụng
các kỹ thuật đánh giá đồng thời để liên tục giám sát hệ thống và thu thập bằng chứng
đánh giá trong khi dữ liệu trực tiếp được xử lý trong giờ hoạt động thông thường. Các
kỹ thuật kiểm toán đồng thời sử dụng các mô-đun kiểm tra nhúng, là các đoạn mã
chương trình thực hiện các chức năng kiểm tra, báo cáo kết quả thử nghiệm và lưu trữ
bằng chứng thu thập được để kiểm toán viên xem xét. Đồng thời các kỹ thuật đánh giá
tốn nhiều thời gian và khó sử dụng nhưng sẽ ít hơn nếu được kết hợp khi các chương
trình được phát triển.
Kiểm toán viên thường sử dụng năm kỹ thuật kiểm toán đồng thời.
1. Cơ sở kiểm tra tích hợp (ITF) chèn các bản ghi hư cấu đại diện cho một bộ phận hư
cấu, bộ phận, khách hàng hoặc nhà cung cấp trong các tệp tổng thể của công ty. Xử lý
các giao dịch thử nghiệm để cập nhật chúng sẽ không ảnh hưởng đến hồ sơ thực tế.
Bởi vì hồ sơ hư cấu và thực tế được xử lý cùng nhau, nhân viên công ty không biết về
thử nghiệm. Hệ thống phân biệt ITF ghi lại từ hồ sơ thực tế, thu thập thông tin về các
giao dịch thử nghiệm, và báo cáo kết quả. Đánh giá viên so sánh dữ liệu đã xử lý với
kết quả dự kiến để xác minh rằng hệ thống và các điều khiển của nó hoạt động chính
xác. Trong hệ thống xử lý hàng loạt, ITF loại bỏ sự cần thiết phải đảo ngược các giao
dịch thử nghiệm. ITF kiểm tra hiệu quả quá trình xử lý trực tuyến hệ thống, bởi vì các
giao dịch thử nghiệm có thể được gửi thường xuyên, được xử lý với giao dịch và được
theo dõi qua mọi giai đoạn xử lý mà không làm gián đoạn quá trình xử lý thường xuyên
các hoạt động. Đánh giá viên phải cẩn thận để không kết hợp hồ sơ giả và hồ sơ thực
tế. trong quá trình báo cáo.
2. Trong kỹ thuật chụp nhanh, các giao dịch đã chọn được đánh dấu bằng một mã đặc
biệt. Kiểm toán các mô-đun ghi lại các giao dịch này và các bản ghi tệp chính của
chúng trước và sau khi xử lý và lưu trữ dữ liệu trong một tệp đặc biệt. Đánh giá viên
xem xét dữ liệu để xác minh rằng tất cả quá trình xử lý các bước đã được thực hiện
đúng.
3. Tệp xem xét đánh giá kiểm soát hệ thống (SCARF) sử dụng các mô-đun đánh giá
nhúng để liên tục giám sát hoạt động giao dịch, thu thập dữ liệu về các giao dịch có ý
nghĩa kiểm toán đặc biệt, và lưu trữ nó trong tệp SCARF hoặc nhật ký kiểm tra. Các
giao dịch được ghi lại bao gồm những vượt quá giới hạn đô la được chỉ định, liên quan
đến các tài khoản không hoạt động, đi chệch hướng khỏi công ty chính sách hoặc chứa
ghi giảm giá trị nội dung. Định kỳ, đánh giá viên kiểm tra nhật ký kiểm toán để xác định
và điều tra các giao dịch có vấn đề.
4. Móc câu kiểm toán là các quy trình kiểm toán thông báo cho kiểm toán viên về các
giao dịch đáng ngờ, thường là chúng xảy ra. Việc sử dụng các móc kiểm tra của State
Farm, bao gồm cả cách công ty phát hiện ra mối quan hệ lớn gian lận, được giải thích
trong Tiêu điểm 11-1.
5. Mô phỏng liên tục và gián đoạn (CIS) nhúng mô-đun kiểm toán vào cơ sở dữ liệu hệ
thống quản lý (DBMS) kiểm tra tất cả các giao dịch cập nhật cơ sở dữ liệu bằng cách
sử dụng tiêu chí tương tự như tiêu chí của SCARF. Nếu một giao dịch có ý nghĩa kiểm
toán đặc biệt, Mô-đun CIS xử lý dữ liệu một cách độc lập (theo cách tương tự như mô
phỏng song song), ghi lại kết quả và so sánh chúng với kết quả thu được bởi DBMS.
Khi sự khác biệt tồn tại, chúng được lưu trữ trong một nhật ký kiểm tra để điều tra tiếp
theo. Nếu sự khác biệt nghiêm trọng, CIS có thể ngăn không cho DBMS thực hiện cập
nhật.
PHÂN TÍCH LOGIC CHƯƠNG TRÌNH
Nếu người kiểm tra nghi ngờ rằng một chương trình chứa trái phép mã hoặc các lỗi
nghiêm trọng, một phân tích chi tiết về logic của chương trình có thể là cần thiết. Đây là
thời gian tiêu tốn và yêu cầu thông thạo ngôn ngữ lập trình thích hợp, vì vậy cần được
sử dụng như một phương sách cuối cùng. Kiểm toán viên phân tích tài liệu phát triển,
vận hành và chương trình như cũng như bản in mã nguồn. Họ cũng sử dụng các gói
phần mềm sau:
Các chương trình tăng lưu lượng tự động diễn giải mã nguồn và tạo chương trình sơ
đồ.
Các chương trình bảng quyết định tự động diễn giải mã nguồn và tạo ra một quyết định
bàn.
Quy trình quét tìm kiếm một chương trình cho tất cả các lần xuất hiện của các mục
được chỉ định.
Các chương trình ánh xạ xác định mã chương trình chưa thực thi. Phần mềm này có
thể đã phát hiện ra mã chương trình mà một lập trình viên vô đạo đức đã chèn vào để
xóa tất cả máy tính hồ sơ khi anh ta bị chấm dứt hợp đồng.
Theo dõi chương trình in tuần tự tất cả các bước chương trình được thực thi khi
chương trình chạy, xen kẽ với đầu ra thông thường để có thể quan sát được chuỗi các
sự kiện thực hiện chương trình.
Theo dõi chương trình giúp phát hiện các hướng dẫn chương trình trái phép, logic
không chính xác đường dẫn và mã chương trình chưa thực thi.
MỤC TIÊU 5: DỮ LIỆU NGUỒN
Ma trận kiểm soát đầu vào được sử dụng để lập tài liệu cho việc xem xét các kiểm soát
dữ liệu nguồn. Ma trận trong Hình 11-3 cho thấy các thủ tục kiểm soát được áp dụng
cho mỗi trường bản ghi đầu vào.
Chức năng kiểm soát dữ liệu nên độc lập với các chức năng khác, duy trì kiểm soát dữ
liệu ghi nhật ký, xử lý các lỗi và đảm bảo hiệu quả chung của các hoạt động. Nó thường
không kinh tế khả thi cho các doanh nghiệp nhỏ có chức năng kiểm soát dữ liệu độc
lập. Đến bù lại, các biện pháp kiểm soát của bộ phận người dùng phải mạnh hơn liên
quan đến việc chuẩn bị dữ liệu, hàng loạt kiểm soát tổng số, chỉnh sửa chương trình,
hạn chế truy cập vật lý và logic, và xử lý lỗi các thủ tục. Các thủ tục này phải là trọng
tâm trong quá trình xem xét hệ thống của kiểm toán viên và các thử nghiệm về kiểm
soát khi không có chức năng kiểm soát dữ liệu độc lập.
Mặc dù các biện pháp kiểm soát dữ liệu nguồn có thể không thay đổi thường xuyên,
nhưng chúng được áp dụng nghiêm ngặt như thế nào có thể thay đổi, và đánh giá viên
nên thường xuyên kiểm tra chúng. Đánh giá viên kiểm tra hệ thống bằng cách đánh giá
nguồn dữ liệu mẫu để ủy quyền thích hợp, điều chỉnh kiểm soát hàng loạt và đánh giá
liệu các lỗi chỉnh sửa dữ liệu có được giải quyết hay không và gửi lại để xử lý.
Nếu kiểm soát dữ liệu nguồn không đầy đủ, bộ phận người dùng và kiểm soát xử lý dữ
liệu có thể bù đắp. Nếu không, kiểm toán viên nên khuyến nghị rằng các thiếu sót trong
kiểm soát dữ liệu nguồn là đã sửa chữa.
Bảng 11-5 trình bày các biện pháp kiểm soát nội bộ nhằm ngăn chặn, phát hiện và sửa
chữa những điều không chính xác hoặc trái phép nguồn dữ liệu. Nó cũng cho thấy việc
xem xét hệ thống và các thử nghiệm của kiểm toán viên các thủ tục kiểm soát sử dụng.
Trong một hệ thống trực tuyến, các chức năng nhập và xử lý dữ liệu nguồn là một hoạt
động.
Do đó, các điều khiển dữ liệu nguồn được tích hợp với các điều khiển xử lý trong Bảng
11-4.
MỤC TIÊU 6: CÁC LỌC DỮ LIỆU
Mục tiêu thứ sáu liên quan đến tính chính xác, tính toàn vẹn và bảo mật của dữ liệu
được lưu trữ trên máy có thể đọc được các tập tin. Bảng 11-6 tóm tắt các sai sót, kiểm
soát và thủ tục kiểm toán đối với điều này mục tiêu. Nếu các điều khiển tệp bị thiếu
nghiêm trọng, đặc biệt là liên quan đến vật lý hoặc lôgic truy cập hoặc các thủ tục sao
lưu và phục hồi, đánh giá viên nên khuyến nghị họ đã được uốn nắn.
Cách tiếp cận đánh giá theo mục tiêu là một phương tiện toàn diện, có hệ thống và hiệu
quả đánh giá các kiểm soát nội bộ. Nó có thể được thực hiện bằng cách sử dụng danh
sách kiểm tra các thủ tục đánh giá cho từng mục tiêu. Danh sách kiểm tra giúp kiểm
toán viên đạt được kết luận riêng biệt cho từng mục tiêu và đề xuất các biện pháp bù
trừ khi thích hợp. Mỗi danh sách trong số sáu danh sách kiểm tra phải được hoàn
thành cho mỗi ứng dụng quan trọng.
BẢNG 11-5 Khung đánh giá kiểm soát dữ liệu nguồn
CÁC LOẠI LỖI VÀ LỖI
Dữ liệu nguồn không chính xác hoặc trái phép
QUY TRÌNH KIỂM SOÁT
Xử lý hiệu quả đầu vào dữ liệu nguồn bởi nhân viên kiểm soát dữ liệu
Ủy quyền của người dùng đối với đầu vào dữ liệu nguồn
Chuẩn bị và đối chiếu tổng số kiểm soát theo lô
Ghi nhật ký nhận, di chuyển và xử lý đầu vào dữ liệu nguồn
Kiểm tra xác minh số
Xác minh chính
Sử dụng các tài liệu quay vòng
Quy trình chỉnh sửa dữ liệu
Bộ phận người dùng xem xét danh sách thay đổi tệp và tóm tắt
Các thủ tục hiệu quả để sửa chữa và gửi lại dữ liệu sai sót
CÁC THỦ TỤC KIỂM TOÁN: XEM LẠI HỆ THỐNG
Xem lại tài liệu về trách nhiệm của chức năng kiểm soát dữ liệu
Xem xét tài liệu quản trị để biết các tiêu chuẩn kiểm soát dữ liệu nguồn
Xem lại các phương pháp ủy quyền và kiểm tra chữ ký ủy quyền
Xem lại tài liệu để xác định các bước xử lý và nội dung dữ liệu nguồn và các điều khiển
Kiểm soát dữ liệu nguồn tài liệu bằng cách sử dụng ma trận kiểm soát đầu vào
Thảo luận về kiểm soát dữ liệu nguồn với nhân viên kiểm soát dữ liệu, người dùng hệ
thống và người quản lý
CÁC THỦ TỤC KIỂM TOÁN: THỬ NGHIỆM KIỂM SOÁT
Quan sát và đánh giá hoạt động của bộ phận kiểm soát dữ liệu và các thủ tục kiểm soát
Xác minh việc bảo trì và sử dụng nhật ký kiểm soát dữ liệu thích hợp
Đánh giá cách xử lý các mục trong nhật ký lỗi
Kiểm tra dữ liệu nguồn để có ủy quyền thích hợp
Đối chiếu tổng số lô và theo dõi sự chênh lệch
Theo dõi vị trí của lỗi được gắn cờ bởi quy trình chỉnh sửa dữ liệu
KIỂM SOÁT TOÀN DIỆN
Kiểm soát người dùng và xử lý dữ liệu mạnh mẽ

PHẦN MỀM KIỂM TOÁN

Các kỹ thuật kiểm toán có sự hỗ trợ của máy tính (CAAT) đề cập đến phần mềm kiểm
toán, thường được gọi là phần mềm kiểm toán (GAS), sử dụng các thông số kỹ thuật
do kiểm toán viên cung cấp để tạo chương trình thực hiện các chức năng kiểm toán, do
đó tự động hóa hoặc đơn giản hóa quá trình kiểm toán. Hai trong các gói phần mềm
phổ biến nhất là Ngôn ngữ Kiểm soát Kiểm tra (ACL) và Dữ liệu Tương tác Chiết xuất
và Phân tích (IDEA). CAAT rất thích hợp để kiểm tra các tệp dữ liệu lớn để xác định các
hồ sơ cần kiểm tra giám sát hơn nữa của cuộc kiểm toán.
Chính phủ Hoa Kỳ đã phát hiện ra rằng CAAT là một công cụ có giá trị trong việc giảm
thiểu khối lượng thâm hụt ngân sách liên bang. Phần mềm được sử dụng để xác định
các khiếu nại Medicare gian lận và xác định chính xác các khoản phí quá cao của các
nhà thầu quốc phòng. Văn phòng Kế toán Tổng hợp (GAO) đã kiểm tra lại số liệu với
Sở Thuế vụ (IRS) và phát hiện ra rằng hàng nghìn các cựu chiến binh đã nói dối về thu
nhập của họ để đủ điều kiện nhận trợ cấp hưu trí. Khoảng 116.000 cựu chiến binh nhận
lương hưu dựa trên nhu cầu không tiết lộ 338 triệu đô la thu nhập từ tiết kiệm, cổ tức,
hoặc tiền thuê. Hơn 13.600 thu nhập không được báo cáo; một người đã không báo
cáo thu nhập trên 300.000 đô la. Khi Cơ quan Quản lý Cựu chiến binh (VA) thông báo
cho người thụ hưởng rằng thu nhập của họ sẽ được xác minh với IRS và Cục quản lý
an sinh xã hội, các cuộn lương hưu bị giảm hơn 13.000, với mức tiết kiệm 9 triệu đô la
một tháng. VA có kế hoạch sử dụng cùng một hệ thống để kiểm tra mức thu nhập của
những người xin chăm sóc y tế. Nếu thu nhập của họ được phát hiện là trên một mức
nhất định, bệnh nhân sẽ được yêu cầu thanh toán. Trong một ví dụ khác, một nhân viên
thu thuế mới ở một thị trấn nhỏ ở New England đã yêu cầu một khoản thuế kiểm toán.
Sử dụng CAAT, kiểm toán viên đã truy cập hồ sơ thu thuế trong bốn năm trước, đã sắp
xếp chúng theo ngày, tổng hợp thu theo tháng và tạo báo cáo thu thuế hàng tháng.
Phân tích cho thấy rằng các bộ sưu tập trong tháng Giêng và tháng Bảy, hai tháng bận
rộn nhất, đã giảm lần lượt 58% và 72%. Sau đó, kiểm toán viên đã sử dụng CAAT để
so sánh từng loại thuế hồ sơ thu tiền với hồ sơ tài sản. Họ đã xác định một số khác
biệt, bao gồm một cam kết của nhân viên thu thuế cũ, người đã sử dụng khoản thanh
toán của người đóng thuế khác để trang trải cho chính mình hóa đơn thuế quá hạn.
Cựu nhân viên thu thuế bị bắt vì tội tham ô.
Để sử dụng CAAT, kiểm toán viên quyết định các mục tiêu đánh giá, tìm hiểu về các
tệp và cơ sở dữ liệu để được đánh giá, thiết kế các báo cáo đánh giá và xác định cách
lập chúng. Thông tin này là được ghi trên các phiếu thông số kỹ thuật và nhập vào hệ
thống. Chương trình CAATs sử dụng thông số kỹ thuật để tạo ra một chương trình
đánh giá. Chương trình sử dụng một bản sao của công ty dữ liệu trực tiếp (để tránh
đưa ra bất kỳ sai sót nào) để thực hiện các thủ tục đánh giá và tạo ra các báo cáo kiểm
toán cụ thể. CAAT không thể thay thế phán đoán của kiểm toán viên hoặc giải phóng
kiểm toán viên khỏi các giai đoạn khác của cuộc kiểm toán. Ví dụ, kiểm toán viên vẫn
phải điều tra các khoản mục ngoại trừ báo cáo, xác minh tổng số tệp so với các nguồn
thông tin khác và kiểm tra và đánh giá cuộc kiểm toán mẫu.
CAAT đặc biệt có giá trị đối với các công ty có quy trình phức tạp, hoạt động phân tán,
khối lượng giao dịch cao hoặc nhiều ứng dụng và hệ thống khác nhau.
Sau đây là một số công dụng quan trọng hơn của CAAT:
Truy vấn tệp dữ liệu để truy xuất các bản ghi đáp ứng các tiêu chí đã chỉ định
Tạo, cập nhật, so sánh, tải xuống và hợp nhất các tệp
Tổng hợp, sắp xếp và lọc dữ liệu
Truy cập dữ liệu ở các định dạng khác nhau và chuyển đổi dữ liệu thành một định dạng
chung
Kiểm tra hồ sơ về chất lượng, tính đầy đủ, tính nhất quán và tính đúng đắn
Phân tầng hồ sơ, lựa chọn và phân tích các mẫu thống kê
Kiểm tra các rủi ro cụ thể và xác định cách kiểm soát rủi ro đó
Thực hiện các phép tính, phân tích thống kê và các phép toán khác
Thực hiện các thử nghiệm phân tích, chẳng hạn như phân tích tỷ lệ và xu hướng, tìm
kiếm bất ngờ hoặc các mẫu dữ liệu không giải thích được có thể chỉ ra gian lận
Xác định rò rỉ tài chính, không tuân thủ chính sách và các lỗi xử lý dữ liệu
Đối chiếu số lượng vật lý với số tiền được tính toán, kiểm tra độ chính xác văn thư của
các tiện ích mở rộng và số dư, kiểm tra các mục trùng lặp
Định dạng và in các báo cáo và tài liệu
Tạo giấy tờ công việc điện tử
BẢNG 11-6 Khung đánh giá kiểm soát tệp dữ liệu
CÁC LOẠI LỖI VÀ LỖI
Phá hủy dữ liệu được lưu trữ do lỗi, trục trặc phần cứng hoặc phần mềm và cố ý hành
động phá hoại hoặc phá hoại
Sửa đổi trái phép hoặc tiết lộ dữ liệu được lưu trữ
QUY TRÌNH KIỂM SOÁT
Lưu trữ dữ liệu trong thư viện tệp an toàn và hạn chế quyền truy cập vật lý vào tệp dữ
liệu
Kiểm soát truy cập logic và ma trận kiểm soát truy cập
Sử dụng đúng nhãn tệp và cơ chế chống ghi
Kiểm soát cập nhật đồng thời
Mã hóa dữ liệu cho dữ liệu bí mật
Phần mềm chống vi-rút
Sao lưu ngoài trang web của tất cả các tệp dữ liệu
Các thủ tục điểm kiểm tra và khôi phục để tạo điều kiện khôi phục hệ thống
CÁC THỦ TỤC KIỂM TOÁN: XEM LẠI HỆ THỐNG
Xem lại tài liệu để vận hành thư viện tệp
Xem xét các chính sách và thủ tục truy cập hợp lý
Xem xét các tiêu chuẩn về bảo vệ chống vi-rút, lưu trữ dữ liệu bên ngoài trang web và
quy trình khôi phục hệ thống
Xem lại các kiểm soát để cập nhật đồng thời, mã hóa dữ liệu, chuyển đổi tệp và đối
chiếu
tổng số tệp chính với tổng số kiểm soát độc lập
Kiểm tra kế hoạch khắc phục thảm họa
Thảo luận về các thủ tục kiểm soát tệp với người quản lý và người vận hành
CÁC THỦ TỤC KIỂM TOÁN: THỬ NGHIỆM KIỂM SOÁT
Quan sát và đánh giá các hoạt động của thư viện tệp
Xem lại hồ sơ về việc chỉ định và sửa đổi mật khẩu
Quan sát và đánh giá các thủ tục xử lý hồ sơ của nhân viên vận hành
Tuân thủ việc chuẩn bị và lưu trữ bên ngoài các tệp sao lưu
Xác minh việc sử dụng hiệu quả các quy trình bảo vệ chống vi-rút
Xác minh việc sử dụng các kiểm soát cập nhật đồng thời và mã hóa dữ liệu
Xác minh tính đầy đủ, đơn vị tiền tệ và thử nghiệm các kế hoạch khôi phục sau thảm
họa
Đối chiếu tổng số tệp chính với tổng số kiểm soát được duy trì riêng biệt
Tuân thủ các quy trình được sử dụng để kiểm soát việc chuyển đổi tệp
KIỂM SOÁT TOÀN DIỆN
Kiểm soát người dùng và xử lý dữ liệu mạnh mẽ
Kiểm soát bảo mật máy tính hiệu quả

KIỂM TOÁN HOẠT ĐỘNG CỦA MỘT AIS

Các kỹ thuật và thủ tục được sử dụng trong kiểm toán hoạt động tương tự như kiểm
toán thông tin hệ thống và báo cáo tài chính. Sự khác biệt cơ bản là phạm vi kiểm toán.
Một hệ thống thông tin kiểm toán chỉ giới hạn trong kiểm soát nội bộ và kiểm toán tài
chính đối với đầu ra của hệ thống, trong khi hoạt động kiểm toán bao gồm tất cả các
khía cạnh của quản lý hệ thống. Ngoài ra, mục tiêu của một kiểm toán hoạt động bao
gồm đánh giá hiệu lực, hiệu quả và việc đạt được mục tiêu.
Bước đầu tiên trong kiểm toán hoạt động là lập kế hoạch kiểm toán, trong đó phạm vi
và mục tiêu đánh giá được thiết lập, đánh giá sơ bộ hệ thống được thực hiện và đánh
giá dự kiến chương trình được chuẩn bị. Bước tiếp theo, thu thập bằng chứng, bao
gồm các hoạt động sau:
Xem xét tài liệu và chính sách điều hành
Xác nhận các thủ tục với nhân viên quản lý và điều hành
Quan sát các chức năng và hoạt động điều hành
Kiểm tra các kế hoạch và báo cáo tài chính và hoạt động
Kiểm tra độ chính xác của thông tin vận hành
Kiểm tra kiểm soát
Ở giai đoạn đánh giá bằng chứng, đánh giá viên đo lường hệ thống dựa trên một các
nguyên tắc quản lý hệ thống tốt nhất. Một điều quan trọng cần cân nhắc là kết quả của
các chính sách và thông lệ quản lý có ý nghĩa hơn bản thân các chính sách và thông lệ
đó.
Nghĩa là, nếu đạt được kết quả tốt thông qua các chính sách và thực hành về mặt lý
thuyết thiếu sót, thì đánh giá viên phải xem xét cẩn thận xem liệu các cải tiến được
khuyến nghị sẽ cải thiện đáng kể kết quả. Kiểm toán viên ghi lại các phát hiện và kết
luận của họ và thông báo chúng với ban quản lý.
Kiểm toán viên hoạt động lý tưởng được đào tạo và kinh nghiệm kiểm toán cũng như
một vài năm kinh nghiệm ở vị trí quản lý. Kiểm toán viên có kiến thức về kiểm toán
mạnh nhưng yếu kinh nghiệm quản lý thường thiếu quan điểm cần thiết để hiểu về
quản lý tiến trình.

TÓM TẮT VÀ KẾT LUẬN TÌNH HUỐNG

Jason đang cố gắng xác định cách chương trình mô phỏng song song của anh ấy tạo
ra hoa hồng bán hàng cao hơn những con số do chương trình của SPP tạo ra. Tin rằng
sự khác biệt này có nghĩa là đã xảy ra lỗi hệ thống, anh ấy yêu cầu xem lại bản sao
chương trình của SPP.
Chương trình dài dòng, vì vậy Jason đã sử dụng quy trình quét để tìm kiếm mã cho các
lần xuất hiện "40000", bởi vì đó là thời điểm mà tỷ lệ hoa hồng thay đổi, theo đối với
chính sách mới. Anh ta phát hiện ra tỷ lệ hoa hồng là 0,085 đối với doanh số bán hàng
vượt quá 40.000 đô la, trong khi chính sách kêu gọi chỉ 0,075. Một số tính toán nhanh
đã xác nhận rằng lỗi này gây ra sự khác biệt giữa hai chương trình.
Giám đốc kiểm toán của Jason đã gặp gỡ nhóm phát triển đầy bối rối, họ thừa nhận và
sửa lỗi mã hóa.
Người quản lý kiểm toán đã gọi cho Jason để chúc mừng anh ta. Anh ấy thông báo cho
Jason rằng không bị phát hiện lỗi lập trình sẽ làm tiêu tốn hơn 100.000 đô la mỗi năm
tiền hoa hồng bán hàng vượt quá. Jason rất biết ơn lời khen ngợi của người quản lý và
tận dụng cơ hội để chỉ ra những khiếm khuyết trong thực tiễn lập trình của nhóm phát
triển. Đầu tiên, tỷ lệ hoa hồng bảng đã được nhúng trong mã chương trình; thực hành
lập trình tốt đòi hỏi nó phải được lưu trữ trong một bảng riêng để chương trình sử dụng
khi cần thiết. Thứ hai, sự cố được gọi là đặt câu hỏi về chất lượng của các hoạt động
thử nghiệm và phát triển chương trình của SPP. Jason hỏi liệu một cuộc đánh giá hoạt
động sâu rộng hơn đối với các thông lệ đó có phù hợp hay không. Người quản lý kiểm
toán đồng ý rằng nó đáng được kiểm tra và hứa sẽ nêu vấn đề này trong cuộc họp tiếp
theo của anh ấy với Giám đốc kiểm toán nội bộ của Northwest.