1/18/2024

Kiểm toán Chương 3- Các công cụ và kỹ thuật

công sử dụng trong kiểm toán CNTT

nghệ 1

thông tin

Mục tiêu

Mô tả và giải thích được các công cụ kỹ thuật sử dụng trong

kiểm toán CNTT và cách chúng hỗ trợ quá trình kiểm toán
Mô tả về CAATs
Phân biệt giữa “Kiểm toán xung quanh máy tính” và “Kiểm
toán thông qua máy tính”.
Mô tả điều tra gian lận máy tính (computer forensics) và các
nguồn để đánh giá các công cụ và kỹ thuật điều tra gian lận
máy tính

1
 1/18/2024

Nội dung

Các công cụ và kỹ thuật sử dụng trong kiểm toán CNTT

Các kỹ thuật kiểm toán dùng máy tính hỗ trợ (Computer-

assisted audit techniques (CAATs)

Kiểm toán xung quanh máy tính và Kiểm tra thông qua máy
tính.

Công cụ điều tra gian lận máy tính (Computer Forensics

Tools)
3

Các công cụ và kỹ thuật sử dụng

trong kiểm toán CNTT
❖CNTT trở thành 1 phần không thể thiếu trong các chức
năng của tổ chức và các doanh nghiệp khách hàng đã sử
dụng hồ sơ, chứng từ điện tử thay thế dần các hồ sơ,
chứng từ bằng giấy
❖Các kiểm toán viên cần hiểu:
• Các công cụ và kỹ thuật để thử nghiệm (test) các hoạt động của
hệ thống máy tính và gắn kết, phân tích các tập tin dữ liệu trong
hệ thống.
• Các lợi ích của các công cụ để áp dụng hiệu quả trong công việc
kiểm toán
4

2
 1/18/2024

Các công cụ và kỹ thuật sử dụng

trong kiểm toán CNTT
Các công cụ và kỹ thuật sử dụng trong kiểm toán CNTT
gồm:
• Công cụ nâng cao hiệu suất kiểm toán (Audit productivity tools)
• Các kỹ thuật lập hồ sơ hệ thống (System documentation
techniques)
• Các kỹ thuật kiểm toán dùng máy tính hỗ trợ (Computer-assisted
audit techniques (CAATs)

Công cụ nâng cao hiệu suất kiểm toán (Audit

productivity tools)

❖Công cụ nâng cao hiệu suất kiểm toán (Audit productivity

tools). Là phần mềm tự động hóa chức năng kiểm toán và
tích hợp thông tin được thu thập
❖Giúp giảm thời gian thực hiện các nhiệm vụ liên quan
việc thực hiện kiểm toán, vi dụ lập kế hoạch, kiểm tra và
lập hồ sơ kết quả kiểm toán.

3
 1/18/2024

Công cụ nâng cao hiệu suất kiểm toán

(Audit productivity tools)

❖Có nhiều công cụ hỗ trợ để giúp thực hiện tự động nhiều

hoạt động kiểm toán, là các công cụ hỗ trợ kiểm toán 1
cách hiệu quả về các hoạt động:
• Lập kế hoạch và theo dõi kiểm toán (Audit planning
and tracking)
• Lập hồ sơ và thuyết trình (Documentation and
presentations)
• Truyền thông (Communication)
• Quản lý dữ liệu, giấy tờ làm việc điện tử và phần mềm
nhóm (Data management, electronic working papers,
and groupware)
• Quản lý tài nguyên (Resource management)
7

Công cụ nâng cao hiệu suất

kiểm toán (Audit
productivity tools)

Lập kế hoạch và theo dõi kiểm toán (Audit

planning and tracking)
• Các phần mềm truyền thống để lập kế
hoạch và theo dõi kiểm toán như Các
bảng tính (vd Excel), phần mềm CSDL
(database software), phần mềm quản lý
dự án (project management software)
thường là riêng lẻ, khó tích hợp.

4
 1/18/2024

Công cụ nâng cao hiệu suất

kiểm toán (Audit
productivity tools)

Lập kế hoạch và theo dõi kiểm toán

(Audit planning and tracking)
• Phần mềm công cụ hiệu quả cho
kiểm toán tích hợp việc lập kế hoạch
theo dõi kiểm toán giúp:
o Cung cấp việc cập nhật nhanh
và đảm bảo các giai đoạn lập kế
hoạch được đồng bộ
o Tự động hóa chức năng kiểm
toán

Công cụ nâng cao hiệu suất

kiểm toán (Audit
productivity tools)
Lập hồ sơ và thuyết trình (Documentation and
presentations)
• Các công cụ
o Bộ Microsoft Office
o Phần mềm hội nghị truyền hình
(Video conferencing)
o Phần mềm quay video
• Hỗ trợ:
o Lập hồ sơ với các bằng chứng kiểm
toán
o Tổ chức trình bày, thuyết trình trực
tuyến từ xa, rộng khắp các vùng địa
lý

10

10

5
 1/18/2024

Công cụ nâng cao hiệu suất kiểm toán(Audit

productivity tools)

Truyền thông (Communication)

• Các công cụ
o Các kết nối điện tử, truy cập trực tuyến cơ sở dữ liệu, sử dụng
trạm làm việc (terminal)
o Phần mềm hội nghị truyền hình (Video conferencing), ví dụ:
Cisco WebEx Meeting Center, Citrix GoToMeeting, and Adobe
Connect, among others.*
• Hỗ trợ:
o Truyền qua mạng các video, dữ liệu văn bản, tập tin, hồ sơ v.v..
qua các vùng địa lý hoặc giao tiếp trực tuyến
11

11

Công cụ nâng cao hiệu suất kiểm toán(Audit

productivity tools)

Truyền thông (Communication)

• Các công cụ
o Các kết nối điện tử, truy cập trực tuyến cơ sở dữ liệu, sử dụng
trạm làm việc (terminal)
o Phần mềm hội nghị truyền hình (Video conferencing), ví dụ:
Cisco WebEx Meeting Center, Citrix GoToMeeting, and Adobe
Connect, among others.*
• Hỗ trợ:
o Truyền qua mạng các video, dữ liệu văn bản, tập tin, hồ sơ v.v..
qua các vùng địa lý hoặc giao tiếp trực tuyến
12

12

6
 1/18/2024

Công cụ nâng cao hiệu suất kiểm toán(Audit

productivity tools)

Quản lý dữ liệu, giấy tờ làm việc điện tử và phần

mềm nhóm (Data management, electronic working
papers, and groupware)
• Các ứng dụng cơ sở dữ liệu có thể được phát triển để
tự động hợp nhất dữ liệu đầu vào điện tử từ tất cả các
chức năng kiểm toán
• Thông qua việc sử dụng cơ sở dữ liệu, ban quản lý
kiểm toán có thể giám sát tập trung và truy cập ngay
vào hoạt động quan trọng
13

13

Công cụ nâng cao hiệu suất kiểm toán(Audit

productivity tools)

Quản lý dữ liệu, giấy tờ làm việc điện tử và phần mềm nhóm (Data management, electronic
working papers, and groupware)

• Hồ sơ kiểm toán điện tử/giấy tờ làm việc điện tử (Electronic working papers-EWPs)
cũng làm thay đổi quy trình kiểm toán một cách đáng kể.

• EWPs làm việc với các phần mềm hình ảnh cho phép kết hợp các hình ảnh được
quét, email và ảnh kỹ thuật số vào tập tin làm bằng chứng kiểm toán.

• EWPs cho phép quản lý kiểm toán từ xa thông qua việc duy trì EWPs trong một
cơ sở dữ liệu tập trung

• Khi tạo và lập EWPs, kiểm toán viên có thể tham chiếu công việc của mình với
bằng chứng, thủ tục kiểm toán đã thực hiện và kết thúc công việc của mình mà
không cần đợi các thành viên khác trong nhóm kết thúc các phần việc của họ 14

14

7
 1/18/2024

Công cụ nâng cao hiệu suất kiểm

toán(Audit productivity tools)
Quản lý dữ liệu, giấy tờ làm việc điện tử và phần mềm nhóm
(Data management, electronic working papers, and groupware)

• Phần mềm nhóm (groupware) là một công cụ chuyên dụng

hoặc tập hợp các công cụ tương thích cho phép các nhóm
kinh doanh làm việc nhanh hơn, chia sẻ nhiều thông tin
hơn, giao tiếp hiệu quả hơn

15

15

Công cụ nâng cao hiệu suất kiểm toán(Audit

productivity tools)

Quản lý tài nguyên (Resource management)

• Thông qua việc xem xét trực tuyến các EWPs, các giám sát và ban
quản lý kiểm toán có thể được thu thập và phổ biến nhanh chóng
thông tin trên toàn bộ chức năng thông qua e-mail và bảng tin hoặc
diễn đàn máy tính. Người giám sát có thể cung cấp phản hồi và chỉ
đạo ngay lập tức các dự án kiểm toán thông qua việc xem xét trực
tuyến các EWPs:
-> Giúp quản lý hiệu quả đội ngũ nhân viên kiểm toán từ xa (thực
hiện ở nhiều cuộc kiểm toán ở xa) là 1 vấn đề thách thức

16

16

8
 1/18/2024

Các kỹ thuật lập hồ sơ hệ thống (System

documentation techniques)

Là các phương pháp, ví dụ lưu đồ (flowcharting), sơ đồ dòng

dữ liệu (data flow diagram), và sơ đồ quy trình kinh doanh
(business process diagrams) v.v được áp dụng cho lập hồ sơ
và thử nghiệm (test) các hệ thống ứng dụng, quy trình CNTT
và sự tích hợp của chúng trong môi trường CNTT

17

17

Các kỹ thuật lập hồ sơ hệ thống (System

documentation techniques)

Lưu đồ (flowcharting)
• Được sử dụng trong giai đoạn phân tích, để xác định và đánh giá điểm mạnh
và điểm yếu của hệ thống kiểm soát trong hệ thống kế toán, tài chính được
kiểm toán. Nó giúp đánh giá
o Chất lượng của hồ sơ hệ thống
o Tính đầy đủ của các kiểm soát thủ công hoặc tự động
o Hiệu quả xử lý bằng chương trình máy tính (tức là liệu việc xử lý có cần
thiết hay không hoặc dư thừa, và liệu trình tự xử lý có phù hợp hay
không)
o Tính hữu ích của kết quả đầu ra, bao gồm các báo cáo và tập tin được
lưu trữ

18

18

9
 1/18/2024

Các kỹ thuật lập hồ sơ hệ thống (System

documentation techniques)

Lưu đồ (flowcharting)
• Các bước phát triển lưu đồ
o Hiểu các dữ liệu về hệ thống ứng dụng: Thu thập, xem xét các dữ
liệu, hồ sơ mô tả hệ thống; phỏng vấn người sử dụng liên quan,
phân tích hệ thống và lập trình; phân tích hồ sơ doanh nghiệp
o Xác định các chứng từ và luân chuyển của nó trong hệ thống
o Xác định các thành phần dữ liệu
o Tạo / vẽ sơ đồ, lưu đồ
19

19

Các kỹ thuật lập hồ sơ hệ thống (System

documentation techniques)

Lưu đồ (flowcharting)
• Các bước phát triển lưu đồ (tiếp)
o Đánh giá chất lượng hồ sơ hệ thống
o Đánh giá các kiểm soát chứng từ: đánh giá các điểm kiểm soát
mô tả trong lưu đồ
o Xác định tính hữu hiệu của hoạt động xử lý dữ liệu
o Đánh giá tính chính xác, đầy đủ và hữu ích của các báo cáo
20

20

10
 1/18/2024

Các kỹ thuật lập hồ sơ hệ thống (System

documentation techniques)

Sự phù hợp của các kỹ thuật lập hồ sơ hệ thống

• Lưu ý các mục đích sử dụng khác nhau giữa lưu đồ trong
kiểm toán máy tính và các vùng mở rộng của phân tích hệ
thống
o DFD hướng tới quy trình và nhấn mạnh các luân chuyển và xử lý
logic dữ liệu.
o Ngược lại, lưu đồ (FC) nhấn mạnh các bước xử lý và kiểm soát
vật lý. Cách nhìn định hướng kiểm soát là sự quan tâm chính của
kiểm toán viên.
21

21

Các kỹ thuật kiểm toán dùng máy

tính hỗ trợ (Computer-assisted audit
techniques (CAATs)

❖CAATs Là phần mềm giúp kiểm

toán viên (Kiểm toán CNTT và /hoặc
kiểm toán báo cáo tài chính):
o Đánh giá các kiểm soát ứng
dụng,
o Lựa chọn và phân tích dữ liệu
trên máy tính cho thử nghiệm
kiểm toán cơ bản

22

22

11
 1/18/2024

Các kỹ thuật kiểm toán dùng máy

tính hỗ trợ (Computer-assisted audit
techniques (CAATs)

❖CAATs giúp nhanh chóng thu thập, đánh

giá khối lượng lớn dữ liệu; phân tích dữ
liệu đã thu thập để có cái nhìn toàn diện
về một qui trình;
o Common CAATs, ACL, và
Interactive Data Extraction and
Analysis (IDEA) : giúp xác định rõ
xu hướng dữ liệu và đánh giá tính
tin cậy của dữ liệu
o Microsoft Access and Microsoft
Excel có thể giúp phân tích dữ liệu,
tạo báo cáo và truy vấn dữ liệu

23

23

Các kỹ thuật kiểm toán dùng máy

tính hỗ trợ (Computer-assisted audit
techniques (CAATs)

❖ CAATs giúp nhanh chóng thu thập, đánh giá

khối lượng lớn dữ liệu; phân tích dữ liệu đã
thu thập để có cái nhìn toàn diện về một qui
trình;
o Quản lý kiểm toán SAP (là một phần của
phần mềm tuân thủ và đảm bảo SAP,
được gói gọn trong SAP GRC) giúp hợp
lý hóa quy trình kiểm toán bằng cách
cung cấp các giải pháp thay thế hiệu quả
về mặt chi phí cho bảng tính và công cụ
thủ công. Nó giúp ghi lại bằng chứng, tổ
chức giấy tờ làm việc và tạo báo cáo
kiểm toán. Nó hỗ trợ phân tích, giúp
cuộc kiểm toán từ tập trung việc đảm
bảo sang nhìn sâu vào bên trong và đưa
ra lời khuyên, tư vấn. 24

24

12
 1/18/2024

Các kỹ thuật kiểm toán dùng

máy tính hỗ trợ (Computer-
assisted audit techniques
(CAATs)

CAATs dùng trong xác định cỡ mẫu

và lựa chọn lấy mẫu kiểm toán
o Ví dụ: ACL tự động tính toán cỡ
mẫu và chọn một mẫu từ tổng
thể. Các ứng dụng bảng tính
cũng tạo ra các đại lượng ngẫu
nhiên để chọn mẫu.

25

25

Các kỹ thuật kiểm toán dùng

máy tính hỗ trợ (Computer-
assisted audit techniques
(CAATs)

Có hai loại kỹ thuật lấy mẫu:

o Lấy mẫu dựa trên xét đoán
(Judgmental sampling) Mẫu được
chọn dựa trên kiến thức và kinh
nghiệm của kiểm toán viên.
o Lấy mẫu thống kê (Statistical
sampling). Mẫu được chọn ngẫu
nhiên và đánh giá thông qua việc áp
dụng lý thuyết xác suất.

26

26

13
 1/18/2024

Các kỹ thuật kiểm toán dùng

máy tính hỗ trợ (Computer-
assisted audit techniques
(CAATs)

Cả hai phương pháp đều cho phép kiểm

toán viên đưa ra dự đoán tổng thể. Tuy
nhiên, chỉ lấy mẫu thống kê mới cho
phép kiểm toán viên định lượng rủi ro
rằng mẫu không đại diện cho tổng thể.

27

27

Các kỹ thuật kiểm toán dùng máy tính hỗ trợ

(Computer-assisted audit techniques (CAATs)

Có nhiều loại CAAT hữu ích khi kiểm tra ứng dụng và tính toàn vẹn dữ liệu

Phần mềm kiểm toán tổng quát (Generalized audit software). Nó có thể được sử dụng để
phân tích logic và sự tính toán của bảng tính về độ chính xác và đầy đủ, đánh giá dữ liệu
được tạo từ các ứng dụng (nằm trong cơ sở dữ liệu) và tạo sơ đồ dòng dữ liệu logic. Ví dụ,
kiểm toán viên kiểm toán tài chính sử dụng phần mềm kiểm toán tổng quát để:

✓ Phân tích và so sánh các tập tin

✓ Lựa chọn các mẫu tin (records) cụ thể để kiểm tra

✓ Tiến hành lấy mẫu ngẫu nhiên

✓ Xác thực (Validate) tính toán
✓ Chuẩn bị thư xác nhận

✓ Phân tích theo thời gian các tập tin nghiệp vụ 28

28

14
 1/18/2024

Các kỹ thuật kiểm toán dùng máy tính hỗ trợ

(Computer-assisted audit techniques (CAATs)

o Kỹ thuật khai thác dữ liệu (Data Mining) giúp phân tích dữ liệu
theo nhiều chiều, nhiều góc nhìn và tổng hợp chúng thành các
thông tin hữu ích hơn. Nó có thể được sử dụng trong kiểm toán cơ
sở dữ liệu.
o Phân tích dữ liệu (Data Analytics) dùng phân tích dữ liệu thô
(raw data) để vẽ ra các kết luận về xu thế v.v..

29

29

Các kỹ thuật kiểm toán dùng máy tính hỗ trợ

(Computer-assisted audit techniques (CAATs)

Một số gói phần mềm phổ biến nhất bao gồm Audit
Analytics by Arbutus Software, TopCAATs,
CaseWare Analytics IDEA Data Analysis,
Easy2Analyse, TeamMate, and ACL

30

30

15
 1/18/2024

Các kỹ thuật kiểm toán dùng máy tính hỗ trợ

(Computer-assisted audit techniques (CAATs)

Audit Command Language- ACL .

o Là phần mềm kiểm toán tổng quát (general audit software) có thể đọc dữ
liệu từ hầu hết các định dạng (ví dụ: cơ sở dữ liệu, tập tin được phân
tách, tập tin văn bản, tập tin Excel, v.v.) và cung cấp lựa chọn dữ liệu,
phân tích dữ liệu và báo cáo.
o Là công cụ được thiết kế để hỗ trợ kiểm toán các ứng dụng vì nó có thể
xử lý lượng lớn dữ liệu.
o Các chức năng ACL bao gồm: (1) xác định số dư âm, tối thiểu và tối đa;
(2) thực hiện lấy mẫu thống kê và phân tích theo thời gian (3) xác định
các mẫu tin bị trùng lặp hoặc bị thiếu trong kiểm tra trình tự. 4) thực hiện
so khớp
31

31

Các kỹ thuật kiểm toán dùng máy tính hỗ trợ

(Computer-assisted audit techniques (CAATs)

Audit Command Language- ACL .

o Lợi ích của ACL
✓ Đánh giá tổng quát hiệu quả của định dạng và cấu trúc tập tin
✓ Có khả năng nhập nhiều loại tập tin dữ liệu thô
✓ Dễ dàng tạo mẫu kiểm toán và mô tả tóm tắt mẫu
✓ Tăng phạm vi thử nghiệm và nâng cao hiệu quả
✓ Các tập lệnh có thể được thực thi trong giai đoạn hiện tại và tiếp theo
✓ Hộp thoại để sử dụng trong các ứng dụng tương tác
✓ Tăng cường hiểu biết về quy trình và hệ thống trong các môi trường phức tạp
✓ Giảm qui trình/thủ tục thủ công
32

32

16
 1/18/2024

Các kỹ thuật kiểm toán dùng máy tính hỗ trợ

(Computer-assisted audit techniques (CAATs)

Audit Command Language- ACL .

o Các đặc trưng ACL
✓Xác định và nhập dữ liệu vào ACL
✓Tùy chỉnh chế độ xem.
✓Lọc dữ liệu
✓Phân tích dữ liệu.

33

33

Các kỹ thuật kiểm toán dùng máy tính hỗ trợ

(Computer-assisted audit techniques (CAATs)

Audit Command Language- ACL .

o Các bước khi lập kế hoạch cho dự án phân tích dữ liệu ACL
✓ Bước 1. Nhận diện, hiểu dữ liệu cần có
✓ Bước 2. Truy cập dữ liệu
✓ Bước 3. Kiểm tra tính toàn vẹn của dữ liệu
✓ Bước 4: Phân tích và kiểm tra dữ liệu
✓ Bước 5: Báo cáo kết quả

34

34

17
 1/18/2024

Các kỹ thuật kiểm toán dùng máy

tính hỗ trợ (Computer-assisted
audit techniques (CAATs)

CAATs dùng trong kiểm toán kiểm soát ứng

dụng (auditing application controls)
• Khi kiểm toán các hoạt động kiểm soát
ứng dụng, kiểm toán viên sẽ đánh giá các
kiểm soát đầu vào, kiểm soát xử lý và
kiểm soát đầu ra.
• Kiểm toán “kiểm soát ứng dụng” còn
được gọi là “kiểm soát tự động”.

35

35

Các kỹ thuật kiểm toán dùng máy

tính hỗ trợ (Computer-assisted
audit techniques (CAATs)
CAATs dùng trong kiểm toán kiểm soát ứng dụng
(auditing application controls)
• CAATs rất hữu ích cho kiểm toán viên khi đánh giá
các kiểm soát ứng dụng.
o Kiểm toán viên thử nghiệm (test) các kiểm soát
ứng dụng trên các bảng tính (spreadsheet)
và/hoặc cơ sở dữ liệu của khách hàng, bao
gồm: kiểm tra độ chính xác về mặt toán học
của các mẫu tin; hợp lệ của dữ liệu đầu vào;
kiểm tra trình tự chuỗi số (numerical sequence
checks), cùng nhiều thử nghiệm khác.
o Kiểm toán viên phải đảm bảo các loại kiểm
soát này được triển khai trong ứng dụng một
cách hiệu quả để đảm bảo kết quả chính xác. 36

36

18
 1/18/2024

Các kỹ thuật kiểm toán dùng máy tính hỗ trợ

(Computer-assisted audit techniques (CAATs)

CAATs dùng trong kiểm toán kiểm soát ứng

dụng (auditing application controls)
• Kiểm soát bảng tính (spreadsheet controls)
o Các nguy cơ với bảng tính (vd excel) thường là “thiếu sự tin
cậy, thiếu khả năng kiểm toán và thiếu kiểm soát sửa đổi”.
o Kiểm toán viên sử dụng CAATs để đánh giá các bảng tính do
khách hàng hoặc tổ chức chuẩn bị về các kiểm soát để giảm
thiểu nguy cơ dữ liệu xấu và logic không chính xác, đặc biệt
nếu bảng tính được sử dụng lại.
37

37

❖ CAATs dùng trong kiểm toán kiểm soát ứng dụng (auditing application
controls)
o Một số thủ tục kiểm soát quan trọng giúp giảm thiểu rủi ro trong quá trình
phát triển và sử dụng bảng tính bao gồm:
Các kỹ thuật ✓ Phân tích. Tìm hiểu các yêu cầu trước khi xây dựng bảng tính
kiểm toán dùng ✓ Nguồn dữ liệu. Đảm bảo rằng dữ liệu đang được sử dụng là hợp lệ,
đáng tin cậy và có thể được xác thực nguồn gốc
máy tính hỗ trợ ✓ Đánh giá thiết kế. Đánh giá được thực hiện bởi đồng nghiệp hoặc
chuyên gia hệ thống
(Computer- ✓ Tài liệu. Các công thức, lệnh macro và mọi thay đổi đối với bảng tính
phải được lập hồ sơ bên ngoài và ghi trong bảng tính
assisted audit
✓ Xác minh logic. Kiểm tra và so sánh tính hợp lý với các kết quả đầu ra
techniques đã biết

(CAATs) ✓ Mức độ đào tạo. Đào tạo chính thức về thiết kế, thử nghiệm và triển
khai bảng tính
✓ Phạm vi kiểm toán. Đánh giá thiết kế không chính thức hoặc thủ tục
kiểm toán chính thức
✓ Cam kết hỗ trợ. Bảo dưỡng và hỗ trợ ứng dụng liên tục từ nhân viên
CNTT​
38

38

19
 1/18/2024

Các kỹ thuật kiểm toán dùng máy tính hỗ trợ

(Computer-assisted audit techniques (CAATs)

❖ CAATs dùng trong kiểm toán kiểm soát ứng dụng (auditing application controls)
Kiểm soát cơ sở dữ liệu (Database controls)
Cơ sở dữ liệu của bộ phận phải được kiểm soát nhằm ngăn chặn những thay đổi trái
phép đối với dữ liệu.
✓ Cần được giữ trong một thư mục chương trình riêng và giới hạn ở mức “chỉ
thực thi”.
✓ Kích hoạt khả năng “chỉ đọc” cho người dùng đối với dữ liệu tĩnh.
✓ Quyền truy cập phải xác định cho người dùng cụ thể
✓ Màn hình nhập liệu chỉ bao gồm các kiểm soát chỉnh sửa giới hạn trong các
tùy chọn hợp lệ (valid options).

39

39

Kiểm soát cơ sở dữ liệu (Database controls)

Các thủ tục kiểm soát thường được kiểm toán viên đánh giá
✓ Tính toàn vẹn của tham chiếu (Referential integrity). Ngăn chặn
Các kỹ thuật việc xóa các dữ liệu đang trong quan hệ liên kết (key values) khỏi
các bảng dữ liệu liên quan.
kiểm toán dùng ✓ Tính toàn vẹn của nghiệp vụ (Transaction integrity). Khôi phục
máy tính hỗ trợ giá trị của các nghiệp vụ không thành công (unsuccessful
transactions)
(Computer- ✓ Tính toàn vẹn của thực thể (Entity integrity). Tạo nhận dạng mẫu
tin/bản ghi (record) duy nhất
assisted audit ✓ Các ràng buộc về giá trị (Value constraints). Giới hạn giá trị trong
phạm vi đã chọn
techniques
✓ Bảo vệ cập nhật đồng thời (Concurrent update protection). Ngăn
(CAATs) chặn sự sai sót của dữ liệu
✓ Bảo vệ sao lưu và phục hồi (Backup and recovery protection).
Đảm bảo sao lưu thông tin và ứng dụng quan trọng để khôi phục
tiếp tục
✓ Thử nghiệm khả năng bảo vệ (Testing protection). Thực hiện kiểm
thử ở cấp độ hệ thống, ứng dụng và đơn vị​
40

40

20
 1/18/2024

Các kỹ thuật kiểm toán dùng máy

tính hỗ trợ (Computer-assisted
audit techniques (CAATs)
CAATs dùng trong đánh giá việc vận hành
(Operational Reviews)
• Phần mềm còn giúp thực hiện các thử nghiệm
vận hành (operational tests) và thu thập thông
tin về tính hiệu quả của các hoạt động kiểm
soát chung. Ví dụ như Access trong MS
Office, MS Excel
• Trọng tâm của việc đánh giá vận hành là đánh
giá tính hữu hiệu, hiệu quả và đạt được mục
tiêu liên quan đến vận hành quản lý hệ thống
thông tin. Các bước kiểm toán cơ bản trong
đánh giá hoạt động cũng tương tự như kiểm
toán CNTT hoặc kiểm toán báo cáo tài chính, 41
ngoại trừ phạm vi.

41

CAATs dùng trong đánh giá việc vận hành

Các kỹ thuật (Operational Reviews)

kiểm toán
dùng máy
tính hỗ trợ Các hoạt động cụ thể trong đánh giá vận hành bao
(Computer- gồm:

assisted audit
• Đánh giá các chính sách và tài liệu vận hành
techniques • Xác nhận các thủ tục với nhân viên quản lý và điều hành
• Quan sát các chức năng và hoạt động vận hành
(CAATs) • Kiểm tra các kế hoạch, và báo cáo tài chính và báo cáo hoạt
động
• Thử nghiệm độ chính xác của thông tin vận hành
• Thử nghiệm các biện pháp kiểm soát vận hành

42

42

21
 1/18/2024

Kiểm toán xung quanh máy tính (Auditing around the

Kiểm toán xung computer)

quanh máy tính • Là cách kiểm toán tập trung vào đối chiếu các tài liệu nguồn
và kết quả đầu ra. Nó còn gọi là cách tiếp cận kiểm toán hộp
(Auditing đen “black box auditing approach”
around the • Khi thực hiện kiểm toán xung quanh máy tính, kiểm toán
viên sẽ thu thập các tài liệu nguồn có liên quan đến các giao
computer) và dịch đầu vào cụ thể và đối chiếu chúng với kết quả đầu ra.
kiểm toán xuyên Do đó, các hồ sơ tài liệu hỗ trợ kiểm toán được rút ra và đưa
ra kết luận mà không cần xem xét cách xử lý đầu vào để
máy tính cung cấp đầu ra.
(Auditing • Điểm yếu chính của việc kiểm toán này là nó không xác
through the minh hoặc đánh giá xem tính logic chương trình của ứng
dụng có chính xác hay không. Đây là đặc điểm của việc kiểm
computer) toán thông qua phương pháp tiếp cận máy tính (hay “phương
pháp kiểm toán hộp trắng”).

43

43

Kiểm toán
xung quanh
máy tính
Kiểm toán xuyên máy tính (Auditing through the
(Auditing computer)
around the • Là cách kiểm toán xác minh hoặc đánh giá xem tính
computer) và logic chương trình của ứng dụng có chính xác hay
không. Đây là phương pháp tiếp cận “kiểm toán hộp
kiểm toán trắng” (the “white box auditing approach”) .
xuyên máy tính
(Auditing
through the
computer)
44

44

22
 1/18/2024

Kiểm toán xuyên máy tính (Auditing through the computer)

o Là nhiều kỹ thuật khác nhau để đánh giá cách ứng dụng và các kiểm soát
ứng dụng phản ứng với các loại nghiệp vụ có thể sai sót. Nó cung cấp
khả năng kiểm toán và đánh giá liên tục ứng dụng/hệ thống; đồng thời
cung cấp sự đảm bảo cho ban quản lý và kiểm toán hoặc nhân viên an
ninh rằng các biện pháp kiểm soát đang hoạt động như kế hoạch, thiết kế
và triển khai.
o Khi kiểm toán liên quan đến việc sử dụng công nghệ tiên tiến hoặc ứng
dụng phức tạp, kiểm toán viên CNTT phải sử dụng các kỹ thuật kết hợp
với các công cụ để kiểm tra và đánh giá ứng dụng.
o Các kỹ thuật được sử dụng phổ biến nhất bao gồm tích hợp các thử
nghiệm các tiện ích (facility), dữ liệu, mô phỏng song song, mô dun kiểm
toán gắn kèm, các tập tin đánh giá kiểm toán kiểm soát hệ thống và thẻ
gắn kết nghiệp vụ.
o Nhiều kỹ thuật trong số này phải được gắn vào ứng dụng để kiểm toán
viên và nhân viên an ninh thông tin sử dụng.
45

45

Kiểm toán xung quanh máy tính (Auditing

around the computer) và kiểm toán xuyên
máy tính (Auditing through the computer)
Exhibit 4.10 Computer-Assisted Audit Techniques

46

46

23
 1/18/2024

Công cụ điều tra gian lận máy tính

(Computer Forensics Tools)

• Điều tra máy tính là việc kiểm tra, phân tích, thử nghiệm và đánh giá
tài liệu dựa trên máy tính được tiến hành để cung cấp thông tin liên
quan và hợp lệ cho tòa án.
• Các công cụ điều tra máy tính được sử dụng ngày càng nhiều để hỗ
trợ thực thi pháp luật, an toàn máy tính và điều tra kiểm toán máy tính.

47

47

Công cụ điều tra gian lận máy tính

(Computer Forensics Tools)

Một nguồn tốt để đánh giá các công cụ điều tra máy tính là Trang web Computer
Forensics Tool Testing (CFTT) Project Website tại www.cftt.nist.gov/. CFTT là
dự án chung của NIST, Hoa Kỳ.Viện Tư pháp Quốc gia (NIJ), Cục Điều tra Liên
bang (FBI), Phòng thí nghiệm điều tra gain lận Máy tính của Quốc phòng
(DCFL), Cục Hải quan Hoa Kỳ và các cơ quan khác để phát triển các chương
trình thử nghiệm các công cụ điều tra gian lận máy tính được sử dụng trong điều
tra tội phạm thuộc Bộ Tư pháp.

48

48

24
 1/18/2024

Công cụ điều tra gian lận

máy tính (Computer
Forensics Tools)
Một công cụ được CFTT xem xét gần
đây là EnCase Forensics của
Guidance Software, Inc. EnCase cho
phép điều tra gian lận máy tính
“không xâm lấn”, cho phép người
kiểm tra xem các tập tin liên quan,
bao gồm các tập tin “đã xóa”, độ trễ
của tập tin (file slack) và không gian
chưa được phân bổ.

49

49

Công cụ điều tra gian lận

máy tính (Computer
Forensics Tools)
Các hiệp hội hoặc tổ chức chuyên
nghiệp hỗ trợ kinh nghiệm sử dụng
các công cụ điều tra máy tính có thể là
Hiệp hội Điều tra Tội phạm Công
nghệ Cao Quốc tế, Hiệp hội Giám
định Gian lận được Chứng nhận, Viện
Kiểm toán Nội bộ, Lực lượng Đặc
nhiệm Tội phạm Điện tử của Chính
phủ Liên bang, Máy tính Khu vực
FBI.

50

50

25
 1/18/2024

Công cụ điều tra gian lận

máy tính (Computer
Forensics Tools)
Lưu ý rằng khi áp dụng các công
cụ điều tra máy tính, cần phải
nhận thức được phương pháp luận
điều tra,các quy trình và thủ tục
phải được tuân thủ để đảm bảo
rằng bằng chứng có thể được thu
thập thành công, được lập hồ sơ
và không bị sai sót; đảm bảo có
thể làm bằng chứng được sử dụng
tại tòa án

51

51

26