Professional Documents
Culture Documents
1
Mục tiêu
• Mô tả phạm vi kiểm toán
• Hiểu về khuôn mẫu COBIT và giải thích lý do tại sao COBIT là hữu
ích
• Hiểu quy trình kiểm toán và mô tả các giai đoạn của một cuộc
kiểm toán CNTT.
2
Nội dung
• COBIT
3
Thuật ngữ
An internal Bảng câu Hỗ trợ kiểm tra các biện pháp kiểm soát có được thực
control hỏi về hiện để phát hiện, ngăn chặn hoặc sửa chữa sai sót
questionnaire KSNB trọng yếu hay không.
(ICQ)
Audit Plan Kế hoạch Lập kế hoạch kiểm toán là một chức năng cơ bản cần
kiểm toán thiết để mô tả những gì phải hoàn thành, bao gồm
ngân sách về thời gian và chi phí cũng như nêu rõ các
ưu tiên theo mục tiêu và chính sách của tổ chức.
Audit Thủ tục Xác định các thủ tục hoặc hoạt động để đánh giá các
Procedures kiểm toán mục tiêu kiểm soát áp dụng cho từng lĩnh vực kiểm
toán
Audit Schedule Lịch trình Lập lịch trình kiểm toán hàng năm là quá trình xác định
kiểm toán tổng số giờ kiểm toán cần thiết, sau đó chỉ định các
khu vực kiểm toán cần thực hiện trong từng khoảng
thời gian.
4
Thuật ngữ
Audit Universe Danh mục Một bộ tài liệu (inventory) bao gồm tất cả các lĩnh
các chủ thể vực kiểm toán tiềm năng
kiểm toán
Preliminary Đánh giá Nhằm thu thập hiểu biết về môi trường CNTT, bao
Review sơ bộ gồm các biện pháp kiểm soát cần thiết để đáp ứng
các mục tiêu kiểm toán tổng thể
Substantive Thử Nhằm xác định tính chính xác và đầy đủ của thông
Testing nghiệm cơ tin được tạo bởi một quy trình hoặc ứng dụng
bản
Test Controls Thử Kiểm tra các biện pháp kiểm soát và quy trình
nghiệm thông qua: kiểm tra, phỏng vấn, quan sát, điều tra,
kiểm soát …nhằm đánh giá các biện pháp kiểm soát, điểm
mạnh, điểm yếu 5
Danh mục các chủ thể kiểm toán
(theo the US Institute of Internal Auditors – IIA)
Audit Universe (a particular area of experience or activity)
7
8
Nội dung
• Audit Universe
• COBIT
9
Control Objectives for Information and Related Technology
(COBIT)
• Cung cấp một khuôn mẫu toàn diện, có giá trị và mang tính quốc
tế nhằm hỗ trợ các doanh nghiệp đạt được các mục tiêu về
quản trị và quản lý CNTT.
• COBIT giúp doanh nghiệp tạo ra giá trị tối ưu từ CNTT (tức là
hiện thực hóa lợi ích và tối ưu hóa mức độ rủi ro cũng như
trong sử dụng tài nguyên).
10
COBIT
COBIT 5 hỗ trợ việc quản trị và quản lý CNTT một cách toàn diện cho toàn bộ tổ chức
(Nguyên tắc 4) thông qua:
• Thiết lập các nguyên tắc, chính sách và hướng dẫn thực tế cho quản lý hoạt động CNTT
hàng ngày.
• Triển khai các quy trình để đạt được các mục đích tổng quát và mục tiêu chi tiết liên quan
đến CNTT.
• Đề xuất các cơ cấu tổ chức nhằm hỗ trợ khả năng ra quyết định
• Thúc đẩy văn hóa, đạo đức và hành vi tốt trong tổ chức.
• Nhận thức rằng thông tin có sức lan tỏa khắp mọi tổ chức và thường là sản phẩm chính
của tổ chức đó.
• Có tính đến cơ sở hạ tầng, công nghệ và các ứng dụng nhằm cung cấp cho tổ chức các
dịch vụ và hoạt động xử lý CNTT.
• Nhận thức rằng con người, kỹ năng và năng lực là cần thiết để hoàn thành thành công
mọi hoạt động và đưa ra quyết định đúng đắn 11
COBIT
12
COBIT
• COBIT 5 mang tính tổng quát và hữu ích cho các doanh nghiệp
thuộc mọi quy mô, ví dụ, thương mại, phi lợi nhuận hay trong
khu vực công.
• Giúp các nhà quản lý, giám đốc điều hành và kiểm toán viên:
• thực hiện trách nhiệm ủy thác
• hiểu hệ thống CNTT của họ
• quyết định mức độ an ninh và kiểm soát phù hợp
13
Nội dung
• Audit Universe
• COBIT
14
Quy trình kiểm toán
15
Đánh giá rủi ro
Đánh giá rủi ro là nền tảng của chức năng kiểm toán vì chúng hỗ trợ phát
triển quy trình lập kế hoạch cho các cuộc kiểm toán riêng lẻ.
• Giúp cải thiện chất lượng, số lượng và khả năng tiếp cận các dữ liệu kế
hoạch, Ví dụ, các lĩnh vực rủi ro, các kết quả và kiểm toán trước đây,
thông tin ngân sách;
• kiểm tra các dự án kiểm toán tiềm năng trong audit universe và chọn
những dự án có mức độ rủi ro cao nhất để thực hiện trước tiên;
• cung cấp khuôn mẫu để phân bổ nguồn lực đánh giá để đạt được lợi ích
tối đa. 16
Đánh giá rủi ro
• Nền tảng (kiểm toán dựa trên rủi ro)
• Xác định những thay đổi quan trọng và
yêu cầu mới trong tổ chức (ví dụ: quy
định, pháp lý)
• Xác định các khu vực rủi ro mới khi
chúng phát sinh
• Tận dụng thông tin thu thập được trong
quá trình kiểm toán năm trước (kết quả
kiểm toán trước)
• Ưu tiên các lĩnh vực rủi ro dựa trên đánh
giá khách quan và chủ quan
17
Đánh giá rủi ro
Rủi ro xung quanh các ứng dụng (phần mềm) kế toán - tài chính có thể được
xác định thông qua:
• Hoàn thành những bản danh sách kiểm tra (checklists) chính sách bảo hiểm
2. Xác định các điểm yếu tiềm ẩn trên các tài sản đó và các nguy cơ có thể khai thác
chúng.
3. Xác định khả năng hoặc xác suất (ví dụ: rất cao, cao, trung bình, ….) mà các
điểm yếu tiềm ẩn có thể xảy ra.
19
Đánh giá rủi ro
NIST khuyến nghị rằng để đánh giá rủi ro, điều quan trọng là các tổ chức phải
thực hiện theo các bước sau:
4. Xác định mức độ tác động (thiệt hại kỳ vọng) nhằm nhận diện mức độ nhạy cảm
của tài sản trước các nguy cơ.
5. Kết nối tài sản với rủi ro kinh doanh và/hoặc CNTT tương ứng.
6. Tính toán xếp hạng rủi ro bằng cách nhân xác suất được chỉ định từ bước 3 (ví
dụ: 1,00, 0,75, v.v.) với mức độ tác động được chỉ định xác định ở bước 4.
7. Đề xuất các biện pháp kiểm soát cần thiết để giảm thiểu rủi ro theo mức độ ưu
tiên hoặc xếp hạng của chúng.
20
Ví dụ: Đánh giá rủi ro
21
Quy trình kiểm toán
22
Lập kế hoạch kiểm toán (Audit Plan - AP)
Lập kế hoạch kiểm toán là một chức năng cơ bản cần thiết để mô tả những
gì phải hoàn thành, bao gồm ngân sách về thời gian và chi phí cũng như nêu
rõ các ưu tiên theo mục tiêu và chính sách của tổ chức.
4. Liệt kê các thành viên nhóm kiểm toán, mô tả nhiệm vụ, và xác định thời hạn
23
Mục tiêu và bối cảnh (Objective and Context)
Mục tiêu - Chúng ta đang cố gắng đạt được điều gì?
Bối cảnh - Môi trường nơi công việc được thực hiện
• Hệ thống tập trung hay hệ thống phân tán/ phi tập trung (Centralized common
system, decentralized system)
24
Kiểm toán CNTT được thực hiện để hỗ trợ kiểm toán BCTC
25
Kiểm toán CNTT được thực hiện để hỗ trợ kiểm toán BCTC
• Hiểu các ứng dụng kế toán - tài chính và xác định xem các biện pháp kiểm
soát CNTT có được áp dụng để bảo mật chúng một cách hiệu quả hay
không
• Kết quả kiểm toán CNTT đối với các ứng dụng kế toán - tài chính có ảnh
hưởng trực tiếp đến các thử nghiệm cơ bản do KTV tài chính thực hiện.
26
Lịch trình kiểm toán (Audit Schedule)
• Nhằm đạt được sự thống nhất của HĐQT về lĩnh vực kiểm toán
• Nhằm truyền đạt các lĩnh vực kiểm toán tới các phòng ban
• Nhằm xác định tổng số giờ kiểm toán cần thiết và chỉ định các khu vực
kiểm toán cần thực hiện trong từng khoảng thời gian.
27
AP - Audit Schedule
Ngân sách và phạm vi (Audit Budget and Scope)
• Ngân sách kiểm toán: Xác định số giờ làm việc cần thiết để quyết
định số lượng cuộc kiểm toán có thể được thực hiện trong một năm
• Phạm vi: Xác định các khu vực, hệ thống, ứng dụng, khoảng thời
gian, biện pháp kiểm soát để kiểm tra, …
29
Đội kiểm toán (Audit Team)
• Liệt kê các thành viên kiểm toán, chức danh, vị trí và nhiệm vụ
chung mà mỗi thành viên sẽ chịu trách nhiệm.
o Partner, Trưởng đơn vị hoặc Giám đốc (Partner, Principal, or Director PPD)
33
Thời hạn (Deadlines)
• Cần được xem xét và thống nhất với khách hàng ngay từ khi
bắt đầu cuộc kiểm toán
• Phải tuân thủ các yêu cầu được thiết lập từ bên thứ ba như của
ngân hàng và tổ chức tài chính, chính phủ, tổ chức tư nhân,…
nếu cần thiết
34
Thời hạn (Deadlines): phụ lục 1 (p373)
35
Quy trình kiểm toán
36
Đánh giá sơ bộ (Preliminary Review)
• Mục đích: thu thập hiểu biết về môi trường CNTT, bao gồm các biện pháp kiểm
soát cần thiết để đáp ứng các mục tiêu kiểm toán tổng thể.
• Kiểm toán viên CNTT tiến hành đánh giá sơ bộ này ở cấp độ chung mà không
kiểm tra chi tiết về các ứng dụng riêng lẻ và các quy trình liên quan
• Kiểm toán viên CNTT sẽ phỏng vấn những nhân sự chủ chốt để xác định các
chính sách và thông lệ, và chuẩn bị thông tin kiểm tra bổ sung theo yêu cầu.
37
Đánh giá sơ bộ (Preliminary Review): Thu thập dữ liệu
38
Đánh giá sơ bộ (Preliminary Review)
• Kiểm toán viên xác định các biện pháp kiểm soát chính trong đáp
ứng mục tiêu kiểm soát
• Kiểm toán viên phỏng vấn nhân sự chủ chốt để đảm bảo các
chính sách và thủ tục tồn tại và được áp dụng
39
Đánh giá sơ bộ (Preliminary Review): phụ lục 2 (p379)
40
Quy trình kiểm toán
41
Thiết kế các thủ tục kiểm toán
(Design Audit Procedures)
• Chương trình kiểm toán (an audit program) cho các lĩnh vực được
kiểm toán
• Lựa chọn các mục tiêu kiểm soát áp dụng cho từng lĩnh vực
• Xác định các thủ tục hoặc hoạt động để đánh giá các mục tiêu đó
42
Thiết kế các thủ tục kiểm toán
(Design Audit Procedures)
Mục đích lập hồ sơ về việc đánh giá các biện pháp kiểm soát:
• Tuân thủ các chính sách và thủ tục của tổ chức? Các tiêu chuẩn? Cơ quan quản
lý và pháp lý?
43
Thiết kế các thủ tục kiểm toán
(Design Audit Procedures)
• Lựa chọn các kỹ thuật kiểm toán áp dụng cho lĩnh vực đó
44
An internal control questionnaire (ICQ)
ICQ kiểm tra các biện pháp kiểm soát có được thực hiện để phát
hiện, ngăn chặn hoặc sửa chữa sai sót trọng yếu hay không.
45
Thiết kế các thủ tục
kiểm toán
(Design Audit
Procedures):
Chương trình kiểm toán
Phụ lục 3 (p391)
46
Xác định các ứng dụng kế toán – tài chính
(Identifying Financial Applications)
KTV cần tìm hiểu quy trình xử lý dữ liệu kế toán tài chính trên các ứng dung kế
toán – tài chính từ khi giao dịch được bắt đầu cho đến khi nó được ghi nhận vào
sổ cái (general ledger).
47
Xác định các ứng dụng kế toán – tài chính
(Identifying Financial Applications)
KTV phải đảm bảo rằng các nội dung sau được lập cho:
• Một dấu vết kiểm toán (audit trail) đầy đủ để các giao dịch có thể được truy tìm
(forward and backward) trên các ứng dụng kế toán-tài chính
• Các chứng từ và sự tồn tại của các biện pháp kiểm soát đối với việc hạch toán
tất cả dữ liệu (ví dụ như các giao dịch) được nhập vào ứng dụng và các biện
pháp kiểm soát để đảm bảo tính toàn vẹn của các giao dịch đó trong toàn bộ
quy trình xử lý.
• Xử lý các trường hợp ngoại lệ và bị từ chối từ trên ứng dụng kế toán - tài chính
48
Xác định các ứng dụng kế toán – tài chính
(Identifying Financial Applications)
KTV phải đảm bảo rằng các nội dung sau được lập cho (tt):
• Các thử nghiệm về các biện pháp kiểm soát để xác định xem ứng dụng có hoạt
động như đã nêu hay không
• Kiểm soát các thay đổi đối với ứng dụng để xác định xem liệu các ủy quyền
phù hợp đã được cấp và ghi lại hay chưa
• Thủ tục cấp phép cho việc ghi đè hệ thống ứng dụng và ghi lại các quy trình đó
như thế nào
• Xác định xem các chính sách và thủ tục của tổ chức và chính phủ có được tuân
thủ khi triển khai hệ thống hay không
• Đào tạo người dùng vận hành ứng dụng kế toán - tài chính như thế nào
• Phát triển các tiêu chí đánh giá chi tiết để có thể xác định liệu ứng dụng được
triển khai có đáp ứng các thông số kỹ thuật định trước hay không 49
Xác định các ứng dụng kế toán – tài chính
(Identifying Financial Applications)
KTV phải đảm bảo rằng các nội dung sau được lập cho (tt):
• Các thủ tục kiểm soát đầy đủ (Adequate controls) giữa các hệ thống ứng dụng
được kết nối với nhau
• Quy trình an ninh đầy đủ để bảo vệ dữ liệu của người dùng
• Quy trình sao lưu và phục hồi cho hoạt động của ứng dụng và đảm bảo tính
liên tục trong kinh doanh
• Đảm bảo công nghệ được cung cấp bởi các nhà cung cấp khác nhau (tức là nền
tảng vận hành) tương thích và được kiểm soát
• Cơ sở dữ liệu được thiết kế và kiểm soát phù hợp để đảm bảo rằng các định
nghĩa chung về dữ liệu được sử dụng trong toàn tổ chức, loại bỏ hoặc kiểm
soát sự dư thừa và dữ liệu hiện có trong nhiều cơ sở dữ liệu được cập nhật
đồng thời 50
Quy trình kiểm toán
51
Thử nghiệm kiểm soát (Test Controls)
• Kiểm tra các biện pháp kiểm soát và quy trình thông qua: kiểm tra, phỏng vấn,
quan sát, điều tra, …
• Đánh giá các biện pháp kiểm soát, điểm mạnh, điểm yếu
• Ghi chú kết quả kiểm tra và xác định các điểm yếu bảo mật (bị phơi nhiễm)
(exposures) tức là các biện pháp kiểm soát không hiệu quả. Ví dụ, thử nghiệm
các cài đặt bảo mật logic trên hệ thống
52
Ví dụ về bằng chứng hỗ trợ cài
đặt bảo mật (mật khẩu) logic
hiện đang được triển khai
53
Ví dụ hỗ trợ kiểm tra cài đặt
bảo mật logic
54
Thử nghiệm kiểm soát (Test Controls)
Đối với các biện pháp kiểm soát không hiệu quả:
Xác định mức độ nghiêm trọng (tác động) và liệu chúng có cần
được kiểm tra lại hay không
Xác định và kiểm tra các biện pháp kiểm soát “giảm nhẹ” hoặc “bù
đắp” để đảm bảo (các) mục tiêu đánh giá đã đạt được
55
Quy trình kiểm toán
56
Thử nghiệm cơ bản (Substantive Testing)
• Đối với các biện pháp kiểm soát được cho là không hiệu quả, thử nghiệm cơ
bản giúp xác định liệu có vấn đề trọng yếu với thông tin tài chính hay không
• Trong một cuộc kiểm toán CNTT, thử nghiệm cơ bản xác định tính chính xác
và đầy đủ của thông tin được tạo bởi một quy trình hoặc ứng dụng
• Thử nghiệm cơ bản: “Kiểm toán thông qua máy tính” (“Auditing-through-the-
computer”).
57
Thử nghiệm cơ bản (Substantive Testing)
59
Báo cáo kết quả kiểm toán (Document Results)
Kết quả kiểm toán phải bao gồm mô tả về các phát hiện, kết luận và khuyến
nghị kiểm toán.
• Kết luận kiểm toán: Kết luận phải phù hợp với công việc được ghi trong giấy
tờ làm việc
60
Ví dụ Tài
liệu hỗ trợ
về các kết
quả kiếm
toán các
kiểm soát
chung
Báo cáo kết quả kiểm toán (Document Results)
63
Báo cáo kết quả kiểm toán (Document Results)
64
Quy trình kiểm toán
65
Truyền thông (Communication)
• Truyền đạt kết quả kiểm toán và các vấn đề (phát hiện) cần báo cáo
cho Ủy ban Quản lý và Kiểm toán (Management and Audit
Committees)
• Thống nhất kế hoạch theo dõi và khắc phục với Ban Giám đốc
66
Ví dụ về Thư quản lý từ
Kiểm toán CNTT
67
Quy trình kiểm toán
68
Summary of the
Audit Process
Nội dung
• Audit Universe
• COBIT
71
Các loại kiểm toán CNTT khác (Đọc thêm)
• Lập kế hoạch kinh doanh liên tục / Lập kế hoạch khắc phục thảm họa
72
Nội dung
• Audit Universe
• COBIT
73