STT Họ và tên Phần trăm khối lượng thực

hiện

1 Võ Nguyễn Anh Thư 100%

2 Nguyễn Thị Minh Thư 100%

3 Trần Quang Minh 100%

4 Trương Hồng Phúc 100%

5 Trần Hồng Nhung 100%

6 Lê Chu Ngọc Anh 100%

Bản thông báo kế hoạch CNTT

Ngày 03/04/2024

Kính gửi Giám đốc kiểm toán tài chính

Từ Nhóm 6 - Kiểm toán CNTT, chi nhánh Melbourne

Chủ đề Bản kế hoạch kiểm toán CNTT cho Công ty XYZ

Kính gửi: Giám đốc kiểm toán tài chính

Chúng tôi xin trân trọng thông báo về kế hoạch kiểm toán Công nghệ thông tin (CNTT) cho
Công ty XYZ. Dưới đây là một số thông tin chi tiết:

a. Người đứng đầu kiểm toán CNTT:

Chúng tôi, Nhóm 6 - Kiểm toán CNTT, được phân công làm người đứng đầu kiểm toán
CNTT cho dự án này. Công ty kiểm toán của chúng tôi có nhiều chi nhánh, nhưng hiện tại
chúng tôi đang làm việc với khách hàng cụ thể từ văn phòng Melbourne, FL. Đây cũng là nơi
làm việc chính của nhóm chúng tôi.

b. Năm kiểm toán

Kiểm toán CNTT sẽ hỗ trợ kiểm toán báo cáo tài chính của Công ty XYZ, với năm tài chính
kết thúc vào ngày 31 tháng 12 năm 20XX.

c. Cuộc thảo luận với Đối tác kiểm toán tài chính
Như được trình bày chi tiết trong tài liệu làm việc work paper (w/p) 1000.1, một cuộc thảo
luận với Đối tác kiểm toán tài chính, Trưởng đơn vị hoặc Giám đốc đã được tổ chức để xác
định mức độ tham gia kiểm toán CNTT. Kiểm toán viên CNTT chưa từng tham gia vào các
cuộc kiểm toán trước đây cho khách hàng này. Trong cuộc họp lập kế hoạch này, việc đánh
giá rủi ro của các lĩnh vực cần giải quyết cũng đã được thảo luận cùng với tính chất, mức độ
và thời gian của các thử nghiệm kiểm soát theo kế hoạch được mô tả chi tiết hơn trong bản
ghi nhớ lập kế hoạch này.
Đầu tiên, cần nghiên cứu sơ bộ, sau khi kiểm toán viên đạt hiểu biết tổng quát về các thủ tục
tài chính và kế toán của khách hàng cần xác định các lĩnh vực kiểm toán cụ thể, những ứng
dụng nào sẽ được kiểm tra và mức độ chi tiết của nó. Đồng thời, xác định các mức độ phức
tạp và mức độ sử dụng của những ứng dụng sử dụng trong các quy trình kinh doanh quan
trọng, cũng như các thủ tục cần tuân thủ khi đánh giá hệ thống kiểm soát nội bộ khách hàng.
Tiếp đến, hiểu các ứng dụng kế toán tài chính và xác định các biện pháp kiểm soát công nghệ
thông tin có được áp dụng để bảo mật một cách hiệu quả hay không. Kết quả kiểm toán
CNTT đối với các ứng dụng kế toán tài chính có ảnh hưởng trực tiếp đến các thử nghiệm cơ
bản do kiểm toán viên tài chính thực hiện. Nếu các biện pháp kiểm soát công nghệ thông tin
được áp dụng và hoạt động đúng cách công việc của kiểm toán viên tài chính sẽ ít hơn đối với
phần cụ thể của cuộc kiểm toán. Tóm lại, kế hoạch kiểm toán CNTT, sau khi thu thập hiểu
biết toàn diện về phạm vi kiểm toán và các rủi ro liên quan đến từng hạng mục tổng thể, nên:
+ Xây dựng lịch kiểm toán
+ Tạo ngân sách kiểm toán và xác định phạm vi
+ Liệt kê các mục tiêu kiểm toán và mô tả bối cảnh
+ Liệt kê các thành viên đoàn kiểm toán, mô tả nhiệm vụ kiểm toán, xác định thời hạn

d. Memo company 30/3/2024

From IT audit senior s
Gửi nhóm team
Chào các thành viên trong nhóm team.Chúc mọi người có một ngày tràn đầy năng lượng và
hăng hái trong công việc.Tôi là chuyên viên kiểm toán cấp cao S .Hôm nay tôi gửi mail này
để trình bày mục tiêu trong lần này của chúng ta.Những gì được trình bày trong mail này
nhằm mang tính tham khảo và xem xét trong quá trình thực hiện
1. Mục tiêu kiểm toán
_ Mục tiêu kiểm toán nhằm đánh giá được khả năng hoạt động của hệ thống của công nghệ
thông tin của nội bộ và bên ngoài công ty có hiệu quả như kế hoạch hay không bao gồm
những lĩnh vực như bảo vệ và duy trì hệ thống quản trị công nghệ thông tin,bảo mật các mục
tiêu quan trọng như dữ liệu và mạng.
2. Vai trò của các thành viên trong nhóm
- Đối với P: quản lý và giám sát và đưa ra các quyết định trong suốt quá trình kiểm toán.P sẽ
chịu trách nhiệm đối với kiểm toán công nghệ thông tin
- Đối với M: tham gia chung với các đội công nghệ thông tin khác để đảm bảo sự toàn vẹn và
thận trọng trong việc kiểm toán.M cũng sẽ đưa ra các quyết định cùng với P để có thể xử lý
các tình huống một cách kịp thời và hiệu quả nhất
- Đối với AS:tham gia vào công việc kiểm tra,thu thập bằng chứng để có thể hỗ trợ P và M
3. Kế hoạch
- Sẽ bắt đầu từ việc lập kế hoạch sơ bộ để đánh giá các tiềm năng nguy cơ để có thể sắp xếp
các thủ tục kiểm toán
- Sau khi đánh giá xong và sắp xếp,hãy lập một kế hoạch và mổ xẻ chi tiết quan trọng và cụ
thể,đưa ra các giải pháp cũng như sắp xếp các nguồn lực phù hợp cho từng giai đoạn của kiểm
toán
- Đưa ra các bản kế hoạch chi tiết đối với tất cả mọi người nhằm đưa ra những thảo luận và
những sửa đổi để đảm bảo tính thống nhất và nhất quán
- Giám sát và đưa ra những điều chỉnh nếu có những tình huống bất chợt xảy ra
4. Thực hiện và báo cáo
Việc thực hiện diễn ra cần phải đảm bảo một cách cần thiết để mang lại tính hiệu quả nhất.Đề
ra những điểm tích cực cũng như tồn đọng để xử lý một cách kịp thời
_P cũng cần phải giám sát và chịu trách nhiệm về bất kỳ giai đoạn nào của kiểm toán nhằm
đảm bảo tính chuẩn xác,tránh bắt gặp những vấn đề không đáng có và đưa ra những đề xuất ý
kiến
5. Giám sát và tuân thủ
 Tuân thủ luật pháp và các tiêu chuẩn của một người kiểm toán để đưa ra các phương pháp
hiệu quả nhất.
Mỗi nhân viên đều phải đưa ra những quyết định tốt nhất,duy trì mọi thứ và làm đúng trọng
trách công việc của họ.Đồng thời phải đảm bảo việc thực hiện kịp thời để việc kiểm tra trở
nên thuận tiện hơn

e. Thời gian
Thời gian thực hiện công việc kiểm toán CNTT được lên lịch như sau:
1. Lập kế hoạch (Bắt đầu [06/01/2022], Kết thúc [09/30/2022])
2. Trung kỳ (Bắt đầu [10/01/2022], Kết thúc [12/31/2022])
3. Cuối năm (Bắt đầu: [1/1/2023], Kết thúc [03/31/2023])
4. Ngày ký duyệt ([04/30/2023])

f. Giờ
Giờ làm việc và chi phí được xác định dựa trên thời gian ước tính cần thiết để hoàn thành các
thủ tục kiểm toán CNTT và mức độ kinh nghiệm yêu cầu. Các thủ tục kiểm toán CNTT chi
tiết đã được lên kế hoạch với đội kiểm toán tài chính, bao gồm các cuộc thảo luận về tài liệu
cần thiết và sự hỗ trợ sẽ được cung cấp bởi Công ty để hỗ trợ hiệu suất và hiệu quả của các
thủ tục. Dự kiến rằng các thủ tục kiểm toán CNTT sẽ mất [100] giờ để hoàn thành.
Giờ làm việc phát sinh sẽ được tính vào: [ XYZ-0000].
Trong suốt quá trình kiểm toán CNTT, những tình huống phức tạp có thể ảnh hưởng đáng kể
đến hiệu suất của các thủ tục kiểm toán sẽ được thông báo ngay lập tức cho đội kiểm toán tài
chính và nhân sự Công ty, khi cần thiết, bao gồm cả bất kỳ giờ làm việc bổ sung nào phát sinh
từ những tình huống đó.

Giấy làm
việc Ứng dụng liên quan Kiểm soát ứng dụng liên quan
Mục tiêu và hoạt động điều khiển
máy
1000.2 tính chung được chọn Exhibit 3.5b

Tên công ty: UEH

Ứng dụng liên quan: Mục tiêu và hoạt động điều khiển máy tính chung được chọn
Năm tài chính: 2021
Lĩnh vực CNTT Mục tiêu kiểm soát Hoạt động kiểm soát

ISO 1.00 - Hoạt động CNTT hỗ
trợ lập kế hoạch, thực hiện,
giám sát và tính liên tục đầy đủ
của các hệ thống, chương trình
và quy trình để đảm bảo xử lý
và ghi lại các giao dịch tài chính
đầy đủ, chính xác và hợp lệ
Hoạt động của hệ
1 thống ISO 2.00 - Việc lưu trữ thông
thông tin tin tài chính được quản lý phù
hợp, chính xác và đầy đủ.
ISO 3.00 - Quyền truy cập vật
lý được quản lý phù hợp để bảo
vệ các thành phần liên quan của
cơ sở hạ tầng CNTT và tính
toàn vẹn của thông tin tài chính
ISO 1.01 - Xử lý hàng loạt và/hoặc
trực tuyến được xác định, thực
hiện kịp thời và giám sát để hoàn
thành thành công.
ISO 1.02 - Các ngoại lệ được xác
định trong quá trình xử lý hàng
loạt và/hoặc trực tuyến đều được
xem xét và sửa chữa kịp thời để
đảm bảo xử lý thông tin tài chính
chính xác, đầy đủ và được ủy
quyền.
ISO 2.02 - Các công cụ sao lưu tự
động đã được triển khai để quản lý
kế hoạch và lịch trình lưu giữ dữ
liệu.
ISO 2.04 - Các thử nghiệm về khả
năng đọc của bản sao lưu được
thực hiện định kỳ. Kết quả hỗ trợ
khôi phục kịp thời và thành công
dữ liệu đã sao lưu
ISO 3.02 - Quyền truy cập vật lý
được ủy quyền, giám sát và hạn
chế đối với những cá nhân yêu cầu
quyền truy cập đó để thực hiện
nhiệm vụ công việc của họ. Sự
xâm nhập của nhân viên trái phép
được giám sát và ghi lại. Nhật ký
được duy trì và xem xét thường
xuyên bởi bộ phận IT

ISEC 1.00 - Cấu hình bảo mật việc tuân thủ các chính sách và thủ
của
các ứng dụng, cơ sở dữ liệu,
mạng và hệ điều hành được quản bằng chữ ký của nhân viên.
lý đầy đủ để bảo vệ khỏi những
thay đổi trái phép đối với các
chương trình và dữ liệu có thể
dẫn đến việc xử lý hoặc ghi lại
thông tin tài chính không đầy đủ, dụng, cơ sở dữ liệu, mạng và hệ
không chính xác hoặc không hợp điều hành thông qua mật khẩu để
lệ.
2 Bảo mật thông tin
ISEC 2.00 - Bảo mật đầy đủ
được triển khai để bảo vệ chống
truy cập và sửa đổi trái phép hệ
thống và thông tin, điều này có
thể dẫn đến việc xử lý hoặc ghi
lại thông tin tài chính không đầy
đủ, không chính xác hoặc không
hợp lệ
ISEC 1.02 - Các chính sách và thủ
tục chính thức xác định mục tiêu
bảo mật thông tin của tổ chức và
trách nhiệm của nhân viên trong
việc bảo vệ và tiết lộ tài nguyên
thông tin. Ban quản lý giám sát
tục bảo mật và sự đồng ý với
những điều này được chứng minh
ISEC 1.06 - Nhất quán với các
chính sách và quy trình bảo mật
thông tin, người dùng cục bộ và từ
xa được yêu cầu xác thực các ứng
tăng cường bảo mật máy tính.
ISEC 2.02 - Chủ sở hữu hệ thống
ủy quyền tài khoản người dùng
cũng như tính chất và phạm vi đặc
quyền truy cập của họ.
ISEC 2.04 - Người dùng đã thay
đổi vai trò hoặc nhiệm vụ trong tổ
chức hoặc đã được chuyển giao
hoặc chấm dứt sẽ được thông báo
ngay cho bộ phận bảo mật để sửa
đổi quyền truy cập tài khoản người
dùng nhằm phản ánh trạng thái
mới và/hoặc đã sửa đổi.
ISEC 2.05 - Việc truyền thông tin
nhạy cảm được mã hóa phù hợp
với các chính sách và quy trình bảo
mật để bảo vệ tính bảo mật của
thông tin đó

g. Sự hiểu biết về môi trường CNTT:

Cuộc gặp gỡ với nhân viên Công ty XYZ sẽ diễn ra để thu thập hoặc cập nhật sự hiểu biết hiện
tại về môi trường CNTT tại Công ty XYZ, bao gồm các thay đổi đáng kể so với năm trước.
Việc này sẽ được xem xét như một phần của quy trình lập kế hoạch và được ghi chú trong tài
liệu làm việc số 1540 (w/p 1540).

h. Các ứng dụng và yếu tố công nghệ liên quan

Theo thỏa thuận với nhóm kiểm toán tài chính, các đơn đăng ký được phân loại là có liên
quan đến cuộc kiểm toán khi họ:
- Được sử dụng để hỗ trợ một quy trình kinh doanh quan trọng (ví dụ: doanh thu, chi phí,
bảng lương, v.v.)
- Có thông tin do tổ chức (IGO) tạo ra có ý nghĩa quan trọng đối với quy trình kiểm tra kiểm
toán tài chính hoặc trong bối cảnh của bất kỳ biện pháp kiểm soát nội bộ nào, chẳng hạn như
 thông tin được sử dụng để kiểm tra hoạt động kiểm soát có liên quan hoặc thông tin được
Công ty sử dụng để thực hiện hoạt động kiểm soát.
- Bao gồm các hoạt động ứng dụng hoặc kiểm soát tự động được xác định là giải quyết các rủi
ro kiểm toán tài chính quan trọng
Các ứng dụng liên quan và các thành phần công nghệ liên quan của chúng đã được xác định
trong bảng sau hoặc được ghi lại tại w/p 1000.2.

Ứng dụng liên Cơ sở dữ liệu Hệ điều hành Mạng

quan

All Accounting Oracle Nền tảng UNIX Windows

Application
(AAA)

Financial Oracle Windows Windows

Document
Generator
Application
(FDGA)

Human Oracle Windows Windows

Resources and
Payroll
Application
(HRPA)
l. (Dịch vụ nhân sự và tính lương được thực hiện bởi tổ chức dịch vụ bên thứ ba có tên HRP-
For-All, có trụ sở tại Austin, Texas. Deloitte, kiểm toán viên dịch vụ vừa hoàn thành việc phát
hành báo cáo đánh giá các biện pháp kiểm soát tại tổ chức cung cấp dịch vụ trong khoảng thời
gian từ ngày 1 tháng 7 năm 20XX đến ngày 30 tháng 6 năm 20XX..)
Báo cáo của kiểm toán viên dịch vụ sẽ được thu thập đối với các hoạt động kiểm soát chung
có liên quan đến các biện pháp kiểm soát ứng dụng liên quan được sử dụng để giảm thiểu rủi
ro trong cuộc kiểm toán này được liệt kê trong Phụ lục 3.5b (những điều này phải được thêm
vào Bản ghi nhớ lập kế hoạch CNTT). Sử dụng w/p 1000.2 để tham khảo mục đích thực hiện.
Nhóm kiểm toán CNTT sẽ thực hiện việc xem xét báo cáo để hiểu các dịch vụ liên quan do tổ
chức dịch vụ cung cấp. Cụ thể, nhóm kiểm toán CNTT sẽ đánh giá các biện pháp kiểm soát
của tổ chức dịch vụ bằng cách:
-Đánh giá các biện pháp kiểm soát CNTT và các ngoại lệ liên quan trong báo cáo.
-Ghi lại các biện pháp kiểm soát bổ sung dành cho người dùng CNTT hoặc dựa trên cơ sở địa
phương được chỉ định trong báo cáo ( Các biện pháp kiểm soát tại HRP-For-All được cho là
có hiệu quả.)
(Có thể đưa vào bảng dưới đây để tóm tắt thông tin về các tổ chức dịch vụ liên quan.)

Công ty dịch Mô tả ngắn gọn về Địa điểm Kiểm toán Kỳ báo cáo Loại báo
vụ các dịch vụ liên quan tổ chức dịch vụ cáo/ Kết
được cung cấp dịch vụ luận

HRP-For-All Dịch vụ nhân sự và Có trụ sở Deloitte 1/7/20XX đến Báo cáo

tính lương tại 30/6/20XX đánh giá
Austin, các biện
 Texas pháp kiểm
soát tại tổ
chức cung
cấp dịch vụ
III.
Human Resources and Payroll Application (HRPA) sử dụng cơ sở dữ liệu oracle để quản lý
dữ liệu về nhân sự và lương.KPMG là bên thứ 3 kiểm toán về việc phát hành và cung cấp các
dịch vụ liên quan đến các kiểm soát và đánh giá
Việc đánh giá và xem xét bao gồm các việc kiểm toán các thành phần sau:
-Xem xét đầy đủ thông tin cá nhân của nhân viên ( tên,nơi ở,địa chỉ,số điện thoại,giới tính,...)
-Xem xét các thủ tục liên quan đến lương:như cách tính lương,các khoản phụ cấp được thực
hiện,các khoản thuế liên quan,so sánh các thông tin liên quan đến ngày nhận lương,ngày có
phụ cấp
-Đánh giá việc các chính sách nghỉ phép của nhân viên trong công ty,bao gồm các ngày nghỉ
phép được cho phép nghỉ theo quy định
-Phân tích,đánh giá các chính sách liên quan đến hợp đồng lao động

j. Ghi chú về sai lệch hoặc kết luận:

Nếu có sự sai lệch hoặc phát hiện từ các thủ tục kiểm tra IT thực hiện, chúng sẽ được đánh giá
để xác định tính chất và nguyên nhân của chúng, và xem xét xem chúng có đại diện cho một
thiếu sót kiểm soát hay không. Đánh giá về các thiếu sót kiểm soát sẽ được thực hiện cùng với
đội kiểm toán tài chính. Tham khảo bảng làm việc 2302, nơi mà đánh giá như vậy sẽ được ghi
chép.

k. Nhóm kiểm toán CNTT đang có kế hoạch không dựa vào công việc của người khác (ví
dụ: nhân viên Kiểm toán nội bộ, v.v.) để hỗ trợ các thủ tục kiểm soát CNTT.
Nếu sự phụ thuộc vào một số lĩnh vực kiểm toán nhất định do nhân viên IA thực hiện thì
nhóm kiểm toán CNTT sẽ làm như vậy đánh giá và ghi lại năng lực và tính khách quan của
những nhân viên IA mà công việc của họ sẽ được tin cậy để xác định mức độ mà công việc đó
có thể được sử dụng.
Để xác định chất lượng và tính hiệu quả của công việc cụ thể do kiểm toán viên nội bộ thực
hiện sau đây sẽ được đánh giá:
● Liệu công việc IA có phù hợp để đáp ứng các mục tiêu kiểm toán hay không
● Liệu chương trình công tác kiểm toán IA có đầy đủ và đầy đủ hay không
● Liệu tài liệu làm việc IA có được chấp nhận về chất lượng và số lượng hay không
● Liệu kết quả và kết luận có phù hợp và nhất quán với công việc IA
m. Không có những lĩnh vực được làm rõ trong công ty XYZ mà các kiểm toán viên IT
có thể hỗ trợ
Những lĩnh vực không được làm rõ trong công ty XYZ thì việc đánh giá các thủ tục cũng như
xem xét các kết quả được thực hiện cần phải được xử lý như:
+ Thực hiện các thủ tục kiểm tra ( tùy vào mức độ thời gian sẽ khác nhau)
+ Xem xét lại các bảng ghi chép dữ liệu
+ Sử dụng các phần mềm quản lý dữ liệu để thực hiện các thủ tục
+ Các sai lệch và các kết quả phát sinh từ việc kiểm tra nên được ghi chép trong bảng cơ
sở dữ liệu để đánh giá kịp thời và giảm thiểu sai sót