The audit process information system
Audit Information System (KTHTTT) is implementing a process control entity structure of information technology systems. KTHTTT previous term commonly called auditing electronic data processing. This is the process of collecting evidence and evaluate evidence about the operation of information systems was held. The evaluation of the evidence to ensure that the operation of the system has to confidentiality, integrity, effectiveness, and efficiency in order to achieve the objectives of the proposed organization. This work was done in conjunction with the audited financial statements (KTBCTC), internal audit or audit for other purposes.
Process KTHTTT similar audit or internal audit financial statements. However, the purpose of the audit is to certify the financial statements have been prepared financial statements on the basis of norms and current audit regime (or accepted), compliance with relevant legislation and give a true, fair on all material respects or not? As of KTHTTT purpose is to review and assess the availability and confidentiality and integrity through answering the following questions: Computer systems are available for production and business activities at any time ? Does the information system to authorized persons only new use? Does the information system provide accurate information, honest and timely manner?
KTHTTT covers: Audit of computer systems and software applications, utilities audit handling of information systems audit on the implementation and development of the system, the audit of the internal network sets, Internet.
Process KTHTTT
Planning the audit
KTV audit plan to ensure timely audits, fraud detection, risk and potential problems. Chairman of the auditor must be familiar with the system capabilities of the audit staff assigned to work for everyone. On the other hand, to evaluate the success of the system audits, auditors should define the scope and objectives of the audit through the testing of information systems. To define audit objectives and ensure that information is effectively collected, auditors should determine the level of materiality, audit risk assessment in order to find the appropriate evidence and complete during the audit .
In determining the level of materiality, auditors can audit chi monetary items such as control and processing hardware, control logic section, control personnel management system, factory control, privacy control ghost. For transactions involving currency, to note some measure: Process business support systems primarily computer; Investment costs and operating costs of the system (hardware, software and services of third parties ...); Hidden costs of errors; The number of transactions or requests are processed in all periods; Penalties for failing to comply with the law or of the unit.
KTV to assess audit risk and determine the audit procedures to reduce audit risk down to a level that is acceptable. For simple, ordinary people sharing the risk of these levels: high, medium and low. Accordingly, given the audit risk ratios needed for the audit. When identify your audit risk, auditors need to pay attention to the types of information: Cost of software required for test execution; The level of information required to evaluate the audit risks should be in a state of readiness to meet; the willingness of the management unit audited.
KTV to consider general issues and specific information systems to assess potential risks. For common problems, consider the knowledge and experience of the management department of information technology, the system of forward trading, change the railway department of information technology. Review the audit report of the previous period. For specific problem, to consider the complexity of the system, the degree of intervention by hand if required, the type of sensitive assets, review the audit report of the previous period .
As risk control is determined and evaluated by the internal control system. KTV system should consider procedures such as procedures for controlling changes to the program, the right to use a software license.
Risk detection is determined through the evaluation system KTV potential risks and risk control.
The type of audit evidence to be collected when the audit system is essentially based on the level of risk that the KTV audits, including observational evidence, the security of computer systems, documentary evidence , the records of economic operations arise, the policies, the flow chart system, evidence from the analysis (obtained by comparing the ratio between software error, the economic transactions and user)
To evaluate the internal control system, KTV consider environmental control, computer systems and control procedures.
Perform audits.
As mentioned, KTHTTT be done in conjunction with the Internal Audit and KTBCTC or similar processes KTBCTC or IA. But in the process of auditing, KTHTTT purposeful consideration and evaluation of enterprise information systems. Maybe split system audit methods into two kinds of methods, such as basic test methods and test methods of control.
Basic test method is designed and used for the purpose of collecting evidence related to the data audited by identical amalgams of units audited suppliers. The basic features of this method is that the conduct of trials, reviews are spot on the data, the information in financial reporting and accounting system of the unit. Specifically, auditors will perform two procedures: procedures for evaluating the overall analysis (called the analysis procedure) and detailed test procedures for transactions and balances.
Technical analysis helps KTV "diagnosis" was quickly able errors area for focus for the audit. The information obtained by applying the method of analysis also helps technicians determine the content, duration and scope to use methods other auditing.
Applying analytical methods while planning the audit can use all the financial data and information are not financial in nature, such as number of employees, warehouse area, sales area, work production schedule and similar information.
During this period, the method of analysis used as a basic test methods to collect evidence to prove a particular database related to financial balance or a type of business somehow.
The proof of the database amounts of items in the report can collect when conducting detailed tests of transactions, balances or analytical methods or a combination of both methods.
When using analytical methods for this purpose, auditors should consider the following issues: The purpose of analytical methods and the degree technicians can rely on analytical methods; The usefulness of the financial information and the information no financial nature; The reliability of the information available; Comparability of the information available. The experience that KTV collected during the audit before the effect of regulation on internal audit and other forms of "problem" had arisen in the previous period to adjust the audited figures. With its system of internal control weaknesses, merely applying analytical methods to draw conclusions is extremely dangerous.
The KTV research, evaluation of internal control systems is to assess the level of risk in control, as the basis for selecting the appropriate auditing methods. When reviewing the internal audit system DN, the auditors must answer the question: Does the audit may rely on the control system of the enterprise is or not? To answer this question, in essence, auditors must consider the level of satisfaction of control in each specific case. If control risk when planning the audit is assessed as high, low control satisfied and KTV can not trust and can not rely on internal control systems businesses. In case control of risk is considered low, the satisfaction of conditions to control depends on a realistic assessment of the level of effective control systems in the process of auditing the auditors.
Depending on the level of satisfaction of control, auditors can apply methods specific compliance audit follows:
Methods for system updates. This technique requires detailed testing a series of operations of the same kind recorded from start to finish to examine, evaluate control procedures applied in internal operating system. For example, sales transactions can be checked from the receipt of orders until receive sale proceeds. Check system allows reassess the level of risk and design audit detailed tests on control.
The detailed testing to control. Experimental details of control is the trials were conducted to gather evidence about the effectiveness of the regulation control and control procedures, as a basis for designing audit testing method basically.
The conduct or not conduct detailed tests on the control depends on whether reassessment audit risk level after the application of the system of technical inspection. If the level of risk control was preliminary assessment when planning to a lower level, technicians will carry out detailed testing of controls necessary to obtain evidence about the efficacy of the test respectively internal control. This is the basis for KTV limited range of basic tests must be carried out (especially the detailed testing of transactions and account balances with related items). However, if the level of control risk is assessed at a high level and are deemed not capable of reducing in fact, KTV will not perform detailed tests of control that must proceed immediately with the testing facility at the appropriate level. In this stage, the work is subjective, depending on the professional thuoo and judgment of KTV.
The detailed testing to control (independent control and management, control processing, control to protect assets) is also done primarily on the basis of sample testing of internal control regulations . In addition, this method is also combined with measures to direct observation, interviews and customer reference checks to obtain additional technical audit mai ...
KTHTTT's audit services are established later than the other audit services but we can say, this service has important implications for the production and business of enterprises in particular, and the development of general business in the era of information technology.
Bài dịch
Các quy trình kiểm toán hệ thống thông tin
Kiểm toán hệ thống thông tin (KTHTTT) là việc thực hiện các thủ tục kiểm soát một thực thể cấu trúc hệ thống công nghệ thông tin. Thuật ngữ KTHTTT trước đây thường được gọi là kiểm toán xử lý dữ liệu điện tử. Đây là quá trình thu thập bằng chứng và đánh giá bằng chứng về các hoạt động của hệ thống thông tin đã được tổ chức. Việc đánh giá các bằng chứng phải đảm bảo rằng hoạt động của hệ thống ấy phải bảo mật, chính trực, hữu hiệu, và hiệu quả nhằm đạt được các mục tiêu của tổ chức đã đề ra. Công việc này được thực hiện chung với việc kiểm toán báo cáo tài chính (KTBCTC), kiểm toán nội bộ hay kiểm toán vì các mục đích khác.
Quy trình KTHTTT tương tự như kiểm toán BCTC hay kiểm toán nội bộ. Tuy nhiên, mục đích của kiểm toán BCTC là xác nhận việc BCTC có được lập trên cơ sở chuẩn mực và chế độ kiểm toán hiện hành (hoặc được chấp nhận), tuân thủ pháp luật liên quan và phản ánh trung thực, hợp lý trên các khía cạnh trọng yếu hay không? Còn mục đích của KTHTTT là xem xét và đánh giá tính sẵn sàng và tính bảo mật và tính chính trực thông qua việc trả lời những câu hỏi sau: Hệ thống máy tính có sẵn sàng cho hoạt động sản xuất kinh doanh tại mọi thời điểm? Liệu hệ thống thông tin có phải chỉ những người có thẩm quyền mới được sử dụng không? Liệu hệ thống thông tin đã cung cấp thông tin chính xác, trung thực và kịp thời không?
KTHTTT bao gồm các loại: Kiểm toán hệ thống máy tính và phần mềm ứng dụng, kiểm toán các tiện ích xử lý của hệ thống thông tin, kiểm toán về việc triển khai và phát triển hệ thống, kiểm toán về hệ thống mạng nội bộ, mạng internet.
Quy trình KTHTTT
Lập kế hoạch kiểm toán
KTV lập kế hoạch kiểm toán để đảm bảo cuộc kiểm toán đúng thời hạn, phát hiện gian lận, rủi ro và những vấn đề tiềm ẩn. Chủ nhiệm kiểm toán viên hệ thống phải biết rõ năng lực của các nhân viên kiểm toán để phân công công việc cho từng người. Mặt khác, để đánh giá được sự thành công của cuộc kiểm toán hệ thống, KTV cần xác định phạm vi và mục tiêu của cuộc kiểm toán thông qua các thử nghiệm về hệ thống thông tin. Để xác định mục tiêu kiểm toán và đảm bảo thông tin thu thập được có hiệu quả, KTV cần xác định mức trọng yếu, đánh giá rủi ro kiểm toán nhằm tìm ra những bằng chứng thích hợp và đầy đủ trong suốt quá trình kiểm toán.
Khi xác định mức độ trọng yếu, KTV có thể kiểm toán các khoản mục chi tiền tệ như kiểm soát và xử lý phần cứng, kiểm soát phần logic, kiểm soát hệ thống quản lý nhân sự, kiểm soát nhà máy, kiểm soát mật mã. Đối với các nghiệp vụ liên quan đến tiền tệ, cần lưu ý một số thước đo: Quy trình kinh doanh mà hệ thống máy tính hỗ trợ chủ yếu; Chi phí đầu tư và chi phí hoạt động của hệ thống (phần cứng, phần mềm, dịch vụ của bên thứ ba…); Chi phí ẩn của các sai sót; Số lượng nghiệp vụ hay yêu cầu được xử lý trong mọi thời kỳ; Mức phạt cho những hành vi không tuân thủ quy định của pháp luật hay của đơn vị.
KTV phải đánh giá rủi ro kiểm toán và xác định các thủ tục kiểm toán nhằm giảm thiểu các rủi ro kiểm toán xuống thấp tới mức có thể chấp nhận được. Để đơn giản, thông thường người ta chia rủi ro làm các mức: cao, trung bình và thấp. Theo đó, đưa ra tỷ lệ rủi ro kiểm toán cần thiết cho cuộc kiểm toán. Khi xác địh rủi ro kiểm toán, KTV cần chú ý đến các loại thông tin: Chi phí về phần mềm cần có để thực hiện kỉêm tra; Mức độ thông tin yêu cầu để đánh gía rủi ro kiểm toán phải ở trong trạng thái sẵn sàng đáp ứng; sự sẵn lòng của ban quản lý đơn vị được kiểm toán.
KTV cần xem xét những vấn đề chung và cụ thể của hệ thống thông tin để đánh giá rủi ro tiềm tàng. Đối với những vấn đề chung, cần xem xét kiến thức và kinh nghiệm của bộ phận quản lý công nghệ thông tin, hệ thống tổ hức kinh doanh, sự thay đổi ban quan rlý công nghệ thông tin. Xem lại những báo cáo kiểm toán của các kỳ trước. Đối với những vấn đề cụ thể, cần xem xét sự phức tạp của hệ thống, mức độ can thiệp bằng thủ công nếu có yêu cầu, các loại tài sản có tính nhạy cảm, xem lại những báo cáo kiểm toán của các kỳ trước.
Còn rủi ro kiểm soát được xác định và đánh giá bởi hệ thống kiểm soát nội bộ. KTV hệ thống cần xem xét các thủ tục như: thủ tục kiểm soát những thay đổi chương trình, quyền sử dụng bản quyền phần mềm.
Rủi ro phát hiện được xác định thông qua việc KTV hệ thống đánh giá rủi ro tiềm tàng và rủi ro kiểm soát.
Các loại bằng chứng kiểm toán cần thu thập khi kiểm toán hệ thống về cơ bản là dựa vào mức độ rủi ro mà KTV đánh gía, bao gồm: bằng chứng quan sát, sự bảo mật của hệ thống máy tính, bằng chứng tài liệu, các mẫu tin về nghiệp vụ kinh tế phát sinh, các chính sách, các lưu đồ hệ thống, bằng chứng từ việc phân tích (thu thập được qua việc so sánh các tỷ lệ lỗi giữa phần mềm, các nghiệp vụ kinh tế và người sử dụng)
Để đánh giá hệ thống kiểm soát nội bộ, KTV xem xét môi trường kiểm soát, hệ thống máy tính và các thủ tục kiểm soát.
Thực hiện kiểm toán.
Như đã đề cập, KTHTTT được thực hiện chung với KTBCTC hay KTNB và có quy trình tương tự như KTBCTC hay KTNB. Nhưng trong cùng quy trình kiểm toán, KTHTTT có mục đích xem xét, đánh giá hệ thống thông tin của DN. Có thể chia hệ thống phương pháp kiểm toán thành hai loại phương pháp, đó là phương pháp thử nghiệm cơ bản và phương pháp thử nghiệm kiểm soát.
Phương pháp thử nghiệm cơ bản được thiết kế và sử dụng nhằm mục đích thu thập các bằng chứng có liên quan đến các dữ liệu do hệt hống kiểm toán của đơn vị được kiểm toán cung cấp. Đặc trưng cơ bản của phương pháp này là việc tiến hành thử nghiệm, đánh giá đều được lựa vào số liệu, các thông tin trong BCTC và hệ thống kế toán của đơn vị. Cụ thể, KTV sẽ thực hiện hai thủ tục: thủ tục phân tích đánh giá tổng quát (gọi tắt là thủ tục phân tích) và thủ tục kiểm tra chi tiết các nghiệp vụ và số dư.
Kỹ thuật phân tích còn giúp KTV “chẩn đoán” được nhanh chóng khu vực có thể sai sót để làm trọng tâm cho việc kiểm toán. Các thông tin thu được do áp dụng phương pháp phân tích còn giúp KTV quyết định nội dung, thời gian và phạm vi sử dụng các phương pháp kiểm toán khác.
Áp dụng phương pháp phân tích trong khi lập kế hoạch kiểm toán có thể sử dụng cả số liệu tài chính và các thông tin không mang tính chất tài chính như số lao động, diện tích kho tàng, diện tích khu bán hàng, công tác tiến độ sản xuất và các thông tin tương tự.
Trong giai đoạn này, phương pháp phân tích được sử dụng như một phương pháp kiểm tra cơ bản nhằm thu thập các bằng chứng để chứng minh cho một cơ sở dữ liệu cá biệt có liên quan đến số dư tài chính hoặc một loại nghiệp vụ nào đó.
Các bằng chứng về các khoản cơ sở dữ liệu các khoản mục trong báo cáo có thể thu thập được khi tiến hành thử nghiệm chi tiết các nghiệp vụ, số dư hoặc sử dụng phương pháp phân tích hay kết hợp cả hai phương pháp.
Khi sử dụng phương pháp phân tích cho mục đích này, KTV cần xem xét các vấn đề sau: Mục đích của phương pháp phân tích và mức độ KTV có thể tin cậy vào phương pháp phân tích; Tính hữu dụng của các thông tin tài chính và các thông tin không có tính chất tài chính; Độ tin cậy của các thông tin hiện có; Tính so sánh của các thông tin hiện có. Các kinh nghiệm mà KTV thu thập được trong kỳ kiểm toán trước về hiệu lực của quy chế kiểm toán nội bộ và các dạng “vấn đề” đã phát sinh trong các kỳ trước để điều chỉnh số liệu kiểm toán. Với hệ thống kiểm soát nội bộ yếu kém, việc áp dụng đơn thuần phương pháp phân tích để đưa ra kết luận là hết sức nguy hiểm.
Các KTV nghiên cứu, đánh giá hệ thống kiểm soát nội bộ là để đánh giá mức độ rủi ro trong kiểm soát, làm cơ sở cho việc lựa chọn các phương pháp kiểm toán thích hợp. Khi xem xét hệ thống kiểm toán nội bộ DN, các KTV phải trả lời được câu hỏi: Liệu công việc kiểm toán có thể dựa vào hệ thống kiểm soát của DN được hay không? Để giải đáp câu hỏi này, về thực chất, KTV phải xem xét mức độ thoả mãn về kiểm soát trong từng trường hợp cụ thể. Nếu rủi ro kiểm soát khi lập kế hoạch kiểm toán được đánh giá là cao, thoả mãn về kiểm soát thấp và KTV không thể tin tưởng và không thể dựa vào hệ thống kiểm soát nội bộ DN. Trong trường hợp rủi ro kiểm soát được đánh giá là thấp, mức thoả mãn về điều kiện kiểm soát còn tuỳ thuộc vào mức độ đánh giá thực tế hiệu quả của hệ thống kiểm soát trong quá trình kiểm toán của KTV.
Tuỳ thuộc mức độ thoả mãn về kiểm soát, KTV có thể áp dụng các phương pháp kiểm toán tuân thủ cụ thể sau:
Phương pháp cập nhật cho các hệ thống. Kỹ thuật này đòi hỏi việc kiểm tra chi tiết một loạt các nghiệp vụ cùng loại ghi chép từ đầu đến cuối để xem xét, đánh giá các bước kiểm soát áp dụng trong hệ thống điều hành nội bộ. Ví dụ, các nghiệp vụ bán hàng có thể được kiểm tra từ khi nhận đơn đặt hàng cho đến khi nhận được tiền bán hàng. Kiểm tra hệ thống cho phép đánh giá lại mức độ rủi ro kiểm toán và thiết kế các thử nghiệm chi tiết về kiểm soát.
Các thử nghiệm chi tiết đối với kiểm soát. Thử nghiệm chi tiết về kiểm soát là các thử nghiệm được tiến hành để thu thập bằng chứng về sự hữu hiệu của quy chế kiểm soát và các bước kiểm soát, làm cơ sở cho việc thiết kế phương pháp thử nghiệm kiểm toán cơ bản.
Việc tiến hành hay không tiến hành các thử nghiệm chi tiết về kiểm soát phụ thuộc vào việc đánh giá lại mức độ rủi ro kiểm toán sau khi đã áp dụng kỹ thuật kiểm tra hệ thống. Nếu mức độ rủi ro kiểm soát đã đánh giá sơ bộ khi lập kế hoạch xuống một mức thấp hơn, KTV sẽ tiến hành các thử nghiệm chi tiết về kiểm soát cần thiết để có được những bằng chứng về sự hữu hiệu tương ứng của kiểm soát nội bộ. Đây là cơ sở để KTV giới hạn phạm vi của các thử nghiệm cơ bản phải tiến hành (nhất là các thử nghiệm chi tiết về nghiệp vụ và số dư tài khoản đối với các khoản mục liên quan). Ngược lại, nếu mức rủi ro kiểm soát được đánh giá ở mức cao và xét thấy không có khả năng giảm được trong thực tế, KTV sẽ không thực hiện các thử nghiệm chi tiết về kiểm soát mà phải tiến hành ngay các thử nghiệm cơ bản ở mức độ phù hợp. Đây là giai đoạn, là công việc mang tính chủ quan, tuỳ thuôộ vào bản lĩnh nghề nghiệp và sự xét đoán của KTV.
Các thử nghiệm chi tiết đối với kiểm soát (kiểm soát độc lập và quản lý, kiểm soát xử lý, kiểm soát để bảo vệ tài sản) chủ yếu cũng được thực hiện trên cơ sở kiểm tra mẫu các quy chế kiểm soát nội bộ. Ngoài ra, phương pháp này còn kết hợp với các biện pháp quan sát trực tiếp, phỏng vấn khách hàng và kiểm tra đối chiếu để bổ sung kỹ thuật lấy mẫi kiểm toán…
KTHTTT là loại hình dịch vụ kiểm toán ra đời muộn so với các dịch vụ kiểm toán khác nhưng có thể nói, dịch vụ này có ý nghĩa quan trọng đối với hoạt động sản xuất, kinh doanh của DN nói riêng và sự phát triển của DN nói chung trong thời đại công nghệ thông tin.
Nguồn tin: Khoa Tài chính – Kế toán