Trong những năm gần đây, việc ứng dụng và phát triển công nghệ thông tin trong hoạt động quản lý và sản xuất kinh doanh của các cơ quan nhà nước, các tổ chức và doanh nghiệp ngày càng quan trọng. Vì vậy, quản lý rủi ro công nghệ thông tin ngày càng được nâng cao trong các cơ quan, doanh nghiệp, thậm chí trở thành là một phần tất yếu quan trọng của quản trị doanh nghiệp, đóng vai trò quyết định cho sự thành công của hầu hết các tổ chức. Như một hệ quả, tính bảo mật, tính toàn vẹn, tính sẵn sàng và độ tin cậy của dữ liệu trên máy vi tính và các hệ thống xử lý, duy trì và báo cáo những dữ liệu này là một mối quan tâm lớn để kiểm toán. Ở Việt Nam, khái niệm về kiểm toán công nghệ thông tin còn khá mới mẻ, nhưng đối với nhiều nước phát triển trên thế giới thì đây là một công việc đã được thực hiện thường xuyên trong các tổ chức của chính phủ trong thời gian gần đây.
Từ khóa: Kiểm toán công nghệ thông tin, quản lý rủi ro công nghệ, quản trị doanh nghiệp.
1. Khái niệm, nhu cầu và mục tiêu kiểm toán công nghệ thông tin
1.1. Khái niệm kiểm toán công nghệ thông tin
Kiểm toán công nghệ thông tin (Information Technology Audit, viết tắt IT Audit) là quá trình thu thập và đánh giá chứng cứ xác định một hệ thống máy tính đã được thiết kế để duy trì tính toàn vẹn dữ liệu, bảo vệ tài sản, cho phép các mục tiêu của tổ chức đạt được hiệu quả và sử dụng các nguồn lực một cách tối ưu. Việc thẩm định các bằng chứng thu nhằm xác định nếuhệ thống thông tin là các tài sản được bảo vệ an toàn, duy trì tính toàn vẹn dữ liệu và hoạt động có hiệu quả nhằm đạt các mục tiêu, mục đích của tổ chức. Kiểm toán viên IT phải biết các đặc tính của người sử dụng hệ thống thông tin và môi trường ra quyết định trong việc tổ chức được kiểm toán khi đánh giá hiệu quả của hệ thống bất kỳ.
Khi nhu cầu sử dụng các thiết bị máy tính ngày càng lớn thì tiềm năng cho các hệ thống lưu trữ tài liệu lại tăng lỗi lên rất nhiều, do đó gây ra chi phí rất lớn để tổ chức. Tính chất lặp đi lặp lại rất nhiều ứng dụng máy tính có nghĩa là từ các lỗi nhỏ có thể dẫn đến những tổn thất lớn. Điều này bắt buộc các kiểm toán viên phải kiểm tra các quá trình vô hình và để xác định các lỗ hổng trong hệ thống thông tin máy tính, thông qua các lỗi và sự bất thường, các chi phí liên quan có thể tăng cao.
Kiểm soát nội bộ công nghệ thông tin có giá trị lớn trong bất kỳ hệ thống máy tính nào và nó là một nhiệm vụ hết sức quan trọng cho một kiểm toán viên để thấy rằng việc kiểm soát nội bộ nên được đánh giá rủi ro để giảm tối đa tác động của rủi ro và xác định mức độ rủi ro mà tổ chức có thể chấp nhận được. Mặt khác, kiểm toán viên công nghệ thông tin cần phải đánh giá đầy đủ các kiểm soát nội bộ trong hệ thống máy tính để giảm thiểu nguy cơ thiệt hại do sai sót, gian lận và các hành vi khác hoặc các thiên tai, sự cố làm cho hệ thống ngừng hoạt động.
1.2. Nhu cầu kiểm toán công nghệ thông tin
Khi các cơ quan, tổ chức chú trọng việc đầu tư lớn vào việc sử dụng các hệ thống thông tin thì họ trường đặt ra những mục tiêu và kỳ vọng nhất định cần đạt được. Một trong những mục tiêu, kỳ vọng chính của các cơ quan, tổ chức hay doanh nghiệp khi triển khai thực hiện công nghệ thông tin là mong muốn có được giá trị của tổ chức thông qua việc giảm chi phí, tăng hiệu quả hoạt động, nâng cao chất lượng và tăng cung cấp dịch vụ. Thông thường, các mục tiêu trong việc sử dụng công nghệ để hỗ trợ quá trình quản lý kinh doanh bao gồm:
a. Tính bảo mật: Điều này thực sự quan trọng, vì từ đó sẽ giúp tổ chức xác định được cách thức kiểm soát nghiêm ngặt về việc tiếp cận loại thông tin này.
b. Tính toàn vẹn: Tính chính xác và đầy đủ của thông tin cũng như giá trị của nó phù hợp với các giá trị kinh doanh hay kỳ vọng của tổ chức. Đây là một mục tiêu kiểm toán quan trọng bởi nó cung cấp sự bảo đảm cho các tổ chức, từ sự tin cậy này các tổ chức có thể lựa chọn và đưa ra các quyết định đúng đắn.
c. Tính sẵn có: Tính sẵn có liên quan đến thông tin đang có sẵn khi yêu cầu của quá trình kinh doanh hiện tại và trong tương lai.
d. Sự đáng tin cậy: Thể hiện mức độ nhất quán của một hệ thống hoặc khả năng của một hệ thống để thực hiện các chức năng cần thiết của mình theo điều kiện quy định.
1.3. Mục tiêu kiểm toán công nghệ thông tin
Mục tiêu của việc thực hiện một cuộc kiểm toán công nghệ thông tin là để đánh giá hệ thống thông tin máy tính của một tổ chức được kiểm toán (CIS) để xác định tính kịp thời, chính xác, đầy đủ và đáng tin cậy kết quả đầu ra thông tin, cũng như đảm bảo tính bí mật, tính toàn vẹn, tính sẵn sàng và độ tin cậy của dữ liệu cũng như việc tuân thủ các yêu cầu pháp lý và các quy định có liên quan. Mục tiêu kiểm toán sẽ khác nhau tùy theo tính chất, chủng loại kiểm toán tức là một báo cáo tài chính hoặc kiểm toán hoạt động. Nó cũng giống như một thành phần của việc kiểm toán báo cáo tài chính. Bao gồm:
– Hiểu được quy trình quản lý việc sử dụng công nghệ thông tin nhằm cải thiện quy trình kinh doanh quan trọng của doanh nghiệp, tổ chức;
– Hiểu được tầm ảnh hưởng của công nghệ thông tin vào quy trình kinh doanh quan trọng của tổ chức, bao gồm cả sự phát triển của báo cáo tài chính và rủi ro kinh doanh liên quan đến các quá trình này;
– Hiểu được cách các tổ chức sử dụng công nghệ thông tin cho việc xử lý, lưu trữ và truyền thông tin tài chính ảnh hưởng đến các hệ thống kiểm soát nội bộ và xem xét về nguy cơ vốn và kiểm soát rủi ro;
– Xác định và hiểu được điều khiển quản lý sử dụng để đo lường, quản lý và kiểm soát các quá trình công nghệ thông tin;
– Kết luận về hiệu quả của việc kiểm soát đối với các quy trình công nghệ thông tin có tác động trực tiếp và quan trọng đến việc xử lý thông tin tài chính.
Trong trường hợp kiểm toán CNTT có thêm yếu tố kiểm toán hoạt động thì mục tiêu của kiểm toán được xác định như sau:
– Nếu kiểm toán hoạt động có trọng tâm là công nghệ thông tin thì mục tiêu của kiểm toán sẽ chú trọng việc đảm bảo tất cả các khía cạnh của hệ thống công nghệ thông tin đều được thực thi một cách hiệu quả.
– Các kiểm toán hoạt động khác có thể được kiểm tra tính hiệu quả trong suốt quá trình hoạt động vì công nghệ thông tin được coi là rất quan trọng trong các tổ chức vì có khả năng cung cấp các dịch vụ. Trọng tâm của kiểm toán công nghệ thông tin là để đảm bảo rằng các tổ chức có thể dựa vào hệ thống công nghệ thông tin để giúp cung cấp các dịch vụ.
2. Quy trình kiểm toán công nghệ thông tin
Quy trình kiểm toán công nghệ thông tin tương tự như kiểm toán báo cáo tài chính hay kiểm toán nội bộ. Tuy nhiên, mục đích của kiểm toán báo cáo tài chính là xác nhận việc báo cáo tài chính có được lập trên cơ sở chuẩn mực và chế độ kiểm toán hiện hành, tuân thủ pháp luật liên quan và phản ánh trung thực, hợp lý trên các khía cạnh trọng yếu hay không. Còn mục đích của kiểm toán công nghệ thông tin là xem xét và đánh giá tính sẵn sàng, tính bảo mật và tính chính trực thông qua việc trả lời những câu hỏi sau: Hệ thống máy tính có sẵn sàng cho hoạt động sản xuất kinh doanh tại mọi thời điểm; có phải chỉ những người có thẩm quyền mới được sử dụng không; đã cung cấp thông tin chính xác, trung thực và kịp thời không.
2.1. Lập kế hoạch kiểm toán
Kiểm toán viên lập kế hoạch kiểm toán để đảm bảo cuộc kiểm toán đúng thời hạn, phát hiện gian lận, rủi ro và những vấn đề tiềm ẩn. Mặt khác, để đánh giá được sự thành công của cuộc kiểm toán hệ thống, kiểm toán viên cần xác định phạm vi và mục tiêu của cuộc kiểm toán thông qua các thử nghiệm về hệ thống thông tin. Để xác định mục tiêu kiểm toán và đảm bảo thông tin thu thập được có hiệu quả, kiểm toán viên cần xác định mức trọng yếu, đánh giá rủi ro kiểm toán nhằm tìm ra những bằng chứng thích hợp và đầy đủ trong suốt quá trình kiểm toán.
Khi xác định mức độ trọng yếu, kiểm toán viên có thể kiểm toán các khoản mục chi tiền tệ như kiểm soát và xử lý phần cứng, kiểm soát phần logic, kiểm soát hệ thống quản lý nhân sự, kiểm soát nhà máy, kiểm soát mật mã. Đối với các nghiệp vụ liên quan đến tiền tệ, cần lưu ý một số thước đo: Quy trình kinh doanh mà hệ thống máy tính hỗ trợ chủ yếu; Chi phí đầu tư và chi phí hoạt động của hệ thống (phần cứng, phần mềm, dịch vụ của bên thứ ba…); Chi phí ẩn của các sai sót; Số lượng nghiệp vụ hay yêu cầu được xử lý trong mọi thời kỳ; Mức phạt cho những hành vi không tuân thủ quy định của pháp luật hay của đơn vị.
Kiểm toán viên phải đánh giá rủi ro kiểm toán và xác định các thủ tục kiểm toán nhằm giảm thiểu các rủi ro kiểm toán xuống thấp tới mức có thể chấp nhận được, cần xem xét những vấn đề chung và cụ thể của hệ thống thông tin để đánh giá rủi ro tiềm tàng.
Các loại bằng chứng kiểm toán cần thu thập khi kiểm toán hệ thống về cơ bản là dựa vào mức độ rủi ro mà kiểm toán viên đánh giá, bao gồm: bằng chứng quan sát, sự bảo mật của hệ thống máy tính, bằng chứng tài liệu, các mẫu tin về nghiệp vụ kinh tế phát sinh, các chính sách, các lưu đồ hệ thống, bằng chứng từ việc phân tích (thu thập được qua việc so sánh các tỷ lệ lỗi giữa phần mềm, các nghiệp vụ kinh tế và người sử dụng). Để đánh giá hệ thống kiểm soát nội bộ, kiểm toán viên xem xét môi trường kiểm soát, hệ thống máy tính và các thủ tục kiểm soát.
2.2. Thực hiện kiểm toán
Kiểm toán công nghệ thông tin được thực hiện chung với kiểm toán báo cáo tài chính hay kiểm toán nội bộ và có quy trình tương tự. Nhưng trong cùng quy trình kiểm toán, kiểm toán công nghệ thông tin có mục đích xem xét, đánh giá hệ thống thông tin của doanh nghiệp. Có thể chia hệ thống phương pháp kiểm toán thành hai loại, đó là phương pháp thử nghiệm cơ bản và phương pháp thử nghiệm kiểm soát.
Phương pháp thử nghiệm cơ bản được thiết kế và sử dụng nhằm mục đích thu thập các bằng chứng có liên quan đến các dữ liệu do hệ thống kiểm toán của đơn vị được kiểm toán cung cấp. Đặc trưng cơ bản của phương pháp này là việc tiến hành thử nghiệm, đánh giá đều được lựa vào số liệu, các thông tin trong báo cáo tài chính và hệ thống kế toán của đơn vị.
Áp dụng phương pháp phân tích trong khi lập kế hoạch kiểm toán có thể sử dụng cả số liệu tài chính và các thông tin không mang tính chất tài chính như số lao động, diện tích kho tàng, diện tích khu bán hàng, công tác tiến độ sản xuất và các thông tin tương tự.
Các kiểm toán viên nghiên cứu, đánh giá hệ thống kiểm soát nội bộ là để đánh giá mức độ rủi ro trong kiểm soát, làm cơ sở cho việc lựa chọn các phương pháp kiểm toán thích hợp. Tùy thuộc mức độ thỏa mãn về kiểm soát, kiểm toán viên có thể áp dụng các phương pháp kiểm toán tuân thủ cụ thể sau:
– Phương pháp cập nhật cho các hệ thống: Kỹ thuật này đòi hỏi việc kiểm tra chi tiết một loạt các nghiệp vụ cùng loại ghi chép từ đầu đến cuối để xem xét, đánh giá các bước kiểm soát áp dụng trong hệ thống điều hành nội bộ. Kiểm tra hệ thống cho phép đánh giá lại mức độ rủi ro kiểm toán và thiết kế các thử nghiệm chi tiết về kiểm soát.
– Các thử nghiệm chi tiết đối với kiểm soát. Thử nghiệm chi tiết về kiểm soát là các thử nghiệm được tiến hành để thu thập bằng chứng về sự hữu hiệu của quy chế kiểm soát và các bước kiểm soát, làm cơ sở cho việc thiết kế phương pháp thử nghiệm kiểm toán cơ bản. Các thử nghiệm chi tiết đối với kiểm soát chủ yếu cũng được thực hiện trên cơ sở kiểm tra mẫu các quy chế kiểm soát nội bộ.
3. Khó khăn, vướng mắc khi thực hiện kiểm toán công nghệ thông tin
Thực chất, việc thực hiện một cuộc kiểm toán công nghệ thông tin như là một thành phần của việc thực hiện một cuộc kiểm toán tài chính. Vì vậy, các tổ chức cần phải nhận thức được một số rủi ro có thể phải đối mặt. Trong cách tiếp cận dựa trên những rủi ro có thể gặp phải, kiểm toán viên có thể tập trung vào những lĩnh vực có mức rủi ro cao nhất để tổ chức không phải trình bày báo cáo tài chính một cách hợp lý và đúng sự thật.
Trong quá trình kiểm toán, kiểm toán viên công nghệ thông tin cần nhận thức được các khu vực chung và những rủi ro tiềm tàng:
Các hoạt động được kiểm toán là những hoạt động được phát triển và ứng dụng riêng của các tổ chức;
Người sử dụng có thể cấp quyền truy cập vào các chức năng hay dữ liệu cụ thể;
Người sử dụng có khả năng để thay đổi dữ liệu và xây dựng báo cáo (ví dụ: để thay đổi dữ liệu hay công thức trên bảng tính); điều khiển CIS tràn lan làm ảnh hưởng đến độ tin cậy của tất cả các hệ thống ứng dụng được xử lý trên máy tính. Các tác động của các điều khiển phụ thuộc vào cả hai mức độ mà họ áp dụng cho các ứng dụng cụ thể và mức độ mà chất lượng của các điều khiển là phù hợp với mức độ rủi ro gắn liền với ứng dụng;
Bản chất và phạm vi của tài liệu liên quan đến CIS là thích hợp do sự phức tạp của những rủi ro vốn và phải đối mặt với môi trường CIS;
Các yếu tố ảnh hưởng đến chất lượng kiểm toán, ví dụ như một môi trường không cần giấy tờ, có thể làm tăng tiềm năng cho các bằng chứng kiểm toán là không đầy đủ, không đáng tin cậy hoặc khó khăn để có được;
Rủi ro cụ thể gắn liền với một môi trường CIS đặc biệt được xác định.