B GIÁO DC VÀ ÀO TO
TRNG I HC KINH T TP. H CHÍ MINH
•
NG THÁI NGC KHIÊM
LUN VN THC S KINH T
TP. H Chí Minh – Nm 2014

VN DNG CHUN MC QUC T  XÂY DNG
QUY TRÌNH VÀ TH TC KIM TOÁN H THNG
CÔNG NGH THÔNG TIN TRONG KIM TOÁN BÁO

CÔNG NGH THÔNG TIN TRONG KIM TOÁN BÁO
CÁO TÀI CHÍNH TI VIT NAM
LI CAM OAN

Tôi xin cam đoan đây là công trình nghiên cu ca riêng tôi. Kt qu nêu trong lun
vn là trung thc và cha tng đc công b trong bt c công trình nghiên cu
nào.

NG THÁI NGC KHIÊM
MC LC

Trang ph bìa
Li cam đoan
Mc lc
Danh mc vit tt
Danh mc các bng
Danh mc hình v
PHN M U 1
1. Tính cp thit ca đ tài 1
2. Tng quan các vn đ nghiên cu 4
3. Mc tiêu lun vn 8
4. Phng pháp nghiên cu 8
5. Phm vi và đi tng nghiên cu 10
6. Các đóng góp ca lun vn 10
7. Trình bày và kt cu lun vn 11
CHNG 1: QUY TRÌNH VÀ TH TC KIM TOÁN CÔNG NGH
THÔNG TIN 12
1.1 KIM TOÁN CÔNG NGH THÔNG TIN 12
1.1.1 Quá trình hình thành, phát trin ca kim toán CNTT. 12
1.1.2 Mc tiêu và vai trò ca kim toán h thng công ngh thông tin 14


AICPA: Hip hi K toán viên công chng Hoa K
BCTC: Báo cáo tài chính
CEO: Giám đc điu hành doanh nghip
COBIT (Control Objectives for Information and related Technology): Kim soát
các vn đ đi vi thông tin và k thut liên quan.
COSO (the Committee of Sponsoring Organizations of Treadway Commission): y
ban chng gian ln báo cáo tài chính
CNTT: Công ngh thông tin
ERP (Enterprise resource planning): H thng hoch đnh ngun lc doanh nghip
CNTT: H thng công ngh thông tin
HSBC (Hongkong and Shanghai Banking Corporation): Tp đoàn Ngân hàng Hng
Kông và Thng Hi
ISACA (Information Systems Audit and Control Association): Hip hi kim soát
và kim toán h thng thông tin.
IT (Information Technology): Công ngh thông tin
ITAF (IT Assurance Framework): Khuôn mu đm bo công ngh thông tin
KTV: Kim toán viên
VAS (Vietnamese Accounting Standard): Chun mc k toán Vit Nam
VN: Vit Nam
VSA (Vietnamese Standards on Auditing): Chun mc kim toán Vit Nam

DANH MC CÁC BNG

Bng 1.1: Phân loi kim soát h thng tng quát (General IT Control)
Bng 1.2: Hiu qu các loi th nghim tng ng vi các kim soát ng dng
Bng 2.1: S lng công ty kim toán đã thc hin kim toán CNTT trong cuc
kim toán BCTC
Bng 2.2: S lng khách hàng trong nm 2012 ca 6 công ty kim toán ln ti
Vit Nam

cu đc cung cp các dch v bo đm t bên th ba đc lp khách quan có trình
đ chuyên môn cao và đc pháp lut cho phép hot đng. Các đn v kim toán ra
đi đáp ng nhu cu trên cùng vi các loi hình dch v đm bo ph bin đc
phân loi theo chc nng nh sau: kim toán báo cáo tài chính, kim toán tuân th
và kim toán hot đng. Vi bt k loi hình kim toán nào, khi đi tng đ kim
toán viên thc hin các th tc kim toán là h thng công ngh thông tin, phm trù
“kim toán h thng công ngh thông tin” xut hin vi khái nim c th và ni
dung là nhng quy trình, th tc cht ch nhm mc đích thu thp bng chng và
đánh giá bng chng v các hot đng ca h thng thông tin đã đc t chc. Vic
đánh giá các bng chng phi đm bo rng hot đng ca h thng y đc bo
mt, chính trc, hu hiu và hiu qu nhm đt đc các mc tiêu ca t chc đã đ
ra. Công vic này đc thc hin chung vi vic kim toán báo cáo tài chính, kim
toán ni b hay kim toán vì mc đích khác. 2
Cùng vi s bùng n ca ngành công ngh thông tin, các công ty phát trin và cung
cp gii pháp qun tr cho ra đi hàng lot h thng qun lý tích hp sâu vào tng
hot đng ca doanh nghip nhm thu thp, x lý, cung cp chính xác, kp thi các
thông tin tài chính trong doanh nghip, bao gm c thông tin k toán nhm đáp ng
nhu cu s dng thông tin ca nhiu đi tng. Các h thng trên đc gi chung
vi tên gi “H thng hoch đnh các ngun lc doanh nghip” (Enterprise
Resource Planning – ERP). Thut ng ERP đc Gartner Group of Stamford, CT,
USA s dng t nhng nm đu ca thp niên 70 ca th k trc (1970s) nhm
mô t h thng phn mm doanh nghip đc hình thành và phát trin t nhng h
thng qun lý và kim soát kinh doanh giúp doanh nghip hoch đnh và qun lý
các ngun lc bên trong và bên ngoài doanh nghip. Vic ng dng ERP rng rãi
bi các doanh nghip chng t hiu qu kinh t mà h thng này mang li dn đn
kim toán CNTT càng tr nên ph bin và là mt phn không th tách ri trong các
cuc kim toán.

cng nh áp dng các chun mc t b khuôn mu kim toán h thng (ITAF,
2013) hoc da vào mô hình kim soát CobiT
2
làm cn c so sánh, đi chiu tuân
th. Hin nay, đã có 17 chun mc kim toán và đm bo h thng (IS Audit and
Assurance Standards, 2013) đc ISACA ban hành và 18 d tho hng dn (IS
Audit and Assurance Guideline) đang hoàn tt các th tc cui cùng đ đc ban
hành chính thc.
T tm quan trng ca vn đ cng nh s lng nghiên cu cha nhiu, lun vn
chn đ tài “Vn dng chun mc quc t đ xây dng quy trình và th tc kim
toán h thng công ngh thông tin trong kim toán báo cáo tài chính ti Vit
Nam”.
Lun vn đ cp ti các quy trình và th tc kim toán h thng công ngh thông tin
đang đc áp dng hin nay ti Vit Nam và khon cách so vi các chun mc
đc áp dng quc t. Da vào kt qu kim toán h thng, kim toán viên có c s
đ đánh giá quá trình tuân th và qun tr h thng đi vi doanh nghip tích hp
sâu công ngh thông tin vào công tác qun lý, c th là các doanh nghip trin khai
2
CobiT –Control Objectives for Information and related Technology- do Vin qun lý công ngh thông tin
(IT Governance Institute) thuc Hip hi v kim soát và kim toán HTTT (ISACA-Information System
Audit and Control Association) ban hành nm 1996. COBIT nhn mnh đn kim soát trong môi trng tin
hc
4
ERP, t đó to c s đ đa ra kt lun v báo cáo tài chính ca doanh nghip đc
kim toán.
2. TNG QUAN CÁC VN  NGHIÊN CU
Nh đã đ cp, t l trin khai và ng dng ERP ca các doanh nghip ti Vit Nam


5
viên và công ty kim toán đ có th thõa mãn yêu cu trong vic đánh giá ri ro và
kim soát ni b theo hng dn ca chun mc kim toán Vit Nam s 400 –
ánh giá ri ro và kim soát ni b và phân tích bn cht và đc đim các ri ro
nh sau:
- Thiu du vt ca các giao dch
- Quy trình x lý thng nht các giao dch
- S phân chia các chc nng b hn ch
- Kh nng ca sai sót và không tuân th
- T to và thc hin các giao dch
- S ph thuc ca các bc kim soát khác đi vi quá trình x lý thông tin
bng máy tính
- Tng kh nng giám sát ca Ban Giám đc
- Tng kh nng s dng k thut kim toán đc máy tính tr giúp
Da nhng đc đim và bn cht trên, kim toán viên và công ty kim toán phi
xem xét môi trng tin hc trong vic thit lp các th tc kim toán đ gim ri ro
kim toán thp đn mc có th chp nhn đc. Và trong trng hp h thng có
tính phc tp cao, cn xem xét vic s dng s giúp đ ca chuyên gia thành tho
nhng k nng cn thit trong khi lp k hoch và kim toán viên phi thu thp đy
đ bng chng kim toán thích hp đ đm bo rng công vic ca chuyên gia thc
hin là đúng mc đích ca cuc kim toán, tuân th theo Chun mc kim toán Vit
Nam s 620 – S dng t liu ca chuyên gia
4
. (on 6, VSA 401).
VSA 401 có vai trò quan trng nh là hng dn đu tiên và là nn móng cho hot
đng kim toán CNTT, to tin đ cho các chun mc khác ra đi, đc bit trong
4
Chun mc kim toán Vit Nam s 620 – S dng t liu ca chuyên gia - Ban hành và công b theo Quyt
đnh s 195/2003/Q-BTC ngày 28 tháng 11 nm 2003 ca B trng B Tài chính và có hiu lc thi hành

đu ra. C th nh vic thit lp chính sách an ninh h thng, kim soát nhp liu đ
đm bo cht lng d liu đu vào, kim soát các chc nng t đng ca phn
mm, các thc x lý s liu đ trong quá trình x lý d liu và kim tra đi chiu
vi các thông tin đu ra. Hn ch ca bài vit không đ cp đn phng thc thc 7
hin c th mà ch đa ra các ý tng chính trong vic thc hin hot đng kim
soát đc khoa hc và có tính bao ph rng nhm hn ch ri ro.
Vn đ ri ro đc xem xét trên nhiu khía cnh khác nhau, đa dng v nguyên
nhân cng nh tính cht, tuy nhiên mc tiêu chính ca vic xây dng môi trng tin
hc trong doanh nghip dùng to nn tng đ phát trin các h thng thông tin nói
chung và h thng thông tin k toán nói riêng nhm cung cp thông tin k toán mô
t các vn đ tài chính ca doanh nghip. Chính vì th, cht lng thông tin tr
thành mt đi tng đc nghiên cu. Thông tin có hn 20 thuc tính, bao gm các
thuc tính đc đ cp nhiu nht nh tính chính xác, nht quán, an ninh, kp thi
v.v… (Knight and Burn, 2005). Thông tin đc xem nh có cht lng khi các
thuc tính đc bo toàn, không b thay đi qua quá trình x lý và đn tay ngi s
dng, chính vì th các nhân t nh hng đn cht lng thông tin nói chung và
thông tin k toán nói riêng trong môi ng dng tin hc ti doanh nghip, đc bit
khi doanh nghip trin khai h thng hoch đnh ngun lc doanh nghip ERP đc
phân tích nhm to c s cho vic xây dng hot đng kim soát (Nguyn Bích
Liên, 2012). Trong quá trình phân tích và kho sát, Nguyn Bích Liên đã nhn đnh
ra đc mt s nhân t mi và đa ra phng pháp c th đ kim soát các nhân t
đ đm bo cht lng thông tin k toán nhm phc v các mc đích ca ngi s
dng.
Nh vy, các đ tài, bài vit cng nh công trình nghiên cu hin có đã tip cn hu
ht các khía cnh ca h thng công ngh thông tin ti doanh nghip, cng nh đa
ra đc các bin pháp đ kim soát h thng nhm đm bo các mc tiêu ban đu
h thng đc thit k. Tuy nhiên vn cha làm rõ khái nim kim toán CNTT cng

khuôn mu kim toán h thng ITAF. Lun vn s dng phng pháp so sánh các 9
lý thuyt nn v kim toán CNTT, các quan đim ca các t chc ngh nghip có
tính quc t hay các c quan qun lý nhà nc.
 gii quyt vn đ (2) Thc trng áp dng ti Vit Nam. Lun vn s dng
phng pháp thc nghim thông qua vic kho sát các th tc và quy trình kim
toán đã áp dng ti các loi hình doanh nghip ti các cuc kim toán BCTC có ng
dng kim toán CNTT gn đây ti các công ty kim toán Vit Nam. Kt qu k
vng là các th tc và quy trình (nu có) thc hin tuân theo chun mc và hng
dn Quc t. Các khác bit s đc phân tích làm c s cho kin ngh.
 gii quyt vn đ (3) Kin ngh xây dng h thng chun mc kim toán CNTT
phù hp vi môi trng Vit Nam. Thông qua kt qu có đc khi gii quyt vn đ
(1) và (2), so sánh, tng kt và đánh giá. 10
5. PHM VI VÀ I TNG NGHIÊN CU
Phm vi nghiên cu là các công ty kim toán Vit Nam cung cp dch v kim toán
BCTC cho các doanh nghip Vit Nam có tích hp sâu công ngh thông tin vào
công tác qun lý, c th là vic trin khai thành công H thng hoch đnh các
ngun lc doanh nghip ti đn v (ERP), các h thng MRP, MRP II v.v… có b
sung phân h Tài chính – K toán hoc các h thng tng đng do doanh nghip
t phát trin.
i tng nghiên cu là quy trình và th tc kim toán CNTT đc áp dng cho
các cuc kim toán BCTC thuc phm vi nghiên cu. i tng nghiên cu còn
bao gm các khuôn mu lý thuyt, các chun mc, hng dn đc ban hành bi
ISACA v kim toán h thng công ngh thông tin, các vn bn hng dn ca các
t chc có thm quyn, c quan nhà nc, hip hi ngh nghip.

Kim toán công ngh thông tin (CNTT) là mt phn ca quá trình kim toán tng
th, đó là mt trong nhng công c h tr đ qun tr tt doanh nghip. Khái nim
kim toán ra đi t rt lâu t nhng hình thc s khai ban đu vi vic kim tra tính
chính xác ca các ghi chép k toán cho đn nay, kim toán xut hin vi nhiu chc
nng khác nhau nh kim toán báo cáo tài chính, kim toán hot đng và kim toán
tuân th. Hot đng kim toán đã tri qua mt quá trình phát trin phc tp gn lin
vi các s kin lch s trên th gii và luôn đc hoàn thin đ đáp ng đc yêu
cu qun lý kinh t trong tng thi k.
Cùng vi s phát trin ca ngành công ngh thông tin và nhng ng dng ca máy
tính vào trong các hot đng ca doanh nghip, đnh cao là vic trin khai H thng
hoch đnh ngun lc doanh nghip (EPR). H thng đã tích hp các hot đng
kinh doanh ca nhiu vùng hot đng trong ni b doanh nghip thành mt h
thng chung vi mt c s d liu chung, nó bao gm các phân h c bn nhm h
tr các hot đng marketing, tài chính, k toán, sn xut và qun tr ngun nhân lc.
Không nhng th ERP hng ti lp k hoch và lch trình ti c ngi cung cp
ngun lc cho doanh nghip trên c s lp k hoch nhu cu và lch trình khách
hàng mt cách nng đng. Cng chính vì th, khi lng d liu phát sinh, đc x
lý và lu tr mi ngày thông qua các nghip v kinh t ti doanh nghip càng tr
nên phc tp và khó kim soát. Mt khác, các d liu trên là c s đ h thng
thông tin k toán đa ra kt qu là thông tin k toán vi vai trò ht sc quan trng
trong vic ra quyt đnh ca các nhà qun tr. Cht lng ca thông tin k toán trong
môi trng ng dng h thng công ngh thông tin nói chung và ERP nói riêng tr 13
thành vn đ quan tâm ca các nhà qun tr. Kim toán h thng công ngh thông
tin k toán ra đi trong bi cnh đó vi hình thc ban đu là Kim toán x lý d liu
đin t (Electronic Data Process Auditing) nh h qu tt yu ca vic trin khai
công ngh vào h thng k toán, sau đó đc phát trin rng rãi thành Kim toán h
thng công ngh thông tin (IT auditing) khi các h thng k toán đn gin đc

lp k hoch, giám sát, phm vi kim toán, ri ro và mc trng yu, phân b
ngun lc, bng chng kim toán và đm bo, thc hành đánh giá chuyên
môn và thn trng.
- Chun mc báo cáo (nhóm chun mc 1400): đ cp đn các li báo cáo,
phng tin thông tin và các thông tin nên đc trao đi.
• Phn hng dn vi 15 hng dn
- Các hng dn đc son tho nhm to s liên kt gia các chun mc vi
nhau, đng thi liên kt gia chun mc vi CobiT nhm din gii c th
hn các nguyên tc trong các chun mc vi s hiu tng ng vi s hiu
ca chun mc và đc đánh s bt đu t 2000.
Các s hiu trong chun mc và hng dn ch có ý ngha đnh danh, không th
hin th t áp dng. Khi thc hin kim toán, kim toán viên phi xem xét các
chun mc và hng dn trong mi quan h tng quan và b tr ln nhau.
1.1.2 Mc tiêu và vai trò ca kim toán h thng công ngh thông tin
T khi ra đi cho đn nay, tuy thi gian phát trin ca kim toán CNTT tng đi
ngn so vi quá trình phát trin dài hàng trm nm ca ngh kim toán và s phát
trin đó gn lin vi s phát trin ca công ngh thông tin, kim toán CNTT đã tri
qua không ít thay đi.
Tuy không có đnh ngha thng nht trên th gii v khái nim kim toán CNTT
cho đn nay, nhiu tác gi đã mô t kim toán CNTT bng cách đa ra các phân loi
khác nhau v mc tiêu. Theo Goodman và Lawless (1994), có ba hng tip cn đ
hình thành nên kim toán CNTT bao gm: 15
- Kim toán quy trình đi mi công ngh (Technological innovation process
audit): Cuc kim toán này xây dng mt h s ri ro cho các d án hin có
và d án mi. Cuc kim toán s đánh giá mc kinh nghim ca doanh
nghip đi vi công ngh đã chn cng nh đ ph bin ca công ngh đó
trên th trng, trong cu trúc mi d án và trong th phn ca nn công

cho s phát trin h thng.
- Qun lý CNTT và kin trúc doanh nghip (Management of IT and Enterprise
Architecture): Cuc kim toán xác minh ban qun lý CNTT đã phát trin mt
c cu có trt t và xây dng th tc đ đm bo mt môi trng kim soát
hiu qu cho hot đng x lý thông tin.
- Máy khách/máy ch, mng vin thông, mng ni b và mng ni b m rng
(Client/Server, Telecommunications, Intranets, and Extranets): Cuc kim
toán xác minh các kim soát vin thông đã đc thit lp ti máy khách (máy
tính nhn dch v), máy ch và trên mng kt ni các máy khách và máy ch.
Tuy vic phân loi kim toán CNTT khá đa dng và có nhiu quan đim, tuy nhiên
công vic chung ca kim toán CNTT vn xoay quanh hai khía cnh chính là vic
đánh giá kim soát chung môi trng và h thng đng thi kim soát ng dng.
Theo Weber (1998), kim toán CNTT là quy trình thu thp và đánh giá bng chng
đ xác minh mt h thng công ngh thông tin có đm bo an toàn tài sn, toàn vn
d liu, đt đc mc đích t chc mt cách hu hiu và tiêu th tài nguyên mt
cách hiu qu. Trong phm vi ca đ tài, các mc tiêu trên đc thc hin tng
phn và có chn lc nhm h tr cho mc tiêu chung ca toàn cuc kim toán là
đa ra ý kin trên BCTC ca đn v đc kim toán.
Ngày nay, h thng thông tin tr nên phc tp vi nhiu thành phn hp thành h
tr ln nhau đ đa ra gii pháp kinh doanh. Di bt k hình thc nào kim toán
CNTT mang li, s đm bo v h thng thông tin ch có th đt đc khi tt c các
thành t đc đánh giá và bo đm an toàn. Mc tiêu chính ca kim toán CNTT có
th đc phân loi nh sau: 17
- Soát xét yu t vt lý và môi trng (Physical and environmental review):
bao gm soát xét an toàn vt lý, ngun cung nng lng, điu hòa nhit đ,
kim soát đ m và các nhân t môi trng khác.
- Soát xét qun tr h thng (System administration review): bao gm kim tra

Trích đoạn Ban hành các khái n im liên quan đ nk im toán CNTT

---