Kiểm toán hệ thống thông tin.Kiểm toán hệ thống thông tin (KTHTTT) là việc thực hiện các thủ tục kiểm soát một thực thể cấu trúc hệ thống công nghệ thông tin. Thuật ngữ KTHTTT trước đây thường được hiểu như là kiểm toán xử lý dữ liệu điện tử. Đây là giai đoạn thu thập chứng cứ và đánh giá bằng chứng về các hoạt động của hệ thống thông tin đã được tổ chức. Việc đánh giá các bằng chứng phải chắc chắn rằng hoạt động của hệ thống ấy phải bảo mật, chính trực và hiệu quả nhằm đạt được các mục tiêu của tổ chức đã đề ra. Công việc này được thực hiện chung với việc kiểm toán báo cáo tài chính (KTBCTC), kiểm toán nội bộ hay kiểm toán vì các mục đích khác.
Quy trình KTHTTT tương tự như kiểm toán BCTC hay kiểm toán nội bộ. Tuy nhiên, mục tiêu của kiểm toán BCTC là xác nhận việc BCTC có được lập trên cơ sở chuẩn mực và chế độ kiểm toán hiện hành (hoặc được chấp nhận), tuân thủ pháp luật liên quan và phản ánh trung thực, hợp lý trên các khía cạnh quan trọng hay không? Còn mục tiêu của KTHTTT là nhận xét và đánh giá tính đúng đắn, tính bảo mật và tính chính trực thông qua việc trả lời những câu hỏi sau: Hệ thống máy tính có sẵn sàng cho hoạt động sản xuất kinh doanh tại mọi thời điểm? Liệu hệ thống thông tin có phải chỉ những người có thẩm quyền mới được dùng không? Liệu hệ thống thông tin đã đưa được ra thông tin chính xác, trung thực và kịp thời không?KTHTTT bao gồm các loại: Kiểm toán hệ thống máy tính và phần mềm ứng dụng, kiểm toán các tiện ích xử lý của hệ thống thông tin, kiểm toán về việc triển khai và phát triển hệ thống, kiểm toán về hệ thống mạng nội bộ, mạng internet.Quy trình KTHTTTLên kế hoạch kiểm toánKiểm toán viên (KTV) lên kế hoạch kiểm toán để chắc chắn cuộc kiểm toán đúng thời hạn, phát hiện gian lận, rủi ro và những vấn đề tiềm ẩn. Chủ nhiệm kiểm toán viên hệ thống phải biết rõ năng lực của các nhân viên kiểm toán để phân công công việc cho từng người. Mặt khác, để đánh giá được kết quả tốt nhất của cuộc kiểm toán hệ thống, KTV cần xác định phạm vi và mục tiêu của cuộc kiểm toán thông qua các thử nghiệm về hệ thống thông tin. Để định hướng được mục tiêu kiểm toán và đảm bảo thông tin thu thập được có hiệu quả, KTV cần xác định mức trọng yếu, đánh giá rủi ro kiểm toán nhằm tìm ra những bằng chứng thích hợp và đầy đủ trong suốt thời gian kiểm toán.Khi định hướng được mức độ trọng yếu, KTV có thể kiểm toán các khoản mục chi tiền tệ như rà soát và xử lý phần cứng, kiểm soát phần logic, kiểm soát hệ thống quản lý nhân sự, kiểm soát nhà máy, kiểm soát mật mã. Đối với các nghiệp vụ liên quan đến tiền tệ, cần chú ý một số thước đo: Quy trình kinh doanh mà hệ thống máy tính hỗ trợ chủ yếu, Chi phí đầu tư và chi phí hoạt động của hệ thống (phần cứng, phần mềm, dịch vụ của bên thứ ba…) Chi phí ẩn của các sai sót, tổng số nghiệp vụ hay định mức được xử lý trong mọi thời kỳ. Mức phạt cho những hành vi không tuân thủ quy định của pháp luật hay của đơn vị.Kiểm toán viên( KTV) phải đánh giá rủi ro kiểm toán và xác định các thủ tục kiểm toán nhằm giảm thiểu các rủi ro kiểm toán xuống nhất tới mức có thể chấp nhận được. Để dễ hiểu, thông thường người ta chia rủi ro làm các mức: cao, trung bình và thấp. Dựa vào đó, đưa ra tỷ lệ rủi ro kiểm toán cần thiết cho cuộc kiểm toán. Trong quá trình xác định rủi ro kiểm toán, KTV cần lưu ý đến các loại thông tin: Chi phí về phần mềm cần có để thực hiện kiểm tra, Mức độ thông tin cần thiết để đánh giá rủi ro kiểm toán phải ở trong trạng thái sẵn sàng đáp ứng, sự sẵn lòng của ban quản lý đơn vị được kiểm toán.
KTV cần xem xét những vấn đề chung và cụ thể của hệ thống thông tin để đánh giá rủi ro tiềm tàng. Đối với những vấn đề chung, cần chú ý tới kiến thức và kinh nghiệm của bộ phận quản lý công nghệ thông tin, hệ thống tổ chức kinh doanh, sự thay đổi ban quản lý công nghệ thông tin. Xem lại những báo cáo kiểm toán của các kỳ trước. Đối với những vấn đề cụ thể, cần quan tâm sự phức tạp của hệ thống, mức độ can thiệp bằng thủ công nếu có yêu cầu, các loại tài sản có tính nhạy cảm, xem lại những báo cáo kiểm toán của các kỳ trước.Còn rủi ro kiểm soát được xác định và đánh giá bởi hệ thống kiểm soát nội bộ. KTV hệ thống cần chú ý tới các thủ tục như: thủ tục kiểm soát những thay đổi chương trình, quyền sử dụng bản quyền phần mềm.Rủi ro phát hiện được xác định thông qua việc KTV hệ thống đánh giá rủi ro tiềm tàng và rủi ro kiểm soát.Các yếu tố kiểm toán cần tổng hợp khi kiểm toán hệ thống về căn bản là dựa vào mức độ rủi ro mà KTV đánh giá, bao gồm: bằng chứng quan sát, sự bảo mật của hệ thống máy tính, bằng chứng tài liệu, các mẫu tin về nghiệp vụ kinh tế phát sinh, các chính sách, các lưu đồ hệ thống, bằng chứng từ việc phân tích (tổng hợp được qua việc so sánh các tỷ lệ lỗi giữa phần mềm, các nghiệp vụ kinh tế và người sử dụng)Để có nhận định chính xác hệ thống kiểm soát nội bộ, KTV xem xét môi trường kiểm soát, hệ thống máy tính và các thủ tục kiểm soát.Thực hiện kiểm toán.Như đã đề cập, KTHTTT được thực hiện chung với KTBCTC hay KTNB và có quy trình tương tự như KTBCTC hay KTNB. Nhưng trong cùng quá trình kiểm toán, KTHTTT có mục đích xem xét, đánh giá hệ thống thông tin của DN. Có thể chia hệ thống phương pháp kiểm toán thành hai phương pháp, đó là phương pháp thử nghiệm cơ bản và phương pháp thử nghiệm kiểm soát.Phương pháp thử nghiệm cơ bản được thiết kế và sử dụng nhằm mục đích thu thập các bằng chứng có liên quan đến các số liệu do hệ thống kiểm toán của đơn vị được kiểm toán cung cấp. Đặc trưng