Kiểm toán công nghệ thông tin và một số vấn đề đặt ra đối với công tác đào tạo nguồn nhân lực kiểm toán

This audit aims to verify whether IT management and staff have developed an organizational structure and sound procedures to secure and control information

TCCT: ThS. TRẦN THỊ HẢI VÂN (Hội viên kỳ cựu Hiệp hội Kế toán công chứng Anh quốc ACCA, Hội viên Hiệp hội Kiểm toán nội bộ Hoa Kỳ IIA, Giảng viên Khoa Kế toán - Kiểm toán, Trường Đại học Ngân hàng TP. Hồ Chí Minh)

1. Đặt vấn đề

Sự phát triển như vũ bão của công nghệ thông tin trong kỷ nguyên số cũng như trong bối cảnh cuộc cách mạng công nghiệp 4.0 có tác động sâu sắc đến nhiều lĩnh vực và các loại hình doanh nghiệp. Công nghệ thông tin trở thành một trong những yếu tố then chốt cho sự thành công của một tổ chức.

Đối với ngành Kiểm toán, công nghệ thông tin giúp cho việc phân tích thông tin, dữ liệu được nhanh chóng và chính xác hơn, tạo nguồn dữ liệu lớn phục vụ cho hoạt động kiểm toán, như: tập hợp được nhiều thông tin liên quan đến các đầu mối kiểm toán; phân tích, khảo sát, lập kế hoạch, lưu trữ hồ sơ kiểm toán trong cả quy trình kiểm toán, tạo điều kiện thuận lợi cho việc xác định nội dung, phạm vi, trọng tâm và trọng yếu kiểm toán, nâng cao chất lượng kiểm toán.

Do vậy, bài nghiên cứu tập trung mô tả, tổng hợp và đánh giá những yêu cầu của công tác kiểm toán công nghệ thông tin đến nguồn nhân lực trong lĩnh vực kiểm toán. Nội dung chính tập trung vào 2 điểm, gồm: (1) Kiểm toán công nghệ thông tin; (2) Một số vấn đề đặt ra đối với công tác đào tạo nguồn nhân lực trong lĩnh vực kiểm toán.

2. Kiểm toán công nghệ thông tin

Hiện nay, sự phát triển mạnh mẽ của công nghệ thông tin đã tác động sâu sắc đến mọi doanh nghiệp ở mọi lĩnh vực khác nhau. Trong hoạt động của doanh nghiệp, việc sử dụng công nghệ thông tin trong ghi chép, xử lý các giao dịch góp phần đáng kể giúp nâng cao hiệu quả hoạt động cũng như nâng cao chất lượng cung cấp dịch vụ cho khách hàng. Thực tế trong suốt 20 năm qua, sự phát triển của công nghệ thông tin cũng như cuộc cách mạng về kỷ nguyên số đã tạo ra sự thay đổi trong môi trường kiểm soát và cách thức thực hiện các hoạt động kiểm soát trong doanh nghiệp, thậm chí làm thay đổi cả quy trình ra quyết định của các nhà quản lý. Trong môi trường hoạt động có sử dụng công nghệ thông tin và ngày càng phụ thuộc vào công nghệ thông tin, các doanh nghiệp đã nhận thức được tầm quan trọng của việc duy trì và phát triển hệ thống công nghệ thông tin sao cho đảm bảo sự an toàn, bảo mật và hiệu quả. Việc đánh giá tính hiệu lực và hiệu quả của hệ thống công nghệ thông tin ngày càng cần thiết và đóng góp vào sự thành công trong cả ngắn và dài hạn của doanh nghiệp. Kiểm toán công nghệ thông tin trở thành một chức năng tư vấn, là cánh tay phải để giúp doanh nghiệp quản trị công nghệ thông tin (Radonovic và cộng sự, 2010).

Kiểm toán công nghệ thông tin được hiểu là việc kiểm tra và đánh giá hệ thống công nghệ thông tin, cơ sở hạ tầng, các chính sách và hoạt động của hệ thống công nghệ thông tin. Trong quy trình kiểm toán công nghệ thông tin, người kiểm toán viên sẽ thu thập và đánh giá bằng chứng kiểm toán để xác định hệ thống công nghệ thông tin của doanh nghiệp có thực hiện bảo vệ tài sản, duy trì tính toàn vẹn của dữ liệu và hỗ trợ đạt được các mục tiêu của doanh nghiệp, cũng như sử dụng các nguồn lực một cách hiệu lực và hiệu quả (Veerankutty, 2010).

Trong vai trò của người làm công tác kiểm toán công nghệ thông tin, người kiểm toán viên sẽ kiểm tra và đánh giá tất cả các khía cạnh của hệ thống công nghệ thông tin bao gồm các mạng kết nối, các ứng dụng, hệ thống an ninh, hệ thống truyền thông cũng như các hệ thống cấu thành nên cơ sở hạ tầng kỹ thuật khác của đơn vị. Về phạm vi, một cuộc kiểm toán công nghệ thông tin có thể bao gồm kiểm toán hệ thống công nghệ thông tin, kiểm toán dự án công nghệ thông tin và kiểm toán trong môi trường công nghệ thông tin. Kiểm toán công nghệ thông tin có thể được vận dụng trong việc thực hiện kiểm toán báo cáo tài chính, kiểm toán hoạt động hoặc kiểm toán tuân thủ, được thực hiện bởi các kiểm toán viên độc lập, kiểm toán viên nội bộ hay kiểm toán viên nhà nước.

Trong lĩnh vực kiểm toán báo cáo tài chính, các công ty kiểm toán độc lập có thể sử dụng công nghệ thông tin trong tất cả các giai đoạn của cuộc kiểm toán với rất nhiều công việc liên quan như lập kế hoạch kiểm toán, lưu trữ hồ sơ kiểm toán, thực hiện các thủ tục kiểm toán và quản lý chất lượng kiểm toán. Trong giai đoạn lập kế hoạch kiểm toán, kiểm toán viên cần đánh giá mức độ sử dụng công nghệ thông tin của đơn vị trong xử lý các giao dịch và tạo lập thông tin tài chính, đánh giá tính hữu hiệu của các quy trình công nghệ thông tin và kiểm soát nội bộ có liên quan. Từ đó, kiểm toán viên có thể xác định được các rủi ro chính trong hệ thống công nghệ thông tin của doanh nghiệp. Trên cơ sở đó, kiểm toán viên có thể thực hiện các thủ tục kiểm toán tập trung vào các vùng rủi ro cao có thể dẫn đến sai sót trọng yếu trên báo cáo tài chính. Kiểm toán viên cũng có thể sử dụng các phần mềm kiểm toán trong việc chọn mẫu, kiểm tra dữ liệu, thực hiện thủ tục phân tích và các kiểm tra chi tiết. Đặc biệt, kiểm toán viên có thể sử dụng kỹ thuật phân tích dữ liệu để đánh giá và phát hiện gian lận.

Trong lĩnh vực kiểm toán hoạt động, kiểm toán công nghệ thông tin có thể được xem là một phần cấu thành trong đối tượng kiểm toán (các quy trình, hoạt động của tổ chức) hoặc bản thân hệ thống công nghệ thông tin trở thành đối tượng chính của cuộc kiểm toán. Các vấn đề mà một cuộc kiểm toán hoạt động công nghệ thông tin thường đánh giá bao gồm; an ninh mạng; việc vận hành hệ thống công nghệ thông tin; công tác quản trị và bảo vệ dữ liệu; quản trị đám mây; tích hợp khung quản trị công nghệ thông tin trong doanh nghiệp.

Quy trình kiểm toán công nghệ thông tin:

Mục đích của kiểm toán công nghệ thông tin: Kiểm toán công nghệ thông tin giúp các doanh nghiệp giám sát độ chính xác, hiệu quả của các hệ thống công nghệ thông tin và các qui trình có liên quan; đảm bảo an toàn bảo mật và tuân thủ các quy định về an toàn bảo mật công nghệ thông tin của Nhà nước. Các doanh nghiệp ứng dụng công nghệ thông tin trong hoạt động sản xuất - kinh doanh được kiểm toán công nghệ thông tin định kỳ sẽ nâng cao được uy tín, gia tăng niềm tin đối với khách hàng, nhà đầu tư và đối tác.

Các yêu cầu đối với nghề Kiểm toán công nghệ thông tin: Đây là một nghề cần sự kết hợp giữa kiến thức giữa công nghệ thông tin và hoạt động doanh nghiệp. Do đó, công việc của một kiểm toán viên công nghệ thông tin phù hợp cho các kiểm toán nắm rõ quy trình nghiệp vụ, hoạt động kinh doanh của doanh nghiệp, cách thức công nghệ thông tin áp dụng vào hoạt động kinh doanh, phân tích rủi ro công nghệ thông tin và rủi ro kinh doanh,… Khả năng ngoại ngữ (tiếng Anh) và kĩ năng giao tiếp cũng là yếu cầu quan trọng bởi công việc của kiểm toán viên sẽ bao gồm nhiều buổi trao đổi với các phòng ban, đơn vị hoặc khách hàng có tính chất khác nhau.

3. Thực tế và những vấn đề đặt ra đối với công tác đào tạo nguồn nhân lực trong lĩnh vực kiểm toán

Hiện nay, phần lớn các doanh nghiệp đều sử dụng công nghệ thông tin và đang dần thực hiện chuyển đổi số nên cũng đặt ra yêu cầu về công nghệ thông tin nhất định cho người làm công tác kiểm toán. Kiểm toán viên hiện nay và trong tương lai đòi hỏi không chỉ có kiến thức vềkiểm toán công nghệ thông tin mà còn phải có khả năng sử dụng thành thạo các kỹ thuật và công cụ công nghệ thông tin trong quy trình kiểm toán để có thể thực hiện cuộc kiểm toán nhanh chóng và chính xác (Hass và cộng sự, 2006). Kiểm toán viên cũng cần có các kinh nghiệm để mở rộng quy trình kiểm toán trên không gian kỹ thuật số.

Thực tế tại Việt Nam, chương trình đào tạo ở bậc đại học ngành Kế toán - Kiểm toán ở đa số các trường còn chưa chú trọng đến việc trang bị cho sinh viên về kiến thức và kỹ thuật kiểm toán công nghệ thông tin.

Bảng 1. Các học phần về kiểm toán trong chương trình đào tạo
ngành Kế toán - Kiểm toán tại một số trường đại học lớn ở Việt Nam

Nguồn: Tác giả tự tổng hợp từ các website

Dữ liệu tại Bảng 1 cho thấy, các môn học liên quan tới kiểm toán công nghệ thông tin hoặc ứng dụng công nghệ thông tin vào kiểm toán hầu như không có hoặc khá hiếm. Trong chương trình thi lấy chứng chỉ kiểm toán viên (CPA Việt Nam), nội dung các môn thi cũng chưa thể hiện có chú trọng đến nội dung kiểm toán CNTT. Việc đào tạo kỹ năng kiểm toán CNTT hiện nay chủ yếu ở các doanh nghiệp kiểm toán lớn như Big 4 thông qua hướng dẫn sử dụng các phần mềm kiểm toán hay hệ thống chia sẻ dữ liệu.

Trong khi đó, thực tế hiện nay tại nhiều quốc gia, kiểm toán viên mới vào nghề thường sẽ được đào tạo về công nghệ thông tin trong một khoảng thời gian hợp lý, định kỳ phải tham gia các lớp cập nhật chuyên sâu về công nghệ thông tin. Thậm chí đối với một số đơn vị kiểm toán nhà nước, kiểm toán viên chỉ được xếp nâng hạng khi tham dự đủ các khóa đào tạo chuyên sâu về công nghệ thông tin. Điều này cho thấy việc đào tạo nguồn lực kiểm toán viên có đủ các kiến thức và kỹ năng về kiểm toán công nghệ thông tin là vô cùng cần thiết để đáp ứng yêu cầu công việc.

Do đó, việc đào tạo nguồn lực kiểm toán viên có đủ các kiến thức và kỹ năng về kiểm toán công nghệ thông tin là vô cùng cần thiết trong điều kiện hiện nay. Các chương trình đào tạo ngành Kế toán - Kiểm toán nói chung và ở bậc đại học nói riêng cần có sự thay đổi nhằm hướng đến việc trang bị cho người học những kỹ năng và kiến thức cần thiết về kiểm toán công nghệ thông tin.

4. Những vấn đề đặt ra đối với công tác đào tạo nguồn nhân lực trong lĩnh vực kiểm toán công nghệ thông tin

Có thể thấy, đào tạo nguồn nhân lực trong lĩnh vực kiểm toán công nghệ thông tin vẫn đang còn nhiều hạn chế, cần được thay đổi và hoàn thiện nhằm nâng cao chất lượng và đào tạo ra đội ngũ kiểm toán viên công nghệ thông tin lành nghề, cụ thể:

Thứ nhất, chương trình đào tạo ngành Kế toán - Kiểm toán ở bậc đại học cần được rà soát, bổ sung các môn học về kiểm toán công nghệ thông tin. Các môn học này sẽ xây dựng chuẩn đầu ra dựa trên mục tiêu trang bị các kỹ năng và kiến thức cần thiết mà một kiểm toán viên cần có, bao gồm:

- Khả năng nắm bắt các quy trình kinh doanh chính của doanh nghiệp;

- Khả năng nắm bắt các quy trình công nghệ thông tin chủ yếu (nhằm giúp kiểm toán viên xác định các rủi ro công nghệ thông tin ưu tiên);

- Khả năng phân tích và suy luận logic (giúp kiểm toán viên sử dụng việc phân tích dữ liệu và các công cụ mô hình hóa);

- Có kiến thức và hiểu biết về an toàn dữ liệu và quy trình kiểm toán công nghệ thông tin;

- Kỹ năng giao tiếp: để giải thích các vấn đề về chuyên môn phức tạp cho các đối tượng không phải chuyên ngành;

- Các kỹ năng khác: giải quyết vấn đề phức tạp, tư duy phản biện, khả năng sáng tạo, linh hoạt trong tư duy.

Thứ hai, về nội dung giảng dạy trong các môn học kiểm toán cũng cần được đổi mới. Chẳng hạn như trong nội dung đào tạo kiểm toán báo cáo tài chính, cần bổ sung các nội dung về CAATs theo hướng nâng cao việc sử dụng các công cụ công nghệ thông tin. Nhìn chung, nội dung các môn học kiểm toán (bao gồm kiểm toán công nghệ thông tin) cần được thiết kế cho người học đảm bảo ít nhất các vấn đề sau:

- Lập kế hoạch và thiết kế các thủ tục kiểm toán dự kiến;

- Xác định mục tiêu và phạm vi của cuộc kiểm toán;

- Phối hợp và triển khai các thủ tục kiểm toán;

- Xây dựng/tuân thủ các chuẩn mực kiểm toán/quy định của đơn vị;

- Lập báo cáo kiểm toán;

- Vận dụng các thông lệ tốt trong ngành để đáp ứng các yêu cầu kiểm toán;

- Lập và cập nhật hồ sơ kiểm toán công nghệ thông tin;

- Trao đổi/thông báo kết quả kiểm toán và các kiến nghị kiểm toán với đơn vị;

- Đảm bảo các kiến nghị kiểm toán được thực hiện đúng.

Thứ ba, các trường đại học cần chú trọng đầu tư công nghệ thực hành để giúp sinh viên có kỹ năng cần thiết về công nghệ thông tin cũng như kỹ thuật số. Điều này được thực hiện thông qua nhiều hình thức, nhưliên kết với một số đơn vị cung cấp dịch vụ công nghệ thông tin/kiểm toán công nghệ thông tin để sinh viên có điều kiện tiếp cận thực tế ngay từ khi còn đang học đại học.

Thứ tư, trong điều kiện toàn cầu hóa, nhằm giúp sinh viên có thêm các bằng cấp, chứng chỉ quốc tế, thì chương trình đào tạo các môn học kiểm toán nên tham khảo/vận dụng các nội dung đào tạo cần thiết để sinh viên có thể thi lấy các chứng chỉ quốc tế trong lĩnh vực kiểm toán công nghệ thông tin như CISA (Certified Information Systems Auditor) hay CSIM (Certified Information Security Manager).

Thứ năm, trong các chương trình thi lấy chứng chỉ hành nghề kiểm toán cũng như nội dung cập nhật kiến thức kiểm toán hàng năm cho các kiểm toán viên cần đưa nội dung kiểm toán công nghệ thông tin như một nội dung bắt buộc. Đây là giải pháp thiết thực nhằm tạo điều kiện cho lực lượng kiểm toán viên trang bị đủ kiến thức kiểm toán công nghệ thông tin cần thiết đáp ứng cho yêu cầu thực tiễn công việc.

5. Kết luận

Kiểm toán công nghệ thông tin tuy không phải là lĩnh vực mới, nhưng tại Việt Nam, lĩnh vực này chưa thực sự có nhiều chuyên gia/đơn vị có kinh nghiệm. Chính vì vậy, công tác đào tạo nguồn nhân lực trong lĩnh vực kiểm toán cần có sự thay đổi nhằm đào tạo ra một lực lượng nhân sự kiểm toán có trình độ, có hiểu biết để đáp ứng nhu cầu phát triển của nền kinh tế đất nước.

TÀI LIỆU THAM KHẢO:

  1. Hass S. và cộng sự. (2006). The Americas literature review on internal auditing. Managerial Auditing Journal, 21(8), 835-844.
  2. Radonovic và cộng sự. (2010). IT audit in accordance with COBIT standard. Processing: The 33rd International Convention MIPRO, 24-28 May (pp. 1137-1141). Opatija, Croatia.
  3. Tamta Beridze. (2017). Information Technology Audit in Georgia. European Scientific Journal, 13(25), 72-93.
  4. Veerankutty. (2010). Information technology (IT) related auditing in Malaysian public sector: An Empirical Study. National Audit Department of Malaysia.

INFORMATION TECHNOLOGY AUDIT

AND SOME PROBLEMS ABOUT THE HUMAN RESOURCE

TRAINING IN THE AUDITING SECTOR

• Master. TRAN THI HAI VAN

Senior member, Association of Chartered Certified Accountants

Member, Institute of Internal Auditors

Lecturer, Faculty of Accounting - Auditing

Banking University of Ho Chi Minh City

ABSTRACT:

The emergence of the Fourth Industrial Revolution has impacted many career fields including auditor. This paper presents an overview of information technology audit, introduces and analyzes human resource requirements of information technology audit. The paper points out some existing problems about the human resource training in the auditing sector in Vietnam.

Keywords: information technology, information technology audit, training program, human resources for auditing sector.

[Tạp chí Công Thương - Các kết quả nghiên cứu khoa học và ứng dụng công nghệ, Số 25, tháng 11 năm 2021]

Category