TẠP Clí CÕNG IHưdNG

KIẾM TOÁN CÔNG NGHỆ THÔNG TIN VÀ MỘT SÔ VẤN ĐỀ ĐẶT RA

ĐỐI VỚI CÔNG TÁC ĐÀO TẠO NGUỒN NHÂN Lực KIEM _• toán

• TRẦN THỊ HẢI VÂN

TÓMTẮT:

Sự phát triểncủa cách mạngcôngnghệ lầnthứ 4đãtác động đến nhiều ngành nghề,trong đó có ngành Kiểm toán. Dovậy,bài nghiên cứu tổng quanvề kiểm toán công nghệ thông tin; mô tả, tổng hợp vàđánh giánhững yêu cầu của công tác kiểmtoán công nghệ thông tin đến nguồn nhân lực trong lĩnh vực kế toán.Từ đó, chỉra một sốvấn đề đang tồn tạivới công tácđào tạo nguồn nhân lựckiểm toán còn mới ở Việt Nam.

Từkhóa: công nghệ thông tin, kiểm toán côngnghệthông tin, chương trình đào tạo, nguồn nhân lực kiểm toán.

1. Đặtvấnđề

Sự phát triểnnhưvũ bão của công nghệthông tin trong kỷ nguyên số cũng như trong bối cảnh cuộccách mạng công nghiệp4.0 có tác động sâu sắc đến nhiều lĩnh vực và các loại hình doanh nghiệp. Công nghệ thôngtintrởthành một trong nhữngyếu tô'thenchốt chosự thành công của một tổ chức.

Đôivới ngành Kiểmtoán, công nghệ thông tin giúp cho việc phân tích thông tin, dữ liệu được nhanh chóng vàchính xác hơn, tạo nguồn dữliệu lớn phục vụ cho hoạt động kiểm toán, như: tập hợp được nhiều thông tin liên quan đến các đầu môi kiểm toán; phân tích, khảo sát, lập kế hoạch,

lưu trữ hồ sơ kiểm toán trong cả quy trình kiểm toán,tạođiềukiện thuận lợicho việc xác định nội dung, phạm vi, trọng tâm và trọngyếukiểm toán, nâng cao chất lượng kiểm toán.

Do vậy, bàinghiên cứu tập trung mô tả,tổng hợpvà đánh giá những yêu cầu của công tác kiểm toán công nghệ thông tin đến nguồn nhân lực tronglĩnhvựckiểm toán. Nội dung chính tập trung vào2điểm,gồm:(1)Kiểm toáncông nghệ thông tin; (2)Một số vấnđề đặt ra đốivới côngtácđào tạo nguồn nhân lực trong lĩnh vực kiểm toán.

2. Kiểmtoán công nghệ thông tin

Hiện nay, sự phát triển mạnh mẽ của công nghệ thông tin đã tác động sâusắc đến mọidoanh

nghiệp ở mọi lĩnh vực khác nhau. Trong hoạt động của doanh nghiệp, việc sử dụng công nghệ thông tin trong ghi chép, xử lý các giao dịch góp phần đáng kể giúp nâng cao hiệu quả hoạt động cũng như nâng cao chất lượng cung cấp dịch vụ cho khách hàng. Thực tê trong suốt 20 năm qua, sự phát triển của côngnghệ thông tin cũngnhư cuộc cách mạng về kỷ nguyênsố đã tạo ra sự thay đổi trong môi trườngkiểm soát và cáchthức thực hiện các hoạt động kiểm soát trong doanh nghiệp, thậm chí làm thayđổi cả quy trình ra quyếtđịnh củacác nhà quản lý. Trong môi trườnghoạt động có sử dụngcôngnghệ thông tinvà ngàycàng phụ thuộc vào công nghệ thôngtin, các doanh nghiệp đã nhận thức được tầm quantrọngcủa việc duytrì và phát triển hệ thống công nghệ thôngtinsao cho đảm bảo sự an toàn, bảo mật và hiệu quả. Việc đánh giá tính hiệu lực và hiệu quả của hệ thông côngnghệ thông tin ngày càng cần thiết và đóng góp vào sựthành công trong cả ngắn và dài hạn của doanhnghiệp. Kiểm toán công nghệ thông tin trở thành một chức năng tư vấn, là cánhtay phải để giúp doanh nghiệp quản trị công nghệthôngtin (Radonovic và cộng sự,2010).

Kiêm toán công nghệ thông tin được hiểu là việc kiểm tra và đánh giá hệ thông công nghệ thông tin, cơ sở hạ tầng, các chính sách và hoạt động của hệ thống côngnghệthông tin. Trongquy trình kiểm toán công nghệ thông tin, người kiểm toán viên sẽ thu thập và đánh giá bằng chứng 1 kiểm toán để xác định hệ thông côngnghệ thông tin của doanh nghiệp có thực hiện bảo vệ tài sản, duytrì tính toàn vẹn của dữ liệu và hỗ trợđạt được cácmục tiêucủa doanh nghiệp, cũng như sửdụng các nguồn lực một cách hiệu lực và hiệu quả (Veerankutty, 2010).

Trong vai trò của người làm công tác kiểm toán công nghệ thông tin, ngườikiểmtoán viên sẽ kiểm tra và đánh giá tâtcả các khía cạnh củahệ thống công nghệ thông tinbaogồm các mạng kết nôi, các ứng dụng, hệ thống an ninh, hệ thông itruyềnthông cũng như các hệthô ng cấu thành nên cơ sở hạ tầng kỹ thuật khác của đơn vị. về phạm

vi, một cuộc kiểm toán côngnghệ thông tin có thể bao gồm kiểm toánhệ thống công nghệ thông tin, kiểmtoándự án công nghệ thôngtin vàkiểm toán trong môi trường côngnghệ thông tin. Kiểm toán công nghệ thông tin có thể được vậndụng trong việc thựchiện kiểm toán báocáo tài chính, kiểm toán hoạt động hoặc kiểm toán tuân thủ, được thực hiện bởi các kiểm toán viên độc lập, kiểm toán viên nội bộ hay kiểm toánviênnhà nước.

Trong lĩnh vực kiểm toán báo cáo tài chính, cáccôngty kiểm toánđộc lậpcó thể sử dụng công nghệ thông tintrong tất cả cácgiai đoạncủa cuộc kiểm toán với rất nhiều công việc liên quan như lập kế hoạch kiểm toán, lưu trữ hồ sơ kiểm toán, thực hiện các thủ tục kiểm toán và quản lý chât lượng kiểm toán. Trong giai đoạn lập kế hoạch kiểm toán, kiểm toán viên cần đánhgiá mứcđộ sử dụng công nghệ thông tin của đơn vị trong xử lý các giao dịch và tạo lập thông tin tàichính, đánh giá tính hữu hiệu của các quy trình công nghệ thông tin và kiểm soát nội bộcó liênquan. Từ đó, kiểm toán viên có thể xác định được các rủi ro chính trong hệ thông công nghệ thông tin của doanh nghiệp. Trên cơ sở đó, kiểm toán viên có thể thực hiệncác thủ tục kiểm toántập trung vào các vùng rủi ro cao có thể dẫn đến sai sóttrọng yếutrên báo cáo tài chính. Kiểmtoán viên cũng có thể sử dụng các phần mềm kiểm toán trong việc chọnmẫu, kiểm tra dữ liệu, thực hiện thủ tục phân tích và các kiểm tra chi tiết. Đặc biệt, kiểm toán viêncó thể sử dụngkỹ thuật phântíchdữ liệu để đánh giávà phát hiện gian lận.

Trong lĩnhvực kiểm toán hoạt động, kiểm toán công nghệ thông tin có thểđược xem là một phần câu thành trong đôi tượng kiểm toán (cácquy trình, hoạt động của tổ chức) hoặc bản thân hệ thống công nghệ thông tin trở thànhđôi tượng chính của cuộc kiểm toán. Các vân đề mà một cuộc kiểm toán hoạt động công nghệ thông tin thường đánh giábaogồm;anninh mạng; việcvận hành hệ thống côngnghệthông tin; công tác quảntrị vàbảo vệ dữ liệu; quản trị đám mây; tích hợp khung quản trị công nghệ thông tin trong doanh nghiệp.

SỐ 25 - Tháng 11 /2021 387

TẠP CHÍ CÔNG THƯƠNG

Quy trình kiểm toán công nghệ thõng tin:

Mục đích của kiểm toán công nghệ thông tin:

Kiểm toán công nghệ thông tin giúp các doanh nghiệpgiám sát độ chính xác, hiệu quả của các hệ thống côngnghệ thông tin và các quitrình có liên quan; đảm bảoantoàn bảo mật và tuân thủ cácquy định về an toàn bảomật côngnghệ thông tin của Nhà nước. Các doanhnghiệp ứng dụng côngnghệ thông tin trong hoạt động sản xuất - kinh doanh được kiểm toán công nghệ thông tin định kỳ sẽ nâng cao được uy tín, gia tăng niềm tin đối với khách hàng, nhà đầutưvà đối tác.

Các yêucầu đối với nghề Kiểm toán công nghệ thông tin:Đâylàmột nghề cần sựkết hợp giữa kiến thức giữa côngnghệ thông tinvà hoạt động doanh nghiệp. Do đó, công việc của một kiểm toán viên công nghệ thông tin phù hợp cho các kiểm toán nắmrõ quy trình nghiệp vụ, hoạtđộng kinh doanh của doanh nghiệp, cách thứccông nghệ thông tináp dụng vào hoạt động kinh doanh, phân tích rủi ro công nghệ thông tin và rủi ro kinh doanh,... Khả năng ngoại ngữ (tiếng Anh) và kĩ năng giao tiếp cũng là yếu cầu quantrọng bởi công việc của kiểm toán viên sẽ bao gồm nhiều buổi traođổi với các phòng ban, đơn vị hoặc khách hàng có tính chất khácnhau.

2. Thực tế và những vấn đề đặt ra đôi với công tác đào tạo nguồn nhân lực trong lĩnhvực kiểmtoán

Hiện nay, phần lớn các doanh nghiệp đều sử dụng công nghệ thông tin và đang dần thực hiện chuyển đổi số nên cũng đặt ra yêu cầu về công nghệ thông tin nhất định cho người làm công tác kiểm toán. Kiểm toán viên hiện nayvà trong tương lai đòi hỏi khôngchỉcó kiến thứcvềkiểmtoán công nghệ thông tin mà còn phải có khả năng sử dụng thànhthạo các kỹ thuật và công cụ công nghệ thông

tin trong quy trình kiểm toán để có thể thực hiện cuộc kiểm toánnhanhchóngvà chính xác (Hassvà cộng sự, 2006). Kiểm toán viên cũng cần có các kinh nghiệm đểmở rộng quy trình kiểm toán trên không gian kỹ thuậtsố.

Thực tế tại Việt Nam, chương trình đào tạo ở bậc đạihọc ngànhKếtoán - Kiểm toán ở đa số các trường còn chưa chú trọng đến việc trang bị cho sinh viênvề kiến thứcvà kỹ thuậtkiểmtoán công nghệ thôngtin.(Bảng 1)

Dữ liệu tại Bảng 1 cho thấy, các môn học liên quan tới kiểm toán côngnghệ thông tin hoặc ứng dụng công nghệ thông tin vào kiểm toán hầu như khôngcó hoặc khá hiếm. Trong chươngtrìnhthilấy chứng chỉ kiểm toán viên (CPA Việt Nam), nội dungcác môn thi cũng chưa thể hiện có chútrọng đến nội dung kiểm toán CNTT. Việc đào tạo kỹ năng kiểm toán CNTT hiện nay chủ yếu ở các doanh nghiệp kiểm toán lớn nhưBig 4 thông qua hướng dẫn sử dụngcác phần mềm kiểm toán hay hệ thống chia sẻ dữliệu.

Trong khi đó, thực tếhiện nay tạinhiều quốc gia,kiểm toánviên mới vàonghề thường sẽ được đào tạo về công nghệ thông tin trong một khoảng thờigian hợp lý, định kỳ phải tham giacác lớp cập nhật chuyên sâu về côngnghệ thông tin. Thậm chí đôi với một số đơn vị kiểm toán nhà nước, kiểm toán viên chỉ được xếp nâng hạng khitham dự đủ các khóa đào tạo chuyên sâu về công nghệ thông tin. Điềunày cho thấyviệcđàotạo nguồn lựckiểm toán viên có đủ các kiến thức và kỹ năng về kiểm toán côngnghệ thông tin là vô cùng cần thiết để đápứng yêu cầu công việc.

Do đó, việc đàotạonguồnlựckiểmtoánviên có đủ các kiến thức và kỹ năng về kiểm toán công nghệ thông tinlà vô cùng cần thiết trong điều kiện

Bảng 1. Các học phần về kiểm toán trong chương trình đào tạo ngành Kế toán - Kiểm toán tại một số

trưởng đại học lớn ở Việt Nam

STT lẽn họcphần Số

tín chì

Bắt buộc/

Tựchọn

/. Trường Đại học Kình tếTP. Hồ Chí Minh ....

1 Kiểmtoán 1 ₃ Bắt buộc

2 Kiểm toán báo cáo tàichính1 ₃ Bắt buộc 3 Kiểmtoánbáo cáo tàichính 2 2 Bắt buộc

4 Kiểmtoán hoạt động 2 Tựchọn

//. Trường Đại học Kinh tếQuốc dãn

1 Kiểmtoán cănbản 3 Bắt buộc

2 Kiểmtoán tài chính 1 3 Bất buộc

3 Kiểmtoán tài chính 2 3 Bắt buộc

4 Kiểmtoánnội bộ 3 Bắt buộc

5 Đểán kiểmtoán 3 Bắt buộc

6 Kiểmtoánhoạt động ₃ Tự chọn

7 Kiểmtoántàichính 3 3 Tựchọn

8 ^Chuyên đểkiểmtoán 3 Tự chọn

9 Thựchànhkiểm toán báo cáo tàichính 3 Tự chọn III. Trường Đại học Kinh tế- Đại học Đà Nấng

1

, —

Kiểm toán cánbản 3 Bắt buộc

2 Kiểmtoán tàichính 1 3 Bắt buộc

3 Kiểmtoán tàichính 1 3 Bắt buộc

4 __

Kiểmtoánhoạt động 3 Bắt buộc

5 ^{Thực hành} kiểm toán 3 ^{Bắt buộc}

Nguồn: Tác giả tự tổng hợp từ các website

3.Nhữngvấn đề đặt rađôi với công tác đào tạo nguồn nhân lực trong lĩnh vực kiểm toán công nghệthông tin

Có thể thây, đào tạo nguồn nhân lực tronglĩnhvực kiểm toán công nghệ thông tin vẫn đang còn nhiều hạn chế, cần được thay đổi và hoàn thiện nhằm nâng cao chất lượng và đào tạo ra đội ngũ kiểm toán viêncông nghệ thông tinlành nghề,cụthể:

Thứ nhất, chương trình đào tạo ngành Kế toán - Kiểmtoán ở bậc đại học cần được rà soát, bổ sung các môn học về kiểm toán công nghệthông tin. Các môn họcnày sẽ xây dựng chuẩn đầu ra dựa trên mục tiêu trang bị các kỹ năng và kiến thức cần thiết mà một kiểm toán viêncần có,bao gồm:

• Khả năng nắm bắt các quy trình kinh doanh chính của doanh nghiệp;

• Khả năng nắm bắt các quy trình công nghệ thông tin chủ yếu (nhằm giúp kiểm toán viên xác địnhcácrủi rocôngnghệ thông tin ưutiên);

• Khả năng phân tích và suy luận logic (giúp kiểmtoán viên sử dụng việcphân tích dữ liệu và các công cụ mô hìnhhóa);

• Có kiến thức và hiểu biết vềan toàn dữ liệu và quytrìnhkiểm toán côngnghệ thông tin;

• Kỹ năng giao tiếp: để giải thích các vân đề về chuyên môn phức tạp cho các đối tượng không phải chuyên ngành;

• Các kỹ năngkhác:giảiquyếtvấn đềphức tạp, tư duy phản biện,khả năng sángtạo, linh hoạt trong tư duy.

hiện nay.Các chương trình đàotạo ngành Kế toán- Kiểmtoán nói chungvà ỏ bậc đại học nói riêng cần có sự thay đổi nhằm hướng đến việc trang bị cho ngườihọc những kỹ năng và kiến thức cần thiêt về kíiểm toán công nghệ thông tin.

SỐ25-Tháng 11/2021 389

TẠP CHÍ CÔNG THƯƠNG

Thứ hai, về nội dung giảng dạy trong các môn học kiểm toán cũngcần được đổi mới. Chẳng hạn như trong nội dung đào tạo kiểm toán báo cáo tài chính, cần bổ sung các nội dung về CAATs theo hướng nâng cao việc sử dụng các công cụ công nghệthông tin. Nhìn chung,nội dung các mônhọc kiểm toán (bao gồm kiểm toán công nghệ thông tin) cần được thiết kế cho người học đảm bảoít nhát các vấn đề sau:

• Lập kế hoạch và thiếtkếcác thủ tục kiểm toán dựkiến;

• Xác định mục tiêu và phạm vi của cuộc kiểm toán;

• Phôi hợp và triển khai các thủ tụckiểmtoán;

• Xây dựng/tuân thủ các chuẩn mực kiểm toán/quyđịnh của đơnvị;

• Lậpbáo cáo kiểm toán;

• Vận dụng cácthông lệ tốt trong ngành để đáp ứng các yêu cầu kiểmtoán;

• Lập và cập nhật hồ sơ kiểm toán công nghệ thông tin;

• Trao đổi/thôngbáo kếtquả kiểmtoán và các kiến nghịkiểm toán với đơn vị;

• Đảm bảo các kiến nghị kiểm toán đượcthực hiện đúng.

Thứ ba, cáctrường đạihọc cầnchú trọng đầu tư công nghệ thực hành để giúp sinh viên có kỹ năng cần thiết về công nghệ thông tin cũngnhư kỹthuật số. Điều này được thực hiệnthông quanhiều hình thức, nhưliênkết với mộtsốđơnvịcung cấp dịch vụ

công nghệ thông tin/kiểm toán công nghệthông tin đểsinh viên có điều kiện tiếp cận thực tế ngaytừ khi còn đang học đạihọc.

Thứ tư, trong điều kiện toàn cầu hóa, nhằm giúp sinh viên có thêm các bằng cấp, chứng chỉ quốc tế, thì chương trình đào tạo các môn học kiểm toánnên tham khảo/vận dụng các nội dung đào tạo cầnthiết để sinh viên có thể thi lây các chứng chỉ quốc tếtrong lĩnh vực kiểm toán công nghệ thông tin nhưCISA (Certified Information Systems Auditor) hay CSIM (Certified Information Security Manager).

Thứ năm, trong các chương trình thi lấy chứng chỉ hành nghề kiểm toán cũng như nội dung cập nhật kiến thức kiểm toánhàngnăm cho cáckiểm toán viên cần đưa nội dung kiểmtoán công nghệ thông tin như một nội dung bắt buộc. Đây là giải pháp thiết thực nhằm tạo điều kiện cho lực lượng kiểm toán viên trang bị đủ kiến thức kiểm toán công nghệthông tin cần thiết đápứng cho yêu cầu thực tiễn công việc.

4. Kết luận

Kiểmtoáncông nghệ thông tin tuykhông phải là lĩnh vực mới, nhưng tại Việt Nam, lĩnh vực này chưa thực sự có nhiều chuyên gia/đơn vị có kinh nghiệm. Chính vì vậy, công tácđàotạo nguồn nhân lực trong lĩnh vực kiểm toán cần có sự thay đổi nhằm đàotạo ra một lực lượng nhân sự kiểm toán có trình độ, có hiểu biết để đáp ứng nhu cầu phát triển của nền kinh tế đấtnước ■

TÃI LIỆU THAMKHẢO:

1. Hass s. và cộng sự. (2006). The Americas literature review on internal auditing. Managerial Auditing Journal, 21(8). 835-844.

2. Radonovic và cộng sự. (2010). IT audit in accordance with COBIT standard. Processing: The 33rd International Convention MIPRO. 24-28 May (pp. 1137-1141). Opatija, Croatia.

3. Tamta Beridze. (2017). Information Technology Audit in Georgia. European Scientific Journal, 13(25), 72-93.

4. Veerankutty. (2010). Information technology (IT) related auditing in Malaysian public sector: An Empirical Study. National Audit Department of Malaysia.

Ngàynhận bài: 9/9/2021

Ngàyphản biệnđánh giá và sửa chữa: 9/10/2021 Ngày chấp nhận đăngbài: 19/10/2021

Thông tintác giả:

ThS.TRẦN THỊ HẢIVÂN

Hội viên kỳ cựu Hiệphội Kế toáncông chứng Anh quốc ACCA Hộiviên Hiệphội Kiểm toánnộibộ Hoa Kỳ HA

Giảng viênKhoa Kế toán- Kiểm toán, TrườngĐại học Ngân hàng TP. HồChí Minh Ị

i I I I

INFORMATION TECHNOLOGY AUDIT

AND SOME PROBLEMS ABOUT THE HUMAN RESOURCE TRAINING IN THE AUDITING SECTOR

• Master. TRANTHI HAI VAN

Senior member, Association of Chartered Certified Accountants Member, Institute of Internal Auditors

Lecturer, Faculty of Accounting - Auditing Banking University of Ho Chi Minh City

ABSTRACT:

The emergence of theFourth Industrial Revolution has impacted manycareer fieldsincluding auditor. This paper presents an overview of information technology audit, introduces and analyzeshuman resource requirements of information technology audit. The paper points out some existing problems about the human resource training inthe auditing sector in Vietnam.

Keywords: informationtechnology, information technology audit, training program, human resources forauditing sector.

SỐ25-Tháng 11/2021 391