|
KIỂM TOÁN
NHÀ NƯỚC
-------
|
CỘNG HÒA XÃ HỘI CHỦ
NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số:
243/QĐ-KTNN
|
Hà Nội, ngày 21
tháng 02 năm 2025
|
QUYẾT
ĐỊNH
BAN
HÀNH HƯỚNG DẪN KIỂM TOÁN TỪ XA
TỔNG
KIỂM TOÁN NHÀ NƯỚC
Căn cứ Luật Kiểm
toán
nhà nước
ngày
24 tháng 6 năm 2015 và Luật sửa đổi, bổ sung một số điều của Luật Kiểm
toán
nhà nước
ngày
26 tháng 11 năm 2019;
Căn cứ Quyết định
số 08/2024/QĐ-KTNN ngày 15 tháng 11 năm 2024 của Tổng Kiểm
toán
nhà nước
về việc ban hành Hệ thống chuẩn mực kiểm toán nhà nước;
Theo đề nghị của Vụ
trưởng Vụ Chế độ và Kiểm soát chất lượng kiểm
toán.
QUYẾT
ĐỊNH:
Điều 1. Ban hành kèm
theo Quyết
định này
Hướng
dẫn kiểm toán
từ
xa.
Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày ký.
Điều 3. Thủ trưởng các đơn vị trực thuộc
Kiểm toán
nhà nước
và
các tổ
chức, cá
nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.
|
Nơi nhận:
-
Như Điều
3;
-
Lãnh đạo
KTNN;
-
Các đơn vị
trực thuộc KTNN;
-
Lưu: VT, CĐ (02).
|
TỔNG KIỂM
TOÁN NHÀ
NƯỚC
Ngô Văn Tuấn
|
HƯỚNG
DẪN
KIỂM
TOÁN TỪ XA
(Kèm
theo Quyết
định số 243/QĐ-KTNN ngày 21 tháng 02 năm 2025 của Tổng Kiểm
toán
nhà nước)
Chương I
NHỮNG
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều
chỉnh
1. Hướng dẫn này được xây dựng trên cơ sở quy định
của Luật Kiểm toán nhà nước (KTNN), Hệ thống chuẩn mực kiểm toán nhà nước (CMKTNN),
Quy trình
kiểm
toán
của
KTNN, các
văn bản
khác
có liên quan, các thông lệ tốt của quốc tế và thực tiễn hoạt
động kiểm toán
của
KTNN.
2. Hướng dẫn này áp dụng chung cho
tất cả các
loại
hình
kiểm
toán
của
KTNN và
có thể
áp
dụng
cho một cuộc kiểm toán từ xa toàn diện hoặc kiểm
toán
từ
xa một phần (một số nội dung kiểm toán).
3. Trường hợp phát sinh
ngoài quy định
của Hướng dẫn này, Trưởng Đoàn kiểm toán, Tổ trưởng Tổ
kiểm toán
phải
báo
cáo cấp
có
thẩm
quyền theo quy định của KTNN.
Điều 2. Đối tượng
áp
dụng
Hướng dẫn này áp
dụng đối với:
1. Các đơn vị trực thuộc
KTNN được giao nhiệm vụ chủ trì thực hiện các cuộc kiểm toán, kiểm tra, thanh
tra, giám
sát, kiểm
soát
chất
lượng kiểm toán;
2. Các Đoàn kiểm
toán của KTNN (gọi tắt là Đoàn kiểm toán), kiểm toán viên
nhà nước
và
thành viên không phải kiểm toán viên nhà nước tham gia hoạt động
kiểm toán
(gọi
tắt là
KTVNN);
3. Các tổ chức, cá nhân được ủy thác hoặc thuê thực hiện kiểm
toán;
4. Đơn vị được kiểm
toán;
5. Các cơ quan, tổ
chức, cá nhân khác có liên quan đến hoạt động kiểm toán từ xa.
Điều 3. Mục đích ban
hành
1. Tăng cường ứng dụng
công
nghệ
thông
tin (CNTT) vào hoạt động kiểm toán của KTNN và từng bước phát triển hoạt động
kiểm toán
trong môi trường
số.
2. Bảo đảm tính thống nhất
trong việc tổ chức, thực hiện kiểm toán từ xa và là cơ sở cho hoạt
động kiểm tra, thanh tra, kiểm soát chất lượng kiểm toán đối với kiểm
toán
từ
xa.
Điều 4. Giải thích từ ngữ
Trong Hướng dẫn này, các
thuật
ngữ dưới đây
được
hiểu như sau:
1. Kiểm toán từ xa là phương
thức
mà
KTVNN ứng
dụng công
nghệ
thông
tin và truyền
thông
tương tác với
đơn vị được kiểm toán để thu thập bằng chứng kiểm toán điện tử, làm cơ sở đưa ra ý kiến kiểm toán mà
không phụ
thuộc vào
vị
trí
làm việc
của KTVNN.
2. Dữ liệu điện
tử là dữ liệu (ký hiệu, chữ viết,
chữ số, hình ảnh, âm thanh hoặc dạng tương
tự)
được tạo ra, xử lý, lưu trữ bằng phương tiện điện tử. Dữ liệu điện tử
được thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thông, trên
đường
truyền và
các nguồn
điện tử khác.
3. Số hóa dữ liệu là quá
trình chuyển
đổi các
thông tin dưới
dạng vật lý
và các quy trình thủ công sang định dạng kỹ thuật
số.
4. Văn bản điện tử là văn bản dưới dạng
thông
điệp
dữ liệu được tạo lập hoặc được số hóa từ văn bản giấy và trình
bày đúng thể
thức, kỹ thuật, định dạng theo quy định.
5. Tài liệu điện tử là các tài
liệu
được tạo lập để lưu trữ hoặc được số hóa từ tài liệu lưu trữ
bằng phương tiện điện tử.
6. Bằng chứng
kiểm toán
điện
tử
là
văn bản
điện tử, tài
liệu
điện tử do KTVNN thu thập được liên quan đến cuộc kiểm toán, làm cơ
sở
cho việc đánh
giá, xác nhận
và
kiến
nghị kiểm toán.
7. Trí tuệ nhân tạo (AI) là hệ thống máy tính hoặc phần mềm có khả năng mô phỏng các hành vi
và suy nghĩ của
con người; bao gồm nhận thức, học hỏi, ra quyết định, giải quyết vấn đề và hỗ trợ con
người trong khi thực hiện các nhiệm vụ.
Điều 5. Một số
vấn đề chung về kiểm toán từ xa
1. Các dạng kiểm toán từ xa
Dựa vào trình độ CNTT và khả năng ứng
dụng các
công cụ
kiểm toán
từ
xa của KTVNN và
đơn vị
được kiểm toán,
có thể
chia thành
kiểm
toán
từ
xa một phần và
kiểm
toán
từ
xa toàn
diện
(xem hình minh họa).
Ghi chú: ICTs (Information
and Communication Technology) là các công cụ công nghệ thông tin và
truyền
thông;
CAATs (Computer Assisted Audit Techniques) là các kỹ thuật máy tính hỗ trợ kiểm toán.
a) Kiểm toán từ xa một phần:
Được hiểu là
việc
sử dụng công
nghệ
hỗ trợ cho kiểm toán từ xa đối với một số nội dung công việc mà không phải tất cả công việc kiểm toán của cuộc kiểm
toán;
các nội
dung khác
không thực
hiện được kiểm toán từ xa thì thực hiện kiểm
toán
trực
tiếp tại đơn vị để đạt được mục tiêu của cuộc kiểm toán. Kiểm toán từ xa một phần
yêu
cầu
việc số hóa
dữ
liệu trước khi các tài liệu này được trao đổi giữa
KTVNN và
đơn vị
được kiểm toán.
b) Kiểm toán từ xa toàn diện: Tất cả các hoạt động kiểm
toán
của
cuộc kiểm toán
đều
được thực hiện từ xa và liên quan đến việc sử dụng các dạng công nghệ khác nhau. Dữ liệu điện
tử có
thể
được thu thập thông qua rất nhiều kênh.
2. Các công cụ kiểm toán từ xa
Thông thường KTVNN có thể sử dụng các công cụ sau đây để thực hiện các bước của quy trình kiểm toán từ xa:
a) Các tài liệu an toàn trao đổi trên các nền tảng để giúp KTVNN
và đơn vị
được kiểm toán
chia sẻ
tài
liệu
và
dữ
liệu; những nền tảng này có thể bật chế độ hợp tác, kiểm soát phiên bản và kiểm soát truy cập (ví dụ: ShareFile,
Box và
Google Drive…).
b) Các công cụ phân tích dữ liệu và trực quan hóa dữ liệu có thể được sử
dụng để nhận diện xu thế và sự bất thường đồng thời tạo ra bảng điều
khiển tương tác
để
hiểu rõ
hơn và trao đổi
các
phát hiện
kiểm toán
(ví dụ:
Các
phần
mềm Mircrosoft Power BI, Tableau và IBM Cognos
Analytics...).
c) Công cụ đánh giá rủi ro và lập kế hoạch
kiểm toán
(KHKT) có thể giúp KTVNN đánh giá rủi ro, ưu tiên các
vùng kiểm
toán
và lập
KHKT dựa trên
rủi
ro và
các ưu tiên đã xác định (ví dụ: Các phần mềm ACL,
GRC, Galvanize HighBond và IDEA…).
d) Công cụ quản lý kiểm toán và quy
trình làm việc
(ví
dụ:
TeamMate+, AuditBoard...) có thể giúp quản lý toàn bộ quy trình kiểm toán, từ lập kế
hoạch đến lập báo cáo kiểm toán (BCKT). Các
công cụ
này
có thể
cung cấp kho dữ liệu trung tâm về hồ sơ kiểm toán, tài liệu làm việc và các phát
hiện
kiểm toán,
tạo
điều kiện cho việc phối hợp và trao đổi thông tin giữa các thành
viên trong Đoàn kiểm toán.
đ) Nền tảng họp
video cho phép
KTVNN thực
hiện các
cuộc
phỏng vấn, các
cuộc
họp và
các trao đổi,
thảo luận từ xa với đơn vị được kiểm toán và các bên liên
quan; duy trì sự
trao đổi hiệu quả trong suốt quá trình kiểm toán (ví
dụ:
Zoom, Microsoft Team và Cisco Webex Meeting và các công cụ ghi âm, ghi
hình…).
e) Các công cụ chia sẻ màn hình và
màn hình nền
từ xa có
thể
giúp
KTVNN truy cập
và
đánh giá hệ
thống và
các ứng
dụng CNTT của đơn vị được kiểm toán; đánh giá hệ thống kiểm soát, an
ninh nội
bộ và
tính toàn vẹn
của dữ liệu (ví dụ: TeamViewer,
AnyDesk và Remote Desktop Connection…).
g) Các công cụ thu thập
bằng chứng kiểm toán điện tử có thể giúp KTVNN
thu thập
và
quản
lý
các chữ
ký
điện
tử và
duy trì bằng
chứng kiểm toán
một
cách
an toàn (ví dụ: Adobe Acrobat, DocuSign và Google
Earth…).
h) Các công cụ nhắn tin và phối hợp an toàn có thể cung cấp sự
an toàn
và các phương tiện
hiệu quả cho việc trao đổi thông tin và phối hợp giữa các thành
viên của
Đoàn
kiểm
toán
(ví dụ:
Slack, Microsoft Teams và WhatsApp…).
i) Các công cụ kiểm toán và kiểm soát thường xuyên giúp
phân tích và kiểm
soát
các giao dịch
nghiệp vụ kinh tế và các chỉ số hoạt động một cách thường xuyên liên tục theo thời
gian thực cho phép KTVNN đưa ra các ý kiến phản hồi và kiến nghị kịp
thời (ví dụ: Các phần mềm như ACL
Analytics và Arbutus Analyzer…).
k) Công cụ trí tuệ nhân tạo (AI)
cũng có
thể
được sử dụng trong các giai đoạn của cuộc kiểm toán khi điều kiện cho phép nhằm hỗ trợ
KTVNN trong việc phát hiện gian lận tài chính qua dữ liệu bất
thường; xác
minh tính xác thực
của video, giọng nói; kiểm tra tính nhất quán của tài liệu và thư điện tử; phát hiện các mẫu dữ liệu
bất thường trong giao dịch… (ví dụ: Máy học, học sâu, tự động hóa quy
trình bằng
robot, xử lý ngôn ngữ tự nhiên, các phần mềm như:
Forensic Accounting AI, Blockchain, Deepfake Detection AI, Natural Languge
Processing, AI-driven anomaly detection…).
l) Các công cụ an toàn và hiệu quả khác.
3. Rủi ro đối với
kiểm toán
từ
xa
a) Tính xác thực của bằng
chứng: Các
vấn
đề về bóp
méo dữ
liệu và
tính không rõ ràng của dữ liệu có thể phát sinh
trong môi trường
từ xa; việc xác
định
danh tính
của
người dùng
không trực
tiếp gặp mặt có
thể
làm
tăng nguy cơ thao túng thông tin hoặc thông tin giả mạo. Các tài liệu và video có
thể
bị điều chỉnh theo hướng tiêu cực và dẫn đến gian
lận. Do đó,
mức
độ sẵn có
về
công
nghệ
thông
tin và truyền
thông
cũng như cơ chế
vận hành
an ninh dữ
liệu đóng
vai trò đặc
biệt quan trọng trong việc giảm thiểu các vấn đề này.
b) Vấn đề an
ninh: Kiểm toán
từ
xa liên
quan đến
các
hoạt
động kiểm toán
trực
tuyến và
trao đổi
dữ liệu số hóa.
Do đó, việc
xem xét
vấn
đề an ninh đối với việc truy cập và lưu trữ dữ liệu là rất quan
trọng. Để giải quyết vấn đề này, KTVNN và đơn vị được kiểm toán cần chính thức hóa việc giao thức
mạng và
thống
nhất cam kết đối với Tính bảo mật, Tính an ninh và Bảo vệ dữ liệu
(CSDP).
c) Tầm nhìn hạn chế: Khi
thực hiện cuộc kiểm toán từ xa, khả năng quan sát thực tế các hoạt động, quy
trình
và tài liệu
của đơn vị được kiểm toán là rất hạn chế. Hạn chế này có thể dẫn đến các lỗi, sự không chính
xác hay khả
năng gian lận mà nếu thực hiện kiểm toán trực tiếp tại
đơn vị có
thể
dễ dàng
phát hiện
được.
d) Các thách thức về truyền
thông:
Thông tin thu thập
được thông
qua sự
tương tác
giữa
người với người thường phức tạp và có sự khác biệt về thái độ, mức độ
biểu cảm…, tuy nhiên điều này không được thể hiện rõ ràng
trong môi trường
kiểm toán
từ
xa. Việc trao đổi hạn chế giữa KTVNN và đơn vị được kiểm toán có thể dẫn đến
BCKT không
đáng tin cậy,
không
chính xác hoặc
không
đầy
đủ.
đ) Các vấn đề về công nghệ: Kiểm toán từ xa hoàn toàn phụ thuộc vào công
nghệ
bao gồm phần mềm họp video, nền tảng chia sẻ dữ liệu (đặc biệt dữ liệu có dung lượng lớn) và kết nối
internet. Các
vấn
đề kỹ thuật có
thể
cản trở quá
trình kiểm
toán,
dẫn
đến sự chậm trễ hoặc thiếu chính xác của các phát hiện kiểm toán (ví
dụ:
Lỗi mạng, lỗi máy tính hoặc sự cố thiết bị).
4. Một số điều
kiện thực hiện cuộc kiểm toán từ xa
a) Điều kiện về công nghệ
- Hạ tầng công nghệ thông tin và
truyền
thông
và các công cụ
hỗ trợ: Cả KTNN và đơn vị được kiểm toán cần có hệ thống CNTT
phù
hợp
và
đáp ứng
yêu
cầu,
bao gồm máy
tính, phần
mềm và
kết
nối internet ổn định.
- Tính bảo mật, tính an
ninh và bảo
vệ dữ liệu (CSDP): Cần có các biện pháp bảo mật dữ
liệu, mã
hóa thông tin để
tránh
rò rỉ
hoặc mất mát
dữ
liệu trong quá
trình thực
hiện kiểm toán
từ
xa.
b) Điều kiện về pháp lý
Tuân thủ quy định pháp luật hiện hành, đặc biệt là quy định về tính an
toàn và bảo
mật dữ liệu.
c) Điều kiện về con
người
- KTVNN phải có kỹ năng sử
dụng công
nghệ,
hiểu biết về phần mềm và cách thức kiểm toán từ xa.
- Đơn vị được kiểm
toán
cần
có
đội
ngũ nhân
sự
hỗ trợ, sẵn sàng
cung cấp,
trao đổi thông
tin và giải
trình
trong quá trình kiểm toán.
c) Điều kiện về dữ
liệu
- Sẵn sàng dữ liệu số:
Đơn vị được kiểm toán cần chuyển đổi dữ liệu từ dạng giấy sang dạng
số hóa
để
dễ dàng
chia sẻ
và
xử
lý.
- Chất lượng dữ
liệu: Dữ liệu phải đầy đủ, chính xác và có khả năng truy xuất
nhanh chóng
khi được
yêu
cầu.
d) Trình tự, thủ tục
kiểm toán
rõ ràng
- Trình tự, thủ tục
kiểm toán
từ
xa cần được xác
định
rõ
ràng tại
KHKT, gồm các
bước
công
việc,
thời gian thực hiện và các công cụ hỗ trợ…
- KTVNN và đơn vị được kiểm
toán
cần
duy trì
liên lạc
thường xuyên,
kịp
thời để xử lý
các vấn
đề phát
sinh.
5. Kiểm soát chất lượng của
cuộc kiểm toán
từ
xa
Kiểm soát chất lượng kiểm
toán
từ
xa tập trung bảo đảm rằng các yêu cầu về chất lượng và tính
tuân thủ
được đáp
ứng
khi cuộc kiểm toán được thực hiện từ xa; đặc biệt phải kiểm soát được chất lượng
của việc thiết lập hệ thống để bảo đảm tính bảo mật, tính an
ninh và bảo
vệ dữ liệu (CSDP) phục vụ cho kiểm toán từ xa.
Điều 6. Yêu cầu đối với các đơn vị trực thuộc
và
các Đoàn kiểm toán
Khi tổ chức thực
hiện kiểm toán
hoạt
động từ xa, các
đơn vị
trực thuộc và
các Đoàn kiểm
toán
phải
tuân
thủ
Luật KTNN, các
quy định
pháp
luật
hiện hành,
quy định
của cấp có
thẩm
quyền về kiểm soát quyền lực, phòng, chống tham
nhũng, lãng
phí, tiêu cực,
Hệ thống CMKTNN, Quy trình kiểm toán của KTNN, Quy
chế tổ chức và
hoạt
động của Đoàn
KTNN, Quy chế
Kiểm soát
chất
lượng kiểm toán,
các quy định
khác
của
KTNN có
liên quan và các quy định tại Hướng dẫn này.
Chương II
NHỮNG
QUY ĐỊNH CỤ THỂ
Tuân thủ Quy trình kiểm toán của KTNN, Hệ
thống CMKTNN, các hướng dẫn kiểm toán đối với từng
lĩnh vực kiểm toán và các văn bản khác có liên quan của KTNN;
trong đó
lưu ý một
số vấn đề dưới đây:
Điều 7. Chuẩn bị
kiểm toán
1. Khảo sát, thu thập thông tin
Khảo sát, thu thập thông tin từ xa là việc thu thập các tài liệu số hóa, dữ liệu lưu
trữ tại KTNN; khai thác bằng CNTT từ xa trên dữ liệu điện
tử của đơn vị được kiểm toán, cơ quan, tổ chức, cá nhân có
liên quan và báo cáo của đơn vị. Trong đó lưu ý thông tin từ bên trong
và bên ngoài đơn vị được kiểm toán có thể thực hiện thông qua
các phương pháp thu thập thông tin sau:
- Đánh giá của các lần kiểm toán trước;
- Nghiên cứu các tài liệu lưu trữ
của KTNN liên
quan đến
đơn vị được kiểm toán (nếu có);
- Đề nghị đơn vị
được kiểm toán
và cơ quan, tổ
chức, cá
nhân có liên quan đến cuộc kiểm toán báo cáo bằng văn bản, cung cấp
các
thông tin, tài liệu
(gửi qua các phương thức như thư điện tử, gửi fax, chuyển phát bưu gửi...);
- Tìm hiểu về môi trường và các hoạt động kiểm
soát
của
đơn vị được kiểm toán thông qua việc sử dụng ứng dụng phân tích dữ liệu lớn
bao gồm dữ liệu nội bộ và bên ngoài.
- Khai thác thông tin
có liên quan đến
đơn vị được kiểm toán trên các phương tiện thông tin đại chúng;
- Trao đổi, phỏng vấn
lãnh
đạo,
nhân
viên và những
người có
liên quan của
đơn vị để thu thập thông tin (có thể sử dụng bảng câu hỏi, thông qua
các kênh liên lạc như họp trực tuyến, cổng trao đổi thông tin,
công cụ
chia sẻ tài liệu...);
- Trao đổi với các cơ quan
quản
lý
chuyên ngành, cơ quan quản lý nhà nước cấp trên trực tiếp của
đơn vị được kiểm toán (thông qua các kênh liên lạc như họp
trực tuyến, cổng trao đổi thông tin, công cụ chia sẻ tài liệu...);
- Truy cập vào cơ sở dữ liệu
quốc gia và
dữ
liệu điện tử của đơn vị được kiểm toán, của cơ quan, tổ chức,
cá
nhân có liên quan đến hoạt động kiểm toán để khai thác, thu thập thông tin,
tài liệu
liên
quan trực
tiếp đến nội dung, phạm vi kiểm toán (việc truy cập dữ liệu
phải tuân
thủ
quy định của pháp luật và chịu trách nhiệm bảo vệ bí mật, bảo mật,
an toàn
theo quy định
của pháp
luật).
- Các phương pháp
khác (nếu
phù
hợp).
2. Lập kế hoạch
kiểm toán
tổng
quát
a) Đánh giá rủi ro
- Đánh giá rủi ro tiềm tàng
+ Rủi ro về tính phức tạp của các giao dịch: Các giao dịch phức tạp
của đơn vị được kiểm toán thường khó áp dụng phương
thức kiểm toán
từ
xa hơn kiểm toán
trực
tiếp tại đơn vị; do đó, làm tăng nguy cơ KTVNN không phát hiện được các giao dịch bất
thường của đơn vị được kiểm toán.
+ Rủi ro kiểm toán lần đầu: Đối
với các
đơn vị
được kiểm toán
lần
đầu, KTVNN sẽ gặp khó khăn hơn khi truy cập vào các ứng dụng của
đơn vị được kiểm toán để thu thập thông tin và đánh giá
thông tin.
+ Rủi ro về tính chính
trực
của lãnh
đạo
đơn vị được kiểm toán: Việc thiếu tương tác trực tiếp với lãnh đạo đơn vị
được kiểm toán
và không có khả
năng quan sát
trực
tiếp tại đơn vị có thể gây khó khăn cho KTVNN trong việc thu thập
thông
tin và đánh giá tính chính trực của lãnh đạo đơn vị
được kiểm toán.
- Đánh giá rủi ro kiểm soát: KTVNN
có thể
gặp khó
khăn trong việc
đánh
giá tính hữu
hiệu của các
hoạt
động kiểm soát
nội
bộ nhất là
việc
đánh
giá sự
phân
công, phân nhiệm
trong tổ chức bộ máy của đơn vị được kiểm toán.
- Đánh giá rủi ro do gian
lận
+ Thao túng dữ liệu: Rủi
ro có
thể
phát
sinh từ
việc thay đổi trái phép hồ sơ điện tử hoặc bộ dữ liệu để che giấu sự
bất thường hoặc xuyên tạc dữ liệu.
+ Trình bày các tài
liệu
không
xác thực:
Kiểm toán
từ
xa chủ yếu dựa vào trao đổi thông tin điện tử và tài liệu điện tử nên có thể làm tăng
nguy cơ KTVNN nhận
được các
tài liệu
không
xác thực
như hóa
đơn giả,
hợp đồng giả, các dữ liệu, tài liệu giả do AI
tạo ra, xác
nhận
không
chính xác từ
bên
thứ
ba và
các tài liệu
khác
để
hỗ trợ cho giao dịch không đúng quy định.
+ Truy cập trái phép:
Việc
truy cập từ xa vào hệ thống và dữ liệu điện
tử của đơn vị được kiểm toán có thể làm tăng
nguy cơ truy cập
trái
phép của
các
bên thứ
ba, chẳng hạn như: Việc phá hủy dữ liệu, lừa đảo và cài đặt phần mềm
độc hại…; điều này có khả năng ảnh hưởng lớn đến tính trung
thực
của phát
hiện,
kết quả kiểm toán và có thể gây hại cho cả đơn vị được
kiểm toán
và KTVNN.
+ Thao túng các công
cụ
kiểm toán
từ
xa: Kiểm toán
từ
xa dựa vào
công nghệ
nên
điều
này
có thể
làm
tăng nguy cơ đơn vị được kiểm toán hoặc các bên
khác có thể
thao túng
các công cụ
kiểm toán
để
che giấu sai sót
hoặc
gian lận. Ví
dụ:
Đơn vị được kiểm toán có thể thay đổi dấu thời gian, thay đổi vị trí và sửa đổi bản
ghi truy cập của người dùng,…
(Tham khảo một số công cụ công nghệ thông tin và
truyền
thông
tương ứng
với các
thủ
tục tìm
hiểu
về đơn vị được kiểm toán và đánh giá rủi ro tại Phụ lục 01
kèm
theo Hướng
dẫn).
b) Xác định trọng yếu
Những hạn chế
trong việc tìm
hiểu
đơn vị được kiểm toán cũng như việc truy cập thông tin của đơn vị
được kiểm toán
trong quá trình kiểm toán từ xa có thể dẫn đến
những thay đổi trong việc xác định trọng yếu. Về định lượng, để bảo
đảm tính
thận
trọng, KTVNN có
thể
áp
dụng
tỷ lệ mức trọng yếu tổng thể và mức trọng yếu thực hiện ở mức thấp hơn
so với kiểm toán
trực
tiếp tại đơn vị được kiểm toán. Về định tính, KTVNN cần lưu ý xác định các nội dung kiểm
toán
tuân thủ
phù
hợp
với rủi ro do gian lận đã xác định.
c) Phương pháp và thủ tục kiểm toán
Khi xây dựng KHKT, ngoài các nội dung theo
quy định (bao gồm cả các thủ tục kiểm toán theo
CMKTNN),
KHKT từ
xa cần xác
định
cụ thể các
công cụ
công
nghệ
(như họp trực tuyến, trao đổi qua email, cổng trao đổi thông
tin...)
cần
thiết trong từng thủ tục kiểm toán, đánh giá khả năng thu thập bằng
chứng đầy đủ và
thích hợp
cũng như các
quy định
về bảo mật trao đổi thông tin.
d) Phạm vi kiểm toán
KHKT cần xác định phạm vi
kiểm toán
phù hợp
để giảm thiểu rủi ro kiểm toán. Chẳng hạn, việc kiểm toán từ xa sẽ không thể trực tiếp
quan sát,
kiểm
kê
hàng tồn
kho, tiền mặt của đơn vị thì có thể bổ sung giới hạn về các khoản mục đó.
3. Chuẩn bị các điều kiện cần
thiết
Một số điều
kiện cần thiết có thể cần lưu ý thêm so với phương
thức kiểm toán
trực
tiếp tại đơn vị được kiểm toán như:
a) Nhân sự: Đoàn kiểm toán và đơn
vị
được kiểm toán
phải
phân
công những
người chủ chốt chịu trách nhiệm đối với từng nội dung/lĩnh vực kiểm
toán
quan trọng
và
bố
trí
một
người là
đầu
mối chịu trách
nhiệm
trao đổi giữa hai bên.
b) Tài liệu: Các tài liệu mà Đoàn kiểm toán và đơn
vị
được kiểm toán
sử
dụng sẽ ở dạng số hóa hoặc định dạng quét để tạo điều
kiện thuận lợi cho việc tải lên và tải xuống thông tin trong thời gian thực
hiện.
c) Yêu cầu về tính bảo mật, tính an
ninh và bảo
vệ dữ liệu (CSDP): Đoàn kiểm toán và đơn vị được kiểm
toán
đều
phải coi trọng đến các yêu cầu về tính bảo mật, tính an
ninh và bảo
vệ dữ liệu, chẳng hạn như thông qua việc sử dụng thông tin
đăng nhập
mạng riêng
ảo
(VPN) và
hạn
chế quyền truy cập dữ liệu...
d) Công cụ công nghệ thông tin và
truyền
thông
được
sử dụng bởi Đoàn
kiểm
toán
và đơn vị
được kiểm toán
bao gồm
cả phần cứng và
phần
mềm. Trong đó,
có thể
sử dụng các
phần
mềm hoặc nền tảng hỗ trợ kiểm toán từ xa như:
- Để giao tiếp
giữa hai bên
và thực
hiện chứng kiến kiểm kê, KTVNN có thể sử dụng các ứng dụng như
Microsoft Teams...
- Để quản lý công việc dễ dàng hơn,
KTVNN có thể
sử dụng các
ứng
dụng như Lịch Outlook để lên lịch trình và quản lý các cuộc trao
đổi...
- Để chia sẻ và lưu trữ dữ liệu
trong Đoàn,
Tổ
kiểm toán,
Đoàn kiểm
toán
có thể
sử dụng Google Drive trên đám mây. Nền tảng này cho
phép KTVNN tạo,
chỉnh sửa, lưu trữ và chia sẻ tài liệu trong thời gian
kiểm toán
(như kiểm
toán
trực
tiếp tại đơn vị được kiểm toán).
- Để chia sẻ và lưu trữ dữ liệu
giữa Đoàn
kiểm
toán
và đơn vị
được kiểm toán
cần
sử dụng cổng trao đổi thông tin của KTNN.
- Để thực hiện
phân
tích dữ
liệu, KTVNN có
thể
sử dụng các
chương trình như Excel, Microsoft Power BI...
Điều 8. Thực hiện
kiểm toán
1. Công bố quyết định
kiểm toán
Hình thức công bố quyết định
kiểm toán
có thể
được thực hiện bằng cách gửi thông báo hoặc tổ chức công bố tại cuộc
họp trực tuyến trên hệ thống CNTT của KTNN.
2. Tiến hành kiểm toán
Tùy thuộc điều kiện
của từng cuộc kiểm toán và khả năng đáp ứng về CNTT,
cuộc kiểm toán
từ
xa có
thể
được tiến hành
tập
trung tại một địa điểm làm việc hoặc phân tán.
2.1. Thu thập bằng chứng
kiểm toán
Các phương pháp, thủ tục kiểm toán nhằm thu thập
bằng chứng kiểm toán thường được sử dụng gồm: Quan sát; kiểm tra, đối
chiếu; xác
nhận
từ bên
ngoài; tính toán lại; phỏng vấn; thủ tục phân tích; thực hiện
lại...
a) Quan sát
Quan sát từ xa đòi hỏi phải sử
dụng các
công cụ
kỹ thuật số để quan sát các quy trình hoặc thủ tục từ xa như:
Hình
ảnh,
dữ liệu camera tại đơn vị được lưu trữ, truyền tải về cho KTNN hoặc sử dụng
thiết bị viễn thám thích hợp như máy bay không người lái, hình ảnh vệ tinh,…
(Tham
khảo
một số ví dụ về quan sát từ xa tại Phụ
lục 02 kèm theo Hướng dẫn).
b) Kiểm tra
Kiểm tra bao
gồm kiểm tra tài
liệu,
sổ, bản ghi và
kiểm
tra tài
sản.
- Kiểm tra tài liệu, sổ, bản
ghi
Việc kiểm tra
hồ sơ và
tài liệu
phụ thuộc rất nhiều vào tài liệu số hóa, đòi hỏi các phương
pháp phải
an toàn
để
bảo đảm tính
xác thực
và
trung thực
của các
tài liệu,
hồ sơ. Để bảo đảm tính xác thực của tài liệu trong kiểm
toán
từ
xa cần kết hợp các phương pháp xác minh truyền thống với các giải pháp công
nghệ
hiện đại như:
+ Xác thực dữ liệu và phân
tích so sánh: Bảo
đảm tính
hợp
lệ của dữ liệu bằng cách tham chiếu chéo các tài
liệu
nhận được với dữ liệu so sánh thích hợp (bằng chứng
chứng thực) và tiến hành xác nhận nhiều lớp với các đơn vị có liên
quan về
các
vấn
đề mà
KTVNN cho là cần
thiết để kiểm tra thêm. Phân tích so sánh giúp xác minh tính nguyên bản, chính xác của thông tin và
làm rõ sự
khác
biệt
hoặc không
nhất
quán
giữa
các
hồ
sơ, tài
liệu.
Trường hợp đơn
vị được kiểm toán sử dụng AI để tạo ra các dữ liệu, tài liệu giả mà KTVNN thấy có dấu hiệu nghi
ngờ như: Thông
tin, số
liệu, chữ ký
điện
tử... không
rõ nét, không phù hợp hoặc thống nhất với các tài liệu khác...,
KTVNN có thể
sử dụng các
công cụ
thống kê
để
phát
hiện
các
sai lệch;
kiểm tra mẫu dữ liệu thông qua việc đọc và phân
tích nội
dung; so sánh
dữ
liệu AI tạo với dữ liệu do con người tạo ra; hoặc sử dụng AI khác để phát hiện lỗi hoặc
sai phạm trong dữ liệu... Trường hợp nghi ngờ nhưng không đủ năng lực, công cụ, thời gian
để tự đánh
giá, KTVNN báo cáo Tổ trưởng Tổ kiểm toán xin ý kiến chỉ đạo
của cấp có
thẩm
quyền để hỗ trợ, xác minh, đánh giá cho phù hợp.
+ Khẳng định về tính xác thực: KTVNN có thể yêu cầu đơn vị
được kiểm toán
phải
khai báo
tính xác thực
của các
tài liệu
được cung cấp. Những khẳng định này có thể ở dạng văn bản hoặc
bằng miệng (ghi âm). Đối với các tài liệu, dữ liệu
qua các
thủ
tục kiểm toán
mà KTVNN có đủ
cơ sở xét
đoán là giả
thì
KTVNN cần
đánh
giá sự
ảnh hưởng của tài liệu, thông tin này đến mục tiêu kiểm toán để đưa ra đánh giá và
ý kiến
kiểm toán
phù hợp.
+ Thông tin liên lạc: Đoàn kiểm toán cần thống nhất
với đơn vị được kiểm toán về cách thức trao đổi
thông
tin như thông qua nhân viên được chỉ định và địa chỉ e-mail
chính
thức
để bảo đảm quy trình trao đổi thông tin được kiểm soát và theo
dõi, giảm
thiểu nguy cơ giả mạo dữ liệu hoặc truy cập trái phép.
+ Thiết lập và sử dụng một
quy trình
đánh giá được
chuẩn hóa
và tích hợp:
Đoàn
kiểm
toán
có thể
thiết lập và
sử
dụng một quy trình đánh giá được chuẩn hóa và tích hợp để tiến hành các thủ tục kiểm toán; trong
đó yêu cầu
việc lưu trữ các
tài liệu
làm
việc
kiểm toán
phải
dưới dạng số hóa
để
tạo điều kiện cho việc truy xuất, so sánh và xác minh được thực hiện
dễ dàng
và bảo
đảm việc quản lý tài liệu có hệ thống và có tổ chức.
+ Dữ liệu điện
tử và
công nghệ
đám
mây: Việc
chuyển đổi sang dữ liệu điện tử của đơn vị được kiểm toán đã hợp thức hóa các quy
trình truyền
và
lưu trữ
dữ liệu. Quá
trình sử
dụng công
nghệ
đám
mây sẽ
bảo đảm dung lượng lưu trữ lớn và mức độ bảo mật cao. Cơ sở hạ tầng đám mây
cung cấp
một môi
trường
an toàn
để
lưu trữ và
truy cập
các
tài liệu
liên
quan đến
kiểm toán,
bảo
đảm tính
khả
dụng và
bảo
vệ dữ liệu.
(Tham khảo một số ví dụ về kiểm tra
tài
liệu,
hồ sơ từ xa tại Phụ lục 03a kèm theo Hướng dẫn).
- Kiểm tra tài sản
Đối với các văn bản gốc dạng
giấy, trừ trường hợp tài liệu gốc được đơn vị chuyển phát về trụ sở Cơ
quan KTNN, KTVNN sẽ không thể kiểm tra, đối chiếu trực tiếp mà phải thực hiện
trên
tài liệu
dữ liệu điện tử hoặc tài liệu số hóa từ bản gốc.
Tương tự, trong trường hợp kiểm tra, đối chiếu hiện vật, KTVNN sẽ phải dựa vào các
công cụ
hỗ trợ gián
tiếp
như với phương pháp quan sát (điểm a nêu trên). Tài liệu do đơn vị
được kiểm toán
cung cấp
có
thể
được thực hiện theo các hình thức: Chuyển phát tài liệu bản giấy;
cung cấp tài
liệu
dưới dạng điện tử (gồm tài liệu số hóa từ bản giấy và dữ liệu gốc
dạng điện tử)
thông
qua hệ
thống CNTT của KTNN. KTVNN cần lưu ý để lưu trữ lại bằng
chứng cho thấy tài liệu chuyển phát nhận được là của đơn vị
được kiểm toán
cung cấp.
KTVNN có thể thực hiện các bước kiểm tra tài sản từ xa sau:
+ KTVNN phối hợp với bộ
phận kiểm toán
nội
bộ của đơn vị được kiểm toán (hoặc một bộ phận có chức năng tương
tự)
để xác
minh và kiểm
soát
tất
cả các
tài liệu
đơn vị được kiểm toán cung cấp cho Đoàn kiểm toán. Yêu cầu lãnh đạo của bộ
phận này
xác minh rằng
các
bản
mềm của tài
liệu
là
hợp
lệ và
giống
với bản cứng gốc.
+ KTVNN yêu cầu đơn vị
được kiểm toán
cung cấp
tài
liệu
trên
các phương tiện
được chỉ định với quyền truy cập hạn chế chỉ bao gồm KTVNN, đơn vị được kiểm toán và bộ phận kiểm
toán
nội
bộ.
+ Sau khi phân tích
các tài liệu,
KTVNN yêu
cầu
các
thành phần
liên
quan của
đơn vị được kiểm toán thảo luận trực tuyến sơ bộ để xác định các lĩnh vực có rủi ro cao cần
kiểm tra tài
sản
ảo[1].
+ KTVNN sắp xếp kiểm
tra tài
sản
ảo, chỉ định thành phần tham dự, các công cụ được chuẩn
bị và
sử
dụng bởi đơn vị được kiểm toán, các dạng thử nghiệm cần
được thực hiện, thời gian kiểm tra tài sản và các nội dung cần
kiểm tra.
+ KTVNN gửi kết quả
kiểm toán
cho đơn vị
được kiểm toán,
bộ
phận cung cấp xác nhận và trả lời thông qua
e-mail chính thức
hoặc các
kênh an toàn khác.
(Tham khảo một số ví dụ về kiểm tra
tài
sản
từ xa tại Phụ lục 03b kèm theo Hướng dẫn).
c) Phỏng vấn
Phỏng vấn từ xa
được thực hiện thông qua hình thức trao đổi trực tuyến bằng âm thanh,
hình ảnh,
tin nhắn, bảng câu hỏi trên hệ thống CNTT
thích
hợp
hoặc phỏng vấn qua điện thoại... Để bảo đảm tính bảo mật cần
thiết cho cả KTNN và đơn vị được kiểm toán, trong điều kiện cho phép, KTVNN
phải
thực hiện phỏng vấn trên hệ thống CNTT của KTNN, hạn chế sử dụng
các
kênh truyền
dẫn khác,
đặc
biệt là
các dịch
vụ trực tuyến công cộng. Ngoài ra, thông tin trao
đổi
từ phỏng vấn từ xa có thể không bảo đảm được tính chính
xác như cuộc
phỏng vấn thông
thường
do không
thể
bảo đảm tuyệt đối khả năng về trách nhiệm, thẩm quyền của đúng đối tượng tham
gia vào
một
cuộc phỏng vấn trực tuyến.
Phỏng vấn từ xa
có
thể
gồm 3 giai đoạn: Chuẩn bị, thực hiện và kết thúc phỏng vấn, bao
gồm việc ký
biên bản
phỏng vấn.
- Để bảo đảm tính hiệu quả của
việc phỏng vấn từ xa, KTVNN phải thực hiện các bước chuẩn bị
cần thiết, bao gồm lựa chọn phương tiện phỏng vấn và tiến hành chạy thử, lên lịch phỏng vấn
và
gửi
thư mời, soạn thảo câu hỏi phỏng vấn, tổ chức nhóm phỏng vấn,
chuẩn bị bản ghi dự phòng, lập hồ sơ người được phỏng vấn và xây dựng kế hoạch
phỏng vấn. Chuẩn bị cũng liên quan đến việc xác định giới hạn người
tham gia và
thời
lượng của mỗi cuộc phỏng vấn.
- Trong quá trình phỏng vấn từ
xa, KTVNN bảo đảm rằng người được phỏng vấn là đối tượng dự
định như được chỉ định trong thư mời, yêu cầu người được
phỏng vấn giữ máy quay video của họ, xây dựng mối quan hệ
với người được phỏng vấn, chú ý đến ngôn ngữ phi lời nói của họ bằng cách yêu cầu họ điều
chỉnh vị trí
và khoảng
cách
với
thiết bị, tập trung vào chủ đề, ghi lại cuộc phỏng vấn và chuẩn bị biên bản phỏng vấn.
Ngoài ra, KTVNN cần thận trọng
về các
vấn
đề có
thể
ảnh hưởng đến việc thực hiện các xác nhận từ xa, đặc biệt là trong
các tình huống
có
thể
tiềm ẩn nguy cơ gian lận. Ví dụ lỗi tín hiệu gây gián đoạn trong quá trình
phát trực
tuyến, đơn vị được kiểm toán bị ngắt kết nối khỏi cuộc thảo luận mà không có
lý do có thể
kiểm chứng được hoặc đơn vị được kiểm toán cố gắng định
hướng KTVNN trong một số điều kiện nhất định mà không có lý do
chính đáng.
- Kết thúc phỏng vấn: Nếu
biên
bản
có
thể
được hoàn
thành ngay lập
tức, KTVNN sẽ gửi các biên bản này qua tính năng chia sẻ tài liệu và yêu cầu người được
phỏng vấn ký
tên kỹ
thuật số. Trường hợp không thể hoàn thành ngay biên bản, KTVNN gửi
các
biên bản
và
yêu cầu
người được phỏng vấn ký điện tử hoặc trên một tài liệu in.
Trường hợp đơn
vị được kiểm toán sử dụng AI để giả mạo video cuộc họp, giọng nói…, KTVNN
có thể
sử dụng phần mềm phân tích video, giọng nói để nhận diện
nội dung giả mạo hoặc kết hợp sử dụng AI và chuyên gia để kiểm chứng
thông
tin cho phù hợp.
(Tham khảo một số ví dụ về phỏng
vấn từ xa tại Phụ lục 04 kèm theo Hướng dẫn).
d) Xác nhận từ bên ngoài
Thu thập bằng chứng
kiểm toán
từ
bên
thứ
ba thường thông
qua các phương tiện
điện tử, chẳng hạn như e-mail, nền tảng trực tuyến an toàn hoặc hội nghị
từ xa. (Tham khảo một số ví dụ về xác nhận từ xa tại
Phụ lục 05 kèm theo Hướng dẫn).
đ) Thực hiện lại
Việc thực hiện
lại yêu
cầu
KTVNN thực hiện kiểm soát được lựa chọn (theo cách thủ công hoặc thông qua việc sử dụng
CAATs) chẳng
hạn như thực hiện lại việc ghi chép các khoản phải thu. Thực hiện lại
được coi là
một
phương pháp
đáng tin cậy
để đánh
giá tính hữu
hiệu của các
hoạt
động kiểm soát
vì cho phép KTVNN trực tiếp kiểm tra các kiểm soát thay vì
dựa
vào
các báo cáo và cơ sở dữ liệu của đơn vị được kiểm toán. (Tham khảo một số ví dụ về thực hiện
lại từ xa tại Phụ lục 06 kèm theo Hướng dẫn).
e) Thủ tục phân tích
Các thủ tục phân tích được sử dụng
trong suốt quá
trình kiểm
toán
từ
xa và
được
thực hiện cho ba mục đích chính như sau:
- Đánh giá phân tích
sơ bộ:
Các
đánh giá phân tích sơ bộ được thực hiện để có được sự hiểu
biết về đơn vị được kiểm toán và môi trường hoạt động của đơn
vị được kiểm toán (ví dụ: hiệu suất tài chính
so với
các
năm trước
và
giữa
các
ngành có liên quan), giúp KTVNN đánh giá rủi ro có sai sót
trọng
yếu từ đó
xác định
lịch trình,
thời
gian và
nội
dung của các
thủ
tục kiểm toán.
- Thủ tục phân tích cơ
bản:
Các
thủ
tục phân
tích cơ bản
được thực hiện khi KTVNN cho rằng việc sử dụng các thủ tục phân tích có
thể
hiệu quả hơn so với các thử nghiệm chi tiết trong việc giảm rủi
ro sai sót
trọng
yếu ở cấp độ khẳng định xuống mức thấp có thể chấp nhận
được.
- Đánh giá phân tích
cuối
cùng:
Các thủ
tục phân
tích được
thực hiện như một cuộc soát xét tổng thể các báo cáo
tài chính vào thời
điểm cuối của cuộc kiểm toán để đánh giá xem các kết quả có phù hợp với hiểu
biết của KTVNN về đơn vị được kiểm toán hay không. Nếu phát hiện bất
thường, việc đánh
giá rủi
ro cần được thực hiện lại để xem xét liệu có cần thêm bất kỳ thủ tục
kiểm toán
nào không.
(Tham khảo một số ví dụ về thủ tục
phân
tích từ
xa tại Phụ lục 07 kèm theo Hướng dẫn).
g) Thử nghiệm xuyên suốt
Thử nghiệm xuyên suốt trong kiểm
toán
từ
xa liên
quan đến
việc theo dõi
một
giao dịch hoặc quy trình hoạt động cụ thể của đơn vị được kiểm toán từ đầu đến
cuối để đánh
giá tính hiệu
quả và
độ
tin cậy của các
hoạt
động kiểm soát
nội
bộ và
việc
tuân
thủ
của đơn vị được kiểm toán. Thử nghiệm xuyên suốt từ xa có thể bao gồm xem
xét,
quan sát và phỏng
vấn từ xa. Theo đó, thử nghiệm xuyên suốt giúp xác định các lỗ hổng kiểm
soát
tiềm
ẩn, bảo đảm tính
chính xác của
báo
cáo tài chính và cung cấp thông tin chi tiết về các rủi ro tiềm tàng.
Việc thực hiện
phương pháp
thử
nghiệm xuyên
suốt
từ xa của KTVNN có thể bao gồm các nội dung sau:
- Xác minh danh tính
của
người có
trách nhiệm
của đơn vị được kiểm toán và yêu cầu họ kết nối thông qua
các công cụ
hội nghị truyền hình bằng máy tính xách tay, máy
tính bảng
hoặc điện thoại thông minh.
- Thông báo cho đơn vị được kiểm
toán
rằng
quá
trình thử
nghiệm xuyên
suốt
sẽ được ghi lại và ảnh chụp màn hình có thể được chụp
về các
bằng
chứng được cung cấp.
- Yêu cầu người có trách
nhiệm
giải thích
chi tiết
về chu kỳ giao dịch hoặc quy trình hoạt động và chứng minh trực
tuyến.
- Yêu cầu người có trách
nhiệm
cung cấp một tài
liệu
ngẫu nhiên,
hiển
thị tài
liệu
đó
trên thiết
bị và
chứng
minh các
kiểm
soát
nội
bộ có
sẵn.
- Có thể ngẫu nhiên yêu cầu người có trách
nhiệm
cung cấp bằng chứng xác minh và phê duyệt được ủy quyền cho
từng quy trình/giao
dịch
của đơn vị.
- Yêu cầu đơn vị
giải trình
về
bất kỳ thông
tin liên quan nào trong các tình huống bất thường, chẳng hạn các lỗi được phát hiện,…
- Ghi lại và tài liệu hóa bất kỳ điểm
yếu nào
của
các
hoạt
động kiểm soát
nội
bộ của đơn vị được kiểm toán.
- Phân tích tác động của các điểm yếu đối với
các
thủ
tục kiểm toán
khác.
(Tham khảo một số ví dụ về thử
nghiệm xuyên suốt từ xa và một số công cụ công nghệ thông tin và
truyền
thông
hỗ
trợ cho giai đoạn thực hiện kiểm toán từ xa tại Phụ
lục 08 và Phụ lục 09 kèm theo Hướng dẫn).
2.2. Đánh giá bằng chứng
kiểm toán
và hình thành ý kiến kiểm toán
Sau khi hoàn tất các thủ tục kiểm toán, KTVNN
đánh giá xem việc
thu thập được bằng chứng kiểm toán đã đầy đủ và thích hợp để đưa ra
các
phát hiện
và
kết
quả kiểm toán.
Trên cơ sở
đó,
KTVNN thực
hiện đánh
giá chuyên môn để
đưa ra kết luận hoặc ý kiến kiểm toán về thông tin hoặc đối tượng
được kiểm toán.
KTVNN có thể phải dựa vào giấy tờ kỹ
thuật số, bảng tính và các dạng tài liệu điện tử khác để đánh giá
nên khó xác thực
và
xác minh hơn so với
tài
liệu
trên
giấy.
Nếu không
có khả
năng kiểm tra thực tế hồ sơ và tài sản, KTVNN có thể cần phát triển các thủ tục kiểm toán thay thế để bảo đảm
tính
hợp
lệ của thông
tin do đơn vị
được kiểm toán
cung cấp.
Một số lưu ý về đánh giá bằng chứng
kiểm toán:
- Khi kiểm tra tính xác thực, hợp lý, hợp pháp, thích
hợp,
đầy đủ của các
bằng
chứng kiểm toán
khi kiểm
toán
từ
xa, KTVNN cần đặc biệt lưu ý do tính chất của bằng chứng
kiểm toán
thu thập
được có
thể
bị ảnh hưởng đáng
kể
vì
hầu
hết thông
tin đều
được thu thập gián tiếp và thường thông qua sự kiểm soát, tác động của đơn
vị được kiểm toán. Một số yếu tố có thể tác động đến tính xác thực, hợp lý, hợp pháp, thích
hợp,
đầy đủ của bằng chứng kiểm toán như:
+ Các thông tin, dữ liệu điện
tử do đơn vị được kiểm toán cung cấp trước đó có thể chưa cập
nhật kịp thời hoặc thường xuyên bị chỉnh sửa, thay thế bằng nhiều phiên bản khác nhau.
+ Bản số hóa từ văn bản
giấy kể cả khi có chứng thực về chữ ký số vẫn có thể có sai khác
so với
văn bản giấy (ví dụ: Do lỗi trong quá trình
scan hoặc
bị chỉnh sửa, can thiệp).
+ Bằng chứng
kiểm toán
thu thập
được qua các
thủ
tục như quan sát
có rủi
ro do KTVNN không
có mặt
trực tiếp tại hiện trường nên hình ảnh, âm thanh
thu được
qua các
công cụ
hỗ trợ có
thể
không
phản
ánh
chính xác tình hình thực tế (ví dụ: Hình ảnh âm thanh bị trễ, sai
lệch do tín hiệu đường truyền, bị can thiệp chỉnh sửa trước
khi truyền đến cho KTVNN; hình ảnh âm thanh
truyền
về là
của
địa điểm và/hoặc khung thời gian khác với địa điểm,
khung thời gian thực tế đang cần quan sát).
+ Độ tin cậy của
bằng chứng cũng bị ảnh hưởng do tính chất bất ngờ, ngẫu nhiên khi thực hiện một
số phương pháp
thủ
tục kiểm toán
không còn được
duy trì
khi kiểm
toán
từ
xa (ví dụ: KTVNN không thể đột xuất
kiểm tra thực địa hoặc kiểm tra tính có thực của một tài sản như khi
kiểm toán
trực
tiếp).
- Để giảm thiểu
rủi ro kiểm toán,
với
bằng chứng kiểm toán do đơn vị được kiểm toán cung cấp, KTVNN có thể chỉ nên đánh
giá trên cơ sở
các
bằng
chứng được gửi trực tiếp từ đơn vị được kiểm toán có chứng thực từ bên chuyển phát và/hoặc bằng chứng
gửi, lưu trữ trên hệ thống CNTT của KTNN. KTVNN hạn chế sử dụng
bằng chứng là
tài liệu
gửi qua các
hình thức,
kênh
truyền
dẫn khác,
đặc
biệt là
các dịch
vụ truyền dẫn, lưu trữ trực tuyến công cộng do các bên thứ ba cung
cấp.
- Đối với các bằng chứng
kiểm toán
không đảm
bảo tính
hợp
pháp
do thu thập
từ xa hoặc KTVNN có đủ cơ sở đánh giá bằng chứng
kiểm toán
là giả,
KTVNN cần yêu
cầu
đơn vị gửi bản cứng có xác thực để đối chiếu, lưu
trữ theo quy định.
2.3. Lập và ký biên
bản
xác
nhận
số liệu và
tình hình kiểm
toán
- Trong quá trình tổng hợp kết
quả kiểm toán,
trao đổi
với đơn vị được kiểm toán (về các vấn đề liên quan đến cuộc kiểm
toán,
các phát hiện kiểm toán), tiếp nhận ý kiến giải trình của đơn vị
được kiểm toán,
KTVNN chỉ
trao đổi, tiếp nhận thông tin, tài liệu điện tử với đơn vị
được kiểm toán
thông qua hệ
thống CNTT của KTNN, hạn chế tối đa việc sử dụng các dịch vụ truyền
dẫn trực tuyến công cộng của bên thứ ba cung
cấp.
- Khi gửi biên bản xác nhận số liệu và tình
hình kiểm
toán
cho người
có
trách nhiệm
liên
quan của
đơn vị được kiểm toán ký, KTVNN có thể gửi dưới dạng tài liệu điện tử để
ký
số
hoặc gửi bản giấy qua dịch vụ chuyển phát. Với phương
thức kiểm toán
từ
xa, KTVNN không
chứng
kiến trực tiếp việc ký biên bản nên trong mọi trường
hợp, khi KTVNN tiếp nhận lại biên bản đã có đầy đủ chữ ký thì cần kiểm tra
để bảo đảm chữ ký số (nếu có) của đúng người có trách
nhiệm
và
nội
dung biên
bản
không
bị
thay đổi, chỉnh sửa.
3. Lập và thông
qua dự
thảo biên
bản
kiểm toán
Việc lập và thông
qua dự
thảo biên
bản
kiểm toán
có thể
gửi dưới dạng tài liệu điện tử để hoặc gửi bản giấy qua dịch vụ
chuyển phát;
có thể
tổ chức họp trực tuyến hoặc lấy ý kiến bằng văn bản của đơn vị được kiểm
toán
gửi
Tổ kiểm toán
đối
với dự thảo biên
bản
kiểm toán,
làm cơ sở
để hoàn
thiện
biên
bản
kiểm toán.
4. Trong suốt quá trình thực hiện kiểm
toán,
trường
hợp phát
sinh các hành vi vi phạm phải xử phạt vi phạm hành chính trong lĩnh
vực
kiểm toán
nhà nước
(bao gồm trường hợp đơn vị được kiểm toán không ký biên bản kiểm toán sau 02
ngày làm việc kể từ ngày nhận được biên bản kiểm toán có chữ ký của Tổ trưởng
Tổ kiểm toán) thì thực hiện theo quy định tại Quy trình kiểm toán của KTNN. Tuy
nhiên,
do đặc
thù
của
kiểm toán
từ
xa, KTVNN khi xác định hành vi vi phạm cần xem xét các
nguyên nhân khách quan như thất lạc tài liệu khi chuyển
phát
hoặc
phát
sinh sai lệch,
chậm trễ trong cung cấp dữ liệu, trả lời, giải trình do truyền dẫn trên môi trường CNTT…
Điều 9. Lập và gửi báo cáo kiểm toán
1. Lập dự thảo báo cáo kiểm toán
Trong quá trình tập hợp các bằng chứng
kiểm toán,
khi tổ
chức tổng hợp, soát xét bằng chứng kiểm toán, Trưởng Đoàn kiểm toán cần lưu ý một số điểm về
bằng chứng kiểm toán như đã đề cập tại Điều 8 nêu trên.
KTVNN có thể sử dụng các công cụ và ứng dụng như
e-mail, cổng trao đổi thông tin, ứng dụng họp trực
tuyến, các
công cụ
nguồn mở, tăng băng thông hoặc các phần mềm phù hợp... để lập
BCKT. Việc triển khai các giao thức về Tính bảo mật, Tính an
ninh và Bảo
vệ dữ liệu (CSDP) thực thi mã hóa, kiểm soát truy cập và các biện pháp bảo mật khác giúp giảm thiểu rủi
ro vi phạm dữ liệu và hỗ trợ bảo vệ dữ liệu kiểm toán khỏi bị truy
cập hoặc tiết lộ trái phép. Việc ứng dụng các công nghệ thông tin và
truyền
thông
phải
được trình
bày trong BCKT.
2. Gửi lấy ý kiến đối với dự
thảo báo
cáo kiểm
toán
Đơn vị chủ trì cuộc kiểm toán có
trách nhiệm
gửi dự thảo BCKT đã hoàn thiện lấy ý kiến của đơn vị
được kiểm toán
bằng
văn bản hoặc văn bản điện tử (nếu không thuộc trường hợp
thực hiện theo chế độ mật). Dự thảo BCKT chỉ được gửi dưới dạng văn bản
điện tử trong trường hợp đáp ứng các điều kiện theo
quy định của KTNN.
3. Tổ chức thông báo kết quả kiểm
toán
- Việc tổ chức
hội nghị thông
báo kết
quả kiểm toán
có thể
sử dụng hình
thức
họp trực tuyến trên hệ thống CNTT của KTNN.
- Đơn vị chủ trì cuộc kiểm toán cần lưu ý trao đổi, thông tin kịp thời với
đơn vị được kiểm toán để phòng tránh trường hợp đơn vị có gửi ý kiến bằng văn
bản nhưng bị thất lạc khi chuyển phát hoặc bị chậm trễ, lỗi
khi truyền qua hệ thống CNTT.
4. Phát hành báo cáo
kiểm
toán
BCKT có thể phát hành dưới dạng văn
bản hoặc tài
liệu
điện tử (nếu không thuộc trường hợp thực
hiện theo chế độ mật) theo quy định của KTNN.
Điều 10. Theo dõi, kiểm tra việc
thực hiện kết luận, kiến nghị kiểm toán
Khi áp dụng phương
thức kiểm toán
từ
xa, việc theo dõi, kiểm tra thực hiện kết luận, kiến nghị kiểm toán cần lưu ý: Theo
dõi, đôn đốc,
thu thập, tổng hợp thông tin về kết luận, kiến nghị
kiểm toán
và tình hình thực
hiện kết luận, kiến nghị kiểm toán của đơn vị được kiểm toán trên cơ
sở
các
văn bản,
tài
liệu
điện tử được đơn vị được kiểm toán gửi qua các phương thức từ xa như
thư điện tử, gửi fax, chuyển phát bưu gửi hoặc họp trực
tuyến... Tuy nhiên, các phương thức này phải đảm bảo an
toàn
và bảo
mật theo quy định.
Chương III
ĐIỀU
KHOẢN THI HÀNH
Điều 11. Trách nhiệm về kiểm toán từ xa
1. Đơn vị chủ trì cuộc kiểm toán
- Tuân thủ đúng trình
tự,
thủ tục đã
quy định
trong Quy trình
kiểm
toán
của
KTNN và
Hướng
dẫn này
khi tổ
chức các
Đoàn kiểm
toán
theo phương thức
kiểm toán
từ
xa.
- Chịu trách nhiệm trước Tổng
Kiểm toán
nhà nước
về việc truy cập dữ liệu bảo đảm tuân thủ quy định của pháp luật và chịu trách nhiệm bảo vệ bí mật, bảo mật,
an toàn
theo quy định
của pháp
luật.
- Đề xuất các nội dung
nghiệp vụ, các
yêu cầu
cần thiết để xây
dựng,
nâng
cấp
hoặc mở rộng hệ thống CNTT phục vụ cho kiểm toán từ xa.
2. Cục Công nghệ thông tin
- Tiếp nhận, hỗ
trợ kịp thời và
tổng
hợp đề nghị của các đơn vị trực thuộc KTNN trong quá trình thực hiện kiểm
toán
từ
xa để báo
cáo Tổng
Kiểm toán
nhà nước
xem xét,
chỉ
đạo.
- Nghiên cứu, tham
khảo, đề xuất triển khai các giải pháp công nghệ mới, tiên tiến, phù hợp với mục tiêu và yêu
cầu
nghiệp vụ kiểm toán của KTNN đối với hình thức kiểm toán từ xa.
Điều 12. Tổ chức
thực hiện
1. Thủ trưởng các đơn vị trực thuộc
KTNN và
các tổ
chức, cá
nhân có liên quan chịu trách nhiệm thi hành Hướng dẫn này.
2. Trong quá trình thực hiện, nếu
phát
sinh vấn
đề mới hoặc khó
khăn, vướng
mắc cần
phản ánh kịp thời về Vụ Chế độ và Kiểm soát chất lượng kiểm
toán để
tổng hợp, tham mưu Tổng Kiểm toán nhà nước xem xét, chỉ đạo./.
MỘT
SỐ CÔNG CỤ CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TƯƠNG ỨNG VỚI CÁC THỦ TỤC TÌM
HIỂU VỀ ĐƠN VỊ ĐƯỢC KIỂM TOÁN VÀ ĐÁNH GIÁ RỦI RO TỪ XA
|
STT
|
Thủ tục kiểm toán
|
Công cụ kiểm toán
|
|
1
|
Phỏng vấn, xác nhận
|
• Hội nghị từ
xa / cuộc gọi video
• Các ứng dụng
khảo sát
• Thư điện tử
• Cuộc gọi điện
thoại
• Phát trực tiếp
|
|
2
|
Các thủ tục phân tích
|
• Các công
cụ
phân
tích dữ
liệu, như: R, Phyton, Excel, Power Bi, Phần mềm IDEA, ACL, SQL
|
|
3
|
Quan sát
|
• Phát trực tiếp
• Video đã
quay
|
|
4
|
Kiểm tra, đối
chiếu tài
liệu,
bản ghi
|
• Hệ thống ERP
• Cổng thông tin
điện
tử
• Máy tính
để
bàn
từ
xa
• Thư điện tử
• Kết nối dữ
liệu trực tiếp
|
|
5
|
Kiểm tra tài sản
|
• Phát trực tiếp
• Hệ thống thông tin
địa
lý
(GIS)
• Video đã
quay
• Sử dụng máy bay
không người
lái
|
|
6
|
Thực hiện lại
|
• Phát trực tiếp
• Video đã
quay
• Công cụ phân tích
dữ
liệu
• Máy tính
để
bàn
từ
xa
|
|
7
|
Các thủ tục kiểm
toán
khác
|
• Công cụ khám phá
điện
tử pháp
y
|
MỘT
SỐ VÍ DỤ VỀ QUAN SÁT TỪ XA
KTVNN có thể tham khảo
một số ví
dụ
về khó
khăn, vướng
mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi quan
sát từ
xa như:
|
STT
|
Một số khó khăn, vướng mắc
thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Cơ sở hạ tầng
kỹ thuật và
kết
nối kém.
|
- Gián đoạn trong quá trình
quan sát;
- Không có
khả
năng truy cập dữ liệu cần thiết từ xa.
|
- Vấn đề kết
nối;
- Thiếu quyền
truy cập từ xa;
- Mạng
Internet chất lượng thấp ảnh hưởng đến việc phát trực tiếp.
|
- Nâng cấp hạ tầng
kỹ thuật;
- Đầu tư cơ sở
hạ tầng tốt hơn;
- Bảo đảm kết
nối internet mạnh hơn;
- Sử dụng các
phương thức
giao tiếp thay thế;
- Sửa đổi các quy định để cho
phép
truy cập
từ xa.
|
|
2
|
Tương tác hạn chế.
|
- Giảm khả năng
đặt câu
hỏi
tự phát;
- Kiểm toán thiếu chi tiết
và
sâu hơn.
|
- Thiếu tín hiệu phi ngôn ngữ;
- Thiếu tương tác thời gian
thực.
|
- Tổ chức các hội nghị
video chất lượng cao;
- Các cuộc họp trực
tuyến chi tiết;
- Thực hiện các
phương pháp kết
hợp.
|
|
3
|
Các vấn đề về uy
tín
và niềm
tin.
|
Đặt ra các câu hỏi về tính
chính xác và đầy
đủ của các
quy trình quan sát.
|
Nghi ngờ về tính xác
thực
của các
quan sát từ
xa.
|
- Xác minh
chéo bằng
nhiều nguồn;
- Gắn kết thông tin
vị
trí
địa
lý
(GIS).
|
|
4
|
Xác minh vị trí và hoạt động.
|
Khó khăn
trong việc
bảo đảm vị trí/hoạt động chính xác đang được quan sát.
|
Tọa độ không
chính xác hoặc
dàn
dựng/bóp méo
các hình ảnh
hiển thị trong quá trình quan sát.
|
- Sử dụng các công
cụ
gắn kết thông
tin vị
trí
địa
lý;
- Yêu cầu tọa độ
vị trí
chính xác;
- Xác minh
thông qua nhiều
điểm dữ liệu.
|
MỘT
SỐ VÍ DỤ VỀ KIỂM TRA TÀI LIỆU, HỒ SƠ TỪ XA
KTVNN có thể tham khảo
một số ví
dụ
về khó
khăn, vướng
mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi kiểm tra tài liệu, hồ sơ từ
xa như:
|
STT
|
Một số khó khăn, vướng mắc
thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Tài liệu không số hóa.
|
Khó khăn
trong việc
rà
soát các tài liệu
chưa được số hóa.
|
Các đơn vị được kiểm
toán
phụ
thuộc rất nhiều vào các bản cứng có thể gây khó
khăn cho việc
chia sẻ khối lượng lớn tài liệu điện tử.
|
- Yêu cầu đơn vị
được kiểm toán
số
hóa
tài liệu
và
nộp
trực tuyến;
- Cung cấp phần
cứng đặc biệt cho KTVNN;
- Tăng dung
lượng
e-mail.
|
|
2
|
Tính khả dụng của
tài
liệu
(không phải tất cả các tài
liệu
đều có
sẵn
từ xa).
|
Khó khăn
trong việc
liên
kết
các
giao dịch
và
thực
hiện đánh
giá kỹ
lưỡng.
|
Một số đơn
vị được kiểm toán phải đối mặt với các vấn đề về
việc liên
kết
các
giao dịch
do hồ sơ không
đầy
đủ.
|
Tối ưu hóa việc sử dụng
các
công cụ
công
nghệ
thông
tin và truyền
thông
để
trao đổi với các đơn vị được kiểm toán.
|
|
3
|
Thu thập các bộ dữ liệu
lớn từ các
đơn vị
được kiểm toán.
|
Không có khả năng thực
hiện phân
tích toàn diện
do dữ liệu hạn chế.
|
Một số đơn
vị được kiểm toán phải đối mặt với các vấn đề với
việc đánh
giá dữ
liệu lớn.
|
Sử dụng điện
toán
đám mây để
quản lý
và chia sẻ
các
bộ
dữ liệu lớn.
|
|
4
|
Tính xác thực và toàn vẹn của tài liệu.
|
Khó khăn
trong việc
bảo đảm tính
xác thực,
đầy đủ của tài
liệu,
đặc biệt là
với
các
tài liệu
được quét
(scan)
|
KTVNN phải đối mặt
với các
vấn
đề bao gồm xác
minh tính xác thực của tài liệu được quét và bảo đảm tính toàn
vẹn
dữ liệu.
|
- Tăng cường các biện pháp an
ninh;
- Sử dụng máy quét
chất
lượng cao với các tính năng bảo mật;
- Thực hiện
phỏng vấn ảo để làm rõ sự nghi ngờ.
|
|
5
|
Truy cập vào dữ liệu nhạy
cảm.
|
Khó khăn
trong việc
truy cập một số dữ liệu nhất định như dữ liệu cá nhân do lo ngại về quyền
riêng
tư.
|
Có những hạn chế
pháp
lý và sự
phản đối từ các đơn vị được kiểm toán để chia sẻ
dữ liệu nhạy cảm.
|
- Tăng cường các giao
thức
bảo mật để bảo vệ thông tin nhạy cảm;
- Tăng cường các vấn đề về pháp lý,
bao gồm
việc sửa đổi các quy định (nếu có).
|
MỘT
SỐ VÍ DỤ VỀ KIỂM TRA TÀI SẢN TỪ XA
KTVNN có thể tham khảo
một số ví
dụ
về khó
khăn, vướng
mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi kiểm tra tài sản từ xa như:
|
STT
|
Một số khó khăn, vướng mắc
thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Các vấn đề kỹ
thuật với thiết bị và kết nối internet.
|
Sự gián đoạn trong quá trình
kiểm
tra, dẫn đến bằng chứng kiểm toán có chất lượng thấp hơn.
|
Kết nối
internet chất lượng thấp khi đang phát trực tiếp có thể dẫn đến
chất lượng hình
ảnh
thấp hơn.
|
- Tăng cường hạ tầng
kỹ thuật;
- Cung cấp đầy đủ
trang thiết bị;
- Bảo đảm
đường truyền internet ổn định trước khi kiểm tra.
|
|
2
|
Không có khả năng thực
hiện xác
minh thực
tế và
kiểm
tra đột xuất.
|
Giảm độ tin
cậy của bằng chứng kiểm toán liên quan đến tình trạng và sự tồn tại
của tài
sản.
|
Các hạn chế ngăn
chặn kiểm tra đột xuất và xác minh thực tế.
|
- Sử dụng máy bay
không người
lái;
- Sử dụng
thiết bị gắn kết thông tin vị trí địa lý (GIS);
- Yêu cầu KTV nội
bộ của đơn vị được kiểm toán hỗ trợ ghi chép và chứng kiến
việc kiểm tra tài sản do đơn vị được kiểm toán thực hiện.
- Sử dụng
phương pháp
tiếp
cận kiểm toán
kết
hợp.
|
|
3
|
Thiếu quan sát trực tiếp và khó
khăn trong việc
xác
nhận
sự hiện hữu và tình trạng tài sản.
|
Khả năng gia
tăng rủi ro kiểm toán và giảm độ tin cậy của
kết quả kiểm toán.
|
Góc nhìn hạn chế từ các cuộc gọi
video và
hình ảnh
so với kiểm tra trực tiếp.
|
- Yêu cầu hình ảnh và video
chi tiết
từ nhiều góc
độ;
- Duy trì
các kênh thông tin liên lạc rõ ràng;
- Sử dụng
phương pháp
kiểm
toán
kết
hợp
|
MỘT
SỐ VÍ DỤ VỀ PHỎNG VẤN TỪ XA
KTVNN có thể tham khảo
một số ví
dụ
về khó
khăn, vướng
mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi phỏng vấn từ xa
như:
|
STT
|
Một số khó khăn, vướng mắc
thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Các vấn đề về công nghệ.
|
Làm gián đoạn cuộc
phỏng vấn và
gây khó khăn cho việc giao tiếp hiệu quả.
|
- Kết nối
internet không
đáng tin cậy,
chất lượng video/âm thanh kém;
- Vấn đề về
tương thích
phần
mềm;
- Không
quen thuộc
với các
công cụ
hội nghị truyền hình.
|
- Theo dõi
các yêu cầu
thông
tin một
cách
nhất
quán;
- Quy định thời
hạn rõ
ràng;
- Cải thiện kênh
thông tin liên lạc;
- Sắp xếp các cuộc họp trực
tuyến theo lịch trình với các chủ đề được
thông
báo trước;
- Xác định các liên
hệ
chính
để
tạo điều kiện truy cập.
|
|
2
|
Xây dựng mối
quan hệ.
|
Khó thiết lập kết
nối cá
nhân và xây dựng
lòng
tin với
người được phỏng vấn trong cuộc họp trực tuyến so với trực tiếp.
|
Các tín hiệu phi ngôn ngữ và nói nhỏ bị hạn
chế hơn.
|
- Phỏng vấn có cấu trúc;
- Bố trí thêm
thời
gian để thiết lập mối quan hệ và bảo đảm sự riêng tư;
- Lắng nghe tích cực.
|
|
3
|
Mất tập
trung trong quá trình phỏng vấn.
|
Khó có được thông tin
như mong muốn.
|
Người được
phỏng vấn có
thể
dễ bị phân
tâm hơn hoặc
gặp khó
khăn trong việc
tìm
kiếm
một không
gian riêng tư, yên tĩnh để nói chuyện tự do
khi không
ở
trong môi
trường
văn phòng
được
kiểm soát.
|
- Sử dụng nền
tảng hội nghị truyền hình đáng tin cậy với khả năng
chia sẻ màn
hình;
- Yêu cầu đơn vị
được kiểm toán
chuẩn
bị trước hồ sơ;
- Cung cấp hướng
dẫn rõ
ràng và thực
hiện thử nghiệm công nghệ trước.
|
|
4
|
Lưu trữ hồ sơ.
|
- Mất thông tin
quan trọng;
- Thông tin
sai lệch
- Phân tích
không đầy
đủ.
|
Tài liệu hiệu quả
về quy trình
phỏng
vấn từ xa và
ghi lại
các
ghi chú chi tiết
có
thể
yêu
cầu
các
công cụ
và
kỹ
thuật bổ sung.
|
- Thỏa thuận
ghi âm
phiên họp
(nếu được phép);
- Ghi chép
chi tiết
và
tóm tắt
các
điểm
chính;
- Sử dụng phần
mềm ghi chú
kỹ
thuật số hoặc phần mềm ghi âm.
|
|
5
|
Phiên dịch ngôn ngữ cơ thể.
|
- Giải thích sai;
- Thiên vị hoặc mơ
hồ.
|
Có thể khó khăn
hơn để
nhận ra các
tín hiệu
phi ngôn
ngữ
tinh tế và
ngôn ngữ
cơ thể thông
qua nguồn
cấp dữ liệu video.
|
- Cung cấp rõ ràng
hướng
dẫn và
thử
nghiệm công
nghệ
trước;
- Bố trí thêm
thời
gian để thiết lập mối quan hệ và bảo đảm quyền riêng tư.
|
|
6
|
Mối quan tâm về tính bảo mật và tính
an ninh.
|
Nguy cơ vi
phạm
dữ liệu và
truy cập
trái
phép, có khả
năng xâm
phạm
thông
tin nhạy
cảm.
|
Đơn vị được kiểm
toán
áp dụng
cài
đặt
bảo mật.
|
- Đánh giá
tính bảo
mật của các
nền
tảng;
- Xây dựng chính
sách/hướng
dẫn kỹ thuật để sử dụng an toàn các công cụ kiểm toán từ xa;
- Xây dựng bảng câu hỏi để đánh giá
rủi
ro và
xác định
biện pháp
xử
lý
thích hợp.
|
MỘT
SỐ VÍ DỤ VỀ XÁC NHẬN TỪ XA
KTVNN có thể tham khảo
một số ví
dụ
về khó
khăn, vướng
mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi xác
nhận
từ xa như:
|
STT
|
Một số khó khăn, vướng mắc
thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Truy cập vào dữ liệu nhạy
cảm.
|
Quy trình
xác nhận
những vấn đề trở ngại.
|
Khó có được thông tin
liên hệ
chính
xác để
gửi xác
nhận.
|
Thực hiện
thỏa thuận bảo mật với đơn vị được kiểm toán.
|
|
2
|
Công nghệ và cơ sở hạ tầng
không
đầy
đủ.
|
Khó khăn
trong việc
xác
nhận
từ xa.
|
Bên thứ ba định
vị ở vùng
sâu vùng xa.
|
Thực hiện các
phương pháp thay thế.
|
|
3
|
Xác minh
chính xác danh tính của người nhận.
|
Mối quan tâm về tính xác
thực.
|
Khó khăn trong
việc
xác
minh danh tính của bên thứ ba.
|
- Sử dụng nền
tảng trực tuyến an toàn;
- Theo dõi
các yêu cầu
xác
nhận
kịp thời.
|
|
4
|
Thiếu quyền
truy cập vào
các tài liệu
gốc.
|
Mối quan tâm về tính hợp lệ của tài liệu.
|
Phụ thuộc vào bản scan
hoặc chữ ký
điện
tử.
|
- Sử dụng nền
tảng chứng từ điện tử an toàn;
- Sử dụng chữ
ký
số
có
cơ chế
xác
thực
mạnh;
- Thực hiện
kiểm tra tính
hợp
lệ.
|
|
5
|
Tính kịp thời của
phản hồi.
|
Hoàn thành
chậm
hơn thời gian hạn định.
|
Sự chậm trễ
trong việc nhận phản hồi xác nhận.
|
- Theo dõi
nhất
quán
các yêu cầu
thông
tin;
- Quy định thời
hạn rõ
ràng;
- Cải thiện kênh
thông tin liên lạc;
|
|
6
|
Các vấn đề liên quan
đến
CSDP.
|
Các vi phạm tiềm ẩn
về tính
bảo
mật, tính
an ninh và bảo
vệ dữ liệu.
|
Các tác
nhân độc
hại chặn thông
tin liên lạc
giữa KTVNN và
đơn vị
được kiểm toán
dẫn
đến vi phạm dữ liệu.
|
- Sử dụng VPN;
- Sử dụng mã hóa;
- Sử dụng các
phương thức
truyền dữ liệu an toàn;
- Cung cấp đào tạo liên quan
cho nhân viên.
|
MỘT
SỐ VÍ DỤ VỀ THỰC HIỆN LẠI TỪ XA
KTVNN có thể tham khảo
một số ví
dụ
về khó
khăn, vướng
mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi thực hiện lại
từ xa như:
|
STT
|
Một số khó khăn, vướng mắc
thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Truy cập hạn chế
vào
hệ
thống và
dữ
liệu của đơn vị được kiểm toán.
|
Bằng chứng
kiểm toán
không đầy
đủ.
|
Hệ thống tài chính
không thể
tiếp cận.
|
- Yêu cầu tài liệu chi tiết
và
ảnh
chụp màn
hình của
các
giao dịch
và
kiểm
soát
ban đầu;
- Sử dụng các công
cụ
truy cập từ xa để truy cập có kiểm soát vào hệ thống của
đơn vị được kiểm toán;
- Duy trì
các kênh thông tin liên lạc rõ ràng;
|
|
2
|
Vấn đề kỹ
thuật.
|
Quá trình
kiểm
toán
bị
gián
đoạn.
|
Kết nối kém trong
quá trình thực
hiện lại từ xa.
|
Bảo đảm cơ
sở hạ tầng kỹ thuật tốt.
|
|
3
|
Bảo đảm tính xác
thực
và
toàn vẹn
dữ liệu.
|
Mối quan tâm về tính
chính xác và toàn vẹn của dữ liệu.
|
Khó khăn
trong việc
xác
minh các báo cáo được tổng hợp mang tính hệ thống.
|
- Sử dụng/hợp
tác
với
kiểm toán
nội
bộ của đơn vị được kiểm toán;
- Sử dụng các công
cụ
phân
tích dữ
liệu.
|
|
4
|
Không đủ kiến thức
về kỹ thuật.
|
Quá trình bị gián đoạn.
|
Không thể vận hành một số công cụ kiểm toán nhất định.
|
Mời hoặc thuê các kỹ thuật viên và
chuyên gia nếu
cần thiết.
|
|
5
|
Vấn đề giao
tiếp và
phối
hợp.
|
Hiểu không đúng
và chậm
trễ.
|
Thiếu sự phối
hợp giữa các
KTVNN và đơn vị
được kiểm toán.
|
Duy trì các
kênh và giao thức
liên
lạc
rõ
ràng.
|
MỘT
SỐ VÍ DỤ VỀ THỦ TỤC PHÂN TÍCH TỪ XA
KTVNN có thể tham khảo
một số ví
dụ
về khó
khăn, vướng
mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi thực hiện thủ
tục phân
tích từ
xa như:
|
STT
|
Một số khó khăn, vướng mắc
thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Thiếu quyền
truy cập từ xa.
|
Không có khả năng thực
hiện phân
tích dữ
liệu theo thời gian thực, tăng rủi ro kiểm toán và khả năng
thiếu thông
tin quan trọng.
|
Đoàn kiểm toán bị hạn chế
trong việc truy cập cơ sở dữ liệu của các đơn vị được kiểm
toán
từ
xa.
|
- Sử dụng các giao
thức
an toàn,
chẳng
hạn như VPN;
- Thỏa thuận chính thức với đơn
vị được kiểm toán để chia sẻ dữ liệu từ xa.
|
|
2
|
Dữ liệu không được số hóa.
|
Khó khăn
trong việc
thực hiện phân
tích.
|
Các đơn vị được kiểm
toán
phụ
thuộc rất nhiều vào các bản cứng, gây khó khăn cho việc chia sẻ
khối lượng lớn tài liệu điện tử.
|
Thông báo
trước
cho đơn vị được kiểm toán để cung cấp số liệu, tài liệu dưới
dạng số hóa.
|
|
3
|
Mối quan tâm về tính toàn
vẹn
và
độ
tin cậy của dữ liệu.
|
Rủi ro sử
dụng dữ liệu không chính xác hoặc không đầy đủ, lỗi
kiểm toán
tiềm
ẩn và
diễn
giải không
chính xác.
|
Sự cố với dữ
liệu được cung cấp ở các định dạng khác nhau hoặc bộ dữ
liệu không
đầy
đủ.
|
- Áp dụng kỹ
thuật xác
thực
dữ liệu;
- Tham chiếu chéo với dữ liệu
của bên
thứ
ba;
- Sử dụng các
phương thức
truyền dữ liệu an toàn;
- Yêu cầu tài liệu gốc nếu
có
thể.
|
|
4
|
Hiểu biết hạn
chế về các
hệ
thống phức tạp.
|
Khó khăn
trong việc
phân
tích dữ
liệu một cách
chính xác, tăng nguy cơ diễn giải không chính xác và khả năng kiểm
toán
kém hiệu
quả.
|
Những thách thức đối với
KTVNN trong việc hiểu rõ các hệ thống phức tạp
của đơn vị được kiểm toán.
|
- Tổ chức đào tạo chuyên môn đặc thù cho
KTVNN;
- Bảo đảm tài liệu hệ thống
chi tiết từ đơn vị được kiểm toán;
- Sử dụng các công
cụ
phân
tích dữ
liệu nâng
cao.
|
|
5
|
Tính bảo mật và tính
an ninh dữ
liệu.
|
Nguy cơ vi
phạm
dữ liệu, xâm
phạm
thông
tin nhạy
cảm và
các vấn
đề mang tính
pháp lý.
|
Truy cập trái phép
vào tài liệu
kiểm toán
trong quá trình chuyển giao hoặc lưu trữ.
|
- Sử dụng mã hóa;
- Sử dụng hệ
thống chia sẻ tệp an toàn;
- Tuân thủ quy định
bảo vệ dữ liệu.
|
MỘT
SỐ VÍ DỤ VỀ THỬ NGHIỆM XUYÊN SUỐT TỪ XA
KTVNN có thể tham khảo
một số ví
dụ
về khó
khăn, vướng
mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi thử nghiệm xuyên suốt từ xa như:
|
STT
|
Một số khó khăn, vướng mắc
thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Quyền truy cập
hạn chế vào
hệ
thống của đơn vị được kiểm toán.
|
Sự gián đoạn trong quá trình
kiểm
toán.
|
Các đơn vị được kiểm
toán
đã hạn
chế quyền truy cập vào hệ thống của họ.
|
Thỏa thuận chính thức với đơn
vị được kiểm toán để chia sẻ dữ liệu từ xa.
|
|
2
|
Vấn đề về kỹ
thuật.
|
Sự gián đoạn trong quá trình
kiểm
toán.
|
Kết nối
internet chất lượng thấp ảnh hưởng đến chất lượng hình ảnh.
|
- Thực hiện
kiểm tra kết nối trước khi kiểm toán;
- Bảo đảm
đường truyền internet ổn định.
|
|
3
|
Mối quan tâm về tính xác
thực
và
tính toàn vẹn.
|
Khó khăn
trong việc
bảo đảm tính
xác thực,
đầy đủ của tài
liệu,
đặc biệt là
với
các
tài liệu
được quét
(scan)
|
KTVNN lo ngại về tính xác
thực
của dữ liệu.
|
- Thực hiện các
phương pháp xác minh hiệu quả;
- Yêu cầu chứng cứ
hỗ trợ thông
qua nhiều
kênh.
|
|
4
|
Xác minh vị trí.
|
Khó khăn
trong việc
xác
nhận
cổng thông
tin và tài liệu
chính
xác.
|
Các vấn đề liên quan
đến
việc xác
minh vị
trí.
|
- Sử dụng các công
cụ
như Google Maps để xác minh chéo;
- Yêu cầu thông tin
vị
trí
chi tiết
từ đơn vị được kiểm toán.
|
MỘT
SỐ CÔNG CỤ CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG HỖ TRỢ CHO GIAI ĐOẠN THỰC HIỆN
KIỂM TOÁN TỪ XA
Một số công cụ công nghệ thông tin và
truyền
thông
có thể
sử dụng để hỗ trợ cho giai đoạn thực hiện kiểm toán từ xa như:
|
STT
|
Công cụ công nghệ thông tin
và truyền
thông
|
Các ví dụ
|
|
1
|
Dụng cụ kiểm
tra trên
không
|
Máy bay
không người
lái
|
|
2
|
Chia sẻ vị trí
|
Ứng dụng
GIS, Gắn kết thông tin về vị trí địa lý trên
smartphone
|
|
3
|
Các công cụ họp video
|
Zoom,
Microsoft Teams, Skype, Cisco, WebEx, Google Meet…
|
|
4
|
Các công cụ phân tích
dữ
liệu
|
Qlik Sense,
ACL Analytics, IDEA, SQL, Tableua, các phần mềm xây dựng cho các mục đích cụ thể (như:
AUTOCAD, ETABS, ARCHICAD để phân tích cơ sở hạ tầng).
|
|
5
|
Các công cụ giám sát
|
Camera quan
sát, camera 3600…
|
|
6
|
Các công cụ quản lý tài liệu
|
Google
Drive, OneDrive, Dropbox…
|
|
7
|
Phần mềm máy tính
từ
xa
|
TeamViewer,
AnyDesk…
|
|
8
|
Nền tảng chữ
ký
điện
tử
|
DocuSign,
Adobe Sign…
|
|
9
|
Phần mềm quản lý kiểm toán
|
Hệ thống thông tin
quản
lý
kiểm
toán
|
|
10
|
Mạng riêng ảo
|
VPN
|
|
11
|
Công cụ mã hóa dữ liệu
|
Quản lý hệ thống của
KTNN kết hợp mã hóa và phát hiện giả mạo
|
|
12
|
Giải pháp lưu
trữ
đám
mây
|
Công nghệ đám mây của KTNN
|