|
KIỂM TOÁN NHÀ
NƯỚC
-------
|
CỘNG HÒA
XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 243/QĐ-KTNN
|
Hà Nội, ngày 21 tháng 02 năm
2025
|
QUYẾT
ĐỊNH
BAN HÀNH HƯỚNG DẪN KIỂM TOÁN TỪ XA
TỔNG
KIỂM TOÁN NHÀ NƯỚC
Căn cứ Luật Kiểm toán nhà nước ngày 24 tháng 6 năm 2015
và Luật sửa đổi, bổ sung một số điều của Luật
Kiểm toán nhà nước ngày 26 tháng 11 năm 2019;
Căn cứ Quyết
định số 08/2024/QĐ-KTNN ngày 15 tháng 11 năm
2024 của Tổng Kiểm toán nhà nước về việc ban hành Hệ thống chuẩn mực kiểm toán
nhà nước;
Theo đề nghị của Vụ
trưởng Vụ Chế độ và
Kiểm
soát
chất
lượng kiểm toán.
QUYẾT
ĐỊNH:
Điều 1. Ban
hành kèm theo Quyết định này Hướng dẫn kiểm toán từ xa.
Điều 2. Quyết
định này có hiệu lực thi hành kể từ ngày ký.
Điều 3. Thủ
trưởng các đơn vị trực thuộc Kiểm toán nhà nước và các tổ chức, cá nhân có liên
quan chịu trách nhiệm thi hành Quyết định này./.
|
Nơi nhận:
-
Như Điều
3;
-
Lãnh đạo
KTNN;
-
Các đơn vị
trực thuộc KTNN;
-
Lưu: VT, CĐ (02).
|
TỔNG KIỂM TOÁN
NHÀ
NƯỚC
Ngô Văn Tuấn
|
HƯỚNG
DẪN
KIỂM TOÁN TỪ XA
(Kèm
theo Quyết
định số 243/QĐ-KTNN ngày 21 tháng 02 năm 2025 của Tổng Kiểm toán nhà nước)
Chương
I
NHỮNG QUY ĐỊNH CHUNG
Điều
1. Phạm vi điều chỉnh
1. Hướng dẫn này được xây dựng trên cơ sở quy định của Luật Kiểm toán nhà nước (KTNN), Hệ thống
chuẩn mực kiểm toán
nhà nước
(CMKTNN), Quy trình
kiểm
toán của KTNN, các văn bản khác có liên quan, các
thông lệ
tốt của quốc tế và
thực
tiễn hoạt động kiểm toán
của
KTNN.
2. Hướng dẫn này áp dụng chung cho
tất cả các
loại
hình kiểm toán của KTNN và có thể áp dụng cho một
cuộc kiểm toán
từ
xa toàn diện hoặc kiểm toán từ xa một phần (một
số nội dung kiểm toán).
3. Trường hợp phát sinh ngoài quy định của Hướng
dẫn này,
Trưởng
Đoàn kiểm toán, Tổ trưởng Tổ
kiểm toán
phải
báo cáo cấp có thẩm quyền theo
quy định của KTNN.
Điều
2. Đối tượng áp dụng
Hướng dẫn này áp dụng đối với:
1. Các đơn vị trực thuộc
KTNN được giao nhiệm vụ chủ trì thực hiện các cuộc kiểm toán, kiểm tra, thanh tra, giám sát, kiểm soát chất lượng kiểm
toán;
2. Các Đoàn kiểm
toán của KTNN (gọi tắt là Đoàn kiểm toán), kiểm toán viên nhà nước và thành viên không phải kiểm toán viên nhà nước tham gia
hoạt động kiểm toán
(gọi
tắt là
KTVNN);
3. Các tổ chức, cá nhân được ủy thác hoặc thuê thực hiện kiểm toán;
4. Đơn vị được kiểm toán;
5. Các cơ quan, tổ
chức, cá nhân khác có liên quan đến hoạt động kiểm toán từ xa.
Điều
3. Mục đích ban hành
1. Tăng cường ứng dụng công nghệ thông tin (CNTT)
vào hoạt
động kiểm toán
của
KTNN và từng bước phát triển hoạt động
kiểm toán
trong môi trường
số.
2. Bảo đảm tính thống nhất trong
việc tổ chức, thực hiện kiểm toán từ xa và là cơ sở cho hoạt động kiểm tra, thanh tra,
kiểm soát
chất
lượng kiểm toán
đối
với kiểm toán
từ
xa.
Điều 4. Giải
thích từ ngữ
Trong Hướng dẫn này, các thuật ngữ dưới đây được hiểu như
sau:
1. Kiểm toán từ xa là phương thức mà KTVNN ứng dụng công nghệ thông tin và truyền thông tương tác với đơn vị được
kiểm toán
để
thu thập bằng chứng kiểm toán điện tử, làm cơ sở đưa ra ý kiến kiểm toán mà không phụ thuộc vào vị trí làm việc của KTVNN.
2. Dữ liệu điện tử là dữ liệu (ký hiệu, chữ viết,
chữ số, hình
ảnh,
âm
thanh hoặc
dạng tương tự) được tạo ra, xử lý, lưu trữ bằng phương tiện điện tử. Dữ liệu điện
tử được thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thông, trên đường truyền và các nguồn điện tử khác.
3. Số hóa dữ liệu là quá trình chuyển đổi các thông tin dưới dạng vật lý và các quy trình thủ công sang định dạng kỹ
thuật số.
4. Văn bản điện tử là văn bản dưới dạng thông điệp dữ liệu được
tạo lập hoặc được số hóa
từ
văn bản giấy và
trình bày đúng thể
thức, kỹ thuật, định dạng theo quy định.
5. Tài liệu điện tử là các tài liệu được tạo lập
để lưu trữ hoặc được số hóa
từ
tài liệu lưu trữ bằng
phương tiện điện tử.
6. Bằng chứng kiểm
toán
điện
tử
là văn bản điện tử, tài liệu điện tử do
KTVNN thu thập được liên
quan đến
cuộc kiểm toán,
làm cơ sở
cho việc đánh
giá, xác nhận
và kiến nghị kiểm toán.
7. Trí tuệ nhân tạo (AI) là hệ thống máy tính hoặc phần mềm có khả năng mô phỏng các hành vi và suy nghĩ
của
con người; bao gồm nhận thức, học hỏi, ra quyết định, giải quyết vấn đề và hỗ trợ con người
trong khi thực hiện các
nhiệm
vụ.
Điều 5. Một số
vấn đề chung về kiểm toán từ xa
1. Các dạng kiểm toán từ xa
Dựa vào trình độ CNTT và khả năng ứng dụng
các công cụ kiểm toán từ xa của KTVNN
và đơn vị được kiểm toán, có thể chia thành kiểm toán từ xa một phần và kiểm toán từ xa toàn diện (xem hình minh họa).
Ghi chú: ICTs (Information
and Communication Technology) là các công cụ công nghệ thông tin và truyền thông; CAATs (Computer
Assisted Audit Techniques) là các kỹ thuật máy tính hỗ trợ kiểm toán.
a) Kiểm toán từ xa một phần:
Được hiểu là
việc
sử dụng công
nghệ
hỗ trợ cho kiểm toán
từ
xa đối với một số nội dung công việc mà không phải tất cả công việc kiểm toán của cuộc kiểm toán; các nội dung khác không thực hiện được
kiểm toán
từ
xa thì thực hiện kiểm toán trực tiếp tại đơn
vị để đạt được mục tiêu
của
cuộc kiểm toán.
Kiểm
toán từ xa một phần yêu cầu việc số hóa dữ liệu trước
khi các
tài liệu
này được trao đổi
giữa KTVNN và
đơn vị
được kiểm toán.
b) Kiểm toán từ xa toàn diện: Tất cả các hoạt động kiểm toán của cuộc kiểm toán đều được thực
hiện từ xa và
liên quan đến
việc sử dụng các
dạng
công nghệ khác nhau. Dữ liệu điện tử
có thể được thu thập
thông qua
rất
nhiều kênh.
2. Các công cụ kiểm toán từ xa
Thông thường KTVNN có thể sử dụng các công cụ sau đây để thực hiện các bước của quy trình kiểm toán từ xa:
a) Các tài liệu an toàn trao đổi trên các nền tảng để giúp KTVNN và đơn vị được kiểm toán chia sẻ tài liệu và dữ liệu; những
nền tảng này
có thể
bật chế độ hợp tác,
kiểm
soát phiên
bản
và kiểm soát truy cập (ví dụ: ShareFile,
Box và
Google Drive…).
b) Các công cụ phân tích dữ liệu và trực quan hóa dữ liệu có thể được sử dụng
để nhận diện xu thế và
sự
bất thường đồng thời tạo ra bảng điều khiển tương tác để hiểu rõ hơn và trao đổi các phát hiện kiểm toán (ví dụ: Các phần mềm Mircrosoft
Power BI, Tableau và IBM Cognos Analytics...).
c) Công cụ đánh giá rủi ro và lập kế hoạch
kiểm toán (KHKT)
có thể
giúp KTVNN
đánh giá rủi
ro, ưu tiên
các vùng kiểm
toán và lập KHKT dựa trên rủi ro và các ưu tiên đã xác định (ví dụ: Các phần mềm ACL, GRC,
Galvanize HighBond và IDEA…).
d) Công cụ quản lý kiểm toán và quy trình làm việc (ví dụ: TeamMate+,
AuditBoard...) có
thể
giúp quản lý toàn bộ quy trình kiểm toán, từ lập kế hoạch
đến lập báo
cáo kiểm
toán (BCKT).
Các công cụ
này có thể cung cấp kho
dữ liệu trung tâm
về
hồ sơ kiểm toán,
tài liệu
làm việc và các phát hiện kiểm toán, tạo điều kiện
cho việc phối hợp và
trao đổi
thông tin
giữa
các thành
viên trong Đoàn kiểm toán.
đ) Nền tảng họp
video cho phép
KTVNN thực
hiện các
cuộc
phỏng vấn, các
cuộc
họp và các
trao đổi,
thảo luận từ xa với đơn vị được kiểm toán và các bên liên quan; duy trì sự trao đổi hiệu
quả trong suốt quá
trình kiểm
toán (ví
dụ:
Zoom, Microsoft Team và Cisco Webex Meeting và các công cụ ghi âm, ghi hình…).
e) Các công cụ chia sẻ màn hình và màn hình nền từ xa có thể giúp KTVNN truy cập và đánh giá hệ thống và các ứng dụng CNTT
của đơn vị được kiểm toán;
đánh giá hệ
thống kiểm soát,
an ninh nội
bộ và tính
toàn vẹn
của dữ liệu (ví
dụ:
TeamViewer, AnyDesk và Remote Desktop Connection…).
g) Các công cụ thu thập bằng
chứng kiểm toán
điện
tử có thể giúp KTVNN thu thập và quản lý các chữ ký điện tử và duy trì bằng chứng kiểm
toán một cách an toàn (ví dụ: Adobe
Acrobat, DocuSign và Google Earth…).
h) Các công cụ nhắn tin và phối hợp an toàn có thể cung cấp sự
an toàn và
các phương tiện
hiệu quả cho việc trao đổi thông tin và phối hợp giữa các thành viên của Đoàn kiểm toán (ví dụ: Slack,
Microsoft Teams và
WhatsApp…).
i) Các công cụ kiểm toán và kiểm soát thường xuyên giúp phân tích và kiểm soát các giao dịch nghiệp vụ
kinh tế và
các chỉ
số hoạt động một cách
thường
xuyên liên
tục
theo thời gian thực cho phép KTVNN đưa ra các ý kiến phản hồi và kiến nghị kịp
thời (ví
dụ:
Các
phần
mềm như ACL Analytics và Arbutus Analyzer…).
k) Công cụ trí tuệ nhân tạo (AI)
cũng có thể được sử dụng
trong các
giai đoạn
của cuộc kiểm toán
khi điều
kiện cho phép
nhằm
hỗ trợ KTVNN trong việc phát hiện gian lận tài chính qua dữ liệu bất thường; xác minh tính xác thực của video,
giọng nói;
kiểm
tra tính
nhất
quán của tài liệu và thư điện tử; phát hiện các mẫu dữ liệu bất
thường trong giao dịch… (ví dụ: Máy học, học sâu, tự động hóa quy trình bằng robot, xử lý ngôn ngữ tự nhiên, các phần mềm như:
Forensic Accounting AI, Blockchain, Deepfake Detection AI, Natural Languge
Processing, AI-driven anomaly detection…).
l) Các công cụ an toàn và hiệu quả khác.
3. Rủi ro đối với
kiểm toán
từ
xa
a) Tính xác thực của bằng
chứng: Các
vấn
đề về bóp
méo dữ
liệu và
tính không rõ ràng của dữ liệu có thể phát sinh trong môi trường từ xa; việc xác định danh tính của người dùng không trực tiếp gặp mặt
có thể làm tăng nguy cơ thao
túng thông tin hoặc
thông tin
giả
mạo. Các
tài liệu
và video
có thể
bị điều chỉnh theo hướng tiêu cực và dẫn đến gian lận. Do đó, mức độ sẵn có về công nghệ thông tin và truyền thông cũng như cơ chế vận hành an ninh dữ liệu đóng vai trò đặc biệt quan
trọng trong việc giảm thiểu các vấn đề này.
b) Vấn đề an ninh:
Kiểm toán
từ
xa liên
quan đến
các hoạt động kiểm toán trực tuyến và trao đổi dữ liệu số hóa. Do đó, việc xem xét vấn đề an ninh
đối với việc truy cập và
lưu trữ
dữ liệu là
rất
quan trọng. Để giải quyết vấn đề này, KTVNN và đơn vị được kiểm toán cần chính thức hóa việc giao thức
mạng và thống nhất cam
kết đối với Tính
bảo
mật, Tính
an ninh và Bảo
vệ dữ liệu (CSDP).
c) Tầm nhìn hạn chế: Khi
thực hiện cuộc kiểm toán
từ
xa, khả năng quan sát
thực
tế các hoạt động, quy trình và tài liệu của đơn vị
được kiểm toán
là rất
hạn chế. Hạn chế này
có thể
dẫn đến các
lỗi,
sự không
chính xác hay khả
năng gian lận mà
nếu
thực hiện kiểm toán
trực
tiếp tại đơn vị có
thể
dễ dàng
phát hiện
được.
d) Các thách thức về truyền thông: Thông tin thu thập được thông qua sự tương tác giữa người với người
thường phức tạp và
có sự
khác biệt về thái độ, mức độ biểu
cảm…, tuy nhiên
điều này
không được
thể hiện rõ
ràng trong môi trường kiểm toán từ xa. Việc trao đổi hạn chế giữa KTVNN và đơn vị được kiểm toán có thể dẫn đến BCKT
không đáng
tin cậy,
không chính
xác hoặc
không đầy đủ.
đ) Các vấn đề về công nghệ: Kiểm toán từ xa hoàn toàn phụ thuộc vào công nghệ bao gồm phần
mềm họp video, nền tảng chia sẻ dữ liệu (đặc biệt dữ liệu có dung lượng lớn) và kết nối
internet. Các
vấn
đề kỹ thuật có
thể
cản trở quá
trình kiểm
toán, dẫn đến sự chậm
trễ hoặc thiếu chính
xác của
các phát
hiện
kiểm toán (ví
dụ:
Lỗi mạng, lỗi máy
tính hoặc
sự cố thiết bị).
4. Một số điều kiện
thực hiện cuộc kiểm toán
từ
xa
a) Điều kiện về công nghệ
- Hạ tầng công nghệ thông tin và truyền thông và các công cụ hỗ trợ: Cả
KTNN và
đơn vị
được kiểm toán
cần
có hệ thống CNTT phù hợp và đáp ứng yêu cầu, bao gồm máy tính, phần mềm và kết nối internet
ổn định.
- Tính bảo mật, tính an ninh và bảo vệ dữ liệu (CSDP):
Cần có các
biện
pháp bảo mật dữ liệu,
mã hóa
thông tin để
tránh rò rỉ hoặc mất mát dữ liệu trong quá trình thực hiện kiểm toán từ xa.
b) Điều kiện về pháp lý
Tuân thủ quy định pháp luật hiện hành, đặc biệt là quy định về tính an toàn và bảo mật dữ liệu.
c) Điều kiện về con
người
- KTVNN phải có kỹ năng sử dụng
công nghệ, hiểu biết về
phần mềm và
cách thức
kiểm toán
từ
xa.
- Đơn vị được kiểm toán cần có đội ngũ nhân sự hỗ trợ, sẵn sàng cung cấp, trao đổi thông tin và giải trình trong quá trình kiểm toán.
c) Điều kiện về dữ
liệu
- Sẵn sàng dữ liệu số: Đơn
vị được kiểm toán
cần
chuyển đổi dữ liệu từ dạng giấy sang dạng số hóa để dễ dàng chia sẻ và xử lý.
- Chất lượng dữ
liệu: Dữ liệu phải đầy đủ, chính xác và có khả năng truy xuất nhanh chóng khi được yêu cầu.
d) Trình tự, thủ tục kiểm
toán rõ
ràng
- Trình tự, thủ tục kiểm
toán từ xa cần được xác định rõ ràng tại KHKT, gồm các bước công việc, thời gian
thực hiện và
các công cụ
hỗ trợ…
- KTVNN và đơn vị được kiểm toán cần duy trì liên lạc thường xuyên, kịp thời để xử lý các vấn đề phát sinh.
5. Kiểm soát chất lượng của
cuộc kiểm toán
từ
xa
Kiểm soát chất lượng kiểm
toán từ xa tập trung
bảo đảm rằng các
yêu cầu
về chất lượng và
tính tuân thủ
được đáp ứng khi cuộc
kiểm toán
được
thực hiện từ xa; đặc biệt phải kiểm soát được chất lượng của việc thiết lập hệ
thống để bảo đảm tính
bảo
mật, tính
an ninh và bảo
vệ dữ liệu (CSDP) phục vụ cho kiểm toán từ xa.
Điều 6. Yêu cầu
đối với các đơn vị trực thuộc và các Đoàn kiểm toán
Khi tổ chức thực
hiện kiểm toán
hoạt
động từ xa, các
đơn vị
trực thuộc và
các Đoàn kiểm
toán phải tuân thủ Luật KTNN, các quy định pháp luật hiện hành, quy định của cấp có thẩm quyền về
kiểm soát
quyền
lực, phòng,
chống
tham nhũng, lãng
phí, tiêu cực,
Hệ thống CMKTNN, Quy trình
kiểm
toán của KTNN, Quy
chế tổ chức và
hoạt
động của Đoàn
KTNN, Quy chế
Kiểm soát
chất
lượng kiểm toán,
các quy định
khác của KTNN có liên quan và các quy
định
tại Hướng dẫn này.
Chương
II
NHỮNG QUY ĐỊNH CỤ THỂ
Tuân thủ Quy trình kiểm toán của KTNN, Hệ
thống CMKTNN, các
hướng
dẫn kiểm toán
đối
với từng lĩnh vực kiểm toán
và các văn bản
khác có
liên quan của
KTNN; trong đó
lưu ý một
số vấn đề dưới đây:
Điều 7. Chuẩn
bị kiểm toán
1. Khảo sát, thu thập thông tin
Khảo sát, thu thập thông tin từ xa là việc thu thập các tài liệu số hóa, dữ liệu lưu trữ
tại KTNN; khai thác
bằng
CNTT từ xa trên
dữ
liệu điện tử của đơn vị được kiểm toán, cơ quan, tổ chức, cá nhân có liên quan và
báo cáo của
đơn vị. Trong đó
lưu ý thông tin từ
bên trong
và bên ngoài đơn vị được kiểm toán có thể thực hiện thông qua các phương pháp
thu thập
thông tin
sau:
- Đánh giá của các lần kiểm toán trước;
- Nghiên cứu các tài liệu lưu trữ của
KTNN liên
quan đến
đơn vị được kiểm toán
(nếu
có);
- Đề nghị đơn vị
được kiểm toán
và cơ quan, tổ
chức, cá
nhân có liên quan đến cuộc kiểm toán báo cáo bằng văn bản, cung cấp các thông tin, tài liệu (gửi qua
các
phương thức
như thư điện tử, gửi fax, chuyển phát bưu gửi...);
- Tìm hiểu về môi trường và các hoạt động kiểm soát của đơn vị được
kiểm toán
thông qua việc
sử dụng ứng dụng phân
tích dữ
liệu lớn bao gồm dữ liệu nội bộ và bên ngoài.
- Khai thác thông tin
có liên quan đến
đơn vị được kiểm toán
trên các phương tiện thông
tin đại
chúng;
- Trao đổi, phỏng vấn lãnh đạo, nhân viên và những người có liên quan của đơn vị để
thu thập thông
tin (có thể sử dụng bảng câu hỏi, thông qua các kênh liên lạc như họp trực
tuyến, cổng trao đổi thông tin, công cụ chia sẻ tài liệu...);
- Trao đổi với các cơ quan quản lý chuyên ngành, cơ quan
quản
lý nhà nước cấp trên trực tiếp của đơn
vị được kiểm toán
(thông qua các kênh liên lạc như họp trực tuyến, cổng trao đổi thông tin, công cụ chia sẻ tài liệu...);
- Truy cập vào cơ sở dữ liệu quốc
gia và dữ liệu điện tử
của đơn vị được kiểm toán,
của
cơ quan, tổ chức, cá
nhân có liên quan đến hoạt động kiểm toán để khai thác, thu thập thông tin, tài liệu liên quan trực tiếp đến nội
dung, phạm vi kiểm toán
(việc
truy cập dữ liệu phải tuân thủ quy định của pháp luật và chịu trách nhiệm bảo vệ bí mật, bảo mật, an
toàn
theo quy định
của pháp
luật).
- Các phương pháp khác (nếu phù hợp).
2. Lập kế hoạch
kiểm toán
tổng
quát
a) Đánh giá rủi ro
- Đánh giá rủi ro tiềm tàng
+ Rủi ro về tính phức tạp của các giao dịch: Các giao dịch phức tạp
của đơn vị được kiểm toán
thường
khó áp dụng phương thức
kiểm toán
từ
xa hơn kiểm toán
trực
tiếp tại đơn vị; do đó,
làm tăng nguy cơ KTVNN không phát hiện được các giao dịch bất thường của đơn vị được kiểm toán.
+ Rủi ro kiểm toán lần đầu: Đối với
các đơn vị được kiểm toán lần đầu, KTVNN
sẽ gặp khó
khăn hơn khi truy cập vào
các ứng
dụng của đơn vị được kiểm toán để thu thập thông tin và đánh giá thông tin.
+ Rủi ro về tính chính trực của lãnh đạo đơn vị được
kiểm toán:
Việc
thiếu tương tác
trực
tiếp với lãnh
đạo
đơn vị được kiểm toán
và không có khả
năng quan sát
trực
tiếp tại đơn vị có
thể
gây khó
khăn cho KTVNN trong việc thu thập thông tin và đánh giá tính chính trực của lãnh đạo đơn vị được
kiểm toán.
- Đánh giá rủi ro kiểm soát: KTVNN có thể gặp khó khăn trong việc đánh giá tính hữu hiệu của các hoạt động kiểm soát nội bộ nhất là việc đánh giá sự phân công, phân nhiệm trong tổ
chức bộ máy
của
đơn vị được kiểm toán.
- Đánh giá rủi ro do gian
lận
+ Thao túng dữ liệu: Rủi ro
có thể phát sinh từ việc thay đổi
trái phép
hồ
sơ điện tử hoặc bộ dữ liệu để che giấu sự bất thường hoặc xuyên tạc dữ liệu.
+ Trình bày các tài liệu không xác thực: Kiểm toán từ xa chủ yếu
dựa vào
trao đổi
thông tin
điện
tử và tài
liệu
điện tử nên
có thể
làm tăng
nguy cơ KTVNN nhận
được các
tài liệu
không xác
thực
như hóa
đơn giả,
hợp đồng giả, các
dữ
liệu, tài
liệu
giả do AI tạo ra, xác
nhận
không chính
xác từ
bên thứ ba và các tài liệu khác để hỗ trợ cho
giao dịch không
đúng quy định.
+ Truy cập trái phép: Việc truy cập từ
xa vào hệ thống và dữ liệu điện tử
của đơn vị được kiểm toán
có thể
làm tăng
nguy cơ truy cập
trái phép
của
các bên thứ ba, chẳng hạn
như: Việc phá
hủy
dữ liệu, lừa đảo và
cài đặt
phần mềm độc hại…; điều này có khả năng ảnh hưởng lớn đến tính trung thực của phát hiện, kết quả
kiểm toán
và có thể
gây hại cho cả đơn
vị được kiểm toán
và KTVNN.
+ Thao túng các công cụ kiểm toán từ xa: Kiểm toán từ xa dựa vào công nghệ nên điều này có thể làm tăng nguy cơ đơn vị được kiểm toán hoặc các bên khác có thể thao túng các công cụ kiểm toán để che giấu sai
sót hoặc gian lận. Ví dụ: Đơn vị được
kiểm toán
có thể
thay đổi dấu thời gian, thay đổi vị trí và sửa đổi bản ghi truy cập của người dùng,…
(Tham khảo một số công cụ công nghệ thông tin và truyền thông tương ứng với các thủ tục tìm hiểu về đơn vị
được kiểm toán
và đánh giá rủi ro tại Phụ lục 01 kèm theo Hướng dẫn).
b) Xác định trọng yếu
Những hạn chế trong việc
tìm hiểu đơn vị được
kiểm toán
cũng như việc
truy cập thông
tin của
đơn vị được kiểm toán
trong quá trình kiểm toán
từ
xa có thể dẫn đến những
thay đổi trong việc xác
định
trọng yếu. Về định lượng, để bảo đảm tính thận trọng, KTVNN có thể áp dụng tỷ lệ mức
trọng yếu tổng thể và
mức
trọng yếu thực hiện ở mức thấp hơn so với kiểm toán trực tiếp tại đơn vị được
kiểm toán.
Về
định tính,
KTVNN cần
lưu ý xác
định
các nội dung kiểm toán tuân thủ phù hợp với rủi ro
do gian lận đã
xác định.
c) Phương pháp và thủ tục kiểm toán
Khi xây dựng KHKT, ngoài các nội dung theo
quy định (bao gồm cả các thủ tục kiểm toán theo CMKTNN), KHKT từ xa cần xác định cụ thể các công cụ công nghệ (như họp
trực tuyến, trao đổi qua email, cổng trao đổi thông tin...) cần thiết trong từng thủ
tục kiểm toán,
đánh giá khả
năng thu thập bằng chứng đầy đủ và thích hợp cũng như các quy định về bảo mật
trao đổi thông
tin.
d) Phạm vi kiểm toán
KHKT cần xác định phạm vi
kiểm toán
phù hợp
để giảm thiểu rủi ro kiểm toán. Chẳng hạn, việc kiểm toán từ xa sẽ không thể trực tiếp
quan sát,
kiểm
kê hàng tồn kho, tiền
mặt của đơn vị thì
có thể
bổ sung giới hạn về các
khoản mục đó.
3. Chuẩn bị các điều kiện cần thiết
Một số điều kiện cần
thiết có
thể
cần lưu ý
thêm so với
phương thức kiểm toán
trực
tiếp tại đơn vị được kiểm toán như:
a) Nhân sự: Đoàn kiểm toán và đơn vị được kiểm toán phải phân công những người chủ
chốt chịu trách
nhiệm
đối với từng nội dung/lĩnh vực kiểm toán quan trọng và bố trí một người là đầu mối chịu trách nhiệm trao đổi
giữa hai bên.
b) Tài liệu: Các tài liệu mà Đoàn kiểm toán và đơn vị được kiểm toán sử dụng sẽ ở
dạng số hóa
hoặc
định dạng quét
để
tạo điều kiện thuận lợi cho việc tải lên và tải xuống thông tin trong thời gian thực
hiện.
c) Yêu cầu về tính bảo mật, tính an ninh và bảo vệ dữ liệu (CSDP):
Đoàn kiểm toán và đơn vị được kiểm toán đều phải coi
trọng đến các
yêu cầu
về tính bảo mật, tính an ninh và bảo vệ dữ liệu,
chẳng hạn như thông
qua việc
sử dụng thông
tin đăng nhập
mạng riêng
ảo
(VPN) và
hạn
chế quyền truy cập dữ liệu...
d) Công cụ công nghệ thông tin và truyền thông được sử dụng bởi
Đoàn kiểm toán và đơn vị được kiểm toán bao gồm cả phần cứng
và phần mềm. Trong đó, có thể sử dụng các phần mềm hoặc nền
tảng hỗ trợ kiểm toán
từ
xa như:
- Để giao tiếp
giữa hai bên
và thực
hiện chứng kiến kiểm kê,
KTVNN có thể
sử dụng các
ứng
dụng như Microsoft Teams...
- Để quản lý công việc dễ dàng hơn, KTVNN có thể sử dụng các ứng dụng như
Lịch Outlook để lên
lịch
trình và
quản
lý các cuộc trao đổi...
- Để chia sẻ và lưu trữ dữ liệu trong
Đoàn, Tổ kiểm toán, Đoàn kiểm toán có thể sử dụng
Google Drive trên
đám mây. Nền
tảng này
cho phép KTVNN tạo,
chỉnh sửa, lưu trữ và
chia sẻ
tài liệu trong thời
gian kiểm toán
(như kiểm
toán
trực
tiếp tại đơn vị được kiểm toán).
- Để chia sẻ và lưu trữ dữ liệu giữa
Đoàn kiểm toán và đơn vị được kiểm toán cần sử dụng cổng
trao đổi thông
tin của
KTNN.
- Để thực hiện phân tích dữ liệu, KTVNN có thể sử dụng các chương trình như
Excel, Microsoft Power BI...
Điều 8. Thực
hiện kiểm toán
1. Công bố quyết định
kiểm toán
Hình thức công bố quyết định
kiểm toán
có thể
được thực hiện bằng cách
gửi
thông báo
hoặc
tổ chức công
bố
tại cuộc họp trực tuyến trên hệ thống CNTT của KTNN.
2. Tiến hành kiểm toán
Tùy thuộc điều kiện
của từng cuộc kiểm toán
và khả
năng đáp ứng về CNTT,
cuộc kiểm toán
từ
xa có thể được tiến hành tập trung tại
một địa điểm làm
việc
hoặc phân
tán.
2.1. Thu thập bằng chứng
kiểm toán
Các phương pháp, thủ tục kiểm toán nhằm thu thập
bằng chứng kiểm toán
thường
được sử dụng gồm: Quan sát;
kiểm
tra, đối chiếu; xác
nhận
từ bên
ngoài; tính toán lại; phỏng vấn; thủ tục phân tích; thực hiện lại...
a) Quan sát
Quan sát từ xa đòi hỏi phải sử dụng
các công cụ kỹ thuật số
để quan sát
các quy trình hoặc
thủ tục từ xa như: Hình
ảnh,
dữ liệu camera tại đơn vị được lưu trữ, truyền tải về cho KTNN hoặc sử dụng
thiết bị viễn thám
thích hợp
như máy
bay không người
lái, hình ảnh vệ tinh,… (Tham khảo một số ví dụ về quan sát từ xa tại Phụ
lục 02 kèm
theo Hướng
dẫn).
b) Kiểm tra
Kiểm tra bao gồm kiểm tra
tài liệu, sổ, bản ghi
và kiểm tra tài sản.
- Kiểm tra tài liệu, sổ, bản ghi
Việc kiểm tra hồ sơ và tài liệu phụ thuộc
rất nhiều vào
tài liệu
số hóa,
đòi hỏi
các phương
pháp phải
an toàn để bảo đảm tính xác thực và trung thực của các tài liệu, hồ sơ. Để
bảo đảm tính
xác thực
của tài liệu trong kiểm
toán từ xa cần kết
hợp các
phương pháp xác minh truyền thống với các giải pháp công nghệ hiện đại như:
+ Xác thực dữ liệu và phân tích so sánh: Bảo đảm tính hợp lệ của dữ
liệu bằng cách
tham chiếu
chéo các
tài liệu
nhận được với dữ liệu so sánh thích hợp (bằng chứng chứng thực) và tiến hành xác nhận nhiều lớp
với các
đơn vị
có liên
quan về
các vấn đề mà KTVNN cho là cần thiết để
kiểm tra thêm.
Phân tích so sánh giúp xác minh tính nguyên bản, chính xác của thông tin và làm rõ sự khác biệt hoặc không nhất quán giữa các hồ sơ, tài liệu.
Trường hợp đơn vị
được kiểm toán
sử
dụng AI để tạo ra các
dữ
liệu, tài
liệu
giả mà
KTVNN thấy
có dấu hiệu nghi
ngờ như: Thông
tin, số
liệu, chữ ký
điện
tử... không
rõ nét, không phù hợp hoặc thống nhất với các tài liệu khác..., KTVNN có thể sử dụng các công cụ thống kê để phát hiện các sai lệch; kiểm tra
mẫu dữ liệu thông
qua việc
đọc và
phân tích nội
dung; so sánh
dữ
liệu AI tạo với dữ liệu do con người tạo ra; hoặc sử dụng AI khác để phát hiện lỗi hoặc sai
phạm trong dữ liệu... Trường hợp nghi ngờ nhưng không đủ năng lực, công cụ, thời gian để
tự đánh
giá, KTVNN báo cáo Tổ trưởng Tổ kiểm toán xin ý kiến chỉ đạo của cấp có thẩm quyền để hỗ
trợ, xác
minh, đánh giá cho phù hợp.
+ Khẳng định về tính xác thực: KTVNN có thể yêu cầu đơn vị được
kiểm toán
phải
khai báo
tính xác thực
của các
tài liệu
được cung cấp. Những khẳng định này có thể ở dạng văn bản hoặc bằng miệng (ghi
âm). Đối với các tài liệu, dữ liệu qua
các thủ tục kiểm toán mà KTVNN có đủ cơ sở xét đoán là giả thì KTVNN cần đánh giá sự ảnh hưởng của
tài liệu, thông tin này đến mục tiêu kiểm toán để đưa ra đánh giá và ý kiến kiểm toán phù hợp.
+ Thông tin liên lạc: Đoàn kiểm toán cần thống nhất
với đơn vị được kiểm toán
về
cách thức trao đổi thông tin như thông qua
nhân viên được
chỉ định và
địa
chỉ e-mail chính
thức
để bảo đảm quy trình
trao đổi
thông tin
được
kiểm soát
và theo dõi, giảm
thiểu nguy cơ giả mạo dữ liệu hoặc truy cập trái phép.
+ Thiết lập và sử dụng một quy
trình đánh
giá được
chuẩn hóa
và tích hợp:
Đoàn kiểm toán có thể thiết lập và sử dụng một quy
trình đánh
giá được
chuẩn hóa
và tích hợp
để tiến hành
các thủ
tục kiểm toán;
trong đó yêu cầu
việc lưu trữ các
tài liệu
làm việc kiểm toán phải dưới dạng số
hóa để tạo điều kiện
cho việc truy xuất, so sánh
và xác minh được
thực hiện dễ dàng
và bảo
đảm việc quản lý
tài liệu
có hệ thống và có tổ chức.
+ Dữ liệu điện tử
và công
nghệ
đám mây:
Việc
chuyển đổi sang dữ liệu điện tử của đơn vị được kiểm toán đã hợp thức hóa các quy trình truyền và lưu trữ dữ liệu. Quá trình sử dụng công nghệ đám mây sẽ bảo đảm dung
lượng lưu trữ lớn và
mức
độ bảo mật cao. Cơ sở hạ tầng đám mây cung cấp một môi trường an toàn để lưu trữ và truy cập các tài liệu liên quan đến kiểm toán, bảo đảm tính khả dụng và bảo vệ dữ liệu.
(Tham khảo một số ví dụ về kiểm tra tài liệu, hồ sơ từ xa
tại Phụ lục 03a kèm
theo Hướng
dẫn).
- Kiểm tra tài sản
Đối với các văn bản gốc dạng
giấy, trừ trường hợp tài
liệu
gốc được đơn vị chuyển phát
về
trụ sở Cơ quan KTNN, KTVNN sẽ không thể kiểm tra, đối chiếu trực tiếp mà phải thực hiện trên tài liệu dữ liệu điện
tử hoặc tài
liệu
số hóa từ bản gốc.
Tương tự, trong trường hợp kiểm tra, đối chiếu hiện vật, KTVNN sẽ phải dựa vào các công cụ hỗ trợ gián tiếp như với
phương pháp
quan sát (điểm a nêu trên). Tài liệu do đơn vị được kiểm
toán cung
cấp
có thể được thực
hiện theo các
hình thức:
Chuyển phát
tài liệu
bản giấy; cung cấp tài
liệu
dưới dạng điện tử (gồm tài liệu số hóa từ bản giấy và dữ liệu gốc dạng
điện tử)
thông qua
hệ
thống CNTT của KTNN. KTVNN cần lưu ý để lưu trữ lại bằng chứng cho thấy tài liệu chuyển phát nhận được là của đơn vị được
kiểm toán
cung cấp.
KTVNN có thể thực hiện các bước kiểm tra tài sản từ xa sau:
+ KTVNN phối hợp với bộ
phận kiểm toán
nội
bộ của đơn vị được kiểm toán (hoặc một bộ phận có chức năng tương
tự)
để xác
minh và kiểm
soát tất cả các tài liệu đơn vị được
kiểm toán
cung cấp
cho Đoàn
kiểm
toán. Yêu
cầu
lãnh đạo của bộ phận này xác minh rằng các bản mềm của tài liệu là hợp lệ và giống với bản
cứng gốc.
+ KTVNN yêu cầu đơn vị được
kiểm toán
cung cấp
tài liệu trên các phương tiện được chỉ
định với quyền truy cập hạn chế chỉ bao gồm KTVNN, đơn vị được kiểm toán và bộ phận kiểm toán nội bộ.
+ Sau khi phân tích các
tài liệu,
KTVNN yêu
cầu
các thành phần liên quan của đơn vị được
kiểm toán
thảo
luận trực tuyến sơ bộ để xác định các lĩnh vực có rủi ro cao cần kiểm tra tài sản ảo[1].
+ KTVNN sắp xếp kiểm tra
tài sản ảo, chỉ định
thành phần tham dự, các công cụ được chuẩn bị
và sử dụng bởi đơn
vị được kiểm toán,
các dạng
thử nghiệm cần được thực hiện, thời gian kiểm tra tài sản và các nội dung cần
kiểm tra.
+ KTVNN gửi kết quả kiểm
toán cho
đơn vị
được kiểm toán,
bộ
phận cung cấp xác
nhận
và trả lời thông qua e-mail chính thức hoặc các kênh an toàn khác.
(Tham khảo một số ví dụ về kiểm tra tài sản từ xa tại
Phụ lục 03b kèm
theo Hướng
dẫn).
c) Phỏng vấn
Phỏng vấn từ xa được thực
hiện thông
qua hình thức
trao đổi trực tuyến bằng âm
thanh, hình ảnh,
tin nhắn, bảng câu
hỏi
trên hệ thống CNTT thích hợp hoặc phỏng
vấn qua điện thoại... Để bảo đảm tính bảo mật cần thiết cho cả KTNN và đơn vị được kiểm toán, trong điều kiện cho phép, KTVNN phải thực hiện
phỏng vấn trên
hệ
thống CNTT của KTNN, hạn chế sử dụng các kênh truyền dẫn khác, đặc biệt là các dịch vụ trực
tuyến công
cộng.
Ngoài ra,
thông tin trao đổi
từ phỏng vấn từ xa có
thể
không bảo đảm được tính chính xác như cuộc phỏng vấn thông thường do không thể bảo đảm tuyệt
đối khả năng về trách
nhiệm,
thẩm quyền của đúng
đối
tượng tham gia vào
một
cuộc phỏng vấn trực tuyến.
Phỏng vấn từ xa có thể gồm 3 giai
đoạn: Chuẩn bị, thực hiện và kết thúc
phỏng
vấn, bao gồm việc ký
biên bản
phỏng vấn.
- Để bảo đảm tính hiệu quả của việc
phỏng vấn từ xa, KTVNN phải thực hiện các bước chuẩn bị cần thiết, bao gồm lựa chọn
phương tiện phỏng vấn và
tiến
hành chạy thử, lên lịch phỏng vấn và gửi thư mời,
soạn thảo câu
hỏi
phỏng vấn, tổ chức nhóm
phỏng
vấn, chuẩn bị bản ghi dự phòng, lập hồ sơ người được phỏng vấn và xây dựng kế hoạch
phỏng vấn. Chuẩn bị cũng liên quan đến việc xác định giới hạn người tham gia và thời lượng của
mỗi cuộc phỏng vấn.
- Trong quá trình phỏng vấn từ xa,
KTVNN bảo đảm rằng người được phỏng vấn là đối tượng dự định như được chỉ định trong thư
mời, yêu cầu người được
phỏng vấn giữ máy
quay video của
họ, xây dựng mối quan hệ
với người được phỏng vấn, chú ý đến ngôn ngữ phi lời nói của họ bằng cách yêu cầu họ điều
chỉnh vị trí
và khoảng
cách với thiết bị,
tập trung vào
chủ
đề, ghi lại cuộc phỏng vấn và chuẩn bị biên bản phỏng vấn.
Ngoài ra, KTVNN cần thận trọng
về các vấn đề có thể ảnh hưởng đến
việc thực hiện các
xác nhận
từ xa, đặc biệt là
trong các tình huống
có thể tiềm ẩn nguy
cơ gian lận. Ví
dụ
lỗi tín hiệu gây gián đoạn trong quá trình phát trực tuyến, đơn
vị được kiểm toán
bị
ngắt kết nối khỏi cuộc thảo luận mà không có lý do có thể kiểm chứng được hoặc
đơn vị được kiểm toán
cố
gắng định hướng KTVNN trong một số điều kiện nhất định mà không có lý do chính
đáng.
- Kết thúc phỏng vấn: Nếu biên bản có thể được hoàn thành ngay lập tức, KTVNN
sẽ gửi các
biên bản
này qua tính
năng chia sẻ
tài liệu và yêu cầu người được
phỏng vấn ký
tên kỹ
thuật số. Trường hợp không
thể
hoàn thành
ngay biên bản,
KTVNN gửi các
biên bản
và yêu cầu người được
phỏng vấn ký
điện
tử hoặc trên
một
tài liệu in.
Trường hợp đơn vị
được kiểm toán
sử
dụng AI để giả mạo video cuộc họp, giọng nói…, KTVNN có thể sử dụng phần mềm phân tích video, giọng nói để nhận diện nội
dung giả mạo hoặc kết hợp sử dụng AI và chuyên gia để kiểm chứng thông tin cho phù hợp.
(Tham khảo một số ví dụ về phỏng vấn
từ xa tại Phụ lục 04 kèm theo Hướng dẫn).
d) Xác nhận từ bên ngoài
Thu thập bằng chứng
kiểm toán
từ
bên thứ ba thường thông qua các phương tiện điện tử,
chẳng hạn như e-mail, nền tảng trực tuyến an toàn hoặc hội nghị từ xa. (Tham
khảo một số ví
dụ
về xác
nhận
từ xa tại Phụ lục 05 kèm theo Hướng dẫn).
đ) Thực hiện lại
Việc thực hiện lại yêu cầu KTVNN thực
hiện kiểm soát
được
lựa chọn (theo cách thủ công hoặc thông qua việc sử dụng
CAATs) chẳng
hạn như thực hiện lại việc ghi chép các khoản phải thu. Thực hiện lại
được coi là
một
phương pháp
đáng tin cậy
để đánh
giá tính hữu
hiệu của các
hoạt
động kiểm soát
vì cho phép KTVNN trực tiếp kiểm tra các kiểm soát thay vì dựa vào các báo cáo và cơ sở dữ liệu của
đơn vị được kiểm toán.
(Tham khảo một số ví dụ về thực hiện lại từ
xa tại Phụ lục 06 kèm theo Hướng dẫn).
e) Thủ tục phân tích
Các thủ tục phân tích được sử dụng
trong suốt quá
trình kiểm
toán từ xa và được thực hiện
cho ba mục đích
chính như sau:
- Đánh giá phân tích sơ
bộ:
Các đánh
giá phân tích sơ bộ được thực hiện để có được sự hiểu biết về đơn vị được kiểm toán và môi trường hoạt động
của đơn vị được kiểm toán
(ví dụ:
hiệu suất tài
chính so với
các
năm trước
và
giữa
các
ngành có liên quan),
giúp KTVNN đánh giá rủi ro có sai sót trọng yếu từ đó xác định lịch trình, thời gian và nội dung của các thủ tục kiểm toán.
- Thủ tục phân tích cơ bản: Các thủ tục phân tích cơ bản được thực
hiện khi KTVNN cho rằng việc sử dụng các thủ tục phân tích có thể hiệu quả hơn so với các thử nghiệm chi
tiết trong việc giảm rủi ro sai sót trọng yếu ở cấp độ khẳng định xuống mức
thấp có thể chấp nhận
được.
- Đánh giá phân tích cuối cùng: Các thủ tục phân tích được thực hiện
như một cuộc soát
xét tổng
thể các
báo cáo tài chính vào thời điểm cuối của cuộc kiểm toán để đánh giá xem các kết quả có phù hợp với hiểu
biết của KTVNN về đơn vị được kiểm toán hay không. Nếu phát hiện bất thường,
việc đánh
giá rủi
ro cần được thực hiện lại để xem xét liệu có cần thêm bất kỳ thủ tục kiểm toán nào không.
(Tham khảo một số ví dụ về thủ tục phân tích từ xa tại Phụ
lục 07 kèm
theo Hướng
dẫn).
g) Thử nghiệm xuyên suốt
Thử nghiệm xuyên suốt trong kiểm
toán từ xa liên quan đến việc theo dõi một giao dịch
hoặc quy trình
hoạt
động cụ thể của đơn vị được kiểm toán từ đầu đến cuối để đánh giá tính hiệu quả và độ tin cậy của các hoạt động kiểm soát nội bộ và việc tuân thủ của đơn vị
được kiểm toán.
Thử
nghiệm xuyên
suốt
từ xa có
thể
bao gồm xem xét,
quan sát và phỏng
vấn từ xa. Theo đó,
thử
nghiệm xuyên
suốt
giúp xác định các lỗ hổng kiểm soát tiềm ẩn, bảo đảm
tính chính
xác của
báo cáo
tài chính và cung cấp thông
tin chi tiết
về các rủi ro tiềm tàng.
Việc thực hiện phương pháp thử nghiệm xuyên suốt từ xa của
KTVNN có
thể
bao gồm các
nội
dung sau:
- Xác minh danh tính của người có trách nhiệm của đơn vị
được kiểm toán
và yêu cầu
họ kết nối thông
qua các công cụ
hội nghị truyền hình
bằng
máy tính
xách tay, máy tính bảng hoặc điện thoại thông minh.
- Thông báo cho đơn vị được kiểm toán rằng quá trình thử nghiệm xuyên suốt sẽ được ghi
lại và ảnh chụp màn hình có thể được chụp về
các bằng chứng được
cung cấp.
- Yêu cầu người có trách nhiệm giải thích chi tiết về chu kỳ
giao dịch hoặc quy trình
hoạt
động và chứng minh trực
tuyến.
- Yêu cầu người có trách nhiệm cung cấp một
tài liệu ngẫu nhiên, hiển thị tài liệu đó trên thiết bị và chứng minh các kiểm soát nội bộ có sẵn.
- Có thể ngẫu nhiên yêu cầu người có trách nhiệm cung cấp
bằng chứng xác
minh và phê duyệt
được ủy quyền cho từng quy trình/giao dịch của đơn vị.
- Yêu cầu đơn vị giải
trình về bất kỳ thông tin liên quan nào
trong các tình huống
bất thường, chẳng hạn các
lỗi
được phát
hiện,…
- Ghi lại và tài liệu hóa bất kỳ điểm yếu
nào của các hoạt động kiểm soát nội bộ của đơn
vị được kiểm toán.
- Phân tích tác động của các điểm yếu đối với các thủ tục kiểm toán khác.
(Tham khảo một số ví dụ về thử nghiệm
xuyên
suốt
từ xa và
một
số công
cụ
công
nghệ
thông
tin và truyền thông hỗ trợ cho giai đoạn
thực hiện kiểm toán
từ
xa tại Phụ lục 08 và Phụ lục 09 kèm theo Hướng dẫn).
2.2. Đánh giá bằng chứng kiểm
toán và
hình thành ý kiến
kiểm toán
Sau khi hoàn tất các thủ tục kiểm toán, KTVNN đánh giá xem
việc
thu thập được bằng chứng kiểm toán đã đầy đủ và thích hợp để đưa ra các phát hiện và kết quả kiểm toán. Trên cơ sở đó, KTVNN thực hiện đánh giá chuyên môn để đưa ra kết
luận hoặc ý
kiến
kiểm toán
về
thông tin
hoặc
đối tượng được kiểm toán.
KTVNN có thể phải dựa vào giấy tờ kỹ thuật
số, bảng tính
và các dạng
tài liệu điện tử khác để đánh giá nên khó xác thực và xác minh hơn so với tài liệu trên giấy. Nếu không có khả năng kiểm tra
thực tế hồ sơ và
tài sản,
KTVNN có
thể
cần phát
triển
các thủ tục kiểm toán thay thế để bảo đảm tính hợp lệ của thông tin do đơn vị được kiểm toán cung cấp.
Một số lưu ý về đánh giá bằng chứng kiểm
toán:
- Khi kiểm tra tính xác thực, hợp lý, hợp pháp, thích hợp, đầy đủ của
các bằng chứng kiểm
toán khi
kiểm
toán từ xa, KTVNN cần
đặc biệt lưu ý
do tính chất
của bằng chứng kiểm toán
thu thập
được có thể bị ảnh hưởng
đáng kể vì hầu hết thông tin đều được thu
thập gián
tiếp
và thường thông qua sự kiểm soát, tác động của đơn vị
được kiểm toán.
Một
số yếu tố có
thể
tác động đến tính xác thực, hợp lý, hợp pháp, thích hợp, đầy đủ của
bằng chứng kiểm toán
như:
+ Các thông tin, dữ liệu điện tử
do đơn vị được kiểm toán
cung cấp
trước đó
có thể
chưa cập nhật kịp thời hoặc thường xuyên bị chỉnh sửa, thay thế bằng nhiều phiên bản khác nhau.
+ Bản số hóa từ văn bản giấy
kể cả khi có
chứng
thực về chữ ký
số
vẫn có thể có sai khác so với văn bản giấy
(ví
dụ:
Do lỗi trong quá
trình scan hoặc bị chỉnh sửa, can thiệp).
+ Bằng chứng kiểm
toán thu
thập
được qua các
thủ
tục như quan sát
có rủi
ro do KTVNN không
có mặt
trực tiếp tại hiện trường nên hình ảnh, âm thanh thu được qua các công cụ hỗ trợ có thể không phản ánh chính xác tình hình
thực
tế (ví
dụ:
Hình
ảnh
âm
thanh bị
trễ, sai lệch do tín
hiệu
đường truyền, bị can thiệp chỉnh sửa trước khi truyền đến cho KTVNN; hình ảnh âm thanh truyền về là của địa điểm và/hoặc khung thời
gian khác
với
địa điểm, khung thời gian thực tế đang cần quan sát).
+ Độ tin cậy của
bằng chứng cũng bị ảnh hưởng do tính chất bất ngờ, ngẫu nhiên khi thực hiện một số
phương pháp
thủ
tục kiểm toán
không còn được
duy trì
khi kiểm
toán từ xa (ví dụ: KTVNN không thể đột xuất kiểm
tra thực địa hoặc kiểm tra tính có thực của một tài sản như khi kiểm
toán
trực
tiếp).
- Để giảm thiểu
rủi ro kiểm toán,
với
bằng chứng kiểm toán
do đơn vị
được kiểm toán
cung cấp,
KTVNN có
thể
chỉ nên
đánh giá trên cơ sở các
bằng
chứng được gửi trực tiếp từ đơn vị được kiểm toán có chứng thực từ bên chuyển phát và/hoặc bằng chứng
gửi, lưu trữ trên
hệ
thống CNTT của KTNN. KTVNN hạn chế sử dụng bằng chứng là tài liệu gửi qua các hình thức, kênh truyền dẫn khác, đặc biệt là các dịch vụ truyền
dẫn, lưu trữ trực tuyến công
cộng
do các bên
thứ
ba cung cấp.
- Đối với các bằng chứng kiểm
toán không
đảm
bảo tính hợp pháp do thu thập từ xa hoặc
KTVNN có đủ cơ sở đánh giá bằng chứng kiểm
toán là giả, KTVNN cần yêu cầu đơn vị gửi
bản cứng có
xác thực
để đối chiếu, lưu trữ theo quy định.
2.3. Lập và ký biên bản xác nhận số liệu và tình hình kiểm toán
- Trong quá trình tổng hợp kết quả
kiểm toán,
trao đổi
với đơn vị được kiểm toán
(về
các
vấn
đề liên
quan đến
cuộc kiểm toán,
các phát hiện kiểm toán), tiếp nhận ý kiến giải trình của đơn vị được kiểm toán, KTVNN chỉ trao đổi,
tiếp nhận thông
tin, tài liệu
điện tử với đơn vị được kiểm toán thông qua hệ thống CNTT của KTNN, hạn chế tối đa việc sử
dụng các dịch vụ truyền
dẫn trực tuyến công
cộng
của bên thứ ba cung cấp.
- Khi gửi biên bản xác nhận số liệu và tình hình kiểm toán cho người có trách nhiệm liên quan của đơn vị được
kiểm toán
ký, KTVNN có thể
gửi dưới dạng tài
liệu
điện tử để ký
số
hoặc gửi bản giấy qua dịch vụ chuyển phát. Với phương thức kiểm toán từ xa, KTVNN không chứng kiến trực
tiếp việc ký
biên bản
nên trong
mọi
trường hợp, khi KTVNN tiếp nhận lại biên bản đã có đầy đủ chữ ký thì cần kiểm tra để
bảo đảm chữ ký
số
(nếu có) của đúng người có trách nhiệm và nội dung biên bản không bị thay đổi,
chỉnh sửa.
3. Lập và thông qua dự thảo biên bản kiểm toán
Việc lập và thông qua dự thảo biên bản kiểm toán có thể gửi dưới dạng
tài liệu điện tử để
hoặc gửi bản giấy qua dịch vụ chuyển phát; có thể tổ chức họp trực tuyến hoặc lấy ý kiến bằng văn bản
của đơn vị được kiểm toán
gửi
Tổ kiểm toán
đối
với dự thảo biên
bản
kiểm toán,
làm cơ sở
để hoàn
thiện
biên bản kiểm toán.
4. Trong suốt quá trình thực hiện kiểm toán, trường hợp phát sinh các hành vi vi
phạm
phải xử phạt vi phạm hành
chính trong lĩnh vực kiểm toán nhà nước (bao gồm trường hợp đơn vị được kiểm toán không ký biên bản kiểm toán sau 02 ngày làm việc kể từ ngày nhận được biên bản kiểm toán có chữ ký của Tổ trưởng Tổ
kiểm toán) thì thực hiện theo
quy định tại Quy trình
kiểm
toán của KTNN. Tuy
nhiên, do
đặc
thù của kiểm toán từ xa, KTVNN khi
xác định hành vi vi phạm cần xem xét các nguyên nhân
khách quan như thất
lạc tài liệu khi chuyển
phát hoặc phát sinh sai lệch, chậm trễ
trong cung cấp dữ liệu, trả lời, giải trình do truyền dẫn trên môi trường CNTT…
Điều 9. Lập và
gửi báo cáo kiểm toán
1. Lập dự thảo báo cáo kiểm toán
Trong quá trình tập hợp các bằng chứng kiểm
toán, khi
tổ
chức tổng hợp, soát
xét bằng
chứng kiểm toán,
Trưởng
Đoàn kiểm toán cần lưu ý một số điểm về
bằng chứng kiểm toán
như đã đề
cập tại Điều 8 nêu trên.
KTVNN có thể sử dụng các công cụ và ứng dụng như e-mail,
cổng trao đổi thông
tin, ứng
dụng họp trực tuyến, các
công cụ
nguồn mở, tăng băng thông
hoặc
các phần mềm phù hợp... để lập
BCKT. Việc triển khai các
giao thức
về Tính bảo mật, Tính an ninh và Bảo vệ dữ liệu (CSDP)
thực thi mã
hóa, kiểm
soát truy
cập
và các biện pháp bảo mật khác giúp giảm thiểu rủi ro
vi phạm dữ liệu và
hỗ
trợ bảo vệ dữ liệu kiểm toán khỏi bị truy cập hoặc tiết lộ trái phép. Việc ứng dụng các công nghệ thông tin và truyền thông phải được trình bày trong BCKT.
2. Gửi lấy ý kiến đối với dự
thảo báo
cáo kiểm
toán
Đơn vị chủ trì cuộc kiểm toán có trách nhiệm gửi dự thảo
BCKT đã
hoàn thiện
lấy ý kiến của đơn vị
được kiểm toán
bằng
văn bản hoặc văn bản điện tử (nếu không thuộc trường hợp thực hiện
theo chế độ mật). Dự thảo BCKT chỉ được gửi dưới dạng văn bản điện tử trong
trường hợp đáp
ứng
các điều kiện theo quy
định của KTNN.
3. Tổ chức thông báo kết quả kiểm toán
- Việc tổ chức hội
nghị thông
báo kết
quả kiểm toán
có thể
sử dụng hình
thức
họp trực tuyến trên
hệ
thống CNTT của KTNN.
- Đơn vị chủ trì cuộc kiểm toán cần lưu ý trao đổi, thông tin kịp thời với đơn
vị được kiểm toán
để
phòng
tránh trường
hợp đơn vị có
gửi
ý kiến bằng văn bản
nhưng bị thất lạc khi chuyển phát hoặc bị chậm trễ, lỗi khi truyền qua hệ thống
CNTT.
4. Phát hành báo cáo kiểm toán
BCKT có thể phát hành dưới dạng văn bản
hoặc tài
liệu
điện tử (nếu không
thuộc
trường hợp thực hiện theo chế độ mật) theo quy định của KTNN.
Điều
10. Theo dõi, kiểm tra việc thực hiện kết luận, kiến nghị kiểm toán
Khi áp dụng phương thức
kiểm toán
từ
xa, việc theo dõi,
kiểm
tra thực hiện kết luận, kiến nghị kiểm toán cần lưu ý: Theo dõi, đôn đốc, thu thập, tổng hợp
thông tin
về
kết luận, kiến nghị kiểm toán và tình hình thực hiện kết luận, kiến nghị kiểm toán của đơn vị được
kiểm toán
trên cơ sở
các văn bản, tài liệu điện tử được
đơn vị được kiểm toán
gửi
qua các
phương thức
từ xa như thư điện tử, gửi fax, chuyển phát bưu gửi hoặc họp trực tuyến... Tuy nhiên, các phương thức này phải đảm bảo an
toàn và bảo mật theo quy
định.
Chương
III
ĐIỀU KHOẢN THI HÀNH
Điều
11. Trách nhiệm về kiểm toán từ xa
1. Đơn vị chủ trì cuộc kiểm toán
- Tuân thủ đúng trình tự, thủ tục đã quy định trong Quy
trình kiểm toán của KTNN và Hướng dẫn này khi tổ chức các Đoàn kiểm toán theo phương thức kiểm toán từ xa.
- Chịu trách nhiệm trước Tổng
Kiểm toán
nhà nước
về việc truy cập dữ liệu bảo đảm tuân thủ quy định của pháp luật và chịu trách nhiệm bảo vệ bí mật, bảo mật, an
toàn theo
quy định
của pháp luật.
- Đề xuất các nội dung nghiệp
vụ, các
yêu cầu
cần thiết để xây
dựng,
nâng cấp hoặc mở rộng
hệ thống CNTT phục vụ cho kiểm toán từ xa.
2. Cục Công nghệ thông tin
- Tiếp nhận, hỗ trợ
kịp thời và
tổng
hợp đề nghị của các
đơn vị
trực thuộc KTNN trong quá
trình thực
hiện kiểm toán
từ
xa để báo
cáo Tổng
Kiểm toán
nhà nước
xem xét,
chỉ
đạo.
- Nghiên cứu, tham khảo,
đề xuất triển khai các
giải
pháp công
nghệ
mới, tiên
tiến,
phù hợp với mục tiêu và yêu cầu nghiệp vụ
kiểm toán
của
KTNN đối với hình
thức
kiểm toán
từ
xa.
Điều
12. Tổ chức thực hiện
1. Thủ trưởng các đơn vị trực thuộc
KTNN và
các tổ
chức, cá
nhân có liên quan chịu trách
nhiệm
thi hành Hướng
dẫn này.
2. Trong quá trình thực hiện, nếu phát sinh vấn đề mới hoặc
khó khăn,
vướng
mắc cần
phản ánh kịp thời về Vụ Chế độ và Kiểm soát chất lượng kiểm toán để tổng hợp,
tham mưu Tổng Kiểm toán
nhà nước
xem xét,
chỉ
đạo./.
MỘT SỐ CÔNG CỤ CÔNG
NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TƯƠNG ỨNG VỚI CÁC THỦ TỤC TÌM HIỂU VỀ ĐƠN VỊ
ĐƯỢC KIỂM TOÁN VÀ ĐÁNH GIÁ RỦI RO TỪ XA
|
STT
|
Thủ tục kiểm toán
|
Công cụ kiểm toán
|
|
1
|
Phỏng vấn, xác nhận
|
• Hội nghị từ xa
/ cuộc gọi video
• Các ứng dụng khảo
sát
• Thư điện tử
• Cuộc gọi điện
thoại
• Phát trực tiếp
|
|
2
|
Các thủ tục phân tích
|
• Các công cụ phân tích dữ liệu, như:
R, Phyton, Excel, Power Bi, Phần mềm IDEA, ACL, SQL
|
|
3
|
Quan sát
|
• Phát trực tiếp
• Video đã
quay
|
|
4
|
Kiểm tra, đối
chiếu tài
liệu,
bản ghi
|
• Hệ thống ERP
• Cổng thông tin điện tử
• Máy tính để bàn từ xa
• Thư điện tử
• Kết nối dữ
liệu trực tiếp
|
|
5
|
Kiểm tra tài sản
|
• Phát trực tiếp
• Hệ thống thông tin địa lý (GIS)
• Video đã
quay
• Sử dụng máy bay không người lái
|
|
6
|
Thực hiện lại
|
• Phát trực tiếp
• Video đã
quay
• Công cụ phân tích dữ liệu
• Máy tính để bàn từ xa
|
|
7
|
Các thủ tục kiểm toán khác
|
• Công cụ khám phá điện tử pháp y
|
MỘT SỐ VÍ DỤ VỀ QUAN
SÁT TỪ XA
KTVNN có thể tham khảo một
số ví dụ về khó khăn, vướng mắc thường
gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi quan sát từ xa như:
|
STT
|
Một số khó khăn, vướng mắc thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Cơ sở hạ tầng kỹ
thuật và
kết
nối kém.
|
- Gián đoạn trong quá trình quan sát;
- Không có khả năng truy
cập dữ liệu cần thiết từ xa.
|
- Vấn đề kết
nối;
- Thiếu quyền truy
cập từ xa;
- Mạng Internet
chất lượng thấp ảnh hưởng đến việc phát trực tiếp.
|
- Nâng cấp hạ tầng kỹ
thuật;
- Đầu tư cơ sở
hạ tầng tốt hơn;
- Bảo đảm kết
nối internet mạnh hơn;
- Sử dụng các phương thức giao tiếp
thay thế;
- Sửa đổi các quy định để cho phép truy cập từ xa.
|
|
2
|
Tương tác hạn chế.
|
- Giảm khả năng
đặt câu
hỏi
tự phát;
- Kiểm toán thiếu chi tiết và sâu hơn.
|
- Thiếu tín hiệu phi ngôn ngữ;
- Thiếu tương tác thời gian thực.
|
- Tổ chức các hội nghị video
chất lượng cao;
- Các cuộc họp trực
tuyến chi tiết;
- Thực hiện các phương pháp kết hợp.
|
|
3
|
Các vấn đề về uy tín và niềm tin.
|
Đặt ra các câu hỏi về tính chính xác và đầy đủ của các quy trình quan
sát.
|
Nghi ngờ về tính xác thực của các quan sát từ xa.
|
- Xác minh
chéo bằng
nhiều nguồn;
- Gắn kết thông tin vị trí địa lý (GIS).
|
|
4
|
Xác minh vị trí và hoạt động.
|
Khó khăn
trong việc
bảo đảm vị trí/hoạt động chính xác đang được quan sát.
|
Tọa độ không chính xác hoặc dàn dựng/bóp méo các hình ảnh hiển thị
trong quá
trình quan sát.
|
- Sử dụng các công cụ gắn kết thông tin vị trí địa lý;
- Yêu cầu tọa độ vị
trí
chính xác;
- Xác minh
thông qua nhiều
điểm dữ liệu.
|
MỘT SỐ VÍ DỤ VỀ KIỂM
TRA TÀI LIỆU, HỒ SƠ TỪ XA
KTVNN có thể tham khảo một
số ví dụ về khó khăn, vướng mắc thường
gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi kiểm tra tài liệu, hồ sơ từ xa như:
|
STT
|
Một số khó khăn, vướng mắc thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Tài liệu không số hóa.
|
Khó khăn
trong việc
rà soát
các tài liệu
chưa được số hóa.
|
Các đơn vị được kiểm
toán phụ thuộc rất
nhiều vào
các bản
cứng có
thể
gây khó
khăn cho việc
chia sẻ khối lượng lớn tài liệu điện tử.
|
- Yêu cầu đơn vị
được kiểm toán
số
hóa tài
liệu
và nộp trực
tuyến;
- Cung cấp phần cứng
đặc biệt cho KTVNN;
- Tăng dung
lượng
e-mail.
|
|
2
|
Tính khả dụng của tài liệu (không phải tất cả các tài liệu đều có sẵn từ xa).
|
Khó khăn
trong việc
liên kết các giao dịch và thực hiện đánh giá kỹ lưỡng.
|
Một số đơn vị
được kiểm toán
phải
đối mặt với các
vấn
đề về việc liên
kết
các giao
dịch
do hồ sơ không
đầy
đủ.
|
Tối ưu hóa việc sử dụng các công cụ công nghệ thông tin và truyền thông để trao đổi
với các
đơn vị
được kiểm toán.
|
|
3
|
Thu thập các bộ dữ liệu lớn
từ các
đơn vị
được kiểm toán.
|
Không có khả năng thực
hiện phân
tích toàn diện
do dữ liệu hạn chế.
|
Một số đơn vị
được kiểm toán
phải
đối mặt với các
vấn
đề với việc đánh
giá dữ
liệu lớn.
|
Sử dụng điện
toán đám
mây để
quản lý
và chia sẻ
các bộ dữ liệu
lớn.
|
|
4
|
Tính xác thực và toàn vẹn của tài liệu.
|
Khó khăn
trong việc
bảo đảm tính
xác thực,
đầy đủ của tài
liệu,
đặc biệt là
với
các tài
liệu
được quét
(scan)
|
KTVNN phải đối mặt
với các
vấn
đề bao gồm xác
minh tính xác thực của tài liệu được quét và bảo đảm tính toàn vẹn dữ liệu.
|
- Tăng cường các biện pháp an ninh;
- Sử dụng máy quét chất lượng cao
với các
tính năng bảo
mật;
- Thực hiện phỏng
vấn ảo để làm
rõ sự
nghi ngờ.
|
|
5
|
Truy cập vào dữ liệu nhạy
cảm.
|
Khó khăn trong
việc
truy cập một số dữ liệu nhất định như dữ liệu cá nhân do lo ngại về quyền riêng tư.
|
Có những hạn chế
pháp lý
và sự
phản đối từ các
đơn vị
được kiểm toán
để
chia sẻ dữ liệu nhạy cảm.
|
- Tăng cường các giao thức bảo mật để
bảo vệ thông
tin nhạy
cảm;
- Tăng cường các vấn đề về pháp lý, bao gồm việc sửa
đổi các
quy định
(nếu có).
|
MỘT SỐ VÍ DỤ VỀ KIỂM
TRA TÀI SẢN TỪ XA
KTVNN có thể tham khảo một
số ví dụ về khó khăn, vướng mắc thường
gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi kiểm tra tài sản từ xa như:
|
STT
|
Một số khó khăn, vướng mắc thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Các vấn đề kỹ
thuật với thiết bị và
kết
nối internet.
|
Sự gián đoạn trong quá trình kiểm tra, dẫn
đến bằng chứng kiểm toán
có chất
lượng thấp hơn.
|
Kết nối
internet chất lượng thấp khi đang phát trực tiếp có thể dẫn đến
chất lượng hình
ảnh
thấp hơn.
|
- Tăng cường hạ tầng
kỹ thuật;
- Cung cấp đầy đủ
trang thiết bị;
- Bảo đảm đường
truyền internet ổn định trước khi kiểm tra.
|
|
2
|
Không có khả năng thực
hiện xác
minh thực
tế và kiểm tra đột
xuất.
|
Giảm độ tin cậy
của bằng chứng kiểm toán
liên quan đến
tình trạng và sự tồn tại của
tài sản.
|
Các hạn chế ngăn
chặn kiểm tra đột xuất và xác minh thực tế.
|
- Sử dụng máy bay không người lái;
- Sử dụng thiết
bị gắn kết thông
tin vị
trí địa lý (GIS);
- Yêu cầu KTV nội bộ
của đơn vị được kiểm toán
hỗ
trợ ghi chép
và chứng
kiến việc kiểm tra tài
sản
do đơn vị được kiểm toán
thực
hiện.
- Sử dụng phương
pháp tiếp cận kiểm
toán kết hợp.
|
|
3
|
Thiếu quan sát trực tiếp và khó khăn trong việc xác nhận sự hiện
hữu và
tình trạng
tài sản.
|
Khả năng gia
tăng rủi ro kiểm toán
và giảm
độ tin cậy của kết quả kiểm toán.
|
Góc nhìn hạn chế từ các cuộc gọi video
và hình ảnh so với
kiểm tra trực tiếp.
|
- Yêu cầu hình ảnh và video chi tiết từ nhiều góc độ;
- Duy trì các
kênh thông tin liên lạc rõ ràng;
- Sử dụng phương
pháp kiểm toán kết hợp
|
MỘT SỐ VÍ DỤ VỀ PHỎNG
VẤN TỪ XA
KTVNN có thể tham khảo một
số ví dụ về khó khăn, vướng mắc thường
gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi phỏng vấn từ xa như:
|
STT
|
Một số khó khăn, vướng mắc thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Các vấn đề về công nghệ.
|
Làm gián đoạn cuộc phỏng
vấn và
gây khó khăn cho việc giao tiếp hiệu quả.
|
- Kết nối
internet không
đáng tin cậy,
chất lượng video/âm
thanh kém;
- Vấn đề về
tương thích
phần
mềm;
- Không quen
thuộc
với các
công cụ
hội nghị truyền hình.
|
- Theo dõi
các yêu cầu
thông
tin một
cách nhất quán;
- Quy định thời hạn
rõ ràng;
- Cải thiện kênh thông tin liên lạc;
- Sắp xếp các cuộc họp trực
tuyến theo lịch trình
với
các chủ đề được thông báo trước;
- Xác định các liên hệ chính để tạo điều
kiện truy cập.
|
|
2
|
Xây dựng mối quan
hệ.
|
Khó thiết lập kết
nối cá
nhân và xây dựng
lòng tin
với
người được phỏng vấn trong cuộc họp trực tuyến so với trực tiếp.
|
Các tín hiệu phi ngôn ngữ và nói nhỏ bị hạn chế
hơn.
|
- Phỏng vấn có cấu trúc;
- Bố trí thêm thời gian để
thiết lập mối quan hệ và
bảo
đảm sự riêng
tư;
- Lắng nghe tích cực.
|
|
3
|
Mất tập trung
trong quá
trình phỏng
vấn.
|
Khó có được thông tin như mong muốn.
|
Người được phỏng
vấn có
thể
dễ bị phân
tâm hơn hoặc
gặp khó
khăn trong việc
tìm kiếm một không gian riêng tư,
yên tĩnh để
nói chuyện tự do khi
không ở trong môi trường văn phòng được kiểm soát.
|
- Sử dụng nền
tảng hội nghị truyền hình
đáng tin cậy
với khả năng chia sẻ màn
hình;
- Yêu cầu đơn vị
được kiểm toán
chuẩn
bị trước hồ sơ;
- Cung cấp hướng dẫn
rõ ràng
và thực
hiện thử nghiệm công
nghệ
trước.
|
|
4
|
Lưu trữ hồ sơ.
|
- Mất thông tin quan trọng;
- Thông tin
sai lệch
- Phân tích
không đầy
đủ.
|
Tài liệu hiệu quả
về quy trình
phỏng
vấn từ xa và
ghi lại
các ghi
chú chi tiết
có thể yêu cầu các công cụ và kỹ thuật bổ
sung.
|
- Thỏa thuận ghi âm phiên họp (nếu
được phép);
- Ghi chép
chi tiết
và tóm tắt các điểm chính;
- Sử dụng phần
mềm ghi chú
kỹ
thuật số hoặc phần mềm ghi âm.
|
|
5
|
Phiên dịch ngôn ngữ cơ thể.
|
- Giải thích sai;
- Thiên vị hoặc mơ hồ.
|
Có thể khó khăn hơn để nhận ra các tín hiệu phi ngôn ngữ tinh tế và ngôn ngữ cơ thể thông qua nguồn cấp dữ
liệu video.
|
- Cung cấp rõ ràng hướng dẫn và thử nghiệm công nghệ trước;
- Bố trí thêm thời gian để
thiết lập mối quan hệ và
bảo
đảm quyền riêng
tư.
|
|
6
|
Mối quan tâm về tính bảo mật và tính an ninh.
|
Nguy cơ vi phạm dữ liệu và truy cập trái phép, có khả năng xâm phạm thông tin nhạy cảm.
|
Đơn vị được kiểm
toán áp
dụng
cài đặt bảo mật.
|
- Đánh giá
tính bảo
mật của các
nền
tảng;
- Xây dựng chính sách/hướng dẫn kỹ
thuật để sử dụng an toàn
các công cụ
kiểm toán
từ
xa;
- Xây dựng bảng câu hỏi để đánh giá rủi ro và xác định biện pháp xử lý thích hợp.
|
MỘT SỐ VÍ DỤ VỀ XÁC
NHẬN TỪ XA
KTVNN có thể tham khảo một
số ví dụ về khó khăn, vướng mắc thường
gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi xác nhận từ xa như:
|
STT
|
Một số khó khăn, vướng mắc thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Truy cập vào dữ liệu nhạy
cảm.
|
Quy trình xác
nhận
những vấn đề trở ngại.
|
Khó có được thông tin liên hệ chính xác để gửi xác nhận.
|
Thực hiện thỏa
thuận bảo mật với đơn vị được kiểm toán.
|
|
2
|
Công nghệ và cơ sở hạ tầng không đầy đủ.
|
Khó khăn
trong việc
xác nhận từ xa.
|
Bên thứ ba định vị
ở vùng
sâu vùng xa.
|
Thực hiện các phương pháp thay
thế.
|
|
3
|
Xác minh
chính xác danh tính của người nhận.
|
Mối quan tâm về tính xác thực.
|
Khó khăn trong
việc
xác minh
danh tính của
bên thứ ba.
|
- Sử dụng nền
tảng trực tuyến an toàn;
- Theo dõi
các yêu cầu
xác nhận kịp thời.
|
|
4
|
Thiếu quyền truy
cập vào
các tài liệu
gốc.
|
Mối quan tâm về tính hợp lệ của tài liệu.
|
Phụ thuộc vào bản scan hoặc
chữ ký
điện
tử.
|
- Sử dụng nền
tảng chứng từ điện tử an toàn;
- Sử dụng chữ ký số có cơ chế xác thực mạnh;
- Thực hiện kiểm
tra tính
hợp
lệ.
|
|
5
|
Tính kịp thời của
phản hồi.
|
Hoàn thành chậm hơn thời
gian hạn định.
|
Sự chậm trễ
trong việc nhận phản hồi xác nhận.
|
- Theo dõi nhất quán các yêu cầu thông tin;
- Quy định thời hạn
rõ ràng;
- Cải thiện kênh thông tin liên lạc;
|
|
6
|
Các vấn đề liên quan đến CSDP.
|
Các vi phạm tiềm ẩn về
tính bảo mật, tính an ninh và bảo vệ dữ
liệu.
|
Các tác nhân
độc
hại chặn thông
tin liên lạc
giữa KTVNN và
đơn vị
được kiểm toán
dẫn
đến vi phạm dữ liệu.
|
- Sử dụng VPN;
- Sử dụng mã hóa;
- Sử dụng các phương thức truyền dữ
liệu an toàn;
- Cung cấp đào tạo liên quan cho nhân
viên.
|
MỘT SỐ VÍ DỤ VỀ THỰC
HIỆN LẠI TỪ XA
KTVNN có thể tham khảo một
số ví dụ về khó khăn, vướng mắc thường
gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi thực hiện lại từ xa như:
|
STT
|
Một số khó khăn, vướng mắc thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Truy cập hạn chế vào hệ thống và dữ liệu của
đơn vị được kiểm toán.
|
Bằng chứng
kiểm toán
không đầy
đủ.
|
Hệ thống tài chính không thể tiếp cận.
|
- Yêu cầu tài liệu chi tiết và ảnh chụp màn hình của các giao dịch và kiểm soát ban đầu;
- Sử dụng các công cụ truy cập từ
xa để truy cập có
kiểm
soát vào
hệ
thống của đơn vị được kiểm toán;
- Duy trì các
kênh thông tin liên lạc rõ ràng;
|
|
2
|
Vấn đề kỹ
thuật.
|
Quá trình kiểm toán bị gián đoạn.
|
Kết nối kém trong quá trình thực hiện lại
từ xa.
|
Bảo đảm cơ sở
hạ tầng kỹ thuật tốt.
|
|
3
|
Bảo đảm tính xác thực và toàn vẹn dữ liệu.
|
Mối quan tâm về tính chính xác và toàn
vẹn
của dữ liệu.
|
Khó khăn
trong việc
xác minh
các báo cáo được
tổng hợp mang tính
hệ
thống.
|
- Sử dụng/hợp tác với kiểm toán nội bộ của đơn
vị được kiểm toán;
- Sử dụng các công cụ phân tích dữ liệu.
|
|
4
|
Không đủ kiến thức
về kỹ thuật.
|
Quá trình bị gián đoạn.
|
Không thể vận hành một số công cụ kiểm toán nhất định.
|
Mời hoặc thuê các kỹ thuật viên và chuyên gia nếu cần thiết.
|
|
5
|
Vấn đề giao
tiếp và
phối
hợp.
|
Hiểu không đúng và chậm trễ.
|
Thiếu sự phối
hợp giữa các
KTVNN và đơn vị
được kiểm toán.
|
Duy trì các
kênh và giao thức
liên lạc rõ ràng.
|
MỘT SỐ VÍ DỤ VỀ THỦ TỤC
PHÂN TÍCH TỪ XA
KTVNN có thể tham khảo một
số ví dụ về khó khăn, vướng mắc thường
gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi thực hiện thủ tục phân tích từ xa như:
|
STT
|
Một số khó khăn, vướng mắc thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Thiếu quyền truy
cập từ xa.
|
Không có khả năng thực
hiện phân
tích dữ
liệu theo thời gian thực, tăng rủi ro kiểm toán và khả năng thiếu thông tin quan trọng.
|
Đoàn kiểm toán bị hạn chế
trong việc truy cập cơ sở dữ liệu của các đơn vị được kiểm toán từ xa.
|
- Sử dụng các giao thức an toàn, chẳng hạn như
VPN;
- Thỏa thuận chính thức với đơn vị
được kiểm toán
để
chia sẻ dữ liệu từ xa.
|
|
2
|
Dữ liệu không được số hóa.
|
Khó khăn
trong việc
thực hiện phân
tích.
|
Các đơn vị được kiểm
toán phụ thuộc rất
nhiều vào
các bản
cứng, gây
khó khăn cho việc
chia sẻ khối lượng lớn tài liệu điện tử.
|
Thông báo trước cho đơn vị
được kiểm toán
để
cung cấp số liệu, tài
liệu
dưới dạng số hóa.
|
|
3
|
Mối quan tâm về tính toàn vẹn và độ tin cậy của
dữ liệu.
|
Rủi ro sử dụng
dữ liệu không
chính xác hoặc
không đầy đủ, lỗi
kiểm toán
tiềm
ẩn và diễn giải không chính xác.
|
Sự cố với dữ liệu
được cung cấp ở các
định
dạng khác
nhau hoặc
bộ dữ liệu không
đầy
đủ.
|
- Áp dụng kỹ thuật
xác thực dữ liệu;
- Tham chiếu chéo với dữ liệu
của bên
thứ
ba;
- Sử dụng các phương thức truyền dữ
liệu an toàn;
- Yêu cầu tài liệu gốc nếu có thể.
|
|
4
|
Hiểu biết hạn
chế về các
hệ
thống phức tạp.
|
Khó khăn
trong việc
phân
tích dữ
liệu một cách
chính xác, tăng nguy cơ diễn giải không chính xác và khả năng kiểm toán kém hiệu quả.
|
Những thách thức đối với
KTVNN trong việc hiểu rõ
các hệ
thống phức tạp của đơn vị được kiểm toán.
|
- Tổ chức đào tạo chuyên môn đặc thù cho KTVNN;
- Bảo đảm tài liệu hệ thống
chi tiết từ đơn vị được kiểm toán;
- Sử dụng các công cụ phân tích dữ liệu nâng cao.
|
|
5
|
Tính bảo mật và tính an ninh dữ liệu.
|
Nguy cơ vi phạm dữ liệu, xâm phạm thông tin nhạy cảm và các vấn đề mang tính pháp lý.
|
Truy cập trái phép vào tài liệu kiểm toán trong quá trình
chuyển
giao hoặc lưu trữ.
|
- Sử dụng mã hóa;
- Sử dụng hệ
thống chia sẻ tệp an toàn;
- Tuân thủ quy định
bảo vệ dữ liệu.
|
MỘT SỐ VÍ DỤ VỀ THỬ
NGHIỆM XUYÊN SUỐT TỪ XA
KTVNN có thể tham khảo một
số ví dụ về khó khăn, vướng mắc thường
gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi thử nghiệm xuyên suốt từ xa như:
|
STT
|
Một số khó khăn, vướng mắc thường gặp
|
Một số ảnh hưởng đến cuộc kiểm toán
|
Ví dụ
|
Biện pháp xử lý
|
|
1
|
Quyền truy cập
hạn chế vào
hệ
thống của đơn vị được kiểm toán.
|
Sự gián đoạn trong quá trình kiểm toán.
|
Các đơn vị được kiểm
toán đã
hạn
chế quyền truy cập vào
hệ
thống của họ.
|
Thỏa thuận chính thức với đơn vị
được kiểm toán
để
chia sẻ dữ liệu từ xa.
|
|
2
|
Vấn đề về kỹ
thuật.
|
Sự gián đoạn trong quá trình kiểm toán.
|
Kết nối
internet chất lượng thấp ảnh hưởng đến chất lượng hình ảnh.
|
- Thực hiện kiểm
tra kết nối trước khi kiểm toán;
- Bảo đảm đường
truyền internet ổn định.
|
|
3
|
Mối quan tâm về tính xác thực và tính toàn vẹn.
|
Khó khăn
trong việc
bảo đảm tính
xác thực,
đầy đủ của tài
liệu,
đặc biệt là
với
các tài
liệu
được quét
(scan)
|
KTVNN lo ngại về tính xác thực của dữ
liệu.
|
- Thực hiện các phương pháp xác
minh hiệu
quả;
- Yêu cầu chứng cứ
hỗ trợ thông
qua nhiều
kênh.
|
|
4
|
Xác minh vị trí.
|
Khó khăn
trong việc
xác nhận cổng thông tin và tài liệu chính xác.
|
Các vấn đề liên quan đến việc xác minh vị trí.
|
- Sử dụng các công cụ như Google
Maps để xác
minh chéo;
- Yêu cầu thông tin vị trí chi tiết từ đơn vị
được kiểm toán.
|
MỘT SỐ CÔNG CỤ CÔNG
NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG HỖ TRỢ CHO GIAI ĐOẠN THỰC HIỆN KIỂM TOÁN TỪ XA
Một số công cụ công nghệ thông tin và truyền thông có thể sử dụng để hỗ
trợ cho giai đoạn thực hiện kiểm toán từ xa như:
|
STT
|
Công cụ công nghệ thông tin và truyền thông
|
Các ví dụ
|
|
1
|
Dụng cụ kiểm
tra trên
không
|
Máy bay không
người
lái
|
|
2
|
Chia sẻ vị trí
|
Ứng dụng GIS,
Gắn kết thông
tin về
vị trí địa lý trên smartphone
|
|
3
|
Các công cụ họp video
|
Zoom,
Microsoft Teams, Skype, Cisco, WebEx, Google Meet…
|
|
4
|
Các công cụ phân tích dữ liệu
|
Qlik Sense,
ACL Analytics, IDEA, SQL, Tableua, các phần mềm xây dựng cho các mục đích cụ thể (như:
AUTOCAD, ETABS, ARCHICAD để phân tích cơ sở hạ tầng).
|
|
5
|
Các công cụ giám sát
|
Camera quan sát,
camera 3600…
|
|
6
|
Các công cụ quản lý tài liệu
|
Google Drive,
OneDrive, Dropbox…
|
|
7
|
Phần mềm máy tính từ xa
|
TeamViewer,
AnyDesk…
|
|
8
|
Nền tảng chữ ký điện tử
|
DocuSign,
Adobe Sign…
|
|
9
|
Phần mềm quản lý kiểm toán
|
Hệ thống thông tin quản lý kiểm toán
|
|
10
|
Mạng riêng ảo
|
VPN
|
|
11
|
Công cụ mã hóa dữ liệu
|
Quản lý hệ thống của
KTNN kết hợp mã
hóa và phát hiện
giả mạo
|
|
12
|
Giải pháp lưu trữ đám mây
|
Công nghệ đám mây của KTNN
|