Kiểm tra hệ thống công nghệ thông tin như thế nào?
Vấn đề:
Thường chỉ có các công ty kiểm toán lớn mới làm phần này, vì họ phải thuê chuyên gia IT mới làm được, làm tăng giá phí kiểm toán lên. Nhưng, kể cả có thuê chuyên gia IT thì họ cũng chỉ làm theo kiểu tư vấn cho khách hàng hoàn thiện về hệ thống công nghệ thông tin (chủ yếu là về bảo mật, lưu trữ, truyền dữ liệu), chứ không thực sự giải quyết triệt để rủi ro gian lận.
Hãy thử trả lời câu hỏi này xem sao nhé: kiểm toán viên đánh giá công việc của IT audit như thế nào, để đảm bảo những người có quyền truy cập vào hệ thống công nghệ thông tin không sửa đổi dữ liệu ảnh hưởng đến BCTC. Chứ ngăn chặn người ngoài không cho truy cập vào HT CNTT thì dễ, và họ có vào thì cũng không sửa dữ liệu để gian lận BCTC làm gì. Các công ty kiểm toán không thực sự làm điều này, dù cho chuẩn mực có quy định rõ trách nhiệm của kiểm toán viên báo cáo tài chính phải như vậy, chứ không phải đẩy hết sang cho chuyên gia IT và kệ họ làm gì thì làm.
Giải pháp:
Về việc kiểm tra hệ thống công nghệ thông tin nói chung, bạn nên xem các quy định trong chuẩn mực kiểm toán về vấn đề này. Ở đó sẽ có những nội dung để ta bám theo đó mà kiểm tra. Bạn có thể xem ở video Xác định rủi ro qua hiểu biết về môi trường đơn vị trong khóa Lý thuyết kiểm toán.
Còn về việc đảm bảo những người có quyền truy cập vào hệ thống công nghệ thông tin không sửa đổi dữ liệu ảnh hưởng đến BCTC, mình sẽ xử lý theo 2 góc độ:
Nếu là chủ sở hữu của doanh nghiệp, muốn đảm bảo giám đốc, kế toán và nhân viên khác không gian lận doanh thu (thường là đảm bảo tính đầy đủ của doanh thu) thì mình sẽ thuê dịch vụ ngoài để tạo nên hệ thống công nghệ thông tin cho việc theo dõi, ghi nhận doanh thu. Ví dụ như phần mềm quản lý của siêu thị, phần mềm bán vé của trạm thu phí đường bộ BOT,… Như vậy thì những người có tiềm năng gian lận sẽ không thể can thiệp được vào hệ thống đó. Kết hợp với quy trình kiểm tra, giám sát để đảm bảo nhân viên thao tác đúng với phần mềm, và có sự phân chia nhiệm vụ rõ ràng, để có nhiều nhân viên độc lập tham gia vào những công đoạn khác nhau của chu trình, thì sẽ giảm thiểu được tối đa gian lận xảy ra.
Nếu là kiểm toán viên, với trường hợp doanh nghiệp thuê dịch vụ ngoài như trên, thì chuẩn mực có quy định rõ ràng kiểm toán viên phải thu thập thêm bằng chứng kiểm toán gì. Bạn có thể xem ở video 3.4.2 Bằng chứng kiểm toán trong khóa Lý thuyết kiểm toán. Nhưng, thường là chẳng có công ty kiểm toán nào làm đúng như vậy đâu. Vì mất thêm phí, mà rủi ro này thấp. Đã thuê ngoài rồi thì người trong công ty khó mà can thiệp vào được. Còn người của bên cung cấp dịch vụ thì không có lý do gì để mà can thiệp. Kể cả người trong công ty có thông đồng với bên kia, thì người đó cũng phải vào công ty để sửa đổi phần mềm. Đó là điều bất khả thi. Còn nếu phần mềm hoạt động trên nền tảng của bên cung cấp dịch vụ, có thể sửa đổi từ bên đó, thì bên này thường là các công ty lớn như tập đoàn FPT. Họ không dại gì thông đồng gian lận như vậy.
Với trường hợp doanh nghiệp tự tạo hệ thống công nghệ thông tin, (thường là các công ty công nghệ, họ sẽ có cả 1 bộ phận công nghệ thông tin lớn để theo dõi hoạt động, sửa đổi hệ thống khi có lỗi, hoặc khi thay đổi theo nhu cầu thị trường), thì rủi ro này lớn hơn. Mình không chuyên về công nghệ, nhưng mình hiểu là người ngoài không thể kiểm tra, đảm bảo rủi ro này, nếu đơn vị không có hệ thống kiểm tra, giám sát cho phép người ngoài kiểm tra gian lận này. Nhưng, để áp dụng công nghệ cho việc kiểm soát triệt để gian lận đó, thì không dễ. Nếu có thì chi phí bỏ ra cũng quá lớn. Ví dụ như ứng dụng công nghệ Block Chain để minh bạch hóa những thay đổi trong hệ thống. Chi phí bỏ ra là khổng lồ so với lợi ích thu được. Và nó còn gây thêm những vấn đề khác như tính bảo mật, tốc độ xử lý.
Cho nên, ứng dụng công nghệ cao siêu không giúp ích được cho vấn đề này. Ta chỉ còn lại duy nhất dữ liệu thô từ HT CNTT để phân tích và tìm ra những dấu vết bất thường cho thấy có sự sửa đổi dữ liệu thôi. Đó gọi là thủ tục phân tích dữ liệu (Data Analytics). Mình đã hướng dẫn thủ tục này ở video Phân tích báo cáo của Luckin’ Coffee (1 scandal gian lận tài chính nổi tiếng trong năm 2020, cùng với Wirecard) trong khóa Thực hành kiểm toán.
Phân tích dữ liệu là 1 trong những nhân tố mà công nghệ 4.0 có tham vọng thay thế nhân viên kiểm toán bằng máy móc (cùng với trí thông minh nhân tạo AI và Deep Learning). Mình không rõ AI và Deep Learning sau này có thể phát triển như thế nào. Nhưng hiện chỉ với phân tích dữ liệu thì không thể thay thế được kiểm toán viên đâu. Vì nó mới chỉ phát hiện ra vấn đề dựa trên những bất thường của số liệu. Còn những bất thường về bản chất giao dịch và thông tin kinh tế thì không thể nhìn thấy, mà chỉ có khả năng phân tích của kiểm toán viên chuyên nghiệp mới làm được thôi.
Ở trường hợp của Luckin’ Coffee, có những người viết gần trăm trang giấy phân tích rõ những dấu hiệu gian lận của Luckin’, trước khi nó vỡ lở. Còn với trường hợp của Wirecard, tờ báo Financial Times cũng đã phân tích được những dấu hiệu bất thường của nó, và lập ra cả 1 series “House of Wirecard”. Financial Times cứ kiên trì lần tìm sai phạm của Wirecard. Đến cuối cùng, khi 1 phóng viên của họ phát hiện ra địa chỉ của 1 đối tác lớn của Wirecard không có thật, thì các cơ quan điều tra mới vào cuộc. KPMG được thuê để kiểm toán đặc biệt, nhưng không thu thập được đầy đủ bằng chứng thích hợp về số dư tiền. Trong khi EY là kiểm toán đương nhiệm không có thông báo gì trước đó.
Các bạn có thể tìm hiểu các thông tin này trên mạng. Nhưng không có chỗ nào phân tích chi tiết báo cáo tài chính của Wirecard cho bạn xem đâu. Cho nên mình mới làm video phân tích chi tiết báo cáo của Wirecard để chi ra những dấu hiệu sai phạm. Trong video phân tích báo cáo Luckin’ Coffee cũng còn có rất nhiều thủ tục khác chứng minh doanh thu đã bị khai khống, cùng với rất nhiều gian lận khác.
Kỹ năng phân tích mới là thứ phân biệt 1 kiểm toán viên thực thụ. Và cần phải có óc kinh doanh mới phân tích được những bất thường về giao dịch, kinh doanh. Mà đó lại là thứ kiểm toán viên thường rất yếu.
Kết hợp với kinh nghiệm phân tích thực tế qua nhiều công ty nữa. Phải thực sự có kinh nghiệm phân tích ra vấn đề rồi, thì mới tích lũy được kỹ năng phân tích cho đúng. Ở loạt video thủ tục phân tích, mình đã ví dụ rất nhiều trường hợp thực tế phân tích ra gian lận như: nhìn vào hàng tồn kho là biết công ty đang giấu doanh thu; nhìn vào doanh thu, lợi nhuận là biết công ty có khả năng ảnh hưởng đến hoạt động liên tục (dù đang rất lãi); nhìn vào phải trả người bán là biết công ty có các vấn đề về pháp lý (không phải quá hạn nợ); nhìn vào phần vay là biết công ty đang đẩy doanh thu lên cho đẹp báo cáo tài chính trước khi niêm yết; …
Đó là các gian lận. Còn các sai sót kế toán thì dễ. Như là phân tích dữ liệu, sổ sách để tìm ra sai sót trong số dư, phân tích sai sót tình giá thành, phân tích sai sót đúng kỳ…
Chỉ có điều, các nội dung này không phải nội dung miễn phí. Bạn có thể dựa trên những gợi ý này của mình để tự nghĩ ra phương pháp kiểm toán, hoặc có thể học theo khóa học của mình nhé.