#2 CONTINUOUS AUDIT LÀ GÌ? | LEARN WITH LONG | LongNguyenCIA

Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online

: https://m.me/nguyenvulong.cia

.

Cảm nhận của học viên về khoá học CIA với Team #LongNguyenCIA

: https://www.facebook.com/longnguyen.cia/reviews 

.

#2 CONTINUOUS AUDIT LÀ GÌ? | LEARN WITH LONG | LongNguyenCIA

.

.
Đây là bài viết thứ hai trong chuỗi Video "Tự học cùng Long"
* mục đích của chuỗi bài viết này là để chia sẻ với các bạn những gì mình đã và đang tìm hiểu để phục vụ cho nghề kiểm toán nội bộ,
* và chủ đề hôm nay là: "Continuous Audit là gì?"

-----

<Continuous Audit là gì?>

Continuous Audit tạm dịch sang Tiếng Việt là Kiểm toán liên tục.

Thông thường, với hình thức kiểm toán truyền thống, các cuộc kiểm toán đối với những khu vực có rủi ro cao thường sẽ có chu kỳ hàng năm, và những khu vực có rủi ro thấp hơn sẽ có chu kỳ lâu hơn nữa.
Chu kỳ kiểm toán càng lâu thì độ trễ giữa thời điểm kiểm tra và thời điểm vấn đề xảy ra sẽ càng dài, việc phát hiện, sửa chữa sẽ càng khó khăn hơn.

Kiểm toán liên tục sẽ giúp giải quyết được vấn đề độ trễ này, thông tin sẽ được kiểm tra liên tục, có thể là theo thời gian thực/ real-time basic hoặc theo một chu kỳ ngắn như hàng ngày, hàng tuần, hàng tháng.
Ngoài ra, việc kiểm tra sẽ được thực hiện tự động trên toàn bộ dữ liệu được chỉ định, điều này có thể giúp kiểm toán cung cấp sự đảm bảo với một mức độ chắc chắn cao hơn so với việc chọn mẫu ngẫu nhiên.

Tóm lại, trong giai đoạn hiện nay, khi mà có rất nhiều thông tin đã được số hóa và lưu trữ một cách có hệ thống, kiểm toán liên tục có thể giúp phòng kiểm toán nội bộ
* phát hiện được vấn đề sớm hơn,
* mở rộng được phạm vi đảm bảo của kiểm toán, và
* tự động hóa các kiểm tra để có thể tập trung hơn vào các hoạt động hỗ trợ, tư vấn

-----

<Đề xuất một số vấn đề cần cân nhắc khi thực hiện Continuous Audit?>

Tiếp theo là, đề xuất một số vấn đề cần cân nhắc khi thực hiện Continuous Audit?

1) Đầu tiên, sản phẩm mong đợi là gì?

Có thể là các báo cáo về một số chỉ số Key Risk Indicators (KRI) được lập định kỳ, và thông báo ngay cho quản lý các bộ phận liên quan các dấu hiệu bất thường. Một số KRI có thể được sử dụng như: tỷ lệ nợ khó đòi - nợ xấu, số lượng phàn nàn từ khách hàng, tỷ lệ nghỉ việc của nhân viên, số lần yêu cầu reset mật khẩu, hình ảnh trên truyền thông đại chúng, và còn nhiều nữa, tùy thuộc vào hoạt động của công ty bạn, có thể Google từ khóa Key Risk Indicators để tham khảo thêm.

Có thể là các báo cáo phân tích các thông tin để tìm ra các dấu hiệu không tuân thủ, sai sót, gian lận như: chia nhỏ các giao dịch để tránh hạn mức thanh toán, hoặc thanh toán lặp, và các gian lận khác, bạn có thể tìm hiểu các thủ tục phân tích ở chuỗi Video "Cơ bản về Gian lận" của Long. Các giao dịch bất thường sẽ được kiểm tra ngay mà không cần chờ đến một cuộc kiểm toán chính thức.

Cũng có thể là bất cứ hình thức báo cáo nào khác, miễn là mục tiêu của từng Test và Các tiêu chí đánh giá được xác định rõ ràng, đủ để thực hiện các Test một cách tự động và thường xuyên.

-----

2) Thứ hai, lựa chọn phương pháp thực hiện

Có rất nhiều cách thực hiện, bạn có thể đề nghị mua thêm một modules kiểm toán, hoặc yêu cầu bổ sung các báo cáo phân tích cho mục đích kiểm toán vào hệ thống hiện tại, hoặc mua các phần mềm kiểm toán. Những giải pháp này sẽ rất tốt nhưng cũng có một nhược điểm là yêu cầu nhiều chi phí và nhiều hỗ trợ từ bộ phận IT.

Vẫn còn một cách khác, đó là định kỳ lấy những dữ liệu cần thiết từ hệ thống, và tự thiết kế các công cụ để thực hiện các phân tích. Bạn có thể xem thêm một số ví dụ trong chuỗi Video "Công cụ Kiểm toán" của Long.

-----

3) Thứ ba, trao đổi kết quả của kiểm toán liên tục đến các bên liên quan

Danh sách người nhận kết quả của kiểm toán liên tục sẽ cần được xác định trước, và phê duyệt giống như một cuộc kiểm toán thông thường, để đảm bảo thông tin chỉ đến đúng những người có thẩm quyền phù hợp. Danh sách này sẽ cần được kiểm tra và cập nhật định kỳ.

Ngoài ra, kết quả của kiểm toán liên tục cũng cần được follow up giống như hình thức kiểm toán thông thường

-----

Vừa rồi là sơ lược những gì mình biết về Continuous Audit -- Kiểm toán liên tục, một cách tiếp cận rất phù hợp trong giai đoạn chuyển đổi số - digital transformation hiện nay, hy vọng bài viết có thể giúp các bạn có thêm một nguồn để tham khảo về hướng thực hiện Kiểm toán liên tục trong tổ chức của mình.

Cảm ơn các bạn đã đọc bài viết, chào tạm biệt và hẹn gặp lại
.

.

.

-----------------------------------------------------------------------
Like & Share bài viết cho bạn bè của bạn,
.
Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online:
https://m.me/nguyenvulong.cia
.
Giới thiệu về Team #LongNguyenCIA
1) Hoàn thành CIA trong 10 tháng : http://bit.ly/getCIAin10months
2) Hoàn thành CISA (663/800 điểm) trong 6 tháng : http://bit.ly/getCISAin6months
.
Cảm nhận của học viên về khoá học CIA với Team #LongNguyenCIA
: https://www.facebook.com/longnguyen.cia/reviews/ 
.
CIA Vietnam Community: https://www.facebook.com/groups/cia.vietnam hy vọng có thể cùng nhau chia sẻ chuyện nghề, chuyện học kiểm toán nội bộ,
-----------------------------------------------------------------------

#6 GIAN LẬN THANH TOÁN - BILLING SCHEMES | BASIC FRAUD | LongNguyenCIA

Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online

: https://m.me/nguyenvulong.cia

.

Cảm nhận của học viên về khoá học CIA với Team #LongNguyenCIA

: https://www.facebook.com/longnguyen.cia/reviews 

.

#6 GIAN LẬN THANH TOÁN - BILLING SCHEMES  | BASIC FRAUD | LongNguyenCIA

.

.
Bài viết này là để chia sẻ với các bạn những gì mình biết về đặc điểm của các loại gian lận, cách kiểm soát và các thủ tục kiểm toán có thể sử dụng. Chủ đề hôm nay là Billing Schemes/ Gian lận các khoản thanh toán.

Đây là Bài viết thứ 6 trong chuối bài giới thiệu về các loại gian lận trong Fraud Tree của ACFE. Bạn có thể tìm thấy Fraud Tree trên trang web của ACFE.

Quay lại với chủ đề hôm nay, Billing Schemes/ Gian lận các khoản thanh toán. Đặc điểm của loại gian lận này là
(1) Xảy ra ở những bộ phận có chức năng mua hàng
(2) Mục đích chính là để lấy tiền của công ty
(3) Và thường có hai hình thức:
* Thứ nhất, Shell Company -- Lập công ty để xuất hóa đơn, hoặc là mua hóa đơn
* Thứ hai, Personal Purchases -- Mua hàng cho mục đích cá nhân

Các hình thức gian lận, nói chung, chỉ có thể dễ dàng thực hiện khi hệ thống kiểm soát vận hành chưa hữu hiệu và hiệu quả. Mình sẽ làm rõ hơn về 2 hình thức này, và đề xuất các kiểm soát, cũng như các thủ tục kiểm toán sau đó.

**

Đầu tiên là Shell Company -- Lập công ty để xuất hóa đơn, hoặc là mua hóa đơn
Một Shell Company là một công ty có đăng ký thật, có tên, có địa chỉ cũng như số điện thoại để nhân viên và các đồng phạm có thể thực hiện hành vi gian lận. Nhân viên có thể thành lập hoặc mua lại công ty dưới tên một người khác như vợ/ chồng hoặc một chứng minh nhân dân nào đó được mua lại ở hiệu cầm đồ. Địa chỉ và số điện thoại thì có thể sử dụng các dịch vụ văn phòng chung.

Để thực hiện được hình thức gian lận thanh toán cho Shell Company, nhân viên cần có thẩm quyền phê duyệt mua hàng, phê duyệt việc thanh toán, và giám sát việc thanh toán. Nhân viên thường sẽ mở một tài khoản ngân hàng dưới tên Shell Company và thực hiện thanh toán vào tài khoản này, cho các hàng hóa hoặc dịch vụ mà công ty chưa bao giờ nhận được.

Thông thường, nhân viên sẽ chọn mua các dịch vụ từ Shell Company như dịch vụ tư vấn, bảo trì. Như vậy sẽ khó kiểm tra và phát hiện hơn.

Ngoài ra, nhân viên có thể không cần lập công ty ảo mà thực hiện gian lận thông qua hành vi mua hóa đơn.

**

Thứ hai là Personal Purchases -- Mua hàng cho mục đích cá nhân
Nhân viên mua các mặt hàng để sử dụng cho mục đích cá nhân hoặc để bán lại kiểm lời. Thường là các công cụ, máy tính, linh kiện bảo trì, hoặc văn phòng phẩm. Nhân viên có thể đến nhận hàng trực tiếp tại nhà cung cấp để tránh việc hàng được giao tới công ty.

Trong cà hai hình thức gian lận vừa trình bày thì hàng tồn kho thực tế sẽ khác với sổ sách. Tuy nhiên đối với trường hợp mua dịch vụ thì sẽ rất khó kiểm tra và phát hiện.

**

Đối với các hình thức gian lận Billing Schemes thì có thể đề xuất một số biện pháp kiểm soát như sau

(1) Đầu tiên, thực hiện phân công phân nhiệm giữa các nhiệm vụ mua hàng, kế toán , thanh toán

(2) Thứ hai, đối chiếu hóa đơn, chứng từ giao nhận hàng hóa hoặc nghiệm thu dịch vụ, và chi tiết đơn đặt hàng trước khi ghi nhận các khoản phải trả, thanh toán

(3) Thứ ba, trước khi nhập một công ty mới vào danh sách nhà cung cấp, kiểm tra địa chỉ và số điện thoại của các nhà cung cấp, đối chiếu với địa chỉ của nhân viên phụ trách hoặc địa chỉ của các dịch vụ văn phòng chung

(4) Thứ tư, đơn đặt hàng phải có diễn giải chi tiết về các đặc điểm kỹ thuật, thời gian, giá cả và chỉ được mua hàng sau khi đơn đặt hàng được phê duyệt bởi người có thầm quyền

(5) Thứ năm, yêu cầu hóa đơn phải thể hiện rõ các nội dung về loại hàng, số lượng, đơn giá, ngày tháng và chỉ thực hiện thanh toán sau khi đã đối chiếu với yêu cầu mua hàng, đơn đặt hàng, và yêu cầu thanh toán đã được phê duyệt bởi người có thẩm quyền

**

Cuối cùng là đề xuất một số thủ tục có thể giúp phát hiện các dấu hiệu gian lận. Các thủ tục này sẽ giúp xác định khu vực cần lưu ý để thực hiện các kiểm tra chi tiết hơn

(1) Trước tiên, lọc ra các trường hợp hóa đơn thiếu PO, thiếu chữ ký phê duyệt hoặc phê duyệt sai thẩm quyền để kiểm tra chi tiết

(2) Thứ hai, lọc ra các trường hợp trùng lặp PO, số tiền, số hóa đơn để kiểm tra chi tiết.

(3) Thứ ba, lọc ra các trường hợp không trùng lặp hoàn toàn nhưng có tên gần giống với các Vendor khác trên danh sách nhà cung cấp, lưu ý các nhà cung cấp không được nhập đủ các thông tin chi tiết.

Đối với hai thủ tục vừa nêu, bạn có thể sử dụng công cụ Phát hiện thanh toán lặp L đã giới thiệu trong chuỗi Video về công cụ kiểm toán, mình sẽ để link dưới phần mô tả.

(4) Thứ tư, tổng hợp chi phí hàng tháng theo Vendor, lưu ý các trường hợp có biến động bất thường

(5) Thứ năm, phân tích bảng phân chia nhiệm vụ, xác định các trường hợp một nhân viên kiêm nhiệm nhiều chức năng như mua hàng, xử lý hóa đơn, xứ lý biên bản giao nhận, kế toán, thanh toán

(6) Thứ sáu, đối chiếu địa chỉ và số điện thoại của nhân viên với các nhà cung cấp đang sử dụng, lưu ý các trường hợp nhà cung cấp không nằm trong danh sách được phê duyệt

(7) Thứ bảy, tổng hợp chi phí cho dịch vụ tư vấn, chuyên gia và kiểm tra chi tiết, lưu ý các trường hợp không gắn với một dự án cụ thể nào hoặc có sự chênh lệch lớn giữa chi phí thực tế và ngân sách

(8) Thứ tám, đối chiếu các thông tin giữa nhận hàng và hóa đơn, tài khoản phải trả và tồn kho, xác định các chênh lệch để kiểm tra chi tiết

(9) Thứ chín, lọc ra các trường hợp địa điểm giao hàng không phải là các địa điểm kinh doanh của công ty để kiểm tra chi tiết

và vẫn còn nhiều cách khác nữa để tìm kiếm các dấu hiệu bất thường, tùy thuộc vào các đặc điểm thực tế của Công ty mà các bạn có thể lựa chọn một giải pháp phù hợp

**

Vừa rồi là một số đề xuất kiểm tra và phát hiện các dấu hiệu gian lận thanh toán. Bài viết sau mình sẽ tiếp tục với một hình thức gian lận trong thanh toán nữa, là các khoản nhân viên tạm ứng và yêu cầu công ty thanh toán lại.

Cảm ơn các bạn đã đọc bài viết ♥♥️. Chào tạm biệt và hẹn gặp lại ✋
.

.

.

-----------------------------------------------------------------------

Like & Share bài viết cho bạn bè của bạn,

.

Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online:

https://m.me/nguyenvulong.cia

.

Giới thiệu về Team #LongNguyenCIA

1) Hoàn thành CIA trong 10 tháng : http://bit.ly/getCIAin10months

2) Hoàn thành CISA (663/800 điểm) trong 6 tháng : http://bit.ly/getCISAin6months

.

Cảm nhận của học viên về khoá học CIA với Team #LongNguyenCIA

: http://bit.ly/ReviewsTeamLongNguyenCIA

.

CIA Vietnam Community: https://www.facebook.com/groups/cia.vietnam hy vọng có thể cùng nhau chia sẻ chuyện nghề, chuyện học kiểm toán nội bộ,

-----------------------------------------------------------------------

#1 IT AUDIT THÌ LÀM GÌ? | LEARN WITH LONG | LongNguyenCIA

Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online

: https://m.me/nguyenvulong.cia

.

Cảm nhận của học viên về khoá học CIA với Team #LongNguyenCIA

: https://www.facebook.com/longnguyen.cia/reviews 

.

#1 IT AUDIT THÌ LÀM GÌ? | LEARN WITH LONG | LongNguyenCIA

.

.
Đây là Bài viết đầu tiên trong chuỗi bài viết "Tự học cùng Long"
* mục đích của chuỗi bài viết này là để chia sẻ với các bạn những gì mình đã và đang tìm hiểu để phục vụ cho nghề kiểm toán nội bộ,
* chủ đề hôm nay là: "IT audit thì làm gì?"

-----
IT audit tạm dịch Tiếng Việt là Kiểm toán công nghệ

Trước tiên, IT audit là audit -- nên cũng cần phải
* đáp ứng những tiêu chuẩn cơ bản của nghề kiểm toán như độc lập, khách quan
* thực hiện các nhiệm vụ cơ bản của nghề kiểm toán như đảm bảo, tư vấn
* và cách tiếp cận cũng đi từ mục tiêu - rủi ro - kiểm soát đến kiểm toán

IT Audit cũng có những hội nghề nghiệp và một trong số đó là I-SA-CA với chứng chỉ CISA - Certified Information Systems Auditor rất nổi tiếng

Tương tự như các mảng kiểm toán khác, IT Audit cũng có các chuẩn mực và hướng dẫn hành nghề, như ITAF -
 với bố cục rất quen thuộc
1) Chuẩn mực chung
1) Chuẩn mực hoạt động
3) Chuẩn mực báo cáo
Bạn có thể tìm thấy ITAF trên trang web của I-SA-CA, được cung cấp hoàn toàn miễn phí

-----
Tiếp theo, đối tượng của IT audit là IT, là công nghệ, hệ thống thông tin, hệ thống máy tính, và những thứ giống vậy
* chứ không phải là kiểm toán tuân thủ, kiểm toán báo cáo tài chính, hay kiểm toán hoạt động của doanh nghiệp

Tuy nhiên, vào thời điểm này, khi mà hầu hết hoạt động ở các doanh nghiệp đều có sử dụng máy tính, hầu hết thông tin đều có một bản sao trên các ổ đĩa, và máy tính thường có nối mạng, thì
1) Thông tin được cập nhật nhanh và chính xác sẽ giúp hoạt động của doanh nghiệp sẽ hữu hiệu và hiệu quả hơn
2) Một hệ thống thông tin đáng tin cậy sẽ cung cấp các báo cáo đang tin cậy
3) Các hệ thống giám sát tốt sẽ giúp việc tuân thủ các quy định dễ dàng hơn

Do đó, IT audit không thể xem như là một phần tách rời -- khỏi các cuộc kiểm toán khác của kiểm toán nội bộ

-----

Về hình thức thì, tạm thời có thể chia IT audit thành 3 nhóm

1) Nhóm thứ nhất, kiểm toán các ứng dụng được sử dụng bởi người dùng cuối như email, hay cả ERP

Yêu cầu có kiến thức về các quy trình hoạt động, về kế toán, đồng thời hiểu về các hệ thống ứng dụng - application systems. Không bắt buộc phải là dân kỹ thuật mới có thể tham gia nhóm này

Mục tiêu của nhóm này thường là cung cấp sự đảm bảo về các vấn đề liên quan đến
- Phân quyền truy cập vào ứng dụng
- Quản lý những thay đổi trên ứng dụng
- Tính toàn vẹn và chính xác của dữ liệu
- Và một số vấn đề khác nữa liên quan đến các ứng dung
Những mục tiêu này giống với IT General Control và Application Control trong chương trình của CIA

2) Nhóm thứ hai, phân tích dữ liệu
Yêu cầu có kiến thức về dữ liệu và kiểm toán để có thể lấy dữ liệu từ hệ thống và phân tích, phục vụ cho mục đích kiểm toán

Nhóm này có thể phát triển các ứng dụng phân tích, hoặc giám sát liên tục, ý tưởng cũng giống như các Audit Tool mà Long đã giới thiệu ở chuỗi Video trước. Và nếu làm tốt, thay vì phải chọn mẫu như truyền thống thì việc kiểm toán có thể thực hiện trên 100% dữ liệu một cách nhanh chóng.

Mình đã thử làm việc này, và thấy rằng sẽ cần khá nhiều thời gian để tìm hiểu cái gì đang được lưu ở đâu và nó có ý nghĩa là gì trước khi bạn có thể bắt đầu lấy dữ liệu và phân tích để tìm ra thứ gì đó thực sự có ý nghĩa

3) Nhóm thứ ba, kiểm toán công nghệ chuyên sâu - in-depth technical auditors
Yêu cầu có kiến thức về những công nghệ đằng sau của các hệ thống ứng dụng, phần lớn là dân kỹ thuật

Mục tiêu của nhóm này thường là cung cấp sự đảm bảo về vấn đề an toàn của
- Databases - Cơ sở dữ liệu
- Operating systems - Hệ điều hành
- Networks - Hệ thống mạng
- Data Center - Các trung tâm dữ liệu

Họ có thể hỗ trợ nhóm kiểm toán ứng dụng trong một số tình huống nhưng sẽ cần bổ sung thêm kiến thức về quy trình, kế toán và phương pháp kiểm toán

Theo quan điểm của mình, các nhóm sẽ có những ưu và nhược điểm riêng, nên sẽ rất tốt nếu phòng IT Audit của bạn có cả 3 nhóm này, khi đó mức độ đảm bảo của phòng kiểm toán đối với các rủi ro về IT sẽ tốt hơn

-----
Vừa rồi là sơ lược những gì mình biết về công việc của IT audit, hiện nay nhiều phòng kiểm toán đã bắt đầu tích hợp hoạt động IT audit vào kế hoạch làm việc của mình, hy vọng có thể giúp các bạn vừa nhận nhiệm vụ IT audit có thêm một nguồn để tham khảo về những gì mình có thể đóng góp cho công ty.

Bài viết sau mình sẽ chia sẻ kinh nghiệm của mình về CISA - Certified Information Systems Auditor, một chứng chỉ nghề nghiệp của IT audit khá nổi tiếng

----- 🔎 Tham khảo: IT Auditing -- Chris Davis 🔎
-----
.

.

.

-----------------------------------------------------------------------

Like & Share bài viết cho bạn bè của bạn,

.

Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online:

https://m.me/nguyenvulong.cia

.

Giới thiệu về Team #LongNguyenCIA

1) Hoàn thành CIA trong 10 tháng : http://bit.ly/getCIAin10months

2) Hoàn thành CISA (663/800 điểm) trong 6 tháng : http://bit.ly/getCISAin6months

.

Cảm nhận của học viên về khoá học CIA với Team #LongNguyenCIA

: http://bit.ly/ReviewsTeamLongNguyenCIA

.

CIA Vietnam Community: https://www.facebook.com/groups/cia.vietnam hy vọng có thể cùng nhau chia sẻ chuyện nghề, chuyện học kiểm toán nội bộ,

-----------------------------------------------------------------------