Những lưu ý khi thu thập dữ liệu kiểm toán

Theo Cục Kiểm toán và Kiểm soát Ấn Độ (IA&AD), trong quá trình thu thập dữ liệu, kiểm toán viên cần đảm bảo tính xác thực, tính toàn vẹn, tính liên quan, tính khả dụng và tính bảo mật của dữ liệu.

Cũng theo IA&AD, thu thập dữ liệu là hành động liên quan đến việc có quyền truy cập và thu thập dữ liệu để xem xét quyền sở hữu, bảo mật và độ tin cậy của dữ liệu được thu thập. Đây là khâu đầu tiên trong quá trình phân tích dữ liệu kiểm toán. Quá trình phân tích dữ liệu gồm: Việc thu thập dữ liệu, chuẩn bị dữ liệu, phân tích dữ liệu, công bố kết quả và mô hình phân tích. Phân tích dữ liệu là một lĩnh vực đang phát triển, do đó, Hướng dẫn này của IA&AD cần thường xuyên được rà soát và cập nhật.

IA&AD cho biết, có 2 nhóm dữ liệu lớn là dữ liệu có cấu trúc hoặc phi cấu trúc. Dữ liệu phi cấu trúc gồm các loại dữ liệu như: Văn bản, hình ảnh, âm thanh hoặc video; loại dữ liệu này không dễ lập bảng để phân tích, thống kê bằng số học.

Dữ liệu có cấu trúc có thể được lập dưới dạng bảng, gồm: Dữ liệu phân loại và dữ liệu số. Trong đó, dữ liệu phân loại gồm: Dữ liệu định danh (dữ liệu dùng để mô tả, phân loại các đối tượng như tên, giới tính của một người); dữ liệu thứ tự (dữ liệu mô tả việc xếp loại như xếp hạng dựa trên chất lượng dịch vụ: Rất hài lòng, hài lòng, không hài lòng). Dữ liệu số là dữ liệu khoảng (ví dụ, nhiệt độ được quy định dựa trên các giá trị khác nhau) hoặc dữ liệu tỷ lệ (các chi phí của một công ty có thể so sánh được).

Bên cạnh đó, số lượng biến gồm: Dữ liệu đơn biến, song biến hoặc đa biến. Số lượng biến trong một tập dữ liệu là cơ sở để phân loại thành đơn biến, song biến hoặc đa biến. Dữ liệu đơn biến là dữ liệu chỉ có một biến. Phân tích dữ liệu đơn biến liên quan đến việc tóm tắt và xác định các mẫu trong dữ liệu. Dữ liệu song biến là dữ liệu có 2 biến và áp dụng phân tích thống kê để xác định mối quan hệ giữa 2 biến. Chúng có thể được biểu diễn trên trục X-Y và biểu thị trực quan thông qua các sơ đồ như biểu đồ phân tích để phân tích các mối quan hệ trong loại dữ liệu này. Dữ liệu đa biến là dữ liệu liên quan đến nhiều biến.

Thu thập dữ liệu là cách tiếp cận có hệ thống trong việc thu thập và đo lường thông tin từ nhiều nguồn khác nhau để có được bức tranh đầy đủ, chính xác về một lĩnh vực. Hệ thống công nghệ thông tin cần được nghiên cứu và phát triển đối với quá trình thu thập dữ liệu, điều này sẽ tạo điều kiện thuận lợi cho việc xác định và sử dụng dữ liệu liên quan. Một cơ sở dữ liệu hoàn chỉnh gồm các bảng được chọn trong số các cơ sở dữ liệu, các trường dữ liệu được chọn từ các bảng hoặc dữ liệu liên quan đến các tiêu chí/điều kiện cụ thể cho một giai đoạn cụ thể, vị trí, lớp dữ liệu... Dữ liệu có thể được lấy từ thư mục tập tin phẳng (flat file) hoặc định dạng kết xuất tập tin tùy thuộc vào kích thước dữ liệu. Trong trường hợp không thể lấy dữ liệu/bảng liên quan để phân tích, có thể thu thập toàn bộ dữ liệu.

Trong quá trình thu thập dữ liệu, kiểm toán viên cần đảm bảo tính xác thực (dữ liệu được tạo thông qua quy trình đã được thông báo), tính toàn vẹn (dữ liệu đầy đủ, chính xác và đáng tin cậy), tính liên quan (dữ liệu phù hợp với mục đích đã xác định), tính khả dụng (dữ liệu có thể dễ dàng truy cập) và tính bảo mật (dữ liệu được bảo mật và chỉ những bên được ủy quyền mới có quyền truy cập).

Để đảm bảo tính toàn vẹn của dữ liệu (nghĩa là dữ liệu không bị mất), kiểm toán viên cần kiểm tra như đếm tổng số bản ghi hoặc tổng số cột. Việc hoàn thành thu thập dữ liệu đòi hỏi kiểm toán viên thực hiện các biện pháp kiểm soát tính đầy đủ của dữ liệu, như: Các khoản thuế do người nộp thuế cá nhân nộp phải được cộng vào tổng số thuế thu được tại cơ quan thuế. Kiểm toán viên cần được thông báo về dữ liệu đã hoàn thành và giống với dữ liệu trong hệ thống công nghệ thông tin của đơn vị được kiểm toán tại thời điểm nhận được dữ liệu. Thông báo này thể hiện bằng Chứng nhận mẫu về tính đầy đủ, nhất quán và toàn vẹn của dữ liệu được thu thập từ đơn vị được kiểm toán. Theo đó, đơn vị được kiểm toán xác nhận: Kết xuất dữ liệu đầy đủ và toàn bộ dữ liệu thực tế; không xóa, giả mạo hoặc ghi đè dữ liệu gốc; không có sự thiếu nhất quán dữ liệu, không mất dữ liệu trong quá trình di chuyển dữ liệu từ hệ thống này sang hệ thống khác hoặc sao lưu hoặc do trộm cắp/hack; không gây tổn hại về dữ liệu, tức là phá hủy, thay đổi, sửa đổi, xóa hoặc sắp xếp lại bất kỳ tài nguyên máy tính nào dưới mọi hình thức.

Chỉ những người có thẩm quyền mới được xử lý dữ liệu từ các nguồn dữ liệu để cung cấp cho các kiểm toán viên. Quyền truy cập vào dữ liệu đó phải thông qua quá trình kiểm soát thích hợp để ngăn chặn việc truy cập trái phép dữ liệu.

Sau khi thu thập dữ liệu, kiểm toán viên cần bảo mật dữ liệu; chuẩn bị dữ liệu (sắp xếp dữ liệu cho mục đích phân tích); nhập dữ liệu vào công cụ phân tích; hợp nhất và chia nhỏ dữ liệu; làm sạch dữ liệu; xử lý giá trị trống và các bước chuẩn bị khác; tích hợp dữ liệu và tiến hành các bước phân tích dữ liệu./.
 
Thùy Anh
(Báo Kiểm toán số 17+18/2023)