Quyết định 243/QĐ-KTNN năm 2025 về Hướng dẫn kiểm toán từ xa do Tổng Kiểm toán Nhà nước ban hành

Số hiệu	243/QĐ-KTNN
Cơ quan ban hành	Kiểm toán Nhà nước
Ngày ban hành	21/02/2025
Ngày công báo	Đã biết
Lĩnh vực	Kế toán - Kiểm toán

Loại văn bản	Quyết định
Người ký	Ngô Văn Tuấn
Ngày có hiệu lực	Đã biết
Số công báo	Đã biết
Tình trạng	Đã biết

KIỂM TOÁN NHÀ NƯỚC -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 243/QĐ-KTNN	Hà Nội, ngày 21 tháng 02 năm 2025

QUYẾT ĐỊNH

BAN HÀNH HƯỚNG DẪN KIỂM TOÁN TỪ XA

TỔNG KIỂM TOÁN NHÀ NƯỚC

Căn cứ Luật Kiểm toán nhà nước ngày 24 tháng 6 năm 2015 và Luật sửa đổi, bổ sung một số điều của Luật Kiểm toán nhà nước ngày 26 tháng 11 năm 2019;

Căn cứ Quyết định số 08/2024/QĐ-KTNN ngày 15 tháng 11 năm 2024 của Tổng Kiểm toán nhà nước về việc ban hành Hệ thống chuẩn mực kiểm toán nhà nước;

Theo đề nghị của Vụ trưởng Vụ Chế độ và Kiểm soát chất lượng kiểm toán.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Hướng dẫn kiểm toán từ xa.

Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày ký.

Điều 3. Thủ trưởng các đơn vị trực thuộc Kiểm toán nhà nước và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

Nơi nhận:
- Như Điều 3;
- Lãnh đạo KTNN;
- Các đơn vị trực thuộc KTNN;
- Lưu: VT, CĐ (02).

TỔNG KIỂM TOÁN NHÀ NƯỚC

Ngô Văn Tuấn

HƯỚNG DẪN

KIỂM TOÁN TỪ XA
(Kèm theo Quyết định số 243/QĐ-KTNN ngày 21 tháng 02 năm 2025 của Tổng Kiểm toán nhà nước)

Chương I

NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

1. Hướng dẫn này được xây dựng trên cơ sở quy định của Luật Kiểm toán nhà nước (KTNN), Hệ thống chuẩn mực kiểm toán nhà nước (CMKTNN), Quy trình kiểm toán của KTNN, các văn bản khác có liên quan, các thông lệ tốt của quốc tế và thực tiễn hoạt động kiểm toán của KTNN.

2. Hướng dẫn này áp dụng chung cho tất cả các loại hình kiểm toán của KTNN và có thể áp dụng cho một cuộc kiểm toán từ xa toàn diện hoặc kiểm toán từ xa một phần (một số nội dung kiểm toán).

3. Trường hợp phát sinh ngoài quy định của Hướng dẫn này, Trưởng Đoàn kiểm toán, Tổ trưởng Tổ kiểm toán phải báo cáo cấp có thẩm quyền theo quy định của KTNN.

Điều 2. Đối tượng áp dụng

Hướng dẫn này áp dụng đối với:

1. Các đơn vị trực thuộc KTNN được giao nhiệm vụ chủ trì thực hiện các cuộc kiểm toán, kiểm tra, thanh tra, giám sát, kiểm soát chất lượng kiểm toán;

2. Các Đoàn kiểm toán của KTNN (gọi tắt là Đoàn kiểm toán), kiểm toán viên nhà nước và thành viên không phải kiểm toán viên nhà nước tham gia hoạt động kiểm toán (gọi tắt là KTVNN);

3. Các tổ chức, cá nhân được ủy thác hoặc thuê thực hiện kiểm toán;

4. Đơn vị được kiểm toán;

5. Các cơ quan, tổ chức, cá nhân khác có liên quan đến hoạt động kiểm toán từ xa.

Điều 3. Mục đích ban hành

1. Tăng cường ứng dụng công nghệ thông tin (CNTT) vào hoạt động kiểm toán của KTNN và từng bước phát triển hoạt động kiểm toán trong môi trường số.

2. Bảo đảm tính thống nhất trong việc tổ chức, thực hiện kiểm toán từ xa và là cơ sở cho hoạt động kiểm tra, thanh tra, kiểm soát chất lượng kiểm toán đối với kiểm toán từ xa.

Điều 4. Giải thích từ ngữ

Trong Hướng dẫn này, các thuật ngữ dưới đây được hiểu như sau:

1. Kiểm toán từ xa là phương thức mà KTVNN ứng dụng công nghệ thông tin và truyền thông tương tác với đơn vị được kiểm toán để thu thập bằng chứng kiểm toán điện tử, làm cơ sở đưa ra ý kiến kiểm toán mà không phụ thuộc vào vị trí làm việc của KTVNN.

2. Dữ liệu điện tử là dữ liệu (ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự) được tạo ra, xử lý, lưu trữ bằng phương tiện điện tử. Dữ liệu điện tử được thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thông, trên đường truyền và các nguồn điện tử khác.

3. Số hóa dữ liệu là quá trình chuyển đổi các thông tin dưới dạng vật lý và các quy trình thủ công sang định dạng kỹ thuật số.

4. Văn bản điện tử là văn bản dưới dạng thông điệp dữ liệu được tạo lập hoặc được số hóa từ văn bản giấy và trình bày đúng thể thức, kỹ thuật, định dạng theo quy định.

5. Tài liệu điện tử là các tài liệu được tạo lập để lưu trữ hoặc được số hóa từ tài liệu lưu trữ bằng phương tiện điện tử.

6. Bằng chứng kiểm toán điện tử là văn bản điện tử, tài liệu điện tử do KTVNN thu thập được liên quan đến cuộc kiểm toán, làm cơ sở cho việc đánh giá, xác nhận và kiến nghị kiểm toán.

7. Trí tuệ nhân tạo (AI) là hệ thống máy tính hoặc phần mềm có khả năng mô phỏng các hành vi và suy nghĩ của con người; bao gồm nhận thức, học hỏi, ra quyết định, giải quyết vấn đề và hỗ trợ con người trong khi thực hiện các nhiệm vụ.

Điều 5. Một số vấn đề chung về kiểm toán từ xa

1. Các dạng kiểm toán từ xa

Dựa vào trình độ CNTT và khả năng ứng dụng các công cụ kiểm toán từ xa của KTVNN và đơn vị được kiểm toán, có thể chia thành kiểm toán từ xa một phần và kiểm toán từ xa toàn diện (xem hình minh họa).

Ghi chú: ICTs (Information and Communication Technology) là các công cụ công nghệ thông tin và truyền thông; CAATs (Computer Assisted Audit Techniques) là các kỹ thuật máy tính hỗ trợ kiểm toán.

a) Kiểm toán từ xa một phần: Được hiểu là việc sử dụng công nghệ hỗ trợ cho kiểm toán từ xa đối với một số nội dung công việc mà không phải tất cả công việc kiểm toán của cuộc kiểm toán; các nội dung khác không thực hiện được kiểm toán từ xa thì thực hiện kiểm toán trực tiếp tại đơn vị để đạt được mục tiêu của cuộc kiểm toán. Kiểm toán từ xa một phần yêu cầu việc số hóa dữ liệu trước khi các tài liệu này được trao đổi giữa KTVNN và đơn vị được kiểm toán.

b) Kiểm toán từ xa toàn diện: Tất cả các hoạt động kiểm toán của cuộc kiểm toán đều được thực hiện từ xa và liên quan đến việc sử dụng các dạng công nghệ khác nhau. Dữ liệu điện tử có thể được thu thập thông qua rất nhiều kênh.

2. Các công cụ kiểm toán từ xa

Thông thường KTVNN có thể sử dụng các công cụ sau đây để thực hiện các bước của quy trình kiểm toán từ xa:

a) Các tài liệu an toàn trao đổi trên các nền tảng để giúp KTVNN và đơn vị được kiểm toán chia sẻ tài liệu và dữ liệu; những nền tảng này có thể bật chế độ hợp tác, kiểm soát phiên bản và kiểm soát truy cập (ví dụ: ShareFile, Box và Google Drive…).

b) Các công cụ phân tích dữ liệu và trực quan hóa dữ liệu có thể được sử dụng để nhận diện xu thế và sự bất thường đồng thời tạo ra bảng điều khiển tương tác để hiểu rõ hơn và trao đổi các phát hiện kiểm toán (ví dụ: Các phần mềm Mircrosoft Power BI, Tableau và IBM Cognos Analytics...).

c) Công cụ đánh giá rủi ro và lập kế hoạch kiểm toán (KHKT) có thể giúp KTVNN đánh giá rủi ro, ưu tiên các vùng kiểm toán và lập KHKT dựa trên rủi ro và các ưu tiên đã xác định (ví dụ: Các phần mềm ACL, GRC, Galvanize HighBond và IDEA…).

d) Công cụ quản lý kiểm toán và quy trình làm việc (ví dụ: TeamMate+, AuditBoard...) có thể giúp quản lý toàn bộ quy trình kiểm toán, từ lập kế hoạch đến lập báo cáo kiểm toán (BCKT). Các công cụ này có thể cung cấp kho dữ liệu trung tâm về hồ sơ kiểm toán, tài liệu làm việc và các phát hiện kiểm toán, tạo điều kiện cho việc phối hợp và trao đổi thông tin giữa các thành viên trong Đoàn kiểm toán.

đ) Nền tảng họp video cho phép KTVNN thực hiện các cuộc phỏng vấn, các cuộc họp và các trao đổi, thảo luận từ xa với đơn vị được kiểm toán và các bên liên quan; duy trì sự trao đổi hiệu quả trong suốt quá trình kiểm toán (ví dụ: Zoom, Microsoft Team và Cisco Webex Meeting và các công cụ ghi âm, ghi hình…).

e) Các công cụ chia sẻ màn hình và màn hình nền từ xa có thể giúp KTVNN truy cập và đánh giá hệ thống và các ứng dụng CNTT của đơn vị được kiểm toán; đánh giá hệ thống kiểm soát, an ninh nội bộ và tính toàn vẹn của dữ liệu (ví dụ: TeamViewer, AnyDesk và Remote Desktop Connection…).

g) Các công cụ thu thập bằng chứng kiểm toán điện tử có thể giúp KTVNN thu thập và quản lý các chữ ký điện tử và duy trì bằng chứng kiểm toán một cách an toàn (ví dụ: Adobe Acrobat, DocuSign và Google Earth…).

h) Các công cụ nhắn tin và phối hợp an toàn có thể cung cấp sự an toàn và các phương tiện hiệu quả cho việc trao đổi thông tin và phối hợp giữa các thành viên của Đoàn kiểm toán (ví dụ: Slack, Microsoft Teams và WhatsApp…).

i) Các công cụ kiểm toán và kiểm soát thường xuyên giúp phân tích và kiểm soát các giao dịch nghiệp vụ kinh tế và các chỉ số hoạt động một cách thường xuyên liên tục theo thời gian thực cho phép KTVNN đưa ra các ý kiến phản hồi và kiến nghị kịp thời (ví dụ: Các phần mềm như ACL Analytics và Arbutus Analyzer…).

k) Công cụ trí tuệ nhân tạo (AI) cũng có thể được sử dụng trong các giai đoạn của cuộc kiểm toán khi điều kiện cho phép nhằm hỗ trợ KTVNN trong việc phát hiện gian lận tài chính qua dữ liệu bất thường; xác minh tính xác thực của video, giọng nói; kiểm tra tính nhất quán của tài liệu và thư điện tử; phát hiện các mẫu dữ liệu bất thường trong giao dịch… (ví dụ: Máy học, học sâu, tự động hóa quy trình bằng robot, xử lý ngôn ngữ tự nhiên, các phần mềm như: Forensic Accounting AI, Blockchain, Deepfake Detection AI, Natural Languge Processing, AI-driven anomaly detection…).

l) Các công cụ an toàn và hiệu quả khác.

3. Rủi ro đối với kiểm toán từ xa

a) Tính xác thực của bằng chứng: Các vấn đề về bóp méo dữ liệu và tính không rõ ràng của dữ liệu có thể phát sinh trong môi trường từ xa; việc xác định danh tính của người dùng không trực tiếp gặp mặt có thể làm tăng nguy cơ thao túng thông tin hoặc thông tin giả mạo. Các tài liệu và video có thể bị điều chỉnh theo hướng tiêu cực và dẫn đến gian lận. Do đó, mức độ sẵn có về công nghệ thông tin và truyền thông cũng như cơ chế vận hành an ninh dữ liệu đóng vai trò đặc biệt quan trọng trong việc giảm thiểu các vấn đề này.

b) Vấn đề an ninh: Kiểm toán từ xa liên quan đến các hoạt động kiểm toán trực tuyến và trao đổi dữ liệu số hóa. Do đó, việc xem xét vấn đề an ninh đối với việc truy cập và lưu trữ dữ liệu là rất quan trọng. Để giải quyết vấn đề này, KTVNN và đơn vị được kiểm toán cần chính thức hóa việc giao thức mạng và thống nhất cam kết đối với Tính bảo mật, Tính an ninh và Bảo vệ dữ liệu (CSDP).

c) Tầm nhìn hạn chế: Khi thực hiện cuộc kiểm toán từ xa, khả năng quan sát thực tế các hoạt động, quy trình và tài liệu của đơn vị được kiểm toán là rất hạn chế. Hạn chế này có thể dẫn đến các lỗi, sự không chính xác hay khả năng gian lận mà nếu thực hiện kiểm toán trực tiếp tại đơn vị có thể dễ dàng phát hiện được.

d) Các thách thức về truyền thông: Thông tin thu thập được thông qua sự tương tác giữa người với người thường phức tạp và có sự khác biệt về thái độ, mức độ biểu cảm…, tuy nhiên điều này không được thể hiện rõ ràng trong môi trường kiểm toán từ xa. Việc trao đổi hạn chế giữa KTVNN và đơn vị được kiểm toán có thể dẫn đến BCKT không đáng tin cậy, không chính xác hoặc không đầy đủ.

đ) Các vấn đề về công nghệ: Kiểm toán từ xa hoàn toàn phụ thuộc vào công nghệ bao gồm phần mềm họp video, nền tảng chia sẻ dữ liệu (đặc biệt dữ liệu có dung lượng lớn) và kết nối internet. Các vấn đề kỹ thuật có thể cản trở quá trình kiểm toán, dẫn đến sự chậm trễ hoặc thiếu chính xác của các phát hiện kiểm toán (ví dụ: Lỗi mạng, lỗi máy tính hoặc sự cố thiết bị).

4. Một số điều kiện thực hiện cuộc kiểm toán từ xa

a) Điều kiện về công nghệ

- Hạ tầng công nghệ thông tin và truyền thông và các công cụ hỗ trợ: Cả KTNN và đơn vị được kiểm toán cần có hệ thống CNTT phù hợp và đáp ứng yêu cầu, bao gồm máy tính, phần mềm và kết nối internet ổn định.

- Tính bảo mật, tính an ninh và bảo vệ dữ liệu (CSDP): Cần có các biện pháp bảo mật dữ liệu, mã hóa thông tin để tránh rò rỉ hoặc mất mát dữ liệu trong quá trình thực hiện kiểm toán từ xa.

b) Điều kiện về pháp lý

Tuân thủ quy định pháp luật hiện hành, đặc biệt là quy định về tính an toàn và bảo mật dữ liệu.

c) Điều kiện về con người

- KTVNN phải có kỹ năng sử dụng công nghệ, hiểu biết về phần mềm và cách thức kiểm toán từ xa.

- Đơn vị được kiểm toán cần có đội ngũ nhân sự hỗ trợ, sẵn sàng cung cấp, trao đổi thông tin và giải trình trong quá trình kiểm toán.

c) Điều kiện về dữ liệu

- Sẵn sàng dữ liệu số: Đơn vị được kiểm toán cần chuyển đổi dữ liệu từ dạng giấy sang dạng số hóa để dễ dàng chia sẻ và xử lý.

- Chất lượng dữ liệu: Dữ liệu phải đầy đủ, chính xác và có khả năng truy xuất nhanh chóng khi được yêu cầu.

d) Trình tự, thủ tục kiểm toán rõ ràng

- Trình tự, thủ tục kiểm toán từ xa cần được xác định rõ ràng tại KHKT, gồm các bước công việc, thời gian thực hiện và các công cụ hỗ trợ…

- KTVNN và đơn vị được kiểm toán cần duy trì liên lạc thường xuyên, kịp thời để xử lý các vấn đề phát sinh.

5. Kiểm soát chất lượng của cuộc kiểm toán từ xa

Kiểm soát chất lượng kiểm toán từ xa tập trung bảo đảm rằng các yêu cầu về chất lượng và tính tuân thủ được đáp ứng khi cuộc kiểm toán được thực hiện từ xa; đặc biệt phải kiểm soát được chất lượng của việc thiết lập hệ thống để bảo đảm tính bảo mật, tính an ninh và bảo vệ dữ liệu (CSDP) phục vụ cho kiểm toán từ xa.

Điều 6. Yêu cầu đối với các đơn vị trực thuộc và các Đoàn kiểm toán

Khi tổ chức thực hiện kiểm toán hoạt động từ xa, các đơn vị trực thuộc và các Đoàn kiểm toán phải tuân thủ Luật KTNN, các quy định pháp luật hiện hành, quy định của cấp có thẩm quyền về kiểm soát quyền lực, phòng, chống tham nhũng, lãng phí, tiêu cực, Hệ thống CMKTNN, Quy trình kiểm toán của KTNN, Quy chế tổ chức và hoạt động của Đoàn KTNN, Quy chế Kiểm soát chất lượng kiểm toán, các quy định khác của KTNN có liên quan và các quy định tại Hướng dẫn này.

Chương II

NHỮNG QUY ĐỊNH CỤ THỂ

Tuân thủ Quy trình kiểm toán của KTNN, Hệ thống CMKTNN, các hướng dẫn kiểm toán đối với từng lĩnh vực kiểm toán và các văn bản khác có liên quan của KTNN; trong đó lưu ý một số vấn đề dưới đây:

Điều 7. Chuẩn bị kiểm toán

1. Khảo sát, thu thập thông tin

Khảo sát, thu thập thông tin từ xa là việc thu thập các tài liệu số hóa, dữ liệu lưu trữ tại KTNN; khai thác bằng CNTT từ xa trên dữ liệu điện tử của đơn vị được kiểm toán, cơ quan, tổ chức, cá nhân có liên quan và báo cáo của đơn vị. Trong đó lưu ý thông tin từ bên trong và bên ngoài đơn vị được kiểm toán có thể thực hiện thông qua các phương pháp thu thập thông tin sau:

- Đánh giá của các lần kiểm toán trước;

- Nghiên cứu các tài liệu lưu trữ của KTNN liên quan đến đơn vị được kiểm toán (nếu có);

- Đề nghị đơn vị được kiểm toán và cơ quan, tổ chức, cá nhân có liên quan đến cuộc kiểm toán báo cáo bằng văn bản, cung cấp các thông tin, tài liệu (gửi qua các phương thức như thư điện tử, gửi fax, chuyển phát bưu gửi...);

- Tìm hiểu về môi trường và các hoạt động kiểm soát của đơn vị được kiểm toán thông qua việc sử dụng ứng dụng phân tích dữ liệu lớn bao gồm dữ liệu nội bộ và bên ngoài.

- Khai thác thông tin có liên quan đến đơn vị được kiểm toán trên các phương tiện thông tin đại chúng;

- Trao đổi, phỏng vấn lãnh đạo, nhân viên và những người có liên quan của đơn vị để thu thập thông tin (có thể sử dụng bảng câu hỏi, thông qua các kênh liên lạc như họp trực tuyến, cổng trao đổi thông tin, công cụ chia sẻ tài liệu...);

- Trao đổi với các cơ quan quản lý chuyên ngành, cơ quan quản lý nhà nước cấp trên trực tiếp của đơn vị được kiểm toán (thông qua các kênh liên lạc như họp trực tuyến, cổng trao đổi thông tin, công cụ chia sẻ tài liệu...);

- Truy cập vào cơ sở dữ liệu quốc gia và dữ liệu điện tử của đơn vị được kiểm toán, của cơ quan, tổ chức, cá nhân có liên quan đến hoạt động kiểm toán để khai thác, thu thập thông tin, tài liệu liên quan trực tiếp đến nội dung, phạm vi kiểm toán (việc truy cập dữ liệu phải tuân thủ quy định của pháp luật và chịu trách nhiệm bảo vệ bí mật, bảo mật, an toàn theo quy định của pháp luật).

- Các phương pháp khác (nếu phù hợp).

2. Lập kế hoạch kiểm toán tổng quát

a) Đánh giá rủi ro

- Đánh giá rủi ro tiềm tàng

+ Rủi ro về tính phức tạp của các giao dịch: Các giao dịch phức tạp của đơn vị được kiểm toán thường khó áp dụng phương thức kiểm toán từ xa hơn kiểm toán trực tiếp tại đơn vị; do đó, làm tăng nguy cơ KTVNN không phát hiện được các giao dịch bất thường của đơn vị được kiểm toán.

+ Rủi ro kiểm toán lần đầu: Đối với các đơn vị được kiểm toán lần đầu, KTVNN sẽ gặp khó khăn hơn khi truy cập vào các ứng dụng của đơn vị được kiểm toán để thu thập thông tin và đánh giá thông tin.

+ Rủi ro về tính chính trực của lãnh đạo đơn vị được kiểm toán: Việc thiếu tương tác trực tiếp với lãnh đạo đơn vị được kiểm toán và không có khả năng quan sát trực tiếp tại đơn vị có thể gây khó khăn cho KTVNN trong việc thu thập thông tin và đánh giá tính chính trực của lãnh đạo đơn vị được kiểm toán.

- Đánh giá rủi ro kiểm soát: KTVNN có thể gặp khó khăn trong việc đánh giá tính hữu hiệu của các hoạt động kiểm soát nội bộ nhất là việc đánh giá sự phân công, phân nhiệm trong tổ chức bộ máy của đơn vị được kiểm toán.

- Đánh giá rủi ro do gian lận

+ Thao túng dữ liệu: Rủi ro có thể phát sinh từ việc thay đổi trái phép hồ sơ điện tử hoặc bộ dữ liệu để che giấu sự bất thường hoặc xuyên tạc dữ liệu.

+ Trình bày các tài liệu không xác thực: Kiểm toán từ xa chủ yếu dựa vào trao đổi thông tin điện tử và tài liệu điện tử nên có thể làm tăng nguy cơ KTVNN nhận được các tài liệu không xác thực như hóa đơn giả, hợp đồng giả, các dữ liệu, tài liệu giả do AI tạo ra, xác nhận không chính xác từ bên thứ ba và các tài liệu khác để hỗ trợ cho giao dịch không đúng quy định.

+ Truy cập trái phép: Việc truy cập từ xa vào hệ thống và dữ liệu điện tử của đơn vị được kiểm toán có thể làm tăng nguy cơ truy cập trái phép của các bên thứ ba, chẳng hạn như: Việc phá hủy dữ liệu, lừa đảo và cài đặt phần mềm độc hại…; điều này có khả năng ảnh hưởng lớn đến tính trung thực của phát hiện, kết quả kiểm toán và có thể gây hại cho cả đơn vị được kiểm toán và KTVNN.

+ Thao túng các công cụ kiểm toán từ xa: Kiểm toán từ xa dựa vào công nghệ nên điều này có thể làm tăng nguy cơ đơn vị được kiểm toán hoặc các bên khác có thể thao túng các công cụ kiểm toán để che giấu sai sót hoặc gian lận. Ví dụ: Đơn vị được kiểm toán có thể thay đổi dấu thời gian, thay đổi vị trí và sửa đổi bản ghi truy cập của người dùng,…

(Tham khảo một số công cụ công nghệ thông tin và truyền thông tương ứng với các thủ tục tìm hiểu về đơn vị được kiểm toán và đánh giá rủi ro tại Phụ lục 01 kèm theo Hướng dẫn).

b) Xác định trọng yếu

Những hạn chế trong việc tìm hiểu đơn vị được kiểm toán cũng như việc truy cập thông tin của đơn vị được kiểm toán trong quá trình kiểm toán từ xa có thể dẫn đến những thay đổi trong việc xác định trọng yếu. Về định lượng, để bảo đảm tính thận trọng, KTVNN có thể áp dụng tỷ lệ mức trọng yếu tổng thể và mức trọng yếu thực hiện ở mức thấp hơn so với kiểm toán trực tiếp tại đơn vị được kiểm toán. Về định tính, KTVNN cần lưu ý xác định các nội dung kiểm toán tuân thủ phù hợp với rủi ro do gian lận đã xác định.

c) Phương pháp và thủ tục kiểm toán

Khi xây dựng KHKT, ngoài các nội dung theo quy định (bao gồm cả các thủ tục kiểm toán theo CMKTNN), KHKT từ xa cần xác định cụ thể các công cụ công nghệ (như họp trực tuyến, trao đổi qua email, cổng trao đổi thông tin...) cần thiết trong từng thủ tục kiểm toán, đánh giá khả năng thu thập bằng chứng đầy đủ và thích hợp cũng như các quy định về bảo mật trao đổi thông tin.

d) Phạm vi kiểm toán

KHKT cần xác định phạm vi kiểm toán phù hợp để giảm thiểu rủi ro kiểm toán. Chẳng hạn, việc kiểm toán từ xa sẽ không thể trực tiếp quan sát, kiểm kê hàng tồn kho, tiền mặt của đơn vị thì có thể bổ sung giới hạn về các khoản mục đó.

3. Chuẩn bị các điều kiện cần thiết

Một số điều kiện cần thiết có thể cần lưu ý thêm so với phương thức kiểm toán trực tiếp tại đơn vị được kiểm toán như:

a) Nhân sự: Đoàn kiểm toán và đơn vị được kiểm toán phải phân công những người chủ chốt chịu trách nhiệm đối với từng nội dung/lĩnh vực kiểm toán quan trọng và bố trí một người là đầu mối chịu trách nhiệm trao đổi giữa hai bên.

b) Tài liệu: Các tài liệu mà Đoàn kiểm toán và đơn vị được kiểm toán sử dụng sẽ ở dạng số hóa hoặc định dạng quét để tạo điều kiện thuận lợi cho việc tải lên và tải xuống thông tin trong thời gian thực hiện.

c) Yêu cầu về tính bảo mật, tính an ninh và bảo vệ dữ liệu (CSDP): Đoàn kiểm toán và đơn vị được kiểm toán đều phải coi trọng đến các yêu cầu về tính bảo mật, tính an ninh và bảo vệ dữ liệu, chẳng hạn như thông qua việc sử dụng thông tin đăng nhập mạng riêng ảo (VPN) và hạn chế quyền truy cập dữ liệu...

d) Công cụ công nghệ thông tin và truyền thông được sử dụng bởi Đoàn kiểm toán và đơn vị được kiểm toán bao gồm cả phần cứng và phần mềm. Trong đó, có thể sử dụng các phần mềm hoặc nền tảng hỗ trợ kiểm toán từ xa như:

- Để giao tiếp giữa hai bên và thực hiện chứng kiến kiểm kê, KTVNN có thể sử dụng các ứng dụng như Microsoft Teams...

- Để quản lý công việc dễ dàng hơn, KTVNN có thể sử dụng các ứng dụng như Lịch Outlook để lên lịch trình và quản lý các cuộc trao đổi...

- Để chia sẻ và lưu trữ dữ liệu trong Đoàn, Tổ kiểm toán, Đoàn kiểm toán có thể sử dụng Google Drive trên đám mây. Nền tảng này cho phép KTVNN tạo, chỉnh sửa, lưu trữ và chia sẻ tài liệu trong thời gian kiểm toán (như kiểm toán trực tiếp tại đơn vị được kiểm toán).

- Để chia sẻ và lưu trữ dữ liệu giữa Đoàn kiểm toán và đơn vị được kiểm toán cần sử dụng cổng trao đổi thông tin của KTNN.

- Để thực hiện phân tích dữ liệu, KTVNN có thể sử dụng các chương trình như Excel, Microsoft Power BI...

Điều 8. Thực hiện kiểm toán

1. Công bố quyết định kiểm toán

Hình thức công bố quyết định kiểm toán có thể được thực hiện bằng cách gửi thông báo hoặc tổ chức công bố tại cuộc họp trực tuyến trên hệ thống CNTT của KTNN.

2. Tiến hành kiểm toán

Tùy thuộc điều kiện của từng cuộc kiểm toán và khả năng đáp ứng về CNTT, cuộc kiểm toán từ xa có thể được tiến hành tập trung tại một địa điểm làm việc hoặc phân tán.

2.1. Thu thập bằng chứng kiểm toán

Các phương pháp, thủ tục kiểm toán nhằm thu thập bằng chứng kiểm toán thường được sử dụng gồm: Quan sát; kiểm tra, đối chiếu; xác nhận từ bên ngoài; tính toán lại; phỏng vấn; thủ tục phân tích; thực hiện lại...

a) Quan sát

Quan sát từ xa đòi hỏi phải sử dụng các công cụ kỹ thuật số để quan sát các quy trình hoặc thủ tục từ xa như: Hình ảnh, dữ liệu camera tại đơn vị được lưu trữ, truyền tải về cho KTNN hoặc sử dụng thiết bị viễn thám thích hợp như máy bay không người lái, hình ảnh vệ tinh,… (Tham khảo một số ví dụ về quan sát từ xa tại Phụ lục 02 kèm theo Hướng dẫn).

b) Kiểm tra

Kiểm tra bao gồm kiểm tra tài liệu, sổ, bản ghi và kiểm tra tài sản.

- Kiểm tra tài liệu, sổ, bản ghi

Việc kiểm tra hồ sơ và tài liệu phụ thuộc rất nhiều vào tài liệu số hóa, đòi hỏi các phương pháp phải an toàn để bảo đảm tính xác thực và trung thực của các tài liệu, hồ sơ. Để bảo đảm tính xác thực của tài liệu trong kiểm toán từ xa cần kết hợp các phương pháp xác minh truyền thống với các giải pháp công nghệ hiện đại như:

+ Xác thực dữ liệu và phân tích so sánh: Bảo đảm tính hợp lệ của dữ liệu bằng cách tham chiếu chéo các tài liệu nhận được với dữ liệu so sánh thích hợp (bằng chứng chứng thực) và tiến hành xác nhận nhiều lớp với các đơn vị có liên quan về các vấn đề mà KTVNN cho là cần thiết để kiểm tra thêm. Phân tích so sánh giúp xác minh tính nguyên bản, chính xác của thông tin và làm rõ sự khác biệt hoặc không nhất quán giữa các hồ sơ, tài liệu.

Trường hợp đơn vị được kiểm toán sử dụng AI để tạo ra các dữ liệu, tài liệu giả mà KTVNN thấy có dấu hiệu nghi ngờ như: Thông tin, số liệu, chữ ký điện tử... không rõ nét, không phù hợp hoặc thống nhất với các tài liệu khác..., KTVNN có thể sử dụng các công cụ thống kê để phát hiện các sai lệch; kiểm tra mẫu dữ liệu thông qua việc đọc và phân tích nội dung; so sánh dữ liệu AI tạo với dữ liệu do con người tạo ra; hoặc sử dụng AI khác để phát hiện lỗi hoặc sai phạm trong dữ liệu... Trường hợp nghi ngờ nhưng không đủ năng lực, công cụ, thời gian để tự đánh giá, KTVNN báo cáo Tổ trưởng Tổ kiểm toán xin ý kiến chỉ đạo của cấp có thẩm quyền để hỗ trợ, xác minh, đánh giá cho phù hợp.

+ Khẳng định về tính xác thực: KTVNN có thể yêu cầu đơn vị được kiểm toán phải khai báo tính xác thực của các tài liệu được cung cấp. Những khẳng định này có thể ở dạng văn bản hoặc bằng miệng (ghi âm). Đối với các tài liệu, dữ liệu qua các thủ tục kiểm toán mà KTVNN có đủ cơ sở xét đoán là giả thì KTVNN cần đánh giá sự ảnh hưởng của tài liệu, thông tin này đến mục tiêu kiểm toán để đưa ra đánh giá và ý kiến kiểm toán phù hợp.

+ Thông tin liên lạc: Đoàn kiểm toán cần thống nhất với đơn vị được kiểm toán về cách thức trao đổi thông tin như thông qua nhân viên được chỉ định và địa chỉ e-mail chính thức để bảo đảm quy trình trao đổi thông tin được kiểm soát và theo dõi, giảm thiểu nguy cơ giả mạo dữ liệu hoặc truy cập trái phép.

+ Thiết lập và sử dụng một quy trình đánh giá được chuẩn hóa và tích hợp: Đoàn kiểm toán có thể thiết lập và sử dụng một quy trình đánh giá được chuẩn hóa và tích hợp để tiến hành các thủ tục kiểm toán; trong đó yêu cầu việc lưu trữ các tài liệu làm việc kiểm toán phải dưới dạng số hóa để tạo điều kiện cho việc truy xuất, so sánh và xác minh được thực hiện dễ dàng và bảo đảm việc quản lý tài liệu có hệ thống và có tổ chức.

+ Dữ liệu điện tử và công nghệ đám mây: Việc chuyển đổi sang dữ liệu điện tử của đơn vị được kiểm toán đã hợp thức hóa các quy trình truyền và lưu trữ dữ liệu. Quá trình sử dụng công nghệ đám mây sẽ bảo đảm dung lượng lưu trữ lớn và mức độ bảo mật cao. Cơ sở hạ tầng đám mây cung cấp một môi trường an toàn để lưu trữ và truy cập các tài liệu liên quan đến kiểm toán, bảo đảm tính khả dụng và bảo vệ dữ liệu.

(Tham khảo một số ví dụ về kiểm tra tài liệu, hồ sơ từ xa tại Phụ lục 03a kèm theo Hướng dẫn).

- Kiểm tra tài sản

Đối với các văn bản gốc dạng giấy, trừ trường hợp tài liệu gốc được đơn vị chuyển phát về trụ sở Cơ quan KTNN, KTVNN sẽ không thể kiểm tra, đối chiếu trực tiếp mà phải thực hiện trên tài liệu dữ liệu điện tử hoặc tài liệu số hóa từ bản gốc. Tương tự, trong trường hợp kiểm tra, đối chiếu hiện vật, KTVNN sẽ phải dựa vào các công cụ hỗ trợ gián tiếp như với phương pháp quan sát (điểm a nêu trên). Tài liệu do đơn vị được kiểm toán cung cấp có thể được thực hiện theo các hình thức: Chuyển phát tài liệu bản giấy; cung cấp tài liệu dưới dạng điện tử (gồm tài liệu số hóa từ bản giấy và dữ liệu gốc dạng điện tử) thông qua hệ thống CNTT của KTNN. KTVNN cần lưu ý để lưu trữ lại bằng chứng cho thấy tài liệu chuyển phát nhận được là của đơn vị được kiểm toán cung cấp.

KTVNN có thể thực hiện các bước kiểm tra tài sản từ xa sau:

+ KTVNN phối hợp với bộ phận kiểm toán nội bộ của đơn vị được kiểm toán (hoặc một bộ phận có chức năng tương tự) để xác minh và kiểm soát tất cả các tài liệu đơn vị được kiểm toán cung cấp cho Đoàn kiểm toán. Yêu cầu lãnh đạo của bộ phận này xác minh rằng các bản mềm của tài liệu là hợp lệ và giống với bản cứng gốc.

+ KTVNN yêu cầu đơn vị được kiểm toán cung cấp tài liệu trên các phương tiện được chỉ định với quyền truy cập hạn chế chỉ bao gồm KTVNN, đơn vị được kiểm toán và bộ phận kiểm toán nội bộ.

+ Sau khi phân tích các tài liệu, KTVNN yêu cầu các thành phần liên quan của đơn vị được kiểm toán thảo luận trực tuyến sơ bộ để xác định các lĩnh vực có rủi ro cao cần kiểm tra tài sản ảo[1].

+ KTVNN sắp xếp kiểm tra tài sản ảo, chỉ định thành phần tham dự, các công cụ được chuẩn bị và sử dụng bởi đơn vị được kiểm toán, các dạng thử nghiệm cần được thực hiện, thời gian kiểm tra tài sản và các nội dung cần kiểm tra.

+ KTVNN gửi kết quả kiểm toán cho đơn vị được kiểm toán, bộ phận cung cấp xác nhận và trả lời thông qua e-mail chính thức hoặc các kênh an toàn khác.

(Tham khảo một số ví dụ về kiểm tra tài sản từ xa tại Phụ lục 03b kèm theo Hướng dẫn).

c) Phỏng vấn

Phỏng vấn từ xa được thực hiện thông qua hình thức trao đổi trực tuyến bằng âm thanh, hình ảnh, tin nhắn, bảng câu hỏi trên hệ thống CNTT thích hợp hoặc phỏng vấn qua điện thoại... Để bảo đảm tính bảo mật cần thiết cho cả KTNN và đơn vị được kiểm toán, trong điều kiện cho phép, KTVNN phải thực hiện phỏng vấn trên hệ thống CNTT của KTNN, hạn chế sử dụng các kênh truyền dẫn khác, đặc biệt là các dịch vụ trực tuyến công cộng. Ngoài ra, thông tin trao đổi từ phỏng vấn từ xa có thể không bảo đảm được tính chính xác như cuộc phỏng vấn thông thường do không thể bảo đảm tuyệt đối khả năng về trách nhiệm, thẩm quyền của đúng đối tượng tham gia vào một cuộc phỏng vấn trực tuyến.

Phỏng vấn từ xa có thể gồm 3 giai đoạn: Chuẩn bị, thực hiện và kết thúc phỏng vấn, bao gồm việc ký biên bản phỏng vấn.

- Để bảo đảm tính hiệu quả của việc phỏng vấn từ xa, KTVNN phải thực hiện các bước chuẩn bị cần thiết, bao gồm lựa chọn phương tiện phỏng vấn và tiến hành chạy thử, lên lịch phỏng vấn và gửi thư mời, soạn thảo câu hỏi phỏng vấn, tổ chức nhóm phỏng vấn, chuẩn bị bản ghi dự phòng, lập hồ sơ người được phỏng vấn và xây dựng kế hoạch phỏng vấn. Chuẩn bị cũng liên quan đến việc xác định giới hạn người tham gia và thời lượng của mỗi cuộc phỏng vấn.

- Trong quá trình phỏng vấn từ xa, KTVNN bảo đảm rằng người được phỏng vấn là đối tượng dự định như được chỉ định trong thư mời, yêu cầu người được phỏng vấn giữ máy quay video của họ, xây dựng mối quan hệ với người được phỏng vấn, chú ý đến ngôn ngữ phi lời nói của họ bằng cách yêu cầu họ điều chỉnh vị trí và khoảng cách với thiết bị, tập trung vào chủ đề, ghi lại cuộc phỏng vấn và chuẩn bị biên bản phỏng vấn.

Ngoài ra, KTVNN cần thận trọng về các vấn đề có thể ảnh hưởng đến việc thực hiện các xác nhận từ xa, đặc biệt là trong các tình huống có thể tiềm ẩn nguy cơ gian lận. Ví dụ lỗi tín hiệu gây gián đoạn trong quá trình phát trực tuyến, đơn vị được kiểm toán bị ngắt kết nối khỏi cuộc thảo luận mà không có lý do có thể kiểm chứng được hoặc đơn vị được kiểm toán cố gắng định hướng KTVNN trong một số điều kiện nhất định mà không có lý do chính đáng.

- Kết thúc phỏng vấn: Nếu biên bản có thể được hoàn thành ngay lập tức, KTVNN sẽ gửi các biên bản này qua tính năng chia sẻ tài liệu và yêu cầu người được phỏng vấn ký tên kỹ thuật số. Trường hợp không thể hoàn thành ngay biên bản, KTVNN gửi các biên bản và yêu cầu người được phỏng vấn ký điện tử hoặc trên một tài liệu in.

Trường hợp đơn vị được kiểm toán sử dụng AI để giả mạo video cuộc họp, giọng nói…, KTVNN có thể sử dụng phần mềm phân tích video, giọng nói để nhận diện nội dung giả mạo hoặc kết hợp sử dụng AI và chuyên gia để kiểm chứng thông tin cho phù hợp.

(Tham khảo một số ví dụ về phỏng vấn từ xa tại Phụ lục 04 kèm theo Hướng dẫn).

d) Xác nhận từ bên ngoài

Thu thập bằng chứng kiểm toán từ bên thứ ba thường thông qua các phương tiện điện tử, chẳng hạn như e-mail, nền tảng trực tuyến an toàn hoặc hội nghị từ xa. (Tham khảo một số ví dụ về xác nhận từ xa tại Phụ lục 05 kèm theo Hướng dẫn).

đ) Thực hiện lại

Việc thực hiện lại yêu cầu KTVNN thực hiện kiểm soát được lựa chọn (theo cách thủ công hoặc thông qua việc sử dụng CAATs) chẳng hạn như thực hiện lại việc ghi chép các khoản phải thu. Thực hiện lại được coi là một phương pháp đáng tin cậy để đánh giá tính hữu hiệu của các hoạt động kiểm soát vì cho phép KTVNN trực tiếp kiểm tra các kiểm soát thay vì dựa vào các báo cáo và cơ sở dữ liệu của đơn vị được kiểm toán. (Tham khảo một số ví dụ về thực hiện lại từ xa tại Phụ lục 06 kèm theo Hướng dẫn).

e) Thủ tục phân tích

Các thủ tục phân tích được sử dụng trong suốt quá trình kiểm toán từ xa và được thực hiện cho ba mục đích chính như sau:

- Đánh giá phân tích sơ bộ: Các đánh giá phân tích sơ bộ được thực hiện để có được sự hiểu biết về đơn vị được kiểm toán và môi trường hoạt động của đơn vị được kiểm toán (ví dụ: hiệu suất tài chính so với các năm trước và giữa các ngành có liên quan), giúp KTVNN đánh giá rủi ro có sai sót trọng yếu từ đó xác định lịch trình, thời gian và nội dung của các thủ tục kiểm toán.

- Thủ tục phân tích cơ bản: Các thủ tục phân tích cơ bản được thực hiện khi KTVNN cho rằng việc sử dụng các thủ tục phân tích có thể hiệu quả hơn so với các thử nghiệm chi tiết trong việc giảm rủi ro sai sót trọng yếu ở cấp độ khẳng định xuống mức thấp có thể chấp nhận được.

- Đánh giá phân tích cuối cùng: Các thủ tục phân tích được thực hiện như một cuộc soát xét tổng thể các báo cáo tài chính vào thời điểm cuối của cuộc kiểm toán để đánh giá xem các kết quả có phù hợp với hiểu biết của KTVNN về đơn vị được kiểm toán hay không. Nếu phát hiện bất thường, việc đánh giá rủi ro cần được thực hiện lại để xem xét liệu có cần thêm bất kỳ thủ tục kiểm toán nào không.

(Tham khảo một số ví dụ về thủ tục phân tích từ xa tại Phụ lục 07 kèm theo Hướng dẫn).

g) Thử nghiệm xuyên suốt

Thử nghiệm xuyên suốt trong kiểm toán từ xa liên quan đến việc theo dõi một giao dịch hoặc quy trình hoạt động cụ thể của đơn vị được kiểm toán từ đầu đến cuối để đánh giá tính hiệu quả và độ tin cậy của các hoạt động kiểm soát nội bộ và việc tuân thủ của đơn vị được kiểm toán. Thử nghiệm xuyên suốt từ xa có thể bao gồm xem xét, quan sát và phỏng vấn từ xa. Theo đó, thử nghiệm xuyên suốt giúp xác định các lỗ hổng kiểm soát tiềm ẩn, bảo đảm tính chính xác của báo cáo tài chính và cung cấp thông tin chi tiết về các rủi ro tiềm tàng.

Việc thực hiện phương pháp thử nghiệm xuyên suốt từ xa của KTVNN có thể bao gồm các nội dung sau:

- Xác minh danh tính của người có trách nhiệm của đơn vị được kiểm toán và yêu cầu họ kết nối thông qua các công cụ hội nghị truyền hình bằng máy tính xách tay, máy tính bảng hoặc điện thoại thông minh.

- Thông báo cho đơn vị được kiểm toán rằng quá trình thử nghiệm xuyên suốt sẽ được ghi lại và ảnh chụp màn hình có thể được chụp về các bằng chứng được cung cấp.

- Yêu cầu người có trách nhiệm giải thích chi tiết về chu kỳ giao dịch hoặc quy trình hoạt động và chứng minh trực tuyến.

- Yêu cầu người có trách nhiệm cung cấp một tài liệu ngẫu nhiên, hiển thị tài liệu đó trên thiết bị và chứng minh các kiểm soát nội bộ có sẵn.

- Có thể ngẫu nhiên yêu cầu người có trách nhiệm cung cấp bằng chứng xác minh và phê duyệt được ủy quyền cho từng quy trình/giao dịch của đơn vị.

- Yêu cầu đơn vị giải trình về bất kỳ thông tin liên quan nào trong các tình huống bất thường, chẳng hạn các lỗi được phát hiện,…

- Ghi lại và tài liệu hóa bất kỳ điểm yếu nào của các hoạt động kiểm soát nội bộ của đơn vị được kiểm toán.

- Phân tích tác động của các điểm yếu đối với các thủ tục kiểm toán khác.

(Tham khảo một số ví dụ về thử nghiệm xuyên suốt từ xa và một số công cụ công nghệ thông tin và truyền thông hỗ trợ cho giai đoạn thực hiện kiểm toán từ xa tại Phụ lục 08 và Phụ lục 09 kèm theo Hướng dẫn).

2.2. Đánh giá bằng chứng kiểm toán và hình thành ý kiến kiểm toán

Sau khi hoàn tất các thủ tục kiểm toán, KTVNN đánh giá xem việc thu thập được bằng chứng kiểm toán đã đầy đủ và thích hợp để đưa ra các phát hiện và kết quả kiểm toán. Trên cơ sở đó, KTVNN thực hiện đánh giá chuyên môn để đưa ra kết luận hoặc ý kiến kiểm toán về thông tin hoặc đối tượng được kiểm toán.

KTVNN có thể phải dựa vào giấy tờ kỹ thuật số, bảng tính và các dạng tài liệu điện tử khác để đánh giá nên khó xác thực và xác minh hơn so với tài liệu trên giấy. Nếu không có khả năng kiểm tra thực tế hồ sơ và tài sản, KTVNN có thể cần phát triển các thủ tục kiểm toán thay thế để bảo đảm tính hợp lệ của thông tin do đơn vị được kiểm toán cung cấp.

Một số lưu ý về đánh giá bằng chứng kiểm toán:

- Khi kiểm tra tính xác thực, hợp lý, hợp pháp, thích hợp, đầy đủ của các bằng chứng kiểm toán khi kiểm toán từ xa, KTVNN cần đặc biệt lưu ý do tính chất của bằng chứng kiểm toán thu thập được có thể bị ảnh hưởng đáng kể vì hầu hết thông tin đều được thu thập gián tiếp và thường thông qua sự kiểm soát, tác động của đơn vị được kiểm toán. Một số yếu tố có thể tác động đến tính xác thực, hợp lý, hợp pháp, thích hợp, đầy đủ của bằng chứng kiểm toán như:

+ Các thông tin, dữ liệu điện tử do đơn vị được kiểm toán cung cấp trước đó có thể chưa cập nhật kịp thời hoặc thường xuyên bị chỉnh sửa, thay thế bằng nhiều phiên bản khác nhau.

+ Bản số hóa từ văn bản giấy kể cả khi có chứng thực về chữ ký số vẫn có thể có sai khác so với văn bản giấy (ví dụ: Do lỗi trong quá trình scan hoặc bị chỉnh sửa, can thiệp).

+ Bằng chứng kiểm toán thu thập được qua các thủ tục như quan sát có rủi ro do KTVNN không có mặt trực tiếp tại hiện trường nên hình ảnh, âm thanh thu được qua các công cụ hỗ trợ có thể không phản ánh chính xác tình hình thực tế (ví dụ: Hình ảnh âm thanh bị trễ, sai lệch do tín hiệu đường truyền, bị can thiệp chỉnh sửa trước khi truyền đến cho KTVNN; hình ảnh âm thanh truyền về là của địa điểm và/hoặc khung thời gian khác với địa điểm, khung thời gian thực tế đang cần quan sát).

+ Độ tin cậy của bằng chứng cũng bị ảnh hưởng do tính chất bất ngờ, ngẫu nhiên khi thực hiện một số phương pháp thủ tục kiểm toán không còn được duy trì khi kiểm toán từ xa (ví dụ: KTVNN không thể đột xuất kiểm tra thực địa hoặc kiểm tra tính có thực của một tài sản như khi kiểm toán trực tiếp).

- Để giảm thiểu rủi ro kiểm toán, với bằng chứng kiểm toán do đơn vị được kiểm toán cung cấp, KTVNN có thể chỉ nên đánh giá trên cơ sở các bằng chứng được gửi trực tiếp từ đơn vị được kiểm toán có chứng thực từ bên chuyển phát và/hoặc bằng chứng gửi, lưu trữ trên hệ thống CNTT của KTNN. KTVNN hạn chế sử dụng bằng chứng là tài liệu gửi qua các hình thức, kênh truyền dẫn khác, đặc biệt là các dịch vụ truyền dẫn, lưu trữ trực tuyến công cộng do các bên thứ ba cung cấp.

- Đối với các bằng chứng kiểm toán không đảm bảo tính hợp pháp do thu thập từ xa hoặc KTVNN có đủ cơ sở đánh giá bằng chứng kiểm toán là giả, KTVNN cần yêu cầu đơn vị gửi bản cứng có xác thực để đối chiếu, lưu trữ theo quy định.

2.3. Lập và ký biên bản xác nhận số liệu và tình hình kiểm toán

- Trong quá trình tổng hợp kết quả kiểm toán, trao đổi với đơn vị được kiểm toán (về các vấn đề liên quan đến cuộc kiểm toán, các phát hiện kiểm toán), tiếp nhận ý kiến giải trình của đơn vị được kiểm toán, KTVNN chỉ trao đổi, tiếp nhận thông tin, tài liệu điện tử với đơn vị được kiểm toán thông qua hệ thống CNTT của KTNN, hạn chế tối đa việc sử dụng các dịch vụ truyền dẫn trực tuyến công cộng của bên thứ ba cung cấp.

- Khi gửi biên bản xác nhận số liệu và tình hình kiểm toán cho người có trách nhiệm liên quan của đơn vị được kiểm toán ký, KTVNN có thể gửi dưới dạng tài liệu điện tử để ký số hoặc gửi bản giấy qua dịch vụ chuyển phát. Với phương thức kiểm toán từ xa, KTVNN không chứng kiến trực tiếp việc ký biên bản nên trong mọi trường hợp, khi KTVNN tiếp nhận lại biên bản đã có đầy đủ chữ ký thì cần kiểm tra để bảo đảm chữ ký số (nếu có) của đúng người có trách nhiệm và nội dung biên bản không bị thay đổi, chỉnh sửa.

3. Lập và thông qua dự thảo biên bản kiểm toán

Việc lập và thông qua dự thảo biên bản kiểm toán có thể gửi dưới dạng tài liệu điện tử để hoặc gửi bản giấy qua dịch vụ chuyển phát; có thể tổ chức họp trực tuyến hoặc lấy ý kiến bằng văn bản của đơn vị được kiểm toán gửi Tổ kiểm toán đối với dự thảo biên bản kiểm toán, làm cơ sở để hoàn thiện biên bản kiểm toán.

4. Trong suốt quá trình thực hiện kiểm toán, trường hợp phát sinh các hành vi vi phạm phải xử phạt vi phạm hành chính trong lĩnh vực kiểm toán nhà nước (bao gồm trường hợp đơn vị được kiểm toán không ký biên bản kiểm toán sau 02 ngày làm việc kể từ ngày nhận được biên bản kiểm toán có chữ ký của Tổ trưởng Tổ kiểm toán) thì thực hiện theo quy định tại Quy trình kiểm toán của KTNN. Tuy nhiên, do đặc thù của kiểm toán từ xa, KTVNN khi xác định hành vi vi phạm cần xem xét các nguyên nhân khách quan như thất lạc tài liệu khi chuyển phát hoặc phát sinh sai lệch, chậm trễ trong cung cấp dữ liệu, trả lời, giải trình do truyền dẫn trên môi trường CNTT…

Điều 9. Lập và gửi báo cáo kiểm toán

1. Lập dự thảo báo cáo kiểm toán

Trong quá trình tập hợp các bằng chứng kiểm toán, khi tổ chức tổng hợp, soát xét bằng chứng kiểm toán, Trưởng Đoàn kiểm toán cần lưu ý một số điểm về bằng chứng kiểm toán như đã đề cập tại Điều 8 nêu trên.

KTVNN có thể sử dụng các công cụ và ứng dụng như e-mail, cổng trao đổi thông tin, ứng dụng họp trực tuyến, các công cụ nguồn mở, tăng băng thông hoặc các phần mềm phù hợp... để lập BCKT. Việc triển khai các giao thức về Tính bảo mật, Tính an ninh và Bảo vệ dữ liệu (CSDP) thực thi mã hóa, kiểm soát truy cập và các biện pháp bảo mật khác giúp giảm thiểu rủi ro vi phạm dữ liệu và hỗ trợ bảo vệ dữ liệu kiểm toán khỏi bị truy cập hoặc tiết lộ trái phép. Việc ứng dụng các công nghệ thông tin và truyền thông phải được trình bày trong BCKT.

2. Gửi lấy ý kiến đối với dự thảo báo cáo kiểm toán

Đơn vị chủ trì cuộc kiểm toán có trách nhiệm gửi dự thảo BCKT đã hoàn thiện lấy ý kiến của đơn vị được kiểm toán bằng văn bản hoặc văn bản điện tử (nếu không thuộc trường hợp thực hiện theo chế độ mật). Dự thảo BCKT chỉ được gửi dưới dạng văn bản điện tử trong trường hợp đáp ứng các điều kiện theo quy định của KTNN.

3. Tổ chức thông báo kết quả kiểm toán

- Việc tổ chức hội nghị thông báo kết quả kiểm toán có thể sử dụng hình thức họp trực tuyến trên hệ thống CNTT của KTNN.

- Đơn vị chủ trì cuộc kiểm toán cần lưu ý trao đổi, thông tin kịp thời với đơn vị được kiểm toán để phòng tránh trường hợp đơn vị có gửi ý kiến bằng văn bản nhưng bị thất lạc khi chuyển phát hoặc bị chậm trễ, lỗi khi truyền qua hệ thống CNTT.

4. Phát hành báo cáo kiểm toán

BCKT có thể phát hành dưới dạng văn bản hoặc tài liệu điện tử (nếu không thuộc trường hợp thực hiện theo chế độ mật) theo quy định của KTNN.

Điều 10. Theo dõi, kiểm tra việc thực hiện kết luận, kiến nghị kiểm toán

Khi áp dụng phương thức kiểm toán từ xa, việc theo dõi, kiểm tra thực hiện kết luận, kiến nghị kiểm toán cần lưu ý: Theo dõi, đôn đốc, thu thập, tổng hợp thông tin về kết luận, kiến nghị kiểm toán và tình hình thực hiện kết luận, kiến nghị kiểm toán của đơn vị được kiểm toán trên cơ sở các văn bản, tài liệu điện tử được đơn vị được kiểm toán gửi qua các phương thức từ xa như thư điện tử, gửi fax, chuyển phát bưu gửi hoặc họp trực tuyến... Tuy nhiên, các phương thức này phải đảm bảo an toàn và bảo mật theo quy định.

Chương III

ĐIỀU KHOẢN THI HÀNH

Điều 11. Trách nhiệm về kiểm toán từ xa

1. Đơn vị chủ trì cuộc kiểm toán

- Tuân thủ đúng trình tự, thủ tục đã quy định trong Quy trình kiểm toán của KTNN và Hướng dẫn này khi tổ chức các Đoàn kiểm toán theo phương thức kiểm toán từ xa.

- Chịu trách nhiệm trước Tổng Kiểm toán nhà nước về việc truy cập dữ liệu bảo đảm tuân thủ quy định của pháp luật và chịu trách nhiệm bảo vệ bí mật, bảo mật, an toàn theo quy định của pháp luật.

- Đề xuất các nội dung nghiệp vụ, các yêu cầu cần thiết để xây dựng, nâng cấp hoặc mở rộng hệ thống CNTT phục vụ cho kiểm toán từ xa.

2. Cục Công nghệ thông tin

- Tiếp nhận, hỗ trợ kịp thời và tổng hợp đề nghị của các đơn vị trực thuộc KTNN trong quá trình thực hiện kiểm toán từ xa để báo cáo Tổng Kiểm toán nhà nước xem xét, chỉ đạo.

- Nghiên cứu, tham khảo, đề xuất triển khai các giải pháp công nghệ mới, tiên tiến, phù hợp với mục tiêu và yêu cầu nghiệp vụ kiểm toán của KTNN đối với hình thức kiểm toán từ xa.

Điều 12. Tổ chức thực hiện

1. Thủ trưởng các đơn vị trực thuộc KTNN và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Hướng dẫn này.

2. Trong quá trình thực hiện, nếu phát sinh vấn đề mới hoặc khó khăn, vướng mắc cần phản ánh kịp thời về Vụ Chế độ và Kiểm soát chất lượng kiểm toán để tổng hợp, tham mưu Tổng Kiểm toán nhà nước xem xét, chỉ đạo./.

PHỤ LỤC 01

MỘT SỐ CÔNG CỤ CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TƯƠNG ỨNG VỚI CÁC THỦ TỤC TÌM HIỂU VỀ ĐƠN VỊ ĐƯỢC KIỂM TOÁN VÀ ĐÁNH GIÁ RỦI RO TỪ XA

STT	Thủ tục kiểm toán	Công cụ kiểm toán
1	Phỏng vấn, xác nhận	• Hội nghị từ xa / cuộc gọi video • Các ứng dụng khảo sát • Thư điện tử • Cuộc gọi điện thoại • Phát trực tiếp
2	Các thủ tục phân tích	• Các công cụ phân tích dữ liệu, như: R, Phyton, Excel, Power Bi, Phần mềm IDEA, ACL, SQL
3	Quan sát	• Phát trực tiếp • Video đã quay
4	Kiểm tra, đối chiếu tài liệu, bản ghi	• Hệ thống ERP • Cổng thông tin điện tử • Máy tính để bàn từ xa • Thư điện tử • Kết nối dữ liệu trực tiếp
5	Kiểm tra tài sản	• Phát trực tiếp • Hệ thống thông tin địa lý (GIS) • Video đã quay • Sử dụng máy bay không người lái
6	Thực hiện lại	• Phát trực tiếp • Video đã quay • Công cụ phân tích dữ liệu • Máy tính để bàn từ xa
7	Các thủ tục kiểm toán khác	• Công cụ khám phá điện tử pháp y

PHỤ LỤC 02

MỘT SỐ VÍ DỤ VỀ QUAN SÁT TỪ XA

KTVNN có thể tham khảo một số ví dụ về khó khăn, vướng mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi quan sát từ xa như:

STT	Một số khó khăn, vướng mắc thường gặp	Một số ảnh hưởng đến cuộc kiểm toán	Ví dụ	Biện pháp xử lý
1	Cơ sở hạ tầng kỹ thuật và kết nối kém.	- Gián đoạn trong quá trình quan sát; - Không có khả năng truy cập dữ liệu cần thiết từ xa.	- Vấn đề kết nối; - Thiếu quyền truy cập từ xa; - Mạng Internet chất lượng thấp ảnh hưởng đến việc phát trực tiếp.	- Nâng cấp hạ tầng kỹ thuật; - Đầu tư cơ sở hạ tầng tốt hơn; - Bảo đảm kết nối internet mạnh hơn; - Sử dụng các phương thức giao tiếp thay thế; - Sửa đổi các quy định để cho phép truy cập từ xa.
2	Tương tác hạn chế.	- Giảm khả năng đặt câu hỏi tự phát; - Kiểm toán thiếu chi tiết và sâu hơn.	- Thiếu tín hiệu phi ngôn ngữ; - Thiếu tương tác thời gian thực.	- Tổ chức các hội nghị video chất lượng cao; - Các cuộc họp trực tuyến chi tiết; - Thực hiện các phương pháp kết hợp.
3	Các vấn đề về uy tín và niềm tin.	Đặt ra các câu hỏi về tính chính xác và đầy đủ của các quy trình quan sát.	Nghi ngờ về tính xác thực của các quan sát từ xa.	- Xác minh chéo bằng nhiều nguồn; - Gắn kết thông tin vị trí địa lý (GIS).
4	Xác minh vị trí và hoạt động.	Khó khăn trong việc bảo đảm vị trí/hoạt động chính xác đang được quan sát.	Tọa độ không chính xác hoặc dàn dựng/bóp méo các hình ảnh hiển thị trong quá trình quan sát.	- Sử dụng các công cụ gắn kết thông tin vị trí địa lý; - Yêu cầu tọa độ vị trí chính xác; - Xác minh thông qua nhiều điểm dữ liệu.

PHỤ LỤC 03a

MỘT SỐ VÍ DỤ VỀ KIỂM TRA TÀI LIỆU, HỒ SƠ TỪ XA

KTVNN có thể tham khảo một số ví dụ về khó khăn, vướng mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi kiểm tra tài liệu, hồ sơ từ xa như:

STT	Một số khó khăn, vướng mắc thường gặp	Một số ảnh hưởng đến cuộc kiểm toán	Ví dụ	Biện pháp xử lý
1	Tài liệu không số hóa.	Khó khăn trong việc rà soát các tài liệu chưa được số hóa.	Các đơn vị được kiểm toán phụ thuộc rất nhiều vào các bản cứng có thể gây khó khăn cho việc chia sẻ khối lượng lớn tài liệu điện tử.	- Yêu cầu đơn vị được kiểm toán số hóa tài liệu và nộp trực tuyến; - Cung cấp phần cứng đặc biệt cho KTVNN; - Tăng dung lượng e-mail.
2	Tính khả dụng của tài liệu (không phải tất cả các tài liệu đều có sẵn từ xa).	Khó khăn trong việc liên kết các giao dịch và thực hiện đánh giá kỹ lưỡng.	Một số đơn vị được kiểm toán phải đối mặt với các vấn đề về việc liên kết các giao dịch do hồ sơ không đầy đủ.	Tối ưu hóa việc sử dụng các công cụ công nghệ thông tin và truyền thông để trao đổi với các đơn vị được kiểm toán.
3	Thu thập các bộ dữ liệu lớn từ các đơn vị được kiểm toán.	Không có khả năng thực hiện phân tích toàn diện do dữ liệu hạn chế.	Một số đơn vị được kiểm toán phải đối mặt với các vấn đề với việc đánh giá dữ liệu lớn.	Sử dụng điện toán đám mây để quản lý và chia sẻ các bộ dữ liệu lớn.
4	Tính xác thực và toàn vẹn của tài liệu.	Khó khăn trong việc bảo đảm tính xác thực, đầy đủ của tài liệu, đặc biệt là với các tài liệu được quét (scan)	KTVNN phải đối mặt với các vấn đề bao gồm xác minh tính xác thực của tài liệu được quét và bảo đảm tính toàn vẹn dữ liệu.	- Tăng cường các biện pháp an ninh; - Sử dụng máy quét chất lượng cao với các tính năng bảo mật; - Thực hiện phỏng vấn ảo để làm rõ sự nghi ngờ.
5	Truy cập vào dữ liệu nhạy cảm.	Khó khăn trong việc truy cập một số dữ liệu nhất định như dữ liệu cá nhân do lo ngại về quyền riêng tư.	Có những hạn chế pháp lý và sự phản đối từ các đơn vị được kiểm toán để chia sẻ dữ liệu nhạy cảm.	- Tăng cường các giao thức bảo mật để bảo vệ thông tin nhạy cảm; - Tăng cường các vấn đề về pháp lý, bao gồm việc sửa đổi các quy định (nếu có).

PHỤ LỤC 03b

MỘT SỐ VÍ DỤ VỀ KIỂM TRA TÀI SẢN TỪ XA

KTVNN có thể tham khảo một số ví dụ về khó khăn, vướng mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi kiểm tra tài sản từ xa như:

STT	Một số khó khăn, vướng mắc thường gặp	Một số ảnh hưởng đến cuộc kiểm toán	Ví dụ	Biện pháp xử lý
1	Các vấn đề kỹ thuật với thiết bị và kết nối internet.	Sự gián đoạn trong quá trình kiểm tra, dẫn đến bằng chứng kiểm toán có chất lượng thấp hơn.	Kết nối internet chất lượng thấp khi đang phát trực tiếp có thể dẫn đến chất lượng hình ảnh thấp hơn.	- Tăng cường hạ tầng kỹ thuật; - Cung cấp đầy đủ trang thiết bị; - Bảo đảm đường truyền internet ổn định trước khi kiểm tra.
2	Không có khả năng thực hiện xác minh thực tế và kiểm tra đột xuất.	Giảm độ tin cậy của bằng chứng kiểm toán liên quan đến tình trạng và sự tồn tại của tài sản.	Các hạn chế ngăn chặn kiểm tra đột xuất và xác minh thực tế.	- Sử dụng máy bay không người lái; - Sử dụng thiết bị gắn kết thông tin vị trí địa lý (GIS); - Yêu cầu KTV nội bộ của đơn vị được kiểm toán hỗ trợ ghi chép và chứng kiến việc kiểm tra tài sản do đơn vị được kiểm toán thực hiện. - Sử dụng phương pháp tiếp cận kiểm toán kết hợp.
3	Thiếu quan sát trực tiếp và khó khăn trong việc xác nhận sự hiện hữu và tình trạng tài sản.	Khả năng gia tăng rủi ro kiểm toán và giảm độ tin cậy của kết quả kiểm toán.	Góc nhìn hạn chế từ các cuộc gọi video và hình ảnh so với kiểm tra trực tiếp.	- Yêu cầu hình ảnh và video chi tiết từ nhiều góc độ; - Duy trì các kênh thông tin liên lạc rõ ràng; - Sử dụng phương pháp kiểm toán kết hợp

PHỤ LỤC 04

MỘT SỐ VÍ DỤ VỀ PHỎNG VẤN TỪ XA

KTVNN có thể tham khảo một số ví dụ về khó khăn, vướng mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi phỏng vấn từ xa như:

STT	Một số khó khăn, vướng mắc thường gặp	Một số ảnh hưởng đến cuộc kiểm toán	Ví dụ	Biện pháp xử lý
1	Các vấn đề về công nghệ.	Làm gián đoạn cuộc phỏng vấn và gây khó khăn cho việc giao tiếp hiệu quả.	- Kết nối internet không đáng tin cậy, chất lượng video/âm thanh kém; - Vấn đề về tương thích phần mềm; - Không quen thuộc với các công cụ hội nghị truyền hình.	- Theo dõi các yêu cầu thông tin một cách nhất quán; - Quy định thời hạn rõ ràng; - Cải thiện kênh thông tin liên lạc; - Sắp xếp các cuộc họp trực tuyến theo lịch trình với các chủ đề được thông báo trước; - Xác định các liên hệ chính để tạo điều kiện truy cập.
2	Xây dựng mối quan hệ.	Khó thiết lập kết nối cá nhân và xây dựng lòng tin với người được phỏng vấn trong cuộc họp trực tuyến so với trực tiếp.	Các tín hiệu phi ngôn ngữ và nói nhỏ bị hạn chế hơn.	- Phỏng vấn có cấu trúc; - Bố trí thêm thời gian để thiết lập mối quan hệ và bảo đảm sự riêng tư; - Lắng nghe tích cực.
3	Mất tập trung trong quá trình phỏng vấn.	Khó có được thông tin như mong muốn.	Người được phỏng vấn có thể dễ bị phân tâm hơn hoặc gặp khó khăn trong việc tìm kiếm một không gian riêng tư, yên tĩnh để nói chuyện tự do khi không ở trong môi trường văn phòng được kiểm soát.	- Sử dụng nền tảng hội nghị truyền hình đáng tin cậy với khả năng chia sẻ màn hình; - Yêu cầu đơn vị được kiểm toán chuẩn bị trước hồ sơ; - Cung cấp hướng dẫn rõ ràng và thực hiện thử nghiệm công nghệ trước.
4	Lưu trữ hồ sơ.	- Mất thông tin quan trọng; - Thông tin sai lệch - Phân tích không đầy đủ.	Tài liệu hiệu quả về quy trình phỏng vấn từ xa và ghi lại các ghi chú chi tiết có thể yêu cầu các công cụ và kỹ thuật bổ sung.	- Thỏa thuận ghi âm phiên họp (nếu được phép); - Ghi chép chi tiết và tóm tắt các điểm chính; - Sử dụng phần mềm ghi chú kỹ thuật số hoặc phần mềm ghi âm.
5	Phiên dịch ngôn ngữ cơ thể.	- Giải thích sai; - Thiên vị hoặc mơ hồ.	Có thể khó khăn hơn để nhận ra các tín hiệu phi ngôn ngữ tinh tế và ngôn ngữ cơ thể thông qua nguồn cấp dữ liệu video.	- Cung cấp rõ ràng hướng dẫn và thử nghiệm công nghệ trước; - Bố trí thêm thời gian để thiết lập mối quan hệ và bảo đảm quyền riêng tư.
6	Mối quan tâm về tính bảo mật và tính an ninh.	Nguy cơ vi phạm dữ liệu và truy cập trái phép, có khả năng xâm phạm thông tin nhạy cảm.	Đơn vị được kiểm toán áp dụng cài đặt bảo mật.	- Đánh giá tính bảo mật của các nền tảng; - Xây dựng chính sách/hướng dẫn kỹ thuật để sử dụng an toàn các công cụ kiểm toán từ xa; - Xây dựng bảng câu hỏi để đánh giá rủi ro và xác định biện pháp xử lý thích hợp.

PHỤ LỤC 05

MỘT SỐ VÍ DỤ VỀ XÁC NHẬN TỪ XA

KTVNN có thể tham khảo một số ví dụ về khó khăn, vướng mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi xác nhận từ xa như:

STT	Một số khó khăn, vướng mắc thường gặp	Một số ảnh hưởng đến cuộc kiểm toán	Ví dụ	Biện pháp xử lý
1	Truy cập vào dữ liệu nhạy cảm.	Quy trình xác nhận những vấn đề trở ngại.	Khó có được thông tin liên hệ chính xác để gửi xác nhận.	Thực hiện thỏa thuận bảo mật với đơn vị được kiểm toán.
2	Công nghệ và cơ sở hạ tầng không đầy đủ.	Khó khăn trong việc xác nhận từ xa.	Bên thứ ba định vị ở vùng sâu vùng xa.	Thực hiện các phương pháp thay thế.
3	Xác minh chính xác danh tính của người nhận.	Mối quan tâm về tính xác thực.	Khó khăn trong việc xác minh danh tính của bên thứ ba.	- Sử dụng nền tảng trực tuyến an toàn; - Theo dõi các yêu cầu xác nhận kịp thời.
4	Thiếu quyền truy cập vào các tài liệu gốc.	Mối quan tâm về tính hợp lệ của tài liệu.	Phụ thuộc vào bản scan hoặc chữ ký điện tử.	- Sử dụng nền tảng chứng từ điện tử an toàn; - Sử dụng chữ ký số có cơ chế xác thực mạnh; - Thực hiện kiểm tra tính hợp lệ.
5	Tính kịp thời của phản hồi.	Hoàn thành chậm hơn thời gian hạn định.	Sự chậm trễ trong việc nhận phản hồi xác nhận.	- Theo dõi nhất quán các yêu cầu thông tin; - Quy định thời hạn rõ ràng; - Cải thiện kênh thông tin liên lạc;
6	Các vấn đề liên quan đến CSDP.	Các vi phạm tiềm ẩn về tính bảo mật, tính an ninh và bảo vệ dữ liệu.	Các tác nhân độc hại chặn thông tin liên lạc giữa KTVNN và đơn vị được kiểm toán dẫn đến vi phạm dữ liệu.	- Sử dụng VPN; - Sử dụng mã hóa; - Sử dụng các phương thức truyền dữ liệu an toàn; - Cung cấp đào tạo liên quan cho nhân viên.

PHỤ LỤC 06

MỘT SỐ VÍ DỤ VỀ THỰC HIỆN LẠI TỪ XA

KTVNN có thể tham khảo một số ví dụ về khó khăn, vướng mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi thực hiện lại từ xa như:

STT	Một số khó khăn, vướng mắc thường gặp	Một số ảnh hưởng đến cuộc kiểm toán	Ví dụ	Biện pháp xử lý
1	Truy cập hạn chế vào hệ thống và dữ liệu của đơn vị được kiểm toán.	Bằng chứng kiểm toán không đầy đủ.	Hệ thống tài chính không thể tiếp cận.	- Yêu cầu tài liệu chi tiết và ảnh chụp màn hình của các giao dịch và kiểm soát ban đầu; - Sử dụng các công cụ truy cập từ xa để truy cập có kiểm soát vào hệ thống của đơn vị được kiểm toán; - Duy trì các kênh thông tin liên lạc rõ ràng;
2	Vấn đề kỹ thuật.	Quá trình kiểm toán bị gián đoạn.	Kết nối kém trong quá trình thực hiện lại từ xa.	Bảo đảm cơ sở hạ tầng kỹ thuật tốt.
3	Bảo đảm tính xác thực và toàn vẹn dữ liệu.	Mối quan tâm về tính chính xác và toàn vẹn của dữ liệu.	Khó khăn trong việc xác minh các báo cáo được tổng hợp mang tính hệ thống.	- Sử dụng/hợp tác với kiểm toán nội bộ của đơn vị được kiểm toán; - Sử dụng các công cụ phân tích dữ liệu.
4	Không đủ kiến thức về kỹ thuật.	Quá trình bị gián đoạn.	Không thể vận hành một số công cụ kiểm toán nhất định.	Mời hoặc thuê các kỹ thuật viên và chuyên gia nếu cần thiết.
5	Vấn đề giao tiếp và phối hợp.	Hiểu không đúng và chậm trễ.	Thiếu sự phối hợp giữa các KTVNN và đơn vị được kiểm toán.	Duy trì các kênh và giao thức liên lạc rõ ràng.

PHỤ LỤC 07

MỘT SỐ VÍ DỤ VỀ THỦ TỤC PHÂN TÍCH TỪ XA

KTVNN có thể tham khảo một số ví dụ về khó khăn, vướng mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi thực hiện thủ tục phân tích từ xa như:

STT	Một số khó khăn, vướng mắc thường gặp	Một số ảnh hưởng đến cuộc kiểm toán	Ví dụ	Biện pháp xử lý
1	Thiếu quyền truy cập từ xa.	Không có khả năng thực hiện phân tích dữ liệu theo thời gian thực, tăng rủi ro kiểm toán và khả năng thiếu thông tin quan trọng.	Đoàn kiểm toán bị hạn chế trong việc truy cập cơ sở dữ liệu của các đơn vị được kiểm toán từ xa.	- Sử dụng các giao thức an toàn, chẳng hạn như VPN; - Thỏa thuận chính thức với đơn vị được kiểm toán để chia sẻ dữ liệu từ xa.
2	Dữ liệu không được số hóa.	Khó khăn trong việc thực hiện phân tích.	Các đơn vị được kiểm toán phụ thuộc rất nhiều vào các bản cứng, gây khó khăn cho việc chia sẻ khối lượng lớn tài liệu điện tử.	Thông báo trước cho đơn vị được kiểm toán để cung cấp số liệu, tài liệu dưới dạng số hóa.
3	Mối quan tâm về tính toàn vẹn và độ tin cậy của dữ liệu.	Rủi ro sử dụng dữ liệu không chính xác hoặc không đầy đủ, lỗi kiểm toán tiềm ẩn và diễn giải không chính xác.	Sự cố với dữ liệu được cung cấp ở các định dạng khác nhau hoặc bộ dữ liệu không đầy đủ.	- Áp dụng kỹ thuật xác thực dữ liệu; - Tham chiếu chéo với dữ liệu của bên thứ ba; - Sử dụng các phương thức truyền dữ liệu an toàn; - Yêu cầu tài liệu gốc nếu có thể.
4	Hiểu biết hạn chế về các hệ thống phức tạp.	Khó khăn trong việc phân tích dữ liệu một cách chính xác, tăng nguy cơ diễn giải không chính xác và khả năng kiểm toán kém hiệu quả.	Những thách thức đối với KTVNN trong việc hiểu rõ các hệ thống phức tạp của đơn vị được kiểm toán.	- Tổ chức đào tạo chuyên môn đặc thù cho KTVNN; - Bảo đảm tài liệu hệ thống chi tiết từ đơn vị được kiểm toán; - Sử dụng các công cụ phân tích dữ liệu nâng cao.
5	Tính bảo mật và tính an ninh dữ liệu.	Nguy cơ vi phạm dữ liệu, xâm phạm thông tin nhạy cảm và các vấn đề mang tính pháp lý.	Truy cập trái phép vào tài liệu kiểm toán trong quá trình chuyển giao hoặc lưu trữ.	- Sử dụng mã hóa; - Sử dụng hệ thống chia sẻ tệp an toàn; - Tuân thủ quy định bảo vệ dữ liệu.

PHỤ LỤC 08

MỘT SỐ VÍ DỤ VỀ THỬ NGHIỆM XUYÊN SUỐT TỪ XA

KTVNN có thể tham khảo một số ví dụ về khó khăn, vướng mắc thường gặp, những ảnh hưởng đến cuộc kiểm toán và biện pháp xử lý khi thử nghiệm xuyên suốt từ xa như:

STT	Một số khó khăn, vướng mắc thường gặp	Một số ảnh hưởng đến cuộc kiểm toán	Ví dụ	Biện pháp xử lý
1	Quyền truy cập hạn chế vào hệ thống của đơn vị được kiểm toán.	Sự gián đoạn trong quá trình kiểm toán.	Các đơn vị được kiểm toán đã hạn chế quyền truy cập vào hệ thống của họ.	Thỏa thuận chính thức với đơn vị được kiểm toán để chia sẻ dữ liệu từ xa.
2	Vấn đề về kỹ thuật.	Sự gián đoạn trong quá trình kiểm toán.	Kết nối internet chất lượng thấp ảnh hưởng đến chất lượng hình ảnh.	- Thực hiện kiểm tra kết nối trước khi kiểm toán; - Bảo đảm đường truyền internet ổn định.
3	Mối quan tâm về tính xác thực và tính toàn vẹn.	Khó khăn trong việc bảo đảm tính xác thực, đầy đủ của tài liệu, đặc biệt là với các tài liệu được quét (scan)	KTVNN lo ngại về tính xác thực của dữ liệu.	- Thực hiện các phương pháp xác minh hiệu quả; - Yêu cầu chứng cứ hỗ trợ thông qua nhiều kênh.
4	Xác minh vị trí.	Khó khăn trong việc xác nhận cổng thông tin và tài liệu chính xác.	Các vấn đề liên quan đến việc xác minh vị trí.	- Sử dụng các công cụ như Google Maps để xác minh chéo; - Yêu cầu thông tin vị trí chi tiết từ đơn vị được kiểm toán.

PHỤ LỤC 09

MỘT SỐ CÔNG CỤ CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG HỖ TRỢ CHO GIAI ĐOẠN THỰC HIỆN KIỂM TOÁN TỪ XA

Một số công cụ công nghệ thông tin và truyền thông có thể sử dụng để hỗ trợ cho giai đoạn thực hiện kiểm toán từ xa như:

STT	Công cụ công nghệ thông tin và truyền thông	Các ví dụ
1	Dụng cụ kiểm tra trên không	Máy bay không người lái
2	Chia sẻ vị trí	Ứng dụng GIS, Gắn kết thông tin về vị trí địa lý trên smartphone
3	Các công cụ họp video	Zoom, Microsoft Teams, Skype, Cisco, WebEx, Google Meet…
4	Các công cụ phân tích dữ liệu	Qlik Sense, ACL Analytics, IDEA, SQL, Tableua, các phần mềm xây dựng cho các mục đích cụ thể (như: AUTOCAD, ETABS, ARCHICAD để phân tích cơ sở hạ tầng).
5	Các công cụ giám sát	Camera quan sát, camera 360⁰…
6	Các công cụ quản lý tài liệu	Google Drive, OneDrive, Dropbox…
7	Phần mềm máy tính từ xa	TeamViewer, AnyDesk…
8	Nền tảng chữ ký điện tử	DocuSign, Adobe Sign…
9	Phần mềm quản lý kiểm toán	Hệ thống thông tin quản lý kiểm toán
10	Mạng riêng ảo	VPN
11	Công cụ mã hóa dữ liệu	Quản lý hệ thống của KTNN kết hợp mã hóa và phát hiện giả mạo
12	Giải pháp lưu trữ đám mây	Công nghệ đám mây của KTNN

[1] Tài sản ảo (virtual asset hay virtual property) được hiểu là biểu hiện của tài sản trong không gian mạng (cyberspace), tức trong môi trường phức hợp được hình thành bởi sự tương tác của người sử dụng, phần mềm và các dịch vụ trên internet thông qua các thiết bị kỹ thuật và mạng lưới được kết nối. Tài sản ảo còn có biểu hiện là một dạng tài sản số (digital asset). Tài sản số là bản ghi điện tử (electronic record) xác nhận quyền hay lợi ích của một người.

Tiện ích dành riêng cho tài khoản TVPL Basic và TVPL Pro

Tải về Quyết định 243/QĐ-KTNN năm 2025 về Hướng dẫn kiểm toán từ xa do Tổng Kiểm toán Nhà nước ban hành

Tải văn bản gốc Quyết định 243/QĐ-KTNN năm 2025 về Hướng dẫn kiểm toán từ xa do Tổng Kiểm toán Nhà nước ban hành

STATE AUDIT OFFICE OF VIETNAM ----	SOCIALIST REPUBLIC OF VIETNAM Independence - Freedom – Happiness --------
No: 243/QD-KTNN	Hanoi, February 21,2025

DECISION

PROVIDING FOR GUIDANCE ON REMOTE AUDIT

STATE AUDIT OFFICE OF VIETNAM

Pursuant to the Law on State Audit Office of Vietnam dated June 24, 2015 and Law on Amendments to the Law on State Audit Office of Vietnam dated November 26, 2019;

Pursuant to Decision No. 08/2024/QD-KTNN dated November 15, 2024 of the State Auditor General on the promulgation of the Audit standards of the State Audit Office of Vietnam;

At the request of the Director of the Department of Audit Policy and Quality Control;

HEREBY DECIDES:

Article 1. Issued together with this Decision are Guidance on remote audit.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Article 3. Directors of units affiliated to the State Audit Office Of Vietnam and relevant organizations and individuals shall be responsible for implementation of this Decision./.

STATE AUDITOR GENERAL

Ngo Van Tuan

GUIDANCE

REMOTE AUDIT
(enclosed with Decision No. 243/QD-KTNN dated February 21, 2025 of the State Auditor General)

Chapter I

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Article 1. Scope

1. This Guidance is prepared on the basis of the Law on State Audit Office of Vietnam (SAV), the SAV's Audit Standards, the SAV's Audit Process, other relevant documents, international good practices and the SAV's actual auditing practices.

2. This Guidance generally applies to all types of audits of the SAV and may also apply to comprehensive remote audit or partial remote audit (certain audit contents).

3. In respect of cases which occur beyond provisions of this Guidance, heads of audit delegations or leaders of audit teams shall report to competent authorities according to the SAV's regulations.

Article 2. Regulated entities

This Guidance applies to:

1. The SAV's affiliated units that are assigned to take charge of conducting audits, examinations, inspections, supervising and controlling audit quality;

2. Audit delegations of the SAV (hereinafter referred to as "audit delegation"), State Auditors and members who are not State Auditors but participate in audit (hereinafter referred to as "audit team");

3. Organizations and individuals entrusted or hired to conduct audits;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

5. Other agencies, organizations and individuals involved in remote audit.

Article 3. Purpose of promulgation

1. Increase the application of information technology (IT) to audit activities of the SAV and gradually develop digital audit.

2. Ensure the uniformity in conducting remote audits and serve as a basis for examination, inspection, and control of remote audit quality.

Article 4. Definitions

For the purposes of this Guidance, the following terms shall be construed as follows:

1. Remote audit means a type of audit where an State Auditor applies information and communication technology to work with an audited entity with aiming to collect electronic audit evidence as a basis for giving audit opinions regardless of such State Auditor's position.

2. Electronic data means data (symbols, letters, digits, images, sounds or similar forms) generated, processed and stored electronically. Electronic data is collected from electronic media, computer networks, telecommunications networks, transmission lines and other electronic sources.

3. Data digitization means the process of converting the physical form of information and manual processes into digital formats.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

5. Electronic materials means materials generated for storage or digitized from electronically stored materials.

6. Electronic audit evidence means electronic documents and materials collected by the SAV in connection with an audit, serving as a basis for assessment, confirmation and provision of audit recommendations.

7. Artificial intelligence (AI) means a computer system or software that is capable of simulating human behaviors and thoughts; comprising comprehension, learning, decision making, problem solving, and grant of assistance to humans while performing tasks.

Article 5. General provisions on remote audit

1. Types of remote audits

Remote audit may be divided into partial remote audit and comprehensive remote audit depending on IT proficiency and capacity to use remote audit tools of the State Auditor and the audited entity (see illustration).

Note: ICTs are stand of Information and Communication Technologies; CAATs are stand of Computer Assisted Audit Techniques.

a) Partial remote audit means only application of technologies assisting remote audit for certain matters of an audit; the remaining matters of that audit shall be audited directly at the audited entity to reach set objectives. In an partial remote audit, materials must be digitized before ones are exchanged between the State Auditor and the audited entity.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

2. Remote audit tools

Normally, the State Auditor may use the following tools to carry out steps in the remote audit process:

a) Secure materials exchanged on platforms to assist State Auditors and audited entities in sharing materials and data; these platforms may enable collaboration, version control, and access control (e.g., ShareFile, Box, and Google Drive, etc.)

b) Data analysis and visualization tools may be used to identify trends and anomalies and create interactive dashboards to better understand and exchange audit findings (e.g. Microsoft Power BI, Tableau and IBM Cognos Analytics softwares, etc.)

c) Risk assessment and audit planning tools assist State Auditors in assessing risks, prioritizing audit scope and preparing audit plans on the basis of identified risks and priorities (e.g. ACL, GRC, Galvanize HighBond and IDEA softwares, etc.)

d) Workflow and audit management tools (e.g. TeamMate+, AuditBoard, etc.) assist management of the entire audit process, from preparing an audit plan to preparing an audit report. These tools may provide a central database of audit dossiers, working materials and audit findings, facilitating cooperation and information exchange among members of an audit delegation.

dd) Video conferencing platforms enable State Auditors to hold online meetings, conduct online interviews, remote exchanges and discussions with audited entities and related parties; maintain effective communication throughout the audit process (e.g., Zoom, Microsoft Team, and Cisco Webex Meeting and audio and video and audio recording tools, etc.).

e) Remote screen and desktop sharing tools assist State Auditors in accessing and assessing IT systems and applications of audited entities; assessing control systems, internal security, and data integrity (e.g., TeamViewer, AnyDesk, and Remote Desktop Connection, etc.).

g) Electronic audit evidence collection tools assist State Auditor in collecting and managing electronic signatures and maintaining audit evidence securely (e.g. Adobe Acrobat, DocuSign and Google Earth, etc.).

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

i) Continuous audit and monitoring tools assist analysis and control of economic transactions and operational indicators on a regular and continuous manner in real time, enabling State Auditors to provide timely feedback and recommendations (e.g., ACL Analytics software, Arbutus Analyzer software, etc.).

k) Artificial intelligence (AI) tools may also be used in stages of an audit when possible to assist State Auditors in detecting financial fraud through abnormal data; verifying the authenticity of video and voice; checking the consistency of materials and emails; detecting abnormal data patterns in transactions... (e.g. Machine Learning, Deep Learning, Robotic Process Automation, Natural Language Processing, Softwares such as: Forensic Accounting AI, Blockchain, Deepfake Detection AI, Natural Languge Processing, AI-driven anomaly detection, etc.).

l ) Other safe and effective tools.

3. Risks for remote audit

a) Authenticity of evidence: data distortion and data ambiguity may arise in remote audits; remote identification of users may increase the risk of information manipulation or fake information. Materials and videos may be negatively modified, leading to fraud. Therefore, the extent of the availability of information and communication technology and data security operating mechanisms play a particularly important role in mitigating these issues.

b) Security issues: Remote audit involves online audit activities and exchange of digital data. Therefore, it is important to review security in data access and storage. To solve this issue, the SAV and audited entities shall formalize the network protocol and reach an agreement on commitment to Confidentiality, Security and Data Protection (CSDP).

c) Limited visibility: Physical observation of operations, processes and documents of audited entities in remote audit is very limited, resulting in mistakes, inaccuracies or the possibility of fraud that can be easily detected in case of on-site audit.

d) Communication challenges: In case of remote audit, the complexity of information collected from interpersonal interactions and differences in attitudes, expression levels, etc. during these interactions is not clearly demonstrated as in on-site audit. Restricted communication between the State Auditor and audited entity may result in an unreliable, inaccurate or incomplete audit report.

dd) Technological issues: Remote audit is completely conducted by technologies that comprise video conferencing softwares, data sharing platforms (especially large-capacity data) and internet connection. Technical issues may hinder the audit process, resulting in delays or inaccuracies in the audit findings (e.g., network failures, computer failures, or device failures).

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

a) Regarding technology

- Information and communication technology infrastructure and assistive technology tools: an appropriate and responsive IT system is required for both the SAV and audited entities, including computers, software and stable internet connection.

- Confidentiality, Security and Data Protection (CSDP): Data confidentiality and information encryption measures are required to prevent data leakage or loss during remote audit.

b) Regarding legal perspective: Comply with the applicable regulations, especially those on data safety and confidentiality.

c) Regarding human

- The SAV must acquire skills in using technology, understanding of software and remote audit process.

- The audited entity must assign assisting personnel to provide, exchange information and give exploitations during the audit process.

c) Regarding data

- The availability of digital data: The audited entity must convert paper-based data into digital data for easy sharing and processing.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

d) Regarding clarity in audit procedures and process

- The audit plan must specify audit procedures and process, including work steps, implementation time and assistive technology tools, etc.

- The SAV and the audited entity must maintain regular and timely communication to address arising issues.

5. Remote audit quality control

Remote audit quality shall be subject to centralized control, ensuring that requirements on quality and compliance are met upon conducting the remote audit; the quality of the system setup must be controlled to assure confidentiality, security and data protection (CSDP) for the remote audit.

Article 6. Requirements for affiliated units and audit delegations

When conducting remote audits, affiliated units and audit delegations must comply with the Law on State Audit Office of Vietnam, applicable regulations, regulations of competent authorities on power control, prevention and combat of corruption, wastefulness and misconduct, the SAV's Audit Standards, the SAV's audit process, the Regulation on organization and operation of the State Audit Delegation, the Regulation on audit quality control, other relevant regulations of the SAV and this Guidance.

Chapter II

SPECIFIC PROVISIONS

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Article 7. Preparation for audit

1. Survey and collection of information

Remote survey and collection of information refer to collection of digitized materials and data stored at the SAV; remote information retrieval using IT on electronic data of an audited entity, relevant agencies, organizations and individuals and audited entities' reports. Information from internal and external sources of the audited entities may be collected by the following methods:

- Collect from assessments of previous audits;

- Study the SAV's stored materials concerning the audited unit (if any);

- Request the audited entity and relevant agencies, organizations and individuals to send reports, provide information and materials (sent by e-mail, fax, postal courier, etc.);

- Research the working environment and controls of the audited entity via the big data analytics application that provides both internal and external data.

- Retrieve information concerning the audited entity on mass media

- Conduct discussions and interviews with leaders, employees and relevant individuals of the audited entity to collect information ( use of questionnaires, via communication channels such as online meetings, information exchange portals, document sharing tools, etc.);

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Have access to national databases and electronic data of the audited entity and relevant agencies, organizations and individuals to retrieve information and materials directly related to audit matters and scope (access to data must comply with law and keep privacy, confidentiality and safety as prescribed by law).

- Other appropriate methods.

2. Preparation of an overall audit plan

a) Risk assessment

- Inherent risk assessment

+ Risk of complexity of transactions: Remote auditing for complex transactions of the audited entity is often more difficult than on-site auditing, resulting in an increased risk that the SAV cannot detect abnormal transactions of the audited entity.

Risk of initial audit: For an initially audited entity, it will be more difficult for the State Auditor to have access the audited entity's applications with aiming to collect and assess information.

+ Risk of integrity of the audited entity's leaders: The State Auditor may face difficulties in collecting information and assessing the integrity of the audited entity's leader s due to the shortage of direct interaction with the audited entity's leaders and non-observation at the audited entity.

- Control risk assessment: The State Auditor may face difficulties in assessing the effectiveness of internal control, especially the assessment of assignment and segregation of duties in the audited entity's organizational apparatus.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

+ Data manipulation: Risks may arise from unauthorized alteration to electronic dossiers or datasets to conceal irregularities or distort data.

+ Presentation of unauthentic materials: The remote audit is mainly conducted based on the exchange of electronic information and materials, resulting in an increased risk that State Auditor receive unauthentic materials such as fake invoices, fake contracts, fake data and materials generated by AI and confirmed as inaccurate third parties and other materials used for illegal transactions.

+ Unauthorized access: Remote access to the audited entity's systems and electronic data may result in increase in the risk of unauthorized access by third parties, such as: Data destruction, phishing and malware installation, etc.. This may result in great impacts to the truthfulness of audit results and findings and may harm both the audited entity and the State Auditor.

+ Manipulation of remote audit tools: Since the remote audit involves technologies, this may result in an increased risk that the audited entity or other parties may manipulate the used audit tools to conceal errors or fraud. For example, an audited entity may make changes to timestamps, locations, and modify user access records, etc.

(Refer to certain Information and Communication Technology tools corresponding to the procedures for research of the audited entity and risk assessment in Appendix 01 attached to the Guide).

b) Determination of materiality

Limitations in researching the audited entity and having access to the audited entity's information during remote audit may result in changes to determination of materiality. Quantitatively, in order to ensure prudence, the State Auditor may apply the overall materiality threshold and the materiality threshold lower than that in on-site audit. Qualitatively, the State Auditor should pay attention to determining audit matters in accordance with the identified fraud risks.

c) Audit methods and procedures

In addition to the prescribed contents (including audit procedures according to the SAV's Audit Standards), a remote audit plan must specify essential technology tools (such as online meetings, email exchanges, information exchange portals, etc.) for each audit procedure, assessments of the capacity of adequate and appropriate collection of evidence and regulations on confidentiality in information exchange.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

The audit plan must have the appropriate audit scope to minimize audit risks. For example, limits on inventory and cash of the audited entity may be added in place of direct observation and inventory at the audit entity.

3. Preparation of essential conditions

The following essential conditions in remote audit should be given more attention than on-site audit:

a) Personnel: The audit delegation and the audited entity must assign key personnel in charge of each important audit matter/area and arrange a person in charge of communication between the two parties.

b) Materials: The audit delegation and the audited entity shall use digitized or scanned materials to facilitate the uploading and downloading of information during the audit period .

c) Confidentiality, security and data protection (CSDP): The audit delegation and the audited entity must attach importance to the requirements of confidentiality, security and data protection, such as use of virtual private network (VPN) credentials and data access restriction, etc.

d) Information and communication technology tools used by the audit delegation and the audited entity comprise hardware and software. The following softwares and remote audit platforms may be used:

- To communicate between the two parties and witness the inventory, the State Auditor may use applications such as Microsoft Teams, etc.

- To make it easier to manage tasks, the State Auditor may use applications such as Outlook Calendar to schedule and manage exchanges.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- The audit delegation and the audited entity shall share and store data to each other via the SAV's information exchange portal.

- The State Auditor may use programs such as Excel, Microsoft Power BI, etc. for data analysis.

Article 8. Conduction of audit

1. Announcement of an audit decision

The audit decision may be announced by sending a notice or at an online meeting on the SAV's IT system.

2. Conduction of audit

Each remote audit may be conducted in centralized manner at one workplace or at multiple locations depending on its conditions and IT responsiveness.

2.1. Collection of audit evidence

Audit methods and procedures commonly used for collection of audit evidence comprise: Observation; inspection and comparison; external confirmation; recalculation; interview; analysis procedures; re-implementation...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

The use of digital tools such as images and data collected from cameras at the audited entity are stored and transmitted to the SAV or appropriate remote sensing devices such as drones, Satellite image, etc. is required to remotely observe processes or procedures of the audited entity (Refer to some examples of remote observation in Appendix 02 enclosed herewith).

b) Inspection

Materials, ledgers, records, and property are subject to inspection.

- Inspection of materials, ledgers, records

The inspection of dossiers and materials relies heavily on digitized materials, requires safe methods to ensure their authenticity and truthfulness. Traditional verification methods must be combined with the following modern technology solutions to ensure the authenticity of materials in remote audit:

+ Data validation and comparative analysis: Ensure the validity of the data by cross-referencing the received materials with appropriate comparative data (evidence of attrition) and conducting multi-layered verification with relevant units on matters subject to further inspection. Comparative analysis assist verification of the originality and accuracy of information and clarification of differences or inconsistencies among dossiers and materials.

In case the audited entity uses AI to generate fake data or materials and the State Auditor suspects irregularities such as information, figures, or electronic signatures that are unclear, inconsistent, and non-uniform with those stated in other materials, the State Auditor may use statistical tools to detect discrepancies; examine sample data by content reading and analysis; compare AI-generated data with human-generated data; or use other AI tools to find mistakes or violations in the data. If suspicions arise but the State Auditor lacks the essential expertise, tools, or time to conduct an independent assessment, he/she must report to the audit team leader for seeking guidance from the competent authority for appropriate assistance, verification, and assessment.

+ Conclusion of authenticity: The State Auditor may request the audited unit to declare the authenticity of the provided materials. These conclusions may be made in writing or orally (audio recording). In respect of materials and data that the State Auditor has sufficient grounds to judge as fake materials and data through audit procedures, the State Auditor shall assess the impact of these materials and information on audit objectives in order to give appropriate assessments and audit opinions.

+ Communication: The audit delegation shall reach an agreement with the audited entity on information exchange methods such as exchange information via designated personnel and official e-mail addresses to ensure information exchange under control and supervision, minimizing the risk of data falsification or unauthorized access.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

+ Electronic data and cloud technology: The conversion to electronic data of the audited entity has legalized the data transmission and storage processes. Cloud technology provides large storage capacity and a high level of confidentiality. Cloud infrastructure provides a secure environment for storing and accessing audit-related materials, ensuring availability, and protecting data.

(Refer to some examples of remote inspection of documentation and materials in Appendix 03a enclosed herewith).

- Property inspection

In respect of original paper documents, the State Auditor shall inspect and compare electronic materials or digitized materials from the originals, except for the case where original materials are couriered from the audited entity to the head office of the state audit agency. The State Auditor shall use indirect assistance tools for inspection and comparison of artifacts similar to the observation method (specified in point a). The audited entity may provide paper materials by courier; or electronic materials (including digitized materials and original electronic materials) through the SAV's IT system. The State Auditor should pay attention to store evidence proving that the received materials is couriered from the audited entity.

The State Auditor may use conduct property inspection as follows:

+ The State Auditor cooperates with the internal audit department of the audited entity (or a department with similar functions) to verify and control all materials that by the audited entity has provided for the audit delegation. The State Auditor requests leaders of this department to verify that the soft copies of the provided materials are valid and identical to original hard copies.

+ The State Auditor requests the audited entity to provide materials on designated means of communication with access rights only granted for the State Auditor, the audited entity and the internal audit department.

+ After analysis the provided materials, the State Auditor requests the relevant components of the audited entity to conduct a preliminary online discussion for identification of high-risk audit areas to be inspected for virtual property^[1].

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

+ The State Auditor sends audit results to the audited entity, the department confirms and replies through official e-mail or other secure channels.

(Refer to examples of remote property inspection in Appendix 03b enclosed herewith).

c) Interview

Remote interviews are conducted through online exchanges by audio, images, messages, questionnaires on appropriate IT systems or telephone interviews... In order to assure the essential confidentiality for both the SAV and the audited entity, the State Auditor must conduct interviews on the SAV's IT system and restrict the use of other transmission channels, especially public online services. In addition, the information exchanged in a remote interview may not be as accurate as a face-to-face interview because the responsibility and authority of online interviewees are absolutely guaranteed.

A remote interview may consist of 3 stages: Preparation, conduction, and conclusion of the interview, including the signing of the interview minutes.

- In order to ensure the effectiveness of the remote interview, the State Auditor shall select and run tests of interview mediums, schedule and send invitations, draft interview questions, organize interview teams, prepare backup records, make the interviewee's profile, and develop an interview plan. Preparation also involves defining interviewee limits and the duration of each interview.

- During the remote interview, the State Auditor shall ensure that the interviewee is the one stated in the sent invitation, request the interviewee to hold his/her video camera, develop a relationship with the interviewee, pay attention to the interviewee's non-verbal language by asking his/her to adjust location and distance from the device, focus on the topic, record the interview, and make interview minutes.

Besides, the State Auditor must caution regarding issues that may impact the execution of remote confirmations, especially in cases where there may be a potential risk of fraud. For example, in case of a signal error that interrupts the streaming process, the audited entity is disconnected from the discussion without a verifiable reason, or the audited entity attempts to orient the State Auditor under certain conditions without a justifiable reason.

- Conclusion of the interview: If the interview minutes may be completed immediately, the State Auditor shall send it via the document sharing feature to the interviewee for signing digitally. Vice versa, the State Auditor shall send such minutes to the interviewee for signing electronically or a printed material.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

(Refer to examples of remote interview in Appendix 04 enclosed herewith).

d) External confirmation

Audit evidence are usually collected from third parties via electronic means - such as e-mail, secure online platforms, or teleconferencing. (Refer to examples of remote confirmation in Appendix 05 enclosed herewith).

dd) Re-implementation

The State Auditor must exercise selective control manually or via CAATs - such as re-recording of receivables. Re-implementation is considered a reliable method to assess the effectiveness of control activities because the State Auditor may directly audit the controls instead of relying on the audited entity's reports and databases. (Refer to examples of remote re-implementation in Appendix 06 enclosed herewith).

e) Analysis procedures

The analysis procedures are used throughout the remote audit and are carried out for the following three main purposes:

- Preliminary analytical assessment: Preliminary analytical assessments are conducted to process the understanding of the audited entity and its operating environment (e.g., financial performance compared to that of previous years and across relevant industries), assisting the State Auditor in assessing the risk of material errors and determining the schedule, time and content of audit procedures accordingly.

- Fundamental analysis procedures: Fundamental analysis procedures are carried out when the State Auditor considers that following analytical procedures may reduce the risk of material errors at the assertion level to an acceptable low, which is more effective than detailed tests.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

(Refer to examples of remote analysis procedures in Appendix 07 enclosed herewith).

g) End-to-end testing

End-to-end testing in the remote audit involves monitoring a specific transaction or operational process of the audited entity from start to finish to assess the effectiveness and reliability of the audited entity's internal control and compliance. Remote end-to-end testing may comprise remote review, observation, and interview. End-to-end testing assists identification of potential control gaps, assurance of the accuracy of financial statements, and provision of details of inherent risks.

The State Auditor shall apply remote end-to-end testing with the following contents:

- Verify the identity of the responsible individual of the audited entity and request his/her to exchange through video conferencing tools using laptops, tablets, or smartphones.

- Notify the audited entity that the end-to-end testing shall be recorded and screenshots may be the provided evidence.

- Request the responsible individual to provide further exploitations on the trading cycle or operation process and online evidence.

- Request the responsible individual to provide a random material, display it on the device, and demonstrate the existence of internal controls.

- Randomly request the responsible individual to provide evidence of verification and approval authorization for each process/transaction of the audited entity.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Record and documentize any weaknesses of the audited entity's internal control activities.

- Analyze the impact of weaknesses on other audit procedures.

(Refer to some examples of remote end-to-end testing and some information and communication technology tools assisting the remote audit conduction in Appendix 08 and Appendix 09 enclosed herewith).

2.2. Assessment of audit evidence and formation of audit opinions

After completing the audit procedures, the State Auditor shall assess whether the collected audit evidence is sufficient and appropriate to give audit findings and results. On that basis, the State Auditor shall conduct a professional assessment to make audit conclusions or opinions on the audited information or object.

The State Auditor may have to rely on digital papers, spreadsheets and other forms of electronic materials for assessment, making it more difficult to authenticate and verify than paper materials. Where the State Auditor may be not capable of conducting physical inspections of dossiers and property, the State Auditor should develop alternative audit procedures to assure the validity of the information provided by the audited entity.

Notes regarding assessment of audit evidence:

- The State Auditor must pay special attention upon inspection of the authenticity, reasonableness, legality, appropriateness and completeness of audit evidence in the remote audit. Since most of the information is collected indirectly and under control and impact by the audited entity, the nature of the collected audit evidence may be significantly affected. Some factors that may impact the authenticity, reasonableness, legality, appropriateness and completeness of audit evidence comprise:

+ Electronic information and data provided by the audited entity may not be updated in time or regularly modified or replaced by many different versions.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

+ In respect of audit evidence collected through audit procedures - such as observation that carries risks, because the State Auditor is not physically present on-site, images and sounds obtained from assistance tools may not provide a true and fair view of the actual situation (e.g. delayed audio images, deviations due to transmission line signals, being modified before transmission to the State Auditor; the transmitted audio image is of the location and/or time different from the actual location and/or time to be observed).

+ The unexpected and random nature during carrying out some audit procedures that no longer exist in the remote audit also impact the reliability of evidence (for example, the State Auditor cannot conduct an unscheduled physical inspection or inspection of the authenticity of a piece of property as in the on-site audit).

- In order to minimize audit risks, the State Auditor should only assess evidence sent directly from the audited entity and certified by the courier and/or evidence sent and stored on the SAV's IT system and restrict the use of evidence as materials sent through other forms and transmission channels, especially public cloud-based transmission and storage services provided by third parties.

- In case where audit evidences lacks legal assurance due to remote collection or where the State Auditor has reasonable grounds to conclude that such evidence is falsified, the State Audit shall request the audited entity to send certified hard copies for comparison and storage as prescribed.

2.3. Preparation and signing of the minutes of audit data and status confirmation

- During synthesizing audit results, exchanging with the audited entity(on issues related to the audit, audit findings), receiving further explanations of the audited entity, the State Auditor only exchanges and receives information and electronic materials with the audited entity through the SAV's IT system and minimize the use of public cloud-based transmission services provided by third parties.

- The State Auditor may send the electronic minutes of audit data and status confirmation for digital signature or send the paper minutes via delivery service for signature by the relevant responsible person of the audited entity. In the remote audit, since the State Auditor does not directly witness the signing of the minutes, when receiving the minutes with signatures, the verification is required to ensure that the digital signatures (if any) is attributable to the responsible person and the minutes remains unaltered and unmodified.

3. Preparation and ratification of the draft audit report

The draft audit report may be sent electronically or physically via delivery service; the online meeting or written opinions on the draft audit report sent from the audited entity to the audit team are allowed to serve as a basis for finalization of the audit report.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Article 9. Preparation and sending of audit report

1. Preparation of the draft audit report

During gathering audit evidence, the head of the audit delegation shall pay attention to some guidelines on audit evidence as prescribed in Article 8 hereof upon the synthesis and review of audit evidence.

The State Auditor may use tools and applications such as e-mail, information exchange portals, online meeting applications, open source tools, increased bandwidth or suitable software... to prepare an audit report. The implementation of protocols on Confidentiality, Security, and Data Protection (CSDP) that enforce encryption, access controls, and other security measures assists mitigation of the risk of data breaches and protection of audit data from unauthorized access or disclosure. The application of information and communication technologies must be specified in the audit report.

2. Sending of the draft audit report for seeking opinions

The in-charge unit shall send the completed electronic or paper draft audit report for seeking opinions of the audited entity (if the confidentiality is not required). The draft audit report may only be sent electronically in case the requirements as prescribed by the SAV are met.

3. Announcement of the audit results

- An online meeting on the SAV's IT system may be held for announcement of the audit results.

- The in-charge unit should pay attention to exchanging and communicating information in a timely manner with the audited entity to prevent the misplacement of the written opinions couriered from the audited entity or delays or errors upon transmission through the IT system.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

The audit report may be issued electronically or physically (if the confidentiality is not required) as prescribed by the SAV.

Article 10. Supervision and inspection of the implementation of audit conclusions and recommendations

Notes on supervision and inspection of the implementation of audit conclusions and recommendations in a remote audit: Supervision, urge, collection and synthesis of information on audit conclusions and recommendations and the implementation thereof by the audited entity shall reply on electronic documents and materials that are sent by the audited entity by email, fax, postal courier or online meeting... However, these methods must assure safety and security as prescribed.

Chapter III

IMPLEMENTATION PROVISIONS

Article 11. Responsibility for remote audit

1. In-charge units shall:

- Strictly comply with procedures specified in the SAV's Audit Process and this Guidance upon establishment of remote audit delegations.

- Take responsibility before the State Auditor General for data access to ensure compliance with law and be responsible for keeping confidentiality, privacy and safety in accordance with law.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

2. The Department of Information Technology shall:

- Promptly receive, provide assistance and synthesize requests of the SAV's affiliated units during remote audit and then, report to the State Auditor General for consideration and direction.

- Research, refer to and propose the implementation of new and advanced technological solutions in accordance with the audit objectives and professional requirements of the SAV for remote audit.

Article 12. Implementation

1. Directors of the SAV's affiliated units and relevant organizations and individuals shall be responsible for implementation of this Guidance.

2. Any issues that arise during the implementation process should be promptly reported to the Department of Auditing Regulations and Quality Control for synthesis and advice to the State Auditor General for consideration and direction./.

Văn bản được hướng dẫn - [0]

Văn bản được hợp nhất - [0]

Văn bản bị sửa đổi bổ sung - [0]

Văn bản bị đính chính - [0]

Văn bản bị thay thế - [0]

Văn bản được dẫn chiếu - [0]

Văn bản được căn cứ - [0]

Văn bản liên quan ngôn ngữ - [1]

Văn bản đang xem

Quyết định 243/QĐ-KTNN năm 2025 về Hướng dẫn kiểm toán từ xa do Tổng Kiểm toán Nhà nước ban hành

Số hiệu:	243/QĐ-KTNN
Loại văn bản:	Quyết định
Lĩnh vực, ngành:	Kế toán - Kiểm toán
Nơi ban hành:	Kiểm toán Nhà nước
Người ký:	Ngô Văn Tuấn
Ngày ban hành:	21/02/2025
Ngày hiệu lực:	Đã biết
Ngày đăng:	Đã biết
Số công báo:	Đã biết
Tình trạng:	Đã biết

Văn bản liên quan cùng nội dung - [0]

Văn bản hướng dẫn - [0]

Văn bản hợp nhất - [0]

Văn bản sửa đổi bổ sung - [0]

Văn bản đính chính - [0]

Văn bản thay thế - [0]

[...] Đăng nhập tài khoản TVPL Basic hoặc TVPL Pro để xem toàn bộ lược đồ văn bản

KIỂM TOÁN NHÀ NƯỚC -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 243/QĐ-KTNN	Hà Nội, ngày 21 tháng 02 năm 2025