Phân tích dữ liệu, ứng dụng AI để tự động hóa quy trình kiểm toán

AI có thể giúp quá trình kiểm toán trong khu vực công dễ dàng hơn. Nguồn: Aviana

Kiểm toán dựa trên phân tích dữ liệu là một bài toán lớn và khó

Theo Hiệp hội quốc tế về quản trị công nghệ thông tin (CNTT) - ISACA, kiểm toán CNTT là quá trình đánh giá hệ thống CNTT, cơ sở hạ tầng, quy trình và biện pháp kiểm soát của một tổ chức để đảm bảo chúng phù hợp với các mục tiêu và quy định của tổ chức liên quan đến rủi ro. Kiểm toán CNTT có chức năng như một cuộc kiểm tra có hệ thống về môi trường CNTT của một tổ chức, bao gồm: Công nghệ, chính sách, quy trình và thực hành của tổ chức đó. Mục tiêu chính là đảm bảo rằng các nguồn lực CNTT được sử dụng hiệu quả, các tài sản thông tin được bảo vệ đầy đủ và các rủi ro liên quan đến CNTT được quản lý phù hợp.

Kiểm toán CNTT có trách nhiệm đánh giá hiệu quả, hiệu suất và độ tin cậy của hệ thống CNTT của một tổ chức để xác định các lỗ hổng nhằm đề xuất cải tiến. Các lĩnh vực trọng tâm của kiểm toán CNTT bao gồm quản trị và quản lý, bảo mật thông tin, hoạt động và cơ sở hạ tầng CNTT, quản lý và quyền riêng tư dữ liệu, tuân thủ và các yêu cầu pháp lý.

Chia sẻ kinh nghiệm thực tế tại Việt Nam, ông Trần Minh Quân - PwC Việt Nam - cho biết, hiện nay, Luật Giao dịch điện tử, Luật Viễn thông và nhiều thông tư, nghị định đã quy định về kiểm soát và bảo vệ dữ liệu, cũng như xác định những rủi ro liên quan đến CNTT. Thực tế, rủi ro không chỉ về mặt tài chính mà còn có pháp lý, và kiểm toán CNTT là kiểm toán các kiểm soát chung với yêu cầu đặt ra là toàn bộ dữ liệu phải đúng, đủ nguồn gốc, xuất xứ.

Cuộc kiểm toán CNTT không khác các cuộc kiểm toán thông thường bởi quy trình vẫn phải có lập kế hoạch, đặt mục tiêu, xác định rủi ro, thực hiện kiểm toán và báo cáo. Câu hỏi đặt ra là kiểm toán cái gì? dữ liệu như thế nào? phân tích dữ liệu phục vụ cho kiểm toán và kết nối. Nếu KTV chưa có thông tin, dữ liệu về đơn vị được kiểm toán thì việc lập kế hoạch kiểm toán sẽ phải bắt đầu từ những bước đầu tiên: Tìm hiểu mức độ ứng dụng CNTT của đơn vị và xác định có bao nhiêu hệ thống CNTT (ứng dụng, cơ sở dữ liệu và hệ điều hành); mỗi hệ thống thực hiện chức năng tương ứng (quản lý văn bản điều hành, chấm công, quản trị…); tiếp cận tài liệu mô tả hệ thống, chức năng, quy trình vận hành ứng dụng.

Từ dữ liệu thu thập được, phân tích dữ liệu là công cụ để chuẩn đoán, phân tích dự đoán, phát hiện bất thường, phân tích mạng, bảo mật, phân tích văn bản… KTV càng tiếp cận nhiều dữ liệu, đặc biệt là dữ liệu của các doanh nghiệp lớn (dữ liệu từ hệ thống quản trị và hệ thống quản trị rủi ro) thì việc lập kế hoạch kiểm toán càng thuận lợi. Tuy nhiên, phần lớn dữ liệu rất đa dạng, nhiều loại khác nhau và không thống nhất về cách trình bày số liệu. Nhiệm vụ khó khăn với KTV không chỉ là tiếp cận dữ liệu mà còn phải đảm bảo dữ liệu từ nguồn phải đầy đủ, chính xác, tiếp đến là làm sạch dữ liệu, sau đó là phân tích dữ liệu.

Ứng dụng AI vào hoạt động kiểm toán

Trong quá trình kiểm toán, AI có thể được sử dụng theo nhiều cách khác nhau, bao gồm thực hiện kiểm tra mục nhật ký bằng cách xác định các giao dịch bất thường trong một nhóm lớn dữ liệu phi cấu trúc và phân tích các giao dịch đó để tìm ra các mẫu và bất thường. AI cũng có thể được sử dụng trong giai đoạn lập kế hoạch kiểm toán và khi thực hiện các thủ tục xác định, đánh giá rủi ro.

Sử dụng các công cụ công nghệ hỗ trợ AI, KTV có thể vượt ra ngoài các thông lệ truyền thống để phân tích thông tin hiệu quả hơn và dễ dàng xác định rủi ro hơn, do đó nâng cao chất lượng kiểm toán. Tuy nhiên, KTV phải xác minh, xác thực lại thông tin. Có nhiều rủi ro dẫn đến kết quả đầu ra không chính xác, nhất là do dữ liệu không sạch, không tốt. Vì vậy, việc xác thực lại thông tin là yêu cầu bắt buộc, ông Trần Minh Quân nhấn mạnh.

Theo Tổ chức quốc tế Các cơ quan Kiểm toán tối cao (INTOSAI), AI có thể giúp quá trình kiểm toán trong khu vực công dễ dàng hơn vì nó giúp thực hiện nhiều nhiệm vụ tốn thời gian hiệu quả hơn. Theo đó, nhiều tác vụ kiểm toán lặp đi lặp lại có thể được thực hiện hiệu quả hơn khi sử dụng tự động hóa quy trình bằng robot (RPA) nhằm xác định các điểm không nhất quán và ngoại lệ. Ví dụ, thuế khấu trừ được khấu trừ vào các khoản thanh toán theo tỷ lệ quy định. Nếu các khoản thanh toán đó được thực hiện mà không có các khoản khấu trừ thuế theo quy định này, RPA sẽ truyền đạt thông tin đó, cho phép KTV điều tra thêm. Sức mạnh của RPA cũng có thể được khai thác để tính đến nhiều biến số và có thể được lập trình để cung cấp cảnh báo cho nhiều bên liên quan khác nhau.

Bên cạnh đó, thuật toán AI có thể được sử dụng để phân loại và nhóm các thực thể trong khi công cụ rủi ro do AI thiết kế có thể tính toán điểm số về bản chất gia tăng của rủi ro. Công cụ rủi ro có thể được lập trình để xem xét nhiều tiêu chí khác nhau, chẳng hạn như: Tính trọng yếu, khối lượng và loại giao dịch, độ phức tạp và phân loại các thực thể được kiểm toán, hỗ trợ phân bổ nguồn lực. Hơn nữa, AI giúp loại bỏ những hạn chế vốn có của việc lấy mẫu kiểm toán bằng cách sử dụng nhiều điểm kiểm soát khác nhau để phân tích các giao dịch và phân loại chúng thành rủi ro cao, trung bình hoặc thấp.

Việc sử dụng thuật toán AI để lập bản đồ các điểm kiểm soát cho phép xem xét chỉ bằng một cú nhấp chuột, các giao dịch có rủi ro cao có thể được tìm kiếm nhanh chóng và có thể cung cấp cảnh báo cho KTV. Tương tự như vậy, các công cụ tối ưu hóa tìm kiếm cũng hữu ích trong việc xác định các giao dịch có giá trị cao và phân tích không gian địa lý. Tối ưu hóa tìm kiếm cũng hiệu quả trong kiểm toán doanh thu vì AI có thể nhanh chóng xác định các khoản nợ thuế và bất thường, chẳng hạn như các khoản hoàn trả cho thấy các khoản lỗ thường xuyên, tỷ lệ lợi nhuận gộp và lợi nhuận ròng âm và các mức thuế quan khác nhau được áp dụng cho các hàng hóa tương tự.

Các thuật toán của AI có thể tự động phân loại quan sát kiểm toán dựa trên dữ liệu lịch sử để tìm hiểu tiêu chí và áp dụng các quy tắc tương tự để tự động hóa tác vụ. Hiểu ngôn ngữ tự nhiên cho phép xem xét dữ liệu và tự động tạo bảng câu hỏi để gửi đến các đơn vị được kiểm toán nếu xuất hiện những khoảng trống đáng chú ý. Ví dụ, nếu hệ thống xác định được mức tăng đáng kể về chi phí chung của người nộp thuế, tiền lương, chi phí bán hàng và phân phối so với năm trước, hệ thống có thể tự động tạo ra các câu hỏi liên quan đến lý do và bằng chứng cho những điều kiện đó.

AI giúp thực hiện công tác giám sát bằng cách sử dụng các nguồn lực sẵn có để tạo ra kết quả chất lượng cao. Thông qua nhiều phân tích khác nhau, các công cụ AI xác định các mẫu và ngoại lệ để KTV điều tra thêm và tăng khả năng kiểm toán từ xa. Tuy nhiên, AI không thể thay thế con người và sự hoài nghi chuyên môn của các KTV./.

THÙY LÊ