Oái, cái nơi không có CNTT là cái nơi mà một hoặc một số công đoạn của quá trình xử lý thông tin không dựa vào máy tính. Lúc đó, KTV muốn có mức đảm bảo về rủi ro kiểm soát thì phải tự test chứ IT expert đâu có làm được.
Tất cả các thắc mắc của bạn như phân công phân nhiệm, xử lý các mối tiếp giáp và giấu vết kiểm soát đều được các chuyên gia IT phân tích, đánh giá và kết luận. Họ cũng được đào tạo về audit mà.
Còn kỹ thuật thu thập bằng chứng ra sao khi kiểm tra hệ thống máy tính thì cũng giống như thực hiện các thử nghiệm kiểm soát thông thường tức là phỏng vấn, quan sát, thực hiện lại, kiểm tra dấu vết kiểm soát... nhưng trong môi trường tin học. Cụ thể hơn là người ta test trong hệ thống ứng dụng. Ví dụ, test hệ thống phát hành hoá đơn và quản lý bảng phân tích tuổi nợ; test hệ thống pha trộn vật liệu và báo cáo tiêu hao nguyên vật liệu, test hệ thống đặt vé và xác nhận chỗ.v.v. rất nhiều cái mình có thể hình dung là việc kiểm toán dựa vào thông tin từ một hệ thống ứng dụng nào đó mà không thể không biết cái ứng dụng đó nó chạy như nào, có đáng tin cậy hay không. Đúng không?