Hôm nay mình sẽ giới thiệu cho các bạn về kỹ thuật chọn mẫu trong audit lĩnh vực IT nhé. Có thể thuật ngữ này không mới với bạn, nhưng vẫn có 1 số thứ hay ho chúng mình có thể chia sẻ cùng nhau ở đây. Ví dụ như các kỹ thuật chọn mẫu nào thông dụng? Trong các ngành nghề khác nhau thì kỹ thuật chọn mẫu có khác nhau không?

1. Chọn mẫu là gì?

ISO 19011:2002 chỉ đề cập đến mẫu và lấy mẫu 9 lần, còn ấn bản năm 2011 hiện tại đề cập đến các thuật ngữ đó 68 lần! Điều đó hẳn cho thấy sự quan trong của việc chọn mẫu kiểm toán. (Tham khảo: Audit guidances: ISO 19011:2011, Guidelines for Auditing Management Systems)

Chọn mẫu kiểm toán (Audit sampling) là việc áp dụng các thủ tục kiểm toán (audit procedures) cho ít hơn 100% các phần tử có trong tổng thể (population) sao cho các đơn vị lấy mẫu đều có cơ hội được chọn nhằm cung cấp cho auditor cơ sở hợp lý để đưa ra kết luận về toàn bộ tổng thể.

Tổng thể (Population) là toàn bộ dữ liệu mà từ đó mẫu được chọn ra, được auditor sử dụng nhằm đưa ra kết luận về toàn bộ dữ liệu đó.

Mẫu (sample) là một phần nhỏ của bất kỳ thứ gì, nhằm đại diện cho toàn bộ. Nhiều khi việc kiểm tra tất cả dữ liệu có sẵn không khả thi, ví dụ: hồ sơ có thể quá nhiều hoặc phân tán, hoặc quá tốn thời gian/chi phí.

Vậy mục tiêu khi sử dụng kỹ thuật chọn mẫu là gì?

• Thu thập đủ bằng chứng để đưa ra ý kiến kiểm toán
• Giảm số lượng tài nguyên được sử dụng
• Cung cấp cơ sở để kiểm toán viên đưa ra ý kiến kết luận
• Phát hiện bất kỳ sai sót hoặc gian lận nào có thể xảy ra
• Chứng minh rằng kiểm toán viên đã hoàn thành cuộc kiểm toán của mình một cách đầy đủ theo các chuẩn mực kiểm toán
• Được sử dụng như một công cụ để điều tra

2. Quy trình chọn mẫu kiểm toán

3. Các phương pháp chọn mẫu

Trong nội dung bài viết này, mình sẽ chia sẻ 2 phương pháp chọn mẫu chính: Chọn mẫu thống kê và Chọn mẫu phi thống kê

3.1. Chọn mẫu thống kê (Statistical sampling)

Chọn mẫu thống kê sử dụng quy trình chọn mẫu dựa trên lý thuyết xác suất. Lấy mẫu dựa trên thuộc tính được sử dụng khi chỉ có hai kết quả có thể xảy ra cho mỗi mẫu, ví dụ, phù hợp hoặc không phù hợp. Lấy mẫu dựa trên biến số được sử dụng khi kết quả mẫu xảy ra trong một phạm vi liên tục, ví dụ: số lần vi phạm bảo mật theo thời gian

Kế hoạch lấy mẫu

Các yếu tố chính sẽ ảnh hưởng đến kế hoạch lấy mẫu đánh giá là:

• Quy mô của tổ chức (vì nó ảnh hưởng đến quy mô dân số)
• Số lượng đánh giá viên có năng lực (có sẵn để chia sẻ khối lượng lấy mẫu)
• Tần suất đánh giá trong năm (mẫu rộng hoặc mẫu sâu)
• Thời gian của đánh giá riêng lẻ (thời gian có sẵn để lấy mẫu)
• Bất kỳ mức độ tin cậy nào được yêu cầu bên ngoài (buộc lấy mẫu thống kê)

Mức độ tin cậy

Rủi ro lấy mẫu 5% (độ tin cậy ~ 95%) có nghĩa là chúng ta chấp nhận rủi ro 5 trong 100 mẫu sẽ không phản ánh các giá trị sẽ thấy nếu toàn bộ dân số được kiểm tra. Đánh giá viên phải ghi lại công việc lấy mẫu, bao gồm:

• Mô tả dân số được lấy mẫu
• Tiêu chí lấy mẫu được sử dụng để đánh giá (được coi là mẫu có thể chấp nhận được)
• Các tham số và phương pháp thống kê đã được sử dụng
• Số lượng mẫu được đánh giá và kết quả thu được.

Các công cụ thống kê có thể tính toán kích thước mẫu cho tổng thể, tỷ lệ xuất hiện và mức độ tin cậy khác nhau.

Ví dụ: Đối với tổng thể 1000 và mức độ tin cậy 90% rằng không quá 5% mục không phù hợp, bạn sẽ lấy mẫu 45 mục.

Kích thước mẫu

Vẫn với tổng thể trong ví dụ ngay bên trên, nếu tăng mức độ tin cậy lên 95% và thay đổi tỷ lệ không phù hợp thành 1% hoặc thấp hơn, nó sẽ mở rộng mẫu cho tổng thể lên 259, nhiều hơn 45.

Kiểm toán tài chính thường sử dụng phương pháp lấy mẫu thống kê. Tuy nhiên, do hạn chế về thời gian và yếu tố chi phí, các cuộc đánh giá chất lượng thường sử dụng phương pháp chọn mẫu phi thống kê.

3.1.1 Chọn mẫu hệ thống (Systematic sampling)

Lấy mẫu có hệ thống nghĩa là bạn chọn "mọi mục thứ N" trong tổng thể làm mẫu. Tuy nhiên, bạn phải đảm bảo khoảng thời gian lấy mẫu hệ thống không tạo ra sự sai lệch.

3.1.2 Chọn mẫu ngẫu nhiên (Random sampling)

Lấy mẫu ngẫu nhiên mang lại cho mỗi mục trong quần thể được lấy mẫu cơ hội được chọn như nhau. Điều đó có nghĩa là chọn một mục, không ảnh hưởng đến xác suất của bất kỳ mục nào khác được chọn.

3.1.3 Chọn mẫu phân tầng (Stratified sampling)

Khi các mục từ mỗi nhóm con trong tổng thể cần được đại diện, bạn có thể sử dụng lấy mẫu "phân tầng". Để làm được điều đó, hãy chia tổng số thành các nhóm con hoặc các lớp. Sau đó chọn mẫu ngẫu nhiên hoặc mẫu hệ thống từ bên trong mỗi nhóm con. Phần lấy mẫu cho mỗi nhóm con có thể được lấy theo cùng tỷ lệ mà nhóm con có trong tổng thể.

Ví dụ: bạn sẽ chọn ngẫu nhiên khách hàng của từng loại tương ứng với số lượng khách hàng thuộc loại đó trong tổng thể. Giả sử rằng 70% khách hàng của bạn sử dụng Iphone và 30% sử dụng các loại điện thoại khác. Bạn có thể chia dân số thành hai nhóm đó và lấy 70% mẫu của bạn từ nhóm Iphone và 30% mẫu của bạn từ nhóm còn lại

3.1.4 Chọn mẫu theo cụm (Cluster sampling)

Trong lấy mẫu "phân tầng", các nhóm con là đồng nhất. Trong lấy mẫu "cụm", cụm càng không đồng nhất để phù hợp với dân số càng tốt. Một mẫu ngẫu nhiên được lấy từ trong một hoặc nhiều cụm được chọn. Ví dụ: nếu có 20 dự án nhỏ trong phạm vi 1 cuộc audit, bạn có thể sử dụng phương pháp lấy mẫu theo cụm để chọn ngẫu nhiên 4 dự án làm đại diện cho cuộc đánh giá.

Đối với toàn bộ các phương pháp chọn mẫu thống kê ở trên, mình sẽ dùng 1 hình ảnh để tổng quan lại cho dễ phân biệt nha. Probability smapling hay chính là Statistical sampling đó

3.2. Chọn mẫu phi thống kê

3.2.1 Chọn mẫu phán đoán (Judgement sampling)

Việc lấy mẫu dựa trên xét đoán dựa trên kiến thức, kỹ năng và kinh nghiệm của nhóm đánh giá. Việc lấy mẫu cần xem xét: Kinh nghiệm đánh giá trước đây trong phạm vi đánh giá (có thể dành nhiều thời gian hơn nếu kinh nghiệm ít) Mức độ phức tạp và tương tác của các quá trình (lấy mẫu nhiều hơn nếu một quá trình phức tạp) Những thay đổi về công nghệ và hệ thống quản lý (lấy mẫu nhiều hơn nếu rủi ro cao hơn) Các lĩnh vực rủi ro đã được xác định trước đó và các lĩnh vực cải thiện (xem xét các lĩnh vực yếu kém) Đầu ra từ việc giám sát hệ thống quản lý (lắng nghe phản hồi về các vấn đề)

Mẫu phải cung cấp phạm vi bao phủ của tất cả các loại item trong tổng thể. Một hạn chế của lấy mẫu dựa trên xét đoán là không thể có ước tính thống kê về ảnh hưởng của sự không chắc chắn đối với các phát hiện và kết luận kiểm toán của bạn.

Bạn có thể cảm thấy hơi lăn tăn giữa Chọn mẫu ngẫu nhiên và Chọn mẫu phán đoán, có gì khác nhau không? Câu trả lời là khác nhau đó nha. Chọn mẫu phán đoán vẫn dựa trên cảm tính, bạn có chắc trong 1 danh sách tên, những cái tên bạn chọn sẽ có phần cảm tính đó. Có thể do nó hay ho, hoặc bạn đã từng nghe gì đó về nó chẳng hạn. Còn chọn mẫu ngẫu nhiên, để đảm bảo xác suất chọn mỗi mẫu là như nhau, có thể tưởng tượng rằng mỗi mẫu là 1 viên bi/hoặc 1 mẩu giấy, kích thước cũng y hệt. Bạn cho số bi đó vào hộp kín, và dùng tay bốc random. Như vậy, bạn đang chọn mẫu mà không dựa trên gì cả, không dựa trên màu sắc, tên, ..., đảm bảo xác suất chọn vào 1 viên bi là như nhau nha

3.2.2 Chọn mẫu thuận tiện (Convenience sampling)

Một kiểu chọn mẫu phi thống kê khác là chọn mẫu “thuận tiện”. Với phương pháp này, bạn chọn một mẫu gần đó và sẵn có. Nghe có vẻ dễ dàng. Tuy nhiên, trong hầu hết các trường hợp, bạn không thể đưa ra kết luận về tổng thể, vì mẫu không có khả năng mang tính đại diện.

Ví dụ: khi kiểm tra các đơn đặt hàng, bạn có thể bị cám dỗ để đánh giá các đơn đặt hàng trên bàn của người mua. Tuy nhiên: Người mua có thể đã đặt những cái "đúng" trên bàn để sử dụng cho việc đánh giá Hoặc, các PO (purchase order) có thể được tạo gần đây, được tạo cẩn thận khi biết rằng cuộc kiểm toán sắp xảy ra.

Bên cạnh các phương pháp mà mình đã chia sẻ ở trên, mình sẽ chia sẻ thêm một số lưu ý bên dưới đây:

Mối quan tâm về lấy mẫu

Nếu bạn không cẩn thận, mẫu của bạn có thể không hợp lệ, quá lớn hoặc quá nhỏ. Mẫu không hợp lệ: Nếu một mẫu không đại diện cho dân số, nó không phải là một mẫu hợp lệ. Kiểm toán quá mức: Nếu mẫu được lấy quá lớn, nó không cần thiết và lãng phí thời gian quý báu. Kiểm tra dưới mức: Nếu mẫu quá nhỏ, nó có thể không đại diện cho dân số, có nghĩa là có nguy cơ không phát hiện được sự không phù hợp.

Rủi ro lấy mẫu

Nói về rủi ro, nếu bạn đang lấy mẫu hai trong số mười mặt hàng và có một mặt hàng không phù hợp, rủi ro bỏ lỡ sự không phù hợp đó với một mẫu ngẫu nhiên chỉ có hai mặt hàng là gì? Có 45 cách kết hợp khác nhau khi lấy hai mục cùng một lúc từ một tập hợp mười. Điều đó có nghĩa là sẽ có chín kết hợp với mục xấu và 36 kết hợp không có nó. Vì vậy, trong khi tỷ lệ phần trăm của các mặt hàng xấu là 10%, rủi ro khi chọn một mẫu không có mặt hàng xấu là 36 trên 45, hoặc rủi ro 80%. Điều đó làm nổi bật tác động của cỡ mẫu đối với rủi ro phát hiện.