TỔNG QUAN VỀ KIỂM TOÁN CÔNG NGHỆ THÔNG TIN
Môi trường công nghệ thông tin
1.1.1 Quản trị và chiến lược về công nghệ thông tin a Quản trị công nghệ thông tin
Trong xu thế phát triển hiện nay, các doanh nghiệp phải tận dụng tốt nhất các cơ hội đổi mới CNTT để bắt kịp xu thế và nâng cao vị thế cạnh tranh Công nghệ thông tin (CNTT) là một thuật ngữ bao gồm phần mềm, mạng lưới, hệ thống máy tính sử dụng cho việc phân phối và xử lý dữ liệu, trao đổi, lưu trữ và sử dụng thông tin dưới hình thức khác nhau CNTT đã trở thành một phần quan trọng trong các chiến lược kinh doanh của các doanh nghiệp, nó vừa là yếu tố hỗ trợ vừa là yếu tố giúp nâng cao các mục tiêu của doanh nghiệp
Quản trị doanh nghiệp là một hệ thống các thiết chế, chính sách, luật lệ nhằm định hướng, vận hành và kiểm soát doanh nghiệp, qua đó đưa ra các vấn đề về quyền quyết định, trách nhiệm giải trình và hành vi của một tổ chức Quản trị CNTT (IT governance) là một phần của quản trị doanh nghiệp nhằm đưa ra một cấu trúc và quy trình với mục đích sử dụng tối ưu năng lực CNTT để đảm bảo phát triển bền vững và hỗ trợ tối đa chiến lược và mục tiêu của doanh nghiệp (Otero A R., 2019) Điều này đặt ra yêu cầu cho việc cung cấp cấu trúc để đạt được sự liên kết của các hoạt động và quy trình CNTT với các mục tiêu kinh doanh, kết hợp CNTT vào chương trình quản lý rủi ro doanh nghiệp, quản lý hiệu suất của CNTT, đảm bảo mang lại các giá trị của CNTT và đảm bảo tuân thủ quy định và thực hiện đầy đủ các biện pháp kiểm soát nội bộ Do đó, quản trị CNTT được triển khai một cách hiệu quả sẽ được thực hiện khi các hoạt động và quy trình CNTT phù hợp với định hướng do cơ quan quản trị đặt ra để đạt được các mục tiêu của doanh nghiệp
Và để thực hiện năng lực quản trị CNTT, các chủ thể tham gia vào quy trình phải nắm bắt một số vấn đề chính sau:
(i) Hiểu rõ các thành phần cần thiết để thiết kế các dịch vụ CNTT;
(ii) Xây dựng danh mục dịch vụ CNTT (IT Service Catalogue);
(iii) Xây dựng quy trình để quản lý dịch vụ CNTT;
(iv) Xây dựng hệ thống chỉ tiêu (KPIs) trong từng dịch vụ CNTT;
(v) Xây dựng danh mục dịch vụ CNTT và áp dụng hỗ trợ doanh nghiệp kinh doanh hiệu quả;
(vi) Hiểu và biết cách xây dựng tổ chức bộ máy hỗ trợ dịch vụ CNTT thông qua xác định vai trò, trách nhiệm của từng cá nhân trong quy trình;
(vii) Cách quản lý chất lượng dịch vụ cũng như tuân thủ các quy trình cung cấp chất lượng dịch vụ;
(viii) Các phương pháp cắt giảm chi phí hoạt động vận hành hệ thống CNTT đảm bảo đạt được mục tiêu và nhiệm vụ kinh doanh của doanh nghiệp;
(ix) Cách thức kiểm toán và quản trị (Auditing and Governance)
Quản trị CNTT là tập hợp các quy trình và thực tiễn được thiết lập để đảm bảo hệ thống CNTT của một tổ chức phù hợp chặt chẽ với các mục tiêu kinh doanh tổng thể Điều này bao gồm việc lập kế hoạch, tổ chức, điều phối và kiểm soát tất cả các tài nguyên CNTT, bao gồm cả phần cứng, phần mềm, mạng và nhân lực Quản trị CNTT có tầm quan trọng tối cao đối với các doanh nghiệp trong môi trường kinh doanh hiện đại, nơi công nghệ đóng vai trò thiết yếu trong việc đạt được lợi thế cạnh tranh và thúc đẩy tăng trưởng.
Chiến lược CNTT của một doanh nghiệp đưa ra các hướng dẫn chính thức về việc mua lại, phân bổ và quản lý tài nguyên CNTT phù hợp với mục đích và mục tiêu của tổ chức Nó là một phần của chiến lược tổng thể của doanh nghiệp về CNTT và phải phù hợp với chiến lược kinh doanh để đảm bảo rằng các nguồn lực không bị lãng phí cho các dự án hoặc quy trình không góp phần đạt được các mục tiêu chung của tổ chức
Một chiến lược CNTT cũng sẽ đưa ra lộ trình cho các kế hoạch hoạt động và một khuôn khổ để đánh giá các khoản đầu tư công nghệ, được phát triển với sự tham gia của người dùng để giải quyết định hướng công nghệ trong tương lai Sự liên kết này nên có ở tất cả các cấp của quy trình lập kế hoạch để cung cấp sự đảm bảo rằng các kế hoạch hoạt động luôn hỗ trợ các mục tiêu kinh doanh
Chiến lược CNTT thường bao gồm các nội dung sau:
(i) Những nguyên tắc và tiêu chuẩn của CNTT và hệ thống thông tin (IS - Information System hay HTTT);
(ii) Các chiến lược tổ chức, việc quản trị, sử dụng của doanh nghiệp hay cấu trúc của CNTT, kỹ năng và chiến lược con người, chi phí và giá trị chiến lược, danh mục đầu tư quản lý chiến lược, chiến lược quản lý dịch vụ CNTT;
(iii) Xác định nguồn cung ứng chiến lược và chiến lược quản lý CNTT nói chung trong một tổ chức
7 Để có một chiến lược CNTT hiệu quả, Hội đồng quản trị và các nhà quản lý doanh nghiệp phải hiểu tình trạng hiện tại của hệ thống CNTT của đơn vị mình và tham gia tích cực vào việc thiết lập định hướng CNTT trong tương lai
Từ các đặc điểm của quản trị CNTT và chiến lược CNTT có thể đưa ra những tóm tắt cơ bản sau:
- Thứ nhất, CNTT tồn tại để giúp đạt được và kích hoạt hoạt động kinh doanh nên trách nhiệm cuối cùng đối với việc thiết lập và triển khai chiến lược CNTT nên thuộc về ban quản lý cấp cao của tổ chức
- Thứ hai, CNTT phải đi đầu trong việc thu thập thông tin để kết hợp nhu cầu của tổ chức với tính khả thi về công nghệ để tạo ra một chiến lược tổng thể
- Thứ ba, quản lý CNTT liên quan đến việc kết hợp công nghệ, con người và các quy trình để cung cấp các giải pháp cho các vấn đề của tổ chức
- Thứ tư, chiến lược hiệu quả nhất sẽ được xác định bởi sự kết hợp giữa môi trường, văn hóa và công nghệ được sử dụng bởi một tổ chức
1.1.2 Các xu hướng mới nổi trong việc áp dụng công nghệ thông tin
CNTT đã tác động đến các lĩnh vực quan trọng khác nhau của môi trường kinh doanh, bao gồm cả việc sử dụng và xử lý thông tin, quy trình kiểm soát và nghiệp vụ kiểm toán Nhu cầu kiểm soát đối với CNTT, đặc biệt là trong thương mại, đã được nâng cao đáng kể trong những năm qua Một số tác động của CNTT có thể thấy:
Công nghệ đã góp phần nâng cao đáng kể khả năng thu thập, lưu trữ, phân tích và xử lý khối lượng dữ liệu và thông tin lớn hỗ trợ hoạt động ra quyết định của nhà quản lý Công nghệ cũng trở thành yếu tố hỗ trợ chủ chốt cho các quy trình sản xuất và cung cấp dịch vụ.
Công nghệ đã tác động đáng kể đến các hệ thống quy trình kiểm soát Mặc dù các mục tiêu kiểm soát nói chung không thay đổi (ngoại trừ một số mục tiêu cụ thể về công nghệ), nhưng công nghệ đã thay đổi cách thức kiểm soát các hệ thống
Kiểm toán công nghệ thông tin
Khái niệm kiểm toán CNTT được hình thành vào giữa những năm 1960 Kể từ thời điểm đó, kiểm toán CNTT đã trải qua nhiều thay đổi, phần lớn là do những tiến bộ trong công nghệ và sự kết hợp của công nghệ vào hoạt động kinh doanh Hiện tại, có nhiều doanh nghiệp dựa vào CNTT để vận hành doanh nghiệp của họ như các doanh nghiệp viễn thông, các ngân hàng và tổ chức tài chính CNTT có nhiều sự hữu ích trong hoạt động của một doanh nghiệp như việc áp dụng quy trình công việc trên máy thay vì sử dụng biểu mẫu yêu cầu bằng giấy, sử dụng kiểm soát ứng dụng thay vì kiểm soát thủ công, hoặc triển khai ứng dụng ERP trong hệ thống thông tin Theo đó, tầm quan trọng của kiểm toán CNTT cũng không ngừng tăng lên Kiểm toán viên CNTT có thể thực hiện đánh giá các hệ thống CNTT quan trọng để hỗ trợ kiểm toán báo cáo tài chính, để đánh giá tính tuân thủ đối với các quy định trong lĩnh vực CNTT, hoặc để đưa ra các khuyến nghị về tính hữu hiệu trong các hoạt động kiểm soát
Kiểm toán CNTT bao gồm đánh giá mức độ tuân thủ tiêu chuẩn, độ chính xác của báo cáo và hiệu quả của hoạt động CNTT Theo Theo ISACA (2010), kiểm toán CNTT là quá trình kiểm tra độc lập nhằm xác định tính tuân thủ, bảo vệ tài sản, bảo toàn dữ liệu và đạt được hiệu quả để thực hiện mục tiêu của tổ chức (Senft và cộng sự, 2012).
11 bảo hợp lý rằng thông tin do các ứng dụng tạo ra trong tổ chức là chính xác, đầy đủ và hỗ trợ việc ra quyết định hiệu quả Vai trò của kiểm toán CNTT là để đánh giá tính đầy đủ của các hệ thống ứng dụng để đáp ứng nhu cầu xử lý, đánh giá tính đầy đủ của kiểm soát nội bộ và đảm bảo rằng các tài sản được kiểm soát bởi các hệ thống đó được bảo vệ đầy đủ
Kiểm toán viên CNTT chịu trách nhiệm kiểm tra và phân tích ba mục tiêu chính trong quá trình đánh giá hệ thống thông tin gồm: (i) Tính sẵn sàng - Hệ thống thông tin và thông tin có sẵn phục vụ cho nhu cầu của người sử dụng; (ii) Tính bảo mật - Dữ liệu và thông tin được lưu trữ an toàn và chỉ có sẵn cho những cá nhân được ủy quyền; và (iii) Tính toàn vẹn - Dữ liệu và thông tin từ hệ thống thông tin là chính xác, kịp thời và đáng tin cậy (Alagić, Turulja, & Bajgorić, 2021)
Kiểm toán CNTT được kết hợp trong cuộc kiểm toán các lĩnh vực khác như: Kiểm toán tài chính, kiểm toán tuân thủ và kiểm toán hoạt động Trên thực tế, một cuộc kiểm toán CNTT có thể được thực hiện riêng biệt hoặc kết hợp, chẳng hạn như:
- Kiểm toán CNTT với các tiêu chí cơ bản được sử dụng để kiểm tra, đánh giá hệ thống CNTT và hệ thống kiểm soát liên quan của đơn vị được kiểm toán (tính bảo mật, tính trung thực, tính khả dụng, tính tin cậy và việc tuân thủ theo các văn bản pháp luật, các quy định liên quan);
- Kiểm toán dự án CNTT có thể thực hiện riêng hoặc kết hợp các nội dung kiểm toán báo cáo thực hiện đầu tư, báo cáo quyết toán… đối với dự án CNTT đã hoàn thành, trong khi dự án đang thực hiện, sau một giai đoạn thực hiện dự án, hoặc ngay trong giai đoạn lập dự toán để đánh giá tính khả thi;
- Kiểm toán trong môi trường CNTT áp dụng cho đơn vị được kiểm toán sử dụng các hệ thống CNTT trong việc xử lý các thông tin tài chính và nghiệp vụ liên quan theo các chuẩn mực, hướng dẫn kiểm toán CNTT để đảm bảo chất lượng kiểm toán và giảm thiểu rủi ro kiểm toán
Khi đánh giá hệ thống CNTT, kiểm toán viên thường đánh giá hai nhóm kiểm soát sau đây:
Kiểm soát chung (General controls)
Kiểm soát chung bao gồm cơ sở hạ tầng CNTT và các dịch vụ hỗ trợ, bao gồm tất cả các hệ thống và ứng dụng Trong đó, hoạt động kiểm soát này sẽ tập trung vào các chính sách và thủ tục, liên quan đến nhiều ứng dụng và hỗ trợ hoạt động hiệu quả của các kiểm soát ứng dụng Kiểm soát chung thường bao gồm các biện pháp kiểm soát đối với (i) Hoạt động của hệ thống thông tin; (ii) An toàn thông tin; và (iii) Quản lý kiểm soát thay đổi (vấn đề này thường phát sinh trong trường hợp mua sắm, thay đổi và bảo trì phần mềm hệ thống, thay đổi chương trình và mua sắm, phát triển và bảo trì hệ thống ứng dụng) Ví dụ về các biện pháp kiểm soát chung trong hoạt động của hệ thống thông tin như sao lưu dữ liệu hay truy cập vào bộ lập lịch trình công việc, lưu trữ; hay các kiểm soát chung trong tính bảo mật thông tin của các hoạt động như yêu cầu truy cập và quản trị tài khoản người dùng, chấm dứt truy cập và an toàn vật lý; sự phê chuẩn về các yêu cầu thay đổi hệ thống; nâng cấp ứng dụng và cơ sở dữ liệu; và giám sát cơ sở hạ tầng mạng, bảo mật và quản lý sự thay đổi
Việc kiểm toán các kiểm soát ứng dụng được thực hiện nhằm kiểm tra các kiểm soát xử lý cho từng ứng dụng Kiểm soát ứng dụng thường nhằm đảm bảo tính chính xác, đầy đủ, hợp lệ của dữ liệu được thu thập, xử lý, lưu trữ, truyền tải và báo cáo Ví dụ về kiểm soát ứng dụng bao gồm kiểm tra tính chính xác toán học của các báo cáo, xác thực dữ liệu đầu vào và thực hiện kiểm tra thứ tự, kiểm tra số liệu của quy trình nhập liệu, quy trình kinh doanh của doanh nghiệp (quy trình quản trị nhân sự, quy trình tiền lương, quy trình bán hàng – thu tiền,…) Các biện pháp kiểm soát ứng dụng chỉ hiệu quả khi các biện pháp kiểm soát chung hiệu quả
Tóm lại, việc kiểm toán CNTT giúp doanh nghiệp giám sát độ chính xác và hiệu quả của các hệ thống CNTT và các qui trình có liên quan; cùng với đó đảm bảo an toàn
Kiểm toán CNTT đảm bảo an ninh mạng và tuân thủ các quy định, trở thành phần thiết yếu trong chuyển đổi số Các doanh nghiệp sử dụng CNTT nên tiến hành kiểm toán định kỳ để tăng uy tín, tạo niềm tin cho khách hàng, nhà đầu tư và đối tác Kiểm toán xác định khả năng sẵn sàng, tính bảo mật và tính toàn vẹn của hệ thống CNTT, đồng thời khuyến nghị các biện pháp kiểm soát phù hợp để giảm thiểu rủi ro.
1.2.2 Vai trò của kiểm toán công nghệ thông tin
Khi việc sử dụng CNTT trong các tổ chức tiếp tục phát triển, việc kiểm toán trong môi trường công nghệ thông tin là xu hướng bắt buộc Ngoài ra, việc sử dụng các loại CNTT mới sẽ có thể dẫn đến những rủi ro mới, do đó đòi hỏi các biện pháp kiểm soát mới Kiểm toán viên CNTT có vai trò quan trọng trong việc đánh giá mức độ phù hợp của một hệ thống CNTT cụ thể đối với toàn bộ doanh nghiệp Do đó, kiểm toán viên CNTT có thể hỗ trợ việc ra quyết định của quản lý cấp cao Vai trò của kiểm toán viên CNTT có thể được đánh giá thông qua quá trình quản trị CNTT và các tiêu chuẩn thực hành nghề nghiệp hiện có cho nghề này
Trên thực tế, việc sử dụng CNTT trong các dịch vụ kiểm toán nói chung và kiểm toán báo cáo tài chính nói riêng đã giúp nâng cao hiệu quả kiểm toán và tăng doanh thu Các công ty kiểm toán có thể sử dụng các hệ thống này để xác định các dữ liệu có thể cấu thành gian lận với mức độ hiệu quả và chính xác cao hơn so với làm thủ công Chẳng hạn, các hệ thống máy bay không người lái đã được các công ty kiểm toán lớn sử dụng để tính toán, kiểm đếm lượng hàng tồn kho khi thực hiện kiểm toán hàng tồn kho
Kiểm toán viên CNTT góp phần tạo ra hiệu quả chung đối với việc sử dụng và ứng dụng CNTT trong tổ chức Chẳng hạn, thông qua một cuộc kiểm toán phát triển hệ thống CNTT, kiểm toán viên CNTT có thể đưa ra các khuyến nghị về kiểm soát nội bộ cho quy trình phát triển hệ thống như sự phê chuẩn các kế hoạch, quá trình thử nghiệm toàn diện cho hệ thống mới, và các yêu cầu bảo mật thông tin trong thiết kế hệ thống
Các chuẩn mực và quy định liên quan đến kiểm toán công nghệ thông tin
Hiện nay có nhiều tổ chức đã đưa ra các tiêu chuẩn thực hành liên quan đến kiểm toán CNTT như AICPA, IIA, IFAC, CICA, GAO, ISACA ISACA, được thành lập vào năm 1969, là hiệp hội chuyên nghiệp về quản trị, đảm bảo cũng như an ninh và kiểm soát CNTT hàng đầu hiện nay và bao gồm các nội dung chính sau: (i) Cung cấp kiến thức và giáo dục về các lĩnh vực như kiểm toán HTTT, bảo mật thông tin, quản trị doanh nghiệp, quản lý rủi ro CNTT và tuân thủ; (ii) Cung cấp các chứng nhận/chỉ định nổi tiếng toàn cầu, chẳng hạn như CISA, CISM, Chứng nhận Quản trị CNTT Doanh nghiệp (CGEIT) và Chứng nhận Rủi ro và CRISC; (iii) Xây dựng và cập nhật thường xuyên các tiêu chuẩn kiểm toán và kiểm soát HTTT quốc tế, chẳng hạn như tiêu chuẩn COBIT COBIT hỗ trợ cả kiểm toán viên CNTT và quản lý CNTT trong việc thực hiện các nhiệm vụ và trách nhiệm hàng ngày của họ trong các lĩnh vực đảm bảo, bảo mật, rủi ro và kiểm soát, đồng thời mang lại giá trị cho doanh nghiệp
Hiện nay, Khuôn khổ quản trị CNTT được công nhận rộng rãi và thực hành tốt nhất bao gồm: Cơ sở hạ tầng CNTT, Thư viện (ITIL), COBIT và Tiêu chuẩn Anh Quốc
Tổ chức Tiêu chuẩn hóa Quốc tế (ISO)/Ủy ban Kỹ thuật Điện Quốc tế 27002 (ISO/IEC 27002) Ba khuôn khổ này cung cấp cho các tổ chức phương tiện để giải quyết các góc độ khác nhau trong lĩnh vực CNTT
Sau đây là những giới thiệu tóm tắt về 3 khuôn khổ quản trị CNTT Các nội dung và khía cạnh chi tiết hơn sẽ được để cập ở các chương tiếp theo
1.3.1 Thư viện cơ sở hạ tầng CNTT (ITIL)
ITIL, do Văn phòng Thương mại Chính phủ Vương quốc Anh (OGC) phát triển, cung cấp các phương pháp hay nhất trong quản lý dịch vụ CNTT Các nguyên tắc cốt lõi của ITIL tập trung vào: tập trung vào người dùng, tích hợp quy trình, cải tiến liên tục, làm rõ vai trò và trách nhiệm, và hợp tác.
◾ Chiến lược (Strategy) —các hướng dẫn hoặc quy trình thực hành tốt nhất để lập bản đồ chiến lược CNTT với các mục tiêu và mục đích kinh doanh tổng thể
◾ Thiết kế (Design) —các quy trình (hoặc yêu cầu) thực hành tốt nhất được triển khai để hướng tới một giải pháp được thiết kế để đáp ứng nhu cầu kinh doanh
◾ Chuyển đổi (Transition) —nhằm mục đích quản lý thay đổi, rủi ro và đảm bảo chất lượng trong quá trình triển khai dịch vụ CNTT
◾ Vận hành (Operation) —các hướng dẫn hoặc quy trình thực hành tốt nhất được đưa ra để duy trì các dịch vụ CNTT đầy đủ và hiệu quả sau khi được triển khai vào môi trường sản xuất
◾ Cải tiến liên tục (Continuous Improvement) —không ngừng tìm cách cải thiện quy trình tổng thể và việc cung cấp dịch vụ
Khung quản lý ITIL được sử dụng rộng rãi để nâng cao chất lượng dịch vụ quản lý CNTT Nó giúp các tổ chức thiết kế các dịch vụ đáp ứng nhu cầu của khách hàng hoặc người dùng cuối Bằng cách tập trung vào khách hàng, ITIL hỗ trợ các tổ chức quản lý hiệu quả các tác vụ hàng ngày, cải thiện hiệu suất và sự hài lòng tổng thể.
COBIT là một khung quản trị CNTT nhằm giúp các doanh nghiệp tuân thủ quy định, quản lý rủi ro và điều chỉnh chiến lược CNTT với mục tiêu của tổ chức Đây là một tập hợp các thông lệ CNTT hoặc mục tiêu kiểm soát được chấp nhận rộng rãi trên thế
19 giới Áp dụng tiêu chuẩn COBIT trong kiểm soát sẽ có nhiều lợi ích: giúp nhân viên, người quản lý, giám đốc điều hành và kiểm toán viên hiểu được hệ thống CNTT của đơn vị, nâng cao mức độ bảo mật và thiết kế các biện pháp kiểm soát phù hợp
COBIT hỗ trợ doanh nghiệp nghiên cứu, phát triển và công khai việc triển khai những mục tiêu kiểm soát CNTT hiện đại theo chuẩn mực quốc tế Nhìn chung, COBIT tập trung vào việc đảm bảo CNTT cung cấp thông tin kịp thời, chính xác và đầy đủ để phục vụ cho mục đích ra quyết định của doanh nghiệp.
Khung COBIT, hiện đã có phiên bản thứ năm (COBIT 5), cho phép nhà quản lý đánh giá môi trường của đơn vị mình và so sánh nó với các tổ chức khác Kiểm toán viên CNTT cũng có thể sử dụng COBIT để làm chuẩn mực đánh giá và đưa ý kiến về kiểm soát nội bộ của đơn vị COBIT là một khuôn khổ là toàn diện và giúp cung cấp sự đảm bảo về sự tồn tại của kiểm soát và bảo mật CNTT COBIT 5 giúp các tổ chức tạo ra giá trị tối ưu từ CNTT bằng cách duy trì sự cân bằng giữa việc hiện thực hóa lợi ích và tối ưu hóa mức độ rủi ro cũng như việc sử dụng tài nguyên
Khung COBIT có giá trị đối với các tổ chức thuộc mọi quy mô, bao gồm thương mại, phi lợi nhuận hoặc trong khu vực công COBIT đưa ra một khuôn khổ gồm tập hợp các mục tiêu kiểm soát, qua đó không chỉ giúp các chuyên gia quản trị và quản lý CNTT quản lý các hoạt động CNTT của họ mà còn giúp các kiểm toán viên CNTT trong việc kiểm tra các mục tiêu đó Việc lựa chọn COBIT có thể phù hợp khi mục tiêu của tổ chức không chỉ là hiểu và điều chỉnh các mục tiêu kinh doanh và CNTT mà còn giải quyết các lĩnh vực tuân thủ quy định và quản lý rủi ro
Nhóm tiêu chuẩn ISO/IEC 27000 bao gồm các kỹ thuật giúp các tổ chức bảo mật tài sản thông tin của họ Một số tiêu chuẩn liên quan đến các kỹ thuật bảo mật CNTT bao gồm:
KIỂM SOÁT NỘI BỘ TRONG MÔI TRƯỜNG CÔNG NGHỆ THÔNG TIN
Các rủi ro trong môi trường công nghệ thông tin
Trong bối cảnh của cuộc cách mạng công nghiệp 4.0, các doanh nghiệp đã và đang từng bước thực hiện chuyển đổi số toàn diện nhằm đáp ứng cho mục tiêu phát triển nhanh và bền vững của mình trong giai đoạn mới Song song với quá trình chuyển đổi này, các rủi ro liên quan đến hệ thống thông tin và công nghệ của doanh nghiệp cũng dần được nhận diện, theo dõi và xử lý
Các rủi ro trong môi trường công nghệ thông tin có thể được phân loại theo từng nhóm mục tiêu và được định nghĩa như sau:
Mục tiêu bảo vệ tài sản CNTT (an toàn thông tin, cơ sở hạ tầng, ứng dụng) cũng như quyền riêng tư
Rủi ro an ninh mạng: doanh nghiệp dễ bị tổn thương trước sự cố mạng có thể dẫn đến việc dữ liệu hoặc hệ thống bị xâm phạm hoặc gián đoạn, gây ảnh hưởng đáng kể đến các hoạt động kinh doanh
Rủi ro truy cập: Quyền truy cập của doanh nghiệp vào thông tin (dữ liệu hoặc chương trình) hoặc hệ thống được cấp (hoặc từ chối) không phù hợp Điều này bao gồm các rủi ro về việc phân chia nhiệm vụ không phù hợp, rủi ro liên quan đến tính toàn vẹn của dữ liệu cũng như rủi ro liên quan đến bảo mật thông tin
Rủi ro về quyền riêng tư phát sinh khi các doanh nghiệp không có biện pháp kiểm soát và giám sát đầy đủ đối với dữ liệu của mình Điều này gây ra tình trạng không tuân thủ các tiêu chuẩn bảo vệ quyền riêng tư tại các quốc gia nơi doanh nghiệp hoạt động.
Rủi ro quản trị dữ liệu: doanh nghiệp thiếu các quy trình đầy đủ để đảm bảo các dữ liệu quan trọng được xác định, phân tách, lưu trữ và báo cáo
Rủi ro toàn vẹn dữ liệu: Thiếu sự rõ ràng liên quan đến việc ủy quyền, tính đầy đủ và chính xác của các giao dịch và dữ liệu khác khi chúng được nhập liệu, xử lý, tóm tắt và báo cáo bởi các hệ thống ứng dụng khác nhau do doanh nghiệp triển khai
Rủi ro người dùng cuối phát sinh khi doanh nghiệp thiếu quản trị, giám sát và kiểm soát đối với các ứng dụng được sử dụng phi tập trung Điều này dẫn đến tình trạng dữ liệu quan trọng không được quản lý và bảo vệ đầy đủ, gây ra các rủi ro tiềm ẩn như mất dữ liệu, vi phạm dữ liệu và rò rỉ dữ liệu.
Rủi ro ứng dụng đám mây: doanh nghiệp thiếu mô hình vận hành và chiến lược đám mây đủ mạnh dẫn đến tăng chi phí, các vấn đề về hiệu suất hệ thống và bảo mật hoặc các vấn đề tuân thủ kiểm soát khác
Mục tiêu quản lý các rủi ro liên quan đến CNTT
Rủi ro quản lý sự cố bảo mật: Sự cố bảo mật không được xác định, phân loại, định tuyến và theo dõi đến khi khắc phục Giám sát việc khắc phục không được thực hiện hoặc thực hiện không hiệu quả để đảm bảo các sự cố được ưu tiên thích hợp và giải quyết kịp thời nhằm đảm bảo đáp ứng các yêu cầu dịch vụ cũng như phản hồi và phục hồi đầy đủ các hệ thống (khi thích hợp) khỏi các cuộc tấn công và thỏa hiệp (bảo mật)
Doanh nghiệp phải xác định, phân tích và khắc phục rõ ràng các rủi ro để tránh gián đoạn kinh doanh hoặc mất mát dịch vụ Việc thiếu chuẩn bị trước các sự cố tiềm ẩn khiến doanh nghiệp dễ bị tổn thương; thiếu quy trình xác định, phân tích và khắc phục mối nguy hiểm hiệu quả có thể dẫn đến tái diễn các sự cố trong tương lai.
Rủi ro khôi phục thảm họa: Doanh nghiệp thiếu một kế hoạch khắc phục thảm họa toàn diện và được lập thành văn bản cho CNTT, điều này có thể dẫn đến sự gián đoạn kéo dài đối với hiệu suất và dịch vụ CNTT
Mục tiêu đầu tư hiệu quả đối với danh mục tài sản và dịch vụ CNTT
Rủi ro quản lý vòng đời phát triển hệ thống (SDLC) nảy sinh khi các nhà phát triển áp dụng nhiều phương pháp mới (chẳng hạn như Agile, DevOps) và mô hình tận dụng các đối tác bên thứ ba cũng như thư viện mã nhưng thiếu chính sách chính thức cũng như cách tiếp cận rõ ràng, nhất quán và đầy đủ cho các yêu cầu kiểm soát (như phát triển, thử nghiệm bảo mật) trong quá trình phát triển và triển khai ứng dụng và công nghệ.
Rủi ro quản lý tài sản CNTT: doanh nghiệp thiếu các quy trình đầy đủ để quản lý các yêu cầu, mua sắm, kế toán, triển khai, giám sát và thanh lý tài sản CNTT
Rủi ro thất bại dự án lớn: các dự án công nghệ lớn bị trì hoãn đáng kể và/hoặc không mang lại hiệu quả kinh doanh dự kiến
Rủi ro quản lý quá trình thay đổi ứng dụng: các thay đổi của ứng dụng đang áp dụng các yếu tố của phương pháp tiếp cận linh hoạt; tuy nhiên, các phương pháp không nhất quán đang được các nhóm dự án khác nhau áp dụng, dẫn đến sự thất vọng và nhầm lẫn của người dùng về kết quả
Rủi ro quản lý giấy phép phần mềm: việc kiểm soát mua sắm, theo dõi và giám sát không đầy đủ đối với phần mềm có thể dẫn đến việc không tuân thủ nghĩa vụ xin giấy phép hoặc phát sinh chi phí giấy phép phần mềm dưới mức tối ưu Việc sử dụng các
Kiểm soát nội bộ trong môi trường công nghệ thông tin
2.2.1 Các khuôn khổ về kiểm soát nội bộ trong môi trường công nghệ thông tin
Khuôn Khổ Kiểm Soát Nội Bộ trong Môi Trường CNTT là mô hình được công nhận toàn cầu, giúp doanh nghiệp thiết lập hệ thống kiểm soát nội bộ hiệu quả Lựa chọn Khuôn Khổ dựa trên việc xác định mô hình phù hợp để đáp ứng các nhu cầu cụ thể của doanh nghiệp, mang lại lợi ích thiết thực trong việc tăng cường quản trị rủi ro, cải thiện tuân thủ quy định và nâng cao uy tín của doanh nghiệp đối với các bên liên quan.
Rủi ro An ninh mạng
Rủi ro quản lý sự cố bảo mật
Rủi ro quyền riêng tư Rủi ro giám sát việc tuân thủ quy định
Rủi ro truy cập Rủi ro toàn vẹn dữ liệu Rủi ro khôi phục thảm họa
Rủi ro quản trị dữ liệu Rủi ro bên thứ ba Rủi ro giám sát/kiểm toán CNTT, tuân thủ pháp luật và quy định
36 cho doanh nghiệp Các Khuôn khổ thường được khái quát hóa để sử dụng rộng rãi, nhưng không có khuôn khổ nào có thể phù hợp tuyệt đối với tất cả các loại hình kinh doanh của doanh nghiệp hoặc tất cả các khía cạnh CNTT Do đó, các Khuôn khổ luôn được thiết kế để tùy chỉnh cho phù hợp với nhu cầu và thực tế kinh doanh của từng doanh nghiệp Thông thường mỗi Khuôn khổ sẽ thiên về một “nhóm” các kiểm soát để giải quyết một số loại rủi ro cụ thể Hiểu đúng về các rủi ro CNTT mà doanh nghiệp đang phải đối mặt và khẩu vị rủi ro của doanh nghiệp là điều kiện tiên quyết để lựa chọn Khuôn khổ phù hợp
Có nhiều Khuôn khổ được công nhận và áp dụng rộng rãi trên toàn cầu Hình 2.2 trình bày các Khuôn khổ đang được áp dụng và mức độ phổ biến của chúng trên toàn thế giới
Hình 2.2 - Các khuôn khổ về kiểm soát nội bộ trong môi trường CNTT và mức độ phổ biến của chúng
Nguồn: IT Audit Perspectives on Today’s Top Technology Risks - ISACA
Bảng 2.1: Tóm tắt các khuôn khổ về kiểm soát nội bộ trong môi trường CNTT
Khung an ninh mạng NIST
Mục tiêu - Đưa ra các phương pháp đánh giá vfa quản lý các hậu quả của an ninh mạng
- Đưa ra các quy trình quản lý rủi ro để bảo mật thông tin
- Đưa ra khuôn khổ giúp đơn vị đạt được các mục tiêu quản lý và quản trị CNTT
- Đưa ra khuôn khổ thực hành tốt nhất nhằm hướng dẫn cho các hoạt động CNTT: quản lý dịch vụ CNTT và quản lý tài sản CNTT
Bao gồm 5 chức năng và 23 danh mục về quản lý an ninh mạng
Bao gồm các yêu cầu về Hệ thống quản lý an toàn thông tin, các quy tắc thực hành kiểm soát an toàn thông tin, sự lãnh đạo và cam kết, các mục tiêu kiểm soát và hướng dẫn đánh giá
Bao gồm 7 cấu phần của hệ thống quản trị, 3 nguyên tắc khuôn khổ quản trị, 6 nguyên tắc hệ thống quản trị, 40 mục tiêu quản trị và quản lý
Các lĩnh vực trọng tâm bao gồm Hỗ trợ dịch vụ, Phân phối dịch vụ, Lập kế hoạch, Quản lý dịch vụ triển khai, Quản lý hạ tầng ICT, Quản lý ứng dụng, Quản lý an toàn và Triển vọng kinh doanh.
Nguồn: Tổng hợp của tác giả
2.2.1.1 Khung an ninh mạng NIST (NIST Cybersecurity Framework)
NIST Cybersecurity Framework là một bộ hướng dẫn nhằm giảm thiểu rủi ro an ninh mạng của doanh nghiệp, do Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (US National Institute of Standards and Technology - NIST) xuất bản dựa trên các chuẩn mực,
38 hướng dẫn và thông lệ hiện có Khuôn khổ này cung cấp các phân loại cấp độ cao về các hậu quả an ninh mạng (cybersecurity outcomes) và các phương pháp để đánh giá và quản lý những hậu quả đó Ngoài ra, nó cũng bao gồm hướng dẫn về bảo vệ quyền riêng tư và quyền tự do dân sự trong bối cảnh an ninh mạng Nó đã được dịch sang nhiều ngôn ngữ và được sử dụng bởi một số chính phủ cũng như nhiều doanh nghiệp và tổ chức Một nghiên cứu năm 2016 cho thấy 70% các tổ chức được khảo sát coi Khuôn khổ NIST Cybersecurity Framework là bộ hướng dẫn thực hành tốt nhất (best practice) phổ biến để bảo mật máy tính
NIST Cybersecurity Framework thiết kế tài liệu “cốt lõi” của nó thành năm chức năng (functions) được chia thành tổng cộng 23 danh mục (categories) Đối với mỗi danh mục, nó thiết lập một số danh mục phụ về hậu quả an ninh mạng và kiểm soát bảo mật, với tất cả 108 danh mục phụ
Dưới đây là các chức năng và danh mục, cùng với các định nghĩa của chúng:
Hình 2.3 – Các chức năng của NIST Cybersecurity Framework
Nguồn: NIST Special Publication 1271 – NIST a Nhận diện – Identify
Phát triển sự hiểu biết của doanh nghiệp để quản lý rủi ro an ninh mạng đối với: hệ thống, tài sản, dữ liệu và năng lực của doanh nghiệp Bao gồm:
Xác định các quy trình và tài sản quan trọng của doanh nghiệp;
Duy trì danh mục phần cứng và phần mềm;
Thiết lập các chính sách cho an ninh mạng bao gồm vai trò và trách nhiệm;
Xác định các mối đe dọa, lỗ hổng và rủi ro đối với tài sản b Bảo vệ – Protect
Phát triển và thực hiện các biện pháp bảo vệ thích hợp để đảm bảo cung cấp các dịch vụ cơ sở hạ tầng quan trọng Bao gồm:
Quản lý quyền truy cập vào tài sản và thông tin;
Bảo vệ dữ liệu nhạy cảm;
Tiến hành sao lưu thường xuyên;
Quản lý lỗ hổng thiết bị;
Đào tạo người dùng c Phát hiện – Detect
Kiểm tra và cập nhật quy trình phát hiện;
Duy trì và theo dõi nhật ký;
Biết các luồng dữ liệu dự kiến cho doanh nghiệp;
Hiểu tác động của các sự kiện an ninh mạng d Ứng phó – Respond
Đảm bảo các kế hoạch ứng phó được kiểm tra;
Đảm bảo các kế hoạch ứng phó được cập nhật;
Phối hợp với các bên liên quan bên trong và bên ngoài e Phục Hồi – Recover
Giao tiếp với các bên liên quan bên trong và bên ngoài;
Đảm bảo kế hoạch phục hồi được cập nhật;
Quản lý quan hệ công chúng và danh tiếng của doanh nghiệp
Loạt tiêu chuẩn ISO 27000 liên quan đến Hệ thống quản lý an toàn thông tin (information security management systems - ISMS) với mục đích đảm bảo rằng thông tin nhạy cảm của tổ chức vẫn được bảo mật Loạt tiêu chuẩn này áp dụng quy trình quản lý rủi ro để bảo mật thông tin Loạt tiêu chuẩn ISO 27000 được tạo ra để cung cấp các tiêu chuẩn ISMS được công nhận trên toàn cầu cho các tổ chức trong tất cả các ngành nghề và bất kể quy mô của tổ chức Các tiêu chuẩn thuộc nhóm ISO 27000 luôn được rà soát, điều chỉnh và bổ sung kịp thời để bắt kịp với nhu cầu bảo mật trong bối cảnh những tiến bộ khoa học – công nghệ bùng nổ trong thời đại 4.0, cụ thể:
ISO 27000 chứa các nội dung tổng quan và diễn giải ngôn ngữ chung về ISMS
ISO 27001 chứa các yêu cầu của hệ thống ISMS
Và tất cả các tiêu chuẩn khác trong nhóm ISO 27000 trình bày các hướng dẫn thực hành tốt nhất Ví dụ: ISO 27002 trình bày Quy tắc thực hành cho hệ thống quản lý an toàn thông tin; ISO 27003 bao hàm các hướng dẫn triển khai hệ thống quản lý an toàn thông tin và ISO 27004 đưa ra các hướng dẫn về đo lường hệ thống ISMS, v.v
Nhìn chung, Loạt tiêu chuẩn ISO 27000 trình bày các nội dung chủ yếu như sau:
Đặt ra các yêu cầu đối với ISMS để đảm bảo rằng hệ thống phù hợp với bối cảnh của doanh nghiệp, đáp ứng nhu cầu và mong đợi của các bên liên quan, đồng thời được xác định phạm vi, được lập thành văn bản, được truyền đạt và được duy trì một cách thích hợp
Cung cấp quy tắc thực hành cho các biện pháp kiểm soát an toàn thông tin để giúp các doanh nghiệp lựa chọn và triển khai những biện pháp phù hợp, đồng thời phát triển các nguyên tắc quản lý an toàn thông tin tùy chỉnh
Sự lãnh đạo và cam kết từ nhà quản lý để đảm bảo rằng các mục tiêu phù hợp với chiến lược, các yêu cầu ISMS được tích hợp vào chính sách và quy trình hoạt động của doanh nghiệp, ISMS được cung cấp nguồn lực hiệu quả và hệ thống được theo dõi và kiểm soát bằng cách sử dụng các số liệu thích hợp để: o Đạt được các mục tiêu an toàn thông tin; o Giảm thiểu hoặc ngăn chặn các tác động không mong muốn dựa trên quy trình đánh giá rủi ro chính thức với một bộ tiêu chí nhất quán để so sánh giữa các kết quả; o Liên tục cải tiến
Các mục tiêu kiểm soát an ninh thông tin bao gồm: chính sách bảo mật thông tin, cơ cấu tổ chức, bảo mật nhân sự, quản lý tài sản (kiểm kê tài sản, quản lý danh mục người dùng, phân loại thông tin, kiểm soát truy cập và thay đổi), kiểm soát truy cập (quản lý truy cập và nhận dạng), mã hóa (chính sách mã hóa và quản lý khóa) và an ninh vật lý và môi trường (khu vực an toàn, kiểm soát an ninh thiết bị).
CÁC CÔNG CỤ VÀ KỸ THUẬT TRONG KIỂM TOÁN CÔNG NGHỆ THÔNG TIN
Các kỹ thuật tìm hiểu và mô tả hệ thống
Việc hiểu và mô tả hệ thống thông tin của doanh nghiệp đóng vai trò quan trọng trong cuộc kiểm toán Mô tả hệ thống thông tin, đặc biệt là các hệ thống ứng dụng về tài chính, giúp kiểm toán viên, kế toán, nhà tư vấn, ban giám đốc,… hiểu về kiểm soát nội bộ của hệ thống, và quan trọng nhất là để đánh giá hiệu quả của hệ thống Mô tả các hệ thống ứng dụng tài chính cũng là yêu cầu bắt buộc của chuẩn mực kiểm toán, để kiểm toán viên hiểu về các kiểm soát tự động và thủ công mà doanh nghiệp đang áp dụng Thông thường kiểm toán viên tìm hiểu và mô tả hệ thống bằng bản tường thuật, sơ đồ, lưu đồ, bảng biểu, …
Bản tường thuật là sự mô tả bằng văn bản về các vấn đề về kiểm soát nội bộ của doanh nghiệp Bản tường thuật thường được sử dụng để ghi nhận sự hiểu biết của kiểm toán viên về kiểm soát nội bộ của doanh nghiệp trong trường hợp hệ thống kiểm soát của doanh nghiệp không quá phức tạp Bản tường thuật cũng có thể được sử dụng để mô tả một phần hoặc một chu trình đơn giản trong doanh nghiệp, và được dùng phối hợp với các phương pháp tìm hiểu và mô tả kiểm soát nội bộ khác
Sơ đồ dòng dữ liệu (Data flow diagrams - DFDs), là phương pháp mô tả nhấn mạnh vào các bước cần thực hiện (process-oriented) trong một quy trình thông qua việc sử dụng các
75 hình ảnh hoặc biểu tượng để mô tả quá trình chuyển đổi dữ liệu và cách dữ liệu lưu chuyển trong toàn bộ doanh nghiệp
Sơ đồ quy trình kinh doanh (Business process diagrams) là phương pháp mô tả nhấn mạnh vào sự hiển thị trực quan các hoạt động khác nhau đang diễn ra trong một quy trình kinh doanh Các sơ đồ quy trình kinh doanh này cũng hiển thị tổ chức hoặc quy trình (ví dụ: bảng lương, các khoản phải trả, giải ngân tiền mặt, v.v.) đang thực sự thực hiện như thế nào
Lưu đồ là công cụ sử dụng các kỹ thuật và ký hiệu tiêu chuẩn hóa để biểu diễn hệ thống ứng dụng hay quy trình xử lý Đối với kiểm toán viên, lưu đồ rất hữu ích trong việc xác định điểm mạnh và điểm yếu về kiểm soát trong hệ thống ứng dụng tài chính, qua đó định hướng và lập kế hoạch kiểm toán hiệu quả.
Hình 3.1- Các ký hiệu sử dụng khi vẽ lưu đồ
Nguồn: Tổng hợp của tác giả Để xây dựng lưu đồ, kiểm toán viên thực hiện các bước sau:
- Bước 1: Hiểu ứng dụng xử lý dữ liệu như thế nào
Kiểm toán viên cần hiểu hệ thống hoạt động như thế nào, bao gồm toàn bộ phạm vi của hệ thống tài chính từ việc chuẩn bị các tài liệu nguồn đến việc tạo ra, phân phối và sử dụng các kết quả đầu ra cuối cùng
- Bước 2: Xác định được sự luân chuyển của chứng từ thông qua trao đổi với người của doanh nghiệp
Lưu đồ luân chuyển chứng từ mô tả hành trình của chứng từ, từ khi phát sinh đến khi được lưu trữ hoặc tiêu hủy Nó bắt đầu từ điểm gốc, nơi tạo ra chứng từ, sau đó theo dõi quá trình xử lý chứng từ tại các phòng ban khác nhau tùy theo hoạt động kinh doanh của doanh nghiệp Lưu đồ sẽ chỉ ra điểm đến của từng loại chứng từ, giúp kiểm soát chặt chẽ quá trình luân chuyển, đảm bảo tính chính xác và hiệu quả của công tác kế toán.
- Bước 3: Xác định các yếu tố dữ liệu
Kiểm toán viên cần nắm rõ cách ghi nhận dữ liệu để xác định dữ liệu, chẳng hạn như chi phí là của kỳ hiện tại hay lũy kế.
- Bước 4: Xây dựng lưu đồ
Từ những dữ liệu đầu vào và các thông tin thu thập được, kiểm toán viên vẽ lưu đồ chi tiết và dễ hiểu
- Bước 5: Đánh giá chất lượng việc ghi chép tài liệu hệ thống
Kiểm toán viên đánh giá việc ghi chép tài liệu có chính xác và có đầy đủ không
- Bước 6: Đánh giá các thủ tục kiểm soát
Bằng cách xem xét lại lưu đồ, kiểm toán viên xác định những thủ tục kiểm soát và đánh giá những điểm mạnh, yếu của chúng Kiểm toán viên đánh giá xem các kiểm soát có khả năng ngăn ngừa hay phát hiện những giao dịch trái phép có thể dẫn đến sai sót trọng yếu trên báo cáo tài chính không
- Bước 7: Xác định tính hiệu quả của quá trình xử lý dữ liệu
Kiểm toán viên đánh giá hiệu quả quá trình xử lý dữ liệu bằng cách xác định những vùng có vấn đề như vấn đề dự phòng dữ liệu, các điểm nút cổ chai làm chậm trễ hoặc tắc nghẽn
77 quá trình xử lý, các điểm trong chu kỳ hoạt động mà nhân viên không đủ thời gian xem xét báo cáo đầu ra và sửa chữa,
- Bước 8: Đánh giá tính chính xác, đầy đủ, hữu ích của các báo cáo
Kiểm toán viên nên xem lại những điểm chính hay kết quả chính của hệ thống ứng dụng tài chính và xác định xem kết quả đầu ra có chính xác, đầy dủ và hữu ích như dự kiến không.
Các kỹ thuật kiểm toán có sự hỗ trợ của máy tính (CAATs)
3.2.1 Các loại kỹ thuật CAATs
CAATs (Computer-Assisted Audit Techniques) là các kỹ thuật ứng dụng CNTT trong kiểm toán CAATs có thể được sử dụng bởi cả kiểm toán viên CNTT hoặc kiểm toán viên kiểm toán báo cáo tài chính theo nhiều cách khác nhau để đánh giá tính toàn vẹn của ứng dụng, xác định sự tuân thủ các thủ tục và liên tục theo dõi kết quả xử lý
Lợi ích của việc sử dụng các kỹ thuật CAATs:
– Có thể kiểm tra các kiểm soát chung của chương trình và ứng dụng
– Có thể kiểm tra số lượng lớn các khoản mục nhanh và chính xác hơn
– Hiệu quả chi phí trong dài hạn nếu doanh nghiệp không thay đổi hệ thống
– So sánh kết quả thu được bằng cách sử dụng CAATs với kết quả kiểm tra truyền thống Nếu đạt được kết quả tương tự, tính chính xác trong các đánh giá của kiểm toán viên sẽ tăng lên
Hiện nay theo các tài liệu hướng dẫn của ISACA, CAATs bao gồm nhiều loại công cụ và kỹ thuật như phần mềm kiểm toán tổng quát (GAS), phần mềm tiện ích, phần mềm gỡ lỗi và quét, kiểm tra dữ liệu (test data), phần mềm ứng dụng theo dõi và lập bản đồ, và các hệ thống chuyên gia, Sau đây là các kỹ thuật phổ biến nhất:
Phần mềm kiểm toán tổng quát (GAS – General Audit Software)
Phần mềm kiểm toán tổng quát (GAS) đề cập đến phần mềm tiêu chuẩn có khả năng đọc và truy cập dữ liệu từ các nền tảng cơ sở dữ liệu khác nhau GAS cung cấp cho kiểm toán
78 viên CNTT một phương tiện độc lập để truy cập vào các dữ liệu để phân tích và giải quyết vấn đề trên các tệp dữ liệu Một số tính năng thông thường của GAS bao gồm tính toán toán học, phân tầng, phân tích thống kê, kiểm tra thứ tự (sequence check), kiểm tra trùng lặp và tính toán lại
Một số chức năng sau thường được hỗ trợ bởi GAS:
• Truy cập tệp—Cho phép đọc các định dạng bản ghi và tệp khác nhau cấu trúc
• Sắp xếp lại tệp—Cho phép lập chỉ mục, sắp xếp, hợp nhất và liên kết với tập tin khác
• Lựa chọn dữ liệu—Cho phép điều kiện lọc và tiêu chí lựa chọn
• Chức năng thống kê—Cho phép lấy mẫu, phân tầng và tần số phân tích
• Các hàm số học—Cho phép các toán tử và hàm số học
Các phần mềm kiểm toán tổng quát có ưu điểm giúp kiểm toán viên thực hiện kiểm tra trên toàn bộ các dữ liệu và giao dịch mà không cần phải lấy mẫu như kiểm toán truyền thống Nhiệm vụ này được thực hiện một cách chi tiết, chính xác và nhanh chóng nên đây là những ưu điểm vượt trội khiến các phần mềm kiểm toán này được sử dụng nhiều Tuy nhiên, để xây dựng các phần mềm này thường tốn kém chi phí rất lớn, từ khâu thiết kế, đến lập trình, thử nghiệm, đào tạo,…
Dữ liệu thử nghiệm (Test data)
Dữ liệu thử nghiệm (test data) là kỹ thuật lấy một bộ dữ liệu mẫu để đưa vào một hệ thống/ứng dụng để đánh giá xem có tồn tại lỗi logic trong chương trình hay không và liệu chương trình có đáp ứng các mục tiêu của nó Hay nói cách khác, kiểm toán viên dùng kỹ thuật dữ liệu thử nghiệm để đánh giá các hoạt động kiểm soát tự động trong hệ thống của doanh nghiệp có xử lý đúng các dữ liệu không Chẳng hạn, kiểm toán CNTT nhập một loạt các giao dịch thử nghiệm vào màn hình nhập ứng dụng để đạt được các mục tiêu sau:
• Hiểu biết chung về logic chương trình liên quan đến một hệ thống phức tạp
• Xác định rằng các giao dịch hợp lệ đang được ứng dụng xử lý chính xác
• Xác định rằng các giao dịch không hợp lệ đã được xác định chính xác và được gắn cờ (flagged) bởi các kiểm soát của chương trình ứng dụng
Dữ liệu thử nghiệm là một kỹ thuật có nhiều ưu điểm và được sử dụng phổ biến, tuy nhiên cũng cần lưu ý một số nhược điểm khi áp dụng kỹ thuật này như: tính bao quát của dữ liệu khi lấy thử nghiệm và dữ liệu thử nghiệm có thể bị trộn lẫn vào dữ liệu thật của hệ thống
Ngoài các kỹ thuật trên, một loại CAAT khác được sử dụng rộng rãi trong kiểm toán CNTT là phần mềm tiện ích Các tiện ích phần mềm như công cụ báo cáo của hệ thống quản lý cơ sở dữ liệu cung cấp bằng chứng kiểm chứng hiệu quả của các biện pháp kiểm soát hệ thống.
Thông thường những công cụ và kỹ thuật CAATs có thể được sử dụng để thực hiện các thủ tục kiểm toán khác nhau như:
• Kiểm tra chi tiết các giao dịch và số dư
• Kiểm tra việc tuân thủ các thủ tục kiểm soát chung của HTTT
• Kiểm tra sự tuân thủ kiểm soát ứng dụng của HTTT
• Đánh giá lỗ hổng mạng và hệ điều hành
• Kiểm tra bảo mật ứng dụng và quét bảo mật mã nguồn
3.2.2 Các ứng dụng của các kỹ thuật CAATs
3.2.2.1 Kỹ thuật CAATs trong lấy mẫu kiểm toán
Có một số công cụ kiểm toán CAATs được sử dụng để hỗ trợ kiểm toán viên trong việc xác định cỡ mẫu và chọn mẫu Chẳng hạn như các phần mềm chọn mẫu có thể tự động tính cỡ mẫu và chọn các mẫu từ các tổng thể theo tiêu chí được lựa chọn hoặc ngẫu nhiên
Có 2 loại kỹ thuật lấy mẫu:
• Lấy mẫu phi thống kê (theo xét đoán): Mẫu được chọn dựa trên kiến thức và kinh nghiệm của kiểm toán viên Sự xét đoán khi lấy mẫu có thể là chọn một khoảng thời gian, khu vực địa lý hoặc một tiêu chí cụ thể nào đó
• Lấy mẫu thống kê: Mẫu được chọn ngẫu nhiên và đánh giá thông qua việc áp dụng lý thuyết xác suất
Các công cụ CAATs có thể hỗ trợ kiểm toán viên trong cả 2 kỹ thuật lấy mẫu trên Thông qua việc phân tích đặc điểm của dữ liệu tổng thể, các công cụ phân tích dữ liệu có thể giúp kiểm toán viên lựa chọn những phần tử có giá trị cao, hoặc nhận diện những vùng dữ liệu có thể chứa gian lận, bất thường, hoặc đáp ứng một tiêu chí nào đó mà kiểm toán viên muốn đánh giá
Lấy mẫu thống kê và lấy mẫu phi thống kê đều cho phép kiểm toán viên suy luận về toàn bộ Tuy nhiên, chỉ riêng lấy mẫu thống kê mới cho phép kiểm toán viên định lượng được rủi ro mẫu không đại diện cho toàn bộ Phương pháp lấy mẫu cụ thể được lựa chọn tùy thuộc vào mục đích đánh giá và đặc điểm của toàn bộ Tính phù hợp của phương pháp được lựa chọn nên được chuyên gia thống kê hoặc nhà toán học có thẩm quyền xem xét cho các mục đích hợp lệ Ngoài ra, các phương pháp lấy mẫu được áp dụng bởi các kiểm toán viên nên được xem xét và đánh giá lại theo thời gian để xem xét bất kỳ thay đổi nào trong các đặc điểm hoặc thuộc tính của toàn bộ đang được xem xét.
Hai phương pháp lấy mẫu thống kê phổ biến là: Lấy mẫu thuộc tính ngẫu nhiên và lấy mẫu biến đổi Đối với phương pháp lấy mẫu thuộc tính ngẫu nhiên thì có 3 yếu tố ảnh hưởng cỡ mẫu:
• Ước tính tỷ lệ sai sót có thể chấp nhận được trong tổng thể
• Xác định độ chính xác trong kết luận
• Thiết lập độ tin cậy mà những kết luận rút ra từ mẫu sẽ đại diện cho tổng thể Đối với phương pháp lấy mẫu biến đổi thì có 4 yếu tố ảnh hưởng cỡ mẫu:
• Độ tin cậy mà những kết luận rút ra từ mẫu sẽ đại diện cho tổng thể
• Giá trị tuyệt đối của tổng thể mẫu
• Tỷ lệ sai sót có thể chấp nhận được trong tổng thể
3.2.2.2 Kỹ thuật CAATs trong kiểm toán ứng dụng
KIỂM TOÁN SỰ PHÁT TRIỂN VÀ THAY ĐỔI HỆ THỐNG CÔNG NGHỆ THÔNG TIN
Phát triển hệ thống công nghệ thông tin
4.1.1 Quy trình phát triển hệ thống công nghệ thông tin
Các doanh nghiệp liên tục xây dựng, phát triển và duy trì hệ thống CNTT Có nhiều cách tiếp cận khác nhau để phát triển hệ thống CNTT Sự thành công của một dự án phát triển hệ thống phụ thuộc về sự hữu hiệu của các quy trình chính: quản lý dự án, phân tích, thiết kế, thử nghiệm và triển khai Do đó, các hệ thống này phải được xây dựng với đầy đủ các kiểm soát nội bộ để đảm bảo tính đầy đủ và chính xác của quá trình xử lý giao dịch
Vòng đời phát triển dự án (SDLC – System development life cycle) thường có các giai đoạn sau (Otero A R., 2019):
2 Phân tích hệ thống và các yêu cầu
7 Vận hành và bảo trì
4.1.1.1 Giai đoạn Lập kế hoạch
Giai đoạn lập kế hoạch tạo tiền đề cho sự thành công của việc phát triển hệ thống Thông qua quá trình lập kế hoạch, các tổ chức sẽ thiết lập phạm vi công việc (xem xét chi phí, thời gian, lợi ích và các vấn đề khác), thiết lập các nguồn lực cần thiết, và xác định các giải pháp Nếu việc lập kế hoạch không được thực hiện đúng đắn sẽ gây ra những khó khăn sau cho dự án:
Thiếu ngân sách cho sự án
Không có sự tham gia của nhân sự phù hợp
Không thực hiện được các mục tiêu phát triển hệ thống
Thời gian thực hiện không đủ
Do đó, việc lập kế hoạch cho việc phát triển hệ thống CNTT cần được thực hiện một cách đầy đủ Các nội dung thường được bao hàm trong giai đoạn lập kế hoạch là:
◾ Phân tích nhu cầu cần có hệ thống mới
◾ Đánh giá hệ thống hiện tại
◾ Phân tích chi phí/lợi ích
◾ Thành lập nhóm dự án
◾ Xác định nhiệm vụ và sản phẩm bàn giao
4.1.1.2 Phân tích hệ thống và yêu cầu
Trong giai đoạn này, đơn vị cần phân tích hệ thống nhằm xác định và đánh giá nhu cầu của người dùng cuối để đảm bảo hệ thống mới sẽ đáp ứng mong đợi của họ Trong giai đoạn này, người dùng cuối và người phân tích hệ thống sẽ xác định các yêu cầu chức năng cho phần mềm/hệ thống mới Giai đoạn này cũng xác định và lập tài liệu về các nguồn lực sẽ chịu trách nhiệm về các phần riêng lẻ của hệ thống, cũng như lịch trình kỳ vọng cho việc phát triển
Trong giai đoạn thiết kế hệ thống, đơn vị cần xác định và ghi lại tất cả các giao diện hệ thống, báo cáo, bố cục màn hình và logic chương trình cụ thể cần thiết để xây dựng hệ thống mới sao cho nhất quán với các yêu cầu Giai đoạn thiết kế hệ thống mô tả chi tiết các thông số kỹ thuật, tính năng, và các hoạt động sẽ đáp ứng các yêu cầu được xác định trước đó Ở giai đoạn này, các nhà phân tích hệ thống và người dùng cuối một lần nữa sẽ xem xét các nhu cầu cụ thể và xác định (hoặc xác nhận) những yêu cầu cuối cùng cho hệ thống mới Các chi tiết kỹ thuật của hệ thống cũng được thảo luận với các bên liên quan khác nhau, bao gồm cả phần cứng/phần mềm cần thiết, kết nối mạng, khả năng xử lý và thủ tục để hệ thống hoàn thành các mục tiêu của nó, v.v
Trong giai đoạn phát triển, các lập trình viên xây dựng hệ thống mới dựa trên các phân tích, các yêu cầu và thiết kế đã được thống nhất trước đó Giai đoạn xây dựng hoặc mã hóa là cuối cùng khi lập trình viên xác nhận mã hệ thống mới thông qua thử nghiệm đơn vị riêng lẻ (thử nghiệm đầy đủ hệ thống được thực hiện trong giai đoạn tiếp theo)
Khi các hệ thống mới được phát triển, các biện pháp kiểm soát truy cập bảo mật phù hợp sẽ được thiết lập để bảo vệ thông tin, chống tiết lộ hoặc các sửa đổi không được phép
Thử nghiệm là phần quan trọng nhất của quá trình phát triển và triển khai hệ thống CNTT Mục đích chính của thử nghiệm hệ thống là để xác nhận rằng hệ thống hoạt động như mong đợi và tìm ra các lỗi hoặc sai sót ở giai đoạn đầu vì nếu phát hiện muộn hơn, chúng sẽ rất tốn kém để sửa chữa
Nội dung của kế hoạch thử nghiệm cần xác định các sự kiện thử nghiệm riêng lẻ, vai trò và trách nhiệm, môi trường thử nghiệm, báo cáo theo dõi các vấn đề phát sinh, và các sản phẩm thử nghiệm Các quy trình thử nghiệm phải dựa trên các phương pháp thử nghiệm hiện có do tổ chức thiết lập
Người dùng cuối và chủ sở hữu hệ thống nên là người thực hiện việc thử nghiệm hơn là lập trình viên hoặc người phát triển hệ thống
Mặc dù mỗi hệ thống có thể yêu cầu các sự kiện thử nghiệm khác nhau, nhưng nhìn chung bao gồm các loại thử nghiệm sau:
• Thử nghiệm đơn vị—Việc thử nghiệm một chương trình hoặc mô-đun riêng lẻ Thử nghiệm đơn vị sử dụng một tập hợp các trường hợp thử nghiệm tập trung vào cấu trúc kiểm soát của thủ tục thiết kế Các thử nghiệm này đảm bảo rằng hoạt động bên trong của chương trình thực hiện theo đặc điểm kỹ thuật
Kiểm thử tích hợp hay giao diện là quá trình kiểm tra kết nối giữa các thành phần truyền thông tin nhằm đánh giá khả năng tích hợp của chúng, xây dựng một hệ thống đáp ứng thiết kế ban đầu Thuật ngữ "kiểm thử tích hợp" cũng được dùng để chỉ các phép thử xác minh chức năng của ứng dụng đang kiểm tra khi tích hợp với hệ thống khác, trong đó dữ liệu được trao đổi giữa các hệ thống.
Kiểm thử hệ thống bao gồm một loạt các kiểm thử được thiết kế để đảm bảo rằng chương trình, đối tượng, lược đồ cơ sở dữ liệu, v.v., có thể cùng nhau tạo ra một hệ thống mới hoặc sửa đổi.
Các thủ tục này thường được thực hiện trong môi trường kiểm tra để đảm bảo rằng hệ thống hoạt động bình thường sau khi thực hiện 101 (đổi).
– Kiểm tra sự phục hồi—Kiểm tra khả năng phục hồi của hệ thống sau lỗi phần mềm hoặc phần cứng
– Kiểm tra tính bảo mật—Đảm bảo hệ thống mới/sửa đổi bao gồm các kiểm soát truy cập thích hợp và không tồn tại bất kỳ lỗ hổng bảo mật có thể xâm phạm các hệ thống khác
– Kiểm tra độ tải—Thử nghiệm một ứng dụng với số lượng lớn dữ liệu để đánh giá hiệu suất của nó trong giờ cao điểm
– Kiểm tra khối lượng—Nghiên cứu các tác động lên ứng dụng bằng cách thử nghiệm với khối lượng dữ liệu gia tăng để xác định khối lượng dữ liệu tối đa mà ứng dụng có thể xử lý
Kiểm toán việc phát triển và thay đổi hệ thống công nghệ thông tin
Kiểm toán viên CNTT có thể làm việc với nhóm phát triển hệ thống CNTT nhằm đảm bảo rằng các biện pháp kiểm soát được được thực hiện đầy đủ trong quá trình phát triển hệ thống Kiểm toán viên CNTT có thể xem xét môi trường và đánh giá các tiêu chuẩn cho việc phát triển hệ thống, đánh giá các giai đoạn trong quy trình phát triển hệ thống, xem xét các hệ thống quan trọng đối với đầu vào, xử lý và đầu ra và xác minh rằng hệ thống mới cung cấp các dấu vết kiểm toán đầy đủ
Kiểm toán viên CNTT cũng có thể đảm nhận hai vai trò khác nhau: tư vấn kiểm soát hoặc người đánh giá độc lập Với tư cách là người tư vấn, kiểm toán viên trở thành thành viên của nhóm phát triển hệ thống và làm việc với các nhà phân tích và lập trình viên để thiết kế các kiểm soát ứng dụng Với vai trò này, kiểm toán viên không độc lập với bộ phận phát triển hệ thống
Với tư cách người đánh giá độc lập, kiểm toán viên không có trách nhiệm thiết kế và không báo cáo cho nhóm SD&I, nhưng có thể đưa ra các khuyến nghị cho nhà quản lý
Mục tiêu kiểm toán đối với sự phát triển hệ thống CNTT là nhằm giúp đánh giá mức độ đầy đủ của môi trường kiểm soát hữu hiệu trong việc phát triển và thay đổi hệ để cung cấp sự đảm bảo hợp lý rằng việc phát triển và thay đổi hệ thống là:
◾ Tuân thủ các tiêu chuẩn, chính sách và thủ tục
◾ Hoạt động có tính hiệu quả và kinh tế
◾ Tuân thủ theo yêu cầu pháp lý
◾ Đảm bảo các biện pháp kiểm soát cần thiết để bảo vệ khỏi mất mát hoặc lỗi nghiêm trọng
◾ Cung cấp các biện pháp kiểm soát và dấu vết kiểm toán cần thiết cho ban quản lý, kiểm toán viên và cho mục đích đánh giá hoạt động
◾ Được tài liệu hóa đầy đủ
4.2.2 Các thủ tục kiểm toán Đánh giá rủi ro
Kiểm toán viên CNTT thực hiện đánh giá các rủi ro của quy trình và ứng dụng Rủi ro quy trình có thể bao gồm môi trường tổ chức, cũng như việc thiếu định hướng chiến lược, tiêu chuẩn, và một quá trình phát triển hệ thống chính thức Rủi ro ứng dụng thường liên quan đến độ phức tạp và quy mô của ứng dụng; nhân viên thiếu kinh nghiệm; thiếu sự tham gia của người dùng cuối; và thiếu cam kết của nhà quản lý
Tùy thuộc vào kết quả đánh giá rủi ro, phạm vi kiểm toán có thể bao gồm đánh giá các yêu cầu hệ thống, cũng như xem xét các sản phẩm bàn giao và thử nghiệm, đánh giá các kiểm soát ứng dụng, kiểm soát hoạt động, bảo mật, kiểm soát việc thay đổi hoặc giai đoạn hậu triển khai
Kiểm toán viên lập ra kế hoạch kiểm toán, chi tiết các bước và thủ tục cần thiết để đạt được các mục tiêu kiểm toán Quá trình lập kế hoạch này bao gồm đánh giá sơ bộ về môi trường kiểm soát thông qua việc xem xét các tiêu chuẩn, chính sách và thủ tục hiện có Trong suốt quá trình kiểm toán, các tiêu chuẩn, chính sách và thủ tục này sau đó được đánh giá về tính đầy đủ và tính hiệu quả.
Kế hoạch kiểm toán sẽ đưa ra các thủ tục cần thiết để xem xét quy trình phát triển và vận hành hệ thống để đảm bảo rằng hệ thống được thiết kế phù hợp với yêu cầu của người dùng, ban quản lý đã phê chuẩn các thiết kế và hệ thống và các ứng dụng đã được kiểm tra đầy đủ trước khi triển khai Bên cạnh đó, kế hoạch kiểm toán cũng cần đảm bảo rằng người dùng cuối có thể sử dụng hệ thống với các kỹ năng và tài liệu hỗ trợ
Thủ tục kiểm toán việc phát triển hệ thống CNTT qua từng giai đoạn
Giai đoạn: Phân tích hệ thống và yêu cầu
Mục tiêu của việc xây dựng hệ thống là phục vụ người dùng Nhóm phát triển hệ thống cần có sự hiểu biết công việc kinh doanh của người dùng, các vấn đề, mục tiêu, hạn chế, điểm yếu và điểm mạnh của nó để có thể cung cấp sản phẩm mà người dùng cần Kiểm toán viên CNTT có thể xem xét các yêu cầu của hệ thống và đánh giá sự hiểu biết của nhóm phát triển hệ thống về nhu cầu của người dùng Bên cạnh đó, kiểm toán viên cũng cần đảm bảo rằng trong giai đoạn Phân tích hệ thống và yêu cầu đã có xác định đến các yêu cầu bảo mật Kiểm toán viên nên xác định và ghi lại các yêu cầu bảo mật trong vòng đời phát triển
Giai đoạn: Thiết kế hệ thống
Kiểm toán viên CNTT có thể xem xét công việc thiết kế để tìm ra các rủi ro và đánh giá các kiểm soát còn thiếu, cũng như đảm bảo quá trình thiết kế tuân thủ các tiêu chuẩn, chính sách và thủ tục của công ty Tiêu chuẩn, chính sách và các thủ tục phải được lập thành văn bản và được xác định trước khi bắt đầu dự án Nếu quy trình thiếu các hoạt động kiểm soát và/hoặc thiếu sự tuân thủ, kiểm toán viên CNTT có thể đề xuất các biện pháp kiểm soát hoặc thủ tục thích hợp Kiểm toán viên CNTT có thể phỏng vấn nhóm dự án về quá trình lấy ý kiến người dùng và các bên liên quan trong quá trình thiết kế hệ thống, thảo luận về hiệu quả lợi ích/chi phí của các biện pháp kiểm soát Bên cạnh đó, kiểm toán viên CNTT cũng có thể xem xét các sản phẩm bàn giao và đề xuất các biện pháp kiểm soát ứng dụng Một số thủ tục kiểm toán sau đây có thể được áp dụng để đánh giá giai đoạn này:
• Xem lại sơ đồ hệ thống để đánh giá mức độ tuân thủ thiết kế chung Kiểm chứng rằng đã có được sự chấp thuận thích hợp cho bất kỳ thay đổi nào và tất cả các thay đổi đã được thảo luận và phê duyệt bởi người quản lý và trao đổi với người dùng thích hợp
• Xem xét tính phù hợp của các kiểm soát đầu vào, xử lý và đầu ra được thiết kế trong hệ thống
• Phỏng vấn những người dùng chính của hệ thống để xác định hiểu biết của họ về hệ thống sẽ hoạt động như thế nào và đánh giá mức độ hài lòng của họ về thiết kế của các định dạng màn hình và các báo cáo đầu ra
Đánh giá mức độ đầy đủ của các dấu vết kiểm toán là bước quan trọng để đảm bảo khả năng truy xuất nguồn gốc và trách nhiệm cho các giao dịch trong hệ thống Bằng cách xác định đủ các dấu vết kiểm toán, có thể theo dõi các giao dịch xuyên suốt vòng đời hệ thống, xác định trách nhiệm của từng cá nhân và đơn vị tham gia và ngăn chặn các hành vi gian lận hoặc sai sót Điều này giúp tăng cường tính bảo mật, toàn vẹn và độ tin cậy của dữ liệu, cũng như hỗ trợ các cuộc điều tra và kiểm toán trong tương lai.
• Xác minh tính toàn vẹn của các tính toán và quy trình chính
• Xác minh rằng hệ thống có thể xác định và xử lý các dữ liệu sai một cách chính xác
• Xác minh rằng tất cả việc sửa lỗi được đề xuất đối với lỗi lập trình đã được thực hiện
• Thực hiện đánh giá rủi ro
Kiểm toán viên CNTT có thể xem xét các chương trình của hệ thống mới để xác minh việc tuân thủ lập trình và tiêu chuẩn mã hóa Các tiêu chuẩn này giúp đảm bảo rằng mã có cấu trúc tốt, theo dõi các phần phụ thuộc và giúp bảo trì dễ dàng hơn Kiểm toán viên CNTT có thể xem xét một số chương trình mẫu để xác minh rằng các tiêu chuẩn đang được tuân theo và các chương trình phù hợp với thiết kế hệ thống Thêm vào đó, các chương trình có thể được kiểm tra để biết các rủi ro kiểm soát có thể xảy ra và để biết đưa vào các biện pháp kiểm soát thích hợp cho mỗi thiết kế Nếu xác định rằng cần có các biện pháp kiểm soát bổ sung, kiểm toán viên CNTT nên đưa ra các khuyến nghị, tuân theo các tiêu chí tương tự đã được sử dụng trong giai đoạn Thiết kế hệ thống
Kiểm toán viên CNTT cần đảm bảo rằng cả người phát triển và người dùng đều đã kiểm tra kỹ lưỡng hệ thống để đảm bảo rằng hệ thống được cài đặt các biện pháp kiểm soát tích hợp cần thiết để đảm bảo hợp lý cho hoạt động đúng đắn; cung cấp khả năng theo dõi các sự kiện thông qua các hệ thống và do đó, hỗ trợ việc kiểm toán của hệ thống đang vận hành; và đáp ứng nhu cầu của người dùng và quản lý
KIỂM TOÁN HOẠT ĐỘNG HỆ THỐNG THÔNG TIN
Xử lý thông tin và kiểm soát hoạt động hệ thống thông tin
5.1.1 Xử lý thông tin và hoạt động của hệ thống thông tin
Theo Luật an toàn thông tin mạng (2015), hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đạt, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng Các thành phần cơ bản của một hệ thống thông tin bao gồm phần cứng, phần mềm, dữ liệu, hệ thống truyền thông và con người
Hoạt động của hệ thống thông tin phải đảm bảo việc xử lý và cung cấp thông tin Quá trình xử lý thông tin bao gồm các hoạt động: tiếp nhận, truyền, xử lý, lưu trữ, tìm kiếm và hiển thị thông tin Thông qua việc xử lý thông tin, hệ thống thông tin biến nguồn dữ liệu được thu thập và biến thành các thông tin hữu dụng cung cấp cho người sử dụng
Trong môi trường CNTT, các biện pháp kiểm soát liên quan đến hoạt động của hệ thống thông tin (HTTT) giúp quản lý hàng ngày các hoạt động và duy trì hoạt động bình thường của các hệ thống hiện có Đây là 1 trong 3 loại hoạt động kiểm soát chung chính được sử dụng để đánh giá các chính sách và thủ tục liên quan đến các hệ thống ứng dụng để hỗ trợ hoạt động hiệu quả của các kiểm soát ứng dụng Ví dụ về các biện pháp kiểm soát chung trong hoạt động HTTT như việc giám sát công việc và theo dõi các trường hợp ngoại lệ để hoàn thành, truy cập vào bộ lập lịch công việc và dữ liệu sao lưu và lưu trữ ngoại vi,
5.1.2 Kiểm soát hoạt động hệ thống thông tin
Các hoạt động và kiểm soát HTTT không đầy đủ có thể dẫn đến các rủi ro:
◾ Việc xử lý các giao dịch tài chính không đầy đủ hoặc không chính xác cho dù được thực hiện trực tuyến hoặc theo lô
◾ Không có khả năng xây dựng lại (hoặc khôi phục) dữ liệu tài chính từ tài liệu gốc sau trường hợp khẩn cấp hoặc sự cố hoặc lỗi hệ thống nghiêm trọng
◾ Nhân viên có thể truy cập trái phép vào hệ thống, điều này có thể dẫn đến mất mát hoặc thay đổi dữ liệu, chương trình và đầu ra hoặc gây thiệt hại cho máy tính và trang thiết bị
Theo Otero A R (2019), các mục tiêu và biện pháp kiểm soát chính liên quan đến hoạt động của hệ thống thông tin bao gồm:
• Xây dựng chính sách và thủ tục vận hành hệ thống thông tin
• Bảo vệ tệp dữ liệu và chương trình
• Bảo mật vật lý và kiểm soát truy cập
• Sao lưu chương trình và dữ liệu
• Kế hoạch hoạt động liên tục
• Kế hoạch khắc phục thảm họa
Chính sách và thủ tục về hoạt động của hệ thống thông tin Để kiểm soát hoạt động của HTTT, mỗi đơn vị nên có các chính sách và quy trình cụ thể về hoạt động của HTTT để đảm bảo rằng, ở mức tối thiểu:
◾ Các hoạt động HTTT hỗ trợ việc lập lịch trình, thực hiện, giám sát và tính liên tục của các chương trình CNTT
◾ Các hoạt động của HTTT thúc đẩy việc xử lý và ghi lại các giao dịch kinh doanh một cách đầy đủ, chính xác và hợp lệ
◾ Bảo vệ tính toàn vẹn của thông tin
◾ Hoạt động của HTTT bảo vệ các tệp dữ liệu và chương trình
Việc cập nhật và đánh giá các chính sách và thủ tục này phải được thực hiện thường xuyên Quan trọng hơn, các chính sách và thủ tục phải thực sự được tuân thủ trong các hoạt động hàng ngày của HTTT
Các chính sách và thủ tục liên quan đến hoạt động HTTT phải được lập thành văn bản để khi nhân viên thay đổi công việc, bị ốm, hoặc rời khỏi tổ chức, nhân viên thay thế có thể thực hiện đầy đủ nhiệm vụ của nhân viên đó Người quản lý hoạt động CNTT cũng phải kiểm tra định kỳ về tính rõ ràng, đầy đủ, phù hợp và chính xác của các tài liệu
Các biện pháp kiểm soát việc xử lý dữ liệu có vai trò quan trọng vào trong việc đảm bảo tính đầy đủ, chính xác và tính hợp lệ của thông tin Nếu một trong những kiểm soát này không hoạt động hữu hiệu, hệ thống xử lý dữ liệu sẽ bị rủi ro
Những kiểm soát này có thể theo hướng ngăn ngừa, phát hiện hoặc sửa chữa Kiểm soát phòng ngừa đảm bảo rằng các sự kiện diễn ra như dự kiến, phát tín hiệu cảnh báo hoặc
139 chấm dứt một chức năng và dừng xử lý tiếp theo khi hệ thống bị vi phạm hoặc xảy ra lỗi Các biện pháp kiểm soát khắc phục có thể thực hiện cảnh báo hoặc chấm dứt một chức năng, nhưng chúng cũng khôi phục hoặc sửa chữa một phần của hệ thống về trạng thái thích hợp của nó Ví dụ, khi chuyển các giao dịch trên nhật ký vào sổ cái, nếu hệ thống xử lý thành công, các giao dịch trên nhật ký sẽ được chuyển trạng thái từ chưa ghi sổ thành đã ghi sổ (sổ cái) Nếu có phát sinh lỗi, hệ thống sẽ tạo ra các báo cáo về các trường hợp này để người sử dụng và người vận hành HTTT sẽ nắm bắt, điều chỉnh và xử lý
Lỗi phát sinh trong xử lý dữ liệu thường liên quan đến việc lập lịch trình công việc và giám sát thực tế công việc xử lý Đơn vị cần có chính sách yêu cầu những người vận hành HTTT duy trì nhật ký về bất kỳ sự kiện hoặc lỗi bất thường nào phát sinh từ quá trình xử lý dữ liệu, ghi lại theo thời gian và chi tiết các lỗi phát sinh Những nhật ký này có thể được sử dụng để xác định các điểm bất lợi, phát hiện việc truy cập trái phép và nếu có lỗi hệ thống, thì đây là nguồn dữ liệu để xác định nguyên nhân
Bên cạnh đó, để giải quyết các sự kiện bất thường, lỗi hoặc sai sót, cần quan tâm đến các khía cạnh kiểm soát sau đây:
• Có các biện pháp kiểm soát thích hợp để giảm lỗi xử lý dữ liệu và duy trì tính toàn vẹn của dữ liệu được xử lý?
Các công cụ tự động hóa được sử dụng rộng rãi để thực hiện các tác vụ thường xuyên trên ứng dụng, cơ sở dữ liệu và hệ điều hành như sao lưu dữ liệu định kỳ, dọn dẹp dữ liệu và cập nhật các bảng.
• Các loại công việc được lên lịch trình xử lý là những công việc nào?
• Các thay đổi, chẳng hạn như thêm, sửa đổi và xóa công việc và lịch trình được thực hiện như thế nào, và ai có thể thực hiện những thay đổi đó?
Hệ thống có các cơ chế kiểm soát để phát hiện lỗi hoặc dữ liệu không chính xác trong quá trình xử lý dữ liệu, nhằm đảm bảo tính toàn vẹn và độ chính xác của thông tin Những cơ chế kiểm soát này bao gồm:
• Quy trình được sử dụng để giám sát việc hoàn thành xử lý công việc thành công là quy trình nào?
Kiểm toán hoạt động hệ thống thông tin
Kiểm toán hoạt động HTTT của một tổ chức sẽ cung cấp cho kiểm toán viên CNTT sự đảm bảo rằng các hoạt động, bao gồm cả việc xử lý dữ liệu, được thiết kế và ghi nhận đầy đủ, chính xác và hợp lệ Việc kiểm toán cũng sẽ đảm bảo rằng thông tin tài chính và các thành phần liên quan của CNTT cơ sở hạ tầng được lưu trữ và quản lý thích hợp
Mục tiêu của cuộc kiểm toán hoạt động HTTT là nhằm đảm bảo rằng:
◾ Các hoạt động CNTT hỗ trợ việc lập lịch trình, thực thi, giám sát và tính liên tục đầy đủ của các hệ thống, chương trình và quy trình để đảm bảo việc xử lý và ghi chép đầy đủ, chính xác và hợp lệ các giao dịch tài chính
Việc sao lưu thông tin tài chính được lên lịch trình hợp lý đảm bảo thông tin chính xác và đầy đủ Quá trình sao lưu được quản lý và giám sát chặt chẽ để duy trì chất lượng thông tin sao lưu Ngoài ra, thông tin được sao lưu phải có tính truy cập và khôi phục dễ dàng mà không ảnh hưởng đáng kể đến hoạt động của hệ thống.
◾ Việc truy cập vật lý được quản lý phù hợp để bảo vệ các thành phần liên quan của cơ sở hạ tầng CNTT và tính toàn vẹn của thông tin tài chính
5.2.2 Các thủ tục kiểm toán Đánh giá rủi ro và lập kế hoạch kiểm toán Để xác định các thủ tục kiểm toán và lên kế hoạch kiểm toán, kiểm toán viên sẽ đánh giá rủi ro Một số dấu hiệu rủi ro liên quan đến kiểm soát hoạt động của HTTT là:
Ứng dụng không chạy chính xác (ứng dụng chạy sai, hoặc phiên bản không chính xác hoặc tham số cấu hình sai do nhân viên vận hành nhập)
Mất hoặc hỏng các ứng dụng hoặc các tệp dữ liệu cơ bản: có thể là kết quả của việc sử dụng không đúng cách hoặc trái phép
Chậm trễ và gián đoạn trong quá trình xử lý
Thiếu dự phòng và lập kế hoạch dự phòng làm tăng nguy cơ không thể tiếp tục xử lý sau thảm họa
Thiếu năng lực hệ thống Hệ thống thường xuyên bị quá tải
Thời gian dừng hệ thống cao để sửa lỗi
Chức năng của bộ phận trợ giúp kém, chậm giải quyết các vấn đề của người dùng Nếu các rủi ro trên không thực hiện các biện pháp kiểm soát thích hợp sẽ có thể gây ra thiệt hại hoặc gián đoạn không cần thiết đối với xử lý dữ liệu của tổ chức và có thể dẫn đến sự thất bại của các quy trình quan trọng của tổ chức
Các thủ tục kiểm toán Đối với việc xử lý dữ liệu, các thủ tục kiểm toán thường được kiểm toán viên CNTT sử dụng bao gồm:
• Đánh giá xem việc xử lý theo lô và/hoặc trực tuyến có được xác định, thực hiện kịp thời và được giám sát một cách hiệu quả
• Các trường hợp ngoại lệ được xác định trong quá trình xử lý hàng loạt và/hoặc trực tuyến được xem xét và sửa chữa kịp thời để đảm bảo xử lý thông tin tài chính chính xác, đầy đủ và đáng tin cậy Để đảm bảo việc sao lưu có hiệu quả và thông tin chính xác, đầy đủ và được khôi phục, kiểm toán viên CNTT có thể đánh giá và kiểm tra các hoạt động kiểm soát, chẳng hạn như liệu:
• Quy trình khôi phục thông tin tài chính từ các bản sao lưu đã được thực hiện trong trường hợp quy trình xử lý bị gián đoạn, tắt và khởi động lại
• Các công cụ sao lưu tự động đã được triển khai để quản lý các gói dữ liệu lưu giữ và lịch trình
• Các bản sao lưu được kiểm soát, dán nhãn phù hợp, được lưu trữ ở một vị trí bên ngoài cơ sở và được luân chuyển đến cơ sở đó theo định kỳ
• Kế hoạch và lịch trình quản lý việc (1) sao lưu và lưu giữ dữ liệu và (2) xóa các thông tin khi việc lưu giữ không còn cần thiết
• Ban quản lý xem xét định kỳ việc lưu trữ thông tin
• Các bản sao lưu được lưu trữ bên ngoài cơ sở để giảm thiểu rủi ro mất dữ liệu
• Ban quản lý định kỳ xem xét việc hoàn thành sao lưu để đảm bảo tính nhất quán với sao lưu và kế hoạch lưu giữ và lịch trình
• Kiểm tra khả năng đọc của các bản sao lưu được thực hiện định kỳ Hỗ trợ kết quả kịp thời và khôi phục thành công dữ liệu đã sao lưu
• Các thủ tục khôi phục và phục hồi thông tin tài chính từ các bản sao lưu đã được thực hiện trong trường hợp quy trình xử lý bị gián đoạn, tắt và khởi động lại nhất quán với các chính sách và thủ tục CNTT Để đảm bảo liệu quyền truy cập vật lý có được quản lý phù hợp để bảo vệ các thành phần liên quan của cơ sở hạ tầng CNTT và tính toàn vẹn của thông tin tài chính, kiểm toán viên CNTT có thể đánh giá và kiểm tra:
• Việc truy cập vật lý được ủy quyền, giám sát và hạn chế đối với những cá nhân được yêu cầu để thực hiện nhiệm vụ công việc của họ
• Người dùng nào có quyền truy cập vào trung tâm dữ liệu hoặc phòng máy tính?
• Cơ chế kiểm soát truy cập vật lý (ví dụ: thẻ truy cập, sinh trắc học, khóa và chìa khóa truyền thống, nhân viên bảo vệ, v.v.) được sử dụng để hạn chế và ghi lại quyền truy cập vào tòa nhà và phòng máy tính, và thẩm quyền thay đổi cơ chế như vậy được giới hạn cho các nhân viên thích hợp
• Xác thực sinh trắc học được sử dụng thông qua vân tay, tĩnh mạch lòng bàn tay, nhận dạng khuôn mặt, quét võng mạc, xác minh giọng nói, v.v
• Việc đột nhập trái phép của nhân viên được giám sát và ghi chép, và nhật ký đó được duy trì và thường xuyên được xem xét bởi quản lý CNTT
• Có các chính sách và quy trình cấp quyền truy cập vào trung tâm dữ liệu
• Phê duyệt trước khi cấp quyền truy cập vật lý
• Có sẵn một quy trình để thay đổi quyền truy cập của nhân viên được thuyên chuyển và/hoặc bị chấm dứt hợp đồng vào trung tâm dữ liệu
• Việc đánh giá quyền truy cập của người dùng được thực hiện thường xuyên
Sau đây là các thủ tục kiểm toán đối với hoạt động của HTTT:
Bảng 5.1- Các thủ tục kiểm toán hoạt động hệ thống thông tin
MỤC TIÊU 1: Các hoạt động CNTT hỗ trợ việc lập kế hoạch đầy đủ, thực thi, giám sát và tính liên tục của các hệ thống, chương trình, và quy trình để đảm bảo việc xử lý và ghi nhận các giao dịch tài chính được đầy đủ, chính xác và hợp lệ
KIỂM TOÁN AN TOÀN THÔNG TIN
Các rủi ro và kiểm soát đối với an toàn thông tin
6.1.1 An toàn thông tin và các rủi ro đối với an toàn thông tin
6.1.1.1 Mục tiêu của an toàn thông tin
Ngày nay, thông tin được xem là tài sản quan trọng của một doanh nghiệp và cần được bảo vệ An toàn thông tin được hiểu là việc bảo vệ thông tin và hệ thống thông tin khỏi sự truy cập trái phép, bị tiết lộ hoặc sửa đổi không được phép Duy trì một mức độ bảo mật đầy đủ là một trong nhiều khía cạnh quan trọng của quản lý thông tin và hệ thống thông tin
Rủi ro liên quan đến an toàn thông tin ngày càng trở nên phức tạp và gây thiệt hại nhiều hơn Tại Việt Nam, theo thống kê của Bộ Thông tin và truyền thông, mỗi năm có khoảng gần 10.000 cuộc tấn công mạng vào các hệ thống thông tin của các đơn vị, tổ chức, và con số này tăng theo thời gian Cũng theo một khảo sát của Tập đoàn công nghệ Bkav, năm
2021 tại Việt Nam có 70.7 triệu lượt máy tính bị nhiễm virus, hơn 2.5 triệu máy tính bị mất dữ liệu do nhiễm mã độc, gây thiệt hại lên đến hàng chục ngàn tỷ đồng và đình trệ, gián đoạn hoạt động của nhiều tổ chức, doanh nghiệp
Để đảm bảo chiến lược tổ chức và mục tiêu kinh doanh được đáp ứng, việc triển khai an toàn thông tin hiệu quả là vô cùng quan trọng Theo tiêu chuẩn ISO/IEC 27001, có ba mục tiêu cơ bản của an toàn thông tin: tính bảo mật, tính toàn vẹn và tính sẵn sàng Đây là những yếu tố thiết yếu nhằm bảo vệ tính bảo mật, tính toàn vẹn và khả năng truy cập của thông tin nhằm hỗ trợ các mục tiêu kinh doanh.
◾ Tính bảo mật: là bảo vệ thông tin khỏi sự truy cập trái phép bởi các bên không có thẩm quyền Điều này rất quan trọng trong việc duy trì hình ảnh của tổ chức và tuân thủ luật về quyền riêng tư Một rủi ro liên quan đến tính bảo mật bao gồm các vi phạm bảo mật thông tin cho phép truy cập trái phép hoặc tiết lộ dữ liệu nhạy cảm hoặc có giá trị của công ty (ví dụ: kế hoạch chiến lược của công ty)
◾ Tính toàn vẹn: là tính chính xác và đầy đủ của thông tin, hay nói cách khác là đảm bảo thông tin không bị sửa đổi trái phép hoặc bởi các bên không có thẩm quyền Điều này rất quan trọng trong việc duy trì chất lượng thông tin phục vụ cho việc ra quyết định Rủi ro tiềm ẩn liên quan đến thông tin toàn vẹn bao gồm truy cập trái phép vào hệ thống thông tin, dẫn đến làm sai lệch thông tin và gian lận hoặc lạm dụng thông tin hay hệ thống của công ty
Tính sẵn sàng đề cập đến việc đảm bảo hệ thống thông tin luôn hoạt động để hỗ trợ các quy trình kinh doanh, giúp cung cấp thông tin kịp thời khi cần thiết Đây là yếu tố quan trọng trong việc duy trì hiệu suất và hiệu quả hoạt động Rủi ro liên quan đến tính sẵn sàng của thông tin bao gồm gián đoạn hệ thống, lỗi xử lý giao dịch, sự cố do thảm họa, virus hoặc hành vi phá hoại.
6.1.1.2 An toàn thông tin trong môi trường CNTT hiện nay
Trong môi trường phát triển nhanh của CNTT ngày nay, các vấn đề về an toàn thông tin được đặt ra cũng trở nên phức tạp hơn Sau đây là các xu hướng phát triển hiện nay trong
169 môi trường CNTT và những ảnh hưởng của cac xu hướng này đến an toàn thông tin của các doanh nghiệp hiện nay: Điện toán đám mây Điện toán đám mây là mô hình cho phép việc truy cập mạng theo yêu cầu, thuận tiện, phổ biến truy cập vào một nhóm tài nguyên máy tính có thể định cấu hình được chia sẻ (ví dụ: mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ) có thể được cung cấp và phát hành nhanh chóng với sự quản lý hoặc tương tác của nhà cung cấp dịch vụ tối thiểu Điện toán đám mây tiếp tục có ảnh hưởng ngày càng lớn đến môi trường CNTT Theo một khảo sát của CyberSecurity và Fortinet, hiện nay có khoảng 40% các doanh nghiệp dịch chuyển một phần công việc lên Cloud, và số doanh nghiệp còn lại đang có kế hoạch chuyển đổi trong thời gian tới Ưu điểm của điện toán đám mây là tính sẵn sàng của thông tin được thúc đẩy đáng kể bên cạnh việc cung cấp các dịch vụ linh hoạt cho người sử dụng, giúp thúc đẩy hoạt động kinh doanh Tuy nhiên cũng có rất nhiều rủi ro về bảo mật thông tin đi kèm Đặc biệt, các hình thái tấn công mạng cũng ngày càng tinh vi hơn, phức tạp hơn khi doanh nghiệp sử dụng dịch vụ điện toán đám mây và các biện pháp an toàn thông tin truyền thống không còn hiệu quả trong môi trường này
Việc đưa thông tin vào cơ sở hạ tầng dùng chung (chẳng hạn như môi trường đám mây) khiến thông tin nhạy cảm/quan trọng của tổ chức có nguy cơ bị truy cập và phơi nhiễm trái phép tiềm ẩn Trên thực tế, nhiều vụ thông tin lưu trữ trên đám mây liên quan đến dữ liệu bệnh nhân, chi tiết ngân hàng, và hồ sơ nhân sự đã bị rò rỉ và lạm dụng cho các mục đích không hợp pháp
Bên cạnh đó, trách nhiệm đối với vấn đề bảo mật thông tin không phải chỉ ở phía nhà cung cấp dịch vụ mà dựa trên mô hình chia sẻ trách nhiệm (shared responsibility model) Các nhà cung cấp dịch vụ sẽ có trách nhiệm đảm bảo cơ sở hạ tầng, đảm bảo tiện ích sử dụng, bảo mật cơ sở dữ liệu được lưu trữ… nhưng các doanh nghiệp mới là người phải đảm bảo phân quyền truy cập vào các cơ sở dữ liệu này
Quản lý thiết bị di động (MDM)
Công nghệ MDM (Enterprise Mobility Management) đóng vai trò quan trọng trong việc định hình môi trường CNTT hiện đại trong các tổ chức Là phần mềm quản lý và điều hành thiết bị di động (như điện thoại thông minh, máy tính xách tay, máy tính bảng, máy in di động, ), MDM đảm bảo các thiết bị này được quản lý và kiểm soát hiệu quả, đáp ứng các yêu cầu bảo mật và tuân thủ của tổ chức Nhờ vậy, các thiết bị di động do nhân viên sử dụng phục vụ cho công việc luôn hoạt động ổn định, an toàn và năng suất.
◾ Tích hợp tốt trong tổ chức và được thực hiện để tuân thủ tổ chức chính sách và thủ tục
◾ Bảo vệ thông tin công ty (ví dụ: email, tài liệu công ty, v.v.) và cấu hình cài đặt cho tất cả các thiết bị di động trong tổ chức
Việc cấp thiết bị di động cho nhân viên làm việc mang lại các lợi ích nhất định cho đơn vị nhưng đồng thời cũng gây ra các lo ngại về an toàn thông tin Chẳng hạn như khi thiết bị bị đánh cắp, các thông tin sẽ rất dễ bị rò rỉ hoặc bị lạm dụng để tấn công vào các ứng dụng, hệ thống của đơn vị Do đó, cần có các biện pháp kiểm soát các thiết bị này như cung cấp các cài đặt và các hạn chế thiết bị từ xa, cho phép khóa thiết bị từ xa, sử dụng mật mã,…
Mạng lưới vạn vật (Internet of Things)
Mạng lưới vạn vật (IoT) có tác động đáng kể đối với môi trường CNTT, dữ liệu trung tâm, nhà cung cấp công nghệ, v.v IoT đề cập đến các đối tượng vật lý đã nhúng các phần tử mạng và máy tính và giao tiếp với các đối tượng khác qua một mạng Mạng lưới vạn vật đang phát triển này bao gồm các đối tượng vật lý với khả năng giao tiếp theo những cách mới—với nhau, với chủ nhân của chúng hoặc các nhà khai thác, với các nhà sản xuất của họ hoặc với những người khác—để làm cho cuộc sống của mọi người dễ dàng hơn và các doanh nghiệp hoạt động hiệu quả và cạnh tranh hơn
Giao dịch kinh doanh và khả năng cạnh tranh của tổ chức có thể được cải thiện khi doanh nghiệp tận dụng các khả năng của IoT Ngoài ra, các doanh nghiệp có thể cạnh tranh hiệu