NGÂN HÀNG NHÀ NƯỚC VIỆT NAM
TRƯỜNG ĐẠI HỌC NGÂN HÀNG TP HỒ CHÍ MINH
TÀI LIỆU THAM KHẢO
KIỂM TOÁN CÔNG NGHỆ THÔNG TIN
Chủ biên: ThS Trần Thị Hải Vân, FCCA, CIA Thành viên:
ThS Ngô Minh Tâm, CPA TS Nguyễn Thị Mai Hương TS Nguyễn Thị Đoan Trang ThS Đỗ Thị Hương
TS Trần Thị Thu Thủy
TP HCM, tháng 12 năm 2022
Trang 21.1 Môi trường công nghệ thông tin 4
1.1.1 Quản trị và chiến lược về công nghệ thông tin 4
1.1.2 Các xu hướng mới nổi trong việc áp dụng công nghệ thông tin 7
1.2 Kiểm toán công nghệ thông tin 10
1.2.1 Khái niệm 10
1.2.2 Vai trò của kiểm toán công nghệ thông tin 13
1.2.3 Quy trình kiểm toán công nghệ thông tin 14
1.3 Các chuẩn mực và quy định liên quan đến kiểm toán công nghệ thông tin 17
1.3.1 Thư viện cơ sở hạ tầng CNTT (ITIL) 17
1.3.2 Bộ tiêu chuẩn COBIT 18
1.3.3 Khung ISO/IEC 27000 19
Câu hỏi và bài tập chương 1 22
CHƯƠNG 2: KIỂM SOÁT NỘI BỘ TRONG MÔI TRƯỜNG CÔNG NGHỆ THÔNG TIN 28
Mục tiêu chương 28
Lý thuyết chương 28
2.1 Các rủi ro trong môi trường công nghệ thông tin 28
2.2 Kiểm soát nội bộ trong môi trường công nghệ thông tin 35
2.2.1 Các khuôn khổ về kiểm soát nội bộ trong môi trường công nghệ thông tin 35
2.2.2 Mục tiêu kiểm soát 48
2.2.3 Các hoạt động kiểm soát 53
Trang 3iii
Câu hỏi và bài tập chương 2 66
CHƯƠNG 3: CÁC CÔNG CỤ VÀ KỸ THUẬT TRONG KIỂM TOÁN CÔNG NGHỆ THÔNG TIN 73
3.2 Các kỹ thuật kiểm toán có sự hỗ trợ của máy tính (CAATs) 77
3.2.1 Các loại kỹ thuật CAATs 77
3.2.2 Các ứng dụng của các kỹ thuật CAATs 79
Câu hỏi và bài tập chương 3 91
CHƯƠNG 4: KIỂM TOÁN SỰ PHÁT TRIỂN VÀ THAY ĐỔI HỆ THỐNG CÔNG NGHỆ THÔNG TIN 97
Mục tiêu chương: 97
Lý thuyết chương 97
4.1 Phát triển hệ thống công nghệ thông tin 97
4.1.1 Quy trình phát triển hệ thống công nghệ thông tin 97
4.1.2 Các phương thức tiếp cận về phát triển hệ thống công nghệ thông tin 105
4.1.3 Các rủi ro và kiểm soát đối với việc phát triển và thay đổi hệ thống công nghệ thông tin 108
4.2 Kiểm toán việc phát triển và thay đổi hệ thống công nghệ thông tin 119
4.2.1 Mục tiêu kiểm toán 119
4.2.2 Các thủ tục kiểm toán 120
Câu hỏi và bài tập chương 4 128
CHƯƠNG 5: KIỂM TOÁN HOẠT ĐỘNG HỆ THỐNG THÔNG TIN 136
Trang 4iv
Mục tiêu chương: 136
Lý thuyết chương 136
5.1 Xử lý thông tin và kiểm soát hoạt động hệ thống thông tin 136
5.1.1 Xử lý thông tin và hoạt động của hệ thống thông tin 136
5.1.2 Kiểm soát hoạt động hệ thống thông tin 137
5.2 Kiểm toán hoạt động hệ thống thông tin 150
5.2.1 Mục tiêu kiểm toán 150
5.2.2 Các thủ tục kiểm toán 150
Câu hỏi và bài tập chương 5 160
CHƯƠNG 6: KIỂM TOÁN AN TOÀN THÔNG TIN 167
Mục tiêu chương 167
Lý thuyết chương 167
6.1 Các rủi ro và kiểm soát đối với an toàn thông tin 167
6.1.1 An toàn thông tin và các rủi ro đối với an toàn thông tin 167
6.1.2 Kiểm soát nội bộ đối với an toàn thông tin 173
6.2 Kiểm toán an toàn thông tin 178
6.2.1 Mục tiêu kiểm toán 178
Trang 5v
DANH MỤC CÁC TỪ VIẾT TẮT
DANH MỤC TỪ VIẾT TẮT TIẾNG VIỆT
DANH MỤC TÙ VIẾT TẮT TIẾNG ANH
Từ viết tắt Cụm từ tiếng Anh Cụm từ tiếng Việt
AI Artificial Inteligence Trí tuệ nhân tạo
ASD Agile System Development Phát triển hệ thống linh hoạt ASWD Adaptive Software Development Phát triển phần mềm thích
ứng
BCP Business Continuity Planning Kế hoạch hoạt động liên tục CAAT Computer Assisted Audit Technique Kỹ thuật kiểm toán có sự hỗ
trợ của máy tính COBIT Control Objectives For Information
And Related Technology
Khung quản trị Mục tiêu kiểm soát về công nghệ thông tin
DRP Desaster Recovery Planning Kế hoạch khắc phục thảm họa
EUD End User Development Phát triển người dùng cuối GTAG Global Technology Audit Guide Hướng dẫn kiểm toán công
nghệ toàn cầu
Trang 6vi
ISACA Information Systems Audit and Control Association
Hiệp hội kiểm soát và kiểm toán công nghệ thông tin ISO/IEC International Organization for
Standardization /International Electrotechnical Commission
Tổ chức Tiêu chuẩn hóa Quốc tế/ Ủy ban Kỹ thuật Điện Quốc tế
IT Information Technology Công nghệ thông tin ITIL Information Technology
Technology
Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ RAD Rapid Application Development Tạo mẫu và phát triển ứng
dụng nhanh
SDLC System development life cycle Vòng đời phát triển hệ thống
Trang 8viii
DANH MỤC CÁC HÌNH
Hình 2.1 – Danh mục 10 Rủi ro CNTT hàng đầu
Hình 2.2 - Các khuôn khổ về kiểm soát nội bộ trong môi trường CNTT và mức độ phổ biến của chúng
Hình 2.3 – Các chức năng của NIST Cybersecurity Framework
Hình 2.4 - Các nguyên tắc của khuôn khổ quản trị và hệ thống quản trị COBIT các đối tượng kiểm toán
Hình 2.5 – Phân loại kiểm soát CNTT
Hình 2.6 – Phân loại kiểm soát theo chức năng
Hình 2.7 – Hệ thống phân cấp kiểm soát CNTT Hình 3.1- Các ký hiệu sử dụng khi vẽ lưu đồ
Hình 5.1- Sao lưu toàn bộ
Hình 5.2- Sao lưu gia tăng Hình 5.3- Sao lưu khác biệt
Trang 91
LỜI MỞ ĐẦU
Kiểm toán công nghệ thông tin là một lĩnh vực đang còn rất mới mẻ đối với cả kiểm toán độc lập lẫn kiểm toán nội bộ tại Việt Nam Lĩnh vực này ngày càng chiếm nhiều sự quan tâm của giới nghiên cứu, giới thực tiễn cũng như các sinh viên ngành kế toán kiểm toán Cuốn tài liệu tham khảo “Kiểm toán công nghệ thông tin” được Bộ môn Kiểm toán – Khoa Kế toán kiểm toán – Trường Đại học Ngân hàng Thành phố Hồ Chí Minh biên soạn dựa trên việc tổng hợp các chuẩn mực quốc tế về kiểm soát và kiểm toán công nghệ thông tin, tham khảo đến các giáo trình, tài liệu quốc tế liên quan đến lĩnh vực này cũng như các quy định và thực tiễn tại Việt Nam Đây sẽ là tài liệu hữu ích giúp sinh viên chuyên ngành kế toán kiểm toán nói riêng, và sinh viên khối ngành kinh tế nói chung có thể:
Nắm được kiến thức lý thuyết nền tảng đối với quy trình kiểm toán công nghệ thông tin, kiểm soát nội bộ trong môi trường công nghệ thông tin, các công cụ và kỹ thuật sử dụng trong kiểm toán công nghệ thông tin
Hiểu và vận dụng các thủ tục kiểm toán đối với một số lĩnh vực chính trong kiểm toán công nghệ thông tin như kiểm toán quá trình phát triển hệ thống công nghệ thông tin, kiểm toán hoạt động của hệ thống thông tin và kiểm toán an toàn thông tin
Áp dụng kiến thức lý thuyết vào giải đáp các câu hỏi và giải quyết các bài tập tình huống minh họa
Nội dung của cuốn sách chia làm 6 chương như sau:
Chương 1: Tổng quan về kiểm toán công nghệ thông tin
Chương 2: Kiểm soát nội bộ trong môi trường công nghệ thông tin
Chương 3: Các công cụ và kỹ thuật trong kiểm toán công nghệ thông tin
Chương 4: Kiểm toán sự phát triển và thay đổi hệ thống công nghệ thông tin
Chương 5: Kiểm toán hoạt động hệ thống thông tin
Chương 6: Kiểm toán an toàn thông tin
Kết cấu các chương được xây dựng thống nhất, bao gồm: Mục tiêu chương
Trang 102 Lý thuyết của chương
Câu hỏi và bài tập
Đối với câu hỏi và bài tập ở mỗi chương, chúng tôi xây dựng hệ thống từ 5 – 10 các câu hỏi ôn tập, 10 câu hỏi trắc nghiệm, 10 câu hỏi dạng Đúng/ Sai và giải thích, và các bài tập tình huống Các bài tập cũng có kết cấu đa dạng, phù hợp với nội dung môn học đồng thời giúp sinh viên có thể vận dụng một số kỹ năng cơ bản trong kiểm toán công nghệ thông tin Bên cạnh đó, ở mỗi chương đều được cung cấp đáp án của một số câu hỏi/ bài tập điển hình để sinh viên tham khảo, và một số câu hỏi/bài tập không có lời giải để khuyến khích tinh thần tự học của sinh viên
Tham gia biên soạn cuốn tài liệu này là các giảng viên thuộc bộ môn Kiểm toán - Khoa Kế toán kiểm toán – Trường Đại học Ngân hàng Thành phố Hồ Chí Minh, bao gồm: ThS Trần Thị Hải Vân, FCCA, CIA - Giảng viên bộ môn kiểm toán – Chủ biên ThS Ngô Minh Tâm, CPA, Senior Manager - Baker Tilly A&C
TS Nguyễn Thị Mai Hương – Trưởng bộ môn kiểm toán – Thành viên ThS Đỗ Thị Hương – Giảng viên bộ môn kiểm toán – Thành viên
TS Nguyễn Thị Đoan Trang – Giảng viên bộ môn kiểm toán - Thành viên TS Trần Thị Thu Thủy – Giảng viên bộ môn kiểm toán - Thành viên
Đây là lần đầu tiên cuốn tài liệu được xuất bản, dù chúng tôi đã thực sự rất cẩn trọng trong quá trình biên soạn nhưng chắc chắn không thể tránh khỏi các thiếu sót Chúng tôi rất mong nhận được ý kiến đóng góp của Hội đồng Khoa học Trường Đại học Ngân hàng Thành phố Hồ Chí Minh, các đồng nghiệp, các chuyên gia và những người làm thực tế, và các bạn độc giả
Các ý kiến đóng góp xin gửi về địa chỉ:
Bộ môn Kiểm toán
Trường Đại học Ngân hàng Thành phố Hồ Chí Minh
36 Tôn Thất Đạm, Phường Nguyễn Thái Bình, Quận 1, TP.HCM
Trang 113 Email: vantth@hub.edu.vn
Thay mặt tập thể tác giả Chủ biên
Trần Thị Hải Vân
Trang 124
CHƯƠNG 1: TỔNG QUAN VỀ KIỂM TOÁN CÔNG NGHỆ THÔNG TIN
Mục tiêu chương
Sau khi nghiên cứu xong chương này, người đọc có thể:
- Hiểu về quản trị CNTT và chiến lược quản trị CNTT, giải thích tầm quan trọng
của quản trị CNTT và chiến lược quản trị CNTT
- Xác định chiến lược CNTT và thảo luận về những xu hướng mới nổi trong
CNTT
- Hiểu được khái niệm, vai trò của Kiểm toán CNTT và giải thích về các bước
trong quy trình kiểm toán CNTT;
- Thảo luận về tầm quan trọng của việc tuân thủ chuẩn mực và quy định liên
quan đến Kiểm toán CNTT
LÝ THUYẾT CHƯƠNG 1.1 Môi trường công nghệ thông tin
1.1.1 Quản trị và chiến lược về công nghệ thông tin a Quản trị công nghệ thông tin
Trong xu thế phát triển hiện nay, các doanh nghiệp phải tận dụng tốt nhất các cơ hội đổi mới CNTT để bắt kịp xu thế và nâng cao vị thế cạnh tranh Công nghệ thông tin (CNTT) là một thuật ngữ bao gồm phần mềm, mạng lưới, hệ thống máy tính sử dụng cho việc phân phối và xử lý dữ liệu, trao đổi, lưu trữ và sử dụng thông tin dưới hình thức khác nhau CNTT đã trở thành một phần quan trọng trong các chiến lược kinh doanh của các doanh nghiệp, nó vừa là yếu tố hỗ trợ vừa là yếu tố giúp nâng cao các mục tiêu của doanh nghiệp
Trang 135 Quản trị doanh nghiệp là một hệ thống các thiết chế, chính sách, luật lệ nhằm định hướng, vận hành và kiểm soát doanh nghiệp, qua đó đưa ra các vấn đề về quyền quyết định, trách nhiệm giải trình và hành vi của một tổ chức Quản trị CNTT (IT governance) là một phần của quản trị doanh nghiệp nhằm đưa ra một cấu trúc và quy trình với mục đích sử dụng tối ưu năng lực CNTT để đảm bảo phát triển bền vững và hỗ trợ tối đa chiến lược và mục tiêu của doanh nghiệp (Otero A R., 2019) Điều này đặt ra yêu cầu cho việc cung cấp cấu trúc để đạt được sự liên kết của các hoạt động và quy trình CNTT với các mục tiêu kinh doanh, kết hợp CNTT vào chương trình quản lý rủi ro doanh nghiệp, quản lý hiệu suất của CNTT, đảm bảo mang lại các giá trị của CNTT và đảm bảo tuân thủ quy định và thực hiện đầy đủ các biện pháp kiểm soát nội bộ Do đó, quản trị CNTT được triển khai một cách hiệu quả sẽ được thực hiện khi các hoạt động và quy trình CNTT phù hợp với định hướng do cơ quan quản trị đặt ra để đạt được các mục tiêu của doanh nghiệp
Và để thực hiện năng lực quản trị CNTT, các chủ thể tham gia vào quy trình phải nắm bắt một số vấn đề chính sau:
(i) Hiểu rõ các thành phần cần thiết để thiết kế các dịch vụ CNTT;
(ii) Xây dựng danh mục dịch vụ CNTT (IT Service Catalogue);
(iii) Xây dựng quy trình để quản lý dịch vụ CNTT;
(iv) Xây dựng hệ thống chỉ tiêu (KPIs) trong từng dịch vụ CNTT;
(v) Xây dựng danh mục dịch vụ CNTT và áp dụng hỗ trợ doanh nghiệp kinh doanh hiệu quả;
(vi) Hiểu và biết cách xây dựng tổ chức bộ máy hỗ trợ dịch vụ CNTT thông qua xác định vai trò, trách nhiệm của từng cá nhân trong quy trình;
(vii) Cách quản lý chất lượng dịch vụ cũng như tuân thủ các quy trình cung cấp chất lượng dịch vụ;
Trang 146 (viii) Các phương pháp cắt giảm chi phí hoạt động vận hành hệ thống CNTT đảm bảo đạt được mục tiêu và nhiệm vụ kinh doanh của doanh nghiệp;
(ix) Cách thức kiểm toán và quản trị (Auditing and Governance)
Quản trị CNTT là cung cấp cấu trúc và định hướng để đạt được sự liên kết giữa chiến lược CNTT với chiến lược kinh doanh đáp ứng mục tiêu quản trị, và điều này có nghĩa là phải có sự hợp tác chặt chẽ giữa CNTT và nhà quản lý doanh nghiệp
b Chiến lược CNTT
Chiến lược CNTT của một doanh nghiệp đưa ra các hướng dẫn chính thức về việc mua lại, phân bổ và quản lý tài nguyên CNTT phù hợp với mục đích và mục tiêu của tổ chức Nó là một phần của chiến lược tổng thể của doanh nghiệp về CNTT và phải phù hợp với chiến lược kinh doanh để đảm bảo rằng các nguồn lực không bị lãng phí cho các dự án hoặc quy trình không góp phần đạt được các mục tiêu chung của tổ chức
Một chiến lược CNTT cũng sẽ đưa ra lộ trình cho các kế hoạch hoạt động và một khuôn khổ để đánh giá các khoản đầu tư công nghệ, được phát triển với sự tham gia của người dùng để giải quyết định hướng công nghệ trong tương lai Sự liên kết này nên có ở tất cả các cấp của quy trình lập kế hoạch để cung cấp sự đảm bảo rằng các kế hoạch hoạt động luôn hỗ trợ các mục tiêu kinh doanh
Chiến lược CNTT thường bao gồm các nội dung sau:
(i) Những nguyên tắc và tiêu chuẩn của CNTT và hệ thống thông tin (IS - Information System hay HTTT);
(ii) Các chiến lược tổ chức, việc quản trị, sử dụng của doanh nghiệp hay cấu trúc của CNTT, kỹ năng và chiến lược con người, chi phí và giá trị chiến lược, danh mục đầu tư quản lý chiến lược, chiến lược quản lý dịch vụ CNTT;
(iii) Xác định nguồn cung ứng chiến lược và chiến lược quản lý CNTT nói chung trong một tổ chức.
Trang 157 Để có một chiến lược CNTT hiệu quả, Hội đồng quản trị và các nhà quản lý doanh nghiệp phải hiểu tình trạng hiện tại của hệ thống CNTT của đơn vị mình và tham gia tích cực vào việc thiết lập định hướng CNTT trong tương lai
Từ các đặc điểm của quản trị CNTT và chiến lược CNTT có thể đưa ra những tóm tắt cơ bản sau:
- Thứ nhất, CNTT tồn tại để giúp đạt được và kích hoạt hoạt động kinh doanh nên trách nhiệm cuối cùng đối với việc thiết lập và triển khai chiến lược CNTT nên thuộc về ban quản lý cấp cao của tổ chức
- Thứ hai, CNTT phải đi đầu trong việc thu thập thông tin để kết hợp nhu cầu của tổ chức với tính khả thi về công nghệ để tạo ra một chiến lược tổng thể
- Thứ ba, quản lý CNTT liên quan đến việc kết hợp công nghệ, con người và các quy trình để cung cấp các giải pháp cho các vấn đề của tổ chức
- Thứ tư, chiến lược hiệu quả nhất sẽ được xác định bởi sự kết hợp giữa môi trường, văn hóa và công nghệ được sử dụng bởi một tổ chức
1.1.2 Các xu hướng mới nổi trong việc áp dụng công nghệ thông tin
CNTT đã tác động đến các lĩnh vực quan trọng khác nhau của môi trường kinh doanh, bao gồm cả việc sử dụng và xử lý thông tin, quy trình kiểm soát và nghiệp vụ kiểm toán Nhu cầu kiểm soát đối với CNTT, đặc biệt là trong thương mại, đã được nâng cao đáng kể trong những năm qua Một số tác động của CNTT có thể thấy:
Công nghệ đã cải thiện đáng kể khả năng nắm bắt, lưu trữ, phân tích và xử lý lượng dữ liệu và thông tin, hỗ trợ cho việc ra quyết định của nhà quản lý Nó cũng đã trở thành một yếu tố hỗ trợ chính cho các quy trình sản xuất và dịch vụ
Công nghệ đã tác động đáng kể đến các hệ thống quy trình kiểm soát Mặc dù các mục tiêu kiểm soát nói chung không thay đổi (ngoại trừ một số mục tiêu cụ thể về công nghệ), nhưng công nghệ đã thay đổi cách thức kiểm soát các hệ thống
Trang 168 Công nghệ đã tác động đến nghề kiểm toán về cách thức thực hiện kiểm toán (thu thập và phân tích thông tin) và kể cả các kiến thức cần thiết để đưa ra các đánh giá về tính hiệu lực, hiệu quả của hệ thống và các hoạt động cũng như độ tin cậy của các báo cáo
Công nghệ không ngừng phát triển và tìm cách định hình môi trường CNTT trong các doanh nghiệp Sau đây là các mô tả ngắn gọn về các xu hướng công nghệ khác nhau gần đây đã và sẽ chắc chắn sẽ tiếp tục ảnh hưởng đến hoạt động kinh doanh, cách thức kiểm soát của các doanh nghiệp:
Điện toán đám mây (Cloud)
Điện toán đám mây là mạng lưới tài nguyên mà một công ty có thể truy cập và phương pháp sử dụng ổ đĩa kỹ thuật số làm tăng hiệu quả của tổ chức Điện toán đám mây đã tạo ra một cách thức mới về lưu trữ, vận hành, khai thác và xử lý thông tin đi kèm với nhiều ứng dụng hữu ích cho doanh nghiệp Một số ứng dụng của điện toán đám mây trong doanh nghiệp bao gồm: Cơ sở dữ liệu đám mây, dịch vụ lưu trữ Website, sao lưu, khôi phục dữ liệu, lưu trữ dữ liệu; ứng dụng vào quản lý doanh nghiệp,…
Ứng dụng di động và máy tính (MDM- Mobile Device Management)
Điện thoại di động, máy tính bảng và các thiết bị khác đã ảnh hưởng rất đáng kể đến thế giới kinh doanh MDM là một ứng dụng dùng để quản lý các thiết bị đầu cuối như máy tính xách tay, điện thoại di động, máy tính bảng… Hiện nay rất nhiều ngành nghề ứng dụng MDM trong kinh doanh và quản lý một cách hiệu quả như các lĩnh vực bán lẻ, vận tải, giáo dục, dịch vụ,…
Phân tích dữ liệu lớn
Big data là thuật ngữ dùng để chỉ một tập hợp dữ liệu rất lớn và phức tạp đến nỗi những công cụ, ứng dụng xử lý dữ liệu truyền thống không thể thu thập, quản lý và xử lý dữ liệu trong một khoảng thời gian nào đó
Trang 179 Dữ liệu lớn là một xu hướng cho phép các doanh nghiệp phân tích các tập hợp thông tin mở rộng để đạt được sự đa dạng về khối lượng và tốc độ tăng trưởng Việc kiểm tra dữ liệu để hiểu thị trường và chiến lược đang trở nên dễ quản lý hơn với những tiến bộ trong các chương trình phân tích dữ liệu
Công nghệ bảo mật
Trước sự phát triển như vũ bão của công nghệ và khả năng giao tiếp giữa các thiết bị ngày càng khăn khít hơn, tính bảo mật sẽ phải được đề cao Từ những công nghệ bảo mật đơn giản như chuỗi mật khẩu, giờ đây các công nghệ xác thực theo thời gian thực như OTP, xác thực hai lớp hoặc nhiều hơn, công nghệ bảo mật vân tay, mống mắt, mã hóa phức tạp,… khi được nâng cao sẽ đóng vai trò cực kỳ quan trọng
Trí tuệ nhân tạo (AI – Artificial Inteligence)
Những đổi mới trong lĩnh vực trí tuệ nhân tạo AI sẽ tiếp tục mang đến những đột phá khoa học, một phần nhờ vào lượng dữ liệu khổng lồ mà các công nghệ mới đã thu thập được và hiện có sẵn Nhiều doanh nghiệp đã ứng dụng AI vào trong hoạt động kinh doanh và quản lý như xây dựng mô hình tự động hóa, xếp hạng các từ khóa tìm kiếm, phân tích dự báo, giới thiệu sản phẩm đến khách hàng tiềm năng
Công nghệ chuỗi khối (Blockchain)
Công nghệ chuỗi khối (như tiền điện tử Bitcoin) sẽ tiếp tục là xu hướng phát triển của CNTT trong giai đoạn hiện nay Hệ thống này cho phép người dùng nhập dữ liệu bổ sung mà không thay đổi, thay thế hoặc xóa bất kỳ dữ liệu gì đã có Trong dòng chảy của các hệ thống dữ liệu được chia sẻ như lưu trữ đám mây và tài nguyên, việc bảo vệ dữ liệu gốc mà không làm mất thông tin sẽ rất quan trọng đối với doanh nghiệp Công nghệ blockchain cho phép doanh nghiệp có thể theo dõi, giám sát các giao dịch với các đối tác khác nhau mà không cần tới sự hỗ trợ của các tổ chức tài chính, và nâng cao tính liên kết trong mạng lưới dữ liệu của doanh nghiệp Bên cạnh đó, tính công khai, minh bạch, bảo mật, không thể sửa đổi và phi tập trung cũng là những ưu điểm nổi bật của công nghệ blockchain
Trang 1810 Với những ưu điểm vượt trội đó, ứng dụng blockchain sẽ là xu hướng phổ biến trong tương lai và sẽ được ứng dụng vào nhiều lĩnh vực hơn mà không chỉ là lĩnh vực tài chính
Ngoài ra còn nhiều xu hướng công nghệ khác như thực tế ảo, IoT (Internet of Things), công nghệ tự động hóa,… cũng đang trở thành những xu thế công nghệ có ảnh hưởng đáng kể đến hoạt động của các doanh nghiệp
1.2 Kiểm toán công nghệ thông tin 1.2.1 Khái niệm
Khái niệm kiểm toán CNTT được hình thành vào giữa những năm 1960 Kể từ thời điểm đó, kiểm toán CNTT đã trải qua nhiều thay đổi, phần lớn là do những tiến bộ trong công nghệ và sự kết hợp của công nghệ vào hoạt động kinh doanh Hiện tại, có nhiều doanh nghiệp dựa vào CNTT để vận hành doanh nghiệp của họ như các doanh nghiệp viễn thông, các ngân hàng và tổ chức tài chính CNTT có nhiều sự hữu ích trong hoạt động của một doanh nghiệp như việc áp dụng quy trình công việc trên máy thay vì sử dụng biểu mẫu yêu cầu bằng giấy, sử dụng kiểm soát ứng dụng thay vì kiểm soát thủ công, hoặc triển khai ứng dụng ERP trong hệ thống thông tin Theo đó, tầm quan trọng của kiểm toán CNTT cũng không ngừng tăng lên Kiểm toán viên CNTT có thể thực hiện đánh giá các hệ thống CNTT quan trọng để hỗ trợ kiểm toán báo cáo tài chính, để đánh giá tính tuân thủ đối với các quy định trong lĩnh vực CNTT, hoặc để đưa ra các khuyến nghị về tính hữu hiệu trong các hoạt động kiểm soát
Theo ISACA (2010), kiểm toán CNTT đề cập đến việc kiểm tra và đánh giá mức độ tuân thủ một tiêu chuẩn hay hướng dẫn, mức độ chính xác của các báo cáo hoặc sự đáp ứng các mục tiêu về tính hữu hiệu và hiệu quả Kiểm toán CNTT có thể được định nghĩa là việc kiểm tra chính thức, độc lập và khách quan đối với cơ sở hạ tầng CNTT của tổ chức để xác định xem các hoạt động (ví dụ: thủ tục, kiểm soát, v.v.) có liên quan đến việc thu thập, xử lý, lưu trữ, phân phối, và sử dụng thông tin tuân thủ các hướng dẫn, bảo vệ tài sản, duy trì tính toàn vẹn của dữ liệu và hoạt động hiệu quả và hiệu quả để đạt được các mục tiêu của tổ chức (Senft và cộng sự, 2012) Kiểm toán CNTT cung cấp sự đảm
Trang 1911 bảo hợp lý rằng thông tin do các ứng dụng tạo ra trong tổ chức là chính xác, đầy đủ và hỗ trợ việc ra quyết định hiệu quả Vai trò của kiểm toán CNTT là để đánh giá tính đầy đủ của các hệ thống ứng dụng để đáp ứng nhu cầu xử lý, đánh giá tính đầy đủ của kiểm soát nội bộ và đảm bảo rằng các tài sản được kiểm soát bởi các hệ thống đó được bảo vệ đầy đủ
Kiểm toán viên CNTT chịu trách nhiệm kiểm tra và phân tích ba mục tiêu chính trong quá trình đánh giá hệ thống thông tin gồm: (i) Tính sẵn sàng - Hệ thống thông tin và thông tin có sẵn phục vụ cho nhu cầu của người sử dụng; (ii) Tính bảo mật - Dữ liệu và thông tin được lưu trữ an toàn và chỉ có sẵn cho những cá nhân được ủy quyền; và (iii) Tính toàn vẹn - Dữ liệu và thông tin từ hệ thống thông tin là chính xác, kịp thời và đáng tin cậy (Alagić, Turulja, & Bajgorić, 2021)
Kiểm toán CNTT được kết hợp trong cuộc kiểm toán các lĩnh vực khác như: Kiểm toán tài chính, kiểm toán tuân thủ và kiểm toán hoạt động Trên thực tế, một cuộc kiểm toán CNTT có thể được thực hiện riêng biệt hoặc kết hợp, chẳng hạn như:
- Kiểm toán CNTT với các tiêu chí cơ bản được sử dụng để kiểm tra, đánh giá hệ thống CNTT và hệ thống kiểm soát liên quan của đơn vị được kiểm toán (tính bảo mật, tính trung thực, tính khả dụng, tính tin cậy và việc tuân thủ theo các văn bản pháp luật, các quy định liên quan);
- Kiểm toán dự án CNTT có thể thực hiện riêng hoặc kết hợp các nội dung kiểm toán báo cáo thực hiện đầu tư, báo cáo quyết toán… đối với dự án CNTT đã hoàn thành, trong khi dự án đang thực hiện, sau một giai đoạn thực hiện dự án, hoặc ngay trong giai đoạn lập dự toán để đánh giá tính khả thi;
- Kiểm toán trong môi trường CNTT áp dụng cho đơn vị được kiểm toán sử dụng các hệ thống CNTT trong việc xử lý các thông tin tài chính và nghiệp vụ liên quan theo các chuẩn mực, hướng dẫn kiểm toán CNTT để đảm bảo chất lượng kiểm toán và giảm thiểu rủi ro kiểm toán
Trang 2012 Khi đánh giá hệ thống CNTT, kiểm toán viên thường đánh giá hai nhóm kiểm soát sau đây:
Kiểm soát chung (General controls)
Kiểm soát chung bao gồm cơ sở hạ tầng CNTT và các dịch vụ hỗ trợ, bao gồm tất cả các hệ thống và ứng dụng Trong đó, hoạt động kiểm soát này sẽ tập trung vào các chính sách và thủ tục, liên quan đến nhiều ứng dụng và hỗ trợ hoạt động hiệu quả của các kiểm soát ứng dụng Kiểm soát chung thường bao gồm các biện pháp kiểm soát đối với (i) Hoạt động của hệ thống thông tin; (ii) An toàn thông tin; và (iii) Quản lý kiểm soát thay đổi (vấn đề này thường phát sinh trong trường hợp mua sắm, thay đổi và bảo trì phần mềm hệ thống, thay đổi chương trình và mua sắm, phát triển và bảo trì hệ thống ứng dụng) Ví dụ về các biện pháp kiểm soát chung trong hoạt động của hệ thống thông tin như sao lưu dữ liệu hay truy cập vào bộ lập lịch trình công việc, lưu trữ; hay các kiểm soát chung trong tính bảo mật thông tin của các hoạt động như yêu cầu truy cập và quản trị tài khoản người dùng, chấm dứt truy cập và an toàn vật lý; sự phê chuẩn về các yêu cầu thay đổi hệ thống; nâng cấp ứng dụng và cơ sở dữ liệu; và giám sát cơ sở hạ tầng mạng, bảo mật và quản lý sự thay đổi
Kiểm soát ứng dụng
Việc kiểm toán các kiểm soát ứng dụng được thực hiện nhằm kiểm tra các kiểm soát xử lý cho từng ứng dụng Kiểm soát ứng dụng thường nhằm đảm bảo tính chính xác, đầy đủ, hợp lệ của dữ liệu được thu thập, xử lý, lưu trữ, truyền tải và báo cáo Ví dụ về kiểm soát ứng dụng bao gồm kiểm tra tính chính xác toán học của các báo cáo, xác thực dữ liệu đầu vào và thực hiện kiểm tra thứ tự, kiểm tra số liệu của quy trình nhập liệu, quy trình kinh doanh của doanh nghiệp (quy trình quản trị nhân sự, quy trình tiền lương, quy trình bán hàng – thu tiền,…) Các biện pháp kiểm soát ứng dụng chỉ hiệu quả khi các biện pháp kiểm soát chung hiệu quả
Tóm lại, việc kiểm toán CNTT giúp doanh nghiệp giám sát độ chính xác và hiệu quả của các hệ thống CNTT và các qui trình có liên quan; cùng với đó đảm bảo an toàn
Trang 2113 bảo mật và tuân thủ theo các quy định về an toàn bảo mật CNTT của nhà nước Ngoài ra, kiểm toán tài chính cũng đi liền với kiểm toán CNTT như một phần tất yếu của sự chuyển đổi số (khi hệ thống CNTT dần thay thế các phương thức quản lý hoạt động truyền thống) Vì vậy, những doanh nghiệp ứng dụng CNTT trong hoạt động sản xuất kinh doanh nếu được kiểm toán CNTT định kì sẽ nâng cao được uy tín, gia tăng niềm tin đối với khách hàng, nhà đầu tư và đối tác Việc thực hiện kiểm toán CNTT sẽ trả lời các câu hỏi về tính sẵn sàng (Availability) của hệ thống CNTT của doanh nghiệp, tính bảo mật và an toàn thông tin (Security and Confidentiality), và liệu rằng các thông tin được cung cấp từ hệ thống CNTT có chính xác và đáng tin cậy (Accuracy and Integrity) để từ đó đưa ra khuyến nghị về các phương pháp kiểm soát phù hợp để giảm thiểu các rủi ro
1.2.2 Vai trò của kiểm toán công nghệ thông tin
Khi việc sử dụng CNTT trong các tổ chức tiếp tục phát triển, việc kiểm toán trong môi trường công nghệ thông tin là xu hướng bắt buộc Ngoài ra, việc sử dụng các loại CNTT mới sẽ có thể dẫn đến những rủi ro mới, do đó đòi hỏi các biện pháp kiểm soát mới Kiểm toán viên CNTT có vai trò quan trọng trong việc đánh giá mức độ phù hợp của một hệ thống CNTT cụ thể đối với toàn bộ doanh nghiệp Do đó, kiểm toán viên CNTT có thể hỗ trợ việc ra quyết định của quản lý cấp cao Vai trò của kiểm toán viên CNTT có thể được đánh giá thông qua quá trình quản trị CNTT và các tiêu chuẩn thực hành nghề nghiệp hiện có cho nghề này
Trên thực tế, việc sử dụng CNTT trong các dịch vụ kiểm toán nói chung và kiểm toán báo cáo tài chính nói riêng đã giúp nâng cao hiệu quả kiểm toán và tăng doanh thu Các công ty kiểm toán có thể sử dụng các hệ thống này để xác định các dữ liệu có thể cấu thành gian lận với mức độ hiệu quả và chính xác cao hơn so với làm thủ công Chẳng hạn, các hệ thống máy bay không người lái đã được các công ty kiểm toán lớn sử dụng để tính toán, kiểm đếm lượng hàng tồn kho khi thực hiện kiểm toán hàng tồn kho
Trang 2214 Kiểm toán viên CNTT góp phần tạo ra hiệu quả chung đối với việc sử dụng và ứng dụng CNTT trong tổ chức Chẳng hạn, thông qua một cuộc kiểm toán phát triển hệ thống CNTT, kiểm toán viên CNTT có thể đưa ra các khuyến nghị về kiểm soát nội bộ cho quy trình phát triển hệ thống như sự phê chuẩn các kế hoạch, quá trình thử nghiệm toàn diện cho hệ thống mới, và các yêu cầu bảo mật thông tin trong thiết kế hệ thống
Kiểm toán viên CNTT cũng đóng vai trò tích cực trong việc hỗ trợ các tổ chức xây dựng chính sách, thủ tục, tiêu chuẩn và/hoặc thực tiễn tốt nhất về an toàn thông tin, dấu vết kiểm toán, kiểm soát, thử nghiệm, v.v Ví dụ: một chính sách bảo mật thông tin tốt có thể bao gồm: (i) Chỉ định các tính năng bảo mật bắt buộc; (ii) Xác định “kỳ vọng hợp lý” về quyền riêng tư liên quan đến các vấn đề như giám sát hoạt động của mọi người; (iii) Xác định quyền và đặc quyền truy cập và bảo vệ tài sản khỏi mất mát, tiết lộ hoặc thiệt hại bằng cách chỉ định nguyên tắc sử dụng có thể chấp nhận được cho người dùng; (iv) Đưa ra nguyên tắc cho giao tiếp bên ngoài (hệ thống mạng internet); (v) Xác định trách nhiệm của tất cả người dùng; (vi) Thiết lập lòng tin thông qua chính sách mật khẩu hiệu quả; (vii) Chỉ định quy trình khôi phục; (viii) Yêu cầu ghi lại các vi phạm; (ix) Thừa nhận rằng chủ sở hữu, người quản lý và khách hàng của thông tin cần phải báo cáo những bất thường và bảo vệ việc sử dụng và phổ biến thông tin đó; (x) Cung cấp cho người dùng thông tin hỗ trợ liên quan chính sách bảo mật thông tin chung trên trang website của doanh nghiệp
1.2.3 Quy trình kiểm toán công nghệ thông tin
Quy trình kiểm toán CNTT tương tự như kiểm toán báo cáo tài chính hay kiểm toán nội bộ Tuy nhiên, mục đích của kiểm toán báo cáo tài chính là đánh giá việc báo cáo tài chính có được lập trên cơ sở chuẩn mực và chế độ kế toán hiện hành, tuân thủ pháp luật liên quan và phản ánh trung thực, hợp lý trên các khía cạnh trọng yếu, còn mục đích của kiểm toán CNTT là xem xét và đánh giá tính sẵn sàng, tính bảo mật và tính toàn vẹn thông qua việc trả lời những câu hỏi như: Hệ thống máy tính có sẵn sàng cho hoạt động sản xuất kinh doanh tại mọi thời điểm; có phải chỉ những người có thẩm
Trang 2315 quyền mới được sử dụng không; đã cung cấp thông tin chính xác, trung thực và kịp thời không,v.v
Quy trình kiểm toán CNTT bao gồm các giai đoạn chính sau:
Giai đoạn: Lập kế hoạch kiểm toán
Kiểm toán viên lập kế hoạch kiểm toán để đảm bảo cuộc kiểm toán đúng thời hạn, nâng cao khả năng phát hiện gian lận, rủi ro và những vấn đề tiềm ẩn Mặt khác, kiểm toán viên cần xác định phạm vi và mục tiêu của cuộc kiểm toán thông qua các thử nghiệm về hệ thống thông tin Để xác định mục tiêu kiểm toán và đảm bảo thông tin thu thập được có hiệu quả, kiểm toán viên cần đánh giá rủi ro nhằm tìm ra những bằng chứng thích hợp và đầy đủ trong suốt quá trình kiểm toán Kiểm toán viên phải đánh giá rủi ro kiểm toán và xác định các thủ tục kiểm toán nhằm giảm thiểu các rủi ro kiểm toán xuống thấp tới mức có thể chấp nhận được, cần xem xét những vấn đề chung và cụ thể của hệ thống thông tin để đánh giá rủi ro tiềm tàng
Trong môi trường ngày nay, những thay đổi về tổ chức và quy định thường gây khó khăn nhiều hơn trong việc kiểm soát hay cung cấp thông tin kịp thời Các thay đổi này làm tăng số lượng các đối tượng kiểm toán Một quy trình lập kế hoạch và đánh giá rủi ro hiệu quả cho phép hoạt động kiểm toán trở nên linh hoạt và hiệu quả hơn, chẳng hạn như giúp xác định các khu vực rủi ro mới, xác định những thay đổi trong các khu vực rủi ro hiện có, truy cập thông tin pháp lý và quy định hiện hành, tận dụng thông tin thu thập được trong quá trình đánh giá để cải thiện việc đánh giá rủi ro
Các loại bằng chứng kiểm toán cần thu thập khi kiểm toán hệ thống về cơ bản là dựa vào mức độ rủi ro mà kiểm toán viên đánh giá, bao gồm: bằng chứng quan sát (như sự bảo mật của hệ thống máy tính), bằng chứng tài liệu (như các thông tin về nghiệp vụ kinh tế phát sinh, các chính sách, các lưu đồ hệ thống…), bằng chứng từ việc phân tích (thu thập được qua việc so sánh các tỷ lệ lỗi giữa phần mềm, các nghiệp vụ kinh tế và người sử dụng) Để đánh giá hệ thống kiểm soát nội bộ, kiểm toán viên
Trang 2416 xem xét môi trường kiểm soát, hệ thống thông tin truyền thông, hệ thống máy tính và các thủ tục kiểm soát
Giai đoạn: Thực hiện kiểm toán
Kiểm toán CNTT được thực hiện chung với một cuộc kiểm toán báo cáo tài chính hay một cuộc kiểm toán hoạt động và có quy trình tương tự Nhưng trong cùng quy trình kiểm toán, kiểm toán CNTT có mục đích xem xét, đánh giá hệ thống thông tin của doanh nghiệp
Các phương pháp thử nghiệm trong kiểm toán bao gồm phương pháp thử nghiệm cơ bản và phương pháp thử nghiệm kiểm soát Đối với thử nghiệm kiểm soát, kiểm toán viên CNTT thực hiện một số quy trình để kiểm tra các biện pháp kiểm soát, quy trình và rủi ro Các thủ tục kiểm toán này có thể bao gồm việc kiểm tra các bằng chứng tài liệu cũng như thực hiện các cuộc phỏng vấn, thực hiện kiểm tra và quan sát Khi các biện pháp kiểm soát được xác định là không hiệu quả, kiểm toán viên sẽ thực hiện thử nghiệm cơ bản để xác định liệu có vấn đề trọng yếu với thông tin tài chính hay không Trong kiểm toán CNTT, thử nghiệm cơ bản được sử dụng để xác định tính chính xác và đầy đủ của thông tin được tạo ra bởi một quá trình hoặc ứng dụng
Giai đoạn hoàn thành cuộc kiểm toán
Kiểm toán viên cần ghi lại từng phát hiện quan trọng với bản báo cáo về khung pháp lý, sự kiện, kết luận và rủi ro CNTT Ngoài những phát hiện riêng lẻ, Kiểm toán viên cần đưa ra kết luận chung về kiểm soát CNTT Cùng với đó, KTV cần giải thích từng điểm yếu trong kiểm soát liên quan đến rủi ro CNTT Việc đánh giá có thể dẫn đến các kết luận như sau: (i) Kiểm soát CNTT hoạt động hiệu quả, nhất quán và liên tục trong suốt thời gian xem xét; hệ thống tổng thể được coi là đáng tin cậy; (ii) Kiểm soát CNTT hoạt động hiệu quả, nhất quán và liên tục trong suốt thời gian xem xét; và có các điểm yếu được nhận thấy trong tính hiệu quả và liên tục của kiểm soát CNTT nhưng các kiểm soát CNTT không đáng tin cậy; (iii) Kiểm soát CNTT
Trang 2517 không hoạt động như mong đợi, không hoạt động liên tục trong thời gian được xem xét hoặc không kiểm tra chúng được
Giai đoạn: Theo dõi kiểm toán
Nếu kiểm toán CNTT được thực hiện như một cuộc kiểm toán hoạt động, thì thông thường kiểm toán viên CNTT còn phải thực hiện một giai đoạn theo dõi sau kiểm toán Đây là giai đoạn kiểm toán viên theo dõi việc thực hiện các khuyến nghị kiểm toán có được tuân thủ đầy đủ và hiệu quả.
1.3 Các chuẩn mực và quy định liên quan đến kiểm toán công nghệ thông tin
Hiện nay có nhiều tổ chức đã đưa ra các tiêu chuẩn thực hành liên quan đến kiểm toán CNTT như AICPA, IIA, IFAC, CICA, GAO, ISACA ISACA, được thành lập vào năm 1969, là hiệp hội chuyên nghiệp về quản trị, đảm bảo cũng như an ninh và kiểm soát CNTT hàng đầu hiện nay và bao gồm các nội dung chính sau: (i) Cung cấp kiến thức và giáo dục về các lĩnh vực như kiểm toán HTTT, bảo mật thông tin, quản trị doanh nghiệp, quản lý rủi ro CNTT và tuân thủ; (ii) Cung cấp các chứng nhận/chỉ định nổi tiếng toàn cầu, chẳng hạn như CISA, CISM, Chứng nhận Quản trị CNTT Doanh nghiệp (CGEIT) và Chứng nhận Rủi ro và CRISC; (iii) Xây dựng và cập nhật thường xuyên các tiêu chuẩn kiểm toán và kiểm soát HTTT quốc tế, chẳng hạn như tiêu chuẩn COBIT COBIT hỗ trợ cả kiểm toán viên CNTT và quản lý CNTT trong việc thực hiện các nhiệm vụ và trách nhiệm hàng ngày của họ trong các lĩnh vực đảm bảo, bảo mật, rủi ro và kiểm soát, đồng thời mang lại giá trị cho doanh nghiệp
Hiện nay, Khuôn khổ quản trị CNTT được công nhận rộng rãi và thực hành tốt nhất bao gồm: Cơ sở hạ tầng CNTT, Thư viện (ITIL), COBIT và Tiêu chuẩn Anh Quốc Tổ chức Tiêu chuẩn hóa Quốc tế (ISO)/Ủy ban Kỹ thuật Điện Quốc tế 27002 (ISO/IEC 27002) Ba khuôn khổ này cung cấp cho các tổ chức phương tiện để giải quyết các góc độ khác nhau trong lĩnh vực CNTT
Sau đây là những giới thiệu tóm tắt về 3 khuôn khổ quản trị CNTT Các nội dung và khía cạnh chi tiết hơn sẽ được để cập ở các chương tiếp theo
Trang 2618
1.3.1 Thư viện cơ sở hạ tầng CNTT (ITIL)
ITIL được Văn phòng Thương mại Chính phủ (OGC) của Vương quốc Anh phát triển như một thư viện gồm các quy trình thực hành tốt nhất để quản lý dịch vụ CNTT Được áp dụng rộng rãi trên thế giới, ITIL cung cấp hướng dẫn về các phương pháp tốt nhất trong lĩnh vực quản lý dịch vụ CNTT Cụ thể, môi trường quản lý dịch vụ của ITIL cung cấp các dịch vụ kinh doanh hiệu quả cho người dùng cuối và khách hàng bằng cách tuân thủ năm nguyên tắc cốt lõi liên quan đến:
◾ Chiến lược (Strategy) —các hướng dẫn hoặc quy trình thực hành tốt nhất để lập bản đồ chiến lược CNTT với các mục tiêu và mục đích kinh doanh tổng thể
◾ Thiết kế (Design) —các quy trình (hoặc yêu cầu) thực hành tốt nhất được triển khai để hướng tới một giải pháp được thiết kế để đáp ứng nhu cầu kinh doanh
◾ Chuyển đổi (Transition) —nhằm mục đích quản lý thay đổi, rủi ro và đảm bảo chất lượng trong quá trình triển khai dịch vụ CNTT
◾ Vận hành (Operation) —các hướng dẫn hoặc quy trình thực hành tốt nhất được đưa ra để duy trì các dịch vụ CNTT đầy đủ và hiệu quả sau khi được triển khai vào môi trường sản xuất
◾ Cải tiến liên tục (Continuous Improvement) —không ngừng tìm cách cải thiện quy trình tổng thể và việc cung cấp dịch vụ
Khung quản lý ITIL thường được sử dụng khi mục tiêu của tổ chức là cải thiện chất lượng dịch vụ quản lý CNTT Khung ITIL hỗ trợ các tổ chức tạo ra các dịch vụ CNTT có thể giúp quản lý các công việc hàng ngày một cách hiệu quả, đặc biệt khi trọng tâm là khách hàng hoặc người dùng cuối
1.3.2 Bộ tiêu chuẩn COBIT
COBIT là một khung quản trị CNTT nhằm giúp các doanh nghiệp tuân thủ quy định, quản lý rủi ro và điều chỉnh chiến lược CNTT với mục tiêu của tổ chức Đây là một tập hợp các thông lệ CNTT hoặc mục tiêu kiểm soát được chấp nhận rộng rãi trên thế
Trang 2719 giới Áp dụng tiêu chuẩn COBIT trong kiểm soát sẽ có nhiều lợi ích: giúp nhân viên, người quản lý, giám đốc điều hành và kiểm toán viên hiểu được hệ thống CNTT của đơn vị, nâng cao mức độ bảo mật và thiết kế các biện pháp kiểm soát phù hợp
COBIT hỗ trợ nhu cầu nghiên cứu, phát triển, công khai và thúc đẩy các mục tiêu kiểm soát CNTT cập nhật được quốc tế chấp nhận Trọng tâm chính của khung COBIT là đảm bảo rằng công nghệ cung cấp cho doanh nghiệp thông tin phù hợp, kịp thời và chất lượng cho các mục đích ra quyết định
Khung COBIT, hiện đã có phiên bản thứ năm (COBIT 5), cho phép nhà quản lý đánh giá môi trường của đơn vị mình và so sánh nó với các tổ chức khác Kiểm toán viên CNTT cũng có thể sử dụng COBIT để làm chuẩn mực đánh giá và đưa ý kiến về kiểm soát nội bộ của đơn vị COBIT là một khuôn khổ là toàn diện và giúp cung cấp sự đảm bảo về sự tồn tại của kiểm soát và bảo mật CNTT COBIT 5 giúp các tổ chức tạo ra giá trị tối ưu từ CNTT bằng cách duy trì sự cân bằng giữa việc hiện thực hóa lợi ích và tối ưu hóa mức độ rủi ro cũng như việc sử dụng tài nguyên
Khung COBIT có giá trị đối với các tổ chức thuộc mọi quy mô, bao gồm thương mại, phi lợi nhuận hoặc trong khu vực công COBIT đưa ra một khuôn khổ gồm tập hợp các mục tiêu kiểm soát, qua đó không chỉ giúp các chuyên gia quản trị và quản lý CNTT quản lý các hoạt động CNTT của họ mà còn giúp các kiểm toán viên CNTT trong việc kiểm tra các mục tiêu đó Việc lựa chọn COBIT có thể phù hợp khi mục tiêu của tổ chức không chỉ là hiểu và điều chỉnh các mục tiêu kinh doanh và CNTT mà còn giải quyết các lĩnh vực tuân thủ quy định và quản lý rủi ro
1.3.3 Khung ISO/IEC 27000
Nhóm tiêu chuẩn ISO/IEC 27000 bao gồm các kỹ thuật giúp các tổ chức bảo mật tài sản thông tin của họ Một số tiêu chuẩn liên quan đến các kỹ thuật bảo mật CNTT bao gồm:
- Các yêu cầu đối với việc thiết lập, triển khai, duy trì, đánh giá và cải tiến liên tục hệ thống quản lý an toàn thông tin trong bối cảnh của tổ chức Các yêu cầu này là
Trang 2820 chung chung và nhằm mục đích áp dụng cho tất cả các tổ chức,không phân biệt loại hình, quy mô, tính chất (ISO/IEC 27001:2013)
- Hướng dẫn triển khai hệ thống quản lý an toàn thông tin (ISO/IEC DIS 27003)
- Hướng dẫn thực hiện quản lý an ninh thông tin (nghĩa là bắt đầu, thực hiện, duy trì và cải thiện an ninh thông tin) cho truyền thông liên ngành và liên tổ chức (ISO/IEC 27010:2015)
- ISO/IEC 27013:2015 Hướng dẫn triển khai tích hợp hệ thống quản lý an ninh thông tin, như được quy định trong ISO/IEC 27001 và hệ thống quản lý dịch vụ, như được quy định trong ISO/IEC 20000-1
Khung ISO/IEC 27002 là một tiêu chuẩn toàn cầu (được sử dụng cùng với khung ISO/IEC 27001) cung cấp các khuyến nghị thực hành tốt nhất liên quan đến quản lý bảo mật thông tin Tiêu chuẩn áp dụng cho những người chịu trách nhiệm khởi tạo, triển khai và/hoặc duy trì hệ thống quản lý bảo mật thông tin Khuôn khổ này cũng hỗ trợ trong việc thực hiện các biện pháp kiểm soát và thủ tục bảo mật thông tin được chấp nhận rộng rãi
Mục đích của khuôn khổ ISO/IEC 27002 là giúp các tổ chức lựa chọn các biện pháp bảo mật phù hợp bằng cách sử dụng các miền kiểm soát bảo mật có sẵn Mỗi miền xác định kiểm soát các mục tiêu cung cấp thêm hướng dẫn về cách các tổ chức có thể nỗ lực triển khai khuôn khổ Khung ISO/IEC 27002 thường được áp dụng khi quản lý cấp cao CNTT (tức là CIO) nhắm đến mục tiêu về cấu trúc bảo mật thông tin cung cấp các biện pháp bảo mật chung để tuân thủ luật pháp và quy định của liên bang
Tóm lại, các khung quản lý CNTT ITIL, COBIT và ISO/IEC 27002 đều là những khuôn khổ thực hành tốt nhất liên quan đến CNTT để tuân thủ quy định và quản trị doanh nghiệp Tuy nhiên, sẽ là thách thức nếu một doanh nghiệp áp dụng một khuôn khổ tích hợp dựa trên ba tiêu chuẩn này Việc điều chỉnh ITIL, COBIT và ISO/IEC 27002 không chỉ chính thức hóa mối quan hệ giữa chúng mà quan trọng nhất là cho phép các tổ chức:
Trang 2921 (i) triển khai một phương pháp tuân thủ, tích hợp, duy nhất nhằm mang lại các mục tiêu kiểm soát chung về quản trị doanh nghiệp; (ii) đáp ứng các yêu cầu quy định về dữ liệu và quy định liên quan đến quyền riêng tư; và (iii) sẵn sàng cho chứng nhận bên ngoài đối với ISO 27001 và ISO 20000, cả hai chứng nhận này đều thể hiện sự tuân thủ
Trang 3022
CÂU HỎI VÀ BÀI TẬP CHƯƠNG 1 A CÂU HỎI ÔN TẬP
Câu 1: Hãy cho biết mối quan hệ giữa quản trị và chiến lược CNTT?
Câu 2: Kiểm toán CNTT là gì? Vai trò của kiểm toán CNTT?
Câu 3: Hãy cho biết các chuẩn mực và quy định liên quan đến kiểm toán công nghệ thông tin?
Câu 4: Phân biệt thử nghiệm kiểm soát và thử nghiệm cơ bản trong kiểm toán CNTT? Câu 5: Trình bày các nội dung chính của quy trình kiểm toán công nghệ thông tin?
B CÂU HỎI TRẮC NGHIỆM
1 Kiểm toán công nghệ thông tin đánh giá rủi ro liên quan đến hệ thống CNTT bao gồm:
a Con người, quy trình, công nghệ
b Máy tính xách tay, máy chủ, máy tính để bàn
c Sự hiệu quả, năng suất, và tuân thủ
d Vận chuyển, vận hành, quản trị
2 Tất cả các đối tượng sau đều là mục tiêu đánh giá của một cuộc kiểm toán CNTT, ngoại trừ
a Bảo mật thông tin
b Kế hoạch kinh doanh liên tục
c Việc phối màu trang web
d Kiểm soát truy cập
3 “Là một phần của quản trị doanh nghiệp nhằm đưa ra một cấu trúc và quy trình tiên tiến với mục đích sử dụng tối ưu năng lực CNTT để đảm bảo phát triển bền vững và hỗ trợ tối đa chiến lược và mục tiêu của doanh nghiệp” Đây là khái niệm về:
Trang 3123 a Chiến lược CNTT
b Quản trị CNTT
c Kiểm soát CNTT
d Kiểm toán CNTT
4 Các nội dung của chiến lược CNTT bao gồm:
a Những nguyên tắc và tiêu chuẩn của CNTT và hệ thống thông tin (IS - Information System hay HTTT);
b Các chiến lược tổ chức, quản trị, sử dụng của doanh nghiệp hay kiến trúc của CNTT, kỹ năng và chiến lược con người, chi phí và giá trị chiến lược, danh mục đầu tư quản lý chiến lược, chiến lược quản lý dịch vụ CNTT;
c Xác định nguồn cung ứng chiến lược và chiến lược quản lý CNTT nói chung trong một tổ chức
d Tất cả các nội dung trên
5 Ví dụ nào sau đây không phải là kiểm soát chung?
a Lập kế hoạch sao lưu dữ liệu định kỳ
b Tiến hành thử nghiệm cho các phần mềm mua sắm mới
c Kiểm tra xác thực dữ liệu đầu vào
d Kiểm soát an toàn vật lý
6 Mục đích của việc đánh giá rủi ro khi lập kế hoạch kiểm toán CNTT:
a Giúp xác định các thay đổi trong chính sách và quy định
b Xác định đối tượng kiểm toán
c Xác định nguồn lực kiểm toán phù hợp
d Tất cả các câu trên đều đúng
Trang 3224 7 Câu nào sau đây không phải là kiểm toán CNTT?
a Xem xét báo cáo tài chính của công ty để đảm bảo họ tuân thủ GAAP
b Kiểm tra các kiểm soát tài chính và kinh doanh tổng thể liên quan đến hệ thống công nghệ thông tin
c Xác định xem các biện pháp kiểm soát CNTT có bảo vệ tài sản của công ty và tính toàn vẹn của dữ liệu hay không
d.Xác định các điểm yếu trong mạng hệ thống và tạo kế hoạch hành động để ngăn chặn các vi phạm bảo mật trong công nghệ
8 Kiểm toán viên có thể thực hiện một cuộc kiểm toán CNTT nhằm:
a Đánh giá quá trình phát triển hệ thống CNTT của doanh nghiệp b Đánh giá hoạt động của hệ thống thông tin
c Đánh giá an toàn thông tin d Tất cả các câu trên đều đúng
9 “Một mô hình dịch vụ cho phép người truy cập tài nguyên điện toán dùng chung (mạng, server, lưu trữ, ứng dụng, dịch vụ) thông qua kết nối mạng một cách dễ dàng, mọi lúc, mọi nơi, theo yêu cầu” Đây là mô tả về:
a Công nghệ dữ liệu lớn
b Mô hình điện toán đám mây c Trí tuệ nhân tạo
d Công nghệ chuỗi khối
10 Mục tiêu của một cuộc kiểm toán công nghệ thông tin là: a Đánh giá hiệu quả kinh doanh của doanh nghiệp
b Xác định chiến lược CNTT
Trang 3325 c Đánh giá tính toàn vẹn, bảo mật và sẵn sàng của hệ thống thông tin và dữ liệu
d Tất cả các câu đều đúng
C CÂU HỎI ĐÚNG/SAI VÀ GIẢI THÍCH
1 Kiểm toán CNTT không bao gồm việc xác định các điểm yếu trong mạng hệ thống và tạo kế hoạch hành động để ngăn chặn các vi phạm bảo mật trong công nghệ
2 Kiểm toán CNTT có thể được tiến hành như một cuộc kiểm toán riêng biệt, và cũng có thể tiến hành như là một thành phần trong một cuộc kiểm toán báo cáo tài chính, kiểm toán hoạt động hay kiểm toán tuân thủ
3 Kiểm toán viên CNTT không bao giờ làm việc với kiểm toán viên độc lập
4 Kiểm toán viên CNTT có khả năng có thể làm việc tại ngân hàng, doanh nghiệp hay tại công ty kiểm toán độc lập
5 Kiểm soát trong môi trường CNTT thường không áp dụng nguyên tắc phân chia trách nhiệm do được xử lý tự động trên hệ thống máy tính
6 Trong một cuộc kiểm toán CNTT, kiểm toán viên sẽ ưu tiên lựa chọn đánh giá theo các chuẩn mực/tiêu chuẩn do chính doanh nghiệp ban hành
7 Kiểm soát ứng dụng là các kiểm soát tự động nhằm đảm bảo tính chính xác, đầy đủ, hợp lệ của dữ liệu được thu thập, xử lý, lưu trữ, truyền tải và báo cáo
8 Kiểm toán trong môi trường công nghệ thông tin sẽ có quy trình kiểm toán khác biệt so với quy trình kiểm toán thông thường
9 Kết quả kiểm toán CNTT do các kiểm toán viên nội bộ thực hiện thường được báo cáo cho Trưởng bộ phận CNTT tại đơn vị
10 COBIT luôn là khung đánh giá trong các cuộc kiểm toán CNTT
D BÀI TẬP
Trang 3426
Bài 1: Phân tích 3 xu hướng mới nổi trong việc áp dụng công nghệ thông tin và ảnh
hưởng của xu hướng đó đến hoạt động kế toán, kiểm toán Liệt kê theo bảng dưới đây:
Bài 2: Phòng kiểm toán nội bộ của công ty CK đang thành lập một nhóm kiểm toán
chuyên về CNTT để thực hiện các cuộc kiểm toán CNTT Hãy cho biết
a Tại sao một doanh nghiệp cần các cuộc kiểm toán CNTT? Một cuộc kiểm toán CNTT có thể được thực hiện bởi các kiểm toán viên độc lập bên ngoài không?
b Các kiểm toán viên CNTT cần có những tiêu chuẩn về nghề nghiệp nào?
c Các tiêu chuẩn/chuẩn mực được sử dụng để đánh giá trong một cuộc kiểm toán CNTT là gì?
Bài 3: Hãy liệt kê 5 trang web bạn có thể tìm kiếm thông tin về:
a Kiểm toán CNTT
b An toàn thông tin và các vấn đề về quyền riêng tư c Quản trị CNTT
Trang 3527
Bài 4: Công ty Sky là một đơn vị trong lĩnh vực viễn thông Trong những năm gần đây,
công ty có những đổi mới đáng kể trong việc ứng dụng CNTT trong quản lý và hoạt động Bộ phận kiểm toán nội bộ của đơn vị này vừa lập kế hoạch kiểm toán cho năm 20X3 trong đó Hội đồng quản trị nhấn mạnh việc phải thực hiện ít nhất 2 cuộc kiểm toán
Bài 5: Cơ hội nghề nghiệp hiện tại cho kiểm toán viên CNTT là gì? Tìm kiếm trên
Internet và xác định ít nhất một hồ sơ/ mô tả công việc cho mỗi cơ hội nghề nghiệp được bạn xác định Đối với mỗi hồ sơ công việc được xác định, hãy liệt kê những điều sau đây trong biểu mẫu bảng:
a Mô tả công việc
b Nhiệm vụ, nhiệm vụ và trách nhiệm cần thiết c Yêu cầu công việc tối thiểu (hoặc bằng cấp)
d Yêu cầu giáo dục và / hoặc chứng nhận tối thiểu
e Kiến thức, kỹ năng và khả năng cần thiết, v.v
Trang 3628
CHƯƠNG 2: KIỂM SOÁT NỘI BỘ TRONG MÔI TRƯỜNG CÔNG NGHỆ THÔNG TIN
Mục tiêu chương
Sau khi nghiên cứu xong chương này, người đọc có thể:
- Xác định và đánh giá các rủi ro trong môi trường CNTT
- Nắm bắt được các khuôn khổ và chuẩn mực liên quan đến kiểm soát nội bộ
trong môi trường CNTT
- Hiểu được các mục tiêu kiểm soát và các hoạt động kiểm soát của kiểm soát nội
bộ trong môi trường CNTT
LÝ THUYẾT CHƯƠNG 2.1 Các rủi ro trong môi trường công nghệ thông tin
Trong bối cảnh của cuộc cách mạng công nghiệp 4.0, các doanh nghiệp đã và đang từng bước thực hiện chuyển đổi số toàn diện nhằm đáp ứng cho mục tiêu phát triển nhanh và bền vững của mình trong giai đoạn mới Song song với quá trình chuyển đổi này, các rủi ro liên quan đến hệ thống thông tin và công nghệ của doanh nghiệp cũng dần được
nhận diện, theo dõi và xử lý
Các rủi ro trong môi trường công nghệ thông tin có thể được phân loại theo từng
nhóm mục tiêu và được định nghĩa như sau:
Mục tiêu bảo vệ tài sản CNTT (an toàn thông tin, cơ sở hạ tầng, ứng dụng) cũng như quyền riêng tư
Rủi ro an ninh mạng: doanh nghiệp dễ bị tổn thương trước sự cố mạng có thể dẫn đến việc dữ liệu hoặc hệ thống bị xâm phạm hoặc gián đoạn, gây ảnh hưởng đáng kể đến các hoạt động kinh doanh
Trang 3729 Rủi ro truy cập: Quyền truy cập của doanh nghiệp vào thông tin (dữ liệu hoặc chương
trình) hoặc hệ thống được cấp (hoặc từ chối) không phù hợp Điều này bao gồm các rủi ro về việc phân chia nhiệm vụ không phù hợp, rủi ro liên quan đến tính toàn vẹn của dữ liệu cũng như rủi ro liên quan đến bảo mật thông tin
Rủi ro quyền riêng tư: Doanh nghiệp thiếu các biện pháp kiểm soát và giám sát đầy đủ đối với dữ liệu của mình cũng như việc tuân thủ các tiêu chuẩn về quyền riêng tư
tại các quốc gia mà doanh nghiệp đang hoạt động
Rủi ro quản trị dữ liệu: doanh nghiệp thiếu các quy trình đầy đủ để đảm bảo các dữ liệu quan trọng được xác định, phân tách, lưu trữ và báo cáo
Rủi ro toàn vẹn dữ liệu: Thiếu sự rõ ràng liên quan đến việc ủy quyền, tính đầy đủ và chính xác của các giao dịch và dữ liệu khác khi chúng được nhập liệu, xử lý, tóm tắt và
báo cáo bởi các hệ thống ứng dụng khác nhau do doanh nghiệp triển khai
Rủi ro người dùng cuối: doanh nghiệp thiếu quản trị, giám sát và kiểm soát đối với các ứng dụng, hệ thống và chương trình được sử dụng phi tập trung, dẫn đến dữ liệu quan trọng trong kinh doanh có khả năng gặp rủi ro do dữ liệu này không được quản lý
và bảo vệ ở mức độ thích hợp
Rủi ro ứng dụng đám mây: doanh nghiệp thiếu mô hình vận hành và chiến lược đám mây đủ mạnh dẫn đến tăng chi phí, các vấn đề về hiệu suất hệ thống và bảo mật hoặc
các vấn đề tuân thủ kiểm soát khác
Mục tiêu quản lý các rủi ro liên quan đến CNTT
Rủi ro quản lý sự cố bảo mật: Sự cố bảo mật không được xác định, phân loại, định tuyến và theo dõi đến khi khắc phục Giám sát việc khắc phục không được thực hiện hoặc thực hiện không hiệu quả để đảm bảo các sự cố được ưu tiên thích hợp và giải quyết kịp thời nhằm đảm bảo đáp ứng các yêu cầu dịch vụ cũng như phản hồi và phục hồi đầy đủ các hệ thống (khi thích hợp) khỏi các cuộc tấn công và thỏa hiệp (bảo mật)
Trang 3830 Rủi ro quản lý tổn thất hoặc gián đoạn dịch vụ: doanh nghiệp không được chuẩn bị đầy đủ cho một sự kiện có thể dẫn đến mất hoặc gián đoạn hoạt động, dịch vụ hoặc chức năng của doanh nghiệp; không có một quy trình rõ ràng để xác định, phân tích và
khắc phục các mối nguy hiểm nhằm ngăn chặn sự tái diễn trong tương lai
Rủi ro khôi phục thảm họa: Doanh nghiệp thiếu một kế hoạch khắc phục thảm họa toàn diện và được lập thành văn bản cho CNTT, điều này có thể dẫn đến sự gián đoạn
kéo dài đối với hiệu suất và dịch vụ CNTT
Mục tiêu đầu tư hiệu quả đối với danh mục tài sản và dịch vụ CNTT
Rủi ro quản lý vòng đời phát triển hệ thống (SDLC): Các nhà phát triển hệ thống có thể đang áp dụng một loạt các phương pháp mới (ví dụ: Agile, DevOps) và các mô hình sử dụng các đối tác bên thứ ba và thư viện mã mà không có chính sách chính thức rõ ràng cũng như cách tiếp cận tổng thể không được xác định và truyền đạt Điều này có thể dẫn đến sự không nhất quán hoặc không giải quyết được đầy đủ các yêu cầu kiểm soát (ví dụ: phát triển, thử nghiệm an toàn) trong quá trình phát triển ứng dụng và áp dụng công nghệ
Rủi ro quản lý tài sản CNTT: doanh nghiệp thiếu các quy trình đầy đủ để quản lý các yêu cầu, mua sắm, kế toán, triển khai, giám sát và thanh lý tài sản CNTT
Rủi ro thất bại dự án lớn: các dự án công nghệ lớn bị trì hoãn đáng kể và/hoặc không mang lại hiệu quả kinh doanh dự kiến
Rủi ro quản lý quá trình thay đổi ứng dụng: các thay đổi của ứng dụng đang áp dụng các yếu tố của phương pháp tiếp cận linh hoạt; tuy nhiên, các phương pháp không nhất quán đang được các nhóm dự án khác nhau áp dụng, dẫn đến sự thất vọng và nhầm lẫn của người dùng về kết quả
Rủi ro quản lý giấy phép phần mềm: việc kiểm soát mua sắm, theo dõi và giám sát không đầy đủ đối với phần mềm có thể dẫn đến việc không tuân thủ nghĩa vụ xin giấy phép hoặc phát sinh chi phí giấy phép phần mềm dưới mức tối ưu Việc sử dụng các
Trang 3931 sản phẩm không còn được hỗ trợ cũng có thể làm phát sinh các lỗ hổng bảo mật khi
bản vá lỗi không còn được cung cấp cho các giải pháp đó
Mục tiêu cung cấp các dịch vụ CNTT phù hợp, kịp thời với yêu cầu kinh doanh
Rủi ro hỗ trợ kinh doanh CNTT: Bộ phận CNTT không đáp ứng đầy đủ nhu cầu kinh doanh, dẫn đến ảnh hưởng đến năng suất của nhân viên, tổn hại đến danh tiếng hoặc thương hiệu của doanh nghiệp, bỏ lỡ sự đổi mới liên quan đến công nghệ và xác định cơ hội cũng như chi phí hoạt động cao hơn
Rủi to tự động hóa: các quy trình vận hành CNTT của doanh nghiệp chủ yếu là thủ công và do đó dễ xảy ra lỗi
Rủi ro vận hành: thiếu kỷ luật và tiêu chuẩn hóa các quy trình hoạt động đang gây ra
lỗi xử lý và gián đoạn kinh doanh
Rủi ro đổi mới công nghệ: doanh nghiệp không tận dụng các công nghệ mới trong mô hình kinh doanh của mình so với các đối thủ cạnh tranh hiện hữu và đối thủ mới
gia nhập ngành
Rủi ro hỗ trợ cơ sở hạ tầng nơi làm việc từ xa: doanh nghiệp thiếu các công cụ, công nghệ và nguồn lực đầy đủ để kích hoạt và hỗ trợ lực lượng lao động từ xa trong
thời gian dài
Rủi ro quản lý thay đổi: doanh nghiệp thiếu các phương pháp tiếp cận rõ ràng và được lập thành văn bản để sắp xếp, xác định, áp dụng và thực hiện các chiến lược đối
với các thay đổi và chuyển đổi CNTT phức tạp
Rủi ro quản lý dự án: đặc biệt với việc áp dụng các phương pháp thay đổi linh hoạt,
các dự án có thể không được quản lý nhất quán, dẫn đến các bên liên quan nhầm lẫn về trách nhiệm giám sát, điểm kiểm soát và hiện vật tiêu chuẩn của họ Điều này có thể làm suy yếu việc giám sát hiệu quả và chuyển giao thành công các lợi ích dự kiến
trong các mốc thời gian và nguồn lực đã hoạch định
Trang 40thiệp thủ công để kích hoạt các quy trình kinh doanh
Rủi ro phát triển và duy trì giao diện ứng dụng: Các giao diện ứng dụng có thể không được tiêu chuẩn hóa để đảm bảo tính đầy đủ và toàn vẹn trên toàn giao diện, xử lý lỗi nhất quán và cảnh báo cho các giải pháp lập kế hoạch và quản lý sự cố liên quan
để tạo điều kiện giám sát, báo cáo và can thiệp hiệu quả một cách kịp thời
Rủi ro công nghệ mới nổi: việc áp dụng các công nghệ mới nổi của doanh nghiệp không được quản lý, kiểm soát hoặc tích hợp đầy đủ với chiến lược CNTT rộng hơn và dẫn đến gián đoạn hoạt động kinh doanh Các ví dụ bao gồm: trí tuệ nhân tạo, tự động hóa quy trình bằng robot, điện toán lượng tử, thực tế ảo và công nghệ máy bay không
người lái, v.v
Rủi ro quản lý cơ sở hạ tầng/dịch vụ kỹ thuật: không có một quy trình tổng thể rõ ràng để vận hành, giám sát và duy trì các hệ thống và tài nguyên doanh nghiệp của doanh nghiệp để đảm bảo rằng các yêu cầu xử lý cho tất cả các chức năng kinh doanh
năng CNTT khác trong nội bộ hoặc thông qua các nhà cung cấp dịch vụ
Rủi ro hỗ trợ kỹ thuật số: các hoạt động hiện có của doanh nghiệp, cơ sở hạ tầng CNTT kế thừa và việc không nắm bắt đủ các khả năng và tư duy kỹ thuật số có thể