Tài liệu tham khảo: Kiểm toán công nghệ thông tin trong môi trường kiểm soát nội bộ

Các khuôn khổ về kiểm soát nội bộ trong môi trường công nghệ thông tin

Rủi ro An ninh mạng Rủi ro quản lý sự cố bảo mật Rủi ro quyền riêng tư Rủi ro giám sát việc tuân thủ quy định Rủi ro truy cập Rủi ro toàn vẹn dữ liệu Rủi ro khôi phục thảm họa Rủi ro quản trị dữ liệu Rủi ro bên thứ ba Rủi ro giám sát/kiểm toán CNTT, tuân thủ pháp luật và quy định. Thư viện cơ sở hạ tầng CNTT (the IT Infrastructure Library – ITIL) là một khuôn khổ thực hành tốt nhất (best practice) tập hợp các hướng dẫn thực hành chi tiết cho các hoạt động CNTT như quản lý dịch vụ CNTT (IT service management - ITSM) và quản lý tài sản CNTT (IT asset management - ITAM).

Mục tiêu kiểm soát

Các biện pháp kiểm soát chung bao gồm, nhưng không giới hạn ở, quản trị CNTT, quản lý rủi ro, quản lý tài nguyên, vận hành CNTT, phát triển và bảo trì ứng dụng, quản lý người dùng, bảo mật logic, bảo mật vật lý, quản lý thay đổi, sao lưu và phục hồi cũng như tính hoạt động liên tục của doanh nghiệp. Ngoài ra, có thể kể đến các kiểm soát phòng ngừa khác như “chặn các ký tự chữ cái được nhập vào các trường số”; kiểm soát truy cập bảo vệ dữ liệu nhạy cảm hoặc tài nguyên hệ thống khỏi những người không được ủy quyền; và các biện pháp kiểm soát kỹ thuật phức tạp như phần mềm chống vi-rút, tường lửa và hệ thống ngăn chặn xâm nhập,….

BÀI TẬP

Các biện pháp kiểm soát chung áp dụng cho tất cả các thành phần, quy trình và dữ liệu của hệ thống. Kiểm soát ứng dụng liên quan đến phạm vi của các quy trình kinh doanh hoặc hệ thống ứng dụng riêng lẻ và xoay quanh các yếu tố đầu vào, xử lý và đầu ra của từng ứng dụng cụ thể.

Các kỹ thuật kiểm toán có sự hỗ trợ của máy tính (CAATs) .1 Các loại kỹ thuật CAATs

Thông qua việc sử dụng các công nghệ, kiểm toán viên CNTT có thể chọn và phân tích các bộ dữ liệu để liên tục kiểm toán hoặc giám sát các dữ liệu quan trọng để tìm ra những bất thường nhằm đánh giá rủi ro của doanh nghiệp và đánh giá mức độ tuân thủ với các yêu cầu và quy định về kiểm soát. Ví dụ về kiểm soát đầu ra bao gồm thực hiện đối chiếu dữ liệu báo cáo (ví dụ: sổ cái chung với sổ cái phụ, v.v.), xem xét báo cáo về tính chính xác và đầy đủ (ví dụ: thực hiện so sánh trường dữ liệu chính, kiểm tra thông tin bị thiếu, v.v.) và bảo vệ chuyển dữ liệu để đảm bảo dữ liệu được truyền hoàn toàn và đầy đủ (ví dụ: mã hóa, v.v.).

Phát triển hệ thống công nghệ thông tin

• Quy trình phát triển hệ thống công nghệ thông tin
• Các phương thức tiếp cận về phát triển hệ thống công nghệ thông tin .1 Phát triển hệ thống thác nước
• Các rủi ro và kiểm soát đối với việc phát triển và thay đổi hệ thống công nghệ thông tin

Kiểm toán viên CNTT cần đảm bảo rằng cả người phát triển và người dùng đều đã kiểm tra kỹ lưỡng hệ thống để đảm bảo rằng hệ thống được cài đặt các biện pháp kiểm soát tích hợp cần thiết để đảm bảo hợp lý cho hoạt động đỳng đắn; cung cấp khả năng theo dừi cỏc sự kiện thông qua các hệ thống và do đó, hỗ trợ việc kiểm toán của hệ thống đang vận hành; và đáp ứng nhu cầu của người dùng và quản lý. Sau khi hệ thống được triển khai vào vận hành, kiểm toán viên CNTT có thể phỏng vấn hoặc khảo sát người dùng để: đánh giá hiệu quả của nó từ góc độ quy trình làm việc; xem lại quy trình phát hiện và sửa lỗi để xác nhận rằng chúng đang hoạt động như dự định; và thực hiện kiểm tra dữ liệu để xác nhận tính đầy đủ của quá trình xử lý giao dịch và dấu vết kiểm toán.

Kiểm toán hoạt động hệ thống thông tin 1. Mục tiêu kiểm toán

 Chức năng của bộ phận trợ giúp kém, chậm giải quyết các vấn đề của người dùng Nếu các rủi ro trên không thực hiện các biện pháp kiểm soát thích hợp sẽ có thể gây ra thiệt hại hoặc gián đoạn không cần thiết đối với xử lý dữ liệu của tổ chức và có thể dẫn đến sự thất bại của các quy trình quan trọng của tổ chức. • Cơ chế kiểm soát truy cập vật lý (ví dụ: thẻ truy cập, sinh trắc học, khóa và chìa khóa truyền thống, nhân viên bảo vệ, v.v.) được sử dụng để hạn chế và ghi lại quyền truy cập vào tòa nhà và phòng máy tính, và thẩm quyền thay đổi cơ chế như vậy được giới hạn cho các nhân viên thích hợp.

CÂU HỎI ĐÚNG SAI/GIẢI THÍCH

Việc sao lưu (back up) thông tin bằng điện toán đám mây tiềm ẩn rất nhiều nguy cơ về sự bảo mật của thông tin, nên tốt nhất doanh nghiệp chỉ nên sao lưu bằng các ổ cứng di động. Mục tiêu “Các hoạt động CNTT hỗ trợ việc lập kế hoạch đầy đủ, thực thi, giám sát và tính liên tục của các hệ thống, chương trình, và quy trình để đảm bảo việc xử lý và ghi nhận các giao dịch tài chính được đầy đủ, chính xác và hợp lệ” là mục tiêu quan trọng nhất trong các mục tiêu về kiểm toán và kiểm soát hệ thống thông tin trong doanh nghiệp.

BÀI TẬP Bài 1

Việc quan sát không mang lại bằng chứng có độ tin cậy cao nên kiểm toán viên CNTT thường không sử dụng thủ tục này khi thu thập bằng chứng kiểm toán hệ thống thông tin. Để thuận tiện cho việc xử lý thông tin, người giữ các tập tin và dữ liệu nên được cấp quyền truy cập vào hệ thống thay đổi các nội dung tập tin dữ liệu.

Các rủi ro và kiểm soát đối với an toàn thông tin

• An toàn thông tin và các rủi ro đối với an toàn thông tin 1 Mục tiêu của an toàn thông tin
• Kiểm soát nội bộ đối với an toàn thông tin

◾ Nếu các công cụ và kỹ thuật bảo mật logic không được triển khai, được cấu hình hoặc quản lý hợp lý, các hoạt động kiểm soát trong các luồng giao dịch quan trọng có thể không hiệu quả, sự phân chia nhiệm vụ không được thực thi và các nguồn thông tin quan trọng có thể được sửa đổi một cách không phù hợp, bị rò rỉ thông tin, không sẵn sàng khi cần thiết, và/hoặc xóa mà không được phép. Các thủ tục kiểm toán thủ công có thể bao gồm phỏng vấn nhân viên của tổ chức (ví dụ:. nhân viên an ninh, v.v.), thực hiện quét lỗ hổng bảo mật, xem xét các biện pháp kiểm soát truy cập hệ thống và ứng dụng, và phân tích truy cập vật lý vào các hệ thống, … Các thủ tục kiểm toán tự động thường bao gồm việc sử dụng Kỹ thuật kiểm toán có sự hỗ trợ của máy tính (CAATs) hoặc phần mềm để giúp kiểm toán viên xem xét và áp dụng các thử nghiệm kiểm soát, cũng như lựa chọn và phân tích dữ liệu trên máy vi tính cho các thử nghiệm kiểm toán cơ bản.

CÂU HỎI TRẮC NGHIỆM 1. An toàn thông tin được hiểu là

Cấu hình về tính an toàn của các ứng dụng, cơ sở dữ liệu, mạng, và hệ điều hành là đủ để bảo vệ khỏi các thay đổi không được phép có thể dẫn đến việc xử lý và ghi nhận thông tin tài chính không đầy đủ, không chính xác, và không hợp lệ. Kiểm tra lịch sử truy cập/ truy xuất thông tin có được ghi nhận lại và được rà soát định kỳ để đảm bảo phù hợp với các quy định về an toàn thông tin của doanh nghiệp hay không là thủ tục kiểm toán nhằm đánh giá về tính sẵn sàng của hệ thống công nghệ thông tin.