KIỂM TOÁN RỦI RO CÔNG NGHỆ THÔNG TIN TRONG DOANH NGHIỆP

Để kiểm toán nội bộ có hiệu quả, các rủi ro của mỗi cấu phần về công nghệ cần phải được xem xét và ưu tiên, và các nguồn lực kiểm toán phải được phân bổ cho từng cấu phần theo những rủi ro đó. Mặc dù mỗi tổ chức là khác nhau thì dưới đây là các cấu phần quan trọng trong các hệ thống công nghệ của hầu hết các tổ chức:

  1. Cấu phần quản lý CNTT. Là tập hợp về con người, chính sách, thủ tục và quy trình quản lý dịch vụ và cơ sở CNTT. Thành phần này tập trung vào con người và công việc hơn là thiết lập hệ thống kỹ thuật.
  2. Cấu phần về cơ sở hạ tầng kỹ thuật. Tức là công nghệ làm nền tảng, hỗ trợ và cho phép các ứng dụng kinh doanh chính. Nhìn chung sẽ bao gồm hệ điều hành, tệp và cơ sở dữ liệu, mạng và trung tâm dữ liệu.
  3. Cấu phần các ứng dụng. Các chương trình thực hiện các nhiệm vụ cụ thể liên quan đến hoạt động kinh doanh. Chúng thường được phân thành hai loại: giao dịch và hỗ trợ.
  4. Cấu phần các kết nối bên ngoài. Mạng kết nối của công ty với bên ngoài (ví dụ: thông qua Internet, điện toán đám mây, phần mềm dưới dạng dịch vụ, mạng được liên kết của bên thứ ba).

Mặc dù công nghệ Thông tin có khả năng loại bỏ các rủi ro của một hệ thống làm việc thủ công, nhưng nó cũng có những rủi ro riêng của chính nó. Ngoài ra, do tính chất của hoạt động CNTT, những rủi ro này cũng có thể ảnh hưởng lẫn nhau. Dưới đây là một số loại rủi ro thường gặp:

  1. Dấu vết kiểm toán vật lý được thay bằng dấu vết dữ liệu. Nhiều tài liệu bản cứng không được sử dụng trong kiểm toán, và các kiểm soát phải được sử dụng để bù đắp.
  2. Lỗi phần cứng/ phần mềm. Việc mất dữ liệu vĩnh viễn do tác động của môi trường, mất mát, xáo trộn nhân sự, các thảm họa… là rất tốn kém.
  3. Lỗi hệ thống. CNTT có thể giúp làm giảm các sai số ngẫu nhiên (như trong quá trình nhập liệu), tuy nhiên hệ thống tự động lại có thể bị lỗi lặp (ví dụ như thông qua mã bị lỗi…)
  4. Ít có sự can thiệp của con người/ Ít phân công trách nhiệm. Nhiều hệ thống CNTT giảm chi phí lao động thông qua tự động hóa. Việc giảm thiểu kiểm soát bao gồm rà soát phân công trách nhiệm và yêu cầu người dùng cuối xem xét đầu ra ở mức đủ thập để tìm ra lỗi.
  5. Ủy quyền truy cập. Tăng khả năng truy cập các thông tin nhạy cảm từ xa cũng làm tăng nguy cơ truy cập trái phép.
  6. Ủy quyền giao dịch tự động. Các giao dịch đã từng được rà soát và ủy quyền trước đây (chẳng hạn các quyết định về tín dụng) có thể được điều khiển hoàn toàn bằng một ứng dụng máy tính. Tính bảo đảm của ủy quyền phụ thuộc vào việc kiểm soát phần mềm và tính toàn vẹn của file chính.
  7. Hành vi có hại có chủ ý. Những nhân viên không trung thực hoặc bất mãn với quyền truy cập cũng như các cá nhân bên ngoài có động cơ về lợi nhuận hoặc phá hoại có thể gây ra thiệt hại đáng kể cho một tổ chức. Tính tin cậy của người trong cuộc cũng là một rủi ro đáng kể.
  • Kiểm toán rủi ro công nghệ thông tin trong doanh nghiệp (Ảnh minh họa)
  • Kiểm toán rủi ro công nghệ thông tin trong doanh nghiệp (Ảnh minh họa)

    Khi các công việc kiểm toán CNTT cụ thể được lên kế hoạch thì chúng có thể được phân loại dựa trên các quy trình của tổ chức hoặc một khung tiêu chuẩn hóa. Không cần phương pháp riêng biệt để giải quyết các rủi ro liên quan đến CNTT. Việc sử dụng cùng một phương pháp cho tất cả các loại rủi ro là quan trọng để đảm bảo rằng có một quy trình đánh giá rủi ro kiểm toán nội bộ nhất quán được sử dụng trong chức năng kiểm toán nội bộ.