Định nghĩa kiểm toán CNTT – Kiểm toán CNTT có thể được định nghĩa là bất kỳ cuộc kiểm toán nào bao gồm đánh giá và đánh giá các hệ thống xử lý thông tin tự động, các quy trình không tự động liên quan và các giao diện giữa chúng. Lập kế hoạch kiểm toán CNTT bao gồm hai bước chính. Bước đầu tiên là thu thập thông tin và thực hiện một số kế hoạch, bước thứ hai là tìm hiểu về cấu trúc kiểm soát nội bộ hiện có. Ngày càng có nhiều tổ chức chuyển sang cách tiếp cận kiểm toán dựa trên rủi ro, được sử dụng để đánh giá rủi ro và giúp kiểm toán viên CNTT đưa ra quyết định về việc có nên thực hiện kiểm tra tuân thủ hoặc kiểm tra thực chất hay không. Theo cách tiếp cận dựa trên rủi ro, kiểm toán viên CNTT đang dựa vào kiểm soát nội bộ và hoạt động cũng như kiến thức của công ty hoặc doanh nghiệp. Loại quyết định đánh giá rủi ro này có thể giúp liên quan đến phân tích lợi ích chi phí của kiểm soát với rủi ro đã biết. Trong bước thu thập thông tin, nhóm kiểm toán viên CNTT cần xác định năm mục:
- Kiến thức về kinh doanh và công nghiệp
- Kết quả kiểm toán năm trước
- Thông tin tài chính gần đây
- Điều lệ quy định
- Đánh giá rủi ro cố hữu
Một lưu ý phụ về rủi ro vốn có, có nghĩa là rủi ro đó là lỗi tồn tại có thể là nguyên nhân hoặc đáng kể khi kết hợp với các lỗi khác gặp phải trong quá trình kiểm toán, giả sử không có kiểm soát bồi thường liên quan. Ví dụ, các bản cập nhật cơ sở dữ liệu phức tạp có nhiều khả năng bị ghi sai so với các bản đơn giản và các ổ đĩa ngón tay cái có nhiều khả năng bị đánh cắp (chiếm dụng) hơn các máy chủ phiến trong tủ máy chủ. Rủi ro cố hữu tồn tại độc lập với kiểm toán và có thể xảy ra do bản chất của hoạt động kinh doanh.
Trong phần Tìm hiểu về bước Cấu trúc kiểm soát nội bộ hiện tại Bước kiểm toán, kiểm toán viên CNTT cần xác định năm lĩnh vực / mục khác:
- Kiểm soát môi trường
- Thủ tục kiểm soát
- Đánh giá rủi ro phát hiện
- Kiểm soát đánh giá rủi ro
- Tổng rủi ro tương đương
Khi kiểm toán viên CNTT đã thu thập thông tin và các nhóm hiểu về điều khiển, thì họ sẵn sàng bắt đầu lập kế hoạch hoặc lựa chọn các khu vực để được kiểm toán. Hãy nhớ một trong những thông tin chính mà bạn sẽ cần trong các bước ban đầu là Phân tích tác động kinh doanh hiện tại (BIA), để hỗ trợ bạn trong việc chọn ứng dụng hỗ trợ các chức năng kinh doanh quan trọng hoặc nhạy cảm nhất.
Mục tiêu của kiểm toán CNTT
Thông thường, các mục tiêu kiểm toán CNTT tập trung vào việc chứng minh rằng các kiểm soát nội bộ tồn tại và đang hoạt động như mong đợi để giảm thiểu rủi ro kinh doanh. Các mục tiêu kiểm toán này bao gồm đảm bảo tuân thủ các yêu cầu pháp lý và quy định, cũng như tính bảo mật, tính toàn vẹn và tính sẵn có (CIA – không phải là cơ quan liên bang, mà là bảo mật thông tin) của hệ thống thông tin và dữ liệu.
Chiến lược kiểm toán CNTT
Có hai lĩnh vực để nói về vấn đề này, thứ nhất là nên thực hiện kiểm tra tuân thủ hay kiểm tra thực chất và thứ hai là về Làm thế nào để tôi có được bằng chứng cho phép tôi kiểm toán ứng dụng và báo cáo cho quản lý? sự khác biệt giữa tuân thủ và thử nghiệm thực chất? Kiểm tra tuân thủ đang thu thập bằng chứng để kiểm tra xem liệu một tổ chức có tuân theo các quy trình kiểm soát của mình hay không. Mặt khác, kiểm tra nội dung đang thu thập bằng chứng để đánh giá tính toàn vẹn của dữ liệu cá nhân và thông tin khác. Ví dụ, kiểm tra tuân thủ các điều khiển có thể được mô tả với ví dụ sau. Một tổ chức có một quy trình kiểm soát trong đó tuyên bố rằng tất cả các thay đổi ứng dụng phải thông qua kiểm soát thay đổi. Là một kiểm toán viên CNTT, bạn có thể lấy cấu hình đang chạy của bộ định tuyến cũng như bản sao của thế hệ -1 của tệp cấu hình cho cùng một bộ định tuyến, chạy một tệp so sánh để xem sự khác biệt là gì; và sau đó lấy những khác biệt đó và tìm kiếm tài liệu kiểm soát thay đổi hỗ trợ. Đừng ngạc nhiên khi thấy các quản trị viên mạng, khi họ chỉ đơn giản là sắp xếp lại các quy tắc, quên đặt thay đổi thông qua kiểm soát thay đổi. Để thử nghiệm nội dung, giả sử rằng một tổ chức có chính sách / thủ tục liên quan đến băng dự phòng tại vị trí lưu trữ ngoại vi bao gồm 3 thế hệ (ông, cha, con). Kiểm toán viên CNTT sẽ thực hiện kiểm kê vật lý các băng tại vị trí lưu trữ ngoại vi và so sánh kho đó với kho của tổ chức cũng như tìm cách đảm bảo rằng cả 3 thế hệ đều có mặt.
Khu vực thứ hai liên quan đến chương trình Làm thế nào để tôi có được bằng chứng cho phép tôi kiểm toán đơn đăng ký và báo cáo cho ban quản lý? Không có gì ngạc nhiên khi bạn cần phải:
- Xem xét cơ cấu tổ chức CNTT
- Xem lại các chính sách và quy trình CNTT
- Xem lại tiêu chuẩn CNTT
- Xem lại tài liệu CNTT
- Xem lại BIA của tổ chức
- Phỏng vấn nhân sự phù hợp
- Quan sát các quy trình và hiệu suất của nhân viên
- Kiểm tra, kết hợp bởi sự cần thiết, kiểm tra các điều khiển, và do đó bao gồm các kết quả của các bài kiểm tra.
Như một bình luận bổ sung về việc thu thập bằng chứng, quan sát những gì một cá nhân thực sự làm so với những gì họ phải làm, có thể cung cấp cho kiểm toán viên CNTT bằng chứng có giá trị khi kiểm soát việc thực hiện và hiểu người dùng. Ngoài ra thực hiện đi bộ có thể cung cấp cái nhìn sâu sắc có giá trị về cách thực hiện một chức năng cụ thể.
Ứng dụng so với điều khiển chung
Kiểm soát chung áp dụng cho tất cả các lĩnh vực của tổ chức bao gồm cơ sở hạ tầng CNTT và các dịch vụ hỗ trợ. Một số ví dụ về kiểm soát chung là:
- Kiểm soát kế toán nội bộ
- Kiểm soát hoạt động
- Kiểm soát hành chính
- Chính sách và thủ tục bảo mật tổ chức
- Chính sách tổng thể cho việc thiết kế và sử dụng các tài liệu và hồ sơ đầy đủ
- Các thủ tục và thực hành để đảm bảo các biện pháp bảo vệ đầy đủ khi truy cập
- Chính sách bảo mật vật lý và logic cho tất cả các trung tâm dữ liệu và tài nguyên CNTT
Kiểm soát ứng dụng đề cập đến các giao dịch và dữ liệu liên quan đến từng hệ thống ứng dụng dựa trên máy tính; do đó, chúng là cụ thể cho từng ứng dụng. Mục tiêu của kiểm soát ứng dụng là đảm bảo tính đầy đủ và chính xác của các hồ sơ và tính hợp lệ của các mục được thực hiện cho chúng. Các điều khiển ứng dụng là các điều khiển đối với các chức năng IPO (đầu vào, xử lý, đầu ra) và bao gồm các phương thức để đảm bảo rằng:
- Chỉ có dữ liệu đầy đủ, chính xác và hợp lệ được nhập và cập nhật trong một hệ thống ứng dụng
- Xử lý hoàn thành nhiệm vụ được thiết kế và chính xác
- Kết quả xử lý đáp ứng mong đợi
- Dữ liệu được duy trì
Là kiểm toán viên CNTT, các nhiệm vụ của bạn khi thực hiện kiểm toán kiểm soát ứng dụng nên bao gồm:
- Xác định các thành phần ứng dụng quan trọng; luồng giao dịch thông qua ứng dụng (hệ thống); và để có được sự hiểu biết chi tiết về ứng dụng bằng cách xem xét tất cả các tài liệu có sẵn và phỏng vấn nhân viên phù hợp, chẳng hạn như chủ sở hữu hệ thống, chủ sở hữu dữ liệu, người quản lý dữ liệu và quản trị viên hệ thống.
- Xác định các điểm mạnh kiểm soát ứng dụng và đánh giá tác động, nếu có, về các điểm yếu bạn tìm thấy trong các điều khiển ứng dụng
- Phát triển chiến lược thử nghiệm
- Kiểm tra các điều khiển để đảm bảo chức năng và hiệu quả của chúng
- Đánh giá kết quả kiểm tra của bạn và bất kỳ bằng chứng kiểm toán nào khác để xác định xem các mục tiêu kiểm soát đã đạt được chưa
- Đánh giá ứng dụng chống lại các mục tiêu của quản lý cho hệ thống để đảm bảo hiệu quả và hiệu quả.
Đánh giá kiểm soát kiểm toán CNTT
Sau khi thu thập tất cả các bằng chứng, kiểm toán viên CNTT sẽ xem xét nó để xác định xem các hoạt động được kiểm toán có được kiểm soát tốt và hiệu quả hay không. Bây giờ đây là nơi đánh giá chủ quan và kinh nghiệm của bạn đi vào chơi. Ví dụ: bạn có thể tìm thấy điểm yếu ở một khu vực được bù đắp bằng sự kiểm soát rất mạnh ở khu vực lân cận khác. Trách nhiệm của bạn là kiểm toán viên CNTT phải báo cáo cả hai phát hiện này trong báo cáo kiểm toán của bạn.
Việc kiểm toán có thể thực hiện được
Vì vậy, những gì bao gồm trong tài liệu kiểm toán và kiểm toán viên CNTT cần làm gì sau khi kiểm toán kết thúc. Dưới đây là danh sách đồ giặt cần được đưa vào tài liệu kiểm toán của bạn:
- Lập kế hoạch và chuẩn bị phạm vi và mục tiêu kiểm toán
- Mô tả và / hoặc hướng dẫn về khu vực kiểm toán phạm vi
- Chương trình kiểm toán
- Các bước kiểm toán được thực hiện và thu thập bằng chứng kiểm toán
- Liệu các dịch vụ của kiểm toán viên và chuyên gia khác đã được sử dụng và đóng góp của họ
- Kết quả kiểm toán, kết luận và khuyến nghị
- Quan hệ tài liệu kiểm toán với nhận dạng tài liệu và ngày (tham chiếu chéo bằng chứng của bạn đến bước kiểm toán)
- Một bản sao của báo cáo được phát hành là kết quả của công việc kiểm toán
- Bằng chứng đánh giá giám sát kiểm toán
Khi bạn truyền đạt kết quả kiểm toán cho tổ chức, thông thường sẽ được thực hiện tại một cuộc phỏng vấn thoát, nơi bạn sẽ có cơ hội thảo luận với ban quản lý về bất kỳ phát hiện và khuyến nghị nào. Bạn cần phải hoàn toàn chắc chắn về:
- Các sự kiện được trình bày trong báo cáo là chính xác
- Các khuyến nghị là thực tế và hiệu quả chi phí, hoặc các lựa chọn thay thế đã được đàm phán với ban quản lý của tổ chức
- Ngày thực hiện được đề xuất sẽ được đồng ý cho các đề xuất bạn có trong báo cáo của mình.
Bài thuyết trình của bạn tại cuộc phỏng vấn thoát này sẽ bao gồm một bản tóm tắt điều hành cấp cao (như thứ Sáu sử dụng để nói, chỉ là sự thật, chỉ là sự thật). Và vì bất kỳ lý do gì, một hình ảnh đáng giá cả ngàn từ, do đó, một số slide PowerPoint hoặc đồ họa trong báo cáo của bạn.
Báo cáo kiểm toán của bạn nên được cấu trúc sao cho bao gồm:
- Giới thiệu (tóm tắt điều hành)
- Các phát hiện nằm trong một phần riêng biệt và được nhóm theo người nhận dự định
- Kết luận và ý kiến chung của bạn về tính thỏa đáng của các biện pháp kiểm soát đã được kiểm tra và mọi rủi ro tiềm ẩn đã được xác định
- Bất kỳ bảo lưu hoặc bằng cấp liên quan đến kiểm toán
- Kết quả và đề xuất chi tiết
Cuối cùng, có một vài cân nhắc khác mà bạn cần phải nhận thức được khi chuẩn bị và trình bày báo cáo cuối cùng của mình. Khán giả là ai Nếu báo cáo được gửi đến ủy ban kiểm toán, họ có thể không cần phải xem các chi tiết vụn vặt đi vào báo cáo của đơn vị kinh doanh địa phương. Bạn sẽ cần xác định các tiêu chí tổ chức, chuyên nghiệp và chính phủ được áp dụng như GAO-Yellow Book, CobiT hoặc NIST SP 800-53. Báo cáo của bạn sẽ muốn được kịp thời để khuyến khích hành động khắc phục kịp thời.
Và như một bình luận chia tay cuối cùng, cuối cùng, nếu trong quá trình kiểm toán CNTT, bạn bắt gặp một phát hiện có ý nghĩa quan trọng, nó cần được thông báo cho quản lý ngay lập tức, không phải vào cuối cuộc kiểm toán.