Kiểm toán CNTT (IT Audit) là một lĩnh vực mới mẻ ở Việt Nam và ngày càng được chú trọng do nhu cầu ứng dụng CNTT và chuyển đổi số bùng nổ trong kỷ nguyên cách mạng công nghiệp 4.0. Đặc biệt nghề này không bị ảnh hưởng bởi làn sóng AI như nhiều ngành nghề khác. Hãy cùng TIGO tìm hiểu bản chất và xu hướng của ngành nghề "hot" này nhé.
Trong những năm gần đây, việc ứng dụng và phát triển CNTT trong hoạt động quản lý và sản xuất kinh doanh của các cơ quan nhà nước, các tổ chức và doanh nghiệp ngày càng quan trọng. Vì vậy, quản lý rủi ro CNTT ngày càng được nâng cao trong các cơ quan, doanh nghiệp, thậm chí trở thành là một phần tất yếu quan trọng của quản trị doanh nghiệp, đóng vai trò quyết định cho sự thành công của hầu hết các tổ chức. Như một hệ quả, tính bảo mật, tính toàn vẹn, tính sẵn sàng và độ tin cậy của dữ liệu trên máy vi tính và các hệ thống xử lý, duy trì và báo cáo những dữ liệu này là một mối quan tâm lớn để kiểm toán.
Ở Việt Nam, khái niệm về kiểm toán CNTT còn khá mới mẻ, nhưng đối với nhiều nước phát triển trên thế giới thì đây là một công việc đã được thực hiện thường xuyên trong các tổ chức của chính phủ trong thời gian gần đây.
1. Khái niệm kiểm toán Công nghệ thông tin
Kiểm toán CNTT (Information Technology Audit, viết tắt IT Audit) là quá trình thu thập và đánh giá chứng cứ xác định một hệ thống máy tính đã được thiết kế để duy trì tính toàn vẹn dữ liệu, bảo vệ tài sản, cho phép các mục tiêu của tổ chức đạt được hiệu quả và sử dụng các nguồn lực một cách tối ưu. Việc thẩm định các bằng chứng thu nhằm xác định nếu hệ thống thông tin là các tài sản được bảo vệ an toàn, duy trì tính toàn vẹn dữ liệu và hoạt động có hiệu quả nhằm đạt các mục tiêu, mục đích của tổ chức. Kiểm toán viên IT phải biết các đặc tính của người sử dụng hệ thống thông tin và môi trường ra quyết định trong việc tổ chức được kiểm toán khi đánh giá hiệu quả của hệ thống bất kỳ.
Khi nhu cầu sử dụng các thiết bị máy tính ngày càng lớn thì tiềm năng cho các hệ thống lưu trữ tài liệu lại tăng lỗi lên rất nhiều, do đó gây ra chi phí rất lớn để tổ chức. Tính chất lặp đi lặp lại rất nhiều ứng dụng máy tính có nghĩa là từ các lỗi nhỏ có thể dẫn đến những tổn thất lớn. Điều này bắt buộc các kiểm toán viên phải kiểm tra các quá trình vô hình và để xác định các lỗ hổng trong hệ thống thông tin máy tính, thông qua các lỗi và sự bất thường, các chi phí liên quan có thể tăng cao.
Trong vai trò của người làm công tác kiểm toán CNTT, người kiểm toán viên sẽ kiểm tra và đánh giá tất cả các khía cạnh của hệ thống CNTT bao gồm các mạng kết nối, các ứng dụng, hệ thống an ninh, hệ thống truyền thông cũng như các hệ thống cấu thành nên cơ sở hạ tầng kỹ thuật khác của đơn vị. Về phạm vi, một cuộc kiểm toán CNTT có thể bao gồm kiểm toán hệ thống CNTT, kiểm toán dự án CNTT và kiểm toán trong môi trường CNTT. Kiểm toán CNTT có thể được vận dụng trong việc thực hiện kiểm toán báo cáo tài chính, kiểm toán hoạt động hoặc kiểm toán tuân thủ, được thực hiện bởi các kiểm toán viên độc lập, kiểm toán viên nội bộ hay kiểm toán viên nhà nước.
Kiểm soát nội bộ CNTT có giá trị lớn trong bất kỳ hệ thống máy tính nào và nó là một nhiệm vụ hết sức quan trọng cho một kiểm toán viên để thấy rằng việc kiểm soát nội bộ nên được đánh giá rủi ro để giảm tối đa tác động của rủi ro và xác định mức độ rủi ro mà tổ chức có thể chấp nhận được. Mặt khác, kiểm toán viên CNTT cần phải đánh giá đầy đủ các kiểm soát nội bộ trong hệ thống máy tính để giảm thiểu nguy cơ thiệt hại do sai sót, gian lận và các hành vi khác hoặc các thiên tai, sự cố làm cho hệ thống ngừng hoạt động.
Các lỗi kiểm toán CNTT phổ biến như:
- Không có chính sách hoặc chính sách lỗi thời.
- Không quét lỗ hổng hoặc kiểm tra thâm nhập.
- Không có xác thực 2 yếu tố để truy cập từ xa.
- Không có nhân viên chuyên trách chịu trách nhiệm bảo mật 100%, nó được chia sẻ giữa các nhân viên CNTT.
- Không có kế hoạch khắc phục thảm họa, kế hoạch kinh doanh liên tục đã được thử nghiệm và cập nhật.
- Không quản lý nhật ký tập trung.
- Không có IPS (Hệ thống ngăn chặn xâm nhập) hoặc IPS không được quản lý hoặc theo dõi đúng cách.
- Không có DLP (Ngăn ngừa mất dữ liệu) hoặc kiểm soát dữ liệu quan trọng tại các điểm cuối hoặc trong email hoặc các ứng dụng quan trọng.
- Không cập nhật với bản vá hệ điều hành, mạng và ứng dụng.
- Không có bản vẽ hệ thống và mạng hiện tại cho thấy kiến trúc mạng và luồng dữ liệu.
2. Nhu cầu kiểm toán Công nghệ thông tin
Khi các cơ quan, tổ chức chú trọng việc đầu tư lớn vào việc sử dụng các hệ thống thông tin thì họ trường đặt ra những mục tiêu và kỳ vọng nhất định cần đạt được. Một trong những mục tiêu, kỳ vọng chính của các cơ quan, tổ chức hay doanh nghiệp khi triển khai thực hiện ứng dụng CNTT là mong muốn có được giá trị của tổ chức thông qua việc giảm chi phí, tăng hiệu quả hoạt động, nâng cao chất lượng và tăng cung cấp dịch vụ. Thông thường, các mục tiêu trong việc sử dụng công nghệ để hỗ trợ quá trình quản lý kinh doanh bao gồm:
a. Tính bảo mật: Điều này thực sự quan trọng, vì từ đó sẽ giúp tổ chức xác định được cách thức kiểm soát nghiêm ngặt về việc tiếp cận loại thông tin này.
b. Tính toàn vẹn: Tính chính xác và đầy đủ của thông tin cũng như giá trị của nó phù hợp với các giá trị kinh doanh hay kỳ vọng của tổ chức. Đây là một mục tiêu kiểm toán quan trọng bởi nó cung cấp sự bảo đảm cho các tổ chức, từ sự tin cậy này các tổ chức có thể lựa chọn và đưa ra các quyết định đúng đắn.
c. Tính sẵn có: Tính sẵn có liên quan đến thông tin đang có sẵn khi yêu cầu của quá trình kinh doanh hiện tại và trong tương lai.
d. Sự đáng tin cậy: Thể hiện mức độ nhất quán của một hệ thống hoặc khả năng của một hệ thống để thực hiện các chức năng cần thiết của mình theo điều kiện quy định.
3. Mục tiêu kiểm toán Công nghệ thông tin
Mục tiêu của việc thực hiện một cuộc kiểm toán CNTT là để đánh giá hệ thống thông tin máy tính của một tổ chức được kiểm toán (CIS - Center for Internet Security) để xác định tính kịp thời, chính xác, đầy đủ và đáng tin cậy kết quả đầu ra thông tin, cũng như đảm bảo tính bí mật, tính toàn vẹn, tính sẵn sàng và độ tin cậy của dữ liệu cũng như việc tuân thủ các yêu cầu pháp lý và các quy định có liên quan. Mục tiêu kiểm toán sẽ khác nhau tùy theo tính chất, chủng loại kiểm toán tức là một báo cáo tài chính hoặc kiểm toán hoạt động. Nó cũng giống như một thành phần của việc kiểm toán báo cáo tài chính. Bao gồm:
- Hiểu được quy trình quản lý việc sử dụng dịch vụ CNTT nhằm cải thiện quy trình kinh doanh quan trọng của doanh nghiệp, tổ chức;
- Hiểu được tầm ảnh hưởng của CNTT vào quy trình kinh doanh quan trọng của tổ chức, bao gồm cả sự phát triển của báo cáo tài chính và rủi ro kinh doanh liên quan đến các quá trình này;
- Hiểu được cách các tổ chức sử dụng CNTT cho việc xử lý, lưu trữ và truyền thông tin tài chính ảnh hưởng đến các hệ thống kiểm soát nội bộ và xem xét về nguy cơ vốn và kiểm soát rủi ro;
- Xác định và hiểu được điều khiển quản lý sử dụng để đo lường, quản lý và kiểm soát các quá trình ứng dụng CNTT;
- Kết luận về hiệu quả của việc kiểm soát đối với các quy trình CNTT có tác động trực tiếp và quan trọng đến việc xử lý thông tin tài chính.
Trong trường hợp kiểm toán CNTT có thêm yếu tố kiểm toán hoạt động thì mục tiêu của kiểm toán được xác định như sau:
- Nếu kiểm toán hoạt động có trọng tâm là CNTT thì mục tiêu của kiểm toán sẽ chú trọng việc đảm bảo tất cả các khía cạnh của hệ thống CNTT đều được thực thi một cách hiệu quả.
- Các kiểm toán hoạt động khác có thể được kiểm tra tính hiệu quả trong suốt quá trình hoạt động vì CNTT được coi là rất quan trọng trong các tổ chức vì có khả năng cung cấp các dịch vụ. Trọng tâm của kiểm toán CNTT là để đảm bảo rằng các tổ chức có thể dựa vào hệ thống CNTT để giúp cung cấp các dịch vụ.
4. Quy trình kiểm toán Công nghệ thông tin
Quy trình kiểm toán CNTT tương tự như kiểm toán báo cáo tài chính hay kiểm toán nội bộ. Tuy nhiên, mục đích của kiểm toán báo cáo tài chính là xác nhận việc báo cáo tài chính có được lập trên cơ sở chuẩn mực và chế độ kiểm toán hiện hành, tuân thủ pháp luật liên quan và phản ánh trung thực, hợp lý trên các khía cạnh trọng yếu hay không. Còn mục đích của kiểm toán CNTT là xem xét và đánh giá tính sẵn sàng, tính bảo mật và tính chính trực thông qua việc trả lời những câu hỏi sau: Hệ thống máy tính có sẵn sàng cho hoạt động sản xuất kinh doanh tại mọi thời điểm; có phải chỉ những người có thẩm quyền mới được sử dụng không; đã cung cấp thông tin chính xác, trung thực và kịp thời không...
Quy trình kiểm toán CNTT:
4.1. Lập kế hoạch kiểm toán
Kiểm toán viên lập kế hoạch kiểm toán để đảm bảo cuộc kiểm toán đúng thời hạn, phát hiện gian lận, rủi ro và những vấn đề tiềm ẩn. Mặt khác, để đánh giá được sự thành công của cuộc kiểm toán hệ thống, kiểm toán viên cần xác định phạm vi và mục tiêu của cuộc kiểm toán thông qua các thử nghiệm về hệ thống thông tin. Để xác định mục tiêu kiểm toán và đảm bảo thông tin thu thập được có hiệu quả, kiểm toán viên cần xác định mức trọng yếu, đánh giá rủi ro kiểm toán nhằm tìm ra những bằng chứng thích hợp và đầy đủ trong suốt quá trình kiểm toán.
Khi xác định mức độ trọng yếu, kiểm toán viên có thể kiểm toán các khoản mục chi tiền tệ như kiểm soát và xử lý phần cứng, kiểm soát phần logic, kiểm soát hệ thống quản lý nhân sự, kiểm soát nhà máy, kiểm soát mật mã. Đối với các nghiệp vụ liên quan đến tiền tệ, cần lưu ý một số thước đo: Quy trình kinh doanh mà hệ thống máy tính hỗ trợ chủ yếu; Chi phí đầu tư và chi phí hoạt động của hệ thống (phần cứng, phần mềm, dịch vụ của bên thứ ba…); Chi phí ẩn của các sai sót; Số lượng nghiệp vụ hay yêu cầu được xử lý trong mọi thời kỳ; Mức phạt cho những hành vi không tuân thủ quy định của pháp luật hay của đơn vị.
Kiểm toán viên phải đánh giá rủi ro kiểm toán và xác định các thủ tục kiểm toán nhằm giảm thiểu các rủi ro kiểm toán xuống thấp tới mức có thể chấp nhận được, cần xem xét những vấn đề chung và cụ thể của hệ thống thông tin để đánh giá rủi ro tiềm tàng.
Các loại bằng chứng kiểm toán cần thu thập khi kiểm toán hệ thống về cơ bản là dựa vào mức độ rủi ro mà kiểm toán viên đánh giá, bao gồm: bằng chứng quan sát, sự bảo mật của hệ thống máy tính, bằng chứng tài liệu, các mẫu tin về nghiệp vụ kinh tế phát sinh, các chính sách, các lưu đồ hệ thống, bằng chứng từ việc phân tích (thu thập được qua việc so sánh các tỷ lệ lỗi giữa phần mềm, các nghiệp vụ kinh tế và người sử dụng). Để đánh giá hệ thống kiểm soát nội bộ, kiểm toán viên xem xét môi trường kiểm soát, hệ thống máy tính và các thủ tục kiểm soát.
4.2. Thực hiện kiểm toán
Kiểm toán CNTT được thực hiện chung với kiểm toán báo cáo tài chính hay kiểm toán nội bộ và có quy trình tương tự. Nhưng trong cùng quy trình kiểm toán, kiểm toán CNTT có mục đích xem xét, đánh giá hệ thống thông tin của doanh nghiệp. Có thể chia hệ thống phương pháp kiểm toán thành hai loại, đó là phương pháp thử nghiệm cơ bản và phương pháp thử nghiệm kiểm soát.
Phương pháp thử nghiệm cơ bản được thiết kế và sử dụng nhằm mục đích thu thập các bằng chứng có liên quan đến các dữ liệu do hệ thống kiểm toán của đơn vị được kiểm toán cung cấp. Đặc trưng cơ bản của phương pháp này là việc tiến hành thử nghiệm, đánh giá đều được lựa vào số liệu, các thông tin trong báo cáo tài chính và hệ thống kế toán của đơn vị.
Áp dụng phương pháp phân tích trong khi lập kế hoạch kiểm toán có thể sử dụng cả số liệu tài chính và các thông tin không mang tính chất tài chính như số lao động, diện tích kho tàng, diện tích khu bán hàng, công tác tiến độ sản xuất và các thông tin tương tự.
Đối với phương pháp thử nghiệm kiểm soát, các kiểm toán viên nghiên cứu, đánh giá hệ thống kiểm soát nội bộ là để đánh giá mức độ rủi ro trong kiểm soát, làm cơ sở cho việc lựa chọn các phương pháp kiểm toán thích hợp. Tùy thuộc mức độ thỏa mãn về kiểm soát, kiểm toán viên có thể áp dụng các phương pháp kiểm toán tuân thủ cụ thể sau:
- Phương pháp cập nhật cho các hệ thống. Kỹ thuật này đòi hỏi việc kiểm tra chi tiết một loạt các nghiệp vụ cùng loại ghi chép từ đầu đến cuối để xem xét, đánh giá các bước kiểm soát áp dụng trong hệ thống điều hành nội bộ. Kiểm tra hệ thống cho phép đánh giá lại mức độ rủi ro kiểm toán và thiết kế các thử nghiệm chi tiết về kiểm soát.
- Các thử nghiệm chi tiết đối với kiểm soát. Thử nghiệm chi tiết về kiểm soát là các thử nghiệm được tiến hành để thu thập bằng chứng về sự hữu hiệu của quy chế kiểm soát và các bước kiểm soát, làm cơ sở cho việc thiết kế phương pháp thử nghiệm kiểm toán cơ bản. Các thử nghiệm chi tiết đối với kiểm soát chủ yếu cũng được thực hiện trên cơ sở kiểm tra mẫu các quy chế kiểm soát nội bộ.
5. Khó khăn, vướng mắc khi thực hiện kiểm toán Công nghệ thông tin
Thực chất, việc thực hiện kiểm toán CNTT như là một thành phần của việc thực hiện tổng thể một cuộc kiểm toán tài chính toàn diện. Vì vậy, các tổ chức cần phải nhận thức được một số rủi ro có thể phải đối mặt. Trong cách tiếp cận dựa trên những rủi ro có thể gặp phải, kiểm toán viên có thể tập trung vào những lĩnh vực có mức rủi ro cao nhất để tổ chức không phải trình bày báo cáo tài chính một cách hợp lý và đúng sự thật.
Trong quá trình kiểm toán, kiểm toán viên CNTT cần nhận thức được các khu vực chung và những rủi ro tiềm tàng:
- Các hoạt động được kiểm toán là những hoạt động được phát triển và ứng dụng riêng của các tổ chức;
- Người sử dụng có thể cấp quyền truy cập vào các chức năng hay dữ liệu cụ thể;
- Người sử dụng có khả năng để thay đổi dữ liệu và xây dựng báo cáo (ví dụ: để thay đổi dữ liệu hay công thức trên bảng tính); điều khiển CIS tràn lan làm ảnh hưởng đến độ tin cậy của tất cả các hệ thống ứng dụng được xử lý trên máy tính. Các tác động của các điều khiển phụ thuộc vào cả hai mức độ mà họ áp dụng cho các ứng dụng cụ thể và mức độ mà chất lượng của các điều khiển là phù hợp với mức độ rủi ro gắn liền với ứng dụng;
- Bản chất và phạm vi của tài liệu liên quan đến CIS là thích hợp do sự phức tạp của những rủi ro vốn và phải đối mặt với môi trường CIS;
Các yếu tố ảnh hưởng đến chất lượng kiểm toán, ví dụ như một môi trường không cần giấy tờ, có thể làm tăng tiềm năng cho các bằng chứng kiểm toán là không đầy đủ, không đáng tin cậy hoặc khó khăn để có được.
6. Những vấn đề đặt ra đối với công tác đào tạo nguồn nhân lực kiểm toán CNTT
Tại Việt Nam, chương trình đào tạo ở bậc đại học ngành Kế toán - Kiểm toán ở đa số các trường còn chưa chú trọng đến việc trang bị cho sinh viên về kiến thức và kỹ thuật kiểm toán CNTT.
Đào tạo nguồn nhân lực trong lĩnh vực kiểm toán CNTT vẫn đang còn nhiều hạn chế, cần được thay đổi và hoàn thiện nhằm nâng cao chất lượng đội ngũ kiểm toán viên CNTT lành nghề. Các kỹ năng và kiến thức cần thiết mà một kiểm toán viên cần có, bao gồm:
- Khả năng nắm bắt các quy trình kinh doanh chính của doanh nghiệp;
- Khả năng nắm bắt các quy trình công nghệ thông tin chủ yếu (nhằm giúp kiểm toán viên xác định các rủi ro công nghệ thông tin ưu tiên);
- Khả năng phân tích và suy luận logic (giúp kiểm toán viên sử dụng việc phân tích dữ liệu và các công cụ mô hình hóa);
- Có kiến thức và hiểu biết về an toàn dữ liệu và quy trình kiểm toán công nghệ thông tin;
- Kỹ năng giao tiếp để giải thích các vấn đề về chuyên môn phức tạp cho các đối tượng không phải chuyên ngành;
- Các kỹ năng khác: Giải quyết vấn đề phức tạp, tư duy phản biện, khả năng sáng tạo, linh hoạt trong tư duy.
Các chứng chỉ nghề nghiệp quốc tế uy tín trong lĩnh vực kiểm toán CNTT và an toàn thông tin
- CISA (Certified Information Systems Auditor) – Đây là chứng chỉ được cấp bởi ISACA. Hầu hết các kiểm toán viên CNTT uy tín trên thế giới đều sở hữu chứng chỉ này.
- CRISC (Certified in Risk and Information Systems Control)
- CISSP (Certified Information Systems Security Professional) Thông tin chi tiết về các chứng chỉ và yêu cầu cấp phát được đăng tải tại website của ISACA (http://isaca.org).
Các cơ hội việc làm cho nghề kiểm toán CNTT tại Việt Nam
- Nhóm các Big4 Consulting Firms (các công ty chuyên về tư vấn, kiểm toán): Deloitte, Ernst and Young, KPMG, PwC. Các công ty này hiện đều tuyển dụng rất nhiều vị trí trong lĩnh vực Kiểm toán CNTT.
- Nhóm các tổ chức tín dụng (ngân hàng, các công ty tài chính, chứng khoán…), các công ty, tập đoàn có vốn đầu tư nước ngoài, các công ty niêm yết trên sàn chứng khoán hoặc các công ty khác quan tâm đến rủi ro của hệ thống CNTT.
Các vị trí việc làm dành cho sinh viên mới tốt nghiệp là: Chuyên viên Kiểm toán CNTT, Chuyên viên Phân tích rủi ro CNTT, Chuyên viên Tư vấn rủi ro CNTT…). Đối với định hướng nghề nghiệp lâu dài, bạn sẽ có nhiều hướng phát triển như Chuyên viên cao cấp/Trưởng phòng/Giám đốc Rủi ro CNTT, Chuyên viên Tư vấn cao cấp/Quản lý/Giám đốc Kiểm toán CNTT, CIO/CTO…
7. Kết luận
Kiểm toán CNTT tuy không phải là lĩnh vực mới, nhưng tại Việt Nam, lĩnh vực này chưa thực sự có nhiều chuyên gia/đơn vị có kinh nghiệm. Chính vì vậy, công tác đào tạo nguồn nhân lực trong lĩnh vực kiểm toán cần có sự thay đổi nhằm đào tạo ra một lực lượng nhân sự kiểm toán có trình độ, có hiểu biết để đáp ứng nhu cầu phát triển của nền kinh tế đất nước.
Thông thường, nhân sự làm việc trong lĩnh vực IT sẽ làm việc chuyên biệt theo các nhánh nghề nghiệp. Tuy nhiên, đối với Kiểm toán viên CNTT, nhân sự sẽ có hiểu biết rộng và có góc nhìn toàn cảnh về IT và vận hành doanh nghiệp. Hy vọng bài giới thiệu này sẽ giúp bạn hình dung rõ ràng hơn về IT Audit và các cơ hội nghề nghiệp đang đón chờ.