Trong phần này, chúng ta sẽ thảo luận về các giai đoạn cơ bản của quá trình kiểm toán an toàn thông tin, cách tiến hành từng giai đoạn một cách hiệu quả theo những nội dung sau:

  • Các hình thức kiểm soát nội bộ (Internal Controls).
  • Lựa chọn hạng mục tiến hành kiểm toán.
  • Cách thức tiến hành các giai đoạn cơ bản của công cuộc đánh giá:
  1. Lập kế hoạch
  2. Thu thập thông tin, đối chiếu tài liệu và thực tế.
  3. Phát hiện và xác định các vấn đề.
  4. Phát triển giải pháp.
  5. Lập báo cáo.
  6. Theo dõi các vấn đề đã được xử lý và còn tồn tại.

——————————————————–

KIỂM SOÁT NỘI BỘ (INTERNAL CONTROLS)

Kiểm soát nội bộ là gì? Nhiệm vụ của bộ phận kiểm toán nội bộ là gì? Nếu bạn không biết trả lời cho câu hỏi này, bạn sẽ thấy khó hình dung được các công việc của bộ phận này.

Kiểm soát nội bộ, được hiểu đơn giản theo thuật ngữ, là các cơ chế đảm bảo quy trình hoạt động bình thường trong công ty. Mọi hệ thống và quy trình trong một công ty tồn tại cho một số mục đích kinh doanh cụ thể. Các kiểm toán viên phải tìm kiếm sự tồn tại của rủi ro đối với những mục đích và sau đó đảm bảo các vấn đề được kiểm soát và giảm thiểu thiệt hại cho công ty.

PHÂN LOẠI CÁC HÌNH THỨC KIỂM SOÁT NỘI BỘ

Các hình thức kiểm soát có thể là phòng ngừa (preventive), phát hiện (detective) hoặc phản ứng (reactive). Những biện pháp bổ sung bao gồm: quản trị (administrative), kỹ thuật (technical), và vật lý (physical).

Ví dụ:

  • Biện pháp quản trị bao gồm các chính sách và quy trình quản lý. Biện pháp kỹ thuật sử dụng các công cụ và phần mềm để đảm bảo an ninh (chẳng hạn như mật khẩu, phần mềm quản trị, …). An ninh vật lý bao gồm các kiểm soát chẳng hạn như nhân viên an ninh, kiểm tra vào/ra, khóa cửa, … (Hình 1.1).

Hình 1.1 Các hình thức kiểm soát nội bộ và biện pháp bổ sung
  1. Preventive Controls

Hình thức kiểm soát phòng ngừa giúp ngăn chặn một sự kiện xấu có thể xảy ra.

Ví dụ: yêu cầu ID người dùng và mật khẩu để truy cập vào hệ thống là kiểm soát phòng ngừa. Nó giúp ngăn chặn (về mặt lý thuyết) những người truy cập trái phép vào hệ thống. Từ quan điểm lý thuyết, các biện pháp kiểm soát phòng ngừa luôn được ưa thích sử dụng vì những lí do rõ ràng. Tuy nhiên, khi bạn thực hiện kiểm toán, hãy nhớ rằng các biện pháp kiểm soát phòng ngừa không phải lúc nào cũng là giải pháp hiệu quả nhất về chi phí và có thể có một hình thức kiểm soát khác đem lại ý nghĩa hơn xuất phát từ quan điểm chi phí/lợi ích (cost/benefit).

  1. Detective Controls

Hình thức phát hiện giúp ghi lại một sự kiện xấu sau khi nó đã xảy ra.

Ví dụ: ghi nhật ký tất cả các hoạt động được thực hiện trên một hệ thống sẽ cho phép bạn xem xét các bản ghi để tìm kiếm các hoạt động bất thường hoặc nghi ngờ gây ảnh hưởng tới an toàn thông tin trong hệ thống.

  1. Reactive Controls (Corrective Controls)

Hình thức kiểm soát phản ứng hay khắc phục được đánh giá là nằm giữa các biện pháp kiểm soát phòng ngừa và phát hiện. Hình thức này không giúp ngăn chặn một sự kiện xấu xảy ra, nhưng lại cung cấp một cách có hệ thống để phát hiện khi những sự kiện xấu đã xảy ra và khắc phục nó, đó là lý do tại sao đôi khi chúng được gọi là kiểm soát khắc phục.

Ví dụ: Bạn có thể có một hệ thống Anti-virus tập trung để phát hiện xem mỗi người dùng PC có cài đặt các signature mới nhất hay không. Lý tưởng nhất là có thể không cho phép truy cập mạng đối với bất kỳ máy tính nào chưa cài đặt/không tuân thủ chính sách này. Tuy nhiên, điều này có thể không thực tế từ quan điểm business, do đó, một giải pháp thay thế được đưa ra sử dụng là ghi nhật ký lại những máy tính chưa cài đặt và thực hiện phân loại theo chính sách của tổ chức để các máy tính đều tuân thủ chính sách được đưa ra hoặc nếu chưa đáp ứng thì không được truy cập tới mạng.

LỰA CHỌN HẠNG MỤC NÀO CẦN KIỂM TOÁN

Một trong những nhiệm vụ quan trọng nhất của bộ phận kiểm toán nội bộ là xác định những gì cần kiểm toán. Trong phần này, chúng ta sẽ tập trung vào quy trình kiểm toán chính thức hình thức bao gồm đầy đủ các kiểm toán viên, các báo cáo công việc, báo cáo kiểm toán, danh sách các vấn đề và kế hoạch hành động để giải quyết các vấn đề đó.

Kế hoạch kiểm toán phải tập trung vào những hạng mục có nhiều rủi ro nhất và các hạng mục đem lại giá trị cao nhất. Bạn cần phải sử dụng nguồn lực 1 cách hiệu để xem xét các hạng mục quan trọng nhất. Điều này không nên được thực hiện bằng cách tùy ý, thay vào đó, đây phải là một kế hoạch được xây dựng hợp lý và có phương pháp nhằm đảm bảo rằng tất cả các yếu tố đã được xem xét.

CÁC GIAI ĐOẠN CƠ BẢN CỦA CÔNG CUỘC KIỂM TOÁN

  1. Lập kế hoạch

Trước khi bắt đầu làm việc đối với bất kỳ công cuộc kiểm toán nào, chúng ta cần phải xem xét lập ra một kế hoạch. Nếu quy trình lập kế hoạch được thực hiện hiệu quả, đó sẽ là bước thiết lập đầu tiên để hoàn thành được công cuộc kiểm toán. Ngược lại, nếu việc lập kế hoạch không được thực hiện sẽ khiến cho công việc không có định hướng rõ ràng, những nỗ lực làm việc của nhóm kiểm toán có thể dẫn đến thất bại.

Mục tiêu của quá trình lập kế hoạch là xác định các mục tiêu và phạm vi của việc kiểm toán. Dưới đây là một số thông tin cơ bản nên được tham chiếu cho quy trình lập kế hoạch:

  • Thông tin từ người quản lý kiểm toán (Thời gian phối hợp, key contacts, …)
  • Khảo sát sơ bộ. (Sơ đồ tổng quan, chức năng hệ thống, quy trình vận hành, …)
  • Yêu cầu của khách hàng. (Goals, mức độ kiểm toán, …)
  • Danh sách kiểm tra tiêu chuẩn. (Checklists hệ thống, Checklists quy trình, …)
  • (Thông tin từ cập nhật từ Internet, nhà sản xuất, sách, …)

Assessment (Đánh giá sơ bộ) -> Scheduling (Lập lịch) -> Kickoff Meeting.

  1. Thu thập thông tin, đối chiếu tài liệu và thực tế.

Tài liệu hóa cũng là một phần quan trọng trong công cuộc kiểm toán. Các kiểm toán viên phải làm một công việc đầy đủ là ghi lại công việc để có thể chứng minh được những kết luận. Mục tiêu nên là ghi lại công việc đủ chi tiết để mọi người đều được thông tin hợp lý có thể hiểu những gì đã được thực hiện và cùng đi đến kết luận như kiểm toán viên.

  1. Phát hiện và xác định các vấn đề.

Quá trình kiểm toán sẽ phát triển một danh sách các mối quan tâm. Theo tinh thần hợp tác, kiểm toán viên nên thảo luận về các vấn đề rủi ro có khả năng ảnh hương với khách hàng càng sớm càng tốt.

Rác nhận rủi ro và mức độ rủi ro của các vấn đề tồn tại, vấn đề đó có đủ quan trọng để có giá trị báo cáo hay không? Xem xét giảm thiểu/nâng cao các biện pháp kiểm soát và hiểu được toàn bộ bức tranh hoạt động đang được diễn ra trong tổ chức.

  1. Phát triển giải pháp.

Sau khi đã xác định được các vấn đề rủi ro trong phạm vi thực hiện kiểm toán, chúng ta có thể làm việc với khách hàng để đưa ra kế hoạch hành động nhằm giải quyết từng vấn đề theo các bước cơ bản sau:

  • Khuyến nghị giải pháp.
  • Khách hàng phản hồi đối với giải pháp.
  • Cách thức tiếp cận giải pháp.
  1. Lập báo cáo.

Khi đã phát hiện ra các vấn đề trong phạm vi đang được kiểm toán, xác nhận với khách hàng và phát triển các giải pháp để giải quyết, bước tiếp theo là lập báo cáo kiểm toán. Báo cáo kiểm toán là phương tiện mà chúng ta ghi lại kết quả kiểm toán phục vụ hai chức năng chính:

  • Đối với nhóm kiểm toán và khách hàng: đóng vai trò là một bản ghi của công cuộc kiểm toán, kết quả và các kế hoạch hành động đem lại kết quả đó.
  • Đối với quản lý cấp cao và ủy ban kiểm toán: phục vụ như một hình thức báo cáo được công khai chứng minh về phạm vi đã được kiểm toán.
  1. Theo dõi các vấn đề đã được xử lý và còn tồn tại.

Việc kiểm toán chưa thực sự được hoàn thành cho đến khi các vấn đề được nêu trong báo cáo được giải quyết, bằng cách khắc phục sử dụng những biện pháp giảm thiểu, xóa bỏ rủi ro hoặc được chấp nhận rủi ro bởi quyết định của hội đồng cấp quản lý.

838 lượt xem