Khung chuẩn mực và hướng dẫn quốc tế
Trên thế giới, kiểm toán HTTT đã được đề cập rõ ràng trong hệ thống chuẩn mực kiểm toán của Tổ chức quốc tế Các cơ quan Kiểm toán tối cao (INTOSAI), cụ thể: ISSAI 5300 nhấn mạnh kiểm toán công nghệ thông tin (CNTT) có thể thực hiện trong khuôn khổ kiểm toán tài chính, tuân thủ hoặc hoạt động và theo phương pháp tiếp cận rủi ro. Tài liệu này cũng định hướng kiểm toán viên đánh giá hiệu quả các kiểm soát CNTT, qua đó đảm bảo tính đầy đủ, chính xác của thông tin tài chính và phi tài chính trong các hệ thống điện tử.
Kiểm toán hệ thống thông tin và Chính phủ điện tử không chỉ là yêu cầu thực tiễn mà còn là động lực để nâng cao vị thế, vai trò của KTNN trong bối cảnh mới, đáp ứng kỳ vọng của Đảng, Nhà nước và nhân dân đối với công cuộc xây dựng Chính phủ số và nền tài chính công minh bạch, bền vững.
INTOSAI GOV 9100 thiết lập các yêu cầu kiểm soát liên quan đến CNTT và HTTT quản lý, đồng thời đề cập các thủ tục kiểm soát tự động (sao lưu, truy cập, phát triển phần mềm) như một phần của hệ thống kiểm soát nội bộ tổng thể. Các hướng dẫn này là căn cứ để kiểm toán viên đánh giá rủi ro công nghệ và an toàn thông tin trong các hệ thống quản lý tài chính công.
GUID 5100 được INTOSAI ban hành năm 2019 để hỗ trợ kiểm toán viên lập kế hoạch và tiến hành kiểm toán hiệu quả đối với các HTTT. GUID 5100 nhấn mạnh rằng, các nguyên tắc cơ bản trong ISSAI 100, 200, 300, 400 (nguyên tắc công, kiểm toán tài chính, hiệu quả, tuân thủ) cũng được áp dụng đầy đủ cho kiểm toán các HTTT. Hiện nay, INTOSAI đang soạn thảo GUID 5101 để bổ sung cho GUID 5100, tập trung sâu vào an ninh thông tin và an ninh mạng. Hướng dẫn này liệt kê các vấn đề chủ yếu (định danh tài sản thông tin, rủi ro, tiêu chí đánh giá, câu hỏi kiểm toán) và sẽ hỗ trợ kiểm toán viên tích hợp các yêu cầu của ISSAI hiện hành trong từng giai đoạn kiểm toán liên quan đến an ninh mạng.
Trong khu vực, Tổ chức Các cơ quan Kiểm toán tối cao châu Á (ASOSAI) cũng đã phát triển hướng dẫn kiểm toán CNTT nhằm định hướng kiểm toán viên cách đánh giá hệ thống CNTT của đơn vị công. Các chuẩn mực và hướng dẫn trên được xem là khung tham chiếu chính thống cho các cơ quan kiểm toán (SAI), từ nguyên lý cơ bản cho đến các hướng dẫn chuyên biệt theo từng khía cạnh: Lập kế hoạch, kiểm toán hiệu quả hệ thống thông tin, đánh giá kiểm soát an ninh mạng, ứng dụng phân tích dữ liệu lớn...
Quy mô và tính phức tạp của dữ liệu là thách thức lớn
Nhiều SAI trên thế giới đã đầu tư nghiên cứu và triển khai các cuộc kiểm toán HTTT và CPĐT. Theo đó, SAI Ấn Độ đã thực hiện kiểm toán hệ thống phần mềm thương mại điện tử của Chính phủ; mạng lưới và hệ thống theo dõi tội phạm và hình sự; hệ thống tài chính tích hợp; hệ thống về dữ liệu công dân… SAI Mauritius đánh giá việc triển khai đồng bộ các chiến lược điện tử tại các Bộ, ngành, phát hiện sự hỗ trợ chưa đầy đủ và các cơ chế giám sát tích hợp.
SAI Thái Lan cũng đã sử dụng các công cụ như: RapidMiner, Python, LongdoMap API để phát hiện nhiều bản ghi sai số, các hành vi gian lận trong thanh toán hỗ trợ du lịch nội địa trong thời kỳ đại dịch Covid-19. Các SAI Nam Phi, SAI Ecuador áp dụng kiểm toán thời gian thực, kho dữ liệu, AI, phân tích xu hướng bất thường trong báo cáo tài chính của chính quyền địa phương.
Theo đánh giá chung của các SAI, kiểm toán HTTT và CPĐT còn gặp nhiều khó khăn, thách thức do thiếu công cụ kiểm toán chuyên sâu; nhân sự có kỹ năng kiểm toán CNTT còn mỏng; HTTT chưa đồng bộ; sự hợp tác tại một số đơn vị chưa hiệu quả; sự can thiệp về chính trị; quy mô và tính phức tạp của dữ liệu; vấn đề về bảo mật dữ liệu; tính tuân thủ khi thực hiện kiến nghị kiểm toán…
Trong đó, tính phức tạp của dữ liệu là một thách thức rất lớn bởi các dữ liệu được lưu trữ ở nhiều định dạng khác nhau, trải rộng trên nhiều trung tâm dữ liệu và khu vực pháp lý; nhiều tệp dữ liệu có kích thước lớn (Terabyte); thiếu từ điển dữ liệu, khó khăn trong việc hiểu cấu trúc dữ liệu.
Hoàn thiện quy trình và hướng dẫn dựa trên chuẩn mực quốc tế
Kiểm toán CNTT là một trong những nội dung được KTNN Việt Nam quan tâm, chú trọng nhằm đáp ứng yêu cầu chuyển đổi số quốc gia. Ngay từ khi hình thành lĩnh vực kiểm toán CNTT (năm 2016), SAI Việt Nam đã xây dựng một số công cụ, phần mềm ứng dụng kiểm toán để triển khai áp dụng tại các cuộc kiểm toán hệ thống CNTT trọng yếu phục vụ lập báo cáo tài chính của một số ngân hàng lớn (Vietcombank, Vietinbank, BIDV, MB). Hiện nay, KTNN đã ban hành Hướng dẫn kiểm toán CNTT và tài liệu bồi dưỡng kỹ năng kiểm toán CNTT cấp độ 1.
Mặc dù vậy, công tác kiểm toán CNTT cần được lan tỏa và phát triển mạnh mẽ hơn về cả chiều rộng và chiều sâu, bao gồm: HTTT của các cơ quan nhà nước, hệ thống thuế, hải quan, HTTT thống kê dữ liệu, thủ tục hành chính… Các cuộc kiểm toán này đặt ra nhiều yêu cầu về trình độ, kỹ năng không chỉ về phương pháp ứng dụng CNTT, phân tích dữ liệu mà còn về cách tiếp cận, định hướng, xác định mục tiêu của cuộc kiểm toán.
Dựa trên các hướng dẫn ISSAI 5300, GUID 5100, GOV 9100 và kinh nghiệm của các SAI, KTNN Việt Nam cần nghiên cứu xây dựng khuôn khổ pháp lý, quy trình và hướng dẫn kiểm toán HTTT, tích hợp hướng dẫn GUID 5100 trong các giai đoạn lên kế hoạch, thu thập bằng chứng, đánh giá kiểm soát CNTT.
Đồng thời, xây dựng cơ sở pháp lý cho việc trao đổi dữ liệu và liên thông hệ thống, tăng cường tiếp cận, cung cấp dữ liệu điện tử của các đơn vị được kiểm toán. Đây là yếu tố then chốt, giúp các kiểm toán viên tiếp cận dữ liệu đầy đủ, minh bạch và tuân thủ nghiêm quy định bảo mật.
Bên cạnh đó, tập trung xây dựng kho lưu trữ trung tâm và kho dữ liệu phục vụ kiểm toán, khai thác AI, UAV, và các công cụ khai phá dữ liệu lớn đã được Nhóm công tác về Dữ liệu lớn của INTOSAI đề xuất. Đội ngũ kiểm toán viên cần được đào tạo chuyên sâu về kiểm toán HTTT, an ninh mạng.
KTNN có thể tổ chức kiểm toán chuyên đề và đưa vào kế hoạch kiểm toán hằng năm đối với các hệ thống CPĐT, bao gồm: Kiểm toán hệ thống thu ngân sách nhà nước, thanh toán điện tử, phúc lợi xã hội trên nền tảng số, hệ thống hải quan, thuế…/.
