An ninh mạng và quản trị dữ liệu - vấn đề nan giải
Theo “Khảo sát rủi ro kiểm toán công nghệ toàn cầu” lần thứ 11 do Protiviti và Viện Kiểm toán nội bộ (IIA) công bố mới đây, các giám đốc điều hành kiểm toán (CAE) và chuyên gia kiểm toán công nghệ thông tin (CNTT) đã chỉ ra một số rủi ro chính mà bộ phận kiểm toán nội bộ (KTNB) quan tâm. Theo đó, an ninh mạng vẫn đang là rủi ro được ưu tiên theo dõi hàng đầu trên phạm vi rộng. Có tới 82% CAE và chuyên gia kiểm toán CNTT coi an ninh mạng là lĩnh vực có rủi ro cao trong 12 tháng tới, thậm chí lâu hơn (2-3 năm tới).
Xếp hạng thứ hai trong danh sách rủi ro là trí tuệ nhân tạo (AI) với những lỗ hổng đáng kể trong sự chuẩn bị của tổ chức và trình độ của KTNB. Đặc biệt, rủi ro AI đang gia tăng nhanh chóng và có tới 54% người tham gia khảo sát tin rằng các hệ thống AI tiên tiến, bao gồm cả những hệ thống do AI tạo ra tiềm ẩn rủi ro đáng kể trong 2-3 năm tới. Khi công nghệ ngày càng được chấp nhận và tích hợp rộng rãi hơn vào hoạt động kinh doanh, sự phức tạp và bất ổn mà nó mang lại sẽ trở nên nguy cấp hơn. Trong khi đó, rất ít tổ chức cho rằng mức độ chuẩn bị hoặc thành thạo của nhóm xử lý rủi ro AI trong kiểm toán CNTT là ở mức chấp nhận được.
Kiểm toán viên nội bộ đóng một vai trò quan trọng trong việc giúp các công ty nhìn ra các góc cạnh khi gặp rủi ro công nghệ thông tin trên toàn doanh nghiệp.
Ông Brad J. Monterio - Phó Chủ tịch phụ trách Năng lực và Học tập của thành viên IIA, IIA
Một rủi ro đáng lo ngại nữa liên quan đến CNTT là vấn đề khan hiếm nhân lực. Để giải quyết các rủi ro liên quan đến CNTT và AI, các công ty cần thuê những nhân tài có hiểu biết sâu sắc về lĩnh vực này cũng như giữ chân họ để nâng cao năng lực đội ngũ. Hầu hết các công ty không có đủ nhân tài và vốn trí tuệ trong các lĩnh vực CNTT và AI sẽ gặp nguy hiểm khi những rủi ro này trở thành hiện thực.
Ông Angelo Poulikakos - Giám đốc bộ phận Tư vấn và Kiểm toán công nghệ của Protiviti đánh giá, khi nói đến những thách thức về công nghệ, các công ty không chỉ phải đối mặt với nhiều mối đe dọa mà mỗi mối đe dọa này đang thay đổi ở mức đáng báo động. Rủi ro liên quan đến an ninh mạng và AI đang hoàn toàn khác so với vài năm trước và chắc chắn sẽ tiếp tục phát triển. Các công ty tiến hành KTNB thường xuyên hơn và tích hợp các công cụ, kỹ thuật phân tích tiên tiến vào quy trình kiểm toán sẽ nắm bắt được những thay đổi này nhanh hơn, từ đó được chuẩn bị tốt hơn khi các vấn đề thực sự phát sinh.
Đồng hành với các rủi ro về công nghệ chính là vấn đề quyền riêng tư và bảo mật dữ liệu. Cuộc khảo sát của IIA cho thấy rằng, mặc dù nhiều người vẫn đang tự tin vào các biện pháp an ninh mạng của tổ chức, nhưng rất ít trong số họ tự tin vào việc tuân thủ quyền riêng tư. Ngoài ra, các CAE và chuyên gia kiểm toán CNTT quan tâm đến việc đảm bảo tính chính xác, nhất quán và độ tin cậy của dữ liệu. Quản trị dữ liệu phù hợp không chỉ là yêu cầu tuân thủ mà còn thể hiện nền tảng cho các sáng kiến AI và chuyển đổi kỹ thuật số thành công.
Thu hẹp khoảng cách về nhân lực và công nghệ
Kết quả khảo sát của Protiviti và IIA đã chứng minh mối liên hệ rõ ràng giữa số lượng cuộc kiểm toán công nghệ được thực hiện hằng năm và khả năng quản lý các rủi ro CNTT của tổ chức. Từ đó, các chuyên gia của IIA cho rằng, các kiểm toán viên nội bộ cần tăng tần suất kiểm tra đối với các khu vực có tác động lớn, đặc biệt là những khu vực được xác định là có rủi ro CNTT nghiêm trọng/mới nổi để duy trì khả năng dự báo trước những thách thức đang phát triển nhanh chóng.
Các nhóm KTNB nên tận dụng các phân tích nâng cao, tích hợp các công cụ và kỹ thuật này vào quy trình kiểm toán để hiểu rõ hơn về rủi ro và hiệu quả của các chiến lược quản lý rủi ro hiện tại. Đồng thời, đánh giá mức độ đe dọa của rủi ro CNTT so với sự chuẩn bị của tổ chức và trình độ của kiểm toán viên liên quan đến từng mối đe dọa. Từ đó, giải quyết các vấn đề về nhân lực CNTT trong tổ chức, bao gồm cả kiểm toán viên nội bộ chuyên về CNTT và nhóm kiểm soát CNTT.
Đặc biệt, KTNB cần ưu tiên theo dõi các mối đe dọa tiềm ẩn ngay từ khi chúng mới nhen nhóm và phối hợp với các đối tác an ninh mạng để đánh giá sự sẵn sàng của tổ chức. Trong đó, việc sử dụng AI có tính sáng tạo đang tăng lên nhanh chóng và phát triển theo những cách không ngờ tới, trong khi mức độ sẵn sàng của tổ chức liên quan đến AI và trình độ của kiểm toán viên về các công nghệ vẫn còn thấp.
Một lưu ý nữa được các chuyên gia khuyến nghị là xem lại các chính sách bảo mật đám mây. Đây là nhóm công việc không thể bỏ qua của kiểm toán CNTT.
Bản thân các tổ chức và KTNB cũng cần có chiến lược về ngân sách và đầu tư cho các nhân viên để tăng khả năng tiếp cận các kỹ thuật, công nghệ mới cũng như sử dụng các công cụ kiểm toán tiên tiến. Khi năng lực của kiểm toán viên luôn đi sau công nghệ, kiểm toán CNTT sẽ chỉ đơn thuần là tìm cách khắc phục những sự cố đã xuất hiện thay vì đánh giá rủi ro và chuẩn bị trước các phương án đối phó. Vì vậy, hơn lúc nào hết, KTNB cần chủ động nâng cao năng lực, cũng như phối hợp với bộ phận liên quan để xác định và điều hướng các mối đe dọa./.