Cần tăng cường năng lực kiểm toán trong bối cảnh chuyển đổi số hiện nay. Ảnh tư liệu
Đánh giá toàn diện vấn đề an ninh mạng
Đối với các nước trên thế giới, an ninh mạng là vấn đề cần nguồn lực lớn và các tấn công chủ yếu đến từ bên ngoài. Tuy nhiên, tại Việt Nam, hầu hết những rủi ro liên quan đến an ninh mạng lại đến từ các yếu tố bên trong do đạo đức người làm nghề hoặc DN xây dựng cấu hình không phù hợp. Vì vậy, lãnh đạo các DN thường đặt ra yêu cầu đối với bộ phận KTNB khi kiểm toán công nghệ thông tin (CNTT) là phải đánh giá được 4 vấn đề: khả năng phản ứng lại những cuộc tấn công về an ninh thông tin của DN; các rủi ro về an ninh thông tin đang tồn tại trong DN; các vấn đề về tuân thủ (chủ yếu tại các ngân hàng); mức độ trưởng thành về an ninh thông tin. Thông qua việc đánh giá 4 nội dung này, bộ phận KTNB sẽ giúp ban lãnh đạo thấy rõ DN, đơn vị mình đang đứng ở đâu và cần phải có những tiêu chuẩn nào để hoạt động một cách an toàn, hiệu quả.
Để thực hiện yêu cầu này, bộ phận KTNB sẽ phải xác định được một cách đầy đủ những rủi ro mà DN đang phải đối mặt và các biện pháp kiểm soát đi kèm; đồng thời, giúp DN xây dựng các quy trình phản ứng liên quan đến sự cố an ninh thông tin trong bối cảnh khách hàng bị tấn công, lấy cắp mật khẩu, thậm chí là các thông tin tuyệt mật ngày càng phổ biến. Mặt khác, an ninh mạng vốn là một lĩnh vực mang tính đặc thù, vậy nên, để đánh giá được lĩnh vực này, kiểm toán viên nội bộ phải có kiến thức khá sâu và không ngừng học hỏi, theo kịp các thông tin, xu hướng mới.
Theo sát việc vận hành hệ thống của doanh nghiệp
Đối với vận hành hệ thống, lãnh đạo các DN sẽ đặt ra 3 yêu cầu cho bộ phận KTNB bao gồm: đánh giá khả năng phục hồi của hoạt động kinh doanh, quản lý khủng hoảng liên quan (ví dụ như khủng hoảng do đại dịch Covid-19) và xem xét những sự cố lặp lại nhiều lần. Trên cơ sở đó, KTNB cần chú ý đến các quy trình liên quan đến phòng chống thảm họa hoặc đảm bảo kinh doanh liên tục. Đồng thời, do cách thức làm việc của các nhân viên trong tổ chức đã thay đổi nên KTNB cần đánh giá xem hạ tầng hiện tại có đủ đáp ứng việc truy cập từ xa hay không. Ngoài ra, KTNB còn phải xem xét các vấn đề liên quan đến xử lý sự cố, quản trị dữ liệu và hoạch định dữ liệu của hệ thống.
Chú trọng tính bảo mậtcủa dữ liệu
Hiện nay, ở Việt Nam, quy định pháp luật liên quan đến đảm bảo tính riêng tư của dữ liệu chưa được đầy đủ và không có sức răn đe. Thậm chí, dữ liệu cá nhân còn bị đánh cắp rất nhiều. Vì vậy, KTNB cần quan tâm đến tính riêng tư của dữ liệu và theo sát các quy định pháp luật có liên quan; đồng thời cần đánh giá mức độ tuân thủ của DN đối với tính bảo mật.
Bên cạnh đó, bộ phận KTNB cũng phải lưu ý đến chất lượng dữ liệu, nhất là tính chính xác của các thông tin trên báo cáo tài chính để giúp lãnh đạo DN xem xét và đưa ra các quyết định đúng đắn. Hiện nay, rất nhiều tổ chức ngân hàng quan tâm đến việc xây dựng khung quản trị dữ liệu và đầu tư vào các nhóm giải pháp quản trị dữ liệu. Tuy nhiên, quy trình quản lý dữ liệu vẫn còn nhiều vấn đề cần phải lưu tâm. Với các DN lớn, họ sẽ xây dựng quy trình đánh giá, giám sát, đo lường chất lượng dữ liệu, đây cũng là một trong những hoạt động mà KTNB phải rà soát.
Lưu ý đến ứng dụng mới - Quản trị đám mây
Quản trị đám mây là ứng dụng mới nổi hiện nay, có DN triển khai với nhóm dữ liệu không trọng yếu và có DN lại sử dụng bên thứ ba để được cung cấp các giải pháp nhằm chuyển đổi hoàn toàn hạ tầng của DN. Vì vậy, hoạt động KTNB phải đánh giá được sự phù hợp của DN khi sử dụng hình thức này, khả năng cung cấp dịch vụ của các bên và tính sẵn sàng của ứng dụng.
Thực tế, quản trị đám mây có nhược điểm là nếu hạ tầng về mạng không tốt thì đường truyền kết nối giữa ứng dụng với DN sẽ không ổn định, gây ra nhiều rủi ro. Ngoài ra, nếu cấu hình không chuẩn thì an ninh thông tin sẽ bị ảnh hưởng… Vì vậy, KTNB phải liên tục đánh giá lại các lợi ích mà quản trị đám mây đem lại cho DN. Do đó, KTNB phải có những thành viên chuyên biệt cho công việc này.
Tích hợp khung quản lý rủi ro công nghệ thông tin trong hoạt động của doanh nghiệp
Để tích hợp với hoạt động của toàn DN, quản trị rủi ro CNTT phải được xây dựng thành một bộ khung hoàn chỉnh, bắt đầu từ nhận diện, đo lường mức độ rủi ro và xác định mức độ chấp nhận rủi ro của ban lãnh đạo DN. Với vấn đề này, hoạt động KTNB cần đánh giá tính hiệu quả của quản lý rủi ro CNTT hiện tại và sự tích hợp quản lý rủi ro CNTT giữa DN với ngân hàng. Việc này được thể hiện thông qua nhận diện, đưa ra khung đo lường, từ đó lập được báo cáo giám sát rủi ro cho các bên liên quan.
Muốn làm được việc này, bộ phận KTNB phải có đủ năng lực và các biện pháp kiểm soát tương ứng. Ngoài ra, KTNB phải xây dựng được bộ chỉ số rủi ro trọng yếu để đo lường và cơ chế giám sát để nắm bắt các rủi ro đang ở mức độ nào.
LÊ NGUYÊN HƯNG
Giám đốc Rủi ro Công nghệ thông tin và An ninh thông tin, Tập đoàn Bảo hiểm đa quốc gia
THÙY LÊ (ghi)