An ninh mạng và vai trò của kiểm toán viên

Hoạt động của Ngành - Ngày đăng : 10:06, 13/10/2022

(BKTO) - Mặc dù an ninh mạng (ANM) không được đề cập rõ ràng trong các tiêu chuẩn kiểm toán nhưng rủi ro này sẽ tiếp tục là trọng tâm của các cuộc thanh tra, kiểm toán. Vì vậy, vai trò của kiểm toán viên (KTV) không chỉ là phát hiện, đánh giá hiệu quả quản lý rủi ro ANM mà còn là dự báo và tư vấn cho ban lãnh đạo về các chương trình ANM phù hợp, cũng như khả năng chống lại các mối đe dọa trong tương lai.



An ninh mạng là một trong những rủi ro hàng đầu đối với hoạt động kinh doanh. Ảnh sưu tầm

Diễn đàn Kinh tế thế giới đã xếp hạng “Các cuộc tấn công mạng và gian lận dữ liệu do sự thay đổi liên tục trong mô hình làm việc” là rủi ro thứ ba trong số 10 rủi ro đáng lo ngại nhất đối với doanh nghiệp (DN). Điều này đặt ra yêu cầu cấp thiết là các công ty phải thúc đẩy khả năng phục hồi ANM và xây dựng lòng tin về các hành động giảm thiểu rủi ro này.

Khoảng trống lớn trong minh bạch thông tin an ninh mạng

Trong khi cả khu vực nhà nước và tư nhân phải vật lộn với ANM, các nhà đầu tư và bên liên quan lại liên tục đòi hỏi và kỳ vọng cao về sự minh bạch trong việc quản lý rủi ro này. Trong đó, các nhà đầu tư muốn biết rủi ro ANM sẽ đe dọa đến mục tiêu hoạt động, báo cáo, tài chính, pháp lý và quy định của công ty như thế nào. Còn người tiêu dùng thì luôn muốn xác nhận rằng thông tin cá nhân của họ được bảo mật một cách tuyệt đối.

Về phía DN, ANM là một trong những rủi ro hàng đầu đối với hoạt động kinh doanh. Tuy nhiên, khảo sát của EY với các công ty trong danh sách Fortune 100 lại cho thấy, chỉ 7% DN trong danh sách này thực hiện các mô phỏng sự cố mạng hoặc các bài tập thực hành giải quyết rủi ro và chỉ 16% các DN sử dụng một nhà tư vấn độc lập bên ngoài để giúp quản lý các hoạt động liên quan đến ANM.

Một nghiên cứu khác do Viện Nghiên cứu Swiss Re (Thụy Sỹ) thực hiện với 20 nhà lãnh đạo nằm trong hội đồng quản trị và cấp điều hành DN quốc tế cũng cho thấy, không nhà lãnh đạo nào xếp hạng mức độ minh bạch về khả năng phục hồi không gian mạng của DN ở mức “tốt” hoặc “thực sự tốt”. Hơn nữa, phần lớn những người được hỏi nói rằng nếu DN của họ báo cáo về khả năng phục hồi trên không gian mạng nhưng DN khác hoặc đối thủ cạnh tranh không công bố thông tin này thì chính họ có thể thay đổi quyết định và dừng công bố thông tin.

Tuy nhiên, quy mô và mức độ phức tạp của ANM đã phát triển theo cấp số nhân. Do đó, các nhà đầu tư và khách hàng ngày càng có nhiều yêu cầu hơn liên quan đến ANM. Lúc này, KTV cần thể hiện rõ hơn vai trò của mình trong việc tiết lộ thông tin ANM ngoài những thông tin được đưa vào báo cáo tài chính đã kiểm toán. Dựa trên nhu cầu của các bên, KTV sẽ đánh giá hiệu quả của việc quản lý rủi ro ANM giúp lãnh đạo DN nắm bắt thông tin nội bộ cũng như rủi ro từ các mối quan hệ kinh doanh bên ngoài; hoặc tạo nên các luồng thông tin so sánh về ANM để nâng cao lòng tin và sự tin cậy của hội đồng quản trị, nhà đầu tư, đối tác kinh doanh và khách hàng.

Những lưu ý khi đánh giá rủi roan ninh mạng

Ngay cả khi rủi ro ANM đã hiện hữu, KTV vẫn phải tiếp tục đánh giá khả năng xảy ra các sự cố mới có ảnh hưởng trọng yếu đến báo cáo tài chính. Các chuẩn mực kiểm toán yêu cầu KTV kiểm toán báo cáo tài chính hiểu rõ về cách thức DN sử dụng công nghệ thông tin (CNTT) và tác động của CNTT đối với báo cáo tài chính. Điều này bao gồm sự hiểu biết về kiểm soát tự động, các kiểm soát chung về CNTT và độ tin cậy của dữ liệu do DN tạo ra và được sử dụng trong báo cáo tài chính.

Đối với môi trường CNTT của một DN, dữ liệu thuộc phạm vi của cuộc kiểm toán báo cáo tài chính thường là một tập hợp con của tổng thể hệ thống dữ liệu được sử dụng trong hoạt động kinh doanh của công ty. Trọng tâm của kiểm toán là kiểm soát truy cập và các thay đổi đối với dữ liệu, kiểm soát hoạt động của máy tính và độ tin cậy của thông tin, tính hiệu quả của kiểm soát nội bộ đối với báo cáo tài chính (ICFR).

Để lập kế hoạch và đánh giá rủi ro, KTV cần xem xét tổng thể các rủi ro ANM có thể ảnh hưởng trọng yếu đến báo cáo tài chính của DN và ICFR. Các cân nhắc liên quan đến rủi ro ANM bao gồm tác động tài chính tiềm ẩn của những rủi ro đó đối với báo cáo tài chính và việc không thể phát hành báo cáo tài chính kịp thời do các vi phạm trên hệ thống báo cáo tài chính của tổ chức (chẳng hạn như bị tấn công bằng mã độc tống tiền). Ngoài ra, rủi ro ANM là một chuỗi kết nối, mức độ ảnh hưởng của rủi ro này có thể khác nhau giữa các tổ chức, nhưng không một DN nào có thể miễn nhiễm với rủi ro ANM trong môi trường công nghệ ngày nay.

Đối với các thông tin ANM cần tiết lộ, trách nhiệm của KTV phụ thuộc vào việc các thông tin này đã có trong báo cáo tài chính được kiểm toán hay chưa. Nếu phần thuyết minh được đưa vào báo cáo tài chính đã kiểm toán, KTV sẽ thực hiện các thủ tục để đánh giá liệu báo cáo tài chính có được trình bày đầy đủ, khách quan trên mọi khía cạnh trọng yếu hay không. Ngược lại, nếu thông tin về ANM được trình bày bên ngoài báo cáo tài chính đã được kiểm toán, KTV sẽ phải đọc và đối chiếu thông tin với báo cáo tài chính đã được kiểm toán để đảm bảo không có mâu thuẫn hoặc sai sót trọng yếu./.

THÙY LÊ