Kiểm toán chuyển đổi số: Cân bằng giữa đổi mới và tuân thủ

Khi nào thực hiện kiểm toán chuyển đổi số?

CĐS đang định hình lại bối cảnh của mọi ngành, mọi lĩnh vực trên toàn cầu. Mặc dù mang lại lợi ích to lớn, song CĐS cũng có thể gây tổn hại cho tổ chức nếu thiếu cơ chế giám sát chặt chẽ. Thực tế, có tới 87,5% các sáng kiến CĐS thất bại, nguyên nhân chủ yếu do những vấn đề quản trị phát sinh sau khi quá trình số hóa kết thúc (theo thống kê của Businessmap).

Kiểm toán giúp cân bằng giữa hai yếu tố đổi mới và quản trị, bảo đảm các sáng kiến CĐS mang lại giá trị thiết thực, đồng thời tuân thủ nghiêm ngặt quy định. Để chuyển đổi số thành công và bền vững, các tổ chức cần xem kiểm toán là công cụ chủ động, không phải là biện pháp ứng phó thụ động.

Kiểm toán CĐS bao gồm việc đánh giá các sáng kiến công nghệ - số hóa của tổ chức nhằm bảo đảm sự phù hợp với mục tiêu chiến lược, yêu cầu pháp lý và khả năng chấp nhận rủi ro. Đây là hoạt động đánh giá khách quan về cách thức doanh nghiệp áp dụng công nghệ số, tập trung vào an ninh mạng, tính toàn vẹn dữ liệu, tuân thủ quy định và hiệu quả hoạt động.

Theo các chuyên gia của ISACA - Hiệp hội Kiểm toán và Kiểm soát Hệ thống thông tin, kiểm toán CĐS cần được tiến hành sau khi tổ chức thực hiện các quy trình sau: Chuyển đổi quy trình kinh doanh: Bao gồm việc xem xét và thiết kế lại các quy trình cốt lõi thông qua các công cụ, công nghệ số nhằm hướng đến tự động hóa, nâng cao hiệu quả và cải thiện trải nghiệm khách hàng. Ví dụ, doanh nghiệp triển khai chatbot dựa trên AI để giao tiếp với khách hàng hoặc hợp tác với chuyên gia để cải tổ các chức năng và cơ sở dữ liệu nội bộ.

Chuyển đổi lĩnh vực hoạt động: Tận dụng công nghệ số để mở rộng sang các thị trường mới hoặc tái định nghĩa năng lực cốt lõi. Ví dụ, Amazon đã phát triển từ một nền tảng thương mại điện tử thành doanh nghiệp hàng đầu về dịch vụ điện toán đám mây với Amazon Web Services (AWS).

Chuyển đổi nền tảng và hệ sinh thái: Xây dựng các nền tảng kỹ thuật số kết nối khách hàng, nhà cung cấp và đối tác; tạo dựng các hệ sinh thái cộng tác và đồng sáng tạo thông qua các nền tảng dành cho nhà phát triển hoặc thị trường trực tuyến.

Ngoài ra, kiểm toán CĐS cũng nên được thực hiện sau khi tổ chức hiện đại hóa hạ tầng công nghệ thông tin, khai thác phân tích dữ liệu, áp dụng nền tảng đám mây, hoặc khi tổ chức có tiềm năng trở thành một thành phần thiết yếu trong mạng lưới an toàn thông tin.

Kiểm soát rủi ro, gia tăng hiệu quả quản trị tổ chức

Theo các chuyên gia, kiểm toán CĐS đóng vai trò chủ động nhận diện điểm yếu tiềm ẩn và giảm thiểu rủi ro trước khi chúng trở thành vấn đề nghiêm trọng. Thực tế, quá trình CĐS luôn đi kèm với nhiều bất định, KTV có nhiệm vụ kiểm soát rủi ro, giám sát mục tiêu chiến lược, ngăn chặn các lỗi có thể làm gián đoạn quy trình hoạt động.

CĐS không chỉ là sự thích ứng công nghệ, mà còn là cuộc đổi mới toàn diện. Tuy nhiên, nhiều sáng kiến CĐS lại dễ “sa lầy” trong các vấn đề kỹ thuật phức tạp, khiến tổ chức chệch hướng khỏi mục tiêu ban đầu. Kiểm toán giúp đảm bảo các nỗ lực số hóa đi đúng quỹ đạo, mang lại giá trị thực và phù hợp với tầm nhìn, yêu cầu tuân thủ của tổ chức.

Khi doanh nghiệp chuyển dữ liệu và quy trình làm việc lên đám mây, ứng dụng học máy hoặc thử nghiệm AI, họ cũng tạo ra những lớp rủi ro mới: Quyền riêng tư dữ liệu, rủi ro bên thứ ba, tấn công mạng... Kiểm toán cung cấp khuôn khổ để nhận diện sớm và ứng phó với các lỗ hổng này.

Ngoài ra, CĐS có thể vừa củng cố, vừa làm suy yếu các biện pháp kiểm soát nội bộ. Nhiệm vụ của KTV là đánh giá hiệu quả các biện pháp kiểm soát hiện hữu, đồng thời đề xuất điều chỉnh phù hợp với bối cảnh mới. Khi có được cái nhìn toàn diện về hiệu quả kiểm soát, Ủy ban kiểm toán và chuyên gia quản trị rủi ro sẽ có cơ sở vững chắc để đưa ra quyết định khắc phục.

Hiện nay, cùng với sự gia tăng các quy định liên quan đến công nghệ, nhiều tiêu chuẩn ngành cũng được ban hành. Vì vậy, KTV cần bảo đảm các sáng kiến CĐS tuân thủ pháp luật và chuẩn mực kỹ thuật, đồng thời xác minh việc bảo vệ dữ liệu cá nhân, quản lý hiệu quả việc chuyển giao xuyên biên giới và lưu trữ an toàn các hoạt động xử lý dữ liệu.

Quy trình cơ bản của kiểm toán chuyển đổi số

Một cuộc kiểm toán CĐS hiệu quả gồm nhiều giai đoạn liên kết chặt chẽ với nhau. Dù công nghệ AI ngày càng phổ biến, quy trình cốt lõi vẫn giữ nguyên các bước chính:

Xác định phạm vi kiểm toán: Nắm rõ dự án CĐS, bộ phận liên quan, công nghệ áp dụng và mục tiêu. Phạm vi cần xác định rõ nội dung đánh giá, từ mức độ sẵn sàng về an ninh mạng đến quản lý thay đổi.

Xác định rủi ro chính và biện pháp kiểm soát: Sau khi xác định phạm vi, KTV sẽ nhận diện các rủi ro chính như vi phạm dữ liệu, sự cố hệ thống, lỗi tích hợp... và đánh giá xem các biện pháp kiểm soát (tường lửa, mã hóa, xác thực...) đã được áp dụng đầy đủ hay chưa?

Đánh giá quản trị và sự tham gia của các bên liên quan: Kiểm toán viên xem xét mức độ tham gia và trách nhiệm giải trình của các bên trong từng giai đoạn; quản trị hiệu quả giúp bảo đảm sự thống nhất giữa chiến lược công nghệ và chiến lược tổ chức.

Báo cáo và khuyến nghị: Kết quả kiểm toán cần được trình bày rõ ràng, dễ thực hiện, nêu bật các rủi ro, lỗ hổng tuân thủ, thiếu sót kiểm soát và đề xuất khắc phục. Đây là vòng phản hồi quan trọng cho cải tiến liên tục.

Để CĐS thành công, kiểm toán không nên được coi là hoạt động đơn lẻ mà phải là thành phần xuyên suốt vòng đời chuyển đổi. Việc tích hợp chức năng kiểm toán trong mọi giai đoạn - từ lập kế hoạch, triển khai đến vận hành - sẽ giúp duy trì các chuẩn mực quản trị mà không làm chệch hướng mục tiêu CĐS./.

BẮC SƠN