Kiểm toán công nghệ thông tin: Từ nhận diện rủi ro đến đón đầu xu hướng

Kiểm toán - Ngày đăng : 08:56, 11/12/2025

(BKTO) - Trong môi trường kinh doanh thay đổi nhanh chóng bởi những tiến bộ công nghệ và mức độ rủi ro ngày càng gia tăng, vai trò của các kiểm toán viên (KTV) công nghệ thông tin (CNTT) đang chuyển đổi đáng kể, đặc biệt là ở khả năng nhận diện rủi ro và phân tích để biến dữ liệu thô thành những câu chuyện có sức thuyết phục, thu hút sự quan tâm của lãnh đạo.
6-.jpg
KTV đảm bảo rằng các khuyến nghị trong báo cáo kiểm toán không chỉ được lắng nghe mà còn được thực thi. Ảnh: ST

Rủi ro cao về vi phạm dữ liệu và bảo mật

Theo Hiệp hội Kiểm toán và Kiểm soát hệ thống thông tin (ISACA), các cuộc kiểm toán CNTT gần đây ghi nhận một vấn đề đặc biệt quan trọng liên quan đến quyền truy cập vào các ứng dụng thiết yếu chứa dữ liệu nhạy cảm của khách hàng. Nhiều hệ thống có thể bị truy cập trái phép, tạo nguy cơ lớn về vi phạm dữ liệu và xâm phạm bảo mật. Nguyên nhân cốt lõi xuất phát từ việc bộ phận chịu trách nhiệm kiểm soát thiếu nhận thức về bảo mật, truyền đạt thông tin chưa hiệu quả và thiếu tài liệu hướng dẫn đầy đủ.

Thống kê cho thấy các vụ việc nghiêm trọng liên quan đến CNTT trong năm 2025 đều có sự hiện diện của trí tuệ nhân tạo (AI). Chẳng hạn, vụ bê bối dữ liệu Cambridge Analytica của Facebook phơi bày những lo ngại về quyền riêng tư và đạo đức khi sử dụng phân tích dữ liệu AI và nền tảng mạng xã hội; gióng lên hồi chuông cảnh báo về thu thập - sử dụng dữ liệu không minh bạch.

Google cũng từng đối mặt với chỉ trích khi để nhà thầu nghe lén bản ghi âm từ công nghệ trợ lý giọng nói AI; đồng thời bị phản ứng dữ dội vì hợp tác với các bệnh viện Anh để phân tích dữ liệu bệnh nhân nhưng thiếu minh bạch và cơ chế quản trị dữ liệu. Một trường hợp nghiêm trọng khác là Grindr - ứng dụng hẹn hò - bị kiện vì chia sẻ dữ liệu cá nhân nhạy cảm (tình trạng sức khỏe, vị trí…) cho các nhà quảng cáo sử dụng công nghệ phân tích AI.

ISACA nhấn mạnh cần hành động ngay để cải thiện quản lý tài liệu, tăng cường đào tạo và nâng cao hiệu quả truyền thông trong thay đổi chính sách. Việc truy cập trái phép vào dữ liệu nhạy cảm không chỉ gây thiệt hại tài chính, ảnh hưởng uy tín mà còn khiến tổ chức phải đối mặt với chế tài pháp lý. Vì vậy, vai trò của KTV CNTT không dừng lại ở việc xác định rủi ro mà còn phải đón đầu rủi ro mới nổi và thúc đẩy thay đổi cần thiết.

Linh hoạt trong lập kế hoạch và thực hiện kiểm toán

Kiểm toán CNTT đòi hỏi sự nhạy bén để theo kịp bối cảnh công nghệ liên tục thay đổi. KTV cần định hình lại cách tổ chức hoạt động kiểm toán, trong đó kế hoạch kiểm toán phải linh hoạt, thích ứng nhanh với sự thay đổi về mô hình kinh doanh và rủi ro công nghệ. Phương pháp tiếp cận lặp lại giúp KTV liên tục tinh chỉnh quy trình, cập nhật thông tin mới và kịp thời nhận diện các mối đe dọa mới.

Cách tiếp cận linh hoạt cho phép KTV chia nhỏ nhiệm vụ phức tạp thành các phần dễ quản lý, có thể đánh giá và điều chỉnh theo thời gian thực. Điều này không chỉ nâng cao độ chính xác của phát hiện kiểm toán mà còn thúc đẩy văn hóa cải tiến liên tục. Đồng thời, sự linh hoạt giúp KTV ưu tiên lại các hạng mục kiểm toán khi xuất hiện rủi ro mới, bảo đảm hoạt động kiểm toán luôn phù hợp và kịp thời.

6-anh-2-2-2.jpg
KTV biến dữ liệu thô thành những câu chuyện hấp dẫn, thu hút lãnh đạo. Ảnh: ST

Một lĩnh vực trọng tâm là an ninh mạng với 5 thành phần chính: Tính bảo mật; tính toàn vẹn (dữ liệu không bị sửa đổi hoặc giả mạo); tính khả dụng (người dùng truy cập khi cần); tính trách nhiệm; và khả năng kiểm toán (giám sát hiệu suất, bảo mật). Đây là nền tảng của mọi chiến lược quản trị CNTT vững chắc.

Bên cạnh đó, KTV có vai trò quan trọng trong đánh giá mức độ tuân thủ của tổ chức. Các tiêu chuẩn quốc tế như NIST, ISO, IEC thường được sử dụng để xác định lỗ hổng tuân thủ và xử lý trước khi phát sinh rủi ro pháp lý.

Thực tiễn cho thấy KTV có thể mắc những sai sót như: Đánh giá rủi ro chưa đầy đủ; bỏ sót phạm vi kiểm toán; không đánh giá toàn diện hạ tầng CNTT; đề xuất biện pháp kiểm soát không phù hợp; thiếu giao tiếp với các đơn vị liên quan; hoặc chỉ kiểm toán một lần thay vì liên tục.

Theo ISACA, vai trò của kiểm toán viên CNTT không chỉ là xác định rủi ro mà còn đón đầu các rủi ro mới nổi, thúc đẩy những thay đổi cần thiết trong tổ chức.

ISACA khuyến nghị KTV mở rộng phạm vi và thử nghiệm công cụ, phương pháp mới. Việc mô phỏng tình huống cho nhiều nhóm người dùng khác nhau giúp KTV hiểu rõ cách hệ thống và biện pháp kiểm soát được sử dụng, từ đó điều chỉnh phương pháp kiểm toán phù hợp với mức độ truy cập và lỗ hổng riêng của từng nhóm.

Bên cạnh thử nghiệm, đổi mới trong kiểm toán CNTT bao gồm việc tận dụng AI, học máy và phân tích dữ liệu để tăng hiệu quả. Các công cụ này giúp cung cấp dữ liệu chuyên sâu về rủi ro và xác định vấn đề tiềm ẩn trước khi trở nên nghiêm trọng. Ví dụ, KTV có thể tạo chuỗi lời nhắc để phân tích báo cáo kiểm soát hệ thống và tổ chức (SOC), so sánh chính sách bảo mật của tổ chức, làm nổi bật sự khác biệt để rút ngắn thời gian kiểm toán.

Kết hợp kỹ năng phân tích và trình bày, KTV giúp đảm bảo rằng các khuyến nghị kiểm toán không chỉ được tiếp nhận mà còn được triển khai, hỗ trợ lãnh đạo đưa ra quyết định sáng suốt và nâng cao hiệu quả hoạt động.

Với kiểm toán CNTT, KTV không chỉ giỏi chuyên môn mà còn cần khả năng giao tiếp tốt, biết cách chuyển dữ liệu thô thành câu chuyện có chiều sâu - vượt qua khuôn khổ báo cáo kỹ thuật truyền thống. KTV lồng ghép phân tích vào bối cảnh rộng hơn, gia tăng giá trị và sức thuyết phục của từng phát hiện./.

THÙY LÊ