VD Nguy cơ Bằng chứng kiểm toán Thủ tục kiểm toán

Quản lý -Lỗi con người (có chính sách -Nhật ký truy cập, báo cáo
kiểm soát nhưng không tuân thủ). nhật ký truy vết hoặc các
truy cập -Sự xâm nhập trái phép. logfile.
-Tấn công có chủ đích bằng -Danh sách người dùng và
phần mềm (đánh cắp mật khẩu). quyền truy cập của họ.
-Xâm phạm quyền sở hữu trí tuệ -Chính sách của công ty.
(sử dụng phần mềm không có -Phiên bản cập nhật của phần
bản quyền → không đủ chức mềm hệ thống.
năng kiểm soát truy cập).
-Công nghệ lạc hậu
-Kiểm toán viên sẽ kiểm tra xem các chính sách và
thủ tục kiểm soát truy cập có đầy đủ các nội dung
cần thiết để ngăn chặn truy cập trái phép vào hệ
thống thông tin hay không
-Kiểm toán viên sẽ kiểm tra xem các chính sách và
thủ tục kiểm soát truy cập có phù hợp với thực tế
của doanh nghiệp hay không
-Quan sát quá trình làm việc của nhân viên
-Kiểm toán viên sẽ kiểm tra xem các chính sách và
thủ tục kiểm soát truy cập có được thực hiện một
cách hiệu quả hay không

Quản lý -Lỗi phần mềm (do bản thân
kiểm soát phần mềm đã có sai sót, do
thay đổi người lập trình cố tình tạo ra lỗi
với lý do lành tính, hoặc do sự
kết hợp giữa phần cứng và phần
mềm tạo ra lỗi mới).
-Công nghệ lạc hậu → KS truy
-Nhật ký thay đổi -Phỏng vấn nhân viên quản lý HTTT, nhân viên phát
-Phiên bản cập nhật của phần triển phần mềm, nhân viên vận hành hệ thống.
mềm hệ thống. -Kiểm tra các tài liệu liên quan đến quản lý kiểm
-Chính sách, quy định, thủ tục soát thay đổi (Các quy định, chính sách về quản lý
phê duyệt thay đổi và thủ tục kiểm soát thay đổi, thủ tục, hướng dẫn thực hiện
kiểm tra sau khi thay đổi. quản lý kiểm soát thay đổi).
 cập không tốt.
-Lỗi con người

Quản lý -Lỗi phần mềm (do phần mềm -Chính sách và quy định về -Phỏng vấn nhân viên CNTT và các bên liên quan
trung tâm nâng cấp không tương thích làm quản lý trung tâm dữ liệu, khác để thu thập thông tin về các khía cạnh liên
dữ liệu, cho thông tin không còn chính mạng và hỗ trợ, bao gồm các quan đến quản lý trung tâm dữ liệu, mạng và hỗ trợ.
mạng và xác, hợp lý) chính sách về bảo mật, an -Kiểm tra các tài liệu CNTT (chính sách, quy định,
hỗ trợ -Sai lệch về chất lượng dịch vụ toàn, quyền truy cập, quản lý báo cáo,...)
(nhà cung cấp cung cấp sản thay đổi,... -Kiểm tra, đánh giá hiệu suất và khả năng tuân thủ
phẩm không như mong đợi) -Kế hoạch dự phòng và phục các yêu cầu của các hệ thống.
-Lỗi con người (nhập sai, tiết lộ hồi, bao gồm kế hoạch khôi
dữ liệu, xóa hoặc sửa dữ liệu, phục dữ liệu, kế hoạch khôi
lưu trữ dữ liệu ở nơi không an phục hệ thống,...
toàn). -Báo cáo bảo mật, báo cáo
-Những tác động từ thiên nhiên thay đổi
(bão, lũ lụt, động đất,...). -Danh sách tài sản CNTT
-Danh sách người dùng và
quyền truy cập
-Chính sách quy trình quản lý
hệ thống