3/20/2024

CHƯƠNG 6:
KIỂM TOÁN CÁC HOẠT ĐỘNG HỆ
THỐNG THÔNG TIN
(CHAPTER 11)

MỤC TIÊU
1. Mô tả tầm quan trọng của các chính sách và thủ tục vận hành hệ thống thông tin đối với tổ chức
và kiểm toán viên.
2. Giải thích cách kiểm soát xử lý dữ liệu và kiểm soát đầu ra đóng vai trò quan trọng trong việc
đảm tính đầy đủ, chính xác và hợp lệ của thông tin.
3. Thảo luận về các hướng dẫn và kiểm soát để bảo vệ tập tin dữ liệu và chương trình
4. Thảo luận về các kiểm soát và thủ tục liên quan đến quyền truy cập an ninh vật lý.
5. Thảo luận về các kiểm soát và thủ tục liên quan đến kiểm soát môi trường.
6. Thảo luận về các kiểm soát và thủ tục liên quan đến việc lưu trữ và bảo quản thông tin.
7. Giải thích kế hoạch liên tục kinh doanh là gì và tầm quan trọng của nó đối với tổ chức.
8. Giải thích kế hoạch khôi phục thảm họa là gì và các thành phần của nó. Thảo luận về mục tiêu
và thủ tục khi kiểm toán một kế hoạch như vậy.
9. Mô tả tầm quan trọng của các nhóm tính toán của người dùng cuối và các bước thực hiện khi
kiểm toán các nhóm như vậy.
10.Mô tả sự liên quan của kiểm toán trong việc kiểm tra hoạt động hệ thống thông tin.

NỘI DUNG
1. Chính sách & thủ tục về các hoạt động HTTT
2. Xử lý dữ liệu
3. Bảo vệ chương trình & tập tin dữ liệu
4. Kiểm soát truy cập và an toàn vật lý
5. KIểm soát môi trường
6. Sao lưu chương trình & dữ liệu
7. Kế hoạch kinh doanh liên tục
8. Kế hoạch khắc phục thảm hoạ
9. Kiểm toán máy tính người dùng cuối
10. Kiểm toán hoạt động HTTT

1
 3/20/2024

1. CHÍNH SÁCH VÀ THỦ TỤC VỀ CÁC HOẠT ĐỘNG HTTT

Chính sách và thủ tục liên quan các hoạt động HTTT đảm bảo rằng các hoạt động HTTT:
• Hỗ trợ lập kế hoạch, thực hiện, giám sát và duy trì tính liên tục của các chương trình CNTT.
• Thúc đẩy quá trình xử lý và ghi nhận các nghiệp vụ kinh doanh một cách đầy đủ, chính xác và hợp lệ.
• Được thực hiện trong điều kiện bảo vệ tính toàn vẹn của thông tin kinh doanh.
• Là thích hợp để bảo vệ của việc lưu trữ các tập tin dữ liệu và chương trình.

Tuy nhiên, chính sách và thủ tục vận hành HTTT:

• Không thường được cập nhật
• Không thường được thực hiện
• Một số nhân viên có kinh nghiệm có thể không tuân thủ chính sách và thủ tục cũng như không chuyển giao kiến
thức của họ cho nhân viên khác

1. CHÍNH SÁCH VÀ THỦ TỤC VỀ CÁC HOẠT ĐỘNG HTTT

Do đó, mục tiêu và các hoạt động kiểm toán CS và thủ tục:
• Ban giám đốc nên coi việc tạo, xem xét và cập nhật chính sách và thủ tục về các hoạt động HTTT là một kiểm soát
cực kỳ quan trọng.
• Cập nhật và xem xét các chính sách và thủ tục này nên được thực hiện định kỳ. Điều này có thể được thực hiện
thông qua việc quan sát thực hiện để xác định liệu các chính sách và thủ tục hiện tại có được tuân thủ trong hoạt
động hàng ngày của HTTT hay không.
• Khi đánh giá chính sách và thủ tục, tổ chức phải cung cấp tài liệu hoạt động HTTT, cũng như tiêu chuẩn để chuẩn
bị tài liệu và cách thức đảm bảo việc duy trì tài liệu đó. Những điều này để đảm bảo khi nhân viên thay đổi công
việc, bị ốm, hoặc rời khỏi tổ chức, người thay thế có thể thực hiện công việc của nhân viên đó một cách đủ hiệu
quả. Nhà quản lý hoạt động HTTT cũng phải thường xuyên kiểm thử tài liệu để đảm bảo tính rõ ràng, đầy đủ, thích
hợp và chính xác.

2. XỬ LÝ DỮ LIỆU
Ví dụ xử lý dữ liệu
Việc chuyển sổ hàng ngày từ nhật ký chung vào sổ cái (G/L)
• Bắt đầu với 1 lô các bút toán đã được phê duyệt nhưng chưa chuyển sổ, dự kiến việc chuyển sổ
sẽ thực hiện ban đêm hoặc vào thời gian thấp điểm.
• Nếu xử lý thành công, trạng thái của lô các bút toán sẽ thay đổi để biết rằng các bút toán đã
được chuyển sổ (các bút toán đã được cập nhật sổ cái)
• Nếu lỗi xảy ra, ngăn cản việc chuyển sổ thành công, thì báo cáo được tạo ra để chi tiết lỗi này.
Nếu kiểm soát xử lý dữ liệu hữu hiệu, sẽ phát hiện những vấn đề này khi chúng xảy ra và sẽ
nhắc nhở người vận hành HTTT sửa chữa và giải quyết lỗi. Nếu các kiểm soát xử lý dữ liệu
không hoạt động bình thường, hệ thống xử lý dữ liệu dễ bị tấn công.
Kiểm soát xử lý dữ liệu giữ vai trò quan trọng trong việc đảm bảo tính chính xác, đầy đủ và hợp lệ
của thông tin. Những kiểm soát xử lý này hướng tới việc ngăn ngừa, phát hiện và sửa sai/bù đắp.
• Kiểm soát ngăn ngừa đảm bảo các sự kiện diễn ra như dự kiến
• Kiểm soát phát hiện phát tín hiệu cảnh báo hoặc chấm dứt một chức năng hoặc ngừng xử lý
thêm khi hệ thống bị tấn công hoặc xảy ra lỗi.
• Kiểm soát sửa sai/bù đắp có thể thực hiện cảnh báo hoặc chấm dứt một chức năng nhưng
chúng cũng phục hồi hoặc sửa chữa một phần hệ thống về trạng thái thích hợp.

2
 3/20/2024

2. XỬ LÝ DỮ LIỆU
Lỗi trong xử lý dữ liệu thường liên quan đến việc lập kế hoạch công việc và giám sát thực tế quá trình xử lý công việc.
Kiểm soát xử lý dữ liệu quan trọng: ghi nhật ký để ghi lại mọi sự kiện hoặc lỗi bất thường do xử lý dữ liệu, theo thời gian và chi tiết.
Nhật ký này có thể sử dụng để xác định xu hướng bất lợi, phát hiện truy cập trái phép, cấp cấp nguồn dữ liệu để xác định nguyên
nhân gốc rễ gay ra lỗi hệ thống.
Để phát hiện lỗi/ các sự kiến bất thường, nhà quản lý thường hỏi:
1. Có những kiểm soát thích hợp để giảm lỗi xử lý dữ liệu và duy trì tính toàn vẹn của dữ liệu đã được xử lý không?
2. Có công cụ tự động để thực hiện các công việc đã lên lịch (vd giao diện dữ liệu đã được lên lịch, thanh công cụ lọc dữ liệu,
…?
3. Các loại công việc được lên kế hoạch là gì?
4. Các thay đổi như thêm, sửa, xoá công việc và lịch trình đã lên được thực hiện ntn? Và ai có thể thực hiện những thay đổi đó?
5. Hệ thống có sử dụng các kiểm tra xử lý để phát hiện lỗi hoặc dữ liệu sai trong quá trình xử lý dữ liệu không? Nếu có, là kiểm
tra nào?
6. Quy trình được sử dụng để giám sát việc hoàn thành quá trình xử lý công việc một cách thành công là gì?
7. Quá trình giám sát và rà soát để đảm bảo rằng các trường hợp ngoại lệ hoặc sai sót được xác định trong quá trình xử lý công
việc được giải quyết kịp thời như thế nào?
8. Có sẵn các kỹ thuật để phát hiện việc xử lý lại các dữ liệu sai sót không?
9. Ai chịu trách nhiệm rà soát và theo dõi ngoại lệ đối với việc xử lý lại dữ liệu sai sót?
10. Những báo cáo nào được xem xét và những hệ thống và cơ chế thông báo nào hiện đang được áp dụng?

2. XỬ LÝ DỮ LIỆU
Kiểm soát đầu ra theo sau kiểm soát xử lý dữ liệu và cũng quan trọng trong việc đảm bảo
tính chính xác, đầy đủ và cung cấp thông tin.
Trong môi trường tự động hoá, hầu hết báo cáo đầu ra đều hiển thị trực tuyến hoặc có thể in
và xử lý bằng máy.
Cần có các kiểm soát đầu ra để đảm bảo kết quả đầu ra/ báo cáo được tạo ra là:
• An toàn và bảo mật, quyền riêng tư
• Đầy đủ và chính xác thông qua việc thực hiện:
 Kiểm tra cân bằng và đầy đủ
 So sánh trường dữ liệu chính
 Kiểm tra thông tin còn thiếu
 Có quy trình ghi nhận lại tất cả/ một phần các lỗi đầu ra đã phát hiện.
 Có các biện pháp kiểm soát bổ sung với thông tin nhạy cảm (danh sách khách hàng, bí mật thương mại, dữ
liệu bảng lương, dữ liệu độc quyền…)

2. XỬ LÝ DỮ LIỆU
Kiểm toán CNTT
Mục tiêu: Xác định liệu các hoạt động HTTT có hỗ trợ lập kế hoạch, thực hiện, giám sát và đảm bảo
tính liên tục đầy đủ của các hệ thống, chương trình và quy trình để đảm bảo xử lý và ghi nhận các
nghiệp vụ tài chính đầy đủ, chính xác và hợp lệ hay không.
Một số hoạt động kiểm soát:
(1) quá trình xử lý theo lô và/hoặc trực tuyến có được xác định, thực hiện kịp thời và được giám sát
để hoàn thành thành công hay không
(2) các trường hợp ngoại lệ được xác định trong quá trình xử lý theo lô và/hoặc trực tuyến có được
thực hiện hay không. được xem xét và sửa chữa kịp thời để đảm bảo việc xử lý thông tin tài chính
chính xác, đầy đủ và hợp pháp. Việc giải quyết những vấn đề này sẽ đảm bảo rằng dữ liệu được
xử lý hợp lệ và mọi trường hợp ngoại lệ được ghi nhận trong khi xử lý đều được phát hiện và sửa
chữa.

3
 3/20/2024

3. BẢO VỆ CHƯƠNG TRÌNH & TẬP TIN DỮ

LIỆU
Môi trường CNTT cần có:
• Thư viện dữ liệu và các thủ tục kiểm soát quyền truy cập vào chương trình, tệp dữ
liệu và tài liệu
VD: Các tập tin được dán nhãn rõ ràng và chính xác
• Các thủ tục của thư viện đảm bảo rằng chỉ những người được ủy quyền mới nhận
được các tập tin, chương trình hoặc tài liệu và duy trì việc kiểm kê các phương tiện
lưu trữ tập tin
• Kiểm soát được khuyến nghị : Chỉ định một người toàn thời gian (không phụ thuộc
vào hoạt động máy tính ) làm thủ thư

10

4. KIỂM SOÁT TRUY CẬP VÀ AN TOÀN VẬT LÝ

Mục tiêu của kiểm soát truy cập và an toàn vật lý: ngăn chặn hành vi trộm cắp, phá hoại hoặc truy cập trái phép vào
dữ liệu, phần mềm; đồng thời kiểm soát chuyển động của máy chủ, thiết bị liên quan đến mạng và thiết bị đính kèm.

Kiểm soát truy cập và an toàn vật lý phổ biến gồm:

• Ổ khóa truyền thống
• Phù hiệu nhân sự
• Cửa từ có mã bảo vệ (dành cho phòng máy chủ)
• Thiết bị giám sát video và truyền hình mạch kín
• Xác thực sinh trắc học (quét võng mạc, dấu vân tay, v.v.)
• Các báo động an ninh
• Nhật ký khách tham quan (visitors log)
• Nhân viên bảo vệ, lễ tân sàng lọc du khách
• Vị trí thiết bị văn phòng và thiết bị mạng
Quyền thay đổi các kiểm soát truy cập và an toàn vậ lý phải được kiểm soát đầy đủ và giới hạn chỉ những nhân viên
phù hợp (vd; HRM…)

11

5. KIỂM SOÁT MÔI TRƯỜNG

Môi trường văn phòng (độ ẩm, nhiệt độ, vị trí địa lý, thói quen của nhân viên…) có thể không
phù hợp với máy tính (do độ nhạy của thiết bị máy tính với bụi, nước, thực phẩm, chất gây ô
nhiễm…).
Kiểm soát môi trường:
1. chính sách cấm thực phẩm, chất lỏng và tương tự để gần máy chủ, thiết bị mạng;
2. đo nhiệt độ, độ ẩm, chất ô nhiễm, bụi của văn phòng định kỳ,
3. có biện pháp tránh tăng điện, và mất điện như:
Cung cấp các nguồn điện thay thế trong trường hợp mất điện kéo dài
Lắp đặt thiết bị ổn định nguồn điện
Cung cấp máy phát điện dự phòng
Bảo vệ cáp điện
4. Thiết bị chữa cháy và nâng sàn
5. Có khu vực lưu trữ biệt lập

12

4
 3/20/2024

6. SAO LƯU CHƯƠNG TRÌNH VÀ DỮ LIỆU

• Các tổ chức có thể được yêu cầu phải duy trì hoặc lưu trữ thông tin và hồ sơ trong một
khoảng thời gian nhất định.
• Trong môi trường CNTT, kho lưu trữ gồm bản sao của các chương trình quan trong (hệ điều
hành, ứng dụng và CSDL) và dữ liệu.
• Chương trình và dữ liệu cần được lưu ở vị trí an toàn (tại chỗ và bên ngoài cơ sở) để có thể
phục hồi trong trường hợp hệ thống bị lỗi nghiêm trọng.
 Bản sao lưu tại chỗ phải được lưu trữ tại kho trung tâm máy tính và chỉ những người được uỷ quyền
mới được tiếp
 Bản sao lưu bên ngoài phải được lưu ở khu vực chỉ dành cho nhân viên được uỷ quyền, và vị trí bên
ngoài phải có đầy đủ kiểm soát vật lý và truy cập
• Các bản sao lưu phải được lên lịch lưu tự động theo chu kỳ (hàng ngày, hàng tuần, hàng
tháng, hàng quý, hàng nửa năm, hàng năm) tuỳ thuộc loại dữ liệu (dữ liệu nhạy cảm, dữ liệu
hoạt động và tài chính, dữ liệu chung và dữ liệu công cộng)
• Các bản sao cần được kiểm tra thường xuyên để tránh bị mất sớm do phương tiện bị hỏng.

13

6. SAO LƯU CHƯƠNG TRÌNH VÀ DỮ LIỆU

Lợi ích của sao lưu đám mây:
• Tập tin có sẵn ở mọi nơi và không phụ thuộc vào bất kỳ máy tính hoặc máy chủ nào
• cho phép khôi phụ dữ liệu nhanh chóng
• Tiết kiệm chi phí lưu trữ
• Khả năng sao lưu thường xuyên hơn
• Khả năng lưu trữ dữ liệu quan trọng, ngoại vi
• Có thể thuê ngoài dịch vụ sao lưu đám mây từ các đơn vị thứ ba chuyên về sao
lưu và bảo mật dữ liệu

14

7. KẾ HOẠCH DUY TRÌ HOẠT ĐỘNG KINH DOANH

Mục tiêu của Kế hoạch duy trì hoạt động kinh doanh (BCP): mô tả các quy trình, thủ tục cần thực hiện trong trường
hợp khẩn cấp để đạt được sự phục hồi kịp thời và tính sẵn có của tất cả các quy trình kinh doanh cốt lõi, bao gồm cả
hệ thống thông tin.
BCP thường đề cập đến:
• Vị trí xử lý máy tính chính
• Hệ thống ứng dụng và yêu cầu của người dùng đối với quy trình kinh doanh chính
• Hoạt động của người dùng cuối cho các quy trình kinh doanh chính
• Viễn thông và mạng
• Cơ sở dữ liệu chính, kho thông tin …
• Nhân sự
• An toàn thông tin của nhân viên
Hoạt động kiểm soát: Kiểm toán viên CNTT kiểm tra:
• BCP đã được ban giám đốc xem xét và phê duyệt dựa trên đánh giá tác động kinh doanh.
• BCP có được kiểm tra và cập nhật thường xuyên

15

5
 3/20/2024

8. KẾ HOẠCH KHẮC PHỤC THẢM HỌA (DRP)

Thảm hoạ (tự nhiên hay không tự nhiên) đều tạo ra hỗn loạn kinh tế và gián đoạn kinh daonh nghiêm trọng.
DRP là công cụ sinh tồn giúp doanh nghiệp ứng phó mối đe doạ và phục hồi sau một sự kiện làm gián đoạn hoạt động kinh
doanh bình thường.
DRP nên được thể hiện bằng văn bản, được hỗ trợ bởi ban giám đốc và được cập nhật và kiểm tra thường xuyên
Thành phần của DRP:
1. Mục tiêu và tuyên bố sứ mệnh
2. Nhân sự chủ chốt tham gia
3. Sao lưu dữ liệu và chương trình đầy đủ và tích luỹ
4. Kiểm tra và diễn tập
5. Sao lưu chương trình và dữ liệu được lưu trữ bên ngoài trang web
6. Bổ nhiệm Chủ tịch và ủy ban khắc phục thảm họa
7. Số điện thoại khẩn cấp
8. Danh sách tất cả các ứng dụng phần cứng và phần mềm quan trọng
9. Bảo hiểm
10. Kế hoạch truyền thông
11. Tài liệu vận hành và hệ thống cập nhật
12. Kế hoạch di dời nhân viên đến các địa điểm làm việc thay thế

16

8. KẾ HOẠCH KHẮC PHỤC THẢM HỌA (DRP)

Kiểm toán DRP
• Phải có sẵn tài liệu hỗ trợ các cuộc diễn tập hoặc thực hiện thử nghiệm mô phỏng
thảm họa.
 Trừ khi DRP được kiểm tra, nếu không nó hiếm khi có thể sử dụng được.
 Các thử nghiệm làm giảm nguy cơ hiểu sai khi một thảm họa thực sự xảy ra và kế hoạch DRP
được triển khai
 Các cuộc kiểm tra cũng mang lại cho ban quản lý cơ hội phát hiện những điểm yếu và cải thiện
quy trình.
 Thật không may, các tổ chức thường không muốn thực hiện thử nghiệm vì sự gián đoạn xảy ra
với hoạt động hàng ngày và lo ngại rằng một thảm họa thực sự có thể phát sinh do quy trình thử
nghiệm .

17

8. KẾ HOẠCH KHẮC PHỤC THẢM HỌA (DRP)

Kiểm toán DRP
• Các kiểm soát mà kiểm toán viên CNTT có thể đánh giá và kiểm tra bao gồm:
Tất cả các phương tiện truyền thông (băng, sách hướng dẫn, sách hướng dẫn, v.v.) được lưu trữ
ở một vị trí có kiểm soát môi trường an toàn .
Mua và duy trì các bảo hiểm phù hợp
Khả năng đọc liên tục của dữ liệu sao lưu và lưu giữ được kiểm tra định kỳ thông qua việc phục
hồi hoặc các phương pháp khác.
Thiết bị truyền thông di động được dán nhãn để cho phép nhận dạng thích hợp.

18

6
 3/20/2024

9. KIỂM TOÁN MÁY TÍNH NGƯỜI DÙNG CUỐI

Các nhóm máy tính ngừoi dùng cuối phát triển nhanh chóng, do người lao động có
năng lực, ứng dụng công nghệ để giúp doanh nghiệp giải quyết vấn đề.
Kiểm toán viên giúp xác định ứng dụng nào nhạy cảm và cần chú ý đặc biệt và đề
xuất các kiểm soát dành cho các ứng dụng của nhóm máy tính người dùng cuối. Khi
thực hiện kiểm soát, kiểm toán viên sẽ đánh giá tính đầy đủ và hiệu quả của chúng.

19

10. KIỂM TOÁN VẬN HÀNH HTTT

Mục tiêu chung của kiểm toán hoạt động IS là để đảm bảo rằng:
◾ Hoạt động CNTT hỗ trợ lập kế hoạch, thực hiện, giám sát và tính liên tục đầy đủ
của các hệ thống, chương trình và quy trình để đảm bảo xử lý và ghi lại các giao
dịch tài chính đầy đủ, chính xác và hợp lệ.
◾ Việc sao lưu thông tin tài chính được lên kế hoạch, quản lý và giám sát phù hợp,
đảm bảo thông tin chính xác và đầy đủ. Thông tin được sao lưu cũng có thể đọc
được và phục hồi một cách hữu hiệu mà không có tác động lớn.
◾ Quyền truy cập vật lý được quản lý phù hợp để bảo vệ các thành phần liên quan
của cơ sở hạ tầng CNTT và tính toàn vẹn của thông tin tài chính.

20

10. KIỂM TOÁN VẬN HÀNH HTTT

Kiểm toán hoạt động HTTT không đầy đủ có thể dẫn đến những rủi ro sau:
◾ Xử lý các giao dịch tài chính không đầy đủ hoặc không chính xác cho dù được
thực hiện theo lô hay trực tuyến.
◾ Không có khả năng tái tạo (hoặc phục hồi) dữ liệu tài chính từ tài liệu nguồn sau
trường hợp khẩn cấp hoặc sự cố hoặc lỗi hệ thống nghiêm trọng.
◾ Nhân viên bất hợp pháp có thể truy cập vào các cơ sở, điều này có thể dẫn đến
mất hoặc thay thế dữ liệu, chương trình và báo cáo đầu ra hoặc gây thiệt hại có hại
cho cơ sở hạ tầng và thiết bị máy tính.

21

7
 3/20/2024

10. KIỂM TOÁN VẬN HÀNH HTTT

Ví dụ về các biện pháp kiểm soát và thủ tục thường được kiểm toán viên CNTT sử dụng khi kiểm tra việc xử lý dữ liệu:
◾ Xử lý theo lô và/hoặc trực tuyến được xác định, thực hiện kịp thời và theo dõi để hoàn thành thành công.
◾ Các trường hợp ngoại lệ được xác định trong quá trình xử lý theo lô và/hoặc trực tuyến đều được xem xét và sửa
chữa kịp thời để đảm bảo xử lý thông tin tài chính chính xác, đầy đủ và được ủy quyền.
Để đảm bảo việc sao lưu có hiệu quả và thông tin chính xác, đầy đủ và được phục hồi mà không có tác động lớn, kiểm
toán viên CNTT có thể đánh giá và kiểm tra các hoạt động kiểm soát như :
◾ Các quy trình phục hồi và khôi phục thông tin tài chính từ các bản sao lưu liệu đã được triển khai trong trường hợp
các quy trình xử lý bị gián đoạn, ngừng hoạt động và khởi động lại.
◾ Các công cụ sao lưu tự động đã được triển khai để quản lý kế hoạch và lịch trình lưu giữ dữ liệu.
◾ Các bản sao lưu được kiểm soát, dán nhãn thích hợp, được lưu trữ ở một vị trí an toàn về ở bên ngoài cơ sở và
được luân chuyển đến cơ sở đó một cách định kỳ.
◾ Lập kế hoạch và lịch trình quản lý (1) sao lưu và lưu giữ dữ liệu và (2) xóa và giải phóng phương tiện khi không
cần lưu giữ nữa.
◾ Ban giám đốc định kỳ xem xét hồ sơ lưu giữ và giải phóng.
◾ Các bản sao lưu được lưu trữ bên ngoài trang web để giảm thiểu rủi ro mất dữ liệu.
◾ Ban giám đốc định kỳ xem xét việc hoàn thành sao lưu để đảm bảo tính nhất quán với sao lưu và có kế hoạch và
lịch trình duy trì.
◾ Việc kiểm tra khả năng đọc của bản sao lưu được thực hiện định kỳ. Kết quả liệu có giúp hỗ trợ kịp thời và phục
hồi thành công dữ liệu đã sao lưu.
◾ Quy trình khôi phục và phục hồi thông tin tài chính từ các bản sao lưu đã được triển khai trong trường hợp các quy
trình xử lý bị gián đoạn, tắt và khởi động lại phù hợp với các chính sách và quy trình CNTT.

22

10. KIỂM TOÁN VẬN HÀNH HTTT

Để đảm bảo liệu quyền truy cập vật lý có được quản lý phù hợp để bảo vệ các thành phần liên quan của cơ sở hạ tầng CNTT và tính
toàn vẹn của thông tin tài chính, kiểm toán viên CNTT có thể đánh giá và kiểm tra xem:

◾ Quyền truy cập vật lý được ủy quyền, giám sát và hạn chế đối với những cá nhân yêu cầu quyền truy cập đó để thực hiện nhiệm vụ
công việc của họ.

◾ Người dùng nào có quyền truy cập vào trung tâm dữ liệu hoặc phòng máy tính

◾ Cơ chế kiểm soát truy cập vật lý (ví dụ: thẻ truy cập, sinh trắc học, ổ khóa truyền thống, nhân viên bảo vệ, v.v.) được sử dụng để hạn
chế và ghi lại quyền truy cập vào tòa nhà và máy tính phòng, và thẩm quyền thay đổi cơ chế đó được giới hạn ở những nhân sự phù
hợp.

◾ Xác thực sinh trắc học được sử dụng thông qua vân tay, tĩnh mạch lòng bàn tay, nhận dạng khuôn mặt, mống mắt, nhận dạng, quét
võng mạc, xác minh giọng nói, v.v.

◾ Việc ra vào của những người không có phận sự được giám sát và và ghi lại, nhật ký đó được duy trì và được quản lý CNTT xem xét
thường xuyên.

◾ Có chính sách và thủ tục để cấp quyền truy cập vào trung tâm dữ liệu.

◾ Yêu cầu và phê duyệt là bắt buộc và phải được hoàn thành trước khi cấp quyền truy cập vật lý.

◾ Có sẵn một quy trình để thay đổi quyền truy cập của nhân viên được thuyên chuyển và/hoặc bị chấm dứt hợp đồng vào trung tâm dữ
liệu. Hãy xem xét (1) nêu tên các nhân sự có liên quan; (2) họ được thông báo như thế nào để loại bỏ quyền truy cập đó vào trung tâm
dữ liệu; và (3) quyền truy cập được thay đổi kịp thời như thế nào để phản ánh trạng thái mới của họ.

◾ Đánh giá quyền truy cập của người dùng diễn ra thường xuyên để hỗ trợ quyền truy cập vật lý hiện tại được cấp cho môi trường
CNTT và trung tâm dữ liệu lưu trữ các ứng dụng tài chính, cơ sở dữ liệu, hệ điều hành và các kho lưu trữ thông tin tài chính khác có liên
quan.

23

10. KIỂM TOÁN VẬN HÀNH HTTT

Kiểm toán trung tâm dữ liệu:
Kiểm tra trung tâm dữ liệu được thực hiện để đánh giá các biện pháp kiểm soát
hành chính đối với tài nguyên của trung tâm dữ liệu và nhân viên xử lý dữ liệu (vận
hành IS, phân tích hệ thống và lập trình).
Phạm vi kiểm toán có thể bao gồm đánh giá việc lập kế hoạch, nhân sự, chính
sách/thủ tục, phân công trách nhiệm, ngân sách, báo cáo quản lý và đo lường hiệu
suất trong các lĩnh vực như: quản lý phần cứng, quản lý phần mềm, bảo vệ và phục
hồi tài nguyên, kiểm soát truy cập , quản lý hoạt động và quản lý mạng/truyền thông.
Kiểm tra trung tâm dữ liệu có thể tập trung vào một/ tất cả trách nhiệm này tùy thuộc
quy mô của trung tâm dữ liệu, nhân viên vận hành và ngân sách thời gian. Ví dụ: đối
với một trung tâm dữ liệu lớn có nhiều máy tính và số lượng lớn người dùng, việc
kiểm tra có thể chỉ tập trung vào kiểm soát truy cập và quản trị bảo mật. Đối với một
trung tâm dữ liệu nhỏ, việc kiểm tra có thể bao gồm tất cả các trách nhiệm giải trình.

24

8
 3/20/2024

10. KIỂM TOÁN VẬN HÀNH HTTT

Kiểm toán trung tâm dữ liệu:
Mục tiêu chung của kiểm toán trung tâm dữ liệu: xác định rủi ro kiểm toán trong môi trường vận hành HTTT và
các kiểm soát nhằm giảm thiểu những rủi ro kiểm toán đó theo ý định của ban giám đốc.
Kiểm toán viên CNTT phải đánh giá các cơ chế kiểm soát và xác định xem các mục tiêu có đạt được hay
không.
Việc chuẩn bị trước kiểm toán là cần thiết để kiểm tra trung tâm dữ liệu hiệu quảbao g, ồm cuộc họp với ban
quản lý CNTT để xác định các lĩnh vực có thể quan tâm. Tại cuộc họp này, cần thu thập các thông tin sau:
◾ Sơ đồ tổ chức CNTT hiện tại
◾ Mô tả công việc hiện tại của nhân viên trung tâm dữ liệu CNTT
◾ Danh sách phần mềm ứng dụng được hỗ trợ và phần cứng lưu trữ chúng
◾ Chính sách và thủ tục CNTT
◾ Tài liệu quy hoạch hệ thống và ngân sách tài chính
◾ Kế hoạch kinh doanh liên tục và khắc phục thảm họa

25

• Sử dụng Phụ lục 3

26

BÀI TẬP
1, Liệt kê thông tin mà kiểm toán viên CNTT nên yêu cầu hoặc thu thập tại cuộc họp tiền kiểm toán để tiến hành
kiểm tra trung tâm dữ liệu. Tại sao thông tin này quan trọng đối với kiểm toán viên CNTT?
2. Ghi lại các mục tiêu kiểm toán phổ biến mà kiểm toán viên CNTT nên tập trung vào khi kiểm tra việc lưu trữ
thông tin. Ngoài ra, hãy liệt kê các hoạt động kiểm soát mà kiểm toán viên CNTT cần kiểm tra nhằm đáp ứng
các mục tiêu kiểm toán vừa nêu.
3. Một trong những đề xuất bạn đưa ra trong đợt kiểm toán CNTT năm ngoái là việc triển khai kế hoạch khắc
phục thảm họa. Khi thực hiện kiểm toán CNTT năm nay, bạn nhận thấy rằng mặc dù đã có kế hoạch nhưng kế
hoạch đó vẫn chưa được thử nghiệm. Ghi lại lý do tại sao kế hoạch khắc phục thảm họa nên được thử nghiệm.
4. Bạn là Kiểm toán viên CNTT cấp cao đang tiến hành cuộc họp lập kế hoạch kiểm toán với hai kiểm toán
CNTT của bạn. Chủ đề chính được thảo luận là việc kiểm toán các nhóm Máy tính người dùng cuối (EUC) của
công ty sắp tới. Một trong những kiểm toán viên CNTT, mới được tuyển dụng từ trường đại học, không chắc
chắn về các mục tiêu cụ thể cần đưa vào khi kiểm toán các nhóm EUC. Tóm tắt và ghi lại những mục tiêu này
cho kiểm toán viên CNTT của bạn.

27