Professional Documents
Culture Documents
IT - Audit - Chapter 5
IT - Audit - Chapter 5
CHƯƠNG 5:
RỦI RO & KIỂM SOÁT CÁC HỆ THỐNG ỨNG DỤNG
(CHAPTER 9)
MỤC TIÊU
1. Hiểu những rủi ro phổ biến liên quan đến hệ thống ứng dụng.
2. Hiểu những rủi ro phổ biến liên quan đến hệ thống ứng dụng phát triển
người dùng cuối.
3. Hiểu những rủi ro đối với các hệ thống trao đổi thông tin kinh doanh và
mô tả các tiêu chuẩn chung cho đánh giá kiểm toán. (đọc thêm)
4. Hiểu những rủi ro phổ biến liên quan các ứng dụng web (đọc thêm)
5. Giải thích các kiểm soát ứng dụng và cách chúng được sử dụng để bảo
vệ dữ liệu đầu vào, xử lý và thông tin đầu ra .
6. Thảo luận về sự tham gia của kiểm toán viên CNTT trong việc kiểm tra
các hệ thống ứng dụng.
1
3/20/2024
• Các ứng dụng cung cấp các tính năng tự động, những lợi thế hỗ trợ hữu hiệu cho quy
trình kinh doanh của tổ chức
• Các ứng dụng cũng gây ra rủi ro cần được quản lý để bảo vệ dữ liệu
2
3/20/2024
Truy cập từ xa cho phép người dùng trong một tổ chức truy cập vào mạng và tài nguyên máy tính của tổ chức đó từ các địa điểm
bên ngoài cơ sở của tổ chức.
Đặc điểm của truy cập từ xa làm gia tăng khả năng truy cập trái phép, cụ thể:
1. Các thiết bị khách (được sử dụng để truy cập từ xa) có xu hướng có khả năng bảo vệ yếu hơn so với các thiết bị khách tiêu
chuẩn hoặc dựa trên tổ chức. Ví dụ: các thiết bị này có thể không nhất thiết phải được quản lý bởi tổ chức và do đó, không
được xác định theo các quy tắc tường lửa và chống vi-rút.
2. Thông tin liên lạc truy cập từ xa có thể được truyền qua các mạng không đáng tin cậy, khiến thông tin liên lạc bị giám sát,
mất mát hoặc thao túng trái phép. Nói cách khác, nếu người dùng trong (hoặc bên ngoài) mạng của tổ chức có được quyền
truy cập trái phép:
◾ thông tin nhạy cảm và bí mật có thể gặp rủi ro và bị ảnh hưởng tiêu cực; Và
◾ virus máy tính có thể được đưa vào làm ảnh hưởng đến hồ sơ công ty, hiệu suất hoạt động của hệ thống máy tính
hoặc chỉ làm chậm mạng và tài nguyên của nó.
3
3/20/2024
10
11
12
4
3/20/2024
13
14
15
5
3/20/2024
16
17
18
6
3/20/2024
19
20
21
7
3/20/2024
22
23
24
8
3/20/2024
25
3. HIỂU NHỮNG RỦI RO ĐỐI VỚI CÁC HỆ THỐNG TRAO ĐỔI THÔNG
TIN KINH DOANH VÀ MÔ TẢ CÁC TIÊU CHUẨN CHUNG CHO ĐÁNH
GIÁ KIỂM TOÁN. (ĐỌC THÊM)
26
27
9
3/20/2024
28
29
• Kiểm soát ứng dụng kiểm tra các thủ tục cụ thể và duy nhất cho ứng dụng. Nó quan tâm đến tính
chính xác, đầy đủ, hợp lệ và ủy quyền của dữ liệu được thu thập, nhập, xử lý, lưu trữ, truyền tải và
báo cáo. Ví dụ: xác thực dữ liệu đầu vào, kiểm tra độ chính xác về mặt toán học của các bản ghi và
thực hiện kiểm tra trình tự số, …. Các biện pháp kiểm soát ứng dụng có thể sẽ hữu hiệu khi các biện
pháp kiểm soát chung hữu hiệu.
• Kiểm soát ứng dụng được triển khai tại các tổ chức gồm:
kiểm soát cấu hình hệ thống và/hoặc kiểm soát cấu hình ứng dụng;
kiểm soát liên quan đến bảo mật thực thi quyền truy cập, vai trò và phân chia nhiệm vụ của
người dùng;
kiểm soát các thông báo tự động để cảnh báo người dùng rằng một giao dịch hoặc quy trình
đang chờ hành động của họ.
Kiểm soát ứng dụng cũng kiểm tra các phép tính toán học, cân bằng tổng số giữa các công
việc,, sự đối chiếu giữa các hệ thống để đảm bảo tính chính xác và đầy đủ của các giao dịch…
30
10
3/20/2024
31
32
33
11
3/20/2024
34
35
36
12
3/20/2024
37
38
39
13
3/20/2024
40
41
42
14
3/20/2024
Giao Tiếp
• Khu vực đầu tiên cần làm rõ là phạm vi tham gia của kiểm toán viên IT.
Điều quan trọng là đảm bảo rằng kỳ vọng của ban giám đốc về vai trò của
kiểm toán viên IT được hiểu và được truyền đạt đến tất cả các bên liên
quan. Kiểm toán viên IT phải xây dựng một kênh liên lạc mở với cả ban
giám đốc và người dùng. Nếu mối quan hệ tích cực giữa những nhóm
này không tồn tại, thông tin có thể bị giữ lại khỏi kiểm toán viên IT. Mặc
dù kiểm toán viên IT nên phát triển mối quan hệ làm việc tích cực với tất
cả các nhóm có trách nhiệm thiết kế, kiểm toán viên IT phải duy trì sự độc
lập.
• Trong suốt quá trình kiểm toán, kiểm toán viên IT sẽ đưa ra các đề xuất
kiểm soát dựa trên các phát hiện đã xác định. Tùy thuộc vào văn hóa của
tổ chức, những đề xuất này có thể cần được xử lý một cách không chính
thức với mỗi chủ sở hữu ứng dụng chịu trách nhiệm cho khu vực hoặc
quy trình không đầy đủ, hoặc chính thức bằng cách trình bày chúng cho
ủy ban điều hành. Trong cả hai trường hợp, kiểm toán viên IT luôn phải
xem xét giá trị của đề xuất kiểm soát so với chi phí triển khai kiểm soát.
Những đề xuất nên cụ thể. Chúng nên xác định vấn đề chứ không phải
triệu chứng, và cho phép triển khai và kiểm thử các biện pháp kiểm soát
đúng cách. Các phát hiện, rủi ro xuất phát từ những phát hiện đó và đề
xuất kiểm toán thường được ghi chép trong một bức thư chính thức (vd: a
Management letter from an IT audit)
43
BÀI TẬP:
1.UEH có website bán các mặt hàng lưu niệm online, cho phép người học
có thể đặt hàng trực tiếp trên website. Mô tả ba rủi ro hệ thống ứng dụng
nổi bật nhất có thể góp phần vào việc truy cập trái phép vào thông tin đặt
hàng của người học. Xác định các kiểm soát cần thiết để giảm thiểu
những rủi ro đó.
2. Bộ phận sản xuất trong doanh nghiệp có một ứng dụng chấm công, nơi
nhân viên nhập số giờ làm việc của họ. Mô tả hai rủi ro hệ thống ứng dụng
nổi bật nhất và các biện pháp kiểm soát có thể giúp giảm thiểu những rủi ro
đó.
3. Các phòng ban trong công ty có chuyên viên kỹ thuật riêng để tạo và duy
trì các ứng dụng. Mô tả ba rủi ro liên quan đến thực tế này. Bạn sẽ đề xuất
những kiểm soát nào để giảm thiểu những rủi ro đó?
44
15