3/20/2024

CHƯƠNG 5:
RỦI RO & KIỂM SOÁT CÁC HỆ THỐNG ỨNG DỤNG
(CHAPTER 9)

MỤC TIÊU
1. Hiểu những rủi ro phổ biến liên quan đến hệ thống ứng dụng.
2. Hiểu những rủi ro phổ biến liên quan đến hệ thống ứng dụng phát triển
người dùng cuối.
3. Hiểu những rủi ro đối với các hệ thống trao đổi thông tin kinh doanh và
mô tả các tiêu chuẩn chung cho đánh giá kiểm toán. (đọc thêm)
4. Hiểu những rủi ro phổ biến liên quan các ứng dụng web (đọc thêm)
5. Giải thích các kiểm soát ứng dụng và cách chúng được sử dụng để bảo
vệ dữ liệu đầu vào, xử lý và thông tin đầu ra .
6. Thảo luận về sự tham gia của kiểm toán viên CNTT trong việc kiểm tra
các hệ thống ứng dụng.

1. RỦI RO PHỔ BIẾN LIÊN QUAN HỆ

THỐNG ỨNG DỤNG
Đặc điểm của hệ thống ứng dụng:
 Chứa đựng dữ liệu tập trung trong định dạng có thể dễ dàng truy cập. Sự tập trung dữ liệu này làm
tăng rủi ro. Nếu sai sót xảy ra trong quá trình nhập liệu thì tác động lỗi sẽ lớn vì hệ thống ứng dụng
phụ thuộc vào dữ liệu tập trung này.
 Số lượng hệ thống ứng dụng sử dụng tập trung ngày càng nhiều thì tác dụng càng lớn khi dữ liệu
không khả dụng do sự cố phần cứng hoăc phần mềm. VD: hệ thống ERP. Hệ thống ERP cung cấp
chức năng kinh doanh tiêu chuẩn trong hệ thống môi trường CNTT tích hợp (ví dụ: mua sắm, hàng
hoá, kế toán, nhân sự).
 Ưu của hệ thống ERP: ERP cho phép nhiều chức năng truy cập vào CSDL chung, do đó, giảm chi phí lưu trũ, tăng tính nhất
quán và chính xác của dữ liệu từ một nguồn duy nhất; góp phần cải thiện chất lượng và tính kịp thời của thông tin tài chính.
 Hạn chế của hệ thống ERP: Lỗi xử lý có thể ảnh hưởng nhanh chóng đến nhiều chức năng vì thông tin được chia sẻ nhưng
có nguồn gốc từ một CSDL.
 Rủi ro của hệ thống ERP:
1. Chi phí triển khai hệ thống ERP cao. ERP thường là phầm mềm đóng gói có sẵn, do đó, các tổ chức khi triển khai hệ
thống ERP thường có 02 lựa chọn:
 Tổ chức yêu cầu NCC sửa đổi hệ thống ERP để tạo ra một hê thống ERP dành riêng cho tổ chức, điều này đòi hỏi
những nỗ lực lập trình đáng kể từ NCC và sẽ đẩy chi phí phầm mềm ERP tăng cao
 Tổ chức sửa đổi hoạt động kinh doanh để phù hợp với phương pháp xử lý của hệ thống ERP. Những thay đổi trong
hoạt động kinh doanh có thể không phù hợp với văn hoá của tổ chức và gây tốn kém trong quá trình training. Ngoài
ra, có thể phải tích hợp thêm một số chức năng không có sẵn trong hệ thống ERP
2. Rủi ro liên quan đến việc tổ chức phụ thuộc vào NCC duy nhất (bảo trì, hỗ trợ cập nhật tính năng…)
3. Tính chuyên biệt của nguồn nhân lực để tuỳ chỉnh và triển khai hệ thống ERP. Công ty tốn nguồn lực phát triển đội ngũ
nhân sự riêng, đảm nhiệm trách nhiệm duy trì hệ thống ERP và cầm tìm giải pháp để giữ chân nguồn lực chuyên biệt này.

1
 3/20/2024

1. RỦI RO PHỔ BIẾN LIÊN QUAN HỆ

THỐNG ỨNG DỤNG

• Các ứng dụng cung cấp các tính năng tự động, những lợi thế hỗ trợ hữu hiệu cho quy
trình kinh doanh của tổ chức

• Các ứng dụng cũng gây ra rủi ro cần được quản lý để bảo vệ dữ liệu

1. RỦI RO PHỔ BIẾN LIÊN QUAN HỆ

THỐNG ỨNG DỤNG
Những rủi ro phổ biến liên quan hệ thống ứng dụng:
• Bảo mật thông tin yếu
• Truy cập trái phép vào các chương trình hoặc dữ liệu
• Truy cập từ xa trái phép
• Thông tin không chính xác
• Dữ liệu đầu vào bị sai hoặc bị giả mạo
• Xử lý không đầy đủ, trùng lặp và không kịp thời
• Lỗi giao tiếp
• Đầu ra không chính xác hoặc không đầy đủ
• Tài liệu không đầy đủ

1. RỦI RO PHỔ BIẾN LIÊN QUAN HỆ

THỐNG ỨNG DỤNG
Bảo mật thông tin yếu
Bảo mật thông tin phải là mối quan tâm của CNTT, người dùng và quản lý. Hiện tại, bảo
mật thông tin chưa là ưu tiên hàng đầu nhất quán của nhiều tổ chức. Các khảo sát và
báo cáo trước đây đã chỉ ra rằng các tổ chức quan tâm đến (1) ngân sách, (2) tình trạng
thiếu nhân viên, (3) nhận thức của nhà quản lý, (4) các công cụ và giải pháp cộng nghệ
hơn là bảo mật thông tin. Trong khi đó, công nghệ tiên tiến và khả năng tiếp cận thông
tin quan trọng và nhạy cảm của người dùng cuối ngày càng tăng, càng làm gia tăng rủi
ro bảo mật thông tin.

2
 3/20/2024

1. RỦI RO PHỔ BIẾN LIÊN QUAN HỆ

THỐNG ỨNG DỤNG
Truy cập trái phép vào các chương trình hoặc dữ liệu
Hệ thống ứng dụng nên được xây dựng với nhiều cấp độ ủy quyền khác nhau cho việc
thực hiện và phê duyệt giao dịch.
Quyền truy cập của người dùng nên được cấp trên cơ sở “cần biết”, phù hợp với chức
năng và trách nhiệm công việc của người dùng. Ví dụ: nhân viên tính lương cần truy cập
vào hệ thống tính lương nhưng không cần truy cập vào hệ thống thanh toán.

1. RỦI RO PHỔ BIẾN LIÊN QUAN HỆ

THỐNG ỨNG DỤNG
Truy cập từ xa trái phép

Truy cập từ xa cho phép người dùng trong một tổ chức truy cập vào mạng và tài nguyên máy tính của tổ chức đó từ các địa điểm
bên ngoài cơ sở của tổ chức.

Đặc điểm của truy cập từ xa làm gia tăng khả năng truy cập trái phép, cụ thể:
1. Các thiết bị khách (được sử dụng để truy cập từ xa) có xu hướng có khả năng bảo vệ yếu hơn so với các thiết bị khách tiêu
chuẩn hoặc dựa trên tổ chức. Ví dụ: các thiết bị này có thể không nhất thiết phải được quản lý bởi tổ chức và do đó, không
được xác định theo các quy tắc tường lửa và chống vi-rút.
2. Thông tin liên lạc truy cập từ xa có thể được truyền qua các mạng không đáng tin cậy, khiến thông tin liên lạc bị giám sát,
mất mát hoặc thao túng trái phép. Nói cách khác, nếu người dùng trong (hoặc bên ngoài) mạng của tổ chức có được quyền
truy cập trái phép:
◾ thông tin nhạy cảm và bí mật có thể gặp rủi ro và bị ảnh hưởng tiêu cực; Và
◾ virus máy tính có thể được đưa vào làm ảnh hưởng đến hồ sơ công ty, hiệu suất hoạt động của hệ thống máy tính
hoặc chỉ làm chậm mạng và tài nguyên của nó.

Một số biện pháp để chống truy cập từ xa trái phép:

• ID người dùng và mật khẩu phải sử dụng mã hóa khi truyền qua đường dây công cộng
• Dữ liệu bí mật được truyền qua đường dây công cộng cũng cần được mã hóa. Giải pháp bảo mật mã hóa phụ thuộc vào độ
nhạy cảm của dữ liệu được truyền đi.
• Việc đánh giá quyền truy cập của người dùng phải được nhân viên an ninh IS thực hiện định kỳ và được ban quản lý phê duyệt
để đảm bảo quyền truy cập từ xa được cấp là chính xác và nhất quán với nhiệm vụ và trách nhiệm công việc.

1. RỦI RO PHỔ BIẾN LIÊN QUAN HỆ

THỐNG ỨNG DỤNG
Thông tin không chính xác
Thông tin chính xác phải được đảm bảo cho dù người dùng cuối đang truy cập dữ liệu từ
ứng dụng, cơ sở dữ liệu phòng ban hay thông tin trên đám mây.
Người dùng cuối có thể được yêu cầu tạo báo cáo để phân tích và báo cáo mà không
hiểu đầy đủ thông tin được tải xuống. Kho dữ liệu của phòng ban (ví dụ: cơ sở dữ liệu,
đám mây dữ liệu, v.v.) có thể có thông tin dư thừa với các khung thời gian khác nhau.
Khó khăn: tốn thời gian đối chiếu các kho lưu trữ này để xác định dữ liệu nào là chính
xác.
Khó khăn khác: (1) ban quản lý có thể không sử dụng thông tin đúng cách do không xác
định được thông tin quan trọng; (2) giải thích ý nghĩa và giá trị của thông tin thu được
chưa phù hợp; (3) không truyền đạt thông tin quan trọng tới đúng người quản lý chịu
trách nhiệm hoặc đúng người ra quyết định chính một cách kịp thời.

3
 3/20/2024

1. RỦI RO PHỔ BIẾN LIÊN QUAN HỆ

THỐNG ỨNG DỤNG
Dữ liệu đầu vào bị sai hoặc bị giả mạo
Dữ liệu đầu vào bị sai là khi dữ liệu không chính xác được nhập vào hệ thống ứng dụng
một cách vô tình do lỗi của con người. Các biện pháp phòng ngừa bao gồm các biện
pháp kiểm soát ứng dụng tích hợp, chẳng hạn như kiểm tra kiểu số và bút toán kép.
Dữ liệu đầu vào bị giả mạo là khi dữ liệu không chính xác được cố ý nhập vào hệ thống
ứng dụng để lừa gạt tổ chức hoặc các bên liên quan. Trong trường hợp này, các biện
pháp phòng ngừa có thể bao gồm việc bảo vệ quyền truy cập vào các chương trình và
dữ liệu thông qua cơ chế xác thực và ủy quyền của người dùng.

10

1. RỦI RO PHỔ BIẾN LIÊN QUAN HỆ

THỐNG ỨNG DỤNG
Xử lý không đầy đủ, trùng lặp và không kịp thời
Quá trình xử lý không đầy đủ xảy ra khi các giao dịch hoặc tập tin không được xử lý do
lỗi. Nó có thể xảy ra trong quá trình xử lý theo lô khi tập tin không hiện diện hoặc trong
quá trình xử lý trực tuyến khi yêu cầu hoặc trình kích hoạt không khởi động được giao
dịch.
Xử lý giao dịch trùng lặp bao gồm việc thực hiện các giao dịch nhiều lần. Nó có thể xảy
ra trong quá trình xử lý theo lô nếu các tập tin được thực thi nhiều lần hoặc trong quá
trình xử lý trực tuyến khi trình kích hoạt giao dịch bắt đầu một giao dịch nhiều lần
Xử lý không kịp thời bao gồm việc xử lý bị trì hoãn do vấn đề sản xuất hoặc thiếu thời
gian. Ví dụ: quy trình tài chính phải diễn ra vào thời điểm kết sổ cuối tháng để đảm bảo
rằng các giao dịch chi tiết được xử lý trong một hệ thống ứng dụng khớp với giao dịch
được ghi vào sổ cái chung. Ngoài ra, khi một hệ thống trực tuyến đăng các giao dịch lên
hệ thống theo đợt, thường sẽ có một thời điểm giới hạn để quá trình xử lý kết thúc vào
ngày thứ nhất và bắt đầu vào ngày thứ hai.

11

1. RỦI RO PHỔ BIẾN LIÊN QUAN HỆ

THỐNG ỨNG DỤNG
Lỗi giao tiếp
Ngày nay, các hệ thống ứng dụng trong môi trường CNTT chịu trách nhiệm về nhiều
dịch vụ quan trọng, bao gồm các dịch vụ liên lạc (ví dụ: e-mail, mạng nội bộ, Internet,
nhắn tin tức thời, v.v.).
Sự phụ thuộc ngày càng tăng vào các dịch vụ truyền thông CNTT, khả năng thất bại của
các dịch vụ này sẽ tạo ra rủi ro ngày càng tăng cho các tổ chức.
Thông tin được xác định truyền từ vị trí này đến vị trí khác qua đường truyền thông sẽ
dễ bị lỗi do: (1) vô tình, (2) bị chặn có chủ ý và/hoặc (3) bị sửa đổi bởi các bên trái
phép.

12

4
 3/20/2024

1. RỦI RO PHỔ BIẾN LIÊN QUAN HỆ

THỐNG ỨNG DỤNG
Đầu ra không chính xác hoặc không đầy đủ
Nếu không được bảo vệ đầy đủ, các báo cáo đầu ra có thể có lỗi sau khi xử lý (làm ảnh
hưởng đến tính toàn vẹn của chúng) và cũng có thể được phân phối không đúng cách.
Ví dụ, cần phải có các biện pháp kiểm soát đầu ra để xác minh rằng dữ liệu là chính xác
và đầy đủ (tức là được ghi lại đúng cách) và các quy trình phân phối và lưu giữ báo cáo
có hiệu quả. Ví dụ về kiểm soát đầu ra liên quan đến thực hiện việc đánh giá, đối chiếu
và xác minh việc truyền dữ liệu. Ngoài ra, việc truy cập vào các báo cáo nên dựa trên cơ
sở “cần biết” để duy trì tính bảo mật.

13

1. RỦI RO PHỔ BIẾN LIÊN QUAN HỆ THỐNG ỨNG

DỤNG
Tài liệu không đầy đủ
Người dùng cuối thường tập trung vào việc giải quyết nhu cầu kinh doanh và có thể
không nhận ra tầm quan trọng của tài liệu. Bất kỳ hệ thống ứng dụng nào được nhiều
người dùng sử dụng hoặc có lợi ích lâu dài đều phải được ghi lại, đặc biệt nếu nhà phát
triển hoặc lập trình viên ban đầu không còn nữa. Tài liệu cung cấp cho người lập trình
đủ thông tin để hiểu cách ứng dụng hoạt động và hỗ trợ giải quyết các vấn đề để đảm
bảo phân tích hữu hiệu và hiệu quả các thay đổi chương trình và khắc phục sự cố. Tài
liệu cần được cập nhật khi hệ thống ứng dụng được sửa đổi.
Tài liệu còn đảm bảo khả năng bảo trì của hệ thống và các thành phần của nó, đồng
thời giảm thiểu khả năng xảy ra lỗi. Tài liệu phải dựa trên tiêu chuẩn đã xác định và bao
gồm các mô tả về quy trình, hướng dẫn cho nhân viên, lưu đồ, sơ đồ dòng dữ liệu, bố
cục hiển thị hoặc bố cục báo cáo và các tài liệu khác mô tả hệ thống ứng dụng.

14

2. RỦI RO PHỔ BIẾN LIÊN QUAN ỨNG

DỤNG PHÁT TRIỂN NGƯỜI DÙNG CUỐI
Phát triển người dùng cuối (EUD) thường liên quan đến việc sử dụng các ứng dụng do phòng ban
phát triển, chẳng hạn như bảng tính và cơ sở dữ liệu, thường được sử dụng làm công cụ thực
hiện công việc hàng ngày. Các bảng tính và cơ sở dữ liệu này về cơ bản là phần mở rộng của môi
trường CNTT và đầu ra được tạo ra từ chúng có thể được sử dụng để đưa ra các quyết định kinh
doanh có tác động đến công ty. Do đó, việc sử dụng EUD đã mở rộng phạm vi kiểm toán bên
ngoài môi trường IS trung tâm. Mức độ rủi ro và các biện pháp kiểm soát cần thiết được thực
hiện tùy thuộc vào mức độ quan trọng của việc áp dụng EUD. Ví dụ: một ứng dụng EUD hợp
nhất dữ liệu từ một số phòng ban mà sau này sẽ là đầu vào cho hệ thống báo cáo tài chính là
mục tiêu chính của cuộc kiểm toán.
Các rủi ro liên quan Ứng dụng EUD không dễ dàng được xác định do thiếu nhận thức và không
có đủ nguồn lực. Ví dụ: máy tính cá nhân hoặc PC, sổ ghi chép, máy tính xách tay và thiết bị di
động lưu trữ bảng tính và/hoặc cơ sở dữ liệu do phòng ban phát triển có thể được coi là công cụ
năng suất cá nhân và do đó phần lớn bị tổ chức bỏ qua. Tương tự, nhiều tổ chức có rất ít hoặc
không có thủ tục chính thức liên quan đến EUD. Việc kiểm soát hoặc xem xét các báo cáo đươc
tạo ra từ ứng dụng EUD có thể bị hạn chế hoặc không tồn tại. Rủi ro là Ban giám đốc có thể tin
tưởng vào các báo cáo và thông tin do Ứng dụng EUD tạo ra với mức độ tin tưởng tương tự như
những báo cáo và thông tin được phát triển trong môi trường IS tập trung truyền thống. Ban
giám đốc nên xem xét mức độ rủi ro liên quan đến các ứng dụng EUD và thiết lập các mức kiểm
soát phù hợp.

15

5
 3/20/2024

2. RỦI RO PHỔ BIẾN LIÊN QUAN ỨNG

DỤNG PHÁT TRIỂN NGƯỜI DÙNG CUỐI
Rủi ro phổ biến liên quan ứng dụng EUD:
• Chi phí tổ chức cao hơn
• Hệ thống không tương thích hoặc dư thừa
• Triển khai không hữu hiệu
• Thiếu sự phân chia trách nhiệm
• Phân tích hệ thống không đầy đủ
• Truy cập trái phép vào dữ liệu và chương trìh
• Vi phạm bản quyền
• Thiếu các tuỳ chọn sao lưu và phục hồi
• Phá huỷ thông tin bởi virus

16

2. RỦI RO PHỔ BIẾN LIÊN QUAN ỨNG

DỤNG PHÁT TRIỂN NGƯỜI DÙNG CUỐI
Chi phí tổ chức cao hơn
EUD ban đầu có vẻ tương đối rẻ so với việc phát triển CNTT truyền thống. Tuy nhiên,
một số chi phí ẩn có liên quan đến EUD mà các tổ chức nên xem xét. Ngoài chi phí vận
hành, chi phí có thể tăng do thiếu đào tạo và hỗ trợ kỹ thuật. Việc thiếu đào tạo người
dùng cuối và sự thiếu kinh nghiệm của họ cũng có thể dẫn đến việc mua phần cứng
không phù hợp và triển khai các giải pháp phần mềm không tương thích với kiến trúc hệ
thống của tổ chức. Người dùng cuối cũng có thể tăng chi phí tổ chức bằng cách tạo ra
các ứng dụng không hiệu quả hoặc dư thừa.

17

2. RỦI RO PHỔ BIẾN LIÊN QUAN ỨNG

DỤNG PHÁT TRIỂN NGƯỜI DÙNG CUỐI
Hệ thống không tương thích hoặc dư thừa
Các hệ thống ứng dụng do người dùng cuối thiết kế được phát triển riêng biệt có thể
không tương thích với kiến trúc CNTT của tổ chức hiện tại hoặc tương lai. Phát triển hệ
thống CNTT truyền thống xác minh khả năng tương thích với phần cứng hiện có và các
ứng dụng phần mềm liên quan. Việc thiếu các tiêu chuẩn phần cứng và phần mềm có
thể dẫn đến việc không thể chia sẻ dữ liệu với các ứng dụng khác trong tổ chức.
Ngoài việc phát triển các hệ thống không tương thích, người dùng cuối có thể đang phát
triển các ứng dụng hoặc cơ sở dữ liệu dư thừa do thiếu sự liên lạc giữa các phòng ban.
Do thiếu sự giao tiếp này, các bộ phận người dùng cuối có thể tạo một cơ sở dữ liệu
hoặc ứng dụng mới mà bộ phận khác có thể đã tạo. Một quy trình triển khai hiệu quả
hơn đòi hỏi các bộ phận người dùng cuối phải điều phối các dự án phát triển hệ thống
của họ với bộ phận CNTT và gặp gỡ các bộ phận người dùng cuối khác để thảo luận về
các dự án được đề xuất của họ.

18

6
 3/20/2024

2. RỦI RO PHỔ BIẾN LIÊN QUAN ỨNG

DỤNG PHÁT TRIỂN NGƯỜI DÙNG CUỐI
Triển khai không hữu hiệu
Người dùng cuối thường sử dụng các ngôn ngữ lập trình thế hệ thứ tư, chẳng hạn như
cơ sở dữ liệu hoặc các công cụ phát triển Internet Web để phát triển ứng dụng. Trong
những trường hợp này, người dùng cuối thường tự học. Tuy nhiên, họ thiếu đào tạo
chính quy về phát triển ứng dụng có cấu trúc, không nhận ra tầm quan trọng của tài liệu
và có xu hướng bỏ qua các biện pháp kiểm soát cần thiết để triển khai hữu hiệu. Ngoài
ra, không có sự phân chia nhiệm vụ. Do phân tích, tài liệu và thử nghiệm không đầy đủ,
các hệ thống do người dùng cuối phát triển có thể không đáp ứng được mong đợi của
ban giám đốc.

19

2. RỦI RO PHỔ BIẾN LIÊN QUAN ỨNG

DỤNG PHÁT TRIỂN NGƯỜI DÙNG CUỐI
Thiếu sự phân chia trách nhiệm
Việc phát triển hệ thống ứng dụng truyền thống được tách biệt theo chức năng và được
kiểm tra và hoàn thiện bởi các chuyên gia được đào tạo trong từng lĩnh vực. Trong nhiều
dự án EUD, một cá nhân chịu trách nhiệm cho tất cả các giai đoạn, chẳng hạn như phân
tích, thiết kế, xây dựng, thử nghiệm và triển khai vòng đời phát triển. Có những rủi ro cố
hữu, chẳng hạn như bỏ qua lỗi, khi có cùng một người tạo và thử nghiệm một chương
trình.
Nhiều khả năng việc đánh giá độc lập sẽ phát hiện ra lỗi do nhà phát triển người dùng
cuối mắc phải và việc đánh giá như vậy giúp đảm bảo tính toàn vẹn của hệ thống ứng
dụng được thiết kế mới.

20

2. RỦI RO PHỔ BIẾN LIÊN QUAN ỨNG

DỤNG PHÁT TRIỂN NGƯỜI DÙNG CUỐI
Phân tích hệ thống không đầy đủ
Bộ phận người dùng cuối loại bỏ nhiều bước do bộ phận CNTT trung tâm thiết lập. Ví dụ,
giai đoạn phân tích quá trình phát triển có thể không đầy đủ và không phải tất cả các
khía cạnh của vấn đề đều được xác định một cách thích hợp. Ngoài ra, với các thông số
kỹ thuật chưa đầy đủ, hệ thống hoàn chỉnh có thể không đáp ứng được mục tiêu cũng
như không giải quyết được vấn đề kinh doanh. Thông số kỹ thuật không đầy đủ có thể
sẽ dẫn đến sự thiếu sót của hệ thống.

21

7
 3/20/2024

2. RỦI RO PHỔ BIẾN LIÊN QUAN ỨNG

DỤNG PHÁT TRIỂN NGƯỜI DÙNG CUỐI
Truy cập trái phép vào dữ liệu và chương trình
Kiểm soát truy cập cung cấp tuyến phòng thủ đầu tiên chống lại những người dùng trái
phép truy cập vào các chương trình và dữ liệu của hệ thống ứng dụng.
Việc sử dụng các biện pháp kiểm soát truy cập, chẳng hạn như ID người dùng và mật
khẩu, thường yếu trong các hệ thống do người dùng phát triển. Trong một số trường
hợp, ID người dùng và mật khẩu thậm chí có thể không được yêu cầu hoặc chúng rất
đơn giản và dễ đoán. Việc này có thể khiến ứng dụng bị thay đổi hoặc xóa một cách vô
tình hoặc cố ý, đe dọa đến độ tin cậy của bất kỳ thông tin nào được tạo ra.
Do đó, các hệ thống yêu cầu các bảo vệ bổ sung để ngăn chặn mọi thay đổi không
mong muốn. Để ngăn ngừa bất kỳ thay đổi ngẫu nhiên nào, việc truy cập nên giới hạn
trong một số người dùng cụ thể.

22

2. RỦI RO PHỔ BIẾN LIÊN QUAN ỨNG

DỤNG PHÁT TRIỂN NGƯỜI DÙNG CUỐI
Vi phạm bản quyền
Các tổ chức có trách nhiệm kiểm soát môi trường máy tính để ngăn chặn vi phạm bản quyền và
vi phạm bản quyền phần mềm. Tuy nhiên, một số tổ chức có thể không đề cập cụ thể đến vấn đề
vi phạm bản quyền phần mềm trong đào tạo, trong chính sách và thủ tục hoặc trong việc áp
dụng các biện pháp kiểm soát nội bộ chung. Vì các chương trình phần mềm có thể dễ dàng được
sao chép hoặc cài đặt trên nhiều máy tính nên nhiều tổ chức đã vi phạm luật bản quyền và thậm
chí không nhận thức được những rủi ro tiềm ẩn.
Các tổ chức phải đối mặt với một số rủi ro khi họ dung túng việc vi phạm bản quyền phần mềm.
Cụ thể: Phần mềm được sao chép có thể không đáng tin cậy và chứa vi-rút. Các vụ kiện tụng liên
quan đến vi phạm bản quyền được công bố rộng rãi và tổ chức có nguy cơ mất đi thiện chí tiềm
tàng. Hơn nữa, việc dung túng vi phạm bản quyền phần mềm sẽ khuyến khích sự suy thoái về
đạo đức kinh doanh và có thể ảnh hưởng đến các lĩnh vực khác của tổ chức.
Các tổ chức nên thông báo cho người dùng cuối về luật bản quyền và những hậu quả tiềm ẩn do
vi phạm các luật đó. Để ngăn chặn việc cài đặt phần mềm trái phép, các tổ chức có thể hạn chế
khả năng cài đặt phần mềm của người dùng bằng cách vô hiệu hóa quyền truy cập quản trị vào
PC của họ. Ngoài ra, khi người dùng được cấp quyền truy cập vào máy tính cá nhân hoặc máy
tính để bàn, họ phải ký xác nhận liệt kê phần mềm đã cài đặt, trách nhiệm của cá nhân và mọi
biện pháp kỷ luật đối với hành vi vi phạm. Các quy trình bằng văn bản phải xác định rõ ràng
trách nhiệm của người dùng trong việc duy trì kho phần mềm, kiểm tra việc tuân thủ và xóa phần
mềm không được cấp phép.

23

2. RỦI RO PHỔ BIẾN LIÊN QUAN ỨNG

DỤNG PHÁT TRIỂN NGƯỜI DÙNG CUỐI
Thiếu các tuỳ chọn sao lưu và phục hồi
Các tổ chức sẽ gặp rắc rối nếu không duy trì bản sao dữ liệu. Ngày nay, việc mất dữ liệu
là điều cực kỳ dễ dàng và gần như không thể xây dựng lại dữ liệu đó nếu không thực
hiện sao lưu. Các ứng dụng EUD thường được lưu trữ trong PC của một người và không
được sao lưu đúng cách. Trong trường hợp xảy ra thảm họa hoặc vi rút tấn công, các
ứng dụng này (và dữ liệu của chúng) có thể không phục hồi được do thiếu bản sao lưu.
Do đó, người dùng cuối có thể không tạo lại được ứng dụng và dữ liệu của nó trong một
khoảng thời gian hợp lý.
Việc không có chiến lược sao lưu và phục hồi sẽ dẫn đến mất dữ liệu máy tính. Dữ liệu
chưa được sao lưu luôn phải đối mặt với các rủi ro, chẳng hạn như vô tình xóa tập tin,
vi-rút và phần mềm độc hại gây hại, hỏng ổ cứng, mất điện hoặc treo máy, trộm máy
tính, hư hỏng do nước, hỏa hoạn và nhiều vấn đề khác.

24

8
 3/20/2024

2. RỦI RO PHỔ BIẾN LIÊN QUAN ỨNG

DỤNG PHÁT TRIỂN NGƯỜI DÙNG CUỐI
Phá huỷ thông tin bởi virus
Virus là thuật ngữ phổ biến được sử dụng để mô tả các chương trình tự sinh sản, sâu, nốt ruồi, lỗ hổng, ngựa Trojan và bom hẹn
giờ. Trong môi trường ngày nay, mối đe dọa rất cao do số lượng nguồn mà virus có thể xâm nhập là không giới hạn. Ví dụ: vi-rút
có thể được sao chép từ đĩa hoặc được tải xuống từ một trang Web bị nhiễm vi-rút. Chúng lây lan sang các tệp khác, các tệp đó
lần lượt lây lan sang các tệp khác, v.v. Khu vực khởi động của đĩa là một trong những khu vực dễ bị nhiễm vi-rút nhất vì nó được
truy cập mỗi khi máy tính được bật, tạo điều kiện cho vi-rút dễ dàng nhân bản. Khi vi-rút được kích hoạt, nó sẽ sao chép mã vào
ổ cứng và có thể lây lan sang các phương tiện bổ sung bằng cách thực thi một ứng dụng phổ biến như trình xử lý văn bản hoặc
chương trình mail. Phương tiện chứa vi-rút sẽ tiếp tục lây nhiễm sang các máy tính khác và phát tán vi-rút trong toàn tổ chức.
Virus cũng có thể lây lan giữa các máy tính được kết nối trong mạng (cục bộ, Internet, v.v.). Chúng có thể lây lan khi các tập tin
hoặc chương trình bị nhiễm được tải xuống từ máy tính công cộng thông qua các tập tin đính kèm vào e-mail, v.v. Virus có thể
gây ra nhiều vấn đề khác nhau như:
◾ Phá hủy hoặc thay đổi dữ liệu
◾ Phá hủy phần cứng
◾ Hiển thị tin nhắn không mong muốn
◾ Khiến bàn phím bị khóa và không hoạt động
◾ Làm chậm mạng bằng cách thực hiện nhiều tác vụ thực sự chỉ là một vòng lặp liên tục không có kết thúc hoặc giải pháp
◾ Sản xuất thư rác
◾ Phát động các cuộc tấn công từ chối dịch vụ
Rủi ro đối với các tổ chức là thời gian cần thiết để loại bỏ vi-rút, xây dựng lại hệ thống bị ảnh hưởng và xây dựng lại dữ liệu bị
hỏng. Các tổ chức cũng nên quan tâm đến việc gửi các chương trình bị nhiễm vi-rút đến các tổ chức khác. Virus gây ra thiệt hại
tài chính đáng kể và người nhận có thể nộp đơn kiện tổ chức..

25

3. HIỂU NHỮNG RỦI RO ĐỐI VỚI CÁC HỆ THỐNG TRAO ĐỔI THÔNG
TIN KINH DOANH VÀ MÔ TẢ CÁC TIÊU CHUẨN CHUNG CHO ĐÁNH
GIÁ KIỂM TOÁN. (ĐỌC THÊM)

26

4. HIỂU NHỮNG RỦI RO PHỔ BIẾN

LIÊN QUAN CÁC ỨNG DỤNG WEB
(ĐỌC THÊM)

27

9
 3/20/2024

5. KIỂM SOÁT ỨNG DỤNG

• Có 02 nhóm kiểm soát máy tính giúp giảm thiểu những rủi ro liên quan các
hệ thống ứng dụng:
Kiểm soát chung:
Kiểm soát ứng dụng:

28

5. KIỂM SOÁT ỨNG

DỤNG
Kiểm soát chung:
• Là kiểm tra các chính sách và thủ tục liên
quan đến nhiều ứng dụng và hỗ trợ các
kiểm soát ứng dụng hoạt động hữu hiệu.
• Kiểm soát chung chi phối cơ sở hạ tầng
CNTT và các dịch vụ hỗ trợ (bao gồm tất
cả các hệ thống và ứng dụng). Kiểm soát
chung thường bao gồm (1) kiểm soát hoạt
động của hệ thống thông tin; (2) kiểm soát
bảo mật thông tin; và (3) kiểm soát quản
lý việc thay đổi (tức là mua, thay đổi và
bảo trì phần mềm hệ thống, thay đổi
chương trình và mua, phát triển và bảo trì
hệ thống ứng dụng).

29

5. KIỂM SOÁT ỨNG DỤNG

Kiểm soát ứng dụng:

• Kiểm soát ứng dụng kiểm tra các thủ tục cụ thể và duy nhất cho ứng dụng. Nó quan tâm đến tính
chính xác, đầy đủ, hợp lệ và ủy quyền của dữ liệu được thu thập, nhập, xử lý, lưu trữ, truyền tải và
báo cáo. Ví dụ: xác thực dữ liệu đầu vào, kiểm tra độ chính xác về mặt toán học của các bản ghi và
thực hiện kiểm tra trình tự số, …. Các biện pháp kiểm soát ứng dụng có thể sẽ hữu hiệu khi các biện
pháp kiểm soát chung hữu hiệu.

• Kiểm soát ứng dụng được triển khai tại các tổ chức gồm:
 kiểm soát cấu hình hệ thống và/hoặc kiểm soát cấu hình ứng dụng;
 kiểm soát liên quan đến bảo mật thực thi quyền truy cập, vai trò và phân chia nhiệm vụ của
người dùng;
 kiểm soát các thông báo tự động để cảnh báo người dùng rằng một giao dịch hoặc quy trình
đang chờ hành động của họ.
 Kiểm soát ứng dụng cũng kiểm tra các phép tính toán học, cân bằng tổng số giữa các công
việc,, sự đối chiếu giữa các hệ thống để đảm bảo tính chính xác và đầy đủ của các giao dịch…

• Kiểm soát ứng dụng được chia thành ba loại chính:

 kiểm soát nhập liệu
 Kiểm soát xử lý
 Kiểm soát đầu ra.

30

10
 3/20/2024

5. KIỂM SOÁT ỨNG DỤNG

Kiểm soát nhập liệu:
Mục tiêu: đảm bảo tính xác thực, tính chính xác và tính đầy đủ của dữ liệu được nhập vào ứng dụng
Tính xác thực:
NIST định nghĩa tính xác thực là “đặc tính mang tính thành thật, có thể được xác minh và tin cậy.”* Tính xác
thực đảm bảo rằng chỉ những người dùng được ủy quyền mới có quyền truy cập vào các giao dịch. Trong quá
trình phát triển hệ thống ứng dụng, người dùng được ủy quyền phải được xác định cùng với mức độ bảo mật
của họ để truy cập dữ liệu. Thông tin này có thể được sử dụng khi thiết kế màn hình đầu vào để giới hạn màn
hình hoặc trường cho các nhóm người dùng cụ thể. Các biện pháp kiểm soát cũng có thể được thiết kế để thực
thi việc phân chia nhiệm vụ. Ví dụ: người dùng có thể nhập giao dịch nhưng người giám sát có thể cần phê
duyệt giao dịch trước khi gửi để xử lý.
Việc xác thực cũng phải được xem xét khi các ứng dụng tự động giao tiếp với các ứng dụng khác. Theo NIST,
xác thực xác minh “danh tính của người dùng, quy trình hoặc thiết bị thường là điều kiện tiên quyết để cho phép
truy cập vào các tài nguyên trong hệ thống thông tin.”* Thông thường, các công việc xử lý theo lô theo lịch trình
hoạt động theo thẩm quyền với các đặc quyền truy cập được chỉ định cụ thể vào CSDL. Những rủi ro liên quan
đến các tài khoản truy cập này cũng như các đặc quyền truy cập cần được xem xét lại. Tài khoản chung không
nên được sử dụng. Các công việc hàng loạt phải được cấp đặc quyền tối thiểu và không nên sử dụng tài khoản
cấp hệ thống.

31

5. KIỂM SOÁT ỨNG DỤNG

Kiểm soát nhập liệu:
Mục tiêu: đảm bảo tính xác thực, tính chính xác và tính đầy đủ của dữ liệu được
nhập vào ứng dụng
Tính chính xác:
Tính chính xác được đảm bảo thông qua các kiểm tra chỉnh sửa để xác thực dữ
liệu đã nhập trước khi chấp nhận giao dịch để xử lý. Tính chính xác đảm bảo rằng
thông tin được nhập vào đơn đăng ký là nhất quán và tuân thủ các chính sách và
thủ tục. Điều này được thực hiện bằng cách thiết kế màn hình đầu vào với các
chỉnh sửa và xác thực để kiểm tra dữ liệu được nhập theo các quy tắc hoặc giá trị
được xác định trước.
Tính chính xác của các giao dịch được xử lý có thể được đảm bảo bằng cách yêu
cầu tất cả các giao dịch đã nhập đều phải trải qua kiểm tra xác thực dữ liệu, cho
dù đến từ màn hình trực tuyến, giao diện từ ứng dụng khác hay do hệ thống tạo
ra. Các chương trình tự động tạo giao dịch (tức là các chương trình được kích hoạt
theo thời gian) phải có các chỉnh sửa tích hợp để xác thực độ chính xác của giao
dịch tương tự như các giao dịch do người dùng nhập. Điều quan trọng nữa là phải
theo dõi khối lượng và tần suất giao dịch theo xu hướng dự kiến để đảm bảo rằng
các giao dịch được kích hoạt đúng cách. Việc kiểm tra thiếu và trùng lặp cũng cần
được lập trình trong trường hợp xảy ra lỗi trong logic kích hoạt.
Các quy trình chỉnh sửa và xác thực được đặt trong hệ thống để hỗ trợ đảm bảo
tính đầy đủ và chính xác của dữ liệu. Vì vậy, không nên xem nhẹ việc ghi đè các
quy trình chỉnh sửa. Trong hầu hết các hệ thống, người dùng không được cung
cấp khả năng này. Việc ghi đè các quy trình chỉnh sửa chỉ được phép đối với người
quản lý bộ phận hoặc người giám sát người dùng có đặc quyền và từ thiết bị đầu
cuối chính. Các phần ghi đè phải được ứng dụng tự động ghi lại để những hành
động này có thể được phân tích về tính phù hợp và chính xác.

32

5. KIỂM SOÁT ỨNG DỤNG

Kiểm soát nhập liệu:
Mục tiêu: đảm bảo tính xác thực, tính chính xác và tính đầy đủ của dữ liệu
được nhập vào ứng dụng
Tính đầy đủ:
Tính đầy đủ xác nhận rằng tất cả dữ liệu cần thiết để đáp ứng nhu cầu kinh
doanh hiện tại và tương lai đều thực sự sẵn sàng và sẵn có.
Dữ liệu đầy đủ, dưới dạng báo cáo tài chính, danh sách nhà cung cấp, báo
cáo khoản phải thu của khách hàng, báo cáo cho vay, v.v., phản ánh tình
trạng chính xác của tổ chức và cách tổ chức đối phó với các đối thủ cạnh
tranh cũng như các xu hướng của ngành. Ví dụ, tính đầy đủ được đảm bảo
thông qua các quy trình xử lý lỗi cung cấp tính năng ghi nhật ký, báo cáo và
sửa lỗi.

33

11
 3/20/2024

5. KIỂM SOÁT ỨNG DỤNG

Kiểm soát xử lý:
• Kiểm soát xử lý giúp ngăn chặn, phát hiện và/hoặc sửa lỗi trong khi diễn ra quá trình xử lý dữ
liệu (theo lô hoặc trực tuyến). Các kiểm soát này đảm bảo rằng dữ liệu được xử lý chính xác và
đầy đủ thông qua ứng dụng (vd: không có dữ liệu được thêm, bị mất hoặc thay đổi trong quá
trình xử lý…)
• Các công việc đã được lên lịch trong một ứng dụng cần được xem xét để đảm bảo rằng những
thay đổi đã thực hiện là thích hợp và không gây ra rủi ro.
• Để đảm bảo tính chính xác và đầy đủ của dữ liệu (A&C), các chương trình phải được xây dựng
logic để ngăn chặn, phát hiện và/hoặc sửa lỗi. Thủ tục xử lý lỗi nên bao gồm:
◾ Nhật ký ghi lại hoạt động lỗi
◾ Phê duyệt quy trình sửa lỗi và gửi lại
◾ Xác định trách nhiệm đối với các tập tin lỗi
◾ Báo cáo về các lỗi chưa được giải quyết
◾ Đánh giá tuổi và ưu tiên các lỗi chưa được giải quyết

34

5. KIỂM SOÁT ỨNG DỤNG

Kiểm soát xử lý:
• A&C cũng có thể đạt được bằng cách cân bằng các giao dịch theo lô đi vào và các
giao dịch đi ra khỏi giao dịch trước đó. Các bước cân bằng nên diễn ra ở những
điểm xử lý công việc chính. Các điểm kiểm soát sau đây là ví dụ về các điểm xử lý
công việc chính:
◾ Điểm đầu vào. Các chương trình chấp nhận giao dịch từ quá trình xử lý đầu vào
(ví dụ: giao diện người dùng, v.v.)
◾ Các module xử lý chính. Các chương trình sửa đổi dữ liệu (ví dụ: thực hiện các
phép tính, v.v.)
◾ Điểm phân nhánh. Các chương trình phân tách hoặc hợp nhất dữ liệu (ví dụ:
chương trình hợp nhất dữ liệu từ hai hoặc nhiều nguồn đầu vào khác nhau vào một
tập tin; tập tin sau đó được sử dụng làm nguồn cấp dữ liệu cho báo cáo tài chính,
hệ thống báo cáo, v.v...)
◾ Điểm đầu ra. Kết quả xử lý dữ liệu (ví dụ: báo cáo tài chính hoặc hoạt động, các
kiểm tra được in, các tập tin kết xuất, v.v.)

35

5. KIỂM SOÁT ỨNG DỤNG

Kiểm soát xử lý:
• Các kiểm soát xử lý phổ biến khác:
◾ Kiểm tra sự phù hợp dữ liệu (data matching). So khớp hai hoặc nhiều mục trước khi thực hiện
một lệnh hoặc hành động cụ thể (ví dụ: khớp hóa đơn với đơn đặt hàng và nhận báo cáo trước khi
thực hiện thanh toán, v.v.).
◾ Kiểm tra Nhãn tập tin. Đảm bảo rằng tập tin chính xác và cập nhật nhất đang được sử dụng.
◾ Kiểm tra chéo (cross-footing test). So sánh hai cách tính tổng khác nhau để xác minh để đảm
bảo độ chính xác (ví dụ: thêm theo hàng và theo cột trong bảng tính, v.v.).
◾ Kiểm tra số dư bằnb 0 (zero-balance test). Kiểm tra xem một tài khoản cụ thể (ví dụ: tài khoản
thanh toán bù trừ bảng lương, v.v.) có duy trì số dư bằng không hay không. Thử nghiệm này hỗ trợ
các tổ chức loại bỏ số dư vượt mức trong các tài khoản riêng biệt và duy trì khả năng kiểm soát tốt
hơn đối với các khoản giải ngân.
◾ Cơ chế chống ghi tập tin (write-protection mechanisms). Bảo vệ chống ghi đè hoặc xóa dữ liệu.
◾ Kiểm soát cập nhật đồng thời (concurrent update control). Ngăn ngừa lỗi hai hoặc nhiều người
dùng cập nhật dữ liệu tại cùng thời điểm.

36

12
 3/20/2024

5. KIỂM SOÁT ỨNG DỤNG

Kiểm soát đầu ra:
• Kiểm soát đầu ra được thiết kế để phát hiện và sửa lỗi sau khi quá trình xử
lý hoàn tất, đảm bảo tính toàn vẹn của đầu ra.
• Kiểm soát đầu ra bao gồm:
(1) các thủ tục để xác minh xem dữ liệu có chính xác và đầy đủ hay không
(vd: được ghi nhận phù hợp hay không)
(2) các thủ tục để phân phối và lưu giữ báo cáo đầy đủ.
 Nếu báo cáo đầu ra được tạo ra một cách tập trung thì các biện pháp kiểm soát thông
thường, như có nhân viên an ninh và nhật ký có thể phù hợp.
 Nếu đầu ra được phân phối qua mạng truyền thông dữ liệu, điểm nhấn kiểm soát sẽ
chuyển sang kiểm soát quyền truy cập cho từng máy trạm riêng lẻ. Để duy trì tính bảo
mật, việc truy cập vào các báo cáo phải dựa trên cơ sở “cần biết”.

37

5. KIỂM SOÁT ỨNG DỤNG

Kiểm soát đầu ra:
Tính chính xác và đầy đủ
Đầu ra phải được xác minh dựa trên một nguồn độc lập để xác minh tính chính xác và
đầy đủ của nó.
Ba loại kiểm soát đầu ra phổ biến liên quan đến tính chính xác và đầy đủ là:
• Đánh giá của người dùng: đảm bảo kết quả đầu ra (báo cáo) được tạo ra là an toàn,
bí mật và riêng tư thông qua việc thực hiện kiểm tra cân bằng và đầy đủ; so sánh các
trường dữ liệu chính; kiểm tra thông tin còn thiếu; và document recreation.
• Đối chiếu: gồm các thủ tục để đối chiếu các báo cáo kiểm soát. Ví dụ: tổng số giao
dịch được ghi vào sổ cái chung phải được đối chiếu với số dư chi tiết đến hạn trong sổ
cái phụ các khoản phải thu.
• Kiểm soát truyền dữ liệu: bảo vệ việc truyền dữ liệu vật lý qua kênh liên lạc điểm-điểm
hoặc điểm-đa điểm, ví dụ là việc thực hiện các kỹ thuật mã hóa trên dữ liệu được
truyền đi.

38

5. KIỂM SOÁT ỨNG DỤNG

Kiểm soát đầu ra:
Phân phối và bảo quản
Việc phân phối đầu ra cần phải được xác định rõ ràng và quyền truy cập vật lý và logic
nên được hạn chế cho nhân viên được uỷ quyền. Nhu cầu về báo cáo đầu ra cần được
xem xét định kỳ vì báo cáo có thể được yêu cầu vào thời điểm ứng dụng được phát triển
nhưng có thể không còn hữu ích nữa. Ngoài ra, cùng một thông tin có thể được sử dụng
cho nhiều hệ thống với các quan điểm, tổ chức và cách sử dụng khác nhau. Ví dụ: bộ
phận tiếp thị có thể sử dụng thông tin doanh số bán hàng để trả hoa hồng và theo dõi
mục tiêu bán hàng, trong khi bộ phận kế toán sử dụng thông tin đó để lập báo cáo tài
chính. Hai hệ thống này cần được đối chiếu để đảm bảo số tiền đã thanh toán cho nhân
viên bán hàng giống với số tiền báo cáo trên báo cáo tài chính.
Bởi vì không gian lưu trữ (trực tuyến hoặc vật lý) có chi phí cao nên các chu kỳ bảo
quản và yêu cầu lưu trữ nên được định rõ trong các chương trình, dữ liệu và báo cáo.
Thông tin quan trọng phải được lưu trữ một cách an toàn (tức là được mã hóa) và việc
hủy bỏ nó nên là vĩnh viễn và cần được tiến hành một cách thận trọng để ngăn chăn
việc xem thông tin trái phép.Tổ chức cần xem xét các luật và quy định chi phối thời gian
lưu giữ báo cáo.

39

13
 3/20/2024

6. SỰ THAM GIA CỦA KIỂM

TOÁN VIÊN CNTT
• Kiểm toán viên CNTT có thể hỗ trợ các tổ chức bằng cách xem xét hệ thống ứng dụng của họ để đảm bảo chúng tuân
thủ chiến lược và tiêu chuẩn của tổ chức, cũng như cung cấp các chức năng tự động để hỗ trợ hiệu quả quy trình
kinh doanh. Các ứng dụng sẽ cần phải được đánh giá rủi ro để xác định mức độ tham gia kiểm toán. Loại đánh giá
cũng sẽ khác nhau tùy thuộc vào rủi ro của ứng dụng cụ thể. Các ứng dụng gây ra rủi ro cho các tổ chức dưới dạng
tăng chi phí, mất tính toàn vẹn dữ liệu, điểm yếu về bảo mật, thiếu tính sẵn sàng, hiệu suất kém và các vấn đề khác.
Những rủi ro này cần được giải quyết bằng việc lựa chọn và thực hiện các kiểm soát phù hợp.
• Kiểm tra hệ thống ứng dụng đòi hỏi kiến thức cụ thể về rủi ro và kiểm soát ứng dụng. Hiểu được những điều đó cho
phép kiểm toán viên CNTT xác định các lĩnh vực chính sẽ được hưởng lợi từ việc xác minh độc lập. Hơn nữa, việc hiểu
các kiểm soát ứng dụng cho phép kiểm toán viên CNTT đánh giá và đề xuất những kiểm soát đảm bảo xử lý giao dịch
đầy đủ và chính xác.
• kiểm toán viên CNTT có thể tham gia với tư cách là nhà tư vấn kiểm soát hoặc người đánh giá độc lập. Mức độ tham
gia được xác định bằng cách hoàn thành đánh giá rủi ro. Kết quả từ việc đánh giá rủi ro cũng nhắc nhở lượng thời
gian cần thiết để phân bổ cho ứng dụng cụ thể, các nguồn lực cần thiết, v.v. Sau đó là việc chuẩn bị một kế hoạch
kiểm toán. Kế hoạch mô tả các mục tiêu và thủ tục kiểm toán cần thực hiện để đảm bảo các ứng dụng được triển
khai đầy đủ và bảo vệ thông tin. Cuối cùng, Kiểm toán viên CNTT truyền đạt những phát hiện được xác định trong
suốt quá trình kiểm toán cùng với các khuyến nghị cho ban giám đốc.

40

6. SỰ LIÊN QUAN CỦA KIỂM

TOÁN VIÊN CNTT
Đánh giá rủi ro
Kiểm toán viên IT có thể không có đủ thời gian để đánh giá mọi hệ thống ứng dụng
cụ thể trong tổ chức.
Sự tham gia vào một ứng dụng cụ thể sẽ phụ thuộc vào việc đánh giá các rủi ro của
ứng dụng đó. Các rủi ro của ứng dụng liên quan đến sự phức tạp và quy mô của
ứng dụng, nhân viên thiếu kinh nghiệm, thiếu sự tham gia của người dùng cuối và
thiếu cam kết từ phía quản lý.
Mức độ rủi ro có thể phụ thuộc vào nhu cầu về thông tin đúng đắn và kịp thời, sự
phức tạp của ứng dụng, mức độ phụ thuộc cho các quyết định quan trọng, thời gian
sử dụng ứng dụng, và số lượng người sử dụng nó.
Việc đánh giá rủi ro xác định khía cạnh cụ thể của một ứng dụng sẽ được kiểm toán.
Phạm vi của kiểm toán có thể thay đổi tùy thuộc vào các rủi ro được xác định.

41

6. SỰ LIÊN QUAN CỦA KIỂM TOÁN VIÊN CNTT

Kế hoạch kiểm toán

Kế hoạch kiểm toán gồm các bước và thủ tục để đạt được mục tiêu kiểm toán.
Kiểm toán hệ thống ứng dụng bắt đầu bằng một phân tích sơ bộ về môi trường kiểm soát bằng cách xem
xét các tiêu chuẩn, chính sách và thủ tục hiện tại. Trong suốt quá trình kiểm toán, các tiêu chuẩn, chính
sách và thủ tục này nên được đánh giá về độ đầy đủ và hiệu suất hoạt động. Phân tích sơ bộ này nên xác
định chiến lược của tổ chức và trách nhiệm quản lý và kiểm soát ứng dụng. Việc tài liệu hóa hiểu biết về hệ
thống ứng dụng cũng là bước quan trọng ở giai đoạn này.
Kế hoạch kiểm toán sẽ tiếp tục tài liệu hóa các thủ tục cần thiết để tiến hành cuộc kiểm tra và đảm bảo
rằng hệ thống ứng dụng được thiết kế và triển khai một cách hiệu quả, đồng thời hoạt động phù hợp với
các chính sách và thủ tục của tổ chức. Các thủ tục thực hiện bởi kiểm toán viên IT:
• Đảm bảo rằng ứng dụng đã được thiết kế hợp lý và triển khai đầy đủ
• Tuân thủ các tiêu chuẩn, chính sách và thủ tục
• Đạt được hoạt động hiệu quả và kinh tế
• Tuân thủ yêu cầu pháp lý
• Bao gồm các kiểm soát cần thiết để bảo vệ khỏi mất mát hoặc lỗi nghiêm trọng
• Cung cấp các kiểm soát và dấu vết kiểm toán cần thiết cho ban giám đốc, kiểm toán viên và cho mục
đích đánh giá hoạt động

42

14
 3/20/2024

6. SỰ LIÊN QUAN CỦA

KIỂM TOÁN VIÊN CNTT

Giao Tiếp

• Khu vực đầu tiên cần làm rõ là phạm vi tham gia của kiểm toán viên IT.
Điều quan trọng là đảm bảo rằng kỳ vọng của ban giám đốc về vai trò của
kiểm toán viên IT được hiểu và được truyền đạt đến tất cả các bên liên
quan. Kiểm toán viên IT phải xây dựng một kênh liên lạc mở với cả ban
giám đốc và người dùng. Nếu mối quan hệ tích cực giữa những nhóm
này không tồn tại, thông tin có thể bị giữ lại khỏi kiểm toán viên IT. Mặc
dù kiểm toán viên IT nên phát triển mối quan hệ làm việc tích cực với tất
cả các nhóm có trách nhiệm thiết kế, kiểm toán viên IT phải duy trì sự độc
lập.

• Trong suốt quá trình kiểm toán, kiểm toán viên IT sẽ đưa ra các đề xuất
kiểm soát dựa trên các phát hiện đã xác định. Tùy thuộc vào văn hóa của
tổ chức, những đề xuất này có thể cần được xử lý một cách không chính
thức với mỗi chủ sở hữu ứng dụng chịu trách nhiệm cho khu vực hoặc
quy trình không đầy đủ, hoặc chính thức bằng cách trình bày chúng cho
ủy ban điều hành. Trong cả hai trường hợp, kiểm toán viên IT luôn phải
xem xét giá trị của đề xuất kiểm soát so với chi phí triển khai kiểm soát.
Những đề xuất nên cụ thể. Chúng nên xác định vấn đề chứ không phải
triệu chứng, và cho phép triển khai và kiểm thử các biện pháp kiểm soát
đúng cách. Các phát hiện, rủi ro xuất phát từ những phát hiện đó và đề
xuất kiểm toán thường được ghi chép trong một bức thư chính thức (vd: a
Management letter from an IT audit)

43

BÀI TẬP:
1.UEH có website bán các mặt hàng lưu niệm online, cho phép người học
có thể đặt hàng trực tiếp trên website. Mô tả ba rủi ro hệ thống ứng dụng
nổi bật nhất có thể góp phần vào việc truy cập trái phép vào thông tin đặt
hàng của người học. Xác định các kiểm soát cần thiết để giảm thiểu
những rủi ro đó.
2. Bộ phận sản xuất trong doanh nghiệp có một ứng dụng chấm công, nơi
nhân viên nhập số giờ làm việc của họ. Mô tả hai rủi ro hệ thống ứng dụng
nổi bật nhất và các biện pháp kiểm soát có thể giúp giảm thiểu những rủi ro
đó.
3. Các phòng ban trong công ty có chuyên viên kỹ thuật riêng để tạo và duy
trì các ứng dụng. Mô tả ba rủi ro liên quan đến thực tế này. Bạn sẽ đề xuất
những kiểm soát nào để giảm thiểu những rủi ro đó?

44

15