Professional Documents
Culture Documents
IT Audit - C5
IT Audit - C5
Chương 5:
Rủi ro & kiểm
soát các HỆ
THỐNG ỨNG
DỤNG
1/24/2024
Mục tiêu
1. Hiểu những rủi ro phổ biến liên quan đến hệ thống ứng
dụng.
2. Hiểu những rủi ro phổ biến liên quan đến hệ thống ứng
dụng phát triển người dùng cuối.
3. Hiểu những rủi ro đối với các hệ thống trao đổi thông tin
kinh doanh và mô tả các tiêu chuẩn chung cho đánh giá
kiểm toán. (đọc thêm)
4. Hiểu những rủi ro phổ biến liên quan các ứng dụng web
(đọc thêm)
5. Giải thích các kiểm soát ứng dụng và cách chúng được
sử dụng để bảo vệ dữ liệu đầu vào, xử lý và thông tin
đầu ra .
6. Thảo luận về sự tham gia của kiểm toán viên CNTT
trong việc kiểm tra các hệ thống ứng dụng.
1/24/2024
1
1/24/2024
1/24/2024
2
1/24/2024
1/24/2024
3
1/24/2024
1/24/2024
1/24/2024
4
1/24/2024
1/24/2024
10
5
1/24/2024
1/24/2024
11
1/24/2024
12
6
1/24/2024
13
14
7
1/24/2024
1/24/2024
15
1/24/2024
16
8
1/24/2024
17
1/24/2024
18
9
1/24/2024
1/24/2024
19
1/24/2024
20
10
1/24/2024
1/24/2024
21
1/24/2024
22
11
1/24/2024
23
Người dùng cuối tự phát triển ứng dụng (EUD) thường liên
quan đến việc sử dụng các ứng dụng do phòng ban phát triển,
chẳng hạn như bảng tính và cơ sở dữ liệu, thường được sử
dụng làm công cụ thực hiện công việc hàng ngày. Các bảng
tính và cơ sở dữ liệu này về cơ bản là phần mở rộng của môi
trường CNTT và đầu ra được tạo ra từ chúng có thể được sử
dụng để đưa ra các quyết định kinh doanh có tác động đến
công ty. Do đó, việc sử dụng EUD đã mở rộng phạm vi kiểm
toán bên ngoài môi trường IS trung tâm. Mức độ rủi ro và các
biện pháp kiểm soát cần thiết được thực hiện tùy thuộc vào
mức độ quan trọng của việc áp dụng EUD. Ví dụ: một ứng
dụng EUD hợp nhất dữ liệu từ một số phòng ban mà sau này
sẽ là đầu vào cho hệ thống báo cáo tài chính là mục tiêu chính
của cuộc kiểm toán.
1/24/2024
24
12
1/24/2024
Các rủi ro liên quan Ứng dụng EUD không dễ dàng được xác
định do thiếu nhận thức và không có đủ nguồn lực. Ví dụ: máy
tính cá nhân hoặc PC, sổ ghi chép, máy tính xách tay và thiết bị
di động lưu trữ bảng tính và/hoặc cơ sở dữ liệu do phòng ban
phát triển có thể được coi là công cụ năng suất cá nhân và do
đó phần lớn bị tổ chức bỏ qua. Tương tự, nhiều tổ chức có rất ít
hoặc không có thủ tục chính thức liên quan đến EUD. Việc kiểm
soát hoặc xem xét các báo cáo đươc tạo ra từ ứng dụng EUD
có thể bị hạn chế hoặc không tồn tại. Rủi ro là Ban giám đốc có
thể tin tưởng vào các báo cáo và thông tin do Ứng dụng EUD
tạo ra với mức độ tin tưởng tương tự như những báo cáo và
thông tin được phát triển trong môi trường IS tập trung truyền
thống. Ban giám đốc nên xem xét mức độ rủi ro liên quan đến
các ứng dụng EUD và thiết lập các mức kiểm soát phù hợp.
1/24/2024
25
26
13
1/24/2024
1/24/2024
27
1/24/2024
28
14
1/24/2024
1/24/2024
29
1/24/2024
30
15
1/24/2024
1/24/2024
31
1/24/2024
32
16
1/24/2024
1/24/2024
33
34
17
1/24/2024
1/24/2024
35
1/24/2024
36
18
1/24/2024
Rủi ro phổ quyền và những hậu quả tiềm ẩn do vi phạm các luật đó. Để
ngăn chặn việc cài đặt phần mềm trái phép, các tổ chức có thể
hạn chế khả năng cài đặt phần mềm của người dùng bằng cách
biến liên vô hiệu hóa quyền truy cập quản trị vào PC của họ. Ngoài ra, khi
người dùng được cấp quyền truy cập vào máy tính cá nhân
quan ứng hoặc máy tính để bàn, họ phải ký xác nhận liệt kê phần mềm đã
cài đặt, trách nhiệm của cá nhân và mọi biện pháp kỷ luật đối với
dụng phát hành vi vi phạm. Các quy trình bằng văn bản phải xác định rõ
ràng trách nhiệm của người dùng trong việc duy trì kho phần
mềm, kiểm tra việc tuân thủ và xóa phần mềm không được cấp
triển phép.
người
dùng cuối
1/24/2024
37
1/24/2024
38
19
1/24/2024
39
1/24/2024
40
20
1/24/2024
Exhibit 9.1
1/24/2024
41
Hiểu những
rủi ro phổ biến
liên quan các
ứng dụng web
1/24/2024
42
21
1/24/2024
1/24/2024
43
1/24/2024
44
22
1/24/2024
1/24/2024
45
1/24/2024
46
23
1/24/2024
• Kiểm soát xử lý
1/24/2024
47
48
24
1/24/2024
49
50
25
1/24/2024
51
1/24/2024
52
26
1/24/2024
53
1/24/2024
54
27
1/24/2024
55
56
28
1/24/2024
57
58
29
1/24/2024
59
60
30
1/24/2024
1/24/2024
61
1/24/2024
62
31
1/24/2024
63
64
32
1/24/2024
65
66
33
1/24/2024
Giao Tiếp
• Khu vực đầu tiên cần làm rõ là phạm vi tham gia của kiểm toán viên IT. Điều quan
trọng là đảm bảo rằng kỳ vọng của ban giám đốc về vai trò của kiểm toán viên IT
được hiểu và được truyền đạt đến tất cả các bên liên quan. Kiểm toán viên IT phải
xây dựng một kênh liên lạc mở với cả ban giám đốc và người dùng. Nếu mối quan
hệ tích cực giữa những nhóm này không tồn tại, thông tin có thể bị giữ lại khỏi kiểm
toán viên IT. Mặc dù kiểm toán viên IT nên phát triển mối quan hệ làm việc tích cực
với tất cả các nhóm có trách nhiệm thiết kế, kiểm toán viên IT phải duy trì sự độc lập.
• Trong suốt quá trình kiểm toán, kiểm toán viên IT sẽ đưa ra các đề xuất kiểm soát
dựa trên các phát hiện đã xác định. Tùy thuộc vào văn hóa của tổ chức, những đề
xuất này có thể cần được xử lý một cách không chính thức với mỗi chủ sở hữu ứng
dụng chịu trách nhiệm cho khu vực hoặc quy trình không đầy đủ, hoặc chính thức
bằng cách trình bày chúng cho ủy ban điều hành. Trong cả hai trường hợp, kiểm
toán viên IT luôn phải xem xét giá trị của đề xuất kiểm soát so với chi phí triển khai
kiểm soát. Những đề xuất nên cụ thể. Chúng nên xác định vấn đề chứ không phải
triệu chứng, và cho phép triển khai và kiểm thử các biện pháp kiểm soát đúng cách.
Các phát hiện, rủi ro xuất phát từ những phát hiện đó và đề xuất kiểm toán thường
được trình bày trong Thư Quản lý 1/24/2024
67
Bài tập:
1. UEH có website bán các mặt hàng lưu niệm online, cho phép người học có thể đặt
hàng trực tiếp trên website. Mô tả ba rủi ro hệ thống ứng dụng nổi bật nhất có thể
góp phần vào việc truy cập trái phép vào thông tin đặt hàng của người học. Xác
định các kiểm soát cần thiết để giảm thiểu những rủi ro đó.
2. Bộ phận sản xuất trong doanh nghiệp có một ứng dụng chấm công, nơi nhân viên
nhập số giờ làm việc của họ. Mô tả hai rủi ro hệ thống ứng dụng nổi bật nhất và
các biện pháp kiểm soát có thể giúp giảm thiểu những rủi ro đó.
3. Các phòng ban trong công ty có chuyên viên kỹ thuật riêng để tạo và duy trì các
ứng dụng. Mô tả ba rủi ro liên quan đến thực tế này. Bạn sẽ đề xuất những kiểm
soát nào để giảm thiểu những rủi ro đó?
1/24/2024
68
34