1/24/2024

Chương 5:
Rủi ro & kiểm
soát các HỆ
THỐNG ỨNG
DỤNG

1/24/2024

Mục tiêu

1. Hiểu những rủi ro phổ biến liên quan đến hệ thống ứng
dụng.
2. Hiểu những rủi ro phổ biến liên quan đến hệ thống ứng
dụng phát triển người dùng cuối.
3. Hiểu những rủi ro đối với các hệ thống trao đổi thông tin
kinh doanh và mô tả các tiêu chuẩn chung cho đánh giá
kiểm toán. (đọc thêm)
4. Hiểu những rủi ro phổ biến liên quan các ứng dụng web
(đọc thêm)
5. Giải thích các kiểm soát ứng dụng và cách chúng được
sử dụng để bảo vệ dữ liệu đầu vào, xử lý và thông tin
đầu ra .
6. Thảo luận về sự tham gia của kiểm toán viên CNTT
trong việc kiểm tra các hệ thống ứng dụng.

1/24/2024

1
 1/24/2024

Rủi ro phổ biến liên

quan hệ thống ứng
dụng
Đặc điểm của hệ thống ứng dụng:
• Chứa đựng dữ liệu tập trung trong định
dạng có thể dễ dàng truy cập. Sự tập
trung dữ liệu này làm tăng rủi ro. Nếu sai
sót xảy ra trong quá trình nhập liệu thì
tác động lỗi sẽ lớn vì hệ thống ứng dụng
phụ thuộc vào dữ liệu tập trung này.
• Số lượng hệ thống ứng dụng sử dụng
tập trung ngày càng nhiều thì tác dụng
càng lớn khi dữ liệu không khả dụng do
sự cố phần cứng hoăc phần mềm.
1/24/2024

Ví dụ ERP và rủi ro phổ

biến của ERP

• Ưu của hệ thống ERP: ERP cho phép

nhiều chức năng truy cập vào CSDL
chung, do đó, giảm chi phí lưu trũ, tăng
tính nhất quán và chính xác của dữ liệu từ
một nguồn duy nhất; góp phần cải thiện
chất lượng và tính kịp thời của thông tin tài
chính.
• Hạn chế của hệ thống ERP: Lỗi xử lý có
thể ảnh hưởng nhanh chóng đến nhiều
chức năng vì thông tin được chia sẻ nhưng
có nguồn gốc từ một CSDL.

1/24/2024

2
 1/24/2024

Ví dụ ERP và rủi ro phổ

biến của ERP
Rủi ro của hệ thống ERP:
1. Chi phí triển khai hệ thống ERP cao. ERP thường là
phầm mềm đóng gói có sẵn, do đó, các tổ chức khi
triển khai hệ thống ERP thường có 02 lựa chọn:
• Tổ chức yêu cầu NCC sửa đổi hệ thống ERP để
tạo ra một hê thống ERP dành riêng cho tổ chức,
điều này đòi hỏi những nỗ lực lập trình đáng kể từ
NCC và sẽ đẩy chi phí phầm mềm ERP tăng cao
• Tổ chức sửa đổi hoạt động kinh doanh để phù hợp
với phương pháp xử lý của hệ thống ERP. Những
thay đổi trong hoạt động kinh doanh có thể không
phù hợp với văn hoá của tổ chức và gây tốn kém
trong quá trình training. Ngoài ra, có thể phải tích
hợp thêm một số chức năng không có sẵn trong hệ
thống ERP
2. Rủi ro liên quan đến việc tổ chức phụ thuộc vào NCC
duy nhất (bảo trì, hỗ trợ cập nhật tính năng…)
3. Tính chuyên biệt của nguồn nhân lực để tuỳ chỉnh và
triển khai hệ thống ERP. Công ty tốn nguồn lực phát
triển đội ngũ nhân sự riêng, đảm nhiệm trách nhiệm
duy trì hệ thống ERP và cầm tìm giải pháp để giữ chân 1/24/2024
nguồn lực chuyên biệt này.

Rủi ro phổ biến liên

quan hệ thống ứng
dụng

• Các ứng dụng cung cấp các tính năng tự

động, những lợi thế hỗ trợ hữu hiệu cho
quy trình kinh doanh của tổ chức
• Các ứng dụng cũng gây ra rủi ro cần được
quản lý để bảo vệ dữ liệu

1/24/2024

3
 1/24/2024

Rủi ro phổ biến

liên quan hệ
thống ứng
dụng

• Bảo mật thông tin yếu

• Truy cập trái phép vào
các chương trình hoặc
dữ liệu
• Truy cập từ xa trái
phép
• Thông tin không chính
xác

1/24/2024

Rủi ro phổ biến

liên quan hệ
thống ứng
dụng

• Dữ liệu đầu vào bị sai

hoặc bị giả mạo
• Xử lý không đầy đủ, trùng
lặp và không kịp thời
• Lỗi giao tiếp
• Đầu ra không chính xác
hoặc không đầy đủ
• Tài liệu không đầy đủ

1/24/2024

4
 1/24/2024

Rủi ro phổ biến liên

quan hệ thống ứng
dụng
Bảo mật thông tin yếu
Bảo mật thông tin phải là mối quan tâm của CNTT,
người dùng và quản lý. Hiện tại, bảo mật thông tin
chưa là ưu tiên hàng đầu nhất quán của nhiều tổ
chức. Các khảo sát và báo cáo trước đây đã chỉ ra
rằng các tổ chức quan tâm đến (1) ngân sách, (2)
tình trạng thiếu nhân viên, (3) nhận thức của nhà
quản lý, (4) các công cụ và giải pháp cộng nghệ hơn
là bảo mật thông tin. Trong khi đó, công nghệ tiên
tiến và khả năng tiếp cận thông tin quan trọng và
nhạy cảm của người dùng cuối ngày càng tăng,
càng làm gia tăng rủi ro bảo mật thông tin.

1/24/2024

Rủi ro phổ biến liên quan hệ thống

ứng dụng
Truy cập trái phép vào các chương trình hoặc dữ
liệu
Hệ thống ứng dụng nên được xây dựng với nhiều
cấp độ ủy quyền khác nhau cho việc thực hiện và
phê duyệt giao dịch.
Quyền truy cập của người dùng nên được cấp
trên cơ sở “cần biết”, phù hợp với chức năng và
trách nhiệm công việc của người dùng. Ví dụ:
nhân viên tính lương cần truy cập vào hệ thống
tính lương nhưng không cần truy cập vào hệ
thống thanh toán.
1/24/2024

10

5
 1/24/2024

Rủi ro phổ biến

liên quan hệ
thống ứng
dụng
Truy cập từ xa trái phép

Truy cập từ xa cho phép

người dùng trong một tổ
chức truy cập vào mạng
và tài nguyên máy tính
của tổ chức đó từ các địa
điểm bên ngoài cơ sở
của tổ chức.

1/24/2024

11

Rủi ro phổ biến liên quan hệ

thống ứng dụng
Truy cập từ xa trái phép
Đặc điểm của truy cập từ xa làm gia tăng khả năng truy cập trái phép, cụ thể:
1. Các thiết bị khách (được sử dụng để truy cập từ xa) có xu hướng có khả năng
bảo vệ yếu hơn so với các thiết bị khách tiêu chuẩn hoặc dựa trên tổ chức. Ví
dụ: các thiết bị này có thể không nhất thiết phải được quản lý bởi tổ chức và do
đó, không được xác định theo các quy tắc tường lửa và chống vi-rút.
2. Thông tin liên lạc truy cập từ xa có thể được truyền qua các mạng không đáng
tin cậy, khiến thông tin liên lạc bị giám sát, mất mát hoặc thao túng trái phép. Nói
cách khác, nếu người dùng trong (hoặc bên ngoài) mạng của tổ chức có được
quyền truy cập trái phép:
thông tin nhạy cảm và bí mật có thể gặp rủi ro và bị ảnh hưởng tiêu cực; Và
virus máy tính có thể được đưa vào làm ảnh hưởng đến hồ sơ công ty, hiệu
suất hoạt động của hệ thống máy tính hoặc chỉ làm chậm mạng và tài nguyên của nó.

1/24/2024

12

6
 1/24/2024

1. Rủi ro phổ biến liên quan hệ

thống ứng dụng
Truy cập từ xa trái phép
Một số biện pháp để chống truy cập từ xa trái phép:
• ID người dùng và mật khẩu phải sử dụng mã hóa khi truyền
qua đường dây công cộng
• Dữ liệu bí mật được truyền qua đường dây công cộng cũng
cần được mã hóa. Giải pháp bảo mật mã hóa phụ thuộc vào
độ nhạy cảm của dữ liệu được truyền đi.
• Việc đánh giá quyền truy cập của người dùng phải được nhân
viên an ninh IS thực hiện định kỳ và được ban quản lý phê
duyệt để đảm bảo quyền truy cập từ xa được cấp là chính xác
và nhất quán với nhiệm vụ và trách nhiệm công việc.
1/24/2024

13

Rủi ro phổ biến liên quan hệ thống ứng dụng

Thông tin không chính xác
Thông tin chính xác phải được đảm bảo cho dù
người dùng cuối đang truy cập dữ liệu từ ứng dụng,
cơ sở dữ liệu phòng ban hay thông tin trên đám mây.
Người dùng cuối có thể được yêu cầu tạo báo cáo để
phân tích và báo cáo mà không hiểu đầy đủ thông tin
được tải xuống. Kho dữ liệu của phòng ban (ví dụ: cơ
sở dữ liệu, đám mây dữ liệu, v.v.) có thể có thông tin
dư thừa với các khung thời gian khác nhau. Khó
khăn: tốn thời gian đối chiếu các kho lưu trữ này để
xác định dữ liệu nào là chính xác.
1/24/2024

14

7
 1/24/2024

Rủi ro phổ biến liên quan hệ thống ứng dụng

Thông tin không chính xác

Khó khăn khác: (1) ban quản lý có thể không sử
dụng thông tin đúng cách do không xác định
được thông tin quan trọng; (2) giải thích ý nghĩa
và giá trị của thông tin thu được chưa phù hợp;
(3) không truyền đạt thông tin quan trọng tới
đúng người quản lý chịu trách nhiệm hoặc đúng
người ra quyết định chính một cách kịp thời.

1/24/2024

15

Rủi ro phổ biến liên

quan hệ thống ứng
dụng
Dữ liệu đầu vào bị sai hoặc bị giả mạo
Dữ liệu đầu vào bị sai là khi dữ liệu không chính xác
được nhập vào hệ thống ứng dụng một cách vô tình do
lỗi của con người. Các biện pháp phòng ngừa bao gồm
các biện pháp kiểm soát ứng dụng tích hợp, chẳng hạn
như kiểm tra kiểu số và bút toán kép.
Dữ liệu đầu vào bị giả mạo là khi dữ liệu không chính
xác được cố ý nhập vào hệ thống ứng dụng để lừa gạt
tổ chức hoặc các bên liên quan. Trong trường hợp này,
các biện pháp phòng ngừa có thể bao gồm việc bảo vệ
quyền truy cập vào các chương trình và dữ liệu thông
qua cơ chế xác thực và ủy quyền của người dùng.

1/24/2024

16

8
 1/24/2024

Rủi ro phổ biến liên

quan hệ thống ứng
dụng
Xử lý không đầy đủ, trùng lặp và không kịp
thời
Quá trình xử lý không đầy đủ xảy ra khi các
giao dịch hoặc tập tin không được xử lý do
lỗi. Nó có thể xảy ra trong quá trình xử lý
theo lô khi tập tin không hiện diện hoặc trong
quá trình xử lý trực tuyến khi yêu cầu hoặc
trình kích hoạt không khởi động được giao
dịch.
1/24/2024

17

Rủi ro phổ biến liên

quan hệ thống ứng
dụng
Xử lý không đầy đủ, trùng lặp và không kịp
thời
Xử lý giao dịch trùng lặp bao gồm việc thực
hiện các giao dịch nhiều lần. Nó có thể xảy
ra trong quá trình xử lý theo lô nếu các tập
tin được thực thi nhiều lần hoặc trong quá
trình xử lý trực tuyến khi trình kích hoạt giao
dịch bắt đầu một giao dịch nhiều lần

1/24/2024

18

9
 1/24/2024

Rủi ro phổ biến liên

quan hệ thống ứng
dụng
Xử lý không đầy đủ, trùng lặp và không kịp thời
Xử lý không kịp thời bao gồm việc xử lý bị trì hoãn
do vấn đề sản xuất hoặc thiếu thời gian. Ví dụ: quy
trình tài chính phải diễn ra vào thời điểm kết sổ cuối
tháng để đảm bảo rằng các giao dịch chi tiết được
xử lý trong một hệ thống ứng dụng khớp với giao
dịch được ghi vào sổ cái chung. Ngoài ra, khi một hệ
thống trực tuyến đăng các giao dịch lên hệ thống
theo đợt, thường sẽ có một thời điểm giới hạn để
quá trình xử lý kết thúc vào ngày thứ nhất và bắt
đầu vào ngày thứ hai.

1/24/2024

19

Rủi ro phổ biến liên

quan hệ thống ứng
dụng
Lỗi giao tiếp
Ngày nay, các hệ thống ứng dụng trong môi trường
CNTT chịu trách nhiệm về nhiều dịch vụ quan trọng,
bao gồm các dịch vụ liên lạc (ví dụ: e-mail, mạng nội bộ,
Internet, nhắn tin tức thời, v.v.).
Sự phụ thuộc ngày càng tăng vào các dịch vụ truyền
thông CNTT, khả năng thất bại của các dịch vụ này sẽ
tạo ra rủi ro ngày càng tăng cho các tổ chức.
Thông tin được xác định truyền từ vị trí này đến vị trí
khác qua đường truyền thông sẽ dễ bị lỗi do: (1) vô tình,
(2) bị chặn có chủ ý và/hoặc (3) bị sửa đổi bởi các bên
trái phép.

1/24/2024

20

10
 1/24/2024

Rủi ro phổ biến

liên quan hệ
thống ứng dụng
Đầu ra không chính xác hoặc không đầy đủ
Nếu không được bảo vệ đầy đủ, các báo cáo đầu ra
có thể có lỗi sau khi xử lý (làm ảnh hưởng đến tính
toàn vẹn của chúng) và cũng có thể được phân
phối không đúng cách. Ví dụ, cần phải có các biện
pháp kiểm soát đầu ra để xác minh rằng dữ liệu là
chính xác và đầy đủ (tức là được ghi lại đúng cách)
và các quy trình phân phối và lưu giữ báo cáo có
hiệu quả. Ví dụ về kiểm soát đầu ra liên quan đến
thực hiện việc đánh giá, đối chiếu và xác minh việc
truyền dữ liệu. Ngoài ra, việc truy cập vào các báo
cáo nên dựa trên cơ sở “cần biết” để duy trì tính
bảo mật.

1/24/2024

21

Rủi ro phổ biến liên

quan hệ thống ứng
dụng
Tài liệu không đầy đủ
Người dùng cuối thường tập trung vào việc giải quyết
nhu cầu kinh doanh và có thể không nhận ra tầm quan
trọng của tài liệu. Bất kỳ hệ thống ứng dụng nào được
nhiều người dùng sử dụng hoặc có lợi ích lâu dài đều
phải được ghi lại, đặc biệt nếu nhà phát triển hoặc lập
trình viên ban đầu không còn nữa. Tài liệu cung cấp cho
người lập trình đủ thông tin để hiểu cách ứng dụng hoạt
động và hỗ trợ giải quyết các vấn đề để đảm bảo phân
tích hữu hiệu và hiệu quả các thay đổi chương trình và
khắc phục sự cố. Tài liệu cần được cập nhật khi hệ
thống ứng dụng được sửa đổi.

1/24/2024

22

11
 1/24/2024

Rủi ro phổ biến liên

quan hệ thống ứng
dụng
Tài liệu không đầy đủ
Tài liệu còn đảm bảo khả năng bảo trì của
hệ thống và các thành phần của nó, đồng
thời giảm thiểu khả năng xảy ra lỗi. Tài liệu
phải dựa trên tiêu chuẩn đã xác định và bao
gồm các mô tả về quy trình, hướng dẫn cho
nhân viên, lưu đồ, sơ đồ dòng dữ liệu, bố
cục hiển thị hoặc bố cục báo cáo và các tài
liệu khác mô tả hệ thống ứng dụng.
1/24/2024

23

Rủi ro phổ biến liên quan

ứng dụng do người dùng
cuối phát triển

Người dùng cuối tự phát triển ứng dụng (EUD) thường liên
quan đến việc sử dụng các ứng dụng do phòng ban phát triển,
chẳng hạn như bảng tính và cơ sở dữ liệu, thường được sử
dụng làm công cụ thực hiện công việc hàng ngày. Các bảng
tính và cơ sở dữ liệu này về cơ bản là phần mở rộng của môi
trường CNTT và đầu ra được tạo ra từ chúng có thể được sử
dụng để đưa ra các quyết định kinh doanh có tác động đến
công ty. Do đó, việc sử dụng EUD đã mở rộng phạm vi kiểm
toán bên ngoài môi trường IS trung tâm. Mức độ rủi ro và các
biện pháp kiểm soát cần thiết được thực hiện tùy thuộc vào
mức độ quan trọng của việc áp dụng EUD. Ví dụ: một ứng
dụng EUD hợp nhất dữ liệu từ một số phòng ban mà sau này
sẽ là đầu vào cho hệ thống báo cáo tài chính là mục tiêu chính
của cuộc kiểm toán.
1/24/2024

24

12
 1/24/2024

Rủi ro phổ biến liên quan

ứng dụng do người dùng
cuối phát triển

Các rủi ro liên quan Ứng dụng EUD không dễ dàng được xác
định do thiếu nhận thức và không có đủ nguồn lực. Ví dụ: máy
tính cá nhân hoặc PC, sổ ghi chép, máy tính xách tay và thiết bị
di động lưu trữ bảng tính và/hoặc cơ sở dữ liệu do phòng ban
phát triển có thể được coi là công cụ năng suất cá nhân và do
đó phần lớn bị tổ chức bỏ qua. Tương tự, nhiều tổ chức có rất ít
hoặc không có thủ tục chính thức liên quan đến EUD. Việc kiểm
soát hoặc xem xét các báo cáo đươc tạo ra từ ứng dụng EUD
có thể bị hạn chế hoặc không tồn tại. Rủi ro là Ban giám đốc có
thể tin tưởng vào các báo cáo và thông tin do Ứng dụng EUD
tạo ra với mức độ tin tưởng tương tự như những báo cáo và
thông tin được phát triển trong môi trường IS tập trung truyền
thống. Ban giám đốc nên xem xét mức độ rủi ro liên quan đến
các ứng dụng EUD và thiết lập các mức kiểm soát phù hợp.
1/24/2024

25

Rủi ro phổ biến liên quan ứng

dụng phát triển người dùng cuối
Rủi ro phổ biến liên quan ứng dụng EUD:
• Chi phí tổ chức cao hơn
• Hệ thống không tương thích hoặc dư thừa
• Triển khai không hữu hiệu
• Thiếu sự phân chia trách nhiệm
• Phân tích hệ thống không đầy đủ
• Truy cập trái phép vào dữ liệu và chương trìh
• Vi phạm bản quyền
• Thiếu các tuỳ chọn sao lưu và phục hồi
• Phá huỷ thông tin bởi virus
1/24/2024

26

13
 1/24/2024

Rủi ro phổ biến liên

quan ứng dụng phát
triển người dùng cuối
Chi phí tổ chức cao hơn
EUD ban đầu có vẻ tương đối rẻ so với việc phát triển
CNTT truyền thống. Tuy nhiên, một số chi phí ẩn có liên
quan đến EUD mà các tổ chức nên xem xét. Ngoài chi
phí vận hành, chi phí có thể tăng do thiếu đào tạo và hỗ
trợ kỹ thuật. Việc thiếu đào tạo người dùng cuối và sự
thiếu kinh nghiệm của họ cũng có thể dẫn đến việc mua
phần cứng không phù hợp và triển khai các giải pháp
phần mềm không tương thích với kiến trúc hệ thống của
tổ chức. Người dùng cuối cũng có thể tăng chi phí tổ
chức bằng cách tạo ra các ứng dụng không hiệu quả
hoặc dư thừa.

1/24/2024

27

Rủi ro phổ biến liên quan ứng dụng phát

triển người dùng cuối
Hệ thống không tương thích hoặc dư thừa
Các hệ thống ứng dụng do người dùng cuối thiết
kế được phát triển riêng biệt có thể không tương
thích với kiến trúc CNTT của tổ chức hiện tại
hoặc tương lai. Phát triển hệ thống CNTT truyền
thống xác minh khả năng tương thích với phần
cứng hiện có và các ứng dụng phần mềm liên
quan. Việc thiếu các tiêu chuẩn phần cứng và
phần mềm có thể dẫn đến việc không thể chia sẻ
dữ liệu với các ứng dụng khác trong tổ chức.

1/24/2024

28

14
 1/24/2024

Rủi ro phổ biến liên quan ứng dụng phát

triển người dùng cuối
Hệ thống không tương thích hoặc dư thừa
Ngoài việc phát triển các hệ thống không tương thích,
người dùng cuối có thể đang phát triển các ứng dụng
hoặc cơ sở dữ liệu dư thừa do thiếu sự liên lạc giữa
các phòng ban. Do thiếu sự giao tiếp này, các bộ phận
người dùng cuối có thể tạo một cơ sở dữ liệu hoặc
ứng dụng mới mà bộ phận khác có thể đã tạo. Một quy
trình triển khai hiệu quả hơn đòi hỏi các bộ phận người
dùng cuối phải điều phối các dự án phát triển hệ thống
của họ với bộ phận CNTT và gặp gỡ các bộ phận
người dùng cuối khác để thảo luận về các dự án được
đề xuất của họ.

1/24/2024

29

Rủi ro phổ biến liên

quan ứng dụng phát
triển người dùng cuối
Triển khai không hữu hiệu
Người dùng cuối thường sử dụng các ngôn ngữ lập
trình thế hệ thứ tư, chẳng hạn như cơ sở dữ liệu hoặc
các công cụ phát triển Internet Web để phát triển ứng
dụng. Trong những trường hợp này, người dùng cuối
thường tự học. Tuy nhiên, họ thiếu đào tạo chính quy về
phát triển ứng dụng có cấu trúc, không nhận ra tầm
quan trọng của tài liệu và có xu hướng bỏ qua các biện
pháp kiểm soát cần thiết để triển khai hữu hiệu. Ngoài
ra, không có sự phân chia nhiệm vụ. Do phân tích, tài
liệu và thử nghiệm không đầy đủ, các hệ thống do
người dùng cuối phát triển có thể không đáp ứng được
mong đợi của ban giám đốc.

1/24/2024

30

15
 1/24/2024

Rủi ro phổ biến liên

quan ứng dụng phát
triển người dùng cuối
Thiếu sự phân chia trách nhiệm
Việc phát triển hệ thống ứng dụng truyền thống được tách biệt
theo chức năng và được kiểm tra và hoàn thiện bởi các chuyên
gia được đào tạo trong từng lĩnh vực. Trong nhiều dự án EUD,
một cá nhân chịu trách nhiệm cho tất cả các giai đoạn, chẳng
hạn như phân tích, thiết kế, xây dựng, thử nghiệm và triển khai
vòng đời phát triển. Có những rủi ro cố hữu, chẳng hạn như bỏ
qua lỗi, khi có cùng một người tạo và thử nghiệm một chương
trình.
Nhiều khả năng việc đánh giá độc lập sẽ phát hiện ra lỗi do nhà
phát triển người dùng cuối mắc phải và việc đánh giá như vậy
giúp đảm bảo tính toàn vẹn của hệ thống ứng dụng được thiết
kế mới.

1/24/2024

31

Rủi ro phổ biến liên

quan ứng dụng phát
triển người dùng cuối
Phân tích hệ thống không đầy đủ
Bộ phận người dùng cuối loại bỏ nhiều bước do bộ
phận CNTT trung tâm thiết lập. Ví dụ, giai đoạn
phân tích quá trình phát triển có thể không đầy đủ và
không phải tất cả các khía cạnh của vấn đề đều
được xác định một cách thích hợp. Ngoài ra, với các
thông số kỹ thuật chưa đầy đủ, hệ thống hoàn chỉnh
có thể không đáp ứng được mục tiêu cũng như
không giải quyết được vấn đề kinh doanh. Thông số
kỹ thuật không đầy đủ có thể sẽ dẫn đến sự thiếu
sót của hệ thống.

1/24/2024

32

16
 1/24/2024

Rủi ro phổ biến liên

quan ứng dụng phát
triển người dùng cuối

Truy cập trái phép vào dữ liệu và

chương trình
Kiểm soát truy cập cung cấp tuyến
phòng thủ đầu tiên chống lại những
người dùng trái phép truy cập vào
các chương trình và dữ liệu của hệ
thống ứng dụng.

1/24/2024

33

Rủi ro phổ biến liên quan ứng dụng

phát triển người dùng cuối
Truy cập trái phép vào dữ liệu và chương trình
Việc sử dụng các biện pháp kiểm soát truy cập, chẳng hạn
như ID người dùng và mật khẩu, thường yếu trong các hệ
thống do người dùng phát triển. Trong một số trường hợp,
ID người dùng và mật khẩu thậm chí có thể không được
yêu cầu hoặc chúng rất đơn giản và dễ đoán. Việc này có
thể khiến ứng dụng bị thay đổi hoặc xóa một cách vô tình
hoặc cố ý, đe dọa đến độ tin cậy của bất kỳ thông tin nào
được tạo ra.
Do đó, các hệ thống yêu cầu các bảo vệ bổ sung để ngăn
chặn mọi thay đổi không mong muốn. Để ngăn ngừa bất
kỳ thay đổi ngẫu nhiên nào, việc truy cập nên giới hạn
trong một số người dùng cụ thể.
1/24/2024

34

17
 1/24/2024

Rủi ro phổ biến liên quan ứng dụng phát

triển người dùng cuối
Vi phạm bản quyền
Các tổ chức có trách nhiệm kiểm soát môi trường máy
tính để ngăn chặn vi phạm bản quyền và vi phạm bản
quyền phần mềm. Tuy nhiên, một số tổ chức có thể
không đề cập cụ thể đến vấn đề vi phạm bản quyền
phần mềm trong đào tạo, trong chính sách và thủ tục
hoặc trong việc áp dụng các biện pháp kiểm soát nội
bộ chung. Vì các chương trình phần mềm có thể dễ
dàng được sao chép hoặc cài đặt trên nhiều máy tính
nên nhiều tổ chức đã vi phạm luật bản quyền và thậm
chí không nhận thức được những rủi ro tiềm ẩn.

1/24/2024

35

Rủi ro phổ biến liên

quan ứng dụng phát
triển người dùng cuối
Vi phạm bản quyền
Các tổ chức phải đối mặt với một số rủi ro khi họ
dung túng việc vi phạm bản quyền phần mềm. Cụ
thể: Phần mềm được sao chép có thể không đáng
tin cậy và chứa vi-rút. Các vụ kiện tụng liên quan
đến vi phạm bản quyền được công bố rộng rãi và tổ
chức có nguy cơ mất đi thiện chí tiềm tàng. Hơn
nữa, việc dung túng vi phạm bản quyền phần mềm
sẽ khuyến khích sự suy thoái về đạo đức kinh doanh
và có thể ảnh hưởng đến các lĩnh vực khác của tổ
chức.

1/24/2024

36

18
 1/24/2024

Vi phạm bản quyền

Các tổ chức nên thông báo cho người dùng cuối về luật bản

Rủi ro phổ quyền và những hậu quả tiềm ẩn do vi phạm các luật đó. Để
ngăn chặn việc cài đặt phần mềm trái phép, các tổ chức có thể
hạn chế khả năng cài đặt phần mềm của người dùng bằng cách
biến liên vô hiệu hóa quyền truy cập quản trị vào PC của họ. Ngoài ra, khi
người dùng được cấp quyền truy cập vào máy tính cá nhân
quan ứng hoặc máy tính để bàn, họ phải ký xác nhận liệt kê phần mềm đã
cài đặt, trách nhiệm của cá nhân và mọi biện pháp kỷ luật đối với

dụng phát hành vi vi phạm. Các quy trình bằng văn bản phải xác định rõ
ràng trách nhiệm của người dùng trong việc duy trì kho phần
mềm, kiểm tra việc tuân thủ và xóa phần mềm không được cấp
triển phép.

người
dùng cuối
1/24/2024

37

Rủi ro phổ biến liên quan ứng dụng phát

triển người dùng cuối
Thiếu các tuỳ chọn sao lưu và phục hồi
Các tổ chức sẽ gặp rắc rối nếu không duy trì bản sao
dữ liệu. Ngày nay, việc mất dữ liệu là điều cực kỳ dễ
dàng và gần như không thể xây dựng lại dữ liệu đó
nếu không thực hiện sao lưu. Các ứng dụng EUD
thường được lưu trữ trong PC của một người và
không được sao lưu đúng cách. Trong trường hợp xảy
ra thảm họa hoặc vi rút tấn công, các ứng dụng này
(và dữ liệu của chúng) có thể không phục hồi được do
thiếu bản sao lưu. Do đó, người dùng cuối có thể
không tạo lại được ứng dụng và dữ liệu của nó trong
một khoảng thời gian hợp lý.

1/24/2024

38

19
 1/24/2024

Rủi ro phổ biến liên

quan ứng dụng phát
triển người dùng cuối
Thiếu các tuỳ chọn sao lưu và phục hồi
Việc không có chiến lược sao lưu và phục
hồi sẽ dẫn đến mất dữ liệu máy tính. Dữ liệu
chưa được sao lưu luôn phải đối mặt với các
rủi ro, chẳng hạn như vô tình xóa tập tin, vi-
rút và phần mềm độc hại gây hại, hỏng ổ
cứng, mất điện hoặc treo máy, trộm máy
tính, hư hỏng do nước, hỏa hoạn và nhiều
vấn đề khác.
1/24/2024

39

Rủi ro phổ biến liên

quan ứng dụng phát
triển người dùng cuối

Virus phá huỷ thông tin : Xem lại nội dung

trong chương 2 môn An toàn Thông tin Kế
toán

1/24/2024

40

20
 1/24/2024

Hiểu những rủi ro đối với các

hệ thống trao đổi thông tin
kinh doanh và mô tả các tiêu
chuẩn chung cho đánh giá
kiểm toán

Exhibit 9.1

1/24/2024

41

Hiểu những
rủi ro phổ biến
liên quan các
ứng dụng web

1/24/2024

42

21
 1/24/2024

Kiểm soát ứng dụng

Có 02 nhóm kiểm soát máy tính giúp giảm

thiểu những rủi ro liên quan các hệ thống
ứng dụng:
• Kiểm soát chung
• Kiểm soát ứng dụng

1/24/2024

43

Kiểm soát ứng

dụng
Kiểm soát chung:
• Là kiểm tra các chính sách và thủ tục liên quan
đến nhiều ứng dụng và hỗ trợ các kiểm soát ứng
dụng hoạt động hữu hiệu.
• Kiểm soát chung chi phối cơ sở hạ tầng CNTT
và các dịch vụ hỗ trợ (bao gồm tất cả các hệ
thống và ứng dụng). Kiểm soát chung thường
bao gồm (1) kiểm soát hoạt động của hệ thống
thông tin; (2) kiểm soát bảo mật thông tin; và (3)
kiểm soát quản lý việc thay đổi (tức là mua, thay
đổi và bảo trì phần mềm hệ thống, thay đổi
chương trình và mua, phát triển và bảo trì hệ
thống ứng dụng).

1/24/2024

44

22
 1/24/2024

Kiểm soát ứng

dụng

Kiểm soát ứng dụng kiểm tra các thủ tục cụ

thể và duy nhất cho ứng dụng. Nó quan tâm
đến tính chính xác, đầy đủ, hợp lệ và ủy
quyền của dữ liệu được thu thập, nhập, xử
lý, lưu trữ, truyền tải và báo cáo. Ví dụ: xác
thực dữ liệu đầu vào, kiểm tra độ chính xác
về mặt toán học của các bản ghi và thực
hiện kiểm tra trình tự số, …. Các biện pháp
kiểm soát ứng dụng có thể sẽ hữu hiệu khi
các biện pháp kiểm soát chung hữu hiệu.

1/24/2024

45

Kiểm soát ứng

dụng
Kiểm soát ứng dụng được triển khai tại các tổ chức
gồm:
• kiểm soát cấu hình hệ thống và/hoặc kiểm
soát cấu hình ứng dụng;
• kiểm soát liên quan đến bảo mật thực thi
quyền truy cập, vai trò và phân chia nhiệm
vụ của người dùng;
• kiểm soát các thông báo tự động để cảnh
báo người dùng rằng một giao dịch hoặc
quy trình đang chờ hành động của họ.
• Kiểm soát ứng dụng cũng kiểm tra các
phép tính toán học, cân bằng tổng số giữa
các công việc,, sự đối chiếu giữa các hệ
thống để đảm bảo tính chính xác và đầy đủ
của các giao dịch…

1/24/2024

46

23
 1/24/2024

Kiểm soát ứng

dụng

Kiểm soát ứng dụng được chia

thành ba loại chính:
• kiểm soát nhập liệu

• Kiểm soát xử lý

• Kiểm soát đầu ra

1/24/2024

47

Kiểm soát ứng dụng

Kiểm soát nhập liệu:
Mục tiêu: đảm bảo tính xác thực, tính chính xác và tính
đầy đủ của dữ liệu được nhập vào ứng dụng
Tính xác thực:
NIST định nghĩa tính xác thực là “đặc tính mang tính
thành thật, có thể được xác minh và tin cậy.”* Tính xác
thực đảm bảo rằng chỉ những người dùng được ủy
quyền mới có quyền truy cập vào các giao dịch. Trong
quá trình phát triển hệ thống ứng dụng, người dùng
được ủy quyền phải được xác định cùng với mức độ
bảo mật của họ để truy cập dữ liệu. Thông tin này có
thể được sử dụng khi thiết kế màn hình đầu vào để giới
hạn màn hình hoặc trường cho các nhóm người dùng
cụ thể. Các biện pháp kiểm soát cũng có thể được thiết
kế để thực thi việc phân chia nhiệm vụ. Ví dụ: người
dùng có thể nhập giao dịch nhưng người giám sát có
thể cần phê duyệt giao dịch trước khi gửi để xử lý. 1/24/2024

48

24
 1/24/2024

Kiểm soát ứng dụng

Kiểm soát nhập liệu:
Việc xác thực cũng phải được xem xét khi
các ứng dụng tự động giao tiếp với các ứng
dụng khác. Theo NIST, xác thực xác minh
“danh tính của người dùng, quy trình hoặc
thiết bị thường là điều kiện tiên quyết để cho
phép truy cập vào các tài nguyên trong hệ
thống thông tin.”* Thông thường, các công
việc xử lý theo lô theo lịch trình hoạt động
theo thẩm quyền với các đặc quyền truy cập
được chỉ định cụ thể vào CSDL. Những rủi
ro liên quan đến các tài khoản truy cập này
cũng như các đặc quyền truy cập cần được
xem xét lại. Tài khoản chung không nên
được sử dụng. Các công việc hàng loạt phải
được cấp đặc quyền tối thiểu và không nên
sử dụng tài khoản cấp hệ thống. 1/24/2024

49

5. Kiểm soát ứng dụng

Kiểm soát nhập liệu:

Mục tiêu: đảm bảo tính xác thực, tính chính
xác và tính đầy đủ của dữ liệu được nhập
vào ứng dụng
Tính chính xác:
Tính chính xác được đảm bảo thông qua
các kiểm tra chỉnh sửa để xác thực dữ liệu
đã nhập trước khi chấp nhận giao dịch để
xử lý. Tính chính xác đảm bảo rằng thông tin
được nhập vào đơn đăng ký là nhất quán và
tuân thủ các chính sách và thủ tục. Điều này
được thực hiện bằng cách thiết kế màn hình
đầu vào với các chỉnh sửa và xác thực để
kiểm tra dữ liệu được nhập theo1/24/2024
các quy tắc
hoặc giá trị được xác định trước.

50

25
 1/24/2024

5. Kiểm soát ứng dụng

Kiểm soát nhập liệu:
Mục tiêu: đảm bảo tính xác thực, tính chính xác và
tính đầy đủ của dữ liệu được nhập vào ứng dụng
Tính chính xác:
Tính chính xác của các giao dịch được xử lý có thể
được đảm bảo bằng cách yêu cầu tất cả các giao
dịch đã nhập đều phải trải qua kiểm tra xác thực dữ
liệu, cho dù đến từ màn hình trực tuyến, giao diện từ
ứng dụng khác hay do hệ thống tạo ra. Các chương
trình tự động tạo giao dịch (tức là các chương trình
được kích hoạt theo thời gian) phải có các chỉnh sửa
tích hợp để xác thực độ chính xác của giao dịch
tương tự như các giao dịch do người dùng nhập.
Điều quan trọng nữa là phải theo dõi khối lượng và
tần suất giao dịch theo xu hướng dự kiến để đảm bảo
rằng các giao dịch được kích hoạt đúng cách. Việc
kiểm tra thiếu và trùng lặp cũng cần được1/24/2024 lập trình

trong trường hợp xảy ra lỗi trong logic kích hoạt.

51

5. Kiểm soát ứng dụng

Kiểm soát nhập liệu:
Mục tiêu: đảm bảo tính xác thực, tính chính xác và
tính đầy đủ của dữ liệu được nhập vào ứng dụng
Tính chính xác:
Các quy trình chỉnh sửa và xác thực được đặt trong
hệ thống để hỗ trợ đảm bảo tính đầy đủ và chính xác
của dữ liệu. Vì vậy, không nên xem nhẹ việc ghi đè
các quy trình chỉnh sửa. Trong hầu hết các hệ thống,
người dùng không được cung cấp khả năng này. Việc
ghi đè các quy trình chỉnh sửa chỉ được phép đối với
người quản lý bộ phận hoặc người giám sát người
dùng có đặc quyền và từ thiết bị đầu cuối chính. Các
phần ghi đè phải được ứng dụng tự động ghi lại để
những hành động này có thể được phân tích về tính
phù hợp và chính xác.

1/24/2024

52

26
 1/24/2024

Kiểm soát ứng dụng

Kiểm soát nhập liệu:
Mục tiêu: đảm bảo tính xác thực, tính chính xác và tính
đầy đủ của dữ liệu được nhập vào ứng dụng
Tính đầy đủ:
Tính đầy đủ xác nhận rằng tất cả dữ liệu cần thiết để
đáp ứng nhu cầu kinh doanh hiện tại và tương lai đều
thực sự sẵn sàng và sẵn có.
Dữ liệu đầy đủ, dưới dạng báo cáo tài chính, danh sách
nhà cung cấp, báo cáo khoản phải thu của khách hàng,
báo cáo cho vay, v.v., phản ánh tình trạng chính xác của
tổ chức và cách tổ chức đối phó với các đối thủ cạnh
tranh cũng như các xu hướng của ngành. Ví dụ, tính
đầy đủ được đảm bảo thông qua các quy trình xử lý lỗi
cung cấp tính năng ghi nhật ký, báo cáo và sửa lỗi. 1/24/2024

53

Kiểm soát ứng dụng

Kiểm soát xử lý:
• Kiểm soát xử lý giúp ngăn chặn, phát hiện
và/hoặc sửa lỗi trong khi diễn ra quá trình xử lý
dữ liệu (theo lô hoặc trực tuyến). Các kiểm soát
này đảm bảo rằng dữ liệu được xử lý chính xác
và đầy đủ thông qua ứng dụng (vd: không có
dữ liệu được thêm, bị mất hoặc thay đổi trong
quá trình xử lý…)
• Các công việc đã được lên lịch trong một ứng
dụng cần được xem xét để đảm bảo rằng
những thay đổi đã thực hiện là thích hợp và
không gây ra rủi ro.

1/24/2024

54

27
 1/24/2024

Kiểm soát ứng dụng

Kiểm soát xử lý:

• Để đảm bảo tính chính xác và đầy đủ của dữ liệu
(A&C), các chương trình phải được xây dựng logic
để ngăn chặn, phát hiện và/hoặc sửa lỗi. Thủ tục xử
lý lỗi nên bao gồm:
Nhật ký ghi lại hoạt động lỗi
Phê duyệt quy trình sửa lỗi và gửi lại
Xác định trách nhiệm đối với các tập tin lỗi
Báo cáo về các lỗi chưa được giải quyết
Đánh giá tuổi và ưu tiên các lỗi chưa được giải
quyết
1/24/2024

55

Kiểm soát ứng dụng

Kiểm soát xử lý: A&C cũng có thể đạt được bằng cách
cân bằng các giao dịch theo lô đi vào và các giao dịch đi
ra khỏi giao dịch trước đó. Các bước cân bằng nên diễn
ra ở những điểm xử lý công việc chính. Các điểm kiểm
soát sau đây là ví dụ về các điểm xử lý công việc chính:
Điểm đầu vào. Các chương trình chấp nhận giao
dịch từ quá trình xử lý đầu vào
Các module xử lý chính. Các chương trình sửa đổi
dữ liệu Điểm phân nhánh. Các chương trình phân
tách hoặc hợp nhất dữ liệu (ví dụ: chương trình hợp
nhất dữ liệu từ hai hoặc nhiều nguồn đầu vào khác
nhau vào một tập tin; tập tin sau đó được sử dụng làm
nguồn cấp dữ liệu cho báo cáo tài chính, hệ thống báo
cáo, v.v...)
Điểm đầu ra. Kết quả xử lý dữ liệu (ví dụ: báo cáo
tài chính hoặc hoạt động, các kiểm tra được in, các tập 1/24/2024

tin kết xuất, v.v.)

56

28
 1/24/2024

Kiểm soát ứng dụng

Kiểm soát xử lý: Các kiểm soát xử lý phổ biến khác:
Kiểm tra sự phù hợp dữ liệu (data matching). So khớp hai
hoặc nhiều mục trước khi thực hiện một lệnh hoặc hành động
cụ thể (ví dụ: khớp hóa đơn với đơn đặt hàng và nhận báo cáo
trước khi thực hiện thanh toán, v.v.).
Kiểm tra Nhãn tập tin. Đảm bảo rằng tập tin chính xác và
cập nhật nhất đang được sử dụng.
Kiểm tra chéo (cross-footing test). So sánh hai cách tính
tổng khác nhau để xác minh để đảm bảo độ chính xác
Kiểm tra số dư bằnb 0 (zero-balance test). Kiểm tra xem một
tài khoản cụ thể có duy trì số dư bằng không hay không. Thử
nghiệm này hỗ trợ các tổ chức loại bỏ số dư vượt mức trong
các tài khoản riêng biệt và duy trì khả năng kiểm soát tốt hơn
đối với các khoản giải ngân.
Cơ chế chống ghi tập tin (write-protection mechanisms). Bảo
vệ chống ghi đè hoặc xóa dữ liệu.
Kiểm soát cập nhật đồng thời (concurrent update control).
Ngăn ngừa lỗi hai hoặc nhiều người dùng cập nhật dữ liệu tại 1/24/2024
cùng thời điểm.

57

Kiểm soát ứng dụng

Kiểm soát đầu ra:
• Kiểm soát đầu ra được thiết kế để phát hiện và sửa
lỗi sau khi quá trình xử lý hoàn tất, đảm bảo tính toàn
vẹn của đầu ra.
• Kiểm soát đầu ra bao gồm:
(1) các thủ tục để xác minh xem dữ liệu có chính xác
và đầy đủ hay không (vd: được ghi nhận phù hợp
hay không)
(2) các thủ tục để phân phối và lưu giữ báo cáo đầy
đủ.
• Nếu báo cáo đầu ra được tạo ra một cách tập
trung thì các biện pháp kiểm soát thông thường,
như có nhân viên an ninh và nhật ký có thể phù
hợp.
• Nếu đầu ra được phân phối qua mạng truyền
thông dữ liệu, điểm nhấn kiểm soát sẽ chuyển
sang kiểm soát quyền truy cập cho từng máy
trạm riêng lẻ. Để duy trì tính bảo mật, việc truy 1/24/2024
cập vào các báo cáo phải dựa trên cơ sở “cần
biết”.

58

29
 1/24/2024

Kiểm soát ứng dụng

Kiểm soát đầu ra:
Tính chính xác và đầy đủ
Đầu ra phải được xác minh dựa trên một nguồn độc lập để xác
minh tính chính xác và đầy đủ của nó.
Ba loại kiểm soát đầu ra phổ biến liên quan đến tính chính xác
và đầy đủ là:
• Đánh giá của người dùng: đảm bảo kết quả đầu ra (báo cáo)
được tạo ra là an toàn, bí mật và riêng tư thông qua việc
thực hiện kiểm tra cân bằng và đầy đủ; so sánh các trường
dữ liệu chính; kiểm tra thông tin còn thiếu; và document
recreation.
• Đối chiếu: gồm các thủ tục để đối chiếu các báo cáo kiểm
soát. Ví dụ: tổng số giao dịch được ghi vào sổ cái chung phải
được đối chiếu với số dư chi tiết đến hạn trong sổ cái phụ
các khoản phải thu.
• Kiểm soát truyền dữ liệu: bảo vệ việc truyền dữ liệu vật lý
qua kênh liên lạc điểm-điểm hoặc điểm-đa điểm, ví dụ là việc
thực hiện các kỹ thuật mã hóa trên dữ liệu được truyền đi. 1/24/2024

59

Kiểm soát ứng dụng

Kiểm soát đầu ra:
Phân phối và bảo quản
Việc phân phối đầu ra cần phải được xác định rõ ràng và quyền
truy cập vật lý và logic nên được hạn chế cho nhân viên được
uỷ quyền. Nhu cầu về báo cáo đầu ra cần được xem xét định kỳ
vì báo cáo có thể được yêu cầu vào thời điểm ứng dụng được
phát triển nhưng có thể không còn hữu ích nữa. Ngoài ra, cùng
một thông tin có thể được sử dụng cho nhiều hệ thống với các
quan điểm, tổ chức và cách sử dụng khác nhau. Ví dụ: bộ phận
tiếp thị có thể sử dụng thông tin doanh số bán hàng để trả hoa
hồng và theo dõi mục tiêu bán hàng, trong khi bộ phận kế toán
sử dụng thông tin đó để lập báo cáo tài chính. Hai hệ thống này
cần được đối chiếu để đảm bảo số tiền đã thanh toán cho nhân
viên bán hàng giống với số tiền báo cáo trên báo cáo tài chính.
Bởi vì không gian lưu trữ (trực tuyến hoặc vật lý) có chi phí cao
nên các chu kỳ bảo quản và yêu cầu lưu trữ nên được định rõ
trong các chương trình, dữ liệu và báo cáo. Thông tin quan
trọng phải được lưu trữ một cách an toàn (tức là được mã hóa)
và việc hủy bỏ nó nên là vĩnh viễn và cần được tiến hành một
cách thận trọng để ngăn chăn việc xem thông tin trái phép.Tổ
chức cần xem xét các luật và quy định chi phối thời gian lưu giữ
báo cáo. 1/24/2024

60

30
 1/24/2024

Sự tham gia của kiểm

toán viên CNTT
• Kiểm toán viên CNTT có thể hỗ trợ các tổ chức bằng
cách xem xét hệ thống ứng dụng của họ để đảm bảo
chúng tuân thủ chiến lược và tiêu chuẩn của tổ chức,
cũng như cung cấp các chức năng tự động để hỗ trợ
hiệu quả quy trình kinh doanh. Các ứng dụng sẽ cần
phải được đánh giá rủi ro để xác định mức độ tham
gia kiểm toán. Loại đánh giá cũng sẽ khác nhau tùy
thuộc vào rủi ro của ứng dụng cụ thể. Các ứng dụng
gây ra rủi ro cho các tổ chức dưới dạng tăng chi phí,
mất tính toàn vẹn dữ liệu, điểm yếu về bảo mật, thiếu
tính sẵn sàng, hiệu suất kém và các vấn đề khác.
Những rủi ro này cần được giải quyết bằng việc lựa
chọn và thực hiện các kiểm soát phù hợp.

1/24/2024

61

Sự tham gia của kiểm toán viên

CNTT
• Kiểm tra hệ thống ứng dụng đòi hỏi kiến thức cụ thể
về rủi ro và kiểm soát ứng dụng. Hiểu được những
điều đó cho phép kiểm toán viên CNTT xác định các
lĩnh vực chính sẽ được hưởng lợi từ việc xác minh
độc lập. Hơn nữa, việc hiểu các kiểm soát ứng dụng
cho phép kiểm toán viên CNTT đánh giá và đề xuất
những kiểm soát đảm bảo xử lý giao dịch đầy đủ và
chính xác.

1/24/2024

62

31
 1/24/2024

Sự tham gia của kiểm toán viên

CNTT
Kiểm toán viên CNTT có thể tham gia với tư cách là nhà tư vấn
kiểm soát hoặc người đánh giá độc lập. Mức độ tham gia được xác
định bằng cách hoàn thành đánh giá rủi ro. Kết quả từ việc đánh
giá rủi ro cũng nhắc nhở lượng thời gian cần thiết để phân bổ cho
ứng dụng cụ thể, các nguồn lực cần thiết, v.v. Sau đó là việc chuẩn
bị một kế hoạch kiểm toán. Kế hoạch mô tả các mục tiêu và thủ
tục kiểm toán cần thực hiện để đảm bảo các ứng dụng được triển
khai đầy đủ và bảo vệ thông tin. Cuối cùng, Kiểm toán viên
CNTT truyền đạt những phát hiện được xác định trong suốt quá
trình kiểm toán cùng với các khuyến nghị cho ban giám đốc.
1/24/2024

63

Sự tham gia của kiểm

toán viên CNTT
Đánh giá rủi ro
Kiểm toán viên IT có thể không có đủ thời gian để đánh
giá mọi hệ thống ứng dụng cụ thể trong tổ chức.
Sự tham gia vào một ứng dụng cụ thể sẽ phụ thuộc vào
việc đánh giá các rủi ro của ứng dụng đó. Các rủi ro của
ứng dụng liên quan đến sự phức tạp và quy mô của
ứng dụng, nhân viên thiếu kinh nghiệm, thiếu sự tham
gia của người dùng cuối và thiếu cam kết từ phía quản
lý.
Mức độ rủi ro có thể phụ thuộc vào nhu cầu về thông tin
đúng đắn và kịp thời, sự phức tạp của ứng dụng, mức
độ phụ thuộc cho các quyết định quan trọng, thời gian
sử dụng ứng dụng, và số lượng người sử dụng nó.
Việc đánh giá rủi ro xác định khía cạnh cụ thể của một
ứng dụng sẽ được kiểm toán.
Phạm vi của kiểm toán có thể thay đổi tùy thuộc vào các 1/24/2024
rủi ro được xác định.

64

32
 1/24/2024

Sự tham gia của kiểm

toán viên CNTT
Kế hoạch kiểm toán
Kế hoạch kiểm toán gồm các bước và thủ tục để
đạt được mục tiêu kiểm toán.
Kiểm toán hệ thống ứng dụng bắt đầu bằng một
phân tích sơ bộ về môi trường kiểm soát bằng
cách xem xét các tiêu chuẩn, chính sách và thủ
tục hiện tại. Trong suốt quá trình kiểm toán, các
tiêu chuẩn, chính sách và thủ tục này nên được
đánh giá về độ đầy đủ và hiệu suất hoạt động.
Phân tích sơ bộ này nên xác định chiến lược của
tổ chức và trách nhiệm quản lý và kiểm soát ứng
dụng. Việc tài liệu hóa hiểu biết về hệ thống ứng
dụng cũng là bước quan trọng ở giai đoạn này. 1/24/2024

65

Sự tham gia của kiểm

toán viên CNTT
Kế hoạch kiểm toán
Kế hoạch kiểm toán sẽ tiếp tục tài liệu hóa các thủ tục
cần thiết để tiến hành cuộc kiểm tra và đảm bảo rằng hệ
thống ứng dụng được thiết kế và triển khai một cách
hiệu quả, đồng thời hoạt động phù hợp với các chính
sách và thủ tục của tổ chức. Các thủ tục thực hiện bởi
kiểm toán viên IT:
• Đảm bảo rằng ứng dụng đã được thiết kế hợp lý và
triển khai đầy đủ
• Tuân thủ các tiêu chuẩn, chính sách và thủ tục
• Đạt được hoạt động hiệu quả và kinh tế
• Tuân thủ yêu cầu pháp lý
• Bao gồm các kiểm soát cần thiết để bảo vệ khỏi mất
mát hoặc lỗi nghiêm trọng
• Cung cấp các kiểm soát và dấu vết kiểm toán cần 1/24/2024
thiết cho ban giám đốc, kiểm toán viên và cho mục
đích đánh giá hoạt động

66

33
 1/24/2024

Sự tham gia của kiểm toán viên CNTT

Giao Tiếp
• Khu vực đầu tiên cần làm rõ là phạm vi tham gia của kiểm toán viên IT. Điều quan
trọng là đảm bảo rằng kỳ vọng của ban giám đốc về vai trò của kiểm toán viên IT
được hiểu và được truyền đạt đến tất cả các bên liên quan. Kiểm toán viên IT phải
xây dựng một kênh liên lạc mở với cả ban giám đốc và người dùng. Nếu mối quan
hệ tích cực giữa những nhóm này không tồn tại, thông tin có thể bị giữ lại khỏi kiểm
toán viên IT. Mặc dù kiểm toán viên IT nên phát triển mối quan hệ làm việc tích cực
với tất cả các nhóm có trách nhiệm thiết kế, kiểm toán viên IT phải duy trì sự độc lập.
• Trong suốt quá trình kiểm toán, kiểm toán viên IT sẽ đưa ra các đề xuất kiểm soát
dựa trên các phát hiện đã xác định. Tùy thuộc vào văn hóa của tổ chức, những đề
xuất này có thể cần được xử lý một cách không chính thức với mỗi chủ sở hữu ứng
dụng chịu trách nhiệm cho khu vực hoặc quy trình không đầy đủ, hoặc chính thức
bằng cách trình bày chúng cho ủy ban điều hành. Trong cả hai trường hợp, kiểm
toán viên IT luôn phải xem xét giá trị của đề xuất kiểm soát so với chi phí triển khai
kiểm soát. Những đề xuất nên cụ thể. Chúng nên xác định vấn đề chứ không phải
triệu chứng, và cho phép triển khai và kiểm thử các biện pháp kiểm soát đúng cách.
Các phát hiện, rủi ro xuất phát từ những phát hiện đó và đề xuất kiểm toán thường
được trình bày trong Thư Quản lý 1/24/2024

67

Bài tập:

1. UEH có website bán các mặt hàng lưu niệm online, cho phép người học có thể đặt
hàng trực tiếp trên website. Mô tả ba rủi ro hệ thống ứng dụng nổi bật nhất có thể
góp phần vào việc truy cập trái phép vào thông tin đặt hàng của người học. Xác
định các kiểm soát cần thiết để giảm thiểu những rủi ro đó.
2. Bộ phận sản xuất trong doanh nghiệp có một ứng dụng chấm công, nơi nhân viên
nhập số giờ làm việc của họ. Mô tả hai rủi ro hệ thống ứng dụng nổi bật nhất và
các biện pháp kiểm soát có thể giúp giảm thiểu những rủi ro đó.
3. Các phòng ban trong công ty có chuyên viên kỹ thuật riêng để tạo và duy trì các
ứng dụng. Mô tả ba rủi ro liên quan đến thực tế này. Bạn sẽ đề xuất những kiểm
soát nào để giảm thiểu những rủi ro đó?

1/24/2024

68

34