Chương 10: Kiểm toán CNTT KTNB

10.1 Tóm tắt các loại rủi ro phổ biến trong ứng dụng IT của một tổ chức
- Theo từng cấu phần trong hệ thống IT, rủi ro IT bao gồm:
+ Cấu phần quản lý IT: là tập hợp các biện pháp về con người,
chính sách, thủ tục, quy trình quản lý dịch vụ và cơ sở của IT. Rủi
ro này có thể là do con người, do chính sách, thủ tục và quy trình
quản lý lỏng lẻo, lỗi thời và không phù hợp.
+ Cấu phần về cơ sở hạ tầng kỹ thuật: bao gồm hệ điều hành, tệp và
cơ sở dữ liệu, mạng và trung tâm dữ liệu. Rủi ro ở cấu phần này
là do hệ điều hành lạc hậu, lỗi thời
+ Cấu phần các ứng dụng: bao gồm các chương trình thực hiện các
nhiệm vụ cụ thể liên quan đến hoạt động kinh doanh; thường
được phân thành hai loại: giao dịch và hỗ trợ. Rủi ro ở cấu phần
này là có lỗ hổng an ninh nên có nguy cơ bị xâm nhập trái phép
vào hệ thống để đánh cắp hay chỉnh sửa thông tin
+ Cấu phần các kết nối bên ngoài: bao gồm các hệ thống mạng của
công ty với bên ngoài (ví dụ: thông qua Internet, điện toán đám
mây, phần mềm dưới dạng dịch vụ, mạng được liên kết của bên
thứ ba). Rủi ro ở cấu phần này là khả năng xâm nhập hệ thống
một cách trái phép, khả năng hệ thống có thể bị “treo” hay ngừng
hoạt động
- Theo thành phần của rủi ro, rủi ro IT bao gồm:
+ Rủi ro việc lựa chọn (selection risk): Việc lựa chọn một giải pháp
IT không liên kết với mục tiêu chiến lược có thể ngăn cản việc
thực hiện một chiến lược IT độc lập.
+ Rủi ro phát triển/ mua sắm và khai thác: Một giải pháp IT được
phát triển, mua và khai thác có thể phải đối mặt với những nguy
cơ như: bị trì hoãn không thể dự đoán trước, tăng chi phí vận
hành, hoặc dự án bị hủy.
+ Rủi ro về khả năng sẵn sàng vận hành: Tình trạng không sẵn sàng
vận hành của một hệ thống khi cần thiết có thể dẫn tới việc trì
+ hoãn trong việc ra quyết định, ngừng hoạt động kinh doanh,
giảm doanh thu và mất niềm tin của
+ Rủi ro phần cứng/ phần mềm: Hổng phần cứng hoặc phần mềm
có thể dẫn tới việc trì hoãn hoạt động kinh doanh, thiệt hại tạm
thời hoặc lâu dài, hoặc phá hủy dữ liệu,
+ • Rủi ro truy cập: Việc truy cập vào thiết bị hoặc phần mềm vào
hệ thống khi không được phép có thể dẫn tới việc mất phần cứng,
 bị chỉnh sửa hoặc cài đặt phần mềm độc hại và bị đánh cắp, lãng
phí, hoặc phá hủy dữ liệu
+ Rủi ro bảo mật và quyền riêng tư : Việc công bố thông tin thuộc
sở hữu của đối tác kinh doanh hoặc thông tin cá nhân có thể dẫn
tới thiệt hại trong kinh doanh, những vụ kiện, áp lực tiêu cực và
tổn hại danh tiếng
+ Rủi ro gian lận và hành động không lương thiện : Việc lấy cắp
nguồn lực IT, sử dụng lãng phí một cách có chủ ý nguồn lực IT,
hoặc làm sai lệch một cách có chủ ý hoặc phá hủy thông tin
1) Trách nhiệm của BQL và KTNB khác nhau như thế nào trong việc giảm thiểu
ảnh hưởng của rủi ro nêu trên

Ban quản lý công ty có trách nhiệm chung trong việc giảm thiểu ảnh hưởng của rủi ro
IT. Họ cần thực hiện các hành động sau:

● Định hướng và thiết lập chiến lược quản lý rủi ro IT: Chiến lược này nên xác
định các rủi ro IT chính mà tổ chức phải đối mặt, cũng như các biện pháp kiểm
soát sẽ được thực hiện để giảm thiểu rủi ro.
● Phân bổ nguồn lực: Ban quản lý cần phân bổ nguồn lực tài chính và nhân sự để
hỗ trợ các sáng kiến ​quản lý rủi ro IT.
● Nâng cao nhận thức về rủi ro IT: Ban quản lý cần nâng cao nhận thức về rủi ro
IT cho tất cả nhân viên và khuyến khích họ thực hành các biện pháp bảo mật
tốt nhất.
● Giám sát hiệu quả của các biện pháp kiểm soát: Ban quản lý cần giám sát hiệu
quả của các biện pháp kiểm soát rủi ro IT và thực hiện các thay đổi khi cần
thiết.

Kiểm toán nội bộ đóng vai trò quan trọng trong việc đảm bảo rằng ban quản lý đang
thực hiện các bước hiệu quả để giảm thiểu rủi ro IT. Kiểm toán nội bộ nên thực hiện
các hành động sau:

● Đánh giá rủi ro IT: Kiểm toán nội bộ nên đánh giá rủi ro IT của tổ chức và xác
định xem các biện pháp kiểm soát hiện có có đủ hiệu quả hay không.
● Kiểm tra các biện pháp kiểm soát: Kiểm toán nội bộ nên kiểm tra các biện pháp
kiểm soát rủi ro IT để đảm bảo rằng chúng được thiết kế và triển khai hiệu quả.
● Báo cáo cho ban quản lý: Kiểm toán nội bộ nên báo cáo cho ban quản lý về kết
quả đánh giá và kiểm tra rủi ro IT của họ, đồng thời đưa ra các khuyến nghị để
cải thiện.
● Theo dõi các hành động khắc phục: Kiểm toán nội bộ nên theo dõi các hành
động khắc phục được thực hiện để giải quyết các rủi ro IT đã xác định.
 10.2.
- Mô hình phân tán trong ứng dụng IT
● Đặc điểm
○ Nhiều thành phần tham gia với phần cứng cũng như phần mềm
không hoàn toàn giống nhau, nên có cách giao tiếp khác nhau
○ Chịu ảnh hưởng của đường truyền mạng (băng thông, tỷ lệ lõi
truyền tín hiệu…) làm cho lệnh truyền dữ liệu có thể không thành
công
○ Ràng buộc về thứ tự sự kiện (các kiểu đồng bộ khác nhau); ràng
buộc về trao đổi thông tin của ứng dụng
● Ảnh hưởng đến KTNB:
○ Kiểm toán viên nội bộ cần kiểm soát truy cập và sử dụng hệ
thống IT tại từng vị trí.
○ Kiểm toán viên nội bộ cần đảm bảo tính bảo mật và toàn vẹn của
dữ liệu được lưu trữ tại từng vị trí.
○ Kiểm toán viên nội bộ cần đánh giá rủi ro liên quan đến sự cố tại
từng vị trí.
○ Kiểm toán viên nội bộ cần đánh giá rủi ro liên quan đến việc tích
hợp dữ liệu từ nhiều vị trí khác nhau.
- Mô hình tập trung trong ứng dụng IT
● Đặc điểm: Cơ sở dữ liệu được định vị, lưu trữ, xử lý và duy trì ở một
nơi, thường là máy tính trung tâm hay máy chủ
● Ảnh hưởng đến KTNB:
○ Kiểm toán viên nội bộ cần tập trung vào việc kiểm soát truy cập
và sử dụng hệ thống IT tại vị trí trung tâm.
○ Kiểm toán viên nội bộ cần đảm bảo tính bảo mật và toàn vẹn của
dữ liệu được lưu trữ tại vị trí trung tâm.
○ Kiểm toán viên nội bộ cần đánh giá rủi ro liên quan đến sự cố tại
vị trí trung tâm.

10.3. Ảnh hưởng của môi trường ứng dụng IT tới các kỹ thuật kiểm toán nội bộ
trong bối cảnh mới
Môi trường ứng dụng IT đang thay đổi nhanh chóng với sự ra đời của các công nghệ
mới như điện toán đám mây, dữ liệu lớn, trí tuệ nhân tạo (AI),... Những thay đổi này
đang có tác động đáng kể đến các kỹ thuật kiểm toán nội bộ theo nhiều cách:
- Mở rộng phạm vi kiểm toán:
+ Hệ thống IT ngày càng phức tạp và kết nối với nhau, dẫn đến việc mở
rộng phạm vi dữ liệu và quy trình cần kiểm toán
 + Các kỹ thuật kiểm toán truyền thống có thể không hiệu quả trong việc
kiểm tra các hệ thống dựa trên đám mây và các quy trình sử dụng dữ
liệu lớn.
- Tăng cường rủi ro:
+ Việc sử dụng IT ngày càng tăng cũng làm tăng rủi ro gian lận, sai sót và
tấn công mạng.
+ Các nhà kiểm toán nội bộ cần phải có kiến thức và kỹ năng để xác định
và đánh giá các rủi ro này.
- Thay đổi phương pháp kiểm toán:
+ Các kỹ thuật kiểm toán dựa trên dữ liệu và phân tích đang trở nên quan
trọng hơn.
+ Các công cụ kiểm toán hỗ trợ máy tính (CAATs) đang được sử dụng
rộng rãi hơn để tự động hóa các tác vụ kiểm toán.
+ Các nhà kiểm toán nội bộ cần phải thích nghi với những thay đổi này và
phát triển các kỹ năng mới.
- Nâng cao hiệu quả kiểm toán:
+ Việc sử dụng IT có thể giúp nâng cao hiệu quả kiểm toán bằng cách tự
động hóa các tác vụ thủ công và cung cấp cho các nhà kiểm toán nội bộ
quyền truy cập vào nhiều dữ liệu hơn.
+ Điều này có thể giúp các nhà kiểm toán nội bộ tập trung vào các lĩnh
vực rủi ro cao hơn và đưa ra ý kiến ​kiểm toán có giá trị hơn.

10.4. Ứng dụng kỹ thuật khai thác dữ liệu trong trong MT ứng dụng công nghệ khi
KTNB
1. Phát hiện gian lận: KTDL có thể được sử dụng để phân tích các tập dữ liệu lớn
và xác định các mẫu bất thường có thể là dấu hiệu của gian lận. Ví dụ, KTDL
có thể được sử dụng để xác định các giao dịch có giá trị cao bất thường, các
mẫu chi tiêu bất thường hoặc các hoạt động bất thường của nhân viên.
2. Đánh giá rủi ro: KTDL có thể được sử dụng để đánh giá rủi ro kiểm toán bằng
cách xác định các lĩnh vực có nguy cơ cao xảy ra sai sót hoặc gian lận. Ví dụ,
KTDL có thể được sử dụng để xác định các đơn vị kinh doanh có tỷ lệ sai sót
cao, các quy trình có lỗ hổng kiểm soát hoặc các hệ thống có rủi ro bảo mật
cao.
3. Lập kế hoạch kiểm toán: KTDL có thể được sử dụng để lập kế hoạch kiểm toán
hiệu quả hơn bằng cách xác định các lĩnh vực có nguy cơ cao cần được kiểm
tra kỹ lưỡng hơn. Ví dụ, KTDL có thể được sử dụng để xác định các tài khoản
có số dư lớn, các giao dịch có giá trị cao hoặc các đơn vị kinh doanh có tỷ lệ sai
sót cao.
 4. Thực hiện kiểm toán: KTDL có thể được sử dụng để thực hiện kiểm toán hiệu
quả hơn bằng cách tự động hóa các quy trình kiểm toán thủ công và cung cấp
cho kiểm toán viên thông tin chi tiết có thể hành động. Ví dụ, KTDL có thể
được sử dụng để lấy mẫu dữ liệu kiểm toán, phân tích dữ liệu kiểm toán và xác
định các sai sót tiềm ẩn.
5. Báo cáo kiểm toán: KTDL có thể được sử dụng để tạo báo cáo kiểm toán toàn
diện và dễ hiểu hơn. Ví dụ, KTDL có thể được sử dụng để tạo biểu đồ và đồ thị
hiển thị kết quả kiểm toán và xác định các xu hướng rủi ro.
a. Ưu thế của kỹ thuật khai thác dữ liệu
- Tăng hiệu quả: KTDL có thể tự động hóa các quy trình kiểm toán thủ công và
cung cấp cho kiểm toán viên thông tin chi tiết có thể hành động, giúp họ thực hiện
công việc hiệu quả hơn.
- Nâng cao hiệu quả: KTDL có thể giúp kiểm toán viên tập trung vào các lĩnh
vực có nguy cơ cao xảy ra sai sót hoặc gian lận, giúp họ sử dụng hiệu quả hơn nguồn
lực kiểm toán hạn chế.
- Cải thiện độ chính xác: KTDL có thể giúp giảm thiểu sai sót của con người và
nâng cao độ chính xác của hoạt động kiểm toán.
- Tăng cường tuân thủ: KTDL có thể giúp các tổ chức tuân thủ các quy định và
tiêu chuẩn liên quan một cách hiệu quả hơn.
- Nâng cao khả năng thích ứng: KTDL có thể giúp các tổ chức thích ứng với
những thay đổi nhanh chóng trong môi trường kinh doanh và công nghệ.

10.5:
* Kỹ thuật phân tích dữ liệu của kiểm toán nội bộ trong môi trường ứng
dụng IT là kỹ thuật mà kiểm toán viên nội bộ phải làm thế nào để phân tích dữ
liệu và sử dụng các công cụ là phần mềm kiểm toán.
Là một công cụ quan trọng để xác định rủi ro, đánh giá hiệu quả của hệ thống
kiểm soát nội bộ và tăng cường sự hiệu quả của các hoạt động kiểm toán.
- Theo Rapid Miner (2015), phân tích dữ liệu đề cập tới sử dụng các kỹ năng,
công nghệ, ứng dụng và thực hành để khai phá, đánh giá và điều tra dữ liệu
hoặc hoạt động kinh doanh theo quan hệ và sự liên tục để đạt được hiểu biết về
các vấn đề xảy ra bên trong và các dự đoán để phục vụ cho việc ra quyết định.
- Phân tích dữ liệu là phân tích một tổng thể lớn dữ liệu chứa đựng thông tin
bên trong và cải tiến việc thực hiện hoạt động kinh doanh, giảm rủi ro và tối đa
hóa giá trị của tổ chức.
- Kiểm toán viên nội bộ có thể kiểm tra dữ liệu tổng thể thông qua việc sử dụng
kỹ thuật phân tích đa dạng và tập trung vào các vấn đề tiềm ẩn. Bằng cách dựa
vào các dữ liệu “chưa hề thấy” từ những nguồn khai phá trong nội bộ hoặc bên
ngoài, KTVNB có thể nhận diện và tập trung vào những thuộc tính mà trước
đây chưa từng nhận ra và nhận diện các MQH và những mối liên hệ “chưa từng
được nhận diện trước đây”
* Ưu thế của kỹ thuật phân tích dữ liệu:
- Phân tích dữ liệu giúp nhận diện và đánh giá rủi ro: phân tích dự đoán, hiểu
biết kinh doanh, phân tích ra quyết định sẽ giúp kiểm toán nội bộ xác định
những dữ liệu không theo xu hướng kỳ vọng. Trí tuệ doanh nghiệp là một mô
hình hệ thống có tích hợp công nghệ để xử lý khối lượng dữ liệu khổng lồ đến
từ nhiều nguồn khác nhau. Hệ thống này có thể khai phá nguồn dữ liệu một
cách hiệu quả, tạo ra những tri thức mới, sẽ giúp kiểm toán viên đưa ra các
quyết định hiệu quả hơn trong hoạt động vận hành.
Kỹ thuật phân tích sẽ giúp kiểm toán viên xác định những điểm bất thường
trong dữ liệu, từ đó nhận diện các lĩnh vực có rủi ro cao (ví dụ, gian lận của
nhân viên). Phân tích dữ liệu cũng giúp kiểm toán viên nội bộ xác định bản
chất hay nguyên nhân của những vấn đề thuộc về nguyên nhân của vấn đề phát
sinh, ví dụ: thanh toán trùng lặp, hàng tồn kho chậm luân chuyển, nợ quá hạn,...
có thể do gian lận hoặc hệ thống bị lỗi, hoặc hệ thống hoạt động không hiệu
lực. Vì vậy, kiểm toán viên phải kiểm tra đánh giá rủi ro. Bên cạnh đó, vấn đề
như thanh toán trùng lặp có thể được phát hiện theo thời gian thực để ngăn
chặn một cách hiệu lực và kịp thời những nguy cơ đó.
• Đánh giá kiểm soát nội bộ: Phân tích các giao dịch sẽ giúp kiểm toán viên nội
bộ phát hiện những vấn đề ngoại lệ được đánh giá là đáng kể trong tổng thể, từ
đó chỉ ra dấu hiệu về điểm yếu của hoạt động kiểm soát nội bộ. Sử dụng mô
hình phân tích dữ liệu lớn để phát hiện các giao dịch bất thường trên cơ sở liên
tục sẽ giúp cho sai sót bị phát hiện và sửa chữa sớm hơn, các lĩnh vực rủi ro cao
được đánh giá ngay, từ đó giúp kiểm toán nội bộ có thể giảm tải khối lượng
công việc vào thời kỳ cao điểm kiểm toán. Ngoài ra, gian lận cũng được phát
hiện kịp thời hơn nhờ phân tích và liên hệ dữ liệu lớn với các xu hướng trước
đây đã tồn tại.

• Chọn mẫu kiểm toán: Kiểm toán viên có thể kiểm tra toàn bộ tổng thể thay vì
chọn mẫu, nên tránh được rủi ro chọn mẫu (vốn là một trong các vấn đề nan
giải trong kiểm toán vì phụ thuộc nhiều vào chuyên môn và đạo đức của kiểm
toán viên). Phân tích dữ liệu cho phép kiểm toán viên kiểm tra đối với từng
giao dịch, các xu hướng thực tế được nhận diện từ một mẫu chọn quy mô lớn
hay từ toàn bộ tổng thể, từ đó, độ tin cậy của các kết luận trên cơ sở kết quả
vận dụng các kỹ thuật kiểm toán sẽ cao hơn.

Theo Lalit, T., and Joe, H. (2014), phân tích dữ liệu trong kiểm toán nội bộ
mang lại lợi ích và những giá trị thể hiện ở những điểm sau đây:
• Những kỳ vọng của tổ chức: Kiểm toán nội bộ có thể đạt được hiệu quả kiểm
toán khi sử dụng công nghệ để làm tăng phạm vi, chất lượng và tác động kinh
doanh trong điều kiện ngân sách kiểm toán giới hạn.
• Môi trường cạnh tranh: Đối thủ cạnh tranh tiếp tục mạnh hơn nên việc tìm
kiếm và áp dụng các kỹ năng mới trong kiểm toán nội bộ có thể giúp tổ chức
thiết lập những ưu thế cạnh tranh ở mức độ cao hơn trong ngành.
Giá trị/ mối quan hệ: Thông qua khám phá những mối quan hệ bên trong tổ
chức mở ra một cách thức mới để kiểm toán viên có thể thảo luận sâu hơn về
các vấn đề và phát triển/tăng cường các mối quan hệ trong tổ chức với Ban
quản lý.
• Phát triển và thể hiện kỹ năng: Phối hợp phân tích hiệu quả trong kiểm toán
nội bộ có thể giúp kiểm toán viên tăng cường các kỹ năng kinh doanh và kỹ
thuật kiểm toán.
Đối tác kiểm toán và kinh doanh: Cải tiến phân tích dữ liệu và phương pháp
đánh giá kết quả có thể được xem xét để áp dụng vào hoạt động kinh doanh, từ
đó hình thành đối tác kiểm toán/ kinh doanh trong tổ chức.

• Những kỳ vọng theo luật định: Kiểm toán cần đạt được sự đảm bảo chắc chắn
và các kết quả có thể định lượng được. Phân tích dữ liệu trong môi trường IT
có thể giúp kiểm toán nội bộ đạt được mục đích này.
• Phát hiện và trình bày dữ liệu: Thu được kết quả bên trong tổ chức một cách
hiệu lực thông qua sử dụng năng lực nâng cao về khả năng áp dụng công cụ
trực quan hóa dữ liệu. Kiểm toán qua hình ảnh, sơ đồ, bảng,... làm tăng khả
năng nhận biết về các "vùng” bao phủ rủi ro trong tổ chức.
• Phân tích nhanh: Kỹ thuật phân tích và mô hình trực quan hóa dữ liệu giúp
kiểm toán viên nội bộ có thể hoàn thành mục tiêu kiểm toán trong thời gian
ngắn hơn, từ đó đạt được hiệu quả về thời gian kiểm toán.
• Phối hợp dữ liệu phi cấu trúc: Các phương pháp phân tích mới được kiểm
toán viên nội bộ áp dụng trong môi trường IT có thể thu thập, tổ chức, cấu trúc
và tìm kiếm số lượng lớn dữ liệu theo thời gian thực hoặc theo đúng thời điểm
mà trước đây không thể tìm thấy bằng các kỹ thuật phân tích truyền thống.
• Thúc đẩy hoạt động quản lý kiểm toán tốt hơn: Công nghệ được áp dụng
trong quản lý dự án được liên kết trong lập kế hoạch, thực hiện và báo cáo kết
quả kiểm toán cũng như theo dõi thực hiện kiến nghị kiểm toán, từ đó giúp
kiểm toán nội bộ có thể xây dựng một tổ chức học hỏi và quản lý rủi ro/ sinh
lời tốt hơn.
10.6.
Vai trò của KTNB trong môi trường IT và các vấn đề cần quan tâm: IT đã tác
động tới vai trò của KTNB trong tổ chức, KTNB vừa phải thực hiện đánh giá
xem IT được thiết kế có phù hợp, có hiệu quả và vận hành có hữu hiệu không,
vừa phải sử dụng IT trong hoạt động của kiểm toán nội bộ.
● CAE cần đánh giá chiến lược sử dụng IT trong công tác kiểm toán nội
bộ
● Trong vai trò tư vấn (counselor), kiểm toán nội bộ cần tích cực tư vấn
cho tổ chức trong phát triển chính sách, thủ tục, chuẩn mực và thực tiễn
tốt nhất về bảo vệ thông tin, cụ thể là:
○ Xác định quyền tiếp cận đồng thời ưu tiên và bảo vệ tài sản khỏi
tổn thất bằng cách xác định các hướng dẫn sử dụng thích hợp cho
người dùng
○ Xác định trách nhiệm của tất cả các đối tượng sử dụng
○ Cung cấp các hướng dẫn cho việc truyền thông với bên ngoài
○ Tạo niềm tin thông qua hệ thống mật khẩu hiệu lực
○ Xác định các thủ tục phục hồi dữ liệu
○ Yêu cầu các vi phạm cần được ghi lại trên hệ thống
○ Báo cáo những bất thường cho chủ sở hữu và người sử dụng
thông tin
○ Cung cấp cho người sử dụng những thông tin hỗ trợ
● Trong vai trò hỗ trợ cho Ban quản lý cấp cao nhất (parent of senior
management), kiểm toán nội bộ có thể cung cấp cho Ban quản lý những
đánh giá độc lập về ảnh hưởng của quyết định quản trị IT đến hoạt động
kinh doanh của tổ chức.
● Kiểm toán nội bộ cũng có thể phải xác nhận tất cả các lựa chọn khác cho
một dự án đã được cân nhắc, tất cả các rủi ro đã được đánh giá chính
xác, giải pháp phần cứng và phần mềm là phù hợp, các nhu cầu của tổ
chức kinh doanh sẽ được đáp ứng và chi phí là hợp lý.
● Trong vai trò với điều tra viên (investigator), kiểm toán viên có thể cung
cấp cho nhà điều tra (gian lận) hệ thống máy tính những hiểu biết sâu
sắc của mình về cách thức hệ thống/ mạng lưới hoạt động, sẽ giúp nhà
điều tra có được hiểu biết tốt và nhanh hơn là tự tìm hiểu

10.7. Ưu điểm và hạn chế của CAATs

- Ưu điểm:
+ Tăng hiệu quả: CAATs có thể tự động hóa nhiều tác vụ kiểm toán thủ
công, giúp tiết kiệm thời gian và công sức cho các nhà kiểm toán.
+ Nâng cao độ chính xác: CAATs có thể xử lý lượng lớn dữ liệu một cách
nhanh chóng và chính xác, giúp giảm thiểu nguy cơ sai sót.
 + Mở rộng phạm vi kiểm toán: CAATs có thể giúp các nhà kiểm toán kiểm
tra các hệ thống và quy trình phức tạp mà khó có thể kiểm tra thủ công.
+ Cung cấp bằng chứng kiểm toán mạnh mẽ hơn: CAATs có thể tạo ra các
bản ghi và báo cáo chi tiết, giúp cung cấp bằng chứng kiểm toán mạnh
mẽ hơn.
+ Nâng cao tính minh bạch: CAATs có thể giúp cải thiện tính minh bạch
của các hệ thống và quy trình IT.
- Hạn chế:
+ Chi phí: Việc mua và triển khai CAATs có thể tốn kém.
+ Yêu cầu kiến thức chuyên môn: Sử dụng CAATs hiệu quả đòi hỏi các
nhà kiểm toán phải có kiến thức chuyên môn về công nghệ thông tin và
kỹ năng sử dụng các công cụ kiểm toán.
+ Rủi ro phụ thuộc: Các nhà kiểm toán có thể trở nên phụ thuộc quá mức
vào CAATs và bỏ qua các thủ tục kiểm toán quan trọng.
+ Hạn chế về khả năng phát hiện gian lận: CAATs có thể khó phát hiện các
hành vi gian lận tinh vi được che giấu cẩn thận.
+ Rủi ro an ninh mạng: CAATs có thể bị tấn công mạng, dẫn đến việc
đánh cắp dữ liệu hoặc vi phạm bảo mật.

10.9. Bạn hãy nêu bản chất của rủi ro IT và quản lý rủi ro IT trong tổ chức ứng
dụng IT? Vai trò của kiểm toán nội bộ được thể hiện như thế nào trong bối
cảnh này?
- Rủi ro IT: khả năng xảy ra tổn thất khi thực hiện các hoạt động liên quan đến
hệ thống công nghệ thông tin. Rủi ro công nghệ thông tin liên quan đến quản
lý, sử dụng phần cứng, phần mềm, truyền thông, giao diện hệ thống, vận hành
và con người.
- Bản chất quản lý rủi ro IT: Là quy trình được Ban quản lý thực hiện để hiểu
và nắm bắt các rủi ro và cơ hội IT có thể ảnh hưởng tới khả năng của tổ chức
để đạt được các mục tiêu
- Vai trò của KTNB:
Việc sử dụng IT trong hoạt động của tổ chức ngày càng tăng lên đã đặt ra
những vai trò mới cho kiểm toán nội bộ. Thực tế, kiểm toán nội bộ vửa phải
thực hiện đánh giá xem IT được thiết kế có phù hợp, có hiệu quả và vận hành
có hữu hiệu không, vừa phải sử dụng IT trong hoạt động của kiểm toán nội bộ.
Sử dụng IT trong kiểm toán nội bộ sẽ giúp công việc kiểm toán được thực hiện
nhanh hơn, phạm vi rộng hơn, giảm thiểu sai sót do con người (kiểm toán viên)
gây ra. Trong một số trường hợp, kiểm toán viên cần áp dụng IT để thực hiện
các thủ tục kiểm toán đối với phần mềm kế toán và quá trình xử lý thông tin
điện tử. Cụ thể, chủ nhiệm kiểm toán nội bộ cần đánh giá chiến lược sử dụng
IT trong công tác kiểm toán nội bộ. Các chiến lược này bao gồm:
 • IT có tác động đến công tác kiểm toán nội bộ;
• IT sẽ giúp tự động hóa trong bối cảnh và hình thức hiện tại: CAE tìm
cách tự động hóa các hoạt động hiện tại bằng cách áp dụng các công
nghệ mới hiện đại, ví dụ: sử dụng phần mềm thẩm vấn (interrogation
software) để quét dữ liệu tìm kiếm các vấn đề quan tâm (ví dụ: khách
hàng nợ quá hạn, mặt hàng tồn kho chậm luân chuyển...);
• Tăng thêm các chức năng thực hiện thông qua việc sử dụng IT để đạt
được mục tiêu của kiểm toán nội bộ.
Trong phạm vì một tổ chức, IT có thể xem là nguồn lực chiến lược của kiểm
toán nội bộ
Trong vai trò tư vấn (counselor), kiểm toán nội bộ cần tích cực tư vẫn cho tổ
chức trong phát triển chính sách, thủ tục, chuẩn mực và thực tiễn tốt nhất về
bảo vệ thông tin
Trong vai trò hỗ trợ cho Ban quản lý cấp cao nhất (parent of senior
management), kiểm toán nội bộ có thể cung cấp cho Ban quản lý những đánh
giá độc lập về ảnh hưởng của quyết định quản trị IT đến hoạt động kinh doanh
của tổ chức. Kiểm toán nội bộ cũng có thể phải xác nhận tất cả các lựa chọn
khác cho một dự án đã được cân nhắc, tất cả các rủi ro đã được đánh giá chính
xác, giải pháp phần cứng và phần mềm là phù hợp, các nhu cầu của tổ chức
kinh doanh sẽ được đáp ứng và chi phí là hợp lý.

Trong vai trò với điều tra viên (investigator), kiểm toán viên có thể cung cấp
cho nhà điều tra (gian lận) hệ thống máy tính những hiểu biết sâu sắc của mình
về cách thức hệ thống/ mạng lưới hoạt động, sẽ giúp nhà điều tra có được hiểu
biết tốt và nhanh hơn là tự tìm hiểu.

10.10. Mô hình ba tuyến

Mô hình ba tuyến là một mô hình quản trị doanh nghiệp được sử dụng phổ biến hiện
nay, đặc biệt là trong các doanh nghiệp ứng dụng IT. Mô hình này bao gồm ba tuyến
quản trị chính:
- Tuyến 1: Lãnh đạo doanh nghiệp: Bao gồm Hội đồng quản trị, Ban Giám đốc
và các cấp quản lý cấp cao khác. Tuyến 1 chịu trách nhiệm về chiến lược phát
triển chung của doanh nghiệp, bao gồm cả chiến lược ứng dụng IT.
- Tuyến 2: Quản lý nghiệp vụ: Bao gồm các phòng ban nghiệp vụ như phòng
Marketing, phòng Kinh doanh, phòng Kế toán, v.v. Tuyến 2 chịu trách nhiệm
thực hiện các hoạt động nghiệp vụ cụ thể của doanh nghiệp, trong đó có việc
ứng dụng IT vào các hoạt động nghiệp vụ.
- Tuyến 3: Quản lý vận hành: Bao gồm các phòng ban hỗ trợ như phòng IT,
phòng Nhân sự, phòng Hành chính, v.v. Tuyến 3 chịu trách nhiệm cung cấp các
 dịch vụ hỗ trợ cho các hoạt động của tuyến 1 và tuyến 2, bao gồm cả việc cung
cấp dịch vụ IT.
Ảnh hưởng đến chức năng kiểm toán nội bộ: Trong bối cảnh tổ chức ứng dụng IT,
chức năng kiểm toán nội bộ có một số thay đổi sau:
- Mở rộng phạm vi kiểm toán: Kiểm toán nội bộ cần kiểm tra không chỉ các hoạt
động nghiệp vụ truyền thống mà còn cả các hoạt động liên quan đến ứng dụng
IT, bao gồm hệ thống IT, dữ liệu, quy trình, v.v.
- Áp dụng các kỹ thuật kiểm toán mới: Kiểm toán viên nội bộ cần sử dụng các kỹ
thuật kiểm toán mới để kiểm tra hệ thống IT, chẳng hạn như kiểm toán hệ
thống thông tin, kiểm toán dữ liệu, v.v.
- Tăng cường hợp tác với các phòng ban khác: Kiểm toán viên nội bộ cần tăng
cường hợp tác với các phòng ban khác, đặc biệt là phòng IT, để thực hiện hiệu
quả hoạt động kiểm toán.

10.11. Tác động tích cực của ứng dụng truyền thông xã hội sử dụng IT tới hoạt
động kinh doanh:
- Tiếp cận và kết nối với khách hàng:
+ Mạng xã hội giúp doanh nghiệp kết nối với khách hàng tiềm năng và
hiện tại một cách dễ dàng và hiệu quả hơn.
+ Doanh nghiệp có thể sử dụng mạng xã hội để chia sẻ thông tin về sản
phẩm và dịch vụ của họ, tương tác với khách hàng và xây dựng mối
quan hệ.
+ Khách hàng có thể sử dụng mạng xã hội để đặt câu hỏi, chia sẻ phản hồi
và cung cấp phản hồi cho doanh nghiệp.
- Tăng cường nhận thức về thương hiệu:
+ Mạng xã hội có thể giúp doanh nghiệp nâng cao nhận thức về thương
hiệu của họ và tiếp cận nhiều khách hàng tiềm năng hơn.
+ Doanh nghiệp có thể sử dụng mạng xã hội để chia sẻ nội dung thu hút,
xây dựng thương hiệu và tạo dựng uy tín.
+ Khách hàng có thể sử dụng mạng xã hội để chia sẻ kinh nghiệm của họ
với thương hiệu và giới thiệu doanh nghiệp cho bạn bè và gia đình.
- Tăng doanh số bán hàng:
+ Mạng xã hội có thể giúp doanh nghiệp tăng doanh số bán hàng bằng
cách cung cấp cho họ một kênh bán hàng trực tiếp cho khách hàng.
+ Doanh nghiệp có thể sử dụng mạng xã hội để chạy các chiến dịch quảng
cáo nhắm mục tiêu, cung cấp ưu đãi và khuyến mãi và bán sản phẩm và
dịch vụ trực tuyến.
+ Khách hàng có thể sử dụng mạng xã hội để tìm hiểu về sản phẩm và
dịch vụ, so sánh giá cả và mua hàng trực tuyến.
- Cải thiện dịch vụ khách hàng:
 + Mạng xã hội có thể giúp doanh nghiệp cải thiện dịch vụ khách hàng
bằng cách cung cấp cho họ một kênh để giao tiếp trực tiếp với khách
hàng.
+ Doanh nghiệp có thể sử dụng mạng xã hội để trả lời câu hỏi của khách
hàng, giải quyết khiếu nại và cung cấp hỗ trợ.
+ Khách hàng có thể sử dụng mạng xã hội để liên hệ với doanh nghiệp,
chia sẻ phản hồi và cung cấp phản hồi.
- Phân tích thị trường và đối thủ cạnh tranh:
+ Mạng xã hội có thể giúp doanh nghiệp phân tích thị trường và đối thủ
cạnh tranh bằng cách cung cấp cho họ thông tin về xu hướng, sở thích
và hành vi của khách hàng.
+ Doanh nghiệp có thể sử dụng mạng xã hội để theo dõi các cuộc trò
chuyện về thương hiệu và sản phẩm của họ, xác định đối thủ cạnh tranh
của họ và theo dõi các xu hướng thị trường.

Tác động tiêu cực của ứng dụng truyền thông xã hội sử dụng IT tới hoạt động
kinh doanh không được giám sát bên trong một cách hiệu lực:
- Mất hình ảnh thương hiệu:
+ Mạng xã hội có thể gây hại cho hình ảnh thương hiệu của doanh nghiệp
nếu nó không được quản lý hiệu quả.
+ Các bình luận và đánh giá tiêu cực từ khách hàng có thể lan truyền
nhanh chóng trên mạng xã hội và gây ra thiệt hại cho danh tiếng của
doanh nghiệp.
+ Doanh nghiệp cần phải theo dõi các kênh truyền thông xã hội của họ và
phản hồi nhanh chóng mọi phản hồi tiêu cực.
- Rò rỉ thông tin:
+ Mạng xã hội có thể dẫn đến rò rỉ thông tin nhạy cảm nếu nó không được
bảo mật đúng cách.
+ Tin tặc có thể hack vào tài khoản truyền thông xã hội của doanh nghiệp
hoặc đánh cắp dữ liệu khách hàng.
+ Doanh nghiệp cần phải thực hiện các biện pháp bảo mật thích hợp để
bảo vệ dữ liệu của họ.
- Sử dụng sai mục đích của nhân viên:
+ Nhân viên có thể sử dụng mạng xã hội cho các mục đích cá nhân trong
giờ làm việc, điều này có thể ảnh hưởng đến năng suất và hiệu quả của
họ.
+ Doanh nghiệp cần phải có chính sách rõ ràng về việc sử dụng mạng xã
hội trong giờ làm việc.
- Thông tin sai lệch:
 + Mạng xã hội có thể được sử dụng để lan truyền thông tin sai lệch về
doanh nghiệp hoặc sản phẩm của họ.
+ Thông tin sai lệch có thể gây hại cho danh tiếng của doanh nghiệp và
dẫn đến mất khách hàng.
+ Doanh nghiệp cần phải theo dõi các kênh truyền thông xã hội của họ và
giải quyết bất kỳ thông tin sai lệch nào.
- Chi phí:
+ Việc sử dụng mạng xã hội cho mục đích kinh doanh có thể tốn kém, bao
gồm chi phí cho nhân sự, công nghệ và quảng cáo.
+ Doanh nghiệp cần phải đảm bảo rằng lợi ích

10.12. Mô tả và nhận xét về kiểm toán nội bộ trong môi trường IT của một ngân
hàng thương mại
Kiểm toán công nghệ thông tin tại BIDV
Tại BIDV, bộ phận thực hiện kiểm toán CNTT trực thuộc khối Giám sát và tuân thủ
trực thuộc Ban điều hành. Bộ phận này có nhiệm vụ kiểm tra, giám sát hoạt động
CNTT trong ngân hàng, là lớp kiểm soát thứ 2 trong mô hình 3 lớp của COSO.
Các nội dung chính thuộc phạm vi kiểm toán CNTT tại BIDV bao gồm:
- Đánh giá hệ thống kiểm soát nội bộ (KSNB) đối với việc thực hiện các đề án CNTT
của ngân hàng, công tác kiểm soát việc quản lý, sử dụng máy tính và thiết bị tin học
tại các đơn vị, tình hình thực hiện giám sát, kiểm soát hoạt động CNTT và tính hiệu
quả của hệ thống KSNB trong ứng dụng CNTT tại các đơn vị.
- Đánh giá rủi ro: Truy cập trái phép đến các thông tin quan trọng; Không đồng bộ
giữa những thay đổi về sách lược chủ yếu và HTTT; Cung cấp không đầy đủ hay cung
cấp thông tin không chính xác; Sự cố về kỹ thuật làm cho các giao dịch bị ngưng trệ
hoặc mất dữ liệu...
- Kiểm toán vận hành hệ thống CNTT, bao gồm: Kiểm toán hoạt động của Trung tâm
CNTT; Kiểm toán vận hành và độ an toàn bảo mật của cơ sở hạ tầng CNTT; Kiểm
toán tính tuân thủ quy trình, quy định của pháp luật, cũng như quy định của BIDV
như: quy trình vận hành và bảo trì máy chủ AS400, quy trình vận hành và bảo trì hệ
thống SIBS, hệ thống ngân hàng cốt lõi của BIDV, quy trình bảo trì phần cứng, phần
mềm, mạng WAN/LAN…
- Kiểm toán nguồn lực thuê ngoài.
Có thể thấy, nội dung kiểm toán CNTT tại BIDV bám khá sát quy định tại Thông tư số
18/2018/TT-NHNN của Ngân hàng Nhà nước quy định về an toàn, bảo mật HTTT tại
ngân hàng.
Quy trình kiểm toán CNTT tại BIDV tuân theo đúng quy trình 3 bước sau:
- Lập kế hoạch kiểm toán, thực hiện kiểm toán và báo cáo.
- Trong giai đoạn thực hiện kiểm toán, kiểm toán viên CNTT tại BIDV sử dụng tất cả
các phương pháp thử nghiệm để kiểm tra theo hồ sơ lưu trữ và quá trình thực hiện
thực tế.
- Trong giai đoạn báo cáo, kết quả quá trình kiểm toán đưa ra những đánh giá và đề
xuất khắc phục sau kiểm tra. Các đánh giá, đề xuất được yêu cầu báo cáo và kiểm tra
lại như một đợt kiểm tra độc lập, hoặc lồng ghép vào đợt kiểm tra sau tùy thuộc vào
mức độ khuyến nghị.
Tại BIDV, nhận thức được tầm quan trọng của đảm bảo rủi ro thất thoát dữ liệu, từ
năm 2013, Trung tâm Công nghệ thông tin đã triển khai một số biện pháp, công cụ về
mặt kỹ thuật như: Hệ thống RSA Network-DLP; Cấu phần Mcafee Device Control.
Năm 2019, Ban Công nghệ đầu mối, phối hợp Trung tâm CNTT nghiên cứu về phòng
chống thất thoát thông tin dữ liệu và đề xuất triển khai tại BIDV. Hiện tại, BIDV đã
triển khai đồng thời nhiều giải pháp công nghệ và chính sách để tăng cường bảo mật
cho hệ thống CNTT. Bên cạnh đó, BIDV đã triển khai bảo mật nhiều lớp bằng cách
trang bị các giải pháp tường lửa, phòng chống xâm nhập thế hệ mới, các giải pháp
phòng chống mã độc, phòng chống tấn công nâng cao (APT, DDoS...) và ban hành
danh mục thông tin bí mật và các quy định có liên quan đến bảo mật thông tin.
Bài toán về phòng chống thất thoát thông tin dữ liệu đã được BIDV đưa vào Chiến
lược công nghệ thông tin giai đoạn 2015 - 2020. Hiện tại đối với giải pháp phòng
chống thất thoát thông tin dữ liệu, BIDV đã trang bị thiết bị phòng chống thất thoát
thông tin dữ liệu ở mức mạng (Network DLP) của hãng RSA từ năm 2013. Trong bối
cảnh các tổ chức tài chính ngân hàng có nhu cầu phòng chống thất thoát dữ liệu và các
yêu cầu quản lý nghiêm ngặt theo các quy định pháp luật, yêu cầu của Ngân hàng Nhà
nước về quản lý dữ liệu, bảo vệ dữ liệu, bảo đảm tính toàn vẹn và chính xác, hợp lệ
của dữ liệu, BIDV đang chủ động triển khai các biện pháp phòng chống thất thoát dữ
liệu, thực hiện kiểm toán đánh giá rủi ro về việc thất thoát dữ liệu theo tiêu chuẩn
quốc tế, đảm bảo an ninh, an toàn thông tin khách hàng và uy tín thương hiệu BIDV.
Kiểm toán công nghệ thông tin tại MB
Tại MB, bộ phận kiểm toán CNTT gồm 5 nhân viên và 1 chuyên gia, thuộc Cơ quan
kiểm toán nội bộ, trực thuộc hội đồng quản trị, thuộc lớp phòng vệ thứ 3 trong mô
hình 3 tuyến phòng thủ của COSO. Lớp phòng vệ thứ 2 là Khối kiểm tra – Kiểm soát
nội bộ và đơn vị phụ trách vận hành hệ thống CNTT tại MB, cũng như thiết lập lớp
phòng vệ thứ nhất là Khối CNTT. Nội dung kiểm toán CNTT tại MB được xác định
dựa trên cơ sở rủi ro, trong đó có rủi ro liên quan đến hoạt động CNTT và rủi ro liên
quan đến thành phần của hệ thống CNTT.
Nội dung kiểm toán CNTT dựa vào rủi ro liên quan đến thành phần hệ thống CNTT
gồm 3 nhóm sau: Người dùng; Cán bộ CNTT; hạ tầng phần cứng, phần mềm và kết
nối. Các nội dung kiểm toán này được xem là trục “dọc” và trục “ngang” cấu thành
nên toàn bộ nội dung liên quan đến CNTT trong MB.
Trong mỗi cuộc kiểm toán CNTT, quy trình thực hiện tại MB cũng tương đồng với
quy trình thực hiện một cuộc kiểm toán thông thường, bao gồm 3 giai đoạn sau: (i)
Lập kế hoạch kiểm toán; (ii) Thực hiện kiểm toán; (iii) Báo cáo.
Chuyên viên kiểm toán CNTT thu thập thông tin cần thiết từ báo cáo thanh tra, báo
cáo do MB thuê ngoài đánh giá, báo cáo nội bộ… để lập kế hoạch chi tiết gồm mục
tiêu, nội dung kiểm toán trọng tâm. Theo đánh giá của các kiểm toán viên CNTT tại
MB, kế hoạch kiểm toán càng chi tiết bao nhiêu, thì quá trình triển khai càng dễ dàng
và bám sát mục tiêu bấy nhiêu.
Một trong những nội dung quan trọng nhất trong giai đoạn này là xây dựng hồ sơ rủi
ro. Các rủi ro được xác định theo “chiều dọc” và “chiều ngang”. Ngoài ra, giai đoạn
lập kế hoạch kiểm toán, kiểm toán viên cũng xác định các mục tiêu kiểm soát, các
biện pháp kiểm soát hiện tại, mức độ rủi ro và ảnh hưởng đến HTTT.
Thông thường, các kiểm toán viên CNTT tại MB mất 3-5 ngày để hoàn thiện hồ sơ rủi
ro trước khi thực hiện kiểm toán, bao gồm cả thời gian bổ sung các ý kiến từ quan sát
thông tin trên hệ thống hoặc viết một số câu lệnh để thử nghiệm. Thời gian thực địa
dao động giữa các chuyên đề, thường là 10-15 ngày đối với chuyên đề nhỏ, 30-45
ngày đối với chuyên đề lớn. Trên thực tế, hoạt động kiểm toán CNTT tại MB mới
triển khai được một năm. Do đây là hoạt động rất mới tại MB nên các cuộc kiểm toán
đang đi theo trục dọc, chưa đi theo trục ngang của hệ thống, dự định sẽ triển khai
trong các năm tiếp theo.
Báo cáo và khuyến nghị là sản phẩm của mỗi cuộc kiểm toán, được kiểm toán viên
đưa ra nhằm mục tiêu kiện toàn khung quản trị rủi ro trong ngân hàng, đảm bảo quản
lý toàn diện các loại rủi ro trọng yếu về CNTT trong hoạt động của ngân hàng MB
theo các thông lệ tốt, thông lệ quốc tế của Ủy ban Basel, COSO, ISO.
Đánh giá thực trạng kiểm toán công nghệ thông tin tại các BIDV và MB
Từ thực trạng kiểm toán CNTT tại BIDV và MB cho thấy những điểm giống và khác
nhau trên các khía cạnh bộ phận thực hiện, nội dung kiểm toán, quy trình kiểm toán.
Cụ thể:
Về bộ phận thực hiện: Tại BIDV, bộ phận thực hiện kiểm toán CNTT thuộc Khối
giám sát và tuân thủ, trực thuộc Ban điều hành, trong khi tại MB bộ phận này trực
thuộc kiểm toán nội bộ dưới sự điều hành của Ban kiểm soát. Với cơ cấu này, tại
BIDV, kiểm toán CNTT thuộc tuyến phòng thủ thứ 2, còn tại MB bộ phận này thuộc
tuyến phòng thủ số 3 trong mô hình 3 tuyến phòng thủ của COSO. Tuy nhiên, một
trong những nội dung kiểm toán được BIDV xác định là đánh giá hệ thống KSNB về
tình hình thực hiện giám sát, kiểm soát hoạt động CNTT tại đơn vị, cũng như tính hiệu
quả của hệ thống KSNB trong ứng dụng CNTT tại đơn vị, chứng tỏ đây là chức năng
của tuyến phòng thủ thứ 3. Như vậy, bộ phận kiểm toán CNTT tại BIDV đang đặt tại
Khối giám sát và tuân thủ là chưa hợp lý.
Về nội dung kiểm toán: Có thể thấy mỗi ngân hàng có cách xác định đối tượng và nội
dung kiểm toán khác nhau. BIDV dựa chủ yếu vào các quy định về quản trị HTTT
trong ngân hàng theo Thông tư số 18/2018/TT-NHNN của Ngân hàng Nhà nước để
đưa ra các chủ đề kiểm toán, trong khi, MB lại có cách tiếp cận dựa trên rủi ro. Cách
tiếp cận của BIDV có ưu điểm là dễ dàng khi đánh giá tính tuân thủ của hệ thống theo
quy định của pháp luật, tuy nhiên nội dung kiểm toán được xác định dàn trải, khó
khăn trong việc tổng hợp và phân tích, tìm ra nguyên nhân. Cách tiếp cận của MB
hiện đại hơn, áp dụng theo hướng dẫn của ISACA về việc nhận diện và phân loại rủi
ro, từ đó xác định nội dung và chủ đề kiểm toán. Điều này sẽ giúp ngân hàng xây
dựng được một hồ sơ rủi ro đầy đủ và logic, dễ dàng cho việc lên kế hoạch kiểm toán
và đánh giá nguyên nhân gốc rễ. Tuy nhiên, cách làm này cũng đòi hỏi nhiều hơn về
thời gian và trình độ của nhân viên.
Về quy trình kiểm toán: Tuy được diễn giải thành các bước khác nhau nhưng nhìn
chung, quy trình kiểm toán của cả 2 ngân hàng đều gồm các bước chính, đó là lập kế
hoạch kiểm toán, thực hiện kiểm toán và báo cáo.
Kết quả đạt được và tồn tại, hạn chế
Đánh giá hoạt động kiểm toán CNTT có thể thấy, các NHTM đã đạt được một số kết
quả bước đầu, cụ thể: Hoạt động kiểm toán CNTT được sự quan tâm sát sao của Ban
lãnh đạo và các đơn vị trong toàn hệ thống; Hệ thống, quy trình kiểm toán đã được
xây dựng và ngày càng hoàn thiện; Đội ngũ kiểm toán CNTT đã được hình thành và
ngày càng trau dồi về năng lực và trình độ; Kiểm toán CNTT đã góp phần nâng cao
chất lượng quản trị rủi ro và chất lượng hoạt động tại ngân hàng.
Bên cạnh những thuận lợi, theo đánh giá của các cán bộ trực tiếp thực hiện kiểm toán
CNTT tại các NHTM vẫn có những khó khăn, tồn tại như: Phạm vi kiểm toán quá
rộng, gây khó khăn cho việc xác định trọng tâm và có thể bỏ sót rủi ro. Các ngân hàng
thường lúng túng trong việc lựa chọn phương pháp, cũng như công cụ để đánh giá rủi
ro; Lĩnh vực CNTT thường xuyên thay đổi cả về công nghệ và kiến trúc hệ thống
khiến cho hoạt động kiểm toán phải liên tục thay đổi, gây ra áp lực về thời gian, công
sức và giảm hiệu quả quản lý; Nguồn nhân lực kiểm toán CNTT còn thiếu và yếu...
Kết luận
Để tăng cường kiểm toán CNTT trong các NHTM Việt Nam nhằm đáp ứng yêu cầu
ngày càng cao về chất lượng, tính an toàn, bảo mật của hệ thống CNTT ngân hàng,
cần có những giải pháp đồng bộ từ Ngân hàng Nhà nước, các NHTM và Hiệp hội
ngân hàng. Có như vậy, kiểm toán CNTT mới phát huy hết vai trò là tuyến phòng thủ
cuối cùng trong việc ngăn ngừa, phát hiện và xử lý rủi ro trong các NHTM, từ đó gia
tăng hiệu quả quản lý và hiệu quả hoạt động của ngân hàng.

10.13. Bạn là kiểm toán nội bộ của một tập đoàn dịch vụ kho vận, hoạt động đa quốc
gia. Phân tích khả năng một hệ thống IT có thể được sử dụng để hỗ trợ kiểm toán
nội bộ như thế nào trong quá trình thực hiện kiểm toán?
Bài làm:
Hệ thống IT có thể hỗ trợ KTNB trong các hoạt động sau:
 ● Ghi nhận và xử lý dữ liệu: Hệ thống IT có thể được sử dụng để tự
động ghi nhận và xử lý dữ liệu liên quan đến các hoạt động kho vận, bao
gồm thông tin về nhập xuất hàng hóa, lưu trữ, vận chuyển và quản lý
kho. Việc có một hệ thống quản lý dữ liệu chính xác và tin cậy giúp đảm
bảo tính toàn vẹn dữ liệu và thuận tiện cho quá trình kiểm toán.
● Kiểm soát nội bộ: Hệ thống IT có thể hỗ trợ việc thiết lập và theo dõi
thực hiện các kiểm soát nội bộ. Ví dụ, nó có thể cung cấp công cụ để xác
định và áp dụng chính sách, quy trình và quy định nội bộ, như kiểm soát
truy cập, quản lý người dùng, kiểm soát phiếu nhập xuất, và xử lý mối
quan tâm về an ninh và rủi ro.
● Quản lý rủi ro: Hệ thống IT có thể cung cấp các công cụ và kỹ thuật để
quản lý rủi ro trong quá trình kiểm toán nội bộ. Ví dụ, nó có thể giúp
xác định, đánh giá và giảm thiểu các rủi ro liên quan đến quản lý kho,
giao dịch tài chính, tuân thủ quy định và hoạt động pháp lý.
● Theo dõi và phân tích hiệu suất: Hệ thống IT có thể được sử dụng để
theo dõi và phân tích hiệu suất hoạt động của dịch vụ kho vận. Nó có thể
cung cấp thông tin về mức độ sử dụng kho, thời gian xử lý đơn hàng,
hiệu suất vận chuyển, và các chỉ số hiệu suất khác. Thông tin này có thể
hỗ trợ quá trình đánh giá và cải thiện hiệu quả hoạt động của tập đoàn.
● Báo cáo và trình bày thông tin: Hệ thống IT có thể hỗ trợ việc tạo ra
các báo cáo và trình bày thông tin liên quan đến quá trình kiểm toán nội
bộ. Nó có thể tự động tạo và cung cấp các báo cáo kiểm toán, bảng điều
khiển, biểu đồ và các công cụ trực quan khác để giúp hiển thị dữ liệu và
thông tin kiểm toán một cách rõ ràng và dễ hiểu.
● Tích hợp và chia sẻ dữ liệu: Hệ thống IT có thể hỗ trợ tích hợp và chia
sẻ dữ liệu giữa các phòng ban và đơn vị trong tập đoàn. Điều này giúp
tạo ra một nguồn thông tin chung và đồng nhất, từ đó tăng cường khả
năng liên kết và phân tích dữ liệu, cũng như cải thiện sự hiểu biết và sự
tương tác trong quá trình kiểm toán.
10.14.Ví dụ về thủ tục kiểm soát cho từng nhóm kiểm soát trong IT

- Kiểm soát đầu vào:

● Thủ tục 1: Xác thực người dùng và quyền truy cập:
○ Sử dụng hệ thống xác thực mạnh mẽ như mật khẩu, mã PIN, sinh
trắc học để đảm bảo chỉ những người dùng được ủy quyền mới có
thể truy cập hệ thống IT.
○ Cấp quyền truy cập cho người dùng dựa trên nguyên tắc "ít nhất
đặc quyền" (principle of least privilege), chỉ cấp cho người dùng
quyền truy cập vào các tài nguyên cần thiết để họ thực hiện công
việc.
 ○ Thường xuyên xem xét và cập nhật quyền truy cập của người
dùng để đảm bảo tính phù hợp.
● Thủ tục 2: Xác minh dữ liệu đầu vào:
○ Kiểm tra tính chính xác, đầy đủ và nhất quán của dữ liệu đầu vào
trước khi xử lý.
○ Sử dụng các kỹ thuật xác minh dữ liệu như kiểm tra phạm vi,
kiểm tra định dạng, kiểm tra tổng hợp, v.v.
○ Áp dụng các biện pháp lọc dữ liệu để loại bỏ dữ liệu không hợp
lệ hoặc độc hại.
- Kiểm soát quá trình xử lý:
● Thủ tục 1: Theo dõi và ghi nhật ký hoạt động hệ thống:
○ Ghi lại tất cả các hoạt động diễn ra trong hệ thống IT, bao gồm
thời gian, người dùng, hành động thực hiện và dữ liệu được truy
cập.
○ Phân tích nhật ký để phát hiện các hoạt động bất thường hoặc
nghi ngờ.
○ Lưu trữ nhật ký trong một khoảng thời gian nhất định để phục vụ
mục đích truy xuất và điều tra.
● Thủ tục 2: Phân chia nhiệm vụ và kiểm soát nội bộ:
○ Phân chia nhiệm vụ của các nhân viên trong bộ phận IT để giảm
thiểu rủi ro gian lận hoặc sai sót.
○ Áp dụng các biện pháp kiểm soát nội bộ như phân quyền nhiệm
vụ, kiểm tra chéo và phê duyệt.
○ Sử dụng các công cụ kiểm soát truy cập dựa trên vai trò (RBAC)
để tự động hóa việc phân quyền nhiệm vụ.
- Kiểm soát đầu ra:
● Thủ tục 1: Kiểm tra và đối chiếu dữ liệu đầu ra:
○ So sánh dữ liệu đầu ra với dữ liệu đầu vào để đảm bảo tính chính
xác và nhất quán.
○ Sử dụng các thủ tục kiểm tra và đối chiếu thủ công hoặc tự động.
○ Xác minh tính hợp lý của dữ liệu đầu ra dựa trên các quy tắc kinh
doanh và logic xử lý.
● Thủ tục 2: Bảo vệ và lưu trữ dữ liệu đầu ra:
○ Sao lưu dữ liệu đầu ra thường xuyên và lưu trữ tại một vị trí an
toàn.
○ Áp dụng các biện pháp bảo mật dữ liệu để ngăn chặn truy cập trái
phép, thay đổi hoặc xóa dữ liệu.
○ Chỉ định quyền truy cập cho người dùng và ứng dụng cần thiết để
truy cập dữ liệu đầu ra.
Rủi ro IT có thể được ngăn ngừa bởi các thủ tục kiểm soát:
● Rủi ro bảo mật:
○ Truy cập trái phép vào hệ thống IT
○ Lỗ hổng bảo mật trong phần mềm và ứng dụng
○ Dữ liệu bị đánh cắp hoặc rò rỉ
● Rủi ro kiểm soát nội bộ:
○ Gian lận tài chính
○ Sai sót trong xử lý dữ liệu
○ Vi phạm quy định
● Rủi ro gián đoạn hoạt động:
○ Mất dữ liệu
○ Hệ thống IT bị lỗi hoặc ngừng hoạt động
○ Phân phối dịch độc hại
10.15. Thời gian kiểm toán của Kiểm toán viên có thể được quản lý thông qua
các hệ thống thông tin và báo cáo hiệu quả:
- Hệ thống thông tin hiệu quả:
+ Truy cập dữ liệu dễ dàng: Hệ thống thông tin cho phép kiểm toán viên
truy cập và phân tích dữ liệu kiểm toán một cách nhanh chóng và dễ
dàng, giúp tiết kiệm thời gian thu thập và xử lý dữ liệu thủ công.
+ Tự động hóa quy trình: Các hệ thống tự động hóa các quy trình kiểm
toán lặp đi lặp lại, chẳng hạn như lấy mẫu dữ liệu và thực hiện các phép
tính kiểm toán, giúp giải phóng thời gian cho kiểm toán viên tập trung
vào các công việc phân tích và đánh giá rủi ro cao hơn.
+ Công cụ phân tích dữ liệu: Hệ thống cung cấp các công cụ phân tích dữ
liệu mạnh mẽ giúp kiểm toán viên xác định các mẫu, xu hướng và bất
thường trong dữ liệu, có thể cho thấy các khu vực rủi ro tiềm ẩn cần
được kiểm tra thêm.
+ Lưu trữ và truy xuất hồ sơ: Hệ thống lưu trữ an toàn và hiệu quả cho tất
cả các hồ sơ kiểm toán, giúp kiểm toán viên dễ dàng truy xuất thông tin
khi cần thiết.

- Báo cáo hiệu quả:

+ Báo cáo tự động: Hệ thống tự động tạo các báo cáo kiểm toán chi tiết và
tóm tắt, giúp kiểm toán viên tiết kiệm thời gian định dạng và trình bày
dữ liệu.
+ Báo cáo có thể tùy chỉnh: Hệ thống cho phép kiểm toán viên tạo các báo
cáo tùy chỉnh phù hợp với nhu cầu cụ thể của họ và của từng cuộc kiểm
toán.
+ Báo cáo trực quan: Hệ thống cung cấp các công cụ trực quan hóa dữ liệu
để giúp kiểm toán viên dễ dàng hiểu và diễn giải dữ liệu kiểm toán.
 + Chia sẻ báo cáo: Hệ thống cho phép kiểm toán viên dễ dàng chia sẻ báo
cáo với các bên liên quan khác, chẳng hạn như ban lãnh đạo công ty và
cơ quan quản lý.
Ví dụ minh họa:
- Giả sử một kiểm toán viên đang thực hiện kiểm toán báo cáo tài chính cho một
công ty lớn. Việc thu thập và xử lý dữ liệu tài chính thủ công có thể mất nhiều
thời gian và tốn kém. Tuy nhiên, nếu công ty sử dụng hệ thống thông tin hiệu
quả, kiểm toán viên có thể truy cập dữ liệu dễ dàng, tự động hóa các quy trình
kiểm toán và sử dụng các công cụ phân tích dữ liệu để xác định các khu vực rủi
ro tiềm ẩn. Điều này có thể giúp kiểm toán viên tiết kiệm thời gian và hoàn
thành cuộc kiểm toán hiệu quả hơn.
- Ngoài ra, hệ thống thông tin có thể tự động tạo báo cáo kiểm toán chi tiết cho
kiểm toán viên. Báo cáo này có thể được tùy chỉnh để phù hợp với nhu cầu cụ
thể của cuộc kiểm toán và được chia sẻ dễ dàng với các bên liên quan khác.
Điều này có thể giúp cải thiện hiệu quả giao tiếp và ra quyết định.

10.16. Nêu thủ tục kiểm soát theo bảng dưới đây

Nhóm/ mục đích kiểm soát Thủ tục kiểm soát cụ thể

KIỂM SOÁT ĐẦU VÀO

Kiểm soát tài liệu nguồn
- Sử dụng hệ thống quản lý tài liệu để theo dõi
và kiểm soát các phiên bản của tài liệu.
- Xác minh tính chính xác và đầy đủ của tài liệu
trước khi sử dụng.
- Lưu trữ các tài liệu nguồn ở vị trí an toàn.

Kiểm soát số tổng cộng
- Thực hiện kiểm tra số tổng cộng đối với dữ liệu
đầu vào để đảm bảo tính chính xác và đầy đủ.
- Sử dụng các kỹ thuật xác minh dữ liệu như
kiểm tra chẵn lẻ hoặc mã hóa cyclic redundancy
check (CRC).
- Ghi lại các lỗi được phát hiện và thực hiện các
biện pháp khắc phục.

Kiểm tra việc sửa chữa đã được - Xác minh rằng các sửa chữa đối với dữ liệu đầu
lập trình vào đã được thực hiện theo đúng quy trình.
- Sử dụng hệ thống kiểm soát thay đổi để theo
dõi các sửa chữa.

Sửa chữa sai sót đầu vào
KIỂM SOÁT QUÁ TRÌNH QUẢN LÝ
Kiểm soát số tổng cộng
Việc liệt kê sai sót
KIỂM SOÁT ĐẦU RA
Kiểm soát đánh giá đầu ra
Kiểm soát việc phân phối đầu ra - Phân phối đầu ra của hệ thống cho đúng người
- Ghi lại lý do và người thực hiện các sửa chữa.
- Xác định và sửa chữa các sai sót trong dữ liệu
đầu vào trước khi xử lý.
- Sử dụng các kỹ thuật sửa lỗi dữ liệu như kiểm
tra chẵn lẻ hoặc mã hóa cyclic redundancy check
(CRC).
- Ghi lại các sai sót được sửa chữa và biện pháp
sửa chữa.
- Thực hiện kiểm tra số tổng cộng đối với dữ liệu
trong quá trình xử lý để đảm bảo tính chính xác
và đầy đủ.
- Sử dụng các kỹ thuật xác minh dữ liệu như
kiểm tra chẵn lẻ hoặc mã hóa cyclic redundancy
check (CRC).
- Ghi lại các lỗi được phát hiện và thực hiện các
biện pháp khắc phục.
- Sử dụng các kỹ thuật phát hiện lỗi như kiểm tra
tính nhất quán dữ liệu và phân tích ngoại lệ để
xác định các lỗi trong dữ liệu xử lý.
- Ghi lại các lỗi được phát hiện và thực hiện các
biện pháp khắc phục.
- Nâng cao nhận thức của người dùng về tầm
quan trọng của việc báo cáo lỗi.
- Xác minh rằng đầu ra của hệ thống đáp ứng các
yêu cầu và mong đợi.
- Sử dụng các kỹ thuật kiểm tra và xác nhận như
kiểm tra chức năng và kiểm tra không chức
năng.
- Ghi lại kết quả kiểm tra và thực hiện các biện
pháp khắc phục khi cần thiết.
dùng và đúng thời điểm.
- Sử dụng các biện pháp kiểm soát truy cập để
 hạn chế quyền truy cập vào đầu ra.
- Ghi lại lịch sử phân phối đầu ra.

Kiểm soát người sử dụng cuối - Đào tạo người dùng về cách sử dụng hệ thống
cùng một cách an toàn và hiệu quả.
- Cung cấp cho người dùng quyền truy cập phù
hợp với vai trò và trách nhiệm của họ.
- Giám sát hoạt động của người dùng để phát
hiện các hành vi bất thường.

18. MVF
A1. Điểm mạnh HĐKS
1. Điểm mạnh của hoạt động kiểm soát
- Quản lý, cập nhật hồ sơ nhân sự: Bộ phận nhân sự có tài liệu ghi chép thông tin
về nhân sự (khi thuê mới hoặc chấm dứt hợp đồng), những thay đổi liên quan
đến nhân sự. Nhân viên phòng nhân sự nhập thông tin từ các biểu mẫu trên vào
máy tính mỗi tuần để cập nhật hồ sơ nhân sự chính của công ty. Hoạt động này
giúp duy trì hồ sơ nhân sự chính xác và cập nhật kịp thời những thay đổi.
- Công nhân ở bộ phận sản xuất sử dụng đồng hồ bấm giờ để ghi lại số giờ làm
việc. Cuối tuần, người giám sát xác minh lại số giờ và ghi lại tổng trên thẻ
chấm công. Mỗi người giám sát cũng đếm số phiếu chấm công. Hoạt động này
giúp đảm bảo số giờ làm việc là chính xác và giúp tăng sự chính xác của việc
tính lương.
- Kiểm soát trong hệ thống tính lương: Hệ thống tự động gán số thứ tự cho mỗi
tờ séc tính lương để tránh tiền lương của nhân viên bị bỏ sót hoặc trùng . Cài
đặt các biện pháp kiểm soát trong phần mềm để phát hiện số nhân viên không
hợp lệ, số giờ làm việc cao bất thường. Các dữ liệu không hợp lệ được in trên
danh sách lỗi. Điều này giúp việc tính lương được chính xác, không tính lương
cho những nhân viên không hợp lệ.
- Nhân viên tính lương in bảng lương, kiểm tra xác định những bảng lương hợp
lệ và không hợp lệ. Sau đó cập nhật tệp chính về thu nhập của nhân viên. Đảm
bảo lương được tính chính xác và ghi chép đúng lên tệp ghi thu nhập của nhân
viên
- Người quản lý tiền lương chuẩn bị một bản sao lưu tệp chính về thu nhập của
nhân viên, tệp này được lưu trữ trên hệ thống trong phòng máy tính và được
sao lưu trong môi trường đám mây. Điều này giúp đảm bảo tính an toàn của dữ
liệu và có thể dùng để đối chiếu sau này.
- Nếu một nhân viên vắng mặt khi phân phát séc, người giám sát sẽ trả lại séc
chưa có người nhận cho thủ quỹ và người này sẽ giữ nó trong két cho đến khi
nhân viên đến nhận. Giúp đảm bảo séc được trả đúng nhân viên, tránh mất mát.
A2. Thiếu sót:
- Thiếu sự phân chia nhiệm vụ: Các nhân viên trong bộ phận nhân sự có trách
nhiệm thu thập dữ liệu nhân sự, nhập dữ liệu vào máy tính và tính lương. Việc
thiếu sự phân chia nhiệm vụ có thể dẫn đến rủi ro gian lận hoặc sai sót.
- Thiếu kiểm soát trong việc xác minh thông tin trên thẻ chấm công: Mặc dù
công ty sử dụng thẻ chấm công để xác minh số giờ làm việc, tuy nhiên, không
có thông tin cụ thể về việc như thế nào người giám sát hoạt động sản xuất xác
minh số giờ làm việc. Điều này có thể tạo ra nguy cơ sai sót nếu việc xác minh
không được thực hiện một cách đầy đủ và chính xác.
- Thiếu kiểm tra chéo đối với dữ liệu giờ làm việc: Số giờ làm việc được ghi trên
thẻ chấm công chỉ được xác minh bởi người giám sát hoạt động sản xuất. Việc
thiếu kiểm tra chéo có thể dẫn đến rủi ro sai sót hoặc gian lận về giờ làm việc.
- Thiếu kiểm soát đối với việc sửa đổi dữ liệu: Dữ liệu trong phần mềm ứng
dụng tính lương có thể được sửa đổi bởi nhân viên tính lương. Việc thiếu kiểm
soát có thể dẫn đến rủi ro gian lận hoặc sai sót.
- Thiếu kiểm soát đối với việc phân phối séc: Séc được phân phối bởi người
giám sát hoạt động sản xuất. Việc thiếu kiểm soát có thể dẫn đến rủi ro séc bị
mất cắp hoặc sử dụng trái phép.
- Thiếu kiểm soát trong việc xử lý dữ liệu lương: Mặc dù công ty đã cài đặt các
biện pháp kiểm soát trong phần mềm tính lương để phát hiện các dữ liệu không
hợp lệ, tuy nhiên, không có thông tin cụ thể về cách xử lý các lỗi phát hiện
được. Điều này có thể dẫn đến việc lỗi không được sửa chữa hoặc không được
xử lý một cách chính xác và kịp thời.

B1. Ý tưởng về cách công ty có thể tận dụng CNTT hiệu quả hơn để cải thiện quy trình
trả lương:
- Sử dụng hệ thống chấm công điện tử: Giúp ghi lại số giờ làm việc chính xác
hơn, giảm thiểu sai sót và gian lận.
- Triển khai hệ thống quản lý bảng lương: Giúp tự động hóa toàn bộ quy trình
tính lương, từ thu thập dữ liệu đến thanh toán.
- Sử dụng chữ ký điện tử: Giúp đảm bảo tính xác thực của các giao dịch thanh
toán.
- Tích hợp hệ thống thanh toán trực tiếp: Giúp thanh toán lương cho nhân viên
nhanh chóng và an toàn hơn.
- Tạo báo cáo chi tiết: Giúp ban lãnh đạo theo dõi dữ liệu lương một cách hiệu
quả hơn
- Phần mềm tính lương tích hợp: Tự động tính toán lương, khấu trừ, thuế, cập
nhật dữ liệu nhân viên.
B2. Thảo luận về rủi ro và các hoạt động kiểm soát trong quy trình trả lương với mỗi ý
tưởng tận dụng CNTT.

Ý tưởng Rủi ro HĐKS

1. Hệ thống chấm công - Gian lận về chấm công Sao lưu dữ liệu thường
điện tử - Phần mềm không cập xuyên: Đảm bảo có thể
nhật kịp thời dữ liệu khôi phục dữ liệu nếu
- Rủi ro bảo mật thông hệ thống bị lỗi hoặc bị
tin tấn công.
Kiểm tra hệ thống
định kỳ: Phát hiện và
sửa lỗi phần mềm kịp
thời.
Sử dụng các biện pháp
bảo mật mạnh mẽ: Ví
dụ như tường lửa, mã
hóa dữ liệu và xác thực
nhiều yếu tố.
Giáo dục nhân viên về
cách sử dụng hệ thống
đúng cách: Giúp giảm
thiểu nguy cơ gian lận.
Kết hợp với phần
mềm KS quyền truy
cập

2. Chữ ký điện tử Chữ ký điện tử bị Sử dụng các thiết bị

đánh cắp hoặc giả lưu trữ an toàn cho
mạo: Kẻ gian có thể sử khóa cá nhân: Bảo vệ
dụng chữ ký điện tử của khóa cá nhân của nhân
nhân viên để ủy quyền viên khỏi bị truy cập
cho các giao dịch gian trái phép.
lận Yêu cầu xác thực đa
yếu tố: Cần có nhiều
yếu tố xác thực để truy
cập chữ ký điện tử,
chẳng hạn như mật
 khẩu, mã PIN và dấu
vân tay.
Giáo dục nhân viên về
an ninh mạng: Giúp
nhân viên nhận thức
được các mối đe dọa an
ninh mạng và cách bảo
vệ chữ ký điện tử của
họ.

3. Phần mềm kiểm soát Quyền truy cập không Xác định rõ ràng vai
quyền truy cập hệ thống được phân cấp chính trò và trách nhiệm:
tính lương xác: Nhân viên có thể Chỉ cấp quyền truy cập
truy cập dữ liệu bảng cho nhân viên cần thiết
lương mà họ không cần cho công việc của họ.
thiết, dẫn đến nguy cơ Xem xét truy cập
rò rỉ dữ liệu hoặc gian thường xuyên: Đảm
lận. bảo rằng quyền truy cập
Quyền truy cập bị lạm vẫn phù hợp với công
dụng: Nhân viên có thể việc của nhân viên.
sử dụng quyền truy cập Theo dõi hoạt động
của họ để sửa đổi dữ của người dùng: Phát
liệu bảng lương trái hiện bất kỳ hoạt động
phép. truy cập đáng ngờ nào
vào dữ liệu bảng lương.

4. Hệ thống quản lý Lỗi phần mềm: Có thể hực hiện kiểm tra hệ
bảng lương dẫn đến tính toán lương thống thường xuyên:
không chính xác, khiến Phát hiện và sửa lỗi
công ty trả lương sai phần mềm kịp thời.
cho nhân viên. Áp dụng các bản vá lỗi
Dữ liệu bảng lương bị và cập nhật phần mềm
truy cập trái phép kịp thời: Đảm bảo rằng
hoặc sửa đổi: Có thể hệ thống luôn được cập
dẫn đến gian lận hoặc rò nhật với các bản vá lỗi
 rỉ dữ liệu. bảo mật mới nhất.
Sao lưu dữ liệu thường
xuyên: Đảm bảo có thể
khôi phục dữ liệu nếu
hệ thống bị lỗi hoặc bị
tấn công.
Sử dụng các biện pháp
bảo mật mạnh mẽ:
Bảo vệ dữ liệu bảng
lương khỏi truy cập trái
phép.

5. Tích hợp hệ thống - Rủi ro về bảo mật

thanh toán trực tiếp thông tin, khi bị hack
một chuỗi các thông tin
liên kết sẽ mất