Chúng ta phải đủ linh hoạt để nhận ra và giải quyết những rủi ro mới xuất hiện và để đánh giá rủi toán nội bộ có chiến lược quản lý nguồn lực Như để tăng thêm tính nghiêm trọng củ
Trang 1GÓC NHÌN TOÀN CẦU VÀ
KIẾN THỨC NGÀNH
Các rủi ro hàng đầu mà Trưởng Kiểm toán
Nội bộ đối mặt trong năm 2018
Trang 2Góc nhìn toàn cầu và sự thấu hiểu
Ban cố vấn
Nur Hayati Baharuddin, CIA,
CCSA, CFSA, CGAP, CRMA –
Hội viên IIA–Malaysia
Lesedi Lesetedi, CIA, QIAL –
Liên Hội Châu Phi IIA
Hans Nieuwlands, CIA, CCSA,
CGAP – IIA–Hà Lan
Karem Obeid, CIA, CCSA,
CRMA – Hội viên IIA–Tiểu
Vương quốc Ả Rập Thống nhất
Carolyn Saint, CIA, CRMA, CPA
– IIA–Bắc Châu Mỹ
Ana Cristina Zambrano
Preciado, CIA, CCSA, CRMA –
IIA–Colombia
Các số trước đây
Để đọc các số ấn phẩm trước
đây của Góc nhìn toàn cầu và
kiến thức ngành, hãy truy cập
trang web www.theiia.org/GPI
Phản hồi của bạn đọc
Hãy gửi câu hỏi hoặc lời bình
luận về địa chỉ thư điện tử
globalperspectives@theiia.org
Mục lục
Giới thiệu 1
Quản lý nguồn lực 1
Phân tích dữ liệu 4
Mạng 7
Quy định pháp luật 9
Tiền kỹ thuật số 9
Quy định bảo vệ dữ liệu toàn cầu 10
Ứng phó với sự thay đổi 14
Kết luận 17
Trang 3Giới thiệu
Năm 2018 - một năm mới cùng với các luật lệ, quy định, ý kiến, ý tưởng, công
nghệ và rủi ro mới Môi trường kinh doanh ngày nay đã trở nên khác biệt đáng
kể so với trước đây: môi trường phức tạp hơn và kết nối nhiều hơn Các tổ
chức phải đối mặt với các rủi ro mới và khó đoán, tuy nhiên cũng có các cơ hội
mới chưa được khai thác Trước mắt trong năm cần cân nhắc các cơ hội mới
và các thách thức và rủi ro tiềm năng - một số các cơ hội, thách thức và rủi ro
đó đã được dự đoán và một số khác chỉ mới xuất hiện trong năm 2018 - các
kế hoạch kiểm toán cần được xây dựng sao cho có thể thích ứng được với
các sự kiện thay đổi xảy ra, bao gồm cả những sự kiện có tính đột phá
Đứng trên phương diện toàn bộ tổ chức, kiểm toán nội bộ giúp tổ chức hoàn
thành các mục tiêu bằng cách đưa ra cách tiếp cận có hệ thống, có nguyên tắc
để đánh giá và cải tiến hiệu lực các quy trình quản lý rủi ro, kiểm soát và quản
trị Các cơ quan quản lý và ủy ban kiểm toán mong muốn và cần sự đảm bảo
rằng các nỗ lực quản lý rủi ro là đủ để giải quyết các nguy cơ từ các đối thủ
cạnh tranh đáng gờm, công nghệ đang phát triển, các xu hướng thị trường
đang thay đổi và việc phát triển các quy định pháp luật (tham khảo Các xu
hướng kiểm toán nội bộ trong tương lai: Các xu hướng mới nổi và các khu vực
trọng tâm bị tác động cao)
Trong khi nhu cầu kiểm toán nội bộ đòi hỏi phải mang lại nhiều giá trị gia tăng
và hỗ trợ mang tính chiến lược cho tất cả các lĩnh vực, kiểm toán viên cần
đảm bảo rằng hoạt động của họ được định hướng dựa trên các rủi ro trọng
yếu, đặc biệt là rủi ro chiến lược và rủi ro hoạt động Kiểm toán nội bộ phải
ứng phó và thích nghi với môi trường rủi ro không ngừng thay đổi
Một khi các rủi ro thay đổi, các kế hoạch kiểm toán, ngay cả khi đã được
chuẩn bị tốt nhất, cũng cần phải thay đổi linh hoạt để phù hợp với các rủi ro
mới phát sinh ở mọi cấp độ của tổ chức Ấn phẩm này thảo luận về năm rủi ro
hàng đầu (đối với kiểm toán nội bộ hoặc tổ chức) mà Trưởng Kiểm toán Nội bộ
(KTNB) sẽ phải đối mặt theo như Hiệp hội Kiểm toán Nội bộ Quốc tế (IIA) Các
rủi ro này là: quản lý nguồn lực, phân tích dữ liệu, mạng, quy định pháp luật và
ứng phó với sự thay đổi
Quản lý nguồn lực
Quản lý nguồn lực luôn là mối quan tâm hàng đầu của Trưởng KTNB và các
chuyên viên kiểm toán nội bộ Trong vài năm qua, Trưởng KTNB luôn gặp khó
khăn trong việc tìm kiếm các ứng cử viên có kỹ năng cần thiết để đáp ứng nhu
cầu về nguồn nhân lực và để giải quyết các rủi ro mới/đang tồn tại Tuy nhiên
số lượng ứng viên với kỹ năng cần thiết để đáp ứng nhu cầu phát triển của
kiểm toán nội bộ là rất hạn chế Ngoài ra, còn có sự thách thức trong việc định
hướng môi trường làm việc để phù hợp với các đặc điểm của lực lượng lao
động trẻ, một lực lượng đòi hỏi sự hỗ trợ và ghi nhận nhiều hơn, đồng thời có
định hướng môi trường làm việc độc lập và linh hoạt hơn (tham khảo 4 Các
chiến lược để thu hẹp khoảng cách tài năng kiểm toán nội bộ)
Trong năm 2015, việc thu hút và giữ chân nhân sự vẫn là một ưu tiên cao hoặc
quan trọng đối với hơn 40% những người trả lời cuộc khảo sát toàn cầu của
IIA, với hơn một nửa số người được hỏi đã bổ sung thêm về khoảng cách kiến
thức cho nhóm có giới hạn gồm các kiểm toán viên có kỹ năng Một lần nữa
trong năm 2017, theo kết quả khảo sát của Trung tâm điều hành kiểm toán của
IIA (AEC®), đa số (79%) của gần 200
Trang 4Góc nhìn toàn cầu và sự thấu hiểu
“Nếu kiểm toán nội bộ
được chuẩn bị sẵn
sàng cho tương lai,
một trong năm điểm
quan trọng cần phải
thực hiện là thích ứng
linh hoạt (agile) Chúng
ta phải đủ linh hoạt để
nhận ra và giải quyết
những rủi ro mới xuất
hiện và để đánh giá rủi
toán nội bộ có chiến
lược quản lý nguồn lực
Như để tăng thêm tính nghiêm trọng của tình hình, do có sự xuất hiện các rủi ro mới – vd: phân tích dữ liệu, quản lý bên thứ ba, an ninh mạng, tính bền vững và các bất ổn chính trị và bất ổn khác - các tổ chức hiện nay đặt nhiều kỳ vọng hơn vào kiểm toán viên nội bộ Hiện tại, trọng tâm kiểm toán nội bộ không chỉ giới hạn trong phạm vi các chỉ tiêu tài chính truyền thống và tuân thủ
Kiểm toán nội bộ không phải là quản lý nguồn lực mà là đánh giá việc quản lý đó góp phần giảm thiểu rủi ro như thế nào Các tổ chức hiện nay đang cần và mong đợi các kiểm toán viên nội bộ có cách tiếp cận toàn diện hơn, bao gồm việc giám sát rủi ro toàn diện và phải tạo ra giá trị Do
đó, việc tìm kiếm những kiểm toán viên nội bộ có năng lực, kỹ năng đã trở nên rất cạnh tranh
Nếu không có đầy đủ các kỹ năng cần thiết, kiểm toán nội bộ dễ mắc phải việc xem xét qua loa, hoặc không kiểm toán đầy đủ, các rủi ro riêng biệt và rủi ro mới, như công nghệ, địa-chính trị, kinh tế, chế độ báo cáo doanh nghiệp, văn hóa và các quy định pháp luật trong nước và toàn cầu Theo Hiệp hội quản lý nguồn nhân lực (SHRM), khả năng phát triển của kiểm toán nội bộ vượt lên các yếu tố tài chính truyền thống, điều hành và kỹ năng CNTT và tập trung vào một bức tranh lớn hơn là rất quan trọng
Để phục vụ tổ chức một cách hiệu quả, chức năng kiểm toán nội bộ cần được chuẩn bị tốt về các phương diện như: năng lực được phát triển một cách thấu đáo và hoạt động dựa trên sự hiểu biết sâu sắc về Hồ sơ rủi ro của tổ chức Việc chuẩn bị đó cũng mang lại khả năng tư duy phản biện tốt và sự nhạy bén kinh doanh tích cực, kết hợp với kiến thức chuyên môn trong các khu vực cụ thể hoặc với kiến thức chuyên ngành Các rủi ro mới, rủi ro phi truyền thống sẽ ảnh hưởng đến danh mục các đơn vị/ nội dung có thể kiểm toán; do đó, kiểm toán nội bộ phải nắm được và không ngừng mở rộng, đào sâu thêm về kiến thức của mình Điều bắt buộc là Trưởng KTNB phải lãnh đạo các kiểm toán viên hướng
về việc mở rộng kinh nghiệm và kỹ năng của họ và cân nhắc “điều bình thường mới” của các rủi ro khi đánh giá và thực hiện các kế hoạch kiểm toán Hãy làm cho việc đào tạo kiểm toán truyền thống không có sai sót, trở nên có liên quan và sẽ luôn giữ sự liên quan; nhưng việc đào tạo và
cọ xát liên tục, khả năng thích ứng, các kỹ năng mềm tốt và kiến thức về quy trình và hoạt động là điều cần thiết để định hướng trong thế giới kinh doanh mới
Trang 5Khả năng quản lý nguồn lực là việc sống còn đối với sự thành công của
kiểm toán nội bộ và có thể mang lại lợi ích lâu dài - ngoài việc lấp đầy sự
thiếu hụt nhân sự trong từng giai đoạn Để tối ưu hóa các nỗ lực quản lý
nguồn lực, Trưởng KTNB và ban quản lý cấp cao nên phát triển các
phương pháp tiếp cận thấu đáo và được xây dựng tốt để thúc đẩy tái cơ
cấu và tăng cường lực lượng lao động của họ Để có hiệu lực và để xây
dựng, sẵn sàng giao kết và duy trì hoạt động kiểm toán nội bộ tốt nhất có
thể khi đối mặt với các rủi ro mới, Trưởng KTNB phải triển khai các chiến
lược bao gồm thang đo các yêu cầu cần phải có của các nhân sự hiện
tại, các nhu cầu cần đào tạo thêm cho các nhân sự hiện tại và cũng quan
trọng không kém là sự hỗ trợ từ phía lãnh đạo để nhân viên phát triển và
tiếp tục sự nghiệp của họ
Chiến lược quản lý nguồn lực có hoàn hảo hay không phụ thuộc vào sự
kết hợp của các phương pháp tiếp cận khác nhau Trưởng KTNB sẽ
không thể tránh được việc thiếu hụt nhân sự Có sự thiếu hụt nguồn
nhân lực có kỹ năng cần thiết để giải quyết các rủi ro trong tương lai -
bao gồm những kỹ năng về khoa học dữ liệu, tư duy sáng tạo, tư duy
phân tích/ phản biện, giao tiếp và các kỹ năng khác Một chiến lược hiệu
quả bao gồm sự hiểu biết các kỹ năng và thuộc tính nào là cần thiết và
các nỗ lực liên tục để tuyển dụng, phát triển và duy trì những nhân sự
hàng đầu
Mục tiêu
Năng lực cần thiết của kiểm toán nội bộ được định hướng bởi rủi
ro nằm trong phạm vi công việc của kiểm toán nội bộ
Trưởng KTNB, ủy ban kiểm toán và ban điều hành phải hiểu biết
rõ về các kỹ năng cần thiết nhằm hỗ trợ tổ chức thực hiện các
mục tiêu đề ra và nắm được tổng chi phí của các nhân viên kiểm
toán nội bộ
Kiểm toán nội bộ phải triển khai quy trình quản lý hiệu quả hoạt
động một cách nhất quán
Các lãnh đạo kiểm toán nội bộ có khả năng đào tạo, hướng dẫn
và làm việc với các thế hệ mới hoặc những người chưa quen với
môi trường kiểm toán nội bộ chuyên nghiệp
Xây dựng một kế hoạch phát triển sự nghiệp rõ ràng cho các
kiểm toán viên nội bộ
Xây dựng chương trình huấn luyện nhân viên mới và liên tục đào
tạo cho nhân viên về văn hóa doanh nghiệp, khẩu vị rủi ro và định
hướng chiến lược của tổ chức
Hành động
Rà soát việc đánh giá rủi ro và lập kế hoạch kiểm toán và xác
định các kỹ năng cần thiết để thực hiện kế hoạch đề ra Thực
hiện phân tích sự khác biệt giữa các kỹ năng hiện tại và các kỹ
năng cần phải có và triển khai một chiến lược để giảm thiểu sự
khác biệt đó
Cấu trúc hoặc tái cấu trúc việc rà soát hiệu quả hoạt động của
kiểm toán nội bộ, bao gồm các năng lực cụ thể, các mục tiêu có
thể hành động phù hợp với kế hoạch chiến lược của tổ chức và
các cơ cấu tiền lương cho các chuyên gia đặc biệt như nhà phân
tích dữ liệu
Hướng dẫn và phát triển các kỹ năng trong đội ngũ nhân sự hiện
tại, nhằm đáp ứng các yêu cầu về kỹ năng mới
Tiêu điểm Kiểm toán
Chuẩn mực IIA 1210 - Thành thạo Chuyên môn
Kiểm toán viên nội bộ phải có kiến thức, kỹ năng và năng lực chuyên môn khác cần thiết để thực hiện trách nhiệm của mình Bộ phận kiểm toán nội bộ, về mặt tổng thể, phải có hoặc huy động được kiến thức, kỹ năng và năng lực chuyên môn cần thiết khác để thực hiện các trách nhiệm của cả bộ phận
Chuẩn mực IIA 1230 - Bồi dưỡng chuyên môn liên tục
Kiểm toán viên nội bộ phải nâng cao kiến thức, kỹ năng
và các năng lực chuyên môn khác bằng cách liên tục bồi dưỡng chuyên môn
Trang 6Góc nhìn toàn cầu và sự thấu hiểu
Trọng tâm Kiểm
toán
Chuẩn mực IIA 1220 - Thận
trọng nghề nghiệp
Kiểm toán viên nội bộ phải
thực hiện công việc với sự
thận trọng và kỹ năng chuyên
môn cần thiết của một kiểm
toán viên nội bộ có năng lực
thuật kiểm toán sử dụng
công nghệ thông tin
Liên tục tìm kiếm những nhân sự mới trên thị trường Tìm kiếm các ứng cử viên có các nền tảng chuyên môn khác nhau, không chỉ tập trung vào những người có bằng cấp tài chính và kế toán Cân nhắc các bên thứ ba cung cấp dịch vụ như là một nguồn lực
để nhanh chóng có được các kỹ năng cần thiết để giải quyết các rủi ro phức tạp và chuyên môn hóa
Thiết lập chương trình đào tạo cho nhân viên mới và chương trình chuyển giao kiến thức
Phân tích dữ liệu
Phân tích dữ liệu là quy trình thu thập và phân tích dữ liệu, sau đó sử dụng các kết quả để đưa ra các quyết định tốt hơn (Tạp chí Kiểm toán
Nội bộ, Ấn bản lần 4, 11-2, Quỹ Kiểm toán Nội bộ, 2017) Việc các tổ
chức đang phát triển việc lưu trữ dữ liệu từ các hoạt động của họ cho thấy hai thách thức chính của kiểm toán nội bộ Trước tiên là cách thức trợ giúp hội đồng quản trị và ban điều hành hiểu được cách thức dữ liệu
đó được thu thập, quản lý, bảo vệ và giám sát như thế nào Thứ hai là cách thức khai thác dữ liệu ngày càng tăng dưới góc nhìn của kiểm toán nội bộ trong việc áp dụng các công cụ phân tích cho các quy trình kiểm toán hiện hữu và tự động hóa các cuộc kiểm toán thường xuyên và tập trung vào các khu vực rủi ro mới (tham khảo Tiêu điểm Rủi ro: Chủ đề
nóng của kiểm toán nội bộ 2018)
Về cơ bản, phân tích dữ liệu giúp chia nhỏ dữ liệu và nhóm các dữ liệu lại nhằm cung cấp các thông tin có ý nghĩa và giá trị Với thông tin đó, kiểm toán nội bộ có thể phân tích tất cả các rủi ro và mối tương quan giữa các rủi ro đó, cung cấp thông tin nội tại và xu hướng tương lai, báo cáo về các vấn đề đang được quan tâm bởi các bên liên quan Quản lý phân tích dữ liệu và các rủi ro gắn với việc phân tích có thể là công viêc khó khăn dễ gây nản chí Việc tìm ra được những thông tin ý nghĩa từ dữ liệu đó - và chuyển đổi thông tin thành hành động - đôi khi là chuyện nói
dễ hơn làm Để phân tích dữ liệu một cách hiệu quả, cần phải có nhân
sự với đúng kỹ năng, các định dạng, quy trình và công nghệ phù hợp Với nhiều dữ liệu hơn bao giờ hết cần xử lý ngay lập tức, ban điều hành
và hội đồng quản trị phải nhìn nhận rằng khối lượng dữ liệu khổng lồ khiến cho tổ chức dễ gặp phải các rủi ro tài chính và phi tài chính liên quan đến dữ liệu (tham khảo Nắm bắt và quản lý các rủi ro trong phân
tích):
Rủi ro chất lượng dữ liệu và thông tin - Người ra quyết định
cần dữ liệu để trao đổi và hiểu biết về các vấn đề phức tạp Phải
có các định nghĩa và tiêu chuẩn chất lượng rõ ràng cho tất cả dữ liệu và thông tin
Rủi ro tuân thủ dữ liệu và thông tin - Việc không tuân thủ các
yêu cầu của người được phân trách nhiệm và bên thứ ba được chỉ định (thường có quan hệ với địa phương, hoặc chính phủ) có thể dẫn đến kết quả bất lợi như hình phạt về tài chính, công việc
bị chồng chéo hoặc các vi phạm pháp lý mang tính cá nhân
Trang 7 Rủi ro Quản trị Dữ liệu và Thông tin - Dữ liệu và thông tin phải được
kiểm soát cẩn thận thông qua việc sử dụng các nguyên tắc và quy trình
quản trị rủi ro ở các cấp độ phù hợp để đảm bảo quyền riêng tư, an
ninh, chất lượng và khả năng có thể kiểm toán được
Việc sử dụng công cụ phân tích rủi ro không phù hợp hoặc quá
sớm – Việc phân tích sẽ trở nên không hữu ích khi không có thời gian
để thu thập, xử lý và diễn giải dữ liệu; khi không có lịch sử hoặc tiền lệ
có liên quan đến các quyết định hoặc khi dữ liệu lịch sử bị sai lệch;
hoặc khi các biến số trọng yếu không thể đo lường được hoặc có cấp
độ không chắc chắn cao
Rủi ro tác động phản văn hóa – Việc áp dụng sáng kiến có tính phân
tích trong văn hóa tổ chức không có định hướng dựa trên dữ liệu có thể
dẫn đến rủi ro lớn cho các cấp lãnh đạo; sáng kiến có tính phân tích
nên bao gồm việc đánh giá về hệ thống đưa ra quyết định và cấp độ
định hướng dựa vào dữ liệu của văn hóa doanh nghiệp
Rủi ro Đạo đức Dữ liệu - Sáng kiến phân tích dữ liệu phải song
hànhvới giá trị cốt lõi, việc ra quyết định và hành vi của tổ chức Các
khâu kiểm soát nên được thiết lập để đảm bảo việc thu thập và sử
dụng dữ liệu phù hợp với các quy tắc đạo đức
Kiểm toán nội bộ nên luôn ý thức được các nguy hiểm mà tổ chức có thể phải
đối mặt với các dự án dữ liệu lớn, đặc biệt trong tình huống mà nhân viên thiếu
một số kỹ năng Nhu cầu phân tích dữ liệu đang gia tăng và xảy rasớm - nếu
chưa sẵn sàng – phân tích dữ liệu sẽ là một phần không thể tách rời của mọi
tổ chức Trong khi điều quan trọng là tổ chức tham gia vào các dự án dữ liệu
lớn để duy trì khả năng cạnh tranh và không bị tụt hậu, có những rủi ro cần
được xem xét như sau:
Các quy trình phân tích không đáng tin cậy, không hợp lệ, không đầy
đủ hoặc không liên quan
Công nghệ làm thay đổi thế giới chúng ta đang sống với tốc độ cực nhanh và
nếu chúng ta không chuẩn bị sẵn sàng thì hậu quả thấp nhất của tốc độ thay
đổi đó là sự hỗn loạn, Công nghệ tạo ra một lượng dữ liệu lớn hơn và kiểm
toán nội bộ có thể sử dụng nguồn dữ liệu đó để đánh giá rủi ro một cách toàn
diện hơn, cải tiến thủ tục kiểm toán và nâng cao chất lượng của dịch vụ đảm
bảo
Kết quả từ các nghiên cứu được thực hiện gần đây cho thấy lợi ích chính của
việc phân tích dữ liệu đối với kiểm toán nội bộ bao gồm nâng cao hiệu quả ,
cải tiến dịch vụ đảm bảo, tập trung hơn vào các rủi ro chiến lược, tầm bao quát
kiểm toán lớn hơn và tiết kiệm đáng kể về thời gian và tiền bạc trong dài hạn
Tuy nhiên, để đạt được các lợi ích này, kiểm toán nội bộ phải đánh giá xem
chương trình phân tích dữ liệu đã thực hiện được mục tiêu trọng yếu và các
hoạt động mong muốn của kiểm toán nội bộ như thế nào
Phân tích dữ liệu có vai trò sống còn đối với bộ công cụ kiểm toán nội bộ, bởi
vì nó có thể khai phá những thông tin quan trọng bị ẩn trong dữ liệu cũng như
hỗ trợ cho việc thử nghiệm được hiệu quả hơn Nhiều nhóm kiểm toán nội bộ
chưa áp dụng các công nghệ phân tích dữ liệu hiện đại hơn ;
Trang 8Góc nhìn toàn cầu và sự thấu hiểu
họ vẫn chủ yếu dựa vào các công cụ và ứng dụng dựa trên bảng tính Việc ủng hộ của tiểu ban kiểm toán là rất cần thiết Kiểm toán nội bộ nên đảm bảo tiểu ban kiểm toán được đào tạo về tầm quan trọng của phân tích dữ liệu (tham khảo Phân tích dữ liệu: Đã đến lúc bắt đầu chưa?)
Để xây dựng hoặc cải tiến chương trình phân tích dữ liệu, Trưởng KTNB nên tham gia vào buổi thảo luận với các bên liên quan về các kết quả mong muốn, định nghĩa các mục tiêu phân tích và xác định các yêu cầu về mặt năng lực và công nghệ
Một trong các rào cản chính để xây dựng một chương trình phân tích dữ liệu hiệu quả - và một rủi ro bất biến đối với kiểm toán nội bộ - là không có đủ các nhân viên có kỹ năng cao để xử lý dữ liệu lớn Do thiếu hụt trong lĩnh vực này, chương trình phân tích của kiểm toán nội bộ có thể chưa đạt được mức tối ưu – thực ra điều đó cũng không cần thiết vì tiềm năng của chương trình thường không được sử dụng hết Như với bất kỳ sáng kiến kinh doanh mới khác, các
dự án dữ liệu lớn đều liên quan đến yếu tố rủi ro Nếu không có khả năng quản
lý dữ liệu lớn, yếu tố rủi ro có thể tăng cao hơn nữa
Mục tiêu
Kiểm toán nội bộ có hiểu biết sâu sắc về phân tích dữ liệu và công nghệ, cách thức các công nghệ tiên tiến có thể nâng cao tínhhiệu quả của kiểm toán nội bộ
Kiểm toán nội bộ đánh giá việc Ban quản lý phản ứng như thế nào với những rủi ro mới được xuất hiện từ việc mở rộng phân tích dữ liệu
Kiểm toán nội bộ sử dụng tính năng tiên tiến của các chương trình phân tích dữ liệu để phục vụ lợi ích toàn diện của tổ chức (ví dụ: việc xác minh và giám sát các chương trình,hành vi có rủi ro cao; đánh giá
và tăng tính chính xác của các quy trình đánh giá rủi ro cụ thể đối với tổ chức, v.v.)
Kiểm toán nội bộ tận dụng đòn bẩy công nghệ để nhận diện sớm các điểm bất thường, các khu vực có rủi ro gian lận và thảo luận các phát hiện trọng yếu
Kiểm toán nội bộ tận dụng đòn bẩy công nghệ để tăng cường phạm vi bao quát các rủi ro của tổ chức với số giờ làm việc và chi phí lao động thấp hơn
Các mục tiêu trên đã được hiệu đính một phần theo ấn phẩm: Các bước đầu tiên trong việc xây dựng một chương trình phân tích dữ liệu dành cho nhóm kiểm toán nội bộ của bạn
Hành động
Xác định kết quả từ các phân tích có thể hỗ trợ tốt cho các mục tiêu kiểm toán nội bộ, bằng cách quyết định các nhu cầu cơ bản và cụ thể dành cho chương trình phân tích dữ liệu
Hãy xây dựng hiểu biết về các lợi ích mà các chương trình phân tích có thể đem đến cho tổ chức và kiểm toán nội bộ xét về phương diện tính
cơ hội và tính đổi mới Nhận diện các lợi ích và các kỹ năng cần thiết
để thực hiện tối ưu các chương trình này
Xem xét việc phân tích dữ liệu như một thành phần kinh doanh thiết yếu
và điều chỉnh giao kết kiểm toán để đạt được phương pháp tiếp cận bền vững, chất lượng nhằm quản lý tối ưu khung tuân thủ và kiểm soát của toàn bộ tổ chức
Trang 9 Giao kết với ban quản lý trên các quy tắc, điểm dữ liệu, bộ mã và giả định cụ thể trong chương trình sẽ phát hiện chính xác các bất thường hoặc các mẫu gian lận
Mạng
Tội phạm mạng, dù là cuộc tấn công không ngừng để xâm phạm thông tin
của các tổ chức hoặc việc không ngừng ăn cắp các thông tin nhận diện cá
nhân của chủ tài khoản – khi được tài trợ và với mức độ tinh vi cao – thực
sự là các đối thủ đáng quan tâm Sự kết nối đã tạo ra một thế giới phức
tạp và dựa trên rủi ro, tạo điều kiện tốt cho các tội phạm mạng Các kỹ thuật
mà chúng sử dụng tiếp tục được mở rộng và phát triển đến nỗi ngày càng
có nhiều kỹ thuật hơn, việc truy đuổi tội phạm đã trở nên quen thuộc hơn
Việc tung ra một kế hoạch phòng vệ chống lại cuộc tấn công mạng và đảm
bảo rằng kế hoạch đó có hiệu lực là một công việc liên tục không kể ngày
đêm; vấn đề là không phải cuộc tấn công mạng sẽ xảy ra hay không, mà là
sẽ xảy ra khi nào Có sự khác biệt lớn giữa nhận thức rủi ro mạng và việc
chuẩn bị để ứng phó với rủi ro mạng Tất cả đều nhận thức được những rủi
ro; chúng ta phải đối mặt với sự thật là cuộc tấn công mạng diễn ra hàng
ngày Tuy nhiên, sự chuẩn bị sẵn sàng, bao gồm khả năng ngăn cản một
cách toàn diện cuộc tấn công với nỗ lực lớn hoặc khả năng gánh chịu cuộc
tấn công và phục hồi với mức độ thiệt hại ít hoặc không có Đối với các tổ
chức để có được sự bảo vệ nhằm chống lại thảm họa củaviệc xâm phạm,
họ cần phải có khả năng phản kháng, phản ứng và khôi phục lại từ cuộc tấn
công mạng – nghĩa là khả năng khôi phục mạng
Vì ngày càng có nhiều điều quan ngại liên quan đến vấn đề mạng (ví dụ:
xâm nhập, lấy cắp mật khẩu, gián điệp kinh tế, v.v.), nên các bên liên quan
đòi hỏi tổ chức phải có tầm nhìn rộng hơn về chương trình quản lý rủi ro an
ninh mạng và hội đồng quản trị cũng muốn kiểm toán nội bộ có một cuộc
kiểm tra rủi ro mạng và các chương trình mạng một cách độc lập, khách
quan và toàn diện Do đó, kiểm toán nội bộ cũng phải có kiến thức về các
rủi ro có thể xảy ra và phải đóng một vai trò quan trọng trong việc xây dựng
khả năng khôi phục mạng
Không may mắn là rủi ro về an ninh mạng không bị giới hạn trong các nguy
cơ bên ngoài; các rủi ro tiềm tàng có thể là kết quả từ các hành động của
nhân viên hoặc đối tác kinh doanh Do đó, một yếu tố trọng yếu của khả
năng phục hồi mạng là việc quản lý thỏa đáng và hiệu quả văn hóa doanh
nghiệp, cũng như việc đánh giá rủi ro của tổ chức
Khi cân nhắc về vấn đề văn hóa, các hội đồng quản trị cũng xem xét văn
hóa rủi ro, bởi vì nó là cơ sở của tất cả các quyết định, hành vi và việc chấp
nhận rủi ro trong toàn bộ tổ chức Kiểm toán nội bộ có thể kiểm toán rủi ro
liên quan đến văn hóa bằng các cuộc kiểm toán chuẩn đánh giá hoạt động
và tài chính bằng cách thu thập dữ liệu và tiến hành cuộc kiểm tra không
chính thức
Với chịu trách nhiệm chính trong nhiệm này , kiểm toán nội bộ có thể củng
cố sự hiểu biết của ban quản lý về tính hiệu quả của các khâu kiểm soát an
ninh mạng trong tất cả khu vực, ngay cả ở cấp độ mà văn hóa tổ chức có
tác động đến các yêu cầu, quy trình và năng lực Văn hóa thúc đẩy năng
suất, các giá trị, thái độ và việc thực hiện trong tổ chức đồng thời được
định hình và duy trì bởi nhiều yếu tố khác nhau; do đó, kiểm toán nội bộ có
thể đánh giá văn hóa đối với rủi ro với cách thức giống như các khu vực
khác của tổ chức (tham khảo Xu hướng tương lai của kiểm toán nội bộ)
Kiểm toán nội bộ có thể tối đa hóa giá trị của mình bằng cách hiểu được
Trang 10Góc nhìn toàn cầu và sự thấu hiểu phương thức đánh giá văn hóa và truyền đạt đến ban quản lý tầm quan
trọng của văn hóa tổ chức
Trang 11“Các thành viên hội đồng
quản trị không cần phải là
các chuyên gia công nghệ
để giám sát rủi ro mạng
một cách hiệu quả - nhưng
mỗi hội đồng quản trị có
thể tận dụng cơ hội để cải
tiến hiệu quả của việc thực
hành giám sát mạng.”
Sổ tay thành viên hội đồng
quản trị về Giám sát rủi ro an
ninh mạng của Hiệp hội quốc
gia các thành viên hội đồng
công ty (NACD), 2017
Nguồn: Giá trị của tầm nhìn:
Kiểm tra quản lý rủi ro an
ninh mạng
Để kiểm soát các rủi ro liên quan đến mạng, bao gồm cả yếu tố văn hóa, điều thiết yếu là ban lãnh đạo phải triển khai các biện pháp phòng ngừa, kết hợp các biện pháp đó cùng với các chương trình đào tạo về nhận thức và sau đó đảm bảo rằngcác hoạt động này được thực hiện liên tục trong doanh nghiệp Vì vậy, nhân viên, nhà cung cấp, đối tác và nhà thầu đều phải được đào tạo như nhau để có thể hiểu chính xác những gì được mong đợi từ họ về các biện pháp
và các giao thức an ninh mạng
Các chiến lược đánh giá rủi ro của kiểm toán nội bộ cần được triển khai để hướng đến tất cả rủi ro liên quan đến an ninh mạng đồng thời đảm bảo tuân thủ các chính sách và các khâu kiểm soát nội bộ Kiểm toán nội bộ cần phát triển một phương pháp kiểm toán tăng cường để đáp ứng các nhu cầu của tổ chức và các bên liên quan trong tất cả các khu vực mà các vấn đề về mạng có thể tác động đến Để đạt đươc hiệu quả,đòi hỏi phải cài đặt - ở mức tối thiểu - các hoạt động kiểm soát, một môi trường kiểm soát, đánh giá rủi ro, truyền thông và giám sát, cũng như một khung đánh giá các biện pháp an ninh mạng (tham khảo Tiêu điểm Rủi ro: Chủ đề nóng dành cho kiểm toán nội bộ
2018)
Là tuyến phòng vệ thứ ba, kiểm toán nội bộ nên làm việc với ban điều hành và hội đồng quản trị khi họ triển khai các chiến lược và chính sách an ninh mạng để cải tiến khả năng tổ chức có thể nhận diện và làm giảm thiểu các rủi ro an ninh mạng; tận dụng đòn bẩy từ các mối quan hệ với tiểu ban kiểm toán và hội đồng quản trị, đảm bảo rằng họ giữ vững cam kết; và đảm bảo rằng rủi ro an ninh mạng được tích hợp chính thức trong kế hoạch kiểm toán, với các kỹ năng cần thiết (kỹ năng có sẵn trong nội bộ hoặc từ nguồn hỗ trợ bên ngoài) để thực hiện kế hoạch Các công nghệ và xu hướng mới nổi có tác động đến
hồ sơ rủi ro an ninh mạng của tổ chức; do đó, kiểm toán nội bộ cũng phải cập nhật với các công nghệ hiện đại mới đồng thời đánh giá khả năng bị tác độngcủa tổ chức và các hoạt động rủi ro đối với kế hoạch
an ninh mạng mà tổ chức đang hướng tới
Mục tiêu
Tổ chức có nền văn hóa hướng đến việc duy trì không gian mạng
Kiểm toán nội bộ đóng góp các nhân tố thiết yếu vào việc kiểm tra
và chuẩn bị liên quan đến an ninh mạng:
o Bảo vệ và phát hiện: Kiểm toán nội bộ cung cấp một cách tiếp cận toàn diện để nhận diện được nơi mà tổ chức dễ bị tác động đồng thời kết hợp phân tích dữ liệu trong khu vực trách nhiệm của họ và sẽ giúp báo động những điểm sai sót được phát hiện
o Kinh doanh liên tục: Kiểm toán nội bộ đưa ra những tư vấn, giao kết cùng với ban quản lý khi họ có kế hoạch đối phó và vượt qua các tình huống rủi ro có thể tác động đến việc hoạt động liên tục của tổ chức, bao gồm tấn công mạng, thiên tai hoặc hoặc các rủi ro có thể xảy ra sau đó
o Quản lý khủng hoảng/truyền thông: Kiểm toán nội bộ hỗ trợ việc lập kế hoạch quản lý khủng hoảng và truyền thông bằng việc chuẩn bị sẵn sàng các cuộc kiểm tra để đảm bảo tính hiệu quả và kịp thời của kế hoạch, thực hiện các phân tích và đưa
ra các nhận xét về kế hoạch đã thực thi
o Cải tiến liên tục: Kiểm toán nội bộ có thể mang đến các giá trị khác bằng cách cung cấp thông tin và giúp cải tiến các chiến
Trang 12Góc nhìn toàn cầu và sự thấu hiểu
lược cũng như các giao thức được chuẩn bị tốt để ứng phó với tấn công mạng
