System Audit là gì
Information Security Audit là Thông tin Kiểm toán an ninh. Đây là nghĩa tiếng Việt của thuật ngữ Information Security Audit - một thuật ngữ thuộc nhóm Technology
Terms - Công nghệ thông tin. Công việc kiểm toán an ninh thông tin xảy ra khi một nhóm nghiên cứu công nghệ tiến hành một cuộc rà soát tổ chức để đảm bảo rằng các chính xác và hầu hết các quá trình up-to-date và cơ sở hạ tầng đang được áp dụng. Công việc kiểm toán cũng bao gồm một loạt các bài kiểm tra mà đảm bảo rằng an ninh thông tin đáp ứng tất cả mong đợi và yêu cầu trong một tổ chức. Trong quá
trình này, người lao động được phỏng vấn về vai trò an ninh và các chi tiết khác có liên quan. Mỗi tổ chức nên thực hiện kiểm toán an ninh thường xuyên để đảm bảo rằng dữ liệu và tài sản được bảo vệ. Thứ nhất, phạm vi của kiểm toán cần được quyết định và bao gồm toàn bộ tài sản của công ty liên quan đến an ninh thông tin, bao gồm thiết bị
máy tính, điện thoại, mạng, email, dữ liệu và bất kỳ mặt hàng truy cập liên quan đến, chẳng hạn như thẻ, thẻ và mật khẩu. Sau đó, các mối đe dọa tài sản trong tương lai quá khứ và tiềm năng phải được xem xét. Bất cứ ai trong lĩnh vực an ninh thông tin nên ở lại thông báo về các xu hướng mới, cũng như các biện pháp an ninh được thực hiện bởi các công ty khác. Tiếp theo, nhóm nghiên cứu kiểm toán nên ước tính lượng hủy diệt có thể transpire trong điều kiện đe dọa. Nên có một kế hoạch thành lập và
điều khiển để duy trì hoạt động kinh doanh sau khi một mối đe dọa đã xảy ra, được gọi là một hệ thống ngăn chặn xâm nhập. An information security audit occurs when a technology team conducts an organizational review to ensure that the correct and most up-to-date processes and infrastructure are being applied. An audit also includes a series of tests that guarantee that information security meets all expectations and requirements
within an organization. During this process, employees are interviewed regarding security roles and other relevant details. Every organization should perform routine security audits to ensure that data and assets are protected. First, the audit’s scope should be decided and include all company assets related to information security, including computer equipment, phones, network, email, data and any access-related items, such as cards,
tokens and passwords. Then, past and potential future asset threats must be reviewed. Anyone in the information security field should stay apprised of new trends, as well as security measures taken by other companies. Next, the auditing team should estimate the amount of destruction that could transpire under threatening conditions. There should be an established plan and controls for maintaining business operations after a threat has occurred, which is called an intrusion prevention system. Source: Information
Security Audit là gì? Technology Dictionary - Filegi - Techtopedia - Techterm Hệ thống kiểm soát nội bộ có ý nghĩa đặc biệt quan trọng đối với mỗi doanh nghiệp. Vậy kiểm soát nội bộ là gì? Hệ thống này hoạt động thế nào để giúp các doanh nghiệp. Trong bài hôm nay, chúng ta sẽ tìm hiểu.I. Hệ thống kiểm soát nội bộ (Internal control systems)Kiểm soát nội bộ (KSNB) là quy trình được thiết kế, thực hiện và duy trì bởi ban quản trị (BQT) doanh nghiệp (those charged with governance) nhằm tạo ra sự đảm bảo hợp lí (reasonable assurance) về khả năng đạt được mục tiêu của đơn vị trong việc đảm bảo độ tin cậy của BCTC, đảm bảo tính hiệu quả và kinh tế của hoạt động và tuân thủ theo quy định và pháp luật hiện hành. KSNB trong doanh nghiệp bao gồm 5 thành phần sau: 1. Môi trường kiểm soát (The control environment)Môi trường kiểm soát bao gồm các chức năng quản trị liên quan đến KSNB và những nhận thức, thái độ và hoạt động của BQT doanh nghiệp về tầm quan trọng của KSNB trong đơn vị. Môi trường kiểm soát sẽ ảnh hưởng đến sự vận hành và tính hữu hiệu của KSNB. Nếu môi trường kiểm soát mạnh, nó không những đảm bảo tính hữu hiệu của hệ thống KSNB tổng thể mà còn có thể yếu tố tích cực khi đánh giá rủi ro nếu có sai sót trọng yếu. Nếu môi trường kiểm soát yếu kém có thể làm giảm hiệu quả của hoạt động kiểm soát. Các yếu tố trong môi trường kiểm soát:
2. Quy trình đánh giá rủi ro của doanh nghiệp (The entity’s risk assessment process)Quy trình đánh giá rủi ro bao gồm 4 bước sau: Kiểm toán viên (KTV) cần tìm hiểu liệu doanh nghiệp đã có quy trình đánh giá rủi ro hay chưa và liệu quy trình này có tuân thủ theo các bước trên hay không. Trong trường hợp, doanh nghiệp chưa có quy trình trên, KTV nên trao đổi với BQT về các rủi ro kinh doanh đã được xác định và biện pháp xử lí. 3. Hệ thống thông tin liên quan tới việc lập và trình bày BCTC (The information system relevant to financial reporting)Hệ thống này bao gồm các thông tin liên quan hệ thống lập và trình bày BCTC, các thủ tục, bút toán ghi nhận, xử lí và báo cáo các giao dịch của doanh nghiệp nhằm duy trì trách nhiệm giải trình đối với các tài sản, nợ phải trả và vốn chủ sở hữu liên quan. 4. Hoạt động kiểm soát (Control activities)Hoạt động kiểm soát là các chính sách và thủ tục, nhằm đảm bảo các quyết định của BQL được thực hiện. Hoạt động kiểm soát gồm 5 loại sau:
5. Giám sát các hoạt động kiểm soát (Monitoring of controls)Giám sát các hoạt động kiểm soát là quy trình đánh giá tính hiệu quả của KSNB qua thời gian, bao gồm tính kịp thời và đưa ra hành động sửa chữa cần thiết. Nếu doanh nghiệp có bộ phận kiểm toán nội bộ, KTV có thể tìm hiểu về trách nhiệm của bộ phận này, cấu trúc tổ chức và các hoạt động đã thực hiện. II. Các kỹ thuật mô tả hệ thống kiểm soát nội bộTrong phạm vi môn F8, chúng ta sẽ tìm hiểu 4 kỹ thuật mô tả KSNB sau: 1. Bảng tường thuật (Narrative notes)Bảng tường thuật là để mô tả và giải thích về sự vận hành hệ thống KSNB, cùng với đưa ra những nhận xét, đánh giá của KTV để thể hiện độ hiểu biết về hệ thống. Ví dụ: “Kế toán tiền mặt chịu trách nhiệm mở sổ kế toán tiền mặt để ghi chép hàng ngày, liên tục theo trình tự phát sinh các khoản thu chi quỹ tiền mặt, ngoại tệ và tính ra số tồn quỹ tại mọi thời điểm. Hàng ngày thủ quỹ phải kiểm kê số tồn quỹ thực tế và tiến hành đối chiếu với số liệu của sổ kế toán tiền mặt. Nếu có chênh lệch, kế toán và thủ quỹ phải kiểm tra lại để tìm ra nguyên nhân và kiến nghị biện pháp xử lý.”
2. Lưu đồ (Flowcharts)Lưu đồ có nhiều dạng, nhưng thường được minh họa bằng sơ đồ về sự lưu chuyển của thông tin trong hệ thống kế toán. Các đường thẳng thể hiện trình tự của quá trình, các biểu tượng khác đại diện cho inputs và outputs của quy trình đó. Ví dụ:
3. Bảng câu hỏi (Questionnaires)Bảng câu hỏi là một danh sách các câu hỏi được thiết kế theo mẫu. Có 2 dạng bảng câu hỏi:
4. ChecklistsChecklists có thể sử dụng thay cho bảng hỏi để mô tả và đánh giá KSNB, tuy nhiên checklists sử dụng các mệnh đề và các ô trống để đánh dấu đúng hoặc sai. Ví dụ: III. Biện pháp đánh giá hệ thống KSNBKTV có thể thực hiện đánh giá hệ thống KSNB thông qua một số biện pháp dưới đây: 1. Xác nhận sự hiểu biết về hệ thống (Confirming understanding)KTV thực hiện kiểm tra từ đầu đến cuối (walk- through tests), bằng cách chọn 1 giao dịch và lần theo hệ thống để xem xét liệu tất cả các hoạt động kiểm soát cần thiết có tồn tại và có thực sự hiệu quả với giao dịch đó hay không. 2. Thử nghiệm kiểm soát (Tests of control)Thử nghiệm kiểm soát là thủ tục kiểm toán được thiết kế để đánh giá sự vận hành hiệu quả của KSNB trong việc ngăn chặn, phát hiện và sửa chữa những sai phạm trọng yếu ở cấp độ cơ sở dẫn liệu. Gồm có các thủ tục sau:
3. Soát xét lại việc đánh giá rủi ro, chiến lược kiểm toán và kế hoạch kiểm toánTrong quá trình kiểm toán, KTV có thể tìm ra những bằng chứng rằng KSNB không hoạt động hiệu quả như kỳ vọng. Cụ thể:
Khi đó, rủi ro, chiến lược và kế hoạch kiểm toán cần được xem xét và điều chỉnh lại. 4. Thiếu hụt của hệ thống KSNB (Deficiencies in internal control)Hệ thống KSNB tồn tại các thiếu hụt khi: Thiếu hụt nghiêm trọng trong KSNB: Là một hoặc nhiều thiếu hụt trong KSNB kết hợp lại, mà theo xét đoán chuyên môn của KTV, là đủ nghiêm trọng để trao đổi với BQT đơn vị. Các nội dung cần trao đổi:
IV. Hệ thống KSNB trong môi trường ứng dụng công nghệ1. Hệ thống kiểm soát chung (General controls)Kiểm soát chung là những chính sách và thủ tục liên quan đến các ứng dụng và hoạt động hỗ trợ nhằm đảm bảo hệ thống thông tin hoạt động liên tục, chính xác. Hệ thống kiểm soát chung hỗ trợ các chức năng của kiểm soát ứng dụng. Hệ thống kiểm soát chung bao gồm 6 nội dung sau:
2. Hệ thống kiểm soát ứng dụng (Application controls)Kiểm soát ứng dụng là các quy trình thủ công hoặc tự động, thường hoạt động ở cấp độ quy trình nghiệp vụ cụ thể, giúp ngăn chặn hoặc phát hiện về mặt bản chất và được thiết kế để đảm bảo tính trung thực của dữ liệu kế toán. Kiểm soát ứng dụng bao gồm 3 nội dung sau:
V. Hạn chế của hệ thống KSNBHệ thống KSNB chỉ cung cấp sự đảm bảo hợp lý cho BQT bởi hệ thống này tồn tại một số hạn chế sau:
Đối với các doanh nghiệp nhỏ, hệ thống KSNB cũng có những hạn chế riêng:
Author: Mai Vu |