Tổng quan về IT Audit

IT Audit là gì?

IT Audit (trước đây còn gọi là EDP audits – electronic data processing audits) là kiểm tra và đánh giá hạ tầng (infastructure), chính sách (policies), hoạt động (operations) về mặt công nghệ thông tin của một tổ chức hay doanh nghiệp.

IT Audit xác định liệu các kiểm soát CNTT (IT controls) hiện tại có đủ để bảo vệ tài sản của doanh nghiệp hay không? Có đảm bảo tính toàn vẹn dữ liệu? Có đảm bảo tính liên kết với các mục tiêu chung của doanh nghiệp hay không?

Việc kiểm tra không chỉ là kiểm tra về mặt vật lý (physical), mà còn kiểm tra về mặt tài chính (financial), kinh doanh (business) liên quan đến hệ thống công nghệ thông tin.

Bởi vì hoạt động của doanh nghiệp ngày nay đều được số hóa/vi tính hóa, nên IT audit cũng cần tập trung vào việc kiểm soát thông tin/dữ liệu và quy trình xử lý thông tin/dữ liệu có đảm bảo hay không?

Các đối tượng chính của IT audit tập trung vào là:

  • Đánh giá hệ thống thông tin, hệ thống máy tính (computer system) và các quy trình xử lý (processes) liên quan.
  • Xác định rủi ro đối với tài sản thông tin của tổ chức, doanh nghiệp. Từ đó, đề ra các giải pháp để giảm thiểu rủi ro.
  • Đảm bảo các quy trình quản lý thông tin tuân thủ luật pháp, chính sách và tiêu chuẩn cụ thể về CNTT.
  • Xác định sự không hiệu quả của các hệ thống CNTT hiện có, cũng như việc quản lý chúng.

Các vấn đề khách sạn thường được Audit

Khách sạn cũng là doanh nghiệp, nhưng là một doanh nghiệp đặc thù vì có thanh toán điện tử và lưu trữ nhiều thông tin khách hàng. Do đó, đối tượng audit của khách sạn cũng khắt khe hơn. Tôi xin liệt kê một số danh mục chính:

  • Kiểm soát vật lý về mặt an ninh, an toàn
  • Kiểm soát bảo vệ dữ liệu
  • Bảo mật dữ liệu
  • Mạng máy tính
  • Tuân thủ các yêu cầu PCI
  • Hệ thống máy chủ và máy trạm
  • Bản quyền phần mềm, vòng đời thiết bị
  • Hiệu quả hoạt động

Trong từng danh mục chính này, có thể có tới hàng chục, hàng trăm vấn đề cần được mổ xẻ, làm rõ.

Kết luận

Thông thường các doanh nghiệp lớn sẽ tự xây dựng quy trình và đội ngũ cho IT Audit, hoặc thuê đối tác thứ ba tin cậy như các công ty kiểm toán Big4 (Deloitte, Ernst and Young, KPMG, PricewaterhouseCoopers).

Đối với các doanh nghiệp Việt Nam, dường như IT Audit còn khá mới mẻ và ít được chú trọng. Nhưng với sự hội nhập sâu rộng, các vấn đề về an ninh bảo mật ngày càng được nhắc tới nhiều hơn, cùng với đó là các chương trình số hóa, chuyển đổi số đang diễn ra mạnh mẽ, thì IT audit sẽ sớm tìm được chỗ đứng của mình.

Leave a Comment