Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online
.
Cảm nhận của học viên về khoá học CIA với Team #LongNguyenCIA
.#1 IT AUDIT THÌ LÀM GÌ? | LEARN WITH LONG | LongNguyenCIA
.
Đây là Bài viết đầu tiên trong chuỗi bài viết "Tự học cùng Long"
* mục đích của chuỗi bài viết này là để chia sẻ với các bạn những gì mình đã và đang tìm hiểu để phục vụ cho nghề kiểm toán nội bộ,
* chủ đề hôm nay là: "IT audit thì làm gì?"
-----
IT audit tạm dịch Tiếng Việt là Kiểm toán công nghệ
Trước tiên, IT audit là audit -- nên cũng cần phải
* đáp ứng những tiêu chuẩn cơ bản của nghề kiểm toán như độc lập, khách quan
* thực hiện các nhiệm vụ cơ bản của nghề kiểm toán như đảm bảo, tư vấn
* và cách tiếp cận cũng đi từ mục tiêu - rủi ro - kiểm soát đến kiểm toán
IT Audit cũng có những hội nghề nghiệp và một trong số đó là I-SA-CA với chứng chỉ CISA - Certified Information Systems Auditor rất nổi tiếng
Tương tự như các mảng kiểm toán khác, IT Audit cũng có các chuẩn mực và hướng dẫn hành nghề, như ITAF -
với bố cục rất quen thuộc
1) Chuẩn mực chung
1) Chuẩn mực hoạt động
3) Chuẩn mực báo cáo
Bạn có thể tìm thấy ITAF trên trang web của I-SA-CA, được cung cấp hoàn toàn miễn phí
-----
Tiếp theo, đối tượng của IT audit là IT, là công nghệ, hệ thống thông tin, hệ thống máy tính, và những thứ giống vậy
* chứ không phải là kiểm toán tuân thủ, kiểm toán báo cáo tài chính, hay kiểm toán hoạt động của doanh nghiệp
Tuy nhiên, vào thời điểm này, khi mà hầu hết hoạt động ở các doanh nghiệp đều có sử dụng máy tính, hầu hết thông tin đều có một bản sao trên các ổ đĩa, và máy tính thường có nối mạng, thì
1) Thông tin được cập nhật nhanh và chính xác sẽ giúp hoạt động của doanh nghiệp sẽ hữu hiệu và hiệu quả hơn
2) Một hệ thống thông tin đáng tin cậy sẽ cung cấp các báo cáo đang tin cậy
3) Các hệ thống giám sát tốt sẽ giúp việc tuân thủ các quy định dễ dàng hơn
Do đó, IT audit không thể xem như là một phần tách rời -- khỏi các cuộc kiểm toán khác của kiểm toán nội bộ
-----
Về hình thức thì, tạm thời có thể chia IT audit thành 3 nhóm
1) Nhóm thứ nhất, kiểm toán các ứng dụng được sử dụng bởi người dùng cuối như email, hay cả ERP
Yêu cầu có kiến thức về các quy trình hoạt động, về kế toán, đồng thời hiểu về các hệ thống ứng dụng - application systems. Không bắt buộc phải là dân kỹ thuật mới có thể tham gia nhóm này
Mục tiêu của nhóm này thường là cung cấp sự đảm bảo về các vấn đề liên quan đến
- Phân quyền truy cập vào ứng dụng
- Quản lý những thay đổi trên ứng dụng
- Tính toàn vẹn và chính xác của dữ liệu
- Và một số vấn đề khác nữa liên quan đến các ứng dung
Những mục tiêu này giống với IT General Control và Application Control trong chương trình của CIA
2) Nhóm thứ hai, phân tích dữ liệu
Yêu cầu có kiến thức về dữ liệu và kiểm toán để có thể lấy dữ liệu từ hệ thống và phân tích, phục vụ cho mục đích kiểm toán
Nhóm này có thể phát triển các ứng dụng phân tích, hoặc giám sát liên tục, ý tưởng cũng giống như các Audit Tool mà Long đã giới thiệu ở chuỗi Video trước. Và nếu làm tốt, thay vì phải chọn mẫu như truyền thống thì việc kiểm toán có thể thực hiện trên 100% dữ liệu một cách nhanh chóng.
Mình đã thử làm việc này, và thấy rằng sẽ cần khá nhiều thời gian để tìm hiểu cái gì đang được lưu ở đâu và nó có ý nghĩa là gì trước khi bạn có thể bắt đầu lấy dữ liệu và phân tích để tìm ra thứ gì đó thực sự có ý nghĩa
3) Nhóm thứ ba, kiểm toán công nghệ chuyên sâu - in-depth technical auditors
Yêu cầu có kiến thức về những công nghệ đằng sau của các hệ thống ứng dụng, phần lớn là dân kỹ thuật
Mục tiêu của nhóm này thường là cung cấp sự đảm bảo về vấn đề an toàn của
- Databases - Cơ sở dữ liệu
- Operating systems - Hệ điều hành
- Networks - Hệ thống mạng
- Data Center - Các trung tâm dữ liệu
Họ có thể hỗ trợ nhóm kiểm toán ứng dụng trong một số tình huống nhưng sẽ cần bổ sung thêm kiến thức về quy trình, kế toán và phương pháp kiểm toán
Theo quan điểm của mình, các nhóm sẽ có những ưu và nhược điểm riêng, nên sẽ rất tốt nếu phòng IT Audit của bạn có cả 3 nhóm này, khi đó mức độ đảm bảo của phòng kiểm toán đối với các rủi ro về IT sẽ tốt hơn
-----
Vừa rồi là sơ lược những gì mình biết về công việc của IT audit, hiện nay nhiều phòng kiểm toán đã bắt đầu tích hợp hoạt động IT audit vào kế hoạch làm việc của mình, hy vọng có thể giúp các bạn vừa nhận nhiệm vụ IT audit có thêm một nguồn để tham khảo về những gì mình có thể đóng góp cho công ty.
Bài viết sau mình sẽ chia sẻ kinh nghiệm của mình về CISA - Certified Information Systems Auditor, một chứng chỉ nghề nghiệp của IT audit khá nổi tiếng
----- 🔎 Tham khảo: IT Auditing -- Chris Davis 🔎
-----
.
.
.
-----------------------------------------------------------------------
Like & Share bài viết cho bạn bè của bạn,
.
Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online:
.
Giới thiệu về Team #LongNguyenCIA
1) Hoàn thành CIA trong 10 tháng : http://bit.ly/getCIAin10months
2) Hoàn thành CISA (663/800 điểm) trong 6 tháng : http://bit.ly/getCISAin6months
.
Cảm nhận của học viên về khoá học CIA với Team #LongNguyenCIA
.
CIA Vietnam Community: https://www.facebook.com/groups/cia.vietnam hy vọng có thể cùng nhau chia sẻ chuyện nghề, chuyện học kiểm toán nội bộ,
-----------------------------------------------------------------------
