☝️ Theo khảo sát The IIA’s North American Pulse of Internal
Audit Survey (2021), thì #CyberSecurity (85%) và #IT (61%)
là 2 chủ đề được nhiều phòng KTNB đánh giá là có rủi ro cao
hoặc rất cao.
++ kinh nghiệm tìm hiểu chủ đề CyberSecurity và
++ 21 mẫu thủ tục kiểm toán có thể thực hiện đối với các
kiểm soát công nghệ thông tin. Các thủ tục này sẽ liên quan
nhiều đến việc tổ chức, chính sách, quy trình chứ không đi
vào các yếu tố kỹ thuật. Bố cục của mỗi ý tưởng sẽ gồm 2
phần chính: các sự kiện rủi ro, các bằng chứng kiểm toán nên
thu thập và nội dung nên kiểm tra
---
⚖ TT 8/2021/TT-BTC, Chuẩn mực 1210.A3 Năng lực chuyên môn
"Người làm công tác kiểm toán nội bộ cần có đủ kiến
thức về các rủi ro và kiểm soát chính liên quan đến công
nghệ thông tin cũng như các kỹ thuật kiểm toán sử dụng
công nghệ thông tin để thực hiện công việc được
giao..."
---
kinh nghiệm tìm hiểu chủ đề CyberSecurity (kết quả:
TryHackMe - in the top 1%, CompTIA PenTest+, eJPT - eLearnSecurity Junior Penetration Tester)
1) cơ cấu tổ chức
2) kế hoạch, mục tiêu hoạt động
3) kế hoạch, lộ trình cho các công nghệ sử dụng
4) xây dựng và thực hiện KPI
5) lựa chọn và phê duyệt các dự án IT mới
6) các tiêu chuẩn dùng để quản lý các dự án IT
7) các chính sách bảo mật
8) hoạt động quản lý rủi ro của IT
9) kỹ năng và kiến thức của nhân viên IT
10) các chính sách liên quan đến dữ liệu
11) hoạt động để đảm bảo tuân thủ các quy định của pháp
luật có liên quan đến IT
12) hoạt động tiếp nhận phản hồi từ người dùng cuối
13) quản lý dịch vụ của bên thứ 3
14) việc truy cập vào hệ thống của các nhân viên thuê
ngoài
15) bản quyền phần mềm
16) truy cập từ xa vào mạng công ty qua VPN
17) quy trình xử lý sau khi nhân viên thôi việc
18) mua sắm, và quản lý các thiết bị IT
19) quản lý sự thay đổi
20) quản lý các thiết bị lưu trữ
21) và cuối cùng, theo dõi năng lực xử lý và lưu trữ của
hệ thống