GÓC NHÌN TOÀN CẦU VÀ KIẾN THỨC NGÀNH Các rủi ro hàng đầu mà Trưởng Kiểm toán Nội bộ đối mặt trong năm 2018
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
GÓC NHÌN TOÀN CẦU VÀ KIẾN THỨC NGÀNH
Các rủi ro hàng đầu mà Trưởng Kiểm toán Nội bộ đối mặt trong năm 2018
Góc nhìn toàn cầu và sự thấu hiểu
globaliia.org
Ban cố vấn Nur Hayati Baharuddin, CIA, CCSA, CFSA, CGAP, CRMA – Hội viên IIA–Malaysia Lesedi Lesetedi, CIA, QIAL – Liên Hội Châu Phi IIA Hans Nieuwlands, CIA, CCSA, CGAP – IIA–Hà Lan Karem Obeid, CIA, CCSA, CRMA – Hội viên IIA–Tiểu Vương quốc Ả Rập Thống nhất Carolyn Saint, CIA, CRMA, CPA – IIA–Bắc Châu Mỹ Ana Cristina Zambrano Preciado, CIA, CCSA, CRMA – IIA–Colombia
Các số trước đây Để đọc các số ấn phẩm trước đây của Góc nhìn toàn cầu và kiến thức ngành, hãy truy cập trang web www.theiia.org/GPI.
Phản hồi của bạn đọc Hãy gửi câu hỏi hoặc lời bình luận về địa chỉ thư điện tử [email protected].
Mục lục
Giới thiệu .......................................................................................... 1
Quản lý nguồn lực ............................................................................. 1
Phân tích dữ liệu ............................................................................... 4
Mạng ................................................................................................. 7
Quy định pháp luật ............................................................................ 9
Tiền kỹ thuật số ................................................................................. 9
Quy định bảo vệ dữ liệu toàn cầu .................................................... 10
Ứng phó với sự thay đổi .................................................................. 14
Kết luận ........................................................................................... 17
Góc nhìn toàn cầu và sự thấu hiểu
globaliia.org 1
Giới thiệu Năm 2018 - một năm mới cùng với các luật lệ, quy định, ý kiến, ý tưởng, công nghệ và rủi ro mới. Môi trường kinh doanh ngày nay đã trở nên khác biệt đáng kể so với trước đây: môi trường phức tạp hơn và kết nối nhiều hơn. Các tổ chức phải đối mặt với các rủi ro mới và khó đoán, tuy nhiên cũng có các cơ hội mới chưa được khai thác. Trước mắt trong năm cần cân nhắc các cơ hội mới và các thách thức và rủi ro tiềm năng - một số các cơ hội, thách thức và rủi ro đó đã được dự đoán và một số khác chỉ mới xuất hiện trong năm 2018 - các kế hoạch kiểm toán cần được xây dựng sao cho có thể thích ứng được với các sự kiện thay đổi xảy ra, bao gồm cả những sự kiện có tính đột phá. Đứng trên phương diện toàn bộ tổ chức, kiểm toán nội bộ giúp tổ chức hoàn thành các mục tiêu bằng cách đưa ra cách tiếp cận có hệ thống, có nguyên tắc để đánh giá và cải tiến hiệu lực các quy trình quản lý rủi ro, kiểm soát và quản trị. Các cơ quan quản lý và ủy ban kiểm toán mong muốn và cần sự đảm bảo rằng các nỗ lực quản lý rủi ro là đủ để giải quyết các nguy cơ từ các đối thủ cạnh tranh đáng gờm, công nghệ đang phát triển, các xu hướng thị trường đang thay đổi và việc phát triển các quy định pháp luật (tham khảo Các xu hướng kiểm toán nội bộ trong tương lai: Các xu hướng mới nổi và các khu vực trọng tâm bị tác động cao). Trong khi nhu cầu kiểm toán nội bộ đòi hỏi phải mang lại nhiều giá trị gia tăng và hỗ trợ mang tính chiến lược cho tất cả các lĩnh vực, kiểm toán viên cần đảm bảo rằng hoạt động của họ được định hướng dựa trên các rủi ro trọng yếu, đặc biệt là rủi ro chiến lược và rủi ro hoạt động. Kiểm toán nội bộ phải ứng phó và thích nghi với môi trường rủi ro không ngừng thay đổi. Một khi các rủi ro thay đổi, các kế hoạch kiểm toán, ngay cả khi đã được chuẩn bị tốt nhất, cũng cần phải thay đổi linh hoạt để phù hợp với các rủi ro mới phát sinh ở mọi cấp độ của tổ chức. Ấn phẩm này thảo luận về năm rủi ro hàng đầu (đối với kiểm toán nội bộ hoặc tổ chức) mà Trưởng Kiểm toán Nội bộ (KTNB) sẽ phải đối mặt theo như Hiệp hội Kiểm toán Nội bộ Quốc tế (IIA). Các rủi ro này là: quản lý nguồn lực, phân tích dữ liệu, mạng, quy định pháp luật và ứng phó với sự thay đổi.
Quản lý nguồn lực Quản lý nguồn lực luôn là mối quan tâm hàng đầu của Trưởng KTNB và các chuyên viên kiểm toán nội bộ. Trong vài năm qua, Trưởng KTNB luôn gặp khó khăn trong việc tìm kiếm các ứng cử viên có kỹ năng cần thiết để đáp ứng nhu cầu về nguồn nhân lực và để giải quyết các rủi ro mới/đang tồn tại. Tuy nhiên số lượng ứng viên với kỹ năng cần thiết để đáp ứng nhu cầu phát triển của kiểm toán nội bộ là rất hạn chế. Ngoài ra, còn có sự thách thức trong việc định hướng môi trường làm việc để phù hợp với các đặc điểm của lực lượng lao động trẻ, một lực lượng đòi hỏi sự hỗ trợ và ghi nhận nhiều hơn, đồng thời có định hướng môi trường làm việc độc lập và linh hoạt hơn (tham khảo 4 Các chiến lược để thu hẹp khoảng cách tài năng kiểm toán nội bộ). Trong năm 2015, việc thu hút và giữ chân nhân sự vẫn là một ưu tiên cao hoặc quan trọng đối với hơn 40% những người trả lời cuộc khảo sát toàn cầu của IIA, với hơn một nửa số người được hỏi đã bổ sung thêm về khoảng cách kiến thức cho nhóm có giới hạn gồm các kiểm toán viên có kỹ năng. Một lần nữa trong năm 2017, theo kết quả khảo sát của Trung tâm điều hành kiểm toán của IIA (AEC®), đa số (79%) của gần 200
Góc nhìn toàn cầu và sự thấu hiểu
2 globaliia.org
“Nếu kiểm toán nội bộ được chuẩn bị sẵn sàng cho tương lai, một trong năm điểm quan trọng cần phải thực hiện là thích ứng linh hoạt (agile). Chúng ta phải đủ linh hoạt để nhận ra và giải quyết những rủi ro mới xuất hiện và để đánh giá rủi ro một cách liên tục, sau đó điều chỉnh phạm vi kiểm toán cho phù hợp. Và, chúng ta phải đủ linh hoạt để nhận ra những khoảng trống trong khả năng của chúng ta và lấp đầy lại một cách nhanh chóng. Thành công trong tương lai sẽ đến với các bộ phận kiểm toán nội bộ có chiến lược quản lý nguồn lực năng động.”
Richard Chambers,
Chủ tịch và TGĐ IIA
Trưởng KTNB đã nhận định rằng quản lý nguồn lực là rủi ro hàng đầu cực kỳ/ rất quan trọng đối với nghề kiểm toán nội bộ. Theo KPMG, nguồn lực - hoặc việc thiếu hụt nguồn lực - được hội đồng quản trị coi như là một rủi ro doanh nghiệp. Khi các tổ chức càng phát triển ở mức độ toàn cầu hóa, lực lượng lao động ngày càng phát triển, đó là lý do tại sao việc quản lý nguồn lực trở nên rất quan trọng. Tác động và ảnh hưởng tiềm tàng của sự thiếu hụt nguồn lực toàn cầu là không duy trì được kỹ năng lãnh đạo, vì thiếu hụt nguồn lực lãnh đạo tốt trong tương lai, và chiến lược kinh doanh bị hoài nghi do nhân sự không đủ năng lực đảm nhiệm các vị trí quan trọng. Các tổ chức nhận thấy rằng họ gặp khó khăn trong việc đào tạo các thế hệ mới hoặc giữ chân các nhân tài hàng đầu, gây tổn thất về vốn tri thức và lợi thế cạnh tranh. Hơn nữa, tình trạng già hóa dân số không ngừng gia tăng cũng gây nên sự khan hiếm nguồn lực (tham khảo Các câu hỏi đặt ra cho Hội đồng quản trị: Quản lý nguồn lực... hoặc rủi ro nguồn lực?)
Như để tăng thêm tính nghiêm trọng của tình hình, do có sự xuất hiện các rủi ro mới – vd: phân tích dữ liệu, quản lý bên thứ ba, an ninh mạng, tính bền vững và các bất ổn chính trị và bất ổn khác - các tổ chức hiện nay đặt nhiều kỳ vọng hơn vào kiểm toán viên nội bộ. Hiện tại, trọng tâm kiểm toán nội bộ không chỉ giới hạn trong phạm vi các chỉ tiêu tài chính truyền thống và tuân thủ.
Kiểm toán nội bộ không phải là quản lý nguồn lực mà là đánh giá việc quản lý đó góp phần giảm thiểu rủi ro như thế nào. Các tổ chức hiện nay đang cần và mong đợi các kiểm toán viên nội bộ có cách tiếp cận toàn diện hơn, bao gồm việc giám sát rủi ro toàn diện và phải tạo ra giá trị. Do đó, việc tìm kiếm những kiểm toán viên nội bộ có năng lực, kỹ năng đã trở nên rất cạnh tranh.
Nếu không có đầy đủ các kỹ năng cần thiết, kiểm toán nội bộ dễ mắc phải việc xem xét qua loa, hoặc không kiểm toán đầy đủ, các rủi ro riêng biệt và rủi ro mới, như công nghệ, địa-chính trị, kinh tế, chế độ báo cáo doanh nghiệp, văn hóa và các quy định pháp luật trong nước và toàn cầu. Theo Hiệp hội quản lý nguồn nhân lực (SHRM), khả năng phát triển của kiểm toán nội bộ vượt lên các yếu tố tài chính truyền thống, điều hành và kỹ năng CNTT và tập trung vào một bức tranh lớn hơn là rất quan trọng.
Để phục vụ tổ chức một cách hiệu quả, chức năng kiểm toán nội bộ cần được chuẩn bị tốt về các phương diện như: năng lực được phát triển một cách thấu đáo và hoạt động dựa trên sự hiểu biết sâu sắc về Hồ sơ rủi ro của tổ chức. Việc chuẩn bị đó cũng mang lại khả năng tư duy phản biện tốt và sự nhạy bén kinh doanh tích cực, kết hợp với kiến thức chuyên môn trong các khu vực cụ thể hoặc với kiến thức chuyên ngành. Các rủi ro mới, rủi ro phi truyền thống sẽ ảnh hưởng đến danh mục các đơn vị/ nội dung có thể kiểm toán; do đó, kiểm toán nội bộ phải nắm được và không ngừng mở rộng, đào sâu thêm về kiến thức của mình.
Điều bắt buộc là Trưởng KTNB phải lãnh đạo các kiểm toán viên hướng về việc mở rộng kinh nghiệm và kỹ năng của họ và cân nhắc “điều bình thường mới” của các rủi ro khi đánh giá và thực hiện các kế hoạch kiểm toán. Hãy làm cho việc đào tạo kiểm toán truyền thống không có sai sót, trở nên có liên quan và sẽ luôn giữ sự liên quan; nhưng việc đào tạo và cọ xát liên tục, khả năng thích ứng, các kỹ năng mềm tốt và kiến thức về quy trình và hoạt động là điều cần thiết để định hướng trong thế giới kinh doanh mới.
Góc nhìn toàn cầu và sự thấu hiểu
globaliia.org 3
Khả năng quản lý nguồn lực là việc sống còn đối với sự thành công của kiểm toán nội bộ và có thể mang lại lợi ích lâu dài - ngoài việc lấp đầy sự thiếu hụt nhân sự trong từng giai đoạn. Để tối ưu hóa các nỗ lực quản lý nguồn lực, Trưởng KTNB và ban quản lý cấp cao nên phát triển các phương pháp tiếp cận thấu đáo và được xây dựng tốt để thúc đẩy tái cơ cấu và tăng cường lực lượng lao động của họ. Để có hiệu lực và để xây dựng, sẵn sàng giao kết và duy trì hoạt động kiểm toán nội bộ tốt nhất có thể khi đối mặt với các rủi ro mới, Trưởng KTNB phải triển khai các chiến lược bao gồm thang đo các yêu cầu cần phải có của các nhân sự hiện tại, các nhu cầu cần đào tạo thêm cho các nhân sự hiện tại và cũng quan trọng không kém là sự hỗ trợ từ phía lãnh đạo để nhân viên phát triển và tiếp tục sự nghiệp của họ. Chiến lược quản lý nguồn lực có hoàn hảo hay không phụ thuộc vào sự kết hợp của các phương pháp tiếp cận khác nhau. Trưởng KTNB sẽ không thể tránh được việc thiếu hụt nhân sự. Có sự thiếu hụt nguồn nhân lực có kỹ năng cần thiết để giải quyết các rủi ro trong tương lai - bao gồm những kỹ năng về khoa học dữ liệu, tư duy sáng tạo, tư duy phân tích/ phản biện, giao tiếp và các kỹ năng khác. Một chiến lược hiệu quả bao gồm sự hiểu biết các kỹ năng và thuộc tính nào là cần thiết và các nỗ lực liên tục để tuyển dụng, phát triển và duy trì những nhân sự hàng đầu.
Mục tiêu Năng lực cần thiết của kiểm toán nội bộ được định hướng bởi rủi
ro nằm trong phạm vi công việc của kiểm toán nội bộ.
Trưởng KTNB, ủy ban kiểm toán và ban điều hành phải hiểu biết rõ về các kỹ năng cần thiết nhằm hỗ trợ tổ chức thực hiện các mục tiêu đề ra và nắm được tổng chi phí của các nhân viên kiểm toán nội bộ.
Kiểm toán nội bộ phải triển khai quy trình quản lý hiệu quả hoạt động một cách nhất quán.
Các lãnh đạo kiểm toán nội bộ có khả năng đào tạo, hướng dẫn và làm việc với các thế hệ mới hoặc những người chưa quen với môi trường kiểm toán nội bộ chuyên nghiệp.
Xây dựng một kế hoạch phát triển sự nghiệp rõ ràng cho các kiểm toán viên nội bộ.
Xây dựng chương trình huấn luyện nhân viên mới và liên tục đào tạo cho nhân viên về văn hóa doanh nghiệp, khẩu vị rủi ro và định hướng chiến lược của tổ chức.
Hành động Rà soát việc đánh giá rủi ro và lập kế hoạch kiểm toán và xác
định các kỹ năng cần thiết để thực hiện kế hoạch đề ra. Thực hiện phân tích sự khác biệt giữa các kỹ năng hiện tại và các kỹ năng cần phải có và triển khai một chiến lược để giảm thiểu sự khác biệt đó.
Cấu trúc hoặc tái cấu trúc việc rà soát hiệu quả hoạt động của kiểm toán nội bộ, bao gồm các năng lực cụ thể, các mục tiêu có thể hành động phù hợp với kế hoạch chiến lược của tổ chức và các cơ cấu tiền lương cho các chuyên gia đặc biệt như nhà phân tích dữ liệu.
Hướng dẫn và phát triển các kỹ năng trong đội ngũ nhân sự hiện tại, nhằm đáp ứng các yêu cầu về kỹ năng mới.
Tiêu điểm Kiểm toán Chuẩn mực IIA 1210 - Thành thạo Chuyên môn Kiểm toán viên nội bộ phải có kiến thức, kỹ năng và năng lực chuyên môn khác cần thiết để thực hiện trách nhiệm của mình. Bộ phận kiểm toán nội bộ, về mặt tổng thể, phải có hoặc huy động được kiến thức, kỹ năng và năng lực chuyên môn cần thiết khác để thực hiện các trách nhiệm của cả bộ phận. Chuẩn mực IIA 1230 - Bồi dưỡng chuyên môn liên tục Kiểm toán viên nội bộ phải nâng cao kiến thức, kỹ năng và các năng lực chuyên môn khác bằng cách liên tục bồi dưỡng chuyên môn.
Góc nhìn toàn cầu và sự thấu hiểu
4 globaliia.org
Trọng tâm Kiểm toán Chuẩn mực IIA 1220 - Thận trọng nghề nghiệp Kiểm toán viên nội bộ phải thực hiện công việc với sự thận trọng và kỹ năng chuyên môn cần thiết của một kiểm toán viên nội bộ có năng lực và sự cẩn trọng phù hợp. Nhưng sự thận trọng nghề nghiệp không hàm ý là không thể có những sai sót.
1220.A2 - Khi thể hiện tính thận trọng nghề nghiệp, kiểm toán viên nội bộ cần phải xem xét áp dụng các kỹ thuật phân tích dữ liệu cũng như kỹ thuật kiểm toán sử dụng công nghệ thông tin.
Liên tục tìm kiếm những nhân sự mới trên thị trường. Tìm kiếm các ứng cử viên có các nền tảng chuyên môn khác nhau, không chỉ tập trung vào những người có bằng cấp tài chính và kế toán. Cân nhắc các bên thứ ba cung cấp dịch vụ như là một nguồn lực để nhanh chóng có được các kỹ năng cần thiết để giải quyết các rủi ro phức tạp và chuyên môn hóa.
Thiết lập chương trình đào tạo cho nhân viên mới và chương trình chuyển giao kiến thức.
Phân tích dữ liệu Phân tích dữ liệu là quy trình thu thập và phân tích dữ liệu, sau đó sử dụng các kết quả để đưa ra các quyết định tốt hơn (Tạp chí Kiểm toán Nội bộ, Ấn bản lần 4, 11-2, Quỹ Kiểm toán Nội bộ, 2017). Việc các tổ chức đang phát triển việc lưu trữ dữ liệu từ các hoạt động của họ cho thấy hai thách thức chính của kiểm toán nội bộ. Trước tiên là cách thức trợ giúp hội đồng quản trị và ban điều hành hiểu được cách thức dữ liệu đó được thu thập, quản lý, bảo vệ và giám sát như thế nào. Thứ hai là cách thức khai thác dữ liệu ngày càng tăng dưới góc nhìn của kiểm toán nội bộ trong việc áp dụng các công cụ phân tích cho các quy trình kiểm toán hiện hữu và tự động hóa các cuộc kiểm toán thường xuyên và tập trung vào các khu vực rủi ro mới (tham khảo Tiêu điểm Rủi ro: Chủ đề nóng của kiểm toán nội bộ 2018). Về cơ bản, phân tích dữ liệu giúp chia nhỏ dữ liệu và nhóm các dữ liệu lại nhằm cung cấp các thông tin có ý nghĩa và giá trị. Với thông tin đó, kiểm toán nội bộ có thể phân tích tất cả các rủi ro và mối tương quan giữa các rủi ro đó, cung cấp thông tin nội tại và xu hướng tương lai, báo cáo về các vấn đề đang được quan tâm bởi các bên liên quan. Quản lý phân tích dữ liệu và các rủi ro gắn với việc phân tích có thể là công viêc khó khăn dễ gây nản chí. Việc tìm ra được những thông tin ý nghĩa từ dữ liệu đó - và chuyển đổi thông tin thành hành động - đôi khi là chuyện nói dễ hơn làm. Để phân tích dữ liệu một cách hiệu quả, cần phải có nhân sự với đúng kỹ năng, các định dạng, quy trình và công nghệ phù hợp. Với nhiều dữ liệu hơn bao giờ hết cần xử lý ngay lập tức, ban điều hành và hội đồng quản trị phải nhìn nhận rằng khối lượng dữ liệu khổng lồ khiến cho tổ chức dễ gặp phải các rủi ro tài chính và phi tài chính liên quan đến dữ liệu. (tham khảo Nắm bắt và quản lý các rủi ro trong phân tích):
Rủi ro chất lượng dữ liệu và thông tin - Người ra quyết định cần dữ liệu để trao đổi và hiểu biết về các vấn đề phức tạp. Phải có các định nghĩa và tiêu chuẩn chất lượng rõ ràng cho tất cả dữ liệu và thông tin.
Rủi ro tuân thủ dữ liệu và thông tin - Việc không tuân thủ các yêu cầu của người được phân trách nhiệm và bên thứ ba được chỉ định (thường có quan hệ với địa phương, hoặc chính phủ) có thể dẫn đến kết quả bất lợi như hình phạt về tài chính, công việc bị chồng chéo hoặc các vi phạm pháp lý mang tính cá nhân.
Góc nhìn toàn cầu và sự thấu hiểu
globaliia.org 5
Rủi ro Quản trị Dữ liệu và Thông tin - Dữ liệu và thông tin phải được kiểm soát cẩn thận thông qua việc sử dụng các nguyên tắc và quy trình quản trị rủi ro ở các cấp độ phù hợp để đảm bảo quyền riêng tư, an ninh, chất lượng và khả năng có thể kiểm toán được.
Việc sử dụng công cụ phân tích rủi ro không phù hợp hoặc quá sớm – Việc phân tích sẽ trở nên không hữu ích khi không có thời gian để thu thập, xử lý và diễn giải dữ liệu; khi không có lịch sử hoặc tiền lệ có liên quan đến các quyết định hoặc khi dữ liệu lịch sử bị sai lệch; hoặc khi các biến số trọng yếu không thể đo lường được hoặc có cấp độ không chắc chắn cao.
Rủi ro tác động phản văn hóa – Việc áp dụng sáng kiến có tính phân tích trong văn hóa tổ chức không có định hướng dựa trên dữ liệu có thể dẫn đến rủi ro lớn cho các cấp lãnh đạo; sáng kiến có tính phân tích nên bao gồm việc đánh giá về hệ thống đưa ra quyết định và cấp độ định hướng dựa vào dữ liệu của văn hóa doanh nghiệp
Rủi ro Đạo đức Dữ liệu - Sáng kiến phân tích dữ liệu phải song hànhvới giá trị cốt lõi, việc ra quyết định và hành vi của tổ chức. Các khâu kiểm soát nên được thiết lập để đảm bảo việc thu thập và sử dụng dữ liệu phù hợp với các quy tắc đạo đức.
Kiểm toán nội bộ nên luôn ý thức được các nguy hiểm mà tổ chức có thể phải đối mặt với các dự án dữ liệu lớn, đặc biệt trong tình huống mà nhân viên thiếu một số kỹ năng. Nhu cầu phân tích dữ liệu đang gia tăng và xảy rasớm - nếu chưa sẵn sàng – phân tích dữ liệu sẽ là một phần không thể tách rời của mọi tổ chức. Trong khi điều quan trọng là tổ chức tham gia vào các dự án dữ liệu lớn để duy trì khả năng cạnh tranh và không bị tụt hậu, có những rủi ro cần được xem xét như sau:
An ninh dữ liệu.
Bảo mật dữ liệu
Chi phí.
Dữ liệu không đáng tin cậy, không hợp lệ, không đầy đủ hoặc không liên quan.
Các quy trình phân tích không đáng tin cậy, không hợp lệ, không đầy đủ hoặc không liên quan.
Công nghệ làm thay đổi thế giới chúng ta đang sống với tốc độ cực nhanh và nếu chúng ta không chuẩn bị sẵn sàng thì hậu quả thấp nhất của tốc độ thay đổi đó là sự hỗn loạn,. Công nghệ tạo ra một lượng dữ liệu lớn hơn và kiểm toán nội bộ có thể sử dụng nguồn dữ liệu đó để đánh giá rủi ro một cách toàn diện hơn, cải tiến thủ tục kiểm toán và nâng cao chất lượng của dịch vụ đảm bảo. Kết quả từ các nghiên cứu được thực hiện gần đây cho thấy lợi ích chính của việc phân tích dữ liệu đối với kiểm toán nội bộ bao gồm nâng cao hiệu quả , cải tiến dịch vụ đảm bảo, tập trung hơn vào các rủi ro chiến lược, tầm bao quát kiểm toán lớn hơn và tiết kiệm đáng kể về thời gian và tiền bạc trong dài hạn. Tuy nhiên, để đạt được các lợi ích này, kiểm toán nội bộ phải đánh giá xem chương trình phân tích dữ liệu đã thực hiện được mục tiêu trọng yếu và các hoạt động mong muốn của kiểm toán nội bộ như thế nào. Phân tích dữ liệu có vai trò sống còn đối với bộ công cụ kiểm toán nội bộ, bởi vì nó có thể khai phá những thông tin quan trọng bị ẩn trong dữ liệu cũng như hỗ trợ cho việc thử nghiệm được hiệu quả hơn. Nhiều nhóm kiểm toán nội bộ chưa áp dụng các công nghệ phân tích dữ liệu hiện đại hơn ;
Góc nhìn toàn cầu và sự thấu hiểu
6 globaliia.org
họ vẫn chủ yếu dựa vào các công cụ và ứng dụng dựa trên bảng tính. Việc ủng hộ của tiểu ban kiểm toán là rất cần thiết. Kiểm toán nội bộ nên đảm bảo tiểu ban kiểm toán được đào tạo về tầm quan trọng của phân tích dữ liệu (tham khảo Phân tích dữ liệu: Đã đến lúc bắt đầu chưa?). Để xây dựng hoặc cải tiến chương trình phân tích dữ liệu, Trưởng KTNB nên tham gia vào buổi thảo luận với các bên liên quan về các kết quả mong muốn, định nghĩa các mục tiêu phân tích và xác định các yêu cầu về mặt năng lực và công nghệ. Một trong các rào cản chính để xây dựng một chương trình phân tích dữ liệu hiệu quả - và một rủi ro bất biến đối với kiểm toán nội bộ - là không có đủ các nhân viên có kỹ năng cao để xử lý dữ liệu lớn. Do thiếu hụt trong lĩnh vực này, chương trình phân tích của kiểm toán nội bộ có thể chưa đạt được mức tối ưu – thực ra điều đó cũng không cần thiết vì tiềm năng của chương trình thường không được sử dụng hết. Như với bất kỳ sáng kiến kinh doanh mới khác, các dự án dữ liệu lớn đều liên quan đến yếu tố rủi ro. Nếu không có khả năng quản lý dữ liệu lớn, yếu tố rủi ro có thể tăng cao hơn nữa.
Mục tiêu
Kiểm toán nội bộ có hiểu biết sâu sắc về phân tích dữ liệu và công nghệ, cách thức các công nghệ tiên tiến có thể nâng cao tínhhiệu quả của kiểm toán nội bộ.
Kiểm toán nội bộ đánh giá việc Ban quản lý phản ứng như thế nào với những rủi ro mới được xuất hiện từ việc mở rộng phân tích dữ liệu.
Kiểm toán nội bộ sử dụng tính năng tiên tiến của các chương trình phân tích dữ liệu để phục vụ lợi ích toàn diện của tổ chức (ví dụ: việc xác minh và giám sát các chương trình,hành vi có rủi ro cao; đánh giá và tăng tính chính xác của các quy trình đánh giá rủi ro cụ thể đối với tổ chức, v.v.).
Kiểm toán nội bộ tận dụng đòn bẩy công nghệ để nhận diện sớm các điểm bất thường, các khu vực có rủi ro gian lận và thảo luận các phát hiện trọng yếu.
Kiểm toán nội bộ tận dụng đòn bẩy công nghệ để tăng cường phạm vi bao quát các rủi ro của tổ chức với số giờ làm việc và chi phí lao động thấp hơn.
Các mục tiêu trên đã được hiệu đính một phần theo ấn phẩm: Các bước đầu tiên trong việc xây dựng một chương trình phân tích dữ liệu dành cho nhóm kiểm toán nội bộ của bạn.
Hành động
Xác định kết quả từ các phân tích có thể hỗ trợ tốt cho các mục tiêu kiểm toán nội bộ, bằng cách quyết định các nhu cầu cơ bản và cụ thể dành cho chương trình phân tích dữ liệu. Hãy xây dựng hiểu biết về các lợi ích mà các chương trình phân tích có thể đem đến cho tổ chức và kiểm toán nội bộ xét về phương diện tính cơ hội và tính đổi mới. Nhận diện các lợi ích và các kỹ năng cần thiết để thực hiện tối ưu các chương trình này .
Xem xét việc phân tích dữ liệu như một thành phần kinh doanh thiết yếu và điều chỉnh giao kết kiểm toán để đạt được phương pháp tiếp cận bền vững, chất lượng nhằm quản lý tối ưu khung tuân thủ và kiểm soát của toàn bộ tổ chức.
Góc nhìn toàn cầu và sự thấu hiểu
globaliia.org 7
Giao kết với ban quản lý trên các quy tắc, điểm dữ liệu, bộ mã và giả định cụ thể trong chương trình sẽ phát hiện chính xác các bất thường hoặc các mẫu gian lận.
Mạng Tội phạm mạng, dù là cuộc tấn công không ngừng để xâm phạm thông tin của các tổ chức hoặc việc không ngừng ăn cắp các thông tin nhận diện cá nhân của chủ tài khoản – khi được tài trợ và với mức độ tinh vi cao – thực sự là các đối thủ đáng quan tâm . Sự kết nối đã tạo ra một thế giới phức tạp và dựa trên rủi ro, tạo điều kiện tốt cho các tội phạm mạng. Các kỹ thuật mà chúng sử dụng tiếp tục được mở rộng và phát triển đến nỗi ngày càng có nhiều kỹ thuật hơn, việc truy đuổi tội phạm đã trở nên quen thuộc hơn. Việc tung ra một kế hoạch phòng vệ chống lại cuộc tấn công mạng và đảm bảo rằng kế hoạch đó có hiệu lực là một công việc liên tục không kể ngày đêm; vấn đề là không phải cuộc tấn công mạng sẽ xảy ra hay không, mà là sẽ xảy ra khi nào. Có sự khác biệt lớn giữa nhận thức rủi ro mạng và việc chuẩn bị để ứng phó với rủi ro mạng. Tất cả đều nhận thức được những rủi ro; chúng ta phải đối mặt với sự thật là cuộc tấn công mạng diễn ra hàng ngày. Tuy nhiên, sự chuẩn bị sẵn sàng, bao gồm khả năng ngăn cản một cách toàn diện cuộc tấn công với nỗ lực lớn hoặc khả năng gánh chịu cuộc tấn công và phục hồi với mức độ thiệt hại ít hoặc không có.. Đối với các tổ chức để có được sự bảo vệ nhằm chống lại thảm họa củaviệc xâm phạm, họ cần phải có khả năng phản kháng, phản ứng và khôi phục lại từ cuộc tấn công mạng – nghĩa là khả năng khôi phục mạng. Vì ngày càng có nhiều điều quan ngại liên quan đến vấn đề mạng (ví dụ: xâm nhập, lấy cắp mật khẩu, gián điệp kinh tế, v.v.), nên các bên liên quan đòi hỏi tổ chức phải có tầm nhìn rộng hơn về chương trình quản lý rủi ro an ninh mạng và hội đồng quản trị cũng muốn kiểm toán nội bộ có một cuộc kiểm tra rủi ro mạng và các chương trình mạng một cách độc lập, khách quan và toàn diện. Do đó, kiểm toán nội bộ cũng phải có kiến thức về các rủi ro có thể xảy ra và phải đóng một vai trò quan trọng trong việc xây dựng khả năng khôi phục mạng. Không may mắn là rủi ro về an ninh mạng không bị giới hạn trong các nguy cơ bên ngoài; các rủi ro tiềm tàng có thể là kết quả từ các hành động của nhân viên hoặc đối tác kinh doanh. Do đó, một yếu tố trọng yếu của khả năng phục hồi mạng là việc quản lý thỏa đáng và hiệu quả văn hóa doanh nghiệp, cũng như việc đánh giá rủi ro của tổ chức. Khi cân nhắc về vấn đề văn hóa, các hội đồng quản trị cũng xem xét văn hóa rủi ro, bởi vì nó là cơ sở của tất cả các quyết định, hành vi và việc chấp nhận rủi ro trong toàn bộ tổ chức. Kiểm toán nội bộ có thể kiểm toán rủi ro liên quan đến văn hóa bằng các cuộc kiểm toán chuẩn đánh giá hoạt động và tài chính bằng cách thu thập dữ liệu và tiến hành cuộc kiểm tra không chính thức. Với chịu trách nhiệm chính trong nhiệm này , kiểm toán nội bộ có thể củng cố sự hiểu biết của ban quản lý về tính hiệu quả của các khâu kiểm soát an ninh mạng trong tất cả khu vực, ngay cả ở cấp độ mà văn hóa tổ chức có tác động đến các yêu cầu, quy trình và năng lực. Văn hóa thúc đẩy năng suất, các giá trị, thái độ và việc thực hiện trong tổ chức đồng thời được định hình và duy trì bởi nhiều yếu tố khác nhau; do đó, kiểm toán nội bộ có thể đánh giá văn hóa đối với rủi ro với cách thức giống như các khu vực khác của tổ chức (tham khảo Xu hướng tương lai của kiểm toán nội bộ). Kiểm toán nội bộ có thể tối đa hóa giá trị của mình bằng cách hiểu được
Góc nhìn toàn cầu và sự thấu hiểu
globaliia.org 8
phương thức đánh giá văn hóa và truyền đạt đến ban quản lý tầm quan trọng của văn hóa tổ chức.
Góc nhìn toàn cầu và sự thấu hiểu
9 globaliia.org
“Các thành viên hội đồng quản trị không cần phải là các chuyên gia công nghệ để giám sát rủi ro mạng một cách hiệu quả - nhưng mỗi hội đồng quản trị có thể tận dụng cơ hội để cải tiến hiệu quả của việc thực hành giám sát mạng.”
Sổ tay thành viên hội đồng quản trị về Giám sát rủi ro an ninh mạng của Hiệp hội quốc
gia các thành viên hội đồng công ty (NACD), 2017
Nguồn: Giá trị của tầm nhìn: Kiểm tra quản lý rủi ro an
ninh mạng
Để kiểm soát các rủi ro liên quan đến mạng, bao gồm cả yếu tố văn hóa, điều thiết yếu là ban lãnh đạo phải triển khai các biện pháp phòng ngừa, kết hợp các biện pháp đó cùng với các chương trình đào tạo về nhận thức và sau đó đảm bảo rằngcác hoạt động này được thực hiện liên tục trong doanh nghiệp. Vì vậy, nhân viên, nhà cung cấp, đối tác và nhà thầu đều phải được đào tạo như nhau để có thể hiểu chính xác những gì được mong đợi từ họ về các biện pháp và các giao thức an ninh mạng. Các chiến lược đánh giá rủi ro của kiểm toán nội bộ cần được triển khai để hướng đến tất cả rủi ro liên quan đến an ninh mạng đồng thời đảm bảo tuân thủ các chính sách và các khâu kiểm soát nội bộ. Kiểm toán nội bộ cần phát triển một phương pháp kiểm toán tăng cường để đáp ứng các nhu cầu của tổ chức và các bên liên quan trong tất cả các khu vực mà các vấn đề về mạng có thể tác động đến. Để đạt đươc hiệu quả,đòi hỏi phải cài đặt - ở mức tối thiểu - các hoạt động kiểm soát, một môi trường kiểm soát, đánh giá rủi ro, truyền thông và giám sát, cũng như một khung đánh giá các biện pháp an ninh mạng (tham khảo Tiêu điểm Rủi ro: Chủ đề nóng dành cho kiểm toán nội bộ 2018). Là tuyến phòng vệ thứ ba, kiểm toán nội bộ nên làm việc với ban điều hành và hội đồng quản trị khi họ triển khai các chiến lược và chính sách an ninh mạng để cải tiến khả năng tổ chức có thể nhận diện và làm giảm thiểu các rủi ro an ninh mạng; tận dụng đòn bẩy từ các mối quan hệ với tiểu ban kiểm toán và hội đồng quản trị, đảm bảo rằng họ giữ vững cam kết; và đảm bảo rằng rủi ro an ninh mạng được tích hợp chính thức trong kế hoạch kiểm toán, với các kỹ năng cần thiết (kỹ năng có sẵn trong nội bộ hoặc từ nguồn hỗ trợ bên ngoài) để thực hiện kế hoạch. Các công nghệ và xu hướng mới nổi có tác động đến hồ sơ rủi ro an ninh mạng của tổ chức; do đó, kiểm toán nội bộ cũng phải cập nhật với các công nghệ hiện đại mới đồng thời đánh giá khả năng bị tác độngcủa tổ chức và các hoạt động rủi ro đối với kế hoạch an ninh mạng mà tổ chức đang hướng tới
Mục tiêu
Tổ chức có nền văn hóa hướng đến việc duy trì không gian mạng.
Kiểm toán nội bộ đóng góp các nhân tố thiết yếu vào việc kiểm tra và chuẩn bị liên quan đến an ninh mạng: o Bảo vệ và phát hiện: Kiểm toán nội bộ cung cấp một cách tiếp
cận toàn diện để nhận diện được nơi mà tổ chức dễ bị tác động đồng thời kết hợp phân tích dữ liệu trong khu vực trách nhiệm của họ và sẽ giúp báo động những điểm sai sót được phát hiện
o Kinh doanh liên tục: Kiểm toán nội bộ đưa ra những tư vấn, giao kết cùng với ban quản lý khi họ có kế hoạch đối phó và vượt qua các tình huống rủi ro có thể tác động đến việc hoạt động liên tục của tổ chức, bao gồm tấn công mạng, thiên tai hoặc hoặc các rủi ro có thể xảy ra sau đó.
o Quản lý khủng hoảng/truyền thông: Kiểm toán nội bộ hỗ trợ việc lập kế hoạch quản lý khủng hoảng và truyền thông bằng việc chuẩn bị sẵn sàng các cuộc kiểm tra để đảm bảo tính hiệu quả và kịp thời của kế hoạch, thực hiện các phân tích và đưa ra các nhận xét về kế hoạch đã thực thi.
o Cải tiến liên tục: Kiểm toán nội bộ có thể mang đến các giá trị khác bằng cách cung cấp thông tin và giúp cải tiến các chiến
Góc nhìn toàn cầu và sự thấu hiểu
10 globaliia.org
lược cũng như các giao thức được chuẩn bị tốt để ứng phó với tấn công mạng.
Góc nhìn toàn cầu và sự thấu hiểu
11 globaliia.org
Hành động Đánh giá văn hóa doanh nghiệp về khả năng duy trì không gian
mạng. Thực hiện đánh giá rủi ro của các mô hình an ninh, quy trình an
ninh mạng và đề xuất các khuyến nghị để cải tiến. Thực hiện kiểm tra thâm nhập dữ liệu CNTT và các nhà thầu là
bên thứ ba để đánh giá khả năng tuân thủ với các giao thức đã được thiết lập của bên thứ ba.
Tiến hành phân tích khoảng cách về khả năng duy trì không quan mạng, khuyến nghị việc khắc phục và theo dõi các hoạt động khắc phục.
Tác động đến văn hóa doanh nghiệp bằng cách nhấn mạnh việc giám sát an ninh mạng và các ứng phó là ưu tiên hàng đầu.
Đảm bảo rằng kế hoạch kinh doanh liên tục được thử nghiệm định kỳ và hành động khắc phục được thực hiện đối với bất kỳ sự thiếu sót nào đã được nhận diện.
Triển khai và khuyến khích mạnh mẽ nền văn hóa mạng và văn hóa rủi ro trong toàn bộ tổ chức mà nền văn hóa đó, theo thời gian, sẽ tác động và làm gia tăng các biện pháp và giao thức an ninh mạng.
Quy định pháp luật Trên phạm vi toàn cầu, các tổ chức phải đối mặt với các yêu cầu đưa ra quy định mới hoặc sửa đổi các quy định cũ, điều này được thiết lập một phần để bảo vệ người tiêu dùng hoặc lợi ích công. Các quy định có tầm chi phối cao nhất tập trung vào những nhân tố tác động đến tổ chức xuyên suốt trong tất cả các lĩnh vực như các rủi ro và kiểm soát tài chính, tính bảo mật và an ninh dữ liệu .
Tiền kỹ thuật số Theo CNBC, tiền kỹ thuật số có thể vượt qua mốc nghìn tỷ đô la về mặt giá trị, theo sau một đợt bán tháo mạnh mẽ gần đây của toàn bộ các đồng tiền kỹ thuật số. Giá trị bitcoin rất dễ bốc hơi: Đầu năm 2018, giá trị đó dao động từ 6.000 đến 10.000 đô-la/đơn vị. Thomas Glucksmann, Trưởng bộ phận Phát triển Kinh doanh Châu Á Thái Bình Dương tại sàn giao dịch tiền kỹ thuật số Gatecoin chia sẻ: “Việc tăng cường nhận thức về mặt pháp luật đối với việc trao đổi tiền kỹ thuật số, đầu vào của nguồn vốn tổ chức và phát triển công nghệ , sẽ góp phần làm phục hồi thị trường và đẩy giá tiền kỹ thuật số vượt qua tất cả các mức giá cao mới trong năm nay. Không có lý do gì khiến chúng ta không thể thấy được giá trị Bitcoin vượt lên mức 50.000 đô-la/đơn vị vào tháng 12 năm 2018.” Trên phạm vi toàn cầu, khi các thể chế tài chính lớn tham gia nhiều hơn vào công nghệ blockchain và giao dịch tiền kỹ thuật số, họ cần tìm ra cách xử lý các xung đột có thể phát sinh khi nhân viên thực hiện giao dịch tiền kỹ thuật số trong tài khoản cá nhân của họ. Giá cả tăng vọt của các đồng tiền kỹ thuật số không chỉ làm gia tăng sự quan tâm của các nhà đầu tư và ngân hàng mà các phòng quản lý tuân thủ cũng đang rất quan tâm đến vấn đề này. Các xung đột có thể phát sinh nếu nhân viên liên quan đến - hoặc những người muốn đầu tư vào - các vụ đặt cược tiền kỹ thuật có lợi thế không cân bằng. Nói chung, các nhân viên phải có được thanh khoản trước khi giao dịch bất kỳ chứng khoán nào có thể đại diện cho xung đột lợi ích; tuy nhiên, các chính sách khó thực hiện hơn với tiền kỹ thuật số, vì các giao dịch được thực hiện thông qua một
Tiêu điểm Kiểm toán Chuẩn mực IIA 2130 - Kiểm soát Bộ phận kiểm toán nội bộ phải trợ giúp tổ chức duy trì các kiểm soát thông qua việc đánh giá tính hiệu hiệu quả của các kiểm soát và khích lệ các hoạt động cải tiến liên tục.
2130.A1 – Bộ phận kiểm toán nội bộ phải thực hiện các hoạt động nhằm đánh giá mức độ đầy đủ và hiệu quả của các kiểm soát để phản ứng với các rủi ro trong hệ thống quản trị, hoạt động và hệ thống thông tin của tổ chức liên quan đến: o Việc đạt được các
mục tiêu chiến lược của tổ chức.
o Mức độ tin cậy và tính minh bạch của các thông tin tài chính và hoạt động của tổ chức
o Tính hiệu quả của các hoạt động và các chương trình.
o Bảo vệ tài sản. o Việc tuân thủ pháp
luật, qui định, chính sách, thủ tục và hợp đồng.
Góc nhìn toàn cầu và sự thấu hiểu
12 globaliia.org
mạng lưới trao đổi phân tán - đôi khi nặc danh - và rất phức tạp để lần theo dấu vết giao dịch.
Góc nhìn toàn cầu và sự thấu hiểu
13 globaliia.org
“GDPR và các ẩn ý của nó đang thu hút sự chú ý. Từ khía cạnh đảm bảo, tiểu ban kiểm toán muốn chúng tabắt đầu đánh giá chính chương trình đó nhưng sau đó để cho chúng ta phát triển chương trình theo cách riêng của mình nhằm đảm bảo doanh nghiệp có quy trình tuân thủ theo đúng quy định”.
Trích lời Giám đốc Điều hành bộ phận Kiểm toán Nội bộ của một tập đoàn ngân hàng đa quốc gia Nguồn: Tâm điểm rủi ro : Các chủ đề nóng dành cho kiểm toán nội bộ 2018
Ngoài ra, sự thiếu vắng các quy định rõ ràng từ các cơ quan luật pháp trên toàn cầu làm cho các tổ chức tài chính gặp khó khăn hơn trong việc đặt ra các quy định riêng của họ. Một số tổ chức tài chính cân nhắc tiền kỹ thuật số như là hàng hóa và một số khác cho rằng một số tiền kỹ thuật số có thể là chứng khoán, nhưng họ không nêu cụ thể đó là đồng tiền kỹ thuật số nào. Các cơ quan luật pháp toàn cầu càng lo lắng hơn trước sự bốc hơi nhanh chóng gần đây của giá trị Bitcoin cũng như các loại đồng tiền kỹ thuật số khác và các quy định cứng rắn có thể sẽ được đưa ra (tham khảo Cán bộ tuân thủ toát mồ hôi khi giao dịch tiền kỹ thuật số được phép dùng trong giao dịch chính).
Quy định bảo vệ dữ liệu toàn cầu Một số chính phủ đang triển khai các quy định làm gia tăng tính riêng tư của dữ liệu. Có hai ví dụ của Liên minh Châu Âu (EU) và Trung Quốc. Sau bốn năm chuẩn bị và tranh luận, Quy định bảo vệ dữ liệu chung của EU (GDPR), thay thế cho Chỉ thị bảo vệ dữ liệu 95/46/EC, đã được Quốc hội EU phê duyệt vào tháng 4 năm 2016. GDPR có hiệu lực vào tháng 5 năm 2018, sau nhiều năm xảy ra các vụ xâm phạm dữ liệu ngày càng nghiêm trọng, thâm nhập sâu hơn và gây ra các tổn thất lớn. Các vụ xâm phạm dữ liệu đã gia tăng lên đáng kể trong năm 2017 vượt trên mức tăng dữ liệu là 40% được báo cáo từ năm 2015 đến năm 2016. (Tham khảo “Xâm phạm Dữ liệu 2017” trong trang kế tiếp.) Mặc dù nhiều công ty đã có chính sách bảo mật nhất quán với chỉ thị trước đây, GDPR mới chứa một số biện pháp bảo vệ mới cho dữ liệu EU và hứa hẹn sẽ phạt hoặc phạt tù những người kiểm soát và xử lý dữ liệu vì sự không tuân thủ một khi GDPR có hiệu lực. Đơn giản là bất kỳ tổ chức nào (trong nước hoặc quốc tế) kinh doanh ở Châu Âu hoặc xử lý dữ liệu cá nhân của cư dân EU phải tuân thủ với các quy định mới. Đối với các hành vi xâm phạm gây tổn thất lớn nhất khi không tuân thủ các quy định trọng yếu, các cơ quan luật pháp có thẩm quyền phạt với số tiền lớn hơn 20 triệu euro hoặc 4% doanh thu toàn cầu của năm trước liền kề. Có một cách tiếp cận theo từng mức phạt (ví dụ: một công ty có thể bị phạt 2% vì không có hồ sơ theo thứ tự [Điều 28], không thông báo cho cơ quan giám sát và chủ thể dữ liệu về xâm phạm hoặc không tiến hành đánh giá tác động). Điều quan trọng cần lưu ý là các quy tắc này áp dụng cho cả các người kiểm soát và xử lý dữ liệu - nghĩa là máy chủ đám mây sẽ không được miễn thi hành GDPR. Các ví dụ khác rơi vào phân loại này có thể không tuân thủ các nguyên tắc cốt lõi về xử lý dữ liệu cá nhân, xâm phạm quyền của chủ thể dữ liệu và việc chuyển tải dữ liệu cá nhân sang các nước thứ ba hoặc các tổ chức quốc tế không đảm bảo cấp độ bảo vệ dữ liệu một cách đầy đủ (tham khảo Quy định bảo vệ dữ liệu chung của EU).
Góc nhìn toàn cầu và sự thấu hiểu
globaliia.org 14
Các sự kiến xâm phạm dữ liệu 2017
Tháng Tổ chức Xâm hại/Xâm phạm 08/01/2017 Hiệp hội Giải trí Thể thao
Điện tử (ESEA) 1.503.707 hồ sơ được thêm vào cơ sở dữ liệu của tổ chức và hồ sơ bị rò rỉ bao gồm thông tin cá nhân/riêng tư.
02/02/2017 Xbox 360 ISO và PSP ISO
1,2 triệu người dùng Xbox 360 ISO và 1,3 triệu người dùng PSP ISO bị ảnh hưởng; thông tin cá nhân/riêng tư đã bị đánh cắp.
15/03/ 2017 Dun & Bradstreet Hơn 33 triệu dữ liệu liên lạc của các doanh nghiệp được chia sẻ trên web, bao gồm cả Bộ Quốc phòng Hoa Kỳ và Bưu điện Hoa Kỳ; thông tin cá nhân/riêng tư đã bị rò rỉ.
06/04/2017 FAFSA: Công cụ Hồi phục Dữ liệu của Sở Thuế (IRS)
Lên đến 100.000 người nộp thuế/học sinh có thể đã bị đánh cắp thông tin cá nhân/riêng tư.
10/05/2017 Trung tâm Bệnh viện Bronx Lebanon
Ít nhất 7.000 bệnh nhân từ năm 2014 đến 2017 có thông tin cá nhân có thể đã bị xâm phạm nghiêm trọng, bao gồm các trường hợp nghiện ngập, tâm thần và chẩn đoán sức khỏe y khoa, tình trạng HIV và các báo cáo bị tấn công .
20/06/2017 Tổ chức Phân tích Deep Root (DRA)
Khoảng 198 triệu công dân Mỹ đã bị ảnh hưởng, theo như DRAđược thuê bởi Ủy ban Quốc gia thuộc Đảng Cộng hòa , đã lưu trữ thông tin cá nhân trên máy chủ đám mây mà không thiết lập mật khẩu bảo vệ nên các thông tin nàyđã bị phát tán trong hơn hai tuần.
13/07/2017 Verizon 14 triệu người đăng ký sử dụng dịch vụ đã bị phát tán thông tin, do các hồ sơ được lưu giữ trên máy chủ không được đảm bảo; dữ liệu thu được là các tệp nhật ký, được tạo khi khách hàng liên hệ với Verizon qua điện thoại.
30/08/2017 Spambot Trực tuyến 711 triệu địa chỉ email và mật khẩu đã bị thu thập từ một máy chủ không được đảm bảo.
07/09/2017 Equifax 143 triệu khách hàng có thể đã bị ảnh hưởng do các tin tặc khai thác điểm yếu trong phần mềm của trang web; thông tin cá nhân/riêng tư đã bị phát tán , bao gồm cả số liệu an sinh xã hội và số thẻ tín dụng.
12/10/2017 Khách sạn Hyatt Truy cập trái phép vào thông tin thanh toán của thẻ ghi nợ và thẻ tín dụng, bao gồm cả số thẻ tín dụng, mã xác minh nội bộ và tên chủ thẻ đã bị sử dụng (được quét lấy thông tin) tại 41 khách sạn ở 11 quốc gia.
21/11/2017 Uber Thông tin cá nhân của 57 triệu lái xe và hành khách đã bị phát tán , bao gồm cả tên, địa chỉ email và số điện thoại.
10/12/2017 Mạng lưới TIO (PayPal) Hơn 1,6 triệu danh tính khách hàng đã bị xâm nhập, bao gồm cả các thông tin tài khoản ngân hàng, thông tin thẻ thanh toán, mật khẩu, tên người dùng và số an sinh xã hội.
Nguồn: Các sự kiến xâm phạm dữ liệu năm 2017 – Trường hợp xấu nhất cho đến nay
Góc nhìn toàn cầu và sự thấu hiểu
15 globaliia.org
Tiêu điểm kiểm toán
Chuẩn mực IIA 2120: Quản trị Rủi ro
Hoạt động kiểm toán nội bộ phải đánh giá tính hiệu quả và góp phần cải tiến quy trình quản lý rủi ro.
2120.A1 - Bộ phận kiểm toán nội bộ phải thực hiện đánh giá các rủi ro có tác động đến các khía cạnh sau trong hệ thống quản trị, hoạt động và hệ thống thông tin của tổ chức: o Việc đạt được các mục
tiêu chiến lược của tổ chức.
o Độ tin cậy và tính minh bạch của các thông tin tài chính hoạt động của doanh nghiệp
o Tính hiệu quả của các hoạt động và các chương trình.
o Bảo vệ tài sản. o Việc tuân thủ pháp luật,
các quy định, chính sách, thủ tục và hợp đồng.
Ngay cả định nghĩa và các điều kiện “đồng thuận” cũng có những giới hạn đáng kể. Trước đây, người kiểm soát dữ liệu được phép dựa vào sự chấp thuận ngầm và “chọn không tham gia” trong một số trường hợp. Từ ngày 25/05/2018, GDPR đã tăng cường các điều kiện về đồng thuận và các công ty sẽ không còn được phép sử dụng các điều khoản và điều kiện về luật phức tạp, vì yêu cầu đồng thuận phải được gửi dưới dạng mẫu dễ truy cập, với mục đích xử lý dữ liệu gắn liền với sự chấp thuận đó. Sự đồng thuận phải rõ ràng, có thể phân biệt được với các vấn đề khác và được truyền đạt bằng ngôn ngữ đơn giản. Ngoài ra, việc rút lại sự đồng thuận cũng phải dễ dàng như khi truyền đạt sự chấp thuận đó. Hơn nữa, một khi sự chấp thuận bị rút lại, các đối tượng có quyền xóa dữ liệu cá nhân của họ và không còn được phép sử dụng để xử lý nữa (tham khảo Mười tác động hàng đầu của Quy định bảo vệ dữ liệu chung của EU). GDPR sẽ ảnh hưởng đáng kể đến các nỗ lực an ninh mạng của Đức. Vào tháng 5 năm 2017, cơ quan lập pháp đã thông qua một phiên bản sửa đổi của Bộ luật bảo vệ dữ liệu liên bang, sẽ có hiệu lực cùng với GDPR của EU vào ngày 25 tháng 5 năm 2018. Phiên bản này được nhiều người biết đến vì nó bao gồm quy định về bảo vệ dữ liệu quốc gia mạnh mẽ, với mức phạt lên đến 300.000 Euros, Đức đang trong giai đoạn hướng đến các tiêu chuẩn nghiêm ngặt về an ninh mạng và gán trách nhiệm bảo vệ người dùng và an ninh thông tin mạng cho các nhà cung cấp dịch vụ và nhà khai thác cơ sở hạ tầng trọng yếu. Bộ luật mới có 85 điều khoản, nhiều điều khoản trong đó có tham chiếu chéo đến GDPR của EU. Các nhà khai thác cơ sở hạ tầng trọng yếu phải thực hiện các biện pháp bảo vệ tổ chức phù hợp cũng như các biện pháp bảo vệ kỹ thuật và các biện pháp khác theo cấp độ phát triển kỹ thuật cao nhất trong vòng sau hai năm có hiệu lực của hệ thống luật pháp thứ cấp cụ thể hóa các biện pháp bảo vệ đó. Ngoài ra, các nhà khai thác cơ sở hạ tầng thiết yếu phải thường xuyên chứng minh rằng họ hoàn thành đầy đủ các yêu cầu an ninh và thông báo ngay cho Văn phòng An ninh Thông tin Liên bang Đức (BSI) bất kỳ sự đổ vỡ quan trọng nào về tính sẵn có, toàn vẹn, xác thực và bảo mật của hệ thống CNTT, các thành phần và quy trình có thể dẫn đến sự sụp đổ hoặc suy giảm chức năng của cơ sở hạ tầng thiết yếu do họ điều hành (tham khảo Những điều bạn cần biết về Luật an ninh mạng của Đức). Trong khi Trung Quốc đã có luật pháp cùng các quy tắc và quy định nghiêm ngặt liên quan đến an ninh thông tin, một bộ luật mở rộng được đưa ra để xóa đi khoảng trống giữa an ninh mạng và việc bảo vệ dữ liệu (có hiệu lực từ tháng 6 năm 2017) đồng thời hợp nhất các điều khoản của GDPR của EU. Xét về nhiều khía cạnh, Luật an ninh mạng của Cộng hòa Nhân dân Trung Hoa (CSL) cho thấy sự phù hợp với GDPR (tham khảo Tiêu điểm Rủi ro: Chủ đề nóng cho kiểm toán nội bộ 2018). CSL đã thực hiện các điều chỉnh để thu hút sự chú ý nhiều hơn đến việc bảo vệ thông tin cá nhân, quyền riêng tư cá nhân, chuẩn hóa việc thu thập và sử dụng thông tin cá nhân. Ví dụ, trước đây, các doanh nghiệp nước ngoài được phép chuyển thông tin ra ngoài Trung Quốc; hiện nay, luật quy định rằng các dữ liệu nhạy cảm phải được lưu trữ trong nước và áp đặt các hình phạt mạnh đối với việc vi phạm luật pháp, bao gồm cả việc đình chỉ hoạt động kinh doanh. Các khoản tiền phạt có thể lên tới 1.000.000 Nhân dân tệ. (Để biết thêm chi tiế, tham khảo “Sửa đổi đối với CSL”, ở trang tiếp theo.)
Góc nhìn toàn cầu và sự thấu hiểu
globaliia.org 16
Các điều chỉnh Luật an ninh mạng của Trung Quốc (CSL)
Điều khoản Phiên bản cuối cùng Các điều chỉnh quan trọng
31 Về bảo vệ an ninh mạng, nhà nước nhấn mạnh việc bảo vệ cơ sở hạ tầng thông tin thiết yếu trong truyền thông công cộng và dịch vụ thông tin, năng lượng, tài chính, giao thông, bảo tồn nước, dịch vụ công và quản trị điện tử, cũng như cơ sở hạ tầng thông tin thiết yếu khác có thể gây ra tổn thất nghiêm trọng cho nền an ninh, kinh tế quốc gia và lợi ích công cộng mà nếu bị phá hủy, sự vận hành của các chức năng bị mất hoặc dữ liệu bị rò rỉ.
Điều khoản này làm rõ các ngành nghề và khu vực kinh tế trong đó việc bảo vệ cơ sở hạ tầng thông tin thiết yếu phải được ưu tiên.
43 Cá nhân có quyền yêu cầu các nhà vận hành mạng điều chỉnh các sai lệch trong thông tin cá nhân do họ thu thập hoặc lưu trữ. Các nhà khai thác mạng phải có biện pháp để loại bỏ hoặc sửa chữa các sai lệch đó.
Điều khoản nàycho công dân quyền lớn hơn để bảo vệ thông tin cá nhân của họ và tăng nghĩa vụ của các nhà vận hành mạng để điều chỉnh các sai sótmột cách kịp thời.
46 Cá nhân hoặc tổ chức chịu trách nhiệm về việc sử dụng mạng của họ và không được thiết lập trang web hoặc nhóm truyền thông với mục đích gian lận hoặc các hoạt động bất hợp pháp khác.
Điều khoản này nhấn mạnh rằng các cá nhân và tổ chức chịu trách nhiệm về việc sử dụng mạng của họ.
76(5) Cụm từ “Thông tin cá nhân” dùng để chỉ tất cả các loại thông tin, được ghi lại bằng phương pháp điện tử hoặc thông qua các phương tiện khác, có thể xác định danh tính của thể nhân một cách độc lập hoặc kết hợp với thông tin khác, bao gồm, nhưng không giới hạn trong, tên, ngày tháng năm sinh, số nhận dạng, thông tin sinh trắc học cá nhân, địa chỉ và số điện thoại của thể nhân.
Điều khoản này mở rộng phạm vi bảo vệ thông tin cá nhân từ “công dân” thành “những người tự nhiên”.
63 Các cá nhân vi phạm Điều 27 của bộ luật này và tham gia vào các hoạt động gây nguy hiểm cho an ninh mạng có thể bị giam giữ từ 5 đến 15 ngày và có thể bị phạt từ 100.000 đến 1.000.000 Nhân dân tệ, tùy theo mức độ nghiêm trọng của vụ án.
Hình phạt cao nhất đối với việc xâm phạm Luật an ninh mạng đã được tăng lên 1 triệu Nhân dân tệ.
Nguồn: Tổng quan Luật an ninh mạng của Trung Quốc (CSL)
Nhưng CSL không phải là không vấp phải sự phản đối. Theo báo cáo của tờ New York Times vào tháng 5 năm 2017, “một liên minh các nhóm vận động hành lang kinh doanh đại diện cho các công ty châu Âu, châu Mỹ và châu Á đã kêu gọi Trung Quốc trì hoãn việc thực hiện luật, trong khi Phòng Thương mại Liên minh Châu Âu tại Trung Quốc yêu cầu cho thêm thời gian để cho phép các công ty tuân thủ bởi vì có một số ‘ nghĩa vụ tuân thủ khá quan trọng.” Nếu có hoạt động kinh doanh ở EU, Trung Quốc hay bất kỳ quốc gia nào trong số các quốc gia khác có các quy định ngày càng khắt khe về tính bảo mật của dữ liệu thì các tổ chức đều cảm thấy được những tác động đó. Các hội đồng quản trị đang thúc đẩy các khung quản lý nâng cao trong tổ chức của họ và các hội đồng đang bị thúc đẩy bởi cơ quan quản lý, các nhà đầu tư và các bên liên quan khácbuộc hội đồng quản trị phải chịu trách nhiệm về tính hiệu quả của các quy trình trọng yếu (tham khảo Về Quản trị Công ty, Quản lý Rủi ro và Kiểm toán Nội bộ). Các quy định mới làm phát sinh thêm chi phí và gây sức ép lên các tổ chức bằng cách gia tăng tính phức tạp của các quy trình quản lý, kiểm soát và quản trị rủi ro. Khi áp lực lên hội đồng quản trị gia tăng, áp lực cũng tăng lên tương ứng với kiểm toán nội bộ. Các tổ chức đang đang đặt nhiều kỳ vọng hơn vào kiểm toán nội bộ. Họ nhận thấy nhu cầu có được tư vấn và đảm bảo từ phía kiểm toán nội bộ khi họ chuyển các nguồn lực đột phá trở thành cơ hội, đồng thời họ vẫn tuân thủ với sự thay đổi liên tục của các quy định
Góc nhìn toàn cầu và sự thấu hiểu
globaliia.org 17
(tham khảo KPMG Kiểm toán Nội bộ: Mười rủi ro chính hàng đầu năm 2016).
Góc nhìn toàn cầu và sự thấu hiểu
18 globaliia.org
Tiêu điểm kiểm toán
Chuẩn mực IIA 2210: Mục tiêu của cuộc kiểm toán / tư vấn Các mục tiêu phải được thiết lập cho mỗi cuộc kiểm toán / tư vấn
2210.A3 – Cần phải có các tiêu chí phù hợp để đánh giá về mặt quản trị, quản lý rủi ro và kiểm soát. Kiểm toán viên nội bộ phải chắc chắn về mức độ phù hợp của những tiêu chí do ban quản lý hoặc/và Hội đồng Quản trị thiết lập để xác định liệu có đạt được mục tiêu và mục đích hay không. Nếu thấy phù hợp, kiểm toán viên nội bộ phải sử dụng những tiêu chí này để đánh giá. Nếu thấy chưa phù hợp,kiểm toán viên nội bộ phải thảo luận với ban quản lý và/hoặc Hội đồng Quản trị để xác định các tiêu chí đánh giá thích hợp.
Chuẩn mực IIA 2050: Sự phối hợp và sử dụng kết quả công việc của các đơn vị khác
Trưởng kiểm toán nội bộ nên chia sẻ thông tin, phối hợp hoạt động và cân nhắc sử dụng kết quả công việc của các đơn vị cung cấp dịch vụ đảm bảo và tư vấn bên trong và bên ngoài tổ chức để đảm bảo sự bao phủ các hoạt động của tổ chức một cách phù hợp và giảm thiểu sự trùng lặp.
Chìa khóa để tồn tại các lực đột phá là thành quả của việc quản trị, quản lý rủi ro, tuân thủ quy định và sự cân bằng hiệu quả công việc. Vượt qua những thách thức này có thể bảo vệ và nâng cao giá trị doanh nghiệp đồng thời thúc đẩy hiệu quả hoạt động.
Mục tiêu Làm rõ khẩu vị rủi ro khi đánh giá các dự án và chiến lược. Nâng cao nhận thức của toàn bộ doanh nghiệp về các quy
định quốc gia và quốc tế hiện hành. Thiết lập các biện pháp đánh giá mức độ tuân thủ với các quy
định quốc gia và quốc tế hiện hành. Phối hợp với các nhà cung cấp dịch vụ bảo đảm nội bộ và bên
ngoài.
Hành động Hiểu biết khung tuân thủ quốc tế và các chuẩn mực về dịch vụ
đảm bảo. Thực hiện kiểm tra các quy định liên quan đến các cơ quan
quản lý hiện hành và các yêu cầu của họ. Đánh giá cách tiếp cận của doanh nghiệp để quản lý các hoạt
động tuân thủ trên toàn cầu , bao gồm cả việc hợp nhất các tổ chức mới được mua lại.
Đánh giá khả năng phản ứng của tổ chức đối với các trường hợp không tuân thủ nghiêm trọng
Kiểm tra các chương trình đào tạo về mặt tuân thủ và đánh giá sự phù hợp của các vai trò tương ứng.
Phối hợp với các nhà cung cấp dịch vụ bảo đảm nội bộ và bên ngoài để đảm bảo độ bao phủ và giảm thiểu các nỗ lực trùng lặp.
Soạn thảo các tài liệu truyền thông phù hợp với các lợi ích và ưu tiên của doanh nghiệp để khuyến khích nền văn hóa tuân thủ.
Đánh giá việc phân công trách nhiệm về mặt tuân thủ quy định của doanh nghiệp.
Ứng phó với sự thay đổi Một ngày mới - một tiếng chuông mới, một tiếng còi mới. Công nghệ liên tục thay đổi; nhanh hơn, mạnh hơn, lớn hơn (và nhỏ hơn); công nghệ đang vươn xa hơn và mạnh mẽ hơn. Công nghệ hiện nay không còn giống như trước đây. Mỗi ngày kiểm toán viên nội bộ đều phải đối mặt với các cơ hội mới để đem đến thông tin và các dự báo tương lai cho các bên liên quan, nhưng có thể họ không phát triển các kỹ năng cần thiết để đổi mới như tư duy phản biện và sự sáng tạo. Kết quả là, không có sự đổi mới, họ nhận thấy rằng họ không thể phản ứng được trước những sự cố bất ngờ và dễ bị ảnh hưởng do chính sự tự mãn của mình. Kiểm toán viên nội bộ phải thích nghi với các phương pháp luận để sử dụng công nghệ - điều đó giúp họ trở nên nhạy bén và chủ động hơn đồng thời nhanh chóng thay đổi định hướng để bắt kịp với sự đổi mới.
Góc nhìn toàn cầu và sự thấu hiểu
19 globaliia.org
Trong khi các cải tiến, chẳng hạn như công nghệ mới, mang lại cơ hội tuyệt vời cho kiểm toán nội bộ để thực hiện các giao kết kiểm toán, trong nhiều trường hợp, sự đổi mới sẽ đi kèm với những rủi ro, nguy cơ và đột phá mới, điều đó mang đến cho kiểm toán nội bộ nhiều quan ngoại. Ví dụ, thay vì (theo cách truyền thống) chỉ tập trung vào các rủi ro, kiểm toán viên nội bộ hiện nay cần có khả năng nhận diện nhanh chóng các đột phá “có thể có” và xác định xem sự kiện nào cần phải lưu ý tức thời hoặc phải lưu ý thêm. Một trong những lý do chính mà một doanh nghiệp nên đổi mới là phải tách biệtkhỏi cuộc cạnh tranh - và kiểm toán nội bộ có thể giúp dẫn dắt trách nhiệm này. Trích lời “Xu hướng Kiểm toán nội bộ khu vực Bắc Mỹ năm 2018”, sự đổi mới đem đến chokiểm toán nội bộ hai lựa chọn: hoặc đánh giá lại các khả năng của kiểm toán nội bộ để hoàn thành vai trò ngày càng quan trọng đối với doanh nghiệp, hoặc dự đoán được những hoạt động trong quá khứ Sẽ tiếp tục được thực hiện trong tương lai. Điều này được xem là một cách đảm bảo cho những nguy cơ trong tương lai; do đó, kiểm toán nội bộ phải cởi mở đối với các ý tưởng sáng tạo (hoặc thậm chí là ủng hộ một cách tích cực), sẵn sàng tập trung vào việc quản lý hiệu quả các rủi ro liên quan. Sẽ luôn có những thách thức. Ban quản lý có thể không ủng hộ với ý tưởng làm nhữn điều khác biệt; ngân sách có thể bị hạn chế bởi môi trường kinh doanh và nguồn lực để tuyển dụng có thể trở nên khan hiếm khi cần tuyển dụng nhân viên với một số kỹ năng cần thiết. Nhưng dấu hiệu tốt là kiểm toán nội bộ không đơn độc. Kiểm toán nội bộ có thể học hỏi từ các đơn vị kinh doanh, các doanh nghiệp hoặc các hoạt động kiểm toán nội bộ khác đã phát triển các kỹ thuật nhằm quản lý quy trình đổi mới. Sự đổi mới – nếu được tiếp nhận đúng cách – sẽ trở nên cực kỳ có giá trị đối với kiểm toán nội bộ và toàn bộ doanh nghiệp:
Cắt giảm chi phí. Giá trị gia tăng. Đạt được tăng trưởng và cải tiến hiệu suất. Sản phẩm và dịch vụ được tung ra thị trường sớm hơn. Trải nghiệm và sự hài lòng của khách hàng gia tăng. Tập trung phát triển mức độự linh hoạt và sự nhạy bén của tổ
chức. Gia tăng mức độ hài lòng của các bên liên quan.
Sự đổi mới không chỉ giúptăng tính hiệu quả của công tác kiểm toán, mà còn tăng độ nhạy bén bằng cách giúp ứng phó nhanh hơn, thông minh hơn và tập trung hơn đối với sự đột phá (tham khảo 2018 Xu hướng Kiểm toán nội bộ khu vực Bắc Mỹ năm 2018: Yêu cầu chuyển đổi kiểm toán nội bộ). Bà Shannon Urban, Chủ tịch Hội đồng IIA Khu vực Bắc Mỹ khuyến khích sự đổi mới trong kiểm toán nội bộ vì cả hai (sự nhạy bén và sự đổi mới) đều đóng vai trò quan trọng đối với tăng trưởng và đều cần thiết trong việc đáp ứng nhu cầu liên tục thay đổi của các bên liên quan. Có thể có một chút không hài lòng và bối rối, nhưng đổi mới đang diễn ra và đòi hỏi sự cam kết cũng như lòng can đảm. Đổi mới cũng có thể mang lại sự tưởng thưởng cao. Nếu kiểm toán nội bộ mong muốn hiểu biết các bên liên quan của mình và phục vụ họ tốt hơn trong tương lai, đón nhận sự đổi mới sẽ là lựa chọn duy nhất tham khảo tác phẩm Kiểm toán viên nội bộ sáng tạo).
“Tôi hoàn toàn tin tưởng rằng kiểm toán nội bộ đóng vai trò quan trọng trong thành công của tổ chức của chúng ta. Nhưng tôi cũng tin tưởng rằng để thực hiện được nhiệm vụ, chúng ta cần phải thay đổi cam kết của mình với sự đổi mới của kiểm toán nội bộ. Đổi mới phải là cốt lõi trong nhiệm vụ kiểm toán nội bộ nếu chúng ta mong muốn kiểm toán nội bộ theo kịp với sự phát triển của doanh nghiệp và tiếp tục vươn xa hơn nữa trong tương lai.”
Bà Shannon Urban, Chủ tịch Hội đồng Quản trị
Hiệp hội Kiểm toán Nội bộ (IIA) Bắc Mỹ (2017 - 2018)
Nguồn: Kiểm toán nội bộ
Góc nhìn toàn cầu và sự thấu hiểu
20 globaliia.org
Mục tiêu
Kiểm toán nội bộ ghi nhận các thay đổi trong môi trường kinh doanh.
Kiểm toán nội bộ hướng đến nhằm mục đích phát triển một nền văn hóa đổi mới và tăng cường khả năng cũng như hiệu suất làm việc
Kiểm toán nội bộ nhằm mục đích thực hiện tốt nhất và những cải tiến có thể đạt được thông qua việc đổi mới.
Kiểm toán nội bộ phấn đấu đạt được hiệu quả cao hơn thông qua đổi mới.
Hành động
Thiết kế và thực hiện các ý tưởng mới, làm cho sự đổi mới trở thành nền tảng cốt lõi cho việc thực hiện kiểm toán nội bộ.
Đảm nhận vai trò lãnh đạo, dự đoán các đột phá kinh doanh, giám sát các thay đổi trong môi trường làm việc và cung cấp một loạt gồm nhiều giải pháp ứng phó hơn.
Xây dựng và đầu tư vàocác mối quan hệ. Giữ kết nối với doanh nghiệp và nhận thức được sự đổi mới đang diễn ra.
Làm rõ bối cảnh rủi ro tiến hóa bằng việc xác định sự đột phá nào có thể đảm bảo thu hút thêm sự chú ý của doanh nghiệp.
Đem đến sự thấu hiểu và quan điểm xoay quanh các rủi ro mới nổi liên quan đến các sự kiện đột phá.
Tìm kiếm và thu hút các ứng cử viên có năng lực phù hợp để có thể ứng phó nhanh chóng và dứt khoát đối với các rủi ro mới hoặc đang xuất hiện..
Phối hợp với các chức năng quản lý rủi ro và quy định tuân thủ khác.
Góc nhìn toàn cầu và sự thấu hiểu
globaliia.org 21
Kết luận Các rủi ro được nêu trong báo cáo này - trong khi được nhận diện là các khu vực quan tâm hàng đầu của các chi hội của IIA - không đại diện cho tất cả các rủi ro đối với các doanh nghiệp hoặc kiểm toán nội bộ. Ngoài các khu vực này, các hội liên kết cũng nhận diện các rủi ro vốn có đối với tiểu ban kiểm toán, ngân sách, các tuyến phòng vệ và chiến lược - tất cả các khu vực thiết yếu của quản trị doanh nghiệp cần phải được thừa nhận và kiểm tra. Rủi ro có thể dẫn đến sự thất bại khi không đạt được sứ mệnh và mục tiêu chiến lược của tổ chức và đe dọa giá trị cốt lõi của doanh nghiệp. Do đó, trách nhiệm của kiểm toán nội bộ - như là một nhà tư vấn đáng tin cậy để hỗ trợ các quy trình quản lý rủi ro, kiểm soát và quản trị - yêu cầu phải cân nhắc tất cả các cơ hội rủi ro và đưa ra các khuyến nghị hợp lý . Trên toàn thế giới, các doanh nghiệp dựa vào kiểm toán nội bộ và các đánh giá của họ. Để duy trì được sự liên kết và được công nhận là nhà tư vấn đáng tin cậy, kiểm toán nội bộ có nghĩa vụ phải cân nhắc các rủi ro để đạt được các mục tiêu riêng của họ, cũng như các mục tiêu chung của tổ chức. Do đó, kiểm toán nội bộ phải tập trung vào việc đạt được kết quả và phải cam kết cải tiến năng lực của mình vì lợi ích của tổ chức nói chung. Điều này đòi hỏi năng lực vượt lên trên các thách thức và trở ngại, bao gồm tư duy phản biện; giữ vai trò độc lập và khách quan; trở nên nhạy bén; tập trung vào vai trò lãnh đạo quản lý rủi ro – rủi ro thực hoặc được tưởng tượng; điều khiển “những khoảnh khắc” bằng vận hành chức năng như một nhà tư vấn; cung cấp dịch vụ đảm bảo khi cần thiết; và hiểu biết sự phụ thuộc lẫn nhau của tất cả các hệ thống, quy trình, quy định và hoạt động của doanh nghiệp
Các hội liên kết IIA Các hiệp hội liên kết của IIA là nềntảng để xây dựng lên IIA. Các đối tác IIA của các hội liên kết IIA ại hơn 170 quốc gia và vùng lãnh thổ để hoàn thành sứ mệnh của họ để thúc đẩy thăng tiến nghề kiểm toán nội bộ và phục vụ hơn 190.000 hội viên trên toàn cầu. Các hội viên liên kết của IIA phục vụ như là các đại diện độc quyền của IIA những người mang theo tiếng nói tập thể ngành kiểm toán nội bộ, góp phần thúc đẩy các chuẩn mực cao cấp về đạo đức và thực hành chuyên môn trong các cộng đồng kiểm toán nội bộ của họ.
Giới thiệu về IIA Hiệp hội Kiểm toán Nội bộ (IIA) là tổ chức biện hộ, giáo dục và cơ quan cung cấp chuẩn mực, hướng dẫn và các chứng nhận được thừa nhận rộng rãi nhất của nghề kiểm toán nội bộ. Được thành lập từ năm 1941, ngày nay IIA phục vụ hơn 190.000 hội viên từ trên 170 quốc gia và vùng lãnh thổ. Trụ sở toàn cầu của Hiệp hội được đặt tại Lake Mary, Bang Florida, Hoa Kỳ. Để có thêm thông tin chi tiết, tham khảo trang web www.globaliia.org.
Giới hạn trách nhiệm Các ý kiến trong ấn phẩm “Góc nhìn toàn cầu và sự thấu hiểu (Global Perspectives and Insights) không nhất thiết là các ý kiến của người đóng góp là cá nhân hoặc của các nhân viên của các người đóng góp đó.
Bản quyền Bản quyền thuộc về Hiệp hội Kiểm toán Nội bộ (Copyright © 2018 by The Institute of Internal Auditors, Inc.). Tất cả các quyền được bảo lưu.
globaliia.org
Related Documents
![2.2. Rủi ro kinh tế và tài chính - tamdaoconf.com fileTháng 0 nộm 20 / Khóa hục Tam ứủo 2013 / AF [ ]201 2.2. Rủi ro kinh tế và tài chính Sophie Pardo, Phạm](https://static.cupdf.com/doc/110x72/5dd09fbfd6be591ccb61e525/22-ri-ro-kinh-t-v-ti-chnh-ng-0-nm-20-kha-hc-tam-o.jpg)
