soi keo nha cai Ứng phó của CNTT trước rủi ro an ninh mạng và kiểm soát nội bộ

Hội đồng Kế toán Doanh nghiệp đã công bố "Sửa đổi các Chuẩn mực Kiểm soát Nội bộ" (xem Tài liệu Tham khảo 1) vào ngày 7 tháng 4 năm 2023 và đã hơn một năm trôi qua kể từ khi nó được áp dụng kể từ các năm kinh doanh bắt đầu vào hoặc sau ngày 1 tháng 4 năm 2024 Về những sửa đổi chính và suy nghĩ của họ, liên quan đến "Phản ứng CNTT", có nêu rõ rằng "điều quan trọng là phải đảm bảo an ninh cho hệ thống thông tin trước các rủi ro mạng gia tăng, vv" Tuy nhiên, do không có thông tin chi tiết cụ thể nào được cung cấp nên có lẽ mỗi công ty đang xem xét và phản hồi

Ngoài ra, trong thực tiễn kiểm toán, Báo cáo Chuẩn mực Kiểm toán 315 của Viện Kế toán Công chứng Nhật Bản “Xác định và Đánh giá Rủi ro có sai sót trọng yếu” (xem Tài liệu tham khảo 2, sau đây gọi là “Báo cáo kiểm toán 315”) nêu rõ rằng liên quan đến rủi ro an ninh mạng, “Rủi ro phát sinh từ việc sử dụng CNTT "Đôi khi được xác định liên quan đến an ninh mạng" (đoạn A162) và "Ví dụ về những cân nhắc để hiểu Môi trường CNTT" (Phụ lục 5) đề cập đến "khả năng dễ bị tổn thương trước các rủi ro trên mạng" nhưng không đề cập chi tiết về "rủi ro an ninh mạng"

Mặt khác, mặc dù được coi là tài liệu nghiên cứu không mang tính ràng buộc trong thực tiễn kiểm toán nhưng "Tài liệu nghiên cứu công nghệ số 10" của Viện Kế toán công chứng Nhật Bản (xem Tài liệu tham khảo 3) chứa thông tin chi tiết và có thể hữu ích làm tài liệu tham khảo

Trong chuyên mục này, chúng tôi sẽ giải thích những điểm chính liên quan đến phản ứng của hệ thống kiểm soát nội bộ đối với các rủi ro an ninh mạng như một tài liệu tham khảo thực tế

• Rủi ro an ninh mạng trong phản hồi của hệ thống kiểm soát nội bộ là gì

  Để ứng phó với hệ thống kiểm soát nội bộ, các rủi ro an ninh mạng "ảnh hưởng đến báo cáo tài chính" sẽ được nhắm mục tiêu Trong một số trường hợp có thể ảnh hưởng đến hoạt động kinh doanh nhưng cần tổ chức, xem xét các giả định về phạm vi và quan điểm
  Ví dụ: nếu dữ liệu liên quan đến báo cáo tài chính không có sẵn hoặc bị làm sai lệch do một cuộc tấn công mạng thì điều này sẽ thuộc loại rủi ro an ninh mạng ảnh hưởng trực tiếp đến báo cáo tài chính Mặt khác, ngay cả khi dữ liệu liên quan đến báo cáo tài chính không bị tấn công trực tiếp bởi cuộc tấn công mạng thì vẫn cần phải xem xét đầy đủ khả năng dữ liệu liên quan đến báo cáo tài chính có thể bị ảnh hưởng do bị nhiễm phần mềm độc hại

• Mối quan hệ giữa biện pháp ứng phó với rủi ro an ninh mạng và những thiếu sót trong kiểm soát nội bộ

  Việc xảy ra sự cố không ngay lập tức cho thấy sự thiếu sót trong kiểm soát nội bộ, nhưng có khả năng tồn tại sự thiếu sót trong kiểm soát nội bộ
  Là ví dụ cụ thể về khả năng thiếu sót trong kiểm soát nội bộ, "Tài liệu nghiên cứu công nghệ 10" giải thích khả năng đánh giá rủi ro là điều kiện tiên quyết để ứng phó với rủi ro an ninh mạng là không đủ, khả năng đánh giá lại rủi ro không được thực hiện kịp thời và phù hợp, khả năng các phản hồi rủi ro không được xem xét kịp thời và khả năng các biện pháp kiểm soát chung về CNTT nhằm giảm rủi ro là không đầy đủ Ngoài ra, ví dụ về những thiếu sót có thể xảy ra trong các biện pháp kiểm soát chung về CNTT được xem xét dựa trên các ví dụ trong "Phụ lục 6 của Báo cáo kiểm toán 315"

• Những điểm chính để ứng phó với rủi ro an ninh mạng

  Rủi ro an ninh mạng có thể ảnh hưởng đến toàn bộ công ty, vì vậy nỗ lực của toàn công ty là rất quan trọng Khi xử lý các hệ thống kiểm soát nội bộ, trọng tâm là tác động đến báo cáo tài chính, nhưng tôi nghĩ cũng có nhiều trường hợp các phản ứng trên toàn công ty được xem xét đến tác động đến hoạt động kinh doanh

Tôi xin giải thích những điểm chính trong ứng phó với rủi ro an ninh mạng, tập trung vào quản trị, hệ thống và quy trình quản lý là những phản ứng cơ bản

1. Quản trị

   Người quản lý cần nhận thức được tầm quan trọng của rủi ro an ninh mạng, quyết định các chính sách đối với rủi ro an ninh mạng và tích cực tham gia giám sát
   Ngoài ra, mặc dù việc ứng phó với rủi ro an ninh mạng không trực tiếp tạo ra doanh thu hoặc lợi nhuận nhưng các nhà quản lý cần đưa ra quyết định liên quan đến việc phân bổ nguồn lực quản lý, chẳng hạn như nguồn nhân lực của tổ chức và cơ cấu cũng như nguồn lực kinh tế của khoản đầu tư cần thiết

2. Hệ thống

   Điều quan trọng là phải làm rõ người chịu trách nhiệm và người chịu trách nhiệm xử lý rủi ro an ninh mạng Cần nắm bắt và hiểu rõ môi trường CNTT trong và ngoài công ty, đóng vai trò trung tâm trong việc xác định, đánh giá và ứng phó với các rủi ro an ninh mạng và khi có nhiều bộ phận tham gia, hãy điều phối và đưa ra các phản hồi trên toàn công ty
   Ngoài ra, họ được yêu cầu đóng vai trò trung tâm trong việc điều hành hoạt động ứng phó với rủi ro an ninh mạng trong thời gian bình thường, cũng như tăng cường và thực hiện các biện pháp đối phó trong trường hợp khẩn cấp
   Hơn nữa, do rủi ro an ninh mạng ngày càng phát triển và thay đổi nhanh chóng, nên cần thu thập thông tin từ cả bên trong và bên ngoài công ty, đồng thời thúc đẩy giáo dục, đào tạo và nhận thức, bao gồm cả thông tin quản lý

3. Quy trình quản lý

   Về cơ bản, việc ứng phó với rủi ro an ninh mạng là một phần của quy trình quản lý rủi ro Sau khi hiểu rõ hiện trạng của môi trường CNTT, cần xác định rủi ro an ninh mạng, đánh giá rủi ro, xem xét phản ứng trước rủi ro, xây dựng và thực hiện các kế hoạch quản lý rủi ro cũng như thực hiện chu trình PDCA để cung cấp phản hồi cho các đánh giá và cải tiến cần thiết
   Có nhiều trường hợp hệ thống quản lý bảo mật thông tin dựa trên ISO27001 được áp dụng và duy trì

4. Những điểm cần lưu ý khác

   Trong những năm gần đây, việc sử dụng các dịch vụ bên ngoài như dịch vụ đám mây đã trở nên phổ biến Các dịch vụ bên ngoài bạn sử dụng có thể nằm ngoài tầm kiểm soát của công ty bạn, vì vậy cần kiểm tra các biện pháp bảo mật của doanh nghiệp cung cấp dịch vụ bên ngoài Ví dụ: bạn có thể kiểm tra trạng thái chứng nhận ISO 27001 hoặc liệu báo cáo SOC2 (báo cáo đảm bảo kiểm soát nội bộ liên quan đến bảo mật, tính khả dụng, tính toàn vẹn trong quá trình xử lý, tính bảo mật và quyền riêng tư đối với các hoạt động được gia công cho nhà cung cấp dịch vụ đám mây hoặc công ty thuê ngoài khác) có được cung cấp hay không
   Ngoài ra, nếu bạn thuê ngoài công việc của mình thì cũng cần phải kiểm tra tình trạng các biện pháp bảo mật của công ty thuê ngoài

Trong những năm gần đây, do sửa đổi các nguyên tắc thực hành kiểm toán, vv, dự kiến các thủ tục kiểm toán liên quan đến việc xác định rủi ro ảnh hưởng đến báo cáo tài chính, đánh giá rủi ro và ứng phó rủi ro sẽ được tăng cường để ứng phó với rủi ro an ninh mạng “Tài liệu nghiên cứu công nghệ 10” cũng là tài liệu nghiên cứu tập trung vào việc xác định, đánh giá và ứng phó với các rủi ro liên quan đến báo cáo tài chính do sự cố an ninh mạng gây ra, do đó cần lưu ý điều này trong tương lai

Trong chuyên mục này, chúng tôi đã giải thích những điểm chính của các biện pháp ứng phó cơ bản trước rủi ro an ninh mạng từ góc độ toàn công ty, nhưng bước đầu tiên cần phải tiến hành kiểm tra và thực hiện các biện pháp đối phó cơ bản

(Tài liệu tham khảo)

Lưu ý: Các tài liệu tham khảo trên là những tài liệu đã được công bố tại thời điểm viết chuyên mục này