Gian lận Bên thứ ba - Cái giá phải trả của việc mất kiểm soát

GUILT BY ASSOCIATION

MỘT TỔ CHỨC THÀNH VIÊN TRẢ GIÁ ĐẮT SAU KHI GIAO QUÁ NHIỀU QUYỀN KIỂM SOÁT CHO CÔNG TY QUẢN LÝ CỦA MÌNH.

Nguồn: https://internalauditor.theiia.org/en/articles/2019/august/guilt-by-association/

Bà Olivia Munro, Giám đốc Tài chính (CFO) của một bệnh viện và là cựu dược sĩ, đã được đề nghị đảm nhận vị trí thủ quỹ tại tổ chức dược phẩm tiểu bang của bà, một tổ chức đang đối mặt với các vấn đề về tính bền vững. Tình hình tài chính và số lượng thành viên của tổ chức này đang suy giảm, và hội đồng quản trị đang gặp khó khăn trong việc lèo lái tổ chức vượt qua giai đoạn thử thách này. Xuất phát từ ý thức trách nhiệm nghề nghiệp, bà đã đồng ý đảm nhận vai trò này. Do chưa từng phục vụ trong hội đồng quản trị chuyên môn nào, bà Munro không biết mình nên kỳ vọng điều gì.

Hiệp hội nhỏ này, với khoảng 750 thành viên, thu niên phí $350, bao gồm các chương trình đào tạo nhằm đáp ứng yêu cầu về đào tạo liên tục bắt buộc để duy trì giấy phép hành nghề. Tuy nhiên, phần lớn doanh thu lại đến từ một hội nghị đào tạo thường niên có thu phí đăng ký tham dự. Hội nghị này có tỷ lệ tham dự thấp, do đó phần lớn doanh thu đến từ các khoản tài trợ quảng cáo của các nhà sản xuất dược phẩm.

Sau khi gia nhập hội đồng quản trị, bà Munro nhanh chóng nhận thấy rằng hiệp hội đã cạn kiệt nguồn tình nguyện viên sẵn có và nhiệt tình trong tiểu bang. Hệ quả là, hiệp hội đã tuyển dụng ít người đủ tiêu chuẩn hơn vào các vị trí lãnh đạo và tái bổ nhiệm những người lãnh đạo cũ. Do ban lãnh đạo hiệp hội tập trung vào sứ mệnh chuyên môn, các vấn đề tài chính đã được giao cho những cá nhân thiếu năng lực chuyên môn và hiểu biết về tài chính hạn chế. Kết quả là, tổ chức từng hoạt động hiệu quả này trở nên mất khả năng thanh toán và đã ký hợp đồng với một công ty quản lý chuyên nghiệp bên ngoài, chuyên về việc vực dậy các tổ chức nghề nghiệp.

Trong quá khứ, hiệp hội đã có nhiều thập kỷ thành công về mặt tài chính, tích lũy được $500.000 quỹ dự phòng cho mục đích hoạt động và thêm $250.000 quỹ hạn chế sử dụng để hỗ trợ học bổng cho sinh viên tại các cộng đồng khó khăn. Mặc dù trước đây hiệp hội có một thủ quỹ, kinh nghiệm tài chính hạn chế của ông thể hiện rõ qua sự thiếu sót các cơ chế kiểm soát tài chính cần thiết.

Bà Munro muốn xác định tình trạng sổ sách kế toán của hiệp hội mà bà được bàn giao, vì vậy bà đã tiến hành rà soát sổ sách để đảm bảo các giao dịch có chứng từ hợp lệ đi kèm, không có giao dịch bất thường nào, và số dư ngân hàng đã được đối chiếu khớp đúng. Bà có một số thắc mắc liên quan đến ngôn ngữ trong hợp đồng với công ty quản lý và biết rằng hợp đồng này đã được ký kết mà không qua rà soát pháp lý. Đặc biệt, hợp đồng chứa một điều khoản tự động gia hạn (evergreen clause) khó hiểu, duy trì mối quan hệ theo chu kỳ bắt buộc ba năm, thay vì gia hạn một năm như thông lệ. Hơn nữa, hợp đồng không có điều khoản chấm dứt hợp đồng. Cơ cấu phí cũng phức tạp tương tự, với nhiều khoản phụ phí tính theo yêu cầu (a la carte upcharges) được định nghĩa một cách mơ hồ. Điều này gây khó khăn cho việc làm rõ dịch vụ nào đã bao gồm trong hợp đồng gốc và dịch vụ nào được tính thêm.

Mối quan hệ ban đầu đã diễn ra tốt đẹp và hiệp hội cuối cùng đã chuyển giao thêm quyền hạn cho công ty quản lý, điều này không được thể hiện trong một phụ lục sửa đổi hợp đồng mà thay vào đó được điều chỉnh thông qua trao đổi email. Việc chuyển giao này bao gồm quản lý trang web và cơ sở dữ liệu thành viên của hiệp hội, cũng như tổ chức hội nghị thường niên. Như một phần của quá trình chuyển đổi này, địa chỉ thư tín chính thức của hiệp hội cũng được đổi thành địa chỉ của công ty quản lý, và công ty quản lý được cấp quyền ký (signatory authority) trên các tài khoản ngân hàng của hiệp hội. Dường như công ty quản lý đã nắm toàn quyền kiểm soát tài chính và hoạt động của hiệp hội.

Theo thời gian, mức độ dịch vụ của công ty quản lý bắt đầu suy giảm. Đại diện quản lý được chỉ định đã không tham dự các cuộc họp trực tuyến của hội đồng quản trị và không cung cấp thông tin theo hợp đồng như báo cáo tài chính hàng tháng. Thêm vào đó, các bản sao kê ngân hàng không còn được cung cấp cho thủ quỹ để rà soát và đối chiếu, và các yêu cầu cập nhật tình hình chỉ nhận được những câu trả lời ngày càng mơ hồ.

Bà Munro lo ngại rằng quỹ của hiệp hội đã bị biển thủ một cách gian lận và yêu cầu quyền truy cập vào hồ sơ, chứng từ của hiệp hội. Các yêu cầu liên tục bị phớt lờ hoặc chỉ được đáp ứng một phần. Công ty quản lý đặt tại một tiểu bang lân cận, vì vậy, một kế toán viên địa phương đã được thuê và cơ quan thực thi pháp luật đã được thông báo để hỗ trợ tiếp cận hồ sơ. Hồ sơ thu được rất hạn chế và những hồ sơ có sẵn lại có chứng từ rất cẩu thả, khiến việc theo dõi chính xác các khoản thanh toán và chi phí trở nên bất khả thi. Sao kê ngân hàng cho thấy $300.000 quỹ của hiệp hội đã bị chi tiêu và khoản chi phí khách sạn $120.000 phát sinh từ hội nghị thường niên vẫn chưa được thanh toán.

Hiệp hội đã tìm kiếm sự tư vấn pháp lý và tiến hành thu thập thêm bằng chứng. Trong năm trước đó, công ty quản lý đã tính phí một cách có hệ thống cho hiệp hội $100.000 cho các khoản phí 'a la carte' liên quan đến các hoạt động không xác định rõ ràng và không được quy định cụ thể trong hợp đồng. Do công ty quản lý được trao quyền tự thanh toán trực tiếp từ tài khoản ngân hàng của hiệp hội, và đã lợi dụng các điều khoản 'a la carte' để tạo ra các khoản phí lặp lại mà không được lãnh đạo hiệp hội rà soát, luật sư tư vấn cho rằng khó có khả năng thu hồi được khoản thiệt hại này. Việc hiệp hội không nhận được sao kê ngân hàng hàng tháng để chất vấn các thông lệ này được coi là sự sơ suất nghiêm trọng (gross negligence) từ phía hiệp hội.

Số tiền $250.000 còn lại từ quỹ hạn chế sử dụng cũng đã biến mất. Khi bị chất vấn, công ty quản lý từ chối hoàn trả, viện dẫn lý do hợp đồng gốc đã tự động gia hạn thêm ba năm theo điều khoản tự động gia hạn (evergreen clause). Hiệp hội đã không thực hiện quyền thông báo chấm dứt hợp đồng trong thời hạn 90 ngày theo quy định, do đó, số tiền còn lại được xem là khoản phải trả cho công ty quản lý để đáp ứng nghĩa vụ của hợp đồng gia hạn ba năm. Hội đồng quản trị của hiệp hội, sau khi tham khảo ý kiến tư vấn pháp lý, đã kết luận rằng chi phí pháp lý sẽ cao hơn khoản tiền mà hiệp hội có khả năng thu hồi được. Công ty quản lý đó đã nộp đơn phá sản và sau đó hoạt động trở lại dưới một tên mới.

Công ty quản lý kiểm soát trang web, tên miền và danh sách thành viên của hiệp hội, và cuối cùng, họ đã đồng ý trả lại quyền kiểm soát đối với các yếu tố hoạt động độc quyền này và cả hai bên đã đi đến thỏa thuận chấm dứt tranh chấp. Hiệp hội bắt đầu quá trình tái thiết, và bà Munro đã thiết lập các cơ chế kiểm soát tài chính phù hợp. Điều đáng ngạc nhiên là các thành viên đã bầu lại chính hội đồng quản trị đó, và bà Munro đã quyết định từ chức thủ quỹ.

BÀI HỌC KINH NGHIỆM (LESSONS LEARNED)

• Các mối quan hệ và hợp đồng thuê ngoài cần được bộ phận kiểm toán nội bộ rà soát các rủi ro về kiểm soát trước khi triển khai và trước bất kỳ thay đổi đáng kể nào. Các hiệp hội kiểm toán nội bộ có cơ hội chia sẻ các hướng dẫn với các hiệp hội không thuộc lĩnh vực kế toán để cải thiện các thông lệ và biện pháp bảo vệ tài chính.
• Kiểm toán nội bộ cần đảm bảo ban quản lý có quy trình để giám sát việc thực hiện các điều khoản hợp đồng một cách thường xuyên. Sự thiếu vắng các cuộc rà soát này dẫn đến các vấn đề không được phát hiện và không thể tối ưu hóa giá trị của mối quan hệ hợp tác.
• Các tổ chức không thực hiện phân tách nhiệm vụ trong quản lý tài chính sẽ tạo cơ hội cho việc biển thủ công quỹ và gian lận.
• Việc không duy trì quyền ký duyệt (signatory authority) có thể ngăn cản tổ chức tiếp cận hợp pháp thông tin ngân hàng của chính mình cho mục đích kiểm toán.
• Bất kể bản chất chuyên môn của một tổ chức, những người có năng lực chuyên môn về tài chính cần được phân công giám sát tình hình tài chính của tổ chức đó.
• Nếu đối tác thuê ngoài không cung cấp báo cáo tài chính và chứng từ ngân hàng định kỳ, điều đó phải ngay lập tức dẫn đến một cuộc rà soát và theo dõi sát sao.

Học CIA Online 🇻🇳 "

Từ Người Bán Hàng Xuất Sắc Đến Kẻ Gian Lận Tinh Vi

SAILING THE TRADEWINDS TO FRAUDULENT GAINS

Nguồn: https://internalauditor.theiia.org/en/articles/2021/october/sailing-the-tradewinds-to-fraudulent-gains/

A SALES MANAGER MAKES UP FOR LOST COMMISSION INCOME

Khi chính sách hoa hồng thay đổi, dẫn đến thu nhập của cô bị cắt giảm, một người quản lý công ty cung cấp dịch vụ quảng cáo tìm cách bù đắp khoản thu nhập bị mất.

Bối cảnh vụ việc

Câu chuyện xảy ra ở một công ty Orion Advertising, là một công ty hoạt động trong lĩnh vực tiếp thị qua thư trực tiếp, đặc điểm của các công ty hoạt động trong lĩnh vực này là họ cung cấp dịch vụ tiếp thị truyền thống bằng cách gửi thư quảng cáo vật lý đến tận tay người tiêu dùng hông qua hệ thống bưu chính.

"Ông có biết vì sao tôi ở đây không?" Robert Schull, quản lý kiểm toán pháp lý tại Orion Advertising, đặt câu hỏi. Cathy Francis, giám đốc bán hàng khu vực của Orion, trả lời, "Có, và tôi sẽ trả lại các tấm séc." Câu trả lời của bà khiến Schull ngạc nhiên vì mục đích của cuộc họp là thảo luận về khiếu nại về khoản tiền thưởng bán hàng đáng ngờ. Vì vậy, câu hỏi tiếp theo của ông là, "Chúng ta đang nói về bao nhiêu tiền?" Francis trả lời, "Khoảng nửa triệu đô la."

Sản phẩm chính của Orion là một tạp chí in, nơi các doanh nghiệp địa phương quảng cáo dịch vụ của họ. Tạp chí được gửi qua đường bưu điện đến cư dân trong các khu vực địa lý được xác định trước. Chính sách giá của Orion rất đơn giản: Các trang quảng cáo ở mặt trước (vị trí dễ thấy hơn) có giá cao hơn, trong khi các trang sau có giá khoảng một nửa so với các trang trước.

Các đại diện bán hàng làm việc hưởng hoa hồng với một số chính sách thưởng bán hàng bổ sung. Một trong những khoản tiền thưởng là 5.000 đô la cho mỗi khách hàng mới. Nhưng vì doanh thu quảng cáo giảm do cạnh tranh trực tuyến, Orion đã điều chỉnh giảm cơ câú hoa hồng của tất cả các đại diện bán hàng.

Môi trường kiểm soát nội bộ tại Orion cũng bị ảnh hưởng do doanh thu quảng cáo giảm. Các vị trí kế toán bị cắt giảm và nhân viên nghỉ việc được thay thế bằng những người ít kinh nghiệm hơn với chi phí thấp hơn. Một số vị trí bị kiêm nhiệm, dẫn đến sự lỏng lẻo trong kiểm soát phân chia trách nhiệm. Ban quản lý đã không quan tâm đến vấn đề này.

Kế hoạch gian lận

Động cơ và sự tự biện minh

Francis là một giám đốc bán hàng khu vực thành công, người thường xuyên kiếm được thu nhập sáu con số. Cơ cấu hoa hồng mới khiến cô ấy không hài lòng vì cô ấy không thể kiếm được mức thu nhập như trước đây. Francis nhận thấy môi trường kiểm soát nội bộ còn nhiều lỗ hổng và tin rằng cô ấy có thể thực hiện một kế hoạch gian lận đơn giản để bù đắp thu nhập bị mất. Cô ấy tự biện minh rằng số tiền cô ấy sẽ lấy thực tế là thuộc về cô ấy vì sự chăm chỉ của cô ấy.

Thực hiện gian lận ban đầu

Francis thành lập một công ty vỏ bọc tên là Tradewinds Inc. Mục đích lập ra để nhận thanh toán từ dịch vụ của những khách hàng mới, Tradewinds nhận phí từ khách hàng mới với mức giá cao, bất kể quảng cáo của họ xuất hiện ở đâu trên tạp chí. Sau đó, Tradewinds sẽ trả tiền cho Orion như thể khách hàng đã nhận được quảng cáo ở trang sau. Francis biết rằng cô ấy có thể che đậy mọi sai lệch về hóa đơn với bộ phận kế toán bằng cách báo cho bộ phận thanh toán rằng khách hàng đã bị lập hóa đơn sai giá.

Đã có một vài trục trặc ban đầu với kế hoạch của Francis. Ví dụ, một số khách hàng mới của cô ấy đã gửi thanh toán đến Orion thay vì Tradewinds. Vì các khoản thanh toán này được tính theo mức giá cao cho vị trí quảng cáo ở trang sau, nên đã dẫn đến việc thanh toán thừa. Francis biết rằng việc thanh toán thừa sẽ có vẻ đáng ngờ, vì vậy cô ấy đã chỉ thị cho bộ phận thanh toán điều chỉnh các tài khoản cho các khoản thanh toán thừa hoặc chuyển các khoản thanh toán thừa từ tài khoản khách hàng này sang tài khoản khác. Không ai trong bộ phận kế toán thực sự quan tâm đến các khoản thanh toán thừa hoặc chuyển khoản này.

Mở rộng quy mô gian lận

Nhắm vào các tài khoản quốc gia

Gian lận của Francis không bị phát hiện trong vài tháng và vượt quá thu nhập bị mất do thay đổi chính sách hoa hồng. Tuy nhiên, điều này là chưa đủ đối với Francis. Ngoài việc tiếp thị các doanh nghiệp địa phương đến các khu dân cư, Orion còn có các tài khoản quốc gia quảng cáo trên tất cả các tạp chí trên toàn quốc. Francis biết rằng các khoản thanh toán từ các tài khoản quốc gia gấp nhiều lần so với các khách hàng địa phương tốt nhất của cô và suy đoán rằng cô có thể mở rộng quy mô gian lận của mình. Vấn đề cô gặp phải là làm thế nào cô có thể gửi các séc lớn từ các tài khoản quốc gia vào ngân hàng địa phương của mình mà không gây ra nghi ngờ.

Tìm kiếm đồng phạm

Robert Baggio là hàng xóm của Francis và là giám đốc một ngân hàng địa phương, người vừa được đề nghị thăng chức quản lý một chi nhánh ở một tiểu bang khác. Cô mời anh ta đến nhà với lý do ăn mừng công việc mới của anh ta, trước khi tiết lộ cho anh ta về kế hoạch của mình và tình thế khó khăn trong việc mở rộng nó sang các tài khoản quốc gia. Francis đề nghị Baggio một phần trăm lợi nhuận nếu anh ta có thể hỗ trợ cô ta thực hiện hành vi gian lận. Anh ta đã chấp nhận lời đề nghị và nói với cô rằng anh ta sẽ mở một tài khoản ngân hàng tại chi nhánh mới của mình dưới tên Original Retail In Online News (ORION). Bằng cách đó, séc thanh toán cho Orion có thể được gửi vào tài khoản mà ít bị kiểm tra kỹ lưỡng bởi các kiểm toán viên ngân hàng.

Thực hiện gian lận mở rộng

Francis biết rằng các khách hàng lớn trên toàn quốc có thể nghi ngờ việc nhận hóa đơn từ Tradewinds, nhưng cô ta cho rằng việc thay đổi địa chỉ thanh toán có thể không bị phát hiện. Cô ta tạo ra một lá thư thay đổi địa chỉ thanh toán cho các khách hàng lớn của mình và hướng dẫn họ gửi séc đến một hộp thư bưu điện. Đúng như dự đoán, nhiều khách hàng lớn của cô ta đã thay đổi địa chỉ thanh toán trong hệ thống thanh toán và séc bắt đầu xuất hiện trong hộp thư bưu điện của Francis. Khi nhận được, cô ta sẽ gửi nhanh séc cho Baggio, người sẽ gửi chúng vào tài khoản ngân hàng do anh ta kiểm soát.

Sự phát hiện

Amanda Olson là một nhân viên mới được tuyển dụng vào bộ phận kế toán tại Orion. Nhiệm vụ đầu tiên của cô là xem xét một loạt các giao dịch chuyển khoản thanh toán thừa do Francis thực hiện giữa các tài khoản khách hàng. Bối rối, cô đã gọi cho Francis để giải thích. Francis đã gạt đi yêu cầu của Olson một cách thô lỗ và ra lệnh cho cô thực hiện các chuyển khoản theo chỉ dẫn. Olson đã báo cáo vụ việc cho quản lý của mình. Cô biết có điều gì đó không ổn với các khoản thanh toán thừa được chuyển từ tài khoản khách hàng này sang tài khoản khách hàng khác của Francis.

Điều tra và Kết cục

Bộ phận kiểm toán nội bộ của Orion biết Francis không lạ gì với các hoạt động kinh doanh đáng ngờ. Chỉ một năm trước đó, cô đã cố gắng kiếm khoản tiền thưởng khách hàng mới bằng cách trình bày sai lệch rằng chủ sở hữu của một khách hàng hiện hữu vừa thành lập một doanh nghiệp mới là một khách hàng hoàn toàn mới. Francis đã bị khiển trách khi sự việc bị phát hiện. Vì hiệu suất làm việc tốt, ban quản lý không muốn chia tay với cô. Schull, người đã phỏng vấn Francis một năm trước, biết cô có thể khó tính và quyết định phỏng vấn trực tiếp. Khi cô thú nhận với Schull, ông đã bắt đầu một cuộc điều tra trên toàn công ty, phát hiện ra một kế hoạch tương tự mà sếp của cô đang thực hiện, kế hoạch này đã mang lại cho ông ta hơn 1 triệu đô la.

Orion đã liên hệ với cơ quan thực thi pháp luật địa phương. Vì hành động của mình, Francis đã bị kết án hai năm tù. Baggio cũng bị bắt và phải ngồi tù.

Bài học kinh nghiệm (LESSONS LEARNED)

• Một môi trường kiểm soát mạnh mẽ đòi hỏi đủ nhân viên có trình độ để thiết lập sự phân chia trách nhiệm phù hợp. Kiểm toán nội bộ nên đánh giá môi trường kiểm soát của một công ty, bao gồm đánh giá trình độ của nhân viên ở các vị trí quan trọng.
• Các chính sách lương thưởng dựa trên hoa hồng hoặc các chương trình khuyến khích rất dễ bị thao túng. Khi kết hợp với môi trường kiểm soát nội bộ yếu kém, các chính sách đãi ngộ dựa trên hiệu quả công việc hấp dẫn tạo cơ hội cho gian lận, lãng phí và lạm dụng.
• Ban quản lý phải xem xét nghiêm túc các vi phạm đạo đức. Các biện pháp kỷ luật phải được áp dụng nhất quán cho tất cả nhân viên bất kể chức vụ hoặc thành tích trong quá khứ.
• Các kiểm toán viên nội bộ làm việc trong môi trường mà nhân viên nhận được thu nhập dựa trên hoa hồng nên đưa việc xem xét các chính sách này vào kế hoạch kiểm toán của họ. Việc xem xét nên bao gồm sự hiểu biết thấu đáo về cơ chế hoạt động của chính sách hoa hồng, sự phân chia trách nhiệm trong chính sách và sự tồn tại của các biện pháp kiểm soát phòng ngừa và phát hiện cùng với việc xác thực tính toàn vẹn của chương trình.

Học CIA Online 🇻🇳

Câu chuyện Gian lận danh tính tổng hợp

FRANKENSTEIN'S ROADSTER

Nguồn: https://internalauditor.theiia.org/en/articles/2025/february/fraud-frankensteins-roadster/

Sheila Jackson, một phụ nữ trẻ ăn mặc chỉnh tề, bước vào Speed Bird Automotive ở Kansas City và tiếp cận nhân viên bán hàng Eddy Foghorn. Cô chỉ vào chiếc Mercedes SL Roadster màu xám và nói: "Tôi sẽ lấy chiếc đó." Foghorn nghĩ rằng hôm đó là ngày may mắn của mình - đó là ngày cuối tháng và chỉ cần thêm một giao dịch nữa thôi là anh ấy sẽ đủ điều kiện nhận tiền thưởng.

Khi Foghorn bắt đầu mô tả các tính năng và nâng cấp có sẵn trên chiếc Roadster, Jackson ngay lập tức cắt ngang và nói: “Tôi biết tôi muốn gì và tôi đang vội.” Điều khiến anh ta ngạc nhiên là cô ấy đề nghị trả giá niêm yết và yêu cầu tài trợ 100% giá bán thông qua bên cho vay của đại lý.

Sau khi chuẩn bị đề nghị mua, Foghorn thu thập thông tin cá nhân của Jackson, bao gồm bằng lái xe và số An sinh xã hội, rồi đưa đề nghị cho Jim Sinclair, quản lý tài chính. Sinclair ngay lập tức nghi ngờ Jackson. Anh ta hiếm khi gặp một khách hàng nào không cố gắng thương lượng giá xe — đặc biệt là đối với một chiếc xe sang trọng. Ngoài ra, Jackson có vẻ thiếu kiên nhẫn và liên tục nghe điện thoại trong suốt quá trình.

Tuy nhiên, kiểm tra tín dụng của Jackson cho thấy cô ấy đủ điều kiện để tài trợ cho chiếc Roadster. Sau khi hoàn tất thủ tục giấy tờ, Foghorn dẫn Jackson đến chiếc xe mới của cô.

Vài tuần sau, Frank Harley, Trưởng bộ phận Kiểm toán nội bộ (CAE) của Speed Bird, nhận được cuộc gọi từ Steve Day, Phó chủ tịch tài chính. Steve Day nói rằng ai đó đã đánh cắp hơn 100.000 đô la từ công ty thông qua một kế hoạch gian lận tổng hợp ở Kansas City — vụ việc xoay quanh Jackson và chiếc Roadster của cô ta. Sau khi đồng ý điều tra vụ gian lận, Harley nhớ lại năm vụ việc tương tự tại các đại lý Speed Bird khác.

Gian lận tổng hợp là một loại tội phạm hiện đại, trong đó kẻ gian tạo ra một người hoặc nhân dạng giả bằng cách sử dụng thông tin cá nhân đánh cắp từ một cá nhân có thật, trộn lẫn với dữ liệu giả mạo. Những nhân dạng "Frankenstein" này có thể đánh lừa các doanh nghiệp cho những kẻ gian vay tín dụng, chỉ để sau đó phát hiện ra rằng khách hàng không có thật.

Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) ước tính rằng gian lận tổng hợp hiện chiếm từ 80% đến 85% tổng số vụ gian lận danh tính ở Hoa Kỳ. Đây là một mối đe dọa ngày càng tăng đối với các đại lý ô tô ở Hoa Kỳ, nơi gần 80.000 xe đã bị đánh cắp thông qua gian lận vào năm 2023, theo FTC.

Để tìm hiểu rõ bản chất của các vụ việc, Harley trước tiên cần phải hiểu bản chất của hành vi gian lận. Khi xem xét thông tin mà kẻ gian lận đã cung cấp, anh phát hiện ra Sheila Jackson thật là một cụ bà 96 tuổi sống trong một viện dưỡng lão ở Kansas City. Kẻ gian lận đã sử dụng tên và số An sinh xã hội của Jackson nhưng trộn lẫn số điện thoại cũ và nơi cư trú mà bà đã sống trong 43 năm. Việc kiểm tra tín dụng của đại lý đối với người mua đã xác định sai Jackson, dẫn đến kết quả phê duyệt không đúng vì phần lớn thông tin mà kẻ gian lận cung cấp là thật hoặc đã từng là thật vào một thời điểm nào đó.

Một cuộc điều tra pháp lý sau đó về bằng lái xe được sử dụng để mua xe cho thấy đó là một vụ làm giả tinh vi. Điều đó khiến Harley thực hiện thủ tục walk-through, đi xuyên suốt quy trình kiểm tra phê duyệt tín dụng của Speed Bird, so sánh môi trường kiểm soát với các vụ gian lận tổng hợp mà công ty đã phải gánh chịu gần đây. Ông kết luận rằng các kiểm soát nội bộ của Speed Bird là không đủ để phát hiện và ngăn chặn những kẻ gian lận tổng hợp.

Harley đã có cuộc gặp với Ingrid Nori, chủ tịch của Orion Security, để thảo luận về cách Speed Bird có thể củng cố môi trường kiểm soát của mình để ít bị ảnh hưởng bởi gian lận tổng hợp. Nori khuyến nghị Speed Bird triển khai các cải tiến kiểm soát CNTT khác nhau, bao gồm xác thực tài liệu tùy thân, xác minh danh tính và xác thực dựa trên thiết bị. Ngoài ra, bà khuyến nghị công ty đào tạo tất cả nhân viên hiểu những điều cơ bản về hành vi trộm cắp danh tính và lắp đặt hệ thống giám sát.

Speed Bird đã triển khai tất cả các khuyến nghị của Nori và không còn bị lừa đảo tổng hợp nào khác. Harley đã cung cấp thông tin anh thu thập được cho cảnh sát, để tiến hành cuộc điều tra riêng của họ. Tuy nhiên, cảnh sát không thể xác định được kẻ gian lận, người vẫn chưa bị bắt.

LESSONS LEARNED - BÀI HỌC KINH NGHIỆM

Bằng cách thêm các công cụ phòng chống gian lận mạnh mẽ vào quy trình làm việc và thu hút tất cả mọi người trong tổ chức, các doanh nghiệp có thể bảo vệ tốt hơn trước gian lận tổng hợp.

• Use identity document authentication technology.

  Công nghệ này xác minh tính hợp pháp của bằng lái xe và các giấy tờ tùy thân do chính phủ cấp. Một máy quét tiên tiến có thể nhận ra các đặc điểm bảo mật trên các giấy tờ tùy thân hợp lệ và đã có thể phát hiện ra bằng lái xe giả mạo của kẻ gian trước khi giao dịch mua bán hoàn tất.

• Hire an Identity verification service

  Các công ty này quét cơ sở dữ liệu về những cá nhân đã biết hoặc bị nghi ngờ gian lận và cung cấp đánh giá rủi ro mà bên cho vay có thể sử dụng để quyết định có nên chấp thuận tài chính cho khách hàng hay không.

• Deploy device-based authentication technology.

  Các ứng dụng này có thể xác nhận chủ sở hữu số điện thoại theo thời gian thực, giúp xác minh an toàn và đáng tin cậy hơn. Việc này thường bao gồm gửi một tin nhắn xác nhận đến số điện thoại do khách hàng cung cấp. Trong trường hợp này, công nghệ này có thể đã phát hiện ra rằng kẻ gian đã cung cấp một số điện thoại giả mạo.

• Train staff to recognize suspicious behaviors and documents.

  Nhân viên nên học cách sử dụng các công cụ và công nghệ để xác minh khách hàng mới và bảo vệ doanh nghiệp chống lại hành vi trộm cắp danh tính và các rủi ro gian lận.

• Install physical security such as a surveillance system

  Một hệ thống có camera quan sát rõ ràng có thể ngăn chặn những kẻ gian lận cố gắng gian lận doanh nghiệp và cung cấp bằng chứng cho cảnh sát trong một cuộc điều tra hình sự. Nếu kẻ gian lận biết rằng cô ta đang bị theo dõi khi đến nơi, cô ta có thể đã chuyển sang một đại lý ô tô khác.

Học CIA Online 🇻🇳

IIA - Yêu cầu theo Chủ đề: Bên Thứ Ba - Mọi điều cần biết

Các doanh nghiệp hiện đại không thể tồn tại nếu không có các mối quan hệ với bên thứ ba, tuy nhiên điều này tạo ra những rủi ro đáng kể. Nếu nhà cung cấp không đáp ứng được nghĩa vụ, gặp phải sự cố vi phạm an ninh mạng hoặc có hành vi phi đạo đức, thì tổ chức của bạn cuối cùng phải gánh chịu hậu quả. Thêm vào đó là sự phức tạp ngày càng tăng của chuỗi cung ứng toàn cầu và các mô hình thuê ngoài, các chiến lược quản lý rủi ro bên thứ ba hiệu quả là rất quan trọng để có được tầm nhìn về mức độ rủi ro của một tổ chức, giảm thiểu các mối đe dọa tiềm ẩn và đảm bảo khả năng phục hồi kinh doanh mạnh mẽ, lâu dài.

Các sự cố liên quan đến bên thứ ba không chỉ là lý thuyết suông. Những ví dụ gần đây cho thấy bản chất phức tạp của những rủi ro này:

• Các vụ xâm phạm an ninh mạng: Sự cố SolarWinds năm 2020 cho thấy các lỗ hổng ở bên thứ ba có thể gây nguy hại cho chuỗi cung ứng toàn cầu, gây ra các gián đoạn hoạt động trên diện rộng và tổn hại uy tín.
• Vi phạm quy định: Các tổ chức tài chính đối mặt với các hình phạt do các nhà cung cấp bên thứ ba không tuân thủ các quy định về bảo mật dữ liệu, chẳng hạn như GDPR.
• Các Sự Cố Vận Hành: Việc nhà cung cấp mất khả năng thanh toán, như sự sụp đổ đột ngột của các nhà cung cấp dịch vụ CNTT lớn, có thể đột ngột làm gián đoạn hoạt động kinh doanh, từ đó làm bật lên tầm quan trọng của việc giám sát toàn diện nhà cung cấp và lập kế hoạch dự phòng.

Nhận thấy những rủi ro này, Viện Kiểm toán nội bộ (The IIA) đã giới thiệu Yêu cầu theo chủ đề Bên thứ ba như một phần của tiêu chuẩn kiểm toán nội bộ toàn cầu. Yêu cầu này quy định rằng các kiểm toán viên nội bộ phải áp dụng một phương pháp tiêu chuẩn hóa để kiểm toán các quy trình quản lý rủi ro bên thứ ba (TPRM), đảm bảo các đánh giá nhất quán, chất lượng cao, tăng cường khả năng phục hồi của tổ chức.

Hướng dẫn này phân tích chi tiết Yêu cầu theo chủ đề Bên thứ ba (Third-Party Topical Requirement - TPRM), phác thảo các kỳ vọng chính về quản trị, rủi ro và kiểm soát. Nó cũng cung cấp lộ trình cho các kiểm toán viên nội bộ điều hướng các cuộc kiểm toán TPRM một cách hiệu quả đồng thời thúc đẩy xây dựng sự hợp tác trong việc giám sát rủi ro bên thứ ba.

Tổng quan về Yêu cầu theo chủ đề Bên thứ ba của IIA

Yêu cầu theo chủ đề Bên thứ ba của IIA thiết lập một khuôn khổ bắt buộc để đánh giá rủi ro từ bên thứ ba. Kiểm toán viên nội bộ phải đánh giá một cách nhất quán cấu trúc quản trị, chiến lược quản lý rủi ro và các quy trình kiểm soát.

Yêu cầu này tăng cường tính minh bạch bằng cách thiết lập các kỳ vọng rõ ràng của tổ chức và đảm bảo các biện pháp giảm thiểu rủi ro phù hợp với các mục tiêu kinh doanh. Yêu cầu này áp dụng cho các cuộc đánh giá kiểm toán nội bộ, nơi rủi ro của bên thứ ba là một phần của kế hoạch kiểm toán, phát sinh trong quá trình đánh giá hoặc được các bên liên quan yêu cầu. Mặc dù tuân thủ là bắt buộc đối với các dịch vụ đảm bảo, nhưng cũng nên áp dụng cho các dịch vụ tư vấn để củng cố các thông lệ tốt nhất trong quản lý rủi ro bên thứ ba.

Sự phù hợp với Quy định và Khuôn khổ Ngành

Yêu cầu theo chủ đề Bên thứ Ba của IIA phù hợp một cách nhất quán với các tiêu chuẩn quy định và khuôn khổ ngành được công nhận rộng rãi, bao gồm ISO 27001, GDPR, SOC 2 và HIPAA. Bằng cách tích hợp Yêu cầu theo chủ đề Bên thứ Ba vào các nỗ lực tuân thủ hiện có, các tổ chức có thể tránh các quy trình dư thừa, hợp lý hóa kiểm toán và nâng cao hiệu quả tuân thủ tổng thể. Tận dụng các khuôn khổ bổ sung này hỗ trợ một phương pháp tiếp cận toàn diện trong việc quản lý rủi ro của bên thứ ba và tăng cường khả năng phục hồi của tổ chức.

Chi tiết về Yêu cầu Chủ đề Bên thứ ba

Yêu cầu theo Chủ đề Bên thứ ba được cấu trúc xoay quanh ba lĩnh vực chính: quản trị, quản lý rủi ro và quy trình kiểm soát.

• Quản trị giám sát các cam kết với bên thứ ba, đảm bảo các chính sách, vai trò và trách nhiệm được xác định rõ ràng.
• Quản lý rủi ro bao gồm việc đánh giá hoạt động nhận diện, đánh giá và giảm thiểu rủi ro của bên thứ ba, đòi hỏi các tổ chức phải triển khai các khuôn khổ có hệ thống để giám sát liên tục.
• Các quy trình kiểm soát đảm bảo rằng các nghĩa vụ theo hợp đồng được đáp ứng, hiệu suất được đánh giá liên tục và các hành động khắc phục cần thiết được thực hiện khi các bên thứ ba không đáp ứng được kỳ vọng.

Ba lĩnh vực thiết lập một cách tiếp cận toàn diện để quản lý rủi ro từ bên thứ ba một cách hiệu quả.

Yêu cầu quản trị cho quản lý rủi ro Bên thứ ba

Một khuôn khổ quản trị tốt là yếu tố cần thiết để quản lý rủi ro từ bên thứ ba một cách hiệu quả. Kiểm toán viên nội bộ phải đánh giá xem một tổ chức có thiết lập các chính sách và thủ tục chính thức để làm việc với các bên thứ ba hay không, đảm bảo các chính sách này phù hợp với các yêu cầu pháp lý và mục tiêu kinh doanh. Cơ cấu quản trị nên xác định rõ vai trò và trách nhiệm trong việc lựa chọn, giám sát và quản lý các mối quan hệ với bên thứ ba.

Ngoài ra, kiểm toán viên nên đánh giá xem liệu có sự giám sát thích hợp từ cấp điều hành và hội đồng quản trị hay không, đặc biệt đối với các cam kết với bên thứ ba có rủi ro cao. Các cơ chế truyền thông phải được thiết lập để đảm bảo rằng các bên liên quan nhận được thông tin cập nhật kịp thời về hiệu quả hoạt động, rủi ro và các vấn đề tuân thủ của bên thứ ba. Quản trị mạnh mẽ sẽ giảm thiểu rủi ro và đảm bảo trách nhiệm giải trình và sự phù hợp chiến lược trong các mối quan hệ với bên thứ ba.

Quản lý rủi ro trong mối quan hệ với Bên thứ ba

Quản lý rủi ro là rất quan trọng trong việc giám sát bên thứ ba, yêu cầu các tổ chức phải xác định và phân loại rủi ro liên quan đến nhà cung cấp, nhà thầu và nhà cung cấp dịch vụ.

Kiểm toán viên nội bộ phải đánh giá xem các tổ chức có sử dụng các quy trình quản lý rủi ro được chuẩn hoá đã bao gồm các rủi ro về tài chính, hoạt động, an ninh mạng và pháp lý hay không. Một cách tiếp cận có hệ thống đối với việc phân loại rủi ro của bên thứ ba giúp các tổ chức ưu tiên cho các chiến lược ứng phó và phân bổ nguồn lực một cách phù hợp.

Các tổ chức cũng phải tiến hành đánh giá rủi ro ban đầu và định kỳ để đảm bảo liên tục phù hợp với các mối đe dọa và thay đổi pháp lý đang diễn ra. Các quy trình tạo điều kiện báo cáo kịp thời các sự cố một cách hiệu quả phải được thiết lập để giải quyết các sự cố của bên thứ ba, đảm bảo hành động khắc phục kịp thời khi cần thiết. Các tổ chức có thể chủ động giải quyết các lỗ hổng và bảo vệ hoạt động bằng cách liên tục giám sát các rủi ro của bên thứ ba.

Quy trình kiểm soát để giám sát Bên thứ ba

Các quy trình kiểm soát hiệu quả là nền tảng để quản lý rủi ro từ bên thứ ba. Kiểm toán viên nội bộ nên đánh giá xem các tổ chức có các hợp đồng được lập thành văn bản và có hiệu lực thi hành, trong đó nêu rõ các kỳ vọng về hiệu quả hoạt động, các yêu cầu về bảo mật và các nghĩa vụ tuân thủ hay không.

Trước khi bắt đầu mối quan hệ, quy trình thẩm định phải toàn diện, bao gồm kiểm tra lý lịch tài chính, đánh giá an ninh mạng và rà soát tuân thủ quy định. Khi bên thứ ba đã có hợp đồng, việc giám sát liên tục đảm bảo rằng các mối quan hệ với bên thứ ba tuân thủ các thỏa thuận hợp đồng và chính sách của tổ chức.

Về mặt nội bộ, các tổ chức nên có quy trình theo dõi quyền truy cập của nhà cung cấp vào các hệ thống và dữ liệu quan trọng, giảm thiểu các vi phạm tiềm ẩn và thực hiện các biện pháp khắc phục khi có các lo ngại về bảo mật. Ngoài ra, các kiểm toán viên nội bộ nên đánh giá xem có các quy trình cho việc gia hạn hợp đồng, ngừng hợp tác (offboarding) và chuyển đổi sang các nhà cung cấp dịch vụ mới khi cần thiết hay không. Các quy trình kiểm soát được xác định rõ ràng đảm bảo các tổ chức duy trì khả năng phục hồi và giảm thiểu rủi ro từ bên thứ ba.

Yêu cầu này ảnh hưởng đến công việc của bạn như thế nào

Đối với các chuyên gia quản lý rủi ro bên thứ ba, Yêu cầu theo chủ đề Bên thứ ba cung cấp một khuôn khổ rõ ràng cho kiểm toán nội bộ, cho phép họ chuẩn bị chủ động và điều chỉnh các chiến lược giảm thiểu rủi ro phù hợp với kỳ vọng kiểm toán. Bằng cách thực hiện các chính sách và quy trình có hệ thống, các nhóm có thể đảm bảo việc giám sát bên thứ ba được tích hợp tốt vào quản lý rủi ro doanh nghiệp. Ngoài ra, yêu cầu này củng cố cơ sở để đảm bảo các nguồn lực và đầu tư vào các giải pháp quản lý rủi ro nhà cung cấp.

Đối với kiểm toán viên nội bộ, yêu cầu này mở rộng trách nhiệm bằng cách đòi hỏi sự hiểu biết sâu sắc hơn về các hoạt động quản lý rủi ro bên thứ ba. Kiểm toán viên phải làm việc chặt chẽ với bộ phận mua hàng, pháp lý và tuân thủ để đánh giá cấu trúc quản trị và cơ chế kiểm soát của bên thứ ba. Yêu cầu này cũng thúc đẩy sự hợp tác chặt chẽ hơn giữa kiểm toán viên và người quản lý rủi ro, thúc đẩy một cách tiếp cận gắn kết hơn để xác định và giải quyết các lỗ hổng của bên thứ ba.

Chuẩn bị cho kiểm toán quản lý rủi ro Bên thứ ba

Chuẩn bị kiểm toán là chìa khóa để hướng tới thành công trong một cuộc kiểm toán quản lý rủi ro bên thứ ba. Các tổ chức nên xem xét kỹ Yêu cầu theo chủ đề Bên thứ ba của IIA để hiểu rõ những ảnh hưởng của nó đối với các hoạt động quản lý rủi ro hiện có. Thu thập các tài liệu liên quan như hợp đồng với bên thứ ba, đánh giá rủi ro và báo cáo tuân thủ để đảm bảo các kiểm toán viên có thể truy cập các thông tin cần thiết. Thiết lập các kênh liên lạc rõ ràng giữa các nhóm kiểm toán và quản lý rủi ro cũng có thể giúp hợp lý hóa quy trình kiểm toán và ngăn ngừa hiểu lầm không đáng có.

Nếu bạn đang lên kế hoạch cho một cuộc kiểm toán TPRM trong tương lai, có những bước mà tổ chức của bạn có thể thực hiện để tích hợp các thông lệ tốt nhất vào quy trình quản lý rủi ro, cụ thể là:

• Tiêu chuẩn hóa việc đánh giá rủi ro: Phát triển các danh sách kiểm tra để đánh giá rủi ro của bên thứ ba một cách đồng nhất, bao gồm các yếu tố như quản trị, sự ổn định tài chính, an ninh mạng, tuân thủ quy định và khả năng phục hồi hoạt động.
• Tích hợp vào quản lý rủi ro doanh nghiệp: Đảm bảo rủi ro từ bên thứ ba được phản ánh trong các khung quản lý rủi ro chung của doanh nghiệp, tạo điều kiện thuận lợi cho việc theo dõi toàn diện và phối hợp trong các hoạt động giảm thiểu rủi ro.
• Thành lập các Ủy ban liên chức năng: Thành lập các ủy ban với sự góp mặt của kiểm toán, tuân thủ, mua sắm, pháp lý, an ninh mạng và các đội ngũ vận hành để tăng cường sự trao đổi thông tin, trách nhiệm giải trình và khả năng ứng phó.

Duy trì tính minh bạch trong quá trình kiểm toán là điều cần thiết. Các nhóm quản lý rủi ro và tuân thủ nên chủ động chia sẻ các rủi ro đã biết và các hoạt động giảm thiểu rủi ro đang diễn ra với kiểm toán viên thay vì chờ kiểm toán viên tự xác định chúng. Tập trung vào các giải pháp thiết thực hơn là chỉ nêu bật những thiếu sót sẽ giúp trải nghiệm kiểm toán mang tính xây dựng hơn. Tận dụng công nghệ để tạo điều kiện thuận lợi cho việc lập tài liệu, kiểm tra kiểm soát và báo cáo có thể nâng cao hiệu quả và độ chính xác.

Sau cuộc kiểm toán, các tổ chức nên thống nhất về các chiến lược khắc phục và thời gian thực hiện. Kiểm toán nội bộ và các nhóm quản lý rủi ro bên thứ ba nên làm việc cùng nhau để báo cáo các phát hiện và khuyến nghị cho lãnh đạo cấp cao, đảm bảo rằng các hành động khắc phục được ưu tiên một cách có hiệu quả. Thiết lập quan hệ đối tác liên tục giữa các nhóm kiểm toán và tuân thủ có thể dẫn đến những cải tiến lâu dài trong thực tiễn quản lý rủi ro bên thứ ba và khả năng phục hồi tổng thể của tổ chức.

Tận dụng công nghệ để đáp ứng Yêu cầu theo chủ đề Bên thứ ba

Các quy trình quản lý rủi ro bên thứ ba truyền thống thường rời rạc và kém hiệu quả, dẫn đến những lỗ hổng trong tuân thủ và làm gia tăng rủi ro. Các giải pháp công nghệ tích hợp như AuditBoard giúp đơn giản hóa việc kiểm toán TPRM bằng cách tập trung dữ liệu rủi ro, tự động hóa việc theo dõi tuân thủ và cải thiện sự hợp tác giữa các nhóm kiểm toán, rủi ro, mua sắm và tuân thủ.

Các tổ chức tận dụng công nghệ có thể:

• Tập trung và hợp lý hóa quản lý dữ liệu: Các nền tảng công nghệ tập trung hóa thông tin của bên thứ ba, tạo ra một nguồn thông tin duy nhất đáng tin cậy, điều này cho phép dễ dàng truy cập và phân tích hiệu quả hoạt động của nhà cung cấp, hợp đồng, hồ sơ tuân thủ và đánh giá rủi ro.
• Tăng cường giám sát và ứng phó theo thời gian thực: Các công cụ giám sát theo thời gian thực cung cấp khả năng theo dõi liên tục đối với rủi ro và sự tuân thủ của bên thứ ba, cho phép các tổ chức phát hiện và giải quyết kịp thời các rủi ro mới phát sinh hoặc các vi phạm về tuân thủ một cách chủ động.
• Tự động hóa tuân thủ và báo cáo: Tự động hóa giúp giảm thiểu các các công việc theo dõi tuân thủ và báo cáo thủ công, cho phép kiểm toán viên và các nhà quản lý rủi ro tập trung vào giám sát chiến lược thay vì bị gánh nặng bởi các công việc hành chính.
• Tạo điều kiện cộng tác hiệu quả: Các nền tảng tích hợp thúc đẩy sự cộng tác hiệu quả giữa các nhóm kiểm toán, quản lý rủi ro, tuân thủ, mua sắm và an ninh mạng, đảm bảo sự thống nhất về các ưu tiên và hành động trong quản lý rủi ro bên thứ ba.
• Cải thiện sự sẵn sàng kiểm toán: Tài liệu thông suốt, báo cáo toàn diện và việc dễ dàng truy xuất thông tin kiểm toán quan trọng giúp cải thiện khả năng sẵn sàng kiểm toán và đơn giản hóa việc tuân thủ Yêu cầu theo chủ đề của bên thứ ba của IIA.

Việc áp dụng các giải pháp công nghệ tiên tiến giúp tăng cường đáng kể khả năng phục hồi của tổ chức bằng cách cho phép việc quản lý rủi ro từ bên thứ ba hiệu quả hơn.

Hơn nữa, Trí tuệ nhân tạo tạo sinh (GenAI) ngày càng chuyển đổi việc Quản lý rủi ro Bên thứ ba  (TPRM). Các giải pháp do GenAI cung cấp giúp tăng cường khả năng nhận diện rủi ro thông qua phân tích dự đoán, phân tích hiệu quả các bộ dữ liệu lớn để làm nổi bật các lỗ hổng tiềm ẩn và rủi ro mới hình thành. Các thuật toán học máy (Machine learning) giúp tinh chỉnh các đánh giá rủi ro và độ chính xác trong dự báo, cho phép các tổ chức giải quyết các mối đe dọa tiềm ẩn và tối ưu hóa việc phân bổ nguồn lực một cách chủ động. Tự động hóa dựa trên AI cũng giúp đơn giản hóa việc thẩm định nhà cung cấp, xác minh tuân thủ và đánh giá hiệu suất, giảm gánh nặng vận hành và cho phép các nhóm quản lý rủi ro tập trung vào các nhiệm vụ chiến lược ưu tiên cao.

Học CIA Online 🇻🇳

IIA -- Yêu cầu theo chủ đề: An ninh mạng

Yêu cầu Chủ đề An ninh mạng của IIA -- Tổng quan, chi tiết và tác động công việc đối với Kiểm toán nội bộ và InfoSec

Trước tình hình các mối đe dọa an ninh mạng ngày càng gia tăng, tất cả các bộ phận phải phối hợp với nhau để bảo vệ tổ chức của mình một cách hiệu quả. Tuy nhiên, thực tế là những bộ phận chủ chốt như kiểm toán nội bộ và an ninh thông tin (Infosec) thường hoạt động độc lập và khó chịu trước ý nghĩ về các cuộc kiểm toán an ninh mạng. Để cải thiện vấn đề này cho cả hai bộ phận, Viện Kiểm toán Nội bộ (IIA), một tổ chức thiết lập tiêu chuẩn nghề nghiệp toàn cầu, đã giới thiệu Các Yêu cầu Theo Chủ đề, đề cập đến các lĩnh vực cụ thể có rủi ro và thách thức riêng. Yêu cầu đầu tiên của họ là giải quyết vấn đề an ninh mạng và đưa ra lộ trình để kiểm toán và InfoSec làm việc nhất quán và cộng tác với nhau.

TỔNG QUAN VỀ YÊU CẦU CHỦ ĐỀ AN NINH MẠNG CỦA IIA

Trong lịch sử, các kiểm toán viên nội bộ đã tiếp cận an ninh mạng với các mức độ chặt chẽ khác nhau, thường tùy thuộc vào quy mô, lĩnh vực của tổ chức và mức độ quen thuộc của kiểm toán viên với các rủi ro trên không gian mạng. Nhận thấy bản chất quan trọng và phổ quát của an ninh mạng, IIA đã giới thiệu Yêu cầu Chủ đề An ninh mạng (Cybersecurity Topical Requirement) như là chủ đề đầu tiên theo khuôn khổ Yêu cầu Chủ đề mới của mình.

Yêu cầu về Chủ đề An ninh mạng đảm bảo rằng các kiểm toán viên nội bộ tiếp cận các cuộc kiểm toán an ninh mạng với một phương pháp luận nhất quán. Nó nhấn mạnh sự cần thiết của việc các kiểm toán viên phát triển sự hiểu biết thấu đáo về bối cảnh an ninh mạng, bao gồm các mối đe dọa tiềm ẩn, các lỗ hổng và những tác động của các sự cố mạng đối với hoạt động của tổ chức. Bằng cách thiết lập một cơ sở cho các cuộc kiểm toán an ninh mạng, IIA cung cấp một lộ trình mà các tổ chức thuộc mọi quy mô có thể áp dụng, thúc đẩy tính nhất quán và giảm sự biến động vốn có trước đây trong các cuộc kiểm toán an ninh mạng.

Không giống như các phương pháp kiểm toán truyền thống thường xem an ninh mạng là một rủi ro riêng biệt, yêu cầu này quy định rằng rủi ro an ninh mạng phải được tích hợp liên tục vào kế hoạch kiểm toán. Sự thay đổi này nhận thấy rằng các mối đe dọa trên không gian mạng luôn thay đổi, đòi hỏi một phương pháp kiểm toán liên tục và có khả năng thích ứng.

Sự hợp tác là một phần nền tảng của hướng dẫn. Các kiểm toán viên nội bộ nên làm việc chặt chẽ với các nhóm InfoSec để hiểu toàn diện về tình hình an ninh mạng của tổ chức. Sự hợp tác là điều cần thiết để đánh giá hiệu quả các biện pháp kiểm soát an ninh mạng và thúc đẩy cam kết chung đối với khả năng phục hồi của tổ chức.

CHI TIẾT CỤ THỂ CỦA YÊU CẦU CHỦ ĐỀ AN NINH MẠNG

Yêu cầu về Chủ đề An ninh mạng được thiết kế để chuẩn hóa và nâng cao cách tiếp cận của kiểm toán viên nội bộ đối với kiểm toán an ninh mạng và cung cấp cho các nhóm InfoSec thông tin chi tiết về các kỳ vọng kiểm soát mà các kiểm toán viên sẽ đánh giá. Hướng dẫn bắt đầu bằng cách liệt kê các yêu cầu trong ba lĩnh vực: Quản trị, Quản lý Rủi ro và Kiểm soát.

Hướng dẫn này bao gồm hai tài liệu: Yêu cầu chuyên đề và Hướng dẫn sử dụng Yêu cầu chuyên đề.

• Yêu cầu chuyên đề tóm tắt ba lĩnh vực chính là “mức tối thiểu để đánh giá an ninh mạng trong một tổ chức.” Trong mỗi lĩnh vực, tài liệu liệt kê các yêu cầu áp dụng mà kiểm toán viên nội bộ phải đánh giá.
• Hướng dẫn sử dụng bổ sung bản tóm tắt bằng các gợi ý chi tiết để áp dụng các yêu cầu trong từng lĩnh vực. Các hướng dẫn chi tiết cung cấp hướng dẫn từng bước để thực hiện kiểm toán an ninh mạng. Tiếp theo, Hướng dẫn sử dụng bao gồm việc tham chiếu tới NIST Cybersecurity Framework 2.0, COBIT 2019 và NIST 800-53. Phần cuối cùng của Hướng dẫn sử dụng là một chương trình kiểm toán mẫu có thể được sử dụng làm tài liệu tham khảo để thiết kế các bước kiểm tra kiểm toán cụ thể.

Các khía cạnh chính của hướng dẫn bao gồm:

1. Hiểu biết Toàn diện về Rủi ro Mạng

Kiểm toán viên nội bộ phải đạt được sự hiểu biết thấu đáo về bối cảnh an ninh mạng, bao gồm các mối đe dọa tiềm ẩn, lỗ hổng và tác động đặc thù đối với tổ chức của họ. Điều này đánh dấu một sự thay đổi so với các phương pháp tiếp cận truyền thống coi an ninh mạng là một lĩnh vực riêng biệt.

2. Tích hợp Với Kế hoạch Kiểm toán

Rủi ro an ninh mạng phải được đưa vào kế hoạch kiểm toán trong suốt cả năm thay vì chỉ giới hạn trong các đánh giá hàng năm. Điều này đảm bảo rằng các cuộc kiểm toán luôn phù hợp trước các mối đe dọa đang phát triển nhanh chóng.

3. Hợp tác Với Nhóm InfoSec

Kiểm toán viên nên làm việc chặt chẽ với các đồng nghiệp InfoSec để thống nhất về các mục tiêu, chia sẻ kiến thức và đạt được đánh giá toàn diện về các biện pháp kiểm soát an ninh mạng.

4. Tiêu chuẩn Tối thiểu cho Kiểm toán An ninh Mạng

Hướng dẫn đặt ra các kỳ vọng rõ ràng về phạm vi và chất lượng của kiểm toán an ninh mạng, đảm bảo tính nhất quán giữa các tổ chức thuộc mọi quy mô.

Mặc dù hướng dẫn được viết từ góc độ của kiểm toán viên, nhưng nội dung của nó rất có giá trị cho bất kỳ ai bảo vệ một tổ chức khỏi các mối đe dọa trên mạng. Đặc biệt, các phụ lục là một lộ trình vững chắc để đánh giá môi trường kiểm soát của một tổ chức, bất kể vai trò của bạn là gì. Bằng cách cung cấp các tiêu chuẩn này, IIA đã tạo ra một nguồn lực để cải thiện chất lượng kiểm toán và thúc đẩy mối quan hệ tốt hơn giữa các kiểm toán viên và các chuyên gia InfoSec, củng cố khả năng phục hồi trên mạng của tổ chức.

Yêu cầu Quản trị đối với An ninh Mạng

Kiểm toán viên nội bộ phải đánh giá mức độ hiệu quả trong việc các quy trình quản trị của tổ chức giải quyết các rủi ro an ninh mạng trong quá trình kiểm toán. Đối với quản trị, điều này liên quan đến việc đảm bảo rằng các chính sách và quy trình an ninh mạng được thiết lập, cập nhật thường xuyên và phù hợp với các khuôn khổ được công nhận rộng rãi như National Institute of Standards and Technology (NIST) hoặc Control Objectives for Information and Related Technologies (COBIT).

Lãnh đạo tổ chức phải xác định rõ ràng quyền hạn và trách nhiệm về an ninh mạng cho những cá nhân có năng lực. Kiểm toán viên cũng nên xác nhận rằng các cập nhật liên quan đến chiến lược, rủi ro và kiểm soát an ninh mạng được thông báo thường xuyên cho hội đồng quản trị. Ngoài ra, điều quan trọng là phải xác nhận rằng các bên liên quan chính, bao gồm lãnh đạo và các nhà cung cấp chiến lược, tích cực tham gia "để thảo luận và hành động đối với các lỗ hổng hiện có và các mối đe dọa mới nổi trong môi trường an ninh mạng". Hơn nữa, các nguồn lực thiết yếu như ngân sách, đào tạo và công nghệ phải được thông báo để hỗ trợ các sáng kiến này.

Quản lý Rủi ro trong An ninh Mạng

Các kiểm toán viên đánh giá xem các quy trình quản lý rủi ro của một tổ chức có giải quyết hiệu quả các rủi ro an ninh mạng hay không. Đánh giá quản lý rủi ro bao gồm xác minh rằng có một phương pháp tiếp cận có hệ thống để xác định, phân tích và giảm thiểu rủi ro CNTT và an ninh mạng, với sự tham gia từ các nhóm đa chức năng và các bên liên quan bên ngoài khi cần thiết.

Các chính sách quản lý rủi ro phải được thiết lập, cập nhật thường xuyên và phù hợp với các khuôn khổ được công nhận. Trách nhiệm giải trình rõ ràng nên được chỉ định để giám sát và ứng phó với các rủi ro mới nổi. Các quy trình nên tạo điều kiện báo cáo kịp thời đối với các rủi ro quan trọng đạt đến "mức không thể chấp nhận được theo hướng dẫn quản lý rủi ro đã được thiết lập của tổ chức", đảm bảo tuân thủ các nghĩa vụ pháp lý và hợp đồng, đồng thời quản lý rủi ro liên quan đến các bên thứ ba. Ngoài ra, kiểm toán viên sẽ đánh giá các biện pháp bảo vệ dữ liệu, chẳng hạn như thực tiễn mã hóa và chính sách lưu giữ dữ liệu, đồng thời thông báo mọi rủi ro hoạt động an ninh mạng cho ban quản lý và nhân viên.

Quy trình Kiểm soát đối với An ninh Mạng

Các kiểm toán viên nội bộ phải đánh giá các biện pháp kiểm soát an ninh mạng của tổ chức để xác định xem chúng có được thiết kế và triển khai đúng cách hay không. Điều này bao gồm ưu tiên các biện pháp kiểm soát dựa trên rủi ro, phân bổ nguồn lực hiệu quả và cung cấp đào tạo nhân viên cần thiết. Các chính sách nên bao gồm tất cả các khía cạnh của hoạt động an ninh mạng, bao gồm tích hợp vòng đời phát triển hệ thống, quản lý phần cứng và hỗ trợ sản xuất.

Yêu cầu này bao gồm các biện pháp kiểm soát chung về CNTT như "cấu hình, quản lý thiết bị người dùng cuối, mã hóa, vá lỗi, quản lý quyền truy cập người dùng và giám sát tính khả dụng và hiệu suất". Các biện pháp kiểm soát phải bao gồm các lĩnh vực như bảo mật mạng, email, chia sẻ file và bảo mật vật lý của các trung tâm thông tin có rủi ro cao. Ngoài ra, các kiểm toán viên phải đảm bảo rằng tổ chức có các quy trình ứng phó và phục hồi sự cố một cách hiệu quả và an ninh mạng được tích hợp với các quy trình cung cấp dịch vụ, chẳng hạn như quản lý thay đổi và hoạt động của bộ phận hỗ trợ kỹ thuật.

YÊU CẦU TÁC ĐỘNG ĐẾN CÔNG VIỆC CỦA BẠN NHƯ THẾ NÀO

Việc giới thiệu Yêu cầu Chuyên đề về An ninh mạng có những tác động sâu rộng đối với các kiểm toán viên nội bộ và các chuyên gia InfoSec, cả trong vai trò cá nhân của họ và trong mối quan hệ làm việc của họ.

Đối với các chuyên gia An toàn Thông tin, yêu cầu này cung cấp sự rõ ràng hơn về những kỳ vọng của kiểm toán. Bằng cách chỉ ra rõ các lĩnh vực trọng tâm cụ thể, Yêu cầu Chủ đề An ninh Mạng cho phép các nhóm An toàn Thông tin chuẩn bị hiệu quả hơn, giảm sự mơ hồ và căng thẳng thường đi kèm với các cuộc kiểm toán. Hướng dẫn này cũng khuyến khích các nhóm An toàn Thông tin áp dụng một cách tiếp cận chủ động bằng cách tự đánh giá và giải quyết các lỗ hổng trước khi chúng trở thành phát hiện của kiểm toán. Sự tham gia chủ động này giúp hợp lý hóa quy trình kiểm toán và thể hiện cam kết cải tiến liên tục, tăng cường năng lực an ninh mạng của tổ chức.

Đối với kiểm toán viên nội bộ, yêu cầu này thể hiện sự mở rộng đáng kể về trách nhiệm. Các kiểm toán viên giờ đây phải hiểu rõ hơn về an ninh mạng, bao gồm các khái niệm kỹ thuật và khung quản lý rủi ro, đặc biệt là những khung hiện đang được sử dụng trong tổ chức của họ. Sự thay đổi này đòi hỏi các kiểm toán viên phải đầu tư vào việc học tập liên tục và hợp tác chặt chẽ hơn với các đồng nghiệp InfoSec. Bằng cách đó, các kiểm toán viên có thể nâng cao khả năng đánh giá rủi ro an ninh mạng một cách hiệu quả và đưa ra các khuyến nghị khả thi hỗ trợ các mục tiêu của tổ chức.

Tác động đối với Chuyên gia InfoSec

Đối với các đội InfoSec, hướng dẫn này giúp hiểu rõ hơn về những gì kiểm toán viên mong đợi và giới thiệu kiểm toán viên như những đồng minh trong cuộc chiến chống lại các mối đe dọa trên mạng.

1. Tính dự đoán trong trọng tâm kiểm toán: Hướng dẫn phác thảo các lĩnh vực trọng tâm cụ thể cho kiểm toán an ninh mạng. Các nhóm InfoSec có thể sử dụng hướng dẫn để tự đánh giá, xác định và giải quyết các lỗ hổng trước khi chúng trở thành phát hiện kiểm toán. Việc có chương trình kiểm toán từ phụ lục nghĩa là bạn biết chính xác những loại câu hỏi mà kiểm toán viên sẽ hỏi.

2. Hỗ trợ phân bổ nguồn lực: Các kiểm toán viên có thể đóng vai trò là người ủng hộ độc lập cho các khoản đầu tư an ninh mạng, tăng thêm uy tín cho các yêu cầu tài trợ, công cụ hoặc nhân sự bổ sung. Với tư cách là các chuyên gia an ninh mạng, nhóm InfoSec có thể hướng dẫn các kiểm toán viên đến các lĩnh vực cần cải thiện và bổ sung nguồn lực. Kiểm toán viên có thể trình bày trường hợp của bạn với ban quản lý cấp cao và đưa ra một lập luận thích hợp miễn là họ hiểu rõ các chi tiết.

3. Cải thiện sự hợp tác: Với việc các kiểm toán viên hiện được trang bị kiến thức để hiểu các rủi ro an ninh mạng, các chuyên gia InfoSec có thể làm việc hiệu quả hơn với họ để thống nhất các ưu tiên và đưa ra một quan điểm thống nhất với lãnh đạo. Vì kiểm toán viên sẽ thực hiện công việc trên toàn tổ chức, họ có thể thúc đẩy các biện pháp kiểm soát an ninh mạng mạnh mẽ hơn ở những khu vực mà nhóm InfoSec có thể không trực tiếp tiếp cận.

Tác động đối với Chuyên gia Kiểm toán Nội bộ

Đối với kiểm toán viên nội bộ, Yêu cầu Chủ đề An ninh mạng vừa là một thách thức, vừa là một cơ hội.

1. Trách nhiệm mở rộng: Kiểm toán viên phải hiểu sâu hơn về an ninh mạng, bao gồm thuật ngữ kỹ thuật, khung pháp lý và các phương pháp quản lý rủi ro. Điều này đòi hỏi học hỏi liên tục và hợp tác chặt chẽ hơn với InfoSec để hiểu mức độ chấp nhận rủi ro mạng của tổ chức.

2. Tăng Cường Hợp Tác: Hướng dẫn nhấn mạnh việc phá vỡ các rào cản giữa kiểm toán và InfoSec. Một cách tiếp cận hợp tác cho phép kiểm toán viên hiểu được bối cảnh rủi ro của tổ chức và việc áp dụng các quy trình kiểm soát. Để hiệu quả, bạn phải học hỏi từ các đối tác InfoSec của mình.

3. Ủng hộ Đầu tư vào An ninh Mạng: Kiểm toán viên nội bộ có thể sử dụng các phát hiện của họ để ủng hộ các biện pháp an ninh mạng mạnh mẽ hơn, giúp đảm bảo các nguồn lực cần thiết để giảm thiểu rủi ro một cách hiệu quả. Trưởng bộ phận Kiểm toán nội bộ có một vị trí đặc biệt là một trong số ít những người nói chuyện trực tiếp với hội đồng quản trị, vì vậy họ có thể đưa ra một lập luận có cơ sở để phân bổ nguồn lực.

4. Thúc đẩy Cải tiến Liên tục: Bằng cách xác định các lỗ hổng và đề xuất các giải pháp khả thi, các kiểm toán viên có thể là đối tác đáng tin cậy trong việc tăng cường cơ cấu an ninh của tổ chức. An ninh mạng không phải là một chủ đề cho một cuộc kiểm toán duy nhất mà là một khái niệm phổ biến, thấm nhuần trong toàn tổ chức. Giống như rủi ro gian lận, rủi ro an ninh mạng phải được xem xét trong mọi cuộc kiểm toán.

NẮM BẮT CƠ HỘI ĐỂ KIỂM TOÁN AN NINH MẠNG TỐT HƠN

Yêu cầu về Chủ đề An ninh mạng mang đến cơ hội cho các nhóm kiểm toán và InfoSec phối hợp trong cuộc chiến chống lại các mối đe dọa mạng và tăng cường khả năng phục hồi của doanh nghiệp. Đối với kiểm toán viên nội bộ, hướng dẫn này có thể giúp bạn đánh giá rủi ro an ninh mạng hiệu quả hơn. Đối với các chuyên gia InfoSec, đây là cơ hội để điều chỉnh theo các mục tiêu kiểm toán và bảo đảm nguồn lực cho các sáng kiến an ninh quan trọng. 

Học CISA Online 🇻🇳

ĐỘI HÌNH MƠ ƯỚC VỀ KHẢ NĂNG ỨNG PHÓ VỚI TẤN CÔNG MẠNG

KIỂM TOÁN NỘI BỘ + AN NINH THÔNG TIN = ĐỘI HÌNH MƠ ƯỚC VỀ KHẢ NĂNG ỨNG PHÓ VỚI TẤN CÔNG MẠNG

Nguồn: https://www.auditboard.com/blog/internal-audit-infosec-cyber-resilience-dream-team/

Bộ phận kiểm toán nội bộ và an ninh thông tin là những đồng minh tự nhiên trong cuộc chiến bảo vệ tổ chức khỏi các mối đe dọa an ninh mạng, nhưng các bộ phận này thường hoạt động riêng rẽ — và ý tưởng hợp tác chỉ nảy sinh khi có sự cố mạng xảy ra.

Có rất nhiều lý do để bộ phận kiểm toán nội bộ và đội ngũ an ninh thông tin (Infosec) hợp tác nhằm tăng cường khả năng phòng thủ trên không gian mạng, và có nhiều lợi ích hơn nữa từ việc xây dựng mối quan hệ vững chắc giữa hai đội này.

Các nhà lãnh đạo kiểm toán nội bộ và an ninh thông tin từ hai cuộc thảo luận bàn tròn trực tuyến do Quỹ Kiểm toán Nội bộ và AuditBoard tổ chức vào tháng 11 năm 2024 đã nhấn mạnh những lợi ích đáng kể của việc phát triển mối quan hệ hợp tác chặt chẽ. Các lợi thế hàng đầu bao gồm đánh giá rủi ro phối hợp, cải thiện giao tiếp với hội đồng quản trị và nỗ lực đảm bảo kết hợp (combined assurance efforts). Khi những tiến bộ trong công nghệ thúc đẩy cạnh tranh kinh doanh và nhu cầu về hoạt động hiệu quả, những lợi ích này càng trở nên giá trị hơn.

Các kiểm toán viên nội bộ có thêm động lực để liên hệ với các đồng nghiệp bảo mật thông tin của mình: Viện Kiểm toán Nội bộ (IIA) gần đây đã phát hành Yêu cầu chủ đề về an ninh mạng. Yêu cầu mới này cung cấp một cơ sở để các bộ phận kiểm toán nội bộ đánh giá quản trị an ninh mạng, quản lý rủi ro và kiểm soát — đồng thời khuyến khích sự hợp tác với các nhóm bảo mật thông tin.

Đừng chờ đến khi bị tấn công rồi mới nhận ra lợi ích từ sự hợp tác giữa kiểm toán nội bộ và an ninh thông tin! Hãy xem các ví dụ thực tế sau đây về mối quan hệ hiệu quả giữa Giám đốc An ninh thông tin (CISO) và Trưởng bộ phận Kiểm toán nội bộ (CAE) về sự liên kết, phối hợp, đào tạo và hỗ trợ, và công nghệ.

ALIGNMENT

Việc thống nhất về các rủi ro liên quan đến an ninh mạng giúp kiểm toán nội bộ tập trung vào việc đảm bảo, từ đó mang lại giá trị quan trọng và kịp thời cho bộ phận an ninh thông tin.

Một trưởng bộ phận Kiểm toán nội bộ từ ngành khách sạn và du lịch đã chia sẻ cách ông tận dụng các đánh giá rủi ro toàn diện được phát triển bởi nhóm an ninh thông tin của tổ chức.

“Những rủi ro này sẽ quyết định các dự án mà chúng tôi tập trung vào trong năm tới,” ông giải thích. “Chúng tôi phối hợp và cộng tác với bộ phận an ninh thông tin và giám đốc công nghệ thông tin (CIO) về việc nên dành thời gian cho dự án nào để hỗ trợ họ và các mục tiêu chung của họ một cách tốt nhất.”

Giám đốc An ninh thông tin (CISO) khu vực công cho biết việc phối hợp và đồng bộ lịch làm việc cũng hỗ trợ cho kế hoạch dài hạn của ông.

“Cô ấy có lịch các sự kiện và một số lượng kiểm toán nội bộ nhất định phải thực hiện. Và tôi cũng có lịch các sự kiện của mình,” anh ấy nói. “Bằng cách làm việc cùng nhau và điều chỉnh những gì cô ấy đang làm, cô ấy đang cấu trúc các cuộc kiểm toán của mình phù hợp với kế hoạch của cả hai.”

Sự đồng nhất trong thông điệp gửi đến hội đồng quản trị giúp đưa ra các đánh giá rõ ràng và chính xác về hồ sơ an ninh mạng của tổ chức, đồng thời có thể giúp tránh những xung đột đáng xấu hổ.

Một phó chủ tịch kiểm toán nội bộ và quản lý rủi ro trong ngành dịch vụ tài chính đã nhớ lại cách sự hợp tác giữa kiểm toán nội bộ và an ninh thông tin phát triển để cải thiện giao tiếp với hội đồng quản trị.

“Ban đầu, chúng tôi không nhất thiết phải giao tiếp nhiều với hội đồng quản trị về an ninh thông tin,” ông nói, đồng thời thừa nhận rằng các quy định ngày nay đòi hỏi sự tham gia lớn hơn. “Vì vậy, kiểm toán nội bộ đã thúc đẩy bộ phận an ninh thông tin nói rằng, ‘Hãy cho hội đồng quản trị nhiều thông tin hơn mức bạn đang cung cấp.’ Điều đó đã cải thiện đáng kể.”

Việc trình bày một sự thật duy nhất cho hội đồng quản trị về tình trạng an ninh mạng của tổ chức giúp ngăn ngừa sự nhầm lẫn và các xung đột tiềm ẩn có thể tạo ra sự kém hiệu quả và gieo rắc nghi ngờ. Những người tham gia bàn tròn thường xuyên trích dẫn sự hợp tác về thông điệp và chia sẻ các bài thuyết trình như là các chiến lược hiệu quả.

“Điều tôi thấy hữu ích là chia sẻ các bài thuyết trình của mình với CISO, để họ biết tôi đang trình bày gì với ủy ban kiểm toán, và ngược lại, họ chia sẻ những gì họ đang báo cáo cho hội đồng quản trị và ủy ban kiểm toán,” người đứng đầu bộ phận kiểm toán của một công ty thông tin và phân tích cho biết.

Ông nhớ lại một sự việc khi Giám đốc An ninh Thông tin (CISO) của ông nói với các thành viên hội đồng quản trị rằng mọi thứ đều ổn về mặt an ninh mạng, chỉ một ngày sau khi ông báo cáo với hội đồng về nhiều phát hiện kiểm toán nội bộ liên quan đến an ninh mạng.

Hội đồng quản trị đã nhận được thông tin không nhất quán giữa hai bộ phận. Vì vậy, Giám đốc An ninh Thông tin (CISO) phải điều chỉnh lại một chút vì Giám đốc An ninh Thông tin (CISO) đang đưa ra những đảm bảo ở cấp độ vĩ mô. Nếu Kiểm toán nội bộ có một vài phát hiện liên quan đến vấn đề an ninh mạng thì không có nghĩa là nhà đang cháy. Vì vậy, đó là một bài học kinh nghiệm; Hợp tác và chia sẻ những tài liệu đó một cách tốt nhất có thể.”

Người đứng đầu bộ phận rủi ro và kiểm toán tại cơ quan giao thông công cộng cho biết bà thường xuyên mời Giám đốc An ninh Thông tin (CISO) phát biểu tại các cuộc họp của ủy ban quản lý rủi ro cấp điều hành không chỉ để phối hợp thông điệp gửi đến hội đồng quản trị, mà còn để cập nhật thông tin về các nỗ lực quản lý rủi ro an ninh thông tin.

"Điều đó cho phép chúng tôi duy trì kết nối để chuẩn bị cho cuộc họp Hội đồng quản trị cũng như có thể trình bày dựa trên những việc họ đang làm và những điều mà chúng tôi có thể xác thực từ phía mình," bà nói.

CISO của cô ấy nói thêm rằng hội đồng quản trị nhận được các báo cáo bảo mật thông tin hàng quý, rất rõ ràng và chính xác.

“Tôi biết cô ấy sẽ trình bày gì, và cô ấy cũng biết tôi sẽ trình bày gì. Chúng tôi giữ cho những thông điệp gửi đến hội đồng quản trị nhất quán, và họ không nhận được những thông tin mâu thuẫn,” ông nói. “Việc truyền đạt thông điệp rõ ràng và nhất quán cũng mang lại sự tin tưởng cho hội đồng quản trị và ban điều hành cấp cao rằng chúng tôi đang hợp tác, và mọi thứ đang đi đúng hướng.”

COORDINATION

Sự phối hợp giữa kiểm toán nội bộ và an ninh thông tin về các nỗ lực tuân thủ, việc sử dụng các khuôn khổ an ninh mạng, việc sử dụng chung công nghệ và đảm bảo quản lý rủi ro cung cấp thêm các phương thức để cải thiện an ninh mạng của một tổ chức.

Kiểm toán nội bộ hỗ trợ tuân thủ quy định theo nhiều cách.

CISO của hệ thống giao thông công cộng, đã đề cập trước đó, cho biết công việc đảm bảo (assurance) đã được điều chỉnh cũng hỗ trợ tuân thủ các quy tắc liên bang về xác minh và thẩm định độc lập.

“Bộ phận an ninh mạng của bạn và đội Kiểm định và Xác nhận độc lập, hoạt động độc lập với bộ phận an ninh mạng và kiểm tra công việc. Tôi không có đủ nhân viên để có một đội độc lập (IV&V), vì vậy bộ phận [kiểm toán nội bộ] đảm nhận vai trò đó cho tôi. Tôi nhận được một dịch vụ miễn phí từ đội của cô ấy mang lại giá trị cho tôi — và thêm vào đó, tôi nhận được phản hồi về công việc chúng tôi đã làm trong năm, xác nhận rằng công việc được thực hiện theo tiêu chuẩn và chúng tôi có thể khép lại một số phát hiện đó.”

Kết quả kiểm toán nội bộ cũng giúp xác định các lĩnh vực cần cải thiện, do đó hỗ trợ cho việc lập kế hoạch, ông nói.

"Đây là danh sách việc cần làm cho kế hoạch hai, ba hoặc bốn năm tới của tôi," CISO nói. "Chúng tôi đang đảm bảo rằng chúng tôi đang trao đổi và điều chỉnh những gì chúng tôi đang làm, và cô ấy đang duy trì tính độc lập."

Lãnh đạo kiểm toán của tổ chức đã đồng ý.

“Khi chúng ta xem xét các hệ thống quan trọng và bộ phận An ninh Thông tin (Information Security) đã xác định năm hệ thống hàng đầu, họ có thể xem xét hai trong số đó, chúng ta nên xem xét ba hệ thống còn lại trong quá trình lập kế hoạch kiểm toán,” bà nói. “Vì vậy, chúng ta có thể cung cấp đầy đủ phạm vi bao phủ đối với những gì mà chúng ta cùng tin là các hệ thống quan trọng trong tổ chức cho bất kỳ năm nào.”

Một lợi ích khác của việc có mối quan hệ đã được thiết lập là khả năng cùng nhau xây dựng chiến lược tốt nhất để tuân thủ các quy định phức tạp và khó khăn.

“Chúng ta phải tìm ra cách đưa ra những câu trả lời chính xác, có ý nghĩa cho những câu hỏi cấp cao và phải có khả năng bảo vệ khi có ai đó đến chất vấn,” CISO nói. “Điều đó sẽ đòi hỏi sự trao đổi chéo giữa các nhóm khác nhau của chúng ta để xem xét dữ liệu và tìm ra cách để giành chiến thắng.”

Sự hợp tác có thể giúp giảm thiểu rủi ro của các sự cố mạng và các rủi ro về danh tiếng liên quan.

Một trưởng bộ phận kiểm toán nội bộ trong ngành y tế đã lưu ý rằng sự hợp tác không chỉ hỗ trợ tuân thủ các quy định mà cũng có thể thúc đẩy sự hợp tác.

“Nếu một nhân viên bị tấn công và nhân viên đó làm lộ 1.000 hồ sơ bệnh nhân cho đối tượng tấn công, bạn không chỉ phải báo cáo việc đó cho Văn phòng Quyền công dân thuộc Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ, mà còn bị đưa vào "bảng đen" của họ và bạn cũng phải thông báo cho báo chí, đài phát thanh hoặc truyền hình tại thị trường của bạn. Vì vậy, rủi ro là rất lớn. Trong lĩnh vực chăm sóc sức khỏe, mối quan hệ tin cậy có ý nghĩa vô cùng quan trọng.”

Sự phối hợp sẽ rất quan trọng để sử dụng trí tuệ nhân tạo (AI) một cách hiệu quả và an toàn.

Sự hợp tác trong đánh giá rủi ro, các công cụ công nghệ dùng chung và trao đổi thông tin minh bạch là nền tảng để quản lý hiệu quả các rủi ro công nghệ mới và rủi ro mạng, chẳng hạn như trí tuệ nhân tạo.

Lãnh đạo kiểm toán và rủi ro của một công ty vận tải công cộng cho biết sự tham gia của bộ phận này vào các hoạt động quản trị an ninh mạng với vai trò tư vấn giúp họ có được một vị trí trong các cuộc thảo luận về những rủi ro công nghệ đang phát triển.

“Khi các vấn đề mới phát sinh, chúng tôi tiếp tục giữ liên lạc,” bà nói. “Vì vậy, tôi nghĩ một điều gần đây đối với chúng tôi là xem xét lĩnh vực AI. Cho dù đó là về các chính sách sử dụng được chấp nhận và cách nó giúp tổ chức dữ liệu từ quan điểm kiểm thử hoặc từ quan điểm quan tâm, thì ít nhất chúng tôi cũng có các cuộc trò chuyện về vấn đề đó.”

EDUCATION AND ADVOCACY

Nói ngôn ngữ của an ninh thông tin là yếu tố then chốt để được chấp nhận và tin tưởng.

Lãnh đạo quản lý rủi ro và kiểm toán nội bộ từ ngành dịch vụ tài chính nói rằng kiến thức của ông về an ninh thông tin rất quan trọng trong việc thiết lập mối quan hệ làm việc tốt đẹp khi ông mới bắt đầu công việc.

“Khi tôi mới đến, khả năng nói cùng ngôn ngữ với họ thực sự giúp ích rất nhiều trong việc phát triển sự hợp tác giữa chúng tôi và bộ phận an ninh thông tin cũng như bộ phận công nghệ của chúng tôi,” ông nói.

Ông ấy vẫn là một người ủng hộ mạnh mẽ việc các kiểm toán viên nội bộ được trang bị kiến thức về an ninh thông tin để có thể trao đổi một cách hiểu biết về các nhu cầu của họ.

Kiểm toán nội bộ có thể đóng vai trò là một cố vấn đáng tin cậy và người ủng hộ thay mặt cho bộ phận an ninh thông tin.

Thông tin về mối quan hệ đang phát triển giữa trưởng bộ phận kiểm toán nội bộ của một thành phố ở Hoa Kỳ và đội ngũ an ninh thông tin của bà đã mang lại một kết quả bất ngờ. Kiểm toán nội bộ đã có thể trình bày hiệu quả hơn các nhu cầu về nguồn lực an ninh thông tin cho ban điều hành.

"Tôi nghĩ rằng trong một thời gian dài, họ cảm thấy như những gì họ nói là cần thiết đã không được lắng nghe," cô nói, và nói thêm rằng đã có sự phản đối đối với các yêu cầu về phần mềm bổ sung của bộ phận an ninh thông tin cho đến khi kiểm toán nội bộ có thể thuyết phục các nhà quản lý có ý thức về ngân sách về sự cần thiết của nó.

“Bây giờ chúng ta đang xem xét năm chương trình phần mềm khác nhau và tất cả năm chương trình này đều đã được phê duyệt,” bà nói thêm. “Trong những năm trước, chúng chưa được phê duyệt vì không có một trung gian tốt để trình bày với người quản lý thành phố rằng điều đó là cần thiết.”

Điểm mấu chốt, cô ấy giải thích, là bộ phận Kiểm toán nội bộ phải chứng minh rằng phần mềm mới sẽ tăng cường năng suất và hiệu quả chi phí hơn nhiều so với việc thuê thêm nhân viên. Cô ấy cũng nhấn mạnh rằng xây dựng mối quan hệ tin cậy là rất quan trọng để bộ phận An ninh thông tin chia sẻ những gì họ cần.

Một trưởng bộ phận kiểm toán trong ngành sản xuất thực phẩm đã chia sẻ một quan sát tương tự. Tổ chức của bà đang trải qua sự thay đổi quyền sở hữu, điều này cũng bao gồm sự thay đổi trong văn hóa. Một phần của quá trình chuyển đổi này bao gồm việc tuân thủ các yêu cầu báo cáo bổ sung cho công ty thuộc sở hữu tư nhân.

“Việc cả bộ phận InfoSec và bộ phận của chúng ta chứng minh cho cấp trên thấy sự cần thiết của các nguồn lực bổ sung và các quy trình bổ sung là một thách thức,” cô nói. “Vì vậy, chúng tôi đã cộng tác trong các bài thuyết trình để giải thích sự khác biệt giữa các bước thực hiện và các bước tuân thủ cũng như sự cần thiết của tất cả những điều khác nhau đi kèm với điều đó.”

SHARING TECHNOLOGY

Kiểm toán nội bộ và an ninh thông tin có thể tận dụng các công cụ quản trị, rủi ro và kiểm soát (GRC) để tăng cường tính minh bạch và củng cố sự hợp tác.

Phần mềm quản trị, rủi ro và kiểm soát (GRC) là một thị trường kinh doanh đang phát triển nhanh chóng với nhiều sản phẩm khác nhau, từ các công cụ có sẵn đến các hệ thống chuyên dụng cao được thiết kế cho những người dùng cụ thể. Khi các mối đe dọa trên mạng mới nổi lên và các chiến lược quản lý rủi ro và quy định mới phát triển để quản lý tốt hơn những rủi ro đó, có thể nói rằng các công nghệ quản trị, rủi ro và kiểm soát (GRC) sẽ đóng một vai trò lớn hơn. Mặc dù các công cụ quản trị, rủi ro và kiểm soát chắc chắn là một thành phần quan trọng của an ninh mạng, sự hợp tác trong việc sử dụng các công cụ đó còn hứa hẹn mang lại nhiều lợi ích hơn nữa.

CISO của cơ quan giao thông công cộng cho biết bộ phận an ninh thông tin và kiểm toán nội bộ đang dùng chung công nghệ quản trị, rủi ro và kiểm soát (GRC).

Chia sẻ công nghệ giúp kiểm toán nội bộ có cái nhìn rõ ràng về những gì bộ phận an ninh thông tin đang làm, điều này mang lại lợi ích ở nhiều cấp độ, bao gồm việc biết những quy trình và hệ thống nào mà bộ phận an ninh thông tin đã rà soát và tránh trùng lặp công việc.

Giám đốc phụ trách rủi ro và kiểm toán của cơ quan cho biết thêm: "Chúng tôi đang xem xét về phạm vi đảm bảo chung để tránh trùng lặp và bổ trợ lẫn nhau."

BOOST YOUR ORGANIZATION’S CYBERSECURITY RESILIENCE THROUGH COLLABORATION

Những hoạt động giúp tăng cường an ninh mạng và phát triển các tổ chức có khả năng phục hồi trước các cuộc tấn công mạng nên được xem xét và áp dụng. Ngược lại, những hoạt động ủng hộ việc tích trữ thông tin và xây dựng các "hệ thống biệt lập" sẽ dẫn đến thất bại trong an ninh mạng.

Học CISA Online 🇻🇳