Kiểm toán Ứng dụng Kinh doanh

Share
(Share để lưu lại xem sau)

Nguồn: Auditing Business Applications - Global Technology Audit Guide

 FAQ

Ứng dụng kinh doanh/business application là gì và đặc điểm chính nào phân biệt nó với một công cụ đơn giản hơn?

Ứng dụng kinh doanh có thể là một chương trình phần mềm đơn lẻ hoặc một tập hợp các ứng dụng phần cứng, phần sụn và phần mềm hoạt động như một hệ thống tích hợp để hỗ trợ các quy trình của tổ chức. Các đặc điểm chính phân biệt nó với một công cụ đơn giản hơn là (1) phần mềm đã được lập trình để thực hiện các quy trình kinh doanh cụ thể và (2) tài khoản người dùng có các quyền được phân biệt.


Các mục tiêu kiểm soát chính đối với các ứng dụng kinh doanh được nêu trong bản tóm tắt của tài liệu.

Các mục tiêu kiểm soát chính là:

1. Lập kế hoạch công nghệ: Các nhà hoạch định CNTT-AN ninh thông tin (IT-IS) làm việc với các lãnh đạo đơn vị kinh doanh để thiết kế các giải pháp công nghệ đáp ứng nhu cầu kinh doanh.

2. Vòng đời phát triển hệ thống: Các ứng dụng được viết mã, thử nghiệm, đưa vào sử dụng và sửa đổi khi cần thiết để sửa lỗi hoặc bổ sung các tính năng.

3. Hỗ trợ vận hành: Quản trị viên hệ thống chuẩn bị các ứng dụng kinh doanh để đưa vào hoạt động và cung cấp hỗ trợ liên tục, bao gồm cả việc quản lý vai trò và tài khoản hệ thống.

4. Bảo mật ứng dụng: Các kiểm soát về thiết kế và lập trình an toàn, quản lý bản vá, quản lý truy cập người dùng và ghi nhật ký sự kiện.


Tại sao việc tách biệt môi trường lập trình (phát triển), thử nghiệm và vận hành lại là một biện pháp kiểm soát quan trọng trong vòng đời phát triển hệ thống?

Việc tách biệt các môi trường là rất quan trọng để duy trì sự phân chia nhiệm vụ và giảm thiểu rủi ro về các lỗ hổng do cố ý hoặc vô ý. Các nhà phát triển không nên có quyền truy cập vào mã nguồn/source code hoặc hệ thống đang hoạt động vì điều này có thể cho phép họ chèn mã trái phép hoặc các cơ chế bỏ qua bảo mật. Tương tự, việc hạn chế các nhà phát triển thử nghiệm mã nguồn của chính họ giúp ngăn chặn việc các lỗ hổng không bị phát hiện.


Thử nghiệm chấp nhận người dùng (User Acceptance Testing - UAT) là gì và vai trò của các đơn vị kinh doanh hưởng lợi trong quy trình này là gì?

Thử nghiệm chấp nhận người dùng (UAT) là giai đoạn mà các đơn vị kinh doanh hưởng lợi thử nghiệm phần mềm để đảm bảo các kiểm soát chức năng ứng dụng đáp ứng các quy tắc kinh doanh đã được ghi nhận và ứng dụng tương tác với các hệ thống đầu vào và đầu ra như dự định. Các đơn vị kinh doanh có trách nhiệm xác định các vấn đề, phân loại chúng để giải quyết trước khi chấp nhận, hoặc chấp nhận chúng để giải quyết trong một bản phát hành tiếp theo.


Các phương pháp xác định phạm vi cho một cuộc kiểm toán ứng dụng kinh doanh là gì và chúng khác nhau như thế nào?

Các phương pháp xác định phạm vi là:

1. Phương pháp phạm vi quy trình kinh doanh: Đánh giá tất cả các hệ thống hỗ trợ một quy trình kinh doanh cụ thể, tập trung vào chức năng của ứng dụng.

2. Phương pháp phạm vi ứng dụng đơn lẻ: Bao gồm một cái nhìn toàn diện về hệ sinh thái ứng dụng, từ lập kế hoạch công nghệ, vòng đời phát triển hệ thống, đến hỗ trợ vận hành và các kiểm soát liên quan.

3. Phương pháp phạm vi mô-đun đơn lẻ: Có phạm vi hẹp, tập trung chủ yếu vào việc liệu các quy tắc kinh doanh có được ghi nhận và thực hiện đầy đủ trong một mô-đun cụ thể hay không, chẳng hạn như mô-đun tài sản cố định trong một ứng dụng kế toán.


Giải thích tầm quan trọng của việc quản lý bản vá (patch management) trong bối cảnh an ninh phát triển ứng dụng.

Quản lý bản vá là quá trình cập nhật phần mềm do nhà cung cấp cung cấp để giải quyết các lỗ hổng bảo mật trong mã hoặc tương tác với các công nghệ thành phần. Các kiểm soát đối với việc triển khai các bản vá nhìn chung giống như đối với các phiên bản phần mềm mới khác. Tuy nhiên, có thể có các thời hạn nội bộ cho các bản vá mà các bản cập nhật khác không yêu cầu, và đội ngũ an ninh thông tin thường chịu trách nhiệm giám sát hoặc thực thi các kỳ vọng đó.


Control Inheritance/Kế thừa kiểm soát có nghĩa là gì và nó ảnh hưởng như thế nào đến việc lập kế hoạch cho một cuộc kiểm toán ứng dụng kinh doanh?

Kế thừa kiểm soát là tình huống trong đó một hệ thống hoặc ứng dụng nhận được sự bảo vệ từ các kiểm soát an ninh hoặc quyền riêng tư được phát triển và giám sát bởi các thực thể khác. Do sự kế thừa kiểm soát, một cuộc kiểm toán ứng dụng kinh doanh có thể loại trừ khỏi phạm vi của mình bất kỳ kiểm soát nào được thực hiện bởi các quy trình được tiêu chuẩn hóa đã được kiểm toán riêng, giúp tránh trùng lặp và sử dụng nguồn lực hiệu quả.


Trong bối cảnh quản lý truy cập người dùng, tại sao các tài khoản của người không phải là nhân viên lại có rủi ro cố hữu cao hơn?

Các tài khoản của người không phải là nhân viên (nhà thầu, nhân viên nhà cung cấp) có rủi ro cố hữu cao hơn vì quy trình cập nhật vai trò và tình trạng việc làm có thể là thủ công và phụ thuộc vào việc nhân viên của nhà cung cấp thông báo kịp thời cho quản trị viên hệ thống. Không giống như nhân viên được quản lý thông qua hệ thống thông tin nhân sự tích hợp, các quy trình thủ công này có nhiều khả năng bị chậm trễ hoặc sai sót, dẫn đến việc truy cập không còn được cấp phép vẫn tồn tại.


Các loại kiểm soát chức năng ứng dụng và mô tả ngắn gọn mục đích của mỗi loại.

Các loại kiểm soát chức năng ứng dụng bao gồm:

1. Kiểm soát đầu vào: Chủ yếu được sử dụng để kiểm tra tính toàn vẹn của dữ liệu được nhập vào ứng dụng kinh doanh để đảm bảo nó nằm trong các tham số đã xác định.

2. Kiểm soát xử lý: Được sử dụng để đảm bảo quá trình xử lý là hoàn chỉnh, chính xác, được ủy quyền và kịp thời.

3. Kiểm soát đầu ra: Được sử dụng để đảm bảo tính chính xác và đầy đủ bằng cách so sánh kết quả đầu ra với đầu vào và ghi lại dữ liệu đầu ra một cách chính xác.


Mục đích của việc ký gửi phần mềm (software escrow) là gì và kiểm toán viên nội bộ có thể xác minh biện pháp kiểm soát này như thế nào?

Ký gửi phần mềm là quá trình lưu trữ các phiên bản phần mềm đã được phê duyệt tại một địa điểm bên ngoài với một dịch vụ ký gửi để sử dụng trong trường hợp tệp hoặc phần cứng bị hỏng hoặc bị phá hủy. Một cuộc kiểm toán nội bộ có thể xác minh biện pháp kiểm soát này bằng cách xác định xem ban quản lý đã từng thử nghiệm khả năng khôi phục hoạt động từ một phiên bản phần mềm được ký gửi hay chưa và liệu phiên bản đang sử dụng đã được ký gửi hay chưa.

Học CIA Online 🇻🇳

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

MA TRẬN RỦI RO VS. KIỂM SOÁT TRONG 5 QUY TRÌNH KINH DOANH CHÍNH

Hình ảnh
Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online :  https://m.me/nguyenvulong.cia . Cảm nhận của học viên về khoá học CIA với Team #LongNguyenCIA : http://bit.ly/ReviewsTeamLongNguyenCIA . Tổng hợp các bài viết về : " Ma Trận Rủi Ro vs. Kiểm soát cho 5 quy trình kinh doanh chính " . . 1. Bán hàng - Phải thu 2. Thu tiền 3. Mua hàng - Phải trả 4. Trả tiền 5. Tiền lương . Bán hàng - Phải thu - Thu tiền (Link:  Các rủi ro và kiểm soát mẫu trong quy trình bán hàng ) Mua hàng - Phải trả - Trả tiền (Link:  Các rủi ro và kiểm soát mẫu trong quy trình mua hàng ) Tiền lương (Link: Các rủi ro và kiểm soát mẫu trong quy trình tiền lương ) . Tham khảo: *  Standards Of Internal Control Issued April 2007  < https://www.asu.edu/fs/documents/standards_of_internal_controls.pdf > * của Arizona State University < https://www.asu.edu/ > .
Đọc thêm

CÁC RỦI RO VÀ KIỂM SOÁT MẪU TRONG QUY TRÌNH TIỀN LƯƠNG

Hình ảnh
Chat với #LongNguyenCIA để được tư vấn về khoá học CIA online :  https://m.me/nguyenvulong.cia . Cảm nhận của học viên về khoá học CIA với Team #LongNguyenCIA : http://bit.ly/ReviewsTeamLongNguyenCIA . CÁC RỦI RO VÀ KIỂM SOÁT MẪU TRONG QUY TRÌNH TIỀN LƯƠNG . . . Mình dự định sẽ chia sẻ 3 nội dung: (1) Mua hàng (Link:  Các rủi ro và kiểm soát mẫu trong quy trình mua hàng ) (2) Bán hàng, (Link: Các rủi ro và kiểm soát mẫu trong quy trình bán hàng ) (3) Tiền lương Bài hôm nay là về nội dung (2) QUY TRÌNH TIỀN LƯƠNG : CÁC RỦI RO VÀ KIỂM SOÁT TƯƠNG ỨNG . "Mẫu các Rủi Ro và Kiểm Soát trong các quy trình Tiền lương" sẽ giúp các bạn làm quen với các rủi ro và công cụ kiểm soát cơ bản. Dĩ nhiên, trong thực tế mỗi doanh nghiệp sẽ có nhiều thay đổi cho phù hợp với môi trường. Cho nên, hay xem để tham khảo chứ đừng áp dụng cứng nhắc nhé. . Mình sẽ trích một vài phần quan trọng, và liên quan nhiều đến các hoạt động hàng ngày để tóm tắt lại...
Đọc thêm

Hướng dẫn ERM: Chức năng Rủi ro

Hình ảnh
Nguồn: ERM – guidelines for the risk function 2025 – IIA Norge Risk management FAQ Quản lý Rủi ro Doanh nghiệp (ERM) là gì và mục tiêu chính của nó là gì? Quản lý Rủi ro Doanh nghiệp (ERM) là một quy trình có hệ thống và khách quan để xác định, phân tích, đánh giá và thực hiện các biện pháp nhằm quản lý rủi ro trong các thông số đã xác định. Mục tiêu chính của nó là cải thiện chất lượng ra quyết định và đảm bảo rủi ro được quản lý hiệu quả trên toàn tổ chức để đạt được các mục tiêu của tổ chức. Thuật ngữ "rủi ro" được định nghĩa như thế nào trong ERM, và định nghĩa này khác với cách hiểu truyền thống như thế nào? Trong ERM, "rủi ro" được định nghĩa là "ảnh hưởng tích cực hoặc tiêu cực của sự không chắc chắn đối với khả năng đạt được mục tiêu của tổ chức ở mọi cấp độ". Điều này khác với cách hiểu truyền thống vốn chỉ tập trung vào các sự kiện không mong muốn hoặc kết quả tiêu cực, vì định nghĩa này bao gồm cả...
Đọc thêm