LONG NGUYỄN, CIA, CISA

Mình mới đọc một bài về sự kiện một số hãng làm thiết bị âm thanh gặp rắc rối vì người dùng bắt đầu dùng máy móc để đo đạc thông số thực tế thay vì chi tin vào quảng cáo như trước. Lúc xưa ở VN, cũng có một vụ tương tự khi mà một reviewer công bố đo đạc thông số tai nghe của một hãng không như kỳ vọng, thì hãng cũng phản ứng rất mạnh. Đó là câu chuyện về số liệu thực tế -- và những lời quảng cáo/cảm xúc Việc lựa chọn một khóa học chứng chỉ nghề nghiệp (như CIA/CISA) cũng tương tự vậy. Những nhận định như Chuyên gia hàng đầu - Chất lượng quốc tế luôn cần đi kèm với những số liệu đo đạc khách quan, thay vì chỉ dựa vào cảm xúc. Ví dụ như: ~ Tần suất có học viên thi Pass: phương pháp đúng sẽ tạo ra kết quả ổn định, chứ không chỉ một vài ngôi sao để làm truyền thông nhiều năm ~ Review từ người đã thực sự thấy được Cert: review của người vừa kết thúc khóa học chỉ phản ánh sự hào hứng ban đầu, review của người đã thực sự lấy được cert mới phản ánh chính xác về chất lượng thực sự ~ Giảng viê...

  Cơ hội cho người trẻ (một câu chuyện có thật từ học viên) "Nhiều kinh nghiệm làm việc thực tế ~ lại là Rào cản khi thi CIA, CISA" là một bình luận mình thường thấy. Ý là việc thi không giống với kinh nghiệm thực tế đang làm.  Nhưng ở một góc nhìn khác, nó cũng có thể là một chỉ báo (red flag). Khi mà nghề kiểm toán nội bộ đang dần chuẩn hóa theo các tiêu chuẩn quốc tế, thì kinh nghiệm kiểm toán theo cách truyền thống (soát lỗi quá khứ, chứng từ giấy, theo thói quen không theo framework) đã bắt đầu có một khoảng cách với các tiêu chuẩn hiện tại. Bây giờ, ngôn ngữ chung mới đang là những cái như quản lý rủi ro, kiểm toán hệ thống, phân tích dữ liệu lớn. Và có lẽ đây là lúc cho người trẻ có thể bắt nhịp nhanh và tạo lợi thế riêng. Vì các nhân sự nhiều kinh nghiệm thường sẽ dễ gặp khó trong việc phải "unlearn" sau đó "relearn", thay đổi tư duy cũ bằng tư duy mới. Dĩ nhiên, việc đã có kinh nghiệm thực tế phù hợp, hiểu sâu về hoạt động kinh doanh + kết hợp v...

  Mình mới đọc bài Năm mức mong muốn của a Thai Duong , và rất thích ý tưởng: Nghĩ rằng mình đã có thể trở thành X, luôn dễ chịu hơn nhiều so với việc phải trả giá để thực sự thành X. Mình cũng muốn chia sẻ góc nhìn ở khía cạnh thi chứng chỉ nghề nghiệp, như CIA, CISA. Mình bắt đầu đọc bài của a này từ hồi Covid, và cũng muốn viết hay như vậy. Nhưng khi bắt đầu mở file note lên thì, nhiều khi mình chỉ ngồi nhìn màn hình trắng - không nghĩ ra được ý tưởng gì, hoặc viết vài dòng rồi xóa. Tưởng tượng mình có thể viết gì đó hấp dẫn, luôn dễ hơn nhiều so với thực sự viết gì đó.  Nghĩ rằng mình biết rồi, chỉ là không có đủ thời gian thi, là một cảm giác đủ dễ chịu để mình dừng lại ở đó thật lâu. Hồi trước 30 tuổi, mình cũng vậy, mình học rất nhiều thứ, tự học cũng có, tham gia các khóa học cũng có. Mình luôn nghĩ là: Mình đọc tài liệu để biết, xài trong công việc hàng ngày; -- Còn việc thi cử chỉ là hình thức, vì mình không cần chứng minh với ai cả. Nghe cũng rất hợp lý và cool ng...

 Mình rất thích đọc truyện, nhiều hơn đọc sách, trong truyện hay có mô tuýp là nhân vật chính có tài năng bẩm sinh/hoặc nỗ lực rất nhiều + gặp được sư phụ tốt + gặp được một cơ hội lớn/hoặc bí kíp + tận dụng được và thành công. Có vẻ rất là "truyện", nhưng nghĩ kỹ lại, dường như nó lại rất thực tế. Các câu chuyện thành công Anonymous trên mạng, trên LinkedIn đều vẽ ra một con đường, làm người đọc có cảm tưởng làm như vậy sẽ thành công. Tuy nhiên, cũng khá nhiều người cũng đi con đường đó, và không thành công được như vậy. Kiểu như, câu chuyện, bạn đang làm tư vấn cho big 4 đi,  ~ bạn chuyển qua làm manager cho một công ty nhỏ, ít tên tuổi --> sau đó bạn đổi sang công ty lớn, và giữ được level manager. Nhưng cũng có thể bạn sẽ mãi mắc kẹt ở các công ty nhỏ. Hoặc phải làm lại từ một ví trí thấp hơn ở công ty lớn. ~ hoặc bạn ở lại với nghề tư vấn --> rồi bạn có một cơ hội tư vấn cho công ty lớn --> bạn tư vấn tốt, và được mời qua làm quản lý luôn. Nhưng cũng có thể bạ...

 Auditor thường thích thận trọng, nhưng đôi khi rủi ro lại đến cả từ việc ... không dám chấp nhận rủi ro nào. Có 2 câu chuyện rất phổ biến Chờ đến lúc Hoàn hảo Một bạn muốn có chứng chỉ nghề nghiệp để tạo sự khác biệt (chuyển việc, tăng lương, hay lên level). Nhưng lên hỏi anonymous trên mạng xã hội một vòng, bạn thấy áp lực: phải giỏi tiếng Anh, phải có mấy năm kinh nghiệm mới hiểu được, hoặc học cũng không tạo khác biệt gì đâu.  ~ Và bạn đó quyết định chờ, chờ học thêm tiếng Anh, chờ làm thêm vài năm kinh nghiệm. ~ Tất nhiên, có nền tảng tiếng Anh và kinh nghiệm sẽ là lợi thế khi học. Nhưng trong lúc bạn đó chờ mọi thứ hoàn hảo, thì đối thủ cạnh tranh của bạn - người dám chấp nhận rủi ro hơn, vừa học vừa lấp các điểm yếu - có thể đã đi trước và đón được cơ hội tiếp theo. Trì hoãn vì chưa đủ chắc Một bạn khác, đã học xong kiến thức, đang ôn thi. Thì bất ngờ, Sếp giao một dự án lớn kéo dài 2-3 tháng. ~ Và bạn đó quyết định chờ, chờ làm xong mới thi cho chắc 100%. Việc chờ ng...

Trong quá trình thiết kế và vận hành các dự án DIY của mình, có một sự thật là: Lúc nào cũng có Vấn đề gì đó. Thường mình có 2 lựa chọn. Chịu đựng nó như một phần của công việc, "sống chung với lũ". Hoặc tìm cách giải quyết để cảm thấy thoải mái hơn.  Như lúc mình làm hệ thống theo dõi kết quả bài tập tự động. Ban đầu mình làm bằng tay (manual). Việc cập nhật điểm không khó, chỉ là copy-paste số liệu. Nó không tốn quá nhiều thời gian mỗi ngày, nhưng mà nó lặp đi lặp lại. Mình xem đó là một vấn đề.  Sau đó thì, mình quyết định tìm cách giải quyết, tốn gần 3 tháng, từ bỏ việc sử dụng Excel để đổi sang công cụ mới, thử nhiều giải pháp khác nhau. Cuối cùng, quy trình cũng được tự động hóa hoàn toàn. Nó không chỉ giải quyết được vấn đề manual, mà còn mang tới cho mình thêm insight. Mình có được những thống kê rõ ràng mà khi làm tay mình không có: lỗi sai chung của tất cả mọi người, xu hướng trả lời câu hỏi, phần nào mạnh và yếu. Từ đó giúp mình phát triển bài giảng tốt hơn. Nếu ...

  Trong đào tạo Online, không phải khóa học nào cũng được tối ưu cho việc học qua màn hình. Nhiều chương trình thực chất chỉ chuyển hình thức, trong khi logic thiết kế nội dung/bài giảng vẫn giữ nguyên như lớp học truyền thống. Có nhiều cấp độ đóng gói khác nhau đang được sử dụng ~ Quay lại lớp học Offline (Classroom Recording) : bài giảng của lớp Offline vốn được thiết kế cho mục đích giảng trực tiếp tại lớp, có sự hiện diện của bạn ở đó, có tương tác nhóm và không khí lớp học trực tiếp. Nhiều bạn thích không khí của lớp Offline (vì nó rất quen thuộc, vì ai cũng học mười mấy năm rồi), nhưng bận quá nên chỉ xem được Video Record. Nếu bạn mua một khóa học Offline chỉ để xem lại Video Record, thì phần giá trị cốt lõi sẽ giảm đi. Vì nội dung được thiết kế ưu tiên cho việc học trực tiếp, và những câu hỏi có thể lan man và không đúng chủ đề bạn cần. Vấn đề không nằm ở Offline, mà là ở chỗ nội dung được thiết kế để học trực tiếp tại lớp, mà người học thì đang xem lại Video. ~ Quay lại ...

  Những người đẹp thường nói sắc đẹp không quan trọng. Những người nhiều bằng cấp cũng hay nói bằng cấp không quan trọng. Người làm ở công ty lớn thì hay nói làm ở đâu cũng được, miễn là có kinh nghiệm. Tuy nhiên, bạn thử nhìn quanh, có thể sẽ thấy nhiều bạn bè học đại học trong nước, xong cố gắng học tiếp Master ở trường tên tuổi ở nước ngoài, hoặc đôi khi là không tên tuổi, hoặc ít nhất là học thạc sĩ, đôi khi học cả bằng lái xe :)). Cũng có bạn cố gắng gia nhập big 4, ở lại một thời gian rồi rời đi để có brand name tốt trên CV. Tất cả những việc này đều không dễ dàng. Nhưng nó đúng là một cách tạo ra lợi thế cạnh tranh rất rõ ràng. Nó như một cái xác nhận về năng lực vậy. Tuy nhiên, có phải ai cũng phải đi theo lộ trình đó? Nếu bạn đã tốt nghiệp một trường ít danh tiếng hơn, hoặc không làm việc ở big 4 từ lúc mới ra trường thì sao? Hoặc bạn đang có khởi đầu tốt và muốn đi nhanh hơn Trong cuốn hồi ký/tự truyện "Bị Theo Dõi", có một đoạn về thời đi học của tác giả mà mình ...

  Mọi người (cả HR) hay mặc định Auditor là hình mẫu của sự kỷ luật, nguyên tắc. Auditor là người làm gương, là "cảnh sát" đi bắt lỗi sai của người khác. Tuy nhiên, khi mà -- kỳ vọng lên đội ngũ kiểm toán là nhìn thấy rủi ro, có những phát hiện có sức ảnh hưởng (ít mà chất), phát hiện gian lận -- đang lớn hơn là chỉ kiểm tra tuân thủ (compliance audit).  Thì liệu những đặc điểm tính cách liên quan đến tuân thủ nguyên tắc, kiểm tra tuân thủ -- có còn là một nét tính cách được ưu tiên. Mình có đọc được một quan điểm của một chuyên gia bảo mật là: "Không thể chống gian lận, nếu không biết cách gian lận". Và thực tế là trong ngành Security, White Hat Hacker cũng cần có tư duy Black Hat, hoặc đã từng là Black Hat. Ý là "Cần có suy nghĩ như kẻ gian lận, để phát hiện được kẻ gian lận". Nếu bạn giữ một lối suy nghĩ qua "ngoan", luôn tin rằng các quy tắc là bắt buộc, bạn sẽ không thể nhìn thấy những "lối tắt" mà kẻ gian lận nhìn thấy. Kẻ gian...

 "Nếu có thêm lợi thế, mình sẽ deal được mức lương tốt hơn, vị trí tốt hơn", bạn có từng nghĩ vậy không? Có một thực tế là, trong một cuộc đua vào vị trí tốt, có rất nhiều hồ sơ, và rất hiếm khi bạn hoàn toàn vượt trội so với các ứng viên khác. Thường là ngang tài ngang sức. Và người được chọn là người có thêm "một chút lợi thế" mà người kia không có. Có lẽ bạn đã đọc trên mạng câu chuyện: Có kinh nghiệm, vị trí rồi -- thì cần gì bằng cấp. Cách nghĩ "Over-Simplify" này giống như chỉ đánh cờ bằng quân Hậu vậy, chấp đối thủ quân Xe. Tích lũy lợi thế là sự kết hợp: bạn có vị trí, kinh nghiệm, có quan hệ tốt, lại còn được một tổ chức quốc tế độc lập, có mức độ nhận diện cao trên thị trường (như IIA, ISACA) đóng dấu chứng nhận năng lực. Bên cạnh việc tạo Lợi thế Cạnh tranh, việc theo đuổi một chứng chỉ nghề nghiệp còn mang đến những Kinh nghiệm Gián tiếp nữa. Gián tiếp là sao? Nó giống như việc bạn đọc Review "Top những nơi nên đến" trước khi đi du ...

Nguồn: Applying enterprise risk management to ESG - related risk FAQ Quản trị rủi ro doanh nghiệp (ERM) là gì và mục tiêu cuối cùng của việc áp dụng ERM vào rủi ro ESG là gì? ERM là văn hóa, năng lực và các thực hành mà tổ chức tích hợp với chiến lược và hiệu suất để quản lý rủi ro. Mục tiêu cuối cùng của việc áp dụng ERM vào rủi ro ESG là giúp tổ chức hiểu rõ và quản lý hiệu quả toàn bộ phạm vi rủi ro này, từ đó nâng cao khả năng phục hồi (resilience). Trong thành phần "Quản trị và Văn hóa", hai hành động cụ thể mà Hội đồng Quản trị có thể thực hiện để giám sát rủi ro ESG hiệu quả hơn là gì? Để giám sát hiệu quả hơn, Hội đồng Quản trị (HĐQT) có thể thiết lập một ủy ban chuyên trách tập trung vào ESG. Ngoài ra, HĐQT cũng có thể bổ nhiệm một giám đốc có chuyên môn về ESG để đảm bảo có đủ năng lực và kiến thức cần thiết trong ban lãnh đạo. Khi phân tích bối cảnh kinh doanh để hiểu rủi ro ESG, tài liệu đề xuất sử dụng bốn công cụ cụ thể nào? Bốn công cụ được đề xuất để phâ...

Nguồn: Auditing Business Applications - Global Technology Audit Guide  FAQ Ứng dụng kinh doanh/business application là gì và đặc điểm chính nào phân biệt nó với một công cụ đơn giản hơn? Ứng dụng kinh doanh có thể là một chương trình phần mềm đơn lẻ hoặc một tập hợp các ứng dụng phần cứng, phần sụn và phần mềm hoạt động như một hệ thống tích hợp để hỗ trợ các quy trình của tổ chức. Các đặc điểm chính phân biệt nó với một công cụ đơn giản hơn là (1) phần mềm đã được lập trình để thực hiện các quy trình kinh doanh cụ thể và (2) tài khoản người dùng có các quyền được phân biệt. Các mục tiêu kiểm soát chính đối với các ứng dụng kinh doanh được nêu trong bản tóm tắt của tài liệu. Các mục tiêu kiểm soát chính là: 1. Lập kế hoạch công nghệ: Các nhà hoạch định CNTT-AN ninh thông tin (IT-IS) làm việc với các lãnh đạo đơn vị kinh doanh để thiết kế các giải pháp công nghệ đáp ứng nhu cầu kinh doanh. 2. Vòng đời phát triển hệ thống: Các ứng dụng được viết mã, thử nghiệm, đưa vào sử dụng ...