HomeInternal Audit

Kiểm toán nội bộ cần quan tâm điều gì cho năm 2019?

Kiểm toán nội bộ cần quan tâm điều gì cho năm 2019?
Like Tweet Pin it Share Share Email

Giống như tốc độ rủi ro, năm 2018 đang qua đi rất nhanh. Điều đó có nghĩa là nhiều người trong số các bạn kiểm toán nội bộ đang xây dựng kế hoạch kiểm toán nội bộ hàng năm 2019 của đơn vị mình. Tôi tin rằng quy trình kiểm toán của bạn đã đầy đủ, và bạn đang chuẩn bị trình bày một kế hoạch cho Ủy ban kiểm toán của bạn sẽ phản ánh các vấn đề cần ưu tiên cho kiểm toán nội bộ năm 2019  dựa trên rủi ro của tổ chức của bạn. Tuy nhiên, trước khi trình bày kế hoạch của bạn, tôi nghĩ bạn có thể thấy hữu ích khi xem xét sớm các vấn đề được ưu tiên mà các kiểm toán viên nội bộ khác đang có kế hoạch giải quyết trong năm tới.

Rủi ro định nghĩa thế giới của kiểm toán nội bộ. Cuối cùng, rủi ro là những gì định hình các kế hoạch kiểm toán của kiểm toán nội bộ, định hướng các bên liên quan của KTNB và xác định thành công hay thất bại của KTNB. Đó là lý do tại sao chúng tôi dành quá nhiều thời gian và công sức để giúp  tổ chức của chúng tôi xác định, hiểu và giảm thiểu hoặc tận dụng các rủi ro. Hiểu được sự kết hợp độc đáo của các rủi ro mà  tổ chức của chúng ta phải đối mặt, “khẩu vị rủi ro” của các bên liên quan là rất quan trọng để kiểm toán nội bộ làm tăng giá trị.

Một số tổ chức cung cấp các báo cáo phân tích hàng năm cố gắng để xác định các rủi ro trong năm tới. Đôi khi, nó rất dễ dàng để dự đoán những gì những rủi ro sẽ xuất hiện, như một số rủi ro lớn và dài hạn. Thách thức là xác định hoặc dự đoán các rủi ro bất ngờ, mới nổi hoặc không điển hình có thể phát triển trong vài tuần hoặc vài tháng tới, với hy vọng chuẩn bị chống lại nó hoặc sử dụng nó để mang lại lợi ích cho tổ chức ( kiểu cung cấp sản phẩm mới hoặc tạo lợi thế cạnh tranh với các đối thủ bị rủi ro này tấn công :D)

Hai báo cáo được xuất bản gần đây, một từ Gartner Inc. và một từ Viện Kiểm toán nội bộ (ECIIA) của Liên minh Châu Âu, xác định kẻ thù quen thuộc là rủi ro hàng đầu cho năm 2019: An ninh mạng. Trong những năm qua, thách thức này đối với các tổ chức đã liên tục leo lên bảng xếp hạng rủi ro trong các báo cáo hàng năm. Nó cũng đã mở ra sự hiểu biết chúng tôi về các loại rủi ro khác, như sự hiểu biết của chúng ta về cyber trở nên tốt hơn hơn và cách tiếp cận của chúng tôi để quản lý nó cũng đã tốt hơn rất nhiều.

Thật vậy, sự tập trung vào “An ninh mạng” đã giúp chúng ta hiểu rằng sự liên hệ giữa công nghệ và dữ liệu không thể tránh khỏi, và nó đã nâng cao nhận thức về rủi ro liên quan đến quản trị dữ liệu và bảo mật dữ liệu. Nó đã khiến chúng tôi nhận thức rõ hơn về các rủi ro liên quan đến mối quan hệ của bên thứ ba, quản trị CNTT và văn hóa.

Ví dụ, bốn trong số năm rủi ro hàng đầu trong báo cáo của Gartner được cho là bắt nguồn từ sự tập trung vào an ninh mạng – chuẩn bị an ninh mạng, bảo mật dữ liệu, quản trị dữ liệu và rủi ro của bên thứ ba. Rủi ro trong báo cáo Focus 2019, báo cáo được phát triển và sản xuất bởi ECIIA, nhóm an ninh mạng, quản trị CNTT và rủi ro của bên thứ ba thành một loại. Một danh mục khác trong báo cáo ECIIA là bảo vệ dữ liệu và chiến lược trong thế giới GDPR (General Data Protection Regulation)

Dữ liệu và công nghệ cũng là trung tâm của các cuộc thảo luận rủi ro về số hóa, tự động hóa và trí tuệ nhân tạo (AI). Các cuộc thảo luận này thể hiện rõ ràng thách thức về cân bằng rủi ro và cơ hội. Như báo cáo ECIIA chỉ ra:

“Các chi phí và lợi ích hiệu quả của tự động hóa và các quy trình kỹ thuật số khác có thể thay đổi, nếu được khai thác hết tiềm năng của chúng. Nhưng các tổ chức cũng phải xem xét rủi ro liên quan đến việc chuyển đổi đó”.

Dữ liệu được thu thập từ năm 2016 bởi The IIA trong các cuộc khảo sát Pulse of Internal Audit hàng năm phản ánh sự tập trung tương tự trên mạng. Tỷ lệ phần trăm các giám đốc điều hành kiểm toán nội bộ Bắc Mỹ (CAEs) đánh giá rủi ro cao nhất đối với các tổ chức của họ đã tăng từ 60% lên 68% trong giai đoạn 2016 và 2018. Trong cùng thời gian đó, tỷ lệ CAE xếp hạng CNTT là rủi ro cao nhất 39% đến 53%, và mối quan hệ của bên thứ ba cho thấy sự tăng trưởng khiêm tốn.

Báo cáo của Gartner, khảo sát 144 CAE, cho thấy 2/3 số người được hỏi cho biết họ đã trải qua một sự gián đoạn liên quan đến bên thứ ba trong hai năm qua hoặc thiếu kiến ​​thức đầy đủ về các hoạt động của bên thứ ba để xác định sự gián đoạn.

Điều được biết là rủi ro của bên thứ ba gây ra đang ngày càng phức tạp hơn như số hóa, chia sẻ dữ liệu và việc giám sát kém các mối quan hệ của bên thứ ba đe dọa sẽ khiến các tổ chức bị tổn hại danh tiếng.

Gartner xác định đạo đức và tính chính trực là một nguy cơ đã phát triển từ những rủi ro văn hóa được xác định trong báo cáo năm 2018 của mình. Báo cáo ECIIA cũng xác định văn hóa nơi làm việc là một rủi ro.

Vào năm 2018, phong trào #MeToo đã xác định lại cách các tổ chức thấy rủi ro liên quan đến quấy rối tình dục và bất bình đẳng tại nơi làm việc. Trong khi hai lĩnh vực này được biết đến là các loại rủi ro, sự bùng nổ của các cáo buộc nghiêm trọng đối với các lãnh đạo ngành giải trí cao cấp và thiệt hại danh tiếng tiếp theo đối với tổ chức của họ đã làm tăng đáng kể mức độ rủi ro này. Vai trò quan trọng của truyền thông xã hội không thể được phóng đại. Ở đây một lần nữa, công nghệ đang ảnh hưởng đến cách chúng ta xem rủi ro.

Vụ bê bối Cambridge Analytica đưa ra một ví dụ khác. Facebook và người sáng lập mang tính biểu tượng của nó, Mark Zuckerberg, bị thiệt hại đáng kể về uy tín cho phép công ty Anh khai thác thông tin cá nhân của hàng triệu người dùng dịch vụ. Nó cũng nâng cao nhận thức về trách nhiệm đạo đức liên quan đến bảo vệ và bảo mật dữ liệu mà bây giờ được xem là một rủi ro đáng kể trong cả báo cáo của Gartner và ECIIA.

Như chúng ta nhìn vào năm 2019, rủi ro sẽ tập trung vào an ninh mạng, quản trị dữ liệu và quyền riêng tư, rủi ro của bên thứ ba và các nguy cơ phát triển liên quan đến tác động của công nghệ đối với đạo đức, văn hóa và tính chính trực của văn hóa doanh nghiệp.

Khi bạn chuẩn bị kế hoạch kiểm toán nội bộ cho năm tới, bạn nên đảm bảo rằng bạn đã xem xét tất cả các rủi ro mà tổ chức của bạn phải đối mặt và thảo luận với Ủy ban kiểm toán và Trưởng ban kiểm toán của bạn. Danh sách này không có nghĩa là toàn diện hoặc nhất thiết phải áp dụng cho tất cả các tổ chức. Tuy nhiên, nó cung cấp một điểm chuẩn hữu ích khi bạn suy ngẫm về những gì có thể nằm ở phía trước vào năm 2019.

Bài viết được mình tự dịch từ Richard Chambers – CEO IIA, bạn nào muốn tham khảo bài viết gốc thì ở đây nhé:

https://iaonline.theiia.org/blogs/chambers/2018/Pages/An-Early-Look-at-Internal-Audit-Priorities-for-2019.aspx

Và như thường lệ, tôi muốn bạn hãy commnet ý kiến của bạn dưới bài viết này, cảm ơn bạn đã quan tâm và góp ý <3<3<3

Blessings

Comments (0)

Leave a Reply

Your email address will not be published. Required fields are marked *