Đảm bảo rủi ro an toàn CNTT

Việc đảm bảo thông tin chính xác là điều cần thiết trong bất kỳ doanh nghiệp nào.

Nhóm chuyên gia của chúng tôi có thể giúp các tổ chức giải quyết các thách thức và cơ hội quản lý rủi ro CNTT theo phương thức phù hợp với chiến lược kinh doanh:

Tư vấn về tính hiệu quả của hệ thống kiểm soát thông tin tài chính - và giúp khách hàng giải tỏa những mối lo ngại liên quan đến báo cáo tài chính;
Đánh giá tính hiệu quả của kiểm soát CNTT hỗ trợ cho xử lý thông tin tài chính – giúp khách hàng giải tỏa những mối lo ngại về kiểm soát CNTT liên quan đến báo cáo tài chính;
Hỗ trợ khách hàng nhận diện, thiết lập, tăng cường năng lực quản lý rủi ro CNTT, đồng thời thiết kế, triển khai các giải pháp kiểm soát, ngăn ngừa rủi ro CNTT, bảo vệ tài sản thông tin và giảm thiểu chi phí tuân thủ.

Chúng tôi hỗ trợ khách hàng

Rà soát mức độ tuân thủ theo quy định/ luật định

Chúng tôi có thể hỗ trợ tư vấn cho doanh nghiệp cách quản lý việc tuân thủ theo các yêu cầu của luật định hoặc chính sách nội bộ sao cho hiệu quả và phù hợp với từng loại ngành nghề kinh doanh của doanh nghiệp:

Ngân hàng và định chế tài chính: tư vấn việc tuân thủ theo các thông tư, quy định về an toàn hệ thống thông tin trong hoạt động của ngân hàng và định chế tài chính theo yêu cầu của Ngân hàng nhà nước và các luật, quy định có liên quan.
Chứng khoán: tư vấn việc tuân thủ theo các thông tư, hướng dẫn giao dịch điện tử trên thị trường chứng khoán, tiêu chuẩn kỹ thuật hệ thống công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến.
Bảo hiểm: tư vấn việc tuân thủ thông tư, quy định liên quan đến các vấn đề quản trị rủi ro, hệ thống kiểm soát nội bộ và kiểm toán nội bộ của doanh nghiệp bảo hiểm, doanh nghiệp tái bảo hiểm, chi nhánh doanh nghiệp bảo hiểm phi nhân thọ nước ngoài, chi nhánh doanh nghiệp tái bảo hiểm nước ngoài.

Thích ứng với rủi ro CNTT

Chúng tôi mang đến giải pháp giúp doanh nghiệp tự tin đối mặt rủi ro CNTT, thích ứng tốt hơn trước các nhu cầu đột phá về công nghệ số, trước các mối đe dọa, thay đổi trong quản trị CNTT. Cách tiếp cận của chúng tôi bao gồm những yếu tố sau:

Xác định, xây dựng một bộ danh mục hoàn chỉnh, toàn diện về các rủi ro CNTT, bao gồm nhân sự, quy trình, công nghệ.
Thực hiện đánh giá tổng thể hiện trạng vận hành và quản lý rủi ro CNTT.
Thiết kế khung quản trị CNTT và quản lý rủi ro CNTT.
Tổ chức đào tạo, chuyển giao kiến thức và nâng cao năng lực nhận diện và quản lý rủi ro CNTT cho doanh nghiệp.

Xây dựng công cụ quản lý rủi ro

Chúng tôi hỗ trợ doanh nghiệp triển khai các nội dung trọng yếu thuộc Khung quản lý rủi ro CNTT, bao gồm:

Xây dựng quy định, tiêu chuẩn và hướng dẫn chi tiết.
Xây dựng khẩu vị rủi ro cho tất cả danh mục rủi ro, lượng hóa các ngưỡng của khẩu vị rủi ro. Chúng tôi đồng thời hỗ trợ doanh nghiệp giám sát rủi ro CNTT thông qua phát triển các chỉ số đo lường các rủi ro trọng yếu (KRIs).
Cung cấp các phương pháp để theo dõi rủi ro CNTT.

Xây dựng kế hoạch phục hồi sau gián đoạn CNTT

Tư vấn kỹ thuật: chúng tôi có thể tư vấn các yêu cầu chi tiết cần triển khai đối với các nội dung trọng yếu của kế hoạch phục hồi. Ví dụ: phân tích chiến lược của nhóm các chỉ số phục hồi với khẩu vị rủi ro hiện tại của doanh nghiệp.
Xây dựng kế hoạch phục hồi sau gián đoạn CNTT: chúng tôi sẽ làm việc với các bên liên quan, thu thập thông tin cần thiết và hỗ trợ việc soạn thảo kế hoạch phục hồi của doanh nghiệp.

Đánh giá độc lập về kế hoạch phục hồi hiện tại về phương pháp, dữ liệu và quy trình.
Đào tạo về yêu cầu kỹ thuật của nội dung cần thiết trong kế hoạch phục hồi và giải thích chi tiết về các yêu cầu của các biểu mẫu liên quan.

Cung cấp dịch vụ kiểm toán CNTT & Dịch vụ thuê ngoài KTNB CNTT

Xây dựng lòng tin, nâng cao mức độ tự tin vào các kiểm soát CNTT và quy trình tự động trên hệ thống CNTT:

Thực hiện đánh giá rủi ro đối với quy trình nghiệp vụ liên quan đến hệ thống CNTT để xác định các khu vực có rủi ro cao.
Xác định và đánh giá tính hiệu quả của các chốt kiểm soát chủ chốt, bao gồm các kiểm soát tự động và kiểm soát phụ thuộc vào hệ thống CNTT nhằm đạt được mục đích đề ra của kiểm soát và đáp ứng được các yêu cầu tuân thủ.
Tham chiếu các hoạt động kiểm soát nội bộ với các tiêu chuẩn và chuẩn mực quốc tế, ví dụ như COBIT, ISO27001.
Áp dụng công nghệ và các giải pháp dựa trên dữ liệu để hỗ trợ cho hoạt động kiểm toán được hiệu quả hơn, từ đó tăng cường mức độ đảm bảo của kiểm toán.
Xây dựng mức độ trưởng thành của các tuyến kiểm soát nội bộ một cách hiệu quả đối với các quy trình và kiểm toán CNTT.

Biệt phái nhân sự tham gia kiểm toán nội bộ

Chúng tôi sẵn lòng hỗ trợ Quý khách hàng xây dựng, nâng cao năng lực kiểm toán nội bộ CNTT thông qua việc sử dụng các chuyên gia kiểm toán CNTT của PwC trong một khoảng thời gian được thống nhất. Qua đó, giúp doanh nghiệp có thể tận dụng được tối đa kiến thức và kinh nghiệm chuyên sâu của chúng tôi trong lĩnh vực kiểm toán CNTT.

Đào tạo & nâng cao năng lực kiểm toán CNTT

Chúng tôi có thể hỗ trợ doanh nghiệp:

Thiết lập chức năng kiểm toán nội bộ CNTT hoặc tư vấn về quá trình chuyển đổi cách thức kiểm toán nội bộ.
Phát triển và nâng cao mức độ trưởng thành của kiểm toán nội bộ CNTT.
Xây dựng khung và phương pháp luận kiểm toán nội bộ CNTT nhằm giúp doanh nghiệp đánh giá tác động của chức năng kiểm toán nội bộ lên doanh nghiệp và những thông tin giá trị mà kiểm toán nội bộ có thể cung cấp cho đơn vị.
Hỗ trợ xây dựng năng lực kiểm toán nội bộ CNTT thông qua các khóa đào tạo chuyên biệt cho từng cấp độ: từ người mới bắt đầu, trung cấp, cao cấp), bao gồm đào tạo trong các khóa học trên lớp và đào tạo thông qua thực tế.
Tổ chức khóa đào tạo dựa theo nhu cầu thực tế của bộ phận kiểm toán nội bộ.

Kiểm toán bên thứ ba/ nhà cung cấp dịch vụ cho doanh nghiệp

Chúng tôi hỗ trợ doanh nghiệp trong việc xác định, kiểm soát các rủi ro liên quan đến an toàn hệ thống thông tin có sử dụng dịch vụ của bên thứ ba, cũng như tư vấn các cách kiểm soát, phương án ứng phó với các rủi ro này, bao gồm:

Rủi ro liên quan đển việc đảm bảo an toàn dữ liệu định danh cá nhân: đánh giá các kiểm soát, môi trường kiểm soát của các nhà cung cấp liên quan đển việc đảm bảo an toàn bảo mật cho việc xử lý hoặc lưu trữ thông tin quan trọng, ví dụ thông tin của doanh nghiệp, của các bên liên quan, hoặc thông tin cá nhân của nhân viên.
Rủi ro liên quan tới việc tuân thủ các quy định của doanh nghiệp cũng như yêu cầu theo luật định: đánh giá tính tuân thủ của bên thứ ba/ nhà cung cấp dịch vụ với yêu cầu theo luật định và các quy định của doanh nghiệp.
Rủi ro liên quan đến vận hành: xem xét đánh giá việc quản lý, giám sát các thỏa thuận liên quan đến việc thuê ngoài và bên thứ ba bằng cách dựa trên các khung tham chiếu theo tiêu chuẩn toàn cầu, ví dụ: System and Organization Controls (SOC2), đảm bảo bên thứ ba tuân thủ theo thỏa thuận cung cấp dịch vụ (SLA), các nghĩa vụ và yêu cầu trong hợp đồng.