Sử dụng điện toán đám mây trong hoạt động kiểm toán

21/10/2014 11:59

Công nghệ thông tin nói chung và điện toán đám mây nói riêng ngày càng trở nên cần thiết, hữu ích đối với các kiểm toán viên và các công ty kiểm toán. Liên quan đến chủ đề này, bà Kirstin Gillon  - Giám đốc Ban Công nghệ thông tin – Hội Kế toán Công chứng Anh và xứ Wales (ICAEW) đã có bài trả lời phỏng vấn Báo Kiểm toán.

Châu Anh

Thưa bà, xin bà cho biết điện toán đảm mây là gì và hội viên của ICAEW đã ứng dụng công nghệ này như thế nào?

- Điện toán đám mây là một cách thức khác để mua các nguồn lực máy tính dựa trên 3 tính năng cơ bản.

Thứ nhất, dựa vào Internet, người dùng có thể truy cập vào các hệ thống tại bất cứ nơi nào có kết nối Internet và các hệ thống có thể được đặt tại bất cứ đâu, không chỉ là trong văn phòng. Điều này mang lại nhiều lợi ích như khả năng làm việc linh hoạt thông qua công nghệ di động, cho phép chia sẻ dữ liệu và hợp tác lớn hơn. Vì vậy nó đòi hỏi cơ sở hạ tầng mạng phải đủ tốt.

Thứ hai, dựa vào việc tối ưu hóa và chia sẻ các ‘nguồn lực giữa những người sử dụng khác nhau hoặc các bộ phận của một DN. Do đó, thay vì có ứng dụng và phần cứng chuyên dụng của riêng mình, bạn sẽ chia sẻ với những người sử dụng khác. Điều này giúp mang lại lợi thế kinh tế và có thể giảm chi phí điện toán. Nó cũng cho phép sự linh hoạt và khả năng mở rộng dịch vụ lớn hơn.

Thứ ba, người sử dụng không cần đầu tư vốn để mua phần cứng và phần mềm mà chỉ cần trả một chi phí hoạt động thuần túy (chỉ cần trả phí sử dụng theo tháng).

Trên thực tế có nhiều loại đám mây khác nhau và mỗi nhà cung cấp đám mây đều khác nhau. Có những “đám mây cơ sở hạ tầng” trong đó các trung tâm dữ liệu được xây dựng như những đám mây nhưng khách hàng giữ quyền kiểm soát các ứng dụng cụ thể. Cũng có những “đám mây ứng dụng”, trong đó khách hàng mua quyền truy cập vào một hệ thống cụ thể như hệ thống kế toán hoặc hệ thống email. Nhiều người đã sử dụng điện toán đám mây bằng cách sử dụng các ứng dụng như hotmail hoặc gmail.

Một điều quan trọng khác là “đám mây công cộng” được mở cho tất cả mọi người và “đám mây riêng” được thiết lập trong phạm vi một DN hoặc Chính phủ. Vì thế không có “đám mây” nào phù hợp cho tất cả mà có những hình thức sử dụng khác nhau tùy thuộc vào nhu cầu hoạt động.

Các DN kiểm toán có thể sử dụng điện toán đám mây trong các hoạt động nội bộ để giúp cho công việc linh hoạt và hiệu quả hơn. Đi đôi với nó là ảnh hưởng tiềm tàng đối với rủi ro cho khách hàng khi họ chuyển các hệ thống, đặc biệt là hệ thống tài chính vào đám mây.

ICAEW thấy rằng số lượng hội viên sử dụng điện toán đám mây trong những năm gần đây đang tăng lên, mặc dù việc sử dụng đó vẫn còn khá chậm. Các DN và công ty kiểm toán nhỏ chủ yếu sử dụng các ứng dụng “đám mây công cộng”. Các tổ chức lớn chủ yếu tập trung xây dựng các “đám mây riêng” nhiều hơn là chia sẻ các “đám mây công cộng”.

Những hội viên đã sử dụng các mô hình dựa trên đám mây thường rất hài lòng với kinh nghiệm đó. Một số hội viên cho rằng việc đưa các hệ thống vào đám mây có nghĩa là họ có thể tập trung nhiều hơn vào hoạt động cốt lõi. Cũng có thể tăng cường an ninh, bằng cách có một dịch vụ kiểm soát tập trung được hỗ trợ bởi các chuyên gia an ninh. Nhưng kinh nghiệm khác nhau tùy thuộc vào nhà cung cấp đám mây cụ thể và mức độ đáp ứng của dịch vụ đối với các nhu cầu kinh doanh.

Vấn đề người sử dụng lo ngại khi ứng dụng điện toán đám mây là bảo mật thông tin. ICAEW có khuyến cáo gì đối với các DN về vấn đề này?

Công nghệ đang thay đổi và cải tiến rất nhanh chóng, do đó kiểm toán viên và DN kiểm toán cần đi đầu trong việc ứng dụng những công nghệ này, đồng thời phải hiểu và quản lý được những rủi ro của công nghệ.

Rào cản lớn nhất khi ứng dụng công nghệ điện toán đám mây trong tất cả các tổ chức thường là tính vững chắc và sức chống đỡ của cơ sở hạ tầng Internet trong việc đảm bảo an ninh. Ngoài ra, còn những quan ngại về môi trường pháp lý và vị trí vật lý của dữ liệu để các DN tuân thủ pháp luật nước sở tại (ví dụ dữ liệu phải được giữ trong nước và không được chuyển đi bất cứ đâu). Chúng tôi nghĩ điều này cũng áp dụng nhiều hơn đối với KTNN và các DN kiểm toán.

An ninh tốt luôn là sự kết hợp của công nghệ, quy trình và con người. Có nhiều giải pháp công nghệ mà DN kiểm toán có thể sử dụng để bảo vệ thông tin khách hàng, bao gồm mã hóa dữ liệu và các hệ thống giám sát và phát hiện tấn công và vi phạm. Phân tích dữ liệu lớn cũng đem đến cơ hội phát hiện những sự bất thường, phát hiện các mẫu thông tin và chủ động hơn trong quản lý an ninh. Tuy nhiên, tất cả phụ thuộc vào việc các cá nhân tuân thủ kỷ luật an ninh thông tin như thế nào (kỷ luật mật khẩu, không click vào email lừa đảo…).

Theo bà, khi cơ quan KTNN và các công ty kiếm toán độc lập của Việt Nam ứng dụng công nghệ điện toán đám mây cần lưu ý điều gì?

Các đơn vị này có thể áp dụng điện toán đám mây nếu rủi ro được quản lý phù hợp. Cơ sở hạ tầng Internet cần phải đủ mạnh để đảm bảo hệ thống đáng tin cậy. Cần đặc biệt thận trọng để hiểu được những vấn đề an ninh của đám mây và đảm bảo đáp ứng các nhu cầu của KTNN và các DN kiểm toán. Ví dụ, quan trọng là phải kiểm tra nhà cung cấp đám mây tuân thủ tiêu chuẩn an ninh như ISO 27001 hoặc có báo cáo kiểm toán dịch vụ. Cũng cần phải hiểu dữ liệu được lưu giữ vật lý ở đâu và đảm bảo rằng vị trí đó chấp nhận được. Tôi cho rằng trong giai đoạn đầu sử dụng điện toán đám mây, các tổ chức nên sử dụng các ứng dụng có sẵn cho các dữ liệu không then chốt như dịch vụ desk­top để nâng cao kinh nghiệm và niềm tin vào môi trường và không nên đưa các dữ liệu nhạy cảm vào môi trường đám mây.

Xin cảm ơn bà!

(Theo Báo KTNN – Số 40/2014)