Tóm tắt:
Chuyển đổi số là xu hướng tất yếu của doanh nghiệp Việt Nam trong bối cảnh hội nhập kinh tế và phát triển công nghệ. Quá trình này đòi hỏi doanh nghiệp không chỉ nâng cấp hệ thống công nghệ, mà còn phải đảm bảo tính chính xác, minh bạch và bảo mật dữ liệu. Kiểm toán công nghệ thông tin (IT Audit) đóng vai trò quan trọng trong việc đánh giá, kiểm soát và giảm thiểu rủi ro trong chuyển đổi số. Bài viết phân tích thực trạng và thách thức khi áp dụng kiểm toán IT tại các doanh nghiệp Việt Nam, đồng thời đề xuất giải pháp nâng cao hiệu quả kiểm soát trong quá trình chuyển đổi số.
Từ khóa: kiểm toán IT, chuyển đổi số, doanh nghiệp Việt Nam, bảo mật dữ liệu, quản trị rủi ro.
1. Đặt vấn đề
Ở Việt Nam, xu hướng chuyển đổi số, hội nhập kinh tế quốc tế ngày càng được đẩy mạnh, khi mà các doanh nghiệp từ lớn đến vừa và nhỏ đều nhận thức được vai trò quan trọng của công nghệ thông tin trong quản lý dữ liệu, tối ưu hóa quy trình sản xuất, kinh doanh và nâng cao trải nghiệm khách hàng. Theo báo cáo State of AI 2025 của McKinsey, có tới 78% doanh nghiệp trên toàn cầu cho biết họ đã bắt đầu ứng dụng AI trong ít nhất một hoạt động kinh doanh, hơn 70% doanh nghiệp đã triển khai ít nhất một dự án số hóa, bao gồm các hệ thống quản lý doanh nghiệp như: ERP, CRM, phần mềm kế toán, quản lý nhân sự và chăm sóc khách hàng. Tuy nhiên, quá trình chuyển đổi số không chỉ đơn thuần là triển khai công nghệ mới mà còn tiềm ẩn nhiều rủi ro, bao gồm sai sót dữ liệu, gian lận thông tin, vi phạm bảo mật và vận hành hệ thống không hiệu quả. Những rủi ro này không chỉ ảnh hưởng trực tiếp đến hiệu quả hoạt động, mà còn có thể tác động tiêu cực đến uy tín và khả năng tiếp cận vốn của doanh nghiệp.
Trong bối cảnh đó, kiểm toán công nghệ thông tin (IT Audit) trở thành một công cụ quan trọng nhằm đánh giá, giám sát và kiểm soát toàn bộ quá trình chuyển đổi số. Kiểm toán IT là quá trình thu thập và đánh giá chứng cứ xác định một hệ thống máy tính đã được thiết kế để duy trì toàn vẹn dữ liệu, không chỉ đảm bảo dữ liệu chính xác, minh bạch và an toàn mà còn giúp doanh nghiệp phát hiện sớm các lỗ hổng trong hệ thống, từ đó đề xuất các biện pháp cải thiện và quản trị rủi ro hiệu quả. Mục tiêu của bài viết này là đánh giá thực trạng áp dụng tại các doanh nghiệp Việt Nam, đồng thời đề xuất các giải pháp nhằm nâng cao hiệu quả kiểm soát công nghệ thông tin, hướng tới một môi trường quản trị số an toàn, minh bạch và bền vững.
2. Thực trạng và thách thức ứng dụng kiểm toán IT
Theo Khảo sát Rủi ro Kiểm toán Công nghệ Toàn cầu lần thứ 11 của Protiviti đã khảo sát hơn 550 Giám đốc Kiểm toán (CAE) và các chuyên gia kiểm toán CNTT về những rủi ro công nghệ mà công ty họ phải đối mặt trong ngắn hạn (12 tháng) và trung hạn (2 - 3 năm). Gần 75% số người được hỏi, và tỷ lệ thậm chí còn cao hơn (82%) các CAE và lãnh đạo kiểm toán công nghệ coi an ninh mạng là lĩnh vực rủi ro cao trong 12 tháng tới. Với việc tích hợp ngày càng nhiều các công nghệ mới nổi vào các chức năng kinh doanh, các tổ chức dự đoán các mối đe dọa an ninh mạng thế hệ tiếp theo sẽ gây ra những rủi ro đáng kể nhất trong 2 - 3 năm tới. Có 54% người tham gia khảo sát tin rằng các hệ thống AI tiên tiến, bao gồm cả AI tạo sinh, tiềm ẩn những rủi ro đáng kể trong 2 - 3 năm tới. Khi công nghệ này ngày càng được chấp nhận rộng rãi và tích hợp vào hoạt động kinh doanh, những phức tạp và bất ổn mà nó mang lại sẽ trở nên cấp bách hơn. Rất ít tổ chức tin rằng mức độ sẵn sàng hoặc năng lực của nhóm kiểm toán công nghệ trong việc xử lý rủi ro AI/GenAI và ML đang ở mức chấp nhận được.
Tăng cường kiểm toán AI chính là một trong những mục tiêu lớn được nêu ra trong Chiến lược phát triển kiểm toán nhà nước đến năm 2030. Hiện nay, việc ứng dụng kiểm toán công nghệ thông tin tại các doanh nghiệp Việt Nam đang được triển khai với mức độ khác nhau, tùy thuộc vào quy mô, lĩnh vực hoạt động và nhận thức về tầm quan trọng của quản trị dữ liệu và an toàn thông tin.
Ở khối doanh nghiệp lớn như FPT, Viettel, Vinamilk, đặc biệt là ngân hàng, kiểm toán CNTT đã được áp dụng có hệ thống hơn. Theo Báo cáo thường niên của VACPA (2023), hơn 85% các tổ chức tài chính và ngân hàng thương mại Việt Nam đã tích hợp các quy trình kiểm toán IT vào hoạt động kiểm toán nội bộ, trong đó 60% đã triển khai theo khung kiểm soát quốc tế như COBIT 2019 hoặc ISO/IEC 27001:2022. Việc áp dụng này giúp nâng cao hiệu quả giám sát rủi ro công nghệ, hạn chế gian lận điện tử và bảo đảm tính minh bạch trong báo cáo tài chính. Những doanh nghiệp này thường tập trung vào các hệ thống quan trọng như ERP, CRM, quản lý sản xuất và kế toán, đồng thời kết hợp kiểm toán IT với kiểm soát nội bộ và quản lý rủi ro tài chính. Mục tiêu của kiểm toán IT trong các doanh nghiệp này là đảm bảo dữ liệu chính xác, kịp thời và an toàn, đồng thời phát hiện các lỗi hệ thống, lỗ hổng bảo mật và sự bất đồng trong quy trình số hóa.
Đồng thời, báo cáo cũng chỉ ra chi phí triển khai kiểm toán IT khá cao, đòi hỏi đầu tư hạ tầng kỹ thuật và phần mềm kiểm toán chuyên dụng, khiến nhiều doanh nghiệp vừa và nhỏ khó có khả năng tiếp cận. Ở khu vực doanh nghiệp này, tỷ lệ áp dụng kiểm toán IT còn thấp, chỉ đạt khoảng 18%, chủ yếu dừng lại ở các hoạt động tự kiểm tra nội bộ hoặc thuê ngoài kiểm toán định kỳ.
Một trong những lý do chính là nguồn lực nhân sự chuyên môn còn hạn chế. Đa số kế toán viên và kiểm toán viên tại các doanh nghiệp vừa và nhỏ được đào tạo theo hướng nghiệp vụ kế toán truyền thống, ít tiếp xúc với các tiêu chuẩn kiểm toán IT hoặc các phương pháp đánh giá hệ thống công nghệ. Họ thường thiếu kinh nghiệm trong việc kiểm tra tính toàn vẹn, độ tin cậy và bảo mật dữ liệu điện tử, dẫn đến khả năng phát hiện rủi ro trong các dự án chuyển đổi số còn hạn chế. Ngoài ra, đội ngũ IT trong các doanh nghiệp này thường đảm nhiệm nhiều vai trò cùng lúc, vừa quản trị hệ thống, vừa triển khai phần mềm, vừa hỗ trợ nghiệp vụ kế toán và kinh doanh, khiến việc thực hiện kiểm toán IT trở nên khó khăn và chưa được ưu tiên.
Một thách thức khác là chi phí triển khai và vận hành kiểm toán IT. Triển khai kiểm toán IT không chỉ đòi hỏi đầu tư vào phần mềm chuyên dụng, cơ sở hạ tầng công nghệ mà còn cần thuê tư vấn chuyên môn và đào tạo nhân sự. Chi phí để triển khai kiểm toán IT đầy đủ tại một doanh nghiệp lớn có thể chiếm từ 0,5% đến 1% tổng doanh thu hàng năm. Với doanh nghiệp vừa và nhỏ, đây là gánh nặng tài chính đáng kể, đặc biệt khi lợi ích trực tiếp từ kiểm toán IT chưa được nhìn nhận đầy đủ. Chính vì vậy, nhiều doanh nghiệp còn xem kiểm toán IT là chi phí bổ sung, chưa coi đây là một phần chiến lược trong quản trị rủi ro và nâng cao chất lượng dữ liệu.
Ngoài ra, hạ tầng pháp lý và tiêu chuẩn hướng dẫn còn hạn chế cũng là một rào cản. Mặc dù Bộ Thông tin và Truyền thông (cũ) và các cơ quan quản lý đã ban hành một số quy định về bảo mật thông tin, nhưng hiện vẫn chưa có hướng dẫn chi tiết về quy trình kiểm toán IT hoặc tiêu chuẩn áp dụng cụ thể cho các doanh nghiệp trong các ngành nghề khác nhau. Điều này khiến doanh nghiệp, đặc biệt là các doanh nghiệp vừa và nhỏ, gặp khó khăn trong việc lập kế hoạch, tổ chức và thực hiện kiểm toán IT đúng chuẩn, dễ dẫn đến việc kiểm toán mang tính hình thức hoặc chưa hiệu quả.
Thực tế cũng cho thấy, nhận thức về vai trò của kiểm toán IT còn chưa đồng đều. Ở các doanh nghiệp lớn, ban lãnh đạo nhận thức rõ kiểm toán IT không chỉ là công cụ giám sát mà còn là cơ sở để ra quyết định chiến lược, giảm thiểu rủi ro trong các dự án số hóa. Trong khi đó, ở nhiều doanh nghiệp vừa và nhỏ, kiểm toán IT vẫn được xem là một thủ tục hành chính, chủ yếu để phục vụ kiểm soát nội bộ hoặc yêu cầu từ đối tác, chưa thực sự được tích hợp vào chiến lược quản trị rủi ro toàn diện.
3. Giải pháp tăng cường ứng dụng kiểm toán IT trong chuyển đổi số doanh nghiệp Việt Nam
Để việc ứng dụng kiểm toán IT trong doanh nghiệp Việt Nam đạt hiệu quả cao và phù hợp với yêu cầu chuyển đổi số, cần triển khai đồng bộ nhiều giải pháp hướng đến con người, công nghệ, quy trình và quản trị.
Thứ nhất, phát triển năng lực chuyên môn cho đội ngũ kiểm toán viên. Kiểm toán IT đòi hỏi kiểm toán viên không chỉ am hiểu nghiệp vụ tài chính - kế toán mà còn phải có kiến thức sâu về công nghệ thông tin, hệ thống mạng, bảo mật dữ liệu và phân tích dữ liệu. Do đó, doanh nghiệp cần xây dựng kế hoạch đào tạo chuyên biệt, kết hợp giữa lý thuyết và thực hành, giúp kiểm toán viên nắm vững các công cụ kiểm toán số, kỹ thuật phân tích dữ liệu, nhận diện và đánh giá rủi ro công nghệ. Bên cạnh đó, việc khuyến khích kiểm toán viên theo đuổi các chứng chỉ quốc tế về kiểm toán và an toàn hệ thống sẽ góp phần nâng cao chất lượng kiểm toán và uy tín nghề nghiệp.
Thứ hai, hoàn thiện quy trình kiểm toán trong môi trường công nghệ số. Các doanh nghiệp cần rà soát và cập nhật quy trình kiểm toán nội bộ theo hướng tích hợp yếu tố công nghệ. Quy trình này nên bao gồm các bước đánh giá rủi ro CNTT, kiểm soát truy cập hệ thống, giám sát hoạt động dữ liệu, và phân tích các dấu hiệu bất thường bằng phần mềm hỗ trợ. Ngoài ra, cần thiết lập các tiêu chuẩn kiểm toán riêng cho hệ thống ERP, CRM, hoặc các nền tảng điện toán đám mây, nhằm đảm bảo tính toàn vẹn và chính xác của dữ liệu trong quá trình xử lý.
Thứ ba, đầu tư hạ tầng công nghệ và công cụ kiểm toán số. Một hệ thống kiểm toán IT hiệu quả phải dựa trên nền tảng công nghệ vững chắc. Doanh nghiệp cần đầu tư các phần mềm kiểm toán chuyên dụng có khả năng tự động hóa việc thu thập, phân tích và đối chiếu dữ liệu. Việc ứng dụng trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data) và công nghệ blockchain trong kiểm toán sẽ giúp phát hiện sai sót, gian lận và rủi ro nhanh chóng hơn, đồng thời giảm đáng kể chi phí và thời gian kiểm toán.
Thứ tư, nâng cao nhận thức và cam kết của lãnh đạo doanh nghiệp. Lãnh đạo doanh nghiệp cần hiểu rõ vai trò của kiểm toán IT như một công cụ quản trị rủi ro chiến lược, từ đó ưu tiên nguồn lực tài chính và nhân sự cho lĩnh vực này. Việc đưa kiểm toán công nghệ vào chiến lược phát triển dài hạn sẽ giúp doanh nghiệp chủ động phòng ngừa rủi ro, nâng cao uy tín và năng lực cạnh tranh trên thị trường.
Thứ năm, thúc đẩy văn hóa quản trị dữ liệu và an ninh thông tin. Doanh nghiệp cần xây dựng môi trường làm việc mà trong đó dữ liệu được xem là tài sản chiến lược. Tất cả các bộ phận phải có trách nhiệm trong việc bảo vệ, chia sẻ và khai thác thông tin đúng quy định. Việc thường xuyên kiểm tra, đánh giá an toàn dữ liệu và tuân thủ quy định bảo mật giúp giảm thiểu rủi ro rò rỉ thông tin, đảm bảo quá trình kiểm toán diễn ra hiệu quả và minh bạch.
Thứ sáu, tăng cường hợp tác và chia sẻ kinh nghiệm giữa các tổ chức. Doanh nghiệp nên chủ động thiết lập mạng lưới hợp tác với các đơn vị kiểm toán, tổ chức nghề nghiệp và doanh nghiệp công nghệ để học hỏi kinh nghiệm, chia sẻ dữ liệu và cùng phát triển công cụ kiểm toán phù hợp với đặc thù Việt Nam. Ngoài ra, việc tham gia các diễn đàn nghề nghiệp và chương trình hợp tác quốc tế cũng sẽ giúp kiểm toán viên Việt Nam tiếp cận nhanh hơn với xu hướng, chuẩn mực và công nghệ kiểm toán tiên tiến.
4. Kết luận
Tóm lại, thực trạng ứng dụng kiểm toán IT tại Việt Nam hiện nay đang phân hóa rõ rệt theo quy mô và nhận thức doanh nghiệp. Trong khi các doanh nghiệp lớn đã triển khai hiệu quả, tích hợp kiểm toán IT vào quản trị và chiến lược chuyển đổi số, các doanh nghiệp vừa và nhỏ vẫn gặp nhiều hạn chế về nhân lực, chi phí, hạ tầng và nhận thức. Điều này đòi hỏi cần có những giải pháp đồng bộ về đào tạo, đầu tư công nghệ, hoàn thiện pháp lý và nâng cao nhận thức để mở rộng và nâng cao hiệu quả kiểm toán IT trong quá trình chuyển đổi số tại Việt Nam.
Tài liệu tham khảo:
McKinsey (2025). Báo cáo State of AI 2025, truy cập từ: https://www.mckinsey.com/capabilities/quantumblack/our-insights/the-state-of-ai
Protiviti (2023). Global Technology Audit Risks Survey, truy cập từ: https://www.protiviti.com/us-en/press-release-global-technology-audit-risks-survey.
VACPA (2023). Báo cáo thường niên VACPA năm 2023, truy cập từ: https://vacpa.org.vn/files/ecm/source_files/2024/01/22//Bao-Cao-Thuong-Nien-2023
Kiểm toán Nhà nước (2022). Chiến lược phát triển kiểm toán nhà nước đến năm 2030 (giai đoạn 2021 - 2030).
Applying IT auditing in Vietnamese enterprises’ digital transformation
TRAN THI QUYEN
Faculty of Accounting and Auditing, University of Economics - Technology for Industries
Abstract:
Digital transformation has become an inevitable trend for Vietnamese enterprises in the context of deep economic integration and rapid technological advancement. Beyond upgrading technological infrastructure, businesses must ensure data accuracy, transparency, and security throughout this transition. Information technology auditing (IT audit) plays a critical role in assessing system integrity, strengthening internal controls, and mitigating digital transformation–related risks. This study examines the current status of IT audit adoption in Vietnamese enterprises, identifies key challenges such as limited audit expertise, outdated management frameworks, and insufficient risk assessment mechanisms, and proposes practical solutions. These include enhancing human resource capacity, developing standardized IT audit procedures, and improving governance systems to support effective and secure digital transformation.
Keywords: IT auditing, digital transformation, Vietnamese businesses, data security, risk management.
[Tạp chí Công Thương - Các kết quả nghiên cứu khoa học và ứng dụng công nghệ, Số 32 năm 2025]
