Bài tập nhóm: D-Merton và rủi ro bảo mật môn Kiểm toán | Học viện Ngân hàng

Nhóm 5
1. Tóm tắt bộ phim:
Công ty D – Merton là một công ty chuyên về lĩnh vực viễn thông quốc phòng, là
một công ty phát triển rất tốt với doanh số ấn tượng lên tới 400 triệu đô mỗi năm bằng
những sản phẩm của mình là hệ thống S1A, S1B và S1C. Là một công ty lớn với nguồn
nhân lực dồi dào, chất lượng thì sản phẩm tiếp theo của họ, S1D sẽ kỳ vọng đem lại cho
họ một sự đột phát mới và bùng nổ về doanh thu. Nhưng một số lỗi
của sản phẩm đã phát sinh không theo kỳ vọng và từ đây D – Merton
bắt đầu cho chúng ta thấy được những mặt trái của môi trường nội bộ của công ty. 6/1/2011:
Trưởng bộ phận IT Kris Perry đã lo lắng về các vụ tấn công của hệ thống phòng
vệ của X. Với giá trị của những thiết kế mang tính đổi mới của D-Merton, ... Nhưng
Chủ tịch Ủy ban Kiểm toán và quản lý rủi ro Liz Harris lại khẳng định uỷ ban của cô
ấy đã xem xét kết quả kiểm tra tính năng chống xâm nhập (Pentest) chỉ cách đây vài
tháng ngay trước khi Kris vào công ty và không phát hiện bất kỳ vấn đề lớn nào. Chủ
tịch Roger Tillman đã quyết định cần đánh giá một cách độc lập khả năng phòng vệ
chống tấn công mạng trên toàn bộ hệ thống của công ty. 26/3/2011, tại buổi Họp hội
đồng: Trưởng bộ phận IT Kris báo cáo về các cuộc kiểm tra và đã phát hiện ra 50 lỗi
phòng vệ nghiêm trọng trên toàn bộ hệ thống của công ty bao gồm cơ sở dữ liệu thiết
kế. Hệ thống đặc biệt dễ bị tấn công vì có 4 hệ thống IT khác nhau hoạt động đồng
thời trong tập đoàn. Các hệ thống này được kế thừa từ các công ty được D-Merton
mua lại và mức độ bảo vệ của chúng cũng khác nhau.
Có 2 phương án lựa chọn giải quyết:
- Phương án thứ nhất là thay thế trung tâm của cơ sở hạ tầng hiện tại của chúng
ta, đồng bộ một hệ thống duy nhất trong tòa, sẽ mất 9 tháng và phải thuê ngoài một số
chức năng IP chính. Công ty sẽ phải sử dụng những nhà cung cấp có uy tín và thận
trọng trong quyết định sẽ thuê ngoài những chức năng nào.
- Phương án thứ hai là nâng cấp cơ sở hạ tầng hiện tại của chúng ta trong khoảng
thời gian 2 đến 3 năm và không có thuê ngoài - đây là hình thức chắp vá thay vì thay
đổi toàn bộ. Phương án 2 dàn trải ảnh hưởng về chi phí và dòng tiền trong một khoảng
thời gian dài nên có thể thu xếp được. Phương án 1 tốn kém hơn và yêu cầu chia trước
số tiền lớn. Mà công ty đã vay hết hạn mức, có thể sẽ phải đàm phán ngân hàng với
mức lãi suất cao hơn vì chưa có ai đã thực sự xâm nhập được vào các hệ thống của D-
Merton và quan ngại về việc phải tăng hạn mức tín dụng (có giới hạn về ngân sách)
nên để tối ưu lợi nhuận cho công ty hội đồng đã quyết định lựa chọn phương án 2. Kết quả:
Tại ngày 6/9/2012 đã phát hiện: 4 lần cơ sở dữ liệu thiết kế bị truy cập vào 23/2
bao gồm truy cập vào bản thiết kế S1D. Những kẻ tấn công không truy cập trực tiếp
mà truy cập vào từ hệ thống tài chính của một trong những công ty con của D-Merton
sau đó chúng có thể xâm nhập vào hệ thống tài chính trung tâm của D-Merton tạo ra
thông tin đăng nhập nội bộ riêng của chúng. Những ID đó cho phép truy cập vào toàn
bộ hệ thống bao gồm cơ sở dữ liệu thiết kế. Không phát hiện sớm bởi vì địa chỉ IP
được tạo ra tuân thủ định dạng nội bộ của D-Merton nên phần mềm dò tìm tự động của
công ty không phát hiện được vụ tấn công sớm. Vì vậy, với những đơn hàng bị huỷ sẽ
có khả năng bị giảm lợi nhuận mạnh
2. Đề bài: Nhận xét, đánh giá về KSNB và Kiểm toán nội bộ của DN khách hàng đó.
Nhìn chung công ty D-merton có đầy đủ các chức vụ để kiểm soát các vấn đề
liên quan đến tài chính, kiểm toán, rủi ro của doanh nghiệp. Nhưng vẫn còn xuất hiện
một số rủi ro liên quan đến môi trường kiểm soát của công ty này
1. Bổ nhiệm Ban điều hành
Từ đầu phim trong cuộc họp HĐQT ta cũng thấy được sự không hài lòng của bà
Liz Harnins khi nghe chủ tịch Roger Tillman trao đổi, sự mâu thuẫn này xuất phát từ
việc Liz nghĩ rằng bà sẽ được bổ nhiệm làm chủ tịch HĐQT nhiệm kỳ tiếp theo, nhưng
sau đó chủ tịch Roger Tillman lại được bổ nhiệm. Đồng thời, chúng ta cũng thấy được
ở cuộc họp này kiểm soát nội bộ của công ty đã không được tổ chức chặt chẽ có nhiều
mâu thuẫn chia rẽ, ban giám đốc và hội đồng quản trị không hiểu được vấn đề mà sản
phẩm công nghệ của họ mắc phải và tầm nghiêm trọng của cuộc tấn công mạng
Vấn đề này dẫn đến rủi ro về sự mâu thuẫn nội bộ và bất đồng quan điểm cũng
như phong cách điều hành của các nhà lãnh đạo. Điều này cũng gây ra một môi trường
làm việc thiếu sự đoàn kết.
2. Quyền lực của tân chủ tịch – ông Roger Tillman
Thứ nhất, ông Roger Tillman đã đề cập lo ngại về khả năng chống lại các vụ tấn
công của hệ thống phòng vệ của X trong khi công ty D-Merton đang có những thiết kế
mang tính đổi mới đầy giá trị và đề xuất thực hiện kiểm tra tính năng bảo mật cũng là
công ty thiết kế hệ thống phòng vệ và việc kiểm tra chỉ được giới hạn ở cơ sở dữ liệu
thiết kế chính. Bà Liz Harris thì vẻ không đồng tình vì UBKT đã xem xét kết quả kiểm
tra tính chống xâm nhập (Pentest) chỉ cách đây vài và họ đã không phát hiện ra bất kỳ
vấn đề lớn nào. Và các thành viên khác trong cuộc họp thì lại không mấy quan tâm đến
những lo ngại và họ thiên về quan điểm của bà Liz Harris.
Tiếp đến, ông cũng đề xuất với bà Liz nên thay đổi công ty kiểm toán khác sau
một khoảng thời gian dài được công ty TYSL kiểm toán. Tuy nhiên, bà Liz nói rằng
đang xử lý vấn đề này bằng thái độ không tốt và có vẻ đang lảng tránh vấn đề này. Và
cuối cùng công ty cũng không thay đổi công ty kiểm khác khác. Bên cạnh đó, trong
cuộc họp HĐQT, Kris báo cáo rằng cuộc kiểm tra đã phát hiện ra 50 lỗi phòng vệ
nghiêm trọng trên toàn bộ hệ thống công ty và đưa ra 2 phương án lựa chọn. Chỉ duy
nhất ông Roger chọn phương án 1 trong khi đa số thành viên trong ban HĐQT lại lựa
chọn phương án 2 do họ lo ngại về vấn đề phải gia tăng hạn mức tín dụng. Và cuối
cùng ông Roger quyết định đi theo phương án 2.
Qua các vấn đề trên, có thể thấy được sức ảnh hưởng của ông Roger Tillman
trong công ty là không lớn. Ông cũng thiếu quyết đoán hoặc có thể ông đang dè dặt để
xung đột với Ban HĐQT và Ban Điều hành sau khi được bổ nhiệm làm chủ tịch chưa lâu.
3. Sự thiếu chuyên nghiệp của chủ tịch Ủy ban kiểm toán & quản lý rủi ro – Bà Liz Harris
Trong khi ông Roger Tillman lo ngại về khả năng chống lại các vụ tấn công của
hệ thống phòng vệ của X khi ông nhận được thông tin từ Kris. Nhưng bà Liz lại phản
bác lại lo ngại của ông Roger Tillman với lý do là công ty đã kiểm tra khả năng phòng
vệ của hệ thống trước khi Kris gia nhập công ty vài tháng và không phát hiện bất kỳ vấn đề lớn nào.
Điều này thể hiện bà Kris thiếu chuyên nghiệp, và hời hợt trong việc quản lý rủi
ro công ty. Không có sự chắc chắn nào cho việc vài tháng hệ thống không có rủi ro thì
vài tháng sau hệ thống cũng sẽ như vậy. Và ngoài ra, bà Liz cũng đặt cảm xúc cá nhân
vào công việc. Thể hiện ở việc bà bất mãn với việc bản thân không phải là người kế
nhiệm vị trí chủ tịch.
4. Hệ thống bảo mật của công ty
Ông Roger Tillman đã đề cập rằng Kris Perry – trưởng phòng IT mới của công ty
lo lắng về khả năng chống lại các vụ tấn công của hệ thống phòng vệ của X. Ngoài ra,
công ty thực hiện kiểm tra tính năng bảo mật cũng là công ty thiết kế hệ thống phòng
vệ và việc kiểm tra chỉ được giới hạn ở cơ sở dữ liệu thiết kế chính trong khi những kẻ
tấn công mạng sẽ tìm kiếm bất kỳ điểm yếu nào trên toàn bộ hệ thống của công ty để
truy cập chứ không dừng lại ở việc tấn công cơ sở dữ liệu thiết kế chính.
Bên cạnh đó, thông qua cuộc kiểm tra đã cho thấy rằng hệ thống của công ty
không tốt như được đề cập trước đây. Cụ thể, các chuyên gia tư vấn đã thực hiện hơn
20 cuộc kiểm tra tính năng chống xâm nhập khác nhau và họ đã phân tích khả năng bị
tấn công, bao gồm khai thác browser, tấn công hệ điều hành, cài virus trojans, phishing
..v.v. Cuộc kiểm tra đã phát hiện ra 50 lỗi phòng vệ nghiêm trọng trên toàn bộ hệ thống
của công ty bao gồm cả cơ sở dữ liệu thiết kế. Công ty đặc biệt dễ bị tấn công vì có 4
hệ thống IT khác nhau hoạt động đồng thời trong tập đoàn. Các hệ thống IT này được
kế thừa từ những công ty được DMerton mua lại và mức độ bảo vệ của chúng cũng
khác nhau. Do đó cho thấy, hệ thống IT không đồng nhất dẫn đến việc khó quản lý.
5. Vấn đề nợ và quản lý nợ
Công ty D-Merton đang quản lý nợ không tốt. Từ việc khi Kris đưa ra 2 phương
án để cải thiện hệ thống bảo mật của công ty, các thành viên đều chọn phương án 2 với
lý do rằng phương án này dàn trải ảnh hưởng về chi phí và dòng tiền trong khoảng thời
gian dài nên có thể thu xếp được. Và cũng cho thấy rằng, công ty đã vay hết hạn mức,
nếu chọn phương án 1 công ty sẽ phải đối mặt với việc chi phí lãi vay cao.
6. Vấn đề về các thành viên Ban điều hành và Ban quản trị
Khi phải lựa chọn giữa 2 phương án:
Phương án 1: Thay thế các trung tâm của cơ sở hạ tầng hiện tại của công ty, đồng
bộ 1 hệ thống duy nhất. Phương án này mất 9 tháng để thực hiện và phải thuê ngoài 1 số chức năng IT chính.
Phương án 2: Nâng cấp cơ sở hạ tầng hiện tại của công ty. Phương án này mất 2
đến 3 năm để thực hiện, không thuê ngoài, tuy nhiên đây là hình thức chấp vá thay vì
thay đổi toàn bộ. Trong tình huống này có thể nhận thấy được rằng, đa số các thành
viên trong cuộc họp đều có ít hoặc không có hiểu biết gì về hệ thống công ty cũng như
các rủi ro mà công ty gánh chịu nếu bị tấn công hệ thống. Họ chỉ quan tâm đến vấn đề
gia tăng hạn mức dẫn đến chi phí lãi vay cao. Trong khi, 4 hệ thống IT của công ty
không thống nhất, và nếu chọn phương án 2 thì tốn rất nhiều thời gian mà lại không
giải quyết triệt để vấn đề của hệ thống, đây chỉ là phương án chắp vá.
7. Tính trung thực trong quá trình truyền đạt thông tin trong cuộc họp HĐQT
Truyền đạt thông tin trong nội bộ Ban Điều Hành và HĐQT là một vấn đề.
Thông tin từ Ban Điều Hành đến HĐQT sai sự thật được thể hiện qua tình tiết:
1. Alex Frayn đã báo cáo rằng doanh thu của S1A giảm, trong khi doanh thu của S1B và S1C tăng.
2. Tại cuộc họp HĐQT, báo cáo dự kiến tình hình kinh doanh cho thấy S1A đang
có triển vọng, trong khi S1B và S1C đang giảm.
Từ đó, có thể kết luận rằng môi trường kiểm soát của D-Merton vẫn yếu kém và
không minh bạch. Chính những điểm yếu này dẫn đến các hậu quả ngay trong nội bộ
công ty như đưa ra các quyết định sai lầm của HĐQT.
8. Đạo đức của Ban điều hành
Xuyên suốt bộ phim rất dễ nhận ra ban điều hành tại công ty D-merton đang vi
phạm yếu tố đạo đức và chính trực trong các báo cáo và hoạt động của mình. Bằng
chứng minh để khẳng định kết luận trên là:
+ Giám đốc điều hành – Richard Dalton có mối quan hệ gia đình với Premintel
và thực hiện các hành vi hối lộ cùng với việc thực hiện các hoạt động tài chính phạm
pháp nhằm che dấu các khoản chi phí của công ty, thông đồng với bên công ty
Premintel (vì Richard có tồn tại mối quan hệ cá nhân với công ty này)
cùng với việc thực hiện các hành vi tài chính sai trái nhằm che giấu
những chi phí khác của công ty
+ Giám đốc kinh doanh – Tom Noble thực hiện các hành vi đe dọa với trưởng bộ
phận IT, thực hiện hối lộ với quan chức để thắng thầu dự án New Ganaria,..
Yếu tố đạo đức là một trong những yếu tố cực kì quan trọng giúp
cho việc xây dựng một môi trường kiểm soát và môi trường làm việc
hiệu quả. Chúng ta có câu nói rằng đạo đức là sự tối đa của luật lệ,
và luật lệ cũng chỉ là sự tối thiểu từ các giá trị đạo đức. Việc tôn
trọng các giá trị đạo đức là việc hoàn toàn cần thiết cho doanh
nghiệp và đặc biệt nó phải xuất hiện từ những người đứng đầu của
công ty. Đặc biệt hơn những nhân viên thường xây dựng cho mình
thái độ đối với đúng sai về những rủi ro và kiểm soát giống như
những gì mà nhà quản lý thể hiện cho nên là nhà quản lý cần phải
thể hiện tính trung thực, các giá trị đạo đức và phản ánh nó thông
qua phong cách điều hành, chuẩn mực, quy tắc ứng xử,…
Tổng quát lại, chúng ta có thể thấy rõ rằng có rất nhiều vấn đề
trong nội bộ của công ty D – Merton cần phải giải quyết. Và những
vấn đề này đều xuất phát từ những người quản lý cấp cao của công
ty. Các nguyên tắc, giá trị đạo đức cùng với tạo lập một môi trường
kiểm soát tốt và hữu hiệu đều là những yêu cầu cơ bản để một hệ
thống kiểm soát nội bộ được vận hành một cách tốt nhất và hữu hiệu nhất.