Hội nhập và phát triển

Australia: Nhiều thách thức trong quản trị công nghệ

08/01/2026

Australia: Nhiều thách thức trong quản trị công nghệ(sav.gov.vn) - Trước áp lực gia tăng của rủi ro công nghệ và an ninh mạng, các cơ quan khu vực công tại Australia đang đối diện những thách thức lớn trong kiểm soát nội bộ và quản trị công nghệ thông tin (CNTT). Báo cáo kiểm toán của Văn phòng Tổng Kiểm toán bang Victoria (VAGO) và Văn phòng Kiểm toán bang New South Wales (NSW) cho thấy, dù đã có những cải thiện nhất định, song nhiều lỗ hổng mang tính nền tảng vẫn tồn tại.Lỗ hổng trong kiểm soát nội bộ và an ninh công nghệ Báo cáo của VAGO vừa công bố đã hé lộ bức tranh đáng lo ngại về an ninh mạng trong khu vực dịch vụ công. Chỉ riêng trong năm 2023, có tới 9/10 cơ quan Chính phủ bang Victoria gặp phải sự cố an ninh mạng. Theo VAGO, một cuộc tấn công mạng thành công không chỉ có thể dẫn đến rò rỉ thông tin mật hoặc thông tin nhạy cảm, mà còn gây gián đoạn mạng lưới truyền thông và cơ sở hạ tầng quan trọng. Điều này cho thấy rủi ro trong bảo mật thông tin không còn là hiện tượng cá biệt, mà đã trở thành vấn đề phổ biến trong khu vực công. Trong bối cảnh các cơ quan sử dụng máy chủ CNTT để lưu trữ, xử lý và chia sẻ thông tin phục vụ hoạt động quản lý, điều hành và cung cấp dịch vụ công, máy chủ giữ vai trò trung tâm trong toàn bộ hệ thống CNTT. Tuy nhiên, VAGO cảnh báo rằng nếu máy chủ không được xác định đầy đủ, thiếu các biện pháp kiểm soát bảo mật phù hợp hoặc vận hành trên các hệ điều hành lỗi thời, nguy cơ truy cập trái phép vào thông tin và hệ thống sẽ gia tăng đáng kể. Giai đoạn 2024-2025, những điểm yếu trong kiểm soát CNTT tiếp tục là phát hiện phổ biến nhất, chiếm 65% tổng số phát hiện kiểm toán tại các cuộc kiểm toán giữa kỳ của Cơ quan Kiểm toán quốc gia Australia (ANAO), bao gồm các thiếu sót trong bảo mật CNTT, quản lý thay đổi và kiểm soát quyền truy cập người dùng. (Báo cáo thường niên giai đoạn 2024-2025 của ANAO) Từ kết quả kiểm toán tại 10 cơ quan Chính phủ và Cenitex - cơ quan CNTT thuộc Chính phủ bang Victoria, VAGO kết luận rằng không cơ quan nào có bản kiểm kê máy chủ đầy đủ và chính xác, trong khi đây được coi là “nền tảng quan trọng” để bảo đảm an ninh mạng hiệu quả. Việc không nắm chắc số lượng, tình trạng và đặc điểm của các máy chủ đang vận hành khiến các cơ quan không thể áp dụng, quản lý hoặc giám sát một cách đáng tin cậy các biện pháp kiểm soát bảo mật kỹ thuật cần thiết. Đáng chú ý, VAGO cũng chỉ ra rằng tất cả các cơ quan đều tồn tại hệ điều hành lỗi thời; một số máy chủ thiếu các biện pháp kiểm soát bảo mật kỹ thuật hoàn chỉnh. Những tồn tại này khiến các cơ quan phải đối mặt với các mối đe dọa mạng ngày càng phức tạp, làm gia tăng nguy cơ xảy ra các cuộc tấn công mạng thành công, kéo theo khả năng rò rỉ thông tin mật hoặc nhạy cảm, cũng như gián đoạn các hệ thống và hạ tầng quan trọng. Trong khi đó, báo cáo “Kiểm soát nội bộ và quản trị 2025: Mua sắm và công nghệ” của NSW cung cấp cái nhìn tổng thể hơn về hiệu quả kiểm soát nội bộ và quản trị tại 26 cơ quan lớn nhất khu vực công NSW, chiếm 95% chi tiêu ngân sách của Chính phủ bang trong giai đoạn 2024-2025. Báo cáo cho thấy, mặc dù tổng số phát hiện kiểm toán đã giảm so với kỳ kiểm toán giữa kỳ năm 2023-2024, song số phát hiện lặp lại lại gia tăng, chiếm 33% tổng số phát hiện, so với 19% trong năm 2023-2024. Các phát hiện lặp lại phản ánh thực trạng những lỗ hổng đã được chỉ ra trước đó nhưng chưa được xử lý đúng thời hạn đã cam kết, qua đó làm suy giảm hiệu quả của hệ thống kiểm soát nội bộ. Đáng lưu ý, 5 phát hiện rủi ro cao đều liên quan đến kiểm soát CNTT không hiệu quả, bao gồm cả các biện pháp nhằm ngăn ngừa rủi ro và sự cố an ninh mạng. Khoảng một nửa số phát hiện liên quan trực tiếp đến kiểm soát CNTT đối với các hệ thống tài chính quan trọng, có thể dẫn đến nguy cơ mất mát, sai sót hoặc gian lận trong quản lý và sử dụng ngân sách công. Siết kỷ cương quản trị công nghệ Trên cơ sở các phát hiện kiểm toán, VAGO đã đưa ra hai khuyến nghị chung đối với các cơ quan được kiểm toán nhằm cải thiện an ninh máy chủ. Trọng tâm của các khuyến nghị này là tăng cường theo dõi và quản lý toàn bộ máy chủ CNTT thông qua việc sử dụng các công cụ phát hiện tài sản tự động; thiết lập và duy trì sổ đăng ký tài sản máy chủ CNTT tập trung bằng phần mềm phù hợp; đồng thời phân công rõ trách nhiệm về tính chính xác và đầy đủ của danh mục máy chủ. Bên cạnh đó, VAGO yêu cầu các cơ quan xây dựng và triển khai kế hoạch cải thiện các biện pháp kiểm soát an ninh kỹ thuật dựa trên những phát hiện cụ thể đã được xác định. Đáng chú ý, VAGO cũng đưa ra một khuyến nghị riêng đối với Bộ Dịch vụ Chính phủ, đề nghị ban hành hướng dẫn nhằm thiết lập các yêu cầu thống nhất về theo dõi danh mục máy chủ; áp dụng và duy trì các biện pháp kiểm soát an ninh kỹ thuật; xem xét, kiểm tra hiệu quả kiểm soát; cũng như quản lý các máy chủ có hệ điều hành không còn được hỗ trợ chính thức. Tại NSW, Văn phòng Kiểm toán bang NSW đưa ra mốc thời gian đến ngày 30/6/2026, khuyến nghị các cơ quan tập trung cải thiện toàn diện khuôn khổ mua sắm và kiểm soát an ninh mạng. Các nội dung trọng tâm bao gồm việc áp dụng đầy đủ các yêu cầu bắt buộc và khuyến nghị trong Khung Chính sách mua sắm NSW; tăng cường quản trị rủi ro an ninh mạng trong chuỗi cung ứng; đồng thời nâng cao trách nhiệm giải trình trong đầu tư an ninh mạng thông qua phân tích chi phí - lợi ích, theo dõi lợi tức đầu tư và điều chỉnh chi tiêu phù hợp với bối cảnh mối đe dọa hiện tại. Trước thực trạng việc sử dụng trí tuệ nhân tạo (AI) - lĩnh vực công nghệ mới nổi đang được các cơ quan khu vực công Australia áp dụng ngày càng nhiều - chưa được tích hợp đầy đủ vào khuôn khổ quản trị hiện có, Văn phòng Kiểm toán bang NSW yêu cầu các cơ quan thiết lập và triển khai chính sách AI; xây dựng kho dữ liệu AI tập trung để ghi nhận mục đích, cách thức sử dụng và các hạn chế của AI, qua đó bảo đảm tính minh bạch, khả năng giám sát và trách nhiệm giải trình. Ngoài ra, việc thiết lập chế độ báo cáo thường xuyên cho ban lãnh đạo cấp cao hoặc Ủy ban quản trị phù hợp được xác định là cần thiết nhằm bảo đảm các sáng kiến AI phù hợp với chiến lược và nhiệm vụ của tổ chức. Trong bối cảnh các mối đe dọa mạng ngày càng gia tăng và công nghệ tiếp tục giữ vai trò then chốt trong hoạt động khu vực công, những phát hiện và khuyến nghị từ kiểm toán công tại Australia không chỉ mang tính cảnh báo, mà còn là cơ sở quan trọng để các cơ quan củng cố nền tảng quản trị, bảo vệ tài sản công và nâng cao hiệu quả sử dụng ngân sách nhà nước./. Theo Báo Kiểm toán

(sav.gov.vn) - Trước áp lực gia tăng của rủi ro công nghệ và an ninh mạng, các cơ quan khu vực công tại Australia đang đối diện những thách thức lớn trong kiểm soát nội bộ và quản trị công nghệ thông tin (CNTT). Báo cáo kiểm toán của Văn phòng Tổng Kiểm toán bang Victoria (VAGO) và Văn phòng Kiểm toán bang New South Wales (NSW) cho thấy, dù đã có những cải thiện nhất định, song nhiều lỗ hổng mang tính nền tảng vẫn tồn tại.

Các cơ quan khu vực công tại Australia đang đối diện những thách thức lớn trong kiểm soát nội bộ và quản trị CNTT. Ảnh: ST

Lỗ hổng trong kiểm soát nội bộ và an ninh công nghệ

Báo cáo của VAGO vừa công bố đã hé lộ bức tranh đáng lo ngại về an ninh mạng trong khu vực dịch vụ công. Chỉ riêng trong năm 2023, có tới 9/10 cơ quan Chính phủ bang Victoria gặp phải sự cố an ninh mạng. Theo VAGO, một cuộc tấn công mạng thành công không chỉ có thể dẫn đến rò rỉ thông tin mật hoặc thông tin nhạy cảm, mà còn gây gián đoạn mạng lưới truyền thông và cơ sở hạ tầng quan trọng. Điều này cho thấy rủi ro trong bảo mật thông tin không còn là hiện tượng cá biệt, mà đã trở thành vấn đề phổ biến trong khu vực công.

Trong bối cảnh các cơ quan sử dụng máy chủ CNTT để lưu trữ, xử lý và chia sẻ thông tin phục vụ hoạt động quản lý, điều hành và cung cấp dịch vụ công, máy chủ giữ vai trò trung tâm trong toàn bộ hệ thống CNTT. Tuy nhiên, VAGO cảnh báo rằng nếu máy chủ không được xác định đầy đủ, thiếu các biện pháp kiểm soát bảo mật phù hợp hoặc vận hành trên các hệ điều hành lỗi thời, nguy cơ truy cập trái phép vào thông tin và hệ thống sẽ gia tăng đáng kể.

Giai đoạn 2024-2025, những điểm yếu trong kiểm soát CNTT tiếp tục là phát hiện phổ biến nhất, chiếm 65% tổng số phát hiện kiểm toán tại các cuộc kiểm toán giữa kỳ của Cơ quan Kiểm toán quốc gia Australia (ANAO), bao gồm các thiếu sót trong bảo mật CNTT, quản lý thay đổi và kiểm soát quyền truy cập người dùng.

(Báo cáo thường niên giai đoạn 2024-2025 của ANAO)

Từ kết quả kiểm toán tại 10 cơ quan Chính phủ và Cenitex - cơ quan CNTT thuộc Chính phủ bang Victoria, VAGO kết luận rằng không cơ quan nào có bản kiểm kê máy chủ đầy đủ và chính xác, trong khi đây được coi là “nền tảng quan trọng” để bảo đảm an ninh mạng hiệu quả. Việc không nắm chắc số lượng, tình trạng và đặc điểm của các máy chủ đang vận hành khiến các cơ quan không thể áp dụng, quản lý hoặc giám sát một cách đáng tin cậy các biện pháp kiểm soát bảo mật kỹ thuật cần thiết.

Đáng chú ý, VAGO cũng chỉ ra rằng tất cả các cơ quan đều tồn tại hệ điều hành lỗi thời; một số máy chủ thiếu các biện pháp kiểm soát bảo mật kỹ thuật hoàn chỉnh. Những tồn tại này khiến các cơ quan phải đối mặt với các mối đe dọa mạng ngày càng phức tạp, làm gia tăng nguy cơ xảy ra các cuộc tấn công mạng thành công, kéo theo khả năng rò rỉ thông tin mật hoặc nhạy cảm, cũng như gián đoạn các hệ thống và hạ tầng quan trọng.

Trong khi đó, báo cáo “Kiểm soát nội bộ và quản trị 2025: Mua sắm và công nghệ” của NSW cung cấp cái nhìn tổng thể hơn về hiệu quả kiểm soát nội bộ và quản trị tại 26 cơ quan lớn nhất khu vực công NSW, chiếm 95% chi tiêu ngân sách của Chính phủ bang trong giai đoạn 2024-2025.

Báo cáo cho thấy, mặc dù tổng số phát hiện kiểm toán đã giảm so với kỳ kiểm toán giữa kỳ năm 2023-2024, song số phát hiện lặp lại lại gia tăng, chiếm 33% tổng số phát hiện, so với 19% trong năm 2023-2024. Các phát hiện lặp lại phản ánh thực trạng những lỗ hổng đã được chỉ ra trước đó nhưng chưa được xử lý đúng thời hạn đã cam kết, qua đó làm suy giảm hiệu quả của hệ thống kiểm soát nội bộ.

Đáng lưu ý, 5 phát hiện rủi ro cao đều liên quan đến kiểm soát CNTT không hiệu quả, bao gồm cả các biện pháp nhằm ngăn ngừa rủi ro và sự cố an ninh mạng. Khoảng một nửa số phát hiện liên quan trực tiếp đến kiểm soát CNTT đối với các hệ thống tài chính quan trọng, có thể dẫn đến nguy cơ mất mát, sai sót hoặc gian lận trong quản lý và sử dụng ngân sách công.

Siết kỷ cương quản trị công nghệ

Trên cơ sở các phát hiện kiểm toán, VAGO đã đưa ra hai khuyến nghị chung đối với các cơ quan được kiểm toán nhằm cải thiện an ninh máy chủ. Trọng tâm của các khuyến nghị này là tăng cường theo dõi và quản lý toàn bộ máy chủ CNTT thông qua việc sử dụng các công cụ phát hiện tài sản tự động; thiết lập và duy trì sổ đăng ký tài sản máy chủ CNTT tập trung bằng phần mềm phù hợp; đồng thời phân công rõ trách nhiệm về tính chính xác và đầy đủ của danh mục máy chủ.

Bên cạnh đó, VAGO yêu cầu các cơ quan xây dựng và triển khai kế hoạch cải thiện các biện pháp kiểm soát an ninh kỹ thuật dựa trên những phát hiện cụ thể đã được xác định. Đáng chú ý, VAGO cũng đưa ra một khuyến nghị riêng đối với Bộ Dịch vụ Chính phủ, đề nghị ban hành hướng dẫn nhằm thiết lập các yêu cầu thống nhất về theo dõi danh mục máy chủ; áp dụng và duy trì các biện pháp kiểm soát an ninh kỹ thuật; xem xét, kiểm tra hiệu quả kiểm soát; cũng như quản lý các máy chủ có hệ điều hành không còn được hỗ trợ chính thức.

Tại NSW, Văn phòng Kiểm toán bang NSW đưa ra mốc thời gian đến ngày 30/6/2026, khuyến nghị các cơ quan tập trung cải thiện toàn diện khuôn khổ mua sắm và kiểm soát an ninh mạng. Các nội dung trọng tâm bao gồm việc áp dụng đầy đủ các yêu cầu bắt buộc và khuyến nghị trong Khung Chính sách mua sắm NSW; tăng cường quản trị rủi ro an ninh mạng trong chuỗi cung ứng; đồng thời nâng cao trách nhiệm giải trình trong đầu tư an ninh mạng thông qua phân tích chi phí - lợi ích, theo dõi lợi tức đầu tư và điều chỉnh chi tiêu phù hợp với bối cảnh mối đe dọa hiện tại.

Trước thực trạng việc sử dụng trí tuệ nhân tạo (AI) - lĩnh vực công nghệ mới nổi đang được các cơ quan khu vực công Australia áp dụng ngày càng nhiều - chưa được tích hợp đầy đủ vào khuôn khổ quản trị hiện có, Văn phòng Kiểm toán bang NSW yêu cầu các cơ quan thiết lập và triển khai chính sách AI; xây dựng kho dữ liệu AI tập trung để ghi nhận mục đích, cách thức sử dụng và các hạn chế của AI, qua đó bảo đảm tính minh bạch, khả năng giám sát và trách nhiệm giải trình. Ngoài ra, việc thiết lập chế độ báo cáo thường xuyên cho ban lãnh đạo cấp cao hoặc Ủy ban quản trị phù hợp được xác định là cần thiết nhằm bảo đảm các sáng kiến AI phù hợp với chiến lược và nhiệm vụ của tổ chức.

Trong bối cảnh các mối đe dọa mạng ngày càng gia tăng và công nghệ tiếp tục giữ vai trò then chốt trong hoạt động khu vực công, những phát hiện và khuyến nghị từ kiểm toán công tại Australia không chỉ mang tính cảnh báo, mà còn là cơ sở quan trọng để các cơ quan củng cố nền tảng quản trị, bảo vệ tài sản công và nâng cao hiệu quả sử dụng ngân sách nhà nước./.

Theo Báo Kiểm toán

Hội nhập và phát triển

Australia: Nhiều thách thức trong quản trị công nghệ

Phim tư liệu

Cổng thông tin điện tử kiểm toán nhà nước

Hội nhập và phát triển

Australia: Nhiều thách thức trong quản trị công nghệ

Tin tức liên quan

Phim tư liệu