Bảo mật dữ liệu kế toán tại các doanh nghiệp trong bối cảnh chuyển đổi số

TS. Nguyễn Thị Hoài Thu

Khoa Kế toán, Trường Đại học Kinh tế & Quản trị kinh doanh

Email: hoaithu@tueba.edu.vn

TS. Phạm Thị Thu Trang

Trường Đại học Hải Dương

Email: uhdtrangphamthu.edu@gmail.com

Tóm tắt

Chuyển đổi số thúc đẩy đổi mới trong lĩnh vực kế toán thông qua ứng dụng công nghệ hiện đại như ERP, AI, blockchain. Tuy nhiên, quá trình này cũng làm gia tăng rủi ro bảo mật dữ liệu kế toán, đặc biệt tại các doanh nghiệp nhỏ và vừa ở Việt Nam. Nghiên cứu phân tích thực trạng bảo mật dữ liệu kế toán trong bối cảnh số hóa, nhận diện các rủi ro phổ biến và đề xuất giải pháp: xây dựng chính sách bảo mật chuyên biệt, tích hợp bảo mật vào quản trị rủi ro tổng thể và áp dụng các chuẩn mực quốc tế như ISO/IEC 27001, COBIT, COSO.

Từ khóa: Dữ liệu kế toán, bảo mật dữ liệu, chuyển đổi số

Summary

Digital transformation drives innovation in the accounting field by applying modern technologies such as ERP, AI, and blockchain. However, this process also increases the risk of accounting data security breaches, especially among Vietnam's small and medium-sized enterprises (SMEs). This study analyzes the current state of accounting data security in the digitalization context, identifies common risks, and proposes solutions: developing specialized security policies, integrating security into overall risk management, and applying international standards such as ISO/IEC 27001, COBIT, and COSO.

Keywords: Accounting data, data security, digital transformation

ĐẶT VẤN ĐỀ

Trong bối cảnh cách mạng công nghiệp 4.0, chuyển đổi số đã trở thành xu thế tất yếu và mục tiêu chiến lược của nhiều quốc gia, trong đó có Việt Nam. Chính phủ Việt Nam xác định chuyển đổi số là động lực nâng cao năng lực cạnh tranh, cải cách hành chính và hội nhập quốc tế. Lĩnh vực kế toán cũng không nằm ngoài xu hướng này, với việc ứng dụng các công nghệ số như phần mềm kế toán, hệ thống ERP, lưu trữ đám mây, blockchain và trí tuệ nhân tạo (AI) nhằm cải thiện hiệu quả xử lý thông tin và hỗ trợ ra quyết định quản trị. Tuy nhiên, quá trình số hóa cũng kéo theo các nguy cơ lớn về bảo mật dữ liệu kế toán, vốn có tính nhạy cảm và giá trị pháp lý cao. Các mối đe dọa như tấn công mạng, gian lận nội bộ và sự cố hệ thống ngày càng gia tăng, trong khi hệ thống kiểm soát nội bộ tại nhiều doanh nghiệp Việt Nam, đặc biệt là doanh nghiệp nhỏ và vừa, còn nhiều hạn chế. Xuất phát từ thực tiễn đó, nghiên cứu này nhằm phân tích thực trạng bảo mật dữ liệu kế toán trong quá trình chuyển đổi số, nhận diện rủi ro và đề xuất giải pháp nâng cao hiệu quả kiểm soát nội bộ nhằm bảo vệ thông tin tài chính doanh nghiệp.

CƠ SỞ LÝ LUẬN

Dữ liệu kế toán và rủi ro bảo mật trong môi trường số

Chuyển đổi số đã trở thành xu thế tất yếu trong quá trình hiện đại hóa doanh nghiệp, tạo ra sự thay đổi căn bản trong vận hành và hình thành giá trị mới (Westerman và cộng sự, 2014). Trong kế toán, công nghệ hiện đại như phần mềm tự động, ERP, điện toán đám mây, AI, Big Data và blockchain đã cải thiện hiệu quả xử lý thông tin (Dai & Vasarhelyi, 2017; Yoon và cộng sự, 2011), đồng thời hỗ trợ quyết định quản trị (Alles, 2015; Appelbaumvà cộng sự, 2017). Tuy nhiên, sự phụ thuộc vào công nghệ làm gia tăng nguy cơ mất an toàn dữ liệu (Quattrone, 2016). Dữ liệu kế toán, với tính nhạy cảm và giá trị pháp lý cao (Romney & Steinbart, 2018), đòi hỏi phải tuân thủ nguyên tắc bảo mật về toàn vẹn, bảo mật và sẵn sàng theo tiêu chuẩn ISO/IEC 27001 (hệ thống quản lý an toàn thông tin) (2013). Việc đảm bảo an toàn dữ liệu kế toán không chỉ là vấn đề kỹ thuật mà còn là thách thức tổ chức và quản lý, cần sự phối hợp giữa công nghệ, con người và hệ thống kiểm soát nội bộ (Gelinas và cộng sự, 2018). Các rủi ro bảo mật có thể chia thành 4 nhóm: rò rỉ thông tin do yếu kém trong kiểm soát truy cập hoặc lỗi nội bộ; tấn công mạng như ransomware và phishing; lỗi hệ thống do thiết kế hoặc cập nhật sai; và sai sót người dùng, bao gồm mật khẩu yếu hoặc thao tác sai lệch (Romney & Steinbart, 2018).

Các mô hình và chuẩn mực quốc tế liên quan đến bảo mật dữ liệu

Trong bối cảnh chuyển đổi số, yêu cầu bảo mật thông tin kế toán ngày càng trở nên cấp thiết. Việc đảm bảo an toàn dữ liệu không chỉ phụ thuộc vào công nghệ mà còn đòi hỏi một khung kiểm soát nội bộ chặt chẽ cùng việc tuân thủ các tiêu chuẩn quốc tế. Bên cạnh khuôn khổ COSO (kiểm soát nội bộ) phổ biến trong lĩnh vực kế toán, các tổ chức hiện đại có thể áp dụng nhiều chuẩn mực khác nhằm xây dựng hệ thống bảo mật hiệu quả hơn trong môi trường kỹ thuật số.

Một trong những tiêu chuẩn nổi bật là ISO/IEC 27001, cung cấp khuôn khổ cho việc thiết lập hệ thống quản lý an toàn thông tin (ISMS), với mục tiêu bảo đảm tính toàn vẹn, bảo mật và sẵn sàng của dữ liệu kế toán (ISO/IEC, 2013; Stallings & Brown, 2018). Bên cạnh đó, COBIT (quản trị công nghệ thông tin) được phát triển và hoàn thiện bởi Hiệp hội kiểm toán và kiểm soát hệ thống thông tin quốc tế (ISACA), hỗ trợ điều chỉnh hoạt động công nghệ thông tin phù hợp với chiến lược kinh doanh tổng thể, nâng cao khả năng quản trị rủi ro và hiệu suất hệ thống (ISACA, 2012). COBIT trở nên đặc biệt hữu ích trong môi trường kế toán số, nơi các hệ thống tự động và dữ liệu lớn đóng vai trò then chốt. Ngoài ra, yếu tố pháp lý cũng cần được quan tâm, tiêu biểu là Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu. Quy định này yêu cầu các tổ chức phải minh bạch trong thu thập và xử lý dữ liệu cá nhân, đồng thời trao cho người dùng quyền kiểm soát chặt chẽ đối với thông tin của mình. Việc vi phạm GDPR có thể gây ra những khoản phạt lớn cũng như tổn hại nghiêm trọng đến danh tiếng doanh nghiệp. Mặc dù các tiêu chuẩn và khuôn khổ kỹ thuật đã tạo nền móng vững chắc cho bảo mật thông tin, yếu tố con người vẫn được đánh giá là mắt xích dễ tổn thương nhất. Theo Gelinas và cộng sự (2018), đa phần sự cố an ninh mạng xuất phát từ hành vi người dùng như chia sẻ dữ liệu nhạy cảm, đặt mật khẩu yếu hoặc thiếu nhận thức về nguy cơ mạng. Do đó, các doanh nghiệp cần tích hợp các chương trình đào tạo nhận thức và kỹ năng bảo mật vào hệ thống kiểm soát nội bộ, nhằm đảm bảo đội ngũ nhân sự có đủ kiến thức và ý thức trong việc bảo vệ tài sản dữ liệu quan trọng.

THỰC TRẠNG BẢO MẬT DỮ LIỆU KẾ TOÁN TRONG BỐI CẢNH CHUYỂN ĐỔI SỐ TẠI CÁC DOANH NGHIỆP VIỆT NAM

Mức độ áp dụng công nghệ và chuyển đổi số trong kế toán

Trong thập kỷ vừa qua, đặc biệt là từ sau đại dịch COVID-19, quá trình chuyển đổi số trong hoạt động kế toán tại các doanh nghiệp Việt Nam diễn ra mạnh mẽ. Theo báo cáo của Bộ Tài chính (2023), hơn 90% doanh nghiệp đã triển khai phần mềm kế toán, trong đó có khoảng 30% ứng dụng các hệ thống ERP có tính tích hợp cao. Các phần mềm phổ biến được sử dụng bao gồm MISA, FAST, Bravo, SAP… và một số giải pháp ERP do doanh nghiệp tự phát triển. Tuy nhiên, quá trình chuyển đổi số diễn ra không đồng đều tại các doanh nghiệp. Trong khi các tập đoàn, công ty niêm yết có điều kiện đầu tư vào công nghệ tiên tiến và xây dựng chính sách bảo mật bài bản, thì phần lớn doanh nghiệp vừa và nhỏ (SMEs) vẫn đang ở giai đoạn sơ khai trong việc kiểm soát bảo mật dữ liệu. Theo khảo sát của Phòng Thương mại và Công nghiệp Việt Nam (VCCI) năm 2022, chỉ khoảng 35% doanh nghiệp nhỏ có quy trình kiểm soát nội bộ liên quan đến bảo mật thông tin tài chính.

Những rủi ro bảo mật phổ biến trong kế toán số tại Việt Nam

Trong bối cảnh chuyển đổi số, vấn đề bảo mật dữ liệu kế toán không còn là khái niệm trừu tượng mang tính kỹ thuật đơn thuần. Thực tiễn tại Việt Nam và trên thế giới cho thấy, hàng loạt vụ việc liên quan đến mất an toàn thông tin kế toán đã để lại hậu quả nặng nề cho tổ chức, không chỉ về mặt tài chính mà còn về uy tín và pháp lý. Những sự cố này là minh chứng rõ nét cho việc xây dựng hệ thống bảo mật thông tin không thể tách rời khỏi chiến lược quản trị doanh nghiệp tổng thể. Cụ thể là, tại Thành phố Hồ Chí Minh, một công ty đã bị tin tặc xâm nhập vào hệ thống email kế toán, chiếm đoạt toàn bộ dữ liệu bảng lương và hợp đồng nhân sự. Hậu quả không chỉ dừng lại ở tổn thất dữ liệu, mà còn dẫn đến việc đối thủ sử dụng thông tin để lôi kéo nhân viên, gây rối loạn nhân sự nội bộ. Một doanh nghiệp có vốn đầu tư trực tiếp nước ngoài tại Bình Dương đã trở thành nạn nhân của email giả danh cơ quan thuế có đính kèm mã độc, vì không có hệ thống sao lưu và không đủ khả năng khôi phục dữ liệu, doanh nghiệp này buộc phải chi trả hơn một số tiền lớn để giải mã. Một trường hợp khác cho thấy rủi ro đến từ nội bộ tại một doanh nghiệp ở Hà Nội, phần mềm kế toán tự phát triển không có chức năng phân quyền hợp lý đã khiến một nhân viên cũ dễ dàng sao chép dữ liệu khách hàng và gửi sang công ty đối thủ sau khi nghỉ việc.

Một số sự cố này đã phản ánh thực tế bảo mật dữ liệu kế toán không chỉ phụ thuộc vào công nghệ, mà còn gắn liền với quy trình kiểm soát nội bộ, chính sách phân quyền và văn hóa tuân thủ trong tổ chức. Việc bảo mật dữ liệu kế toán là vấn đề mang tính hệ thống, đòi hỏi cách tiếp cận toàn diện từ nhiều khía cạnh: kỹ thuật, quản trị, con người và pháp lý. Một hệ thống bảo mật hiệu quả cần được thiết kế dựa trên những tiêu chuẩn quốc tế như ISO/IEC 27001, COBIT, GDPR, đồng thời tích hợp với khung kiểm soát nội bộ COSO và văn hóa doanh nghiệp. Đặc biệt, yếu tố con người – từ nhận thức của lãnh đạo đến thói quen của nhân viên – đóng vai trò then chốt. Việc đào tạo định kỳ, nâng cao nhận thức và triển khai các quy trình phản hồi nhanh chóng khi có sự cố là những yếu tố bắt buộc để hạn chế tổn thất và phục hồi nhanh chóng sau tấn công.

Đánh giá chung về thực trạng bảo mật dữ liệu kế toán trong bối cảnh chuyển đổi số tại các doanh nghiệp Việt Nam

Thực trạng bảo mật dữ liệu kế toán tại các doanh nghiệp Việt Nam hiện nay cho thấy nhiều hạn chế nghiêm trọng. Các chính sách bảo mật chuyên biệt cho lĩnh vực kế toán hầu như chưa được thiết lập, khiến hệ thống dễ bị tổn thương trước các mối đe dọa mạng. Đầu tư vào an ninh thông tin còn thấp so với tầm quan trọng của dữ liệu tài chính, và nhận thức sai lệch khi xem bảo mật là nhiệm vụ riêng biệt của bộ phận công nghệ thông tin làm suy yếu khả năng phối hợp nội bộ. Đội ngũ kế toán thiếu kiến thức và kỹ năng về an toàn thông tin, dễ trở thành điểm yếu bị khai thác qua các hình thức tấn công như email giả mạo hay phần mềm gián điệp. Trước thực trạng đó, việc xây dựng hệ thống kiểm soát nội bộ toàn diện, gắn kết với quản trị rủi ro và thích ứng với quá trình số hóa là yêu cầu cấp thiết. Các giải pháp đề xuất nhằm củng cố nền tảng bảo mật bao gồm: thiết lập chính sách chuyên biệt, tăng cường đào tạo nhân sự kế toán về an toàn thông tin, và tích hợp bảo mật như một phần cốt lõi trong chiến lược quản trị doanh nghiệp hiện đại.

CÁC GIẢI PHÁP NÂNG CAO KIỂM SOÁT NỘI BỘ ĐỐI VỚI BẢO MẬT DỮ LIỆU KẾ TOÁN TẠI CÁC DOANH NGHIỆP VIỆT NAM

Thiết lập chính sách bảo mật dữ liệu kế toán riêng biệt: Doanh nghiệp cần xây dựng và ban hành một quy chế bảo mật chuyên biệt dành cho dữ liệu kế toán – tài chính. Chính sách này phải bao gồm các nguyên tắc tiếp cận thông tin theo phân quyền, quy trình xử lý và lưu trữ dữ liệu, cơ chế mã hóa, kiểm soát truy cập, và biện pháp phản ứng trong trường hợp rò rỉ hoặc tấn công. Quy định cần được cập nhật thường xuyên để phù hợp với sự thay đổi của công nghệ và môi trường pháp lý.

Tích hợp an toàn thông tin vào chiến lược quản trị tổng thể: Bảo mật không nên được xem là nhiệm vụ riêng lẻ của bộ phận công nghệ thông tin. Thay vào đó, nó phải được lồng ghép trong chiến lược quản trị rủi ro doanh nghiệp (ERM), với sự giám sát trực tiếp từ cấp lãnh đạo. Điều này đòi hỏi có sự phối hợp liên ngành giữa các bộ phận kế toán, nhân sự, công nghệ thông tin và kiểm soát nội bộ, bảo đảm mọi quyết định liên quan đến dữ liệu đều được cân nhắc dưới góc độ an toàn và tuân thủ.

Áp dụng các khung chuẩn quốc tế về kiểm soát nội bộ và an ninh thông tin: Doanh nghiệp nên tham chiếu và triển khai các tiêu chuẩn quốc tế như ISO/IEC 27001 (hệ thống quản lý an toàn thông tin), COBIT (quản trị công nghệ thông tin) và COSO (kiểm soát nội bộ). Việc nội địa hóa các khung này sẽ giúp xây dựng được một hệ thống bảo vệ đa tầng, từ xác định rủi ro, kiểm tra định kỳ đến phản hồi sau sự cố.

Tăng cường đào tạo và xây dựng văn hóa bảo mật: Đội ngũ kế toán cần được đào tạo định kỳ về nhận diện các mối đe dọa bảo mật như phishing, phần mềm độc hại, thao tác sai lầm nội bộ... Đồng thời, doanh nghiệp nên xây dựng một văn hóa an toàn thông tin, trong đó nhân viên ở mọi cấp độ đều hiểu và tuân thủ các nguyên tắc bảo mật dữ liệu. Việc tổ chức các buổi diễn tập an ninh, kiểm tra nhận thức và khuyến khích báo cáo rủi ro sẽ góp phần tạo ra môi trường làm việc an toàn hơn.

Ứng dụng công nghệ hiện đại để tăng cường kiểm soát: Doanh nghiệp cần đầu tư vào các giải pháp công nghệ tiên tiến như phần mềm kế toán tích hợp chức năng bảo mật, công cụ giám sát truy cập theo thời gian thực, hệ thống sao lưu dữ liệu tự động và nền tảng blockchain để bảo đảm tính toàn vẹn. Đồng thời, việc triển khai xác thực đa yếu tố (MFA), phân quyền truy cập chi tiết và ghi log hoạt động người dùng là những biện pháp thiết yếu để hạn chế rủi ro từ bên trong.

Kiểm toán nội bộ định kỳ và đánh giá rủi ro hệ thống: Kiểm toán nội bộ cần được thực hiện định kỳ, đặc biệt tập trung vào việc kiểm tra các quy trình xử lý dữ liệu kế toán, kiểm soát truy cập, và năng lực phản ứng với sự cố. Cần tiến hành đánh giá rủi ro công nghệ thông tin toàn diện, từ đó đưa ra các điều chỉnh phù hợp trong hệ thống kiểm soát.

TÀI LIỆU THAM KHẢO

1. Alles M. (2015). Drivers of the Use and Facilitators and Obstacles of the Evolution of Big Data by the Audit Profession, Accounting Horizons, 29(2), 439–449.

2. Appelbaum D., Kogan A., Vasarhelyi M. A., & Yan Z (2017). Impact of Business Analytics and Enterprise Systems on Managerial Accounting, International Journal of Accounting Information Systems, 25, 29–44.

3. Bộ Tài chính (2023). Báo cáo tổng kết chuyển đổi số trong lĩnh vực tài chính - kế toán năm 2023.

4. Dai J., & Vasarhelyi, M. A (2017). Toward Blockchain-Based Accounting and Assurance, Journal of Information Systems, 31(3), 5–21.

5. Gelinas, U. J., Dull, R. B., & Wheeler, P. R. (2018). Accounting Information Systems (11th ed.), Cengage Learning.

6.International Organization for Standardization (ISO) (2013). ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements.

7. ISACA. (2012). COBIT 5: A Business Framework for the Governance and Management of Enterprise IT, ISACA.

8. ISO/IEC. (2013). ISO/IEC 27001:2013 Information Technology - Security Techniques - Information Security Management Systems - Requirements, International Organization for Standardization.

9. Phòng Thương mại và Công nghiệp Việt Nam (VCCI) (2022). Báo cáo khảo sát mức độ sẵn sàng chuyển đổi số của doanh nghiệp nhỏ và vừa Việt Nam năm 2022.

10. Quattrone, P. (2016). Management Accounting Goes Digital: Will the Move Make It Wiser?, Management Accounting Research, 31, 118–122.

11. Romney, M. B., & Steinbart, P. J. (2018). Accounting Information Systems (14th ed.), Pearson.

12. Stallings, W., & Brown, L. (2018). Computer Security: Principles and Practice (4th ed.), Pearson.

13. Voigt, P., & von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): A Practical Guide, Springer International Publishing.

14. Westerman, G., Bonnet, D., & McAfee, A. (2014). Leading Digital: Turning Technology into Business Transformation, Harvard Business Review Press.

15. Yoon, H., Zo, H., & Ciganek, A. P. (2011). Does XBRL Adoption Reduce Information Asymmetry?, Journal of Business Research, 64(2), 157–163.