26/06/2015
Chương 2:
TỔ CHỨC HỆ THỐNG KIỂM SOÁT NỘI BỘ & KIỂM SOÁT HTTTKT
Mục tiêu
1 Hiểu biết khái niệm KSNB
Nắm bắt cấu trúc hệ thống KSNB 2
3 Tìm hiểu các thủ tục kiểm soát hệ thống kế toán trong môi trường xử lý bằng máy
2
Nội dung
1. Tổng quan kiểm soát nội bộ
• Khái niệm KSNB • Cấu trúc hệ thống KSNB • Kiểm soát nội bộ trong doanh nghiệp
vừa và nhỏ
• Tiếp cận KSNB duới các giác độ khác
nhau
2. Các kiểm soát trong môi trường 2. Các kiểm soát trong môi trường tin học hóa
3
1
26/06/2015
1.1 Khái niệm hệ thống KSNB
(cid:1) Kiểm soát nội bộ là một quá trình do ban giám đốc, nhà quản lý và các nhân viên của đơn vị chi phối, được thiết lập để cung cấp một sự đảm bảo hợp lý nhằm thực hiện ba mục tiêu: (cid:2) Báo cáo tài chính đáng tin cậy (cid:2) Các luật lệ và qui định được tuân thủ (cid:2) Mọi hoạt động trong đơn vị đều hữu hiệu và hiệu quả.
4
1.2 Cấu trúc hệ thống KSNB
Đánh giá rủi ro
Giám sát
Hoạt động kiểm soát
Môi trường kiểm soát
Thông tin truyền thông
5
1.2.1. Môi trường kiểm soát
(cid:1) Các nhân tố phản ánh sắc thái chung của đơn vị: (cid:2) Nhận thức, quan điểm và thái độ của người quản lý liên quan đến vấn đề kiểm soát
(cid:2) Trình độ, nhận thức của nhân viên về KSNB (cid:2) Triết lý quản lý và phong cách hoạt động (cid:2) Cơ cấu tổ chức (cid:2) Phương pháp ủy quyền (cid:2) Khả năng đội ngũ nhân viên (cid:2) Chính sách nguồn nhân lực (cid:2) Sự trung thực và các giá trị đạo đức (cid:2) Hội đồng quản trị và Ban kiểm soát
6
2
26/06/2015
1.2.2. Đánh giá rủi ro
Xác định mục tiêu
Nhận diện rủi ro
Rủi ro là những vấn đề làm mục tiêu không đạt được.
Đánh giá mức độ rủi ro
X
Mức Thiệt hại
Xác suất rủi ro
Mức độ rủi ro
Đánh giá rủi ro là việc nhận dạng và phân tích rủi ro đe dọa các mục tiêu của mình
=
Đưa ra các hoạt động quản lý
7
(cid:1) Nhận dạng rủi ro
(cid:2) Xác định mục tiêu (cid:2) Thiết lập cơ chế nhận diện rủi ro
(cid:1) Đánh giá rủi ro (cid:2) Thiệt hại (cid:2) Xác suất xảy ra (cid:1) Các biện pháp đối phó với rủi ro
(cid:2) Tránh né rủi ro (cid:2) Chuyển giao rủi ro (cid:2) Giảm rủi ro (cid:2) Chấp nhận rủi ro
8
1.2.3. Hoạt động kiểm soát
(cid:1)Là những chính sách, thủ tục nhằm đảm
bảo kiểm soát được các rủi ro
HĐKS
Bảo vệ tài sản Phân tích rà soát Phân chia trách nhiệm Kiểm soát thông tin
9
3
26/06/2015
a. Phân chia trách nhiệm
• Không để một cá nhân nắm tất cả các
chức năng của một nghiệp vụ: xét duyệt,
thực hiện, bảo quản tài sản và ghi chép,
giữ sổ sách kế toán
• Không cho phép kiêm nhiệm giữa một số
bước công việc
10
VD về kiêm nhiệm rủi ro
Ruûi ro Coâng vieäc kieâm nhieäm
Thu tieàn vaø theo doõi soå saùch keá toaùn veà nôï phaûi thu
Coù theå laáy tieàn sau ñoù che daáu baèng caùch ghi xoùa soå khoaûn nôï phaûi thu, hoaëc buø ñaép baèng khoaûn thu cuûa khaùch haøng khaùc
Mua nguyeân vaät lieäu vaø söû duïng cho saûn xuaát Khoâng mua haøng nhöng vaãn thanh toaùn tieàn haøng
11
b. Kiểm soát thông tin
Kiểm tra độc lập
Ủy quyền xét duyệt
Kiểm tra quá trình xử lý
12
4
26/06/2015
b.1.Kiểm tra độc lập
(cid:1) Hoạt động kiểm tra được thực hiện bởi người khác không thực hiện nghiệp vụ để nâng cao tính khách quan. (cid:2) Kiểm tra trước khi nghiệp vụ diễn ra. (cid:2) Kiểm tra sau khi nghiệp vụ xảy ra
(cid:1) Phương pháp
(cid:2) Đối chiếu 2 nguồn ghi chép độc lập (cid:2) Đối chiếu thực tế và sổ sách (cid:2) Kiểm tra ghi sổ kép
13
b.2.Ủy quyền và xét duyệt
(cid:1) Ủy quyền là việc trao quyền cho một cá nhân hoặc
một bộ phận
(cid:1) Ủy quyền chung bằng chính sách
Đưa ra chính sách chung bao gồm các điều kiện
cho phép thực hiện nghiệp vụ. (cid:1) Xét duyệt cụ thể (Uỷ quyền từng trường hợp cụ thể)
Xét duyệt từng trường hợp cụ thể, không có
chính sách chung.
Việc Ủy quyền nên bằng văn bản
14
BAÈNG
(cid:1) UÛY QUYEÀN CHÍNH SAÙCH
(cid:1) XEÙT DUYEÄT CUÏ THEÅ (cid:1) Phoù Toång giaùm ñoác xeùt duyeät töøng tröôøng hôïp cuï theå :
(cid:1) Phoøng kinh doanh ñöôïc quyeàn xeùt duyeät baùn chòu theo chính saùch vôùi:
(cid:1) Caùc hoaù ñôn baùn chòu treân
(cid:1) Caùc hoaù ñôn döôùi 10 trieäu
10 trieäu
ñoàng
(cid:1) Caùc ñaïi lyù ñaõ coù dö nôï
(cid:1) Caùc ñaïi lyù coù möùc dö nôï
vöôït möùc 100 trieäu
döôùi 100 trieäu ñoàng
15
5
26/06/2015
b.3.Kiểm tra quá trình xử lý
(cid:1) Chứng từ ghi nhận hoạt động: Đảm bảo dữ liệu chính
xác
• Mọi nghiệp vụ đều lập chứng từ
• Lập chứng từ tại thời điểm phát sinh nghiệp vụ
• Chứng từ phải được thiết kế mẫu đầy đủ
• Chứng từ phải được đánh số trước
• Chứng từ phải có các số hiệu tham chiếu
• Chứng từ phải có các chữ ký
• Chứng từ phải có số tiền ghi bằng chữ …
16
(cid:1)Luân chuyển Chứng từ
(cid:2) Bao gồm quá trình lập và lưu chuyển qua các
bộ phận :
(cid:2) Thực hiện sự xét duyệt (cid:2) Thực hiện sự kiểm soát (cid:2) Là cơ sở ghi sổ (cid:2) Cần xây dựng một quy trình chuẩn (cid:2) Mô tả bằng lưu đồ
17
(cid:1)Lưu trữ Chứng từ
(cid:2) Thuận lợi cho việc truy cập (cid:2) Thời điểm chuyển vào lưu trữ (cid:2) Hồ sơ thường trực (cid:2) Tuân thủ pháp luật (cid:2) Thời gian lưu trữ (cid:2) Xử lý chứng từ hư hỏng (cid:2) Xử lý chứng từ hết thời hạn lưu trữ
18
6
26/06/2015
b.3.Kiểm tra quá trình xử lý
(cid:1) Sổ sách ghi nhận hoạt động: Đảm bảo ghi chép chính
xác
• Ghi chép dựa trên chứng từ
• Thiết kế mẫu đầy đủ
• Để lại dấu vết kiểm toán
• Kiểm tra, đối chiếu sổ
• V.v…
(cid:1) Lưu trữ, bảo quản sổ sách (cid:1) Báo cáo (cid:1) Dấu vết kiểm tóan
19
c. Bảo vệ tài sản và thông tin
(cid:1) Hạn chế tiếp cận tài sản, thông tin
(cid:1) Kiểm kê tài sản
(cid:1) Sử dụng các thiết bị quan sát, máy tính tiền, ghi nhận tài sản khi sử dụng
20
d. Phân tích rà soát
(cid:1)Mục đích Mục đích
(cid:2) Phát hiện các biến động bất thường Phát hiện các biến động bất thường (cid:2) Xác định nguyên nhân, xử lý kịp thời Xác định nguyên nhân, xử lý kịp thời
(cid:1)Phương pháp
(cid:2) Đối chiếu định kỳ tổng hợp và chi tiết, thực tế và kế hoạch, kỳ này và kỳ trước, sử dụng các chỉ số.
21
7
26/06/2015
Ví dụ phân tích rà soát
BAÛNG BAÙO CAÙO GIAÙ THAØNH SAÛN PHAÅM
Thaùng 05/2006
Saûn phaåm A: Soá löôïng 100
CHI PHÍ
GIAÙ THAØNH KYØ NAØY
TOAØN BOÄ
ÑÔN VÒ
Z Ñ.VÒ KYØ TRÖÔÙC
Bieán ñoäng kyø naøy/kyø tröôùc
Nguyeân vaät lieäu tröïc tieáp
1,000,000
10,000
9,000
+11%
5,050
Nhaân coâng tröïc tieáp
500,000
5,000
- 1%
Saûn xuaát chung
500,000
5,000
6,000
- 17%
Coäng
2,000,000
20,000
20,050
-0.25%
Löu yù. Chính saùch saûn xuaát cho pheùp bieán ñoäng +; - 5%
22
1.2.4. Thông tin & truyền thông
Thông tin
Truyền thông
(cid:1) Truyền đạt, trao đổi
(cid:1) Loại thông tin gì cần
thu thập xử lý, truyền thông.
thông tin giữa các đối tượng liên quan (cid:2) Trong nội bộ (cid:2) Với bên ngoài (cid:2) Phương pháp truyền
thông
(cid:1) Phương pháp xử lý
(cid:1) Cung cấp cho nhân
thông tin.
viên hiểu vai trò, trách nhiệm liên quan tới các chính sách, thủ tục kiểm soát.
23
1.2.5. Giám sát
(cid:1) Đánh giá: Chất lượng của các thành phần khác của HT KSNB
và điều chỉnh phù hợp. (cid:2) Đánh giá thường xuyên (cid:2) Các chương trình đánh giá định kỳ (cid:1) Thực hiện:
(cid:2) Kiểm toán nội bộ, kiểm toán độc lập, (cid:2) Thu thập thông tin bên ngoài (cid:2) Hệ thống kế toán trách nhiệm
24
8
26/06/2015
Tóm tắt: Mối quan hệ giữa các thành phần của hệ thống KSNB
Giaùm saùt
Hoaït ñoäng kieåm soaùt
Ñaùnh giaù ruûi ro Moâi tröôøng kieåm soaùt
25
1.3. Kiểm soát nội bộ trong doanh nghiệp vừa và nhỏ
(cid:1)Cho ví dụ một số phương pháp để kiểm soát trong doanh nghiệp vừa và nhỏ?
26
1.4. Tiếp cận KSNB dưới các giác độ khác nhau
Phương pháp tiếp cận của Kiểm toán viên
Báo cáo tài chính DN
Đánh giá HT KSNB để đánh giá rủi ro kiểm toán, xây dựng chương trình kiểm toán phù hợp
27
9
26/06/2015
Phương pháp tiếp cận của nhà quản lý
Nhà nước
Hoạt động
Doanh nghiệp
Chủ
• Thiết bị
sở hữu
• Con người
• Quy trình xử lý
Các bên
liên quan
• Quy trình hoạt động
Tổ chức và duy trì hệ thống KSNB để ngăn chặn và phát hiện GL-SS & hoạt động hiệu quả
28
BÀI TẬP NHÓM
(cid:1) Tìm hiểu và soạn thảo một bản quy chế nội bộ cho một quy trình quản lý tùy chọn. (cid:1) Trong đó cần chỉ rõ 5 thành phần của hệ thống KSNB
29
2. Các kiểm soát trong môi trường tin học hóa (IT)
• Môi trường IT ảnh hưởng
đến HTKSNB
.2.1
• Các hoạt động kiểm soát
.2.2
• Giới thiệu COBIT
.2.3
30
10
26/06/2015
2.1.1. Đặc điểm môi trường ứng dụng IT
(cid:1) Thiết bị: nhạy cảm, dễ bị phá huỷ (cid:1) Tổ chức dữ liệu: (cid:2) Theo kiểu file hoặc hệ quản trị cơ sở dữ liệu. (cid:1) Hoạt động xử lý:
(cid:2) Hệ thống có thể truy cập từ nhiều nơi (cid:2) Xử lý tự động theo chương trình được lập trình sẵn (cid:1) Tổ chức hệ thống (cid:2) Nhiều nhiệm vụ tập trung xử lý ở bộ phận EDP (Electronic Data Proceessing) (cid:2) Không thể đảm bảo một số nguyên tắc bất kiêm nhiệm
31
2.1.2. Nguy cơ đe dọa trong môi trường ứng dụng IT
Gian lận trong việc sử dụng máy tính
Kỹ năng, nhận thức của người dùng
Lỗi hệ thống
Môi trường mở và giao tiếp không giới hạn
32
2.1.3. Rủi ro KS trong môi trường ứng dụng IT-theo đối tượng ảnh hưởng
Dữ liệu bị mất, lộ bí mật Hệ thống bị phá hủy, ngưng hoạt động
Thông tin không đáng tin cậy Tài sản bị đánh cắp
Nguồn lực CNTT bị sử dụng sai mục đích
33
11
26/06/2015
2.1.3. Rủi ro KS trong môi trường ứng dụng IT-theo phạm vi ảnh hưởng
Rủi ro về an ninh hệ thống
Rủi ro cho sự sẵn sàng của hệ thống
Rủi ro cho quá trình xử lý của hệ thống
Rủi ro về bảo mật của hệ thống
34
2.1.3. Rủi ro KS trong môi trường ứng dụng IT-theo nguồn rủi ro
Rủi ro từ người dùng bất hợp pháp
Rủi ro từ các mối nguy trên mạng
Rủi ro do các yếu tố môi trường tự nhiên
Rủi ro từ việc tiếp cận vật lý
Rủi ro từ hoạt động của doanh nghiệp
35
2.2. Các hoạt động kiểm soát
b. Kiểm soát ứng dụng: là các hoạt động kiểm soát được thiết kế và thực hiện để ngăn ngừa, phát hiện và sửa chữa sai sót, gian lận trong quá trình xử lý nghiệp vụ. (cid:2) Gắn liền với từng chức
năng, từng hệ thống
a. Kiểm soát chung: là các hoạt động kiểm soát được thiết kế và thực hiện nhằm đảm bảo môi trường kiểm soát của tổ chức được ổn định, vững mạnh nhằm gia tăng hiệu quả của kiểm soát ứng dụng. (cid:2)
(cid:2) Hình
Phạm vi: Toàn bộ hệ thống thông tin
thức: Tính năng được lập trình trên các phần mềm ứng dụng
(cid:2) Hình thức: Chính sách, giải pháp kỹ thuật, giám sát hoạt động
36
12
26/06/2015
2.2.1. Kiểm soát chung
CHÍNH SÁCH
GIẢI PHÁP KỸ THUẬT
TRIỂN KHAI THỰC HIỆN VÀ GIÁM SÁT
37
2.2.1. Kiểm soát chung
(1). Xác lập kế hoạch an ninh (2). Phân chia trách nhiệm trong các chức năng của HT (3). Kiểm soát dự án phát triển hệ thống (4). Kiểm soát thâm nhập về mặt vật lý (5). Kiểm soát truy cập hệ thống (6). Kiểm soát lưu trữ dữ liệu (7). Kiểm soát truyền tải dữ liệu (8). Chuẩn hóa tài liệu hệ thống
38
2.2.1. Kiểm soát chung
(9). Giảm thiểu thời gian chết của hệ thống (10). Dấu vết kiểm toán (11). Các kế hoạch phục hồi sau thiệt hại
39
13
26/06/2015
(1). Xác lập kế hoạch an ninh
(cid:1) Mục tiêu: Xác định các rủi ro, sai phạm, gian lận
với thông tin.
(cid:1) Rủi ro: Không giám sát đầy đủ về kiểm soát và
an ninh
(cid:1) Thủ tục:
(cid:2) Xác định ai cần thông tin gì?
(cid:2) Khi nào cần thông tin?
(cid:2) Thông tin do hệ thống nào cung cấp?
40
(2). Phân chia trách nhiệm trong các chức năng của HT
(cid:1) Rủi ro: Kiêm nhiệm nhiều chức năng sẽ dễ dàng thực hiện các gian lận
(cid:1) Thủ tục: Cần phân chia rạch ròi giữa các chức năng sau
(cid:2) Chức năng phân tích hệ thống (cid:2) Chức năng lập trình (cid:2) Chức năng vận hành hệ thống máy tính (cid:2) Người dùng hệ thống (cid:2) Thư viện dữ liệu của hệ thống (cid:2) Kiểm soát dữ liệu
41
(3). Kiểm soát dự án phát triển hệ thống
(cid:1) Thủ tục (cid:2) Có sự tham gia của bộ phận sử dụng và kiểm toán nội bộ trong việc phát triển HT (cid:2) Mọi sửa chữa, thay đổi phải có sự phê chuẩn của cấp
quản lý có trách nhiệm liên quan (cid:2) Kiểm tra định kỳ việc thực hiện HT (cid:2) HT mới phải được thử nghiệm trước khi sử dụng (cid:2) Đánh giá dự án (cid:2) Thiết lập hồ sơ trước và sau khi thay đổi HT
42
14
26/06/2015
(cid:1) Hồ sơ HT bao gồm:
(cid:2) Hồ sơ phát triển HT: Mô tả HT tồn tại; Phân tích HT; Thiết kế HT; Thử nghiệm HT; Chuyển đổi HT
(cid:2) Hồ sơ người sử dụng: Hướng dẫn sử dụng; Huấn luyện sử dụng
(cid:2) Hồ sơ vận hành HT: (kỹ thuật) Mô tả thiết bị kỹ thuật, chương trình và tập tin dữ liệu.
43
(3) Tổ chức bộ phận xử lý thông tin
(cid:1) Mục tiêu: Kiểm soát nhân viên của bộ phận xử lý thông tin
(cid:1) Kiểm soát: phân chia để đảm bảo nguyên tắc bất kiêm nhiệm giữa bộ phận sử dụng và bộ phận xử lý thông tin
44
Ví dụ: Cơ cấu tổ chức
Toång giaùm ñoác
...
PGD saûn xuaát
Boä phaän EDP (1)
PGD kinh doanh
Kếâ toaùn tröôûng
EDP (1) Qui moâ lôùn
Boä phaän EDP (2)
EDP (2) Qui moâ nhoû
45
15
26/06/2015
Ví dụ: Cơ cấu tổ chức
Phụ trách bộ phận EDP
Chief Information Officer
Phát triển HT
Kiểm soát dữ liệu
Hoạt động HT
Lập trình
Bảo dưỡng HT
Nhập liệu
KS dữ liệu
Thư viện DL
Quản trị CSDL
Phân tích HT
46
(4) Kiểm soát thâm nhập về mặt vật lý
(cid:1) Mục tiêu: Đảm bảo an toàn về mặt kỹ thuật và hiện
vật (cid:1) Thủ tục (cid:2) Kiểm soát an toàn kỹ thuật thường được thiết kế trong thiết bị
(cid:2) Tạo môi trường tốt ở nơi đặt thiết bị (cid:2) Sử dụng thiết bị lưu và ổn định dòng điện (cid:2) Có bản hướng dẫn nguyên tắc và thủ tục sử dụng thiết bị
(cid:2) Các đĩa phải được kiểm tra an toàn trước khi sử dụng (cid:2) Các trục trặc bất thường không được tự tiện sửa chữa (cid:2) Hạn chế tiếp cận thiết bị về mặt hiện vật
47
(cid:1) Mục tiêu: KS được hoạt động xử lý của phần mềm đảm bảo an toàn cho
phần mềm.
(cid:1) Thủ tục:
(cid:2) Yêu cầu phần mềm phải tạo được dấu vết kiểm toán. (cid:2) Về sửa chữa dữ liệu kế toán sau khi chuyển sổ, khoá sổ: không cho
sửa trực tiếp, phải sửa bằng bút toán đỏ hay bút toán bổ sung. (cid:2) Ghi nhận tự động việc truy cập HT, sửa chữa, …: ghi lại thời gian,
phân hệ truy cập, DL bị sửa…
(cid:2) Số liệu tổng hợp phải tổng hợp từ chi tiết (cid:2) Thường xuyên đối chiếu phần mềm gốc và phần mềm đang sử dụng (cid:2) Lưu trữ phần mềm gốc tại nơi an toàn
(5) Kiểm soát phần mềm
48
16
26/06/2015
(cid:1) Mục tiêu: Kiểm soát việc truy cập hệ thống nhằm bảo quản an toàn
dữ liệu, chương trình xử lý.
(cid:1) Thủ tục:
(cid:2) Phân chia trách nhiệm, quyền sở hữu dữ liệu theo từng cấp hoạt
động, theo chức năng
(cid:2) Quản trị hệ thống & sử dụng hệ thống (cid:2) Ủy quyền nghiệp vụ & thực hiện nghiệp vụ (cid:2) Ủy quyền nghiệp vụ & Nhập liệu nghiệp vụ (cid:2) Kiểm soát chuyển dữ liệu & Nhập liệu nghiệp vụ
(cid:2) Phân chia trách nhiệm theo mức độ truy cập (cid:2) Sử dụng mật mã truy cập (cid:2) Sử dụng tập tin phân quyền truy cập
(5) Kiểm soát truy cập
49
(6) Kiểm soát lưu trữ dữ liệu
(cid:1) Mục tiêu: Đảm bảo an toàn lưu trữ dữ liệu (cid:1) Thủ tục
(cid:2) Xác định các loại dữ liệu và yêu cầu bảo vệ (cid:2) Lập thủ tục ghi dự phòng dữ liệu: Định kỳ thời gian; Cách ghi dự phòng (cid:2) Địều kiện môi trường địa điểm lưu trữ tập tin dự phòng: nhiệt độ, ẩm, bụi v.v (cid:2) Tạo nhãn tập tin: nhãn bên ngoài và nhãn do máy tạo.
50
(7) Kiểm soát truyền tải dữ liệu
(cid:1) Mục tiêu: (cid:2) Đảm bảo an toàn thông tin. (cid:1) Gian lận:
(cid:2) Chặn đường truyền thông (cid:2) Đóng giả người nhận tin (cid:1) Thủ tục:
51
(cid:2) Gọi kiểm tra ngược lại: Call back modem (cid:2) Mã hoá thông tin được gửi hoặc truyền (cid:2) Network Control Log (cid:2) Các biện pháp phần mềm an ninh trên mạng khác
17
26/06/2015
(8) Chuẩn hóa tài liệu hệ thống
(cid:1) Mục tiêu: (cid:2) Nhằm phục vụ cho yêu cầu thẩm định, xem xét, đánh giá hệ thống thông tin kế toán (cid:1) Bao gồm
(cid:2) Tài liệu quản trị (cid:2) Tài liệu ứng dụng (cid:2) Tài liệu vận hành hệ thống
52
(9) Giảm thiểu thời gian chết của hệ thống
(cid:1) Mục tiêu: Ngăn chặn trường hợp ảnh hưởng tới DL, chương trình hay giảm tuổi thọ của trang thiết bị (cid:1) Rủi ro: (cid:2) Hệ thống bị tạm ngưng hoạt động (cid:1) Thủ tục:
(cid:2) Kiểm tra thay thế các thiết bị sắp hư hỏng (hết hạn) (cid:2) Sử dụng bộ lưu điện
53
(10) Dấu vết kiểm toán
(cid:1) Thủ tục:
(cid:2) Hạn chế việc chỉnh sửa dữ liệu trực tiếp (cid:2) Sau khi khóa sổ, không cho xóa hay sửa dữ liệu mà phải ghi bút toán đảo, âm, bổ sung và lập chứng từ bổ sung. (cid:2) Tự động cập nhật các hành vi truy cập hệ thống, chỉnh sửa dữ liệu. (cid:2) Đảm bảo việc kiểm tra đối chiếu giữa kế toán tổng hợp và kế toán chi tiết.
54
18
26/06/2015
(cid:1) Mục tiêu: Đảm bảo HT hồi phục nhanh khi thiên tai, hoả hoạn,
phá hoại xảy ra.
(cid:1) Kiểm soát:
(cid:2) Lập KH dự phòng (cid:2) Mua bảo hiểm tài sản cho hê thống và trung tâm dữ liệu
(cid:2) Vị trí lưu trữ DL dự phòng (cid:2) Xác định các hệ thống ứng dụng quan trọng-Ưu tiên kiểm
soát và khôi phục trước
(cid:2) Phân chia trách nhiệm thực hiện kế hoạch dự phòng và khôi
phục trung tâm dữ liệu: Nhân sự, qui trình,…
(cid:2) Huấn luyện nhân viên xử lý trong trường cấp khẩn cấp
(11) Kế hoạch phục hồi sau thiệt hại
55
2.2.2. Kiểm soát ứng dụng
Kiểm soát nhập liệu
Kiểm soát quá trình xử lý dữ liệu
Kiểm soát thông tin đầu ra
56
(1) Kiểm soát quá trình nhập liệu
(cid:1) Mục tiêu:
(cid:2) Kiểm soát tính Hợp lệ (DataValidation): (cid:2) Kiểm soát tính Chính xác
Tổng số kiểm soát (Control Totals) (cid:2) Gia tăng hiệu quả nhập liệu • Sử dụng giá trị mặc định: ngày, số TT, giá cả, tên (đã khai báo sẵn trong CSDL) • Tự động tạo mã (nếu có thể)
57
19
26/06/2015
(1) Kiểm soát quá trình nhập liệu
(cid:1)Thủ tục: (cid:2) Kiểm soát chứng từ: Thứ tự; ủy quyền, xét duyệt; hợp lý của dữ liệu; Đánh dấu đã sử dụng; (cid:2) Dùng số kiểm tra (Check Digit): Số ID được ủy quyền (cid:2) Dữ liệu đưa vào hệ thống trực tiếp từ nguồn của nó (cid:2) Sử dụng thiết bị quét hay nhận diện dữ liệu tự động
58
(cid:2) Kiểm tra trình tự (Sequence Check)
(cid:2) Kiểm tra kiểu vùng dữ liệu (Field format Check)
(cid:2) Kiểm tra có thực(Validity check)
(cid:2) Kiểm tra độ dài vùng dữ liệu
(cid:2) Kiểm tra giới hạn (Limit Check)
(cid:2) Kiểm tra hợp lý (reasonableness test)
(cid:2) Kiểm tra tính đầy đủ (Comleteness Check)
59
(2) Kiểm soát xử lý dữ liệu
1. Kiểm soát sắp xếp theo trình tự.
(cid:2) Xử lý theo lô yêu cầu các mẫu tin được sắp xếp theo trình
tự để cập nhật tập tin
2. Kiểm soát từng bước xử lý (Run-to-run Control)
(cid:2) Trong xử lý theo lô, tổng số kiểm soát được thực hiện qua
từng bước gọi và gọi nó là kiểm soát từng bước xử lý
3. Nhận biết tập tin một cách hữu hình
(cid:2) Dán nhãn đĩa
(cid:2) Tạo nhãn đĩa bên trong để máy có thể đọc được
4. Các kiểm soát được lập trình
(cid:2) Tạo các chương trình kiểm soát tự động: Tổng nợ, tổng có khi Post dữ liệu; Cộng dọc, ngang một bảng DL v.v
60
20
26/06/2015
Ví dụ Kiểm soát theo từng bước xử lý
Nhaäp lieäu K.tra DL hôïp leä Saép xeáp TT ngh.vuï Saép xeáp TT ngh.vuï Caäp nhaät TT chính
B.caùokhaùc B.caùokhaùc B.caùokhaùc B.caùokhaùc
Baùo caùo KS Baùo caùo KS Baùo caùo KS Baùo caùo KS
Toång maãu tin ñöôïc xöû lyù: 87 Toång giaù trò ñöôïc xöû lyù: 15.000.000
61
(3) Kiểm soát thông tin đầu ra
(cid:1) Mục tiêu
(cid:2) Đảm bảo kết quả xử lý chính xác (cid:2) Đảm bảo nhân viên được uỷ quyền nhận và đọc báo cáo (cid:1) Thủ tục (cid:2) Nhóm kiểm soát DL kiểm tra tính logic, hợp lệ của DL (cid:2) Thiết lập qui trình (thời gian và nhân sự chuyển, nhận báo cáo)
62
2.3. Giới thiệu COBIT
(cid:1) HTTT có thể phù hợp với tổ chức này nhưng có phù hợp với tổ chức khác không? (cid:1) HTTT dùng trong doanh nghiệp đang “chuẩn” ở mức nào?
(cid:1) Cần tiến tới mục tiêu nào để tạo lợi thế cạnh tranh so với các tổ chức, doanh nghiệp khác? (cid:1) Các nhà quản lý cần phải trang bị một phương pháp quản trị và đánh giá hệ thống thông tin doanh nghiệp của mình. (cid:1) Một số phương pháp quản trị phổ biến như: ITIL,
COBIT, ISO17799/ ISO27001, CMMi, COSO, PMBOX…
63
21
26/06/2015
2.3. Giới thiệu COBIT
coso
(cid:1)Committee of Sponsoring Organizations of Treadway Commission
(cid:1)Control Objectives for Information and Related Technology
COBIT
64
COBIT (Control Objectives for Information and Related Technology)
(cid:1) COBIT là một chuẩn quốc tế về quản lý CNTT
gồm những tiêu chuẩn tốt nhất về quản lý CNTT do ISACA và ITGI xây dựng năm 1996. (cid:1) COBIT cung cấp cho các nhà quản lý, những
người kiểm tra và người sử dụng IT một loạt các phép đo, dụng cụ đo, các quy trình và các hướng dẫn thực hành.
(cid:1) Mục đích của COBIT là “nghiên cứu, phát triển, quảng bá và xúc tiến một tập hợp các mục tiêu kiểm soát CNTT được chấp nhận phổ biến”
65
Thông tin hữu ích - COBIT
Theo chuẩn mực kế toán VN ???
• Trung thực
• Khách quan
• Đầy đủ
• Kịp thời
• Dễ hiểu
• Có thể so sánh
66
22
26/06/2015
Đặc điểm của COBIT
(cid:1) Bổ sung, điều chỉnh một số định nghĩa trên cơ sở báo cáo của COSO: • Mục tiêu kiểm soát trong HTTT • Các hướng dẫn cho việc đánh giá hiệu quả của kiểm soát trong HT thông tin (cid:1) COBIT phù hợp với COSO về việc phân loại các thành phần kiểm soát
(cid:1) COBIT và COSO đều cho rằng “người” là yếu tố rất quan trọng trong hệ thống kiểm soát nội bộ
