Bài giảng Hệ thống thông tin kế toán: Chương 3

BÀI GIẢNG HỆ THỐNG THÔNG TIN KẾ TOÁN

BIÊN SOẠN: TS. ĐÀO NHẬT MINH

TỔ

: PHÂN TÍCH KINH TẾ

KHOA : KINH TẾ & KẾ TOÁN

TÀI LIỆU LƯU HÀNH NỘI BỘ

QUY NHƠN - 2022

CHƯƠNG III. KIỂM SOÁT HỆ THỐNG THÔNG TIN KẾ TOÁN

Nội dung:

 Cấu trúc kiểm soát nội bộ

 Kiểm soát hệ thống (theo COBIT)

 Kiểm soát chung

 Kiểm soát ứng dụng

TS. Đào Nhật Minh

Cấu trúc kiểm soát nội bộ

TS. Đào Nhật Minh

Sự hình thành và phát triển KSNB

• Khái niệm KSNB bắt đầu xuất hiện vào đầu thế kỉ 20 trong các tài liệu kiểm toán với một ý nghĩa rất đơn giản: bảo vệ tiền và tài sản tại doanh nghiệp không bị biển thủ.

• 1992, báo cáo COSO ra đời đã tạo lập một cơ sở

lý thuyết cơ bản về kiểm soát nội bộ.

• 05/2013, phiên bản mới nhất của COSO được cập nhập đã nhấn mạnh mục tiêu hoạt động và báo cáo, làm rõ những yêu cầu của việc xác định cái gì góp phần tạo ra KSNB hữu hiệu.

TS. Đào Nhật Minh

Định nghĩa KSNB

• Theo COSO 2013, KSNB là một quá trình chịu

ảnh hưởng bởi các nhà quản lý và các nhân viên của một tổ chức, được thiết kế để cung cấp một sự đảm bảo hợp lí nhằm đạt được các mục tiêu liên quan đến hoạt động, báo cáo và tuân thủ.

(COSO – The Committee of Sponsoring Organizations of the Treadway Commission – là một ủy ban thuộc hội đồng quốc gia Hoa kì về chống gian lận khi lập BCTC)

TS. Đào Nhật Minh

Những lưu ý về KSNB

• KSNB là một quá trình • Yếu tố con người • Đảm bảo hợp lý: KSNB chỉ cung cấp một sự đảm

bảo hợp lí chứ không phải đảm bảo tuyệt đối trong việc đạt được các mục tiêu của đơn vị, do các hạn chế sau đây: sai sót, thông đồng, lạm quyền của nhà quản lí, chi phí và lợi ích.

TS. Đào Nhật Minh

Các mục tiêu của KSNB

• Nhóm mục tiêu về hoạt động: nhấn mạnh đến sự hữu hiệu và hiệu quả của việc sử dụng các nguồn lực, bảo mật thông tin, nâng cao uy tín….

• Nhóm mục tiêu về BCTC: đảm bảo tính trung thực

và đáng tin cậy của BCTC mà mình cung cấp. • Nhóm mục tiêu về tuân thủ: đơn vị phải tuân thủ

các luật lệ và quy định.

TS. Đào Nhật Minh

Cấu trúc của KSNB

Theo báo cáo COSO thì một hệ thống KSNB bao gồm 5 bộ phận có mối liên hệ chặt chẽ với nhau: - Môi trường kiểm soát - Đánh giá rủi ro - Hoạt động kiểm soát - Thông tin và truyền thông - Giám sát

TS. Đào Nhật Minh

Môi trường kiểm soát

Là nền tảng cho các bộ phận khác của KSNB. Môi trường bao gồm nhận thức, thái độ và hành động của người quản lí trong tổ chức đối với kiểm soát và tầm quan trọng của kiểm soát. - Triết lí quản lí và phong cách hoạt động - Sự trung thực và giá trị đạo đức - Chính sách nhân sự - Cơ cấu tổ chức - Hội đồng quản trị và ban kiểm soát - Trình độ và phẩm chất đội ngũ cán bộ nhân viên - Cách thức phân định quyền hạn và trách nhiệm

TS. Đào Nhật Minh

Đánh giá rủi ro

Nhà quản lí phải quyết định rủi ro nào là chấp nhận được và phải làm gì để quản lí rủi ro. Để làm được điều này, nhà quản lí cần: - Thiết lập các mục tiêu của tổ chức - Nhận dạng, phân tích rủi ro - Đánh giá rủi ro

TS. Đào Nhật Minh

Các hoạt động kiểm soát

Là những chính sách, thủ tục giúp cho việc thực hiện các chỉ đạo của người quản lí. Các chính sách, thủ tục này giúp thực thi những hành động để quản lí các rủi ro có thể phát sinh trong quá trình thực hiện các mục tiêu. Bao gồm: - Phân chia trách nhiệm đầy đủ - Ủy quyền đúng đắn cho các nghiệp vụ hoặc các

hoạt động

- Kiểm soát chung và kiểm soát ứng dụng

TS. Đào Nhật Minh

Thông tin và truyền thông

Là điều kiện không thể thiếu cho việc thiết lập, duy trì và nâng cao năng lực kiểm soát trong đơn vị thông qua việc hình thành các báo cáo để cung cấp thông tin về hoạt động tài chính và sự tuân thủ, bao gồm cả cho nội bộ và bên ngoài.

TS. Đào Nhật Minh

Giám sát

Là quá trình đánh giá chất lượng thực hiện KSNB một cách liên tục, giúp KSNB duy trì được sự hữu hiệu qua các giai đoạn khác nhau. - Giám sát thường xuyên - Giám sát định kỳ

TS. Đào Nhật Minh

Kiểm soát hệ thống

(theo COBIT)

TS. Đào Nhật Minh

Kiểm soát nội bộ trong môi trường máy tính

• COSO vẫn còn một số hạn chế. Một trong những thành phần của khuôn mẫu COSO là thông tin và truyền thông, nhưng về khía cạnh công nghệ thông tin, COSO được đánh giá là không có sự kiểm soát đầy đủ.

• Doanh nghiệp cần một hệ thống quản trị công nghệ thông tin tốt, hoạt động hữu hiệu và hiệu quả, đồng thời đáp ứng các nhu cầu của đơn vị liên quan đến kiểm soát nội bộ  COBIT

TS. Đào Nhật Minh

Kiểm soát nội bộ trong môi trường máy tính

• COSO  khuôn mẫu đánh giá tổng thể về kiểm

soát nội bộ; COBIT  các biện pháp kiểm soát cụ thể đối với hệ thống thông tin.

• Cần lưu ý rằng COBIT không phải là một khuôn mẫu kiểm soát nội bộ cụ thể mà là một công cụ quản trị hệ thống thông tin. COBIT không thay thế COSO mà được sử dụng kết hợp với COSO.

TS. Đào Nhật Minh

Quản trị công nghệ thông tin

Là cấu trúc, quy trình và cơ chế các mối quan hệ để ra quyết định về công nghệ thông tin mà doanh nghiệp thực hiện để đảm bảo rằng việc đầu tư vào công nghệ thông tin tạo điều kiện thực hiện các mục tiêu chiến lược của doanh nghiệp. Quản trị lập các công nghệ thông tin bao gồm việc thiết quyền quyết định, thiết lập các mục tiêu và nhiệm vụ, xây dựng năng lực tổ chức để đáp ứng các mục tiêu và nhiệm vụ đó.

TS. Đào Nhật Minh

Quản trị công nghệ thông tin

• Quản trị công nghệ thông tin là một bộ phận của quản trị công ty, tập trung vào vai trò của công nghệ thông tin trong tổ chức. Đặc biệt, trọng tâm của quản trị công nghệ thông tin là quản lý rủi ro công nghệ thông tin và sự liên kết của các hệ thống trong doanh nghiệp với mục đích kinh doanh

• Quản trị công nghệ thông tin cung cấp cấu trúc và hướng dẫn thực hành tốt nhất có thể áp dụng để nâng cao hiệu quả hoạt động tại doanh nghiệp, để cải thiện độ tin cậy của báo cáo tài chính, và cũng để đảm bảo tuân thủ các luật và quy định về công nghệ thông tin. Các yếu tố này giúp đạt được các mục tiêu của kiểm soát nội bộ và giảm thiểu rủi ro của doanh nghiệp.

TS. Đào Nhật Minh

COBIT

tắt của Control Objectives for COBIT là viết Information and Related Technology, tạm dịch là Các mục tiêu kiểm soát đối với thông tin và công nghệ liên quan. Khuôn mẫu kiểm soát nội bộ COBIT là một trong những phát triển quan trọng nhất về quản trị công nghệ thông tin. Khuôn mẫu này nhằm mục đích thiết lập các thực hành tốt nhất trong quản trị và kiểm toán hệ thống thông tin điện tử và các công nghệ liên quan, được phát triển năm 1996 bởi Viện quản lý công nghệ thông tin trên nền tảng COSO.

TS. Đào Nhật Minh

Mục tiêu của COBIT

TS. Đào Nhật Minh

Các nguyên tắc của COBIT 5

• Đáp ứng yêu cầu của các bên liên quan • Bao phủ được toàn bộ hoạt động doanh nghiệp • Áp dụng một khuôn mẫu tích hợp duy nhất • Cho phép một cách tiếp cận toàn diện • Tách biệt quản trị khỏi sự quản lý

TS. Đào Nhật Minh

Đáp ứng yêu cầu của các bên liên quan

Các mục tiêu COBIT 5 sẽ chuyển đổi yêu cầu của các bên liên quan thành các mục tiêu cụ thể, có thể thực hiện và tùy chỉnh trong bối cảnh của doanh nghiệp, bao gồm các mục tiêu liên quan đến công nghệ thông tin và các mục tiêu quản lý.

TS. Đào Nhật Minh

Bao phủ được toàn bộ hoạt động doanh nghiệp

COBIT xem xét tất cả các khía cạnh của quản trị và quản lý công nghệ thông tin một cách toàn diện, từ đầu tới cuối mọi vấn đề. COBIT là toàn diện cho tất cả, bên trong và bên ngoài, liên quan đến quản trị và quản lý thông tin của doanh nghiệp.

TS. Đào Nhật Minh

Áp dụng một khuôn mẫu tích hợp duy nhất

COBIT 5 phù hợp với các tiêu chuẩn và khuôn mẫu mới nhất về quản lý và kiểm soát được các doanh nghiệp sử dụng. - Doanh nghiệp: COSO, COSO ERM, ISO 9000, ISO 31000. - Liên quan đến công nghệ thông tin: ISO 38500, ITIL, ISO27000 series, TOGAF, PMBOK / PRINCE2, CMMI. Điều này cho phép doanh nghiệp sử dụng COBIT 5 làm cầu nối tích hợp các khuôn mẫu quản trị và quản lý.

TS. Đào Nhật Minh

Cho phép một cách tiếp cận toàn diện

COBIT 5 xác định một tập hợp yếu tố hỗ trợ việc thực hiện hệ thống quản trị và quản lý toàn diện cho công nghệ thông tin của doanh nghiệp, gồm bảy nhóm: - Các nguyên tắc, chính sách và khuôn mẫu - Quy trình - Cơ cấu tổ chức - Văn hóa, đạo đức và hành vi - Thông tin - Dịch vụ, cơ sở hạ tầng và ứng dụng - Con người, kỹ năng và năng lực

TS. Đào Nhật Minh

Tách biệt quản trị khỏi sự quản lý

TS. Đào Nhật Minh

Vai trò của COBIT trong kiểm soát nội bộ

Cấu trúc của khuôn mẫu COBIT được đặc trưng bởi ba cấp độ. - Cấp độ 1: các yêu cầu kinh doanh đối với thông tin phải được đáp ứng để đạt được các mục tiêu của doanh nghiệp, bao gồm: Hiệu lực, hiệu quả, độ tin cậy, tuân thủ, bảo mật, toàn vẹn và sẵn sàng.

- Cấp độ 2: bao gồm các nguồn lực cần thiết cho việc kiểm soát và quản trị công nghệ thông tin (tài nguyên công nghệ thông tin). Các tài nguyên đó được định nghĩa là thông tin, ứng dụng, cơ sở hạ tầng và con người.

- Cấp độ 3: liên quan đến các quy trình công nghệ

thông tin.

TS. Đào Nhật Minh

Vai trò của COBIT trong kiểm soát nội bộ

Các yêu cầu kinh doanh về thông tin là điều kiện tiên quyết cơ bản đối với hoạt động của kiểm soát nội bộ. Nếu thông tin không sẵn sàng, đáng tin cậy, có hiệu lực và hiệu quả, điều này có nghĩa là kiểm soát nội bộ dễ bị tổn thương và do đó môi trường kiểm soát sẽ khó hiểu và khó đánh giá. Sự hiểu biết không rõ ràng về môi trường kiểm soát là nguyên nhân dẫn đến việc thực hiện sai kiểm soát nội bộ và thậm chí đánh giá rủi ro không đầy đủ.

TS. Đào Nhật Minh

Vai trò của COBIT trong kiểm soát nội bộ

Chất lượng của thông tin không đủ để hiểu được môi trường kiểm soát nếu không có các luồng thông tin phù hợp và các nguồn lực cần thiết để quản lý chúng. Do đó, ở cấp độ thứ hai của khuôn mẫu COBIT, với các nguồn lực như thông tin, ứng dụng, cơ sở hạ tầng và con người là cần thiết để đánh giá và hiểu đúng về môi trường kiểm soát

TS. Đào Nhật Minh

Vai trò của COBIT trong kiểm soát nội bộ

Ở cấp độ thứ ba, COBIT 5 dựa trên 37 mục tiêu kiểm soát công nghệ thông tin ở mức độ cao để xác định ba mức của các hoạt động công nghệ thông tin: Miền, quy trình và hoạt động. Các mục tiêu kiểm soát công nghệ thông tin ở mức độ cao này giúp xác định tiêu chí thông tin nào là quan trọng đối với mỗi quy trình và tài nguyên công nghệ thông tin nào nên được quản lý bởi các quy trình.

TS. Đào Nhật Minh

Các mục tiêu kiểm soát công nghệ thông tin

Được nhóm thành năm miền phù hợp với các khu vực trách nhiệm của doanh nghiệp. Mỗi miền là một tập hợp của nhóm các quy trình công nghệ thông tin, bao gồm: • Thuộc quản trị: Đánh giá, chỉ đạo và giám sát

(Evaluate, Direct and Monitor - EDM).

• Thuộc quản lý: Sắp xếp, lập kế hoạch và tổ chức (Align, Plan and Organize - APO); xây dựng, mua sắm và thực hiện (Build, Acquire and Implement - BAI); cung cấp, dịch vụ và hỗ trợ (Deliver, Service and Support - DSS); và giám sát, đánh giá và kiểm tra (Monitor, Evaluate and Assess - MEA).

TS. Đào Nhật Minh

Mối quan hệ giữa các quy trình COBIT và các thành phần của môi trường kiểm soát

Các thành phần môi trường kiểm soát

Các quy trình của COBIT 5

(1) Giá trị

(2) Cam

(3) Hội đồng

(4) Triết lý

(5) Cơ cấu tổ

(6) Phân

(7) Các chính

đạo đức

kết về

quản trị và

và phong

chức

công quyền

sách và

và tính

năng lực

Ủy ban

cách điều

hạn và trách

thông lệ về

chính trực

kiểm toán

hành của

nhiệm

Nguồn nhân

ban quản lý

lực

EDM.01

Đảm bảo thiết

Đánh giá,

lập và duy trì

chỉ đạo và

khuôn

mẫu

giám sát

quản trị

(EDM)

EDM.02

Đảm bảo cung

cấp các lợi ích

EDM.03

Đảm bảo tối

thiểu hóa rủi ro

EDM.04

Đảm bảo tối ưu

hóa nguồn lực

EDM.05

Đảm bảo tính

minh bạch của

các bên liên

quan

TS. Đào Nhật Minh

Mối quan hệ giữa các quy trình COBIT và các thành phần của môi trường kiểm soát

Các thành phần môi trường kiểm soát

Các quy trình của COBIT 5

(1) Giá trị

(2) Cam kết

(3) Hội đồng

(4) Triết lý và

(5) Cơ cấu tổ

(6) Phân công

(7) Các chính

đạo đức và về năng lực quản trị và Ủy phong cách chức quyền hạn và sách và thông lệ

ban kiểm toán điều hành của tính chính trách nhiệm về Nguồn nhân

trực ban quản lý lực

APO.02

Sắp xếp, lập kế APO.01 Quản lý khuôn mẫu S P P P P hoạch và tổ điều hành CNTT

chức (APO)

Quản lý chiến lược

APO.03 Quản lý cấu trúc

doanh nghiệp APO.04 Quản lý sự đổi mới APO.05 Quản lý danh mục

APO.06

Quản lý ngân sách

đầu tư

và chi phí APO.07 Quản lý nguồn S P P S S S nhân lực APO.08 Quản lý các mối

Quản lý các thỏa

quan hệ APO.09

thuận dịch vụ APO.10 Quản lý nhà cung

Quản lý bảo mật

TS. Đào Nhật Minh

cấp APO.11 Quản lý chất lượng APO.12 Quản lý rủi ro P S P P S P P APO.13

Mối quan hệ giữa các quy trình COBIT và các thành phần của môi trường kiểm soát

Các thành phần môi trường kiểm soát

Các quy trình của COBIT 5 (1) Giá trị (2) Cam kết (3) Hội đồng (4) Triết lý và (5) Cơ cấu tổ (6) Phân công (7) Các chính

đạo đức và về năng lực quản trị và Ủy phong cách chức quyền hạn và sách và thông lệ

tính chính ban kiểm toán điều hành của trách nhiệm về Nguồn nhân

trực ban quản lý lực

Xây dựng, mua BAI.01 Quản lý các

sắm và thực chương trình và dự

hiện (BAI) án BAI.02 Quản lý việc xác

BAI.03

định các yêu cầu

Quản lý việc xác

định và xây dựng

các giải pháp BAI.04 Quản lý tính sẵn có

và năng lực các

BAI.05

Quản lý hỗ trợ thay

nguồn lực

P P S S đổi tổ chức BAI.06 Quản lý các sự thay P P S S đổi BAI.07 Quản lý việc chấp

chuyển đổi

trong

nhận thay đổi và P P S S

TS. Đào Nhật Minh

doanh nghiệp BAI.08 Quản lý kiến thức P S S BAI.09 Quản lý tài sản BAI.10 Quản lý cấu trúc

Mối quan hệ giữa các quy trình COBIT và các thành phần của môi trường kiểm soát

Các thành phần môi trường kiểm soát

Các quy trình của COBIT 5

(1) Giá trị

(2) Cam

(3) Hội đồng

(4) Triết lý và

(5) Cơ cấu tổ

(6) Phân công

(7) Các chính

đạo đức

kết về

quản trị và

phong cách

chức

quyền hạn và

sách và thông

và tính

năng lực

Ủy ban kiểm

điều hành

trách nhiệm

lệ về Nguồn

chính trực

toán

của ban

nhân lực

quản lý

Cung

cấp,

DSS.01

Quản

lý

hoạt

dịch vụ và hỗ

động

DSS.02

trợ (DSS)

Quản lý các yêu

cầu dịch vụ và sự

cố

DSS.03

Quản lý các vấn

đề

DSS.04

Quản lý tính liên

tục

DSS.05

Quản lý các dịch

vụ bảo mật

DSS.06

Quản lý các kiểm

soát quy trình

kinh doanh

TS. Đào Nhật Minh

Mối quan hệ giữa các quy trình COBIT và các thành phần của môi trường kiểm soát

Các thành phần môi trường kiểm soát

Các quy trình của COBIT 5

(1) Giá trị

(2) Cam kết

(3) Hội đồng

(4) Triết lý và

(5) Cơ cấu tổ

(6) Phân công

(7) Các chính

đạo đức và

về năng lực

quản trị và Ủy

phong cách

chức

quyền hạn và

sách và thông lệ

tính chính

ban kiểm toán

điều hành của

trách nhiệm

về Nguồn nhân

trực

ban quản lý

lực

Giám sát, đánh

MEA.01

Theo dõi, đánh

giá và kiểm tra

giá, kiểm tra hiệu

(MEA)

suất và sự tuân

thủ

MEA.02

Theo dõi, đánh

giá, kiểm tra hệ

thống kiểm soát

nội bộ

MEA.03

Theo dõi, đánh

giá, kiểm tra sự

tuân thủ với các

yêu cầu bên ngoài

Ghi chú: P (Primary): Mục tiêu kiểm soát ảnh hưởng trực tiếp tới thành phần của môi trường kiểm soát. S (Secondary): Mục tiêu kiểm soát ảnh hưởng một phần hoặc gián tiếp tới thành phần của môi trường kiểm soát.

TS. Đào Nhật Minh

Kiểm soát chung

TS. Đào Nhật Minh

Khái niệm

Kiểm soát chung là các hoạt động kiểm soát liên quan đến toàn bộ hệ thống xử lí, và như vậy ảnh tất cả các hệ thống ứng dụng xử lí hưởng tới nghiệp vụ.

TS. Đào Nhật Minh

Các vấn đề cần lưu ý

• Doanh nghiệp cần có các chính sách, quy định hướng dẫn kiểm soát chung được ban hành dưới dạng văn bản, phổ biến cho những người liên quan

• Những đối tượng liên quan cần nắm vững và tuân thủ

các quy định, thủ tục kiểm soát chung tại đơn vị.

• Các hệ thống phần mềm cần có những chức năng kỹ

thuật để thực hiện các thủ tục kiểm soát chung, và các tính năng này trong các phần mềm phải thật sự hữu hiệu.

• Cần cơ chế đánh giá và soát xét tính hữu hiệu các

chính sách, thủ tục kiểm soát chung tại doanh nghiệp.

TS. Đào Nhật Minh

Các nhóm thủ tục kiểm soát chung

• Xác lập kế hoạch an ninh • Phân chia trách nhiệm các chức năng trong hệ thống • Kiểm soát dự án phát triển hệ thống • Kiểm soát thâm nhập về mặt vật lí • Kiểm soát truy cập hệ thống • Kiểm soát lưu trữ dữ liệu • Kiểm soát truyền tải dữ liệu • Chuẩn hóa tài liệu hệ thống • Giảm thiểu thời gian chết của hệ thống • Dấu vết kiểm toán • Các kế hoạch phục hồi sau thiệt hại

TS. Đào Nhật Minh

Kiểm soát ứng dụng

TS. Đào Nhật Minh

Khái niệm

Là các chính sách, thủ tục thực hiện chỉ ảnh hưởng đến một hệ thống ứng dụng, phần hành cụ thể. Ví dụ, kiểm soát số lượng xuất kho không được lớn hơn số lượng tồn kho thực tế…Một hệ thống ứng dụng thường được thực hiện qua ba giai đoạn: nhập liệu, xử lí và kết xuất.

TS. Đào Nhật Minh