1
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC KINH TẾ TP. HỒ CHÍ MINH
ĐỒNG QUANG CHUNG
ĐỀ XUẤT MỘT SỐ GIẢI PHÁP XÂY DỰNG CÁC
HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG
TIN HỌC CHO CÁC DOANH NGHIỆP VIỆT NAM
Chuyên ngành: Kế toán - Kiểm toán
Mã số : 60.34.30
LUẬN VĂN THẠC SĨ KINH TẾ
NGƯỜI HƯỚNG DẪN KHOA HỌC
PGS.TS NGUYỄN VIỆT
TP. HỒ CHÍ MINH – NĂM 2009
2
LỜI CAM ĐOAN
Tôi xin cam đoan đây là công trình nghiên cứu khoa học của tôi với sự cố
vấn của người hướng dẫn khoa học. Những nội dung trình bày trong đề tài là
hoàn toàn trung thực và nếu như có sai trái gì tôi xin hoàn toàn chịu trách
nhiệm.
Tác giả luận văn
Đồng Quang Chung
MỤC LỤC
Trang
Mở đầu .................................................................................................... 1
Chương 1 - CÁC VẤN ĐỀ LIÊN QUAN ĐẾN HOẠT ĐỘNG KIỂM
SOÁT TRONG MÔI TRƯỜNG TIN HỌC .......................................... 4
1.1 TÌM HIỂU VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ ...................... 4
1.1.1 Định nghĩa về kiểm soát nội bộ ..................................................... 4
1.1.2 Các bộ phận hợp thành hệ thống kiểm soát nội bộ ...................... 6
1.1.2.1 Môi trường kiểm soát ................................................................... 6
1.1.2.2 Đánh giá rủi ro .............................................................................. 9
1.1.2.3 Hoạt động kiểm soát ..................................................................... 10
1.1.2.4 Thông tin và truyền thông ............................................................. 12
1.1.2.5 Giám sát ....................................................................................... 13
1.2 GIỚI THIỆU CHUNG VỀ HỆ THỐNG MÁY TÍNH .................... 14
1.2.1 Phần cứng và các thiết bị ngoại vi ................................................ 15
1.2.2 Phần mềm ...................................................................................... 17
1.2.2.1 Phần mềm hệ thống ...................................................................... 17
1.2.2.2 Các chương trình tiện ích .............................................................. 17
3
1.2.2.3 Ngôn ngữ lập trình và các trình biên dịch ..................................... 18
1.2.2.4 Phần mềm ứng dụng .................................................................... 18
1.2.2.5 Hệ quản trị cơ sở dữ liệu ............................................................... 19
1.2.3 Mạng máy tính ............................................................................... 20
1.2.3.1 Ứng dụng của mạng máy tính ...................................................... 20
1.2.3.2 Mạng nội bộ và mạng diện rộng ................................................... 22
1.2.3.3 Mạng có dây và mạng không dây ................................................. 23
1.3 CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN
HỌC ........................................................................................................ 23
1.3.1 Hoạt động kiểm soát chung ............................................................. 24
1.3.2 Hoạt động kiểm soát ứng dụng ........................................................ 25
1.3.3 Hoạt động kiểm soát dữ liệu ............................................................ 28
1.4 ẢNH HƯỞNG CỦA HỆ THỐNG MÁY TÍNH ĐẾN VIỆC THIẾT
KẾ CÁC HOẠT ĐỘNG KIỂM SOÁT .................................................. 30
1.4.1 Đặc điểm của hoạt động kiểm soát trong
môi trường tin học ................................................................................. 31
1.4.1.1 Chịu ảnh hưởng bởi phương pháp xử lý dữ liệu của
hệ thống máy tính ................................................................................... 31
1.4.1.2 Chịu ảnh hưởng và phụ thuộc về mặt công nghệ
lưu trữ dữ liệu ......................................................................................... 32
1.4.1.3 Chịu sự chi phối của phần cứng máy tính ..................................... 34
1.4.1.4 Chịu ảnh hưởng của hạ tầng mạng ................................................ 34
1.4.1.5 Chịu sự phụ thuộc vào hệ thống điện ............................................ 36
1.4.1.6 Chịu sự chi phối và phụ thuộc nhiều vào cơ chế kiểm soát
của phần mềm ứng dụng........................................................................... 37
4
1.4.2 Nhận diện các rủi ro tiềm ẩn đối với các hoạt động kiểm soát
trong môi trường tin học ........................................................................ 38
1.4.2.1 Những rủi ro xuất phát từ thiết bị phần cứng ................................ 39
1.4.2.2 Những rủi ro xuất phát từ sự vận hành của hệ thống mạng ........... 40
1.4.2.3 Những rủi ro xuất phát từ sự thiết kế của
phần mềm ứng dụng ................................................................................. 40
1.4.2.4 Những rủi ro xuất phát từ công việc
lưu trữ dữ liệu........................................................................................... 40
1.4.2.5 Những rủi ro xuất phát từ sự tác động bên ngoài
và sự không trung thực của con người ...................................................... 41
Kết luận chương 1 .................................................................................. 42
Chương 2 - TÌM HIỂU THỰC TẾ VỀ CÁC HOẠT ĐỘNG KIỂM SOÁT
TRONG MÔI TRƯỜNG TIN HỌC TẠI CÁC DOANH NGHIỆP
VIỆT NAM ............................................................................................. 43
2.1 Hoạt động kiểm soát trong môi trường tin học nhìn từ góc độ
nhà quản lý ............................................................................................... 45
2.2 Hoạt động kiểm soát trong môi trường tin học nhìn từ
góc độ kế toán .......................................................................................... 47
2.3 Hoạt động kiểm soát trong môi trường tin học
nhìn từ góc độ IT ...................................................................................... 48
2.4 Nhận xét về các hoạt động kiểm soát trong môi trường
tin học được tổ chức tại các doanh nghiệp ................................................ 51
5
2.5 Nhận xét về các thủ tục kiểm soát được thiết kế trong các
phần mềm kế toán Việt Nam .................................................................... 64
Kết luận chương 2 .................................................................................. 65
Chương 3 – ĐỀ XUẤT MỘT SỐ GIẢI PHÁP XÂY DỰNG CÁC HOẠT
ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC CHO CÁC
DOANH NGHIỆP VIỆT NAM .............................................................. 66
3.1 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT CHUNG ................. 66
3.1.1 Kiểm soát con người ...................................................................... 66
3.1.2 Kiểm soát vật chất .......................................................................... 67
3.1.3 Kiểm soát vận hành máy tính ......................................................... 68
3.2 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT ỨNG DỤNG .......... 74
3.2.1 Những quy định ràng buộc về trách nhiệm của các
đối tượng liên quan......................................................................... 75
3.2.2 Những giải pháp về các thủ tục kiểm soát
dữ liệu đầu vào ............................................................................... 77
3.2.3 Những giải pháp về các thủ tục kiểm soát
quy trình xử lý dữ liệu .................................................................... 80
3.2.4 Những giải pháp về các thủ tục kiểm soát
thông tin đầu ra .............................................................................. 84
3.2.5 Những giải pháp khác về các thủ tục kiểm soát trên
phần mềm ứng dụng ....................................................................... 86
3.3 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT DỮ LIỆU ............... 88
3.3.1 Tổ chức máy chủ ............................................................................ 88
6
3.3.2 Tổ chức sao lưu dữ liệu .................................................................. 88
3.3.3 Kiểm soát dữ liệu đối với các đối tượng
bên ngoài doanh nghiệp ............................................................................ 90
3.4 ỨNG DỤNG CÁC THỦ TỤC KIỂM SOÁT TRÊN PHẦN MỀM
VÀO HOẠT ĐỘNG KIỂM SOÁT MỘT SỐ CHU TRÌNH SẢN
XUẤT KINH DOANH TẠI DOANH NGHIỆP ............................ 90
3.4.1 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát
chu trình mua hàng ................................................................................ 90
3.4.1.1 Mô tả chu trình mua hàng ............................................................. 90
3.4.1.2 Ứng dụng phần mềm vào hoạt động kiểm soát
chu trình mua hàng ................................................................................... 94
3.4.2 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát
chu trình bán hàng ................................................................................. 98
3.4.2.1 Mô tả chu trình bán hàng .............................................................. 98
3.4.2.2 Ứng dụng phần mềm vào hoạt động kiểm soát
chu trình bán hàng .................................................................................. 101
3.4.3 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát
chu trình nhân sự, tiền lương .............................................................. 104
3.4.3.1 Mô tả chu trình nhân sự, tiền lương ............................................ 104
3.4.3.2 Ứng dụng phần mềm vào hoạt động kiểm soát
chu trình nhân sự, tiền lương .................................................................. 106
3.4.4 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát
chu trình sản xuất ................................................................................. 108
3.4.4.1 Mô tả chu trình sản xuất ............................................................. 108
7
3.4.4.2 Ứng dụng phần mềm vào hoạt động kiểm soát
chu trình sản xuất ................................................................................... 111
3.5 BAN HÀNH CHÍNH SÁCH AN TOÀN VÀ BẢO MẬT THÔNG TIN,
HOÀN THIỆN VAI TRÒ CỦA KIỂM TOÁN NỘI BỘ TRONG
ĐIỀU KIỆN ỨNG DỤNG CNTT VÀO TRONG CÔNG TÁC
QUẢN LÝ ....................................................................................... 115
Kết luận chương 3 ................................................................................ 116
KẾT LUẬN ........................................................................................... 117
TÀI LIỆU THAM KHẢO .................................................................... 119
8
DANH MỤC CHỮ VIẾT TẮT
CNTT : Công nghệ thông tin
IT : Information Technology - Kỹ thuật thông tin
CPU : Central Processing Unit - Đơn vị xử lý trung tâm
RAM : Random Access Memory - Bộ nhớ truy xuất ngẫu nhiên
HDD : Hard Disk Drive - Ổ đĩa cứng (bộ nhớ lưu trữ)
CSDL : Cơ sở dữ liệu
SQL : Structured Query Language - Ngôn ngữ truy vấn cấu trúc
ERP : Enterprise Resources Planning - Hoạch định các nguồn lực doanh
nghiệp
COSO: Committee of Sponsoring Organization – Uỷ ban thuộc Hội đồng quốc
gia Hoa Kỳ về chống gian lận báo cáo tài chính
9
DANH MỤC HÌNH VẼ
Hình 1.1 – Mô tả hệ thống máy tính ...................................................... 16
Hình 1.2 – Thiết bị Modem dùng để kết nối mạng internet ................. 20
Hình 1.3 – Mô tả về mạng máy tính ...................................................... 21
Hình 1.4 – Thiết bị Hub dùng để kết nối nhiều máy tính với nhau ..... 36
Hình 3.1 – Mô tả về bức tường lửa Firewall ......................................... 71
Hình 3.2 – Mô hình hệ thống thông tin kế toán .................................... 74
10
DANH MỤC BẢNG BIỂU
Bảng 2.1 – Nhìn nhận về kiểm soát nội bộ trong môi trường tin học .. 49
Bảng 2.2 – Kiểm soát vật chất ................................................................ 53
Bảng 2.3 – Kiểm soát vận hành máy tính .............................................. 55
Bảng 2.4 – Kiểm soát dữ liệu đầu vào trên phần mềm ứng dụng ........ 57
Bảng 2.5 – Kiểm soát xử lý số liệu trên phần mềm ứng dụng .............. 59
Bảng 2.6 – Kiểm soát thông tin đầu ra trên phần mềm ứng dụng ....... 60
Bảng 2.7 – Kiểm soát dữ liệu ................................................................. 62
11
LỜI MỞ ĐẦU
Tính cấp thiết của đề tài:
Có thể nói trong thời đại ngày nay, CNTT đã và đang đóng một vai trò vô
cùng quan trọng trong cuộc sống của loài người. Những lợi ích mà nó mang
lại là không thể phủ nhận. Hầu như lĩnh vực nào, ngành nghề nào cũng ứng
dụng CNTT và điều đó đã giúp tạo ra năng suất lao động, hiệu quả công việc
vô cùng to lớn. Thực tế cho thấy; khi các tổ chức, các doanh nghiệp ứng dụng
CNTT mà cụ thể là việc đưa vào sử dụng các phần mềm ứng dụng, các phần
mềm quản trị cơ sở dữ liệu, các kết nối cổng thông tin liên kết trong nội bộ
hay liên kết ra bên ngoài đã giúp cho con người trao đổi thông tin với nhau
một cách nhanh chóng, tiết kiệm thời gian và thay thế dần sức người do có sự
tự động hoá ngày càng cao.
Bên cạnh đó; trong điều kiện tin học hoá như hiện nay, việc bảo vệ thông
tin được xem là công việc được ưu tiên hàng đầu bởi người ta quan niệm rằng
“thông tin là tài sản” và nếu để mất nó có thể sẽ phải trả giá rất đắt. Tuy
nhiên, để thực hiện công việc này không phải là việc dễ dàng vì nó đòi hỏi
phải có cơ chế kiểm soát chặt chẽ, rõ ràng, tỉ mỉ và chi tiết thông qua việc
thiết lập một hệ thống kiểm soát nội bộ hữu hiệu tuân theo quy trình được
thống nhất từ cấp lãnh đạo đến cấp nhân viên trong toàn bộ tổ chức.
Ngoài những lợi ích do CNTT mang lại thì song song đó vẫn còn rất
nhiều hạn chế hay nói khác đi đó chính là những rủi ro tiềm ẩn bên trong luôn
rình rập và sẵn sàng đe doạ đến tài sản thông tin của bất kỳ tổ chức hay doanh
nghiệp nào. Do đó, việc tìm hiểu những đặc điểm của hệ thống kiểm soát
cũng như các biện pháp ngăn ngừa, nhận diện và khắc phục những tác động
xấu từ những rủi ro trong môi trường ứng dụng CNTT sẽ giúp cho chúng ta
12
có cái nhìn toàn diện hơn để có thể thiết lập được hệ thống kiểm soát nội bộ
hữu hiệu nhằm bảo vệ tài sản thông tin của tổ chức.
Và cũng không nằm ngoài những suy nghĩ trên, tác giả đã rất trăn trở và
đi đến quyết định chọn đề tài cũng tương đối mới mẻ là “Đề xuất một số giải
pháp xây dựng các hoạt động kiểm soát trong môi trường tin học cho các
doanh nghiệp Việt Nam” để nghiên cứu với hy vọng mang lại cho các tổ
chức, các doanh nghiệp nói chung và đặc biệt là những người đang hoạt động
trong lĩnh vực kế toán, kiểm toán nói riêng một cái nhìn toàn diện hơn, đúng
đắn hơn và cụ thể hơn về vấn đề này hiện nay.
Mục tiêu nghiên cứu của đề tài:
Dựa trên cơ sở nghiên cứu các tài liệu nước ngoài; thông qua việc thực
hiện quan sát, điều tra và khảo sát thực tế tại các doanh nghiệp ở Việt Nam về
kiểm soát nội bộ trong điều kiện ứng dụng CNTT; mục tiêu nghiên cứu của đề
tài đưa ra một cái nhìn trực quan và cụ thể về kiểm soát trong môi trường tin
học để hướng các đối tượng liên quan như doanh nghiệp, người hành nghề kế
toán, kiểm toán đến việc tổ chức hệ thống thông tin và xây dựng các hoạt
động kiểm soát thật sự hữu hiệu trong điều kiện ứng dụng CNTT vào công
việc hàng ngày của mình.
Đối tượng và phạm vi nghiên cứu:
Đối tượng nghiên cứu của đề tài là các hoạt động kiểm soát thuộc hệ
thống kiểm soát nội bộ được tổ chức trong môi trường tin học tại các doanh
nghiệp Việt Nam. Cụ thể là; thông qua việc quan sát các hoạt động kiểm soát
thực tế tại doanh nghiệp, điều tra và khảo sát các đối tượng liên quan như ban
giám đốc, bộ phận kế toán và bộ phận IT của các doanh nghiệp để tìm hiểu.
Tuy nhiên; đề tài chỉ mới đề cập đến việc tư vấn cho các doanh nghiệp cách
để tự thiết kế ra các thủ tục phục vụ cho việc thực thi các hoạt động kiểm soát
13
tương ứng trong môi trường tin học sao cho hữu hiệu hơn để bảo vệ các tài
sản thông tin và gia tăng độ tin cậy của thông tin được xử lý trong môi trường
này, chứ chưa thật sự đề cập đến toàn bộ mọi thành phần của hệ thống kiểm
soát nội bộ trong doanh nghiệp.
Phương pháp nghiên cứu:
Phương pháp nghiên cứu của luận văn là dựa trên quan sát thực tế ở hiện
trường, khảo sát và điều tra các đối tượng liên quan tại doanh nghiệp thông
qua hình thức bảng câu hỏi. Đồng thời sử dụng phương pháp phân tích, thống
kê và tổng hợp số liệu thu thập được từ thực tế để từ đó đưa ra các giải pháp
nhằm giải quyết các vấn đề đã đề cập trong mục tiêu nghiên cứu của đề tài.
Kết cấu của luận văn:
Kết cấu của luận văn bao gồm:
v Phần mở đầu
v Chương 1 - Các vấn đề liên quan đến hoạt động kiểm soát trong môi
trường tin học
v Chương 2 - Tìm hiểu thực tế về các hoạt động kiểm soát trong môi
trường tin học tại các doanh nghiệp Việt Nam
v Chương 3 – Đề xuất một số giải pháp xây dựng các hoạt động kiểm
soát trong môi trường tin học cho các doanh nghiệp Việt Nam
v Kết luận
v Tài liệu tham khảo
v Phụ lục
14
CHƯƠNG 1
CÁC VẤN ĐỀ LIÊN QUAN ĐẾN HOẠT ĐỘNG KIỂM SOÁT TRONG
MÔI TRƯỜNG TIN HỌC
1.1 TÌM HIỂU VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ
1.1.1 Định nghĩa về kiểm soát nội bộ
Theo định nghĩa được đưa ra bởi COSO năm 1992 thì:
“Kiểm soát nội bộ là một quá trình do nhà quản lý, hội đồng quản trị và
toàn bộ nhân viên của tổ chức chi phối, nó được thiết lập để cung cấp một sự
bảo đảm hợp lý nhằm thực hiện ba mục tiêu:
ü Báo cáo tài chính đáng tin cậy
ü Các luật lệ và quy định được tuân thủ
ü Hoạt động hữu hiệu và hiệu quả”
Như vậy có bốn nội dung cơ bản được đề cập trong định nghĩa ở trên bao
gồm: quá trình, con người, đảm bảo hợp lý và mục tiêu.
Kiểm soát nội bộ là một quá trình: kiểm soát nội bộ là một chuỗi hoạt
động kiểm soát hiện diện ở tất cả mọi bộ phận trong tổ chức và chúng kết hợp
với nhau thành một thể thống nhất. Quá trình kiểm soát được xem là phương
tiện giúp cho tổ chức đạt được mục tiêu của mình.
Kiểm soát nội bộ được thiết kế và vận hành bởi con người: chính con
người sẽ đặt ra mục tiêu; thiết lập cơ chế kiểm soát ở khắp mọi nơi trong tổ
chức và vận hành chúng để đạt được mục tiêu đề ra. Do đó, kiểm soát nội bộ
không chỉ đơn thuần là những chính sách, thủ tục, biểu mẫu… mà còn bao
15
gồm cả những con người trong tổ chức như hội đồng quản trị, ban giám đốc
và nhân viên.
Kiểm soát nội bộ cung cấp một sự đảm bảo hợp lý: kiểm soát nội bộ chỉ
có thể cung cấp một sự đảm bảo hợp lý nhất có thể chứ không khẳng định
chắc chắn rằng các mục tiêu sẽ đạt được. Như vậy, kiểm soát nội bộ có thể
giúp ngăn chặn và phát hiện ra sai phạm nhưng không thể đảm bảo là chúng
sẽ không bao giờ xảy ra nữa. Sở dĩ như vậy là do bản thân hệ thống kiểm soát
nội bộ vẫn luôn tồn tại những hạn chế tiềm tàng vốn có của nó như: sự vô ý,
bất cẩn của con người; sự thông đồng giữa các cá nhân trong tổ chức; sự lạm
dụng quyền lực để mưu cầu lợi ích riêng tư; hay sự đòi hỏi chi phí bỏ ra cho
việc thực hiện các hoạt động kiểm soát phải luôn nhỏ hơn lợi ích mà nó mang
lại…
Các mục tiêu của kiểm soát nội bộ: mục tiêu của kiểm soát nội bộ là rất
rộng, chúng bao trùm toàn bộ mọi hoạt động và có ý nghĩa quan trọng đối với
tổ chức. Nhưng nhìn chung, có thể phân thành ba mục tiêu sau:
ü Mục tiêu về báo cáo tài chính: kiểm soát nội bộ phải bảo đảm về tính
trung thực và độ tin cậy, bởi lẽ nhà quản lý là người đại diện pháp luật cho tổ
chức và phải có trách nhiệm lập báo cáo tài chính phù hợp với chuẩn mực và
chế độ kế toán hiện hành.
ü Mục tiêu về tính tuân thủ: kiểm soát nội bộ phải bảo đảm hợp lý việc
chấp hành luật pháp và các quy định. Ngoài ra, kiểm soát nội bộ còn hướng
mọi thành viên trong tổ chức đến việc tuân thủ các chính sách và quy định của
tổ chức nhằm đạt được các mục tiêu của tổ chức.
ü Mục tiêu về sự hữu hiệu và hiệu quả của các hoạt động: kiểm soát
nội bộ giúp bảo vệ và sử dụng hiệu quả các nguồn lực của tổ chức, qua đó
16
giúp nâng cao uy tín, mở rộng quy mô và thị phần, thực hiện các chiến lược
của đã đề ra…
1.1.2 Các bộ phận hợp thành hệ thống kiểm soát nội bộ
Theo COSO (năm 1992) thì các bộ phận hợp thành hệ thống kiểm soát nội bộ
gồm năm bộ phận:
§ Môi trường kiểm soát
§ Đánh giá rủi ro
§ Hoạt động kiểm soát
§ Thông tin và truyền thông
§ Giám sát
1.1.2.1 Môi trường kiềm soát
Môi trường kiềm soát được xem là nền tảng đối với các bộ phận khác của
hệ thống kiểm soát nội bộ. Nó phản ánh sắc thái chung của một tổ chức và chi
phối ý thức kiểm soát của các thành viên trong tổ chức. Các nhân tố thuộc
môi trường kiểm soát bao gồm:
Tính chính trực và các giá trị đạo đức
Tính chính trực và các giá trị đạo đức được thể hiện qua tính cách, bản
chất và cách cư xử của các thành viên khi tham gia vào các hoạt động của tổ
chức. Sự hữu hiệu của hệ thống kiểm soát nội bộ trước hết phụ thuộc vào tính
chính trực và việc tôn trọng các giá trị đạo đức của những cá nhân liên quan
đến quá trình kiểm soát. Do vậy, nhu cầu này đòi hỏi ở nhà quản lý cấp cao
phải xây dựng được những chuẩn mực đạo đức và cư xử đúng đắn để có thể
ngăn cản những người có hành vi thiếu đạo đức hoặc phạm pháp trong tổ
chức. Muốn đạt được yêu cầu này, trước hết đòi hỏi nhà quản lý phải làm
17
gương cho cấp dưới về việc tuân thủ các chuẩn mực, đồng thời cần phổ biến
những quy định đến mọi thành viên trong tổ chức bằng những cách thích hợp.
Hơn nữa, để nâng cao tính chính trực và sự tôn trọng các giá trị đạo đức, tổ
chức cũng cần loại trừ hoặc giảm thiểu các sức ép tác động đến nhân viên để
tránh thực hiện các hành vi thiếu trung thực có thể xuất phát từ họ.
Năng lực của nhân viên
Nhà quản lý cần tuyển dụng các nhân viên có năng lực chuyên môn, kỹ
năng và kinh nghiệm phù hợp để thực hiện công việc được giao đạt sự hữu
hiệu và hiệu quả. Bên cạnh đó, cần tăng cường giám sát và tổ chức huấn luyện
nhân viên thường xuyên để các nhiệm vụ được giao luôn đạt kết quả tốt nhất.
Hội đồng quản trị và uỷ ban kiểm toán
Uỷ ban kiểm toán trực thuộc hội đồng quản trị, gồm một số thành viên
trong và ngoài Hội đồng quản trị nhưng không tham gia vào công việc điều
hành tổ chức. Uỷ ban kiểm toán có những đóng góp quan trọng trong việc
thực hiện các mục tiêu của tổ chức như giám sát sự tuân thủ pháp luật, giám
sát việc lập báo cáo tài chính, giữ sự độc lập cho kiểm toán độc lập… Vì thế,
hoạt động hữu hiệu của Hội đồng quản trị và Uỷ ban kiểm toán sẽ có ảnh
hưởng lớn đến môi trường kiểm soát.
Các nhân tố được dùng làm thước đo đánh giá sự hữu hiệu của Hội đồng
quản trị hoặc Uỷ ban kiểm toán bao gồm mức độ độc lập, kinh nghiệm và uy
tín của các thành viên bên trong Hội đồng quản trị hoặc Uỷ ban kiểm toán,
cùng với mối quan hệ của họ với bộ phận kiểm toán nội bộ và kiểm toán độc
lập.
Ở Việt Nam, theo quy định của Luật Doanh nghiệp thì một số loại hình
công ty phải có Ban kiểm soát trực thuộc Đại hội đồng cổ đông và có vai trò
tương tự như Uỷ ban kiểm toán.
18
Triết lý và phong cách điều hành
Triết lý thể hiện qua quan điểm và sự nhận thức của nhà quản lý; trong khi
phong cách điều hành lại thể hiện qua tính cách và thái độ của nhà quản lý khi
điều hành tổ chức. Do vậy, sự khác biệt về triết lý và phong cách điều hành có
thể ảnh hưởng đến môi trường kiểm soát và tác động đến việc thực hiện các
mục tiêu của một tổ chức.
Cơ cấu tổ chức
Cơ cấu tổ chức phải phù hợp với quy mô và đặc thù của mỗi đơn vị. Thực
chất đó chính là sự phân chia trách nhiệm và quyền hạn giữa các bộ phận
trong đơn vị, nó góp phần đáng kể cho việc đạt được các mục tiêu của đơn vị.
Cơ cấu tổ chức phù hợp sẽ là cơ sở để lập kế hoạch, điều hành, kiểm soát và
giám sát các hoạt động. Ngược lại, một cơ cấu tổ chức không phù hợp có thể
làm cho các thủ tục kiểm soát mất tác dụng.
Phân định quyền hạn và trách nhiệm
Phân định quyền hạn và trách nhiệm được xem là phần mở rộng của cơ
cấu tổ chức. Qua đó cụ thể hoá quyền hạn và trách nhiệm của từng thành viên
trong tổ chức, giúp họ hiểu được nhiệm vụ của mình và từng hoạt động của
họ sẽ có ảnh hưởng như thế nào đến người khác trong việc hoàn thành mục
tiêu. Do đó, tổ chức cần có mô tả công việc rõ ràng cụ thể mà trong đó có đề
cập đến quyền hạn và trách nhiệm của từng thành viên cùng với mối quan hệ
giữa họ với nhau.
Chính sách nhân sự
Là các chính sách được lập bởi nhà quản lý liên quan đến việc tuyển
dụng, huấn luyện, đánh giá, bổ nhiệm, sa thải, đề bạt, khen thưởng và kỷ luật.
Chính sách nhân sự có ảnh hưởng đáng kể đến sự hữu hiệu của môi trường
19
kiểm soát thông qua việc tác động đến các nhân tố khác trong môi trường
kiểm soát như đảm bảo về năng lực, tính chính trực và các giá trị đạo đức…
1.1.2.2 Đánh giá rủi ro
Rủi ro luôn tồn tại trong mọi hoạt động của tổ chức. Chúng có thể bắt
nguồn từ bên trong hay bên ngoài doanh nghiệp và sẵn sàng đe doạ đến tất cả
các mục tiêu chung cũng như các mục tiêu cụ thể của tổ chức. Tuy nhiên,
người ta chỉ có thể hạn chế bớt các rủi ro này chứ không thể làm cho chúng
không bao giờ xuất hiện nữa. Vì thế, để hạn chế các rủi ro nhà quản lý phải
dựa trên các mục tiêu đã được xác định để nhận dạng và phân tích các rủi ro
để từ đó có thể quản trị được chúng.
Xác định mục tiêu của tổ chức
Xác định mục tiêu được xem là điều kiện tiên quyết để đánh giá rủi ro.
Bởi lẽ một sự kiện có thể trở thành rủi ro hay không sẽ phụ thuộc vào mức độ
tác động tiêu cực của nó đến mục tiêu của tổ chức. Xác định mục tiêu bao
gồm việc đưa ra sứ mệnh, hoạch định các mục tiêu chiến lược cũng như
những chỉ tiêu phải đạt được trong ngắn hạn, trung hạn và dài hạn. Việc xác
định mục tiêu có thể được thực hiện qua việc ban hành các văn bản, qua nhận
thức và phát biểu hàng ngày của nhà quản lý.
Nhận dạng rủi ro
Rủi ro có thể tác động đến toàn bộ tổ chức hay chỉ ảnh hưởng đến từng
hoạt động cụ thể. Đối với toàn bộ tổ chức, các nhân tố có thể làm phát sinh rủi
ro như sự đổi mới kỹ thuật, thị hiếu của khách hàng, sự cải tiến sản phẩm của
đối thủ cạnh tranh, sự thay đổi trong chính sách Nhà nước, sự thay đổi nhân
sự quản lý… Trong phạm vi từng hoạt động, có thể là hoạt động mua hàng,
bán hàng, kế toán…Do đó, để nhận dạng các rủi ro, nhà quản lý cần phải sử
20
dụng nhiều phương pháp khác nhau như dự báo, phân tích số liệu quá khứ cho
đến việc rà soát thường xuyên các hoạt động.
Phân tích và đánh giá rủi ro
Thực tế cho thấy rủi ro rất khó định lượng nên phân tích và đánh giá rủi ro
là việc làm khá phức tạp và do đó có nhiều phương pháp khác nhau. Tuy
nhiên, nhìn chung một quy trình phân tích và đánh giá rủi ro thường bao gồm:
ü Ước lượng tầm cỡ của rủi ro qua ảnh hưởng của nó đến mục tiêu
của tổ chức
ü Xem xét khả năng xảy ra rủi ro
ü Các biện pháp đối phó với rủi ro
1.1.2.3 Hoạt động kiểm soát
Hoạt động kiểm soát là những chính sách và thủ tục để đảm bảo cho các
chỉ thị của nhà quản lý được thực thi. Mục đích chính của các chính sách và
thủ tục là giúp thực thi những hành động để kiểm soát các rủi ro có thể xảy ra
đối với tổ chức. Dưới đây là các hoạt động kiểm soát chủ yếu:
Phân chia trách nhiệm
Phân chia trách nhiệm là không cho phép bất kỳ thành viên nào trong tổ
chức được giải quyết mọi mặt của nghiệp vụ từ khi nó hình thành cho đến khi
kết thúc. Điều này có nghĩa là, không cho kiêm nhiệm đồng thời các chức
năng phê chuẩn, thực hiện, ghi chép nghiệp vụ và bảo quản tài sản.
Việc phân chia trách nhiệm nhằm mục đích để các thành viên có thể tự
kiểm soát lẫn nhau; dễ phát hiện ra các sai sót và khiếm khuyết nếu nó xảy ra;
đồng thời hạn chế cơ hội đối với các thành viên có thể che dấu các sai phạm
do mình gây ra.
21
Kiểm soát quá trình xử lý thông tin và các nghiệp vụ
Để đảm bảo cho thông tin đáng tin cậy cần phải thực hiện nhiều hoạt động
kiểm soát nhằm kiểm tra tính xác thực, đầy đủ và việc phê chuẩn các nghiệp
vụ.
Khi kiểm soát quá trình xử lý thông tin, cần phải bảo đảm:
ü Kiểm soát chặt chẽ hệ thống chứng từ, sổ sách
ü Phê chuẩn đúng đắn các loại nghiệp vụ hoặc hoạt động: việc phê
chuẩn này phải tập trung vào một nhà quản lý trong phạm vi quyền
hạn cho phép của mình. Sự phê chuẩn được chia làm phê chuẩn
chung (nhà quản lý ban hành các chính sách áp dụng cho toàn bộ
tổ chức) và phê chuẩn cụ thể (nhà quản lý xét duyệt từng nghiệp vụ
riêng biệt chứ không thể đưa ra chính sách chung)
Kiểm soát vật chất
Hoạt động này nhằm mục đích hạn chế việc tiếp cận các thông tin, các tài
liệu, chứng từ, sổ sách và tài sản không được phép để ngăn ngừa các rủi ro có
thể xảy ra như trộm cắp, phá hoại hay sử dụng sai mục đích…
Kiểm tra độc lập việc thực hiện
Là việc kiểm tra được thực hiện bởi các cá nhân (hoặc bộ phận) khác với
cá nhân (hoặc bộ phận) đang thực hiện nghiệp vụ. Nhu cầu phải kiểm tra độc
lập xuất phát từ hệ thống kiểm soát nội bộ thường có khuynh hướng bị giảm
sút tính hữu hiệu trừ khi có một cơ chế thường xuyên kiểm tra soát xét lại.
Tuy nhiên, để việc kiểm tra độc lập này phát huy được hiệu quả, đòi hỏi
những thành viên thực hiện kiểm tra phải độc lập nhất định với đối tượng
được kiểm tra.
22
Phân tích rà soát hay soát xét lại việc thực hiện
Hoạt động này đòi hỏi cần phải xem xét lại những việc đã thực hiện bằng
cách so sánh, đối chiếu thực tế với kế hoạch, dự toán, kỳ trước và các dữ liệu
có liên quan; đồng thời cần liên hệ với tổng thể để đánh giá quá trình thực
hiện. Thông qua hoạt động này, giúp nhà quản lý phát hiện ra những hạn chế,
những bất thường xảy ra trong quá trình thực hiện để từ đó có những đối sách
cũng như những điều chỉnh kịp thời.
1.1.2.4 Thông tin và truyền thông
Thông tin và truyền thông giúp thiết lập, duy trì và nâng cao năng lực
kiểm soát trong tổ chức thông qua việc lập các báo cáo cung cấp thông tin về
hoạt động, tài chính và sự tuân thủ cho cả đối tượng bên trong lẫn bên ngoài
tổ chức.
Thông tin cần thiết cho mọi cấp của tổ chức vì giúp đạt được các mục tiêu
kiểm soát khác nhau. Hệ thống thông tin của tổ chức có thể thực hiện bằng
cách xử lý trên máy tính, bằng hệ thống thủ công hoặc kết hợp cả hai, miễn là
bảo đảm các yêu cầu của chất lượng thông tin là thích hợp, kịp thời, cập nhật,
chính xác và truy cập thuận tiện.
Truyền thông là việc truyền đạt thông tin. Trong đó, cần chú ý đến việc
truyền thông trong nội bộ và truyền thông ra bên ngoài. Cụ thể là:
§ Đối với truyền thông nội bộ: yêu cầu mọi thành viên trong tổ chức phải
hiểu rõ công việc của mình; hiểu rõ mệnh lệnh, chỉ thị từ cấp trên; hiểu rõ mối
quan hệ với các thành viên khác trong tổ chức và biết sử dụng các phương
tiện truyền thông trong tổ chức.
§ Truyền thông ra bên ngoài: các thông tin được cung cấp từ các đối
tượng bên ngoài như khách hàng, nhà cung cấp, ngân hàng… phải được ghi
23
nhận trung thực, đầy đủ; nhờ đó giúp tổ chức có thể phản ứng kịp thời. Bên
cạnh đó, các thông tin cung cấp cho các đối tượng bên ngoài như Nhà nước,
cổ đông, nhà đầu tư… cũng cần phải truyền đạt kịp thời, đảm bảo về độ tin
cậy và tuân thủ các quy định của tổ chức cũng như của pháp luật.
1.1.2.5 Giám sát
Thông qua giám sát, nhà quản lý có thể đánh giá được chất lượng của hệ
thống kiểm soát nội bộ. Từ đó có thể xác định kiểm soát nội bộ có vận hành
theo đúng thiết kế hay không và có cần phải sửa đổi lại cho phù hợp với thực
tế tại tổ chức hay không. Để đạt được kết quả mong đợi, nhà quản lý cần phải
tăng cường các hoạt động giám sát của mình bao gồm cả giám sát thường
xuyên và giám sát định kỳ.
§ Giám sát thường xuyên: được thực hiện thông qua các cuộc tiếp xúc
với khách hàng, nhà cung cấp… để nghe ý kiến đóng góp của họ; ghi nhận
thông tin phản hồi từ các thành viên trong tổ chức thông qua các buổi hội
thảo, cuộc họp hay buổi huấn luyện… hoặc xem xét các báo cáo hoạt động để
phát hiện ra những bất thường.
§ Giám sát định kỳ: được thực hiện thông qua các cuộc kiểm toán định
kỳ do kiểm toán nội bộ hoặc kiểm toán độc lập thực hiện.
24
1.2 GIỚI THIỆU CHUNG VỀ HỆ THỐNG MÁY TÍNH
Ngày nay, máy vi tính không còn xa lạ gì đối với mọi người nữa. Cùng
với thời gian, công nghệ sản xuất máy vi tính đã cho ra đời rất nhiều thế hệ
máy tính hiện đại, xử lý với tốc độ cao, cho kết quả chính xác và giá rẻ. Nhìn
về quá khứ ở Việt Nam cho thấy, những năm đầu thập niên 90 của thế kỷ 20,
việc trang bị máy vi tính cho các tổ chức nói chung và cho cá nhân nói riêng
là việc làm hoàn toàn xa xỉ.
Nhưng nay đã khác, hầu như đi đến đâu cũng bắt gặp người ta sử dụng
máy tính để xử lý công việc hàng ngày của mình là chuyện bình thường. Và
điều này đã góp phần tích cực vào công cuộc đổi mới và phát triển của đất
nước.
Cụ thể hơn, với sự phát triển không ngừng của CNTT đã và sẽ tiếp tục có
những chi phối và ảnh hưởng đáng kể đến tất cả mọi ngành nghề trong xã hội.
Những chi phối và ảnh hưởng này là tích cực, nó làm cho năng suất của các
ngành tăng lên rõ rệt và hướng tất cả các ngành đều đi đến chỗ phải nâng cao
chất lượng sản phẩm, dịch vụ của mình để từng bước tiếp cận đến sự quản lý
chuyên nghiệp và phát triển bền vững.
Đối với nghề nghiệp kế toán, kiểm toán thì cũng vậy; sự phát triển của
CNTT cũng có những tác động lớn đến những người hoạt động trong những
ngành nghề này. Với những máy tính được trang bị các phần mềm chuyên
dụng như phần mềm kế toán, các phần mềm hỗ trợ cho công tác kiểm toán…
đã giúp cho những người hành nghề kế toán và kiểm toán dễ dàng hơn trong
việc thu thập, xử lý và cung cấp thông tin được nhanh chóng, kịp thời với độ
chính xác và độ tin cậy cao.
Tuy nhiên, bên cạnh những lợi ích mà CNTT đem lại cũng không loại trừ
những rủi ro tiềm ẩn trong việc cung cấp thông tin đó là độ tin cậy của thông
tin trong môi trường tin học có hoàn toàn tuyệt đối như người ta từng tin
25
tưởng. Do đó, việc tìm hiểu về hệ thống máy tính là rất cần thiết để nghiên
cứu, tìm hiểu về hệ thống kiểm soát thông tin trong môi trường này.
1.2.1 Phần cứng và các thiết bị ngoại vi
Một hệ thống máy tính bao gồm các các thiết bị, linh kiện rời cấu thành
mà dựa trên đó các phần mềm hệ thống, tiện ích và các ứng dụng được cài đặt
để vận hành nhằm thực hiện một hoặc nhiều nhiệm vụ nào đó. Có thể nói,
máy tính là một hệ thống xử lý thông tin đa năng. Nó nhận lệnh từ con người
thông qua các thiết bị ghi nhận đầu vào như chuột, bàn phím, máy quét… để
rồi xử lý các lệnh đó. Sau khi được xử lý, thông tin được hiển thị cho người
sử dụng xem thông qua các thiết bị đầu ra như màn hình, máy in, máy
chiếu… và cuối cùng thông tin được lưu trữ trên các thiết bị như đĩa cứng, đĩa
mềm, USB, CD…
Bộ phận được xem là chính yếu và quan trọng nhất thuộc về phần cứng
máy tính là bộ vi xử lý trung tâm CPU (Central Processing Unit). Bộ phận
này đảm nhận nhiệm vụ tính toán và xử lý dữ liệu. Tất cả các dạng dữ liệu
(chữ, số, hình ảnh, âm thanh…) đều được mã hoá dưới dạng một tập hợp số
nhị phân. Mỗi số nhị phân đại diện cho một tín hiệu điện tử tắt (0) hoặc mở
(1). Sau đây, chúng ta tìm hiểu thêm một vài bộ phận quan trọng khác của
máy tính ngoài CPU:
§ Bo mạch chủ (Mainboard): bo mạch chính, lớn nhất đóng vai trò là
trung gian giao tiếp giữa các thiết bị với nhau. Có rất nhiều các thiết bị
gắn trên bo mạch chủ theo cách trực tiếp có mặt trên nó hay thông qua
các kết nối cắm vào hoặc dây dẫn liên kết. Bộ phận CPU quan trọng kể
trên cũng được gắn vào bo mạch chủ này.
§ Bộ nhớ chính hay còn gọi là bộ nhớ truy xuất ngẫu nhiên (Random
Access Memory – RAM): máy tính dùng RAM để lưu trữ mã chương
trình và dữ liệu trong suốt quá trình thực thi (trong 1 phiên làm việc).
26
Cụ thể là, khi chúng ta gõ văn bản từ bàn phím hay nhập số liệu trên
một phần mềm ứng dụng thì những thông tin này mới chỉ được lưu vào
bộ nhớ RAM và hạn chế của bộ nhớ này là nó chỉ hoạt động khi có
điện. Nếu chưa kịp lưu mà mất điện thì coi như phải làm lại từ đầu. Do
đó, thông tin chỉ có thể an toàn khi được lưu trữ vào một thiết bị khác
gọi là ổ đĩa cứng.
§ Ổ đĩa cứng (Hard Disk Drive – HDD): bộ nhớ lưu trữ chính của máy
tính, các thành quả của một quá trình làm việc được lưu trữ trên ổ đĩa
cứng trước khi có các hành động sao lưu dự phòng trên các dạng bộ
nhớ khác. Thao tác lưu văn bản hay lưu dữ liệu vào file mà chúng ta
từng thực hiện nhằm mục đích sao chép văn bản hay dữ liệu từ bộ nhớ
RAM vào ổ đĩa cứng của máy. Ổ đĩa cứng có thể giữ văn bản hay dữ
liệu cả khi không có điện. Chính đĩa cứng là nơi chứa chương trình để
dùng. Khi thực hiện thao tác “chọn chương trình” (còn gọi là “chạy
chương trình”), chương trình được sao chép từ ổ đĩa cứng vào bộ nhớ
RAM rồi mới bắt đầu hoạt động.
Hình 1.1 - Mô tả hệ thống máy tính
27
1.2.2 Phần mềm
Trong một hệ thống máy tính có thể tồn tại rất nhiều các phần mềm bao
gồm phần mềm điều khiển các thiết bị phần cứng, hệ điều hành, các chương
trình tiện ích, ngôn ngữ lập trình, phần mềm ứng dụng và hệ quản trị cơ sở dữ
liệu.
1.2.2.1 Phần mềm hệ thống
Phần mềm hệ thống bao gồm:
§ Phần mềm quản lý các thiết bị phần cứng của máy tính (BIOS): là
chương trình có nhiệm vụ kiểm soát và phối hợp các bộ phận của phần
cứng với nhau.
§ Hệ điều hành: là phần mềm nền tảng, được ví như nền móng của một
ngôi nhà, nó hỗ trợ cho hoạt động của các phần mềm khác được cài đặt
lên trên nó. Các hệ điều hành hiện có trên thị trường như là Windows
của Microsoft, Linux của Linus Torvalds, Unix của Maccintos…;
nhưng trong đó hệ điều hành thông dụng và được rất nhiều người trên
thế giới sử dụng là Windows. Hệ điều hành giữ vai trò quan trọng vì nó
điều khiển mọi hoạt động của máy tính. Sau khi máy tính được khởi
động, thì lập tức hệ điều hành sẽ thực hiện ngay việc thiết lập các thông
số giao tiếp và điều khiển các thiết bị ngoại vi. Đồng thời, tiến hành
kiểm tra, quản lý đĩa và các tập tin trên đĩa.
1.2.2.2 Các chương trình tiện ích
Nhiệm vụ của các chương trình tiện ích là đảm nhận việc thực hiện những
chức năng chuyên biệt như điều khiển in ấn; quản lý vùng nhớ cho từng thư
mục, tập tin; sao chép, tổ chức dữ liệu trong tập tin; sao lưu hệ thống để phục
hồi khi cần thiết; dọn dẹp, nén và sắp xếp ổ đĩa cứng; phục hồi file bị xoá; sao
28
chép tập tin trên các thiết bị lưu trữ (như DVD/CD) khi có sự cố đọc file hay
khi thiết bị lưu trữ bị lỗi logic…
1.2.2.3 Ngôn ngữ lập trình và các trình biên dịch
Ngôn ngữ lập trình (programming language) là một tập con của ngôn ngữ
máy tính. Đây là một dạng ngôn ngữ được chuẩn hóa (đối lập với ngôn ngữ tự
nhiên). Nó được dùng để miêu tả những quá trình, những ngữ cảnh một cách
rất chi tiết. Ngôn ngữ lập trình là một hệ thống được ký hiệu hóa để miêu tả
những tính toán (qua máy tính) trong một dạng mà cả con người và máy đều
có thể đọc và hiểu được. Ngôn ngữ lập trình giúp cho con người có thể tạo ra
các phần mềm ứng dụng chuyên biệt để phục vụ cho những yêu cầu cụ thể
nào đó của con người. Hiện có rất nhiều ngôn ngữ lập trình như Visual Basic,
Visual C++, Visual FoxPro, Access…và mỗi ngôn ngữ lập trình sẽ thoả mãn
cho từng nhu cầu khác nhau.
Các phần mềm chuyển dịch mã bao gồm trình biên dịch và trình thông
dịch: các loại chương trình này sẽ đọc các câu lệnh từ mã nguồn được viết bởi
các lập trình viên theo một ngôn ngữ lập trình và dịch nó sang dạng ngôn ngữ
máy mà máy tính có thể hiểu được, hay dịch nó sang một dạng khác như
là tập tin đối tượng (object file) và các tập tin thư viện (library file) mà các
phần mềm khác (như hệ điều hành chẳng hạn) có thể hiểu để vận hành máy
tính thực thi các lệnh.
1.2.2.4 Phần mềm ứng dụng
Phần mềm ứng dụng được sản xuất từ các ngôn ngữ lập trình để người sử
dụng có thể hoàn thành một hay nhiều công việc nào đó; ví dụ như các phần
mềm văn phòng Microsoft Office, phần mềm đồ hoạ Photoshop, phần mềm
thiết kế Corel Draw, phần mềm kế toán, phần mềm nhân sự, phần mềm quản
29
trị nguồn lực doanh nghiệp ERP, phần mềm giáo dục, phần mềm trò
chơi, chương trình tiện ích, hay các loại phần mềm ác tính…
Khi phần mềm ứng dụng được kích hoạt thì hệ điều hành sẽ nạp nó vào bộ
nhớ RAM, chuẩn bị khoảng trống trên đĩa cứng cho chương trình hoạt động
và cuối cùng là trao quyền điều khiển hoạt động cho phần mềm ứng dụng.
1.2.2.5 Hệ quản trị cơ sở dữ liệu
Hệ quản trị cơ sở dữ liệu (Database Management System - DBMS),
là phần mềm hay hệ thống được thiết kế để quản trị một cơ sở dữ liệu. Cụ thể,
các chương trình thuộc loại này hỗ trợ khả năng lưu trữ, sửa chữa, xóa và tìm
kiếm thông tin trong một cơ sở dữ liệu (CSDL). Có rất nhiều loại hệ quản trị
CSDL khác nhau: từ phần mềm nhỏ chạy trên máy tính cá nhân cho đến
những hệ quản trị phức tạp chạy trên một hoặc nhiều siêu máy tính.Tuy nhiên,
đa số hệ quản trị CSDL trên thị trường đều có một đặc điểm chung là sử dụng
ngôn ngữ truy vấn theo cấu trúc mà tiếng Anh gọi là Structured Query
Language (SQL).
Các hệ quản trị CSDL phổ biến được nhiều người biết đến như
là MySQL, Oracle, PostgreSQL, SQL Server, DB2, Infomix... Phần lớn các
hệ quản trị CSDL kể trên hoạt động tốt trên nhiều hệ điều hành khác nhau
như Linux, Unix và MacOS ngoại trừ SQL Server của Microsoft chỉ chạy trên
hệ điều hành Windows.
Trên thực tế cho thấy hầu hết các phần mềm ứng dụng đều sử dụng một
trong những hệ quản trị cơ sở dữ liệu đã nêu ở trên để quản trị dữ liệu của
mình bởi tính ổn định, an toàn, tốc độ xử lý cao, phục vụ cho đa người dùng
trên mạng và bảo mật.
30
1.2.3 Mạng máy tính
Mạng máy tính hay hệ thống mạng (computer network hay network
system), là một tập hợp các máy tính được kết nối với nhau thông qua các
phương tiện truyền dẫn bằng cáp hay bằng sóng không dây để nhằm cho phép
chia sẻ tài nguyên: máy in, máy fax, máy quét, tập tin, dữ liệu… Và với một
thiết bị modem router ADSL, cùng với một đường truyền đăng ký từ một nhà
cung cấp dịch vụ, chúng ta sẽ thực hiện được việc kết nối mạng máy tính của
mình vào mạng internet.
Như vậy là sự ra đời của hệ thống mạng máy tính đã đem lại rất nhiều lợi
ích cho con người trong việc trao đổi thông tin với nhau.
Hình 1.2 - Thiết bị Modem dùng để kết nối mạng Internet
1.2.3.1 Ứng dụng của mạng máy tính
Trước khi có mạng, trong các tổ chức, mỗi nơi đều phải có chỗ lưu trữ dữ
liệu riêng, các thông tin trong nội bộ sẽ khó được cập nhật kịp thời; một ứng
dụng ở nơi này không thể chia sẻ cho nơi khác. Với một hệ thống mạng giờ
đây người ta có thể:
1. Chia sẻ các tài nguyên: các ứng dụng, kho dữ liệu và các tài nguyên
khác như sức mạnh của các CPU được dùng chung và chia sẻ thì cả hệ
thống máy tính sẽ làm việc hữu hiệu hơn.
31
2. Thông tin được cập nhật theo thời gian thực, do đó chính xác và kịp
thời hơn. Một khi có một hay vài máy tính bị hỏng thì các máy còn lại
vẫn có khả năng hoạt động nên không gây ra ách tắc.
3. Tiết kiệm: thông qua kỹ thuật mạng người ta có thể tận dụng khả năng
của hệ thống, chuyên môn hoá các máy tính, và do đó phục vụ đa dạng
hoá hơn. Ví dụ: Hệ thống mạng có thể cung cấp dịch vụ suốt ngày và
nhiều nơi có thể dùng cùng một chương trình ứng dụng, chia nhau cùng
một cơ sở dữ liệu và các thiết bị như máy in, máy fax…, do dó tiết
kiệm được rất nhiều chi phí.
4. Mạng máy tính còn là một phương tiện thông tin mạnh và hữu hiệu
giữa các cộng sự trong tổ chức.
5. Ngoài ra, với sự tiến bộ không ngừng của CNTT, các ứng dụng quan
trọng hiện tại qua mạng được các tổ chức sử dụng như là: trang web
của tổ chức, thư điện tử, hội nghị truyền hình (video conference), điện
thoại Internet, giao dịch và lớp học ảo (e-learning hay virtual class),
dịch vụ tìm kiếm thông tin qua mạng… đã góp phần tăng hiệu quả hoạt
động của các tổ chức này mà không mất quá nhiều công sức, thời gian
và tiền bạc như trước đây.
Hình 1.3 - Mô tả về mạng máy tính
32
1.2.3.2 Mạng nội bộ và mạng diện rộng
Người ta thường phân loại mạng máy tính theo phân vùng địa lý mà nó
được thiết kế và xây dựng. Hai phân vùng địa lý chính là LAN (Local Area
Network) và WAN (Wide Area Network).
Mạng nội bộ (LAN): là những mạng nhỏ, giới hạn trong một khu vực,
trong một phòng hay trong một tòa nhà, phạm vi hoạt động từ vài mét cho đến
1 km. Thường dùng kỹ thuật đơn giản chỉ có một đường dây cáp để nối các
máy tính với nhau, thường có tốc độ kết nối rất cao với vận tốc truyền dữ liệu
thông thường là 10 Mbps, 100 Mbps, 1 Gbps và gần đây là 10 Gbps. Có hai
hình thức quản lý mạng nội bộ: quản lý tập trung có máy chủ phục vụ
(Client-Server) hay còn gọi là mạng Domain và mạng ngang hàng (Peer-to-
peer) hay còn gọi là mạng Workgroup.
Đối với mạng ngang hàng thì mỗi máy tính và người dùng là một chủ thể
mạng, tự quản lý và chia sẻ các tài nguyên mạng của mình. Khi có bất kỳ một
thay đổi nào thì việc cấu hình lại cần được thực hiện trên từng máy tính.
Trong khi đó, mạng quản lý tập trung có máy chủ phục vụ thì cần một máy
chủ có bộ xử lý mạnh sẽ được dành riêng làm thiết bị quản lý. Các máy tính
con sẽ phải đăng nhập và chịu sự quản lý của máy chủ này, vì thế khi cần thay
đổi một cấu hình hay chia sẻ lại nguồn tài nguyên nào đó cho toàn bộ hệ
thống mạng, người quản trị mạng chỉ cần thực hiện trên máy chủ mà thôi.
Mạng diện rộng (WAN): được dùng trong trường hợp cần kết nối với các
điểm địa lý cách xa nhau, phạm vi vài trăm cho đến vài ngàn km, như giữa chi
nhánh và trụ sở chính công ty, giữa các nước với nhau...Tùy loại thiết bị
truyền dẫn mà tốc độ kết nối đạt được trong mạng WAN sẽ khác nhau. Cụ thể
hơn, kết nối giữa các máy tính trong gia đình là kết nối LAN, nhưng kết nối
giữa mạng gia đình và internet thông qua router ADSL là kết nối WAN.
33
1.2.3.3 Mạng có dây và mạng không dây
Mạng có dây: là kiểu kết nối mạng truyền thống. Ưu điểm của cách kết
nối này là độ ổn định cao, an toàn, giá thành các thiết bị kết nối rẻ. Tuy nhiên,
cách kết nối sử dụng dây cũng có một số yếu điểm là khó khăn trong việc lắp
đặt, thường gây ảnh hưởng đến kiến trúc nội thất của ngôi nhà. Người sử
dụng bị buộc phải ngồi tại các vị trí đã được lắp đặt các đầu cắm mạng, hoặc
phải sử dụng thêm các dây nối phụ rất vướng víu.
Mạng không dây: thường dùng cho máy xách tay, dù di chuyển từ phòng
này sang phòng khác vẫn có thể chia sẻ tập tin qua mạng nội bộ với mọi
người cũng như kết nối vào internet một cách liên tục và dễ dàng. Tuy nhiên,
hệ thống mạng không dây hiện nay vẫn còn một điểm yếu lớn là tính bảo mật
rất kém, dễ bị tấn công và xâm nhập. Ngoài ra, kết nối không dây cũng hoạt
động không ổn định dưới các tác động của môi trường.
1.3 CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN
HỌC
Hoạt động kiểm soát trong môi trường tin học có thể được chia làm ba
hoạt động kiểm soát bao gồm hoạt động kiểm soát chung, hoạt động kiểm
soát ứng dụng và hoạt động kiểm soát dữ liệu. Các hoạt động kiểm soát cần
phải được ban hành thông qua một chính sách cụ thể bởi ban giám đốc. Cụ
thể là, hoạt động kiểm soát chung được áp dụng cho việc kiểm soát tất cả các
phần hành trong môi trường tin học. Trong khi hoạt động kiểm soát ứng dụng
và hoạt động kiểm soát dữ liệu thì chỉ liên quan đến từng phần hành trong mỗi
ứng dụng cụ thể, chúng có thể bao gồm các hoạt động kiểm soát được thiết kế
sẵn trên các phần mềm ứng dụng và các hoạt động kiểm soát khác do con
người thực hiện.
34
1.3.1 Hoạt động kiểm soát chung
Hoạt động kiểm soát chung là các hoạt động kiểm soát liên quan đến toàn
bộ hệ thống máy tính và cả những con người tham gia vào việc vận hành hệ
thống máy tính. Trong đó, các nhân viên trong toàn bộ tổ chức phải hiểu rõ lợi
ích có được từ các hoạt động khi thực hiện chúng và phải nghiêm túc thực
hiện, đồng thời phải có cơ chế giám sát chặt chẽ các hoạt động này bởi các bộ
phận chuyên trách và nếu có ai đó vi phạm những quy định sẽ bị xử lý thích
đáng. Các hoạt động kiểm soát chung bao gồm:
Hoạt động kiểm soát vật chất
Hoạt động này đòi hỏi các thiết bị máy tính, đặc biệt là máy chủ chứa dữ
liệu cùng các tài nguyên khác của doanh nghiệp như hệ thống trang Web, hệ
thống thư điện tử và các tài nguyên khác phải được bảo quản an toàn tối đa.
Trong đó, máy chủ phải được bảo quản ở một nơi riêng biệt có các thiết bị hỗ
trợ nhằm tránh sự tiếp cận bất hợp pháp của các đối tượng không được phép,
hạn chế tối đa rủi ro do hoả hoạn và các tác động gây hại của môi trường
xung quanh.
Hoạt động kiểm soát vận hành máy tính
Hoạt động này đòi hỏi tất cả các thành viên trong doanh nghiệp phải nắm
rõ cách thức vận hành các thiết bị máy tính và phần mềm ứng dụng liên quan
thông qua các khoá huấn luyện nội bộ được tổ chức định kỳ bởi đội ngũ
chuyên viên của doanh nghiệp hoặc nhà cung cấp. Đồng thời, cần có tài liệu
mô tả chi tiết cách sử dụng các thiết bị máy tính và phần mềm ứng dụng để
vận hành chúng sao cho đạt hiệu suất và hiệu quả cao nhất. Bên cạnh đó, cũng
cần có những tài liệu hướng dẫn cách khắc phục một số sự cố hay lỗi thường
gặp để người sử dụng có thể nhanh chóng tự xử lý nhằm đảm bảo cho hệ
thống được vận hành liên tục.
35
Hoạt động kiểm soát yêu cầu thay đổi các thiết lập hệ thống và chương
trình ứng dụng cũng cần có cơ chế kiểm soát chặt chẽ các yêu cầu thay đổi
thông qua các tài liệu đặc tả về yêu cầu theo mẫu chuẩn và được sự phê chuẩn
của những người có trách nhiệm để đảm bảo các yêu cầu này là chính đáng và
có thực. Ngoài ra, cũng cần chú ý đến việc phải vận hành thử nghiệm các thay
đổi để kiểm tra tính đúng đắn của chúng trước khi đưa vào áp dụng chính
thức. Thêm vào đó, cần phải ghi nhận lại đầy đủ mọi thay đổi này thành tài
liệu để lưu trữ, trong đó nêu rõ mục đích của sự thay đổi. Điều này có tác
dụng giúp cho việc đối chiếu và kiểm chứng được dễ dàng khi có nhu cầu.
1.3.2 Hoạt động kiểm soát ứng dụng
Các hoạt động kiểm soát ứng dụng liên quan đến từng ứng dụng cụ thể và
được lập trình sẵn bởi nhà sản xuất phần mềm. Chúng giúp cho việc ghi nhận
thông tin, xử lý thông tin được chính xác và đầy đủ nhằm mục tiêu cung cấp
thông tin có độ tin cậy cao cho người sử dụng. Nhìn chung, các hoạt động
kiểm soát ứng dụng có thể chia thành ba loại sau đây:
Kiểm soát dữ liệu đầu vào
Kiểm soát dữ liệu đầu vào bao gồm kiểm soát nguồn dữ liệu và kiểm soát
nhập liệu nhằm đảm bảo tính chính xác của dữ liệu được ghi nhận vào hệ
thống. Các phần mềm ứng dụng thường được lập trình với những tính năng
phục vụ cho việc kiểm tra tính xác thực của dữ liệu được ghi nhận, được thể
hiện qua những tính năng sau:
Kiểm tra tính trùng lắp: không thể trùng lắp về số chứng từ của hai
nghiệp vụ cùng loại trong một cơ sở dữ liệu, ví dụ như không thể tồn tại hai
phiếu chi có cùng số chứng từ. Hay không thể tồn tại song song hai khách
hàng có cùng mã số quản lý.
36
Kiểm tra tính bắt buộc: những thông tin quan trọng của nghiệp vụ bắt
buộc phải được ghi nhận mà không thể bỏ qua như số chứng từ, ngày chứng
từ, tài khoản…
Kiểm tra tính hiện hữu: nghiệp vụ sẽ bị từ chối ghi nhận nếu không đảm
bảo được tính hiện hữu, chẳng hạn khi làm nghiệp vụ bán hàng, nếu thông tin
về một khách hàng nào đó chưa có tồn tại trong danh mục khách hàng thì
nhân viên nhập liệu không thể thực hiện được việc ghi nhận và nghiệp vụ bán
hàng dĩ nhiên bị từ chối cho đến khi thông tin khách hàng này được bổ sung
vào danh mục theo yêu cầu của chương trình.
Kiểm tra tính thích hợp: các nghiệp vụ được ghi nhận phải đảm bảo tính
thích hợp tức là thông tin được ghi nhận phải tuân theo quy tắc, quy ước
ngầm định cho trước; chẳng hạn không thể nhập ký tự chữ vào trường thông
tin được ngầm định là con số.
Kiểm tra tính hợp lý: những thông tin không hợp lý cần phải được kiểm
tra và thông báo cho người sử dụng biết như số dư đầu kỳ của tài khoản thể
hiện dưới dạng số âm, số dư cuối kỳ của tài khoản tiền có số dư bên Có…
Kiểm tra số liệu tính toán: dữ liệu nhập vào được kiểm tra tính chính xác
của số liệu, ví dụ trường thông tin số tiền hạch toán luôn luôn bằng trường số
tiền nguyên tệ gốc nhân cho tỷ giá quy đổi; hay trường thành tiền bán luôn
bằng trường số lượng nhân cho trường đơn giá bán…
Kiểm tra tính cân đối: các nghiệp vụ được ghi nhận sẽ được phần mềm
kiểm tra tính cân đối về mặt định khoản. Nếu bút toán ghi nhận không cân đối
giữa tổng Nợ và tổng Có sẽ bị từ chối ghi nhận.
Kiểm soát quy trình xử lý dữ liệu
Quy trình xử lý dữ liệu trên phần mềm cũng là một khâu không kém phần
quan trọng. Sau khi dữ liệu đầu vào được hệ thống chấp nhận, bước tiếp theo
là chúng cần được xử lý và tiến trình xử lý này cần phải được kiểm soát nhằm
37
đảm bảo độ tin cậy và tính chính xác của các hoạt động xử lý. Những hoạt
động kiểm soát tiến trình xử lý đòi hỏi:
§ Mọi dữ liệu đã ghi nhận và được hệ thống chấp nhận đều phải được xử
lý chính xác và đầy đủ.
§ Tất cả các tiến trình xử lý đều phải được thực hiện đầy đủ và hoàn tất.
§ Dữ liệu được ghi nhận phải được cập nhật chính xác vào các tập tin và
cơ sở dữ liệu thích hợp
Có thể thấy rằng, các tiến trình kiểm soát xử lý dữ liệu cũng được thực
hiện như phần kiểm soát dữ liệu đầu vào. Mặc dù vậy, cũng phải chú ý rằng
những sai sót cũng thường hay xảy ra trong quá trình xử lý dữ liệu. Những sai
sót này có thể bắt nguồn từ:
Sai sót do chương trình: khi chương trình đã được thử nghiệm và đưa vào
sử dụng, sau đó có điều chỉnh bổ sung hay cập nhật chương trình mới nhưng
không được thử nghiệm lại hoặc có thử nghiệm nhưng chưa lường hết các khả
năng đã dẫn đến những sai sót. Ngoài ra các sai sót có thể đã không xảy ra
trong khi vận hành thử nghiệm nhưng lại xuất hiện sai sót khi đưa vào ứng
dụng thực tế.
Sai sót do vận hành:
§ Truy xuất thông tin trên báo cáo bị sai về mặt thời gian, thay vì phải
thao tác chọn cả tháng thì chỉ thao tác chọn một ngày nên cho kết quả
sai.
§ Thiết bị máy tính bị sự cố như máy đang cập nhật dữ liệu vào sổ cái để
lên báo cáo thì bị treo máy đột ngột làm cho quá trình xử lý này chưa
hoàn tất dẫn đến số liệu được cập nhật không đầy đủ hoặc dữ liệu bị lỗi
dẫn đến cho kết quả sai. Trong trường hợp này cần phải có động tác xử
lý lại để đảm bảo cho quá trình xử lý được trọn vẹn để cung cấp thông
tin chính xác.
38
§ Thao tác cập nhật nâng cấp thực hiện không đồng bộ giữa chương trình
và dữ liệu đã dẫn đến có sự không tương thích giữa chúng gây ra những
lỗi gây dừng hệ thống. Hoặc việc nâng cấp không có tài liệu giải thích
đầy đủ cho người sử dụng dẫn đến vận hành sai mục đích.
Kiểm soát kết quả thông tin đầu ra
Quá trình kiểm soát kết quả thông tin đầu ra cần phải được thực hiện sau
cùng nhằm đảm bảo tính đáng tin cậy của các nghiệp vụ đã ghi nhận và đã
được hệ thống xử lý. Quá trình kiểm soát này có thể bao gồm:
Kiểm soát thông qua chứng từ: cần đối chiếu, kiểm tra báo cáo được in ra
từ chương trình với các chứng từ gốc đã ghi nhận. Chẳng hạn, cần phân công
cho nhân viên kiểm tra lại báo cáo bán hàng với các hoá đơn gốc.
Kiểm soát dữ liệu lưu trữ: dữ liệu lưu trữ cũng cần phải được kiểm soát
nhằm đảm bảo:
§ Việc truy cập vào dữ liệu lưu trữ phải tuân theo đúng các nguyên tắc đã
định.
§ Các trường hợp xử lý để thay đổi dữ liệu lưu trữ phải tuân thủ nghiêm
ngặt các thủ tục đã định.
§ Việc tải dữ liệu vào hay ra khỏi hệ thống cũng phải tuân thủ đúng các
thủ tục và thường xuyên được giám sát nhằm ngăn chặn việc phá hoại
dữ liệu.
1.3.3 Hoạt động kiểm soát dữ liệu
Dữ liệu được ghi nhận trong hệ thống máy tính được lưu trữ dưới dạng
các tập tin và hệ quản trị cơ sở dữ liệu. Hơn nữa, dữ liệu được xem là đầu ra
của hệ thống máy tính, nó là thứ mà con người quan tâm sau một quá trình ghi
nhận và xử lý. Do đó, cần phải tổ chức các hoạt động kiểm soát thích hợp
thông qua các thủ tục kiểm soát chặt chẽ để đảm bảo cho dữ liệu được toàn
39
vẹn và luôn ở tư thế sẵn sàng cho việc sử dụng. Các hoạt động kiểm soát dữ
liệu có thể bao gồm:
Kiểm soát hệ thống máy chủ chứa dữ liệu
Đối với máy chủ chứa dữ liệu cần phải được kiểm tra về cấu hình, thường
xuyên kiểm tra ổ cứng để duy trì đủ bộ nhớ nhằm đáp ứng cho việc lưu trữ dữ
liệu. Máy chủ cần phải được trang bị bộ lưu điện để phục vụ cho việc lưu trữ
dữ liệu được thực hiện liên tục. Đồng thời, máy chủ phải để ở nơi an toàn để
tránh sự tiếp cận không được phép và phải phòng chống được rủi ro từ nguồn
điện và tác động của môi trường xung quanh. Bên cạnh đó, máy chủ cần trang
bị thêm ổ cứng phụ để có thể lưu trữ song hành hoặc khi có sự cố hư hỏng là
có thể thay thế ngay tức khắc.
Kiểm soát việc lưu trữ dữ liệu
Ngoài việc lưu trữ dữ liệu trên ổ cứng của máy chủ, cũng cần có những
lưu trữ đồng thời ở những thiết bị khác như USB, đĩa CD, đĩa DVD… để đề
phòng bất trắc xảy ra. Thêm vào đó, cũng cần thực hiện kiểm tra định kỳ hiệu
quả của việc sao lưu dữ liệu thông qua cho thử nghiệm lại dữ liệu được lưu
trữ bằng cách chuyển dữ liệu từ trạng thái lưu trữ sang trạng thái sử dụng
chính thức để kiểm tra lại dữ liệu xem có còn vận hành được hay không.
Kiểm soát đường truyền dữ liệu
Việc lưu trữ dữ liệu còn phụ thuộc vào đường truyền dữ liệu; cho nên cần
phải kiểm tra thường xuyên đường truyền để đảm bảo đường truyền dữ liệu
luôn ổn định, không bị nghẽn mạch giúp cho việc lưu trữ dữ liệu được diễn ra
suôn sẻ.
40
Kiểm soát truy cập dữ liệu
Dữ liệu được lưu trữ phải được giao cho bộ phận chuyên trách theo dõi và
quản lý. Bộ phận này cần phải có những biện pháp kiểm soát hữu hiệu để
ngăn cản các hành vi không được phép như đánh cắp dữ liệu, thay đổi dữ liệu
hay huỷ hoại số liệu.
1.4 ẢNH HƯỞNG CỦA HỆ THỐNG MÁY TÍNH ĐẾN VIỆC THIẾT
KẾ CÁC HOẠT ĐỘNG KIỂM SOÁT
Như vậy, việc ứng dụng CNTT với các thành phần kể trên của hệ thống
máy tính vào trong công tác xử lý nghiệp vụ kinh tế của các doanh nghiệp đã
làm gia tăng độ tin cậy của thông tin được cung cấp, tiết kiệm thời gian, công
sức của con người và hạn chế phần nào những sai sót trong tính toán mà hệ
thống xử lý thủ công gặp phải. Sự kết hợp trong xử lý thông tin giữa phần
cứng và phần mềm của hệ thống máy tính đã mang lại những kết quả đáng ghi
nhận.
Tuy nhiên, không phải vì thế mà độ chính xác của thông tin do hệ thống
máy tính đưa ra lúc nào cũng tuyệt đối bởi hệ thống máy tính được cấu tạo rất
phức tạp và có rất nhiều những đặc điểm riêng có của nó. Những đặc điểm
này có ảnh hưởng rõ rệt và chi phối đến hệ thống kiểm soát nội bộ trong
doanh nghiệp. Điều này góp phần làm cho hoạt động kiểm soát trong môi
trường tin học có những đặc điểm khác so với hoạt động kiểm soát trong môi
trường thủ công truyền thống. Dưới đây là những đặc điểm của hoạt động
kiểm soát trong môi trường tin học.
41
1.4.1 Đặc điểm của hoạt động kiểm soát trong môi trường tin học
1.4.1.1 Chịu ảnh hưởng bởi phương pháp xử lý dữ liệu của hệ thống
máy tính
Có thể dễ nhận ra rằng quy trình xử lý dữ liệu được xem là khâu quan
trọng nhất trong ba khâu của hệ thống thông tin quản lý (ghi nhận dữ liệu đầu
vào, xử lý dữ liệu và cung cấp thông tin đầu ra). Hiện nay hầu như các phần
mềm ứng dụng đều xử lý dữ liệu theo một trong hai cách hoặc cả hai cách đó
là xử lý theo lô và xử lý trực tuyến. Cách xử lý theo lô thường bắt gặp hầu hết
ở các phần mềm nước ngoài như phần mềm AX-ERP của Microsoft…, còn
riêng ở Việt Nam thì có phần mềm kế toán AccNet của công ty cổ phần tin
học Lạc Việt. Trong khi cách xử lý trực tuyến thì bắt gặp hầu hết ở các phần
mềm kế toán Việt Nam còn lại.
Xử lý theo lô là những nghiệp vụ cùng loại, cùng tính chất sau khi ghi
nhận được tập hợp vào cùng một nhóm riêng biệt gọi là lô rồi sau đó mới
được xử lý định kỳ (vào cuối ngày, cuối tuần, cuối tháng…) theo trình tự để
lên các sổ sách và báo cáo liên quan. Chẳng hạn, các nghiệp vụ bán hàng
được kế toán ghi nhận theo trình tự thời gian trong một ngày, thông tin về bán
hàng được lưu trữ vào lô nghiệp vụ bán hàng trên tập tin dữ liệu trong bộ nhớ
của máy tính. Khi này, nếu lô nghiệp vụ bán hàng chưa được xử lý thì kế toán
vẫn có thể chỉnh sửa, xoá hoặc thêm nghiệp vụ vào trong lô. Tuy nhiên, vào
cuối ngày nếu lô nghiệp vụ bán hàng được xử lý (các nghiệp vụ bán hàng đã
tập hợp sẽ được xử lý hàng loạt cùng một lúc) thì sẽ cho ra kết quả là một số
báo cáo liên quan như báo cáo bán hàng, sổ chi tiết công nợ phải thu… và khi
này lô nghiệp vụ bán hàng sẽ bị khoá lại không cho kế toán can thiệp vào
nghiệp vụ như trước khi lô chưa được xử lý. Theo phương pháp này thì có ưu
điểm là số liệu ít nhiều được kiểm tra trước khi xử lý nhưng lại có nhược
42
điểm là sẽ không cung cấp thông tin kịp thời tại từng thời điểm mà nghiệp vụ
được ghi nhận.
Xử lý trực tuyến thì ngược lại với xử lý theo lô là nó khắc phục nhược
điểm của phương pháp xử lý theo lô, tức từng nghiệp vụ sau khi được ghi
nhận sẽ được xử lý ngay làm cho số liệu được cập nhật tức thời giúp cho việc
cung cấp thông tin được nhanh chóng và kịp thời ngay tại thời điểm mà
nghiệp vụ được ghi nhận. Tuy nhiên, nhược điểm của xử lý trực tuyến là tính
đúng đắn của nghiệp vụ được ghi nhận không được bảo đảm do chưa được
kiểm tra. Điều này cũng ảnh hưởng đến hoạt động kiểm soát khi các phần
mềm ứng dụng chọn cách này để xử lý. Do đó, khi thiết kế hoạt động kiểm
soát cần chú ý đến kiểu xử lý này.
1.4.1.2 Chịu ảnh hưởng và phụ thuộc về mặt công nghệ lưu trữ dữ liệu
Có thể thấy là, trước khi có các hệ quản trị dữ liệu ra đời, các phần mềm
ứng dụng thường tổ chức lưu trữ dữ liệu thành từng tập tin riêng biệt như tập
tin bán hàng lưu trữ các nghiệp vụ bán hàng, tập tin phiếu thu lưu trữ các
nghiệp vụ thu tiền… đã làm cho việc quản lý dữ liệu trở nên khó khăn do sự
rời rạc của các tập tin. Hơn nữa là, với phương pháp lưu trữ dữ liệu như thế
này còn làm cho việc ghi nhận thông tin và lưu trữ dữ liệu bị trùng lắp hoặc
khi cập nhật phải thực hiện đồng bộ trên mọi tập tin vì nếu không sẽ dẫn đến
không thống nhất về mặt dữ liệu. Kiểu lưu trữ này thường thấy ở phần mềm
ứng dụng được xây dựng trên Foxpro trước đây. Ngoài ra, có thể kể thêm là
chương trình điều khiển các thao tác trên phần mềm ứng dụng và dữ liệu lưu
trữ được tổ chức trên cùng tập tin dẫn đến xảy ra rủi ro là khi có sự cố xảy ra
có thể dẫn đến cả tập tin bao gồm chương trình điều khiển lẫn dữ liệu bị hư
hỏng theo.
Kể từ khi hệ quản trị cơ sở dữ liệu ra đời đã hạn chế được những nhược
điểm như vừa kể trên. Cơ sở dữ liệu của các phần mềm ứng dụng được xây
43
dựng trên một hệ quản trị cơ sở dữ liệu nào đó như Microsoft Access,
Microsoft SQL Server, Oracle… đã giúp cho việc tổ chức quản trị dữ liệu
được an toàn và thuận tiện hơn. Từ đây, các dữ liệu của các phần mềm ứng
dụng đã được lưu trữ trong một hệ thống cơ sở dữ liệu chung. Những tập tin
dữ liệu riêng biệt giờ đây đã được thay thế bằng tập tin dữ liệu liên kết trong
một thể thống nhất thông qua phần mềm quản trị cơ sở dữ liệu.
Tuy nhiên cũng cần phải nói rõ hơn rằng, đối với một số phần mềm ứng
dụng tổ chức lưu trữ dữ liệu trên nền Microsoft Access vẫn phải đối mặt với
một số hạn chế và rủi ro. Chẳng hạn, việc điều khiển truy xuất thông tin qua
hệ thống mạng nội bộ còn nhiều hạn chế như khi số người dùng thao tác trên
dữ liệu nhiều sẽ gây chậm cho việc truy xuất dữ liệu, thậm chí khi một máy
trạm bị treo hay khi bị sự cố mất điện đột ngột sẽ có thể làm cho tập tin dữ
liệu của phần mềm ứng dụng bị hư hỏng không thể sửa chữa được.
Ngoài ra, để cho nhiều người có thể sử dụng chung dữ liệu thì tập tin dữ
liệu tổ chức trên nền Microsoft Access phải cài đặt ở chế độ share (chia sẻ) do
cơ sở dữ liệu được tập trung vào trong một tập tin vật lý và điều này dẫn đến
tập tin dữ liệu bị nhiều người nhìn thấy, thậm chí đánh cắp dữ liệu hoặc xoá
mất dữ liệu.
Trong khi đó, những năm gần đây và ngay cả hiện tại thì hệ quản trị cơ sở
dữ liệu Microsoft SQL Server, Oracle… mà đặc biệt là Microsoft SQL Server
được rất nhiều nhà sản xuất phần mềm ứng dụng trên thế giới cũng như ở Việt
Nam tin dùng do có những ưu điểm vượt trội. Cụ thể là; tập tin dữ liệu vật lý
không cần share (chia sẻ) nên không thể nhìn thấy và ngay cả nếu có thấy
cũng không thể sao chép hay xoá tập tin dữ liệu; cơ sở dữ liệu được thiết kế
bảo mật thông qua tên và mật khẩu truy cập, được thiết kế theo cơ chế đa cấp
đa lớp cho phép không gây xung đột khi có nhiều người dùng cùng thao tác;
có cơ chế sao lưu dữ liệu tự động theo lịch cài đặt; có khả năng tự phục hồi và
44
sửa chữa dữ liệu khi máy bị treo hay bị mất điện đột ngột; tập tin dữ liệu rất
hiếm khi bị hỏng hóc…
Từ những điểm liên quan đến công nghệ lưu trữ dữ liệu cho thấy các
doanh nghiệp khi sử dụng phần mềm ứng dụng vào trong hoạt động của mình
cần chú ý đến những đặc điểm trên để lựa chọn cho mình một sản phẩm tốt để
tăng cường khả năng kiểm soát và quản trị dữ liệu cho tổ chức của mình.
1.4.1.3 Chịu sự chi phối của phần cứng máy tính
Như chúng ta đã biết, để phần mềm ứng dụng có thể vận hành được cần
phải có phần cứng và các trang thiết bị phù hợp. Cho nên trước khi trang bị
phần mềm ứng dụng, các doanh nghiệp cần phải tìm hiểu kỹ mức độ đòi hỏi
về cấu hình phần cứng máy tính để đảm bảo tính tương thích giữa phần cứng
và phần mềm nhằm tránh những xung đột hay những rủi ro có thể xảy ra.
Chẳng hạn, phần mềm chạy rất chậm khi chỉ có vài người truy cập và càng
chậm hơn khi số lượng người truy cập tăng lên làm cho việc ghi nhận, xử lý
cũng như cung cấp thông tin không kịp thời hay thậm chí do ảnh hưởng của
phần cứng làm cho phần mềm xử lý không chính xác dẫn đến thông tin cung
cấp cho người sử dụng bị sai lệch.
1.4.1.4 Chịu ảnh hưởng của hạ tầng mạng
Sự ra đời của hệ thống mạng đã mang lại những lợi ích to lớn cho những
người sử dụng máy tính. Những tài nguyên trên mạng được chia sẻ, nhờ đó
giúp tiết kiệm chi phí cho tổ chức. Ngoài những tài nguyên có thể dùng chung
trên mạng như máy in, ổ cứng của máy tính, các tập tin dữ liệu… thì hệ thống
mạng còn là nơi trao đổi thông tin cực kỳ nhanh chóng và tiện lợi. Những tài
liệu dùng chung cho tổ chức có thể để tại một nơi nào đó trên máy chủ để khi
cần tham khảo là mọi người có thể tham chiếu đến một cách nhanh chóng và
dễ dàng.
45
Bên cạnh đó, khi cần thông báo hay trao đổi thông tin giữa các thành viên
trong tổ chức thì hệ thống thư điện tử là công cụ truyền tin cực kỳ nhanh
chóng. Chẳng hạn khi giám đốc doanh nghiệp cần ban hành một quyết định
nào đó thì sau khi soạn xong nội dung trên tập tin thì ngay lập tức trong vòng
chưa đầy một phút là đã đến được tay mọi người trong toàn doanh nghiệp và
mọi người có thể đọc ngay thông tin trên mạng mà chẳng cần phải in ra. Kế
đến việc đàm phán, ký kết hợp đồng giữa các bên cũng có thể dùng thư điện
tử mà chẳng cần gặp nhau giúp tiết kiệm thời gian.
Hơn thế nữa, với chức năng hội nghị truyền hình qua mạng cũng giúp cho
các doanh nghiệp có nhiều chi nhánh cũng có thể tổ chức hội họp mà không
cần thiết gặp nhau. Và cuối cùng là thông qua việc tổ chức thông tin trên các
trang Web cũng như trao đổi thông tin bằng công cụ thư điện tử đã giúp cho
các doanh nghiệp dễ dàng trao đổi mua bán trên mạng cực kỳ hiệu quả với chi
phí cũng cực kỳ rẻ. Như vậy, với sự chia sẻ thông tin trên mạng thì việc lưu
trữ dữ liệu có thể thực hiện trên nhiều thiết bị lưu trữ khác nhau hay cùng một
lúc nhiều người có thể thao tác trên cùng một dữ liệu đã giúp cho việc tổ chức
thông tin trong môi trường tin học được trở nên dễ dàng hơn, từ đó tăng năng
suất lao động và đạt hiệu quả lao động cao hơn.
Tuy nhiên, bên cạnh những ưu điểm đó thì hệ thống mạng ngày càng phải
đối mặt với nhiều rủi ro ngày càng gia tăng do hệ thống mạng không chỉ kết
nối trong nội bộ của một tổ chức mà còn nối kết với bên ngoài. Hơn nữa, với
sự gia tăng không ngừng về số lượng người dùng và điều này làm cho việc
kiểm soát người dùng bên trong lẫn bên ngoài trở nên cực kỳ khó khăn. Và
nếu như việc kiểm soát những đối tượng người dùng này không tốt sẽ làm cho
mức độ tin cậy của thông tin trong toàn bộ hệ thống bị suy giảm đáng kể do
sự can thiệp của những kẻ phá hoại khi chúng tham gia vào hệ thống mạng.
Ngoài ra cũng phải kể đến việc xử lý dữ liệu trên mạng còn phụ thuộc vào các
46
thiết bị điều khiển mạng như card mạng, dây mạng, thiết bị kết nối trong
mạng nội bộ (hub), thiết bị kết nối mạng ra bên ngoài (modem, router)… nên
nếu các thiết bị này không đủ tiêu chuẩn kỹ thuật theo yêu cầu sẽ làm cho khả
năng truyền thông tin bị suy giảm thậm chí gây sai lệch về thông tin được
cung cấp.
Hình 1.4 - Thiết bị Hub dùng để kết nối nhiều máy tính với nhau
1.4.1.5 Chịu sự phụ thuộc vào hệ thống điện
Khác với hệ thống thông tin được xử lý tay, đối với hệ thống thông tin
được xử lý bằng máy tính lại phải chịu sự phụ thuộc rất nhiều vào hệ thống
điện cung cấp. Do đó, khi điện bị mất sẽ làm cho máy tính không thể hoạt
động, kéo theo việc xử lý thông tin bằng máy tính trở nên thừa thãi. Vì vậy
khi tổ chức xử lý thông tin bằng máy tính, các tổ chức cũng cần có những
biện pháp dự phòng để đối phó với những tình huống này, chẳng hạn như khi
mất điện phòng kế toán cần phải quay lại hệ thống xử lý tay truyền thống để
ghi nhận các nghiệp vụ kinh tế phát sinh thay cho phần mềm kế toán ngay lập
tức để không làm gián đoạn các hoạt động tại doanh nghiệp và khi nào nguồn
điện được khôi phục sẽ tiến hành ghi nhận lại các nghiệp vụ này vào phần
mềm.
47
1.4.1.6 Chịu sự chi phối và phụ thuộc nhiều vào cơ chế kiểm soát của
phần mềm ứng dụng
Việc sử dụng phần mềm kế toán vào trong công tác kế toán tại các doanh
nghiệp hiện nay cũng cần phải được quan tâm đúng mức. Bởi lẽ có một thực
tế là hiện nay thì chỉ có một số ít các phần mềm kế toán được sản xuất theo
dạng may đo, còn lại đa số đều là sản phẩm đóng gói nên chúng được thiết kế
theo chuẩn của nhà sản xuất phần mềm. Với sự ra đời của chứng từ điện tử, sổ
sách và báo cáo điện tử do phương pháp kế toán máy cung cấp đã thay thế
cho chứng từ, sổ sách và báo cáo giấy được lập theo phương pháp thủ công
truyền thống đã cho thấy một số điểm khác biệt đáng kể giữa hai phương
pháp này.
Điểm khác biệt cơ bản nhất là trình tự ghi chép, chuyển sổ và lập báo cáo
bằng phương pháp kế toán máy không còn được thực hiện tuần tự như
phương pháp thủ công nữa mà chúng được thực hiện đồng thời cùng một lúc.
Kế đến các thủ tục kiểm soát được thiết kế trên phần mềm cũng khác nhiều so
với các thủ tục kiểm soát đã thiết kế trong môi trường thủ công làm cho các
doanh nghiệp phải sửa đổi lại các thủ tục này cho phù hợp, thậm chí phải
miễn cưỡng thay đổi lại theo sự áp đặt không mấy chặt chẽ của phần mềm.
Dưới đây là sự đề cập đến những vấn đề có ảnh hưởng đến việc thiết kế và
thực hiện các thủ tục kiểm soát thường thấy ở các phần mềm ứng dụng:
§ Các nghiệp vụ cùng loại, cùng tính chất thường được phần mềm xử lý
hàng loạt theo cùng một phương pháp nên dẫn đến nếu có một khiếm
khuyết nào đó trong việc phân tích, thiết kế hay lập trình phần mềm sẽ
làm cho các nghiệp vụ này bị xử lý sai hàng loạt giống nhau.
§ Vì tính tiện lợi và tự động hoá phục vụ cho mục đích sử dụng mà phần
lớn các phần mềm thiết kế việc kiêm nhiệm, tức nhiều thủ tục kiểm soát
được tập trung cho một người làm cho việc phân công, phân nhiệm rất
48
khó thực hiện. Chẳng hạn như màn hình nhập liệu hoá đơn bán hàng
được thiết kế kiêm luôn phiếu xuất kho nên khi phân quyền cho kế toán
bán hàng và kế toán kho là điều rất khó. Điều này không cho phép thực
hiện trong hệ thống kế toán thủ công.
§ Việc xét duyệt và thực hiện nghiệp vụ được các phần mềm ngầm định
do các nghiệp vụ được thực hiện tự động. Điều này dẫn đến việc các
nhà quản lý đã ngầm định luôn sự phê duyệt tự động của mình trên
phần mềm khi chấp nhận thiết kế của phần mềm.
§ Khả năng xảy ra gian lận trên phần mềm cũng rất dễ xảy ra do việc truy
cập trái phép, đánh cắp hay sửa xoá thông tin đôi khi không để lại dấu
vết có thể thấy được bằng mắt thường. Khả năng xảy ra sai sót trên
phần mềm có thể rất cao do sai sót trong thiết kế phần mềm, do con
người vận hành phần mềm không đúng cách. Thêm vào đó; việc kiểm
tra, giám sát để phát hiện gian lận và sai sót cũng giảm đi đáng kể do có
sự cắt giảm nhân sự trong điều kiện sử dụng phần mềm.
§ Các phần mềm có ưu thế trong việc cung cấp các công cụ giám sát như
công cụ theo dõi dấu vết kiểm toán… đã giúp cải thiện cơ cấu kiểm
soát nội bộ tại đơn vị.
Nhìn chung, khi thiết kế kiểm soát nội bộ trong môi trường tin học cần
chú ý đến các đặc điểm trên bên cạnh tận dụng các ưu thế của phần cứng và
phần mềm để hạn chế bớt các rủi ro tiềm tàng có thể xảy ra.
1.4.2 Nhận diện các rủi ro tiềm ẩn đối với các hoạt động kiểm soát
trong môi trường tin học
Đối với tổ chức, việc nhận diện ra các rủi ro tiềm ẩn đối với hoạt động
kiểm soát trong môi trường tin học là việc làm hết sức cần thiết và vô cùng
quan trọng vì điều này giúp cho tổ chức chủ động trong việc thiết kế các thủ
tục kiểm soát hiệu quả để bảo vệ tài sản thông tin của mình. Từ những điểm
49
đã nêu về hệ thống máy tính và ảnh hưởng của chúng đối với hoạt động kiểm
soát trong môi trường tin học đã cho thấy bên cạnh những lợi ích có được vẫn
còn đó những rủi ro tiềm ẩn. Những rủi ro này xuất phát từ sự yếu kém của hệ
thống kiểm soát nội bộ do không được nhận thức đúng đắn và không được
đầu tư đầy đủ đã tạo ra rất nhiều lỗ hổng tạo thuận lợi cho những rủi ro tồn
tại. Cụ thể là, doanh nghiệp do không có một chính sách về bảo mật và an
toàn thông tin rõ ràng và cụ thể để ngăn cản hay hạn chế sự tiếp cận thông tin
trái phép từ những đối tượng bên trong cũng như bên ngoài tổ chức. Kế đến là
không có phương tiện để nhận diện ra sự tồn tại của những mối đe doạ và
cuối cùng là khi có sự cố xảy ra thì không có biện pháp thích hợp để khắc
phục. Những rủi ro tiềm ẩn có thể tóm lược như sau:
1.4.2.1 Những rủi ro xuất phát từ thiết bị phần cứng
Trong hệ thống máy tính, thiết bị phần cứng được xem là nền móng để
cho các phần mềm có thể vận hành được. Tuy nhiên, nếu phần cứng không
được đầu tư đúng mức sẽ làm cho phần mềm vận hành không hiệu quả như
phần mềm chạy chậm, phát sinh nhiều lỗi vu vơ, phần mềm hay bị treo không
đảm bảo được sự liên tục hay thậm chí phần mềm cho kết quả tính toán không
chính xác. Ngoài những thiết bị phần cứng phục vụ cho việc điều khiển
chung, hỗ trợ về tốc độ xử lý thì bộ nhớ lưu trữ thông tin ổ cứng là bộ phận
cực kỳ quan trọng. Nhờ ổ cứng mà các thông tin được lưu trữ từ ngày này qua
tháng nọ, từ năm này qua năm nọ với dung lượng cực kỳ lớn mà không một
loại giấy tờ nào có thể thực hiện được. Bên cạnh đó thì ổ cứng còn là nơi lưu
trữ thông tin cho hệ điều hành và các phần mềm ứng dụng. Nhưng bộ nhớ ổ
cứng cũng là thiết bị dễ bị hỏng hóc nhất vì những tác động bởi thời gian sử
dụng, môi trường và con người. Do đó, nếu tổ chức không duy trì biện pháp
phòng ngừa như thiết kế thêm các ổ cứng phụ chạy song hành hay các thiết bị
lưu trữ khác thì có thể phải trả giá đắt cho sự an toàn của dữ liệu.
50
1.4.2.2 Những rủi ro xuất phát từ sự vận hành của hệ thống mạng
Hệ thống mạng được xem là con đường huyết mạch về trao đổi thông tin
giữa những người dùng máy tính. Tuy nhiên, do cơ chế chia sẻ thông tin trên
mạng cho nhiều người cùng sử dụng đã tạo điều kiện cho sự xâm nhập bất
hợp pháp hay phá hoại. Lợi dụng kẽ hở này mà nhiều người dùng vì lợi ích cá
nhân đã cố tình truy xuất những thông tin không được phép, sử dụng thông tin
sai mục đích hay vì mục đích phá hoại. Thêm vào đó, do phải phục vụ cho
nhiều người cùng sử dụng mà các phần mềm ứng dụng phải phụ thuộc vào sự
điều hành của hệ thống mạng. Điều này có nghĩa là tốc độ xử lý dữ liệu, tốc
độ truyền tin từ phần mềm khi chạy trên mạng bị gián đoạn, bị chậm lại hay
thậm chí kết quả thông tin truyền đi bị xử lý sai.
1.4.2.3 Những rủi ro xuất phát từ sự thiết kế của phần mềm ứng dụng
Việc thiết kế các thủ tục kiểm soát nội bộ trong tổ chức có sử dụng phần
mềm ứng dụng phụ thuộc nhiều vào các thiết kế có sẵn của phần mềm. Sự
phụ thuộc này được thể hiện qua một số thủ tục kiểm soát như phân quyền,
thủ tục kiểm soát nhập liệu thông tin đầu vào, thủ tục kiểm soát các tính toán
và xử lý số liệu. Do đó, nếu như phần mềm ứng dụng không có những thiết kế
phục vụ cho kiểm soát thì độ tin cậy của phần mềm sẽ không thực sự cao.
1.4.2.4 Những rủi ro xuất phát từ công việc lưu trữ dữ liệu
Dữ liệu được xem là tài sản quý giá của doanh nghiệp, do đó công tác lưu
trữ dữ liệu phải được xem trọng. Cụ thể, doanh nghiệp phải thực hiện sao lưu
dữ liệu thường xuyên trên nhiều thiết bị và định kỳ phải kiểm tra lại các dữ
liệu có được sao lưu đầy đủ không hay dữ liệu có còn vận hành được hay
không. Chính những biện pháp này giúp cho dữ liệu được vẹn toàn và là kế
hoạch tốt cho sự phục hồi dữ liệu nếu có sự cố xảy ra.
51
1.4.2.5 Những rủi ro xuất phát từ sự tác động bên ngoài và sự không
trung thực của con người
Ngoài những rủi ro chính ở trên thì nguyên nhân gây ra rủi ro còn do tác
động của môi trường như thiên tai, chiến tranh, khủng bố, hoả hoạn, nguồn
năng lượng, sự vận hành không đúng cách về phần cứng và phần mềm, và đặc
biệt là những đe doạ từ phía những con người không trung thực trong doanh
nghiệp.
Như vậy để có thể giảm thiểu những rủi ro, tăng cường độ tin cậy của
thông tin; doanh nghiệp cần phải có những quy định chặt chẽ về chính sách
bảo mật và an toàn thông tin. Trong đó, cần phải đặc biệt quan tâm đến các
hoạt động kiểm soát trong môi trường tin học.
52
Kết luận chương 1
Từ những tìm hiểu ở trên cho thấy, cấu tạo của hệ thống kiểm soát nội bộ
trong môi trường thủ công và cấu tạo của hệ thống kiểm soát nội bộ trong môi
trường tin học là như nhau. Chúng chỉ khác nhau ở chỗ là kiểm soát nội bộ
trong môi trường tin học được thực hiện với sự trợ giúp của máy tính và các
phần mềm ứng dụng. Trong khi, kiểm soát nội bộ trong môi trường thủ công
chủ yếu do con người tự thực hiện.
Như vậy, từ việc tìm hiểu các thành phần của hệ thống máy tính đã cho
thấy chúng có ảnh hưởng đáng kể đến việc thiết kế các thủ tục kiểm soát cho
từng hoạt động kiểm soát của một tổ chức. Điều này có nghĩa là các tổ chức
phải hiểu rõ đặc điểm của kiểm soát nội bộ trong môi trường tin học để có thể
xây dựng cho tổ chức của mình một hệ thống kiểm soát nội bộ phù hợp, có
thể thực thi hiệu quả nhằm cung cấp thông tin đáng tin cậy được xử lý bằng
máy tính. Bên cạnh đó, thông qua những tìm hiểu ở trên cũng giúp cho chúng
ta có cái nhìn khách quan để tìm hiểu về các hoạt động kiểm soát trên thực tế
tại các doanh nghiệp Việt Nam hiện nay.
53
CHƯƠNG 2
TÌM HIỂU THỰC TẾ VỀ CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG
MÔI TRƯỜNG TIN HỌC TẠI CÁC DOANH NGHIỆP VIỆT NAM
Việc tìm hiểu thực tế về các hoạt động kiểm soát trong môi trường tin học
được thực hiện thông qua tìm hiểu, quan sát trực tiếp và điều tra thông qua
bảng câu hỏi với các nội dung chính liên quan đến ba hoạt động kiểm soát bao
gồm: hoạt động kiểm soát chung, hoạt động kiểm soát ứng dụng và hoạt động
kiểm soát dữ liệu. Cuộc điều tra này được thực hiện tại hầu hết các doanh
nghiệp Việt Nam, liên doanh giữa Việt Nam với nước ngoài hoặc doanh
nghiệp có vốn đầu tư nước ngoài tại Việt Nam với cỡ mẫu chọn lọc bao gồm
30 doanh nghiệp đang đóng trên địa bàn TP.HCM, Bình Dương và Đồng Nai.
Trong đó bao gồm:
Quốc tịch doanh nghiệp:
§ Doanh nghiệp Việt Nam: 22; chiếm 73,33%
§ Doanh nghiệp liên doanh: 2; chiếm 6,67%
§ Doanh nghiệp Nhật Bản: 3; chiếm 10%
§ Doanh nghiệp Trung Quốc: 1; chiếm 3,33%
§ Doanh nghiệp Mỹ: 1; chiếm 3,33%
§ Doanh nghiệp Đài Loan: 1; chiếm 3,33%
Hình thức sở hữu vốn:
§ Cổ phần: 15 doanh nghiệp; chiếm 50%
§ 100% vốn nước ngoài: 4 doanh nghiệp; chiếm 13,33%
§ TNHH: 8 doanh nghiệp; chiếm 26,67%
§ Liên doanh: 2 doanh nghiệp; chiếm 6,67%
§ Vốn Nhà nước: 1 doanh nghiệp; chiếm 3,33%
Cơ cấu tổ chức:
54
§ Tất cả 15 doanh nghiệp cổ phần đều có ban kiểm soát
§ Có 1 doanh nghiệp Nhà nước có ban kiểm soát
§ 14 doanh nghiệp còn lại không có ban kiểm soát
Loại hình doanh nghiệp:
§ Sản xuất, thương mại: 15 doanh nghiệp; chiếm 50%
§ Thương mại: 7 doanh nghiệp; chiếm 23,34%
§ Dịch vụ: 4 doanh nghiệp; chiếm 13,33%
§ Thương mại, dịch vụ: 4 doanh nghiệp; chiếm 13,33%
Phụ lục 2.1 – Danh sách các doanh nghiệp được khảo sát Phụ lục 2.2 – Mẫu bảng câu hỏi khảo sát về các hoạt động kiểm soát trong môi trường tin học Phụ lục 2.3 – Danh sách các phần mềm kế toán tham khảo
Theo khảo sát cho thấy; mặc dù các công ty cổ phần đã có ban kiểm soát
nhưng nhiệm vụ chủ yếu của bộ phận này là tư vấn các hoạt động; giám sát và
đánh giá về các chính sách, định hướng chiến lược phát triển; kiểm tra và soát
xét về báo cáo tài chính. Nói cách khác; nhiệm vụ chủ yếu của họ là thay mặt
hội đồng cổ đông giám sát các nhà quản lý, điều hành.
Nhìn chung, các công ty đều cho rằng việc tổ chức ra bộ phận kiểm toán
nội bộ với những con người có khả năng chuyên môn để đánh giá sự hữu hiệu
của hệ thống kiểm soát nội bộ nói chung và các hoạt động kiểm soát nói riêng
trong môi trường tin học là cần thiết và quan trọng nhằm đạt được các mục
tiêu đề ra. Song do điều kiện, hoàn cảnh hiện tại chưa cho phép hoặc không
đủ nguồn lực để thực hiện nên phần lớn các doanh nghiệp không có bộ phận
này. Thậm chí, 4 trong số 30 công ty ở trên có tổ chức bộ phận kiểm toán nội
bộ nhưng nhiệm vụ của họ chủ yếu vẫn tập trung vào việc kiểm soát một số
55
vấn đề nổi cộm như kiểm soát và đánh giá việc tuân thủ quy trình của các bộ
phận chức năng; tư vấn và giám sát về các thủ tục mang tính pháp chế cho các
bộ phận như các điều kiện ràng buộc trên hợp đồng, giải quyết tranh chấp,
kiện tụng; kiểm soát việc tuân thủ và thực thi về các chính sách như chính
sách nhân sự, chế độ tiền lương của đơn vị, chính sách đào tạo…
Qua tìm hiểu, dễ nhận ra rằng hầu hết các công ty trên mặc dù đã có quan
tâm đến vấn đề kiểm soát trong môi trường tin học nhưng chưa toàn diện bởi
đa phần đều chưa gặp phải nhiều rủi ro bắt nguồn từ môi trường này nên họ
có phần chủ quan. Từ đó cho thấy, các công ty này vẫn chưa ban hành chính
sách dành riêng cho an toàn và bảo mật thông tin trong điều kiện ứng dụng
CNTT nên chưa có các thủ tục kiểm soát tương ứng để đối phó với những rủi
ro có thể xảy đến từ môi trường này.
Tiếp theo dưới đây là phần khảo sát chi tiết về các vấn đề liên quan đến
các hoạt động kiểm soát trong môi trường tin học. Các đối tượng được khảo
sát tham gia trả lời về các nội dung liên quan bao gồm ban giám đốc, bộ phận
kế toán và bộ phận IT. Thông tin chi tiết được tóm lược bằng các nội dung
chủ yếu như sau:
2.1 HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC
NHÌN TỪ GÓC ĐỘ NHÀ QUẢN LÝ
Kết quả thu thập được từ quan sát thực tế và bảng câu hỏi khảo sát, thể
hiện qua bảng 2.1 bên dưới cho thấy hầu hết các nhà quản lý đều cho rằng “tổ
chức hệ thống thông tin trong môi trường tin học thực sự là vấn đề quan trọng
của doanh nghiệp” (tỷ lệ đồng ý 100%). Tuy nhiên, việc xây dựng ra các hoạt
động kiểm soát thật hữu hiệu trong môi trường tin học mặc dù đã được quan
tâm nhưng triển khai chưa đồng bộ, chưa triệt để (tỷ lệ đồng ý là 70%) hoặc
có quan tâm đến nhưng chưa triển khai được vì thiếu nguồn lực (phương tiện,
con người, tài chính…) (tỷ lệ đồng ý là 30%). Từ đây cho thấy, phần lớn các
56
nhà quản lý nghiêng về ý kiến “…triển khai chưa đồng bộ, chưa triệt để”
được xem là lý do chính của việc các doanh nghiệp này chưa thể xây dựng
được các hoạt động kiểm soát trong môi trường tin học như mong muốn.
Cụ thể là, trong ba hoạt động (hoạt động kiểm soát chung, hoạt động kiểm
soát ứng dụng và hoạt động kiểm soát dữ liệu) thì phần lớn các doanh nghiệp
chỉ quan tâm đến hoạt động kiểm soát dữ liệu (85% đồng ý) và hoạt động
kiểm soát chung (80% đồng ý) nhưng cũng chỉ quan tâm một số vấn đề liên
quan chứ chưa toàn diện. Trong khi đó, đối với hoạt động kiểm soát ứng dụng
thì gần như bỏ ngỏ (chỉ 40% đồng ý), phó mặc toàn bộ cho thiết kế về các thủ
tục kiểm soát trên phần mềm ứng dụng từ phía nhà sản xuất phần mềm hoặc
nếu có quan tâm thì chủ yếu là vấn đề phân quyền trên phần mềm.
Từ đây cho thấy, vì những nguyên nhân khách quan hay chủ quan mà các
nhà quản lý đã chưa thực sự nhận thức đúng đắn và đầy đủ về việc cần phải
bảo vệ tài sản thông tin ở doanh nghiệp mình. Mức độ quan tâm ở họ chỉ
dừng lại ở chỗ là làm sao cho hệ thống máy chủ, máy con, hệ thống mạng nội
bộ và mạng truyền thông ra bên ngoài tại đơn vị không bị tê liệt hay đình trệ
là được; miễn là đảm bảo cho nhu cầu cung cấp thông tin được nhanh chóng
và kịp thời, khi cần là có. Vì thế, mức độ tin cậy của thông tin được cung cấp
từ các bộ phận trong doanh nghiệp được đảm bảo đến đâu thì còn nhiều điều
phải nói.
Rõ ràng là, các doanh nghiệp vẫn sẽ còn phải đối mặt với rất nhiều rủi ro
tiềm ẩn đang rình rập họ và nó có thể tấn công toàn bộ hệ thống thông tin của
doanh nghiệp bất cứ lúc nào. Những rủi ro đó có thể đến từ rất nhiều nguồn
khác nhau như thiết bị phần cứng, phần mềm máy tính, hệ thống mạng, sự
vận hành máy tính của các thành viên trong doanh nghiệp hoặc tác động từ xa
qua hệ thống mạng của các đối tượng bên ngoài.
57
2.2 HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC
NHÌN TỪ GÓC ĐỘ KẾ TOÁN
Ngày nay, hầu như các doanh nghiệp đều có trang bị phần mềm kế toán
cho bộ phận kế toán doanh nghiệp mình và những doanh nghiệp được khảo
sát ở trên cũng không là ngoại lệ. Đối với bộ phận kế toán các doanh nghiệp,
họ chỉ biết thực thi nhiệm vụ được giao sao cho thật tốt là hoàn thành nhiệm
vụ, còn các vấn đề khác thì không cần phải bận tâm.
Thực tế cho thấy, họ chỉ cần biết là làm sao đến kỳ báo cáo thì việc cung
cấp các báo cáo cho ban lãnh đạo kịp thời và đầy đủ là được. Còn độ chính
xác của thông tin do phần mềm cung cấp đến đâu thì chưa được họ đánh giá
đầy đủ bởi khi được trang bị phần mềm kế toán, công việc của kế toán gần
như phụ thuộc hết vào phần mềm. Phần mềm có gì thì họ sử dụng nấy; việc
thiết lập các cơ chế kiểm soát nhập liệu, xử lý và cung cấp thông tin cũng phụ
thuộc theo phần mềm.
Bên cạnh đó, một điều dễ nhận thấy ở bộ phận này là do sự hiểu biết về hệ
thống máy tính còn nhiều hạn chế cộng với việc không hiểu rõ về cấu tạo và
cách vận hành của phần mềm mà phần lớn họ đã sử dụng phần mềm không
đạt hiệu quả cao.
Ngoài ra, cũng chính vì những lý do này mà phần lớn kế toán chưa có
được những hiểu biết đúng đắn về các hoạt động kiểm soát ứng dụng cho nên
họ đã không đưa ra được những yêu cầu chính đáng mà lẽ ra phải có đối với
các hoạt động kiểm soát trên phần mềm. Cụ thể là, cần phải yêu cầu nhà sản
xuất phần mềm thiết kế các thủ tục kiểm soát chặt chẽ trên phần mềm ứng
dụng để đảm bảo cho việc cung cấp thông tin từ phần mềm đạt độ tin cậy cao
và có như thế chất lượng thông tin do kế toán cung cấp cho người sử dụng
thông qua công cụ phần mềm mới được bảo đảm.
58
Cũng theo thống kê ở bảng 2.1 cho thấy, tỷ lệ đồng ý cho việc “tổ chức
hệ thống thông tin trong môi trường tin học thực sự là vấn đề quan trọng của
doanh nghiệp” và sự quan tâm đến ba hoạt động kiểm soát (hoạt động kiểm
soát chung, hoạt động kiểm soát ứng dụng và hoạt động kiểm soát dữ liệu)
cũng tương đồng như lựa chọn của nhà quản lý với tỷ lệ tuần tự tương ứng là
100%, 80%, 40% và 85%.
Trong khi đó, đối với trả lời lý do tại sao các hoạt động kiểm soát trong
môi trường tin học vẫn chưa thực hiện được như ý thì có 60% chọn “…triển
khai chưa đồng bộ, chưa triệt để” và 40% chọn “…chưa triển khai được vì
thiếu nguồn lực (phương tiện, con người, tài chính…)”.
2.3 HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC
NHÌN TỪ GÓC ĐỘ IT
Cũng tương tự như bộ phận kế toán, trong hầu hết các doanh nghiệp đều
có tổ chức bộ phận IT và chỉ một số ít doanh nghiệp là không có bộ phận này
do họ muốn tiết kiệm chi phí. Vậy bộ phận IT có vai trò gì trong doanh
nghiệp, nhiệm vụ cụ thể của họ là gì.
Thực tế ở Việt Nam cho thấy, bộ phận IT được ban lãnh đạo giao cho
nhiệm vụ tổ chức và thực hiện hoạt động kiểm soát chung liên quan đến hệ
thống máy tính và hoạt động kiểm soát lưu trữ dữ liệu. Trong khi đó, hoạt
động kiểm soát ứng dụng lại do các bộ phận sử dụng thực hiện vì những lý do
liên quan đến chuyên môn. Chính vì thế đã tạo ra những trục trặc trong thiết
kế các thủ tục kiểm soát vì lý do hết sức đơn giản là phần lớn IT có kiến thức
về CNTT thì không có kiến thức chuyên môn đến lĩnh vực khác và ngược lại
các bộ phận khác thì có kiến thức chuyên môn nhưng lại hạn chế về CNTT.
Tuy nhiên, bộ phận IT mặc dù được giao những trọng trách nặng nề về hai
hoạt động kiểm soát quan trọng trong doanh nghiệp nhưng cũng chỉ thực hiện
được một phần trong số đó. Sở dĩ bộ phận IT có những hạn chế như vậy là do
59
bị chi phối bởi chính sách đầu tư của doanh nghiệp và nhận thức chưa toàn
diện và thấu đáo từ phía họ về các yêu cầu của hai hoạt động này. Thường
thấy bộ phận IT có những nhiệm vụ mà họ hay làm là cài đặt phần cứng, phần
mềm; quản trị hệ thống máy chủ; quản trị hệ thống mạng nội bộ, mạng
internet; sao lưu dữ liệu dự phòng và thực thi chính sách an ninh hệ thống
(bảo mật thông tin, chống virus, chống truy cập bất hợp pháp, phân quyền,
kiểm soát người dùng…). Nhưng những nhiệm vụ mà họ thường làm này
cũng còn nhiều điều phải nói là có khi chúng được thực hiện không đồng bộ,
thiếu chặt chẽ, thiếu kiểm soát, thậm chí sơ sài.
Nhìn vào bảng 2.1 thì 100% IT được hỏi đều thừa nhận vấn đề “tổ chức
hệ thống thông tin trong môi trường tin học có tầm quan trọng đối với doanh
nghiệp”. Trong khi, 65% cho rằng mức độ quan tâm của doanh nghiệp về vấn
đề kiểm soát nội bộ trong môi trường tin học chỉ đạt ở mức “đã thực sự quan
tâm nhưng thực hiện chưa đồng bộ, chưa triệt để” và 35% còn lại thì đồng ý
với trả lời “có quan tâm nhưng chưa triển khai được vì thiếu nguồn lực…”.
Bảng 2.1 – Nhìn nhận về kiểm soát nội bộ trong môi trường tin học
STT Vấn đề khảo sát Nhà quản lý Đối tượng khảo sát Kế toán IT
1 100% 100% 100%
2
Tổ chức hệ thống thông tin trong môi trường tin học có tầm quan trọng đối với doanh nghiệp Mức độ quan tâm đến kiểm soát nội bộ trong môi trường tin học:
- Chưa
0% 0% 0%
từng nghe nói đến và cũng chưa từng quan tâm
0% 0% 0%
- Có nghe nói đến nhưng chưa quan tâm nhiều
60
- Có
0% 0% 0%
tâm quan nhưng chưa muốn triển khai vì thấy chưa thật sự quan trọng
30% 40% 35%
- Có quan tâm đến nhưng chưa triển khai được vì thiếu nguồn lực (phương tiện, con người, tài chính…)
70% 60% 65%
- Đã thực sự quan triển tâm nhưng khai chưa đồng bộ, chưa triệt để
0% 0% 0% tại
3 - Đặc biệt quan tâm và đã triển khai rất tốt doanh nghiệp Hoạt động kiểm soát được quan tâm:
- Hoạt động kiểm 80% 80% 30% soát chung
40% 40% 30%
- Hoạt động kiểm soát ứng dụng - Hoạt động kiểm 85% 85% 50%
soát dữ liệu
Nguồn: theo thống kê của tác giả
Ghi chú: Bảng 2.1 được tổng hợp từ các câu hỏi 1, 2 và 3 ở phần 4 của bảng
câu hỏi khảo sát
61
2.4 NHẬN XÉT VỀ CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI
TRƯỜNG TIN HỌC ĐƯỢC TỔ CHỨC TẠI CÁC DOANH NGHIỆP
Qua khảo sát thông tin về các hoạt động kiểm soát trong môi trường tin
học từ ba đối tượng là các nhà quản lý, bộ phận kế toán và bộ phận IT tại các
doang nghiệp cho thấy chính sách về bảo mật và an toàn thông tin chưa được
coi trọng đúng mức. Mỗi đối tượng đều nhìn nhận về các hoạt động này trong
phạm vi chức năng và nhiệm vụ của mình và đa số đều nghĩ rằng các vấn đề
liên quan khác là trách nhiệm của các đối tượng còn lại. Nhìn chung các hoạt
động kiểm soát trong môi trường tin học được thực hiện rất thiếu đồng bộ,
không đầy đủ và chưa triệt để. Chúng ta có thể điểm qua các hoạt động kiểm
soát này với một số điểm như sau:
Hoạt động kiểm soát chung
Kiểm soát con người
Thực tế cho thấy, kiểm soát con người là một trong những khâu cực kỳ
phức tạp và không dễ thực hiện. Nhìn chung, vì những lợi ích cá nhân nên con
người thường đánh mất đi sự trung thực của mình khi thực hiện một hành vi
nào đó, hành vi này có thể đem lại lợi ích cho cá nhân thực hiện nhưng lại làm
hại đối với tổ chức. Hiện nay các doanh nghiệp cũng chưa có kế sách cụ thể
nào để đối phó với hiện tượng này.
Hầu hết các doanh nhiệp được khảo sát đã có hệ thống tổng đài riêng có
kết nối với phần mềm điều khiển đã cho phép kiểm tra các cuộc gọi đi của
nhân viên mình từ đó đã giúp giảm thiểu chi phí phát sinh. Nhưng các doanh
nghiệp này lại chưa trang bị cho mình các phương tiện cần thiết để kiểm soát
về giờ giấc làm việc của nhân viên, chưa kiểm soát về việc giao tiếp thông tin
giữa các bộ phận mà trong đó việc di chuyển qua lại giữa các bộ phận còn
nhiều dễ dãi dẫn đến việc tiếp cận thông tin không được kiểm soát đã dễ dàng
62
tạo điều kiện cho việc đánh cắp thông tin, thay đổi thông tin hay phá hoại
thông tin xảy ra.
Chẳng hạn, các nhân viên của bộ phận này tự do ra vào bộ phận khác cả
khi không có nhiệm vụ. Điều này có thể làm cho các hành vi xấu dễ được
thực hiện như nhân viên kinh doanh vào phòng kế toán để truy xuất những
thông tin không được phép như danh sách và mức chia cổ tức của các cổ đông
hay một nhân viên nào đó vào bộ phận nhân sự để truy tìm bảng lương của
công ty…
Kiểm soát vật chất
Theo khảo sát cho thấy, các doanh nghiệp đã tự ý thức trong việc bảo
quản máy chủ và các thiết bị máy tính khác của công ty. Nhưng nhìn chung
chỉ được chú ý đến hai khía cạnh là có khoá an toàn (chủ yếu khoá tay) để
ngăn cản việc tiếp cận trái phép của nhân viên nội bộ và thiết bị cảm ứng báo
cháy. Trong khi; các khía cạnh khác chưa được chú ý nhiều như chưa có thiết
bị chống trộm để phòng ngừa mất cắp, chưa có thiết bị đo độ ẩm, nhiệt độ…
để phòng ngừa tác hại của môi trường xung quanh lên hệ thống máy tính.
Qua thông tin từ bảng 2.2 cho thấy:
ü Có 16 doanh nghiệp cho biết máy chủ của họ được để nơi an toàn
và có khoá (chiếm 53% trong tổng số 30 doanh nghiệp); trong khi
47% các doanh nghiệp còn lại thì chưa thật sự đảm bảo an toàn cho
máy chủ.
ü Có 2 doanh nghiệp (chiếm 7%) cho biết có lắp thiết bị chống trộm;
28 doanh nghiệp không có thiết bị này (93%).
ü Thiết bị báo cháy: 9 doanh nghiệp có (30%); 21 doanh nghiệp
không có (70%).
63
ü Thiết bị báo động rò rỉ nước, thiết bị đo độ ẩm và thiết bị báo động
rò rỉ gas – hoá chất – khí độc: 100% doanh nghiệp không có trang
bị.
ü Thiết bị báo động rò rỉ điện: 5 doanh nghiệp có trang bị (17%); 25
doanh nghiệp không có (83%).
ü Xoá quyền truy cập của nhân viên chuyển công tác hay cho nghỉ
việc: 20 doanh nghiệp cho biết có thực hiện (67%); còn lại 10
doanh nghiệp không thực hiện (33%).
Bảng 2.2 – Kiểm soát vật chất STT Vấn đề khảo sát Có
1 16 Máy chủ và các thiết bị mạng có để ở nơi an toàn
16 2 9 Không 14 14 28 21
2 Nơi để máy chủ có: - Khoá an toàn - Thiết bị báo trộm - Thiết bị báo cháy - Thiết bị báo động rò rỉ 30 nước
30
- Thiết bị báo độ ẩm - Thiết bị báo động rò rỉ 5 25 điện
30
3 20 10
- Thiết bị báo động về rò rỉ gas, hoá chất, khí độc Quyền truy cập của nhân viên thuyên chuyển bộ phận công tác hoặc nghỉ việc có bị khoá hay xoá bỏ
Nguồn: theo thống kê của tác giả
Ghi chú: Bảng 2.2 được tổng hợp từ các câu hỏi 26, 48 và 49 ở phần 1 của
bảng câu hỏi khảo sát
64
Kiểm soát về vận hành máy tính
Việc tổ chức hệ thống máy tính nội bộ của các công ty hầu hết được tổ
chức theo mô hình máy chủ – máy con. Trong đó máy chủ nắm toàn bộ quyền
kiểm soát, điều khiển và phân quyền sử dụng cho máy con khi tham gia vào
mạng nội bộ của công ty. Cụ thể là, máy chủ đã cấp cho máy con tên và mật
khẩu truy cập vào hệ thống máy tính của công ty và chỉ cho phép những ai có
phận sự được truy cập những tài liệu liên quan trên máy chủ. Bên cạnh việc
cấp tên và mật khẩu truy cập thì còn một số việc cần làm là quy ước về cách
đặt mật khẩu, quy ước về chiều dài mật khẩu, quy định về việc phải thay đổi
mật khẩu thường xuyên, thiết lập cơ chế kiểm soát việc đánh sai tên và mật
khẩu truy cập vượt quá số lần quy định, khoá quyền truy cập của người sử
dụng không thay đổi mật khẩu theo quy định thì chưa được các công ty này
chú ý.
Ngoài ra cũng cần nói thêm rằng việc ban hành văn bản quy định sử dụng
tài sản thông tin của doanh nghiệp cũng chưa được các công ty này quan tâm.
Thêm vào đó, các tài liệu mô tả về cách thức vận hành máy tính, tài liệu
hướng dẫn sử dụng các phần mềm cũng chưa được hoàn thiện cũng làm cho
việc sử dụng máy tính sao cho có hiệu quả chưa thật sự như mong muốn. Các
tài liệu này có thể bao gồm các tài liệu được coi là quan trọng như tài liệu
hướng dẫn vận hành hệ điều hành máy tính, tài liệu hướng dẫn sử dụng hệ
thống thư điện tử, tài liệu quy định về việc sử dụng internet, tài liệu khắc phục
lỗi của hệ điều hành và các phần mềm ứng dụng… Bên cạnh đó, các doanh
nghiệp do chưa có thói quen sử dụng các phần mềm có bản quyền cũng đã
làm cho việc vận hành hệ thống máy tính cũng gặp nhiều trở ngại.
Bảng 2.3 dưới đây cho biết tình hình kiểm soát vận hành máy tính ở các
doanh nghiệp khảo sát.
65
Bảng 2.3 – Kiểm soát vận hành máy tính STT Tỷ lệ Không Tỷ lệ Có
1 50% 15 15 50%
2 9 30% 21 70%
3 90% 3 27 10%
4 57% 13 17 43%
5 23% 23 7 77%
6 13% 26 4 87%
7 13 43% 17 57%
8 33% 20 10 67%
Vấn đề khảo sát Cá nhân được cài phần mềm vào máy tính làm việc Hạn chế sử dụng USB, ổ cứng bên ngoài Kiểm soát đăng nhập theo tên người dùng Kiểm soát việc chia sẻ tài nguyên thông tin Yêu cầu thay đổi mật khẩu đăng nhập vào máy tính thường xuyên Quy định về cách đặt mật khẩu, chiều dài mật khẩu Khoá màn hình khi rời vị trí làm việc Khoá quyền đăng nhập khi người dùng đăng nhập không thành công quá số lần quy định
40% 30% 100% 63% 93% 18 21 11 2 12 9 30 19 28 60% 70% 37% 7%
14 97% 1 29 3%
15 70% 9 21 30%
16 10 33% 20 67%
17 14 47% 16 53%
18 25 83% 5 17% 9 Bản quyền hệ điều hành Window 10 Bản quyền phần mềm MS Office 11 Bản quyền phần mềm khác 12 Cài đặt bức tường lửa Firewall 13 Cài đặt phầm mềm chống Virus Hệ thống email có thiết lập mật khẩu Hệ thống email có hạn chế dung lượng file gởi Hệ thống email có cài đặt ngăn cản mail rác, mail nguy hại Các văn bản, tài liệu lưu hành nội bộ có biên dịch qua chế độ chỉ đọc Mạng internet có cài đặt mật khẩu cho thiết bị truy cập modem
Nguồn: theo thống kê của tác giả
66
Ghi chú:
v Bảng 2.3 được tổng hợp từ các câu hỏi 14, 15, 17, 18, 19, 20, 21, 23,
27, 29, 30, 34, 35, 37, 39 và 41 ở phần 1 của bảng câu hỏi khảo sát
v Con số thể hiện ở cột “Có” và “Không” cho biết số doanh nghiệp
đồng ý và không đồng ý với vấn đề khảo sát. Hai cột “Tỷ lệ” tương ứng cho
biết số tương đối.
Hoạt động kiểm soát ứng dụng
Có thể dễ thấy rằng, hoạt động kiểm soát ứng dụng được thực hiện thông
qua các thủ tục kiểm soát được lập trình sẵn trên phần mềm và các thủ tục
kiểm soát được thiết lập và thực hiện bên ngoài phần mềm bởi con người. Do
đó, cần có sự kết hợp hài hoà giữa các thủ tục này sao cho đạt được các mục
tiêu kiểm soát ứng dụng đề ra. Tiếp theo đây là những nội dung đề cập về các
thủ tục kiểm soát thường thấy ở các phần mềm ứng dụng:
Kiểm soát dữ liệu đầu vào
Nguồn dữ liệu đầu vào được con người thực hiện để đảm bảo tính chính
xác, trong khi tiến trình nhập liệu sẽ được thực hiện trên phần mềm ứng dụng.
Hiện tại, hầu như các phần mềm kế toán Việt Nam đã thực hiện khá tốt việc
kiểm soát nhập liệu thông qua các bước kiểm tra về tính trùng lắp, tính bắt
buộc, tính hiện hữu, tính thích hợp, tính hợp lý, tính cân đối và kiểm tra số
liệu tính toán. Các thủ tục kiểm tra được thực hiện bởi phần mềm đã hỗ trợ
tích cực cho con người đạt được những mục tiêu về kiểm soát sao cho thật sự
hữu hiệu. Tuy nhiên, nếu phần mềm chỉ dừng lại ở chỗ thực hiện các bước
kiểm tra như đã nêu thì cũng chưa đạt yêu cầu. Do đó, người sử dụng và các
nhà sản xuất phần mềm cần quan tâm thêm như thiết kế thủ tục kiểm soát
ngày của chứng từ được ghi nhận, phân quyền người dùng tránh kiêm nhiệm,
tránh trùng lắp nghiệp vụ giữa những người được giao cùng nhiệm vụ…
67
Bảng 2.4 – Kiểm soát dữ liệu đầu vào trên phần mềm ứng dụng STT Vấn đề khảo sát
1 Mở kỳ kế toán để nhập liệu Có 15 Tỷ lệ Không Tỷ lệ 50% 15 50%
16 53% 14 47% 2
3 90% 3 10% 27
4 100% 30 Khoá kỳ kế toán khi số liệu đã báo cáo Kiểm tra tính duy nhất của danh mục Kiểm tra tính duy nhất của chứng từ nhập liệu
5 Kiểm tra ngày chứng từ 60% 12 40% 18
6 40% 18 60% 12
7 83% 5 17% 25
8 100% 30
9 57% 13 43% 17
10 97% 1 3% 29
11 93% 2 7% 28
12 57% 13 43% 17 Kiểm tra mối tương quan giữa sự liên tục của chứng từ và thứ tự tăng dần của ngày chứng từ Kiểm tra tính hiện hữu của thông tin Kiểm tra tính bắt buộc của thông tin Kiểm tra tính quy ước, quy tắc của dữ liệu Kiểm tra sự tồn tại và tính liên quan của số liệu Kiểm tra tính cân đối của định khoản trong nghiệp vụ Kiểm tra tính cân đối của việc khai báo số dư đầu kỳ
13 Định mức hàng tồn kho 14 Định mức tín dụng 15 Định mức về chi phí 53% 40% 17% 14 18 25 47% 60% 83% 16 12 5
16 57% 13 43% 17
17 37% 19 63% 11 Thông báo lỗi thao tác xảy ra rõ ràng, dễ hiểu Thông báo về quy ước số liệu rõ ràng, dễ hiểu
Nguồn: theo thống kê của tác giả
68
Ghi chú:
v Bảng 2.4 được tổng hợp từ các câu hỏi 8 ở phần 2 của bảng câu hỏi
khảo sát
v Con số thể hiện ở cột “Có” và “Không” cho biết số doanh nghiệp
đồng ý và không đồng ý với vấn đề khảo sát. Số liệu ở 2 cột “Có” và “Không”
cũng chính là số phần mềm kế toán mà họ đang sử dụng (mỗi công ty sử dụng
1 phần mềm). Hai cột “Tỷ lệ” tương ứng cho biết số tương đối.
Kiểm soát quy trình xử lý dữ liệu
Quy trình xử lý dữ liệu hiện tại vẫn chưa được các nhà sản xuất phần mềm
cũng như người sử dụng quan tâm đúng mực. Cụ thể là, quy trình xử lý dữ
liệu được thiết kế trên các phần mềm kế toán chưa thật chặt chẽ đã để lộ ra
những yếu điểm có thể dẫn đến những hành vi sai trái của con người như sai
sót, gian lận, biển thủ hoặc vận hành phần mềm sai mục đích.
Chẳng hạn; đa số các phần mềm kế toán Việt Nam chọn cách xử lý số liệu
theo thời gian thực dẫn đến nghiệp vụ sau khi được ghi nhận đã được đưa lên
các báo cáo liên quan mà chưa hề có sự kiểm tra, đối chiếu nên đã không đảm
bảo độ chính xác cao; hay do các thông báo lỗi hoặc các thông báo khuyến
cáo của phần mềm không rõ ràng đã gây hiểu lầm cho người sử dụng khi thao
tác.
Thêm vào đó, khi cập nhật chương trình mới cho phần mềm đôi khi không
được các nhà sản xuất phần mềm thực hiện đồng bộ đã dẫn đến sự không nhất
quán giữa dữ liệu và chương trình đã gây ra lỗi trong quá trình sử dụng. Ngoài
ra, cũng phải kể đến những lỗi gây ra bởi lập trình như phần mềm đưa vào
vận hành một thời gian thì xuất hiện lỗi mà lúc trước không thấy. Trường hợp
này có thể lý giải là do việc phân tích thiết kế có thể chưa đầy đủ và chưa
lường hết các khả năng có thể xảy ra nên dẫn đến lập trình không đầy đủ các
trường hợp đã gây ra lỗi sau một thời gian sử dụng.
69
Trường hợp khác có thể là, khi lỗi này được nhà sản xuất phần mềm khắc
phục thì lỗi khác trước đây chưa từng xảy ra thì bây giờ lại xảy ra. Nguyên
nhân của lỗi này là do khi sửa lỗi phần mềm người lập trình có thể đã không
xử lý các vấn đề khác có liên quan đã dẫn đến trường hợp “lỗi này đẻ lỗi kia”
như vừa mô tả. Việc bất cẩn của lập trình viên cũng có thể là nguyên nhân gây
ra lỗi thao tác và xử lý dữ liệu trên phần mềm.
Bảng 2.5 – Kiểm soát xử lý số liệu trên phần mềm ứng dụng STT Vấn đề khảo sát Có Tỷ lệ Không Tỷ lệ
1 26 87% 4 13%
2 25 83% 5 17%
3 10 33% 20 67%
4 13 43% 17 57%
5 15 50% 15 50% Xử lý trùng lắp nghiệp vụ mua hàng trả tiền ngay và bán hàng thu tiền ngay Xử lý trùng lắp nghiệp vụ qua lại giữa 2 TK tiền Có ràng buộc về nhập xuất kho và thu chi Ưu tiên sắp xếp theo thứ tự trên sổ quỹ chi tiết và báo cáo kho chi tiết để đảm bảo tính hợp lý Xử lý về sai số trong việc theo dõi hàng tồn kho
6 Xử lý số liệu theo thời gian thực 7 Xử lý số liệu theo lô 25 26 83% 87% 5 4 17% 13%
Nguồn: theo thống kê của tác giả
Ghi chú:
v Bảng 2.5 được tổng hợp từ các câu hỏi 8 ở phần 2 của bảng câu hỏi
khảo sát
v Con số thể hiện ở cột “Có” và “Không” cho biết số doanh nghiệp
đồng ý và không đồng ý với vấn đề khảo sát. Số liệu ở 2 cột “Có” và “Không”
cũng chính là số phần mềm kế toán mà họ đang sử dụng (mỗi công ty sử dụng
1 phần mềm). Hai cột “Tỷ lệ” tương ứng cho biết số tương đối.
70
Kiểm soát thông tin đầu ra
Hoạt động kiểm soát thông tin đầu ra phải được chủ động thực hiện bởi
con người bên cạnh những hỗ trợ đắc lực của các thủ tục kiểm soát trên phần
mềm. Việc kiểm tra kết quả thông tin đầu ra do phần mềm cung cấp phải được
thực hiện thường xuyên để đảm bảo tính chính xác, chất lượng và độ tin cậy
cao của thông tin. Thực tế cho thấy, do quá tin tưởng vào phần mềm mà đã
xảy ra một số trường hợp báo cáo đầu ra bị sai số liệu giữa sổ tổng hợp và sổ
chi tiết. Ví dụ như giữa sổ chi tiết công nợ 131 và sổ cái tài khoản tổng hợp
131 có kết quả không bằng nhau; hay một trường hợp khác là số dư cuối kỳ
trên lưu chuyển tiền tệ không khớp với số dư cuối kỳ của tài khoản tiền…
Hơn nữa, còn có trường hợp số liệu bị sai từ trong quá khứ mà bây giờ
mới phát hiện. Ngoài sự kiểm tra, đối chiếu mà bắt buộc con người phải thực
hiện cũng cần có các công cụ kiểm soát do phần mềm hỗ trợ bởi nếu không
thì con người sẽ khó lòng kiểm soát hết được vì số lượng chứng từ, nghiệp vụ
ngày càng nhiều lên; số lượng người làm công tác kế toán trong doanh nghiệp
cũng ngày càng đông hơn theo thời gian và theo nhu cầu.
Bảng 2.6 – Kiểm soát thông tin đầu ra trên phần mềm ứng dụng STT Có Tỷ lệ Không Tỷ lệ
1 13 43% 17 57%
2 21 70% 9 30% Vấn đề khảo sát Kiểm tra tính hợp lý, hợp lệ của số liệu kế toán dựa trên nguyên tắc và nguyên lý kế toán Kiểm tra nghiệp vụ nhiều Nợ, nhiều Có
3 Có công cụ truy vấn ngược 20 67% 10 33%
4 27 90% 3 10% Có hiển thị ngày giờ trên báo cáo khi in
Nguồn: theo thống kê của tác giả
71
Ghi chú:
v Bảng 2.6 được tổng hợp từ các câu hỏi 8 ở phần 2 của bảng câu hỏi
khảo sát
v Con số thể hiện ở cột “Có” và “Không” cho biết số doanh nghiệp
đồng ý và không đồng ý với vấn đề khảo sát. Số liệu ở 2 cột “Có” và “Không”
cũng chính là số phần mềm kế toán mà họ đang sử dụng (mỗi công ty sử dụng
1 phần mềm). Hai cột “Tỷ lệ” tương ứng cho biết số tương đối.
Hoạt động kiểm soát dữ liệu
Hệ thống máy chủ đã được các công ty chú trọng đầu tư để lưu trữ các tài
nguyên của công ty nhưng chỉ dừng lại ở mức đầu tư duy nhất một máy chủ
có vài ổ cứng. Việc trang bị kiểu này giúp tiết kiệm chi phí cho doanh nghiệp
nhưng thật sự không an toàn vì nếu máy chủ gặp sự cố sẽ làm cho nhiều hoạt
động của doanh nghiệp bị đình trệ. Chẳng hạn, nếu máy chủ bị hư hệ điều
hành không khởi động được sẽ không thể truy cập được dữ liệu của kế toán,
hơn nữa nếu hệ thống thư điện tử và trang Web của công ty được lắp đặt cùng
trên máy chủ này sẽ hoàn toàn bị tê liệt khiến mọi hoạt động trao đổi thông tin
và giao dịch trong nội bộ cũng như ra ngoài doanh nghiệp bị ngưng trệ.
Theo khảo sát cho thấy, việc sao lưu toàn bộ dữ liệu của công ty hoàn
toàn thuộc về trách nhiệm của bộ phận IT. Công tác sao lưu dữ liệu được thiết
lập sao lưu tự động theo lịch trên nhiều ổ cứng, máy tính khác và trên các
thiết bị lưu trữ như đĩa tape, đĩa CD. Bên cạnh việc thiết lập lịch sao lưu tự
động thì việc kiểm tra công tác sao lưu có hoàn tất và việc kiểm tra lại dữ liệu
sao lưu có hoạt động được không cũng được IT thực hiện tốt. Tuy nhiên, việc
kiểm tra dữ liệu liên quan đến phần mềm ứng dụng của các bộ phận chỉ được
IT tự thực hiện mà không có sự kết hợp với các bộ phận này. Điều này đã làm
cho không có gì lấy làm bảo đảm rằng việc khôi phục lại dữ liệu sẽ được vẹn
toàn nếu chẳng may dữ liệu bị hư.
72
Ngoài ra, việc kiểm tra tính ổn định của đường truyền dữ liệu qua mạng từ
các máy con về máy chủ và kiểm soát các thao tác trên dữ liệu ở máy chủ như
sao chép, xoá, thay đổi nội dung… vẫn chưa được thực hiện. Điều này có
nghĩa là hiện tại, IT tại các doanh nghiệp vẫn chưa có đủ trang thiết bị cần
thiết để kiểm tra việc truyền dữ liệu trên mạng đạt kết quả như thế nào vì có
lúc dữ liệu truyền đi gặp một số trục trặc như tốc độ truyền và nhận dữ liệu
chậm, tính toán sai, dung lượng tập tin truyền và nhận không đồng nhất, mạng
chập chờn…
Chung quy lại là, do chưa ban hành được chính sách về an toàn và bảo
mật thông tin trong điều kiện tin học hoá nên các thành viên trong doanh
nghiệp chưa hiểu hết tầm quan trọng của việc phải tăng cường các hoạt động
kiểm soát trong môi trường này để đảm bảo độ tin cậy của thông tin, bảo vệ
tài sản thông tin của doanh nghiệp, tránh tổn thất vì những chi phí vô ích phát
sinh từ những rủi ro có thể hạn chế được và đặc biệt là đảm bảo được sự trung
thực và tính chính xác cho những thông tin cung cấp đến người đọc, nhất là
báo cáo tài chính và các báo cáo quản trị.
Vấn đề khảo sát
Số máy chủ sử dụng:
Bảng 2.7 – Kiểm soát dữ liệu STT 1 Có 2 24 Tỷ lệ Không Tỷ lệ 7% 80%
30 100%
4 13% 1 máy chủ có 1 ổ cứng 1 máy chủ có 2 ổ cứng trở lên 2 máy chủ trở lên, mỗi máy có 1 ổ cứng 2 máy chủ trở lên, mỗi máy có 2 ổ cứng trở lên
100% 100%
2 30 100%
3 19 63% 11 37% Cộng Trang bị bộ lưu điện UPS cho máy chủ Thiết lập chế độ sao lưu dữ liệu tự động cho máy chủ
73
20 67% 10 33% 4
10 33% 20 67% 5
16 53% 14 47% 6
11 37% 19 63% 7
20 67% 10 33% 8
Sao lưu dữ liệu thêm ra các thiết bị khác Kiểm soát các truy cập dữ liệu trên máy chủ Việc sao lưu tự động có được kiểm tra thường xuyên Số liệu sao lưu có được kiểm tra lại Các bộ phận chức năng có kế hoạch sao lưu dữ liệu song hành cùng với kế hoạch sao lưu chung của bộ phận IT
Nguồn: theo thống kê của tác giả
Ghi chú:
v Bảng 2.7 được tổng hợp từ các câu hỏi 1, 3, 4, 5, 6, 7, 8 và 10 ở
phần 3 của bảng câu hỏi khảo sát
v Con số thể hiện ở cột “Có” và “Không” cho biết số doanh nghiệp
đồng ý và không đồng ý với vấn đề khảo sát. Hai cột “Tỷ lệ” tương
ứng cho biết số tương đối.
74
2.5 NHẬN XÉT VỀ CÁC THỦ TỤC KIỂM SOÁT ĐƯỢC THIẾT KẾ
TRONG CÁC PHẦN MỀM KẾ TOÁN VIỆT NAM
Sự ra đời của các phần mềm kế toán Việt Nam được thiết kế theo chuẩn
mực kế toán, chế độ kế toán Việt Nam đã tạo ra những lợi ích to lớn cho
người làm công tác kế toán tại các doanh nghiệp. Những lợi ích mà phần mềm
có thể mang lại bao gồm cung cấp báo cáo nhanh chóng, kịp thời; rút ngắn
thời gian ghi nhận và xử lý nghiệp vụ; tiết kiệm chi phí và công sức của con
người; hạn chế sai sót do tính toán tay gây ra; hỗ trợ nhiều thông tin cho quản
trị… Và để những lợi ích này luôn bền vững, sự tin cậy của người sử dụng
vào phần mềm ngày càng gia tăng; đòi hỏi phần mềm phải có cơ chế kiểm
soát chặt chẽ thông qua thiết kế các thủ tục cụ thể cho các hoạt động kiểm
soát.
Nhìn chung các phần mềm kế toán Việt Nam đã có những cố gắng trong
việc thiết kế các thủ tục kiểm soát dữ liệu đầu vào, kiểm soát quy trình xử lý
dữ liệu và kiểm soát thông tin đầu ra. Tuy nhiên, theo khảo sát hiện tại cho
thấy các nhà sản xuất phần mềm chưa thật sự quan tâm đúng mực và đầy đủ
về xây dựng các thủ tục kiểm soát cần thiết trên phần mềm nên dễ thấy ở cả
ba hoạt động kiểm soát đã nêu đều có vấn đề.
Việc thiết kế các thủ tục kiểm soát trên các phần mềm kế toán Việt Nam
còn tồn tại nhiều thiếu sót, đôi khi chúng được thiết kế khá là ngẫu hứng và
chưa được phân tích kỹ lưỡng nên chưa thật sự hỗ trợ nhiều về kiểm soát cho
người làm công tác kế toán. Do đó, trong tương lai các nhà sản xuất phần
mềm cần phải chú trọng nhiều hơn nữa trong việc thiết kế các thủ tục kiểm
soát ứng dụng nhằm hỗ trợ tối đa cho người sử dụng và cũng nhằm củng cố
thương hiệu cũng như chất lượng của phần mềm kế toán được làm bởi những
con người Việt Nam.
75
Phụ lục 2.4 - Bảng mô tả thủ tục kiểm soát trong các phần mềm kế toán Việt Nam
Kết luận chương 2
Việc tìm hiểu thực tế về hoạt động kiểm soát trong môi trường tin học tại
30 doanh nghiệp ở Việt Nam cho thấy hầu hết đã có ứng dụng tin học vào
trong công tác quản lý. Tuy nhiên, vì nhiều lý do khách quan lẫn chủ quan
khác nhau mà các doanh nghiệp này chưa thật sự xây dựng được cho mình
các hoạt động kiểm soát thật sự hữu hiệu và an toàn để phục vụ cho kiểm soát
nội bộ tại đơn vị.
Hiện tại mức đầu tư vào các hoạt động kiểm soát nội bộ trong môi trường
tin học tại các doanh nghiệp này là không nhiều, thậm chí khá sơ sài và đơn
giản. Vì thế, những rủi ro tiềm ẩn trong môi trường tin học vẫn đang từng
ngày đe doạ họ và tai hoạ có thể xảy ra bất cứ lúc nào. Nhưng nói về phương
thức để phòng chống, nhận diện và xử lý những rủi ro này của các doanh
nghiệp thì chưa thật sự cụ thể và rõ ràng cho từng trường hợp nên khi rủi ro
xảy ra sẽ để lại thiệt hại vô cùng to lớn. Và cũng xuất phát từ những tìm hiểu
thực tế này tại các doanh nghiệp đã dẫn đến việc đề xuất các giải pháp chi tiết
nhằm xây dựng các thủ tục kiểm soát nội bộ trong môi trường tin học đối với
từng hoạt động kiểm soát được tác giả đưa ra ở phần sau.
76
CHƯƠNG 3
ĐỀ XUẤT MỘT SỐ GIẢI PHÁP XÂY DỰNG CÁC HOẠT ĐỘNG
KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC CHO CÁC DOANH
NGHIỆP VIỆT NAM
Từ việc tìm hiểu các vấn đề liên quan đến các hoạt động kiểm soát nội bộ
trong môi trường tin học ở chương 1 bao gồm tìm hiểu về cấu tạo của hệ
thống máy tính, ảnh hưởng của hệ thống máy tính đến việc thiết kế các thủ tục
kiểm soát trong môi trường tin học. Đồng thời, qua tìm hiểu thực tế về kiểm
soát nội bộ trong môi trường tin học tại các doanh nghiệp Việt Nam. Tác giả
nhận thấy, hiện tại hệ thống kiểm soát nội bộ tại các đơn vị này còn nhiều hạn
chế và chứa đựng nhiều rủi ro nên đã đưa ra các giải pháp cụ thể nhằm giúp
các doanh nghiệp này có thể thiết kế các thủ tục kiểm soát thật sự hữu hiệu
cho từng hoạt động kiểm soát cụ thể trong môi trường tin học. Cụ thể như
sau:
3.1 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT CHUNG
Các thủ tục kiểm soát cần thiết kế và thực hiện cho hoạt động kiểm soát
chung được mô tả theo các nội dung:
3.1.1 Kiểm soát con người
Khi cần tuyển dụng nhân viên, doanh nghiệp cần ràng buộc trong hợp
đồng tuyển dụng điều khoản về cam kết bảo mật và bảo đảm an toàn cho tài
sản thông tin của doanh nghiệp.
Cần trang bị các phương tiện nhận dạng bằng thẻ từ hay nhận dạng bằng
vân tay để chống xâm nhập của người lạ mặt đồng thời hỗ trợ cho công tác
chấm công được chính xác và tránh lãn công. Giữa các bộ phận chức năng
trong doanh nghiệp cũng cần phải ngăn cách với nhau bằng cửa từ hay cửa
77
nhận dạng vân tay để kiểm soát việc đi lại giữa các bộ phận nhằm hạn chế
việc tiếp cận thông tin không được phép của những nhân viên không có phận
sự.
Hệ thống điện thoại liên lạc cũng cần được kiểm soát bằng phần mềm kết
nối với tổng đài nhằm ghi nhận lại các cuộc gọi ra bên ngoài. Việc kiểm soát
này được thực hiện bằng cách cấp cho mỗi cá nhân một số nội bộ và một mật
mã kết nối riêng biệt để sử dụng. Khi đó, chi phí điện thoại phát sinh liên
quan đến các cá nhân sẽ được theo dõi chặt chẽ.
3.1.2 Kiểm soát vật chất
Hệ thống máy chủ lưu trữ toàn bộ dữ liệu và các thiết bị máy tính khác
của doanh nghiệp cũng cần được đặt ở những nơi thật sự an toàn để đảm bảo
cho hệ thống thông tin của doanh nghiệp được thông suốt. Cụ thể, nơi để hệ
thống máy chủ cũng cần có khoá từ hay khoá vân tay để ngăn cản sự xâm
nhập bất hợp pháp của những đối tượng không được phép cả bên trong lẫn
bên ngoài doanh nghiệp.
Bên cạnh đó, cũng cần trang bị các thiết bị hỗ trợ phòng chống rủi ro hư
hại hoặc huỷ hoại máy tính như thiết bị báo cháy; thiết bị đo nhiệt độ và độ
ẩm; thiết bị phát hiện ra khí độc, gas và hoá chất; thiết bị phát hiện các sự cố
về điện, sự cố rò rỉ nước và thiết bị chống trộm qua cảm ứng âm thanh,
chuyển động. Đồng thời, cũng cần trang bị thêm bộ lưu điện UPS cho hệ
thống máy tính để đề phòng sự cố mất điện đột ngột dẫn đến không kịp lưu dữ
liệu và lắp đặt thiết bị chống sét đề phòng rủi ro do sét gây ra.
Thêm vào đó, cũng cần phải có các biện pháp xử lý dứt khoát cho những
trường hợp xuất hiện những nhân viên bất mãn để phòng ngừa những rủi ro
liên quan đến phá hoại tài sản thông tin. Chẳng hạn, khi có nhân viên bị buộc
thôi việc hay những nhân viên bất mãn phải cho nghỉ việc thì cần phải có biện
78
pháp theo dõi riêng những động thái của những nhân viên này. Nên làm tuần
tự theo các bước sau:
ü Cần phải tiến hành ngay việc thu hồi các phương tiện làm việc nhất
là máy vi tính
ü Xoá quyền và mật khẩu truy cập của các nhân viên này vào hệ
thống máy tính của doanh nghiệp để tránh nguy cơ bị thay đổi
thông tin, đánh cắp thông tin hay huỷ hoại thông tin.
ü Và cuối cùng là ra thông báo và quyết định cho nghỉ việc đến các
nhân viên này.
Ngoài ra, tên truy cập của những nhân viên chuyển công tác qua bộ phận
khác cũng cần được loại bỏ ra khỏi danh sách truy cập vào phần mềm ứng
dụng để tránh những rủi ro cho dữ liệu có thể xảy ra.
3.1.3 Kiểm soát vận hành máy tính
Mô hình tổ chức hệ thống máy tính
Mô hình thiết lập cho hệ thống máy tính của doanh nghiệp nên được tổ
chức theo mô hình máy chủ – máy con. Trong đó, máy chủ nắm quyền điều
khiển và kiểm soát các hoạt động trên máy con. Các máy con muốn truy cập
vào hệ thống mạng máy tính của doanh nghiệp cần phải có một cái tên và mật
khẩu hợp lệ do máy chủ cung cấp, nếu không sẽ không thể sử dụng được các
tài nguyên chia sẻ trong nội bộ doanh nghiệp.
Quy định về mật khẩu
Về cách đặt mật khẩu cũng cần được chú ý xây dựng theo các nguyên tắc
sau:
§ Cần quy định chiều dài tối thiểu của mật khẩu; ít nhất phải là tám ký tự
mà trong đó có ký tự đặc biệt, sử dụng cả chữ hoa lẫn chữ thường hoặc
kết hợp giữa ký tự chữ với ký tự số để đảm bảo an toàn cho mật khẩu.
79
§ Khi đặt mật khẩu cần tránh lấy tên người thân, tránh lấy ngày tháng
năm sinh, số điện thoại để đặt mật khẩu nhằm tránh việc dò ra mật
khẩu một cách nhanh chóng.
§ Cần quy định thời hạn hết hạn của mật khẩu và yêu cầu phải thay đổi
mật khẩu thường xuyên để tránh bị phát hiện. Và nếu người sử dụng
máy tính không thay đổi mật khẩu theo yêu cầu của hạn định sẽ bị
khoá quyền truy cập vào hệ thống và chỉ khi nào được người quản trị
kích hoạt trở lại mới được sử dụng tiếp.
§ Cần thiết lập giới hạn số lần tối đa cho việc nhập sai mật khẩu, chẳng
hạn khi nhập sai mật khẩu ba lần sẽ khoá luôn quyền truy cập cho dù
lần thứ tư có nhập đúng mật khẩu đi nữa. Và cũng như trên, chỉ khi nào
người quản trị máy tính kích hoạt trở lại thì sự truy cập mới trở lại bình
thường.
Quy định về sử dụng máy tính, các thiết bị máy tính và các tài nguyên trên
máy tính
Cần khống chế việc các nhân viên trong doanh nghiệp tự tiện cài đặt các
phầm mềm vào máy tính cá nhân bằng cách không cho sử dụng ổ CD hoặc
chỉ cấp quyền sử dụng, không cấp quyền quản trị máy tính cho các cá nhân để
hạn chế những xung đột giữa các phần mềm trên cùng một máy tính. Đồng
thời, ngăn cản những phần mềm cài đặt bị nhiễm virus để tránh lây lan cho
toàn bộ hệ thống máy tính.
Bên cạnh đó, các thiết bị ghi chép như ổ đĩa di động USB, ổ cứng rời cũng
cần hạn chế sử dụng hoặc không cho sử dụng để tránh bị lây nhiễm virus và
đánh cắp thông tin. Ngoài ra, nếu có điều kiện thì cần trang bị thêm phần
mềm phát hiện việc sử dụng ổ đĩa rời và quét virus (E.Scan) cho bộ phận quản
trị máy tính để phát hiện ra những ổ đĩa rời bị virus đang cắm vào các máy
tính cá nhân. Thêm vào đó, việc lấy chính tên nhân viên để đặt tên cho máy
80
tính sử dụng của từng người cũng sẽ hỗ trợ cho việc kiểm soát người dùng
máy tính trong doanh nghiệp.
Cần có quy định về việc người sử dụng máy tính phải thoát ra khỏi màn
hình đăng nhập Windows và phần mềm ứng dụng khi rời khỏi vị trí làm việc
để tránh hiện tượng truy cập trái phép vào máy tính để thực hiện những hành
vi mờ ám.
Các tài nguyên được dùng cho một nhóm đối tượng có phận sự cũng cần
được kiểm soát để tránh bị các đối tượng không được phép sử dụng truy cập
trái phép. Chẳng hạn, cấp quyền sử dụng tài nguyên chia sẻ chỉ cho một nhóm
đối tượng có nhu cầu sử dụng cụ thể, tránh cấp quyền sử dụng tràn lan.
Các văn bản, tài liệu phục vụ cho công việc của doanh nghiệp được tổ
chức dưới dạng tập tin cần phải được chuyển đổi sang các dạng tập tin chỉ đọc
như *.pdf (phần mềm đọc tài liệu Acrobat) hoặc chuyển qua các dạng tập tin
như sách điện tử… để ngăn cản những hành vi sửa chữa nội dung tuỳ tiện làm
lệch lạc thông tin.
Bên cạnh đó, còn một việc quan trọng cần phải được các doanh nghiệp
đặc biệt chú ý là làm quen dần với việc tuân thủ pháp luật về luật sở hữu trí
tuệ để trang bị các phần mềm rõ nguồn gốc xuất xứ, có bản quyền do nhà sản
xuất cung cấp. Chẳng hạn, hiện nay tại Việt Nam hệ điều hành máy tính được
sử dụng phổ biến nhất vẫn là Windows của Microsoft và phần mềm dùng cho
khối văn phòng Microsoft Office cần phải được mua bản quyền để đảm bảo
tính ổn định khi sử dụng. Đặc biệt là Windows vì Windows được ví như là cái
móng của một toà nhà để cho mọi phần mềm khác chạy lên trên đó và nếu
như cái móng này không chắc sẽ kéo theo những phần mềm khác bị trục trặc
theo. Hơn nữa, việc mua bản quyền phần mềm còn có thêm nhiều lợi ích nữa
là được cập nhật thường xuyên các bản sửa lỗi từ nhà cung cấp giúp đảm bảo
81
ổn định và an toàn khi sử dụng; đồng thời tránh những rủi ro như bị tấn công
từ xa, bị lây nhiễm virus…
Những cài đặt và thiết lập cần thiết cho hệ thống máy tính
Hệ thống máy tính trong toàn bộ doanh nghiệp cần phải được cài đặt bức
tường lửa (Firewall) do hệ điều hành Windows hỗ trợ để tránh những truy cập
từ xa qua internet hoặc mạng nội bộ, đồng thời giúp máy tính chống lại virus
và các đe dọa bảo mật khác. Song song với bức tường lửa cũng cần phải cài
đặt các chương trình chống virus hữu hiệu như Kaspersky, McAfee, Norton
Symantec, AVG… để tránh những hư hại do virus gây ra.
Hình 3.1 - Mô tả về bức tường lửa Firewall
Đối với hệ thống mạng nội bộ và mạng internet của doanh nghiệp cần
phải cài đặt thông số địa chỉ IP (Internet Protocol-giao thức mạng) trên các
máy tính để đảm bảo cho việc nhận và truyền tin đúng địa chỉ, an toàn và bảo
mật. Địa chỉ IP cũng phải thường xuyên thay đổi để tránh bị truy cập trái
phép. Ngoài ra, cần cài mật khẩu và thay đổi mật khẩu thường xuyên cho thiết
82
bị kết nối internet (tên thiết bị kết nối thường hay được mọi người gọi là
Router hay Modem) để ngăn cản truy cập bất hợp pháp từ xa.
Khuyến cáo các doanh nghiệp hạn chế sử dụng mạng không dây cho cả hệ
thống mạng nội bộ lẫn mạng internet vì người ta cho rằng mạng không dây
không thật sự an toàn do chúng dễ bị tấn công khiến dữ liệu có thể bị mất, bị
tiết lộ nhất là những thông tin không được phép, thậm chí máy tính còn bị
điều khiển bởi những đối tượng lạ mặt bên ngoài doanh nghiệp.
Thiết lập và kiểm soát hệ thống thư điện tử, kiểm soát trang Web của
doanh nghiệp và truy cập internet
Ngày nay các doanh nghiệp nên trang bị cho mình hệ thống thư điện tử
với tên miền riêng trên máy chủ để chủ động trong việc kinh doanh, đồng thời
thư điện tử có tên miền riêng cũng là hệ thống giúp nhận diện ra thương hiệu
của doanh nghiệp. Ngoài ra, sử dụng tên miền riêng còn giúp cho doanh
nghiệp bảo vệ được thông tin của mình nhất là những thông tin liên quan đến
bí quyết kinh doanh và dĩ nhiên là các doanh nghiệp nên tránh sử dụng các hệ
thống thư điện tử công cộng miễn phí như Yahoo mail, Google mail…vì
những thông tin lưu trữ hay được truyền tải trên đó không có sự đảm bảo về
bảo mật.
Việc sử dụng thư điện tử với tên miền riêng cũng cần được quy định để
đảm bảo sử dụng có hiệu quả như là công cụ kinh doanh hữu ích và tiện lợi
bên cạnh việc hạn chế những rủi ro có thể xảy ra. Cụ thể là:
§ Tương tự như hệ điều hành Windows, hệ thống thư điện tử cũng phải
có tên và mật khẩu truy cập để đảm bảo an toàn.
§ Bộ phận IT thiết lập những ràng buộc nhằm ngăn chặn những thư rác,
thư quảng cáo linh tinh và thư có thể gây nguy hại cho hệ thống máy
tính của công ty.
83
§ Đối với người sử dụng cần phải nâng cao sự hiểu biết của mình để sử
dụng thư điện tử có hiệu quả như tránh đọc những thư lạ và phải xoá
ngay vì chúng có thể là nơi sẽ gây ra tai hoạ cho toàn bộ hệ thống máy
tính của doanh nghiệp.
§ Cũng cần có thiết lập nhằm hạn chế dung lượng tập tin gởi kèm thư
như chỉ cho gởi tập tin có dung lượng từ 1 MB đổ lại để ngăn cản việc
gởi ra ngoài những thông tin không được phép và cũng nhằm để tránh
gây chậm hoặc dừng hệ thống thư điện tử vì hệ thống này là hệ thống
dùng chung.
§ Nếu doanh nghiệp có sử dụng thêm Webmail (thư điện tử có thể truy
cập qua internet) được dùng cho những nhân viên thường hay đi công
tác xa, nhân viên đang nghỉ phép hoặc nhân viên làm việc tại nhà thì
cũng cần có biện pháp để quản lý nhằm tránh những nguy cơ có thể xảy
ra.
Đối với trang Web của doanh nghiệp và do chính doanh nghiệp quản lý
cũng cần phải được kiểm soát chặt chẽ nhằm tránh những sự phá hoại, thay
đổi thông tin trên Web. Công việc này nên giao cho bộ phận chuyên trách về
Website quản lý.
Đối với việc sử dụng internet truy cập để lấy thông tin từ các trang Web
khác cũng cần phải được kiểm soát chặt chẽ tương tự như việc quản lý sử
dụng thư điện tử như cần cách ly tiếp cận các trang Web có nguy cơ gây hại
cao, quy định những trang Web được vào hay quy định thời gian nào là được
phép truy cập.
84
3.2 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT ỨNG DỤNG
Các giải pháp về kiểm soát ứng dụng đề cập dưới đây liên quan đến cả
người sử dụng phần mềm lẫn nhà sản xuất phần mềm. Với những ưu việt của
phần mềm ứng dụng có thể tăng cường và hỗ trợ tối đa cho công tác kiểm soát
thông tin phải được các đối tượng này quan tâm đúng mực. Và có như vậy
mới đảm bảo cho các mục tiêu kiểm soát nội bộ được thực hiện đạt kết quả
mong đợi, đồng thời cũng góp phần nâng cao uy tín và chất lượng của phần
mềm.
Thực tế cho thấy hầu như các doanh nghiệp hiện nay đều có trang bị phần
mềm kế toán và các doanh nghiệp được khảo sát như đã nêu ở chương II cũng
không phải là ngoại lệ. Do đó, các giải pháp đề nghị ở phần này tập trung vào
các thủ tục kiểm soát của phần mềm kế toán.
Hệ thống thông tin
Quản trị CSDL
Xử lý dữ liệu
Truy xuất thông tin
Nguồn dữ liệu bên ngoài
Đối tượng sử dụng bên ngoài
Thu thập & cập nhật dữ liệu
Nguồn dữ liệu nội bộ
Đối tượng sử dụng nội bộ
Tổ chức kinh doanh
Hình 3.2 - Mô hình hệ thống thông tin kế toán
85
3.2.1 Những quy định ràng buộc về trách nhiệm của các đối tượng liên
quan
Trách nhiệm của các doanh nghiệp
Các doanh nghiệp khi có ý định trang bị cho mình một phần mềm kế toán
cần quan tâm đến những vấn đề sau:
§ Lựa chọn phần mềm cần phải xuất phát từ những nhu cầu thực tại lẫn
tương lai của doanh nghiệp để lọc lựa các phần mềm có chất lượng vì
ngày nay trên thị trường đang tồn tại rất nhiều phần mềm kế toán
nhưng chỉ có vài ba phần mềm là thật sự có chất lượng. Do đó, việc tìm
hiểu về tên tuổi phần mềm, uy tín của nhà sản xuất phần mềm cũng như
uy tín của nhà cung cấp phần mềm là thực sự cần thiết cho doanh
nghiệp khi đi mua sản phẩm tương đối đặc thù này.
§ Sự phù hợp của phần mềm đối với luật định, quy định của chế độ kế
toán và hệ thống kế toán của doanh nghiệp cũng cần phải được xem xét
kỹ lưỡng để tránh những đáng tiếc về sau.
§ Tính linh hoạt của phần mềm, khả năng mở rộng của phần mềm và khả
năng liên kết với phần mềm khác phải được xem xét để nếu có yêu cầu
bổ sung hay thay đổi về sau trong quá trình sử dụng cũng được thực
hiện trơn tru.
§ Cần tìm hiểu về khả năng kiểm soát, bảo mật và an toàn dữ liệu cũng
như các hạn chế của phần mềm để có biện pháp thích hợp cho phòng
ngừa rủi ro.
§ Cần tìm hiểu về cấu hình của hệ thống máy tính hiện tại nhằm đảm bảo
đủ điều kiện cho việc tương thích giữa phần cứng và phần mềm được
vận hành suôn sẻ trên cùng hệ thống.
86
Trách nhiệm của nhà cung cấp phần mềm
Hợp đồng mua phần mềm được ký kết giữa doanh nghiệp và nhà cung cấp
phần mềm cần phải có những điều kiện ràng buộc như sau:
§ Tài liệu chuyển giao từ phía nhà cung cấp phần mềm phải đầy đủ bao
gồm tài liệu hướng dẫn sử dụng, tài liệu về cấu hình hệ thống, tài liệu
về tổ chức cơ sở dữ liệu, tài liệu hướng dẫn khắc phục sự cố…
§ Những ràng buộc về bảo hành và bảo trì sản phẩm.
§ Ràng buộc về cập nhật mới khi có thay đổi, sửa chữa và bổ sung.
§ Tư vấn sử dụng phần mềm sao cho đáp ứng các yêu cầu đưa ra.
§ Điều kiện về bảo mật dữ liệu
§ …
Trách nhiệm của bộ phận IT
Hầu hết các doanh nghiệp đều có tổ chức bộ phận IT và cần phải xác định
rõ trách nhiệm của bộ phận này do IT có chuyên môn về CNTT nhưng hầu
như không có chuyên môn liên quan đến việc sử dụng phần mềm. Do đó,
trách nhiệm của IT là đảm bảo việc sao lưu dữ liệu của phần mềm, sửa chữa
hay cài đặt lại phần mềm khi có nhu cầu và nên tránh can thiệp vào việc sửa
chữa phần mềm hay dữ liệu phần mềm. Trách nhiệm này nên để lập trình
phần mềm đảm nhận và IT chỉ nên can thiệp vào việc sửa lỗi chương trình
hay lỗi dữ liệu ở mức độ đơn giản và phải được sự uỷ quyền của nhà cung cấp
phần mềm hay nhà sản xuất phần mềm.
87
3.2.2 Những giải pháp về các thủ tục kiểm soát dữ liệu đầu vào
Dữ liệu đầu vào được ghi nhận vào chương trình cần được kiểm soát chặt
chẽ ngay từ ban đầu thông qua các thủ tục kiểm soát cụ thể, những thủ tục này
cần được thiết kế sẵn trên phần mềm bao gồm:
Chính sách an ninh hệ thống
Để đảm bảo tính bảo mật và an toàn dữ liệu, chính sách an ninh hệ thống
cần phải được các phần mềm chú ý đến với việc quy định chiều dài mật khẩu
tối thiểu, thời hạn của mật khẩu, nhập sai mật khẩu theo số lần quy định sẽ bị
khoá quyền sử dụng không cho đăng nhập. Thủ tục này làm giảm khả năng
đăng nhập thành công ngay những lần đầu của những người có ý đồ xâm nhập
trái phép.
Các thủ tục kiểm soát nhập liệu
§ Có thủ tục thiết lập quy định kỳ kế toán được mở để phục vụ cho công
tác ghi nhận nghiệp vụ. Mục đích của thủ tục này là chỉ cho phép ghi
nhận vào hệ thống những nghiệp vụ có thời gian thuộc kỳ kế toán đang
mở.
§ Kiểm tra tính duy nhất của danh mục. Thủ tục này không cho phép
người sử dụng tạo ra hai đối tượng có cùng mã số. Chẳng hạn, có hai
khách hàng có cùng mã số thì dễ dẫn đến những sai sót khi quản trị
công nợ của những khách hàng này.
§ Kiểm tra tính duy nhất của chứng từ nhập liệu: không cho phép tồn tại
hai số chứng từ nhập liệu giống nhau trong cùng một màn hình nhập
liệu. Ví dụ, không thể cho phép sự tồn tại song song hai phiếu chi có
cùng số phiếu.
§ Kiểm tra ngày chứng từ: cần khống chế không cho các chứng từ có
ngày không nằm trong kỳ kế toán mở được ghi nhận vào chương trình.
Điều này có nghĩa là thủ tục thiết lập mở kỳ kế toán ở trên chi phối việc
88
ghi nhận ngày tháng năm trên chứng từ, những chứng từ không thuộc
kỳ mở sẽ bị từ chối ghi nhận.
§ Kiểm tra tính hiện hữu của thông tin: khi nhập liệu nghiệp vụ thì không
thể ghi nhận những thông tin không tồn tại trong các danh mục được
khai báo. Chẳng hạn, không thể ghi nhận thông tin khách hàng chưa
từng tồn tại trong danh mục khách hàng cho nghiệp vụ bán hàng.
§ Kiểm tra tính bắt buộc của thông tin. Thủ tục này quy định những
thông tin quan trọng của nghiệp vụ bắt buộc phải được ghi nhận mà
không thể bỏ qua như số chứng từ, ngày chứng từ, tài khoản…
§ Kiểm tra tính quy ước, quy tắc của dữ liệu. Thủ tục này quy định thông
tin được ghi nhận không được phép sai về quy ước của kiểu dữ liệu. Ví
dụ, thông tin quy định phải nhập vào con số thì không được phép nhập
vào ký tự chữ như diễn giải…
§ Kiểm tra sự tồn tại và tính liên quan của dữ liệu: không cho phép xoá đi
những danh mục đã có sử dụng trong các nghiệp vụ phát sinh, không
được phép xoá đi những chứng từ bán hàng đã có phiếu thu tiền…
§ Kiểm tra tính cân đối của định khoản trong nghiệp vụ: khi nghiệp vụ
được ghi nhận vẫn chưa cân đối giữa Nợ và Có thì cần có cảnh báo và
không cho lưu lại.
§ Phân quyền người dùng trên phần mềm cần được kiểm soát chặt chẽ từ
tổng hợp đến chi tiết như cho phép phân quyền người dùng theo phần
hành kế toán (ví dụ: phần hành vốn bằng tiền), phân quyền theo nghiệp
vụ (ví dụ: thu, chi), phân quyền theo tác vụ (ví dụ: xem, thêm, sửa,
xoá). Trong đó, đặc biệt cần có chức năng phân quyền người dùng theo
chứng từ cho trường hợp phân công nhiều người cùng thực thi một
nhiệm vụ như giao cho hai người cùng làm nghiệp vụ chi tiền. Thủ tục
phân quyền theo chứng từ giúp tránh can thiệp bất hợp pháp vào công
89
việc của nhau như thêm, sửa hay xoá nghiệp vụ. Bên cạnh đó, trong
trường hợp này cũng cần kiểm soát sự trùng lắp về số chứng từ do hai
người cùng thao tác trên một giao diện cho dù việc đánh số chứng từ
được nhảy tự động hay đánh vào bằng tay.
§ Phần mềm cần hỗ trợ nhiều cho tự động hoá công tác kế toán như thiết
lập định khoản tự động cho tất cả các nghiệp vụ, tự động tính toán…
giúp giảm thiểu những sai sót do tính toán tay gây ra.
§ Cần có những ràng buộc cho nghiệp vụ xuất kho và chi tiền. Thủ tục
này được thiết lập sẽ không cho phép kế toán được xuất khống, chi
khống dẫn đến báo cáo tồn kho và báo cáo quỹ bị âm.
§ Cần có những chức năng giới hạn về định mức hàng tồn kho hỗ trợ cho
kiểm soát và quản trị hàng tồn kho; định mức tín dụng để kiểm soát
công nợ phải thu, phải trả (ví dụ: khi định mức tín dụng phải thu được
thiết lập sẽ không cho phép kế toán tiếp tục thực hiện nghiệp vụ bán
hàng vượt quá mức giới hạn công nợ cho phép); định mức về chi phí để
hỗ trợ cho kiểm soát và quản trị chi phí (ví dụ: khi định mức chi phí
tiếp khách được thiết lập thì sẽ không cho phép kế toán tiếp tục thực
hiện nghiệp vụ chi tiền vượt quá định mức chi phí cho phép).
§ Cần có thông báo rõ ràng, dễ hiểu cho người sử dụng phần mềm khi có
lỗi thao tác, lỗi dữ liệu xảy ra. Bên cạnh đó, thông báo mang tính
hướng dẫn cũng phải rõ ràng và dễ hiểu.
§ Ngoài ra cũng cần phải chú ý rằng vì để tiện lợi cho người sử dụng nên
các phần mềm thường thiết kế các màn hình nhập liệu kiêm nhiệm. Cho
nên có một số trường hợp màn hình nhập liệu thực hiện việc kiêm
nhiệm như màn hình mua hàng vừa ghi nhận công nợ phải trả của
nghiệp vụ mua hàng vừa kiêm luôn phiếu nhập kho. Do đó, khi phân
công nhiệm vụ chỉ cần phân công cho một người đảm nhận là đủ như
90
kế toán mua hàng nhưng trên thực tế thì vẫn phải duy trì hai kế toán để
thực thi nhiệm vụ đó là kế toán mua hàng và kế toán hàng tồn kho.
Trong trường hợp này, mặc dù kế toán hàng tồn kho không thao tác
nhập liệu nhưng vẫn tham gia vào phần mềm để kiểm tra kết quả của
phiếu nhập kho để tiến hành nhập kho theo thủ tục. Thêm vào đó, do
các màn hình nhập liệu trên phần mềm được thiết kế để phục vụ cho
các nhu cầu xử lý nghiệp vụ khác nhau nhưng thường thấy vẫn có thể
nhập lẫn lộn vào các màn hình này. Ví dụ vẫn có thể hạch toán tài
khoản hàng tồn kho ở các màn hình kế toán tiền hay hạch toán tài
khoản hàng tồn kho và tài khoản tiền ở màn hình kế toán tổng hợp. Vì
thế trong trường hợp có theo dõi chi tiết cho hàng tồn kho và chi tiết
cho vốn bằng tiền thì cần có những cảnh báo cho người dùng biết để
tránh gây ra lỗi dữ liệu về sau như số liệu giữa sổ cái tài khoản tiền và
sổ quỹ chi tiết không khớp nhau; sổ cái tài khoản hàng tồn kho và sổ
chi tiết hàng tồn kho không khớp nhau.
§ Trường hợp như vừa kể trên là có thực hiện việc kiêm nhiệm nhưng
kiêm nhiệm ở đây là kiêm nhiệm về thao tác nhập liệu. Do đó, đây là
trường hợp kiêm nhiệm ngoại lệ có thể chấp nhận được nhưng cần
tránh việc kiêm nhiệm sau như phân quyền cho cùng một người đảm
nhận vừa bán hàng, vừa thu tiền hay vừa mua hàng vừa trả tiền.
3.2.3 Những giải pháp về các thủ tục kiểm soát quy trình xử lý dữ liệu
Xử lý các nghiệp vụ trùng lắp
Cần có biện pháp xử lý trùng lắp về nghiệp vụ cho các trường hợp mà kế
toán thủ công đã gặp phải như mua hàng trả tiền ngay có thể dẫn tới trùng lắp
về nghiệp vụ giữa kế toán mua hàng và kế toán thanh toán; tương tự là sự
trùng lắp giữa kế toán bán hàng và kế toán công nợ đối với nghiệp vụ bán
hàng thu tiền ngay; nghiệp vụ thu chi giữa hai tài khoản tiền.
91
Cụ thể, các phần mềm nên chọn cách xử lý qua tài khoản trung gian để
tránh trùng lắp về nghiệp vụ như cách đề nghị sau:
§ Trường hợp mua hàng trả tiền ngay và trường hợp bán hàng thu tiền
ngay không nên chọn cách xử lý hạch toán trực tiếp qua tài khoản tiền
mà nên chọn cách xử lý hạch toán qua tài khoản trung gian 331 và 131
để theo dõi. Cách xử lý này tỏ ra rất hiệu quả vì nó mang lại nhiều ý
nghĩa như:
Ø Nghiệp vụ ghi nhận được rõ ràng, chặt chẽ, tách bạch và tránh
được sự trùng lắp.
Ø Không cần đắn đo suy nghĩ đến việc cần phải loại bỏ nghiệp vụ
khi ghi chép sổ sách như kế toán thủ công thường làm.
Ø Tuân thủ được nguyên lý kế toán.
Ø Dễ phân công, phân nhiệm.
Ø Tăng cường tính kiểm soát, tức có thể thực hiện kiểm tra chéo
giữa các nhiệm vụ kế toán.
Ø Vẫn đảm bảo theo dõi được trả ngay hay trả chậm.
§ Trường hợp ghi nhận nghiệp vụ thu chi giữa hai tài khoản tiền thì có hai
cách xử lý để tránh trùng lắp và có thể kiểm soát được:
Ø Chỉ cần ghi nhận một nghiệp vụ thu hoặc chi. Và khi ghi lên sổ
chi tiết có liên quan đều sử dụng chung một nghiệp vụ.
Ø Ghi nhận cả nghiệp vụ thu lẫn chi nhưng phải sử dụng tài khoản
trung gian như tài khoản 113.
Sắp xếp thứ tự chứng từ trên sổ sách và báo cáo kế toán
Khi trình bày số liệu trên các sổ sách và báo cáo kế toán cần ưu tiên sắp
xếp theo thứ tự ngày tháng trước. Riêng đối với sổ quỹ chi tiết và các báo cáo
kho chi tiết cần ưu tiên thêm việc sắp xếp theo thứ tự trong cùng một ngày thì
phiếu thu xếp trước phiếu chi, phiếu nhập xếp trước phiếu xuất để không bị
92
âm quỹ, âm kho. Việc trình bày này đã đảm bảo được yêu cầu về thẩm mỹ và
tính hợp lý.
Cách thức xử lý số liệu
Hiện tại trên thực tế tồn tại hai cách xử lý số liệu là xử lý trực tuyến (xử lý
theo thời gian thực) và xử lý theo lô. Riêng đối với phần mềm kế toán thì nên
chọn cách xử lý số liệu theo lô để kiểm soát chặt chẽ mọi thao tác trên phần
mềm, góp phần đáng kể cho hoạt động kiểm soát nội bộ tại doanh nghiệp. Tuy
nhiên, để cho việc xử lý số liệu theo lô này đạt được kết quả tốt cần phải thiết
kế kiểm soát theo lô theo quy trình được mô tả như sau:
Chứng từ gốc sau khi được ghi nhận vào phần mềm sẽ có tình trạng là
“Chờ xét duyệt”, nếu phát hiện ra sai sót cần điều chỉnh hay cần xoá thì vẫn
cho phép kế toán thực hiện ở giai đoạn này. Kế đến là giai đoạn xét duyệt
chứng từ, nếu những chứng từ nào được xét duyệt thành công tức đảm bảo về
tính hợp lý, hợp lệ thì sẽ có tình trạng là “Đã xét duyệt thành công”; còn
những chứng từ còn lại sẽ chuyển thành tình trạng “Bị loại bỏ”. Những chứng
từ bị loại bỏ này thường có hai cách xử lý là xoá bỏ hoặc sửa lại, nếu sửa lại
thì lặp lại giai đoạn xét duyệt chứng từ như trên. Cuối cùng là giai đoạn cập
nhật dữ liệu để lên các sổ sách và báo cáo kế toán liên quan. Kết thúc quy
trình này, sau khi số liệu được báo cáo thì những chứng từ đã được xét duyệt
thành công sẽ chuyển về tình trạng “Chỉ đọc” và không cho phép bất kỳ ai
được quyền sửa hay xoá nữa.
In báo cáo
Ghi nhận nghiệp vụ
Xét duyệt nghiệp vụ
Cập nhật và xử lý nghiệp vụ
Dưới đây là tóm lược về quy trình xử lý số liệu theo lô:
93
Thủ tục kiểm soát “duyệt chi”
Cần bổ sung thêm thủ tục kiểm soát nghiệp vụ mua hàng. Thủ tục này cho
phép duyệt chi cho nghiệp vụ mua hàng và chỉ những nghiệp vụ mua hàng
nào ở tình trạng “Chấp nhận thanh toán” thì mới xuất hiện trong danh sách
chứng từ duyệt chi ở màn hình phiếu chi và khi đó mới được phép chi tiền.
Cách thức sửa sai nghiệp vụ
Bên cạnh thủ tục mở kỳ kế toán cũng cần có thủ tục khoá kỳ kế toán để
hạn chế việc thêm, sửa, xoá nghiệp vụ của kỳ đã được báo cáo. Thực tế cho
thấy, do thói quen sửa sai trên chứng từ gốc của kế toán Việt Nam nên cũng
cần cho phép mở khoá những chứng từ “chỉ đọc” để kế toán có thể sửa sai
trong trường hợp chưa ra báo cáo. Tuy nhiên, cũng cần có sự kiểm soát việc
mở khoá để sửa sai này và thường thì quyền kiểm soát được trao cho người
quản trị phần mềm. Còn ngược lại, trong trường hợp đã in báo cáo thì cách
sửa sai tốt nhất là bổ sung nghiệp vụ điều chỉnh chứ không quay lại sửa chữa
trên chứng từ gốc. Việc sửa sai nghiệp vụ cần được quy định để kiểm soát
việc thực hiện, đồng thời gia tăng độ tin cậy của báo cáo.
Kiểm soát các chức năng tự động trên phần mềm
Hiện nay các phần mềm đều có hỗ trợ một số chức năng tự động như là
chức năng tính giá xuất kho tự động, bút toán kết chuyển xác định kết quả
kinh doanh tự động. Cho nên cần phải có thủ tục để kiểm soát những chức
năng này như không cho tính lại giá xuất kho của kỳ kế toán đã được báo cáo
vì nếu tính lại có khi dẫn đến sai lệch đôi chút do sai số hoặc không cho kết
chuyển xác định kết quả kinh doanh một lần nữa số liệu của kỳ kế toán đã kết
thúc.
94
3.2.4 Những giải pháp về các thủ tục kiểm soát thông tin đầu ra
Kiểm soát thông qua chứng từ gốc
Mặc dù công tác kế toán được tự động hoá gần như đầy đủ trên phần
mềm. Quá trình luân chuyển chứng từ gần như không hề thấy rõ, việc cung
cấp thông tin kế toán bằng phần mềm đã đạt độ tin cậy cao hơn so với phương
pháp thủ công. Nhưng cũng không nên quá chủ quan khi tin tưởng tuyệt đối
vào kết quả do phần mềm cung cấp. Do đó vẫn cần thiết có sự kiểm tra, đối
chiếu giữa số liệu của báo cáo được in ra với chứng từ gốc để kịp thời phát
hiện ra những sai sót. Công việc này cũng cần giao cho những nhân viên cụ
thể thực hiện.
Khoá kỳ kế toán
Cũng giống như thủ tục mở kỳ kế toán, khoá kỳ kế toán cũng được thực
hiện nhằm đảm bảo cho tính đúng đắn, nhất quán và chất lượng của báo cáo
được cung cấp. Khi khoá kỳ kế toán sẽ không cho phép các thao tác thêm,
sửa, xoá được thực hiện đối với kỳ đã báo cáo. Chức năng này phải được
kiểm soát bởi người quản trị phần mềm.
Kiểm tra sự liên tục của chứng từ và thứ tự ngày chứng từ
Cần có chức năng kiểm tra mối tương quan giữa sự liên tục của chứng từ
và thứ tự tăng dần của ngày chứng từ. Điều này có nghĩa là giữa sự liên tục
của số chứng từ và ngày chứng từ phải tương xứng nhau. Do đó, chức năng
này sẽ cảnh báo cho người dùng để điều chỉnh lại cho phù hợp, tránh hiện
tượng chứng từ có thứ tự đứng sau lại có ngày chứng từ nhỏ hơn ngày chứng
từ của chứng từ có thứ tự đứng trước.
Kiểm tra tính hợp lý, hợp lệ của số liệu kế toán
Việc kiểm tra này dựa trên nguyên lý kế toán. Do đó, cần có công cụ hỗ
trợ kiểm tra và thông báo cho người sử dụng biết các thông tin kế toán không
hợp lý, hợp lệ. Chẳng hạn như số dư đầu kỳ của tài khoản thể hiện dưới dạng
95
số âm; số dư cuối kỳ trên tài khoản tiền có số dư Có… Từ thông tin do công
cụ này cung cấp, kế toán tiến hành điều chỉnh lại những thông tin không phù
hợp.
Bên cạnh đó, cũng cần kiểm tra số dư cuối kỳ trên các tài khoản có khả
năng gây ảnh hưởng đối với kết quả của các báo cáo kế toán tổng hợp như các
tài khoản chi phí, tài khoản giá vốn và tài khoản doanh thu. Từ đó nhắc nhở
người sử dụng cần thực hiện những thao tác cần thiết tiếp theo để kết thúc
một chu kỳ kế toán.
Hiện nay một số phần mềm kế toán cho phép làm nghiệp vụ nhiều Nợ,
nhiều Có nhưng chưa có thủ tục để kiểm soát tính cân đối của các nghiệp vụ
này. Do đó, cần có thủ tục kiểm tra tính cân đối này thông qua so sánh giữa
báo cáo in dưới dạng đối ứng với báo cáo in dưới dạng không đối ứng để làm
căn cứ đối chiếu nhằm phát hiện ra những nghiệp vụ vi phạm quy tắc nhập
liệu.
Kiểm tra, đối chiếu số liệu kế toán
Trên các sổ sách và báo cáo in ra cần thể hiện thông tin về thời gian in để
tiện cho việc đối chiếu và kiểm tra khi cần thiết. Đồng thời, cũng nên hỗ trợ
công cụ truy vấn thông tin ngược tức là từ báo cáo tổng in ra có thể truy về
báo cáo chi tiết và từ báo cáo chi tiết tiếp tục truy tìm về chứng từ gốc. Rõ
ràng là công cụ này sẽ là ưu điểm tuyệt vời của phần mềm mà trong phương
pháp thủ công không thể có được. Công tác kiểm tra, đối chiếu số liệu phải
được thực hiện tại tất cả các phần hành kế toán vào cuối ngày, cuối tuần hoặc
cuối tháng.
96
3.2.5 Những giải pháp khác về các thủ tục kiểm soát trên phần mềm
ứng dụng
Ngoài những nội dung đã đề cập ở trên, phần mềm ứng dụng cũng cần hỗ
trợ cho người dùng công cụ theo dõi dấu vết kiểm toán (Audit Trails) để theo
dõi toàn bộ mọi hoạt động và thao tác trên phần mềm. Qua đó, giúp kiểm soát
chặt chẽ người dùng và quy trách nhiệm cho các đối tượng có liên quan. Tuy
nhiên, công cụ này cần phải theo dõi chi tiết đến từng nội dung của nghiệp vụ
để trở thành công cụ kiểm soát thật sự hữu hiệu. Đồng thời, công cụ này cũng
nên cho phép in ra báo cáo theo dõi dấu vết kiểm toán để lưu trữ làm bằng
chứng về sau. Công cụ này sẽ được giao cho người quản trị phần mềm, thông
thường là kế toán trưởng hoặc giám đốc tài chính.
Để việc sử dụng phần mềm kế toán đảm bảo độ tin cậy cao, trước khi đưa
phần mềm vào vận hành, cần phải tổ chức nhập liệu thử nghiệm trên số liệu
thực tế phát sinh của một vài kỳ kế toán để kiểm chứng. Song song đó vẫn
phải duy trì hệ thống cũ, đồng thời cần so sánh đối chiếu số liệu giữa hai hệ
thống mới và cũ để xác nhận độ tin cậy của phần mềm.
Cần chú ý đến một vài vấn đề trong trường hợp có tổ chức nhập liệu phân
tán:
§ Nếu dữ liệu được ghi nhận tại các chi nhánh trên tập tin dữ liệu riêng
thì cần chú ý đến việc kiểm soát vấn đề tổng hợp số liệu. Thông thường
các phần mềm kế toán hiện nay hỗ trợ việc tổng hợp số liệu về công ty
mẹ theo cách xuất khẩu số liệu định kỳ thành tập tin Excel hoặc Access
rồi gởi về công ty bằng phương tiện thư điện tử. Cho nên, tập tin dữ
liệu gởi về công ty cần phải được kiểm soát để ngăn chặn những hành
vi che dấu sai trái bằng việc thay đổi nội dung trên tập tin gởi về. Cách
kiểm soát có thể chấp nhận được hiện nay là thiết lập mật khẩu trên tập
tin gởi về, có nghĩa là tập tin được phần mềm xuất ra có cài mật khẩu tự
97
động để không cho chi nhánh mở ra. Tuy nhiên, cũng cần yêu cầu chi
nhánh gởi kèm chứng từ gốc về để đối chiếu khi tập tin được nhập khẩu
vào cơ sở dữ liệu tổng của công ty bởi hiện nay có một số phần mềm có
khả năng dò ra mật khẩu của các loại tập tin này. Hoặc cách khác, có
thể kiểm soát chặt chẽ hơn số liệu của chi nhánh bằng cách thuê trường
truyền riêng (lease line) để sử dụng cho công tác nhập liệu của chi
nhánh. Theo cách này thì không cần chi nhánh phải xuất dữ liệu để gởi
về định kỳ mà có thể tổ chức nhập liệu chung vào cơ sở dữ liệu của
công ty (công ty mẹ và chi nhánh sử dụng chung một cơ sở dữ liệu)
hoặc tổ chức nhập vào cơ sở dữ liệu riêng của chi nhánh nhưng cơ sở
dữ liệu này không để tại máy chủ của chi nhánh mà để tại máy chủ của
công ty mẹ.
§ Hiểu rõ cấu tạo, cách vận hành phần mềm và tăng cường các kỹ năng
tin học để sử dụng phần mềm đạt hiệu quả cao nhất.
§ Cần thống nhất quy định trong toàn công ty về cách quy ước đánh số
chứng từ, cách mã hoá thông tin cho các danh mục sao cho việc sử
dụng thông tin được tiện lợi và hiệu quả. Việc quy định này giúp tránh
trường hợp trùng lắp thông tin giữa các chi nhánh với nhau như trùng
lắp về số chứng từ (ví dụ: có hai hay nhiều phiếu chi có cùng số chứng
từ), trùng lắp về mã danh mục nhưng khác tên (ví dụ: có hai khách hàng
có cùng mã số nhưng khác tên) hoặc cùng một tên nhưng có nhiều mã
khác nhau (ví dụ: cùng đúng là khách hàng A nhưng lại có hai mã số
khác nhau). Và nếu để trùng lắp như vậy xảy ra thì chắc chắn một điều
rằng số liệu được cung cấp sẽ không chính xác, đồng thời gây khó cho
công tác quản lý những đối tượng này.
98
3.3 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT DỮ LIỆU
Để có thể quản trị dữ liệu được hiệu quả, an toàn và bảo mật đòi hỏi việc
đầu tư phải tập trung vào cả phần cứng lẫn phần mềm. Một số giải pháp về
kiểm soát dữ liệu được đưa ra như sau:
3.3.1 Tổ chức máy chủ
Đối với doanh nghiệp có tổ chức hệ thống thư điện tử và trang Web riêng
tại doanh nghiệp của mình thì nên trang bị ba máy chủ có cấu hình đáp ứng,
trong đó mỗi máy chủ phải có ít nhất từ hai ổ cứng trở lên. Việc trang bị này
nghe qua có vẻ tốn kém, thế nhưng hiệu quả của nó thì khỏi phải bàn cãi.
Cụ thể, trong ba máy chủ thì có một máy làm nhiệm vụ lưu trữ dữ liệu
chung của công ty, máy thứ hai làm nhiệm vụ quản lý hệ thống thư điện tử và
máy còn lại quản lý hệ thống Website của doanh nghiệp. Cách thức tổ chức ba
máy chủ như vậy phần nào hạn chế các rủi ro có thể xảy ra đồng thời và việc
sửa chữa cũng được thực hiện dễ dàng mà không ảnh hưởng lẫn nhau.
Thêm vào đó, trên một máy chủ có nhiều ổ cứng cũng sẽ thuận tiện trong
việc thay thế lẫn nhau khi ổ chính bị lỗi hay bị hỏng hóc. Đi kèm với máy
chủ, cần trang bị thêm các bộ lưu điện UPS để đề phòng sự cố mất điện đột
ngột. Đối với hệ thống máy chủ, cần giao cho bộ phận chuyên trách quản lý,
thường là bộ phận IT nhưng nên giao cho người am hiểu về dữ liệu và các
phần mềm quản trị dữ liệu.
3.3.2 Tổ chức sao lưu dữ liệu
Cần thiết lập chế độ sao lưu dữ liệu tự động theo kế hoạch trên máy chủ
vào thiết bị lưu trữ Tape; đồng thời cũng cần sao lưu dữ liệu vào các thiết bị
khác như máy tính khác, ổ cứng rời, đĩa CD, DVD… để có thể phục hồi khi
cần thiết.
99
Dữ liệu của các phần mềm được tổ chức trên hệ quản trị cơ sở dữ liệu như
Microsoft SQL Server hay Oracle cũng cho phép thiết lập sao lưu dữ liệu tự
động theo kế hoạch được thiết lập.
Song hành với việc sao lưu dữ liệu tự động cũng cần phải có kế hoạch để
kiểm tra việc sao lưu tự động và các dữ liệu đã sao lưu có hoạt động bình
thường hay không. Việc kiểm tra này được thực hiện bằng cách thiết lập khôi
phục lại dữ liệu như một bản test để chạy thử như bản thật.
Bên cạnh công tác lưu trữ dữ liệu do bộ phận IT thực hiện, các bộ phận
khác có sử dụng phần mềm ứng dụng cũng nên sao lưu dữ liệu đồng thời với
bộ phận IT để đảm bảo an toàn tuyệt đối, tránh quan niệm việc sao lưu dữ liệu
là nhiệm vụ của IT.
Trong tương lai gần, các doanh nghiệp cũng cần quan tâm đến việc thuê
một trung tâm dữ liệu (data center) từ xa để lưu trữ dữ liệu cho mình để đề
phòng những tai hoạ bất ngờ như hoả hoạn, lũ lụt, động đất, khủng bố hay
chiến tranh. Việc làm này cũng giống như việc mua bảo hiểm cho dữ liệu của
mình.
100
3.3.3 Kiểm soát dữ liệu đối với các đối tượng bên ngoài doanh nghiệp
Khi có khách đến công tác tại doanh nghiệp, cần có phòng riêng để tiếp
khách, tránh đưa khách vào các bộ phận chức năng để phòng ngừa rủi ro về
mất cắp dữ liệu hay đọc những thông tin không được phép. Đặc biệt là, không
cho khách mượn máy tính để làm việc hay truy cập thông tin và nếu có cho
mượn thì cần có người giám sát việc sử dụng này. Tương tự như vậy, cũng
cần có sự giám sát đối với các nhân viên bảo trì phần cứng, phần mềm để
ngăn cản những hành vi sao chép dữ liệu trái phép hay huỷ hoại dữ liệu của
doanh nghiệp. Trong trường hợp nếu phải đem dữ liệu về sửa chữa thì cần
phải có sự đồng ý của người có thẩm quyền, đồng thời phải có sự cam kết về
bảo mật dữ liệu từ phía nhà cung cấp dịch vụ. Những công việc giám sát này
cần giao cho những nhân viên có chuyên môn liên quan đảm nhiệm.
3.4 ỨNG DỤNG CÁC THỦ TỤC KIỂM SOÁT TRÊN PHẦN MỀM
VÀO HOẠT ĐỘNG KIỂM SOÁT MỘT SỐ CHU TRÌNH SẢN
XUẤT KINH DOANH TẠI DOANH NGHIỆP
3.4.1 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát chu trình mua
hàng
3.4.1.1 Mô tả chu trình mua hàng
Chu trình mua hàng có sự tham gia của các bộ phận như bộ phận yêu cầu,
bộ phận mua hàng, bộ phận nhận hàng, kế toán hàng tồn kho và kế toán nợ
phải trả. Các bộ phận này là độc lập nhau.
Chu trình mua hàng thường thấy ở các doanh nghiệp được mô tả như sau:
101
Yêu cầu mua hàng
Khi bộ phận kinh doanh hay các bộ phận khác có yêu cầu về mua hàng,
chứng từ đầu tiên cần lập là phiếu đề nghị mua hàng. Ngoài số hiệu chứng từ;
phiếu yêu cầu cần phải có đầy đủ một số nội dung cơ bản như ngày yêu cầu,
bộ phận yêu cầu, người yêu cầu, nội dung yêu cầu hay mục đích sử dụng, tên
hàng hoá, chủng loại, quy cách, số lượng… và phiếu yêu cầu này cần phải có
đủ các chữ ký của những người liên quan như người yêu cầu, trưởng bộ phận
và người có thẩm quyền xét duyệt.
Đặt hàng
Phiếu yêu cầu sau khi đã được phê duyệt đầy đủ sẽ được chuyển cho bộ
phận mua hàng. Căn cứ vào nội dung của phiếu yêu cầu mua hàng đã được
duyệt; bộ phận mua hàng tiến hành lập đơn đặt hàng thành nhiều liên, một
liên lưu lại tại bộ phận mua hàng, một liên gởi đến cho nhà cung cấp; các liên
còn lại gởi cho các bộ phận liên quan như bộ phận nhận hàng, kế toán nợ phải
trả… Đơn đặt hàng phải được đánh số trước theo thứ tự liên tục để kiểm soát.
Trên đơn đặt hàng phải thể hiện một số nội dung như số phiếu yêu cầu mua
hàng, ngày đặt hàng, tên hàng, số lượng, quy cách, giá cả, tên và địa chỉ nhà
cung cấp, người lập đơn đặt hàng, người phê duyệt… Thêm vào đó, hợp đồng
mua bán được ký kết với nhà cung cấp cũng là bằng chứng chắc chắn cho
việc thực thi nghiệp vụ mua hàng. Để quản lý chặt chẽ đơn đặt hàng, người ta
thường quản lý đơn đặt hàng theo ba phân loại sau:
§ Lưu trữ và quản lý đơn đặt hàng đã phát hành nhưng chưa nhận hàng.
§ Lưu trữ và quản lý đơn đặt hàng đã phát hành và đã nhận được hàng.
§ Lưu trữ và quản lý đơn đặt hàng đã phát hành nhưng không được thực
hiện.
102
Việc kiểm tra số thứ tự liên tục của đơn đặt hàng và đối chiếu cùng với
các sổ sách ghi nhận nghiệp vụ mua hàng sẽ là bằng chứng về sự đầy đủ của
nghiệp vụ mua hàng.
Nhận hàng
Tại nơi giao hàng, bộ phận nhận hàng sẽ căn cứ vào đơn đặt hàng và hợp
đồng mua bán để kiểm tra chủng loại, quy cách, số lượng cũng như chất
lượng của hàng được giao. Bên cạnh đó, tiến hành kiểm tra các nội dung ghi
trên hoá đơn của nhà cung cấp như tên đơn vị mua hàng, mã số thuế, số
lượng, đơn giá, thành tiền trên hoá đơn xem có khớp với nội dung của đơn đặt
hàng và hợp đồng mua bán hay không.
Sau khi kiểm tra, bộ phận nhận hàng sẽ lập phiếu nhập kho hoặc báo cáo
nhận hàng; trên đó có tham chiếu đến các nội dung như ngày nhận hàng, số
hiệu đơn đặt hàng, hoá đơn của nhà cung cấp và số hợp đồng mua bán. Nếu là
phiếu nhập kho thì cần đánh số trước theo thứ tự tăng dần để kiểm soát.
Ghi nhận hàng mua và thanh toán
Căn cứ vào bộ chứng từ gốc bao gồm phiếu yêu cầu mua hàng, đơn đặt
hàng, hợp đồng mua bán, hoá đơn của nhà cung cấp và báo cáo nhận hàng
hoặc phiếu nhập kho; kế toán hàng tồn kho sẽ tiến hành ghi nhận nghiệp vụ
mua hàng vào sổ chi tiết hàng tồn kho. Bộ chứng từ này sẽ được lưu trữ vào
hồ sơ mua hàng theo thứ tự của phiếu nhập kho.
Đồng thời; các chứng từ như đơn đặt hàng, hợp đồng mua bán, hoá đơn
của nhà cung cấp và báo cáo nhận hàng hoặc phiếu nhập kho được chuyển
đến cho kế toán công nợ để ghi nhận nợ phải trả. Bộ chứng từ này cũng được
lưu vào hồ sơ các hoá đơn chưa thanh toán theo thứ tự thời gian thanh toán.
103
Định kỳ, căn cứ vào kế hoạch chi tiêu hoặc biên bản đối chiếu công nợ
phải trả do nhà cung cấp gởi đến để đề nghị chi trả nợ cho nhà cung cấp dựa
trên cơ sở có đối chiếu, kiểm tra với đơn đặt hàng, hợp đồng mua bán, báo
cáo nhận hàng và hoá đơn của nhà cung cấp. Đồng thời, kế toán cũng tiến
hành đối chiếu giữa sổ chi tiết nhà cung cấp với sổ cái để phát hiện ra những
sai biệt.
Sau khi đề nghị chi trả được người có thẩm quyền phê duyệt, kế toán công
nợ phải trả tiến hành lập phiếu chi rồi chuyển đến cho thủ quỹ để thực hiện
chi trả. Việc chi trả nên được thực hiện qua hệ thống ngân hàng để đảm bảo
an toàn. Đồng thời, đề nghị chi trả cùng với những chứng từ liên quan phải
được đánh dấu để tránh tái sử dụng lại.
Bảo quản và kiểm kê hàng tồn kho
Tuỳ vào đặc điểm của hàng tồn kho, cần tổ chức lưu trữ chúng trong các
điều kiện đảm bảo an toàn nhằm tránh rủi ro tổn thất hoặc hư hại như ẩm ướt,
cháy nổ, mất cắp, gây ô nhiễm cho môi trường xung quanh… Bên cạnh đó,
cần tiến hành kiểm kê kho định kỳ hoặc đột xuất nhằm phát hiện ra những
chênh lệch giữa thực tế và sổ sách, đồng thời giúp phát hiện và đề phòng
những rủi ro kể trên. Công việc này cần có sự tham gia của kế toán hàng tồn
kho, thủ kho, người làm chứng thứ ba thuộc bộ phận khác và người có chuyên
môn về kỹ thuật bảo quản hàng tồn kho.
Như vậy chu trình mua hàng dùng cho doanh nghiệp thương mại ở trên
cũng được áp dụng tương tự cho doanh nghiệp sản xuất nhưng cần bổ sung
thêm các thủ tục kiểm soát quá trình sản xuất từ khâu xuất nguyên vật liệu
cho đến khâu nhập kho thành phẩm để kiểm soát chặt chẽ các chi phí phát
sinh, tạo điều kiện cho công tác tính giá thành sản phẩm được chính xác. Để
làm được điều này, việc yêu cầu mua nguyên vật liệu và xuất sử dụng nguyên
104
vật liệu phải theo kế hoạch sản xuất. Trường hợp doanh nghiệp tự tổ chức lưu
trữ nguyên vật liệu đầu vào ngay tại phân xưởng sản xuất thì bộ phận sản xuất
cần lập phiếu yêu cầu mua nguyên vật liệu có đầy đủ thông tin như số phiếu
yêu cầu, ngày yêu cầu, mục đích sử dụng, số lượng, chủng loại, quy cách
nguyên vật liệu, người yêu cầu, người duyệt… để chuyển cho bộ phận mua
hàng và thực hiện các thủ tục tương tự như tiến hành ở doanh nghiệp thương
mại. Ngược lại, nếu doanh nghiệp có kho riêng để lưu trữ nguyên vật liệu thì
phiếu yêu cầu nguyên vật liệu được duyệt sẽ được chuyển cho kế toán hàng
tồn kho lập phiếu xuất kho rồi chuyển cho thủ kho làm thủ tục xuất kho.
3.4.1.2 Ứng dụng phần mềm vào hoạt động kiểm soát chu trình mua
hàng
Những thủ tục kiểm soát chu trình mua hàng như mô tả ở trên được thực
hiện trong môi trường thủ công. Tuy nhiên, trong điều kiện ứng dụng tin học
thì việc thực hiện các thủ tục kiểm soát này có một số thay đổi với những đề
xuất như sau:
Yêu cầu mua hàng
Phiếu đề nghị mua hàng từ các bộ phận có nhu cầu sử dụng nên được thực
hiện bằng phần mềm được lập trình riêng nhưng tốt nhất là được tích hợp vào
phần mềm kế toán hay cao cấp hơn là sử dụng phần mềm ERP (Enterprise
Resources Planning). Việc lập phiếu yêu cầu mua hàng được thực hiện trên
phần mềm có lợi điểm là có thể đánh số thứ tự liên tục, hơn nữa việc đánh số
thứ tự có thể thực hiện theo từng bộ phận khác nhau và dễ dàng phân quyền
cho người sử dụng và sẽ được tự động kiểm tra sự trùng lắp số hiệu của phiếu
yêu cầu mua hàng. Đồng thời, các nội dung được lập trên phiếu yêu cầu mua
hàng có thể được kế thừa cho các bước tiếp theo đã giúp tiết kiệm thời gian,
105
công sức của con người và hạn chế sự ghi nhận các nội dung sai lệch so với
yêu cầu ban đầu.
Phiếu yêu cầu mua hàng nên được thể hiện ở ba trạng thái khác nhau bao
gồm: “Chờ xét duyệt”, “Đã chấp thuận” và “Không chấp thuận”. Khi phiếu
yêu cầu mua hàng được chấp thuận thì lập tức có thư điện tử được thiết kế tự
động trên phần mềm gởi thông báo đến cho bộ phận mua hàng để chờ tạo đơn
đặt hàng. Chức năng xét duyệt phiếu yêu cầu mua hàng được người có thẩm
quyền thực hiện ngay trên phần mềm. Cũng tương tự như phương pháp xử lý
tay, chức năng xét duyệt yêu cầu mua hàng cần tập trung vào một người duy
nhất để dễ kiểm soát.
Đặt hàng
Tương tự như phiếu yêu cầu mua hàng, đơn đặt hàng cũng được xử lý trên
phần mềm. Khi ấy, phiếu yêu cầu mua hàng ở tình trạng “Đã chấp thuận”
được bộ phận mua hàng tiếp cận với thuộc tính quy định là “Chỉ đọc” để tránh
thay đổi nội dung trên phiếu yêu cầu mua hàng. Bên cạnh đó, mặc dù phiếu
yêu cầu mua hàng được lập bằng phần mềm cũng cần phải in ra giấy với đầy
đủ nội dung, đặc biệt là chữ ký của người có thẩm quyền xét duyệt để lưu trữ
và chuyển đến bộ phận mua hàng như đã thực hiện bằng phương pháp thủ
công. Biện pháp này cũng nhằm đề phòng trường hợp đánh cắp quyền truy
cập của người có thẩm quyền xét duyệt để mạo danh việc xét duyệt nhằm tạo
ra phiếu yêu cầu mua hàng giả tạo.
Kế đến, những nội dung trên phiếu yêu cầu mua hàng sẽ được kế thừa sử
dụng lại trên đơn đặt hàng do bộ phận mua hàng lập ra và đồng thời trên đơn
đặt hàng có thể hiện nội dung tham chiếu đến số phiếu yêu cầu mua hàng để
tạo thuận tiện cho công tác kiểm tra, đối chiếu khi có yêu cầu. Ngược lại, khi
đơn đặt hàng đã được lập thì người lập phiếu yêu cầu mua hàng ban đầu sẽ
106
không còn được phép sửa hay xoá nội dung của phiếu yêu cầu mua hàng nữa
vì nó đã được sử dụng cho đơn đặt hàng và để đảm bảo cho sự nhất quán về
số liệu giữa phiếu yêu cầu mua hàng và đơn đặt hàng.
Cuối cùng, đơn đặt hàng được kết xuất ra thư điện tử hoặc kết xuất ra fax
để chuyển đến nhà cung cấp. Đơn đặt hàng sau khi được nhà cung cấp xác
nhận chắc chắn cho việc cung cấp như đã yêu cầu, bộ phận mua hàng cần in
ra để lưu trữ và chuyển đến các bộ phận liên quan như bộ phận nhận hàng, kế
toán kho và kế toán nợ phải trả để thực hiện các bước tiếp theo của chu trình
mua hàng. Đơn đặt hàng này cũng phải đầy đủ nội dung như đã mô tả ở
phương pháp xử lý thủ công; đồng thời tổ chức sắp xếp và quản lý chặt chẽ
các đơn đặt hàng bên ngoài phần mềm theo ba phân loại như đã đề cập ở trên.
Việc phân loại này sẽ giúp cho đơn đặt hàng không bị thất lạc, không bị tái sử
dụng, dễ kiểm tra và đối chiếu về sau…
Nhận hàng
Bước tiếp theo là nhiệm vụ do bộ phận nhận hàng đảm nhận, nhiệm vụ
này được thực hiện bằng tay bên ngoài phần mềm. Khi hàng hoá được nhận
đầy đủ theo đúng yêu cầu; bộ phận nhận hàng cần đóng mộc “Đã nhận hàng”
lên trên đơn đặt hàng, đồng thời thông báo đến bộ phận mua hàng là đã thực
hiện xong đơn đặt hàng và lập báo cáo nhận hàng trong đó có nội dung tham
chiếu đến số phiếu của đơn đặt hàng. Báo cáo nhận hàng sau khi lập xong
phải chuyển đến cho kế toán kho và kế toán nợ phải trả để làm căn cứ ghi sổ
và trên đó có thể hiện thông tin tham chiếu đến số phiếu của đơn đặt hàng.
Ngược lại trong trường hợp phải huỷ đơn đặt hàng, thanh lý hợp đồng do
không nhận được hàng theo như yêu cầu; bộ phận nhận hàng cũng sẽ đóng
mộc “Không thực hiện” lên trên đơn đặt hàng và thông báo tình trạng đến cho
bộ phận mua hàng, kế toán kho và kế toán nợ phải trả biết để xử lý.
107
Ghi nhận hàng mua và thanh toán
Trong trường hợp đã thực hiện việc nhận hàng, bộ phận mua hàng ngoài
việc đóng mộc “Đã nhận hàng” lên trên đơn đặt hàng phải vào phần mềm
chuyển trạng thái đơn đặt hàng từ “Chờ nhận hàng” thành “Đã nhận hàng”.
Đơn đặt hàng ở tình trạng “Đã nhận hàng” sẽ làm phát sinh một thư điện tử
thông báo đến cho kế toán kho với nội dung “Có nghiệp vụ mua hàng chờ ghi
nhận”. Và cũng như phiếu yêu cầu mua hàng đã được chấp nhận, kế toán kho
tiếp cận đơn đặt hàng với thuộc tính “Chỉ đọc”. Những thông tin trên đơn đặt
hàng được kế thừa tự động để lập phiếu nhập kho trên phần mềm, trong đó có
tham chiếu đến số phiếu đơn đặt hàng. Khi này, bộ phận mua hàng sẽ không
được quyền sửa hay xoá đơn đặt hàng đã được tạo lập thành phiếu nhập kho
nhằm đảm bảo tính nhất quán giữa phiếu nhập kho và đơn đặt hàng. Ngoài ra,
kế toán kho cũng làm thêm một thao tác bên ngoài phần mềm là đóng mộc
“Đã nhận hàng” vào đơn đặt hàng do bộ phận mua hàng gởi tới trước đó.
Thêm vào đó, cần chú ý là do tính thuận tiện trên phần mềm nên khi kế
toán kho thực hiện nghiệp vụ mua hàng thì cũng kiêm luôn việc ghi nhận
công nợ phải trả. Vì thế kế toán nợ phải trả sẽ kế thừa thông tin do kế toán
kho ghi nhận nhưng vẫn phải luôn kiểm tra lại để phát hiện ra sai lệch nhằm
xử lý kịp thời. Trong nghiệp vụ mua hàng mà cụ thể là phiếu nhập kho có thể
hiện thông tin liên quan đến đơn đặt hàng và số hoá đơn của nhà cung cấp để
tiện cho việc theo dõi nợ phải trả.
Để đảm bảo sự chặt chẽ cho việc kiểm soát quá trình chi trả nợ cho nhà
cung cấp, cần thiết phải thanh toán chi trả theo từng hoá đơn của nhà cung cấp
và phải thiết kế cho hoá đơn mua hàng (hoá đơn của nhà cung cấp) hai tình
trạng là “Chờ duyệt chi” và “Chấp nhận thanh toán”. Chỉ khi nào phiếu yêu
cầu duyệt chi trả nợ nhà cung cấp của bộ phận mua hàng gởi đến có sự phê
108
duyệt của người có thẩm quyền (chẳng hạn giám đốc), đồng thời hoá đơn của
nhà cung cấp trên phần mềm có tình trạng là “chấp nhận thanh toán” thì trong
màn hình lập phiếu chi của kế toán nợ phải trả mới xuất hiện hoá đơn này.
Đoạn kết của chu trình này là phiếu chi tiền được in ra có đầy đủ chữ ký
và những nội dung liên quan được chuyển đến thủ quỹ để thực hiện việc chi
trả. Bên cạnh, cần đóng mộc “Đã chi tiền” lên hoá đơn của nhà cung cấp để
tránh chi trùng lắp lần nữa.
Như vậy là, theo như thiết kế các thủ tục để kiểm soát chu trình mua hàng
trên phần mềm thì phiếu yêu cầu mua hàng bị ràng buộc bởi đơn đặt hàng và
đơn đặt hàng lại bị ràng buộc bởi phiếu nhập kho. Do đó, khi muốn sửa hay
xoá phiếu yêu cầu mua hàng thì cần phải huỷ phiếu nhập kho và đơn đặt hàng
trước. Tương tự, nếu muốn sửa hay xoá đơn đặt hàng thì trước hết phải huỷ
phiếu nhập kho. Hơn nữa, việc ghi nhận phần lớn các bước công việc của chu
trình mua hàng trên phần mềm với các thủ tục kiểm soát ở từng bước cùng
với việc kiểm tra chéo công việc giữa các bộ phận đã giúp tăng cường khả
năng kiểm soát chặt chẽ việc thực hiện của từng bộ phận từ lúc bắt đầu cho
đến lúc kết thúc.
3.4.2 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát chu trình bán
hàng
3.4.2.1 Mô tả chu trình bán hàng
Chu trình bán hàng có sự tham gia của các bộ phận như bộ phận bán hàng,
bộ phận xét duyệt hạn mức tín dụng bán chịu, kế toán hàng tồn kho, thủ kho,
bộ phận giao hàng, bộ phận viết hoá đơn, kế toán nợ phải thu và thủ quỹ.
109
Yêu cầu mua hàng từ khách hàng
Khởi đầu của nghiệp vụ bán hàng là đơn đặt hàng nhận được từ khách
hàng gởi đến cho bộ phận bán hàng. Đơn đặt hàng này thường được gởi đến
bằng thư điện tử, fax hoặc điện thoại và được xác nhận bởi bộ phận bán hàng
về các nội dung như số lượng, chủng loại, quy cách… nhằm xác định khả
năng cung ứng của doanh nghiệp đối với khách hàng. Sau khi đơn đặt hàng
được xét duyệt, lệnh bán hàng sẽ được bộ phận bán hàng ban hành. Tuy
nhiên, trên thực tế hiện nay các nghiệp vụ bán hàng thường diễn ra đối với các
khách hàng là pháp nhân với hình thức bán chịu là chủ yếu. Do đó, cần có sự
tham gia của bộ phận xét duyệt hạn mức tín dụng bán chịu để hạn chế rủi ro
trong việc thu hồi nợ.
Xét duyệt hạn mức tín dụng bán chịu
Bộ phận xét duyệt hạn mức tín dụng căn cứ vào đơn đặt hàng và các
thông tin khác từ bên trong hay bên ngoài doanh nghiệp để đánh giá về khả
năng thanh toán của khách hàng nhằm xét duyệt việc bán chịu. Chính sách
bán chịu phải được thiết lập cụ thể, rõ ràng và thường xuyên cập nhật những
thông tin mới nhất về tình hình tài chính của khách hàng sẽ giúp tăng cường
kiểm soát nợ phải thu.
Xuất kho hàng bán và giao hàng
Căn cứ vào lệnh bán hàng đã được phê chuẩn bởi bộ phận xét duyệt hạn
mức tín dụng, thủ kho tiến hành xuất kho chuyển đến cho bộ phận gởi hàng
để giao cho khách hàng trên cơ sở lập chứng từ giao hàng. Bộ phận gởi hàng
cần tổ chức thành một bộ phận độc lập với thủ kho để hạn chế sự thông đồng
giữa thủ kho và người nhận hàng.
110
Viết hoá đơn bán hàng
Chứng từ giao hàng được gởi đến cho bộ phận viết hoá đơn để làm căn cứ
lập hoá đơn cho khách hàng (bộ phận này độc lập với bộ phận kế toán). Cần
đối chiếu, so sánh các nội dung trên lệnh bán hàng với chứng từ giao hàng để
làm căn cứ lập hoá đơn cho chính xác. Bên cạnh đó; cũng cần có quy định rõ
ràng về chích sách chiết khấu, cập nhật những thông tin mới nhất về bảng giá
hàng bán được duyệt và cần kiểm tra lại nội dung của hoá đơn bởi một người
độc lập với người viết hoá đơn trước khi chuyển đến cho khách hàng.
Theo dõi nợ phải thu
Dựa trên hoá đơn do bộ phận viết hoá đơn chuyển đến, kế toán nợ phải
thu tiến hành ghi nhận nợ phải thu. Nợ phải thu nên được phân loại theo nhóm
tuổi để quản trị; trong đó cần phân biệt nợ quá hạn, nợ chưa đến hạn để kiểm
soát chặt chẽ việc thu nợ. Bên cạnh đó, cũng thường xuyên lập biên bản đối
chiếu nợ phải thu gởi đến khách hàng để thông báo thu nợ, xác nhận nợ và tạo
thuận tiện cho việc điều chỉnh nếu có sai sót. Khi chấp nhận thanh toán của
khách hàng được gởi đến, kế toán nợ phải thu tiến hành lập phiếu thu tiền và
in ra với đầy đủ thông tin chuyển cho thủ quỹ để tiến hành thu tiền. Để đảm
bảo chặt chẽ cho việc thu hồi công nợ, việc thu tiền nên thu theo từng đối
tượng và theo từng hoá đơn bán hàng.
Hàng bán bị trả lại, giảm giá
Đối với trường hợp hàng trả lại và giảm giá, cần có một bộ phận tiếp nhận
để giải quyết (bộ phận này cũng độc lập với những bộ phận ở trên) khi khách
hàng có yêu cầu trả hàng với lý do hợp lý. Chứng từ ghi nhận cho hàng bán
trả lại và giảm giá cũng nên lập thành mẫu riêng có đánh trước số thứ tự liên
tục, đồng thời sẽ là căn cứ để kế toán ghi nhận nghiệp vụ.
111
3.4.2.2 Ứng dụng phần mềm vào hoạt động kiểm soát chu trình bán
hàng
Chu trình bán hàng được mô tả lại trong điều kiện ứng dụng phần mềm
như sau:
Xử lý đơn đặt hàng của khách hàng và xét duyệt hạn mức tín dụng bán
chịu
Đơn đặt hàng nhận được từ khách hàng qua điện thoại, fax hoặc thư điện
tử… sẽ được bộ phận bán hàng xử lý chặt chẽ và phản hồi lại. Cụ thể, cần
kiểm tra lại các yêu cầu trong điều kiện có tham chiếu đến tình trạng hàng hoá
đang có ở doanh nghiệp để đảm bảo chắc chắn cho việc cung cấp hàng. Nếu
thực hiện theo hình thức bán chịu, cần có sự kiểm duyệt hạn mức tín dụng của
bộ phận xét duyệt hạn mức tín dụng bán chịu.
Kế đến, nếu đơn đặt hàng được bộ phận xét duyệt hạn mức tín dụng chấp
thuận, nó cần được xử lý lại trên phần mềm bởi bộ phận bán hàng với đầy đủ
một số nội dung như số hiệu đơn đặt hàng, ngày đặt hàng, ngày giao hàng, số
lượng, chủng loại, quy cách, tên và địa chỉ của khách hàng, mã số thuế, điều
khoản bán chịu, chữ ký của những người liên quan… Khi đó, đơn đặt hàng có
tình trạng là “Chờ xét duyệt”, một động tác tiếp theo là bộ phận bán hàng cần
thực hiện chức năng “Xét duyệt” để chuyển tình trạng đơn đặt hàng thành “Đã
duyệt” và chuyển tự động thông tin này đến kế toán hàng tồn kho bằng thư
điện tử thiết kế trong phần mềm. Những lợi ích của việc thực hiện chu trình
bán hàng trên phần mềm cũng tương tự như chu trình mua hàng ở trên. Ngoài
ra cũng dễ thấy rằng, đơn đặt hàng được đề cập ở đây cũng có giá trị tương
đương và thay thế cho lệnh bán hàng.
112
Bán hàng, viết hoá đơn và theo dõi nợ phải thu
Bên cạnh đó, đơn đặt hàng cũng cần in ra để gởi đến các bộ phận liên
quan như thủ kho, kế toán hàng tồn kho, kế toán công nợ, bộ phận viết hoá
đơn… với đầy đủ nội dung và chữ ký của những người có liên quan để làm
căn cứ ghi nhận nghiệp vụ bán hàng và để tránh trường hợp đánh cắp quyền
truy cập của người có thẩm quyền xét duyệt để mạo danh việc xét duyệt nhằm
tạo ra đơn đặt hàng giả tạo. Chức năng xét duyệt đơn đặt hàng nên giao cho
người có thẩm quyền của bộ phận bán hàng thực hiện.
Trong màn hình thực hiện nghiệp vụ bán hàng, kế toán hàng tồn kho tiến
hành ghi nhận nghiệp vụ bán hàng trên cơ sở kế thừa tự động thông tin của
đơn đặt hàng nhưng không cho phép sửa đổi và nếu có gì sai sót thì cần thông
báo cho bộ phận bán hàng điều chỉnh lại cho phù hợp. Trên phiếu bán hàng
cần thể hiện một số thông tin như số hiệu phiếu bán hàng, ngày bán hàng, tên
khách hàng, số hiệu đơn đặt hàng tham chiếu, điều khoản bán chịu, mặt hàng,
số lượng, đơn giá, thành tiền, thuế GTGT, chữ ký của những người liên
quan…
Ngoài ra, cũng cần lưu ý rằng để tiện lợi cho việc cung cấp thông tin nên
các phần mềm thường thiết kế trên màn hình bán hàng có thể làm nhiều
nhiệm vụ khác nhau cùng một lúc như lập phiếu xuất kho, ghi nhận công nợ
phải thu, cung cấp thông tin cho việc in ấn hoá đơn GTGT… Do đó, các bộ
phận liên quan sẽ kế thừa những thông tin này nhưng cần có sự kiểm tra lại
những nội dung đã được ghi nhận đó.
113
Cụ thể là:
§ Phiếu xuất kho sẽ được kế toán kho in ra thành nhiều liên có đủ chữ ký,
một liên lưu, hai liên chuyển đến cho thủ kho để làm căn cứ xuất kho
gởi đến cho bộ phận giao hàng. Trong đó, một liên thủ kho lưu và liên
còn lại giao cho bộ phận giao hàng.
§ Một thư điện tử với lời nhắn “Có nghiệp vụ bán hàng cần ra hoá đơn”
gởi đến bộ phận viết hoá đơn. Nhiệm vụ tiếp theo của bộ phận này là
kiểm tra lại nội dung do kế toán kho lập rồi in ra, trong đó có đối chiếu
với đơn đặt hàng do bộ phận bán hàng gởi đến. Đồng thời lưu một liên,
một liên giao cho kế toán công nợ phải thu, một liên giao cho bộ phận
giao hàng để làm căn cứ vận chuyển hàng và chuyển đến cho khách
hàng.
§ Bộ phận giao hàng căn cứ vào hoá đơn bán hàng để lập chứng từ giao
hàng để chuyển hàng.
§ Kế toán công nợ phải thu căn cứ vào hoá đơn do bộ phận viết hoá đơn
chuyển đến để kiểm tra công nợ thông qua đối chiếu với nội dung mà
kế toán kho đã ghi nhận.
Căn cứ vào chấp nhận thanh toán của khách hàng hoặc giấy báo có của
ngân hàng, kế toán nợ phải thu tiến hành lập phiếu thu in ra với đầy đủ nội
dung và chữ ký liên quan gởi đến cho thủ quỹ thực hiện nhiệm vụ cuối cùng.
Khi phiếu thu được lập, trên phiếu thu có tham chiếu đến hoá đơn bán
hàng và nghiệp vụ bán hàng liên quan sẽ có tình trạng là “Chỉ đọc” mà không
thể sửa hay xoá do đã được sử dụng cho phiếu thu tiền. Bên cạnh đó, hoá đơn
bán hàng ở bên ngoài cũng cần đóng mộc “Đã thu tiền” để kiểm soát về sau.
114
Riêng với trường hợp bán lẻ, mã vạch hàng hoá nên được sử dụng là
thuận tiện nhất. Khi đó, người bán hàng sử dụng máy quét mã vạch hàng hoá
để ghi nhận nghiệp vụ bán hàng tự động với thông tin về giá bán là mặc định
và đồng thời in ra hoá đơn bán hàng cho người mua. Thông tin ghi nhận từ
nhân viên bán hàng sẽ được chuyển tự động và kế thừa đến với kế toán kho để
xử lý tiếp về nghiệp vụ kế toán. Nếu hoá đơn GTGT chưa được in ra thì bộ
phận kế toán sẽ thực hiện. Cuối mỗi ca hoặc cuối ngày, kế toán căn cứ vào số
tiền nộp lại quỹ từ nhân viên bán hàng có đối chiếu với các hoá đơn bán hàng
để kiểm tra tình hình thực tế.
3.4.3 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát chu trình nhân
sự, tiền lương
3.4.3.1 Mô tả chu trình nhân sự, tiền lương
Các bộ phận tham gia vào chu trình nhân sự tiền lương bao gồm: bộ phận
nhân sự, bộ phận chấm công, bộ phận sử dụng lao động, bộ phận tính lương
và bộ phận trả lương. Tất cả các bộ phận này là độc lập nhau.
Chức năng nhân sự
Bộ phận nhân sự có chức năng tuyển dụng lao động. Các thông tin về lao
động như mức lương, quết định phân công, quyết định bổ nhiệm và các khoản
khấu trừ theo chế độ quy định như bảo hiểm xã hội, bảo hiểm y tế, bảo hiểm
thất nghiệp, kinh phí công đoàn… phải lập thành hồ sơ theo dõi.
Quyết định phân công hay quyết định bổ nhiệm phải được gởi một bản
đến cho bộ phận tính lương và một bản cho bộ phận sử dụng lao động. Khi có
những thay đổi về lương hay nhân sự, bộ phận nhân sự phải gởi quyết định
đến cho bộ phận tính lương và bộ phận sử dụng lao động để nắm tình hình.
115
Chức năng chấm công
Bộ phận chấm công có chức năng lập bảng chấm công cho toàn bộ nhân
viên của tổ chức từ các bảng chấm công do các bộ phận gởi đến. Việc chấm
công phải do người quản lý tại các bộ phận có sử dụng lao động lập và cần
căn cứ vào số giờ công, ngày công hoặc số lượng sản phẩm hoàn thành nếu
trả lương theo sản phẩm để làm cơ sở tính lương. Bên cạnh đó, cần trang bị
máy chấm công bằng thẻ từ hay bằng vân tay để theo dõi giờ vào và giờ ra
của nhân viên. Đồng thời, phải thường xuyên đối chiếu giữa bảng chấm công
do người quản lý lập và kết quả theo dõi của máy chấm công.
Bảng chấm công tổng hợp, các bảng chấm công của bộ phận và báo cáo
về sản phẩm hoàn thành phải được gởi đến cho bộ phận tính lương để thực
hiện bước công việc tiếp theo.
Chức năng tính lương
Bộ phận tính lương có nhiệm vụ tính lương phải trả cho từng nhân viên
dựa trên bảng chấm công hay báo cáo sản phẩm hoàn thành gởi đến nhưng
cần kiểm tra và tính lại để tránh các sai sót. Bộ phận tính lương không được
phép điều chỉnh về tiền lương nếu chưa có thông tin do bộ phận nhân sự
chuyển đến. Kế đến, tiến hành ghi chép vào các sổ sách kế toán và lập các báo
có liên quan như sổ nhật ký lương, sổ theo dõi lương của từng nhân viên,
bảng phân bổ tiền lương, báo cáo chế độ tiền lương cho Nhà nước.
Chức năng chi trả lương
Bảng thanh toán lương được gởi đến cho bộ phận chi trả lương để thực
hiện công việc còn lại. Việc thực hiện chi trả lương nên được thực hiện qua
ngân hàng mà cụ thể là thẻ ATM để tiết kiệm chi phí và hạn chế tối đa những
rắc rối, những sai phạm hay mâu thuẫn nảy sinh do chi trả trực tiếp tại chỗ
cho nhân viên bằng tiền mặt.
116
3.4.3.2 Ứng dụng phần mềm vào hoạt động kiểm soát chu trình nhân
sự, tiền lương
Chu trình nhân sự, tiền lương trong điều kiện ứng dụng phần mềm được mô tả
lại như sau:
Việc theo dõi nhân sự, chấm công và tính lương được quy về một mối tức
người ta thực hiện các chức năng này trên cùng một phần mềm thường gọi là
phần mềm nhân sự hay cao cấp hơn là phân hệ quản trị nhân sự trên hệ thống
ERP.
Theo dõi nhân sự
Các thông tin về nhân sự sẽ được ghi nhận toàn bộ vào phần mềm như là
ngày vào làm, thông tin tuyển dụng, thông tin nghỉ việc, sơ yếu lý lịch, trình
độ chuyên môn, quá trình công tác, quá trình học tập, mức lương, khen
thưởng, kỷ luật… Như vậy, các thông tin về nhân sự lúc này sẽ được tổ chức
khoa học hơn, tất cả các thông tin về nhân sự được tập trung vào cùng một cơ
sở dữ liệu chung và thống nhất để theo dõi. Bên cạnh đó, thông tin sẽ được
cung cấp kịp thời, khi cần là có. Việc ghi nhận các thông tin về nhân sự sẽ do
bộ phận nhân sự đảm nhận, do đó cần phân quyền cho bộ phận này chỉ được
thao tác trên cơ sở dữ liệu về các thông tin liên quan đến nhân sự.
Các quyết định liên quan đến tuyển dụng, phân công hay bổ nhiệm sẽ
được lập trên phần mềm; sau đó được in ra để người có thẩm quyền phê
duyệt, lưu lại một bản tại bộ phận nhân sự, một bản chuyển cho bộ phận sử
dụng lao động liên quan, một bản chuyển cho bộ phận chấm công và một bản
gởi cho bộ phận tính lương. Cần cho phép bộ phận sử dụng lao động, bộ phận
chấm công và bộ phận tính lương tham chiếu đến những thông tin do bộ phận
nhân sự ghi nhận nhưng chỉ được phép tham chiếu ở dạng “Chỉ đọc”.
117
Thực hiện chấm công, tính lương và chi trả lương
Nên trang bị máy chấm công bằng thẻ từ hay bằng nhận diện vân tay có
kết nối đến phần mềm nhân sự tại tất cả các bộ phận của doanh nghiệp. Điều
này sẽ giúp cho việc chấm công được tự động hoá, chấm công được cho rất
nhiều người cùng một lúc, đạt độ chính xác cao; tiết kiệm thời gian, công sức
của con người; tiết kiệm chi phí và kiểm soát chặt chẽ giờ giấc làm việc của
nhân viên cũng như ngăn chặn sự xâm nhập bất hợp pháp của những người
bên ngoài doanh nghiệp. Thông tin về thời gian vào làm và thời gian ra về sẽ
được máy chấm công cập nhật hàng ngày và chuyển đến phân hệ chấm công
trên phần mềm nhân sự. Căn cứ vào các thông tin được lập trình sẵn như thời
gian làm việc thực tế (chênh lệch giữa thời gian quẹt thẻ vào cuối giờ và thời
gian quẹt thẻ đầu giờ), hệ số lương, lương cơ bản, số ngày công, các phụ
cấp… để tính ra tiền lương phải trả cho từng người và lập bảng tính lương
cũng như các khoản trích theo lương tự động.
Như vậy; việc chấm công và tính lương được thực hiện tự động trên phần
mềm; song các bộ phận liên quan như bộ phận chấm công, bộ phận tính lương
vẫn cần phải rà soát lại để điều chỉnh nếu có sai sót xảy ra. Chẳng hạn như, bộ
phận chấm công cần xử lý trường hợp bất thường đó là nhân viên khi vào làm
việc có quét thẻ hay quét vân tay nhưng cuối giờ ra về lại quên quét dẫn đến
nảy sinh bất hợp lệ làm cho phần mềm chấm công và tính lương không được.
Vì thế, trong trường hợp này phải xử lý bằng tay bằng cách bổ sung thời gian
quét thẻ hay vân tay cuối giờ nhưng phải có thông tin xác thực bằng việc xác
nhận của người quản lý bộ phận cùng một vài nhân chứng là các đồng nghiệp.
Tuy nhiên, việc can thiệp trực tiếp vào công tác chấm công cũng chỉ nên thực
hiện cấp quyền cho bộ phận chấm công mà thôi để tránh gian lận xảy ra.
118
Bước tiếp theo, bộ phận tính lương mặc dù không được quyền can thiệp
vào công tác chấm công nhưng vẫn được xem và in ấn bảng thanh toán lương
để làm cơ sở ghi chép kế toán, lập các bảng phân bổ tiền lương và các báo cáo
về chế độ tiền lương theo quy định.
Kết thúc chu trình nhân sự, tiền lương là bộ phận tính lương sẽ in ra phiếu
chi lương và bảng thanh toán lương để trình người thẩm quyền ký duyệt. Cuối
cùng, bảng thanh toán lương và phiếu chi lương được gởi đến cho bộ phận trả
lương thực hiện việc chi lương cho nhân viên. Việc chi lương này cũng nên
thực hiện qua thẻ ATM như thực hiện trong phương pháp thủ công kể trên.
3.4.4 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát chu trình sản
xuất
3.4.4.1 Mô tả chu trình sản xuất
Chu trình sản xuất có sự tham gia của các bộ phận sau: bộ phận sản xuất,
bộ phận mua hàng, thủ kho, kế toán kho và kế toán giá thành.
Yêu cầu cung cấp nguyên vật liệu
Khi có nhu cầu về nguyên vật liệu, bộ phận sản xuất cần lập phiếu yêu cầu
cung cấp nguyên vật liệu theo mẫu của doanh nghiệp có chữ ký của người có
thẩm quyền, rồi chuyển đến cho bộ phận mua hàng hoặc kế toán kho. Phiếu
yêu cầu cung cấp nguyên vật liệu nên được lập dựa trên cơ sở của kế hoạch
sản xuất. Mẫu này phải bao gồm một số nội dung như số hiệu chứng từ (số
hiệu chứng từ cần đánh trước số thứ tự liên tục để kiểm soát), ngày yêu cầu,
mục đích sử dụng, số lượng, chủng loại, quy cách, người yêu cầu, người
duyệt…
119
Trường hợp nguyên vật liệu được lưu trữ ngay tại xưởng sản xuất thì
tương tự như chu trình mua hàng ở trên, bộ phận mua hàng lập đơn đặt hàng
gởi đến cho nhà cung cấp và khi hàng về sẽ yêu cầu bộ phận sản xuất tiến
hành nhận hàng trên cơ sở đối chiếu với phiếu yêu cầu cung cấp nguyên vật
liệu, đơn đặt hàng, hợp đồng mua bán và hoá đơn bán hàng của nhà cung cấp.
Trên phiếu nhận hàng tại kho xưởng cần có đủ chữ ký của các bộ phận liên
quan, đồng thời thể hiện các nội dung tham chiếu đến số phiếu yêu cầu mua
nguyên vật liệu, số phiếu đơn đặt hàng để kiểm soát. Khi mang ra sử dụng,
cần theo dõi chặt chẽ tình hình sử dụng nguyên vật liệu dựa trên bảng theo dõi
tình hình sử dụng nguyên vật liệu và bảng định mức nguyên vật liệu dùng cho
sản xuất sản phẩm đã được xây dựng. Các thông tin liên quan đến nhập và
xuất nguyên vật liệu tại xưởng như phiếu yêu cầu cung cấp nguyên vật liệu,
đơn đặt hàng, hợp đồng mua bán, hoá đơn của nhà cung cấp, bảng định mức
nguyên vật liệu và bảng theo dõi tình hình sử dụng nguyên vật liệu cần phải
được bộ phận mua hàng và bộ phận sản xuất gởi đến cho kế toán kho và kế
toán nợ phải trả để làm căn cứ ghi sổ kế toán.
Trường hợp nếu nguyên vật liệu được lưu trữ tại kho riêng, phiếu yêu cầu
cung cấp nguyên vật liệu sẽ được gởi đến cho kế toán kho để lập phiếu xuất
kho. Phiếu xuất kho đã được phê duyệt cùng với phiếu yêu cầu cung cấp
nguyên vật liệu được chuyển đến cho thủ kho làm căn cứ xuất hàng.
Phiếu xuất kho cần đánh trước số thứ tự liên tục và phải có đầy đủ các nội
dung như số hiệu chứng từ, ngày xuất, tên vật tư, số lượng, quy cách, chủng
loại, mục đích sử dụng, người ký duyệt, người nhận, người lập phiếu. Ngoài
ra, trên phiếu xuất kho nên thể hiện thông tin tham chiếu đến số phiếu yêu cầu
cung cấp nguyên vật liệu để làm cơ sở đối chiếu, kiểm tra.
120
Xuất kho nguyên vật liệu
Thủ kho căn cứ vào phiếu xuất kho và phiếu yêu cầu cung cấp nguyên vật
liệu đã được duyệt để làm căn cứ xuất hàng. Như vậy, phiếu xuất kho sẽ là
chứng từ gốc kết chuyển giá trị nguyên vật liệu tồn kho vào chi phí nguyên
vật liệu trực tiếp để làm căn cứ tính giá thành sản phẩm.
Quản lý hàng tồn kho tại xưởng sản xuất và tính giá thành sản phẩm
Hàng tồn kho tại xưởng sản xuất bao gồm nguyên vật liệu, sản phẩm dở
dang và thành phẩm chưa nhập kho. Do đó, để kiểm soát chúng cả về số
lượng và giá trị, nhân viên giám sát quá trình sản xuất thuộc bộ phận sản xuất
phải mở thẻ theo dõi chi phí sản xuất cho từng lô hàng hay từng quy trình sản
xuất. Sau khi kết thúc từng công đoạn sản xuất, trên thẻ theo dõi chi phí sản
xuất sẽ được ghi nhận đầy đủ các thông tin như là lô hàng sản xuất hay quy
trình sản xuất, số lượng và giá trị nguyên vật liệu thực tế đầu vào, số hao hụt
và các chi phí phát sinh liên quan đến từng công đoạn. Thẻ theo dõi chi phí
sản xuất cung cấp thông tin về giá trị của các lô hàng đang còn sản xuất dở
dang, giá thành thực tế của thành phẩm nên nó được xem như là sổ kế toán
chi tiết quan trọng hỗ trợ cho kế toán giá thành và là công cụ kiểm soát hữu
hiệu cho cả quá trình sản xuất.
Thẻ theo dõi chi phí sản xuất được tập hợp từ các thẻ theo dõi chi phí
nguyên vật liệu, thẻ theo dõi giờ công lao động trực tiếp, thẻ theo dõi số giờ
máy chạy và bảng phân bổ chi phí sản xuất chung liên quan đến toàn bộ quá
trình sản xuất được tập hợp theo từng lô hàng hay từng quy trình sản xuất.
Các thông tin được tập hợp trên thẻ theo dõi chi phí sản xuất và các thẻ
chi tiết liên quan sẽ được chuyển đến cho kế toán giá thành để làm căn cứ ghi
sổ và tính giá thành sản phẩm.
121
Nhập kho thành phẩm
Sau khi sản phẩm sản xuất hoàn thành, thành phẩm được cho nhập kho
thành phẩm để chờ bán ra ngoài. Bộ phận sản xuất cùng với kế toán kho và
thủ kho tiến hành kiểm nhận về số lượng thực nhập, chất lượng và quy cách
của từng loại thành phẩm khi nhập kho. Phiếu nhập kho được xem là chứng từ
gốc của việc ghi nhận thành phẩm nhập kho, nó được lập bởi kế toán kho bao
gồm các nội dung như số hiệu chứng từ, ngày nhập kho, tên thành phẩm, số
lượng, quy cách, chủng loại, người giao, người nhận, người lập phiếu. Phiếu
này cũng cần phải đánh trước số thứ tự liên tục để kiểm soát và cần tham
chiếu đến phiếu yêu cầu nhập kho thành phẩm hay báo cáo sản xuất của bộ
phận sản xuất.
3.4.4.2 Ứng dụng phần mềm vào hoạt động kiểm soát chu trình sản
xuất
Chu trình sản xuất trong điều kiện ứng dụng phần mềm được mô tả lại
như sau:
Yêu cầu cung cấp nguyên vật liệu
Đối với trường hợp nguyên vật liệu được lưu trữ tại xưởng sản xuất thì
việc yêu cầu cung cấp nguyên vật liệu được xử lý tương tự như ở chu trình
mua hàng, mục 3.4.1.2.
Trong khi đó, trường hợp có tổ chức kho nguyên vật liệu riêng để lưu trữ
thì việc yêu cầu cung cấp nguyên vật liệu được bộ phận sản xuất thực hiện
trên phần mềm. Phiếu yêu cầu cung cấp nguyên vật liệu sẽ có hai tình trạng
“Chờ xét duyệt” và “Đã xét duyệt”. Khi phiếu yêu cầu cung cấp nguyên vật
liệu được lập xong, người lập phiếu sẽ sử dụng chức năng gởi thư điện tử
được thiết kế trên phần mềm để yêu cầu người có thẩm quyền xét duyệt. Kế
đến, sau khi phiếu yêu cầu cung cấp nguyên vật liệu đã được duyệt thì phiếu
122
này sẽ có tình trạng là “Đã xét duyệt” và trên phần mềm sẽ phát sinh tự động
một thư điện tử thông báo đến cho kế toán kho để làm phiếu xuất kho nguyên
vật liệu.
Xuất kho nguyên vật liệu
Phiếu yêu cầu này được chuyển đến danh sách hay màn hình lập phiếu
xuất kho với thuộc tính “Chỉ đọc” để kế toán kho xử lý tiếp. Các thông tin
trên phiếu yêu cầu cung cấp nguyên vật liệu được kế thừa tự động trên phiếu
xuất kho, đồng thời phiếu yêu cầu cung cấp nguyên vật liệu kết hợp với bảng
định mức nguyên vật liệu dùng cho thành phẩm sản xuất được xây dựng trước
đó trên phần mềm thông qua mã đối tượng tính giá thành để tạo phiếu xuất
kho tự động. Ngoài ra, phiếu xuất kho còn tập hợp tự động chi phí nguyên vật
liệu trực tiếp cho từng đối tượng tính giá thành để hỗ trợ cho kế toán giá thành.
Phiếu xuất kho được in ra với đầy đủ chữ ký và nội dung liên quan, trong
đó có tham chiếu đến phiếu yêu cầu cung cấp nguyên vật liệu để chuyển đến
cho thủ kho làm thủ tục xuất kho.
Ngoài ra; cần thiết lập định mức tồn kho tối đa và tối thiểu, tính tuổi hàng
tồn kho liên quan đến từng vật tư, hàng hoá trên phần mềm để luôn nhắc nhở
kế toán kho và thủ kho có kế hoạch chuẩn bị hàng tồn kho và quản trị hàng
tồn kho cho tốt.
Quản lý hàng tồn kho tại xưởng sản xuất và tính giá thành sản phẩm
Các bước tiếp theo của chu trình sản xuất sẽ được kế toán giá thành thực
hiện. Từ các thông tin do bộ phận sản xuất chuyển đến như phiếu theo dõi chi
phí sản xuất, bảng theo dõi chi phí sản xuất chung và báo cáo sản xuất liên
quan đến lô hàng sản xuất, cùng với sự hỗ trợ của các công cụ phân bổ và kết
chuyển chi phí tự động trên phần mềm; kế toán giá thành tiến hành ghi nhận
nghiệp vụ và tính giá thành sản phẩm. Kết quả đầu ra của khâu tính giá thành
123
chính là bảng tính giá thành thể hiện tổng giá thành sản xuất theo từng sản
phẩm và nhiệm vụ tiếp theo của kế toán giá thành là căn cứ vào báo cáo sản
xuất để nhập vào thông tin về số lượng của từng loại sản phẩm được sản xuất
trong kỳ để tính ra giá thành đơn vị trên bảng tính giá thành.
Nhập kho thành phẩm
Bảng tính giá thành hoàn chỉnh sau khi được kế toán giá thành chấp nhận
thông qua chức năng “Hoàn tất tính giá thành” sẽ gởi thư điện tử tự động đến
cho kế toán kho tiến hành nhập kho thành phẩm. Bảng giá thành này được gởi
đến trong màn hình nhập kho với thuộc tính “Chỉ đọc” và được tham chiếu để
làm phiếu nhập kho thành phẩm tự động. Tuy nhiên, kế toán kho cần kết hợp
với thủ kho để kiểm tra thực tế dựa trên các thông tin do kế toán giá thành và
bộ phận sản xuất gởi tới.
Tóm lại, việc kiểm soát các chu trình như trên được thực hiện đồng thời
cả trên phần mềm ứng dụng lẫn bằng tay bên ngoài là cần thiết và khó tránh
khỏi do trên thực tế không thể thiết kế tự động được tất cả các thủ tục kiểm
soát trên phần mềm như mong muốn của con người. Tuy nhiên, những đề
xuất về các thủ tục kiểm soát ở trên với nhiều sự ràng buộc chặt chẽ, chi tiết
qua từng bước công việc là cần thiết để tận dụng thế mạnh về kiểm soát của
phần mềm nhằm hạn chế các rủi ro đến mức thấp nhất, đảm bảo độ tin cậy
cho thông tin được cung cấp và từng bước chuyên nghiệp hoá công việc của
các bộ phận trong doanh nghiệp.
Thêm vào đó; việc áp dụng các thủ tục kiểm soát trong môi trường tin học
vào tất cả các hoạt động như hoạt động kiểm soát chung, hoạt động kiểm soát
ứng dụng và hoạt động kiểm soát dữ liệu sẽ đem lại những lợi ích cụ thể như:
124
§ Tạo ra môi trường làm việc có sự tự động hoá cao, an toàn và tin
cậy. Từng bước chuyên nghiệp hoá các hoạt động và nâng cao uy
tín của doanh nghiệp.
§ Bảo vệ tài sản vật chất của doanh nghiệp như máy móc, thiết bị…
và các tài sản thông tin tránh khỏi các tác nhân gây hại từ bên trong
hay bên ngoài do vô tình hay cố ý.
§ Có kế hoạch phòng ngừa và đối phó với những rủi ro có thể xảy
đến trong môi trường tin học nhằm giúp tiết kiệm chi phí.
§ Tiết kiệm thời gian và công sức của con người, đồng thời tăng năng
suất lao động và đạt hiệu quả cao.
§ Tạo mối liên hệ, kế thừa thông tin xuyên suốt giữa các bộ phận.
Qua đó tăng cường khả năng kiểm tra chéo công việc lẫn nhau và
dần hướng mọi người đi đến áp dụng quy trình vào trong xử lý công
việc.
§ Tạo thói quen tuân thủ các nội quy của doanh nghiệp và quy định
của Nhà nước.
§ Đảm bảo độ tin cậy và chất lượng cho thông tin được cung cấp đến
người đọc mà đặc biệt là báo cáo tài chính và báo cáo quản trị.
§ …
125
3.5 BAN HÀNH CHÍNH SÁCH AN TOÀN VÀ BẢO MẬT THÔNG
TIN, HOÀN THIỆN VAI TRÒ CỦA KIỂM TOÁN NỘI BỘ TRONG
ĐIỀU KIỆN ỨNG DỤNG CNTT VÀO TRONG CÔNG TÁC QUẢN
LÝ
Các doanh nghiệp cần ban hành chính sách an toàn và bảo mật thông tin
có liên hệ với việc ứng dụng CNTT vào trong công tác quản lý. Đồng thời,
phổ biến chủ trương của chính sách đến toàn bộ mọi thành viên trong tổ chức
để họ thấy được tầm quan trọng và ý nghĩa của việc thực thi chính sách. Từ
đó nâng cao ý thức của mỗi người về việc bảo vệ tài sản thông tin của tổ
chức, tăng cường các hoạt động kiểm soát việc xử lý thông tin trên hệ thống
máy tính của doanh nghiệp trước các mối đe doạ ngày càng gia tăng từ nhiều
phía.
Những doanh nghiệp nào chưa có bộ phận kiểm toán nội bộ thì cần sớm tổ
chức ra bộ phận này, còn những doanh nghiệp nào đã có thì cần mở rộng hơn
nữa phạm vi chức năng của bộ phận này. Điều này có nghĩa là; bộ phận kiểm
toán nội bộ phải tham gia vào việc tư vấn, thiết kế ra các thủ tục kiểm soát
tương ứng cho tất cả các hoạt động của mỗi bộ phận trong điều kiện tin học
hoá.
Bên cạnh đó; định kỳ bộ phận kiểm toán nội bộ phải đôn đốc, kiểm tra,
giám sát và tổ chức đánh giá việc thực thi chính sách an toàn và bảo mật
thông tin của các bộ phận để điều chỉnh kịp thời những vướng mắc trong quá
trình thực hiện và hoàn thiện hơn nữa các thủ tục kiểm soát diễn ra trong môi
trường tin học.
126
Kết luận chương 3
Đối với một tổ chức, trong điều kiện ứng dụng CNTT thì kiểm soát thông
tin là nhiệm vụ vô cùng quan trọng cần phải nghiêm túc thực hiện. Bảo vệ tài
sản thông tin của tổ chức là bảo vệ cho chính sự tồn tại và phát triển của mọi
thành viên trong tổ chức. Do vậy, bản thân mỗi tổ chức cần phải xây dựng
cho mình một hệ thống kiểm soát phù hợp theo đặc điểm hoạt động của tổ
chức. Trong đó, ứng với mỗi hoạt động kiểm soát, cần có sự thiết lập những
thủ tục kiểm soát tương ứng thật chi tiết sao cho có thể thực thi dễ dàng, thuận
tiện và giải quyết tận gốc từng vấn đề cụ thể.
Ngoài ra, để đảm bảo cho hệ thống kiểm soát nội bộ của tổ chức được vận
hành trơn tru cũng cần thiết phải tổ chức ra bộ phận kiểm toán nội bộ với
những con người trung thực, tận tâm và có chuyên môn để giám sát toàn bộ
mọi hoạt động của hệ thống. Từng thành viên trong tổ chức phải hiểu được
rằng ngoài công việc chuyên môn thì vai trò giám sát các hoạt động liên quan
cũng phải được coi là nhiệm vụ. Người đứng đầu mỗi bộ phận sẽ giữ vai trò
giám sát nội bộ và chịu hoàn toàn trách nhiệm đối với mọi hoạt động trong bộ
phận của mình. Nấc thang kiểm soát kế tiếp sẽ do bộ phận kiểm toán nội bộ
đảm nhiệm, tức là bộ phận này sẽ giám sát và đánh giá lại các hoạt động diễn
ra tại các bộ phận chức năng.
Vì thế trong một tương lai không xa, các tổ chức cần từng bước hướng
đến hoàn thiện hệ thống kiểm soát nội bộ đầy đủ và hữu hiệu hơn với nhiều
hoạt động khác nhau như đã đề cập để bảo vệ tài sản thông tin của mình nhằm
đảm bảo thực thi các mục tiêu đã đề ra.
127
KẾT LUẬN
Như vậy, với sự phát triển ngày càng lớn mạnh của CNTT đã giúp cho các
lĩnh vực khác cũng không ngừng phát triển theo. Việc từng bước đầu tư cho
hệ thống máy tính ngày một hiện đại với công nghệ ngày càng cao đã cho
thấy các doanh nghiệp ở Việt Nam đã từng bước nhận thức về tầm quan trọng
của việc ứng dụng CNTT vào trong hoạt động kinh doanh của mình.
Điều này cũng chứng tỏ các doanh nghiệp Việt Nam đang ngày càng hiện
đại hơn và chuyên nghiệp hơn. Song để có thể tồn tại và phát triển bền vững
trong giai đoạn hội nhập và hội tụ ngày nay, các doanh nghiệp cần phải cảnh
giác cao độ với những tác nhân gây hại liên quan đến CNTT từ bên trong lẫn
bên ngoài doanh nghiệp. Những tác nhân này đã tạo ra rất nhiều rủi ro tiềm ẩn
sẵn sàng đe doạ đến hệ thống thông tin của doanh nghiệp. Vậy làm thế nào để
tài sản thông tin của doanh nghiệp được bảo vệ trong điều kiện tốt nhất.
Từ đây cho thấy, việc tìm hiểu về cấu tạo máy tính, phần mềm và mạng
máy tính là rất cần thiết. Chính điều này sẽ giúp cho các doanh nghiệp hiểu rõ
về vai trò và tầm ảnh hưởng của hệ thống máy tính đến các hoạt động kiểm
soát nội bộ trong môi trường tin học. Từ đó, họ sẽ dễ dàng nhận biết được
những rủi ro đe doạ đối với tài sản thông tin của mình đến từ đâu và cần phải
làm gì để phòng chống những rủi ro đó. Với những giải pháp cùng những
quan điểm đúng đắn đã được giới thiệu ở những phần trên, hy vọng rằng các
doanh nghiệp sẽ có thể tự thiết kế cho mình một hệ thống kiểm soát nội bộ
hữu hiệu nhất và phù hợp nhất với hoạt động của mình để bảo vệ tài sản thông
tin của doanh nghiệp nhằm đạt được các mục tiêu mà doanh nghiệp đã đề ra.
Tóm lại, với việc kết nối mạng ngày càng trở nên phổ biến và với số
lượng người dùng máy tính không ngừng tăng lên theo thời gian, thì những
rủi ro đến từ môi trường tin học không những không giảm đi mà ngày một
128
tăng thêm với mức độ nguy hiểm ngày càng cao. Những hành vi gian lận,
trộm cắp thông tin và huỷ hoại thông tin đối với hệ thống máy tính của doanh
nghiệp ngày càng tinh vi và khó lường hết. Do đó, các doanh nghiệp phải coi
việc đối phó với những rủi ro tác động đến hoạt động kiểm soát nội bộ từ môi
trường tin học là một công cuộc “kháng chiến trường kỳ”.
Mặc dù tác giả rất tâm huyết đối với đề tài đã thực hiện và đã đạt được
một số kết quả nhất định, song vẫn còn đó những hạn chế tồn tại. Những hạn
chế đó là chưa đề cập được hết tất cả các vấn đề liên quan đến các hoạt động
kiểm soát nội bộ trong môi trường tin học; bên cạnh đó tác giả cũng chưa
nghiên cứu hết các chu trình sản xuất kinh doanh của doanh nghiệp cộng với
việc chưa nghiên cứu sâu về hệ thống ERP nên chưa thể hoàn thiện hết các
thủ tục kiểm soát nội bộ liên quan đến môi trường này. Trong tương lai, tác
giả cũng hy vọng sẽ tiếp tục nghiên cứu sâu hơn và rộng hơn nữa đề tài này
để khắc phục những hạn chế như đã nêu.
129
TÀI LIỆU THAM KHẢO
Tiếng Việt
1. Anh Tiệp (tạp chí kiểm toán), An toàn khi sử dụng máy tính, 12/2008,
tạp chí kế toán.
2. Bộ môn Kiểm toán, khoa Kế toán – Kiểm toán, trường Đại học Kinh tế
TP.HCM, Kiểm toán (xuất bản lần thứ 5), NXB Lao động xã hội, 2007.
3. Bùi Quang Hùng, Ứng dụng CNTT trong doanh nghiệp và vấn đề đặt
ra đối với kế toán, 06/2009, tạp chí phát triển kinh tế.
4. ThS. Trần Phước (ĐH Công nghiệp TP.HCM), Kiểm toán hệ thống
thông tin, 09/2008, tạp chí kế toán.
5. Vũ Hữu Đức (2003), “Tổng quan về kiểm soát nội bộ”, Tài liệu hội
thảo khoa học về giảng dạy Khoa Kế toán – Kiểm toán, trường Đại học
Kinh tế TP.HCM.
Tiếng Anh
1. Chris Davis & Mike SchillerandKevin Wheeler, IT Auditing: Using
Controls to Protect Information Assets, McGraw-Hill, 2007.
2. COSO (2008), Internal Control – Integrated Framework – Guidance
on monitoring Internal Control Systems.
3. D.R. Carmichael, O. Ray Whittington & Linford Graham, Accountants’ handbook – Volume 1 : Financial Accounting and General Topics, 11th Edition, John Wiley & Sons, 2007.
4. Jack J. Champlain, Auditing Information Systems, Second Edition, John
Wiley & Sons, 2003.
130
5. Janice M. Roehl – Anderson & Steven M. Bragg, The Controller’s Function - The Work of the Managerial Accountant, 3rd Edition, John Wiley & Sons, 2005.
6. Joseph W. Koletar, Fraud Exposed – What You Don’t Know Could
Cost Your Company Millions, John Wiley & Sons, 2003.
7. Marshall B. Romney & Paul John Steinbart, Accounting Information
System, 8th Edition, Prentice Hall, 2000.
8. Rick Lehtinen, Computer Security Basics, 2nd Edition, O'Reilly, 2006.
9. Sanjay Anand, Sarbanes Oxley Guide for Finance and Information Technology Professionals, 2nd Edition, John Wiley & Sons, 2006.
10. Yusufali F. Musaji, Integrated Auditing of ERP Systems, John Wiley
& Sons, 2002.
Các Website tham khảo
http://www.kiemtoan.com.vn
http://www.tapchiketoan.com
http://www.coso.org
http://www.tcptkt.ueh.edu.vn
http://www.kienthuctaichinh.com
http://www.vacpa.org.vn
http://www.mekongcapital.com
131
PHỤ LỤC
Phụ lục 2.1 – Danh sách các doanh nghiệp được khảo sát
STT
Tên công ty
Quốc gia
Ngành nghề KD
Hình thức sở hữu vốn
Bộ phận kiểm toán nội bộ/ Ban kiểm soát trong cơ cấu tổ chức
CÔNG TY CP CÔNG NGHỆ SINH HỌC - DƯỢC PHẨM ICA
1
Cổ phần Việt Nam
Dược phẩm
2 CÔNG TY CP VINACAFE BIÊN HOÀ Cổ phần Việt Nam
SX, KD cà phê hoà tan
Ban kiểm soát Ban kiểm soát
Cổ phần Việt Nam Ban kiểm
CÔNG TY CP GIÁM ĐỊNH VÀ KHỬ TRÙNG FCC
soát
3
Tư vấn, giám định, thẩm định giá, khử trùng
CÔNG TY ĐIỆN TỬ ASTI
Nhật Bản Không
100% vốn
4
SX bo mạch điện tử, cụm dây dẫn điện
132
nước ngoài
5 CÔNG TY CP HOÀ BÌNH
Cổ phần Việt Nam
KD máy nổ, máy động lực, máy phát điện
6 CÔNG TY CP TIN HỌC LẠC VIỆT
Cổ phần Việt Nam
Tin học
CÔNG TY CP KỸ THUẬT VÀ Ô TÔ TRƯỜNG LONG
Ban kiểm soát Ban kiểm soát & Bộ phận kiểm toán nội bộ Ban kiểm soát & Bộ phận kiểm toán nội bộ Không
7 8 CÔNG TY TNHH THANG MÁY OTIS
Cổ phần Việt Nam TNHH Mỹ
KD xe tải, xe chuyên dùng, đăng kiểm xe Lắp đặt, bảo trì thang máy
CÔNG TY CP GIỐNG CÂY TRỒNG MIỀN NAM
9
Cổ phần Việt Nam
Ban kiểm soát Ban kiểm soát
10 CÔNG TY CP DU LỊCH ĐỒNG NAI
Cổ phần Việt Nam
SX, KD, XNK hạt giống & cây trồng DV du lịch, nhà hàng, khách sạn
CÔNG TY LIÊN DOANH BV PHARMA
11
Việt Nam & Anh Quốc
Liên doanh
Không
Dược phẩm
CÔNG TY TNHH VIỆT NAM PARKERIZING
12 13 CÔNG TY TNHH KIẾN VƯƠNG
TNHH TNHH
Nhật Bản Không Việt Nam Không
Hoá chất KD hoá chất
133
14 CÔNG TY TNHH Ô TÔ KIM THANH
Việt Nam Không
KD xe hơi
CÔNG TY TNHH CƠ KHÍ CHÍNH XÁC MIEN HUA
15
Đài Loan Không
Cơ khí
TNHH 100% vốn nước ngoài
CÔNG TY CP DỊCH VỤ DU LỊCH CHỢ LỚN
16
Ban kiểm soát
TM, DV, du lịch
Cổ phần Việt Nam 100% vốn nước ngoài
17 CÔNG TY TNHH GUNZE (VIỆT NAM)
Nhật Bản Không
SX trang phục lót
CÔNG TY CP CHỨNG KHOÁN RỒNG VIỆT
Cổ phần Việt Nam
18 19 CÔNG TY TNHH HOÁ CHẤT MKVN TNHH
Ban kiểm soát & P. Kiểm toán nội bộ Việt Nam Không
Chứng khoán KD hoá chất, kim loại
20 CÔNG TY CP NGỌC SƯƠNG
Nhà hàng
Ban kiểm soát & Bộ phận kiểm toán nội bộ Không
CÔNG TY ĐIỆN VÀ ĐIỆN TỬ TCL VIỆT NAM
Trung Quốc
21
Cổ phần Việt Nam 100% vốn nước ngoài
SX bóng đèn, hàng điện tử
134
Việt Nam Ban kiểm
TỔNG CÔNG TY CƠ KHÍ GTVT SÀI GÒN (SAMCO)
Vốn nhà nước
soát
22
Dịch vụ vận chuyển, kinh doanh xe ô tô, lắp ráp xe buýt
23
CÔNG TY CỔ PHẦN DẦU NHỚT VÀ HÓA CHẤT VIỆT NAM (VILUBE CORP.)
Cổ phần Việt Nam
SX, KD dầu nhớt
Ban kiểm soát Ban kiểm soát
24 CTY CP ĐẦU TƯ NAM LONG 25 CTY TNHH MỰC IN VIỆT
Cổ phần Việt Nam TNHH
Bất động sản Sản xuất & phân phối mực in
CÔNG TY LD RSC-NORFOK MAINSON
26
Liên doanh
Việt Nam Không Việt Nam & Australia Không
27 CÔNG TY CỔ PHẦN HẢI SẢN S.G
Cổ phần Việt Nam
Ban kiểm soát
28 CÔNG TY TNHH ĐẠI HOÀNG MỸ
TNHH
Việt Nam Không
Ban kiểm soát
29 CÔNG TY CP THUỶ SẢN 4 30 CÔNG TY TNHH MAY THÊU M.D.K
Cổ phần Việt Nam TNHH
Việt Nam Không
DV nhà hàng, khách sạn, cho thuê căn hộ Chế biến thuỷ hải sản xuất khẩu Sản xuất hàng thủ công mỹ nghệ Chế biến thuỷ hải sản xuất khẩu May thêu
135
Phụ lục 2.2 - Mẫu bảng câu hỏi khảo sát về các hoạt động kiểm soát trong môi trường tin học Cỡ mẫu khảo sát: 30 doanh nghiệp ở Việt Nam Khu vực khảo sát: TP.HCM, Bình Dương, Đồng Nai
136
Trường Đại học Kinh tế TP.HCM Khoa Sau đại học Ngành Kế toán – Kiểm toán
BẢNG CÂU HỎI KHẢO SÁT VỀ HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC
Giới thiệu: Xin trân trọng kính chào quý anh (chị)! Chúng tôi hiện là học viên cao học ngành Kế toán kiểm toán của trường đại học Kinh tế TP.HCM Hiện chúng tôi đang thực hiện nghiên cứu về đề tài “Kiểm soát nội bộ trong môi trường tin học” nên chúng tôi thực hiện bảng câu hỏi này nhằm mục đích khảo sát điều tra những thông tin cần thiết phục vụ cho đề tài. Do đó, mong quý anh (chị) bỏ chút thời gian trả lời đầy đủ các thông tin của bảng câu hỏi và chúng tôi cam kết mọi thông tin liên quan đến quý anh (chị) chỉ phục vụ cho việc nghiên cứu, không nhằm một mục đích nào khác và sẽ được giữ bí mật tuyệt đối. Chúng tôi xin chân thành cảm ơn quý anh (chị) đã cung cấp những thông tin quý giá này. Bảng câu hỏi được tóm lược qua các nội dung chủ yếu như sau: Thông tin liên quan đến người trả lời: Họ tên: Vị trí công việc hiện tại của người trả lời: Bộ phận công tác: Phần I: Các câu hỏi về kiểm soát chung
1. Cơ cấu tổ chức doanh nghiệp anh (chị) có bộ phận IT?
Không
Có
2. Nếu câu 1 trả lời “Không”, anh (chị) vui lòng cho biết doanh nghiệp có nên tổ chức bộ
Không
phận (phòng) IT không? Nêu rõ lý do cho câu trả lời của mình? Có Lý do:
3. Doanh nghiệp anh (chị) đã có trang thiết bị nhận dạng vân tay hay thẻ từ khi ra vào khu
Không
làm việc không? Có
4. Các bộ phận (phòng ban) có ngăn cách với nhau bằng cửa có khoá thẻ từ hay khoá vân tay?
Không
Có
5. Các nhân viên trong doanh nghiệp có bị hạn chế qua lại bộ phận khác hay không (trong
trường hợp có sử dụng cửa khoá từ hay cửa khoá vân tay)? Không Có
6. Nơi anh (chị) làm việc có gắn camera quan sát hay không?
137
Không
7.
Không
8.
Không
9.
Không
Có Nếu câu 6 trả lời “Không”, anh (chị) vui lòng cho ý kiến về việc có nên gắn camera quan sát hay không? Nêu rõ lý do cho câu trả lời của mình? Có Lý do: Hệ thống điện lạnh tại doanh nghiệp các anh (chị) làm việc có được kiểm soát không (vd: hệ thống máy lạnh tự tắt sau giờ làm việc…)? Có Hệ thống gọi điện thoại ra bên ngoài của nhân viên có được ghi nhận lại không (vd: ghi nhận lại số máy nội bộ của nhân viên khi họ gọi ra bên ngoài…)? Có
10. Hệ thống báo cháy có báo động mỗi khi phát hiện ra sự cố? Không
Có
11. Hệ thống báo cháy có được điều khiển tự động bằng phần mềm?
Không
Có
12. Sự cố rò rỉ về điện, nước có được phát hiện không?
Không
Có
13. Sự cố rò rỉ điện, nước được phát hiện tự động bằng phần mềm hay con người?
Phần mềm Con người
14. Các cá nhân trong công ty có được tự ý cài đặt các phần mềm vào máy tính cá nhân làm
Không
việc của mình không? Có
15. Việc sử dụng các thiết bị ghi chép như ổ đĩa di động (USB), ổ cứng có bị hạn chế sử dụng
cho máy tính cá nhân hay không? Không Có
16. Việc tổ chức mạng máy tính nội bộ tại doanh nghiệp các anh (chị) sử dụng được tổ chức
dưới dạng nào?
Workgroup (là dạng mạng nội bộ ngang hàng: không có máy chủ điều khiển, các
máy tính trong hệ thống đều có quyền ngang nhau) Domain (là dạng mạng được tổ chức theo mô hình máy chủ – máy con: máy chủ nắm quyền kiểm soát, điều khiển và phân quyền sử dụng cho máy con)
17. Việc đăng nhập vào hệ thống máy tính tại doanh nghiệp có được kiểm soát theo tên người
Không
dùng? Có
138
18. Tài nguyên thông tin được dùng cho một nhóm đối tượng nào đó có được kiểm soát không
Không
(những đối tượng không được phép bị ngăn cản khi truy cập…)? Có
19. Hệ thống máy tính sử dụng tại doanh nghiệp các anh (chị) có yêu cầu thay đổi mật khẩu
đăng nhập thường xuyên không? Không Có
20. Có quy định nào về cách đặt mật khẩu và chiều dài về mật khẩu không?
Không
Có
21. Có quy định yêu cầu phải thoát ra khỏi màn hình đăng nhập khi rời vị trí làm việc hay
Không
không? Có
22. Có giới hạn số lần đăng nhập sai tối đa không?
Không
Có
Không
23. Khi đăng nhập không thành công quá số lần quy định có bị khoá quyền đăng nhập không (vd: nếu đánh mật khẩu không đúng 3 lần chẳng hạn thì bị khoá quyền không cho vào hệ thống nữa và chỉ khi nào người quản trị mạng cho phép tiếp tục thì mới trở lại bình thường)? Có
24. Hệ thống máy tính công ty có yêu cầu người sử dụng máy tính phải thường xuyên thay đổi
Không
mật khẩu không? Có
25. Khi không thay đổi mật khẩu theo yêu cầu của hệ thống có bị khoá quyền truy cập?
Không
Có
26. Khi có nhân viên chuyển bộ phận công tác hay nghỉ việc thì quyền truy cập của người đó
Không
có bị khoá lại hay xoá bỏ hay không? Có
27. Các phần mềm bao gồm cả hệ điều hành được cài đặt tại doanh nghiệp các anh (chị) có
mua bản quyền từ nhà cung cấp hay không? Hệ điều hành (Windows): Phần mềm MS Office: Các phần mềm khác:
Có Có Có
Không Không Không
28. Hệ điều hành các anh (chị) đang sử dụng có thiết lập chế độ thường xuyên tự động cập
Không
nhật mới để hạn chế các nguy cơ lỗi và nguy cơ bị tấn công từ xa không? Có
139
29. Có cài đặt bức tường lửa (Firewall) cho hệ điều hành nhằm ngăn chặn sự xâm phạm hay
Không
phá hoại từ xa không? Có
30. Máy tính trong doanh nghiệp các anh (chị) có cài đặt phần mềm chống virus hay không?
Không
Có
31. Có thường xuyên được yêu cầu cập nhật các bản vá lỗi (service pack) cho các phần mềm
Không
đang sử dụng như MS Office… trên máy tính cá nhân từ phía công ty không? Có
32. Có thường xuyên được yêu cầu cập nhật mới cho hệ điều hành trên máy tính cá nhân từ
Không
phía công ty không? Có
33. Doanh nghiệp anh (chị) đang làm việc có hệ thống email riêng không (điều này có nghĩa là sử dụng tên miền riêng của công ty, vd: …@abc.com.vn chứ không sử dụng Yahoo mail hay Google mail)? Có
Không
34. Hệ thống email của anh (chị) có đặt mật khẩu không?
Không
Có
35. Hệ thống email của doanh nghiệp có hạn chế dung lượng file gởi qua mail cá nhân không
Không
(vd: chỉ được gởi file tối đa là 1MB chẳng hạn)? Có
36. Đối với các email lạ, các anh (chị) thường phản ứng như thế nào?
Mở ra đọc Không đọc và để đó Xoá hẳn mail này ra khỏi hệ thống mail của máy tính
37. Hệ thống email của doanh nghiệp có thiết lập chế độ ngăn chặn các email rác hay email có
Không
thể gây nguy hại đến máy tính không? Có
38. Hệ thống email công ty các anh (chị) có kiểm soát các truy cập email từ xa không (vd:
Không
công ty cho phép đọc mail qua Webmail và có kiểm soát việc sử dụng nó)? Có
39. Các văn bản, tài liệu dùng trong công việc của doanh nghiệp có được biên dịch sang chế
Không
độ chỉ đọc (Read only) không (thông thường hay được biên dịch sang file Acrobat (*.pdf)…)? Có
140
40. Thiết bị Router (modem) của công ty có cài mật khẩu không (đó là những thiết bị dùng để
Không
nối mạng internet)? Có
41. Mật khẩu của Router (modem) có được thay đổi thường xuyên không?
Không
Có
42. Các trang Web có thể gây nguy hại cho máy tính các anh (chị) được cảnh báo từ Google
Không
chẳng hạn…, có được anh (chị) để ý đến không? Có
43. Mạng Internet đang dùng là mạng có dây hay mạng không dây (Wireless)?
Có dây Không dây
44. Nếu mạng Internet là mạng không dây thì có cài mật khẩu không?
Không
Có
45. Mạng nội bộ đang dùng là mạng có dây hay mạng không dây (Wireless)?
Có dây Không dây
46. Nếu mạng nội bộ là mạng không dây thì có cài mật khẩu không?
Không
Có
47. Doanh nghiệp mà anh (chị) đang làm việc có trang bị máy chủ cho hệ thống máy tính của
Không
doanh nghiệp không? Có
Nếu câu trả lời số 47 ở trên là “Có” thì anh (chị) vui lòng trả lời tiếp các câu hỏi sau:
48. Máy chủ và các thiết bị mạng có được để ở nơi an toàn không? Không
Có
49. Nếu câu trả lời trên là “Có” thì những lựa chọn nào dưới đây là phù hợp cho câu trả lời
của bạn:
Có khoá an toàn (khóa tay, khoá từ, khoá vân tay…) Có thiết bị báo động chống trộm (cảm ứng âm thanh, cảm ứng chuyển động…) Có thiết bị báo cháy (cảm ứng khói) Có thiết bị báo động về nước (cảm ứng về rò rỉ nước) Có thiết bị báo động về độ ẩm (cảm ứng về độ ẩm) Có thiết bị báo động về điện (cảm ứng về rò rỉ điện, chặp điện, quá tải điện…) Có thiết bị báo động về gas, khí độc và hoá chất (cảm ứng về rò rỉ gas, khí độc và
hoá chất)
50. Hệ điều hành máy chủ đang sử dụng có bản quyền không?
141
Không
Có
51. Hệ điều hành và các phần mềm sử dụng trên máy chủ có được thường xuyên cập nhật bản
Không
sửa lỗi hay nâng cấp không? Có
52. Máy chủ có được cài đặt địa chỉ IP để sử dụng cho hệ thống mạng nội bộ cũng như mạng kết nối ra bên ngoài không (là địa chỉ được đánh số cho thiết lập mạng nội bộ hay mạng Internet nhằm truyền thông tin đi và đến đúng địa chỉ)? Có Không
53. Địa chỉ IP có được thường xuyên thay đổi không (mục đích của việc thay đổi nhằm hạn
Không
chế việc truy cập bất hợp pháp từ xa)? Có
Phần II: Các câu hỏi về kiểm soát phần mềm ứng dụng
1. Hiện công ty các anh (chị) có sử dụng các phần mềm ứng dụng nào như liệt kê dưới đây?
Phần mềm Quản trị quan hệ khách hàng (CRM) Phần mềm Kế toán Phần mềm Nhân sự Phần mềm Quản trị nguồn lực doanh nghiệp ERP Phần mềm khác:
2. Nếu công ty các anh (chị) có bộ phận IT thì bộ phận IT có quyền truy cập vào các phần
Không
mềm ứng dụng không? Có
3. Trách nhiệm sửa lỗi phần mềm ứng dụng (sửa chương trình, sửa dữ liệu) thuộc về?
Nhà cung cấp phần mềm Bộ phận IT Bộ phận sử dụng
4. Nếu bộ phận IT được phép sửa lỗi phần mềm (đã được nhà cung cấp phần mềm uỷ quyền)
thì mức độ can thiệp của họ đến đâu?
Chỉ sửa các lỗi chương trình hoặc lỗi dữ liệu ở mức độ đơn giản Toàn quyền chỉnh sửa mọi thứ trong phần mềm
5. Hợp đồng phần mềm ký kết giữa công ty với nhà cung cấp phần mềm có những ràng buộc
nào được liệt kê dưới đây (có thể chọn nhiều)?
Tài liệu chuyển giao đầy đủ (tài liệu HDSD, tài liệu về cấu hình hệ thống, tài liệu về tổ chức cơ sở dữ liệu…) Bảo hành về sản phẩm Bảo trì nhanh chóng (điện thoại, truy cập từ xa, tại chỗ…) Cập nhật mới khi có thay đổi Tư vấn về sử dụng phần mềm sao cho đáp ứng các yêu cầu đưa ra
142
Điều kiện về bảo mật dữ liệu Khác:
6. Hiện tại, cơ sở dữ liệu phần mềm doanh nghiệp đang sử dụng được xây dựng trên (có thể
chọn nhiều)?
Microsoft Access Microsoft SQL Server Oracle Khác:
7. Tính bảo mật và an toàn dữ liệu của phần mềm đang sử dụng được thể hiện qua những tính
năng nào dưới đây (có thể chọn nhiều):
Chính sách an ninh hệ thống (quy định chiều dài mật khẩu tối thiểu, thiết lập thời hạn của mật khẩu, nhập sai mật khẩu theo số lần quy định thì bị khoá quyền không cho đăng nhập…) Phân quyền người dùng theo phần hành (vd: phần hành Vốn bằng tiền) Phân quyền theo nghiệp vụ (vd: thu, chi…) Phân quyền theo tác vụ (vd: xem, thêm, sửa, xoá) Phân quyền người dùng theo chứng từ Không cho phép người dùng không được quyền có thể xem, sửa, xoá, copy hay thay đổi thông tin trên dữ liệu gốc
8. Tính đảm bảo về độ tin cậy, tính chính xác và nhất quán của số liệu trên phần mềm đang sử
dụng được thể hiện qua những tính năng nào dưới đây (có thể chọn nhiều):
Mở kỳ kế toán: cho phép chỉ được ghi nhận nghiệp vụ của kỳ kế toán đang mở
Khoá kỳ kế toán: khoá kỳ kế toán trong trường hợp số liệu của kỳ kế toán đã báo cáo Kiểm tra tính duy nhất của danh mục (không cho phép tạo 2 đối tượng khách hàng có cùng một mã số) Kiểm tra tính duy nhất của chứng từ nhập liệu (không cho phép tồn tại 2 số chứng từ nhập liệu giống nhau trong cùng 1 màn hình nhập liệu; chẳng hạn có 2 phiếu chi có cùng số phiếu) Kiểm tra ngày chứng từ (chứng từ có ngày không nằm trong kỳ mở sẽ không được phép ghi nhận) Kiểm tra mối tương quan giữa sự liên tục của chứng từ và thứ tự tăng dần của ngày chứng từ (chứng từ có thứ tự đứng sau không thể có ngày chứng từ nhỏ hơn ngày chứng từ của chứng từ có thứ tự đứng trước) Kiểm tra tính hiện hữu của thông tin (khi nhập liệu nghiệp vụ không thể ghi nhận thông tin không tồn tại trong danh mục; chẳng hạn không thể ghi nhận thông tin khách hàng chưa từng tồn tại trong danh mục khách hàng cho nghiệp vụ bán hàng) Kiểm tra tính bắt buộc của thông tin (những thông tin quan trọng của nghiệp vụ bắt buộc phải được ghi nhận mà không thể bỏ qua như số chứng từ, ngày chứng từ, tài khoản…)
143
Kiểm tra tính quy ước, quy tắc của dữ liệu (thông tin được ghi nhận không được phép sai về quy ước của kiểu dữ liệu; vd: thông tin yêu cầu nhập vào con số thì không được phép nhập ký tự chữ…) Kiểm tra sự tồn tại và tính liên quan của số liệu (không được phép xoá đi những danh mục đã có sử dụng trong các nghiệp vụ phát sinh; không được phép xoá đi những chứng từ bán hàng đã có phiếu thu tiền…) Kiểm tra tính cân đối của định khoản trong nghiệp vụ (khi nghiệp vụ được ghi nhận vẫn chưa cân đối giữa Nợ và Có thì cần có cảnh báo và không cho lưu) Kiểm tra tính cân đối của việc khai báo số dư đầu kỳ (kiểm tra tính cân giữa số dư TK tổng và số dư trên các sổ chi tiết có liên quan)
Các trường hợp nào dưới đây có xử lý trùng lắp khi ghi nhận:
Nghiệp vụ mua hàng trả tiền ngay có thể dẫn tới trùng lắp về mặt nghiệp vụ giữa kế toán mua hàng và kế toán thanh toán Tương tự là sự trùng lắp giữa kế toán bán hàng và kế toán công nợ đối với nghiệp vụ bán hàng thu tiền ngay Nghiệp vụ qua lại giữa 2 TK tiền như TK tiền mặt tại quỹ và TK TGNH Khác:
Kiểm tra tính hợp lý, hợp lệ của số liệu kế toán dựa trên nguyên tắc và nguyên lý kế toán (có công cụ kiểm tra và thông báo cho người sử dụng biết các thông tin kế toán không hợp lý, hợp lệ như số dư đầu kỳ của tài khoản thể hiện dưới dạng số âm; số dư cuối kỳ trên TK tiền có số dư Có; số dư các TK có ảnh hưởng đến báo cáo tổng hợp như doanh thu, chi phí, giá vốn;…) Có ràng buộc về nhập xuất kho và thu chi (không cho phép xuất khống, không cho phép chi âm) Ưu tiên sắp xếp theo thứ tự trên sổ quỹ chi tiết và báo cáo kho chi tiết để đảm bảo tính hợp lý (trong cùng 1 ngày phiếu thu phải xếp trước phiếu chi, phiếu nhập phải xếp trước phiếu xuất) Kiểm tra nghiệp vụ nhiều Nợ, nhiều Có (có báo cáo so sánh giữa đối ứng và không đối ứng) Có công cụ truy vấn ngược (từ báo cáo tổng truy về báo cáo chi tiết và từ báo cáo chi tiết truy về chứng từ gốc) Có hiển thị ngày giờ trên báo cáo khi in Tự động hoá công tác kế toán (thiết lập định khoản tự động cho các nghiệp vụ, tự động tính toán…)
Kiểm soát các thao tác của nhiều người dùng được giao cùng 1 nhiệm vụ trên phần mềm: Kiểm tra sự trùng lắp của số chứng từ dẫn đến sai sót về số liệu được ghi nhận Kiểm soát các thao tác sửa, xoá nhằm tránh can thiệp bất hợp pháp vào nghiệp vụ của nhau
Có cách xử lý về sai số trong việc theo dõi hàng tồn kho (hết lượng còn trị, hết trị còn lượng)
144
Có chức năng giới hạn về:
Định mức hàng tồn kho để kiểm soát hàng tồn kho
Định mức tín dụng để kiểm soát công nợ phải thu, phải trả Định mức về chi phí để kiểm soát chi phí Khác:
Có thông báo rõ ràng, dễ hiểu cho người sử dụng khi có lỗi thao tác xảy ra hay các quy ước về số liệu Có công cụ theo dõi dấu vết kiểm toán (ghi nhận lại tất cả các thao tác của người dùng khi sử dụng phần mềm đến từng nội dung chi tiết)
Cách thức xử lý số liệu trên phần mềm:
Xử lý theo thời gian thực (xử lý trực tuyến): sau khi từng nghiệp vụ riêng lẻ nhập liệu xong được lưu lại thì chúng được xử lý tức thì để đưa lên báo cáo Xử lý theo lô: các nghiệp vụ cùng loại, cùng tính chất sau khi lưu lại sẽ được tập hợp vào 1 lô rồi định kỳ mới tiến hành xử lý hàng loạt cùng 1 lúc để đưa báo cáo Cả 2 cách xử lý trên
9. Hiện tại doanh nghiệp có cho kiêm nhiệm khi sử dụng phần mềm không?
Không
Có
10. Phần mềm quản trị cơ sở dữ liệu của phần mềm đang sử dụng có cơ chế sao lưu dữ liệu tự
động theo kế hoạch không?
Không
Có
11. Ngoài các vấn đề nêu trên, anh (chị) còn quan ngại đến điều gì nữa khi sử dụng các phần
mềm ứng dụng vào công việc chuyên môn hàng ngày của mình (liệt kê đầu dòng)?
Phần III: Các câu hỏi về kiểm soát dữ liệu
1. Hiện tại máy chủ chứa dữ liệu tại doanh nghiệp các anh (chị) được tổ chức như thế nào?
Có 1 máy chủ và máy chủ này chỉ có 1 ổ cứng Có 1 máy chủ và máy chủ này có từ 2 ổ cứng trở lên Có từ 2 máy chủ trở lên nhưng mỗi máy chủ chỉ có 1 ổ cứng Có từ 2 máy chủ trở lên và mỗi máy chủ có từ 2 ổ cứng trở lên
2. Nếu trang bị từ 2 máy chủ trở lên thì các máy chủ này có chạy song hành cùng một lúc
Không
không? Có
3. Máy chủ có trang bị bộ lưu điện UPS để đề phòng khi bị mất điện không?
Không
Có
145
4. Máy chủ có thiết lập chế độ sao lưu dữ liệu tự động theo kế hoạch không?
Không
Có
5. Định kỳ ngoài việc số liệu được sao lưu trên ổ cứng của máy chủ thì còn được sao lưu vào
các thiết bị nào nữa như liệt kê dưới đây (có thể chọn nhiều)?
Máy tính khác Ổ đĩa di động (USB) Ổ cứng rời CD DVD
Tape
6. Cơ sở dữ liệu của phần mềm ứng dụng trên máy chủ có được kiểm soát việc truy cập bất
Không
hợp pháp như xem, copy, xoá hay thay đổi dữ liệu…? Có
7. Việc sao lưu dữ liệu tự động có được kiểm tra thường xuyên không?
Không
Có
8. Số liệu được sao lưu có được kiểm tra lại không?
Không
Có
9. Máy chủ có được cài đặt chế độ theo dõi các tác vụ không (vd: thao tác truy cập, copy, xoá
file… trên máy chủ)? Có
Không
10. Hiện tại các bộ phận (phòng ban) trong doanh nghiệp có tổ chức lưu trữ dữ liệu cho riêng
mình song song đồng thời với bộ phận IT không? Có
Không
Không
11. Hiện doanh nghiệp có quan tâm đến việc sẽ thuê một nơi khác để lưu trữ dữ liệu cho mình không (nơi khác ở đây được hiểu là trung tâm dữ liệu (Data Center) được đặt ở một nơi khác về vị trí địa lý với doanh nghiệp)? Có
Phần IV: Các câu hỏi đánh giá chung
1. Tổ chức hệ thống thông tin trong môi trường tin học đối với đơn vị các anh (chị) được
nhận thức như thế nào?
Không quan trọng Bình thường Quan trọng Rất quan trọng
2. Theo anh (chị) thì ban lãnh đạo của công ty quan tâm đến kiểm soát nội bộ trong điều kiện
ứng dụng công nghệ thông tin như thế nào (chỉ chọn 1 câu trả lời)?
Chưa từng nghe nói đến và cũng chưa từng quan tâm Có nghe nói đến nhưng chưa quan tâm nhiều
146
Có quan tâm nhưng chưa muốn triển khai vì thấy chưa thật sự quan trọng Có quan tâm đến nhưng chưa triển khai được vì thiếu nguồn lực (phương tiện, con người, tài chính…) Đã thực sự quan tâm nhưng triển khai chưa đồng bộ, chưa triệt để Đặc biệt quan tâm và đã triển khai rất tốt tại doanh nghiệp Khác:
3. Nếu ban lãnh đạo thực sự hoặc đặc biệt quan tâm đến kiểm soát trong môi trường tin học thì các hoạt động kiểm soát nào sau đây được ban lãnh đạo đơn vị chú ý khi ban hành các tài liệu quy định về kiểm soát trong môi trường tin học (có thể chọn nhiều)?
Hoạt động kiểm soát chung Hoạt động kiểm soát ứng dụng Hoạt động kiểm soát dữ liệu
4. Hiện tại doanh nghiệp anh (chị) có thiết lập các thủ tục kiểm soát tương ứng với từng hoạt
Không
động kể trên (câu 3)? Có
5. Các anh (chị) hãy tự đánh giá xem hiện tại mức độ quan tâm đến kiểm soát nội bộ trong
điều kiện ứng dụng công nghệ thông tin ở doanh nghiệp các anh (chị) đạt ở cấp độ nào (chỉ chọn 1 câu trả lời)?
Rất kém Kém Trung bình Tốt Rất tốt
6. Hiện tại cơ cấu tổ chức của doanh nghiệp anh (chị) có bộ phận kiểm toán nội bộ không?
Không
Có
7. Hiện tại, bộ phận kiểm toán nội bộ có thực hiện việc kiểm soát hệ thống thông tin của
doanh nghiệp được xử lý trong môi trường ứng dụng tin học không? Có
Không
Một lần nữa, xin chân thành cảm ơn sự giúp đỡ của quý anh (chị)!
147
Phụ lục 2.3 – Danh sách các phần mềm kế toán tham khảo 1. Phần mềm kế toán AccNet2004 của Công ty cổ phần tin học Lạc Việt
2. Phần mềm kế toán Misa SME.NET 2010 của Công ty cổ phần Misa
3. Phần mềm kế toán 1C-Kế toán 8 của Công ty cổ phần Hệ thống 1-V
4. Phần mềm kế toán Fast Financial của Công ty Phần mềm quản lý doanh
nghiệp
5. Phần mềm kế toán VietSun của VCCI (Phòng thương mại & công
nghiệp Việt Nam)
148
Phục lục 2.4 – Bảng mô tả thủ tục kiểm soát trong các phần mềm kế toán Việt Nam
STT Thủ tục kiểm soát VietSun AccNet2 004 Fast Financial Phần mềm kế toán 1C- Kế toán 8 Misa SME.NE T 2010
Có Không Có Không Không 1
Có Có Có Có Có 2
Có Có Có Có 3 Có
Có Có Có Có 4 Có
Chính sách an ninh hệ thống (quy định chiều dài mật khẩu tối thiểu, thiết lập thời hạn của mật khẩu, nhập sai mật khẩu theo số lần quy định thì bị khoá quyền không cho đăng nhập…) Phân quyền người dùng theo phần hành (vd: phần hành Vốn bằng tiền) Phân quyền theo nghiệp vụ (vd: thu, chi…) Phân quyền theo tác vụ (vd: xem, thêm, sửa, xoá) Phân quyền người dùng theo chứng từ
5 Không Không Không Không Không
Có Có 6 Mở kỳ kế toán 7 Không Không Không Không Có Có Không Không
8 Có Có Có Có Có
9 Có Có Có Có Có
Khoá kỳ kế toán Kiểm tra tính duy nhất của danh mục (không cho phép tạo 2 đối tượng khách hàng có cùng một mã số) Kiểm tra tính duy nhất của chứng từ nhập liệu (không cho phép tồn tại 2 số chứng từ nhập liệu giống nhau trong cùng 1 màn hình nhập liệu; chẳng hạn có 2 phiếu chi có cùng số phiếu) Kiểm tra ngày chứng từ (chứng từ có ngày
10 Có Không Không Không Không
149
11 Không Không Có Không Không
12 Có Có Có Có Có
13 Có Không Không Có Không
14 Có Có Có Có Có
không nằm trong kỳ mở sẽ không được phép ghi nhận) Kiểm tra mối tương quan giữa sự liên tục của chứng từ và thứ tự tăng dần của ngày chứng từ (chứng từ có thứ tự đứng sau không thể có ngày chứng từ nhỏ hơn ngày chứng từ của chứng từ có thứ tự đứng trước) Kiểm tra tính hiện hữu của thông tin (khi nhập liệu nghiệp vụ không thể ghi nhận thông tin không tồn tại trong danh mục; chẳng hạn không thể ghi nhận thông tin khách hàng chưa từng tồn tại trong danh mục khách hàng cho nghiệp vụ bán hàng) Kiểm tra tính bắt buộc của thông tin (những thông tin quan trọng của nghiệp vụ bắt buộc phải được ghi nhận mà không thể bỏ qua như số chứng từ, ngày chứng từ, tài khoản…) Kiểm tra tính quy ước, quy tắc của dữ liệu (thông tin được ghi nhận không được phép sai về quy ước của kiểu dữ liệu; vd: thông tin yêu cầu nhập vào con số thì không được phép nhập ký tự chữ…) Kiểm tra sự tồn tại và tính liên quan của số liệu (không được phép
15 Có Có Có Có Có
150
Có Có Có Có Có 16
Có Không Có Không Có 17
18 Không Không Có Không Không
19 Không Không Không Không Không
xoá đi những danh mục đã có sử dụng trong các nghiệp vụ phát sinh; không được phép xoá đi những chứng từ bán hàng đã có phiếu thu tiền…) Kiểm tra tính cân đối của định khoản trong nghiệp vụ (khi nghiệp vụ được ghi nhận vẫn chưa cân đối giữa Nợ và Có thì cần có cảnh báo và không cho lưu) Khử các nghiệp vụ trùng lắp Kiểm tra tính hợp lý, hợp lệ của số liệu kế toán dựa trên nguyên tắc và nguyên lý kế toán (có công cụ kiểm tra và thông báo cho người sử dụng biết các thông tin kế toán không hợp lý, hợp lệ như số dư đầu kỳ thể hiện dưới dạng số âm; số dư cuối kỳ trên TK tiền có số dư Có; số dư các TK có ảnh hưởng đến báo cáo tổng hợp như doanh thu, chi phí, giá vốn;…) Có ràng buộc về nhập xuất kho và thu chi (không cho phép xuất khống, không cho phép chi âm) Ưu tiên sắp xếp theo thứ tự trên sổ quỹ chi tiết và báo cáo kho chi tiết để đảm bảo tính hợp lý (trong cùng 1 ngày phiếu thu phải xếp trước phiếu chi, phiếu nhập phải xếp
20 Có Không Có Không Không
151
21 Có Không Không Không Không
22 Có Có Có Có Không
23 Có Không Không Không Không
24 Có Không Có Không Có
25 Không Không Không Không Không
26 Có Không Không Không Không
27 Có Không Không Không Không
28 Có Không Không Không Không
29 Không Không Không Không Không
30 Không Không Không Không Không
trước phiếu xuất) Kiểm tra nghiệp vụ nhiều Nợ, nhiều Có (có báo cáo so sánh giữa đối ứng và không đối ứng) Có công cụ truy vấn ngược (từ báo cáo tổng truy về báo cáo chi tiết và từ báo cáo chi tiết truy về chứng từ gốc) Có hiển thị ngày giờ trên báo cáo khi in Tự động hoá công tác kế toán (thiết lập định khoản tự động cho các nghiệp vụ, tự động tính toán…) Kiểm soát các thao tác của nhiều người dùng được giao cùng 1 nhiệm vụ trên phần mềm Có cách xử lý về sai số trong việc theo dõi hàng tồn kho (hết lượng còn trị, hết trị còn lượng) Định mức hàng tồn kho để kiểm soát hàng tồn kho Định mức tín dụng để kiểm soát công nợ phải thu, phải trả Định mức về chi phí để kiểm soát chi phí Có thông báo rõ ràng, dễ hiểu cho người sử dụng khi có lỗi thao tác xảy ra hay các quy ước về số liệu Có công cụ theo dõi dấu vết kiểm toán (ghi nhận lại tất cả các thao tác của người dùng khi sử dụng phần
31 Có Có Có Có Không
152
mềm đến từng nội dung chi tiết) Xử lý số liệu theo thời gian thực
Có 32 Không Có Có Có
Có 33 Xử lý số liệu theo lô Có Không Không Không
Phần mềm quản trị cơ sở dữ liệu
34 MS SQL MS SQL MS SQL MS SQL MS SQL
Không cho phép người dùng không được quyền có thể xem, sửa, xoá, copy hay thay đổi thông tin trên dữ liệu gốc
35 Có Có Có Có Có
Nguồn: theo thống kê của tác giả
