Tài liệu soạn bài môn Hệ thống kiểm soát nội bộ | Đại học Công nghiệp Thực phẩm Thành phố Hồ Chí Minh

Nhóm 7:
Lê Thị Lan Anh - 2007214584
Nguyễn Thiên Bảo - 2007214598
Nguyễn Thị Hà Mi - 2007214743 NỘI DUNG BUỔI 6
1. Tổng quan về KSNB ............................................................................................................. 2
1.1. Sự hình thành và phát triển khái niệm kiểm soát nội bộ ..................................................... 2
1.2. KSNB theo COSO ................................................................................................................ 2
2. Mục tiêu của các loại KSNB & phân loại KSNB ............................................................... 4
2.1. Thiết lập mục tiêu ................................................................................................................ 4
2.2. Nhân tố ảnh hưởng .............................................................................................................. 5
2.3. Phân loại sự kiện ................................................................................................................. 5
2.4. Phân biệt cơ hội và rủi ro ................................................................................................... 5
3. Các thành phần của KSNB .................................................................................................. 5
3.1. Môi trường nội bộ ............................................................................................................... 6
3.2. Đánh giá rủi ro .................................................................................................................... 6
3.3. Hoạt động kiểm soát............................................................................................................ 8
3.4. Thông tin và truyền thông ................................................................................................... 9
3.5. Giám sát ............................................................................................................................ 10
4. KSNB trong AIS trên nền máy tính .................................................................................. 10
4.1. Tiếp cận kiểm soát HTTTKT ............................................................................................. 10
4.2. Đặc điểm môi trường máy tính ảnh hưởng đến kiểm soát ................................................ 11
4.3. Sai sót và gian lận trong môi trường máy tính .................................................................. 12
4.4. Các khái niệm cơ bản và rủi ro trong môi trường điện toán đám mây ............................. 12
5. Các dạng kiểm soát hệ thống ............................................................................................. 14
1. Tổng quan về KSNB
1.1. Sự hình thành và phát triển khái niệm kiểm soát nội bộ
Khái niệm kiểm soát nội bộ bắt đầu xuất hiện vào đầu thế kỉ 20 trong các tài liệu về kiểm
toán với một ý nghĩa rất đơn giản: các biện pháp nhằm bảo vệ tiền không bị nhân viên biển thủ..
Nhiều năm sau đó KSNB trở thành một khái niệm được kiểm toán viên rất quan tâm trong quá trình kiểm toán BCTC
Bán cáo COSO 1992 là tài liệu đầu tiên trên thế giới nghiên cứu và định nghĩa về KSNB một
cách đầy đủ và có hệ thống. Nó cung cấp 1 tầm nhìn rộng và mang tính quản trị, trong đó KSNB
không chỉ còn là 1 vấn đề liên quan đến BCTC mà được mở rộng ra các phương diện hoạt động và tuân thủ
Gần đây nhất tháng 5,2013 COSO đã cập nhật phiên bản mới nhất về kiểm soát nội bộ. Phiên
bản này nhấn mạnh mục tiêu hoạt động và báo cáo, làm rõ những yêu cầu của việc xác định
góp phần tạo ra KSNB hữu hiệu 1.2. KSNB theo COSO
Tiếp cận kiểm soát nội bộ theo định nghĩa của COSO
COSO tiếng anh gọi là Committee Of Sponsoring Organization, một ủy ban thuộc Hội đồng
quốc gia Hoa Kỳ về việc chống gian lận về Báo cáo tài chính. COSO được thành lập nhằm
nghiên cứu về kiểm soát nội bộ như sau:
Thống nhất chung một khái niệm về hệ thống kiểm soát nội bộ theo COSO để phục vụ cho
nhu cầu của các đối tượng khác nhau
Công bố đầy đủ một hệ thống kiểm soát nội bộ đạt tiêu chuẩn để giúp các đơn vị có thể đánh
giá hệ thống kiểm soát và tìm ra phương pháp giải pháp hoàn thiện
Hệ thống kiểm soát nội bộ theo COSO được định nghĩa là một quá trình được chi phối bởi
các người cấp cao và người cấp thấp, nó được thiết lập nhằm mục đích đảm bảo các yếu tố sau:
Sự hữu hiệu và hiệu quả của hoạt động
Sự đáng tin cậy trong Báo cáo tài chính
Sự tuân thủ đúng các chuẩn mực đạo đức pháp luật và quy định
Kiểm soát nội bộ bao gồm 5 thành phần: môi trường kiểm soát, đánh giá rủi ro, hoạt động
kiểm soát, thông tin và truyền thông, giám sát.
Dựa vào 7 khía cạnh chính đã được điều chỉnh, COSO 2013 đã đưa ra 17 nguyên tắc mở rộng
theo mô hình kết cấu bởi 5 thành phần cấu thành KSNB dựa theo COSO 1992:
+ Môi trường kiểm soát
Môi trường kiểm soát bao gồm các chức năng quản trị và quản lý, các quan điểm, nhận thức
và hành động của Ban quản trị và Ban Giám đốc liên quan đến kiểm soát nội bộ và tầm quan
trọng của kiểm soát nội bộ đối với hoạt động của đơn vị và thiết lập 5 nguyên tắc sau:
- Nguyên tắc 1: Đơn vị thể hiện được cam kết về tính chính trực và giá trị đạo đức.
- Nguyên tắc 2: HĐQT chứng minh được sự độc lập với nhà quản lý và thực thi việc giám sátsự
phát triển và hoạt động của KSNB.
- Nguyên tắc 3: Nhà quản lý dưới sự giám sát của HĐQT cần thiết lập cơ cấu tổ chức, quytrình
báo cáo, phân định trách nhiệm và quyền hạn nhằm đạt được mục tiêu của đơn vị.
- Nguyên tắc 4: Đơn vị phải thể hiện sự cam kết về việc sử dụng nhân viên có năng lực thôngqua
tuyển dụng, duy trì và phát triển nguồn nhân lực phù hợp với mục tiêu của đơn vị. - Nguyên
tắc 5: Đơn vị cần yêu cầu các cá nhân chịu trách nhiệm báo cáo về trách nhiệm của họ trong
việc đáp ứng các mục tiêu của tổ chức.
+ Đánh giá rủi ro
Là việc đánh giá về tính hiệu lực, hiệu quả của hệ thống kế toán và hệ thống kiểm soát nội
bộ trong doanh nghiệp có đủ khả năng ngăn chặn, phát hiện và xử lý kịp thời các gian lận, sai
sót trọng yếu xảy ra trong doanh nghiệp một cách đáng tin cậy hay không và thiết lập các nguyên tắc sau:
- Nguyên tắc 6: Đơn vị phải thiết lập mục tiêu rõ ràng và đầy đủ để xác định và đánh giá cácrủi
ro phát sinh trong việc đạt được mục tiêu của đơn vị.
- Nguyên tắc 7: Đơn vị phải nhận diện rủi ro trong việc đạt được mục tiêu của đơn vị, tiếnhành
phân tích rủi ro để xác định rủi ro cần được quản lý như thế nào.
- Nguyên tắc 8: Đơn vị cần xem xét các loại gian lận tiềm tàng khi đánh giá rủi ro đối với
việcđạt mục tiêu của đơn vị.
- Nguyên tắc 9: Đơn vị cần xác định và đánh giá những thay đổi của môi trường ảnh hưởngđến
KSNB. + Hoạt động kiểm soát
Bao gồm các hoạt động để ngăn ngừa rủi ro liên quan đến mọi mục tiêu. Các hoạt động kiểm
soát này bao gồm tất cả các biện pháp mà nhân viên phải tuân thủ và thiết lập các nguyên tắc sau:
- Nguyên tắc 10: Đơn vị phải lựa chọn và phát triển các hoạt động kiểm soát để góp phần
hạnchế các rủi ro giúp đạt mục tiêu trong giới hạn chấp nhận được.
- Nguyên tắc 11: Đơn vị lựa chọn và phát triển các hoạt động kiểm soát chung với công
nghệhiện đại để hỗ trợ cho việc đạt được các mục tiêu.
- Nguyên tắc 12: Đơn vị tổ chức triển khai hoạt động kiểm soát thông qua nội dung các
chínhsách đã được thiết lập và triển khai chính sách thành các hành động cụ thể.
+ Thông tin và truyền thông
Là Hệ thống thông tin liên lạc của công ty đảm bảo rằng nhân viên ở tất cả các cấp có thể
hiểu và nắm vững các quy tắc và tiêu chuẩn của tổ chức, đồng thời đảm bảo rằng thông tin được
cung cấp cho các cấp liên quan và các cơ quan chức năng một cách kịp thời và chính xác và
thiết lập các nguyên tắc sau:
- Nguyên tắc 13: Đơn vị thu thập, truyền đạt và sử dụng thông tin thích hợp, có chất lượng đểhỗ
trợ những bộ phận khác của KSNB.
- Nguyên tắc 14: Đơn vị cần truyền đạt trong nội bộ những thông tin cần thiết, bao gồm cảmục
tiêu và trách nhiệm đối với KSNB, nhằm hỗ trợ cho chức năng kiểm soát.
- Nguyên tắc 15: Đơn vị cần truyền đạt cho các đối tượng bên ngoài đơn vị về các vấn đề ảnhhưởng đến KSNB. + Giám sát
Là quá trình đánh giá chất lượng của hệ thống Kiểm soát nội bộ theo thời gian và thiết lập các nguyên tắc sau:
- Nguyên tắc 16: Đơn vị phải lựa chọn, triển khai và thực hiện việc đánh giá liên tục hoặcđịnh
kỳ để biết chắc rằng liệu những thành phần nào của KSNB có hiện hữu và đang hoạt động.
- Nguyên tắc 17: Đơn vị phải đánh giá và thông báo những yếu kém của KSNB một cách
kịpthời cho các đối tượng có trách nhiệm bao gồm nhà quản lý và HĐQT để có những biện
pháp khắc phục. è17 nguyên tắc trên là kim chỉ nam để hướng dẫn các doanh nghiệp thiết kế
một hệ thống KSNB hiệu quả nhằm mang lại tối đa lợi ích cho doanh nghiệp.
Những điểm mới của khuôn mẫu KSNB theo báo cáo COSO
2. Mục tiêu của các loại KSNB & phân loại KSNB
2.1. Thiết lập mục tiêu
Gồm mục tiêu chiến lực và mục tiêu liên quan
Mục tiêu chiến lượt: là những mục tiêu ở cấp độ cao thống nhất và hỗ trợ sứ mệnh của
công ty. Nó phản ánh sự lựa chọn của nhà quản lí trong việc tìm kiếm kiến thức tạo ra giá
trị cho các bên hữu quan
Mặc dù có sự đa dạng trong mục tiêu của tổ chức. Sự xuất hiện của hệ thống phân loại
kiểm soát nội bộ với 3 mục tiêu chính theo báo cáo COSO 2013 như sau:
Mục tiêu hoạt động: thể hiện thông qua tính chất hiệu quả khi sử dụng các nguồn lực
nhân lực, tài lực, tài lực.
VD: Doanh nghiệp đang trong quá trình cải thiện, xây dựng lại hệ thống quản lý, nâng
cao chất lượng sản phẩm, thay đổi một số chu trình trong sản xuất kinh doanh. Nhà quản
lý nên đưa ra các mục tiêu chi tiết về cải tiến quy trình sản xuất và phân bổ lại hiệu quả
nguồn lực để đạt hiệu quả tốt hơn
Mục tiêu báo cáo: báo cáo phi tài chính và tài chính đảm bảo tính công khai, trung thực
VD: Công ty phải cung cấp báo cáo mức độ hài lòng của khách hàng hàng tháng hay nộp
báo cáo tài chính theo đúng quy định thời gian của Bộ Tài Chính Mục tiêu tuân thủ:
tuân thủ pháp luật và quy định công ty.
VD: Công ty Ajinomoto Việt Nam phải tuân thủ tất cả các quy định liên quan đến quá trình
sản xuất: (1) Doanh nghiệp không phát thải, (2) Sử dụng năng lượng hiệu quả và (3) Đẩy
mạnh sản xuất kinh doanh dựa trên chu trình sinh học Tuân thủ luật pháp và quy định hiện hành
2.2. Nhân tố ảnh hưởng
Khi sự kiện có tác động tiêu cực đến mục tiêu thì trở thành rủi ro đối với doanh nghiệp. Rủi
ro có thể được nhận dạng ở các mức độ khác nhau trong doanh nghiệp. Hoạt động của một đơn
vị có thể gặp rủi rọ do sự xuất hiện của những nhân tố bên trong và bên ngoài: Yếu tố Bên Ngoài:
- Kinh tế: Bao gồm thay đổi giá cả, cạnh tranh từ đối thủ, vấn đề vốn, chi phí, và sự xuấthiện của đối thủ mới.
- Môi trường tự nhiên: Bao gồm các thiên tai như lũ lụt, động đất, gây thiệt hại cho tài sảnvà nguồn lực.
- Chính trị: Bao gồm thay đổi luật lệ, chính sách, và sự ổn định chính trị.
- Xã hội: Bao gồm sự thay đổi trong dân số, cấu trúc gia đình, và ưu tiên của người tiêudùng.
- Công nghệ: Bao gồm phương tiện thương mại điện tử mới, gián đoạn kĩ thuật, dữ liệu
bênngoài, giảm chi phí cơ sở hạ tầng, gia tăng nhu cầu dịch vụ dựa trên nền tảng công nghệ.
Ví dụ, tai nạn lao động, sự thiếu sót trong quy trình sản xuất và sự cố kỹ thuật đều có thể gây
ra rủi ro và ảnh hưởng đến hiệu suất kinh doanh.
Yếu tố Bên Trong:
- Cơ sở hạ tầng: Bao gồm vấn đề về bảo trì và hỗ trợ khách hàng.
- Nhân sự: Bao gồm sức khỏe, tai nạn lao động, và sự thất bại trong hoạt động.
- Quy trình: Bao gồm sự cố trong sản xuất và giao hàng.
- Công nghệ thông tin: Bao gồm vấn đề về tích hợp dữ liệu, bảo trì hệ thống, và an ninhthông tin.
Việc nhận diện và quản lý các rủi ro này là quan trọng để đảm bảo sự ổn định và phát triển của doanh nghiệp.
2.3. Phân loại sự kiện
Việc phân loại sự kiện là một phần quan trọng trong việc quản lý doanh nghiệp. Điều này
giúp nhà quản lý hiểu rõ hơn về mối quan hệ giữa các sự kiện và tăng cường thông tin để có
thể đưa ra quyết định về cơ hội và rủi ro một cách hiệu quả hơn.
Có hai phương pháp phổ biến để phân loại sự kiện trong doanh nghiệp. Một phương pháp là
dựa trên mục tiêu, trong đó các sự kiện được phân chia từ mục tiêu cấp cao đến mục tiêu cấp
thấp, liên quan đến các đơn vị tổ chức, chức năng hoặc quy trình kinh doanh. Phương pháp thứ
hai là phân loại dựa trên các nhân tố ảnh hưởng hoặc vấn đề nợ của công ty.
Bằng cách này, doanh nghiệp có thể tổ chức thông tin một cách hợp lý, giúp cho quá trình
quản lý và đưa ra quyết định trở nên dễ dàng và hiệu quả hơn.
2.4. Phân biệt cơ hội và rủi ro
Mỗi sự kiện trong doanh nghiệp có thể mang lại tác động tích cực, tiêu cực hoặc cả hai. Sự
kiện có tác động tiêu cực thường được coi là rủi ro, đòi hỏi nhà quản lí phải phản ứng và đánh
giá để giảm thiểu tác động tiêu cực đến việc đạt được mục tiêu của doanh nghiệp.
Ngược lại, sự kiện có tác động tích cực được gọi là cơ hội, có thể tạo ra giá trị và tăng cường
khả năng đạt được mục tiêu của doanh nghiệp. Cơ hội cũng giúp nhà quản lí xem xét lại chiến
lược và quá trình thiết lập mục tiêu để tận dụng tốt nhất các tác động tích cực này.
3. Các thành phần của KSNB
3.1. Môi trường nội bộ
Nội dung trên nói về vai trò của môi trường nội bộ trong tổ chức và tác động của nó đến các
khía cạnh khác nhau của doanh nghiệp. Môi trường nội bộ không chỉ phản ánh văn hóa tổ chức
mà còn ảnh hưởng đến ý thức của nhân viên và hoạt động của các bộ phận trong hệ thống kiểm soát nội bộ (KSNB).
Các yếu tố quan trọng trong môi trường nội bộ bao gồm triết lí quản lí, phong cách lãnh đạo,
cam kết tính chính trực và giá trị đạo đức, cơ cấu tổ chức, quyền hạn và trách nhiệm, chính sách
nhân sự, và ảnh hưởng từ bên ngoài. Một môi trường nội bộ tích cực thường dẫn đến các doanh
nghiệp có hiệu suất cao và nhân viên có năng lực, được huấn luyện đúng cách và có ý thức về việc kiểm soát.
Môi trường nội bộ không chỉ ảnh hưởng đến cách tổ chức kinh doanh và đạt được mục tiêu,
mà còn đến hoạt động hàng ngày của doanh nghiệp. Các yếu tố này đều quan trọng và có mức
độ ảnh hưởng khác nhau đối với từng tổ chức.
1. Triết lí quản lí, phong cách điều hành và thái độ sẵn lòng chấp nhận rủi ro: -
Phong cách lãnh đạo và triết lí quản lí ảnh hưởng lớn đến cách doanh nghiệp được điều hành.
- Thái độ của doanh nghiệp đối với rủi ro cũng quyết định hướng đi của chính sách và quyếtđịnh. 2.
Cam kết tính chính trực, các giá trị đạo đức và năng lực:
- Văn hóa tổ chức phản ánh tính chính trực và giá trị đạo đức của nhân viên.
- Cam kết về tính chính trực và giá trị đạo đức là quan trọng để xây dựng một môi trườngnội
bộ hữu hiệu và đáng tin cậy. 3.
Hội đồng quản trị và Ủy ban kiểm toán:
- Sự độc lập và hiệu quả của Hội đồng quản trị và Ủy ban kiểm toán đóng vai trò quan
trọngtrong việc đảm bảo sự minh bạch và tuân thủ. 4.
Cơ cấu tổ chức:
- Cơ cấu tổ chức phải phản ánh nhu cầu và mục tiêu của doanh nghiệp, đồng thời cung cấpkhuôn
khổ để quản lí và kiểm soát các hoạt động 5.
Cách thức phân định quyền hạn và trách nhiệm:
- Phân định rõ ràng quyền hạn và trách nhiệm giúp tăng cường trách nhiệm và hiệu quả làmviệc. 6.
Chính sách nhận sự nhằm thu hút, phát triển và giữ lại những cá nhân có nănglực:
- Chính sách nhân sự cần xác định rõ yêu cầu về tính chính trực, giá trị đạo đức và năng lực,đồng
thời cung cấp cơ hội phát triển và thăng tiến cho nhân viên. 7.
Những ảnh hưởng bên ngoài:
- Doanh nghiệp cần phải đáp ứng các yêu cầu và chuẩn mực từ các tổ chức và cơ quan quảnlý
ngoại vi, như thị trường chứng khoán và các cơ quan kiểm toán tài chính.
Tóm lại, việc xây dựng một môi trường nội bộ tích cực và đáng tin cậy là yếu tố then chốt để
đảm bảo hiệu quả và bền vững của doanh nghiệp.
3.2. Đánh giá rủi ro Đánh giá rủi ro 1.
Đánh giá rủi ro: Đánh giá rủi ro là quá trình xem xét tác động của các sự kiện tiềm ẩn
đến mục tiêu của doanh nghiệp. Đánh giá rủi ro thường bao gồm việc đánh giá khả năng xảy
ra của một sự kiện và tác động của nó. 2.
Môi trường thay đổi liên tục: Môi trường kinh doanh, pháp lý và nhân sự thay đổi liên
tục. Điều này yêu cầu việc liên tục nhận diện và đánh giá rủi ro, đồng thời điều chỉnh các biện
pháp kiểm soát nội bộ để phản ánh các thay đổi này. 3. Các tình huống đòi hỏi sự chú ý đặc biệt bao gồm: -
Thay đổi môi trường hoạt động: Thay đổi về môi trường kinh doanh hoặc pháp
lí có thểtăng cường áp lực cạnh tranh và làm tăng rủi ro. -
Nhân sự mới: Sự xuất hiện của nhân sự mới, đặc biệt là lãnh đạo mới, có thể
ảnh hưởngđến kiểm soát nội bộ. -
Hệ thống thông tin mới: Các cải tiến hoặc nâng cấp hệ thống thông tin cũng
yêu cầu việcđiều chỉnh kiểm soát nội bộ. -
Tăng trưởng nhanh chóng: Sự tăng trưởng nhanh chóng có thể làm mất phù
hợp của cácbiện pháp kiểm soát hiện tại. -
Công nghệ mới: Sự áp dụng công nghệ mới đòi hỏi các biện pháp kiểm soát
mới. - Dòng sản phẩm hoặc hoạt động mới: Mở rộng hoặc phát triển các dòng sản
phẩm mới đòi hỏi sự xem xét lại các biện pháp kiểm soát. -
Tái cấu trúc công ty: Tái cấu trúc có thể đưa đến thay đổi trong tổ chức và phân
chia tráchnhiệm, cũng như ảnh hưởng đến các biện pháp kiểm soát nội bộ. -
Hoạt động ở nước ngoài: Mở rộng hoặc mua lại các cơ sở kinh doanh nước
ngoài đềumang lại rủi ro mới đòi hỏi sự chú ý đặc biệt, đặc biệt là về mặt văn hóa và
kiểm soát nội bộ. Rủi ro vốn có và rủi ro còn lại: 1.
Rủi ro vốn có: Đây là mức độ nhạy cảm của một tài khoản hoặc quy trình đối với các
vấn đề kiểm soát quan trọng, nếu không có hệ thống kiểm soát nội bộ. Điều này đề cập đến
việc nhận diện những vấn đề cơ bản mà doanh nghiệp phải đối mặt nếu không có các biện pháp kiểm soát phù hợp. 2.
Rủi ro còn lại: Đây là những rủi ro vẫn tồn tại sau khi các biện pháp kiểm soát nội bộ
đã được thực hiện hoặc sau khi một số biện pháp phản ứng đã được thực hiện. Điều này đề cập
đến việc nhận diện những rủi ro tiềm ẩn hoặc không thể loại bỏ hoàn toàn bởi các biện pháp kiểm soát hiện tại.
Rủi ro vẫn còn có khả năng phát sinh sau khi đã thực hiện các biện pháp kiểm soát không
những bởi vì những nguồn lực hữu hạn, mà còn bởi vì những hạn chế tiềm tàng khác trong mọi
hệ thống kiểm soát nội bộ.
Ước lượng khả năng và tác động -
Khả năng: Đây là mức độ xảy ra của một sự kiện có thể gây ra rủi ro. Nếu khả năng
xảy ra thấp, thì doanh nghiệp có thể có khuynh hướng không quan tâm nhiều đến nó. -
Tác động: Đây là mức độ nghiêm trọng của hậu quả nếu sự kiện đó xảy ra. Khi tác
động cao, doanh nghiệp thường sẽ chú trọng nhiều hơn vào việc đối phó với rủi ro đó.
Tuy nhiên, những quyết định về rủi ro cần phải xem xét cẩn thận cả mặt ngắn hạn và dài hạn
để đảm bảo rằng các biện pháp đối phó được thiết kế một cách hiệu quả và bền vững. Ví dụ:
Một công ty sản xuất đồ điện tử đang xem xét rủi ro liên quan đến một nhà cung cấp
chính không cung cấp các linh kiện chính xác đúng thời hạn. Trong trường hợp này: - Khả năng:
Có thể xảy ra trễ trong việc cung cấp linh kiện là cao vì nhà cung cấp có lịch trình vận chuyển
không ổn định và sự cố sản xuất có thể xảy ra. -
Tác động: Nếu không có linh kiện đúng thời hạn, doanh nghiệp có thể phải ngưng sản
xuất,gây mất lợi nhuận và ảnh hưởng đến uy tín thương hiệu. è Dựa trên đánh giá này, công ty
cần phải có các biện pháp dự phòng như tìm nguồn cung cấp thay thế hoặc đàm phán các điều
khoản hợp đồng linh hoạt để giảm thiểu rủi ro liên quan đến nhà cung cấp này.
Kỹ thuật đánh giá
Phương pháp đánh giá rủi ro bao gồm cả phương pháp định tính và định lượng. Phương pháp
định lượng thường được ưa chuộng vì mang lại sự chính xác và dễ hình dung đối với các hoạt
động phức tạp. Các kỹ thuật đánh giá định lượng bao gồm tiêu chuẩn, mô hình xác suất và mô
hình phi xác suất. Tiêu chuẩn tập trung vào sự kiện cụ thể và xác định cơ hội cải thiện. Mô hình
xác suất dựa trên giả định về khả năng và tác động, trong khi mô hình phi xác suất sử dụng giả
định chủ quan. Quá trình phân tích rủi ro bao gồm đánh giá tầm quan trọng và khả năng xảy ra
của rủi ro, xem xét phương pháp quản trị và lập kế hoạch giảm thiểu rủi ro. Cơ chế nhận diện
và phân tích rủi ro cần tập trung vào dữ liệu tương lai để lập kế hoạch dựa trên những thay đổi
dự kiến. Mặc dù không thể dự đoán tương lai chắc chắn, nhưng việc đoán trước được thay đổi
giúp giảm thiểu các tình huống bất ngờ và tạo điều kiện thuận lợi cho cơ hội tương lai.
Phản ứng đối với rủi ro
Sau khi đánh giá các rủi ro liên quan, nhà quản lý quyết định phản ứng đối với rủi ro bằng
cách xác định và lựa chọn từ các phản ứng như: né tránh, chấp nhận, giảm thiểu và chia sẻ rủi
ro. Trong quá trình xem xét phản ứng, họ đánh giá khả năng và tác động của rủi ro, cũng như
lợi ích và chi phí của các phản ứng khác nhau, sau đó chọn lựa phản ứng phù hợp với khả năng
chịu đựng mong muốn. Doanh nghiệp cần cân nhắc cả các cơ hội có thể có và danh mục rủi ro,
để quyết định tổng thể rủi ro còn lại trong dự kiến rủi ro. Có các loại phản ứng đối với rủi ro như sau: 1.
Né tránh rủi ro: Tránh những hoạt động hoặc nguyên nhân gây ra rủi ro có thể phát
sinh tốn thất, có thể bằng cách loại bỏ nguyên nhân hoặc dừng một số hoạt động. Ví dụ như
loại bỏ một sản phẩm hoặc giảm mở rộng vào một thị trường mới. 2.
Giảm thiểu rủi ro: Sử dụng biện pháp để giảm thiểu số lần xuất hiện hoặc mức độ thiệt
hại của rủi ro, bao gồm các biện pháp tác động vào nguyên nhân hoặc môi trường rủi ro, và giảm thiểu tốn thất. 3.
Chia sẻ rủi ro: Chuyển giao hoặc chia sẻ rủi ro cho tổ chức khác, thông qua mua bảo
hiểm hoặc các hợp đồng quy định chuyển giao rủi ro. 4.
Chấp nhận rủi ro: Không thực hiện hành động để giảm thiểu hoặc chuyển giao rủi ro,
và chấp nhận rủi ro khi nó xảy ra. Các biện pháp như quản lý tài trợ và tự thanh toán tốn thất
có thể được thực hiện. è Những quyết định này cần được đưa ra sau khi xem xét kỹ lưỡng và đánh giá đối với
từng tình huống cụ thể.
Sơ đồ 3.1. Quy trình xác định rủi ro, đánh giá rủi ro và phản ứng đối với rủi ro.
Xác định sự kiện hoặc rủi ro
Ước tính khả năng hay xác xuất rủi ro xảy ra
Ước tính mức thiệt hại của mỗi rủi ro
Xác định thủ tục kiểm soát đối với mỗi rủi ro
Ước tính lợi ích và chi phí Chi phí bỏ ra có mang lại nhiều lợi ích để bảo vệ hệ thống Không Né tránh, chia sẻ hoặc đối với rủi ro hay chấp nhận rủi ro không ? Có
Giảm rủi ro bằng cách thực hiện các thủ tục kiểm soát
3.3. Hoạt động kiểm soát
Hoạt động kiểm soát bao gồm các chính sách và thủ tục nhằm đảm bảo phản ứng rủi ro được
thực hiện đúng cách. Được triển khai trên toàn doanh nghiệp, tại mọi cấp độ và trong mọi chức
năng, bao gồm xét duyệt, ủy quyền, xác nhận, cân đối phát sinh, xem xét kết quả hoạt động,
bảo vệ tài sản, và phân chia trách nhiệm. Các hoạt động kiểm soát được phân loại dựa trên mục
tiêu liên quan như: chiến lược, hoạt động, báo cáo, và tuân thủ.
Thống nhất với phản ứng rủi ro
Nhà quản lý xác định hoạt động kiểm soát để đảm bảo phản ứng rủi ro được thực hiện đúng
cách và kịp thời. Trong một số trường hợp, một hoạt động kiểm soát có thể áp dụng cho nhiều
phản ứng rủi ro, trong khi ở các trường hợp khác, nhiều hoạt động kiểm soát có thể cần thiết
cho một phản ứng rủi ro. Hoạt động kiểm soát liên kết với phản ứng rủi ro và là công cụ quản
lý để đạt được mục tiêu. Ví dụ, để giảm khả năng xảy ra và tác động của rủi ro, nhà quản lý có
thể thiết lập lịch sử mua hàng của khách hàng hiện tại và tiến hành nghiên cứu thị trường mới.
Trong trường hợp này, hoạt động kiểm soát được tích hợp vào quá trình quản lý để đảm bảo sự
chính xác của dữ liệu báo cáo.
Các hoạt động kiểm soát 1.
Các loại hoạt động kiểm soát bao gồm kiểm soát ngăn ngừa, kiểm soát phát hiện,
kiểmsoát thủ công và kiểm soát máy tính. 2.
Hoạt động kiểm soát có thể phân loại dựa trên mục tiêu kiểm soát như đảm bảo đầy
đủvà chính xác của dữ liệu. 3.
Các hoạt động kiểm soát phổ biến bao gồm xem xét mức độ cấp cao, quản lý chức
nănghoặc hoạt động trực tiếp, xử lí thông tin, kiểm soát vật lí, chỉ số thành quả và phân chia trách nhiệm. 4.
Các biện pháp bảo vệ tài sản của doanh nghiệp, bao gồm việc thiết lập chính sách,
giớihạn quyền truy cập, sử dụng thiết bị giám sát, và kiểm soát môi trường làm việc. 5.
Phân chia trách nhiệm hợp lý giữa các chức năng trong doanh nghiệp là cần thiết
đểgiảm thiểu các cơ hội của sai sót và gian lận, và cũng là một loại kiểm soát phòng ngừa và phát hiện hiệu quả. 6.
Hoạt động kiểm soát thường được thực hiện để giải quyết các phản ứng rủi ro liên
quan,bao gồm kiểm soát ngăn ngừa và kiểm soát phát hiện để ngăn chặn và xác định nghiệp vụ kịp thời.
Chính sách và thủ tục
Hai thành phần chính của hoạt động kiểm soát: chính sách và thủ tục. Chính sách là tập hợp
các nguyên tắc cần tuân thủ và đóng vai trò là cơ sở cho việc thực hiện các thủ tục kiểm soát
cụ thể. Thủ tục là các quy định chi tiết để thực hiện các chính sách kiểm soát. Chính sách thường
được truyền đạt bằng lời, nhưng hiệu quả hơn khi được viết thành văn bản và duy trì một cách
liên tục và nhất quán trong tổ chức. Thủ tục chỉ hữu ích khi được thực hiện một cách linh hoạt
và tập trung vào các điều kiện mà chính sách đặt ra. Các hành động trong thủ tục có thể thay
đổi tùy thuộc vào quy mô và cấu trúc tổ chức của doanh nghiệp.
Hoạt động kiểm soát đối với hệ thống thông tin
Về hai nhóm hoạt động kiểm soát thường được sử dụng để đảm bảo hoạt động của doanh
nghiệp: kiểm soát chung và kiểm soát ứng dụng. Kiểm soát chung và kiểm soát ứng dụng kết
hợp với quá trình kiểm soát thủ công để đảm bảo tính đầy đủ, chính xác và hợp lệ của thông tin. -
Kiểm soát chung bao gồm các hoạt động kiểm soát liên quan đến quản lý công
nghệthông tin, cơ sở hạ tầng công nghệ thông tin, quản lý an ninh, và mua, phát triển và bảo trì phần mềm. -
Kiểm soát ứng dụng tập trung vào các bước được tự động hóa trong phần mềm ứng
dụng,nhằm đảm bảo tính đầy đủ, sự chính xác, phân quyền và tính hợp lệ của dữ liệu thu thập và xử lý.
Mục tiêu chính của kiểm soát ứng dụng là ngăn chặn sai sót từ việc nhập dữ liệu vào hệ thống
và phát hiện, sửa chữa các sai sót trong dữ liệu.
Mỗi doanh nghiệp thiết lập mục tiêu, phản ứng rủi ro và hoạt động kiểm soát riêng biệt, phản
ánh sự đa dạng trong cách thức hoạt động và môi trường của từng công ty. Các doanh nghiệp
lớn thường phải đối mặt với nhiều vấn đề kiểm soát hơn so với các doanh nghiệp nhỏ do sự
phức tạp và quy mô lớn của chúng.
3.4. Thông tin và truyền thông
Vai trò quan trọng của thông tin và truyền thông trong việc thiết lập và duy trì khả năng kiểm
soát trong tổ chức. Điều này bao gồm việc thu thập, xử lý và truyền đạt thông tin một cách kịp
thời và phù hợp, cả bên trong và bên ngoài tổ chức. Hệ thống thông tin cần phải hỗ trợ chiến
lược kinh doanh và đảm bảo chất lượng thông tin, đồng thời cần xây dựng hệ thống đảm bảo
dấu vết kiểm toán. Trong khi đó, truyền thông nội bộ và ngoại bộ cần phải được thực hiện để
cung cấp thông tin cần thiết và giúp tổ chức ứng phó với các thách thức kiểm soát. Cuối cùng,
việc cập nhật và trình bày khuôn khổ kiểm soát nội bộ là cần thiết, và ba nguyên tắc chính được
đề xuất để áp dụng là thụ thập và sử dụng thông tin phù hợp, truyền đạt thông tin trong tổ chức
và truyền đạt thông tin với các đối tác bên ngoài. 3.5. Giám sát
Vai trò của giám sát trong việc đảm bảo hiệu quả của hệ thống Kiểm soát và Quản trị Nguy
cơ (ERM). Giám sát trong ERM tương tự như trong Kiểm soát và Quản trị Nguy cơ (KSNB),
đánh giá chất lượng của hệ thống theo thời gian và xác định nếu cần điều chỉnh để phù hợp với
giai đoạn phát triển của tổ chức.
Cần thực hiện hai loại giám sát: thường xuyên và định kỳ. Giám sát thường xuyên diễn ra
hàng ngày, đôi khi áp dụng cho đối tác bên ngoài, trong khi giám sát định kỳ phụ thuộc vào
đánh giá rủi ro và hiệu suất của các hoạt động giám sát thường xuyên. Thông qua việc giám sát,
các khiếm khuyết của hệ thống KSNB cần được báo cáo lên cấp cao.
Các phương pháp giám sát bao gồm:
- Thực hiện đánh giá KSNB thường xuyên hoặc định kì.
- Thực hiện giám sát hiệu quả liên quan đến đào tạo, sửa lỗi.
- Sử dụng hệ thống kế toán trách nhiệm: bao gồm ngân sách, lịch trình, chi phí định mức,
tiêuchuẩn chất lượng, báo cáo thực tế và kế hoạch.
- Giám sát hoạt động hệ thống bằng cách sử dụng công nghệ.
- Thực hiện kiểm toán định kì.
Việc kết hợp giữa kiểm toán viên nội bộ và kiểm toán viên độc lập giúp đánh giá một cách
khách quan hơn về hiệu quả của hệ thống KSNB.
4. KSNB trong AIS trên nền máy tính
4.1. Tiếp cận kiểm soát HTTTKT
Giới thiệu về các mô hình tiếp cận kiểm soát trong môi trường máy tính, ngoài COSO, một
khuôn mẫu tiêu chuẩn trong kiểm soát hệ thống thông tin kế toán (theo PCAOB) Uỷ ban giám
sát kế toán công ty đại chúng (PCAOB) là một tổ chức phi lợi nhuận đưa ra các qui định đối
với kiểm toán viên của các công ty giao dịch công khai. Mục đích của PCAOB là giảm thiểu rủi ro kiểm toán.
Các mô hình kiểm soát hệ thống thông tin kế toán, bao gồm COBIT, ITCG và ISO 17799,
nhằm hỗ trợ tuân thủ luật như SOX. COBIT là tiêu chuẩn quốc tế với 34 mục tiêu kiểm soát
cao cấp và cung cấp hướng dẫn chi tiết về tuân thủ SOX. ITCG là hướng dẫn từ Canada và ISO
17799 được coi là chuyên gia hàng đầu về bảo mật thông tin.
COSO và công nghệ thông tin
COSO (The Committee of Sponsoring Organizations of the Treadway Commission) là một
Uỳ ban thuộc hội động Quốc Gia Hoa Kì về chống Gian lận khi lập Báo cáo Tài chính (The
National Commission: on Fraudulent Financial Reporting hay còn gọi là Treadway
Commmission). Hội đồng quốc gia này được thành lập vào năm 1985 dưới sự bảo trợ của năm tố chức là:
- Hiệp hội Kế toạn viên Cộng chứng Mỳ (AICPA)
-: Hội Kê toán Mỹ (American Accounting Association)
- Hiệp hội Quản trị viên Tài chính (the Financial Executives Institute - i FEI)
- Hiệp hội Kế toán viên Quản trị (Institute of Management Accountants - IMA)
- Hiệp hội Kiểm toán viên Nội bộ (the Institute of Internal Auditors - ILA)
Theo COSO, kiểm soát nội bộ là một quá trình chịu ảnh hưởng bởi các nhà quản lí và các nhân
viên của một tổ chức, được thiết kế để cụng cấp một sự đảm bảo hợp lí nhằm thực hiện các mục tiêu sau:
- Hoạt động hữu hiệu và hiệu quả - Thông tin đáng tin cậy
- Sự tuân thủ các luật lệ và quy định.
COSO bao gồm 5 thành phần: - Môi trường kiểm soát - Đánh giá rủi ro - Hoạt động kiếm soát
- Thông tin và truyền thông - Giám sát
COSO và kiểm soát chung, kiểm soát ứng dụng
Khuôn mẫu COSO cung cấp hướng dẫn về kiểm soát thông tin qua công nghệ. Nó phân chia
kiểm soát thành chung và ứng dụng. Kiểm soát chung áp dụng cho toàn bộ hệ thống để đảm
bảo hoạt động liên tục, trong khi kiểm soát ứng dụng là để kiểm soát xử lý nghiệp vụ. COSO
nhấn mạnh việc kết hợp cả hai loại kiểm soát sẽ tạo ra thông tin chính xác và đáng tin cậy. + Kiểm soát chung
Các kiểm soát quan trọng trong hệ thống thông tin:
1. Kiểm soát hoạt động dữ liệu: Bao gồm lập kế hoạch công việc, dự phòng và phục hồi dữliệu.
2. Kiểm soát phần mềm hệ thống: Bao gồm mua sắm, triển khai và bảo trì phần mềm.
3. Kiểm soát an ninh truy cập: Bảo vệ hệ thống khỏi truy cập không phù hợp và thiết lập cáckế hoạch an ninh.
4. Kiểm soát phát triển và bảo trì hệ thống: Bao gồm việc quản lý thay đổi và thực hiện dự
ánphát triển hệ thống.
+ Kiểm soát ứng dụng
COSO nhấn mạnh về kiểm soát ứng dụng trong hệ thống thông tin để đảm bảo xử lý thông
tin chính xác, đầy đủ, được ủy quyền và hợp lệ. Đặc biệt, họ lưu ý đến việc áp dụng các kiểm
soát tại giao diện ứng dụng và sử dụng các biện pháp kiểm soát dữ liệu để ngăn chặn lỗi và phát hiện sự cố. COBIT
COBIT là một tiêu chuẩn mở về kiểm soát hệ thống thông tin kế toán, phân chia thành 34
mục tiêu kiểm soát ở mức độ cao, tập trung vào hoạch định và tổ chức, tiến trình và ra quyết
định, triển khai và hổ trợ, kiểm soát và theo dõi. Nó đảm bảo quản lý hiệu quả các khía cạnh
của thông tin và kỹ thuật hỗ trợ, giúp doanh nghiệp đạt được hệ thống kiểm soát đáng tin cậy
trong môi trường công nghệ thông tin.
COBIT chia mỗi mục tiêu kiểm soát thành 318 mục tiêu kiểm soát chi tiết và không có phần
riêng biệt nào để trình bày kiểm soát ứng dụng, mà thay vào đó, nó được giải thích gián tiếp
dưới mảng "Triển khai và Hỗ trợ". ITCG
ITCG là tiêu chuẩn kiểm soát công nghệ thông tin do Viện Kế toán Canada (CICA) phát
hành. Nó tập trung vào quản lý rủi ro và bao gồm 7 vấn đề kiểm soát, 31 mục tiêu kiểm soát,
162 tiêu chuẩn kiểm soát tối thiểu và 744 kỹ thuật kiểm soát. So với COBIT, ITCG tập trung
nhiều hơn vào truyền thông và trách nhiệm, đề xuất cách tiếp cận lợi ích - chỉ phí và tích hợp
đánh giá rủi ro vào quy trình lập kế hoạch và tổ chức một cách rộng rãi hơn. ISO 17799
ISO 17799 (trước đây là BS7799) là tiêu chuẩn về an ninh thông tin, bao gồm 11 điều khoản
kiểm soát an ninh, 39 danh mục bảo mật chính và 135 kiểm soát.
4.2. Đặc điểm môi trường máy tính ảnh hưởng đến kiểm soát
Đặc điểm ƯDCNTT trong kế toán
| Mức độ ƯDCNTT trong kế toán không giống nhau
| Mức độ ƯDCNTT tác động đến cách thức thu nhập, xử lí,và cung cấp dữ liệu thông tin kế toán
è Tác động đến rủi ro cũng như việc quản lí của HTTTKT
Các mức độ ƯDCNTT trong kế toán: Tùy theo quy mô, yêu cầu quản lí, quan điểm của người
quản lí. Có thể chia thành 3 mức độ chính:
+ Xử lí bán thủ công: Ví dụ: Kế toán thủ công xử lý các chứng từ bằng giấy và sử dụng
thêm phần mềm Excel để hỗ trợ quá trình nhập, xử lí, trích lọc, tổng hợp dữ liệu, lập các BCTC,..
+ Tự động hóa công tác kế toán: Ví dụ: Kế toán sử dụng phần mềm kế toán để lập và in
các chứng từ từ phần mềm kế toán.
+ Tự động hóa công tác quản lí: Ví dụ: Công ty tổ chức hệ thống máy tính theo mô hình
mạng như WAN (mạng diện rộng), LAN (mạng nội bộ)
Đặc điểm công tác kế toán trong môi trường máy tính
+ Đặc điểm về ghi nhận và hạch toán ban đầu: Chứng từ được lập bởi kế toán thủ công
Chứng từ gốc được in từ phần mềm kế toán
Nghiệp vụ được cập nhật tự động Chứng từ điện tử
+ Đặc điểm về quá trình xử lý dữ liệu kế toán:
Các dấu vết nghiệp vụ không quan sát được bằng mắt
Cập nhật một lần, ảnh hưởng tới nhiều tập tin
Các xử lí bằng máu được thực hiện tự động
Khả năng cài đặt các tính năng kiểm soát trong phần mềm kế toán +
Đặc điểm thông tin đầu ra:
Cung cấp số lượng các báo cáo thiết kế sẵn tương đối đầy đủ cho nhu cầu sử dụng dữ liệu
của người quản lí và người kiểm tra kế toán.
Hỗ trợ việc cung cấp dữ liệu thông qua các câu lệnh vấn tin hoặc hỗ trợ cung cấp dữ liệu cho
các phần mềm xử lí dữ liệu khác nhau.
4.3. Sai sót và gian lận trong môi trường máy tính
Phân loại sai sót và gian lận trong môi trường máy tính +
Sai sót và gian lận về nhập liệu:
VD: nhập sai số liệu, nhập trùng hoặc bỏ sót nghiệp vụ,..
+ Sai sót và gian lận về xử lí nghiệp vụ:
VD: sai công thức, sai tham số,..
+ Sai sót và gian lận về thông tin đầu ra VD:
đánh tráo các kết quả in
+ Sai sót và gian lận về lữu trữ bảo mật thông tin
VD: cố tình làm hỏng dữ liệu, đánh cắp dữ liệu, sửa chữa trái phép dữ liệu,..
èTrong môi trường máy tính, không thể xem thường khả năng xảy ra sai sót hoặc gian lận, cả
dưới góc độ người quản lí và góc độ người kiểm tra
Dưới góc độ người quản lí: quan tâm đúng đắn khi tổ chức HTTTKT và lựa chọn phần
mềm kế toán phù hợp trong doanh nghiệp
Dưới góc độ người kiểm tra: cần những hiểu biết về ản hưởng của môi trường máy tính đến việc kiểm tra
Phân loại sai sót và gian lận xét trên góc độ kĩ thuật Gồm 3 thành phần
Che giấu việc ăn cắp bằng
Chuyển đổi tài sản ăn Ăn cắp tài sản è è
các ghi chép giả mạo trên cắp thành tiền
sổ kế toán hoặc báo cáo
Các kiểu gian lận thường xảy ra:
+ Cố tình nhập sai dữ liệu, phá hủy các máy tính chứa dữ liệu và chương trình quan trọng
+ Ăn cắp thông tin thông qua việ truy cập bất hợp pháp máy tính hoặc mạng máy tính +
Sử dụng máy tính như một công cụ để tạo một hệ thống sổ sách song song khác cho mục đích gian lận tài chính
+ Sử dụng máy tính để lừa dối, ví dụ: tạ một trung tâm dữ liệu giả,..
Khả năng có sai sót và gian lận trong môi trường máy tính
+ Đánh giá nhận thức về gian lận và sai sót của doanh nghiệp
VD: DN cần trả lời những câu hỏi như DN tự viết hay thuê hay mua phần mềm kế
toán? Khi lựa chọn phầm mềm kế toán thì có ưu tiên về kiểm soát hay không?
+ Đánh giá việc tuân thủ các quy định về kế toán trong môi trường máy tính
VD: DN không biết hoặc không quan tâm đến các quy định về ứng dụng công nghệ tin
học trong công tác kế toán dẫn đến tạo ra các kẻ hở cho việc gian lận
+ Đánh giá phần mềm kế toán và các hệ thống có liên quan
VD: Gian lận do khai thác hệ thống kế toán và các hệ thống có liên quan, khả năng sai
sót do sử dụng phần mềm kế toán không đúng.
4.4. Các khái niệm cơ bản và rủi ro trong môi trường điện toán đám mây
Điện toán đám mây
Mây (cloud computing) là toàn bộ dịch vụ máy tính, không phải sản phẩm, trong đó:
Các mô hình điện toán đám mây
Các mô hình này có thể cung cấp dịch vụ điện toán đám mây thông qua mô hình cung cấp
dịch vụ điện toán đám mây, gồm:
Dịch vụ phần mềm: Software as a Service (SaaS)
Dịch vụ nền tầng: Platform as a Service (PaaS)
Dịch vụ hạ tầng: Infrastructure as a Service (IaaS)
Rủi ro trong môi trường điện toán đám mây
Một số loại rủi ro điển hình liên quan đến điện toán đám mây:
+ Tạo điều kiện cho đối thủ cạnh phá hoại (với tốc độ
cao) và các khía cạnh tiết kiệm chi phí của điệnm toán
đám mây có thể được xem như sự kiện rủi ro đói với tổ
chức + Đối thủ cạnh tranh hiện tại sẻ dụng điện toán đám mây thì có thể mang lại những ý
tưởng mới và đổi mới thị trường của họ nhanh hơn
+ Hoạt động trong môi trường có nguy cơ tương tự như các CPS và người thuê điện toán
đám mây khác + Thiếu minh bạch
+ Hiệu suất và sự tin cậy
+ Hạn chế NCC và thiếu tính ứng dụng linh hoạt và khả năng tương tác
+ Tính tuân thủ và bảo mật
+ Mục tiêu tấn công mạng
+ Nguy cơ rò rỉ dữ liệu
+ Sự thay đổi tổ chức CNTT
+ Khả năng tồn tại NCC dịch vụ điện toán đám mây
5. Các dạng kiểm soát hệ thống
Kiểm soát chungLà kiểm soát liên quan tới hoạt động xử lí
Là các hoạt động liên quan tới toàn bộ
hệthông tin của một ứng dụng xử lí kế toán
thống xử lí, ảnh hưởng tới tất cả các hệnhất
định thống ứng dụng xử lí nghiệp vụĐược
thực hiện qua ba giai đoạn:
Thường quan tâm đến thủ tục để kiểmNhập
liệu è Xử lí è Kết xuất
soát những rủi roGồm các nhóm kiểm soát ứng dụng như
Được thiết lập nhằm đảm bảo toàn bộsau:
HTTT trên máy tính được ổn định và quản Kiểm soát nhập liệu
trị tốt Kiểm soát quá trình xử lí dữ liệu và
Gồm các nhóm kiểm soát chung như
sau:kiểm soát bảo trì tập tin
Xác lập kế hoạch an ninh Kiểm soát thông tin đầu ra
Phân chia trách nhiệm trong các chức năng của hệ thống
Kiểm soát dự án phát triển hệ thống
Kiểm soát thâm nhập về mặt vật lí
Kiểm soát truy cập hệ thống
Kiểm soát lưu trữ dữ liệu
Kiểm soát truyền tải dữ liệu
Chuẩn hóa tài liệu hệ thống
Giảm thiểu thời gian chết của hệ thống Dấu vết kiểm toán
Kiểm soát ứng dụng Kiểm soát chung
+ Xác lập kế hoạch an ninh
Đây là một trong những thủ tục kiểm soát chung quan trọng nhất. Xác lập và cập nhật
thường xuyên một kế hoạch an ninh toàn diện.
Phương thức cơ bản và đơn giản nhất để xác lập một kế hoạch an ninh là xác định Ai là
người cần thông tin nào? Khi nào cần thông tin? Thông tin do hệ thống nào cung cấp?
+ Phân chia trách nhiệm trong các chức năng của hệ thống
HTTTKT trong môi Các thủ tục được
Cá nhân không bị giới hạn trường máy có tính +
è quyền truy cập đến máy tích hợp cao thực hiện bởi cá
tính, chương trình, dữ liệu nhân riêng biệt
=> Cần phân chia trách nhiệm trong các chức năng của hệ thống một cách đầy đủ. Quyền
và trách nhiệm cần được phân chia một cách rạch ròi giữa các chức năng:
- Chức năng phân tích hệ thống - Chức năng lập trình
- Vận hành bảo trì hệ thống máy tính - Người dùng hệ thống
- Quản trị dữ liệu HTTTKT - Kiểm soát dữ liệu
+ Kiểm soát dự án phát triển hệ thống
Đảm bảo thời gian phát triển hệ thống hợp lí, giảm thiểu chi phí và đảm bảo tính hữu hiệu,
hiệu quả của HTTTKT mới, gồm các thủ tục sau:
- Kế hoạch chủ đạo chiến lược: tất cả các kế hoạch và dự án ứng dụng CNTT trong thời
gian dài nhằm đạt mục tiêu chiến lược của DN.
- Kế hoạch phát triển dự án: mô tả các phương thức thực hiện, công việc hoặc nhiệm vụ
cần thực hiện, phân công nhân sự,...
- Lịch trình xử lí dữ liệu: tận dụng tối đa các nguồn lực hạn chế của hệ thống máy. - Quy
định trách nhiệm: mỗi dự án phải có trưởng dự án, đội dự án và các thành viên này phải
chịu trách nhiệm về thành công hay thất bại của dự án đó.
- Đánh giá thực hiệm dự án định kì: cần đánh giá việc thực hiện dự án định kỳ nhằm giám
sát cũng như đưa ra các giải pháp để đảm bảo thực hiện dự án đúng tiến độ. - Đánh giá
việc thực hiện chuyển đổi: sau khi hoàn tất dự án phát triển hệ thống, cần đánh giá việc
thực hiện chuyển đổi hệ thống nhằm đảm bảo tất cả mục tiêu của hệ thống mới đều đạt được.
- Đo lường việc thực hiện hệ thống: đánh giá chính xác hệ thống mới, cần lượng hóa các
chỉ tiêu đánh giá thông qua việc đo lường tốc độ vận hành của hệ thống,...
+ Kiểm soát thâm nhập về mặt vật lí
Đảm bảo an toàn cho máy và sử dụng máy nhằm hạn chế các thiệt hại vật chất máy tính,
thiết bị phần cứng, hạn chế truy cập hệ thống bất hợp pháp, hạn chế lộ thông tin bảo mật.
Khi xác lập thủ tục kiểm soát chung, cần lưu ý xây dựng các thủ tục sau:
- Trang bị phần cứng, máy tính, cần phải được đặt ở nơi an toàn
- Cần có các thiết bị giám sát, cảnh báo
- Giới hạn sử dụng các phương tiện có thể hỗ trợ máy tính truy cập từ xa
- Huấn luyện đầy đủ cho người dùng (sử dụng, vận hành, phòng chống virus máy tính)
- Sử dụng các phần mềm và các giải pháp bảo mật, các giải pháp an ninh mạng máy tính-
Thông tin thường xuyên và đầy đủ về an ninh và ý thức bảo vệ an ninh trong việc sử dụng
máy tính và mạng máy tính
- Tăng cường các hoạt động giám sát việc sử dụng máy tính
- Sử dụng các chuyên gia nhằm phát hiện các lỗ hỏng bảo mật của hệ thống - Mã hóa dữ liêu
+ Kiểm soát truy cập hệ thống
Là việc giới hạn quyền truy cập hệ thống đối với từng người
Kiểm soát truy cập hệ thống được thực hiện thông qua các cấp độ sau:
- Phân quyền truy cập - sử dụng hệ thống: mật khẩu, phương tiện nhận dạng cá nhân,nhận dạng sinh học.
- Phân quyền truy cập chức năng: chức năng khai báo; chức năng nhập liệu; chức năng
sửdụng dữ liêu, thông tin.
- Phân quyền mức độ truy cập dữ liệu
+ Kiểm soát lưu trữ dữ liệu
- Kiểm soát thiết bị lưu trữ: USB, CD,..
- Kiểm soát sao lưu dữ phòng dữ liệu
+ Kiểm soát truyền tải dữ liệu
Có thể được thực hiện thông qua các biện pháp như mã hóa dữ liệu, kiểm tra đường
truyền, kiểm tra chẵn lẻ, và các biện pháp sử dụng các phần mềm an ninh mạng khác
+ Chuẩn hóa tài liệu hệ thống
Nhằm phục vụ cho yêu cầu thẩm định, xem xét, đánh giá HTTTKT
+ Giảm thiểu thời gian chết của hệ thống
Các sự cố về điện, rủi ro khác có thể làm co hệ thống tạm ngưng hoạt động è Ảnh hưởng
đến dữ liệu, chương trình, hoặc giảm tuổi thọ của trang thiết bị è Cần kiểm tra, thay thế
các thiết bị đã hết hạn sử dụng hay sắp hư hỏng.
Sử dụng bộ lưu điện UPS để có thể cung cấp nguồn cho hệ thống hoạt động đủ thời gian
để sao lưu khi có sự cố về điện,..
+ Dấu vết kiểm toán
HTTTKT trong điều kiện tin học hóa phải hỗ trợ các thủ tục tảoa các dấu vết kiểm toán,
đòi hỏi phần mềm phải được thiết kế sẵn các thủ tục này
Kiểm soát ứng dụng trong HTTTKT
+ Kiểm soát nhập liệu
Được thực hiện từ khi có nguồn dữ liệu cho đến khi hoàn tất việc nhập liệu vào hệ thống,
cần phải kiểm soát nguồn dữ liệu và kiểm soát quá trình nhập liệu:
- Kiểm soát nguồn dữ liệu: đảm bảo dữ liệu nhập vào là hợp lệ
- Kiểm soát quá trình nhập liệu: đảm bảo từng nội dung dữ liệu được nhập chính xác vàđầy đủ.
+ Kiểm soát quá trình xử lí dữ liệu và kiểm soát bảo trì tập tin
Kiểm soát xử lí kiểm tra sự chính xác của thông tin kế toán trong quá trình xử lí số
liệu è Loại trừ yếu tố bấ thường trong quá trình xử lí è Đảm bảo cho hệ thống vận hành như thiết kế ban đầu
Kiểm soát quá trình xử lí dữ liệu và kiểm soát bảo trì tập tin gồm các thủ tục sau:
- Kiểm tra ràng buộc toàn vẹn dữ liệu
- Kiểm tra dữ liệu hiện hành
- Kiểm soát trình tự xử lí dữ liệu - Kiểm soát từng bước
- Nhận biết tập tin một cách hữu hình
- Kiểm tra dữ liệu phù hợp
- Đối chiếu với dữ liệu ngoài hệ thống
- Đối chiếu giữa tổng hợp và chi tiết
- Kiểm soát chuyển đổi tập tin dữ liệu
- Lập trình các kiểm soát
- Báo cáo các yếu tố bất thường
+ Kiểm soát thông tin đầu ra
Nhằm đảm bảo sự chính xác của việc xử lí số liệu, việc kiểm soát được thực hiện thông qua các thủ tục sau:
- Xem xét các kết xuất nhằm đảm bảo nội dung thông tin cung cấp và hinh thức phù hợpvới nhu cầu
- Đối chiếu giữa kết xuất và dữ liệu nhập
- Chuyển giao chính xác thông tin đến đúng người sử dụng thông tin
- Đảm bảo an toàn cho các kết xuất và thông tin nhạy cảm của DN
- Quy định người sử dụng phải có trách nhiệm kiểm tra tính chính xác, đầy đủ và trungthực của thông tin đó
- Quy định hủy các dữ liệu, thông tin bí mật sau khi tạo ra kết xuất trên giấy,..- Tăng cường
các giải pháp an toàn cho hệ thống mạng