CHƯƠNG 7: KIỂM SOÁT HỆ THỐNG THÔNG TIN KẾ TOÁN

MỤC TIÊU HỌC TẬP

Sau khi học chương này, bạn sẽ có thể:
1. Giải thích các khái niệm điều khiển cơ bản và giải thích tại sao điều khiển và bảo mật máy
tính quan trọng.
2. So sánh và đối chiếu các khuôn khổ điều khiển COBIT, COSO và ERM.
3. Mô tả các yếu tố chính trong môi trường nội bộ của một công ty.
4. Mô tả các mục tiêu kiểm soát mà công ty cần đặt ra và cách xác định các sự kiện ảnh hưởng
đến sự không chắc chắn của tổ chức.
5. Giải thích cách đánh giá và ứng phó với rủi ro bằng Quản lý rủi ro doanh nghiệp (ERM) mô
hình.
6. Mô tả các hoạt động kiểm soát thường được sử dụng trong các công ty.
7. Mô tả cách truyền đạt thông tin và giám sát các quá trình kiểm soát trong các tổ chức.
TÌNH HUỐNG TÍCH HỢP Lumber & Nguồn cung cấp của Springer
Jason Scott, kiểm toán viên nội bộ của Northwest Industries, đang kiểm toán Springer’s Lumber
& Cung cấp, cửa hàng vật liệu xây dựng của Northwest ở Bozeman, Montana. Người giám sát
của anh ấy, Maria Pilier, đã yêu cầu anh ta theo dõi một mẫu giao dịch mua hàng từ yêu cầu mua
hàng đến giải ngân tiền mặt để xác minh rằng các thủ tục kiểm soát thích hợp đã được tuân thủ.
Jason thất vọng với nhiệm vụ này và vì những lý do chính đáng:
 Hệ thống mua hàng được ghi chép kém.
 Anh ta tiếp tục tìm các giao dịch chưa được xử lý với tư cách là Ed Yates, các tài khoản
người quản lý phải trả, cho biết họ nên được.
 Yêu cầu mua hàng bị thiếu đối với một số mặt hàng do Bill ủy quyền cá nhân Springer,
phó chủ tịch thu mua.
 Một số hóa đơn của nhà cung cấp đã được thanh toán mà không có chứng từ hỗ trợ,
chẳng hạn như mua hàng đơn đặt hàng và nhận báo cáo
 Giá một số mặt hàng có vẻ cao bất thường và có một số chênh lệch về mặt hàng giá giữa
hóa đơn của nhà cung cấp và đơn đặt hàng tương ứng.
Yates đã có một câu trả lời hợp lý cho mọi câu hỏi Jason nêu ra và khuyên Jason rằng thế giới
không ngăn nắp như thế giới được miêu tả trong sách giáo khoa đại học. Maria cũng có một số lo
ngại:
 Springer’s là nhà cung cấp lớn nhất trong khu vực và gần như độc quyền.
 Quyền quản lý được nắm giữ bởi chủ tịch công ty, Joe Springer, và hai con trai, Bill (phó
chủ tịch thu mua) và Ted (kiểm soát viên). Vài người thân và bạn bè đang trong biên chế.
Cùng nhau, Springers sở hữu 10% cổ phần của công ty.
  Các dòng quyền hạn và trách nhiệm trong công ty được xác định một cách lỏng lẻo và
gây nhầm lẫn.
 Maria tin rằng Ted Springer có thể đã tham gia vào "kế toán sáng tạo" để thực hiện
Springer là một trong những cửa hàng bán lẻ hoạt động tốt nhất của Northwest.
Sau khi nói chuyện với Maria, Jason suy nghĩ về những vấn đề sau:
1. Bởi vì Ed Yates đã có một lời giải thích hợp lý cho mọi giao dịch bất thường, nên
Jason mô tả các giao dịch này trong báo cáo của mình?
2. Việc vi phạm các thủ tục kiểm soát có được chấp nhận không nếu ban quản lý đã cho
phép?
3. Mối quan tâm của Maria về các đường quyền hạn được xác định lỏng lẻo của Springer
và khả năng sử dụng của "kế toán sáng tạo" là các vấn đề của chính sách quản lý. Đối với
Jason's việc phân công các thủ tục kiểm soát, anh ta có chuyên môn hay trách nhiệm đạo
đức không tham gia vào?

GIỚI THIỆU
TẠI SAO HỆ THỐNG THÔNG TIN KẾ TOÁN ĐANG TĂNG
Trong hầu hết các năm, hơn 60% tổ chức gặp thất bại lớn trong việc kiểm soát an ninh và tính
toàn vẹn của hệ thống máy tính của họ. Những lý do cho sự thất bại bao gồm những điều sau:
 Thông tin có sẵn cho một số lượng công nhân chưa từng có. Chevron, chẳng hạn, có hơn
35.000 PC.
 Thông tin trên mạng máy tính phân tán rất khó kiểm soát. Tại Chevron, thông tin được
phân phối giữa nhiều hệ thống và hàng nghìn nhân viên trên toàn thế giới. Mỗi hệ thống
và mỗi nhân viên đại diện cho một điểm dễ bị kiểm soát tiềm ẩn.
 Khách hàng và nhà cung cấp có quyền truy cập vào hệ thống và dữ liệu của nhau. Ví dụ,
Walmart cho phép các nhà cung cấp truy cập cơ sở dữ liệu của họ. Hãy tưởng tượng các
vấn đề về bảo mật khi các nhà cung cấp này hình thành liên minh với các đối thủ cạnh
tranh của Walmart.
Các tổ chức đã không bảo vệ dữ liệu đầy đủ vì một số lý do:
 Một số công ty coi việc mất thông tin quan trọng là một mối đe dọa xa vời, khó có thể
xảy ra.
 Ý nghĩa kiểm soát của việc chuyển từ hệ thống máy tính tập trung sang dựa trên Internet
hệ thống không được hiểu đầy đủ.
 Nhiều công ty không nhận ra rằng thông tin là một nguồn tài nguyên chiến lược và việc
bảo vệ nó phải là một yêu cầu chiến lược. Ví dụ, một công ty thua lỗ hàng triệu đô la vì
nó không bảo vệ việc truyền dữ liệu. Một đối thủ cạnh tranh đã khai thác vào đường dây
điện thoại của họ và nhận được các bản fax thiết kế sản phẩm mới.
 Áp lực về năng suất và chi phí thúc đẩy ban lãnh đạo từ bỏ việc kiểm soát tốn nhiều thời
gian đo.
Bất kỳ sự kiện bất lợi nào có thể xảy ra được gọi là một mối đe dọa hoặc một sự kiện. Khoản lỗ
tiềm ẩn của đồng đô la từ một mối đe dọa được gọi là tiếp xúc hoặc tác động. Xác suất mà nó sẽ
xảy ra được gọi là khả năng xảy ra hoặc nguy cơ của mối đe dọa.
TỔNG QUAN VỀ CÁC KHÁI NIỆM KIỂM SOÁT
Kiểm soát nội bộ là các quá trình được thực hiện để cung cấp sự đảm bảo hợp lý rằng các các
mục tiêu kiểm soát đạt được:
 Bảo vệ tài sản — ngăn chặn hoặc phát hiện việc mua lại, sử dụng hoặc định đoạt trái
phép chúng.
 Duy trì hồ sơ đầy đủ chi tiết để báo cáo tài sản của công ty một cách chính xác và công
bằng.
 Cung cấp thông tin chính xác và đáng tin cậy.
 Lập các báo cáo tài chính phù hợp với các tiêu chí đã thiết lập.
 Thúc đẩy và nâng cao hiệu quả hoạt động.
 Khuyến khích tuân thủ các chính sách quản lý theo quy định.
 Tuân thủ luật và quy định hiện hành.
Kiểm soát nội bộ là một quá trình vì nó xuyên suốt các hoạt động điều hành của tổ chức và là
một bộ phận cấu thành của hoạt động quản lý. Kiểm soát nội bộ cung cấp sự đảm bảo hợp lý khó
đạt được sự đảm bảo hoàn toàn và rất tốn kém. Ngoài ra, nội bộ hệ thống kiểm soát có những
hạn chế cố hữu, chẳng hạn như dễ mắc các lỗi đơn giản và sai lầm, đánh giá sai lầm và ra quyết
định, ghi đè quản lý, và thông đồng.
Việc phát triển một hệ thống kiểm soát nội bộ đòi hỏi sự hiểu biết thấu đáo về thông tin khả
năng và rủi ro công nghệ (CNTT), cũng như cách sử dụng CNTT để đạt được mục tiêu kiểm
soát. Kế toán viên và nhà phát triển hệ thống giúp ban quản lý đạt được sự kiểm soát của họ mục
tiêu bằng cách:
(1) thiết kế các hệ thống kiểm soát hiệu quả có cách tiếp cận chủ động loại bỏ các mối đe dọa
hệ thống và phát hiện, sửa chữa và phục hồi khỏi các mối đe dọa khi chúng xảy ra;
(2) làm cho việc xây dựng các điều khiển vào một hệ thống ở giai đoạn thiết kế ban đầu dễ
dàng hơn là thêm họ sau khi thực tế.
Kiểm soát nội bộ thực hiện ba chức năng quan trọng:
1. Kiểm soát phòng ngừa ngăn chặn các vấn đề trước khi chúng phát sinh. Ví dụ bao gồm tuyển
dụng đủ điều kiện nhân sự, tách biệt nhiệm vụ của nhân viên và kiểm soát quyền truy cập vật lý
vào tài sản và thông tin.
2. Kiểm soát thám tử phát hiện ra các vấn đề không được ngăn chặn. Ví dụ bao gồm trùng lặp
kiểm tra các tính toán và chuẩn bị đối chiếu ngân hàng và số dư thử nghiệm hàng tháng.
3. Kiểm soát sửa chữa xác định và sửa chữa các vấn đề cũng như sửa chữa và phục hồi từ các lỗi
kết quả. Ví dụ bao gồm duy trì các bản sao lưu của tệp, sửa dữ liệu lỗi nhập và gửi lại các giao
dịch để xử lý tiếp theo.
Kiểm soát nội bộ thường được tách biệt thành hai loại:
1. Kiểm soát chung đảm bảo môi trường kiểm soát của tổ chức ổn định và tốt được quản lý.
Ví dụ bao gồm bảo mật; Cơ sở hạ tầng CNTT; và mua lại, phát triển phần mềm, và kiểm soát
bảo trì.
2. Kiểm soát ứng dụng ngăn ngừa, phát hiện và sửa lỗi giao dịch và gian lận trong ứng dụng
các chương trình. Họ quan tâm đến tính chính xác, đầy đủ, hợp lệ và ủy quyền dữ liệu được thu
thập, nhập, xử lý, lưu trữ, truyền đến các hệ thống khác, và được báo cáo.
Robert Simons, một giáo sư kinh doanh Harvard, đã tán thành bốn đòn bẩy kiểm soát để giúp
quản lý hòa giải mâu thuẫn giữa sáng tạo và kiểm soát.
1. Hệ thống niềm tin mô tả cách một công ty tạo ra giá trị, giúp nhân viên hiểu tầm nhìn của
ban lãnh đạo, truyền đạt các giá trị cốt lõi của công ty và truyền cảm hứng sống cho nhân viên
bởi các giá trị đó.
2. Hệ thống ranh giới giúp nhân viên hành động có đạo đức bằng cách thiết lập ranh giới đối
với nhân viên cư xử. Thay vì nói cho nhân viên biết chính xác những gì phải làm, họ được
khuyến khích sáng tạo giải quyết vấn đề và đáp ứng nhu cầu của khách hàng trong khi vẫn đáp
ứng hiệu suất tối thiểu các tiêu chuẩn, tránh các hoạt động vượt quá giới hạn và tránh các hành
động có thể làm hỏng danh tiếng.
3. Hệ thống kiểm soát chẩn đoán đo lường, giám sát và so sánh tiến độ thực tế của công ty
ngân sách và mục tiêu hiệu suất. Phản hồi giúp ban quản lý điều chỉnh và tinh chỉnh đầu vào và
quá trình để đầu ra trong tương lai phù hợp hơn với mục tiêu.
4. Hệ thống kiểm soát tương tác giúp người quản lý tập trung sự chú ý của cấp dưới vào chìa
khóa các vấn đề chiến lược và tham gia nhiều hơn vào các quyết định của họ. Dữ liệu hệ thống
tương tác là được giải thích và thảo luận trong các cuộc họp trực tiếp của cấp trên, cấp dưới và
đồng nghiệp.
Đáng tiếc, không phải tổ chức nào cũng có hệ thống kiểm soát nội bộ hiệu quả. Ví dụ, một báo
cáo chỉ ra rằng FBI đang gặp khó khăn bởi các lỗ hổng cơ sở hạ tầng CNTT và bảo mật một số
vấn đề đã được xác định trong một cuộc kiểm toán 16 năm trước. Các lĩnh vực cụ thể của mối
quan tâm là các tiêu chuẩn, hướng dẫn và thủ tục bảo mật; sự phân chia nhiệm vụ; truy cập kiểm
soát, bao gồm quản lý và sử dụng mật khẩu; kiểm soát sao lưu và phục hồi; và phần mềm kiểm
soát phát triển và thay đổi.
CÁC THỰC HÀNH NGOẠI KHẮC VÀ HÀNH VI SARBANES – OXLEY
Năm 1977, Đạo luật Thực hành Tham nhũng Nước ngoài (FCPA) đã được thông qua để ngăn
chặn các công ty hối lộ các quan chức nước ngoài để được làm ăn. Quốc hội đã kết hợp ngôn
ngữ của một người Mỹ Viện Kế toán Công chứng (AICPA) công bố vào FCPA yêu cầu công ty
duy trì tốt hệ thống kiểm soát nội bộ. Thật không may, những yêu cầu này không đủ để ngăn
chặn các vấn đề khác.
Vào cuối những năm 1990 và đầu những năm 2000, các tin bài báo cáo về các gian lận kế toán
tại Enron, WorldCom, Xerox, Tyco, Global Crossing, Adelphia, và các công ty khác. Khi Enron,
với
62 tỷ đô la tài sản, tuyên bố phá sản vào tháng 12 năm 2001, đây là vụ phá sản lớn nhất trong
Lịch sử Hoa Kỳ. Vào tháng 6 năm 2002, Arthur Andersen, từng là công ty CPA lớn nhất, sụp đổ.
The Enron phá sản đã giảm khi WorldCom, với hơn 100 tỷ đô la tài sản, nộp đơn phá sản vào
tháng 7 năm 2002. Để đối phó với những gian lận này, Quốc hội đã thông qua Đạo luật Sarbanes
– Oxley (SOX) năm 2002. SOX áp dụng cho các công ty được tổ chức công khai và kiểm toán
viên của họ và được thiết kế để ngăn chặn gian lận báo cáo tài chính, làm cho báo cáo tài chính
minh bạch hơn, bảo vệ các nhà đầu tư, tăng cường kiểm soát nội bộ và trừng phạt những giám
đốc điều hành có hành vi gian lận. SOX là luật định hướng kinh doanh quan trọng nhất trong 80
năm qua. Nó đã thay đổi cách thức hoạt động của hội đồng quản trị và ban quản lý và có tác
động đáng kể đến các CPA, những người kiểm toán chúng. Sau đây là một số khía cạnh quan
trọng nhất của SOX:
 Ban Giám sát Kế toán Công ty Đại chúng (PCAOB). SOX đã tạo Công khai Ban Giám
sát Kế toán Công ty (PCAOB) để kiểm soát nghề nghiệp kiểm toán. PCAOB đặt ra và
thực thi kiểm toán, kiểm soát chất lượng, đạo đức, tính độc lập, và các các chuẩn mực
kiểm toán. Nó bao gồm năm người được chỉ định bởi Chứng khoán và Ủy ban hối đoái
(SEC).
 Các quy tắc mới cho kiểm toán viên. Kiểm toán viên phải báo cáo thông tin cụ thể cho
công ty ủy ban kiểm toán, chẳng hạn như các chính sách và thông lệ kế toán quan trọng.
SOX cấm kiểm toán viên từ việc thực hiện một số dịch vụ nonaudit, chẳng hạn như thiết
kế hệ thống thông tin và thực hiện. Các công ty kiểm toán không thể cung cấp dịch vụ
cho các công ty nếu ban lãnh đạo cao nhất đã được công ty kiểm toán tuyển dụng và đã
làm việc trong quá trình kiểm toán của công ty trước đó 12 tháng.
 Các vai trò mới cho các ủy ban kiểm toán. Các thành viên ủy ban kiểm toán phải là thành
viên của công ty hội đồng quản trị và độc lập với công ty. Một thành viên của ủy ban
kiểm toán phải là một chuyên gia tài chính. Ủy ban kiểm toán thuê, bồi thường và giám
sát kiểm toán viên, những người báo cáo trực tiếp cho họ.
 Các quy tắc mới để quản lý. SOX yêu cầu Giám đốc điều hành và Giám đốc tài chính xác
nhận rằng (1) tài chính các tuyên bố và công bố thông tin được trình bày rõ ràng, đã được
ban giám đốc xem xét, và không gây hiểu lầm; và (2) kiểm toán viên đã được thông báo
về tất cả các kiểm soát nội bộ trọng yếu điểm yếu và gian lận. Nếu ban quản lý cố tình vi
phạm các quy tắc này, họ có thể bị truy tố và bị phạt. Các công ty phải tiết lộ, bằng tiếng
Anh đơn giản, những thay đổi quan trọng đối với điều kiện tài chính trên cơ sở kịp thời.
 Các yêu cầu mới về kiểm soát nội bộ. Mục 404 yêu cầu các công ty phát hành báo cáo
kèm theo các báo cáo tài chính nêu rõ rằng Ban Giám đốc chịu trách nhiệm thiết lập và
duy trì hệ thống kiểm soát nội bộ đầy đủ. Báo cáo phải có đánh giá của ban giám đốc về
các kiểm soát nội bộ của công ty, chứng thực tính chính xác của chúng,và báo cáo những
điểm yếu đáng kể hoặc sự không tuân thủ nghiêm trọng.
Sau khi SOX được thông qua, SEC yêu cầu ban quản lý phải:
  Đánh giá dựa trên một khuôn khổ kiểm soát được công nhận. Các khuôn khổ có khả năng
xảy ra nhất, được xây dựng bởi Ủy ban các tổ chức tài trợ (COSO), được thảo luận trong
chương.
 Tiết lộ tất cả các điểm yếu trọng yếu của kiểm soát nội bộ.
 Kết luận rằng một công ty không có các kiểm soát nội bộ về báo cáo tài chính hiệu quả
nếu có những điểm yếu về vật chất.
KHUNG ĐIỀU KHIỂN
Phần này thảo luận về ba khuôn khổ được sử dụng để phát triển hệ thống kiểm soát nội bộ.
CÁC KHUÔN KHỔ COBIT
Hiệp hội Kiểm tra và Kiểm soát Hệ thống Thông tin (ISACA) đã phát triển khuôn khổ Mục tiêu
Kiểm soát cho Thông tin và Công nghệ Liên quan (COBIT). COBIT liên kết các tiêu chuẩn kiểm
soát từ nhiều nguồn khác nhau vào một khuôn khổ duy nhất cho phép (1) quản lý để chuẩn hóa
các thực tiễn kiểm soát và bảo mật của môi trường CNTT, (2) người dùng được đảm bảo rằng
tồn tại các biện pháp kiểm soát và bảo mật đầy đủ về CNTT và (3) kiểm toán viên để chứng
minh ý kiến kiểm soát giữa các bên và tư vấn về các vấn đề kiểm soát và bảo mật CNTT.
Khung COBIT 5 mô tả các thực tiễn tốt nhất để quản lý và điều hành hiệu quả của CNTT.
COBIT 5 dựa trên năm nguyên tắc chính sau đây của quản trị CNTT và ban quản lý. Những
nguyên tắc này giúp các tổ chức xây dựng một nền quản trị và quản lý hiệu quả khuôn khổ bảo
vệ các khoản đầu tư của các bên liên quan và cung cấp thông tin tốt nhất có thể hệ thống.
1. Đáp ứng nhu cầu của các bên liên quan. COBIT 5 giúp người dùng tùy chỉnh các quy trình
và thủ tục kinh doanh để tạo ra một hệ thống thông tin làm tăng giá trị cho các bên liên quan. Nó
cũng cho phép công ty để tạo ra sự cân bằng thích hợp giữa rủi ro và phần thưởng.
2. Bao quát doanh nghiệp từ đầu đến cuối. COBIT 5 không chỉ tập trung vào CNTT hoạt
động, nó tích hợp tất cả các chức năng và quy trình CNTT vào các chức năng toàn công ty và các
quy trình.
3. Áp dụng một khuôn khổ tích hợp, duy nhất. COBIT 5 có thể được căn chỉnh ở mức cao
với các tiêu chuẩn và khuôn khổ khác để tạo ra khuôn khổ tổng thể cho quản trị CNTT và quản
lý được tạo ra.
4. Kích hoạt một cách tiếp cận toàn diện. COBIT 5 cung cấp một cách tiếp cận toàn diện
mang lại hiệu quả quản trị và điều hành tất cả các chức năng CNTT trong công ty.
5. Tách quản trị khỏi quản lý. COBIT 5 phân biệt giữa quản trị và quản lý.
Như thể hiện trong Hình 7-1, mục tiêu của quản trị là tạo ra giá trị bằng cách tối ưu hóa sử
dụng các nguồn lực của tổ chức để tạo ra các lợi ích mong muốn theo cách giải quyết hiệu quả
đặt vào may rủi. Quản trị là trách nhiệm của ban giám đốc, người (1) đánh giá các bên liên quan
cần xác định các mục tiêu, (2) đưa ra định hướng cho ban quản lý bằng cách sắp xếp thứ tự ưu
tiên và (3) giám sát hiệu suất của ban quản lý.
Ban quản lý chịu trách nhiệm lập kế hoạch, xây dựng, điều hành và giám sát các hoạt động và
các quá trình được tổ chức sử dụng để theo đuổi các mục tiêu do hội đồng quản trị đạo diễn. Ban
giám đốc cũng định kỳ cung cấp thông tin phản hồi cho ban giám đốc rằng có thể được sử dụng
để giám sát việc đạt được các mục tiêu của tổ chức và nếu cần, để đánh giá lại và có lẽ sửa đổi
các mục tiêu đó.
Quản trị và quản lý CNTT là các quá trình liên tục. Ban giám đốc và ban quản lý giám sát các
hoạt động của tổ chức và sử dụng phản hồi đó để sửa đổi kế hoạch và thủ tục hoặc phát triển các
chiến lược mới để đáp ứng với những thay đổi trong mục tiêu kinh doanh và những phát triển
mới trong CNTT.
COBIT 5 là một khuôn khổ toàn diện giúp các doanh nghiệp đạt được hiệu quả quản trị
CNTT của mình và các mục tiêu quản lý. Tính toàn diện này là một trong những điểm mạnh của
COBIT 5 và làm cơ sở cho sự chấp nhận quốc tế ngày càng tăng của nó như một khuôn khổ để
quản lý và kiểm soát hê ̣ thông thông tin.
Hình 7-2 là mô hình tham chiếu quy trình COBIT 5. Mô hình xác định năm quản trị các quy
trình (được gọi là đánh giá, chỉ đạo và giám sát — hoặc EDM) và 32 quản lý các quy trình. 32
quy trình quản lý được chia thành bốn quy trình sau miền:
1. Căn chỉnh, lập kế hoạch và tổ chức (APO)
2. Xây dựng, thu nhận và triển khai (BAI)
3. Cung cấp, dịch vụ và hỗ trợ (DSS)
4. Theo dõi, đánh giá và đánh giá (MEA)
Không thể bao gồm tất cả COBIT 5 trong văn bản này. Thay vào đó, trong các Chương 8 đến
10, chúng tôi tập trung vào các phần của COBIT 5 liên quan trực tiếp nhất đến kế toán, kiểm
toán viên, và hệ thống thông tin kế toán. Điều này bao gồm các quy trình kinh doanh và kiểm
soát các hoạt động ảnh hưởng đến tính chính xác của báo cáo tài chính của một tổ chức và tuân
thủ các quy định bên ngoài như SOX, Khả năng cung cấp Bảo hiểm Y tế và Đạo luật về trách
nhiệm giải trình (HIPAA) và các tiêu chuẩn bảo mật mà thẻ tín dụng bắt buộc ngành công
nghiệp.
KHUNG KIỂM SOÁT NỘI BỘ CỦA COSO
Ủy ban các tổ chức tài trợ (COSO) bao gồm Cơ quan Kế toán Hoa Kỳ Hiệp hội, AICPA, Viện
Kiểm toán nội bộ, Viện Kế toán Quản lý, và Viện điều hành tài chính. Năm 1992, COSO ban
hành Kiểm soát nội bộ— Khung tích hợp (IC), được chấp nhận rộng rãi như là cơ quan có thẩm
quyền về kiểm soát nội bộ và được đưa vào các chính sách, quy tắc và quy định được sử dụng để
kiểm soát các hoạt động kinh doanh.
Vào năm 2013, khuôn khổ vi mạch đã được cập nhật để đối phó tốt hơn với các quy trình
kinh doanh hiện tại và tiến bộ công nghệ. Ví dụ, vào năm 1992, rất ít doanh nghiệp sử dụng
Internet, đã gửi e-mail hoặc lưu trữ dữ liệu của họ trên đám mây. Khung vi mạch sửa đổi cũng
cung cấp cho người dùng với hướng dẫn chính xác hơn về cách triển khai và lập tài liệu cho
khuôn khổ. Nhiều thứ mới các ví dụ đã được thêm vào để làm rõ các khái niệm khung và làm
cho khung dễ dàng hơn hiểu và sử dụng. Khung vi mạch mới giữ năm thành phần của khung ban
đầu và bổ sung 17 nguyên tắc xây dựng và hỗ trợ các khái niệm. Mỗi thành phần trong số năm
thành phần có ít nhất hai và tối đa năm nguyên tắc.
Năm thành phần và 17 nguyên tắc của khung vi mạch cập nhật được tóm tắt trong Bảng 7-1.
KHUNG QUẢN LÝ RỦI RO DOANH NGHIỆP CỦA COSO
Để cải thiện quy trình quản lý rủi ro, COSO đã phát triển một khuôn khổ kiểm soát thứ hai được
gọi là Quản lý Rủi ro Doanh nghiệp — Khuôn khổ Tích hợp (ERM). ERM là quá trình Ban giám
đốc và ban giám đốc sử dụng để thiết lập chiến lược, xác định các sự kiện có thể ảnh hưởng đến
doanh nghiệp, đánh giá và quản lý rủi ro, và cung cấp sự đảm bảo hợp lý rằng công ty đạt được
mục tiêu và mục tiêu của nó. Các nguyên tắc cơ bản đằng sau ERM như sau:
 Các công ty được hình thành để tạo ra giá trị cho chủ sở hữu của họ.
 Ban quản lý phải quyết định mức độ không chắc chắn mà họ sẽ chấp nhận vì nó tạo ra giá
trị.
 Sự không chắc chắn dẫn đến rủi ro, đó là khả năng có điều gì đó ảnh hưởng tiêu cực đến
khả năng tạo ra hoặc duy trì giá trị của công ty.
 Sự không chắc chắn dẫn đến cơ hội, đó là khả năng một cái gì đó ảnh hưởng tích cực đến
khả năng tạo ra hoặc duy trì giá trị của công ty.
 Khung ERM có thể quản lý sự không chắc chắn cũng như tạo ra và duy trì giá trị
COSO đã phát triển mô hình ERM thể hiện trong Hình 7-3 để minh họa các yếu tố của ERM.
Bốn cột ở trên cùng đại diện cho các mục tiêu mà ban quản lý phải đáp ứng để đạt được công ty
bàn thắng. Các cột bên phải đại diện cho các đơn vị của công ty. Các hàng ngang là tám thành
phần rủi ro và kiểm soát có liên quan lẫn nhau của ERM. Mô hình ERM là ba chiều.
Mỗi yếu tố trong số tám yếu tố rủi ro và kiểm soát áp dụng cho từng mục tiêu trong số bốn mục
tiêu và công ty và / hoặc một trong các đơn vị con của nó. Ví dụ: Công ty XYZ có thể xem xét
kiểm soát hoạt động cho các mục tiêu hoạt động trong Bộ phận Thái Bình Dương của nó.
BẢNG 7-1 Năm thành phần và 17 nguyên tắc của mô hình kiểm soát nội bộ của COSO
MÔ TẢ LINH KIỆN
Môi trường kiểm soát
Đây là nền tảng cho tất cả các thành phần khác của kiểm soát nội bộ. Cốt lõi của bất kỳ doanh
nghiệp nào là mọi người — các thuộc tính cá nhân của họ, bao gồm tính chính trực, kỷ luật, các
giá trị đạo đức và năng lực— và môi trường mà họ hoạt động. Họ là động cơ thúc đẩy tổ chức và
nền tảng mà mọi thứ nằm yên trên đó.
1. Cam kết về tính chính trực và đạo đức
2. Giám sát kiểm soát nội bộ của hội đồng quản trị, độc lập với ban giám đốc
3. Cấu trúc, đường dây báo cáo và trách nhiệm thích hợp trong việc theo đuổi các mục tiêu do
quản lý và giám sát bởi hội đồng quản trị
4. Cam kết thu hút, phát triển và giữ chân các cá nhân có năng lực phù hợp với các mục tiêu
5. Các cá nhân chịu trách nhiệm về trách nhiệm kiểm soát nội bộ của họ để theo đuổi các mục
tiêu
Đánh giá rủi ro
Tổ chức phải xác định, phân tích và quản lý rủi ro của mình. Quản lý rủi ro là một quá trình năng
động. Ban Giám đốc phải xem xét những thay đổi trong môi trường bên ngoài và bên trong
doanh nghiệp có thể trở ngại cho các mục tiêu của nó.
6. Xác định các mục tiêu đủ rõ ràng để các rủi ro được xác định và đánh giá
7. Xác định và phân tích rủi ro để xác định cách chúng nên được quản lý
8. Xem xét khả năng gian lận
9. Xác định và đánh giá những thay đổi có thể tác động đáng kể đến hệ thống kiểm soát nội bộ
Hoạt động kiểm soát
Các chính sách và thủ tục kiểm soát giúp đảm bảo rằng các hành động được Ban Giám đốc xác
định để giải quyết rủi ro và đạt được các mục tiêu của tổ chức được thực hiện một cách hiệu quả.
Các hoạt động kiểm soát được thực hiện tại tất cả các cấp và ở các giai đoạn khác nhau trong quy
trình kinh doanh và trên công nghệ.
10. Lựa chọn và phát triển các biện pháp kiểm soát có thể giúp giảm thiểu rủi ro đến mức có thể
chấp nhận được
11. Lựa chọn và phát triển các hoạt động kiểm soát chung đối với công nghệ
12. Triển khai các hoạt động kiểm soát theo quy định trong các chính sách và thủ tục liên quan
Thông tin và liên lạc
Hệ thống thông tin và truyền thông nắm bắt và trao đổi thông tin cần thiết để tiến hành, quản lý
và kiểm soát hoạt động của tổ chức. Giao tiếp phải diễn ra bên trong và bên ngoài cung cấp
thông tin cần thiết để thực hiện các hoạt động kiểm soát nội bộ hàng ngày. Tất cả nhân viên phải
hiểu trách nhiệm của họ.
13. Thu thập hoặc tạo ra thông tin có liên quan, chất lượng cao để hỗ trợ kiểm soát nội bộ
14. Truyền đạt thông tin nội bộ, bao gồm các mục tiêu và trách nhiệm, cần thiết để hỗ trợ các
thành phần khác của kiểm soát nội bộ
15. Thông báo các vấn đề liên quan đến kiểm soát nội bộ cho các bên bên ngoài
Giám sát
Toàn bộ quá trình phải được giám sát và thực hiện các sửa đổi khi cần thiết để hệ thống có thể
thay đổi như điều kiện đảm bảo. Đánh giá xác định liệu từng thành phần của kiểm soát nội bộ có
hiện diện hay không và hoạt động. Những khiếm khuyết được thông báo kịp thời, với những vấn
đề nghiêm trọng được báo cáo lên cấp trên quản lý và hội đồng quản trị.
16. Lựa chọn, phát triển và thực hiện các đánh giá liên tục hoặc riêng biệt đối với các thành phần
của Kiểm soát nội bộ
17. Đánh giá và thông báo những khiếm khuyết cho những người chịu trách nhiệm về hành động
khắc phục, bao gồm quản lý cấp cao và hội đồng quản trị, nếu thích hợp.
KHUNG QUẢN LÝ RỦI RO DOANH NGHIỆP PHIÊN BẢN NỘI BỘ KHUNG ĐIỀU
KHIỂN
Khuôn khổ vi mạch đã được áp dụng rộng rãi như một cách để đánh giá các kiểm soát nội bộ,
theo yêu cầu bởi SOX. Khung ERM toàn diện hơn sử dụng dựa trên rủi ro hơn là cách tiếp cận
dựa trên kiểm soát. ERM thêm ba yếu tố bổ sung vào khung vi mạch của COSO: cài đặt mục
tiêu, xác định các sự kiện có thể ảnh hưởng đến công ty và phát triển phản ứng với rủi ro đã đánh
giá. Do đó, các điều khiển linh hoạt và phù hợp vì chúng được liên kết với mục tiêu của tổ chức.
Mô hình ERM cũng nhận ra rằng rủi ro, ngoài việc được kiểm soát, có thể được chấp nhận,
tránh, đa dạng hóa, chia sẻ hoặc chuyển giao.
Vì nó toàn diện hơn, văn bản sử dụng mô hình ERM để giải thích các kiểm soát nội bộ. Nếu một
người hiểu mô hình ERM, thì sẽ dễ dàng hiểu được mô hình vi mạch, vì nó là năm trong số tám
thành phần của mô hình ERM. Việc hiểu mô hình vi mạch sẽ khó hơn để hiểu mô hình ERM, vì
người dùng có thể không quen với ba các thành phần. Tám thành phần ERM được thể hiện trong
Hình 7-3 là chủ đề của phần còn lại của chương.
MÔI TRƯỜNG BÊN TRONG
Môi trường nội bộ hoặc văn hóa công ty ảnh hưởng đến cách tổ chức thiết lập chiến lược và mục
tiêu; cấu trúc hoạt động kinh doanh; và xác định, đánh giá và ứng phó với rủi ro. Nó là nền tảng
cho tất cả các thành phần ERM khác. Môi trường bên trong yếu hoặc thiếu thường dẫn đến
những đổ vỡ trong quản lý và kiểm soát rủi ro. Về cơ bản nó giống như môi trường điều khiển
trong khuôn khổ vi mạch.
Môi trường bên trong bao gồm những điều sau:
1. Triết lý, phong cách điều hành và khẩu vị rủi ro của Ban quản lý
2. Cam kết về tính chính trực, các giá trị đạo đức và năng lực
3. Giám sát kiểm soát nội bộ của ban giám đốc
4. Cơ cấu tổ chức
5. Phương pháp giao quyền và trách nhiệm
6. Các tiêu chuẩn nguồn nhân lực thu hút, phát triển và giữ chân các cá nhân có năng lực
7. Ảnh hưởng bên ngoài
Enron là một ví dụ về môi trường nội bộ không hiệu quả dẫn đến thất bại tài chính.
Mặc dù Enron dường như có một hệ thống ERM hiệu quả, nhưng môi trường bên trong của nó là
bị lỗi. Ban quản lý tham gia vào các hoạt động kinh doanh rủi ro và không rõ ràng, mà ban giám
đốc giám đốc không bao giờ chất vấn. Ban Giám đốc đã trình bày sai về tình trạng tài chính của
công ty, làm mất lòng tin của các cổ đông, và cuối cùng phải nộp đơn phá sản.
TRIẾT LÝ CỦA QUẢN LÝ, PHONG CÁCH VẬN HÀNH VÀ TRANG WEB RỦI RO
Nói chung, một tổ chức có một triết lý, hoặc niềm tin và thái độ chung, về rủi ro ảnh hưởng
đến các chính sách, thủ tục, thông tin liên lạc bằng miệng và bằng văn bản, và các quyết định.
Các công ty cũng có thói quen mạo hiểm, đó là mức độ rủi ro mà họ sẵn sàng chấp nhận để đạt
được bàn thắng. Để tránh rủi ro quá mức, khẩu vị rủi ro phải phù hợp với chiến lược của công ty.
Triết lý và phong cách điều hành của ban quản lý có trách nhiệm hơn và càng rõ ràng họ được
giao tiếp, thì càng có nhiều khả năng nhân viên sẽ cư xử có trách nhiệm hơn. Nếu quản lý ít quan
tâm đến kiểm soát nội bộ và quản lý rủi ro, khi đó nhân viên sẽ ít siêng năng hơn trong việc đạt
được các mục tiêu kiểm soát. Văn hóa tại Springer’s Lumber & Supply cung cấp một ví dụ.
Maria Pilier nhận thấy rằng các đường quyền hạn và trách nhiệm được xác định một cách lỏng
lẻo và ban giám đốc bị nghi ngờ có thể đã sử dụng "kế toán sáng tạo" để cải thiện hiệu quả hoạt
động của công ty. Jason Scott đã tìm thấy bằng chứng về việc thực hiện kiểm soát nội bộ kém
trong mua hàng và tài khoản các chức năng phải trả. Hai điều kiện này có thể liên quan với nhau;
thái độ quản lý lỏng lẻo có thể đã góp phần vào việc bộ phận mua hàng không chú ý đến việc
kiểm soát nội bộ tốt thực hành.
Triết lý, phong cách điều hành và khẩu vị rủi ro của Ban Giám đốc có thể được đánh giá bằng
cách trả lời những câu hỏi như sau:
 Ban Giám đốc có chấp nhận những rủi ro kinh doanh quá mức để đạt được các mục tiêu
của mình không hay Ban Giám đốc có đánh giá rủi ro tiềm ẩn và phần thưởng trước khi
hành động?
 Ban quản lý có thao túng các thước đo hiệu suất, chẳng hạn như thu nhập ròng, vì vậy
chúng được nhìn thấy trong một ánh sáng thuận lợi hơn?
 Ban quản lý có gây áp lực cho nhân viên để đạt được kết quả bất kể phương pháp nào
không, hoặc nó có đòi hỏi hành vi đạo đức không? Nói cách khác, các kết thúc có biện
minh cho các phương tiện không?
CAM KẾT TÍCH HỢP, GIÁ TRỊ ĐẠO ĐỨC VÀ CẠNH TRANH
Các tổ chức cần một nền văn hóa nhấn mạnh tính chính trực và cam kết đối với các giá trị đạo
đức và năng lực. Đạo đức trả tiền — các tiêu chuẩn đạo đức là công việc kinh doanh tốt. Tính
toàn vẹn bắt đầu ở trên cùng, như nhân viên của công ty áp dụng thái độ của quản lý cao nhất về
rủi ro và kiểm soát. Mạnh mẽ thông điệp được gửi khi CEO đứng trước một quyết định khó
khăn, đưa ra quyết định đúng đắn về mặt đạo đức sự lựa chọn.
Các công ty chứng thực tính toàn vẹn bằng cách:
 Tích cực giảng dạy và yêu cầu nó — ví dụ, làm rõ rằng các báo cáo trung thực là quan
trọng hơn những điều thuận lợi.
 Tránh những kỳ vọng không thực tế hoặc những khuyến khích thúc đẩy các hành vi
không trung thực hoặc bất hợp pháp, chẳng hạn như các hoạt động bán hàng quá tích cực,
 các chiến thuật thương lượng không công bằng hoặc phi đạo đức và thưởng vượt mức
dựa trên kết quả tài chính được báo cáo.
 Luôn khen thưởng sự trung thực và gán nhãn bằng lời nói cho sự trung thực và không
trung thực cư xử. Nếu các công ty trừng phạt hoặc khen thưởng sự trung thực mà không
ghi nhãn như vậy, hoặc nếu tiêu chuẩn trung thực không nhất quán, thì nhân viên sẽ thể
hiện đạo đức không nhất quán cư xử.
 Phát triển một quy tắc ứng xử bằng văn bản mô tả rõ ràng trung thực và không trung thực
hành vi cư xử. Ví dụ: hầu hết các đại lý mua hàng đồng ý rằng chấp nhận $ 5.000 từ một
nhà cung cấp là không trung thực, nhưng một kỳ nghỉ cuối tuần không phải là rõ ràng.
Một nguyên nhân chính của sự thiếu trung thực xuất phát từ việc hợp lý hóa các tình
huống không rõ ràng và cho phép tiêu chí hiệu quả thay thế tiêu chí đúng với sai. Các
công ty nên ghi lại rằng nhân viên đã đọc và hiểu các quy tắc ứng xử.
 Yêu cầu nhân viên báo cáo các hành vi không trung thực hoặc bất hợp pháp và xử lý kỷ
luật nhân viên cố ý không báo cáo chúng. Tất cả các hành vi không trung thực cần được
điều tra, và không trung thực nhân viên nên bị sa thải và truy tố để chứng tỏ rằng hành vi
đó không cho phép.
 Cam kết về năng lực. Các công ty nên thuê những nhân viên có năng lực với kiến thức,
kinh nghiệm, đào tạo và kỹ năng cần thiết.
QUYỀN LỢI KIỂM SOÁT NỘI BỘ CỦA HỘI ĐỒNG QUẢN TRỊ
Một hội đồng quản trị có liên quan đại diện cho các cổ đông và cung cấp một đánh giá độc lập về
quản lý hoạt động như một sự kiểm tra và cân bằng các hành động của mình. SOX yêu cầu các
công ty đại chúng có một ủy ban kiểm toán gồm các giám đốc độc lập, bên ngoài. Ủy ban kiểm
toán chịu trách nhiệm để lập báo cáo tài chính, tuân thủ quy định, kiểm soát nội bộ, tuyển dụng
và giám sát kiểm toán viên nội bộ và bên ngoài, những người báo cáo tất cả các chính sách và
thông lệ kế toán quan trọng cho họ. Các giám đốc cũng nên phê duyệt chiến lược công ty và xem
xét các chính sách bảo mật.
CƠ CẤU TỔ CHỨC
Cơ cấu tổ chức của một công ty cung cấp một khuôn khổ để lập kế hoạch, thực hiện, kiểm soát,
và giám sát hoạt động. Các khía cạnh quan trọng của cơ cấu tổ chức bao gồm tiếp theo:
 Tập trung hoặc phân quyền
 Mối quan hệ báo cáo trực tiếp hoặc ma trận
 Tổ chức theo ngành, dòng sản phẩm, vị trí hoặc mạng lưới tiếp thị
 Cách phân bổ trách nhiệm ảnh hưởng đến yêu cầu thông tin
 Tổ chức và phân quyền đối với kế toán, kiểm toán và chức năng hệ thống thông tin
 Quy mô và tính chất hoạt động của công ty
Một cơ cấu tổ chức phức tạp hoặc không rõ ràng có thể chỉ ra những vấn đề nghiêm trọng. Ví
dụ, ESM, một công ty môi giới, đã sử dụng cơ cấu tổ chức nhiều lớp để che giấu Gian lận 300
triệu đô la. Ban quản lý đã giấu số tiền mặt bị đánh cắp trong báo cáo tài chính của họ bằng cách
sử dụng phương pháp hư cấu phải thu từ một công ty liên quan.
 Trong thế giới kinh doanh ngày nay, cấu trúc phân cấp, với các lớp quản lý giám sát những tổ
chức khác đang được thay thế bằng các tổ chức phẳng gồm các nhóm làm việc tự chỉ đạo tạo ra
quyết định mà không cần nhiều lớp phê duyệt. Trọng tâm là cải tiến liên tục hơn là đánh giá và
thẩm định định kỳ. Những thay đổi cơ cấu tổ chức này tác động đến bản chất và loại kiểm soát
được sử dụng.
CÁC PHƯƠNG THỨC XÁC ĐỊNH QUYỀN VÀ TRÁCH NHIỆM
Ban Giám đốc cần đảm bảo rằng nhân viên hiểu các mục tiêu và mục tiêu của tổ chức, phân công
quyền hạn
và chịu trách nhiệm về các mục tiêu và mục tiêu cho các bộ phận và cá nhân, giữ các cá nhân
chịu trách nhiệm về việc đạt được chúng và khuyến khích sử dụng sáng kiến để giải quyết vấn
đề. Nó là
đặc biệt quan trọng để xác định ai chịu trách nhiệm về chính sách bảo mật thông tin của công ty.
Quyền hạn và trách nhiệm được giao và thông báo bằng cách sử dụng các bản mô tả công việc
chính thức,
đào tạo nhân viên, lịch trình hoạt động, ngân sách, quy tắc ứng xử và các chính sách bằng văn
bản
và các thủ tục. Sổ tay chính sách và thủ tục giải thích các phương thức kinh doanh phù hợp,
mô tả kiến thức và kinh nghiệm cần thiết, giải thích các thủ tục tài liệu, giải thích cách
xử lý các giao dịch và liệt kê các nguồn lực được cung cấp để thực hiện các nhiệm vụ cụ thể.
Hướng dẫn sử dụng
bao gồm biểu đồ tài khoản và bản sao của các biểu mẫu và tài liệu. Đó là một công việc hữu ích
tài liệu tham khảo cho nhân viên hiện tại và là công cụ hữu ích để đào tạo nhân viên mới.
TIÊU CHUẨN NGUỒN NHÂN LỰC THU HÚT, PHÁT TRIỂN VÀ ĐÀO TẠO CÁ NHÂN
CẠNH TRANH
Một trong những sức mạnh kiểm soát lớn nhất là tính trung thực của nhân viên; một trong những
kiểm soát tuyệt vời nhất điểm yếu là sự thiếu trung thực của nhân viên. Các chính sách và thông
lệ quản lý nguồn nhân lực (HR) điều kiện làm việc, khuyến khích công việc và thăng tiến nghề
nghiệp có thể là một động lực mạnh mẽ khuyến khích sự trung thực, hiệu quả và dịch vụ trung
thành. Các chính sách nhân sự cần truyền đạt những yêu cầu yêu cầu mức độ chuyên môn, năng
lực, hành vi đạo đức và tính chính trực. Nhân sự sau các chính sách và thủ tục là quan trọng.
HIRING – TUYỂN DỤNG
Nhân viên nên được thuê dựa trên nền tảng giáo dục, kinh nghiệm, thành tích, trung thực và liêm
chính, và đáp ứng các yêu cầu công việc đã viết. Tất cả nhân viên của công ty, bao gồm đội vệ
sinh và nhân viên tạm thời phải tuân theo chính sách tuyển dụng. Một số kẻ lừa đảo đóng giả làm
công nhân vệ sinh hoặc nhân viên tạm thời để có quyền truy cập vật lý vào máy tính của công ty.
Trình độ của ứng viên có thể được đánh giá bằng cách sử dụng sơ yếu lý lịch, thư giới thiệu,
phỏng vấn và kiểm tra lý lịch. Kiểm tra lý lịch kỹ lưỡng bao gồm nói chuyện với các tài liệu
tham khảo, kiểm tra tiền án, kiểm tra hồ sơ tín dụng, và xác minh trình độ học vấn và kinh
nghiệm làm việc.
Nhiều người nộp đơn bao gồm thông tin sai lệch trong đơn xin việc hoặc sơ yếu lý lịch của họ.
Philip Crosby Associates (PCA) đã thuê John Nelson, MBA, CPA, mà không tiến hành thẩm tra
lý lịch. Trong thực tế, chỉ định CPA và các tham chiếu phát sáng của anh ấy là giả mạo. Nelson
thực sự là Robert W. Liszewski, người từng ngồi tù 18 tháng vì tội biển thủ 400.000 USD. Theo
thời gian PCA phát hiện ra điều này, Liszewski đã biển thủ $ 960,000 bằng chuyển khoản ngân
hàng cho một công ty giả, được hỗ trợ bởi chữ ký giả mạo trên hợp đồng và văn bản ủy quyền.
Nhiều công ty thuê chuyên gia kiểm tra lý lịch vì một số ứng viên mua bằng cấp rởm từ các nhà
điều hành trang web, những người “xác nhận” việc đào tạo không có thật khi nhà tuyển dụng gọi
đến. Một vài ứng viên thậm chí trả tiền cho tin tặc để đột nhập vào cơ sở dữ liệu của trường đại
học và nhập bằng tốt nghiệp giả mạo hoặc dữ liệu điểm.
BỒI THƯỜNG, ĐÁNH GIÁ VÀ XÚC TIẾN COM PENSATING, EVALUATING, AND
PROMOTING-
Nhân viên được trả công kém nhiều hơn có khả năng cảm thấy bực bội và áp lực tài chính có thể
thúc đẩy gian lận. Trả công công bằng và phù hợp khuyến khích tiền thưởng giúp tạo động lực
và củng cố hiệu suất làm việc xuất sắc của nhân viên.
Nhân viên nên được đánh giá hiệu suất định kỳ để giúp họ hiểu điểm mạnh và điểm yếu. Khuyến
mãi nên dựa trên hiệu suất và trình độ.
TRAINING-ĐÀO TẠO
Các chương trình đào tạo nên dạy cho nhân viên mới về trách nhiệm của họ; kỳ vọng mức độ
thực hiện và hành vi; và các chính sách và thủ tục, văn hóa của công ty và phong cách điều hành.
Nhân viên có thể được đào tạo bằng cách tiến hành các cuộc thảo luận không chính thức và các
cuộc họp chính thức, phát hành các bản ghi nhớ định kỳ, phân phát các hướng dẫn bằng văn bản
và các quy tắc đạo đức nghề nghiệp, lưu hành các báo cáo về hành vi phi đạo đức và hậu quả của
nó, đồng thời thúc đẩy bảo mật và gian lận nhưng chương trinh Huân luyê ̣n. Đào tạo liên tục
giúp nhân viên đối mặt với những thách thức mới, luôn dẫn đầu cạnh tranh, thích ứng với công
nghệ đang thay đổi và đối phó hiệu quả với môi trường đang phát triển.
Gian lận ít có khả năng xảy ra hơn khi nhân viên tin rằng bảo mật là việc của mọi người, tự hào
về công ty của họ và bảo vệ tài sản của mình, đồng thời nhận ra sự cần thiết phải báo cáo gian
lận.
Một nền văn hóa như vậy phải được tạo ra, dạy dỗ và thực hành. Hành vi được chấp nhận và
không được chấp nhận nên được xác định. Nhiều chuyên gia máy tính thấy không có gì sai khi
sử dụng tài nguyên máy tính để truy cập trái phép vào cơ sở dữ liệu và duyệt chúng. Hậu quả về
hành vi phi đạo đức (khiển trách, sa thải và truy tố) cũng nên được dạyvà được gia cố.
QUẢN LÝ NHÂN VIÊN BỊ BẤT LỰC - MANAGING DISGRUNTLED EMPLOYEES
Một số nhân viên bất mãn, tìm cách trả thù nhận thức sai, cố tình gian lận hoặc phá hoại hệ
thống. Các công ty cần các thủ tục để xác định nhân viên bất mãn và giúp họ giải quyết cảm xúc
của mình hoặc loại bỏ họ khỏi những công việc nhạy cảm. Ví dụ: một công ty có thể chọn thiết
lập các kênh khiếu nại và cung cấp tư vấn nhân viên. Tuy nhiên, giúp nhân viên giải quyết vấn
đề của họ không phải là điều dễ dàng thực hiện bởi vì hầu hết nhân viên lo sợ rằng việc tiết lộ
cảm xúc của họ có thể gây ra những hậu quả tiêu cực.
DISCHARGING-DẶN DÒ
Những nhân viên bị sa thải nên bị loại khỏi công việc nhạy cảm ngay lập tức và bị từ chối quyền
truy cập vào hệ thống thông tin. Một nhân viên bị chấm dứt hợp đồng đã đốt bật lửa butan dưới
một máy dò khói nằm ngay bên ngoài phòng máy tính. Nó thiết lập một hệ thống phun nước làm
hỏng hầu hết các phần cứng của máy tính.
CÁC MẶT BẰNG VÀ XOAY NHIỆM VỤ - VACATIONS AND ROTATION OF DUTIES
Các âm mưu gian lận đòi hỏi thủ phạm phải chú ý liên tục được phanh phui khi thủ phạm nghỉ
việc. Định kỳ luân phiên nhiệm vụ của nhân viên và việc khiến nhân viên xin nghỉ có thể đạt
được kết quả tương tự. Ví dụ, FBI đột kích một cơ sở cờ bạc và phát hiện ra rằng Roswell
Steffen, người đã kiếm được 11.000 đô la năm, đã đặt cược 30.000 đô la một ngày tại trường
đua. Ngân hàng nơi anh ta làm việc đã phát hiện ra rằng anh ta biển thủ và đánh bạc 1,5 triệu đô
la trong thời gian ba năm. Một người nghiện cờ bạc, Steffen đã vay 5.000 đô la để đặt cược vào
một “điều chắc chắn” không thành công. Anh ta biển thủ ngày càng tăng với nỗ lực giành lại số
tiền mà anh ta đã “vay”. Kế hoạch của Steffen rất đơn giản: anh ta chuyển tiền từ tài khoản
không hoạt động sang tài khoản của chính mình. Nếu có ai phàn nàn, Steffen, giao dịch viên
trưởng với quyền lực để giải quyết các loại vấn đề này, đã thay thế tiền bằng cách lấy nó từ một
tài khoản không hoạt động khác. Khi được hỏi, sau khi bị bắt, làm thế nào gian lận có thể đã
được ngăn chặn, Steffen nói rằng ngân hàng có thể đã kết hợp với một kỳ nghỉ hai tuần với vài
tuần luân chuyển sang chức năng công việc khác. Nếu ngân hàng thực hiện các biện pháp này,
Steffen tham ô, đòi hỏi sự hiện diện thực tế của anh ta tại ngân hàng, sẽ có hầu như không thể
che đậy.
HỢP ĐỒNG BẢO MẬT VÀ BẢO HIỂM TRÁI PHIẾU TỰ TIN - CONFIDENTIALITY
AGREEMENTS AND FIDELITY BOND INSURANCE
Tất cả nhân viên, nhà cung cấp, và các nhà thầu nên ký và tuân theo một thỏa thuận bảo mật.
Trái phiếu chung thủy bảo hiểm cho các nhân viên chủ chốt bảo vệ công ty khỏi những tổn thất
phát sinh do cố ý hành vi gian lận.
CÔNG BỐ VÀ CÁC BÁC SĨ TĂNG CƯỜNG - PROSECUTE AND INCARCERATE
PERPETRATORS
Hầu hết các hành vi gian lận đều không được báo cáo hoặc truy tố vì nhiều lý do:
1. Các công ty không muốn báo cáo gian lận vì nó có thể là một thảm họa quan hệ công chúng.
Các tiết lộ có thể tiết lộ các lỗ hổng hệ thống và thu hút thêm các cuộc tấn công gian lận hoặc tin
tặc.
2. Cơ quan thực thi pháp luật và tòa án bận rộn với những tội ác bạo lực và có ít thời gian và sự
quan tâm hơn đối với tội phạm máy tính mà không có tổn hại về thể chất xảy ra.
3. Gian lận rất khó khăn, tốn kém và mất thời gian để điều tra và truy tố.
4. Nhiều quan chức thực thi pháp luật, luật sư và thẩm phán thiếu các kỹ năng máy tính cần thiết
để điều tra và truy tố tội phạm máy tính.
5. Án gian dối thường nhẹ. Một ví dụ nổi tiếng liên quan đến C. Arnold Smith, cựu chủ nhân của
San Diego Padres, người được mệnh danh là Ông San Diego của Thế kỷ. Smith đã tham gia vào
cộng đồng và có những đóng góp chính trị lớn. Khi điều tra viên phát hiện ra mình đã đánh cắp
200 triệu đô la từ ngân hàng của mình, anh ta không cầu xin. Câu của anh ấy là bốn năm quản
chế. Anh ta bị phạt 30.000 đô la, được trả với mức 100 đô la một tháng trong 25 năm không lãi
suất. Ông Smith lúc đó đã 71 tuổi. Số tiền bị biển thủ là không bao giờ hồi phục.
ẢNH HƯỞNG BÊN NGOÀI
Các ảnh hưởng bên ngoài bao gồm các yêu cầu do sở giao dịch chứng khoán, Kế toán tài chính
áp đặt Ban tiêu chuẩn (FASB), PCAOB và SEC. Chúng cũng bao gồm các yêu cầu được áp đặt
bởi các cơ quan quản lý, chẳng hạn như các cơ quan quản lý đối với ngân hàng, tiện ích và công
ty bảo hiểm.
THIẾT LẬP MỤC TIÊU VÀ XÁC ĐỊNH SỰ KIỆN
Phần này của chương thảo luận về hai thành phần tiếp theo của mô hình ERM: Mục tiêu Thiết
lập và Nhận dạng Sự kiện
THIẾT LẬP MỤC TIÊU
Thiết lập khách quan là thành phần ERM thứ hai. Ban lãnh đạo xác định những gì công ty hy
vọng đạt được, thường được gọi là tầm nhìn hoặc sứ mệnh của công ty. Quản lý đặt ra các mục
tiêu ở cấp công ty và sau đó chia chúng thành các mục tiêu cụ thể hơn cho công ty đơn vị con.
Công ty xác định những gì phải đi đúng để đạt được các mục tiêu và thiết lập các biện pháp thực
hiện để xác định xem chúng có được đáp ứng hay không.
Strategic objectives Mục tiêu chiến lược, là những mục tiêu cấp cao phù hợp với công ty
sứ mệnh, hỗ trợ nó và tạo ra giá trị cho cổ đông, được đặt lên hàng đầu. Ban quản lý nên xác
định các cách khác để hoàn thành các mục tiêu chiến lược; xác định và đánh giá các rủi ro và ý
nghĩa của mỗi phương án; xây dựng chiến lược công ty; và thiết lập các hoạt động, tuân thủ, và
các mục tiêu báo cáo.
Operations objectives Các mục tiêu hoạt động liên quan đến hiệu lực và hiệu quả của hoạt
động công ty, xác định cách phân bổ các nguồn lực. Chúng phản ánh sở thích quản lý, đánh giá,
và phong cách và là yếu tố then chốt trong thành công của công ty. Chúng khác nhau đáng kể —
một công ty có thể quyết định là người sớm áp dụng công nghệ, công ty khác có thể áp dụng
công nghệ khi nó được chứng minh và một phần ba chỉ có thể chấp nhận nó sau khi nó được
chấp nhận chung.
 Reporting objectives Các mục tiêu báo cáo giúp đảm bảo tính chính xác, đầy đủ và độ tin
cậy của báo cáo công ty; cải thiện việc ra quyết định; và giám sát các hoạt động và hiệu suất của
công ty.
Compliance objectives Các mục tiêu tuân thủ giúp công ty tuân thủ tất cả các luật và
quy định hiện hành. Hầu hết các mục tiêu tuân thủ và nhiều mục tiêu báo cáo, được áp đặt bởi
bên ngoài các thực thể theo luật hoặc quy định. Mức độ đáp ứng của một công ty tuân thủ và các
mục tiêu báo cáo có thể tác động đáng kể đến danh tiếng của công ty.
ERM cung cấp sự đảm bảo hợp lý rằng các mục tiêu báo cáo và tuân thủ đạt được bởi vì
các công ty có quyền kiểm soát chúng. Tuy nhiên, sự đảm bảo hợp lý duy nhất ERM có thể cung
cấp về các mục tiêu chiến lược và hoạt động, đôi khi các mục tiêu này không phù hợp về các sự
kiện bên ngoài không thể kiểm soát được, quản lý và giám đốc có được thông báo kịp thời cơ sở
của những tiến bộ mà công ty đang đạt được trong việc đạt được chúng.
XÁC ĐỊNH SỰ KIỆN
COSO định nghĩa một sự kiện là “một sự cố hoặc sự cố xuất phát từ bên trong hoặc bên ngoài
các nguồn ảnh hưởng đến việc thực hiện chiến lược hoặc đạt được các mục tiêu. Sự kiện có thể
có tác động tích cực hoặc tiêu cực hoặc cả hai. ” Một sự kiện tích cực đại diện cho một cơ hội;
Một tiêu cực sự kiện đại diện cho một rủi ro. Một sự kiện thể hiện sự không chắc chắn; nó có thể
xảy ra hoặc không. Nếu nó xảy ra, thật khó để biết khi nào. Cho đến khi nó xảy ra, có thể khó
xác định tác động của nó. Khi nào nó xảy ra, nó có thể kích hoạt một sự kiện khác. Các sự kiện
có thể xảy ra riêng lẻ hoặc đồng thời. Ban quản lý phải cố gắng dự đoán tất cả các sự kiện tích
cực hoặc tiêu cực có thể xảy ra, xác định hầu hết và ít có khả năng xảy ra nhất, và hiểu mối quan
hệ qua lại của các sự kiện.
Ví dụ, hãy xem xét việc triển khai hệ thống trao đổi dữ liệu điện tử (EDI) tạo ra các tài liệu
điện tử, truyền chúng đến khách hàng và nhà cung cấp, đồng thời nhận đáp lại điện tử. Một số sự
kiện mà một công ty có thể gặp phải là chọn một công nghệ, truy cập trái phép, mất tính toàn vẹn
của dữ liệu, giao dịch không đầy đủ, lỗi hệ thống và hệ thống không tương thích.
Một số kỹ thuật mà các công ty sử dụng để xác định các sự kiện bao gồm sử dụng danh sách
toàn diện các sự kiện tiềm năng, thực hiện phân tích nội bộ, theo dõi các sự kiện hàng đầu và các
điểm kích hoạt, thực hiện các cuộc hội thảo và phỏng vấn, sử dụng khai thác dữ liệu và phân tích
các quy trình kinh doanh.
ĐÁNH GIÁ RỦI RO VÀ ỨNG PHÓ RỦI RO - Risk Assessment and Risk Response
Trong quá trình thiết lập mục tiêu, ban giám đốc phải xác định các mục tiêu của họ đủ rõ ràng để
rủi ro được xác định và đánh giá. Như đã thảo luận trong Chương 5, điều này nên bao gồm đánh
giá của tất cả các mối đe dọa, bao gồm cả thảm họa tự nhiên và chính trị, lỗi phần mềm và thiết
bị thất bại, các hành vi không chủ ý và khả năng xảy ra các hành vi cố ý như gian lận. Đang cân
nhắc rủi ro gian lận là đặc biệt quan trọng, vì nó là một trong 17 nguyên tắc mới được đưa vào
Khung vi mạch. Ban Giám đốc phải xác định và phân tích các rủi ro để xác định xem chúng phải
như thế nào được quản lý. Họ cũng phải xác định và đánh giá những thay đổi có thể tác động
đáng kể đến hệ thống của kiểm soát nội bộ.
Các rủi ro của một sự kiện đã xác định được đánh giá theo nhiều cách khác nhau: khả năng xảy
ra, khả năng xảy ra và các tác động tiêu cực, riêng lẻ và theo loại, ảnh hưởng của chúng đối với
các đơn vị tổ chức khác, và trên cơ sở vốn có và còn lại. Rủi ro cố hữu là tính nhạy cảm của một
tập hợp các tài khoản hoặc các giao dịch đối với các vấn đề kiểm soát quan trọng trong trường
hợp không có kiểm soát nội bộ. Dư rủi ro là rủi ro còn lại sau khi Ban Giám đốc thực hiện các
biện pháp kiểm soát nội bộ hoặc một số ứng phó với rủi ro. Các công ty nên đánh giá rủi ro vốn
có, phát triển một phản ứng và sau đó đánh giá rủi ro tồn dư.
Để điều chỉnh các rủi ro đã xác định với mức độ chấp nhận rủi ro của công ty, ban giám đốc phải
thực hiện cái nhìn toàn thực thể về rủi ro. Họ phải đánh giá khả năng xảy ra và tác động của rủi
ro, cũng như chi phí và lợi ích của các phản hồi thay thế. Ban Giám đốc có thể ứng phó với rủi ro
theo một trong bốn cách:
 Reduce giảm. Giảm khả năng xảy ra và tác động của rủi ro bằng cách triển khai một hệ
thống hiệu quả kiểm soát nội bộ.
 Accept chấp nhận. Chấp nhận khả năng xảy ra và tác động của rủi ro.
 Share. Chia sẻ rủi ro hoặc chuyển nó cho người khác bằng cách mua bảo hiểm, thuê ngoài
một hoạt động, hoặc tham gia vào các giao dịch bảo hiểm rủi ro.
 Avoid tránh xa. Tránh rủi ro bằng cách không tham gia vào hoạt động tạo ra rủi ro. Điều
này có thể yêu cầu công ty bán một bộ phận, thoát khỏi một dòng sản phẩm hoặc không
mở rộng như dự đoán.
Kế toán viên và nhà thiết kế hệ thống giúp ban quản lý thiết kế các hệ thống kiểm soát hiệu quả
để giảm rủi ro vốn có. Họ cũng đánh giá hệ thống kiểm soát nội bộ để đảm bảo rằng chúng đang
hoạt động có hiệu quả. Họ đánh giá và giảm thiểu rủi ro bằng cách sử dụng chiến lược phản ứng
và đánh giá rủi ro được hiển thị trong Hình 7-4. Bước đầu tiên, xác định sự kiện, đã được thảo
luận.
DỰ TOÁN LIKELIHOOD VÀ TÁC ĐỘNG ESTIMATE LIKELIHOOD AND IMPACT
Một số sự kiện có nguy cơ cao hơn vì chúng có nhiều khả năng xảy ra hơn. Nhân viên nhiều hơn
có khả năng mắc sai lầm hơn là lừa đảo và một công ty có nhiều khả năng trở thành nạn nhân của
một vụ lừa đảo còn hơn cả một trận động đất. Khả năng xảy ra động đất có thể nhỏ, nhưng tác
động của nó có thể phá hủy một công ty. Tác động của gian lận thường không lớn, bởi vì hầu hết
các trường hợp gian lận không đe dọa sự tồn tại của công ty. Khả năng xảy ra và tác động phải
được xem xét cùng nhau. Như hoặc tăng lên, cả tính trọng yếu của sự kiện và nhu cầu bảo vệ
chống lại sự kiện đó đều tăng lên.
Các công cụ phần mềm giúp tự động hóa việc đánh giá và ứng phó với rủi ro. Blue Cross Blue
Shield của Florida sử dụng phần mềm ERM cho phép các nhà quản lý nhập các rủi ro được nhận
thức; đánh giá bản chất của chúng, khả năng xảy ra và tác động; và gán cho họ một đánh giá
bằng số. Đánh giá tổng thể về công ty rủi ro được phát triển bằng cách tổng hợp tất cả các bảng
xếp hạng.
KIỂM SOÁT XÁC ĐỊNH IDENTIFY CONTROLS
Ban Giám đốc nên xác định các biện pháp kiểm soát bảo vệ công ty khỏi mỗi sự kiện. Phòng
ngừa kiểm soát thường vượt trội hơn kiểm soát thám tử. Khi các biện pháp kiểm soát phòng ngừa
không thành công, thám tử kiểm soát là điều cần thiết để phát hiện ra vấn đề. Kiểm soát sửa chữa
giúp phục hồi từ bất kỳ các vấn đề. Một hệ thống kiểm soát nội bộ tốt cần sử dụng cả ba yếu tố
trên.
DỰ TOÁN CHI PHÍ VÀ LỢI ÍCH ESTIMATE COSTS AND BENEFITS
Mục tiêu của việc thiết kế hệ thống kiểm soát nội bộ là cung cấp sự đảm bảo hợp lý rằng sự kiện
không diễn ra. Không có hệ thống kiểm soát nội bộ nào cung cấp khả năng bảo vệ tuyệt đối
chống lại tất cả các sự kiện, bởi vì có quá nhiều kiểm soát là chi phí bị cấm và ảnh hưởng tiêu
cực đến hoạt động hiệu quả. Ngược lại, có quá ít kiểm soát sẽ không cung cấp sự đảm bảo hợp lý
cần thiết.
Lợi ích của một thủ tục kiểm soát nội bộ phải vượt quá chi phí của nó. Lợi ích, có thể khó có thể
định lượng chính xác, bao gồm tăng doanh thu và năng suất, giảm tổn thất, tốt hơn tích hợp với
khách hàng và nhà cung cấp, tăng lòng trung thành của khách hàng, lợi thế cạnh tranh, và phí
bảo hiểm thấp hơn. Chi phí thường dễ đo lường hơn lợi ích. Một sơ cấp yếu tố chi phí là nhân sự,
bao gồm thời gian thực hiện các thủ tục kiểm soát, chi phí thuê mướn bổ sung nhân viên để đạt
được hiệu quả phân tách nhiệm vụ và chi phí lập trình điều khiển vào một hệ thống máy tính.
Một cách để ước tính giá trị của kiểm soát nội bộ liên quan đến tổn thất dự kiến, sản phẩm của
tác động và khả năng xảy ra:
Tổn thất dự kiến = Tác động x Khả năng xảy ra
Giá trị của một thủ tục kiểm soát là sự khác biệt giữa tổn thất dự kiến với kiểm soát (các) thủ tục
và tổn thất dự kiến nếu không có nó.
XÁC ĐỊNH CHI PHÍ / HIỆU QUẢ LỢI ÍCH- DETERMINE COST/BENEFIT
EFFECTIVENESS
Ban Giám đốc cần xác định liệu một biện pháp kiểm soát có mang lại lợi ích về chi phí hay
không. Ví dụ, tại Atlantic Các lỗi dữ liệu Richfield đôi khi yêu cầu xử lý lại toàn bộ bảng lương,
với chi phí 10.000 đô la. Bước xác thực dữ liệu sẽ giảm khả năng xảy ra sự kiện từ 15% xuống
1%, với chi phí 600 đô la mỗi kỳ lương. Phân tích chi phí / lợi ích xác định rằng bước xác nhận
phải được tuyển dụng được thể hiện trong Bảng 7-2.
Khi đánh giá các kiểm soát nội bộ, Ban Giám đốc phải xem xét các yếu tố khác với các yếu tố
trong tính toán chi phí / lợi ích mong đợi. Ví dụ: nếu một sự kiện đe dọa sự tồn tại của một tổ
chức, chi phí bổ sung của nó có thể được xem như một khoản phí bảo hiểm tổn thất thảm khốc.
KIỂM SOÁT VIỆC THỰC HIỆN HOẶC CHẤP NHẬN, CHIA SẺ HOẶC TRÁNH RỦI
RO - IMPLEMENT CONTROL OR ACCEPT, SHARE, OR AVOID THE RISK
Các biện pháp kiểm soát hiệu quả về chi phí nên được thực hiện để giảm thiểu rủi ro. Rủi ro
không giảm phải được chấp nhận, được chia sẻ, hoặc tránh. Rủi ro có thể được chấp nhận nếu nó
nằm trong khả năng chấp nhận rủi ro của phạm vi công ty. Ví dụ là rủi ro có khả năng xảy ra nhỏ
và tác động nhỏ. Một phản ứng để giảm hoặc chia sẻ rủi ro giúp đưa rủi ro còn lại vào một phạm
vi chấp nhận rủi ro có thể chấp nhận được. Một công ty có thể chọn tránh rủi ro khi không có
cách hiệu quả về chi phí để đưa rủi ro vào mức có thể chấp nhận được phạm vi chấp nhận rủi ro.
HOẠT ĐỘNG KIỂM SOÁT
Hoạt động kiểm soát là các chính sách, thủ tục và quy tắc cung cấp sự đảm bảo hợp lý các mục
tiêu kiểm soát được đáp ứng và các phản ứng rủi ro được thực hiện. Đó là trách nhiệm của ban
quản lý để phát triển một hệ thống an toàn và được kiểm soát đầy đủ. Ban quản lý phải đảm bảo
rằng:
1. Các biện pháp kiểm soát được lựa chọn và phát triển để giúp giảm thiểu rủi ro xuống mức
có thể chấp nhận được.
2. Các biện pháp kiểm soát chung thích hợp được lựa chọn và phát triển dựa trên công nghệ.
3. Các hoạt động kiểm soát được thực hiện và tuân thủ như quy định trong các chính sách của
công ty và các thủ tục.
Nhân viên an ninh thông tin và nhân viên vận hành có trách nhiệm đảm bảo rằng các thủ tục
kiểm soát được tuân thủ.
Kiểm soát hiệu quả hơn nhiều khi được đặt trong hệ thống khi nó được xây dựng, thay vì một
suy nghĩ sau. Do đó, các nhà quản lý cần có sự tham gia của các nhà phân tích, thiết kế hệ thống
và người dùng khi thiết kế hệ thống điều khiển dựa trên máy tính. Điều quan trọng là các hoạt
động kiểm soát có mặt trong kỳ nghỉ lễ cuối năm, vì số lượng gian lận máy tính và đột nhập bảo
mật diễn ra trong thời gian này. Một số lý do cho điều này là
(1) các kỳ nghỉ kéo dài của nhân viên có nghĩa là có ít người "để ý đến cửa hàng hơn"
(2) sinh viên nghỉ học và có nhiều thời gian hơn
(3) phản văn hóa cô đơn tin tặc gia tăng các cuộc tấn công của họ.
Các thủ tục kiểm soát thuộc các loại sau:
1. Ủy quyền hợp lý các giao dịch và hoạt động
2. Phân chia nhiệm vụ
3. Kiểm soát phát triển và mua lại dự án
4. Thay đổi kiểm soát quản lý
5. Thiết kế và sử dụng các tài liệu và hồ sơ
6. Bảo vệ tài sản, hồ sơ và dữ liệu
7. Kiểm tra độc lập về hiệu suất
Trọng tâm 7-1 thảo luận về cách thức vi phạm các hoạt động kiểm soát cụ thể, kết hợp với các
yếu tố môi trường, dẫn đến gian lận.
ỦY QUYỀN RIÊNG CỦA CÁC GIAO DỊCH VÀ CÁC HOẠT ĐỘNG
Bởi vì ban lãnh đạo thiếu thời gian và nguồn lực để giám sát từng hoạt động của công ty và quyết
định, nó thiết lập các chính sách để nhân viên tuân theo và sau đó trao quyền cho họ. Cái này
trao quyền, được gọi là ủy quyền, là một thủ tục kiểm soát quan trọng. Ủy quyền là thường được
ghi lại bằng cách ký, khởi tạo hoặc nhập mã ủy quyền trên tài liệu hoặc ghi lại. Hệ thống máy
tính có thể ghi lại chữ ký điện tử, một phương tiện điện tử ký một tài liệu với dữ liệu không thể
giả mạo. Chữ ký điện tử được thảo luận trong Chương 9.
Các hoạt động hoặc giao dịch nhất định có thể do hậu quả mà ban quản lý cấp ủy quyền cụ thể để
chúng xảy ra. Ví dụ: việc xem xét và phê duyệt của ban giám đốc có thể được yêu cầu đối với
doanh số bán hàng vượt quá 50.000 đô la. Ngược lại, cấp quản lý có thể ủy quyền cho nhân viên
để xử lý các giao dịch thông thường mà không cần phê duyệt đặc biệt, một thủ tục được gọi là ủy
quyền chung. Ban lãnh đạo cần có các chính sách bằng văn bản về cả ủy quyền cụ thể và chung
cho tất cả các loại giao dịch.
Nhân viên xử lý các giao dịch nên xác minh sự hiện diện của các ủy quyền thích hợp. Kiểm toán
viên xem xét các giao dịch để xác minh sự ủy quyền thích hợp, vì sự vắng mặt của họ cho thấy
vấn đề kiểm soát có thể xảy ra. Ví dụ: Jason Scott phát hiện ra rằng một số giao dịch mua không
có yêu cầu mua hàng. Thay vào đó, họ đã được “ủy quyền cá nhân” bởi Bill Springer, phó chủ
tịch thu mua. Jason cũng nhận thấy rằng một số khoản thanh toán đã được ủy quyền mà không
các tài liệu hỗ trợ thích hợp, chẳng hạn như đơn đặt hàng và nhận báo cáo. Những phát hiện nêu
câu hỏi về tính đầy đủ của các thủ tục kiểm soát nội bộ của Springer.
FOCUS 7-1 Các Vấn Đề Kiểm Soát trong trường học
Báo cáo kiểm toán cho một khu học chánh tiết lộ nội bộ nghiêm trọng kiểm soát thiếu sót. Để cải
thiện các biện pháp kiểm soát, huyện (1) đã chọn một gói phần mềm mới, (2) được tiêu chuẩn
hóa các thủ tục kế toán, (3) các thủ tục đặt hàng đã thiết lập, (4) thực hiện tách bạch các nhiệm
vụ, và (5) đã tạo ra một hệ thống kiểm soát tiền mặt từ máy bán hàng tự động và kiểm kê.
Sau những thay đổi, giám đốc lưu ý rằng trung số dư học phí thấp và yêu cầu các kiểm toán viên
khảo sát. Thư ký, chịu trách nhiệm ký gửi sinh viên phí hàng ngày và gửi chúng đến văn phòng
trung tâm, cho biết số tiền thấp là do hiệu trưởng từ bỏ lệ phí cho sinh viên đủ điều kiện miễn phí
hoặc giảm chi phí bữa trưa. Hiệu trưởng phủ nhận đã miễn các khoản phí.
Kiểm toán viên đã kiểm tra thẻ lệ phí cho từng trẻ và nhận thấy rằng các khoản tiền gửi hàng
ngày không đồng ý với ngày trên thẻ học phí sinh viên. Họ cũng phát hiện ra rằng thư ký phụ
trách một quỹ phúc lợi của khoa mà chưa bao giờ được kiểm toán hoặc kiểm tra, cũng như không
phải tuân theo kiểm soát nội bộ mới được triển khai. Tiền gửi vào quỹ là séc từ khoa và tiền mặt
từ bán hàng tự động máy móc. Để thực hiện hành vi lừa đảo 20.000 đô la của cô, thư ký đã đánh
cắp tất cả tiền mặt từ các máy bán hàng tự động, thay thế tên người nhận thanh toán trên séc của
nhà cung cấp có tên của cô ấy,và gửi học phí của sinh viên vào quỹ phúc lợi của khoa để che đậy
số tiền bị đánh cắp.
Thư ký lập tức được xuất viện. Tại vì bí thư đã được ngoại quan, huyện đã có thể phục hồi tất cả
các khoản tiền bị thiếu của nó.
Khu học chánh tăng cường kiểm soát. Kiểm toán viên nội bộ kiểm tra tất cả các quỹ tại các
trường học. Kiểm soát của giảng viên quỹ phúc lợi đã được chuyển cho một thành viên trong
khoa. Tại vì cuộc điều tra đã tiết lộ hồ sơ tội phạm trước đây của thư ký, cần phải kiểm tra lý lịch
cho tất cả những người được thuê trong tương lai.
SỰ PHÂN CHIA NHIỆM VỤ - SEGREGATION OF DUTIES
Kiểm soát nội bộ tốt đòi hỏi không một nhân viên nào được giao quá nhiều trách nhiệm các giao
dịch hoặc quy trình kinh doanh. Một nhân viên không nên ở trong một vị trí để cam kết và che
giấu gian lận. Sự phân biệt các nhiệm vụ được thảo luận trong hai phần riêng biệt: sự phân biệt
của kế toán nhiệm vụ và sự tách biệt của nhiệm vụ hệ thống.
PHÂN BIỆT CÁC NHIỆM VỤ KẾ TOÁN-SEGREGATION OF ACCOUNTING DUTIES
Như thể hiện trong Hình 7-5, việc phân tách hiệu quả của Nhiệm vụ kế toán đạt được khi tách
biệt các chức năng sau:
 Authorization-Ủy quyền — phê duyệt các giao dịch và quyết định
 Recording-Ghi âm - chuẩn bị tài liệu nguồn; nhập dữ liệu vào hệ thống máy tính; và duy
trì tạp chí, sổ cái, tệp hoặc cơ sở dữ liệu
 Custody- Lưu ký — xử lý tiền mặt, công cụ, hàng tồn kho hoặc tài sản cố định; tiếp nhận
khách hàng đến Séc; viết séc
Nếu một người thực hiện hai trong số các chức năng này, các vấn đề có thể phát sinh. Ví dụ,
thành phố thủ quỹ Fairfax, Virginia, biển thủ 600.000 đô la. Khi cư dân sử dụng tiền mặt để
thanh toán thuế, cô ấy giữ tiền tệ và nhập các khoản thanh toán vào hồ sơ thuế tài sản, nhưng
không báo cáo chúng cho người điều khiển. Định kỳ, cô ấy thực hiện một mục nhập nhật ký điều
chỉnh để mang lại cho cô ấy hồ sơ theo thỏa thuận với người kiểm soát. Khi cô ấy nhận được séc
qua thư rằng sẽ không bị bỏ sót nếu không được ghi lại, cô ấy đã đặt chúng vào máy tính tiền và
lấy trộm số tiền đó tiền mặt. Bởi vì thủ quỹ chịu trách nhiệm đối với cả việc quản lý biên lai tiền
mặt và ghi lại những khoản thu đó, cô ta đã có thể ăn cắp phiếu thu tiền mặt và làm giả tài khoản
để che giấu. trộm cắp.
Giám đốc tiện ích của Newport Beach, California, đã biển thủ 1,2 triệu đô la. Chịu trách nhiệm
để ủy quyền cho các giao dịch, anh ta đã giả mạo hóa đơn để làm chứng từ dễ dàng cho phép
thanh toán cho chủ sở hữu tài sản thực hoặc hư cấu. Các quan chức bộ phận tài chính đã đưa cho
anh ta những tấm séc để giao cho các chủ sở hữu tài sản. Anh ta đã giả mạo chữ ký và gửi séc
vào tài khoản của chính mình.
Bởi vì anh ta được giao quyền giám sát séc, anh ta có thể ủy quyền cho các giao dịch hư cấu và
ăn cắp các khoản thanh toán. Giám đốc biên chế của Los Angeles Dodgers đã biển thủ 330.000
đô la. Anh ấy ghi công nhân viên trong nhiều giờ không làm việc và nhận lại 50% số tiền bồi
thường bổ sung. Anh ta đã thêm những cái tên hư cấu vào bảng lương của Dodgers và tính tiền
mặt cho các khoản tiền lương. Gian lận bị phát hiện trong khi anh ta bị ốm và một nhân viên
khác thực hiện nhiệm vụ của anh ta. Bởi vì thủ phạm chịu trách nhiệm cho phép thuê nhân viên
và ghi lại giờ làm việc của nhân viên, anh không cần phải chuẩn bị hoặc xử lý các phiếu lương.
Công ty đã gửi séc đến địa chỉ anh ta chỉ định.
Trong một hệ thống phân chia nhiệm vụ hiệu quả, khó có nhân viên nào có thể tham ô thành
công. Phát hiện gian lận trong đó hai hoặc nhiều người thông đồng để ghi đè kiểm soát khó hơn
vì dễ dàng thực hiện và che giấu hành vi gian lận hơn nhiều. Ví dụ, hai phụ nữ tại một công ty
thẻ tín dụng thông đồng với nhau. Một phụ nữ đã ủy quyền các tài khoản thẻ tín dụng mới, và
người kia xóa sổ các tài khoản chưa thanh toán dưới 1.000 đô la. Người phụ nữ đầu tiên đã tạo
một tài khoản mới cho mỗi người trong số họ bằng cách sử dụng dữ liệu hư cấu. Khi số tiền chưa
thanh toán gần đến 1.000 đô la giới hạn, người phụ nữ trong bộ sưu tập đã viết tắt chúng. Quá
trình sau đó sẽ được lặp lại. Họ đã bị bắt khi một người bạn trai đang tìm cách trả thù báo cáo kế
hoạch cho công ty thẻ tín dụng.
Nhân viên có thể thông đồng với các nhân viên, khách hàng hoặc nhà cung cấp khác. Thường
xuyên nhất sự thông đồng của nhân viên / nhà cung cấp bao gồm thanh toán với giá tăng cao,
thực hiện công việc không đạt tiêu chuẩn và nhận thanh toán đầy đủ, thanh toán cho hoạt động
không hiệu quả, lập hóa đơn trùng lặp và mua hàng không đúng cách nhiều hàng hóa hơn từ một
công ty thông đồng. Thông đồng của nhân viên / khách hàng thường xuyên nhất bao gồm các
khoản cho vay trái phép hoặc các khoản thanh toán bảo hiểm, nhận tài sản hoặc dịch vụ trái phép
chiết khấu giá, tha số tiền còn nợ, và gia hạn trái phép ngày đến hạn.
PHÂN ĐOẠN NHIỆM VỤ CỦA HỆ THỐNG- SEGREGATION OF SYSTEMS DUTIES
Trong một hệ thống thông tin, các thủ tục được thực hiện một lần bởi các cá thể riêng biệt được
kết hợp với nhau. Do đó, bất kỳ người nào có quyền truy cập không hạn chế vào máy tính, các
chương trình của nó và dữ liệu trực tiếp có thể gây ra và che giấu gian lận. Để chống lại điều này
mối đe dọa, tổ chức thực hiện phân tách nhiệm vụ của hệ thống. Quyền hạn và trách nhiệm nên
được phân chia rõ ràng giữa các chức năng sau:
1. Quản trị hệ thống. Quản trị viên hệ thống đảm bảo tất cả hệ thống thông tin các thành phần
hoạt động trơn tru và hiệu quả.
2. Quản lý mạng. Người quản lý mạng đảm bảo rằng các thiết bị được liên kết với tổ chức các
mạng bên trong và bên ngoài và các mạng đó hoạt động bình thường.
3. Quản lý bảo mật. Quản lý bảo mật đảm bảo rằng các hệ thống được bảo mật và được bảo
vệ khỏi các mối đe dọa bên trong và bên ngoài.
4. Quản lý thay đổi. Quản lý thay đổi là quá trình đảm bảo các thay đổi được được thực hiện
trơn tru, hiệu quả và không ảnh hưởng tiêu cực đến độ tin cậy, bảo mật của hệ thống, tính bảo
mật, tính toàn vẹn và tính khả dụng.
5. Người dùng. Người dùng ghi lại các giao dịch, cho phép dữ liệu được xử lý và sử dụng kết
quả đầu ra của hệ thống.
6. Phân tích hệ thống. Các nhà phân tích hệ thống giúp người dùng xác định nhu cầu thông tin
của họ và thiết kế hệ thống để đáp ứng những nhu cầu đó.
7. Lập trình. Các nhà lập trình sử dụng thiết kế và phát triển, viết mã và thử nghiệm máy tính
của nhà phân tích các chương trình.
8. Các hoạt động của máy tính. Các nhà khai thác máy tính chạy phần mềm trên máy tính của
công ty. Chúng đảm bảo rằng dữ liệu được nhập đúng cách, được xử lý chính xác và đầu ra cần
thiết được sản xuất.
 9. Thư viện hệ thống thông tin. Thủ thư hệ thống thông tin duy trì quyền giám sát của công ty
cơ sở dữ liệu, tệp và chương trình trong một vùng lưu trữ riêng biệt được gọi là thông tin thư
viện hệ thống.
10. Kiểm soát dữ liệu. Nhóm kiểm soát dữ liệu đảm bảo rằng dữ liệu nguồn đã được phê
duyệt đúng cách, giám sát luồng công việc thông qua máy tính, đối chiếu đầu vào và đầu ra, duy
trì hồ sơ về các lỗi đầu vào để đảm bảo chúng được sửa chữa và gửi lại, đồng thời phân phối hệ
thống đầu ra.
Cho phép một người làm hai hoặc nhiều công việc này khiến công ty có hành vi gian lận. Ví dụ:
nếu một lập trình viên của hiệp hội tín dụng sử dụng dữ liệu thực tế để kiểm tra chương trình của
cô ấy, cô ấy có thể xóa số dư cho vay mua ô tô của cô ấy trong quá trình kiểm tra. Tương tự như
vậy, nếu một nhà điều hành máy tính có quyền truy cập vào lập trình logic và tài liệu, anh ta có
thể tăng lương trong khi xử lý lương bổng.
PHÁT TRIỂN DỰ ÁN VÀ KIỂM SOÁT ĐIỀU CHỈNH- PROJECT DEVELOPMENT
AND ACQUISITION CONTROLS
Điều quan trọng là phải có một phương pháp luận đã được chứng minh để chi phối sự phát triển,
mua lại, thực hiện, và bảo trì hệ thống thông tin. Nó phải chứa các kiểm soát thích hợp để phê
duyệt quản lý, sự tham gia của người dùng, phân tích, thiết kế, thử nghiệm, triển khai và sự
chuyển đổi. Các phương pháp này được thảo luận trong Chương 20 đến Chương 22.
Các biện pháp kiểm soát phát triển hệ thống quan trọng bao gồm:
1. Một ban chỉ đạo hướng dẫn và giám sát việc phát triển và mua lại hệ thống.
2. Một kế hoạch tổng thể chiến lược được phát triển và cập nhật hàng năm để điều chỉnh
thông tin của tổ chức hệ thống với các chiến lược kinh doanh của mình. Nó cho thấy các dự án
phải được hoàn thành, và nó đề cập đến phần cứng, phần mềm, nhân sự và cơ sở hạ tầng của
công ty các yêu cầu.
3. Kế hoạch phát triển dự án chỉ ra các nhiệm vụ cần thực hiện, ai sẽ thực hiện chúng, chi
phí dự án, ngày hoàn thành và các mốc quan trọng của dự án — những điểm quan trọng khi tiến
độ được xem xét và so sánh thời gian hoàn thành thực tế và ước tính. Mỗi dự án được giao cho
một người quản lý và nhóm chịu trách nhiệm cho sự thành công của nó hoặc thất bại.
4. Lịch trình xử lý dữ liệu hiển thị khi nào mỗi tác vụ nên được thực hiện.
5. Các phép đo hiệu suất hệ thống được thiết lập để đánh giá hệ thống. Chung các phép đo
bao gồm thông lượng (đầu ra trên một đơn vị thời gian), mức sử dụng (phần trăm thời gian hệ
thống được sử dụng) và thời gian phản hồi (mất bao lâu để hệ thống đáp ứng).
6. Đánh giá sau khi thực hiện được thực hiện sau khi một dự án phát triển được hoàn thành
để xác định xem các lợi ích dự kiến có đạt được hay không.
Một số công ty thuê một nhà tích hợp hệ thống để quản lý nỗ lực phát triển hệ thống liên quan
đến nhân viên của chính nó, khách hàng của nó và các nhà cung cấp khác. Các dự án phát triển
này là phải chịu cùng chi phí vượt chi phí và thời hạn trễ như các hệ thống được phát triển nội
bộ. Vì ví dụ, Westpac Banking đã bắt đầu một dự án phát triển hệ thống kéo dài 5 năm, trị giá 85
triệu đô la để phân cấp hệ thống của mình, tạo ra các sản phẩm tài chính mới và giảm quy mô bộ
phận hệ thống của mình. Ba năm và 150 triệu đô la sau đó, không có kết quả khả dụng nào đạt
được, và rõ ràng là ngày hoàn thành dự kiến sẽ không được đáp ứng. Với sự chạy trốn trên tay,
Westpac đã bắn IBM, nhà phát triển phần mềm chính, và đã đưa Accenture vào để xem xét dự án
và phát triển khuyến nghị để trục vớt nó.
Các công ty sử dụng nhà tích hợp hệ thống nên sử dụng các quy trình quản lý dự án giống nhau
và kiểm soát như các dự án nội bộ. Ngoài ra, họ nên:
 Phát triển các thông số kỹ thuật rõ ràng. Điều này bao gồm các mô tả chính xác và định
nghĩa hệ thống, thời hạn rõ ràng và tiêu chí chấp nhận chính xác. Hạt Suffolk, New York,
đã chi 12 tháng và 500.000 đô la chuẩn bị các thông số kỹ thuật chi tiết cho một tên tội
phạm 16 triệu đô la hệ thống công lý trước khi chấp nhận hồ sơ dự thầu. Chỉ 6 trong số
22 nhà tích hợp được mời đấu thầu dự án vì chi phí và tiêu chuẩn chất lượng khắt khe của
quận. Các quan chức quận tin rằng họ những nỗ lực trước mắt cần mẫn đã giúp đảm bảo
hệ thống mới của họ thành công và cứu hạt 3 triệu đô la.
 Giám sát dự án. Các công ty nên thiết lập các thủ tục chính thức để đo lường và báo cáo
trạng thái của dự án. Cách tiếp cận tốt nhất là chia dự án thành các nhiệm vụ, phân công
trách nhiệm cho từng nhiệm vụ và họp ít nhất hàng tháng để xem xét tiến độ và đánh giá
chất lượng.
THAY ĐỔI ĐIỀU KHIỂN QUẢN LÝ- CHANGE MANAGEMENT CONTROLS
Các tổ chức sửa đổi các hệ thống hiện có để phản ánh các phương thức kinh doanh mới và để tận
dụng những tiến bộ của CNTT. Những người chịu trách nhiệm thay đổi phải đảm bảo rằng họ
không đưa ra lỗi và tạo điều kiện cho gian lận. Các khía cạnh hành vi của sự thay đổi được thảo
luận trong Chương 20 và sự thay đổi Các biện pháp kiểm soát quản lý được thảo luận trong
Chương 10.
THIẾT KẾ VÀ SỬ DỤNG TÀI LIỆU VÀ HỒ SƠ- DESIGN AND USE OF DOCUMENTS
AND RECORDS
Việc thiết kế và sử dụng hợp lý các tài liệu và hồ sơ điện tử và giấy giúp đảm bảo tính chính xác
và hoàn thành việc ghi lại tất cả các dữ liệu giao dịch có liên quan. Hình thức và nội dung của
chúng phải đơn giản nhất có thể, giảm thiểu sai sót và tạo điều kiện thuận lợi cho việc xem xét và
xác minh. Các tài liệu mà bắt đầu một giao dịch phải chứa một không gian cho ủy quyền. Những
người chuyển giao tài sản cần một khoảng trống cho chữ ký của bên nhận. Các tài liệu phải được
đánh số trước theo thứ tự vì vậy mỗi người có thể được tính. Một dấu vết kiểm tra tạo điều kiện
thuận lợi cho việc theo dõi các giao dịch cá nhân thông qua hệ thống, sửa lỗi và xác minh kết quả
đầu ra của hệ thống. Tài liệu, biểu mẫu và thiết kế màn hình được thảo luận trong Chương 22.
TÀI SẢN, HỒ SƠ VÀ DỮ LIỆU AN TOÀN- SAFEGUARD ASSETS, RECORDS, AND
DATA
Một công ty phải bảo vệ tiền mặt và tài sản vật chất cũng như thông tin của mình. Một phóng
viên cho Reuters nhận thấy rằng Intentia, một nhà phát triển phần mềm Thụy Điển, đã phát hành
báo cáo thu nhập quý hai trên các trang web có địa chỉ web gần giống nhau. Anh ta đoán địa chỉ
web của quý thứ ba, tìm các số chưa phát hành của họ và chạy một câu chuyện về kết quả đáng
thất vọng. Intentia đã đệ đơn cáo buộc hack hình sự, nhưng họ đã bị bác bỏ. Sở giao dịch chứng
khoán Thụy Điển đã kiểm duyệt Intentia vì không bảo vệ tài chính của nó thông tin.
Nhân viên là đối tượng có nguy cơ bảo mật lớn hơn nhiều so với những người bên ngoài. Họ có
khả năng tốt hơn che giấu các hành vi bất hợp pháp của họ, bởi vì họ biết rõ hơn điểm yếu của hệ
thống. Gần 50% công ty báo cáo rằng người trong cuộc truy cập dữ liệu mà không có sự cho
phép thích hợp. Một kỹ sư phần mềm tại America Online bị buộc tội bán 92 triệu địa chỉ e-mail
mà anh ta có được một cách bất hợp pháp sử dụng danh tính (ID) và mật khẩu của nhân viên
khác. Một doanh nghiệp cờ bạc trên Internet đã mua và sử dụng chúng để tăng thu nhập của công
ty từ 10.000 đô la đến 20.000 đô la một ngày. Các hành vi trộm cắp dữ liệu đã không bị phát hiện
trong một năm, cho đến khi một người mách nước ẩn danh thông báo với cơ quan chức năng
rằng doanh nghiệp cờ bạc đã bán lại tên cho những kẻ gửi thư rác bán thuốc tăng cường sinh lý
nam Mỹ phẩm.
Nhân viên cũng gây ra các mối đe dọa không chủ ý, chẳng hạn như vô tình xóa dữ liệu công ty,
mở tệp đính kèm e-mail chứa đầy vi-rút hoặc cố gắng sửa chữa phần cứng hoặc phần mềm mà
không có thiết bị thích hợp chuyên môn. Những điều này có thể dẫn đến sự cố mạng và trục trặc
phần cứng và phần mềm cũng như dữ liệu bị hỏng.
Các chương từ 8 đến 10 thảo luận về các biện pháp kiểm soát dựa trên máy tính giúp bảo vệ tài
sản. Ngoài ra, điều quan trọng là:
 Create and enforce appropriate policies and procedures - Tạo và thực thi các chính sách và
thủ tục thích hợp. Tất cả quá thường xuyên, các chính sách và các thủ tục được tạo ra
nhưng không được thực thi. Một máy tính xách tay có tên, số An sinh xã hội, và nơi sinh
của 26,5 triệu người đã bị đánh cắp khỏi ngôi nhà của Cựu chiến binh (VA) Chuyên viên
phân tích bộ phận. VA đã không thực thi các chính sách của mình đối với dữ liệu nhạy
cảm được mã hóa và không rời khỏi văn phòng VA. Thông báo cho tất cả 26,5 triệu
người và mua chúng một dịch vụ kiểm tra tín dụng đã tiêu tốn của người nộp thuế 100
triệu đô la. Hai năm trước vụ trộm, một báo cáo tổng thanh tra xác định việc kiểm soát
không đầy đủ các dữ liệu nhạy cảm là một điểm yếu, nhưng nó chưa bao giờ được giải
quyết.
 Maintain accurate records of all assets - Duy trì hồ sơ chính xác của tất cả các tài
sản. Định kỳ đối chiếu số tiền đã ghi của tài sản của công ty so với số lượng vật chất của
những tài sản đó.
 Restrict access to assets - Hạn chế quyền truy cập vào nội dung. Hạn chế quyền truy
cập vào các khu vực lưu trữ bảo vệ hàng tồn kho và Trang thiết bị. Máy tính tiền, két sắt,
tủ khóa và két an toàn hạn chế quyền ra vào tiền mặt và tài sản giấy. Hơn 1 triệu đô la đã
bị biển thủ từ tập đoàn Perini vì séc trống được giữ trong một nhà kho không khóa. Một
nhân viên đã thanh toán séc cho các nhà cung cấp hư cấu, chạy họ thông qua một máy ký
séc đã mở khóa và rút tiền mặt séc.
 Protect records and documents - Bảo vệ hồ sơ và tài liệu. Khu vực lưu trữ chống cháy,
tủ đựng hồ sơ có khóa, dự phòng tệp và lưu trữ bên ngoài bảo vệ hồ sơ và tài liệu. Quyền
truy cập vào séc trống và tài liệu nên được giới hạn cho người có thẩm quyền. Ở
 Inglewood, California, một người gác cổng đánh cắp 34 séc trắng, viết séc từ 50.000 đô
la đến 470.000 đô la, giả mạo tên thành phố quan chức, và quy ra tiền mặt cho họ.
KIỂM TRA ĐỘC LẬP VỀ HIỆU SUẤT- INDEPENDENT CHECKS ON
PERFORMANCE
Kiểm tra độc lập về hiệu suất, được thực hiện bởi một người nào đó không phải là người thực
hiện hoạt động ban đầu, giúp đảm bảo rằng các giao dịch được xử lý chính xác. Chúng bao gồm:
Top-level reviews - Đánh giá cấp cao nhất. Ban giám đốc nên theo dõi kết quả của công ty và
định kỳ so sánh hiệu suất thực tế của công ty với (1) hiệu suất theo kế hoạch, như thể hiện trong
ngân sách, mục tiêu và dự báo; (2) hiệu suất của kỳ trước; và (3) đối thủ cạnh tranh ' màn biểu
diễn.
Analytical reviews - Đánh giá phân tích. Đánh giá phân tích là một cuộc kiểm tra các mối quan
hệ giữa các bộ dữ liệu khác nhau. Ví dụ: khi doanh số tín dụng tăng, các tài khoản cũng vậy
khoản phải thu. Ngoài ra, có các mối quan hệ giữa doanh số bán hàng và tài khoản như chi phí
hàng hóa đã bán, hàng tồn kho và vận chuyển hàng hóa ra ngoài.
 Reconciliation of independently maintained records - Đối chiếu các hồ sơ được duy
trì độc lập. Hồ sơ nên được rec - được xếp vào các tài liệu hoặc hồ sơ có cùng dấu giáp
lai. Ví dụ, một ngân hàng đối chiếu xác minh rằng công ty kiểm tra số dư tài khoản đồng
ý với ngân hàng số dư sao kê. Một ví dụ khác là so sánh tổng sổ cái công ty con với tổng
sổ cái.
 Comparison of actual quantities with recorded amounts - So sánh số lượng thực tế
với số lượng đã ghi. Các tài sản quan trọng được định kỳ kiểm đếm và đối chiếu vào hồ
sơ công ty. Vào cuối mỗi ca làm việc của nhân viên, tiền trong ngăn kéo tính tiền phải
khớp với số tiền trên băng tính tiền. Kiểm kê cần được định kỳ kiểm đếm và đối chiếu
vào hồ sơ kiểm kê.
 Double-entry accounting - Kế toán bút toán kép. Câu châm ngôn ghi nợ các khoản tín
dụng bằng nhau mang lại nhiều cơ hội để kiểm tra độc lập. Các khoản nợ trong một mục
trả lương có thể được phân bổ cho nhiều tài khoản hàng tồn kho và / hoặc chi phí; các
khoản tín dụng được phân bổ cho các tài khoản nợ phải trả cho tiền lương phải trả, các
khoản thuế đã khấu trừ, bảo hiểm nhân viên và đoàn phí. Sau khi trả lương các mục nhập,
so sánh tổng số ghi nợ và tín dụng là một kiểm tra mạnh mẽ về tính chính xác của cả hai
các quy trình. Bất kỳ sự khác biệt nào cho thấy sự hiện diện của một lỗi.
 Independent review - Đánh giá độc lập. Sau khi giao dịch được xử lý, người thứ hai sẽ
đánh giá công việc trong số thứ nhất, kiểm tra sự cho phép thích hợp, xem xét các tài liệu
hỗ trợ, và kiểm tra tính chính xác của giá cả, số lượng và phần mở rộng.
TRUYỀN ĐẠT THÔNG TIN VÀ GIÁM SÁT QUY TRÌNH GIÁM SÁT – Communicate
Information and Monitor Control Processes
Thành phần thứ bảy trong mô hình ERM là thông tin và truyền thông. Thành phần cuối cùng
đang giám sát. Cả hai đều được thảo luận trong phần này của chương.
THÔNG TIN VÀ GIAO TIẾP - INFORMATION AND COMMUNICATION
Hệ thống thông tin và truyền thông phải nắm bắt và trao đổi thông tin cần thiết để tiến hành,
quản lý và kiểm soát hoạt động của tổ chức. Mục đích chính của kế toán hệ thống thông tin
(AIS) là thu thập, ghi lại, xử lý, lưu trữ, tóm tắt và giao tiếp thông tin về một tổ chức. Điều này
bao gồm việc hiểu cách thức giao dịch được khởi tạo, dữ liệu được thu thập, tệp được truy cập và
cập nhật, dữ liệu được xử lý và thông tin bị tố cáo. Nó bao gồm việc hiểu các hồ sơ và thủ tục kế
toán, hỗ trợ tài liệu và báo cáo tài chính. Các mục này cung cấp một dấu vết kiểm tra, cho phép
các giao dịch được truy tìm qua lại giữa nguồn gốc và báo cáo tài chính.
Ngoài việc xác định và ghi lại tất cả các giao dịch hợp lệ, AIS phải phân loại các giao dịch, ghi
lại các giao dịch theo đúng giá trị tiền tệ của chúng, ghi lại các giao dịch trong kỳ kế toán thích
hợp và trình bày hợp lý các giao dịch và các thuyết minh liên quan trong báo cáo tài chính.
Giao tiếp phải diễn ra bên trong và bên ngoài để cung cấp thông tin cần thiết thực hiện các hoạt
động kiểm soát nội bộ hàng ngày. Tất cả nhân viên phải hiểu trách nhiệm.
IC framework - Khung vi mạch được cập nhật chỉ rõ rằng ba nguyên tắc sau áp dụng cho thông tin
và quy trình giao tiếp:
1. Thu thập hoặc tạo ra thông tin có liên quan, chất lượng cao để hỗ trợ kiểm soát nội bộ
2. Truyền đạt thông tin nội bộ, bao gồm các mục tiêu và trách nhiệm, cần thiết để hỗ trợ các
thành phần khác của kiểm soát nội bộ
3. Thông báo các vấn đề liên quan đến kiểm soát nội bộ cho các bên bên ngoài
Hệ thống kế toán thường bao gồm một số hệ thống con, mỗi hệ thống được thiết kế để xử lý một
loại giao dịch cụ thể sử dụng cùng một trình tự thủ tục, được gọi là chu kỳ kế toán. Các chu trình
kế toán chính và các mục tiêu và thủ tục kiểm soát liên quan của chúng là được trình bày chi tiết
trong các Chương từ 12 đến 16.
GIÁM SÁT - MONITORING
Hệ thống kiểm soát nội bộ được lựa chọn hoặc phát triển phải được giám sát liên tục, đã đánh giá
và sửa đổi khi cần thiết. Bất kỳ thiếu sót nào phải được báo cáo cho quản lý cấp cao và ban giám
đốc. Các phương pháp giám sát chính được thảo luận trong tài liệu này phần.
ĐÁNH GIÁ HIỆU QUẢ KIỂM SOÁT NỘI BỘ - PERFORM INTERNAL CONTROL
EVALUATIONS
Hiệu quả kiểm soát nội bộ được đo lường sử dụng đánh giá chính thức hoặc tự đánh giá. Một
nhóm có thể được thành lập để tiến hành đánh giá, hoặc nó có thể được thực hiện bằng kiểm toán
nội bộ.
GIÁM SÁT HIỆU QUẢ THỰC HIỆN - IMPLEMENT EFFECTIVE SUPERVISION
Giám sát hiệu quả bao gồm đào tạo và hỗ trợ nhân viên, giám sát hiệu suất của họ, sửa lỗi và
giám sát những nhân viên có quyền truy cập vào tài sản. Giám sát đặc biệt quan trọng trong các
tổ chức không có trách nhiệm báo cáo hoặc một sự phân biệt đầy đủ các nhiệm vụ.
SỬ DỤNG HỆ THỐNG KẾ TOÁN TRÁCH NHIỆM - USE RESPONSIBILITY ACCOUNTING
SYSTEMS
Hệ thống kế toán trách nhiệm bao gồm ngân sách, hạn ngạch, lịch trình, chi phí tiêu chuẩn và
tiêu chuẩn chất lượng; báo cáo so sánh hiệu suất thực tế và kế hoạch; và các thủ tục để điều tra
và sửa chữa các phương sai.
HOẠT ĐỘNG CỦA HỆ THỐNG GIÁM SÁT - MONITOR SYSTEM ACTIVITIES
Đánh giá gói phần mềm quản lý và phân tích rủi ro các biện pháp an ninh mạng và máy tính,
phát hiện truy cập bất hợp pháp, kiểm tra các điểm yếu và lỗ hổng bảo mật, báo cáo các điểm yếu
được tìm thấy và đề xuất các cải tiến. Các thông số chi phí có thể là được nhập để cân bằng giữa
mức độ chấp nhận rủi ro và hiệu quả chi phí có thể chấp nhận được. Phần mềm cũng giám sát và
chống lại vi rút, phần mềm gián điệp, phần mềm quảng cáo, thư rác, lừa đảo và các e-mail không
phù hợp. Nó chặn quảng cáo bật lên, ngăn trình duyệt bị tấn công và xác thực ID của người gọi
điện thoại bằng cách so sánh giọng nói của người gọi với giọng nói đã ghi trước đó. Phần mềm
có thể giúp các công ty phục hồi từ các hành động độc hại. Một gói quản lý rủi ro đã giúp một
công ty phục hồi từ cơn thịnh nộ của một nhân viên bất mãn. Sau khi đánh giá hiệu suất tiêu cực,
thủ phạm tách cáp ra khỏi PC, thay đổi tệp kiểm soát khoảng không quảng cáo và chỉnh sửa mật
khẩu tệp để ngăn mọi người đăng nhập vào mạng. Phần mềm nhanh chóng xác định được lỗi hồ
sơ và thông báo trụ sở công ty. Thiệt hại đã được khắc phục bằng phần mềm tiện ích, đã khôi
phục tệp bị hỏng về trạng thái ban đầu của nó.
Tất cả các giao dịch và hoạt động của hệ thống phải được ghi lại trong một nhật ký cho biết ai đã
truy cập dữ liệu nào, khi nào và từ thiết bị trực tuyến nào. Các bản ghi này nên được xem xét
thường xuyên và được sử dụng để giám sát hoạt động của hệ thống, theo dõi các vấn đề từ nguồn
của chúng đánh giá năng suất của nhân viên, kiểm soát chi phí của công ty, chống lại các cuộc
tấn công gián điệp và hack, và tuân thủ các yêu cầu pháp lý. Một công ty đã sử dụng những nhật
ký này để phân tích lý do tại sao một nhân viên hầu như không có năng suất và nhận thấy rằng
anh ta đã dành sáu giờ mỗi ngày cho các trang web khiêu dâm.
Tổ chức Bảo mật ước tính rằng một phần ba tổng số công nhân Mỹ có máy tính được theo dõi và
con số đó dự kiến sẽ tăng lên. Các công ty giám sát hệ thống các hoạt động không được vi phạm
quyền riêng tư của nhân viên. Một cách để làm điều đó là yêu cầu nhân viên đồng ý bằng văn
bản cho các chính sách bằng văn bản bao gồm những điều sau:
 Công nghệ mà một nhân viên sử dụng trong công việc thuộc về công ty.
 Các e-mail nhận được trên máy tính của công ty không phải là email riêng tư và người
giám sát có thể đọc được nhân viên. Chính sách này cho phép một công ty dược phẩm
lớn xác định và chấm dứt một nhân viên đang gửi dữ liệu sản xuất thuốc bí mật qua e-
mail cho bên ngoài buổi tiệc.
 Nhân viên không nên sử dụng công nghệ để góp phần tạo ra một môi trường làm việc thù
địch.
THEO DÕI PHẦN MỀM ĐÃ MUA VÀ THIẾT BỊ DI ĐỘNG - TRACK PURCHASED
SOFTWARE AND MOBILE DEVICES
Liên minh Phần mềm Doanh nghiệp (BSA) theo dõi và phạt các công ty vi phạm các thỏa thuận
cấp phép phần mềm. Tuân thủ với bản quyền và tự bảo vệ mình khỏi các vụ kiện vi phạm bản
quyền phần mềm, các công ty nên định kỳ tiến hành kiểm toán phần mềm. Phải có đủ giấy phép
cho tất cả người dùng và công ty không nên trả tiền cho nhiều giấy phép hơn mức cần thiết.
Nhân viên phải được thông báo về hậu quả của việc sử dụng phần mềm không có giấy phép.
Số lượng thiết bị di động ngày càng tăng nên được theo dõi và giám sát, bởi vì mất mát có thể
đại diện cho một sự tiếp xúc đáng kể. Các mục cần theo dõi là thiết bị, ai có chúng, cái gì các tác
vụ họ thực hiện, các tính năng bảo mật được cài đặt và phần mềm nào công ty cần duy trì hệ
thống và an ninh mạng đầy đủ.
KIỂM TOÁN THEO ĐỊNH KỲ CỦA CẤU TRÚC - CONDUCT PERIODIC AUDITS
Các cuộc kiểm toán bên ngoài, nội bộ và an ninh mạng có thể đánh giá và giám sát rủi ro cũng
như phát hiện gian lận và sai sót. Thông báo cho nhân viên về các cuộc kiểm toán giúp giải quyết
các vấn đề về quyền riêng tư, ngăn chặn gian lận và giảm thiểu sai sót. Đánh giá viên nên thường
xuyên kiểm tra các biện pháp kiểm soát hệ thống và định kỳ duyệt các tệp sử dụng hệ thống để
tìm kiếm các hoạt động đáng ngờ. Trong thời gian an ninh kiểm toán một công ty chăm sóc sức
khỏe, kiểm toán viên giả danh nhân viên hỗ trợ máy tính bị thuyết phục 16 trong số 22 nhân viên
để lộ ID người dùng và mật khẩu của họ. Họ cũng nhận thấy rằng nhân viên việc thử nghiệm một
hệ thống mới khiến mạng của công ty tiếp xúc với các cuộc tấn công từ bên ngoài. Kiểm toán hệ
thống được giải thích trong Chương 11.
Đánh giá nội bộ đánh giá độ tin cậy và tính toàn vẹn của thông tin tài chính và hoạt động, đánh
giá hiệu quả của kiểm soát nội bộ và đánh giá sự tuân thủ của nhân viên đối với cấp quản lý các
chính sách và thủ tục cũng như các luật và quy định hiện hành. Nội bộ chức năng kiểm toán phải
độc lập về mặt tổ chức với chức năng kế toán và điều hành. Kiểm toán nội bộ nên báo cáo cho ủy
ban kiểm toán, không phải kiểm soát viên hoặc giám đốc tài chính nhân viên văn phòng.
Một kiểm toán viên nội bộ lưu ý rằng một giám sát viên bộ phận đã đưa nhân viên văn phòng đi
ăn trưa trong một xe limousine trong ngày sinh nhật của cô. Tự hỏi liệu tiền lương của cô ấy có
thể hỗ trợ lối sống của cô ấy hay không, anh ấy đã điều tra và nhận thấy cô ấy đã thiết lập một số
nhà cung cấp hư cấu, gửi hóa đơn cho công ty từ những nhà cung cấp, và chuyển tiền mặt bằng
séc qua đường bưu điện cho cô ấy. Trong khoảng thời gian vài năm, cô ấy đã tham ô hơn 12 triệu
đô la.
NHÂN VIÊN NHÂN VIÊN BẢO MẬT MÁY TÍNH VÀ NHÂN VIÊN PHÂN TÍCH
TRƯỞNG THÀNH - EMPLOY A COMPUTER SECURITY OFFICER AND A CHIEF
COMPLIANCE OFFICER
Máy vi tính nhân viên an ninh (CSO) phụ trách bảo mật hệ thống, độc lập với thông tin chức
năng hệ thống, và báo cáo cho Giám đốc điều hành (COO) hoặc Giám đốc điều hành. Áp đảo các
nhiệm vụ liên quan đến SOX và các hình thức tuân thủ khác đã khiến nhiều công ty ủy thác tất cả
các vấn đề tuân thủ đối với giám đốc tuân thủ (CCO). Nhiều công ty sử dụng bên ngoài chuyên
gia tư vấn máy tính hoặc nhóm nội bộ để kiểm tra và đánh giá các quy trình bảo mật và máy tính
các hệ thống.
ENGAGE FORENSIC CHUYÊN GIA - ENGAGE FORENSIC SPECIALISTS
Các nhà điều tra pháp y chuyên về gian lận là một nhóm phát triển nhanh trong nghề kế toán. Sự
hiện diện ngày càng tăng của họ là do một số các yếu tố, đáng chú ý nhất là SOX, các quy tắc kế
toán mới và yêu cầu của ban giám đốc rằng các cuộc điều tra pháp y là một phần liên tục của báo
cáo tài chính và quy trình quản trị. Hầu hết các nhà điều tra pháp y đã được đào tạo chuyên
ngành với FBI, IRS, hoặc các cơ quan thực thi pháp luật khác. Điều tra viên với kỹ năng máy
tính để tìm con chồn thủ phạm lừa đảo đang có nhu cầu lớn. Hiệp hội các nhà kiểm tra gian lận
được chứng nhận tài trợ chương trình cấp chứng chỉ chuyên nghiệp Certified Fraud Examiner
(CFE). Để trở thành CFE, các ứng cử viên phải vượt qua kỳ thi kéo dài hai ngày. Hiện tại có
khoảng 35.000 CFE trên toàn thế giới.
Computer forensics specialists - Các chuyên gia pháp y máy tính khám phá, trích xuất, bảo vệ và
ghi lại bằng chứng máy tính sao cho tính xác thực, độ chính xác và tính toàn vẹn của nó sẽ không
bị khuất phục trước các thách thức pháp lý. Pháp y máy tính có thể được so sánh với việc thực
hiện "khám nghiệm tử thi" trên một hệ thống máy tính để xác định xem một tội ác đã được thực
hiện cũng như ai đã thực hiện nó, và sau đó thống kê các bằng chứng luật sư cần để chứng minh
các cáo buộc trước tòa. Một số vấn đề phổ biến hơn được điều tra là sử dụng Internet không
đúng cách; gian lận; sự phá hoại; mất mát, đánh cắp hoặc hỏng dữ liệu; truy xuất thông tin “bị
xóa” từ e-mail và cơ sở dữ liệu; và tìm ra ai đã thực hiện các hoạt động máy tính nhất định. Một
nhóm pháp y Deloitte & Touche đã phát hiện ra bằng chứng cho thấy đã giúp kết tội một giám
đốc mua hàng của Siêu thị khổng lồ, người đã chấp nhận hơn 600.000 đô la trong lại quả của nhà
cung cấp.
CÀI ĐẶT PHẦN MỀM PHÁT HIỆN FRAUD - INSTALL FRAUD DETECTION
SOFTWARE
Kẻ gian lận theo các mẫu riêng biệt và để lại manh mối đằng sau đó có thể bị phát hiện bởi phần
mềm phát hiện gian lận. Phần mềm đã sử dụng ReliaStar Financial từ IBM để phát hiện những
điều sau:
 Một chuyên gia chỉnh hình ở Los Angeles đã nộp hàng trăm nghìn đô la gian lận yêu cầu.
Phần mềm xác định một số lượng bất thường bệnh nhân sống hơn 50 dặm từ văn phòng
bác sĩ và gắn cờ các hóa đơn này để điều tra.
 Một bác sĩ ở Long Island nộp hóa đơn hàng tuần cho một thủ thuật hiếm và tốn kém bình
thường chỉ thực hiện một hoặc hai lần trong đời.
 Một bác sĩ chuyên khoa chân đã khám cho 4 bệnh nhân và lập hóa đơn cho 500 thủ thuật
riêng biệt.
Neural networks - Mạng nơ-ron (chương trình có khả năng học tập) có thể xác định chính xác gian
lận. Các Hoạt động của Visa và MasterCard tại Ngân hàng Mellon sử dụng mạng lưới thần kinh
để theo dõi 1,2 triệu các tài khoản. Nó có thể phát hiện việc sử dụng thẻ tín dụng bất hợp pháp và
thông báo cho chủ sở hữu ngay sau khi thẻ bị đánh cắp. Nó cũng có thể phát hiện ra các xu
hướng trước khi các nhà điều tra ngân hàng thực hiện. Ví dụ: một điều tra viên đã học về một
gian lận mới từ một ngân hàng khác. Khi anh ta đi kiểm tra gian lận, mạng nơ-ron đã đã xác định
nó và đã in ra các giao dịch phù hợp với mô hình của nó. Phần mềm có chi phí ngân hàng ít hơn
1 triệu đô la và tự thanh toán trong sáu tháng.
THỰC HIỆN MỘT SỐ HOTLINE PHÙ HỢP - IMPLEMENT A FRAUD HOTLINE
Những người chứng kiến hành vi gian lận thường bị giằng xé giữa hai cảm xúc trái ngược nhau.
Mặc dù họ muốn bảo vệ tài sản của công ty và báo cáo gian lận thủ phạm, họ không thoải mái
khi thổi còi, vì vậy tất cả thường xuyên họ giữ im lặng. Sự miễn cưỡng này sẽ mạnh hơn nếu họ
biết về những người thổi còi đã bị tẩy chay, bị bắt bớ, hoặc bị thiệt hại về sự nghiệp của họ.
SOX yêu cầu một cơ chế để nhân viên báo cáo gian lận và lạm dụng. Đường dây nóng lừa đảo là
một cách hiệu quả để tuân thủ luật pháp và giải quyết xung đột của người tố cáo. Trong một
nghiên cứu, các nhà nghiên cứu phát hiện ra rằng 33% trong số 212 gian lận được phát hiện
thông qua các thủ thuật ẩn danh. Ngành bảo hiểm thiết lập một đường dây nóng để kiểm soát 17
tỷ đô la mỗi năm trong các vụ lừa đảo. Trong tháng đầu tiên, hơn 2.250 cuộc gọi đã được nhận;
15% dẫn đến hành động điều tra. Mặt trái của đường dây nóng là nhiều cuộc gọi không đáng để
điều tra; một số thì được thúc đẩy bởi mong muốn trả thù, một số là báo cáo mơ hồ về hành vi
sai trái, và những người khác có không có công trạng.
TÓM TẮT VÀ KẾT LUẬN TÌNH HUỐNG - Summary and Case Conclusion
Một tuần sau khi Jason và Maria nộp báo cáo kiểm toán, họ được triệu tập đến văn phòng giám
đốc kiểm toán nội bộ của Northwest để giải thích những phát hiện của họ. Ngay sau đó, Đội điều
tra gian lận đã được cử đến Bozeman để xem xét kỹ hơn tình hình. Sáu tháng sau, một bản tin
của công ty cho biết gia đình Springer đã bán 10% lãi suất trong doanh nghiệp và từ nhiệm tất cả
các vị trí quản lý. Hai giám đốc điều hành của Tây Bắc đã được chuyển đến để thay thế chúng.
Không có từ nào khác về kết quả kiểm toán.
Hai năm sau, Jason và Maria làm việc với Frank Ratliff, một thành viên của cấp cao Nhóm kiểm
toán. Sau nhiều giờ, Frank nói với họ rằng nhóm điều tra đã kiểm tra một lượng lớn mẫu các giao
dịch mua hàng và tất cả các hồ sơ chấm công và tính lương của nhân viên cho một Thời hạn 12
tháng. Nhóm nghiên cứu cũng đã kiểm kê vật lý chi tiết. Họ phát hiện ra rằng các vấn đề mà
Jason đã xác định — bao gồm thiếu các yêu cầu mua hàng, đơn đặt hàng, và nhận được báo cáo,
cũng như giá quá cao - đã phổ biến. Những vấn đề này đã xảy ra trong các giao dịch với ba nhà
cung cấp lớn mà từ đó Springer’s đã mua một số hàng triệu đô la hàng tồn kho. Các nhà điều tra
đã thảo luận về mức giá cao bất thường với những người bán hàng nhưng không nhận được lời
giải thích thỏa đáng. Cấp phép kinh doanh của quận văn phòng tiết lộ rằng Bill Springer nắm giữ
phần lớn quyền sở hữu trong mỗi công ty này. Bằng cách ủy quyền giá quá cao cho các công ty
mà anh ta sở hữu, Springer đã kiếm được một khoản tiền đáng kể chia sẻ vài trăm nghìn đô la lợi
nhuận quá mức, tất cả đều phải trả giá bằng Công nghiệp Tây Bắc.
Một số nhân viên của Springer được trả lương cho nhiều giờ hơn họ làm việc. Kiểm kê vật chất
đã được phóng đại quá mức; một khoảng không quảng cáo thực tế cho thấy rằng một phần đáng
kể của hàng tồn kho không tồn tại và một số mặt hàng đã lỗi thời. Nhật ký điều chỉnh mục nhập
phản ánh hàng tồn kho thực tế của Springer đã xóa sạch phần lớn lợi nhuận của họ trong quá khứ
ba năm.
Khi bị đối chất, Springers kịch liệt phủ nhận việc vi phạm bất kỳ luật nào. Tây Bắc coi đến gặp
cơ quan chức năng nhưng lo ngại vụ việc không đủ cơ sở chứng minh tại tòa án. Northwest cũng
lo lắng rằng công khai bất lợi có thể làm hỏng vị thế của công ty trong Bozeman. Sau nhiều
tháng thương lượng, Springers đã đồng ý với thỏa thuận được báo cáo trong bản tin. Một phần
của thỏa thuận là không có tuyên bố công khai nào về bất kỳ bị cáo buộc gian lận hoặc tham ô
liên quan đến Springers. Theo Frank, chính sách này đã thông thường. Trong nhiều trường hợp
gian lận, việc dàn xếp được tiến hành một cách lặng lẽ, không có hành động pháp lý nào, vì vậy
rằng công ty có thể tránh được những dư luận bất lợi.

CHƯƠNG 8: KIỂM SOÁT BẢO VỆ THÔNG TIN

MỤC TIÊU HỌC TẬP
Sau khi học chương này, bạn sẽ có thể:
1. Giải thích cách bảo mật và bốn nguyên tắc khác trong Khung dịch vụ tin cậy ảnh hưởng đến
độ tin cậy của hệ thống.
2. Giải thích hai khái niệm cơ bản: tại sao bảo mật thông tin là một vấn đề quản lý và mô hình
bảo mật thông tin dựa trên thời gian.
3. Thảo luận về các bước mà bọn tội phạm tuân theo để thực hiện một cuộc tấn công có chủ đích
chống lại tổ chức hệ thống thông tin.
4. Mô tả các biện pháp kiểm soát phòng ngừa, phát hiện và khắc phục có thể được sử dụng để
bảo vệ thông tin của tổ chức.
5. Mô tả các biện pháp kiểm soát có thể được sử dụng để phát hiện kịp thời rằng một tổ chức hệ
thống thông tin đang bị tấn công.
6. Thảo luận về cách các tổ chức có thể ứng phó kịp thời với các cuộc tấn công nhằm vào thông
tin của họ hệ thống.
7. Giải thích ảnh hưởng của ảo hóa, điện toán đám mây và Internet of Things bảo mật thông tin.
TÌNH HUỐNG: Các ngành công nghiệp Tây Bắc
Nhiệm vụ tiếp theo của Jason Scott là xem xét các kiểm soát nội bộ đối với Northwest Industries
hê ̣ thông thông tin. Jason nhận được một bản sao Mục tiêu kiểm soát để biết thông tin và Công
nghệ Liên quan 5 (COBIT 5) và rất ấn tượng bởi sự kỹ lưỡng của nó. Tuy nhiên, anh nói với bạn
của mình rằng anh ấy cảm thấy quá tải khi cố gắng sử dụng COBIT 5 để lập kế hoạch kiểm tra
Công nghiệp Tây Bắc. Bạn của anh ấy gợi ý rằng anh ấy nên kiểm tra Khung dịch vụ tin cậy
được đồng phát triển bởi Viện Kế toán Công chứng Hoa Kỳ (AICPA) và Viện Kế toán Công
chứng Canada (CICA) để hướng dẫn các kiểm toán viên đánh giá độ tin cậy của hệ thống thông
tin của tổ chức. Sau khi xem xét Jason kết luận rằng anh ta có thể sử dụng nó để hướng dẫn nỗ
lực kiểm toán của mình. Anh ấy quyết định rằng anh ta sẽ bắt đầu bằng cách tập trung vào các
biện pháp kiểm soát được thiết kế để cung cấp sự đảm bảo hợp lý về bảo mật thông tin. Anh ấy
viết ra những câu hỏi sau đây sẽ hướng dẫn cuộc điều tra:
1. Các biện pháp kiểm soát nào được thực hiện để Northwest Industries sử dụng để ngăn chặn
truy cập trái phép vào hệ thống kế toán của nó?
2. Làm thế nào những nỗ lực thành công và không thành công nhằm thỏa hiệp kế toán của công
ty hệ thống được phát hiện một cách kịp thời?
3. Những thủ tục nào được áp dụng để ứng phó với các sự cố an ninh?
GIỚI THIỆU
Ngày nay, mọi tổ chức đều dựa vào công nghệ thông tin (CNTT). Nhiều tổ chức cũng chuyển ít
nhất một phần hệ thống thông tin của họ lên đám mây. Quản lý muốn đảm bảo rằng thông tin do
hệ thống kế toán của tổ chức tạo ra là đáng tin cậy và cả về độ tin cậy của các nhà cung cấp dịch
vụ đám mây mà họ ký hợp đồng. Ngoài ra, ban giám đốc cũng muốn đảm bảo rằng tổ chức tuân
thủ với một loạt các yêu cầu về quy định và ngành bao gồm Sarbanes-Oxley (SOX), Bộ Y tế Đạo
luật về trách nhiệm giải trình và cung cấp bảo hiểm (HIPAA) và Dữ liệu ngành thẻ thanh toán
Tiêu chuẩn bảo mật (PCI-DSS).
Như đã đề cập trong Chương 7, COBIT 5 là một khuôn khổ toàn diện về các thực tiễn tốt nhất
liên quan đến đối với tất cả các khía cạnh của quản trị và quản lý CNTT. Tuy nhiên, trong cuốn
sách này, chúng tôi tập trung vào chỉ những phần của COBIT 5 liên quan trực tiếp nhất đến độ
tin cậy của thông tin hệ thống và tuân thủ các tiêu chuẩn quy định. Do đó, chúng tôi tổ chức
chương này và hai tiếp theo xoay quanh các nguyên tắc trong Khung dịch vụ tin cậy, đã được
phát triển giữa AICPA và CICA để cung cấp hướng dẫn đánh giá độ tin cậy của thông tin các hệ
thống. Tuy nhiên, vì COBIT 5 là một khuôn khổ được quốc tế công nhận được sử dụng bởi nhiều
tổ chức, kiểm toán viên và kế toán cần phải làm quen với nó. Vì vậy, trong suốt cuộc thảo luận
của chúng tôi, chúng tôi tham khảo các phần có liên quan của COBIT 5 liên quan đến từng chủ
đề để bạn có thể hiểu các nguyên tắc góp phần vào độ tin cậy của hệ thống như thế nào cũng cần
thiết để quản lý hiệu quả đầu tư của một tổ chức vào CNTT.
Khuôn khổ Dịch vụ Tin cậy tổ chức các biện pháp kiểm soát liên quan đến CNTT thành năm
nguyên tắc cùng đóng góp vào độ tin cậy của hệ thống:
1. Bảo mật — quyền truy cập (cả vật lý và logic) vào hệ thống và dữ liệu của nó được kiểm soát
và hạn chế cho người dùng hợp pháp.
2. Tính bảo mật — thông tin tổ chức nhạy cảm (ví dụ: kế hoạch tiếp thị, bí mật thương mại) được
bảo vệ khỏi tiết lộ trái phép.
3. Quyền riêng tư — thông tin cá nhân về khách hàng, nhân viên, nhà cung cấp hoặc đối tác kinh
doanh chỉ được thu thập, sử dụng, tiết lộ và duy trì tuân thủ các chính sách nội bộ và các yêu cầu
quy định bên ngoài và được bảo vệ khỏi tiết lộ trái phép.
4. Tính toàn vẹn trong xử lý — dữ liệu được xử lý chính xác, hoàn chỉnh, kịp thời và chỉ với sự
ủy quyền thích hợp.
5. Tính khả dụng — hệ thống và thông tin của nó có sẵn để đáp ứng hoạt động và hợp đồng các
nghĩa vụ.
Như Hình 8-1 cho thấy, bảo mật thông tin là nền tảng của độ tin cậy của hệ thống và là cần thiết
để đạt được từng nguyên tắc trong số bốn nguyên tắc còn lại. Quy trình bảo mật thông tin hạn
chế quyền truy cập hệ thống chỉ cho người dùng được ủy quyền, do đó bảo vệ tính bí mật của dữ
liệu tổ chức và quyền riêng tư của thông tin cá nhân được thu thập từ khách hàng.
Các thủ tục bảo mật thông tin bảo vệ tính toàn vẹn của thông tin bằng cách ngăn chặn việc gửi
giao dịch trái phép hoặc hư cấu và ngăn chặn các thay đổi trái phép đối với dữ liệu được lưu trữ
hoặc các chương trình. Cuối cùng, các quy trình bảo mật thông tin cung cấp khả năng bảo vệ
chống lại nhiều loại các cuộc tấn công, bao gồm vi rút và sâu, do đó đảm bảo rằng hệ thống luôn
sẵn sàng khi cần thiết. Do đó, chương này tập trung vào bảo mật thông tin. Chương 9 thảo luận
về CNTT các biện pháp kiểm soát liên quan đến việc bảo vệ tính bí mật của tài sản trí tuệ của
một tổ chức và quyền riêng tư của thông tin nó thu thập về khách hàng và đối tác kinh doanh của
mình. Chương 10 sau đó bao gồm các biện pháp kiểm soát CNTT được thiết kế để đảm bảo tính
toàn vẹn và tính sẵn có của thông tin được tạo ra bởi hệ thống kế toán của một tổ chức.
HAI KHÁI NIỆM CƠ BẢN VỀ BẢO MẬT THÔNG TIN
1. BẢO MẬT LÀ VẤN ĐỀ QUẢN LÝ, KHÔNG CHỈ LÀ VẤN ĐỀ CÔNG NGHỆ
Mặc dù bảo mật thông tin hiệu quả đòi hỏi phải triển khai các công cụ công nghệ như như tường
lửa, chống vi-rút và mã hóa, sự tham gia của quản lý cấp cao và hỗ trợ xuyên suốt tất cả các giai
đoạn của vòng đời bảo mật (xem Hình 8-2) là hoàn toàn cần thiết để thành công.
Bước đầu tiên trong vòng đời bảo mật là đánh giá các mối đe dọa liên quan đến an toàn thông tin
mà tổ chức phải đối mặt và chọn một phản ứng thích hợp. Chuyên gia bảo mật thông tin có kiến
thức chuyên môn để xác định các mối đe dọa tiềm ẩn và ước tính khả năng xảy ra của chúng và
va chạm. Tuy nhiên, quản lý cấp cao phải lựa chọn phản ứng rủi ro nào trong số bốn phản ứng
rủi ro được mô tả trong Chương 7 (giảm, chấp nhận, chia sẻ hoặc tránh) là phù hợp để áp dụng
sao cho các nguồn lực đã đầu tư trong bảo mật thông tin phản ánh khẩu vị rủi ro của tổ chức.
Bước 2 liên quan đến việc phát triển các chính sách bảo mật thông tin và truyền đạt chúng cho tất
cả người lao động. Quản lý cấp cao phải tham gia vào việc phát triển các chính sách vì họ phải
quyết định các biện pháp trừng phạt mà họ sẵn sàng áp dụng đối với hành vi không tuân thủ.
Ngoài ra, hoạt động sự hỗ trợ và tham gia của lãnh đạo cao nhất là cần thiết để đảm bảo rằng an
ninh thông tin đào tạo và truyền thông được coi trọng. Để có hiệu quả, giao tiếp này phải liên
quan đến nhiều thứ hơn là chỉ giao cho mọi người một tài liệu bằng văn bản hoặc gửi cho họ một
tin nhắn e-mail và yêu cầu họ ký xác nhận rằng họ đã nhận và đọc thông báo. Thay thế, nhân
viên phải nhận được lời nhắc thường xuyên, định kỳ về các chính sách bảo mật và đào tạo về làm
thế nào để tuân thủ chúng.
Bước 3 của vòng đời bảo mật liên quan đến việc mua lại hoặc xây dựng công nghệ cụ thể công
cụ. Quản lý cấp cao phải cho phép đầu tư các nguồn lực cần thiết để giảm thiểu các mối đe dọa
được xác định và đạt được mức độ bảo mật mong muốn. Cuối cùng, bước 4 trong vòng đời bảo
mật chu kỳ đòi hỏi phải theo dõi thường xuyên hiệu suất để đánh giá hiệu quả của tổ chức
chương trình bảo mật thông tin. Những tiến bộ trong CNTT tạo ra các mối đe dọa mới và thay
đổi các rủi ro liên quan đến các mối đe dọa cũ. Do đó, ban giám đốc phải định kỳ đánh giá lại
hoạt động của tổ chức ứng phó rủi ro và khi cần thiết, thực hiện các thay đổi đối với các chính
sách bảo mật thông tin và đầu tư vào các giải pháp mới để đảm bảo rằng các nỗ lực bảo mật
thông tin của tổ chức hỗ trợ chiến lược kinh doanh theo cách phù hợp với khẩu vị rủi ro của ban
giám đốc.
2. MÔ HÌNH BẢO MẬT THÔNG TIN THEO THỜI GIAN
Mục tiêu của mô hình bảo mật thông tin dựa trên thời gian là sử dụng kết hợp kiểm soát phòng
ngừa, thám tử và điều chỉnh để bảo vệ tài sản thông tin đủ lâu để tổ chức để phát hiện rằng một
cuộc tấn công đang xảy ra và thực hiện các bước kịp thời để ngăn chặn cuộc tấn công trước khi
bất kỳ thông tin nào bị mất hoặc bị xâm phạm. Mô hình bảo mật thông tin dựa trên thời gian có
thể được thể hiện trong công thức sau:
P > D + R, khi:
P = thời gian mà kẻ tấn công cần để phá vỡ các điều khiển khác nhau bảo vệ tài sản thông tin của
tổ chức
D = thời gian cần thiết để tổ chức phát hiện ra rằng một cuộc tấn công đang diễn ra
R = thời gian cần thiết để phản hồi và dừng đòn tấn công
Nếu phương trình được thỏa mãn (tức là nếu P > D + R đúng), thì bảo mật thông tin của tổ chức
các thủ tục có hiệu quả. Nếu không, bảo mật không hiệu quả.
Các tổ chức cố gắng đáp ứng mục tiêu của mô hình bảo mật dựa trên thời gian bằng cách sử
dụng chiến lược phòng thủ theo chiều sâu, đòi hỏi sử dụng nhiều lớp kiểm soát trong để tránh có
một điểm thất bại. Phòng thủ chuyên sâu nhận ra rằng mặc dù không kiểm soát có thể đạt hiệu
quả 100%, việc sử dụng các kiểm soát chồng chéo, bổ sung và dự phòng tăng hiệu quả tổng thể
bởi vì nếu một kiểm soát không thành công hoặc bị phá vỡ, kiểm soát khác có thể thành công.
Mô hình bảo mật dựa trên thời gian cung cấp một phương tiện để quản lý xác định cách tiếp cận
hiệu quả nhất về chi phí để cải thiện bảo mật bằng cách so sánh các tác động của đầu tư vào các
biện pháp kiểm soát phòng ngừa, phát hiện hoặc sửa chữa. Ví dụ, ban quản lý có thể đang xem
xét đầu tư thêm 100.000 đô la để tăng cường bảo mật. Một lựa chọn có thể là việc mua một bức
tường lửa mới sẽ làm tăng giá trị của P lên 10 phút.
Tùy chọn thứ hai có thể là nâng cấp hệ thống phát hiện xâm nhập của tổ chức trong một cách đó
sẽ làm giảm giá trị của D đi 12 phút. Lựa chọn thứ ba có thể là đầu tư trong các phương pháp
mới để ứng phó với các sự cố an toàn thông tin để giảm giá trị của R bằng 30 phút. Trong ví dụ
này, lựa chọn hiệu quả nhất về chi phí sẽ là đầu tư vào các biện pháp kiểm soát khắc phục bổ
sung cho phép tổ chức phản ứng với các cuộc tấn công nhanh hơn nữa.
Mặc dù mô hình bảo mật dựa trên thời gian cung cấp một cơ sở lý thuyết đúng đắn để đánh giá
và quản lý các phương pháp bảo mật thông tin của một tổ chức, nó không nên được coi là một
công thức toán học chính xác. Một vấn đề là rất khó, nếu không muốn nói là không thể, để xác
định chính xác, các phép đo đáng tin cậy của các tham số P, D và R. Ngoài ra, ngay cả khi các
tham số đó các giá trị có thể được tính toán một cách đáng tin cậy, các phát triển CNTT mới có
thể nhanh chóng làm giảm giá trị của chúng.
Ví dụ, việc phát hiện ra một lỗ hổng mới chính có thể làm giảm giá trị của P xuống số không. Do
đó, mô hình bảo mật dựa trên thời gian được sử dụng tốt nhất như một khuôn khổ cấp cao để
phân tích chiến lược, minh họa rõ ràng nguyên tắc phòng thủ theo chiều sâu và sự cần thiết sử
dụng nhiều biện pháp kiểm soát phòng ngừa, thám tử và điều chỉnh.
HIỂU VỀ CÁC CUỘC TẤN CÔNG CÓ MỤC TIÊU
Mặc dù nhiều mối đe dọa về bảo mật thông tin, chẳng hạn như virus, sâu, thiên tai, phần cứng
các lỗi và lỗi của con người thường là các sự kiện ngẫu nhiên (không được nhắm mục tiêu), các
tổ chức cũng thường xuyên là mục tiêu của các cuộc tấn công có chủ ý. Trước khi chúng ta thảo
luận về phòng ngừa, thám tử và
Các biện pháp kiểm soát khắc phục có thể được sử dụng để giảm thiểu nguy cơ xâm nhập hệ
thống, rất hữu ích để hiểu các bước cơ bản mà bọn tội phạm sử dụng để tấn công hệ thống thông
tin của tổ chức:
1. Conduct reconnaissance. Tiến hành trinh sát. Những tên cướp ngân hàng thường không chỉ
lái xe đến ngân hàng và cố gắng để cướp nó. Thay vào đó, trước tiên họ nghiên cứu bố cục vật lý
của mục tiêu để tìm hiểu về kiểm soát nó có tại chỗ (báo động, số lượng người bảo vệ, vị trí của
camera, v.v.). Tương tự, những kẻ tấn công máy tính bắt đầu bằng cách thu thập thông tin về
mục tiêu của chúng. Cho phép một tổ chức báo cáo tài chính, hồ sơ của Ủy ban Chứng khoán và
Giao dịch (SEC), trang web, và thông cáo báo chí có thể mang lại nhiều thông tin có giá trị. Mục
tiêu của lần đầu tiên này trinh sát là tìm hiểu càng nhiều càng tốt về mục tiêu và xác định khả
năng các lỗ hổng.
2. Attempt social engineering Nỗ lực kỹ thuật xã hội. Tại sao phải trải qua tất cả những rắc rối
khi cố gắng đột nhập vào một hệ thống nếu bạn có thể nhờ ai đó cho bạn vào? Những kẻ tấn
công thường sẽ cố gắng sử dụng thông tin thu được trong quá trình trinh sát ban đầu của họ để
"lừa" một nhân viên không nghi ngờ vào cấp cho họ quyền truy cập. Việc sử dụng sự lừa dối như
vậy để có được quyền truy cập trái phép vào thông tin tài nguyên được gọi là kỹ thuật xã hội. Kỹ
thuật xã hội có thể diễn ra trong vô số cách, chỉ giới hạn bởi sự sáng tạo và trí tưởng tượng của
kẻ tấn công. Kỹ thuật xã hội các cuộc tấn công thường diễn ra qua điện thoại. Một kỹ thuật phổ
biến dành cho kẻ tấn công mạo danh một giám đốc điều hành, người không thể có quyền truy
cập từ xa vào các tệp quan trọng. Kẻ tấn công gọi cho một trợ lý hành chính mới được thuê và
yêu cầu người đó giúp lấy các tập tin quan trọng.
Một thủ đoạn phổ biến khác là kẻ tấn công đóng giả là một kẻ tạm thời không biết gì. nhân viên
không thể đăng nhập vào hệ thống và gọi cho bộ phận trợ giúp để được hỗ trợ. Xã hội các cuộc
tấn công kỹ thuật cũng có thể diễn ra qua e-mail. Một cuộc tấn công đặc biệt hiệu quả được biết
đến vì hành vi lừa đảo liên quan đến việc gửi e-mail có chủ đích từ ai đó mà nạn nhân biết. E-
mail lừa đảo trực tuyến yêu cầu nạn nhân nhấp vào một liên kết được nhúng hoặc mở một tập tin
đính kèm. Nếu người nhận làm như vậy, một chương trình ngựa thành Troy sẽ được thực thi để
cho phép kẻ tấn công để có được quyền truy cập vào hệ thống. Tuy nhiên, một chiến thuật kỹ
thuật xã hội khác là truyền bá Ổ USB trong bãi đậu xe của tổ chức được nhắm mục tiêu. Một
nhân viên không nghi ngờ hoặc tò mò ai nhặt ổ đĩa và cắm nó vào máy tính của họ sẽ tải một con
ngựa thành Troy chương trình cho phép kẻ tấn công có quyền truy cập vào hệ thống.
3. Scan and map the target Quét và lập bản đồ mục tiêu. Nếu kẻ tấn công không thể xâm nhập
thành công hệ thống mục tiêu thông qua kỹ thuật xã hội, bước tiếp theo là tiến hành trinh sát chi
tiết hơn để xác định điểm tiềm năng của mục nhập từ xa. Kẻ tấn công sử dụng nhiều công cụ tự
động để xác định máy tính có thể được truy cập từ xa và loại phần mềm chúng đang chạy.
4. Research Nghiên cứu. Khi kẻ tấn công đã xác định được các mục tiêu cụ thể và biết phiên bản
của phần mềm đang chạy trên chúng, bước tiếp theo là tiến hành nghiên cứu để tìm ra các lỗ
hổng đã biết cho các chương trình đó và học cách tận dụng các lỗ hổng đó.
5. Execute the attack Thực hiện cuộc tấn công. Tội phạm lợi dụng lỗ hổng để lấy trái phép truy
cập vào hệ thống thông tin của mục tiêu.
6. Cover tracks. Bìa các bản nhạc. Sau khi thâm nhập vào hệ thống thông tin của nạn nhân, hầu
hết những kẻ tấn công cố gắng che dấu vết của họ và tạo "cửa sau" mà họ có thể sử dụng để có
được quyền truy cập nếu ban đầu của họ cuộc tấn công được phát hiện và các biện pháp kiểm
soát được thực hiện để chặn phương thức xâm nhập đó.
Bây giờ chúng ta đã có hiểu biết cơ bản về cách bọn tội phạm tấn công thông tin của một tổ chức
hệ thống, chúng ta có thể tiến hành thảo luận về các phương pháp giảm thiểu rủi ro mà các cuộc
tấn công như cũng như các mối đe dọa ngẫu nhiên như vi rút và sâu, sẽ thành công. Các phần sau
thảo luận về các loại kiểm soát phòng ngừa, phát hiện và khắc phục chính được liệt kê trong
Bảng 8-1. tổ chức sử dụng để cung cấp an toàn thông tin thông qua quốc phòng chuyên sâu.
BẢO VỆ TÀI NGUYÊN THÔNG TIN
Phần này thảo luận về các biện pháp kiểm soát phòng ngừa, phát hiện và khắc phục được liệt kê
trong Bảng 8-1 mà các tổ chức thường sử dụng để bảo vệ tài nguyên thông tin. Như Hình 8-3 cho
thấy, các biện pháp kiểm soát phòng ngừa khác nhau này phù hợp với nhau như các mảnh ghép
trong một trò chơi xếp hình để cung cấp chung quốc phòng-chiều sâu. Mặc dù tất cả các phần
đều cần thiết, chúng tôi thảo luận về thành phần "con người" đầu tiên vì nó là quan trọng nhất.
Ban quản lý phải tạo ra một "ý thức bảo mật" văn hóa và nhân viên phải được đào tạo để tuân
theo các chính sách bảo mật và thực hành tính toán an toàn hành vi cư xử.