Professional Documents
Culture Documents
2
NỘI DUNG
3
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
Rủi ro (risk) là các sự kiện ảnh hƣởng xấu tới mục
tiêu, làm mục tiêu không đạt đƣợc.
Rủi ro bắt nguồn từ bên trong nội bộ doanh nghiệp
hoặc bên ngoài doanh nghiệp; từ các nguyên nhân:
gian lận, sai sót hoặc các nguyên nhân khách quan
không thể kiểm soát (VD: bão lụt, động đất, sự cố
chính trị,…).
Đối với hệ thống thông tin các nguyên nhân trên
dẫn tới rủi ro nhƣ mất tài sản, hƣ tài sản, hệ thống
thiết bị truyền thông, mất thông tin/dữ liệu, sai lệch,
ăn cắp, sửa chữa thông tin/dữ liệu.
4
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
GIAN LẬN
Lấy cắp, che giấu, chuyển đổi sang ngƣời khác
Tham ô tài sản
Công bố sai thông tin tài chính
Mục tiêu của gian lận
Tiền
Tài sản hữu hình
Thông tin
5
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
Nguyên nhân gian lận (nghiên cứu Donald R.Cressey
1919-1987)
Phạm tội Quan điểm
Cơ Thái
hội độ
Gian
lận
Áp lực
Tài chính
Áp
lực
6
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
PHÂN LOẠI GIAN LẬN
Loại gian lận Đặc điểm
Gian lận quản Làm nổi bật BCTC
lý •Đƣợc chỉ đạo bởi nhà quản lý cấp cao
•Liên quan đến các nghiệp vụ phức tạp và cơ cấu
tổ chức
•Sự lạm quyền
Gian lận nhân •Lấy cắp hàng tồn kho hay tiền
viên •Gian lận trên tài khoản nợ phải trả trên bảng
thanh toán lƣơng hay trên các tài khoản chi phí
•Kỹ thuật: Gian lận trƣớc hay sau khi ghi sổ kế
toán; thông đồng
7
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
8
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
Theo thống kê của Association of Certified Fraud
Examiners (Marsall Romnay, Paul Steinbart 2006),
ăn cắp tài sản nhiều gấp 17 lần gian lận báo cáo tài
chính, nhƣng mức độ thiệt hại của gian lận báo cáo
tài chính cao gấp nhiều lần thiệt hại của ăn cắp tài
sản.
9
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
GIỚI THIỆU COSO
COSO (the Committee of Sponsoring Organizations of Treadway
Commission) là một Ủy Ban thuộc Hội đồng Quốc gia Hoa Kỳ về
chống gian lận khi lập báo cáo tài chính đƣợc thành lập 1985 với mục
đích gia tăng chất lƣợng báo cáo tài chính dựa trên những vấn đề về đạo
đức kinh doanh, kiểm soát nội bộ hiệu quả và quản lý doanh nghiệp.
Tham gia COSO bao gồm:
Hiệp hội kế toán Mỹ - AAA (American Accounting Association),
Hiệp hội kế toán công chứng Mỹ - AICPA (American Institute of
Certified Public Accountants)
Hiệp hội kiểm toán nội bộ - IIA (Institute of Internal Auditors)
Hiệp hội kế toán quản trị - IMA (Institute of Management
Accountants)
Hiệp hội nhà quản lý tài chính – FEI (Financial Executive
Institute)
10
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
Năm 1992, COSO ban hành khuôn mẫu kiểm soát nội bộ
(Internal Control- Integrated Framework). Gồm 5 thành phần.
Khuôn mẫu này đƣa ra các định nghĩa kiểm soát nội bộ và các
hƣớng dẫn cho việc đánh giá và thực hiện gia tăng hệ thống
kiểm soát nội bộ. Báo cáo này nhanh chóng đƣợc chấp nhận
rộng rãi nhƣ những chuẩn mực về kiểm soát nội bộ và đƣợc
sử dụng để xây dựng các chính sách, nguyên tắc, áp dụng
các hoạt động kiểm soát.
Năm 2004, COSO ban hành báo cáo thứ 2: Enterprise Risk
Management: integrated Framework – Quản trị rủi ro doanh
nghiệp ( 8 thành phần –môi trƣờng nội bộ doanh nghiệp; thiết
lập mục tiêu; xác định sự kiện; đánh giá rủi ro; đáp trả rủi ro;
hoạt động kiểm soát, thông tin và truyền thông; và giám sát)
2006, COSO phát hành : “internal control over financial
reporting –guidance for small Public companies)
11
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
ĐỊNH NGHĨA KIỂM SOÁT NỘI BỘ THEO COSO
Kiểm soát nội bộ là một quá trình do ban giám đốc,
nhà quản lý và các nhân viên của đơn vị chi phối, đƣợc
thiết lập để cung cấp một sự đảm bảo hợp lý nhằm thực
hiện ba mục tiêu
Báo cáo tài chính tin cậy
Các luật lệ và qui định đƣợc tuân thủ
Hoạt động hữu hiệu và hiệu quả
12
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
PHÂN TÍCH ĐỊNH NGHĨA KSNB
KSNB là một quá trình
Lan tỏa khắp các hoạt động của đơn vị
Là một phần cơ bản của hoạt động quản trị
Yếu tố con ngƣời
Bất cẩn, sơ sót con ngƣời
Gian lận: thông đồng hoặc lạm quyền quản lý
Khả năng nhận biết con ngƣời: Kiểm soát chỉ thiết kế cho những
gian lận, sai sót nhìn thấy trƣớc
KSNB cung cấp sự đảm bảo hợp lý
Sự cung cấp hoàn toàn chính xác là khó đạt đƣợc
Giới hạn về chi phí
KSNB là có giới hạn
Sự nhạy cảm của một số sai sót hay gian lận
Sai sót về đánh giá, ra quyết định bị che giấu
13
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
Vai trò của KSNB
Hỗ trợ đạt mục tiêu
Hạn chế sự không chắc chắn
Giúp doanh nghiệp phát triển trong môi trƣờng cạnh
tranh thay đổi nhanh chóng
Hỗ trợ doanh nghiệp đáp ứng nhu cầu của khách
hàng và phát huy đƣợc ƣu thế
14
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
CÁC THÀNH PHẦN KIỂM SOÁT NỘI BỘ
15
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
MÔI TRƢỜNG KIỂM SOÁT
Là các nhân tố phản ánh sắc thái chung của đơn vị, chi
phối ý thức kiểm soát của mỗi thành viên. Môi trƣờng
kiếm soát bao gồm:
Vấn đề nhận thức, quan điểm và thái độ của ngƣời
quản lý liên quan đến vấn đề kiểm soát
Trình độ, nhận thức của nhân viên về KSNB
16
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
MÔI TRƢỜNG KIỂM SOÁT
Các nhân tố của môi trƣờng KS bao gồm:
Triết lý quản lý và phong cách hoạt động
Cơ cấu tổ chức
Phƣơng pháp ủy quyền
Khả năng đội ngũ nhân viên
Chính sách nguồn nhân lực
Sự trung thực và các giá trị đạo đức
Hội đồng quản trị và Ban kiểm soát
17
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
ĐÁNH GIÁ RỦI RO
Đánh giá rủi ro là việc nhận diện rủi ro; phân tích
mức độ và khả năng rủi ro xảy ra ảnh hƣởng tới
mục tiêu kiểm soát
18
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
ĐÁNH GIÁ RỦI RO
Mục tiêu
21
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
ĐÁNH GIÁ RỦI RO
Ví dụ: Hoạt động bán hàng đƣợc thực hiện nhƣ sau:
Sau khi nhận đƣợc đặt hàng của khách hàng, nhân viên bán
hàng lập lệnh bán hàng gửi cho kho hàng, và gửi cho kế toán
lập hóa đơn. Căn cứ lệnh bán hàng thủ kho xuất hàng cho
khách hàng; kế toán lập hóa đơn bán hàng cho khách hàng
dựa trên lệnh bán hàng.
Yêu cầu:
1. Qui trình trên có đảm bảo mục tiêu hoạt động bán hàng
hiệu quả không? Sự kiện gì không đáp ứng mục tiêu này?
2. Qui trình trên có đảm bảo mục tiêu báo cáo tài chính
không? Sự kiện gì không đáp ứng mục tiêu này? Rủi ro gì?
22
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
HOẠT ĐỘNG KIỂM SOÁT
Theo mục đích kiểm soát:
Hoạt động kiểm soát •Kiểm soát ngăn ngừa
là các chính sách, thủ •Kiểm soát phát hiện
tục kiểm soát nhằm •Kiểm soát sửa chữa/ hay bù đắp
giảm thiểu rủi ro,
Theo chức năng kiểm soát
giúp đạt mục tiêu
•Phân chia trách nhiệm phù hợp
kiểm soát.
•Ủy quyền đúng đắn các nghiệp vụ và hoạt
động
•Kiểm soát chứng từ và sổ sách đầy đủ
•Kiểm soát an toàn vật chất và thông tin
•Kiểm soát độc lập việc thực hiện
Theo phạm vi kiểm soát hệ thống thông
tin:
•Kiểm soát chung
•Kiểm soát ứng dụng
23
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
PHÂN CHIA TRÁCH NHIỆM HỢP LÝ
Mục tiêu: Hạn chế cơ hội sai sót, gian lận
Nguyên tắc: Phân chia trách nhiệm hợp lý
Không để một cá nhân nắm tất cả các chức năng của
một nghiệp vụ, các khâu công việc của một qui trình
nghiệp vụ từ khi phát sinh cho đến khi kết thúc
Tách biệt các chức năng:
Xét duyệt nghiệp vụ
Thực hiện nghiệp vụ
Ghi chép nghiệp vụ
Bảo vệ tài sản liên quan nghiệp vụ
24
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
PHÂN CHIA TRÁCH NHIỆM HỢP LÝ
25
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
ỦY QUYỀN XÉT DUYỆT HOẠT ĐỘNG
Mục tiêu: Tất cả nghiệp vụ thực hiện trong đơn vị đều
đƣợc xét duyệt, xác nhận từ cá nhân hay bộ phận có
thẩm quyền
Ủy quyền là việc trao quyền hạn cho một cá nhân
hay bộ phận thực hiện một quyết định hay một hoạt
động nào đó.
Bất cứ hoạt động kinh tế nào cũng cần đƣợc ủy
quyền/xét duyệt và nên thực hiện bằng văn bản để
đảm bảo hoạt động nằm trong tầm kiểm soát của
ngƣời quản lý và không gây hậu quả bất lợi cho
doanh nghiệp
26
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
ỦY QUYỀN XÉT DUYỆT HOẠT ĐỘNG
Có 2 phƣơng pháp ủy quyền
Ủy quyền chung bằng chính sách (hay xét duyệt
chung): với các hoạt động có điều kiện rõ ràng,
thƣờng xuyên xảy ra và giá trị hay tầm mức ảnh
hƣởng nhỏ
Ủy quyền cụ thể (xét duyệt cụ thể) các hoạt động ít
khi xảy ra, chƣa có điều kiện rõ ràng, giá trị hay tầm
mức ảnh hƣởng lớn
Cần phân chia trách nhiệm xét duyệt. Cấp quản lý càng
cao thì quyền hạn và trách nhiệm xét duyệt càng quan
trọng, giá trị càng lớn
27
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
CHỨNG TỪ VÀ SỔ SÁCH ĐẦY ĐỦ
Vai trò
Ghi nhận nghiệp vụ
Cung cấp thông tin
Kiểm soát
Thủ tục
Mọi nghiệp vụ đều phải lập chứng từ và lập ngay tại
thời điểm phát sinh
Mọi chứng từ đều phải đƣợc ký duyệt bởi ngƣời có
thẩm quyền
Đánh số trƣớc, liên tục
Có số hiệu tham chiếu
Mọi chứng từ đều phải đƣợc ghi chép đầy đủ
28
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
KIỂM SOÁT AN TOÀN VẬT CHẤT VÀ THÔNG TIN
Là các hoạt động kiểm soát nhằm đảm bảo các tài sản vật
chất và thông tin của doanh nghiệp đƣợc bảo vệ chặt chẽ;
đảm bảo sự tồn tại, chất lƣợng của tài sản vật chất, thông tin
Thủ tục kiểm soát:
Hạn chế tiếp cận: Phân chia trách nhiệm đầy đủ, hợp lý;
thiết bị để hạn chế tiếp cận vật lý;
Qui định sử dụng, bảo quản hiện vật, thông tin
Ghi chép và theo dõi các biến động hiện vật, thông tin
Sử dụng chứng từ lƣu lại dấu vết quá trình sử dụng hiện
vật, thông tin: xét duyệt, sử dụng, nhập liệu,…
Kiểm kê hiện vật; báo cáo tình hình hiện vật
Thiết bị bảo vệ, quan sát hiện vật, thông tin
29
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
KIỂM SOÁT VẬT CHẤT
Sử dụng thiết bị: Máy tính tiền, POS,Camera,..
Hạn chế tiếp cận tài sản: Quy định khóa, bảo vệ
Kiểm kê tài sản:
Phát hiện mất mát, hƣ hỏng
Ghi chép trung thực
Nâng cao trách nhiệm
Bảo vệ thông tin
Nhận thức
Password
Lƣu trữ
Truyền tải
30
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
KIỂM SOÁT ĐỘC LẬP VIỆC THỰC HIỆN
Mục tiêu: Kiểm soát độc lập nhằm đảm bảo hoạt động
đƣợc thực hiện đúng, đảm bảo đạt mục tiêu. Việc kiểm
soát độc lập cần đƣợc thực hiện bởi ngƣời khác với
ngƣời thực hiện các hoạt động
Nguyên nhân
Không tuân thủ quy định
Hoạt động không đƣợc thực hiện đúng và đầy đủ
Nguyên tắc: Ngƣời kiểm tra phải độc lập với ngƣời thực
hiện
31
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
KIỂM SOÁT ĐỘC LẬP VIỆC THỰC HIỆN
Các thủ tục kiểm soát độc lập:
Soát xét của ban quản lý cấp cao và các cấp quản lý cấp
trung, bộ phận thông qua xem xét đánh giá báo cáo thực
hiện
Phân tích rà soát
Đối chiếu các nguồn ghi chép độc lập
So sánh thực tế và ghi chép: Đối chiếu, kiểm kê
Sử dụng một ngƣời độc lập khác kiểm tra hay thực hiện
lại nghiệp vụ tính toán lại các số liệu
Sử dụng nguyên tắc ghi kép kế toán
Phân tích báo cáo
Kiểm tra tổng lô
32
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
PHÂN TÍCH RÀ SOÁT
Phát hiện biến động bất thƣờng, xác định nguyên
nhân và tìm biện pháp
Thực hiện qua phân tích, đối chiếu, tính các tỷ số tài
chính
33
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
Ví dụ phân tích rà soát
BẢNG BÁO CÁO GIÁ THÀNH SẢN PHẨM
Kỳ tháng 05/2004
34
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
KẾT LUẬN HOẠT ĐỘNG KIỂM SOÁT
Hoạt động kiểm soát/ Thủ tục kiểm soát thích hợp,
gắn kèm cùng quá trình quản lý; nó là công cụ giúp
quản lý đạt mục tiêu
Hoạt động kiểm soát cần mang tính thực tế, phù hợp
tình huống cụ thể của doanh nghiệp, giúp doanh
nghiệp đạt mục tiêu
35
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
THÔNG TIN, TRUYỀN THÔNG
Mục tiêu
Đánh giá, quản lý, kiểm soát tính hữu hiệu và hiệu
quả của hoạt động thông qua thông tin phản hồi
Yêu cầu
Ghi chép tất cả các nghiệp vụ/ Sự kiện
Phân loại nghiệp vụ rõ ràng
Phản ánh đúng nghiệp vụ về mặt giá trị
Ghi nhận nghiệp vụ đúng kỳ
Trình bày và công bố đầy đủ
36
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
THÔNG TIN, TRUYỀN THÔNG
Thông tin: Truyền thông
Loại thông tin gì cần Truyền đạt, trao đổi thông
thu thập xử lý, truyền tin giữa các đối tƣợng liên
thông quan
o Trong nội bộ,
o Với bên ngoài
o Phƣơng pháp truyền
Phƣơng pháp xử lý thông
thông tin Cung cấp cho nhân viên
hiểu vai trò, trách nhiệm
liên quan tới các chính
sách, thủ tục kiểm soát
37
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
GIÁM SÁT
Đánh giá chất lƣợng của các thành phần khác của hệ
thống KSNB và điều chỉnh phù hợp
Đánh giá thƣờng xuyên
Các chƣơng trình đánh giá định kỳ
Thực hiện:
Kiểm toán nội bộ, kiểm toán độc lập,
Thu thập thông tin bên ngoài
Hệ thống kế toán trách nhiệm
Các hoạt động giám sát của ngƣời quản lý
38
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
KSNB trong doanh nghiệp nhỏ
Đặc điểm doanh nghiệp nhỏ: qui mô, tài chính, khả
năng đáp ứng các nguyên tắc KSNB; ngƣời chủ cũng có
thể là ngƣời quản lý
Các tài liệu hệ thống, doanh nghiệp bằng văn bản có thể
không đầy đủ. Ví dụ “qui tắc ứng xử”, “chính sách nhân
sự” hoặc “mục tiêu, sứ mạng doanh nghiệp” hoặc “qui
trình/thủ tục hoạt động” hoặc sơ đồ cơ cấu tổ chức, bảng
mô tả công việc; lƣu đồ v.v..
Khó áp dụng nguyên tắc phân chia trách nhiệm đầy đủ
Việc truyền thông có thể thực hiện trực tiếp giữa ngƣời
quản lý và nhân viên
39
4.1. Tổng quan kiểm soát nội bộ HTTTKT
4.1.1. Khái niệm kiểm soát nội bộ
KSNB trong doanh nghiệp nhỏ
Các vấn đề KSNB cần lƣu ý:
Cần tạo đƣợc môi trƣờng kiểm soát tốt thông qua xác định văn hóa
doanh nghiệp và giá trị đạo đức chuẩn mực trong doanh nghiệp.
Giám đốc điều hành, chủ doanh nghiệp trực tiếp tham gia các hoạt
động nhận dạng, đánh giá rủi ro hoặc thực hiện các hoạt động
giám sát, kiểm soát
Nên xây dựng ban quản trị doanh nghiệp
Thƣờng xuyên tạo kênh truyền thông tốt hai chiều với nhân viên
Tăng cƣờng các hoạt động thanh toán qua ngân hàng; sử dụng hệ
thống thông tin tin học hóa.
Tăng cƣờng các hoạt động giám sát kiểm tra bằng cách phân tích
rà soát
Xây dựng hệ thống chứng từ đầy đủ;
Chú trọng kiểm soát vật chất
40
4.1. Kiểm soát nội bộ trong HTTTKT
4.1.2. Đặc điểm kiểm soát nội bộ trong HTTTKT
Mục tiêu
Hệ thống
thông tin tin
cậy
Thông tin
Qui trình xử lý
thông tin
• Môi trƣờng
hệ thống Ngƣời Dữ liệu Công nghệ
41
4.1. Kiểm soát nội bộ trong HTTTKT
4.1.2. Đặc điểm kiểm soát nội bộ trong HTTTKT
Theo AICPA
Hệ thống thông tin tin cậy và CICA)
Tạo ra
Bảo vệ Thông tin Thông tin cá nhân Dữ liệu đƣợc xử lý Hệ thống sẵn
quan trọng khỏi đƣợc thu thập và chính xác, đầy đủ, sàng khi có
công bố không sử dụng, công bố kịp thời, đúng qui nhu cầu sử
đƣợc phép đúng luật trình dụng
An ninh hệ thống- security (KS các truy cập tới dữ liệu và hệ thống )
42
4.1. Kiểm soát nội bộ trong HTTTKT
4.1.2. Đặc điểm kiểm soát nội bộ trong HTTTKT
Đặc điểm
Thiết bị
43
4.1. Kiểm soát nội bộ trong HTTTKT
4.1.2. Đặc điểm kiểm soát nội bộ trong HTTTKT
Thông tin
Đặc điểm
• Ngƣời sử dụng tạo trực tiếp thông tin từ CSDL
• Truyền thông thông tin bằng nhiều cách
47
4.1. Kiểm soát nội bộ trong HTTTKT
4.1.2. Đặc điểm kiểm soát nội bộ trong HTTTKT
Con ngƣời
Đặc điểm
• Kết hợp nhiều chức năng trong hoạt động xử lý ứng dụng
CNTT
• Đòi hỏi ngƣời sử dụng cả kỹ năng chuyên môn và kỹ năng
hệ thống
Chú ý
• Phân chia trách nhiệm
• Môi trƣờng kiểm soát
48
4.1. Kiểm soát nội bộ trong HTTTKT
4.1.3. Ý nghĩa kiểm soát nội bộ trong HTTTKT
Rủi ro với hệ thống ứng dụng CNTT
Rủi ro bắt nguồn từ bên ngoài
Thảm họa tự nhiên
Chính trị, chiến tranh
Phá hoại
Tội phạm máy tính
Rủi ro bắt nguồn từ nội bộ
Phần mềm và thiết bị hƣ, không hoạt động
Bất cẩn, sai sót trong qui trình thực hiện; do huấn
luyện hoặc giám sát không tốt.
Gian lận tài sản; gian lận báo cáo tài chính và gian
lận hệ thống máy tính
49
4.1. Kiểm soát nội bộ trong HTTTKT
4.1.3. Ý nghĩa kiểm soát nội bộ trong HTTTKT
Gian lận tài sản
Thu tiền Chi tiền Tài sản phi tiền tệ
• Thu tiền nhƣng • Thanh toán hóa đơn • Ăn cắp hàng từ kho
không ghi sổ mua khống hàng hoặc quầy bán hàng
• Thu tiền nhƣng ghi hóa, dịch vụ • Sử dụng tài sản công
chậm • Yêu cầu thanh toán ty cho mục đích cá
• Ghi sổ tiền thu nhƣng chi phí đi lại không nhân
không nộp tiền vào có thực • Lấy cắp thông tin bí
quỹ • Đánh cắp SEC trắng, mật công ty và bán
• Xóa nợ phải thu giả mạo chữ ký cho đối thủ hoặc tổ
• Tính lƣơng nhân viên chức khác.
không có thực (khai • Đánh cắp hoặc
khống giờ, ghi thêm chuyển cổ phiếu,
nhân viên ảo) chứng khoán của
• Lấy cắp, biển thủ tiền doanh nghiệp vào tài
tồn quỹ khoản cá nhân
50
4.1. Kiểm soát nội bộ trong HTTTKT
4.1.3. Ý nghĩa kiểm soát nội bộ trong HTTTKT
Gian lận báo cáo tài chính
Mục tiêu:
Lừa đối ngƣời sử dụng báo cáo: Thông tin sai lệch che giấu
lỗ, tạo giá trị không có thực
Phƣơng pháp:
Che giấu công nợ -> giảm chi phí -> tăng lợi nhuận: Không
ghi nhận nợ phải trả và chi phí; Vốn hóa các khoản chi phí
không đƣợc vốn hóa;
Ghi nhận doanh thu không có thực:
1. Tạo khách hàng ảo, lập chứng từ bán hàng giả mạo,
năm sau lập bút toán hàng bị trả lại;
2. Ghi tăng các yêu tố trên hóa đơn: số lƣợng, đơn giá, kỳ
sau điều chỉnh lại;
3. Ghi nhận doanh thu khi hoạt động giao hàng hay tiêu
thụ hàng chƣa đƣợc đáp ứng.
51
4.1. Kiểm soát nội bộ trong HTTTKT
4.1.3. Ý nghĩa kiểm soát nội bộ trong HTTTKT
Gian lận báo cáo tài chính
Không khai báo đầy đủ thông tin -> hạn chế khả
năng phân tích ngƣời sử dụng báo cáo
Định giá sai tài sản, phân loại tài sản sai; không ghi
giảm giá trị hàng tồn kho đã hƣ hỏng, không lập dự
phòng phải thu khó đòi
Ghi sai niên độ doanh thu, chi phí -> lợi nhuận tăng
giảm
52
4.1. Kiểm soát nội bộ trong HTTTKT
4.1.3. Ý nghĩa kiểm soát nội bộ trong HTTTKT
Gian lận máy tính
Mục tiêu:
Lấy cắp thông tin bí mật hoặc thông tin khách hàng
Che giấu các ăn cắp hoặc gian lận tài sản
Sai lệch báo cáo tài chính
Thỏa mãn tính tự cao, kiến thức; Trả thù cá nhân, bất mãn
Làm lợi tài chính cá nhân bằng cách vi phạm bản quyền
phần mềm; Sử dụng máy tính cho công việc cá nhân
Phƣơng pháp :
Phá hủy thiết bị lƣu trữ, xử lý và chƣơng trình ứng dụng
Lấy cắp thiết bị, chƣơng trình
Sửa chƣơng trình ứng dụng
Phá hủy CSDL
53
4.1. Kiểm soát nội bộ trong HTTTKT
4.1.3. Ý nghĩa kiểm soát nội bộ trong HTTTKT
Rủi ro trong HTTTKT
Rủi ro toàn HT TTKT
Sử dụng HT
Bảo dƣỡng HT
Nhập liệu
Xử lý dữ liệu
55
4.2. Thủ tục kiểm soát trong HTTTKT
56
4.2. Thủ tục kiểm soát trong HTTTKT
• Kế hoạch dự phòng
Quá trình
Dữ liệu nhập liệu
đầu vào
KS kết
KS nhập quả xử lý
KS nhập liệu
liệu 58
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.1. Kiểm soát đầu vào
Kiểm soát chung - Chiến lƣợc, kế hoạch chung hệ thống
Thiết lập kế hoạch và chiến lƣợc phát triển hệ thống: Cần
phù hợp chiến lƣợc phát triển doanh nghiệp
Xây dựng kế hoạch nhân sự :
Tuyển dụng, huấn luyện, đào tạo
Phân chia trách nhiệm
Sử dụng: đánh giá, khen thƣởng, thăng tiến, nghỉ phép,
nghỉ làm
Xây dựng chính sách thu thập, sử dụng và công bố thông tin
khách hàng
Truyền thông kế hoạch này bằng văn bản cũng nhƣ qua quá
trình huấn luyện và đánh giá nhân viên
59
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.1. Kiểm soát đầu vào
Kiểm soát chung - Kiểm soát con ngƣời
60
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.1. Kiểm soát đầu vào
Kiểm soát phân chia trách nhiệm
Nhắc lại nguyên tắc phân chia trách nhiệm
Ứng dụng trong môi trƣờng ứng dụng CNTT
Ngƣời sử dụng khác ngƣời trong bộ phận IT
Phân chia trách nhiệm nhóm ngƣời sử dụng
Phân chia trách nhiệm nhóm ngƣời bộ phận IT
61
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.1. Kiểm soát đầu vào
Kiểm soát chung - Phân chia trách nhiệm
Nhân viên
Sử dụng Phụ trách IT
an ninh
Đảm bảo
KS dữ liệu
chất lƣợng
Ks mạng và
truyền Thƣ viện
thông
Hoạt động
Quản trị
máy tính
CSDL 62
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.1. Kiểm soát đầu vào
Kiểm soát chung - Phân chia trách nhiệm
Xét duyệt – thực hiện – ghi chép – bảo vệ tài sản
Trong môi trƣờng Ai xét duyệt
ứng dụng CNTT: Ai thực hiện hoạt động
kinh tế
Hệ thống kế toán
riêng lẻ Ai ghi chép hoạt động
kinh tế: thu thập –
Hệ thống kế toán
chuyển DL hệ thống-
tích hợp
xử lý DL
Ai bảo vệ tài sản
65
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.2. Kiểm soát quá trình
Kiểm soát chung - Kiểm soát truy cập
Mục tiêu: Đảm bảo an toàn cho dữ liệu, thông tin và chƣơng trình
Kiểm soát
Phân chia trách nhiệm theo từng cấp hoạt động và chức năng
Phân chia trách nhiệm theo mức độ truy cập
Nhận dạng NSD: account user, đặc điểm sinh học (sinh trắc học):
vân tay, giọng nói
Mật mã truy cập
Thiết lập ít nhất 8 ký tự
Nên có ký tự không phải là chữ và số
Thẻ thông minh (Smart Card)
Mã thông báo an ninh (a USB security Token)
Mã hóa dữ liệu (encryption)
Sử dụng tập tin phân quyền truy cập và ghi nhận thông tin truy cập
66
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.2. Kiểm soát quá trình
Kiểm soát chung - Kiểm soát lƣu trữ dữ liệu
Mục tiêu: Đảm bảo an toàn dữ liệu lƣu trữ
Kiểm soát:
Phân loại dữ liệu theo mức độ yêu cầu bảo vệ
Ghi dữ liệu dự phòng: định kỳ thời gian; phƣơng pháp ghi dự phòng loại
dữ liệu theo mức độ yêu cầu bảo vệ
Ghi dự phòng đầy đủ dữ liệu
Ghi dự phòng đầy đủ các chƣơng trình
Kiểm tra nội dung ghi dự phòng: chính xác, đầy đủ
Ghi dự phòng định kỳ: kiểu tự động, kiểu ông – cha - con
Lƣu trữ bản dự phòng ở nơi ngoài DN
Sử dụng thiết bị: nguồn cung cấp điện liên tục (UPS) hay nguồn cung
cấp điện khẩn cấp (EPS)
Tạo nhãn tập tin: nhãn bên ngoài và nhãn do máy tạo ra
Môi trƣờng thuận lợi nơi lƣu trữ dữ liệu
Kiểm tra dữ liệu lƣu trữ thƣờng xuyên
67
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.2. Kiểm soát quá trình
Kiểm soát chung - Kiểm soát sửa chữa dữ liệu
Sửa chữa phải để lại dấu vết kiểm toán, đƣợc xét duyệt/
ủy quyền
Hạn chế chỉnh sửa dữ liệu trực tiếp
Không đƣợc sửa, xóa dữ liệu khi đã chuyển sổ cái, kết
chuyển KQKD, …
Khi điều chỉnh dữ liệu phải sử dụng các phƣơng pháp:
bút toán đảo, ghi bổ sung, bút toán ghi số âm
Sử dụng chứng từ sửa sổ nhƣ kế toán thủ công
PM phải có tính năng tự động ghi nhận việc truy cập hệ
thống, thêm, sửa, xóa dữ liệu
KT tổng hợp không đƣợc chỉnh sửa dữ liệu của kế toán
chi tiết
68
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.2. Kiểm soát quá trình
Kiểm soát chung - Kiểm soát truyền thông dữ liệu
Mục tiêu
Giảm sai sót và mất cắp dữ liệu trong quá trình
truyền tải
Kiểm soát
Gọi kiểm tra ngƣợc
Mã hóa thông tin trong quá trình truyền dữ liệu
69
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.2. Kiểm soát quá trình
Kiểm soát chung - Kiểm soát thiết bị lƣu trữ dữ liệu
Bảo vệ máy tính cá nhân, máy tính mạng và kiểm
soát internet
Tăng cƣờng giám sát sử dụng máy tính
Sử dụng phần mềm, giải pháp bảo mật, chống virus
Thiết bị cảnh báo, giám sát, PCCC
Giới hạn truy cập từ xa
Huấn luyện ngƣời dùng: sử dụng, vận hành, phòng
chống virus,…
Mã hóa dữ liệu
Kiểm soát truy cập giữa các hệ thống mạng
70
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.2. Kiểm soát quá trình
Kiểm soát chung - Kiểm soát thâm nhập về mặt vật lý
Mục tiêu KS: An toàn HT thiết bị, phần mềm, phƣơng tiện truyền thông
Thủ tục:
Hạn chế tiếp cận hiện vật, phần mềm: qui định, thiết bị kiểm soát
An toàn kỹ thuật: thƣờng đƣợc thiết kế trong thiết bị
An toàn sử dụng
Tạo môi trƣờng tốt nơi đặt thiết bị: nhiệt, độ ẩm, điện năng
Tài liệu hƣớng dẫn sử dụng và xử lý khi thiết bị trục trặc hƣ hỏng
Các thiết bị lƣu trữ ngoài phải đƣợc kiểm tra an toàn trƣớc sử dụng
Cài đặt các phần mềm kiểm soát an toàn hệ thống và dữ liệu
Thƣờng xuyên kiểm tra phát hiện kịp thời hƣ hỏng, sai sót để thay thế
sửa chữa thiết bị phù hợp
Thƣờng xuyên kiểm tra, phân tích kết quả xử lý -> phát hiện sửa chữa
phần mềm
Mua bảo hiểm hệ thống
71
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.2. Kiểm soát quá trình
Kiểm soát chung - Lập kế hoạch dự phòng
Mục tiêu: Đảm bảo HT hồi phục nhanh khi thiên tai, hoả hoạn, phá
hoại hoặc những bất trắc xảy ra
Kiểm soát
Mua bảo hiểm tài sản cho hệ thống và trung tâm dữ liệu
Lập KH dự phòng
Tạo vị trí xử lý dự phòng; Vị trí lƣu trữ DL dự phòng; Hoặc hệ thống dự
phòng khác
Lƣu trữ dự phòng thƣờng xuyên
Xác định các hệ thống ứng dụng quan trọng. Ƣu tiên kiểm soát và khôi
phục trƣớc
Phân chia trách nhiệm thực hiện kế hoạch dự phòng và khôi phục trung
tâm dữ liệu: Nhân sự, qui trình
Huấn luyện nhân viên trƣờng hợp cấp khẩn cấp
Thƣờng xuyên đánh giá và cập nhật kế hoạch dự phòng
72
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.2. Kiểm soát quá trình
Kiểm soát ứng dụng - Kiểm soát quá trình nhập liệu
Mục tiêu kiểm soát Kiểm soát
• Nhập chính xác DL đã • Kiểm soát DL hợp lệ: Phù hợp tính chất
thu thập nhập liệu
• Đầy đủ DL đã thu thập • Kiểm tra chính xác/ tăng hiệu quả nhập
• Đảm bảo tính toàn vẹn liệu:
của dữ liệu nhập − (1) Tự động/ mặc định dữ liệu;
− (2) Xuất hiện DL liên quan (có sẵn
• Kịp thời trong CSDL)
• Hiệu quả • Sử dụng tổng kiểm soát (nhập theo lô)
• Đánh dấu chứng từ (DL) đã đƣợc nhập
• Sử dụng thiết bị quét, thu thập DL tự
động từ nguồn: máy tính tiền, POS,…
• Thông báo lỗi và hƣớng dẫn sửa lỗi
73
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.2. Kiểm soát quá trình
Kiểm soát ứng dụng - Kiểm soát quá trình nhập liệu
Kiểm soát dữ liệu hợp lệ
Dữ liệu hợp lệ là các dữ liệu đảm bảo phù hợp với yêu cầu vùng dữ liệu
lƣu trữ, đƣợc kiểm soát bằng chƣơng trình kiểm tra (test program)
Các kiểm soát hợp lệ chủ yếu
Kiểm tra kiểu vùng DL (field check): kiểu text, number,…
Kiểm tra dấu (sign check): số âm, số dƣơng
Kiểm tra giới hạn (limit check/ a range check): thời gian, hàng tồn kho
Kiểm tra độ dài vùng DL (size check):
Kiểm tra có thực/ hợp lệ DL ( a validity check): Căn cứ một số vùng
DL liên quan
Kiểm tra hợp lý DL (a reasonableness test): giá trị các vùng DL hợp lý
Kiểm tra đầy đủ DL ( a completeness check): không đƣợc để trống
Kiểm tra nhập trùng: Căn cứ một số vùng DL liên quan
74
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.2. Kiểm soát quá trình
Ví dụ minh họa kiểm soát hợp lệ
VÍ DỤ BẢNG KÊ BÁN HÀNG
SỐ NỘI MÃ MÃ SỐ ĐƠN
HĐ NGÀY HĐ DUNG KH HH LƢỢNG GIÁ TIỀN
21 02/02/2008 01 A 100 1.000 100.000
22 01/02/2008 02 B 200 5.000 1.000.000
23 14/02/2008 01 A 300 3.000 900.000
18 28/01/2007 02 C 200 3.000 600.000
25 30/02/2008 06 D 1000 3.000 3.000.000
76
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.2. Kiểm soát quá trình
Ví dụ tổng số kiểm soát
77
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.2. Kiểm soát quá trình
Kiểm soát ứng dụng - Kiểm soát quá trình xử lý dữ liệu
Mục tiêu: Đảm bảo DL đƣợc xử lý đúng; Ngăn chặn, phát hiện và xử lý
sai sót trong quá trình chuyển dữ liệu thành thông tin
Kiểm soát
Kiểm soát sự phù hợp DL (Data matching). Ví dụ: thông tin hóa đơn có
phù hợp với đặt hàng và nhận hàng trƣớc khi xử lý hóa đơn.
Kiểm soát sự toàn vẹn xử lý CSDL (Kiểm soát cập nhật xảy ra cùng một
lúc- concurrent update controls). Khi hai hoặc nhiều ngƣời sử dụng cập
nhật cùng lúc một mẩu tin. Hệ thống tạm khóa 1 ngƣời sử dụng để đảm
bảo việc cập nhật này đƣợc thực hiện tuần tự.
Kiểm tra ràng buộc toàn vẹn DL
Kiểm tra dữ liệu hiện hữu (loại bỏ trƣờng hợp đối tƣợng không
hoạt động tồn tại trong danh mục xử lý)
BC liệt kê các yếu tố bất thƣờng
Đối chiếu dữ liệu ngoài hệ thống
78
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.2. Kiểm soát quá trình
Xử lý theo lô
Mục tiêu: Đảm bảo DL đƣợc xử lý đúng; không tự động tạo thêm hay bỏ
bớt mẫu tin
Kiểm soát (thêm ngoài các kiểm soát slide trƣớc)
Kiểm soát sắp xếp theo trình tự.
Xử lý theo lô yêu cầu các mẫu tin đƣợc sắp xếp theo trình tự giống
khóa chính tập tin chính để cập nhật tập tin
Kiểm soát từng bƣớc xử lý (Run-to-run Control)
Tổng số kiểm soát đƣợc thực hiện qua từng bƣớc gọi và gọi nó là
kiểm soát từng bƣớc xử lý. Và tổng này đƣợc so sánh với giá trị ở
mẩu tin Trailer record
Nhãn tập tin. Có 2 kiểu nhãn tập tin: header record (ở đầu mỗi tập tin,
chỉ tên tập tin, hạn cập nhật DL, DL nhận diện khác); Trailer record (ở
cuối tập tin, chứa tổng lô trong quá trình nhập liệu).
79
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.2. Kiểm soát quá trình
Ví dụ kiểm soát từng bƣớc xử lý
K.tra DL Sắp xếp Sắp xếp Cập nhật
Nhập liệu hợp lệ TT ngh.vụ TT ngh.vụ TT chính
80
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.3. Kiểm soát đầu ra
Kiểm soát ứng dụng - Kiểm soát thông tin đầu ra
Mục tiêu
Giảm sai sót đối với thông tin đầu ra và chuyển thông
tin đến đúng ngƣời sử dụng
Thủ tục
Phân quyền truy cập thông tin đầu ra
Xem xét kết xuất nhằm đảm bảo nội dung và hình thức
phù hợp với nhu cầu của NSD
Dựa vào dấu vết kiểm toán để kiểm tra nguồn gốc của
dữ liệu
Xây dựng quy trình chuyển giao thông tin đến đúng
NSD
81
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.3. Kiểm soát đầu ra
Kiểm soát ứng dụng - Kiểm soát kết quả xử lý
Mục tiêu:
• Đảm bảo kết quả xử lý chính xác
Kiểm soát:
• Kiểm tra bằng mắt tính logic, hợp lệ của DL
• Căn cứ dấu vết kiểm toán để kiểm tra lại nguồn gốc
dữ liệu (VD xem doanh thu đƣợc ghi nhận từ những
chứng từ nào)
• Đối chiếu với dữ liệu bên ngoài liên quan khác.
82
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.3. Kiểm soát đầu ra
Đánh giá kiểm soát hệ thống thông tin
Đánh giá kiểm soát hệ thống thông tin là hoạt động thực hiện
thƣờng xuyên hay định kỳ cho mục đích quản lý hoặc kiểm toán.
Nội dung đánh giá chính:
Đánh giá an ninh toàn bộ hệ thống
Phát triển / sửa chữa hệ thống, chƣơng trình xử lý có đƣợc
ủy quyền và tuân thủ đúng qui định
Xử lý nghiệp vụ kinh tế có đảm bảo đạt mục tiêu kiểm soát,
cung cấp thông tin tin cậy, kịp thời.
Nguồn dữ liệu: Các dữ liệu có thu thập chính xác, kịp thời,
tin cậy. Các dữ liệu nguồn không chính xác hay không đƣợc
ủy quyền đúng có đƣợc xử lý theo đúng chính sách quản lý
đã công bố.
Đảm bảo an toàn CSDL
Cung cấp thông tin
83
4.2. Thủ tục kiểm soát trong HTTTKT
4.2.3. Kiểm soát đầu ra
Đánh giá kiểm soát hệ thống thông tin
Đánh giá
• Thu thập tài liệu và thông tin về những nội dung cần đánh
giá: (1) Chính sách an ninh, kế hoạch phát triển, hồ sơ hệ
thống; (2) Thực hiện thực tế. Phƣơng pháp: Quan sát,
Bảng câu hỏi, Phỏng vấn.
• Xác định các đe dọa, rủi ro hệ thống
• Xác định các thủ tục kiểm soát có thể ngăn ngừa, phát
hiện rủi ro
• Đánh giá các thủ tục kiểm soát hiện hành để xác định các
yếu kém, các điểm mạnh KS hệ thống; các KS bù đắp.
84
4.3. Khuôn mẫu COBIT (The Control Objectives for
Information and related Technology)
- Khuôn mẫu này là khuôn mẫu «mở»,
- Có mức độ vận dụng nhiều nhất trên thế giới hiện nay,
- Cung cấp 34 mục tiêu kiểm soát ở mức độ cao, chia thành 4
mảng:
+ Hoạch định và tổ chức,
+ Tiến trình và ra quyết định,
+ Triển khai và hỗ trợ,
+ Kiểm soát và theo dõi.
- Khuôn mẫu này dễ vận dụng trong môi trƣờng CNTT.
- Các mục tiêu kiểm soát đƣợc chia thành 318 mục tiêu chi
tiết.
- COBIT không có kiểm soát ứng dụng, nội dung này đƣợc
lồng vào “triển khai và hỗ trợ”.
85
4.3.1. Hoạch định và tổ chức
86
4.3.2. Mua sắm và thực hiện
87
4.3.3. Triển khai và hỗ trợ
- Giám sát,
- Tính đầy đủ của kiểm soát nội bộ,
- Tính độc lập,
- Kiểm toán nội bộ.
89
Kiểm soát nội bộ