Ais 4

CHƢƠNG 4 :
KIỂM SOÁT NỘI BỘ

TRONG HTTTKT
Mục tiêu của chƣơng
 Nắm bắt các nội dung cơ bản về Kiểm soát nội bộ

 Nắm bắt cách thức tìm hiểu, đánh giá kiểm soát nội
bộ trong môi trƣờng máy tính
 Biết cách đánh giá tính kiểm soát của một hệ thống
kế toán máy tính
2
NỘI DUNG
4.1. Tổng quan kiểm soát nội bộ HTTTKT

4.2. Thủ tục kiểm soát trong HTTTKT
3
4.1.1. Khái niệm kiểm soát nội bộ
Rủi ro (risk) là các sự kiện ảnh hƣởng xấu tới mục
tiêu, làm mục tiêu không đạt đƣợc.
 Rủi ro bắt nguồn từ bên trong nội bộ doanh nghiệp
hoặc bên ngoài doanh nghiệp; từ các nguyên nhân:
gian lận, sai sót hoặc các nguyên nhân khách quan
không thể kiểm soát (VD: bão lụt, động đất, sự cố
chính trị,…).
 Đối với hệ thống thông tin các nguyên nhân trên
dẫn tới rủi ro nhƣ mất tài sản, hƣ tài sản, hệ thống
thiết bị truyền thông, mất thông tin/dữ liệu, sai lệch,
ăn cắp, sửa chữa thông tin/dữ liệu.
4
GIAN LẬN
 Lấy cắp, che giấu, chuyển đổi sang ngƣời khác
 Tham ô tài sản
 Công bố sai thông tin tài chính
 Mục tiêu của gian lận
 Tiền
 Tài sản hữu hình
 Thông tin
5
Nguyên nhân gian lận (nghiên cứu Donald R.Cressey
1919-1987)
Phạm tội Quan điểm
Cơ Thái
hội độ
Gian
lận
Áp lực
Tài chính
Áp
lực
6
PHÂN LOẠI GIAN LẬN
Loại gian lận Đặc điểm
Gian lận quản Làm nổi bật BCTC
lý •Đƣợc chỉ đạo bởi nhà quản lý cấp cao
•Liên quan đến các nghiệp vụ phức tạp và cơ cấu
tổ chức
•Sự lạm quyền
Gian lận nhân •Lấy cắp hàng tồn kho hay tiền
viên •Gian lận trên tài khoản nợ phải trả trên bảng
thanh toán lƣơng hay trên các tài khoản chi phí
•Kỹ thuật: Gian lận trƣớc hay sau khi ghi sổ kế
toán; thông đồng
7
Loại gian lận Đặc điểm

Gian lận khách •KH không thanh toán hay thanh toán không
hàng đầy đủ
•KH gian lận trong thẻ tín dụng, sec hay hàng
hoá
Gian lận NCC •NCC thu tiền khống
•NCC ghi nợ phải thu nhiều lần, lập hoá đơn sai,
giao thiếu hàng hay chất lƣợng hàng thấp
•NCC thông đồng với NV công ty
Gian lận máy •Hoạt động gián điệp nhằm lấy trộm thông tin
tính •Ăn cắp bản quyền phần mềm
8
 Theo thống kê của Association of Certified Fraud
Examiners (Marsall Romnay, Paul Steinbart 2006),
ăn cắp tài sản nhiều gấp 17 lần gian lận báo cáo tài
chính, nhƣng mức độ thiệt hại của gian lận báo cáo
tài chính cao gấp nhiều lần thiệt hại của ăn cắp tài
sản.
9
GIỚI THIỆU COSO
COSO (the Committee of Sponsoring Organizations of Treadway
Commission) là một Ủy Ban thuộc Hội đồng Quốc gia Hoa Kỳ về
chống gian lận khi lập báo cáo tài chính đƣợc thành lập 1985 với mục
đích gia tăng chất lƣợng báo cáo tài chính dựa trên những vấn đề về đạo
đức kinh doanh, kiểm soát nội bộ hiệu quả và quản lý doanh nghiệp.
Tham gia COSO bao gồm:
 Hiệp hội kế toán Mỹ - AAA (American Accounting Association),
 Hiệp hội kế toán công chứng Mỹ - AICPA (American Institute of
Certified Public Accountants)
 Hiệp hội kiểm toán nội bộ - IIA (Institute of Internal Auditors)
 Hiệp hội kế toán quản trị - IMA (Institute of Management
Accountants)
 Hiệp hội nhà quản lý tài chính – FEI (Financial Executive
Institute)
10
 Năm 1992, COSO ban hành khuôn mẫu kiểm soát nội bộ
(Internal Control- Integrated Framework). Gồm 5 thành phần.
Khuôn mẫu này đƣa ra các định nghĩa kiểm soát nội bộ và các
hƣớng dẫn cho việc đánh giá và thực hiện gia tăng hệ thống
kiểm soát nội bộ. Báo cáo này nhanh chóng đƣợc chấp nhận
rộng rãi nhƣ những chuẩn mực về kiểm soát nội bộ và đƣợc
sử dụng để xây dựng các chính sách, nguyên tắc, áp dụng
các hoạt động kiểm soát.
 Năm 2004, COSO ban hành báo cáo thứ 2: Enterprise Risk
Management: integrated Framework – Quản trị rủi ro doanh
nghiệp ( 8 thành phần –môi trƣờng nội bộ doanh nghiệp; thiết
lập mục tiêu; xác định sự kiện; đánh giá rủi ro; đáp trả rủi ro;
hoạt động kiểm soát, thông tin và truyền thông; và giám sát)
 2006, COSO phát hành : “internal control over financial
reporting –guidance for small Public companies)
11
ĐỊNH NGHĨA KIỂM SOÁT NỘI BỘ THEO COSO
Kiểm soát nội bộ là một quá trình do ban giám đốc,
nhà quản lý và các nhân viên của đơn vị chi phối, đƣợc
thiết lập để cung cấp một sự đảm bảo hợp lý nhằm thực
hiện ba mục tiêu
 Báo cáo tài chính tin cậy
 Các luật lệ và qui định đƣợc tuân thủ
 Hoạt động hữu hiệu và hiệu quả
12
PHÂN TÍCH ĐỊNH NGHĨA KSNB
KSNB là một quá trình
 Lan tỏa khắp các hoạt động của đơn vị
 Là một phần cơ bản của hoạt động quản trị
Yếu tố con ngƣời
 Bất cẩn, sơ sót con ngƣời
 Gian lận: thông đồng hoặc lạm quyền quản lý
 Khả năng nhận biết con ngƣời: Kiểm soát chỉ thiết kế cho những
gian lận, sai sót nhìn thấy trƣớc
KSNB cung cấp sự đảm bảo hợp lý
 Sự cung cấp hoàn toàn chính xác là khó đạt đƣợc
 Giới hạn về chi phí
KSNB là có giới hạn
 Sự nhạy cảm của một số sai sót hay gian lận
 Sai sót về đánh giá, ra quyết định bị che giấu
13
Vai trò của KSNB
 Hỗ trợ đạt mục tiêu
 Hạn chế sự không chắc chắn
 Giúp doanh nghiệp phát triển trong môi trƣờng cạnh
tranh thay đổi nhanh chóng
 Hỗ trợ doanh nghiệp đáp ứng nhu cầu của khách
hàng và phát huy đƣợc ƣu thế
14
CÁC THÀNH PHẦN KIỂM SOÁT NỘI BỘ
Môi trƣờng kiểm soát
Đánh giá Hoạt động Thông tin;

Giám sát
kiểm soát Truyền
rủi ro
thông
15
MÔI TRƢỜNG KIỂM SOÁT
Là các nhân tố phản ánh sắc thái chung của đơn vị, chi
phối ý thức kiểm soát của mỗi thành viên. Môi trƣờng
kiếm soát bao gồm:
 Vấn đề nhận thức, quan điểm và thái độ của ngƣời
quản lý liên quan đến vấn đề kiểm soát
 Trình độ, nhận thức của nhân viên về KSNB
16
MÔI TRƢỜNG KIỂM SOÁT
Các nhân tố của môi trƣờng KS bao gồm:
 Triết lý quản lý và phong cách hoạt động
 Cơ cấu tổ chức
 Phƣơng pháp ủy quyền
 Khả năng đội ngũ nhân viên
 Chính sách nguồn nhân lực
 Sự trung thực và các giá trị đạo đức
 Hội đồng quản trị và Ban kiểm soát
17
ĐÁNH GIÁ RỦI RO
 Đánh giá rủi ro là việc nhận diện rủi ro; phân tích
mức độ và khả năng rủi ro xảy ra ảnh hƣởng tới
mục tiêu kiểm soát
18
Mục tiêu
Mục tiêu toàn đơn vị và

mục tiêu từng bộ phận. •Nhóm mục tiêu hoạt
động
Mục tiêu toàn đơn vị: sứ •Nhóm mục tiêu BCTC
mạng -> chiến lƣợc chung •Nhóm mục tiêu tuân
DN thủ
Mục tiêu từng bộ phận

19
ĐÁNH GIÁ RỦI RO  Xác định mục tiêu
 Nhận diện rủi ro
 Đánh giá mức độ rủi ro

Ứng xử rủi ro: Mức Xác suất
Mức độ =
•Chấp nhận rủi ro rủi ro Thiệt hại X rủi ro
•Tránh rủi ro: từ bỏ
mục tiêu
•Chia sẻ rủi ro  Các ứng xử rủi ro/ Các thủ tục KS
 Ƣớc tính lợi ích – chi phí thủ tục KS
 Quyết định áp dụng/không áp dụng KS

20
Ví dụ: Hiện nay hệ thống có một mối đe dọa và nếu xảy ra
có mức thiệt hại là 3 triệu đồng. Có 2 thủ tục kiểm soát A
hoặc B đƣợc xây dựng. Nếu thực hiện 1 mình thủ tục KS A,
tốn chi phí 100.000đ, xác suất xảy ra thiệt hại 6%; nếu thực
hiện 1 mình thủ tục KS B, chi phí là 140.000đ và xác suất
xảy ra thiệt hại 4%; nếu thực hiện đồng thời cả A và B chi
phí là 220.000đ, xác suất thiệt hại 2%.
 Theo bạn, doanh nghiệp nên chọn giải pháp nào?
 Áp dụng KS A
 Áp dụng KS B
 Áp dụng cả A và B
 Không áp dụng thủ tục nào
21
Ví dụ: Hoạt động bán hàng đƣợc thực hiện nhƣ sau:
Sau khi nhận đƣợc đặt hàng của khách hàng, nhân viên bán
hàng lập lệnh bán hàng gửi cho kho hàng, và gửi cho kế toán
lập hóa đơn. Căn cứ lệnh bán hàng thủ kho xuất hàng cho
khách hàng; kế toán lập hóa đơn bán hàng cho khách hàng
dựa trên lệnh bán hàng.
Yêu cầu:
1. Qui trình trên có đảm bảo mục tiêu hoạt động bán hàng
hiệu quả không? Sự kiện gì không đáp ứng mục tiêu này?
2. Qui trình trên có đảm bảo mục tiêu báo cáo tài chính
không? Sự kiện gì không đáp ứng mục tiêu này? Rủi ro gì?
22
HOẠT ĐỘNG KIỂM SOÁT
Theo mục đích kiểm soát:
Hoạt động kiểm soát •Kiểm soát ngăn ngừa
là các chính sách, thủ •Kiểm soát phát hiện
tục kiểm soát nhằm •Kiểm soát sửa chữa/ hay bù đắp
giảm thiểu rủi ro,
Theo chức năng kiểm soát
giúp đạt mục tiêu
•Phân chia trách nhiệm phù hợp
kiểm soát.
•Ủy quyền đúng đắn các nghiệp vụ và hoạt
động
•Kiểm soát chứng từ và sổ sách đầy đủ
•Kiểm soát an toàn vật chất và thông tin
•Kiểm soát độc lập việc thực hiện
Theo phạm vi kiểm soát hệ thống thông
tin:
•Kiểm soát chung
•Kiểm soát ứng dụng
23
PHÂN CHIA TRÁCH NHIỆM HỢP LÝ
Mục tiêu: Hạn chế cơ hội sai sót, gian lận
Nguyên tắc: Phân chia trách nhiệm hợp lý
 Không để một cá nhân nắm tất cả các chức năng của
một nghiệp vụ, các khâu công việc của một qui trình
nghiệp vụ từ khi phát sinh cho đến khi kết thúc
 Tách biệt các chức năng:
 Xét duyệt nghiệp vụ
 Thực hiện nghiệp vụ
 Ghi chép nghiệp vụ
 Bảo vệ tài sản liên quan nghiệp vụ
24
PHÂN CHIA TRÁCH NHIỆM HỢP LÝ
Các cặp chức năng không đƣợc phép kiêm nhiệm
Bảo quản tài sản Phê chuẩn nghiệp vụ
Kế toán Bảo quản tài sản
Thực hiện nghiệp vụ Kế toán
Viết chƣơng trình Sử dụng chƣơng trình
25
ỦY QUYỀN XÉT DUYỆT HOẠT ĐỘNG
Mục tiêu: Tất cả nghiệp vụ thực hiện trong đơn vị đều
đƣợc xét duyệt, xác nhận từ cá nhân hay bộ phận có
thẩm quyền
 Ủy quyền là việc trao quyền hạn cho một cá nhân
hay bộ phận thực hiện một quyết định hay một hoạt
động nào đó.
 Bất cứ hoạt động kinh tế nào cũng cần đƣợc ủy
quyền/xét duyệt và nên thực hiện bằng văn bản để
đảm bảo hoạt động nằm trong tầm kiểm soát của
ngƣời quản lý và không gây hậu quả bất lợi cho
doanh nghiệp
26
ỦY QUYỀN XÉT DUYỆT HOẠT ĐỘNG
Có 2 phƣơng pháp ủy quyền
 Ủy quyền chung bằng chính sách (hay xét duyệt
chung): với các hoạt động có điều kiện rõ ràng,
thƣờng xuyên xảy ra và giá trị hay tầm mức ảnh
hƣởng nhỏ
 Ủy quyền cụ thể (xét duyệt cụ thể) các hoạt động ít
khi xảy ra, chƣa có điều kiện rõ ràng, giá trị hay tầm
mức ảnh hƣởng lớn
Cần phân chia trách nhiệm xét duyệt. Cấp quản lý càng
cao thì quyền hạn và trách nhiệm xét duyệt càng quan
trọng, giá trị càng lớn
27
CHỨNG TỪ VÀ SỔ SÁCH ĐẦY ĐỦ
Vai trò
 Ghi nhận nghiệp vụ
 Cung cấp thông tin
 Kiểm soát
Thủ tục
 Mọi nghiệp vụ đều phải lập chứng từ và lập ngay tại
thời điểm phát sinh
 Mọi chứng từ đều phải đƣợc ký duyệt bởi ngƣời có
thẩm quyền
 Đánh số trƣớc, liên tục
 Có số hiệu tham chiếu
 Mọi chứng từ đều phải đƣợc ghi chép đầy đủ
28
KIỂM SOÁT AN TOÀN VẬT CHẤT VÀ THÔNG TIN
Là các hoạt động kiểm soát nhằm đảm bảo các tài sản vật
chất và thông tin của doanh nghiệp đƣợc bảo vệ chặt chẽ;
đảm bảo sự tồn tại, chất lƣợng của tài sản vật chất, thông tin
 Thủ tục kiểm soát:
 Hạn chế tiếp cận: Phân chia trách nhiệm đầy đủ, hợp lý;
thiết bị để hạn chế tiếp cận vật lý;
 Qui định sử dụng, bảo quản hiện vật, thông tin
 Ghi chép và theo dõi các biến động hiện vật, thông tin
 Sử dụng chứng từ lƣu lại dấu vết quá trình sử dụng hiện
vật, thông tin: xét duyệt, sử dụng, nhập liệu,…
 Kiểm kê hiện vật; báo cáo tình hình hiện vật
 Thiết bị bảo vệ, quan sát hiện vật, thông tin
29
KIỂM SOÁT VẬT CHẤT
 Sử dụng thiết bị: Máy tính tiền, POS,Camera,..
 Hạn chế tiếp cận tài sản: Quy định khóa, bảo vệ
 Kiểm kê tài sản:
 Phát hiện mất mát, hƣ hỏng
 Ghi chép trung thực
 Nâng cao trách nhiệm
 Bảo vệ thông tin
 Nhận thức
 Password
 Lƣu trữ
 Truyền tải
30
KIỂM SOÁT ĐỘC LẬP VIỆC THỰC HIỆN
Mục tiêu: Kiểm soát độc lập nhằm đảm bảo hoạt động
đƣợc thực hiện đúng, đảm bảo đạt mục tiêu. Việc kiểm
soát độc lập cần đƣợc thực hiện bởi ngƣời khác với
ngƣời thực hiện các hoạt động
Nguyên nhân
 Không tuân thủ quy định
 Hoạt động không đƣợc thực hiện đúng và đầy đủ
Nguyên tắc: Ngƣời kiểm tra phải độc lập với ngƣời thực
hiện
31
KIỂM SOÁT ĐỘC LẬP VIỆC THỰC HIỆN
Các thủ tục kiểm soát độc lập:
 Soát xét của ban quản lý cấp cao và các cấp quản lý cấp
trung, bộ phận thông qua xem xét đánh giá báo cáo thực
hiện
 Phân tích rà soát
 Đối chiếu các nguồn ghi chép độc lập
 So sánh thực tế và ghi chép: Đối chiếu, kiểm kê
 Sử dụng một ngƣời độc lập khác kiểm tra hay thực hiện
lại nghiệp vụ tính toán lại các số liệu
 Sử dụng nguyên tắc ghi kép kế toán
 Phân tích báo cáo
 Kiểm tra tổng lô
32
PHÂN TÍCH RÀ SOÁT
 Phát hiện biến động bất thƣờng, xác định nguyên
nhân và tìm biện pháp
 Thực hiện qua phân tích, đối chiếu, tính các tỷ số tài
chính
33
Ví dụ phân tích rà soát
BẢNG BÁO CÁO GIÁ THÀNH SẢN PHẨM
Kỳ tháng 05/2004
Sản phẩm A: Số lƣợng 100

KHOẢN MỤC CHI PHÍ GIÁ THÀNH KỲ NÀY GIÁ THÀNH Biến động
ĐƠN VỊ KỲ kỳ này/kỳ
TOÀN BỘ ĐƠN VỊ TRƯỚC trước
Nguyên vật liệu trực tiếp 1,000,000 10,000 9,000 0.11

Nhân công trực tiếp 500,000 5,000 5,050 (0.01)
Sản xuất chung 500,000 5,000 6,000 (0.17)
Cộng 2,000,000 20,000 20,050 (0.07)
Lƣu ý. Chính sách sản xuất và quản lý cho phép biến động +; - 5%
34
KẾT LUẬN HOẠT ĐỘNG KIỂM SOÁT
 Hoạt động kiểm soát/ Thủ tục kiểm soát thích hợp,
gắn kèm cùng quá trình quản lý; nó là công cụ giúp
quản lý đạt mục tiêu
 Hoạt động kiểm soát cần mang tính thực tế, phù hợp
tình huống cụ thể của doanh nghiệp, giúp doanh
nghiệp đạt mục tiêu
35
THÔNG TIN, TRUYỀN THÔNG
Mục tiêu
 Đánh giá, quản lý, kiểm soát tính hữu hiệu và hiệu
quả của hoạt động thông qua thông tin phản hồi
Yêu cầu
 Ghi chép tất cả các nghiệp vụ/ Sự kiện
 Phân loại nghiệp vụ rõ ràng
 Phản ánh đúng nghiệp vụ về mặt giá trị
 Ghi nhận nghiệp vụ đúng kỳ
 Trình bày và công bố đầy đủ
36
THÔNG TIN, TRUYỀN THÔNG
 Thông tin:  Truyền thông
 Loại thông tin gì cần  Truyền đạt, trao đổi thông
thu thập xử lý, truyền tin giữa các đối tƣợng liên
thông quan
o Trong nội bộ,
o Với bên ngoài
o Phƣơng pháp truyền
 Phƣơng pháp xử lý thông
thông tin  Cung cấp cho nhân viên
hiểu vai trò, trách nhiệm
liên quan tới các chính
sách, thủ tục kiểm soát
37
GIÁM SÁT
Đánh giá chất lƣợng của các thành phần khác của hệ
thống KSNB và điều chỉnh phù hợp
 Đánh giá thƣờng xuyên
 Các chƣơng trình đánh giá định kỳ
Thực hiện:
 Kiểm toán nội bộ, kiểm toán độc lập,
 Thu thập thông tin bên ngoài
 Hệ thống kế toán trách nhiệm
 Các hoạt động giám sát của ngƣời quản lý
38
KSNB trong doanh nghiệp nhỏ
 Đặc điểm doanh nghiệp nhỏ: qui mô, tài chính, khả
năng đáp ứng các nguyên tắc KSNB; ngƣời chủ cũng có
thể là ngƣời quản lý
 Các tài liệu hệ thống, doanh nghiệp bằng văn bản có thể
không đầy đủ. Ví dụ “qui tắc ứng xử”, “chính sách nhân
sự” hoặc “mục tiêu, sứ mạng doanh nghiệp” hoặc “qui
trình/thủ tục hoạt động” hoặc sơ đồ cơ cấu tổ chức, bảng
mô tả công việc; lƣu đồ v.v..
 Khó áp dụng nguyên tắc phân chia trách nhiệm đầy đủ
 Việc truyền thông có thể thực hiện trực tiếp giữa ngƣời
quản lý và nhân viên
39
KSNB trong doanh nghiệp nhỏ
Các vấn đề KSNB cần lƣu ý:
 Cần tạo đƣợc môi trƣờng kiểm soát tốt thông qua xác định văn hóa
doanh nghiệp và giá trị đạo đức chuẩn mực trong doanh nghiệp.
 Giám đốc điều hành, chủ doanh nghiệp trực tiếp tham gia các hoạt
động nhận dạng, đánh giá rủi ro hoặc thực hiện các hoạt động
giám sát, kiểm soát
 Nên xây dựng ban quản trị doanh nghiệp
 Thƣờng xuyên tạo kênh truyền thông tốt hai chiều với nhân viên
 Tăng cƣờng các hoạt động thanh toán qua ngân hàng; sử dụng hệ
thống thông tin tin học hóa.
 Tăng cƣờng các hoạt động giám sát kiểm tra bằng cách phân tích
rà soát
 Xây dựng hệ thống chứng từ đầy đủ;
 Chú trọng kiểm soát vật chất
40
4.1. Kiểm soát nội bộ trong HTTTKT
4.1.2. Đặc điểm kiểm soát nội bộ trong HTTTKT
Mục tiêu
Hệ thống
thông tin tin
cậy
Thông tin
Qui trình xử lý
thông tin
• Môi trƣờng
hệ thống Ngƣời Dữ liệu Công nghệ
41
Theo AICPA
Hệ thống thông tin tin cậy và CICA)
Tạo ra
Bảo vệ Thông tin Thông tin cá nhân Dữ liệu đƣợc xử lý Hệ thống sẵn
quan trọng khỏi đƣợc thu thập và chính xác, đầy đủ, sàng khi có
công bố không sử dụng, công bố kịp thời, đúng qui nhu cầu sử
đƣợc phép đúng luật trình dụng
Toàn vẹn Sẵn sàng

Bí mật Riêng tƣ Processing
Confidentiality Privacy Availability
Integrity
An ninh hệ thống- security (KS các truy cập tới dữ liệu và hệ thống )
42
Đặc điểm
Thiết bị
Đặc điểm Khả năng gian lận

• AIS phụ thuộc thiết bị • Phá hủy thiết bị
• Tốc độ xử lý • Ăn cắp thiết bị
• Dung lƣợng lƣu trữ
• Kích thƣớc nhỏ gọn
• Thiết bị nhạy cảm với môi
trƣờng và cách sử dụng
43
Phần mềm ứng dụng

Đặc điểm
• Lập trình sẵn theo qui trình xử lý
• Các thủ tục kiểm soát đƣợc lập trình
Ƣu điểm Hạn chế

• Đảm bảo tính thống • Tính chính xác của xử lý phụ
nhất qui trình xử lý thuộc vào chƣơng trình và chỉ
• Ngăn ngừa sai sót, phát hiện sai sót sau kết quả xử lý
gian lận • Phụ thuộc vào thiết bị xử lý
Khả năng gian lận

• Sửa chữa chƣơng trình xử lý
• Xóa dấu vết sửa chữa bằng chƣơng trình virus
• Lấy, phá huỷ thiết bị lƣu trữ/chƣơng trình
44
Qui trình xử lý
Đặc điểm
• Vừa kết hợp xử lý thủ công
• Vừa đƣợc lập trình sẵn theo qui trình xử lý
• Các thủ tục kiểm soát đƣợc lập trình

• Đảm bảo tính thống • Tính chính xác của xử lý phụ
nhất qui trình xử lý thuộc vào cả qui trình bằng
• Ngăn ngừa sai sót, tay và chƣơng trình xử lý
gian lận • Phụ thuộc vào thiết bị xử lý

• Bỏ qua/ làm sai trong qui trình xử lý thủ công
• Sửa chữa chƣơng trình xử lý
• Xóa dấu vết sửa chữa bằng chƣơng trình virus
• Lấy, phá huỷ thiết bị lƣu trữ chƣơng trình 45
Dữ liệu
Đặc điểm
• Tổ chức kiểu hệ quản trị CSDL: Chia sẻ DL; Đƣa DL một lần vào HT;
• Có thể đƣa DL vào HT tự động
• Sữa chữa DL không để lại dấu vết

• Nhập DL một lần, HT cập nhật DL • Sửa chữa, hủy DL, lấy cắp DL
tự động do gia tăng khả năng truy cập
• DL không bị trùng lặp, mâu thuẫn • Khó phát hiện sửa chữa DL
• Chia sẻ DL do không để lại dấu vết
• Giảm sai sót, gian lận nếu dùng tự • Phụ thuộc thiết bị lƣu trữ, xử
động đƣa DL vào HT lý và chƣơng trình xử lý
• Sửa DL đầu vào khi nhập liệu • Sữa chữa chƣơng trình xử lý
• Truy cập bất hợp pháp CSDL • Lấy cắp thiết bị lƣu trữ, xử lý
46
Thông tin
Đặc điểm
• Ngƣời sử dụng tạo trực tiếp thông tin từ CSDL
• Truyền thông thông tin bằng nhiều cách

• Tạo báo cáo linh hoạt, kịp thời • Bị truy cập bất hợp pháp, rò rỉ
theo ý muốn thông tin không đƣợc phép
• Thông tin đa dạng hơn: tài chính • Ăn cắp thông tin trên đƣờng
và phi tài chính truyền thông
• Truy cập bất hợp pháp CSDL, lấy thông tin
• Ăn cắp, sửa thông tin trên đƣờng truyền thông.
47
Con ngƣời
Đặc điểm
• Kết hợp nhiều chức năng trong hoạt động xử lý ứng dụng
CNTT
• Đòi hỏi ngƣời sử dụng cả kỹ năng chuyên môn và kỹ năng
hệ thống
Chú ý
• Phân chia trách nhiệm
• Môi trƣờng kiểm soát
48
4.1.3. Ý nghĩa kiểm soát nội bộ trong HTTTKT
Rủi ro với hệ thống ứng dụng CNTT
 Rủi ro bắt nguồn từ bên ngoài
 Thảm họa tự nhiên
 Chính trị, chiến tranh
 Phá hoại
 Tội phạm máy tính
 Rủi ro bắt nguồn từ nội bộ
 Phần mềm và thiết bị hƣ, không hoạt động
 Bất cẩn, sai sót trong qui trình thực hiện; do huấn
luyện hoặc giám sát không tốt.
 Gian lận tài sản; gian lận báo cáo tài chính và gian
lận hệ thống máy tính
49
Gian lận tài sản
Thu tiền Chi tiền Tài sản phi tiền tệ
• Thu tiền nhƣng • Thanh toán hóa đơn • Ăn cắp hàng từ kho
không ghi sổ mua khống hàng hoặc quầy bán hàng
• Thu tiền nhƣng ghi hóa, dịch vụ • Sử dụng tài sản công
chậm • Yêu cầu thanh toán ty cho mục đích cá
• Ghi sổ tiền thu nhƣng chi phí đi lại không nhân
không nộp tiền vào có thực • Lấy cắp thông tin bí
quỹ • Đánh cắp SEC trắng, mật công ty và bán
• Xóa nợ phải thu giả mạo chữ ký cho đối thủ hoặc tổ
• Tính lƣơng nhân viên chức khác.
không có thực (khai • Đánh cắp hoặc
khống giờ, ghi thêm chuyển cổ phiếu,
nhân viên ảo) chứng khoán của
• Lấy cắp, biển thủ tiền doanh nghiệp vào tài
tồn quỹ khoản cá nhân
50
Gian lận báo cáo tài chính
Mục tiêu:
 Lừa đối ngƣời sử dụng báo cáo: Thông tin sai lệch che giấu
lỗ, tạo giá trị không có thực
Phƣơng pháp:
 Che giấu công nợ -> giảm chi phí -> tăng lợi nhuận: Không
ghi nhận nợ phải trả và chi phí; Vốn hóa các khoản chi phí
không đƣợc vốn hóa;
 Ghi nhận doanh thu không có thực:
1. Tạo khách hàng ảo, lập chứng từ bán hàng giả mạo,
năm sau lập bút toán hàng bị trả lại;
2. Ghi tăng các yêu tố trên hóa đơn: số lƣợng, đơn giá, kỳ
sau điều chỉnh lại;
3. Ghi nhận doanh thu khi hoạt động giao hàng hay tiêu
thụ hàng chƣa đƣợc đáp ứng.
51
Gian lận báo cáo tài chính
 Không khai báo đầy đủ thông tin -> hạn chế khả
năng phân tích ngƣời sử dụng báo cáo
 Định giá sai tài sản, phân loại tài sản sai; không ghi
giảm giá trị hàng tồn kho đã hƣ hỏng, không lập dự
phòng phải thu khó đòi
 Ghi sai niên độ doanh thu, chi phí -> lợi nhuận tăng
giảm
52
Gian lận máy tính
Mục tiêu:
 Lấy cắp thông tin bí mật hoặc thông tin khách hàng
 Che giấu các ăn cắp hoặc gian lận tài sản
 Sai lệch báo cáo tài chính
 Thỏa mãn tính tự cao, kiến thức; Trả thù cá nhân, bất mãn
 Làm lợi tài chính cá nhân bằng cách vi phạm bản quyền
phần mềm; Sử dụng máy tính cho công việc cá nhân
Phƣơng pháp :
 Phá hủy thiết bị lƣu trữ, xử lý và chƣơng trình ứng dụng
 Lấy cắp thiết bị, chƣơng trình
 Sửa chƣơng trình ứng dụng
 Phá hủy CSDL
53
Rủi ro trong HTTTKT
Rủi ro toàn HT TTKT
Chính sách phát triển HT
Qui trình phát triển HT
Sử dụng HT
Bảo dƣỡng HT
Rủi ro qui trình xử lý
Nhập liệu
Xử lý dữ liệu
Tạo kết quả xử lý

54
Rủi ro quy trình xử lý
Rủi ro
An ninh Truy cập trái phép (truy cập vật lý và logic)
Sẵn sàng Hệ thống hoạt động chậm, gặp lỗi hay bị phá huỷ
Xử lý toàn vẹn Xử lý dữ liệu không chính xác, không đầy đủ hay
DL không thích hợp
Thông tin cá Thông tin cá nhân bị sử dụng không thích hợp hay
nhân trực tuyến bị truy cập trái phép bởi đối tƣợng bên trong hay
bên ngoài đơn vị
Bảo mật Thông tin quan trọng của đơn vị hay đối tác bị
tiếp cận trong quá trình truyền tải hay lƣu trữ
55
Nguyên tắc kiểm soát cơ bản để đạt mục tiêu hệ thống:

 Thiết lập chính sách kiểm soát và tài liệu hóa chính sách này
 Truyền thông hiệu quả chính sách với những ngƣời sử dụng
liên quan
 Thiết kế và thực hiện các thủ tục kiểm soát phù hợp để thực
hiện các chính sách
 Đánh giá, giám sát hệ thống để đảm bảo duy trì việc tuân thủ
các chính sách
56
Kiểm soát chung

Có nhiều cách tiếp cận xem xét kiểm soát chung hệ thống
• Tiếp cận quá trình hình thành • Chính sách chung

hệ thống: hình thành, sử dụng;
• Con ngƣời
và trong từng quá trình này
xem xét theo các thành phần hệ • An toàn dữ liệu
thống liên quan
• Xâm nhập về mặt vật lý
• Kế hoạch dự phòng
• Tiếp cận theo mục tiêu kiểm

soát hệ thống: an ninh, bảo
mật, riêng tƣ v.v..
57
Kiểm soát ứng dụng
Là kiểm soát ảnh hƣởng tới từng ứng dụng hay chƣơng
trình xử lý cụ thể với mục tiêu đảm bảo tính đầy đủ, hợp
lệ, chính xác của xử lý nghiệp vụ
Quá trình
Dữ liệu nhập liệu
đầu vào
KS kết
KS nhập quả xử lý
KS nhập liệu
liệu 58
4.2.1. Kiểm soát đầu vào
Kiểm soát chung - Chiến lƣợc, kế hoạch chung hệ thống
Thiết lập kế hoạch và chiến lƣợc phát triển hệ thống: Cần
phù hợp chiến lƣợc phát triển doanh nghiệp
Xây dựng kế hoạch nhân sự :
 Tuyển dụng, huấn luyện, đào tạo
 Phân chia trách nhiệm
 Sử dụng: đánh giá, khen thƣởng, thăng tiến, nghỉ phép,
nghỉ làm
Xây dựng chính sách thu thập, sử dụng và công bố thông tin
khách hàng
Truyền thông kế hoạch này bằng văn bản cũng nhƣ qua quá
trình huấn luyện và đánh giá nhân viên
59
Kiểm soát chung - Kiểm soát con ngƣời
Phân chia trách nhiệm
Ủy quyền truy cập và nhận

dạng truy cập
Tìm kiếm, nhận diện qua

thông tin không chính thức
(Xem KS truy cập)
60
Kiểm soát phân chia trách nhiệm
 Nhắc lại nguyên tắc phân chia trách nhiệm
 Ứng dụng trong môi trƣờng ứng dụng CNTT
 Ngƣời sử dụng khác ngƣời trong bộ phận IT
 Phân chia trách nhiệm nhóm ngƣời sử dụng
 Phân chia trách nhiệm nhóm ngƣời bộ phận IT
61
Kiểm soát chung - Phân chia trách nhiệm
Nhân viên
Sử dụng Phụ trách IT
an ninh
Phát triển Dịch vụ kĩ Trung tâm

HT thuật dữ liệu
Đảm bảo
KS dữ liệu
chất lƣợng
Ks mạng và
truyền Thƣ viện
thông
Hoạt động
Quản trị
máy tính
CSDL 62
Kiểm soát chung - Phân chia trách nhiệm
Xét duyệt – thực hiện – ghi chép – bảo vệ tài sản
 Trong môi trƣờng  Ai xét duyệt
ứng dụng CNTT:  Ai thực hiện hoạt động
kinh tế
 Hệ thống kế toán
riêng lẻ  Ai ghi chép hoạt động
kinh tế: thu thập –
 Hệ thống kế toán
chuyển DL hệ thống-
tích hợp
xử lý DL
 Ai bảo vệ tài sản
 Phân chia trách nhiệm tiếp cận đƣa DL vào hệ thống và

xử lý dữ liệu?
63
Kiểm soát ứng dụng
Mục tiêu kiểm soát Kiểm soát
• Xét duyệt nghiệp vụ • Kiểm tra chữ ký: ngƣời đƣợc ủy
• Có thực nghiệp vụ quyền, xét duyệt
• Đầy đủ • Kiểm tra mẫu chứng từ và màn
• Chính xác hình DL đầu vào
• Kịp thời • Kiểm tra số thứ tự của chứng từ
• Kiểm tra tính hợp lý của DL và
chứng từ tham chiếu
• Sử dụng chứng từ luân chuyển
• Tăng cƣờng sử dụng DL trực tiếp
từ nguồn DL
• Kiểm tra DL đƣợc đƣa vào từ hệ
thống khác
64
4.2.2. Kiểm soát quá trình
Kiểm soát chung - Kiểm soát an toàn dữ liệu
Mục tiêu KS: an toàn dữ liệu
Thủ tục
 Kiểm soát truy cập dữ liệu
 Kiểm soát lƣu trữ dữ liệu
 Kiểm soát sửa chữa dữ liệu
 Kiểm soát truyền thông dữ liệu
 Kiểm soát thiết bị lƣu trữ dữ liệu
65
Kiểm soát chung - Kiểm soát truy cập
Mục tiêu: Đảm bảo an toàn cho dữ liệu, thông tin và chƣơng trình
Kiểm soát
 Phân chia trách nhiệm theo từng cấp hoạt động và chức năng
 Phân chia trách nhiệm theo mức độ truy cập
 Nhận dạng NSD: account user, đặc điểm sinh học (sinh trắc học):
vân tay, giọng nói
 Mật mã truy cập
 Thiết lập ít nhất 8 ký tự
 Nên có ký tự không phải là chữ và số
 Thẻ thông minh (Smart Card)
 Mã thông báo an ninh (a USB security Token)
 Mã hóa dữ liệu (encryption)
 Sử dụng tập tin phân quyền truy cập và ghi nhận thông tin truy cập
66
Kiểm soát chung - Kiểm soát lƣu trữ dữ liệu
Mục tiêu: Đảm bảo an toàn dữ liệu lƣu trữ
Kiểm soát:
 Phân loại dữ liệu theo mức độ yêu cầu bảo vệ
 Ghi dữ liệu dự phòng: định kỳ thời gian; phƣơng pháp ghi dự phòng loại
dữ liệu theo mức độ yêu cầu bảo vệ
 Ghi dự phòng đầy đủ dữ liệu
 Ghi dự phòng đầy đủ các chƣơng trình
 Kiểm tra nội dung ghi dự phòng: chính xác, đầy đủ
 Ghi dự phòng định kỳ: kiểu tự động, kiểu ông – cha - con
 Lƣu trữ bản dự phòng ở nơi ngoài DN
 Sử dụng thiết bị: nguồn cung cấp điện liên tục (UPS) hay nguồn cung
cấp điện khẩn cấp (EPS)
 Tạo nhãn tập tin: nhãn bên ngoài và nhãn do máy tạo ra
 Môi trƣờng thuận lợi nơi lƣu trữ dữ liệu
 Kiểm tra dữ liệu lƣu trữ thƣờng xuyên
67
Kiểm soát chung - Kiểm soát sửa chữa dữ liệu
 Sửa chữa phải để lại dấu vết kiểm toán, đƣợc xét duyệt/
ủy quyền
 Hạn chế chỉnh sửa dữ liệu trực tiếp
 Không đƣợc sửa, xóa dữ liệu khi đã chuyển sổ cái, kết
chuyển KQKD, …
 Khi điều chỉnh dữ liệu phải sử dụng các phƣơng pháp:
bút toán đảo, ghi bổ sung, bút toán ghi số âm
 Sử dụng chứng từ sửa sổ nhƣ kế toán thủ công
 PM phải có tính năng tự động ghi nhận việc truy cập hệ
thống, thêm, sửa, xóa dữ liệu
 KT tổng hợp không đƣợc chỉnh sửa dữ liệu của kế toán
chi tiết
68
Kiểm soát chung - Kiểm soát truyền thông dữ liệu
Mục tiêu
 Giảm sai sót và mất cắp dữ liệu trong quá trình
truyền tải
Kiểm soát
 Gọi kiểm tra ngƣợc
 Mã hóa thông tin trong quá trình truyền dữ liệu
69
Kiểm soát chung - Kiểm soát thiết bị lƣu trữ dữ liệu
 Bảo vệ máy tính cá nhân, máy tính mạng và kiểm
soát internet
 Tăng cƣờng giám sát sử dụng máy tính
 Sử dụng phần mềm, giải pháp bảo mật, chống virus
 Thiết bị cảnh báo, giám sát, PCCC
 Giới hạn truy cập từ xa
 Huấn luyện ngƣời dùng: sử dụng, vận hành, phòng
chống virus,…
 Mã hóa dữ liệu
 Kiểm soát truy cập giữa các hệ thống mạng
70
Kiểm soát chung - Kiểm soát thâm nhập về mặt vật lý
Mục tiêu KS: An toàn HT thiết bị, phần mềm, phƣơng tiện truyền thông
Thủ tục:
 Hạn chế tiếp cận hiện vật, phần mềm: qui định, thiết bị kiểm soát
 An toàn kỹ thuật: thƣờng đƣợc thiết kế trong thiết bị
 An toàn sử dụng
 Tạo môi trƣờng tốt nơi đặt thiết bị: nhiệt, độ ẩm, điện năng
 Tài liệu hƣớng dẫn sử dụng và xử lý khi thiết bị trục trặc hƣ hỏng
 Các thiết bị lƣu trữ ngoài phải đƣợc kiểm tra an toàn trƣớc sử dụng
 Cài đặt các phần mềm kiểm soát an toàn hệ thống và dữ liệu
 Thƣờng xuyên kiểm tra phát hiện kịp thời hƣ hỏng, sai sót để thay thế
sửa chữa thiết bị phù hợp
 Thƣờng xuyên kiểm tra, phân tích kết quả xử lý -> phát hiện sửa chữa
phần mềm
 Mua bảo hiểm hệ thống
71
Kiểm soát chung - Lập kế hoạch dự phòng
Mục tiêu: Đảm bảo HT hồi phục nhanh khi thiên tai, hoả hoạn, phá
hoại hoặc những bất trắc xảy ra
Kiểm soát
 Mua bảo hiểm tài sản cho hệ thống và trung tâm dữ liệu
 Lập KH dự phòng
 Tạo vị trí xử lý dự phòng; Vị trí lƣu trữ DL dự phòng; Hoặc hệ thống dự
phòng khác
 Lƣu trữ dự phòng thƣờng xuyên
 Xác định các hệ thống ứng dụng quan trọng. Ƣu tiên kiểm soát và khôi
phục trƣớc
 Phân chia trách nhiệm thực hiện kế hoạch dự phòng và khôi phục trung
tâm dữ liệu: Nhân sự, qui trình
 Huấn luyện nhân viên trƣờng hợp cấp khẩn cấp
 Thƣờng xuyên đánh giá và cập nhật kế hoạch dự phòng
72
Kiểm soát ứng dụng - Kiểm soát quá trình nhập liệu
Mục tiêu kiểm soát Kiểm soát
• Nhập chính xác DL đã • Kiểm soát DL hợp lệ: Phù hợp tính chất
thu thập nhập liệu
• Đầy đủ DL đã thu thập • Kiểm tra chính xác/ tăng hiệu quả nhập
• Đảm bảo tính toàn vẹn liệu:
của dữ liệu nhập − (1) Tự động/ mặc định dữ liệu;
− (2) Xuất hiện DL liên quan (có sẵn
• Kịp thời trong CSDL)
• Hiệu quả • Sử dụng tổng kiểm soát (nhập theo lô)
• Đánh dấu chứng từ (DL) đã đƣợc nhập
• Sử dụng thiết bị quét, thu thập DL tự
động từ nguồn: máy tính tiền, POS,…
• Thông báo lỗi và hƣớng dẫn sửa lỗi
73
Kiểm soát ứng dụng - Kiểm soát quá trình nhập liệu
Kiểm soát dữ liệu hợp lệ
 Dữ liệu hợp lệ là các dữ liệu đảm bảo phù hợp với yêu cầu vùng dữ liệu
lƣu trữ, đƣợc kiểm soát bằng chƣơng trình kiểm tra (test program)
 Các kiểm soát hợp lệ chủ yếu
 Kiểm tra kiểu vùng DL (field check): kiểu text, number,…
 Kiểm tra dấu (sign check): số âm, số dƣơng
 Kiểm tra giới hạn (limit check/ a range check): thời gian, hàng tồn kho
 Kiểm tra độ dài vùng DL (size check):
 Kiểm tra có thực/ hợp lệ DL ( a validity check): Căn cứ một số vùng
DL liên quan
 Kiểm tra hợp lý DL (a reasonableness test): giá trị các vùng DL hợp lý
 Kiểm tra đầy đủ DL ( a completeness check): không đƣợc để trống
 Kiểm tra nhập trùng: Căn cứ một số vùng DL liên quan
74
Ví dụ minh họa kiểm soát hợp lệ
VÍ DỤ BẢNG KÊ BÁN HÀNG
SỐ NỘI MÃ MÃ SỐ ĐƠN
HĐ NGÀY HĐ DUNG KH HH LƢỢNG GIÁ TIỀN
21 02/02/2008 01 A 100 1.000 100.000
22 01/02/2008 02 B 200 5.000 1.000.000
23 14/02/2008 01 A 300 3.000 900.000
18 28/01/2007 02 C 200 3.000 600.000
25 30/02/2008 06 D 1000 3.000 3.000.000
Thông tin bổ sung

• Mặt hàng A tồn đầu ngày 01/02: 80 số lƣợng, trong ngày 01 và 02 không
nhập hàng
• Không có mặt hàng D trong kho
75
Kiểm soát theo số tổng - xử lý theo lô
 Kiểm soát theo số tổng là việc dùng một tổng số nào
đó để kiểm soát một nhóm (lô) DL. Tổng số để
kiểm soát này gọi là “tổng số kiểm soát”
 Các loại tổng số kiểm soát
 Tổng vùng giá trị hoặc số lƣợng
 Tổng Hash (Hash Totals): tổng về mặt số học,
không có ý nghĩa về mặt toán học
 Đếm mẫu tin
76
Ví dụ tổng số kiểm soát
Ngày Số HĐ Số tiền Mã Khách

hàng
3 3 1 1.000.000 B
mẩu 5 2 300.000 A
tin 6 3 2.000.000 C
14 6 2.300.000
Tổng Hash Tổng giá trị
77
Kiểm soát ứng dụng - Kiểm soát quá trình xử lý dữ liệu
Mục tiêu: Đảm bảo DL đƣợc xử lý đúng; Ngăn chặn, phát hiện và xử lý
sai sót trong quá trình chuyển dữ liệu thành thông tin
Kiểm soát
Kiểm soát sự phù hợp DL (Data matching). Ví dụ: thông tin hóa đơn có
phù hợp với đặt hàng và nhận hàng trƣớc khi xử lý hóa đơn.
Kiểm soát sự toàn vẹn xử lý CSDL (Kiểm soát cập nhật xảy ra cùng một
lúc- concurrent update controls). Khi hai hoặc nhiều ngƣời sử dụng cập
nhật cùng lúc một mẩu tin. Hệ thống tạm khóa 1 ngƣời sử dụng để đảm
bảo việc cập nhật này đƣợc thực hiện tuần tự.
 Kiểm tra ràng buộc toàn vẹn DL
 Kiểm tra dữ liệu hiện hữu (loại bỏ trƣờng hợp đối tƣợng không
hoạt động tồn tại trong danh mục xử lý)
 BC liệt kê các yếu tố bất thƣờng
 Đối chiếu dữ liệu ngoài hệ thống
78
Xử lý theo lô
Mục tiêu: Đảm bảo DL đƣợc xử lý đúng; không tự động tạo thêm hay bỏ
bớt mẫu tin
Kiểm soát (thêm ngoài các kiểm soát slide trƣớc)
 Kiểm soát sắp xếp theo trình tự.
Xử lý theo lô yêu cầu các mẫu tin đƣợc sắp xếp theo trình tự giống
khóa chính tập tin chính để cập nhật tập tin
 Kiểm soát từng bƣớc xử lý (Run-to-run Control)
Tổng số kiểm soát đƣợc thực hiện qua từng bƣớc gọi và gọi nó là
kiểm soát từng bƣớc xử lý. Và tổng này đƣợc so sánh với giá trị ở
mẩu tin Trailer record
 Nhãn tập tin. Có 2 kiểu nhãn tập tin: header record (ở đầu mỗi tập tin,
chỉ tên tập tin, hạn cập nhật DL, DL nhận diện khác); Trailer record (ở
cuối tập tin, chứa tổng lô trong quá trình nhập liệu).
79
Ví dụ kiểm soát từng bƣớc xử lý
K.tra DL Sắp xếp Sắp xếp Cập nhật
Nhập liệu hợp lệ TT ngh.vụ TT ngh.vụ TT chính
B.Cáo khác B.Cáo khác B.Cáo khác B.Cáo khác

Báo cáo Báo cáo Báo cáo Báo cáo
KS KS KS KS
Tổng mẫu tin đƣợc xử lý: 87

Tổng giá trị đƣợc xử lý: 15.000.000
(ghi ở trailer record)
80
4.2.3. Kiểm soát đầu ra
Kiểm soát ứng dụng - Kiểm soát thông tin đầu ra
Mục tiêu
 Giảm sai sót đối với thông tin đầu ra và chuyển thông
tin đến đúng ngƣời sử dụng
Thủ tục
 Phân quyền truy cập thông tin đầu ra
 Xem xét kết xuất nhằm đảm bảo nội dung và hình thức
phù hợp với nhu cầu của NSD
 Dựa vào dấu vết kiểm toán để kiểm tra nguồn gốc của
dữ liệu
 Xây dựng quy trình chuyển giao thông tin đến đúng
NSD
81
Kiểm soát ứng dụng - Kiểm soát kết quả xử lý
Mục tiêu:
• Đảm bảo kết quả xử lý chính xác
Kiểm soát:
• Kiểm tra bằng mắt tính logic, hợp lệ của DL
• Căn cứ dấu vết kiểm toán để kiểm tra lại nguồn gốc
dữ liệu (VD xem doanh thu đƣợc ghi nhận từ những
chứng từ nào)
• Đối chiếu với dữ liệu bên ngoài liên quan khác.
82
Đánh giá kiểm soát hệ thống thông tin
Đánh giá kiểm soát hệ thống thông tin là hoạt động thực hiện
thƣờng xuyên hay định kỳ cho mục đích quản lý hoặc kiểm toán.
Nội dung đánh giá chính:
 Đánh giá an ninh toàn bộ hệ thống
 Phát triển / sửa chữa hệ thống, chƣơng trình xử lý có đƣợc
ủy quyền và tuân thủ đúng qui định
 Xử lý nghiệp vụ kinh tế có đảm bảo đạt mục tiêu kiểm soát,
cung cấp thông tin tin cậy, kịp thời.
 Nguồn dữ liệu: Các dữ liệu có thu thập chính xác, kịp thời,
tin cậy. Các dữ liệu nguồn không chính xác hay không đƣợc
ủy quyền đúng có đƣợc xử lý theo đúng chính sách quản lý
đã công bố.
 Đảm bảo an toàn CSDL
 Cung cấp thông tin
83
Đánh giá kiểm soát hệ thống thông tin
Đánh giá
• Thu thập tài liệu và thông tin về những nội dung cần đánh
giá: (1) Chính sách an ninh, kế hoạch phát triển, hồ sơ hệ
thống; (2) Thực hiện thực tế. Phƣơng pháp: Quan sát,
Bảng câu hỏi, Phỏng vấn.
• Xác định các đe dọa, rủi ro hệ thống
• Xác định các thủ tục kiểm soát có thể ngăn ngừa, phát
hiện rủi ro
• Đánh giá các thủ tục kiểm soát hiện hành để xác định các
yếu kém, các điểm mạnh KS hệ thống; các KS bù đắp.
84
4.3. Khuôn mẫu COBIT (The Control Objectives for
Information and related Technology)
- Khuôn mẫu này là khuôn mẫu «mở»,
- Có mức độ vận dụng nhiều nhất trên thế giới hiện nay,
- Cung cấp 34 mục tiêu kiểm soát ở mức độ cao, chia thành 4
mảng:
+ Hoạch định và tổ chức,
+ Tiến trình và ra quyết định,
+ Triển khai và hỗ trợ,
+ Kiểm soát và theo dõi.
- Khuôn mẫu này dễ vận dụng trong môi trƣờng CNTT.
- Các mục tiêu kiểm soát đƣợc chia thành 318 mục tiêu chi
tiết.
- COBIT không có kiểm soát ứng dụng, nội dung này đƣợc
lồng vào “triển khai và hỗ trợ”.
85
4.3.1. Hoạch định và tổ chức
- Kế hoạch, chiến lƣợc,

- Cấu trúc thông tin,
- Mục tiêu quản lý và định hƣớng,
- Quản lý nguồn nhân lực,
- Đánh giá rủi ro,
- Quản lý dự án,
- Quản lý chất lƣợng,
…
86
4.3.2. Mua sắm và thực hiện
- Xác định giải pháp tự động,

- Phát triển phần mềm,
- Cơ sở hạ tầng công nghệ,
- Duy trì chính sách và thủ tục,
- Quản lý thay đổi,
…
87
4.3.3. Triển khai và hỗ trợ
- Quản lý dịch vụ bên thứ ba,

- Quản lý hiệu quả và năng lực,
- Tính liên tục của dịch vụ,
- An ninh hệ thống,
- Xác định và phân bổ chi phí,
- Đào tạo nhân lực,
- Quản lý vấn đề, sự cố,
- Quản lý dữ liệu,
- Quản lý hoạt động,
- Quản lý hệ thống,
-… 88
4.3.4. Giám sát và đánh giá
- Giám sát,
- Tính đầy đủ của kiểm soát nội bộ,
- Tính độc lập,
- Kiểm toán nội bộ.
89
Kiểm soát nội bộ
- COSO (The Committee of Sponsoring Organizations

of the Treadway Commision),
- COBIT (The Control Objectives for Information and
related Technology),
- ITCG (The Information Technology Control
Guidelines). Bao gồm:
+ 7 vấn đề kiểm soát,
+ 31 mục tiêu,
+ 162 tiêu chuẩn kiểm soát tối thiểu và
+ 744 kỹ thuật kiểm soát.
- ISO (International Organization for Standardization).
90

Ais 4

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ais 4

Uploaded by

Copyright:

Available Formats

CHƢƠNG 4 :

KIỂM SOÁT NỘI BỘ

 Nắm bắt các nội dung cơ bản về Kiểm soát nội bộ

4.1. Tổng quan kiểm soát nội bộ HTTTKT

Loại gian lận Đặc điểm

Môi trƣờng kiểm soát

Đánh giá Hoạt động Thông tin;

Mục tiêu toàn đơn vị và

Mục tiêu từng bộ phận

 Nhận diện rủi ro

 Đánh giá mức độ rủi ro

 Ƣớc tính lợi ích – chi phí thủ tục KS

 Quyết định áp dụng/không áp dụng KS

Các cặp chức năng không đƣợc phép kiêm nhiệm

Bảo quản tài sản Phê chuẩn nghiệp vụ

Kế toán Bảo quản tài sản

Thực hiện nghiệp vụ Kế toán

Viết chƣơng trình Sử dụng chƣơng trình

Sản phẩm A: Số lƣợng 100

Nguyên vật liệu trực tiếp 1,000,000 10,000 9,000 0.11

Toàn vẹn Sẵn sàng

Đặc điểm Khả năng gian lận

Phần mềm ứng dụng

Ƣu điểm Hạn chế

Khả năng gian lận

Ƣu điểm Hạn chế

Khả năng gian lận

Ƣu điểm Hạn chế

Ƣu điểm Hạn chế

Chính sách phát triển HT

Qui trình phát triển HT

Rủi ro qui trình xử lý

Tạo kết quả xử lý

Nguyên tắc kiểm soát cơ bản để đạt mục tiêu hệ thống:

Kiểm soát chung

• Tiếp cận quá trình hình thành • Chính sách chung

• Tiếp cận theo mục tiêu kiểm

Phân chia trách nhiệm

Ủy quyền truy cập và nhận

Tìm kiếm, nhận diện qua

(Xem KS truy cập)

Phát triển Dịch vụ kĩ Trung tâm

 Phân chia trách nhiệm tiếp cận đƣa DL vào hệ thống và

Thông tin bổ sung

Ngày Số HĐ Số tiền Mã Khách

Tổng Hash Tổng giá trị

B.Cáo khác B.Cáo khác B.Cáo khác B.Cáo khác

Tổng mẫu tin đƣợc xử lý: 87

- Kế hoạch, chiến lƣợc,

- Xác định giải pháp tự động,

- Quản lý dịch vụ bên thứ ba,

- COSO (The Committee of Sponsoring Organizations

You might also like