08/06/2022

TRƯỜNG ĐẠI HỌC KINH TẾ QUỐC DÂN CHUYÊN ĐỀ 3

VIỆN KẾ TOÁN-KIỂM TOÁN

BÀI GIẢNG

HỆ THỐNG THÔNG TIN KẾ TOÁN KIỂM SOÁT NỘI BỘ

TRONG HỆ THỐNG
THÔNG TIN KẾ TOÁN

NỘI DUNG CƠ BẢN Bản chất

1. Khái quát chung về kiểm soát nội bộ

Rủi ro
quản lý
2. Giới thiệu kiểm soát nội bộ
theo quan điểm của COSO
Làm ăn thua lỗ
Giới thiệu về kiểm soát nội bộ Tài sản bị tham ô
3. CHÍNH SÁCH
theo quan điểm của COBIT Báo cáo tài chính không trung thực
Báo cáo nội bộ không trung thực (Báo cáo qun tr) TIÊU CHUẨN
Pháp luật bị vi phạm
Xây dựng kiểm soát nội bộ Các quy định không được tuân thủ THỦ TỤC
4. hệ thống thông tin kế toán
3

1
 08/06/2022

1.Khái quát chung về kiểm soát nội bộ The Internal Controls Shield
v Theo COSO:
Kiểm soát nội bộ (Internal control): Một quá trình được
thiết kế bởi ban giám đốc, nhà quản trị do những người
cấp dưới của họ thực hiện nhằm có được những đảm
bảo hợp lý cho những mục tiêu kiểm soát:
§ Bảo vệ Tài sản (bao gồm cả dữ liệu)
§ Duy trì quá trình ghi chép chính xác và hợp lý tình hình
tài sản của đơn vị.
§ Cung cấp thông tin chính xác và tin cậy.
§ Đảm bảo các BCTC được lập theo các chuẩn mực.
§ Thúc đẩy và tăng cường hiệu quả của các hoạt động.
§ Tuân thủ pháp luật, các quy định và các chính sách
quản của công ty.
6

Preventive, Detective, and Corrective Controls vKhuôn mẫu về KSNB

QUÁ
TRÌNH Hiệu lực,
Hội đồng hiệu quả
quản trị các hoạt
Vai trò quan trng nht: Ngn nga động
KIỂM
Nhà quản Độ tin cậy
SOÁT
lý thông tin
NỘI BỘ

Nhân Tuân thủ

Phát hin sai phm viên ĐẢM pháp luật và MỤC TIÊU
CON BẢO
các quy định
NGƯỜI HỢP
LÝ

Sa cha kp thi, hn ch ri ro xy ra

Figure 3-3

7 8

2
 08/06/2022

1.Khái quát chung về kiểm soát nội bộ 1.Khái quát chung về kiểm soát nội bộ
v Có 4 khái niệm quan trọng:
§ Kiểm soát nội bộ là một quá trình: Một chuỗi Kiểm soát nội bộ
các hoạt động hiện diện ở mọi bộ phận, hoạt hướng đến các mục tiêu
động của đơn vị, KSNB hữu hiệu khi không tác
rời các hoạt động. Mục tiêu về hoạt động:
§ Kiểm soát nội bộ chi phối bởi con người:
Được thiết kế và vận hành bởi con người. KSNB
sự hữu hiệu và hiệu quả 1 Hiu qu là so sánh chi phí và kt qu t c.
trong việc sử dụng nguồn lực Gm hiu qu TC và hiu qu phi TC
hữu hiệu khi từng thành viên hiểu rõ về quyền
hạn và trách nhiệm của mình và các thành viên Mục tiêu về báo cáo:
khác.
2
BC phi TC: v L, BHXH, tình hình sd TS
Tính trung thực của báo cáo tài chính
§ Kiểm soát nội bộ cung cấp sự đảm bảo hợp và phi tài chính
lý: Không có sự đảm bảo tuyệt đối, hoàn hảo mà
sự đảm bảo hợp lý do chi phí và vận hành do con
người
Mục tiêu về tuân thủ:
§ Kiểm soát nội bộ giúp đạt được các mục tiêu: Tuân thủ pháp luật và các quy định 3
3 nhóm mục tiêu

Hạn chế tiềm tàng của KSNB (Ri ro kim soát)

Những hạn chế xuất phát từ bản thân nhân viên như: sự vô ý, bất
cẩn, đãng trí, chủ quan ước lượng sai, hiểu sai chỉ dẫn của cấp
1 trên, hoặc hiểu sai các báo cáo của cấp dưới;
Hạn chế tiềm tàng của KSNB
Lựa chọn các thành viên HĐQT không chính xác khiến cho vai trò
4 giám sát của hội đồng quản trị giảm sút;

Khả năng đánh lừa, lẩn tránh của nhân viên thông qua sự thông 5 Các mục tiêu của kiểm soát nội bộ có thể bị xác định không phù
2 đồng với nhau hoặc với các cá nhân, tổ chức bên ngoài doanh hợp do hạn chế của người ra quyết định;
nghiệp;

6 Hoạt động kiểm soát thường chỉ nhắm vào các nghiệp vụ thường
Các nhà quản lý có thể đưa ra các quyết định không chính xác do xuyên phát sinh mà ít chú ý đến những nghiệp vụ không thường
3 các yếu tố chủ quan và khách quan; xuyên hay bị bỏ qua;
15

15

3
 08/06/2022

4.2. GIỚI THIỆU KIỂM SOÁT NỘI BỘ

Hạn chế tiềm tàng của KSNB THEO QUAN ĐIỂM COSO

Yêu cầu trên hết của người quản lý là chi phí bỏ ra cho hoạt động
7 kiểm soát phải nhỏ hơn giá trị thiệt hại được tính do sai sót hay
gian lận gây ra.
1
SỰ PHÁT TRIỂN CỦA KIỂM SOÁT NỘI BỘ
THEO QUAN ĐIỂM CỦA COSO
Luôn tiềm ẩn khả năng các cá nhân có trách nhiệm, nhà quản lý
8 khống chế, lạm dụng quyền hạn của mình nhằm phục vụ cho
mưu đồ riêng.

2 CÁC THÀNH PHẦN CỦA KIỂM SOÁT

9 Điều kiện hoạt động của đơn vị đã thay đổi hay các sự kiện bên NỘI BỘ THEO QUAN ĐIỂM CỦA COSO
ngoài nằm ngoài kiểm soát của đơn vị dẫn tới những thủ tục kiểm
soát không còn phù hợp.
15

COSO: UB chng gian ln ca M

CÁC THÀNH PHẦN CỦA KIỂM SOÁT NỘI BỘ

15
08/06/2022

4
 08/06/2022

2. CÁC THÀNH PHẦN CƠ BẢN CỦA 2.1.2. CÁC YẾU TỐ CHỦ YẾU CỦA MÔI TRƯỜNG KIỂM SOÁT
KIỂM SOÁT NỘI BỘ

2.1. MÔI TRƯỜNG KIỂM SOÁT (Control Environment) Truyền đạt và hiệu lực hóa tính trung thực và
các giá trị đạo đức
2.1.1. Khái niệm
- Môi trường kiểm soát bao gồm toàn bộ nhân tố Cam kết về năng lực làm việc của nhân viên
bên trong và bên ngoài đơn vị có tính môi trường
Sự tham gia của Ban quản trị
tác động đến việc thiết kế, hoạt động và xử lý dữ
liệu của các loại hình KSNB. Triết lý quản lý và phong cách điều hành của
- Môi trường kiểm soát phản ánh sắc thái của một nhà quản lý
Quan trng nht

đơn vị, có ảnh hưởng đến ý thức kiểm soát của

mọi thành viên trong đơn vị và là nền tảng đối với Cơ cấu tổ chức
các thành phần khác của KSNB trong đơn vị.
Phân công quyền hạn và trách nhiệm

Chính sách và thông lệ về nhân sự

1. MÔI TRƯỜNG KIỂM SOÁT

1. MÔI TRƯỜNG KIỂM SOÁT
Các nguyên tắc của COSO Các nguyên tắc của COSO
Đơn vị thể hiện sự cam kết về tính liêm chính
1 và các giá trị đạo đức. Đơn vị thể hiện cam kết sẽ thu hút, phát triển
và duy trì các cá nhân có năng lực phù hợp
4
HĐQT thể hiện sự độc lập với người quản lý với mục tiêu của đơn vị.
2 và thực hiện chức năng giám sát
việc xây dựng và vận hành KSNB. Đơn vị đảm bảo duy trì trách nhiệm mỗi
5 cá nhân đối với kiểm soát nội bộ để đạt được
Dưới sự giám sát của HĐQT, nhà quản lý xây mục tiêu đã thiết lập.
dựng cơ cấu, các cấp bậc báo cáo, cũng như
3
phân định trách nhiệm và quyền hạn phù hợp
cho việc thực hiện các mục tiêu của đơn vị.
15

5
 08/06/2022

2. CÁC THÀNH PHẦN CƠ BẢN CỦA KIỂM SOÁT NỘI BỘ Rủi ro từ bên trong doanh nghiệp

Các mâu thuẫn về mục đích và

2.2. Quy trình đánh giá rủi ro các chiến lược của doanh nghiệp 1
(Entity’s risk-assessment process)

vKhái niệm Sự quản lý thiếu minh bạch 2

Quy trình đánh giá rủi ro của đơn vị được hiểu là
quy trình nhận diện và đối phó với rủi ro kinh doanh.
vKhi rủi ro kinh doanh được xác định thì Ban quản lý có
Chất lượng cán bộ
và thiết bị thấp 3
thể lập kế hoạch và các hành động để xử lý rủi ro cụ thể
hoặc có thể chấp nhận rủi ro trên cơ sở chi phí và lợi ích. Thiếu sự kiểm tra, kiểm soát
thích hợp 4

Rủi ro từ các yếu tố bên ngoài Quy trình đánh giá rủi ro
doanh nghiệp

Môi trường kinh doanh

Xác định rủi ro kinh doanh
1
thay đổi 1 liên đến mục tiêu trình bày
BCTC

Ảnh hưởng bởi sự thay đổi

Ước tính mức độ của rủi ro 2
của nền kinh tế 2
Đánh giá khả năng xảy 3
ra rủi ro gian lận
Các tác động từ nhà cung cấp,
khách hàng 3
Quyết định các hành động
thích hợp đối với các rủi ro
4

Bin pháp i phó ri ro:

1. Tránh ri ro;
2. gim thiu ri ro;
3. chp nhn ri ro khi CP nh hn nhiu so vi li ích c em li;
4. chia s ri ro
6
 08/06/2022

2. QUY TRÌNH ĐÁNH GIÁ RỦI RO

Các nguyên tắc của COSO 3. CÁC HOẠT ĐỘNG KIỂM SOÁT
Đơn vị xác định mục tiêu đầy đủ và rõ ràng,
6
làm cơ sở cho việc nhận diện và đánh giá rủi ro
Khái niệm
ảnh hưởng đến mục tiêu.
Đơn vị nhận diện rủi ro ảnh hưởng đến mục tiêu toàn Hoạt động kiểm soát là các chính sách và thủ tục do
7
đơn vị và phân tích rủi ro, làm cơ sở quản trị rủi ro.
Ban lãnh đạo đơn vị thiết lập và chỉ đạo thực hiện
trong đơn vị nhằm đạt được mục tiêu quản lý cụ thể.
Trong quá trình đánh giá rủi ro, đơn vị xem xét
8 khả năng phát sinh gian lận có ảnh hưởng đến mục tiêu

9 Đơn vị nhận diện và đánh giá những thay đổi có

thể ảnh hưởng đáng kể đến kiểm soát nội bộ
08/06/2022 26

3. CÁC HOẠT ĐỘNG KIỂM SOÁT

Các nguyên tắc của COSO Hoạt động kiểm soát gồm các
chính sách và thủ tục liên quan đến
10 Đơn vị lựa chọn và xây dựng các hoạt động kiểm
soát để giảm thiểu rủi ro có ảnh hưởng đến mục
tiêu xuống mức thấp nhất có thể chấp nhận được. Soát xét thực hiện 1 Thc hin hàng tháng, hàng tun

11 Đơn vị lựa chọn và xây dựng các hoạt động Xử lý thông tin 2 Kim soát ct, ghi chép s sách

kiểm soát chung đối với công nghệ nhằm hỗ trợ

cho việc đạt được các mục tiêu của đơn vị.
Kiểm soát vật chất 3 Kim kê, qun lý TS

12 Đơn vị triển khai các hoạt động kiểm soát

thông qua các chính sách và thủ tục kiểm soát. Phân tách trách nhiệm 4
28
08/06/2022
1. 1 h cn phân công, phân nhim cho nhiu ng
2. Ko kiêm nhim (ng gi TS, ng gi s, ng phê chun)

7
 08/06/2022

4. THÔNG TIN VÀ TRUYỀN THÔNG 4. THÔNG TIN VÀ TRUYỀN THÔNG

o Truyền thông là một quá trình cung cấp, chia sẻ và

trao đổi thông tin một cách liên tục, lặp đi lặp lại.
- Hệ thống thông tin là hệ thống trợ giúp việc trao đổi
thông tin, mệnh lệnh và chuyển giao kết quả trong o Truyền thông nội bộ là một phương tiện mà qua đó
thông tin được truyền đi khắp đơn vị, từ trên xuống
công ty.
dưới tới tất cả các bộ phận và đảm bảo nhân viên nắm
- Hệ thống thông tin phải được nhận diện, thu thập và
được thông tin rõ ràng từ quản lý cấp cao.
trao đổi trong biểu mẫu và thời gian cho phép nhân
viên thực hiện nhiệm vụ của họ. o Truyền thông bên ngoài giúp truyền tải thông tin
thích hợp từ bên ngoài vào trong doanh nghiệp đồng
thời cung cấp thông tin cho các đối tượng bên ngoài
theo yêu cầu.
08/06/2022 30

4. THÔNG TIN VÀ TRUYỀN THÔNG

Các nguyên tắc của COSO
13 Đơn vị sử dụng thông tin thích hợp và chất lượng
để hỗ trợ các hoạt động của kiểm soát nội bộ
Hệ thống
thông tin
14 Đơn vị trao đổi các thông tin cần thiết trong nội bộ
bao gồm mục tiêu và trách nhiệm của kiểm soát nội
nhằm hỗ trợ các hoạt động của kiểm soát nội bộ. Hệ thống
Hệ thống thông tin
thông tin phi kế
Đơn vị trao đổi thông tin với các đối tượng bên ngoài
15 kế toán toán
liên quan đến các vấn đề ảnh hưởng tới chức năng
hoạt động của kiểm soát nội bộ.

8
 08/06/2022

CÁC LOẠI HỆ THỐNG THÔNG TIN

Qun lý KH, kênh bán hàng

Qun tr, iu hành,

HỆ THỐNG THÔNG TIN KẾ TOÁN

Hệ thống thông tin kế toán là các quy định

về kế toán và các thủ tục kế toán mà đơn vị
được kiểm toán áp dụng để thực hiện
ghi chép kế toán và lập BCTC.

08/06/2022 Qun lý chui cung ng 33

Phn mm tng th - Phn mm hoch nh ngun lc (ERP)

HỆ THỐNG THÔNG TIN KẾ TOÁN MỤC TIÊU HỆ THỐNG THÔNG TIN KẾ TOÁN

Hệ thống kế toán là hệ thống thông tin chủ yếu của đơn vị thực
MỤC TIÊU HỆ THỐNG KẾ TOÁN
hiện 2 chức năng là thông tin và kiểm tra thông qua:
Sự
1 2 3 4 Tính phê chuẩn
có thực Tính đầy đủ Sự định giá
2
1 3
Hệ thống
Hệ thống Hệ thống Hệ thống
bảng
chứng từ sổ sách tài khoản
tổng hợp, Chuyển sổ 7
4
kế toán kế toán kế toán
cân đối và tổng hợp
kế toán chính xác 6 5
Tính Sự
Trong đó quá trình lập và luân chuyển chứng từ đóng vai trò
đúng kỳ phân loại
quan trọng trong công tác kiểm soát nội bộ của DN

H thng ct là quan trng nht

9
 08/06/2022

Một hệ thông thông tin hiệu quả cần phải Thông tin và truyền thông
1. Nhận diện và ghi chép tất cả
các nghiệp vụ kinh tế
Thông tin Truyền thông
2. Giải quyết các nghiệp vụ đã bị xử lý sai
- Đảm bảo việc luân
- Đảm bảo cho nhân viên
chuyển chứng từ
đều có thể hiểu và nắm rõ
3. Xử lý và giải thích hệ thống có thể - Hệ thống thông tin được
- Phổ biến cho các đối tác
bỏ qua các kiểm soát thiết kế đối chiếu
về các tiêu chuẩn đạo
- Mỗi nhân viên kế toán
đức của đơn vị
4. Chuyển thông tin từ các hệ thống xử lý có user và password riêng
- Thiết lập các kênh thông
nghiệp vụ sang sổ cái để truy cập
tin nóng
- Đảm bảo hình thức của
-Theo dõi phản hồi thông
5. Có thông tin phù hợp để lập BCTC cho sổ sách, báo cáo
tin
các sự kiện và các nghiệp vụ phát sinh - Xây dựng chương trình,
kế hoạch ứng cứu sự cố
6. Trình bày các nghiệp vụ và các yếu tố
liên quan một cách hợp lý trên BCTC

4.2.2. CÁC THÀNH PHẦN CỦA KIỂM SOÁT NỘI BỘ 5. GIÁM SÁT

2.5 Giám sát (Monitoring) Các nguyên tắc của COSO

Giám sát các kiểm soá
Giám sát là
t là quá trình đánh giá tính 16 Đơn vị lựa chọn, xây dựng và thực hiện việc giám sát
công cụ quản lý hiệu quả của hệ thống thường xuyên và chuyên biệt để đảm bảo rằng các
quan trọng để kiểm soát nội bộ, trợ giúp bộ phận của KSNB hiện hữu và hoạt động hữu hiệu.
theo dõi tiến độ xem xét hệ thống kiểm
thực hiện và hỗ soát nội bộ có được vận
hành một cách trơn chu,
trợ quá trình ra
hiệu quả.
quyết định
Đơn vị đánh giá và thông tin về các điểm yếu của
kiểm soát nội bộ kịp thời cho các cá nhân có liên
17 quan bao gồm các nhà quản lý cấp cao và
hội đồng quản trị có các hành động sửa chữa.

10
 08/06/2022

Giám sát Giám sát

01 Giám sát việc

nhập dữ liệu . Giám sát thường xuyên

••Khả năng tiếp nhận thông tin, báo cáo công nợ

••Đánh giá chất lượng HTKT trách nhiệm
02 Giám sát quá trình
xử lý dữ liệu.
••Yêu cầu các cấp quản lý trung gian báo cáo

Đánh giá độc lập

03 Giám sát thông tin đầu ra. ••Lập ủy ban kiểm soát từ 3-5 người

GIỚI THIỆU CHUNG VỀ KHUNG COBIT

4.3 GIỚI THIỆU KIỂM SOÁT NỘI BỘ
4.3.1 QUÁ TRÌNH PHÁT TRIỂN CỦA COBIT
THEO QUAN ĐIỂM COBIT
Hiệp hội Kiểm toán và Kiểm soát hệ thống thông tin

1
QUÁ TRÌNH PHÁT TRIỂN CỦA COBIT
2 Control Objectives for Information and Related Technology)
MỤC TIÊU CỦA COBIT
3
CÁC YẾU TỐ THEO KHUNG COBIT
(Information System Audit and Control Association - ISACA)
phát triển một chuẩn quốc tế về Các mục tiêu kiểm soát đối
với công nghệ thông tin và các lĩnh vực liên quan (COBIT -
nhằm cung cấp cho các nhà quản lý, những người kiểm tra và
sử dụng công nghệ thông tin một loạt các đo lường, công cụ,
quy trình và hướng dẫn thực hành tốt nhất để giúp tăng tối đa
lợi nhuận thông qua việc sử dụng CNTT.

11
 08/06/2022

GIỚI THIỆU CHUNG VỀ KHUNG COBIT

• COBIT được ra đời lần đầu tiên vào năm 1996, ban đầu là một bộ
những mục tiêu kiểm soát để hỗ trợ kiểm toán viên tài chính trong
việc kiểm toán liên quan đến CNTT. • Đi cùng với sự phát triển của COBIT, ISACA còn tiếp
• ISACA đã tiếp tục phát triển và ra phiên bản thứ 2 vào năm 1998.
tục phát triển hai bộ khung kiểm soát khác đó là Val
• Phiên bản thứ 3 của COBIT do ISACA phát hành đã giới thiệu
thêm các khuôn mẫu hướng dẫn quản lý phức tạp hơn mở rộng
IT và Risk IT hỗ trợ tập trung tối đa hoá giá trị của
sang nhiều khía cạnh khác chứ không chỉ kiểm toán. công nghệ thông tin cho việc kinh doanh và quản lý
• Phiên bản thứ 4 chứa các tiêu chuẩn ưa thích, thường được sử rủi ro công nghệ thông tin.
dụng bởi những chuyên gia bảo mật CNTT hàng đầu. • Hai bộ khung này kết hợp với COBIT 5 trở thành
• Phiên bản thứ 5, COBIT 5, được phát hành vào năm 2012, tập một bộ khung thống nhất về quản trị doanh nghiệp.
trung nhiều hơn vào khía cạnh quản trị thông tin, cùng với quản lý
rủi ro, và được sử dụng rộng rãi trong cộng đồng doanh nghiệp.
• Phiên bản thứ 6, được ISACA giới thiệu năm 2019 đã phát triển
thêm một số nội dung.

Enterprise Governance of I & T Qtr CNgh và Thông tin

COBIT 5 sẽ vận hành dựa trên 5 nguyên tắc cốt lõi:
• Đáp ứng nhu cầu của các bên liên quan (cổ đông, đối
Qun lý h IT ca DN tác).
• Có một phạm vi bảo hiểm toàn diện cho tổ chức, doanh
Qun tr IT nghiệp.
• Tạo lập một khung (framework) thống nhất tuyệt đối,
Qun lý duy nhất.
Kim soát
• Tạo lập một phương thức tiếp cận toàn diện hơn cho
hoạt động kinh doanh của doanh nghiệp.
Kim toán • Chỉ rõ sự khác biệt giữa quản lý (management) và quản
COBIT 2019 trị (governance).
47
2019

12
 08/06/2022

Theo COBIT thì KSNB tập trung vào những điểm:

4.3.2. MỤC TIÊU CỦA COBIT
COBIT được sử dụng bởi nhà quản lý, nhà tư vấn và kiểm
toán để nhằm vào các vấn đề sau:
• Xác định các kiểm soát cần thiết nhằm giảm thiểu rủi ro
trong quản lý CNTT và tăng thêm giá trị doanh nghiệp.
• Xây dựng đo lường và gia tăng dịch vụ CNTT một cách
hiệu quả.
• Đánh giá và kiểm toán quan lý CNTT và đảm bảo rằng
quản lý CNTT hỗ trợ, gắn kết và đồng hành với quản lý
doanh nghiệp
• Mục tiêu kinh doanh: thông tin cần phải tuân thủ 7 tiêu chí tương
đồng với các mục tiêu mà COSO đặt ra.
• Nguồn lực CNTT: Nguồn lực CNTT được kiểm soát trên 4 nguồn
lực chính là: Nguồn nhân lực; Nguồn cơ sở hạ tầng; Nguồn thông
tin; Nguồn phần mềm ứng dụng. Đây là 4 phần cơ bản nhất của hệ
thống thông tin. Doanh nghiệp dựa vào các nguồn lực này để xây
dựng chính là đảm bảo cho nền móng xây dựng triển khai CNTT
trong đơn vị.
• Quy trình CNTT: COBIT kiểm soát 4 bước chính là: Hoạch định
và tổ chức; Xây dựng và thực hiện; Hỗ trợ và triển khai; Giám sát và
theo dõi. Bốn bước này không thể thiếu khi xây dựng bất cứ hệ
thống CNTT nào, COBIT dựa trên bốn bước này thể hiện sự gắn kết
chặt chẽ của phương pháp quản trị COBIT với hệ thống thông tin.

4.3.3. CÁC YẾU TỐ THEO KHUNG COBIT 2.1 MỤC TIÊU KINH DOANH

• COBIT dựa vào mục tiêu kinh doanh của doanh

CÁC THÀNH PHẦN CƠ BẢN nghiệp, tổ chức đó để phát triển CNTT đúng khả

Nguồn tài nguyên CNTT năng, đem hiệu quả tối ưu đạt được mục tiêu đề ra,
(IT Resource) điều nay còn giúp giảm chi phí đến mức tối thiểu.
Mục tiêu kinh doanh • Để đạt được mục tiêu kinh doanh, thông tin cần phải
(Business Requirements) tuân thủ 07 tiêu chuẩn để đáp ứng yêu cầu:
Quy trình công nghệ thông tin
(IT Processes)
51
08/06/2022

13

CÁC TIÊU CHUẨN CẦN ĐẠT ĐƯỢC
Yêu cầu chất lượng
Tiêu chuẩn 1- Hữu hiệu (Effectiveness):
Thông tin được coi là hữu hiệu nếu phù hợp với yêu cầu
xử lý kinh doanh và đáp ứng người sử dụng kịp thời,
chính xác, nhất quán và hữu ích phù hợp với
các phương pháp xử lý đã lựa chọn.
Tiêu chuẩn 2- Hiệu quả (Efficiency):
Tiêu chuẩn này liên quan tới tính hiệu quả, tính kinh tế
của việc sử dụng các nguồn lực tạo thông tin.
Tiêu chuẩn này thể hiện mức độ sử dụng tài nguyên
CNTT một cách tối đa.
CÁC TIÊU CHUẨN CẦN ĐẠT ĐƯỢC
Yêu cầu tin cậy
Tiêu chuẩn 6- Tuân thủ (Compliance):
Đây là tiêu chuẩn yêu cầu thông tin phải phù hợp luật
pháp, chính sách hoặc các tiêu chuẩn xử lý kinh doanh
và các thỏa thuận ràng buộc.
Tiêu chuẩn 7- Độ tin cậy của thông tin
(Reliability of information):
Đáng tin cậy là tiêu chuẩn yêu cầu cung cấp đủ thông tin
thích hợp cho việc điều hành hoạt động doanh nghiệp và
thực thi các trách nhiệm liên quan.
08/06/2022
CÁC TIÊU CHUẨN CẦN ĐẠT ĐƯỢC
Yêu cầu an ninh thông tin
Tiêu chuẩn 3- Bảo mật (Confidentiality): Đảm bảo thông tin được
bảo vệ nhằm tránh việc sử dụng không được phép. Tính bảo mật thể
hiện mức độ bí mật, tin cậy của thông tin và không bị tiết lộ.
Tiêu chuẩn 4- Toàn vẹn (Integrity): Tiêu chuẩn này liên quan tới
tính chính xác và đầy đủ cũng như hợp lệ của thông tin nhằm đảm
bảo các dữ liệu lưu trữ trong cơ sở dữ liệu chính xác và tin cậy được.
Đảm bảo các thông tin đúng, đủ, không bị trùng lắp tại các điểm phát
sinh dữ liệu và không bị làm khác biệt trên qui trình khai thác.
Tiêu chuẩn 5- Sẵn sàng (Availability): Thể hiện thông tin sẵn sàng
đáp ứng phục vụ cho xử lý kinh doanh hiện tại và tương lai. Sẵn sàng
cung cấp thông tin đòi hỏi tính an toàn của các nguồn lực liên quan.
2.2. NGUỒN LỰC CNTT
Hệ thống thông tin bao gồm 4 nguồn lực CNTT
• là các phần mềm hoặc các thủ tục thủ công để hướng
Hệ thống
dẫn sử dụng, lập trình và xử lý thông tin.
ứng dụng
• Trong bất kỳ một doanh nghiệp hay tổ chức nào cũng
(công
cần phải có những thủ tục hay những chương trình,
nghệ):
phần mềm ứng dụng để hỗ trợ hoạt động của đơn vị.
• Là các dữ liệu đầu vào của hệ thống, dữ liệu được xử
lý, kết xuất của hệ thống thông tin.
• Tất cả các dữ liệu và thông tin này có thể được hình
Thông
thành và lưu trữ ở bất cứ hình thức nào.
tin
• Thông tin luôn đòi hỏi sự chính xác và nhanh chóng.
• Quản trị tốt thông tin thì mới tạo ưu thế kinh doanh của
doanh nghiệp hay tổ chức đó.
14
 08/06/2022

2.2. NGUỒN LỰC CNTT 2.3 QUY TRÌNH CÔNG NGHỆ THÔNG TIN
Hệ thống thông tin bao gồm 4 nguồn lực CNTT
• Quy trình CNTT (hay các hoạt động xử lý hay hoạt
• Bao gồm công nghệ và các phương tiện hỗ trợ như thiết bị phần
cứng, hệ điều hành, hệ thống quản trị cơ sở dữ liệu, hệ thống
động kiểm soát CNTT) được hiểu là tất cả các hoạt
Cơ sở mạng, phương tiện truyền thông… và môi trường như là nhà động, các xử lý liên quan toàn bộ quá trình phát triển
hạ cửa, công cụ dụng cụ hỗ trợ khác. hệ thống thông tin theo chu trình PDCA như lý thuyết
tầng • Với chiến lược phát triển CNTT người ta thường thấy nhất là quản lý của Deming.
doanh nghiệp phải đầu tư cơ sở hạ tầng nâng cấp các công cụ,
hệ thống CNTT. • COBIT chia các quy trình xử lý CNTT thành 4 bước
chính bao gồm:
• Là những người liên quan tới việc lập kế hoạch, tổ chức, • Sắp xếp, Lập kế hoạch và Tổ chức;
xác định yêu cầu, hình thành hệ thống, thực hiện xử lý và
tạo thông tin, hỗ trợ, giám sát và đánh giá hệ thống thông • Xây dựng, Thu mua và Thực hiện;
Con tin và dịch vụ. • Cung cấp, Phân phối và Hỗ trợ;
người • Họ có thể là nhân viên trong doanh nghiệp, người bên
• Giám sát, Định giá và Đánh giá.
ngoài thực hiện dịch vụ cho hệ thống hoặc cung cấp sản
phẩm liên quan hệ thống thông tin.

– Sắp xếp, Lập kế hoạch và tổ chức

Được gọi là
Mô hình tham • Sắp xếp, Lập kế hoạch và Tổ chức (Align, Plan &
chiếu quy
trình, hoặc Organize) là các hoạt động thiết lập chính sách, mục
PRM trong tiêu của hệ thống thông tin và cách thực hiện công nghệ
COBIT 5,
COBIT® năm thông tin nhằm phục vụ cho việc đạt mục tiêu quản lý
2019 xác định
đây là Mô
của tổ chức.
hình cốt lõi • Bước công việc này hướng tới 2 mục tiêu kiểm soát
COBIT.
quan trọng là:
• Thiết lập tầm nhìn chiến lược cho hệ thống thông tin.
• Phát triển tầm nhìn chiến lược này thành các mục tiêu
Reference: CO BIT® 2019 Fram ew ork: Introduction and M ethodology, Chapter 4 Basic Concepts: Governance System s and Com ponents, Figure 4.2
hay kế hoạch cụ thể nhằm đạt được chiến lược này.

15
 08/06/2022

Sắp xếp, Lập kế hoạch và Tổ chức (Align, Plan & Organize) Sắp xếp, Lập kế hoạch và Tổ chức (Align, Plan & Organize)

Gồm 14 xử lý kiểm soát chi tiết Gồm 14 xử lý kiểm soát chi tiết

APO 01: Quản lý về hoạt động quản trị CNTT. APO 08: Quản lý các mối quan hệ
APO 02: Quản lý chiến lược APO 09: Quản lý các thoả thuận về dịch vụ
APO 03: Quản lý cấu trúc doanh nghiệp APO 10: Quản lý nhà cung cấp
APO 04: Quản lý hoạt động đổi mới APO 11: Quản lý chất lượng
APO 05: Quản lý danh mục đầu tư APO 12: Quản lý rủi ro
APO 06: Quản lý ngân sách và chi phí APO 13: Quản lý an ninh
APO 07: Quản lý Nguồn nhân lực APO 14: Quản lý dữ liệu

Xây dựng, Thu mua và Thực hiện (Build, Acquire,Implement)

– Xây dựng, Thu mua và Thực hiện
Gồm 11 xử lý kiểm soát chi tiết
• Dựa vào các chiến lược và kế hoạch phát triển hệ
thống thông tin, các yêu cầu và giải pháp cụ thể hệ BAI 01: Quản lý chương trình
thống thông tin cần được xác định và tiến hành mua
hay hình thành nó. BAI 02: Quản lý chiến lược
• Đây chính là quá trình xác định các yêu cầu về CNTT, BAI 03: Quản lý cấu trúc doanh nghiệp
mua lại các công nghệ và thực hiện nó trong quy trình
kinh doanh hiện tại của công ty. BAI 04: Quản lý hoạt động đổi mới
• Lĩnh vực này cũng chỉ ra sự phát triển của một kế
BAI 05: Quản lý danh mục đầu tư
hoạch bảo dưỡng mà công ty sẽ chấp nhận để kéo dài
sự tồn tại của một hệ thống CNTT và các thành phần BAI 06: Quản lý ngân sách và chi phí
của nó.

16
 08/06/2022

Xây dựng, Thu mua và Thực hiện (Build, Acquire,Implement) - Cung cấp, Phân phối và Hỗ trợ
Gồm 11 xử lý kiểm soát chi tiết
• Cung cấp, Phân phối và Hỗ trợ: là quá trình phân
BAI 07: Quản lý chấp nhận thay đổi phối sản phẩm thông tin và muốn tạo được thông tin
và chuyển đổi CNTT tới người sử dụng thì cần các hoạt động hỗ trợ người
BAI 08: Quản lý kiến thức sử dụng cách sử dụng và giải quyết các vấn đề trục
trặc của hệ thống.
BAI 09: Quản lý các tài sản
• Bản chất của vùng hoạt động này là các kiểm soát đảm
BAI 10: Quản lý cấu hình bảo an toàn hệ thống trong quá trình sử dụng như kiểm
BAI 11: Quản lý các dự án soát truy cập hệ thống, an toàn vật lý, phần mềm và
bao gồm cả kiểm soát ứng dụng như nhập liệu, xử lý
và tạo kết quả xử lý.

Cung cấp, Phân phối và Hỗ trợ (Deliver,Service,Support) – Giám sát, định giá và đánh giá
Gồm 06 xử lý kiểm soát chi tiết

DSS 01: Quản lý các hoạt động • Tất cả hoạt động của hệ thống thông tin cần được
DSS 02: Quản lý yêu cầu dịch vụ sự cố giám sát và đánh giá để phát hiện các sai sót, yếu
DSS 03: Quản lý các vấn đề kém xẩy ra.
DSS 04: Quản lý liên tục
DSS 05: Quản lý dịch vụ bảo vệ
DSS 06: Quản lý kiểm soát quy trình kinh doanh

17
 08/06/2022

Giám sát, định giá và đánh giá (Monitor, Evalute & Assess)

Được gọi là Gồm 04 xử lý kiểm soát chi tiết

Mô hình tham
chiếu quy
trình, hoặc
MEA 01: Quản lý giám sát việc thực hiện
PRM trong và sự phù hợp
COBIT 5,
COBIT® năm
2019 xác định MEA 02: Quản lý hệ thống kiểm soát nội bộ
đây là Mô
hình cốt lõi
COBIT. MEA 03: Quản lý sự tuân thủ
các yêu cầu từ bên ngoài

MEA 4: Quản lý các dịch vụ bảo đảm

Reference: CO BIT® 2019 Fram ew ork: Introduction and M ethodology, Chapter 4 Basic Concepts: Governance System s and Com ponents, Figure 4.2

COBIT vs COSO ITCG vs ISO 17799

COSO vs COSO
So sánh các khuôn mẫu kiểm soát Thêm 7 mục tiêu: Thêm 2 mục Chỉ bao gồm
Kiểm - Định hướng, tiêu: Quản lý các kiểm soát
soát - Quản lý đầu tư CNTT, rủi ro & Kiểm về an ninh
chung - Giải pháp tự động, soát lập kế thông tin,
- Đảm bảo tính liên tục, hoạch CNTT. tuân thủ.
- Xác định chi phí,
- Trợ giúp khách hàng.
Kiểm Không tách riêng Thêm mục Không tách
soát tiêu: Thông riêng
ứng tin phải đầy
dụng đủ, chính xác
& hợp lệ

18
 08/06/2022

Đặc điểm môi trường máy tính

4.4 – KSNB TRONG CỦA
HỆ THỐNG THÔNG TIN KẾ TOÁN
vTầm quan trọng hệ thống thông tin Lệ thuộc phần
mềm Kiểm tra

Ø Cung cấp thông tin làm cơ sở ra quyết định. Lập trình

phương pháp kế
Sẵn có dữ
thông tin

liệu
toán
Ø Chất lượng thông tin ảnh hưởng tới chất Quá trình xử lý
Thông tin
Chứng từ
Dấu vết xử lý điện tử
lượng quyết định đưa ra Chứng từ do
Nhập liệu và Đặc điểm môi phần mềm in
cập nhật
trường máy tính
Chứng từ viết
Lập trình thủ Hạch toán tay
tục kiểm soát ban đầu

Xử lý tự động

73 74
08/06/2022 08/06/2022

Sai sót và gian lận trong hệ thống thông tin Rủi ro của Hệ thống thông tin

l Sai sót và gian lận về nhập liệu üBị lấy trộm TT về tài sản
l Sai sót và gian lận về xử lý üLạm dụng truy cập mạng
nghiệp vụ üTừ chối dịch vụ
üVirut máy tính
l Sai sót và gian lận về thông tin Rủi ro
đầu ra üPhá hoại ngầm dữ liệu
üXâm nhập hệ thống
l Sai sót và gian lận về lưu trữ và
bảo mật thông tin üHành vi gian lận
üSự lừa gạt
6/8/22 6/8/22

19

Rủi ro đối với thông tin kế toán
l Phần mềm được lập trình sai
l Phần mềm không phù hợp với
chế độ kế toán
l Thông tin kế toán bị mất hay
không đúng do lỗi thiết bị, lỗi
người dùng
l Thông tin kế toán bị đánh
cắp, bị lộ bí mật
l Hệ thống bị phá huỷ
6/8/22
Khả năng có sai sót và gian lận
trong môi trường máy tính
vViệc đánh giá khả năng có sai sót và gian lận
trong môi trường máy tính bao gồm các vấn đề
sau:
Ø Đánh giá nhận thức về gian lận và sai sót của
doanh nghiệp
Ø Đánh giá việc tuân thủ các quy định về kế toán
trong môi trường máy tính
Ø Đánh giá phần mềm kế toán và các hệ thống có
liên quan
08/06/2022
Sai sót và gian lận trong môi trường máy tính
vTheo góc độ kỹ thuật: gian lận nào cũng có ba
thành phần: Ăn cắp tài sản, chuyển đổi tài sản ăn
cắp thành tiền, che giấu việc ăn cắp bằng các ghi
chép giả mạo
ü Cố tình nhập sai dữ liệu, phá hủy máy tính, phần
mềm
ü Ăn cắp thông tin thông qua việc truy cập bất hợp
pháp
ü Sử dụng máy tính để lừa dối, tạo hệ thống sổ
song song
KIỂM SOÁT NỘI BỘ
TRONG MÔI TRƯỜNG MÁY TÍNH
l Các hoạt động kiểm soát được thiết kế và thực hiện
nhằm đảm bảo môi trường kiểm soát của tổ chức
được ổn định, vững mạnh, tăng tính hữu hiệu cho
kiểm soát ứng dụng trong môi trường máy tính
80
08/06/2022
20
 08/06/2022

4.4.1. Kiểm soát chung Các loại kiểm soát chung

a. Xác lập kế hoạch an ninh

Mục tiêu tìm hiểu và đánh giá: b. Phân chia trách nhiệm giữa các chức năng của hệ thống
c. Kiểm soát thâm nhập về mặt vật lý
¬ Sự hiện hữu của các chính sách, quy định
d. Kiểm soát truy cập hệ thống
¬ Phổ biến và công bố e. Kiểm soát lưu trữ dữ liệu
¬ Sự tuân thủ f. Các kế hoạch phục hồi sau thiệt hại
g. Bảo vệ máy tính cá nhân, máy tính mạng
¬ Các giải pháp kỹ thuật hỗ trợ
h. Kiểm soát Internet
¬ Tính hữu hiệu i. Dấu vết kiểm soát
¬ Soát xét và cập nhật
81 82
08/06/2022 08/06/2022

b. Phân chia trách nhiệm

a. Xác lập kế hoạch an ninh
giữa các chức năng của hệ
thống
l Những câu hỏi đặt ra Ngăn ngừa thay đổi
chương trình/dữ liệu
vì lợi ích cá nhân

- Ai (who) cần tiếp cận Lập trình

Sử dụng hệ thống
thông tin gì (what)?

- Khi nào cần (when)? Ngăn ngừa việc phê

Người dùng có thể
quá am tường về chuẩn cho những
các thủ tục kiểm sửa đổi bất hợp
- Thông tin lưu trữ ở hệ soát trong hệ thống pháp trong chương
trình và thực hiện
thống nào (which)? việc sửa đổi này

Phân tích hệ thống

83 84
08/06/2022 08/06/2022

21
 08/06/2022

c. Kiểm soát thâm nhập về mặt vật lý d. Kiểm soát truy cập

l Mục tiêu: ngăn ngừa những người

l Mục tiêu: đảm bảo người dùng hợp pháp, tăng
không có thẩm quyền tiếp cận tài sản cường an ninh cho hệ thống và dữ liệu
l Cho toàn bộ hệ thống: Chính sách, hướng dẫn,
– Khoá, bảo vệ
– Thẻ từ giải pháp kỹ thuật
– Quy định trách nhiệm - Khai báo người dùng
– Thiết bị hỗ trợ – Nhận dạng cá nhân

– Phân quyền truy cập

85 86
08/06/2022 08/06/2022 TS. ĐINH THẾ HÙNG -
NEU

d. Kiểm soát truy cập e. Kiểm soát lưu trữ

l Bảo mật nhiều lớp l Quy định sao lưu và phục hồi dữ liệu
l Trên phần mềm ứng dụng: - Dữ liệu
- Chức năng quản lý người dùng - Phương pháp sao lưu
- Phân quyền truy cập
- Phương tiện sao lưu
- Bảo mật
l Đánh giá kiểm soát truy cập l Giải pháp kỹ thuật
- Đánh giá chính sách l Tính năng trên phần mềm
- Đánh giá giải pháp l Đánh giá kiểm soát lưu trữ
- Thử nghiệm phần mềm

87 88
08/06/2022 08/06/2022

22
 08/06/2022

f. Kế hoạch phục hồi sau thiệt hại g. Kiểm soát máy tính cá nhân,
mạng máy tính, Internet

l Mục tiêu:
l Huấn luyện nhân viên
– An ninh cho toàn hệ thống
l Quy định trách nhiệm
– Sự hữu hiệu
l Sao lưu toàn bộ hệ thống - phục hồi dữ liệu và
– Tuân thủ luật pháp và các quy định
chương trình
l Mua bảo hiểm.
l Các thủ tục kiểm soát
– Hạn chế tiếp cận thiết bị
– Giới hạn truy cập từ xa

89 90
08/06/2022 08/06/2022 TS. ĐINH THẾ HÙNG -
NEU

g. Kiểm soát máy tính cá nhân,

mạng máy tính, Internet h. Dấu vết kiểm soát

l Các thủ tục kiểm soát

– Huấn luyện đầy đủ
l Điều chỉnh số liệu kế toán phải lưu lại dấu vết
- Sử dụng các phần mềm và các giải pháp bảo
mật. l Tuân thủ việc sửa sổ theo quy định
- Thông tin thường xuyên và đầy đủ về an ninh và l Tự động lưu hành vi truy cập hệ thống, chỉnh
ý thức bảo vệ an ninh trong việc sử dụng máy tính sửa dữ liệu
và mạng máy tính.
- Tăng cường các hoạt động giám sát sử dụng l Báo cáo dấu vết kiểm soát
máy tính.
- Mã hoá dữ liệu

91 92
08/06/2022 08/06/2022

23
 08/06/2022

4.4.2. Kiểm soát ứng dụng Kiểm soát nhập liệu

l Kiểm soát nguồn dữ liệu

l Mục tiêu: Hạn chế gian lận, sai sót trong quá – Kiểm tra việc đánh số chứng từ
trình nhập liệu, xử lý dữ liệu và cung cấp thông tin. – Tài liệu - chứng từ luân chuyển
– Phê duyệt chứng từ
l Thủ tục kiểm soát:
- Kiểm soát nhập liệu –Đánh dấu chứng từ sau khi ghi sổ, nhập liệu hay
- Kiểm soát quá trình xử lý xử lý
- Kiểm soát thông tin đầu ra
–Sử dụng các thiết bị kiểm tra chứng từ trước khi
nhập liệu

6/8/22 93 94
08/06/2022 08/06/2022

Kiểm soát nhập liệu Kiểm soát nhập liệu

l Kiểm soát quá trình nhập liệu l Kiểm soát quá trình nhập liệu
- Số tổng kiểm soát
- Kiểm tra tuần tự
- Kiểm tra tính đầy đủ
- Kiểm tra vùng dữ liệu
- Các giá trị mặc định và tạo số tự động
- Kiểm tra dấu (>0, hoặc <0)
- Bản ghi nghiệp vụ
- Kiểm tra hợp lý
- Thông báo lỗi và hướng dẫn sửa lỗi
- Kiểm tra giới hạn
- Kiểm tra tính có thực

95 96
08/06/2022 08/06/2022

24
 08/06/2022

Kiểm soát nhập liệu Kiểm soát quá trình xử lý dữ liệu

l Ví
l Mục tiêu: ngăn chặn, phát hiện và xử lý sai sót
dụ:
– Trình bày các thủ tục kiểm soát nhập liệu cần thiết
trong quá trình chuyển dữ liệu thành thông tin
khi nhập nghiệp vụ thanh toán tiền cho người bán l Thủ tục:
bằng tiền mặt, phần mềm in Phiếu chi - Kiểm tra ràng buộc toàn vẹn dữ liệu
Tên DL Kiểm soát quá trình nhập liệu
- Kiểm tra dữ liệu hiện hữu (loại bỏ trường hợp
STT nhập đối tượng không hoạt động tồn tại trong danh
Tuần Hợp Đầy Có Kiểm …
mục xử lý)
tự lý đủ thực tra
dấu - Báo cáo liệt kê các yếu tố bất thường
- Đối chiếu dữ liệu ngoài hệ thống...

97 98
08/06/2022 08/06/2022

Kiểm soát thông tin đầu ra
l Kiểm soát thông tin đầu ra bao gồm chính sách
và các bước thực hiện nhằm đảm bảo sự chính
xác của việc xử lý số liệu.
l Xem xét các kết xuất nhằm đảm bảo nội dung
thông tin cung cấp và hình thức phù hợp với
nhu cầu sử dụng thông tin.
l Đối chiếu giữa kết xuất và dữ liệu nhập thông
qua các số tổng kiểm soát nhằm đảm bảo tính
chính xác của thông tin.
l Chuyển giao chính xác thông tin đến đúng
người sử dụng thông tin.
99
08/06/2022
Kiểm soát thông tin đầu ra
l Đảm bảo an toàn cho các kết xuất và thông tin
nhạy cảm của doanh nghiệp.
l Quy định người sử dụng phải có trách nhiệm
kiểm tra tính chính xác, đầy đủ và trung thực của
thông tin sau khi nhận thông tin, báo cáo.
l Quy định huỷ các dữ liệu, thông tin bí mật sau
khi tạo ra kết xuất trên giấy than, trên các bản in
thử, các bản nháp, …
l Tăng cường các giải pháp an toàn hệ thống
mạng trong trường hợp chuyển giao thông tin
trên hệ thống mạng máy tính.
10
08/06/2022 0

25
 08/06/2022

VIỆN KẾ TOÁN - KIỂM TOÁN XIN CẢM ƠN !

Website : www.neu.edu.vn

10
10 2
1

26