INTERNATIONAL CONTROLS SPECIFIC TO CÁC KIỂM SOÁT QUỐC TẾ CỤ THỂ ĐỐI VỚI CÔNG
INFORMATION TECHNOLOGY NGHỆ THÔNG TIN
Technology can strengthen a company’s system Công nghệ có thể củng cố hệ thống kiểm soát nội of internal control but can also provide bộ của công ty nhưng cũng có thể challenges. To address risks associated with cung cấp những thách thức. Để giải quyết những reliance on technology, organizations often rủi ro liên quan đến việc phụ thuộc vào công implement specific IT controls. Auditing nghệ,các tổ chức thường triển khai các biện pháp standards describe two categories of controls for kiểm soát CNTT cụ thể. Chuẩn mực kiểm toán mô IT systems: General controls and application tả hai các hạng mục kiểm soát cho hệ thống controls. CNTT: kiểm soát chung và kiểm soát ứng dụng. General controls apply to all aspects of the IT Các biện pháp kiểm soát chung áp dụng cho tất function, including IT administration; separation cả các khía cạnh của chức năng CNTT, bao gồm cả of IT duties; systems development; physical and quản trị CNTT; tách biệt các nhiệm vụ CNTT; phát online security over access to hardware, triển hệ thống; bảo mật vật lý và trực tuyến qua software, and related data; backup and quyền truy cập vào phần cứng, phần mềm và dữ contingency planning in the event of unexpected liệu liên quan; dự phòng và lập kế hoạch dự emergencies; and hardware controls. Because phòng trong tình huống khẩn cấp đột xuất; và general controls often apply on an entity-wide điều khiển phần cứng. Do các kiểm soát chung basis and affect many different software thường áp dụng trên toàn đơn vị và ảnh hưởng applications, auditors evaluate general controls đến nhiều ứng dụng phần mềm khác nhau, nên for the company as a whole. kiểm toán viên đánh giá các kiểm soát chung đối Application controls typically operate at the với toàn công ty. business process level and apply to processing Kiểm soát ứng dụng thường hoạt động ở cấp quy transactions, such as controls over the processing trình nghiệp vụ và áp dụng cho of sales or cash receipts. xử lý các giao dịch, chẳng hạn như kiểm soát việc Auditors must evaluate application controls for xử lý doanh số bán hàng hoặc thu tiền mặt. every class of transactions or account in which Kiểm toán viên phải đánh giá các biện pháp the auditor plans to reduce assessed control risk, kiểm soát ứng dụng cho mọi loại giao dịch hoặc because IT controls will be different across tài khoản trong đó kiểm toán viên có kế hoạch classes of transactions and accounts. Application giảm rủi ro kiểm soát đã đánh giá, vì các kiểm controls are likely to be effective only when soát CNTT sẽ khác nhau giữa các loại giao dịch và general controls are effective. tài khoản. Kiểm soát ứng dụng có khả năng chỉ có hiệu quả khi các biện pháp kiểm soát chung có hiệu quả. -- Tương tự như ảnh hưởng của môi trường kiểm -- Similar to the effect that the control soát đối với các thành phần khác của environment has on other components of kiểm soát nội bộ, sáu loại kiểm soát chung có internal control, the six categories of general ảnh hưởng trên toàn đơn vị đối với tất cả controls have an entity-wide effect on all IT Nó có chức năng. Kiểm toán viên thường đánh functions. Auditors typically evaluate general giá các kiểm soát chung sớm trong cuộc đánh giá controls early in the audit because of their impact vì tác động của chúng đối với các điều khiển ứng on application controls. dụng. + Quản lý chức năng IT Thái độ của ban giám đốc + Administration of the IT Function The board of và quản lý cấp cao về CNTT ảnh hưởng đến tầm directors’ and senior management’s attitude quan trọng được nhận thức của CNTT trong một about IT affect the perceived importance of IT tổ chức. Giám sát, phân bổ nguồn lực và sự tham within an organization. Their oversight, resource gia của họ vào các quyết định CNTT quan trọng allocation, and involvement in key IT decisions báo hiệu tầm quan trọng của CNTT đối với tổ each signal the importance of IT to the chức. Trong các môi trường phức tạp, ban lãnh organization. In complex environments, đạo có thể thành lập các ban chỉ đạo CNTT để management may establish IT steering giúp giám sát nhu cầu công nghệ của tổ chức. committees to help monitor the organization’s Trong các tổ chức ít phức tạp hơn, hội đồng quản technology needs. In less complex organizations, trị có thể dựa vào báo cáo thường xuyên the board may rely on regular reporting by a chief bởi một giám đốc thông tin (CIO) hoặc giám đốc information officer (CIO) or other senior IT CNTT cấp cao khác để giữ quyền quản lý manager to keep management informed. In nắm được tin tức. Ngược lại, khi ban quản lý chỉ contrast, when management assigns technology định các vấn đề công nghệ dành riêng cho issues exclusively to lower-level employees or nhân viên cấp thấp hơn hoặc các nhà tư vấn bên outside consultants, an implied message is sent ngoài, một thông điệp ngụ ý được gửi rằng CNTT that IT is not a high priority. The result is often an là không phải là một ưu tiên cao. Kết quả thường understaffed, underfunded, and poorly là một chức năng CNTT thiếu nhân lực, thiếu tài controlled IT function. chính và được kiểm soát kém. +Tách biệt các nhiệm vụ IT Để đối phó với rủi ro khi kết hợp quyền giám sát truyền thống, + Separation of IT Duties To respond to the risk ủy quyền và trách nhiệm lưu trữ hồ sơ bằng cách of combining traditional custody, authorization, để máy tính thực hiện and record-keeping responsibilities by having the các nhiệm vụ đó, các tổ chức được kiểm soát tốt computer perform those tasks, well-controlled tách biệt các nhiệm vụ chính trong CNTT. Ví dụ, organizations separate key duties within IT. For cần có sự tách biệt giữa các nhiệm vụ CNTT để example, there should be separation of IT duties ngăn nhân viên CNTT ủy quyền và to prevent IT personnel from authorizing and ghi lại các giao dịch để che đậy việc trộm cắp tài recording transactions to cover the theft of sản assets. +Phát triển hệ thống việc phát triển hệ thống bao gồm: Mua phần mềm hoặc phát triển phần + Systems Development Systems development mềm nội bộ đáp ứng nhu cầu của tổ chức. Kiểm includes: Purchasing software or developing in- tra tất cả phần mềm để đảm bảo rằng phần mềm house software that meets the organization’s mới tương thích với phần mềm hiện có phần needs. Testing all software to ensure that the cứng và phần mềm và xác định xem phần cứng và new software is compatible with existing phần mềmcó thể xử lý khối lượng giao dịch cần hardware and software and determining whether thiết. the hardware and software can handle the 1. Thử nghiệm thí điểm: Một hệ thống mới needed volume of transactions. được triển khai trong một bộ phận của tổ chức 1.Pilot testing: A new system is implemented trong khi các địa điểm khác tiếp tục dựa vào hệ in one part of the organization while other thống cũ. locations continue to rely on the old system. 2.Thử nghiệm song song: Hệ thống cũ và mới 2.Parallel testing: The old and new systems hoạt động đồng thời ở tất cả các địa điểm. operate simultaneously in all locations. + Bảo mật vật lý và trực tuyến Kiểm soát vật lý đối với máy tính và các hạn chế đối với + Physical and Online Security Physical controls phần mềm trực tuyến và các tệp dữ liệu liên quan over computers and restrictions to online làm giảm nguy cơ thay đổi trái phép đối với software and related data files decrease the risk chương trình và việc sử dụng chương trình và tệp of unauthorized changes to programs and dữ liệu không đúng cách. Công nghệ thông tin improper use of programs and data files. The và các quy trình kiểm soát nội bộ mà một tổ chức information technology and internal control áp dụng để bảo vệ máy tính, mạng, chương trình processes an organization has in place to protect và dữ liệu khỏi bị truy cập trái phép thường được computers, networks, programs, and data from gọi là an ninh mạng. Các kế hoạch an ninh phải unauthorized access is often referred to as được lập thành văn bản và được giám sát. Kiểm cybersecurity. Security plans should be in writing soát an ninh bao gồm and monitored. Security controls include both cả kiểm soát vật lý và kiểm soát truy cập trực physical controls and online access controls. tuyến.
+ Lập kế hoạch dự phòng và dự phòng Sự cố mất
điện, hỏa hoạn, nhiệt độ quá cao hoặc độ ẩm, hư + Backup and Contingency planning Power hỏng do nước, hoặc thậm chí phá hoại có thể gây failures, fire, excessive heat or humidity, water ra những hậu quả nghiêm trọng cho các doanh damage, or even sabotage can have serious nghiệp sử dụng CNTT. Để tránh mất dữ liệu khi consequences to businesses using IT. To prevent cúp điện, nhiều công ty dựa vào dự phòng pin data loss during power outages, many companies hoặc máy phát điện tại chỗ. Đối với những thảm rely on battery backups or on-site generators. For họa nghiêm trọng hơn, các tổ chức cần có kế more serious disasters, organizations need hoạch sao lưu và dự phòng chi tiết như lưu trữ tại detailed backup and contingency plans such as chỗ các tệp dữ liệu và phần mềm quan trọng off-site storage of critical software and data files hoặc thuê ngoài cho các công ty chuyên lưu trữ or outsourcing to firms that specialize in secure dữ liệu an toàn. data storage. +Điều khiển phần cứng Điều khiển phần cứng được tích hợp vào thiết bị máy tính bằng cách + Hardware Controls Hardware controls are built nhà sản xuất để phát hiện và báo cáo các hư hỏng into computer equipment by manufacturers to của thiết bị. Kiểm toán viên quan tâm hơn detect and report equipment failures. Auditors với cách khách hàng xử lý các lỗi được xác định are more concerned with how the client handles bởi các điều khiển phần cứng hơn là với errors identified by the hardware controls than sự đầy đủ. Bất kể chất lượng của các điều khiển with their adequacy. Regardless of the quality of phần cứng, đầu ra sẽ được sửa chỉ khi khách hardware controls, output will be corrected only hàng đã cung cấp để xử lý lỗi máy. if the client has provided for handling machine +Kiểm soát đầu vào Điều khiển đầu vào được errors. thiết kế để đảm bảo rằng thông tin được nhập + Input Controls Input controls are designed to vào máy tính được ủy quyền, chính xác và đầy ensure that the information entered into the đủ. Họ rất quan trọng vì Phần lớn các lỗi trong hệ computer is authorized, accurate, and complete. thống CNTT là do lỗi nhập dữ liệu và tất nhiên, They are critical because a large portion of errors bất kể chất lượng xử lý thông tin, lỗi đầu vào dẫn in IT systems result from data entry errors and, of đến lỗi đầu ra. Điển hình các điều khiển được course, regardless of the quality of information phát triển cho các hệ thống thủ công vẫn quan processing, input errors result in output errors. trọng trong các hệ thống CNTT. Typical controls developed for manual systems +Xử lý Kiểm soát xử lý kiểm soát ngăn ngừa và are still important in IT systems phát hiện lỗi trong khi giao dịch dữ liệu được xử +Processing Controls Processing controls prevent lý. Kiểm soát chung, đặc biệt là kiểm soát liên and detect errors while transaction data are quan đến phát triển hệ thống và bảo mật, cung processed. General controls, especially controls cấp khả năng kiểm soát cần thiết để giảm thiểu related to systems development and security, các lỗi xử lý. Các điều khiển xử lý ứng dụng cụ thể provide essential control for minimizing thường được lập trình thành phần mềm để ngăn processing errors. Specific application processing chặn, phát hiện và sửa lỗi xử lý. controls are often programmed into software to +Kiểm soát đầu ra Kiểm soát đầu ra tập trung vào prevent, detect, and correct processing errors. việc phát hiện lỗi sau khi xử lý làhoàn thành, thay +Output Controls Output controls focus on vì ngăn ngừa lỗi. Kiểm soát đầu ra quan trọng detecting errors after processing is completed, nhất là xem xét dữ liệu về tính hợp lý bởi một rather than on preventing errors. The most người hiểu biết về đầu ra.Người dùng thường có important output control is review of the data for thể xác định lỗi vì họ biết số tiền chính xác gần reasonableness by someone knowledgeable đúng. about the output. Users can often identify errors because they know the approximate correct amounts.