AIS Chuong 3 - KSNB Trong HTTT KT - Minh

5/3/2022
Mục tiêu của chương

 Nắm bắt các nội dung cơ bản về Kiểm soát nội bộ
KIỂM SOÁT NỘI BỘ  Nắm bắt cách thức tìm hiểu, đánh giá kiểm soát nội bộ
TRONG HỆ THỐNG THÔNG TIN KẾ TOÁN trong môi trường máy tính
 Biết cách đánh giá tính kiểm soát của một hệ thống kế
toán máy tính
1 MINHLX@BUH.EDU.VN 2 MINHLX@BUH.EDU.VN
NỘI DUNG  Rủi ro (risk) là các sự kiện ảnh hưởng xấu tới mục
1. Kiểm soát nội bộ HTTTKT theo khung COSO tiêu, làm mục tiêu không đạt được.
 Rủi ro bắt nguồn từ bên trong nội bộ doanh nghiệp hoặc bên
2. Kiểm soát nội bộ HTTTKT theo khuôn mẫu COBIT
ngoài doanh nghiệp.
3. Kiểm soát chung
 Rủi ro bắt nguồn từ các nguyên nhân: gian lận, sai sót hoặc
4. Kiểm soát ứng dụng các nguyên nhân khách quan không thể kiểm soát (VD: bão
lụt, động đất, sự cố chính trị,…).
 Đối với hệ thống thông tin các nguyên nhân trên dẫn tới rủi ro
như mất tài sản, hư tài sản, hệ thống thiết bị truyền thông, mất
thông tin/dữ liệu, sai lệch, ăn cắp, sửa chữa thông tin/dữ liệu.
5/3/2022
Nguyên nhân gian lận

 Gian lận
(nghiên cứu Donald R.Cressey 1919-1987)
 Lấy cắp, che giấu, chuyển đổi sang người khác
Phạm tội Quan điểm

 Tham ô tài sản
Cơ Thái
 Công bố sai thông tin tài chính hội độ
Gian
 Mục tiêu của gian lận lận
Áp lực
 Tiền
 Tài sản hữu hình Tài chính

 Thông tin Áp
lực
 PHÂN LOẠI GIAN LẬN
Loại gian lận Đặc điểm

Loại gian lận Đặc điểm Gian lận khách • KH không thanh toán hay thanh toán không
Gian lận quản Làm nổi bật BCTC hàng đầy đủ
lý • Được chỉ đạo bởi nhà quản lý cấp cao • KH gian lận trong thẻ tín dụng, séc hay hàng
• Liên quan đến các nghiệp vụ phức tạp và cơ hoá
cấu tổ chức
• Sự lạm quyền Gian lận NCC • NCC thu tiền khống
• NCC ghi nợ phải thu nhiều lần, lập hoá đơn
Gian lận nhân • Lấy cắp hàng tồn kho hay tiền sai, giao thiếu hàng hay chất lượng hàng thấp
viên • Gian lận trên tài khoản nợ phải trả trên bảng • NCC thông đồng với NV công ty
thanh toán lương hay trên các tài khoản chi phí
• Kỹ thuật: Gian lận trước hay sau khi ghi sổ kế Gian lận máy • Hoạt động gián điệp nhằm lấy trộm thông tin
toán; thông đồng tính • Ăn cắp bản quyền phần mềm
5/3/2022
1. Kiểm soát nội bộ HTTTKT theo khung COSO  Tham gia COSO bao gồm:
1.1. Khái niệm
Hiệp hội kế toán Mỹ - AAA
Giới thiệu COSO - the Committee of Sponsoring
Organizations of Treadway Commission
Hiệp hội kế toán công chứng
 COSO là một Ủy Ban thuộc Hội đồng Quốc gia Hoa
Mỹ - AICPA
Kỳ về chống gian lận khi lập báo cáo tài chính.
 Thành lập 1985 với mục đích gia tăng chất lượng báo Hiệp hội nhà quản lý tài chính
cáo tài chính dựa trên những vấn đề về đạo đức kinh – FEI
doanh, kiểm soát nội bộ hiệu quả và quản lý doanh
Hiệp hội kế toán quản trị - IMA
nghiệp.
(Institute of Management Accountants)
Hiệp hội kiểm toán nội bộ

- IIA
1. Kiểm soát nội bộ HTTTKT theo khung COSO 1. Kiểm soát nội bộ HTTTKT theo khung COSO
1.1. Khái niệm 1.1. Khái niệm
Khái niệm KSNB theo COSO Phân tích định nghĩa KSNB
 KSNB là một quá trình
 Kiểm soát nội bộ là một quá trình do ban giám đốc,  Lan tỏa khắp các hoạt động của đơn vị
nhà quản lý và các nhân viên của đơn vị chi phối, được  Là một phần cơ bản của hoạt động quản trị
 Yếu tố con người
thiết lập để cung cấp một sự đảm bảo hợp lý nhằm  Bất cẩn, sơ sót con người
thực hiện ba mục tiêu  Gian lận: thông đồng hoặc lạm quyền quản lý
 Báo cáo tài chính tin cậy  Khả năng nhận biết con người: Kiểm soát chỉ thiết kế cho những
gian lận, sai sót nhìn thấy trước
 Các luật lệ và qui định được tuân thủ  KSNB cung cấp sự đảm bảo hợp lý
 Hoạt động hữu hiệu và hiệu quả  Sự cung cấp hoàn toàn chính xác là khó đạt được
 Giới hạn về chi phí
 KSNB là có giới hạn
 Sự nhạy cảm của một số sai sót hay gian lận
 Sai sót về đánh giá, ra quyết định bị che giấu
5/3/2022
Vai trò của KSNB Theo COSO 2013, hệ thống kiểm soát nội bộ được cấu thành
 Hỗ trợ đạt mục tiêu do 5 bộ phận:
 Hạn chế sự không chắc chắn Môi
trường
 Giúp doanh nghiệp phát triển trong môi trường cạnh kiểm
tranh thay đổi nhanh chóng soát
 Hỗ trợ doanh nghiệp đáp ứng nhu cầu của khách hàng và Đánh
Giám
phát huy được ưu thế giá rủi
sát Hệ ro
thống
KSNB
Thông Hoạt
tin và động
truyền kiểm
thông soát
a. MÔI TRƯỜNG KIỂM SOÁT a. MÔI TRƯỜNG KIỂM SOÁT
 Là các nhân tố phản ánh sắc thái chung của đơn vị, chi  Các nhân tố của môi trường KS bao gồm:
phối ý thức kiểm soát của mỗi thành viên. Môi trường  Triết lý quản lý và phong cách hoạt động
kiểm soát bao gồm:  Cơ cấu tổ chức
 Vấn đề nhận thức, quan điểm và thái độ của người quản  Phương pháp ủy quyền
lý liên quan đến vấn đề kiểm soát  Khả năng đội ngũ nhân viên
 Trình độ, nhận thức của nhân viên về KSNB  Chính sách nguồn nhân lực
 Sự trung thực và các giá trị đạo đức
 Hội đồng quản trị và Ban kiểm soát
5/3/2022
b. ĐÁNH GIÁ RỦI RO b. ĐÁNH GIÁ RỦI RO
 Đánh giá rủi ro là việc nhận diện rủi ro; phân tích mức độ
Mục tiêu
và khả năng rủi ro xảy ra ảnh hưởng tới mục tiêu kiểm
soát
Mục tiêu toàn đơn vị và
Mục tiêu từng bộ phận. •Nhóm mục tiêu hoạt động
•Nhóm mục tiêu BCTC
•Nhóm mục tiêu tuân thủ
Mục tiêu toàn đơn vị: sứ
mạng -> chiến lược chung
DN
Mục tiêu từng bộ phận

 Xác định mục tiêu
b. ĐÁNH GIÁ RỦI RO b. ĐÁNH GIÁ RỦI RO
Ví dụ: Hiện nay hệ thống có một mối đe dọa và nếu xảy ra có
 Nhận diện rủi ro
mức thiệt hại là 3 triệu đồng. Có 2 thủ tục kiểm soát A hoặc B
 Đánh giá mức độ rủi ro
được xây dựng. Nếu thực hiện 1 mình thủ tục KS A, tốn chi
Ứng xử rủi ro: phí 100.000đ, xác suất xảy ra thiệt hại 6%; nếu thực hiện 1
Mức Xác suất
Mức độ = mình thủ tục KS B, chi phí là 140.000đ và xác suất xảy ra
• Chấp nhận rủi ro rủi ro Thiệt hại X rủi ro
thiệt hại 4%; nếu thực hiện đồng thời cả A và B chi phí là
• Tránh rủi ro: từ bỏ 220.000đ, xác suất thiệt hại 2%.
mục tiêu  Theo bạn, doanh nghiệp nên chọn giải pháp nào?
• Chia sẻ rủi ro  Các ứng xử rủi ro/ Các thủ tục KS  Áp dụng KS A
 Áp dụng KS B
 Ước tính lợi ích – chi phí thủ tục KS  Áp dụng cả A và B
 Không áp dụng thủ tục nào
 Quyết định áp dụng/không áp dụng KS
5/3/2022
b. ĐÁNH GIÁ RỦI RO c. HOẠT ĐỘNG KIỂM SOÁT
Ví dụ: Hoạt động bán hàng được thực hiện như sau:
Hoạt động Theo mục đích kiểm soát:
Sau khi nhận được đặt hàng của khách hàng, nhân viên bán •Kiểm soát ngăn ngừa
hàng lập lệnh bán hàng gửi cho kho hàng, và gửi cho kế kiểm soát là
•Kiểm soát phát hiện
toán lập hóa đơn. Căn cứ lệnh bán hàng thủ kho xuất hàng các chính sách, •Kiểm soát sửa chữa/ hay bù đắp
cho khách hàng; kế toán lập hóa đơn bán hàng cho khách thủ tục kiểm
hàng dựa trên lệnh bán hàng. soát nhằm giảm Theo chức năng kiểm soát
•Phân chia trách nhiệm phù hợp
 Yêu cầu: thiểu rủi ro,
•Ủy quyền đúng đắn các nghiệp vụ và hoạt động
1. Qui trình trên có đảm bảo mục tiêu hoạt động bán hàng giúp đạt mục •Kiểm soát chứng từ và sổ sách đầy đủ
hiệu quả không? Sự kiện gì không đáp ứng mục tiêu này? tiêu kiểm soát. •Kiểm soát an toàn vật chất và thông tin
2. Qui trình trên có đảm bảo mục tiêu báo cáo tài chính •Kiểm soát độc lập việc thực hiện
không? Sự kiện gì không đáp ứng mục tiêu này? Rủi ro gì? Theo phạm vi kiểm soát hệ thống thông tin:
•Kiểm soát chung
21 MINHLX@BUH.EDU.VN 22 MINHLX@BUH.EDU.VN •Kiểm soát ứng dụng
c. HOẠT ĐỘNG KIỂM SOÁT c. HOẠT ĐỘNG KIỂM SOÁT
Phân chia trách nhiệm hợp lý Phân chia trách nhiệm hợp lý
 Mục tiêu: Hạn chế cơ hội sai sót, gian lận
 Nguyên tắc: Phân chia trách nhiệm hợp lý Các cặp chức năng không được phép kiêm nhiệm
 Không để một cá nhân nắm tất cả các chức năng của một
Bảo quản tài sản Phê chuẩn nghiệp vụ
nghiệp vụ, các khâu công việc của một qui trình nghiệp
vụ từ khi phát sinh cho đến khi kết thúc Kế toán Bảo quản tài sản
 Tách biệt các chức năng:
 Xét duyệt nghiệp vụ Thực hiện nghiệp vụ Kế toán
 Thực hiện nghiệp vụ
Viết chương trình Sử dụng chương trình
 Ghi chép nghiệp vụ
 Bảo vệ tài sản liên quan nghiệp vụ
5/3/2022
Ủy quyền xét duyệt hoạt động Ủy quyền xét duyệt hoạt động
 Mục tiêu: Tất cả nghiệp vụ thực hiện trong đơn vị đều  Có 2 phương pháp ủy quyền
được xét duyệt, xác nhận từ cá nhân hay bộ phận có  Ủy quyền chung bằng chính sách (hay xét duyệt chung):
thẩm quyền với các hoạt động có điều kiện rõ ràng, thường xuyên xảy
ra và giá trị hay tầm mức ảnh hưởng nhỏ
 Ủy quyền là việc trao quyền hạn cho một cá nhân hay bộ
phận thực hiện một quyết định hay một hoạt động nào  Ủy quyền cụ thể (xét duyệt cụ thể) các hoạt động ít khi
đó. xảy ra, chưa có điều kiện rõ ràng, giá trị hay tầm mức
ảnh hưởng lớn
 Bất cứ hoạt động kinh tế nào cũng cần được ủy quyền/xét
duyệt và nên thực hiện bằng văn bản để đảm bảo hoạt  Cần phân chia trách nhiệm xét duyệt. Cấp quản lý càng
động nằm trong tầm kiểm soát của người quản lý và cao thì quyền hạn và trách nhiệm xét duyệt càng quan
không gây hậu quả bất lợi cho doanh nghiệp trọng, giá trị càng lớn
Chứng từ và sổ sách đầy đủ Kiểm soát an toàn vật chất và thông tin
 Vai trò  Là các hoạt động kiểm soát nhằm đảm bảo các tài sản vật chất và
 Ghi nhận nghiệp vụ thông tin của doanh nghiệp được bảo vệ chặt chẽ; đảm bảo sự
 Cung cấp thông tin tồn tại, chất lượng của tài sản vật chất, thông tin
 Kiểm soát
 Thủ tục kiểm soát:
 Thủ tục  Hạn chế tiếp cận: Phân chia trách nhiệm đầy đủ, hợp lý; thiết bị để
 Mọi nghiệp vụ đều phải lập chứng từ và lập ngay tại thời điểm hạn chế tiếp cận vật lý;
phát sinh  Qui định sử dụng, bảo quản hiện vật, thông tin
 Mọi chứng từ đều phải được ký duyệt bởi người có thẩm  Ghi chép và theo dõi các biến động hiện vật, thông tin
quyền
 Sử dụng chứng từ lưu lại dấu vết quá trình sử dụng hiện vật, thông
 Đánh số trước, liên tục tin: xét duyệt, sử dụng, nhập liệu,…
 Có số hiệu tham chiếu  Kiểm kê hiện vật; báo cáo tình hình hiện vật
 Mọi chứng từ đều phải được ghi chép đầy đủ  Thiết bị bảo vệ, quan sát hiện vật, thông tin
5/3/2022
Kiểm soát an toàn vật chất và thông tin Kiểm soát độc lập với việc thực hiện
Kiểm soát vật chất  Mục tiêu: Kiểm soát độc lập nhằm đảm bảo hoạt động
 Sử dụng thiết bị: Máy tính tiền, POS,Camera,..
 Hạn chế tiếp cận tài sản: Quy định khóa, bảo vệ
được thực hiện đúng, đảm bảo đạt mục tiêu. Việc kiểm
 Kiểm kê tài sản:
soát độc lập cần được thực hiện bởi người khác với
 Phát hiện mất mát, hư hỏng người thực hiện các hoạt động
 Ghi chép trung thực
 Nguyên nhân
 Nâng cao trách nhiệm
 Bảo vệ thông tin  Không tuân thủ quy định
 Nhận thức  Hoạt động không được thực hiện đúng và đầy đủ
 Password
 Nguyên tắc: Người kiểm tra phải độc lập với người
 Lưu trữ
 Truyền tải thực hiện
Kiểm soát độc lập với việc thực hiện
 Phân tích rà soát
Các thủ tục kiểm soát độc lập:
 Soát xét của ban quản lý cấp cao và các cấp quản lý cấp trung,  Phát hiện biến động bất thường, xác định nguyên nhân và
bộ phận thông qua xem xét đánh giá báo cáo thực hiện tìm biện pháp
 Thực hiện qua phân tích, đối chiếu, tính các tỷ số tài
 Đối chiếu các nguồn ghi chép độc lập
 So sánh thực tế và ghi chép: Đối chiếu, kiểm kê chính
 Sử dụng một người độc lập khác kiểm tra hay thực hiện lại
nghiệp vụ tính toán lại các số liệu
 Sử dụng nguyên tắc ghi kép kế toán
 Phân tích báo cáo
 Kiểm tra tổng lô
5/3/2022
1. Kiểm soát nội bộ HTTTKT theo khung COSO

1.1. Khái niệm
c. HOẠT ĐỘNG KIỂM SOÁT
1.1. Khái niệm
Ví dụ phân tích rà soát
c. HOẠT ĐỘNG KIỂM SOÁT
BẢNG BÁO CÁO GIÁ THÀNH SẢN PHẨM  KẾT LUẬN
Kỳ tháng 05/2004  Hoạt động kiểm soát/ Thủ tục kiểm soát thích hợp, gắn
Sản phẩm A: Số lượng 100 kèm cùng quá trình quản lý; nó là công cụ giúp quản lý
KHOẢN MỤC CHI PHÍ GIÁ THÀNH KỲ NÀY Biến động đạt mục tiêu
GIÁ THÀNH ĐƠN kỳ này/kỳ
TOÀN BỘ ĐƠN VỊ VỊ KỲ TRƯỚC trước  Hoạt động kiểm soát cần mang tính thực tế, phù hợp tình
huống cụ thể của doanh nghiệp, giúp doanh nghiệp đạt
Nguyên vật liệu trực tiếp 1,000,000 10,000 9,000 0.11
mục tiêu
Nhân công trực tiếp 500,000 5,000 5,050 (0.01)
Sản xuất chung 500,000 5,000 6,000 (0.17)
Cộng 2,000,000 20,000 20,050 (0.07)
33 Lưu ý. Chính sách sản xuất và quản lý cho phép biến động +; - 5% 34 MINHLX@BUH.EDU.VN
d. THÔNG TIN, TRUYỀN THÔNG
d. THÔNG TIN, TRUYỀN THÔNG
 Mục tiêu
 Thông tin:
Đánh giá, quản lý, kiểm soát tính hữu hiệu và hiệu quả của • Loại thông tin gì cần thu thập xử lý, truyền thông
hoạt động thông qua thông tin phản hồi • Phương pháp xử lý thông tin
 Yêu cầu
 Ghi chép tất cả các nghiệp vụ/ Sự kiện  Truyền thông
 Phân loại nghiệp vụ rõ ràng  Truyền đạt, trao đổi thông tin giữa các đối tượng liên quan
 Phản ánh đúng nghiệp vụ về mặt giá trị
o Trong nội bộ,
o Với bên ngoài
 Ghi nhận nghiệp vụ đúng kỳ
o Phương pháp truyền thông
 Trình bày và công bố đầy đủ  Cung cấp cho nhân viên hiểu vai trò, trách nhiệm liên
quan tới các chính sách, thủ tục kiểm soát
5/3/2022
e. GIÁM SÁT  KSNB trong doanh nghiệp nhỏ
 Đánh giá chất lượng của các thành phần khác của hệ  Đặc điểm doanh nghiệp nhỏ: qui mô, tài chính, khả năng
đáp ứng các nguyên tắc KSNB; người chủ cũng có thể là
thống KSNB và điều chỉnh phù hợp người quản lý
 Đánh giá thường xuyên  Các tài liệu hệ thống, doanh nghiệp bằng văn bản có thể
 Các chương trình đánh giá định kỳ không đầy đủ. Ví dụ “qui tắc ứng xử”, “chính sách nhân
 Thực hiện: sự” hoặc “mục tiêu, sứ mạng doanh nghiệp” hoặc “qui
trình/thủ tục hoạt động” hoặc sơ đồ cơ cấu tổ chức, bảng
 Kiểm toán nội bộ, kiểm toán độc lập, mô tả công việc; lưu đồ v.v..
 Thu thập thông tin bên ngoài  Khó áp dụng nguyên tắc phân chia trách nhiệm đầy đủ
 Hệ thống kế toán trách nhiệm  Việc truyền thông có thể thực hiện trực tiếp giữa người
 Các hoạt động giám sát của người quản lý quản lý và nhân viên
1.1. Khái niệm 1.2. Đặc điểm
 KSNB trong doanh nghiệp nhỏ  Mục tiêu
Các vấn đề KSNB cần lưu ý:
 Cần tạo được môi trường kiểm soát tốt thông qua xác định văn hóa Hệ thống thông
doanh nghiệp và giá trị đạo đức chuẩn mực trong doanh nghiệp. tin tin cậy
 Giám đốc điều hành, chủ doanh nghiệp trực tiếp tham gia các hoạt
động nhận dạng, đánh giá rủi ro hoặc thực hiện các hoạt động giám
sát, kiểm soát
 Nên xây dựng ban quản trị doanh nghiệp Thông tin
 Thường xuyên tạo kênh truyền thông tốt hai chiều với nhân viên
 Tăng cường các hoạt động thanh toán qua ngân hàng; sử dụng hệ Qui trình xử lý
thống thông tin tin học hóa. thông tin
 Tăng cường các hoạt động giám sát kiểm tra bằng cách phân tích rà • Môi trường
soát hệ thống
 Xây dựng hệ thống chứng từ đầy đủ;
Người Dữ liệu Công nghệ
 Chú trọng kiểm soát vật chất
5/3/2022
1.2. Đặc điểm 1.2. Đặc điểm
Theo AICPA
Hệ thống thông tin tin cậy và CICA)
Tạo ra Thiết bị
Bảo vệ Thông tin Thông tin cá nhân Dữ liệu được xử lý Hệ thống sẵn
quan trọng khỏi được thu thập và chính xác, đầy đủ, sàng khi có
công bố không sử dụng, công bố kịp thời, đúng qui nhu cầu sử
được phép đúng luật trình dụng Đặc điểm Khả năng gian lận
• AIS phụ thuộc thiết bị • Phá hủy thiết bị
Toàn vẹn • Tốc độ xử lý • Ăn cắp thiết bị
Bí mật Riêng tư Sẵn sàng
Processing Availability • Dung lượng lưu trữ
Confidentiality Privacy Integrity • Kích thước nhỏ gọn
• Thiết bị nhạy cảm với môi
trường và cách sử dụng
An ninh hệ thống- security (KS các truy cập tới dữ liệu và hệ thống )
41 42 MINHLX@BUH.EDU.VN

1. Kiểm soát nội bộ HTTTKT theo khung COSO 1.2. Đặc điểm
1.2. Đặc điểm
Qui trình xử lý
Phần mềm ứng dụng
Đặc điểm
Đặc điểm • Vừa kết hợp xử lý thủ công
• Lập trình sẵn theo qui trình xử lý • Vừa được lập trình sẵn theo qui trình xử lý
• Các thủ tục kiểm soát được lập trình • Các thủ tục kiểm soát được lập trình
Ưu điểm Hạn chế Ưu điểm Hạn chế

• Đảm bảo tính thống • Tính chính xác của xử lý phụ • Đảm bảo tính thống • Tính chính xác của xử lý phụ
nhất qui trình xử lý thuộc vào chương trình và chỉ nhất qui trình xử lý thuộc vào cả qui trình bằng
• Ngăn ngừa sai sót, phát hiện sai sót sau kết quả xử lý • Ngăn ngừa sai sót, tay và chương trình xử lý
gian lận • Phụ thuộc vào thiết bị xử lý gian lận • Phụ thuộc vào thiết bị xử lý
Khả năng gian lận Khả năng gian lận

• Sửa chữa chương trình xử lý • Bỏ qua/ làm sai trong qui trình xử lý thủ công
• Xóa dấu vết sửa chữa bằng chương trình virus • Sửa chữa chương trình xử lý
• Lấy, phá huỷ thiết bị lưu trữ/chương trình • Xóa dấu vết sửa chữa bằng chương trình virus
43 MINHLX@BUH.EDU.VN 44 • Lấy, phá huỷ thiết bị lưu trữ chương trình
5/3/2022
1.2. Đặc điểm 1.2. Đặc điểm
Dữ liệu Thông tin
Đặc điểm
• Tổ chức kiểu hệ quản trị CSDL: Chia sẻ DL; Đưa DL một lần vào HT; Đặc điểm
• Có thể đưa DL vào HT tự động • Người sử dụng tạo trực tiếp thông tin từ CSDL
• Sữa chữa DL không để lại dấu vết • Truyền thông thông tin bằng nhiều cách
Ưu điểm Hạn chế Ưu điểm Hạn chế

• Nhập DL một lần, HT cập nhật DL • Sửa chữa, hủy DL, lấy cắp DL • Tạo báo cáo linh hoạt, kịp thời • Bị truy cập bất hợp pháp, rò rỉ
tự động do gia tăng khả năng truy cập theo ý muốn thông tin không được phép
• DL không bị trùng lặp, mâu thuẫn • Khó phát hiện sửa chữa DL • Thông tin đa dạng hơn: tài chính • Ăn cắp thông tin trên đường
• Chia sẻ DL do không để lại dấu vết và phi tài chính truyền thông
• Giảm sai sót, gian lận nếu dùng tự • Phụ thuộc thiết bị lưu trữ, xử
Khả năng gian lận
động đưa DL vào HT lý và chương trình xử lý • Truy cập bất hợp pháp CSDL, lấy thông tin
Khả năng gian lận • Ăn cắp, sửa thông tin trên đường truyền thông.
• Sửa DL đầu vào khi nhập liệu • Sữa chữa chương trình xử lý
45 • Truy cập bất hợp pháp CSDL • Lấy cắp thiết bị lưu trữ, xử lý 46 MINHLX@BUH.EDU.VN
1.2. Đặc điểm 1.3. Ý nghĩa
Con người  Rủi ro với hệ thống ứng dụng CNTT
 Rủi ro bắt nguồn từ bên ngoài
Đặc điểm  Thảm họa tự nhiên
• Kết hợp nhiều chức năng trong hoạt động xử lý ứng dụng CNTT  Chính trị, chiến tranh
• Đòi hỏi người sử dụng cả kỹ năng chuyên môn và kỹ năng hệ thống  Phá hoại
 Tội phạm máy tính
Chú ý  Rủi ro bắt nguồn từ nội bộ
• Phân chia trách nhiệm  Phần mềm và thiết bị hư, không hoạt động
• Môi trường kiểm soát
 Bất cẩn, sai sót trong qui trình thực hiện; do huấn luyện hoặc giám
sát không tốt.
 Gian lận tài sản; gian lận báo cáo tài chính và gian lận hệ thống
máy tính
5/3/2022
1.3. Ý nghĩa 1.3. Ý nghĩa
Gian lận báo cáo tài chính
Thu tiền Chi tiền Tài sản phi tiền tệ
 Mục tiêu: Lừa đối người sử dụng báo cáo: Thông tin sai
• Thu tiền nhưng • Thanh toán hóa đơn • Ăn cắp hàng từ kho lệch che giấu lỗ, tạo giá trị không có thực
không ghi sổ mua khống hàng hoặc quầy bán hàng
• Thu tiền nhưng ghi hóa, dịch vụ • Sử dụng tài sản công  Phương pháp:
chậm • Yêu cầu thanh toán ty cho mục đích cá  Che giấu công nợ -> giảm chi phí -> tăng lợi nhuận: Không
• Ghi sổ tiền thu nhưng chi phí đi lại không nhân ghi nhận nợ phải trả và chi phí; Vốn hóa các khoản chi phí
không nộp tiền vào có thực • Lấy cắp thông tin bí không được vốn hóa;
quỹ • Đánh cắp SEC trắng, mật công ty và bán  Ghi nhận doanh thu không có thực:
• Xóa nợ phải thu giả mạo chữ ký cho đối thủ hoặc tổ 1. Tạo khách hàng ảo, lập chứng từ bán hàng giả mạo, năm sau
• Tính lương nhân viên chức khác. lập bút toán hàng bị trả lại;
không có thực (khai • Đánh cắp hoặc 2. Ghi tăng các yêu tố trên hóa đơn: số lượng, đơn giá, kỳ sau
khống giờ, ghi thêm chuyển cổ phiếu, điều chỉnh lại;
nhân viên ảo) chứng khoán của 3. Ghi nhận doanh thu khi hoạt động giao hàng hay tiêu thụ
• Lấy cắp, biển thủ tiền doanh nghiệp vào tài hàng chưa được đáp ứng.
tồn quỹ khoản cá nhân
 Gian lận báo cáo tài chính Gian lận máy tính
 Mục tiêu:
 Không khai báo đầy đủ thông tin -> hạn chế khả năng
 Lấy cắp thông tin bí mật hoặc thông tin khách hàng
phân tích người sử dụng báo cáo  Che giấu các ăn cắp hoặc gian lận tài sản
 Định giá sai tài sản, phân loại tài sản sai; không ghi giảm  Sai lệch báo cáo tài chính
giá trị hàng tồn kho đã hư hỏng, không lập dự phòng phải  Thỏa mãn tính tự cao, kiến thức; Trả thù cá nhân, bất mãn
thu khó đòi  Làm lợi tài chính cá nhân bằng cách vi phạm bản quyền phần
mềm; Sử dụng máy tính cho công việc cá nhân
 Ghi sai niên độ doanh thu, chi phí -> lợi nhuận tăng giảm
 Phương pháp :
 Phá hủy thiết bị lưu trữ, xử lý và chương trình ứng dụng
 Lấy cắp thiết bị, chương trình
 Sửa chương trình ứng dụng
 Phá hủy CSDL
5/3/2022
 Rủi ro trong HTTTKT
 Rủi ro quy trình xử lý
Rủi ro toàn HT TTKT
Rủi ro
Chính sách phát triển HT
An ninh Truy cập trái phép (truy cập vật lý và logic)
Qui trình phát triển HT
Sẵn sàng Hệ thống hoạt động chậm, gặp lỗi hay bị phá huỷ
Sử dụng HT
Xử lý toàn vẹn Xử lý dữ liệu không chính xác, không đầy đủ hay
Bảo dưỡng HT DL không thích hợp
Thông tin cá Thông tin cá nhân bị sử dụng không thích hợp hay
Rủi ro qui trình xử lý nhân trực tuyến bị truy cập trái phép bởi đối tượng bên trong hay
bên ngoài đơn vị
Nhập liệu
Xử lý dữ liệu Bảo mật Thông tin quan trọng của đơn vị hay đối tác bị
tiếp cận trong quá trình truyền tải hay lưu trữ
Tạo kết quả xử lý
2. Kiểm soát nội bộ HTTTKT theo khuôn

mẫu COBIT 2.1. Hoạch định và tổ chức
- Khuôn mẫu này là khuôn mẫu «mở», - Kế hoạch, chiến lược,
- Có mức độ vận dụng nhiều nhất trên thế giới hiện nay,
- Cấu trúc thông tin,
- Cung cấp 34 mục tiêu kiểm soát ở mức độ cao, chia thành 4
mảng: - Mục tiêu quản lý và định hướng,
+ Hoạch định và tổ chức, - Quản lý nguồn nhân lực,
+ Tiến trình và ra quyết định, - Đánh giá rủi ro,
+ Triển khai và hỗ trợ, - Quản lý dự án,
+ Kiểm soát và theo dõi. - Quản lý chất lượng,
- Khuôn mẫu này dễ vận dụng trong môi trường CNTT.
…
- Các mục tiêu kiểm soát được chia thành 318 mục tiêu chi
tiết.
- COBIT không có kiểm soát ứng dụng, nội dung này được
lồng vào “triển khai và hỗ trợ”.
5/3/2022
2.2. Mua sắm và thực hiện 2.3. Triển khai và hỗ trợ

- Xác định giải pháp tự động,
- Quản lý dịch vụ bên thứ ba,
- Phát triển phần mềm,
- Quản lý hiệu quả và năng lực,
- Cơ sở hạ tầng công nghệ, - Tính liên tục của dịch vụ,
- Duy trì chính sách và thủ tục, - An ninh hệ thống,
- Quản lý thay đổi, - Xác định và phân bổ chi phí,
… - Đào tạo nhân lực,
- Quản lý vấn đề, sự cố,
- Quản lý dữ liệu,
- Quản lý hoạt động,
- Quản lý hệ thống,
-…
2.4. Giám sát và đánh giá 3. Kiểm soát chung

- Giám sát,
 Kiểm soát chung: Là các hoạt động kiểm soát được thiết
- Tính đầy đủ của kiểm soát nội bộ,
kế và thực hiện nhằm đảm bảo môi trường kiểm soát của hệ
- Tính độc lập, thống được ổn định, vững mạnh nhằm gia tăng hiệu quả
- Kiểm toán nội bộ. của kiểm soát ứng dụng. Nó bao gồm kiểm soát cấp độ toàn
hệ thống (entity level) và kiểm soát cấp độ hoạt động
(activity level). Nó ảnh hưởng tới tất cả các chương trình
ứng dụng.
5/3/2022
3. Kiểm soát chung 4.Kiểm soát ứng dụng

Có nhiều cách tiếp cận xem xét kiểm soát chung hệ thống  Là kiểm soát ảnh hưởng tới từng ứng dụng hay chương
trình xử lý cụ thể với mục tiêu đảm bảo tính đầy đủ, hợp lệ,
• Tiếp cận quá trình hình thành • Chính sách chung chính xác của xử lý nghiệp vụ
hệ thống: hình thành, sử dụng; • Con người
và trong từng quá trình này
xem xét theo các thành phần hệ • An toàn dữ liệu
thống liên quan
• Xâm nhập về mặt vật lý
Quá trình
Dữ liệu nhập liệu
• Tiếp cận theo mục tiêu kiểm • Kế hoạch dự phòng
đầu vào
soát hệ thống: an ninh, bảo
mật, riêng tư v.v.. KS kết
KS nhập quả xử lý
KS nhập liệu
61 MINHLX@BUH.EDU.VN 62 liệu
4.Kiểm soát ứng dụng 4.Kiểm soát ứng dụng

4.1. Kiểm soát đầu vào 4.1. Kiểm soát đầu vào
Kiểm soát chung - Chiến lược, kế hoạch chung hệ thống  Kiểm soát chung - Kiểm soát con người
 Thiết lập kế hoạch và chiến lược phát triển hệ thống: Cần
phù hợp chiến lược phát triển doanh nghiệp Phân chia trách nhiệm
 Xây dựng kế hoạch nhân sự :
 Tuyển dụng, huấn luyện, đào tạo
 Phân chia trách nhiệm Ủy quyền truy cập và nhận
 Sử dụng: đánh giá, khen thưởng, thăng tiến, nghỉ phép, nghỉ dạng truy cập
việc
 Xây dựng chính sách thu thập, sử dụng và công bố thông
tin khách hàng Tìm kiếm, nhận diện qua
thông tin không chính thức
 Truyền thông kế hoạch này bằng văn bản cũng như qua quá
trình huấn luyện và đánh giá nhân viên
(Xem KS truy cập)
5/3/2022

4.1. Kiểm soát đầu vào
4.1. Kiểm soát đầu vào
 Kiểm soát chung - Phân chia trách nhiệm
Kiểm soát chung - Kiểm soát phân chia trách nhiệm Nhân viên
Sử dụng Phụ trách IT
an ninh
 Nhắc lại nguyên tắc phân chia trách nhiệm
 Ứng dụng trong môi trường ứng dụng CNTT

Phát triển Dịch vụ kĩ Trung tâm
 Người sử dụng khác người trong bộ phận IT HT thuật dữ liệu
 Phân chia trách nhiệm nhóm người sử dụng Đảm bảo

KS dữ liệu
chất lượng
 Phân chia trách nhiệm nhóm người bộ phận IT
Ks mạng và
truyền Thư viện
thông
Hoạt động
Quản trị
máy tính
65 MINHLX@BUH.EDU.VN 66 MINHLX@BUH.EDU.VN CSDL

4.1. Kiểm soát đầu vào 4.1. Kiểm soát đầu vào
Kiểm soát chung - Phân chia trách nhiệm Kiểm soát ứng dụng
 Xét duyệt – thực hiện – ghi chép – bảo vệ tài sản Mục tiêu kiểm soát Kiểm soát
 Trong môi trường ứng  Ai xét duyệt • Xét duyệt nghiệp vụ • Kiểm tra chữ ký: người được ủy
• Có thực nghiệp vụ quyền, xét duyệt
dụng CNTT:  Ai thực hiện hoạt động kinh tế
• Đầy đủ • Kiểm tra mẫu chứng từ và màn
 Hệ thống kế toán  Ai ghi chép hoạt động kinh tế: hình DL đầu vào
• Chính xác
riêng lẻ thu thập – chuyển DL hệ • Kiểm tra số thứ tự của chứng từ
• Kịp thời
 Hệ thống kế toán thống- xử lý DL • Kiểm tra tính hợp lý của DL và
tích hợp chứng từ tham chiếu
 Ai bảo vệ tài sản
• Sử dụng chứng từ luân chuyển
• Tăng cường sử dụng DL trực tiếp
 Phân chia trách nhiệm tiếp cận đưa DL vào hệ thống và xử lý dữ từ nguồn DL
liệu? • Kiểm tra DL được đưa vào từ hệ
67 MINHLX@BUH.EDU.VN 68 MINHLX@BUH.EDU.VN thống khác
5/3/2022

4.2. Kiểm soát ứng dụng 4.2. Kiểm soát ứng dụng
Kiểm soát chung - Kiểm soát truy cập
Kiểm soát chung - Kiểm soát an toàn dữ liệu
 Mục tiêu: Đảm bảo an toàn cho dữ liệu, thông tin và chương trình
 Mục tiêu KS: an toàn dữ liệu  Kiểm soát
 Phân chia trách nhiệm theo từng cấp hoạt động và chức năng
 Thủ tục  Phân chia trách nhiệm theo mức độ truy cập
 Nhận dạng NSD: account user, đặc điểm sinh học (sinh trắc học): vân
 Kiểm soát truy cập dữ liệu tay, giọng nói
 Mật mã truy cập
 Kiểm soát lưu trữ dữ liệu
 Thiết lập ít nhất 8 ký tự
 Nên có ký tự không phải là chữ và số
 Kiểm soát sửa chữa dữ liệu
 Thẻ thông minh (Smart Card)
 Kiểm soát truyền thông dữ liệu  Mã thông báo an ninh (a USB security Token)
 Mã hóa dữ liệu (encryption)
 Kiểm soát thiết bị lưu trữ dữ liệu  Sử dụng tập tin phân quyền truy cập và ghi nhận thông tin truy cập

Kiểm soát chung - Kiểm soát lưu trữ dữ liệu Kiểm soát chung - Kiểm soát sửa chữa dữ liệu
 Mục tiêu: Đảm bảo an toàn dữ liệu lưu trữ
 Sửa chữa phải để lại dấu vết kiểm toán, được xét duyệt/ ủy
 Kiểm soát:
quyền
 Phân loại dữ liệu theo mức độ yêu cầu bảo vệ
 Ghi dữ liệu dự phòng: định kỳ thời gian; phương pháp ghi dự phòng  Hạn chế chỉnh sửa dữ liệu trực tiếp
loại dữ liệu theo mức độ yêu cầu bảo vệ  Không được sửa, xóa dữ liệu khi đã chuyển sổ cái, kết chuyển
 Ghi dự phòng đầy đủ dữ liệu
 Ghi dự phòng đầy đủ các chương trình
KQKD, …
 Kiểm tra nội dung ghi dự phòng: chính xác, đầy đủ  Khi điều chỉnh dữ liệu phải sử dụng các phương pháp: bút toán
 Ghi dự phòng định kỳ: kiểu tự động, kiểu ông – cha - con đảo, ghi bổ sung, bút toán ghi số âm
 Lưu trữ bản dự phòng ở nơi ngoài DN
 Sử dụng thiết bị: nguồn cung cấp điện liên tục (UPS) hay nguồn  Sử dụng chứng từ sửa sổ như kế toán thủ công
cung cấp điện khẩn cấp (EPS)  PM phải có tính năng tự động ghi nhận việc truy cập hệ thống,
 Tạo nhãn tập tin: nhãn bên ngoài và nhãn do máy tạo ra thêm, sửa, xóa dữ liệu
 Môi trường thuận lợi nơi lưu trữ dữ liệu
 Kiểm tra dữ liệu lưu trữ thường xuyên  KT tổng hợp không được chỉnh sửa dữ liệu của kế toán chi tiết
5/3/2022

Kiểm soát chung - Kiểm soát truyền thông dữ liệu Kiểm soát chung - Kiểm soát thiết bị lưu trữ dữ liệu
 Bảo vệ máy tính cá nhân, máy tính mạng và kiểm soát
 Mục tiêu
internet
 Giảm sai sót và mất cắp dữ liệu trong quá trình truyền tải  Tăng cường giám sát sử dụng máy tính
 Sử dụng phần mềm, giải pháp bảo mật, chống virus
 Kiểm soát
 Thiết bị cảnh báo, giám sát, PCCC
 Gọi kiểm tra ngược  Giới hạn truy cập từ xa
 Mã hóa thông tin trong quá trình truyền dữ liệu  Huấn luyện người dùng: sử dụng, vận hành, phòng chống
virus,…
 Mã hóa dữ liệu
 Kiểm soát truy cập giữa các hệ thống mạng

Kiểm soát chung - Kiểm soát thâm nhập về mặt vật lý Kiểm soát chung - Lập kế hoạch dự phòng
 Mục tiêu KS: An toàn HT thiết bị, phần mềm, phương tiện  Mục tiêu: Đảm bảo HT hồi phục nhanh khi thiên tai, hoả hoạn,
truyền thông phá hoại hoặc những bất trắc xảy ra
 Thủ tục:  Kiểm soát
 Hạn chế tiếp cận hiện vật, phần mềm: qui định, thiết bị kiểm soát  Mua bảo hiểm tài sản cho hệ thống và trung tâm dữ liệu
 An toàn kỹ thuật: thường được thiết kế trong thiết bị  Lập KH dự phòng
 Tạo vị trí xử lý dự phòng; Vị trí lưu trữ DL dự phòng; Hoặc hệ
 An toàn sử dụng thống dự phòng khác
 Tạo môi trường tốt nơi đặt thiết bị: nhiệt, độ ẩm, điện năng  Lưu trữ dự phòng thường xuyên
 Tài liệu hướng dẫn sử dụng và xử lý khi thiết bị trục trặc hư hỏng  Xác định các hệ thống ứng dụng quan trọng. Ưu tiên kiểm soát và
 Các thiết bị lưu trữ ngoài phải được kiểm tra an toàn trước sử dụng khôi phục trước
 Cài đặt các phần mềm kiểm soát an toàn hệ thống và dữ liệu  Phân chia trách nhiệm thực hiện kế hoạch dự phòng và khôi phục
 Thường xuyên kiểm tra phát hiện kịp thời hư hỏng, sai sót để thay trung tâm dữ liệu: Nhân sự, qui trình
thế sửa chữa thiết bị phù hợp  Huấn luyện nhân viên trường hợp cấp khẩn cấp
 Thường xuyên kiểm tra, phân tích kết quả xử lý -> phát hiện sửa  Thường xuyên đánh giá và cập nhật kế hoạch dự phòng
chữa phần mềm
75  Mua bảo hiểm hệ thống 76 MINHLX@BUH.EDU.VN
5/3/2022

Kiểm soát chung - Kiểm soát quá trình nhập liệu
Kiểm soát chung - Kiểm soát quá trình nhập liệu
Mục tiêu kiểm soát Kiểm soát Kiểm soát dữ liệu hợp lệ
 Dữ liệu hợp lệ là các dữ liệu đảm bảo phù hợp với yêu cầu vùng dữ liệu
• Nhập chính xác DL đã • Kiểm soát DL hợp lệ: Phù hợp tính chất
lưu trữ, được kiểm soát bằng chương trình kiểm tra (test program)
thu thập nhập liệu
 Các kiểm soát hợp lệ chủ yếu
• Đầy đủ DL đã thu thập • Kiểm tra chính xác/ tăng hiệu quả nhập
liệu:  Kiểm tra kiểu vùng DL (field check): kiểu text, number,…
• Đảm bảo tính toàn vẹn
− (1) Tự động/ mặc định dữ liệu;  Kiểm tra dấu (sign check): số âm, số dương
của dữ liệu nhập
− (2) Xuất hiện DL liên quan (có sẵn  Kiểm tra giới hạn (limit check/ a range check): thời gian, hàng tồn
• Kịp thời trong CSDL) kho
• Hiệu quả • Sử dụng tổng kiểm soát (nhập theo lô)  Kiểm tra độ dài vùng DL (size check):
• Đánh dấu chứng từ (DL) đã được nhập
 Kiểm tra có thực/ hợp lệ DL ( a validity check): Căn cứ một số vùng
• Sử dụng thiết bị quét, thu thập DL tự
DL liên quan
động từ nguồn: máy tính tiền, POS,…
 Kiểm tra hợp lý DL (a reasonableness test): giá trị các vùng DL hợp lý
• Thông báo lỗi và hướng dẫn sửa lỗi
 Kiểm tra đầy đủ DL ( a completeness check): không được để trống
77 MINHLX@BUH.EDU.VN 78  Kiểm tra nhập trùng: Căn cứ một số vùng DL liên quan

Ví dụ minh họa kiểm soát hợp lệ  Kiểm soát theo số tổng - xử lý theo lô
VÍ DỤ BẢNG KÊ BÁN HÀNG  Kiểm soát theo số tổng là việc dùng một tổng số nào đó
để kiểm soát một nhóm (lô) DL. Tổng số để kiểm soát
SỐ NỘI MÃ MÃ SỐ ĐƠN này gọi là “tổng số kiểm soát”
HĐ NGÀY HĐ DUNG KH HH LƯỢNG GIÁ TIỀN
21 02/02/2008 01 A 100 1.000 100.000  Các loại tổng số kiểm soát
22 01/02/2008 02 B 200 5.000 1.000.000  Tổng vùng giá trị hoặc số lượng
23 14/02/2008 01 A 300 3.000 900.000  Tổng Hash (Hash Totals): tổng về mặt số học, không
18 28/01/2007 02 C 200 3.000 600.000
có ý nghĩa về mặt toán học
25 30/02/2008 06 D 1000 3.000 3.000.000
 Đếm mẫu tin
Thông tin bổ sung
• Mặt hàng A tồn đầu ngày 01/02: 80 số lượng, trong ngày 01 và 02 không
nhập hàng
• Không có mặt hàng D trong kho MINHLX@BUH.EDU.VN
79 80
5/3/2022

Ví dụ tổng số kiểm soát Kiểm soát quá trình xử lý dữ liệu
Ngày Số HĐ Số tiền Mã Khách hàng Mục tiêu: Đảm bảo DL được xử lý đúng; Ngăn chặn, phát hiện và xử
lý sai sót trong quá trình chuyển dữ liệu thành thông tin
3 3 1 1.000.000 B
Kiểm soát
mẩu 5 2 300.000 A
Kiểm soát sự phù hợp DL (Data matching). Ví dụ: thông tin hóa đơn
tin 6 3 2.000.000 C có phù hợp với đặt hàng và nhận hàng trước khi xử lý hóa đơn.
14 6 2.300.000 Kiểm soát sự toàn vẹn xử lý CSDL (Kiểm soát cập nhật xảy ra cùng
một lúc- concurrent update controls). Khi hai hoặc nhiều người sử
dụng cập nhật cùng lúc một mẩu tin. Hệ thống tạm khóa 1 người sử
Tổng giá trị dụng để đảm bảo việc cập nhật này được thực hiện tuần tự.
 Kiểm tra ràng buộc toàn vẹn DL
 Kiểm tra dữ liệu hiện hữu (loại bỏ trường hợp đối tượng không
hoạt động tồn tại trong danh mục xử lý)
 BC liệt kê các yếu tố bất thường
MINHLX@BUH.EDU.VN
 Đối chiếu dữ liệu ngoài hệ thống
81 82

Xử lý theo lô
Ví dụ kiểm soát từng bước xử lý
 Mục tiêu: Đảm bảo DL được xử lý đúng; không tự động tạo thêm K.tra DL Sắp xếp Sắp xếp Cập nhật
hay bỏ bớt mẫu tin Nhập liệu hợp lệ TT ngh.vụ TT ngh.vụ TT chính
 Kiểm soát (thêm ngoài các kiểm soát slide trước)
 Kiểm soát sắp xếp theo trình tự. B.Cáo khác B.Cáo khác B.Cáo khác B.Cáo khác
Xử lý theo lô yêu cầu các mẫu tin được sắp xếp theo trình tự
giống khóa chính tập tin chính để cập nhật tập tin Báo cáo Báo cáo Báo cáo Báo cáo
KS KS KS KS
 Kiểm soát từng bước xử lý (Run-to-run Control)
Tổng số kiểm soát được thực hiện qua từng bước gọi và gọi nó
là kiểm soát từng bước xử lý. Và tổng này được so sánh với
giá trị ở mẩu tin Trailer record
 Nhãn tập tin. Có 2 kiểu nhãn tập tin: header record (ở đầu mỗi tập Tổng mẫu tin được xử lý: 87
tin, chỉ tên tập tin, hạn cập nhật DL, DL nhận diện khác); Trailer Tổng giá trị được xử lý: 15.000.000
record (ở cuối tập tin, chứa tổng lô trong quá trình nhập liệu). (ghi ở trailer record)
5/3/2022

4.3. Kiểm soát đầu ra 4.3. Kiểm soát đầu ra
Kiểm soát ứng dụng - Kiểm soát thông tin đầu ra Kiểm soát ứng dụng - Kiểm soát kết quả xử lý
 Mục tiêu Mục tiêu:
Giảm sai sót đối với thông tin đầu ra và chuyển thông tin • Đảm bảo kết quả xử lý chính xác
đến đúng người sử dụng
 Thủ tục
Kiểm soát:
 Phân quyền truy cập thông tin đầu ra • Kiểm tra bằng mắt tính logic, hợp lệ của DL
 Xem xét kết xuất nhằm đảm bảo nội dung và hình thức • Căn cứ dấu vết kiểm toán để kiểm tra lại nguồn gốc dữ
phù hợp với nhu cầu của NSD liệu (VD xem doanh thu được ghi nhận từ những chứng
 Dựa vào dấu vết kiểm toán để kiểm tra nguồn gốc của dữ từ nào)
liệu • Đối chiếu với dữ liệu bên ngoài liên quan khác.
 Xây dựng quy trình chuyển giao thông tin đến đúng NSD

4.3. Kiểm soát đầu ra 4.3. Kiểm soát đầu ra
Đánh giá kiểm soát hệ thống thông tin Đánh giá kiểm soát hệ thống thông tin
 Đánh giá kiểm soát hệ thống thông tin là hoạt động thực hiện Đánh giá
thường xuyên hay định kỳ cho mục đích quản lý hoặc kiểm toán.
• Thu thập tài liệu và thông tin về những nội dung cần đánh
 Nội dung đánh giá chính:
 Đánh giá an ninh toàn bộ hệ thống
giá: (1) Chính sách an ninh, kế hoạch phát triển, hồ sơ hệ
 Phát triển / sửa chữa hệ thống, chương trình xử lý có được ủy quyền thống; (2) Thực hiện thực tế. Phương pháp: Quan sát,
và tuân thủ đúng qui định Bảng câu hỏi, Phỏng vấn.
 Xử lý nghiệp vụ kinh tế có đảm bảo đạt mục tiêu kiểm soát, cung • Xác định các đe dọa, rủi ro hệ thống
cấp thông tin tin cậy, kịp thời.
 Nguồn dữ liệu: Các dữ liệu có thu thập chính xác, kịp thời, tin cậy. • Xác định các thủ tục kiểm soát có thể ngăn ngừa, phát
Các dữ liệu nguồn không chính xác hay không được ủy quyền đúng hiện rủi ro
có được xử lý theo đúng chính sách quản lý đã công bố.
• Đánh giá các thủ tục kiểm soát hiện hành để xác định các
 Đảm bảo an toàn CSDL
 Cung cấp thông tin
yếu kém, các điểm mạnh KS hệ thống; các KS bù đắp.

AIS Chuong 3 - KSNB Trong HTTT KT - Minh

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

AIS Chuong 3 - KSNB Trong HTTT KT - Minh

Uploaded by

Copyright:

Available Formats

5/3/2022

Mục tiêu của chương

Nguyên nhân gian lận

Phạm tội Quan điểm

 Tài sản hữu hình Tài chính

 PHÂN LOẠI GIAN LẬN

Loại gian lận Đặc điểm

Hiệp hội kiểm toán nội bộ

Mục tiêu từng bộ phận

1. Kiểm soát nội bộ HTTTKT theo khung COSO

1. Kiểm soát nội bộ HTTTKT theo khung COSO

Ưu điểm Hạn chế Ưu điểm Hạn chế

Khả năng gian lận Khả năng gian lận

Ưu điểm Hạn chế Ưu điểm Hạn chế

2. Kiểm soát nội bộ HTTTKT theo khuôn

2.2. Mua sắm và thực hiện 2.3. Triển khai và hỗ trợ

2.4. Giám sát và đánh giá 3. Kiểm soát chung

3. Kiểm soát chung 4.Kiểm soát ứng dụng

4.Kiểm soát ứng dụng 4.Kiểm soát ứng dụng

4.Kiểm soát ứng dụng 4.Kiểm soát ứng dụng

 Ứng dụng trong môi trường ứng dụng CNTT

 Phân chia trách nhiệm nhóm người sử dụng Đảm bảo

4.Kiểm soát ứng dụng 4.Kiểm soát ứng dụng

4.Kiểm soát ứng dụng 4.Kiểm soát ứng dụng

4.Kiểm soát ứng dụng 4.Kiểm soát ứng dụng

4.Kiểm soát ứng dụng 4.Kiểm soát ứng dụng

4.Kiểm soát ứng dụng 4.Kiểm soát ứng dụng

4.Kiểm soát ứng dụng 4.Kiểm soát ứng dụng

4.Kiểm soát ứng dụng 4.Kiểm soát ứng dụng

4.Kiểm soát ứng dụng 4.Kiểm soát ứng dụng

4.Kiểm soát ứng dụng 4.Kiểm soát ứng dụng

4.Kiểm soát ứng dụng 4.Kiểm soát ứng dụng

4.Kiểm soát ứng dụng 4.Kiểm soát ứng dụng

You might also like