Professional Documents
Culture Documents
CHƯƠNG 6:
KIỂM TOÁN CÁC HOẠT ĐỘNG HỆ
THỐNG THÔNG TIN
(CHAPTER 11)
MỤC TIÊU
1. Mô tả tầm quan trọng của các chính sách và thủ tục vận hành hệ thống thông tin đối với tổ chức
và kiểm toán viên.
2. Giải thích cách kiểm soát xử lý dữ liệu và kiểm soát đầu ra đóng vai trò quan trọng trong việc
đảm tính đầy đủ, chính xác và hợp lệ của thông tin.
3. Thảo luận về các hướng dẫn và kiểm soát để bảo vệ tập tin dữ liệu và chương trình
4. Thảo luận về các kiểm soát và thủ tục liên quan đến quyền truy cập an ninh vật lý.
5. Thảo luận về các kiểm soát và thủ tục liên quan đến kiểm soát môi trường.
6. Thảo luận về các kiểm soát và thủ tục liên quan đến việc lưu trữ và bảo quản thông tin.
7. Giải thích kế hoạch liên tục kinh doanh là gì và tầm quan trọng của nó đối với tổ chức.
8. Giải thích kế hoạch khôi phục thảm họa là gì và các thành phần của nó. Thảo luận về mục tiêu
và thủ tục khi kiểm toán một kế hoạch như vậy.
9. Mô tả tầm quan trọng của các nhóm tính toán của người dùng cuối và các bước thực hiện khi
kiểm toán các nhóm như vậy.
10.Mô tả sự liên quan của kiểm toán trong việc kiểm tra hoạt động hệ thống thông tin.
NỘI DUNG
1. Chính sách & thủ tục về các hoạt động HTTT
2. Xử lý dữ liệu
3. Bảo vệ chương trình & tập tin dữ liệu
4. Kiểm soát truy cập và an toàn vật lý
5. KIểm soát môi trường
6. Sao lưu chương trình & dữ liệu
7. Kế hoạch kinh doanh liên tục
8. Kế hoạch khắc phục thảm hoạ
9. Kiểm toán máy tính người dùng cuối
10. Kiểm toán hoạt động HTTT
1
3/20/2024
2. XỬ LÝ DỮ LIỆU
Ví dụ xử lý dữ liệu
Việc chuyển sổ hàng ngày từ nhật ký chung vào sổ cái (G/L)
• Bắt đầu với 1 lô các bút toán đã được phê duyệt nhưng chưa chuyển sổ, dự kiến việc chuyển sổ
sẽ thực hiện ban đêm hoặc vào thời gian thấp điểm.
• Nếu xử lý thành công, trạng thái của lô các bút toán sẽ thay đổi để biết rằng các bút toán đã
được chuyển sổ (các bút toán đã được cập nhật sổ cái)
• Nếu lỗi xảy ra, ngăn cản việc chuyển sổ thành công, thì báo cáo được tạo ra để chi tiết lỗi này.
Nếu kiểm soát xử lý dữ liệu hữu hiệu, sẽ phát hiện những vấn đề này khi chúng xảy ra và sẽ
nhắc nhở người vận hành HTTT sửa chữa và giải quyết lỗi. Nếu các kiểm soát xử lý dữ liệu
không hoạt động bình thường, hệ thống xử lý dữ liệu dễ bị tấn công.
Kiểm soát xử lý dữ liệu giữ vai trò quan trọng trong việc đảm bảo tính chính xác, đầy đủ và hợp lệ
của thông tin. Những kiểm soát xử lý này hướng tới việc ngăn ngừa, phát hiện và sửa sai/bù đắp.
• Kiểm soát ngăn ngừa đảm bảo các sự kiện diễn ra như dự kiến
• Kiểm soát phát hiện phát tín hiệu cảnh báo hoặc chấm dứt một chức năng hoặc ngừng xử lý
thêm khi hệ thống bị tấn công hoặc xảy ra lỗi.
• Kiểm soát sửa sai/bù đắp có thể thực hiện cảnh báo hoặc chấm dứt một chức năng nhưng
chúng cũng phục hồi hoặc sửa chữa một phần hệ thống về trạng thái thích hợp.
2
3/20/2024
2. XỬ LÝ DỮ LIỆU
Lỗi trong xử lý dữ liệu thường liên quan đến việc lập kế hoạch công việc và giám sát thực tế quá trình xử lý công việc.
Kiểm soát xử lý dữ liệu quan trọng: ghi nhật ký để ghi lại mọi sự kiện hoặc lỗi bất thường do xử lý dữ liệu, theo thời gian và chi tiết.
Nhật ký này có thể sử dụng để xác định xu hướng bất lợi, phát hiện truy cập trái phép, cấp cấp nguồn dữ liệu để xác định nguyên
nhân gốc rễ gay ra lỗi hệ thống.
Để phát hiện lỗi/ các sự kiến bất thường, nhà quản lý thường hỏi:
1. Có những kiểm soát thích hợp để giảm lỗi xử lý dữ liệu và duy trì tính toàn vẹn của dữ liệu đã được xử lý không?
2. Có công cụ tự động để thực hiện các công việc đã lên lịch (vd giao diện dữ liệu đã được lên lịch, thanh công cụ lọc dữ liệu,
…?
3. Các loại công việc được lên kế hoạch là gì?
4. Các thay đổi như thêm, sửa, xoá công việc và lịch trình đã lên được thực hiện ntn? Và ai có thể thực hiện những thay đổi đó?
5. Hệ thống có sử dụng các kiểm tra xử lý để phát hiện lỗi hoặc dữ liệu sai trong quá trình xử lý dữ liệu không? Nếu có, là kiểm
tra nào?
6. Quy trình được sử dụng để giám sát việc hoàn thành quá trình xử lý công việc một cách thành công là gì?
7. Quá trình giám sát và rà soát để đảm bảo rằng các trường hợp ngoại lệ hoặc sai sót được xác định trong quá trình xử lý công
việc được giải quyết kịp thời như thế nào?
8. Có sẵn các kỹ thuật để phát hiện việc xử lý lại các dữ liệu sai sót không?
9. Ai chịu trách nhiệm rà soát và theo dõi ngoại lệ đối với việc xử lý lại dữ liệu sai sót?
10. Những báo cáo nào được xem xét và những hệ thống và cơ chế thông báo nào hiện đang được áp dụng?
2. XỬ LÝ DỮ LIỆU
Kiểm soát đầu ra theo sau kiểm soát xử lý dữ liệu và cũng quan trọng trong việc đảm bảo
tính chính xác, đầy đủ và cung cấp thông tin.
Trong môi trường tự động hoá, hầu hết báo cáo đầu ra đều hiển thị trực tuyến hoặc có thể in
và xử lý bằng máy.
Cần có các kiểm soát đầu ra để đảm bảo kết quả đầu ra/ báo cáo được tạo ra là:
• An toàn và bảo mật, quyền riêng tư
• Đầy đủ và chính xác thông qua việc thực hiện:
Kiểm tra cân bằng và đầy đủ
So sánh trường dữ liệu chính
Kiểm tra thông tin còn thiếu
Có quy trình ghi nhận lại tất cả/ một phần các lỗi đầu ra đã phát hiện.
Có các biện pháp kiểm soát bổ sung với thông tin nhạy cảm (danh sách khách hàng, bí mật thương mại, dữ
liệu bảng lương, dữ liệu độc quyền…)
2. XỬ LÝ DỮ LIỆU
Kiểm toán CNTT
Mục tiêu: Xác định liệu các hoạt động HTTT có hỗ trợ lập kế hoạch, thực hiện, giám sát và đảm bảo
tính liên tục đầy đủ của các hệ thống, chương trình và quy trình để đảm bảo xử lý và ghi nhận các
nghiệp vụ tài chính đầy đủ, chính xác và hợp lệ hay không.
Một số hoạt động kiểm soát:
(1) quá trình xử lý theo lô và/hoặc trực tuyến có được xác định, thực hiện kịp thời và được giám sát
để hoàn thành thành công hay không
(2) các trường hợp ngoại lệ được xác định trong quá trình xử lý theo lô và/hoặc trực tuyến có được
thực hiện hay không. được xem xét và sửa chữa kịp thời để đảm bảo việc xử lý thông tin tài chính
chính xác, đầy đủ và hợp pháp. Việc giải quyết những vấn đề này sẽ đảm bảo rằng dữ liệu được
xử lý hợp lệ và mọi trường hợp ngoại lệ được ghi nhận trong khi xử lý đều được phát hiện và sửa
chữa.
3
3/20/2024
10
11
12
4
3/20/2024
13
14
15
5
3/20/2024
16
17
18
6
3/20/2024
19
20
21
7
3/20/2024
22
◾ Quyền truy cập vật lý được ủy quyền, giám sát và hạn chế đối với những cá nhân yêu cầu quyền truy cập đó để thực hiện nhiệm vụ
công việc của họ.
◾ Người dùng nào có quyền truy cập vào trung tâm dữ liệu hoặc phòng máy tính
◾ Cơ chế kiểm soát truy cập vật lý (ví dụ: thẻ truy cập, sinh trắc học, ổ khóa truyền thống, nhân viên bảo vệ, v.v.) được sử dụng để hạn
chế và ghi lại quyền truy cập vào tòa nhà và máy tính phòng, và thẩm quyền thay đổi cơ chế đó được giới hạn ở những nhân sự phù
hợp.
◾ Xác thực sinh trắc học được sử dụng thông qua vân tay, tĩnh mạch lòng bàn tay, nhận dạng khuôn mặt, mống mắt, nhận dạng, quét
võng mạc, xác minh giọng nói, v.v.
◾ Việc ra vào của những người không có phận sự được giám sát và và ghi lại, nhật ký đó được duy trì và được quản lý CNTT xem xét
thường xuyên.
◾ Có chính sách và thủ tục để cấp quyền truy cập vào trung tâm dữ liệu.
◾ Yêu cầu và phê duyệt là bắt buộc và phải được hoàn thành trước khi cấp quyền truy cập vật lý.
◾ Có sẵn một quy trình để thay đổi quyền truy cập của nhân viên được thuyên chuyển và/hoặc bị chấm dứt hợp đồng vào trung tâm dữ
liệu. Hãy xem xét (1) nêu tên các nhân sự có liên quan; (2) họ được thông báo như thế nào để loại bỏ quyền truy cập đó vào trung tâm
dữ liệu; và (3) quyền truy cập được thay đổi kịp thời như thế nào để phản ánh trạng thái mới của họ.
◾ Đánh giá quyền truy cập của người dùng diễn ra thường xuyên để hỗ trợ quyền truy cập vật lý hiện tại được cấp cho môi trường
CNTT và trung tâm dữ liệu lưu trữ các ứng dụng tài chính, cơ sở dữ liệu, hệ điều hành và các kho lưu trữ thông tin tài chính khác có liên
quan.
23
24
8
3/20/2024
25
26
BÀI TẬP
1, Liệt kê thông tin mà kiểm toán viên CNTT nên yêu cầu hoặc thu thập tại cuộc họp tiền kiểm toán để tiến hành
kiểm tra trung tâm dữ liệu. Tại sao thông tin này quan trọng đối với kiểm toán viên CNTT?
2. Ghi lại các mục tiêu kiểm toán phổ biến mà kiểm toán viên CNTT nên tập trung vào khi kiểm tra việc lưu trữ
thông tin. Ngoài ra, hãy liệt kê các hoạt động kiểm soát mà kiểm toán viên CNTT cần kiểm tra nhằm đáp ứng
các mục tiêu kiểm toán vừa nêu.
3. Một trong những đề xuất bạn đưa ra trong đợt kiểm toán CNTT năm ngoái là việc triển khai kế hoạch khắc
phục thảm họa. Khi thực hiện kiểm toán CNTT năm nay, bạn nhận thấy rằng mặc dù đã có kế hoạch nhưng kế
hoạch đó vẫn chưa được thử nghiệm. Ghi lại lý do tại sao kế hoạch khắc phục thảm họa nên được thử nghiệm.
4. Bạn là Kiểm toán viên CNTT cấp cao đang tiến hành cuộc họp lập kế hoạch kiểm toán với hai kiểm toán
CNTT của bạn. Chủ đề chính được thảo luận là việc kiểm toán các nhóm Máy tính người dùng cuối (EUC) của
công ty sắp tới. Một trong những kiểm toán viên CNTT, mới được tuyển dụng từ trường đại học, không chắc
chắn về các mục tiêu cụ thể cần đưa vào khi kiểm toán các nhóm EUC. Tóm tắt và ghi lại những mục tiêu này
cho kiểm toán viên CNTT của bạn.
27