chuong 2 tochuchethongksnbo - glixerol.files.wordpress.com · 26/06/2015 2 1.1 khái niệm hệ...
TRANSCRIPT
26/06/2015
1
TỔ CHỨC HỆ THỐNG
KIỂM SOÁT NỘI BỘ &
KIỂM SOÁT HTTTKT
Chương 2:
Mục tiêu
Hiểu biết khái niệm KSNB
Nắm bắt cấu trúc hệ thống KSNB
Tìm hiểu các thủ tục kiểm soát hệ thốngkế toán trong môi trường xử lý bằng máy
2
1
2
3
Nội dung
• Khái niệm KSNB• Cấu trúc hệ thống KSNB• Kiểm soát nội bộ trong doanh nghiệp
vừa và nhỏ• Tiếp cận KSNB duới các giác độ khác
nhau
1. Tổng quan kiểm soát nội bộ
2. Các kiểm soát trong môi trường2. Các kiểm soát trong môi trườngtin học hóa
3
26/06/2015
2
1.1 Khái niệm hệ thống KSNB
� Kiểm soát nội bộ là một quá trình do ban giám
đốc, nhà quản lý và các nhân viên của đơn vị chi
phối, được thiết lập để cung cấp một sự đảm
bảo hợp lý nhằm thực hiện ba mục tiêu:
� Báo cáo tài chính đáng tin cậy
� Các luật lệ và qui định được tuân thủ
� Mọi hoạt động trong đơn vị đều hữu hiệu và hiệu quả.
4
1.2 Cấu trúc hệ thống KSNB
Môitrườngkiểmsoát
Đánhgiá rủi
ro
Hoạtđộngkiểmsoát
Thôngtin
truyềnthông
Giámsát
5
1.2.1. Môi trường kiểm soát
� Các nhân tố phản ánh sắc thái chung của đơn vị:� Nhận thức, quan điểm và thái độ của người quản lý
liên quan đến vấn đề kiểm soát� Trình độ, nhận thức của nhân viên về KSNB� Triết lý quản lý và phong cách hoạt động� Cơ cấu tổ chức� Phương pháp ủy quyền� Khả năng đội ngũ nhân viên� Chính sách nguồn nhân lực� Sự trung thực và các giá trị đạo đức� Hội đồng quản trị và Ban kiểm soát
6
26/06/2015
3
1.2.2. Đánh giá rủi ro
Đánh giá rủi ro là việc nhận dạng và phân tích rủi ro đe dọa các mục tiêu của mình
Rủi ro là những vấn đề làm mục tiêu không đạt được.
Xác định mục tiêu
Đưa ra các hoạt động quản lý
Mức độ rủi ro =
Mức Thiệt hại
X Xác suất rủi ro
Đánh giá mức độ rủi ro
Nhận diện rủi ro
7
� Nhận dạng rủi ro� Xác định mục tiêu� Thiết lập cơ chế nhận diện rủi ro
� Đánh giá rủi ro� Thiệt hại� Xác suất xảy ra
� Các biện pháp đối phó với rủi ro� Tránh né rủi ro� Chuyển giao rủi ro� Giảm rủi ro� Chấp nhận rủi ro
8
1.2.3. Hoạt động kiểm soát
�Là những chính sách, thủ tục nhằm đảm bảo kiểm soát được các rủi ro
9
HĐKS
Phân chia trách nhiệm
Kiểm soát
thông tin
Bảo vệ tài sản
Phân tích rà soát
26/06/2015
4
a. Phân chia trách nhiệm
• Không để một cá nhân nắm tất cả các
chức năng của một nghiệp vụ: xét duyệt,
thực hiện, bảo quản tài sản và ghi chép,
giữ sổ sách kế toán
• Không cho phép kiêm nhiệm giữa một số
bước công việc
10
VD về kiêm nhiệm rủi ro
11
Coâng vieäc kieâm nhieäm
Thu tieàn vaø theo doõi soå saùch keá toaùn veà nôï
phaûi thu
Mua nguyeân vaät lieäu vaø söû duïng cho saûn xuaát
Ruûi ro
Coù theå laáy tieàn sau ñoù che daáu baèng caùch ghi xoùa soå
khoaûn nôï phaûi thu, hoaëc buø ñaép baèng khoaûn thu cuûa
khaùch haøng khaùc
Khoâng mua haøng nhöng vaãn thanh toaùn tieàn
haøng
b. Kiểm soát thông tin
Kiểm trađộc lập
Ủy quyềnxét duyệt
Kiểm traquá trình
xử lý
12
26/06/2015
5
b.1.Kiểm tra độc lập
� Hoạt động kiểm tra được thực hiện bởi người khác không thực hiện nghiệp vụ để nâng cao tính khách quan.
� Kiểm tra trước khi nghiệp vụ diễn ra.
� Kiểm tra sau khi nghiệp vụ xảy ra
� Phương pháp
� Đối chiếu 2 nguồn ghi chép độc lập
� Đối chiếu thực tế và sổ sách
� Kiểm tra ghi sổ kép
13
b.2.Ủy quyền và xét duyệt
� Ủy quyền là việc trao quyền cho một cá nhân hoặc một bộ phận
� Ủy quyền chung bằng chính sách
Đưa ra chính sách chung bao gồm các điều kiện cho phép thực hiện nghiệp vụ.
� Xét duyệt cụ thể (Uỷ quyền từng trường hợp cụ thể)
Xét duyệt từng trường hợp cụ thể, không có chính sách chung.
Việc Ủy quyền nên bằng văn bản
14
� UÛY QUYEÀN BAÈNGCHÍNH SAÙCH
� Phoøng kinh doanh ñöôïcquyeàn xeùt duyeät baùn chòutheo chính saùch vôùi:
� Caùc hoaù ñôn döôùi 10 trieäuñoàng
� Caùc ñaïi lyù coù möùc dö nôïdöôùi 100 trieäu ñoàng
� XEÙT DUYEÄT CUÏ THEÅ� Phoù Toång giaùm ñoác xeùt
duyeät töøng tröôøng hôïp cuïtheå :
� Caùc hoaù ñôn baùn chòu treân10 trieäu
� Caùc ñaïi lyù ñaõ coù dö nôïvöôït möùc 100 trieäu
15
26/06/2015
6
b.3.Kiểm tra quá trình xử lý
� Chứng từ ghi nhận hoạt động: Đảm bảo dữ liệu chính xác
• Mọi nghiệp vụ đều lập chứng từ
• Lập chứng từ tại thời điểm phát sinh nghiệp vụ
• Chứng từ phải được thiết kế mẫu đầy đủ
• Chứng từ phải được đánh số trước
• Chứng từ phải có các số hiệu tham chiếu
• Chứng từ phải có các chữ ký
• Chứng từ phải có số tiền ghi bằng chữ …
16
�Luân chuyển Chứng từ � Bao gồm quá trình lập và lưu chuyển qua các
bộ phận :
� Thực hiện sự xét duyệt
� Thực hiện sự kiểm soát
� Là cơ sở ghi sổ
� Cần xây dựng một quy trình chuẩn
� Mô tả bằng lưu đồ
17
�Lưu trữ Chứng từ� Thuận lợi cho việc truy cập
� Thời điểm chuyển vào lưu trữ
� Hồ sơ thường trực
� Tuân thủ pháp luật
� Thời gian lưu trữ
� Xử lý chứng từ hư hỏng
� Xử lý chứng từ hết thời hạn lưu trữ
18
26/06/2015
7
b.3.Kiểm tra quá trình xử lý
� Sổ sách ghi nhận hoạt động: Đảm bảo ghi chép chính xác
• Ghi chép dựa trên chứng từ
• Thiết kế mẫu đầy đủ
• Để lại dấu vết kiểm toán
• Kiểm tra, đối chiếu sổ
• V.v…
� Lưu trữ, bảo quản sổ sách
� Báo cáo
� Dấu vết kiểm tóan
19
c. Bảo vệ tài sản và thông tin
� Hạn chế tiếp cận tài sản, thông tin
� Kiểm kê tài sản
� Sử dụng các thiết bị quan sát, máy tính tiền, ghi
nhận tài sản khi sử dụng
20
Mục đích
Phát hiện các biến động bất thường
Xác định nguyên nhân, xử lý kịp thời
�Mục đích� Phát hiện các biến động bất thường
� Xác định nguyên nhân, xử lý kịp thời
�Phương pháp
� Đối chiếu định kỳ tổng hợp và chi tiết, thực tế
và kế hoạch, kỳ này và kỳ trước, sử dụng các
chỉ số.
d. Phân tích rà soát
21
26/06/2015
8
Ví dụ phân tích rà soát
22
BAÛNG BAÙO CAÙO GIAÙ THAØNH SAÛN PHAÅM Thaùng 05/2006
Saûn phaåm A: Soá löôïng 100CHI PHÍ GIAÙ THAØNH KYØ NAØY
Z Ñ.VÒ KYØ
TRÖÔÙC
Bieán ñoängkyø naøy/kyø
tröôùc TOAØN BOÄ ÑÔN VÒ
Nguyeân vaät lieäu tröïc tieáp 1,000,000 10,000 9,000 +11%
Nhaân coâng tröïc tieáp 500,000 5,000 5,050 - 1%
Saûn xuaát chung 500,000 5,000 6,000 - 17%
Coäng 2,000,000 20,000 20,050 -0.25%Löu yù. Chính saùch saûn xuaát cho pheùp bieán ñoäng +; - 5%
1.2.4. Thông tin & truyền thông
� Loại thông tin gì cần thu thập xử lý, truyền thông.
� Truyền đạt, trao đổi thông tin giữa các đối tượng liên quan� Trong nội bộ� Với bên ngoài� Phương pháp truyền
thông
� Phương pháp xử lý thông tin.
� Cung cấp cho nhân viên hiểu vai trò, trách nhiệm liên quan tới các chính sách, thủ tục kiểm soát.
Thông tin Truyền thông
23
1.2.5. Giám sát
� Đánh giá:
Chất lượng của các thành phần khác của HT KSNB
và điều chỉnh phù hợp.
� Đánh giá thường xuyên
� Các chương trình đánh giá định kỳ
� Thực hiện:
� Kiểm toán nội bộ, kiểm toán độc lập,
� Thu thập thông tin bên ngoài
� Hệ thống kế toán trách nhiệm
24
26/06/2015
9
Tóm tắt: Mối quan hệ giữa các thành phần của hệ thống KSNB
Moâi tröôøng kieåm soaùt
Giaùm saùt
Ñaùnh giaù ruûi ro
Hoaït ñoäng
kieåm soaùt
25
1.3. Kiểm soát nội bộ trong doanh nghiệp vừa và nhỏ
�Cho ví dụ một số phương pháp để kiểm soát trong doanh nghiệp vừa và nhỏ?
26
1.4. Tiếp cận KSNB dưới các giác độ khác nhau
27
Báo cáo tài chính DN
Đánh giá HT KSNB để đánh giá rủi ro kiểm toán,
xây dựng chương trình kiểm toán phù hợp
Phương pháp ti ếp cận của Kiểm toán viên
26/06/2015
10
Phương pháp tiếp cận của nhà quản lý
28
Nhà nước
Chủ
sở hữu
Các bên
liên quan
Tổ chức và duy trì hệ thống KSNB để ngăn chặn và phát hiện GL-SS & hoạt
động hiệu quả
Hoạt động
Doanh nghiệp
• Thiết bị
• Con người
• Quy trình xử lý
• Quy trình hoạt động
BÀI TẬP NHÓM
29
� Tìm hiểu và soạn thảo một bản quy chế nội bộ cho một quy trình quản lý tùy chọn.
� Trong đó cần chỉ rõ 5 thành phần của hệ thống KSNB
2. Các kiểm soát trong môi trường tin học hóa (IT)
.2.1 •Môi trường IT ảnh hưởng
đến HTKSNB
.2.2•Các hoạt động kiểm soát
.2.3•Giới thiệu COBIT
30
26/06/2015
11
2.1.1. Đặc điểm môi trường ứng dụng IT
� Thiết bị: nhạy cảm, dễ bị phá huỷ� Tổ chức dữ liệu:
� Theo kiểu file hoặc hệ quản trị cơ sở dữ liệu.
� Hoạt động xử lý:� Hệ thống có thể truy cập từ nhiều nơi
� Xử lý tự động theo chương trình được lập trình sẵn
� Tổ chức hệ thống� Nhiều nhiệm vụ tập trung xử lý ở bộ phận EDP
(Electronic Data Proceessing)
� Không thể đảm bảo một số nguyên tắc bất kiêm nhiệm
31
2.1.2. Nguy cơ đe dọa trong môi trường ứng dụng IT
Gian lận trong việc sư dụng máy tính
Ky năng, nhận thức của người dùng
Lỗi hê thống
Môi trường mơ va giao tiếp không giớihạn
32
2.1.3. Rủi ro KS trong môi trường ứng dụng IT-theo đối tượng ảnh hưởng
Hê thống bị pha hủy, ngưng hoạtđộng
Dư liệu bị mất, lô bí mật
Thông tin khôngđáng tin cậy
Tài sản bị đánhcắp
Nguồn lực CNTT bị sư dụng sai mụcđích
33
26/06/2015
12
2.1.3. Rủi ro KS trong môi trường ứng dụng IT-theo phạm vi ảnh hưởng
Rủi ro vê an ninh hê thống
Rủi ro cho sư sẵnsàng của hê thống
Rủi ro cho quá trìnhxư ly của hê thống
Rủi ro vê bảo mậtcủa hê thống
34
2.1.3. Rủi ro KS trong môi trường ứng dụng IT-theo nguồn rủi ro
Rủi ro tư người dùng bất hợp pháp
Rủi ro tư các mối nguy trên mạng
Rủi ro do các yếu tô môi trường tư nhiên
Rủi ro tư việc tiếp cận vật ly
Rủi ro tư hoạt động của doanh nghiệp
35
2.2. Các hoạt động kiểm soát
a. Kiểm soát chung: là cáchoạt động kiểm soát đượcthiết kế và thực hiệnnhằm đảm bảo môitrường kiểm soát của tổchức được ổn định, vữngmạnh nhằm gia tăng hiệuquả của kiểm soát ứngdụng.
� Phạm vi: Toàn bộ hệ thống thông tin
� Hình thức: Chính sách, giải pháp kỹ thuật, giám sát hoạt động
b. Kiểm soát ứng dụng: làcác hoạt động kiểm soátđược thiết kế và thực hiệnđể ngăn ngừa, phát hiệnvà sửa chữa sai sót, gianlận trong quá trình xử lýnghiệp vụ.
� Gắn liền với từng chức năng, từng hệ thống
� Hình thức: Tính năng được lập trình trên các phần mềm ứng dụng
36
26/06/2015
13
2.2.1. Kiểm soát chung
CHÍNH SÁCH
GIẢI PHÁP KỸ THUẬT
TRIỂN KHAI THỰC HIỆN VÀ GIÁM SÁT
37
2.2.1. Kiểm soát chung
(1). Xác lập kế hoạch an ninh
(2). Phân chia trách nhiệm trong các chức năng của
HT
(3). Kiểm soát dự án phát triển hệ thống
(4). Kiểm soát thâm nhập về mặt vật lý
(5). Kiểm soát truy cập hệ thống
(6). Kiểm soát lưu trữ dữ liệu
(7). Kiểm soát truyền tải dữ liệu
(8). Chuẩn hóa tài liệu hệ thống
38
2.2.1. Kiểm soát chung
(9). Giảm thiểu thời gian chết của hệ thống(10). Dấu vết kiểm toán(11). Các kế hoạch phục hồi sau thiệt hại
39
26/06/2015
14
(1). Xác lập kế hoạch an ninh
� Mục tiêu: Xác định các rủi ro, sai phạm, gian lận
với thông tin.
� Rủi ro: Không giám sát đầy đủ về kiểm soát và
an ninh
� Thủ tục:
� Xác định ai cần thông tin gì?
� Khi nào cần thông tin?
� Thông tin do hệ thống nào cung cấp?40
(2). Phân chia trách nhiệm trong cácchức năng của HT
� Rủi ro: Kiêm nhiệm nhiều chức năng sẽ dễ dàngthực hiện các gian lận
� Thủ tục:Cần phân chia rạch ròi giữa các chức năng sau
� Chức năng phân tích hệ thống� Chức năng lập trình� Chức năng vận hành hệ thống máy tính� Người dùng hệ thống� Thư viện dữ liệu của hệ thống� Kiểm soát dữ liệu
41
(3). Kiểm soát dự án phát triển hệ thống
� Thủ tục
� Có sự tham gia của bộ phận sử dụng và kiểm toán
nội bộ trong việc phát triển HT
� Mọi sửa chữa, thay đổi phải có sự phê chuẩn của cấp
quản lý có trách nhiệm liên quan
� Kiểm tra định kỳ việc thực hiện HT
� HT mới phải được thử nghiệm trước khi sử dụng
� Đánh giá dự án
� Thiết lập hồ sơ trước và sau khi thay đổi HT
42
26/06/2015
15
� Hồ sơ HT bao gồm:
� Hồ sơ phát triển HT: Mô tả HT tồn tại; Phân tích HT;
Thiết kế HT; Thử nghiệm HT; Chuyển đổi HT
� Hồ sơ người sử dụng: Hướng dẫn sử dụng; Huấn
luyện sử dụng
� Hồ sơ vận hành HT: (kỹ thuật) Mô tả thiết bị kỹ thuật,
chương trình và tập tin dữ liệu.
43
(3) Tổ chức bộ phận xử lý thông tin
44
� Mục tiêu: Kiểm soát nhân viên của bộ phận xử lý
thông tin
� Kiểm soát: phân chia để đảm bảo nguyên tắc bất
kiêm nhiệm giữa bộ phận sử dụng và bộ phận xử
lý thông tin
Ví dụ: Cơ cấu tổ chức
45
EDP (1) Qui moâ lôùn
EDP (2) Qui moâ nhoû
PGD saûn xuaát
PGD kinh doanh ...
Boä phaän EDP (2)
Kếâ toaùn tröôûng
Boä phaän EDP (1)
Toång giaùm ñoác
26/06/2015
16
Phân tích HT
Lập trình
Phát triển HT
Bảo dưỡng HT
Nhập liệu
Hoạt động HT
KS dữ liệu
Thư viện DL
Quản trị CSDL
Kiểm soát dữ liệu
Phụ trách bộ phận EDP
Chief Information Officer
Ví dụ: Cơ cấu tổ chức
46
(4) Kiểm soát thâm nhập về mặt vật lý
� Mục tiêu: Đảm bảo an toàn về mặt kỹ thuật và hiệnvật
� Thủ tục� Kiểm soát an toàn kỹ thuật thường được thiết kế trong
thiết bị
� Tạo môi trường tốt ở nơi đặt thiết bị
� Sử dụng thiết bị lưu và ổn định dòng điện� Có bản hướng dẫn nguyên tắc và thủ tục sử dụng thiết
bị
� Các đĩa phải được kiểm tra an toàn trước khi sử dụng� Các trục trặc bất thường không được tự tiện sửa chữa� Hạn chế tiếp cận thiết bị về mặt hiện vật
47
(5) Kiểm soát phần mềm
� Mục tiêu: KS được hoạt động xử lý của phần mềm đảm bảo an toàn cho
phần mềm.
� Thủ tục:
� Yêu cầu phần mềm phải tạo được dấu vết kiểm toán.
� Về sửa chữa dữ liệu kế toán sau khi chuyển sổ, khoá sổ: không cho
sửa trực tiếp, phải sửa bằng bút toán đỏ hay bút toán bổ sung.
� Ghi nhận tự động việc truy cập HT, sửa chữa, …: ghi lại thời gian, phân hệ truy cập, DL bị sửa…
� Số liệu tổng hợp phải tổng hợp từ chi tiết
� Thường xuyên đối chiếu phần mềm gốc và phần mềm đang sử dụng
� Lưu trữ phần mềm gốc tại nơi an toàn
48
26/06/2015
17
(5) Kiểm soát truy cập
� Mục tiêu: Kiểm soát việc truy cập hệ thống nhằm bảo quản an toàndữ liệu, chương trình xử lý.
� Thủ tục:
� Phân chia trách nhiệm, quyền sở hữu dữ liệu theo từng cấp hoạtđộng, theo chức năng
� Quản trị hệ thống & sử dụng hệ thống
� Ủy quyền nghiệp vụ & thực hiện nghiệp vụ
� Ủy quyền nghiệp vụ & Nhập liệu nghiệp vụ
� Kiểm soát chuyển dữ liệu & Nhập liệu nghiệp vụ
� Phân chia trách nhiệm theo mức độ truy cập
� Sử dụng mật mã truy cập
� Sử dụng tập tin phân quyền truy cập
49
(6) Kiểm soát lưu trữ dữ liệu
� Mục tiêu: Đảm bảo an toàn lưu trữ dữ liệu
� Thủ tục
� Xác định các loại dữ liệu và yêu cầu bảo vệ
� Lập thủ tục ghi dự phòng dữ liệu: Định kỳ thời gian;
Cách ghi dự phòng
� Địều kiện môi trường địa điểm lưu trữ tập tin dự
phòng: nhiệt độ, ẩm, bụi v.v
� Tạo nhãn tập tin: nhãn bên ngoài và nhãn do máy
tạo.
50
(7) Kiểm soát truyền tải dữ liệu
� Mục tiêu:
� Đảm bảo an toàn thông tin.
� Gian lận:
� Chặn đường truyền thông
� Đóng giả người nhận tin
� Thủ tục:
� Gọi kiểm tra ngược lại: Call back modem
� Mã hoá thông tin được gửi hoặc truyền
� Network Control Log
� Các biện pháp phần mềm an ninh trên mạng khác51
26/06/2015
18
(8) Chuẩn hóa tài liệu hệ thống
� Mục tiêu:
� Nhằm phục vụ cho yêu cầu thẩm định, xem xét, đánh
giá hệ thống thông tin kế toán
� Bao gồm
� Tài liệu quản trị� Tài liệu ứng dụng� Tài liệu vận hành hệ thống
52
(9) Giảm thiểu thời gian chết của hệthống
� Mục tiêu: Ngăn chặn trường hợp ảnh hưởng tớiDL, chương trình hay giảm tuổi thọ của trangthiết bị
� Rủi ro:� Hệ thống bị tạm ngưng hoạt động
� Thủ tục:� Kiểm tra thay thế các thiết bị sắp hư hỏng (hết hạn)� Sử dụng bộ lưu điện
53
(10) Dấu vết kiểm toán
� Thủ tục:� Hạn chế việc chỉnh sửa dữ liệu trực tiếp� Sau khi khóa sổ, không cho xóa hay sửa dữ liệu mà
phải ghi bút toán đảo, âm, bổ sung và lập chứng từbổ sung.
� Tự động cập nhật các hành vi truy cập hệ thống,chỉnh sửa dữ liệu.
� Đảm bảo việc kiểm tra đối chiếu giữa kế toán tổnghợp và kế toán chi tiết.
54
26/06/2015
19
(11) Kế hoạch phục hồi sau thiệt hại
� Mục tiêu: Đảm bảo HT hồi phục nhanh khi thiên tai, hoả hoạn,
phá hoại xảy ra.
� Kiểm soát:
� Lập KH dự phòng
� Mua bảo hiểm tài sản cho hê thống và trung tâm dữ liệu
� Vị trí lưu trữ DL dự phòng
� Xác định các hệ thống ứng dụng quan trọng-Ưu tiên kiểm
soát và khôi phục trước
� Phân chia trách nhiệm thực hiện kế hoạch dự phòng và khôi
phục trung tâm dữ liệu: Nhân sự, qui trình,…
� Huấn luyện nhân viên xử lý trong trường cấp khẩn cấp
55
2.2.2. Kiểm soát ứng dụng
Kiểm soát nhập liệu
Kiểm soát quá trìnhxư ly dư liệu
Kiểm soát thông tin đầu ra
56
(1) Kiểm soát quá trình nhập liệu
� Mục tiêu:
� Kiểm soát tính Hợp lệ (DataValidation):
� Kiểm soát tính Chính xác
Tổng số kiểm soát (Control Totals)
� Gia tăng hiệu quả nhập liệu
• Sử dụng giá trị mặc định: ngày, số TT, giá
cả, tên (đã khai báo sẵn trong CSDL)
• Tự động tạo mã (nếu có thể)
57
26/06/2015
20
�Thủ tục:
� Kiểm soát chứng từ: Thứ tự; ủy quyền, xét duyệt; hợp
lý của dữ liệu; Đánh dấu đã sử dụng;
� Dùng số kiểm tra (Check Digit): Số ID được ủy quyền
� Dữ liệu đưa vào hệ thống trực tiếp từ nguồn của nó
� Sử dụng thiết bị quét hay nhận diện dữ liệu tự động
58
(1) Kiểm soát quá trình nhập liệu
� Kiểm tra trình tự (Sequence Check)
� Kiểm tra kiểu vùng dữ liệu (Field format Check)
� Kiểm tra có thực(Validity check)
� Kiểm tra độ dài vùng dữ liệu
� Kiểm tra giới hạn (Limit Check)
� Kiểm tra hợp lý (reasonableness test)
� Kiểm tra tính đầy đủ (Comleteness Check)
59
(2) Kiểm soát xử lý dữ liệu
1. Kiểm soát sắp xếp theo trình tự.
� Xử lý theo lô yêu cầu các mẫu tin được sắp xếp theo trình
tự để cập nhật tập tin
2. Kiểm soát từng bước xử lý (Run-to-run Control)
� Trong xử lý theo lô, tổng số kiểm soát được thực hiện qua
từng bước gọi và gọi nó là kiểm soát từng bước xử lý
3. Nhận biết tập tin một cách hữu hình
� Dán nhãn đĩa
� Tạo nhãn đĩa bên trong để máy có thể đọc được
4. Các kiểm soát được lập trình
� Tạo các chương trình kiểm soát tự động: Tổng nợ, tổng
có khi Post dữ liệu; Cộng dọc, ngang một bảng DL v.v60
26/06/2015
21
Ví dụ Kiểm soát theo từng bước xử lý
61
Nhaäp lieäuK.tra DL
hôïp leäSaép xeáp
TT ngh.vuï Saép xeáp
TT ngh.vuï Caäp nhaät TT chính
B.caùokhaùcBaùo caùo
KS
B.caùokhaùcBaùo caùo
KS
B.caùokhaùcBaùo caùo
KS
B.caùokhaùcBaùo caùo
KS
Toång maãu tin ñöôïc xöû lyù: 87Toång giaù trò ñöôïc xöû lyù: 15.000.000
(3) Kiểm soát thông tin đầu ra
� Mục tiêu
� Đảm bảo kết quả xử lý chính xác
� Đảm bảo nhân viên được uỷ quyền nhận và
đọc báo cáo
� Thủ tục
� Nhóm kiểm soát DL kiểm tra tính logic, hợp lệ
của DL
� Thiết lập qui trình (thời gian và nhân sự
chuyển, nhận báo cáo)
62
2.3. Giới thiệu COBIT
� HTTT có thể phù hợp với tổ chức này nhưng có phù hợp với tổ chức khác không?
� HTTT dùng trong doanh nghiệp đang “chuẩn” ở mức nào?
� Cần tiến tới mục tiêu nào để tạo lợi thế cạnh tranh so với các tổ chức, doanh nghiệp khác?
� Các nhà quản lý cần phải trang bị một phương pháp quản trị và đánh giá hệ thống thông tin doanh nghiệp của mình.
� Một số phương pháp quản trị phổ biến như: ITIL, COBIT, ISO17799/ ISO27001, CMMi, COSO, PMBOX…
63
26/06/2015
22
�Committee of Sponsoring Organizations of
Treadway Commissioncoso
COBIT
�Control Objectives for Information and Related
Technology
64
2.3. Giới thiệu COBIT
COBIT (Control Objectives for Information and Related Technology)
� COBIT là một chuẩn quốc tế về quản lý CNTT gồm những tiêu chuẩn tốt nhất về quản lý CNTT do ISACA và ITGI xây dựng năm 1996.
� COBIT cung cấp cho các nhà quản lý, những người kiểm tra và người sử dụng IT một loạt các phép đo, dụng cụ đo, các quy trình và các hướng dẫn thực hành.
� Mục đích của COBIT là “nghiên cứu, phát triển, quảng bá và xúc tiến một tập hợp các mục tiêu kiểm soát CNTT được chấp nhận phổ biến”
65
Thông tin hữu ích - COBIT
66
Theo chuẩn mực kế toán VN ???
• Trung thực
• Khách quan
• Đầy đủ
• Kịp thời
• Dễ hiểu
• Có thể so sánh
26/06/2015
23
� Bổ sung, điều chỉnh một số định nghĩa trên cơ sở
báo cáo của COSO:
• Mục tiêu kiểm soát trong HTTT
• Các hướng dẫn cho việc đánh giá hiệu quả của
kiểm soát trong HT thông tin
� COBIT phù hợp với COSO về việc phân loại các
thành phần kiểm soát
� COBIT và COSO đều cho rằng “người” là yếu tố
rất quan trọng trong hệ thống kiểm soát nội bộ
67
Đặc điểm của COBIT