Hệ thống thông tin kế toán 1 - Kiểm soát hệ thống thông tin kế toán (t)

Nội dung text: Hệ thống thông tin kế toán 1 - Kiểm soát hệ thống thông tin kế toán (t)

1. 1/18/2014 TRƯỜNG ĐẠI HỌC MỞ TP.HCM KHOA KẾ TỐN – KIỂM TỐN Hệ Thống Thơng Tin Kế Tốn 2 CHƢƠNG 03 – P.2 KIỂM SỐT HỆ THỐNG THƠNG TIN KẾ TỐN Trong mơi trƣờng xử lý bằng máy tính GV. ThS. Vũ Quốc Thơng Mục tiêu và nội dung • Trình bày đặc điểm mơi trƣờng tin học ảnh hƣởng tới kiểm sốt nội bộ (KSNB) • Giới thiệu về khung kiểm sốt COBIT • Giải thích các hoạt động kiểm sốt trong mơi trƣờng máy tính • Đặc điểm mơi trƣờng tin học ảnh hƣởng tới kiểm sốt nội bộ • Khung kiểm sốt COBIT • Các hoạt động kiểm sốt trong mơi trƣờng máy tính 2 1
2. 1/18/2014 Mục tiêu của Kiểm sốt HTTTKT 3 Mục tiêu của Kiểm sốt HTTTKT • Mục tiêu chung – Hệ thống thơng tin hoạt động hiệu quả >> thơng tin chính xác, kịp thời và tin cậy đƣợc • Mục tiêu cụ thể – Tính cĩ thực của nghiệp vụ – Đảm bảo sự xét duyệt và phê chuẩn đúng đắn đối với nghiệp vụ – Tính đầy đủ của nghiệp vụ – Tính kịp thời (đúng hạn) – Chuyển sổ và tổng hợp chính xác 4 2
3. 1/18/2014 Đặc điểm xử lý bằng máy ảnh hưởng đến kiểm sốt 5 Đặc điểm của xử lý trên mơi trƣờng máy tính (CIS) • Thiết bị: nhạy cảm, dễ bị phá hủy • Dữ liệu: • Dữ liệu lƣu trong hình thức máy tính đọc đƣợc • Tổ chức dữ liệu theo hệ quản trị cơ sở dữ liệu • Hoạt động xử lý: • Hệ thống cĩ thể truy cập từ nhiều nơi • Xử lý tự động theo chƣơng trình lập sẵn và bị phụ thuộc hoạt động của thiết bị • Tổ chức, phát triển hệ thống: • Nhiều nhiệm vụ tập trung ở khâu xử lý dữ liệu điện tử (Electronic Data Processing EDP) – khơng đảm bảo một số nguyên tắc bất kiêm nhiệm • Thay đổi hệ thống (đặc biệt là về cấu trúc) sẽ phức tạp 6 3
4. 1/18/2014 Đặc điểm của xử lý trên mơi trƣờng máy tính (CIS) • Thực hiện nhiều chức năng (nhập liệu, truy vấn, lƣu trữ dữ liệu, kết xuất thơng tin thơng qua một ứng dụng – một cơ sở dữ liệu) • Khĩ lƣu lại dấu vết (xĩa dấu vết, sửa chữa bằng câu lệnh, hoặc bởi các chƣơng trình virus) • Khối lƣợng dữ liệu ghi nhận nhiều, đƣợc sử dụng (truy vấn, kết xuất) nhiều lần, đa dạng • Thơng tin cung cấp nhiều, đa dạng (báo cáo đầu ra đƣợc thiết kế linh động) • Phụ thuộc vào khả năng hoạt động, xử lý của phần cứng, phần mềm • Địi hỏi nhân viên cĩ trình độ cao (chuyên mơn kế 7 tốn, kiến thức hệ thống, kiến thức tin học) Rủi ro kiểm sốt trong mơi trƣờng CIS Rủi ro trong DN Rủi ro kinh doanh Rủi ro xử lý TT Rủi ro hệ thống TT Nguồn lực Nhập liệu Phát triển HT Sự kiện Xử lý Tổ chức HTTT Thành phần tham gia Kết quả xử lý Thiết bị Địa điểm Truy cập Rủi ro chiến lƣợc, Dữ liệu hoạt động kinh doanh, tài chính Rủi ro thơng tin 8 4
5. 1/18/2014 Nguy cơ đe dọa trong mơi trƣờng CIS • Các loại gian lận, phá hoại • Gian lận trong hoạt động kinh doanh • Gian lận trong xử lý thơng tin: ăn cắp, sửa đổi, gián điệp với các tập tin dữ liệu từ hệ thống • Gian lận liên quan tiếp cận hệ thống: truy cập hệ thống và sử dụng thiết bị trái phép, khơng hợp lệ • Phá hoại các thiết bị hệ thống: con ngƣời (chủ quan hay khách quan); thiên tai • Các nguyên nhân • Nguồn nội bộ • Nguồn bên ngồi: mối quan hệ trong kinh doanh, tội phạm mạng Internet 9 • Thơng đồng: cĩ phối hợp giữa nội bộ và bên ngồi Nguy cơ đe dọa trong mơi trƣờng CIS HTTT của Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) Edward Snowden: A Hero Or Traitor? 10 5
6. 1/18/2014 Bài tập thảo luận 01 11 Bài tập thảo luận 01 • Nhận biết những rủi ro cĩ thể xảy ra trong quá trình xử lý thơng tin? Giai đoạn Rủi ro cĩ thể xảy ra gian lận, sai sĩt Nhập liệu - Dữ liệu dễ bị thay đổi trƣớc khi đƣợc nhập vào hệ thống. (Data - Dữ liệu khơng chính xác, khơng đầy đủ sẽ khơng đảm bảo đƣợc chất Collection) lƣợng thơng tin (GIGO: Garbage In Garbage Out). Xử lý và lưu - Gian lận về chƣơng trình phần mềm: thay đổi chƣơng trình cho phép trữ dữ liệu truy cập và thao tác khơng hợp lệ đối với dữ liệu; phá hủy chƣơng trình (Data hệ thống bằng Virus. Processing and - Gian lận về hoạt động: sử dụng nguồn lực tin học sai mục đích. VD. sử Management) dụng máy tính chứa dữ liệu cơng ty cho các mục đích cá nhân - Thay đổi, xĩa, phá hủy và lấy cắp các tập tin dữ liệu lƣu trên hệ thống. Kết xuất thơng -Lấy cắp, chuyển thơng tin đến sai đối tƣợng, sử dụng thơng tin với mục tin (Information đích khơng đúng. Generation) - Các hành động tìm kiếm thơng tin đã xĩa trong thùng rác (Trash, Recycle Bin) của máy tính đƣợc dùng để kết xuất thơng tin. 12 6
7. 1/18/2014 Giới thiệu khung kiểm sốt COBIT Tham khảo tài liệu COBIT_4.1.PDF 13 Khung kiểm sốt COBIT • COBIT: Khung kiểm sốt hệ thống tập trung cho mơi trƣờng máy tính Committee of Sponsoring coso Organizations Control Objectives for COBIT Information and Related Technology 14 7
8. 1/18/2014 Lịch sử phát triển của COBIT * 15 Khung kiểm sốt COBIT • COBIT giải quyết vấn đề Kiểm Sốt dựa trên 03 điểm chính: – Mục tiêu kinh doanh: để phục vụ cho mục tiêu kinh doanh, thơng tin cần thỏa mãn các tiêu chuẩn: hữu hiệu, hiệu quả, bảo mật, tồn vẹn, sẵn sàng, tuân thủ và đáng tin cậy. – Nguồn lực CNTT: bao gồm con ngƣời, hệ thống ứng dụng, kỹ thuật, cơ sở hạ tầng và dữ liệu. – Quy trình CNTT: đƣợc chia thành 04 vùng/lĩnh vực (domain) bao gồm hoạch định và tổ chức; hình thành và triển khai; phân phối và hỗ trợ; giám sát và đánh giá về hệ thống thơng tin. 16 8
9. 1/18/2014 Khung kiểm sốt COBIT  Bổ sung, điều chỉnh một số định nghĩa trên cơ sở của báo cáo của COSO:  Mục tiêu kiểm sĩat trong hệ thống thơng tin (HTTT)  Các hƣớng dẫn cho việc định giá hiệu quả của kiểm sĩat trong HTTT Giám sát  COBIT phù hợp với COSO về việc phân lọai các thành phần Hoạt kiểm sĩat động  COBIT và COSO đều cho kiểm soát rằng “người” là yếu tố rất Đánh giá quan trọng trong hệ thống rủi ro KSNB Môi trường kiểm soát 17 Khung kiểm sốt COBIT • Kiểm sốt trong mơi trƣờng máy tính 18 9
10. 1/18/2014 Các hoạt động kiểm sốt 19 Các hoạt động kiểm sốt 20 10
11. 1/18/2014 Kiểm sốt chung và kiểm sốt ứng dụng Kiểm sốt chung Kiểm sốt Khác Bán hàng và ứng thu tiền dụng Hàng tồn Tiền kho lương 21 Phân biệt KS chung và KS ứng dụng • Kiểm sốt chung Là loại kiểm sốt cho một số hay tồn thể các ứng dụng Cĩ ảnh hƣởng trực tiếp hay gián tiếp đến kiểm sốt ứng dụng • Kiểm sốt ứng dụng Liên quan đến từng ứng dụng và xuất hiện trong quá trình xử lý nghiệp vụ 22 11
12. 1/18/2014 Tác động của KS chung đến KS ứng dụng Kiểm sốt chung giúp: - Tránh sự tiếp cận và thay đổi khơng đƣợc phép của các ứng dụng (bộ phận/phân hệ) - Thực hiện một cách chính xác bởi máy tính - Giúp các ứng dụng khơng thể bị vơ hiệu hĩa 23 Kiểm sốt chung • Tổ chức bộ máy xử lý thơng tin trong mơi trƣờng máy tính • Kiểm sốt quá trình phát triển HT thơng tin • Chuẩn hĩa các tài liệu hệ thống liên quan • Kiểm sốt truy cập và thao tác hệ thống • Đảm bảo hoạt động liên tục • Kế hoạch khắc phục hậu quả nếu rủi ro xảy ra 24 12
13. 1/18/2014 Kiểm sốt truy cập và thao tác hệ thống Phân quyền truy cập 25 VD. Hệ thống kế tốn Misa 26 13
14. 1/18/2014 Bài tập thảo luận 3 Bạn là trƣởng phịng kế tốn cĩ quyền quản trị đối với phần mềm kế tốn ABC đang sử dụng tại doanh nghiệp của bạn với mơ hình thƣơng mại. Các phần hành (phân hệ) kế tốn trong phần mềm ABC bao gồm quản trị, kế tốn thu/chi, bán hàng, nhập/xuất hàng, mua hàng và kế tốn tổng hợp. Mỗi phần hành cĩ 04 quyền thao tác: quyền xem (X), quyền thêm (T), quyền sửa (S), quyền xĩa (D). Phịng kế tốn hiện nay cĩ 03 nhân viên (khơng bao gồm kế tốn trƣởng). Mỗi nhân viên kế tốn chịu trách nhiệm nhập các chứng từ liên quan đến phần việc của mình và đƣợc phép sử dụng các báo cáo của các phần hành khác (nếu thấy cần thiết) để đối chiếu, kiểm tra khi xử lý các nghiệp vụ của mình. 27 Yêu cầu phân quyền truy cập hệ thống ? Chức năng KTT NV1 NV2 NV3 Khai báo Khai báo tài khoản T,X,S X X X Khai báo các đ.tƣợng quản lý T,X,S X X X Khĩa sổ kì kế tốn Quản lý ngƣời dùng T,X,S,D Các chính sách kế tốn T,X,S,D X X X Nhập liệu - Chứng từ D.thu Chứng từ thu X T,X Chứng từ bán hàng X X T,X Chứng từ xuất kho X X T,X - Chứng từ C.Phí Chứng từ chi X T,X Chứng từ mua hàng X X T,X X Chứng từ nhập kho X X X T,X KHÁC Chứng từ tổng hợp T,X Bút tốn khác T,X 28 14
15. 1/18/2014 Kiểm sốt ứng dụng Chương trình Hịan tồn tự trên máy động Hoạt động Hỗn hợp kiểm sốt Thủ cơng 29 Mục tiêu kiểm sốt ứng dụng *  Mục tiêu: đầy đủ, hợp lệ, chính xác  Các dữ liệu phát sinh đều đƣợc ghi nhận (ghi vào tập tin tham chiếu hoặc tập tin nghiệp vụ)  Dữ liệu phải đƣợc ghi nhận hợp lệ - cĩ thực (Validation check)  Dữ liệu phải đƣợc ghi nhận đầy đủ (Completeness check)  Dữ liệu hợp lệ, đầy đủ phải đƣợc xử lý và lƣu trữ chính xác  Báo cáo (thơng tin) đƣợc kết xuất phải đầy đủ, hợp lệ, chính xác 30 15
16. 1/18/2014 Ví dụ. Trong mơi trƣờng tin học hĩa, thủ tục kiểm sốt ứng dụng nào hữu hiệu để ngăn ngừa, phát hiện các sai phạm sau: Sai phạm Thủ tục kiểm sốt 1. Nhân viên kế tốn tiền lương nhập thời gian làm Kiểm tra giới hạn dữ liệu của việc trong tuần của một cơng nhân vào phần mềm trường “Giờ cơng” trong phần nhập 94 giờ thay vì số đúng là 49 giờ mềm 2. Nhân viên bán hàng đã nhập sai mã hàng khi lập Giá trị mặc định (Chọn mã hàng lệnh bán hàng thay vì nhập) kiểm tra tính hợp lệ - cĩ thực 3. Nhân viên bán hàng từ máy tính cá nhân, truy Kiểm tra phân quyền truy cập hệ cập vào mạng LAN của cơng ty, vào máy chủ và in thống ra danh sách lương của các nhân viên 4. Một lệnh bán hàng được mã hĩa với mã của một Kiểm tra tính tồn vẹn + tính cĩ khách hàng khơng cĩ thực. Lỗi này chỉ được phát thực hiện trong quá trình cập nhật dữ liệu, chương trình khơng tìm được một mẫu tin tham chiếu nào phù hợp với dữ liệu cập nhật 5. Kế tốn đã nhập ký tự r thay vì nhập số 6 trên ơ Kiểm tra kiểu dữ liệu 31 nhập liệu khai báo mã khách hàng mới Bài tập tổng hợp • Tình huống: kiểm sốt hệ thống thơng tin Cơng ty TNHH SX TM KIMMING 32 16
17. 1/18/2014 Sau khi học xong chƣơng này, bạn cĩ thể: • Trình bày đặc điểm mơi trƣờng tin học ảnh hƣởng tới kiểm sốt nội bộ (KSNB) • Giới thiệu về khung kiểm sốt COBIT • Giải thích các hoạt động kiểm sốt trong mơi trƣờng máy tính Bài tập: - BT_KSHTTTKT_DTDB P2.pdf Bài đọc: - Các tài liệu tham khảo do GV gợi ý 33 17