Hệ thống thông tin Kế toán phần 3 - Chương 2: Tổ chức hệ thống kiểm soát nội bộ & kiểm soát Hệ thống thông tin Kế toán

pdf 23 trang vanle 2690
Bạn đang xem 20 trang mẫu của tài liệu "Hệ thống thông tin Kế toán phần 3 - Chương 2: Tổ chức hệ thống kiểm soát nội bộ & kiểm soát Hệ thống thông tin Kế toán", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfhe_thong_thong_tin_ke_toan_phan_3_chuong_2_to_chuc_he_thong.pdf

Nội dung text: Hệ thống thông tin Kế toán phần 3 - Chương 2: Tổ chức hệ thống kiểm soát nội bộ & kiểm soát Hệ thống thông tin Kế toán

  1. 26/06/2015 Chương 2: TỔ CH ỨC H Ệ TH ỐNG KI ỂM SO ÁT N ỘI B Ộ & KI ỂM SO ÁT HTTTKT Mục tiêu 1 Hiểu biết khái niệm KSNB 2 Nắm bắt cấu trúc hệ thống KSNB Tìm hiểu các thủ tục kiểm sốt hệ thống 3 kế tốn trong mơi trường xử lý bằng máy 2 Nội dung 1. Tổng quan kiểm sốt nội bộ • Khái niệm KSNB • Cấu trúc hệ thống KSNB • Kiểm sốt nội bộ trong doanh nghiệp vừa và nhỏ • Tiếp cận KSNB duới các giác độ khác nhau 2. Các kiểm sốt trong mơi trường tin học hĩa 3 1
  2. 26/06/2015 1.1 Khái niệm hệ thống KSNB  Kiểm sốt nội bộ là một quá trình do ban giám đốc, nhà quản lý và các nhân viên của đơn vị chi phối, được thiết lập để cung cấp một sự đảm bảo hợp lý nhằm thực hiện ba mục tiêu: ° Báo cáo tài chính đáng tin c ậy ° Các lu ật l ệ và qui đị nh đượ c tuân th ủ ° Mọi ho ạt độ ng trong đơ n v ị đề u h ữu hi ệu và hi ệu qu ả. 4 1.2 Cấu trúc hệ thống KSNB Đánh giá rủi ro Mơi Hoạt Giám trường động sát kiểm kiểm sốt sốt Thơng tin truyền thơng 5 1.2.1. Mơi trường kiểm sốt  Các nhân tố phản ánh sắc thái chung của đơn vị: ° Nh ận th ức, quan điểm và thái độ c ủa ng ườ i qu ản lý liên quan đế n v ấn đề ki ểm sốt ° Trình độ , nh ận th ức c ủa nhân viên v ề KSNB ° Tri ết lý qu ản lý và phong cách ho ạt độ ng ° Cơ c ấu t ổ ch ức ° Ph ươ ng pháp ủy quy ền ° Kh ả n ăng độ i ng ũ nhân viên ° Chính sách ngu ồn nhân l ực ° Sự trung th ực và các giá tr ị đạ o đứ c ° Hội đồ ng qu ản tr ị và Ban ki ểm sốt 6 2
  3. 26/06/2015 1.2.2. Đánh giá rủi ro Xác định mục tiêu Rủi ro là nh ững vấn đề làm m ục tiêu khơng đạ t Nhận diện rủi ro đượ c. Đánh giá mức độ rủi ro Đánh giá r ủi ro là Mức độ Mức Xác su ất vi ệc nh ận d ạng và X rủi ro = Thi ệt h ại rủi ro phân tích r ủi ro đe dọa các m ục tiêu của mình Đưa ra các hoạt động quản lý 7  Nhận dạng rủi ro ° Xác đị nh m ục tiêu ° Thi ết l ập c ơ ch ế nh ận di ện r ủi ro  Đánh giá rủi ro ° Thi ệt h ại ° Xác su ất x ảy ra  Các biện pháp đối phĩ với rủi ro ° Tránh né r ủi ro ° Chuy ển giao r ủi ro ° Gi ảm r ủi ro ° Ch ấp nh ận r ủi ro 8 1.2.3. Hoạt động kiểm sốt Là những chính sách, thủ tục nhằm đảm bảo kiểm sốt được các rủi ro HĐKS Phân chia Kiểm Bảo vệ Phân tích trách sốt tài sản rà sốt nhiệm thơng tin 9 3
  4. 26/06/2015 a. Phân chia trách nhiệm • Khơng để một cá nhân nắm tất cả các chức năng của một nghiệp vụ: xét duyệt, thực hiện, bảo quản tài sản và ghi chép, giữ sổ sách kế tốn • Khơng cho phép kiêm nhiệm giữa một số bước cơng việc 10 VD về kiêm nhiệm rủi ro Công việc kiêm nhiệm Rủi ro Thu tiền và theo dõi sổ Có thể lấy tiền sau đó che sách kế toán về nợ dấu bằng cách ghi xóa sổ phải thu khoản nợ phải thu, hoặc bù đắp bằng khoản thu của khách hàng khác Mua nguyên vật liệu và Không mua hàng nhưng sử dụng cho sản xuất vẫn thanh toán tiền hàng 11 b. Kiểm sốt thơng tin Kiểm tra độc lập Kiểm tra Ủy quyền quá trình xét duyệt xử lý 12 4
  5. 26/06/2015 b.1.Kiểm tra độc lập  Hoạt động kiểm tra được thực hiện bởi người khác khơng thực hiện nghiệp vụ để nâng cao tính khách quan. ° Kiểm tra trước khi nghiệp vụ diễn ra. ° Kiểm tra sau khi nghiệp vụ xảy ra  Phương pháp ° Đối chiếu 2 nguồn ghi chép độc lập ° Đối chiếu thực tế và sổ sách ° Kiểm tra ghi sổ kép 13 b.2.Ủy quyền và xét duyệt  Ủy quyền là việc trao quyền cho một cá nhân hoặc một bộ phận  Ủy quyền chung bằng chính sách Đưa ra chính sách chung bao gồm các điều kiện cho phép thực hiện nghiệp vụ.  Xét duyệt cụ thể (Uỷ quyền từng trường hợp cụ thể) Xét duyệt từng trường hợp cụ thể, khơng cĩ chính sách chung. Việc Ủy quyền nên bằng văn bản 14  ỦY QUYỀN BẰNG CHÍNH SÁCH  XÉT DUYỆT CỤ THỂ  Phòng kinh doanh được  Phó Tổng giám đốc xét quyền xét duyệt bán chịu duyệt từng trường hợp cụ theo chính sách với: thể :  Các hoá đơn dưới 10 triệu  Các hoá đơn bán chịu trên đồng 10 triệu  Các đại lý có mức dư nợ  Các đại lý đã có dư nợ dưới 100 triệu đồng vượt mức 100 triệu 15 5
  6. 26/06/2015 b.3.Kiểm tra quá trình xử lý  Chứng từ ghi nhận hoạt động: Đảm bảo dữ liệu chính xác • Mọi nghiệp vụ đều lập chứng từ • Lập chứng từ tại thời điểm phát sinh nghiệp vụ • Chứng từ phải được thiết kế mẫu đầy đủ • Chứng từ phải được đánh số trước • Chứng từ phải cĩ các số hiệu tham chiếu • Chứng từ phải cĩ các chữ ký • Chứng từ phải cĩ số tiền ghi bằng chữ 16 Luân chuyển Chứng từ ° Bao gồm quá trình l ập và l ưu chuy ển qua các bộ ph ận : ° Th ực hi ện s ự xét duy ệt ° Th ực hi ện s ự ki ểm sốt ° Là c ơ s ở ghi s ổ ° Cần xây d ựng m ột quy trình chu ẩn ° Mơ t ả b ằng l ưu đồ 17 Lưu trữ Chứng từ ° Thu ận lợi cho vi ệc truy c ập ° Th ời điểm chuy ển vào l ưu tr ữ ° Hồ s ơ th ườ ng tr ực ° Tuân th ủ pháp lu ật ° Th ời gian l ưu tr ữ ° Xử lý ch ứng t ừ h ư h ỏng ° Xử lý ch ứng t ừ h ết th ời h ạn l ưu tr ữ 18 6
  7. 26/06/2015 b.3.Kiểm tra quá trình xử lý  Sổ sách ghi nhận hoạt động: Đảm bảo ghi chép chính xác • Ghi chép dựa trên chứng từ • Thiết kế mẫu đầy đủ • Để lại dấu vết kiểm tốn • Kiểm tra, đối chiếu sổ • V.v  Lưu trữ, bảo quản sổ sách  Báo cáo  Dấu vết kiểm tĩan 19 c. Bảo vệ tài sản và thơng tin  Hạn chế tiếp cận tài sản, thơng tin  Kiểm kê tài sản  Sử dụng các thiết bị quan sát, máy tính tiền, ghi nhận tài sản khi sử dụng 20 d. Phân tích rà sốt MụcMục đích đích ° PhátPhát hihiệnện các biếnbi ến động độ ng bất b ấ thườngt th ườ ng ° XácXác địđịnhnh nguyên nhân,nhân, xử x ử lý lý kịp k ị pthời th ời Phương pháp ° Đố i chi ếu đị nh k ỳ t ổng h ợp và chi ti ết, th ực t ế và k ế ho ạch, k ỳ này và k ỳ tr ướ c, s ử d ụng các ch ỉ s ố. 21 7
  8. 26/06/2015 Ví dụ phân tích rà sốt BẢNG BÁO CÁO GIÁ THÀNH SẢN PHẨM Tháng 05/2006 Sản phẩm A: Số lượng 100 CHI PHÍ GIÁ THÀNH KỲ NÀY Z Đ.VỊ Biến động KỲ kỳ này/kỳ TOÀN BỘ ĐƠN VỊ TRƯỚC trước Nguyên vật liệu trực tiếp 1,000,000 10,000 9,000 +11% Nhân công trực tiếp 500,000 5,000 5,050 - 1% Sản xuất chung 500,000 5,000 6,000 - 17% Cộng 2,000,000 20,000 20,050 -0.25% Lưu ý. Chính sách sản xuất cho phép biến động +; - 5% 22 1.2.4. Thơng tin & truyền thơng Thơng tin Truyền thơng  Loại thơng tin gì cần  Truyền đạt, trao đổi thu thập xử lý, thơng tin giữa các đối truyền thơng. tượng liên quan ° Trong nội bộ ° Với bên ngồi ° Phương pháp truyền thơng  Phương pháp xử lý  Cung cấp cho nhân thơng tin. viên hiểu vai trị, trách nhiệm liên quan tới các chính sách, thủ tục kiểm sốt . 23 1.2.5. Giám sát  Đánh giá: Chất lượng của các thành phần khác của HT KSNB và điều chỉnh phù hợp. ° Đánh giá thường xuyên ° Các chương trình đánh giá định kỳ  Thực hiện: ° Kiểm tốn nội bộ, kiểm tốn độc lập, ° Thu thập thơng tin bên ngồi ° Hệ thống kế tốn trách nhiệm 24 8
  9. 26/06/2015 Tĩm tắt: Mối quan hệ giữa các thành phần của hệ thống KSNB Giám sát Hoạt động kiểm soát Đánh giá rủi ro Môi trường kiểm soát 25 1.3. Kiểm sốt nội bộ trong doanh nghiệp vừa và nhỏ Cho ví dụ một số phương pháp để kiểm sốt trong doanh nghiệp vừa và nhỏ? 26 1.4. Tiếp cận KSNB dưới các giác độ khác nhau Ph ươ ng pháp ti ếp c ận c ủa Ki ểm tốn viên Báo cáo tài Đánh giá HT KSNB để chính DN đánh giá rủi ro kiểm tốn, xây dựng chương trình kiểm tốn phù hợp 27 9
  10. 26/06/2015 Phương pháp tiếp cận của nhà quản lý Nhà nước Hoạt động Doanh nghiệp Chủ sở hữu • Thiết bị • Con người • Quy trình xử lý Các bên • Quy trình hoạt liên quan động Tổ chức và duy trì hệ thống KSNB để ngăn chặn và phát hiện GL-SS & hoạt động hiệu quả 28 BÀI TẬP NHĨM  Tìm hiểu và soạn thảo một bản quy chế nội bộ cho một quy trình quản lý tùy chọn.  Trong đĩ cần chỉ rõ 5 thành phần của hệ thống KSNB 29 2. Các kiểm sốt trong mơi trường tin học hĩa (IT) • Mơi trường IT ảnh hưởng 2.1. đến HTKSNB • Các hoạt động kiểm sốt 2.2. • Giới thiệu COBIT 2.3. 30 10
  11. 26/06/2015 2.1.1. Đặc điểm mơi trường ứng dụng IT  Thiết bị: nhạy cảm, dễ bị phá huỷ  Tổ chức dữ liệu: ° Theo ki ểu file ho ặc h ệ qu ản tr ị c ơ s ở d ữ li ệu.  Hoạt động xử lý: ° Hệ th ống cĩ th ể truy c ập t ừ nhi ều n ơi ° Xử lý t ự độ ng theo ch ươ ng trình đượ c lập trình s ẵn  Tổ chức hệ thống ° Nhi ều nhi ệm v ụ t ập trung x ử lý ở b ộ ph ận EDP (Electronic Data Proceessing) ° Khơng th ể đả m b ảo m ột s ố nguyên t ắc b ất kiêm nhi ệm 31 2.1.2. Nguy cơ đe dọa trong mơi trường ứng dụng IT Gian lận trong việc sử dụng máy tính Kỹ năng, nhận thức của người dùng Lỗi hệ thống Mơi trường mở và giao tiếp khơng giới hạn 32 2.1.3. Rủi ro KS trong mơi trường ứng dụng IT-theo đối tượng ảnh hưởng Hệ thống bị phá Dữ liệu bị mất, lợ hủy, ngưng hoạt bí mật động Thơng tin khơng Tài sản bị đánh đáng tin cậy cắp Nguồn lực CNTT bị sử dụng sai mục đích 33 11
  12. 26/06/2015 2.1.3. Rủi ro KS trong mơi trường ứng dụng IT-theo phạm vi ảnh hưởng Rủi ro về an ninh hệ thống Rủi ro cho sự sẵn sàng của hệ thống Rủi ro cho quá trình xử lý của hệ thống Rủi ro về bảo mật của hệ thống 34 2.1.3. Rủi ro KS trong mơi trường ứng dụng IT-theo nguồn rủi ro Rủi ro từ người dùng bất hợp pháp Rủi ro từ các mối nguy trên mạng Rủi ro do các yếu tớ mơi trường tự nhiên Rủi ro từ việc tiếp cận vật lý Rủi ro từ hoạt động của doanh nghiệp 35 2.2. Các hoạt động kiểm sốt a. Kiểm sốt chung : là các b. Kiểm sốt ứng dụng : là hoạt động kiểm sốt được các hoạt động kiểm sốt thiết kế và thực hiện được thiết kế và thực hiện nhằm đảm bảo mơi để ngăn ngừa, phát hiện trường kiểm sốt của tổ và sửa chữa sai sĩt, gian chức được ổn định, vững lận trong quá trình xử lý mạnh nhằm gia tăng hiệu nghiệp vụ. quả của kiểm sốt ứng ° Gắn liền với từng chức dụng. năng, từng hệ thống ° Phạm vi: Tồn bộ hệ ° Hình thức: Tính năng thống thơng tin được lập trình trên các ° Hình thức: Chính sách, phần mềm ứng dụ ng giải pháp kỹ thuật, giám sát hoạt động 36 12
  13. 26/06/2015 2.2.1. Kiểm sốt chung CHÍNH SÁCH GIẢI PHÁP KỸ THUẬT TRIỂN KHAI THỰC HIỆN VÀ GIÁM SÁT 37 2.2.1. Kiểm sốt chung (1). Xác lập kế hoạch an ninh (2). Phân chia trách nhiệm trong các chức năng của HT (3). Kiểm sốt dự án phát triển hệ thống (4). Kiểm sốt thâm nhập về mặt vật lý (5). Kiểm sốt truy cập hệ thống (6). Kiểm sốt lưu trữ dữ liệu (7). Kiểm sốt truyền tải dữ liệu (8). Chuẩn hĩa tài liệu hệ thống 38 2.2.1. Kiểm sốt chung (9). Giảm thiểu thời gian chết của hệ thống (10). Dấu vết kiểm tốn (11). Các kế hoạch phục hồi sau thiệt hại 39 13
  14. 26/06/2015 (1). Xác lập kế hoạch an ninh  Mục tiêu: Xác định các rủi ro, sai phạm, gian lận với thơng tin.  Rủi ro: Khơng giám sát đầy đủ về kiểm sốt và an ninh  Thủ tục: ° Xác đị nh ai cần thơng tin gì? ° Khi nào cần thơng tin? ° Thơng tin do hệ th ống nào cung cấp? 40 (2). Phân chia trách nhiệm trong các chức năng của HT  Rủi ro: Kiêm nhiệm nhiều chức năng sẽ dễ dàng thực hiện các gian lận  Thủ tục: Cần phân chia rạch rịi giữa các chức năng sau ° Ch ức năng phân tích hệ th ống ° Ch ức năng lập trình ° Ch ức năng vận hành hệ th ống máy tính ° Ng ườ i dùng hệ th ống ° Th ư vi ện dữ li ệu của hệ th ống ° Ki ểm sốt dữ li ệu 41 (3). Kiểm sốt dự án phát triển hệ thống  Thủ tục ° Cĩ sự tham gia của bộ ph ận sử dụng và ki ểm tốn nội bộ trong vi ệc phát tri ển HT ° Mọi sửa ch ữa, thay đổ i ph ải cĩ sự phê chu ẩn của cấp qu ản lý cĩ trách nhi ệm liên quan ° Ki ểm tra đị nh kỳ vi ệc th ực hi ện HT ° HT mới ph ải đượ c th ử nghi ệm tr ướ c khi sử dụng ° Đánh giá dự án ° Thi ết lập hồ sơ tr ướ c và sau khi thay đổ i HT 42 14
  15. 26/06/2015  Hồ sơ HT bao gồm: ° Hồ sơ phát tri ển HT: Mơ tả HT tồn tại; Phân tích HT; Thi ết kế HT; Th ử nghi ệm HT; Chuy ển đổ i HT ° Hồ sơ ng ườ i sử dụng: Hướ ng dẫn sử dụng; Hu ấn luy ện sử dụng ° Hồ sơ vận hành HT: (k ỹ thu ật) Mơ tả thi ết bị kỹ thu ật, ch ươ ng trình và tập tin dữ li ệu. 43 (3) Tổ chức bộ phận xử lý thơng tin  Mục tiêu: Kiểm sốt nhân viên của bộ phận xử lý thơng tin  Kiểm sốt: phân chia để đảm bảo nguyên tắc bất kiêm nhiệm giữa bộ phận sử dụng và bộ phận xử lý thơng tin 44 Ví dụ: Cơ cấu tổ chức Tổng giám đốc PGD PGD kinh Kếâ toán Bộ phận sản xuất doanh trưởng EDP (1) EDP (1) Qui mô lớn Bộ phận EDP (2) EDP (2) Qui mô nhỏ 45 15
  16. 26/06/2015 Ví dụ: Cơ cấu tổ chức Phụ trách bộ phận EDP Chief Information Officer Phát Hoạt Kiểm sốt triển HT động HT dữ liệu Phân Lập Bảo Nhập KS dữ Thư Quản trị tích HT trình dưỡng HT liệu liệu viện DL CSDL 46 (4) Kiểm sốt thâm nhập về mặt vật lý  Mục tiêu: Đảm bảo an tồn về mặt kỹ thuật và hiện vật  Thủ tục ° Ki ểm sốt an tồn kỹ thu ật th ườ ng đượ c thi ết kế trong thi ết bị ° Tạo mơi tr ườ ng tốt ở nơi đặ t thi ết bị ° Sử dụng thi ết bị lưu và ổn đị nh dịng điện ° Cĩ bản hướ ng dẫn nguyên tắc và th ủ tục sử dụng thi ết bị ° Các đĩ a ph ải đượ c ki ểm tra an tồn tr ướ c khi sử dụng ° Các tr ục tr ặc bất th ườ ng khơng đượ c tự ti ện sửa ch ữa ° Hạn ch ế ti ếp cận thi ết bị về mặt hi ện vật 47 (5) Kiểm sốt phần mềm  Mục tiêu: KS đượ c ho ạt độ ng xử lý của ph ần mềm đả m bảo an tồn cho ph ần mềm.  Th ủ tục: ° Yêu cầu ph ần mềm ph ải tạo đượ c dấu vết ki ểm tốn. ° Về sửa ch ữa dữ li ệu kế tốn sau khi chuy ển sổ, khố sổ: khơng cho sửa tr ực ti ếp, ph ải sửa bằng bút tốn đỏ hay bút tốn bổ sung. ° Ghi nh ận tự độ ng vi ệc truy cập HT, sửa ch ữa, : ghi lại th ời gian, phân hệ truy cập, DL bị sửa ° Số li ệu tổng hợp ph ải tổng hợp từ chi ti ết ° Th ườ ng xuyên đố i chi ếu ph ần mềm gốc và ph ần mềm đang sử dụng ° Lưu tr ữ ph ần mềm gốc tại nơi an tồn 48 16
  17. 26/06/2015 (5) Kiểm sốt truy cập  Mục tiêu: Ki ểm sốt vi ệc truy cập hệ th ống nh ằm bảo qu ản an tồn dữ li ệu, ch ươ ng trình xử lý.  Th ủ tục: ° Phân chia trách nhi ệm, quy ền sở hữu dữ li ệu theo từng cấp ho ạt độ ng, theo ch ức năng ° Qu ản tr ị hệ th ống & sử dụng hệ th ống ° Ủy quy ền nghi ệp vụ & th ực hi ện nghi ệp vụ ° Ủy quy ền nghi ệp vụ & Nh ập li ệu nghi ệp vụ ° Ki ểm sốt chuy ển dữ li ệu & Nh ập li ệu nghi ệp vụ ° Phân chia trách nhi ệm theo mức độ truy cập ° Sử dụng mật mã truy cập ° Sử dụng tập tin phân quy ền truy cập 49 (6) Kiểm sốt lưu trữ dữ liệu  Mục tiêu: Đảm bảo an tồn lưu trữ dữ liệu  Thủ tục ° Xác đị nh các lo ại d ữ li ệu và yêu c ầu b ảo v ệ ° Lập th ủ t ục ghi d ự phịng d ữ li ệu: Đị nh k ỳ th ời gian; Cách ghi d ự phịng ° Địề u ki ện mơi tr ườ ng đị a điểm l ưu tr ữ t ập tin d ự phịng: nhi ệt độ , ẩm, b ụi v.v ° Tạo nhãn t ập tin: nhãn bên ngồi và nhãn do máy tạo. 50 (7) Kiểm sốt truyền tải dữ liệu  Mục tiêu: ° Đả m bảo an tồn thơng tin.  Gian lận: ° Chặn đường truyền thơng ° Đĩng giả người nhận tin  Thủ tục: ° Gọi ki ểm tra ng ượ c lại: Call back modem ° Mã hố thơng tin đượ c gửi ho ặc truy ền ° Network Control Log ° Các bi ện pháp ph ần mề51m an ninh trên mạng khác 17
  18. 26/06/2015 (8) Chuẩn hĩa tài liệu hệ thống  Mục tiêu: ° Nh ằm ph ục vụ cho yêu cầu th ẩm đị nh, xem xét, đánh giá hệ th ống thơng tin kế tốn  Bao gồm ° Tài li ệu qu ản tr ị ° Tài li ệu ứng dụng ° Tài li ệu vận hành hệ th ống 52 (9) Giảm thiểu thời gian chết của hệ thống  Mục tiêu: Ngăn chặn trường hợp ảnh hưởng tới DL, chương trình hay giảm tuổi thọ của trang thiết bị  Rủi ro: ° Hệ th ống bị tạm ng ưng ho ạt độ ng  Thủ tục: ° Ki ểm tra thay th ế các thi ết bị sắp hư hỏng (hết hạn) ° Sử dụng bộ lưu điện 53 (10) Dấu vết kiểm tốn  Thủ tục: ° Hạn ch ế vi ệc ch ỉnh sửa dữ li ệu tr ực ti ếp ° Sau khi khĩa sổ, khơng cho xĩa hay sửa dữ li ệu mà ph ải ghi bút tốn đả o, âm, bổ sung và lập ch ứng từ bổ sung. ° Tự độ ng cập nh ật các hành vi truy cập hệ th ống, ch ỉnh sửa dữ li ệu. ° Đả m bảo vi ệc ki ểm tra đố i chi ếu gi ữa kế tốn tổng hợp và kế tốn chi ti ết. 54 18
  19. 26/06/2015 (11) Kế hoạch phục hồi sau thiệt hại  Mục tiêu: Đảm bảo HT hồi phục nhanh khi thiên tai, hoả hoạn, phá hoại xảy ra.  Kiểm sốt: ° Lập KH dự phịng ° Mua bảo hiểm tài sản cho hê thống và trung tâm dữ liệu ° Vị trí lưu trữ DL dự phịng ° Xác định các hệ thống ứng dụng quan trọng-Ưu tiên kiểm sốt và khơi phục trước ° Phân chia trách nhiệm thực hiện kế hoạch dự phịng và khơi phục trung tâm dữ liệu: Nhân sự, qui trình, ° Huấn luyện nhân viên xử lý trong trường cấp khẩn cấp 55 2.2.2. Kiểm sốt ứng dụng Kiểm sốt nhập liệu Kiểm sốt quá trình xử lý dữ liệu Kiểm sốt thơng tin đầu ra 56 (1) Kiểm sốt quá trình nhập liệu  Mục tiêu: ° Kiểm sốt tính Hợp lệ (DataValidation): ° Kiểm sốt tính Chính xác Tổng số kiểm sốt (Control Totals) ° Gia tăng hiệu quả nhập liệu • Sử dụng giá trị mặc định: ngày, số TT, giá cả, tên (đã khai báo sẵn trong CSDL) • Tự động tạo mã (nếu cĩ thể) 57 19
  20. 26/06/2015 (1) Kiểm sốt quá trình nhập liệu Thủ tục: ° Ki ểm sốt ch ứng từ: Th ứ tự; ủy quy ền, xét duy ệt; hợp lý của dữ li ệu; Đánh dấu đã sử dụng; ° Dùng số ki ểm tra (Check Digit): Số ID đượ c ủy quy ền ° Dữ li ệu đư a vào hệ th ống tr ực ti ếp từ ngu ồn của nĩ ° Sử dụng thi ết bị quét hay nh ận di ện dữ li ệu tự độ ng 58 ° Ki ểm tra trình t ự (Sequence Check) ° Ki ểm tra ki ểu vùng d ữ li ệu (Field format Check) ° Ki ểm tra cĩ th ực(Validity check) ° Ki ểm tra độ dài vùng d ữ li ệu ° Ki ểm tra gi ới h ạn (Limit Check) ° Ki ểm tra h ợp lý (reasonableness test) ° Ki ểm tra tính đầ y đủ (Comleteness Check) 59 (2) Kiểm sốt xử lý dữ liệu 1. Kiểm sốt sắp xếp theo trình tự. ° Xử lý theo lơ yêu cầu các mẫu tin được sắp xếp theo trình tự để cập nhật tập tin 2. Kiểm sốt từng bước xử lý (Run-to-run Control) ° Trong xử lý theo lơ, tổng số kiểm sốt được thực hiện qua từng bước gọi và gọi nĩ là kiểm sốt từng bước xử lý 3. Nhận biết tập tin một cách hữu hình ° Dán nhãn đĩa ° Tạo nhãn đĩa bên trong để máy cĩ thể đọc được 4. Các kiểm sốt được lập trình ° Tạo các chương trình kiểm sốt tự động: Tổng nợ, tổng cĩ khi Post dữ liệu; Cộng dọc, ngang một bảng DL v.v 60 20
  21. 26/06/2015 Ví dụ Kiểm sốt theo từng bước xử lý K.tra DL Sắp xếp Sắp xếp Cập nhật Nhập liệu hợp lệ TT ngh.vụ TT ngh.vụ TT chính B.cáokhác B.cáokhác B.cáokhác B.cáokhác Báo cáo Báo cáo Báo cáo Báo cáo KS KS KS KS Tổng mẫu tin được xử lý: 87 Tổng giá trị được xử lý: 15.000.000 61 (3) Kiểm sốt thơng tin đầu ra  Mục tiêu ° Đảm bảo kết quả xử lý chính xác ° Đảm bảo nhân viên được uỷ quyền nhận và đọc báo cáo  Thủ tục ° Nhĩm kiểm sốt DL kiểm tra tính logic, hợp lệ của DL ° Thiết lập qui trình (thời gian và nhân sự chuyển, nhận báo cáo) 62 2.3. Giới thiệu COBIT  HTTT cĩ thể phù hợp với tổ chức này nhưng cĩ phù hợp với tổ chức khác khơng?  HTTT dùng trong doanh nghiệp đang “chuẩn” ở mức nào?  Cần tiến tới mục tiêu nào để tạo lợi thế cạnh tranh so với các tổ chức, doanh nghiệp khác?  Các nhà quản lý cần phải trang bị một phương pháp quản trị và đánh giá hệ thống thơng tin doanh nghiệp của mình.  Một số phương pháp quản trị phổ biến như: ITIL, COBIT, ISO17799/ ISO27001, CMMi, COSO, PMBOX 63 21
  22. 26/06/2015 2.3. Giới thiệu COBIT Committee of Sponsoring coso Organizations of Treadway Commission Control Objectives for Information and Related COBIT Technology 64 COBIT (Control Objectives for Information and Related Technology)  COBIT là một chuẩn quốc tế về quản lý CNTT gồm những tiêu chuẩn tốt nhất về quản lý CNTT do ISACA và ITGI xây dựng năm 1996.  COBIT cung cấp cho các nhà quản lý, những người kiểm tra và người sử dụng IT một loạt các phép đo, dụng cụ đo, các quy trình và các hướng dẫn thực hành.  Mục đích của COBIT là “nghiên cứu, phát triển, quảng bá và xúc tiến một tập hợp các mục tiêu kiểm sốt CNTT được chấp nhận phổ biến” 65 Thơng tin hữu ích - COBIT Theo chuẩn mực kế tốn VN ??? • Trung thực • Khách quan • Đầy đủ • Kịp thời • Dễ hiểu • Cĩ thể so sánh 66 22
  23. 26/06/2015 Đặc điểm của COBIT  Bổ sung, điều chỉnh một số định nghĩa trên cơ sở báo cáo của COSO: • Mục tiêu kiểm sốt trong HTTT • Các hướng dẫn cho việc đánh giá hiệu quả của kiểm sốt trong HT thơng tin  COBIT phù hợp với COSO về việc phân loại các thành phần kiểm sốt  COBIT và COSO đều cho rằng “người” là yếu tố rất quan trọng trong hệ thống kiểm sốt nội bộ 67 23