TRƯỜNG ĐẠI HỌC KINH TỀ THÀNH PHỐ HỒ CHÍ MINH VIỆN ĐÀO TẠO SAU ĐẠI HỌC Chuyên đề: HOẠT ĐỘNG KIỂM SỐT NỘI BỘ TRONG HỆ THỐNG THƠNG TIN CỦA DOANH NGHIỆP GVHD: TS Trần Thị Giang Tân Nhóm thực hiện: Nhóm Lớp KTKT đêm Khố: 20 Hệ: Cao học Thành phố Hồ Chí Minh, ngày 17 tháng 10 năm 2012 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chuyên đề Kiểm toán GVHD: TS Trần Thị Giang Tân DANH SÁCH NHÓM Lê Trần Hạnh Phương Lê Mai Thanh Trà Trần Ngọc Trâm LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chuyên đề Kiểm toán GVHD: TS Trần Thị Giang Tân MỤC LỤC Trang PHẦN MỞ ĐẦU Chương 1: Tổng quan kiểm soát nội 1.1 Định nghĩa 1.2 Mục tiêu 1.3 Các phận cấu thành kiểm soát nội 1.3.1 Mơi trường kiểm sốt 1.3.2 Đánh giá rủi ro 10 1.3.3 Hoạt động kiểm soát 11 1.3.4 Thông tin truyền thông 11 1.3.5 Giám sát 12 Chương 2: Đặc điểm hệ thống thông tin ảnh hưởng đến kiểm sốt nội 2.1 Đặc điểm q trình xử lý 13 2.1.1 Các mức độ ứng dụng công nghệ thơng tin vào cơng tác kế tóan 13 2.1.2 Đặc điểm cơng tác kế tóan mơi trường tin học 14 2.1.2.1 Đặc điểm ghi nhận hạch tóan ban đầu 14 2.1.2.2 Đặc điểm q trình xử lý liệu kế tóan 15 2.1.2.3 Đặc điểm thơng tin đầu 16 2.1.3 Sai sót gian lận mơi trường máy tính 17 2.1.3.1 Phân lọai sai sót gian lận mơi trường máy tính 17 a Phân lọai sai sót gian lận theo quy trình xử lý 17 b Phân lọai sai sót gian lận xét góc độ kỹ thuật 18 2.1.3.2 Một số trường hợp đặc thù 18 a Các gian lận liên quan đến tập tin chương trình ứng dụng 18 b Các gian lận liên quan tới hệ thống 20 Chương 3: Những hoạt động kiểm soát mơi trường máy tính 3.1 Kiểm sốt chung 21 3.1.1 Xác lập kế họach an ninh 21 3.1.2 Phân chia trách nhiệm chức hệ thống 21 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chuyên đề Kiểm toán GVHD: TS Trần Thị Giang Tân 3.1.3 Kiểm soát dự án phát triển hệ thống 22 3.1.4 Kiểm soát thâm nhập mặt vật lý 22 3.1.5 Kiểm soát truy cập hệ thống 22 3.1.6 Kiểm soát lưu trữ liệu 23 3.1.7 Kiểm soát truyền tải liệu 23 3.2 Kiểm soát ứng dụng 23 3.2.1 Kiểm soát nhập liệu 23 3.2.1.1 Kiểm soát nguồn liệu 23 3.2.1.2 Kiểm sốt q trình nhập liệu 23 3.2.2 Kiểm sốt q trình xử lý liệu kiểm sốt bảo trì tập tin 24 3.2.3 Kiểm sốt thơng tin đầu 24 Chương 4: Một số giải pháp xây dựng hoạt động kiểm sốt mơi trường tin học doanh nghiệp 4.1 Giải pháp cho hoạt động kiểm soát chung 25 4.1.1 Kiểm soát vật chất, xác lập kế họach an ninh 25 4.1.2 Kiểm soát người 26 4.1.3 Kiểm soát vận hành hệ thống máy tính 26 4.1.4 Phân chia trách nhiệm chức hệ thống 27 4.2 Các giải pháp cho hoạt động kiểm soát ứng dụng 28 4.2.1 Quy định ràng buộc trách nhiệm đối tượng liên quan đến hệ thống thông tin doanh nghiệp 28 4.2.2 Một số giải pháp nhằm kiểm soát liệu đầu vào HTTH 29 4.2.3 Các giải pháp nhằm kiểm sốt quy trình xử lý liệu kiểm sốt bảo trì tập tin 31 4.2.4 Kiểm sốt liệu đầu 32 4.2.5 Các giải pháp hoạt động kiểm soát liệu 33 4.2.5.1 Tổ chức máy chủ 33 4.2.5.2 Tổ chức lưu liệu 33 4.2.5.3 Kiểm soát liệu đối tượng bên ngòai doanh nghiệp 34 KẾT LUẬN 35 TÀI LIỆU THAM KHẢO 36 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chuyên đề Kiểm toán GVHD: TS Trần Thị Giang Tân PHẦN MỞ ĐẦU Sự cần thiết chuyên đề Mọi tổ chức mong muốn hoạt động đơn vị hữu hiệu hiệu quả, báo cáo tài đáng tin ậy, c t uân thủ pháp luật quy định Tuy nhiên tồn rủi ro tiềm ẩn yếu sai phạm nhà quản lý, đội ngũ nhân viên hay bên thứ ba thực gây thiệt hại làm giảm hiệu hoạt động tổ chức Việc xây dựng hệ thống kiểm soát nội biện pháp quan trọng giúp ngăn ngừa, phát sai phạm yếu kém, giảm thiểu tổn thất, nâng cao hiệu nhằm giúp tổ chức đạt mục tiêu Song song với phát triển vượt bậc công nghệ thơng tin đóng góp thành tựu to lớn giúp phận doanh nghiệp trao đổi thơng tin với cách nhanh chóng, tiết kiệm thời gian thay dần sức người q trình tự động hóa ngày cao Tuy nhiên, vấn đề đặt việc bảo vệ thông tin đóng vai trị quan trọng rủi ro tiềm ẩn ln ln rình rập đến tài sản thơng tin doanh nghiệp Để thực công việc địi hỏi doanh nghiệp phải có chế kiểm sốt chặt chẽ, rõ ràng, tỉ mỉ chi tiết thông qua việc thiết lập hệ thống kiểm soát nội hữu hiệu tuân theo quy trình thống từ nhà quản lý đến nhân viên doanh nghiệp Do vậy, việc tìm hiểu đặc trưng hệ thống kiểm soát nội bộ, biện pháp ngăn ngừa, nhận diện khắc phục tác động xấu từ rủi ro môi trường ứng dụng công nghệ thơng tin mang đến nhìn tồn diện việc thiết lập hệ thống kiểm soát nội hữu hiệu nhằm bảo vệ, củng cố phát huy tài sản thông tin tổ chức Nắm bắt tính cấp thiết vấn đề nghiên cứu, nhóm thực lựa chọn chuyên đề nghiên cứu “Hoạt động kiểm sốt nội hệ thống thơng tin doanh nghiệp” Chuyên đề nghiên cứu bước đầu mong muốn mang lại nhìn chung vấn đề kiểm soát nội doanh nghiệp mà cụ thể việc xây dựng số giải pháp xây dựng hệ thống kiểm sốt nội mơi trường tin học doanh nghiệp LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chuyên đề Kiểm toán GVHD: TS Trần Thị Giang Tân Mục tiêu nghiên cứu chuyên đề Dựa việc nghiên cứu tài liệu hệ thống kiểm sốt nội hệ thống thơng tin doanh nghiệp chuyên gia ngồi nước, nhóm thực với mục tiêu cung cấp vấn đề chung kiểm soát nội điều kiện ứng dụng công nghệ thông tin doanh nghiệp để từ người hành nghề kế tốn kiểm tốn, nhà quản lý có phương pháp tổ chức hệ thống thông tin xây dựng hoạt động kiểm soát thật hữu hiệu điều kiện ứng dụng công nghệ thông tin vào công việc hàng ngày Phương pháp nghiên cứu Phương pháp nghiên cứu chuyên đề dựa việc nghiên cứu, phân tích để từ đề xuất giải pháp nhằm giải vấn đề nêu mục tiêu nghiên cứu Vì thời gian nghiên cứu cịn hạn chế, nhóm thực khơng thể quan sát thực tế trường, khảo sát điều tra đối tượng liên quan doanh nghiệp Do vậy, giải pháp đề cập chủ yếu dựa phân tích sở lý thuyết nên cịn nhiều hạn chế Kết cấu chuyên đề  Phần mở đầu  Chương 1: Tổng quan kiểm soát nội  Chương 2: Đặc điểm hệ thống thông tin ảnh hưởng đến kiểm soát nội  Chương 3: Những hoạt động kiểm sốt hệ thống thơng tin doanh nghiệp  Chương 4: Một số giải pháp xây dựng hoạt động kiểm sốt mơi trường tin học doanh nghiệp  Kết luận  Tài liệu tham khảo LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chuyên đề Kiểm toán GVHD: TS Trần Thị Giang Tân CHƯƠNG TỔNG QUAN VỀ KIỂM SOÁT NỘI BỘ 1.1 Định nghĩa: Dưới góc độ quản lý, q trình nhận thức nghiên cứu kiểm soát nội giới dẫn đến hình thành nhiều định nghĩa khác Theo Liên đồn Kế tốn quốc tế IFAC, "Hệ thống kiểm soát nội kế hoạch đơn vị toàn phương pháp, bước công việc mà nhà quản lý doanh nghiệp tuân theo Hệ thống kiểm soát nội trợ giúp cho nhà quản lý đạt mục tiêu cách chắn theo trình tự kinh doanh có hiệu kể việc tôn trọng quy chế quản lý; giữ an toàn tài sản, ngăn chặn, phát sai phạm gian lận; ghi chép kế toán đầy đủ, xác, lập báo cáo tài kịp thời, đáng tin cậy" Theo Viện kiểm toán độc lập Hoa Kỳ AICPA: “Kiểm soát n ội bao gồm kế hoạch tổ chức tất phương pháp phối hợp đo lường thừa nhận doanh nghiệp để bảo đảm an tồn tài sản có họ, kiểm tra phù hợp độ tin cậy liệu kế tốn, tăng cường tính hiệu hoạt động khuyến khích việc thực sách quản lý lâu dài” Hiện nay, định nghĩa chấp nhận rộng rãi định nghĩa COSO (Committee Of Sponsoring Organization) COSO Ủy ban thuộc Hội đồng quốc gia Hoa Kỳ việc chống gian lận báo cáo tài COSO thành lập nhằm nghiên cứu kiểm soát nội bộ, cụ thể nhằm thống định nghĩa kiểm soát nội để phục vụ cho nhu cầu đối tượng khác đưa phận cấu thành để giúp đơn vị xây dựng hệ thống kiểm soát nội hữu hiệu “Kiểm soát nội trình nhà quản lý, hội đồng quản trị nhân viên đơn vị chi phối Nó thiết lập để cung cấp đảm bảo hợp lý nhằm thực ba mục tiêu: - Hoạt động hữu hiệu có hiệu - Báo cáo tài đáng tin cậy - Các luật lệ quy định tuân thủ” Định nghĩa trình bày báo cáo COSO cơng bố tiêu đề Kiểm sốt nội - Khuôn khổ hợp Chúng ta hiểu cụ thể sau: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chuyên đề Kiểm toán GVHD: TS Trần Thị Giang Tân - Kiểm soát nội q trình kiểm sốt giúp cho đơn vị đạt mục tiêu - Kiểm sốt nội thiết kế vận hành người: Kiểm sốt nội khơng đơn sách, thủ tục, biểu mẫu… mà phải bao gồm nhân lực đơn vị Chính người lập mục tiêu, thiết lập chế vận hành Một hệ thống kiểm sốt nội tốt khơng thiết kế tốt mà cịn vận hành tốt - Kiểm soát nội cung cấp đảm bảo hợp lý, đảm bảo tuyệt đối mục tiêu đạt Vì vận hành Hệ thống kiểm soát nội bộ, yếu xảy sai lầm người Một nguyên tắc cho định quản lý chi phí cho q trình kiểm sốt khơng thể vượt q lợi ích mong đợi từ q trình kiểm sốt 1.2 Mục tiêu: - Đối với Báo cáo tài chính, Kiểm sốt nội phải đảm bảo tính trung thực đáng tin cậy, người quản lý đơn vị có trách nhiệm lập với Báo cáo tài phù hợp với chuẩn mực chế độ kế toán hành - Đối với tính tn thủ, Kiểm sốt nội trước hết phải đảm bảo hợp lý việc chấp hành luật pháp quy định Kiểm soát nội cần hướng thành viên vào việc tuân thủ sách, quy định nội đơn vị, đạt mục tiêu đơn vị - Đối với mục tiêu hữu hiệu quả: giúp đơn vị bảo vệ sử dụng hiệu nguồn lực, bảo mật thơng tin, nâng cao uy tín, mở rộng thị phần, thực chiến lược kinh doanh Những mục tiêu hệ thống kiểm soát nội rộng, bao trùm lên mặt hoạt động có ý nghĩa quan trọng tồn phát triển đơn vị 1.3 Các phận cấu thành kiểm sốt nội bộ: Dù có khác biệt đáng kể tổ chức hệ thống kiểm soát nội đơn vị phụ thuộc vào nhiều yếu tố quy mơ, tính chất, hoạt động, mục tiêu… hệ thống kiểm soát nội có điểm phổ biến nay, kiểm soát nội bao gồm yếu tố: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chuyên đề Kiểm tốn GVHD: TS Trần Thị Giang Tân (1) Mơi trường kiểm soát (2) Đánh giá rủi ro (3) Hoạt động kiểm sốt (4) Thơng tin truyền thơng (5) Giám sát (cách phân chia COSO đưa năm 1992 thừa nhận nhiều nơi IFAC, AICPA…) 1.3.1 Mơi trường kiểm sốt Mơi trường kiểm sốt p hản ánh sắc thái chung đơn vị, chi phối ý thức kiểm soát thành viên đơn vị, tảng phận khác kiểm sốt nội Các nhân tố mơi trường kiểm sốt: - Tính trực giá trị đạo đức: nhà quản lý cần xây dựng chuẩn mực đạo đức đơn vị cư xử đắn, nhà quản lý cần phải làm gương cho cấp việc tuân thủ chuẩn mực cần phải phổ biến quy định đến thành viên thể thức thích hợp - Đảm bảo lực: đảm bảo nhân viên có kỹ hiểu biết để thực nhiệm vụ Vì thế, nhà quản lý nên tuyển dụng nhân viên có kiến thức kinh nghiệm phù hợp với nhiệm vụ giao - Hội đồng quản trị Uỷ ban kiểm toán: Nhiều nước giới, u cầu cơng ty cổ phần có niêm yết Thị trường chứng khoán cần thành lập Uỷ ban kiểm tốn Uỷ ban khơng tham gia vào việc điều hành đơn vị mà có vai trị việc thực mục tiêu, giám sát việc tuân thủ pháp luật, giám sát việc lập báo cáo tài chính, giữ độc lập Kiểm tốn nội bộ… Ở Việt nam, Luật doanh nghiệp 2005 quy định số loại hình cơng ty phải có Ban kiểm sốt trực thuộc Đại hội đồng cổ đơng đóng vai trị Ủy ban kiểm tốn - Cơ cấu tổ chức: phân chia trách nhiệm quyền hạn phận đơn vị, cấu phù hợp sở để lập kế hoạch, điều hành, kiểm soát giám sát hoạt động Cơ cấu tổ chức thể qua sơ đồ tổ chức, cần phù hợp với quy mô đặc thù hoạt động đơn vị LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chuyên đề Kiểm toán GVHD: TS Trần Thị Giang Tân - Cách thức phân định quyền hạn trách nhiệm: Phân định quyền hạn trách nhiệm xem phần mở rộng cấu tổ chức, cụ thể hóa quyền hạn trách nhiệm thành viên hoạt động đơn vị, giúp họ hiểu họ có nhiệm vụ hành vi họ ảnh hưởng đến tổ chức Do đó, đơn vị cần thể chế hóa văn quyền hạn trách nhiệm họ với - Chính sách nhân sự: sách thủ tục nhà n lý tuyển dụng, huấn luyện, bổ nhiệm, đánh giá, sa thải… Nhà quản lý chọn nhân viên có đủ lực, kinh nghiệm, đạo đức tốt góp phần lớn đến hữu hiệu mơi trường kiểm sốt 1.3.2 Đánh giá rủi ro Đối với hoạt động đơn vị có phát sinh rủi ro khó kiểm sốt tất Vì vậy, nhà quản lý phải đánh giá phân tích nhân tố ảnh hưởng tạo nên rủi ro làm cho mục tiêu khơng đạt cố gắng kiểm sốt để tối thiểu hóa tổn thất rủi ro gây - Xác định mục tiêu đơn vị: Mục tiêu điều kiện tiên để đánh giá rủi ro Rủi ro xác định rủi ro tác động khiến cho mục tiêu có khả không thực - Nhận dạng rủi ro: rủi ro tác động đến tổ chức mức độ toàn đơn vị (sự đổi kỹ thuật, nhu cầu khách hàng thay đổi, cải tiến sản phầm, sách nhà nước…) hay ảnh hưởng đến hoạt động cụ thể (hoạt động bán hàng, mua hàng, kế toán…) liên quan đến mức độ rộng nhà quản lý sử dụng nhiều phương pháp khác nhau: phương ện ti dự báo, phân tích liệu, rà sốt hoạt động 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chuyên đề Kiểm toán GVHD: TS Trần Thị Giang Tân 3.1.3 Kiểm soát dự án phát triển hệ thống Gồm thủ tục sau: + Kế hoạch chủ đạo chiến lược + Kế hoạch phát triển dự án + Lịch trình xử lý liệu + Quy định trách nhiệm + Đánh giá thực dự án định kỳ + Đánh giá việc thực chuyển đổi + Đo lường việc thực hệ thống 3.1.4 Kiểm soát thâm nhập mặt vật lý Thâm nhập mặt vật lý hành vi sử dụng máy tính hay trang thiết bị phần cứng khác Các thủ tục kiểm soát thâm nhập mặt vật lý đảm bảo an toàn cho máy sử dụng máy nhằm hạn chế ácc thiệt hại vật chất cho máy tính, thiết bị phần cứng, hạn chế truycập hệ thống bất hợp pháp, hạn chế tiết lộ thơng tin bí mật Cần lưu ý thủ tục sau: + Cần có thíêt bị giám sát cảnh báo + Giới hạn sử dụng phương tiện hỗ trợ máy tính truy cập từ xa + Huấn luyện đầy đủ cho người dùng bao gồm huấn luyện, sử dụng, vận hành, phòng chống virus máy tính + Mã hóa liệu … 3.1.5 Kiểm soát truy cập hệ thống Kiểm soát truy cập hệ thống việc giới hạn quyền truy cập hệ thống người dùng, thực thông qua biện pháp sau: + Phân quyền cho người dùng quyền truy cập – sử dụng hệ thống quyền truy cập liệu + Mật + Nhận dạng sinh học 22 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chuyên đề Kiểm toán GVHD: TS Trần Thị Giang Tân 3.1.6 Kiểm soát lưu trữ liệu Kiểm soát lưu trữ liệu bao gồm thủ tục kiểm soát thiết bị lưu trữ, kiểm soát lưu dự phòng liệu hệ thống xử lý theo lô, hệ thống xử lý trực tuyến theo thời gian thực hay hệ thống có sử dụng mạng nội 3.1.7 Kiểm sốt truyền tải liệu Có thể thực thông qua biện pháp mã hóa liệu, kiểm tra đường truyền, kiểm tra chẵn lẻ, biện pháp sử dụng phần mềm an ninh mạng 3.2 Kiểm soát ứng dụng Kiểm soát ứng dụng hoạt động kiểm soát thiết kế thực để ngăn ngừa, phát sửa chữa sai sót, gian lận trình xử lý nghiệp vụ chương trình xử lý Nó kiểm sốt cấp hoạt động (activity level) 3.2.1 Kiểm soát nhập liệu 3.2.1.1 Kiểm soát nguồn liệu Kiểm soát nguồn liệu nhằm đảm bảo liệu nhập vào hợp lệ Các thủ tục kiểm soát cụ thể gồm: + Kiểm tra việc đánh số trước chứng từ gốc + Sử dụng chứng từ luân chuyển + Chuẩn y phê duyệt + Đánh dấu sử dụng chứng từ sau nhập liệu… 3.2.1.2 Kiểm sốt q trình nhập liệu: Gồm kiểm sốt sau: + Kiểm tra tính nhập liệu + Kiểm tra vùng liệu + Kiểm tra dấu (>0 hay