khóa luận, luận văn, thạc sĩ, tiến sĩ, cao học, đề tài
-1- BỘ GIÁO DỤC ĐÀO TẠO ĐẠI HỌC ĐÀ NẴNG VĂN PHÚ LONG THIẾT KẾ THỦ TỤC KIỂM SOÁT TRONG CHƯƠNG -2- Cơng trình hồn thành ĐẠI HỌC ĐÀ NẴNG Người hướng dẫn khoa học: TS ĐOÀN THỊ NGỌC TRAI Phản biện 1: TRÌNH QUẢN LÝ BẢO HIỂM XÃ HỘI TẠI BẢO HIỂM XÃ HỘI THÀNH PHỐ ĐÀ NẴNG Chuyên ngành: Kế toán Mã số : 60.34.30 Phản biện 2: Luận văn ñược bảo vệ trước Hội ñồng chấm Luận văn tốt nghiệp thạc sĩ Quản trị kinh doanh họp Đại học Đà Nẵng vào ngày tháng năm TÓM TẮT LUẬN VĂN THẠC SĨ QUẢN TRỊ KINH DOANH Có thể tìm hiểu luận văn tại: - Trung tâm thông tin – Học liệu, Đại học Đà Nẵng - Thư viện trường Đại học kinh tế, Đại học Đà Nẵng Đà Nẵng – 2011 -3- -4- MỞ ĐẦU Tổng quan nghiên cứu Hiện nay, cơng nghệ thơng tin ngày ứng dụng rộng rãi doanh nghiệp ñơn vị hành chính, nghiệp Trong mơi trường xử lý thơng tin máy tính, vấn đề kiểm sốt cần ñược trọng ñặc biệt thiếu dấu vết kiểm tốn thường có hệ thống xử lý thủ cơng, nên khó phát gian lận sai sót Việc nghiên cứu thiết kế thủ tục kiểm sốt chương trình xử lý liệu, chủ yếu phần mềm kế tốn nhiều người quan tâm, có số đề tài nghiên cứu vấn ñề Tuy nhiên việc nghiên cứu thủ tục kiểm soát chương trình quản lý Bảo hiểm xã hội chưa tác giả thực Tính cấp thiết ñề tài Bảo hiểm xã hội ngành mới: thành lập vào ngày 16/02/1995 ñã ñảm đương khối lượng cơng việc khổng lồ Chỉ tính riêng ñịa bàn thành phố Đà Nẵng năm 2009: - Tổng thu bảo hiểm xã hội (BHXH), bảo hiểm y tế (BHYT), bảo hiểm thất nghiệp (BHTN) là: 741,294 tỷ đồng - Tổng chi BHXH+BHYT+thanh tốn khám chữa bệnh cho bệnh nhân BHYT 863,814 tỷ ñồng Với 30.000 ñối tượng nhận lương hưu trợ cấp BHXH thường xuyên (nhận tiền hàng tháng), 120.000 người lao động đóng tiền hàng tháng cho quan BHXH Hơn 570.000 người tham gia BHYT Với khối lượng ñối tượng kinh phí lớn trên, tất yếu phải áp dụng công nghệ thông tin vào công tác nghiệp vụ với 10 chương trình lớn nhỏ Tuy nhiên, cho ñến thời ñiểm này, BHXH thành phố Đà Nẵng nói riêng ngành BHXH tồn quốc nói chung chưa thiết kế thủ tục kiểm sốt chương trình Do điều kiện trưởng phịng Cơng nghệ thơng tin từ năm 2006 đến nay, tơi tham gia q trình thiết kế hệ thống chương trình dùng, có quyền tiếp cận tồn hệ thống thơng tin, có máy chủ để giả lập hệ thống cơng nghệ thơng tin phục vụ cho q trình nghiên cứu Với u cầu cấp thiết điều kiện nghiên cứu mình, tơi cố gắng viết đề tài: Thiết kế thủ tục kiểm sốt chương trình quản lý Bảo hiểm xã hội Bảo hiểm xã hội thành phố Đà Nẵng Mục tiêu nghiên cứu đề tài - Đánh giá rủi ro xảy - Thiết kế thủ tục kiểm sốt chương trình quản lý BHXH thành phố Đà Nẵng Đối tượng nghiên cứu phạm vi nghiên cứu - Các chương trình sử dụng Bảo hiểm xã hội thành phố Đà Nẵng quận, huyện trực thuộc - Số liệu thực tế chương trình từ năm 2008 đến năm 2010 Phương pháp nghiên cứu - Số liệu tất chương trình chứa máy chủ đặt phòng Server BHXH thành phố máy chủ ñặt quận huyện Chép tất liệu nơi tập trung máy chủ phịng Cơng nghệ thơng tin để phục vụ nghiên cứu; - Thử nghiệm trực tiếp chương trình giả lập - Nghiên cứu cấu trúc chương trình - Nghiên cứu sai phạm ñã xảy phương tiện thơng tin đại chúng - Phỏng vấn tác giả lập trình Trung tâm cơng nghệ thơng tin – Bảo hiểm xã hội Việt Nam nhân viên phịng Cơng nghệ thơng tin BHXH thành phố Đà Nẵng Ý nghĩa khoa học thực tiễn ñề tài - Trên sở phân tích rủi ro xảy ra, giả định tình tiến hành thực nghiệm tác giả ñã làm rõ nguy sở thiết kế thủ tục kiểm sốt chương trình quản lý BHXH BHXH thành phố Đà Nẵng -5- -6- - Đề tài có tính thực tiễn cao, có khả đưa vào áp dụng thực tế BHXH thành phố Đà Nẵng nói riêng ngành BHXH tồn quốc nói chung Kết cấu Luận văn Chương 1: Cơ sở lý luận thủ tục kiểm sốt mơi trường xử lý thơng tin máy tính Chương 2: Khảo sát thực trạng kiểm sốt chương trình quản lý BHXH BHXH thành phố Đà Nẵng Chương 3: Thiết kế thủ tục kiểm sốt chương trình quản lý BHXH BHXH thành phố Đà Nẵng Chương CƠ SỞ LÝ LUẬN VỀ THỦ TỤC KIỂM SOÁT TRONG MƠI TRƯỜNG XỬ LÝ THƠNG TIN BẰNG MÁY TÍNH 1.1 MỘT SỐ VẤN ĐỀ VỀ THIẾT KẾ THỦ TỤC KIỂM SỐT TRONG Q TRÌNH XỬ LÝ THƠNG TIN BẰNG MÁY TÍNH Thiết kế thủ tục kiểm sốt q trình xử lý thông tin bao gồm thiết kế thủ tục kiểm soát chung thủ tục kiểm soát ứng dụng 1.1.1 Mục đích thiết kế thủ tục kiểm sốt chung Để ñảm bảo ñộ tin cậy trung thực q trình xử lý thơng tin máy tính (Computer Information Systems – CIS: xử lý thông tin máy tính) Thủ tục kiểm sốt chung xây dựng giống cho chương trình ứng dụng mơi trường CIS Nếu q trình kiểm sốt chung khơng hiệu có tiềm sai số trọng yếu ứng dụng Thủ tục kiểm soát chung bao gồm kiểm sốt đối tượng sử dụng kiểm sốt liệu a Kiểm sốt đối tượng sử dụng Đối tượng sử dụng ñược chia loại ñối tượng bên đối tượng bên ngồi - Đối tượng bên trong: phân quyền sử dụng ñể nhân viên sử dụng phần mềm phải có mật riêng truy cập giới hạn cơng việc - Đối tượng bên ngồi: Thiết lập cơng cụ bảo vệ chống truy cập trái phép ñể ngăn cách mạng nội mạng internet Thiết lập mật kết nối để họ khơng thể truy cập trái phép vào hệ thống b Kiểm soát liệu - Nhập liệu sớm tốt - Sao lưu liệu để đề phịng bất trắc 1.1.2 Kiểm sốt ứng dụng Kiểm soát ứng dụng bao gồm kiểm soát liệu kiểm sốt q trình nhập liệu a Kiểm sốt liệu Kiểm sốt tính hợp lệ, hợp pháp chứng từ: chứng từ phải ñảm bảo tính hợp lệ, hợp pháp Kiểm tra phê duyệt chứng từ b Kiểm sốt q trình nhập liệu Để ñảm bảo vùng liệu cần lập có đầy đủ thơng tin tránh thơng tin mâu thuẩn 1.2 BẢN CHẤT CỦA HỆ THỐNG MÁY TÍNH 1.2.1 Giới thiệu chung hệ thống máy tính Hệ thống máy tính bao gồm thiết bị (phần cứng-hardware) , chương trình quản lý phần cứng (hệ điều hành-Operating System) chương trình ứng dụng (phần mềm-software) 1.2.1.1 Phần cứng Gồm thiết bị, linh kiện cấu thành nên máy Bộ phận phần cứng ñơn vị xử lý trung tâm CPU (Central Processing Unit), thiết bị quan trọng kèm theo mainboard, nhớ RAM, ổ cứng, chip (hay card rời) ñồ họa… tùy mục đích sử dụng mà có thêm thiết bị khác ổ đĩa ngồi thơng qua cổng USB, băng từ… 1.2.1.2 Hệ ñiều hành -7- -8- Hệ điều hành chương trình chạy máy tính, dùng ñể ñiều hành, quản lý thiết bị phần cứng tài nguyên phần mềm máy tính 1.2.1.3 Phần mềm Phần mềm tập hợp câu lệnh viết nhiều ngơn ngữ lập trình theo trật tự xác định nhằm tự ñộng thực số nhiệm vụ chức giải tốn 1.2.2 Các ñặc tính hệ thống máy tính Sự vận hành xác hệ thống máy tính phụ thuộc vào: 1.2.2.1 Phương pháp xử lý liệu Phương pháp xử lý liệu cách mà liệu ñược nhập vào xử lý máy tính Các chương trình ứng dụng thường áp dụng phương pháp xử lý thông tin sau: a Phương pháp nhập theo lơ/xử lý theo lơ (batch entry/batch processing): liệu tích lũy theo loại giao dịch (như chi tiền mặt, chuyển tiền) xử lý theo lơ Quy trình xử lý theo lơ thường thực thời gian ñịnh (hàng ngày, hàng tuần, hàng tháng) b Phương pháp nhập trực tuyến/ xử lý theo lơ (online entry/batch processing): Từng nghiệp vụ nhập trực tiếp vào máy tính phát sinh Một tập tin giao dịch dạng đọc máy tính tích lũy giao dịch nhập vào Tập tin sau sử dụng để cập nhật tập tin chủ c Phương pháp nhập trực tuyến/xử lý trực tuyến (Online entry/online processing): Là phương pháp cho phép cung cấp thông tin kịp thời thời ñiểm Trong phương pháp này, nghiệp vụ ñược xử lý nhận ñược thực tất bước công việc 1.2.2.2 Lưu trữ liệu Trước hệ quản trị CSDL tập trung xuất hiện, chương trình ứng dụng lưu trữ liệu tập tin riêng Hiện nay, hệ quản trị CSDL tập trung giúp quản lý liệu tốt hơn, liệu thống Tuy nhiên, góc độ kiểm sốt, hệ quản trị CSDL phải đối phó với rủi ro bị truy cập sửa ñổi trái phép sửa ñổi trái phép chia sẻ liệu cho nhiều người dùng Vì vậy, ñơn vị sử dụng hệ quản trị CSDL cần thiết lập thủ tục kiểm sốt liệu để kiểm sốt tiến trình nhập liệu, xử lý lưu trữ liệu 1.2.2.3 Tổ chức hệ thống thông tin Thường ñược tổ chức ñể sử dụng chung tài nguyên nên hệ thống máy tính giúp lưu trữ số liệu nhiều nơi, tạo ñiều kiện cho việc cơng hệ thống 1.3 THIẾT KẾ THỦ TỤC KIỂM SỐT TRONG MƠI TRƯỜNG XỬ LÝ DỮ LIỆU BẰNG MÁY TÍNH 1.3.1 Những vấn ñề cần quan tâm thiết kế thủ tục kiểm sốt mơi trường xử lý thơng tin máy tính a Vấn đề thiếu thơng tin hỗ trợ cho kiểm sốt nội Do đặc trưng môi trường CIS dễ xảy thiếu thông tin hỗ trợ cho kiểm sốt nội b Vấn để hiểu biết hệ thống máy tính Người thiết kế thủ tục kiểm sốt chương trình quản lý cần nắm kiến thức hệ thống máy tính, thiết kế hệ thống công nghệ thông tin (CNTT) chế vận hành chúng Đây sở ñể ñánh giá ñúng hệ thống máy tính thiết kế thủ tục kiểm soát cách hiệu 1.3.2 Khả xảy rủi ro sử dụng chương trình quản lý - Thiếu kiểm tra bước hệ thống thủ công: Hệ thống thủ cơng dễ kiểm tra người dùng nhìn bao qt số liệu, nghiệp vụ phát sinh, điều khó thực hệ thống CIS - Tính thống q trình xử lý: Hệ thống CIS dễ bị mâu thuẩn liệu, trình xử lý khơng thống - Việc lấy thơng tin khơng phép: sử dụng chung tài ngun nên xảy lấy thơng tin khơng ñược phép -9- - 10 - - Mất liệu: dễ liệu, ảnh hưởng nghiêm trọng ñến hoạt ñộng ñơn vị 1.3.3 Các thủ tục kiểm soát chủ yếu môi trường xử lý thông tin máy tính 1.3.3.1 Thủ tục kiểm sốt chung Các q trình kiểm sốt chung bao gồm loại trình bày tách biệt ñây: a Kế hoạch tổ chức Cần phân tách trách nhiệm nội hệ thống CIS ñể làm giảm khả sai số sai phạm b Các thể thức ñể kiểm sốt chương trình máy tính Mục đích việc kiểm sốt chung để đảm bảo đơn vị kiểm sốt đầy đủ số khía cạnh chương trình máy tính tài liệu chứng minh liên quan Các tài liệu chứng minh thể thức kiểm sốt thường gồm phần chính: Các yêu cầu hệ thống: Phần sổ tay chuẩn mực giới thiệu mục đích chung hệ thống Kể ñầu vào ñầu hệ thống Tài liệu chứng minh việc lập trình: Bao gồm sơ đồ vận động chi tiết yêu cầu cụ thể việc khai triển ứng dụng chương trình, việc khảo sát thay đổi Những hướng dẫn sử dụng chương trình: Những nội dung đề cập đến vận hành máy tính đề cập đến lịch trình vận hành hướng dẫn chương trình máy tính khác Những hướng dẫn cho người sử dụng: Những hướng dẫn cho người sử dụng ñề cập ñến việc nhận ñầu thể thức phải tuân theo liệu có sai số đầu khơng sử dụng c Các q trình kiểm sốt phần cứng: Các q trình kiểm sốt phần cứng nhà sản xuất cài vào thiết bị để phát hỏng hóc thiết bị d Các q trình kiểm sốt quyền sử dụng thiết bị, chương trình hồ sơ liệu: Có loại q trình kiểm sốt liên quan ñến việc bảo vệ thiết bị CNTT, chương trình kiện là: •Các q trình kiểm sốt vật chất •Các q trình kiểm sốt quyền sử dụng •Các q trình kiểm sốt lưu khơi phục e Tầm quan trọng q trình kiểm sốt chung Rất quan trọng q trình kiểm sốt chung khơng hiệu quả, có tiềm sai số trọng yếu ứng dụng máy tính 1.3.3.2 Thủ tục kiểm sốt ứng dụng a Các q trình kiểm sốt ứng dụng (Application controls) Q trình kiểm sốt ứng dụng để đạt mục tiêu chi tiết liên quan đến q trình ứng dụng cụ thể - Kiểm sốt đầu vào (Input controls) Các q trình kiểm sốt liệu đầu vào thiết kế để đảm bảo tính xác liệu ñưa vào sử lý hệ thống CIS - Kiểm sốt quy trình xử lý liệu (Processing controls) Kiểm sốt tính trình xử lý liệu nhằm đảm bảo tính tin cậy xác hoạt động xử lý - Kiểm sốt thơng tin đầu (Output Controls) Các q trình kiểm sốt thơng tin ñầu kiểm tra cuối xác đầy đủ kết xử lý KẾT LUẬN CHƯƠNG Để có sở khoa học việc thiết kế thủ tục kiểm sốt mơi trường xử lý thơng tin máy tính, cần nghiên cứu chi tiết sở lý luận ñể thiết kế thủ tục kiểm soát chung, thủ tục kiểm sốt ứng dụng chương trình máy tính Mơi trường xử lý thơng tin máy tính có vấn đề riêng biệt với nhiều khả phát sinh rủi ro nghiêm trọng Nếu - 11 - - 12 - hệ thống xử lý thơng tin thủ cơng, tình xấu kết báo cáo, sổ sách khơng ta bước gỡ rối lập lại báo cáo, sổ sách Nhưng mơi trường xử lý thơng tin máy tính, quan – đơn vị khơng thể hoạt động thời gian dài rủi ro hết số liệu chương trình xảy mà khơng có phương án đối phó từ ñầu Cơ sở lý luận thủ tục kiểm sốt mơi trường xử lý thơng tin máy tính ngày phát triển theo phát triển nhanh chóng lĩnh vực cơng nghệ thơng tin lĩnh vực kiểm sốt nội ứng dụng mơi trường CIS Chương KHẢO SÁT THỰC TRẠNG KIỂM SOÁT TRONG CHƯƠNG TRÌNH QUẢN LÝ BẢO HIỂM XÃ HỘI TẠI BHXH THÀNH PHỐ ĐÀ NẴNG 2.1 THIẾT KẾ KHẢO SÁT Để có sở thiết kế thủ tục kiểm sốt chương trình quản lý BHXH cần phải khảo sát thực trạng kiểm sốt chương trình hành, xác định rủi ro có khả xảy Vì tác giả tiến hành khảo sát thực trạng kiểm sốt chương trình quản lý BHXH BHXH thành phố Đà Nẵng 2.1.1 Mục tiêu khảo sát - Khảo sát cấu trúc chương trình, tìm hiểu thủ tục kiểm sốt - Khảo sát gian lận ñã xảy xác ñịnh gian lận xảy liên quan ñến chương trình quản lý Bảo hiểm xã hội 2.1.2 Lựa chọn đối tượng khảo sát - Các chương trình phải quan trọng, mang ñặc trưng riêng ngành Bảo hiểm xã hội - Đối tượng: hồ sơ ñưa vào chương trình để nghiên cứu phải đại diện cho thời kỳ thay ñổi chế ñộ theo quy ñịnh Nhà nước; - Hiện có 12 chương trình sử dụng Bảo hiểm xã hội thành phố Đà Nẵng quận huyện Nhưng thời gian có hạn, tác giả nghiên cứu chương trình đặc trưng chương trình Xét duyệt hồ sơ Bảo hiểm xã hội, tính tốn chế độ hưu trí, Tai nạn lao ñộng, bệnh nghề nghiệp, Tử tuất hàng tháng lần (hầu hết chế ñộ hưởng BHXH trừ ốm đau, thai sản, viện phí bảo hiểm thất nghiệp), chương trình cịn lại, nói góc độ thiết kế thủ tục kiểm sốt gần giống Đề tài có khảo sát phần chương trình quản lý đối tượng hưởng chế ñộ hàng tháng BHXHNET Mặt khác ñể ñảm bảo thời gian, đề tài chọn chế độ Hưu trí ñể ñưa vào thử nghiệm khả sai sót ñối tượng hưu bị nhập liệu sai thời ñiểm hưởng chế ñộ 2.1.3 Phương pháp khảo sát - Số liệu tất chương trình chứa máy chủ đặt phịng Server BHXH thành phố máy chủ ñặt quận huyện Chép tất liệu nơi tập trung máy chủ phịng Cơng nghệ thơng tin để phục vụ nghiên cứu; - Thử nghiệm trực tiếp chương trình giả lập - Nghiên cứu cấu trúc chương trình - Nghiên cứu sai phạm xảy phương tiện thơng tin đại chúng - Phỏng vấn tác giả lập trình Trung tâm CNTT – Bảo BHXH Việt Nam nhân viên phòng CNTT BHXH thành phố Đà Nẵng 2.1.4 Thực khảo sát 2.1.4.1 Các bước tiến hành - Bước 1: Phân tích tài liệu chương trình, đánh giá rủi ro - Bước 2: Phân tích CSDL chương trình, đánh giá rủi ro - Bước 3: thu thập tất liệu BHXH quận huyện máy chủ phịng Server đảm bảo u cầu nghiên cứu - Bước 4: Giả lập máy chủ nghiên cứu phòng công nghệ thông tin -Bước 5: Chọn ngẫu nhiên 50 hồ sơ thời kỳ khác nhau: - 13 - - 14 - + Nhóm 1: chọn 10 đối tượng hưu theo Nghị ñịnh 218/CP ngày 27/12/1961 (người ñược hưởng chế ñộ phải nghỉ việc hưởng chế ñộ từ ngày 01/01/1962 đến trước ngày 01/09/1985) + Nhóm 2: chọn 10 ñối tượng hưu theo Nghị ñịnh 236/CP Ngày 20/12/2004 Tổng Giám ñốc BHXH Việt Nam ñã ban hành ñịnh 2057/QĐ-BHXH quy ñịnh quản lý, khai thác, sử dụng Chương trình ứng dụng “Xét duyệt quản lý ñối tượng hưởng bảo hiểm xã hội (BHXHSoft-01)” thực thống hệ thống BHXH Việt Nam (người ñược hưởng chế ñộ phải nghỉ việc hưởng chế ñộ từ ngày 01/09/1985 đến trước ngày 01/04/1993) + Nhóm 3: 10 ñối tượng hưu theo Nghị ñịnh 43/CP ñược hưởng chế ñộ phải nghỉ việc hưởng chế ñộ từ ngày 01/04/1993 đến trước ngày 01/01/1995 + Nhóm 4: 10 ñối tượng hưu theo Nghị ñịnh 12/CP có hiệu lực (người ñược hưởng chế ñộ phải nghỉ việc hưởng chế ñộ từ ngày 01/01/1995 ñến trước ngày 01/01/2007) 2.2.1.2 Ngơn ngữ lập trình, hệ quản trị sở liệu + Nhóm 5: 10 đối tượng hưu theo Luật BHXH (người ñược hưởng chế ñộ phải nghỉ việc hưởng chế ñộ từ ngày 01/01/2007) - Bước 6: Nhập liệu số liệu vào chương trình sai thời ñiểm, chạy chương trình ñể rút sai lệch - Bước 7: Nhập liệu số liệu cố ý sai q trình cơng tác đối tượng, đọc kết - Bước 8: Thử nghiệp truy cập vào máy chủ ñể nghiên cứu trường hợp gian lận sửa ñổi số liệu máy chủ khơng thơng qua chương trình 2.1.4.2 Xử lý số liệu Số liệu ñược nhập xử lý máy tính với phần mềm SPSS phần mềm Excel Sử dụng thuật toán thống kê để tính tổng theo nhóm, tỷ lệ phần trăm (%) để tính tốn thay đổi thời gian hưởng chế độ nhóm đối tượng bảng biểu ñể minh họa 2.2 KẾT QUẢ KHẢO SÁT 2.2.1 Cấu trúc chương trình xét duyệt hồ sơ BHXH 2.2.1.1 Cơ sở pháp lý việc sử dụng chương trình a Ngơn ngữ lập trình: Chương trình sử dụng ngơn ngữ lập trình Visual Foxpro, ưu điểm dễ sử dụng, hoạt ñộng tốt máy có cấu hình yếu Nhược điểm: bảo mật kém, đặc biệt chương trình có nhiều người sử dụng dùng chung CSDL thông qua mạng nội b Hệ quản trị CSDL: Chương trình sử dụng hệ quản trị CSDL Microsoft SQL 2000 Với ưu ñiểm: mạnh, dễ sử dụng, tính bảo mật cao Dữ liệu chương trình chứa máy chủ (Server), máy chủ ñặt phịng Cơng nghệ thơng tin 2.2.1.3 Cấu trúc chương trình - Chương trình có mục chính: Hệ thống, Danh mục, Xét duyệt chế ñộ, Xét duyệt hồ sơ BHXH tự nguyện, Tìm kiếmđiều chỉnh, Báo cáo-Tổng hợp, Giới thiệu - Cơ sở liệu: với 40 tables CSDL Xetduyet tại, CSDL ñược lưu máy chủ (Server) 2.2.2 Các thủ tục kiểm sốt chương trình quản lý BHXH nay: Ngày 16/02/1995, Chính phủ ban hành Nghị ñịnh 19/CP “Về việc thành lập Bảo hiểm xã hội Việt Nam” (có hiệu lực ngày) cho ñến nay, tác giả ñã nghiên cứu tất văn BHXH Việt Nam ban hành, kể ñịnh tổ chức Quyết ñịnh số 4857/QĐ-BHXH ngày 21/10/2008 Tổng Giám ñốc BHXH Việt Nam quy ñịnh chức năng, nhiệm vụ, quyền hạn cấu tổ chức Bảo hiểm xã hội ñịa phương văn khác cho ñến thời ñiểm Kết cho ñến nay, tất nghiệp vụ BHXH tỉnh, thành phố ñều tác nghiệp thơng qua chương trình khơng có thủ tục kiểm sốt - 15 - - 16 - chương trình BHXH nào, thể qua sai phạm thực tế ñã xảy kết thử nghiệm tác giả 2.2.3 Các sai phạm xảy 2.2.3.1 Các sai phạm thực tế ñã xảy Trong thời gian qua, có nhiều sai phạm phát bị truy tố trước pháp luật thể báo “Lộ ñường dây làm giả hồ sơ bảo hiểm xã hội” BHXH tỉnh Thái Bình Báo điện tử Nhân Việt Nam “Ba cán BHXH Thái Bình “ăn” tiền” Báo điện tử Tuổi trẻ online “Vụ tham ô tiền mổ mắt người nghèo Ninh Thuận: tù treo cho bị cáo”, hay báo ñiện tử Thanh tra Chính phủ: “Những sai phạm Bảo hiểm xã hội tỉnh Cao Bằng” (phụ lục đính kèm) Trong ñó nhiều trường hợp có tiếp tay cán quan BHXH Vì vậy, cần thiết phải thiết kế thủ tục cần thiết ñể giảm thiểu sai phạm 2.2.3.2 Các sai phạm xảy a Sai phạm từ người lập trình Người lập trình có động để làm tăng lương hưu trường hợp cụ thể thơng đồng chia sẻ chênh lệch tăng thêm Để thực người lập trình quy định tổ hợp phím ñó ñể cho phép ñăng nhập trực tiếp vào chương trình, cho phép tăng, giảm, sửa theo ý đồ riêng b Sai phạm từ nhân viên phịng Cơng nghệ thơng tin - Thay đổi liệu khơng thơng qua chương trình: Nhân viên phịng CNTT tự ý vào CSDL khơng thơng qua chương trình, sửa chữa, xóa liệu mà khơng để lại dấu vết chương trình chương trình theo dõi người sử dụng ñã thao tác CSDL sử dụng chương trình nhân viên tác nghiệp ñiều dễ xảy c Sai phạm từ nhân viên phòng nghiệp vụ - Lấy tài khoản truy cập vào chương trình người khác: Do đặc trưng nhân viên phịng Cơng nghệ thơng tin thường xuyên sửa máy cho phòng khác, việc hỏi biết tên, mật - Xác ñịnh sai thời ñiểm tham gia BHXH thời ñiểm hưởng chế ñộ: Xác ñịnh sai thời ñiểm tham gia BHXH thời ñiểm hưởng chế ñộ ñối tượng dẫn ñến áp dụng sai quy định số tiền phải đóng BHXH số tiền hưởng sai lệch - Không loại trừ thời gian gián đoạn đóng BHXH: Theo quy định Luật BHXH (trước Nghị ñịnh 12/NĐ-CP quy ñịnh Luật), thời gian tham gia BHXH người lao động cộng dồn, khơng ý dễ nhập nhầm mà không loại trừ thời gian gián đoạn khơng tham gia BHXH người lao động - Khơng cơng nhận thời gian đương nhiên tính thời gian tham gia BHXH: Theo quy ñịnh Luật BHXH thời gian nghỉ hưởng chế ñộ thai sản dù khơng phải đóng BHXH tính thời gian tham gia BHXH, dễ nhầm lẫn nhập liệu vào chương trình thời gian Ở trường hợp này, người hưởng lương hưu bị thiệt thòi - Chuyển xếp lương sai từ lương cũ sang lương mới: Chế ñộ lương phụ cấp sinh hoạt nhiều lần thay ñổi lương ñồng, lương trăm ñồng, lương hệ số Việc chuyển ñổi dễ nhầm lẫn quy đổi lương theo thời kỳ thực thủ công - Truy cập vào mảng cơng việc mà khơng phép + Chương trình chưa theo dõi user giải chế độ CSDL khơng thể theo dõi người xét duyệt + Việc bảo mật tài khoản người sử dụng sơ sài nên dễ bị lộ tài khoản sử dụng chương trình + Hiện phân quyền chương trình theo loại đối tượng (xét duyệt hưu trí, tai nạn lao động, bệnh nghề nghiệp, tử tuất hàng tháng) có người phụ trách phần việc cụ thể Hai người chia số hồ sơ nhập vào chương trình - 17 - - 18 - + Nếu người thứ truy cập vào liệu người thứ xét duyệt sửa lại số liệu người thứ khơng biết thay đổi 2.2.4 Các rủi ro khác xảy - Rủi ro sở liệu người quản lý máy chủ: Người quản lý máy chủ trình thao tác can thiệp CSDL lưu (backup), chỉnh sửa … vơ tình hay cố ý xóa tồn CSDL - Mất sở liệu hư hỏng thiết bị lưu trữ: CSDL lưu trữ ổ cứng máy chủ, thiết bị vật lý nên việc hư hỏng hồn tồn xảy Nếu bị hư hỏng trường hợp xấu tồn CSDL Nếu việc xảy ra, khắc phục khẩn trương phải năm nhập tương ñối liệu hành b Thực thử nghiệm:Lấy ngẫu nhiên 50 ñối tượng (10 đối tượng nhóm), tìm đến bảng ghi thơng tin người chương trình quản lý Hồ sơ BHXH, cố ý nhập sai thời ñiểm hưởng ghi lại kết (Phụ lục Danh sách ñối tượng đưa vào thử nghiệm chương trình) Cộng kết thử nghiệm 10 người nhóm ta có kết thử nghiệm sau: Nhóm thử nghiệm đưa sang nhóm Đồ thị 1- Nhóm nhập sai khác thành nhóm khác - Rủi ro liệu khơng thống nhất: Do sử dụng nhiều chương trình độc lập nên nguy người ñược nhập vào chương trình khơng thống với - Mất kết nối ñường truyền: Mỗi hồ sơ ñối tượng nhập vào chương trình lưu nhiều bảng (tables) khác nhau, việc kết nối ñường truyền ảnh hưởng đến tồn vẹn liệu - Mất liệu phần mềm làm hỏng virus: Virus máy tính phần mềm gián điệp (trojan) mã hóa để tống tiền phá hoại CSDL Nguy phổ biến mơi trường máy tính nối mạng online bảo hiểm xã hội thành phố Đà Nẵng 2.2.5 Minh họa kết thử nghiệm sai phạm 2.2.5.1 Nhập sai thời điểm hưởng chế độ BHXH a Tình giả định Nhân viên nghiệp vụ cố tình nhập sai thời ñiểm hưởng chế ñộ BHXH ñối tượng hưu trí để tăng lương hưu thực ăn chia phần chênh lệch tăng với ñối tượng hưởng lương hưu, ngược lại làm giảm mức lương hưu đối tượng khác Nhóm Nhóm Lương Tỉ lệ % gốc xử lý 1 22.534.400 100,00 20.298.000 90,08 16.917.100 75,07 18.000.800 79,88 13.681.200 60,71 Thực tương tự cho nhóm cịn lại, kết cho thấy: bị chuyển sang nhóm khác, lương hưu cịn 60,71% so với lương gốc lương hưu tăng lên 115,83% so với nhóm gốc 2.2.5.2 Sửa đổi số liệu khơng thơng qua chương trình a Tình giả định: Nhân viên phịng Cơng nghệ thơng tin sửa đổi mức lương hưởng ñối tượng cách vào CSDL, sửa liệu ñối tượng với mức lương cao Nếu thành cơng thơng đồng với đối tượng chia sẻ khoản chênh lệch b Thực thử nghiệm - Vào chương trình - Lấy đối tượng - Tiền lương hưởng hàng tháng: 2.972.487 đồng - Thốt khỏi chương trình, vào CSDL SQL vào table DOITUONG - Nhập vào câu lệnh tìm ñể ñối tượng cần sửa - Sửa lại mức lương mới: 15.000.000 - 19 - - 20 - - Thoát khỏi CSDL, vào lại chương trình: lương hưu thay ñổi lên 15.000.000 ñồng THIẾT KẾ CÁC THỦ TỤC KIỂM SỐT TRONG CHƯƠNG TRÌNH QUẢN LÝ BHXH TẠI BHXH TP ĐÀ NẴNG 3.1 Kiểm soát sai phạm từ người lập trình, nhân viên phịng Cơng nghệ thơng tin, nhân viên phịng nghiệp vụ 3.1.1 Kiểm sốt sai phạm từ người lập trình Cần có quy định cụ thể việc in lưu trữ mã nguồn chương trình Mỗi lần thay ñổi mã nguồn, phải tiến hành in ấn lưu trữ cẩn thận Bảo mật in để đảm bảo an tồn cho chương trình giúp đối chiếu cố xảy để hồi cứu trách nhiệm người lập trình Việc văn hóa mã nguồn tài liệu phân tích thiết kế hệ thống việc lưu trữ, tra cứu (theo quy trình bảo mật) phải chủ ñộng ñặt từ lúc khảo sát, thiết kế chương trình BHXH Việt Nam nên đưa u cầu trở thành quy trình bắt buộc xây dựng chương trình quản lý 3.1.2 Kiểm sốt sai phạm từ nhân viên phịng Cơng nghệ thơng tin 3.1.2.1 Thay đổi liệu khơng thơng qua chương trình a u cầu - Thiết kế thủ tục kiểm soát nhập liệu từ máy trạm vào máy chủ: xây dựng nội quy yêu cầu phịng CNTT phải thiết đặt để hệ điều hành máy chủ ghi lại tất lần truy cập, thời gian truy cập vào máy chủ máy trạm cụ thể (thiết ñặt even logs) Chỉ người truy cập liệu số liệu lưu sang phịng khác theo định kỳ hàng tháng ñể phục vụ việc ñối chiếu cần Theo hệ ñiều hành Microsoft Windows hành, nội dung even logs khơng can thiệp vào để thay ñổi ñược Khi thực nghiêm túc thủ tục này, nhân viên phận Công nghệ thông tin tự ý thay đổi số liệu đối chiếu thời gian số liệu bị thay đổi với even logs thấy khơng có máy trạm truy cập vào máy chủ thời gian Ta dễ dàng xác ñịnh ñược lỗi nhân viên Công nghệ thông tin KẾT LUẬN CHƯƠNG Qua thực tế khảo sát thực trạng kiểm sốt chương trình quản lý bảo hiểm xã hội BHXH thành phố Đà Nẵng ñã cho ta ñánh giá chi tiết mức ñộ rủi ro tồn hệ thống chương trình quản lý Ngơn ngữ lập trình, hệ quản trị CSDL đáp ứng ñược yêu cầu Tuy nhiên nguy phát sinh sai phạm lớn Đặc biệt, khảo sát chứng minh có nhiều người quan BHXH dễ dàng thay ñổi số liệu họ muốn Những sai phạm thực tế ñã xảy ñược ñăng tải phương tiện thông tin ñại chúng thời gian qua theo ñánh giá cá nhân bề tảng băng Những hồ sơ bị sửa đổi lớn nhiều Cùng với thời gian, nguy tăng lên số người phát khe hở quản lý khai thác Có thay ñổi ñơn giản nhập sai thời ñiểm hưởng chế ñộ BHXH làm cho lương hưu tăng lên 15% ngược lại làm giảm lương hưu 39% số liệu minh họa Khảo sát thực trạng kiểm sốt chương trình quản lý bảo hiểm xã hội BHXH thành phố Đà Nẵng sở để thiết kế thủ tục kiểm sốt chương trình quản lý BHXH BHXH thành phố Đà Nẵng nói riêng BHXH tồn quốc nói chung Chương - 21 - - 22 - b Thủ tục - Thiết lập tập tin even logs với tên gọi “Danh sách truy cập máy chủ tháng năm” - Sao lưu file vào ñĩa CD ROM (chỉ ñọc ghi, khơng sửa xóa) dán nhãn niêm phong - Giao cho người quản theo chế ñộ bảo mật Yêu cầu người quản lưu hàng tháng sang ñĩa cứng ñể kiểm tra ñộ tin cậy ñĩa CD ROM - Người bảo quản mở xem nội dung files even logs xem có đạt u cầu thể người truy cập hay không Cụ thể thiết lập sau: Ví dụ phần thơng tin người truy cập - Quy định chương trình phải xây dựng “bẫy” điều kiện ràng buộc để hạn chế sai sót 3.1.3.2 Khơng loại trừ thời gian gián đoạn đóng BHXH a Yêu cầu Bổ sung rõ mẫu chốt sổ BHXH cần thêm tiêu thức: số lần gián ñoạn, tổng thời gian gián ñoạn Việc bổ sung dễ dàng số liệu lấy từ chương trình quản lý Thu SMS Nhưng có thơng tin giúp người sử dụng chương trình Xét duyệt hồ sơ hưởng chế độ BHXH khó sai sót b Thiết kế 3.1.3.3 Khơng cơng nhận thời gian đương nhiên tính thời gian tham gia BHXH Mẫu chốt sổ hành 3.1.2.2 Lấy tài khoản truy cập vào chương trình người khác Nhân viên phịng cơng nghệ thơng tin nhập vào chương trình cách sử dụng bất hợp pháp tài khoản nhân viên nghiệp vụ Quy ñịnh người sử dụng (nhân viên nghiệp vụ) phải ñổi mật trước cho nhân viên phịng Cơng nghệ thơng tin sử dụng tài khoản việc sửa chữa, cài đặt chương trình Hoặc ñổi mật sau ñược bàn giao tài khoản sử dụng Mặt khác bắt buộc quy ñịnh thời gian có hiệu lực mật khẩu, buộc người sử dụng phải thay ñổi mật ñịnh kỳ Điều công cụ hạn chế việc sử dụng trái phép tài khoản ñăng nhập (user/pass word ) ñăng nhập vào chương trình 3.1.3 Kiểm sốt sai phạm từ nhân viên phịng nghiệp vụ 3.1.3.1 Xác định sai thời ñiểm - Phân công người nhận hồ sơ tiến hành phân loại ñối tượng theo thời ñiểm hưởng theo Nghị định áp dụng cho đối tượng đó, dán nhãn loại ñối tượng cán xét duyệt chế ñộ nhập liệu vào chương trình phải đối chiếu lại lần Mẫu chốt sổ bổ sung - Thời gian tham gia BHXH tính đến tháng 12 năm 2008 01 năm 01 tháng - Có khoảng thời gian gián ñoạn, tổng thời gian gián ñoạn năm tháng Mẫu chốt sổ BHXH cần thêm tiêu thức: số tháng nghỉ thai sản Mẫu chốt sổ hành Mẫu chốt sổ bổ sung - Thời gian tham gia BHXH tính đến tháng 12 năm 2008 01 năm 01 tháng - Thời gian nghỉ thai sản: tháng từ 3/2008 ñến 7/2008 3.1.3.4 Chuyển xếp lương sai từ lương cũ sang lương Quy ñịnh thủ tục ñối chiếu chéo lẫn chuyên viên nhập liệu có quy định rõ trách nhiệm kiểm tra lãnh đạo phịng - 23 - Chế độ BHXH việc kiểm tra nhân viên Hiện chuyển xếp lương cũ sang lương ñặc thù tiền lương qua nhiều thời kỳ có nhiều cá biệt nên làm thủ cơng Vì việc quy định phải có đối chiếu chéo lẫn vơ quan trọng để tránh sai sót 3.1.3.5 Truy cập vào mảng cơng việc mà khơng phép - Chỉnh sửa chương trình để có phần theo dõi user xét duyệt, chỉnh sửa, xóa hồ sơ đối tượng cụ Chương trình Xét duyệt hồ sơ hưởng bảo hiểm xã hội lại khơng có phần Lịch sử cập nhật Quy định phần lịch sử cập nhật liệu cần phải áp dụng bắt buộc cho tất chương trình sử dụng ngành ñể quy trách nhiệm cụ thể - Mỗi loại đối tượng nên phân cơng cho người xét duyệt, trường hợp số hồ sơ nhiều phân cho người chịu trách nhiệm sau đợt xét duyệt cần in bảng danh sách chi tiết ñối tượng loại ñể ñối chiếu với ñịnh ñã in - Quy định nhập hồ sơ vào chương trình phải in ñịnh hưởng chế ñộ hưu hồ sơ ngay, ñồng thời người xét duyệt phải ký vào bảng in ra, khơng để in sau ñể loại trừ số liệu bị người khác sửa Nếu người khác sửa có lệch định danh sách chi tiết 3.2 Kiểm soát rủi ro khác xảy 3.2.1 Rủi ro sở liệu người quản lý máy chủ - Xây dựng lịch lưu hợp lý ñể phục hồi lại liệu cần, lịch lưu nên hàng ngày, lưu tuần, tháng lần có thay đổi chương trình quản lý - Định kỳ phục hồi (restore) số liệu ñể ñảm bảo files lưu tin cậy, tránh trường hợp số liệu làm ñộng tác phục hồi số liệu phát files lưu bị hỏng, khơng thể phục hồi liệu BIÊN BẢN BÀN GIAO BẢN SAO LƯU – PHỤC HỒI KIỂM TRA Tháng 06 năm 2011 - 24 STT Tên Ngày Người Ký Người Ngày Tình sở lưu lưu gia nhận phục hồi trạng chịu trách liệu sau nhiệm phục phục hồi hồi thử liệu o lưu 01 Xét 01/06/201 Văn Nguyễ 01/06/20 duyệt 1, 16h30 Phú n Quốc 11, Long Bảo 16h45 Chữ ký người Tốt 3.2.2 Mất sở liệu hư hỏng thiết bị lưu trữ - Trong hệ điều hành máy chủ có mục thiết đặt chế tự ñộng chia liệu lưu nhiều ñĩa (RAID) thiết ñặt chế ñộ (RAID MIRROR) có hỏng đĩa cứng khơng liệu, lúc hệ điều hành báo cho lưu kịp thời Vì quy ñịnh bắt buộc phải thiết ñặt chế RAID MIRROR cho ổ đĩa Ngồi ra, phải có thiết bị lưu để nơi khác với phịng máy chủ để đề phịng trường hợp cháy nổ cịn có khả phục hồi 3.2.3 Rủi ro liệu không thống Xây dựng Một phần mềm tích hợp chức chung (Enterprise Resource Planning – ERP) toàn quan bảo hiểm xã hội thành phố nói riêng tồn ngành nói chung Với 12 chương trình hành, liệu không thống việc không tránh khỏi, cần có kế hoạch xây dựng phần mềm ERP sớm tốt 3.2.4 Mất kết nối ñường truyền Hiện nay, hệ thống mạng BHXH thành phố Đà Nẵng yếu, khơng đồng xây dựng thời điểm khác nhau, lại theo mơ hình mắc nối tiếp nên dễ kết nối ñường truyền Yêu cầu trước tiên phải xây dựng hệ thống mạng nội đồng bộ, hồn chỉnh Mặt khác nên trang bị tích điện UPS cho tồn máy quan hệ thống mạng (các Switch,Hub mạng, Router) Quy định chương trình phải có mục kiểm tra liệu, sau quét phải cung cấp danh sách cho phép bổ sung trường hợp thiếu liệu kết nối đường truyền Có thể tự ñộng quét - 25 - - 26 - liệu ñể phát lỗi liệu người sử dụng cụ thể họ ñăng nhập vào chương trình Việc quét theo người sử dụng giúp cho việc kiểm tra liệu thiếu kết nối không tốn nhiều thời gian 3.2.5 Mất liệu phần mềm làm hỏng virus Để tránh rủi ro này, cần thực số biện pháp sau: - Cài ñặt máy chủ làm chức tường lửa (Firewall) để hạn chế virus máy tính lây lan từ mơi trường internet - Cài đặt chương trình phịng chống virus máy tính thích hợp để hạn chế tác hại virus, đặc biệt chương trình có quyền - Quy định phịng ban (hoặc quận huyện) có người có kiến thức cơng nghệ thơng tin, tất USB trước đưa vào sử dụng quan phải qua người kiểm tra đưa vào sử dụng Diệt thủ cơng files virus máy tính tồn USB KẾT LUẬN CHƯƠNG Để ñạt ñược mục tiêu thiết kế thủ tục kiểm sốt chương trình quản lý bảo hiểm xã hội BHXH thành phố Đà Nẵng, cần thiết thiết kế thủ tục kiểm sốt để phịng chống sai phạm từ người lập trình, nhân viên phịng cơng nghệ thơng tin đến nhân viên nghiệp vụ Cũng kiểm soát rủi ro từ phần cứng phần mềm Các giải pháp cụ thể trường hợp tác giả đề xuất thơng qua kinh nghiệm thực tế làm việc sở lý luận mơn học kiểm sốt nội Có giải pháp vượt ngồi tầm xử lý quan bảo hiểm xã hội thành phố Đà Nẵng văn hóa mã nguồn chương trình bảo hiểm xã hội Việt Nam cung cấp Nhưng có giải pháp áp dụng có hiệu việc giảm thiểu sai phạm cài ñặt files even logs theo dõi tài khoản ñược sử dụng ñể truy cập vào máy chủ chứa CSDL Nếu áp dụng triệt ñể ñề xuất mà tác giả ñã nghiên cứu vào thực tế quan BHXH thành phố Đà Nẵng góp phần quan trọng làm cho kết việc xử lý nghiệp vụ máy tính trở nên tin cậy KẾT LUẬN Sau khảo sát hệ thống chương trình quản lý Bảo hiểm xã hội BHXH thành phố Đà Nẵng, nhiều rủi ro bộc lộ qua q trình nghiên cứu Nếu không khẩn trương thiết kế thủ tục kiểm sốt chương trình quản lý hậu xấu xảy Cùng với thời gian, nguy lớn dần Cũng không loại trừ việc hồ sơ quản lý bị sửa đổi Thiết kế thủ tục kiểm sốt chậm, phải xây dựng thêm thủ tục để kiểm tra tính xác hồ sơ có Hy vọng đề tài góp phần vào cơng tác quản lý để ngành Bảo hiểm xã hội phục vụ đối tượng tốt hơn, góp phần vào cơng tác an sinh xã hội đất nước Tơi xin chân thành cảm ơn q Thầy Cơ dạy tơi q trình học tập trường Tơi xin chân thành cảm ơn Cơ giáo Tiến sỹ Đồn Thị Ngọc Trai hướng dẫn tơi hồn thành đề tài ... tài: Thiết kế thủ tục kiểm sốt chương trình quản lý Bảo hiểm xã hội Bảo hiểm xã hội thành phố Đà Nẵng Mục tiêu nghiên cứu đề tài - Đánh giá rủi ro xảy - Thiết kế thủ tục kiểm sốt chương trình quản. .. sốt chương trình quản lý bảo hiểm xã hội BHXH thành phố Đà Nẵng sở để thiết kế thủ tục kiểm sốt chương trình quản lý BHXH BHXH thành phố Đà Nẵng nói riêng BHXH tồn quốc nói chung Chương - 21... vực kiểm sốt nội ứng dụng mơi trường CIS Chương KHẢO SÁT THỰC TRẠNG KIỂM SOÁT TRONG CHƯƠNG TRÌNH QUẢN LÝ BẢO HIỂM XÃ HỘI TẠI BHXH THÀNH PHỐ ĐÀ NẴNG 2.1 THIẾT KẾ KHẢO SÁT Để có sở thiết kế thủ tục