Giải pháp xây dựng các hoạt động kiểm soát trong môi trường tin học cho các Doanh nghiệp

Giải pháp xây dựng các hoạt động kiểm soát trong môi trường tin học cho các DN

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC KINH TẾ TP HỒ CHÍ MINH

ĐỒNG QUANG CHUNG

ĐỀ XUẤT MỘT SỐ GIẢI PHÁP XÂY DỰNG CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG

TIN HỌC CHO CÁC DOANH NGHIỆP VIỆT NAM

Mã số : 60.34.30

LUẬN VĂN THẠC SĨ KINH TẾ

NGƯỜI HƯỚNG DẪN KHOA HỌC PGS.TS NGUYỄN VIỆT

TP HỒ CHÍ MINH – NĂM 2009

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu khoa học của tôi với sự cố vấn của người hướng dẫn khoa học Những nội dung trình bày trong đề tài là hoàn toàn trung thực và nếu như có sai trái gì tôi xin hoàn toàn chịu trách nhiệm

Tác giả luận văn

1.1 TÌM HIỂU VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ 4

1.1.1 Định nghĩa về kiểm soát nội bộ 4

1.1.2 Các bộ phận hợp thành hệ thống kiểm soát nội bộ 6

1.1.2.1 Môi trường kiểm soát 6

1.1.2.2 Đánh giá rủi ro 9

1.1.2.3 Hoạt động kiểm soát 10

1.1.2.4 Thông tin và truyền thông 12

1.2.3.3 Mạng có dây và mạng không dây 23

1.3 CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC 23

1.3.1 Hoạt động kiểm soát chung 24

1.3.2 Hoạt động kiểm soát ứng dụng 25

1.3.3 Hoạt động kiểm soát dữ liệu 28

1.4 ẢNH HƯỞNG CỦA HỆ THỐNG MÁY TÍNH ĐẾN VIỆC THIẾT KẾ CÁC HOẠT ĐỘNG KIỂM SOÁT 30

1.4.1 Đặc điểm của hoạt động kiểm soát trong môi trường tin học 31

1.4.1.1 Chịu ảnh hưởng bởi phương pháp xử lý dữ liệu của hệ thống máy tính 31

1.4.1.2 Chịu ảnh hưởng và phụ thuộc về mặt công nghệ lưu trữ dữ liệu 32

1.4.1.3 Chịu sự chi phối của phần cứng máy tính 34

1.4.1.4 Chịu ảnh hưởng của hạ tầng mạng 34

1.4.1.5 Chịu sự phụ thuộc vào hệ thống điện 36

1.4.1.6 Chịu sự chi phối và phụ thuộc nhiều vào cơ chế kiểm soát của phần mềm ứng dụng 37

1.4.2 Nhận diện các rủi ro tiềm ẩn đối với các hoạt động kiểm soát trong môi trường tin học 38

1.4.2.1 Những rủi ro xuất phát từ thiết bị phần cứng 39 1.4.2.2 Những rủi ro xuất phát từ sự vận hành của hệ thống mạng 40 1.4.2.3 Những rủi ro xuất phát từ sự thiết kế của

phần mềm ứng dụng 40 1.4.2.4 Những rủi ro xuất phát từ công việc

lưu trữ dữ liệu 40 1.4.2.5 Những rủi ro xuất phát từ sự tác động bên ngoài

và sự không trung thực của con người 41

Kết luận chương 1 42 Chương 2 - TÌM HIỂU THỰC TẾ VỀ CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC TẠI CÁC DOANH NGHIỆP

VIỆT NAM 43

2.1 Hoạt động kiểm soát trong môi trường tin học nhìn từ góc độ

nhà quản lý 45 2.2 Hoạt động kiểm soát trong môi trường tin học nhìn từ

góc độ kế toán 47 2.3 Hoạt động kiểm soát trong môi trường tin học

nhìn từ góc độ IT 48 2.4 Nhận xét về các hoạt động kiểm soát trong môi trường

tin học được tổ chức tại các doanh nghiệp 51

2.5 Nhận xét về các thủ tục kiểm soát được thiết kế trong các

phần mềm kế toán Việt Nam 64

Kết luận chương 2 65

Chương 3 – ĐỀ XUẤT MỘT SỐ GIẢI PHÁP XÂY DỰNG CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC CHO CÁC DOANH NGHIỆP VIỆT NAM 66

3.1 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT CHUNG 66

3.1.1 Kiểm soát con người 66

3.1.2 Kiểm soát vật chất 67

3.1.3 Kiểm soát vận hành máy tính 68

3.2 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT ỨNG DỤNG 74

3.2.1 Những quy định ràng buộc về trách nhiệm của các đối tượng liên quan 75

3.2.2 Những giải pháp về các thủ tục kiểm soát dữ liệu đầu vào 77

3.2.3 Những giải pháp về các thủ tục kiểm soát quy trình xử lý dữ liệu 80

3.2.4 Những giải pháp về các thủ tục kiểm soát thông tin đầu ra 84

3.2.5 Những giải pháp khác về các thủ tục kiểm soát trên phần mềm ứng dụng 86

3.3 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT DỮ LIỆU 88

3.3.1 Tổ chức máy chủ 88

3.3.2 Tổ chức sao lưu dữ liệu 88 3.3.3 Kiểm soát dữ liệu đối với các đối tượng

bên ngoài doanh nghiệp 90

3.4 ỨNG DỤNG CÁC THỦ TỤC KIỂM SOÁT TRÊN PHẦN MỀM VÀO HOẠT ĐỘNG KIỂM SOÁT MỘT SỐ CHU TRÌNH SẢN XUẤT KINH DOANH TẠI DOANH NGHIỆP 90 3.4.1 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát

chu trình bán hàng 101

3.4.3 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát

chu trình nhân sự, tiền lương 104

3.4.3.1 Mô tả chu trình nhân sự, tiền lương 104 3.4.3.2 Ứng dụng phần mềm vào hoạt động kiểm soát

chu trình nhân sự, tiền lương 106

3.4.4 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát

chu trình sản xuất 108

3.4.4.1 Mô tả chu trình sản xuất 108

3.4.4.2 Ứng dụng phần mềm vào hoạt động kiểm soát

chu trình sản xuất 111

3.5 BAN HÀNH CHÍNH SÁCH AN TOÀN VÀ BẢO MẬT THÔNG TIN, HOÀN THIỆN VAI TRÒ CỦA KIỂM TOÁN NỘI BỘ TRONG ĐIỀU KIỆN ỨNG DỤNG CNTT VÀO TRONG CÔNG TÁC QUẢN LÝ 115

Kết luận chương 3 116

KẾT LUẬN 117

TÀI LIỆU THAM KHẢO 119

DANH MỤC CHỮ VIẾT TẮT

CNTT : Công nghệ thông tin

IT : Information Technology - Kỹ thuật thông tin CPU : Central Processing Unit - Đơn vị xử lý trung tâm

RAM : Random Access Memory - Bộ nhớ truy xuất ngẫu nhiên HDD : Hard Disk Drive - Ổ đĩa cứng (bộ nhớ lưu trữ)

CSDL : Cơ sở dữ liệu

SQL : Structured Query Language - Ngôn ngữ truy vấn cấu trúc

ERP : Enterprise Resources Planning - Hoạch định các nguồn lực doanh nghiệp

COSO: Committee of Sponsoring Organization – Uỷ ban thuộc Hội đồng quốc gia Hoa Kỳ về chống gian lận báo cáo tài chính

DANH MỤC HÌNH VẼ

Hình 1.1 – Mô tả hệ thống máy tính 16

Hình 1.2 – Thiết bị Modem dùng để kết nối mạng internet 20

Hình 1.3 – Mô tả về mạng máy tính 21

Hình 1.4 – Thiết bị Hub dùng để kết nối nhiều máy tính với nhau 36

Hình 3.1 – Mô tả về bức tường lửa Firewall 71

Hình 3.2 – Mô hình hệ thống thông tin kế toán 74

DANH MỤC BẢNG BIỂU

Bảng 2.1 – Nhìn nhận về kiểm soát nội bộ trong môi trường tin học 49

Bảng 2.2 – Kiểm soát vật chất 53

Bảng 2.3 – Kiểm soát vận hành máy tính 55

Bảng 2.4 – Kiểm soát dữ liệu đầu vào trên phần mềm ứng dụng 57

Bảng 2.5 – Kiểm soát xử lý số liệu trên phần mềm ứng dụng 59

Bảng 2.6 – Kiểm soát thông tin đầu ra trên phần mềm ứng dụng 60

Bảng 2.7 – Kiểm soát dữ liệu 62

LỜI MỞ ĐẦU

Tính cấp thiết của đề tài:

Có thể nói trong thời đại ngày nay, CNTT đã và đang đóng một vai trò vô cùng quan trọng trong cuộc sống của loài người Những lợi ích mà nó mang lại là không thể phủ nhận Hầu như lĩnh vực nào, ngành nghề nào cũng ứng dụng CNTT và điều đó đã giúp tạo ra năng suất lao động, hiệu quả công việc vô cùng to lớn Thực tế cho thấy; khi các tổ chức, các doanh nghiệp ứng dụng CNTT mà cụ thể là việc đưa vào sử dụng các phần mềm ứng dụng, các phần mềm quản trị cơ sở dữ liệu, các kết nối cổng thông tin liên kết trong nội bộ hay liên kết ra bên ngoài đã giúp cho con người trao đổi thông tin với nhau một cách nhanh chóng, tiết kiệm thời gian và thay thế dần sức người do có sự tự động hoá ngày càng cao

Bên cạnh đó; trong điều kiện tin học hoá như hiện nay, việc bảo vệ thông tin được xem là công việc được ưu tiên hàng đầu bởi người ta quan niệm rằng “thông tin là tài sản” và nếu để mất nó có thể sẽ phải trả giá rất đắt Tuy nhiên, để thực hiện công việc này không phải là việc dễ dàng vì nó đòi hỏi phải có cơ chế kiểm soát chặt chẽ, rõ ràng, tỉ mỉ và chi tiết thông qua việc thiết lập một hệ thống kiểm soát nội bộ hữu hiệu tuân theo quy trình được thống nhất từ cấp lãnh đạo đến cấp nhân viên trong toàn bộ tổ chức

Ngoài những lợi ích do CNTT mang lại thì song song đó vẫn còn rất nhiều hạn chế hay nói khác đi đó chính là những rủi ro tiềm ẩn bên trong luôn rình rập và sẵn sàng đe doạ đến tài sản thông tin của bất kỳ tổ chức hay doanh nghiệp nào Do đó, việc tìm hiểu những đặc điểm của hệ thống kiểm soát cũng như các biện pháp ngăn ngừa, nhận diện và khắc phục những tác động xấu từ những rủi ro trong môi trường ứng dụng CNTT sẽ giúp cho chúng ta

có cái nhìn toàn diện hơn để có thể thiết lập được hệ thống kiểm soát nội bộ hữu hiệu nhằm bảo vệ tài sản thông tin của tổ chức

Và cũng không nằm ngoài những suy nghĩ trên, tác giả đã rất trăn trở và

đi đến quyết định chọn đề tài cũng tương đối mới mẻ là “Đề xuất một số giải

pháp xây dựng các hoạt động kiểm soát trong môi trường tin học cho các doanh nghiệp Việt Nam” để nghiên cứu với hy vọng mang lại cho các tổ

chức, các doanh nghiệp nói chung và đặc biệt là những người đang hoạt động trong lĩnh vực kế toán, kiểm toán nói riêng một cái nhìn toàn diện hơn, đúng đắn hơn và cụ thể hơn về vấn đề này hiện nay

Mục tiêu nghiên cứu của đề tài:

Dựa trên cơ sở nghiên cứu các tài liệu nước ngoài; thông qua việc thực hiện quan sát, điều tra và khảo sát thực tế tại các doanh nghiệp ở Việt Nam về kiểm soát nội bộ trong điều kiện ứng dụng CNTT; mục tiêu nghiên cứu của đề tài đưa ra một cái nhìn trực quan và cụ thể về kiểm soát trong môi trường tin học để hướng các đối tượng liên quan như doanh nghiệp, người hành nghề kế toán, kiểm toán đến việc tổ chức hệ thống thông tin và xây dựng các hoạt động kiểm soát thật sự hữu hiệu trong điều kiện ứng dụng CNTT vào công việc hàng ngày của mình

Đối tượng và phạm vi nghiên cứu:

Đối tượng nghiên cứu của đề tài là các hoạt động kiểm soát thuộc hệ thống kiểm soát nội bộ được tổ chức trong môi trường tin học tại các doanh nghiệp Việt Nam Cụ thể là; thông qua việc quan sát các hoạt động kiểm soát thực tế tại doanh nghiệp, điều tra và khảo sát các đối tượng liên quan như ban giám đốc, bộ phận kế toán và bộ phận IT của các doanh nghiệp để tìm hiểu Tuy nhiên; đề tài chỉ mới đề cập đến việc tư vấn cho các doanh nghiệp cách để tự thiết kế ra các thủ tục phục vụ cho việc thực thi các hoạt động kiểm soát

tương ứng trong môi trường tin học sao cho hữu hiệu hơn để bảo vệ các tài sản thông tin và gia tăng độ tin cậy của thông tin được xử lý trong môi trường này, chứ chưa thật sự đề cập đến toàn bộ mọi thành phần của hệ thống kiểm soát nội bộ trong doanh nghiệp

Phương pháp nghiên cứu:

Phương pháp nghiên cứu của luận văn là dựa trên quan sát thực tế ở hiện trường, khảo sát và điều tra các đối tượng liên quan tại doanh nghiệp thông qua hình thức bảng câu hỏi Đồng thời sử dụng phương pháp phân tích, thống kê và tổng hợp số liệu thu thập được từ thực tế để từ đó đưa ra các giải pháp nhằm giải quyết các vấn đề đã đề cập trong mục tiêu nghiên cứu của đề tài

Kết cấu của luận văn:

Kết cấu của luận văn bao gồm: v Phần mở đầu

v Chương 1 - Các vấn đề liên quan đến hoạt động kiểm soát trong môi trường tin học

v Chương 2 - Tìm hiểu thực tế về các hoạt động kiểm soát trong môi trường tin học tại các doanh nghiệp Việt Nam

v Chương 3 – Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi trường tin học cho các doanh nghiệp Việt Nam

v Kết luận

v Tài liệu tham khảo v Phụ lục

Theo định nghĩa được đưa ra bởi COSO năm 1992 thì:

“Kiểm soát nội bộ là một quá trình do nhà quản lý, hội đồng quản trị và toàn bộ nhân viên của tổ chức chi phối, nó được thiết lập để cung cấp một sự bảo đảm hợp lý nhằm thực hiện ba mục tiêu:

ü Báo cáo tài chính đáng tin cậy

ü Các luật lệ và quy định được tuân thủ ü Hoạt động hữu hiệu và hiệu quả”

Như vậy có bốn nội dung cơ bản được đề cập trong định nghĩa ở trên bao gồm: quá trình, con người, đảm bảo hợp lý và mục tiêu

Kiểm soát nội bộ là một quá trình: kiểm soát nội bộ là một chuỗi hoạt

động kiểm soát hiện diện ở tất cả mọi bộ phận trong tổ chức và chúng kết hợp với nhau thành một thể thống nhất Quá trình kiểm soát được xem là phương

tiện giúp cho tổ chức đạt được mục tiêu của mình

Kiểm soát nội bộ được thiết kế và vận hành bởi con người: chính con

người sẽ đặt ra mục tiêu; thiết lập cơ chế kiểm soát ở khắp mọi nơi trong tổ chức và vận hành chúng để đạt được mục tiêu đề ra Do đó, kiểm soát nội bộ không chỉ đơn thuần là những chính sách, thủ tục, biểu mẫu… mà còn bao

gồm cả những con người trong tổ chức như hội đồng quản trị, ban giám đốc

và nhân viên

Kiểm soát nội bộ cung cấp một sự đảm bảo hợp lý: kiểm soát nội bộ chỉ

có thể cung cấp một sự đảm bảo hợp lý nhất có thể chứ không khẳng định chắc chắn rằng các mục tiêu sẽ đạt được Như vậy, kiểm soát nội bộ có thể giúp ngăn chặn và phát hiện ra sai phạm nhưng không thể đảm bảo là chúng sẽ không bao giờ xảy ra nữa Sở dĩ như vậy là do bản thân hệ thống kiểm soát nội bộ vẫn luôn tồn tại những hạn chế tiềm tàng vốn có của nó như: sự vô ý, bất cẩn của con người; sự thông đồng giữa các cá nhân trong tổ chức; sự lạm dụng quyền lực để mưu cầu lợi ích riêng tư; hay sự đòi hỏi chi phí bỏ ra cho việc thực hiện các hoạt động kiểm soát phải luôn nhỏ hơn lợi ích mà nó mang

lại…

Các mục tiêu của kiểm soát nội bộ: mục tiêu của kiểm soát nội bộ là rất

rộng, chúng bao trùm toàn bộ mọi hoạt động và có ý nghĩa quan trọng đối với

tổ chức Nhưng nhìn chung, có thể phân thành ba mục tiêu sau:

ü Mục tiêu về báo cáo tài chính: kiểm soát nội bộ phải bảo đảm về tính trung thực và độ tin cậy, bởi lẽ nhà quản lý là người đại diện pháp luật cho tổ chức và phải có trách nhiệm lập báo cáo tài chính phù hợp với chuẩn mực và chế độ kế toán hiện hành

ü Mục tiêu về tính tuân thủ: kiểm soát nội bộ phải bảo đảm hợp lý việc chấp hành luật pháp và các quy định Ngoài ra, kiểm soát nội bộ còn hướng mọi thành viên trong tổ chức đến việc tuân thủ các chính sách và quy định của tổ chức nhằm đạt được các mục tiêu của tổ chức

ü Mục tiêu về sự hữu hiệu và hiệu quả của các hoạt động: kiểm soát nội bộ giúp bảo vệ và sử dụng hiệu quả các nguồn lực của tổ chức, qua đó

giúp nâng cao uy tín, mở rộng quy mô và thị phần, thực hiện các chiến lược của đã đề ra…

1.1.2 Các bộ phận hợp thành hệ thống kiểm soát nội bộ

Theo COSO (năm 1992) thì các bộ phận hợp thành hệ thống kiểm soát nội bộ gồm năm bộ phận:

§ Môi trường kiểm soát § Đánh giá rủi ro

§ Hoạt động kiểm soát § Thông tin và truyền thông § Giám sát

1.1.2.1 Môi trường kiềm soát

Môi trường kiềm soát được xem là nền tảng đối với các bộ phận khác của hệ thống kiểm soát nội bộ Nó phản ánh sắc thái chung của một tổ chức và chi phối ý thức kiểm soát của các thành viên trong tổ chức Các nhân tố thuộc môi trường kiểm soát bao gồm:

Tính chính trực và các giá trị đạo đức

Tính chính trực và các giá trị đạo đức được thể hiện qua tính cách, bản chất và cách cư xử của các thành viên khi tham gia vào các hoạt động của tổ chức Sự hữu hiệu của hệ thống kiểm soát nội bộ trước hết phụ thuộc vào tính chính trực và việc tôn trọng các giá trị đạo đức của những cá nhân liên quan đến quá trình kiểm soát Do vậy, nhu cầu này đòi hỏi ở nhà quản lý cấp cao phải xây dựng được những chuẩn mực đạo đức và cư xử đúng đắn để có thể ngăn cản những người có hành vi thiếu đạo đức hoặc phạm pháp trong tổ chức Muốn đạt được yêu cầu này, trước hết đòi hỏi nhà quản lý phải làm

gương cho cấp dưới về việc tuân thủ các chuẩn mực, đồng thời cần phổ biến những quy định đến mọi thành viên trong tổ chức bằng những cách thích hợp Hơn nữa, để nâng cao tính chính trực và sự tôn trọng các giá trị đạo đức, tổ chức cũng cần loại trừ hoặc giảm thiểu các sức ép tác động đến nhân viên để tránh thực hiện các hành vi thiếu trung thực có thể xuất phát từ họ

Năng lực của nhân viên

Nhà quản lý cần tuyển dụng các nhân viên có năng lực chuyên môn, kỹ năng và kinh nghiệm phù hợp để thực hiện công việc được giao đạt sự hữu hiệu và hiệu quả Bên cạnh đó, cần tăng cường giám sát và tổ chức huấn luyện nhân viên thường xuyên để các nhiệm vụ được giao luôn đạt kết quả tốt nhất

Hội đồng quản trị và uỷ ban kiểm toán

Uỷ ban kiểm toán trực thuộc hội đồng quản trị, gồm một số thành viên trong và ngoài Hội đồng quản trị nhưng không tham gia vào công việc điều hành tổ chức Uỷ ban kiểm toán có những đóng góp quan trọng trong việc thực hiện các mục tiêu của tổ chức như giám sát sự tuân thủ pháp luật, giám sát việc lập báo cáo tài chính, giữ sự độc lập cho kiểm toán độc lập… Vì thế, hoạt động hữu hiệu của Hội đồng quản trị và Uỷ ban kiểm toán sẽ có ảnh hưởng lớn đến môi trường kiểm soát

Các nhân tố được dùng làm thước đo đánh giá sự hữu hiệu của Hội đồng quản trị hoặc Uỷ ban kiểm toán bao gồm mức độ độc lập, kinh nghiệm và uy tín của các thành viên bên trong Hội đồng quản trị hoặc Uỷ ban kiểm toán, cùng với mối quan hệ của họ với bộ phận kiểm toán nội bộ và kiểm toán độc lập

Ở Việt Nam, theo quy định của Luật Doanh nghiệp thì một số loại hình công ty phải có Ban kiểm soát trực thuộc Đại hội đồng cổ đông và có vai trò tương tự như Uỷ ban kiểm toán

Triết lý và phong cách điều hành

Triết lý thể hiện qua quan điểm và sự nhận thức của nhà quản lý; trong khi phong cách điều hành lại thể hiện qua tính cách và thái độ của nhà quản lý khi điều hành tổ chức Do vậy, sự khác biệt về triết lý và phong cách điều hành có thể ảnh hưởng đến môi trường kiểm soát và tác động đến việc thực hiện các mục tiêu của một tổ chức

Cơ cấu tổ chức

Cơ cấu tổ chức phải phù hợp với quy mô và đặc thù của mỗi đơn vị Thực chất đó chính là sự phân chia trách nhiệm và quyền hạn giữa các bộ phận trong đơn vị, nó góp phần đáng kể cho việc đạt được các mục tiêu của đơn vị Cơ cấu tổ chức phù hợp sẽ là cơ sở để lập kế hoạch, điều hành, kiểm soát và giám sát các hoạt động Ngược lại, một cơ cấu tổ chức không phù hợp có thể làm cho các thủ tục kiểm soát mất tác dụng

Phân định quyền hạn và trách nhiệm

Phân định quyền hạn và trách nhiệm được xem là phần mở rộng của cơ cấu tổ chức Qua đó cụ thể hoá quyền hạn và trách nhiệm của từng thành viên trong tổ chức, giúp họ hiểu được nhiệm vụ của mình và từng hoạt động của họ sẽ có ảnh hưởng như thế nào đến người khác trong việc hoàn thành mục tiêu Do đó, tổ chức cần có mô tả công việc rõ ràng cụ thể mà trong đó có đề cập đến quyền hạn và trách nhiệm của từng thành viên cùng với mối quan hệ giữa họ với nhau

Chính sách nhân sự

Là các chính sách được lập bởi nhà quản lý liên quan đến việc tuyển dụng, huấn luyện, đánh giá, bổ nhiệm, sa thải, đề bạt, khen thưởng và kỷ luật Chính sách nhân sự có ảnh hưởng đáng kể đến sự hữu hiệu của môi trường

kiểm soát thông qua việc tác động đến các nhân tố khác trong môi trường kiểm soát như đảm bảo về năng lực, tính chính trực và các giá trị đạo đức…

1.1.2.2 Đánh giá rủi ro

Rủi ro luôn tồn tại trong mọi hoạt động của tổ chức Chúng có thể bắt nguồn từ bên trong hay bên ngoài doanh nghiệp và sẵn sàng đe doạ đến tất cả các mục tiêu chung cũng như các mục tiêu cụ thể của tổ chức Tuy nhiên, người ta chỉ có thể hạn chế bớt các rủi ro này chứ không thể làm cho chúng không bao giờ xuất hiện nữa Vì thế, để hạn chế các rủi ro nhà quản lý phải dựa trên các mục tiêu đã được xác định để nhận dạng và phân tích các rủi ro để từ đó có thể quản trị được chúng

Xác định mục tiêu của tổ chức

Xác định mục tiêu được xem là điều kiện tiên quyết để đánh giá rủi ro Bởi lẽ một sự kiện có thể trở thành rủi ro hay không sẽ phụ thuộc vào mức độ tác động tiêu cực của nó đến mục tiêu của tổ chức Xác định mục tiêu bao gồm việc đưa ra sứ mệnh, hoạch định các mục tiêu chiến lược cũng như những chỉ tiêu phải đạt được trong ngắn hạn, trung hạn và dài hạn Việc xác định mục tiêu có thể được thực hiện qua việc ban hành các văn bản, qua nhận thức và phát biểu hàng ngày của nhà quản lý

Nhận dạng rủi ro

Rủi ro có thể tác động đến toàn bộ tổ chức hay chỉ ảnh hưởng đến từng hoạt động cụ thể Đối với toàn bộ tổ chức, các nhân tố có thể làm phát sinh rủi ro như sự đổi mới kỹ thuật, thị hiếu của khách hàng, sự cải tiến sản phẩm của đối thủ cạnh tranh, sự thay đổi trong chính sách Nhà nước, sự thay đổi nhân sự quản lý… Trong phạm vi từng hoạt động, có thể là hoạt động mua hàng, bán hàng, kế toán…Do đó, để nhận dạng các rủi ro, nhà quản lý cần phải sử

dụng nhiều phương pháp khác nhau như dự báo, phân tích số liệu quá khứ cho đến việc rà soát thường xuyên các hoạt động

Phân tích và đánh giá rủi ro

Thực tế cho thấy rủi ro rất khó định lượng nên phân tích và đánh giá rủi ro là việc làm khá phức tạp và do đó có nhiều phương pháp khác nhau Tuy nhiên, nhìn chung một quy trình phân tích và đánh giá rủi ro thường bao gồm:

ü Ước lượng tầm cỡ của rủi ro qua ảnh hưởng của nó đến mục tiêu của tổ chức

ü Xem xét khả năng xảy ra rủi ro ü Các biện pháp đối phó với rủi ro

1.1.2.3 Hoạt động kiểm soát

Hoạt động kiểm soát là những chính sách và thủ tục để đảm bảo cho các chỉ thị của nhà quản lý được thực thi Mục đích chính của các chính sách và thủ tục là giúp thực thi những hành động để kiểm soát các rủi ro có thể xảy ra đối với tổ chức Dưới đây là các hoạt động kiểm soát chủ yếu:

Phân chia trách nhiệm

Phân chia trách nhiệm là không cho phép bất kỳ thành viên nào trong tổ chức được giải quyết mọi mặt của nghiệp vụ từ khi nó hình thành cho đến khi kết thúc Điều này có nghĩa là, không cho kiêm nhiệm đồng thời các chức năng phê chuẩn, thực hiện, ghi chép nghiệp vụ và bảo quản tài sản

Việc phân chia trách nhiệm nhằm mục đích để các thành viên có thể tự kiểm soát lẫn nhau; dễ phát hiện ra các sai sót và khiếm khuyết nếu nó xảy ra; đồng thời hạn chế cơ hội đối với các thành viên có thể che dấu các sai phạm do mình gây ra

Kiểm soát quá trình xử lý thông tin và các nghiệp vụ

Để đảm bảo cho thông tin đáng tin cậy cần phải thực hiện nhiều hoạt động kiểm soát nhằm kiểm tra tính xác thực, đầy đủ và việc phê chuẩn các nghiệp vụ

Khi kiểm soát quá trình xử lý thông tin, cần phải bảo đảm: ü Kiểm soát chặt chẽ hệ thống chứng từ, sổ sách

ü Phê chuẩn đúng đắn các loại nghiệp vụ hoặc hoạt động: việc phê chuẩn này phải tập trung vào một nhà quản lý trong phạm vi quyền hạn cho phép của mình Sự phê chuẩn được chia làm phê chuẩn chung (nhà quản lý ban hành các chính sách áp dụng cho toàn bộ tổ chức) và phê chuẩn cụ thể (nhà quản lý xét duyệt từng nghiệp vụ riêng biệt chứ không thể đưa ra chính sách chung)

Kiểm soát vật chất

Hoạt động này nhằm mục đích hạn chế việc tiếp cận các thông tin, các tài liệu, chứng từ, sổ sách và tài sản không được phép để ngăn ngừa các rủi ro có thể xảy ra như trộm cắp, phá hoại hay sử dụng sai mục đích…

Kiểm tra độc lập việc thực hiện

Là việc kiểm tra được thực hiện bởi các cá nhân (hoặc bộ phận) khác với cá nhân (hoặc bộ phận) đang thực hiện nghiệp vụ Nhu cầu phải kiểm tra độc lập xuất phát từ hệ thống kiểm soát nội bộ thường có khuynh hướng bị giảm sút tính hữu hiệu trừ khi có một cơ chế thường xuyên kiểm tra soát xét lại Tuy nhiên, để việc kiểm tra độc lập này phát huy được hiệu quả, đòi hỏi những thành viên thực hiện kiểm tra phải độc lập nhất định với đối tượng được kiểm tra

Phân tích rà soát hay soát xét lại việc thực hiện

Hoạt động này đòi hỏi cần phải xem xét lại những việc đã thực hiện bằng cách so sánh, đối chiếu thực tế với kế hoạch, dự toán, kỳ trước và các dữ liệu có liên quan; đồng thời cần liên hệ với tổng thể để đánh giá quá trình thực hiện Thông qua hoạt động này, giúp nhà quản lý phát hiện ra những hạn chế, những bất thường xảy ra trong quá trình thực hiện để từ đó có những đối sách cũng như những điều chỉnh kịp thời

1.1.2.4 Thông tin và truyền thông

Thông tin và truyền thông giúp thiết lập, duy trì và nâng cao năng lực kiểm soát trong tổ chức thông qua việc lập các báo cáo cung cấp thông tin về hoạt động, tài chính và sự tuân thủ cho cả đối tượng bên trong lẫn bên ngoài tổ chức

Thông tin cần thiết cho mọi cấp của tổ chức vì giúp đạt được các mục tiêu kiểm soát khác nhau Hệ thống thông tin của tổ chức có thể thực hiện bằng cách xử lý trên máy tính, bằng hệ thống thủ công hoặc kết hợp cả hai, miễn là bảo đảm các yêu cầu của chất lượng thông tin là thích hợp, kịp thời, cập nhật, chính xác và truy cập thuận tiện

Truyền thông là việc truyền đạt thông tin Trong đó, cần chú ý đến việc truyền thông trong nội bộ và truyền thông ra bên ngoài Cụ thể là:

§ Đối với truyền thông nội bộ: yêu cầu mọi thành viên trong tổ chức phải hiểu rõ công việc của mình; hiểu rõ mệnh lệnh, chỉ thị từ cấp trên; hiểu rõ mối quan hệ với các thành viên khác trong tổ chức và biết sử dụng các phương tiện truyền thông trong tổ chức

§ Truyền thông ra bên ngoài: các thông tin được cung cấp từ các đối tượng bên ngoài như khách hàng, nhà cung cấp, ngân hàng… phải được ghi

nhận trung thực, đầy đủ; nhờ đó giúp tổ chức có thể phản ứng kịp thời Bên cạnh đó, các thông tin cung cấp cho các đối tượng bên ngoài như Nhà nước, cổ đông, nhà đầu tư… cũng cần phải truyền đạt kịp thời, đảm bảo về độ tin cậy và tuân thủ các quy định của tổ chức cũng như của pháp luật

1.1.2.5 Giám sát

Thông qua giám sát, nhà quản lý có thể đánh giá được chất lượng của hệ thống kiểm soát nội bộ Từ đó có thể xác định kiểm soát nội bộ có vận hành theo đúng thiết kế hay không và có cần phải sửa đổi lại cho phù hợp với thực tế tại tổ chức hay không Để đạt được kết quả mong đợi, nhà quản lý cần phải tăng cường các hoạt động giám sát của mình bao gồm cả giám sát thường xuyên và giám sát định kỳ

§ Giám sát thường xuyên: được thực hiện thông qua các cuộc tiếp xúc với khách hàng, nhà cung cấp… để nghe ý kiến đóng góp của họ; ghi nhận thông tin phản hồi từ các thành viên trong tổ chức thông qua các buổi hội thảo, cuộc họp hay buổi huấn luyện… hoặc xem xét các báo cáo hoạt động để phát hiện ra những bất thường

§ Giám sát định kỳ: được thực hiện thông qua các cuộc kiểm toán định kỳ do kiểm toán nội bộ hoặc kiểm toán độc lập thực hiện

1.2 GIỚI THIỆU CHUNG VỀ HỆ THỐNG MÁY TÍNH

Ngày nay, máy vi tính không còn xa lạ gì đối với mọi người nữa Cùng với thời gian, công nghệ sản xuất máy vi tính đã cho ra đời rất nhiều thế hệ máy tính hiện đại, xử lý với tốc độ cao, cho kết quả chính xác và giá rẻ Nhìn về quá khứ ở Việt Nam cho thấy, những năm đầu thập niên 90 của thế kỷ 20, việc trang bị máy vi tính cho các tổ chức nói chung và cho cá nhân nói riêng là việc làm hoàn toàn xa xỉ

Nhưng nay đã khác, hầu như đi đến đâu cũng bắt gặp người ta sử dụng máy tính để xử lý công việc hàng ngày của mình là chuyện bình thường Và điều này đã góp phần tích cực vào công cuộc đổi mới và phát triển của đất nước

Cụ thể hơn, với sự phát triển không ngừng của CNTT đã và sẽ tiếp tục có những chi phối và ảnh hưởng đáng kể đến tất cả mọi ngành nghề trong xã hội Những chi phối và ảnh hưởng này là tích cực, nó làm cho năng suất của các ngành tăng lên rõ rệt và hướng tất cả các ngành đều đi đến chỗ phải nâng cao chất lượng sản phẩm, dịch vụ của mình để từng bước tiếp cận đến sự quản lý chuyên nghiệp và phát triển bền vững

Đối với nghề nghiệp kế toán, kiểm toán thì cũng vậy; sự phát triển của CNTT cũng có những tác động lớn đến những người hoạt động trong những ngành nghề này Với những máy tính được trang bị các phần mềm chuyên dụng như phần mềm kế toán, các phần mềm hỗ trợ cho công tác kiểm toán… đã giúp cho những người hành nghề kế toán và kiểm toán dễ dàng hơn trong việc thu thập, xử lý và cung cấp thông tin được nhanh chóng, kịp thời với độ chính xác và độ tin cậy cao

Tuy nhiên, bên cạnh những lợi ích mà CNTT đem lại cũng không loại trừ những rủi ro tiềm ẩn trong việc cung cấp thông tin đó là độ tin cậy của thông tin trong môi trường tin học có hoàn toàn tuyệt đối như người ta từng tin

tưởng Do đó, việc tìm hiểu về hệ thống máy tính là rất cần thiết để nghiên cứu, tìm hiểu về hệ thống kiểm soát thông tin trong môi trường này

1.2.1 Phần cứng và các thiết bị ngoại vi

Một hệ thống máy tính bao gồm các các thiết bị, linh kiện rời cấu thành mà dựa trên đó các phần mềm hệ thống, tiện ích và các ứng dụng được cài đặt để vận hành nhằm thực hiện một hoặc nhiều nhiệm vụ nào đó Có thể nói, máy tính là một hệ thống xử lý thông tin đa năng Nó nhận lệnh từ con người thông qua các thiết bị ghi nhận đầu vào như chuột, bàn phím, máy quét… để rồi xử lý các lệnh đó Sau khi được xử lý, thông tin được hiển thị cho người sử dụng xem thông qua các thiết bị đầu ra như màn hình, máy in, máy chiếu… và cuối cùng thông tin được lưu trữ trên các thiết bị như đĩa cứng, đĩa mềm, USB, CD…

Bộ phận được xem là chính yếu và quan trọng nhất thuộc về phần cứng

máy tính là bộ vi xử lý trung tâm CPU (Central Processing Unit) Bộ phận

này đảm nhận nhiệm vụ tính toán và xử lý dữ liệu Tất cả các dạng dữ liệu (chữ, số, hình ảnh, âm thanh…) đều được mã hoá dưới dạng một tập hợp số nhị phân Mỗi số nhị phân đại diện cho một tín hiệu điện tử tắt (0) hoặc mở (1) Sau đây, chúng ta tìm hiểu thêm một vài bộ phận quan trọng khác của máy tính ngoài CPU:

§ Bo mạch chủ (Mainboard): bo mạch chính, lớn nhất đóng vai trò là trung gian giao tiếp giữa các thiết bị với nhau Có rất nhiều các thiết bị gắn trên bo mạch chủ theo cách trực tiếp có mặt trên nó hay thông qua các kết nối cắm vào hoặc dây dẫn liên kết Bộ phận CPU quan trọng kể

trên cũng được gắn vào bo mạch chủ này

§ Bộ nhớ chính hay còn gọi là bộ nhớ truy xuất ngẫu nhiên (Random Access Memory – RAM): máy tính dùng RAM để lưu trữ mã chương trình và dữ liệu trong suốt quá trình thực thi (trong 1 phiên làm việc)

Cụ thể là, khi chúng ta gõ văn bản từ bàn phím hay nhập số liệu trên một phần mềm ứng dụng thì những thông tin này mới chỉ được lưu vào bộ nhớ RAM và hạn chế của bộ nhớ này là nó chỉ hoạt động khi có điện Nếu chưa kịp lưu mà mất điện thì coi như phải làm lại từ đầu Do đó, thông tin chỉ có thể an toàn khi được lưu trữ vào một thiết bị khác

gọi là ổ đĩa cứng

§ Ổ đĩa cứng (Hard Disk Drive – HDD): bộ nhớ lưu trữ chính của máy tính, các thành quả của một quá trình làm việc được lưu trữ trên ổ đĩa cứng trước khi có các hành động sao lưu dự phòng trên các dạng bộ nhớ khác Thao tác lưu văn bản hay lưu dữ liệu vào file mà chúng ta từng thực hiện nhằm mục đích sao chép văn bản hay dữ liệu từ bộ nhớ RAM vào ổ đĩa cứng của máy Ổ đĩa cứng có thể giữ văn bản hay dữ liệu cả khi không có điện Chính đĩa cứng là nơi chứa chương trình để dùng Khi thực hiện thao tác “chọn chương trình” (còn gọi là “chạy chương trình”), chương trình được sao chép từ ổ đĩa cứng vào bộ nhớ

RAM rồi mới bắt đầu hoạt động

Hình 1.1 - Mô tả hệ thống máy tính

1.2.2 Phần mềm

Trong một hệ thống máy tính có thể tồn tại rất nhiều các phần mềm bao gồm phần mềm điều khiển các thiết bị phần cứng, hệ điều hành, các chương trình tiện ích, ngôn ngữ lập trình, phần mềm ứng dụng và hệ quản trị cơ sở dữ liệu

1.2.2.1 Phần mềm hệ thống

Phần mềm hệ thống bao gồm:

§ Phần mềm quản lý các thiết bị phần cứng của máy tính (BIOS): là chương trình có nhiệm vụ kiểm soát và phối hợp các bộ phận của phần cứng với nhau

§ Hệ điều hành: là phần mềm nền tảng, được ví như nền móng của một ngôi nhà, nó hỗ trợ cho hoạt động của các phần mềm khác được cài đặt lên trên nó Các hệ điều hành hiện có trên thị trường như là Windows của Microsoft, Linux của Linus Torvalds, Unix của Maccintos…; nhưng trong đó hệ điều hành thông dụng và được rất nhiều người trên thế giới sử dụng là Windows Hệ điều hành giữ vai trò quan trọng vì nó điều khiển mọi hoạt động của máy tính Sau khi máy tính được khởi động, thì lập tức hệ điều hành sẽ thực hiện ngay việc thiết lập các thông số giao tiếp và điều khiển các thiết bị ngoại vi Đồng thời, tiến hành kiểm tra, quản lý đĩa và các tập tin trên đĩa

1.2.2.2 Các chương trình tiện ích

Nhiệm vụ của các chương trình tiện ích là đảm nhận việc thực hiện những chức năng chuyên biệt như điều khiển in ấn; quản lý vùng nhớ cho từng thư mục, tập tin; sao chép, tổ chức dữ liệu trong tập tin; sao lưu hệ thống để phục hồi khi cần thiết; dọn dẹp, nén và sắp xếp ổ đĩa cứng; phục hồi file bị xoá; sao

chép tập tin trên các thiết bị lưu trữ (như DVD/CD) khi có sự cố đọc file hay khi thiết bị lưu trữ bị lỗi logic…

1.2.2.3 Ngôn ngữ lập trình và các trình biên dịch

Ngôn ngữ lập trình (programming language) là một tập con của ngôn ngữ

máy tính Đây là một dạng ngôn ngữ được chuẩn hóa (đối lập với ngôn ngữ tự nhiên) Nó được dùng để miêu tả những quá trình, những ngữ cảnh một cách rất chi tiết Ngôn ngữ lập trình là một hệ thống được ký hiệu hóa để miêu tả những tính toán (qua máy tính) trong một dạng mà cả con người và máy đều có thể đọc và hiểu được Ngôn ngữ lập trình giúp cho con người có thể tạo ra các phần mềm ứng dụng chuyên biệt để phục vụ cho những yêu cầu cụ thể nào đó của con người Hiện có rất nhiều ngôn ngữ lập trình như Visual Basic, Visual C++, Visual FoxPro, Access…và mỗi ngôn ngữ lập trình sẽ thoả mãn cho từng nhu cầu khác nhau

Các phần mềm chuyển dịch mã bao gồm trình biên dịch và trình thông dịch: các loại chương trình này sẽ đọc các câu lệnh từ mã nguồn được viết bởi các lập trình viên theo một ngôn ngữ lập trình và dịch nó sang dạng ngôn ngữ máy mà máy tính có thể hiểu được, hay dịch nó sang một dạng khác như

là tập tin đối tượng (object file) và các tập tin thư viện (library file) mà các

phần mềm khác (như hệ điều hành chẳng hạn) có thể hiểu để vận hành máy tính thực thi các lệnh

1.2.2.4 Phần mềm ứng dụng

Phần mềm ứng dụng được sản xuất từ các ngôn ngữ lập trình để người sử dụng có thể hoàn thành một hay nhiều công việc nào đó; ví dụ như các phần mềm văn phòng Microsoft Office, phần mềm đồ hoạ Photoshop, phần mềm thiết kế Corel Draw, phần mềm kế toán, phần mềm nhân sự, phần mềm quản

trị nguồn lực doanh nghiệp ERP, phần mềm giáo dục, phần mềm trò chơi, chương trình tiện ích, hay các loại phần mềm ác tính…

Khi phần mềm ứng dụng được kích hoạt thì hệ điều hành sẽ nạp nó vào bộ nhớ RAM, chuẩn bị khoảng trống trên đĩa cứng cho chương trình hoạt động và cuối cùng là trao quyền điều khiển hoạt động cho phần mềm ứng dụng

1.2.2.5 Hệ quản trị cơ sở dữ liệu

Hệ quản trị cơ sở dữ liệu (Database Management System - DBMS),

là phần mềm hay hệ thống được thiết kế để quản trị một cơ sở dữ liệu Cụ thể, các chương trình thuộc loại này hỗ trợ khả năng lưu trữ, sửa chữa, xóa và tìm kiếm thông tin trong một cơ sở dữ liệu (CSDL) Có rất nhiều loại hệ quản trị CSDL khác nhau: từ phần mềm nhỏ chạy trên máy tính cá nhân cho đến những hệ quản trị phức tạp chạy trên một hoặc nhiều siêu máy tính.Tuy nhiên, đa số hệ quản trị CSDL trên thị trường đều có một đặc điểm chung là sử dụng

ngôn ngữ truy vấn theo cấu trúc mà tiếng Anh gọi là Structured Query Language (SQL)

Các hệ quản trị CSDL phổ biến được nhiều người biết đến như là MySQL, Oracle, PostgreSQL, SQL Server, DB2, Infomix Phần lớn các hệ quản trị CSDL kể trên hoạt động tốt trên nhiều hệ điều hành khác nhau như Linux, Unix và MacOS ngoại trừ SQL Server của Microsoft chỉ chạy trên hệ điều hành Windows

Trên thực tế cho thấy hầu hết các phần mềm ứng dụng đều sử dụng một trong những hệ quản trị cơ sở dữ liệu đã nêu ở trên để quản trị dữ liệu của mình bởi tính ổn định, an toàn, tốc độ xử lý cao, phục vụ cho đa người dùng trên mạng và bảo mật

Như vậy là sự ra đời của hệ thống mạng máy tính đã đem lại rất nhiều lợi ích cho con người trong việc trao đổi thông tin với nhau

Hình 1.2 - Thiết bị Modem dùng để kết nối mạng Internet 1.2.3.1 Ứng dụng của mạng máy tính

Trước khi có mạng, trong các tổ chức, mỗi nơi đều phải có chỗ lưu trữ dữ liệu riêng, các thông tin trong nội bộ sẽ khó được cập nhật kịp thời; một ứng dụng ở nơi này không thể chia sẻ cho nơi khác Với một hệ thống mạng giờ đây người ta có thể:

1 Chia sẻ các tài nguyên: các ứng dụng, kho dữ liệu và các tài nguyên khác như sức mạnh của các CPU được dùng chung và chia sẻ thì cả hệ thống máy tính sẽ làm việc hữu hiệu hơn

2 Thông tin được cập nhật theo thời gian thực, do đó chính xác và kịp thời hơn Một khi có một hay vài máy tính bị hỏng thì các máy còn lại vẫn có khả năng hoạt động nên không gây ra ách tắc

3 Tiết kiệm: thông qua kỹ thuật mạng người ta có thể tận dụng khả năng của hệ thống, chuyên môn hoá các máy tính, và do đó phục vụ đa dạng hoá hơn Ví dụ: Hệ thống mạng có thể cung cấp dịch vụ suốt ngày và nhiều nơi có thể dùng cùng một chương trình ứng dụng, chia nhau cùng một cơ sở dữ liệu và các thiết bị như máy in, máy fax…, do dó tiết kiệm được rất nhiều chi phí

4 Mạng máy tính còn là một phương tiện thông tin mạnh và hữu hiệu giữa các cộng sự trong tổ chức

5 Ngoài ra, với sự tiến bộ không ngừng của CNTT, các ứng dụng quan trọng hiện tại qua mạng được các tổ chức sử dụng như là: trang web

của tổ chức, thư điện tử, hội nghị truyền hình (video conference), điện thoại Internet, giao dịch và lớp học ảo (e-learning hay virtual class),

dịch vụ tìm kiếm thông tin qua mạng… đã góp phần tăng hiệu quả hoạt động của các tổ chức này mà không mất quá nhiều công sức, thời gian và tiền bạc như trước đây

Hình 1.3 - Mô tả về mạng máy tính

1.2.3.2 Mạng nội bộ và mạng diện rộng

Người ta thường phân loại mạng máy tính theo phân vùng địa lý mà nó được thiết kế và xây dựng Hai phân vùng địa lý chính là LAN (Local Area Network) và WAN (Wide Area Network)

Mạng nội bộ (LAN): là những mạng nhỏ, giới hạn trong một khu vực, trong một phòng hay trong một tòa nhà, phạm vi hoạt động từ vài mét cho đến 1 km Thường dùng kỹ thuật đơn giản chỉ có một đường dây cáp để nối các máy tính với nhau, thường có tốc độ kết nối rất cao với vận tốc truyền dữ liệu thông thường là 10 Mbps, 100 Mbps, 1 Gbps và gần đây là 10 Gbps Có hai hình thức quản lý mạng nội bộ: quản lý tập trung có máy chủ phục vụ

(Client-Server) hay còn gọi là mạng Domain và mạng ngang hàng peer) hay còn gọi là mạng Workgroup

(Peer-to-Đối với mạng ngang hàng thì mỗi máy tính và người dùng là một chủ thể mạng, tự quản lý và chia sẻ các tài nguyên mạng của mình Khi có bất kỳ một thay đổi nào thì việc cấu hình lại cần được thực hiện trên từng máy tính Trong khi đó, mạng quản lý tập trung có máy chủ phục vụ thì cần một máy chủ có bộ xử lý mạnh sẽ được dành riêng làm thiết bị quản lý Các máy tính con sẽ phải đăng nhập và chịu sự quản lý của máy chủ này, vì thế khi cần thay đổi một cấu hình hay chia sẻ lại nguồn tài nguyên nào đó cho toàn bộ hệ thống mạng, người quản trị mạng chỉ cần thực hiện trên máy chủ mà thôi

Mạng diện rộng (WAN): được dùng trong trường hợp cần kết nối với các điểm địa lý cách xa nhau, phạm vi vài trăm cho đến vài ngàn km, như giữa chi nhánh và trụ sở chính công ty, giữa các nước với nhau Tùy loại thiết bị truyền dẫn mà tốc độ kết nối đạt được trong mạng WAN sẽ khác nhau Cụ thể hơn, kết nối giữa các máy tính trong gia đình là kết nối LAN, nhưng kết nối giữa mạng gia đình và internet thông qua router ADSL là kết nối WAN

1.2.3.3 Mạng có dây và mạng không dây

Mạng có dây: là kiểu kết nối mạng truyền thống Ưu điểm của cách kết nối này là độ ổn định cao, an toàn, giá thành các thiết bị kết nối rẻ Tuy nhiên, cách kết nối sử dụng dây cũng có một số yếu điểm là khó khăn trong việc lắp đặt, thường gây ảnh hưởng đến kiến trúc nội thất của ngôi nhà Người sử dụng bị buộc phải ngồi tại các vị trí đã được lắp đặt các đầu cắm mạng, hoặc phải sử dụng thêm các dây nối phụ rất vướng víu

Mạng không dây: thường dùng cho máy xách tay, dù di chuyển từ phòng này sang phòng khác vẫn có thể chia sẻ tập tin qua mạng nội bộ với mọi người cũng như kết nối vào internet một cách liên tục và dễ dàng Tuy nhiên, hệ thống mạng không dây hiện nay vẫn còn một điểm yếu lớn là tính bảo mật rất kém, dễ bị tấn công và xâm nhập Ngoài ra, kết nối không dây cũng hoạt động không ổn định dưới các tác động của môi trường

1.3 CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC

Hoạt động kiểm soát trong môi trường tin học có thể được chia làm ba hoạt động kiểm soát bao gồm hoạt động kiểm soát chung, hoạt động kiểm soát ứng dụng và hoạt động kiểm soát dữ liệu Các hoạt động kiểm soát cần phải được ban hành thông qua một chính sách cụ thể bởi ban giám đốc Cụ thể là, hoạt động kiểm soát chung được áp dụng cho việc kiểm soát tất cả các phần hành trong môi trường tin học Trong khi hoạt động kiểm soát ứng dụng và hoạt động kiểm soát dữ liệu thì chỉ liên quan đến từng phần hành trong mỗi ứng dụng cụ thể, chúng có thể bao gồm các hoạt động kiểm soát được thiết kế sẵn trên các phần mềm ứng dụng và các hoạt động kiểm soát khác do con người thực hiện

1.3.1 Hoạt động kiểm soát chung

Hoạt động kiểm soát chung là các hoạt động kiểm soát liên quan đến toàn bộ hệ thống máy tính và cả những con người tham gia vào việc vận hành hệ thống máy tính Trong đó, các nhân viên trong toàn bộ tổ chức phải hiểu rõ lợi ích có được từ các hoạt động khi thực hiện chúng và phải nghiêm túc thực hiện, đồng thời phải có cơ chế giám sát chặt chẽ các hoạt động này bởi các bộ phận chuyên trách và nếu có ai đó vi phạm những quy định sẽ bị xử lý thích đáng Các hoạt động kiểm soát chung bao gồm:

Hoạt động kiểm soát vật chất

Hoạt động này đòi hỏi các thiết bị máy tính, đặc biệt là máy chủ chứa dữ liệu cùng các tài nguyên khác của doanh nghiệp như hệ thống trang Web, hệ thống thư điện tử và các tài nguyên khác phải được bảo quản an toàn tối đa Trong đó, máy chủ phải được bảo quản ở một nơi riêng biệt có các thiết bị hỗ trợ nhằm tránh sự tiếp cận bất hợp pháp của các đối tượng không được phép, hạn chế tối đa rủi ro do hoả hoạn và các tác động gây hại của môi trường xung quanh

Hoạt động kiểm soát vận hành máy tính

Hoạt động này đòi hỏi tất cả các thành viên trong doanh nghiệp phải nắm rõ cách thức vận hành các thiết bị máy tính và phần mềm ứng dụng liên quan thông qua các khoá huấn luyện nội bộ được tổ chức định kỳ bởi đội ngũ chuyên viên của doanh nghiệp hoặc nhà cung cấp Đồng thời, cần có tài liệu mô tả chi tiết cách sử dụng các thiết bị máy tính và phần mềm ứng dụng để vận hành chúng sao cho đạt hiệu suất và hiệu quả cao nhất Bên cạnh đó, cũng cần có những tài liệu hướng dẫn cách khắc phục một số sự cố hay lỗi thường gặp để người sử dụng có thể nhanh chóng tự xử lý nhằm đảm bảo cho hệ thống được vận hành liên tục

Hoạt động kiểm soát yêu cầu thay đổi các thiết lập hệ thống và chương trình ứng dụng cũng cần có cơ chế kiểm soát chặt chẽ các yêu cầu thay đổi thông qua các tài liệu đặc tả về yêu cầu theo mẫu chuẩn và được sự phê chuẩn của những người có trách nhiệm để đảm bảo các yêu cầu này là chính đáng và có thực Ngoài ra, cũng cần chú ý đến việc phải vận hành thử nghiệm các thay đổi để kiểm tra tính đúng đắn của chúng trước khi đưa vào áp dụng chính thức Thêm vào đó, cần phải ghi nhận lại đầy đủ mọi thay đổi này thành tài liệu để lưu trữ, trong đó nêu rõ mục đích của sự thay đổi Điều này có tác dụng giúp cho việc đối chiếu và kiểm chứng được dễ dàng khi có nhu cầu

1.3.2 Hoạt động kiểm soát ứng dụng

Các hoạt động kiểm soát ứng dụng liên quan đến từng ứng dụng cụ thể và được lập trình sẵn bởi nhà sản xuất phần mềm Chúng giúp cho việc ghi nhận thông tin, xử lý thông tin được chính xác và đầy đủ nhằm mục tiêu cung cấp thông tin có độ tin cậy cao cho người sử dụng Nhìn chung, các hoạt động kiểm soát ứng dụng có thể chia thành ba loại sau đây:

Kiểm soát dữ liệu đầu vào

Kiểm soát dữ liệu đầu vào bao gồm kiểm soát nguồn dữ liệu và kiểm soát nhập liệu nhằm đảm bảo tính chính xác của dữ liệu được ghi nhận vào hệ thống Các phần mềm ứng dụng thường được lập trình với những tính năng phục vụ cho việc kiểm tra tính xác thực của dữ liệu được ghi nhận, được thể hiện qua những tính năng sau:

Kiểm tra tính trùng lắp: không thể trùng lắp về số chứng từ của hai

nghiệp vụ cùng loại trong một cơ sở dữ liệu, ví dụ như không thể tồn tại hai phiếu chi có cùng số chứng từ Hay không thể tồn tại song song hai khách hàng có cùng mã số quản lý

Kiểm tra tính bắt buộc: những thông tin quan trọng của nghiệp vụ bắt

buộc phải được ghi nhận mà không thể bỏ qua như số chứng từ, ngày chứng từ, tài khoản…

Kiểm tra tính hiện hữu: nghiệp vụ sẽ bị từ chối ghi nhận nếu không đảm

bảo được tính hiện hữu, chẳng hạn khi làm nghiệp vụ bán hàng, nếu thông tin về một khách hàng nào đó chưa có tồn tại trong danh mục khách hàng thì nhân viên nhập liệu không thể thực hiện được việc ghi nhận và nghiệp vụ bán hàng dĩ nhiên bị từ chối cho đến khi thông tin khách hàng này được bổ sung vào danh mục theo yêu cầu của chương trình

Kiểm tra tính thích hợp: các nghiệp vụ được ghi nhận phải đảm bảo tính

thích hợp tức là thông tin được ghi nhận phải tuân theo quy tắc, quy ước ngầm định cho trước; chẳng hạn không thể nhập ký tự chữ vào trường thông tin được ngầm định là con số

Kiểm tra tính hợp lý: những thông tin không hợp lý cần phải được kiểm

tra và thông báo cho người sử dụng biết như số dư đầu kỳ của tài khoản thể hiện dưới dạng số âm, số dư cuối kỳ của tài khoản tiền có số dư bên Có…

Kiểm tra số liệu tính toán: dữ liệu nhập vào được kiểm tra tính chính xác

của số liệu, ví dụ trường thông tin số tiền hạch toán luôn luôn bằng trường số tiền nguyên tệ gốc nhân cho tỷ giá quy đổi; hay trường thành tiền bán luôn bằng trường số lượng nhân cho trường đơn giá bán…

Kiểm tra tính cân đối: các nghiệp vụ được ghi nhận sẽ được phần mềm

kiểm tra tính cân đối về mặt định khoản Nếu bút toán ghi nhận không cân đối giữa tổng Nợ và tổng Có sẽ bị từ chối ghi nhận

Kiểm soát quy trình xử lý dữ liệu

Quy trình xử lý dữ liệu trên phần mềm cũng là một khâu không kém phần quan trọng Sau khi dữ liệu đầu vào được hệ thống chấp nhận, bước tiếp theo là chúng cần được xử lý và tiến trình xử lý này cần phải được kiểm soát nhằm

đảm bảo độ tin cậy và tính chính xác của các hoạt động xử lý Những hoạt động kiểm soát tiến trình xử lý đòi hỏi:

§ Mọi dữ liệu đã ghi nhận và được hệ thống chấp nhận đều phải được xử lý chính xác và đầy đủ

§ Tất cả các tiến trình xử lý đều phải được thực hiện đầy đủ và hoàn tất § Dữ liệu được ghi nhận phải được cập nhật chính xác vào các tập tin và

cơ sở dữ liệu thích hợp

Có thể thấy rằng, các tiến trình kiểm soát xử lý dữ liệu cũng được thực hiện như phần kiểm soát dữ liệu đầu vào Mặc dù vậy, cũng phải chú ý rằng những sai sót cũng thường hay xảy ra trong quá trình xử lý dữ liệu Những sai sót này có thể bắt nguồn từ:

Sai sót do chương trình: khi chương trình đã được thử nghiệm và đưa vào

sử dụng, sau đó có điều chỉnh bổ sung hay cập nhật chương trình mới nhưng không được thử nghiệm lại hoặc có thử nghiệm nhưng chưa lường hết các khả năng đã dẫn đến những sai sót Ngoài ra các sai sót có thể đã không xảy ra trong khi vận hành thử nghiệm nhưng lại xuất hiện sai sót khi đưa vào ứng dụng thực tế

Sai sót do vận hành:

§ Truy xuất thông tin trên báo cáo bị sai về mặt thời gian, thay vì phải thao tác chọn cả tháng thì chỉ thao tác chọn một ngày nên cho kết quả sai

§ Thiết bị máy tính bị sự cố như máy đang cập nhật dữ liệu vào sổ cái để lên báo cáo thì bị treo máy đột ngột làm cho quá trình xử lý này chưa hoàn tất dẫn đến số liệu được cập nhật không đầy đủ hoặc dữ liệu bị lỗi dẫn đến cho kết quả sai Trong trường hợp này cần phải có động tác xử lý lại để đảm bảo cho quá trình xử lý được trọn vẹn để cung cấp thông tin chính xác

§ Thao tác cập nhật nâng cấp thực hiện không đồng bộ giữa chương trình và dữ liệu đã dẫn đến có sự không tương thích giữa chúng gây ra những lỗi gây dừng hệ thống Hoặc việc nâng cấp không có tài liệu giải thích đầy đủ cho người sử dụng dẫn đến vận hành sai mục đích

Kiểm soát kết quả thông tin đầu ra

Quá trình kiểm soát kết quả thông tin đầu ra cần phải được thực hiện sau cùng nhằm đảm bảo tính đáng tin cậy của các nghiệp vụ đã ghi nhận và đã được hệ thống xử lý Quá trình kiểm soát này có thể bao gồm:

Kiểm soát thông qua chứng từ: cần đối chiếu, kiểm tra báo cáo được in ra

từ chương trình với các chứng từ gốc đã ghi nhận Chẳng hạn, cần phân công cho nhân viên kiểm tra lại báo cáo bán hàng với các hoá đơn gốc

Kiểm soát dữ liệu lưu trữ: dữ liệu lưu trữ cũng cần phải được kiểm soát

1.3.3 Hoạt động kiểm soát dữ liệu

Dữ liệu được ghi nhận trong hệ thống máy tính được lưu trữ dưới dạng các tập tin và hệ quản trị cơ sở dữ liệu Hơn nữa, dữ liệu được xem là đầu ra của hệ thống máy tính, nó là thứ mà con người quan tâm sau một quá trình ghi nhận và xử lý Do đó, cần phải tổ chức các hoạt động kiểm soát thích hợp thông qua các thủ tục kiểm soát chặt chẽ để đảm bảo cho dữ liệu được toàn

vẹn và luôn ở tư thế sẵn sàng cho việc sử dụng Các hoạt động kiểm soát dữ liệu có thể bao gồm:

Kiểm soát hệ thống máy chủ chứa dữ liệu

Đối với máy chủ chứa dữ liệu cần phải được kiểm tra về cấu hình, thường xuyên kiểm tra ổ cứng để duy trì đủ bộ nhớ nhằm đáp ứng cho việc lưu trữ dữ liệu Máy chủ cần phải được trang bị bộ lưu điện để phục vụ cho việc lưu trữ dữ liệu được thực hiện liên tục Đồng thời, máy chủ phải để ở nơi an toàn để tránh sự tiếp cận không được phép và phải phòng chống được rủi ro từ nguồn điện và tác động của môi trường xung quanh Bên cạnh đó, máy chủ cần trang bị thêm ổ cứng phụ để có thể lưu trữ song hành hoặc khi có sự cố hư hỏng là có thể thay thế ngay tức khắc

Kiểm soát việc lưu trữ dữ liệu

Ngoài việc lưu trữ dữ liệu trên ổ cứng của máy chủ, cũng cần có những lưu trữ đồng thời ở những thiết bị khác như USB, đĩa CD, đĩa DVD… để đề phòng bất trắc xảy ra Thêm vào đó, cũng cần thực hiện kiểm tra định kỳ hiệu quả của việc sao lưu dữ liệu thông qua cho thử nghiệm lại dữ liệu được lưu trữ bằng cách chuyển dữ liệu từ trạng thái lưu trữ sang trạng thái sử dụng chính thức để kiểm tra lại dữ liệu xem có còn vận hành được hay không

Kiểm soát đường truyền dữ liệu

Việc lưu trữ dữ liệu còn phụ thuộc vào đường truyền dữ liệu; cho nên cần phải kiểm tra thường xuyên đường truyền để đảm bảo đường truyền dữ liệu luôn ổn định, không bị nghẽn mạch giúp cho việc lưu trữ dữ liệu được diễn ra suôn sẻ

Kiểm soát truy cập dữ liệu

Dữ liệu được lưu trữ phải được giao cho bộ phận chuyên trách theo dõi và

quản lý Bộ phận này cần phải có những biện pháp kiểm soát hữu hiệu để

ngăn cản các hành vi không được phép như đánh cắp dữ liệu, thay đổi dữ liệu hay huỷ hoại số liệu

1.4 ẢNH HƯỞNG CỦA HỆ THỐNG MÁY TÍNH ĐẾN VIỆC THIẾT KẾ CÁC HOẠT ĐỘNG KIỂM SOÁT

Như vậy, việc ứng dụng CNTT với các thành phần kể trên của hệ thống máy tính vào trong công tác xử lý nghiệp vụ kinh tế của các doanh nghiệp đã làm gia tăng độ tin cậy của thông tin được cung cấp, tiết kiệm thời gian, công sức của con người và hạn chế phần nào những sai sót trong tính toán mà hệ thống xử lý thủ công gặp phải Sự kết hợp trong xử lý thông tin giữa phần cứng và phần mềm của hệ thống máy tính đã mang lại những kết quả đáng ghi nhận

Tuy nhiên, không phải vì thế mà độ chính xác của thông tin do hệ thống máy tính đưa ra lúc nào cũng tuyệt đối bởi hệ thống máy tính được cấu tạo rất phức tạp và có rất nhiều những đặc điểm riêng có của nó Những đặc điểm này có ảnh hưởng rõ rệt và chi phối đến hệ thống kiểm soát nội bộ trong doanh nghiệp Điều này góp phần làm cho hoạt động kiểm soát trong môi trường tin học có những đặc điểm khác so với hoạt động kiểm soát trong môi trường thủ công truyền thống Dưới đây là những đặc điểm của hoạt động kiểm soát trong môi trường tin học