7. Kết luận
2.1.3 Kiểm soát hệ thống thông tin kế toán
2.1.3.1 Kiểm soát nội bộ
Hệ thống thông tin kế toán cung cấp thông tin cho cả bên trong lẫn bên ngoài của một tổ chức. Người sử dụng thông tin dựa vào sự chính xác và trung thực của các thông tin trên các báo cáo để ra quyết định. Các tổ chức phải có chính sách và các thủ tục kiểm soát nội bộ thích hợp để duy trì việc cung cấp thông tin chính xác và trung thực. Các chính sách và các thủ tục là một phần của toàn bộ hệ thống kiểm soát nội bộ. [1,69]
Kiểm soát nội bộ hay còn được gọi là hệ thống kiểm soát nội bộ hay cơ cấu kiểm soát nội bộ. Theo COSO, Kiểm soát nội bộ là một quá trình chịu ảnh hưởng bởi các nhà quản lý và các nhân viên của một tổ chức, được thiết kế để cung cấp một sự đảm bảo hợp lý nhằm thực hiện các mục tiêu sau: [1,69]
Xuất hàng Đặt hàng Phản hồi hàng tồn kho Hỏi hàng tồn kho Hàng xuất Khách hàng Kho hàng Kế toán phải thu Hóa đơn bán hàng Chu trình bán hàng Hóa đơn bán hàng Hoạtđộng xử lý Dòng dữ liệu Đốitượng bên ngoài hệ thống (điểmđầu, kết thúc) Lưu trữ dữ liệu
o Hoạt động hữu hiệu và hiệu quả. o Thông tin đáng tin cậy.
o Sự tuân thủ các luật lệ và quy định.
Hệ thống kiểm soát nội bộ bao gồm 5 bộ phận:
- Môi trường kiểm soát: phản ánh sắc thái chung của một tổ chức, chi phối ý thức về kiểm soát của mọi thành viên trong tổ chức và là nền tảng của các bộ phận khác của kiểm soát nội bộ. Môi trường kiểm soát bao gồm nhận thức thái độ và hành động của người quản lý trong tổ chức đối với kiểm soát và tầm quan trọng của kiểm soát. Các nhân tố chủ yếu để đánh giá môi trường kiểm soát:
o Triết lý quản lý và phong cách hoạt động. o Sự trung thực và các giá trị đạo đức. o Chính sách nhân sự.
o Cơ cấu tổ chức.
o Hội đồng quản trị và ban kiểm soát.
o Trình độ và phẩm chất đội ngũ cán bộ nhân viên
o Cách thức phân định quyền hạn và trách nhiệm o Các nhân tố bên ngoài tổ chức
- Đánh giá rủi ro: các rủi ro làm cho mục tiêu của tổ chức có thể không đạt được. Các rủi ro xảy ra do rất nhiều nguyên nhân đến từ cả bên ngoài lẫn bên trong tổ chức, rủi ro có thể là rủi ro chủ quan hay khách quan. Nhà quản lý phải quyết định rủi ro nào là có thể chấp nhận và phải làm gì để quản lý rủi ro. Để làm được điều này, người quản lý của tổ chức cần thực hiện các công tác sau:
o Thiết lập các mục tiêu của tổ chức. o Nhận dạng, phân tích rủi ro.
- Các hoạt động kiểm soát: là những chính sách, thủ tục giúp cho việc thực hiện các chỉ đạo của người quản lý, đảm bảo có các hành động cần thiết để quản lý các rủi ro có thể phát sinh trong quá trình thực hiện các mục tiêu. Các hoạt động kiểm soát thường bao gồm:
o Phân chia trách nhiệm đầy đủ.
o Kiểm soát hệ thống và quá trình xử lý thông tin. o Kiểm tra độc lập và soát xét vệc thực hiện. o Thiết kế, sử dụng các chứng từ và sổ phù hợp. o Đảm bảo an toàn cho tài sản vật chất và thông tin.
- Thông tin và truyền thông: tất cả các cấp quản lý và tác nghiệp trong một tổ chức đều cần thông tin để có thể hoàn thành trách nhiệm của mình. Hệ thống thông tin nhận dạng, ghi nhận, xử lý và cung cấp các thông tin cần thiết cho người sử dụng thông tin. Thông tin và truyền thông đảm bảo cho kiểm soát có thể được thực hiện một cách hiệu quả, và ngược lại, kiểm soát tốt sẽ đảm bảo sự an toàn và trung thực của thông tin.
- Giám sát: là một quá trình đánh giá chất lượng thực hiện kiểm soát nội bộ một cách liên tục, giúp cho kiểm soát nội bộ luôn duy trì được sự hữu hiệu của mình qua các giai đoạn khác nhau. Tổ chức của một tổ chức thay đổi, phương thức kiểm soát của nó cũng thay đổi theo. Trong điều kiện này, giám sát giúp cho các nhà quản lý xác định hệ thống cần thay đổi những gì, đánh giá các thiết kế và các hoạt động kiểm soát, và thực hiện các hoạt động điều chỉnh cần thiết.
* Các nguy cơ đối với dữ liệu kế toán [1,78]
Dữ liệu kế toán có thể bị sai lệch do sai sót, gian lận hay vi phạm pháp luật. Sai sót có thể do vô tình, nhưng vi phạm pháp luật là do gian lận hay tham ô tài sản… Ban quản lý cần phải xây dựng các chính sách và thủ tục kiểm soát nội bộ để phát hiện và ngăn chặn điều này.
o Sai sót: sai sót có thể là do không cẩn thận hay có thể do thiếu kiến thức.
o Gian lận: có hai dạng gian lận:
Gian lận quản lý: nhân viên quản lý có thể cố ý làm sai thong tin tài chính như báo cáo lợi nhuận cao hơn để tăng them tiền thưởng cho cá nhân hay tăng giá cổ phiếu mà họ đang nắm giữ.
Tham ô - biển thủ: tài sản của tổ chức có thể lấy đi một cách bất hợp pháp vì mục đích các nhân.
2.1.3.2 Kiểm soát hệ thống thông tin kế toán
a) Phân loại kiểm soát hệ thống [1,81] - Phân loại kiểm soát theo mục tiêu:
o Kiểm soát ngăn chặn. Kiểm soát ngăn chặn là nhằm đề phòng sai sót và gian lận, ngăn chặn các điều kiện dẫn đến sai sót và gian lận. Kiểm soát ngăn chặn được thực hiện trước khi nghiệp vụ xảy ra và được tiến hành ngay trong công việc hàng ngày của nhân viên. Việc sử dụng phương pháp ghi sổ kép là một trong những biện pháp kiểm soát ngăn chặn.
o Kiểm soát phát hiện. Quá trình kiểm soát phát hiện nhằm nhận ra sai sót hay gian lận hoặc phát hiện các điều kiện dẫn đến sai sót, gian lận. Kiểm soát phát hiện được tiến hành sau khi nghiệp vụ đã xảy ra. o Kiểm soát sửa sai. Đây là quá trình sữa chữa các sai sót, sữa chữa một sự yếu kém của một thủ tục kiểm soát bằng một thủ tục kiểm soát khác. Thông thường kiểm soát phát hiện luôn luôn đi kèm với kiểm soát sửa sai. Do đó kế toán đôi khi khó phân biệt sự khác nhau này. - Phân loại kiểm soát theo phạm vi:
o Kiểm soát chung. Các chính sách, biện pháp thực hiện nhằm ngăn chặn và phát hiện sai sót và gian lận trong toàn bộ hệ thống thông tin kế toán là kiểm soát chung. Kiểm soát chung ảnh hưởng đến tấ cả chu trình kế toán và tất cả hệ thống ứng dụng trong mỗi chu trình kế toán.
o Kiểm soát ứng dụng. Kiểm soát ứng dụng là các chính sách, biện pháp thực hiện kiểm soát chỉ ảnh hưởng đến một hệ thống ứng dụng cụ thể, ví dụ như hệ thống thu tiền, hệ thống hàng tồn kho.
b) Các gian lận trong môi trường kế toán xử lý bằng máy [1,86]
Để thiết kế các thủ tục kiểm soát một cách hiệu quả, ngoài dánh giá các rủi ro chúng ta cần xác định thành phần và các kỹ thuật sử dụng để thực hiện các gian lận.
Trong bất cứ môi trường nào (xử lý bằng tay hay xử lý bằng máy), gian lận nào cũng gồm ba thành phần: ăn cắp tài sản, chuyển đổi các tài sản ăn cắp thành tiền và che giấu việc ăn cắp bằng các ghi chép giả mạo trên sổ kế toán hoặc các báo cáo.
Trong môi trường xử lý bằng máy, ngoài các gian lận thường xảy ra như trong môi trường xử lý bằng tay, người ta còn sử dụng máy tính và các kỹ thuật đặc thù của nó để thực hiện các gian lận. Các kiểu gian lận thường xảy ra: cố tình nhập sai dữ liệu, phá hủy các máy tính chứa dữ liệu và chương trình quan trọng; Ăn cắp thông tin thông qua việc truy cập bất hợp pháp máy tính hoặc mạng máy tính; Sử dụng máy tính như một công cụ để tạo một hệ thống
sổ sách song song khác cho mục đích gian lận tài chính; và sử dụng máy tính để lừa dối ví dụ như tạo một trung tâm dữ liệu giả.
c) Kiểm soát chung trong hệ thống kế toán bằng máy [1,88-96]
Kiểm soát hệ thống thông tin bao gồm kiểm soát chung và kiểm soát ứng dụng. Kiểm soát chung là các hoạt động kiểm soát liên quan tới toàn bộ hệ thống xử lý, và như vậy ảnh hưởng tới tất cả các hệ thống ứng dụng xử lý nghệp vụ. Kiểm soát ứng dụng là kiểm soát liên quan tới hoạt động xử lý thông tin của một ứng dụng xử lý kế toán nhất định. Kiểm soát chung là môi trường ảnh hưởng tới kiểm soát ứng dụng. Khi trình bày các kiểm soát chung hệ thống thông tin, chúng ta chỉ quan tâm tới những thủ tục để kiểm soát những rủi ro mới phát sinh do đặc điểm riêng của môi trường xử lý thông tin bằng điện tử. Các kiểm soát khác vẫn phải duy trì như trong môi trường xử lý bằng tay.
Kiểm soát chung được thiết lập nhằm đảm bảo toàn bộ hệ thống thông tin trên máy tính được ổn định và được quản trị tốt. Thông thường các nhóm thủ tục kiểm soát chung như sau:
o Xác lập kế hoạch an ninh: một trong những rủi ro của các hệ thống máy tính thường gặp phải là do không được giám sát một cách đầy đủ về kiểm soát và an ninh. Nhiều doanh nghiệp thường không có một kế hoạch an ninh hữu hiệu để đảm bảo tính an toàn và trung thực cho hệ thống thong tin kế toán. Xác lập và cập nhật thường xuyên một kế hoạch an ninh toàn diện là một trong những thủ tục kiểm soat chung quan trọng nhất mà một tổ chức có thể thực hiện. Phương thức cơ bản và đơn giản nhất để xác lập một kế hoạch an ninh là xác định ai là người cần những thông tin gì,khi nào thì cần thông tin đó và thông tin đó do hệ thống nào cung cấp. Điều này giúp chúng ta xác định được các rủi ro, sai phạm, gian lận đối với thông tin và chọn lựa một phương thức đảm bảo an ninh hệ thống có hiệu quả nhất.
o Phân chia trách nhiệm trong các chức năng của hệ thống: đặc trưng của một hệ thống thông tin kế toán trong môi trường máy tính là tính tích hợp cao, do đó, các thủ tục cần được thực hiện bởi các cá nhân riêng biệt có thể được kết hợp trong chức năng của một cá nhân. Điều này dẫn đến khả năng một cá nhân không bị giới hạn quyền truy cập đến máy tính, chương trình và dữ liệu sẽ có cơ hội gian lận rất lớn. Do đó, cần phải phân chia trách nhiệm trong các chức năng của hệ thống một cách đầy đủ. Quyền và trách nhiệm cần được phân chia một cách rạch ròi giữa các chức năng sau: chức năng phân tích hệ thống, chức năng lập
trình, vận hành hệ thống máy tính, người dùng hệ thống, thư viện dữ liệu của hệ thống thông tin kế toán, kiểm soát dữ liệu. Một cá nhân thực hiện hai hay nhiều hơn trong số các chức năng trên sẽ có nhiều cơ hội để thực hiện các hành vi gian lận, hay có thể bỏ qua các sai sót.
o Kiểm soát dự án phát triển hệ thống: chi phí phát triển hệ thống sẽ bị lãng phí nếu dự án phát triển hệ thống không được kiểm soát. Kiểm soát dự án phát triển hệ thống sẽ đảm bảo thời gian phát triển hệ thống hợp lý, giảm thiểu chi phí và đảm bảo tính hữu hiệu, hiệu quả của hệ thống thông tin kế toán mới. Kiểm soát dự án phát triển hệ thống bao gồm các thủ tục sau: kế hoạch chủ đạo chiến lược, kế hoạch phát triển dự án, lịch trình xử lý dữ liệu, quy định trách nhiệm, đánh giá thực hiện dự án định kỳ, đánh giá việc thực hiện chuyển đổi, đo lường việc thực hiện hệ thống.
o Kiểm soát thâm nhập về mặt vật lý: thâm nhập về mặt vật lý là các hành vi sử dụng máy tính hay các thiết bị phần cứng khác. Máy tính có thể bị mất hay bị thay thế các linh kiện, dẫn đến các tổn hại vật chất cho tổ chức và làm cho hệ thống không vận hành theo thiết kế. Cần lưu ý xây dựng các thủ tục sau:
Trang bị phần cứng, máy tính, cần phải đặt trong các phòng được khóa, bảo vệ, được giám sát sử dụng và chỉ có người có trách nhiệm, được cấp quyền mới được sử dụng.
Cần có các thiết bị giám sát và cảnh báo.
Giới hạn sử dụng các phương tiện có thể hỗ trợ máy tính truy cập từ xa.
Huấn luyện đầy đủ cho người dung bao gồm cả huấn luyện sử dụng, vận hành, phòng chống virut máy tính…
Sử dụng các phần mềm và các giải pháp bảo mật, các giải pháp an ninh mạng máy tính.
Thông tin thường xuyên và đầy đủ về an ninh và ý thức bảo vệ an ninh trong việc sử dụng máy tính và mạng máy tính.
Tăng cường các hoạt động giám sát việc sử dụng máy tính. Sử dụng các chuyên gia nhằm phát hiện các lỗ hỏng bảo mật của
hệ thống.
o Kiểm soát truy cập hệ thống: là việc giới hạn quyền truy cập hệ thống đối với từng người dùng. Người dùng chỉ được truy cập đến các hệ thống, các dữ liệu liên quan đến chức năng, nhiệm vụ mà họ đã được cấp quyền sử dụng. Kiểm soát truy cập hệ thống bao gồm kiểm soát truy cập - sử dụng hệ thống, kiểm soát truy cập dữ liệu và kiểm tra tính tương thích chức năng.
o Kiểm soát lưu trữ dữ liệu: bao gồm các thủ tục kiểm soát thiết bị lưu trữ, kiểm soát sao lưu dự phòng dữ liệu trong các hệ thống xử lý theo lô, hệ thống xử lý trực tuyến theo thời gian thực hay trong các hệ thống có sử dụng mạng nội bộ.
o Kiểm soát truyền tải dữ liệu: trong quá trình truyền tải dữ liệu, có rất nhiều nguy cơ dẫn đến rủi ro. Các doanh nghiệp, các tổ chức phải giám sát thường xuyên mạng máy tính nhằm phát hiện những điểm yếu về an ninh mạng, tăng cường các thủ tục bảo trình và sao lưu số liệu,… nhằm giảm thiểu các nguy cơ và các rủi ro đó. Kiểm soát truyền tải dữ liệu có thể được thực hiện thông qua các biện pháp như mã hóa dữ liệu, kiểm tra đường truyền, kiểm tra chẵn lẽ và các biện pháp sử dụng phần mềm an ninh trên mạng khác.
o Chuẩn hóa tài liệu hệ thống: tài liệu hệ thống cần được chuẩn hóa, phân loại và lưu trữ nhằm phục vụ cho yêu cầu thẩm định, xem xét, đánh giá hệ thống thông tin kế toán. Các tài liệu này còn được sử dụng để cập nhật, bảo trì hay tái phát triển hệ thống. Tài liệu hệ thống bao gồm các nhóm sau: tài liệu quản trị, tài liệu ứng dụng, tài liệu vận dụng hệ thống. o Giảm thiểu thời gian chết của hệ thống: các sự cố về điện hay các rủi ro khác có thể làm cho hệ thống tạm ngưng hoạt động. Điều này có thể ảnh hưởng đến dữ liệu, chương trình hay làm giảm tuổi thọ của trang thiết bị. Dođó, cần kiểm tra, thay thế các thiết bị đã hết hạn sử dụng hay sắp hư hỏng, sử dụng bộ lưu điện để có thể cung cấp nguồn cho hệ thống hoạt động đủ thời gian để sao lưu khi có sự cố về điện…
o Dấu vết kiểm toán: việc tạo ra các dấu vết kiểm toán có thể thực hiện thông qua các biện pháp sau: hạn chế việc chỉnh sửa dữ liệu trực tiếp, tự động ghi nhận các hành vi truy cập hệ thống…
o Các kế hoạch phục hồi sau thiệt hại: hoạt động của một tổ chức có thể gặp phải các thiệt hại do cháy, nổ, lũ lụt… Khi xảy ra các trường hợp