Hệ thống thông tin là một phần quan trọng không thể thiếu của KSNB. Tổ chức hệ thống thông tin tốt sẽ góp phần không nhỏ trong công tác tổ chức một hệ thống KSNB tốt. Ngày này, trong bối cảnh nền kinh tế tri thức và hiện đại, hệ thống thông tin có sự tham gia của công nghệ thông tin (CNTT) đã và đang được triển khai trong nhiều doanh nghiệp. Các doanh nghiệp có thể áp dụng các mô hình hệ thống thông tin khác nhau tùy thuộc vào mục đích, quy mô và điều kiện hoạt động của doanh nghiệp mình như hệ thống thông tin kế toán, hệ thống quản lý quan hệ khách hàng, hệ thống hoạch định tài nguyên doanh nghiệp... Tuy nhiên, dù được tổ chức như thế nào đi nữa,
thì để có một hệ thống thông tin tốt thì cần phải đi đôi với việc xây dựng một phương pháp quản trị chiến lược cho CNTT để nâng cao tiêu chuẩn quản trị CNTT cho doanh nghiệp. Có nhiều phương pháp quản trị hệ thống thông tin trong doanh nghiệp, nhưng người viết xin được đề cấp đến phương pháp được phát huy từ nền móng COSO, đó là COBIT (Các mục tiêu kiểm soát trong công nghệ thông tin và các kỹ thuật liên quan).
Nền tảng COBIT được xây dựng với ba thành phần cơ bản là: nguồn tài nguyên CNTT, yêu cầu nghiệp vụ và quy trình CNTT và được chia ra thành 4 miền phạm vi chính: Hoạch định và tổ chức, tiến trình và ra quyết định, triển khai và hỗ trợ, và cuối cùng là giám sát và theo dõi. Nội dung của COBIT khá rộng và ở đây người viết xin được trình bày phần liên quan đến nội dung của của đề tài, đó là “Giám sát và đánh giá kiểm soát nội bộ” của CNTT để giúp doanh nghiệp có một chương trình kiểm soát cho hệ thống thông tin hiệu quả hơn.
“Giám sát và đánh giá kiểm soát nội bộ” chính là thiết lập một chương trình kiểm soát nội bộ hiệu quả cho CNTT. Điều này đòi hỏi phải có một quy trình giám sát cực tốt. Quy trình này bao gồm việc giám sát và báo cáo các yếu kém của kiểm soát, các kết quả tự đánh giá và các nhận xét từ bên thứ ba. Việc giám sát kiểm soát nội bộ này sẽ đảm bảo được sự hữu hiệu và hiệu quả của hoạt động cũng như việc tuân thủ với các quy định và pháp luật liên quan của doanh nghiệp.
Để việc giám sát CNTT được tốt, cần tập trung vào việc giám sát các quá trình kiểm soát nội bộ CNTT và các hoạt động liên quan, đồng thời tìm ra các biện pháp cải thiện. Các công việc đó bao gồm:
-Xác định một hệ thống KSNB trong việc xử lý CNTT.
-Giám sát và báo cáo về các hiệu quả của KSNB liên quan đến CNTT. -Báo cáo các yếu kém về kiểm soát cho nhà quản lý để nhà quản lý thực thi. Thông qua:
-Số lần khắc phục.
-Số lần tự đánh giá về kiểm soát và mức độ tự đánh giá kiểm soát. Nói chung, hoạt động giám sát và đánh giá KSNB của CNTT bao gồm:
-Giám sát khuôn khổ KSNB: liên tục giám sát, kiểm tra so sánh và cải thiện môi trường kiểm soát CNTT và khuôn khổ kiểm soát để đáp ứng các mục tiêu của tổ chức.
-Xem xét lại việc giám sát: giám sát và theo dõi sự hữu hiệu và hiệu quả của việc kiểm soát quản lý CNTT nội bộ.
-Xác định các yếu kém trong kiểm soát, phân tích và xác định nguyên nhân và báo cáo cho các bên liên quan thích hợp. Xây dựng các hoạt động khắc phục cần thiết.
-Tự đánh giá kiểm soát: đánh giá tính đầy đủ và hiệu quả của việc kiểm soát quy trình CNTT của nhà quản lý, các chính sách và hợp đồng thông qua một chương trình tự đánh giá liên tục.
-Đảm bảo kiểm soát nội bộ: thu thập các đảm bảo sâu hơn về tính đầy đủ và hiệu quả của kiểm soát nội bộ thông qua sự xem xét của bên thứ ba, nếu cần.
-Kiểm soát nội bộ từ bên thứ ba: đánh giá tình trạng kiểm soát nội bộ từ nhà cung cấp dịch vụ bên ngoài. Xác nhận bên thứ ba tuân thủ các yêu cầu theo luật định và điều khoản trên hợp đồng.
-Xác định, tìm nguyên nhân và áp dụng các biện pháp khắc phục phát sinh từ các đánh giá và báo cáo về kiểm soát.