NGHIỆP ỨNG DỤNG ERP
3.2.1. Định hướng về nội dung, quy trình và phương pháp kiểm toán nội bộ
Kết quả khảo sát cho thấy đa số các doanh nghiệp không có kiến thức chuyên môn về lĩnh vực công nghệ thông tin, phần vì họ vốn chỉ chú ý vào các hoạt động tác nghiệp, vì thế các rủi ro xuất phát từ hệ thống là rất lớn và không lường trước được. Những rủi ro này lại có nhiều sự khác biệt so với rủi ro trong môi trường xử lý thủ công, nên đòi hỏi kiểm toán viên phải có hiểu biết chính xác về rủi ro trong môi trường ERP nói riêng và môi trường xử lý dữ liệu điện tử nói chung và phải giám sát, xử lý những rủi ro này một cách kịp thời có hiệu quả.
Các rủi ro trong môi trường ERP cần phải được kiểm soát đó là: - Truy cập trái phép đến các thông tin quan trọng
- Thông tin cung cấp không đầy đủ hay không chính xác (rủi ro từ dữ liệu đầu vào và quy trình xử lý)
- Sự cố về kỹ thuật làm cho các hoạt động bị ngưng trệ hay mất dữ liệu
Dựa trên việc đánh giá các rủi ro đặc thù của môi trường ERP, KTVNB nên tập trung vào các công việc sau:
3.2.1.1. Kiểm toán vận hành và độ an toàn bảo mật của cơ sở hạ tầng công nghệ thông tin tại đơn vị
a. Đánh giá văn bản hướng dẫn vận hành:
Ở giai đoạn đầu, doanh nghiệp phải chuẩn bị cho việc biên soạn sổ tay hướng dẫn các bước hoạt động và đào tại đối với những người vận hành mới. Đây là công việc quan trọng vì họ sẽ là người vận hành hệ thống và kiểm toán viên phải quan tâm tới bước công việc này để khẳng định sự phù hợp trong mục tiêu triển khai ERP và thực hiện.
b. Kiểm toán chính sách an toàn và bảo mật thông tin và công tác phổ biến chính sách trong toàn doanh nghiệp:
Thông tin là một trong những tài sản quan trọng, quý giá đối với tổ chức doanh nhiệp. Những rủi ro đối với các thông tin như bị lộ, bị thay đổi, bị mất mát, bị từ chối đều ảnh hưởng nghiêm trọng đến hoạt động, đến uy tín, đến chiến lược của tổ chức, doanh nghiệp. Trong môi trường xử lý dữ liệu phụ thuộc nhiều vào máy tính, vào hạ tầng mạng thì làm tốt công tác an ninh thông tin giúp doanh nghiệp bảo mật được các thông tin, chiến lược đồng thời giúp nhà quản lý tin tưởng hơn vào các số liệu, thông tin được cung cấp từ phần mềm.
Tại Việt Nam, hầu như các doanh nghiệp cũng đều đã xây dựng các giải pháp nhằm đảm bảo an toàn hệ thống như trang bị hệ thống tường lửa (Firewall), hệ thống chống xâm nhập (IPS), hệ thống phòng chống virus (Antivirus),… Tuy nhiên, tất cả chỉ đơn thuần là giải pháp công nghệ, còn các yếu tố khác như con người, qui trình, tiêu chuẩn quốc tế chưa được chú trọng. Các yếu tố đó chưa tốt và chưa gắn kết, chưa được giám sát bởi còn thiếu một yếu tố rất quan trọng, đó là chính sách bảo mật thông tin.
Chính sách bảo mật là tài liệu cấp cao đặc thù, tập hợp các luật đặc biệt của tổ chức, doanh nghiệp như những yêu cầu, quy định mà những người của tổ chức,
doanh nghiệp đó phải thực hiện để đạt được các mục tiêu về an toàn thông tin. Chính sách bảo mật sẽ được người đứng đầu tổ chức doanh nghiệp phê chuẩn và ban hành thực hiện. Đây sẽ là tiền đề để doanh nghiệp xây dựng các giải pháp bảo mật, xây dựng những quy trình đảm bảo an toàn hệ thống, đưa ra các hướng dẫn thực hiện, gắn kết yếu tố con người, quản trị, công nghệ để thực hiện mục tiêu an toàn hệ thống. Đồng thời chính sách bảo mật cũng đưa ra nhận thức về an toàn thông tin, gán trách nhiệm về an toàn cho các thành viên của tổ chức doanh nghiệp, từ đó đảm bảo hệ thống được vận hành đúng quy trình, an toàn hơn.
c. Đánh giá thực tế việc phân chia nhiệm vụ các bộ phận trong doanh nghiệp:
Công tác đánh giá này nhằm đảm bảo kiểm soát hiệu quả, bao gồm:
- Sự phân chia nhiệm vụ giữa các bộ phận trên thực tế có đúng với thiết kế và mục tiêu kiểm soát ban đầu hay không. Nếu có, đánh giá mức độ kiêm nhiệm và ảnh hưởng đến mức độ tin cậy của các thông tin cung cấp từ phần mềm. Sự phân chia này phải đảm bảo sự tách biệt giữa bộ phận sử dụng, bộ phận máy tính, bộ phận sử dụng dữ liệu để đảm bảo khả năng chế biến, xử lý sai lệch các nghiệp vụ; hay sự tách biệt giữa nhân viên phân tích, nhân viên lập trình và nhân viên điều hành nhằm hạn chế sự hiểu biết đầy đủ và toàn diện về hệ thống bởi một người hoặc một nhóm nhỏ có thể dẫn đến việc sử dụng các thủ thuật xử lý sai lệch dữ liệu.
- Đánh giá kiểm soát truy cập hệ thống. Hệ thống cho phép KTVNB hay bộ phận chức năng truy cập và kết xuất thông tin đối tượng truy cập vào hệ thống, phân hệ ứng dụng và quyền tương ứng. Công việc này nhằm đảm bảo chỉ những người có thẩm quyền mới có quyền truy cập vào hệ thống dữ liệu xem và thay đổi dưới một mức độ nhất định. Phạm vi truy cập có thể bị giới hạn từ “Không truy cập”, tới “Chỉ được phép đọc”, “Đọc và bổ sung dữ liệu mới”, “Đọc và sửa đổi”, và đến “Đọc và xóa”. Bên cạnh đó, kiểm tra việc ngăn chặn các truy cập từ bên ngoài vào hệ thống của đơn vị dựa trên các
quy định, quy trình đã ban hành cũng như các chuẩn, quy tắc bảo vệ truy cập chung, đảm bảo phần mềm kiểm soát truy cập tại đơn vị hoạt động có hiệu quả, ngăn chặn những truy cập trái phép.
- Đánh giá quy định về đặt mật khẩu: Tạo user và mật khẩu là bước đầu tiên thâm nhập vào hệ thống. Trong khi user thường là mặc định và được quy định một kiểu tạo thống nhất do bộ phận IT hoặc người được cấp quyền quản lý hệ thống tạo nên, thì mật khẩu do người dùng khởi tạo. Vì thế việc đánh giá này nhằm đảm bảo ngăn chặn khả năng truy cập trái phép.
Cách đặt mật khẩu cũng cần được chú ý xây dựng theo các nguyên tắc sau:
Cần quy định chiều dài tối thiểu của mật khẩu; ít nhất phải là tám ký tự mà trong đó có ký tự đặc biệt, sử dụng cả chữ hoa lẫn chữ thường hoặc kết hợp giữa ký tự chữ với ký tự số để đảm bảo an toàn cho mật khẩu.
Khi đặt mật khẩu cần tránh lấy tên người thân, tránh lấy ngày tháng năm sinh, số điện thoại để đặt mật khẩu nhằm tránh việc dò ra mật khẩu một cách nhanh chóng.
Cần quy định thời hạn hết hạn của mật khẩu và yêu cầu phải thay đổi mật khẩu thường xuyên để tránh bị phát hiện. Và nếu người sử dụng máy tính không thay đổi mật khẩu theo yêu cầu của hạn định sẽ bị khoá quyền truy cập vào hệ thống và chỉ khi nào được người quản trị kích hoạt trở lại mới được sử dụng tiếp.
Cần thiết lập giới hạn số lần tối đa cho việc nhập sai mật khẩu, chẳng hạn khi nhập sai mật khẩu ba lần sẽ khoá luôn quyền truy cập cho dù lần thứ tư có nhập đúng mật khẩu đi nữa. Và cũng như trên, chỉ khi nào người quản trị máy tính kích hoạt trở lại thì sự truy cập mới trở lại bình thường. - Đảm bảo cơ sở dữ liệu không được truy cập trực tiếp. Việc sửa chữa, thay
đổi thông tin trong cơ sở dữ liệu phải được thực hiện bằng các công cụ và chương trình, theo đúng quy trình nghiệp vụ và quy định của người có thẩm quyền. Việc truy cập phải được thiết lập nhật ký và ghi lại đầy đủ các thông
tin sau: lần truy cập vào cơ sở dữ liệu, những công việc liên quan đến sửa chữa, thay đổi thông tin trong cơ sở dữ liệu.
- Tăng cường kiểm toán bảo mật dữ liệu. Máy tính và công nghệ mạng để kích hoạt phạm vi rộng nhất của thông tin kế toán được chia sẻ giữa những người sử dụng thông tin, nhưng điều này được dựa trên một truy cập phổ biến để bảo mật dữ liệu. Khi công nghệ máy tính và tác động của con người, sẽ làm tăng nguy cơ của mạng lưới thông tin, đặc biệt là môi trường dựa trên thông tin, dữ liệu thường được sử dụng trong dữ liệu điện tử, dữ liệu điện tử một cách dễ dàng đã không có "dấu vết" sửa đổi và giả mạo, do đó, kiểm toán thông tin có độ tin cậy giảm , trong khi các bằng chứng kiểm toán trong Shiyou mạng truyền dẫn dễ bị đánh chặn hoặc thay thế, do đó, các bằng chứng về tính xác thực bị đe dọa. Vì vậy, chúng ta phải chủ động thực hiện kiểm toán bảo mật dữ liệu, và như là một khía cạnh quan trọng của KTNB để kiểm toán môi trường ERP.