BAN HÀNH CHÍNH SÁCH AN TOÀN VÀ BẢO MẬT THÔNG TIN,

Một phần của tài liệu Giải pháp xây dựng các hoạt động kiểm soát trong môi trường tin học cho các Doanh nghiệp (Trang 125 - 152)

TIN, HOÀN THIỆN VAI TRÒ CỦA KIỂM TOÁN NỘI BỘ TRONG

ĐIỀU KIỆN ỨNG DỤNG CNTT VÀO TRONG CÔNG TÁC QUẢN

Các doanh nghiệp cần ban hành chính sách an toàn và bảo mật thông tin có liên hệ với việc ứng dụng CNTT vào trong công tác quản lý. Đồng thời, phổ biến chủ trương của chính sách đến toàn bộ mọi thành viên trong tổ chức để họ thấy được tầm quan trọng và ý nghĩa của việc thực thi chính sách. Từ đó nâng cao ý thức của mỗi người về việc bảo vệ tài sản thông tin của tổ chức, tăng cường các hoạt động kiểm soát việc xử lý thông tin trên hệ thống máy tính của doanh nghiệp trước các mối đe doạ ngày càng gia tăng từ nhiều phía.

Những doanh nghiệp nào chưa có bộ phận kiểm toán nội bộ thì cần sớm tổ chức ra bộ phận này, còn những doanh nghiệp nào đã có thì cần mở rộng hơn nữa phạm vi chức năng của bộ phận này. Điều này có nghĩa là; bộ phận kiểm toán nội bộ phải tham gia vào việc tư vấn, thiết kế ra các thủ tục kiểm soát tương ứng cho tất cả các hoạt động của mỗi bộ phận trong điều kiện tin học hoá.

Bên cạnh đó; định kỳ bộ phận kiểm toán nội bộ phải đôn đốc, kiểm tra, giám sát và tổ chức đánh giá việc thực thi chính sách an toàn và bảo mật thông tin của các bộ phận để điều chỉnh kịp thời những vướng mắc trong quá trình thực hiện và hoàn thiện hơn nữa các thủ tục kiểm soát diễn ra trong môi trường tin học.

Kết luận chương 3

Đối với một tổ chức, trong điều kiện ứng dụng CNTT thì kiểm soát thông tin là nhiệm vụ vô cùng quan trọng cần phải nghiêm túc thực hiện. Bảo vệ tài sản thông tin của tổ chức là bảo vệ cho chính sự tồn tại và phát triển của mọi thành viên trong tổ chức. Do vậy, bản thân mỗi tổ chức cần phải xây dựng cho mình một hệ thống kiểm soát phù hợp theo đặc điểm hoạt động của tổ chức. Trong đó, ứng với mỗi hoạt động kiểm soát, cần có sự thiết lập những thủ tục kiểm soát tương ứng thật chi tiết sao cho có thể thực thi dễ dàng, thuận tiện và giải quyết tận gốc từng vấn đề cụ thể.

Ngoài ra, để đảm bảo cho hệ thống kiểm soát nội bộ của tổ chức được vận hành trơn tru cũng cần thiết phải tổ chức ra bộ phận kiểm toán nội bộ với những con người trung thực, tận tâm và có chuyên môn để giám sát toàn bộ mọi hoạt động của hệ thống. Từng thành viên trong tổ chức phải hiểu được rằng ngoài công việc chuyên môn thì vai trò giám sát các hoạt động liên quan cũng phải được coi là nhiệm vụ. Người đứng đầu mỗi bộ phận sẽ giữ vai trò giám sát nội bộ và chịu hoàn toàn trách nhiệm đối với mọi hoạt động trong bộ phận của mình. Nấc thang kiểm soát kế tiếp sẽ do bộ phận kiểm toán nội bộ đảm nhiệm, tức là bộ phận này sẽ giám sát và đánh giá lại các hoạt động diễn ra tại các bộ phận chức năng.

Vì thế trong một tương lai không xa, các tổ chức cần từng bước hướng đến hoàn thiện hệ thống kiểm soát nội bộ đầy đủ và hữu hiệu hơn với nhiều hoạt động khác nhau như đã đề cập để bảo vệ tài sản thông tin của mình nhằm đảm bảo thực thi các mục tiêu đã đề ra.

KẾT LUẬN

Như vậy, với sự phát triển ngày càng lớn mạnh của CNTT đã giúp cho các lĩnh vực khác cũng không ngừng phát triển theo. Việc từng bước đầu tư cho hệ thống máy tính ngày một hiện đại với công nghệ ngày càng cao đã cho thấy các doanh nghiệp ở Việt Nam đã từng bước nhận thức về tầm quan trọng của việc ứng dụng CNTT vào trong hoạt động kinh doanh của mình.

Điều này cũng chứng tỏ các doanh nghiệp Việt Nam đang ngày càng hiện đại hơn và chuyên nghiệp hơn. Song để có thể tồn tại và phát triển bền vững trong giai đoạn hội nhập và hội tụ ngày nay, các doanh nghiệp cần phải cảnh giác cao độ với những tác nhân gây hại liên quan đến CNTT từ bên trong lẫn bên ngoài doanh nghiệp. Những tác nhân này đã tạo ra rất nhiều rủi ro tiềm ẩn sẵn sàng đe doạ đến hệ thống thông tin của doanh nghiệp. Vậy làm thế nào để tài sản thông tin của doanh nghiệp được bảo vệ trong điều kiện tốt nhất.

Từ đây cho thấy, việc tìm hiểu về cấu tạo máy tính, phần mềm và mạng máy tính là rất cần thiết. Chính điều này sẽ giúp cho các doanh nghiệp hiểu rõ về vai trò và tầm ảnh hưởng của hệ thống máy tính đến các hoạt động kiểm soát nội bộ trong môi trường tin học. Từ đó, họ sẽ dễ dàng nhận biết được những rủi ro đe doạ đối với tài sản thông tin của mình đến từ đâu và cần phải làm gì để phòng chống những rủi ro đó. Với những giải pháp cùng những quan điểm đúng đắn đã được giới thiệu ở những phần trên, hy vọng rằng các doanh nghiệp sẽ có thể tự thiết kế cho mình một hệ thống kiểm soát nội bộ hữu hiệu nhất và phù hợp nhất với hoạt động của mình để bảo vệ tài sản thông tin của doanh nghiệp nhằm đạt được các mục tiêu mà doanh nghiệp đã đề ra.

Tóm lại, với việc kết nối mạng ngày càng trở nên phổ biến và với số lượng người dùng máy tính không ngừng tăng lên theo thời gian, thì những rủi ro đến từ môi trường tin học không những không giảm đi mà ngày một

tăng thêm với mức độ nguy hiểm ngày càng cao. Những hành vi gian lận, trộm cắp thông tin và huỷ hoại thông tin đối với hệ thống máy tính của doanh nghiệp ngày càng tinh vi và khó lường hết. Do đó, các doanh nghiệp phải coi việc đối phó với những rủi ro tác động đến hoạt động kiểm soát nội bộ từ môi trường tin học là một công cuộc “kháng chiến trường kỳ”.

Mặc dù tác giả rất tâm huyết đối với đề tài đã thực hiện và đã đạt được một số kết quả nhất định, song vẫn còn đó những hạn chế tồn tại. Những hạn chế đó là chưa đề cập được hết tất cả các vấn đề liên quan đến các hoạt động kiểm soát nội bộ trong môi trường tin học; bên cạnh đó tác giả cũng chưa nghiên cứu hết các chu trình sản xuất kinh doanh của doanh nghiệp cộng với việc chưa nghiên cứu sâu về hệ thống ERP nên chưa thể hoàn thiện hết các thủ tục kiểm soát nội bộ liên quan đến môi trường này. Trong tương lai, tác giả cũng hy vọng sẽ tiếp tục nghiên cứu sâu hơn và rộng hơn nữa đề tài này để khắc phục những hạn chế như đã nêu.

TÀI LIỆU THAM KHẢO Tiếng Việt

1. Anh Tiệp (tạp chí kiểm toán), An toàn khi sử dụng máy tính, 12/2008, tạp chí kế toán.

2. Bộ môn Kiểm toán, khoa Kế toán – Kiểm toán, trường Đại học Kinh tế TP.HCM, Kiểm toán (xuất bản lần thứ 5), NXB Lao động xã hội, 2007.

3. Bùi Quang Hùng, Ứngdụng CNTT trong doanh nghiệp và vấn đề đặt ra đối với kế toán, 06/2009, tạp chí phát triển kinh tế.

4. ThS. Trần Phước (ĐH Công nghiệp TP.HCM), Kiểm toán hệ thống

thông tin, 09/2008, tạp chí kế toán.

5. Vũ Hữu Đức (2003), “Tổng quan về kiểm soát nội bộ”, Tài liệu hội thảo khoa học về giảng dạy Khoa Kế toán – Kiểm toán, trường Đại học Kinh tế TP.HCM.

Tiếng Anh

1. Chris Davis & Mike SchillerandKevin Wheeler, IT Auditing: Using Controls to Protect Information Assets, McGraw-Hill, 2007.

2. COSO (2008), Internal Control – Integrated Framework – Guidance on monitoring Internal Control Systems.

3. D.R. Carmichael, O. Ray Whittington & Linford Graham, Accountants’

handbook – Volume 1 : Financial Accounting and General Topics, 11th

Edition, John Wiley & Sons, 2007.

4. Jack J. Champlain, Auditing Information Systems, Second Edition, John Wiley & Sons, 2003.

5. Janice M. Roehl – Anderson & Steven M. Bragg, The Controller’s Function - The Work of the Managerial Accountant, 3rd Edition, John Wiley & Sons, 2005.

6. Joseph W. Koletar, Fraud Exposed – What You Don’t Know Could Cost Your Company Millions, John Wiley & Sons, 2003.

7. Marshall B. Romney & Paul John Steinbart, Accounting Information System, 8th Edition, Prentice Hall, 2000.

8. Rick Lehtinen, Computer Security Basics, 2nd Edition, O'Reilly, 2006. 9. Sanjay Anand, Sarbanes Oxley Guide for Finance and Information

Technology Professionals, 2nd Edition, John Wiley & Sons, 2006.

10. Yusufali F. Musaji, Integrated Auditing of ERP Systems, John Wiley

& Sons, 2002.

Các Website tham khảo

http://www.kiemtoan.com.vn http://www.tapchiketoan.com http://www.coso.org http://www.tcptkt.ueh.edu.vn http://www.kienthuctaichinh.com http://www.vacpa.org.vn http://www.mekongcapital.com

PHỤ LỤC Phụ lục 2.1 Danh sách các doanh nghiệp được khảo sát

STT Tên công ty Hình thức sở hữu vốn Quốc gia Bộ phận kiểm toán nội bộ/ Ban kiểm soát trong cơ cấu tổ chức Ngành nghề KD 1

CÔNG TY CP CÔNG NGHỆ SINH

HỌC - DƯỢC PHẨM ICA Cổ phần Việt Nam

Ban kiểm

soát Dược phẩm

2 CÔNG TY CP VINACAFE BIÊN HOÀ Cổ phần Việt Nam

Ban kiểm

soát SX, KD cà phê hoà tan

3

CÔNG TY CP GIÁM ĐỊNH

VÀ KHỬ TRÙNG FCC Cổ phần Việt Nam Ban kiểm

soát

Tư vấn, giám định, thẩm định

giá, khử trùng 4 CÔNG TY ĐIỆN TỬ ASTI

100%

vốn Nhật Bản Không

SX bo mạch điện tử,

nước

ngoài

5 CÔNG TY CP HOÀ BÌNH Cổ phần Việt Nam

Ban kiểm

soát

KD máy nổ, máy động lực,

máy phát điện

6 CÔNG TY CP TIN HỌC LẠC VIỆT Cổ phần Việt Nam

Ban kiểm

soát & Bộ phận kiểm

toán nội bộ Tin học

7

CÔNG TY CP KỸ THUẬT VÀ Ô TÔ

TRƯỜNG LONG Cổ phần Việt Nam

Ban kiểm soát & Bộ phận kiểm toán nội bộ KD xe tải, xe chuyên dùng, đăng kiểm xe

8 CÔNG TY TNHH THANG MÁY OTIS TNHH Mỹ Không Lắp đặt, bảo trì thang máy

9

CÔNG TY CP GIỐNG CÂY TRỒNG

MIỀN NAM Cổ phần Việt Nam

Ban kiểm

soát

SX, KD, XNK hạt giống

& cây trồng

10 CÔNG TY CP DU LỊCH ĐỒNG NAI Cổ phần Việt Nam

Ban kiểm

soát

DV du lịch, nhà hàng, khách

sạn

11

CÔNG TY LIÊN DOANH BV PHARMA

Liên doanh

Việt Nam

& Anh

Quốc Không Dược phẩm

12

CÔNG TY TNHH VIỆT NAM

PARKERIZING TNHH Nhật Bản Không Hoá chất

14 CÔNG TY TNHH Ô TÔ KIM THANH TNHH Việt Nam Không KD xe hơi 15 CÔNG TY TNHH CƠ KHÍ CHÍNH XÁC MIEN HUA 100% vốn nước

ngoài Đài Loan Không Cơ khí

16

CÔNG TY CP DỊCH VỤ DU LỊCH

CHỢ LỚN Cổ phần Việt Nam

Ban kiểm

soát TM, DV, du lịch

17 CÔNG TY TNHH GUNZE (VIỆT NAM) 100%

vốn nước

ngoài Nhật Bản Không SX trang phục lót

18

CÔNG TY CP CHỨNG KHOÁN

RỒNG VIỆT Cổ phần Việt Nam

Ban kiểm

soát & P. Kiểm toán

nội bộ Chứng khoán

19 CÔNG TY TNHH HOÁ CHẤT MKVN TNHH Việt Nam Không KD hoá chất, kim loại

20 CÔNG TY CP NGỌC SƯƠNG Cổ phần Việt Nam

Ban kiểm

soát & Bộ phận kiểm

toán nội bộ Nhà hàng

21

CÔNG TY ĐIỆN VÀ ĐIỆN TỬ TCL VIỆT NAM 100% vốn nước ngoài Trung Quốc Không SX bóng đèn, hàng điện tử

22

TỔNG CÔNG TY CƠ KHÍ GTVT SÀI

GÒN (SAMCO)

Vốn nhà nước

Việt Nam Ban kiểm

soát Dịch vụ vận chuyển, kinh doanh xe ô tô, lắp ráp xe buýt

23

CÔNG TY CỔ PHẦN DẦU NHỚT VÀ HÓA CHẤT VIỆT NAM (VILUBE

CORP.) Cổ phần Việt Nam

Ban kiểm

soát SX, KD dầu nhớt

24 CTY CP ĐẦU TƯ NAM LONG Cổ phần Việt Nam

Ban kiểm

soát Bất động sản

25 CTY TNHH MỰC IN VIỆT TNHH Việt Nam Không Sản xuất & phân phối mực in

26 CÔNG TY LD RSC-NORFOK MAINSON Liên doanh Việt Nam & Australia Không DV nhà hàng, khách sạn,

cho thuê căn hộ

27 CÔNG TY CỔ PHẦN HẢI SẢN S.G Cổ phần Việt Nam

Ban kiểm

soát

Chế biến thuỷ hải sản xuất khẩu

28 CÔNG TY TNHH ĐẠI HOÀNG MỸ TNHH Việt Nam Không

Sản xuất hàng thủ công mỹ nghệ

29 CÔNG TY CP THUỶ SẢN 4 Cổ phần Việt Nam

Ban kiểm

soát

Chế biến thuỷ hải sản xuất khẩu

Phụ lục 2.2 -Mẫu bảng câu hỏi khảo sát về các hoạt động kiểm soát trong môi trường tin học

Cỡ mẫu khảo sát: 30 doanh nghiệp ở Việt Nam Khu vực khảo sát: TP.HCM, Bình Dương, Đồng Nai

Trường Đại học Kinh tế TP.HCM Khoa Sau đại học

Ngành Kế toán – Kiểm toán

BẢNG CÂU HỎI KHẢO SÁT VỀ HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC

Giới thiệu:

Xin trân trọng kính chào quý anh (chị)!

Chúng tôi hiện là học viên cao học ngành Kế toán kiểm toán của trường đại học Kinh tế

TP.HCM

Hiện chúng tôi đang thực hiện nghiên cứu về đề tài “Kiểm soát nội bộ trong môi trường tin học” nên chúng tôi thực hiện bảng câu hỏi này nhằm mục đích khảo sát điều tra những thông tin cần thiết phục vụ cho đề tài. Do đó, mong quý anh (chị) bỏ chút thời gian trả lời đầy đủ các thông tin của bảng câu hỏi và chúng tôi cam kết mọi thông tin liên quan đến

quý anh (chị) chỉ phục vụ cho việc nghiên cứu, không nhằm một mục đích nào khác và sẽ được giữ bí mật tuyệt đối.

Chúng tôi xin chân thành cảm ơn quý anh (chị) đã cung cấp những thông tin quý giá này.

Bảng câu hỏi được tóm lược qua các nội dung chủ yếu như sau:

Thông tin liên quan đến người trả lời:

Họ tên:

Vị trí công việc hiện tại của người trả lời:

Bộ phận công tác:

Phần I: Các câu hỏi về kiểm soát chung

1. Cơ cấu tổ chức doanh nghiệp anh (chị) có bộ phận IT? Có Không

2. Nếu câu 1 trả lời “Không”, anh (chị) vui lòng cho biết doanh nghiệp có nên tổ chức bộ phận (phòng) IT không? Nêu rõ lý do cho câu trả lời của mình?

Có Không

Lý do:

3. Doanh nghiệp anh (chị) đã có trang thiết bị nhận dạng vân tay hay thẻ từ khi ra vào khu làm việc không?

Có Không

4. Các bộ phận (phòng ban) có ngăn cách với nhau bằng cửa có khoá thẻ từ hay khoá vân tay? Có Không

5. Các nhân viên trong doanh nghiệp có bị hạn chế qua lại bộ phận khác hay không (trong

trường hợp có sử dụng cửa khoá từ hay cửa khoá vân tay)? Có Không

Có Không

7. Nếu câu 6 trả lời “Không”, anh (chị) vui lòng cho ý kiến về việc có nên gắn camera quan

sát hay không? Nêu rõ lý do cho câu trả lời của mình? Có Không

Lý do:

8. Hệ thống điện lạnh tại doanh nghiệp các anh (chị) làm việc có được kiểm soát không (vd:

hệ thống máy lạnh tự tắt sau giờ làm việc…)? Có Không

9. Hệ thống gọi điện thoại ra bên ngoài của nhân viên có được ghi nhận lại không (vd: ghi

nhận lại số máy nội bộ của nhân viên khi họ gọi ra bên ngoài…)? Có Không

10. Hệ thống báo cháy có báo động mỗi khi phát hiện ra sự cố? Có Không

11. Hệ thống báo cháy có được điều khiển tự động bằng phần mềm? Có Không

12. Sự cố rò rỉ về điện, nước có được phát hiện không? Có Không

13. Sự cố rò rỉ điện, nước được phát hiện tựđộng bằng phần mềm hay con người?

Phần mềm Con người

14. Các cá nhân trong công ty có được tự ý cài đặt các phần mềm vào máy tính cá nhân làm việc của mình không?

Có Không

15. Việc sử dụng các thiết bị ghi chép như ổ đĩa di động (USB), ổ cứng có bị hạn chế sử dụng

cho máy tính cá nhân hay không? Có Không

16. Việc tổ chức mạng máy tính nội bộ tại doanh nghiệp các anh (chị) sử dụng được tổ chức dưới dạng nào?

Workgroup (là dạng mạng nội bộ ngang hàng: không có máy chủ điều khiển, các

máy tính trong hệ thống đều có quyền ngang nhau)

Domain (là dạng mạng được tổ chức theo mô hình máy chủ – máy con: máy chủ nắm quyền kiểm soát, điều khiển và phân quyền sử dụng cho máy con)

17. Việc đăng nhập vào hệ thống máy tính tại doanh nghiệp có được kiểm soát theo tên người

Một phần của tài liệu Giải pháp xây dựng các hoạt động kiểm soát trong môi trường tin học cho các Doanh nghiệp (Trang 125 - 152)

Tải bản đầy đủ (PDF)

(152 trang)