Chịu sự chi phối và phụ thuộc nhiều vào cơ chế kiểm soát

Một phần của tài liệu Giải pháp xây dựng các hoạt động kiểm soát trong môi trường tin học cho các DN.pdf (Trang 47 - 76)

phần mềm ứng dụng

Việc sử dụng phần mềm kế toán vào trong công tác kế toán tại các doanh nghiệp hiện nay cũng cần phải được quan tâm đúng mức. Bởi lẽ có một thực tế là hiện nay thì chỉ có một số ít các phần mềm kế toán được sản xuất theo dạng may đo, còn lại đa số đều là sản phẩm đóng gói nên chúng được thiết kế theo chuẩn của nhà sản xuất phần mềm. Với sự ra đời của chứng từ điện tử, sổ sách và báo cáo điện tử do phương pháp kế toán máy cung cấp đã thay thế cho chứng từ, sổ sách và báo cáo giấy được lập theo phương pháp thủ công truyền thống đã cho thấy một số điểm khác biệt đáng kể giữa hai phương pháp này.

Điểm khác biệt cơ bản nhất là trình tự ghi chép, chuyển sổ và lập báo cáo bằng phương pháp kế toán máy không còn được thực hiện tuần tự như phương pháp thủ công nữa mà chúng được thực hiện đồng thời cùng một lúc. Kế đến các thủ tục kiểm soát được thiết kế trên phần mềm cũng khác nhiều so với các thủ tục kiểm soát đã thiết kế trong môi trường thủ công làm cho các doanh nghiệp phải sửa đổi lại các thủ tục này cho phù hợp, thậm chí phải miễn cưỡng thay đổi lại theo sự áp đặt không mấy chặt chẽ của phần mềm. Dưới đây là sự đề cập đến những vấn đề có ảnh hưởng đến việc thiết kế và thực hiện các thủ tục kiểm soát thường thấy ở các phần mềm ứng dụng:

§ Các nghiệp vụ cùng loại, cùng tính chất thường được phần mềm xử lý hàng loạt theo cùng một phương pháp nên dẫn đến nếu có một khiếm khuyết nào đó trong việc phân tích, thiết kế hay lập trình phần mềm sẽ làm cho các nghiệp vụ này bị xử lý sai hàng loạt giống nhau.

§ Vì tính tiện lợi và tự động hoá phục vụ cho mục đích sử dụng mà phần lớn các phần mềm thiết kế việc kiêm nhiệm, tức nhiều thủ tục kiểm soát được tập trung cho một người làm cho việc phân công, phân nhiệm rất

khó thực hiện. Chẳng hạn như màn hình nhập liệu hoá đơn bán hàng được thiết kế kiêm luôn phiếu xuất kho nên khi phân quyền cho kế toán bán hàng và kế toán kho là điều rất khó. Điều này không cho phép thực hiện trong hệ thống kế toán thủ công.

§ Việc xét duyệt và thực hiện nghiệp vụ được các phần mềm ngầm định do các nghiệp vụ được thực hiện tự động. Điều này dẫn đến việc các nhà quản lý đã ngầm định luôn sự phê duyệt tự động của mình trên phần mềm khi chấp nhận thiết kế của phần mềm.

§ Khả năng xảy ra gian lận trên phần mềm cũng rất dễ xảy ra do việc truy cập trái phép, đánh cắp hay sửa xoá thông tin đôi khi không để lại dấu vết có thể thấy được bằng mắt thường. Khả năng xảy ra sai sót trên phần mềm có thể rất cao do sai sót trong thiết kế phần mềm, do con người vận hành phần mềm không đúng cách. Thêm vào đó; việc kiểm tra, giám sát để phát hiện gian lận và sai sót cũng giảm đi đáng kể do có sự cắt giảm nhân sự trong điều kiện sử dụng phần mềm.

§ Các phần mềm có ưu thế trong việc cung cấp các công cụ giám sát như công cụ theo dõi dấu vết kiểm toán… đã giúp cải thiện cơ cấu kiểm soát nội bộ tại đơn vị.

Nhìn chung, khi thiết kế kiểm soát nội bộ trong môi trường tin học cần chú ý đến các đặc điểm trên bên cạnh tận dụng các ưu thế của phần cứng và phần mềm để hạn chế bớt các rủi ro tiềm tàng có thể xảy ra.

1.4.2 Nhận diện các rủi ro tiềm ẩn đối với các hoạt động kiểm soát trong môi trường tin học

Đối với tổ chức, việc nhận diện ra các rủi ro tiềm ẩn đối với hoạt động kiểm soát trong môi trường tin học là việc làm hết sức cần thiết và vô cùng quan trọng vì điều này giúp cho tổ chức chủ động trong việc thiết kế các thủ tục kiểm soát hiệu quả để bảo vệ tài sản thông tin của mình. Từ những điểm

đã nêu về hệ thống máy tính và ảnh hưởng của chúng đối với hoạt động kiểm soát trong môi trường tin học đã cho thấy bên cạnh những lợi ích có được vẫn còn đó những rủi ro tiềm ẩn. Những rủi ro này xuất phát từ sự yếu kém của hệ thống kiểm soát nội bộ do không được nhận thức đúng đắn và không được đầu tư đầy đủ đã tạo ra rất nhiều lỗ hổng tạo thuận lợi cho những rủi ro tồn tại. Cụ thể là, doanh nghiệp do không có một chính sách về bảo mật và an toàn thông tin rõ ràng và cụ thể để ngăn cản hay hạn chế sự tiếp cận thông tin trái phép từ những đối tượng bên trong cũng như bên ngoài tổ chức. Kế đến là không có phương tiện để nhận diện ra sự tồn tại của những mối đe doạ và cuối cùng là khi có sự cố xảy ra thì không có biện pháp thích hợp để khắc phục. Những rủi ro tiềm ẩn có thể tóm lược như sau:

1.4.2.1 Những rủi ro xuất phát từ thiết bị phần cứng

Trong hệ thống máy tính, thiết bị phần cứng được xem là nền móng để cho các phần mềm có thể vận hành được. Tuy nhiên, nếu phần cứng không được đầu tư đúng mức sẽ làm cho phần mềm vận hành không hiệu quả như phần mềm chạy chậm, phát sinh nhiều lỗi vu vơ, phần mềm hay bị treo không đảm bảo được sự liên tục hay thậm chí phần mềm cho kết quả tính toán không chính xác. Ngoài những thiết bị phần cứng phục vụ cho việc điều khiển chung, hỗ trợ về tốc độ xử lý thì bộ nhớ lưu trữ thông tin ổ cứng là bộ phận cực kỳ quan trọng. Nhờ ổ cứng mà các thông tin được lưu trữ từ ngày này qua tháng nọ, từ năm này qua năm nọ với dung lượng cực kỳ lớn mà không một loại giấy tờ nào có thể thực hiện được. Bên cạnh đó thì ổ cứng còn là nơi lưu trữ thông tin cho hệ điều hành và các phần mềm ứng dụng. Nhưng bộ nhớ ổ cứng cũng là thiết bị dễ bị hỏng hóc nhất vì những tác động bởi thời gian sử dụng, môi trường và con người. Do đó, nếu tổ chức không duy trì biện pháp phòng ngừa như thiết kế thêm các ổ cứng phụ chạy song hành hay các thiết bị lưu trữ khác thì có thể phải trả giá đắt cho sự an toàn của dữ liệu.

1.4.2.2 Những rủi ro xuất pháttừ sự vận hành của hệ thống mạng

Hệ thống mạng được xem là con đường huyết mạch về trao đổi thông tin giữa những người dùng máy tính. Tuy nhiên, do cơ chế chia sẻ thông tin trên mạng cho nhiều người cùng sử dụng đã tạo điều kiện cho sự xâm nhập bất hợp pháp hay phá hoại. Lợi dụng kẽ hở này mà nhiều người dùng vì lợi ích cá nhân đã cố tình truy xuất những thông tin không được phép, sử dụng thông tin sai mục đích hay vì mục đích phá hoại. Thêm vào đó, do phải phục vụ cho nhiều người cùng sử dụng mà các phần mềm ứng dụng phải phụ thuộc vào sự điều hành của hệ thống mạng. Điều này có nghĩa là tốc độ xử lý dữ liệu, tốc độ truyền tin từ phần mềm khi chạy trên mạng bị gián đoạn, bị chậm lại hay thậm chí kết quả thông tin truyền đi bị xử lý sai.

1.4.2.3 Những rủi ro xuất pháttừ sự thiết kế của phần mềm ứng dụng

Việc thiết kế các thủ tục kiểm soát nội bộ trong tổ chức có sử dụng phần mềm ứng dụng phụ thuộc nhiều vào các thiết kế có sẵn của phần mềm. Sự phụ thuộc này được thể hiện qua một số thủ tục kiểm soát như phân quyền, thủ tục kiểm soát nhập liệu thông tin đầu vào, thủ tục kiểm soát các tính toán và xử lý số liệu. Do đó, nếu như phần mềm ứng dụng không có những thiết kế phục vụ cho kiểm soát thì độ tin cậy của phần mềm sẽ không thực sự cao.

1.4.2.4 Những rủi ro xuất pháttừ công việc lưu trữ dữ liệu

Dữ liệu được xem là tài sản quý giá của doanh nghiệp, do đó công tác lưu trữ dữ liệu phải được xem trọng. Cụ thể, doanh nghiệp phải thực hiện sao lưu dữ liệu thường xuyên trên nhiều thiết bị và định kỳ phải kiểm tra lại các dữ liệu có được sao lưu đầy đủ không hay dữ liệu có còn vận hành được hay không. Chính những biện pháp này giúp cho dữ liệu được vẹn toàn và là kế hoạch tốt cho sự phục hồi dữ liệu nếu có sự cố xảy ra.

1.4.2.5 Những rủi ro xuất phát từ sự tác động bên ngoài và sự không trung thực của con người

Ngoài những rủi ro chính ở trên thì nguyên nhân gây ra rủi ro còn do tác động của môi trường như thiên tai, chiến tranh, khủng bố, hoả hoạn, nguồn năng lượng, sự vận hành không đúng cách về phần cứng và phần mềm, và đặc biệt là những đe doạ từ phía những con người không trung thực trong doanh nghiệp.

Như vậy để có thể giảm thiểu những rủi ro, tăng cường độ tin cậy của thông tin; doanh nghiệp cần phải có những quy định chặt chẽ về chính sách bảo mật và an toàn thông tin. Trong đó, cần phải đặc biệt quan tâm đến các hoạt động kiểm soát trong môi trường tin học.

Kết luận chương 1

Từ những tìm hiểu ở trên cho thấy, cấu tạo của hệ thống kiểm soát nội bộ trong môi trường thủ công và cấu tạo của hệ thống kiểm soát nội bộ trong môi trường tin học là như nhau. Chúng chỉ khác nhau ở chỗ là kiểm soát nội bộ trong môi trường tin học được thực hiện với sự trợ giúp của máy tính và các phần mềm ứng dụng. Trong khi, kiểm soát nội bộ trong môi trường thủ công chủ yếu do con người tự thực hiện.

Như vậy, từ việc tìm hiểu các thành phần của hệ thống máy tính đã cho thấy chúng có ảnh hưởng đáng kể đến việc thiết kế các thủ tục kiểm soát cho từng hoạt động kiểm soát của một tổ chức. Điều này có nghĩa là các tổ chức phải hiểu rõ đặc điểm của kiểm soát nội bộ trong môi trường tin học để có thể xây dựng cho tổ chức của mình một hệ thống kiểm soát nội bộ phù hợp, có thể thực thi hiệu quả nhằm cung cấp thông tin đáng tin cậy được xử lý bằng máy tính. Bên cạnh đó, thông qua những tìm hiểu ở trên cũng giúp cho chúng ta có cái nhìn khách quan để tìm hiểu về các hoạt động kiểm soát trên thực tế tại các doanh nghiệp Việt Nam hiện nay.

CHƯƠNG 2

TÌM HIỂU THỰC TẾ VỀ CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG

MÔI TRƯỜNG TIN HỌC TẠI CÁC DOANH NGHIỆP VIỆT NAM

Việc tìm hiểu thực tế về các hoạt động kiểm soát trong môi trường tin học được thực hiện thông qua tìm hiểu, quan sát trực tiếp và điều tra thông qua bảng câu hỏi với các nội dung chính liên quan đến ba hoạt động kiểm soát bao gồm: hoạt động kiểm soát chung, hoạt động kiểm soát ứng dụng và hoạt động kiểm soát dữ liệu. Cuộc điều tra này được thực hiện tại hầu hết các doanh nghiệp Việt Nam, liên doanh giữa Việt Nam với nước ngoài hoặc doanh nghiệp có vốn đầu tư nước ngoài tại Việt Nam với cỡ mẫu chọn lọc bao gồm 30 doanh nghiệp đang đóng trên địa bàn TP.HCM, Bình Dương và Đồng Nai. Trong đó bao gồm:

Quốc tịch doanh nghiệp:

§ Doanh nghiệp Việt Nam: 22; chiếm 73,33% § Doanh nghiệp liên doanh: 2; chiếm 6,67% § Doanh nghiệp Nhật Bản: 3; chiếm 10% § Doanh nghiệp Trung Quốc: 1; chiếm 3,33% § Doanh nghiệp Mỹ: 1; chiếm 3,33%

§ Doanh nghiệp Đài Loan: 1; chiếm 3,33%

Hình thức sở hữu vốn:

§ Cổ phần: 15 doanh nghiệp; chiếm 50%

§ 100% vốn nước ngoài: 4 doanh nghiệp; chiếm 13,33% § TNHH: 8 doanh nghiệp; chiếm 26,67%

§ Liên doanh: 2 doanh nghiệp; chiếm 6,67% § Vốn Nhà nước: 1 doanh nghiệp; chiếm 3,33%

§ Tất cả 15 doanh nghiệp cổ phần đều có ban kiểm soát § Có 1 doanh nghiệp Nhà nước có ban kiểm soát

§ 14 doanh nghiệp còn lại không có ban kiểm soát

Loại hình doanh nghiệp:

§ Sản xuất, thương mại: 15 doanh nghiệp; chiếm 50% § Thương mại: 7 doanh nghiệp; chiếm 23,34%

§ Dịch vụ: 4 doanh nghiệp; chiếm 13,33%

§ Thương mại, dịch vụ: 4 doanh nghiệp; chiếm 13,33%

Phụ lục 2.1– Danh sách các doanh nghiệp được khảo sát

Phụ lục 2.2 – Mẫu bảng câu hỏi khảo sát về các hoạt động kiểm soát trong môi trườngtin học

Phụ lục 2.3 – Danh sách các phần mềm kế toán tham khảo

Theo khảo sát cho thấy; mặc dù các công ty cổ phần đã có ban kiểm soát nhưng nhiệm vụ chủ yếu của bộ phận này là tư vấn các hoạt động; giám sát và đánh giá về các chính sách, định hướng chiến lược phát triển; kiểm tra và soát xét về báo cáo tài chính. Nói cách khác; nhiệm vụ chủ yếu của họ là thay mặt hội đồng cổ đông giám sát các nhà quản lý, điều hành.

Nhìn chung, các công ty đều cho rằng việc tổ chức ra bộ phận kiểm toán nội bộ với những con người có khả năng chuyên môn để đánh giá sự hữu hiệu của hệ thống kiểm soát nội bộ nói chung và các hoạt động kiểm soát nói riêng trong môi trường tin học là cần thiết và quan trọng nhằm đạt được các mục tiêu đề ra. Song do điều kiện, hoàn cảnh hiện tại chưa cho phép hoặc không đủ nguồn lực để thực hiện nên phần lớn các doanh nghiệp không có bộ phận này. Thậm chí, 4 trong số 30 công ty ở trên có tổ chức bộ phận kiểm toán nội bộ nhưng nhiệm vụ của họ chủ yếu vẫn tập trung vào việc kiểm soát một số

vấn đề nổi cộm như kiểm soát và đánh giá việc tuân thủ quy trình của các bộ phận chức năng; tư vấn và giám sát về các thủ tục mang tính pháp chế cho các bộ phận như các điều kiện ràng buộc trên hợp đồng, giải quyết tranh chấp, kiện tụng; kiểm soát việc tuân thủ và thực thi về các chính sách như chính sách nhân sự, chế độ tiền lương của đơn vị, chính sách đào tạo…

Qua tìm hiểu, dễ nhận ra rằng hầu hết các công ty trên mặc dù đã có quan tâm đến vấn đề kiểm soát trong môi trường tin học nhưng chưa toàn diện bởi đa phần đều chưa gặp phải nhiều rủi ro bắt nguồn từ môi trường này nên họ có phần chủ quan. Từ đó cho thấy, các công ty này vẫn chưa ban hành chính sách dành riêng cho an toàn và bảo mật thông tin trong điều kiện ứng dụng CNTT nên chưa có các thủ tục kiểm soát tương ứng để đối phó với những rủi ro có thể xảy đến từ môi trường này.

Tiếp theo dưới đây là phần khảo sát chi tiết về các vấn đề liên quan đến các hoạt động kiểm soát trong môi trường tin học. Các đối tượng được khảo sát tham gia trả lời về các nội dung liên quan bao gồm ban giám đốc, bộ phận kế toán và bộ phận IT. Thông tin chi tiết được tóm lược bằng các nội dung chủ yếu như sau:

2.1 HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC

NHÌN TỪ GÓC ĐỘ NHÀ QUẢN LÝ

Kết quả thu thập được từ quan sát thực tế và bảng câu hỏi khảo sát, thể hiện qua bảng 2.1 bên dưới cho thấy hầu hết các nhà quản lý đều cho rằng “tổ chức hệ thống thông tin trong môi trường tin học thực sự là vấn đề quan trọng của doanh nghiệp” (tỷ lệ đồng ý 100%). Tuy nhiên, việc xây dựng ra các hoạt động kiểm soát thật hữu hiệu trong môi trường tin học mặc dù đã được quan tâm nhưng triển khai chưa đồng bộ, chưa triệt để (tỷ lệ đồng ý là 70%) hoặc có quan tâm đến nhưng chưa triển khai được vì thiếu nguồn lực (phương tiện, con người, tài chính…) (tỷ lệ đồng ý là 30%). Từ đây cho thấy, phần lớn các

nhà quản lý nghiêng về ý kiến “…triển khai chưa đồng bộ, chưa triệt để”

Một phần của tài liệu Giải pháp xây dựng các hoạt động kiểm soát trong môi trường tin học cho các DN.pdf (Trang 47 - 76)

Tải bản đầy đủ (PDF)

(152 trang)