7. Kết cấu của luận văn
2.3.3. Hoạt động kiểm soát
Hoạt động kiểm soát là các hoạt động đƣợc thiết lập thông qua các thủ tục và chính sách nhằm đảm bảo rằng những chỉ thị của NQL đƣợc thực hiện để giảm thiểu các rủi ro để đạt các mục tiêu của đơn vị. Hoạt động kiểm soát đƣợc thực hiện ở tất cả các cấp của đơn vị, ở các giai đoạn khác nhau trong quá trình kinh doanh, và trong môi trƣờng công nghệ thông tin (Ramos, 2004), (COSX 2013). Về mặt bản chất, chúng có thể là kiểm soát ngăn chặn hoặc kiểm soát phát hiện và có thể bao gồm một loạt các hoạt động thủ công và tự động nhƣ phân quyền và phê duyệt, xác minh, đối chiếu và đánh giá thành quả kinh doanh. Phân công phân nhiệm là một đặc thù trong việc lựa chọn và thiết lập của các hoạt động kiểm soát.
Ba nguyên tắc liên quan đến hoạt động kiểm soát đƣợc giới thiệu trong khuôn mẫu COSO 2103, bao gồm:
27
Nguyên tắc 10: Đơn vị phải lựa chọn và thiết lập các hoạt động kiểm soát nhằm giảm thiểu rủi ro trong việc đạt đƣợc các mục tiêu ở mức độ có thể chấp nhận đƣợc.
+ Tích hợp với đánh giá rủi ro: Các hoạt động kiểm soát giúp đảm bảo rằng đối phó với rủi ro và làm giảm thiểu rủi ro ở mức chấp nhận đƣợc.
+ Xác định quy trình kinh doanh phù hợp: NQL xác định quy trình kinh doanh phù hợp với yêu cầu của các hoạt động kiểm soát.
+ Xem xét yếu tố đặc trƣng riêng của tổ chức: NQL xem xét cách thức mỗi trƣờng, độ phức tạp, tính chất và phạm vi hoạt động cũng nhƣ đặc trƣng riêng của tổ chức, ảnh hƣởng đến việc lựa chọn và phát triển các hoạt động kiểm soát.
+ Đánh giá sự kết hợp các loại hoạt động kiểm soát: Hoạt động kiểm soát bao gồm cả kiểm soát thủ công và kiểm soát tự động, kiểm soát phòng ngừa và kiểm soát phát hiện.
+ Xem xét mức độ hoạt động đƣợc áp dụng: NQL xem xét các hoạt động kiểm soát ở các cấp trong đơn vị.
+ Điều chỉnh việc phân công nhiệm vụ: Khi NQL phân công nhiệm vụ không phù hợp, không thực tế, NQL tiến hành lựa chọn và phát triển các hoạt động khác thay thế khi cần thiết.
Nguyên tắc 11: Đơn vị phải lựa chọn và thiết lập các hoạt động kiểm soát chung về công nghệ thông tin nhằm hỗ trợ việc đạt đƣợc các mục tiêu.
+ Xác định sự phù hợp giữa việc sử dụng công nghệ trong quá trình kinh doanh và kiểm soát chung về công nghệ thông tin: NQL hiểu và xác định sự phụ thuộc và liên kết giữa các quá trình kinh doanh, các hoạt động kiểm soát tự động và kiểm soát chung về công nghệ thông tin. .
+ Thiết lập các hoạt động kiểm soát cơ sở hạ tầng công nghệ phù hợp: Các hoạt động kiểm soát cơ sở hạ tầng công nghệ, đƣợc thiết kế và thực hiện để giúp đảm bảo tính đầy đủ, tính chính xác và sự sẵn có của quy trình công nghệ.
28
+ Thiết lập hoạt động kiểm soát quy trình quản lý an ninh phù hợp: Các hoạt động kiểm soát đƣợc thiết kế và thực hiện để hạn chế quyền truy cập công nghệ cho ngƣời dùng có thẩm quyền tƣơng xứng và để bảo vệ tài sản từ mối đe dọa bên ngoài.
+ Thiết lập hoạt động kiểm soát quy trình chuyển giao, phát triển và duy trì công nghệ phù hợp.
Nguyên tắc 12: Đơn vị phải triển khai các hoạt động kiểm soát dựa trên việc thiết lập các chính sách và triển khai thành các thủ tục.
+ Thiết lập các chính sách và thủ tục để hỗ trợ cho việc triển khai các chỉ thị của NQL: NQL thiết lập các hoạt động kiểm soát đƣợc xây dựng dựa trên quy trình kinh doanh và hoạt động hằng ngày của nhân viên thông qua các chính sách thiết lập. những gì đƣợc mong đợi và các thủ tục phù hợp hành động quy định cụ thể.
+ Thiết lập các trách nhiệm và giải trình về thủ tục và chính sách đƣợc thực thi.
+ Sử dụng nhân viên có năng lực thực hiện hoạt động kiểm soát với sự siêng năng và tập trung liên tục.
+ Thực hiện một cách kịp thời
+ Đƣa ra các hành động khắc phục: Nhân viên có trách nhiệm điều tra và tác động vào các vấn đề đƣợc xác định là kết quả của việc thực hiện các hoạt động kiểm soát.
+ Đánh giá lại các thủ tục và chính sách: NQL đánh giá lại hoạt động kiểm soát định kỳ để xác định sự phù hợp của các chính sách và thủ tục và có thể làm mới chúng khi cần thiết.