1.1.4.1. Sự khác nhau giữa thực hành kế toán bằng máy và bằng tay ảnh hưởng tới KSNB trong doanh nghiệp
- Kiểm soát tự động thay thế kiểm soát thủ công: áp dụng CNTT có thể xử lí được khối lượng giao dịch lớn với hiệu quả cao
- Có khả năng tiếp cận thông tin với chất lượng cao hơn: Các hoạt động CNTT
phức tạp đòi hỏi quy trình đầy đủ, sẽ được quản lý chặt chẽ hơn. Chính vì thế, chất lượng thông tin cung cấp cho nhà quản lý sẽ được nâng cao hơn so với kiểm soát thủ công.
1.1.4.2. Rủi ro trong môi trường xử lý bằng máy tính a) Rủi ro đối với phần cứng dữ liệu
- Sự phụ thuộc vào khả năng hoạt động của phần cứng và phần mềm: Nếu không có kiểm soát vật chất, phần cứng hoặc phần mềm có thể không hoạt động hoặc hoạt động không đúng cách.
- Sai sót hệ thống và ngẫu nhiên: Khi doanh nghiệp sử dụng quy trình tự động thay thế cho quy trình thủ công, nguy cơ xảy ra sai sót ngẫu nhiên do sự tham gia của con người giảm. Tuy nhiên, nguy cơ sai sót hệ thống tăng lên vì một khi các thủ tục được lập trình vào phần mềm máy tính, máy tính xử lí thông tin nhất quán cho tất cả các giao dịch cho đến khi các thủ tục lập trình được thay đổi.
- Truy cập trái phép: Hệ thống kế toán dựa trên CNTT thường cho phép truy cập
trực tuyến đến dữ liệu điện tử trong các tập tin chính, phần mềm và các bản ghi khác.
Vì việc truy cập trực tuyến có thể được thực hiện từ các điểm truy cập từ xa, bao gồm
cả thông qua Internet, nên có khả năng xuất hiện việc truy cập bất hợp pháp.
- Mất dữ liệu: Phần lớn dữ liệu trong một hệ thống CNTT được lưu trữ tập trung trong các tập tin điện tử hoặc ngoài trang web thông qua điện toán đám mây. Điều này làm tăng nguy cơ mất mát hoặc phá hủy toàn bộ tập tin dữ liệu.
b) Dấu vết kiểm toán giảm
- Trạng thái dấu vết kiểm toán giảm: Bởi vì nhiều thông tin được nhập trực tiếp vào từ máy tính, việc sử dụng CNTT thường làm giảm hoặc thậm chí loại bỏ các tài liệu và hồ sơ gốc cho phép doanh nghiệp theo dõi thông tin kế toán. Những tài liệu và hồ sơ đó được gọi là dấu vết kiểm toán.
- Giảm sự tham gia của con người: Trong hệ thống CNTT, nhân viên xử lý đầu
vào của các giao dịch không bao giờ nhìn thấy kết quả cuối cùng. Vì vậy, họ ít có khả năng xác định sai sót trong quá trình xử lí. Ngoài ra, nhân viên có xu hướng coi thông tin được tạo ra thông qua việc sử dụng công nghệ như là chính xác bởi vì máy tính đã xử lí các thông tin này.
- Không có sự ủy quyền theo cách truyền thống: Các hệ thống CNTT tiên tiến thường có thể thực hiện các hoạt động một cách tự động. Vì thế, phân quyền phụ thuộc vào các thủ tục phần mềm và các tệp dữ liệu tạo ra các quyết định ủy quyền.
c) Sự cần thiết kinh nghiệm về CNTT và phân tách chức năng CNTT
- Giảm sự phân tách chức năng: Máy tính thực hiện nhiều chức năng trước đây
được tách biệt, chẳng hạn như ủy quyền và lưu giữ hồ sơ. Tập hợp các hoạt động từ các bộ phận khác nhau trong doanh nghiệp về một chức năng CNTT sẽ tập trung hóa được các chức năng trước kia được phân tách.
- Sự cần thiết có kinh nghiệm về CNTT: Khi sử dụng hệ thống CNTT tăng lên,
nhu cầu về các chuyên gia CNTT có trình độ cũng tăng theo.
1.1.4.3. Kiếm soát chung trong kiểm soát qua máy tính
Kiểm soát chung áp dụng cho tất cả các khía cạnh của chức năng CNTT, bao gồm quản trị CNTT; phân chia nhiệm vụ CNTT; phát triển hệ thống; bảo mật vật lí và trực tuyến khi truy cập đến phần cứng, phần mềm và dữ liệu liên quan; lập kế hoạch sao lưu và dự phòng trong trường hợp khẩn cấp bất ngờ; kiểm soát phần cứng
Quản trị chức năng CNTT: Trình độ, ý thức của HĐQT và quản lý cấp cao đối với CNTT ảnh hưởng đến tầm quan trọng của CNTT trong một doanh nghiệp
Phân chia nhiệm vụ CNTT: Để đối phó với rủi ro kết hợp các nhiệm vụ thực
hiện theo cách truyền thống trong việc lưu trữ, phê duyệt và ghi chép khi máy tính thực hiện những nhiệm vụ đó, các doanh nghiệp có kiểm soát tốt sẽ tách nhiệm vụ chính trong hệ thống CNTT. Lý tưởng nhất, nên phân tách thành các nhiệm vụ như sau: quản lý CNTT, phát triển hệ thống, vận hành và kiếm soát dữ liệu.
Phát triển hệ thống: Bao gồm
(1) Mua phần mềm hoặc phát triển phần mềm nội bộ đáp ứng nhu cầu của doanh nghiệp.
(2) Kiểm tra tất cả phần mềm để đảm bảo rằng phần mềm mới tương thích với phần mềm hiện có, xác định xem phần mềm và phần cứng có thể xử lý khối lượng giao dịch cần thiết hay không.
Bảo mật vật lí và trực tuyến: Kiểm soát vật chất đối với máy tính và các hạn chế của phần mềm trực tuyến và các tệp dữ liệu liên quan, giảm nguy cơ thay đổi trái phép đối với chương trình, sử dụng không đúng các chương trình và tập tin dữ liệu. Kiểm soát bảo mật bao gồm cả kiểm soát vật chất và kiểm soát việc truy cập trực tuyến.
Lập kế hoạch sao lưu và dự phòng: Mất điện, hỏa hoạn, nhiệt độ quá cao hoặc độ ẩm, thiệt hại về nước, thậm chí phá hoại có thể gây ra hậu quả nghiêm trọng cho các doanh nghiệp khi sử dụng CNTT.
Kiểm soát phần cứng: được tích hợp vào thiết bị máy tính bởi nhà sản xuất để phát hiện và báo cáo lỗi thiết bị.
1.1.4.4. Kiểm soát ứng dụng trong kiểm soát qua máy tính
Kiểm soát ứng dụng có thể được thực hiện bởi máy tính hoặc nhân viên. Khi được thực hiện bởi nhân viên, kiểm soát đó gọi là kiểm soát thủ công. Khi được thực hiện bằng máy tính, kiểm soát đó gọi là kiểm soát tự động.
Kiểm soát ứng dụng có thể chia ra làm 3 loại: Kiểm soát đầu vào, kiểm soát xử lí và kiểm soát đầu ra
Kiểm soát đầu vào: được thiết kế để đảm bảo rằng thông tin được nhập vào máy tính được ủy quyền, chính xác và đầy đủ
Kiểm soát xử lí: ngăn chặn và phát hiện lỗi trong khi giao dịch dữ liệu được xử lí
Kiếm soát đầu ra: tập trung phát hiện lỗi sau khi xử lí hoàn thành, thay vì ngăn ngừa lỗi. Kiểm soát đầu ra quan trọng nhất là xem xét dữ liệu cho hợp lí bởi một người am hiểu về đầu ra.