NỘI BỘ HỆ THỐNG THÔNG TIN CỦA DOANH NGHIỆP
4.1. Giải pháp cho hoạt động kiểm soát chung
Khi tìm hiểu, đánh giá các thủ tục kiểm soát chung trong một hệ thống thông tin kế
toán, cần lưu ý các vấn đề sau:
- Doanh nghiệp cần có các chính sách, các quy định hướng dẫn kiểm soát chung được ban hành dưới dạng văn bản và được phổ biến cho những người liên quan.
- Các cá nhân, bộ phận có liên quan cần nắm vững các quy định, các thủ tục kiểm soát
chung tại đơn vị và tuân thủ các quy định đó.
- Các hệ thống phần mềm cần có những chức năng, tính năng kỹ thuật nhằm thực hiện
các thủ tục kiểm soát chung, và các tính năng này trong các phần mềm phải thực sự
hữu hiệu.
- Cần có cơ chế đánh giá và soát xét tính hữu hiệu của các chính sách, thủ tục kiểm
soát chung cũng như tính hữu hiệu của các tính năng kiểm soát chung trên phần mềm.
4.1.1. Kiểm soát vật chất, xác lập kế hoạch an ninh
Một trong những rủi ro của các hệ thống máy tính thường gặp phải là do không được
giám sát một cách đầy đủ về kiểm soát an ninh. Nhiều doanh nghiệp thường không có
một kế hoạch an ninh hữu hiệu để đảm bảo tính an toàn và trung thực cho hệ thống
thông tin.
Doanh nghiệp cần đặt hệ thống máy chủ lưu trữ và các thiết bị máy tính ở nơi thật sự an toàn để đảm bảo hệ thống hoạt động thông suốt và cần chế độ bảo mật cần thiết
nhằm hạn chế những đối tượng bên ngoài hay những đối tượng không có chức năng
Ngoài ra cần trang bị các hệ thống phòng chống rủi ro như thiết bị phòng cháy chữa
cháy, camera theo dõi, máy phát điện hoạt động liên tục nhằ m đảm bảo hệ thống được
vận hành tốt. Đối với những nhân viên liên quan đến việc duy trì hoạt động của hệ
thống cần có những quy định nghiêm ngặt cụ thể trong quá trình làm việc, bảo mật và
an toàn.
Giới hạn việc sử dụng các phương tiện có thể hỗ trợ máy tính truy cập từ xa. Huấn
luyện đầy đủ cho người dùng bao gồm cả huấn luyện sử dụng, vận hành, phòng chống virus máy tính. Thông tin thường xuyên và đầy đủ về an ninh và ý thức bảo vệ an ninh
trong việc sử dụng máy tính và mạng máy tính.
Xác lập và cập nhật thường xuyên một kế hoạch an ninh toàn diện là một trong những
thủ tục kiểm soát chung quan trọng nhất mà một doanh nghiệp có thể thực hiện là xác định ai là người cần những thông tin gì, khi nào thì cần thông tin đó và thông tin đó do
hệ thống nào cung cấp. Điều này giúp chúng ta xác định được các rủi ro sai phạm gian
lận đối với thông tin và chọn lựa một phương thức đảm bảo an ninh hệ thống có hiệu
quả nhất. Kế hoạch an ninh phải được thông báo triển khai đến toàn bộ nhân viên
trong doanh nghiệp và phải được xem xét, cập nhật thường xuyên.
4.1.2. Kiểm soát con người
Đối với những nhân viên phụ trách thông tin trong doanh nghiệp cần quy định chặt chẽ
về việc bảo vệ thông tin, rà soát và đảm bảo việc truy cập hệ thống thông tin trong
doanh nghiệp đúng bộ phận, đúng chức năng và đúng quyền hạn. Đối với mỗi nhân
viên cần có mã số truy cập hay mã số thẻ riêng để họ không được phép xâm nhập vào
những bộ phận, phần hành không được phép. Điều này cũng ngăn chặn hữu hiệu việc
phá hoại từ các đối tượng bên ngoài doanh nghiệp.
4.1.3. Kiểm soát vận hành hệ thống máy tính
Doanh nghiệp nên thiết lập hệ thống máy tính theo mô hình máy chủ - máy trạm. Máy
chủ nắm toàn quyền điều khiển, kiểm soát mọi hoạt động trên máy trạm. Máy trạm chỉ được phép truy cập theo những phân quyền do máy chủ cấp quyền. Mỗi máy trạm được cấp mật mã và mã số riêng và mọi thông tin truy cập đều được thông báo về máy
Hạn chế việc cài đặt các phần mềm khác vào máy tính làm ảnh hưởng đến quá trình
hoạt động chung của toàn hệ thống. Không nên sử dụng các thiết bị ghi chép sao lưu
dữ liệu như USB, thẻ nhớ hay ổ cứng nhằm tránh trường hợp bị sao chép thông tin và
lây nhiễm virus.
Hình thành thói quen việc tuân thủ pháp luật về luật sở hữu trí tuệ để trang bị các phần
mềm rõ nguồn gốc xuất xứ, có bản quyền do nhà sản xuất cung cấp. Thêm vào đó
doanh nghiệp còn có thêm nhiều tiện ích khi được cập nhật thường xuyên các bản sửa
lỗi từ nhà cung cấp nâng cao tính ổn định và an toàn của hệ thống và tránh được nhiều
rủi ro trong quá trình vận hành.
Doanh nghiệp cần thiết lập và kiểm soát hệ thống thư điện tử, kiểm soát các trang web
và truy cập internet. Bộ phận IT thiết lập những ràng buộc nhằm ngăn chặn những thư rác, thư quảng cáo hay thư có đường link chứa virus có thể gây nguy hại đến hệ thống
máy tính của công ty. Đối với trang web của doanh nghiệp do chính doanh nghiệp
quản lý cũng cần phải được kiểm soát chặt chẽ như cách ly tiếp cận các trang web có nguy cơ gây hại, giới hạn số lượng trang web được phép truy cập và thời gian truy cập
cũng như mật khẩu truy cập cần được kiểm soát.
4.1.4. Phân chia trách nhiệm trong các chức năng của hệ thống
Đặc trưng của hệ thống thông tin doanh nghiệp là tính tích hợp cao, do vậy các thủ tục thường được thực hiện bởi các cá nhân riêng biệt có thể được kết hợp trong chức năng
của một cá nhân. Do vậy, cần phải phân chia trách nhiệm trong các chức năng của hệ
thống một cách đầy đủ, quyền và trách nhiệm cần phải được phân chia một cách rạch
ròi giữa các chức năng sau:
- Chức năng phân tích hệ thống: Các chuyên viên cần phải xác định nhu cầu thông tin,
thiết kế hệ thống thông tin kế toán và cung cấp các thông tin theo nhu cầu đã được xác định.
- Chức năng lập trình: Các chuyên viên lập trình căn cứ vào các thiết kế do các chuyên
viên phân tích hệ thống cung cấp để viết các phần mềm theo yêu cầu đưa ra.
- Vận hành hệ thống máy tính: Người vận hành máy tính sẽ sử dụng máy tính và phần
mềm, đảm bảo dữ liệu được nhập chính xác, xử lý chính xác và các báo cáo cần thiết được cung cấp.
- Người dùng hệ thống: Người sử dụng hệ thống tại các phòng ban sẽ thu thập nghiệp
vụ, nhập liệu, xét duyệt dữ liệu được xử lý và sử dụng các kết quả do phòng ban cung
cấp.
- Thư viện dữ liệu của hệ thống thông tin kế toán: Quản trị thư viện dữ liệu là bộ phận
bảo trì dữ liệu, các tập tin dữ liệu và chương trình, lưu trữ và phục hồi dữ liệu hệ
thống.
- Kiểm soát dữ liệu: Nhóm chuyên viên kiểm soát dữ liệu có chức năng đảm bảo các
nguồn dữ liệu được xét duyệt một cách đầy đủ và chính xác, giám sát quy trình làm
việc trên hệ thống máy tính, kiểm tra, đối chiếu nhập liệu và kết xuất, sửa chữa các
mẩu tin sai sót do nhập liệu và kiểm soát việc chuyển giao các kết xuất của hệ thống.
Một cá nhân thực hiện hai hay nhiều hơn trong số các chức năng trên sẽ có nhiều cơ
hội để thực hiện các hành vi gian lận, hay có thể bỏ qua các sai sót.