Chương 5 Kết luận và Kiến nghị
5.2. Kiến nghị
5.2.1. Kiến nghị đối với việc nâng cao tính hữu hiệu của hệ thống kiểm soát nộ
Nâng cao tính hữu hiệu của hệ thống kiểm sốt nội bộ nói chung
Để nâng cao tính hữu hiệu của hệ thống kiểm soát nội bộ, các doanh nghiệp cần lựa chọn và sử dụng một khuôn mẫu lý thuyết phù hợp. Trong các khn mẫu lý thuyết về kiểm sốt nội bộ hiện nay thì khn mẫu kiểm soát nội bộ của COSO được xem là khuôn mẫu được chấp nhận rộng rãi và sử dụng phổ biến. Đặc biệt, với những thay đổi; cập nhật nhằm phản ánh những thay đổi trong môi trường hoạt động và mơi trường kinh doanh (ví dụ như: thị trường và hoạt động mang tính tồn cầu hóa, hoạt động kinh doanh ngày càng phức tạp, việc sử dụng và phụ thuộc vào công nghệ, …), mở rộng mục tiêu hoạt động và báo cáo, xây dựng các nguyên tắc hỗ trợ kiểm sốt nội bộ hữu hiệu; thì theo tác giả, khn mẫu kiểm sốt nội bộ theo báo cáo COSO năm 2013 được xem là sự lựa chọn phù hợp để các doanh nghiệp có thể thiết lập một hệ thống kiểm sốt nội bộ hữu hiệu. Theo đó, các doanh nghiệp cần tuân thủ đầy đủ các nguyên tắc khi thiết lập từng thành phần của hệ thống kiểm soát nội bộ. Bởi vì, theo COSO (2013), khi các nguyên tắc tương ứng của từng thành phần của hệ thống kiểm soát nội bộ thực sự tồn tại trong quá trình thiết kế, triển khai hệ thống kiểm soát nội bộ, đồng thời tiếp tục tồn tại và hoạt động trong quá trình vận hành thì các thành phần tương ứng mới hiện hữu, thực hiện đúng chức năng, và hoạt động một cách tích hợp, từ đó sẽ dẫn đến sự hữu hiệu của hệ thống kiểm soát nội bộ. Những nguyên tắc này được tác giả trình bày đầy đủ trong chương 2 (mục 2.1.2). Bên cạnh đó, trong mỗi ngun tắc cịn có những điểm cần tập trung (points of focus) nhấn mạnh những đặc tính quan trọng của từng nguyên tắc cùng những giải thích chi tiết (được trình bày đầy đủ trong báo cáo COSO (2013) từ
trang 87), và các doanh nghiệp có thể dựa vào đó để xác định các vấn đề, cơng việc cần phải thực hiện khi thiết lập và vận hành một hệ thống kiểm soát nội bộ hữu hiệu.
Thiết lập các hoạt động kiểm sốt trong mơi trường công nghệ thông tin
Trong môi trường kinh doanh hiện nay, phần lớn các quy trình kinh doanh đều phức tạp, thường được tự động hóa, và được tích hợp với hệ thống cơng nghệ thơng tin. Vì thế, điều quan trọng là các doanh nghiệp cần phải xem xét những ảnh hưởng của công nghệ thông tin đối với hệ thống kiểm soát nội bộ trong doanh nghiệp. Việc triển khai các thủ tục kiểm soát trong mơi trường cơng nghệ thơng tin góp phần nâng cao tính hữu hiệu của hệ thống kiểm sốt nội bộ.
Trong khuôn khổ nghiên cứu này, tác giả đưa ra một số thủ tục kiểm soát cụ thể liên quan đến hai loại kiểm sốt trong mơi trường cơng nghệ thơng tin là kiểm soát chung (gồm các thủ tục liên quan đến việc phát triển chương trình và cơ sở hạ tầng cơng nghệ, quản lý dữ liệu và hoạt động của máy tính, đảm bảo an tồn cho hệ thống, …) và kiểm soát ứng dụng (gồm các hoạt động kiểm soát gắn liền với từng ứng dụng xử lý cụ thể từ khâu thu thập dữ liệu đầu vào, hoạt động xử lý, lưu trữ dữ liệu đến cung cấp thơng tin đầu ra), từ đó các doanh nghiệp có thể làm căn cứ để thiết lập các thủ tục kiểm soát phù hợp.
Kiểm soát chung
- Kiểm sốt q trình phát triển chương trình, hệ thống mới
Để quá trình phát triển chương trình, hệ thống mới đạt được sự hữu hiệu, cần phải áp dụng thủ tục kiểm soát phân chia trách nhiệm cho các chức năng liên quan. Các chức năng chính trong q trình phát triển cần được phân chia bao gồm:
o Chức năng phân tích hệ thống: chức năng này thực hiện việc phân tích mơi trường và những yêu cầu của người dùng hiện tại, đề xuất những thay đổi cụ thể, hoặc đề xuất việc mua sắm cho hệ thống mới, …
o Chức năng lập trình chương trình ứng dụng: chức năng này chịu trách nhiệm lập trình, kiểm tra và vá lỗi các chương trình ứng dụng trên cơ sở đề xuất của các chuyên gia phân tích hệ thống.
o Chức năng quản trị cơ sở dữ liệu: chức năng này thực hiện việc duy trì cơ sở dữ liệu và hạn chế việc truy cập vào cơ sở dữ liệu đối với những người dùng.
o Chức năng vận hành hệ thống: chức năng này chịu trách nhiệm về các hoạt động hằng ngày của máy tính, gồm cả hoạt động của phần cứng và phần mềm.
o Chức năng kiểm soát dữ liệu: chức năng này đóng vai trị như cầu nối giữa người dùng và trung tâm xử lý; ghi nhận dữ liệu đầu vào trong nhật ký kiểm sốt, theo dõi q trình xử lý dữ liệu, cung cấp thông tin, và đảm bảo phù hợp với số tổng kiểm sốt.
Ngồi việc phân chia trách nhiệm, một số thủ tục kiểm soát chung khác cần được thiết lập khi phát triển hệ thống như: quá trình thiết kế hệ thống cần có sự tham gia của người dùng hệ thống nhằm đảm bảo hệ thống mới tạo ra là phù hợp với yêu cầu; khi kiểm tra một chương trình mới, hay một hệ thống mới cần có sự tham gia của cả người dùng và nhân viên hệ thống thông tin để kiểm sốt và đảm bảo tính khách quan; hệ thống mới trước khi đưa vào vận hành cần có sự chấp thuận của cả ban quản lý, người dùng và nhân viên hệ thống thông tin; khi chuyển đổi sang hệ thống mới, quá trình chuyển đổi tập tin cần phải được kiểm soát để tránh việc chỉnh sửa dữ liệu bất hợp pháp, và phải kiểm tra lại tính chính xác của dữ liệu sau khi chuyển đổi; quá trình phát triển hệ thống và các chương trình ứng dụng cần phải được lập thành tài liệu.
- Kiểm sốt q trình bảo trì/ thay đổi hệ thống, chương trình
Q trình vận hành hệ thơng tin kế tốn ln gắn liền với việc bảo trì hệ thống, chương trình (phần mềm). Để hạn chế những nguy cơ, rủi ro xảy ra trong quá trình bảo trì, các doanh nghiêp cần kiểm soát chặt quá trình bảo trì hệ thống với một số thủ tục kiểm sốt như: giám đốc hệ thống thơng tin cần phải xem xét tất cả các thay đổi trước khi thực hiện; chương trình cần phải được kiểm tra lại sau khi đã chỉnh sửa; mọi thông tin chi tiết về tất cả những thay đổi cần phải được lập thành tài liệu, gồm các chú thích liên quan đến thay đổi chương trình như thời gian và bản chất của việc thay đổi, tên nhân viên thực hiện việc thay đổi, và người chấp thuận, ký duyệt sau khi đã kiểm tra lại chương trình.
Trong q trình vận hành hệ thống thơng tin, các chương trình và dữ liệu đóng vai trị rất quan trọng, ảnh hưởng trực tiếp đến chất lượng đầu ra của hệ thống. Các doanh nghiệp cần thiết lập các thủ tục kiểm sốt để đảm bảo an tồn cho chương trình và dữ liệu, nhằm tránh những nguy cơ sự truy cập bất hợp pháp. Một số thủ tục kiểm soát cần được thiết lập như:
o Kiểm soát phân chia trách nhiệm
Việc truy cập vào tài liệu chương trình nên được giới hạn cho những người cần nó trong việc thực hiện nhiệm vụ. Các tập tin dữ liệu và các chương trình nên được giới hạn quyền truy cập cho những cá nhân có thẩm quyền để xử lý dữ liệu. Truy cập vào phần cứng máy tính nên được giới hạn cho các cá nhân có thẩm quyền như các nhân viên vận hành máy tính.
o Kiểm sốt thâm nhập vật lý
Những thủ tục kiểm soát này được thiết kế nhằm đảm bảo an tồn cho máy tính và việc sử dụng máy tính, hạn chế các thiệt hại vật chất cho máy tính và các thiết bị phần cứng xuất phát từ những hành vi thâm nhập, sử dụng máy tính và các trang thiết bị phần cứng bất hợp pháp. Các thủ tục kiểm soát thâm nhập vật lý các doanh nghiệp có thể thiết lập như: trang thiết bị phần cứng và máy tính cần phải đặt ở những nơi có khóa bảo vệ, được giám sát sử dụng, kết hợp với thủ tục kiểm soát phân chia trách nhiệm đã trình bày ở trên; đặc biệt, phòng chứa máy chủ chứa đựng những dữ liệu đặc biệt nhạy cảm cần được bảo vệ bằng những công nghệ hiện đại hơn như sử dụng đầu đọc thẻ, bàn phím số, hoặc các thiết bị nhận dạng sinh học như máy quét võng mạc, nhận dạng vân tay, nhận dạng giọng nói.
o Kiểm sốt truy cập
Trong mơi trường công nghệ thông tin hiện nay với việc tích hợp và chia sẽ dữ liệu ngày càng cao thì những nguy cơ, rủi ro xảy ra đối với chương trình và dữ liệu càng lớn. Do đó, để đảm bảo an tồn cho dữ liệu và chương trình, các doanh nghiệp cần thiết lập các thủ tục kiểm soát như: sử dụng kết hợp với thủ tục kiểm soát phân chia trách nhiệm để phân quyền truy cập cho người dùng hệ thống. Thiết lập các tài khoản người dùng với một mã số nhận dạng duy nhất và một mật khẩu bí mật sử dụng cả chữ cái, số, biểu tượng; thay đổi
định kỳ; và vơ hiệu hóa khi nhân viên rời khỏi cơng ty. Ngồi ra, để đảm bảo an tồn cho dữ liệu trong trường hợp hệ thống bị truy cập trái phép; trường hợp dữ liệu được chuyển giao trong mơi trường internet; hoặc để đảm bảo an tồn và xác nhận tính hợp lệ của các giao dịch thương mại điện tử, các doanh nghiệp có thể sử dụng thủ tục mã hóa dữ liệu được thực hiện bởi phần mềm.
Kiểm sốt ứng dụng
Trong mơi trường cơng nghệ thơng tin, các thủ tục kiểm sốt ứng dụng trong hệ thống thông tin phần lớn là những thủ tục được thực hiện tự động gắn với chương trình phần mềm ứng dụng. Do đó, phần này tác giả đưa ra một số những thủ tục kiểm sốt ứng dụng phổ biến, từ đó các doanh nghiệp có thể làm căn cứ để lựa chọn một phần mềm (trong trường hợp mua phần mềm thương phẩm), hoặc lập trình phần mềm (trong trường hợp doanh nghiệp tự viết phần mềm) đảm bảo tính kiểm sốt.
- Kiểm sốt nhập liệu đầu vào: dữ liệu đầu vào có vai trị rất quan trọng trong việc tạo ra thông tin có chất lượng, nếu dữ liệu được nhập vào hệ thống khơng chính xác, khơng đầy đủ, khơng hợp lệ thì đầu ra cũng sẽ tương tự. Một số thủ tục kiểm soát nhập liệu phổ biến gồm:
o Kiểm tra kiểu dữ liệu: trong các dữ liệu được nhập vào hệ thống, có những dữ liệu là ngày tháng, dữ liệu kiểu số và cả dữ liệu dạng chữ. Thủ tục này được thiết lập nhằm kiểm tra đúng loại dữ liệu được nhập vào hệ thống. Ví dụ, nhập liệu cho dữ liệu đơn giá yêu cầu dữ liệu phải là dữ liệu kiểu số.
o Kiểm tra dấu: thủ tục này nhằm đảm bảo một số dữ liệu kiểu số khi nhập vào hệ thống khơng thể là số âm, ví dụ như dữ liệu số lượng hàng xuất kho, số tiền thanh toán, hay đơn giá bán, …
o Kiểm tra giới hạn: nhằm đảm bảo các dữ liệu kiểu số được nhập vào hệ thống không được lớn hơn hoặc nhỏ hơn một giá trị cố định nào đó. Thủ tục này thường được thiết lập cho một số dữ liệu như: dữ liệu ngày công/ số giờ làm việc trong tuần hoặc tháng không được vượt quá giới hạn quy định, dữ liệu số
lượng xuất kho không được vượt quá số lượng tồn kho, số tiền chi ra không được vượt quá số tồn quỹ, …
o Kiểm tra dữ liệu đầy đủ: thủ tục này nhằm đảm bảo các dữ liệu cần thiết phải được nhập vào hệ thống, tránh bỏ sót các dữ liệu quan trọng. Thủ tục này được thiết lập gắn với từng trường hợp nhập liệu khác nhau. Ví dụ, nhập liệu ghi nhận một giao dịch bán hàng thì không thể thiếu các dữ liệu về khách hàng, hay những dữ liệu về hàng hóa, …
o Kiểm tra dữ liệu có thực: thủ tục này được thiết kế nhằm tránh trường hợp nhân viên nhập những dữ liệu khơng có thật (khai khống dữ liệu) vào hệ thống. Ví dụ, nhập dữ liệu về một nhân viên không làm việc trong công ty, một khách hàng/ nhà cung cấp khơng có thật, … Thủ tục này được thực hiện bằng cách thiết lập trên phần mềm, quy định những dữ liệu đó khơng được nhập trực tiếp mà phải chọn từ một danh mục có sẵn (ví dụ danh mục nhân viên, khách hàng, ..) – danh mục này phải được khai báo sẵn trên hệ thống bởi người có thẩm quyền.
o Kiểm tra dữ liệu hợp lý: thủ tục này nhằm đảm bảo sự chính xác trong mối quan hệ logic giữa hai dữ liệu được nhập vào hệ thống. Ví dụ, hệ thống sẽ báo lỗi nếu nhập ngày đặt hàng là ngày sau ngày phát sinh hóa đơn, hay số chứng từ nhập vào hệ thống bị trùng, …
- Kiểm soát xử lý dữ liệu: các thủ tục kiểm soát xử lý dữ liệu được thiết lập nhằm đảm bảo tính chính xác trong q trình xử lý số liệu, loại trừ các yếu tố bất thường trong quá trình xử lý. Các thủ tục kiểm soát xử ký thường được thiết lập bao gồm:
o Kiểm tra dữ liệu phù hợp: thủ tục này đòi hỏi dữ liệu trước khi được xử lý, cập nhật phải đảm bảo phù hợp với các dữ liệu có liên quan. Ví dụ, trước khi ghi nhận hóa đơn và thanh tốn cho nhà cung cấp, hệ thống cần phải xác nhận rằng thông tin trên hóa đơn là phù hợp với thông tin trên đơn đặt hàng và thông tin trên báo cáo nhận hàng.
o Tính tốn lại tổng số lô: trong trường hợp xử lý theo lơ, để tránh những sai sót trong q trình xử lý dữ liệu như xử lý sót các giao dịch, hoặc xử lý trùng lắp các giao dịch, … thì hệ thống phải có khả năng tính tốn lại tổng số lơ để so sánh với tổng giá trị ban đầu của lô chứng từ gốc.
o Kiểm tra ràng buộc dữ liệu: thủ tục này được thiết lập nhằm đảm bảo những dữ liệu sau khi nhập và cập nhật vào hệ thống phải có mối quan hệ ràng buộc với nhau để tránh những rủi ro liên quan đến việc chỉnh sửa, xóa dữ liệu bất hợp pháp. Ví dụ, khơng thể xóa một hóa đơn mua hàng khỏi hệ thống khi đã có một nghiệp vụ thanh tốn tiền liên quan đến hóa đơn đó.
- Kiểm sốt đầu ra: một số thủ tục kiểm sốt nhằm đảm bảo an tồn cho kết xuất đầu ra của hệ thống mà các doanh nghiệp cần quan tâm như: đối chiếu giữa kết xuất đầu ra với dữ liệu đầu vào thông qua số tổng kiểm sốt để đảm bảo tính chính xác của thơng tin; đảm bảo an tồn cho kết xuất và thơng tin nhạy cảm của doanh nghiệp bằng các thủ tục phân chia trách nhiệm và quyền kết xuất thông tin, hoặc sử dụng những giải pháp an ninh mạng trong trường hợp chuyển giao thông tin trên hệ thống mạng máy tính; quy định hủy các thơng tin bí mật sau khi tạo ra kết xuất trên các bản in thử, bản nháp, …