Bảng 2.3 : Tổng hợp mức độ hữu hiệu thành phần mơi trường kiểm sốt
3.2 Giải pháp nâng cao mức độ hữu hiệu các thành phần hệ thống KSNB
3.2.3.1 Kiểm soát chung
Kiểm soát chung được được thiết lập nhằm đảm bảo hệ thống thơng tin trên máy tính được ổn định và quản lý tốt. Để đảm những thủ tục này hỗ trợ tốt cho quá trình lập BCTC, cần thực hiện những cơng việc sau đây:
DN cần có các chính sách, các quy định hướng dẫn những thủ tục kiểm soát chung được ban hành dưới dạng văn bản và phổ biến rộng rãi cho những người liên quan. Các cá nhân, bộ phận có liên quan cần nắm vững các quy định, các thủ tục kiểm soát của đơn vị và tuân thủ theo các quy định đó. Các thủ tục kiểm sốt chung cần được xây dựng và thực hiện là:
Kiểm soát thâm nhập về mặt vật lý: thâm nhập về mặt vật lý là các hành vi
sử dụng máy tính. Máy tính có thể sử dụng cho các hành vi phạm pháp. Bên cạnh đó người dùng khơng có ý thức an ninh cao có thể dễ làm lộ bí mật dữ liệu. Các thủ tục kiểm sốt thâm nhập về mặt vật lý đảm bảo hạn chế truy cập bất hợp pháp, hạn chế thơng tin bị điều chỉnh bất chính và lộ bí mật thơng tin. Do đó khi xác lập thủ tục kiểm sốt cần lưu ý đảm bảo các thủ tục như: máy tính phải được bảo vệ, giám sát sử dụng và chỉ có người có trách nhiệm, được cấp quyền mới được sử dụng; có các thiết bị giám sát và cảnh báo; giới hạn sử dụng các phương tiện truy cập từ xa; huấn luyện người dùng việc sử dụng, vận hành và phòng chống virus máy tính
Kiểm sốt truy cập hệ thống: giới hạn quyền truy cập hệ thống máy tính với
quyền truy cập. Từng nhân viên có trách nhiệm được cấp quyền truy cập vào phần mềm, các quyền truy cập dữ liệu bao gồm đọc, ghi, thêm, sửa, xóa dữ liệu được gán cụ thể từng chức năng, từng công việc, từng cá nhân hay từng tập tin dữ liệu. Đồng thời phải ngăn chặn và hạn chế truy cập dữ liệu từ các đối tượng bên ngoài DN. Kiểm sốt truy cập được thực hiện thơng qua các biện pháp như: mật khẩu hay nhận dạng sinh học qua dấu vân tay, giọng nói,… Tùy theo khả năng tài chính DN mà áp dụng biện pháp thích hợp; sử dụng nhật ký truy cập ghi lại tất cả những hoạt động truy cập vào hệ thống, xem xét thường xuyên để kịp thời phát hiện những hành vi truy cập ngoại quyền cho phép.
Kiểm soát lưu trữ dữ liệu: DN nên có các văn bản hướng dẫn cách sao lưu
và phục hồi dữ liệu. Phần mềm kế tốn được sử dụng cũng cần có các tính năng hỗ trợ việc sao lưu và phục hồi dữ liệu. Kiểm soát việc lưu trữ gồm các thủ tục kiểm soát về thiết bị lưu trữ như đĩa cứng, đĩa mềm, đĩa CD cần phải dán nhãn, đặt tên, phân loại và sắp xếp theo thứ tự thời gian; thay thế thiết bị lưu trữ định kỳ và hủy các thiết bị lưu trữ khơng cịn sử dụng nhằm hạn chế khả năng lộ bí mật dữ liệu; bảo quản an toàn thiết bị lưu trữ.
Về việc sao lưu dự phòng, hàng ngày nhằm hạn chế mất dữ liệu do nguyên nhân khách quan hay chủ quan, DN nên có kế hoạch sao lưu dự phịng tất cả các tập tin dữ liệu. Nhà quản lý cần ban hành và thực hiện các chính sách và thủ tục kiểm soát về hoạt động này. Những chính sách này mô tả về phương pháp, thời gian sao lưu và quy trình sao lưu, phục hồi cũng như trách nhiệm của cá nhân liên quan.
Giảm thiểu thời gian chết của hệ thống: Các sự cố về điện, hay các rủi ro
khác có thể ảnh hưởng đến đến dự liệu chương trình máy tính và dữ liệu kế tốn. Do đó, cần kiểm tra, thay thế các thiết bị sắp hư hỏng, sử dụng bộ lưu điện (Uninterruptible Power System – UPS) để đảm bảo cung cấp nguồn cho hệ thống đủ thời gia sao lưu dữ liệu khi có sự cố điện.
Đảm bảo dấu vết kiểm tốn: hạn chế việc chỉnh sửa dữ liệu trực tiếp trên cơ
sổ cái. Sau khi đã cập nhật dữ liệu vào các tập tin liên quan hay sau khi khóa sổ một kỳ kế tốn, khơng được xóa hay sửa dữ liệu, mà phải nhập các bút toán đảo, các bút toán ghi bổ sung, các bút toán ghi số âm, đồng thời lập chứng từ sửa sổ đầy đủ.
Có kế hoạch phục hồi dữ liệu sau thiệt hại: dữ liệu kế tốn có thể bị các rủi
ro do cháy, nổ,…Khi xảy ra trường hợp đó tồn bộ hệ thống bị phá hủy ảnh hưởng đến việc lập và công bố BCTC, cũng như độ tin cậy của thơng tin. Do đó, DN cần có kế hoạch phục hồi hệ thống, cần lưu ý các vấn đề như:
Sao lưu dự phịng tồn bộ dữ liệu của hệ thống: xác định cá nhân chịu trách
nhiệm hay một nhóm thực hiện hoạt động phục hồi dữ liệu. Trách nhiệm bao gồm: mua sắm, cài đặt trang bị, cài đặt phần mềm, phục hồi và chuyển giao dữ liệu, mua bảo hiểm trang thiết bị, sử dụng các dịch vụ sao lưu và phục hồi dữ liệu.