6. Kết cấu của luận văn
2.3. Đánh giá tình hình sử dụng hệ thống phần mềm kế toán
2.3.5. Kiểm soát nội bộ
Nhà quản lý doanh nghiệp, các kiểm toán viên nội bộ, kiểm toán viên độc lập khi kiểm tra chứng từ, sổ kế toán, báo cáo kế toán rất quan tâm đến vấn đề bảo mật thông tin. Vấn đề kiểm soát nội bộ khá rộng, trong phạm vi nghiên cứu của đề tài, đề tài chỉ khảo sát qua các chỉ tiêu như sau:
2.3.5.1. Kiểm soát quyền sử dụng hệ thống
Nhằm ngăn chặn người khơng có quyền hạn và nhiệm vụ xâm nhập vào hệ thống. Việc kiểm soát này được thực hiện qua hai mức: mức vật lý và mức ứng dụng.
Mức vật lý là hạn chế sự tiếp cận, việc sử dụng máy tính có phần mềm kế tốn và máy chủ lưu cơ sở dữ liệu. Theo kết quả khảo sát thì máy tính và máy chủ cơ sở dữ liệu của bệnh viện thuộc cùng một máy tính và thuộc quản lý của kế tốn trưởng, đặt trong phịng kế tốn trưởng. Như vậy mức vật lý chỉ hạn chế được sự tiếp cận máy chủ của những người không phải là nhân viên của phịng kế tốn.
Mức ứng dụng là sử dụng hàng rào phần mềm để hạn chế sử dụng phần mềm. Máy tính và máy chủ sử dụng Windows XP và như vậy có mức ứng dụng đầu tiên là mức quản lý đăng nhập của chính hệ điều hành Windows XP (cịn có nhiều lỗ hổng bảo mật).
Mức ứng dụng thứ hai là sử dụng phần mềm kế toán, tại mức này phần mềm kế tốn khơng có thiết kế phân biệt người sử dụng (khơng có đăng nhập vào
phần mềm) nên nếu vượt qua được mức ứng dụng thứ nhất thì có thể sử dụng được ngay phần mềm kế toán.
Mức ứng dụng thứ ba là mật khẩu cơ sở dữ liệu, tài khoản và mật khẩu cơ sở dữ liệu có sự phân cấp, phân quyền rõ ràng theo 3 cấp: quản trị, kế toán trưởng, kế toán nghiệp vụ. Tài khoản và mật khẩu được quản lý bởi máy chủ cơ sở dữ liệu SQL Server. Tuy nhiên tài khoản và mật khẩu lại được lưu trong phần mềm kế toán nên khi sử dụng được phần mềm kế toán (đã lưu tài khoản và mật khẩu), người dùng lại không bị giới hạn bởi mức ứng dụng thứ ba.
2.3.5.2. Kiểm sốt chương trình
Chương trình kế tốn được thiết kế và cài đặt bằng Visual Fox. Bản cung cấp cho bệnh viện đã được biên dịch và không cung cấp mã nguồn. Như vậy việc chỉnh sửa chương trình để thực hiện những thao tác không hợp lệ/hợp pháp là khơng thực hiện được.
2.3.5.3. Kiểm sốt nhập liệu
Dữ liệu kế toán phần lớn do con người nhập vào phần mềm thông qua các form nhập dữ liệu. Phần mềm kế tốn xử lý, báo cáo có chính xác, trung thực hay khơng cũng phụ thuộc rất lớn vào nguồn dữ liệu này.
Trong quy trình thực hiện của phần hành kế toán, các nhân viên kế tốn nhập dữ liệu, sau đó in ra và chờ duyệt của kế tốn trưởng, sau đó dữ liệu mới được tổng kết chuyển sang phần tổng hợp. Như vậy quy trình này đảm bảo được dữ liệu nhập vào là khơng thiếu, khơng sai sót và khơng trùng lắp.
Trong phần tổng hợp, dữ liệu được lấy từ phần hành chi tiết và chỉ phát sinh khi có dữ liệu trong phần hành chi tiết nên dữ liệu tại đây cũng đảm bảo được tính đầy đủ và chính xác của nó.
2.3.5.4. Kiểm sốt xử lý dữ liệu
Mọi nhà quản lý đều cần thông tin kịp thời để ra quyết định. Tuy nhiên cũng như làm bằng thủ cơng, máy tính cũng phải tính giá, kết chuyển giá vốn, doanh thu, chi phí thì mới có thể cung cấp thông tin được. Nhưng phải chờ để thực hiện xong các thủ tục để in báo cáo thì u cầu về kịp thời chắc chắn khơng bảo đảm. Vì vậy phần mềm vẫn cho phép in cáo báo cáo kế tốn khi khơng cần phải kết chuyển toàn bộ số liệu. Đây là vấn đề rất tốt để kế toán lập bảng cân đối tài khoản thử, lập báo cáo kế toán phục vụ cho việc cung cấp thông tin để ra quyết định,…
2.3.5.5. Bảo vệ dữ liệu
Nghĩa là không thể xem được dữ liệu bằng các phần mềm khác hoặc bằng chính phần mềm kế tốn tương tự nếu khơng có mật khẩu để giải mã dữ liệu − mật khẩu giải mã dữ liệu khác với mật khẩu đăng nhập của người dùng.
Cơ sở dữ liệu của phần mềm kế toán là SQL Server 2005. Tại phiên bản này, SQL Server mới chỉ có phân cấp, phân quyền truy xuất cơ sở dữ liệu (đăng
nhập) chứ chưa hỗ trợ chức năng mã hóa dữ liệu (Transparent Data Encryption – TDE). Khi cơ sở dữ liệu chưa có TDE thì bắt buộc phải lưu trữ dữ liệu ngay tại bệnh viện thay vì có thể th dịch vụ lưu trữ riêng để đạt sự chun mơn hóa cao. 2.3.5.6. Sao lưu dữ liệu
Sao lưu dữ liệu đối với theo ý nghĩa kế toán trong quy định hiện tại của Bộ tài chính thực sự chưa phải là tối quan trọng bởi vì mặc dù Bộ tài chính cho phép sử dụng phần mềm để làm kế toán, vẫn cần có ít nhất một bản in để lưu lại. Do đó việc mất thơng tin kế tốn là khơng đáng lo ngại.
Hình 2.8: Dữ liệu sao lưu là các file DBF khơng được mã hóa
Tuy nhiên, đối với phần mềm thì khơng chỉ cần thơng tin kế tốn mà cịn cần thơng tin theo đúng định dạng mà phần mềm đang sử dụng, đang hỗ trợ. Điều này dẫn đến việc sao lưu dữ liệu của phần mềm kế toán đang sử dụng trở nên cấp thiết hơn. Vì nếu xảy ra sự cố mà khơng có dữ liệu sao lưu, việc nhập lại dữ liệu từ các bản in tốn chi phí rất cao và cũng rất mất thời gian.
Theo khảo sát trên phần mềm kế tốn của bệnh viện, phần mềm chỉ có chức năng Sao chép dữ liệu để người dùng thực hiện nhằm chuyển dữ liệu từ máy chủ
sang thiết bị lưu trữ khác và ngược lại, chép dữ liệu từ thiết bị lưu trữ khác vào máy chủ. Khi dữ liệu được sao chép sang thiết bị khác, định dạng được sử dụng là file cơ sở dữ liệu DBF, và những file này lại khơng được mã hóa nên việc rị rỉ hoặc chỉnh sửa thơng tin trên dữ liệu sao lưu có thể xảy ra.
Phần mềm kế tốn chỉ cung cấp cơng cụ, cịn việc sao lưu do con người thực hiện nên tần suất thực hiện khơng đều và khơng đảm bảo an tồn tối đa cho dữ liệu kế toán.
Thiết bị dùng để chứa dữ liệu sao lưu lại chính là đĩa cứng của máy chủ, hoặc là ổ đĩa gắn ngoài của người sao lưu. Các thiết bị này vốn không phải là thiết bị chuyên dụng để sao lưu nên hiệu quả sao lưu kém.
Việc tiếp cận dữ liệu sao lưu bao gồm cả chuyên viên vi tính và kế tốn viên là chưa đảm bảo an tồn cho dữ liệu sao lưu.
Hình 2.9: Chức năng sao lưu dữ liệu của phần mềm kế toán
2.3.5.7. Phục hồi dữ liệu sao lưu
Khi xảy ra sự cố liên quan đến máy chủ, việc quyết định chọn bản sao lưu nào để phục hồi và thời điểm phục hồi dữ liệu cho phần mềm kế toán cũng rất quan trọng. Nếu chọn bản sao lưu mới nhất thì có khả năng các khiếm khuyết đã xuất hiện ngay trong bản sao lưu đó. Nếu chọn bản sao lưu cũ hơn thì số lượng dữ liệu kế tốn bị mất đi lại lớn.
Tại bệnh viện, việc quyết định phục hồi do kế tốn trưởng và cơng ty phần mềm cùng phối hợp thực hiện nên có thể tùy nghi chọn giải pháp trung hòa giữa các bản sao lưu.