1.4.1.5 Chịu sự phụ thuộc vào hệ thống điện
Khác với hệ thống thông tin được xử lý tay, đối với hệ thống thông tin được xử lý bằng máy tính lại phải chịu sự phụ thuộc rất nhiều vào hệ thống điện cung cấp. Do đó, khi điện bị mất sẽ làm cho máy tính khơng thể hoạt động, kéo theo việc xử lý thông tin bằng máy tính trở nên thừa thãi. Vì vậy khi tổ chức xử lý thơng tin bằng máy tính, các tổ chức cũng cần có những biện pháp dự phịng để đối phó với những tình huống này, chẳng hạn như khi mất điện phịng kế tốn cần phải quay lại hệ thống xử lý tay truyền thống để ghi nhận các nghiệp vụ kinh tế phát sinh thay cho phần mềm kế tốn ngay lập tức để khơng làm gián đoạn các hoạt động tại doanh nghiệp và khi nào nguồn điện được khôi phục sẽ tiến hành ghi nhận lại các nghiệp vụ này vào phần mềm.
1.4.1.6 Chịu sự chi phối và phụ thuộc nhiều vào cơ chế kiểm soát của
phần mềm ứng dụng
Việc sử dụng phần mềm kế tốn vào trong cơng tác kế tốn tại các doanh nghiệp hiện nay cũng cần phải được quan tâm đúng mức. Bởi lẽ có một thực tế là hiện nay thì chỉ có một số ít các phần mềm kế tốn được sản xuất theo dạng may đo, cịn lại đa số đều là sản phẩm đóng gói nên chúng được thiết kế theo chuẩn của nhà sản xuất phần mềm. Với sự ra đời của chứng từ điện tử, sổ sách và báo cáo điện tử do phương pháp kế toán máy cung cấp đã thay thế cho chứng từ, sổ sách và báo cáo giấy được lập theo phương pháp thủ công truyền thống đã cho thấy một số điểm khác biệt đáng kể giữa hai phương pháp này.
Điểm khác biệt cơ bản nhất là trình tự ghi chép, chuyển sổ và lập báo cáo bằng phương pháp kế tốn máy khơng cịn được thực hiện tuần tự như phương pháp thủ công nữa mà chúng được thực hiện đồng thời cùng một lúc. Kế đến các thủ tục kiểm soát được thiết kế trên phần mềm cũng khác nhiều so với các thủ tục kiểm soát đã thiết kế trong môi trường thủ công làm cho các doanh nghiệp phải sửa đổi lại các thủ tục này cho phù hợp, thậm chí phải miễn cưỡng thay đổi lại theo sự áp đặt không mấy chặt chẽ của phần mềm. Dưới đây là sự đề cập đến những vấn đề có ảnh hưởng đến việc thiết kế và thực hiện các thủ tục kiểm soát thường thấy ở các phần mềm ứng dụng:
§ Các nghiệp vụ cùng loại, cùng tính chất thường được phần mềm xử lý hàng loạt theo cùng một phương pháp nên dẫn đến nếu có một khiếm khuyết nào đó trong việc phân tích, thiết kế hay lập trình phần mềm sẽ làm cho các nghiệp vụ này bị xử lý sai hàng loạt giống nhau.
§ Vì tính tiện lợi và tự động hố phục vụ cho mục đích sử dụng mà phần lớn các phần mềm thiết kế việc kiêm nhiệm, tức nhiều thủ tục kiểm soát được tập trung cho một người làm cho việc phân cơng, phân nhiệm rất
khó thực hiện. Chẳng hạn như màn hình nhập liệu hoá đơn bán hàng được thiết kế kiêm luôn phiếu xuất kho nên khi phân quyền cho kế toán bán hàng và kế tốn kho là điều rất khó. Điều này khơng cho phép thực hiện trong hệ thống kế tốn thủ cơng.
§ Việc xét duyệt và thực hiện nghiệp vụ được các phần mềm ngầm định do các nghiệp vụ được thực hiện tự động. Điều này dẫn đến việc các nhà quản lý đã ngầm định luôn sự phê duyệt tự động của mình trên phần mềm khi chấp nhận thiết kế của phần mềm.
§ Khả năng xảy ra gian lận trên phần mềm cũng rất dễ xảy ra do việc truy cập trái phép, đánh cắp hay sửa xố thơng tin đơi khi khơng để lại dấu vết có thể thấy được bằng mắt thường. Khả năng xảy ra sai sót trên phần mềm có thể rất cao do sai sót trong thiết kế phần mềm, do con người vận hành phần mềm khơng đúng cách. Thêm vào đó; việc kiểm tra, giám sát để phát hiện gian lận và sai sót cũng giảm đi đáng kể do có sự cắt giảm nhân sự trong điều kiện sử dụng phần mềm.
§ Các phần mềm có ưu thế trong việc cung cấp các cơng cụ giám sát như công cụ theo dõi dấu vết kiểm toán… đã giúp cải thiện cơ cấu kiểm soát nội bộ tại đơn vị.
Nhìn chung, khi thiết kế kiểm soát nội bộ trong môi trường tin học cần chú ý đến các đặc điểm trên bên cạnh tận dụng các ưu thế của phần cứng và phần mềm để hạn chế bớt các rủi ro tiềm tàng có thể xảy ra.
1.4.2 Nhận diện các rủi ro tiềm ẩn đối với các hoạt động kiểm soát trong môi trường tin học
Đối với tổ chức, việc nhận diện ra các rủi ro tiềm ẩn đối với hoạt động kiểm sốt trong mơi trường tin học là việc làm hết sức cần thiết và vơ cùng quan trọng vì điều này giúp cho tổ chức chủ động trong việc thiết kế các thủ tục kiểm soát hiệu quả để bảo vệ tài sản thơng tin của mình. Từ những điểm
đã nêu về hệ thống máy tính và ảnh hưởng của chúng đối với hoạt động kiểm sốt trong mơi trường tin học đã cho thấy bên cạnh những lợi ích có được vẫn cịn đó những rủi ro tiềm ẩn. Những rủi ro này xuất phát từ sự yếu kém của hệ thống kiểm soát nội bộ do không được nhận thức đúng đắn và không được đầu tư đầy đủ đã tạo ra rất nhiều lỗ hổng tạo thuận lợi cho những rủi ro tồn tại. Cụ thể là, doanh nghiệp do khơng có một chính sách về bảo mật và an tồn thơng tin rõ ràng và cụ thể để ngăn cản hay hạn chế sự tiếp cận thông tin trái phép từ những đối tượng bên trong cũng như bên ngoài tổ chức. Kế đến là khơng có phương tiện để nhận diện ra sự tồn tại của những mối đe doạ và cuối cùng là khi có sự cố xảy ra thì khơng có biện pháp thích hợp để khắc phục. Những rủi ro tiềm ẩn có thể tóm lược như sau:
1.4.2.1 Những rủi ro xuất phát từ thiết bị phần cứng
Trong hệ thống máy tính, thiết bị phần cứng được xem là nền móng để cho các phần mềm có thể vận hành được. Tuy nhiên, nếu phần cứng không được đầu tư đúng mức sẽ làm cho phần mềm vận hành không hiệu quả như phần mềm chạy chậm, phát sinh nhiều lỗi vu vơ, phần mềm hay bị treo không đảm bảo được sự liên tục hay thậm chí phần mềm cho kết quả tính tốn khơng chính xác. Ngồi những thiết bị phần cứng phục vụ cho việc điều khiển chung, hỗ trợ về tốc độ xử lý thì bộ nhớ lưu trữ thơng tin ổ cứng là bộ phận cực kỳ quan trọng. Nhờ ổ cứng mà các thông tin được lưu trữ từ ngày này qua tháng nọ, từ năm này qua năm nọ với dung lượng cực kỳ lớn mà không một loại giấy tờ nào có thể thực hiện được. Bên cạnh đó thì ổ cứng cịn là nơi lưu trữ thông tin cho hệ điều hành và các phần mềm ứng dụng. Nhưng bộ nhớ ổ cứng cũng là thiết bị dễ bị hỏng hóc nhất vì những tác động bởi thời gian sử dụng, mơi trường và con người. Do đó, nếu tổ chức khơng duy trì biện pháp phịng ngừa như thiết kế thêm các ổ cứng phụ chạy song hành hay các thiết bị lưu trữ khác thì có thể phải trả giá đắt cho sự an toàn của dữ liệu.
1.4.2.2 Những rủi ro xuất phát từ sự vận hành của hệ thống mạng
Hệ thống mạng được xem là con đường huyết mạch về trao đổi thơng tin giữa những người dùng máy tính. Tuy nhiên, do cơ chế chia sẻ thông tin trên mạng cho nhiều người cùng sử dụng đã tạo điều kiện cho sự xâm nhập bất hợp pháp hay phá hoại. Lợi dụng kẽ hở này mà nhiều người dùng vì lợi ích cá nhân đã cố tình truy xuất những thơng tin không được phép, sử dụng thơng tin sai mục đích hay vì mục đích phá hoại. Thêm vào đó, do phải phục vụ cho nhiều người cùng sử dụng mà các phần mềm ứng dụng phải phụ thuộc vào sự điều hành của hệ thống mạng. Điều này có nghĩa là tốc độ xử lý dữ liệu, tốc độ truyền tin từ phần mềm khi chạy trên mạng bị gián đoạn, bị chậm lại hay thậm chí kết quả thơng tin truyền đi bị xử lý sai.
1.4.2.3 Những rủi ro xuất phát từ sự thiết kế của phần mềm ứng dụng
Việc thiết kế các thủ tục kiểm sốt nội bộ trong tổ chức có sử dụng phần mềm ứng dụng phụ thuộc nhiều vào các thiết kế có sẵn của phần mềm. Sự phụ thuộc này được thể hiện qua một số thủ tục kiểm soát như phân quyền, thủ tục kiểm sốt nhập liệu thơng tin đầu vào, thủ tục kiểm sốt các tính tốn và xử lý số liệu. Do đó, nếu như phần mềm ứng dụng khơng có những thiết kế phục vụ cho kiểm sốt thì độ tin cậy của phần mềm sẽ khơng thực sự cao.
1.4.2.4 Những rủi ro xuất phát từ công việc lưu trữ dữ liệu
Dữ liệu được xem là tài sản quý giá của doanh nghiệp, do đó cơng tác lưu trữ dữ liệu phải được xem trọng. Cụ thể, doanh nghiệp phải thực hiện sao lưu dữ liệu thường xuyên trên nhiều thiết bị và định kỳ phải kiểm tra lại các dữ liệu có được sao lưu đầy đủ không hay dữ liệu có cịn vận hành được hay khơng. Chính những biện pháp này giúp cho dữ liệu được vẹn toàn và là kế hoạch tốt cho sự phục hồi dữ liệu nếu có sự cố xảy ra.
1.4.2.5 Những rủi ro xuất phát từ sự tác động bên ngồi và sự khơng trung thực của con người
Ngồi những rủi ro chính ở trên thì ngun nhân gây ra rủi ro cịn do tác động của môi trường như thiên tai, chiến tranh, khủng bố, hoả hoạn, nguồn năng lượng, sự vận hành không đúng cách về phần cứng và phần mềm, và đặc biệt là những đe doạ từ phía những con người không trung thực trong doanh nghiệp.
Như vậy để có thể giảm thiểu những rủi ro, tăng cường độ tin cậy của thông tin; doanh nghiệp cần phải có những quy định chặt chẽ về chính sách bảo mật và an tồn thơng tin. Trong đó, cần phải đặc biệt quan tâm đến các hoạt động kiểm sốt trong mơi trường tin học.
Kết luận chương 1
Từ những tìm hiểu ở trên cho thấy, cấu tạo của hệ thống kiểm sốt nội bộ trong mơi trường thủ cơng và cấu tạo của hệ thống kiểm soát nội bộ trong môi trường tin học là như nhau. Chúng chỉ khác nhau ở chỗ là kiểm sốt nội bộ trong mơi trường tin học được thực hiện với sự trợ giúp của máy tính và các phần mềm ứng dụng. Trong khi, kiểm sốt nội bộ trong mơi trường thủ cơng chủ yếu do con người tự thực hiện.
Như vậy, từ việc tìm hiểu các thành phần của hệ thống máy tính đã cho thấy chúng có ảnh hưởng đáng kể đến việc thiết kế các thủ tục kiểm soát cho từng hoạt động kiểm soát của một tổ chức. Điều này có nghĩa là các tổ chức phải hiểu rõ đặc điểm của kiểm soát nội bộ trong mơi trường tin học để có thể xây dựng cho tổ chức của mình một hệ thống kiểm sốt nội bộ phù hợp, có thể thực thi hiệu quả nhằm cung cấp thông tin đáng tin cậy được xử lý bằng máy tính. Bên cạnh đó, thơng qua những tìm hiểu ở trên cũng giúp cho chúng ta có cái nhìn khách quan để tìm hiểu về các hoạt động kiểm soát trên thực tế tại các doanh nghiệp Việt Nam hiện nay.
CHƯƠNG 2
TÌM HIỂU THỰC TẾ VỀ CÁC HOẠT ĐỘNG KIỂM SỐT TRONG MÔI TRƯỜNG TIN HỌC TẠI CÁC DOANH NGHIỆP VIỆT NAM
Việc tìm hiểu thực tế về các hoạt động kiểm sốt trong mơi trường tin học được thực hiện thơng qua tìm hiểu, quan sát trực tiếp và điều tra thông qua bảng câu hỏi với các nội dung chính liên quan đến ba hoạt động kiểm soát bao gồm: hoạt động kiểm soát chung, hoạt động kiểm soát ứng dụng và hoạt động kiểm soát dữ liệu. Cuộc điều tra này được thực hiện tại hầu hết các doanh nghiệp Việt Nam, liên doanh giữa Việt Nam với nước ngoài hoặc doanh nghiệp có vốn đầu tư nước ngồi tại Việt Nam với cỡ mẫu chọn lọc bao gồm 30 doanh nghiệp đang đóng trên địa bàn TP.HCM, Bình Dương và Đồng Nai. Trong đó bao gồm:
Quốc tịch doanh nghiệp:
§ Doanh nghiệp Việt Nam: 22; chiếm 73,33% § Doanh nghiệp liên doanh: 2; chiếm 6,67% § Doanh nghiệp Nhật Bản: 3; chiếm 10% § Doanh nghiệp Trung Quốc: 1; chiếm 3,33% § Doanh nghiệp Mỹ: 1; chiếm 3,33%
§ Doanh nghiệp Đài Loan: 1; chiếm 3,33%
Hình thức sở hữu vốn:
§ Cổ phần: 15 doanh nghiệp; chiếm 50%
§ 100% vốn nước ngoài: 4 doanh nghiệp; chiếm 13,33% § TNHH: 8 doanh nghiệp; chiếm 26,67%
§ Liên doanh: 2 doanh nghiệp; chiếm 6,67% § Vốn Nhà nước: 1 doanh nghiệp; chiếm 3,33%
§ Tất cả 15 doanh nghiệp cổ phần đều có ban kiểm sốt § Có 1 doanh nghiệp Nhà nước có ban kiểm sốt
§ 14 doanh nghiệp cịn lại khơng có ban kiểm sốt
Loại hình doanh nghiệp:
§ Sản xuất, thương mại: 15 doanh nghiệp; chiếm 50% § Thương mại: 7 doanh nghiệp; chiếm 23,34%
§ Dịch vụ: 4 doanh nghiệp; chiếm 13,33%
§ Thương mại, dịch vụ: 4 doanh nghiệp; chiếm 13,33%
Phụ lục 2.1 – Danh sách các doanh nghiệp được khảo sát
Phụ lục 2.2 – Mẫu bảng câu hỏi khảo sát về các hoạt động kiểm soát trong môi trường tin học
Phụ lục 2.3 – Danh sách các phần mềm kế toán tham khảo
Theo khảo sát cho thấy; mặc dù các cơng ty cổ phần đã có ban kiểm sốt nhưng nhiệm vụ chủ yếu của bộ phận này là tư vấn các hoạt động; giám sát và đánh giá về các chính sách, định hướng chiến lược phát triển; kiểm tra và soát xét về báo cáo tài chính. Nói cách khác; nhiệm vụ chủ yếu của họ là thay mặt hội đồng cổ đông giám sát các nhà quản lý, điều hành.
Nhìn chung, các cơng ty đều cho rằng việc tổ chức ra bộ phận kiểm toán nội bộ với những con người có khả năng chun mơn để đánh giá sự hữu hiệu của hệ thống kiểm sốt nội bộ nói chung và các hoạt động kiểm sốt nói riêng trong môi trường tin học là cần thiết và quan trọng nhằm đạt được các mục tiêu đề ra. Song do điều kiện, hoàn cảnh hiện tại chưa cho phép hoặc không đủ nguồn lực để thực hiện nên phần lớn các doanh nghiệp khơng có bộ phận này. Thậm chí, 4 trong số 30 cơng ty ở trên có tổ chức bộ phận kiểm tốn nội bộ nhưng nhiệm vụ của họ chủ yếu vẫn tập trung vào việc kiểm soát một số
vấn đề nổi cộm như kiểm soát và đánh giá việc tuân thủ quy trình của các bộ phận chức năng; tư vấn và giám sát về các thủ tục mang tính pháp chế cho các bộ phận như các điều kiện ràng buộc trên hợp đồng, giải quyết tranh chấp, kiện tụng; kiểm soát việc tuân thủ và thực thi về các chính sách như chính sách nhân sự, chế độ tiền lương của đơn vị, chính sách đào tạo…
Qua tìm hiểu, dễ nhận ra rằng hầu hết các cơng ty trên mặc dù đã có quan tâm đến vấn đề kiểm sốt trong mơi trường tin học nhưng chưa toàn diện bởi đa phần đều chưa gặp phải nhiều rủi ro bắt nguồn từ môi trường này nên họ có phần chủ quan. Từ đó cho thấy, các cơng ty này vẫn chưa ban hành chính sách dành riêng cho an tồn và bảo mật thơng tin trong điều kiện ứng dụng CNTT nên chưa có các thủ tục kiểm sốt tương ứng để đối phó với những rủi ro có thể xảy đến từ mơi trường này.
Tiếp theo dưới đây là phần khảo sát chi tiết về các vấn đề liên quan đến các hoạt động kiểm sốt trong mơi trường tin học. Các đối tượng được khảo