1 BỘ GIÁO DỤC VÀ ĐÀO TẠO LỜI CAM ĐOAN TRƯỜNG ĐẠI HỌC KINH TẾ TP HỒ CHÍ MINH Tôi xin cam đoan công trình nghiên cứu khoa học với cố vấn người hướng dẫn khoa học Những nội dung trình bày đề tài ĐỒNG QUANG CHUNG hoàn toàn trung thực có sai trái xin hoàn toàn chịu trách nhiệm Tác giả luận văn Đồng Quang Chung ĐỀ XUẤT MỘT SỐ GIẢI PHÁP XÂY DỰNG CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC CHO CÁC DOANH NGHIỆP VIỆT NAM MỤC LỤC Trang Mở đầu Chương - CÁC VẤN ĐỀ LIÊN QUAN ĐẾN HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC 1.1 TÌM HIỂU VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ Chuyên ngành: Kế toán - Kiểm toán Mã số : 60.34.30 1.1.1 Định nghĩa kiểm soát nội 1.1.2 Các phận hợp thành hệ thống kiểm soát nội 1.1.2.1 Môi trường kiểm soát LUẬN VĂN THẠC SĨ KINH TẾ 1.1.2.2 Đánh giá rủi ro 1.1.2.3 Hoạt động kiểm soát 10 NGƯỜI HƯỚNG DẪN KHOA HỌC 1.1.2.4 Thông tin truyền thông 12 PGS.TS NGUYỄN VIỆT 1.1.2.5 Giám sát 13 1.2 GIỚI THIỆU CHUNG VỀ HỆ THỐNG MÁY TÍNH 14 1.2.1 Phần cứng thiết bị ngoại vi 15 1.2.2 Phần mềm 17 TP HỒ CHÍ MINH – NĂM 2009 1.2.2.1 Phần mềm hệ thống 17 1.2.2.2 Các chương trình tiện ích 17 1.2.2.3 Ngôn ngữ lập trình trình biên dịch 18 1.4.2 Nhận diện rủi ro tiềm ẩn hoạt động kiểm soát 1.2.2.4 Phần mềm ứng dụng 18 môi trường tin học 38 1.2.2.5 Hệ quản trị sở liệu 19 1.4.2.1 Những rủi ro xuất phát từ thiết bị phần cứng 39 1.2.3 Mạng máy tính 20 1.4.2.2 Những rủi ro xuất phát từ vận hành hệ thống mạng 40 1.2.3.1 Ứng dụng mạng máy tính 20 1.4.2.3 Những rủi ro xuất phát từ thiết kế 1.2.3.2 Mạng nội mạng diện rộng 22 phần mềm ứng dụng 40 1.2.3.3 Mạng có dây mạng không dây 23 1.3 CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN 1.4.2.4 Những rủi ro xuất phát từ công việc HỌC 23 lưu trữ liệu 40 1.3.1 Hoạt động kiểm soát chung 24 1.4.2.5 Những rủi ro xuất phát từ tác động bên 1.3.2 Hoạt động kiểm soát ứng dụng 25 không trung thực người 41 1.3.3 Hoạt động kiểm soát liệu 28 Kết luận chương 42 1.4 ẢNH HƯỞNG CỦA HỆ THỐNG MÁY TÍNH ĐẾN VIỆC THIẾT Chương - TÌM HIỂU THỰC TẾ VỀ CÁC HOẠT ĐỘNG KIỂM SOÁT KẾ CÁC HOẠT ĐỘNG KIỂM SOÁT 30 TRONG MÔI TRƯỜNG TIN HỌC TẠI CÁC DOANH NGHIỆP 1.4.1 Đặc điểm hoạt động kiểm soát VIỆT NAM 43 môi trường tin học 31 2.1 Hoạt động kiểm soát môi trường tin học nhìn từ góc độ 1.4.1.1 Chịu ảnh hưởng phương pháp xử lý liệu nhà quản lý 45 hệ thống máy tính 31 1.4.1.2 Chịu ảnh hưởng phụ thuộc mặt công nghệ 2.2 Hoạt động kiểm soát môi trường tin học nhìn từ lưu trữ liệu 32 góc độ kế toán 47 1.4.1.3 Chịu chi phối phần cứng máy tính 34 2.3 Hoạt động kiểm soát môi trường tin học 1.4.1.4 Chịu ảnh hưởng hạ tầng mạng 34 nhìn từ góc độ IT 48 1.4.1.5 Chịu phụ thuộc vào hệ thống điện 36 1.4.1.6 Chịu chi phối phụ thuộc nhiều vào chế kiểm soát phần mềm ứng dụng 37 2.4 Nhận xét hoạt động kiểm soát môi trường tin học tổ chức doanh nghiệp 51 2.5 Nhận xét thủ tục kiểm soát thiết kế 3.3.2 Tổ chức lưu liệu 88 phần mềm kế toán Việt Nam 64 3.3.3 Kiểm soát liệu đối tượng Kết luận chương 65 bên doanh nghiệp 90 Chương – ĐỀ XUẤT MỘT SỐ GIẢI PHÁP XÂY DỰNG CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC CHO CÁC DOANH NGHIỆP VIỆT NAM 66 3.1 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT CHUNG 66 3.1.1 Kiểm soát người 66 3.1.2 Kiểm soát vật chất 67 3.4 ỨNG DỤNG CÁC THỦ TỤC KIỂM SOÁT TRÊN PHẦN MỀM VÀO HOẠT ĐỘNG KIỂM SOÁT MỘT SỐ CHU TRÌNH SẢN XUẤT KINH DOANH TẠI DOANH NGHIỆP 90 3.4.1 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát chu trình mua hàng 90 3.4.1.1 Mô tả chu trình mua hàng 90 3.1.3 Kiểm soát vận hành máy tính 68 3.4.1.2 Ứng dụng phần mềm vào hoạt động kiểm soát 3.2 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT ỨNG DỤNG 74 chu trình mua hàng 94 3.2.1 Những quy định ràng buộc trách nhiệm 3.4.2 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát đối tượng liên quan 75 3.2.2 Những giải pháp thủ tục kiểm soát liệu đầu vào 77 3.2.3 Những giải pháp thủ tục kiểm soát quy trình xử lý liệu 80 3.2.4 Những giải pháp thủ tục kiểm soát thông tin đầu 84 3.2.5 Những giải pháp khác thủ tục kiểm soát phần mềm ứng dụng 86 3.3 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT DỮ LIỆU 88 3.3.1 Tổ chức máy chủ 88 chu trình bán hàng 98 3.4.2.1 Mô tả chu trình bán hàng 98 3.4.2.2 Ứng dụng phần mềm vào hoạt động kiểm soát chu trình bán hàng 101 3.4.3 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát chu trình nhân sự, tiền lương 104 3.4.3.1 Mô tả chu trình nhân sự, tiền lương 104 3.4.3.2 Ứng dụng phần mềm vào hoạt động kiểm soát chu trình nhân sự, tiền lương 106 3.4.4 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát chu trình sản xuất 108 3.4.4.1 Mô tả chu trình sản xuất 108 3.4.4.2 Ứng dụng phần mềm vào hoạt động kiểm soát DANH MỤC CHỮ VIẾT TẮT chu trình sản xuất 111 CNTT : Công nghệ thông tin 3.5 BAN HÀNH CHÍNH SÁCH AN TOÀN VÀ BẢO MẬT THÔNG TIN, IT : Information Technology - Kỹ thuật thông tin HOÀN THIỆN VAI TRÒ CỦA KIỂM TOÁN NỘI BỘ TRONG CPU : Central Processing Unit - Đơn vị xử lý trung tâm ĐIỀU KIỆN ỨNG DỤNG CNTT VÀO TRONG CÔNG TÁC RAM : Random Access Memory - Bộ nhớ truy xuất ngẫu nhiên QUẢN LÝ 115 HDD : Hard Disk Drive - Ổ đĩa cứng (bộ nhớ lưu trữ) Kết luận chương 116 CSDL : Cơ sở liệu KẾT LUẬN 117 SQL : Structured Query Language - Ngôn ngữ truy vấn cấu trúc TÀI LIỆU THAM KHẢO 119 ERP : Enterprise Resources Planning - Hoạch định nguồn lực doanh nghiệp COSO: Committee of Sponsoring Organization – Uỷ ban thuộc Hội đồng quốc gia Hoa Kỳ chống gian lận báo cáo tài 10 DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU Hình 1.1 – Mô tả hệ thống máy tính 16 Bảng 2.1 – Nhìn nhận kiểm soát nội môi trường tin học 49 Hình 1.2 – Thiết bị Modem dùng để kết nối mạng internet 20 Bảng 2.2 – Kiểm soát vật chất 53 Hình 1.3 – Mô tả mạng máy tính 21 Bảng 2.3 – Kiểm soát vận hành máy tính 55 Hình 1.4 – Thiết bị Hub dùng để kết nối nhiều máy tính với 36 Bảng 2.4 – Kiểm soát liệu đầu vào phần mềm ứng dụng 57 Hình 3.1 – Mô tả tường lửa Firewall 71 Bảng 2.5 – Kiểm soát xử lý số liệu phần mềm ứng dụng 59 Hình 3.2 – Mô hình hệ thống thông tin kế toán 74 Bảng 2.6 – Kiểm soát thông tin đầu phần mềm ứng dụng 60 Bảng 2.7 – Kiểm soát liệu 62 11 12 LỜI MỞ ĐẦU có nhìn toàn diện để thiết lập hệ thống kiểm soát nội hữu hiệu nhằm bảo vệ tài sản thông tin tổ chức Tính cấp thiết đề tài: Và không nằm suy nghĩ trên, tác giả trăn trở Có thể nói thời đại ngày nay, CNTT đóng vai trò vô đến định chọn đề tài tương đối mẻ “Đề xuất số giải quan trọng sống loài người Những lợi ích mà mang pháp xây dựng hoạt động kiểm soát môi trường tin học cho lại phủ nhận Hầu lĩnh vực nào, ngành nghề ứng doanh nghiệp Việt Nam” để nghiên cứu với hy vọng mang lại cho tổ dụng CNTT điều giúp tạo suất lao động, hiệu công việc chức, doanh nghiệp nói chung đặc biệt người hoạt động vô to lớn Thực tế cho thấy; tổ chức, doanh nghiệp ứng dụng lĩnh vực kế toán, kiểm toán nói riêng nhìn toàn diện hơn, CNTT mà cụ thể việc đưa vào sử dụng phần mềm ứng dụng, phần đắn cụ thể vấn đề mềm quản trị sở liệu, kết nối cổng thông tin liên kết nội Mục tiêu nghiên cứu đề tài: hay liên kết bên giúp cho người trao đổi thông tin với Dựa sở nghiên cứu tài liệu nước ngoài; thông qua việc thực cách nhanh chóng, tiết kiệm thời gian thay dần sức người có quan sát, điều tra khảo sát thực tế doanh nghiệp Việt Nam tự động hoá ngày cao kiểm soát nội điều kiện ứng dụng CNTT; mục tiêu nghiên cứu đề Bên cạnh đó; điều kiện tin học hoá nay, việc bảo vệ thông tài đưa nhìn trực quan cụ thể kiểm soát môi trường tin tin xem công việc ưu tiên hàng đầu người ta quan niệm học để hướng đối tượng liên quan doanh nghiệp, người hành nghề kế “thông tin tài sản” để phải trả giá đắt Tuy toán, kiểm toán đến việc tổ chức hệ thống thông tin xây dựng hoạt nhiên, để thực công việc việc dễ dàng đòi hỏi động kiểm soát thật hữu hiệu điều kiện ứng dụng CNTT vào công phải có chế kiểm soát chặt chẽ, rõ ràng, tỉ mỉ chi tiết thông qua việc việc hàng ngày thiết lập hệ thống kiểm soát nội hữu hiệu tuân theo quy trình thống từ cấp lãnh đạo đến cấp nhân viên toàn tổ chức Đối tượng phạm vi nghiên cứu: Ngoài lợi ích CNTT mang lại song song Đối tượng nghiên cứu đề tài hoạt động kiểm soát thuộc hệ nhiều hạn chế hay nói khác rủi ro tiềm ẩn bên thống kiểm soát nội tổ chức môi trường tin học doanh rình rập sẵn sàng đe doạ đến tài sản thông tin tổ chức hay doanh nghiệp Việt Nam Cụ thể là; thông qua việc quan sát hoạt động kiểm soát nghiệp Do đó, việc tìm hiểu đặc điểm hệ thống kiểm soát thực tế doanh nghiệp, điều tra khảo sát đối tượng liên quan ban biện pháp ngăn ngừa, nhận diện khắc phục tác động giám đốc, phận kế toán phận IT doanh nghiệp để tìm hiểu xấu từ rủi ro môi trường ứng dụng CNTT giúp cho Tuy nhiên; đề tài đề cập đến việc tư vấn cho doanh nghiệp cách để tự thiết kế thủ tục phục vụ cho việc thực thi hoạt động kiểm soát 13 tương ứng môi trường tin học cho hữu hiệu để bảo vệ tài 14 CHƯƠNG sản thông tin gia tăng độ tin cậy thông tin xử lý môi trường CÁC VẤN ĐỀ LIÊN QUAN ĐẾN HOẠT ĐỘNG KIỂM SOÁT TRONG này, chưa thật đề cập đến toàn thành phần hệ thống kiểm MÔI TRƯỜNG TIN HỌC soát nội doanh nghiệp Phương pháp nghiên cứu: Phương pháp nghiên cứu luận văn dựa quan sát thực tế trường, khảo sát điều tra đối tượng liên quan doanh nghiệp thông qua hình thức bảng câu hỏi Đồng thời sử dụng phương pháp phân tích, thống kê tổng hợp số liệu thu thập từ thực tế để từ đưa giải pháp 1.1 TÌM HIỂU VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ 1.1.1 Định nghĩa kiểm soát nội Theo định nghĩa đưa COSO năm 1992 thì: “Kiểm soát nội trình nhà quản lý, hội đồng quản trị nhằm giải vấn đề đề cập mục tiêu nghiên cứu đề tài toàn nhân viên tổ chức chi phối, thiết lập để cung cấp Kết cấu luận văn: bảo đảm hợp lý nhằm thực ba mục tiêu: Kết cấu luận văn bao gồm: ü Báo cáo tài đáng tin cậy v Phần mở đầu ü Các luật lệ quy định tuân thủ v Chương - Các vấn đề liên quan đến hoạt động kiểm soát môi ü Hoạt động hữu hiệu hiệu quả” trường tin học v Chương - Tìm hiểu thực tế hoạt động kiểm soát môi trường tin học doanh nghiệp Việt Nam v Chương – Đề xuất số giải pháp xây dựng hoạt động kiểm soát môi trường tin học cho doanh nghiệp Việt Nam Như có bốn nội dung đề cập định nghĩa bao gồm: trình, người, đảm bảo hợp lý mục tiêu Kiểm soát nội trình: kiểm soát nội chuỗi hoạt động kiểm soát diện tất phận tổ chức chúng kết hợp v Kết luận với thành thể thống Quá trình kiểm soát xem phương v Tài liệu tham khảo tiện giúp cho tổ chức đạt mục tiêu v Phụ lục Kiểm soát nội thiết kế vận hành người: người đặt mục tiêu; thiết lập chế kiểm soát khắp nơi tổ chức vận hành chúng để đạt mục tiêu đề Do đó, kiểm soát nội không đơn sách, thủ tục, biểu mẫu… mà bao 15 16 gồm người tổ chức hội đồng quản trị, ban giám đốc giúp nâng cao uy tín, mở rộng quy mô thị phần, thực chiến lược nhân viên đề ra… Kiểm soát nội cung cấp đảm bảo hợp lý: kiểm soát nội 1.1.2 Các phận hợp thành hệ thống kiểm soát nội cung cấp đảm bảo hợp lý không khẳng định Theo COSO (năm 1992) phận hợp thành hệ thống kiểm soát nội chắn mục tiêu đạt Như vậy, kiểm soát nội gồm năm phận: giúp ngăn chặn phát sai phạm đảm bảo chúng không xảy Sở dĩ thân hệ thống kiểm soát § Môi trường kiểm soát nội tồn hạn chế tiềm tàng vốn có như: vô ý, § Đánh giá rủi ro bất cẩn người; thông đồng cá nhân tổ chức; lạm § Hoạt động kiểm soát dụng quyền lực để mưu cầu lợi ích riêng tư; hay đòi hỏi chi phí bỏ cho § Thông tin truyền thông việc thực hoạt động kiểm soát phải nhỏ lợi ích mà mang lại… Các mục tiêu kiểm soát nội bộ: mục tiêu kiểm soát nội rộng, chúng bao trùm toàn hoạt động có ý nghĩa quan trọng tổ chức Nhưng nhìn chung, phân thành ba mục tiêu sau: ü Mục tiêu báo cáo tài chính: kiểm soát nội phải bảo đảm tính trung thực độ tin cậy, lẽ nhà quản lý người đại diện pháp luật cho tổ chức phải có trách nhiệm lập báo cáo tài phù hợp với chuẩn mực chế độ kế toán hành § Giám sát 1.1.2.1 Môi trường kiềm soát Môi trường kiềm soát xem tảng phận khác hệ thống kiểm soát nội Nó phản ánh sắc thái chung tổ chức chi phối ý thức kiểm soát thành viên tổ chức Các nhân tố thuộc môi trường kiểm soát bao gồm: Tính trực giá trị đạo đức Tính trực giá trị đạo đức thể qua tính cách, Mục tiêu tính tuân thủ: kiểm soát nội phải bảo đảm hợp lý việc chất cách cư xử thành viên tham gia vào hoạt động tổ chấp hành luật pháp quy định Ngoài ra, kiểm soát nội hướng chức Sự hữu hiệu hệ thống kiểm soát nội trước hết phụ thuộc vào tính thành viên tổ chức đến việc tuân thủ sách quy định trực việc tôn trọng giá trị đạo đức cá nhân liên quan tổ chức nhằm đạt mục tiêu tổ chức đến trình kiểm soát Do vậy, nhu cầu đòi hỏi nhà quản lý cấp cao ü ü Mục tiêu hữu hiệu hiệu hoạt động: kiểm soát nội giúp bảo vệ sử dụng hiệu nguồn lực tổ chức, qua phải xây dựng chuẩn mực đạo đức cư xử đắn để ngăn cản người có hành vi thiếu đạo đức phạm pháp tổ chức Muốn đạt yêu cầu này, trước hết đòi hỏi nhà quản lý phải làm 17 18 gương cho cấp việc tuân thủ chuẩn mực, đồng thời cần phổ biến Triết lý phong cách điều hành quy định đến thành viên tổ chức cách thích hợp Triết lý thể qua quan điểm nhận thức nhà quản lý; Hơn nữa, để nâng cao tính trực tôn trọng giá trị đạo đức, tổ phong cách điều hành lại thể qua tính cách thái độ nhà quản lý chức cần loại trừ giảm thiểu sức ép tác động đến nhân viên để điều hành tổ chức Do vậy, khác biệt triết lý phong cách điều hành có tránh thực hành vi thiếu trung thực xuất phát từ họ thể ảnh hưởng đến môi trường kiểm soát tác động đến việc thực Năng lực nhân viên Nhà quản lý cần tuyển dụng nhân viên có lực chuyên môn, kỹ mục tiêu tổ chức Cơ cấu tổ chức kinh nghiệm phù hợp để thực công việc giao đạt hữu Cơ cấu tổ chức phải phù hợp với quy mô đặc thù đơn vị Thực hiệu hiệu Bên cạnh đó, cần tăng cường giám sát tổ chức huấn luyện chất phân chia trách nhiệm quyền hạn phận nhân viên thường xuyên để nhiệm vụ giao đạt kết tốt đơn vị, góp phần đáng kể cho việc đạt mục tiêu đơn vị Hội đồng quản trị uỷ ban kiểm toán Cơ cấu tổ chức phù hợp sở để lập kế hoạch, điều hành, kiểm soát Uỷ ban kiểm toán trực thuộc hội đồng quản trị, gồm số thành viên giám sát hoạt động Ngược lại, cấu tổ chức không phù hợp Hội đồng quản trị không tham gia vào công việc điều làm cho thủ tục kiểm soát tác dụng hành tổ chức Uỷ ban kiểm toán có đóng góp quan trọng việc Phân định quyền hạn trách nhiệm thực mục tiêu tổ chức giám sát tuân thủ pháp luật, giám Phân định quyền hạn trách nhiệm xem phần mở rộng sát việc lập báo cáo tài chính, giữ độc lập cho kiểm toán độc lập… Vì thế, cấu tổ chức Qua cụ thể hoá quyền hạn trách nhiệm thành viên hoạt động hữu hiệu Hội đồng quản trị Uỷ ban kiểm toán có ảnh tổ chức, giúp họ hiểu nhiệm vụ hoạt động hưởng lớn đến môi trường kiểm soát họ có ảnh hưởng đến người khác việc hoàn thành mục Các nhân tố dùng làm thước đo đánh giá hữu hiệu Hội đồng tiêu Do đó, tổ chức cần có mô tả công việc rõ ràng cụ thể mà có đề quản trị Uỷ ban kiểm toán bao gồm mức độ độc lập, kinh nghiệm uy cập đến quyền hạn trách nhiệm thành viên với mối quan hệ tín thành viên bên Hội đồng quản trị Uỷ ban kiểm toán, họ với với mối quan hệ họ với phận kiểm toán nội kiểm toán độc lập Chính sách nhân Là sách lập nhà quản lý liên quan đến việc tuyển Ở Việt Nam, theo quy định Luật Doanh nghiệp số loại hình dụng, huấn luyện, đánh giá, bổ nhiệm, sa thải, đề bạt, khen thưởng kỷ luật công ty phải có Ban kiểm soát trực thuộc Đại hội đồng cổ đông có vai trò Chính sách nhân có ảnh hưởng đáng kể đến hữu hiệu môi trường tương tự Uỷ ban kiểm toán 19 20 kiểm soát thông qua việc tác động đến nhân tố khác môi trường dụng nhiều phương pháp khác dự báo, phân tích số liệu khứ cho kiểm soát đảm bảo lực, tính trực giá trị đạo đức… đến việc rà soát thường xuyên hoạt động 1.1.2.2 Đánh giá rủi ro Phân tích đánh giá rủi ro Rủi ro tồn hoạt động tổ chức Chúng bắt Thực tế cho thấy rủi ro khó định lượng nên phân tích đánh giá rủi ro nguồn từ bên hay bên doanh nghiệp sẵn sàng đe doạ đến tất việc làm phức tạp có nhiều phương pháp khác Tuy mục tiêu chung mục tiêu cụ thể tổ chức Tuy nhiên, nhiên, nhìn chung quy trình phân tích đánh giá rủi ro thường bao gồm: người ta hạn chế bớt rủi ro làm cho chúng ü Ước lượng tầm cỡ rủi ro qua ảnh hưởng đến mục tiêu không xuất Vì thế, để hạn chế rủi ro nhà quản lý phải dựa mục tiêu xác định để nhận dạng phân tích rủi ro để từ quản trị chúng Xác định mục tiêu tổ chức Xác định mục tiêu xem điều kiện tiên để đánh giá rủi ro tổ chức ü Xem xét khả xảy rủi ro ü Các biện pháp đối phó với rủi ro 1.1.2.3 Hoạt động kiểm soát Bởi lẽ kiện trở thành rủi ro hay không phụ thuộc vào mức độ Hoạt động kiểm soát sách thủ tục để đảm bảo cho tác động tiêu cực đến mục tiêu tổ chức Xác định mục tiêu bao thị nhà quản lý thực thi Mục đích sách gồm việc đưa sứ mệnh, hoạch định mục tiêu chiến lược thủ tục giúp thực thi hành động để kiểm soát rủi ro xảy tiêu phải đạt ngắn hạn, trung hạn dài hạn Việc xác tổ chức Dưới hoạt động kiểm soát chủ yếu: định mục tiêu thực qua việc ban hành văn bản, qua nhận Phân chia trách nhiệm thức phát biểu hàng ngày nhà quản lý Phân chia trách nhiệm không cho phép thành viên tổ Nhận dạng rủi ro chức giải mặt nghiệp vụ từ hình thành Rủi ro tác động đến toàn tổ chức hay ảnh hưởng đến kết thúc Điều có nghĩa là, không cho kiêm nhiệm đồng thời chức hoạt động cụ thể Đối với toàn tổ chức, nhân tố làm phát sinh rủi phê chuẩn, thực hiện, ghi chép nghiệp vụ bảo quản tài sản ro đổi kỹ thuật, thị hiếu khách hàng, cải tiến sản phẩm Việc phân chia trách nhiệm nhằm mục đích để thành viên tự đối thủ cạnh tranh, thay đổi sách Nhà nước, thay đổi nhân kiểm soát lẫn nhau; dễ phát sai sót khiếm khuyết xảy ra; quản lý… Trong phạm vi hoạt động, hoạt động mua hàng, đồng thời hạn chế hội thành viên che dấu sai phạm bán hàng, kế toán…Do đó, để nhận dạng rủi ro, nhà quản lý cần phải sử gây 123 124 bảng tính giá thành thể tổng giá thành sản xuất theo sản § Tạo môi trường làm việc có tự động hoá cao, an toàn tin phẩm nhiệm vụ kế toán giá thành vào báo cáo sản cậy Từng bước chuyên nghiệp hoá hoạt động nâng cao uy xuất để nhập vào thông tin số lượng loại sản phẩm sản xuất tín doanh nghiệp kỳ để tính giá thành đơn vị bảng tính giá thành Nhập kho thành phẩm Bảng tính giá thành hoàn chỉnh sau kế toán giá thành chấp nhận thông qua chức “Hoàn tất tính giá thành” gởi thư điện tử tự động đến cho kế toán kho tiến hành nhập kho thành phẩm Bảng giá thành gởi đến hình nhập kho với thuộc tính “Chỉ đọc” tham chiếu để làm phiếu nhập kho thành phẩm tự động Tuy nhiên, kế toán kho cần kết hợp với thủ kho để kiểm tra thực tế dựa thông tin kế toán giá thành phận sản xuất gởi tới Tóm lại, việc kiểm soát chu trình thực đồng thời phần mềm ứng dụng lẫn tay bên cần thiết khó tránh khỏi thực tế thiết kế tự động tất thủ tục kiểm soát phần mềm mong muốn người Tuy nhiên, đề xuất thủ tục kiểm soát với nhiều ràng buộc chặt chẽ, chi tiết qua bước công việc cần thiết để tận dụng mạnh kiểm soát phần mềm nhằm hạn chế rủi ro đến mức thấp nhất, đảm bảo độ tin cậy cho thông tin cung cấp bước chuyên nghiệp hoá công việc phận doanh nghiệp Thêm vào đó; việc áp dụng thủ tục kiểm soát môi trường tin học vào tất hoạt động hoạt động kiểm soát chung, hoạt động kiểm soát ứng dụng hoạt động kiểm soát liệu đem lại lợi ích cụ thể như: § Bảo vệ tài sản vật chất doanh nghiệp máy móc, thiết bị… tài sản thông tin tránh khỏi tác nhân gây hại từ bên hay bên vô tình hay cố ý § Có kế hoạch phòng ngừa đối phó với rủi ro xảy đến môi trường tin học nhằm giúp tiết kiệm chi phí § Tiết kiệm thời gian công sức người, đồng thời tăng suất lao động đạt hiệu cao § Tạo mối liên hệ, kế thừa thông tin xuyên suốt phận Qua tăng cường khả kiểm tra chéo công việc lẫn dần hướng người đến áp dụng quy trình vào xử lý công việc § Tạo thói quen tuân thủ nội quy doanh nghiệp quy định Nhà nước § Đảm bảo độ tin cậy chất lượng cho thông tin cung cấp đến người đọc mà đặc biệt báo cáo tài báo cáo quản trị § … 125 3.5 BAN HÀNH CHÍNH SÁCH AN TOÀN VÀ BẢO MẬT THÔNG 126 Kết luận chương TIN, HOÀN THIỆN VAI TRÒ CỦA KIỂM TOÁN NỘI BỘ TRONG Đối với tổ chức, điều kiện ứng dụng CNTT kiểm soát thông ĐIỀU KIỆN ỨNG DỤNG CNTT VÀO TRONG CÔNG TÁC QUẢN tin nhiệm vụ vô quan trọng cần phải nghiêm túc thực Bảo vệ tài LÝ sản thông tin tổ chức bảo vệ cho tồn phát triển Các doanh nghiệp cần ban hành sách an toàn bảo mật thông tin thành viên tổ chức Do vậy, thân tổ chức cần phải xây dựng có liên hệ với việc ứng dụng CNTT vào công tác quản lý Đồng thời, cho hệ thống kiểm soát phù hợp theo đặc điểm hoạt động tổ phổ biến chủ trương sách đến toàn thành viên tổ chức chức Trong đó, ứng với hoạt động kiểm soát, cần có thiết lập để họ thấy tầm quan trọng ý nghĩa việc thực thi sách Từ thủ tục kiểm soát tương ứng thật chi tiết cho thực thi dễ dàng, thuận nâng cao ý thức người việc bảo vệ tài sản thông tin tổ tiện giải tận gốc vấn đề cụ thể chức, tăng cường hoạt động kiểm soát việc xử lý thông tin hệ thống Ngoài ra, để đảm bảo cho hệ thống kiểm soát nội tổ chức vận máy tính doanh nghiệp trước mối đe doạ ngày gia tăng từ nhiều hành trơn tru cần thiết phải tổ chức phận kiểm toán nội với phía người trung thực, tận tâm có chuyên môn để giám sát toàn Những doanh nghiệp chưa có phận kiểm toán nội cần sớm tổ hoạt động hệ thống Từng thành viên tổ chức phải hiểu chức phận này, doanh nghiệp có cần mở rộng công việc chuyên môn vai trò giám sát hoạt động liên quan phạm vi chức phận Điều có nghĩa là; phận kiểm phải coi nhiệm vụ Người đứng đầu phận giữ vai trò toán nội phải tham gia vào việc tư vấn, thiết kế thủ tục kiểm soát giám sát nội chịu hoàn toàn trách nhiệm hoạt động tương ứng cho tất hoạt động phận điều kiện tin học phận Nấc thang kiểm soát phận kiểm toán nội hoá đảm nhiệm, tức phận giám sát đánh giá lại hoạt động diễn Bên cạnh đó; định kỳ phận kiểm toán nội phải đôn đốc, kiểm tra, giám sát tổ chức đánh giá việc thực thi sách an toàn bảo mật thông tin phận để điều chỉnh kịp thời vướng mắc trình thực hoàn thiện thủ tục kiểm soát diễn môi trường tin học phận chức Vì tương lai không xa, tổ chức cần bước hướng đến hoàn thiện hệ thống kiểm soát nội đầy đủ hữu hiệu với nhiều hoạt động khác đề cập để bảo vệ tài sản thông tin nhằm đảm bảo thực thi mục tiêu đề 127 128 KẾT LUẬN tăng thêm với mức độ nguy hiểm ngày cao Những hành vi gian lận, Như vậy, với phát triển ngày lớn mạnh CNTT giúp cho trộm cắp thông tin huỷ hoại thông tin hệ thống máy tính doanh lĩnh vực khác không ngừng phát triển theo Việc bước đầu tư cho nghiệp ngày tinh vi khó lường hết Do đó, doanh nghiệp phải coi hệ thống máy tính ngày đại với công nghệ ngày cao cho việc đối phó với rủi ro tác động đến hoạt động kiểm soát nội từ môi thấy doanh nghiệp Việt Nam bước nhận thức tầm quan trọng trường tin học công “kháng chiến trường kỳ” việc ứng dụng CNTT vào hoạt động kinh doanh Mặc dù tác giả tâm huyết đề tài thực đạt Điều chứng tỏ doanh nghiệp Việt Nam ngày số kết định, song hạn chế tồn Những hạn đại chuyên nghiệp Song để tồn phát triển bền vững chế chưa đề cập hết tất vấn đề liên quan đến hoạt động giai đoạn hội nhập hội tụ ngày nay, doanh nghiệp cần phải cảnh kiểm soát nội môi trường tin học; bên cạnh tác giả chưa giác cao độ với tác nhân gây hại liên quan đến CNTT từ bên lẫn nghiên cứu hết chu trình sản xuất kinh doanh doanh nghiệp cộng với bên doanh nghiệp Những tác nhân tạo nhiều rủi ro tiềm ẩn việc chưa nghiên cứu sâu hệ thống ERP nên chưa thể hoàn thiện hết sẵn sàng đe doạ đến hệ thống thông tin doanh nghiệp Vậy làm để thủ tục kiểm soát nội liên quan đến môi trường Trong tương lai, tác tài sản thông tin doanh nghiệp bảo vệ điều kiện tốt giả hy vọng tiếp tục nghiên cứu sâu rộng đề tài Từ cho thấy, việc tìm hiểu cấu tạo máy tính, phần mềm mạng máy tính cần thiết Chính điều giúp cho doanh nghiệp hiểu rõ vai trò tầm ảnh hưởng hệ thống máy tính đến hoạt động kiểm soát nội môi trường tin học Từ đó, họ dễ dàng nhận biết rủi ro đe doạ tài sản thông tin đến từ đâu cần phải làm để phòng chống rủi ro Với giải pháp quan điểm đắn giới thiệu phần trên, hy vọng doanh nghiệp tự thiết kế cho hệ thống kiểm soát nội hữu hiệu phù hợp với hoạt động để bảo vệ tài sản thông tin doanh nghiệp nhằm đạt mục tiêu mà doanh nghiệp đề Tóm lại, với việc kết nối mạng ngày trở nên phổ biến với số lượng người dùng máy tính không ngừng tăng lên theo thời gian, rủi ro đến từ môi trường tin học không giảm mà ngày để khắc phục hạn chế nêu 129 TÀI LIỆU THAM KHẢO Tiếng Việt Anh Tiệp (tạp chí kiểm toán), An toàn sử dụng máy tính, 12/2008, tạp chí kế toán Bộ môn Kiểm toán, khoa Kế toán – Kiểm toán, trường Đại học Kinh tế TP.HCM, Kiểm toán (xuất lần thứ 5), NXB Lao động xã hội, 2007 130 Janice M Roehl – Anderson & Steven M Bragg, The Controller’s Function - The Work of the Managerial Accountant, 3rd Edition, John Wiley & Sons, 2005 Joseph W Koletar, Fraud Exposed – What You Don’t Know Could Cost Your Company Millions, John Wiley & Sons, 2003 Marshall B Romney & Paul John Steinbart, Accounting Information System, 8th Edition, Prentice Hall, 2000 Bùi Quang Hùng, Ứng dụng CNTT doanh nghiệp vấn đề đặt kế toán, 06/2009, tạp chí phát triển kinh tế Rick Lehtinen, Computer Security Basics, 2nd Edition, O'Reilly, 2006 ThS Trần Phước (ĐH Công nghiệp TP.HCM), Kiểm toán hệ thống Sanjay Anand, Sarbanes Oxley Guide for Finance and Information thông tin, 09/2008, tạp chí kế toán Vũ Hữu Đức (2003), “Tổng quan kiểm soát nội bộ”, Tài liệu hội thảo khoa học giảng dạy Khoa Kế toán – Kiểm toán, trường Đại học Technology Professionals, 2nd Edition, John Wiley & Sons, 2006 10 Yusufali F Musaji, Integrated Auditing of ERP Systems, John Wiley & Sons, 2002 Kinh tế TP.HCM Tiếng Anh Chris Davis & Mike SchillerandKevin Wheeler, IT Auditing: Using Controls to Protect Information Assets, McGraw-Hill, 2007 COSO (2008), Internal Control – Integrated Framework – Guidance on monitoring Internal Control Systems D.R Carmichael, O Ray Whittington & Linford Graham, Accountants’ handbook – Volume : Financial Accounting and General Topics, 11th Các Website tham khảo http://www.kiemtoan.com.vn http://www.tapchiketoan.com http://www.coso.org http://www.tcptkt.ueh.edu.vn http://www.kienthuctaichinh.com Edition, John Wiley & Sons, 2007 http://www.vacpa.org.vn Jack J Champlain, Auditing Information Systems, Second Edition, John Wiley & Sons, 2003 http://www.mekongcapital.com 131 132 nước PHỤ LỤC Phụ lục 2.1 – Danh sách doanh nghiệp khảo sát STT Tên công ty Hình thức Quốc gia sở hữu vốn Bộ phận kiểm toán nội bộ/ Ban kiểm soát cấu tổ chức CÔNG TY CP CÔNG NGHỆ SINH HỌC - DƯỢC PHẨM ICA Ban kiểm Cổ phần Việt Nam soát Ban kiểm CÔNG TY CP VINACAFE BIÊN HOÀ Cổ phần Việt Nam soát CÔNG TY CP GIÁM ĐỊNH VÀ KHỬ TRÙNG FCC CÔNG TY ĐIỆN TỬ ASTI Cổ phần Việt Nam Ban kiểm soát 100% Nhật Bản Không vốn Ban kiểm Cổ phần Việt Nam soát Ban kiểm soát & Bộ phận kiểm CÔNG TY CP TIN HỌC LẠC VIỆT Cổ phần Việt Nam toán nội Ban kiểm soát & Bộ CÔNG TY CP KỸ THUẬT VÀ Ô TÔ phận kiểm TRƯỜNG LONG Cổ phần Việt Nam toán nội CÔNG TY TNHH THANG MÁY OTIS TNHH Mỹ Không KD máy nổ, máy động lực, máy phát điện CÔNG TY CP GIỐNG CÂY TRỒNG MIỀN NAM SX, KD, XNK hạt giống & trồng DV du lịch, nhà hàng, khách sạn CÔNG TY CP HOÀ BÌNH Ngành nghề KD Dược phẩm SX, KD cà phê hoà tan Tư vấn, giám định, thẩm định giá, khử trùng SX bo mạch điện tử, cụm dây dẫn điện Tin học KD xe tải, xe chuyên dùng, đăng kiểm xe Lắp đặt, bảo trì thang máy 10 CÔNG TY CP DU LỊCH ĐỒNG NAI Ban kiểm Cổ phần Việt Nam soát Ban kiểm Cổ phần Việt Nam soát CÔNG TY LIÊN DOANH BV 11 PHARMA Liên doanh Việt Nam & Anh Quốc Không Dược phẩm CÔNG TY TNHH VIỆT NAM 12 PARKERIZING 13 CÔNG TY TNHH KIẾN VƯƠNG TNHH TNHH Nhật Bản Không Việt Nam Không Hoá chất KD hoá chất 133 14 CÔNG TY TNHH Ô TÔ KIM THANH TNHH 100% vốn CÔNG TY TNHH CƠ KHÍ CHÍNH XÁC nước 15 MIEN HUA CÔNG TY CP DỊCH VỤ DU LỊCH 16 CHỢ LỚN 134 Việt Nam Không 20 21 Vốn nhà Việt Nam Ban kiểm nước soát 22 Đài Loan Không Ban kiểm Cổ phần Việt Nam soát 100% vốn nước 17 CÔNG TY TNHH GUNZE (VIỆT NAM) Nhật Bản Không 18 19 TỔNG CÔNG TY CƠ KHÍ GTVT SÀI GÒN (SAMCO) KD xe Cơ khí TM, DV, du lịch SX trang phục lót Ban kiểm soát & CÔNG TY CP CHỨNG KHOÁN P Kiểm toán RỒNG VIỆT Cổ phần Việt Nam nội Chứng khoán CÔNG TY TNHH HOÁ CHẤT MKVN TNHH Việt Nam Không KD hoá chất, kim loại Ban kiểm soát & Bộ phận kiểm CÔNG TY CP NGỌC SƯƠNG Cổ phần Việt Nam toán nội Nhà hàng CÔNG TY ĐIỆN VÀ ĐIỆN TỬ TCL 100% Trung Không VIỆT NAM vốn nước Quốc SX bóng đèn, hàng điện tử CÔNG TY CỔ PHẦN DẦU NHỚT VÀ HÓA CHẤT VIỆT NAM (VILUBE Ban kiểm 23 CORP.) Cổ phần Việt Nam soát Ban kiểm 24 CTY CP ĐẦU TƯ NAM LONG Cổ phần Việt Nam soát 25 CTY TNHH MỰC IN VIỆT TNHH Việt Nam Không Việt Nam CÔNG TY LD RSC-NORFOK Liên & 26 MAINSON doanh Australia Không Ban kiểm 27 CÔNG TY CỔ PHẦN HẢI SẢN S.G Cổ phần Việt Nam soát 28 CÔNG TY TNHH ĐẠI HOÀNG MỸ Việt Nam Không Ban kiểm 29 CÔNG TY CP THUỶ SẢN Cổ phần Việt Nam soát 30 CÔNG TY TNHH MAY THÊU M.D.K TNHH Việt Nam Không TNHH Dịch vụ vận chuyển, kinh doanh xe ô tô, lắp ráp xe buýt SX, KD dầu nhớt Bất động sản Sản xuất & phân phối mực in DV nhà hàng, khách sạn, cho thuê hộ Chế biến thuỷ hải sản xuất Sản xuất hàng thủ công mỹ nghệ Chế biến thuỷ hải sản xuất May thêu 135 Phụ lục 2.2 - Mẫu bảng câu hỏi khảo sát hoạt động kiểm soát môi trường tin học Cỡ mẫu khảo sát: 30 doanh nghiệp Việt Nam Khu vực khảo sát: TP.HCM, Bình Dương, Đồng Nai 136 Trường Đại học Kinh tế TP.HCM Khoa Sau đại học Ngành Kế toán – Kiểm toán BẢNG CÂU HỎI KHẢO SÁT VỀ HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC Giới thiệu: Xin trân trọng kính chào quý anh (chị)! Chúng học viên cao học ngành Kế toán kiểm toán trường đại học Kinh tế TP.HCM Hiện thực nghiên cứu đề tài “Kiểm soát nội môi trường tin học” nên thực bảng câu hỏi nhằm mục đích khảo sát điều tra thông tin cần thiết phục vụ cho đề tài Do đó, mong quý anh (chị) bỏ chút thời gian trả lời đầy đủ thông tin bảng câu hỏi cam kết thông tin liên quan đến quý anh (chị) phục vụ cho việc nghiên cứu, không nhằm mục đích khác giữ bí mật tuyệt đối Chúng xin chân thành cảm ơn quý anh (chị) cung cấp thông tin quý giá Bảng câu hỏi tóm lược qua nội dung chủ yếu sau: Thông tin liên quan đến người trả lời: Họ tên: Vị trí công việc người trả lời: Bộ phận công tác: Phần I: Các câu hỏi kiểm soát chung Cơ cấu tổ chức doanh nghiệp anh (chị) có phận IT? Có Không Nếu câu trả lời “Không”, anh (chị) vui lòng cho biết doanh nghiệp có nên tổ chức phận (phòng) IT không? Nêu rõ lý cho câu trả lời mình? Có Không Lý do: Doanh nghiệp anh (chị) có trang thiết bị nhận dạng vân tay hay thẻ từ vào khu làm việc không? Có Không Các phận (phòng ban) có ngăn cách với cửa có khoá thẻ từ hay khoá vân tay? Có Không Các nhân viên doanh nghiệp có bị hạn chế qua lại phận khác hay không (trong trường hợp có sử dụng cửa khoá từ hay cửa khoá vân tay)? Có Không Nơi anh (chị) làm việc có gắn camera quan sát hay không? 137 Có Không Nếu câu trả lời “Không”, anh (chị) vui lòng cho ý kiến việc có nên gắn camera quan sát hay không? Nêu rõ lý cho câu trả lời mình? Có Không Lý do: 138 18 Tài nguyên thông tin dùng cho nhóm đối tượng có kiểm soát không (những đối tượng không phép bị ngăn cản truy cập…)? Có Không 19 Hệ thống máy tính sử dụng doanh nghiệp anh (chị) có yêu cầu thay đổi mật đăng nhập thường xuyên không? Có Không Hệ thống điện lạnh doanh nghiệp anh (chị) làm việc có kiểm soát không (vd: hệ thống máy lạnh tự tắt sau làm việc…)? Có Không 20 Có quy định cách đặt mật chiều dài mật không? Có Không Hệ thống gọi điện thoại bên nhân viên có ghi nhận lại không (vd: ghi nhận lại số máy nội nhân viên họ gọi bên ngoài…)? Có Không 21 Có quy định yêu cầu phải thoát khỏi hình đăng nhập rời vị trí làm việc hay không? Có Không 10 Hệ thống báo cháy có báo động phát cố? Có Không 22 Có giới hạn số lần đăng nhập sai tối đa không? Có Không 11 Hệ thống báo cháy có điều khiển tự động phần mềm? Có Không 23 Khi đăng nhập không thành công số lần quy định có bị khoá quyền đăng nhập không (vd: đánh mật không lần chẳng hạn bị khoá quyền không cho vào hệ thống người quản trị mạng cho phép tiếp tục trở lại bình thường)? Có Không 12 Sự cố rò rỉ điện, nước có phát không? Có Không 13 Sự cố rò rỉ điện, nước phát tự động phần mềm hay người? Phần mềm Con người 14 Các cá nhân công ty có tự ý cài đặt phần mềm vào máy tính cá nhân làm việc không? Có Không 24 Hệ thống máy tính công ty có yêu cầu người sử dụng máy tính phải thường xuyên thay đổi mật không? Có Không 15 Việc sử dụng thiết bị ghi chép ổ đĩa di động (USB), ổ cứng có bị hạn chế sử dụng cho máy tính cá nhân hay không? Có Không 16 Việc tổ chức mạng máy tính nội doanh nghiệp anh (chị) sử dụng tổ chức dạng nào? Workgroup (là dạng mạng nội ngang hàng: máy chủ điều khiển, máy tính hệ thống có quyền ngang nhau) Domain (là dạng mạng tổ chức theo mô hình máy chủ – máy con: máy chủ nắm quyền kiểm soát, điều khiển phân quyền sử dụng cho máy con) 26 Khi có nhân viên chuyển phận công tác hay nghỉ việc quyền truy cập người có bị khoá lại hay xoá bỏ hay không? Có Không 17 Việc đăng nhập vào hệ thống máy tính doanh nghiệp có kiểm soát theo tên người dùng? Có Không 28 Hệ điều hành anh (chị) sử dụng có thiết lập chế độ thường xuyên tự động cập nhật để hạn chế nguy lỗi nguy bị công từ xa không? Có Không 25 Khi không thay đổi mật theo yêu cầu hệ thống có bị khoá quyền truy cập? Có Không 27 Các phần mềm bao gồm hệ điều hành cài đặt doanh nghiệp anh (chị) có mua quyền từ nhà cung cấp hay không? Hệ điều hành (Windows): Có Không Phần mềm MS Office: Có Không Các phần mềm khác: Có Không 139 140 29 Có cài đặt tường lửa (Firewall) cho hệ điều hành nhằm ngăn chặn xâm phạm hay phá hoại từ xa không? Có Không 40 Thiết bị Router (modem) công ty có cài mật không (đó thiết bị dùng để nối mạng internet)? Có Không 30 Máy tính doanh nghiệp anh (chị) có cài đặt phần mềm chống virus hay không? Có Không 41 Mật Router (modem) có thay đổi thường xuyên không? Có Không 31 Có thường xuyên yêu cầu cập nhật vá lỗi (service pack) cho phần mềm sử dụng MS Office… máy tính cá nhân từ phía công ty không? Có Không 42 Các trang Web gây nguy hại cho máy tính anh (chị) cảnh báo từ Google chẳng hạn…, có anh (chị) để ý đến không? Có Không 32 Có thường xuyên yêu cầu cập nhật cho hệ điều hành máy tính cá nhân từ phía công ty không? Có Không 43 Mạng Internet dùng mạng có dây hay mạng không dây (Wireless)? Có dây Không dây 33 Doanh nghiệp anh (chị) làm việc có hệ thống email riêng không (điều có nghĩa sử dụng tên miền riêng công ty, vd: …@abc.com.vn không sử dụng Yahoo mail hay Google mail)? Có Không 34 Hệ thống email anh (chị) có đặt mật không? Có Không 44 Nếu mạng Internet mạng không dây có cài mật không? 35 Hệ thống email doanh nghiệp có hạn chế dung lượng file gởi qua mail cá nhân không (vd: gởi file tối đa 1MB chẳng hạn)? Có Không 46 Nếu mạng nội mạng không dây có cài mật không? Có Không 36 Đối với email lạ, anh (chị) thường phản ứng nào? Mở đọc Không đọc để Xoá hẳn mail khỏi hệ thống mail máy tính 37 Hệ thống email doanh nghiệp có thiết lập chế độ ngăn chặn email rác hay email gây nguy hại đến máy tính không? Có Không 38 Hệ thống email công ty anh (chị) có kiểm soát truy cập email từ xa không (vd: công ty cho phép đọc mail qua Webmail có kiểm soát việc sử dụng nó)? Có Không 39 Các văn bản, tài liệu dùng công việc doanh nghiệp có biên dịch sang chế độ đọc (Read only) không (thông thường hay biên dịch sang file Acrobat (*.pdf)…)? Có Không Có Không 45 Mạng nội dùng mạng có dây hay mạng không dây (Wireless)? Có dây Không dây 47 Doanh nghiệp mà anh (chị) làm việc có trang bị máy chủ cho hệ thống máy tính doanh nghiệp không? Có Không Nếu câu trả lời số 47 “Có” anh (chị) vui lòng trả lời tiếp câu hỏi sau: 48 Máy chủ thiết bị mạng có để nơi an toàn không? Có Không 49 Nếu câu trả lời “Có” lựa chọn phù hợp cho câu trả lời bạn: Có khoá an toàn (khóa tay, khoá từ, khoá vân tay…) Có thiết bị báo động chống trộm (cảm ứng âm thanh, cảm ứng chuyển động…) Có thiết bị báo cháy (cảm ứng khói) Có thiết bị báo động nước (cảm ứng rò rỉ nước) Có thiết bị báo động độ ẩm (cảm ứng độ ẩm) Có thiết bị báo động điện (cảm ứng rò rỉ điện, chặp điện, tải điện…) Có thiết bị báo động gas, khí độc hoá chất (cảm ứng rò rỉ gas, khí độc hoá chất) 50 Hệ điều hành máy chủ sử dụng có quyền không? 141 Có Không 51 Hệ điều hành phần mềm sử dụng máy chủ có thường xuyên cập nhật sửa lỗi hay nâng cấp không? Có Không 52 Máy chủ có cài đặt địa IP để sử dụng cho hệ thống mạng nội mạng kết nối bên không (là địa đánh số cho thiết lập mạng nội hay mạng Internet nhằm truyền thông tin đến địa chỉ)? Có Không 53 Địa IP có thường xuyên thay đổi không (mục đích việc thay đổi nhằm hạn chế việc truy cập bất hợp pháp từ xa)? Có Không Phần II: Các câu hỏi kiểm soát phần mềm ứng dụng Hiện công ty anh (chị) có sử dụng phần mềm ứng dụng liệt kê đây? Phần mềm Quản trị quan hệ khách hàng (CRM) Phần mềm Kế toán Phần mềm Nhân Phần mềm Quản trị nguồn lực doanh nghiệp ERP Phần mềm khác: Nếu công ty anh (chị) có phận IT phận IT có quyền truy cập vào phần mềm ứng dụng không? Có Không Trách nhiệm sửa lỗi phần mềm ứng dụng (sửa chương trình, sửa liệu) thuộc về? Nhà cung cấp phần mềm Bộ phận IT Bộ phận sử dụng Nếu phận IT phép sửa lỗi phần mềm (đã nhà cung cấp phần mềm uỷ quyền) mức độ can thiệp họ đến đâu? Chỉ sửa lỗi chương trình lỗi liệu mức độ đơn giản Toàn quyền chỉnh sửa thứ phần mềm Hợp đồng phần mềm ký kết công ty với nhà cung cấp phần mềm có ràng buộc liệt kê (có thể chọn nhiều)? Tài liệu chuyển giao đầy đủ (tài liệu HDSD, tài liệu cấu hình hệ thống, tài liệu tổ chức sở liệu…) Bảo hành sản phẩm Bảo trì nhanh chóng (điện thoại, truy cập từ xa, chỗ…) Cập nhật có thay đổi Tư vấn sử dụng phần mềm cho đáp ứng yêu cầu đưa 142 Điều kiện bảo mật liệu Khác: Hiện tại, sở liệu phần mềm doanh nghiệp sử dụng xây dựng (có thể chọn nhiều)? Microsoft Access Microsoft SQL Server Oracle Khác: Tính bảo mật an toàn liệu phần mềm sử dụng thể qua tính (có thể chọn nhiều): Chính sách an ninh hệ thống (quy định chiều dài mật tối thiểu, thiết lập thời hạn mật khẩu, nhập sai mật theo số lần quy định bị khoá quyền không cho đăng nhập…) Phân quyền người dùng theo phần hành (vd: phần hành Vốn tiền) Phân quyền theo nghiệp vụ (vd: thu, chi…) Phân quyền theo tác vụ (vd: xem, thêm, sửa, xoá) Phân quyền người dùng theo chứng từ Không cho phép người dùng không quyền xem, sửa, xoá, copy hay thay đổi thông tin liệu gốc Tính đảm bảo độ tin cậy, tính xác quán số liệu phần mềm sử dụng thể qua tính (có thể chọn nhiều): Mở kỳ kế toán: cho phép ghi nhận nghiệp vụ kỳ kế toán mở Khoá kỳ kế toán: khoá kỳ kế toán trường hợp số liệu kỳ kế toán báo cáo Kiểm tra tính danh mục (không cho phép tạo đối tượng khách hàng có mã số) Kiểm tra tính chứng từ nhập liệu (không cho phép tồn số chứng từ nhập liệu giống hình nhập liệu; chẳng hạn có phiếu chi có số phiếu) Kiểm tra ngày chứng từ (chứng từ có ngày không nằm kỳ mở không phép ghi nhận) Kiểm tra mối tương quan liên tục chứng từ thứ tự tăng dần ngày chứng từ (chứng từ có thứ tự đứng sau có ngày chứng từ nhỏ ngày chứng từ chứng từ có thứ tự đứng trước) Kiểm tra tính hữu thông tin (khi nhập liệu nghiệp vụ ghi nhận thông tin không tồn danh mục; chẳng hạn ghi nhận thông tin khách hàng chưa tồn danh mục khách hàng cho nghiệp vụ bán hàng) Kiểm tra tính bắt buộc thông tin (những thông tin quan trọng nghiệp vụ bắt buộc phải ghi nhận mà bỏ qua số chứng từ, ngày chứng từ, tài khoản…) 143 Kiểm tra tính quy ước, quy tắc liệu (thông tin ghi nhận không phép sai quy ước kiểu liệu; vd: thông tin yêu cầu nhập vào số không phép nhập ký tự chữ…) Kiểm tra tồn tính liên quan số liệu (không phép xoá danh mục có sử dụng nghiệp vụ phát sinh; không phép xoá chứng từ bán hàng có phiếu thu tiền…) Kiểm tra tính cân đối định khoản nghiệp vụ (khi nghiệp vụ ghi nhận chưa cân đối Nợ Có cần có cảnh báo không cho lưu) Kiểm tra tính cân đối việc khai báo số dư đầu kỳ (kiểm tra tính cân số dư TK tổng số dư sổ chi tiết có liên quan) Các trường hợp có xử lý trùng lắp ghi nhận: Nghiệp vụ mua hàng trả tiền dẫn tới trùng lắp mặt nghiệp vụ kế toán mua hàng kế toán toán Tương tự trùng lắp kế toán bán hàng kế toán công nợ nghiệp vụ bán hàng thu tiền Nghiệp vụ qua lại TK tiền TK tiền mặt quỹ TK TGNH Khác: Kiểm tra tính hợp lý, hợp lệ số liệu kế toán dựa nguyên tắc nguyên lý kế toán (có công cụ kiểm tra thông báo cho người sử dụng biết thông tin kế toán không hợp lý, hợp lệ số dư đầu kỳ tài khoản thể dạng số âm; số dư cuối kỳ TK tiền có số dư Có; số dư TK có ảnh hưởng đến báo cáo tổng hợp doanh thu, chi phí, giá vốn;…) Có ràng buộc nhập xuất kho thu chi (không cho phép xuất khống, không cho phép chi âm) Ưu tiên xếp theo thứ tự sổ quỹ chi tiết báo cáo kho chi tiết để đảm bảo tính hợp lý (trong ngày phiếu thu phải xếp trước phiếu chi, phiếu nhập phải xếp trước phiếu xuất) Kiểm tra nghiệp vụ nhiều Nợ, nhiều Có (có báo cáo so sánh đối ứng không đối ứng) Có công cụ truy vấn ngược (từ báo cáo tổng truy báo cáo chi tiết từ báo cáo chi tiết truy chứng từ gốc) Có hiển thị ngày báo cáo in Tự động hoá công tác kế toán (thiết lập định khoản tự động cho nghiệp vụ, tự động tính toán…) Kiểm soát thao tác nhiều người dùng giao nhiệm vụ phần mềm: Kiểm tra trùng lắp số chứng từ dẫn đến sai sót số liệu ghi nhận Kiểm soát thao tác sửa, xoá nhằm tránh can thiệp bất hợp pháp vào nghiệp vụ Có cách xử lý sai số việc theo dõi hàng tồn kho (hết lượng trị, hết trị lượng) 144 Có chức giới hạn về: Định mức hàng tồn kho để kiểm soát hàng tồn kho Định mức tín dụng để kiểm soát công nợ phải thu, phải trả Định mức chi phí để kiểm soát chi phí Khác: Có thông báo rõ ràng, dễ hiểu cho người sử dụng có lỗi thao tác xảy hay quy ước số liệu Có công cụ theo dõi dấu vết kiểm toán (ghi nhận lại tất thao tác người dùng sử dụng phần mềm đến nội dung chi tiết) Cách thức xử lý số liệu phần mềm: Xử lý theo thời gian thực (xử lý trực tuyến): sau nghiệp vụ riêng lẻ nhập liệu xong lưu lại chúng xử lý tức để đưa lên báo cáo Xử lý theo lô: nghiệp vụ loại, tính chất sau lưu lại tập hợp vào lô định kỳ tiến hành xử lý hàng loạt lúc để đưa báo cáo Cả cách xử lý Hiện doanh nghiệp có cho kiêm nhiệm sử dụng phần mềm không? Có Không 10 Phần mềm quản trị sở liệu phần mềm sử dụng có chế lưu liệu tự động theo kế hoạch không? Có Không 11 Ngoài vấn đề nêu trên, anh (chị) quan ngại đến điều sử dụng phần mềm ứng dụng vào công việc chuyên môn hàng ngày (liệt kê đầu dòng)? Phần III: Các câu hỏi kiểm soát liệu Hiện máy chủ chứa liệu doanh nghiệp anh (chị) tổ chức nào? Có máy chủ máy chủ có ổ cứng Có máy chủ máy chủ có từ ổ cứng trở lên Có từ máy chủ trở lên máy chủ có ổ cứng Có từ máy chủ trở lên máy chủ có từ ổ cứng trở lên Nếu trang bị từ máy chủ trở lên máy chủ có chạy song hành lúc không? Có Không Máy chủ có trang bị lưu điện UPS để đề phòng bị điện không? Có Không 145 146 Máy chủ có thiết lập chế độ lưu liệu tự động theo kế hoạch không? Có Không Định kỳ việc số liệu lưu ổ cứng máy chủ lưu vào thiết bị liệt kê (có thể chọn nhiều)? Máy tính khác Ổ đĩa di động (USB) Ổ cứng rời CD DVD Tape Cơ sở liệu phần mềm ứng dụng máy chủ có kiểm soát việc truy cập bất hợp pháp xem, copy, xoá hay thay đổi liệu…? Có Không Việc lưu liệu tự động có kiểm tra thường xuyên không? Có Không Số liệu lưu có kiểm tra lại không? Có Không Máy chủ có cài đặt chế độ theo dõi tác vụ không (vd: thao tác truy cập, copy, xoá file… máy chủ)? Có Không 10 Hiện phận (phòng ban) doanh nghiệp có tổ chức lưu trữ liệu cho riêng song song đồng thời với phận IT không? Có Không Có quan tâm chưa muốn triển khai thấy chưa thật quan trọng Có quan tâm đến chưa triển khai thiếu nguồn lực (phương tiện, người, tài chính…) Đã thực quan tâm triển khai chưa đồng bộ, chưa triệt để Đặc biệt quan tâm triển khai tốt doanh nghiệp Khác: Nếu ban lãnh đạo thực đặc biệt quan tâm đến kiểm soát môi trường tin học hoạt động kiểm soát sau ban lãnh đạo đơn vị ý ban hành tài liệu quy định kiểm soát môi trường tin học (có thể chọn nhiều)? Hoạt động kiểm soát chung Hoạt động kiểm soát ứng dụng Hoạt động kiểm soát liệu Hiện doanh nghiệp anh (chị) có thiết lập thủ tục kiểm soát tương ứng với hoạt động kể (câu 3)? Có Không Các anh (chị) tự đánh giá xem mức độ quan tâm đến kiểm soát nội điều kiện ứng dụng công nghệ thông tin doanh nghiệp anh (chị) đạt cấp độ (chỉ chọn câu trả lời)? Rất Kém Trung bình Tốt Rất tốt Hiện cấu tổ chức doanh nghiệp anh (chị) có phận kiểm toán nội không? Có 11 Hiện doanh nghiệp có quan tâm đến việc thuê nơi khác để lưu trữ liệu cho không (nơi khác hiểu trung tâm liệu (Data Center) đặt nơi khác vị trí địa lý với doanh nghiệp)? Có Không Không Hiện tại, phận kiểm toán nội có thực việc kiểm soát hệ thống thông tin doanh nghiệp xử lý môi trường ứng dụng tin học không? Có Không Phần IV: Các câu hỏi đánh giá chung Tổ chức hệ thống thông tin môi trường tin học đơn vị anh (chị) nhận thức nào? Không quan trọng Bình thường Quan trọng Rất quan trọng Theo anh (chị) ban lãnh đạo công ty quan tâm đến kiểm soát nội điều kiện ứng dụng công nghệ thông tin (chỉ chọn câu trả lời)? Chưa nghe nói đến chưa quan tâm Có nghe nói đến chưa quan tâm nhiều Một lần nữa, xin chân thành cảm ơn giúp đỡ quý anh (chị)! 147 Phụ lục 2.3 – Danh sách phần mềm kế toán tham khảo Phần mềm kế toán AccNet2004 Công ty cổ phần tin học Lạc Việt Phần mềm kế toán Misa SME.NET 2010 Công ty cổ phần Misa Phần mềm kế toán 1C-Kế toán Công ty cổ phần Hệ thống 1-V Phần mềm kế toán Fast Financial Công ty Phần mềm quản lý doanh nghiệp 148 Phục lục 2.4 – Bảng mô tả thủ tục kiểm soát phần mềm kế toán Việt Nam Phần mềm kế toán Misa 1CSTT Thủ tục kiểm soát AccNet2 Fast SME.NE Kế VietSun 004 Financial T 2010 toán Phần mềm kế toán VietSun VCCI (Phòng thương mại & công nghiệp Việt Nam) 10 Chính sách an ninh hệ thống (quy định chiều dài mật tối thiểu, thiết lập thời hạn mật khẩu, nhập sai mật theo số lần quy định bị khoá quyền không cho đăng nhập…) Phân quyền người dùng theo phần hành (vd: phần hành Vốn tiền) Phân quyền theo nghiệp vụ (vd: thu, chi…) Phân quyền theo tác vụ (vd: xem, thêm, sửa, xoá) Phân quyền người dùng theo chứng từ Mở kỳ kế toán Khoá kỳ kế toán Kiểm tra tính danh mục (không cho phép tạo đối tượng khách hàng có mã số) Kiểm tra tính chứng từ nhập liệu (không cho phép tồn số chứng từ nhập liệu giống hình nhập liệu; chẳng hạn có phiếu chi có số phiếu) Kiểm tra ngày chứng từ (chứng từ có ngày Có Không Có Không Không Có Có Có Có Có Có Có Có Có Có Có Có Có Có Có Không Không Không Không Không Có Có Không Có Không Có Không Không Không Không Có Có Có Có Có Có Có Có Có Có Có Không Không Không Không 149 11 12 13 14 15 không nằm kỳ mở không phép ghi nhận) Kiểm tra mối tương quan liên tục chứng từ thứ tự tăng dần ngày chứng từ (chứng từ có thứ tự đứng sau có ngày chứng từ nhỏ ngày chứng từ chứng từ có thứ tự đứng trước) Kiểm tra tính hữu thông tin (khi nhập liệu nghiệp vụ ghi nhận thông tin không tồn danh mục; chẳng hạn ghi nhận thông tin khách hàng chưa tồn danh mục khách hàng cho nghiệp vụ bán hàng) Kiểm tra tính bắt buộc thông tin (những thông tin quan trọng nghiệp vụ bắt buộc phải ghi nhận mà bỏ qua số chứng từ, ngày chứng từ, tài khoản…) Kiểm tra tính quy ước, quy tắc liệu (thông tin ghi nhận không phép sai quy ước kiểu liệu; vd: thông tin yêu cầu nhập vào số không phép nhập ký tự chữ…) Kiểm tra tồn tính liên quan số liệu (không phép Không 150 Không Có Không Không 16 17 Có Có Có Có Có 18 Có Không Không Có Không 19 Có Có Có Có Có 20 Có Có Có Có Có xoá danh mục có sử dụng nghiệp vụ phát sinh; không phép xoá chứng từ bán hàng có phiếu thu tiền…) Kiểm tra tính cân đối định khoản nghiệp vụ (khi nghiệp vụ ghi nhận chưa cân đối Nợ Có cần có cảnh báo không cho lưu) Khử nghiệp vụ trùng lắp Kiểm tra tính hợp lý, hợp lệ số liệu kế toán dựa nguyên tắc nguyên lý kế toán (có công cụ kiểm tra thông báo cho người sử dụng biết thông tin kế toán không hợp lý, hợp lệ số dư đầu kỳ thể dạng số âm; số dư cuối kỳ TK tiền có số dư Có; số dư TK có ảnh hưởng đến báo cáo tổng hợp doanh thu, chi phí, giá vốn;…) Có ràng buộc nhập xuất kho thu chi (không cho phép xuất khống, không cho phép chi âm) Ưu tiên xếp theo thứ tự sổ quỹ chi tiết báo cáo kho chi tiết để đảm bảo tính hợp lý (trong ngày phiếu thu phải xếp trước phiếu chi, phiếu nhập phải xếp Có Có Có Có Có Có Không Có Không Có Không Không Có Không Không Không Không Không Không Không Có Không Có Không Không 151 21 22 23 24 25 26 27 28 29 30 31 trước phiếu xuất) Kiểm tra nghiệp vụ nhiều Nợ, nhiều Có (có báo cáo so sánh đối ứng không đối ứng) Có công cụ truy vấn ngược (từ báo cáo tổng truy báo cáo chi tiết từ báo cáo chi tiết truy chứng từ gốc) Có hiển thị ngày báo cáo in Tự động hoá công tác kế toán (thiết lập định khoản tự động cho nghiệp vụ, tự động tính toán…) Kiểm soát thao tác nhiều người dùng giao nhiệm vụ phần mềm Có cách xử lý sai số việc theo dõi hàng tồn kho (hết lượng trị, hết trị lượng) Định mức hàng tồn kho để kiểm soát hàng tồn kho Định mức tín dụng để kiểm soát công nợ phải thu, phải trả Định mức chi phí để kiểm soát chi phí Có thông báo rõ ràng, dễ hiểu cho người sử dụng có lỗi thao tác xảy hay quy ước số liệu Có công cụ theo dõi dấu vết kiểm toán (ghi nhận lại tất thao tác người dùng sử dụng phần Có 152 Không Không Không Không 32 33 34 Có Có Có Có Không 35 Có Không Không Không Không Có Không Có Không Có Không Không Không Không Không Có Không Không Không Không Có Không Không Không Không Có Không Không Không Không Không Không Không Không Không Không Không Không Không Không Có Có Có Có Không mềm đến nội dung chi tiết) Xử lý số liệu theo thời gian thực Xử lý số liệu theo lô Phần mềm quản trị sở liệu Không cho phép người dùng không quyền xem, sửa, xoá, copy hay thay đổi thông tin liệu gốc Có Không Có Có Có Có Có Không Không MS SQL MS SQL Không MS SQL MS SQL MS SQL Có Có Có Có Có Nguồn: theo thống kê tác giả