Đang tải... (xem toàn văn)
1. Những rủi ro tiềm ẩn đối với hoạt động kiểm soát trong môi trường tin họcBên cạnh những ưu điểm của hệ thống máy tính đối với hoạt động kiểm soát trong môi trường tin học vẫn còn đó những rủi ro tiềm ẩn. Những rủi ro này xuất phát từ sự yếu kém của hệ thống kiểm soát nội bộ do không được nhận thức đúng đắn và không được đầu tư đầy đủ đã tạo ra rất nhiều lỗ hổng tạo thuận lợi cho những rủi ro tồn tại. Những rủi ro tiềm ẩn có thể tóm lược như sau:1.1. Những rủi ro xuất phát từ thiết bị phần cứngTrong hệ thống máy tính, thiết bị phần cứng được xem là nền móng để cho các phần mềm có thể vận hành được. Tuy nhiên, nếu phần cứng không được đầu tư đúng mức sẽ làm cho phần mềm vận hành không hiệu quả như phần mềm chạy chậm, phát sinh nhiều lỗi vu vơ, phần mềm hay bị treo không đảm bảo được sự liên tục hay thậm chí phần mềm cho kết quả tính toán không chính xác. Ngoài ra, ổ cứng cũng là thiết bị dễ bị hỏng hóc nhất vì những tác động bởi thời gian sử dụng, môi trường và con người. Do đó, nếu tổ chức không duy trì biện pháp phòng ngừa như thiết kế thêm các ổ cứng phụ chạy song hành hay các thiết bị lưu trữ khác thì có thể phải trả giá đắt cho sự an toàn của dữ liệu.
Hoàng Kim Mạnh Đùi Gà Page 1 Giải pháp hạn chế rủi ro tiềm ẩn đối với hoạt động kiểm soát trong môi trường tin học - ThS. Hồ Tuấn Vũ GIẢI PHÁP HẠN CHẾ CÁC RỦI RO TIỀM ẨN ĐỐI VỚI CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC Đối với tổ chức, việc nhận diện ra các rủi ro tiềm ẩn đối với hoạt động kiểm soát trong môi trường tin học là việc làm hết sức cần thiết và vô cùng quan trọng vì điều này giúp cho tổ chức chủ động trong việc thiết kế các thủ tục kiểm soát hiệu quả để bảo vệ tài sản thông tin của mình. 1. Những rủi ro tiềm ẩn đối với hoạt động kiểm soát trong môi trường tin học Bên cạnh những ưu điểm của hệ thống máy tính đối với hoạt động kiểm soát trong môi trường tin học vẫn còn đó những rủi ro tiềm ẩn. Những rủi ro này xuất phát từ sự yếu kém của hệ thống kiểm soát nội bộ do không được nhận thức đúng đắn và không được đầu tư đầy đủ đã tạo ra rất nhiều lỗ hổng tạo thuận lợi cho những rủi ro tồn tại. Những rủi ro tiềm ẩn có thể tóm lược như sau: 1.1. Những rủi ro xuất phát từ thiết bị phần cứng Trong hệ thống máy tính, thiết bị phần cứng được xem là nền móng để cho các phần mềm có thể vận hành được. Tuy nhiên, nếu phần cứng không được đầu tư đúng mức sẽ làm cho phần mềm vận hành không hiệu quả như phần mềm chạy chậm, phát sinh nhiều lỗi vu vơ, phần mềm hay bị treo không đảm bảo được sự liên tục hay thậm chí phần mềm cho kết quả tính toán không chính xác. Ngoài ra, ổ cứng cũng là thiết bị dễ bị hỏng hóc nhất vì những tác động bởi thời gian sử dụng, môi trường và con người. Do đó, nếu tổ chức không duy trì biện pháp phòng ngừa như thiết kế thêm các ổ cứng phụ chạy song hành hay các thiết bị lưu trữ khác thì có thể phải trả giá đắt cho sự an toàn của dữ liệu. 1.2. Những rủi ro xuất phát từ sự vận hành của hệ thống mạng Hệ thống mạng được xem là con đường huyết mạch về trao đổi thông tin giữa những người dùng máy tính. Tuy nhiên, do cơ chế chia sẻ thông tin trên mạng cho Hoàng Kim Mạnh Đùi Gà Page 2 nhiều người cùng sử dụng đã tạo điều kiện cho sự xâm nhập bất hợp pháp hay phá hoại. Lợi dụng kẽ hở này mà nhiều người dùng vì lợi ích cá nhân đã cố tình truy xuất những thông tin không được phép, sử dụng thông tin sai mục đích hay vì mục đích phá hoại. Thêm vào đó, tốc độ xử lý dữ liệu, tốc độ truyền tin từ phần mềm khi chạy trên mạng bị gián đoạn, bị chậm lại hay thậm chí kết quả thông tin truyền đi bị xử lý sai. 1.3. Những rủi ro xuất phát từ sự thiết kế của phần mềm ứng dụng Việc thiết kế các thủ tục kiểm soát nội bộ trong tổ chức có sử dụng phần mềm ứng dụng phụ thuộc nhiều vào các thiết kế có sẵn của phần mềm. Sự phụ thuộc này được thể hiện qua một số thủ tục kiểm soát như phân quyền, thủ tục kiểm soát nhập liệu thông tin đầu vào, thủ tục kiểm soát các tính toán và xử lý số liệu. Do đó, nếu như phần mềm ứng dụng không có những thiết kế phục vụ cho kiểm soát thì độ tin cậy của phần mềm sẽ không thực sự cao. 1.4. Những rủi ro xuất phát từ công việc lưu trữ dữ liệu Doanh nghiệp phải thực hiện sao lưu dữ liệu thường xuyên trên nhiều thiết bị và định kỳ phải kiểm tra lại các dữ liệu có được sao lưu đầy đủ không hay dữ liệu có còn vận hành được hay không. Chính những biện pháp này giúp cho dữ liệu được vẹn toàn và là kế hoạch tốt cho sự phục hồi dữ liệu nếu có sự cố xảy ra. 1.5. Những rủi ro xuất phát từ sự tác động bên ngoài và sự không trung thực của con người Ngoài những rủi ro chính ở trên thì nguyên nhân gây ra rủi ro còn do tác động của môi trường như thiên tai, chiến tranh, khủng bố, hoả hoạn, nguồn năng lượng, sự vận hành không đúng cách về phần cứng và phần mềm, và đặc biệt là những đe doạ từ phía những con người không trung thực trong doanh nghiệp. 2. Giải pháp nhằm hạn chế các rủi ro tiềm ẩn đối với hoạt động kiểm soát trong môi trường tin học cho các doanh nghiệp 2.1. Giải pháp về hoạt động kiểm soát chung Các thủ tục kiểm soát cần thiết kế và thực hiện cho hoạt động kiểm soát chung được mô tả theo các nội dung: Hoàng Kim Mạnh Đùi Gà Page 3 2.1.1. Kiểm soát con người Doanh nghiệp cần ràng buộc trong hợp đồng tuyển dụng điều khoản về cam kết bảo mật và bảo đảm an toàn cho tài sản thông tin của doanh nghiệp. Cần trang bị các phương tiện nhận dạng bằng thẻ từ hay nhận dạng bằng vân tay để chống xâm nhập của người lạ mặt đồng thời hỗ trợ cho công tác chấm công được chính xác và tránh lãn công. Giữa các bộ phận chức năng trong doanh nghiệp cũng cần phải ngăn cách với nhau bằng cửa từ hay cửa nhận dạng vân tay để kiểm soát việc đi lại giữa các bộ phận nhằm hạn chế việc tiếp cận thông tin không được phép của những nhân viên không có phận sự. Hệ thống điện thoại liên lạc cũng cần được kiểm soát bằng phần mềm kết nối với tổng đài nhằm ghi nhận lại các cuộc gọi ra bên ngoài. Việc kiểm soát này được thực hiện bằng cách cấp cho mỗi cá nhân một số nội bộ và một mật mã kết nối riêng biệt để sử dụng. 2.1.2. Kiểm soát vật chất Hệ thống máy chủ lưu trữ toàn bộ dữ liệu và các thiết bị máy tính khác của doanh nghiệp cũng cần được đặt ở những nơi thật sự an toàn để đảm bảo cho hệ thống thông tin của doanh nghiệp được thông suốt. Bên cạnh đó, cũng cần trang bị các thiết bị hỗ trợ phòng chống rủi ro hư hại hoặc huỷ hoại máy tính như thiết bị báo cháy; thiết bị đo nhiệt độ và độ ẩm; thiết bị phát hiện ra khí độc, gas và hoá chất; thiết bị phát hiện các sự cố về điện, sự cố rò rỉ nước và thiết bị chống trộm qua cảm ứng âm thanh, chuyển động. Đồng thời, cũng cần trang bị thêm bộ lưu điện UPS cho hệ thống máy tính để đề phòng sự cố mất điện đột ngột dẫn đến không kịp lưu dữ liệu và lắp đặt thiết bị chống sét đề phòng rủi ro do sét gây ra. Khi có nhân viên bị buộc thôi việc hay những nhân viên bất mãn phải cho nghỉ việc thì cần phải có biện pháp theo dõi riêng những động thái của những nhân viên này. Ngoài ra, tên truy cập của những nhân viên chuyển công tác qua bộ phận khác cũng cần được loại bỏ ra khỏi danh sách truy cập vào phần mềm ứng dụng để tránh những rủi ro cho dữ liệu có thể xảy ra. 2.1.3. Kiểm soát vận hành máy tính Hoàng Kim Mạnh Đùi Gà Page 4 - Mô hình tổ chức hệ thống máy tính Mô hình thiết lập cho hệ thống máy tính của doanh nghiệp nên được tổ chức theo mô hình máy chủ – máy con. Trong đó, máy chủ nắm quyền điều khiển và kiểm soát các hoạt động trên máy con. - Quy định về mật khẩu Về cách đặt mật khẩu cũng cần được chú ý xây dựng theo các nguyên tắc sau: + Cần quy định chiều dài tối thiểu của mật khẩu; ít nhất phải là tám ký tự mà trong đó có ký tự đặc biệt, sử dụng cả chữ hoa lẫn chữ thường hoặc kết hợp giữa ký tự chữ với ký tự số để đảm bảo an toàn cho mật khẩu. + Cần thiết lập giới hạn số lần tối đa cho việc nhập sai mật khẩu, chẳng hạn khi nhập sai mật khẩu ba lần sẽ khoá luôn quyền truy cập cho dù lần thứ tư có nhập đúng mật khẩu đi nữa. - Quy định về sử dụng máy tính, các thiết bị máy tính và các tài nguyên trên máy tính Cần khống chế việc các nhân viên trong doanh nghiệp tự tiện cài đặt các phần mềm vào máy tính cá nhân. Đồng thời, ngăn cản những phần mềm cài đặt bị nhiễm virus để tránh lây lan cho toàn bộ hệ thống máy tính. Cần có quy định về việc người sử dụng máy tính phải thoát ra khỏi màn hình đăng nhập Windows và phần mềm ứng dụng khi rời khỏi vị trí làm việc. Các văn bản, tài liệu phục vụ cho công việc của doanh nghiệp được tổ chức dưới dạng tập tin cần phải được chuyển đổi sang các dạng tập tin chỉ đọc như *.pdf (phần mềm đọc tài liệu Acrobat). - Những cài đặt và thiết lập cần thiết cho hệ thống máy tính Hệ thống máy tính trong toàn bộ doanh nghiệp cần phải được cài đặt bức tường lửa (Firewall) do hệ điều hành Windows hỗ trợ để tránh những truy cập từ xa qua internet hoặc mạng nội bộ, đồng thời giúp máy tính chống lại virus và các đe dọa bảo mật khác. Cần phải cài đặt các chương trình chống virus hữu hiệu như Kaspersky, McAfee, Norton Symantec, AVG… để tránh những hư hại do virus gây ra. Hoàng Kim Mạnh Đùi Gà Page 5 Đối với hệ thống mạng nội bộ và mạng internet của doanh nghiệp cần phải cài đặt thông số địa chỉ IP (Internet Protocol-giao thức mạng) trên các máy tính để đảm bảo cho việc nhận và truyền tin đúng địa chỉ, an toàn và bảo mật. Địa chỉ IP cũng phải thường xuyên thay đổi để tránh bị truy cập trái phép. - Thiết lập và kiểm soát hệ thống thư điện tử, kiểm soát trang Web của doanh nghiệp và truy cập internet Ngày nay các doanh nghiệp nên trang bị cho mình hệ thống thư điện tử với tên miền riêng trên máy chủ để chủ động trong việc kinh doanh, đồng thời thư điện tử có tên miền riêng cũng là hệ thống giúp nhận diện ra thương hiệu của doanh nghiệp. Đối với trang Web của doanh nghiệp và do chính doanh nghiệp quản lý cũng cần phải được kiểm soát chặt chẽ nhằm tránh những sự phá hoại, thay đổi thông tin trên Web. Công việc này nên giao cho bộ phận chuyên trách về Website quản lý. Đối với việc sử dụng internet truy cập để lấy thông tin từ các trang Web khác cũng cần phải được kiểm soát chặt chẽ tương tự như việc quản lý sử dụng thư điện tử như cần cách ly tiếp cận các trang Web có nguy cơ gây hại cao, quy định những trang Web được vào hay quy định thời gian nào là được phép truy cập. 2.2. Giải pháp về hoạt động kiểm soát ứng dụng 2.2.1. Những quy định ràng buộc về trách nhiệm của các đối tượng liên quan - Trách nhiệm của các doanh nghiệp Các doanh nghiệp khi có ý định trang bị cho mình một phần mềm kế toán cần quan tâm đến những vấn đề sau: + Lựa chọn phần mềm cần phải xuất phát từ những nhu cầu thực tại lẫn tương lai của doanh nghiệp để lọc lựa các phần mềm có chất lượng vì ngày nay trên thị trường đang tồn tại rất nhiều phần mềm kế toán nhưng chỉ có vài ba phần mềm là thật sự có chất lượng. Do đó, việc tìm hiểu về tên tuổi phần mềm, uy tín của nhà sản xuất phần mềm cũng như uy tín của nhà cung cấp phần mềm là thực sự cần thiết cho doanh nghiệp khi đi mua sản phẩm tương đối đặc thù này. Hoàng Kim Mạnh Đùi Gà Page 6 + Sự phù hợp của phần mềm đối với luật định, quy định của chế độ kế toán và hệ thống kế toán của doanh nghiệp cũng cần phải được xem xét kỹ lưỡng để tránh những đáng tiếc về sau. + Tính linh hoạt của phần mềm, khả năng mở rộng của phần mềm và khả năng liên kết với phần mềm khác phải được xem xét để nếu có yêu cầu bổ sung hay thay đổi về sau trong quá trình sử dụng cũng được thực hiện trơn tru. + Cần tìm hiểu về khả năng kiểm soát, bảo mật và an toàn dữ liệu cũng như các hạn chế của phần mềm để có biện pháp thích hợp cho phòng ngừa rủi ro. + Cần tìm hiểu về cấu hình của hệ thống máy tính hiện tại nhằm đảm bảo đủ điều kiện cho việc tương thích giữa phần cứng và phần mềm được vận hành suôn sẻ trên cùng hệ thống. - Trách nhiệm của nhà cung cấp phần mềm Hợp đồng mua phần mềm được ký kết giữa doanh nghiệp và nhà cung cấp phần mềm cần phải có những điều kiện ràng buộc như sau: + Tài liệu chuyển giao từ phía nhà cung cấp phần mềm phải đầy đủ bao gồm tài liệu hướng dẫn sử dụng, tài liệu về cấu hình hệ thống, tài liệu về tổ chức cơ sở dữ liệu, tài liệu hướng dẫn khắc phục sự cố… + Những ràng buộc về bảo hành và bảo trì sản phẩm. + Ràng buộc về cập nhật mới khi có thay đổi, sửa chữa và bổ sung. + Tư vấn sử dụng phần mềm sao cho đáp ứng các yêu cầu đưa ra. + Điều kiện về bảo mật dữ liệu + … - Trách nhiệm của bộ phận IT Hầu hết các doanh nghiệp đều có tổ chức bộ phận IT và cần phải xác định rõ trách nhiệm của bộ phận này do IT có chuyên môn về CNTT nhưng hầu như không có chuyên môn liên quan đến việc sử dụng phần mềm. Do đó, trách nhiệm của IT là đảm bảo việc sao lưu dữ liệu của phần mềm, sửa chữa hay cài đặt lại phần mềm khi có nhu cầu và nên tránh can thiệp vào việc sửa chữa phần mềm hay dữ liệu Hoàng Kim Mạnh Đùi Gà Page 7 phần mềm. Trách nhiệm này nên để lập trình phần mềm đảm nhận và IT chỉ nên can thiệp vào việc sửa lỗi chương trình hay lỗi dữ liệu ở mức độ đơn giản và phải được sự uỷ quyền của nhà cung cấp phần mềm hay nhà sản xuất phần mềm. 2.2.2. Những giải pháp về các thủ tục kiểm soát dữ liệu đầu vào Dữ liệu đầu vào được ghi nhận vào chương trình cần được kiểm soát chặt chẽ ngay từ ban đầu thông qua các thủ tục kiểm soát cụ thể, những thủ tục này cần được thiết kế sẵn trên phần mềm bao gồm: - Chính sách an ninh hệ thống Để đảm bảo tính bảo mật và an toàn dữ liệu, chính sách an ninh hệ thống cần phải được các phần mềm chú ý đến với việc quy định chiều dài mật khẩu tối thiểu, thời hạn của mật khẩu, nhập sai mật khẩu theo số lần quy định sẽ bị khoá quyền sử dụng không cho đăng nhập. Thủ tục này làm giảm khả năng đăng nhập thành công ngay những lần đầu của những người có ý đồ xâm nhập trái phép. - Các thủ tục kiểm soát nhập liệu + Có thủ tục thiết lập quy định kỳ kế toán được mở để phục vụ cho công tác ghi nhận nghiệp vụ. + Kiểm tra tính duy nhất của danh mục. + Kiểm tra tính duy nhất của chứng từ nhập liệu + Kiểm tra ngày chứng từ. + Kiểm tra tính hiện hữu của thông tin + Kiểm tra tính bắt buộc của thông tin + Kiểm tra tính quy ước, quy tắc của dữ liệu. + Kiểm tra sự tồn tại và tính liên quan của dữ liệu + Kiểm tra tính cân đối của định khoản trong nghiệp vụ 2.2.3. Những giải pháp về các thủ tục kiểm soát quy trình xử lý dữ liệu - Xử lý các nghiệp vụ trùng lắp Hoàng Kim Mạnh Đùi Gà Page 8 - Sắp xếp thứ tự chứng từ trên sổ sách và báo cáo kế toán - Cách thức xử lý số liệu - Thủ tục kiểm soát “duyệt chi” - Cách thức sửa sai nghiệp vụ - Kiểm soát các chức năng tự động trên phần mềm 2.2.4. Những giải pháp về các thủ tục kiểm soát thông tin đầu ra - Kiểm soát thông qua chứng từ gốc - Khoá kỳ kế toán - Kiểm tra sự liên tục của chứng từ và thứ tự ngày chứng từ - Kiểm tra tính hợp lý, hợp lệ của số liệu kế toán - Kiểm tra, đối chiếu số liệu kế toán . Giải pháp hạn chế rủi ro tiềm ẩn đối với hoạt động kiểm soát trong môi trường tin học - ThS. Hồ Tuấn Vũ GIẢI PHÁP HẠN CHẾ CÁC RỦI RO TIỀM ẨN ĐỐI VỚI CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG. trung thực trong doanh nghiệp. 2. Giải pháp nhằm hạn chế các rủi ro tiềm ẩn đối với hoạt động kiểm soát trong môi trường tin học cho các doanh nghiệp 2.1. Giải pháp về hoạt động kiểm soát chung. tổ chức chủ động trong việc thiết kế các thủ tục kiểm soát hiệu quả để bảo vệ tài sản thông tin của mình. 1. Những rủi ro tiềm ẩn đối với hoạt động kiểm soát trong môi trường tin học Bên cạnh