1/18/2014 TRƯỜNG ĐẠI HỌC MỞ TP.HCM KHOA KẾ TỐN – KIỂM TỐN Hệ Thống Thơng Tin Kế Tốn CHƢƠNG 03 – P.2 KIỂM SỐT HỆ THỐNG THƠNG TIN KẾ TỐN Trong mơi trƣờng xử lý máy tính GV ThS Vũ Quốc Thơng Mục tiêu nội dung • Trình bày đặc điểm mơi trƣờng tin học ảnh hƣởng tới kiểm sốt nội (KSNB) • Giới thiệu khung kiểm sốt COBIT • Giải thích hoạt động kiểm sốt mơi trƣờng máy tính • Đặc điểm mơi trƣờng tin học ảnh hƣởng tới kiểm sốt nội • Khung kiểm sốt COBIT • Các hoạt động kiểm sốt mơi trƣờng máy tính 1/18/2014 Mục tiêu Kiểm sốt HTTTKT Mục tiêu Kiểm sốt HTTTKT • Mục tiêu chung – Hệ thống thơng tin hoạt động hiệu >> thơng tin xác, kịp thời tin cậy đƣợc • Mục tiêu cụ thể – Tính có thực nghiệp vụ – Đảm bảo xét duyệt phê chuẩn đắn nghiệp vụ – Tính đầy đủ nghiệp vụ – Tính kịp thời (đúng hạn) – Chuyển sổ tổng hợp xác 1/18/2014 Đặc điểm xử lý máy ảnh hưởng đến kiểm sốt Đặc điểm xử lý mơi trƣờng máy tính (CIS) • Thiết bị: nhạy cảm, dễ bị phá hủy • Dữ liệu: • Dữ liệu lƣu hình thức máy tính đọc đƣợc • Tổ chức liệu theo hệ quản trị sở liệu • Hoạt động xử lý: • Hệ thống truy cập từ nhiều nơi • Xử lý tự động theo chƣơng trình lập sẵn bị phụ thuộc hoạt động thiết bị • Tổ chức, phát triển hệ thống: • Nhiều nhiệm vụ tập trung khâu xử lý liệu điện tử (Electronic Data Processing EDP) – khơng đảm bảo số ngun tắc bất kiêm nhiệm • Thay đổi hệ thống (đặc biệt cấu trúc) phức tạp 1/18/2014 Đặc điểm xử lý mơi trƣờng máy tính (CIS) • Thực nhiều chức (nhập liệu, truy vấn, lƣu trữ liệu, kết xuất thơng tin thơng qua ứng dụng – sở liệu) • Khó lƣu lại dấu vết (xóa dấu vết, sửa chữa câu lệnh, chƣơng trình virus) • Khối lƣợng liệu ghi nhận nhiều, đƣợc sử dụng (truy vấn, kết xuất) nhiều lần, đa dạng • Thơng tin cung cấp nhiều, đa dạng (báo cáo đầu đƣợc thiết kế linh động) • Phụ thuộc vào khả hoạt động, xử lý phần cứng, phần mềm • Đòi hỏi nhân viên có trình độ cao (chun mơn kế tốn, kiến thức hệ thống, kiến thức tin học) Rủi ro kiểm sốt mơi trƣờng CIS Rủi ro DN Rủi ro kinh doanh Rủi ro xử lý TT Rủi ro hệ thống TT Nguồn lực Nhập liệu Phát triển HT Sự kiệ n Xử lý Tổ chức HTTT Thành phần tham gia Kết xử lý Thiết bò Đòa điểm Truy cập Rủi ro chiến lƣợc, hoạt động kinh doanh, tài chính… Dữ liệu Rủi ro thơng tin 1/18/2014 Nguy đe dọa mơi trƣờng CIS • Các loại gian lận, phá hoại • Gian lận hoạt động kinh doanh • Gian lận xử lý thơng tin: ăn cắp, sửa đổi, gián điệp với tập tin liệu từ hệ thống • Gian lận liên quan tiếp cận hệ thống: truy cập hệ thống sử dụng thiết bị trái phép, khơng hợp lệ… • Phá hoại thiết bị hệ thống: ngƣời (chủ quan hay khách quan); thiên tai… • Các ngun nhân • Nguồn nội • Nguồn bên ngồi: mối quan hệ kinh doanh, tội phạm mạng Internet… • Thơng đồng: có phối hợp nội bên ngồi Nguy đe dọa mơi trƣờng CIS HTTT Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) Edward Snowden: A Hero Or Traitor? 10 1/18/2014 Bài tập thảo luận 01 11 Bài tập thảo luận 01 • Nhận biết rủi ro xảy q trình xử lý thơng tin? Giai đoạn Rủi ro xảy gian lận, sai sót Nhập liệu (Data Collection) - Dữ liệu dễ bị thay đổi trƣớc đƣợc nhập vào hệ thống - Dữ liệu khơng xác, khơng đầy đủ khơng đảm bảo đƣợc chất lƣợng thơng tin (GIGO: Garbage In Garbage Out) Xử lý lưu trữ liệu (Data Processing and Management) - Gian lận chƣơng trình phần mềm: thay đổi chƣơng trình cho phép truy cập thao tác khơng hợp lệ liệu; phá hủy chƣơng trình hệ thống Virus - Gian lận hoạt động: sử dụng nguồn lực tin học sai mục đích VD sử dụng máy tính chứa liệu cơng ty cho mục đích cá nhân… - Thay đổi, xóa, phá hủy lấy cắp tập tin liệu lƣu hệ thống Kết xuất thơng -Lấy cắp, chuyển thơng tin đến sai đối tƣợng, sử dụng thơng tin với mục tin (Information đích khơng Generation) - Các hành động tìm kiếm thơng tin xóa thùng rác (Trash, 12 Recycle Bin) máy tính đƣợc dùng để kết xuất thơng tin 1/18/2014 Giới thiệu khung kiểm sốt COBIT Tham khảo tài liệu COBIT_4.1.PDF 13 Khung kiểm sốt COBIT • COBIT: Khung kiểm sốt hệ thống tập trung cho mơi trƣờng máy tính coso Committee of Sponsoring Organizations Control Objectives for Information and COBIT Related Technology 14 1/18/2014 * Lịch sử phát triển COBIT 15 Khung kiểm sốt COBIT • COBIT giải vấn đề Kiểm Sốt dựa 03 điểm chính: – Mục tiêu kinh doanh: để phục vụ cho mục tiêu kinh doanh, thơng tin cần thỏa mãn tiêu chuẩn: hữu hiệu, hiệu quả, bảo mật, tồn vẹn, sẵn sàng, tn thủ đáng tin cậy – Nguồn lực CNTT: bao gồm ngƣời, hệ thống ứng dụng, kỹ thuật, sở hạ tầng liệu – Quy trình CNTT: đƣợc chia thành 04 vùng/lĩnh vực (domain) bao gồm hoạch định tổ chức; hình thành triển khai; phân phối hỗ trợ; giám sát đánh giá hệ thống thơng tin 16 1/18/2014 Khung kiểm sốt COBIT  Bổ sung, điều chỉnh số định nghĩa sở báo cáo COSO:  Mục tiêu kiểm sóat hệ thống thơng tin (HTTT)  Các hƣớng dẫn cho việc định giá hiệu Giám kiểm sóat HTTT sát  COBIT phù hợp với COSO việc phân lọai thành phần Hoạt kiểm sóat động kiểm soát  COBIT COSO cho Đánh giá “người” yếu tố rủi ro quan trọng hệ thống Môi trường kiểm soát KSNB 17 Khung kiểm sốt COBIT • Kiểm sốt mơi trƣờng máy tính 18 1/18/2014 Các hoạt động kiểm sốt 19 Các hoạt động kiểm sốt 20 10 1/18/2014 Kiểm sốt chung kiểm sốt ứng dụng Kiểm sốt chung Bán hàng thu tiền Tiền lương Khác Kiểm sốt ứng dụng Hàng tồn kho 21 Phân biệt KS chung KS ứng dụng • Kiểm sốt chung Là loại kiểm sốt cho số hay tồn thể ứng dụng Có ảnh hƣởng trực tiếp hay gián tiếp đến kiểm sốt ứng dụng • Kiểm sốt ứng dụng Liên quan đến ứng dụng xuất q trình xử lý nghiệp vụ 22 11 1/18/2014 Tác động KS chung đến KS ứng dụng Kiểm sốt chung giúp: - Tránh tiếp cận thay đổi khơng đƣợc phép ứng dụng (bộ phận/phân hệ) - Thực cách xác máy tính - Giúp ứng dụng khơng thể bị vơ hiệu hóa 23 Kiểm sốt chung • Tổ chức máy xử lý thơng tin mơi • • • • • trƣờng máy tính Kiểm sốt q trình phát triển HT thơng tin Chuẩn hóa tài liệu hệ thống liên quan Kiểm sốt truy cập thao tác hệ thống Đảm bảo hoạt động liên tục Kế hoạch khắc phục hậu rủi ro xảy 24 12 1/18/2014 Kiểm sốt truy cập thao tác hệ thống Phân quyền truy cập 25 VD Hệ thống kế tốn Misa 26 13 1/18/2014 Bài tập thảo luận Bạn trƣởng phòng kế tốn có quyền quản trị phần mềm kế tốn ABC sử dụng doanh nghiệp bạn với mơ hình thƣơng mại Các phần hành (phân hệ) kế tốn phần mềm ABC bao gồm quản trị, kế tốn thu/chi, bán hàng, nhập/xuất hàng, mua hàng kế tốn tổng hợp Mỗi phần hành có 04 quyền thao tác: quyền xem (X), quyền thêm (T), quyền sửa (S), quyền xóa (D) Phòng kế tốn có 03 nhân viên (khơng bao gồm kế tốn trƣởng) Mỗi nhân viên kế tốn chịu trách nhiệm nhập chứng từ liên quan đến phần việc đƣợc phép sử dụng báo cáo phần hành khác (nếu thấy cần thiết) để đối chiếu, kiểm tra xử lý nghiệp vụ 27 u cầu phân quyền truy cập hệ thống ? Chức Khai báo Khai báo tài khoản Khai báo đ.tƣợng quản lý Khóa sổ kì kế tốn Quản lý ngƣời dùng Các sách kế tốn Nhập liệu - Chứng từ D.thu Chứng từ thu Chứng từ bán hàng Chứng từ xuất kho - Chứng từ C.Phí Chứng từ chi Chứng từ mua hàng Chứng từ nhập kho KHÁC Chứng từ tổng hợp Bút tốn khác KTT NV1 NV2 NV3 T,X,S T,X,S X X X X X X T,X,S,D T,X,S,D X X X T,X X T,X T,X X X T,X X X X T,X X X X X T,X X X T,X T,X 28 14 1/18/2014 Kiểm sốt ứng dụng Chương trình máy Hoạt động kiểm sốt Hòan tồn tự động Hỗn hợp Thủ cơng 29 Mục tiêu kiểm sốt ứng dụng *  Mục tiêu: đầy đủ, hợp lệ, xác  Các liệu phát sinh đƣợc ghi nhận (ghi vào tập tin tham chiếu tập tin nghiệp vụ)  Dữ liệu phải đƣợc ghi nhận hợp lệ - có thực (Validation check)  Dữ liệu phải đƣợc ghi nhận đầy đủ (Completeness check)  Dữ liệu hợp lệ, đầy đủ phải đƣợc xử lý lƣu trữ xác  Báo cáo (thơng tin) đƣợc kết xuất phải đầy 30 đủ, hợp lệ, xác 15 1/18/2014 Ví dụ Trong mơi trƣờng tin học hóa, thủ tục kiểm sốt ứng dụng hữu hiệu để ngăn ngừa, phát sai phạm sau: Sai phạm Thủ tục kiểm sốt Nhân viên kế tốn tiền lương nhập thời gian làm Kiểm tra giới hạn liệu việc tuần cơng nhân vào phần mềm trường “Giờ cơng” phần nhập 94 thay số 49 mềm Nhân viên bán hàng nhập sai mã hàng lập Giá trị mặc định (Chọn mã hàng thay nhập)  kiểm tra tính hợp lệnh bán hàng lệ - có thực Nhân viên bán hàng từ máy tính cá nhân, truy Kiểm tra phân quyền truy cập hệ cập vào mạng LAN cơng ty, vào máy chủ in thống danh sách lương nhân viên Một lệnh bán hàng mã hóa với mã Kiểm tra tính tồn vẹn + tính có khách hàng khơng có thực Lỗi phát thực q trình cập nhật liệu, chương trình khơng tìm mẫu tin tham chiếu phù hợp với liệu cập nhật Kế tốn nhập ký tự r thay nhập số Kiểm tra kiểu liệu 31 nhập liệu khai báo mã khách hàng Bài tập tổng hợp • Tình huống: kiểm sốt hệ thống thơng tin Cơng ty TNHH SX TM KIMMING 32 16 1/18/2014 Sau học xong chƣơng này, bạn có thể: • Trình bày đặc điểm mơi trƣờng tin học ảnh hƣởng tới kiểm sốt nội (KSNB) • Giới thiệu khung kiểm sốt COBIT • Giải thích hoạt động kiểm sốt mơi trƣờng máy tính Bài tập: - BT_KSHTTTKT_DTDB P2.pdf Bài đọc: - Các tài liệu tham khảo GV gợi ý 33 17 [...]... soát truy cập và thao tác hệ thống Phân quyền truy cập 25 VD Hệ thống kế toán Misa 26 13 1/18/2014 Bài tập thảo luận 3 Bạn là trƣởng phòng kế toán có quyền quản trị đối với phần mềm kế toán ABC đang sử dụng tại doanh nghiệp của bạn với mô hình thƣơng mại Các phần hành (phân hệ) kế toán trong phần mềm ABC bao gồm quản trị, kế toán thu/chi, bán hàng, nhập/xuất hàng, mua hàng và kế toán tổng hợp Mỗi phần... phép của các ứng dụng (bộ phận/phân hệ) - Thực hiện một cách chính xác bởi máy tính - Giúp các ứng dụng không thể bị vô hiệu hóa 23 Kiểm soát chung • Tổ chức bộ máy xử lý thông tin trong môi • • • • • trƣờng máy tính Kiểm soát quá trình phát triển HT thông tin Chuẩn hóa các tài liệu hệ thống liên quan Kiểm soát truy cập và thao tác hệ thống Đảm bảo hoạt động liên tục Kế hoạch khắc phục hậu quả nếu rủi... liệu 31 nhập liệu khai báo mã khách hàng mới Bài tập tổng hợp • Tình huống: kiểm soát hệ thống thông tin Công ty TNHH SX TM KIMMING 32 16 1/18/2014 Sau khi học xong chƣơng này, bạn có thể: • Trình bày đặc điểm môi trƣờng tin học ảnh hƣởng tới kiểm soát nội bộ (KSNB) • Giới thiệu về khung kiểm soát COBIT • Giải thích các hoạt động kiểm soát trong môi trƣờng máy tính Bài tập: - BT_KSHTTTKT_DTDB P2.pdf Bài. .. (T), quyền sửa (S), quyền xóa (D) Phòng kế toán hiện nay có 03 nhân viên (không bao gồm kế toán trƣởng) Mỗi nhân viên kế toán chịu trách nhiệm nhập các chứng từ liên quan đến phần việc của mình và đƣợc phép sử dụng các báo cáo của các phần hành khác (nếu thấy cần thiết) để đối chiếu, kiểm tra khi xử lý các nghiệp vụ của mình 27 Yêu cầu phân quyền truy cập hệ thống ? Chức năng Khai báo Khai báo tài... sinh đều đƣợc ghi nhận (ghi vào tập tin tham chiếu hoặc tập tin nghiệp vụ)  Dữ liệu phải đƣợc ghi nhận hợp lệ - có thực (Validation check)  Dữ liệu phải đƣợc ghi nhận đầy đủ (Completeness check)  Dữ liệu hợp lệ, đầy đủ phải đƣợc xử lý và lƣu trữ chính xác  Báo cáo (thông tin) đƣợc kết xuất phải đầy 30 đủ, hợp lệ, chính xác 15 1/18/2014 Ví dụ Trong môi trƣờng tin học hóa, thủ tục kiểm soát ứng dụng... Khóa sổ kì kế toán Quản lý ngƣời dùng Các chính sách kế toán Nhập liệu - Chứng từ D.thu Chứng từ thu Chứng từ bán hàng Chứng từ xuất kho - Chứng từ C.Phí Chứng từ chi Chứng từ mua hàng Chứng từ nhập kho KHÁC Chứng từ tổng hợp Bút toán khác KTT NV1 NV2 NV3 T,X,S T,X,S X X X X X X T,X,S,D T,X,S,D X X X T,X X T,X T,X X X T,X X X X T,X X X X X T,X X X T,X T,X 28 14 1/18/2014 Kiểm soát ứng dụng Chương trình... tra phân quyền truy cập hệ cập vào mạng LAN của công ty, vào máy chủ và in thống ra danh sách lương của các nhân viên 4 Một lệnh bán hàng được mã hóa với mã của một Kiểm tra tính toàn vẹn + tính có khách hàng không có thực Lỗi này chỉ được phát thực hiện trong quá trình cập nhật dữ liệu, chương trình không tìm được một mẫu tin tham chiếu nào phù hợp với dữ liệu cập nhật 5 Kế toán đã nhập ký tự r thay... Sai phạm Thủ tục kiểm soát 1 Nhân viên kế toán tiền lương nhập thời gian làm Kiểm tra giới hạn dữ liệu của việc trong tuần của một công nhân vào phần mềm trường “Giờ công” trong phần nhập 94 giờ thay vì số đúng là 49 giờ mềm 2 Nhân viên bán hàng đã nhập sai mã hàng khi lập Giá trị mặc định (Chọn mã hàng thay vì nhập)  kiểm tra tính hợp lệnh bán hàng lệ - có thực 3 Nhân viên bán hàng từ máy tính cá nhân,... soát nội bộ (KSNB) • Giới thiệu về khung kiểm soát COBIT • Giải thích các hoạt động kiểm soát trong môi trƣờng máy tính Bài tập: - BT_KSHTTTKT_DTDB P2.pdf Bài đọc: - Các tài liệu tham khảo do GV gợi ý 33 17 ... thơng tin: ăn cắp, sửa đổi, gián điệp với tập tin liệu từ hệ thống • Gian lận liên quan tiếp cận hệ thống: truy cập hệ thống sử dụng thiết bị trái phép, khơng hợp lệ… • Phá hoại thiết bị hệ thống: ... VD Hệ thống kế tốn Misa 26 13 1/18/2014 Bài tập thảo luận Bạn trƣởng phòng kế tốn có quyền quản trị phần mềm kế tốn ABC sử dụng doanh nghiệp bạn với mơ hình thƣơng mại Các phần hành (phân hệ) kế. .. Chuẩn hóa tài liệu hệ thống liên quan Kiểm sốt truy cập thao tác hệ thống Đảm bảo hoạt động liên tục Kế hoạch khắc phục hậu rủi ro xảy 24 12 1/18/2014 Kiểm sốt truy cập thao tác hệ thống Phân quyền