Bài giảng Hệ thống thông tin kế toán 2 - Chương 3: Kiểm soát hệ thống thông tin kế toán (Phần 2)

1/18/2014 1 KIỂM SOÁT HỆ THỐNG THÔNG TIN KẾ TOÁN GV. ThS. Vũ Quốc Thông CHƢƠNG 03 – P.2 Hệ Thống Thông Tin Kế Toán 2 TRƯỜNG ĐẠI HỌC MỞ TP.HCM KHOA KẾ TOÁN – KIỂM TOÁN Trong môi trƣờng xử lý bằng máy tính Mục tiêu và nội dung • Trình bày đặc điểm môi trƣờng tin học ảnh hƣởng tới kiểm soát nội bộ (KSNB) • Giới thiệu về khung kiểm soát COBIT • Giải thích các hoạt động kiểm soát trong môi trƣờng máy tính • Đặc điểm môi trƣờng tin học ảnh hƣởng tới kiểm soát nội bộ • Khung kiểm soát COBIT • Các hoạt động kiểm soát trong môi trƣờng máy tính 2 1/18/2014 2 Mục tiêu của Kiểm soát HTTTKT 3 Mục tiêu của Kiểm soát HTTTKT • Mục tiêu chung – Hệ thống thông tin hoạt động hiệu quả >> thông tin chính xác, kịp thời và tin cậy đƣợc • Mục tiêu cụ thể – Tính có thực của nghiệp vụ – Đảm bảo sự xét duyệt và phê chuẩn đúng đắn đối với nghiệp vụ – Tính đầy đủ của nghiệp vụ – Tính kịp thời (đúng hạn) – Chuyển sổ và tổng hợp chính xác 4 1/18/2014 3 Đặc điểm xử lý bằng máy ảnh hưởng đến kiểm soát 5 Đặc điểm của xử lý trên môi trƣờng máy tính (CIS) • Thiết bị: nhạy cảm, dễ bị phá hủy • Dữ liệu: • Dữ liệu lƣu trong hình thức máy tính đọc đƣợc • Tổ chức dữ liệu theo hệ quản trị cơ sở dữ liệu • Hoạt động xử lý: • Hệ thống có thể truy cập từ nhiều nơi • Xử lý tự động theo chƣơng trình lập sẵn và bị phụ thuộc hoạt động của thiết bị • Tổ chức, phát triển hệ thống: • Nhiều nhiệm vụ tập trung ở khâu xử lý dữ liệu điện tử (Electronic Data Processing EDP) – không đảm bảo một số nguyên tắc bất kiêm nhiệm • Thay đổi hệ thống (đặc biệt là về cấu trúc) sẽ phức tạp 6 1/18/2014 4 Đặc điểm của xử lý trên môi trƣờng máy tính (CIS) • Thực hiện nhiều chức năng (nhập liệu, truy vấn, lƣu trữ dữ liệu, kết xuất thông tin thông qua một ứng dụng – một cơ sở dữ liệu) • Khó lƣu lại dấu vết (xóa dấu vết, sửa chữa bằng câu lệnh, hoặc bởi các chƣơng trình virus) • Khối lƣợng dữ liệu ghi nhận nhiều, đƣợc sử dụng (truy vấn, kết xuất) nhiều lần, đa dạng • Thông tin cung cấp nhiều, đa dạng (báo cáo đầu ra đƣợc thiết kế linh động) • Phụ thuộc vào khả năng hoạt động, xử lý của phần cứng, phần mềm • Đòi hỏi nhân viên có trình độ cao (chuyên môn kế toán, kiến thức hệ thống, kiến thức tin học) 7 Rủi ro kiểm soát trong môi trƣờng CIS 8 Nguoàn löïc Söï kieän Thaønh phaàn tham gia Ñòa ñieåm Ruûi ro kinh doanh Nhaäp lieäu Xöû lyù Keát quaû xöû lyù Ruûi ro xöû lyù TT Phaùt trieån HT Toå chöùc HTTT Thieát bò Truy caäp Döõ lieäu Ruûi ro heä thoáng TT Ruûi ro trong DN Rủi ro chiến lƣợc, hoạt động kinh doanh, tài chính Rủi ro thông tin 1/18/2014 5 Nguy cơ đe dọa trong môi trƣờng CIS 9 • Các loại gian lận, phá hoại • Gian lận trong hoạt động kinh doanh • Gian lận trong xử lý thông tin: ăn cắp, sửa đổi, gián điệp với các tập tin dữ liệu từ hệ thống • Gian lận liên quan tiếp cận hệ thống: truy cập hệ thống và sử dụng thiết bị trái phép, không hợp lệ • Phá hoại các thiết bị hệ thống: con ngƣời (chủ quan hay khách quan); thiên tai • Các nguyên nhân • Nguồn nội bộ • Nguồn bên ngoài: mối quan hệ trong kinh doanh, tội phạm mạng Internet • Thông đồng: có phối hợp giữa nội bộ và bên ngoài Nguy cơ đe dọa trong môi trƣờng CIS 10 Edward Snowden: A Hero Or Traitor? HTTT của Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) 1/18/2014 6 Bài tập thảo luận 01 11 Bài tập thảo luận 01 • Nhận biết những rủi ro có thể xảy ra trong quá trình xử lý thông tin? 12 Giai đoạn Rủi ro có thể xảy ra gian lận, sai sót Nhập liệu (Data Collection) - Dữ liệu dễ bị thay đổi trƣớc khi đƣợc nhập vào hệ thống. - Dữ liệu không chính xác, không đầy đủ sẽ không đảm bảo đƣợc chất lƣợng thông tin (GIGO: Garbage In Garbage Out). Xử lý và lưu trữ dữ liệu (Data Processing and Management) - Gian lận về chƣơng trình phần mềm: thay đổi chƣơng trình cho phép truy cập và thao tác không hợp lệ đối với dữ liệu; phá hủy chƣơng trình hệ thống bằng Virus. - Gian lận về hoạt động: sử dụng nguồn lực tin học sai mục đích. VD. sử dụng máy tính chứa dữ liệu công ty cho các mục đích cá nhân - Thay đổi, xóa, phá hủy và lấy cắp các tập tin dữ liệu lƣu trên hệ thống. Kết xuất thông tin (Information Generation) -Lấy cắp, chuyển thông tin đến sai đối tƣợng, sử dụng thông tin với mục đích không đúng. - Các hành động tìm kiếm thông tin đã xóa trong thùng rác (Trash, Recycle Bin) của máy tính đƣợc dùng để kết xuất thông tin. 1/18/2014 7 Giới thiệu khung kiểm soát COBIT Tham khảo tài liệu COBIT_4.1.PDF 13 Committee of Sponsoring Organizationscoso COBIT Control Objectives for Information and Related Technology • COBIT: Khung kiểm soát hệ thống tập trung cho môi trƣờng máy tính Khung kiểm soát COBIT 14 1/18/2014 8 15 Lịch sử phát triển của COBIT * Khung kiểm soát COBIT 16 • COBIT giải quyết vấn đề Kiểm Soát dựa trên 03 điểm chính: – Mục tiêu kinh doanh: để phục vụ cho mục tiêu kinh doanh, thông tin cần thỏa mãn các tiêu chuẩn: hữu hiệu, hiệu quả, bảo mật, toàn vẹn, sẵn sàng, tuân thủ và đáng tin cậy. – Nguồn lực CNTT: bao gồm con ngƣời, hệ thống ứng dụng, kỹ thuật, cơ sở hạ tầng và dữ liệu. – Quy trình CNTT: đƣợc chia thành 04 vùng/lĩnh vực (domain) bao gồm hoạch định và tổ chức; hình thành và triển khai; phân phối và hỗ trợ; giám sát và đánh giá về hệ thống thông tin. 1/18/2014 9  Mục tiêu kiểm sóat trong hệ thống thông tin (HTTT)  Các hƣớng dẫn cho việc định giá hiệu quả của kiểm sóat trong HTTT  COBIT phù hợp với COSO về việc phân lọai các thành phần kiểm sóat  Bổ sung, điều chỉnh một số định nghĩa trên cơ sở của báo cáo của COSO:  COBIT và COSO đều cho rằng “người” là yếu tố rất quan trọng trong hệ thống KSNB Hoaït ñoäng kieåm soaùt Giaùm saùt Ñaùnh giaù ruûi ro Moâi tröôøng kieåm soaùt Khung kiểm soát COBIT 17 • Kiểm soát trong môi trƣờng máy tính Khung kiểm soát COBIT 18 1/18/2014 10 Các hoạt động kiểm soát 19 20 Các hoạt động kiểm soát 1/18/2014 11 Kiểm soát chung và kiểm soát ứng dụng Kiểm soát chung Bán hàng và thu tiền Hàng tồn kho Tiền lương Khác Kiểm soát ứng dụng 21 Phân biệt KS chung và KS ứng dụng • Kiểm soát chung Là loại kiểm soát cho một số hay toàn thể các ứng dụng Có ảnh hƣởng trực tiếp hay gián tiếp đến kiểm soát ứng dụng • Kiểm soát ứng dụng Liên quan đến từng ứng dụng và xuất hiện trong quá trình xử lý nghiệp vụ 22 1/18/2014 12 Kiểm soát chung giúp: - Tránh sự tiếp cận và thay đổi không đƣợc phép của các ứng dụng (bộ phận/phân hệ) - Thực hiện một cách chính xác bởi máy tính - Giúp các ứng dụng không thể bị vô hiệu hóa Tác động của KS chung đến KS ứng dụng 23 Kiểm soát chung • Tổ chức bộ máy xử lý thông tin trong môi trƣờng máy tính • Kiểm soát quá trình phát triển HT thông tin • Chuẩn hóa các tài liệu hệ thống liên quan • Kiểm soát truy cập và thao tác hệ thống • Đảm bảo hoạt động liên tục • Kế hoạch khắc phục hậu quả nếu rủi ro xảy ra 24 1/18/2014 13 25 Phân quyền truy cập Kiểm soát truy cập và thao tác hệ thống VD. Hệ thống kế toán Misa 26 1/18/2014 14 Bài tập thảo luận 3 Bạn là trƣởng phòng kế toán có quyền quản trị đối với phần mềm kế toán ABC đang sử dụng tại doanh nghiệp của bạn với mô hình thƣơng mại. Các phần hành (phân hệ) kế toán trong phần mềm ABC bao gồm quản trị, kế toán thu/chi, bán hàng, nhập/xuất hàng, mua hàng và kế toán tổng hợp. Mỗi phần hành có 04 quyền thao tác: quyền xem (X), quyền thêm (T), quyền sửa (S), quyền xóa (D). Phòng kế toán hiện nay có 03 nhân viên (không bao gồm kế toán trƣởng). Mỗi nhân viên kế toán chịu trách nhiệm nhập các chứng từ liên quan đến phần việc của mình và đƣợc phép sử dụng các báo cáo của các phần hành khác (nếu thấy cần thiết) để đối chiếu, kiểm tra khi xử lý các nghiệp vụ của mình. 27 Yêu cầu phân quyền truy cập hệ thống ? 28 Chức năng KTT NV1 NV2 NV3 Khai báo Khai báo tài khoản T,X,S X X X Khai báo các đ.tƣợng quản lý T,X,S X X X Khóa sổ kì kế toán Quản lý ngƣời dùng T,X,S,D Các chính sách kế toán T,X,S,D X X X Nhập liệu - Chứng từ D.thu Chứng từ thu X T,X Chứng từ bán hàng X X T,X Chứng từ xuất kho X X T,X - Chứng từ C.Phí Chứng từ chi X T,X Chứng từ mua hàng X X T,X X Chứng từ nhập kho X X X T,X KHÁC Chứng từ tổng hợp T,X Bút toán khác T,X 1/18/2014 15 Hoạt động kiểm soát Chương trình trên máy Hòan toàn tự động Hỗn hợp Thủ công Kiểm soát ứng dụng 29 Mục tiêu kiểm soát ứng dụng  Mục tiêu: đầy đủ, hợp lệ, chính xác  Các dữ liệu phát sinh đều đƣợc ghi nhận (ghi vào tập tin tham chiếu hoặc tập tin nghiệp vụ)  Dữ liệu phải đƣợc ghi nhận hợp lệ - có thực (Validation check)  Dữ liệu phải đƣợc ghi nhận đầy đủ (Completeness check)  Dữ liệu hợp lệ, đầy đủ phải đƣợc xử lý và lƣu trữ chính xác  Báo cáo (thông tin) đƣợc kết xuất phải đầy đủ, hợp lệ, chính xác * 30 1/18/2014 16 31 Ví dụ. Trong môi trƣờng tin học hóa, thủ tục kiểm soát ứng dụng nào hữu hiệu để ngăn ngừa, phát hiện các sai phạm sau: Sai phạm Thủ tục kiểm soát 1. Nhân viên kế toán tiền lương nhập thời gian làm việc trong tuần của một công nhân vào phần mềm nhập 94 giờ thay vì số đúng là 49 giờ Kiểm tra giới hạn dữ liệu của trường “Giờ công” trong phần mềm 2. Nhân viên bán hàng đã nhập sai mã hàng khi lập lệnh bán hàng Giá trị mặc định (Chọn mã hàng thay vì nhập)  kiểm tra tính hợp lệ - có thực 3. Nhân viên bán hàng từ máy tính cá nhân, truy cập vào mạng LAN của công ty, vào máy chủ và in ra danh sách lương của các nhân viên Kiểm tra phân quyền truy cập hệ thống 4. Một lệnh bán hàng được mã hóa với mã của một khách hàng không có thực. Lỗi này chỉ được phát hiện trong quá trình cập nhật dữ liệu, chương trình không tìm được một mẫu tin tham chiếu nào phù hợp với dữ liệu cập nhật Kiểm tra tính toàn vẹn + tính có thực 5. Kế toán đã nhập ký tự r thay vì nhập số 6 trên ô nhập liệu khai báo mã khách hàng mới Kiểm tra kiểu dữ liệu Bài tập tổng hợp • Tình huống: kiểm soát hệ thống thông tin Công ty TNHH SX TM KIMMING 32 1/18/2014 17 Sau khi học xong chƣơng này, bạn có thể: 33 Bài tập: - BT_KSHTTTKT_DTDB P2.pdf • Trình bày đặc điểm môi trƣờng tin học ảnh hƣởng tới kiểm soát nội bộ (KSNB) • Giới thiệu về khung kiểm soát COBIT • Giải thích các hoạt động kiểm soát trong môi trƣờng máy tính Bài đọc: - Các tài liệu tham khảo do GV gợi ý