Bài giảng Kiểm soát trong Hệ thống thông tin kế toán

* Kiểm soát trong Hệ thống thông tin kế toán * Tại sao cần KIỂM SOÁT? KIỂM SOÁT là 1 trong những chức năng của nhà quản trị nhằm đảm bảo cho 1 tổ chức đạt được MỤC TIÊU đề ra  Kiểm soát gắn liền với mục tiêu đề ra RỦI RO luôn CÓ THỂ phát sinh trong quá trình hoạt động của 1 tổ chức, 1 hệ thống  Hạn chế các rủi ro phát sinh * CÁC MỐI ĐE DỌA ĐỐI VỚI HTTTKT Mối đe dọa khách quan bên ngoài: mất điện, cháy… Mối đe dọa từ phương tiện, máy móc: do phần mềm hỏng, không chính xác... phần cứng hỏng, lỗi thời… Mối đe dọa từ sự vô ý của con người: Cẩu thả, lơ đễnh… Mối đe dọa từ hành động cố ý: Phá hoại, biển thủ, thông đồng, gian lận… 65% các nguy cơ từ sự vô ý của con người, 20% từ nguyên nhân khách quan bên ngoài, 15% từ gian lận (Romney, AIS, 2004) * Hệ thống kiểm soát nội bộ * KIỂM SOÁT NỘI BỘ Khái niệm: Là một quá trình thiết kế bởi các nhà quản lý và các nhân viên của một tổ chức để cung cấp một sự đảm bảo hợp lý trong việc thực hiện các mục tiêu: Hoạt động hữu hiệu và hiệu quả. Thông tin đáng tin cậy. Sự tuân thủ các luật lệ và quy định * KIỂM SOÁT NỘI BỘ Các nội dung quan trọng liên quan đến khái niệm KSNB KSNB gắn liền và là phương tiên để đạt mục tiêu KSNB là 1 quá trình/1 hệ thống KSNB do con người và thực hiện bởi con người KSNB gắn liền với 1 chi phí bỏ ra KSNB đảm bảo hợp lý chứ không tuyệt đối * KIỂM SOÁT NỘI BỘ Các thành phần của KSNB Môi trường kiểm soát Đánh giá rủi ro Thủ tục kiểm soát Thông tin truyền thông Giám sát * Môi trường kiểm soát Sự trung thực và các giá trị đạo đức Phong cách quản lý, điều hành Cơ cấu tổ chức Các yếu tố tác động từ bên ngoài Chính sách nhân sự Vai trò độc lập của bộ phận kiểm tra Uỷ quyền và phân chia trách nhiệm * Đánh giá rủi ro Trọng yếu của rủi ro: độ lớn của rủi ro = Khả năng xảy ra rủi ro (%) x Thiệt hại ước tính Việc thiết lập các thủ tục kiểm soát phụ thuộc vào mối quan hệ lợi ích - chi phí Cao Thấp Thấp Cao % xảy ra Tổn thất ước tính Trọng yếu Lợi ích của thủ tục kiểm soát = mức giảm trọng yếu của rủi ro từ thủ tục kiểm soát mang lại * Phân loại rủi ro Phân loại rủi ro Rủi ro hoạt động Rủi ro xử lý thông tin Rủi ro nguồn lực hệ thống Liên quan đến: + Nguồn lực + Sự kiện + Đối tượng Liên quan đến: + Ghi nhận + Xử lý + Cung cấp Liên quan đến: + Phát triển + Sử dụng + Bảo quản * Rủi ro hoạt động Thực hiện không hữu hiệu, hiệu quả và không tuân thủ Nghiệp vụ, hoạt động không được xét duyệt Nghiệp vụ đã xét duyệt nhưng không được thực hiện, hoặc thực hiện nhiều lần Sai đối tượng liên quan Sử dụng sai sót, mất mát nguồn lực (Sai sản phẩm, SL, giá …) * Đánh giá rủi ro hoạt động Nhận dạng các hoạt động/ sự kiện được thực hiện theo các chu trình kinh doanh Nhận dạng các đối tượng, nguồn lực liên quan đến các hoạt động trên Nhận dạng các rủi ro cho từng hoạt động trên. Xác định các nguyên nhân của các rủi ro trên * Ví dụ: Café Sinh viên Nghiệp vụ, hoạt động không được xét duyệt NVụ đã xét duyệt nhưng không được thực hiện, hoặc nhiều lần Sai đối tượng (KH, NCC) Sai sót loại SP liên quan Sai sót về SL, chất lượng, giá cả của SP Mất mát tài sản, thiếu tài sản Bán hàng cho bạn bè, không thu tiền Quên bán hàng cho khách hàng hoặc phục vụ nhiều lần Phục vụ sai khách hàng Bán sai loại nước yêu cầu Bán sai số lượng, tính giá sai, chất lượng kém Không thu tiền KH, thu thiếu, mất tiển Mất, thiếu NVL pha chế * Rủi ro xử lý thông tin Rủi ro ghi nhận (nhập liệu, ghi sổ) Ghi sổ, nhập liệu các dữ liệu không chính xác, không đầy đủ, không hợp lệ Rủi ro khai báo Khai báo các đối tượng, nguồn lực không chính xác, không đầy đủ, không hợp lệ Rủi ro cập nhật, lập báo cáo Phân loại, tính toán, tổng hợp không chính xác, cung cấp thông tin không đúng đối tượng, thời điểm * Đánh giá rủi ro xử lý thông tin Xác định các hoạt động, đối tượng, nguồn lực cần thu thập dữ liệu Xác định các nội dung dữ liệu cần ghi nhận cho các hoạt động và nguồn lực, đối tượng liên quan Xác định các rủi ro liên quan đến các hoạt động Rủi ro ghi nhận (Nhập liệu, ghi sổ) Khai báo Cập nhật (chuyển sổ), lập báo cáo Xác định nguyên nhân của các rủi ro trên * Rủi ro nguồn lực hệ thống Quá trình phát triển Thời gian kéo dài, chi phí cao, hệ thống không đạt yêu cầu, thất bại… Quá trình sử dụng Không đúng đối tượng sử dụng, sử dụng sai chức năng… Quá trình bảo quản Hư hỏng hệ thống, mất mát dữ liệu… * Các hoạt động kiểm soát Phân loại theo các rủi ro: Rủi ro hoạt động  Kiểm soát nghiệp vụ Rủi ro xử lý thông tin  Kiểm soát ứng dụng Rủi ro nguồn lực hệ thống  Kiểm soát chung Phân loại theo tính chất sử dụng: Kiểm soát dự phòng (ngăn ngừa) Kiểm soát phát hiện Kiểm soát sửa sai * Thông tin, truyền thông Thông tin Khả năng cung cấp và trợ giúp thông tin từ các hệ thống thông trong tổ chức Các thủ tục kiểm soát được thiết lập gắn liền với việc tổ chức hệ thống thông tin Truyền thông: Truyền đạt vai trò và trách nhiệm của các cá nhân đối với KSNB Các kênh trao đổi thông tin từ cấp trên xuống cấp dưới, cấp dưới phản hồi lên cấp trên và trao đổi giữa các phòng ban với nhau * Theo dõi, giám sát Đánh giá tính hữu hiệu và hiệu quả của hệ thống KSNB và tiến hành các thay đổi cho KSNB khi cần thiết Hoạt động giám sát phải độc lập Các hình thức Tổ chức bộ phận giám sát Tổ chức kế toán trách nhiệm Tổ chức kiểm toán nội bộ * Thủ tục kiểm soát nghiệp vụ * Kiểm soát nghiệp vụ Rủi ro hoạt động Hữu hiệu Hiệu quả Tuân thủ Kiểm soát nghiệp vụ Mục tiêu * Kiểm soát nghiệp vụ Ủy quyền và xét duyệt Tránh lạm quyền, hạn chế nghiệp vụ không hợp lệ Giao quyền xét duyệt đi kèm với trách nhiệm Các loại ủy quyền: Ủy quyền hoàn toàn: Áp dụng cho các công việc hàng ngày Ủy quyền từng phần: Đối với các nghiệp vụ đặc thù * Kiểm soát nghiệp vụ Phân chia trách nhiệm giữa các chức năng khi thực hiện 1 hoạt động: Chức năng xét duyệt nghiệp vụ: Xét duyệt và ra quyết định thực hiện Chức năng thực hiện: thực hiện nghiệp vụ Chức năng ghi chép: Ghi chép nội dung liên quan Chức năng bảo vệ tài sản: bảo quản tiền bạc, tài sản… liên quan  Nguyên tắc bất kiêm nhiệm: Một cá nhân không thể kiêm nhiệm 2 trong 4 chức năng trên * Ngăn ngừa việc ghi nhận không đúng để che dấu Nvụ không hợp lệ Ngăn ngừa xét duyệt Nvụ không hợp lệ để tham ô tài sản Ngăn ngừa việc ghi nhận sai để che dấu tài sản mất mát * Kiểm soát nghiệp vụ Tổ chức đầy đủ chứng từ cho các hoạt động Tất cả các hoạt động nghiệp vụ xảy ra đều có chứng từ phản ánh Đối chiếu các chứng từ của các hoạt động liên quan với nhau Quy định trình tự luân chuyển chứng từ Đánh số trước các chứng từ Xác định trách nhiệm của các cá nhân tham gia hoạt động trên chứng từ * Kiểm soát nghiệp vụ Hạn chế sự xâm nhập và truy cập vào tài sản và dữ liệu, thông tin Kiểm tra đối chiếu 2 nguồn độc lập về nghiệp vụ. VD Đối chiếu giữa số thực tế và số ghi chép trên sổ sách, phần mềm * Thủ tục kiểm soát trong môi trường máy tính * Đặc điểm của môi trường máy tính Kiêm nhiệm nhiều chức năng Khó lưu lại dấu vết Khối lượng dữ liệu ghi nhận nhiều, sử dụng nhiều lần Thông tin cung cấp nhiều, đa dạng Phụ thuộc vào khả năng hoạt động của phần mềm, phần cứng Đòi hỏi trình độ nhân viên cao * RỦI RO TRONG MÔI TRƯỜNG XỬ LÝ BẰNG MÁY TÍNH Rủi ro xử lý thông tin: Ghi nhận dữ liệu sai, không đầy đủ, không hợp lệ Xử lý sai Cung cấp thông tin không đầy đủ, tin cậy, chính xác Rủi ro nguồn lực hệ thống: Liên quan đến quá trình phát triển hệ thống, thiết bị, nhân sự, dữ liệu lưu trữ * Dữ liệu Xử lý Lưu trữ Kết xuất Rủi ro nhập liệu - Dữ liệu không đầy đủ - Dữ liệu nhập ko kịp thời - Dữ liệu bị mất - Trùng lắp dữ liệu - Không hợp lệ - Không chính xác - Dữ liệu gian lận Rủi ro xử lý - Sai tập tin - Không đúng thời điểm - Không đầy đủ - Cấu trúc xử lý sai - Chỉnh sửa chương trình xử lý Rủi ro kết xuất - Mất mát - Không kịp thời - Không đầy đủ - Sai đối tượng - Chỉnh sửa - Sử dụng sai Lưu trữ sai sót * CÁC THỦ TỤC KS TRONG MÔI TRƯỜNG MÁY TÍNH Rủi ro xử lý thông tin Rủi ro nguồn lực hệ thống Tính hợp lệ Chính xác Đầy đủ Phát triển HT Sử dụng HT Bảo quản HT Kiểm soát ứng dụng Kiểm soát chung * CÁC THỦ TỤC KIỂM SOÁT Kiểm soát chung: Bao gồm các thủ tục, chính sách kiểm soát áp dụng chung cho toàn bộ môi trường xử lý thông tin Kiểm soát ứng dụng: Bao gồm các thủ tục kiểm soát nhập liệu, xử lý và kết xuất áp dụng cho 1 chương trình ứng dụng xử lý thông tin cụ thể * Kiểm soát chung Quản lý hàng tồn kho Nợ phải thu Nợ phải trả Bán hàng Tiền Tổng hợp Báo cáo TSCĐ * KIỂM SOÁT CHUNG Tổ chức bộ máy trong môi trường máy tính Kiểm soát quá trình phát triển HTTT Chuẩn hóa các tài liệu liên quan Kiểm soát truy cập từ bên ngoài Kiểm soát truy cập lôgic Đảm bảo hoạt động liên tục Kế hoạch khắc phục hậu quả nếu xảy ra… * KIỂM SOÁT CHUNG Tổ chức bộ máy xử lý thông tin VP of IS Phát triển Hệ thống BP kỹ thuật BP vận hành/xử lý Phân tích HT Thiết kế HT Lập trình HT KS dữ liệu Nhập liệu Quản lý dữ liệu Mạng và truyền thông Quản trị CSDL KS chất lượng HT Xét duyệt Thực hiện Bảo vệ TS Tổ chức nhập liệu tập trung * KIỂM SOÁT CHUNG Kiểm soát quá trình phát triển HTTT Lập kế hoạch phát triển Xác định các yêu cầu đặt ra Phân chia trách nhiệm phát triển hệ thống Sự tham gia của người sử dụng Đánh giá, chọn lựa quá trình phát triển * KIỂM SOÁT CHUNG Chuẩn hóa các tài liệu liên quan Tài liệu quản trị: Bao gồm các tài liệu liên quan đến quá trình phát triển hệ thống, quy định quyền sử dụng… Tài liệu ứng dụng: Hướng dẫn sử dụng chương trình (nhập liệu, xử lý, báo cáo, tìm kiếm, sửa chữa…) Tài liệu hệ thống: Các yêu cầu về hệ thống, hệ thống mã chương trình, tập tin lưu trữ, các hướng dẫn phục hồi dữ liệu khi sự cố xảy ra * KIỂM SOÁT CHUNG Kiểm soát truy cập từ bên ngoài Hạn chế đối tượng không liên quan tiếp cận trực tiếp với hệ thống xử lý Phân loại đối tượng sử dụng hệ thống Hệ thống xử lý Khóa địa điểm Bảo vệ ngoài * KIỂM SOÁT CHUNG Kiểm soát truy cập lôgic: Hạn chế quyền sử dụng của nguời sử dụng trực tiếp hệ thống Nhận dạng người sử dụng (account user) Xác nhận người sử dụng (Password) Phân quyền truy cập (Access right) Theo dõi quá trình sử dụng (Nhật kí sử dụng) * KIỂM SOÁT CHUNG Phân quyền truy cập Các hoạt động Các chu trình Khai báo Nhập liệu Cập nhật/báo cáo Xem Thêm Chỉnh sửa/xóa Ma trận truy cập * Minh họa ma trận truy cập * KIỂM SOÁT CHUNG Đảm bảo hoạt động liên tục Kiểm soát thiết bị lưu trữ Sao lưu dự phòng dữ liệu (Back-up) Kế hoạch khắc phục hậu quả nếu xảy ra… Sao lưu dự phòng chương trình nguồn, dữ liệu Mua bảo hiểm hệ thống Các kế hoạch phải được thể hiện dưới dạng văn bản * KIỂM SOÁT ỨNG DỤNG Mục tiêu : Đầy đủ, Hợp lệ, Chính xác: Tất cả các dữ liệu phát sinh đều được ghi nhận (kể cả các dữ liệu ghi vào tập tin chính) Tất cả dữ liệu được ghi nhận đều hợp lệ Tất cả dữ liệu hợp lệ được ghi nhận chính xác Tất cả các dữ liệu hợp lệ được xử lý chính xác Báo cáo, kết xuất phải đầy đủ, chính xác, hợp lệ * Kiểm soát dự phòng * Kiểm soát dự phòng * Kiểm soát phát hiện * Kiểm soát sửa sai Lập danh sách các nghiệp vụ sai sót Hạn chế việc chỉnh sửa trực tiếp trên dữ liệu đã nhập Quy định trình tự sửa sai Lập chứng từ điều chỉnh Xét duyệt các chứng từ điều chỉnh Nhập lại các chứng từ điều chỉnh và nghiệp vụ đúng theo trình tự ban đầu * Kiểm soát kết xuất, báo cáo Kiểm tra thời điểm, thời kì kết xuất, sử dụng báo cáo, thông tin Phân chia quyền được kết xuất và sử dụng báo cáo, thông tin Quy định chế độ bảo mật thông tin Kiểm tra nguồn gốc phát sinh: Từ các thông tin trên báo cáo có thể xem các chứng từ gốc liên quan (dấu vết kiểm toán-> audit trail)