1/18/2014

TRƯỜNG ĐẠI HỌC MỞ TP.HCM
KHOA KẾ TOÁN – KIỂM TOÁN

Hệ Thống Thông Tin Kế Toán 2

CHƢƠNG 03 – P.2

KIỂM SOÁT HỆ THỐNG
THÔNG TIN KẾ TOÁN
Trong môi trƣờng xử lý bằng máy tính
GV. ThS. Vũ Quốc Thông

Mục tiêu và nội dung
• Trình bày đặc điểm môi trƣờng tin học ảnh hƣởng
tới kiểm soát nội bộ (KSNB)
• Giới thiệu về khung kiểm soát COBIT
• Giải thích các hoạt động kiểm soát trong môi
trƣờng máy tính

• Đặc điểm môi trƣờng tin học ảnh hƣởng
tới kiểm soát nội bộ
• Khung kiểm soát COBIT
• Các hoạt động kiểm soát trong môi
trƣờng máy tính

2

1

1/18/2014

Mục tiêu của Kiểm soát HTTTKT

3

Mục tiêu của Kiểm soát HTTTKT
• Mục tiêu chung
– Hệ thống thông tin hoạt động hiệu quả >> thông tin
chính xác, kịp thời và tin cậy đƣợc

• Mục tiêu cụ thể
– Tính có thực của nghiệp vụ
– Đảm bảo sự xét duyệt và phê chuẩn đúng đắn đối với
nghiệp vụ
– Tính đầy đủ của nghiệp vụ
– Tính kịp thời (đúng hạn)
– Chuyển sổ và tổng hợp chính xác
4

2


1/18/2014

Đặc điểm xử lý bằng máy
ảnh hưởng đến kiểm soát

5


Đặc điểm của xử lý trên môi trƣờng
máy tính (CIS)
• Thiết bị: nhạy cảm, dễ bị phá hủy
• Dữ liệu:
• Dữ liệu lƣu trong hình thức máy tính đọc đƣợc
• Tổ chức dữ liệu theo hệ quản trị cơ sở dữ liệu
• Hoạt động xử lý:
• Hệ thống có thể truy cập từ nhiều nơi
• Xử lý tự động theo chƣơng trình lập sẵn và bị phụ thuộc
hoạt động của thiết bị

• Tổ chức, phát triển hệ thống:
• Nhiều nhiệm vụ tập trung ở khâu xử lý dữ liệu điện tử
(Electronic Data Processing EDP) – không đảm bảo một số
nguyên tắc bất kiêm nhiệm
6
• Thay đổi hệ thống (đặc biệt là về cấu trúc) sẽ phức tạp

3


1/18/2014

Đặc điểm của xử lý trên mơi trƣờng
máy tính (CIS)

• Thực hiện nhiều chức năng (nhập liệu, truy vấn, lƣu trữ
dữ liệu, kết xuất thơng tin thơng qua một ứng dụng – một
cơ sở dữ liệu)


• Khó lƣu lại dấu vết (xóa dấu vết, sửa chữa bằng câu
lệnh, hoặc bởi các chƣơng trình virus)

• Khối lƣợng dữ liệu ghi nhận nhiều, đƣợc sử dụng
(truy vấn, kết xuất) nhiều lần, đa dạng

• Thơng tin cung cấp nhiều, đa dạng (báo cáo đầu ra
đƣợc thiết kế linh động)

• Phụ thuộc vào khả năng hoạt động, xử lý của phần
cứng, phần mềm
• Đòi hỏi nhân viên có trình độ cao (chun mơn kế 7
tốn, kiến thức hệ thống, kiến thức tin học)

Rủi ro kiểm sốt trong mơi trƣờng CIS
Rủi ro trong DN

Rủi ro kinh doanh

Rủi ro xử lý TT

Rủi ro hệ thống TT

Nguồn lực

Nhập liệu

Phát triển HT


Sự kiệ n

Xử lý

Tổ chức HTTT

Thành phần tham gia

Kết quả xử lý

Thiết bò

Đòa điểm

Truy cập

Rủi ro chiến lƣợc,
hoạt động kinh
doanh, tài chính…

Dữ liệu

Rủi ro thơng tin

8

4


1/18/2014


Nguy cơ đe dọa trong môi trƣờng CIS
• Các loại gian lận, phá hoại
• Gian lận trong hoạt động kinh doanh
• Gian lận trong xử lý thông tin: ăn cắp, sửa đổi, gián
điệp với các tập tin dữ liệu từ hệ thống
• Gian lận liên quan tiếp cận hệ thống: truy cập hệ
thống và sử dụng thiết bị trái phép, không hợp lệ…
• Phá hoại các thiết bị hệ thống: con ngƣời (chủ quan
hay khách quan); thiên tai…

• Các nguyên nhân
• Nguồn nội bộ
• Nguồn bên ngoài: mối quan hệ trong kinh doanh, tội
phạm mạng Internet…
• Thông đồng: có phối hợp giữa nội bộ và bên ngoài

9

Nguy cơ đe dọa trong môi trƣờng CIS
HTTT của Cơ
quan An ninh
Quốc gia Hoa Kỳ
(NSA)

Edward Snowden: A Hero Or Traitor?
10

5



1/18/2014

Bài tập thảo luận 01

11

Bài tập thảo luận 01
• Nhận biết những rủi ro có thể xảy ra trong quá
trình xử lý thông tin?
Giai đoạn

Rủi ro có thể xảy ra gian lận, sai sót

Nhập liệu
(Data
Collection)

- Dữ liệu dễ bị thay đổi trƣớc khi đƣợc nhập vào hệ thống.
- Dữ liệu không chính xác, không đầy đủ sẽ không đảm bảo đƣợc chất
lƣợng thông tin (GIGO: Garbage In Garbage Out).

Xử lý và lưu
trữ dữ liệu
(Data
Processing and
Management)

- Gian lận về chƣơng trình phần mềm: thay đổi chƣơng trình cho phép
truy cập và thao tác không hợp lệ đối với dữ liệu; phá hủy chƣơng trình

hệ thống bằng Virus.
- Gian lận về hoạt động: sử dụng nguồn lực tin học sai mục đích. VD. sử
dụng máy tính chứa dữ liệu công ty cho các mục đích cá nhân…
- Thay đổi, xóa, phá hủy và lấy cắp các tập tin dữ liệu lƣu trên hệ thống.

Kết xuất thông -Lấy cắp, chuyển thông tin đến sai đối tƣợng, sử dụng thông tin với mục
tin (Information đích không đúng.
Generation)
- Các hành động tìm kiếm thông tin đã xóa trong thùng rác (Trash,
12
Recycle Bin) của máy tính đƣợc dùng để kết xuất thông tin.

6


1/18/2014

Giới thiệu
khung kiểm soát COBIT

Tham khảo tài liệu COBIT_4.1.PDF
13

Khung kiểm soát COBIT
• COBIT: Khung kiểm soát hệ thống tập
trung cho môi trƣờng máy tính

coso

Committee of Sponsoring

Organizations

Control Objectives for
Information and
COBIT
Related Technology

14

7


1/18/2014

*

Lịch sử phát triển của COBIT

15

Khung kiểm soát COBIT
• COBIT giải quyết vấn đề Kiểm Soát dựa trên 03
điểm chính:
– Mục tiêu kinh doanh: để phục vụ cho mục tiêu kinh
doanh, thông tin cần thỏa mãn các tiêu chuẩn: hữu
hiệu, hiệu quả, bảo mật, toàn vẹn, sẵn sàng, tuân thủ
và đáng tin cậy.
– Nguồn lực CNTT: bao gồm con ngƣời, hệ thống ứng
dụng, kỹ thuật, cơ sở hạ tầng và dữ liệu.
– Quy trình CNTT: đƣợc chia thành 04 vùng/lĩnh vực

(domain) bao gồm hoạch định và tổ chức; hình thành
và triển khai; phân phối và hỗ trợ; giám sát và đánh
giá về hệ thống thông tin.
16

8


1/18/2014

Khung kiểm sốt COBIT
 Bổ sung, điều chỉnh một số định nghĩa trên cơ sở của
báo cáo của COSO:
 Mục tiêu kiểm sóat trong hệ thống thơng tin (HTTT)
 Các hƣớng dẫn cho việc định giá hiệu
Giám
quả của kiểm sóat trong HTTT
sát
 COBIT phù hợp với COSO về
việc phân lọai các thành phần
Hoạt
kiểm sóat
động
kiểm soát
 COBIT và COSO đều cho
Đánh giá
rằng “người” là yếu tố rất
rủi ro
quan trọng trong hệ thống
Môi trường kiểm soát

KSNB

17

Khung kiểm sốt COBIT
• Kiểm sốt trong mơi trƣờng máy tính

18

9


1/18/2014

Các hoạt động kiểm soát

19

Các hoạt động kiểm soát

20

10


1/18/2014

Kiểm soát chung và kiểm soát ứng dụng
Kiểm soát
chung

Bán hàng và
thu tiền
Tiền
lương

Khác

Kiểm
soát
ứng
dụng
Hàng tồn
kho

21

Phân biệt KS chung và KS ứng dụng
• Kiểm soát chung

Là loại kiểm soát cho một số hay toàn thể
các ứng dụng
Có ảnh hƣởng trực tiếp hay gián tiếp đến
kiểm soát ứng dụng
• Kiểm soát ứng dụng
Liên quan đến từng ứng dụng và xuất hiện
trong quá trình xử lý nghiệp vụ
22

11



1/18/2014

Tác động của KS chung đến KS ứng dụng
Kiểm soát chung giúp:
- Tránh sự tiếp cận và thay đổi không đƣợc
phép của các ứng dụng (bộ phận/phân hệ)
- Thực hiện một cách chính xác bởi máy tính
- Giúp các ứng dụng không thể bị vô hiệu
hóa

23

Kiểm soát chung
• Tổ chức bộ máy xử lý thông tin trong môi
•
•
•
•
•

trƣờng máy tính
Kiểm soát quá trình phát triển HT thông tin
Chuẩn hóa các tài liệu hệ thống liên quan
Kiểm soát truy cập và thao tác hệ thống
Đảm bảo hoạt động liên tục
Kế hoạch khắc phục hậu quả nếu rủi ro xảy
ra
24


12


1/18/2014

Kiểm soát truy cập và thao tác hệ thống
Phân quyền truy cập

25

VD. Hệ thống kế toán Misa

26

13


1/18/2014

Bài tập thảo luận 3
Bạn là trƣởng phòng kế toán có quyền quản trị đối với phần
mềm kế toán ABC đang sử dụng tại doanh nghiệp của bạn
với mô hình thƣơng mại. Các phần hành (phân hệ) kế toán
trong phần mềm ABC bao gồm quản trị, kế toán thu/chi, bán
hàng, nhập/xuất hàng, mua hàng và kế toán tổng hợp. Mỗi
phần hành có 04 quyền thao tác: quyền xem (X), quyền thêm
(T), quyền sửa (S), quyền xóa (D). Phòng kế toán hiện nay
có 03 nhân viên (không bao gồm kế toán trƣởng).
Mỗi nhân viên kế toán chịu trách nhiệm nhập các chứng từ
liên quan đến phần việc của mình và đƣợc phép sử dụng các

báo cáo của các phần hành khác (nếu thấy cần thiết) để đối
chiếu, kiểm tra khi xử lý các nghiệp vụ của mình.
27

Yêu cầu phân quyền truy cập hệ thống ?
Chức năng
Khai báo
Khai báo tài khoản
Khai báo các đ.tƣợng quản lý

Khóa sổ kì kế toán
Quản lý ngƣời dùng
Các chính sách kế toán
Nhập liệu
- Chứng từ D.thu
Chứng từ thu
Chứng từ bán hàng
Chứng từ xuất kho
- Chứng từ C.Phí
Chứng từ chi
Chứng từ mua hàng
Chứng từ nhập kho
KHÁC
Chứng từ tổng hợp
Bút toán khác

KTT

NV1


NV2

NV3

T,X,S
T,X,S

X
X

X
X

X
X

T,X,S,D
T,X,S,D

X

X

X

T,X
X

T,X


T,X
X

X
T,X

X
X
X

T,X
X

X
X
X

T,X
X
X

T,X
T,X

28

14


1/18/2014


Kiểm soát ứng dụng
Chương trình
trên máy
Hoạt động
kiểm soát

Hòan toàn tự
động
Hỗn hợp

Thủ công

29

Mục tiêu kiểm soát ứng dụng

*

 Mục tiêu: đầy đủ, hợp lệ, chính xác
 Các dữ liệu phát sinh đều đƣợc ghi nhận
(ghi vào tập tin tham chiếu hoặc tập tin nghiệp vụ)
 Dữ liệu phải đƣợc ghi nhận hợp lệ - có thực
(Validation check)
 Dữ liệu phải đƣợc ghi nhận đầy đủ
(Completeness check)
 Dữ liệu hợp lệ, đầy đủ phải đƣợc xử lý và

lƣu trữ chính xác
 Báo cáo (thông tin) đƣợc kết xuất phải đầy

30
đủ, hợp lệ, chính xác

15


1/18/2014

Ví dụ. Trong môi trƣờng tin học hóa, thủ tục kiểm soát ứng
dụng nào hữu hiệu để ngăn ngừa, phát hiện các sai phạm sau:
Sai phạm

Thủ tục kiểm soát

1. Nhân viên kế toán tiền lương nhập thời gian làm Kiểm tra giới hạn dữ liệu của
việc trong tuần của một công nhân vào phần mềm trường “Giờ công” trong phần
nhập 94 giờ thay vì số đúng là 49 giờ
mềm
2. Nhân viên bán hàng đã nhập sai mã hàng khi lập Giá trị mặc định (Chọn mã hàng
thay vì nhập)  kiểm tra tính hợp
lệnh bán hàng
lệ - có thực
3. Nhân viên bán hàng từ máy tính cá nhân, truy Kiểm tra phân quyền truy cập hệ
cập vào mạng LAN của công ty, vào máy chủ và in thống
ra danh sách lương của các nhân viên
4. Một lệnh bán hàng được mã hóa với mã của một Kiểm tra tính toàn vẹn + tính có
khách hàng không có thực. Lỗi này chỉ được phát thực
hiện trong quá trình cập nhật dữ liệu, chương trình
không tìm được một mẫu tin tham chiếu nào phù
hợp với dữ liệu cập nhật

5. Kế toán đã nhập ký tự r thay vì nhập số 6 trên
ô Kiểm tra kiểu dữ liệu
31
nhập liệu khai báo mã khách hàng mới

Bài tập tổng hợp
• Tình huống: kiểm soát hệ thống thông tin
Công ty TNHH SX TM KIMMING

32

16


1/18/2014

Sau khi học xong chƣơng này,
bạn có thể:
• Trình bày đặc điểm môi trƣờng tin học ảnh
hƣởng tới kiểm soát nội bộ (KSNB)
• Giới thiệu về khung kiểm soát COBIT
• Giải thích các hoạt động kiểm soát trong môi
trƣờng máy tính
Bài tập:
- BT_KSHTTTKT_DTDB P2.pdf

Bài đọc:
- Các tài liệu tham khảo do GV gợi ý
33


17