28/06/2017
Mục tiêu
Chương 2:
Hiểu biết về KSNB
1
KIỂM SOÁT NỘI BỘ TRONG
MÔI TRƯỜNG HỆ THỐNG
THÔNG TIN KẾ TOÁN
4
2
Nhận diện được các đặc điểm rủi ro và
gian lận trong môi trường HTTTKT
3
Biết thiết lập các thủ tục kiểm soát rủi ro
trong môi trường HTTTKT
Hiểu biết cơ bản về phương pháp quản trị
HTTT theo COBIT
2
Nội dung
1. Tổng quan kiểm soát nội bộ
1.1 Khái niệm hệ thống KSNB
Kiểm soát nội bộ là một quá trình do ban giám
đốc, nhà quản lý và các nhân viên của đơn vị chi
2. Đặc điểm HTTTKT trong môi trường
máy tính
3. Rủi ro & gian lận trong môi trường máy
tính
4. Các hoạt động kiểm soát
phối, được thiết lập để cung cấp một sự đảm
bảo hợp lý nhằm thực hiện ba mục tiêu:
Báo cáo tài chính đáng tin cậy
Các luật lệ và qui định được tuân thủ
Mọi hoạt động trong đơn vị đều hữu hiệu và hiệu quả.
5. Phương pháp quản trị COBIT
3
1.2 Mục tiêu của hệ thống KSNB
Đối với BCTC: Kiểm soát nội bộ phải đảm
bảo về tính trung thực và đáng tin cậy phù
hợp với chuẩn mực và chế độ kế toán hiện
hành.
Đối với tính tuân thủ: KSNB cần hướng
mọi thành viên vào việc tuân thủ các
chính sách, quy định nội bộ của DN.
Đối với những mục tiêu hiện hữu và
hợp lý: giúp doanh nghiệp bảo vệ và sử
dụng hiệu quả các nguồn lực, bảo mật
thông tin, nâng cao uy tín, mở rộng thị
phần, thực hiện các chiến lược kinh doanh
5
4
1.3 Cấu trúc hệ thống KSNB theo báo
cáo COSO 2013
Đánh
giá rủi
ro
Giám
sát
Môi
trường
kiểm
soát
Hoạt
động
kiểm
soát
Thông
tin
truyền
thông
6
1
28/06/2017
1.3.1. Môi trường kiểm soát
Là nền tảng ý thức, là văn hóa của tổ chức:
Nhận thức, quan điểm và thái độ của người quản lý
liên quan đến vấn đề kiểm soát
Cam kết về năng lực
Trình độ, nhận thức của nhân viên về KSNB
Triết lý quản lý và phong cách hoạt động
Cơ cấu tổ chức
Phân định quyền hạn và trách nhiệm
Khả năng đội ngũ nhân viên
Chính sách nhân sự và việc áp dụng vào thực tế
Sự trung thực và các giá trị đạo đức
Hội đồng quản trị và ủy ban kiểm toán
1.3.2. Đánh giá rủi ro
Xác định mục tiêu
Rủi ro là những
vấn đề làm mục
tiêu không đạt
được.
Nhận diện rủi ro
Đánh giá mức độ rủi ro
Đánh giá rủi ro là
việc nhận dạng và
phân tích rủi ro đe
dọa các mục tiêu
của mình
Mức độ
rủi ro
=
Mức
X
Thiệt hại
Xác suất
rủi ro
Đưa ra các hoạt động quản lý
7
8
1.3.3. Hoạt động kiểm soát
Nhận dạng rủi ro
Xác định mục tiêu
Thiết lập cơ chế nhận diện rủi ro
Đánh giá rủi ro
Thiệt hại
Xác suất xảy ra
Các biện pháp đối phó với rủi ro
Tránh né rủi ro
Chuyển giao rủi ro
Giảm rủi ro
Chấp nhận rủi ro
Là những chính sách, thủ tục kiểm soát
nhằm đảm bảo kiểm soát được các rủi ro
HĐKS
Phân chia
trách
nhiệm
Kiểm
soát
thông tin
9
a. Phân chia trách nhiệm
• Không để một cá nhân nắm tất cả các
chức năng của một nghiệp vụ: xét duyệt,
thực hiện, bảo quản tài sản và ghi chép,
Bảo vệ
tài sản
Phân tích
rà soát
10
VD về kiêm nhiệm rủi ro
Công việc kiêm nhiêm
Rủi ro
Thu tiền và theo dõi sổ
sách kế toán về nợ phải thu
Có thể lấy tiền sau đó che dấu
bằng cách ghi xóa sổ khoản nợ
phải thu, hoặc bù đắp bằng khoản
phải thu của khách hàng khác
giữ sổ sách kế toán
• Không cho phép kiêm nhiệm giữa một số
bước công việc
Không mua nhưng vẫn thanh
toán tiền hàng
Mua nguyên vật liệu và
xuất dùng cho sản xuất
11
12
2
28/06/2017
b. Kiểm soát thông tin
Kiểm tra
độc lập
b.1.Kiểm tra độc lập
Hoạt động kiểm tra được thực hiện bởi người khác
không thực hiện nghiệp vụ để nâng cao tính khách
quan.
Kiểm tra trước khi nghiệp vụ diễn ra.
Kiểm tra sau khi nghiệp vụ xảy ra
Phương pháp
Đối chiếu 2 nguồn ghi chép độc lập
Kiểm tra
quá trình
xử lý
Ủy quyền
xét duyệt
Đối chiếu thực tế và sổ sách
Kiểm tra ghi sổ kép
13
14
b.2.Ủy quyền và xét duyệt
Ủy quyền là việc trao quyền cho một cá nhân hoặc
một bộ phận
Ủy quyền chung bằng chính sách
Đưa ra chính sách chung bao gồm các điều kiện
cho phép thực hiện nghiệp vụ.
Xét duyệt cụ thể (Uỷ quyền từng trường hợp cụ thể)
Xét duyệt từng trường hợp cụ thể, không có
chính sách chung.
Việc Ủy quyền nên bằng văn bản
15
b.3.Kiểm tra quá trình xử lý
Kiểm soát chứng từ , sổ sách
• Mọi nghiệp vụ đều lập chứng từ
• Lập chứng từ tại thời điểm phát sinh nghiệp vụ
• Chứng từ phải được thiết kế mẫu đầy đủ
• Chứng từ phải được đánh số trước
• Chứng từ phải có các số hiệu tham chiếu
• Chứng từ phải có các chữ ký
• Chứng từ phải có số tiền ghi bằng chữ …
17
ỦY
QUYỀN
BẰNG
CHÍNH SÁCH
PKD được quyền xét duyệt
bằng chính sách với ĐK
sau:
Các hóa đơn dưới 10tr
đồng
Các đại lý có mức dư nợ
dưới 100 triệu đồng
XÉT DUYỆT CỤ THỂ
Phó Tổng giám đốc xét
duyệt từng trường hợp cụ
thể :
Các hoá đơn bán chịu trên
10 triệu
Các đại lý đã có dư nợ vượt
mức 100 triệu
16
b.3.Kiểm tra quá trình xử lý
Luân chuyển Chứng từ
Bao gồm quá trình lập và lưu chuyển qua các
bộ phận :
Thực hiện sự xét duyệt
Thực hiện sự kiểm soát
Là cơ sở ghi sổ
Cần xây dựng một quy trình chuẩn
Mô tả bằng lưu đồ
18
3
28/06/2017
b.3.Kiểm tra q trình xử lý
b.3.Kiểm tra q trình xử lý
Lưu trữ Chứng từ
Thuận lợi cho việc truy cập
Thời điểm chuyển vào lưu trữ
Hồ sơ thường trực
Tn thủ pháp luật
Thời gian lưu trữ
Xử lý chứng từ hư hỏng
Xử lý chứng từ hết thời hạn lưu trữ
Sổ sách ghi nhận hoạt động: Đảm bảo ghi chép chính
xác
• Ghi chép dựa trên chứng từ
• Thiết kế mẫu đầy đủ
• Để lại dấu vết kiểm tốn
• Kiểm tra, đối chiếu sổ
• V.v…
Lưu trữ, bảo quản sổ sách
Báo cáo
Dấu vết kiểm tóan
19
20
c. Bảo vệ tài sản và thơng tin
d. Phân tích rà sốt
Hạn chế tiếp cận tài sản, thơng tin
Kiểm kê tài sản
Sử dụng các thiết bị quan sát, máy tính tiền, ghi
Mục
đích
Mục
đích
Phát
cácbiến
biếnđộng
độngbất
bấtthường
thường
Phát hiện
hiện các
Xác
ngunnhân,
nhân,xử
xửlýlýkịp
kịpthời
thời
Xác định
định ngun
Phương pháp
nhận tài sản khi sử dụng
Đối chiếu định kỳ tổng hợp và chi tiết, thực tế
và kế hoạch, kỳ này và kỳ trước, sử dụng các
chỉ số.
21
22
1.3.4. Thơng tin & truyền thơng
Ví dụ phân tích rà sốt
BAaNG BÁO CÁO GIÁTHÀNH ÍAaN PHAK
M
Thơng tin
Truyền thơng
Tâáná 05/2006
Íản pâakm A: Íốlư ơuná 100
CHI PHÍ
GIÁTHÀNH KỲNÀY
TOÀN BỘ
Náuyên vật liệu trư uc tiếp
ĐZ N VỊ
Z Đ.VỊ
KỲ
TRƯ Z ÙC
Biến độná
kỳnà
y/kỳ
trư ớc
1,000,000
10,000
9,000
+11%
Nâân côná trư uc tiếp
500,000
5,000
5,050
- 1%
Íản xuất câuná
500,000
5,000
6,000
- 17%
2,000,000
20,000
20,050
-0.25%
Cộng
Loại thơng tin gì cần
thu thập xử lý,
truyền thơng.
Truyền đạt, trao đổi
thơng tin giữa các đối
tượng liên quan
Trong nội bộ
Với bên ngồi
Phương pháp truyền
thơng
Phương pháp xử lý
thơng tin.
Cung cấp cho nhân
viên hiểu vai trò, trách
nhiệm liên quan tới
các chính sách, thủ
tục kiểm sốt.
Lư u ý. Câsnâ sácâ sản xuất câo pâép biến độná +; - 5%
23
24
4
28/06/2017
1.3.5. Giám sát
Giám sát là quá trình đánh giá chất lượng của hệ
thống kiểm soát nội bộ theo thời gian.
Đánh giá:
1.3.5. Giám sát
Thực hiện:
Kiểm toán nội bộ, kiểm toán độc lập,
Thu thập thông tin bên ngoài
Chất lượng của các thành phần khác của HT KSNB
Hệ thống kế toán trách nhiệm
và điều chỉnh phù hợp.
Đánh giá thường xuyên
Các chương trình đánh giá định kỳ
25
26
Tóm tắt: Mối quan hệ giữa các thành phần
của hệ thống KSNB
Giám
sát
Hoạt động
kiểm soát
Đánh giá rủi ro
1.4. Phân loại kiểm soát
Phân loại theo mục tiêu kiểm soát:
Kiểm soát ngăn ngừa: nhằm ngăn chặn, đề
phòng sai sót và gian lận.
Kiểm soát phát hiện: là kiểm soát tìm ra các
sai sót và gian lận đã xảy ra hoặc đã được
thực hiện.
Kiểm soát sửa sai: là các biện pháp nhằm
khắc phục, sửa chữa hậu quả do các sai sót
và gian lận gây ra.
Môi trường kiểm soát
27
28
1.4. Phân loại kiểm soát
Phân loại theo phạm vi kiểm soát:
Kiểm soát chung: là các thủ tục, chính sách
được thiết kế có hiệu lực trên toàn bộ hệ
thống.
Kiểm soát ứng dụng: là các thủ tục, chính
sách thực hiện chỉ ảnh hưởng đến một hệ
thống con, một phần hành ứng dụng cụ thể.
Tiếp cận HT KSNB
Phương pháp tiếp cận của Kiểm toán viên
Báo cáo tài
chính DN
29
Đánh giá HT KSNB để
đánh giá rủi ro kiểm toán,
xây dựng chương trình
kiểm toán phù hợp
30
5
28/06/2017
Phương pháp tiếp cận của nhà quản lý
Nhà nước
Hoạt động
Doanh nghiệp
Chủ
BÀI TẬP NHÓM
Tìm hiểu và soạn thảo một bản quy chế nội bộ
cho một quy trình quản lý tùy chọn.
Trong đó cần chỉ rõ 5 thành phần của hệ thống
KSNB
• Thiết bị
sở hữu
• Con người
• Quy trình xử lý
Các bên
• Quy trình hoạt
động
liên quan
Tổ chức và duy trì hệ
thống KSNB để ngăn chặn
và phát hiện GL-SS & hoạt
động hiệu quả
31
2.2 Đặc điểm hệ thống kế toán trong
môi trường máy tính
Thiết bị: nhạy cảm, dễ bị phá huỷ
Tổ chức dữ liệu:
Theo kiểu file hoặc hệ quản trị cơ sở dữ liệu.
Hoạt động xử lý:
Hệ thống có thể truy cập từ nhiều nơi
Xử lý tự động theo chương trình được lập trình sẵn
Tổ chức hệ thống
Nhiều nhiệm vụ tập trung xử lý ở bộ phận EDP
(Electronic Data Proceessing)
Không thể đảm bảo một số nguyên tắc bất kiêm
nhiệm
33
Về ghi nhận và hạch toán ban đầu
Sử dụng chứng từ bằng giấy được lập khi
NVKT phát sinh và hoàn thành
Chứng từ gốc được in từ phần mềm
Nghiệp vụ được cập nhật tự động
Sử dụng chứng từ điện tử
35
32
2.2 Đặc điểm hệ thống kế toán
trong môi trường máy tính
Về ghi nhận và hạch toán ban đầu
Đặc điểm về quá trình xử lý dữ liệu KT
Đặc điểm về thông tin đầu ra
Đặc điểm về quá trình lưu trữ DL
Thiết bị
34
Đặc điểm về quá trình xử lý dữ liệu KT
Các dấu vết nghiệp vụ không quan sát được
bằng mắt
Cập nhật một lần, ảnh hưởng tới nhiều tập tin
Các xử lý bằng máy được thực hiện tự động
Khả năng cài đặt các tính năng kiểm soát
trong PMKT
36
6
28/06/2017
2.2 Đặc điểm hệ thống kế toán
trong môi trường máy tính
Đặc điểm về thông tin đầu ra
DL được lưu trên tập tin CSDL. Các thông tin
truy xuất theo các báo cáo được thiết kế sẵn
Phải có các công cụ và quyền hạn thì mới
truy xuất được thông tin trên báo cáo
Thiếu dấu vết của các giao dịch
Quy trình xử lý thống nhất các giao dịch
Sự phân chia các chức năng bị hạn chế
Khả năng của sai sót và không tuân thủ
Tự tạo và thực hiện các giao dịch
Sự phụ thuộc của các bước kiểm soát khác đối
với quá trình xử lý thông tin bằng máy tính
Tăng khả năng giám sát của Ban Giám đốc
37
38
2.2 Đặc điểm hệ thống kế toán
trong môi trường máy tính
Mức độ hiệu quả của quá trình xử lý dữ liệu và
tính chính xác của thông tin kết xuất phụ thuộc
khả năng xử lý của máy móc thiết bị.
Hệ thống máy tính có độ nhạy cảm cao đối với
các tác động bên ngoài như môi trường, cách
thức sử dụng…
Hệ thống thông tin xử lý trên nền máy tính có
khả năng thiết kế nhiều báo cáo linh động đáp
ứng tốt nhu cầu của đa dạng những người sử
dụng.
Hệ thống máy tính cho công tác kế toán, đòi hỏi
người sử dụng hệ thống ngoài trình độ chuyên
môn nghiệp vụ còn cần có kiến thức về hệ thống,
về tin học và cơ sở dữ liệu.
39
2.3 Rủi ro & gian lận trong môi
trường máy tính
Những rủi ro xuất phát từ sự thiết kế của
phần mềm ứng dụng
Những rủi ro xuất phát từ sự vận hành của
hệ thống mạng
Những rủi ro xuất phát từ công việc lưu
trữ dữ liệu
Những rủi ro xuất phát từ sự tác động bên
ngoài và sự không trung thực của con
người
40
Rủi ro xử lý
- Sai tập tin
- Không đúng thời điểm
2.3 Rủi ro & gian lận trong môi trường
máy tính- theo quy trình xử lý
Sai xót và
Sai xót và
Sai xót và
Sai xót và
thông tin
gian
gian
gian
gian
lận
lận
lận
lận
về
về
về
về
nhập liệu
xử lý nghiệp vụ
thông tin đầu ra
lưu trữ và bảo mật
- Không đầy đủ
- Cấu trúc xử lý sai
- Chỉnh sửa chương trình xử lý
Dữ liệu
Rủi ro nhập liệu
- Dữ liệu không đầy đủ
- Dữ liệu nhập ko kịp thời
- Dữ liệu bị mất
- Trùng lắp dữ liệu
- Không hợp lệ
- Không chính xác
- Dữ liệu gian lận
41
Xử lý
Kết xuất
Rủi ro kết xuất
- Mất mát
- Không kịp thời
Lưu trữ
Lưu trữ sai sót
- Không đầy đủ
- Sai đối tượng
- Chỉnh sửa
- Sử dụng sai
7
28/06/2017
2.4.1. Kiểm soát chung
2.4. Các hoạt động kiểm soát
a. Kiểm soát chung: là các
hoạt động kiểm soát được
thiết kế và thực hiện
nhằm
đảm
bảo
môi
trường kiểm soát của tổ
chức được ổn định, vững
mạnh nhằm gia tăng hiệu
quả của kiểm soát ứng
dụng.
Phạm vi: Toàn bộ hệ
thống thông tin
Hình thức: Chính sách,
giải pháp kỹ thuật, giám
sát hoạt động
b. Kiểm soát ứng dụng: là
các hoạt động kiểm soát
được thiết kế và thực hiện
để ngăn ngừa, phát hiện
và sửa chữa sai sót, gian
lận trong quá trình xử lý
nghiệp vụ.
Gắn liền với từng chức
năng, từng hệ thống
Hình thức: Tính năng
được lập trình trên các
phần mềm ứng dụng
CHÍNH SÁCH
GIẢI PHÁP KỸ THUẬT
TRIỂN KHAI THỰC HIỆN
VÀ GIÁM SÁT
43
44
2.4.1. Kiểm soát chung
Kiểm soát con người
Kiểm soát vật chất
Kiểm soát vận hành máy tính
Mô hình tổ chức hệ thống máy tính: nên tổ chức theo
mô hình máy chủ - máy con
Quy định về mật khẩu
Quy định về sử dụng máy tính, các thiết bị máy
tính và các tài nguyên trên máy tính:
Những cài đặt và thiết lập cần thiết cho hệ thống máy
tính
Thiết lập và kiểm soát hệ thống thư điện tử, kiểm
soát trang Web của doanh nghiệp và truy cập
internet
45
2.4.2. Kiểm soát ứng dụng
Kiểm soát nhập liệu
Kiểm soát quá trình
xử lý dữ liệu
Kiểm soát thông tin
đầu ra
46
(1) Những giải pháp về các thủ tục
kiểm soát dữ liệu đầu vào
Kiểm soát nguồn dữ liệu
Kiểm tra việc đánh số trước của các chứng từ gốc
Sử dụng các chứng từ luân chuyển (Là chứng từ kết
xuất từ hệ thống trước)
Phê duyệt đầy đủ
Đánh dấu chứng từ đã sử dụng
Sử dụng các thiết bị kiểm tra chứng từ trước khi nhập
liệu (phần mềm kiểm tra tính hợp pháp của HĐ
GTGT)
Kiểm soát quá trình nhập liệu
Kiểm
Kiểm
Kiểm
Kiểm
Kiểm
Kiểm
Kiểm
tra
tra
tra
tra
tra
tra
tra
tính tuần tự khi nhập liệu
vùng dữ liệu
dấu (>0,<0)
tính hợp lý
tính có thực của dữ liệu
giới hạn dữ liệu
tính đầy đủ của dữ liệu
….
47
48
8
28/06/2017
(2) Những giải pháp về các thủ tục
kiểm soát quy trình xử lý dữ liệu
Kiểm soát quá trình nhập liệu
Kiểm tra việc nhập trùng của dữ liệu
Kiểm tra dung lượng vùng nhập liệu
Số tổng kiểm soát
Kiểm tra kiểu dữ liệu
Sử dụng các giá trị mặc định và tạo số tự
động
Thông báo lỗi và hướng dẫn sửa lỗi
49
(3) Những giải pháp về các thủ tục
kiểm soát thông tin đầu ra
Kiểm soát thông qua chứng từ gốc
Khoá kỳ kế toán
Kiểm tra sự liên tục của chứng từ và thứ
tự ngày chứng từ
Quy định người sử dụng có trách nhiệm
kiểm tra tính hợp lý, hợp lệ của số liệu kế
toán
Kiểm tra, đối chiếu số liệu kế toán
Quy định người sử dụng có trách nhiệm
51
2.5. Giới thiệu COBIT
coso
Committee of Sponsoring
Organizations of
Treadway Commission
Control Objectives for
Information and Related
Technology
COBIT
53
Kiểm tra ràng buộc toàn vẹn dữ liệu
Kiểm tra dữ liệu hiện hành
Xử lý các nghiệp vụ trùng lắp
Kiểm soát trình tự xử lý
Kiểm soát từng bước
Kiểm tra dữ liệu phù hợp
Báo cáo các yếu tố bất thường
Kiểm soát các chức năng tự động trên phần
mềm
Đối chiếu với các dữ liệu ngoài hệ thống
Kiểm soát chuyển đổi tập tin dữ liệu
50
2.5. Giới thiệu COBIT
HTTT có thể phù hợp với tổ chức này nhưng có
phù hợp với tổ chức khác không?
HTTT dùng trong doanh nghiệp đang “chuẩn” ở
mức nào?
Cần tiến tới mục tiêu nào để tạo lợi thế cạnh
tranh so với các tổ chức, doanh nghiệp khác?
Các nhà quản lý cần phải trang bị một phương
pháp quản trị và đánh giá hệ thống thông tin
doanh nghiệp của mình.
Một số phương pháp quản trị phổ biến như: ITIL,
COBIT, ISO17799/ ISO27001, CMMi, COSO,
PMBOX…
52
COBIT (Control Objectives for
Information and Related Technology)
COBIT là một chuẩn quốc tế về quản lý CNTT
gồm những tiêu chuẩn tốt nhất về quản lý CNTT
do ISACA và ITGI xây dựng năm 1996.
COBIT cung cấp cho các nhà quản lý, những
người kiểm tra và người sử dụng IT một loạt các
phép đo, dụng cụ đo, các quy trình và các hướng
dẫn thực hành.
Mục đích của COBIT là “nghiên cứu, phát triển,
quảng bá và xúc tiến một tập hợp các mục tiêu
kiểm soát CNTT được chấp nhận phổ biến”
54
9
28/06/2017
Thông tin hữu ích - COBIT
Theo chuẩn mực
kế toán VN ???
• Trung thực
• Khách quan
• Đầy đủ
• Kịp thời
• Dễ hiểu
• Có thể so sánh
Đặc điểm của COBIT
Bổ sung, điều chỉnh một số định nghĩa trên cơ sở
báo cáo của COSO:
• Mục tiêu kiểm soát trong HTTT
• Các hướng dẫn cho việc đánh giá hiệu quả của
kiểm soát trong HT thông tin
COBIT phù hợp với COSO về việc phân loại các
thành phần kiểm soát
COBIT và COSO đều cho rằng “người” là yếu tố
rất quan trọng trong hệ thống kiểm soát nội bộ
55
56
10