28/06/2017

Mục tiêu

Chương 2:

Hiểu biết về KSNB

1

KIỂM SOÁT NỘI BỘ TRONG
MÔI TRƯỜNG HỆ THỐNG
THÔNG TIN KẾ TOÁN

4

2

Nhận diện được các đặc điểm rủi ro và
gian lận trong môi trường HTTTKT

3

Biết thiết lập các thủ tục kiểm soát rủi ro
trong môi trường HTTTKT
Hiểu biết cơ bản về phương pháp quản trị
HTTT theo COBIT
2

Nội dung
1. Tổng quan kiểm soát nội bộ

1.1 Khái niệm hệ thống KSNB
 Kiểm soát nội bộ là một quá trình do ban giám
đốc, nhà quản lý và các nhân viên của đơn vị chi

2. Đặc điểm HTTTKT trong môi trường
máy tính
3. Rủi ro & gian lận trong môi trường máy
tính
4. Các hoạt động kiểm soát

phối, được thiết lập để cung cấp một sự đảm
bảo hợp lý nhằm thực hiện ba mục tiêu:
 Báo cáo tài chính đáng tin cậy
 Các luật lệ và qui định được tuân thủ
 Mọi hoạt động trong đơn vị đều hữu hiệu và hiệu quả.

5. Phương pháp quản trị COBIT
3

1.2 Mục tiêu của hệ thống KSNB
Đối với BCTC: Kiểm soát nội bộ phải đảm
bảo về tính trung thực và đáng tin cậy phù
hợp với chuẩn mực và chế độ kế toán hiện
hành.
Đối với tính tuân thủ: KSNB cần hướng
mọi thành viên vào việc tuân thủ các
chính sách, quy định nội bộ của DN.
Đối với những mục tiêu hiện hữu và
hợp lý: giúp doanh nghiệp bảo vệ và sử

dụng hiệu quả các nguồn lực, bảo mật
thông tin, nâng cao uy tín, mở rộng thị
phần, thực hiện các chiến lược kinh doanh
5

4

1.3 Cấu trúc hệ thống KSNB theo báo
cáo COSO 2013
Đánh
giá rủi
ro

Giám
sát

Môi
trường
kiểm
soát

Hoạt
động
kiểm
soát

Thông
tin
truyền
thông

6

1


28/06/2017

1.3.1. Môi trường kiểm soát
 Là nền tảng ý thức, là văn hóa của tổ chức:
 Nhận thức, quan điểm và thái độ của người quản lý
liên quan đến vấn đề kiểm soát
 Cam kết về năng lực
 Trình độ, nhận thức của nhân viên về KSNB
 Triết lý quản lý và phong cách hoạt động
 Cơ cấu tổ chức
 Phân định quyền hạn và trách nhiệm
 Khả năng đội ngũ nhân viên
 Chính sách nhân sự và việc áp dụng vào thực tế
 Sự trung thực và các giá trị đạo đức
 Hội đồng quản trị và ủy ban kiểm toán

1.3.2. Đánh giá rủi ro
Xác định mục tiêu
Rủi ro là những
vấn đề làm mục
tiêu không đạt
được.

Nhận diện rủi ro


Đánh giá mức độ rủi ro
Đánh giá rủi ro là
việc nhận dạng và
phân tích rủi ro đe
dọa các mục tiêu
của mình

Mức độ
rủi ro

=

Mức
X
Thiệt hại

Xác suất
rủi ro

Đưa ra các hoạt động quản lý

7

8

1.3.3. Hoạt động kiểm soát
 Nhận dạng rủi ro
 Xác định mục tiêu
 Thiết lập cơ chế nhận diện rủi ro
 Đánh giá rủi ro

 Thiệt hại
 Xác suất xảy ra
 Các biện pháp đối phó với rủi ro
 Tránh né rủi ro
 Chuyển giao rủi ro
 Giảm rủi ro
 Chấp nhận rủi ro

Là những chính sách, thủ tục kiểm soát
nhằm đảm bảo kiểm soát được các rủi ro

HĐKS

Phân chia
trách
nhiệm

Kiểm
soát
thông tin

9

a. Phân chia trách nhiệm
• Không để một cá nhân nắm tất cả các
chức năng của một nghiệp vụ: xét duyệt,
thực hiện, bảo quản tài sản và ghi chép,

Bảo vệ
tài sản


Phân tích
rà soát

10

VD về kiêm nhiệm rủi ro
Công việc kiêm nhiêm

Rủi ro

Thu tiền và theo dõi sổ
sách kế toán về nợ phải thu

Có thể lấy tiền sau đó che dấu
bằng cách ghi xóa sổ khoản nợ
phải thu, hoặc bù đắp bằng khoản
phải thu của khách hàng khác

giữ sổ sách kế toán
• Không cho phép kiêm nhiệm giữa một số
bước công việc

Không mua nhưng vẫn thanh
toán tiền hàng

Mua nguyên vật liệu và
xuất dùng cho sản xuất

11


12

2


28/06/2017

b. Kiểm soát thông tin

Kiểm tra
độc lập

b.1.Kiểm tra độc lập
 Hoạt động kiểm tra được thực hiện bởi người khác
không thực hiện nghiệp vụ để nâng cao tính khách
quan.
 Kiểm tra trước khi nghiệp vụ diễn ra.
 Kiểm tra sau khi nghiệp vụ xảy ra
 Phương pháp
 Đối chiếu 2 nguồn ghi chép độc lập

Kiểm tra
quá trình
xử lý

Ủy quyền
xét duyệt

 Đối chiếu thực tế và sổ sách

 Kiểm tra ghi sổ kép

13

14

b.2.Ủy quyền và xét duyệt
 Ủy quyền là việc trao quyền cho một cá nhân hoặc
một bộ phận
 Ủy quyền chung bằng chính sách
Đưa ra chính sách chung bao gồm các điều kiện
cho phép thực hiện nghiệp vụ.
 Xét duyệt cụ thể (Uỷ quyền từng trường hợp cụ thể)
Xét duyệt từng trường hợp cụ thể, không có
chính sách chung.
Việc Ủy quyền nên bằng văn bản

15

b.3.Kiểm tra quá trình xử lý
 Kiểm soát chứng từ , sổ sách
• Mọi nghiệp vụ đều lập chứng từ
• Lập chứng từ tại thời điểm phát sinh nghiệp vụ
• Chứng từ phải được thiết kế mẫu đầy đủ
• Chứng từ phải được đánh số trước
• Chứng từ phải có các số hiệu tham chiếu
• Chứng từ phải có các chữ ký
• Chứng từ phải có số tiền ghi bằng chữ …

17


 ỦY
QUYỀN
BẰNG
CHÍNH SÁCH
 PKD được quyền xét duyệt
bằng chính sách với ĐK
sau:
 Các hóa đơn dưới 10tr
đồng
 Các đại lý có mức dư nợ
dưới 100 triệu đồng

 XÉT DUYỆT CỤ THỂ
 Phó Tổng giám đốc xét
duyệt từng trường hợp cụ
thể :
 Các hoá đơn bán chịu trên
10 triệu
 Các đại lý đã có dư nợ vượt
mức 100 triệu
16

b.3.Kiểm tra quá trình xử lý
Luân chuyển Chứng từ
 Bao gồm quá trình lập và lưu chuyển qua các
bộ phận :
 Thực hiện sự xét duyệt
 Thực hiện sự kiểm soát
 Là cơ sở ghi sổ

 Cần xây dựng một quy trình chuẩn
 Mô tả bằng lưu đồ

18

3


28/06/2017

b.3.Kiểm tra q trình xử lý

b.3.Kiểm tra q trình xử lý

Lưu trữ Chứng từ
 Thuận lợi cho việc truy cập
 Thời điểm chuyển vào lưu trữ
 Hồ sơ thường trực
 Tn thủ pháp luật
 Thời gian lưu trữ
 Xử lý chứng từ hư hỏng
 Xử lý chứng từ hết thời hạn lưu trữ

 Sổ sách ghi nhận hoạt động: Đảm bảo ghi chép chính
xác
• Ghi chép dựa trên chứng từ
• Thiết kế mẫu đầy đủ
• Để lại dấu vết kiểm tốn
• Kiểm tra, đối chiếu sổ
• V.v…

 Lưu trữ, bảo quản sổ sách
 Báo cáo
 Dấu vết kiểm tóan

19

20

c. Bảo vệ tài sản và thơng tin

d. Phân tích rà sốt

 Hạn chế tiếp cận tài sản, thơng tin
 Kiểm kê tài sản
 Sử dụng các thiết bị quan sát, máy tính tiền, ghi

Mục
đích
Mục
đích
 Phát
cácbiến
biếnđộng
độngbất
bấtthường
thường
Phát hiện
hiện các
 Xác
ngunnhân,

nhân,xử
xửlýlýkịp
kịpthời
thời
Xác định
định ngun
Phương pháp

nhận tài sản khi sử dụng

 Đối chiếu định kỳ tổng hợp và chi tiết, thực tế
và kế hoạch, kỳ này và kỳ trước, sử dụng các
chỉ số.

21

22

1.3.4. Thơng tin & truyền thơng

Ví dụ phân tích rà sốt
BAaNG BÁO CÁO GIÁTHÀNH ÍAaN PHAK
M

Thơng tin

Truyền thơng

Tâáná 05/2006
Íản pâakm A: Íốlư ơuná 100

CHI PHÍ

GIÁTHÀNH KỲNÀY

TOÀN BỘ
Náuyên vật liệu trư uc tiếp

ĐZ N VỊ

Z Đ.VỊ
KỲ
TRƯ Z ÙC

Biến độná
kỳnà
y/kỳ
trư ớc

1,000,000

10,000

9,000

+11%

Nâân côná trư uc tiếp

500,000


5,000

5,050

- 1%

Íản xuất câuná

500,000

5,000

6,000

- 17%

2,000,000

20,000

20,050

-0.25%

Cộng

 Loại thơng tin gì cần
thu thập xử lý,
truyền thơng.


 Truyền đạt, trao đổi
thơng tin giữa các đối
tượng liên quan
 Trong nội bộ
 Với bên ngồi
 Phương pháp truyền
thơng

 Phương pháp xử lý
thơng tin.

 Cung cấp cho nhân
viên hiểu vai trò, trách
nhiệm liên quan tới
các chính sách, thủ
tục kiểm sốt.

Lư u ý. Câsnâ sácâ sản xuất câo pâép biến độná +; - 5%
23

24

4


28/06/2017

1.3.5. Giám sát
 Giám sát là quá trình đánh giá chất lượng của hệ
thống kiểm soát nội bộ theo thời gian.

 Đánh giá:

1.3.5. Giám sát
 Thực hiện:
 Kiểm toán nội bộ, kiểm toán độc lập,
 Thu thập thông tin bên ngoài

Chất lượng của các thành phần khác của HT KSNB

 Hệ thống kế toán trách nhiệm

và điều chỉnh phù hợp.
 Đánh giá thường xuyên
 Các chương trình đánh giá định kỳ

25

26

Tóm tắt: Mối quan hệ giữa các thành phần
của hệ thống KSNB

Giám
sát
Hoạt động
kiểm soát
Đánh giá rủi ro

1.4. Phân loại kiểm soát
Phân loại theo mục tiêu kiểm soát:

 Kiểm soát ngăn ngừa: nhằm ngăn chặn, đề
phòng sai sót và gian lận.
 Kiểm soát phát hiện: là kiểm soát tìm ra các
sai sót và gian lận đã xảy ra hoặc đã được
thực hiện.
 Kiểm soát sửa sai: là các biện pháp nhằm
khắc phục, sửa chữa hậu quả do các sai sót
và gian lận gây ra.

Môi trường kiểm soát

27

28

1.4. Phân loại kiểm soát
Phân loại theo phạm vi kiểm soát:
 Kiểm soát chung: là các thủ tục, chính sách
được thiết kế có hiệu lực trên toàn bộ hệ
thống.
 Kiểm soát ứng dụng: là các thủ tục, chính
sách thực hiện chỉ ảnh hưởng đến một hệ
thống con, một phần hành ứng dụng cụ thể.

Tiếp cận HT KSNB
Phương pháp tiếp cận của Kiểm toán viên

Báo cáo tài
chính DN


29

Đánh giá HT KSNB để
đánh giá rủi ro kiểm toán,
xây dựng chương trình
kiểm toán phù hợp
30

5


28/06/2017

Phương pháp tiếp cận của nhà quản lý

Nhà nước
Hoạt động
Doanh nghiệp

Chủ

BÀI TẬP NHÓM
 Tìm hiểu và soạn thảo một bản quy chế nội bộ
cho một quy trình quản lý tùy chọn.
 Trong đó cần chỉ rõ 5 thành phần của hệ thống
KSNB

• Thiết bị

sở hữu


• Con người
• Quy trình xử lý

Các bên

• Quy trình hoạt
động

liên quan
Tổ chức và duy trì hệ
thống KSNB để ngăn chặn
và phát hiện GL-SS & hoạt
động hiệu quả
31

2.2 Đặc điểm hệ thống kế toán trong
môi trường máy tính
 Thiết bị: nhạy cảm, dễ bị phá huỷ
 Tổ chức dữ liệu:
 Theo kiểu file hoặc hệ quản trị cơ sở dữ liệu.
 Hoạt động xử lý:
 Hệ thống có thể truy cập từ nhiều nơi
 Xử lý tự động theo chương trình được lập trình sẵn
 Tổ chức hệ thống
 Nhiều nhiệm vụ tập trung xử lý ở bộ phận EDP
(Electronic Data Proceessing)
 Không thể đảm bảo một số nguyên tắc bất kiêm
nhiệm
33


Về ghi nhận và hạch toán ban đầu
 Sử dụng chứng từ bằng giấy được lập khi
NVKT phát sinh và hoàn thành
 Chứng từ gốc được in từ phần mềm
 Nghiệp vụ được cập nhật tự động
 Sử dụng chứng từ điện tử

35

32

2.2 Đặc điểm hệ thống kế toán
trong môi trường máy tính
Về ghi nhận và hạch toán ban đầu
Đặc điểm về quá trình xử lý dữ liệu KT
Đặc điểm về thông tin đầu ra
Đặc điểm về quá trình lưu trữ DL
Thiết bị

34

Đặc điểm về quá trình xử lý dữ liệu KT
 Các dấu vết nghiệp vụ không quan sát được
bằng mắt
 Cập nhật một lần, ảnh hưởng tới nhiều tập tin
 Các xử lý bằng máy được thực hiện tự động
 Khả năng cài đặt các tính năng kiểm soát
trong PMKT


36

6


28/06/2017

2.2 Đặc điểm hệ thống kế toán
trong môi trường máy tính
Đặc điểm về thông tin đầu ra
 DL được lưu trên tập tin CSDL. Các thông tin
truy xuất theo các báo cáo được thiết kế sẵn
 Phải có các công cụ và quyền hạn thì mới
truy xuất được thông tin trên báo cáo

 Thiếu dấu vết của các giao dịch
 Quy trình xử lý thống nhất các giao dịch
 Sự phân chia các chức năng bị hạn chế
 Khả năng của sai sót và không tuân thủ
 Tự tạo và thực hiện các giao dịch
 Sự phụ thuộc của các bước kiểm soát khác đối
với quá trình xử lý thông tin bằng máy tính
 Tăng khả năng giám sát của Ban Giám đốc

37

38

2.2 Đặc điểm hệ thống kế toán
trong môi trường máy tính

 Mức độ hiệu quả của quá trình xử lý dữ liệu và
tính chính xác của thông tin kết xuất phụ thuộc
khả năng xử lý của máy móc thiết bị.
 Hệ thống máy tính có độ nhạy cảm cao đối với
các tác động bên ngoài như môi trường, cách
thức sử dụng…
 Hệ thống thông tin xử lý trên nền máy tính có
khả năng thiết kế nhiều báo cáo linh động đáp
ứng tốt nhu cầu của đa dạng những người sử
dụng.
 Hệ thống máy tính cho công tác kế toán, đòi hỏi
người sử dụng hệ thống ngoài trình độ chuyên
môn nghiệp vụ còn cần có kiến thức về hệ thống,
về tin học và cơ sở dữ liệu.
39

2.3 Rủi ro & gian lận trong môi
trường máy tính
Những rủi ro xuất phát từ sự thiết kế của
phần mềm ứng dụng
Những rủi ro xuất phát từ sự vận hành của
hệ thống mạng
Những rủi ro xuất phát từ công việc lưu
trữ dữ liệu
Những rủi ro xuất phát từ sự tác động bên
ngoài và sự không trung thực của con
người

40


Rủi ro xử lý
- Sai tập tin
- Không đúng thời điểm

2.3 Rủi ro & gian lận trong môi trường
máy tính- theo quy trình xử lý





Sai xót và
Sai xót và
Sai xót và
Sai xót và
thông tin

gian
gian
gian
gian

lận
lận
lận
lận

về
về
về

về

nhập liệu
xử lý nghiệp vụ
thông tin đầu ra
lưu trữ và bảo mật

- Không đầy đủ
- Cấu trúc xử lý sai
- Chỉnh sửa chương trình xử lý

Dữ liệu
Rủi ro nhập liệu
- Dữ liệu không đầy đủ
- Dữ liệu nhập ko kịp thời
- Dữ liệu bị mất
- Trùng lắp dữ liệu
- Không hợp lệ
- Không chính xác
- Dữ liệu gian lận

41

Xử lý

Kết xuất
Rủi ro kết xuất
- Mất mát
- Không kịp thời


Lưu trữ

Lưu trữ sai sót

- Không đầy đủ
- Sai đối tượng
- Chỉnh sửa
- Sử dụng sai

7


28/06/2017

2.4.1. Kiểm soát chung

2.4. Các hoạt động kiểm soát
a. Kiểm soát chung: là các
hoạt động kiểm soát được
thiết kế và thực hiện
nhằm
đảm
bảo
môi
trường kiểm soát của tổ
chức được ổn định, vững
mạnh nhằm gia tăng hiệu
quả của kiểm soát ứng
dụng.



Phạm vi: Toàn bộ hệ
thống thông tin



Hình thức: Chính sách,
giải pháp kỹ thuật, giám
sát hoạt động

b. Kiểm soát ứng dụng: là
các hoạt động kiểm soát
được thiết kế và thực hiện
để ngăn ngừa, phát hiện
và sửa chữa sai sót, gian
lận trong quá trình xử lý
nghiệp vụ.


Gắn liền với từng chức
năng, từng hệ thống



Hình thức: Tính năng
được lập trình trên các
phần mềm ứng dụng

CHÍNH SÁCH


GIẢI PHÁP KỸ THUẬT
TRIỂN KHAI THỰC HIỆN
VÀ GIÁM SÁT

43

44

2.4.1. Kiểm soát chung
 Kiểm soát con người
 Kiểm soát vật chất
 Kiểm soát vận hành máy tính
 Mô hình tổ chức hệ thống máy tính: nên tổ chức theo
mô hình máy chủ - máy con
 Quy định về mật khẩu
 Quy định về sử dụng máy tính, các thiết bị máy
tính và các tài nguyên trên máy tính:
 Những cài đặt và thiết lập cần thiết cho hệ thống máy
tính
 Thiết lập và kiểm soát hệ thống thư điện tử, kiểm
soát trang Web của doanh nghiệp và truy cập
internet
45

2.4.2. Kiểm soát ứng dụng

Kiểm soát nhập liệu
Kiểm soát quá trình
xử lý dữ liệu
Kiểm soát thông tin

đầu ra
46

(1) Những giải pháp về các thủ tục
kiểm soát dữ liệu đầu vào
 Kiểm soát nguồn dữ liệu
Kiểm tra việc đánh số trước của các chứng từ gốc
Sử dụng các chứng từ luân chuyển (Là chứng từ kết
xuất từ hệ thống trước)
Phê duyệt đầy đủ
Đánh dấu chứng từ đã sử dụng
Sử dụng các thiết bị kiểm tra chứng từ trước khi nhập
liệu (phần mềm kiểm tra tính hợp pháp của HĐ
GTGT)

Kiểm soát quá trình nhập liệu
 Kiểm
 Kiểm
 Kiểm
 Kiểm
 Kiểm
 Kiểm
 Kiểm

tra
tra
tra
tra
tra
tra

tra

tính tuần tự khi nhập liệu
vùng dữ liệu
dấu (>0,<0)
tính hợp lý
tính có thực của dữ liệu
giới hạn dữ liệu
tính đầy đủ của dữ liệu

….

47

48

8


28/06/2017

(2) Những giải pháp về các thủ tục
kiểm soát quy trình xử lý dữ liệu
Kiểm soát quá trình nhập liệu
Kiểm tra việc nhập trùng của dữ liệu
Kiểm tra dung lượng vùng nhập liệu
Số tổng kiểm soát
Kiểm tra kiểu dữ liệu
Sử dụng các giá trị mặc định và tạo số tự
động

Thông báo lỗi và hướng dẫn sửa lỗi

49

(3) Những giải pháp về các thủ tục
kiểm soát thông tin đầu ra
Kiểm soát thông qua chứng từ gốc
Khoá kỳ kế toán
Kiểm tra sự liên tục của chứng từ và thứ
tự ngày chứng từ
Quy định người sử dụng có trách nhiệm
kiểm tra tính hợp lý, hợp lệ của số liệu kế
toán
Kiểm tra, đối chiếu số liệu kế toán
Quy định người sử dụng có trách nhiệm
51

2.5. Giới thiệu COBIT

coso

Committee of Sponsoring
Organizations of
Treadway Commission
Control Objectives for
Information and Related
Technology

COBIT


53

Kiểm tra ràng buộc toàn vẹn dữ liệu
Kiểm tra dữ liệu hiện hành
Xử lý các nghiệp vụ trùng lắp
Kiểm soát trình tự xử lý
Kiểm soát từng bước
Kiểm tra dữ liệu phù hợp
Báo cáo các yếu tố bất thường
Kiểm soát các chức năng tự động trên phần
mềm
Đối chiếu với các dữ liệu ngoài hệ thống
Kiểm soát chuyển đổi tập tin dữ liệu
50

2.5. Giới thiệu COBIT
 HTTT có thể phù hợp với tổ chức này nhưng có
phù hợp với tổ chức khác không?
 HTTT dùng trong doanh nghiệp đang “chuẩn” ở
mức nào?
 Cần tiến tới mục tiêu nào để tạo lợi thế cạnh
tranh so với các tổ chức, doanh nghiệp khác?
 Các nhà quản lý cần phải trang bị một phương
pháp quản trị và đánh giá hệ thống thông tin
doanh nghiệp của mình.
 Một số phương pháp quản trị phổ biến như: ITIL,
COBIT, ISO17799/ ISO27001, CMMi, COSO,
PMBOX…
52


COBIT (Control Objectives for
Information and Related Technology)
 COBIT là một chuẩn quốc tế về quản lý CNTT
gồm những tiêu chuẩn tốt nhất về quản lý CNTT
do ISACA và ITGI xây dựng năm 1996.
 COBIT cung cấp cho các nhà quản lý, những
người kiểm tra và người sử dụng IT một loạt các
phép đo, dụng cụ đo, các quy trình và các hướng
dẫn thực hành.
 Mục đích của COBIT là “nghiên cứu, phát triển,
quảng bá và xúc tiến một tập hợp các mục tiêu
kiểm soát CNTT được chấp nhận phổ biến”

54

9


28/06/2017

Thông tin hữu ích - COBIT
Theo chuẩn mực
kế toán VN ???
• Trung thực
• Khách quan
• Đầy đủ
• Kịp thời
• Dễ hiểu
• Có thể so sánh


Đặc điểm của COBIT
 Bổ sung, điều chỉnh một số định nghĩa trên cơ sở
báo cáo của COSO:
• Mục tiêu kiểm soát trong HTTT
• Các hướng dẫn cho việc đánh giá hiệu quả của
kiểm soát trong HT thông tin
 COBIT phù hợp với COSO về việc phân loại các
thành phần kiểm soát
 COBIT và COSO đều cho rằng “người” là yếu tố
rất quan trọng trong hệ thống kiểm soát nội bộ

55

56

10