1. Chương 3
Rủi ro và Kiểm soát trong AIS
Phần 2: Kiểm soát trong môi
trường máy tính
1
2. Mục tiêu
• Trong phần này chúng ta sẽ tìm hiểu:
– Các đặc điểm riêng biệt của môi trường xử lý
thông tin bằng máy tính
– Các rủi ro có thể xảy ra
– Các thủ tục kiểm soát chung
– Các thủ tục kiểm soát ứng dụng
2
3. Đặc điểm của môi trường máy tính
Cấu trúc tổ chức:
• Kiêm nhiệm nhiều chức năng
• Đòi hỏi trình độ nhân viên cao => gian
lận bằng cách sửa chữa chương trình
xử lý kế toán
3
4. Đặc điểm của môi trường máy tính (tt)
Đặc điểm xử lý dữ liệu, thông tin:
•
Chứng từ sử dụng: có trường hợp nhập dữ liệu mà không có
chứng từ, vd: tự động tính khấu hao, đặt hàng trực tuyến
•
Khó lưu lại dấu vết, các dấu vết nghiệp vụ không quan sát
được bằng mắt
•
Xét duyệt và thực hiện nghiệp vụ: một số nghiệp vụ thực hiện
tự động
•
Cập nhật 1 lần, ảnh hưởng tới nhiều tập tin
•
Các thủ tục kiểm soát có thể được lập trình
•
Khối lượng DL ghi nhận nhiều, sử dụng nhiều lần
•
Thông tin cung cấp nhiều, đa dạng
•
Phụ thuộc vào khả năng hoạt động của phần mềm, phần cứng
4
5. Đặc điểm của môi trường máy tính
Khả năng truy cập, phá hủy hệ thống và DL
•
Khả năng truy cập, phá hủy hệ thống và DL
rất cao => xây dựng chính sách đảm bảo an
toàn cho hệ thống
•
Thiết bị lưu trữ DL, hệ thống xử lý dễ hư
hỏng, phá hoại => phải có chính sách sao
lưu và bảo trì
•
Chương trình và DL có thể tập trung
5
6. RỦI RO TRONG MÔI TRƯỜNG XỬ LÝ BẰNG
MÁY TÍNH
•
•
Rủi ro xử lý thông tin:
– Ghi nhận dữ liệu sai, không đầy đủ, không hợp lệ
– Xử lý sai ( dữ liệu bị sai như việc phân loại sai, tính tóan sai
do chương trình xử lý không chính xác)
– Cung cấp thông tin không đầy đủ, tin cậy, chính xác, báo
cáo có thể được chuyển giao không đúng người nhận
Rủi ro hệ thống: Liên quan đến việc xây dựng, bảo dưỡng, sử
dụng các rũi ro bao gồm:
–
Liên quan đến quá trình phát triển hệ thống
– Rủi ro liên quan tới thiết bị
– Rủi ro liên quan đến nhân sự,
– Rủi ro liên quan đến dữ liệu lưu trữ
•
Dữ liệu bị phá hủy do cố tình phá hoại
•
Dữ liệu dễ bị thâm nhập, phá hoại để sửa CT,phá hũy
•
Dữ liệu dễ bị mất do máy hư, phá hoại, ăn cắp tbị lưu trữ
6
7. Rủi ro xử lý
- Sai tập tin
- Không đúng thời điểm
- Không đầy đủ
- Cấu trúc xử lý sai
- Chỉnh sửa chương trình xử lý
Dữ liệu
Rủi ro nhập liệu
- Dữ liệu không đầy đủ
- Dữ liệu nhập ko kịp thời
- Dữ liệu bị mất
- Trùng lắp dữ liệu
- Không hợp lệ
- Không chính xác
- Dữ liệu gian lận
Xử lý
Kết xuất
Rủi ro kết xuất
- Mất mát
- Không kịp thời
- Không đầy đủ
Lưu trữ
- Sai đối tượng
- Chỉnh sửa
Lưu trữ sai sót - Sử dụng sai
7
8. CÁC THỦ TỤC KS TRONG MÔI TRƯỜNG MT
Rủi ro nguồn lực
hệ thống
•Phát triển HT
•Sử dụng HT
•Bảo quản HT
Kiểm soát
chung
Rủi ro xử lý
thông tin
•Tính hợp lệ
•Chính xác
•Đầy đủ
Kiểm soát
ứng dụng
8
8
9. CÁC THỦ TỤC KIỂM SOÁT
• Kiểm soát chung:
– Bao gồm các thủ tục, chính sách kiểm soát áp
dụng chung cho toàn bộ môi trường xử lý
thông tin
• Kiểm soát ứng dụng:
– Bao gồm các thủ tục kiểm soát nhập liệu, xử
lý và kết xuất áp dụng cho 1 chương trình
ứng dụng xử lý thông tin cụ thể
9
10. Quản
lý hàng
tồn kho
Nợ phải thu
TSCĐ
Kiểm soát
Tổng hợp
chung Báo cáo
Nợ phải trả
Bán hàng
Tiền
10
11. KIỂM SOÁT CHUNG
1. Tổ chức bộ máy trong môi trường máy tính
2. Kiểm soát quá trình phát triển HTTT
3. Chuẩn hóa các tài liệu liên quan
4. Kiểm soát truy cập từ bên ngoài
5. Kiểm soát truy cập lôgic
6. Đảm bảo hoạt động liên tục
7. Kế hoạch khắc phục hậu quả nếu xảy ra…
11
12. KIỂM SOÁT CHUNG
1. Tổ chức bộ máy trong môi trường máy tính
Tách biệt chức năng xử lý thông tin với các bộ
phận chức năng khác
Tách biệt các bộ phận bên trong của hệ thống
xử lý thông tin:
Phát triển, vận hành hệ thống và bảo dưỡng hệ
thống
Tách biệt giữa các chức năng bên trong từng bộ
phận hệ thống
12
13. KIỂM SOÁT CHUNG
1. Tổ chức bộ máy xử lý thông tin
Quản lý HT
Tổ chức nhập liệu tập trung
Xét duyệt
Thực hiện
Bảo vệ TS
Phân
tích HT
Phát triển
Hệ thống
Thiết kế
HT
BP kỹ thuật
Lập
trình HT
Mạng và
truyền thông
KS dữ
liệu
Quản trị
CSDL
BP vận
hành/xử lý
Nhập
liệu
Quản lý
dữ liệu
KS chất
lượng HT
13
14. KIỂM SOÁT CHUNG
2. Kiểm soát quá trình phát triển HTTT
– Lập kế hoạch phát triển
– Xác định các yêu cầu đặt ra
– Phân chia trách nhiệm phát triển hệ thống
– Sự tham gia của người sử dụng
– Đánh giá, chọn lựa quá trình phát triển
14
15. KIỂM SOÁT CHUNG
3. Chuẩn hóa các tài liệu liên quan
–
Tài liệu quản trị: Bao gồm các tài liệu liên quan
đến quá trình phát triển hệ thống, quy định quyền
sử dụng…
–
Tài liệu ứng dụng: Hướng dẫn sử dụng chương
trình (nhập liệu, xử lý, báo cáo, tìm kiếm, sửa
chữa…)
–
Tài liệu hệ thống: Các yêu cầu về hệ thống, hệ
thống mã chương trình, tập tin lưu trữ, các hướng
dẫn phục hồi dữ liệu khi sự cố xảy ra
15
16. KIỂM SOÁT CHUNG
4. Kiểm soát truy cập từ
bên ngoài
Hạn chế đối tượng không
liên quan tiếp cận trực
tiếp với hệ thống xử lý
Bảo vệ ngoài
Khóa địa điểm
Hệ
thống
xử lý
Phân loại đối tượng sử
dụng hệ thống
16
17. KIỂM SOÁT CHUNG
5. Kiểm soát truy cập lôgic: Hạn chế quyền
sử dụng của nguời sử dụng trực tiếp hệ
thống
• Nhận dạng người sử dụng (account user)
• Xác nhận người sử dụng (Password)
• Phân quyền truy cập (Access right)
• Theo dõi quá trình sử dụng (Nhật kí sử
dụng)
17
18. KIỂM SOÁT CHUNG
• Phân quyền truy cập
Các chu
trình
Các hoạt
động
Khai báo
Xem
Nhập liệu
Thêm
Ma
trận
truy
cập
Cập nhật/báo
cáo
Chỉnh
sửa/xóa
18
19. Minh họa ma trận truy cập
Menu
KT trưởng KT phải thu KT tồn kho …
Chu trình doanh thu X: Xem; T: Thêm; S: Chỉnh sửa
Khai báo
+ Khách hàng
X, T, S
X
X
+ Hàng hóa
X, T, S
X
X
+ Xuất kho
X
X
T
+ Lập hóa đơn
X
T
X
+ Thu tiền
X
X
X
+ BC phân tích BH
X, S
X
X
+ Bảng kê KH
X,S
X
X
+ Báo cáo nợ pthu
X,S
X
X
Nhập liệu
Cập nhật/báo cáo
19
20. KIỂM SOÁT CHUNG
6. Đảm bảo hoạt động liên tục
– Kiểm soát thiết bị lưu trữ (Đĩa cứng, đĩa mềm,
đĩa CD…. ): Đảm bảo an toàn thiết bị lưu trữ,
Dán nhẵn, đặt tên, sắp xếp theo trình thự thời
gian
– Sao lưu dự phòng dữ liệu (Back-up)
– Hạn chế mất mát dữ liệu khi mất điện
20
21. KIỂM SOÁT CHUNG
7. Kế hoạch khắc phục hậu quả nếu xảy ra…
– Các thứ tự ưu tiên phục hồi
– Phân chia trách nhiệm phục hồi
– Sao lưu dự phòng chương trình nguồn, dữ
liệu
– Mua bảo hiểm hệ thống
– Các kế hoạch phải được thể hiện dưới dạng
văn bản
21
22. KIỂM SOÁT ỨNG DỤNG
Với mục tiêu Đầy đủ, Hợp lệ, Chính xác:
Tất cả các dữ liệu phát sinh đều được ghi nhận
(kể cả các dữ liệu ghi vào tập tin chính)
Tất cả dữ liệu được ghi nhận đều hợp lệ
Tất cả dữ liệu hợp lệ được ghi nhận chính xác
Tất cả các dữ liệu hợp lệ được xử lý chính xác
Báo cáo, kết xuất phải đầy đủ, chính xác, hợp lệ
22
23. Kiểm soát nguồn dữ liệu
• Kiểm tra tính trình tự số chứng từ: Hạn chế
việc ghi trùng hay bỏ sót nghiệp vụ
• Sử dụng chứng từ luân chuyển trong hệ
thống: chứng từ được nhập 1 lần và luân
chuyển trong hệ thống máy tính
• Xét duyệt nghiệp vụ: Dữ liệu phải được xét
duyệt trước khi nhập vào hệ thống
• Đánh dấu chứng từ đã sử dụng
• Quét chứng từ để kiểm tra tính hợp pháp của
chứng từ (vd dùng cho hóa đơn)
23
24. Kiểm soát nhập liệu, xử lý
• Kiểm soát dự phòng
– Giảm khoảng cách (thời gian, không gian) giữa việc
phát sinh nghiệp vụ và việc ghi chép nghiệp vụ
– Hạn chế việc nhập liệu trực tiếp từ người SD
– Kiểm tra các dữ liệu nhập:
• Kiểu dữ liệu
• Giới hạn
• Ko trùng lắp
• Tính đầy đủ
– Sử dụng các dữ liệu mặc định, tự động
– Chọn từ danh sách dữ liệu có sẵn
24
25. Kiểm soát dự phòng
Mục tiêu liên quan
Thủ tục KS
Đầy
đủ
Hạn chế việc nhập liệu trực
tiếp từ người SD
Hợp lệ Chính
Xác
x
Kiểu dữ liệu
x
X
Giới hạn dữ liệu
X
X
Ko trùng lặp dữ liệu
X
X
Trình tự nhập liệu
X
25
25
26. Kiểm soát dự phòng
Mục tiêu liên quan
Thủ tục KS
Dữ liệu mặc định
Đầy
đủ
Hợp lệ Chính
Xác
X
X
X
X
X
Giới hạn dữ liệu
X
X
Chọn dữ liệu từ danh sách
X
X
Dữ liệu tự động
26
26
27. Kiểm soát nhập liệu, xử lý
• Kiểm soát phát hiện
– Lập danh sách các nghiệp vụ sai sót
– Thông báo các trường hợp bất thường
– Dùng tổng kiểm soát, tổng hash
– Kiểm tra tính phù hợp
– Đối chiếu dữ liệu giữa 2 nguồn độc lập
27
28. Kiểm soát phát hiện
Mục tiêu liên quan
Thủ tục KS
Thông báo các trường hợp bất
thường
Đầy
đủ
X
Hợp lệ Chính
Xác
X
Kiểm tra tính phù hợp dữ liệu
Lập danh sách các nghiệp vụ sai
sót
X
X
X
X
X
Dùng tổng kiểm soát, tổng hash
X
Đối chiếu kết quả xử lý giữa 2
nguồn độc lập
X
28
28
29. Kiểm soát nhập liệu, xử lý
• Kiểm soát sửa sai
– Lập danh sách các nghiệp vụ sai sót
– Quy định trình tự sửa sai
– Xét duyệt các nghiệp vụ đã sửa sai
– Nhập lại các nghiệp vụ đã sửa sai theo trình tự
thông thường như các nghiệp vụ nhập ban đầu
29
30. Kiểm soát kết xuất, báo cáo
• Kiểm tra thời điểm, thời kì kết xuất, sử dụng
báo cáo, thông tin
• Phân chia quyền được kết xuất và sử dụng
báo cáo, thông tin
• Quy định chế độ bảo mật thông tin
• Kiểm tra nguồn gốc phát sinh: Từ các thông
tin trên báo cáo có thể xem các chứng từ gốc
liên quan (dấu vết kiểm toán-> audit trail)
30
31. Yêu cầu
• Đọc Chuẩn mực kiểm toán Việt Nam số
401: thực hiện kiểm toán trong môi trường
tin học
31