Luận văn Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi trường tin học cho các doanh nghiệp Việt Nam

1 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KINH TẾ TP. HỒ CHÍ MINH ĐỒNG QUANG CHUNG ĐỀ XUẤT MỘT SỐ GIẢI PHÁP XÂY DỰNG CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC CHO CÁC DOANH NGHIỆP VIỆT NAM Chuyên ngành: Kế toán - Kiểm toán Mã số : 60.34.30 LUẬN VĂN THẠC SĨ KINH TẾ NGƯỜI HƯỚNG DẪN KHOA HỌC PGS.TS NGUYỄN VIỆT TP. HỒ CHÍ MINH – NĂM 2009 2 LỜI CAM ĐOAN Tôi xin cam đoan đây là công trình nghiên cứu khoa học của tôi với sự cố vấn của người hướng dẫn khoa học. Những nội dung trình bày trong đề tài là hoàn toàn trung thực và nếu như có sai trái gì tôi xin hoàn toàn chịu trách nhiệm. Tác giả luận văn Đồng Quang Chung MỤC LỤC Trang Mở đầu .................................................................................................... 1 Chương 1 - CÁC VẤN ĐỀ LIÊN QUAN ĐẾN HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC .......................................... 4 1.1 TÌM HIỂU VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ ...................... 4 1.1.1 Định nghĩa về kiểm soát nội bộ ..................................................... 4 1.1.2 Các bộ phận hợp thành hệ thống kiểm soát nội bộ ...................... 6 1.1.2.1 Môi trường kiểm soát ................................................................... 6 1.1.2.2 Đánh giá rủi ro .............................................................................. 9 1.1.2.3 Hoạt động kiểm soát ..................................................................... 10 1.1.2.4 Thông tin và truyền thông ............................................................. 12 1.1.2.5 Giám sát ....................................................................................... 13 1.2 GIỚI THIỆU CHUNG VỀ HỆ THỐNG MÁY TÍNH .................... 14 1.2.1 Phần cứng và các thiết bị ngoại vi ................................................ 15 1.2.2 Phần mềm ...................................................................................... 17 1.2.2.1 Phần mềm hệ thống ...................................................................... 17 1.2.2.2 Các chương trình tiện ích .............................................................. 17 3 1.2.2.3 Ngôn ngữ lập trình và các trình biên dịch ..................................... 18 1.2.2.4 Phần mềm ứng dụng .................................................................... 18 1.2.2.5 Hệ quản trị cơ sở dữ liệu ............................................................... 19 1.2.3 Mạng máy tính ............................................................................... 20 1.2.3.1 Ứng dụng của mạng máy tính ...................................................... 20 1.2.3.2 Mạng nội bộ và mạng diện rộng ................................................... 22 1.2.3.3 Mạng có dây và mạng không dây ................................................. 23 1.3 CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC ........................................................................................................ 23 1.3.1 Hoạt động kiểm soát chung ............................................................. 24 1.3.2 Hoạt động kiểm soát ứng dụng ........................................................ 25 1.3.3 Hoạt động kiểm soát dữ liệu ............................................................ 28 1.4 ẢNH HƯỞNG CỦA HỆ THỐNG MÁY TÍNH ĐẾN VIỆC THIẾT KẾ CÁC HOẠT ĐỘNG KIỂM SOÁT .................................................. 30 1.4.1 Đặc điểm của hoạt động kiểm soát trong môi trường tin học ................................................................................. 31 1.4.1.1 Chịu ảnh hưởng bởi phương pháp xử lý dữ liệu của hệ thống máy tính ................................................................................... 31 1.4.1.2 Chịu ảnh hưởng và phụ thuộc về mặt công nghệ lưu trữ dữ liệu ......................................................................................... 32 1.4.1.3 Chịu sự chi phối của phần cứng máy tính ..................................... 34 1.4.1.4 Chịu ảnh hưởng của hạ tầng mạng ................................................ 34 1.4.1.5 Chịu sự phụ thuộc vào hệ thống điện ............................................ 36 1.4.1.6 Chịu sự chi phối và phụ thuộc nhiều vào cơ chế kiểm soát của phần mềm ứng dụng........................................................................... 37 4 1.4.2 Nhận diện các rủi ro tiềm ẩn đối với các hoạt động kiểm soát trong môi trường tin học ........................................................................ 38 1.4.2.1 Những rủi ro xuất phát từ thiết bị phần cứng ................................ 39 1.4.2.2 Những rủi ro xuất phát từ sự vận hành của hệ thống mạng ........... 40 1.4.2.3 Những rủi ro xuất phát từ sự thiết kế của phần mềm ứng dụng ................................................................................. 40 1.4.2.4 Những rủi ro xuất phát từ công việc lưu trữ dữ liệu........................................................................................... 40 1.4.2.5 Những rủi ro xuất phát từ sự tác động bên ngoài và sự không trung thực của con người ...................................................... 41 Kết luận chương 1 .................................................................................. 42 Chương 2 - TÌM HIỂU THỰC TẾ VỀ CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC TẠI CÁC DOANH NGHIỆP VIỆT NAM ............................................................................................. 43 2.1 Hoạt động kiểm soát trong môi trường tin học nhìn từ góc độ nhà quản lý ............................................................................................... 45 2.2 Hoạt động kiểm soát trong môi trường tin học nhìn từ góc độ kế toán .......................................................................................... 47 2.3 Hoạt động kiểm soát trong môi trường tin học nhìn từ góc độ IT ...................................................................................... 48 2.4 Nhận xét về các hoạt động kiểm soát trong môi trường tin học được tổ chức tại các doanh nghiệp ................................................ 51 5 2.5 Nhận xét về các thủ tục kiểm soát được thiết kế trong các phần mềm kế toán Việt Nam .................................................................... 64 Kết luận chương 2 .................................................................................. 65 Chương 3 – ĐỀ XUẤT MỘT SỐ GIẢI PHÁP XÂY DỰNG CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC CHO CÁC DOANH NGHIỆP VIỆT NAM .............................................................. 66 3.1 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT CHUNG ................. 66 3.1.1 Kiểm soát con người ...................................................................... 66 3.1.2 Kiểm soát vật chất .......................................................................... 67 3.1.3 Kiểm soát vận hành máy tính ......................................................... 68 3.2 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT ỨNG DỤNG .......... 74 3.2.1 Những quy định ràng buộc về trách nhiệm của các đối tượng liên quan......................................................................... 75 3.2.2 Những giải pháp về các thủ tục kiểm soát dữ liệu đầu vào ............................................................................... 77 3.2.3 Những giải pháp về các thủ tục kiểm soát quy trình xử lý dữ liệu .................................................................... 80 3.2.4 Những giải pháp về các thủ tục kiểm soát thông tin đầu ra .............................................................................. 84 3.2.5 Những giải pháp khác về các thủ tục kiểm soát trên phần mềm ứng dụng ....................................................................... 86 3.3 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT DỮ LIỆU ............... 88 3.3.1 Tổ chức máy chủ ............................................................................ 88 6 3.3.2 Tổ chức sao lưu dữ liệu .................................................................. 88 3.3.3 Kiểm soát dữ liệu đối với các đối tượng bên ngoài doanh nghiệp ............................................................................ 90 3.4 ỨNG DỤNG CÁC THỦ TỤC KIỂM SOÁT TRÊN PHẦN MỀM VÀO HOẠT ĐỘNG KIỂM SOÁT MỘT SỐ CHU TRÌNH SẢN XUẤT KINH DOANH TẠI DOANH NGHIỆP ............................ 90 3.4.1 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát chu trình mua hàng ................................................................................ 90 3.4.1.1 Mô tả chu trình mua hàng ............................................................. 90 3.4.1.2 Ứng dụng phần mềm vào hoạt động kiểm soát chu trình mua hàng ................................................................................... 94 3.4.2 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát chu trình bán hàng ................................................................................. 98 3.4.2.1 Mô tả chu trình bán hàng .............................................................. 98 3.4.2.2 Ứng dụng phần mềm vào hoạt động kiểm soát chu trình bán hàng .................................................................................. 101 3.4.3 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát chu trình nhân sự, tiền lương .............................................................. 104 3.4.3.1 Mô tả chu trình nhân sự, tiền lương ............................................ 104 3.4.3.2 Ứng dụng phần mềm vào hoạt động kiểm soát chu trình nhân sự, tiền lương .................................................................. 106 3.4.4 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát chu trình sản xuất ................................................................................. 108 3.4.4.1 Mô tả chu trình sản xuất ............................................................. 108 7 3.4.4.2 Ứng dụng phần mềm vào hoạt động kiểm soát chu trình sản xuất ................................................................................... 111 3.5 BAN HÀNH CHÍNH SÁCH AN TOÀN VÀ BẢO MẬT THÔNG TIN, HOÀN THIỆN VAI TRÒ CỦA KIỂM TOÁN NỘI BỘ TRONG ĐIỀU KIỆN ỨNG DỤNG CNTT VÀO TRONG CÔNG TÁC QUẢN LÝ ....................................................................................... 115 Kết luận chương 3 ................................................................................ 116 KẾT LUẬN ........................................................................................... 117 TÀI LIỆU THAM KHẢO .................................................................... 119 8 DANH MỤC CHỮ VIẾT TẮT CNTT : Công nghệ thông tin IT : Information Technology - Kỹ thuật thông tin CPU : Central Processing Unit - Đơn vị xử lý trung tâm RAM : Random Access Memory - Bộ nhớ truy xuất ngẫu nhiên HDD : Hard Disk Drive - Ổ đĩa cứng (bộ nhớ lưu trữ) CSDL : Cơ sở dữ liệu SQL : Structured Query Language - Ngôn ngữ truy vấn cấu trúc ERP : Enterprise Resources Planning - Hoạch định các nguồn lực doanh nghiệp COSO: Committee of Sponsoring Organization – Uỷ ban thuộc Hội đồng quốc gia Hoa Kỳ về chống gian lận báo cáo tài chính 9 DANH MỤC HÌNH VẼ Hình 1.1 – Mô tả hệ thống máy tính ...................................................... 16 Hình 1.2 – Thiết bị Modem dùng để kết nối mạng internet ................. 20 Hình 1.3 – Mô tả về mạng máy tính ...................................................... 21 Hình 1.4 – Thiết bị Hub dùng để kết nối nhiều máy tính với nhau ..... 36 Hình 3.1 – Mô tả về bức tường lửa Firewall ......................................... 71 Hình 3.2 – Mô hình hệ thống thông tin kế toán .................................... 74 10 DANH MỤC BẢNG BIỂU Bảng 2.1 – Nhìn nhận về kiểm soát nội bộ trong môi trường tin học .. 49 Bảng 2.2 – Kiểm soát vật chất ................................................................ 53 Bảng 2.3 – Kiểm soát vận hành máy tính .............................................. 55 Bảng 2.4 – Kiểm soát dữ liệu đầu vào trên phần mềm ứng dụng ........ 57 Bảng 2.5 – Kiểm soát xử lý số liệu trên phần mềm ứng dụng .............. 59 Bảng 2.6 – Kiểm soát thông tin đầu ra trên phần mềm ứng dụng ....... 60 Bảng 2.7 – Kiểm soát dữ liệu ................................................................. 62 11 LỜI MỞ ĐẦU Tính cấp thiết của đề tài: Có thể nói trong thời đại ngày nay, CNTT đã và đang đóng một vai trò vô cùng quan trọng trong cuộc sống của loài người. Những lợi ích mà nó mang lại là không thể phủ nhận. Hầu như lĩnh vực nào, ngành nghề nào cũng ứng dụng CNTT và điều đó đã giúp tạo ra năng suất lao động, hiệu quả công việc vô cùng to lớn. Thực tế cho thấy; khi các tổ chức, các doanh nghiệp ứng dụng CNTT mà cụ thể là việc đưa vào sử dụng các phần mềm ứng dụng, các phần mềm quản trị cơ sở dữ liệu, các kết nối cổng thông tin liên kết trong nội bộ hay liên kết ra bên ngoài đã giúp cho con người trao đổi thông tin với nhau một cách nhanh chóng, tiết kiệm thời gian và thay thế dần sức người do có sự tự động hoá ngày càng cao. Bên cạnh đó; trong điều kiện tin học hoá như hiện nay, việc bảo vệ thông tin được xem là công việc được ưu tiên hàng đầu bởi người ta quan niệm rằng “thông tin là tài sản” và nếu để mất nó có thể sẽ phải trả giá rất đắt. Tuy nhiên, để thực hiện công việc này không phải là việc dễ dàng vì nó đòi hỏi phải có cơ chế kiểm soát chặt chẽ, rõ ràng, tỉ mỉ và chi tiết thông qua việc thiết lập một hệ thống kiểm soát nội bộ hữu hiệu tuân theo quy trình được thống nhất từ cấp lãnh đạo đến cấp nhân viên trong toàn bộ tổ chức. Ngoài những lợi ích do CNTT mang lại thì song song đó vẫn còn rất nhiều hạn chế hay nói khác đi đó chính là những rủi ro tiềm ẩn bên trong luôn rình rập và sẵn sàng đe doạ đến tài sản thông tin của bất kỳ tổ chức hay doanh nghiệp nào. Do đó, việc tìm hiểu những đặc điểm của hệ thống kiểm soát cũng như các biện pháp ngăn ngừa, nhận diện và khắc phục những tác động xấu từ những rủi ro trong môi trường ứng dụng CNTT sẽ giúp cho chúng ta 12 có cái nhìn toàn diện hơn để có thể thiết lập được hệ thống kiểm soát nội bộ hữu hiệu nhằm bảo vệ tài sản thông tin của tổ chức. Và cũng không nằm ngoài những suy nghĩ trên, tác giả đã rất trăn trở và đi đến quyết định chọn đề tài cũng tương đối mới mẻ là “Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi trường tin học cho các doanh nghiệp Việt Nam” để nghiên cứu với hy vọng mang lại cho các tổ chức, các doanh nghiệp nói chung và đặc biệt là những người đang hoạt động trong lĩnh vực kế toán, kiểm toán nói riêng một cái nhìn toàn diện hơn, đúng đắn hơn và cụ thể hơn về vấn đề này hiện nay. Mục tiêu nghiên cứu của đề tài: Dựa trên cơ sở nghiên cứu các tài liệu nước ngoài; thông qua việc thực hiện quan sát, điều tra và khảo sát thực tế tại các doanh nghiệp ở Việt Nam về kiểm soát nội bộ trong điều kiện ứng dụng CNTT; mục tiêu nghiên cứu của đề tài đưa ra một cái nhìn trực quan và cụ thể về kiểm soát trong môi trường tin học để hướng các đối tượng liên quan như doanh nghiệp, người hành nghề kế toán, kiểm toán đến việc tổ chức hệ thống thông tin và xây dựng các hoạt động kiểm soát thật sự hữu hiệu trong điều kiện ứng dụng CNTT vào công việc hàng ngày của mình. Đối tượng và phạm vi nghiên cứu: Đối tượng nghiên cứu của đề tài là các hoạt động kiểm soát thuộc hệ thống kiểm soát nội bộ được tổ chức trong môi trường tin học tại các doanh nghiệp Việt Nam. Cụ thể là; thông qua việc quan sát các hoạt động kiểm soát thực tế tại doanh nghiệp, điều tra và khảo sát các đối tượng liên quan như ban giám đốc, bộ phận kế toán và bộ phận IT của các doanh nghiệp để tìm hiểu. Tuy nhiên; đề tài chỉ mới đề cập đến việc tư vấn cho các doanh nghiệp cách để tự thiết kế ra các thủ tục phục vụ cho việc thực thi các hoạt động kiểm soát 13 tương ứng trong môi trường tin học sao cho hữu hiệu hơn để bảo vệ các tài sản thông tin và gia tăng độ tin cậy của thông tin được xử lý trong môi trường này, chứ chưa thật sự đề cập đến toàn bộ mọi thành phần của hệ thống kiểm soát nội bộ trong doanh nghiệp. Phương pháp nghiên cứu: Phương pháp nghiên cứu của luận văn là dựa trên quan sát thực tế ở hiện trường, khảo sát và điều tra các đối tượng liên quan tại doanh nghiệp thông qua hình thức bảng câu hỏi. Đồng thời sử dụng phương pháp phân tích, thống kê và tổng hợp số liệu thu thập được từ thực tế để từ đó đưa ra các giải pháp nhằm giải quyết các vấn đề đã đề cập trong mục tiêu nghiên cứu của đề tài. Kết cấu của luận văn: Kết cấu của luận văn bao gồm: v Phần mở đầu v Chương 1 - Các vấn đề liên quan đến hoạt động kiểm soát trong môi trường tin học v Chương 2 - Tìm hiểu thực tế về các hoạt động kiểm soát trong môi trường tin học tại các doanh nghiệp Việt Nam v Chương 3 – Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi trường tin học cho các doanh nghiệp Việt Nam v Kết luận v Tài liệu tham khảo v Phụ lục 14 CHƯƠNG 1 CÁC VẤN ĐỀ LIÊN QUAN ĐẾN HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN HỌC 1.1 TÌM HIỂU VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ 1.1.1 Định nghĩa về kiểm soát nội bộ Theo định nghĩa được đưa ra bởi COSO năm 1992 thì: “Kiểm soát nội bộ là một quá trình do nhà quản lý, hội đồng quản trị và toàn bộ nhân viên của tổ chức chi phối, nó được thiết lập để cung cấp một sự bảo đảm hợp lý nhằm thực hiện ba mục tiêu: ü Báo cáo tài chính đáng tin cậy ü Các luật lệ và quy định được tuân thủ ü Hoạt động hữu hiệu và hiệu quả” Như vậy có bốn nội dung cơ bản được đề cập trong định nghĩa ở trên bao gồm: quá trình, con người, đảm bảo hợp lý và mục tiêu. Kiểm soát nội bộ là một quá trình: kiểm soát nội bộ là một chuỗi hoạt động kiểm soát hiện diện ở tất cả mọi bộ phận trong tổ chức và chúng kết hợp với nhau thành một thể thống nhất. Quá trình kiểm soát được xem là phương tiện giúp cho tổ chức đạt được mục tiêu của mình. Kiểm soát nội bộ được thiết kế và vận hành bởi con người: chính con người sẽ đặt ra mục tiêu; thiết lập cơ chế kiểm soát ở khắp mọi nơi trong tổ chức và vận hành chúng để đạt được mục tiêu đề ra. Do đó, kiểm soát nội bộ không chỉ đơn thuần là những chính sách, thủ tục, biểu mẫu… mà còn bao 15 gồm cả những con người trong tổ chức như hội đồng quản trị, ban giám đốc và nhân viên. Kiểm soát nội bộ cung cấp một sự đảm bảo hợp lý: kiểm soát nội bộ chỉ có thể cung cấp một sự đảm bảo hợp lý nhất có thể chứ không khẳng định chắc chắn rằng các mục tiêu sẽ đạt được. Như vậy, kiểm soát nội bộ có thể giúp ngăn chặn và phát hiện ra sai phạm nhưng không thể đảm bảo là chúng sẽ không bao giờ xảy ra nữa. Sở dĩ như vậy là do bản thân hệ thống kiểm soát nội bộ vẫn luôn tồn tại những hạn chế tiềm tàng vốn có của nó như: sự vô ý, bất cẩn của con người; sự thông đồng giữa các cá nhân trong tổ chức; sự lạm dụng quyền lực để mưu cầu lợi ích riêng tư; hay sự đòi hỏi chi phí bỏ ra cho việc thực hiện các hoạt động kiểm soát phải luôn nhỏ hơn lợi ích mà nó mang lại… Các mục tiêu của kiểm soát nội bộ: mục tiêu của kiểm soát nội bộ là rất rộng, chúng bao trùm toàn bộ mọi hoạt động và có ý nghĩa quan trọng đối với tổ chức. Nhưng nhìn chung, có thể phân thành ba mục tiêu sau: ü Mục tiêu về báo cáo tài chính: kiểm soát nội bộ phải bảo đảm về tính trung thực và độ tin cậy, bởi lẽ nhà quản lý là người đại diện pháp luật cho tổ chức và phải có trách nhiệm lập báo cáo tài chính phù hợp với chuẩn mực và chế độ kế toán hiện hành. ü Mục tiêu về tính tuân thủ: kiểm soát nội bộ phải bảo đảm hợp lý việc chấp hành luật pháp và các quy định. Ngoài ra, kiểm soát nội bộ còn hướng mọi thành viên trong tổ chức đến việc tuân thủ các chính sách và quy định của tổ chức nhằm đạt được các mục tiêu của tổ chức. ü Mục tiêu về sự hữu hiệu và hiệu quả của các hoạt động: kiểm soát nội bộ giúp bảo vệ và sử dụng