Đang tải... (xem toàn văn)
Chương 3 Rủi ro và Kiểm soát trong AIS Phần 2: Kiểm soát trong môi trường máy tínhChương 3 Rủi ro và Kiểm soát trong AIS Phần 2: Kiểm soát trong môi trường máy tínhChương 3 Rủi ro và Kiểm soát trong AIS Phần 2: Kiểm soát trong môi trường máy tínhChương 3 Rủi ro và Kiểm soát trong AIS Phần 2: Kiểm soát trong môi trường máy tínhChương 3 Rủi ro và Kiểm soát trong AIS Phần 2: Kiểm soát trong môi trường máy tínhChương 3 Rủi ro và Kiểm soát trong AIS Phần 2: Kiểm soát trong môi trường máy tínhChương 3 Rủi ro và Kiểm soát trong AIS Phần 2: Kiểm soát trong môi trường máy tính
Chương 3 Rủi ro và Kiểm soát trong AIS Phần 2: Kiểm soát trong môi trường máy tính 1 Mục tiêu • Trong phần này chúng ta sẽ tìm hiểu: – Các đặc điểm riêng biệt của môi trường xử lý thông tin bằng máy tính – Các rủi ro có thể xảy ra – Các thủ tục kiểm soát chung – Các thủ tục kiểm soát ứng dụng 2 Đặc điểm của môi trường máy tính Cấu trúc tổ chức: • Kiêm nhiệm nhiều chức năng • Đòi hỏi trình độ nhân viên cao => gian lận bằng cách sửa chữa chương trình xử lý kế toán 3 Đặc điểm của môi trường máy tính (tt) Đặc điểm xử lý dữ liệu, thông tin: • Chứng từ sử dụng: có trường hợp nhập dữ liệu mà không có chứng từ, vd: tự động tính khấu hao, đặt hàng trực tuyến • Khó lưu lại dấu vết, các dấu vết nghiệp vụ không quan sát được bằng mắt • Xét duyệt và thực hiện nghiệp vụ: một số nghiệp vụ thực hiện tự động • Cập nhật 1 lần, ảnh hưởng tới nhiều tập tin • Các thủ tục kiểm soát có thể được lập trình • Khối lượng DL ghi nhận nhiều, sử dụng nhiều lần • Thông tin cung cấp nhiều, đa dạng • Phụ thuộc vào khả năng hoạt động của phần mềm, phần cứng 4 Đặc điểm của môi trường máy tính Khả năng truy cập, phá hủy hệ thống và DL • Khả năng truy cập, phá hủy hệ thống và DL rất cao => xây dựng chính sách đảm bảo an toàn cho hệ thống • Thiết bị lưu trữ DL, hệ thống xử lý dễ hư hỏng, phá hoại => phải có chính sách sao lưu và bảo trì • Chương trình và DL có thể tập trung 5 RỦI RO TRONG MÔI TRƯỜNG XỬ LÝ BẰNG MÁY TÍNH • Rủi ro xử lý thông tin: – Ghi nhận dữ liệu sai, không đầy đủ, không hợp lệ – Xử lý sai ( dữ liệu bị sai như việc phân loại sai, tính tóan sai do chương trình xử lý không chính xác) – Cung cấp thông tin không đầy đủ, tin cậy, chính xác, báo cáo có thể được chuyển giao không đúng người nhận • Rủi ro hệ thống: Liên quan đến việc xây dựng, bảo dưỡng, sử dụng các rũi ro bao gồm: – Liên quan đến quá trình phát triển hệ thống – Rủi ro liên quan tới thiết bị – Rủi ro liên quan đến nhân sự, – Rủi ro liên quan đến dữ liệu lưu trữ • Dữ liệu bị phá hủy do cố tình phá hoại • Dữ liệu dễ bị thâm nhập, phá hoại để sửa CT,phá hũy • Dữ liệu dễ bị mất do máy hư, phá hoại, ăn cắp tbị lưu trữ 6 7 Dữ liệu Xử lý Lưu trữ Kết xuất Rủi ro nhập liệu - Dữ liệu không đầy đủ - Dữ liệu nhập ko kịp thời - Dữ liệu bị mất - Trùng lắp dữ liệu - Không hợp lệ - Không chính xác - Dữ liệu gian lận Rủi ro xử lý - Sai tập tin - Không đúng thời điểm - Không đầy đủ - Cấu trúc xử lý sai - Chỉnh sửa chương trình xử lý Rủi ro kết xuất - Mất mát - Không kịp thời - Không đầy đủ - Sai đối tượng - Chỉnh sửa - Sử dụng sai Lưu trữ sai sót 8 8 CÁC THỦ TỤC KS TRONG MÔI TRƯỜNG MT Rủi ro xử lý thông tin Rủi ro nguồn lực hệ thống • Tính hợp lệ • Chính xác • Đầy đủ • Phát triển HT • Sử dụng HT • Bảo quản HT Kiểm soát ứng dụng Kiểm soát chung CÁC THỦ TỤC KIỂM SOÁT • Kiểm soát chung: – Bao gồm các thủ tục, chính sách kiểm soát áp dụng chung cho toàn bộ môi trường xử lý thông tin • Kiểm soát ứng dụng: – Bao gồm các thủ tục kiểm soát nhập liệu, xử lý và kết xuất áp dụng cho 1 chương trình ứng dụng xử lý thông tin cụ thể 9 10 Kiểm soát chung Quản lý hàng tồn kho Nợ phải thu Nợ phải trả Bán hàng Tiền Tổng hợp Báo cáo TSCĐ [...]...KIỂM SOÁT CHUNG 1 Tổ chức bộ máy trong môi trường máy tính 2 Kiểm soát quá trình phát triển HTTT 3 Chuẩn hóa các tài liệu liên quan 4 Kiểm soát truy cập từ bên ngoài 5 Kiểm soát truy cập lôgic 6 Đảm bảo hoạt động liên tục 7 Kế hoạch khắc phục hậu quả nếu xảy ra… KIỂM SOÁT CHUNG 1 Tổ chức bộ máy trong môi trường máy tính Tách biệt chức năng xử lý thông tin... đầy đủ, chính xác, hợp lệ Kiểm soát nguồn dữ liệu • Kiểm tra tính trình tự số chứng từ: Hạn chế việc ghi trùng hay bỏ sót nghiệp vụ • Sử dụng chứng từ luân chuyển trong hệ thống: chứng từ được nhập 1 lần và luân chuyển trong hệ thống máy tính • Xét duyệt nghiệp vụ: Dữ liệu phải được xét duyệt trước khi nhập vào hệ thống • Đánh dấu chứng từ đã sử dụng • Quét chứng từ để kiểm tra tính hợp pháp của chứng... 25 Kiểm soát dự phòng Mục tiêu liên quan Thủ tục KS Dữ liệu mặc định Đầy đủ Hợp lệ Chính Xác X X X X X Giới hạn dữ liệu X X Chọn dữ liệu từ danh sách X X Dữ liệu tự động 26 Kiểm soát nhập liệu, xử lý • Kiểm soát phát hiện – Lập danh sách các nghiệp vụ sai sót – Thông báo các trường hợp bất thường – Dùng tổng kiểm soát, tổng hash – Kiểm tra tính phù hợp – Đối chiếu dữ liệu giữa 2 nguồn độc lập Kiểm soát. .. đầu Kiểm soát kết xuất, báo cáo • Kiểm tra thời điểm, thời kì kết xuất, sử dụng báo cáo, thông tin • Phân chia quyền được kết xuất và sử dụng báo cáo, thông tin • Quy định chế độ bảo mật thông tin • Kiểm tra nguồn gốc phát sinh: Từ các thông tin trên báo cáo có thể xem các chứng từ gốc liên quan (dấu vết kiểm toán-> audit trail) Yêu cầu • Đọc Chuẩn mực kiểm toán Việt Nam số 401: thực hiện kiểm toán trong. .. Tách biệt các bộ phận bên trong của hệ thống xử lý thông tin: Phát triển, vận hành hệ thống và bảo dưỡng hệ thống Tách biệt giữa các chức năng bên trong từng bộ phận hệ thống KIỂM SOÁT CHUNG 1 Tổ chức bộ máy xử lý thông tin Quản lý HT Tổ chức nhập liệu tập trung Xét duyệt Thực hiện Bảo vệ TS Phân tích HT Phát triển Hệ thống Thiết kế HT BP kỹ thuật Lập trình HT Mạng và truyền thông KS dữ liệu Quản... 2 nguồn độc lập Kiểm soát phát hiện Mục tiêu liên quan Thủ tục KS Thông báo các trường hợp bất thường Đầy đủ X Hợp lệ Chính Xác X Kiểm tra tính phù hợp dữ liệu Lập danh sách các nghiệp vụ sai sót X X X X X Dùng tổng kiểm soát, tổng hash X Đối chiếu kết quả xử lý giữa 2 nguồn độc lập X 28 Kiểm soát nhập liệu, xử lý • Kiểm soát sửa sai – Lập danh sách các nghiệp vụ sai sót – Quy định trình tự sửa sai... (vd dùng cho hóa đơn) Kiểm soát nhập liệu, xử lý • Kiểm soát dự phòng – Giảm khoảng cách (thời gian, không gian) giữa việc phát sinh nghiệp vụ và việc ghi chép nghiệp vụ – Hạn chế việc nhập liệu trực tiếp từ người SD – Kiểm tra các dữ liệu nhập: • Kiểu dữ liệu • Giới hạn • Ko trùng lắp • Tính đầy đủ – Sử dụng các dữ liệu mặc định, tự động – Chọn từ danh sách dữ liệu có sẵn Kiểm soát dự phòng Mục tiêu... liệu Quản trị CSDL BP vận hành/xử lý Nhập liệu KS chất lượng HT Quản lý dữ liệu KIỂM SOÁT CHUNG 2 Kiểm soát quá trình phát triển HTTT – Lập kế hoạch phát triển – Xác định các yêu cầu đặt ra – Phân chia trách nhiệm phát triển hệ thống – Sự tham gia của người sử dụng – Đánh giá, chọn lựa quá trình phát triển KIỂM SOÁT CHUNG 3 Chuẩn hóa các tài liệu liên quan – Tài liệu quản trị: Bao gồm các tài liệu liên... KH X,S X X + Báo cáo nợ pthu X,S X X Nhập liệu Cập nhật/báo cáo KIỂM SOÁT CHUNG 6 Đảm bảo hoạt động liên tục – Kiểm soát thiết bị lưu trữ (Đĩa cứng, đĩa mềm, đĩa CD… ): Đảm bảo an toàn thiết bị lưu trữ, Dán nhẵn, đặt tên, sắp xếp theo trình thự thời gian – Sao lưu dự phòng dữ liệu (Back-up) – Hạn chế mất mát dữ liệu khi mất điện KIỂM SOÁT CHUNG 7 Kế hoạch khắc phục hậu quả nếu xảy ra… – Các thứ tự... trình phát triển hệ thống, quy định quyền sử dụng… – Tài liệu ứng dụng: Hướng dẫn sử dụng chương trình (nhập liệu, xử lý, báo cáo, tìm kiếm, sửa chữa…) – Tài liệu hệ thống: Các yêu cầu về hệ thống, hệ thống mã chương trình, tập tin lưu trữ, các hướng dẫn phục hồi dữ liệu khi sự cố xảy ra KIỂM SOÁT CHUNG 4 Kiểm soát truy cập từ bên ngoài .Hạn chế đối tượng không liên quan tiếp cận trực tiếp với hệ thống