1

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC KINH TẾ TP. HỒ CHÍ MINH ĐỒNG QUANG CHUNG
ĐỀ XUẤT MỘT SỐ GIẢI PHÁP XÂY DỰNG CÁC
HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG
TIN HỌC CHO CÁC DOANH NGHIỆP VIỆT NAM
Chuyên ngành: Kế toán - Kiểm toán
Mã số : 60.34.30

LUẬN VĂN THẠC SĨ KINH TẾ

NGƯỜI HƯỚNG DẪN KHOA HỌC
PGS.TS NGUYỄN VIỆT
TP. HỒ CHÍ MINH – NĂM 2009
2

LỜI CAM ĐOAN


1.2.3 Mạng máy tính 20
1.2.3.1 Ứng dụng của mạng máy tính 20
1.2.3.2 Mạng nội bộ và mạng diện rộng 22
1.2.3.3 Mạng có dây và mạng không dây 23
1.3 CÁC HOẠT ĐỘNG KIỂM SOÁT TRONG MÔI TRƯỜNG TIN
HỌC 23
1.3.1 Hoạt động kiểm soát chung 24
1.3.2 Hoạt động kiểm soát ứng dụng 25
1.3.3 Hoạt động kiểm soát dữ liệu 28
1.4 ẢNH HƯỞNG CỦA HỆ THỐNG MÁY TÍNH ĐẾN VIỆC THIẾT
KẾ CÁC HOẠT ĐỘNG KIỂM SOÁT 30
1.4.1 Đặc điểm của hoạt động kiểm soát trong
môi trường tin học 31
1.4.1.1 Chịu ảnh hưởng bởi phương pháp xử lý dữ liệu của
hệ thống máy tính 31
1.4.1.2 Chịu ảnh hưởng và phụ thuộc về mặt công nghệ
lưu trữ dữ liệu 32
1.4.1.3 Chịu sự chi phối của phần cứng máy tính 34
1.4.1.4 Chịu ảnh hưởng của hạ tầng mạng 34
1.4.1.5 Chịu sự phụ thuộc vào hệ thống điện 36
1.4.1.6 Chịu sự chi phối và phụ thuộc nhiều vào cơ chế kiểm soát
của phần mềm ứng dụng 37

4

1.4.2 Nhận diện các rủi ro tiềm ẩn đối với các hoạt động kiểm soát
trong môi trường tin học 38
1.4.2.1 Những rủi ro xuất phát từ thiết bị phần cứng 39
1.4.2.2 Những rủi ro xuất phát từ sự vận hành của hệ thống mạng 40
1.4.2.3 Những rủi ro xuất phát từ sự thiết kế của

3.1.3 Kiểm soát vận hành máy tính 68
3.2 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT ỨNG DỤNG 74
3.2.1 Những quy định ràng buộc về trách nhiệm của các
đối tượng liên quan 75
3.2.2 Những giải pháp về các thủ tục kiểm soát
dữ liệu đầu vào 77
3.2.3 Những giải pháp về các thủ tục kiểm soát
quy trình xử lý dữ liệu 80
3.2.4 Những giải pháp về các thủ tục kiểm soát
thông tin đầu ra 84
3.2.5 Những giải pháp khác về các thủ tục kiểm soát trên
phần mềm ứng dụng 86
3.3 GIẢI PHÁP VỀ HOẠT ĐỘNG KIỂM SOÁT DỮ LIỆU 88
3.3.1 Tổ chức máy chủ 88
6

3.3.2 Tổ chức sao lưu dữ liệu 88
3.3.3 Kiểm soát dữ liệu đối với các đối tượng
bên ngoài doanh nghiệp 90
3.4 ỨNG DỤNG CÁC THỦ TỤC KIỂM SOÁT TRÊN PHẦN MỀM
VÀO HOẠT ĐỘNG KIỂM SOÁT MỘT SỐ CHU TRÌNH SẢN
XUẤT KINH DOANH TẠI DOANH NGHIỆP 90
3.4.1 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát
chu trình mua hàng 90
3.4.1.1 Mô tả chu trình mua hàng 90
3.4.1.2 Ứng dụng phần mềm vào hoạt động kiểm soát
chu trình mua hàng 94
3.4.2 Thủ tục kiểm soát ứng dụng với hoạt động kiểm soát
chu trình bán hàng 98
3.4.2.1 Mô tả chu trình bán hàng 98

8

DANH MỤC CHỮ VIẾT TẮT
CNTT : Công nghệ thông tin
IT : Information Technology - Kỹ thuật thông tin
CPU : Central Processing Unit - Đơn vị xử lý trung tâm
RAM : Random Access Memory - Bộ nhớ truy xuất ngẫu nhiên
HDD : Hard Disk Drive - Ổ đĩa cứng (bộ nhớ lưu trữ)
CSDL : Cơ sở dữ liệu
SQL : Structured Query Language - Ngôn ngữ truy vấn cấu trúc
ERP : Enterprise Resources Planning - Hoạch định các nguồn lực doanh
nghiệp
COSO: Committee of Sponsoring Organization – Uỷ ban thuộc Hội đồng quốc
gia Hoa Kỳ về chống gian lận báo cáo tài chính



10

DANH MỤC BẢNG BIỂU

Bảng 2.1 – Nhìn nhận về kiểm soát nội bộ trong môi trường tin học 49
Bảng 2.2 – Kiểm soát vật chất 53
Bảng 2.3 – Kiểm soát vận hành máy tính 55
Bảng 2.4 – Kiểm soát dữ liệu đầu vào trên phần mềm ứng dụng 57
Bảng 2.5 – Kiểm soát xử lý số liệu trên phần mềm ứng dụng 59
Bảng 2.6 – Kiểm soát thông tin đầu ra trên phần mềm ứng dụng 60
Bảng 2.7 – Kiểm soát dữ liệu 62

Ngoài những lợi ích do CNTT mang lại thì song song đó vẫn còn rất
nhiều hạn chế hay nói khác đi đó chính là những rủi ro tiềm ẩn bên trong luôn
rình rập và sẵn sàng đe doạ đến tài sản thông tin của bất kỳ tổ chức hay doanh
nghiệp nào. Do đó, việc tìm hiểu những đặc điểm của hệ thống kiểm soát
cũng như các biện pháp ngăn ngừa, nhận diện và khắc phục những tác động
xấu từ những rủi ro trong môi trường ứng dụng CNTT sẽ giúp cho chúng ta
12

có cái nhìn toàn diện hơn để có thể thiết lập được hệ thống kiểm soát nội bộ
hữu hiệu nhằm bảo vệ tài sản thông tin của tổ chức.
Và cũng không nằm ngoài những suy nghĩ trên, tác giả đã rất trăn trở và
đi đến quyết định chọn đề tài cũng tương đối mới mẻ là “Đề xuất một số giải
pháp xây dựng các hoạt động kiểm soát trong môi trường tin học cho các
doanh nghiệp Việt Nam” để nghiên cứu với hy vọng mang lại cho các tổ
chức, các doanh nghiệp nói chung và đặc biệt là những người đang hoạt động
trong lĩnh vực kế toán, kiểm toán nói riêng một cái nhìn toàn diện hơn, đúng
đắn hơn và cụ thể hơn về vấn đề này hiện nay.
Mục tiêu nghiên cứu của đề tài:
Dựa trên cơ sở nghiên cứu các tài liệu nước ngoài; thông qua việc thực
hiện quan sát, điều tra và khảo sát thực tế tại các doanh nghiệp ở Việt Nam về
kiểm soát nội bộ trong điều kiện ứng dụng CNTT; mục tiêu nghiên cứu của đề
tài đưa ra một cái nhìn trực quan và cụ thể về kiểm soát trong môi trường tin
học để hướng các đối tượng liên quan như doanh nghiệp, người hành nghề kế
toán, kiểm toán đến việc tổ chức hệ thống thông tin và xây dựng các hoạt
động kiểm soát thật sự hữu hiệu trong điều kiện ứng dụng CNTT vào công
việc hàng ngày của mình.
Đối tượng và phạm vi nghiên cứu:
Đối tượng nghiên cứu của đề tài là các hoạt động kiểm soát thuộc hệ
thống kiểm soát nội bộ được tổ chức trong môi trường tin học tại các doanh
nghiệp Việt Nam. Cụ thể là; thông qua việc quan sát các hoạt động kiểm soát


14

CHƯƠNG 1
CÁC VẤN ĐỀ LIÊN QUAN ĐẾN HOẠT ĐỘNG KIỂM SOÁT TRONG
MÔI TRƯỜNG TIN HỌC

1.1 TÌM HIỂU VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ
1.1.1 Định nghĩa về kiểm soát nội bộ
Theo định nghĩa được đưa ra bởi COSO năm 1992 thì:
“Kiểm soát nội bộ là một quá trình do nhà quản lý, hội đồng quản trị và
toàn bộ nhân viên của tổ chức chi phối, nó được thiết lập để cung cấp một sự
bảo đảm hợp lý nhằm thực hiện ba mục tiêu:
ü Báo cáo tài chính đáng tin cậy
ü Các luật lệ và quy định được tuân thủ
ü Hoạt động hữu hiệu và hiệu quả”
Như vậy có bốn nội dung cơ bản được đề cập trong định nghĩa ở trên bao
gồm: quá trình, con người, đảm bảo hợp lý và mục tiêu.
Kiểm soát nội bộ là một quá trình: kiểm soát nội bộ là một chuỗi hoạt
động kiểm soát hiện diện ở tất cả mọi bộ phận trong tổ chức và chúng kết hợp
với nhau thành một thể thống nhất. Quá trình kiểm soát được xem là phương
tiện giúp cho tổ chức đạt được mục tiêu của mình.
Kiểm soát nội bộ được thiết kế và vận hành bởi con người: chính con
người sẽ đặt ra mục tiêu; thiết lập cơ chế kiểm soát ở khắp mọi nơi trong tổ
chức và vận hành chúng để đạt được mục tiêu đề ra. Do đó, kiểm soát nội bộ
không chỉ đơn thuần là những chính sách, thủ tục, biểu mẫu… mà còn bao
15

gồm cả những con người trong tổ chức như hội đồng quản trị, ban giám đốc
và nhân viên.

§ Môi trường kiểm soát
§ Đánh giá rủi ro
§ Hoạt động kiểm soát
§ Thông tin và truyền thông
§ Giám sát
1.1.2.1 Môi trường kiềm soát
Môi trường kiềm soát được xem là nền tảng đối với các bộ phận khác của
hệ thống kiểm soát nội bộ. Nó phản ánh sắc thái chung của một tổ chức và chi
phối ý thức kiểm soát của các thành viên trong tổ chức. Các nhân tố thuộc
môi trường kiểm soát bao gồm:
Tính chính trực và các giá trị đạo đức
Tính chính trực và các giá trị đạo đức được thể hiện qua tính cách, bản
chất và cách cư xử của các thành viên khi tham gia vào các hoạt động của tổ
chức. Sự hữu hiệu của hệ thống kiểm soát nội bộ trước hết phụ thuộc vào tính
chính trực và việc tôn trọng các giá trị đạo đức của những cá nhân liên quan
đến quá trình kiểm soát. Do vậy, nhu cầu này đòi hỏi ở nhà quản lý cấp cao
phải xây dựng được những chuẩn mực đạo đức và cư xử đúng đắn để có thể
ngăn cản những người có hành vi thiếu đạo đức hoặc phạm pháp trong tổ
chức. Muốn đạt được yêu cầu này, trước hết đòi hỏi nhà quản lý phải làm
17

gương cho cấp dưới về việc tuân thủ các chuẩn mực, đồng thời cần phổ biến
những quy định đến mọi thành viên trong tổ chức bằng những cách thích hợp.
Hơn nữa, để nâng cao tính chính trực và sự tôn trọng các giá trị đạo đức, tổ
chức cũng cần loại trừ hoặc giảm thiểu các sức ép tác động đến nhân viên để
tránh thực hiện các hành vi thiếu trung thực có thể xuất phát từ họ.
Năng lực của nhân viên
Nhà quản lý cần tuyển dụng các nhân viên có năng lực chuyên môn, kỹ
năng và kinh nghiệm phù hợp để thực hiện công việc được giao đạt sự hữu
hiệu và hiệu quả. Bên cạnh đó, cần tăng cường giám sát và tổ chức huấn luyện

giám sát các hoạt động. Ngược lại, một cơ cấu tổ chức không phù hợp có thể
làm cho các thủ tục kiểm soát mất tác dụng.
Phân định quyền hạn và trách nhiệm
Phân định quyền hạn và trách nhiệm được xem là phần mở rộng của cơ
cấu tổ chức. Qua đó cụ thể hoá quyền hạn và trách nhiệm của từng thành viên
trong tổ chức, giúp họ hiểu được nhiệm vụ của mình và từng hoạt động của
họ sẽ có ảnh hưởng như thế nào đến người khác trong việc hoàn thành mục
tiêu. Do đó, tổ chức cần có mô tả công việc rõ ràng cụ thể mà trong đó có đề
cập đến quyền hạn và trách nhiệm của từng thành viên cùng với mối quan hệ
giữa họ với nhau.
Chính sách nhân sự
Là các chính sách được lập bởi nhà quản lý liên quan đến việc tuyển
dụng, huấn luyện, đánh giá, bổ nhiệm, sa thải, đề bạt, khen thưởng và kỷ luật.
Chính sách nhân sự có ảnh hưởng đáng kể đến sự hữu hiệu của môi trường
19

kiểm soát thông qua việc tác động đến các nhân tố khác trong môi trường
kiểm soát như đảm bảo về năng lực, tính chính trực và các giá trị đạo đức…
1.1.2.2 Đánh giá rủi ro
Rủi ro luôn tồn tại trong mọi hoạt động của tổ chức. Chúng có thể bắt
nguồn từ bên trong hay bên ngoài doanh nghiệp và sẵn sàng đe doạ đến tất cả
các mục tiêu chung cũng như các mục tiêu cụ thể của tổ chức. Tuy nhiên,
người ta chỉ có thể hạn chế bớt các rủi ro này chứ không thể làm cho chúng
không bao giờ xuất hiện nữa. Vì thế, để hạn chế các rủi ro nhà quản lý phải
dựa trên các mục tiêu đã được xác định để nhận dạng và phân tích các rủi ro
để từ đó có thể quản trị được chúng.
Xác định mục tiêu của tổ chức
Xác định mục tiêu được xem là điều kiện tiên quyết để đánh giá rủi ro.
Bởi lẽ một sự kiện có thể trở thành rủi ro hay không sẽ phụ thuộc vào mức độ
tác động tiêu cực của nó đến mục tiêu của tổ chức. Xác định mục tiêu bao

chức được giải quyết mọi mặt của nghiệp vụ từ khi nó hình thành cho đến khi
kết thúc. Điều này có nghĩa là, không cho kiêm nhiệm đồng thời các chức
năng phê chuẩn, thực hiện, ghi chép nghiệp vụ và bảo quản tài sản.
Việc phân chia trách nhiệm nhằm mục đích để các thành viên có thể tự
kiểm soát lẫn nhau; dễ phát hiện ra các sai sót và khiếm khuyết nếu nó xảy ra;
đồng thời hạn chế cơ hội đối với các thành viên có thể che dấu các sai phạm
do mình gây ra.
21

Kiểm soát quá trình xử lý thông tin và các nghiệp vụ
Để đảm bảo cho thông tin đáng tin cậy cần phải thực hiện nhiều hoạt động
kiểm soát nhằm kiểm tra tính xác thực, đầy đủ và việc phê chuẩn các nghiệp
vụ.
Khi kiểm soát quá trình xử lý thông tin, cần phải bảo đảm:
ü Kiểm soát chặt chẽ hệ thống chứng từ, sổ sách
ü Phê chuẩn đúng đắn các loại nghiệp vụ hoặc hoạt động: việc phê
chuẩn này phải tập trung vào một nhà quản lý trong phạm vi quyền
hạn cho phép của mình. Sự phê chuẩn được chia làm phê chuẩn
chung (nhà quản lý ban hành các chính sách áp dụng cho toàn bộ
tổ chức) và phê chuẩn cụ thể (nhà quản lý xét duyệt từng nghiệp vụ
riêng biệt chứ không thể đưa ra chính sách chung)
Kiểm soát vật chất
Hoạt động này nhằm mục đích hạn chế việc tiếp cận các thông tin, các tài
liệu, chứng từ, sổ sách và tài sản không được phép để ngăn ngừa các rủi ro có
thể xảy ra như trộm cắp, phá hoại hay sử dụng sai mục đích…
Kiểm tra độc lập việc thực hiện
Là việc kiểm tra được thực hiện bởi các cá nhân (hoặc bộ phận) khác với
cá nhân (hoặc bộ phận) đang thực hiện nghiệp vụ. Nhu cầu phải kiểm tra độc
lập xuất phát từ hệ thống kiểm soát nội bộ thường có khuynh hướng bị giảm
sút tính hữu hiệu trừ khi có một cơ chế thường xuyên kiểm tra soát xét lại.

tượng bên ngoài như khách hàng, nhà cung cấp, ngân hàng… phải được ghi
23

nhận trung thực, đầy đủ; nhờ đó giúp tổ chức có thể phản ứng kịp thời. Bên
cạnh đó, các thông tin cung cấp cho các đối tượng bên ngoài như Nhà nước,
cổ đông, nhà đầu tư… cũng cần phải truyền đạt kịp thời, đảm bảo về độ tin
cậy và tuân thủ các quy định của tổ chức cũng như của pháp luật.
1.1.2.5 Giám sát
Thông qua giám sát, nhà quản lý có thể đánh giá được chất lượng của hệ
thống kiểm soát nội bộ. Từ đó có thể xác định kiểm soát nội bộ có vận hành
theo đúng thiết kế hay không và có cần phải sửa đổi lại cho phù hợp với thực
tế tại tổ chức hay không. Để đạt được kết quả mong đợi, nhà quản lý cần phải
tăng cường các hoạt động giám sát của mình bao gồm cả giám sát thường
xuyên và giám sát định kỳ.
§ Giám sát thường xuyên: được thực hiện thông qua các cuộc tiếp xúc
với khách hàng, nhà cung cấp… để nghe ý kiến đóng góp của họ; ghi nhận
thông tin phản hồi từ các thành viên trong tổ chức thông qua các buổi hội
thảo, cuộc họp hay buổi huấn luyện… hoặc xem xét các báo cáo hoạt động để
phát hiện ra những bất thường.
§ Giám sát định kỳ: được thực hiện thông qua các cuộc kiểm toán định
kỳ do kiểm toán nội bộ hoặc kiểm toán độc lập thực hiện.
24

1.2 GIỚI THIỆU CHUNG VỀ HỆ THỐNG MÁY TÍNH

1.2.1 Phần cứng và các thiết bị ngoại vi
Một hệ thống máy tính bao gồm các các thiết bị, linh kiện rời cấu thành
mà dựa trên đó các phần mềm hệ thống, tiện ích và các ứng dụng được cài đặt
để vận hành nhằm thực hiện một hoặc nhiều nhiệm vụ nào đó. Có thể nói,
máy tính là một hệ thống xử lý thông tin đa năng. Nó nhận lệnh từ con người
thông qua các thiết bị ghi nhận đầu vào như chuột, bàn phím, máy quét… để
rồi xử lý các lệnh đó. Sau khi được xử lý, thông tin được hiển thị cho người
sử dụng xem thông qua các thiết bị đầu ra như màn hình, máy in, máy
chiếu… và cuối cùng thông tin được lưu trữ trên các thiết bị như đĩa cứng, đĩa
mềm, USB, CD…
Bộ phận được xem là chính yếu và quan trọng nhất thuộc về phần cứng
máy tính là bộ vi xử lý trung tâm CPU (Central Processing Unit). Bộ phận
này đảm nhận nhiệm vụ tính toán và xử lý dữ liệu. Tất cả các dạng dữ liệu
(chữ, số, hình ảnh, âm thanh…) đều được mã hoá dưới dạng một tập hợp số
nhị phân. Mỗi số nhị phân đại diện cho một tín hiệu điện tử tắt (0) hoặc mở
(1). Sau đây, chúng ta tìm hiểu thêm một vài bộ phận quan trọng khác của
máy tính ngoài CPU:
§ Bo mạch chủ (Mainboard): bo mạch chính, lớn nhất đóng vai trò là
trung gian giao tiếp giữa các thiết bị với nhau. Có rất nhiều các thiết bị
gắn trên bo mạch chủ theo cách trực tiếp có mặt trên nó hay thông qua
các kết nối cắm vào hoặc dây dẫn liên kết. Bộ phận CPU quan trọng kể
trên cũng được gắn vào bo mạch chủ này.
§ Bộ nhớ chính hay còn gọi là bộ nhớ truy xuất ngẫu nhiên (Random
Access Memory – RAM): máy tính dùng RAM để lưu trữ mã chương
trình và dữ liệu trong suốt quá trình thực thi (trong 1 phiên làm việc).