Chương 3
Rủi ro và Kiểm soát trong AIS
Phần 2: Kiểm soát trong môi
trường máy tính
1
Mục tiêu
•
Trong phần này chúng ta sẽ tìm hiểu:
–
Các đặc điểm riêng biệt của môi trường xử lý
thông tin bằng máy tính
–
Các rủi ro có thể xảy ra
–
Các thủ tục kiểm soát chung
–
Các thủ tục kiểm soát ứng dụng
2
Đặc điểm của môi trường máy tính
Cấu trúc tổ chức:
•
Kiêm nhiệm nhiều chức năng
•
Đòi hỏi trình độ nhân viên cao => gian
lận bằng cách sửa chữa chương trình
xử lý kế toán
3
Đặc điểm của môi trường máy tính (tt)
Đặc điểm xử lý dữ liệu, thông tin:
•
Chứng từ sử dụng: có trường hợp nhập dữ liệu mà không có

Chương trình và DL có thể tập trung
5
RỦI RO TRONG MÔI TRƯỜNG XỬ LÝ BẰNG
MÁY TÍNH
•
Rủi ro xử lý thông tin:
–
Ghi nhận dữ liệu sai, không đầy đủ, không hợp lệ
–
Xử lý sai ( dữ liệu bị sai như việc phân loại sai, tính tóan sai
do chương trình xử lý không chính xác)
–
Cung cấp thông tin không đầy đủ, tin cậy, chính xác, báo
cáo có thể được chuyển giao không đúng người nhận
•
Rủi ro hệ thống: Liên quan đến việc xây dựng, bảo dưỡng, sử
dụng các rũi ro bao gồm:
–
Liên quan đến quá trình phát triển hệ thống
–
Rủi ro liên quan tới thiết bị
–
Rủi ro liên quan đến nhân sự,
–
Rủi ro liên quan đến dữ liệu lưu trữ
•
Dữ liệu bị phá hủy do cố tình phá hoại
•
Dữ liệu dễ bị thâm nhập, phá hoại để sửa CT,phá hũy
•

8
CÁC THỦ TỤC KS TRONG MÔI TRƯỜNG MT
Rủi ro xử lý
thông tin
Rủi ro nguồn lực
hệ thống
•
Tính hợp lệ
•
Chính xác
•
Đầy đủ
•
Phát triển HT
•
Sử dụng HT
•
Bảo quản HT
Kiểm soát
ứng dụng
Kiểm soát
chung
CÁC THỦ TỤC KIỂM SOÁT
•
Kiểm soát chung:
–
Bao gồm các thủ tục, chính sách kiểm soát áp
dụng chung cho toàn bộ môi trường xử lý
thông tin
•


Tách biệt chức năng xử lý thông tin với các bộ
phận chức năng khác

Tách biệt các bộ phận bên trong của hệ thống
xử lý thông tin:

Phát triển, vận hành hệ thống và bảo dưỡng hệ
thống

Tách biệt giữa các chức năng bên trong từng bộ
phận hệ thống
12
KIỂM SOÁT CHUNG
1. Tổ chức bộ máy xử lý thông tin
13
Quản lý HT
Phát triển
Hệ thống
BP kỹ thuật
BP vận
hành/xử lý
Phân
tích HT
Thiết kế
HT
Lập
trình HT
KS dữ
liệu

Tài liệu quản trị: Bao gồm các tài liệu liên quan đến
quá trình phát triển hệ thống, quy định quyền sử
dụng…
–
Tài liệu ứng dụng: Hướng dẫn sử dụng chương trình
(nhập liệu, xử lý, báo cáo, tìm kiếm, sửa chữa…)
–
Tài liệu hệ thống: Các yêu cầu về hệ thống, hệ thống
mã chương trình, tập tin lưu trữ, các hướng dẫn phục
hồi dữ liệu khi sự cố xảy ra
15
KIỂM SOÁT CHUNG
4. Kiểm soát truy cập từ
bên ngoài
.
Hạn chế đối tượng
không liên quan tiếp cận
trực tiếp với hệ thống xử
lý
.
Phân loại đối tượng sử
dụng hệ thống
16
Hệ
thống
xử lý
Khóa địa điểm
Bảo vệ ngoài
KIỂM SOÁT CHUNG
5. Kiểm soát truy cập lôgic: Hạn chế quyền

19
Minh họa ma trận truy cập
Menu KT trưởng KT phải thu KT tồn kho …
Chu trình doanh thu
X: Xem; T: Thêm; S: Chỉnh sửa
Khai báo
+ Khách hàng
X, T, S X X
+ Hàng hóa
X, T, S X X
Nhập liệu
+ Xuất kho
X X T
+ Lập hóa đơn
X T X
+ Thu tiền
X X X
Cập nhật/báo cáo
+ BC phân tích BH
X, S X X
+ Bảng kê KH
X,S X X
+ Báo cáo nợ pthu
X,S X X
KIỂM SOÁT CHUNG
6. Đảm bảo hoạt động liên tục
–
Kiểm soát thiết bị lưu trữ (Đĩa cứng, đĩa mềm,
đĩa CD…. ): Đảm bảo an toàn thiết bị lưu trữ,
Dán nhẵn, đặt tên, sắp xếp theo trình thự thời


Tất cả các dữ liệu hợp lệ được xử lý chính xác

Báo cáo, kết xuất phải đầy đủ, chính xác, hợp lệ
22
Kiểm soát nguồn dữ liệu
•
Kiểm tra tính trình tự số chứng từ: Hạn chế
việc ghi trùng hay bỏ sót nghiệp vụ
•
Sử dụng chứng từ luân chuyển trong hệ
thống: chứng từ được nhập 1 lần và luân
chuyển trong hệ thống máy tính
•
Xét duyệt nghiệp vụ: Dữ liệu phải được xét
duyệt trước khi nhập vào hệ thống
•
Đánh dấu chứng từ đã sử dụng
•
Quét chứng từ để kiểm tra tính hợp pháp của
chứng từ (vd dùng cho hóa đơn)
23
Kiểm soát nhập liệu, xử lý
•
Kiểm soát dự phòng
–
Giảm khoảng cách (thời gian, không gian) giữa việc
phát sinh nghiệp vụ và việc ghi chép nghiệp vụ
–
Hạn chế việc nhập liệu trực tiếp từ người SD

X X
Trình tự nhập liệu
X
25
25