. Định nghĩa
Hoạt động kiểm soát là các biện pháp, quy trình, thủ tục được thực thi nghiêm túc trong toàn tổ chức nhằm đảm bảo chỉ thị của ban lãnh đạo trong giảm thiểu rủi ro và tạo điều kiện cho tổ chức đạt được mục tiêu đã đặt ra. Ví dụ: kiểm soát phòng ngừa và phát hiện sự mất mát, thiệt hại của tài sản; kiểm soát xem tổ chức có hoạt động theo đúng chuẩn mực mà tổ chức đã quy định, theo đúng các yêu cầu của pháp luật hiện hành
Hoạt động kiểm soát lý tưởng có ba đặc điểm: được thiết kế một cách cẩn thận, hoạt động có hiệu quả, và được cập nhật thường xuyên. Sự hiểu biết chắc chắn về quá trình kinh doanh cơ bản, và sự tham gia của các nhân viên trực tiếp tham gia vào quá trình kinh doanh, là rất quan trọng cho việc tạo ra các hoạt động kiểm soát tốt những rủi ro đang cần được giải quyết.
2. Phân loại
Có thể phân loại hoạt động kiểm soát theo những cách sau:
Hoạt động kiểm soát phòng ngừa và hoạt động kiểm soát dò tìm
• Hoạt động kiểm soát phòng ngừa (còn được gọi là các hoạt động kiểm soát trước) được thiết kế để tránh những sai sót trước khi giao dịch được xử lý. Ví dụ: danh sách ủy quyền (kiểm tra xem mã ủy quyền có đúng hay không), hạn chế truy cập bảo mật.
• Hoạt động kiểm soát dò tìm (còn được gọi là các hoạt động kiểm soát sau) được thiết kế để xác định các sai sót hoặc bất thường đã xảy ra và cho phép quản lý có hành động khắc phục kịp thời. Ví dụ: các bước xử lý đối chiếu và đánh giá báo cáo ngoại lệ.
Hoạt động kiểm soát thủ công, hoạt động kiểm soát tự động
• Hoạt động kiểm soát thủ công được thực hiện bởi các cá nhân mà không có sự trợ giúp của các thiết bị hỗ trợ kiểm soát.
• Hoạt động kiểm soát tự động được tích hợp vào các hệ thống ứng dụng. Kiểm soát tự động được coi là đáng tin cậy hơn, do khả năng ngăn chặn các lỗi được nhập vào hệ thống (ví dụ, người truy cập không cung cấp đúng mã xác nhận) và phát hiện / sửa lỗi trong hệ thống (ví dụ, phát hiện các báo cáo ngoại lệ) cao hơn.
Hoạt động kiểm soát dạng mềm và hoạt động kiểm soát dạng cứng
• Hoạt động kiểm soát dạng mềm đưa ra hệ thống những yêu cầu trong các giao dịch nhưng không có khả năng ngay lập tức tự chấm dứt một giao dịch vì không đáp ứng yêu cầu. Ví dụ: các quy chế, quy tắc, chính sách và thủ tục; chúng chỉ đơn thuần quy định những gì nên và không nên làm. Hoạt động kiểm soát dạng mềm sẽ không hiệu quả nếu không được ghép với các hoạt động kiểm soát dạng cứng.
• Hoạt động kiểm soát dạng cứng là hoạt động có khả năng chấm dứt một giao dịch không đáp ứng một yêu cầu. Ví dụ: các yêu cầu về mật khẩu và mã ủy quyền trong các giao dịch. Hoạt động kiểm soát dạng cứng có thể thuộc loại phòng ngừa, chẳng hạn như các yêu cầu về mật khẩu, hoặc thuộc loại dò tìm, chẳng hạn như hoạt động kiểm toán.
3. Các yếu tố trong hoạt động kiểm soát
3.1. Uỷ quyền hợp lý các hoạt động và giao dịch
Các nhà quản lý không có đủ thời gian và nguồn lực để giám sát hoạt động và quyết định của từng cá nhân. Vì vậy, các quy định được thiết lập, nhân viên được quyền hoạt động trong khuôn khổ của các quy định đó. Việc trao quyền hoạt động này được gọi là sự ủy quyền và là phần quan trọng trong quy trình kiểm soát của một tổ chức.
Những kiểm soát ủy quyền này được thiết kế để đảm bảo rằng chỉ những nhân viên thích hợp mới có thể tham gia giao dịch hoặc có thể truy cập đến tài sản, tổ chức, tài liệu, và hồ sơ. Ví dụ: mật khẩu bảo vệ các tập tin máy tính, uỷ quyền giới hạn về ký kết kiểm tra.
Uỷ quyền hợp lý các hoạt động và giao dịch làm giảm cơ hội để thực hiện và che giấu gian lận. Nhân viên không thể ăn cắp tài sản mà họ không thể truy cập vào, và họ không thể thay đổi tài liệu hoặc hồ sơ để che giấu gian lận mà không cần truy cập vào trung tâm dữ liệu
Thông thường có ít nhất 2 cấp độ ủy quyền:
• Ủy quyền chung
Quản lý ủy quyền cho nhân viên xử lý các giao dịch thường xuyên mà không cần đến sự chấp thuận đặc biệt.
• Ủy quyền đặc biệt
Có thể áp dụng hình thức ủy quyền đặc biệt đối với doanh số, chi phí vốn, hoặc tài sản mất giá trị trên một giới hạn tiền cụ thể.
Đối với những hoạt động giao dịch đem lại kết quả đáng kể, yêu cầu cần có đánh giá và phê duyệt của cấp quản lý.
Quản lý cần có văn bản chính sách cho cả hai loại ủy quyền và cho tất cả các loại giao dịch.
Những công cụ là bằng chứng xác thực việc được ủy quyền
Người dùng có thể được xác thực bằng cách kiểm tra:
– Một cái gì đó nhân viên biết, chẳng hạn như mật khẩu hoặc mã PIN.
– Một cái gì đó nhân viên có, chẳng hạn như thẻ thông minh hoặc phù hiệu ID.
– Một số đặc tính vật lý (nhận dạng sinh trắc học), như dấu vân tay hoặc giọng nói.
Mật khẩu thường là phương pháp thẩm định được sử dụng phổ biến nhất. Một mật khẩu có hiệu quả phải đáp ứng một số yêu cầu:
Về độ dài: Mật khẩu càng dài sẽ càng có hiệu quả bảo mật cao hơn, và một mật khẩu an toàn nên có ít nhất 8 ký tự.
Về kiểu ký tự: Nên gồm nhiều kiểu ký tự như bao gồm cả chữ thường và chữ viết hoa, số, các ký tự đặc biệt.
Tính ngẫu nhiên: Mật khẩu không nên là những từ được tìm thấy trong từ điển được kèm đằng trước hoặc đằng sau bởi các chữ số, ví dụ như 4dog hoặc dog4; không nên liên quan đến lợi ích cá nhân hay sở thích của nhân viên, vì trên Internet đã có sẵn những từ điển bẻ khóa mật khẩu theo những mục đích và chủ đề cụ thể, những từ điển này cng cấp những mật khẩu được sử dụng nhiều nhất liên quan đến từng chủ đề cụ thể
Yếu tố bí mất: Là yêu cầu quan trọng nhất đối với một mật khẩu an toàn.
Tuy nhiên, một mật khẩu đáp ứng đầy đủ các yêu cầu trên rất khó để nhớ, vì vậy mọi người thường nghĩ ra các mật khẩu dễ nhớ hơn, đồng nghĩa với việc tính an toàn của mật khẩu kém hơn.
Những bất cập của các công cụ xác thực ủy quyền cơ bản
Mật khẩu: Có thể bị mất, bị đoán, bị viết ra giấy hoặc lưu trong các loại tài liệu khác (dùng để học thuộc hoặc tìm lại khi quên)
Các phương pháp nhận dạng vật lý (như thẻ, phù hiệu): có thể bị đánh mất, bị đánh cắp, hoặc bị sao chép
Nhận dạng sinh trắc học: Chi phí thực hiện đắt và thường cồng kềnh, không chính xác 100%( đôi khi từ chối nhân viên phù hợp, và chấp nhận những người giả mạo). Không giống như nhận dạng qua thẻ hay mật khẩu, dầu hiệu nhận dạng sinh trắc học không thể thay thế hoặc làm mới, mặt khác nếu những dữ liệu nhận dạng này bị lấy cắp sẽ gây ảnh hưởng nghiêm trọng và lâu dài tới toàn bộ công ty và các cá nhân sử dụng hệ thống.
Mặc dù không phương pháp nào trong 3 phương pháp xác thực cơ bản là hoàn toàn hiệu quả, việc sử dụng kết hợp hai hoặc ba phương pháp (được gọi là phương pháp xác thực đa yếu tố) mang lại hiệu quả khá tốt.
3.2 Phân chia trách nhiệm
Phân chia trách nhiệm là một phần trong hoạt động kiểm soát. Khi nhà quản lý thiết kế và áp dụng hoạt động kiếm soát hiệu quả, họ phải luôn xem xét việc phân chia trách nhiệm. Hoạt động này tập trung vào việc thiết kế tổ chức công việc giữa nhân viên trong công ty để có thể nhân viên này luôn kiểm tra được nhân viên khác. Kiểm soát nội bộ tốt đòi hỏi không có bất cứ một nhân viên nào đảm nhiệm quá nhiều trách nhiệm đối với các quá trình và giao dich kinh doanh.
Phân chia trách nhiệm gồm 2 khía cạnh:
Phân chia trách nhiệm kế toán
Phân chia trách nhiệm trong chức năng hệ thống
a) Phân chia trách nhiệm kế toán:
Phân chia trách nhiệm kế toán đạt hiệu quả khi ba chức năng sau được tách biệt: nghiệp vụ xem xét (authorizing transaction), nghiệp vụ ghi nhận (recording transaction), và nghiệp vụ bảo trì tài sản (maintaining costody of assets).
Nghiệp vụ xem xét là việc ra quyết định chấp thuận cho nghiệp vụ xảy ra/ phê duyệt các giao dịch và quyết định.
Ví dụ: giám đốc kinh doanh quyết định hạn mức tín dụng cho một khách hàng.
Nghiệp vụ ghi nhận bao gồm chức năng chuẩn bị các chứng từ gốc, nhập vào sổ nhật ký và sổ cái, hoặc các tập tin khác, chuẩn bị tái điều giải và chuẩn bị các báo cáo về hoạt động.
Nghiệp vụ bảo quản tài sản như là xử lý tiền mặt lưu ký, trực tiếp thu chi tiền, bảo quản hàng tồn kho, kiểm tra séc của khách hàng chuyển đến qua bưu điện.
Nếu một nhân viên có thể kiêm nhiệm hai trong ba chức năng trên có thể xảy ra các vấn đề gây thiệt hại cho công ty.
Để giảm thiểu được các nguy cơ không thể phát hiện được, hệ thống kiểm soát nội bộ cần nên tách các trách nhiệm như sau:
Tách chức năng bảo quản tài sản với chức năng nhập, ghi.

VÍ DỤ: Một người giữ các hóa đơn tiền mặt và ghi những hóa đơn này có thể ăn cắp tiền mặt và làm sai lệch tài khoản để che giấu hành vi trộm cắp.
GIẢI PHÁP: Hàng rào hồng ngăn chặn nhân viên làm sai lệch hồ sơ để che giấu hành vi trộm cắp tài sản được giao phó cho họ.
Một vài ví dụ khác:
Những cá nhân chịu trách nhiệm ghi nhận biên lai thu của hàng hóa hoặc dịch vụ không nên đảm nhiệm hoạt động mua hoặc thanh toán.
Những cá nhân kiểm kê số lượng hàng hóa tồn kho không nên chịu trách nhiệm việc duy trì hồ sơ kiểm kê.
Những cá nhân nhận tiền mặt gửi vào cơ quan không nên tham gia vào việc ghi nhận tiền gửi ngân hàng trong hồ sơ kế toán.
Tách chức năng xem xét với chức năng bảo quản tài sản.

VÍ DỤ: Một người giữ chi phiếu cho các giao dịch chính anh ta xem xét và phê duyệt có thể tạo ra các giao dịch hư cấu, sau đó ăn cắp các khoản thanh toán.
GIẢI PHÁP: Hàng rào xanh ngăn chặn nhân viên tạo các giao dịch hư cấu hoặc không chính xác để che giấu hành vi trộm cắp.
Một vài ví dụ khác:
Những cá nhân nhận tiền mặt gửi vào cơ quan không nên than gia vào việc phê duyệt tài khoản tiền gửi ngân hàng trong hồ sơ kế toán.
Tách chức năng xem xét với chức năng ghi nhận

VÍ DỤ: Một người vừa có thể phê duyệt giao dịch vừa có thể giữ những bản ghi liên quan tới giao dịch có thể tạo và ghi lại những khoản thanh toán hư cấu, ví dụ, gửi tới địa chỉ nhà nhân viên hoặc địa chỉ công ty mà người đó tạo ra.
GIẢI PHÁP: Hàng rào tím ngăn cản nhân viên làm sai lệch hồ sơ nhằm che giấu những giao dịch sai hoặc không chính xác, được ủy quyền không hợp lệ.
Một vài ví dụ khác:
Những cá nhân chịu trách nhiệm nhập dữ liệu của các hóa đơn không nên đảm nhiệm việc phê duyệt những tài liệu này.
Quản lý nên xem xét và phê duyệt chi phí trả lương cho nhân viên và bảng chấm công trước khi nhập dữ liệu nhưng không nên tham gia chuẩn bị giao dịch trả lương cho nhân viên.
Tóm lại, phân chia trách nhiệm kế toán đạt hiệu quả khi ba chức năng nghiệp vụ xem xét (authorizing transaction), nghiệp vụ ghi nhận (recording transaction), và nghiệp vụ bảo trì tài sản (maintaining costody of assets) được tách biệt:

Trong một hệ thống, việc phân chia trách nhiệm cho mỗi cá nhân được thực hiện tốt thì một nhân viên sẽ khó có thể thực hiện hành vi biển thủ.Tuy nhiên, khi hai hoặc nhiều người thông đồng, việc phân chia nhiệm vụ như vậy trở nên vô hiệu và các hoạt động kiểm soát sẽ bị vi phạm. Các nhân viên có thể câu kết với các nhân viên khác, hoặc với khách hàng và bên bán hàng.
Các hình thức câu kết thường thấy của nhân viên và bên bán hàng:
– Viết hóa đơn ở giá bị đẩy cao (inflated prices)
– Làm việc không hiệu quả và nhận trọn tiền công
– Không làm việc nhưng vẫn nhận tiền công
– Nhân đôi lượng giao dịch
– Thực hiện không chính đáng nhiều công việc hơn hoặc mua nhiều hàng hóa hơn từ công ty cùng cấu kết
– Các hình thức cấu kết thường thấy của nhân viên và khách hàng:
– Vay vốn trái phép hoặc thanh toán bảo hiểm
– Biên nhận tài sản hoặc dịch vụ ở mức giá chiết khấu không hợp lý
– Miễn các khoản nợ
– Gia hạn trái phép các kỳ hạn
b) Phân chia trách nhiệm trong chức năng hệ thống:
Ở hệ thống thông tin tổng hợp mức độ cao, các kết quả làm việc của các cá nhân đơn lẻ sẽ được kết hợp.Do đó, bất cứ ai có quyền truy nhập không hạn chế vào máy tính, các chương trình và các dữ liệu thực trong máy tính, đều có cơ hội thực hiện và che giấu gian lận.Để ngăn ngừa mối đe dọa này, các tổ chức phải thực hiện sự phân chia trách nhiệm trong chức năng hệ thống thông tin một cách hiệu quả.
Quyền hạn và trách nhiệm phải được chia tách rõ ràng giữa các bộ phận sau:
Điều hành hệ thống:Chịu trách nhiệm đảm bảo các thành phần khác nhau của hệ thống thông tin hoạt động trôi chảy và hiệu quả.
Quản lý mạng lưới: Đảm bảo tất cả thiết hỗ được kết nối với mạng lưới nội bội và công khai của tổ chức; đảm bảo các mạng lưới này hoạt động chính xác và liên tục.
Quản lý bảo mật: Đảm bảo tất cả các bộ phận của hệ thống được an toàn và được bảo vệ khỏi các mối đe dọa bên trong và bên ngoài hệ thống
Quản lý sự thay đổi: Quản lý các thay đổi ở hệ thống thông tin của tổ chức nhằm bảo đảm những thay đổi này hoạt động trôi chảy và hiệu quả,ngăn chặn các sai số và gian lận.
Người dùng: Ghi lại các giao dịch, cho phép các dữ liệu được xử lý và sử dụng các kết quả của hệ thống.
Các nhà phân tích hệ thống: Giúp người dùng xác định nhu cầu thông tin của họ và thiết kế những hệ thống đáp ứng được những nhu cầu đó.
Lập trình: Sử dụng bản thiết kế từ các nhà phân tích hệ thống để tạo ra các chương trình máy tính cho hệ thống thông tin.
Quản lý hoạt động máy tính: Chạy phần mềm trên các máy tính của công ty.Đảm bảo dữ liệu được đưa vào chính xác, theo đúng quy trình và nhận được thông tin cần thiết.
Thư viện hệ thống thông tin: Duy trì việc giám sát toàn bộ cơ sở dữ liệu, các file và các chương trình trong 1 vùng lưu trữ riêng biệt.
Kiểm soát dữ liệu: Đảm bảo dữ liệu nguồn được chấp nhận.Giám sát chu trình công việc thông qua máy tính. Thống nhất đầu vào và đầu ra.Duy trì hồ sơ các lỗi đầu vào để đảm bảo việc sửa chữa và nhập lại dữ liệu. Phân phối thông tin đầu ra.
Việc những người khác nhau thực hiện các chức năng khác nhau là rất quan trọng. Cho phép một người làm 2 công việc hoặc nhiều hơn sẽ đặt công ty vào nguy cơ xảy ra gian lận.
Bên cạnh việc phân chia trách nhiệm thích hợp, các cơ quan cần đảm bảo rằng những người thiết kế, phát triển, thực hiện và vận hành hệ thống thông tincó đủ khả năng và được đào tạo tốt.
Điều này cũng tương tự với nhân viên an ninh hệ thống.
3.3. Kiểm soát hoạt động phát triển hệ thống thông tin
Là phương pháp phù hợp và đáng tin cậy để kiểm soát sự phát triển, kết quả hoạt động, các bổ sung thay đổi và sự vận hành thường xuyên của hệ thống thông tin cùng các thiết bị liên quan
 Các yếu tố nguyên tắc cơ bản cần có khi thực hiện dự án nâng cấp, phát triển HTTH:
– Chiến lược quy hoạch tổng thể
– Hoạt động kiểm soát dự án
– Lịch trình xử lý dữ liệu
– Ban chỉ đạo dự án
– Hệ thống đo lường
– Đánh giá sau khi hoàn thành dự án
Cụ thể:
– Chiến lược quy hoạch tổng thể
• Một kế hoạch chiến lược dài hạn về xây dựng và phát triển HTTT nên được thiết kế phù hợp với chiến lược kinh doanh của công ty và cần lên kế hoạch về các dự án nâng cấp trong các năm sau.
• Phải lên kế hoạch sử dụng các phần mềm, phần cứng, nhân lực và cơ sở hạ tầng cần thiết cho kế hoạch dài hạn.
• Hàng năm, ban quản lý cần chuẩn bị và phê duyệt các dự án phát triển HTTT và kinh phí cho dự án.
• Cần đánh giá nhiều lần trong năm để đảm bảo rằng hệ thống thông tin vẫn hoạt động hiệu quả, và đảm bảo duy trì các bộ phận đang có trong hệ thống.
– Kiểm soát dự án
• Mục tiêu trọng điểm của dự án cần được quy định, nó được xác định bằng việc xem xét tiến độ của dự án và so sánh thời gian hoàn thành thực tế với thời gian hoàn thành dự tính của dự án đó
• Kế hoạch phát triển cần chỉ ra các yếu tố sau:
– Các công việc cần được tiến hành
– Người đảm nhiệm các công việc trên
– Ngày tháng dự kiến hoàn thành
– Chi phí dự án
• Các mốc thời gian hoàn thành dự án phải được quy định chi tiết, và cần thiết có sự so sánh giữa thời gian ước tính với thời gian thực tế hoàn thành.
• Mỗi dự án đều phải được chỉ định một người quản lý và đội ngũ những người chịu trách nhiệm cho sự thành công hay thất bại của nó.
• Các thành viên trong ban quản lý dự án cần thẩm định đánh giá dự án sau khi dự án được hoàn thành
– Lịch trình xử lí dữ liệu
• Vì tài nguyên máy tính( dung lượng, tốc độ xử lý,…) là có giới hạn nên hiệm vụ xử lý dữ liệu cần được tổ chức theo một lịch trình để tối đa hóa việc sử dụng các tài nguyên này.
Quá trình xử lý dữ liệu là quá trình xử lý những dữ liệu đầu vào để tạo thành thông tin. Trong quá trình xử lý có thể có những sai sót như:sai sót trong quá trình nhập liệu, sai sót và gian lận trong quá trình xử lý dữ liệu, sai sót trong khâu bảo mật thông tin. Những sai sót đó là nguy cơ để dẫn đến những rủi ro trong thông tin kế toán, làm mất thông tin , lộ những thông tin mật hoặc khiến hệ thống bị hư hỏng. Đồng thời nếu quá trình xử lý dữ liêu không được tổ chức, xắp xếp cẩn thận sẽ dẫn đến thiếu hay thừa thông tin (do được nhập nhiều lần) gây tốn kém tài nguyên máy tính. Vì vậy việc tổ chức xử lý dữ liệu là cần thiết để đảm bảo độ chính xác cao của thông tin,giảm thiểu rủi ro và tiết kiệm tài nguyên máy tính, giúp cho quá trình sử dụng thông tin trong tiến trình thực hiện dự án xây dựng và phát triển HTTT có hiệu quả và dễ dàng kiểm soát.
– Ban chỉ đạo
• Ban chỉ đạo nên hướng dẫn và giám sát sự phát triển cũng như kết quả thu được từ hệ thống.
– Hệ thống đo lường
• Hệ thống đo lường nên được xây dựng để đánh giá các yếu tố sau:
– Lượng thông tin truyền qua trong một đơn vị thời gian
– Phần trăm thời gian sử dụng thông tin đạt hiệu quả
– Thời gian đáp ứng (phải mất bao lâu để trả lời)
Hệ thống đo lường là tập hợp các phương pháp đo lường đánh giá về một tiêu chí nào đó. Trong hoạt đông kiểm soát phát triển HTTT, hệ thống đo lường giúp đánh giá đúng lượng thông tin đầu vào, tiến độ dự án và các kết quả đạt được.
– ¬Đánh giá sau khi thực hiện.
• Đánh giá nên được thực hiện sau khi dự án phát triển HTTT được hoàn thành để xác định liệu các mục tiêu dự kiến có đạt được hay không
• Giúp cải thiện độ chính xác của các ước tính về chi phí và lợi ích sau khi dự án hoàn thành.
Sử dụng hệ thống tích hợp
Để HTTT được nâng cấp gọn nhẹ hơn, các công ty thường mua các dịch vụ tích hợp hệ thống. Các công ty cung cấp dịch vụ hệ thống tích hợp sẽ sử dụng máy móc, phần mềm và nhân lực (của công ty họ, của khách hàng, và mua thêm từ bên ngoài) để lắp đặt thành một hệ thống thông tin có liên kết với nhau. Tuy nhiên, việc thuê lắp đặt các hệ thống tích hợp cũng không đảm bảo hoàn thành đúng thời hạn, vẫn vượt quá chi phí dự tính và các hệ thống tích hợp này vẫn có thể chứa lỗi. Vậy để tránh các chậm trễ, lãng phí và sai sót nói trên, trước khi tiến hành lắp đặt, công ty đi thuê lắp đặt cần làm những việc sau:
– Cung cấp các thông số kỹ thuật rõ ràng, bao gồm: định nghĩa và mô tả chính xác về hệ thống, thời hạn hoàn thành, các chỉ tiêu chính xác về chấp nhận dịch vụ (nếu sản phẩm của bên được thuê không đáp ứng được các tiêu chuẩn này, dự án nâng cấp sẽ không được chấp nhận)
– Quản lí dự án sử dụng hệ thống tích hợp một cách chặt chẽ: Cần một ủy ban giám sát dự án được thành lập bởi các CIO và chủ trì bởi người đứng đầu dự án phát triển nội bộ. Ban giám sát này nên bao gồm các nhà quản lý bộ phận từ tất cả các đơn vị sẽ sử dụng hệ thống. Các thủ tục chính thức cần được thiết lập để kiểm tra tiến độ và báo cáo tình trạng dự án. Để quản lý hiệu quả nhất, nhà quản lý nên chia dự án thành các nhiệm vụ có thể quản lí được, chỉ định trách nhiệm cho mỗi nhiệm vụ và họp thường xuyên (ít nhất là hàng tháng) để xem xét tiến độ công việc và có những đánh giá chính xác về từng nhiệm vụ nói riêng và cả dự án nói chung.
3.4. Hoạt động kiểm soát sự thay đổi
Quản lý thay đổi là quá trình đảm bảo rằng tất cả các thay đổi của công ty được thực hiện theo một kế hoạch, đã được kiểm tra và cho phép thực hiện và những rủi ro có liên quan đến việc thay đổi đều đã được xác định và giải quyết.
Các hoạt động kiểm soát sự thay đổi giúp:
– Giảm thiểu rủi ro gây ra từ thay đổi đó.
– Giảm thiểu số dự án bị hủy và chi phí vượt mức
– Nâng cao năng suất bằng việc giảm những đổ vỡ không lường trước được tới việc kinh doanh.
– Giảm thiểu sự phức tạp và khả năng phải điều hành những thay ở mức độ lớn hơn.
– Cung cấp những thủ tục đã được xác định từ trước nhằm giải quyết các thay đổi không lường trước được.
– Tăng tích hợp cho quy trình quản lý hiện hành trong tổ chức đó, vì vậy giúp nâng cao hiệu quả của hệ thống quanrlys giám sát trong công ty.
Một quy trình thay đổi tốt sẽ giúp đỡ cho công ty hồi phục sau nhữn thảm họa, đối phó được với những rắc rối và thành thạo trong những chương trình bảo mật.Để có một quy trình thay đổi tốt, cần lưu tâm những vấn đề sau:
– Theo dõi, đánh giá thay đổi thường xuyên (được thực hiện bởi bộ phận giám sát thay đổi)
– Xác định lý do, mục đích kinh doanh hợp lý cho những thay đổi đó.
– Thiết kế nội dung thay đổi
– Kiểm tra, chạy thử các thay đổi
– Lên kế hoạch thiết lập lại trạng thái ban đầu và áp dụng các thay đổi mới được đưa vào
– Người sử dụng chấp nhận các thay đổi
– Được cấp các chứng chỉ công nhận
– Giải quyết các phát sinh ngoại lệ
3.5. Thiết lập và sử dụng tài liệu và hồ sơ đầy đủ
a, Mục đích:
– Thiết lập và sử dụng tài liệu và hồ sơ đầy đủ để giúp đảm bảo việc ghi đúng các giao dịch và các sự kiện, chẳng hạn như quản lí việc dịch chuyển tài liệu trước khi đánh số.
– Nhằm qui định các phương pháp kiểm soát tài liệu của hệ thống quản lý chất lượng
– Nhằm kiểm soát mọi tài liệu, bao gồm cả tài liệu nội bộ và tài liệu có nguồn gốc từ bên ngoài được đưa vào áp dụng trong công ty
– Đảm bảo những thay đổi và trạng thái soát xét của tài liệu được nhận biết thống nhất
– Đảm bảo các tài liệu luôn thích hợp và sẵn có ở những nơi mà hoạt động ảnh hưởng đến hệ thống quản lý chất lượng
– Đảm bảo việc nhận dạng, bảo quản, lưu trữ và hủy bỏ hồ sơ luôn được kiểm soát nhằm hỗ trợ cho việc tra cứu, cập nhật
b, Nội dung
Thiết lập và sử dụng tài liệu và hồ sơ đầy đủ để giúp đảm bảo việc ghi đúng các giao dịch và các sự kiện.
– Việc kiểm tra trước khi đánh số, biên lai và các đơn đặt hàng nên được sử dụng và cần được hạch toán theo đúng trình tự.
– Những hóa đơn bị hủy bỏ, chứng từ, biên lai nên được duy trì.
( Sau khi hóa đơn được xử lý và tất cả các tài khoản thích hợp đã được ghi, nó sẽ trở thành một hóa đơn bị hủy bỏ. Việc hủy bỏ này sẽ là bằng chứng thanh toán. Một hóa đơn bị hủy bỏ thì không thể thương lượng được. Hầu hết các ngân hàng đều trả lại hóa đơn bị hủy bỏ. Tuy nhiên, một số ngân hàng lại giữ những hóa đơn bị hủy đó và cung cấp bản sao cho khách hàng.)
– Gói chứng từ (hóa đơn, đơn đặt hàng và báo cáo đang lưu chuyển có đóng dấu trả tiền) nên được hủy bỏ sau khi thanh toán để ngăn chặn thanh toán trùng lặp.
– Hoá đơn phải được đối chiếu với các báo cáo đang lưu chuyển và những báo cáo này nên được kết hợp với các đơn đặt hàng để đảm bảo rằng bạn nhận được những gì bạn đã đặt hàng và bạn chỉ trả tiền cho những gì bạn nhận được.
– Các biên bản ghi chép hàng ngày trong tất cả các giao dịch cần được giữ lại.
Việc thiết lập và sử dụng tài liệu và hồ sơ phù hợp giúp đảm bảo việc ghi lại chính xác và đầy đủ của tất cả các dữ liệu giao dịch có liên quan.
– Các tài liệu bắt đầu một giao dịch nên được lưu trong vùng được cho phép
– Những thủ tục dưới đây sẽ bảo vệ tài sản khỏi viêc trộm cắp, sử dụng trái phép, và phá hoại:
+ Giám sát và cách li nhiệm vụ có hiệu quả
+ Duy trì tính chính xác của hồ sơ tài sản, bao gồm cả thông tin
+ Hạn chế truy cập vào các tài sản bằng tiền mặt và giấy
+ Có khu vực lưu trữ hạn chế

*MÔ HÌNH MINH HỌA_KHO BẠC AN GIANG
Đối với tài liệu nội bộ
* Lưu đồ
Người thực hiện Bước Nội dung Tài liệu

Mọi người
5.1.1 BM 4.2-KBAG 01
TP/ĐDCL
5.1.2 BM 4.2-KBAG 01


5.1.3
BM 4.2-KBAG 01

TP/ĐDCL
5.1.4 BM 4.2-KBAG 01
Người soạn thảo 5.1.5 BM 4.2-KBAG 01

TP/ĐDCL
5.1.6
BM 4.2-KBAG 01
GĐ 5.1.7
BM 4.2-KBAG 01
TKTL
5.1.8 BM 4.2-KBAG 01
TKTL
5.1.9 BM 4.2-KBAG 02
TKTL
5.1.10 BM 4.2-KBAG 01

TP/ĐDCL
5.1.11

BM 4.2-KBAG02

TKTL

5.1.12
QT 4.2-KBAG02

Đối với tài liệu có nguồn gốc từ bên ngoài
Lưu đồ:
Người thực hiện Bước
Nội dung Tài liệu

Mọi người
5.2.1

BM 4.2-KBAG 03
TP/ĐDCL
5.2.2
BM 4.2-KBAG 03


5.2.3
BM 4.2-KBAG 03

TKTL
5.2.4

HD 4.2-KBAG 01

TKTL

5.2.5

BM 4.2-KBAG 04
TKTL
5.2.6
BM 4.2-KBAG 03

TP

5.2.7
BM 4.2-KBAG 04

TKTL
5.2.8
QT 4.2 –KBAG01

2.6. Giữ gìn tài sản, hồ sơ và dữ liệu
Kiểm soát nội bộ về bảo vệ và giữ gìn tài sản, so với việc mua lại trái phép, sử dụng hoặc định đoạt là một quá trình, thực hiện bởi hội đồng quản trị, của một thực thể, của giám đốc quản lý và các nhân viên khác, được thiết kế để cung cấp sự đảm bảo hợp lý về
phòng ngừa hoặc phát hiện kịp thời của việc mua lại trái phép, sử dụng, hoặc định đoạt
tài sản của đơn vị mà có thể có ảnh hưởng trọng yếu trên báo cáo tài chính.
Ví dụ : một công ty đã bảo vệ kiểm soát hàng tồn kho (kiểm soát phòng ngừa) và cũng thực hiện kiểm kê định kỳ được tính vật lý kịp thời liên quan đến ngày tháng quý, báo cáo tài chính hàng năm của nó. Mặc dù kiểm kê hiện vật không bảo vệ hàng tồn kho từ trộm cắp hoặc mất mát nhưng có thể ngăn ngừa sai sót trọng yếu đến báo cáo tài chính, nếu thực hiện có hiệu quả và kịp thời.
Khi mọi người xem xét việc bảo vệ tài sản, họ thường nghĩ về tiền mặt và tài sản vật chất, chẳng hạn như hàng tồn kho và thiết bị như trên. Bên cạnh đó, một tài sản khác của công ty cần được bảo vệ là thông tin. Hồ sơ và dữ liệu có lẽ là hoạt động kiểm soát quan trọng nhất bởi vì nó lưu giữ bằng chứng để chứng minh cho một quyết định, sự kiện, giao dịch, hoặc hệ thống. Tất cả các tài liệu cần phải đầy đủ, chính xác, và ghi kịp thời. Tài liệu cần phải có một mục đích rõ ràng và trong một định dạng có thể sử dụng mà sẽ thêm hiệu quả và hiệu quả của các cơ quan.
Ví dụ: về các khu vực có tài liệu là quan trọng bao gồm:
• Quyết định quan trọng và các sự kiện quan trọng liên quan đến quản lý cấp cao: Những quyết định này và các sự kiện thường, sử dụng, trao đổi, cam kết hoặc chuyển giao các nguồn lực, chẳng hạn như trong kế hoạch chiến lược, ngân sách và chính sách điều hành. Bằng cách ghi lại các thông tin liên quan đến các sự kiện như vậy, quản lý tạo ra một lịch sử cơ quan có thể phục vụ như là biện minh cho hành động tiếp theo và quyết định và sẽ có giá trị trong quá trình tự đánh giá và kiểm toán.
• Giao dịch nên được theo dõi từ khi thành lập thông qua hoàn thành để chứng minh làm thế nào nguồn tài nguyên cơ quan đã được sử dụng và hoạt động kiểm soát được áp dụng để đảm bảo tuân thủ với các mục tiêu cơ quan. Điều này có nghĩa là toàn bộ vòng đời của một giao dịch phải được ghi chép, bao gồm: khởi đầu của nó và ủy quyền, sự tiến bộ của mình thông qua tất cả các giai đoạn chế biến, và, phân loại cuối cùng trong hồ sơ tóm tắt (ví dụ, sổ sách kế toán , hàng tồn kho hồ sơ, chương trình quản lý hồ sơ, vv.)
Theo kết quả khảo sát về Gian lận Quốc gia năm 2004 của ACFE, trộm cắp thông tin chỉ chiếm 17,3% so với việc tham ô không dùng tiền mặt, tuy nhiên, mất mát trung bình do một hành vi trộm cắp thông tin là $ 340.000. Tổn thất này cao hơn 126% so với 1 hành vi trộm cắp tài sản (Một vụ trộm thiết bị dụng cụ bị lấy đi trung bình $ 150.000 tài sản).
Nhiều người nhầm tưởng rằng rủi ro lớn nhất mà công ty phải đối mặt là từ bên ngoài. Tuy nhiên, trong nhân viên tiềm ẩn nguy cơ lớn về việc lấy cắp dữ liệu bởi vì:
• Họ có nhiều hiểu biết về hệ thống và điểm yếu của hệ thống.
• Họ có thể che giấu hành vi vi phạm pháp luật của họ tốt hơn.
Trong hệ thống nhân sự nội bộ cũng tiềm ẩn mối đe dọa ít cố ý cho hệ thống, bao gồm:
• Vô tình xóa dữ liệu công ty
• Virút làm mất dữ liệu
• Cố gắng sửa chữa phần cứng hoặc phần mềm mà không có chuyên môn phù hợp
 Những hành động này có thể dẫn đến nghẽn mạng, sập dữ liệu , trục trặc phần cứng và phần mềm.
Các công ty cũng phải đối mặt với những rủi ro đáng kể từ khách hàng và các nhà cung cấp có quyền truy cập vào dữ liệu của công ty.
Nhiều bước có thể được thực hiện để bảo vệ thông tin và các tài sản vật chất khỏi trộm cắp, sử dụng trái phép, và phá hoại. Bảo vệ quyền truy cập vào các nguồn lực và thông tin làm giảm nguy cơ của việc sử dụng trái phép hoặc mất. Quản lý bảo vệ thiết bị của bộ phận, thông tin, chứng từ thu tiền mặt, tài liệu và các nguồn lực khác mà có thể được sử dụng sai, bị hư hỏng hoặc bị đánh cắp. Quản lý có thể bảo vệ các nguồn tài nguyên này bằng cách hạn chế truy cập cho các cá nhân có thẩm quyền chỉ. Quản lý nên quyết định các nguồn lực cần được bảo vệ và đến mức độ nào. Quản lý nên đưa ra quyết định dựa trên tổn thất của các mặt hàng có bảo đảm và khả năng của sự mất mát.
– Giữ gìn các ghi nhận về tất cả các loại tài sản một cách chính xác: Định kỳ đối chiếu số lượng được ghi nhận với số lượng thực. Bảo vệ dữ liệu liên quan đến tài sản là tối quan trọng.
– Giới hạn truy cập tài sản: Điều khiển truy cập hạn chế truy cập và bảo vệ các tập tin dữ liệu và thông tin được duy trì trong các hệ thống thông tin. Kiểm soát truy cập được thiết lập dựa trên nhu cầu của nhân viên để truy cập các tập tin dữ liệu và thông tin cần thiết để thực hiện các nhiệm vụ công việc của mình cụ thể trong khi vẫn duy trì phân cách chấp nhận được nhiệm vụ. Điều khiển truy cập bao gồm việc sử dụng nhận dạng bảo mật người dùng đa cấp, cùng với mật khẩu thường xuyên thay đổi, lưu cuộc gọi, tường lửa, truy cập giới hạn không phải là dữ liệu công cộng, và mã hóa thông tin bí mật. Đánh giá quản lý định kỳ của các hệ thống truy cập nên xảy ra để đảm bảo nhân viên truy cập phù hợp dựa trên bất kỳ nhiệm vụ công việc mới hoặc thay đổi.
– Sử dụng sổ sách ghi chép tiền mặt, két, các hộp khóa, và hộp ký gửi an toàn để hạn chế quyền truy cập vào tiền mặt, chứng khoán và các tài sản giấy.
– Bảo vệ các hồ sơ và tài liệu: Sử dụng các khu vực lưu trữ chống cháy, khóa tủ hồ sơ, sao lưu các tập tin (bao gồm cả các bản sao tại các địa điểm off-site). Hạn chế quyền truy cập vào séc trắng, tài liệu cho người có thẩm quyền.
3.7. Thực hiện đối chiếu và soát xét độc lập
a) Khái niệm:
Có nhiều khái niệm
– Các kiểm tra độc lập là một yếu tố quan trọng trong các hoạt động kiểm soát. Các kiểm tra này hoạt động như một phương pháp nhằm xác nhận sự chính xác và sự đầy đủ của dữ liệu trong hệ thống kế toán.
– Kiểm tra độc lập được thực hiện bởi các nhân viên không làm công việc mà đang được kiểm tra. Kiểm tra độc lập giúp đảm bảo sự tin cậy trong các thông tin kế toán và sự hiệu quả của hoạt động.
– Việc kiểm tra này, đảm bảo rằng các giao dịch được xử lý chính xác, là một yếu tố kiểm soát quan trọng. Những kiểm tra này nên được thực hiện bởi một người thuộc một bộ phận khác hoặc các bên chịu trách nhiệm cho các hoạt động.
Tóm lại: Kiểm tra độc lập là một yếu tố quan trọng trong các hoạt động kiểm soát. Kiểm tra độc lập giúp đảm bảo sự tin cậy trong các thông tin kế toán và sự hiệu quả của các hoạt động của công ty. Những kiểm tra này được thực hiện bởi một người thuộc bộ phận khác bên hoặc các bên chịu trách nhiệm cho các hoạt động.
b) Các phương thức kiểm tra độc lập thường được sử dụng:
• Các đánh giá ở mức độ cao
Bộ phận quản lý các cấp nên theo dõi kết quả kinh doanh của công ty và định kỳ so sánh với hiệu suất thực tế để:
– Lên kế hoạch hiệu suất được thể hiện trong ngân sách, mục tiêu, và dự báo
– Hiệu suất ở giai đoạn trước
– Hiệu suất của các đối thủ cạnh tranh
• Các đánh giá phân tích:
– Kiểm tra các mối quan hệ giữa các bộ dữ liệu khác nhau.
– Ví dụ: Nếu việc bán các tín dụng tăng đáng kể trong một khoảng thời gian và không có thay đổi trong chính sách tín dụng thì chi phí nợ xấu có lẽ cũng nên tăng lên.
– Bộ phận quản lý nên phân tích định kỳ và xem xét các mối quan hệ giữa các dữ liệu để kiểm tra sự chính xác và sự tin cậy của các dữ liệu hoặc phát hiện gian lận và các vấn đề kinh doanh khác. Một người quản lý thường xuyên xem xét các báo cáo sẽ phát hiện ra các sai sót có trong các báo cáo.
• Thống nhất các ghi nhận được duy trì một cách độc lập:
– Kiểm tra tính chính xác và đầy đủ của các sổ sách bằng cách hợp nhất chúng với các sổ sách khác, điều này cần phải có sự cân bằng tương đương
– Ví dụ:
+ Việc đối chiếu với ngân hàng: Ví dụ, một sự thống nhất các dữ liệu ngân hàng sẽ so sánh các sổ sách độc lập của ngân hàng với các sổ sách của công ty để đảm bảo sự chính xác và đầy đủ của các sổ tiền mặt.
+ Đối chiếu các tài khoản kiểm soát tài khoản phải trả với tổng các tài khoản phụ.
• So sánh số lượng thực tế với số tiền ghi:
– Các tài sản quan trọng kiểm đếm định kỳ và so sánh với các sổ kiểm kê. Bất cứ sự sai khác nào cũng được ghi lại như những điều chỉnh để kiểm kê lại và sẽ được sửa trong các sổ kiểm kê
– Ví dụ: kiểm kê tài sản hiện vật hàng năm.
– Các mặt hàng có giá trị cao và các thành phần quan trọng nên được tính thường xuyên hơn.
• Kế toán kép:
Đảm bảo các khoản nợ bằng các khoản có
• Sự xác nhận của máy tính:
Máy tính có thể kiểm tra công việc của một nhân viên. Ví dụ, máy tính có thể kiểm tra các tính toán hóa đơn bán hàng hoặc đối chiếu số lượng khách hàng với danh sách khách hàng được thông qua. Nó có thể thông báo hoặc từ chối xử lý một giao dịch hay một truy cập giới hạn.
• Đánh giá độc lập:
– Sau khi một người xử lý một giao dịch, sẽ có nhân viên khác đánh giá về công việc của họ:
– Sử dụng kỳ nghỉ nhân viên hoặc quay vòng nhân viên:
Đôi khi, che giấu và duy trì một gian lận đòi hỏi sự tập trung liên tục. Để phát hiện ra những gian lận này, vài công ty tổ chức các kỳ nghỉ hàng năm cho nhân viên, thường một hoặc hai tuần. Trong khi đó, công việc của họ được thực hiện bởi những nhân viên khác. Điều này khiến cho gian lận khó có thể được giấu diếm. Mục đích kiểm soát tương tự có thể được thực hiện luân phiên quay vòng vị trí của các nhân viên
4. Đánh giá, nhận xét về hoạt động kiểm soát
Lợi ích của hoạt động kiểm soát trong công ty:
Các chính sách và thủ tục kiểm soát là cần thiết để đảm bảo các phản ứng rủi ro lựa chọn được thực hiện đúng cách và kịp thời.
Hoạt động kiểm soát hiệu quả giúp giảm thiểu rủi ro:
– Không đạt được mục đích và mục tiêu của tổ chức
– Sự cố kinh doanh hoặc kết quả không mong muốn
– Làm việc lại quá nhiều để sửa lỗi
– Quyết định quản lý sai lầm dựa trên những thông tin giả, không chính xác hoặc không phù hợp.
– Gian lận, tham ô và trộm cắp.
Hạn chế của hoạt động kiểm soát
Hoạt động kiểm soát, không quan tâm tới vấn đề việc thiết lập và thực hiện được thực hiên tốt như thế nào mà chỉ cung cấp sự đảm bảo hợp lý về các mục tiêu đạt được . Rất có khả năng các thành tựu đạt được bị ảnh hưởng bởi những hạn chế vốn có trong tất cả các hệ thống điều khiển. Những hạn chế này bao gồm:
Đánh giá – Hiệu quả của kiểm soát sẽ bị hạn chế bởi thực tế rằng các quyết định phải được thực hiện với sự đánh giá của con người trong thời gian có sẵn, dựa trên thông tin có sẵn vàáp lực để tiến hành kinh doanh.
Sự cố – Ngay cả khi hoạt động kiểm soát đã được thiết lập thì chúng cũng có thể bị phá vỡ. Nhân viên có thể hiểu sai hướng dẫn hoặc chỉ đơn giản là tạo ra những sai lầm. Lỗi cũng có thể xuất phát từ công nghệ mới và sự phức tạp của các hệ thống thông tin máy tính.
Lạm quyền – Ngay cả trong một cơ quan kiểm soát có hiệu quả, nhân viên cấp cao có thể có thể lạm quyền thông qua các chính sách, thủ tục quy định hoặc vì lợi ích cá nhân. Điều này không nên nhầm lẫn với sự can thiệp quản lý, đại diện cho hoạt động quản lý được khởi hành từ các chính sách, thủ tục quy định hoặc cho các mục đích hợp pháp.
Cấu kết thông đồng – Cấu kết thông đồng giữa hai hay nhiều cá nhân có thể dẫn đến thất bại kiểm soát. Cá nhân làm chung thường có thể làm thay đổi dữ liệu tài chính hoặc các thông tin quản lý khác trong một cách mà không thể được xác định bởi hệ thống điều khiển.
Chi phí so với lợi ích – xác định một hoạt động kiểm soát đặc biệt được thành lập, chi phí của việc thiết lập sự kiểm soát phải được xem xét cùng với nguy cơ thất bại và tác động tiềm năng. Kiểm soát là quá tốn kém và phản tác dụng. Quá ít sự kiểm soát trình bày rủi ro không đáng có. Cơ quan phải thực hiện một nỗ lực có ý thức để tấn công một sự cân bằng thích hợp.
Nguồn tài nguyên hạn chế – Mỗi cơ quan phải ưu tiên cho các hoạt động kiểm soát bởi vì tài nguyên không có sẵn để đặt tất cả các hoạt động kiểm soát vào thực tế.

Advertisements