Chuong4 Kiem Soat Trong Mtruong Mtinh

5/16/2018 Chuong4 Kiem Soat Trong Mtruong Mtinh - slidepdf.com

http://slidepdf.com/reader/full/chuong4-kiem-soat-trong-mtruong-mtinh 1/28

Chương 4

Kiểm soát trong AIS

Kiểm soát trong môi trường

máy tính

1



Mục tiêu

• Trong phần này chúng ta sẽ tìmhiểu:

– Các đặc điểm riêng biệt của môi trườngxử lý thông tin bằng máy tính

– Các rủi ro có thể xảy ra

– Các thủ tục kiểm soát chung

– Các thủ tục kiểm soát ứng dụng

2



máy tính

• Kiêm nhiệm nhiều chức năng • Khó lưu lại dấu vết

• Khối lượng dữ liệu ghi nhận nhiều,

sử dụng nhiều lần • Thông tin cung cấp nhiều, đa

dạng

• Phụ thuộc vào khả năng hoạtđộng của phần mềm, phần cứng

• Đòi hỏi trình độ nhân viên cao 3



RỦI RO TRONG MÔI TRƯỜNG XỬ LÝBẰNG MÁY TÍNH

• Rủi ro xử lý thông tin:– Ghi nhận dữ liệu sai, không đầy đủ, không hợp lệ

– Xử lý sai ( dữ liệu bị sai như việc phân loại sai, tínhtóan sai do chương trình xử lý không chính xác)

– Cung cấp thông tin không đầy đủ, tin cậy, chính xác,

báo cáo có thể được chuyển giao không đúng ngườinhận

• Rủi ro hệ thống: Liên quan đến việc xây dựng, bảodưỡng, sử dụng các rũi ro bao gồm:

– Liên quan đến quá trình phát triển hệ thống – Rủi ro liên quan tới thiết bị – Rủi ro liên quan đến nhân sự, – Rủi ro liên quan đến dữ liệu lưu trữ

• Dữ liệu bị phá hủy do cố tình phá hoại • Dữ liệu dễ bị thâm nhập, phá hoại để sửa CT,phá4



5

Dữ liệu Xử lý

Lưu trữ

Kết xuất

Rủi ro nhập liệu

- Dữ liệu không đầy đủ

- Dữ liệu nhập ko kịp thời - Dữ liệu bị mất - Trùng lắp dữ liệu

- Không hợp lệ

- Không chính xác

- Dữ liệu gian lận

Rủi ro xử lý

- Sai tập tin

- Không đúng thời điểm

- Không đầy đủ

- Cấu trúc xử lý sai- Chỉnh sửa chương trình xử lý

Rủi ro kết xuất - Mất mát

- Không kịp thời - Không đầy đủ

- Sai đối tượng

- Chỉnh sửa

- Sử dụng sai Lưu trữ sai sót



6 6

CÁC THỦ TỤC KS TRONG MÔI TRƯỜNG MÁY TÍNH

Rủi ro xử lýthông tin

Rủi ro nguồn lựchệ thống

•Tính hợp lệ •Chính xác•Đầy đủ

•Phát triển HT •Sử dụng HT •Bảo quản HT

Kiểm soátứng dụng

Kiểm soátchung



CÁC THỦ TỤC KIỂM SOÁT

• Kiểm soát chung:

– Bao gồm các thủ tục, chính sách kiểmsoát áp dụng chung cho toàn bộ môitrường xử lý thông tin

• Kiểm soát ứng dụng:

– Bao gồm các thủ tục kiểm soát nhậpliệu, xử lý và kết xuất áp dụng cho 1

chương trình ứng dụng xử lý thôngtin cụ thể

7



8

Kiểm soátchung

Quản

lý hàngtồn kho Nợ phải thu

Nợ phải trả

Bán hàngTiền

Tổng hợp Báo cáo

TSCĐ



KIỂM SOÁT CHUNG

1. Tổ chức bộ máy trong môi trường máy

tính

2. Kiểm soát quá trình phát triển HTTT

3. Chuẩn hóa các tài liệu liên quan

4. Kiểm soát truy cập từ bên ngoài

5.Kiểm

soát truycập

lôgic6. Đảm bảo hoạt động liên tục

7. Kế hoạch khắc phục hậu quả nếu xảy

ra… 9



KIỂM SOÁT CHUNG

1. Tổ chức bộ máy trong môi trườngmáy tính

Tách biệt chức năng xử lý thông tin với

các bộ phận chức năng khác

Tách biệt các bộ phận bên trong của hệthống xử lý thông tin:

Phát triển, vận hành hệ thống và bảo dưỡnghệ thống

Tách biệt giữa các chức năng bên trong từngbộ phận hệ thống 10



KIỂM SOÁT CHUNG

1. Tổ chức bộ máy xử lý thông tin

11

Quản lý HT

Phát triểnHệ thống

BP kỹ thuật BP vậnhành/xử lý

Phân

tích HT

Thiết kế

HT

Lập

trình HT

KS dữ

liệu

Nhập

liệu

Quản lý

dữ liệu

Mạng vàtruyền thông

Quản trịCSDL

KS chấtlượng HT

Xét duyệt

Thực hiện

Bảo vệ TS

Tổ chức nhập liệu tập trung



KIỂM SOÁT CHUNG

2. Kiểm soát quá trình phát triển HTTT

– Lập kế hoạch phát triển

– Xác định các yêu cầu đặt ra

– Phân chia trách nhiệm phát triển hệ

thống

– Sự tham gia của người sử dụng

– Đánh giá, chọn lựa quá trình phát triển 12



KIỂM SOÁT CHUNG

3. Chuẩn hóa các tài liệu liên quan

– Tài liệu quản trị: Bao gồm các tài liệu liênquan đến quá trình phát triển hệ thống, quyđịnh quyền sử dụng…

– Tài liệu ứng dụng: Hướng dẫn sử dụngchương trình (nhập liệu, xử lý, báo cáo, tìmkiếm, sửa chữa…)

– Tài liệu hệ thống: Các yêu cầu về hệthống, hệ thống mã chương trình, tập tinlưu trữ, các hướng dẫn phục hồi dữ liệu khisự cố xảy ra

13



KIỂM SOÁT CHUNG

4. Kiểm soát truy cập từ bên ngoài

Hạn chế đối tượngkhông liên quan tiếpcận trực tiếp với hệthống xử lý

Phân loại đối tượng sử dụng hệ thống

14

Hệthốngxử lý

Khóa địa điểm

Bảo vệ ngoài



KIỂM SOÁT CHUNG

5. Kiểm soát truy cập lôgic: Hạn chế quyền sử dụng của nguời sử dụngtrực tiếp hệ thống

• Nhận dạng người sử dụng (accountuser)

• Xác nhận người sử dụng (Password)

• Phân quyền truy cập (Access right)

• Theo dõi quá trình sử dụng (Nhật kí

sử dụng) 15



KIỂM SOÁT CHUNG • Phân quyền truy cập

16

Các hoạtđộng

Các chutrình

Khai báo Nhập liệuCập nhật/báo

cáo

Xem ThêmChỉnh

sửa/xóa

Matrậntruy

cập



17

Minh họa ma trận truy cập Menu KT trưởng KT phải thu KT tồn kho …

Chu trình doanh thu X: Xem; T: Thêm; S: Chỉnh sửa

Khai báo

+ Khách hàng X, T, S X X

+ Hàng hóa X, T, S X X

Nhập liệu

+ Xuất kho X X T

+ Lập hóa đơn X T X

+ Thu tiền X X XCập nhật/báo cáo

+ BC phân tích BH X, S X X

+ Bảng kê KH X,S X X

+ Báo cáo nợ pthu X,S X X



KIỂM SOÁT CHUNG

6. Đảm bảo hoạt động liên tục

– Kiểm soát thiết bị lưu trữ (Đĩa cứng, đĩamềm, đĩa CD…. ): Đảm bảo an toàn thiếtbị lưu trữ, Dán nhẵn, đặt tên, sắp xếp

theo trình thự thời gian

– Sao lưu dự phòng dữ liệu (Back-up)

– Hạn chế mất mát dữ liệu khi mất điện

18



KIỂM SOÁT CHUNG

7. Kế hoạch khắc phục hậu quả nếuxảy ra…

– Các thứ tự ưu tiên phục hồi

– Phân chia trách nhiệm phục hồi

– Sao lưu dự phòng chương trình nguồn,dữ liệu

– Mua bảo hiểm hệ thống

–19



KIỂM SOÁT ỨNG DỤNG

Với mục tiêu Đầy đủ, Hợp lệ, Chính

xác:

Tất cả các dữ liệu phát sinh đều được ghinhận (kể cả các dữ liệu ghi vào tập tinchính)

Tất cả dữ liệu được ghi nhận đều hợp lệ

Tất cả dữ liệu hợp lệ được ghi nhận chínhxác

Tất cả các dữ liệu hợp lệ được xử lý chínhxác

20



Kiểm soát nguồn dữ liệu

• Kiểm tra tính trình tự số chứng từ: Hạnchế việc ghi trùng hay bỏ sót nghiệp vụ

• Sử dụng chứng từ luân chuyển trong hệthống: chứng từ được nhập 1 lần và

luân chuyển trong hệ thống máy tính

• Xét duyệt nghiệp vụ: Dữ liệu phải đượcxét duyệt trước khi nhập vào hệ thống

• Đánh dấu chứng từ đã sử dụng • Quét chứng từ để kiểm tra tính hợp

pháp của chứng từ (vd dùng cho hóađơn)

21



Kiểm soát nhập liệu, xử lý • Kiểm soát dự phòng

– Giảm khoảng cách (thời gian, không gian) giữaviệc phát sinh nghiệp vụ và việc ghi chépnghiệp vụ

– Hạn chế việc nhập liệu trực tiếp từ người SD

– Kiểm tra các dữ liệu nhập:• Kiểu dữ liệu

• Giới hạn

• Ko trùng lắp

• Tính đầy đủ

– Sử dụng các dữ liệu mặc định, tự động

– Chọn từ danh sách dữ liệu có sẵn

22



Kiểm soát dự phòng

Thủ tục KS Mục tiêu liên quan

Đầyđủ

Hợp lệ Chính Xác

Hạn chế việc nhập liệu trựctiếp từ người SD

x x

Kiểu dữ liệu X

Giới hạn dữ liệu X X

Ko trùng lặp dữ liệu X X

Trình tự nhập liệu X

23 23



Kiểm soát dự phòng

Thủ tục KS Mục tiêu liên quan

Đầyđủ


Dữ liệu mặc định X X

Dữ liệu tự động X X X

Giới hạn dữ liệu

X X

Chọn dữ liệu từ danh sách X X

24 24



Kiểm soát nhập liệu, xử lý

• Kiểm soát phát hiện –Lập danh sách các nghiệp vụ sai sót –Thông báo các trường hợp bất thường

–Dùng tổng kiểm soát, tổng hash

–Kiểm tra tính phù hợp

–Đối chiếu dữ liệu giữa 2 nguồn độc lập

25



Kiểm soát phát hiện

Thủ tục KS

Mục tiêu liên quan

Đầyđủ


Thông báo các trường hợp bất

thường X X X

Kiểm tra tính phù hợp dữ liệu X

Lập danh sách các nghiệp vụ sai

sót

X X X

Dùng tổng kiểm soát, tổng hash X

Đối chiếu kết quả xử lý giữa 2

nguồn độc lập X

26 26



Kiểm soát nhập liệu, xử lý

• Kiểm soát sửa sai –Lập danh sách các nghiệp vụ sai sót –Quy định trình tự sửa sai –Xét duyệt các nghiệp vụ đã sửa sai –Nhập lại các nghiệp vụ đã sửa sai theo

trình tự thông thường như các nghiệp vụ

nhập ban đầu

27



Kiểm soát kết xuất, báo cáo • Kiểm tra thời điểm, thời kì kết xuất, sử

dụng báo cáo, thông tin

• Phân chia quyền được kết xuất và sử

dụng báo cáo, thông tin • Quy định chế độ bảo mật thông tin

• Kiểm tra nguồn gốc phát sinh: Từ các

thông tin trên báo cáo có thể xem các

chứng từ gốc liên quan (dấu vết kiểm

toán > audit trail) 28

Documents

Chuong4 Kiem Soat Trong Mtruong Mtinh