Phương pháp quản trị hệ thống thông tin Cobit và tác động đến việc thiết lập hệ thống thông tin kế toán trong doanh nghiệp

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT Bài thuyết trình môn TIN HỌC KẾ TOÁN: PHƯƠNG PHÁP QUẢN TRỊ HỆ THỐNG THÔNG TIN COBIT VÀ TÁC ĐỘNG ĐẾN VIỆC THIẾT LẬ

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT

Bài thuyết trình môn TIN HỌC KẾ TOÁN:

PHƯƠNG PHÁP QUẢN TRỊ

HỆ THỐNG THÔNG TIN COBIT

VÀ TÁC ĐỘNG ĐẾN VIỆC THIẾT LẬP HỆ THỐNG THÔNG TIN KẾ TOÁN

TRONG DOANH NGHIỆP

MỤC LỤC

I. Giới thiệu phương pháp quản trị hệ thống thông tin Cobit: 1

1. Khái niệm: 1

2. Các phiên bản: 1

3. Cấu trúc COBIT: 3

3.1 Tài nguyên CNTT: 4

3.2 Yêu cầu nghiệp vụ: 4

4. Quy trình làm việc của COBIT: 5

Cách thức xây dựng quy trình 6

II. Tác động của Cobit đến việc thiết lập hệ thống thông tin kế toán trong doanh nghiệp: 7

1. Hệ thống thông tin kế toán: 7

1.1 Khái niệm: 7

1.2 Các thành phần cơ bản của hệ thống thông tin kế toán: 7

1.3 Chức năng: 8

1.4 Phân loại: 8

1.5 Đối tượng sử dụng: 9

2. Sự cần thiết của việc sử dụng COBIT để thiết lập hệ thống thông tin kế toán trong doanh nghiệp: 9

3. Tác động của Cobit đến việc thiết lập hệ thống thông tin kế toán trong doanh nghiệp: 16

Tài liệu tham khảo: 19

1

I Giới thiệu phương pháp quản trị hệ thống thông tin Cobit:

1 Khái niệm:

COBIT (Control Objectives for Information and Related Technology):

Là một chuẩn quốc tế về quản lý CNTT gồm những thực hành (khung) tốt nhất

về quản lý CNTT do ISACA và ITGI xây dựng năm 1996 COBIT cung cấp cho các nhà quản lý, những người kiểm tra và những người sử dụng IT một loạt các phép đo, dụng cụ đo, các quy trình và các hướng dẫn thực hành tốt nhất để giúp họ tăng tối đa lợi nhuận thông qua việc sử dụng công nghệ thông tin và giúp họ quản lý và kiểm soát IT trong công ty

Mục đích của COBIT là “nghiên cứu, phát triển, quảng bá và xúc tiến một tập hợp các mục tiêu kiểm soát CNTT được chấp nhận phổ biến để các nhà quản lý doanh nghiệp và những người kiểm tra sử dụng hàng ngày”

2 Các phiên bản:

Phiên bản đầu tiên của COBIT chỉ là dạng ghi nhận (Audit) phát hành năm 1996 Ngay sau 2 năm, 1998 COBIT cải tiến sang phiên bản 2 mang tính kiểm soát thông

Footer Page 3 of 166.

tin Đến năm 2000 COBIT xây dựng phiên bản 3 đã thể hiện sự quản lý thông tin nâng tầm COBIT và đưa COBIT vào ứng dụng rộng rãi hơn Và từ năm 2005 đến nay phiên bản 4 và 4.1 đã mang hẳn tầm cơ chế quản trị, bao quát tất cả các chức năng của phương pháp này trong những phiên bản trước và trở thành phương pháp

có cơ chế quản trị mạnh và rộng lớn nhất

Năm 2012 Hiệp hội ISACA (Information Systems Audit and Control Association)

đã phát hành phiên bản COBIT 5 hướng dẫn khuôn khổ mới áp dụng cho quản lý

và quản trị CNTT của doanh nghiệp Nó cung cấp các nguyên tắc và thực hành, các công cụ và mô hình phân tích được chấp nhận trên toàn thế giới để tạo sự tin tưởng

và nâng cao giá trị của hệ thống thông tin trong các doanh nghiệp

COBIT 5 được mở rộng và phát triển trên nền COBIT 4.1 với sự tích hợp tính ưu việt của các nguồn tiêu chuẩn khác, bao gồm của cả ISACA và các tiêu chuẩn liên quan của Tổ chức tiêu chuẩn quốc tế (ISO)

Hoạt động theo khuôn khổ COBIT 5, các doanh nghiệp ở mọi quy mô sẽ thu lại các lợi ích rất lớn Đó là, duy trì thông tin chất lượng cao để hỗ trợ các quyết định kinh doanh; Đạt được mục tiêu chiến lược và lợi nhuận kinh doanh thông qua việc

3

cho dịch vụ CNTT nói riêng và công nghệ kinh doanh nói chung Điều hết sức quan trọng là doanh nghiệp có thể kiểm soát được các rủi ro liên quan đến CNTT của mình

Phiên bản này được các chuyên gia đánh giá là sự kết hợp tư duy mới nhất trong quản trị doanh nghiệp và kỹ thuật quản lý hiện đại

3 Cấu trúc COBIT:

Nền tảng COBIT được xây dựng với ba thành phần cơ bản:

 IT Resource: Nguồn tài nguyên CNTT

 Business Requirements: Yêu cầu nghiệp vụ

 IT Processes: Quy trình CNTT

Các thành phần cơ bản này sẽ đảm bảo sự hoạt động bền vững của doanh nghiệp Nguồn tài nguyên CNTT được kiểm soát trên 4 nguồn chính là: nguồn nhân lực, nguồn cơ sở hạ tầng, nguồn thông tin, nguồn phần mềm ứng dụng; là 4 phần cơ bản nhất của HTTT COBIT dựa vào các nguồn tài nguyên này để xây dựng chính

là đảm bảo cho nền móng xây dựng triển khai CNTT trong doanh nghiệp Bên cạnh đó, COBIT dựa vào mục tiêu kinh doanh của doanh nghiệp, tổ chức đó để phát triển CNTT đúng khả năng, đem hiệu quả tối ưu đạt được mục tiêu đề ra, điều nay còn giúp giảm chi phí đến mức tối thiểu

COBIT được xây dựng gồm 4 quy trình chính là hoạch định, tổ chức; xây dựng và thực hiện; hỗ trợ và triển khai; kiểm soát và theo dõi 4 quy trình là 4 bước không thể thiếu khi xây dựng bất cứ hệ thống CNTT nào, COBIT dựa trên 4 quy trình này thể hiện sự gắn kết chặt chẽ của phương pháp quản trị COBIT với HTTT

Footer Page 5 of 166.

3.1 Tài nguyên CNTT:

 Ứng dụng: Có thể hiểu là tổng của các thủ tục hướng dẫn sử dụng và lập trình Dù là doanh nghiệp nào hay tổ chức nào cũng phải có những thủ tục hay những chương trình ứng dụng để hỗ trợ hoạt động

 Thông tin: Dữ liệu, chuẩn hóa, bảo mật Nguồn thông tin là những giá trị đầu vào cho mỗi hoạt động, thường chuyển thành dạng dữ liệu trong hệ thống thông tin Thông tin luôn đòi hỏi sự chính xác và nhanh chóng Quản trị tốt thông tin thì mới tạo ưu thế kinh doanh của doanh nghiệp hay tổ chức đó

 Cơ sở hạ tầng: Là công nghệ và thiết bị (tức là, phần cứng, hệ điều hành, hệ thống quản lý cơ sở dữ liệu, mạng, đa phương tiện Với chiến lược phát triển CNTT người ta thường thấy nhất là phải đầu tư cơ sở hạ tầng nâng cấp các công cụ, hệ thống CNTT

 Con người: Nhân viên kỹ năng, nâng cao nhận thức và năng suất để lên kế hoạch, tổ chức, tiếp thu, phân phối, hỗ trợ, giám sát và đánh giá các hệ thống thông tin và dịch vụ

3.2 Yêu cầu nghiệp vụ:

Effectiveness – Hợp lý: Thể hiện mức độ phù hợp của thông tin đối với hoạt động

nghiệp vụ, xét cả vấn đề thời gian, độ chính xác và thống nhất

Efficiency – Tính hiệu quả: Thể hiện mức độ sử dụng tài nguyên CNTT một cách

tối đa

Confidentiality – Bí mật: Thể hiện mức độ bí mật & tin cậy của thông tin, không

bị tiết lộ

5

Integrity - Toàn vẹn: Thể hiện mức dộ chính xác và đầy đủ của thông tin cũng như

tính hợp lệ (pháp lý) của nó với nghiệp vụ đặt ra

Availability – Tính sẵn sàng: Thể hiện mức độ sẵn sàng của thông tin khi có yêu

cầu từ các hoạt động nghiệp vụ

Compliance - Tuân thủ: Thể hiện mức độ tuân thủ theo đúng luật lệ, quy định và

các thỏa thuận ràng buộc

Reliability of information - Độ tin cậy của thông tin: liên quan đến các hệ thống

quản lý việc cung cấp những thông tin thích hợp cho nó để sử dụng trong hệ thống

và mức độ chính xác của thông tin

4 Quy trình làm việc của COBIT:

 Xây dựng & thực hiện

 Hỗ trợ & triển khai

 kiểm soát & theo dõi

 Tùy thuộc vào các yêu cầu nghiệp vụ được đặt ra cho doanh nghiệp mà sẽ được lựa chọn và áp dụng quy trình xử lý tốt nhất dựa vào các nguồn lực CNTT

 Các quy trình khi được áp dụng xử lý luôn đảm bảo thông tin cũng như dữ liệu bảo mật, sẵn sàng và tuân thủ đúng điều luật

Cách thức xây dựng quy trình

Quy trình làm việc theo mô hình thác đổ:

Việc điểu khiển (WHAT)

1.2 Các thành phần cơ bản của hệ thống thông tin kế toán:

Kế toán phải thu (AR): lưu trữ dữ liệu các giao dịch của khách hàng về mua hàng

và trả tiền

Kế toán phải trả (AP): lưu trữ dữ liệu các giao dịch của nhà cung cấp đã mua

hàng và trả tiền

Lương: quản lý thông tin chấm công của nhân viên cũng như các thông tin về

công việc khác liên quan tới quy trình tính lương của doanh nghiệp

Sổ cái (GL): tổng hợp dữ liệu từ AR, AP, lương và các hệ thống thông tin khác

Footer Page 9 of 166.

Xử lý đơn hàng: ghi nhận, xử lý các đơn hàng của khách hàng, đưa ra các báo cáo

cần thiết để hỗ trợ quá trình phân tích bán hàng và kiểm soát kho

Kiểm soát kho: Xử lý dữ liệu phản ánh sự thay đổi của các thành phần trong kho

(thành phẩm, nguyên vật liệu) Hỗ trợ cung cấp các dịch vụ chất lượng cao, giảm thiểu chi phí đầu tư trong quản lý kho và chi phí vận chuyển hàng giữa các kho

1.3 Chức năng:

Ghi nhận, lưu trữ các dữ liệu của các hoạt động kinh doanh hàng ngày, các nghiệp

vụ kinh tế phát sinh và các sự kiện kinh tế khác

Lập và cung cấp các báo cáo cho các đối tượng bên ngoài

Hỗ trợ ra quyết định cho nhà quản lý doanh nghiệp

Hoạch định và kiểm soát

Thiết lập một hệ thống kiểm soát nội bộ

1.4 Phân loại:

 Theo mục tiêu và đối tượng sử dụng:

Hệ thống thông tin kế toán tài chính: thu nhận, xử lý và cung cấp thông tin liên quan đến quá trình hoạt động của doanh nghiệp cho người quản lý và những đối tượng ngoài doanh nghiệp, giúp họ ra các quyết định phù hợp với mục tiêu mà họ quan tâm

Hệ thống thông tin kế toán quản trị: thu nhận, xử lý và cung cấp thông tin cho những người trong nội bộ doanh nghiệp sử dụng, giúp cho việc đưa ra các quyết định để vận hành công việc kinh doanh và vạch kế hoạch cho tương lai phù hợp với chiến lược và sách lược kinh doanh

9

 Theo phương thức xử lý:

Hệ thống thông tin kế toán thủ công

Hệ thống thông tin kế toán dựa trên nền máy tính

Hệ thống thông tin kế toán bán thủ công

1.5 Đối tượng sử dụng:

Người sử dụng trực tiếp

Nhà quản lý

Chuyên gia tư vấn hệ thống thông tin kế toán

Kiểm toán viên

Người cung cấp dịch vụ kế toán, thuế

2 Sự cần thiết của việc sử dụng COBIT để thiết lập hệ thống thông tin kế toán trong doanh nghiệp:

Footer Page 11 of 166.

11

Việc xây dựng và kiểm soát Hệ thống thông tin (HTTT) nói chung và Hệ thống thông tin kế toán (HTTTKT) nói riêng là một nhu cầu thiết yếu cho hầu hết doanh nghiệp

Tuy nhiên, hiện tại việc xây dựng này gặp nhiều khó khăn như:

(1) Người thực hiện xây dựng chưa có tiếp cận một bộ tiêu chuẩn để làm cơ sở cho các hành động

(2) Không có một kế hoạch tổng thể rõ ràng trong việc thiết lập hệ thống

Do vậy, tiếp cận các tiêu chuẩn để xây dựng HTTTKT là cần thiết Trên thế giới hiện có một số bộ tiêu chuẩn để phục vụ cho mục đích này.Trong số đó, COBIT được xem là một bộ công cụ khá hoàn thiện, có thể hỗ trợ các doanh nghiệp xây dựng HTTKT đạt hiệu quả mong muốn

Theo Stolovitsky (2005), các chuẩn mực COBIT đang được chấp nhận ngày càng

tăng bởi nhiều công ty như là các thực tiễn tốt nhất (best practices) trong quản lý

thông tin, áp dụng công nghệ thông tin (CNTT) và kiểm soát rủi ro

ITGI (2005) phát biểu rằng COBIT được chấp nhận như là một khung mẫu kiểm soát nội bộ đối với CNTT, trong khi COSO được chấp nhận như là một khung mẫu kiểm soát nộibộ cho doanh nghiệp COSO được phát triển như là một mô hình kiểm soát kinh doanh tổng quát và hướng vào quản lý Điều này đưa đến câu hỏi: Tại sao là COBIT? Tại sao không là COSO?

Footer Page 13 of 166.

Khi so sánh COBIT với COSO trên các phương diện sau, ta sẽ thấy được sự khác biệt và vượt trội của COSO nếu áp dụng nó cho việc thiết lập HTTTKT trong doanh nghiệp

a/ Kiểm soát nội bộ:

- COBIT được xem như là một khung mẫu kiểm soát nội bộ đối với CNTT bằng cách nhìn vào tất cả thông tin cần thiết để hỗ trợ các yêu cầu kinh doanh và kết hợp các nguồn lực và quy trình của CNTT

- COSO khung mẫu được tích hợp phát biểu rằng KSNB là một quy trình được thiết lập bởi một hội đồng quản trị, ban giám đốc, và nhiều nhân sự khác; và được thiết kế để cung cấp đảm bảo hợp lý liên quan đến việc đạt được các mục tiêu đã nêu, không áp dụng kiểm soát nội bộ cho CNTT nhiều, nên COSO không thật sự thích hợp cho các doanh nghiệp áp dụng CNTT để quản lý thông tin, mà ngày nay CNTT được coi như là một công cụ hữu ích để quản lý thông tin nhất

b/ Các mục tiêu kiểm soát:

- COBIT được mở rộng bao gồm chất lượng và các yêu cầu bảo mật trong 7 loại chồng chéo, trong đó bao gồm hữu hiệu, hiệu quả, bảo mật, tính toàn vẹn, tính sẵn sàng, tuân thủ, và độ tin cậy của thông tin

- COSO tập trung vào tính hữu hiệu, hoạt động hiệu quả, báo cáo tài chính đáng tin cậy, và tuân thủ luật và các quy định

Các mục tiêu kiểm soát của COSO không được đa dạng, đầy đủ và mở rộng như COBIT

c/ Đối tượng

+COBIT là khách quan, nó được liên tục phát triển, và duy trì bởi một tổchức phi lợi nhuận

+COBIT hướng đến quản trị và dễ sử dụng

+COBIT có một cách tiếp cận linh hoạt và thích ứng phù hợp với các tổ chức khác nhau, văn hóa và các yêu cầu

-COSO hướng đến việc sử dụng bởi quản lý cấp cao, COBIT hướng đến nhà quản

lý, người sử dụng thông tin, và kiểm toán viên Đặc điểm phân biệt cuối cùng của COBIT là nó cung cấp một mô hình kiểm soát toàn diện, thân thiện mà tập trung vào các mục tiêu kinh doanh và đặc biệt là cho các yêu cầu KSNB trong CNTT

d/ Tổ chức quản lý:

COSO được hỗ trợ bởi 5 tổ chức: Viện Kế toán Quản trị (IMA), Hiệp hội Kế toán

Mỹ (AAA), Viện Mỹ Kế toán Công chứng (AICPA), Viện Kiểm toán nội bộ (IIA)

và Điều hành tài chính quốc tế (FEI)

COBIT thì được hỗ trợ bởi ISACA, một tổ chức chuyên nghiệp quốc tế tập trung vào quản trị IT

Footer Page 15 of 166.

So sánh chung về các phương pháp quản trị ngoài COSO

*Một số nhận định thêm:

- COBIT và ISO 17799 sử dụng để kiểm tra, xác định tình trạng hiện tại

- Xác định các điểm yếu trong quy trình và điều khiển hoạt động

- ITIL sử dụng để cải thiện các quy trình CNTT và kiểm soát, còn sử dụng ISO

17799 để cải thiện các quy trình và điều khiển an ninh thông tin

- ITIL sử dụng để xác định công nghệ, mặc dù không hoàn chỉnh

- COBIT sử dụng để xác định các số liệu

- ITIL truy vấn trên cơ cấu có thể

15

*Ưu điểm của COBIT:

Phạm vi hoạt động trong mọi lĩnh vực ngành nghề rộng hơn và bao quát hơn các phương pháp khác COBIT có chỉ ra các hoạt động và hướng dẫn chi tiết cụ thể cho quá trình xây dựng hoạt động mong muốn.Khả năng đánh giá, kiểm soát tốt.Có nhiều bài học kinh nghiệm, quản lý được rủi ro và sự thay đổi.Khả năng mềm dẻo thích ứng với từng doanh nghiệp, tổ chức cao.Tránh lãng phí vì vậy giảm thiểu chi phí Luôn được phát triển và thay đổi phù hợp với xu thế mới

*Nhược điểm của COBIT:

Đòi hỏi kiến thức vững, sự hiểu biết và có kinh nghiệm nhiều Chi phí xây dựng cũng không nhỏ Không cụ thể về việc xây dựng quy trình bằng phương pháp ITIL Chuẩn mực đánh giá đối tượng CNTT không cụ thể và uy tín như CMM Về lĩnh vực an toàn an ninh thông tin thì không bằng ISO COBIT tuy bao trùm và có đầy

đủ công cụ để thực hiện triển khai xây dựng HTTT, tuy nhiên khi xét về một đối tượng cụ thể thì còn nhiều yếu kém hơn các phương pháp khác Để khắc phục COBIT ánh xạ thực hiện kết hợp các chức năng cần thiết của phương pháp khác COBIT có sự quản lý rủi ro rõ ràng mỗi khi kiểm soát, đánh giá thì phải có công đoạn quản lý rủi ro Không chỉ quảng lý rủi ro từ quy trình xây dựng hoạt động cụ thể còn quản lý đến các nhân tố gây ảnh hưởng, đặc biệt là nhân tố con người, COBIT luôn chú trọng để HTTT thực sự đi vào hoạt động, đạt kết quả tốt nhất Một lần nữa khẳng định tầm bao quát của COBIT, thể hiện nhiều tính ưu việt hơn các phương pháp khác Từ những sự so sánh trên, ta nhận thấy rằng cần ứng dụng

Footer Page 17 of 166.

phương pháp COBIT vào quản trị và đánh giá nhằm khắc phục tình trạng về tình hình triển khai CNTT, xây dựng HTTT ở nước ta

 Được phát triển trong nhiều năm đã tích lũy nhiều bài học kinh nghiệm, phát huy từ nền móng vững chắc là phương pháp COSO, COBIT là phương pháp đáng tin cậy

 Không cứng nhắc như các phương pháp khác, do có phạm vi bao trùm các hoạt động CNTT nên tùy vào hoạt động, ta có thể lựa chọn quy trình đánh giá, quản trị phù hợp

 Giúp tiết kiệm nhân lực, giảm thiểu chi phí so với việc dùng nhiều phương pháp và lại mang tính thống nhất cao

 COBIT ánh xạ dễ dàng liên kết với các phương pháp khác đem lại hiệu quả cao hơn trong quản trị và đánh giá hoạt động thông tin

 COBIT mang tính định hướng phát triển lâu dài

3 Tác động của Cobit đến việc thiết lập hệ thống thông tin kế toán trong doanh nghiệp:

COBIT giúp các doanh nghiệp tạo ra giá trị tối ưu từ CNTT bằng cách duy trì một

sự cân bằng giữa lợi ích đạt được với việc giảm thiểu mức độ rủi ro và tối ưu hoá việc sử dụng tài nguyên Với các nguyên tắc và thực hành, các công cụ và mô hình phân tích được chấp nhận trên toàn thế giới, COBIT tạo được sự tin tưởng và nâng cao giá trị của hệ thống thông tin trong các doanh nghiệp

Đặc biệt phương pháp quản trị hệ thống thông tin COBIT hướng dẫn cách quản trị thông tin với những công cụ hỗ trợ giám đốc dự án khắc phục khoảng cách giữa