Checklist bảo mật cho phòng Kế toán SME

Checklist bảo mật cho phòng Kế toán: hóa đơn, chuyển khoản, khai thuế và dữ liệu tài chính doanh nghiệp, giúp SME giảm rủi ro tấn công mạng. 

1. Vì sao phòng Kế toán là “miếng mồi ngon” cho tội phạm mạng? 

Trong mọi doanh nghiệp, phòng Kế toán là nơi chạm vào nhiều thứ nhạy cảm nhất: 

• Hóa đơn đầu vào, đầu ra. 
• Thông tin tài khoản ngân hàng, lệnh chuyển khoản. 
• Hồ sơ khai thuế, báo cáo tài chính, lương thưởng. 

Nếu không có quy định bảo mật thông tin kế toán rõ ràng, chỉ một email lừa đảo hoặc một file “hóa đơn” nhiễm mã độc cũng có thể dẫn tới: 

• Mất tiền vì chuyển khoản nhầm tài khoản kẻ xấu. 
• Lộ dữ liệu tài chính doanh nghiệp, gây mất uy tín với đối tác, ngân hàng, cơ quan thuế. 
• Đình trệ hoạt động vì hệ thống kế toán bị khóa, bị mã hóa. 

Checklist dưới đây giúp chủ doanh nghiệp và trưởng phòng kế toán rà soát nhanh: mình đang bảo vệ phòng Kế toán tới mức nào, chỗ nào đang “hở”. 

2. Checklist 1 – Quyền truy cập & trách nhiệm trong phòng Kế toán 

Hãy kiểm tra xem công ty đã có các điểm sau chưa: 

• Mỗi kế toán có tài khoản riêng, không dùng chung một user cho phần mềm kế toán, internet banking, cổng thuế. 
• Có phân quyền rõ: ai được xem, ai được sửa, ai được duyệt chứng từ và lệnh chi. 
• Khi nhân sự kế toán nghỉ việc hoặc đổi vị trí, tài khoản được khóa/điều chỉnh trong vòng 24–48 giờ. 
• Có văn bản nội bộ nêu rõ trách nhiệm bảo mật thông tin kế toán cho từng vai trò (kế toán viên, kế toán trưởng, giám đốc…). 

Nếu nhiều câu trả lời là “chưa”, bạn nên coi đây là việc ưu tiên vì nó là nền tảng của mọi kiểm soát khác. 

3. Checklist 2 – Bảo mật hóa đơn, chứng từ & file liên quan 

Bảo mật hóa đơn chứng từ không chỉ là cất kỹ hóa đơn giấy, mà còn là cách bạn xử lý file điện tử mỗi ngày. 

• Hóa đơn điện tử (file PDF, XML) được lưu ở thư mục hoặc hệ thống được phân quyền, không để tự do trên máy cá nhân. 
• Không gửi cả “kho hóa đơn” qua email cá nhân hoặc ứng dụng chat riêng. 
• File scan chứng từ (CMND/CCCD, hợp đồng, ủy nhiệm chi…) không nằm lẫn trong thư mục tải xuống chung, dễ bị copy. 
• Khi chia sẻ cho kiểm toán, ngân hàng, đối tác: 
• Chỉ gửi đúng phần họ cần. 
• Dùng kênh an toàn (link có mật khẩu, hạn sử dụng…). 

4. Checklist 3 – An toàn khi thực hiện chuyển khoản & thanh toán 

Nơi có tiền đi ra luôn là điểm nóng. 

• Mọi lệnh chuyển khoản trên internet banking đều áp dụng ít nhất 2 bước: người lập lệnh và người duyệt (two-man rule). 
• Thông tin tài khoản nhận tiền được xác nhận lại qua kênh độc lập (gọi điện, nhắn qua số đã lưu trước đó), không chỉ dựa trên email mới nhận. 
• Kế toán được đào tạo nhận diện email giả mạo yêu cầu “thay đổi tài khoản thanh toán”, “chuyển khoản gấp”. 
• Thiết bị dùng cho internet banking có: 
• Mật khẩu/mã PIN, 
• Phần mềm bảo vệ cơ bản, 
• Hạn chế cài phần mềm lạ, không dùng chung cho việc cá nhân rủi ro cao. 

5. Checklist 4 – Tài khoản khai thuế, bảo hiểm và cổng dịch vụ công 

Các tài khoản này thường dùng lâu năm, ít đổi nên rất dễ bị bỏ qua. 

• User, mật khẩu đăng nhập cổng thuế, hóa đơn điện tử, bảo hiểm, e-banking được lưu an toàn (trong password manager, không lưu trong file “Password.xlsx”). 
• Không chia sẻ một tài khoản thuế cho nhiều người cùng dùng; nếu phải chia sẻ, có quy trình đổi mật khẩu khi có nhân sự thay đổi. 
• Bật xác thực hai lớp (nếu cổng hỗ trợ) hoặc sử dụng chữ ký số đúng quy trình. 
• Ghi log hoặc lưu lại lịch sử ai đã nộp tờ khai, chỉnh sửa thông tin quan trọng. 

6. Checklist 5 – Sao lưu & khôi phục dữ liệu tài chính doanh nghiệp 

Nếu phần mềm kế toán hoặc dữ liệu bị mã hóa, câu hỏi đầu tiên là: có backup sạch không? 

• Có lịch sao lưu định kỳ cho dữ liệu kế toán (hàng ngày/tuần tùy quy mô). 
• Bản sao lưu không nằm chung với máy kế toán viên (ví dụ: backup lên server hoặc cloud). 
• Đã từng thử khôi phục từ backup trong 6–12 tháng gần nhất, không chỉ “backup cho yên tâm”. 
• Khi kết thúc năm tài chính, có bản lưu trữ riêng (archive) để đối chiếu về sau. 

7. Checklist 6 – Phòng Kế toán trước bẫy email lừa đảo & mã độc 

Kế toán là nhóm dễ bị nhắm tới với các email giả dạng “hóa đơn”, “sao kê”, “hợp đồng mới”. 

• Nhân viên kế toán được training nhận diện: 
• Địa chỉ email lạ nhưng giả tên đối tác. 
• File .zip, .exe, hoặc tài liệu yêu cầu bật macro. 
• Link đăng nhập “giống y trang internet banking/cổng thuế” nhưng domain sai. 
• Có quy định: 
• Không mở file đính kèm từ nguồn không rõ. 
• Không đăng nhập tài khoản ngân hàng, thuế… từ link trong email, mà gõ trực tiếp địa chỉ website chính thức. 

8. Checklist 7 – Kịch bản “doanh nghiệp nhỏ bị tấn công mạng phải làm gì” (cho góc kế toán) 

Dù cẩn thận tới đâu, vẫn có khả năng sự cố xảy ra. Hãy chuẩn bị sẵn câu trả lời cho tình huống: doanh nghiệp nhỏ bị tấn công mạng phải làm gì, đặc biệt với dữ liệu kế toán: 

• Nếu nghi ngờ máy kế toán bị nhiễm mã độc hoặc bị khóa dữ liệu: 
• Ngắt kết nối mạng (Wi-Fi/LAN) của máy đó. 
• Báo ngay cho phụ trách IT hoặc đối tác an ninh mạng, không tự ý cài thêm phần mềm lạ. 
• Kiểm tra nhanh phạm vi ảnh hưởng: chỉ một máy hay cả hệ thống, dữ liệu nào bị tác động. 
• Kích hoạt kế hoạch khôi phục: 
• Dùng backup gần nhất cho phần mềm kế toán và dữ liệu tài chính. 
• Rà soát lệnh chuyển khoản gần đây để phát hiện giao dịch bất thường. 
• Ghi nhận sự cố, rút kinh nghiệm, cập nhật lại checklist bảo mật cho phòng Kế toán. 

9. Cách sử dụng checklist trong doanh nghiệp nhỏ 

Để checklist này không chỉ nằm trên giấy, bạn có thể: 

• In ra một bản, đánh dấu Có/Không cho từng dòng cùng trưởng phòng Kế toán. 
• Ưu tiên xử lý trước các mục liên quan trực tiếp tới tiền và dữ liệu tài chính doanh nghiệp (quyền truy cập, chuyển khoản, backup). 
• Sau đó, biến từng nhóm thành quy định nội bộ ngắn (1–2 trang), phổ biến cho cả phòng. 
• Mỗi 6–12 tháng, rà soát lại xem có gì cần cập nhật theo thực tế và yêu cầu mới. 

Một quy định bảo mật thông tin kế toán rõ ràng, cộng với checklist cụ thể cho phòng Kế toán, sẽ giúp doanh nghiệp nhỏ không chỉ “chống cháy” khi có sự cố mà còn xây dựng được thói quen làm việc an toàn mỗi ngày – bảo vệ cả tiền bạc lẫn uy tín của công ty.