CƠ SỞ LÝ LUẬN VỀ ERP VÀ KIỂM TOÁN NỘI BỘ
NHỮNG VẤN ĐỀ CHUNG VỀ ERP
ERP, hay Hoạch định tài nguyên doanh nghiệp, là một hệ thống quản lý tích hợp giúp tổ chức và doanh nghiệp quản lý hiệu quả các nguồn lực của mình Hệ thống ERP bao gồm tất cả các chức năng cơ bản của một tổ chức, từ doanh nghiệp đến tổ chức phi lợi nhuận và phi chính phủ Thay vì sử dụng nhiều phần mềm độc lập như kế toán, nhân sự hay sản xuất, ERP kết hợp tất cả vào một gói phần mềm duy nhất, cho phép các chức năng liên thông và tương tác với nhau, tối ưu hóa quy trình làm việc và nâng cao hiệu quả quản lý.
Tích hợp các chức năng trong ERP là yếu tố quan trọng, cho phép mọi phân hệ gửi dữ liệu về một cơ sở dữ liệu chung duy nhất Dữ liệu sẽ tự động được phân phối đến các bộ phận liên quan và xuất hiện trên các báo cáo tài chính và quản trị Điều này có nghĩa là không cần phải nhập dữ liệu hai lần, giúp tiết kiệm thời gian và giảm thiểu sai sót.
ERP là phần mềm tích hợp thông tin từ nhiều bộ phận trong tổ chức, hoạt động trên một hệ thống máy tính thống nhất Nó sử dụng một cơ sở dữ liệu chung, cho phép nhân viên từ các bộ phận khác nhau truy cập thông tin tổ chức theo quyền truy cập được xác định bởi quản trị viên.
1.1.2 Quá trình hình thành và phát triển của ERP
Hệ thống quản lý dựa trên máy tính đã xuất hiện từ những năm 50 của thế kỷ trước, khi IBM ra mắt các máy tính thương mại đầu tiên, thu hút sự quan tâm từ các công ty tài chính, ngân hàng và bảo hiểm Khi máy tính trở nên rẻ hơn và mạnh mẽ hơn, các nhà quản lý nhận ra rằng máy tính có thể hỗ trợ áp dụng các lý thuyết quản lý quan trọng như Khối lượng đặt hàng kinh tế (EOQ) và Hệ thống quản lý kho tức thời (JIT) Những lý thuyết này yêu cầu xử lý và tính toán dữ liệu nhanh chóng, điều mà việc làm thủ công không thể đáp ứng Từ giữa những năm 60, nhiều hệ thống quản lý dựa trên máy tính đã xuất hiện, làm thay đổi các kỹ thuật quản lý truyền thống Vai trò của công nghệ thông tin đã chuyển từ công cụ hỗ trợ năng suất thành yếu tố chủ đạo giúp doanh nghiệp cải thiện cách làm việc, tiết kiệm chi phí, nâng cao chất lượng sản phẩm và cải thiện quan hệ với khách hàng.
Hệ thống quản lý dựa trên máy tính đầu tiên, MRP (Hoạch định nhu cầu nguyên liệu), đã được phát triển thành MRP II vào giữa những năm 70 MRP tập trung vào tính toán nguyên vật liệu cần thiết cho kế hoạch sản xuất, trong khi MRP II mở rộng khái niệm quản lý để bao gồm cả quản lý lao động và chi phí Đến những năm 90, sự phát triển của công nghệ phần cứng và mạng máy tính đã dẫn đến việc doanh nghiệp áp dụng cấu trúc chủ-khách (client-server) sử dụng máy chủ.
Việc sử dụng PC thay thế cho máy lớn ngày càng phổ biến, dẫn đến sự chuyển mình từ các hệ thống MRP sang phần mềm ERP ERP không chỉ tập trung vào quản lý sản xuất mà còn bao quát toàn bộ các hoạt động chức năng chính của doanh nghiệp, bao gồm kế toán, quản trị nhân lực, quản trị hệ thống hậu cần và quản trị hệ thống bán hàng.
Thập kỷ 90 đánh dấu thời kỳ hoàng kim của hệ thống ERP, với sự xuất hiện của nhiều hãng phần mềm nổi tiếng như SAP, Computer Associates, PeopleSoft, JD Edwards và Oracle Các công ty đa quốc gia đua nhau triển khai ERP tại từng chi nhánh để kết nối toàn cầu Mặc dù giá trị triển khai hệ thống này lên đến hàng triệu đô la và đòi hỏi chuyên viên tư vấn chuyên sâu, nhưng đổi lại, doanh nghiệp thu được hiệu quả cao về năng suất lao động, quản lý chi phí và cải thiện chất lượng dịch vụ khách hàng.
Sau thời kỳ thịnh vượng của ERP, khi các công ty đa quốc gia và nhiều doanh nghiệp tại các nước phát triển đã áp dụng hệ thống này, đầu thế kỷ 21, xu hướng mới nổi lên là ERM, cùng với các hệ thống CRM và SCM, tận dụng các tiến bộ của công nghệ Internet.
ERM là một khái niệm rộng hơn nhiều so với ERP, không chỉ đơn thuần là sự tiến hóa về chức năng hay kỹ thuật Nó được coi là một bộ công cụ quản lý doanh nghiệp, trong đó phần mềm chỉ là một phần nhỏ Các yếu tố quản lý như huấn luyện, lập cẩm nang quy trình, và kỹ thuật quản trị dự án đóng vai trò quan trọng trong ERM Sự thiếu hụt các yếu tố phi máy tính này là nguyên nhân chính khiến nhiều dự án ERP không thành công.
CRM tập trung vào việc cải thiện giao tiếp với khách hàng và nhà cung cấp, do đó được gọi là Quản trị quan hệ khách hàng Hệ thống này quản lý từ phân tích thị trường, lập kế hoạch tiếp thị và bán hàng, đến các chiến dịch tiếp thị qua thư và email Nó cũng quản lý đơn đặt hàng và các hoạt động chăm sóc khách hàng như call center, hỗ trợ qua Internet và tự động Hơn nữa, CRM cung cấp phân tích đa chiều về khách hàng, giúp doanh nghiệp định hướng cho các hoạt động phát triển sản phẩm và bán hàng.
Hệ thống quản trị quan hệ với đối tác (PRM) được phát triển để tối ưu hóa sự phối hợp giữa doanh nghiệp và các đối tác, nhằm nâng cao hiệu quả phục vụ khách hàng chung Điều này không chỉ giúp cải thiện chất lượng dịch vụ mà còn giảm thiểu chi phí phát sinh từ các hoạt động thiếu sự phối hợp giữa các bên.
CRM dựa trên công nghệ Web và Internet, mang lại khả năng tiếp cận rộng rãi cho hệ thống từ bất kỳ điểm nào Khái niệm CRM đã trở nên phổ biến gần đây, với hãng Siebel của Mỹ, được thành lập vào năm 1993 bởi Tom Siebel, là đơn vị tiên phong trong lĩnh vực này.
SCM là phần mềm hỗ trợ quản lý chuỗi cung ứng, bao gồm lập kế hoạch mua nguyên vật liệu, lựa chọn nhà cung cấp, và thiết lập quy trình tuân thủ cho việc cung cấp nguyên vật liệu Phần mềm này còn giúp lập kế hoạch sản xuất, quản lý giao hàng, kho bãi, lịch giao hàng, đồng thời quản lý hàng trả lại và hỗ trợ khách hàng trong quá trình nhận hàng.
Trong các hệ thống phần mềm quản lý, ERP giữ vai trò quan trọng nhất, là xương sống của mọi hệ thống quản lý tại các công ty hoạt động hiệu quả trên toàn cầu Nếu hệ thống ERP của các công ty đa quốc gia gặp sự cố, họ sẽ ngừng hoạt động ngay lập tức, vì không thể kiểm soát hàng trăm chi nhánh và hàng triệu giao dịch hàng ngày một cách thủ công Đối với các công ty nhỏ hơn, ERP cũng là công cụ thiết yếu giúp nâng cao hiệu quả quản lý.
1.1.3 Các phân hệ cơ bản của ERP Đặc trưng của phần mềm ERP là có cấu trúc phân hệ (module) Phần mềm có cấu trúc phân hệ là một tập hợp gồm nhiều phần mềm riêng lẻ, mỗi phần mềm có một chức năng riêng Từng phân hệ có thể hoạt động độc lập nhưng do bản chất của hệ thống ERP, chúng kết nối với nhau để tự động chia sẻ thông tin với các phân hệ khác nhau nhằm tạo nên một hệ thống mạnh hơn Các phân hệ cơ bản của một phần mềm ERP điển hình có thể như sau: 2
1 Nguồn: http://www.pcworld.com.vn/pcworld/printArticle.asp?atcl_id_5e5c585a5a5b
2 Nguồn: http://dos.com.vn/vn/tin-tuc/p159/Tong-quan-ve-Erp h
NHỮNG VẤN ĐỀ CHUNG VỀ KIỂM TOÁN NỘI BỘ TRONG DOANH NGHIỆP
1.2.1 Khái niệm về kiểm toán nội bộ
Khi nói đến kiểm toán nội bộ (KTNB), mặc dù khái niệm này đã xuất hiện từ lâu trên thế giới, nhưng vẫn còn khá mới mẻ đối với nhiều doanh nghiệp và tổ chức tại Việt Nam Trên các trang tuyển dụng, chúng ta thường thấy các vị trí như Chuyên viên Kiểm soát nội bộ (KSNB), nhưng rất hiếm khi gặp vị trí Chuyên viên KTNB, ngoại trừ trong các tổ chức tín dụng như ngân hàng thương mại.
Chuẩn mực kiểm toán số 610 của Việt Nam định nghĩa kiểm toán nội bộ (KTNB) là một phần quan trọng trong hệ thống kiểm soát nội bộ (KSNB) của đơn vị, có chức năng kiểm tra và đánh giá tính phù hợp, hiệu quả cũng như sự tuân thủ pháp luật và các quy định liên quan đến kế toán Định nghĩa này nhấn mạnh vai trò của KTNB trong việc đo lường và đánh giá hiệu quả của các kiểm soát khác, nhưng lại bị giới hạn trong lĩnh vực tài chính – kế toán, điều này không còn phù hợp với xu hướng phát triển của KTNB trên thế giới hiện nay.
Hiệp hội KTVNB (IIA) định nghĩa kiểm toán nội bộ (KTNB) là hoạt động độc lập nhằm gia tăng giá trị và cải thiện hiệu quả tổ chức KTNB hỗ trợ tổ chức đạt được mục tiêu thông qua việc đánh giá và cải tiến quy trình quản lý rủi ro, kiểm soát và quản trị doanh nghiệp Điều này cho thấy rằng các giới hạn về lĩnh vực hoạt động của KTNB đã được xóa bỏ, mở rộng vai trò phục vụ tổ chức và doanh nghiệp KTVNB tập trung vào việc tối đa hóa lợi ích cho tổ chức và doanh nghiệp.
Một số thuật ngữ được hiểu như sau:
Sự đảm bảo là quá trình kiểm tra khách quan các bằng chứng nhằm đánh giá độc lập về quản lý rủi ro, môi trường kiểm soát và quy trình quản trị trong tổ chức Các đánh giá này bao gồm các lĩnh vực tài chính, hoạt động, tuân thủ, an toàn hệ thống thông tin máy tính, cùng với các hoạt động kiểm tra chi tiết và toàn diện khác.
Hoạt động tư vấn cung cấp khuyến nghị và dịch vụ kiểm toán, với phạm vi và nội dung công việc được thống nhất trước với đối tượng kiểm toán Mục tiêu chính là nâng cao giá trị và hiệu quả hoạt động của tổ chức.
Tăng thêm giá trị cho tổ chức thông qua việc tìm hiểu và đánh giá rủi ro bằng cách thu thập và phân tích các bằng chứng Các KTVNB có thể có cái nhìn sâu sắc về hoạt động của tổ chức và xác định cơ hội cải tiến, từ đó mang lại lợi ích cho tổ chức Giá trị được nâng cao thông qua phát triển sản phẩm, dịch vụ và tối ưu hóa nguồn lực Những thông tin cải tiến này được cung cấp dưới dạng tư vấn, bao gồm lời khuyên, báo cáo kiểm toán và các dịch vụ khác.
Hỗ trợ tổ chức là trọng tâm của kiểm toán nội bộ (KTNB), tập trung vào việc đạt được các mục tiêu chính của tổ chức KTNB giúp xác định và tối ưu hóa quy trình để đảm bảo rằng những mục tiêu này có thể được thực hiện hiệu quả ngay từ các cấp thấp nhất trong tổ chức.
Quy trình quản lý rủi ro bao gồm các chính sách, thủ tục và hoạt động cần thiết để xác định, đánh giá và ứng phó với những rủi ro tiềm ẩn, nhằm bảo vệ khả năng đạt được các mục tiêu của tổ chức.
Quy trình kiểm soát bao gồm các chính sách, thủ tục và hoạt động được xây dựng nhằm đảm bảo rằng các quyết định và chỉ thị từ nhà quản lý được thực hiện một cách hiệu quả.
Quá trình quản trị liên quan đến các thủ tục mà đại diện của chủ sở hữu áp dụng để giám sát các hoạt động do các nhà quản lý thực hiện.
1.2.2 Lịch sử hình thành và phát triển của kiểm toán nội bộ
Lịch sử phát triển của Kiểm toán nội bộ (KTNB) cho thấy sự gắn bó chặt chẽ với nhu cầu quản lý trong bối cảnh phân cấp quyền sở hữu và quản lý ngày càng cao Khi khối lượng giao dịch và công việc trở nên phức tạp, vai trò của KTNB càng trở nên quan trọng, giúp chủ sở hữu và quản lý cấp cao có thể giám sát hiệu quả Mặc dù hệ thống kiểm tra và kiểm soát có thể được xây dựng, việc xác định tính tuân thủ và hiệu lực của các quy tắc trong thực tế vẫn gặp khó khăn Do đó, chủ doanh nghiệp cần sự hỗ trợ từ những người trực tiếp kiểm tra và báo cáo Hoạt động KTNB đã xuất hiện từ thời kỳ Pharaoh với những hình thức đầu tiên tại Bộ phận tài chính trung tâm, nhưng đến thế kỷ 19, nó chủ yếu tập trung vào việc phát hiện gian lận.
Khi doanh nghiệp mở rộng hoạt động và lĩnh vực, việc tuân thủ các chuẩn mực đạo đức trong quản lý trở nên ngày càng quan trọng Sự phát triển của các quy định trong Đạo luật năm cũng góp phần nâng cao trách nhiệm và tính minh bạch trong hoạt động kinh doanh.
Vào năm 1977, Mỹ đã ban hành các quy định về những hành vi hối lộ bên ngoài, cùng với việc áp dụng Đạo luật này của Ủy ban Chứng khoán và Giao dịch, cũng như Đạo luật Tổng thanh tra, đã tạo ra sức ép quản lý lớn đối với các nhà điều hành Điều này làm tăng tầm quan trọng của kiểm toán nội bộ (KTNB), mở rộng vai trò của nó không chỉ trong kế toán và kiểm soát kế toán mà còn trong các lĩnh vực tài chính và phi tài chính, nhằm phục vụ cho Hội đồng giám đốc và Ủy ban Kiểm toán.
Viện Kiểm Toán Nội Bộ (IIA) được thành lập vào năm 1941 với 25 hội viên, đánh dấu sự khởi đầu cho sự phát triển có hệ thống của ngành kiểm toán nội bộ Đến năm 1970, IIA đã bắt đầu chương trình đào tạo và cấp chứng chỉ Kiểm Toán Viên Nội Bộ (KTVNB), và năm 1978, tổ chức này ban hành các chuẩn mực thực hành cho kiểm toán nội bộ, tạo nên bước tiến quan trọng trong lĩnh vực này Hiện nay, IIA đã có hơn 150.000 hội viên tại 165 quốc gia, trong đó khoảng 65.000 hội viên sở hữu chứng chỉ KTVNB, chứng minh sự lớn mạnh và vị thế vững chắc của nghề kiểm toán nội bộ.
Kiểm toán nội bộ (KTNB) đã xuất hiện từ lâu nhưng chỉ thực sự phát triển mạnh mẽ sau các vụ gian lận tài chính tại Công ty Worldcom và Enron vào những năm 2000-2001, đặc biệt khi Luật Sarbanes-Oxley được ban hành năm 2002 Luật này yêu cầu các công ty niêm yết trên thị trường chứng khoán Mỹ phải báo cáo về hiệu quả của hệ thống kiểm soát nội bộ (KSNB) Do đó, chức năng quan trọng và cơ bản của KTNB là đảm bảo hệ thống KSNB hoạt động hiệu quả, nhằm đạt được các mục tiêu của doanh nghiệp.
ẢNH HƯỞNG CỦA ỨNG DỤNG ERP ĐỐI VỚI HOẠT ĐỘNG KIỂM TOÁN NỘI BỘ TRONG DOANH NGHIỆP
1.3.1 Một số ảnh hưởng của ứng dụng ERP đến hoạt động của doanh nghiệp 1.3.1.1 Môi trường kiểm soát nội bộ thay đổi
Việc áp dụng ERP trong doanh nghiệp là nỗ lực của nhà quản lý nhằm nâng cao hiệu quả hoạt động của tất cả các bộ phận Khi triển khai ERP, cấu trúc quản lý sẽ được điều chỉnh cho phù hợp Sự khác biệt chính giữa môi trường có và không có ERP là mọi hoạt động và dữ liệu kế toán, tài chính được xử lý và lưu trữ trên hệ thống máy tính với nguồn dữ liệu thống nhất Hệ thống máy tính tự động thực hiện kiểm tra, xác minh, đánh giá, giám sát và kiểm soát truy cập, do đó, sự can thiệp của con người trong hệ thống kiểm soát nội bộ sẽ bị hạn chế trong môi trường ERP.
1.3.1.2 Thiếu vắng các dấu vết kiểm toán truyền thống
Trong hệ thống kế toán truyền thống, mỗi giao dịch đều để lại dấu vết kiểm toán qua văn bản và chữ ký, giúp việc kiểm tra và xử lý trở nên rõ ràng Tuy nhiên, trong môi trường ERP, nhiều chứng từ và báo cáo được tự động tạo ra, dẫn đến sự biến mất của chứng từ truyền thống và sự phức tạp trong sổ sách Điều này không chỉ làm khó khăn cho kiểm toán nội bộ trong việc điều tra và thu thập bằng chứng, mà còn đặt ra thách thức cho sự phát triển của các phương pháp kiểm toán truyền thống.
1.3.1.3 Đa dạng hóa các rủi ro kiểm toán
Chính vì dữ liệu ERP được tích hợp cao, từ đó dễ dẫn đến các rủi ro kiểm toán mới: h
Trong bối cảnh kiểm soát dữ liệu trong hệ thống ERP, việc tích hợp cao dữ liệu liên quan đến các hoạt động then chốt của doanh nghiệp đã dẫn đến việc các nhà sản xuất phần mềm tích hợp nhiều thủ tục kiểm soát cho từng ứng dụng cụ thể Điều này nhằm đảm bảo thông tin được ghi nhận và xử lý một cách chính xác và đầy đủ, từ đó cung cấp thông tin đáng tin cậy cho người sử dụng thông qua việc kiểm soát dữ liệu đầu vào, quá trình xử lý và thông tin đầu ra Tuy nhiên, sự tích hợp này cùng với quá trình xử lý dữ liệu tự động cũng đã làm gia tăng các rủi ro kiểm toán.
Phần lớn các phần mềm thiết kế hiện nay đều tích hợp nhiều chức năng trong một giao diện, điều này tạo ra sự tiện lợi nhưng cũng gây khó khăn trong việc phân công nhiệm vụ Ví dụ, màn hình nhập liệu hóa đơn bán hàng thường đồng thời phục vụ cho việc xuất kho, dẫn đến việc phân quyền cho kế toán bán hàng và kế toán kho trở nên phức tạp Tình trạng này không thể thực hiện hiệu quả trong hệ thống kế toán thủ công.
Việc phê duyệt và thực hiện nghiệp vụ hiện nay chủ yếu dựa vào các phần mềm tự động hóa, dẫn đến việc các nhà quản lý thường mặc định sự phê duyệt tự động khi chấp nhận thiết kế phần mềm.
Gian lận trên phần mềm có thể xảy ra dễ dàng do truy cập trái phép, đánh cắp hoặc sửa đổi thông tin mà không để lại dấu vết rõ ràng Ngoài ra, sai sót trong thiết kế phần mềm và cách vận hành của con người cũng làm tăng khả năng xảy ra lỗi Hơn nữa, việc kiểm tra và giám sát để phát hiện gian lận và sai sót đã giảm đi đáng kể do sự cắt giảm nhân sự trong quá trình sử dụng phần mềm.
Phần lớn các KTVNB chưa hiểu rõ về hoạt động kiểm soát ứng dụng, dẫn đến việc họ không đưa ra yêu cầu hợp lý cho các hoạt động kiểm soát phần mềm Do đó, cần yêu cầu nhà sản xuất phần mềm thiết kế các thủ tục kiểm soát chặt chẽ để đảm bảo thông tin từ phần mềm có độ tin cậy cao, từ đó nâng cao chất lượng thông tin cung cấp cho người sử dụng.
Hầu hết các kiểm toán viên nội bộ thường dựa vào thông tin đầu ra từ phần mềm ERP mà không thực hiện kiểm tra và xem xét lại, điều này dẫn đến việc giảm chất lượng và hiệu quả của quá trình kiểm toán.
Thông tin đầu ra của phần mềm chịu ảnh hưởng lớn từ phương pháp xử lý dữ liệu, với các nghiệp vụ tương tự thường được xử lý hàng loạt, dẫn đến việc nếu có sai sót trong phân tích, thiết kế hay lập trình, toàn bộ nghiệp vụ có thể bị ảnh hưởng Việc chia sẻ thông tin qua mạng cũng gia tăng rủi ro cho doanh nghiệp, do hệ thống mạng kết nối cả bên trong và bên ngoài tổ chức Sự gia tăng số lượng người dùng làm cho việc kiểm soát trở nên khó khăn, và nếu không kiểm soát tốt, độ tin cậy của thông tin trong hệ thống sẽ bị suy giảm do sự can thiệp của kẻ phá hoại Hơn nữa, việc xử lý dữ liệu trên mạng còn phụ thuộc vào các thiết bị điều khiển như card mạng, dây mạng, và thiết bị kết nối, do đó, nếu các thiết bị này không đạt tiêu chuẩn kỹ thuật, khả năng truyền thông tin sẽ bị ảnh hưởng, thậm chí gây sai lệch thông tin.
1.3.2 Ảnh hưởng của ERP đối với hoạt động kiểm toán nội bộ
Sự thay đổi công nghệ ứng dụng trong doanh nghiệp không chỉ ảnh hưởng đến các hoạt động và chức năng của từng bộ phận, mà còn tác động trực tiếp đến kiểm soát nội bộ (KTNB) Việc cập nhật công nghệ sẽ làm thay đổi cách thức vận hành, nâng cao hiệu quả công việc và cải thiện quy trình quản lý trong tổ chức.
Theo SIA 14, chuẩn mực kiểm toán nội bộ (KTNB) trong môi trường công nghệ thông tin không thay đổi về mục tiêu và phạm vi Tuy nhiên, việc sử dụng máy tính đã làm thay đổi quy trình, khả năng lưu trữ, phục hồi và truyền đạt thông tin tài chính, cùng với sự tương tác giữa các quy trình, hệ thống và thủ tục kiểm soát Những thay đổi này có thể ảnh hưởng đến hệ thống kiểm soát nội bộ (KSNB).
- Các thủ tục kiểm toán để đạt đến sự hiểu biết đầy đủ các quy trình, hệ thống và hệ thống KSNB;
- Sự xem xét của kiểm toán viên về quản lý rủi ro và các hệ thống liên tiếp
Hệ thống ERP đã tạo ra sự thay đổi lớn trong chức năng kiểm toán nội bộ (KTNB), giúp giảm bớt công việc thủ công và cho phép kiểm toán viên dành ít thời gian hơn cho quản lý khủng hoảng và giải quyết vấn đề Theo Saharia (2008), việc ứng dụng ERP trong sản xuất kinh doanh đã giảm thiểu nhiều rủi ro hoạt động, tài chính và các rủi ro khác liên quan đến gian lận và tuân thủ quy định, tuy nhiên lại làm tăng rủi ro công nghệ Điều này dẫn đến việc các kiểm toán viên nội bộ phải chú trọng hơn đến bảo mật, tính toàn vẹn dữ liệu, khả năng thích ứng của hệ thống và tính ổn định Mặc dù vậy, nhiều kiểm toán viên không tham gia vào quá trình thiết kế và triển khai ERP, khiến họ phải dành thêm thời gian để xem xét lại quy trình và đảm bảo chất lượng sau khi ứng dụng.
Nhiều nghiên cứu đã chỉ ra rằng hệ thống ERP có tác động đáng kể đến quy trình kiểm toán, giúp kiểm toán viên thực hiện công việc nhanh chóng hơn nếu họ hiểu rõ về hệ thống và các dấu vết kiểm toán Hệ thống ERP tự động cập nhật, báo cáo và kiểm tra các giao dịch, từ đó tăng tốc độ kiểm toán Tuy nhiên, kiểm toán viên nhận thấy rằng để thực hiện kiểm toán hiệu quả trong môi trường ERP, hệ thống kiểm soát nội bộ (KSNB) cần phải mạnh mẽ và có các biện pháp bảo mật phù hợp Do các giao dịch trong ERP được tự động nhập mà không cần kiểm tra trước, điều này dẫn đến việc thiếu dấu vết kiểm toán, làm gia tăng rủi ro kiểm soát và sai sót.
Việc ứng dụng ERP trong quản lý không làm thay đổi chức năng cơ bản của kiểm toán nội bộ (KTNB) Thay vào đó, môi trường ERP yêu cầu kiểm toán viên phải có kiến thức sâu rộng về hệ thống này để giảm thiểu rủi ro trong hoạt động doanh nghiệp Đồng thời, điều này cũng đảm bảo rằng thông tin do phần mềm cung cấp là đáng tin cậy và hữu ích cho quá trình kiểm toán.
Việc hiểu rõ phương thức hoạt động và quy trình kiểm soát trong môi trường ERP không hề đơn giản ERP được thiết kế để nâng cao hiệu quả hoạt động, tối ưu hóa quy trình và cải thiện khả năng cạnh tranh cho doanh nghiệp Khi triển khai ERP, doanh nghiệp có thể gia tăng quy mô và thu nhập tài chính nhờ vào việc giảm chi phí trong một thị trường cạnh tranh khốc liệt Tuy nhiên, việc ứng dụng ERP yêu cầu kiểm toán viên phải mở rộng kiến thức về công nghệ thông tin để thực hiện hiệu quả các chức năng kiểm toán Điều này dẫn đến việc kiểm toán viên có thể mất dần vai trò truyền thống của mình, khi mà vai trò này ngày càng được giao cho bộ phận công nghệ thông tin Do đó, sự hợp nhất giữa ngành kế toán và hệ thống thông tin quản lý là cần thiết để tạo ra nguồn nhân lực có khả năng đối mặt với những thách thức hiện nay.
HOẠT ĐỘNG KIỂM TOÁN NỘI BỘ TẠI VIỆT NAM
2.1.1 Thực tế hoạt động kiểm toán nội bộ ở Việt Nam
Kiểm toán nội bộ (KTNB) đóng vai trò quan trọng và cần thiết trong hoạt động của doanh nghiệp, tuy nhiên, hiểu biết về lĩnh vực này còn hạn chế Nguyên nhân một phần do hệ thống văn bản pháp lý điều chỉnh KTNB tại Việt Nam còn sơ sài, gây khó khăn cho các doanh nghiệp trong quá trình triển khai Bên cạnh đó, một số doanh nghiệp vẫn chưa thực sự chú trọng đến hoạt động này.
Từ năm 1997, Nhà nước đã chú trọng xây dựng bộ máy Kiểm toán nội bộ (KTNB) trong doanh nghiệp nhà nước thông qua việc ban hành các văn bản pháp lý quan trọng như Quyết định số 832/TC-QĐ-CĐKT ngày 28/10/1997 và các Thông tư số 52/1998/TT-BTC và 171/1998/TT-BTC Bộ Tài chính đã tạo ra hành lang pháp lý cho hệ thống KTNB, quy định rõ ràng về trách nhiệm, nội dung, trình tự, phương pháp và tổ chức thực hiện Quyết định số 832/TC-QĐ-CĐKT đã đề cập đầy đủ các yếu tố liên quan đến bộ phận KTNB trong doanh nghiệp, khẳng định vị trí quan trọng của nó trong lĩnh vực này.
Thông tư số 171/1998/TT-BTC quy định rằng kiểm toán nội bộ (KTNB) là một hoạt động thường xuyên của doanh nghiệp nhà nước, nhằm đảm bảo độ tin cậy của số liệu kế toán và thông tin trong báo cáo tài chính Doanh nghiệp có thể lựa chọn bộ máy KTNB phù hợp với quy mô sản xuất, địa bàn hoạt động và năng lực của đội ngũ kế toán Bộ máy KTNB sẽ chịu sự chỉ đạo trực tiếp của tổng giám đốc hoặc giám đốc doanh nghiệp Tuy nhiên, việc tổ chức bộ máy KTNB không phải là bắt buộc đối với tất cả các doanh nghiệp.
Kể từ khi các văn bản pháp quy về kiểm toán nội bộ (KTNB) được ban hành, sự cần thiết của KTNB đã được nhận thức rõ ràng, dẫn đến việc triển khai tại một số doanh nghiệp nhà nước Nhiều tổng công ty lớn như Tổng công ty xăng dầu, Tổng công ty điện lực, và Tổng công ty bưu chính viễn thông đã xây dựng bộ máy KTNB Đến cuối năm 2002, khoảng 100 doanh nghiệp nhà nước ở cả trung ương và địa phương đã tổ chức bộ máy KTNB.
Mô hình kiểm toán nội bộ (KTNB) trong các doanh nghiệp nhà nước đã gặp khó khăn ngay từ khi triển khai, do lo ngại về việc tăng biên chế nếu thực hiện đúng quy định Hệ quả là nhiều tổng công ty và tập đoàn kinh tế nhà nước vẫn xem nhẹ KTNB Theo khảo sát của Viện Nghiên cứu và quản lý kinh tế Trung ương công bố vào ngày 12/11/2010, chỉ có 31% doanh nghiệp sử dụng kiểm toán nội bộ, dẫn đến tình trạng khai báo và minh bạch thông tin yếu kém, cùng với nhiều bất cập trong công tác quản lý điều hành.
Các tập đoàn và tổng công ty nhà nước đóng vai trò quan trọng trong nền kinh tế, nhưng quy định về kiểm toán nội bộ (KTNB) vẫn còn xa lạ với nhiều doanh nghiệp niêm yết Theo một chuyên gia kiểm toán, hiện có khoảng trống pháp lý về KTNB trong các công ty niêm yết, do Luật doanh nghiệp năm 2005 và Quy chế quản trị công ty niêm yết của Ủy ban Chứng khoán Nhà nước không yêu cầu bắt buộc thành lập bộ phận KTNB.
4 Nguồn: http://www.baomoi.com/Doanh-nghiep-nha-nuoc-Da-phan-thieu-minh-bach/45/5191756.epi h
Ngân hàng Nhà nước đã chú trọng đến việc thiết lập hệ thống kiểm toán nội bộ (KTNB) trong lĩnh vực ngân hàng, đặc biệt do tính nhạy cảm của hoạt động tín dụng trong nền kinh tế Thông tư số 44/2011/TT-NHNN ban hành ngày 29/12/2011 là văn bản gần đây nhất quy định về hệ thống kiểm soát nội bộ (KSNB) và KTNB cho các tổ chức tín dụng và chi nhánh ngân hàng nước ngoài.
Thêm một văn bản nữa đề cập tới vấn đề KTNB, là Luật Kiểm toán độc lập năm
Theo Điều 57 của Luật Kiểm toán độc lập năm 2011, có hiệu lực từ ngày 01/01/2012, các đơn vị có lợi ích công chúng có trách nhiệm xây dựng và vận hành hệ thống kiểm soát nội bộ (KSNB) hiệu quả Họ cũng phải tổ chức kiểm toán nội bộ theo quy định pháp luật nhằm bảo vệ an toàn tài sản, đánh giá chất lượng và độ tin cậy của thông tin kinh tế, tài chính, cũng như việc tuân thủ pháp luật, chế độ, chính sách của Nhà nước và quy định của đơn vị.
Mặc dù đã có nhiều quy định, nhưng các doanh nghiệp niêm yết vẫn chưa có nhận thức đầy đủ về kiểm toán nội bộ (KTNB), và việc xây dựng cũng như vận hành tổ chức này một cách nghiêm túc và chuyên nghiệp vẫn còn hạn chế.
Hoạt động kiểm toán nội bộ (KTNB) ở Việt Nam vẫn chưa đạt được kết quả rõ ràng từ khi xuất hiện Nguyên nhân chủ yếu là do sự tiếp cận còn mới mẻ, khiến việc rút kinh nghiệm gặp khó khăn trong bối cảnh tài liệu tham khảo hạn chế và không phù hợp với tình hình kinh tế quốc gia Thêm vào đó, hầu hết doanh nghiệp chưa chú trọng đúng mức đến nhu cầu KTNB, do tiến trình cải cách doanh nghiệp diễn ra chậm chạp, chưa đáp ứng yêu cầu phát triển Điều này đặc biệt rõ nét trong các doanh nghiệp áp dụng hệ thống ERP.
2.1.2 Đánh giá rủi ro trong kiểm toán nội bộ giúp doanh nghiệp đạt được mục tiêu hoạt động
Mục tiêu chính của các doanh nghiệp là tối đa hóa lợi nhuận, và để đạt được điều này, việc thiết lập hệ thống kiểm soát nội bộ (KSNB) hiệu quả là rất quan trọng Hệ thống này giúp các nhà quản trị giảm thiểu thiệt hại do những rủi ro không lường trước trong hoạt động sản xuất kinh doanh, đồng thời đảm bảo tính hiệu quả và hệ thống trong quản lý Một phần thiết yếu của KSNB là kiểm toán nội bộ (KTNB), với chức năng đánh giá và cải thiện hiệu quả quản trị rủi ro, kiểm soát và đánh giá KTNB hỗ trợ doanh nghiệp trong việc thiết lập mục tiêu hoạt động, lập kế hoạch và giám sát quá trình thực hiện, đồng thời thực hiện đánh giá rủi ro để nâng cao hiệu quả hoạt động.
Phương pháp đánh giá và nhận diện rủi ro trong doanh nghiệp đang được áp dụng rộng rãi trên toàn cầu Tại Việt Nam, mặc dù hệ thống văn bản pháp lý điều chỉnh hoạt động kiểm toán nội bộ (KTNB) còn nhiều bất cập, lĩnh vực ngân hàng lại có một hệ thống văn bản pháp lý riêng biệt cho KTNB Trong đó, phương pháp KTNB được nhấn mạnh như một phương pháp kiểm toán quan trọng.
Định hướng theo rủi ro là phương pháp ưu tiên tập trung nguồn lực để kiểm toán các đơn vị, bộ phận và quy trình có mức độ rủi ro cao, theo quy định tại Thông tư 44/2011/TT-NHNN về hệ thống kiểm soát nội bộ và kiểm toán nội bộ của tổ chức tín dụng và chi nhánh ngân hàng nước ngoài.
Phương pháp tiếp cận dựa trên định hướng rủi ro trong kiểm toán nội bộ (KTNB) tập trung vào việc xác định và đánh giá các rủi ro của tổ chức Qua đó, kế hoạch kiểm toán được xây dựng và các thủ tục kiểm toán được lựa chọn nhằm đảm bảo tính hiệu quả và tính hiệu lực của các quy trình quản lý rủi ro Điều này giúp ban lãnh đạo có được sự đảm bảo cần thiết về khả năng quản lý rủi ro của tổ chức.
Rõ ràng, cách tiếp cận này có những điểm mạnh sau:
KTVNB chủ động nhận diện và đánh giá rủi ro, thiết kế thủ tục kiểm toán từ đầu cuộc kiểm toán Hành động này không chỉ nâng cao hiệu quả kiểm toán mà còn củng cố vai trò của KTNB như một trợ giúp quan trọng trong quá trình kiểm toán.
KHẢO SÁT CÁC RỦI RO TRONG DOANH NGHIỆP CÓ ỨNG DỤNG
Dựa trên tình hình thực tế của các doanh nghiệp, đặc biệt là những doanh nghiệp ứng dụng ERP, tác giả đã xác định mục tiêu và nội dung khảo sát tại Tp.Hồ Chí Minh và Bình Dương Nghiên cứu này tập trung vào các tiêu chí liên quan đến nhận định, phát hiện và khắc phục rủi ro trong quản trị doanh nghiệp, nhằm nâng cao hiệu quả công tác kiểm toán nội bộ (KTNB) theo định hướng phát triển hiện nay.
2.2.1 Các loại rủi ro chủ yếu phát sinh trong doanh nghiệp
Rủi ro trong doanh nghiệp thường xuất phát từ nhiều nguyên nhân, bao gồm mâu thuẫn về mục tiêu hoạt động và các chiến lược không phù hợp Các yếu tố bên ngoài như chính trị, môi trường cạnh tranh, thay đổi ngành và quy định pháp lý cũng đóng vai trò quan trọng Bên cạnh đó, yếu tố nội bộ như quy trình hoạt động, công nghệ, thiếu nhân sự chủ chốt và quản lý chất lượng yếu cũng góp phần gây ra rủi ro Theo bản chất, rủi ro trong doanh nghiệp có thể được phân loại thành rủi ro kinh doanh, tài chính, nhân nhượng và điều hành.
Rủi ro doanh nghiệp xuất phát từ nhiều nguồn khác nhau, đặc biệt là trong bối cảnh ứng dụng ERP tại TP.HCM và Bình Dương Các loại rủi ro chính bao gồm: a Rủi ro kinh doanh, liên quan đến yếu tố kinh tế, kỹ thuật và cạnh tranh, ảnh hưởng trực tiếp đến lợi nhuận thông qua việc quản lý nguồn hàng và chi phí đầu vào b Rủi ro tài chính, bao gồm lãi suất, dòng tiền và tỷ giá hối đoái, với các vấn đề thường gặp như sai sót trong quản lý dòng tiền và tổn thất do biến động tỷ giá, cần chú trọng vào quản lý luồng tiền và mối quan hệ thanh toán với nhà cung cấp c Rủi ro kiểm soát, ảnh hưởng đến khả năng giám sát và quản lý quy trình trong doanh nghiệp.
Kiểm toán nội bộ (KTNB) là một bộ phận quan trọng trong hệ thống kiểm soát nội bộ (KSNB) của doanh nghiệp Hệ thống KSNB bao gồm các quy trình nhằm đảm bảo tính hiệu quả và minh bạch trong hoạt động của tổ chức, trong khi KTNB là thực thể hoạt động độc lập để đánh giá và cải thiện các quy trình này.
Đánh giá rủi ro trong kiểm toán nội bộ là một yếu tố quan trọng giúp doanh nghiệp đạt được mục tiêu hoạt động hiệu quả Việc đánh giá rủi ro kiểm soát đảm bảo hệ thống kiểm soát nội bộ (KSNB) vận hành một cách hiệu quả và hiệu suất Nghiên cứu về rủi ro trong kiểm toán nội bộ tại các doanh nghiệp sử dụng ERP tập trung vào việc đánh giá kiểm soát các loại rủi ro này.
Công việc đánh giá rủi ro kiểm soát bao gồm hai loại chính: kiểm soát chung, bao gồm kiểm soát phát triển và kiểm soát tổ chức, cùng với kiểm soát ứng dụng, bao gồm kiểm soát đầu vào, kiểm soát quá trình xử lý dữ liệu và kiểm soát đầu ra.
Hoạt động kiểm soát chung:
Kiểm soát chung là một phần quan trọng trong quản lý môi trường công nghệ thông tin, liên quan đến việc xây dựng, duy trì và vận hành các chương trình dựa trên máy tính Mục tiêu chính của kiểm soát chung là đảm bảo sự phát triển và thực hiện chính xác các ứng dụng, bảo vệ tính nguyên vẹn của chương trình và dữ liệu, cũng như đảm bảo hoạt động ổn định của máy tính Các hoạt động kiểm soát cụ thể trong kiểm soát chung bao gồm kiểm soát phát triển và kiểm soát tổ chức.
Kiểm soát phát triển là yếu tố quan trọng để đảm bảo hệ thống phát triển hiệu quả, với việc xem xét đúng đắn các vấn đề liên quan, bao gồm cả kiểm soát trong quá trình lắp đặt Thông qua việc kiểm soát phát triển, các chương trình được theo dõi chặt chẽ và thường xuyên rà soát lại, giúp phát hiện và sửa chữa kịp thời các sai sót trong hệ thống.
Kiểm soát tổ chức là yếu tố quan trọng trong hệ thống thủ công, bao gồm việc phân chia nhiệm vụ giữa các bộ phận như bộ phận sử dụng, bộ phận máy tính và bộ phận sử dụng dữ liệu để đảm bảo khả năng chế biến và xử lý sai lệch nghiệp vụ Sự phân chia nhiệm vụ giữa nhân viên phân tích, lập trình và điều hành cũng rất cần thiết Hiểu biết đầy đủ về hệ thống từ một cá nhân hoặc nhóm nhỏ có thể dẫn đến việc lạm dụng xử lý dữ liệu Trong môi trường máy tính, kiểm soát được thể hiện qua việc thiết lập quy định truy cập, lập thư viện file dữ liệu và phân quyền kiểm soát sao lưu dữ liệu cho người có trách nhiệm, cũng như duy trì khả năng tái tạo dữ liệu bị mất.
Hoạt động kiểm soát ứng dụng diễn ra qua hai loại thủ tục: thủ tục kiểm soát được lập trình sẵn trong phần mềm và thủ tục kiểm soát do con người thực hiện bên ngoài phần mềm Để đạt được các mục tiêu kiểm soát ứng dụng, cần có sự kết hợp hài hòa giữa hai loại thủ tục này Dưới đây là các nội dung liên quan đến các thủ tục kiểm soát phổ biến trong phần mềm ứng dụng.
Kiểm soát đầu vào là quá trình đảm bảo rằng dữ liệu nhập vào hệ thống là đầy đủ và chính xác, giúp giảm thiểu sai sót và chi phí sửa chữa Trong môi trường ERP, sai sót có thể gây ảnh hưởng nghiêm trọng đến toàn bộ quy trình liên quan Những hoạt động cụ thể liên quan đến kiểm soát đầu vào đóng vai trò quan trọng trong việc duy trì tính chính xác của dữ liệu.
Bộ phận sử dụng cần kiểm soát đầu vào dữ liệu một cách chặt chẽ, chịu trách nhiệm đảm bảo tính chính xác và đầy đủ của thông tin Điều này bao gồm việc xác minh nguồn gốc dữ liệu, thực hiện các biện pháp kiểm tra và đảm bảo rằng mọi thông tin được sử dụng đều đáp ứng tiêu chuẩn chất lượng.
Đầu vào là kết quả của các nghiệp vụ hợp lệ
Các thủ tục phê duyệt thích hợp đều có hiệu lực
Các tài liệu được phân loại một cách hợp lý để nhập vào hệ thống
Tài liệu đầu vào được chuẩn bị bởi bộ phận sử dụng có thể sử dụng được ngay
Tài liệu đầu vào là kết quả của các nghiệp vụ hợp lệ
Kiểm soát đầu vào ở phòng máy tính là quy trình được lập trình sẵn nhằm đảm bảo tính đầy đủ và hợp lệ của dữ liệu trước khi tiến hành xử lý tự động Quy trình này bao gồm nhiều bước kiểm tra cần thiết để xác nhận thông tin trước khi đưa vào hệ thống.
Kiểm soát xác minh: kiểm soát này nhằm làm giảm bớt các sai sót trong dữ liệu đầu vào, dữ liệu được nhập vào hai lần
Kiểm soát tính hợp lệ: đây là kiểm soát để đảm bảo dữ liệu là hợp lý hoặc như thiết kế ban đầu
Bộ phận thu thập dữ liệu cần thiết lập tổng số kiểm soát bên ngoài bộ phận máy tính, và những kiểm soát này phải được chuyển giao cho bộ phận kiểm soát dữ liệu máy tính.
Kiểm soát quá trình xử lý dữ liệu: bao gồm các hoạt động kiểm soát sau:
Kiểm soát chạy chương trình là các biện pháp nhằm đảm bảo tính liên tục trong hoạt động xử lý Các biện pháp này được thực hiện thông qua nhiều hình thức, bao gồm việc sử dụng dòng văn bản đầu mục để xác định file máy tính, đếm kích cỡ file, và kiểm soát thông qua việc đối chiếu số tổng cộng.
ĐỊNH HƯỚNG HOẠT ĐỘNG KIỂM TOÁN NỘI BỘ TRONG CÁC DOANH NGHIỆP CÓ ỨNG DỤNG ERP
SỰ CẦN THIẾT CỦA XÂY DỰNG KIỂM TOÁN NỘI BỘ NÓI CHUNG VÀ TRONG MÔI TRƯỜNG ERP NÓI RIÊNG
VÀ TRONG MÔI TRƯỜNG ERP NÓI RIÊNG
Kiểm toán nội bộ (KTNB) đóng vai trò quan trọng trong việc giúp nhà quản lý thực hiện giám sát thường xuyên và định kỳ đối với hệ thống kiểm soát nội bộ (KSNB) Sự cần thiết phải hoàn thiện hệ thống KTNB tại các doanh nghiệp xuất phát từ cơ sở lý luận chung về tổ chức kiểm toán nội bộ, nhằm kiểm tra và đánh giá hiệu quả cũng như tính hữu hiệu của hệ thống KSNB.
Vai trò của kiểm toán nội bộ (KTNB) trong doanh nghiệp là đảm bảo và tư vấn độc lập, khách quan nhằm tăng giá trị và cải thiện hoạt động KTNB không chỉ dừng lại ở kiểm tra và đánh giá mà còn mở rộng sang tư vấn cho nhà quản trị về hoạt động doanh nghiệp Trước đây, KTNB chủ yếu tập trung vào kiểm toán tuân thủ và kiểm toán tài chính, nhưng hiện nay, trong bối cảnh công nghệ, KTNB cần xác nhận tính sẵn sàng của hệ thống máy tính, tính bảo mật cho người dùng có thẩm quyền, và tính tin cậy của thông tin cung cấp.
Vai trò của kiểm toán nội bộ (KTNB) đang ngày càng phát triển và không ngừng được cải thiện để đáp ứng yêu cầu quản lý và sự phức tạp của các nghiệp vụ trong doanh nghiệp Hiện nay, nhu cầu về kiểm toán nội bộ trong các doanh nghiệp đang gia tăng, phản ánh sự thay đổi trong môi trường kinh doanh và yêu cầu quản lý hiện đại.
Đến nay, yêu cầu kiểm tra và kiểm soát nội bộ (KSNB) tại các doanh nghiệp Việt Nam chủ yếu tập trung vào việc tuân thủ pháp luật và quy chế nội bộ Tuy nhiên, phương pháp này đã trở nên không còn phù hợp, vì ban lãnh đạo không chỉ cần đảm bảo tuân thủ mà còn muốn có công cụ để xác định và quản lý rủi ro Do đó, nhu cầu về KSNB trong các doanh nghiệp ngày càng cao, với mục tiêu phát hiện và phòng ngừa rủi ro, trở thành một công cụ quan trọng hỗ trợ lãnh đạo trong việc ra quyết định.
Mặc dù tổ chức kiểm toán nội bộ (KTNB) tại các doanh nghiệp đã có những tiến bộ nhất định, nhưng vẫn còn nhiều bất cập trong quy trình và tổ chức thực hiện, như đã phân tích ở chương II Để đạt được mục tiêu chung của hoạt động doanh nghiệp, việc hoàn thiện các khía cạnh còn tồn tại trong tổ chức KTNB là rất cần thiết Hơn nữa, yêu cầu hội nhập vào nền kinh tế thế giới càng thúc đẩy sự cần thiết phải cải thiện và nâng cao hiệu quả của tổ chức KTNB.
Khi hội nhập vào nền kinh tế thế giới, doanh nghiệp phải đảm bảo tính tin cậy của các báo cáo tài chính đã công bố Do đó, việc mở rộng vai trò và trách nhiệm của Kiểm toán nội bộ (KTNB) là cần thiết, bao gồm việc phân tích và đánh giá hệ thống Kiểm soát nội bộ (KSNB), cũng như kiểm tra các thông tin kế toán giữa kỳ và các thông tin khác mà kiểm toán viên độc lập không xem xét trong quá trình kiểm toán hàng năm.
Hội nhập kinh tế thế giới yêu cầu hoạt động kiểm toán nội bộ (KTNB) tại các doanh nghiệp phải tuân thủ các chuẩn mực kiểm toán quốc tế KTNB được thực hiện khác nhau tùy thuộc vào môi trường văn hóa và pháp lý, cũng như quy mô, mục đích và cơ cấu tổ chức của từng tổ chức Sự khác biệt này ảnh hưởng đến việc thực hành KTNB, vì vậy việc tuân thủ chuẩn mực quốc tế là điều thiết yếu cho các kiểm toán viên nội bộ Khi hội nhập, KTNB không chỉ cần phù hợp với các thông ước quốc tế mà còn phải thay đổi để đáp ứng các yêu cầu về tư vấn rủi ro và kiểm soát, nhằm bảo vệ thành quả quản trị doanh nghiệp Do đó, KTNB tại các doanh nghiệp Việt Nam cần được hoàn thiện cả về quy trình lẫn thực hành kiểm toán.
ĐỊNH HƯỚNG HOẠT ĐỘNG KIỂM TOÁN NỘI BỘ TRONG DOANH NGHIỆP ỨNG DỤNG ERP
3.2.1 Định hướng về nội dung, quy trình và phương pháp kiểm toán nội bộ
Kết quả khảo sát cho thấy hầu hết các doanh nghiệp thiếu kiến thức chuyên môn về công nghệ thông tin, dẫn đến rủi ro lớn từ hệ thống mà họ không thể dự đoán Những rủi ro này khác biệt so với môi trường xử lý thủ công, yêu cầu kiểm toán viên phải hiểu rõ về rủi ro trong môi trường ERP và xử lý dữ liệu điện tử Do đó, việc giám sát và xử lý kịp thời những rủi ro này là vô cùng cần thiết.
Các rủi ro trong môi trường ERP cần phải được kiểm soát đó là:
- Truy cập trái phép đến các thông tin quan trọng
- Thông tin cung cấp không đầy đủ hay không chính xác (rủi ro từ dữ liệu đầu vào và quy trình xử lý)
- Sự cố về kỹ thuật làm cho các hoạt động bị ngưng trệ hay mất dữ liệu
Dựa trên việc đánh giá các rủi ro đặc thù của môi trường ERP, KTVNB nên tập trung vào các công việc sau: h
3.2.1.1 Kiểm toán vận hành và độ an toàn bảo mật của cơ sở hạ tầng công nghệ thông tin tại đơn vị a Đánh giá văn bản hướng dẫn vận hành: Ở giai đoạn đầu, doanh nghiệp phải chuẩn bị cho việc biên soạn sổ tay hướng dẫn các bước hoạt động và đào tại đối với những người vận hành mới Đây là công việc quan trọng vì họ sẽ là người vận hành hệ thống và kiểm toán viên phải quan tâm tới bước công việc này để khẳng định sự phù hợp trong mục tiêu triển khai ERP và thực hiện b Kiểm toán chính sách an toàn và bảo mật thông tin và công tác phổ biến chính sách trong toàn doanh nghiệp:
Thông tin là tài sản quý giá của doanh nghiệp, và việc bảo vệ thông tin khỏi rủi ro như lộ, thay đổi, mất mát hay từ chối là rất quan trọng Những rủi ro này có thể ảnh hưởng nghiêm trọng đến hoạt động, uy tín và chiến lược của tổ chức Trong bối cảnh xử lý dữ liệu ngày càng phụ thuộc vào công nghệ và hạ tầng mạng, việc đảm bảo an ninh thông tin không chỉ giúp bảo mật thông tin và chiến lược mà còn tăng cường niềm tin của nhà quản lý vào dữ liệu và thông tin từ phần mềm.
Tại Việt Nam, nhiều doanh nghiệp đã triển khai các giải pháp công nghệ như tường lửa, hệ thống chống xâm nhập và phần mềm diệt virus để đảm bảo an toàn hệ thống Tuy nhiên, các yếu tố quan trọng khác như con người, quy trình và tiêu chuẩn quốc tế vẫn chưa được chú trọng đầy đủ Sự thiếu hụt trong việc kết nối và giám sát những yếu tố này chủ yếu do chưa có một chính sách bảo mật thông tin hiệu quả.
Chính sách bảo mật là tài liệu quan trọng, tập hợp các quy định và yêu cầu mà tổ chức, doanh nghiệp cần tuân thủ để đảm bảo an toàn thông tin Được phê chuẩn bởi lãnh đạo, chính sách này là nền tảng để xây dựng các giải pháp bảo mật và quy trình an toàn hệ thống Nó cũng cung cấp hướng dẫn thực hiện, kết nối yếu tố con người, quản trị và công nghệ nhằm đạt được mục tiêu an toàn Hơn nữa, chính sách bảo mật nâng cao nhận thức về an toàn thông tin và phân chia trách nhiệm cho các thành viên, từ đó giúp hệ thống vận hành hiệu quả và an toàn hơn.
Công tác đánh giá này nhằm đảm bảo kiểm soát hiệu quả, bao gồm:
Việc phân chia nhiệm vụ giữa các bộ phận cần được xem xét để xác định xem có phù hợp với thiết kế và mục tiêu kiểm soát ban đầu hay không Nếu sự phân chia này đúng, cần đánh giá mức độ kiêm nhiệm và tác động của nó đến độ tin cậy của thông tin được cung cấp từ phần mềm.
Sự phân chia giữa các bộ phận như bộ phận sử dụng, bộ phận máy tính và bộ phận sử dụng dữ liệu là cần thiết để đảm bảo khả năng chế biến và xử lý chính xác các nghiệp vụ Đồng thời, việc tách biệt giữa nhân viên phân tích, nhân viên lập trình và nhân viên điều hành cũng giúp hạn chế việc một cá nhân hoặc nhóm nhỏ nắm vững toàn bộ hệ thống, từ đó giảm thiểu nguy cơ sử dụng các thủ thuật gây sai lệch dữ liệu.
Hệ thống kiểm soát truy cập cho phép KTVNB và các bộ phận chức năng truy cập thông tin về đối tượng truy cập và quyền hạn tương ứng Mục tiêu là đảm bảo chỉ những người có thẩm quyền mới có quyền truy cập và thay đổi dữ liệu trong hệ thống Phạm vi truy cập được phân loại từ "Không truy cập" đến "Đọc và xóa", tùy thuộc vào mức độ quyền hạn Đồng thời, hệ thống cũng kiểm tra và ngăn chặn các truy cập trái phép từ bên ngoài, dựa trên quy định và quy trình đã ban hành, nhằm đảm bảo hiệu quả của phần mềm kiểm soát truy cập.
Đánh giá quy định về đặt mật khẩu là bước quan trọng trong việc bảo vệ hệ thống, bắt đầu từ việc tạo user và mật khẩu Trong khi user thường được thiết lập theo một quy chuẩn nhất định bởi bộ phận IT, mật khẩu lại do người dùng tự tạo ra Việc đánh giá này nhằm đảm bảo ngăn chặn khả năng truy cập trái phép, góp phần tăng cường an ninh cho hệ thống.
Cách đặt mật khẩu cũng cần được chú ý xây dựng theo các nguyên tắc sau:
Để đảm bảo an toàn cho mật khẩu, cần quy định chiều dài tối thiểu là tám ký tự, bao gồm ký tự đặc biệt, chữ hoa, chữ thường và sự kết hợp giữa chữ và số.
Khi tạo mật khẩu, cần tránh sử dụng tên của người thân, ngày tháng năm sinh và số điện thoại để bảo đảm an toàn và ngăn chặn việc bị dò mật khẩu một cách dễ dàng.
Để tăng cường bảo mật, cần quy định thời hạn hết hạn của mật khẩu và yêu cầu người dùng thay đổi mật khẩu thường xuyên Nếu người dùng không thực hiện việc thay đổi mật khẩu theo thời hạn quy định, quyền truy cập vào hệ thống sẽ bị khóa Người dùng chỉ có thể tiếp tục sử dụng hệ thống khi được người quản trị kích hoạt lại.
Để đảm bảo an ninh, cần thiết lập giới hạn số lần nhập sai mật khẩu, ví dụ như khóa quyền truy cập sau ba lần nhập sai Dù lần thứ tư có nhập đúng mật khẩu, quyền truy cập vẫn sẽ bị chặn cho đến khi người quản trị máy tính kích hoạt lại.
Để bảo vệ cơ sở dữ liệu, cần đảm bảo rằng không được truy cập trực tiếp Mọi sửa chữa và thay đổi thông tin phải được thực hiện thông qua các công cụ và chương trình theo quy trình nghiệp vụ cũng như quy định của người có thẩm quyền Ngoài ra, việc truy cập vào cơ sở dữ liệu cần được ghi lại đầy đủ, bao gồm thời gian truy cập và các công việc liên quan đến việc sửa chữa và thay đổi thông tin.
Để tăng cường kiểm toán bảo mật dữ liệu, cần chú trọng đến việc chia sẻ thông tin kế toán qua máy tính và công nghệ mạng, trong khi vẫn đảm bảo an toàn cho dữ liệu Sự phát triển của công nghệ và tác động của con người làm gia tăng nguy cơ cho mạng lưới thông tin, đặc biệt trong môi trường dữ liệu điện tử, nơi mà thông tin dễ bị sửa đổi và giả mạo mà không để lại dấu vết Điều này dẫn đến sự giảm độ tin cậy của kiểm toán thông tin, trong khi bằng chứng kiểm toán trên mạng có thể bị đánh chặn hoặc thay thế, đe dọa tính xác thực của dữ liệu Do đó, việc chủ động thực hiện kiểm toán bảo mật dữ liệu là cần thiết, và đây là một khía cạnh quan trọng trong kiểm toán nội bộ, đặc biệt trong môi trường ERP.
3.2.1.2 Tăng cường mức độ chính xác của thông tin đầu ra a Tăng cường kiểm soát dữ liệu thô đầu vào: