Trong hệ thống kế toán truyền thống, để ghi nhận thông tin về hoạt động kinh doanh được phản ánh bằng văn bản, mỗi giao dịch đều để lại dấu vết kiểm toán; việc trao đổi thông tin giữa các bộ phận trong các chu trình kinh doanh cũng được thể hiện bằng văn bản, có chữ ký, vì thế việc kiểm tra và xử lý có thể nhìn thấy rõ ràng. Tuy nhiên, trong môi trường ERP, rất nhiều chứng từ, báo cáo, ... có thể được tự động tạo ra, vì thế chứng từ truyền thống và sổ sách, một số đã biến mất, và một số thay đổi lớn, ngày càng trở nên tinh tế và phức tạp, ít để lại dấu vết kiểm toán hoặc thậm chí biến mất. Vì thế không chỉ gây khó khăn cho KTNB trong điều tra và thu thập bằng chứng kiểm toán, mà còn đặt ra nhiều thách thức để phát triển các phương pháp kiểm toán truyền thống.
1.3.1.3. Đa dạng hóa các rủi ro kiểm toán
Chính vì dữ liệu ERP được tích hợp cao, từ đó dễ dẫn đến các rủi ro kiểm toán mới:
Thứ nhất, xét trên khía cạnh các thủ tục kiểm soát: Chính vì dữ liệu trong ERP được tích hợp cao, liên quan hầu hết mọi hoạt động then chốt của doanh nghiệp, vì thế mỗi nhà sản xuất phần mềm đều cố gắng đưa vào một số thủ tục kiểm soát liên quan đến từng ứng dụng cụ thể. Điều này giúp cho việc ghi nhận thông tin, xử lý thông tin được chính xác và đầy đủ nhằm mục tiêu cung cấp thông tin có độ tin cậy cao cho người sử dụng, như kiểm soát dữ liệu đầu vào, kiểm soát quá trình xử lý dữ liệu, kiểm soát thông tin đầu ra,…. Tuy nhiên, vì sự tích hợp các thủ tục sẵn có và quá trình xử lý dữ liệu tự động đã làm gia tăng các rủi ro kiểm toán. Cụ thể như sau: - Vì tính tiện lợi và tự động hoá phục vụ cho mục đích sử dụng mà phần lớn các phần mềm thiết kế việc kiêm nhiệm, tức nhiều thủ tục kiểm soát được tập trung cho một người làm cho việc phân công, phân nhiệm rất khó thực hiện. Chẳng hạn như màn hình nhập liệu hoá đơn bán hàng được thiết kế kiêm luôn phiếu xuất kho nên khi phân quyền cho kế toán bán hàng và kế toán kho là điều rất khó. Điều này không cho phép thực hiện trong hệ thống kế toán thủ công.
- Việc xét duyệt và thực hiện nghiệp vụ được các phần mềm ngầm định do các nghiệp vụ được thực hiện tự động. Điều này dẫn đến việc các nhà quản lý đã ngầm định luôn sự phê duyệt tự động của mình trên phần mềm khi chấp nhận thiết kế của phần mềm.
- Khả năng xảy ra gian lận trên phần mềm cũng rất dễ xảy ra do việc truy cập trái phép, đánh cắp hay sửa xoá thông tin đôi khi không để lại dấu vết có thể thấy được bằng mắt thường. Khả năng xảy ra sai sót trên phần mềm có thể rất cao do sai sót trong thiết kế phần mềm, do con người vận hành phần mềm không đúng cách. Thêm vào đó; việc kiểm tra, giám sát để phát hiện gian lận và sai sót cũng giảm đi đáng kể do có sự cắt giảm nhân sự trong điều kiện sử dụng phần mềm.
Thứ hai, phần lớn, các KTVNB chưa có được những hiểu biết đúng đắn về các hoạt động kiểm soát ứng dụng cho nên họ đã không đưa ra được những yêu cầu chính đáng mà lẽ ra phải có đối với các hoạt động kiểm soát trên phần mềm. Cụ thể
là, cần phải yêu cầu nhà sản xuất phần mềm thiết kế các thủ tục kiểm soát chặt chẽ trên phần mềm ứng dụng để đảm bảo cho việc cung cấp thông tin từ phần mềm đạt độ tin cậy cao và có như thế chất lượng thông tin cung cấp cho người sử dụng thông qua công cụ phần mềm mới được bảo đảm.
Chính vì lẽ đó mà hầu hết các KTVNB thường tin cậy vào thông tin đầu ra được cung cấp từ chính phần mềm ERP, mà không có những bước kiểm tra và xem xét lại, do đó làm giảm chất lượng và hữu hiệu của một cuộc kiểm toán.
Ngoài ra, thông tin đầu ra chịu ảnh hưởng bởi phương pháp xử lý dữ liệu của phần mềm. Các nghiệp vụ cùng loại, cùng tính chất thường được phần mềm xử lý hàng loạt theo cùng một phương pháp nên dẫn đến nếu có một khiếm khuyết nào đó trong việc phân tích, thiết kế hay lập trình phần mềm sẽ làm cho các nghiệp vụ này bị xử lý sai hàng loạt giống nhau. Bên cạnh đó, việc chia sẻ thông tin và lưu trữ dữ liệu thông qua hệ thống mạng làm cho doanh nghiệp đối mặt với nhiều rủi ro ngày càng gia tăng, do hệ thống mạng không chỉ kết nối trong nội bộ của một tổ chức mà còn nối kết với bên ngoài. Hơn nữa, với sự gia tăng không ngừng về số lượng người dùng và điều này làm cho việc kiểm soát người dùng bên trong lẫn bên ngoài trở nên cực kỳ khó khăn. Và nếu như việc kiểm soát những đối tượng người dùng này không tốt sẽ làm cho mức độ tin cậy của thông tin trong toàn bộ hệ thống bị suy giảm đáng kể do sự can thiệp của những kẻ phá hoại khi chúng tham gia vào hệ thống mạng.Ngoài ra cũng phải kể đến việc xử lý dữ liệu trên mạng còn phụ thuộc vào các thiết bị điều khiển mạng như card mạng, dây mạng, thiết bị kết nối trong mạng nội bộ (hub), thiết bị kết nối mạng ra bên ngoài (modem, router)… nên nếu các thiết bị này không đủ tiêu chuẩn kỹ thuật theo yêu cầu sẽ làm cho khả năng truyền thông tin bị suy giảm thậm chí gây sai lệch về thông tin được cung cấp.
1.3.2. Ảnh hưởng của ERP đối với hoạt động kiểm toán nội bộ
Sự thay đổi công nghệ ứng dụng trong doanh nghiệp sẽ làm thay đổi ít nhiều đến các hoạt động của doanh nghiệp, các chức năng, hoạt động của các bộ phận liên quan và do đó sẽ tác động đến KTNB.
Theo SIA 14-Chuẩn mực KTNB về KTNB trong môi trường công nghệ thông tin, nhìn chung mục tiêu và phạm vi của KTNB không thay đổi trong môi trường công nghệ thông tin. Tuy nhiên, sử dụng máy tính làm thay đổi quy trình, khả năng lưu trữ, phục hồi và truyền đạt của thông tin tài chính và sự tương tác của quy trình, hệ thống và các thủ tục kiểm soát. Điều này có thể tác động đến hệ thống KSNB. Theo đó, môi trường công nghệ thông tin có thể tác động đến:
- Các thủ tục kiểm toán để đạt đến sự hiểu biết đầy đủ các quy trình, hệ thống và hệ thống KSNB;
- Sự xem xét của kiểm toán viên về quản lý rủi ro và các hệ thống liên tiếp. Hệ thống ERP đã dẫn đến một sự thay đổi đáng kể trong sự tập trung tổng thể trong các chức năng KTNB. Trong một môi trường tích hợp giảm bớt các công việc thủ công, KTVNB lẽ ra sau đó nên dành ít thời gian hơn trong quản lý khủng hoảng và giải quyết vấn đề một khi phát sinh và dành nhiều thời gian hơn để đảm bảo rằng hệ thống KSNB hoạt động đúng đắn (Saharia, 2008). Bởi vì, theo ông, việc ứng dụng ERP vào sản xuất kinh doanh đã cắt giảm hầu hết các rủi ro hoạt động (liên quan đến sự gián đoạn chu trình kinh doanh, môi trường kinh doanh bên ngoài, cải thiện quan hệ với khách hàng), rủi ro tài chính (rủi ro tín dụng, rủi ro thanh khoản,…) và rủi ro khác liên quan đến gian lận, sai lệch báo cáo, tuân thủ các quy định,…nhưng đồng thời làm tăng rủi ro công nghệ. Tức là KTVNB chú ý nhiều hơn đến tính bảo mật, tính toàn vẹn của dữ liệu và chương trình, khả năng thích ứng của mạng và thiết bị, tính ổn định của hệ thống,...Tuy nhiên, ông cũng nhấn mạnh rằng hầu hết các KTVNB tham gia vào cuộc khảo sát trên không đóng vai trò quan trọng trong quá trình thiết kế và triển khai ERP, chính vì thế họ cho rằng một khi ứng dụng ERP, họ phải dành nhiều thời gian hơn để xem xét lại quá trình và đảm bảo chất lượng.
Nhiều cuộc điều tra về tác động của ERP đến kiểm toán cũng chỉ ra rằng ERP làm thay đổi đáng kể quá trình kiểm toán. Nếu kiểm toán viên có sự hiểu biết đúng đắn về hệ thống ERP và các dấu vết kiểm toán, họ có thể thực hiện kiểm toán nhanh
hơn. Hệ thống ERP tự động thực hiện tất cả các cập nhật, báo cáo và kiểm tra các giao dịch trong một tổ chức, cũng làm tăng tốc độ của kiểm toán. Mặc dù thế, kiểm toán viên cũng chấp nhận rằng hệ thống ERP đòi hỏi hệ thống KSNB phải đủ mạnh và ủy quyền bảo mật để thực hiện kiểm toán hữu hiệu và hiệu quả trong môi trường mới. Trong hệ thống ERP, các giao dịch tự động nhập vào mà không cần xem trước hoặc trước khi kiểm tra. Vì vậy, thiếu các dấu vết kiểm toán và do đó làm tăng rủi ro kiểm soát và sai sót.
Như vậy, việc ứng dụng ERP vào quản lý không làm thay đổi chức năng cơ bản của KTNB. Ngược lại, môi trường ERP càng đòi hỏi kiểm toán viên phải có sự am hiểu đầy đủ về nó để giảm bớt các rủi ro trong quá trình hoạt động của doanh nghiệp đồng thời đảm bảo các thông tin được cung cấp bởi phần mềm đáng tin cậy và hữu ích cho cuộc kiểm toán.
Tuy nhiên, việc am hiểu về phương thức hoạt động và các thủ tục kiểm soát trong môi trường ERP quả là không đơn giản. Trên lý thuyết, ERP hỗ trợ để cải thiện nâng cao hiệu quả hoạt động, đẩy mạnh quá trình hoạt động hiệu quả, đẩy mạnh quá trình truyền thông và cải thiện khả năng cạnh tranh của doanh nghiệp. Khi ứng dụng ERP vào quản lý, quy mô sẽ gia tăng khi có sự cải thiện về hiệu quả của công nghệ thông tin, doanh nghiệp sẽ có được thu nhập tài chính đáng kể hơn khi giảm được giá thành trong một thị trường cạnh tranh khốc liệt bởi các đối thủ cùng ngành khác (Hitt và Brynjolfssom). Nhưng chính vì ứng dụng ERP, công nghệ thông tin vào mọi mặt hoạt động của doanh nghiệp, kiểm toán viên cần phải mở rộng kiến thức về công nghệ và các kỹ năng của họ để thực hiện một cách hữu hiệu và hiệu quả các chức năng kiểm toán (Kinney, 2001). Chính vì lý do này mà nhiều ý kiến cũng cho rằng, KTVNB đang mất dần vai trò truyền thống như người đánh giá, bởi vì vai trò này bây giờ được xây dựng cho bộ phận công nghệ thông tin và bởi vì kiến thức kiểm toán của họ dễ dàng chuyển giao cho nhân viên công nghệ thông tin (Spathis và Constantinides, 2004). Vì vậy, kiểm toán viên cho rằng ngành học kế toán và hệ thống thông tin quản lý cần thiết hợp nhất lại để có thể cung cấp nguồn
nhân lực có thể đối mặt với những thách thức hiện nay (Bagranoff và Vendrzyk, 2000).
Như vậy, KTNB trong môi trường ERP phải đối diện với nhiều thách thức. Để có thể giữ vững và phát huy vai trò của mình trong một doanh nghiệp, đó là công cụ trợ giúp đắc lực cho công tác quản lý, KTVNB phải nhận thức được các rủi ro then chốt liên quan đến hệ thống ERP để lập kế hoạch và thực hiện chức năng bảo đảm của mình.
CHƯƠNG 2. THỰC TRẠNG KIỂM TOÁN NỘI BỘ TRONG DOANH NGHIỆP ỨNG DỤNG ERP TẠI TP.HỒ CHÍ MINH
VÀ BÌNH DƯƠNG