6. Tổng quan tài liệu nghiên cứu
3.3.1. Nâng cao tổ chức thực hiện quy trình kế toán
Khi ứng dụng ERP, đầu ra của quy trình này là đầu vào của quy trình khác. Nhƣ đã biết, một bộ phận không thể thực hiện đƣợc nhiệm vụ nếu bộ phận trƣớc đó chƣa thực hiện. Thế nên, khi một công việc không thể hoàn thành theo kịp tiến độ có thể tìm hiểu đƣợc nguyên nhân ở khâu nào từ đó đƣa ra các giải pháp khắc phục kịp thời. Kế toán không thể xử lý khi thiếu thông tin cung cấp từ các phòng ban khác vì số liệu đƣợc đƣa vào một lần và thống nhất trong suốt quá trình hoạt động tiếp theo. Thế nên, công việc của kế toán chịu sự giám sát của các phòng ban khác nhƣ: bán hàng, mua hàng, tài chính… về mức độ hoàn thành. Điều này cũng gây áp lực lên nhân viên thực hiện nhƣng nhờ đó, các lỗi sai đƣợc phát hiện kịp thời, thông tin cung cấp đảm bảo tính tin cậy. Cách thức làm việc theo quy trình sẽ ảnh hƣởng, tƣơng tác lẫn nhau giữa các bộ phận. Cùng với các bộ phận khác trong doanh nghiệp, bộ phận kế toán cũng cần xây dựng quy trình mới dành riêng cho kế toán và cần thống nhất với quy trình chung của toàn doanh nghiệp. Quy trình này đóng vai trò quan trọng trong việc hƣớng dẫn ngƣời thực hiện và cụ thể hóa những yêu cầu công việc cũng nhƣ thể hiện mối tƣơng quan giữa các phần hành và phòng ban khác. Việc tuân thủ quy trình để đảm bảo tiến độ chung là cơ sở để đánh giá hiệu quả làm việc. Công tác giám sát tính tuân thủ
quy trình hoạt động cũng cần đƣợc thực hiện định kỳ, xem xét tính phù hợp của quy trình với thực tế đang diễn ra, từ đó tiến hành cải tiến quy trình, cập nhật sửa đổi thƣờng xuyên để phù hợp tình hình mới của doanh nghiệp.
Những yêu cầu cần thiết khi soạn thảo quy trình này là:
- Quy trình kế toán cần thống nhất với quy trình của toàn doanh nghiệp. Nhƣ đã biết, ERP không phải là phần mềm kế toán mà là hệ thống dành chung cho cả doanh nghiệp. Thế nên, mọi hoạt động của kế toán đều bắt nguồn từ hoạt động của các bộ phận khác đã xử lý trƣớc đó và kết quả xử lý của kế toán cũng ảnh hƣởng đến bộ phận khác. Kế toán không làm việc độc lập mà thừa hƣởng kết quả từ hệ thống, chính vì vậy, giữa các quy trình cần nhất quán, không mang tính mâu thuẫn.
- Quy trình kế toán cần đƣợc hƣớng dẫn chi tiết, rõ ràng, có hệ thống. Để có thể thực hiện đƣợc điều này, khi xây dựng quy trình, kế toán cần xem xét các yếu tố liên quan về quá trình lập và luân chuyển chứng từ: căn cứ và cơ sở nhập liệu là gì, cần xử lý những dữ liệu nào, kết xuất cần phải cung cấp ra sao, việc thực hiện xét duyệt đƣợc tiến hành theo trình tự nhƣ thế nào…Hƣớng tiếp cận theo chu trình kinh doanh sẽ giúp cho kế toán hiểu rõ công việc ở mức độ chi tiết mà lại mang tính tổng quát vì nhìn thấy đƣợc sự tƣơng tác của bộ phận với các bộ phận khác. Bộ phận kế toán cũng cần xây dựng quy trình chung và quy trình chi tiết cho từng phần hành/cùng loại nghiệp vụ.
- Quy trình kế toán cần đƣợc xem xét và góp ý bởi những ngƣời liên quan. Việc soạn thảo quy trình đòi hỏi cần có thời gian và mang tính rõ ràng, thống nhất. Sự tiếp thu ý kiến của những đối tƣợng liên quan đối với bản thảo sẽ góp phần làm hoàn thiện quy trình. Bên cạnh đó, kết quả của việc góp ý còn giúp cho quá trình thực hiện dễ dàng hơn trong thực tế. Trƣớc khi quy
trình đƣợc ký duyệt chính thức, kế toán cũng cần rà soát lại nhiều lần và thống nhất về nội dung trên cơ sở ý kiến của những ngƣời liên quan đã đƣa ra. - Quy trình kế toán cần đƣợc ký duyệt và có thời gian hiệu lực của việc ban hành. Quy trình đƣợc ban hành đòi hỏi tính tuân thủ, thế nên, công việc ký duyệt là điều không thể thiếu và liên quan đến ngƣời soạn thảo quy trình, ngƣời xem xét quy trình, giám đốc, tổng giám đốc…Công việc ký duyệt nhằm phân chia rõ trách nhiệm đồng thời hợp pháp hóa phạm vi và nội dung của quy trình. Thời gian hiệu lực cũng là điều quan trọng trong bất kỳ văn bản nào đƣợc ban hành. Nó giúp cho ngƣời thực hiện quy trình hiểu rõ ngày ban hành, thời gian quy trình đƣợc thực thi, bên cạnh đó, đây cũng là căn cứ thời gian quan trọng để nhận biết sự thay đổi giữa quy trình mới và quy trình cũ.
- Quy trình kế toán cần đƣợc phổ biến đến những bộ phận liên quan. Quy trình kế toán không chỉ có ý nghĩa đối với các thành viên trong bộ phận kế toán mà ngay cả các bộ phận khác cũng cần biết đến nó để hiểu rõ những yêu cầu và thủ tục cần thiết đế tiến hành công việc. Ví dụ nhƣ phòng mua hàng cần quan tâm đến quy trình kế toán phải trả, phòng bán hàng cần quan tâm đến quy trình kế toán phải thu, bộ phận ngân quỹ cần quan tâm đến quy trình thanh toán…Do đó, trong quy trình kế toán cũng cần xác định rõ những bộ phận liên quan nào và phổ biến đến họ một cách rõ ràng nhằm đảm bảo hiệu quả làm việc chung của toàn doanh nghiệp.
- Quy trình kế toán cần đƣợc cập nhật thƣờng xuyên. Các yêu cầu mới hoặc thực tế làm việc có thể làm cho một số nội dung quy trình trở nên không còn phù hợp. Thế nên, những điều chitnh hoặc sửa đổi cần đƣợc xem xét nhằm giúp cho quy trình ngày càng hoàn thiện và quá trình làm việc hiệu quả hơn.
Kiểm tra kế toán nhằm đảm bảo cho công tác kế toán trong doanh nghiệp thực hiện đúng chính sách, chế độ đƣợc ban hành, thông tin do kế toán
cung cấp có độ tin cậy cao, việc tổ chức công tác kế toán tiết kiệm hiệu quả. Kiểm tra kế toán do bộ phận kế toán tài chính tự thực hiện, kiểm tra trong nội bộ tổ chức công tác kế toán tại doanh nghiệp. Đó là sự kiểm tra lẫn nhau giữa các phần hành và sự kiểm tra của cấp trên đối với cấp dƣới. Tổ chức kiểm tra kế toán là trách nhiệm của ngƣời đứng đầu trong công tác kế toán tại doanh nghiệp. Cần phải căn cứ vào yêu cầu công tác mà xác định nội dung, phạm vi, thời điểm và phƣơng pháp tiến hành kiểm tra kế toán.
Nội dung tổ chức kiểm tra kế toán bao gồm:
- Xây dựng qui trình kiểm tra: Kiểm tra là một công việc không thể thiếu trong bất cứ hoạt động nào bởi nếu không có kiểm tra, nhân viên sẽ không cố gắng hoàn thành nhiệm vụ. Tuy nhiên, nếu kiểm tra quá nhiều sẽ giảm số lƣợng thời gian làm việc của nhân viên. Vì thế, khi xây dựng qui trình kiểm tra, ban lãnh đạo công ty cần phải xác định mục đích của việc kiểm tra là gì để từ đó đƣa ra những nội dung cần đƣợc kiểm tra và xác định phần hành cần phải kiểm tra. Tất cả những việc này còn nhằm mục đích báo cho phần hành đƣợc kiểm tra biết để chuẩn bị hồ sơ, sắp xếp thời gian và công việc.
- Báo cáo kết quả: Sau khi việc kiểm tra kết thúc, ngƣời đi kiểm tra phải đƣa ra những báo cáo về kết quả kiểm tra, đồng thời đề nghị biện pháp xử lý những vấn đề tồn đọng. Ngoài ra, kết quả kiểm tra còn là cơ sở để bộ phận kế toán tài chính nhìn lại những ƣu nhƣợc điểm của công việc đã làm, giúp bộ phận kế toán đƣa ra những hƣớng xử lý công việc tốt hơn.
3.3.2. Tăng ƣờng công nghệ
Hiện trạng hệ thống mạng hiện tại của Công Ty Cổ Phần Sản Xuất Thép Việt Mỹ không có hoạch định hệ thống rõ ràng từ đầu, đa số là phát sinh theo nhu cầu sử dụng thực tế chỉ đủ để đáp ứng nhu cầu công việc, chƣa chú trọng đến việc tối ƣu hệ thống, backup dữ liệu, phòng chống virus, không có bảo mật bằng tƣờng lửa, chƣa có đầu tƣ đồng bộ thiết bị về chiều sâu…Phần
đa hệ thống mạng phân tán, bao gồm nhiều cụm hệ thống nhỏ và sử dụng mạng ngang hàng. Do hệ thống phân tán nên khó quản trị hệ thống cũng nhƣ ngƣời dùng, không thể kiểm soát các user cũng nhƣ phần mềm độc hại trong thời gian làm việc, dễ thất thoát thông tin. Cần chú trọng và xây dựng hệ thống bảo mật cho hệ thống đồng thời xây dựng các chính sách ngƣời dùng tận dụng tài nguyên của hệ thống để phục vụ công việc tốt hơn. Vấn đề đƣa ra ở đây là chúng ta phải cần thiết lập đƣợc một hệ truyền thông tốc độ cao đƣợc thiết kế để kết nối các site lại với nhau, các máy tính, các thiết bị mạng và các thiết bị xử lý dữ liệu khác cùng hoạt động với nhau trong cùng 1 site. Chúng có thể kết nối lại với nhau trong một khu làm việc, hình thành hệ thống mạng xuyên suốt. Hệ thống mạng của Công ty phải đƣợc trang bị thiết bị dự phòng. Các kết nối bên trong 1 site là kết nối LAN, thông qua các bộ chuyển mạch truy cập, tập trung kết nối trong các phòng.
Do hệ thống ERP sử dụng cơ sở dữ liệu dùng chung nên yếu tố bảo mật đầu tiên mang tính chất quan trọng là kiểm soát truy cập từ bên ngoài. Mục tiêu của thủ tục kiểm soát này là ngăn ngừa những ngƣời từ bên ngoài tiếp cận hệ thống máy tính, mà trong đó có cài đặt ứng dụng ERP. Trƣớc hết phải làm cho nhân viên trong công ty nhận thấy đƣợc tầm quan trọng của công tác bảo mật trong việc sử dụng hệ thống ERP. Có thể dùng biện pháp nhƣ cấp account truy cập, quy định số lần đƣợc phép đăng nhập sai, gởi cảnh báo đến cho bộ phận IT…
Doanh nghiệp nên thiết lập kế hoạch chiến lƣợc an ninh đối với hệ thống máy tính nhƣ cài đặt phần mềm diệt virus, các chƣơng trình quét virus đƣợc cài đặt nhằm phát hiện và ngăn chặn các đoạn mã độc, các chƣơng trình gián điệp, các email có tệp tin virus đính kèm nhằm bảo đảm an toàn mạng, internet, kết nối trong hệ thống, lƣu trữ và sao lƣu dự phòng. Trách nhiệm liên quan cần đƣợc thực hiện xuyên suốt từ nhân viên đến quản lý, từ phòng công
nghệ thông tin đến các phòng ban khác. Trách nhiệm này cần đƣợc soạn thảo bằng văn bản có quy định về thời gian sao lƣu cụ thể, định kỳ (ngày, tuần, tháng, quý…), không gian sao lƣu và hƣớng dẫn cách thức sao lƣu rõ ràng.
3.3.3. Nâng cao khả năng kiểm soát của hệ thống
Thƣờng xuyên đánh giá khả năng kiểm soát hệ thống thông tin không những giúp doanh nghiệp nắm vững trạng thái hoạt động của hệ thống thông tin mà còn hiểu rõ hơn về hạn chế, yếu kém trong công tác kiểm soát nội bộ và cả những rủi ro tiềm tàng để đƣa ra những chính sách phù hợp. Việc truy cập, phá hủy hệ thống và dữ liệu có thể do những thiếu sót trong quá trình phát triển, duy trì hoặc vận hành hệ thống hoặc do gian lận để tìm cách truy cập trái phép, đánh cắp thông tin và sửa đổi dữ liệu mà không để lại bằng chứng hay dấu vết có thể nhận thấy đƣợc.
Vì vậy, kiểm soát truy cập bất hợp pháp và phân quyền truy cập dữ liệu một cách khoa học trong hệ thống SAP của doanh nghiệp là một nội dung rất quan trọng. Nếu sự cố xảy ra có thể dẫn đến việc mất hoặc hỏng dữ liệu làm cho hệ thống SAP ngừng hoạt động, ảnh hƣởng nghiêm trọng tới hoạt động sản xuất kinh doanh của doanh nghiệp. Một số hoạt động kiểm soát truy cập nhằm nâng cao năng lực hệ thống kiểm soát công nghệ thông tin trong doanh nghiệp:
- Kiểm soát thiết bị đầu cuối: Việc tiến hành kiểm soát các nguy cơ bảo mật trên các thiết bị đầu cuối cùng các công cụ xử lý sự cố tức thì có thể đáp ứng nhu cầu bảo vệ liên tục trƣớc sự tấn công của các hiểm họa ngày càng tân tiến hơn nhằm vào các thiết bị nhƣ điện thoại, máy tính bảng hay máy tính xách tay. Những công cụ này giám sát thiết bị đầu cuối, hệ thống mạng và lƣu trữ dữ liệu trong một cơ sở dữ liệu tập trung.
- Bảo vệ hệ thống thông tin khỏi sự thâm nhập bất hợp pháp: Việc thâm nhập máy tính và các hệ thống thông tin bất hợp pháp có thể làm tổn hại vật
chất cho doanh nghiệp và làm cho hệ thống SAP không thể vận hành theo thiết kế. Để hạn chế nguy cơ truy cập bất hợp pháp để phá hoại, sửa đổi hoặc lấy cắp thông tin thì việc kiểm soát truy cập vào hệ thống máy tính của doanh nghiệp là rất cần thiết. Việc bảo vệ hệ thống dữ liệu của doanh nghiệp khỏi sự truy cập bất hợp pháp là biện pháp tích cực ngay từ đầu để ngăn chặn sự phá hoại bằng nhiều kỹ thuật thâm nhập vô cùng sắc sảo và tinh vi. Ngoài việc hạn chế thâm nhập bất hợp pháp về mặt vật lý đối với các thiết bị máy tính, cần quan tâm để hạn chế quyền truy cập vào hệ thống dữ liệu và thông tin.
Các biện pháp cụ thể áp dụng để kiểm soát truy cập hệ thống bao gồm: + Phân quyền truy cập và sử dụng hệ thống: việc phân quyền đƣợc thực hiện thông qua việc xác định rõ ràng cá nhân, chức năng hay nhiệm vụ đƣợc phép sử dụng hay truy cập trong hệ thống.
+ Sử dụng các biện pháp xác thực điện tử: mỗi cá nhân đƣợc cấp một tên truy nhập cùng với mật khẩu xác thực. Hệ thống chỉ cho phép truy nhập khi xác thực đƣợc ngƣời sử dụng. Doanh nghiệp cần sử dụng nhiều biện pháp kỹ thuật để hạn chế giả mạo và đánh cắp mật khẩu, nâng cao an toàn cho hệ thống.
+ Sử dụng mật mã cho các tập tin: ngoài hệ thống xác thực truy cập hệ thống thông tin, doanh nghiệp còn có thể sử dụng mật mã cho các tập tin để giới hạn sự truy cập vào những tài nguyên nhất định.
o Phân quyền rõ ràng: quy định một ngƣời có thể thực hiện hoạt động nào đó trong số các hoạt động đƣợc phép khi thực hiện truy cập. Công việc phân quyền truy cập hệ thống trong bộ phận kế toán tài chính cần đƣợc soạn thảo bằng văn bản và căn cứ trên chức vụ, vị trí của phần hành mà khai báo quyền đƣợc xem, thêm, sửa, xóa hợp lý. Việc phân quyền này đã đƣợc quy định trong giai đoạn đầu vận hành ERP, và sẽ có điều chỉnh nếu có sự luân chuyển nhân sự trong công ty.
+ Giám sát hoạt động truy cập vào hệ thống: đảm bảo an ninh cho hệ thống thông tin doanh nghiệp không chỉ ngăn chặn sự truy cập trái phép mà còn phải theo dõi giám sát tất cả các hoạt động truy cập vào hệ thống. Doanh nghiệp có thể sử dụng Nhật ký truy cập để theo dõi, kiểm soát thời gian đăng nhập, loại yêu cầu truy cập và dữ liệu truy cập. Đây là căn cứ để truy tìm những truy cập bất hợp pháp vào hệ thống thông tin doanh nghiệp.
+ Kiểm soát truy cập thích ứng: thay cho việc phải khóa dữ liệu mỗi khi xảy ra sự cố, bộ phận công nghệ thông tin cũng cần phải cung cấp sự hỗ trợ thích hợp cho một khối lƣợng lớn các thiết bị di động kết nối vào hệ thống công ty. Để đảm bảo an toàn cho dữ liệu, các chuyên gia đề xuất sử dụng phƣơng pháp kiểm soát truy cập thích ứng, một dạng kiểm soát truy cập dựa theo ngữ cảnh cụ thể.
Tóm lại, trong điều kiện ứng dụng hệ thống SAP, nhận diện đƣợc các đặc điểm và yếu tố ảnh hƣởng tới công tác kiểm soát hệ thống thông tin để trên cơ sở đó xây dựng các biện pháp an toàn nhằm bảo vệ tài nguyên hệ