ỨNG DỤNG PHẦN MỀM ERP Ở TP .HCM VÀ BÌNH DƯƠNG
3.1. SỰ CẦN THIẾT CỦA XÂY DỰNG KIỂM TỐN NỘI BỘ NĨI CHUNG
VÀ TRONG MƠI TRƯỜNG ERP NĨI RIÊNG
Như đã phân tích ở chương I, KTNB là một trong những cơng cụ hữu hiệu để giúp các nhà quản lý thực hiện sự giám sát thường xuyên và định kỳ đối với hệ thống KSNB, nhằm kiểm tra và đánh giá sự hữu hiệu cũng như tính hiệu quả của hệ thống KSNB. Qua một số điểm sau có thể thấy được sự cần thiết phải hoàn thiện hệ thống KTNB tại các doanh nghiệp:
a. Xuất phát từ cơ sở lý luận chung về tổ chức kiểm toán nội bộ trong doanh nghiệp:
Vai trị của KTNB nói chung trong doanh nghiệp là đảm bảo và tư vấn một cách độc lập, khách quan, nhằm làm tăng giá trị và cải thiện hoạt động của doanh nghiệp. Hoạt động KTNB không dừng lại ở một trạng thái tĩnh mà phát triển liên tục cùng với sự ra đời của hàng loạt các dịch vụ giá trị gia tăng theo qui mô hoạt động của doanh nghiệp. Nếu trước đây, vai trò của KTNB chỉ dừng ở mức độ kiểm tra và đánh giá các mặt hoạt động thì nay KTNB mở rộng sang vai trò tư vấn độc lập, khách quan cho các nhà quản trị về hoạt động doanh nghiệp. Hơn nữa, nếu trước đây, nội dung KTNB chỉ dừng lại ở kiểm tốn tn thủ, kiểm tốn tài chính nhằm xác nhận các hoạt động của doanh nghiệp có được tuân thủ theo quy định nội bộ, quy định của nhà nước hay không; các báo cáo tài chính có được lập trên cơ sở chuẩn mực và chế độ kiểm toán hiện hành, tuân thủ pháp luật liên quan và phản ánh trung thực, hợp lý trên các khía cạnh trọng yếu hay khơng; thì nay trong mơi trường cơng nghệ, KTNB phải xác nhận rằng hệ thống máy tính sẵn sàng cho hoạt động kinh doanh tại mọi thời điểm (tính sẵn sàng); chỉ những người có thẩm quyền mới được sử dụng (tính bảo mật); thông tin cung cấp kịp thời và chính xác (tính tin cậy),…
Như vậy, qua sự phát triển theo chiều đi lên của vai trò KTNB, ta thấy rằng vai trị này sẽ khơng dừng lại mà liên tục được bổ sung và thay đổi theo yêu cầu quản lý, mức độ phức tạp và hiện đại của các nghiệp vụ phát sinh tại doanh nghiệp.
b. Xuất phát từ thực trạng hiện nay đối với yêu cầu kiểm toán nội bộ trong các doanh nghiệp:
Cho đến nay, yêu cầu kiểm tra, KSNB tại các doanh nghiệp Việt Nam chỉ dừng ở việc kiểm tra tính tuân thủ các qui định của pháp luật và các qui chế nội bộ. Hiện nay, cách thức kiểm tra, kiểm tốn này khơng cịn phù hợp nữa bởi ngồi mục đích tn thủ quản lý nhà nước, bản thân ban lãnh đạo cũng mong muốn tạo ra một cơng cụ giúp mình khoanh vùng rủi ro nhằm hạn chế và ngăn ngừa rủi ro. Yêu cầu về KTNB trong các doanh nghiệp được đòi hỏi cao hơn trong việc phát hiện, phòng chống các rủi ro và ngày càng trở thành công cụ đắc lực của lãnh đạo doanh nghiệp.
Mặt khác, xuất phát từ những mặt tồn tại trong tổ chức KTNB tại các doanh nghiệp. Vẫn còn nhiều những bất cập trong việc đưa ra qui trình cũng như tổ chức thực hiện như đã phân tích ở chương II. Do vậy, tổ chức KTNB cũng cần phải hoàn thiện các mặt còn tồn tại nhằm đạt được mục tiêu chung của hoạt động doanh nghiệp.
c. Xuất phát từ yêu cầu hội nhập nền kinh tế thế giới:
Một trong những đòi hỏi khi hội nhập nền kinh tế thế giới là các doanh nghiệp phải có trách nhiệm trong đảm bảo độ tin cậy của các báo cáo tài chính đã được cơng bố. Do vậy, cần thiết phải mở rộng vai trò và trách nhiệm của KTNB, bao gồm cả việc phân tích và đánh giá hệ thống KSNB, cũng như kiểm tra các thơng tin kế tốn giữa kỳ và những thơng tin khác khơng được xem xét bởi các kiểm tốn viên độc lập khi thực hiện kiểm toán hàng năm.
Hơn thế nữa, hội nhập nền kinh tế thế giới, hoạt động KTNB tại các doanh nghiệp cũng phải hoàn thiện phù hợp với các chuẩn mực kiểm toán quốc tế. Hoạt động KTNB được thực hiện khác nhau tuỳ theo mơi trường văn hố và luật pháp. Các tổ chức có qui mơ, mục đích hoạt động, cơ cấu tổ chức khác nhau thì KTNB
được tổ chức và hoạt động khác nhau. Sự khác nhau này sẽ ảnh hưởng đến việc thực hành hoạt động KTNB khi một tổ chức ở mỗi môi trường khác nhau. Do vậy, việc tuân thủ chuẩn mực kiểm toán quốc tế trong thực hành KTNB là một yêu cầu thiết yếu mà các KTVNB phải tuân thủ. Khi hội nhập kinh tế thế giới, một mặt bản thân KTNB phải hội nhập với các thông ước chung về KTNB của thế giới, mặt khác các hoạt động nghiệp vụ của doanh nghiệp cũng thay đổi, từ đó đặt ra các yêu cầu về tư vấn rủi ro, kiểm tra kiểm soát cũng phải thay đổi để đáp ứng cho công tác quản trị doanh nghiệp nhằm bảo vệ những thành quả đạt được. Do vậy, KTNB tại các doanh nghiệp Việt Nam phải hoàn thiện dần cả trong xây dựng qui trình lẫn thực hành kiểm tốn.
3.2. ĐỊNH HƯỚNG HOẠT ĐỘNG KIỂM TOÁN NỘI BỘ TRONG DOANH NGHIỆP ỨNG DỤNG ERP
3.2.1. Định hướng về nội dung, quy trình và phương pháp kiểm tốn nội bộ
Kết quả khảo sát cho thấy đa số các doanh nghiệp khơng có kiến thức chun môn về lĩnh vực công nghệ thơng tin, phần vì họ vốn chỉ chú ý vào các hoạt động tác nghiệp, vì thế các rủi ro xuất phát từ hệ thống là rất lớn và không lường trước được. Những rủi ro này lại có nhiều sự khác biệt so với rủi ro trong môi trường xử lý thủ cơng, nên địi hỏi kiểm tốn viên phải có hiểu biết chính xác về rủi ro trong mơi trường ERP nói riêng và mơi trường xử lý dữ liệu điện tử nói chung và phải giám sát, xử lý những rủi ro này một cách kịp thời có hiệu quả.
Các rủi ro trong mơi trường ERP cần phải được kiểm sốt đó là: - Truy cập trái phép đến các thông tin quan trọng
- Thông tin cung cấp không đầy đủ hay không chính xác (rủi ro từ dữ liệu đầu vào và quy trình xử lý)
- Sự cố về kỹ thuật làm cho các hoạt động bị ngưng trệ hay mất dữ liệu
Dựa trên việc đánh giá các rủi ro đặc thù của môi trường ERP, KTVNB nên tập trung vào các công việc sau:
3.2.1.1. Kiểm toán vận hành và độ an toàn bảo mật của cơ sở hạ tầng công nghệ thông tin tại đơn vị
a. Đánh giá văn bản hướng dẫn vận hành:
Ở giai đoạn đầu, doanh nghiệp phải chuẩn bị cho việc biên soạn sổ tay hướng dẫn các bước hoạt động và đào tại đối với những người vận hành mới. Đây là công việc quan trọng vì họ sẽ là người vận hành hệ thống và kiểm toán viên phải quan tâm tới bước công việc này để khẳng định sự phù hợp trong mục tiêu triển khai ERP và thực hiện.
b. Kiểm tốn chính sách an tồn và bảo mật thông tin và công tác phổ biến chính sách trong tồn doanh nghiệp:
Thơng tin là một trong những tài sản quan trọng, quý giá đối với tổ chức doanh nhiệp. Những rủi ro đối với các thông tin như bị lộ, bị thay đổi, bị mất mát, bị từ chối đều ảnh hưởng nghiêm trọng đến hoạt động, đến uy tín, đến chiến lược của tổ chức, doanh nghiệp. Trong môi trường xử lý dữ liệu phụ thuộc nhiều vào máy tính, vào hạ tầng mạng thì làm tốt cơng tác an ninh thông tin giúp doanh nghiệp bảo mật được các thông tin, chiến lược đồng thời giúp nhà quản lý tin tưởng hơn vào các số liệu, thông tin được cung cấp từ phần mềm.
Tại Việt Nam, hầu như các doanh nghiệp cũng đều đã xây dựng các giải pháp nhằm đảm bảo an toàn hệ thống như trang bị hệ thống tường lửa (Firewall), hệ thống chống xâm nhập (IPS), hệ thống phòng chống virus (Antivirus),… Tuy nhiên, tất cả chỉ đơn thuần là giải pháp cơng nghệ, cịn các yếu tố khác như con người, qui trình, tiêu chuẩn quốc tế chưa được chú trọng. Các yếu tố đó chưa tốt và chưa gắn kết, chưa được giám sát bởi còn thiếu một yếu tố rất quan trọng, đó là chính sách bảo mật thơng tin.
Chính sách bảo mật là tài liệu cấp cao đặc thù, tập hợp các luật đặc biệt của tổ chức, doanh nghiệp như những yêu cầu, quy định mà những người của tổ chức,
doanh nghiệp đó phải thực hiện để đạt được các mục tiêu về an tồn thơng tin. Chính sách bảo mật sẽ được người đứng đầu tổ chức doanh nghiệp phê chuẩn và ban hành thực hiện. Đây sẽ là tiền đề để doanh nghiệp xây dựng các giải pháp bảo mật, xây dựng những quy trình đảm bảo an toàn hệ thống, đưa ra các hướng dẫn thực hiện, gắn kết yếu tố con người, quản trị, công nghệ để thực hiện mục tiêu an toàn hệ thống. Đồng thời chính sách bảo mật cũng đưa ra nhận thức về an tồn thơng tin, gán trách nhiệm về an toàn cho các thành viên của tổ chức doanh nghiệp, từ đó đảm bảo hệ thống được vận hành đúng quy trình, an tồn hơn.
c. Đánh giá thực tế việc phân chia nhiệm vụ các bộ phận trong doanh nghiệp:
Công tác đánh giá này nhằm đảm bảo kiểm soát hiệu quả, bao gồm:
- Sự phân chia nhiệm vụ giữa các bộ phận trên thực tế có đúng với thiết kế và mục tiêu kiểm sốt ban đầu hay khơng. Nếu có, đánh giá mức độ kiêm nhiệm và ảnh hưởng đến mức độ tin cậy của các thông tin cung cấp từ phần mềm. Sự phân chia này phải đảm bảo sự tách biệt giữa bộ phận sử dụng, bộ phận máy tính, bộ phận sử dụng dữ liệu để đảm bảo khả năng chế biến, xử lý sai lệch các nghiệp vụ; hay sự tách biệt giữa nhân viên phân tích, nhân viên lập trình và nhân viên điều hành nhằm hạn chế sự hiểu biết đầy đủ và toàn diện về hệ thống bởi một người hoặc một nhóm nhỏ có thể dẫn đến việc sử dụng các thủ thuật xử lý sai lệch dữ liệu.
- Đánh giá kiểm soát truy cập hệ thống. Hệ thống cho phép KTVNB hay bộ phận chức năng truy cập và kết xuất thông tin đối tượng truy cập vào hệ thống, phân hệ ứng dụng và quyền tương ứng. Công việc này nhằm đảm bảo chỉ những người có thẩm quyền mới có quyền truy cập vào hệ thống dữ liệu xem và thay đổi dưới một mức độ nhất định. Phạm vi truy cập có thể bị giới hạn từ “Không truy cập”, tới “Chỉ được phép đọc”, “Đọc và bổ sung dữ liệu mới”, “Đọc và sửa đổi”, và đến “Đọc và xóa”. Bên cạnh đó, kiểm tra việc ngăn chặn các truy cập từ bên ngoài vào hệ thống của đơn vị dựa trên các
quy định, quy trình đã ban hành cũng như các chuẩn, quy tắc bảo vệ truy cập chung, đảm bảo phần mềm kiểm soát truy cập tại đơn vị hoạt động có hiệu quả, ngăn chặn những truy cập trái phép.
- Đánh giá quy định về đặt mật khẩu: Tạo user và mật khẩu là bước đầu tiên thâm nhập vào hệ thống. Trong khi user thường là mặc định và được quy định một kiểu tạo thống nhất do bộ phận IT hoặc người được cấp quyền quản lý hệ thống tạo nên, thì mật khẩu do người dùng khởi tạo. Vì thế việc đánh giá này nhằm đảm bảo ngăn chặn khả năng truy cập trái phép.
Cách đặt mật khẩu cũng cần được chú ý xây dựng theo các nguyên tắc sau:
Cần quy định chiều dài tối thiểu của mật khẩu; ít nhất phải là tám ký tự mà trong đó có ký tự đặc biệt, sử dụng cả chữ hoa lẫn chữ thường hoặc kết hợp giữa ký tự chữ với ký tự số để đảm bảo an toàn cho mật khẩu.
Khi đặt mật khẩu cần tránh lấy tên người thân, tránh lấy ngày tháng năm sinh, số điện thoại để đặt mật khẩu nhằm tránh việc dò ra mật khẩu một cách nhanh chóng.
Cần quy định thời hạn hết hạn của mật khẩu và yêu cầu phải thay đổi mật khẩu thường xuyên để tránh bị phát hiện. Và nếu người sử dụng máy tính không thay đổi mật khẩu theo yêu cầu của hạn định sẽ bị khoá quyền truy cập vào hệ thống và chỉ khi nào được người quản trị kích hoạt trở lại mới được sử dụng tiếp.
Cần thiết lập giới hạn số lần tối đa cho việc nhập sai mật khẩu, chẳng hạn khi nhập sai mật khẩu ba lần sẽ khố ln quyền truy cập cho dù lần thứ tư có nhập đúng mật khẩu đi nữa. Và cũng như trên, chỉ khi nào người quản trị máy tính kích hoạt trở lại thì sự truy cập mới trở lại bình thường. - Đảm bảo cơ sở dữ liệu không được truy cập trực tiếp. Việc sửa chữa, thay
đổi thông tin trong cơ sở dữ liệu phải được thực hiện bằng các cơng cụ và chương trình, theo đúng quy trình nghiệp vụ và quy định của người có thẩm quyền. Việc truy cập phải được thiết lập nhật ký và ghi lại đầy đủ các thông
tin sau: lần truy cập vào cơ sở dữ liệu, những công việc liên quan đến sửa chữa, thay đổi thông tin trong cơ sở dữ liệu.
- Tăng cường kiểm toán bảo mật dữ liệu. Máy tính và cơng nghệ mạng để kích hoạt phạm vi rộng nhất của thơng tin kế tốn được chia sẻ giữa những người sử dụng thông tin, nhưng điều này được dựa trên một truy cập phổ biến để bảo mật dữ liệu. Khi cơng nghệ máy tính và tác động của con người, sẽ làm tăng nguy cơ của mạng lưới thông tin, đặc biệt là môi trường dựa trên thông tin, dữ liệu thường được sử dụng trong dữ liệu điện tử, dữ liệu điện tử một cách dễ dàng đã khơng có "dấu vết" sửa đổi và giả mạo, do đó, kiểm tốn thơng tin có độ tin cậy giảm , trong khi các bằng chứng kiểm toán trong Shiyou mạng truyền dẫn dễ bị đánh chặn hoặc thay thế, do đó, các bằng chứng về tính xác thực bị đe dọa. Vì vậy, chúng ta phải chủ động thực hiện kiểm toán bảo mật dữ liệu, và như là một khía cạnh quan trọng của KTNB để kiểm tốn mơi trường ERP.
3.2.1.2. Tăng cường mức độ chính xác của thơng tin đầu ra
a. Tăng cường kiểm sốt dữ liệu thơ đầu vào:
Do đặc tính của mơi trường xử lý thông tin điện tử, chỉ cần nhập liệu một lần, dữ liệu được cập nhật vào nhiều tập tin, nhiều liên kết từ kinh doanh, mua sắm, tài chính, sản xuất đến hàng tồn kho và các lĩnh vực khác có liên quan đến nhau. Đây là một đặc tính rất khác biệt và có ảnh hưởng lớn đến độ tin cậy của thơng tin được cung cấp. Vì thế yêu cầu về nguồn dữ liệu gốc được đặt ra cao hơn so với môi trường xử lý thủ công. Trong quá trình kiểm tốn, kiểm tốn viên phải đánh giá được tính hiện hữu, đầy đủ và chính xác của các dữ liệu gốc đầu vào. Rủi ro trong trường hợp này có thể do sai sót hoặc gian lận. Để đánh giá và phát hiện gian lận địi hỏi kinh nghiệm của kiểm tốn viên, nên trong phạm vi này khơng đề cập đến. Sai sót phổ biến thường gặp là do các nhân viên nhập liệu đầu vào thiếu cẩn thận hoặc non yếu về kiến thức trong quá trình thu thập, xử lý và cập nhật thơng tin.
b. Kiểm tốn quy trình xử lý của hệ thống:
Dù đã am hiểu sâu sắc về ERP, KTVNB vẫn phải thực hiện nhiệm vụ của mình một cách thường xun, đó là đánh giá hệ thống KSNB, phát hiện rủi ro và đưa ra cách khắc phục, bởi vì mơi trường và các hoạt động của doanh nghiệp vận động khơng ngừng. Trong q trình kiểm tốn, KTVNB có thể sử dụng nhiều kỹ thuật kiểm tốn khác nhau với mục đích cuối cùng là tìm kiếm bằng chứng kiểm toán đầy đủ và đáng tin cậy phục vụ cho việc đưa ra kết luận. Tuy nhiên, trong môi trường ERP, việc áp dụng các kỹ thuật tương tự như môi trường thủ công tất yếu sẽ gặp