Rủi ro kiểm soát

Một phần của tài liệu (LUẬN văn THẠC sĩ) định hướng họat động kiểm toán nội bộ trong doanh nghiệp ứng dụng ERP tại TP HCM và bình dương , luận văn thạc sĩ (Trang 51)

ỨNG DỤNG PHẦN MỀM ERP Ở TP .HCM VÀ BÌNH DƯƠNG

2.2. KHẢO SÁT CÁC RỦI RO TRONG DOANH NGHIỆP CÓ ỨNG DỤNG

2.2.3.3. Rủi ro kiểm soát

Đánh giá rủi ro kiểm soát là một trong những bước đầu tiên và quan trọng của người làm công tác kiểm tốn, đặc biệt là trong mơi trường xử lý dữ liệu điện tử như ERP. Không giống như trong hệ thống xử lý thủ cơng, kiểm tốn viên có thể thực hiện các thử nghiệm chi tiết 100% khi chưa làm tốt công tác đánh giá rủi ro kiểm soát, hay là nhận xét rằng hệ thống KSNB chưa thật sự hữu hiệu, thì trong mơi trường ERP, các thơng tin chi tiết để hỗ trợ cho kiểm toán bị hạn chế, như các thơng tin khơng cần thiết có thể bị xóa để tiết kiệm bộ nhớ của máy tính, dữ liệu có thể chỉ lưu trữ trong file, trong đĩa từ, CD,…mà không thể đọc ngay được, các tư liệu nguồn có thể được phân loại bởi máy tính làm cho việc truy cập chúng đơi khi rất khó khăn, nhiều báo cáo chỉ có thơng tin tóm tắt mà khơng có thơng tin về việc sẽ đối chiếu thông tin nguồn như thế nào,…Chính vì thế việc đánh giá rủi ro kiểm sốt trong mơi trường ERP một cách đúng đắn sẽ giúp người làm cơng tác kiểm tốn khoanh vùng rủi ro, và có hướng xử lý thích hợp, qua đó giảm bớt áp lực cho nghề nghiệp kiểm toán.

Mục tiêu của đánh giá rủi ro kiểm soát là để chắc chắn rằng:

- Đảm bảo sự phát triển và thực hiện một cách đúng đắn các ứng dụng, sự nguyên vẹn của chương trình, các file dữ liệu và sự hoạt động của máy tính. - Máy tính nhập dữ liệu theo hình thức tiêu chuẩn để việc nhận dữ liệu và

kiểm soát dữ liệu đầu vào cũng như là quá trình xử lý theo đúng thể thức trong thiết kế.

Để đánh giá rủi ro kiểm soát, cuộc khảo sát chia thành 2 phần: đánh giá kiểm soát chung và kiểm soát ứng dụng.

a. Kiểm soát chung:

Vấn đề khảo sát

Doanh nghiệp trả lời Khơng %

Khơng % Có

Kiểm sốt phát triển:

Anh/chị vui lòng cho biết trước khi đưa ERP vào sử dụng, doanh nghiệp có xây dựng/thuê bộ phận tham gia đánh giá và thử nghiệm hoạt động kiểm soát nhằm đảm bảo thông tin cung cấp từ hệ thống chính xác và đáng tin cậy?

4 26,67% 11 73,33%

Anh/chị vui lòng cho biết doanh nghiệp có chính sách đào tạo và cập nhật kiến thức định kỳ nhằm đảm bảo các cá nhân liên quan đến hệ thống hiểu rõ về phần mềm và công việc mà họ đang thực hiện không? (bao gồm người điều hành máy tính, cá nhân thu thập dữ liệu và những cá nhân khác ở bộ phận sử dụng)

7 46,67% 8 53,33%

Kiểm soát tổ chức:

Anh/chị vui lịng doanh nghiệp có quan tâm đến mức độ phân chia quyền và trách nhiệm giữa các bộ phận sử dụng máy tính, bộ phận máy tính và bộ phận sử dụng dữ liệu?

9 60,00% 6 40,00%

Anh/chị vui lòng cho biết doanh nghiệp có ban hành những chính sách và thủ tục (bằng văn bản) về bảo mật hệ thống thơng tin máy tính khơng? (thiết lập quy định về mức độ truy cập, cách sử dụng mật mã truy cập, phương tiện cá nhân thâm nhập vào hệ thống,..)

Anh/chị vui lòng cho biết phần mềm ERP có thiết kế chương trình để ghi nhận lại việc đăng nhập sử dụng để người quản lý kiểm tra hay khơng, ví dụ như bảng liệt kê dấu vết kiểm toán liên quan đến các nghiệp vụ phát sinh (bao gồm người truy cập, thời gian, nội dung thực hiện liên quan đến cập nhật, thay đổi, xóa dữ liệu,…)?

8 53,33% 5 33,33%

Anh/chị vui lòng cho biết doanh nghiệp có gặp trục trặc gì với việc truy cập dữ liệu từ hệ thống không, khi phần mềm ERP được bảo dưỡng và nâng cấp?

7 46,67% 5 33,33%

Anh/chị cho biết sau khi ứng dụng ERP, doanh nghiệp có quan tâm đến vấn đề an ninh mạng không?

9 60,00% 4 26,67%

Bảng 2.5: Các yếu tố tác động rủi ro kiểm soát chung

Qua khảo sát thông tin về các hoạt động kiểm sốt chung tại các doanh nghiệp cho thấy chính sách về bảo mật và an tồn thơng tin đã được đa số các doanh nghiệp coi trọng: mức độ phân quyền cao giữa các bộ phận sử dụng máy tính, bộ phận máy tính và bộ phận sử dụng dữ liệu (40%); thường xuyên mở các lớp cập nhật kiến thức định kỳ nhằm đảm bảo các cá nhân liên quan hiểu rõ về phần mềm và công việc mà họ đang thực hiện (53,33%)... Tuy nhiên chưa thật sự tồn diện. Chúng ta có thể điểm qua các hoạt động kiểm soát này với một số điểm như sau:

- Việc thử nghiệm hệ thống trước khi đưa chương trình vào sử dụng đã được các nhà quản lý quan tâm (73,33%). Tại giai đoạn này, việc kiểm tra toàn bộ hệ thống là rất cần thiết để đảm bảo mọi nghiệp vụ sẽ được xử lý đúng đắn, xử lý cùng một cách trên hệ thống ấy khi có bất cứ trường hợp nhập, sửa đổi hoặc xóa bỏ dữ liệu nào. Tuy nhiên, việc đánh giá này chủ yếu được thực hiện bởi chính các nhà tư vấn và viết chương trình, nên kết quả đánh giá chưa mang tính khách quan. Thiết nghĩ, việc đánh giá thử nghiệm này cần phải được thực hiện bởi một công ty tư vấn khác hoặc một bộ phận khác được xây dựng riêng rẽ với bộ phận tham gia triển khai ERP trong doanh

nghiệp và có đầy đủ năng lực để tiến hành phân tích hệ thống độc lập với bên viết lập trình. Ngồi ra, việc đánh giá hệ thống cũng cần được thực hiện theo định kỳ nhằm hồn thiện các quy trình xử lý, đáp ứng yêu cầu ngày càng đa dạng và phức tạp trong hoạt động sản xuất kinh doanh.

- Việc ban hành văn bản quy định sử dụng tài sản thông tin của doanh nghiệp cũng chưa được các doanh nghiệp này quan tâm. Thêm vào đó, các tài liệu mơ tả về cách thức vận hành máy tính, tài liệu hướng dẫn sử dụng các phần mềm cũng chưa được hoàn thiện cũng làm cho việc sử dụng máy tính sao cho có hiệu quả chưa thật sự như mong muốn. Các tài liệu này có thể bao gồm các tài liệu được coi là quan trọng như tài liệu hướng dẫn vận hành hệ điều hành máy tính, tài liệu hướng dẫn sử dụng hệ thống thư điện tử, tài liệu quy định về việc sử dụng internet, tài liệu khắc phục lỗi của hệ điều hành và các phần mềm ứng dụng…

- Một số câu hỏi khảo sát chưa được xem xét trả lời, chứng tỏ người khảo sát chưa quan tâm hoặc doanh nghiệp chưa chú trọng đến phổ biến các quy định về bảo mật cũng như nhu cầu phát triển của ERP, chẳng hạn như: có 13,33% khơng trả lời câu hỏi liên quan đến việc ghi nhận dấu vết truy cập của phần mềm ERP, 13,33% không trả lời liên quan vấn đề an ninh mạng, hoặc 20% không trả lời vấn đề liên quan đến các trục trặc trong khi truy cập dữ liệu từ hệ thống không, khi phần mềm ERP được bảo dưỡng và nâng cấp.

b. Kiểm sốt ứng dụng:

Có thể dễ thấy rằng, hoạt động kiểm soát ứng dụng được thực hiện thông qua các thủ tục kiểm sốt được lập trình sẵn trên phần mềm và các thủ tục kiểm soát được thiết lập và thực hiện bên ngồi phần mềm bởi con người. Do đó, cần có sự kết hợp hài hoà giữa các thủ tục này sao cho đạt được các mục tiêu kiểm soát ứng dụng đề ra. Trong môi trường ERP, sự kết hợp này được thể hiện như sau:

Kiểm soát dữ liệu đầu vào:

Vấn đề khảo sát

Doanh nghiệp trả lời Không %

Khơng % Có

Anh/chị vui lòng cho biết dữ liệu trước khi được cập nhật vào phần mềm có được kiểm sốt thủ cơng khơng? (ví dụ như đánh số trước các chứng từ gốc, phê duyệt, đánh dấu đã sử dụng chứng từ sau khi nhập liệu,…)

8 50,00% 8 50,00%

Anh/chị có hài lịng với thiết kế kiểm soát dữ liệu đầu vào của phần mềm ERP? (tức là phần mềm ERP có khả năng kiểm sốt việc nhập sai dữ liệu, nhập khống dữ liệu, thông báo đầy đủ lỗi và hướng dẫn sửa lỗi,…)

8 53,33% 7 46,67%

Bảng 2.6: Các yếu tố tác động rủi ro kiểm soát dữ liệu đầu vào

Việc kiểm soát dữ liệu đầu vào đã được hầu hết các doanh nghiệp quan tâm. Có 50% doanh nghiệp đã tổ chức kiểm soát nguồn dữ liệu đầu vào bằng phương pháp thủ công bên cạnh sự hỗ trợ của phần mềm nhằm tăng độ chính xác. Việc này sẽ hạn chế được rủi ro nhập trùng lắp, chứng từ không hợp lý hợp lệ trước khi con người nhập liệu trên phần mềm ứng dụng. Hiện tại, phần mềm ERP được đánh giá là thực hiện khá tốt việc kiểm soát nhập liệu thông qua các bước kiểm tra về tính trùng lắp, tính bắt buộc, tính hiện hữu, tính thích hợp, tính hợp lý, tính cân đối và kiểm tra số liệu tính tốn; nhưng vẫn chưa hoàn toàn làm hài lòng người sử dụng (53,33%). Việc này có thể xuất phát từ thiết kế của phần mềm hoặc do tổ chức nhân sự và quy trình hoạt động chưa thật sự hữu hiệu và hiệu quả. Xét về thiết kế của phần mềm ERP, người sử dụng và các nhà sản xuất phần mềm cần quan tâm thêm như thiết kế thủ tục kiểm soát ngày của chứng từ được ghi nhận, phân quyền người dùng tránh kiêm nhiệm, tránh trùng lắp nghiệp vụ giữa những người được giao cùng nhiệm vụ…

Kiểm sốt q trình xử lý dữ liệu:

Vấn đề khảo sát

Mức độ ảnh hưởng rủi ro xử lý dữ liệu Rất

thấp Thấp

Không

rõ rệt Cao Rất cao

Anh/chị vui lòng cho biết mức độ hiểu biết về quy trình xử lý dữ liệu của phần mềm ERP?

0,00% 0,00% 66,67% 20,00% 13,33%

Anh/chị vui lòng đánh giá mức độ hồn thành cơng việc của bộ phận chuyên trách theo dõi hoạt động của phần mềm ERP tại doanh nghiệp?

0,00% 13,33% 40,00% 46,67% 0,00%

Anh/chị vui lòng đánh giá khả năng can thiệp của nhân viên trong doanh nghiệp đến quá trình xử lý dữ liệu của phần mềm ERP?hàng có được cải thiện khơng?

0,00% 26,67% 40,00% 33,33% 0,00%

Anh/chị vui lòng đánh giá khả năng sửa/xóa/thay đổi dữ liệu trong phần mềm ERP của nhân viên trong doanh nghiệp?

0,00% 20,00% 33,33% 46,67% 0,00%

Bảng 2.7: Các yếu tố tác động rủi ro kiểm sốt q trình xử lý dữ liệu

Trong môi trường ERP, hầu hết các quy trình hoạt động đều được xử lý tự động bởi phần mềm. Điều này cho phép loại bỏ gần như tất cả các sai sót có thể xảy ra nếu xử lý thủ cơng. Ngược lại những sai sót do chương trình phần mềm sẽ dẫn đến việc tất cả các nghiệp vụ có thể đều xử lý bị sai. Đáng lưu ý là những lỗi do phần mềm có thể khơng bị phát hiện trong thời gian dài. Vì vậy, cần thiết phải kiểm tra việc tuân thủ quy trình vận hành, tính an tốn bảo mật và hiệu quả sử dụng của tất cả ứng dụng. Để thực hiện cơng việc này, địi hỏi người sử dụng phải có sự am hiểu nhất định về tin học, về quy trình hoạt động của ERP được thiết kế bởi các nhà sản

xuất phần mềm. Sự am hiểu này có thể đến từ người trực tiếp sử dụng phần mềm, bộ phận kiểm soát, kiểm toán, bộ phận IT, hoặc bộ phận phát triển dự án ERP,…

Tuy nhiên, hầu hết các doanh nghiệp chưa chú trọng đến kiểm sốt q trình xử lý dữ liệu của ERP, mà hầu hết phó mặc cho nhà sản xuất phần mềm. Cuộc khảo sát cho thấy đến 53,33% trả lời rằng bộ phận chuyên trách theo dõi hoạt động của phần mềm ERP chưa hồn thành tốt vai trị của mình, trong khi 66,67% người sử dụng chưa am hiểu sâu về các quy trình xử lý nói riêng và các thiết kế của phần mềm nói chung. Điều này dẫn đến 66,67% đánh giá mức độ can thiệp của nhân viên trong doanh nghiệp đến quá trình xử lý dữ liệu của phần mềm ERP và 53,33% đánh giá khả năng sửa/xóa/thay đổi dữ liệu trong phần mềm ERP của nhân viên trong doanh nghiệp là rất thấp chưa hồn tồn tin cậy.

Kiểm sốt đầu ra:

Vấn đề khảo sát

Mức độ ảnh hưởng rủi ro kiểm soát đầu ra Rất thấp Thấp Không rõ rệt Cao Rất cao

Anh/chị vui lòng cho biết mức độ tin cậy các số liệu trên báo cáo/thông tin được cung cấp từ phần mềm ERP?

0,00% 0,00% 66,67% 20,00% 13,33%

Anh/chị vui lòng cho biết mức độ thường xuyên của việc kiểm tra tính chính xác, đầy đủ và trung thực của thông tin sau khi nhận được báo cáo/thông tin từ phần mềm ERP?

0,00% 13,33% 40,00% 46,67% 0,00%

Anh/chị vui lòng đánh giá mức độ hài lịng về các thơng tin được cung cấp trên các báo cáo do phần mềm ERP cung cấp? (thơng tin có ích và phù hợp với mục đích sử dụng)

Anh/chị vui lòng đánh giá khả năng truy cập trái phép để lấy thông tin trên phần mềm ERP?

0,00% 20,00% 33,33% 46,67% 0,00%

Bảng 2.8: Các yếu tố tác động rủi ro kiểm soát đầu ra

Hoạt động kiểm sốt thơng tin đầu ra phải được chủ động thực hiện bởi con người bên cạnh những hỗ trợ đắc lực của các thủ tục kiểm soát trên phần mềm. Việc kiểm tra kết quả thông tin đầu ra do phần mềm cung cấp phải được thực hiện thường xuyên để đảm bảo tính chính xác, chất lượng và độ tin cậy cao của thông tin. Thực tế cho thấy người sử dụng quá tin tưởng vào phần mềm, dẫn đến 33,33% người sử dụng khá tin cậy vào các số liệu trên báo cáo/thông tin được cung cấp từ phần mềm ERP trong khi một lượng lớn người sử dụng không nghi ngờ về chất lượng thơng tin đầu ra 46,67%. Vì tin tưởng vào phần mềm, nên chỉ 40% duy trì kiểm tra các thông tin truy xuất từ phần mềm ở mức độ bình thường. Việc duy trì mức độ kiểm tra thơng tin này có thể hiệu quả một khi đã chắc chắn rằng các thiết kế của phần mềm đã hợp lý. Tuy nhiên, nhiều khảo sát trước đây cho thấy việc thiết kế các thủ tục kiểm soát và các quy trình ứng dụng trên các phần mềm ERP Việt Nam hiện nay cịn tồn tại nhiều thiếu sót, đơi khi chúng được thiết kế khá là ngẫu hứng và chưa được phân tích kỹ lưỡng nên các thơng tin được cung cấp chưa thật sự tin cậy cho người làm cơng tác quản trị. Vì vậy, việc tổ chức quy trình kiểm tra quy trình xử lý của phần mềm nói chung và chất lượng thơng tin đầu ra trong giai đoạn này hết sức quan trọng.

Việc kiểm sốt thơng tin đầu ra cũng là một vấn đề đáng được lưu ý. Trong mơi trường tin học hóa nói chung và mơi trường ERP nói riêng, dữ liệu được tích hợp từ tất cả các nguồn và do đó xuất hiện nhiều rủi ro tiềm ẩn từ việc truy xuất cũng như thâm nhập trái phép kho thông tin của doanh nghiệp cao hơn so với môi trường thủ cơng. Theo kết quả khảo sát, có 33,33% người sử dụng cho rằng ERP chưa hạn chế tốt khả năng truy cập trái phép các thông tin của doanh nghiệp. Đây là một tín hiệu khơng tốt, do đó, cần phải tăng cường các hoạt động kiểm sốt trong mơi trường này để đảm bảo độ tin cậy của thông tin, bảo vệ tài sản thơng tin của doanh nghiệp,

tránh tổn thất vì những chi phí vơ ích phát sinh từ những rủi ro có thể hạn chế được và đặc biệt là đảm bảo được sự trung thực và tính chính xác cho những thông tin cung cấp đến người đọc, nhất là báo cáo tài chính và các báo cáo quản trị.

2.2.3.4. Nhận xét về các loại rủi ro trong môi trường ERP của các doanh nghiệp được khảo sát

Qua khảo sát các loại rủi ro chính mà doanh nghiệp gặp phải, khơng khó để nhận ra rủi ro kiểm soát đáng được quan tâm nhất. Trong khi việc ứng dụng ERP vào đã

Một phần của tài liệu (LUẬN văn THẠC sĩ) định hướng họat động kiểm toán nội bộ trong doanh nghiệp ứng dụng ERP tại TP HCM và bình dương , luận văn thạc sĩ (Trang 51)

Tải bản đầy đủ (PDF)

(98 trang)