ỨNG DỤNG PHẦN MỀM ERP Ở TP .HCM VÀ BÌNH DƯƠNG
2.2. KHẢO SÁT CÁC RỦI RO TRONG DOANH NGHIỆP CÓ ỨNG DỤNG
2.2.3. Đánh giá các loại rủi ro trong môi trường ứng dụng ERP
2.2.3.1. Rủi ro kinh doanh
Để đánh giá rủi ro kinh doanh, cuộc khảo sát dựa vào bốn tiêu chí cơ bản. Kết quả cụ thể được thể hiện ở Bảng 2.3 dưới đây:
Vấn đề khảo sát
Mức độ ảnh hưởng của ERP đến hoạt động kinh doanh của doanh nghiệp
Rất
thấp Thấp
Không
rõ rệt Cao Rất cao
sau khi ứng dụng ERP có cải thiện hơn so với giai đoạn trước không? Sau khi ứng dụng ERP, các mảng hoạt động của doanh nghiệp có cịn hoạt động hiệu quả không?
0,00% 6,67% 6,67% 60,00% 26,67%
Sau khi ứng dụng ERP, anh/chị nhận thấy mức độ hài lòng của khách hàng tăng lên không? (số lượng khách hàng tăng, doanh số tăng, thời gian đáp ứng yêu cầu khách hàng được cải thiện,…)
0,00% 0,00% 53,33% 33,33% 13,33%
Sau khi ứng dụng ERP, anh/chị nhận thấy doanh nghiệp có cải thiện khả năng kiểm soát nguồn hàng và chi phí đầu vào khơng? (thời gian đáp ứng hàng hóa/sản phẩm để phục vụ yêu cầu khách hàng được cải thiện, giảm chi phí tồn kho, chi phí sản xuất/mua hàng,…)
0,00% 0,00% 46,67% 40,00% 13,33%
Sau khi ứng dụng ERP, anh/chị nhận thấy chất lượng sản phẩm có được cải thiện hơn không? (sản phẩm mua vào/sản xuất đúng tiêu chuẩn, đúng cam kết với khách hàng; số lượng sản phẩm hư hỏng giảm,..)
0,00% 0,00% 46,67% 33,33% 20,00%
Bảng 2.3: Mức độ ảnh hưởng của ERP đến hoạt động kinh doanh của doanh nghiệp
Nhìn chung, cuộc khảo sát cho thấy việc ứng dụng ERP vào hoạt động sản xuất kinh doanh đã cải thiện đáng kể rủi ro kinh doanh. ERP với khả năng liên kết hoạt động giữa các phòng ban chức năng đã làm tăng hiệu quả của doanh nghiệp. Lợi ích tức thì mà hầu hết mọi người có thể nhận thấy được là ERP giúp giảm chi phí vận hành hệ thống thơng qua giảm chi phí quản lý tồn kho, giảm chi phí sản xuất, giảm chi phí tiếp thị cũng như các chi phí hỗ trợ khác đảm bảo cho hai hoạt động sản xuất
và kinh doanh được phối hợp nhịp nhàng. Qua đó làm tăng khả năng cạnh tranh của doanh nghiệp trên thị trường.
2.2.3.2. Rủi ro tài chính
Vấn đề khảo sát
Mức độ ảnh hưởng của ERP đến hoạt động tài chính của doanh nghiệp
Rất thấp Thấp Không rõ rệt Cao Rất cao
Theo anh/chị, sau khi ứng dụng ERP, doanh nghiệp có chủ động sắp xếp đủ nguồn tài chính cho các hoạt động, dự án của mình khơng?
0.00% 6.67% 33.33% 53.33% 6.67%
Theo anh/chị, sau khi ứng dụng ERP, việc sử dụng nguồn tài chính có được theo dõi và giám sát chặt chẽ không?
0.00% 0.00% 20.00% 60.00% 20.00%
Sau khi ứng dụng ERP, anh/chị nhận thấy việc cung cấp tín dụng cho khách hàng có thực hiện và duy trì theo chính sách tín dụng của công ty không? Dư nợ của khách hàng có được cải thiện không?
0.00% 6.67% 46.67% 26.67% 20.00%
Sau khi ứng dụng ERP, anh/chị nhận thấy quan hệ thanh toán với nhà cung cấp có được cải thiện khơng?
0.00% 6.67% 53.33% 26.67% 13.33%
Bảng 2.4: Mức độ ảnh hưởng của ERP đến hoạt động tài chính của doanh nghiệp
Như vậy, ERP đã hỗ trợ các doanh nghiệp trong việc tính tốn và dự báo các khả năng sẽ phát sinh trong quá trình điều hành sản xuất kinh doanh của doanh nghiệp. Chẳng hạn, ERP giúp nhà máy tính chính xác kế hoạch cung ứng nguyên vật liệu cho mỗi đơn hàng dựa trên tổng nhu cầu nguyên vật liệu, tiến độ, năng suất, khả
năng cung ứng... Cách này cho phép doanh nghiệp có đủ vật tư sản xuất nhưng vẫn khơng để lượng tồn kho quá lớn gây đọng vốn. Hoặc là dự đoán số vốn sẽ được thu hồi trong quá trình kinh doanh, nhằm xây dựng kế hoạch sử dụng vốn hợp lý và đạt hiệu quả đảm bảo cho quá trình sản xuất kinh doanh của doanh nghiệp được tiến hành được liên tục, thường xuyên.
2.2.3.3. Rủi ro kiểm soát
Đánh giá rủi ro kiểm soát là một trong những bước đầu tiên và quan trọng của người làm công tác kiểm tốn, đặc biệt là trong mơi trường xử lý dữ liệu điện tử như ERP. Không giống như trong hệ thống xử lý thủ cơng, kiểm tốn viên có thể thực hiện các thử nghiệm chi tiết 100% khi chưa làm tốt công tác đánh giá rủi ro kiểm soát, hay là nhận xét rằng hệ thống KSNB chưa thật sự hữu hiệu, thì trong mơi trường ERP, các thơng tin chi tiết để hỗ trợ cho kiểm toán bị hạn chế, như các thơng tin khơng cần thiết có thể bị xóa để tiết kiệm bộ nhớ của máy tính, dữ liệu có thể chỉ lưu trữ trong file, trong đĩa từ, CD,…mà không thể đọc ngay được, các tư liệu nguồn có thể được phân loại bởi máy tính làm cho việc truy cập chúng đơi khi rất khó khăn, nhiều báo cáo chỉ có thơng tin tóm tắt mà khơng có thơng tin về việc sẽ đối chiếu thơng tin nguồn như thế nào,…Chính vì thế việc đánh giá rủi ro kiểm soát trong môi trường ERP một cách đúng đắn sẽ giúp người làm cơng tác kiểm tốn khoanh vùng rủi ro, và có hướng xử lý thích hợp, qua đó giảm bớt áp lực cho nghề nghiệp kiểm toán.
Mục tiêu của đánh giá rủi ro kiểm soát là để chắc chắn rằng:
- Đảm bảo sự phát triển và thực hiện một cách đúng đắn các ứng dụng, sự nguyên vẹn của chương trình, các file dữ liệu và sự hoạt động của máy tính. - Máy tính nhập dữ liệu theo hình thức tiêu chuẩn để việc nhận dữ liệu và
kiểm soát dữ liệu đầu vào cũng như là quá trình xử lý theo đúng thể thức trong thiết kế.
Để đánh giá rủi ro kiểm soát, cuộc khảo sát chia thành 2 phần: đánh giá kiểm soát chung và kiểm soát ứng dụng.
a. Kiểm soát chung:
Vấn đề khảo sát
Doanh nghiệp trả lời Không %
Khơng Có % Có
Kiểm sốt phát triển:
Anh/chị vui lòng cho biết trước khi đưa ERP vào sử dụng, doanh nghiệp có xây dựng/thuê bộ phận tham gia đánh giá và thử nghiệm hoạt động kiểm soát nhằm đảm bảo thơng tin cung cấp từ hệ thống chính xác và đáng tin cậy?
4 26,67% 11 73,33%
Anh/chị vui lịng cho biết doanh nghiệp có chính sách đào tạo và cập nhật kiến thức định kỳ nhằm đảm bảo các cá nhân liên quan đến hệ thống hiểu rõ về phần mềm và công việc mà họ đang thực hiện khơng? (bao gồm người điều hành máy tính, cá nhân thu thập dữ liệu và những cá nhân khác ở bộ phận sử dụng)
7 46,67% 8 53,33%
Kiểm soát tổ chức:
Anh/chị vui lòng doanh nghiệp có quan tâm đến mức độ phân chia quyền và trách nhiệm giữa các bộ phận sử dụng máy tính, bộ phận máy tính và bộ phận sử dụng dữ liệu?
9 60,00% 6 40,00%
Anh/chị vui lịng cho biết doanh nghiệp có ban hành những chính sách và thủ tục (bằng văn bản) về bảo mật hệ thống thơng tin máy tính khơng? (thiết lập quy định về mức độ truy cập, cách sử dụng mật mã truy cập, phương tiện cá nhân thâm nhập vào hệ thống,..)
Anh/chị vui lòng cho biết phần mềm ERP có thiết kế chương trình để ghi nhận lại việc đăng nhập sử dụng để người quản lý kiểm tra hay khơng, ví dụ như bảng liệt kê dấu vết kiểm toán liên quan đến các nghiệp vụ phát sinh (bao gồm người truy cập, thời gian, nội dung thực hiện liên quan đến cập nhật, thay đổi, xóa dữ liệu,…)?
8 53,33% 5 33,33%
Anh/chị vui lịng cho biết doanh nghiệp có gặp trục trặc gì với việc truy cập dữ liệu từ hệ thống không, khi phần mềm ERP được bảo dưỡng và nâng cấp?
7 46,67% 5 33,33%
Anh/chị cho biết sau khi ứng dụng ERP, doanh nghiệp có quan tâm đến vấn đề an ninh mạng không?
9 60,00% 4 26,67%
Bảng 2.5: Các yếu tố tác động rủi ro kiểm soát chung
Qua khảo sát thơng tin về các hoạt động kiểm sốt chung tại các doanh nghiệp cho thấy chính sách về bảo mật và an tồn thơng tin đã được đa số các doanh nghiệp coi trọng: mức độ phân quyền cao giữa các bộ phận sử dụng máy tính, bộ phận máy tính và bộ phận sử dụng dữ liệu (40%); thường xuyên mở các lớp cập nhật kiến thức định kỳ nhằm đảm bảo các cá nhân liên quan hiểu rõ về phần mềm và công việc mà họ đang thực hiện (53,33%)... Tuy nhiên chưa thật sự toàn diện. Chúng ta có thể điểm qua các hoạt động kiểm soát này với một số điểm như sau:
- Việc thử nghiệm hệ thống trước khi đưa chương trình vào sử dụng đã được các nhà quản lý quan tâm (73,33%). Tại giai đoạn này, việc kiểm tra toàn bộ hệ thống là rất cần thiết để đảm bảo mọi nghiệp vụ sẽ được xử lý đúng đắn, xử lý cùng một cách trên hệ thống ấy khi có bất cứ trường hợp nhập, sửa đổi hoặc xóa bỏ dữ liệu nào. Tuy nhiên, việc đánh giá này chủ yếu được thực hiện bởi chính các nhà tư vấn và viết chương trình, nên kết quả đánh giá chưa mang tính khách quan. Thiết nghĩ, việc đánh giá thử nghiệm này cần phải được thực hiện bởi một công ty tư vấn khác hoặc một bộ phận khác được xây dựng riêng rẽ với bộ phận tham gia triển khai ERP trong doanh
nghiệp và có đầy đủ năng lực để tiến hành phân tích hệ thống độc lập với bên viết lập trình. Ngồi ra, việc đánh giá hệ thống cũng cần được thực hiện theo định kỳ nhằm hồn thiện các quy trình xử lý, đáp ứng yêu cầu ngày càng đa dạng và phức tạp trong hoạt động sản xuất kinh doanh.
- Việc ban hành văn bản quy định sử dụng tài sản thông tin của doanh nghiệp cũng chưa được các doanh nghiệp này quan tâm. Thêm vào đó, các tài liệu mơ tả về cách thức vận hành máy tính, tài liệu hướng dẫn sử dụng các phần mềm cũng chưa được hoàn thiện cũng làm cho việc sử dụng máy tính sao cho có hiệu quả chưa thật sự như mong muốn. Các tài liệu này có thể bao gồm các tài liệu được coi là quan trọng như tài liệu hướng dẫn vận hành hệ điều hành máy tính, tài liệu hướng dẫn sử dụng hệ thống thư điện tử, tài liệu quy định về việc sử dụng internet, tài liệu khắc phục lỗi của hệ điều hành và các phần mềm ứng dụng…
- Một số câu hỏi khảo sát chưa được xem xét trả lời, chứng tỏ người khảo sát chưa quan tâm hoặc doanh nghiệp chưa chú trọng đến phổ biến các quy định về bảo mật cũng như nhu cầu phát triển của ERP, chẳng hạn như: có 13,33% khơng trả lời câu hỏi liên quan đến việc ghi nhận dấu vết truy cập của phần mềm ERP, 13,33% không trả lời liên quan vấn đề an ninh mạng, hoặc 20% không trả lời vấn đề liên quan đến các trục trặc trong khi truy cập dữ liệu từ hệ thống không, khi phần mềm ERP được bảo dưỡng và nâng cấp.
b. Kiểm soát ứng dụng:
Có thể dễ thấy rằng, hoạt động kiểm soát ứng dụng được thực hiện thông qua các thủ tục kiểm sốt được lập trình sẵn trên phần mềm và các thủ tục kiểm soát được thiết lập và thực hiện bên ngồi phần mềm bởi con người. Do đó, cần có sự kết hợp hài hồ giữa các thủ tục này sao cho đạt được các mục tiêu kiểm sốt ứng dụng đề ra. Trong mơi trường ERP, sự kết hợp này được thể hiện như sau:
Kiểm soát dữ liệu đầu vào:
Vấn đề khảo sát
Doanh nghiệp trả lời Khơng %
Khơng Có % Có
Anh/chị vui lịng cho biết dữ liệu trước khi được cập nhật vào phần mềm có được kiểm sốt thủ cơng khơng? (ví dụ như đánh số trước các chứng từ gốc, phê duyệt, đánh dấu đã sử dụng chứng từ sau khi nhập liệu,…)
8 50,00% 8 50,00%
Anh/chị có hài lịng với thiết kế kiểm soát dữ liệu đầu vào của phần mềm ERP? (tức là phần mềm ERP có khả năng kiểm soát việc nhập sai dữ liệu, nhập khống dữ liệu, thông báo đầy đủ lỗi và hướng dẫn sửa lỗi,…)
8 53,33% 7 46,67%
Bảng 2.6: Các yếu tố tác động rủi ro kiểm soát dữ liệu đầu vào
Việc kiểm soát dữ liệu đầu vào đã được hầu hết các doanh nghiệp quan tâm. Có 50% doanh nghiệp đã tổ chức kiểm soát nguồn dữ liệu đầu vào bằng phương pháp thủ công bên cạnh sự hỗ trợ của phần mềm nhằm tăng độ chính xác. Việc này sẽ hạn chế được rủi ro nhập trùng lắp, chứng từ không hợp lý hợp lệ trước khi con người nhập liệu trên phần mềm ứng dụng. Hiện tại, phần mềm ERP được đánh giá là thực hiện khá tốt việc kiểm soát nhập liệu thông qua các bước kiểm tra về tính trùng lắp, tính bắt buộc, tính hiện hữu, tính thích hợp, tính hợp lý, tính cân đối và kiểm tra số liệu tính tốn; nhưng vẫn chưa hoàn toàn làm hài lòng người sử dụng (53,33%). Việc này có thể xuất phát từ thiết kế của phần mềm hoặc do tổ chức nhân sự và quy trình hoạt động chưa thật sự hữu hiệu và hiệu quả. Xét về thiết kế của phần mềm ERP, người sử dụng và các nhà sản xuất phần mềm cần quan tâm thêm như thiết kế thủ tục kiểm soát ngày của chứng từ được ghi nhận, phân quyền người dùng tránh kiêm nhiệm, tránh trùng lắp nghiệp vụ giữa những người được giao cùng nhiệm vụ…
Kiểm sốt q trình xử lý dữ liệu:
Vấn đề khảo sát
Mức độ ảnh hưởng rủi ro xử lý dữ liệu Rất
thấp Thấp
Không
rõ rệt Cao Rất cao
Anh/chị vui lịng cho biết mức độ hiểu biết về quy trình xử lý dữ liệu của phần mềm ERP?
0,00% 0,00% 66,67% 20,00% 13,33%
Anh/chị vui lòng đánh giá mức độ hồn thành cơng việc của bộ phận chuyên trách theo dõi hoạt động của phần mềm ERP tại doanh nghiệp?
0,00% 13,33% 40,00% 46,67% 0,00%
Anh/chị vui lòng đánh giá khả năng can thiệp của nhân viên trong doanh nghiệp đến quá trình xử lý dữ liệu của phần mềm ERP?hàng có được cải thiện khơng?
0,00% 26,67% 40,00% 33,33% 0,00%
Anh/chị vui lòng đánh giá khả năng sửa/xóa/thay đổi dữ liệu trong phần mềm ERP của nhân viên trong doanh nghiệp?
0,00% 20,00% 33,33% 46,67% 0,00%
Bảng 2.7: Các yếu tố tác động rủi ro kiểm sốt q trình xử lý dữ liệu
Trong mơi trường ERP, hầu hết các quy trình hoạt động đều được xử lý tự động bởi phần mềm. Điều này cho phép loại bỏ gần như tất cả các sai sót có thể xảy ra nếu xử lý thủ cơng. Ngược lại những sai sót do chương trình phần mềm sẽ dẫn đến việc tất cả các nghiệp vụ có thể đều xử lý bị sai. Đáng lưu ý là những lỗi do phần mềm có thể khơng bị phát hiện trong thời gian dài. Vì vậy, cần thiết phải kiểm tra việc tuân thủ quy trình vận hành, tính an tốn bảo mật và hiệu quả sử dụng của tất cả ứng dụng. Để thực hiện cơng việc này, địi hỏi người sử dụng phải có sự am hiểu nhất định về tin học, về quy trình hoạt động của ERP được thiết kế bởi các nhà sản
xuất phần mềm. Sự am hiểu này có thể đến từ người trực tiếp sử dụng phần mềm, bộ phận kiểm soát, kiểm toán, bộ phận IT, hoặc bộ phận phát triển dự án ERP,…
Tuy nhiên, hầu hết các doanh nghiệp chưa chú trọng đến kiểm sốt q trình xử lý dữ liệu của ERP, mà hầu hết phó mặc cho nhà sản xuất phần mềm. Cuộc khảo sát cho thấy đến 53,33% trả lời rằng bộ phận chuyên trách theo dõi hoạt động của phần mềm ERP chưa hồn thành tốt vai trị của mình, trong khi 66,67% người sử dụng chưa am hiểu sâu về các quy trình xử lý nói riêng và các thiết kế của phần mềm nói chung. Điều này dẫn đến 66,67% đánh giá mức độ can thiệp của nhân viên trong doanh nghiệp đến quá trình xử lý dữ liệu của phần mềm ERP và 53,33% đánh giá khả năng sửa/xóa/thay đổi dữ liệu trong phần mềm ERP của nhân viên trong doanh