Đánh giá rủi ro của hệ thống thông tin kế toán tại các doanh nghiệp lớn trên địa bàn tỉnh Thanh Hóa

Để đánh giá rủi ro của hệ thống thông tin kế toán (HTTTKT) tại các doanh nghiệp (DN) lớn trên địa bàn tỉnh Thanh Hóa, tác giả thực hiện khảo sát 258 nhà quản lý các cấp và bộ phận kế toán tại 48 DN lớn, trên cơ sở đưa ra các câu hỏi đánh giá mức độ rủi ro xảy ra trong các giai đoạn: Thu thập dữ liệu, Xử lý dữ liệu và Cung cấp thông tin kế toán quản trị chi phí; đồng thời, người trả lời đánh giá tần suất xảy ra các rủi ro đó tại đơn vị của họ trên thực tế, với các mức độ từ 1-5 (Thang điểm từ Rất không tốt đến Rất tốt). Nhìn chung, kết quả cho thấy, mức độ rủi ro của hệ thống tại các DN ở mức trên trung bình, không quá cao nhưng tiềm ẩn nhiều rủi ro cần có biện pháp hạn chế. Cụ thể, kết quả khảo sát như sau:

- Về rủi ro đối với giai đoạn thu thập dữ liệu: Các đáp viên đánh giá về mức độ rủi ro trong giai đoạn thu thập dữ liệu ở mức độ trên trung bình là 3,41. Các đáp viên đánh giá thực trạng tần suất xảy ra rủi ro này ở đơn vị như sau: Rủi ro làm giả nghiệp vụ rất ít khi xảy ra (giá trị trung bình tương đối cao 3.92), rủi ro nhập sai dữ liệu và nhập thiếu dữ liệu ở mức bình thường (giá trị trung bình là 3.24) và rủi ro hạn chế khả năng thu thập dữ liệu được đánh giá ở mức thường xuyên (giá trị trung bình là 3.16). Điều này là do HTTTKT trong các DN mới chỉ tập trung vào kế toán tài chính, chưa định hướng kế toán quản trị; dữ liệu thu thập còn nhiều hạn chế.

- Về rủi ro đối với giai đoạn xử lý dữ liệu: Nhìn chung, các đáp viên đánh giá cao mức độ rủi ro trong giai đoạn xử lý dữ liệu với giá trị trung bình thống kê được là 2,32. Như vậy, vấn đề mà các nhà quản trị và nhân viên kế toán đánh giá là rủi ro trong giai đoạn xử lý dữ liệu không phải là vấn đề công nghệ kỹ thuật của các công cụ sử dụng trong hệ thống, mà các vấn đề liên quan đến chuyên môn nghiệp vụ hay năng lực và đạo đức nghề nghiệp của nhân viên kế toán và nhà quản trị tiềm ẩn nhiều rủi ro hơn, đồng thời, thực tiễn tại DN, tần suất xảy ra các rủi ro liên quan đến nghiệp vụ và hành vi nghề nghiệp lớn hơn các rủi ro kỹ thuật khác.

- Về rủi ro đối với giai đoạn cung cấp thông tin: Kết quả khảo sát cho thấy, rủi ro đối với giai đoạn cung cấp thông tin được đánh giá ở mức tương đối cao, giá trị trung bình thống kê là 2.3. Điều này cho thấy, các rủi ro liên quan đến nghiệp vụ kế toán tài chính và kế toán quản trị vẫn được các đáp viên đánh giá ở mức cao hơn so với các rủi ro mang tính kỹ thuật, quy trình, đồng thời tần suất xảy ra rui ro nghiệp vụ ở DN cũng ở mức cao hơn các rủi ro khác.

Thực trạng kiểm soát nội bộ đối với hệ thống thông tin kế toán các doanh nghiệp lớn trên địa bàn tỉnh Thanh Hóa

Hầu hết các DN lớn trên địa bàn tỉnh Thanh Hóa đã thành lập Ban kiểm soát nội bộ (KSNB) với chức năng kiểm tra, giám sát việc thực hiện chế độ, chính sách, pháp luật của Nhà nước, điều lệ của DN, các nghị quyết của hội đồng thành viên, với mục đích phòng ngừa, phát hiện và xử lý những trường hợp sai phạm, trên cơ sở đó hoàn thiện cơ chế quản lý, thực hiện tốt hơn các nhiệm vụ được giao và các mục tiêu chiến lược đã đặt ra.

Các DN lớn trên địa bàn tỉnh Thanh Hóa đã nhận thức được tầm quan trọng của thông tin kế toán, do đó, phần lớn các DN đã đầu tư xây dựng hệ thống KSNB đối với HTTTKT. Tuy nhiên, hệ thống kiểm soát đối với HTTTKT quản trị mới chỉ thực hiện được một số nội dung sau đây:

- Kiểm soát đối với thu thập dữ liệu: Các thông tin được thu thập phản ánh trên chứng từ kế toán là chủ yếu và được cập nhật vào phần mềm kế toán do bộ phận kế toán phụ trách. Theo khảo sát, chỉ có 55% DN thực hiện kiểm tra tính xác thực của chứng từ kế toán trước khi nhập liệu, chỉ có 35% DN kiểm tra tính đầy đủ của dữ liệu định kì hàng tháng. Tuy có 65% DN xây dựng quy trình nhập liệu nhưng việc thực hiện quy trình lại chưa được kiểm soát chặt chẽ.

- Kiểm soát đối với quá trình xử lý dữ liệu: Các dữ liệu được xử lý trên các phần mềm kế toán, 84% DN đã thực hiện kiểm soát đối với các thông tin kế toán chi phí thực hiện, tuy nhiên, chỉ có 35% DN thực hiện kiểm soát đối với xử lý các thông tin chi phí chưa thực hiện, bởi thực tế cho thấy các DN này chưa hướng đến các thông tin tương lai phục vụ kế toán quản trị. 67% DN đã xây dựng quy trình xử lý dữ liệu cho từng bộ phận kinh doanh, tuy nhiên, việc kiểm soát quy trình chưa được thực hiện hiệu quả. Bên cạnh đó, do nhận thức về rủi ro kỹ thuật xảy ra của quá trình xử lý dữ liệu là thấp, do đó, các nhà quản trị DN chưa quan tâm nhiều đến việc kiểm tra tính liên tục, rà soát lỗi của các ứng dụng kế toán, kiểm tra khả năng truy nhập ứng dụng, truy xuất dữ liệu của hệ thống phần mềm...

- Kiểm soát đối với quá trình cung cấp thông tin chi phí: Quá trình kiểm soát này gần như không được thực hiện ở các DN lớn trên địa bàn tỉnh Thanh Hóa. Theo khảo sát, 56% DN kiểm soát được số lượng báo cáo cung cấp và thời gian cung cấp báo cáo, chỉ có 32% DN kiểm soát được hình thức và chất lượng của thông tin kế toán quản trị cung cấp, hơn 40% DN chưa thực hiện kiểm soát đối với quy trình cung cấp thông tin.

Về các thủ tục KSNB đối với HTTTKT, tác giả thực hiện đánh giá các thủ tục KSNB trong các DN gồm kiểm soát tài liệu, kiểm soát an ninh dữ liệu, kiểm soát quá trình thu thập dữ liệu, kiểm soát quá trình xử lý dữ liệu, kiểm soát quá trình cung cấp thông tin, kiểm soát trách nhiệm tài sản, kiểm soát về tổ chức. Tuy nhiên, theo kết quả khảo sát đối với tính hữu hiệu của hệ thống KSNB chỉ đạt giá trị trung bình của tiêu chuẩn kiểm soát tài liệu, kiểm soát trách nhiệm tài sản và kiểm soát tổ chức được đánh giá ở mức cao lần lượt là 3.29, 3.65, 3.78. Về kiểm soát an ninh dữ liệu, kiểm soát quá trình thu thập dữ liệu, xử lý dữ liệu và quá trình cung cấp thông tin kế toán quản trị chi phí, chỉ đạt mức dưới trung bình lần lượt là 2.12, 2.35, 2.55, 2.47. Điều này chứng tỏ hệ thống KSNB đối với hệ thống chưa hiệu quả, làm hạn chế tính hữu hiệu của HTTTKT tại các DN lớn trên địa bàn tỉnh Thanh Hóa.

Đề xuất giải pháp

Trên cơ sở đánh giá rủi ro của HTTTKT tại các DN lớn trên địa bàn tỉnh Thanh Hóa, tác giả đề xuất một số giải pháp góp phần hoàn thiện KSNB đối với HTTTKT tại các DN như sau:

Đối với quá trình thu thập dữ liệu

Để kiểm soát quá trình thu thập dữ liệu hiệu quả, các DN lớn trên địa bàn tỉnh Thanh Hóa cần hoàn thiện quy trình thu thập dữ liệu và nhập liệu vào hệ thống. Khi thực hiện cần có sự giám sát chặt chẽ của quản lý các bộ phận, việc kiểm soát cần được tiến hành đồng bộ và kịp thời. Các thủ tục kiểm soát đối với mỗi mục tiêu được thể hiện ở các nội dung sau đây:

- Kiểm soát chất lượng dữ liệu thu thập: Để đảm bảo chất lượng dữ liệu thu thập được, các DN cần kiểm tra tính chính xác, tính hợp pháp của các chứng từ kế toán nơi là căn cứ ghi sổ kế toán, đồng thời, cần kiểm tra tính đầy đủ của dữ liệu định kì hàng tuần. Đặc biệt, đối với các thông tin chi phí hướng đến tương lai, thông thường không có chứng từ kế toán minh chứng, các nhà quản trị cần xem xét đánh giá và chọn lọc nguồn thông tin cung cấp. Dữ liệu thu thập được trước khi tiến hành nhập liệu vào hệ thống, cần được trình bày một cách có căn cứ và có sự tham khảo ý kiến của các chuyên gia trong cùng lĩnh vực.

- Kiểm soát quá trình nhập liệu: Các DN cần thực hiện kiểm soát việc nhập các thông tin chi phí vào sổ sách, phần mềm kế toán để đảm bảo quá trình nhập dữ liệu không bị sai sót, đầy đủ và đúng đắn. Quá trình này cần được kiểm soát ở từng bộ phận kinh doanh ăn uống và bộ phận kinh doanh lưu trú và cả quá trình nhập liệu hoặc kết chuyển dữ liệu sang hệ thống các tài khoản tổng hợp của DN, sau đó là của cả tập đoàn. Trách nhiệm về rủi ro trong quá trình nhập liệu được giao cho từng cá nhân hoặc nhóm người phụ trách. Điều này giúp hạn chế khả năng xảy ra sai sót trong quá trình nhập.

Đối với quá trình xử lý dữ liệu

Thứ nhất, các DN cần xây dựng lưu đồ quy trình xử lý dữ liệu đối với từng loại thông tin chi phí cung cấp. Theo đó, để có được mỗi thông tin đó, các DN cần xây dựng quy trình luân chuyển thông tin từ các bộ phận kinh doanh đến nhà quản trị DN như thế nào, ai là người phụ trách việc lập báo cáo, lập báo cáo theo phương pháp nào, báo cáo sẽ được chuyển đến nhà quản trị cấp nào, ai có quyền phê duyệt báo cáo... Để đảm bảo việc xử lý dữ liệu được thực hiện đúng đắn, mỗi nhóm thông tin cần được xây dựng quy trình xử lý riêng.

Thứ hai, trong điều kiện vận dụng ERP, quá trình xử lý dữ liệu gần như được thực hiện tự động, phụ thuộc và trình độ CNTT, tốc độ Internet và khả năng linh hoạt của người vận hành hệ thống, do đó, việc kiểm soát đối với quá trình xử lý dữ liệu còn được thực hiện trên khía cạnh nhận thức, trách nhiệm và đạo đức nghề nghiệp của người làm công việc xử lý. Chẳng hạn, các DN cần kiểm soát để hạn chế các hành vi gian lận, chỉnh sửa dữ liệu, thay đổi thông tin cung cấp, hoặc hành vi trộm cắp dữ liệu cho mục đích vụ lợi cá nhân. Việc phân quyền khả năng truy nhập dữ liệu là một trong các giải pháp hữu hiệu cho vấn đề này.

Đối với quá trình cung cấp thông tin

KSNB đối với quá trình cung cấp thông tin nhằm mục đích đảm bảo các thông tin kế toán quản trị chi phí được cung cấp cho đúng đối tượng cần thông tin, đầy đủ, chính xác và kịp thời nội dung thông tin cần cung cấp. Để kiểm soát cung cấp thông tin kế toán quản trị chi phí căn cứ trên lưu đồ luân chuyển thông tin xác nhận các thông tin cần phải cung cấp cho cấp quản trị nào trong DN.

Ở mỗi cấp quản lý, nhà quản trị cần xác định rõ nhu cầu thông tin chi phí cần có, thời điểm và tần suất có nhu cầu. Từ đó, việc kiểm soát quá trình cung cấp thông tin chi phí đúng đối tượng sử dụng có thể được kiểm soát. Ở giai đoạn này, mỗi nhà quản trị chỉ được phép truy nhập vào một phạm vi thông tin nhất định, để phục vụ cho việc thực hiện chức năng của bộ phận hoặc cấp quản lý nhất định. Khi có yêu cầu truy nhập phạm vi thông tin khác, cần có sự cho phép hoặc mật khẩu từ quản trị viên.

Ngoài ra, tác giả đề xuất các DN từng bước vận dụng mô hình kiểm soát CobiT trong quản lý HTTTKT. Quá trình ứng dụng gồm có 5 giai đoạn và chi tiết thành các bước cơ bản như sau nhằm có thể kiểm soát quá trình hình thành và sử dụng hệ thống ứng dụng CNTT.

Giai đoạn 1: Xác định nhu cầu cụ thể cầu liên quan quản lý CNTT như nhu cầu thông tin hay dịch vụ cần cung cấp để đáp ứng yêu cầu quản lý kinh doanh; các nhu cầu phục vụ việc kiểm soát các rủi ro; nhu cầu nguồn lực CNTT; nhu cầu tài chính cần thiết.

Giai đoạn 2: Mô tả hình ảnh giải pháp; chủ yếu mô tả bằng hình ảnh các hiện trạng và mong muốn mức độ kiểm soát xử lý CNTT của DN để xây dựng giải pháp phù hợp... Tham gia thực hiện giai đoạn này chủ yếu là quản lý CNTT với sự hỗ trợ của ban quản lý cấp cao DN, quản lý hoạt động kinh doanh và kiểm toán CNTT.

Giai đoạn 3: Dựa trên mức độ mong muốn của các xử lý CNTT, quản lý CNTT sẽ xây dựng kế hoạch giải pháp để đạt được mức độ mong muốn này bao gồm xác định cụ thể mục tiêu kiểm soát, xây dựng các chỉ tiêu đo lường kết quả thực hiện kiểm soát. Giải pháp có thể là liên quan đến phần mềm, thiết bị, bước thay đổi trong qui trình xử lý… để đạt mục tiêu mong muốn.

Giai đoạn 4: Dựa trên kế hoạch giải pháp được lập, quản lý CNTT và các bộ phận liên quan cùng thực hiện theo kế hoạch này.

Giai đoạn 5: Dựa trên các đánh giá hiệu quả và các đề nghị đối với chương trình quản lý, quản lý CNTT với sự hỗ trợ từ các bộ phận liên quan sẽ xây dựng các hồ sơ hoàn chỉnh cấu trúc quản lý cũng như các xử lý CNTT.

Tài liệu tham khảo:

1. Bộ Kế hoạch và Đầu tư (2022), Sách trắng doanh nghiệp Việt Nam 2022;
2. COSO (Committee of Sponsoring Organizations of the Treadway Commission) (2013) Internal Control – Integrated Framework. www.coso.org;
3. Đặng Lan Anh (2019), Hoàn thiện HTTTKT quản trị chi phí tại các khách sạn thuộc tập đoàn Mường Thanh, Luận án tiến sĩ, Học viện Tài chính;
4. IT Governance Institute (2007a), CobiT 4.1, United States of America.