Kiểm soát thông tin kế toán tại doanh nghiệp xây lắp niêm yết trên thị trường chứng khoán
Hệ thống thông tin kế toán bao gồm các thành phần cấu thành hệ thống được tổ chức khoa học nhằm thu nhận, xử lý và cung cấp thông tin kế toán cho các đối tượng sử dụng thông tin khác nhau trong và ngoài doanh nghiệp. Tuy nhiên, quá trình vận hành hệ thống này lại tiềm ẩn rất nhiều rủi ro, vì vậy kiểm soát hệ thống là một trong những khâu không thể thiếu.
Thực trạng kiểm soát hệ thống thông tin kế toán tại một số doanh nghiệp xây lắp
Khảo sát thực tế tại 46 công ty cổ phần xây lắp niêm yết trên thị trường chứng khoán (TTCK) cho thấy, tất cả các doanh nghiệp (DN) đều sử dụng phần mềm kế toán để hỗ trợ cho công tác kế toán; chú trọng áp dụng các chính sách, thủ tục, thực hiện việc kiểm soát và an toàn cho hệ thống thông tin kế toán (TTKT).
Kiểm soát chung
Phân quyền khai thác sử dụng nhằm ngăn chặn người không có quyền hạn và nhiệm vụ xâm nhập hệ thống. Trong phần lớn các phần mềm được khảo sát đều có thiết lập vấn đề bảo mật. Hầu hết các phần mềm đều thiết lập mật khẩu theo từng người sử dụng.
Ở tất cả các DN khảo sát không phân biệt quy mô, khối lượng công việc, số lượng kế toán trong phòng kế toán, người có quyền cao nhất (thường là kế toán trưởng) được phép sử dụng tính năng “phân quyền và quản trị kế toán” trong hệ thống kế toán để thiết lập, thêm, xóa hoặc sửa trong phần mềm.
Thông thường tại các DN, việc phân quyền cho người sử dụng chương trình là các kế toán tương ứng theo các phân hệ kế toán, như: Kế toán vật tư, kế toán tài sản cố định, kế toán tiền lương, kế toán thuế, kế toán thanh toán, kế toán tổng hợp…
Qua khảo sát có 41/46 công ty, người thực hiện chức năng quản trị - kế toán trưởng (hoặc phó phòng kế toán) thường được phân quyền dưới dạng toàn quyền, tức là có thể xem, nhập, sửa dữ liệu của toàn bộ phòng kế toán; Đối với những người dùng khác như nhân viên kế toán, thì chỉ được phép nhập/sửa dữ liệu kế toán liên quan đến phần hành mà mình phụ trách.
Một số rất ít công ty còn lại, phần mềm kế toán tuy có chức năng quản trị người dùng sang DN lại không thực hiện hạn chế người dùng. Do vậy, họ có thể “toàn quyền” sử dụng dữ liệu trong hệ thống kế toán như: Công ty cổ phần HUD 1, Công ty cổ phần xây dựng 47…
Kết quả khảo sát cũng cho thấy, dữ liệu được nhập vào phần mềm theo từng phân hệ, giữa phân hệ này với phân hệ khác lại có mối liên kết với nhau thông qua mối liên hệ truyền – nhận thông tin. Mối liên kết truyền – nhận được đặt mặc định trong phần mềm kế toán. Ví dụ: Phân hệ kế toán công nợ (phải thu và phải trả).
Thông tin đầu vào của phân hệ này là dữ liệu lấy từ các hóa đơn mua hàng, vật tư, tài sản của nhà cung cấp, các chi phí khác, chứng từ thanh toán với nhà cung cấp, các khoản thanh toán của khách hàng, chênh lệch tỷ giá… Thông tin đầu ra là bảng kê các khoản phải thu, phải trả, sổ chi tiết nợ phải thu, nợ phải trả của từng khách hàng, nhà cung cấp…
Phân hệ này có liên kết với các phân hệ khác, bởi do nó nhận thông tin liên quan về các khoản phải thu và phải trả từ phân hệ kế toán mua hàng, như: vật tư, vốn bằng tiền… từ đó, chuyển số liệu cho phân hệ kế toán tổng hợp. Do vậy, giữa những người dùng (kế toán các phần hành) khác nhau có thể thực hiện đối chiếu và kiểm tra chéo nhau để đảm bảo tính thống nhất, chính xác, hạn chế sai sót, trùng lặp, bỏ sót nghiệp vụ… (Xem hình bên dưới).
Vì vậy, ở các DN khảo sát, việc kiểm tra kế toán được thực hiện ngoài kế toán trưởng/phó phòng kế toán, thì còn được thực hiện bởi chính nhân viên kế toán trong quá trình nhập liệu và kiểm tra chéo giữa các kế toán thuộc các phần hành.
Kiểm soát ứng dụng
- Về kiểm soát nhập liệu: Ở tất cả các DN khảo sát, phần mềm kế toán của DN có sự kiểm soát ngay từ khâu nhập liệu thông qua việc yêu cầu người nhập liệu xác nhận những bút toán, định khoản, giống về số lượng, số tiền… khi kết chuyển dữ liệu. Khâu kiểm soát nhập liệu sẽ hạn chế, giảm thiểu được những sai sót, đảm bảo tính chính xác của dữ liệu đầu vào.
- Về kiểm soát xử lý dữ liệu: Các phần mềm kế toán của DN đều cho phép lập báo cáo kế toán sớm… Qua đó, giúp kế toán kiểm tra được dữ liệu, tính cân đối ngay trong quá trình thực hiện xử lý dữ liệu mà không nhất thiết phải đợi đến cuối kỳ kế toán.
- Về vấn đề an ninh, an toàn dữ liệu: Ở tất cả các DN xây lắp, khảo sát cho thấy đã đảm bảo an toàn dữ liệu thông qua việc quản lý đầu vào hệ thống bằng tên đăng nhập và mật khẩu; 67,4% DN thực hiện phân quyền theo cấp độ sử dụng thông tin; 54,3% DN thực hiện khóa dữ liệu sau khi nhập một thời gian nhất định.
- Về thủ tục để đảm bảo an ninh, an toàn dữ liệu tại các DN: Lưu trữ (backup) số liệu là vấn đề rất quan trọng. Tính bảo mật của dữ liệu được quản lý ngay từ khi dữ liệu được nhập vào hệ thống. Tuy nhiên, trong quá trình sử dụng, dữ liệu của hệ thống vẫn có thể bị mất do nhiều nguyên nhân như hỏng ổ cứng, bị nhiễm virus...
Thông thường các phần mềm có thể cho phép lưu trữ số liệu định kỳ hàng tuần. Mỗi khi thoát khỏi chương trình nếu chưa lưu trữ, thì chương trình sẽ nhắc nhở người sử dụng lưu trữ số liệu. Số liệu được lưu trữ dưới dạng các tệp nén bằng chương trình WinZip. Hơn nữa, các phần mềm kế toán còn có chức năng khóa dữ liệu để tăng tính bảo mật, do đó, tính bảo mật của dữ liệu kế toán là tương đối cao.
Ngoài ra, để đảm bảo an toàn dữ liệu, các DN đều có thực hiện sao lưu dữ liệu tại máy chủ, máy trạm, ổ cứng… Tuy nhiên, tại các DN khảo sát vẫn chưa có những quy định cụ thể về bảo mật thông tin, đảm bảo an toàn dữ liệu cho hệt hống TTKT DN.
Giải pháp hoàn thiện kiểm soát hệ thống thông tin kế toán
Thực trạng trên cho thấy, kiểm soát hệ thống TTKT trong các DN xây lắp niêm yết trên TTCK hiện nay vẫn còn thiếu chặt chẽ, còn có những sai sót và gian lận chưa được phát hiện trong quá trình ghi nhận, xử lý, tổng hợp báo cáo. Vì vậy, hệ thống kiểm soát cần phải được hoàn thiện trên cả 2 hoạt động chính như sau:
Kiểm soát chung
- Kiểm soát truy cập: DN cần thiết phải phân công nhiệm vụ giám sát hệ thống cho một cá nhân độc lập, không tham gia bất cứ một quá trình ghi chép và thực hiện nghiệp vụ nào. Bởi vì, một người truy cập bất hợp pháp, sẽ ảnh hưởng đến toàn bộ dữ liệu trong công ty. Vì vậy, hàng tháng, giám sát hệ thống lập báo cáo, để đảm bảo không có sự truy cập trái phép vào các phần không liên quan đến công việc; báo cáo về các nghiệp vụ bị xóa, sửa chữa trong kỳ, để thẩm định lại tính đúng đắn của thông tin lưu trữ trong hệ thống, tránh gian lận, sai sót.
- Phân chia chức năng: Cần tách biệt người thiết kế/lập trình và người sử dụng, tách biệt giữa người nhập liệu và quản lý dữ liệu. Phân chia rõ ràng nhiệm vụ của từng người, bộ phận trong hệ thống.
- Kiểm soát lưu trữ: Liên quan đến 2 yếu tố cơ bản, đó là thiết bị lưu trữ và sao lưu dự phòng. Đặc biệt, DN cần quy định rõ ràng, cụ thể đối với các cá nhân; đồng thời, tổ chức kế hoạch về thời gian sao lưu, phương pháp, trách nhiệm trong quá trình sao lưu.
- Tuân thủ quy trình: Quá trình thực hiện các thao tác trên hệ thống cần tuân thủ quy trình đã được xác định. Một chức năng sẽ không thực hiện được, nếu chức năng trước đó không được thực hiện. Do vậy, các bộ phận, phòng ban chức năng cần nắm rõ chức năng nhiệm vụ của mình và thực hiện theo đúng quy trình đã được quy định.
Kiểm soát ứng dụng
- Kiểm soát nguồn dữ liệu và quá trình nhập liệu: Các đoạn mã kiểm tra trình tự nhập liệu cần được viết và tích hợp trong phần mềm kế toán để đảm bảo nhập liệu đầy đủ, chính xác. Các thủ tục kiểm tra nhập liệu bao gồm: Kiểm tra tính tuần tự khi nhập liệu; kiểm tra vùng dữ liệu; kiểm tra dấu (>0 hay <0); kiểm="" tra="" tính="" hợp="" lý;="" kiểm="" tra="" tính="" có="" thực="" của="" nghiệp="" vụ;="" kiểm="" tra="" giới="" hạn;="" kiểm="" tra="" tính="" đầy="" đủ;="" kiểm="" tra="" dung="" lượng="" và="" vùng="" dữ="" liệu;="" định="" dạng="" trước="" khi="" nhập="" liệu…thủ="" tục="" kiểm="" soát="" này="" nhằm="" đảm="" bảo="" dữ="" liệu="" được="" nhập="" vào="" đầy="" đủ,="" hợp="" lệ,="" không="" bị="" trùng="" lặp.="">
- Kiểm soát xử lý: Một mặt, cần thiết đảm bảo các yêu cầu bắt buộc như: Ràng buộc tính toàn vẹn dữ liệu, báo cáo các yếu tố bất thường, kiểm soát về xử lý tự động, xem xét việc thực hiện quy trình xử lý theo quy định… Mặt khác, cần có những quy chuẩn cũng như tăng cường các biện pháp nghiệp vụ, để hoạt động này không chỉ hỗ trợ phát hiện ngăn ngừa các sai sót mà còn kiểm soát gian lận.
Ngoài ra, cũng cần có quy chế thưởng phạt rõ ràng, để ngăn ngừa các hành vi cố tình sai phạm của các nhân viên trực tiếp quản lý tài sản vật chất của đơn vị. Sau khi kiểm kê, DN phải lập báo cáo tổng hợp kết quả kiểm kê. Trường hợp có chênh lệch giữa thực tế và số liệu phản ánh trên sổ kế toán, DN cần xác định rõ nguyên nhân và xử lý trên hệ thống kịp thời trước khi lập báo cáo.
Hoạt động kiểm soát xử lý sẽ giúp kiểm tra sự chính xác của TTKT trong quá trình xử lý số liệu, loại bỏ những yếu tố bất thường, đảm bảo cho hệ thống hoạt động như thiết kế ban đầu.
- Kiểm soát kết quả xử lý: Đảm bảo kết quả xử lý đến đúng đối tượng và kết quả xử lý chính xác. Điều này phụ thuộc vào việc phân quyền khi sử dụng hệ thống, thiết lập các quy định và tăng cường giải pháp an ninh mạng.
Hoạt động này trải qua các thủ tục sau: Xem xét các kết xuất nhằm đảm bảo nội dung thông tin cung cấp phù hợp; Đối chiếu nội dung kết xuất và dữ liệu nhập thông qua các số tổng kiểm soát nhằm đảm bảo tính chính xác của thông tin; Chuyển giao chính xác thông tin đến người sử dụng thông tin; Đảm bảo an toàn cho các kết xuất và những thông tin nhạy cảm của DN; Quy định người sử dụng phải kiểm tra tính chính xác, đầy đủ và trung thực của thông tin; Quy định hủy các thông tin mật sau khi đã kết xuất ra các bản in thử, bản nháp; Tăng cường giải pháp hệ thống mạng trong trường hợp chuyển giao thông tin trên hệ thống mạng máy tính.
Việc tăng cường hoạt động kiểm soát hệ thống TTKT trong DN còn nâng cao vai trò của nhà quản lý, đặc biệt là sự tham gia của nhà quản lý vào hoạt động của hệ thống kế toán. Sự tham gia nhiều và sâu hơn vào hoạt động của hệ thống kiểm soát nội bộ DN của các nhà quản lý sẽ có tác dụng hạn chế tần suất xảy ra các gian lận và sai sót trong DN.
Sự đãi ngộ tương xứng cũng như những cơ chế thưởng phạt phù hợp, sẽ là những áp lực khiến cho những rủi ro bị kiểm soát chặt chẽ hơn. Điều đó đồng nghĩa, khả năng thiệt hại tài chính do những vi phạm trong lĩnh vực này giảm đi đáng kể…
- Hoàn thiện công tác quản trị người dùng, bao gồm 3 nội dung chính: Phân chia trách nhiệm, truy cập cơ sở dữ liệu, xác lập quyền sở hữu dữ liệu. Cụ thể:
(i) Việc phân chia trách nhiệm hợp lý và đầy đủ, đòi hỏi phải dựa trên cơ sở phân chia chức năng thiết kế, thực hiện và vận hành trong trung tâm dữ liệu kế toán. Hiện nay, tại một số DN xây lắp, phần mềm có thực hiện phân quyền cho người dùng nhưng do quản lý chưa chặt chẽ nên người quản lý bỏ qua khâu này, làm giảm tính bảo mật thông tin. Điều này, rất không có lợi khi xảy ra các hành động gian lận.
Vì vậy, thời gian tới, DN xây lắp cần phải phân chia trách nhiệm trong các chức năng của hệ thống một cách đầy đủ. Theo đó, cần thiết phải phân chia trách nhiệm truy cập, sử dụng và cập nhật cơ sở dữ liệu. Mỗi kế toán viên chỉ nên được nhập dữ liệu, đọc, chỉnh sửa dữ liệu thuộc phạm vi trách nhiệm của mình.
(ii) Kế toán trưởng có quyền quy định chế độ mật khẩu, truy cập dữ liệu cho từng kế toán viên tương thích với chức năng của mỗi cá nhân trong hệ thống. Đồng thời, hướng dẫn các thủ tục sử dụng mật khẩu để tăng tính hữu hiệu trong việc truy cập, sử dụng và kiểm soát hệ thống.
Phần mềm kế toán cần tự động ghi nhận được số lần truy nhập, chỉnh, sửa, thêm, xóa dữ liệu trên một tập tin riêng; tập tin này phải được bảo mật tối đa, không được xem, xóa, sửa, được quản lý độc lập với hệ thống. Kế toán trưởng cũng chỉ được xem, in báo cáo từ nội dung của tập tin này.
(iii) Khi sử dụng hệ cơ sở dữ liệu, có những dữ liệu có thể được chia sẻ cho nhiều người dùng hay nhiều ứng dụng khác. Do đó, cần xác lập quyền ưu tiên trong việc sở hữu dữ liệu cho từng hệ thống ứng dụng, từng chức năng hay từng người dùng hệ thống.
- Hoàn thiện công tác bảo mật, an toàn dữ liệu: Trong DN, dữ liệu đóng vai trò vô cùng quan trọng, để cung cấp thông tin cần phải có một hệ thống mạng đủ mạnh. Mạng được sử dụng để chia sẻ thông tin, tài nguyên giữa những người dùng trong DN với những quy mô khác nhau.
Thông thường, dữ liệu sẽ được lưu trữ trên các máy chủ mạng là dữ liệu được bảo mật, chỉ sử dụng cho một tổ chức nhất định. Vì vậy, khả năng của mạng để chống lại sự truy nhập trái phép tới dữ liệu, đó là một vấn đề hết sức quan trọng và mang tính cạnh tranh giữa các DN.
Về bản chất có thể phân loại các hành vi xâm phạm thông tin dữ liệu trên đường truyền tin và mạng truyền tin ra làm 2 loại, đó là vi phạm chủ động và vi phạm thụ động. Vi phạm thụ động thường khó phát hiện nhưng có thể có những biện pháp ngăn chặn hiệu quả, trong lúc các vi phạm chủ động dễ phát hiện nhưng biện pháp ngăn chặn có nhiều phần khó khăn hơn.
Trong thực tế, kẻ vi phạm có thể xâm nhập vào bất kỳ điểm nào mà thông tin đi qua hoặc được lưu giữ. Điểm đó có thể trên đường truyền dẫn, nút mạng, máy tính chủ có nhiều người sử dụng hoặc tại các giao diện kết nối liên mạng. Trong quan hệ tương tác người - máy thì các thiết bị ngoại vi đặc biệt là các thiết bị đầu cuối chính là cửa ngõ thuận lợi nhất cho đối tượng xâm nhập.
Ngoài ra, cũng phải kể đến các loại phát xạ điện từ của các thiết bị điện tử và các máy vi tính. Bằng các thiết bị chuyên dụng có thể đón bắt các phát xạ này và giải mã chúng. Cũng có trường hợp có thể sử dụng các bức xạ được điều khiển từ bên ngoài, để tác động gây nhiễu hoặc gây lỗi nội dung truyền tin.
Các biện pháp an toàn dữ liệu chung cho việc xây dựng các hệ thống cơ sở dữ liệu kế toán: Chống sự truy cập trái phép, xác định người sử dụng, ngăn chặn virus tấn công, bảo đảm an toàn dữ liệu mức vật lý. Các biện pháp trên được thể hiện ở các nội dung sau:
Thứ nhất, thiết lập cơ chế: Cần có những nội quy, quy định cụ thể với phòng máy tính của kế toán:
- Quản lý máy chủ: Mọi thao tác đều nằm trong sự kiểm soát của phụ trách thông qua các cán bộ được giao nhiệm vụ cụ thể;
- Quản lý dữ liệu: Mọi thao tác thực hiện trên dữ liệu phải tuân thủ đúng quy trình và đối tượng phân quyền, thực hiện các hoạt động sao lưu, kiểm tra dữ liệu định kỳ;
- Kiểm tra, kiểm soát, giảm đến mức tối thiểu các hoạt động đưa dữ liệu từ bên ngoài vào hệ thống máy tính bằng các phương tiện khác nhau, giảm thiểu tình trạng lây nhiễm virus.
Thứ hai, thiết bị lưu trữ an toàn: Nhằm tránh các sự cố xảy ra, DN có thể sử dụng song song các thiết bị lưu trữ dữ liệu, để thực hiện tối thiểu 3 sao lưu. Một trong số là nên thực hiện sao lưu online (dữ liệu điện toán “đám mây”), để tránh trường hợp thiên tai xảy ra.
Thứ ba, bảo vệ chống virus: Hệ thống máy tính của DN có thể bị nhiễm virus do việc truyền tải dữ liệu qua hệ thống mạng, email, các thiết bị truyền tin… Tình trạng này có thể làm cho hệ thống máy tính bị tê liệt, ảnh hưởng đến công việc của kế toán. Chính vì vậy, DN phải thiết lập một hệ thống diệt virus, thường xuyên cập nhật để phát huy tối đa hiệu quả.
Thứ tư, các biện pháp khác: Thường xuyên bảo trì, nâng cấp hệ thống máy móc thiết bị trong DN, đảm bảo được tốc độ hoạt động của hệ thống máy tính cũng như hệ thống mạng; kiểm tra định kỳ các thiết bị sao lưu dữ liệu; kiểm tra tất cả các thiết bị đang sử dụng, chỉ ra tài khoản lưu trữ đám mây (nếu có) được sử dụng thường xuyên, để đề xuất giải pháp bảo vệ an toàn cho các tài khoản trực tuyến.
Tài liệu tham khảo:
1. Công ty cổ phần MISA (2009), Giáo trình kế toán máy, NXB Văn hóa thông tin;
2. Công ty cổ phần ACMan (2013), Giáo trình kế toán máy ACPro, NXB Lao động;
3. Nguyễn Quang Thông (2009) - Trung tâm Đào tạo công nghệ AVNet, Giáo trình Phân tích, thiết kế thông tin quản lý, NXB Giáo dục;
4. TS. Ngô Hà Tấn, ThS. Nguyễn Hữu Cường (2010), Giáo trình hệ thống thông tin kế toán, NXB Giáo dục.