Trách Nhiệm Thực Hiện Kiểm Soát “Chất Lượng Dữ Liệu”

kinh tế phát sinh, các dữ liệu được lưu trong tập tin nghiệp vụ và tự động cập nhật tập tin chính với điều kiện những thông tin nhận diện đối tượng trên tập tin nghiệp vụ (khóa ngoại) phù hợp thông tin nhận diện đối tượng trên tập tin chính (khóa chính). Tương tự như vậy, khi dữ liệu tập tin nghiệp vụ sau nếu liên quan với dữ liệu tập tin nghiệp vụ trước thì cũng cần có thông tin nhận diện phù hợp. Đây cũng chính là cách để xây dựng các kiểm soát tự động theo qui trình hoặc tự động xét duyệt đối tượng hay hoạt động nào đó. Dựa vào nguyên tắc tổ chức và xử lý dữ liệu đặc thù này, cần lưu ý việc phân chia trách nhiệm giữa người khai báo ban đầu dữ liệu tập tin chính, người nhập liệu các tập tin nghiệp vụ để đảm bảo gia tăng hiệu quả kiểm soát tự động. Việc nhận diện rủi ro trong phân chia trách nhiệm cần phân tích theo mức độ rủi ro liên quan tới các tập tin theo từng loại hoạt động kinh doanh. Ví dụ, trong chu trình doanh thu, việc ghi nhận khống hoạt động bán hàng có thể thực hiện trót lọt bằng cách lọt qua kiểm soát ban đầu về việc khai báo dữ liệu tập tin chính khách hàng mà không có sự ủy quyền; tạo dữ liệu khách hàng một lần rồi sử dụng để vượt qua kiểm soát hệ thống về quan hệ nghiệp vụ đặt hàng khách hàng và tập tin khách hàng. Vì vậy trong chu trình doanh thu cần chú ý trọng kiểm soát phân chia trách nhiệm khai báo tập tin chính khách hàng và nhập liệu tập tin nghiệp vụ đặt hàng. Tương tự như vậy đối với tập tin chính người bán và tập tin nghiệp vụ đặt hàng mua trong chu trình chi phí. Và cũng lý luận tương tự như vậy cho việc kiểm soát phân chia trách nhiệm trong các chu trình nhân sự, sản xuất, tài chính và hệ thống báo cáo, kế toán tổng hợp.

Phân tích dòng luân chuyển thông tin trong hệ thống ERP. Các dữ liệu được đưa vào hệ thống lần lượt theo qui trình thực hiện hoạt động kinh doanh. Dữ liệu trong hệ thống phải gồm chính sách hay mệnh lệnh hoạt động (bắt nguồn từ người quản lý bộ phận), dữ liệu hoạt động kinh doanh liên quan tới tài sản vật lý (bắt nguồn từ các bộ phận thực hiện hoạt động, quản lý tài sản) và dữ liệu giá trị liên quan hoạt động kinh doanh (bắt nguồn từ bộ phận tài chính hay kế toán). Như vậy dòng luân chuyển thông tin này sẽ tự động đối chiếu

với nhau theo trình tự qui trình ERP. Cuối kỳ, các dữ liệu có tính ước tính kế toán hay khóa sổ lập báo cáo là trách nhiệm từ bộ phận kế toán. Rủi ro lớn nhất lúc này là chất lượng nhập dữ liệu và tính khách quan, kiểm chứng, kiểm soát lẫn nhau của dữ liệu. Ngoài ra, ERP còn có thể nhận những thông tin yêu cầu nghiệp vụ kinh tế (ví dụ đặt hàng của khách hàng) từ các phân hệ bán hàng qua hệ thống mạng Internet. Lúc này cần lưu ý kiểm tra tính xác thực của khách hàng.

Phân tích các gian lận thông tin liên quan báo cáo tài chính. Theo nghiên cứu năm 2008 của hiệp hội các nhà điều tra gian lận Hoa Kỳ (ACFE), các phương pháp thực hiện gian lận báo cáo tài chính bao gồm: che giấu công nợ (chiếm 45% gian lận), ghi nhận doanh thu không có thật (chiếm 45%), định giá sai tài sản (chiếm 37,5%), ghi nhận sai niên độ (chiếm 28,3%), không công bố thông tin quan trọng (chiếm 48%) (trích bộ môn kiểm toán p49).

Theo phân tích của ACFE, che giấu nợ phải trả và chi phí bằng cách ghi chậm lại các chi phí phát sinh về dịch vụ để giảm bớt chi phí, tăng lợi nhuận hoặc ngược lại; hay ghi nhận vốn hóa các khoản chi phí không được phép vốn hóa, hay không lập dự phòng nợ phải trả. Trong môi trường ERP, nơi nhập dữ liệu vào hệ thống phục vụ các xử lý này hoàn toàn thuộc bộ phận kế toán

Ghi nhận doanh thu không có thật là phương pháp ghi khống hoạt động bán hàng hay dịch vụ thông qua tạo khách hàng ma, giả mạo giấy tờ hoạt động bán hàng và kỳ sau điều chỉnh lại bằng hoạt động giảm giá hàng bán. Ghi nhận doanh thu cao hơn thực tế bằng cách ghi nhận doanh thu khi các điều kiện giao hàng chưa hoàn tất hay không ghi nhận hàng bán trả lại vào các khoản giảm trừ doanh thu. Trong môi trường ERP, các dữ liệu liên quan tới hoạt động giao hàng, đặt hàng của khách hàng được đưa vào từ các bộ phận bán hàng, giao hàng hay kho hàng nên gian lận này khó thực hiện hơn. Tuy nhiên kế toán vẫn có thể can thiệp trong trường hợp ghi nhận hàng bán trả lại bằng cách không đưa vào khỏan giảm trừ doanh thu. Để kiểm soát vấn đề

này cần có cả sự tham gia của khách hàng trong xác nhận biên bản và qui trình nhập liệu của kho hàng nhận hàng trả lại với mã thu thập dữ liệu là trả lại hàng và quản lý hay giám sát bộ phận bán hàng xét duyệt hoạt động trả lại hàng.

Định giá sai tài sản được thực hiện bằng cách không ghi giảm giá trị hàng tồn kho khi bị hư hòng, không lập dự phòng đầy đủ hoặc định giá sai tài sản cố định vô hình, tài sản mua do sát nhập v.v..hoặc phân loại sai tài sản. Đa phần phương pháp này được lấy nguồn dữ liệu từ những xét đoán của người kế toán. Vì vậy trong môi trường ERP cần lưu ý việc khai báo danh mục tài sản và nhập dữ liệu hiện vật kiểm kê cũng như mức độ hư hỏng tại nơi quản lý hiện vật và phân chia trách nhiệm ở bộ phận thực hiện hoạt động kiểm kê và bộ phận kế toán trong việc nhập, xem, sửa, hủy các dữ liệu liên quan này.

Ghi sai niên độ kế toán là phương pháp ghi nhận sớm hay trễ kỳ kế toán tùy mục đích gian lận. Trong môi trường ERP, dữ liệu đưa vào hệ thống liên quan tới doanh thu hay chi phí của tài sản hiện vật thì có sự tham gia của bộ quản quản lý hay sử dụng, nhưng nếu không bắt nguồn từ tài sản hiện vật thì hoàn toàn do kế toán đưa vào. Do đó cần lưu ý thủ tục kiểm soát thủ công trên nguồn chứng từ bằng giấy của kiểm toán hay giám sát, quản lý.

Không khai báo đầy đủ thông tin là phương pháp hạn chế khả năng phân tích của người sử dụng báo cáo tài chính như không khai báo các khoản nợ tiềm tàng, các sự kiện sau ngày kết thúc niên độ, thay đổi chính sách. Các quyết định khai báo hay không hoàn toàn phụ thuộc vào kế toán. Tuy nhiên, trong môi trường ERP, phương pháp này vẫn có thể tránh được bằng cách yêu cầu hệ thống ghi nhận và tự động gắn kèm vào báo cáo các thông tin về những thay đổi chính sách kế toán. Các khai báo khác thì cần giám sát bằng kiểm toán thủ công hơn là trên hệ thống.

Ngoài ra, trong môi trường ERP còn có gian lận báo cáo tài chính bằng cách điều chỉnh hay ước tính quá mức theo sự linh hoạt của kế toán. Khi khóa sổ, lập báo cáo kế toán, ngoài các nghiệp vụ có thể tính toán tự động dựa vào các

số liệu đã khai báo sẵn trong hệ thống như khấu hao tài sản cố định, phân bổ công cụ dụng cụ nhiều lần thì các hoạt động khác hoàn toàn là xét đoán, chưa được lập trình sẵn như lập dự phòng, xóa nợ v,v. Trong trường hợp này, khả năng gian lận, sai sót ảnh hưởng tới báo cáo tài chính rất cao vì các quản lý cấp trung, quản lý bộ phận có thể xem trước và dự đoán thông tin dễ dàng hơn. Do đó cần lưu ý kiểm soát giám sát việc điều chỉnh chính sách, qui định và phân tích rà soát để phát hiện biến động bất thường.

Phân tích các gian lận thiết bị xử lý và lưu trữ dữ liệu. Các dữ liệu và thông tin được xử lý và lưu trữ trong cơ sở dữ liệu trong các thiết bị có kích thước nhỏ, có thể tháo ráp, di chuyển dễ dàng và cũng dễ dàng hư hỏng do cách sử dụng, thao tác, do nguồn điện, do phá hoại bằng các chương trình hacker, virus.

Phân tích gian lận truy cập hệ thống và dữ liệu và Phân tích gian lận liên quan sửa đổi chương trình xử lý. Tuy các giam lận ảnh hưởng nhiều tới chất lượng dữ liệu nhưng nguyên nhân do truy cập hệ thống, dữ liệu sửa đổi chương trình nên luận án sẽ phân tích ở nhân tố “kiểm soát để đảm bảo hệ thống ERP tin cậy.

Tóm lại các rủi ro lớn nhất với chất lượng dữ liệu trong môi trường ERP là:

 Chuyển dữ liệu từ hệ thống cũ sang hệ thống mới không đầy đủ, phù hợp

 Thu thập không đủ nội dung dữ liệu cần thiết

 Nguồn dữ liệu không đảm bảo vì không phù hợp mục tiêu kiểm soát xét duyệt, đầy đủ, có thực, kịp thời. Tuy nhiên phần lớn tiêu thức kiểm soát này có thể được hỗ trợ thông qua đối chiếu dữ liệu tự động liên quan trong hệ thống

 Sai sót hay gian lận trong nhập liệu

 Phân chia trách nhiệm liên quan tiếp cận, truy cập dữ liệu không đầy đủ và phù hợp trong môi trường ERP

 Dữ liệu lưu trữ bị hư hỏng do thiết bị lưu trữ

Thực tế tại Việt Nam, kết quả khảo sát cho thấy kiểm soát chất lượng dữ liệu tại các doanh nghiệp chưa tốt.

Để kiểm soát chất lượng dữ liệu, CobiT hướng dẫn xử lý PO8.4, DS11. Luận án dựa vào hướng dẫn này triển khai các đề nghị kiểm soát sau:

 Xây dựng tiêu chuẩn chất lượng dữ liệu và thông tin và mức độ ưu tiên giữa các tiêu chuẩn này vì giữa chúng có sự hạn chế lẫn nhau, ví dụ tiêu chuẩn chính xác có thể hạn chế tính kịp thời của dữ liệu. Nếu phân thành 3 nhóm mức độ ưu tiên thì trong hệ thống ERP tiêu chuẩn chất lượng cần ưu tiên trước hết, đó là hữu hiệu, toàn vẹn và bảo mật nhằm lựa chọn các phương pháp logic để giải quyết vấn đề nội dung và tính chính xác của dữ liệu nhập, lưu trữ và an toàn dữ liệu; đảm bảo dữ liệu không bị xóa, sửa và lấy do truy cập bất hợp pháp. Nhóm quan trọng thứ 2 là các tiêu chuẩn sẵn sàng, tuân thủ, đáng tin cậy. Nhóm cuối cùng là hiệu quả dữ liệu.

 Cần phân tích để xác định chính xác yêu cầu người sử dụng nhằm xác định rõ nội dung và mức độ chi tiết nội dung dữ liệu cần vào hệ thu thập và nhập vào hệ thống. Vì là dữ liệu dùng chung nên khi phân tích cần thu thập đủ nhu cầu thông tin từ các bộ phận sử dụng, loại trừ những trùng lắp dữ liệu và quyết định dữ liệu gì sẽ được thu thập ở đâu, lúc nào. Cách hiệu quả nhất là phân tích theo qui trình kinh doanh

 Xây dựng từ điển dữ liệu để tránh việc trùng lặp hay mâu thuẫn nhau của dữ liệu nhập vào hệ thống. Như vậy nó giúp đám bảo tính toàn vẹn của dữ liệu và thông tin.

 Phân chia trách nhiệm cho nhân viên để kiểm soát việc tiếp cận, truy cập dữ liệu. Theo phân tích đặc điểm xử lý ERP, các dữ liệu hoạt động và mệnh lệnh chính sách cần tách biệt và do nhiều người khác nhau đưa vào hệ thống để đảm bảo sự khách quan, tin cậy khi hệ thống tự động đối chiếu dữ liệu. Nguyên tắc chung phân chia trách nhiệm khi thực hiện ERP là: Người thực hiện hoạt động kinh doanh khác người xét duyệt hoạt động kinh doanh và khác người bảo quản tài sản liên quan. Liên quan tới dữ liệu thì người khai

báo dữ liệu tập tin chính nên là người có vị trí tương ứng việc xét duyệt nghiệp vụ hoặc ít ra cũng khác người thực hiện nghiệp vụ (đồng thời cũng là người đưa dữ liệu nghiệp vụ kinh tế vào hệ thống) khác với kế toán phụ trách phần hành liên quan.

 Xây dựng thủ tục lưu trữ dữ liệu như cấp độ, thời gian và phương pháp lưu trữ dữ liệu. Thông thường mô hình ERP là mô hình khách chủ, vì vậy lưu trữ dữ liệu cũng cần phân loại dữ liệu theo mức độ quan trọng và phạm vi ảnh hưởng để xác định trình tự thời gian lưu trữ (lưu trữ thường xuyên, lưu trữ định kỳ) và cấp độ lưu trữ (máy khách, máy chủ). Qui trình này cần được mô tả rõ trong cẩm nang nhân viên

 Xây dựng thủ tục kiểm soát ứng dụng nhập liệu như nguồn dữ liệu, kiểm soát quá trình nhập liệu gắn kèm vào phần mềm xử lý; kiểm soát xử lý và kiểm soát kết quả xử lý.

o Nguồn dữ liệu đưa vào hệ thống có thể là các chứng từ hoặc thu thập trực tiếp từ nghiệp vụ (ví dụ máy quét mã vạch sản phẩm hoặc qua hệ thống thu thập dữ liệu điện tử). Nguồn dữ liệu này cần được đảm bảo mục tiêu kiểm soát là tính xét duyệt, tính có thực, tính chính xác, kịp thời và đầy đủ. Để đạt mục tiêu này cần thủ tục kiểm soát chứng từ như đối chiếu chứng từ, kiểm tra các nội dung trên chứng từ và chữ ký chứng từ. Đây là kiểm soát thủ công.

o Quá trình nhập liệu được kiểm soát tự động qua các thủ tục kiểm soát được lập trình như kiểm soát hợp lệ: Trình tự dữ liệu, kiểu dữ liệu, độ dài vùng dữ liệu, kiểm sóat có thực dữ liệu, kiểm soát đầy đủ, kiểm soát mặc định và tự động dữ liệu. Ngoài ra việc kiểm soát dữ liệu nhập còn được kiểm soát tự động theo kiểu đối chiếu dữ liệu tự động theo qui trình nghiệp vụ và dữ liệu trong cơ sở dữ liệu.

 Xây dựng thủ tục kiểm soát phát hiện việc truy cập và sửa chữa dữ liệu bất hợp pháp. Xây dựng thủ tục khôi phục dữ liệu nếu bị hư hỏng hay mất mát dữ liệu.

 Thường xuyên kiểm tra hệ thống máy tính để đảm bảo tính ổn định, liên tục của hệ thống.

Trách nhiệm của bộ phận liên quan trong quá trình thực hiện kiểm soát được trình bày trong bảng 3.3 sau:

Bảng 3.3. Trách nhiệm thực hiện kiểm soát “Chất lượng dữ liệu”

Hoạt động

CIO	BP hoạt động/kế toán	PMO	Kiểm toán
Chuyển đổi dữ liệu hệ thống cũ sang hệ thống mới	A	R	R	C
Phân chia trách nhiệm và chuyển các yêu cầu sở hữu dữ liệu liên quan trách nhiệm vào thủ tục xử lý	A	R/I		C/I
Xác định, duy trì và thực hiện thủ tục quản lý thư viện dữ liệu	A	R		C
Lưu trữ dự phòng dữ liệu	A	R
Xác định, duy trì và thực hiện các thủ tục khôi phục dữ liệu	A	R		I
Xác định, duy trì và thực hiện các thủ tục an toàn thiết bị	A	R		C

CIO	BP hoạt động/kế toán	PMO	Kiểm toán
Phân tích hoạt động kinh doanh và yêu cầu thông tin	A	C	R	R
Chuyển những yêu cầu thông tin và xử lý vào thiết kế yêu cầu phần mềm	A	C	R	C
Xác định những yêu cầu kiểm soát vào thiết kế yêu cầu phần mềm	A	C	R	R
Đánh giá lựa chọn nhà cung cấp phù hợp	A		R	C
Thử nghiệm phần mềm	A	R	A/R	C