Kiểm soát nội bộ: Đừng để 'mất bò mới lo làm chuồng'
Làm thế nào để hệ thống ERP tự động báo động sai phạm trước khi hậu quả xảy ra? Chia sẻ từ 20 năm thực chiến của Nguyễn Mạnh Tường.
Sau 20 năm lăn lộn triển khai ERP cho các tập đoàn lớn tại Việt Nam, tôi nhận ra một sự thật cay đắng: Đa số doanh nghiệp chỉ biết mình bị mất tiền khi kế toán kiểm kho hoặc khi dòng tiền đã cạn kiệt.
Kiểm soát nội bộ (Internal Control) truyền thống dựa trên con người và chữ ký. Nhưng con người thì có thể nể nang, sai sót hoặc thậm chí là thông đồng. Một hệ thống quản trị thực thụ phải đóng vai trò là một “người gác đền” không bao giờ ngủ.
Cái bẫy của việc “Kiểm soát bằng niềm tin”
Tại nhiều doanh nghiệp vận hành theo chuẩn VAS, tôi thường thấy quy trình phê duyệt rất rườm rà nhưng lại vô dụng. Giám đốc ký hàng xấp giấy tờ mà không biết rằng đơn giá mua hàng đã cao hơn thị trường 20%, hoặc hạn mức nợ của khách hàng đã vượt ngưỡng an toàn từ lâu.
“Một hệ thống quản trị tồi sẽ biến người tốt thành kẻ hở, còn một hệ thống quản trị xuất sắc sẽ khiến kẻ gian không có cơ hội để ra tay.”
3 Cấp độ tự báo động của hệ thống
Để hệ thống tự “biết nói” khi có biến, tôi luôn thiết lập 3 tầng rào chắn kỹ thuật sau:
- Hard Validation (Chặn cứng): Không cho phép thực hiện giao dịch nếu vi phạm quy tắc. Ví dụ: Không thể xuất kho nếu số lượng tồn thực tế thấp hơn đơn hàng, hoặc không thể thanh toán nếu hóa đơn không khớp với Purchase Order (PO).
- Tolerance Limits (Ngưỡng dung sai): Hệ thống cho phép sai lệch trong một biên độ nhất định (ví dụ 2-5% về giá hoặc số lượng). Vượt ngưỡng này, hệ thống lập tức khóa lệnh và yêu cầu cấp cao hơn phê duyệt.
- Exception Reporting (Báo cáo bất thường): Thay vì đọc hàng trăm trang báo cáo, hệ thống chỉ gửi thông báo (Alert) về các chỉ số nằm ngoài vùng an toàn.
So sánh Kiểm soát Thủ công vs. Kiểm soát Hệ thống
| Đặc điểm | Kiểm soát Thủ công (Manual) | Kiểm soát Hệ thống (System-driven) |
|---|---|---|
| Tốc độ | Chậm, hậu kiểm (sau khi sự đã rồi) | Tức thời, tiền kiểm (ngay khi nhập liệu) |
| Độ chính xác | Phụ thuộc vào cảm tính người kiểm tra | Tuyệt đối dựa trên Logic và Data |
| Chi phí | Tốn nhân sự, dễ phát sinh tiêu cực | Đầu tư một lần, vận hành mãi mãi |
| Khả năng gian lận | Cao (thông đồng, làm giả chứng từ) | Rất thấp (mọi vết tích được lưu lại Audit Trail) |
Bài học thực tế: Câu chuyện về “Kho ma”
Tôi từng xử lý một case tại một doanh nghiệp sản xuất ở Bình Dương. Họ mất hàng tỷ đồng mỗi năm do thất thoát nguyên liệu. Sau khi áp dụng cơ chế Three-way Matching (Khớp lệnh 3 bên: Đơn mua hàng - Phiếu nhập kho - Hóa đơn), hệ thống đã thực động từ chối 15% các yêu cầu thanh toán sai lệch ngay trong tháng đầu tiên.
Bí quyết không nằm ở việc thuê thêm bảo vệ, mà nằm ở việc thiết lập các Workflows chặt chẽ và các điểm kiểm soát (Control Points) tự động bên trong lõi ERP.
Lời khuyên của Tường: Đừng đợi đến khi kiểm toán vào cuộc mới tá hỏa. Hãy để hệ thống của bạn tự lên tiếng ngay từ hôm nay.