Định hướng nâng cao năng lực Kiểm toán nội bộ công nghệ thông tin trong ngân hàng

Công nghệ thông tin (CNTT) đã trở thành yếu tố không thể thiếu trong hoạt động kinh doanh và chiến lược phát triển của mọi tổ chức và doanh nghiệp. Đặc biệt đối với lĩnh vực tài chính ngân hàng, hệ thống CNTT ngày càng được tích hợp sâu rộng vào mọi hoạt động kinh doanh, vận hành, quản lý và quản trị, trở thành yếu tố cốt lõi của các tổ chức tài chính.

Ảnh minh họa

Theo Quyết định số 2655/QĐ-NHNN ban hành Chiến lược phát triển CNTT của ngành Ngân hàng đến năm 2025, định hướng đến năm 2030, thì ứng dụng CNTT phải trở thành yếu tố quan trọng trong hỗ trợ tích cực cho việc triển khai Chiến lược phát triển ngành Ngân hàng; thúc đẩy hiện đại hóa hoạt động quản lý, điều hành của Ngân hàng nhà nước Việt Nam và quản trị, kinh doanh của tổ chức tín dụng theo thông lệ quốc tế.

Do vậy, những rủi ro trong hoạt động CNTT sẽ ngày càng có tác động lớn tới việc vận hành cũng như mục tiêu phát triển của ngân hàng. Để kiểm soát và giảm thiểu được những rủi ro này thì ba tuyến bảo vệ (bộ phận kinh doanh, vận hành - tuyến bảo vệ số 1; bộ phận tuân thủ, quản lý rủi ro - tuyến bảo vệ số 2 và bộ phận kiểm toán nội bộ - tuyến bảo vệ số 3) cần nâng cao năng lực trong việc nhận diện, đánh giá, quản lý và ứng phó với những rủi ro.

Theo ông Tiến Thành, quản lý cấp cao Dịch vụ Tư vấn quản lý rủi ro CNTT, PwC Việt Nam, “Đối với bộ phận Kiểm toán nội bộ (KTNB), lá chắn bảo vệ cuối cùng của Ngân hàng, việc đánh giá rủi ro CNTT một cách độc lập và thực hiện kiểm tra, kiểm toán các lĩnh vực có rủi ro cao là một cấu phần quan trọng cần phải thực hiện thường xuyên. Tuy nhiên, bản chất chuyên biệt và các kỹ năng đặc thù để thực hiện các cuộc kiểm toán CNTT đang đặt ra yêu cầu đối với bộ phận Kiểm toán nội bộ CNTT của Ngân hàng như: cần chuẩn hóa các quy trình, nâng cao số lượng và chất lượng nguồn nhân lực từ đó áp dụng hiệu quả các ứng dụng CNTT vào trong hoạt động KTNB CNTT.”

Về quy trình KTNB CNTT, bộ phận chuyên trách cần xây dựng các quy trình, hướng dẫn về kiểm toán CNTT phù hợp với đặc thù của ngân hàng và yêu cầu tuân thủ pháp luật. Các quy trình, hướng dẫn này cần áp dụng chung được để kiểm toán các hệ thống CNTT với các đặc điểm, quy mô khác nhau. Đối với các chuyên đề kiểm toán CNTT đặc thù, phức tạp (ví dụ kiểm toán về an ninh bảo mật, các hệ thống sử dụng điện toán đám mây…), nên cân nhắc xây dựng quy trình kiểm toán với sự tham gia của các chuyên gia có kinh nghiệm trong ngân hàng hoặc từ các đối tác tư vấn bên ngoài. Hệ thống quy trình đầy đủ sẽ hỗ trợ kiểm toán viên CNTT xuyên suốt quá trình thực hiện từ đánh giá rủi ro, lên kế hoạch, tiến hành kiểm toán, lập báo cáo và theo dõi vấn đề sau kiểm toán. Đồng thời chúng cũng rất hữu ích trong việc đào tạo nhân viên mới cũng như các nhân viên hỗ trợ đoàn kiểm toán.

Xét về mặt công nghệ, bà Nguyễn Phi Lan, Phó Tổng Giám Đốc, Lãnh đạo Bộ phận Quản trị Rủi ro tại PwC Việt Namchia sẻ: “Về áp dụng công nghệ, bộ phận Kiểm toán nội bộ Công nghệ thông tin cần được đầu tư và đào tạo để sử dụng các công cụ và kỹ thuật tự động (Automated Tools and Techniques - ATTs) một cách hiệu quả. Các công cụ và kỹ thuật tự động trong kiểm toán là các quy trình hỗ trợ kiểm toán thông qua việc tự động hóa các phương pháp và thủ tục, giúp bổ sung hoặc thay thế các công việc thủ công hoặc lặp đi lặp lại.”

Một số ví dụ điển hình của ATTs có thể kể đến: Sử dụng kỹ thuật kiểm toán có sự hỗ trợ của máy tính (Computer-assisted audit technique (CAAT); Phân tích dữ liệu; Tự động hóa quy trình bằng sử dụng robot (Robotics Process Automation – RPA). Các công cụ và kỹ thuật tự động cho phép kiểm toán viên CNTT tăng năng suất làm việc cá nhân cũng như năng suất của đoàn kiểm toán.

ATTs giúp nâng cao chất lượng của kết quả các cuộc kiểm toán và điều tra gian lận. ATTs cũng có thể hỗ trợ các thủ tục kiểm tra thiết kế hoặc kiểm tra vận hành ở những chốt kiểm soát không lưu vết kiểm toán rõ ràng, hoặc có tập dữ liệu và số lượng mẫu chọn quá lớn.

Bên cạnh đó, số lượng và chất lượng nhân sự kiểm toán CNTT đang là một vấn đề mà ngân hàng quan tâm. Theo yêu cầu của Thông tư 13/2018/TT-NHNN - Quy định về hệ thống kiểm soát nội bộ của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài, đa số các ngân hàng Việt Nam đều có ít nhất một nhân sự chuyên trách về KTNB CNTT. Tuy nhiên, trong điều kiện rủi ro CNTT ngày càng cao thì số lượng kiểm toán viên CNTT cần tương xứng với quy mô và hoạt động của ngân hàng.

Để nâng cao hiệu quả trong việc sử dụng nguồn nhân lực KTNB CNTT, các ngân hàng cần lưu ý đến vai trò và trách nhiệm của Kiểm toán viên CNTT; Quy mô và cấu trúc bộ phận KTNB CNTT; Kiến thức và kỹ năng của Kiểm toán viên CNTT. Cùng với đó, việc xây dựng đội ngũ KTNB CNTT cần có lộ trình phù hợp đối với việc tìm kiếm, đào tạo và duy trì nguồn lực trong điều kiện thị trường đang thiếu hụt về nguồn nhân lực này.

“Trong môi trường ngành Ngân hàng ngày càng có các quy định chặt chẽ về phòng ngừa và ứng phó rủi ro CNTT và kỳ vọng của cổ đông, ban lãnh đạo đối với KTNB cũng ngày càng cao, vai trò của bộ phận KTNB CNTT sẽ ngày càng trở nên quan trọng trong tuyến bảo vệ thứ 3. Chính vì vậy, việc đầu tư phù hợp vào quy trình, công nghệ và con người cho CNTT của KTNB là rất cần thiết trong giai đoạn hiện nay đối với các Ngân hàng Việt Nam.” ông Tiến Thành kết luận.