Kiểm toán công nghệ thông tin tại một số ngân hàng thương mại Việt Nam
Kiểm toán công nghệ thông tin là loại hình kiểm toán mới nhưng lại có sự phát triển nhanh chóng, nhất là trong bối cảnh ứng dụng công nghệ thông tin ngày càng trở nên phổ biến hiện nay. Tại Việt Nam, khái niệm kiểm toán công nghệ thông tin tuy còn khá mới, bước đầu được thực hiện trong các doanh nghiệp có mức độ ứng dụng công nghệ thông tin cao như các ngân hàng thương mại. Bài viết nghiên cứu thực trạng kiểm toán công nghệ thông tin tại một số ngân hàng thương mại Việt Nam, từ đó đánh giá những kết quả đạt được, cũng như những tồn tại hạn chế cần khắc phục của hoạt động này.
Đặt vấn đề
Hiện nay, kiểm toán báo cáo tài chính (BCTC) đã quen thuộc và đóng vai trò quan trọng trong việc minh bạch hóa thông tin tài chính. Với sự phát triển của công nghệ thông tin (CNTT), trong nhiều mô hình kinh doanh hiện đại, các quy trình được thực hiện tự động và dữ liệu kinh doanh, cũng như dữ liệu kế toán được lưu trữ và xử lý thông qua hệ thống thông tin (HTTT) cực kỳ hiện đại và phức tạp. Vì vậy, bản thân HTTT trở thành đối tượng quan trọng của kiểm toán.
Tại Việt Nam, nghiên cứu về kiểm toán trong ngân hàng thương mại (NHTM) thường tập trung vào các lĩnh vực kiểm toán truyền thống như: kiểm toán BCTC, kiểm toán hoạt động tín dụng, kiểm toán nội bộ. Bài viết này, sử dụng phương pháp nghiên cứu điển hình tại 2 ngân hàng: NHTM Cổ phần Đầu tư và Phát triển Việt Nam (BIDV), NHTM Cổ phần Quân đội (MB).
Khái niệm, mục tiêu của kiểm toán công nghệ thông tin
Kiểm toán CNTT là quá trình thu thập và đánh giá chứng cứ nhằm xác định một HTTT đã được thiết kế để duy trì tính toàn vẹn dữ liệu, bảo vệ tài sản, cho phép các mục tiêu của tổ chức đạt được hiệu quả và sử dụng các nguồn lực tối ưu.
Mục tiêu tổng quát của một cuộc kiểm toán CNTT là đánh giá HTTT của tổ chức được kiểm toán để xác định tính kịp thời, chính xác, đầy đủ và đáng tin cậy trong kết quả thông tin đầu ra, cũng như đảm bảo tính bí mật, tính toàn vẹn, tính sẵn sàng và độ tin cậy của dữ liệu, cũng như việc tuân thủ các yêu cầu pháp lý và các quy định có liên quan. Vì vậy, kiểm toán CNTT có thể được thực hiện bởi Kiểm toán Nhà nước, kiểm toán độc lập hoặc kiểm toán nội bộ. Nghiên cứu này, đánh giá thực trạng kiểm toán CNTT tại các NHTM dưới góc độ của kiểm toán nội bộ.
Thực trạng kiểm toán công nghệ thông tin tại các ngân hàng thương mại Việt Nam
Kiểm toán công nghệ thông tin tại BIDV
Tại BIDV, bộ phận thực hiện kiểm toán CNTT trực thuộc khối Giám sát và tuân thủ trực thuộc Ban điều hành. Bộ phận này có nhiệm vụ kiểm tra, giám sát hoạt động CNTT trong ngân hàng, là lớp kiểm soát thứ 2 trong mô hình 3 lớp của COSO.
Các nội dung chính thuộc phạm vi kiểm toán CNTT tại BIDV bao gồm:
- Đánh giá hệ thống kiểm soát nội bộ (KSNB) đối với việc thực hiện các đề án CNTT của ngân hàng, công tác kiểm soát việc quản lý, sử dụng máy tính và thiết bị tin học tại các đơn vị, tình hình thực hiện giám sát, kiểm soát hoạt động CNTT và tính hiệu quả của hệ thống KSNB trong ứng dụng CNTT tại các đơn vị.
- Đánh giá rủi ro: Truy cập trái phép đến các thông tin quan trọng; Không đồng bộ giữa những thay đổi về sách lược chủ yếu và HTTT; Cung cấp không đầy đủ hay cung cấp thông tin không chính xác; Sự cố về kỹ thuật làm cho các giao dịch bị ngưng trệ hoặc mất dữ liệu...
- Kiểm toán vận hành hệ thống CNTT, bao gồm: Kiểm toán hoạt động của Trung tâm CNTT; Kiểm toán vận hành và độ an toàn bảo mật của cơ sở hạ tầng CNTT; Kiểm toán tính tuân thủ quy trình, quy định của pháp luật, cũng như quy định của BIDV như: quy trình vận hành và bảo trì máy chủ AS400, quy trình vận hành và bảo trì hệ thống SIBS, hệ thống ngân hàng cốt lõi của BIDV, quy trình bảo trì phần cứng, phần mềm, mạng WAN/LAN…
- Kiểm toán nguồn lực thuê ngoài.
Có thể thấy, nội dung kiểm toán CNTT tại BIDV bám khá sát quy định tại Thông tư số 18/2018/TT-NHNN của Ngân hàng Nhà nước quy định về an toàn, bảo mật HTTT tại ngân hàng.
Quy trình kiểm toán CNTT tại BIDV tuân theo đúng quy trình 3 bước sau:
- Lập kế hoạch kiểm toán, thực hiện kiểm toán và báo cáo.
- Trong giai đoạn thực hiện kiểm toán, kiểm toán viên CNTT tại BIDV sử dụng tất cả các phương pháp thử nghiệm để kiểm tra theo hồ sơ lưu trữ và quá trình thực hiện thực tế.
- Trong giai đoạn báo cáo, kết quả quá trình kiểm toán đưa ra những đánh giá và đề xuất khắc phục sau kiểm tra. Các đánh giá, đề xuất được yêu cầu báo cáo và kiểm tra lại như một đợt kiểm tra độc lập, hoặc lồng ghép vào đợt kiểm tra sau tùy thuộc vào mức độ khuyến nghị.
Kiểm toán công nghệ thông tin tại MB
Tại MB, bộ phận kiểm toán CNTT gồm 5 nhân viên và 1 chuyên gia, thuộc Cơ quan kiểm toán nội bộ, trực thuộc hội đồng quản trị, thuộc lớp phòng vệ thứ 3 trong mô hình 3 tuyến phòng thủ của COSO. Lớp phòng vệ thứ 2 là Khối kiểm tra – Kiểm soát nội bộ và đơn vị phụ trách vận hành hệ thống CNTT tại MB, cũng như thiết lập lớp phòng vệ thứ nhất là Khối CNTT. Nội dung kiểm toán CNTT tại MB được xác định dựa trên cơ sở rủi ro, trong đó có rủi ro liên quan đến hoạt động CNTT và rủi ro liên quan đến thành phần của hệ thống CNTT.
Nội dung kiểm toán CNTT dựa vào rủi ro liên quan đến thành phần hệ thống CNTT gồm 3 nhóm sau: Người dùng; Cán bộ CNTT; hạ tầng phần cứng, phần mềm và kết nối. Các nội dung kiểm toán này được xem là trục “dọc” và trục “ngang” cấu thành nên toàn bộ nội dung liên quan đến CNTT trong MB.
Trong mỗi cuộc kiểm toán CNTT, quy trình thực hiện tại MB cũng tương đồng với quy trình thực hiện một cuộc kiểm toán thông thường, bao gồm 3 giai đoạn sau: (i) Lập kế hoạch kiểm toán; (ii) Thực hiện kiểm toán; (iii) Báo cáo.
Chuyên viên kiểm toán CNTT thu thập thông tin cần thiết từ báo cáo thanh tra, báo cáo do MB thuê ngoài đánh giá, báo cáo nội bộ… để lập kế hoạch chi tiết gồm mục tiêu, nội dung kiểm toán trọng tâm. Theo đánh giá của các kiểm toán viên CNTT tại MB, kế hoạch kiểm toán càng chi tiết bao nhiêu, thì quá trình triển khai càng dễ dàng và bám sát mục tiêu bấy nhiêu.
Một trong những nội dung quan trọng nhất trong giai đoạn này là xây dựng hồ sơ rủi ro. Các rủi ro được xác định theo “chiều dọc” và “chiều ngang”. Ngoài ra, giai đoạn lập kế hoạch kiểm toán, kiểm toán viên cũng xác định các mục tiêu kiểm soát, các biện pháp kiểm soát hiện tại, mức độ rủi ro và ảnh hưởng đến HTTT.
Thông thường, các kiểm toán viên CNTT tại MB mất 3-5 ngày để hoàn thiện hồ sơ rủi ro trước khi thực hiện kiểm toán, bao gồm cả thời gian bổ sung các ý kiến từ quan sát thông tin trên hệ thống hoặc viết một số câu lệnh để thử nghiệm. Thời gian thực địa dao động giữa các chuyên đề, thường là 10-15 ngày đối với chuyên đề nhỏ, 30-45 ngày đối với chuyên đề lớn. Trên thực tế, hoạt động kiểm toán CNTT tại MB mới triển khai được một năm. Do đây là hoạt động rất mới tại MB nên các cuộc kiểm toán đang đi theo trục dọc, chưa đi theo trục ngang của hệ thống, dự định sẽ triển khai trong các năm tiếp theo.
Báo cáo và khuyến nghị là sản phẩm của mỗi cuộc kiểm toán, được kiểm toán viên đưa ra nhằm mục tiêu kiện toàn khung quản trị rủi ro trong ngân hàng, đảm bảo quản lý toàn diện các loại rủi ro trọng yếu về CNTT trong hoạt động của ngân hàng MB theo các thông lệ tốt, thông lệ quốc tế của Ủy ban Basel, COSO, ISO.
Đánh giá thực trạng kiểm toán công nghệ thông tin tại các BIDV và MB
Từ thực trạng kiểm toán CNTT tại BIDV và MB cho thấy những điểm giống và khác nhau trên các khía cạnh bộ phận thực hiện, nội dung kiểm toán, quy trình kiểm toán. Cụ thể:
Về bộ phận thực hiện: Tại BIDV, bộ phận thực hiện kiểm toán CNTT thuộc Khối giám sát và tuân thủ, trực thuộc Ban điều hành, trong khi tại MB bộ phận này trực thuộc kiểm toán nội bộ dưới sự điều hành của Ban kiểm soát. Với cơ cấu này, tại BIDV, kiểm toán CNTT thuộc tuyến phòng thủ thứ 2, còn tại MB bộ phận này thuộc tuyến phòng thủ số 3 trong mô hình 3 tuyến phòng thủ của COSO. Tuy nhiên, một trong những nội dung kiểm toán được BIDV xác định là đánh giá hệ thống KSNB về tình hình thực hiện giám sát, kiểm soát hoạt động CNTT tại đơn vị, cũng như tính hiệu quả của hệ thống KSNB trong ứng dụng CNTT tại đơn vị, chứng tỏ đây là chức năng của tuyến phòng thủ thứ 3. Như vậy, bộ phận kiểm toán CNTT tại BIDV đang đặt tại Khối giám sát và tuân thủ là chưa hợp lý.
Về nội dung kiểm toán: Có thể thấy mỗi ngân hàng có cách xác định đối tượng và nội dung kiểm toán khác nhau. BIDV dựa chủ yếu vào các quy định về quản trị HTTT trong ngân hàng theo Thông tư số 18/2018/TT-NHNN của Ngân hàng Nhà nước để đưa ra các chủ đề kiểm toán, trong khi, MB lại có cách tiếp cận dựa trên rủi ro. Cách tiếp cận của BIDV có ưu điểm là dễ dàng khi đánh giá tính tuân thủ của hệ thống theo quy định của pháp luật, tuy nhiên nội dung kiểm toán được xác định dàn trải, khó khăn trong việc tổng hợp và phân tích, tìm ra nguyên nhân. Cách tiếp cận của MB hiện đại hơn, áp dụng theo hướng dẫn của ISACA về việc nhận diện và phân loại rủi ro, từ đó xác định nội dung và chủ đề kiểm toán. Điều này sẽ giúp ngân hàng xây dựng được một hồ sơ rủi ro đầy đủ và logic, dễ dàng cho việc lên kế hoạch kiểm toán và đánh giá nguyên nhân gốc rễ. Tuy nhiên, cách làm này cũng đòi hỏi nhiều hơn về thời gian và trình độ của nhân viên.
Về quy trình kiểm toán: Tuy được diễn giải thành các bước khác nhau nhưng nhìn chung, quy trình kiểm toán của cả 2 ngân hàng đều gồm các bước chính, đó là lập kế hoạch kiểm toán, thực hiện kiểm toán và báo cáo.
Kết quả đạt được và tồn tại, hạn chế
Đánh giá hoạt động kiểm toán CNTT có thể thấy, các NHTM đã đạt được một số kết quả bước đầu, cụ thể: Hoạt động kiểm toán CNTT được sự quan tâm sát sao của Ban lãnh đạo và các đơn vị trong toàn hệ thống; Hệ thống, quy trình kiểm toán đã được xây dựng và ngày càng hoàn thiện; Đội ngũ kiểm toán CNTT đã được hình thành và ngày càng trau dồi về năng lực và trình độ; Kiểm toán CNTT đã góp phần nâng cao chất lượng quản trị rủi ro và chất lượng hoạt động tại ngân hàng.
Bên cạnh những thuận lợi, theo đánh giá của các cán bộ trực tiếp thực hiện kiểm toán CNTT tại các NHTM vẫn có những khó khăn, tồn tại như: Phạm vi kiểm toán quá rộng, gây khó khăn cho việc xác định trọng tâm và có thể bỏ sót rủi ro. Các ngân hàng thường lúng túng trong việc lựa chọn phương pháp, cũng như công cụ để đánh giá rủi ro; Lĩnh vực CNTT thường xuyên thay đổi cả về công nghệ và kiến trúc hệ thống khiến cho hoạt động kiểm toán phải liên tục thay đổi, gây ra áp lực về thời gian, công sức và giảm hiệu quả quản lý; Nguồn nhân lực kiểm toán CNTT còn thiếu và yếu...
Kết luận
Để tăng cường kiểm toán CNTT trong các NHTM Việt Nam nhằm đáp ứng yêu cầu ngày càng cao về chất lượng, tính an toàn, bảo mật của hệ thống CNTT ngân hàng, cần có những giải pháp đồng bộ từ Ngân hàng Nhà nước, các NHTM và Hiệp hội ngân hàng. Có như vậy, kiểm toán CNTT mới phát huy hết vai trò là tuyến phòng thủ cuối cùng trong việc ngăn ngừa, phát hiện và xử lý rủi ro trong các NHTM, từ đó gia tăng hiệu quả quản lý và hiệu quả hoạt động của ngân hàng.
Tài liệu tham khảo:
1. Ngân hàng Thương mại Cổ phần Đầu tư và phát triển Việt Nam, Báo cáo thường niên 2020;
2. Ngân hàng Thương mại Cổ phần Quân đội, Báo cáo thường niên 2020;
3. Phí Thị Kiều Anh, 2016, Hoàn thiện kiểm toán báo cáo tài chính ngân hàng thương mại tại các doanh nghiệp kiểm toán độc lập ở Việt Vam, Luận án Tiến sỹ, Học viện Tài chính.
* ThS. Nguyễn Thị Ngọc Hải; ThS. Đoàn Thị Lành - Trường Cao đẳng Kinh tế - Kế hoạch Đà Nẵng
** Bài đăng trên Tạp chí Tài chính số kỳ 2 tháng 10/2021