Kiểm toán công nghệ thông tin (CNTT) là loại hình kiểm toán mới nhưng lại có sự phát triển nhanh chóng và mạnh mẽ ở nhiều quốc gia trên thế giới, nhất là trong bối cảnh ứng dụng CNTT ngày càng trở nên phổ biến trên tất cả các lĩnh vực. Tại Việt Nam, loại hình kiểm toán này cũng đã được triển khai tương đối đồng bộ trong các tổ chức có mức độ ứng dụng CNTT cao như các ngân hàng thương mại.
Một số khác biệt trong cách tiếp cận kiểm toán công nghệ thông tin
Hiện nay, kiểm toán CNTT tại các ngân hàng thương mại có nhiều điểm khác nhau về bộ phận thực hiện, nội dung kiểm toán, quy trình kiểm toán.
Cụ thể, về bộ phận thực hiện: Tại Ngân hàng Thương mại cổ phần (TMCP) Đầu tư và Phát triển Việt Nam (BIDV), bộ phận thực hiện kiểm toán CNTT thuộc Khối giám sát và tuân thủ, trực thuộc Ban Điều hành. Trong khi đó, tại Ngân hàng TMCP Quân đội (MB) và Ngân hàng TMCP Công Thương Việt Nam (Vietinbank), bộ phận này trực thuộc kiểm toán nội bộ dưới sự điều hành của Ban Kiểm soát. Với cơ cấu này, tại BIDV, kiểm toán CNTT thuộc tuyến phòng thủ thứ 2, còn tại MB và Vietinbank, bộ phận này thuộc tuyến phòng thủ số 3 trong mô hình ba tuyến phòng thủ của COSO (Khung kiểm soát nội bộ của Hoa Kỳ).
Tuy nhiên, một số nội dung kiểm toán được BIDV xác định như: đánh giá hệ thống kiểm soát nội bộ về tình hình thực hiện giám sát, kiểm soát hoạt động CNTT tại đơn vị cũng như tính hiệu quả của hệ thống kiểm soát nội bộ trong ứng dụng CNTT tại đơn vị… lại thuộc chức năng của tuyến phòng thủ thứ 3, đây là một vấn đề cần xem xét lại.
Về nội dung kiểm toán, mỗi ngân hàng có cách xác định đối tượng và nội dung kiểm toán khác nhau. Trong đó, BIDV và Vietinbank dựa chủ yếu vào các quy định về quản trị hệ thống thông tin trong ngân hàng theo Thông tư số 18/2018/TT-NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng để đưa ra các chủ đề kiểm toán. Trong khi đó, MB lại có cách tiếp cận dựa trên rủi ro. Các cách tiếp cận này đều có ưu điểm và khó khăn riêng. Trong đó, với các quy định về quản trị hệ thống thông tin, kiểm toán dễ dàng khi đánh giá tính tuân thủ của hệ thống theo quy định của pháp luật, tuy nhiên, nội dung kiểm toán được xác định dàn trải, khó khăn trong việc tổng hợp và phân tích, tìm ra nguyên nhân.
Cách tiếp cận áp dụng theo hướng dẫn của ISACA (Hiệp hội Kiểm tra và Kiểm soát hệ thống thông tin) về việc nhận diện và phân loại rủi ro để xác định nội dung và chủ đề kiểm toán hiện đại hơn, giúp ngân hàng xây dựng được một hồ sơ rủi ro đầy đủ và logic, dễ dàng cho việc lên kế hoạch kiểm toán và đánh giá nguyên nhân gốc rễ. Tuy nhiên, cách làm này cũng đòi hỏi nhiều hơn về thời gian và trình độ của nhân viên.
Mặc dù cách tiếp cận khác nhau nhưng về cơ bản, hoạt động kiểm toán CNTT tại các ngân hàng thương mại đã đạt được một số kết quả bước đầu đáng khích lệ. Các phát hiện kiểm toán đã góp phần nâng cao chất lượng quản trị rủi ro và chất lượng hoạt động tại ngân hàng, đồng thời nâng cao ý thức tuân thủ các quy định pháp luật, quy định, quy trình nội bộ.
Chính vì vậy, hoạt động kiểm toán CNTT đã nhận được sự quan tâm sát sao của ban lãnh đạo các đơn vị trong toàn hệ thống và được chú trọng thực hiện tại các ngân hàng thương mại trong những năm gần đây. Hiện nay, hệ thống, quy trình kiểm toán đã được các ngân hàng xây dựng và ngày càng hoàn thiện. Đội ngũ kiểm toán CNTT cũng được hình thành và ngày càng trau dồi về năng lực và trình độ.
Cần giải pháp đồng bộ từ Ngân hàng Nhà nước
Bên cạnh những thuận lợi, theo đánh giá của các cán bộ trực tiếp thực hiện kiểm toán CNTT, các ngân hàng vẫn vướng phải một số khó khăn:
Phạm vi kiểm toán quá rộng, gây khó khăn cho việc xác định trọng tâm và có thể bỏ sót rủi ro. Các ngân hàng thường lúng túng trong việc lựa chọn phương pháp cũng như công cụ để đánh giá rủi ro.
Lĩnh vực CNTT thường xuyên thay đổi cả về công nghệ và kiến trúc hệ thống khiến cho hoạt động kiểm toán phải liên tục thay đổi, gây ra áp lực về thời gian, công sức và giảm hiệu quả quản lý.
Nguồn nhân lực kiểm toán CNTT còn thiếu và yếu trong khi kiểm toán CNTT không những đòi hỏi có kiến thức, kỹ năng mà còn phải có hiểu biết sâu về hệ thống CNTT trong ngân hàng cũng như liên kết các hoạt động của hệ thống CNTT với các hoạt động kinh doanh và quản trị của ngân hàng để có thể đưa ra khuyến nghị hữu ích từ kết quả kiểm toán. Hiện nay, Việt Nam chưa có chương trình đào tạo nào giảng dạy chuyên ngành này, số lượng chuyên gia có chứng chỉ quốc tế đúng chuyên ngành rất ít. Chính vì vậy, các tổ chức này gặp khó khăn trong tuyển dụng và đào tạo nhân lực kiểm toán CNTT.
Ngoài ra, sự phối hợp giữa bộ phận kiểm toán CNTT và các đơn vị vận hành thiếu chặt chẽ do khoảng cách địa lý, cách tiếp cận khác nhau của kiểm toán viên và cán bộ trực tiếp vận hành hệ thống CNTT.
Để tăng cường kiểm toán CNTT nhằm đáp ứng yêu cầu ngày càng cao về chất lượng, tính an toàn, bảo mật của hệ thống ngân hàng, các ngân hàng thương mại và Hiệp hội Ngân hàng rất cần giải pháp đồng bộ từ Ngân hàng Nhà nước. Theo đó, cần hoàn thiện khung quản trị CNTT theo chuẩn quốc tế (COBIT, ITIL, ISO…); chuẩn hóa mô hình tổ chức kiểm toán CNTT theo mô hình 3 tuyến phòng thủ của COSO; nâng cao chất lượng nguồn nhân lực; sử dụng các kỹ thuật kiểm toán có sự trợ giúp của máy tính…
Có như vậy, kiểm toán CNTT mới phát huy hết vai trò là tuyến phòng thủ cuối cùng trong việc ngăn ngừa, phát hiện và xử lý rủi ro tại các ngân hàng thương mại, từ đó gia tăng hiệu quả quản lý và hoạt động của ngân hàng.
(Báo Kiểm toán số 20/2021)