Tin tức - Sự kiện

Tổ chức kiểm toán trong môi trường công nghệ thông tin tại các ngân hàng thương mại

22/03/2019

Tổ chức kiểm toán trong môi trường công nghệ thông tin tại các ngân hàng thương mại(sav.gov.vn) - Thực tế của hoạt động kiểm toán ngân hàng thương mại (NHTM) của Kiểm toán nhà nước (KTNN) trong những năm vừa qua cho thấy các NHTM đang càng ngày càng phát triển hoạt động kinh doanh cả về chiều rộng lẫn chiều sâu. Nhiều nghiệp vụ ngân hàng ngày càng phức tạp, ứng dụng nhiều hệ thống CNTT hiện đại trong hoạt động quản lý tài chính và nghiệp vụ ngân hàng. Do vậy, để thực hiện kiểm toán đòi hỏi phải có sự thay đổi phù hợp với môi trường ứng dụng CNTT tại các NHTM. Tại các Báo cáo kiểm toán NHTM của KTNN hiện nay đã đề cập đến nội dung đánh giá các bất cập, ảnh hưởng của hệ thống CNTT tới kết quả BCTC, tuy nhiên các nội dung cũng như phương pháp đánh giá còn hạn chế, chỉ dựa trên các phân tích tài chính và một số ứng dụng CNTT đơn giản, thiếu qui trình và chuẩn mực thực hiện đánh giá soát xét hệ thống CNTT xử lý dữ liệu liên quan lập, trình bày BCTC, dẫn đến kết quả kiểm toán chưa đánh giá được mức độ rủi ro và các sai sót có tính hệ thống của BCTC đối với cuộc kiểm toán BCTC tại NHTM. Qua thực hiện chuyên môn nghiệp vụ kiểm toán tại các NHTM, Đoàn kiểm toán của KTNN chuyên ngành VII đã đánh giá được thực trạng kiểm toán trong môi trường ứng dụng CNTT, đưa ra các giải pháp đổi mới trong khảo sát, lập kế hoạch, phương pháp, các bướcqui trình thủ tục kiểm toán mới phù hợp với thực tiễn; đưa ra đề xuất về quản lý tài chính và hoạt động ngân hàng, nhằm mục đích nâng cao chất lượng các cuộc kiểm toán tại ngân hàng của KTNN chuyên ngành VII. Kiểm toán trong môi trường CNTT đối với cuộc kiểm toán báo cáo tài chính ngân hàng thương mại Với chức năng kiểm toán ngân hàng và các tổ chức tín dụng, KTNN chuyên ngành VII đã tiến hành, tham gia nhiều cuộc kiểm toán các ngân hàng quốc doanh như BID, VCB, VietinBank, VDB, MHB. Nhiều sai phạm trong các hoạt động của ngân hàng đã được phát hiện, nhiều kiến nghị của kiểm toán đã được đưa ra để giúp cải thiện làm minh bạch hoạt động tài chính trong các ngân hàng. Hiện nay mọi hoạt động, dịch vụ của ngân hàng đều phụ thuộc vào hệ thống CNTT, đặt ra những rủi ro mới trong hoạt động kiểm toán, đòi hỏi phải thay đổi trong hoạt động kiểm toán để thích nghi với hoàn cảnh mới, đó là rủi ro phát sinh từ hệ thống CNTT của ngân hàng; rủi ro do việc thiếu áp dụng CNTT trong hoạt động kiểm toán.KTNN chuyên ngành VII đã tổ chức thực hiện 01 cuộc kiểm toán về hệ thống CNTT liên quan đến việc lập và trình bày BCTC, đồng thời lồng ghép và bổ sung các phương thức, thủ tục kiểm toán liên quan đến môi trường CNTT tại một số nội dung kiểm toán trong các cuộc kiểm toán BCTC thường niên của các NHTM quốc doanh. KTNN đang trong quá trình ban hành dự thảo Hướng dẫn kiểm toán CNTT (tài liệu nội bộ), theo đó dự thảo đã đề cập tới nội dung kiểm toán trong môi trường CNTT, về khái niệm, các nội dung bao gồm phương pháp tiếp cận dựa trên rủi ro và trọng yếu (xác định rủi ro, đánh giá rủi ro), kỹ thuật thực hiện kiểm toán. Tuy nhiên các nội dung của dự thảo còn khá chung chung, để có thể áp dụng vào một NHTM cụ thể cần có sự bổ sung, chỉnh sửa ở nhiều khía cạnh. Về thực tế, KTNN chưa có hướng dẫn chính thức đối với kiểm toán tài chính trong môi trường CNTT của các NHTM. Về thực trạng tổ chức và kiểm toán BCTC trong môi trường CNTT tại ngân hàng thương mại của KTNN, KTNN hiện đã có 01 phòng Kiểm toán CNTT trực thuộc KTNN Chuyên ngành VII với 01 Trưởng, 01 Phó trưởng phòng và 11 Kiểm toán viên, trong đó nhân sự có trình độ đào tạo chính quy về chuyên ngành Công nghệ thông tin là 04 người. Phòng kiểm toán CNTT có trách nhiệm thực hiện nghiên cứu, đề xuất và tổ chức thực hiện các nội dung liên quan đến kiểm toán CNTT, trong đó bao gồm kiểm toán trong môi trường CNTT. Ngoài ra, lãnh đạo KTNN CN VII đã rất quan tâm tới việc nâng cao trình độ năng lực chuyên môn của các Kiểm toán viên liên quan đến lĩnh vực CNTT thông qua các hoạt động giao lưu, đào tạo với các chuyên viên kiểm toán độc lập về CNTT như KPMG, các khóa học, chương trình đào tạo của KTNN, các buổi thuyết trình, trao đổi kinh nghiệm nội bộ. Về cơ bản, KTNN chuyên ngành VII đã có được sự hiểu biết khá đầy đủ về hệ thống CNTT của các đối tượng kiểm toán là các NHTM, đồng thời đánh giá được chi tiết các quy trình nghiệp vụ quan trọng trên hệ thống CNTT của các đối tượng kiểm toán này. Kết quả cụ thể về cuộc kiểm toán hệ thống CNTT liên quan đến lập và trình bày BCTC của VCB năm 2016 cho thấy có nhiều tồn tại đối với các nội dung về: Quản lý hệ thống CNTT – kiểm soát chung; Các quy trình nghiệp vụ quan trọng được thực hiện trên hệ thống CNTT (chu trình Tín dụng - việc phân loại nợ); Việc quản lý TSBĐ thế chấp của các khoản vay... Thực tế năm 2016, KTNN chuyên ngành VII đã thực hiện kiểm toán tại Ngân hàng thương mại cổ phần Ngoại thương Việt Nam – Vietcombank (VCB), qua kiểm toán dựa trên phân tích dữ liệu trên hệ thống phần mềm của VCBcho thấy báo cáo tài chính năm 2015 của VCB trong chu trình huy động vốn chưa phản ảnh đầy đủ số lãi phải chi trả cho khách hàng số tiền 9.766.135.153 đồng; Về chu trình nghiệp vụ thẻ tín dụng, hệ thống phần mềm kế toán mới chỉ ghi nhận số lãi và phí đã thực thu do vậy sẽ phản ảnh thiếu số liệu thu nhập về lãi và phí phải thu về thẻ tín dụng năm 2015 của VCB gồm thu nhập từ hoạt động tín dụng (lãi dự thu đối với dư nợ thẻ tín dụng nhóm 1); Về chu trình nghiệp vụ kinh doanh ngoại tệ,VCBhạch toán chưa đúng quy định theo công văn số 7404/NHNN-KTTC của Ngân hàng Nhà nước về việc hướng dẫn hạch toán kế toán nghiệp vụ phái sinh tiền tệ. Đối với việc kiểm soát tỷ lệ an toàn trong hoạt động,Báo cáo kiểm toánNgân hàng TMCP Đầu tư và Phát triển Việt Nam (BIDV)năm 2016 cho thấy: BIDV đã đầu tư và phát hành trái phiếu giữa cá tổ chức tín dụng không trái với quy định hiện hành của NHNN, tuy nhiên, về bản chất, các đợt phát hành và đầu tư trái phiếu giữa BIDV và các TCTD này nhằm tăng “ảo” giá trị vốn cấp 2 của BIDV, “cải thiện ảo” hệ số an toàn vốn tối thiểu. Nếu trong trường hợp loại trừ các khoản trái phiếu này khỏi giá trị tính vốn cấp 2, hệ số CAR của BIDV trong năm 2016 chưa đạt yêu cầu tối thiểu 9% (theo quy định tại Thông tư 36/2014/TT-NHNN). Về hệ thống CNTT của các NHTM, KTNN chuyên ngành VII mới chỉ tiếp cận được hệ thống của VCB năm 2016, chưa có lộ trình theo dõi các cập nhật, chỉnh sửa đối với hệ thống CNTT của VCB từ thời điểm kiểm toán đến nay. Các NHTM khác như BIDV, Vietinbank … chưa thực hiện tiếp cận hệ thống, cấu trúc dữ liệu và quy trình nghiệp vụ trọng yếu có liên quan. KTNN hiện chưa thực hiện xây dựng được cụ thể các phương pháp, thủ tục kiểm toán bằng văn bản về các nội dung liên quan đến hệ thống CNTT của kiểm toán báo cáo tài chính, nhằm mục đích cung cấp cẩm nang (sổ tay) cho Kiểm toán viên khi thực hiện kiểm toán. Về kiểm toán chu trình nghiệp vụ tín dụng, mặc dù phát hiện ra nhiều lỗi hệ thống dẫn đến các sai sót trong số liệu tài chính, nhưng do chưa tiếp cận được hệ thống CNTT về cấu trúc lõi, nên chưa đề xuất được các kiến nghị kiểm toán mang tính triệt để, dẫn đến việc các sai sót liên tục lặp đi lặp lại qua các năm. Về kiểm toán chu trình huy động vốn, hầu như các năm đều không có phát hiện trọng yếu liên quan đến nội dung này, mặc dù các khoản huy động vốn và các khoản chi trả lãi từ hoạt động huy động vốn chiếm tỷ trọng lớn trong cơ cấu tổng tài sản/doanh thu-chi phí của các NHTM. Về kiểm toán thu từ hoạt động dịch vụ, chưa thực hiện kiểm toán được toàn bộ các nghiệp vụ về hoạt động dịch vụ mặc dù tỷ lệ doanh thu từ dịch vụ chiếm tỷ trọng khá cao trong cơ cấu doanh thu của NHTM (6%). Nguyên nhân chủ yếu do hầu hết các dịch vụ của NHTM đều được thực hiện thông qua hệ thống CNTT như hệ thống thẻ, hệ thống chuyển tiền liên ngân hàng, hệ thống router giao dịch với nước ngoài, dữ liệu thuộc kiểu big data nên Về việc kiểm soát tỷ lệ an toàn trong hoạt động, chưa đánh giá được toàn bộ các chỉ tiêu an toàn vốn từ gốc dữ liệu trên hệ thống CORE banking. Tại Đoàn kiểm toán BIDV năm 2016, do hạn chế về mặt thời gian kiểm toán, chưa đủ điều kiện để kiểm tra chi tiết tài sản có rủi ro theo từng đối tượng trên dữ liệu từ hệ thống Corebanking, Phân hệ Risk Control nên Đoàn kiểm toán chưa đánh giá đầy đủ độ chính xác của hệ số CAR năm 2016 của BIDV báo cáo NHNN. Giải pháp hoàn thiện tổ chức kiểm toán trong môi trường CNTT tại các ngân hàng thương mại Để khắc phục những hạn chế kiểm toán trong môi trường CNTT và đẩy mạnh hơn nữa việc ứng dụng CNTT trong các hoạt động của KTNN, gắn với cải cách hành chính, nâng cao năng lực quản lý, chỉ đạo, điều hành của các cấp, Lãnh đạo KTNN đã có chỉ thị triển khai Đề án liên quan đến ứng dụng, phát triển CNTT của KTNN, nhằm nâng cao nhận thức, thay đổi lề lối làm việc và tăng cường kỹ năng ứng dụng CNTT của công chức, viên chức và người lao động KTNN, góp phần gia tăng hiệu quả, chất lượng hoạt động kiểm toán. Bên cạnh đó, các đơn vị trực thuộc KTNN thực hiện nghiêm, hiệu quả việc khai thác, sử dụng các phần mềm ứng dụng vào công tác chuyên môn, nghiệp vụ, tăng cường tổ chức các lớp học, tập huấn về ứng dụng CNTT tại đơn vị. Để hoàn thiện tổ chức kiểm toán trong môi trường CNTT tại các NHTM, KTNNcầntiến hành từng bước, kết hợp với các loại hình kiểm toán báo cáo tài chính, kiểm toán tuân thủ đối với NHTM được xác định là cuộc kiểm toán trong môi trường CNTT; Xây dựng và hoàn thành đưa vào sử dụng các phần mềm hỗ trợ Kiểm toán viên thực hiện các kỹ thuật kiểm toán (phần mềm hỗ trợ kiểm toán lĩnh vực kiểm toán tài chính - ngân hàng); Thực hiện việc bổ sung, đào tạo kiến thức tin học cho đội ngũ Kiểm toán viên để có thể tiếp cận dần với việc kiểm soát các yếu tố rủi ro trong các phần mềm nghiệp vụ tài chính ngân hàng và nghiên cứu ứng dụng tin học hỗ trợ cho hoạt động kiểm toán liên quan; Thường xuyên nghiên cứu hợp tác với các NHTM tìm hiểu hệ thống CNTT phần mềm nghiệp vụ, trước hết là các nghiệp vụ KT-TC, đánh giá khả năng bổ sung mở rộng khi cần thiết. Về giải pháp xây dựng qui trình, phương pháp kiểm toán tài chính trong môi trường CNTT, cần kiểm toán những thành phần của hệ thống Công nghệ thông tin liên quan đến việc lập báo cáo tài chính dựa trên căn cứ cuộc kiểm toán bao gồm những quy định của Ngân hàng nhà nước, hệ thống chuẩn mực, các văn bản và quy định do Ngân hàng cam kết tuân thủ và ban hành; Quy trình và các quy định và chuẩn mực do KTNN ban hành liên quan đến việc xây dựng, quản lý và vận hành hệ thống CNTT và cách thức xử lý thông tin Kiểm toán đánh giá hiệu quả và việc chấp hành pháp luật nhà nước và các quy định nội bộ của Ngân hàng trong việc xây dựng, quản lý và vận hành hệ thống CNTT liên quan đến quy trình lập và xử lý số liệu BCTC, được cụ thể hóa với 3 nội dung: Kiểm toán việc tuân thủ quy định pháp luật nhà nước và quy định nội bộ của Ngân hàng của việc vận hành hệ thống CNTT liên quan đến việc lập BCTC;Kiểm toán các phần mềm nghiệp vụ và việc đảm bảo tính chính xác, đầy đủ của các thông tin liên quan đến việc lập BCTC;Kiếm toán, đánh giá tính kinh tế, hiệu lực và hiệu quả trong việc ứng dụng Công nghệ thông tin liên quan đến việc lập nên BCTC. Từ mục đích và nội dung của Cuộc kiểm toán, trong đợt khảo sát tại đơn vị cần thu thập các thông tin bộ liên quan đến việc quản lý và vận hành hệ thống CNTT và việc xử lý thông tin và lập BCKT của Ngân hàng: Hệ thống báo cáo; Văn bản, tài liệu nội bộ; Các dữ liệu nội bộ. Đề tài có nêu rõ các văn bản cần thu thập, các dữ liệu cần kiểm tra đối chiếu và thủ tục kiểm toán. Việc đánh giá được thực hiện thông qua các bước sau:Xác định mức độ rủi ro thông tin trọng yếu của các tài khoản BCTC; Xác định hệ thống kiểm soát trọng yếu liên quan đến hệ thống CNTT. Trong từng nội dung trên, lưu ý hệ thống CNTT liên quan đến từng nghiệp vụ. Bên cạnh đó, việc lập kế hoạch kiểm toán căn cứ vào các kết quả xác định các rủi ro trọng yếu cùng hệ thống kiểm soát tự động và bán tự động trọng yếu liên quan đến các rủi ro trọng yếu trên. Kế hoạch kiểm toán chia thành 2 công việc: Xác định phạm vi kiểm toán và Lập kế hoạch kiểm toán cho từng chốt kiểm soát liên quan đến hệ thống CNTT. Việc thử nghiệm các chốt kiểm soát sẽ được thực hiện bới các chuyên gia kiểm toán CNTT tiến hành lần lượt với 2 loại kiểm soát:Kiểm thử kiểm soát chung; Kiểm thử kiểm soát ứng dụng. Đối với các phát hiện rủi ro cần phải xác định độ lớn, sai lệch cụ thể do các rủi ro trên lên BCTC và tiến hành trao đổi với các chuyên gia kiểm toán BCTC để mở rộng việc kiểm toán các chốt kiểm toán liên quan trong trường hợp cần thiết. Căn cứ vào mục tiêu kiểm toán, các chuyên gia kiểm toán CNTT và kiểm toán BCTC Ngân hàng cần đánh giá các rủi ro phát hiện với các góc nhìn sau: Phân tích các rủi ro phát hiện dưới góc nhìn chấp hành pháp luật và quy định nội bộ về xây dựng, quản lý và vận hành hệ thống CNTT; Phân tích các rủi ro phát hiện dưới góc nhìn tuân thủ quy định pháp luật và quy định nội bộ về kiểm soát nghiệp vụ liên quan đến hệ thống CNTT; Phân tích các rủi ro phát hiện dưới góc nhìn độ tin cậy, tần suất xảy ra và lượng hóa các ảnh hưởng lên BCTC; Phân tích các rủi ro phát hiện dưới góc nhìn hiệu quả tham chiếu với các tiêu chuẩn liên quan đến hệ thống kiểm soát rủi ro của Chuẩn quản trị CNTT quốc tế COBIT5. Việc nhận diện các rủi ro chu trình nghiệp vụ NHTM liên quan đến kiểm soát ứng dụng CNTTbao gồm: Các rủi ro chung trong hoạt động cho vay; Một số rủi ro riêng biệt của từng loại hình cho vay, lưu ý một số rủi ro đặc thù liên quan đến tác động của hệ thống CNTT như rủi ro về phân loại nợ, trích lập dự phòng, theo dõi giá trị TSĐB, Thủ tục kiểm toán CNTT trong kiểm soát ứng ứng dụng bao gồm:Kiểm toán công tác tổ chức, chỉ đạo, điều hành và đánh giá khái quát hoạt động tín dụng; Các thủ tục kiểm toán chung trong hoạt động cho vay; Các thủ tục kiểm toán với các rủi ro riêng theo từng loại. Trong đó có một số các thủ tục liên quan đến việc xác nhận, kiểm tra đối chiếu nguồn dữ liệu từ hệ thống đặc biệt ở khâu kiểm tra sau cho vay trong quy trình tín dụng về thu nợ, tài sản đảm bảo, cơ cấu nợ, phân loại nợ. Về tổ chức thực hiện kiểm toán trong môi trường CNTT,trước hết trong khâu lập KHKT cần bố trí đầy đủ nhân lực về CNTT, tìm hiểu hệ thống, thực hiện khảo sát và kiểm thử rủi ro của hệ thông trong khâu lập BCTC, các ứng dụng CNTT chủ yếu liên quan nghiệp vụ hoạt động của NHTM, từ đó phải đưa ra các ý kiến về mức độ phù hợp trong khâu lập BCTC, các trọng yếu rủi ro về hệ thống CNTT liên quan đến khâu này. Trên cơ sở xác lập mức độ phù hợp, tuân thủ, trọng yếu thì đoàn kiểm toán mới xây dựng chương trình kế hoạch kiểm toán đầy đủ, phù hợp bao hàm cả yếu tố kiểm soát rủi ro CNTT. Đối với thực hiện kiểm toán, trên cơ sở xây dựng chương trình kế hoạch kiểm toán hệ thống CNTT, việc tổ chức sắp xếp phối hợp giữa Kiểm toán viên và các kỹ sư CNTT là hết sức cần thiết. Để đảm bảo các rủi ro CNTT được chỉ ra trong KHKT được kiểm toán bởi các thủ tục liên quan đến sử dụng CNTT và xác minh tính chính xác, tuân thủ, phù hợp cho các mẫu kiểm toán do các Kiểm toán viên yêu cầu, các kỹ sư CNTT phải xây dựng các thủ tục cần thiết. Để có thể sử dụng hiệu quả các công cụ và kỹ thuật kiểm toán có sự trợ giúp của máy tính, KTNN cần chú trọng việc phát triển đội ngũ Kiểm toán viên có năng lực về CNTT. Kiểm toán viên cũng cần được đào tạo về CNTT và có hiểu biết sâu sắc về kết cấu và các hoạt động kiểm soát trong hệ thống thông tin của khách hàng. Nếu cần thiết,KTNN có thể sử dụng các chuyên gia có hiểu biết chuyên sâu về CNTT, để hỗ trợ việc thực hiện các thủ tục kiểm toán. Kiểm toán viên và các chuyên gia CNTT cần đánh giá hệ thống thông tin của khách hàng dựa trên tìm hiểu, đánh giá các hoạt động kiểm soát chung và kiểm soát ứng dụng nhằm đánh giá mức độ tin cậy của hệ thống thông tin. Trong khâu lập báo cáo kiểm toán, việc lập báo cáo kiểm toán trong môi trường CNTT hiện tại không có thay đổi so với các qui định về lập và trình bày báo cáo kiểm toán của KTNN hiện hành, tuy nhiên ngoài việc điều chỉnh các phát hiện kiểm toán liên quan đến thay đổi các khoản mục BCTC để đảm bảo các khoản mục BCTC đã được kiểm toán xác nhận tính trung thực, đầy đủ thì BCKT phải trình bầy bổ sung các phân hệ và phần mềm CNTT đã được kiểm toán , phát hiện các sai sót hệ thông xử lý thông tin, việc sai sót kiểm soát đối với từng phần mềm gắn với các phát hiện tài chính làm thay đổi trọng yếu số liệu BCTC được kiểm toán. Báo cáo kiểm toán hướng tới việc đánh giá tồn tại, nguyên nhân và có các kiến nghị liên quan đến sai sót tồn tại trong qui trình xây dựng, vận hành, kiểm soát hệ thống thông tin liên quan đến lập BCTC của NHTM. Hiện tại về tính pháp lý để triển khai kiểm toán trong môi trường CNTT theo qui định tại CMKTKTNN số 1315, KTNN đã bước đầu hoàn thành dự thảo hướng dẫn kiểm toán trong môi trường CNTT, theo đó sẽ phải tiếp tục xây dựng hướng dẫn qui trình kiểm toán trong môi trường CNTT tại các NHTM để đảm bảo hiệu lực kiểm toán loại hình này đối với các NHTM. Bên cạnh đó, để thực hiện được việc kiểm toán hệ thống CNTT liên quan lập BCTC đối với các NHTM thì nhất thiết phải đảm bảo 02 yếu tố cơ bản là: yêu cầu về nhân sự, yêu cầu về kỹ thuật và trang thiết bị thực hiện kiểm toán. Với đòi hỏi thực tiễn về chất lượng kiểm toán, đáp ứng nhu cầu phát triển của KTNN nhằm từng bước nâng cao hiệu quả hoạt động kiểm toán của KTNN theo chiến lược phát triển đến năm 2020, việc tổ chức triển khai phương pháp, kỹ thuật kiểm toán trong môi trường CNTT trong kiểm toán các ngân hàng thương mại do Kiểm toán Nhà nước thực hiện là một vấn đề cấp thiết đặt ra trong giai đoạn hiện nay. Mặt khác, việc ứng dụng CNTT trong hoạt động kiểm toán là một xu thế tất yếu trong định hướng phát triển thời đại 4.0, khi các NHTM ngày càng phụ thuộc vào hệ thống máy tính trong việc ghi chép, xử lý các giao dịch nghiệp vụ, kiểm toán càng cần chú trọng phát triển vào các công nghệ và kỹ thuật kiểm toán hiện đại, để nâng cao chất lượng và hiệu quả kiểm toán. Điều này đòi hỏi KTNN có sự đầu tư đáng kể trong phát triển các phần mềm kiểm toán chuyên nghiệp và đào tạo nguồn nhân lực và hỗ trợ về mặt công nghệ./. Thanh Loan

(sav.gov.vn) - Thực tế của hoạt động kiểm toán ngân hàng thương mại (NHTM) của Kiểm toán nhà nước (KTNN) trong những năm vừa qua cho thấy các NHTM đang càng ngày càng phát triển hoạt động kinh doanh cả về chiều rộng lẫn chiều sâu. Nhiều nghiệp vụ ngân hàng ngày càng phức tạp, ứng dụng nhiều hệ thống CNTT hiện đại trong hoạt động quản lý tài chính và nghiệp vụ ngân hàng. Do vậy, để thực hiện kiểm toán đòi hỏi phải có sự thay đổi phù hợp với môi trường ứng dụng CNTT tại các NHTM.

Tại các Báo cáo kiểm toán NHTM của KTNN hiện nay đã đề cập đến nội dung đánh giá các bất cập, ảnh hưởng của hệ thống CNTT tới kết quả BCTC, tuy nhiên các nội dung cũng như phương pháp đánh giá còn hạn chế, chỉ dựa trên các phân tích tài chính và một số ứng dụng CNTT đơn giản, thiếu qui trình và chuẩn mực thực hiện đánh giá soát xét hệ thống CNTT xử lý dữ liệu liên quan lập, trình bày BCTC, dẫn đến kết quả kiểm toán chưa đánh giá được mức độ rủi ro và các sai sót có tính hệ thống của BCTC đối với cuộc kiểm toán BCTC tại NHTM.

Qua thực hiện chuyên môn nghiệp vụ kiểm toán tại các NHTM, Đoàn kiểm toán của KTNN chuyên ngành VII đã đánh giá được thực trạng kiểm toán trong môi trường ứng dụng CNTT, đưa ra các giải pháp đổi mới trong khảo sát, lập kế hoạch, phương pháp, các bướcqui trình thủ tục kiểm toán mới phù hợp với thực tiễn; đưa ra đề xuất về quản lý tài chính và hoạt động ngân hàng, nhằm mục đích nâng cao chất lượng các cuộc kiểm toán tại ngân hàng của KTNN chuyên ngành VII.

Kiểm toán trong môi trường CNTT đối với cuộc kiểm toán báo cáo tài chính ngân hàng thương mại

Với chức năng kiểm toán ngân hàng và các tổ chức tín dụng, KTNN chuyên ngành VII đã tiến hành, tham gia nhiều cuộc kiểm toán các ngân hàng quốc doanh như BID, VCB, VietinBank, VDB, MHB. Nhiều sai phạm trong các hoạt động của ngân hàng đã được phát hiện, nhiều kiến nghị của kiểm toán đã được đưa ra để giúp cải thiện làm minh bạch hoạt động tài chính trong các ngân hàng.

Hiện nay mọi hoạt động, dịch vụ của ngân hàng đều phụ thuộc vào hệ thống CNTT, đặt ra những rủi ro mới trong hoạt động kiểm toán, đòi hỏi phải thay đổi trong hoạt động kiểm toán để thích nghi với hoàn cảnh mới, đó là rủi ro phát sinh từ hệ thống CNTT của ngân hàng; rủi ro do việc thiếu áp dụng CNTT trong hoạt động kiểm toán.KTNN chuyên ngành VII đã tổ chức thực hiện 01 cuộc kiểm toán về hệ thống CNTT liên quan đến việc lập và trình bày BCTC, đồng thời lồng ghép và bổ sung các phương thức, thủ tục kiểm toán liên quan đến môi trường CNTT tại một số nội dung kiểm toán trong các cuộc kiểm toán BCTC thường niên của các NHTM quốc doanh.

KTNN đang trong quá trình ban hành dự thảo Hướng dẫn kiểm toán CNTT (tài liệu nội bộ), theo đó dự thảo đã đề cập tới nội dung kiểm toán trong môi trường CNTT, về khái niệm, các nội dung bao gồm phương pháp tiếp cận dựa trên rủi ro và trọng yếu (xác định rủi ro, đánh giá rủi ro), kỹ thuật thực hiện kiểm toán. Tuy nhiên các nội dung của dự thảo còn khá chung chung, để có thể áp dụng vào một NHTM cụ thể cần có sự bổ sung, chỉnh sửa ở nhiều khía cạnh. Về thực tế, KTNN chưa có hướng dẫn chính thức đối với kiểm toán tài chính trong môi trường CNTT của các NHTM.

Về thực trạng tổ chức và kiểm toán BCTC trong môi trường CNTT tại ngân hàng thương mại của KTNN, KTNN hiện đã có 01 phòng Kiểm toán CNTT trực thuộc KTNN Chuyên ngành VII với 01 Trưởng, 01 Phó trưởng phòng và 11 Kiểm toán viên, trong đó nhân sự có trình độ đào tạo chính quy về chuyên ngành Công nghệ thông tin là 04 người. Phòng kiểm toán CNTT có trách nhiệm thực hiện nghiên cứu, đề xuất và tổ chức thực hiện các nội dung liên quan đến kiểm toán CNTT, trong đó bao gồm kiểm toán trong môi trường CNTT. Ngoài ra, lãnh đạo KTNN CN VII đã rất quan tâm tới việc nâng cao trình độ năng lực chuyên môn của các Kiểm toán viên liên quan đến lĩnh vực CNTT thông qua các hoạt động giao lưu, đào tạo với các chuyên viên kiểm toán độc lập về CNTT như KPMG, các khóa học, chương trình đào tạo của KTNN, các buổi thuyết trình, trao đổi kinh nghiệm nội bộ.

Về cơ bản, KTNN chuyên ngành VII đã có được sự hiểu biết khá đầy đủ về hệ thống CNTT của các đối tượng kiểm toán là các NHTM, đồng thời đánh giá được chi tiết các quy trình nghiệp vụ quan trọng trên hệ thống CNTT của các đối tượng kiểm toán này. Kết quả cụ thể về cuộc kiểm toán hệ thống CNTT liên quan đến lập và trình bày BCTC của VCB năm 2016 cho thấy có nhiều tồn tại đối với các nội dung về: Quản lý hệ thống CNTT – kiểm soát chung; Các quy trình nghiệp vụ quan trọng được thực hiện trên hệ thống CNTT (chu trình Tín dụng - việc phân loại nợ); Việc quản lý TSBĐ thế chấp của các khoản vay...

Thực tế năm 2016, KTNN chuyên ngành VII đã thực hiện kiểm toán tại Ngân hàng thương mại cổ phần Ngoại thương Việt Nam – Vietcombank (VCB), qua kiểm toán dựa trên phân tích dữ liệu trên hệ thống phần mềm của VCBcho thấy báo cáo tài chính năm 2015 của VCB trong chu trình huy động vốn chưa phản ảnh đầy đủ số lãi phải chi trả cho khách hàng số tiền 9.766.135.153 đồng; Về chu trình nghiệp vụ thẻ tín dụng, hệ thống phần mềm kế toán mới chỉ ghi nhận số lãi và phí đã thực thu do vậy sẽ phản ảnh thiếu số liệu thu nhập về lãi và phí phải thu về thẻ tín dụng năm 2015 của VCB gồm thu nhập từ hoạt động tín dụng (lãi dự thu đối với dư nợ thẻ tín dụng nhóm 1); Về chu trình nghiệp vụ kinh doanh ngoại tệ,VCBhạch toán chưa đúng quy định theo công văn số 7404/NHNN-KTTC của Ngân hàng Nhà nước về việc hướng dẫn hạch toán kế toán nghiệp vụ phái sinh tiền tệ.
Đối với việc kiểm soát tỷ lệ an toàn trong hoạt động,Báo cáo kiểm toánNgân hàng TMCP Đầu tư và Phát triển Việt Nam (BIDV)năm 2016 cho thấy: BIDV đã đầu tư và phát hành trái phiếu giữa cá tổ chức tín dụng không trái với quy định hiện hành của NHNN, tuy nhiên, về bản chất, các đợt phát hành và đầu tư trái phiếu giữa BIDV và các TCTD này nhằm tăng “ảo” giá trị vốn cấp 2 của BIDV, “cải thiện ảo” hệ số an toàn vốn tối thiểu. Nếu trong trường hợp loại trừ các khoản trái phiếu này khỏi giá trị tính vốn cấp 2, hệ số CAR của BIDV trong năm 2016 chưa đạt yêu cầu tối thiểu 9% (theo quy định tại Thông tư 36/2014/TT-NHNN).

Về hệ thống CNTT của các NHTM, KTNN chuyên ngành VII mới chỉ tiếp cận được hệ thống của VCB năm 2016, chưa có lộ trình theo dõi các cập nhật, chỉnh sửa đối với hệ thống CNTT của VCB từ thời điểm kiểm toán đến nay. Các NHTM khác như BIDV, Vietinbank … chưa thực hiện tiếp cận hệ thống, cấu trúc dữ liệu và quy trình nghiệp vụ trọng yếu có liên quan.

KTNN hiện chưa thực hiện xây dựng được cụ thể các phương pháp, thủ tục kiểm toán bằng văn bản về các nội dung liên quan đến hệ thống CNTT của kiểm toán báo cáo tài chính, nhằm mục đích cung cấp cẩm nang (sổ tay) cho Kiểm toán viên khi thực hiện kiểm toán.

Về kiểm toán chu trình nghiệp vụ tín dụng, mặc dù phát hiện ra nhiều lỗi hệ thống dẫn đến các sai sót trong số liệu tài chính, nhưng do chưa tiếp cận được hệ thống CNTT về cấu trúc lõi, nên chưa đề xuất được các kiến nghị kiểm toán mang tính triệt để, dẫn đến việc các sai sót liên tục lặp đi lặp lại qua các năm.

Về kiểm toán chu trình huy động vốn, hầu như các năm đều không có phát hiện trọng yếu liên quan đến nội dung này, mặc dù các khoản huy động vốn và các khoản chi trả lãi từ hoạt động huy động vốn chiếm tỷ trọng lớn trong cơ cấu tổng tài sản/doanh thu-chi phí của các NHTM.

Về kiểm toán thu từ hoạt động dịch vụ, chưa thực hiện kiểm toán được toàn bộ các nghiệp vụ về hoạt động dịch vụ mặc dù tỷ lệ doanh thu từ dịch vụ chiếm tỷ trọng khá cao trong cơ cấu doanh thu của NHTM (6%). Nguyên nhân chủ yếu do hầu hết các dịch vụ của NHTM đều được thực hiện thông qua hệ thống CNTT như hệ thống thẻ, hệ thống chuyển tiền liên ngân hàng, hệ thống router giao dịch với nước ngoài, dữ liệu thuộc kiểu big data nên
Về việc kiểm soát tỷ lệ an toàn trong hoạt động, chưa đánh giá được toàn bộ các chỉ tiêu an toàn vốn từ gốc dữ liệu trên hệ thống CORE banking. Tại Đoàn kiểm toán BIDV năm 2016, do hạn chế về mặt thời gian kiểm toán, chưa đủ điều kiện để kiểm tra chi tiết tài sản có rủi ro theo từng đối tượng trên dữ liệu từ hệ thống Corebanking, Phân hệ Risk Control nên Đoàn kiểm toán chưa đánh giá đầy đủ độ chính xác của hệ số CAR năm 2016 của BIDV báo cáo NHNN.

Giải pháp hoàn thiện tổ chức kiểm toán trong môi trường CNTT tại các ngân hàng thương mại

Để khắc phục những hạn chế kiểm toán trong môi trường CNTT và đẩy mạnh hơn nữa việc ứng dụng CNTT trong các hoạt động của KTNN, gắn với cải cách hành chính, nâng cao năng lực quản lý, chỉ đạo, điều hành của các cấp, Lãnh đạo KTNN đã có chỉ thị triển khai Đề án liên quan đến ứng dụng, phát triển CNTT của KTNN, nhằm nâng cao nhận thức, thay đổi lề lối làm việc và tăng cường kỹ năng ứng dụng CNTT của công chức, viên chức và người lao động KTNN, góp phần gia tăng hiệu quả, chất lượng hoạt động kiểm toán. Bên cạnh đó, các đơn vị trực thuộc KTNN thực hiện nghiêm, hiệu quả việc khai thác, sử dụng các phần mềm ứng dụng vào công tác chuyên môn, nghiệp vụ, tăng cường tổ chức các lớp học, tập huấn về ứng dụng CNTT tại đơn vị.

Để hoàn thiện tổ chức kiểm toán trong môi trường CNTT tại các NHTM, KTNNcầntiến hành từng bước, kết hợp với các loại hình kiểm toán báo cáo tài chính, kiểm toán tuân thủ đối với NHTM được xác định là cuộc kiểm toán trong môi trường CNTT; Xây dựng và hoàn thành đưa vào sử dụng các phần mềm hỗ trợ Kiểm toán viên thực hiện các kỹ thuật kiểm toán (phần mềm hỗ trợ kiểm toán lĩnh vực kiểm toán tài chính - ngân hàng); Thực hiện việc bổ sung, đào tạo kiến thức tin học cho đội ngũ Kiểm toán viên để có thể tiếp cận dần với việc kiểm soát các yếu tố rủi ro trong các phần mềm nghiệp vụ tài chính ngân hàng và nghiên cứu ứng dụng tin học hỗ trợ cho hoạt động kiểm toán liên quan; Thường xuyên nghiên cứu hợp tác với các NHTM tìm hiểu hệ thống CNTT phần mềm nghiệp vụ, trước hết là các nghiệp vụ KT-TC, đánh giá khả năng bổ sung mở rộng khi cần thiết.

Về giải pháp xây dựng qui trình, phương pháp kiểm toán tài chính trong môi trường CNTT, cần kiểm toán những thành phần của hệ thống Công nghệ thông tin liên quan đến việc lập báo cáo tài chính dựa trên căn cứ cuộc kiểm toán bao gồm những quy định của Ngân hàng nhà nước, hệ thống chuẩn mực, các văn bản và quy định do Ngân hàng cam kết tuân thủ và ban hành; Quy trình và các quy định và chuẩn mực do KTNN ban hành liên quan đến việc xây dựng, quản lý và vận hành hệ thống CNTT và cách thức xử lý thông tin

Kiểm toán đánh giá hiệu quả và việc chấp hành pháp luật nhà nước và các quy định nội bộ của Ngân hàng trong việc xây dựng, quản lý và vận hành hệ thống CNTT liên quan đến quy trình lập và xử lý số liệu BCTC, được cụ thể hóa với 3 nội dung: Kiểm toán việc tuân thủ quy định pháp luật nhà nước và quy định nội bộ của Ngân hàng của việc vận hành hệ thống CNTT liên quan đến việc lập BCTC;Kiểm toán các phần mềm nghiệp vụ và việc đảm bảo tính chính xác, đầy đủ của các thông tin liên quan đến việc lập BCTC;Kiếm toán, đánh giá tính kinh tế, hiệu lực và hiệu quả trong việc ứng dụng Công nghệ thông tin liên quan đến việc lập nên BCTC.

Từ mục đích và nội dung của Cuộc kiểm toán, trong đợt khảo sát tại đơn vị cần thu thập các thông tin bộ liên quan đến việc quản lý và vận hành hệ thống CNTT và việc xử lý thông tin và lập BCKT của Ngân hàng: Hệ thống báo cáo; Văn bản, tài liệu nội bộ; Các dữ liệu nội bộ. Đề tài có nêu rõ các văn bản cần thu thập, các dữ liệu cần kiểm tra đối chiếu và thủ tục kiểm toán.

Việc đánh giá được thực hiện thông qua các bước sau:Xác định mức độ rủi ro thông tin trọng yếu của các tài khoản BCTC; Xác định hệ thống kiểm soát trọng yếu liên quan đến hệ thống CNTT. Trong từng nội dung trên, lưu ý hệ thống CNTT liên quan đến từng nghiệp vụ.

Bên cạnh đó, việc lập kế hoạch kiểm toán căn cứ vào các kết quả xác định các rủi ro trọng yếu cùng hệ thống kiểm soát tự động và bán tự động trọng yếu liên quan đến các rủi ro trọng yếu trên. Kế hoạch kiểm toán chia thành 2 công việc: Xác định phạm vi kiểm toán và Lập kế hoạch kiểm toán cho từng chốt kiểm soát liên quan đến hệ thống CNTT.

Việc thử nghiệm các chốt kiểm soát sẽ được thực hiện bới các chuyên gia kiểm toán CNTT tiến hành lần lượt với 2 loại kiểm soát:Kiểm thử kiểm soát chung; Kiểm thử kiểm soát ứng dụng.

Đối với các phát hiện rủi ro cần phải xác định độ lớn, sai lệch cụ thể do các rủi ro trên lên BCTC và tiến hành trao đổi với các chuyên gia kiểm toán BCTC để mở rộng việc kiểm toán các chốt kiểm toán liên quan trong trường hợp cần thiết.

Căn cứ vào mục tiêu kiểm toán, các chuyên gia kiểm toán CNTT và kiểm toán BCTC Ngân hàng cần đánh giá các rủi ro phát hiện với các góc nhìn sau: Phân tích các rủi ro phát hiện dưới góc nhìn chấp hành pháp luật và quy định nội bộ về xây dựng, quản lý và vận hành hệ thống CNTT; Phân tích các rủi ro phát hiện dưới góc nhìn tuân thủ quy định pháp luật và quy định nội bộ về kiểm soát nghiệp vụ liên quan đến hệ thống CNTT; Phân tích các rủi ro phát hiện dưới góc nhìn độ tin cậy, tần suất xảy ra và lượng hóa các ảnh hưởng lên BCTC; Phân tích các rủi ro phát hiện dưới góc nhìn hiệu quả tham chiếu với các tiêu chuẩn liên quan đến hệ thống kiểm soát rủi ro của Chuẩn quản trị CNTT quốc tế COBIT5.

Việc nhận diện các rủi ro chu trình nghiệp vụ NHTM liên quan đến kiểm soát ứng dụng CNTTbao gồm: Các rủi ro chung trong hoạt động cho vay; Một số rủi ro riêng biệt của từng loại hình cho vay, lưu ý một số rủi ro đặc thù liên quan đến tác động của hệ thống CNTT như rủi ro về phân loại nợ, trích lập dự phòng, theo dõi giá trị TSĐB,

Thủ tục kiểm toán CNTT trong kiểm soát ứng ứng dụng bao gồm:Kiểm toán công tác tổ chức, chỉ đạo, điều hành và đánh giá khái quát hoạt động tín dụng; Các thủ tục kiểm toán chung trong hoạt động cho vay; Các thủ tục kiểm toán với các rủi ro riêng theo từng loại. Trong đó có một số các thủ tục liên quan đến việc xác nhận, kiểm tra đối chiếu nguồn dữ liệu từ hệ thống đặc biệt ở khâu kiểm tra sau cho vay trong quy trình tín dụng về thu nợ, tài sản đảm bảo, cơ cấu nợ, phân loại nợ.

Về tổ chức thực hiện kiểm toán trong môi trường CNTT,trước hết trong khâu lập KHKT cần bố trí đầy đủ nhân lực về CNTT, tìm hiểu hệ thống, thực hiện khảo sát và kiểm thử rủi ro của hệ thông trong khâu lập BCTC, các ứng dụng CNTT chủ yếu liên quan nghiệp vụ hoạt động của NHTM, từ đó phải đưa ra các ý kiến về mức độ phù hợp trong khâu lập BCTC, các trọng yếu rủi ro về hệ thống CNTT liên quan đến khâu này. Trên cơ sở xác lập mức độ phù hợp, tuân thủ, trọng yếu thì đoàn kiểm toán mới xây dựng chương trình kế hoạch kiểm toán đầy đủ, phù hợp bao hàm cả yếu tố kiểm soát rủi ro CNTT.

Đối với thực hiện kiểm toán, trên cơ sở xây dựng chương trình kế hoạch kiểm toán hệ thống CNTT, việc tổ chức sắp xếp phối hợp giữa Kiểm toán viên và các kỹ sư CNTT là hết sức cần thiết. Để đảm bảo các rủi ro CNTT được chỉ ra trong KHKT được kiểm toán bởi các thủ tục liên quan đến sử dụng CNTT và xác minh tính chính xác, tuân thủ, phù hợp cho các mẫu kiểm toán do các Kiểm toán viên yêu cầu, các kỹ sư CNTT phải xây dựng các thủ tục cần thiết.

Để có thể sử dụng hiệu quả các công cụ và kỹ thuật kiểm toán có sự trợ giúp của máy tính, KTNN cần chú trọng việc phát triển đội ngũ Kiểm toán viên có năng lực về CNTT. Kiểm toán viên cũng cần được đào tạo về CNTT và có hiểu biết sâu sắc về kết cấu và các hoạt động kiểm soát trong hệ thống thông tin của khách hàng. Nếu cần thiết,KTNN có thể sử dụng các chuyên gia có hiểu biết chuyên sâu về CNTT, để hỗ trợ việc thực hiện các thủ tục kiểm toán.

Kiểm toán viên và các chuyên gia CNTT cần đánh giá hệ thống thông tin của khách hàng dựa trên tìm hiểu, đánh giá các hoạt động kiểm soát chung và kiểm soát ứng dụng nhằm đánh giá mức độ tin cậy của hệ thống thông tin.

Trong khâu lập báo cáo kiểm toán, việc lập báo cáo kiểm toán trong môi trường CNTT hiện tại không có thay đổi so với các qui định về lập và trình bày báo cáo kiểm toán của KTNN hiện hành, tuy nhiên ngoài việc điều chỉnh các phát hiện kiểm toán liên quan đến thay đổi các khoản mục BCTC để đảm bảo các khoản mục BCTC đã được kiểm toán xác nhận tính trung thực, đầy đủ thì BCKT phải trình bầy bổ sung các phân hệ và phần mềm CNTT đã được kiểm toán , phát hiện các sai sót hệ thông xử lý thông tin, việc sai sót kiểm soát đối với từng phần mềm gắn với các phát hiện tài chính làm thay đổi trọng yếu số liệu BCTC được kiểm toán.

Báo cáo kiểm toán hướng tới việc đánh giá tồn tại, nguyên nhân và có các kiến nghị liên quan đến sai sót tồn tại trong qui trình xây dựng, vận hành, kiểm soát hệ thống thông tin liên quan đến lập BCTC của NHTM.

Hiện tại về tính pháp lý để triển khai kiểm toán trong môi trường CNTT theo qui định tại CMKTKTNN số 1315, KTNN đã bước đầu hoàn thành dự thảo hướng dẫn kiểm toán trong môi trường CNTT, theo đó sẽ phải tiếp tục xây dựng hướng dẫn qui trình kiểm toán trong môi trường CNTT tại các NHTM để đảm bảo hiệu lực kiểm toán loại hình này đối với các NHTM. Bên cạnh đó, để thực hiện được việc kiểm toán hệ thống CNTT liên quan lập BCTC đối với các NHTM thì nhất thiết phải đảm bảo 02 yếu tố cơ bản là: yêu cầu về nhân sự, yêu cầu về kỹ thuật và trang thiết bị thực hiện kiểm toán.

Với đòi hỏi thực tiễn về chất lượng kiểm toán, đáp ứng nhu cầu phát triển của KTNN nhằm từng bước nâng cao hiệu quả hoạt động kiểm toán của KTNN theo chiến lược phát triển đến năm 2020, việc tổ chức triển khai phương pháp, kỹ thuật kiểm toán trong môi trường CNTT trong kiểm toán các ngân hàng thương mại do Kiểm toán Nhà nước thực hiện là một vấn đề cấp thiết đặt ra trong giai đoạn hiện nay. Mặt khác, việc ứng dụng CNTT trong hoạt động kiểm toán là một xu thế tất yếu trong định hướng phát triển thời đại 4.0, khi các NHTM ngày càng phụ thuộc vào hệ thống máy tính trong việc ghi chép, xử lý các giao dịch nghiệp vụ, kiểm toán càng cần chú trọng phát triển vào các công nghệ và kỹ thuật kiểm toán hiện đại, để nâng cao chất lượng và hiệu quả kiểm toán. Điều này đòi hỏi KTNN có sự đầu tư đáng kể trong phát triển các phần mềm kiểm toán chuyên nghiệp và đào tạo nguồn nhân lực và hỗ trợ về mặt công nghệ./.

Thanh Loan

Tin tức - Sự kiện

Tổ chức kiểm toán trong môi trường công nghệ thông tin tại các ngân hàng thương mại

Phim tư liệu

Cổng thông tin điện tử kiểm toán nhà nước

Tin tức - Sự kiện

Tổ chức kiểm toán trong môi trường công nghệ thông tin tại các ngân hàng thương mại

Tin tức liên quan

Phim tư liệu