- D ch v khỏch h ng: nhúm gia od ch – ngõn qu ch n mu 850 ơ
CỔPHẦN ÁCHÂU
3.2.4. Hoàn thiện nội dung kiểm toỏn nội bộ, đặc biệt là kiểm toỏn cụng nghệ thụng tin.
cụng nghệ thụng tin.
Xuất phỏt từ yờu cầu hoàn thiện nội dung kiểm toỏn nội bộ đối với hệ thống ngõn hàng thương mại núi chung, ACB cũng phải đặt ra cỏc yờu cầu trờn đối với cụng tỏc KTNB của mỡnh.
Ngõn hàng Á Chõu đó thực hiện một số nội dung hoạt động kiểm toỏn nhưng nội dung hoạt động cũn chưa đầy đủ, như hoạt động rà soỏt và kiểm tra tớnh đỳng đắn của bỏo cỏo tài chớnh hàng thỏng, kiểm tra, theo dừi và bỏo cỏo nợ trễ hạn … Bộ phận KTNB chưa đủ nguồn lực để thực hiện đầy đủ và thường xuyờn cỏc nội dung kiểm toỏn này, do vậy, KTNB vẫn dựa vào số liệu bỏo cỏo của cỏc phũng, ban khi thực hiện kiểm toỏn cỏc nội dung này.
ACB là ngõn hàng đầu tiờn trong hệ thống cỏc ngõn hàng thương mại Việt Nam đó thực hiện kiểm toỏn nội bộ cụng nghệ thụng tin. Tuy nhiờn, do giới hạn về năng lực cũng như nguồn lực của bộ phận KTNB nờn nội dung kiểm toỏn mặt nghiệp vụ này cũn nhiều thiếu sút và chưa đầy đủ. Từ đú, Luận văn xin đưa ra một số đề xuất nhằm hoàn Hoàn thiện nội dung kiểm toỏn cụng nghệ thụng tin
Trong cỏc nội dung KTNB, Luận văn xin đi sõu phõn tớch về nội dung kiểm toỏn hệ thống thụng tin hay kiểm toỏn CNTT.
Hệ thống cụng nghệ thụng tin của ACB là một tập hợp cú cấu trỳc cỏc trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu và hệ thống mạng phục vụ cho nhiều hoạt động kỹ thuật, nghiệp vụ ngõn hàng. ACB là ngõn hàng đầu tiờn thực hiện KTNB lĩnh vực CNTT, tuy nhiờn do hạn chế về năng lực và trỡnh độ của kiểm toỏn viờn, do đõy là nội dung khỏ mới của KTNB nờn kết quả kiểm toỏn cũn nhiều hạn chế. Để đảm bảo cho hệ thống xử lý và cung cấp thụng tin tin cậy, nội dung kiểm toỏn hoạt động CNTT cần được hoàn thiện theo hướng sau:
Thứ nhất, xỏc định rừ được mục tiờu của kiểm toỏn nội bộ cụng nghệ
thụng tin: là sự xem xột, đỏnh giỏ về mặt kỹ thuật hệ thống xử lý thụng tin và kiểm soỏt để đảm bảo cỏc ứng dụng trong hệ thống mỏy tớnh Ngõn hàng cú chứa đựng cỏc chức năng thớch hợp để kiểm soỏt hệ thống và đảm bảo được tớnh hoàn chỉnh và tin cậy cao đối với cỏc dữ liệu tồn tại trong hệ thống.
Thứ hai, nội dung của KTNB CNTT bao gồm:
Kiểm tra việc cấp quyền và quản lý truy cập của người sử dụng TCBS:
quy trỡnh quản lý và xỏc thực người sử dụng cho từng hệ thống CNTT phự hợp với yờu cầu an toàn, bảo mật của nghiệp vụ xử lý trờn đú; xỏc thực quyền truy nhập của người sử dụng bằng tài khoản, bằng phương tiện định danh hoặc kết hợp của cả hai và chỉ cấp cho người sử dụng đủ quyền hạn để thực thi nhiệm vụ mà người đú được phõn cụng.
Kiểm tra mó húa dữ liệu: cỏc trang thiết bị, phần mềm sử dụng cho giải
phỏp mó hoỏ phải được lưu trữ đồng thời với dữ liệu mó hoỏ; hoặc phải chuyển đổi dữ liệu mó hoỏ sang dạng mới khi cú thay đổi về phương thức mó hoỏ để đảm bảo khụi phục dữ liệu nguyờn bản từ dữ liệu dạng mó hoỏ tại mọi thời điểm
Kiểm tra ghi nhật ký giỏm sỏt hoạt động: quy định chế độ ghi nhật ký,
thời gian lưu trữ file nhật ký cho từng hệ thống CNTT, nhằm đảm bảo giỏm sỏt được cỏc hoạt động trờn hệ thống và phục vụ cụng tỏc kiểm toỏn; người quản trị hệ thống cú trỏch nhiệm thường xuyờn xem xột cỏc file nhật ký của hệ thống nhằm phỏt hiện, xử lý và ngăn chặn kịp thời cỏc sự cố gõy mất an toàn, ổn định của hệ thống CNTT
Kiểm tra an toàn phũng mỏy chủ: cụng việc tiến hành trong phũng mỏy chủ
phải được ghi sổ nhật ký làm việc hàng ngày; phũng mỏy tớnh phải đảm bảo vệ sinh cụng nghiệp; nguồn điện cho hệ thống CNTT phải được trang bị nguồn điện riờng với cỏc tiờu chuẩn kỹ thuật cụng nghiệp phự hợp với cỏc trang thiết bị lắp đặt trong phũng mỏy; nguồn điện dự phũng phải đủ tiờu chuẩn, cụng suất cho hoạt động bỡnh thường của hệ thống CNTT trong thời gian nguồn điện chớnh cú sự cố.
Kiểm tra an toàn mạng WAN, LAN: việc tiếp nhận và quản lý hệ thống
dịch; triển khai mở rộng hệ thống mạng WAN, LAN theo nhu cầu phỏt triển của NH; đề xuất cỏc vấn đề kỹ thuật, giải phỏp cú liờn quan đến mạng WAN, LAN; vận hành hệ thống mạng WAN, LAN nhằm đảm bảo truyền thụng số liệu giữa cỏc mạng được thụng suốt, nhanh chúng, chớnh xỏc, tập trung, nhất quỏn và an toàn; thường xuyờn theo dừi, kiểm tra, kịp thời phỏt hiện và khắc phục sự cố đường truyền đảm bảo tối ưu sự hoạt động của hệ thống.
Kiểm tra an toàn CSDL: việc tiếp nhận, cài đặt và quản lý hệ thống
mỏy chủ, hệ thống mỏy chủ dự phũng, cỏc vật tư thiết bị phục vụ, tài liệu kỹ thuật kốm theo; tếp nhận và quản lý phũng mỏy chủ, phũng mỏy chủ dự phũng; tếp nhận và quản lý cỏc CSDL hệ thống TCBS; t chức vận hành CSDL hàng ngày, phục vụ cỏc yờu cầu khai thỏc; tổ chức bảo trỡ, cập nhật hệ thống; xõy dựng cỏc quy trỡnh sao lưu, lưu trữ, phục hồi dữ liệu; thực hiện việc sao lưu, lưu trữ và phục hồi CSDL theo quy trỡnh.
Kiểm tra phũng, chống virus mỏy tớnh: cập nhật phiờn bản phần mềm
chống virus mới và thường xuyờn quột virus trờn mỏy tớnh kết nối vào mạng; khụng tự ý thay đổi, gỡ bỏ cỏc chương trỡnh, thụng số kỹ thuật mà người quản trị mạng đó cài đặt; hướng dẫn, hỗ trợ người sử dụng bảo vệ tài khoản, tài nguyờn trờn mạng, cài đặt phần mềm chống virus và giải quyết kịp thời những sự cố truy nhập mạng; kiểm tra và ngắt kết nối ra khỏi mạng những mỏy tớnh của người sử dụng khụng tuõn thủ cỏc quy định của đơn vị về phũng, chống virus và cỏc quy định khỏc về an ninh mạng.
Kiểm tra lưu trữ dữ liệu: cú phương ỏn trang bị, quy trỡnh kỹ thuật lưu trữ,
kiểm tra, bảo quản và khai thỏc dữ liệu lưu trữ được cấp cú thẩm quyền phờ duyệt; đảm bảo cỏc điều kiện về địa điểm, mụi trường lưu trữ, bảo quản vật mang tin an toàn và khoa học; quy định phạm vi, tần xuất lưu trữ phự hợp đối với từng loại dữ liệu nghiệp vụ để đảm bảo khụi phục, duy trỡ được hoạt động
liờn tục của nghiệp vụ trong trường hợp xẩy ra sự cố đối với dữ liệu hoạt động chớnh; kiểm soỏt và đối chiếu dữ liệu với cỏc khõu xử lý nghiệp vụ liờn quan để đảm bảo sự chớnh xỏc, khớp đỳng và đầy đủ của dữ liệu trước khi lưu trữ;
Kiểm tra bảo trỡ hệ thống CNTT: cụng tỏc bảo trỡ phải được tiến hành cú
kế hoạch, cú kịch bản, đảm bảo hoạt động bảo trỡ khụng ảnh hưởng đến cỏc hoạt động nghiệp vụ bỡnh thường của đơn vị; cỏc trang thiết bị, phần mềm, cơ sở dữ liệu phải được kiểm tra, theo dừi và xử lý kịp thời cỏc hư hỏng, biểu hiện mất ổn định hoặc quỏ tải; cập nhật kịp thời cỏc bản vỏ lỗi, lấp cỏc lỗ hổng về an ninh.
Thứ ba, về phương phỏp kiểm toỏn, cần thiết kế cỏc thủ tục kiểm toỏn dưới dạng kế hoạch chi tiết cho từng phần hành kiểm toỏn trong hệ thống TCBS. KTNB cụng nghệ thụng tin tập trung vào đỏnh giỏ hệ thống KSNB. Việc đỏnh giỏ này cú thể mụ tả qua lưu đồ và bảng cõu hỏi thiết kế sẵn. Cõu trả lời khụng trong bảng cõu hỏi sẽ thể hiện sự thiếu vắng thủ tục KSNB tại cỏc chốt kiểm soỏt đú. Khi đú, KTV nội bộ sẽ thiết kế và thực hiện nhiều cỏc kiểm tra chi tiết.
Thứ tư, qui định một số nguyờn tắc cần được quỏn triệt trong hệ thống cụng nghệ thụng tin tại ngõn hàng, bao gồm: đảm bảo về an ninh và bảo mật thụng tin; phõn cụng, phõn tỏch nhiệm vụ; kiểm soỏt được thay đổi trong hệ thống; phải cú hệ thống back up dữ liệu hoàn chỉnh.