5. Kết cấu của Luận văn
3.3.4. Hoàn thiện nội dung kiểm toán nội bộ, đặc biệt là kiểm toán
công nghệ thông tin.
Xuất phát từ yêu cầu hoàn thiện nội dung kiểm toán nội bộ đối với hệ thống ngân hàng thương mại nói chung, ACB cũng phải đặt ra các yêu cầu trên đối với công tác KTNB của mình.
Ngân hàng Á Châu đã thực hiện một số nội dung hoạt động kiểm toán nhưng nội dung hoạt động còn chưa đầy đủ, như hoạt động rà soát và kiểm tra tính đúng đắn của báo cáo tài chính hàng tháng, kiểm tra, theo dõi và báo cáo nợ trễ hạn ... Bộ phận KTNB chưa đủ nguồn lực để thực hiện đầy đủ và thường xuyên các nội dung kiểm toán này, do vậy, KTNB vẫn dựa vào số liệu báo cáo của các phòng, ban khi thực hiện kiểm toán các nội dung này.
ACB là ngân hàng đầu tiên trong hệ thống các ngân hàng thương mại Việt Nam đã thực hiện kiểm toán nội bộ công nghệ thông tin. Tuy nhiên, do giới hạn về năng lực cũng như nguồn lực của bộ phận KTNB nên nội dung kiểm toán mặt nghiệp vụ này còn nhiều thiếu sót và chưa đầy đủ. Từ đó, Luận văn xin đưa ra một số đề xuất nhằm hoàn Hoàn thiện nội dung kiểm toán công nghệ thông tin
Trong các nội dung KTNB, Luận văn xin đi sâu phân tích về nội dung kiểm toán hệ thống thông tin hay kiểm toán CNTT.
Hệ thống công nghệ thông tin của ACB là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu và hệ thống mạng phục vụ cho nhiều hoạt động kỹ thuật, nghiệp vụ ngân hàng. ACB là ngân hàng đầu tiên thực hiện KTNB lĩnh vực CNTT, tuy nhiên do hạn chế về năng lực và trình độ của kiểm toán viên, do đây là nội dung khá mới của KTNB nên kết
85
quả kiểm toán còn nhiều hạn chế. Để đảm bảo cho hệ thống xử lý và cung cấp thông tin tin cậy, nội dung kiểm toán hoạt động CNTT cần được hoàn thiện theo hướng sau:
Thứ nhất, xác định rõ được mục tiêu của kiểm toán nội bộ công nghệ
thông tin: là sự xem xét, đánh giá về mặt kỹ thuật hệ thống xử lý thông tin và kiểm soát để đảm bảo các ứng dụng trong hệ thống máy tính Ngân hàng có chứa đựng các chức năng thích hợp để kiểm soát hệ thống và đảm bảo được tính hoàn chỉnh và tin cậy cao đối với các dữ liệu tồn tại trong hệ thống.
Thứ hai, nội dung của KTNB CNTT bao gồm:
Kiểm tra việc cấp quyền và quản lý truy cập của người sử dụng TCBS:
quy trình quản lý và xác thực người sử dụng cho từng hệ thống CNTT phù hợp với yêu cầu an toàn, bảo mật của nghiệp vụ xử lý trên đó; xác thực quyền truy nhập của người sử dụng bằng tài khoản, bằng phương tiện định danh hoặc kết hợp của cả hai và chỉ cấp cho người sử dụng đủ quyền hạn để thực thi nhiệm vụ mà người đó được phân công.
Kiểm tra mã hóa dữ liệu: các trang thiết bị, phần mềm sử dụng cho giải pháp mã hoá phải được lưu trữ đồng thời với dữ liệu mã hoá; hoặc phải chuyển đổi dữ liệu mã hoá sang dạng mới khi có thay đổi về phương thức mã hoá để đảm bảo khôi phục dữ liệu nguyên bản từ dữ liệu dạng mã hoá tại mọi thời điểm
Kiểm tra ghi nhật ký giám sát hoạt động: quy định chế độ ghi nhật ký, thời gian lưu trữ file nhật ký cho từng hệ thống CNTT, nhằm đảm bảo giám sát được các hoạt động trên hệ thống và phục vụ công tác kiểm toán; người quản trị hệ thống có trách nhiệm thường xuyên xem xét các file nhật ký của hệ thống nhằm phát hiện, xử lý và ngăn chặn kịp thời các sự cố gây mất an toàn, ổn định của hệ thống CNTT
Kiểm tra an toàn phòng máy chủ: công việc tiến hành trong phòng máy chủ phải được ghi sổ nhật ký làm việc hàng ngày; phòng máy tính phải đảm bảo vệ sinh
công nghiệp; nguồn điện cho hệ thống CNTT phải được trang bị nguồn điện riêng với các tiêu chuẩn kỹ thuật công nghiệp phù hợp với các trang thiết bị lắp đặt trong
phòng máy; nguồn điện dự phòng phải đủ tiêu chuẩn, công suất cho hoạt động bình
thường của hệ thống CNTT trong thời gian nguồn điện chính có sự cố.
Kiểm tra an toàn mạng WAN, LAN: việc tiếp nhận và quản lý hệ thống mạng diện rộng liên kết giữa Hội sở - Sở giao dịch - Chi nhánh - Phòng giao dịch; triển khai mở rộng hệ thống mạng WAN, LAN theo nhu cầu phát triển của NH; đề xuất các vấn đề kỹ thuật, giải pháp có liên quan đến mạng WAN, LAN; vận hành hệ thống mạng WAN, LAN nhằm đảm bảo truyền thông số liệu giữa các mạng được thông suốt, nhanh chóng, chính xác, tập trung, nhất quán và an toàn; thường xuyên theo dõi, kiểm tra, kịp thời phát hiện và khắc phục sự cố đường truyền đảm bảo tối ưu sự hoạt động của hệ thống.
Kiểm tra an toàn CSDL: việc tiếp nhận, cài đặt và quản lý hệ thống máy chủ, hệ thống máy chủ dự phòng, các vật tư thiết bị phục vụ, tài liệu kỹ thuật kèm theo; tếp nhận và quản lý phòng máy chủ, phòng máy chủ dự phòng; tếp nhận và quản lý các CSDL hệ thống TCBS; t chức vận hành CSDL hàng ngày, phục vụ các yêu cầu khai thác; tổ chức bảo trì, cập nhật hệ thống; xây dựng các quy trình sao lưu, lưu trữ, phục hồi dữ liệu; thực hiện việc sao lưu, lưu trữ và phục hồi CSDL theo quy trình.
Kiểm tra phòng, chống virus máy tính: cập nhật phiên bản phần mềm chống virus mới và thường xuyên quét virus trên máy tính kết nối vào mạng; không tự ý thay đổi, gỡ bỏ các chương trình, thông số kỹ thuật mà người quản trị mạng đã cài đặt; hướng dẫn, hỗ trợ người sử dụng bảo vệ tài khoản, tài nguyên trên mạng, cài đặt phần mềm chống virus và giải quyết kịp thời những sự cố truy nhập mạng; kiểm tra và ngắt kết nối ra khỏi mạng những máy tính
87
của người sử dụng không tuân thủ các quy định của đơn vị về phòng, chống virus và các quy định khác về an ninh mạng.
Kiểm tra lưu trữ dữ liệu: có phương án trang bị, quy trình kỹ thuật lưu trữ, kiểm tra, bảo quản và khai thác dữ liệu lưu trữ được cấp có thẩm quyền phê duyệt; đảm bảo các điều kiện về địa điểm, môi trường lưu trữ, bảo quản vật mang tin an toàn và khoa học; quy định phạm vi, tần xuất lưu trữ phù hợp đối với từng loại dữ liệu nghiệp vụ để đảm bảo khôi phục, duy trì được hoạt động liên tục của nghiệp vụ trong trường hợp xẩy ra sự cố đối với dữ liệu hoạt động chính; kiểm soát và đối chiếu dữ liệu với các khâu xử lý nghiệp vụ liên quan để đảm bảo sự chính xác, khớp đúng và đầy đủ của dữ liệu trước khi lưu trữ;
Kiểm tra bảo trì hệ thống CNTT: công tác bảo trì phải được tiến hành có kế hoạch, có kịch bản, đảm bảo hoạt động bảo trì không ảnh hưởng đến các hoạt động nghiệp vụ bình thường của đơn vị; các trang thiết bị, phần mềm, cơ sở dữ liệu phải được kiểm tra, theo dõi và xử lý kịp thời các hư hỏng, biểu hiện mất ổn định hoặc quá tải; cập nhật kịp thời các bản vá lỗi, lấp các lỗ hổng về an ninh.
Thứ ba, về phương pháp kiểm toán, cần thiết kế các thủ tục kiểm toán dưới dạng kế hoạch chi tiết cho từng phần hành kiểm toán trong hệ thống TCBS. KTNB công nghệ thông tin tập trung vào đánh giá hệ thống KSNB. Việc đánh giá này có thể mô tả qua lưu đồ và bảng câu hỏi thiết kế sẵn. Câu trả lời không trong bảng câu hỏi sẽ thể hiện sự thiếu vắng thủ tục KSNB tại các chốt kiểm soát đó. Khi đó, KTV nội bộ sẽ thiết kế và thực hiện nhiều các kiểm tra chi tiết.
Thứ tư, qui định một số nguyên tắc cần được quán triệt trong hệ thống công nghệ thông tin tại ngân hàng, bao gồm: đảm bảo về an ninh và bảo mật thông tin; phân công, phân tách nhiệm vụ; kiểm soát được thay đổi trong hệ thống; phải có hệ thống back up dữ liệu hoàn chỉnh.