3.2. Giải pháp hoàn thiện quy trình kiểm soát nội bộ tại Ngân hàng thương
3.2.3. Mở rộng nội dung và phạm vi hoạt động kiểm soát nội bộ
Xuất phát từ yêu cầu hoàn thiện nội dung và phạm vi kiểm soát nội bộ đối với hệ thống ngân hàng thuơng mại nói chung, Vietinbank cũng phải đặt ra các yêu cầu trên đối với công tác KSNB của mình và đuợc qui định rõ trong Điều lệ KSNB.
Mở rộng phạm vi hoạt động của KSNB. Hiện nay do chua đủ nguồn lực và tính độc lập chua cao nên phạm vi của KSNB tại Vietinbank còn bị giới hạn. Để bộ máy KSNB hoạt động hiệu quả thì phạm vi KSNB phải là không giới hạn, kiểm soát tất cả các hoạt động, các quy trình nghiệp vụ và các đơn vị, bộ phận của ngân hàng; kiểm soát đặc biệt và tu vấn theo yêu cầu của Hội đồng quản trị, Ban kiểm soát; kể cả hoạt động điều hành của Ban Tổng giám đốc.
Đối với các hoạt động, các quy trình, bộ phận mà truớc đây kiểm soát nội bộ đã có tu vấn, trong truờng hợp này, trách nhiệm đối với các hoạt động, các quy trình, bộ phận đã đuợc kiểm soát nội bộ tu vấn truớc đây vẫn hoàn toàn thuộc về lãnh đạo đơn vị, bộ phận đuợc kiểm soát. Kiểm soát nội bộ có quyền và nghĩa vụ phân tích và đánh giá đầy đủ về các thủ tục, quy trình, hệ thống kiểm tra, kiểm soát nội bộ đã đuợc lãnh đạo của đơn vị, bộ phận đuợc kiểm soát thiết lập.
Nội dung chính của hoạt động kiểm soát nội bộ là kiểm tra, đánh giá tính đầy đủ, hiệu lực và hiệu quả của hệ thống kiểm tra, kiểm soát nội bộ. Tùy theo quy mô, mức độ rủi ro cũng nhu yêu cầu cụ thể của từng tổ chức tín dụng, kiểm soát nội bộ có thể rà soát, đánh giá những nội dung sau: mức độ đầy đủ, tính hiệu lực và hiệu quả của hệ thống kiểm tra, kiểm soát nội bộ; việc áp dụng tính hiệu lực, hiệu quả của các quy trình nhận dạng, phuơng pháp đo luờng và quản lý rủi ro, phuơng pháp đánh giá vốn; hệ thống thông tin quản lý và hệ thống thông tin tài chính, bao gồm cả hệ thống thông tin điện tử và dịch vụ ngân hàng điện tử; tính đầy đủ, kịp thời, trung thực và mức độ chính xác của hệ thống hạch toán kế toán và các báo cáo tài chính; cơ chế đảm bảo sự tuân thủ các quy định của pháp luật, quy định
khuôn khổ tổ chức các hoạt
động IT bao gồm: (2) Sự phân tách hợp lý các chức năng (ví dụ, sựchuẩn bị của các hồ sơ đầu vào, lập chương trình và vận hành trên máy).
về các tỷ lệ bảo đảm an toàn trong hoạt động của tổ chức tín dụng, các quy định nội bộ, các quy trình, quy tắc tác nghiệp, quy tắc đạo đức nghề nghiệp; cơ chế, quy định, quy trình quản trị, điều hành, tác nghiệp của tổ chức tín dụng; các biện pháp đảm bảo an toàn tài sản; đánh giá tính kinh tế và hiệu quả của các hoạt động, tính kinh tế và hiệu quả của việc sử dụng các nguồn lực, qua đó xác định mức độ phù hợp giữa kết quả hoạt động đạt đuợc và mục tiêu hoạt động đề ra; thực hiện các nội dung khác có liên quan đến chức năng, nhiệm vụ của kiểm soát nội bộ, theo yêu cầu của Ban giám đốc, của Hội đồng quản trị.
Hoàn thiện nội dung kiểm soát CNTT. Hệ thống CNTT của Vietinbank là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu và hệ thống mạng phục vụ cho nhiều hoạt động kỹ thuật, nghiệp vụ ngân hàng. Vietinbank là một trong những ngân hàng đầu'tiên thực hiện KSNB lĩnh vực CNTT, tuy nhiên do hạn chế về năng lực và trình độ của kiểm soát viên, do đây là nội dung khá mới của KSNB nên kết quả kiểm soát còn nhiều hạn chế. Để đảm bảo cho hệ thống xử lý và cung cấp thông tin tin cậy, nội dung kiểm soát hoạt động CNTT cần đuợc hoàn thiện theo huớng sau:
Bộ phận kiểm soát hoạt động công nghệ thông tin chủ yếu báo cáo những vấn đề về quản trị rủi ro đồng thời kiểm soát viên của bộ phận này cũng có trách nhiệm trong việc tiếp tục phát triển hệ thống bảo mật công nghệ thông tin và các vấn đề rủi ro hoạt động. Kiểm soát hoạt động công nghệ thông chịu trách nhiệm chính trong việc cung cấp đánh giá độc lập về tính đầy đủ, tính hiệu quả, tính hiệu suất của việc kiểm soát nội bộ trong môi truờng công nghệ bao gồm phần cứng, phần mềm máy tính và các hệ thống ứng dụng đuợc sử dụng trong việc xử lý các hoạt động kinh doanh của một tổ chức. Chính sách của Vietinbank đối với việc quản lý và kiểm soát có hiệu quả hoạt động IT đuợc thiết lập, việc kiểm soát đuợc thực hiện bởi kiểm soát IT để đảm bảo tính tuân thủ.
Kiểm soát trong môi truờng IT.
và được bảo trì một cách có hiệu quả và theo thẩm quyền được duyệt và thiết lập hoạt động kiểm
soát trên:
+ Kiểm soát hoạt động của máy tính được thiết kế để kiểm soát sự vận hành của hệ thống và cung cấp sự đảm bảo thích hợp rằng:
(1) Chỉ được sử dụng cho những mục đích đã được phê duyệt;
(2) Việc truy cập máy tính được hạn chế trong những người được phép truy cập;
(3) Các lối được phát hiện trong quá trình hoạt động. + Kiểm soát phần mềm hệ thống
hay kiểm soát kỹ thuật được thiết
kế để thực hiện việc phát triển hoặc mua các phần mềm hệ thống, bao gồm:______________
(1) Trao quyền, phê duyệt, kiểm tra, thực thi và văn bản hóa những thay đổi củ phần mềm hệ thống.
(2) Việc truy cập vào hệ thống phần mềm được hạn chế trong phạm vi những người có thẩm quyền.
+ Kiểm soát tính logic của việc truy cập được thiết kế để đảm bảo rằng:
(1) Một cơ chế tra quyền được thiết lập cho các giao dịch đưa vào hệ thống;
(2) Việc truy cập vào dữ liệu và các chương trình được hạn chế trong phạm vi những người có thẩm quyền. + Kiểm soát tính liên tục của hệ
thống - được thiết kế để hạn chế sự ngắt quãng ít hay nhiều đến hoạt động của tổ chức và bao gồm:
(1) Dự phòng đầy đủ và tổ chức việc phục hồi;
(2) Duy trì các chương trình máy tính và số liệu bên ngoài hệ thống;
(3) Các công cụ bảo vệ chống cháy, chống trộm, chống thất thoát và những hỏng hóc do cố tình hay vô ý;
(4)
Các thiết bị xử lý thay thế._____________________ + Kiểm soát đầu vào được thiết
kế để đảm bảo rằng:
(1) Các giao dịch được thực hiện theo đúng thẩm quyền;
(3) Các lỗi xử lý được phát hiện và sửa chữa đúng thời gian;___________________________________________ + Kiểm soát đầu ra được thiết
kế để đảm bảo rằng: (1) Sự hiện hữu của Quản lý/ kiểm soát là đầy đủ;(2) Kết quả của quá trình chính xác và đầy đủ; (3) Kết quả chỉ được cung cấp tới những người có
thẩm quyền.
dạng mà máy móc/máy tính có thể đọc/hiểu được và được ghi lại vào các file trong máy;
(3) Các giao dịch không được thất lạc, bổ sung thiếu, sao chép hoặc thay đổi không phù hợp; (4) Các giao dịch không chính xác được loại bỏ, được chỉnh sửa và nếu cần thiết phải được trình lại đúng thời gian.
+ Kiểm soát truyền thông + Kiểm soát bộ phận phát triển + Kiểm soát dự án
+ Kiểm soát trước khi thực hiện
+ Kiểm soát hệ thống/sau khi hoạt động + Xem xét lại hệ thống
+ Nghiên cứu kỹ thuật và phát triển/hỗ trợ kỹ thuật kiểm soát được hỗ trợ bởi máy tính (CAAT).
Trong hoạt động kiểm soát thì thường là sẽ thuận lợi hơn khi phối hợp hoạt động kiểm soát IT tại chỗ với kiểm soát hoạt động có liên quan của đơn vị nằm trong phạm vi quan tâm. Việc tiếp cận này khá thích hợp khi xem xét tới hoạt động kiểm soát hệ thống sau khi thực hiện và ở một mức độ thấp hơn là hoạt động kiểm soát dự án và kiểm soát trước khi thực hiện. Các nhóm kiểm soát hoạt động/IT chung tại đơn vị được kiểm soát:
+ Cung cấp cho cấp quản lý cao cấp một quan điểm kiểm soát tổng hợp và duy nhất về hoạt động kinh doanh và các chức năng hỗ trợ của nó.
+ Giúp đảm bảo sự toàn bộ của phạm vi kiểm soát
+ Tạo điều kiện để từng đội có thể sử dụng các kiến thức của nhau. + Hỗ trợ để đua vấn đề IT đuợc đặt trong môi truờng kinh doanh tổng thể
Sự tham gia của chuyên viên kiểm soát hoạt động trong quá trình xem xét hệ thống cũng có một lợi thế rõ ràng nhờ kiến thức của họ trong hoạt động kinh doanh (những hoạt động mà hệ thống sẽ hỗ trợ).
Các vấn đề chính trong hoạt động kiểm soát IT.
Nguồn lực kiểm soát IT tại Vietinbank còn hạn chế và do vậy cần phải đuợc tập trung một cách thích hợp dựa trên việc đánh giá các rủi ro kinh doanh và rủi ro IT chủ yếu xảy ra trong hoạt động nghiệp vụ. Cần phải nhấn mạnh rằng sự liên lạc chặt chẽ với các bộ phận có liên quan khác của Ban Kiểm soát nội bộ là điều quan trọng trong quá trình lên kế hoạch. Có 4 lĩnh vực chủ đạo trong công việc kiểm soát IT:
+ Cài đặt máy tính, cơ sở hạ tầng và các chức năng IT; + Hệ thống trong quá trình phát triển;
+ Hệ thống đang sử dụng;
+ Việc hỗ trợ và phát triển CAAT.
Cài đặt máy tính, cơ sở hạ tầng và các chức năng IT:
Bao gồm việc kiểm soát các hoạt động kiểm soát chung về môi truờng IT, nghĩa là các hoạt động cài đặt máy tính (bao gồm các mạng LAN), phần mềm hệ thống hoặc kỹ thuật, truyền thông, và hoạt động kiểm soát các bộ phận và hệ thống vận hành nơi mà trách nhiệm đã đuợc giao cho kiểm soát IT, chẳng hạn nhu phòng phát triển hệ thống, hệ thống thanh toán phức hợp.
Tần suất kiểm soát sẽ phụ thuộc vào kết quả của việc tính toán rủi ro.
Rủi ro cố hữu của các hoạt động kinh doanh/ bộ phận mới đuợc thiết lập, chẳng hạn nhu việc cài đặt máy tính, phải đuợc đánh giá bằng việc sử dụng Hệ thống đánh giá rủi ro để xác định sự uu tiên hoặc tần suất kiểm soát.
Hệ thống đang xây dựng :
Bao gồm việc xem xét lại các văn bản của hệ thống, với những nhận xét đánh giá trong các bản ghi nhớ hoặc là việc kiểm soát chính thức các hoạt động dự án bao gồm cả việc kiểm soát các hoạt động trước khi thực hiện. Đối với những hệ thống được phát triển bằng cách sử dụng phương pháp tiếp cận nhanh tới thị trường (a speed to market) chẳng hạn cho kinh doanh điện tử (e-business) và những hệ thống áp dụng phương pháp luận và vòng đời phát triển ứng dụng nhanh (Rapid Application Development - RAD) thì một sự thay đổi trong phương pháp xem xét lại là cần thiết.
Kinh doanh điện tử giới thiệu các công nghệ mới cho phép những thứ vốn ở trong hệ thống back office có thể trực tiếp đến với khách hàng nên đã ảnh hưởng rất nhiều các hoạt động kiểm soát hiện tại. Chính vì vậy mà cần phải chú trọng vào việc xem xét lại các ứng dụng bảo mật của những hệ thống này trước khi thực sự hoạt động. Việc xếp hạng rủi ro của một dự án được áp dụng trong tất cả các xem xét trước khi thực hiện và trong toàn bộ dự án. Để đảm bảo rằng nguồn lực kiểm soát IT được tập trung thích hợp vào các phát triển chủ yếu phát sinh trong ngân hàng, kế hoạch hoạt động hàng năm.
Các hoạt động này được quyết định qua những cuộc thảo luận với các cấp quản lý IT và cấp quản lý hoạt động kinh doanh kết hợp với sự xem xét lại kế hoạch IT. Rủi ro của từng đơn vị được kiểm soát cần phải được đánh giá để xác định thứ tự ưu tiên. Rủi ro của từng đơn vị được kiểm soát cần phải được đánh giá để xác định thứ tự ưu tiên. Sự gia tăng của những sáng kiến trong kinh doanh điện tử có thể đưa đến hiện tượng những sáng kiến được đề xuất và thực thi trong quá trình hoạt động (ngay từ đầu không được cụ thể hoá trong các kế hoạch hàng năm về kinh doanh và IT). Điều này có thể buộc bộ phận kiểm soát phải xem xét lại thứ hạng ưu tiên và điều chỉnh kế hoạch hoạt động hàng năm của mình cho tương ứng.
Cần phải xác định rõ các hoạt động kiểm soát thiết yếu (xem xét lại văn bản hệ thống và hoặc kiểm soát chính thức) khi sự phát triển chưa được tính đến trong phạm vi kiểm soát (bởi rủi ro thấp và nguồn lực kiểm soát có hạn).
Cần phải đánh giá về yêu cầu có tham gia của các nguồn lực kiểm soát khác vào những hoạt động này và cần thống nhất với truởng của bộ phận kiểm soát khu vực (và phải đuợc cụ thể hoá một cách riêng rẽ) về uớc tính nguồn lực con nguời cho hoạt động kiểm soát kinh doanh và IT .
Hệ thống đang hoạt động:
Hầu hết các hoạt động kinh doanh của Vietinbank liên quan đến các hệ thống trực tuyến. Chức năng của kiếm toán IT là xem xét lại phạm vi kiểm soát hoạt động kinh doanh đuợc đề xuất cho năm tới và mối quan hệ với bộ phận kiểm soát hoạt động kinh doanh tuơng ứng, chẳng hạn nhu kiểm soát tín dụng, nguồn vốn hoặc tổng thể, để xác định nơi nào sự hỗ trợ của kiểm soát IT là cần thiết.
Việc hỗ trợ và phát triển CAAT: Việc sử dụng CAAT chính là việc sử dụng hệ thống máy tính để hỗ trợ quá trình kiểm soát.
Việc sử dụng CAAT đặc biệt hữu dụng trong việc: Xuất và phân tích dữ liệu để so sánh các thông tin theo yêu cầu của kiểm soát Tập hợp các câu hỏi để xác định các vấn đề về tính nguyên vẹn của dữ liệu Tái thể hiện lại việc xử lý của hệ thống (cụ thể là các tính toán để hỗ trợ trong việc xác định tính toàn vẹn của hệ thống) Thử nghiệm/làm mẫu CAAT nên đuợc sử dụng bất cứ khi nào phù hợp để tăng tính hiệu quả và chất luợng của quá trình kiểm soát. Để đảm bảo sử dụng các nguồn lực một cách hợp lý, bất cứ phần mềm kiểm soát (CAAT) nào cần nhiều hơn 5 ngày công để phát triển cũng phải đuợc phê duyệt bởi cấp quản lý cao cấp của kiểm soát IT và kiểm soát nội bộ hoạt động kinh doanh truớc khi phát triển. Kiểm soát viên IT có trách nhiệm cung cấp những hỗ trợ về CAAT cho Ban Kiểm soát nội bộ. Mối quan hệ chặt chẽ là cần thiết để đảm bảo rằng CAAT hữu ích đuợc phát triển và duy trì. Cuối cùng, cần có sự phân chia hợp lý nhiệm vụ giữa các bên liên quan.