Phan Thị Thu Hiền
Trường Đại học Ngoại Thương
(Quanlynhanuoc.vn) – Trong bối cảnh chuyển đổi số ngân hàng, rủi ro công nghệ thông tin ngày càng trở thành yếu tố trọng yếu ảnh hưởng đến hiệu quả quản trị và an toàn hoạt động. Bài viết đánh giá thực trạng hệ thống kiểm soát nội bộ và kiểm toán nội bộ theo định hướng kiểm toán công nghệ thông tin tại các ngân hàng thương mại Việt Nam. Trên cơ sở tích hợp khung lý thuyết kiểm soát nội bộ COSO, kiểm toán nội bộ định hướng rủi ro (RBIA) và kiểm toán công nghệ thông tin theo COBIT. Hệ thống kiểm soát và kiểm toán tại các ngân hàng thương mại đã được thiết lập tương đối đầy đủ nhưng mức độ tích hợp rủi ro công nghệ thông tin còn hạn chế. Bài viết đề xuất các giải pháp hoàn thiện theo hướng tích hợp nhằm nâng cao hiệu quả quản trị rủi ro và vai trò của kiểm toán nội bộ trong môi trường ngân hàng số.
Từ khóa: Cơ sở lý luận; kiểm toán công nghệ thông tin; ngân hàng thương mại.
1. Đặt vấn đề
Quá trình chuyển đổi số đang tái định hình sâu sắc mô hình hoạt động của các tổ chức tài chính – ngân hàng trên toàn cầu với đặc trưng nổi bật là mức độ phụ thuộc ngày càng lớn vào các hệ thống công nghệ thông tin, nền tảng dữ liệu tập trung và các giải pháp ngân hàng số. Sự phát triển này không chỉ mang lại lợi ích về hiệu quả, tốc độ và khả năng mở rộng dịch vụ mà còn làm gia tăng đáng kể mức độ phức tạp của rủi ro, bao gồm: rủi ro an ninh mạng, rủi ro gian lận công nghệ, rủi ro gián đoạn hệ thống và rủi ro tuân thủ liên quan đến dữ liệu. Trong bối cảnh đó, kiểm soát nội bộ và kiểm toán nội bộ được xem là những cơ chế quản trị then chốt nhằm bảo đảm tính an toàn, minh bạch và bền vững cho hoạt động ngân hàng.
Khung kiểm soát nội bộ COSO đã khẳng định vai trò của môi trường kiểm soát, đánh giá rủi ro và hoạt động giám sát trong việc hỗ trợ tổ chức đạt được mục tiêu hoạt động, báo cáo và tuân thủ. Tuy nhiên, khi rủi ro công nghệ ngày càng chiếm vị trí trung tâm trong cấu trúc rủi ro tổng thể, các tiếp cận kiểm soát và kiểm toán truyền thống, vốn thiên về nghiệp vụ tài chính và tuân thủ, đang bộc lộ những giới hạn nhất định trong việc nhận diện và ứng phó với các rủi ro phát sinh từ môi trường số.
Từ góc độ lý luận, nhiều nghiên cứu quốc tế cho rằng hiệu quả của kiểm toán nội bộ trong bối cảnh hiện đại phụ thuộc lớn vào mức độ chuyển dịch từ kiểm toán tuân thủ sang kiểm toán nội bộ định hướng rủi ro (Risk – Based Internal Audit – RBIA), trong đó rủi ro công nghệ thông tin cần được coi là một nhóm rủi ro trọng yếu và được kiểm toán một cách độc lập, có hệ thống. Các học giả cũng nhấn mạnh rằng kiểm toán công nghệ thông tin không chỉ đóng vai trò hỗ trợ kỹ thuật mà phải được tích hợp chặt chẽ với hệ thống kiểm soát nội bộ và quản trị rủi ro doanh nghiệp nhằm cung cấp sự bảo đảm hợp lý cho ban lãnh đạo về tính an toàn và hiệu quả của các hệ thống thông tin.
Khung quản trị công nghệ thông tin COBIT do ISACA ban hành đã làm rõ mối liên kết giữa mục tiêu kinh doanh, mục tiêu công nghệ thông tin, các quy trình kiểm soát và chức năng bảo đảm, qua đó tạo nền tảng lý thuyết quan trọng cho việc tích hợp kiểm toán công nghệ thông tin vào hoạt động kiểm toán nội bộ. Tuy nhiên, các nghiên cứu cũng chỉ ra rằng việc vận dụng đồng bộ COSO, RBIA và COBIT trong thực tiễn kiểm toán nội bộ ngân hàng, đặc biệt tại các nền kinh tế mới nổi, vẫn còn nhiều khoảng trống, cả về mô hình khái niệm lẫn bằng chứng thực nghiệm. Tại Việt Nam, các nghiên cứu hiện có chủ yếu tiếp cận kiểm soát nội bộ và kiểm toán nội bộ dưới góc độ tuân thủ quy định hoặc mô tả mô hình tổ chức, trong khi kiểm toán công nghệ thông tin chưa được xem xét như một trụ cột độc lập trong hệ thống kiểm soát nội bộ dẫn đến khoảng trống đáng kể về mặt lý luận cần được tiếp tục nghiên cứu và bổ sung.
Về phương diện thực tiễn, hệ thống ngân hàng Việt Nam đang chịu áp lực ngày càng lớn từ yêu cầu bảo đảm an toàn hệ thống thanh toán, bảo mật dữ liệu khách hàng và tuân thủ các quy định ngày càng chặt chẽ về an toàn thông tin trong bối cảnh chuyển đổi số ngành ngân hàng. Đối với ngân hàng thương mại nhà nước có quy mô tài sản, mạng lưới chi nhánh và số lượng khách hàng lớn, việc triển khai các hệ thống công nghệ thông tin lõi, ngân hàng số và quản trị dữ liệu tập trung đã làm gia tăng đáng kể mức độ phức tạp của rủi ro công nghệ, đặc biệt trong điều kiện mạng lưới hoạt động trải rộng và trình độ ứng dụng công nghệ thông tin không đồng đều giữa các đơn vị.
Thực tiễn hoạt động kiểm toán nội bộ vẫn chủ yếu tập trung vào kiểm toán tuân thủ và kiểm toán hoạt động truyền thống, trong khi kiểm toán công nghệ thông tin chưa được triển khai một cách hệ thống, thiếu nguồn nhân lực chuyên sâu và chưa gắn kết chặt chẽ với đánh giá rủi ro tổng thể của ngân hàng. Điều này làm hạn chế vai trò của kiểm toán nội bộ trong việc cảnh báo sớm và tư vấn chiến lược cho ban lãnh đạo trước các rủi ro công nghệ ngày càng gia tăng. Do đó, việc nghiên cứu và đề xuất mô hình hoàn thiện hệ thống kiểm soát nội bộ và kiểm toán nội bộ theo định hướng kiểm toán công nghệ thông tin không chỉ có ý nghĩa về mặt học thuật trong việc bổ sung khoảng trống nghiên cứu mà còn mang giá trị thực tiễn cao, góp phần nâng cao hiệu quả quản trị rủi ro và bảo đảm sự phát triển an toàn, bền vững của ngân hàng trong kỷ nguyên số.
2. Cơ sở lý luận về kiểm soát nội bộ, kiểm toán nội bộ và kiểm toán công nghệ thông tin
Kiểm soát nội bộ được hiểu là một quá trình do hội đồng quản trị, ban điều hành và toàn thể nhân viên của tổ chức thiết kế và vận hành nhằm cung cấp sự bảo đảm hợp lý về việc đạt được các mục tiêu liên quan đến hiệu quả và hiệu suất hoạt động, độ tin cậy của báo cáo tài chính và sự tuân thủ pháp luật, quy định. Theo khung kiểm soát nội bộ COSO, bản chất của kiểm soát nội bộ không phải là một tập hợp các thủ tục kiểm tra riêng lẻ mà là một hệ thống tích hợp, bao gồm năm thành phần có mối liên kết: môi trường kiểm soát, đánh giá rủi ro, hoạt động kiểm soát, thông tin – truyền thông và giám sát. Trong bối cảnh hiện đại, kiểm soát nội bộ không chỉ dừng lại ở việc phòng ngừa và phát hiện sai sót tài chính mà còn đóng vai trò nền tảng trong quản trị rủi ro tổng thể, hỗ trợ tổ chức thích ứng với sự thay đổi của môi trường kinh doanh và công nghệ. Khi các quy trình nghiệp vụ ngày càng được số hóa, bản chất của kiểm soát nội bộ cũng dịch chuyển từ kiểm soát thủ công sang kiểm soát dựa trên hệ thống, dữ liệu và các cơ chế tự động hóa, làm gia tăng vai trò của kiểm soát công nghệ trong cấu trúc kiểm soát nội bộ.
Kiểm toán nội bộ là một hoạt động bảo đảm và tư vấn độc lập, khách quan, được thiết kế nhằm gia tăng giá trị và cải thiện hoạt động của tổ chức thông qua việc đánh giá và nâng cao hiệu quả của các quy trình quản trị, quản lý rủi ro và kiểm soát nội bộ. Theo Viện Kiểm toán nội bộ quốc tế (IIA), kiểm toán nội bộ không chỉ có chức năng kiểm tra, xác nhận mức độ tuân thủ mà còn đóng vai trò tư vấn chiến lược, hỗ trợ ban lãnh đạo nhận diện sớm rủi ro và cải thiện hiệu quả hoạt động. Sự phát triển của phương pháp kiểm toán nội bộ định hướng rủi ro (Risk-Based Internal Audit – RBIA) đã đánh dấu bước chuyển quan trọng trong tư duy kiểm toán, khi trọng tâm kiểm toán được xác định dựa trên mức độ rủi ro và tầm quan trọng của các quy trình đối với mục tiêu chiến lược của tổ chức. Trong bối cảnh này, kiểm toán nội bộ được xem là một cấu phần động của hệ thống kiểm soát nội bộ, vừa thực hiện chức năng giám sát độc lập, vừa cung cấp thông tin phản hồi để hoàn thiện hệ thống kiểm soát và quản trị rủi ro.
Kiểm toán công nghệ thông tin là một lĩnh vực chuyên sâu của kiểm toán, tập trung vào việc đánh giá mức độ đầy đủ, hiệu quả và an toàn của các hệ thống thông tin, hạ tầng công nghệ, quy trình quản trị công nghệ thông tin và kiểm soát ứng dụng. Mục tiêu cốt lõi của kiểm toán công nghệ thông tin là bảo đảm tính bảo mật, toàn vẹn, sẵn sàng và tin cậy của thông tin, đồng thời bảo đảm rằng các hệ thống công nghệ thông tin hỗ trợ hiệu quả cho việc đạt được mục tiêu kinh doanh của tổ chức. Các khung quản trị công nghệ thông tin như COBIT nhấn mạnh vai trò của kiểm toán công nghệ thông tin trong việc cung cấp sự bảo đảm độc lập về mức độ phù hợp giữa chiến lược công nghệ thông tin và chiến lược kinh doanh, cũng như khả năng kiểm soát rủi ro công nghệ. Trong bối cảnh chuyển đổi số, kiểm toán công nghệ thông tin không còn là hoạt động mang tính kỹ thuật thuần túy mà trở thành một công cụ quản trị quan trọng, giúp tổ chức nhận diện và kiểm soát các rủi ro mới phát sinh từ dữ liệu lớn, an ninh mạng, trí tuệ nhân tạo và các nền tảng số.
Mối quan hệ giữa kiểm soát nội bộ, kiểm toán nội bộ và kiểm toán công nghệ thông tin mang tính bổ trợ và tích hợp chặt chẽ trong một hệ thống quản trị thống nhất. Kiểm soát nội bộ tạo nền tảng kiểm soát ban đầu thông qua các chính sách, quy trình và cơ chế kiểm soát, trong đó kiểm soát công nghệ ngày càng chiếm vai trò trung tâm. Kiểm toán nội bộ với tư cách là tuyến phòng thủ độc lập, thực hiện chức năng đánh giá hiệu quả của hệ thống kiểm soát nội bộ và quản trị rủi ro, đồng thời đưa ra các khuyến nghị cải tiến. Kiểm toán công nghệ thông tin khi được tích hợp vào kiểm toán nội bộ cho phép mở rộng phạm vi đánh giá sang các rủi ro công nghệ, dữ liệu và hệ thống, từ đó nâng cao chất lượng bảo đảm và giá trị tư vấn của kiểm toán nội bộ. Việc tích hợp ba cấu phần này giúp hình thành một hệ thống kiểm soát – kiểm toán toàn diện, đáp ứng yêu cầu quản trị trong môi trường số và phù hợp với tiếp cận quản trị rủi ro hiện đại.
Trên cơ sở tích hợp các khái niệm nêu trên, nghiên cứu này xây dựng một khung lý luận tích hợp để đánh giá thực trạng hệ thống kiểm soát nội bộ và kiểm toán nội bộ theo định hướng kiểm toán công nghệ thông tin tại các ngân hàng thương mại. Khung tích hợp này kết hợp các thành phần của kiểm soát nội bộ theo COSO, phương pháp kiểm toán nội bộ định hướng rủi ro và các mục tiêu quản trị – kiểm soát công nghệ thông tin theo COBIT nhằm đánh giá mức độ gắn kết giữa kiểm soát nghiệp vụ, kiểm soát công nghệ và hoạt động kiểm toán nội bộ. Thông qua khung phân tích này, nghiên cứu có thể nhận diện rõ các khoảng trống trong thiết kế và vận hành hệ thống, đặc biệt là mức độ tích hợp kiểm toán công nghệ thông tin vào kiểm toán nội bộ, từ đó làm cơ sở khoa học cho việc đề xuất các giải pháp hoàn thiện phù hợp với đặc thù hoạt động và yêu cầu quản trị của các ngân hàng trong bối cảnh chuyển đổi số.
3. Đánh giá thực trạng hệ thống kiểm soát nội bộ và kiểm toán nội bộ theo định hướng kiểm toán công nghệ thông tin tại các ngân hàng thương mại Việt Nam
Dựa trên khung lý thuyết tích hợp giữa kiểm soát nội bộ, kiểm toán nội bộ định hướng rủi ro và kiểm toán công nghệ thông tin, kết quả nghiên cứu cho thấy, hệ thống kiểm soát nội bộ tại các ngân hàng được thiết kế tương đối đầy đủ về mặt cấu trúc và tuân thủ các yêu cầu pháp lý hiện hành. Các thành phần cốt lõi của kiểm soát nội bộ theo COSO, bao gồm môi trường kiểm soát, đánh giá rủi ro, hoạt động kiểm soát, thông tin – truyền thông và giám sát đã được thể chế hóa thông qua hệ thống quy chế, quy trình và phân công trách nhiệm rõ ràng trong toàn hệ thống. Tuy nhiên, kiểm soát nội bộ vẫn chủ yếu được xây dựng và vận hành theo logic nghiệp vụ truyền thống, trong đó trọng tâm kiểm soát tập trung vào tín dụng, kế toán – tài chính và tuân thủ quy định, trong khi các rủi ro phát sinh từ hệ thống công nghệ thông tin chưa được tích hợp đầy đủ vào quá trình đánh giá rủi ro tổng thể. Việc nhận diện và đánh giá rủi ro công nghệ thông tin còn mang tính phân tán, chủ yếu do các đơn vị công nghệ đảm nhiệm, chưa được gắn kết chặt chẽ với hệ thống kiểm soát nội bộ ở cấp chiến lược và vận hành.
Hoạt động kiểm toán nội bộ đã từng bước tiếp cận phương pháp kiểm toán định hướng rủi ro thông qua việc xây dựng kế hoạch kiểm toán hằng năm dựa trên mức độ rủi ro của các đơn vị và quy trình. Tuy nhiên, phương pháp tiếp cận này vẫn chủ yếu tập trung vào rủi ro nghiệp vụ và rủi ro tuân thủ, trong khi rủi ro công nghệ thông tin chưa được xem là một trụ cột rủi ro độc lập trong quá trình lập kế hoạch và thực hiện kiểm toán. Phạm vi kiểm toán nội bộ đối với các hệ thống công nghệ thông tin (nếu có), thường mang tính hỗ trợ hoặc lồng ghép, chưa hình thành các cuộc kiểm toán công nghệ thông tin chuyên sâu với mục tiêu, tiêu chí và phương pháp riêng biệt. Điều này làm hạn chế vai trò của kiểm toán nội bộ trong việc phát hiện sớm các rủi ro công nghệ có thể ảnh hưởng đến tính an toàn, liên tục và tin cậy của hoạt động ngân hàng.
Đối với kiểm toán công nghệ thông tin, hoạt động này mới ở giai đoạn phát triển ban đầu và chưa được tích hợp đầy đủ vào hệ thống kiểm toán nội bộ. Các nội dung liên quan đến đánh giá kiểm soát ứng dụng, an ninh thông tin, quản trị dữ liệu và tính liên tục của hệ thống thường được thực hiện bởi các đơn vị kỹ thuật hoặc bộ phận quản lý rủi ro công nghệ, thay vì được triển khai như một chức năng kiểm toán độc lập theo thông lệ quốc tế. Việc thiếu đội ngũ kiểm toán viên nội bộ có chuyên môn sâu về công nghệ thông tin cũng như thiếu khung tiêu chí đánh giá dựa trên các chuẩn mực như COBIT đã khiến hoạt động kiểm toán công nghệ thông tin chưa phát huy đầy đủ vai trò bảo đảm và tư vấn cho ban lãnh đạo.
Từ góc độ tích hợp hệ thống, mối liên kết giữa kiểm soát nội bộ, kiểm toán nội bộ và kiểm toán công nghệ thông tin còn tương đối lỏng lẻo. Kiểm soát nội bộ đóng vai trò nền tảng nhưng chưa phản ánh đầy đủ các rủi ro công nghệ; kiểm toán nội bộ thực hiện chức năng giám sát nhưng chưa tích hợp sâu các nội dung kiểm toán công nghệ thông tin; trong khi kiểm toán công nghệ thông tin lại tồn tại như một tập hợp các hoạt động kỹ thuật rời rạc, chưa được đặt trong một khung quản trị và bảo đảm thống nhất. Sự thiếu đồng bộ này làm giảm hiệu quả tổng thể của hệ thống kiểm soát và kiểm toán, đặc biệt trong bối cảnh rủi ro công nghệ ngày càng mang tính hệ thống và có khả năng lan tỏa nhanh trong toàn bộ hoạt động ngân hàng.
Tổng hợp kết quả đánh giá thực trạng cho thấy, các ngân hàng đang đứng trước yêu cầu cấp thiết phải chuyển dịch từ mô hình kiểm soát và kiểm toán truyền thống sang mô hình tích hợp, trong đó kiểm toán công nghệ thông tin được coi là một cấu phần trọng yếu của hệ thống kiểm toán nội bộ định hướng rủi ro. Khoảng cách giữa khung lý thuyết tích hợp và thực tiễn triển khai chính là cơ sở khoa học để nghiên cứu đề xuất các giải pháp hoàn thiện hệ thống kiểm soát nội bộ và kiểm toán nội bộ theo định hướng kiểm toán công nghệ thông tin nhằm nâng cao hiệu quả quản trị rủi ro, tăng cường vai trò bảo đảm và tư vấn của kiểm toán nội bộ, đồng thời đáp ứng yêu cầu phát triển an toàn và bền vững của các ngân hàng trong bối cảnh chuyển đổi số.
Bảng 1. Phân tích thực trạng
| Trụ cột phân tích | Yêu cầu theo khung lý thuyết (COSO – RBIA – COBIT) | Thực trạng | Khoảng cách (Gap) | Hàm ý cải thiện |
| Môi trường kiểm soát (COSO) | Môi trường kiểm soát phải phản ánh cam kết mạnh mẽ của Hội đồng quản trị và Ban điều hành đối với quản trị rủi ro, bao gồm rủi ro công nghệ thông tin và rủi ro số | Hệ thống quy chế, phân cấp thẩm quyền được thiết lập đầy đủ; cam kết quản trị rủi ro chủ yếu tập trung vào rủi ro tín dụng và tuân thủ | Rủi ro công nghệ thông tin chưa được đặt ngang hàng với rủi ro tài chính trong môi trường kiểm soát | Nâng tầm rủi ro công nghệ thông tin thành rủi ro trọng yếu ở cấp chiến lược |
| Đánh giá rủi ro (COSO) | Đánh giá rủi ro toàn diện, tích hợp rủi ro công nghệ thông tin, an ninh mạng, dữ liệu vào ERM | Đánh giá rủi ro công nghệ thông tin còn phân tán, chủ yếu do đơn vị công nghệ thông tin thực hiện | Thiếu tích hợp giữa ERM và rủi ro công nghệ thông tin | Chuẩn hóa khung đánh giá rủi ro công nghệ thông tin trong ERM |
| Hoạt động kiểm soát (COSO) | Kiểm soát nghiệp vụ và kiểm soát công nghệ thông tin phải được thiết kế đồng bộ, ưu tiên kiểm soát tự động | Kiểm soát nghiệp vụ chiếm ưu thế; kiểm soát công nghệ thông tin chưa được hệ thống hóa | Kiểm soát công nghệ thông tin chưa trở thành một cấu phần chính thức | Tăng cường kiểm soát công nghệ thông tin, kiểm soát ứng dụng và dữ liệu |
| Thông tin & truyền thông (COSO) | Thông tin rủi ro công nghệ thông tin phải được truyền thông kịp thời đến cấp quản trị | Báo cáo công nghệ thông tin chủ yếu mang tính kỹ thuật | Thiếu báo cáo rủi ro công nghệ thông tin cho Hội đồng quản trị | Chuẩn hóa báo cáo rủi ro công nghệ thông tin theo ngôn ngữ quản trị |
| Giám sát (COSO) | Giám sát liên tục, kết hợp kiểm toán nội bộ và giám sát tự động | Giám sát chủ yếu thông qua kiểm tra định kỳ | Thiếu giám sát công nghệ thông tin liên tục | Ứng dụng giám sát tự động và kiểm toán liên tục |
| Định hướng kiểm toán (RBIA) | Kế hoạch kiểm toán dựa trên rủi ro tổng thể, bao gồm rủi ro công nghệ thông tin | Kế hoạch kiểm toán tập trung rủi ro nghiệp vụ | Rủi ro công nghệ thông tin chưa là trọng tâm | Đưa công nghệ thông tin thành trụ cột trong lập kế hoạch kiểm toán |
| Phạm vi kiểm toán (RBIA) | Kiểm toán quy trình, hệ thống, dữ liệu và công nghệ | Kiểm toán chủ yếu nghiệp vụ và tuân thủ | Phạm vi kiểm toán công nghệ thông tin hạn chế | Mở rộng phạm vi kiểm toán công nghệ thông tin chuyên sâu |
| Vai trò tư vấn (RBIA) | Kiểm toán nội bộ đóng vai trò tư vấn chiến lược | Vai trò tư vấn còn mờ nhạt trong công nghệ thông tin | Chưa phát huy giá trị tư vấn công nghệ thông tin | Nâng vai trò tư vấn về rủi ro số |
| Quản trị công nghệ thông tin (COBIT) | Gắn mục tiêu công nghệ thông tin với mục tiêu kinh doanh | Mục tiêu công nghệ thông tin thiên về vận hành | Chưa gắn kết chặt với chiến lược | Liên kết chiến lược công nghệ thông tin – kinh doanh |
| Quản lý rủi ro công nghệ thông tin (COBIT) | Quản lý rủi ro công nghệ thông tin theo vòng đời | Quản lý rủi ro công nghệ thông tin phân tán | Thiếu khung quản trị thống nhất | Áp dụng COBIT cho quản lý rủi ro công nghệ thông tin |
| Đảm bảo công nghệ thông tin (COBIT) | Kiểm toán công nghệ thông tin độc lập, dựa trên chuẩn mực | Kiểm toán công nghệ thông tin chưa độc lập | Khoảng trống chức năng IT Audit | Thiết lập IT Audit trong kiểm toán nội bộ |
| Năng lực kiểm toán viên | Kiểm toán viên có năng lực công nghệ thông tin và phân tích dữ liệu | Kiểm toán viên công nghệ thông tin còn hạn chế | Thiếu năng lực chuyên sâu | Đào tạo, chứng chỉ IT Audit (CISA, COBIT) |
Thực tiễn các ngân hàng đã xây dựng được nền tảng kiểm soát nội bộ và kiểm toán nội bộ tương đối đầy đủ theo yêu cầu pháp lý, tuy nhiên mức độ tích hợp giữa kiểm soát nội bộ, kiểm toán nội bộ định hướng rủi ro và kiểm toán công nghệ thông tin còn hạn chế. Khoảng cách lớn nhất tập trung ở ba khía cạnh: (1) Rủi ro công nghệ thông tin chưa được tích hợp đầy đủ vào hệ thống quản trị rủi ro và kiểm soát nội bộ; (2) Kiểm toán nội bộ chưa chuyển dịch mạnh sang kiểm toán định hướng rủi ro số; (3) Kiểm toán công nghệ thông tin chưa được tổ chức như một chức năng bảo đảm độc lập theo thông lệ quốc tế. Những khoảng cách này chính là căn cứ khoa học trực tiếp cho việc đề xuất mô hình và giải pháp hoàn thiện hệ thống kiểm soát nội bộ và kiểm toán nội bộ theo định hướng kiểm toán công nghệ thông tin tại các ngân hàng thương mại Việt Nam.
4. Giải pháp và khuyến nghị
Xuất phát từ các khoảng cách đã được nhận diện thông qua phân tích đối chiếu giữa khung lý thuyết COSO – RBIA – COBIT và thực trạng triển khai, nghiên cứu đề xuất một hệ thống giải pháp mang tính tích hợp, tập trung vào việc tái cấu trúc cách tiếp cận kiểm soát và kiểm toán trong môi trường ngân hàng số, trong đó kiểm toán công nghệ thông tin được xem là một trụ cột trọng yếu của hệ thống kiểm toán nội bộ định hướng rủi ro.
Thứ nhất, đối với khoảng cách liên quan đến môi trường kiểm soát và đánh giá rủi ro theo COSO, các ngân hàng cần nâng tầm rủi ro công nghệ thông tin từ vai trò hỗ trợ kỹ thuật lên thành một nhóm rủi ro chiến lược trong hệ thống quản trị rủi ro doanh nghiệp. Điều này đòi hỏi sự cam kết rõ ràng từ Hội đồng quản trị và Ban điều hành trong việc tích hợp rủi ro công nghệ thông tin, rủi ro an ninh mạng và rủi ro dữ liệu vào quá trình hoạch định chiến lược và ra quyết định quản trị. Hệ thống đánh giá rủi ro cần được chuẩn hóa theo hướng tích hợp, trong đó các rủi ro công nghệ thông tin không chỉ được nhận diện và đánh giá bởi các đơn vị kỹ thuật mà phải được lượng hóa và xếp hạng trong cùng một khung đánh giá rủi ro tổng thể với rủi ro tín dụng, rủi ro thị trường và rủi ro hoạt động. Việc này sẽ tạo nền tảng để thiết kế các hoạt động kiểm soát công nghệ thông tin phù hợp và bảo đảm tính nhất quán của hệ thống kiểm soát nội bộ trong toàn ngân hàng.
Thứ hai, nhằm khắc phục khoảng cách trong hoạt động kiểm toán nội bộ định hướng rủi ro, các ngân hàng cần tiếp tục hoàn thiện phương pháp kiểm toán nội bộ theo hướng RBIA, trong đó rủi ro công nghệ thông tin được xác định là một trụ cột rủi ro độc lập và có trọng số phù hợp trong quá trình lập kế hoạch kiểm toán. Kế hoạch kiểm toán nội bộ hằng năm cần phản ánh rõ mức độ ưu tiên đối với các quy trình, hệ thống và nền tảng công nghệ có ảnh hưởng lớn đến tính an toàn và liên tục của hoạt động ngân hàng. Bên cạnh đó, kiểm toán nội bộ cần mở rộng phạm vi kiểm toán từ các nghiệp vụ truyền thống sang kiểm toán hệ thống, dữ liệu và quy trình số, qua đó nâng cao khả năng phát hiện sớm các rủi ro công nghệ và gian lận trong môi trường số. Việc chuyển dịch này không chỉ nâng cao vai trò bảo đảm của kiểm toán nội bộ mà còn tăng cường giá trị tư vấn cho ban lãnh đạo trong quá trình chuyển đổi số.
Thứ ba, đối với khoảng cách liên quan đến kiểm toán công nghệ thông tin theo khung COBIT, cần từng bước thiết lập và chuẩn hóa chức năng kiểm toán công nghệ thông tin trong khuôn khổ kiểm toán nội bộ. Kiểm toán công nghệ thông tin cần được triển khai như một hoạt động bảo đảm độc lập, có mục tiêu, phạm vi và phương pháp rõ ràng, dựa trên các chuẩn mực và thông lệ quốc tế như COBIT và các chuẩn mực của IIA. Trọng tâm kiểm toán công nghệ thông tin cần tập trung vào các lĩnh vực then chốt như quản trị hệ thống công nghệ thông tin, an ninh thông tin, kiểm soát ứng dụng, quản trị dữ liệu và tính liên tục của hệ thống. Việc áp dụng khung COBIT không chỉ giúp chuẩn hóa tiêu chí đánh giá mà còn tạo ra ngôn ngữ chung giữa bộ phận công nghệ thông tin, quản lý rủi ro và kiểm toán nội bộ, qua đó tăng cường hiệu quả phối hợp và giám sát.
Thứ tư, để giải quyết khoảng cách về mức độ tích hợp giữa kiểm soát nội bộ, kiểm toán nội bộ và kiểm toán công nghệ thông tin, các ngân hàng cần xây dựng một mô hình tích hợp thống nhất, trong đó kiểm soát công nghệ thông tin được coi là một bộ phận cấu thành của hệ thống kiểm soát nội bộ, còn kiểm toán công nghệ thông tin là một cấu phần không tách rời của kiểm toán nội bộ định hướng rủi ro. Mô hình này cần bảo đảm sự liên thông thông tin giữa các tuyến phòng thủ, từ kiểm soát cấp đơn vị, quản lý rủi ro đến kiểm toán nội bộ, đồng thời tận dụng các công cụ công nghệ như phân tích dữ liệu và giám sát tự động để tăng cường hiệu quả giám sát liên tục. Việc triển khai mô hình tích hợp giúp khắc phục tình trạng phân tán chức năng và nâng cao hiệu quả tổng thể của hệ thống kiểm soát và kiểm toán.
Thứ năm, nhằm khắc phục khoảng cách về nguồn lực và năng lực, các ngân hàng cần chú trọng phát triển đội ngũ kiểm toán viên nội bộ có chuyên môn sâu về công nghệ thông tin và phân tích dữ liệu. Điều này có thể được thực hiện thông qua đào tạo chuyên sâu, khuyến khích kiểm toán viên đạt được các chứng chỉ quốc tế về kiểm toán và quản trị công nghệ thông tin, đồng thời tăng cường phối hợp giữa kiểm toán nội bộ và các đơn vị công nghệ thông tin trong giai đoạn đầu triển khai. Việc đầu tư vào năng lực con người không chỉ là điều kiện tiên quyết để triển khai thành công kiểm toán công nghệ thông tin mà còn góp phần nâng cao vai trò chiến lược của kiểm toán nội bộ trong quản trị ngân hàng hiện đại.
Tổng hợp các giải pháp trên cho thấy, việc hoàn thiện hệ thống kiểm soát nội bộ và kiểm toán nội bộ theo định hướng kiểm toán công nghệ thông tin tại Agribank cần được thực hiện theo lộ trình tổng thể, đồng bộ và có sự cam kết mạnh mẽ từ cấp quản trị cao nhất. Các giải pháp không chỉ nhằm khắc phục những hạn chế hiện tại mà còn hướng tới xây dựng một hệ thống kiểm soát – kiểm toán hiện đại, thích ứng với rủi ro số và đáp ứng yêu cầu phát triển bền vững của ngân hàng trong bối cảnh chuyển đổi số sâu rộng.
5. Kết luận
Qua nghiên cứu tiếp cận vấn đề hoàn thiện hệ thống kiểm soát nội bộ và kiểm toán nội bộ trong bối cảnh chuyển đổi số ngân hàng từ góc độ tích hợp, kết nối ba trụ cột lý thuyết gồm kiểm soát nội bộ theo COSO, kiểm toán nội bộ định hướng rủi ro (RBIA) và kiểm toán công nghệ thông tin dựa trên khung COBIT. Nghiên cứu đã xây dựng khung phân tích tích hợp và vận dụng để đánh giá thực trạng triển khai tại các ngân hàng thương mại Việt Nam. Kết quả nghiên cứu cho thấy, các ngân hàng đã hình thành nền tảng tương đối đầy đủ về mặt thể chế đối với kiểm soát nội bộ và kiểm toán nội bộ, tuy nhiên mức độ tích hợp rủi ro công nghệ thông tin vào hệ thống kiểm soát và kiểm toán vẫn còn hạn chế, đặc biệt trong bối cảnh rủi ro số ngày càng mang tính hệ thống và lan tỏa. Bằng việc làm rõ mối quan hệ tích hợp giữa kiểm soát nội bộ, kiểm toán nội bộ và kiểm toán công nghệ thông tin trong bối cảnh ngân hàng số, qua đó bổ sung khoảng trống nghiên cứu về kiểm toán nội bộ tại các nền kinh tế mới nổi. Việc xây dựng khung phân tích tích hợp COSO – RBIA – COBIT không chỉ có giá trị lý thuyết mà còn tạo cơ sở phương pháp luận để các nghiên cứu tiếp theo có thể vận dụng, mở rộng hoặc kiểm định trong các bối cảnh tổ chức và quốc gia khác nhau.
Tài liệu tham khảo:
1. Abdolmohammadi, M. J., Burnaby, P., & Hass, S (2012). A review of prior common body of knowledge (CBOK) studies in internal auditing. Managerial Auditing Journal, 27(9), 859–878. https://doi.org/10.1108/02686901211266798.
2. Al-Twaijry, A. A. M., Brierley, J. A., & Gwilliam, D. R. (2003). The development of internal audit in Saudi Arabia. International Journal of Auditing, 7(2), 167–188.
https://doi.org/10.1111/1099-1123.00067.
3. Alles, M. G., Kogan, A., & Vasarhelyi, M. A. (2008). Putting continuous auditing theory into practice. International Journal of Accounting Information Systems, 9(2), 91–113. https://doi.org/10.1016/j.accinf.2007.10.001
4. COSO (2013). Internal Control – Integrated Framework. https://www.coso.org
5. COSO (2017). Enterprise Risk Management – Integrating with Strategy and Performance. https://www.coso.org
6. Hunton, J. E., Bryant, S. M., & Bagranoff, N. A. (2004). Core concepts of information technology auditing. Wiley. https://www.wiley.com
7. ISACA (2019). COBIT 2019 Framework: Governance and Management Objectives. https://www.isaca.org/resources/cobit.
