Cấp quyền không gắn với chức danh tác nghiệp, cho mượn tài khoản truy cập
Kết quả kiểm toán Hệ thống công nghệ thông tin của Ngân hàng Ngoại thương Việt Nam (VCB) cho thấy hệ thống kiểm soát của ngân hàng này chưa thực sự hiệu quả về quản lý và phân quyền truy cập, quản trị rủi ro hệ thống. Việc xây dựng thiết kế một số phần mềm chưa đáp ứng đầy đỷ chức năng kiểm soát…
KTNN chỉ rõ: Hệ thống phần mềm của VCB bao gồm hệ thống lõi mua của nước ngoài từ năm 1998 và một số phần mềm VCB tự phát triển, do hầu hết hệ thống lõi mua của nhà thầu nước ngoài nên việc quản lý hồ sơ thiết kế phần mềm, đánh giá và nâng cấp phụ thuộc vào nước ngoài, không thực hiện được.
Hệ quả, hệ thống quản trị CNTT của ngân hàng này chưa tiệm cận các thông lệ quản trị CNTT quốc tế hiện hành áp dụng cho các tổ chức ngân hàng, chưa cụ thể hoá quy trình đánh giá rủi ro chi tiết để đảm bảo đánhh giá tính hiệu quả của hệ thống CNTT; phần mềm mua từ các nhà cung cấp nước ngoài chưa thực hiện đánh giá rủi ro hiện tại, chưa được bảo trì và nâng cấp phần mềm từ đơn vị tư vấn và nhà cung cấp kể từ khi sử dụng; một số phần mềm chưa thực hiện rà soát và cập nhật, chỉnh sửa kết nối kịp thời.
Về việc quản lý phân quyền và truy cập phần mềm ứng dụng, kiểm toán nhà nước phát hiện còn có trường hợp VCB phân quyền không đúng chức danh tác nghiệp. Có 06 tài khoản truy cập trên phầm mềm HOST không được quản lý phân quyền gắn với phòng nghiệp vụ, 09 tài khoản truy cập trên phầm mềm CR cấp cho 01 cán bộ có 2 chức danh tác nghiệp ( vừa là thanh toán viên vừa là kiểm soát viên); nhiều trường hợp cấp quyền cho một cán bộ có nhiều tài khoản cùng tác nghiệp trên phầm mềm CR (cụ thể, có 7.036 người dùng, tuy nhiên có tới 9.439 user được cấp).
Việc kiểm soát hoạt động cấp quyền truy cập đối với các hoạt động thử nghiệm phần mềm còn một số trường hợp chưa đúng quy định, chưa đảm bảo quy định an toàn.
Các lỗi về quản lý, quản trị phân quyền truy cập nói trên dẫn đến một số tác nghiệp không thực hiện được, việc cấp quyền không gắn với chức danh tác nghiệp, cho mượn tài khoản truy cập, không đóng quyền khi có thông báo nghỉ đã hạn chế trong kiểm soát bảo mật, có thể xảy ra trường hợp tài khoản này thực hiện các giao dịch nghiệp vụ không được phép, ảnh hưởng đến an toàn và tính toàn vẹn thông tin.
Bên cạnh đó, KTNN cũng chỉ ra rằng hệ thống CNTT của VCB có một số tồn tại khác ảnh hưởng tới tính đầy đủ, kết nối giữa thông tin nghiệp vụ và thông tin trên hệ thống kế toán theo chuẩn mực kế toán (dữ liệu hạch toán lãi và phí thẻ tín dụng), còn có nghiệp vụ chưa được hỗ trợ đầy đủ nghiệp vụ hạch toán kế toán (lãi lỗ kinh doanh ngoại tệ theo tháng, quý); có một số phân hệ thông tin chưa thiết kế đầy đủ chốt kiểm soát theo quy định.
KTNN đánh giá, với hiện trạng công nghệ từ năm 1988 và khung quản trị rủi ro hiện tại của VCB, để khắc phục các hạn chế trên là rất khó khăn do việc đánh giá rủi ro, thiết kế thay đổi, nâng cấp ứng dụng trên hệ thống phần mềm lõi cũ khó thích ứng, hạnh chế về dung lượng.
 Hàng loạt sự cố mất tiền trong thẻ VCB khiến khách hàng đặt ra hàng loạt nghi vấn về tính an toàn, bảo mật của hệ thống CNTT của ngân hàng này, ảnh MH |
KTNN yêu cầu VCB chi trả 9.766.135.153 đồng lãi tiền gửi phát sinh
Từ kết quả kiếm toán, KTNN kiến nghị VCB thực hiện hạch toán và chi trả lãi tiền gửi không kỳ hạn cho khách hàng phát sinh năm 2015 số tiền 9.766.135.153 đồng; tính và hạch toán đầy đủ số lãi phát sinh năm 2016 theo quy định.
Đồng thời, KTNN kiến nghị VCB rà soát, đối chiếu hồ sơ chứng từ gốc xác định đúng các thông tin số liệu tại các phần mềm nghiệp vụ báo cáo kiểm toán đã nêu, cụ thể gồm: thông tin xếp hạng tín dụng 88 khách hàng; thông tin hồ sơ định giá lại tài sản đảm bảo và thông tin đăng ký giao dịch đảm bảo chưa cập nhật kịp thời trên hệ thống; số liệu lãi và phải thu thẻ tín dụng.
Về các khuyến nghị quản lý, kiểm soát hệ thống công nghệ thông tin, KTNN khuyến nghị VCB cần nghiên cứu ban hành khung quản trị rủi ro công nghệ thông tin và quy trình đánh giá rủi ro công nghệ thông tin tiệm cận thông lệ quốc tế hiện hành;
Rà soát, đánh giá rủi ro hệ thống công nghệ thông tin hiện tại, xây dựng hệ thống lưu trữ, quản lý hồ sơ phần mềm theo quy định của Thông tư 13 đối với các trường hợp sai sót về quản trị, phân quyền truy cập; Rà soát các văn bản quy định quản lý quyền truy cập gắn với thời gian, đặc điểm làm việc để có chính sách sửa đổi phù hợp, đảm bảo kiểm soát quyền truy cập đúng quy định đúng quy định an toàn, bảo mật thông tin hiện hành.
Đối với kiểm soát các ứng dụng phần mềm nghiệp vụ, VCB cần kiểm tra đánh giá hệ thống kiểm soát tự động và bán tự động trên hệ thống các phần mềm ứng dụng nghiệp vụ đảm bảo thiết kế đầy đủ, hiệu quả kiểm soát theo đúng các chính sách quản lý và quy trình quản lý nghiệp vụ;
Rà soát bổ sung các chốt kiểm soát tự động đối với các phần mềm chưa đủ chức năng kiểm soát, đảm bảo thông tin nghiệp vụ được xử lý đúng quy định;
Thực hiện đẩy nhanh lộ trình chuyển đổi hệ thống phần mềm corebanking, đảm bảo thực hiện khắc phục các hạn chế của hệ thống các phần mềm ứng dụng nghiệp vụ trong việc kết nối, khai thác, xử lý, kiểm soát thông tin liên quan đến hệ thống corebanking được thuận lợi.
VCB phải báo cáo kết quả thực hiện các kiến nghị nói trên tới KTNN trước ngày 31/3/2017.
Trong năm 2016 khách hàng sử dụng thẻ của VietcomBank liên tục "tố" mất tiền trong thẻ. Điển hình là sự việc chủ thẻ bị hacker lấy mất 500 triệu đồng khiến nhiều khách hàng trung thành của VCB nghi ngại về tính bảo mật, an toàn của các loại thẻ do ngân hàng này phát hành.
