Mới đây Kiểm toán Nhà nước đã đưa ra báo cáo kiểm toán hệ thống công nghệ thông tin liên quan đến lập báo cáo tài chính năm 2015 của Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank).
Theo đó, một trong những thông tin gây sốc dư luận đó là ngân hàng Vietcombank không trả đủ lãi tiền gửi cho khách hàng trong suốt 16 năm qua.
Báo cáo chỉ rõ ngân hàng Vietcombank cài đặt tính toán số lãi tiền gửi không kỳ hạn chưa phù hợp quy định tại Điều 6 Quyết định số 652/2001 ngày 17/5/2011 về việc ban hành Quy định phương pháp tính và hạch toán thu, trả lãi của Ngân hàng với các tổ chức tín dụng.
|
Ảnh: Zing.vn. |
Cụ thể, Vietcombank thực hiện Công văn 309 của Ngân hàng Nhà nước ngày 19/1/2001 về hướng dẫn chương trình ngân hàng bán lẻ, trong đó “các tài khoản tiền gửi không kỳ hạn sẽ được tự động trả lãi định kỳ ngày 25 hàng tháng không phân biệt ngày nghỉ, lễ. Mức lãi tối thiểu được trả cho khách hàng là 1.000 đồng và 0,1 đơn vị ngoại tệ đối với ngoại tệ khác”.
Như vậy, từ năm 2001 đến nay (16 năm), các khoản lãi phát sinh hàng tháng của các tài khoản tiền gửi không kỳ hạn nhỏ hơn 1.000 đồng hoặc 0,1 đơn vị ngoại tệ đối với các ngoại tệ khác đã không được hệ thống phần mềm tính và hạch toán đầy đủ.
Báo cáo của Kiểm toán Nhà nước nêu rõ: “Qua kết quả phân tích dữ liệu trên hệ thống phần mềm, cho thấy báo cáo tài chính năm 2015 của Vietcombank chưa phản ánh đầy đủ số lãi phải chi trả cho khách hàng 9.766.135.153 đồng”.
Còn với số liệu từ nhiều năm trước đó, Kiểm toán Nhà nước cho biết không thể xác định số lãi phải trả do hệ thống không lưu trữ được trọn vẹn thông tin chi tiết. Mặt khác, nhiều tài khoản đã tất toán các năm trước, việc xác định đúng tên đối tượng khách hàng theo từng tài khoản để chi trả thực tế rất khó khăn.
Kiểm toán Nhà nước kiến nghị Vietcombank thực hiện hạch toán và chi trả lãi tiền gửi không kỳ hạn cho khách hàng phát sinh năm 2015, với số tiền gần 10 tỷ đồng, tính và hạch toán đầy đủ số lãi phát sinh năm 2016 theo đúng quy định.
Kết quả kiểm toán hệ thống công nghệ thông tin tại Vietcombank của Kiểm toán Nhà nước cũng cho thấy, hệ thống kiểm soát của ngân hàng này chưa thực sự hiệu quả về quản lý và phân quyền truy cập, quản trị rủi ro hệ thống. Việc xây dựng thiết kế một số phần mềm chưa đáp ứng đầy đỷ chức năng kiểm soát…
Cụ thể, hệ thống phần mềm của VCB bao gồm hệ thống lõi mua của nước ngoài từ năm 1998 và một số phần mềm VCB tự phát triển, do hầu hết hệ thống lõi mua của nhà thầu nước ngoài nên việc quản lý hồ sơ thiết kế phần mềm, đánh giá và nâng cấp phụ thuộc vào nước ngoài, không thực hiện được.
Hệ quả, hệ thống quản trị CNTT của ngân hàng này chưa tiệm cận các thông lệ quản trị CNTT quốc tế hiện hành áp dụng cho các tổ chức ngân hàng, chưa cụ thể hoá quy trình đánh giá rủi ro chi tiết để đảm bảo đánhh giá tính hiệu quả của hệ thống CNTT; phần mềm mua từ các nhà cung cấp nước ngoài chưa thực hiện đánh giá rủi ro hiện tại, chưa được bảo trì và nâng cấp phần mềm từ đơn vị tư vấn và nhà cung cấp kể từ khi sử dụng; một số phần mềm chưa thực hiện rà soát và cập nhật, chỉnh sửa kết nối kịp thời.
Về việc quản lý phân quyền và truy cập phần mềm ứng dụng, kiểm toán nhà nước phát hiện còn có trường hợp VCB phân quyền không đúng chức danh tác nghiệp. Có 06 tài khoản truy cập trên phầm mềm HOST không được quản lý phân quyền gắn với phòng nghiệp vụ, 09 tài khoản truy cập trên phầm mềm CR cấp cho 01 cán bộ có 2 chức danh tác nghiệp ( vừa là thanh toán viên vừa là kiểm soát viên); nhiều trường hợp cấp quyền cho một cán bộ có nhiều tài khoản cùng tác nghiệp trên phầm mềm CR (cụ thể, có 7.036 người dùng, tuy nhiên có tới 9.439 user được cấp).
Việc kiểm soát hoạt động cấp quyền truy cập đối với các hoạt động thử nghiệm phần mềm còn một số trường hợp chưa đúng quy định, chưa đảm bảo quy định an toàn.
Các lỗi về quản lý, quản trị phân quyền truy cập nói trên dẫn đến một số tác nghiệp không thực hiện được, việc cấp quyền không gắn với chức danh tác nghiệp, cho mượn tài khoản truy cập, không đóng quyền khi có thông báo nghỉ đã hạn chế trong kiểm soát bảo mật, có thể xảy ra trường hợp tài khoản này thực hiện các giao dịch nghiệp vụ không được phép, ảnh hưởng đến an toàn và tính toàn vẹn thông tin.
KTNN đánh giá, với hiện trạng công nghệ từ năm 1988 và khung quản trị rủi ro hiện tại của VCB, để khắc phục các hạn chế trên là rất khó khăn do việc đánh giá rủi ro, thiết kế thay đổi, nâng cấp ứng dụng trên hệ thống phần mềm lõi cũ khó thích ứng, hạn chế về dung lượng.