IIA - Yêu cầu theo Chủ đề: Bên Thứ Ba - Mọi điều cần biết

Các doanh nghiệp hiện đại không thể tồn tại nếu không có các mối quan hệ với bên thứ ba, tuy nhiên điều này tạo ra những rủi ro đáng kể. Nếu nhà cung cấp không đáp ứng được nghĩa vụ, gặp phải sự cố vi phạm an ninh mạng hoặc có hành vi phi đạo đức, thì tổ chức của bạn cuối cùng phải gánh chịu hậu quả. Thêm vào đó là sự phức tạp ngày càng tăng của chuỗi cung ứng toàn cầu và các mô hình thuê ngoài, các chiến lược quản lý rủi ro bên thứ ba hiệu quả là rất quan trọng để có được tầm nhìn về mức độ rủi ro của một tổ chức, giảm thiểu các mối đe dọa tiềm ẩn và đảm bảo khả năng phục hồi kinh doanh mạnh mẽ, lâu dài.

Các sự cố liên quan đến bên thứ ba không chỉ là lý thuyết suông. Những ví dụ gần đây cho thấy bản chất phức tạp của những rủi ro này:

• Các vụ xâm phạm an ninh mạng: Sự cố SolarWinds năm 2020 cho thấy các lỗ hổng ở bên thứ ba có thể gây nguy hại cho chuỗi cung ứng toàn cầu, gây ra các gián đoạn hoạt động trên diện rộng và tổn hại uy tín.
• Vi phạm quy định: Các tổ chức tài chính đối mặt với các hình phạt do các nhà cung cấp bên thứ ba không tuân thủ các quy định về bảo mật dữ liệu, chẳng hạn như GDPR.
• Các Sự Cố Vận Hành: Việc nhà cung cấp mất khả năng thanh toán, như sự sụp đổ đột ngột của các nhà cung cấp dịch vụ CNTT lớn, có thể đột ngột làm gián đoạn hoạt động kinh doanh, từ đó làm bật lên tầm quan trọng của việc giám sát toàn diện nhà cung cấp và lập kế hoạch dự phòng.

Nhận thấy những rủi ro này, Viện Kiểm toán nội bộ (The IIA) đã giới thiệu Yêu cầu theo chủ đề Bên thứ ba như một phần của tiêu chuẩn kiểm toán nội bộ toàn cầu. Yêu cầu này quy định rằng các kiểm toán viên nội bộ phải áp dụng một phương pháp tiêu chuẩn hóa để kiểm toán các quy trình quản lý rủi ro bên thứ ba (TPRM), đảm bảo các đánh giá nhất quán, chất lượng cao, tăng cường khả năng phục hồi của tổ chức.

Hướng dẫn này phân tích chi tiết Yêu cầu theo chủ đề Bên thứ ba (Third-Party Topical Requirement - TPRM), phác thảo các kỳ vọng chính về quản trị, rủi ro và kiểm soát. Nó cũng cung cấp lộ trình cho các kiểm toán viên nội bộ điều hướng các cuộc kiểm toán TPRM một cách hiệu quả đồng thời thúc đẩy xây dựng sự hợp tác trong việc giám sát rủi ro bên thứ ba.

Tổng quan về Yêu cầu theo chủ đề Bên thứ ba của IIA

Yêu cầu theo chủ đề Bên thứ ba của IIA thiết lập một khuôn khổ bắt buộc để đánh giá rủi ro từ bên thứ ba. Kiểm toán viên nội bộ phải đánh giá một cách nhất quán cấu trúc quản trị, chiến lược quản lý rủi ro và các quy trình kiểm soát.

Yêu cầu này tăng cường tính minh bạch bằng cách thiết lập các kỳ vọng rõ ràng của tổ chức và đảm bảo các biện pháp giảm thiểu rủi ro phù hợp với các mục tiêu kinh doanh. Yêu cầu này áp dụng cho các cuộc đánh giá kiểm toán nội bộ, nơi rủi ro của bên thứ ba là một phần của kế hoạch kiểm toán, phát sinh trong quá trình đánh giá hoặc được các bên liên quan yêu cầu. Mặc dù tuân thủ là bắt buộc đối với các dịch vụ đảm bảo, nhưng cũng nên áp dụng cho các dịch vụ tư vấn để củng cố các thông lệ tốt nhất trong quản lý rủi ro bên thứ ba.

Sự phù hợp với Quy định và Khuôn khổ Ngành

Yêu cầu theo chủ đề Bên thứ Ba của IIA phù hợp một cách nhất quán với các tiêu chuẩn quy định và khuôn khổ ngành được công nhận rộng rãi, bao gồm ISO 27001, GDPR, SOC 2 và HIPAA. Bằng cách tích hợp Yêu cầu theo chủ đề Bên thứ Ba vào các nỗ lực tuân thủ hiện có, các tổ chức có thể tránh các quy trình dư thừa, hợp lý hóa kiểm toán và nâng cao hiệu quả tuân thủ tổng thể. Tận dụng các khuôn khổ bổ sung này hỗ trợ một phương pháp tiếp cận toàn diện trong việc quản lý rủi ro của bên thứ ba và tăng cường khả năng phục hồi của tổ chức.

Chi tiết về Yêu cầu Chủ đề Bên thứ ba

Yêu cầu theo Chủ đề Bên thứ ba được cấu trúc xoay quanh ba lĩnh vực chính: quản trị, quản lý rủi ro và quy trình kiểm soát.

• Quản trị giám sát các cam kết với bên thứ ba, đảm bảo các chính sách, vai trò và trách nhiệm được xác định rõ ràng.
• Quản lý rủi ro bao gồm việc đánh giá hoạt động nhận diện, đánh giá và giảm thiểu rủi ro của bên thứ ba, đòi hỏi các tổ chức phải triển khai các khuôn khổ có hệ thống để giám sát liên tục.
• Các quy trình kiểm soát đảm bảo rằng các nghĩa vụ theo hợp đồng được đáp ứng, hiệu suất được đánh giá liên tục và các hành động khắc phục cần thiết được thực hiện khi các bên thứ ba không đáp ứng được kỳ vọng.

Ba lĩnh vực thiết lập một cách tiếp cận toàn diện để quản lý rủi ro từ bên thứ ba một cách hiệu quả.

Yêu cầu quản trị cho quản lý rủi ro Bên thứ ba

Một khuôn khổ quản trị tốt là yếu tố cần thiết để quản lý rủi ro từ bên thứ ba một cách hiệu quả. Kiểm toán viên nội bộ phải đánh giá xem một tổ chức có thiết lập các chính sách và thủ tục chính thức để làm việc với các bên thứ ba hay không, đảm bảo các chính sách này phù hợp với các yêu cầu pháp lý và mục tiêu kinh doanh. Cơ cấu quản trị nên xác định rõ vai trò và trách nhiệm trong việc lựa chọn, giám sát và quản lý các mối quan hệ với bên thứ ba.

Ngoài ra, kiểm toán viên nên đánh giá xem liệu có sự giám sát thích hợp từ cấp điều hành và hội đồng quản trị hay không, đặc biệt đối với các cam kết với bên thứ ba có rủi ro cao. Các cơ chế truyền thông phải được thiết lập để đảm bảo rằng các bên liên quan nhận được thông tin cập nhật kịp thời về hiệu quả hoạt động, rủi ro và các vấn đề tuân thủ của bên thứ ba. Quản trị mạnh mẽ sẽ giảm thiểu rủi ro và đảm bảo trách nhiệm giải trình và sự phù hợp chiến lược trong các mối quan hệ với bên thứ ba.

Quản lý rủi ro trong mối quan hệ với Bên thứ ba

Quản lý rủi ro là rất quan trọng trong việc giám sát bên thứ ba, yêu cầu các tổ chức phải xác định và phân loại rủi ro liên quan đến nhà cung cấp, nhà thầu và nhà cung cấp dịch vụ.

Kiểm toán viên nội bộ phải đánh giá xem các tổ chức có sử dụng các quy trình quản lý rủi ro được chuẩn hoá đã bao gồm các rủi ro về tài chính, hoạt động, an ninh mạng và pháp lý hay không. Một cách tiếp cận có hệ thống đối với việc phân loại rủi ro của bên thứ ba giúp các tổ chức ưu tiên cho các chiến lược ứng phó và phân bổ nguồn lực một cách phù hợp.

Các tổ chức cũng phải tiến hành đánh giá rủi ro ban đầu và định kỳ để đảm bảo liên tục phù hợp với các mối đe dọa và thay đổi pháp lý đang diễn ra. Các quy trình tạo điều kiện báo cáo kịp thời các sự cố một cách hiệu quả phải được thiết lập để giải quyết các sự cố của bên thứ ba, đảm bảo hành động khắc phục kịp thời khi cần thiết. Các tổ chức có thể chủ động giải quyết các lỗ hổng và bảo vệ hoạt động bằng cách liên tục giám sát các rủi ro của bên thứ ba.

Quy trình kiểm soát để giám sát Bên thứ ba

Các quy trình kiểm soát hiệu quả là nền tảng để quản lý rủi ro từ bên thứ ba. Kiểm toán viên nội bộ nên đánh giá xem các tổ chức có các hợp đồng được lập thành văn bản và có hiệu lực thi hành, trong đó nêu rõ các kỳ vọng về hiệu quả hoạt động, các yêu cầu về bảo mật và các nghĩa vụ tuân thủ hay không.

Trước khi bắt đầu mối quan hệ, quy trình thẩm định phải toàn diện, bao gồm kiểm tra lý lịch tài chính, đánh giá an ninh mạng và rà soát tuân thủ quy định. Khi bên thứ ba đã có hợp đồng, việc giám sát liên tục đảm bảo rằng các mối quan hệ với bên thứ ba tuân thủ các thỏa thuận hợp đồng và chính sách của tổ chức.

Về mặt nội bộ, các tổ chức nên có quy trình theo dõi quyền truy cập của nhà cung cấp vào các hệ thống và dữ liệu quan trọng, giảm thiểu các vi phạm tiềm ẩn và thực hiện các biện pháp khắc phục khi có các lo ngại về bảo mật. Ngoài ra, các kiểm toán viên nội bộ nên đánh giá xem có các quy trình cho việc gia hạn hợp đồng, ngừng hợp tác (offboarding) và chuyển đổi sang các nhà cung cấp dịch vụ mới khi cần thiết hay không. Các quy trình kiểm soát được xác định rõ ràng đảm bảo các tổ chức duy trì khả năng phục hồi và giảm thiểu rủi ro từ bên thứ ba.

Yêu cầu này ảnh hưởng đến công việc của bạn như thế nào

Đối với các chuyên gia quản lý rủi ro bên thứ ba, Yêu cầu theo chủ đề Bên thứ ba cung cấp một khuôn khổ rõ ràng cho kiểm toán nội bộ, cho phép họ chuẩn bị chủ động và điều chỉnh các chiến lược giảm thiểu rủi ro phù hợp với kỳ vọng kiểm toán. Bằng cách thực hiện các chính sách và quy trình có hệ thống, các nhóm có thể đảm bảo việc giám sát bên thứ ba được tích hợp tốt vào quản lý rủi ro doanh nghiệp. Ngoài ra, yêu cầu này củng cố cơ sở để đảm bảo các nguồn lực và đầu tư vào các giải pháp quản lý rủi ro nhà cung cấp.

Đối với kiểm toán viên nội bộ, yêu cầu này mở rộng trách nhiệm bằng cách đòi hỏi sự hiểu biết sâu sắc hơn về các hoạt động quản lý rủi ro bên thứ ba. Kiểm toán viên phải làm việc chặt chẽ với bộ phận mua hàng, pháp lý và tuân thủ để đánh giá cấu trúc quản trị và cơ chế kiểm soát của bên thứ ba. Yêu cầu này cũng thúc đẩy sự hợp tác chặt chẽ hơn giữa kiểm toán viên và người quản lý rủi ro, thúc đẩy một cách tiếp cận gắn kết hơn để xác định và giải quyết các lỗ hổng của bên thứ ba.

Chuẩn bị cho kiểm toán quản lý rủi ro Bên thứ ba

Chuẩn bị kiểm toán là chìa khóa để hướng tới thành công trong một cuộc kiểm toán quản lý rủi ro bên thứ ba. Các tổ chức nên xem xét kỹ Yêu cầu theo chủ đề Bên thứ ba của IIA để hiểu rõ những ảnh hưởng của nó đối với các hoạt động quản lý rủi ro hiện có. Thu thập các tài liệu liên quan như hợp đồng với bên thứ ba, đánh giá rủi ro và báo cáo tuân thủ để đảm bảo các kiểm toán viên có thể truy cập các thông tin cần thiết. Thiết lập các kênh liên lạc rõ ràng giữa các nhóm kiểm toán và quản lý rủi ro cũng có thể giúp hợp lý hóa quy trình kiểm toán và ngăn ngừa hiểu lầm không đáng có.

Nếu bạn đang lên kế hoạch cho một cuộc kiểm toán TPRM trong tương lai, có những bước mà tổ chức của bạn có thể thực hiện để tích hợp các thông lệ tốt nhất vào quy trình quản lý rủi ro, cụ thể là:

• Tiêu chuẩn hóa việc đánh giá rủi ro: Phát triển các danh sách kiểm tra để đánh giá rủi ro của bên thứ ba một cách đồng nhất, bao gồm các yếu tố như quản trị, sự ổn định tài chính, an ninh mạng, tuân thủ quy định và khả năng phục hồi hoạt động.
• Tích hợp vào quản lý rủi ro doanh nghiệp: Đảm bảo rủi ro từ bên thứ ba được phản ánh trong các khung quản lý rủi ro chung của doanh nghiệp, tạo điều kiện thuận lợi cho việc theo dõi toàn diện và phối hợp trong các hoạt động giảm thiểu rủi ro.
• Thành lập các Ủy ban liên chức năng: Thành lập các ủy ban với sự góp mặt của kiểm toán, tuân thủ, mua sắm, pháp lý, an ninh mạng và các đội ngũ vận hành để tăng cường sự trao đổi thông tin, trách nhiệm giải trình và khả năng ứng phó.

Duy trì tính minh bạch trong quá trình kiểm toán là điều cần thiết. Các nhóm quản lý rủi ro và tuân thủ nên chủ động chia sẻ các rủi ro đã biết và các hoạt động giảm thiểu rủi ro đang diễn ra với kiểm toán viên thay vì chờ kiểm toán viên tự xác định chúng. Tập trung vào các giải pháp thiết thực hơn là chỉ nêu bật những thiếu sót sẽ giúp trải nghiệm kiểm toán mang tính xây dựng hơn. Tận dụng công nghệ để tạo điều kiện thuận lợi cho việc lập tài liệu, kiểm tra kiểm soát và báo cáo có thể nâng cao hiệu quả và độ chính xác.

Sau cuộc kiểm toán, các tổ chức nên thống nhất về các chiến lược khắc phục và thời gian thực hiện. Kiểm toán nội bộ và các nhóm quản lý rủi ro bên thứ ba nên làm việc cùng nhau để báo cáo các phát hiện và khuyến nghị cho lãnh đạo cấp cao, đảm bảo rằng các hành động khắc phục được ưu tiên một cách có hiệu quả. Thiết lập quan hệ đối tác liên tục giữa các nhóm kiểm toán và tuân thủ có thể dẫn đến những cải tiến lâu dài trong thực tiễn quản lý rủi ro bên thứ ba và khả năng phục hồi tổng thể của tổ chức.

Tận dụng công nghệ để đáp ứng Yêu cầu theo chủ đề Bên thứ ba

Các quy trình quản lý rủi ro bên thứ ba truyền thống thường rời rạc và kém hiệu quả, dẫn đến những lỗ hổng trong tuân thủ và làm gia tăng rủi ro. Các giải pháp công nghệ tích hợp như AuditBoard giúp đơn giản hóa việc kiểm toán TPRM bằng cách tập trung dữ liệu rủi ro, tự động hóa việc theo dõi tuân thủ và cải thiện sự hợp tác giữa các nhóm kiểm toán, rủi ro, mua sắm và tuân thủ.

Các tổ chức tận dụng công nghệ có thể:

• Tập trung và hợp lý hóa quản lý dữ liệu: Các nền tảng công nghệ tập trung hóa thông tin của bên thứ ba, tạo ra một nguồn thông tin duy nhất đáng tin cậy, điều này cho phép dễ dàng truy cập và phân tích hiệu quả hoạt động của nhà cung cấp, hợp đồng, hồ sơ tuân thủ và đánh giá rủi ro.
• Tăng cường giám sát và ứng phó theo thời gian thực: Các công cụ giám sát theo thời gian thực cung cấp khả năng theo dõi liên tục đối với rủi ro và sự tuân thủ của bên thứ ba, cho phép các tổ chức phát hiện và giải quyết kịp thời các rủi ro mới phát sinh hoặc các vi phạm về tuân thủ một cách chủ động.
• Tự động hóa tuân thủ và báo cáo: Tự động hóa giúp giảm thiểu các các công việc theo dõi tuân thủ và báo cáo thủ công, cho phép kiểm toán viên và các nhà quản lý rủi ro tập trung vào giám sát chiến lược thay vì bị gánh nặng bởi các công việc hành chính.
• Tạo điều kiện cộng tác hiệu quả: Các nền tảng tích hợp thúc đẩy sự cộng tác hiệu quả giữa các nhóm kiểm toán, quản lý rủi ro, tuân thủ, mua sắm và an ninh mạng, đảm bảo sự thống nhất về các ưu tiên và hành động trong quản lý rủi ro bên thứ ba.
• Cải thiện sự sẵn sàng kiểm toán: Tài liệu thông suốt, báo cáo toàn diện và việc dễ dàng truy xuất thông tin kiểm toán quan trọng giúp cải thiện khả năng sẵn sàng kiểm toán và đơn giản hóa việc tuân thủ Yêu cầu theo chủ đề của bên thứ ba của IIA.

Việc áp dụng các giải pháp công nghệ tiên tiến giúp tăng cường đáng kể khả năng phục hồi của tổ chức bằng cách cho phép việc quản lý rủi ro từ bên thứ ba hiệu quả hơn.

Hơn nữa, Trí tuệ nhân tạo tạo sinh (GenAI) ngày càng chuyển đổi việc Quản lý rủi ro Bên thứ ba  (TPRM). Các giải pháp do GenAI cung cấp giúp tăng cường khả năng nhận diện rủi ro thông qua phân tích dự đoán, phân tích hiệu quả các bộ dữ liệu lớn để làm nổi bật các lỗ hổng tiềm ẩn và rủi ro mới hình thành. Các thuật toán học máy (Machine learning) giúp tinh chỉnh các đánh giá rủi ro và độ chính xác trong dự báo, cho phép các tổ chức giải quyết các mối đe dọa tiềm ẩn và tối ưu hóa việc phân bổ nguồn lực một cách chủ động. Tự động hóa dựa trên AI cũng giúp đơn giản hóa việc thẩm định nhà cung cấp, xác minh tuân thủ và đánh giá hiệu suất, giảm gánh nặng vận hành và cho phép các nhóm quản lý rủi ro tập trung vào các nhiệm vụ chiến lược ưu tiên cao.