Mạng lưới vô hình và rủi ro tiềm ẩn
Trong thập kỷ qua, các định chế tài chính đã chuyển dịch mạnh mẽ sang mô hình thuê ngoài để tối ưu hóa chi phí và công nghệ. Tuy nhiên, đằng sau mỗi đối tác trực tiếp là một mạng lưới chằng chịt các nhà thầu phụ - bên thứ tư - mà hầu hết các tổ chức không có quyền kiểm soát trực tiếp. Những bên thứ tư này có thể nắm giữ nhiều dữ liệu nhạy cảm, vận hành các hạ tầng đám mây cốt lõi và cung cấp dịch vụ thiết yếu. Khi một mắt xích vô danh trong chuỗi cung ứng này đứt gãy, hậu quả không chỉ là sự gián đoạn dịch vụ mà còn là sự suy giảm về uy tín và rủi ro pháp lý.
Trong quản trị rủi ro truyền thống, các doanh nghiệp tập trung vào bên thứ ba - những công ty ký hợp đồng trực tiếp. Tuy nhiên, khi các dịch vụ tài chính ngày càng trở nên phức tạp, các bên thứ ba thường làm việc với hàng trăm nhà thầu phụ, khiến việc đánh giá rủi ro nhà cung cấp trở nên khó khăn. Thực tế, nhiều tổ chức không liên hệ với bên thứ tư, hoặc thậm chí không biết đến sự tồn tại của họ. Điều này dẫn đến hàng loạt vấn đề không lường trước, nhất là khi hiệu ứng “domino” có thể xảy ra: Nhà thầu phụ gặp sự cố khiến bên thứ ba ngừng hoạt động, gây gián đoạn và có thể làm tê liệt toàn bộ các lĩnh vực kinh doanh của doanh nghiệp.
Nhấn mạnh những rủi ro mà bên thứ tư có thể gây ra, các chuyên gia của Protiviti (công ty tư vấn tài chính, công nghệ, quản trị rủi ro và kiểm toán nội bộ) cho rằng, rủi ro tập trung là rủi ro lớn nhất đối với các tổ chức tài chính, bởi nhiều ngân hàng khác nhau có thể sử dụng các bên thứ ba khác nhau, nhưng tất cả các bên thứ ba đó lại cùng sử dụng một bên thứ tư duy nhất cho dịch vụ cốt lõi. Chẳng hạn, khi một trung tâm dữ liệu lớn gặp sự cố, hàng chục ngân hàng sẽ đồng loạt bị ảnh hưởng, dù họ không ký hợp đồng trực tiếp với trung tâm đó.
Hầu hết các tổ chức tài chính, ngân hàng có quy trình thẩm định bên thứ ba rất nghiêm ngặt. Tuy nhiên, họ lại ủy thác việc kiểm tra bên thứ tư cho chính bên thứ ba đó. Sự thiếu giám sát trực tiếp này tạo ra một “vùng tối” - nơi các tiêu chuẩn bảo mật có thể bị hạ thấp mà ngân hàng không biết. Trong khi đó, các tổ chức tài chính vẫn phải chịu trách nhiệm cuối cùng về dữ liệu khách hàng; khi bên thứ tư làm rò rỉ dữ liệu, ngân hàng vẫn là đơn vị đối mặt với án phạt và sự quay lưng của khách hàng, bất kể lỗi thuộc về ai trong chuỗi cung ứng.
Sự an toàn của một tổ chức tài chính phụ thuộc vào nhiều mắt xích trong chuỗi cung ứng. Rủi ro bên thứ tư không chỉ là vấn đề kỹ thuật, mà còn là thách thức về quản trị chiến lược. Chỉ khi hệ thống kiểm soát đủ mạnh, các định chế tài chính mới có thể tự tin trước những biến động khó lường của thị trường.
Thẩm định chéo và quản trị rủi ro theo thời gian thực
Theo các chuyên gia của Protiviti, kiểm toán nội bộ không thể chỉ dừng lại ở việc kiểm tra các điều khoản hợp đồng, mà cần đóng vai trò “gác cửa” cho toàn bộ hệ sinh thái và đưa rủi ro bên thứ tư vào kế hoạch kiểm toán. Trước tiên, nhóm kiểm toán nội bộ cần phối hợp chặt chẽ với các bên liên quan để xác định những nhà cung cấp cần được ưu tiên, tập trung vào các vị trí tiềm ẩn rủi ro lớn nhất. Mặc dù cách tiếp cận này có thể không trực tiếp phát hiện ra các bên thứ tư, nhưng sẽ giúp thu hẹp phạm vi rủi ro.
Nghiên cứu “Nâng cao giám sát rủi ro bên thứ tư cho dịch vụ tài chính” của KPMG đề xuất một khung quản trị rủi ro bên thứ tư gồm các bước: Lập danh sách các nhà thầu phụ; rà soát các hợp đồng giữa bên thứ ba và các nhà thầu phụ để bảo đảm phù hợp với các nghĩa vụ đối với tổ chức; trực tiếp đánh giá các nhà thầu phụ theo điều khoản trong hợp đồng; kiểm tra việc bên thứ ba thực hiện giám sát liên tục đối với các nhà thầu phụ; hiểu rõ các mối liên kết trong chuỗi cung ứng và tác động của rủi ro đến các quy trình kinh doanh quan trọng; đánh giá các biện pháp kiểm soát theo hợp đồng.
Các kiểm toán viên không chỉ xem xét báo cáo tài chính mà còn cần lưu ý các báo cáo kiểm soát của bên thứ tư (như báo cáo kiểm toán bảo mật cấp cao, đánh giá hiệu quả vận hành của các kiểm soát an ninh thông tin trong một khoảng thời gian). Nếu bên thứ ba không thể cung cấp sự minh bạch về nhà thầu phụ, đó là một dấu hiệu cảnh báo rủi ro. Đồng thời, cần sử dụng các công cụ công nghệ để theo dõi “sức khỏe” tài chính và an ninh mạng của cả bên thứ ba và bên thứ tư theo thời gian thực.
Để giải quyết rủi ro từ bên thứ tư, Hiệp hội Ngân hàng Hoa Kỳ (ABA) khuyến nghị các tổ chức tài chính nên đưa hai điều khoản kiểm soát vào hợp đồng với nhà cung cấp, gồm: Quy định nhà cung cấp phải thông báo khi thuê dịch vụ bên ngoài để vận hành các chức năng quan trọng; yêu cầu thông báo khi có sự thay đổi nhà cung cấp quan trọng. Điều này buộc bên thứ ba phải nâng cao trách nhiệm, bởi khi kiểm toán nội bộ đánh giá rủi ro bên thứ tư, tổ chức chỉ có thể can thiệp trong phạm vi nhất định do không có hợp đồng trực tiếp với các nhà thầu phụ.
Rõ ràng, điều mà các kiểm toán viên có thể làm hiệu quả là kiểm tra xem bên thứ ba có chương trình quản lý rủi ro đủ mạnh hay không và đưa ra các khuyến nghị phù hợp. Các kiểm toán viên nội bộ cũng không nên chỉ dựa vào báo cáo kiểm soát do bên thứ ba cung cấp, mà cần bảo đảm rằng các biện pháp kiểm soát đang được thực hiện một cách nghiêm túc, hiệu quả. Những rủi ro từ bên thứ tư thường khó lường, nhưng việc xây dựng một chiến lược quản lý rủi ro bên thứ ba hiệu quả sẽ giúp tổ chức chủ động kiểm soát và hạn chế tác động trước khi rủi ro xảy ra./.
