messenger

Chat Mess

zalo

Chat Zalo

phone

Phone

Gọi ngay: 097.5151.777
messenger

Facebook

messenger

TikTok

Hỗ trợ tư vấn: 097.5151.777
Techcombank

Expert, Technology and Digital Risk Management (40000875)

TP. Ha Noi Risk Management Division
Experienced (Non-Manager)

Mô tả công việc

## Job Purpose 1. Develop and maintain technology risk management framework, policies, procedures, guidelines '- Develop principles and methodologies for technology risk management, establishing technology risk limit, key risk indicators ... according to international practices, legal regulations, and internal governance requirements - Standardize risk management activities including identifying, assessing, responding and monitoring technology and information security risks following industry best practice and international standards (NIST, ISO, COBIT ...) - Develop technology & information security threat/ vulnerability/ scenario/ control catalogs - Consult relevant units to develop BCP/DRP in bankwide level. 2. Develop technology risk management capabilities and improve bankwide technology & information security risk awareness and culture ## Key Accountabilities (1) Establish and maintain the technology risk management framework - Provide subject matter advices and develop technology risk management framework, methodologies, regulations, policies, standards, procedures, guidelines. - Enhance risk taxonomies, governance policies and operating models collaborating with ORM based on investigation findings to enhance robustness of existing risk mechanism - Establish and allocate technology risk limits, key risk indicators (KORI) according to international practices, legal regulations, and internal governance requirements ## Key Accountabilities (2) Assess technology risks, consult to develop mitigation solutions and monitor - Review and approve technology risks in technology platforms, technology and business processes under the authority as prescribed - Consult to develop solutions and methods to effectively mitigate and manage technology risk based on technology risk management framework, ensuring comprehensive risk management implementation -Technical control assurance based on internal policies, government law and regulations, international security standards - Independent investigate cybersecurity/ technology risk events or digital platform risks; analyzing root causes, proposing solutions/actions to mitigate and manage risks ## Key Accountabilities (3) Develop technology risk management capabilities, improve bankwide technology risk awareness and culture - Research on emering technologies appying in banking operations to provide subject matter advices in managing emerging risks - Build & implement technology risk management capabilities (i.e. competencies standard, training, upskilling, coaching and communication) to enhance bank’s capability in managing technology risks in bankwide level - Support other units to conduct training and communication to improve bank-wide technology risks awareness and culture ## Success Profile - Qualification and Experiences Experience - At least 8 years of relevant work experience in IT field, including at least 3 years of IT risk management (1st or 2nd line of defence) experience - Have experience in developing IT risk governance & management framework, risk management policies, procedures and guidelines. - Have experience in IT infrastructure operation/ IT Architecture/ Cybersecurity operation/ DevSecOps/ Cloud Computing - Have experience in IT Audit, IT compliance & assurance - Have experience in developing IT risk management capabilities to enhance bank’s capability in managing technology risk   Expertise - Extensive knowlegde IT & cybersecurity risk management framework (COBIT, ITIL, ISO, NIST ...), internal information security laws & regulations (Circular 09/2020-NHNN, Circular 50/2024-NHNN, Cybersecurity Law, Personal Data Protection Law ...), and international information security standards (SWIFT CSP, PCI DSS, CIS ...) - Deep knowledge in at least 1 of the following areas: IT infrastructure operation/ IT Architecture/ Cybersecurity operation/ DevSecOps/ Cloud computing - Good knowledge of emerging technologies such as GenAI, Blockchain, Quantium technology, etc   Qualifications - Having a university degree or higher on Information Technology, Information System, Computer Science, Electronics & Telecommunications, Information Security or equivalent... - English: TOEIC 550 or equivalent - Professional certifications in IT Risk, IT Security: CISA/CISSP/CRISC/CISM/COBIT/ITIL ...

Phân tích kỹ năng cần có

## Phân tích Kỹ năng cần có cho vị trí Expert, Technology and Digital Risk Management ### 🎯 Hard Skills bắt buộc | Nhóm kỹ năng | Chi tiết | Mức độ yêu cầu | |--------------|----------|----------------| | **IT Risk Frameworks** | COBIT, ITIL, ISO 27001/27002, NIST CSF, NIST SP 800-53 | ★★★★★ Bắt buộc sâu | | **An ninh mạng** | Cybersecurity operations, threat intelligence, incident response | ★★★★★ Bắt buộc | | **Hạ tầng CNTT** | IT infrastructure, IT Architecture, Cloud Computing (AWS/Azure/GCP) | ★★★★☆ Có kinh nghiệm thực tế | | **DevSecOps** | Secure SDLC, SAST/DAST, container security | ★★★☆☆ Khuyến khích | | **Regulatory compliance** | Circular 09/2020-NHNN, Circular 50/2024-NHNN, Luật An ninh mạng, Luật Bảo vệ Dữ liệu cá nhân | ★★★★★ Bắt buộc sâu | | **International standards** | SWIFT CSP, PCI DSS, CIS Controls | ★★★★☆ Cần biết | ### 📜 Chứng chỉ gợi ý (ưu tiên theo thứ tự) **Tier 1 - Bắt buộc nếu có:** - **CISA** (Certified Information Systems Auditor) - Quan trọng nhất cho vị trí risk management - **CRISC** (Certified in Risk and Information Systems Control) - Chứng chỉ risk-focused, rất phù hợp - **CISM** (Certified Information Security Manager) - Quản lý an ninh thông tin **Tier 2 - Khuyến khích:** - **CISSP** (Certified Information Systems Security Professional) - Toàn diện nhưng thiên về technical - **COBIT** Certification - Đặc biệt phù hợp với công việc xây dựng framework - **ITIL 4 Foundation/Expert** - Quản lý dịch vụ CNTT - **AWS/GCP/Azure Solutions Architect** - Nếu có focus Cloud **Tier 3 - Cộng thêm điểm:** - ISO 27001 Lead Auditor/Implementer - CompTIA Security+ - CEH (Certified Ethical Hacker) ### 🔧 Soft Skills quan trọng 1. **Khả năng tư vấn (Consulting)** - Vai trò này đòi hỏi consult các đơn vị khác về risk mitigation 2. **Kỹ năng viết policy/document** - Phát triển framework, policies, guidelines là core job 3. **Giao tiếp cấp cao** - Phải làm việc với board, senior management 4. **Phân tích và giải quyết vấn đề** - Root cause analysis khi investigate incidents 5. **Đào tạo & truyền thông** - Xây dựng risk awareness văn hóa toàn ngân hàng 6. **Quản lý dự án** - Triển khai các initiative về risk management capability ### 📊 Bảng so sánh: Ứng viên Junior vs Senior vs Expert | Tiêu chí | Junior (1-3 năm) | Senior (4-7 năm) | Expert (8+ năm) | |----------|------------------|------------------|------------------| | Framework knowledge | Hiểu cơ bản | Áp dụng được | Thiết kế & phát triển | | Regulatory compliance | Biết tồn tại | Tuân thủ được | Tư vấn & đánh giá | | Incident response | Thực hiện theo hướng dẫn | Lead được investigation nhỏ | Chỉ đạo investigation phức tạp | | Stakeholder management | Làm việc với team | Làm việc với manager | Làm việc với C-level | | Certification expectation | Có 1-2 chứng chỉ entry | CISA/CRISC preferred | CISA/CRISC + nhiều năm exp | ### 💡 Điểm khác biệt của Techcombank Techcombank là ngân hàng có chiến lược số hóa mạnh, nên ứng viên cần: - Hiểu **digital banking transformation** - Có kinh nghiệm với **Agile/DevOps environment** - Hiểu **GenAI, Blockchain, Quantum** emerging risks (đề cập trong JD) - Khả năng quản lý risk trong môi trường **cloud-native** ### ⚠️ Gap Analysis cho Ứng viên **Nếu thiếu:** - Chứng chỉ → Cần lấy CISA hoặc CRISC trước khi apply - Framework experience → Tự nghiên cứu COBIT 2019, tham gia workshop - Regulatory knowledge → Đọc kỹ Circular 09, Circular 50, Luật An ninh mạng - Cloud experience → Học AWS/GCP fundamentals (có khóa free) **Đủ điều kiện khi có:** ✅ 8+ năm IT experience ✅ 3+ năm IT risk management (1st or 2nd LoD) ✅ Đã phát triển IT risk governance framework ✅ Có CISA hoặc CRISC ✅ Thông thạo Circular 09/2020-NHNN và Circular 50/2024-NHNN

Chuẩn bị phỏng vấn

## Hướng dẫn Phỏng vấn vị trí Expert, Technology and Digital Risk Management - Techcombank ### 📋 Quy trình phỏng vấn dự kiến Techcombank thường có 3-4 vòng cho vị trí cấp cao: **Vòng 1: Screening với HR (30-45 phút)** - Xác nhận kinh nghiệm, chứng chỉ - Đánh giá mức lương kỳ vọng - Tìm hiểu động lực ứng tuyển **Vòng 2: Technical Interview với Manager/Team Lead (60-90 phút)** - Kiểm tra kiến thức risk management framework - Case study về risk scenario - Đánh giá kỹ năng phân tích **Vòng 3: Panel Interview với Head of Risk + IT (60-90 phút)** - Deep dive vào kinh nghiệm phát triển framework - Trình bày case study đã làm - Discussion về regulatory compliance **Vòng 4: Final với C-level/CD (30-45 phút)** - Cultural fit assessment - Strategic thinking - Presentation nếu có ### ❓ Câu hỏi thường gặp theo từng vòng **Vòng 1 - HR Screening:** 1. "Tại sao bạn quan tâm đến vị trí này tại Techcombank?" 2. "Bạn có thể mô tả ngắn gọn kinh nghiệm 8+ năm của bạn?" 3. "Bạn có chứng chỉ gì liên quan đến IT risk/security?" 4. "Mức lương kỳ vọng của bạn là bao nhiêu?" 5. "Bạn có quen với môi trường ngân hàng Việt Nam không?" **Vòng 2 - Technical Interview:** 1. "Bạn có thể giải thích sự khác biệt giữa COBIT và ITIL? Khi nào dùng cái nào?" 2. "Hãy mô tả cách bạn xây dựng IT Risk Management Framework từ đầu" 3. "Circular 09/2020-NHNN và Circular 50/2024-NHNN khác nhau như thế nào?" 4. "Làm thế nào để đánh giá risk của một cloud deployment?" 5. "Bạn xử lý incident như thế nào khi phát hiện breach?" 6. "NIST CSF có 5 functions - bạn apply vào ngân hàng như thế nào?" 7. "Cách phân biệt 1st line vs 2nd line of defense trong IT risk?" 8. "Bạn có kinh nghiệm gì với emerging technologies như GenAI?" **Vòng 3 - Panel/Head Interview:** 1. "Cho một ví dụ khi bạn phát triển risk policy từ con số 0" 2. "Bạn sẽ approach việc cải thiện risk culture trong ngân hàng như thế nào?" 3. "Câu chuyện về một risk incident phức tạp bạn đã xử lý?" 4. "Làm sao để balance giữa security và business agility?" 5. "Bạn thấy technology risk landscape 2025 sẽ thế nào?" 6. "Cách bạn stay updated với regulatory changes?" 7. "KPI của bạn sẽ là gì nếu nhận vị trí này?" **Vòng 4 - Final C-level:** 1. "Tại sao bạn muốn rời công ty hiện tại?" 2. "Bạn hình dung phòng ban này phát triển như thế nào trong 3 năm tới?" 3. "Điều gì khiến bạn phù hợp với văn hóa Techcombank?" 4. "Bạn có câu hỏi gì cho chúng tôi không?" (LUÔN phải có câu hỏi) ### 📝 Case Study có thể gặp **Case 1: Xây dựng IT Risk Framework** > "Ngân hàng XYZ muốn xây dựng IT Risk Management Framework từ đầu. Bạn sẽ bắt đầu từ đâu?" **Cách trả lời gợi ý:** - Bước 1: Risk assessment & gap analysis với current state - Bước 2: Chọn framework phù hợp (COBIT + NIST kết hợp) - Bước 3: Thiết kế risk taxonomy & KRI - Bước 4: Develop policies & procedures - Bước 5: Xây dựng 3 lines of defense model - Bước 6: Training & communication - Bước 7: Continuous monitoring & improvement **Case 2: Cloud Migration Risk** > "Ngân hàng đang migrate một số hệ thống core sang AWS. Các risk chính là gì và bạn sẽ quản lý như thế nào?" **Cần cover:** - Data residency & sovereignty (NHNN requirement) - Vendor lock-in risk - Shared responsibility model - IAM & access control - Encryption requirements - Incident response in cloud environment - Compliance (PCI DSS if payment data) **Case 3: Emerging Risk - GenAI** > "GenAI đang được sử dụng trong ngân hàng. Các risk chính là gì?" **Cần cover:** - Data privacy (customer data input) - Model bias & explainability - Regulatory compliance (FDPT, AML) - Shadow AI - Third-party AI risk - Cybersecurity attack surface ### 👔 Dress Code & Tips chuẩn bị **Dress Code:** - Business casual hoặc Business formal (suit nhẹ) - Techcombank có văn hóa khá open nhưng vị trí cấp cao nên dress smart - Tránh quá formal như ngân hàng nhà nước **Chuẩn bị cần thiết:** - ✅ Mang theo bản in CV (2-3 bản) - ✅ Copy các chứng chỉ - ✅ Chuẩn bị 1-2 case study để presentation - ✅ Research Techcombank: đọc annual report, hiểu chiến lược số hóa - ✅ Hiểu rõ Circular 09/2020 và Circular 50/2024 - ✅ Prepare STAR stories (Situation, Task, Action, Result) - ✅ 3-5 câu hỏi thông minh cho interviewer **Ngày phỏng vấn:** - Arrive sớm 15 phút - Tắt điện thoại - Maintain eye contact - Speak slowly & clearly - Ask clarification questions if needed

Lộ trình ôn thi

## Lộ trình Ôn thi & Chuẩn bị cho vị trí Expert, Technology and Digital Risk Management ### 📚 Kiến thức Nền tảng cần ôn **Phase 1: IT Risk Management Framework (Tuần 1-2)** *1.1 COBIT 2019* - 5 governance principles - 7 management objectives - Focus areas: DSS (Deliver, Support, Service), MEA (Monitor, Evaluate, Assess) - Reference: COBIT 2019 Framework PDF (free từ ISACA) *1.2 NIST Framework* - NIST Cybersecurity Framework (CSF) v2.0: - Identify (ID) - Protect (PR) - Detect (DE) - Respond (RS) - Recover (RC) - NIST SP 800-53 Security Controls - NIST SP 800-30 Risk Assessment *1.3 ITIL 4* - Service Value System - 4 dimensions - Key concepts: incident, problem, change management *1.4 ISO 27001/27002* - Annex A controls - Risk treatment process **Phase 2: Regulatory Compliance (Tuần 3)** *2.1 Circular 09/2020-NHNN* - Requirements về an ninh thông tin cho ngân hàng - Risk management requirements - Incident reporting *2.2 Circular 50/2024-NHNN* - Information technology security operations center (SOC) - Requirements mới về IT security operations - Monitoring & incident response *2.3 Luật An ninh mạng 2018* - Data localization - Localization requirements *2.4 Luật Bảo vệ Dữ liệu cá nhân 2023* - Processing principles - Data subject rights - Data breach notification *2.5 Nghị định 13/2023/NĐ-CP (Implementing PDPL)* - Practical requirements **Phase 3: Industry Standards (Tuần 4)** *3.1 SWIFT Customer Security Program (CSP)* - Mandatory controls - Security assessment *3.2 PCI DSS v4.0* - If dealing with payment systems - 12 requirements overview *3.3 CIS Controls v8* - 18 critical security controls - Implementation groups **Phase 4: Technical Deep Dive (Tuần 5-6)** *4.1 Cloud Security* - AWS Well-Architected Framework (Security pillar) - Shared responsibility model - Cloud-specific risks *4.2 DevSecOps* - Secure SDLC - SAST/DAST tools - Container security *4.3 Emerging Technologies* - GenAI risk management - Blockchain in banking - Quantum computing threats *4.4 Cybersecurity Operations* - SOC fundamentals - SIEM - Threat hunting ### 📖 Tài liệu tham khảo **Miễn phí:** | Tài liệu | Nguồn | Mục đích | |----------|-------|----------| | COBIT 2019 Framework | isaca.org | Framework chính | | NIST CSF 2.0 | nist.gov | Cybersecurity framework | | Circular 09/2020 | sbv.gov.vn | Regulatory compliance | | Circular 50/2024 | sbv.gov.vn | Regulatory compliance | | CIS Controls v8 | cisecurity.org | Security controls | | SWIFT CSP Documentation | swift.com | Payment security | **Trả phí (khuyến nghị nếu có budget):** | Tài liệu | Chi phí ước tính | Giá trị | |----------|-----------------|----------| | CISA Review Manual | ~2-3 triệu | Cao - ôn thi CISA | | CRISC Review Manual | ~2-3 triệu | Cao - ôn thi CRISC | | Auerbach Publications IT Risk | ~1-2 triệu | Trung bình | | ISACA Journal | ~500k/năm | Trung bình | ### ⏰ Lộ trình chuẩn bị 2 tuần (Intensive) **Week 1: Foundation & Regulatory** | Ngày | Sáng (2-3h) | Chiều (2-3h) | Tối (1-2h) | |------|-------------|--------------|------------| | Day 1 | COBIT overview | COBIT DSS & MEA | Ghi chú + quiz | | Day 2 | NIST CSF core | NIST SP 800-53 overview | Practice questions | | Day 3 | Circular 09/2020 deep dive | Circular 50/2024 deep dive | So sánh 2 circular | | Day 4 | ISO 27001/27002 | CIS Controls | Integration mapping | | Day 5 | SWIFT CSP | PCI DSS overview | Review tuần 1 | | Day 6 | Mock interview questions | STAR story preparation | Rest | | Day 7 | REST | REST | Light review | **Week 2: Technical & Case Study** | Ngày | Sáng (2-3h) | Chiều (2-3h) | Tối (1-2h) | |------|-------------|--------------|------------| | Day 8 | Cloud security (AWS) | DevSecOps concepts | Technical deep dive | | Day 9 | Emerging tech risks | GenAI risk management | Research trending | | Day 10 | Case study 1: Framework | Case study 2: Cloud | Practice presentation | | Day 11 | Case study 3: Incident | Scenario planning | Mock Q&A | | Day 12 | Techcombank research | Company strategy review | Prepare questions | | Day 13 | Light review | Final prep | Dress check | | Day 14 | REST + Early sleep | Interview day! | Reflection | ### 🎯 Checklist trước ngày phỏng vấn **Knowledge:** - [ ] Hiểu COBIT, NIST, ITIL, ISO relationship - [ ] Thuộc lòng 5 functions của NIST CSF - [ ] Có thể giải thích 1st vs 2nd line of defense - [ ] Nắm chắc Circular 09/2020 và 50/2024 differences - [ ] Hiểu SWIFT CSP mandatory controls - [ ] Có case study để present **Documents:** - [ ] CV updated (3 bản) - [ ] Copy certificates - [ ] Government ID - [ ] Portfolio/work samples (nếu có) **Research:** - [ ] Techcombank annual report 2023/2024 - [ ] Techcombank digital strategy - [ ] Recent news about Techcombank - [ ] Competitors analysis **Personal:** - [ ] Business card (2-3 cái) - [ ] Notepad & pen - [ ] Dress prepared - [ ] Transport arranged

Tư vấn nghề nghiệp

## Lời khuyên Sự nghiệp cho vị trí Expert, Technology and Digital Risk Management ### 📈 Lộ trình Thăng tiến **Entry point thông thường:** ``` Junior IT Risk Analyst (2-3 năm) ↓ IT Risk Officer/Senior (3-5 năm) ↓ IT Risk Manager (5-7 năm) ↓ Expert/AVP/VP IT Risk (7-10 năm) ← BẠN ĐANG Ở ĐÂY ↓ Senior Manager/Director IT Risk (10-15 năm) ↓ Head of IT Risk / CISO (15+ năm) ↓ Chief Risk Officer / Deputy CEO ``` **Path 1: Technical Expert Track** - Expert → Principal Expert → Distinguished Expert - Focus: Architecture, Framework development, Advisory - Lateral moves: Enterprise Risk, Business Continuity **Path 2: Management Track** - Expert → Manager → Senior Manager → Director → VP - Focus: Team management, Strategic planning, Board reporting - Lateral moves: Operations, Digital Transformation **Path 3: Specialized Track** - Cybersecurity focus → CISO pathway - Regulatory focus → Compliance Officer → Chief Compliance Officer - Data focus → Data Protection Officer → CDPO ### 💰 Mức lương Kỳ vọng theo cấp bậc **Thị trường Việt Nam (2024-2025 estimate):** | Level | Experience | Lương tháng (VND) | Notes | |-------|------------|-------------------|-------| | Junior (0-2 năm) | 15-25 triệu | Fresh IT risk roles | | Mid (3-5 năm) | 30-50 triệu | IT Risk Officer/Senior | | Senior (5-8 năm) | 50-80 triệu | IT Risk Manager | | **Expert (8+ năm)** | **80-150 triệu** | **Vị trí này** | | Director (10+ năm) | 120-200 triệu | Head level | | VP/CISO | 150-300+ triệu | Executive level | **Techcombank specific:** - Techcombank trả lương cạnh tranh, thường top 20% thị trường - Thưởng performance: 2-4 tháng lương (tùy năm) - Total compensation có thể gấp 1.5-2x base cho senior levels - Stock options/RSU cho cấp cao **Đàm phán lương:** - Research market rate (Glassdoor, TopCV, Vietnamwork) - Leverage certifications (CISA/CRISC = +10-20%) - Emphasize specific framework experience - Consider total package: bonus, insurance, allowances ### 🎯 Kỹ năng cần Phát triển thêm **Ngắn hạn (6-12 tháng đầu):** 1. **Presentation skills** - Cấp Expert phải present cho Board - Practice: Toastmasters, internal presentations 2. **Executive communication** - Viết cho C-level - Practice: Đọc annual reports, board minutes 3. **Project management** - Triển khai initiative - Cert: PMP, Prince2 4. **Data analytics** - Risk metrics & reporting - Tool: Power BI, SQL basics **Trung hạn (1-3 năm):** 5. **Business acumen** - Hiểu banking products - Self-study: Retail banking, Corporate banking, Treasury 6. **Change management** - Culture transformation - Cert: PROSCI Change Management 7. **Strategic thinking** - Long-term planning - Practice: Scenario planning, horizon scanning **Dài hạn (3-5 năm):** 8. **Leadership** - Nếu muốn đi management track - Mentorship, coaching skills 9. **Board governance** - Nếu muốn đến CRO level - Understanding board dynamics 10. **M&A knowledge** - Strategic growth - Due diligence, integration planning ### 📝 Kế hoạch phát triển 90 ngày đầu tiên **Nếu nhận được offer:** **Ngày 1-30: Listen & Learn** - 1:1 với từng team member - Meet stakeholders chính (IT, Business, Audit, Compliance) - Review existing framework & documentation - Identify quick wins **Ngày 31-60: Assess & Plan** - Gap analysis current state vs desired state - Stakeholder expectations alignment - Develop 6-month plan - Budget request nếu cần **Ngày 61-90: Execute & Demonstrate** - Start 1-2 priority initiatives - Report early wins to management - Build relationships across organization - Set up governance rhythms ### 🚀 Tại sao nên/chọn Techcombank **Ưu điểm:** - ✅ Lương cạnh tranh, bonus tốt - ✅ Văn hóa đổi mới, ít bureaucracy - ✅ Focus mạnh vào digital transformation - ✅ Học hỏi từ modern banking practices - ✅ Cơ hội làm việc với latest technologies **Thách thức:** - ⚠️ Áp lực performance cao - ⚠️ Pace nhanh, change liên tục - ⚠️ Expectations cao từ management - ⚠️ Có thể work-life balance không lý tưởng đợt cao điểm **Alternatives để compare:** - VPBank, MB Bank (cũng digital-first) - Foreign banks: Citi, HSBC (global standards) - Fintech: VNPay, MoMo (nếu muốn startup feel) - Consulting: Big4 Risk practices (nếu muốn broader exposure) ### 💡 Tips từ người đi trước 1. **Network internally** - Build relationships với IT, Audit, Compliance 2. **Stay current** - Technology risk evolves nhanh, phải học liên tục 3. **Certifications matter** - Maintain CISA/CRISC, lấy thêm 4. **Document everything** - Evidence-based approach 5. **Influence > authority** - Expert phải persuade không phải command 6. **Balance technical vs business** - Không chỉ technical, phải speak business language

Câu hỏi thường gặp

Mình có 8 năm kinh nghiệm IT nhưng chỉ 2 năm trong risk management, liệu có phù hợp để apply vị trí này không?

Đây là điểm rủi ro lớn nhất trong hồ sơ của bạn. JD yêu cầu RÕ RÀNG 'at least 3 years in IT risk management'. Với chỉ 2 năm, bạn có thể vẫn được gọi phỏng vấn nếu: (1) Các kỹ năng khác rất mạnh - đặc biệt là đã phát triển IT risk framework từ đầu; (2) Có chứng chỉ cao cấp như CRISC hoặc CISM; (3) Có kinh nghiệm chuyên sâu ở area cụ thể như cloud security hoặc cybersecurity operations. Tuy nhiên, hãy chuẩn bị tinh thần bị hỏi 'gap' này trong phỏng vấn và có câu trả lời thuyết phục. Recommendation: Cố gắng tích lũy thêm 6-12 tháng ở role risk-focused trước khi apply, hoặc apply cho vị trí Senior IT Risk Manager thay vì Expert.

Lương cho vị trí Expert IT Risk tại Techcombank thường bao nhiêu?

Vì JD ghi 'Thỏa thuận', mức lương sẽ phụ thuộc vào kinh nghiệm và background của bạn. Theo market data 2024-2025, ước tính cho vị trí này: Entry Expert (8-10 năm): 80-120 triệu/tháng; Senior Expert (10-15 năm): 100-150 triệu/tháng. Techcombank thường competitive, có thể cao hơn average 10-20%. Bonus thêm 2-4 tháng lương. Tips đàm phán: Nếu bạn có CISA + CRISC + cloud certifications + experience ở top-tier bank, bạn có thể đàm phán ở mức cao. Nghiên cứu kỹ market rate trước, và luôn có offer letter từ công ty khác để leverage.

Mình có chứng chỉ CISA rồi nhưng chưa có CRISC, có thiếu hụt không?

Không thiếu hụt nghiêm trọng, nhưng CRISC sẽ là 'nice to have' mạnh. CISA và CRISC đều là chứng chỉ core của ISACA và được đề cập song song trong JD. CISA thiên về audit/assurance, còn CRISC thiên về risk management - phù hợp hơn với daily responsibilities của bạn. Tuy nhiên, với CISA + 8+ năm IT experience + 3+ năm risk, bạn đã đáp ứng đủ yêu cầu. Nếu có thời gian và budget, lấy thêm CRISC sẽ tăng đáng kể cơ hội và mức lương. Priority: CRISC > CISSP > AWS cert cho track này.

Công việc này có phải đi on-site nhiều không? Giờ làm việc như thế nào?

Techcombank có hybrid policy, nhưng vị trí này cần on-site đáng kể vì: (1) Phải collaborate với nhiều stakeholders across departments; (2) Có thể phải có mặt khi có security incidents; (3) Part of Risk team, thường require physical presence for governance meetings. Giờ làm: Techcombank known là 8:30-17:30 hoặc 9:00-18:00, nhưng có thể OT khi có incidents hoặc major projects. Đặc biệt với emerging risks như GenAI, bạn cần 'on-call' awareness. Có văn hóa 'results-oriented' hơn là 'hours-oriented'. Tip: Hỏi rõ về SOC schedule và incident response expectations trong phỏng vấn.

KPI của vị trí này thường là gì?

Dựa trên JD responsibilities, KPIs có thể bao gồm: (1) Framework coverage - % của technology platforms được covered bởi risk assessment; (2) KRI thresholds - Maintaining risks within appetite; (3) Incident metrics - Time to detect/respond cho technology incidents; (4) Compliance score - % tuân thủ regulatory requirements; (5) Training completion - Bank-wide technology risk awareness; (6) Policy updates - Regular review & update của framework. Quan trọng: Ở cấp Expert, bạn còn bị đánh giá qua 'influence metrics' - làm sao các stakeholders adopt risk management practices, không chỉ là bạn làm gì. Hỏi rõ về performance evaluation criteria trong final interview.

Mình đang ở Big4 IT Audit muốn chuyển sang ngân hàng, có phù hợp không?

Rất phù hợp! Big4 IT Audit là background rất tốt cho role này vì: (1) Bạn có kiến thức sâu về IT controls & frameworks; (2) Experience với regulatory compliance audits; (3) Đã quen với stakeholder management. Tuy nhiên, cần bridge gap: Từ 'assurance/audit' (2nd line) sang 'advisory/framework development' (cần strategic thinking). Trong phỏng vấn, nhấn mạnh: Projects bạn đã làm ở Big4 liên quan đến risk framework; Clients ở banking/financial sector; Technical skills (SOC reporting, PCI DSS, SWIFT assessments). Weakness cần address: Bạn có thể thiếu 'hands-on' IT operations experience. Nếu có thể, chuyển từ audit sang advisory practice trước (1-2 năm) để smooth transition.

Có cần biết tiếng Anh không? Trình độ nào là đủ?

JD yêu cầu TOEIC 550 hoặc equivalent - đây là mức tối thiểu, không phải target. Thực tế: Vị trí Expert cần đọc tài liệu quốc tế (NIST, ISO, COBIT) bằng tiếng Anh; Viết policy documents (có thể bằng tiếng Việt hoặc bilingual); Tham gia meetings với regional/global counterparts; Present cho management board (có thể có foreigners). Recommendation: Nên có TOEIC 700-800+ hoặc equivalent. Nếu giao tiếp tiếng Anh yếu, đây sẽ là rào cản nghiêm trọng ở cấp này. Cải thiện: Practice với IELTS general reading; Join English-speaking clubs; Read security blogs/news (The Hacker News, Krebs on Security).

Techcombank khác gì so với các ngân hàng khác ở Việt Nam về IT risk?

Techcombank được coi là 'digital champion' của Việt Nam, nên IT risk landscape khác biệt: (1) Cloud-native approach - Họ migrate nhanh sang cloud (AWS), nên risk management phải adapt; (2) API-first - Nhiều integrations với third parties, partner ecosystems, tạo attack surface khác; (3) Agile/DevOps culture - Risk phải integrate vào SDLC thay vì 'gatekeeper' truyền thống; (4) Customer-centric tech - Focus vào digital customer experience, cân bằng security vs usability; (5) GenAI adoption - Sớm adopt emerging tech, nên phải manage 'bleeding edge' risks. So với VCB, Agribank (traditional banks): Techcombank risk approach hiện đại hơn, less bureaucratic. So với VPBank, MB: Similar digital-first mindset, nhưng Techcombank scale lớn hơn.
Ứng tuyển ngay Luyện đề thi ngân hàng

Từ khóa

Quản lý rủi ro An ninh thông tin CNTT / IT
Xem tất cả tin tuyển dụng