ACB
HO - IT Governance & Compliance Manager
Hội sở (Hồ Chí Minh)
Khối Công nghệ Thông tin
Thương lượng
Hạn: 2026-08-31
Mô tả công việc
IT Governance & Compliance Manager is responsible for establishing, implementing, and maintaining the bank’s IT governance framework and ensuring compliance with regulatory requirements, internal policies, and industry standards. The role ensures that IT operations align with business objectives while minimizing risks and maintaining strong controls.
Responsibilities:
IT Governance Framework
- Develop and maintain IT governance policies, standards, and procedures aligned with:
- Bank strategy
- Regulatory requirements (e.g., SBV, Basel, local banking laws)
- Implement frameworks such as:
- COBIT (IT Governance)
- ISO 27001 (Information Security)
- ITIL (Service Management)
- Ensure alignment between IT and business goals
Regulatory Compliance
- Ensure compliance with:
- Central bank regulations (e.g., State Bank of Vietnam or equivalent)
- Data protection laws (e.g., PDPA/GDPR)
- Internal audit and external regulatory requirements
- Prepare compliance reports for regulators and executive leadership
- Liaise with regulators, auditors, and compliance bodies
IT Risk Management
- Identify, assess, and monitor IT risks:
- Cybersecurity risks
- Data privacy risks
- System and operational risks
- Define and enforce risk mitigation controls
- Maintain IT risk registers and reporting dashboards
Audit & Assurance
- Manage IT audits (internal & external)
- Track audit findings and ensure timely remediation
- Perform regular control testing and compliance reviews
- Support certification processes (ISO, SOC, etc.)
Policy & Control Management
- Develop and enforce IT policies:
- Access control
- Change management
- Data governance
- Ensure policies are continuously updated and communicated
Stakeholder Management
- Collaborate with:
- IT teams (Infrastructure, Security, Application)
- Risk Management, Legal, Compliance
- Internal Audit
- Provide advisory on IT compliance matters to business units
Qualifications & Experience
Education
- Bachelor’s or Master’s degree in:
- Information Technology
- Computer Science
- Information Security
- or related fields
Experience
- 7–10+ years in:
- IT Governance / IT Risk / IT Compliance
- Banking or financial services environment
- Experience working with regulators and audits is required
Certifications (Preferred)
- CISA (Certified Information Systems Auditor)
- CISM or CISSP (Information Security)
- CGEIT (IT Governance)
- ISO 27001 Lead Implementer / Auditor
Technical Skills
- Knowledge of:
- IT governance frameworks (COBIT, ITIL)
- Risk management methodologies
- Cybersecurity principles
- Understanding of banking systems and digital platforms
Nộp đơn ứng tuyển công việc này
Họ & tên bạn *
Địa chỉ email *
Số điện thoại *
Ngày tháng năm sinh *
Trình độ học vấn (Education) *
-- Trình độ học vấn (Education) --Chưa tốt nghiệp (No degree)Phổ thông (High school)Trung cấpCao đẳng (College)Đại học (University/Academy)Thạc sỹ (Master)Tiến sỹ (PhD)Sau đại học (Postgraduate)Khác (Others)
Bạn biết đến cơ hội ứng tuyển này qua kênh nào? *
-- Bạn biết đến cơ hội ứng tuyển này qua kênh nào? --Website tuyển dụng ACBFacebook ACBLinkedIn ACBWebsite việc làmQuảng cáo onlineNgười giới thiệuKhác
+ Thông tin thêm
CV của bạn *
Click để chọn & tải lên CV của bạn
Nộp đơn ứng tuyển
Bỏ qua
-->
{
"@context": "http://schema.org",
"@type": "JobPosting",
"jobLocation" : {
"@type": "Place",
"address": {
"@type": "PostalAddress",
"addressLocality": "No address locality",
"addressRegion": "No address region",
"streetAddress": "No street address",
"postalCode": "0"
}
},
"datePosted":"2026-06-30",
"description":"IT Governance & Compliance Manager is responsible for establishing, implementing, and maintaining the bank’s IT governance framework and ensuring compliance with regulatory requirements, internal policies, and industry standards. The role ensures that IT operations align with business objectives while minimizing risks and maintaining strong controls.
Responsibilities:
IT Governance Framework
- Develop and maintain IT governance policies, standards, and procedures aligned with:
- Bank strategy
- Regulatory requirements (e.g., SBV, Basel, local banking laws)
- Implement frameworks such as:
- COBIT (IT Governance)
- ISO 27001 (Information Security)
- ITIL (Service Management)
- Ensure alignment between IT and business goals
Regulatory Compliance
- Ensure compliance with:
- Central bank regulations (e.g., State Bank of Vietnam or equivalent)
- Data protection laws (e.g., PDPA/GDPR)
- Internal audit and external regulatory requirements
- Prepare compliance reports for regulators and executive leadership
- Liaise with regulators, auditors, and compliance bodies
IT Risk Management
- Identify, assess, and monitor IT risks:
- Cybersecurity risks
- Data privacy risks
- System and operational risks
- Define and enforce risk mitigation controls
- Maintain IT risk registers and reporting dashboards
Audit & Assurance
- Manage IT audits (internal & external)
- Track audit findings and ensure timely remediation
- Perform regular control testing and compliance reviews
- Support certification processes (ISO, SOC, etc.)
Policy & Control Management
- Develop and enforce IT policies:
- Access control
- Change management
- Data governance
- Ensure policies are continuously updated and communicated
Stakeholder Management
- Collaborate with:
- IT teams (Infrastructure, Security, Application)
- Risk Management, Legal, Compliance
- Internal Audit
- Provide advisory on IT compliance matters to business units
Qualifications & Experience
Education
- Bachelor’s or Master’s degree in:
- Information Technology
- Computer Science
- Information Security
- or related fields
Experience
- 7–10+ years in:
- IT Governance / IT Risk / IT Compliance
- Banking or financial services environment
- Experience working with regulators and audits is required
Certifications (Preferred)
- CISA (Certified Information Systems Auditor)
- CISM or CISSP (Information Security)
- CGEIT (IT Governance)
- ISO 27001 Lead Implementer / Auditor
Technical Skills
- Knowledge of:
- IT governance frameworks (COBIT, ITIL)
- Risk management methodologies
- Cybersecurity principles
- Understanding of banking systems and digital platforms
",
"employmentType":"Toàn thời gian",
"hiringOrganization": {
"@type": "Organization",
"name": "Ngân hàng Á Châu - ACB",
"sameAs" : "http://www.acbjobs.com.vn"
},
"identifier": {
"@type": "PropertyValue",
"name": "HO - IT Governance & Compliance Manager",
"value": "55246"
},
"title": "HO - IT Governance & Compliance Manager",
"validThrough":"2026-08-31"
}
Phân tích kỹ năng cần có
## Phân tích Kỹ năng cần có cho IT Governance & Compliance Manager tại ACB
### 1. Hard Skills (Kỹ năng chuyên môn)
**a) Khung quản trị CNTT (IT Governance Frameworks)**
| Khung làm việc | Mức độ yêu cầu | Ứng dụng tại ACB |
|---|---|---|
| **COBIT** | Bắt buộc (chuyên sâu) | Đánh giá, giám sát quản lý CNTT phù hợp mục tiêu ngân hàng |
| **ISO 27001** | Bắt buộc (chuyên sâu) | Quản lý an toàn thông tin, chứng nhận bảo mật |
| **ITIL** | Bắt buộc (trung bình-cao) | Quản lý dịch vụ CNTT, vận hành hệ thống |
| **Basel III** | Có lợi | Tuân thủ quy định ngân hàng quốc tế |
| **PDPA** | Bắt buộc | Luật bảo vệ dữ liệu cá nhân tại Việt Nam |
**b) Quản lý rủi ro CNTT**
- Đánh giá rủi ro an ninh mạng (cybersecurity risk assessment)
- Quản lý rủi ro bảo mật dữ liệu (data privacy risk)
- Rủi ro vận hành hệ thống (system & operational risks)
- Xây dựng ma trận kiểm soát rủi ro (risk control matrix)
- Duy trì sổ nhật ký rủi ro CNTT (IT risk register)
**c) Quản lý Audit CNTT**
- Quản lý audit nội bộ và bên ngoài
- Theo dõi và đảm bảo khắc phục kịp thời các phát hiện audit
- Kiểm tra control testing định kỳ
- Hỗ trợ các quy trình chứng nhận (ISO, SOC)
**d) Kỹ thuật nghiệp vụ ngân hàng**
- Hiểu hệ thống ngân hàng lõi (core banking system)
- Nền tảng kỹ thuật số ngân hàng (digital banking platforms)
- Quy định NHNN (SBV regulations)
- Các tiêu chuẩn Basel áp dụng cho CNTT
---
### 2. Chứng chỉ nên có (Ưu tiên cao)
**Chứng chỉ bắt buộc nên có:**
- **CISA** (Certified Information Systems Auditor) — ISACA
→ Phản ánh năng lực kiểm toán hệ thống thông tin
→ Thi tại Việt Nam, phí ~$575 USD, điểm đạt 450/800
- **CGEIT** (Certified in Enterprise IT Governance) — ISACA
→ Chứng minh năng lực quản trị CNTT cấp doanh nghiệp
→ Yêu cầu 5 năm kinh nghiệm quản trị CNTT
**Chứng chỉ nên có thêm:**
- **CISM** (Certified Information Security Manager) — ISACA
→ Quản lý an ninh thông tin, bổ trợ cho CISA
- **CISSP** (Certified Information Systems Security Professional) — (ISC)²
→ Chuẩn quốc tế về an ninh mạng
- **ISO 27001 Lead Implementer / Lead Auditor**
→ Triển khai và đánh giá hệ thống quản lý an ninh thông tin
**Thứ tự ưu tiên lộ trình lấy chứng chỉ:**
1. CISA (quan trọng nhất cho vị trí này)
2. ISO 27001 Lead Implementer
3. CGEIT
4. CISM/CISSP (nếu muốn chuyên sâu an ninh)
---
### 3. Soft Skills cần thiết
- **Giao tiếp với cơ quan quản lý** — làm việc với NHNN, cơ quan kiểm toán
- **Kỹ năng thuyết trình & báo cáo** — trình bày với ban lãnh đạo cấp cao
- **Quản lý stakeholder đa bên** — phối hợp IT, Risk, Legal, Compliance, Internal Audit
- **Tư duy phân tích & logic** — đánh giá rủi ro, xây dựng chính sách
- **Kỹ năng đàm phán** — thuyết phục các bên liên quan tuân thủ chính sách
- **Tiếng Anh** — đọc hiểu tài liệu quốc tế, giao tiếp kỹ thuật
---
### 4. So sánh yêu cầu vị trí tương đương tại các ngân hàng Việt Nam
| Tiêu chí | ACB (vị trí này) | VietinBank | VPBank |
|---|---|---|---|
| Kinh nghiệm | 7-10 năm | 5-8 năm | 5-10 năm |
| Chứng chỉ bắt buộc | CISA (ưu tiên) | CISA | CISA/CISM |
| Mức lương ước tính | 50-80 triệu/tháng | 40-70 triệu/tháng | 45-75 triệu/tháng |
| COBIT/ITIL | Bắt buộc | Ưu tiên | Ưu tiên |
| Làm việc với NHNN | Bắt buộc | Bắt buộc | Bắt buộc |
*Mức lương tham khảo: 50-80 triệu/tháng cho cấp Manager, có thể cao hơn với ứng viên giỏi và chứng chỉ đầy đủ.*
---
### 5. Đánh giá mức độ phù hợp của ứng viên
**✅ Profile lý tưởng:**
- Tốt nghiệp CNTT/An toàn thông tin (ĐH trở lên)
- 7-10 năm kinh nghiệm IT Governance/Risk/Compliance
- Tối thiểu 3 năm trong môi trường ngân hàng/tài chính
- Đã làm việc trực tiếp với NHNN hoặc kiểm toán
- Có CISA hoặc chứng chỉ tương đương
- Thành thạo COBIT, ISO 27001, ITIL
**⚠️ Thiếu một số yếu tố, vẫn ứng tuyển được nếu:**
- Có kinh nghiệm 5-7 năm + chứng chỉ đầy đủ
- Đến từ công ty kiểm toán Big 4 (PwC, Deloitte, EY, KPMG) chuyên về IT Advisory
- Có kinh nghiệm fintech, chứng khoán, bảo hiểm (cần thuyết phục hơn)
**❌ Profile khó cạnh tranh:**
- Dưới 5 năm kinh nghiệm
- Không có kinh nghiệm ngân hàng/tài chính
- Không có chứng chỉ quốc tế
- Chưa từng làm việc với cơ quan quản lý hoặc audit
---
### 6. Lộ trình phát triển kỹ năng nếu thiếu kinh nghiệm
**6 tháng đầu:**
- Tự học COBIT 2019 (Foundation)
- Tham gia khóa ISO 27001 Lead Implementer
- Tìm hiểu các thông tư NHNN liên quan đến CNTT
**6-12 tháng:**
- Luyện thi CISA (hoặc bắt đầu từ CISA nếu chưa đủ điều kiện)
- Ứng tuyển vị trí IT Risk/Compliance tại ngân hàng nhỏ hoặc fintech
- Tích lũy kinh nghiệm audit CNTT
**12-24 tháng:**
- Lấy chứng chỉ chính thức
- Xây dựng portfolio với các dự án governance/th compliance
- Ứng tuyển vị trí tương đương tại ngân hàng lớn
Chuẩn bị phỏng vấn
## Hướng dẫn Phỏng vấn IT Governance & Compliance Manager tại ACB
### 1. Quy trình phỏng vấn dự kiến
**Vòng 1 — Sàng lọc hồ sơ & Đánh giá sơ bộ (HR/Recruiter)**
- Thời gian: 30-45 phút
- Hình thức: Gọi điện hoặc gặp trực tiếp
- Nội dung: Kiểm tra kinh nghiệm cơ bản, động lực ứng tuyển, mức lương kỳ vọng
**Vòng 2 — Phỏng vấn chuyên môn (Trưởng phòng/Cấp quản lý IT)**
- Thời gian: 60-90 phút
- Hình thức: Gặp trực tiếp tại Hội sở ACB
- Nội dung: Kiến thức chuyên môn sâu về IT Governance, Compliance, Risk Management
**Vòng 3 — Phỏng vấn cấp cao (Giám đốc/VP hoặc Ban lãnh đạo)**
- Thời gian: 45-60 phút
- Hình thức: Gặp trực tiếp
- Nội dung: Tầm nhìn chiến lược, khả năng lãnh đạo, fit với văn hóa ACB
**Vòng 4 — Kiểm tra thực tế/Case study (có thể có)**
- Thời gian: 60-120 phút
- Hình thức: Làm bài case study tại chỗ hoặc về nhà
- Nội dung: Phân tích tình huống IT Governance thực tế của ngân hàng
---
### 2. Câu hỏi phỏng vấn theo từng vòng
#### Vòng 1 — Sàng lọc HR
**Câu 1: "Bạn có thể mô tả ngắn gọn kinh nghiệm làm việc về IT Governance không?"**
→ Tips: Tập trung vào quy mô (số lượng nhân sự IT, hệ thống quản lý), ngành nghề, kết quả đạt được. Nên nói rõ framework đã áp dụng (COBIT, ISO 27001...).
**Câu 2: "Tại sao bạn muốn chuyển từ công ty hiện tại sang ACB?"**
→ Tips: Nghiên cứu trước về chiến lược chuyển đổi số của ACB, các dự án IT đang triển khai. Không nên nói "vì lương cao hơn" mà nên nói về cơ hội học hỏi, phát triển.
**Câu 3: "Mức lương kỳ vọng của bạn là bao nhiêu?"**
→ Tips: Vì mức lương ghi "Thương lượng", hãy đề xuất khoảng 50-70 triệu/tháng cho 7-10 năm kinh nghiệm. Nếu có chứng chỉ quốc tế, có thể đàm phán lên 70-90 triệu.
**Câu 4: "Bạn có chứng chỉ gì liên quan không?"**
→ Tips: Kể tên chứng chỉ đã có (CISA, ISO 27001...). Nếu đang học, nói rõ lộ trình và ngày thi dự kiến.
---
#### Vòng 2 — Phỏng vấn chuyên môn
**Câu 5: "Phân biệt COBIT và ITIL? Khi nào dùng cái nào?"**
→ Tips trả lời:
- **COBIT**: Tập trung vào quản trị CNTT cấp doanh nghiệp (IT governance), đảm bảo CNTT đạt mục tiêu kinh doanh, phù hợp ban lãnh đạo, board
- **ITIL**: Tập trung vào vận hành dịch vụ CNTT hàng ngày (IT service management), phù hợp đội ngũ operation, service desk
→ Ví dụ: ACB dùng COBIT để đánh giá hiệu quả đầu tư CNTT, dùng ITIL để quản lý SLA với các đội phát triển/phát hành.
**Câu 6: "Bạn xây dựng khung quản trị CNTT cho ngân hàng như thế nào từ đầu?"**
→ Tips trả lời theo mô hình:
1. Đánh giá thực trạng (maturity assessment theo COBIT)
2. Xác định mục tiêu governance
3. Thiết kế chính sách, tiêu chuẩn, quy trình
4. Triển khai và đào tạo
5. Giám sát và cải tiến liên tục (PDCA)
**Câu 7: "Khi phát hiện một hệ thống không tuân thủ ISO 27001, bạn xử lý thế nào?"**
→ Tips trả lời:
1. Đánh giá mức độ vi phạm (risk rating)
2. Báo cáo ngay cho CISO và Giám đốc IT
3. Xây dựng kế hoạch khắc phục với deadline cụ thể
4. Theo dõi và báo cáo tiến độ
5. Đánh giá lại sau khi khắc phục
**Câu 8: "Các thông tư NHNN nào liên quan đến CNTT mà ngân hàng phải tuân thủ?"**
→ Tips trả lời:
- **Thông tư 16/2020/TT-NHNN**: An toàn, bảo mật trong cung cấp dịch vụ ngân hàng điện tử
- **Thông tư 35/2016/TT-NHNN**: Quản lý rủi ro công nghệ thông tin trong hoạt động ngân hàng
- **Quyết định 422/QĐ-TTg**: Phát triển thanh toán không dùng tiền mặt
- **Thông tư 13/2018/TT-NHNN**: Giám sát an ninh mạng
→ Biết càng nhiều thông tư càng thể hiện năng lực chuyên môn
**Câu 9: "Mô tả quy trình quản lý rủi ro CNTT tại ngân hàng?"**
→ Tips trả lời theo khung:
1. **Nhận diện** (Identify): Asset inventory, threat intelligence, vulnerability assessment
2. **Đánh giá** (Assess): Likelihood × Impact matrix
3. **Xử lý** (Treat): Mitigate, transfer, accept, avoid
4. **Giám sát** (Monitor): KRIs, dashboards, periodic reviews
5. **Báo cáo** (Report): Định kỳ cho management và board
**Câu 10: "Làm thế nào để đảm bảo compliance khi triển khai dự án CNTT mới?"**
→ Tips trả lời: Áp dụng "Security by Design" — tích hợp compliance từ giai đoạn thiết kế, bao gồm security review, privacy impact assessment, và regulatory assessment trước khi go-live.
**Câu 11: "Bạn có kinh nghiệm làm việc với NHNN hoặc kiểm toán như thế nào?"**
→ Tips: Mô tả cụ thể: đã tham gia đợt thanh tra nào, chuẩn bị bộ tài liệu gì, xử lý findings ra sao. Nếu chưa có, nói về kinh nghiệm làm việc với auditor (Big 4, internal audit).
---
#### Vòng 3 — Phỏng vấn cấp cao
**Câu 12: "Bạn sẽ ưu tiên làm gì trong 90 ngày đầu tiên nếu được nhận?"**
→ Tips trả lời:
- Tháng 1: Khảo sát thực trạng, đánh giá maturity level
- Tháng 2: Xác định 3-5 rủi ro ưu tiên cao nhất
- Tháng 3: Đề xuất roadmap cải tiến với quick wins
**Câu 13: "Làm sao để thuyết phục đội ngũ IT tuân thủ chính sách governance?"**
→ Tips: Không dùng cách "phạt" mà dùng cách "tạo giá trị" — giải thích lợi ích, đơn giản hóa quy trình, tạo công cụ hỗ trợ (checklist, template), đo lường và khen thưởng.
**Câu 14: "Nhìn 3-5 năm tới, xu hướng IT Governance trong ngân hàng là gì?"**
→ Tips: AI/ML trong risk management, Zero Trust Architecture, Cloud governance, RegTech, increased focus on data privacy (PDPA), cybersecurity resilience.
**Câu 15: "Bạn có câu hỏi gì cho chúng tôi không?"**
→ Câu hỏi nên hỏi:
- "Đội ngũ IT Governance hiện tại có bao nhiêu người?"
- "ACB đang ở giai đoạn nào của maturity về IT Governance?"
- "Thách thức lớn nhất của vị trí này trong 12 tháng tới là gì?"
- "Cơ hội thăng tiến và phát triển như thế nào?"
---
### 3. Case Study mẫu (dạng có thể gặp)
**Case: "ACB đang triển khai hệ thống Core Banking mới. Trong quá trình migration, phát hiện vendor không tuân thủ đầy đủ các control theo ISO 27001. Bạn xử lý thế nào?"**
→ Hướng dẫn trả lời:
1. Tạm dừng/mức hạn chế việc migration đến khi có remediation plan
2. Đánh giá rủi ro cụ thể của từng control thiếu
3. Yêu cầu vendor cung cấp SSAE 18/SOC 2 report hoặc gap assessment
4. Thương lượng timeline khắc phục với vendor và project board
5. Nếu không khắc phục được: cân nhắc đổi vendor hoặc tăng cường control bên trong (compensating controls)
6. Báo cáo cho CISO, Giám đốc IT và các bên liên quan
7. Ghi nhận vào risk register với mitigation plan
---
### 4. Dress Code & Tips chuẩn bị
**Dress Code:**
- Nam: Vest / sơ mi cộc tay + quần âu (không cà vạt cũng được nhưng vest chuyên nghiệp hơn)
- Nữ: Vest nữ / áo sơ mi thanh lịch + quần âu hoặc váy công sở
- Màu sắc: Xanh navy, xám, trắng — tránh màu quá nổi
**Chuẩn bị mang theo:**
- Bản in CV (2-3 bản)
- Bản sao chứng chỉ (CISA, ISO 27001...)
- Sổ ghi chép nhỏ
- Laptop/tablet (nếu cần trình bày case)
**Nghiên cứu trước:**
- Website ACB: mục Quan hệ nhà đầu tư, báo cáo thường niên
- Các dự án chuyển đổi số của ACB gần đây
- Tin tức về NHNN ban hành quy định CNTT mới
- Lịch sử kiểm toán/giám sát ngân hàng gần đây
Lộ trình ôn thi
## Ôn thi & Chuẩn bị cho vị trí IT Governance & Compliance Manager tại ACB
### Lộ trình chuẩn bị 2 tuần
---
### Tuần 1: Xây dựng nền tảng kiến thức
**Ngày 1-2: Tổng quan COBIT**
- Đọc: COBIT 2019 Framework (ISACA) — phần Overview và Design Factors
- Xem: Video COBIT 2019 Foundation trên YouTube (kênh ISACA)
- Ghi chú: 5 domains chính (EDM, APO, BAI, DSS, MEA), 40 governance/management objectives
- Thực hành: Làm quiz COBIT 2019 Foundation (miễn phí trên trang ISACA)
**Ngày 3-4: ISO 27001 & An ninh thông tin**
- Đọc: ISO/IEC 27001:2022 — Clauses 4-10 và Annex A controls
- Hiểu: PDPA Việt Nam (Luật Bảo vệ Dữ liệu Cá nhân 2023) — điểm chính
- Ghi chú: ISMS cycle (Plan-Do-Check-Act), Statement of Applicability
- Thực hành: So sánh ISO 27001:2013 vs 2022 để thấy các control mới
**Ngày 5: ITIL v4**
- Đọc: ITIL 4 Foundation — 34 practices, 7 guiding principles
- Tập trung: Service Value System, 4 dimensions of service management
- Ghi chú: Cách ITIL hỗ trợ COBIT trong vận hành hàng ngày
**Ngày 6: Quy định NHNN**
- Đọc kỹ:
- **Thông tư 35/2016/TT-NHNN**: Quản lý rủi ro CNTT trong ngân hàng
- **Thông tư 16/2020/TT-NHNN**: An toàn bảo mật ngân hàng điện tử
- **Thông tư 13/2018/TT-NHNN**: Giám sát an ninh mạng
- Ghi chú: Các yêu cầu cụ thể về governance, risk, compliance
**Ngày 7: IT Risk Management**
- Học: NIST Risk Management Framework
- Thực hành: Xây dựng risk register mẫu cho ngân hàng
- Ghi chú: Risk appetite, risk tolerance, KRIs
---
### Tuần 2: Chuyên sâu & Luyện tập
**Ngày 8-9: Audit CNTT & Compliance**
- Đọc: ISACA ITAF (Information Technology Assurance Framework)
- Học: Quy trình audit CNTT (planning → fieldwork → reporting → follow-up)
- Ghi chú: Các loại audit findings và cách phân loại severity
- Thực hành: Chuẩn bị bài thuyết trình về một framework cụ thể
**Ngày 10-11: Ôn tập toàn diện & Điều chỉnh yếu tố ngân hàng**
- Đọc: Báo cáo thường niên ACB (phần Công nghệ & Quản lý rủi ro)
- Nghiên cứu: Các thông tư mới NHNN 2023-2024
- Học: Basel III / Basel IV implications cho CNTT ngân hàng
- Ghi chú: Các tiêu chuẩn SECO, SWIFT Customer Security Program
**Ngày 12-13: Luyện phỏng vấn**
- Tự hỏi đáp: 15 câu hỏi phỏng vấn đã chuẩn bị
- Thực hành: Nói trước gương hoặc với người thân
- Chuẩn bị: 2-3 câu hỏi thông minh cho vòng cuối
**Ngày 14: Chuẩn bị cuối cùng**
- In: CV, bảng so sánh frameworks, bảng quy định NHNN
- Kiểm tra: Giấy tờ, trang phục, địa điểm
- Nghỉ ngơi sớm
---
### Tài liệu tham khảo bắt buộc
**Sách:**
1. "COBIT 2019 Framework: Governance and Management Objectives" — ISACA
2. "IT Governance: A Pocket Guide" — Steve Marks
3. "ISO/IEC 27001:2022 Controls Mapping" — ISO
4. "IT Risk Management" — Gary H. Stanford (dành cho ngân hàng)
**Tài liệu online miễn phí:**
- ISACA website (isaca.org) — resources, whitepapers
- NHNN website (sbv.gov.vn) — các thông tư, quyết định
- NIST website (nist.gov) — Risk Management Framework
- CSBV (Cục An ninh mạng) — quy định an ninh mạng
**Khóa học trực tuyến:**
- Coursera: "IT Governance and Cybersecurity Management" (Arizona State University)
- Udemy: "CISA Certification Prep Course" (nếu có kế hoạch lấy CISA)
- ISACA Vietnam Chapter — các buổi seminar định kỳ
**Groups/Communities:**
- ISACA Vietnam Chapter (Facebook group)
- VNISA (Việt Nam Information Security Association)
- Các group LinkedIn về IT Governance/Risk tại Việt Nam
---
### Checklist trước ngày phỏng vấn
**Kiến thức (luôn sẵn sàng):**
- [ ] Giải thích được COBIT, ITIL, ISO 27001 bằng tiếng Việt và tiếng Anh
- [ ] Nhớ ít nhất 5 thông tư NHNN liên quan
- [ ] Mô tả được quy trình quản lý rủi ro CNTT end-to-end
- [ ] Nắm vững PDPA và ảnh hưởng đến ngân hàng
- [ ] Hiểu Basel III framework cho ngân hàng
**Hồ sơ:**
- [ ] CV cập nhật (1 trang, highlight IT Governance)
- [ ] Bản sao chứng chỉ CISA/CISM/ISO 27001
- [ ] Bản mềm CV đã gửi email (để đối chiếu)
- [ ] Bài mẫu/thuyết trình về governance framework
**Ngày phỏng vấn:**
- [ ] Đến sớm 15 phút
- [ ] Tắt điện thoại / để chế độ im lặng
- [ ] Chuẩn bị nước uống
- [ ] Sẵn sàng tâm lý — nếu không biết câu trả lời, nói "Tôi sẽ tìm hiểu thêm" thay vì nói sai
Tư vấn nghề nghiệp
## Lời khuyên Sự nghiệp cho IT Governance & Compliance Manager
### 1. Lộ trình thăng tiến
```
Junior IT Risk Analyst (2-3 năm kinh nghiệm)
↓
IT Governance / Compliance Specialist (3-5 năm)
↓
IT Governance & Compliance Manager ★ [Vị trí này]
↓
Senior Manager / Deputy Director (3-5 năm sau)
↓
Director of IT Risk & Compliance / CISO / CIO (7-10 năm)
↓
VP / SVP — Technology Risk & Governance (10+ năm)
↓
Chief Risk Officer / Board Level Advisory
```
---
### 2. Mức lương kỳ vọng theo cấp bậc (tham khảo thị trường Việt Nam 2024)
| Cấp bậc | Kinh nghiệm | Mức lương/tháng (VND) |
|---|---|---|
| IT Risk Analyst | 1-3 năm | 20-35 triệu |
| IT Governance Specialist | 3-5 năm | 30-50 triệu |
| **IT GRC Manager** | **5-8 năm** | **50-80 triệu** |
| Senior Manager | 8-12 năm | 80-130 triệu |
| Director / CISO | 12-15 năm | 130-200 triệu |
| VP / CRO | 15+ năm | 200-350 triệu |
**Yếu tố ảnh hưởng đến lương:**
- Chứng chỉ quốc tế: CISA/CGEIT có thể cộng thêm 15-25% lương
- Kinh nghiệm ngân hàng lớn: cộng thêm 10-20%
- Kinh nghiệm làm việc với NHNN/regulator: cộng thêm 10-15%
- Khả năng ngoại ngữ (tiếng Anh lưu loát): cộng thêm 10-15%
---
### 3. Kỹ năng cần phát triển thêm để thăng tiến
**Ngắn hạn (6-12 tháng tới):**
- **Lấy chứng chỉ CGEIT** — chuẩn bị cho vị trí Director/CISO
- **Học thêm về Cloud Governance** — AWS/Azure governance, hybrid cloud compliance
- **Nâng cao tiếng Anh** — đặc biệt Business English, thuật ngữ compliance
- **Học Data Governance** — GDPR, PDPA, data classification, data lineage
**Trung hạn (1-3 năm):**
- **Emerging Technologies** — AI/ML governance, blockchain compliance, quantum computing risk
- **Business acumen** — hiểu sâu nghiệp vụ ngân hàng ( bancassurance, wealth management, SME lending)
- **Executive presence** — trình bày với board, viết board papers, strategic thinking
- **Project management** — PMP hoặc Prince2 để quản lý các initiative lớn
**Dài hạn (3-5 năm):**
- **CISO path**: Lấy CISSP → tiến tới CISO
- **GRC Director path**: Mở rộng phạm vi sang Enterprise GRC
- **Risk Advisory path**: Chuyển sang Big 4 (Risk Advisory Partner)
- **Board path**: Đào tạo thêm về IT governance cấp board (CGEIT + CISA + thạc sĩ)
---
### 4. Các ngân hàng/tổ chức để ứng tuyển tiếp (sau ACB hoặc để so sánh)
**Nhóm Tier 1 (lương cao, quy mô lớn):**
- VietinBank, BIDV, Vietcombank — cần IT GRC mạnh, lương 60-100 triệu
- Techcombank, VPBank — môi trường năng động, lương competitive
- TPBank, MB Bank — fintech-friendly, cơ hội học công nghệ mới
**Nhóm fintech/tech company:**
- MoMo, VNPay, ZaloPay — governance framework đang phát triển
- FPT, Viettel — cần IT GRC cho các dịch vụ tài chính
**Nhóm Big 4 / Advisory:**
- PwC, Deloitte, EY, KPMG Vietnam — IT Risk Advisory, lương 80-150 triệu, bonus lớn
---
### 5. Tips thực tế cho sự nghiệp IT GRC tại Việt Nam
**Nên làm:**
- ✅ Xây dựng network với ISACA Vietnam Chapter — event thường xuyên, kết nối HR và headhunter
- ✅ Theo dõi trang web NHNN và Cục An ninh mạng — quy định mới ra liên tục
- ✅ Viết blog/bài chia sẻ về IT GRC — xây personal brand, tăng visibility
- ✅ Tham gia hội thảo: Vietnam Information Security Day, Banking Technology Conference
- ✅ Kết nối với headhunter chuyên ngành ngân hàng (Robert Walters, Michael Page, Navigos)
- ✅ Học thêm về AI/ML governance — xu hướng hot 2024-2025
**Không nên:**
- ❌ Chỉ tập trung vào kỹ thuật, bỏ qua business context
- ❌ Giữ chứng chỉ mà không áp dụng thực tế
- ❌ Né tránh giao tiếp với regulator/cơ quan quản lý
- ❌ Làm việc siloed — cần hợp tác với nhiều bộ phận
- ❌ Chỉ tuân thủ thụ động — cần tạo giá trị cho doanh nghiệp
---
### 6. Đánh giá cơ hội tại ACB
**Ưu điểm:**
- Ngân hàng TMCP lớn, thương hiệu uy tín
- Đang trong giai đoạn chuyển đổi số mạnh — nhiều dự án thú vị
- Hội sở tại TP.HCM — tiếp cận nhiều cơ hội networking
- Vị trí Head Office — làm việc trực tiếp với ban lãnh đạo
**Thách thức:**
- Áp lực tuân thủ quy định NHNN ngày càng tăng
- Phối hợp với nhiều bên liên quan phức tạp
- Khối lượng công việc lớn với team nhỏ
- Cần cập nhật liên tục quy định mới
Câu hỏi thường gặp
Em mới tốt nghiệp IT, chưa có kinh nghiệm ngân hàng. Có ứng tuyển được vị trí này không?
Thực tế rất khó cạnh tranh. Vị trí yêu cầu 7-10 năm kinh nghiệm IT Governance/Risk/Compliance trong môi trường ngân hàng/tài chính, và yêu cầu kinh nghiệm làm việc với cơ quan quản lý. Tuy nhiên, em có thể bắt đầu bằng cách: (1) Ứng tuyển vị trí IT Risk Analyst tại các ngân hàng nhỏ hoặc fintech; (2) Lấy chứng chỉ CISA hoặc ISO 27001; (3) Tích lũy 3-5 năm kinh nghiệm rồi quay lại ứng tuyển vị trí Manager. Lộ trình này thực tế hơn và giúp em có nền tảng vững chắc.
Em đang làm IT Support tại ngân hàng được 4 năm, muốn chuyển sang IT Governance. Cần làm gì?
Đây là lộ trình khả thi. Trước tiên, em cần có chứng chỉ CISA (hoặc CISM) — đây là minh chứng năng lực chuyên môn quan trọng nhất. Tiếp theo, tìm cơ hội nội bộ chuyển sang phòng IT Risk/Compliance nếu có, hoặc ứng tuyển vị trí IT Governance Specialist ở ngân hàng khác. Khi có 5-7 năm kinh nghiệm governance + chứng chỉ, em sẽ cạnh tranh tốt cho vị trí Manager. Đồng thời, tận dụng kinh nghiệm IT Support để hiểu vận hành hệ thống ngân hàng — đây là lợi thế khi phỏng vấn.
Mức lương cho vị trí IT Governance Manager tại ACB là bao nhiêu? Có thương lượng được không?
Dựa trên mức "Thương lượng" trong tin tuyển dụng và thị trường hiện tại, mức lương ước tính cho vị trí này là 50-80 triệu/tháng. Nếu em có: (1) Kinh nghiệm 8-10 năm; (2) Chứng chỉ CISA/CGEIT; (3) Đã làm việc trực tiếp với NHNN — có thể thương lượng lên 80-100 triệu. Ngoài ra, hãy hỏi về: thưởng KPI (thường 1-3 tháng lương), bảo hiểm cao cấp, phụ cấp, cơ hội đào tạo chứng chỉ quốc tế. Đây là cơ hội đàm phán tốt vì ACB ghi "thương lượng" thay vì cố định.
KPI của IT Governance & Compliance Manager như thế nào? Có áp lực không?
KPIs thường gồm: (1) Số lượng chính sách/quy trình được ban hành/cập nhật; (2) Tỷ lệ tuân thủ các framework (COBIT, ISO 27001 audit results); (3) Số lượng audit findings được khắc phục đúng deadline; (4) Thời gian xử lý báo cáo compliance cho NHNN; (5) Đánh giá maturity level cải thiện hàng năm. Áp lực chính đến từ: deadline regulatory reporting, đợt thanh tra NHNN, incident response khi có security breach. Tuy nhiên, đây là vai trò "control tower" nên được đánh giá cao nếu ngăn ngừa được rủi ro thay vì chỉ phản ứng với sự cố.
Điểm khác biệt giữa IT Governance, IT Risk và IT Compliance là gì? Vị trí này cần tập trung vào cái nào?
Ba khái niệm liên quan nhưng khác nhau: (1) IT Governance — thiết lập khung, chính sách, đảm bảo IT đạt mục tiêu kinh doanh (bức tranh lớn, chiến lược); (2) IT Risk — nhận diện, đánh giá, giám sát rủi ro CNTT (tập trung vào risk assessment); (3) IT Compliance — đảm bảo tuân thủ luật, quy định, tiêu chuẩn (tập trung vào check-list, audit). Vị trí này bao trùm cả 3 (governance, risk, compliance — GRC), nhưng trọng tâm là Governance + Compliance, với Risk Management là phần hỗ trợ. Điều này phản ánh trong tên JD: "IT Governance & Compliance Manager".
Ngoài ACB, còn ngân hàng nào đang tuyển vị trí tương tự? Lương so sánh ra sao?
Các ngân hàng đang tuyển vị trí tương tự: VietinBank (lương 45-70 triệu), Techcombank (50-80 triệu), VPBank (55-85 triệu), TPBank (40-65 triệu). Ngoài ra, các công ty fintech (MoMo, VNPay) và Big 4 (PwC, Deloitte Risk Advisory) cũng tuyển vị trí tương đương. Big 4 trả lương 70-120 triệu nhưng áp lực dự án cao hơn ngân hàng. So với ACB, Techcombank và VPBank thường trả lương cạnh tranh hơn nhưng yêu cầu cũng cao hơn. ACB là lựa chọn tốt để xây dựng nền tảng vững với workload cân bằng hơn.
Em đã có 8 năm kinh nghiệm IT Security, chứng chỉ CISSP, nhưng chưa làm Governance. Ứng tuyển vị trí này được không?
Hoàn toàn có thể ứng tuyển. CISSP là chứng chỉ mạnh về security — đây là lợi thế lớn. Tuy nhiên, em cần bổ sung thêm: (1) Học COBIT framework (tự học hoặc khóa ngắn 2-3 ngày) — COBIT có phần security nhưng tập trung governance rộng hơn; (2) Chuẩn bị câu chuyện về việc chuyển từ security sang governance — nhấn mạnh security background giúp governance framework thực tiễn và có controls cụ thể hơn; (3) Tìm hiểu thêm về regulatory compliance (NHNN, Basel) — đây là phần Governance không có trong CISSP. Trong CV, hãy highlight kinh nghiệm policy development, audit coordination, stakeholder management nếu có.
Giờ làm việc của vị trí này như thế nào? Có OT nhiều không?
Thông thường 8:00-17:30 hoặc 9:00-18:00, thứ 2-thứ 6. OT chủ yếu xảy ra khi: (1) Đợt thanh tra NHNN hoặc kiểm toán — có thể cần làm thêm 1-2 tuần trước deadline; (2) Incident response — nếu có sự cố security nghiêm trọng; (3) Quý cuối năm — chuẩn bị báo cáo annual compliance; (4) Triển khai dự án lớn. Nói chung, đây không phải vị trí cần OT thường xuyên như dev/ops. Tuy nhiên, vì làm việc với regulator và management, cần có tính linh hoạt về giờ giấc đôi khi.