Techcombank
Senior Expert, Technology and Digital Risk Management (40000874)
TP. Ha Noi
Risk Management Division
Experienced (Non-Manager)
Mô tả công việc
## Job Purpose
1. Manage and monitor TDRM to ensure technology and digital risks are managed and mitigated within risk limit
2. Develop, propose and implement TDRM programs and activities to manage technology and digital risks
3. Provide subject matter advices and design TDRM policies, standards, regulations, procedures and methodologies, risk taxonomies and respective mitigation controls
4. Provide subject matter advices related to Technology và Digital innovation and implementation
5. Develop TDRM capabilities and improve bankwide TDRM awareness and culture
## Key Accountabilities (1)
Manage and monitor TDRM
- Develop, propose and implement TDRM programs and activities to manage technology and digital risks
- Provide subject matter advices and design TDRM policies, standards, regulations, procedures and methodologies
- Develop technology and digital risk taxonomies and respective mitigation controls
- identify data collection requirements for TDRM data, develop TDRM data structure, model, dashboard and KRI to monitor technology and digital risks and forecast risk trends; and propose early actions to ensure technology and digital risks are managed and mitigated within acceptable level
## Key Accountabilities (2)
Provide subject matter advices related to Technology và Digital innovation and implementation
- Evaluate technology strategy, business process, control automation and governance and compliance
- Evaluate the effectiveness of controls and oversee and oversight the design and implementation of controls.
- Support in investigation of cyber digital risk incidents and recommend solution/action to mitigate and manage risks
## Key Accountabilities (3)
Develop TDRM capabilities and improve bankwide TDRM awareness and culture
- Conduct training on subject matters to TDRM team members to improve team's capabilities and to fulfil the function's job requirements.
- Support other units to conduct training and communication to improve bank-wide TDRM awareness and culture.
## Success Profile - Qualification and Experiences
Experience:
- At least 10 years of relevant work experience and at least 04 years of people management experience
Expertise:
- Extensive knowlegde of technology and digital risks, information systems, information security, information system review
- Extensive knowledge of banking information system landscape and banking business operation
- Understanding the TCB information systems and business operation
Qualifications:
- Having a university degree or higher on Information Technology, Information System, Information Security or equivalent
- English: TOEIC 600 or equivalent
- Having professional certification on IT risk, information security, Information system review
Phân tích kỹ năng cần có
## Phân tích Kỹ năng Cần Có
### 1. Hard Skills (Kỹ năng Chuyên môn)
#### Bắt buộc:
| Kỹ năng | Mức độ yêu cầu | Ghi chú |
|---------|----------------|---------|
| **IT Risk Management** | Chuyên sâu | Quản lý rủi ro công nghệ toàn diện |
| **Information Security** | Chuyên sâu | An ninh thông tin, bảo mật dữ liệu |
| **Information System Audit/Review** | Trung bình-cao | Đánh giá hệ thống thông tin |
| **Risk Taxonomy Development** | Cao | Xây dựng phân loại rủi ro |
| **KRI & Dashboard Design** | Cao | Thiết kế chỉ số và dashboard giám sát |
| **Control Design & Evaluation** | Cao | Thiết kế và đánh giá kiểm soát |
| **Data Analysis** | Trung bình-cao | Phân tích dữ liệu rủi ro |
| **Tiếng Anh** | TOEIC 600+ | Đọc hiểu tài liệu kỹ thuật, giao tiếp |
#### Chứng chỉ Khuyến nghị:
- **CRISC** (Certified in Risk and Information Systems Control) - Ưu tiên cao nhất
- **CISM** (Certified Information Security Manager)
- **CISSP** (Certified Information Systems Security Professional)
- **CISA** (Certified Information Systems Auditor)
- **ITIL** (Information Technology Infrastructure Library)
- **ISO 27001 Lead Auditor**
- **COBIT 2019**
### 2. Soft Skills (Kỹ năng Mềm)
| Kỹ năng | Tầm quan trọng | Mô tả chi tiết |
|---------|---------------|----------------|
| **Leadership** | ⭐⭐⭐⭐⭐ | Quản lý team 4+ năm kinh nghiệm, dẫn dắt chuyên gia |
| **Strategic Thinking** | ⭐⭐⭐⭐⭐ | Định hướng chiến lược TDRM cho toàn ngân hàng |
| **Communication** | ⭐⭐⭐⭐⭐ | Truyền đạt vấn đề phức tạp cho ban lãnh đạo |
| **Stakeholder Management** | ⭐⭐⭐⭐ | Làm việc với nhiều bộ phận (IT, Business, Audit) |
| **Training & Development** | ⭐⭐⭐⭐ | Đào tạo đội ngũ, nâng cao văn hóa TDRM |
| **Problem Solving** | ⭐⭐⭐⭐⭐ | Xử lý sự cố rủi ro công nghệ |
| **Change Management** | ⭐⭐⭐ | Quản lý thay đổi trong chuyển đổi số |
### 3. Kiến thức Ngành Ngân hàng
- Hiểu biết sâu về **hệ thống core banking**
- Kiến thức về **payment systems** (thanh toán điện tử)
- Hiểu về **digital banking channels** (mobile, internet banking)
- Kiến thức về **regulatory requirements** (NHNN, Basel III)
- Familiar với **Fintech ecosystem** và rủi ro liên quan
### 4. So sánh Vị trí Tương đương
| Vị trí | Ngân hàng khác | Mức lương ước tính (VNĐ/tháng) |
|--------|---------------|------------------------------|
| Senior Expert TDRM | Techcombank | 50-80 triệu + bonus |
| VP, IT Risk | VPBank, BIDV | 40-70 triệu |
| Director, Cyber Risk | VietinBank | 60-90 triệu |
| Head of Technology Risk | MBBank | 70-100 triệu |
Chuẩn bị phỏng vấn
## Hướng dẫn Phỏng vấn Techcombank - Senior TDRM
### Quy trình Phỏng vấn Dự kiến
**Vòng 1: HR Screening (30-45 phút)**
- Kiểm tra kinh nghiệm, động lực ứng tuyển
- Đánh giá tiếng Anh qua giao tiếp
- Xác nhận chứng chỉ, bằng cấp
**Vòng 2: Technical Interview với Line Manager (60-90 phút)**
- Deep dive vào kinh nghiệm TDRM
- Case study về quản lý rủi ro công nghệ
- Đánh giá kiến thức chuyên môn
**Vòng 3: Panel Interview với Senior Leadership (45-60 phút)**
- Trình bày tầm nhìn chiến lược TDRM
- Behavioral questions (STAR method)
- Câu hỏi về leadership và quản lý team
**Vòng 4: Final Interview với C-level (30-45 phút)**
- Culture fit với Techcombank
- Đàm phán compensation & benefits
### Câu hỏi Thường gặp theo Vòng
#### Vòng 1 - HR:
1. "Tại sao bạn quan tâm đến vị trí này tại Techcombank?"
2. "Bạn có thể mô tả dự án TDRM lớn nhất mà bạn đã tham gia?"
3. "Bạn đánh giá thế nào về xu hướng rủi ro công nghệ trong ngành ngân hàng Việt Nam?"
4. "Các chứng chỉ chuyên môn bạn đang có? Kế hoạch phát triển thêm?"
#### Vòng 2 - Technical:
1. "Làm thế nào để xây dựng risk taxonomy cho một ngân hàng số hóa?"
2. "Mô tả framework bạn sử dụng để đánh giá rủi ro third-party (outsourcing)?"
3. "Bạn xử lý thế nào khi phát hiện một lỗ hổng bảo mật nghiêm trọng trên hệ thống core banking?"
4. "Làm sao để đo lường và báo cáo KRI hiệu quả cho ban lãnh đạo?"
5. "Cách tiếp cận của bạn trong việc đánh giá rủi ro của công nghệ mới (AI, Cloud, Blockchain)?"
6. "Mô tả kinh nghiệm thiết kế control framework cho digital banking channel."
#### Vòng 3 - Leadership:
1. " STAR: Kể về lần bạn phải đưa ra quyết định khó khăn trong quản lý rủi ro?"
2. "Làm sao để build culture về TDRM trong một tổ chức?"
3. "Bạn sẽ phát triển team TDRM như thế nào trong 3 năm tới?"
4. "Cách bạn handle conflict giữa security requirement và business speed?"
### Tips Chuẩn bị Đặc biệt cho Techcombank
✅ **Nghiên cứu Techcombank:**
- Techcombank là ngân hàng TMCP tư nhân lớn, tập trung mạnh vào digital transformation
- Tìm hiểu về chiến lược "Client Centric", các sản phẩm số (FPT, Topica ecosystem)
- Hiểu về kiến trúc hệ thống và công nghệ đang sử dụng
✅ **Chuẩn bị Case Studies:**
- Case về data breach incident response
- Case về vendor risk management
- Case về cloud migration risk assessment
- Case về AI/ML governance framework
✅ **Dress Code:**
- Business formal (suit, đủ các nút còn)
- Ghi chú: Techcombank khá progressive, có thể business casual cho senior roles nhưng vòng final nên formal
✅ **Tài liệu Mang theo:**
- Bản sao chứng chỉ (CRISC, CISM, CISA...)
- Portfolio các dự án TDRM đã tham gia (bảo mật)
- Reference letters từ previous employers
Lộ trình ôn thi
## Lộ trình Ôn thi & Chuẩn bị (2-4 tuần)
### Tuần 1: Củng cố Nền tảng
#### Ngày 1-2: Tổng quan TDRM Framework
- Đọc: **NIST Cybersecurity Framework**
- Đọc: **ISO 31000 Risk Management**
- Đọc: **COBIT 2019** (focus on EDM, APO areas)
- Ghi chú: Cách mapping với ngân hàng Việt Nam
#### Ngày 3-4: Banking Technology Risk
- Đọc: **Basel Committee - Sound Management of Risks Related to Money Laundering and Financing of Terrorism**
- Đọc: **NHNN Circular 13/2018/TT-NHNN** (an ninh thông tin)
- Đọc: **NHNN Circular 16/2020/TT-NHNN** (ATM, POS, electronic banking)
- Tìm hiểu: Các quy định về outsource service provider
#### Ngày 5-7: Technical Deep Dive
- OWASP Top 10 (web application security)
- Cloud Security Alliance (CSA) best practices
- API Security best practices
- DevSecOps concepts
### Tuần 2: Chuyên sâu Technical Knowledge
#### Ngày 8-10: Specific Risk Areas
| Risk Area | Resource | Hours |
|-----------|----------|-------|
| Cyber Risk | SANS Reading Room | 6h |
| Operational Risk (Tech) | IIA guides | 4h |
| Third-party Risk | ISO 27036 | 4h |
| Data Privacy | PDPD 2023 | 4h |
#### Ngày 11-12: KRI & Metrics
- Học cách thiết kế KRI dashboard
- Các framework: COBIT, CMMI
- Practice: Xây dựng sample TDRM dashboard
#### Ngày 13-14: Review & Mock Interview
- Review tất cả notes
- Practice trả lời technical questions
- Record và self-evaluate
### Tuần 3-4: Pre-interview Intensive
#### Focus Areas:
1. **Techcombank-specific preparation:**
- Đọc annual report, news về digital initiatives
- Tìm hiểu competitors (VPBank, MBBank, TPBank)
2. **Leadership Questions:**
- Chuẩn bị 5-7 STAR stories từ kinh nghiệm
- Focus: conflict resolution, team building, crisis management
3. **Industry Trends:**
- AI/ML governance
- Cloud computing regulations
- Open Banking security
- Quantum computing threats
### Tài liệu Tham khảo Recommend
**Sách:**
- "Information Security Risk Management" - W. Krag Brotby
- "IT Risk Management Guide" - BMIT
- "The DevOps Handbook" - Kim et al.
**Online Courses:**
- Coursera: "IT Risk Management" (Rutgers)
- SANS: "MGT512 - Security Leadership Essentials"
- ISACA: "CRISC Review Course" (online)
**Vietnam Regulations:**
- TTNHNN 13/2018/TT-NHNN
- TTNHNN 16/2020/TT-NHNN
- QCVN 81:2021/BTTTT (về an ninh thông tin)
Tư vấn nghề nghiệp
## Lời khuyên Sự nghiệp cho Senior TDRM tại Techcombank
### Lộ trình Thăng tiến Dự kiến
```
Senior Expert, TDRM (Level hiện tại)
│
├──→ Director, Technology Risk (1-2 năm)
│ │
│ ├──→ VP, Digital Risk (2-3 năm)
│ │
│ └──→ Head of TDRM/Cyber Risk (3-5 năm)
│
└──→ Specialization Path:
├──→ Chief Information Security Officer (CISO)
│
└──→ Chief Risk Officer (CRO) - broader scope
```
### Mức Lương Kỳ vọng theo Cấp bậc
| Level | Vị trí | Lương tháng (VNĐ) | Bonus | Tổng năm |
|-------|--------|------------------|-------|----------|
| Senior Expert | Hiện tại | 50-80 triệu | 2-4 tháng | 800M-1.2 tỷ |
| Director | 1-2 năm sau | 70-100 triệu | 3-6 tháng | 1-1.5 tỷ |
| VP/Head | 3-5 năm sau | 100-150 triệu | 4-12 tháng | 1.5-3 tỷ |
| CISO | 5-7 năm sau | 150-250 triệu | 6-12 tháng | 3-5 tỷ |
*Note: Techcombank thường có performance bonus cao, total compensation có thể vượt mức trên*
### Kỹ năng Cần Phát triển thêm (2024-2025)
#### Must-have (Để giữ vững vị trí):
1. **AI/ML Risk Management** - Cực kỳ quan trọng với Techcombank
2. **Cloud Security Architecture** - AWS, Azure, GCP certifications
3. **Regulatory Intelligence** - Theo dõi sát quy định NHNN mới
4. **Executive Communication** - Trình bày cho C-level board
#### Nice-to-have (Để thăng tiến nhanh):
1. **Business Acumen** - Hiểu revenue drivers của ngân hàng
2. **Program Management** - PMP hoặc Prince2
3. **Data Science/Analytics** - Python, SQL, BI tools
4. **Agile/DevSecOps** - Security in CI/CD pipeline
### Techcombank-Specific Advice
**Văn hóa Techcombank:**
- Rất performance-oriented, data-driven
- Fast-paced, nhiều change
- Yêu cầu proactivity cao, không chờ instructions
- Team-based nhưng cá nhân chịu trách nhiệm rõ
**Để thành công tại đây:**
1. **Build relationships** với IT, Digital, Business teams
2. **Be visible** - present findings, propose initiatives
3. **Stay updated** - Techcombank luôn pioneer công nghệ mới
4. **Balance risk & innovation** - hỗ trợ business chứ không cản trở
### So sánh với Các Ngân hàng Khác
| Aspect | Techcombank | VPBank | MBBank |
|--------|-------------|--------|--------|
| Tech Maturity | Rất cao | Cao | Cao |
| Agility | Nhanh | Trung bình | Nhanh |
| Work-life balance | Trung bình | Tốt | Trung bình |
| Compensation | Cao | Cao | Cao |
| Career growth | Nhanh | Trung bình | Nhanh |
Câu hỏi thường gặp
Em mới tốt nghiệp IT, chưa có kinh nghiệm ngân hàng. Có thể apply vị trí này không?
Vị trí này yêu cầu tối thiểu 10 năm kinh nghiệm và 4 năm quản lý team, nên với fresh graduate thì chưa phù hợp. Tuy nhiên, bạn có thể xây dựng lộ trình: Bắt đầu từ Junior IT Risk Analyst (2-3 năm kinh nghiệm) → IT Risk Specialist (5-7 năm) → Senior/Lead (7-10 năm) → rồi mới nhắm Senior Expert. Trong thời gian này, tích lũy chứng chỉ CRISC/CISA và kinh nghiệm với hệ thống ngân hàng.
Em đang làm IT Audit 5 năm, muốn chuyển sang TDRM. Vị trí này phù hợp không?
Với 5 năm IT Audit, bạn có nền tảng tốt nhưng chưa đủ 10 năm kinh nghiệm. Bạn nên ứng tuyển ở mức Senior Specialist (thay vì Senior Expert). Hoặc thử apply và đàm phán dựa trên quality of experience - nếu bạn đã làm nhiều project về IT risk, đánh giá control, tham gia incident response, có thể được consider. Tip: Highlight các kinh nghiệm liên quan đến technology risk trong CV và cover letter.
Mức lương 50-80 triệu như hướng dẫn có chính xác không? Techcombank trả cao hơn không?
Mức lương "Thỏa thuận" của Techcombank thường rất cạnh tranh. Với vị trí Senior Expert TDRM, range thực tế có thể từ 55-90 triệu/tháng tùy kinh nghiệm và skills. Techcombank nổi tiếng trả lương cao hơn thị trường 20-30% cho tech roles. Ngoài ra còn có: annual bonus (2-4 tháng), restricted stock units (RSU), health insurance premium, và các allowances khác. Total compensation thực tế có thể đạt 1.2-1.8 tỷ/năm.
KPI của vị trí này đánh giá trên những tiêu chí nào?
Cho vị trí Senior Expert TDRM, KPI thường bao gồm: (1) Số lượng và chất lượng risk assessment hoàn thành; (2) Effectiveness của controls và KRI dashboard; (3) Giảm số lượng và severity của technology incidents; (4) Training hours và team capability development; (5) Implementation của TDRM policies; (6) Stakeholder satisfaction (IT, Business, Audit teams). Vì đây là senior role, còn có thể có component về strategic initiatives và innovation.
Công việc hàng ngày của Senior TDRM như thế nào? Có đi onsite nhiều không?
Thực tế tại Techcombank: Sáng họp với team (daily standup hoặc weekly sync), trưa review reports/dashboards, chiều làm việc với stakeholders (IT team, Business units, Audit). Công việc chủ yếu là: risk assessment, policy review, incident analysis, dashboard updates, training sessions. Không cần onsite nhiều (chỉ khi có incident nghiêm trọng hoặc audit), nhưng cần có mặt ở office 3-4 ngày/tuần. Work from home linh hoạt hơn sau probation.
Làm sao để phát triển từ Senior Expert lên Head of TDRM hoặc CISO?
Lộ trình thường: (1) Năm 1-2: Hoàn thành xuất sắc KPIs, build credibility với C-level; (2) Năm 2-3: Dẫn dắt strategic initiatives (ví dụ: AI governance, Cloud security framework); (3) Năm 3-4: Show leadership qua team development và stakeholder management; (4) Năm 4-5: Position cho Director/VP role. Để đến CISO, bạn cần: business acumen mạnh, board-level communication, understanding of enterprise risk, và vision về security strategy. Khuyến nghị: học thêm MBA hoặc executive education về risk management.
Chứng chỉ nào quan trọng nhất cho vị trí này - CRISC hay CISM?
Với mô tả công việc này, thứ tự ưu tiên là: (1) CRISC - vì đây là risk-centric role, quản lý rủi ro là core; (2) CISM - quan trọng vì liên quan đến information security management; (3) CISA - hữu ích cho audit/review aspects. Nếu phải chọn 1, đi CRISC. Nếu muốn combo mạnh, lấy CRISC + CISM. Techcombank thường reward employees có professional certifications, có thể được hỗ trợ chi phí thi.
Rủi ro chính của ngành banking tech hiện nay là gì và Techcombank đang tập trung vào đâu?
Top risks 2024: (1) AI/ML risks - model bias, deepfakes, automated attacks; (2) Cloud security - multi-cloud complexity, misconfiguration; (3) Third-party/Vendor risks - supply chain attacks; (4) Data privacy - PDPD compliance; (5) Cyber resilience - ransomware, DDoS. Techcombank đang đẩy mạnh: digital banking expansion, AI integration in services, cloud modernization, và open banking capabilities. Nên bạn nên prepare knowledge về: AI governance, cloud security architecture, API security, và real-time fraud detection systems.