Kiểm soát nội bộ trong ngân hàng thương mại: Kinh nghiệm thế giới và bài học cho Việt Nam

NGUYỄN THANH TÙNG (Khoa Kế toán - Kiểm toán, Học viện Ngân hàng)

TÓM TẮT:

Kiểm soát nội bộ luôn là vấn đề quan trọng đối với các ngân hàng thương mại trên thế giới nói chung và Việt Nam nói riêng. Nguyên nhân do các tổ chức ngân hàng đóng vai trò rất lớn trong việc huy động vốn và là trung gian cho vay vốn. Vì vậy, bài viết đưa ra các kinh nghiệm thế giới về kiểm soát nội bộ trong ngân hàng thương mại để làm rõ tính quan trọng của vấn đề này, từ đó đưa ra bài học đối với các ngân hàng thương mại Việt Nam.

Từ khóa: Kiểm soát nội bộ, ngân hàng thương mại, gian lận.

1. Đặt vấn đề

Mặc dù tổ chức ngân hàng thường được biết đến là một trong những ngành có quy định nghiêm ngặt nhất, nhưng ngân hàng vẫn là một mục tiêu nhất định cho những kẻ lừa đảo. Lý do đó là ngân hàng là lựa chọn đầu tiên và nơi tốt nhất vì vai trò của họ trong việc huy động vốn và trung gian vốn. Tác động của vấn đề trên là không nhỏ, vì có thể gây ra tình cảnh khó khăn trong hoạt động ngân hàng, thậm chí có thể gây ra phá sản, một trong những ví dụ là khủng hoảng ở Iceland năm 2008. Nhiều nghiên cứu cho thấy gian lận gây ra rất nhiều tổn hại đến ngân hàng như tiền tệ, uy tín, nguốn nhân lực, hoặc tiệm cận nguy cơ phá sản. Ở phạm vi rộng hơn, gian lận trong lĩnh vực ngân hàng không chỉ đe dọa đến nguồn lực của các nhà đầu tư mà còn có thể ảnh hưởng đến tính ổn định của các chính sách kinh tế của một quốc gia. Có rất nhiều nghiên cứu như vậy trên thế giới đã thảo luận về gian lận ngân hàng ở Mỹ, Malaysia, Iran, Ấn Độ, Qatar, Nigeria, Ả rập Xê út…

Việc nghiên cứu các bài học kinh nghiệm trên thế giới trong vấn đề kiểm soát nội bộ tại các ngân hàng thương mại sẽ làm rõ hơn tầm quan trọng của vấn đề này, đồng thời từ đó cũng đưa ra được các bài học trong vấn đề kiểm soát nội bộ đối với các ngân hàng thương mại của Việt Nam.

2. Kinh nghiệm thế giới với các hoạt động kiểm soát nội bộ trong lĩnh vực ngân hàng

Altamuro và Beatty (2006) đã nghiên cứu ảnh hưởng của các cải cách kiểm soát nội bộ bắt buộc của FDICIA trong lĩnh vực ngân hàng (FDICIA - Federal Deposit Insurance Corporation Improvement Act - Đạo luật về bảo hiểm tiền gửi của cơ quan bảo hiểm tiền gửi liên bang Mỹ - FDIC đã đưa ra 6 yếu tố trong hệ thống đánh giá kiểm tra và giám sát mức độ an toàn và vững mạnh của các ngân hàng thương mại, đó là mức độ an toàn vốn - capital adequacy, chất lượng tài sản - asset quality, trình độ ban quản lý - management competence, lợi nhuận, rủi ro thanh khoản - liquidity risk và mức độ nhạy cảm với rủi ro thị trường - sensitivity to market risk). Hai ông nhận thấy sửa đổi về kiểm soát nội bộ trên dẫn đến chất lượng thu nhập của các ngân hàng bị ảnh hưởng các quy định có liên quan được cải thiện. Điều này phù hợp với việc nếu hệ thống kiểm soát nội bộ yếu kém sẽ dẫn đến chất lượng thu nhập thấp.

J.T. Doyle, Weili Ge & Sarah McVay (2007) nghiên cứu mối quan hệ giữa chất lượng của các khoản dồn tích (accruals quality) và kiểm soát nội bộ với mẫu số liệu về 705 công ty mà mỗi công ty có ít nhất một điểm yếu cụ thể. Nghiên cứu chỉ ra rằng, các yếu điểm thường có mối liên hệ với việc ước tính kém các khoản dồn tích - thường không được công nhận như dòng tiền. Xa hơn, hai ông nhận thấy mối liên hệ giữa kiểm soát nội bộ yếu kém với chất lượng thấp hơn của các khoản dồn tích được thúc đẩy bởi các yếu kém liên quan đến các kiểm soát ở cấp độ tổng thể công ty.

Rahman, Anwar (2014) đã nghiên cứu về hiệu quả của các kỹ thuật phòng chống và phát hiện gian lận trong các ngân hàng hồi giáo ở Malaysia. Mục tiêu của họ nhằm mục đích cung cấp cái nhìn về nhận thức của các ngân hàng đối với tính hiệu của các kỹ thuật phát hiện và phòng chống gian lận. Với việc sử dụng phương pháp câu hỏi phỏng vấn các nhà quản lý và nhân viên ở các ngân hàng Malaysia, các phát hiện cho thấy rằng các phần mềm và ứng dụng bảo vệ là các kỹ thuật phòng chống và phát hiện gian lận hiệu quả nhất. Cụ thể, mật khẩu bảo vệ, các cải tiến và xem xét lại kiểm soát nội bộ khi đánh giá độc lập được xem là các kỹ thuật hiệu quả nhất. Nghiên cứu đưa ra ví dụ bê bối ở ngân hàng Hồi giáo Berhad (BIMB) của Malaysia, nơi đã tuyên bố một khoản thua lỗ 456 triệu RM có liên quan đến một danh mục khoản cho vay không hiệu quả trị giá đến 2.2 tỷ RM cho năm tài khóa kết thúc vào ngày 30/6/2005. Vì lý do này, ngân hàng trên đã trích lập dự phòng một khoản 774 triệu RM là kết quả của các khoản đầu tư không hiệu quả và nợ xấu phát sinh từ các hoạt động của chính nó tại trung tâm tài chính ngoài khơi của Malaysia ở Labuan. Tuy nhiên, theo Bộ trưởng Tài chính Tan Sri Nor Mohamed Yakcop của Malaysia cho rằng nguyên nhân của các khoản lỗ không phải do lỗi của các chuẩn mực ngân hàng hồi giáo mà là kết quả của các sơ suất liên quan đến một số nhân viên. Do đó, dẫn đến việc BIMB đã thành lập một đơn vị điều tra đặc biệt để xem xét các khoản lỗ và nợ xấu gây ra bởi hành vi sai trái hoặc do không tuân thủ các quy định ngân hàng thông thường. Bảng câu hỏi bao gồm 2 phần có tên là hồ sơ phỏng vấn và tính hiệu quả của các kỹ thuật phát hiện và ngăn chặn gian lận cũng như tính hiệu quả của các phần mềm, ứng dụng máy tính cho việc ngăn chặn và phát hiện gian lận. Những người tham gia được yêu cầu cho biết ý kiến của mình về mức độ hiệu quả của mỗi kỹ thuật hay chiến lược kiểm soát trên 4 thang điểm từ “rất không hiệu quả” đến “rất hiệu quả”. Dựa trên những phát hiện từ nghiên cứu, những người được hỏi cho rằng đối chiếu số liệu (bank reconciliation) giữa ngân hàng và các chủ tài khoản là phương pháp hiệu quả nhất để chống gian lận do rất nhiều các giao dịch liên quan đến số tiền khổng lồ. Như vậy, bằng cách chuẩn bị đối chiếu một cách thường xuyên, hoạt động này sẽ đảm bảo tiền mặt sẽ không bị đánh cắp và như là một công cụ để xác định và sửa chữa các lỗi kế toán trong các giao dịch ngân hàng.

Khi nghiên cứu trường hợp sử dụng tài sản bị một cách sai trái trong ngành ngân hàng ở Iran, điều có thể khiến nhiều ngân hàng sụp đổ và sự mắc kẹt kéo theo nó của nhiều nhà đầu tư và các quỹ gửi tiền, E. H. Nia, J. Said (2015) nhận thấy biển thủ tài sản đang rất thịnh hành trong lĩnh vực ngân hàng. Ngoài ra, theo kinh nghiệm của các tổ chức này, gian lận của nhân viên là loại gian lận phổ biến nhất. Nghiên cứu này được tiến hành qua phương pháp định lượng để đạt được hiểu biết về lý do tại sao các nhân viên ngân hàng lại gian lận tại nơi làm việc. Theo ISA 240 (chuẩn mực kiểm toán quốc tế 240), biển thủ tài sản là hành vi trộm cắp tài sản của một tổ chức và thường được gây ra bởi các nhân viên với số lượng nhỏ. Biển thủ tài sản thường ảnh hưởng đến các sổ sách kế toán để che giấu các sai lệch hoặc thiếu hụt. Theo ACFE (Association of Certified Fraud Examiners), các loại biển thủ tài sản thường được lừa đảo bởi những kẻ gian lận thường là: ăn cắp tiền mặt, giả mạo các dấu hiệu kiểm tra, đăng ký hoàn thuế, hóa đơn, biên lai khống, các biển thủ liên quan đến hàng tồn kho và các tài sản khác. Nghiên cứu của hai tác giả đưa ra cho kịch bản của biển thủ tài sản: mang tài sản về nhà cho cá nhân sử dụng; các khoản chi phí y tế hưu cấu; sử dụng máy tính và máy in của ngân hàng cho mục đích cá nhân; vay ngân hàng các khoản tiền nhỏ cho việc chi tiêu lặt vặt của cá nhân; sử dụng dịch vụ internet văn phòng cho mục đích cá nhân; mượn các tài sản giá trị như ngoại tệ cho mục đích cá nhân; sử dụng các tấm séc mới cho cá nhân và người thân sử dụng mà không có thẩm quyền; sử dụng các chứng khoán cho cá nhân và người thân mà không có thẩm quyền; áp dụng các khoản vay lãi suất thấp cho bản thân và người thân mà không có đủ đảm bảo. Hai ông chỉ ra rằng, cả 9 kịch bản trên đều có sự tham gia của các nhân viên ngân hàng trên thực tế. Theo một vài nghiên cứu để phòng chống các hoạt động biển thủ tài sản một vài biện pháp được sử dụng làm giảm các nguy cơ của các gian lận trong công việc như luân chuyển công việc, nâng cao thông tin liên lạc nội bộ, kiểm tra độc lập, phân công nhiệm vụ và nâng cao hệ thống ủy quyền công việc.

Rủi ro liên quan đến an ninh thông tin đã trở thành một trong những lĩnh vực quan trọng trong vận hành hệ thống thông tin của ngân hàng. Dẫn đến những rủi ro này bởi vì các cấu trúc công nghệ thông tin của ngân hàng thường có liên quan đến các thông tin khi giao dịch với khách hàng. Sự phụ thuộc cao vào công nghệ thông tin có thể cung cấp không gian cho tội phạm mạng. Việc gia tăng sử dụng các thiết bị công nghệ tiện ích như laptop, iPod, smart phone, đã mở ra các triển vọng trong khai thác và sử lý thông tin. Do đó, việc đảm bảo các tài sản thông tin từ các nhóm cá nhân không trung thực là một yêu cầu quan trọng đối với mọi tổ chức tài chính. Những thất bại trong việc bảo vệ tài sản thông tin có thể dẫn đến những tổn thất lớn về nguồn lực tài chính và phi tài chính của tổ chức. Khi nghiên cứu về trường hợp của Malysia, Z. Zainol, S. P. Nelson và A. Malami (2012) đưa ra các kịch bản về các mối đe dọa đến an ninh hệ thống thông tin kế toán: cố ý nhập những dữ liệu không chính xác của nhân viên; hủy hoại dữ liệu có chủ đích của nhân viên; truy cập trái phép vào dữ liệu hoặc hệ thống của nhân viên; sự chia sẻ mật khẩu của các nhân viên; tạo ra các giải mạo hoặc đầu ra thông tin không chính xác; trộm cắp dữ liệu, thông tin; sao chép trái phép các thông tin đầu ra.

3. Một vài gợi ý nhằm giảm thiểu các rủi ro gian lận đối với các ngân hàng của Việt Nam

Đối với việc giảm thiểu những rủi ro gian lận theo CAQ (Center for Audit Quality) 2010, các tổ chức thường sử dụng hai chiến lược: Thứ nhất là ngăn chặn các gian lận tiềm năng bằng việc có những chuẩn mực đạo đức ở cấp cao với một chương trình quản lý gian lận chủ động; thứ hai bằng cách phát hiện các hoạt động gian lận đã xảy ra. Trong khi đó, các kiểm soát như các chương trình tố giác (whistleblower program) có thể được sử dụng để ngăn chặn và phát hiện gian lận. Có rất nhiều chiến lược phòng chống và phát hiện gian lận nhưng trong thời đại công nghệ ngày nay, gian lận đã trở nên phức tạp và khó phát hiện hơn, do nó sử dụng các kỹ thuật đối phó với các kiểm soát. Về các chương trình đối phó với gian lận, CAQ cũng lưu ý một vài kỹ thuật như sau:

Một là, đào tạo nhận thức đạo đức: Cung cấp một nền tảng lý tưởng giảm bớt ảnh hưởng tiêu cực của các yếu tố văn hóa vào quyết định của các cá nhân. Yếu tố văn hóa có thể ảnh hưởng đến hành vi của các thủ phạm gây ra gian lận bởi nhận thức về đúng sai, công lý, đạo đức, lòng trung thành có thể khác nhau giữa các quốc gia. Điều này rất quan trọng đối với các tổ chức đa quốc gia.

Hai là, giám sát tài sản nhất là những tài sản như tiền, hàng tồn kho: Vì đây là những mục tiêu được lựa chọn nhất của những kẻ lừa đảo. Kỹ thuật này có liên quan đến công việc kiểm kê tài sản của đơn vị và quan sát kiểm kê tài sản của kiểm toán viên.

Ba là, đường giây nóng tố giác gian lận: Là một trong những chế độ báo cáo hiệu quả cần được thực hiện để phát hiện gian lận. Một chế độ báo cáo như vậy cho phép giấu tên và các bí mật liên quan đến người cung cấp thông tin. Các nhân viên cần được khuyến khích báo cáo bất kỳ hoạt động đáng ngờ nào mà không sợ bị trả thù. Kỹ thuật này không chỉ là một công cụ phát hiện có hiệu quả mà còn là một công cụ răn đe với những kẻ gian lận tiềm năng do lo sợ bị người khác tố giác.

Bốn là, bảo vệ bằng mật khẩu (password protection): Bằng cách đảm bảo rằng các nhà quản lý có khả năng truy cập vào tính năng bảo mật và các tính năng kiểm tra các máy tính của các nhân viên có thể hỗ trợ họ trong việc ngăn ngừa và phát hiện các gian lận của các nhân viên. Điều này có thể thực hiện bằng việc yêu cầu một mật khẩu trước khi có quyền truy cập vào các chức năng được phân ra từ một quy trình chuẩn. Ngoài ra, để đạt được tính hiệu quả hơn, mật khẩu của người dùng phải được thay đổi một cách thường xuyên. Mặc dù mật khẩu là một trong những biện pháp lâu đời nhất để bảo vệ máy tính nhưng nó vẫn thể hiện là một trong những phương tiện hiệu quả nhất để kiểm soát truy cập. Các công nghệ tiên tiến đã xây dựng các hình thức của bảo vệ bằng mật khẩu như việc sử dụng các đặc tính sinh học của người sử dụng được gọi là sinh trắc học như nhận dạng vân tay, giọng nói, mô hình võng mạc, chữ ký kỹ thuật số.

Năm là, kiểm toán liên tục: Có thể được thực hiện bằng các chương trình máy tính theo những kịch bản được lập trình. Điều này cung cấp một sự giám sát liên tục các giao dịch hiện tại chứ không phải kiểm toán trên dữ liệu lịch sử của một quá trình kiểm toán bình thường.

Sáu là, tăng cường vai trò của bộ phận kiểm toán: Sự hiện diện của một ban kiểm toán không ảnh hưởng đáng kể đến khả năng gian lận xảy ra mà nó phụ thuộc vào cách ban kiểm toán hoạt động. Một vài bằng chứng cho thấy bộ phận này nên bao gồm các giám đốc độc lập và gặp nhau ít nhất 2 lần trong 1 năm sẽ ít có khả năng có các báo cáo sai lệch hoặc gian lận.

Bảy là, kiểm tra có liên quan đến nhân viên: Thông thường, bộ phận nhân sự sẽ hỏi, kiểm tra các nhân viên tiềm năng các tài liệu liên quan đến họ như công việc trong quá khứ, hay bất kỳ bản án nào đó đã bị buộc tội. Điều này giúp tìm ra những hành vi phạm tội lặp lại ở những người đã có một số lượng lớn các hành động gian lận.

Tám là, kỹ thuật khai thác dữ liệu: Là một kỹ thuật ngăn chặn gian lận thường được sử dụng bởi các nhà điều tra gian lận. Kỹ thuật này thường được coi là một phương pháp dễ sử dụng với chi phí thấp để đánh giá toàn bộ dữ liệu. Hơn nữa, kỹ thuật này có thể tránh được sự khái quát hóa các vấn đề không chính xác từ các thông tin hạn chế. Tuy nhiên, phương pháp này chỉ thích hợp cho các tổ chức nhỏ, vì phần mềm khai thác dữ liệu thường không hiệu quả khi xử lý khối lượng lớn thông tin và không cho phép lập trình viên tập trung vào một loại hình cụ thể của gian lận.

TÀI LIỆU THAM KHẢO:

  1. Altamuro, J., and A. Beatty (2006). Do internal control reforms improve earnings quality? Working paper, The Ohio State University.
  2. Elham Hady Nia, Jamaliah Said (2015). Assessing Fraud Risk Factorsof Assets Misappropriation: Evidences from Iranian Banks, Procedia Economics and Finance 31, 919 - 924.
  3. Jeffrey T. Doyle, Weili Ge, Sarah McVay (2007). Accruals Quality and Internal Control over Financial Reporting - The Accounting Review, Vol. 82, No. 5, pp. 1141 - 1170.
  4. Rashidah Abdul Rahman, Irda Syahira Khair Anwar (2014). Effectiveness of fraud prevention and detection techniques in Malaysian Islamic banks, Procedia - Social and Behavioral Sciences 145, 97 - 102.
  5. Zaini Zainol, Sherliza Puat Nelson and AbuBakar Malami (2012). Internal Human Based Threats and Security Controls in Computerized Banking Systems: Evidence from Malaysia, Procedia - Social and Behavioral Sciences 65, 199 - 204.

THE INTERNAL CONTROL IN COMMERCIAL BANKS: THE WORLD EXPERIENCE AND LESSONS FOR VIETNAM

NGUYEN THANH TUNG

Faculty of Accounting - Auditing, Banking Academy

ABSTRACT:

Internal control is always an important issue for commercial banks in the world in general and in Vietnam in particular. The reason is that banking institutions play a huge role in mobilizing capital and they are loan intermediation. Therefore, this article provides the world experience of the internal control in commercial banks to clarify the importance of this issue, thereby giving lessons to Vietnamese commercial banks.

Keywords: Internal control, commercial bank, fraud.