TÓM TẮT:

Một trong những hệ thống quản trị rủi ro được một số ngân hàng áp dụng thành công và được quốc tế khuyến nghị áp dụng rộng rãi là mô hình 3 tuyến phòng thủ và quản trị rủi ro toàn ngân hàng.

Từ khóa: Kiểm toán nội bộ, quản trị, rủi ro ngân hàng.

1. Kiểm toán nội bộ và kiểm soát nội bộ

Kiểm toán nội bộ (Internal Auditing) là hoạt động đánh giá độc lập khách quan đối với hệ thống quản lý để xem xét tính tuân thủ và phù hợp, từ đó đề xuất cải tiến hệ thống. Người thực hiện kiểm toán nội bộ gọi là đánh giá/kiểm toán viên (Internal Auditor). Kiểm toán nội bộ có vai trò tư vấn, đề xuất, đánh giá nhưng không tham gia vào quá trình xây dựng hệ thống kiểm soát nội bộ. Tuy nhiên, để có thể hoàn thành vai trò của mình, kiểm toán nội bộ cần am hiểu hệ thống quản lý, và hệ thống kiểm soát nội bộ.

Kiểm soát nội bộ (Internal Control) là hệ thống được thiết kế nhằm giảm rủi ro cho hệ thống quản lý và giúp tổ chức đạt được các mục tiêu. Xây dựng hệ thống kiểm soát nội bộ là trách nhiệm của CEO, các trưởng phòng ban và toàn bộ nhân viên trong tổ chức. Kiểm soát nội bộ là hệ thống không thể thiếu trong mọi tổ chức ở bất kỳ quy mô nào. Xây dựng hệ thống kiểm soát nội bộ cần dựa trên những nguyên tắc và phương pháp cụ thể.

Nhiều tổ chức hay nhầm lẫn giữa người thực hiện kiểm soát nội bộ và hệ thống kiểm soát nội bộ. Từ đó thường hình thành những vị trí chồng chéo lẫn nhau và không hiệu quả. Mô hình tổ chức khoa học sẽ phát huy tối đa vai trò của kiểm soát nội bộ.

Kiểm soát và quản trị rủi ro là công việc hàng ngày của các trưởng phòng ban, giám đốc các chi nhánh, lãnh đạo cao cấp và tổng giám đốc. Việc xây dựng hệ thống kiểm soát nội bộ không phải là trách nhiệm của kiểm toán nội bộ mà trách nhiệm chính thuộc về CEO, lãnh đạo cao cấp và các trưởng phòng ban, giám đốc các chi nhánh trong toàn bộ hệ thống ngân hàng nhằm chủ động ngăn ngừa mất mát, sai sót, yếu kém,… và đạt được các mục tiêu quản trị rủi ro toàn ngân hàng.

2. Mô hình 3 tuyến phòng thủ và quản trị rủi ro toàn ngân hàng

Dựa vào bản hướng dẫn về kiểm toán Ngân hàng thương mại quốc tế (Do Ủy ban Basel về giám sát ngân hàng cùng với Ủy ban Thực hành kiểm toán quốc tế - IAPC ban hành năm 1990), thì rủi ro trong hoạt động kinh doanh ngân hàng bao gồm:

- Rủi ro về sản phẩm và dịch vụ (product and service risks)

- Rủi ro hoạt động (operating risks)

Theo hướng dẫn của Ủy ban Basel và IAPC, rủi ro về sản phẩm và dịch vụ bao gồm: Rủi ro tín dụng, rủi ro lãi suất, rủi ro thanh khoản, rủi ro tỷ giá, rủi ro thị trường. Trong đó, rủi ro tín dụng được đánh giá là quan trọng nhất.

Rủi ro tín dụng là những thiệt hại, mất mát mà ngân hàng phải gánh chịu do người vay vốn hay sử dụng vốn của ngân hàng trả không đúng hạn, không thực hiện đúng nghĩa vụ đã cam kết trong hợp đồng tín dụng với bất cứ lý do nào. Đặc thù của hoạt động ngân hàng Việt Nam là trên 70% thu nhập đến từ tín dụng, có ngân hàng có tỷ lệ này tới hơn 90%, nên hầu hết các ngân hàng chỉ chủ yếu chú trọng rủi ro tín dụng. Việc xem nhẹ công tác quản trị các loại rủi ro khác dẫn đến hệ quả là khi thị trường tài chính - tiền tệ biến động, khó khăn, một loạt ngân hàng rơi vào rủi ro mất thanh khoản. Ít ngân hàng Việt Nam có được hệ thống quản trị rủi ro tốt.

Rủi ro hoạt động là nguy cơ tổn thất do các quy trình, con người và hệ thống nội bộ không đạt yêu cầu, hoặc không hoạt động hoặc do các sự kiện bên ngoài. Rủi ro hoạt động gồm có: Rủi ro pháp lý, rủi ro tuân thủ, rủi ro hệ thống, rủi ro công nghệ thông tin, rủi ro về tài sản, rủi ro về con người…

Với những khó khăn trên thị trường tài chính gần đây, nhiều ngân hàng đã bộc lộ rõ yếu kém về kiểm soát rủi ro tín dụng, rủi ro hệ thống… Thực tế này buộc các ngân hàng phải nâng cao khả năng quản trị rủi ro. Vấn đề quản trị rủi ro đã được các chuyên gia trong nước và quốc tế cảnh báo từ rất lâu, đã có nhiều dự án hỗ trợ kỹ thuật để cải thiện hệ thống quản trị rủi ro tại các ngân hàng, nhưng kết quả chưa cao.

Hệ thống quản trị rủi ro ngân hàng nên áp dụng là mô hình 3 tuyến phòng thủ. Với mô hình 3 tuyến phòng thủ và quản trị rủi ro toàn ngân hàng là tất cả thành viên trong hệ thống đều phải tham gia quá trình quản trị rủi ro. Do vậy, mô hình này đảm bảo mọi rủi ro trong mỗi tác vụ của ngân hàng được nhận diện, kiểm soát và giảm thiểu.

Mô hình 3 tuyến phòng thủ (three lines of defense):

Mô hình 3 tuyến phòng thủ (three lines of defense) được đề cập nhiều trong các tài liệu của COSO, IIA (Institute of Internal Auditors) và BIS (Bank for International Settlements), Ủy ban Basel.

Tuyến phòng thủ thứ nhất: Quản lý rủi ro tại các đơn vị trực tiếp kinh doanh như các chi nhánh, các khối kinh doanh, các chuyên viên khách hàng và các đơn vị vận hành tại hội sở.

Tuyến phòng thủ đầu tiên là để bảo vệ ngân hàng. Tuyến này có chức năng tiếp xúc khách hàng và xử lý giao dịch có vai trò người sở hữu rủi ro (risk owner) trong mảng việc mình phụ trách. Nhiệm vụ chính của các đơn vị này là xác định, đánh giá, ngăn ngừa, báo cáo và theo dõi các rủi ro phát sinh trong hoạt động kinh doanh (cho vay) và các quy trình vận hành khác; bảo vệ lợi ích của đơn vị thông qua việc tự đánh giá rủi ro và kiểm soát tính hiệu quả của từng đơn vị.

Tuyến phòng thủ thứ hai: Khối quản trị rủi ro và khối tuân thủ, quản trị rủi ro hoạt động và pháp chế. Tuyến phòng thủ này có chức năng giám sát rủi ro, có tính độc lập tương đối với khách hàng và giao dịch, hỗ trợ tư vấn cho tuyến phòng thủ thứ nhất trong việc quản lý các chốt kiểm soát để ứng phó các rủi ro mình sở hữu.

Tuyến phòng thủ thứ hai sẽ thiết lập các chính sách, khẩu vị rủi ro, quy trình, phê duyệt sản phẩm, kiểm soát và thành lập ngay các hệ thống cảnh báo sớm, xây dựng kế hoạch thu nợ và quy trình hoạt động, đảm bảo nhiệm vụ cụ thể của từng cá nhân tham gia xuyên suốt vào quy trình tín dụng,…

Tuyến này có rất nhiều nhiệm vụ, trong đó quan trọng hơn cả là việc độc lập đánh giá và kiểm soát (kiểm tra và cân đối) tính hiệu quả của hệ thống ở tuyến phòng thủ thứ nhất; quản lý rủi ro chính thông qua việc thiết lập khẩu vị rủi ro/chính sách cho vay, xây dựng quy trình/hướng dẫn tín dụng và cho vay, theo dõi, cảnh báo sớm, quản trị danh mục…; giám sát các chương trình kiểm soát nội bộ, tuân thủ…

Tuyến phòng thủ thứ ba: Bộ phận kiểm toán nội bộ. Tuyến này trực thuộc Ban kiểm soát và không thuộc Ban điều hành của ngân hàng, nên việc đánh giá 2 tuyến phòng thủ trước và các rủi ro có thể xảy ra được thực hiện độc lập và khách quan. Tuyến này sẽ giúp cho Ban Kiểm soát và Hội đồng quản trị về hiệu quả của tổ chức xuyên suốt hoạt động của các bộ phận kinh doanh, vận hành, quản trị rủi ro…

Là ngân hàng kinh doanh tiền gửi, các ngân hàng thương mại quản lý, giám sát một lượng tiền và các giấy tờ có giá trị lớn. Các loại tài sản này thường đòi hỏi phải có những biện pháp bảo vệ an ninh chặt chẽ cả khi bảo quản cất giữ, vận chuyển cũng như chuyển giao, đồng thời cũng biến ngân hàng thành nơi nhậy cảm với các vấn đề biển thủ, tham ô, gian lận và vượt thẩm quyền. Các mục tiêu về tính tuân thủ quy định pháp luật, bảo vệ tài sản và cung cấp thông tin đáng tin cậy có thể dễ dàng bị vi phạm. Vì vậy, các ngân hàng thường phải thiết lập một hệ thống kiểm soát nội bộ nghiêm khắc, chặt chẽ với việc xây dựng và triển khai các loại kiểm soát và nguyên tắc kiểm soát phù hợp. Kiểm toán nội bộ được sử dụng như một công cụ giúp nhà quản trị ngân hàng thực hiện các mục tiêu kiểm soát nội bộ.

Tuyến phòng thủ thứ ba, với chức năng kiểm toán nội bộ độc lập với chức năng hằng ngày của ngân hàng và có thể tiếp cận với tất cả các hoạt động ngân hàng thực hiện, bao gồm cả hoạt động ở chi nhánh, sở giao dịch và công ty con. Do vậy, phạm vi hoạt động của kiểm toán nội bộ rất rộng và đa dạng, cho phép kiểm toán viên có thể thu thập bằng chứng đủ để đưa ra ý kiến nhận xét. Mặt khác, thông qua việc báo cáo trực tiếp Hội đồng quản trị, Ủy ban kiểm toán, Ban điều hành, sẽ cho phép kiểm toán nội bộ cung cấp thông tin khách quan không bị ảnh hưởng bởi bất kỳ cấp quản lý nào.

Ủy ban Basel khuyến nghị hội đồng quản trị các ngân hàng thành lập Ủy ban kiểm toán nội bộ để hỗ trợ hội đồng quản trị trong việc giám sát quá trình lập báo cáo tài chính và hệ thống kiểm soát nội bộ. Ủy ban kiểm toán là nơi liên lạc trực tiếp của bộ phận kiểm toán nội bộ ngân hàng. Bộ phận kiểm toán nội bộ được đặt dưới sự chỉ đạo trực tiếp của bộ phận lãnh đạo cao nhất của ngân hàng là hội đồng quản tri hoặc ban điều hành. Với mô hình tổ chức này, đảm bảo cuộc kiểm toán nội bộ được thực hiên nghiêm túc, đúng đắn và độc lập.

Tuyến phòng thủ thứ ba, được tổ chức đầy đủ và toàn diện về nội dung, phương pháp, quy trình và kiểm soát chất lượng nhằm giúp cho hệ thống kiểm soát nội bộ ngân hàng có thể nhận biết, đánh giá và giám sát các loại rủi ro kịp thời; báo cáo các cấp quản lý thích hợp và đưa ra giải pháp để khắc phục những hạn chế của hệ thống kiểm soát nội bộ ngân hàng.

Mục tiêu đặt ra là phát huy vai trò kiểm soát trước tại các đơn vị tuyến đầu (đơn vị kinh doanh và tác nghiệp trực tiếp) cũng như vai trò giám sát từ xa, kiểm tra tại chỗ của các đơn vị có chức năng kiểm tra, quản trị rủi ro nhằm phát hiện sớm những rủi ro trọng yếu, giảm thiểu tổn thất cho ngân hàng. Do đó, việc ứng dụng mô hình 3 tuyến phòng thủ cần được thực hiện linh hoạt, phù hợp với những thay đổi về tổ chức mô hình khối cũng như thống nhất lại, làm rõ một số chức năng, nhiệm vụ bị chồng chéo, trùng lắp hoặc bỏ sót.

Mô hình phòng thủ 3 tuyến, để vận hành thành công, đòi hỏi phải đầu tư rất lớn cả về tiền bạc lẫn thời gian. Điều quan trọng là, để thực hiện thành công, đòi hỏi phải có sự tuân thủ đầu tiên từ lãnh đạo ngân hàng, bởi không ít người ngại những “quy định rối rắm” trong quản trị rủi ro làm cản ngân hàng chớp những cơ hội kinh doanh tốt.

Mô hình quản trị phòng thủ 3 tuyến tại ngân hàng là chuẩn mực an toàn giúp ngân hàng tuân thủ và dần tiệm cận với các chuẩn mực quản trị tiên tiến trên thế giới, đặc biệt, tạo nên văn hóa ý thức và kiểm soát rủi ro trong mỗi nhân viên của ngân hàng. Mỗi cá nhân, từ chuyên viên khách hàng tới nhân viên các khối hỗ trợ, đều phải tuân thủ quy định, quy trình và ý thức được trách nhiệm đánh giá, phát hiện sớm rủi ro và tìm cách ngăn ngừa các rủi ro phát sinh. Tức là, quản trị rủi ro được thực hiện bởi cả hệ thống, chứ không phải là trách nhiệm riêng của khối quản trị rủi ro.

TÀI LIỆU THAM KHẢO:

1. Bộ môn Kế toán Ngân hàng, Khoa Ngân hàng - Học viện Ngân hàng (2009) - Giáo trình Kiểm toán nội bộ ngân hàng thương mại - Học viện Ngân hàng, Công ty in Tiến bộ, Hà Nội.

2. Báo cáo Ban kiểm soát các ngân hàng thương mại nhà nước Việt Nam các năm.

3. Kpmg.com.vn, Báo cáo kiểm soát về ngành Ngân hàng Việt Nam.

4. Quy trình Kiểm toán nội bộ các ngân hàng thương mại cổ phần.

5. Sổ tay Kiểm toán nội bộ của Vietinbank, BIDV.

6. Vũ Thùy Linh - Hoàn thiện quá trình và tổ chức bộ máy kiểm toán nội bộ trong các ngân hàng thương mại nhà nước Việt Nam - Luận án Tiến sĩ kinh tế.

7. Các trang thông tin điện tử về hiệp hội ngân hàng và kiểm toán nội bộ khai thác trên Google.com.vn;

8. Website:

www.theiia.org: http://theiia.org/standards- guidance/Public

www.icbc.com

www.bis.org: http://www.bis,org/fsi/fsipapers

www.ifac.org

INTERNAL AUDIT: THE THIRD IMPORTANT DEFENCE LINE IN MANAGING RISKS THROUGHOUT THE BANK

Master. NGUYEN THI HA

Vietnam Commercial University

ABSTRACT:

The Three Lines of Defense model provides tools to manage risks throughout a bank. The model is one of risk management systems that are being implemented effectively in some banks. The international banking sector also recommends banks to apply this model widely.

Keywords: Internal audit, management, risks relating to banks.