quốc tế tác giả đã xây dựng và đưa ra một số giải pháp cụ thể như sau:
3.2.1. Hoàn thiện tổ chức bộ máy kiểm toán nội bộ Ngân hàng Trungương ương
Như đã trình bày ở chương 1 về mô hình KTNB của NHTW các nước và một số bài học của Việt Nam cho thấy mô hình tổ chức của các nước có sự khác nhau không đồng nhất. Tuy nhiên phần lớn đều có Ủy ban kiểm toán NHTW là tổ chức cao nhất có thể trực thuộc Tổng thống, Chính phủ hoặc Thống đốc.
Vụ Kiểm toán nội bộ thiết kế cơ cấu bộ máy trên cơ sở tổ chức các phòng theo nhóm lĩnh vực, hệ thống hay quy trình, nghiệp vụ. Một số NHTW khác có thiết kế cơ cấu tổ chức bộ máy các phòng theo nhóm lĩnh vực, hệ thống hay quy trình nghiệp vụ và tổ chức các phòng kiểm toán tại trụ sở chính, kiểm toán các chi nhánh. Tuy nhiên, xu hướng chung thiết kế tổ chức bộ máy theo hai nhóm chính đó là nhóm các phòng kiểm toán nghiệp vụ và quy trình, nhóm kia là các phòng có nhiệm vụ thiết kế xây dựng chính sách và kiểm soát, đánh giá chất lượng kiểm toán.
NHNN Việt Nam cũng cần thiết xây dựng mô hình tổ chức bộ máy kiểm toán nội bộ dựa trên cơ sở thực hiện kiểm toán theo lĩnh vực, hệ thống quy trình nghiệp vụ liên quan đến nhiều đơn vị khác nhau. Đồng thời cũng chú ý đến công tác nghiên cứu xây dựng cơ chế chính sách. Trên cơ sở định hướng chung như trên sẽ có các giai đoạn cụ thể xác định cơ cấu tổ chức cho phù hợp.
NHNN Việt Nam cần từng bước xây dựng và thành lập bộ phận đánh giá rủi ro riêng biệt; về lâu dài thành lập Vụ Quản lý rủi ro. Tuy nhiên, trong điều kiện hiện tại để hoàn thiện công tác kiểm toán nội bộ trên cơ sở đánh giá rủi ro cần thiết thành lập Phòng đánh giá rủi ro tại Vụ Kiểm toán nội bộ. Phòng đánh giá rủi ro có nhiệm vụ chính là:
88 lượng kiểm toán;
+ Xây dựng khung rủi ro NHNN Việt Nam;
+ Lập báo cáo đánh giá rủi ro, xếp loại rủi ro các đơn vị, hoạt động, quy trình nghiệp vụ tại NHNN Việt Nam.
(Xem Hình 3.1:Cơ cấu tổ chức của Vụ Kiểm toán nội bộ NHNN gắn với nhiệm vụ đánh giá rủi ro)
3.2.2. Thiet lập hệ thống quản trị rủi ro và đánh giá rủi ro
Để công tác KTNB trên cơ sở đánh giá rủi ro được thực hiện tốt thì vấn đề quản trị rủi ro phải được thiết lập cả về tổ chức, con người và phương pháp. Trong chương 2 tác giả đã đưa ra những khó khăn, thách thức đối với việc chuyển đổi sang phương pháp kiểm toán trên cơ sở rủi ro đó là: NHNN chưa có khung quản trị rủi ro tổng thể áp dụng cho toàn hệ thống NHNN, chưa thiết lập được cơ sở dữ liệu về rủi ro và tập hợp kiểm toán. Điều khác biệt với các NHTW các nước ở chỗ Vụ Kiểm toán nội bộ NHTW của nhiều quốc gia trên thế giới đã chuyển sang cách tiếp cận kiểm toán dựa trên rủi ro khi NHTW đã áp dụng việc quản lý rủi ro một cách chính thức. Thiết lập hệ thống quản trị rủi ro và đánh giá rủi ro trên các mặt sau:
3.2.2.1. về tổ chức
Về mô hình tổ chức đánh giá rủi ro tại NHTW như đã trình bày ở trên cũng có sự khác nhau; hầu hết các NHTW đều thành lập Vụ Quản lý rủi ro hoặc bộ phận đánh giá quản lý rủi ro độc lập với Vụ Kiểm toán nội bộ, có sự kết hợp với kiểm toán nội bộ trong đánh giá rủi ro. Kết quả đánh giá rủi ro của bộ phận đánh giá rủi ro là cơ sở, dữ liệu quan trọng để phục vụ cho công tác kiểm toán. Do đó, NHNN Việt Nam cần từng bước xây dựng và thành lập bộ phận đánh giá rủi ro riêng biệt; về lâu dài thành lập Vụ Quản lý rủi ro.
Phòng tổng hợp và chế độ Phòng đánh giá rủi ro Phòng kiểm toán BCTC và các dự án đầu tư Phòng kiểm toán tuân thủ và hoạt động Phòng kiểm toán tin học và ngoại hối Phòng kiểm toán nghiệp vụ phát hành
tiền và kho quỹ
- Nghiên cứu xây dựng các van bản về kiểm soát kiểm toán nội bộ NHNN
- Tổng hợp xây dựng kế hoạch kiểm toán
- Tham mưu xử lý các vấn đề liên quan đến cán bộ
- Tổng hợp báo cáo kết quả công tác theo định kỳ
- Tổng hợp các kiến nghị sau kiểm toán
- Xây dựng các văn bản
hướng dẫn về đánh giá rủi ro và kiểm soát chấ lượng kiểm toán
- Lập báo cáo đánh giá,
xếp loại rủi ro các hoạt động của NHNN - Thực hiện các biện pháp kiểm soát chất lượng kiểm toán (Thẩm định kế hoạch, báo cáo,
hồ sơ kiểm toán -Đầu mối phối hợp xử lý các vấn đề liên quan đến kết quả kiểm toán
- Kiểm toán báo cáo tài chính tại các đơn vị NHNN (Trừ BCTC Sở giao dịch, Cục và Chi cục công nghệ tin học ngân hàng - Kiểm toán các dự án mua
sắm tài sản, dự án đầu tư xây dựng cơ bản
Kiểm toán tuân thủ đối với các đơn vị NHNN liên
quan đến việc thực hiện chức năng nhiệm vụ, điều hành
- Kiểm toán tin học các đơn vị thuộc NHNN
- Kiểm toán tuân thủ hoạt động tại Sở Giao dịch NHNN và Vụ Quản lý ngoại hối - Giám sát qua mạng đối với hoạt động quản lý và kinh doanh ngoại hối
- Kiểm toán các nghiệp vụ phát hành tiền như công tác xây dựng kế hoạch và thực hiện in đuúc tiền, điều hòa tiền mặt, an toàn kho quỹ
- Kiểm tra công tac in đúc tiền tại Nhà máy in tiền quốc gia
- Giám sát công tác tiêu hủy tiền đã qua lưu thông tại các kho tiền TW và sản phảm hỏng của Nhà máy in tiền quốc gia
- Giám sát qua mạng các báo cáo về công tác kho quỹ
89
năng xây dựng chính sách và kiểm soát chất
90
3.2.2.2. Xây dựng cơ sở dữ liệu và rủi ro kiểm toán
Thiết lập được hệ thống đánh giá rủi ro đối với các đơn vị NHNN, các quy trình nghiệp vụ cụ thể và các rủi ro chi tiết đối với quy trình, nghiệp vụ
* Xây dựng hồ sơ rủi ro
Đe xây dựng được hồ sơ rủi ro của các đơn vi, quy trình nghiệp vụ phải xác định được rủi ro tiềm tàng trong bản thân chức năng, nhiệm vụ của các đơn vị và các bước của quy trình nghiệp vụ. Hồ sơ rủi ro được lập như trên phải được thực hiện bởi một quá trình nghiên cứu lâu dài, có thể mất ít thời gian để xây dựng lên hồ sơ rủi ro song trên thực tế việc nghiên cứu, lưu trữ dữ liệu, phỏng vấn, tổng hợp phải mất thời gian rất lâu. Do đó để có hồ sơ rủi ro hoàn chỉnh thì phải thường xuyên cập nhật các rủi ro.
Một điểm quan trọng trong hồ sơ rủi ro đó là có sự giải thích về rủi ro trong các trường hợp.Ví dụ trường hợp 1 rủi ro được xác định là có khả năng xảy ra cao và tác động thấp; Trường hợp 2 rủi ro được xác định là khả năng xảy ra thấp và tác động lớn. Khi đó điểm rủi ro tiềm tàng cho hai trường hợp là bằng nhau đòi hỏi phải có sự giải thích rõ ràng mối liên hệ giữa hai yêu tố rủi ro làm cơ sở để đánh giá và kiểm soát rủi ro. Hồ sơ rủi ro mô tả các rủi ro gồm các nội dung:
+ Tên rủi ro: Có thể được phân theo rủi ro cấp I,II
+ Tác động của rủi ro nếu xảy ra là những thiệt hại ảnh hưởng đến uy tín NHNN, tình hình tài chính, công nghệ thông tin, tính liên tục của hệ thống
+ Cơ sở nguồn gốc để xác định rủi ro đó có thể là thông qua giám sát, báo cáo của các đơn vị, thông báo của các đơn vị chức năng phối hợp, hội thảo nhận diện rủi ro hoặc đánh giá của bộ phận chuyên trách về rủi ro.
( Xem Phụ lục 01: Hồ sơ rủi ro)
Tập hợp rủi ro và kiểm toán được xem như là cơ sở dữ liệu phục vụ cho công tác lập kế hoạch kiểm toán nó bao gồm hồ sơ rủi ro như đã nêu ở phụ lục 01, thông tin chi tiết về đối tượng kiểm toán có sự kết hợp với thông tin về các đợt kiểm toán trước đó bao gồm: Thời điểm đợt kiểm toán trước, khoảng cách thời gian giữa hai đợt dự kiến, những đánh giá, kết luận của đợt kiểm toán trước đó, cập nhật những biện pháp kiểm soát của đơn vị nhằm khắc phục những tồn tại và thực hiện các kiến nghị và cuối cùng là điểm rủi ro còn lại được đánh giá.
(Xem phụ lục 02: Rủi ro và tập hợp kiểm toán)
3.2.3. Hoàn thiện quy trình kiểm toán trên cơ sở đánh giá rủi ro
3.2.3.1. Xây dụng kế hoạch kiểm toán dựa trên đánh giá rủi ro
Yêu cầu của kế hoạch kiểm toán là: Kế hoạch kiểm toán phải được lập một cách thích hợp nhằm đảm bảo bao quát hết các khía cạnh trọng yếu của cuộc kiểm toán; phát hiện gian lận, rủi ro và những vấn đề tiềm ẩn; và đảm bảo cuộc kiểm toán được hoàn thành đúng thời hạn. Kế hoạch kiểm toán giúp cho việc triển khai kiểm toán chủ động. Có thể nói trong các bước của quy trình kiểm toán trên cơ sở đánh giá rủi ro thì bước lập kế hoạch được xem là bước khởi đầu và quan trọng nhất điều đó được thể hiện trong chuẩn mực cũng như thực tiễn áp dụng cụ thể như sau:
Theo chuẩn mực kiểm toán của IIA yêu cầu việc ghi chép đánh giá rủi ro phải được thực hiện trong bước lập kế hoạch kiểm toán.
Chuẩn mực kiểm toán Việt Nam Số 400 (VSA 400) nêu rõ “Kiểm toán viên phải có đủ hiểu biết về hệ thống kế toán và hệ thống kiểm soát nội bộ của khách hàng để lập kế hoạch kiểm toán tổng thể và chương trình kiểm toán thích hợp, có hiệu quả. Kiểm toán viên phải sử dụng khả năng xét đoán chuyên môn của mình để đánh giá rủi ro kiểm toán và xác định các thủ tục
92
kiểm toán nhằm giảm các rủi ro kiểm toán xuống thấp tới mức có thể chấp nhận được”.
Theo thông lệ chung thì các NHTW thường xây dựng kế hoạch kiểm toán trung và dài hạn 3 năm và 5 năm trên cơ sở đánh giá rủi ro làm cơ sơ để lập kế hoạch kiểm toán hàng năm. Kế hoạch kiểm toán hàng năm cần đặt trong bối cảnh kế hoạch kiểm toán trung và dài hạn và sắp xếp các đơn vị, hệ thống /quy trình/nghiệp vụ sẽ thực hiện kiểm toán theo thứ tự mức độ rủi ro từ cao xuống thấp. Tuy nhiên, với điều kiện của Việt Nam hiện nay thì nhiệm vụ lập kế hoạch kiểm toán trung, dài hạn gặp nhiều khó khăn do cơ sở dữ liệu về rủi ro, quản trị rủi ro NHTW đang chưa được thiết lập đầy đủ như đã nêu ở trên. Do đó, trước mắt, NHNN Việt Nam cần tập trung xây dựng kế hoạch kiểm toán hàng năm trên cơ sở rủi ro, từng bước tạo điều kiện tiền đề cho việc xây dựng kế hoạch trung và dài hạn trong tương lai... Đánh giá rủi ro là điểm xuất phát của quy trình lập kế hoạch kiểm toán. Quy trình đánh giá rủi ro là quy trình phát hiện và phân tích những rủi ro liên quan đến thực hiện các mục tiêu của đơn vị, tạo cơ sở cho việc xác định cách thức quản lý các rủi ro đó. Muốn đánh giá rủi ro phải có môi trường và phương pháp đánh giá trong đó trách nhiệm tự kiểm soát rủi ro của các đơn vị được xác định rõ ràng. NHNN phải triển khai hệ thống quản lý rủi ro như đã trình bày ở trên. Kết quả tự kiểm soát đánh giá rủi ro của mỗi đơn vị và kết quả phân tích, đánh giá rủi ro của Phòng đánh giá rủi ro và kiểm soát chất lượng kiểm toán là kênh thông tin quan trọng phục vụ đánh giá rủi ro của bộ phận lập kế hoạch kiểm toán.
Một số nội dung cụ thể trong đánh giá rủi ro lập kế hoạch kiểm toán của Vụ Kiểm toán nội bộ như sau:
* Xây dựng danh mục đối tượng kiểm toán
Để lập kế hoạch kiểm toán cần phải xây dựng danh mục đối tượng kiểm toán, danh mục đối tượng kiểm toán bao gồm tất cả các đối tượng kiểm
toán dự kiến. Các đối tượng kiểm toán bao gồm các Chi nhánh, Vụ, Cục và Quy trình, nghiệp vụ, hệ thống liên quan đến nhiều Vụ, Cục. Trên cơ sở danh mục đối tượng kiểm toán sẽ tiến hành xác định các rủi ro phù hợp với các đơn vị được kiểm toán. Hiện tại thì danh mục rủi ro hay còn gọi là hồ sơ rủi ro (Phụ lục 01) chưa được NHNN Việt Nam xây dựng. Trong trường hợp chưa có danh mục rủi ro thì Phòng đánh giá rủi ro thuộc Vụ Kiểm toán nội bộ xây dựng một danh mục rủi ro để hỗ trợ và phục vụ công tác lập kế hoạch kiểm toán. Danh mục rủi ro được xây dựng dựa trên mục tiêu của các đối tượng được kiểm toán.
* Nguyên tắc của quy trình đánh giá và xếp hạng rủi ro đó là:
+ Việc đánh giá rủi ro và xếp hạng rủi ro được thực hiện tại tất cả các Chi nhánh, Vụ, Cục và quy trình nghiệp vụ.
+ Cần xếp hạng mức độ rủi ro của các hoạt động bên trong từng Vụ, Cục, NHTW, công việc xếp hạng rủi ro phải được rà soát thường xuyên mỗi khi có sự thay đổi, bổ sung chức năng, nhiệm vụ của đơn vị, sự thay đổi quy trình nghiệp vụ, quy trình quản lý và sự thay đổi về nhân sự cán bộ chủ chốt.
+ Việc phân loại rủi ro theo các mức độ: cao, trung bình, thấp phải được sử dụng thường xuyên.
Đánh giá mức độ ảnh hưởng và khả năng xảy ra rủi ro:Vụ Kiểm toán nội bộ phải tính toán, đánh giá khả năng xảy ra và mức độ ảnh hưởng đối với từng rủi ro trên cơ sở ước tính các tổn thất, thiệt hại về tiền, tài sản, con người và uy tín của NHNN, dự đoán xu hướng biến thiên của rủi ro có thể tăng hoặc giảm.
* Sử dụng phương pháp cho điểm để đánh giá rủi ro cụ thể như sau:
Kiểm toán trên cơ sở rủi ro đòi hỏi KTV phải hiểu các khái niệm, thuật ngữ và bản chất về quản lý rủi ro. KTV phải hiểu và mô tả được hệ thống, quy trình, nghiệp vụ để đánh giá mức độ rủi ro tiềm tàng của đối tượng kiểm toán;
94
hiểu biết về hệ thống kiểm soát nội bộ của đơn vị để đánh giá mức độ rủi ro kiểm soát, mức độ rủi ro có thể được đo lường bằng phương pháp cho điểm. Tuy nhiên, cách cho điểm để đánh giá mức rủi ro là công việc mang tính chủ quan nghề nghiệp.
- Đối với các đơn vị Chi nhánh: Các Chi nhánh thường có đặc thù hoạt động và chức năng, nhiệm vụ tương tự nhau thực hiện đánh giá mức độ rủi ro dựa trên các tiêu chí như sau:
+Quy mô hoạt động của Chi nhánh;
+ Sự thay đổi về cơ cấu tổ chức và lãnh đạo đơn vị: thông thường do mới bổ nhiệm, miễn nhiệm;
+ Dựa vào kết luận và báo cáo kiểm toán của các đợt kiểm toán trước; + Đánh giá, báo cáo của các Vụ, Cục NHTW đối với Chi nhánh thông qua hệ thống thông tin báo cáo, cơ chế phối hợp giữa Vụ Kiểm toán nội bộ và các Vụ, Cục chức năng khác như Vụ Tài chính - Kế toán, Cục Công nghệ tin học ngân hàng... trong việc cung cấp thông tin;
+ Các yếu tố khách quan khác: như điều kiện địa lý, kinh tế...
Việc tính điểm rủi ro đối với từng tiêu chí đánh giá dựa trên phương pháp sau: Vì các Chi nhánh có hoạt động tương tự nhau nên để so sánh mức