5. Kết cấu của đề tài
1.1. Cơ sở lí luận về Tiền gửi tiết kiệm tại NHTM và Mô hình kiểm soát 3 lớp
1.1.3. Mô hình kiểm soát 3 lớp
1.1.3.1. Các loại rủi ro trong hoạt động của NHTM
Rủi ro trong hoạt động kinh doanh của NHTM là khả năng xảy ra tổn thất cho ngân hàng.
Có nhiều loại rủi ro mà ngân hàng phải đối mặt:
(i) Rủi ro lãi suất: là khả năng xảy ra tổn thất về thu nhập hoặc vốn của ngân hàng do những biến động về lãi suất;
(ii) Rủi tín dụng: là khả năng xảy ra tổn thất đối với ngân hàng khi khách hàng vay không hoàn trả hoặc hoàn trả không đầy đủ theo hợp đồng tín dụng đã ký kết giữa hai bên;
(iii)Rủi ro tỷ giá: là khả năng xảy ra tổn thất về thu nhập hoặc vốn của ngân hàng do những biến động về tỷ giá hối đoái;
(iv)Rủi ro giá cả: là khả năng xảy ra tổn thất về thu nhập hoặc vốn của ngân hàng do những biến động về giá trị thị trường của các công cụ tài chính mà ngân hàng đang nắm giữ;
(v) Rủi ro hoạt động: là khả năng xảy ra tổn thất về thu nhập hoặc vốn của ngân hàng do sai sót của những hoạt động nội bộ…
Đặc biệt là với rủi ro hoạt động, khi diễn ra, sẽ thường dẫn đến các sai sót
trong thông tin tài chính. Các sai sót này xảy ra khi quy trình nội bộ không đầy
đủ hoặc chưa chính xác, do con người có trình độ chuyên môn hoặc đạo đức kém, do các hệ thống máy móc hoạt động chưa thông suốt, chính xác…
Mô hình kiểm soát 3 lớp (được nghiên cứu dưới đây) có mục đích chính là nhằm phát hiện và ngăn chặn rủi ro hoạt động.
1.1.3.2. Các sai sót trong thông tin tài chính
Với ý nghĩa "Thông tin tài chính là tấm gương phản ánh hoạt động kinh doanh" thì "thông tin tài chính trung thực, chính xác" được hiểu là không có sai sót hoặc không sai sót trên góc độ trọng yếu. Các sai sót trong thông tin tài chính (financial misstatements) là sự việc các thông tin tài chính không phản ánh đúng tình trạng thực tế của các giao dịch đã diễn ra trong kỳ báo cáo.
Về mặt số học, sai sót có thể có 2 trạng thái: phản ánh cao hơn (over- stated) hoặc phản ánh thấp hơn (under-stated) số thực tế.
Các sai sót này có thể là kết quả do lỗi (error, là hành vi vô ý) hoặc gian lận (fraud, là hành vi cố ý) trong quá trình thao tác nghiệp vụ và báo cáo thể hiện lên các thông tin tài chính.
1.1.3.3. Kiểm soát nội bộ (KSNB) và kiểm toán nội bộ (KTNB)
Kiểm soát nội bộ (internal control): là các thủ tục, chính sách và biện pháp được thiết kế để đảm bảo rằng một tổ chức đáp ứng các mục tiêu của mình và giảm thiểu thiệt hại của rủi ro đến một tổ chức.
Kiểm toán nội bộ (internal audit): là hoạt động đảm bảo và tư vấn độc lập, khách quan được thiết kế bên trong, nhằm gia tăng giá trị và giải quyết các hoạt động của tổ chức. KTNB giúp tổ chức đạt được các mục tiêu đề ra thông qua việc áp dụng các phương pháp có hệ thống và quy tắc nhằm đánh giá và nâng cao hiệu quả quản lý rủi ro, kiểm soát và các quy trình quản trị.
Trong thực tế, hai khái niệm trên thường được sử dụng và hiểu một cách hòa lẫn, do đó cần có sự phân biệt chính xác, trong đó KSNB là hoạt động bao trùm, bao gồm cả công tác KTNB:
Tiêu chí Kiểm soát nội bộ (KSNB) Kiểm toán nội bộ (KTNB)
Người thực hiện Mọi nhân viên, cán bộ các cấp
tham gia vào quy trình nghiệp vụ
Kiểm toán viên nội bộ
Tần suất thực hiện Trong tất cả giao dịch Một số thời điểm cụ thể
(định kỳ hoặc đột xuất) Thời gian thực hiện
so với giao dịch
Trước, trong và sau khi kết thúc giao dịch
Hậu kiểm
Căn cứ Chủ yếu vào quy trình Chuẩn mực, quy trình,
quy định nội bộ
Bảng 1.1 - Phân biệt Kiểm soát nội bộ và Kiểm toán nội bộ 1.1.3.4. Phân loại rủi ro kiểm toán
Rủi ro kiểm toán là tập hợp các rủi ro mà theo đó, các sai sót trọng yếu (material misstatements) sẽ xảy ra đối với quy trình kế toán nhưng không bị phát hiện sau cùng bởi các kiểm tra kiểm toán. Rủi ro kiểm toán có 3 loại:
Rủi ro kiểm toán (Audit risk) = Rủi ro tiềm tàng (Inherent risk) + Rủi ro kiểm soát (Control risk) + Rủi ro phát hiện (Detection risk)
Trong đó:
(i) Rủi ro tiềm tàng (RInh): là rủi ro mà các sai sót trọng yếu có thể xảy ra trong các cơ sở dẫn liệu, chưa tính đến sự tác động của hệ thống KSNB. Đây là rủi ro mang tính đặc thù của ngành nghề kinh doanh. (ii) Rủi ro kiểm soát (RCtr): là rủi ro mà các sai sót trọng yếu trong các cơ
sở dẫn liệu (management assertions) không được ngăn chặn hoặc phát hiện kịp thời bởi hệ thống KSNB.
(iii)Rủi ro phát hiện (RDet): là rủi ro mà các thủ tục kiểm toán không phát hiện được các sai sót trọng yếu.
Để hạn chế các loại rủi ro do sai sót thông tin tài chính, doanh nghiệp/ tổ chức có thể đưa ra nhiều biện pháp kiểm soát, trong đó có Mô hình kiểm soát 3 lớp (3 lớp phòng thủ)
1.1.3.5. Mô hình kiểm soát 3 lớp (3 lớp phòng thủ)
a. Nội dung
Mô hình 3 lớp phòng thủ (Three lines of defense) là mô hình quản trị rủi ro, đặc biệt là rủi ro hoạt động, đã được đề cập nhiều trong các tài liệu của IIA (Institute of Internal Auditors) và các hãng kiểm toán lớn trên thế giới. Áp dụng trong hoạt động của ngành ngân hàng, mô hình này cũng được giới thiệu bởi BIS (Bank for International Settlements) và Ủy ban Basel, theo đó mỗi tuyến phòng thủ đóng một vai trò riêng biệt trong khuôn khổ quản trị rộng lớn của doanh nghiệp/ tổ chức:
Lớp phòng thủ thứ nhất (quản lý hoạt động, thường chính là bộ phận kinh doanh): đảm bảo mọi hoạt động của tổ chức đều được thực hiện đầy đủ, đúng quy trình, quy định; kiểm soát, ngăn ngừa, báo cáo, xử lý các sai phạm, hành vi gian lận phát hiện được ở ngay bộ phận nghiệp vụ. Đây là lớp đầu tiên và quan trọng nhất của tổ chức nói chung, NHTM nói riêng. Do đó, yêu cầu đối với các thủ tục kiểm soát tại lớp phòng thủ này phải được thiết kế đúng trên cơ sở nhận diện đúng và đầy đủ các rủi ro, đồng thời phải được thực thi đầy đủ (properly designed and implemented). Thông qua một cấu trúc trách nhiệm phân
tầng (segregation of duties), các quản lý cấp trung sẽ thiết kế và thực hiện các quy trình chi tiết để điều khiển và giám sát việc thực hiện những quy trình đó bởi các cấp nhân viên.
Lớp phòng thủ thứ hai (kiểm soát rủi ro và chức năng tuân thủ): đảm bảo nhận diện, đo lường, giám sát trạng thái rủi ro và báo cáo về rủi ro đối với từng mảng hoạt động; đảm bảo tổ chức tuân thủ đầy đủ quy định của pháp luật, chịu trách nhiệm xây dựng, sửa đổi chính sách, hạn mức, quy trình quản lý rủi ro của tổ chức. Lớp này có chức năng kiểm tra lại (re-check) đối với lớp thứ nhất, phát hiện và sửa chữa những sai sót mà lớp thứ nhất có thể đã bỏ qua.
Lớp phòng thủ thứ ba (kiểm toán nội bộ): là lớp kiểm soát cuối cùng, thực hiện kiểm toán trên cơ sở rủi ro và kiểm toán chung. Lớp này khá tách biệt so với 2 lớp đầu tiên, chịu trách nhiệm đánh giá độc lập, khách quan đối với hiệu quả hoạt động của hai lớp đầu; đưa ra kiến nghị đối với ban kiểm soát, hội đồng quản trị nhằm khắc phục, sửa đổi những bất cập trong hoạt động của tổ chức.
Mỗi doanh nghiệp/ tổ chức phục vụ trong các ngành nghề lĩnh vực hoạt động khác nhau, có mô hình tổ chức và quan điểm quản trị khác nhau, có tình huống cụ thể khác nhau, nên không có sự phối hợp 3 lớp phòng thủ nào gọi là “quy chuẩn”, tuy nhiên về cơ bản có sự phân công, phối hợp như sau:
Lớp phòng thủ thứ 1 Lớp phòng thủ thứ 2 Lớp phòng thủ thứ 3 Quản lý hoạt động Kiểm soát rủi ro và tuân thủ Đảm bảo rủi ro
• Tiếp nhận rủi ro
• Quản lý hoạt động, xử
lý nghiệp vụ theo quy trình
• Kiểm tra lại lớp thứ nhất
theo chuyên môn quản trị rủi ro (chất lượng, tài chính, pháp chế, an ninh…)
• Báo cáo chủ yếu cho cấp
quản lý
• Kiểm toán nội bộ
• Độc lập cao
• Báo cáo cho cơ quan
chủ quản
b. Điều kiện thực hiện
Trong giả định hoàn hảo về mặt lý thuyết, chỉ cần một lớp phòng thủ là có thể đảm bảo quản lý được rủi ro hoạt động. Tuy nhiên trên thực tế, các loại rủi ro hoạt động rất đa dạng và luôn luôn biến động, vì vậy mô hình kiểm soát rủi ro phải được thiết kế thành 3 lớp để hỗ trợ, “bọc lót” lẫn nhau.
Nhiệm vụ của 3 lớp phòng thủ là phải ngăn chặn các sai sót từ: (i) rủi ro tiềm tàng, (ii) rủi ro kiểm soát và (iii) một phần lớn rủi ro phát hiện.
Mô hình kiểm soát 3 lớp khi đó chỉ hoạt động tốt với các điều kiện:
Rủi ro được nhận diện đầy đủ (risks are detected) và mục tiêu được xác định rõ (objectives are identified);
Các biện pháp ngăn chặn rủi ro được thiết kế phù hợp (properly designed);
Các lớp phòng thủ có đủ năng lực chuyên môn (competence), đủ nguồn lực (resources), thi hành đúng chức trách nhiệm vụ (right duties) và sự mẫn cán (diligence) để thi hành đúng và đầy đủ các thủ tục kiểm soát rủi ro được thiết kế ra (properly implemented);
Các lớp phòng thủ phải có sự độc lập (independence) và khách quan (objectiveness), đặc biệt là ở lớp thứ 3: KTNB;
Mô hình kiểm soát phải đạt được tính hiệu quả (effectiveness: đạt được mục đích) và tính hiệu năng (efficiency: đạt được mục đích với hao tổn nguồn lực ít nhất có thể)
c. Tiêu chí đánh giá
Rất khó để lượng hóa chính xác mức độ hoạt động và tầm quan trọng của các lớp phòng thủ. Tùy từng ngành nghề hoạt động mà mức độ sai sót chấp nhận được có thể rất khác nhau. Ví dụ: sai sót trong ngành sản xuất hàng hóa ở mức độ 1% có thể coi là chấp nhận được, nhưng đối với ngành tài chính ngân hàng thì tỷ lệ nhỏ hơn 1000 lần mức này có thể vẫn là cao.
Tuy nhiên, theo phương pháp tiếp cận của Hãng kiểm toán Deloitte áp dụng trên toàn cầu (DTT Global Audit Approach): Khi kiểm toán viên thử
nghiệm (test walk-through) đối với mô hình phòng thủ 3 lớp thấy: (i) các thủ tục kiểm soát được thiết kế phù hợp và được thực thi; (ii) các thủ tục kiểm soát có hiệu quả (effective); và (iii) Bộ máy KTNB có hoạt động hiệu quả, độc lập, khách quan, thì lúc đó độ đảm bảo của mô hình nội bộ này đã đạt:
Rint = 0,7 + 1 + 1 = 2,7 trên tổng rủi ro cần đảm bảo là RAud = 3.
Tức là khi đó kiểm toán viên độc lập bên ngoài có thể dựa 90% vào hệ thống kiểm soát nội bộ của doanh nghiệp (giảm tới 2,7 / 3 = 90% số lượng mẫu cần kiểm tra chi tiết).
Mối quan hệ giữa các lớp phòng thủ (bên trong tổ chức) và các cơ quan độc lập bên ngoài trong việc kiểm soát và phát hiện rủi ro được thể hiện trong sơ đồ dưới đây:
Mức độ đảm bảo tối đa của mô hình kiểm soát rủi ro
Nội bộ Ngoài
Rint = 0,7 + 1 + 1 = 2,7 Rext = 0,3
Rủi ro tiềm tàng Rủi ro kiểm soát Rủi ro phát hiện RIhr = 0,7 RCtr = 1 RDet = 1 + 0,3
Hình 1.3 - Mức độ đảm bảo tối đa của mô hình kiểm soát rủi ro
Qua đó có thể thấy vai trò của 3 lớp phòng thủ trong tổ chức là hết sức quan trọng, tương tự như hệ đề kháng miễn dịch trong một cơ thể. Cơ thể có
mạnh khỏe, trước hết là nhờ hệ đề kháng miễn dịch hoạt động tốt; còn khi đã xảy ra bệnh tật thì các phương thuốc hay giải phẫu chỉ là giải pháp sau cùng, nhằm khắc phục hậu quả mà thôi.
Với đặc thù hoạt động của ngành ngân hàng (đối tượng nghiệp vụ trực tiếp là tiền, giá trị lớn, số lượng nhiều…), mô hình 3 lớp phòng thủ được áp dụng ở hầu hết các nghiệp vụ của NHTM, từ huy động tiền gửi, cho vay, đến thanh toán, kinh doanh ngoại hối… Theo mô hình này, tất cả thành viên trong hệ thống đều phải tham gia quá trình quản trị rủi ro, nhằm sàng lọc, hạn chế và ngăn chặn các rủi ro xảy ra đối với hệ thống.
1.1.3.6. Ứng dụng của mô hình kiểm soát 3 lớp trong quy trình huy động tiền gửi
tiết kiệm của NHTM
Bám sát nội dung đã nêu tại Mục 1.1.2.8.a ở trên, sự tham gia của 3 lớp kiểm soát (3 lớp phòng thủ) trong quy trình huy động tiền gửi tiết kiệm tại quầy của NHTM được thể hiện như sau:
- Lớp phòng thủ thứ nhất (bộ phận kinh doanh): là giao dịch viên của ngân hàng, có trách nhiệm kiểm tra các giấy tờ pháp lý của khách hàng; kiểm đếm tiền, đối chiếu các thông tin và nhập vào hệ thống để in ra sổ tiết kiệm; đưa cho khách hàng kiểm tra trước khi ký vào vị trí "Giao dịch viên".
- Lớp phòng thủ thứ hai (kiểm soát rủi ro): là kiểm soát viên của ngân hàng, có tác dụng kiểm soát lại nghiệp vụ của giao dịch viên, đảm bảo các thông tin được giao dịch viên thu thập được điền đầy đủ, chính xác và khớp với nội dung của giao dịch đã được khách hàng đồng ý.
- Lớp phòng thủ thứ ba (kiểm toán nội bộ): Theo quy định hiện hành (Thông tư số 13/2018/TT-NHNN ngày 18/05/2018 của NHNN), các NHTM tại Việt Nam phải xây dựng hệ thống KSNB có 3 tuyến (lớp) bảo vệ độc lập, trong đó KTNB là tuyến bảo vệ thứ ba. Nhân viên KTNB của ngân hàng tiến hành công việc hậu kiểm, được thực hiện định kỳ (theo
ngày, tháng, quý, năm) hoặc đột xuất, nhằm phát hiện các sai sót bị bỏ qua trong quá trình thao tác nghiệp vụ tại điểm giao dịch.