- Tự đánh giá rủi ro (KCS A Key control self‐assessment) là một mơ hình
2.2.2.Thực trạng Quản lý rủi ro của Cơng ty cổ phần chứng khốn ở Việt Nam
Dựa trên bảng 1.2 các chỉ tiêu đánh giá mức độ thực hiện QLRR tại các cơng ty chứng khốn, bảng câu hỏi được thiết kế bao gồm những nội dung này để khảo
sát đối với các cơng ty cổ phần chứng khốn tại Việt Nam nhằm đánh giá thực trạng QLRR hiện nay tại các cơng ty. Nhóm các chỉ tiêu định tính bao gồm: tính độc lập của bộ phận QLRR, chính sách QLRR, hệ thống cảnh báo sớm, các mơ hình phân tích và lượng hóa rủi ro và hệ thống kiểm tra, kiểm soát nội bộ được gọi tắt là
khung quản lý rủi ro được đánh giá cho từng công ty trong mẫu khảo sát thu được
(77 công ty) kết hợp với chỉ tiêu định lượng tỷ lệ an toàn vốn khả dụng. Kết quả được thể hiện trong biểu đồ dưới đây.
Nguồn: Kết quả điều tra của NCS
Biểu đồ 2. 4 Mức độ thực hiện QLRR tại CTCK
(1) Chưa có CTCK nào trong nhóm khảo sát xây dựng và thực hiện khung
QLRR một cách đầy đủ và toàn diện trên phạm vi tồn cơng ty.
Một trong những lý do cơ bản giải thích cho kết luận này là các CTCK trong mẫu điều tra nghiên cứu đều chưa xây dựng hệ thống cảnh báo sớm để nhận diện thông tin cảnh báo các rủi ro mới có thể ảnh hưởng lớn đến công ty, hoặc theo dõi các thay đổi rủi ro và báo cáo kịp thời các thất bại kiểm sốt. Các cơng ty cũng khơng có danh mục rủi ro, trong đó liệt kê tất cả rủi ro ở tầm doanh nghiệp, rủi ro ở quy trình để đảm bảo khơng có rủi ro nào bị bỏ sót trong q trình đánh giá. Tương tự, ngoài các thay đổi trong các chuẩn mực và quy định kế tốn mà phịng tài chính - kế tốn có trách nhiệm phải xác định và áp dụng, khơng nhiều CTCK có sẵn cơ chế kiểm sốt như ủy ban quản lý tài sản/công nợ để dự báo, xác định và phản ứng với các thay đổi có ảnh hưởng đáng kể và rộng khắp đối với hoạt động của cơng ty. Chưa có phần mềm nào được triển khai và áp dụng nhằm cảnh báo sớm rủi ro tại cơng ty chứng khốn. Đây chính là điểm yếu lớn nhất trong cơng tác QLRR của các CTCK hiện nay, dẫn đến thực trạng các cơng ty chưa hồn tồn chủ động thực hiện ngăn ngừa và phòng vệ rủi ro hiệu quả.
Biểu đồ 2.5 Tỷ lệ CTCK thực hiện các chỉ tiêu trong khung QLRR
Ngoài ra, sự phân cấp trách nhiệm và tính độc lập của các bộ phận quản lý rủi ro trong CTCK chưa cao. Chưa thực sự có sự tách biệt (vách ngăn mềm - “softwall) giữa các bộ phận, nghiệp vụ kinh doanh với nhau và với bộ phận QLRR nhằm đảm bảo tính bảo mật, an tồn trong hoạt động kinh doanh. Tâm điểm của vách ngăn mềm trong CTCK là phịng kiểm sốt có chức năng giám sát sự di chuyển thông tin và nhân viên giữa các bộ phận. Kết quả điều tra cho thấy mới chỉ có khoảng 7,8% các cơng ty đã xây dựng được vách ngăn mềm qua việc xây dựng các chính sách, cẩm nang hướng dẫn nội bộ; cung cấp cho các nhân viên về bảo mật thông tin và các quy định pháp lý liên quan; yêu cầu nhân viên ký các biên bản cam kết về tuân thủ bảo mật thông tin. Tuy nhiên, phần lớn các cơng ty cịn lại chưa làm được điều này, thậm chí cịn chưa có sự phân tách cơ sở vật chất, địa điểm làm việc của các khối kinh doanh, chưa có sự phân tách và hạn chế khả năng tiếp cận dữ liệu trên máy chủ và mạng nội bộ cho từng khối kinh doanh thông qua mật khẩu truy cập, bộ phận giám sát vẫn chưa thực hiện đầy đủ chức năng, nhiệm vụ của mình.
Điều đáng quan tâm là gần như các CTCK chưa có bộ phận QLRR tách biệt mà thường bộ phận này được lồng ghép vào các phòng ban, chức năng nghiệp vụ khác, chưa có sự phân cấp về trách nhiệm của ban điều hành về QLRR. Kết quả điều tra trong biểu đồ 2.6 cho thấy 79,5% các ý kiến trả lời cơng ty chưa có bộ phận QLRR độc lập.
Biểu đồ 2.6 Mức độ độc lập của bộ phận QLRR
(Với câu hỏi Cơng ty đã có bộ phận quản lý RR độc lập chưa, và các mức trả lời mức 1- Rất không đồng ý đến mức 5 - Hoàn toàn đồng ý).
(2) Hơn 1/3 số CTCK được khảo sát đã xây dựng và thực hiện một phần khung QLRR trong hoạt động kinh doanh.
Một trong những nội dung của khung QLRR được nhiều CTCK thực hiện nhất là các cơng ty đã xây dựng được chính sách QLRR, hệ thống kiểm tra, kiểm sốt nội bộ và các mơ hình định lượng rủi ro. Cụ thể, hơn 70% các công ty ở thời điểm khảo sát đã xây dựng chính sách QLRR thể hiện trên các báo cáo tài chính hằng năm, trong đó cơng ty đã thực hiện mơ tả một số rủi ro chính (rủi ro thanh tốn, rủi ro tín dụng, rủi ro hoạt động), mơ tả phương pháp theo dõi và xử lý ứng với từng loại rủi ro, đồng thời đưa ra được hạn mức rủi ro đối với từng nghiệp vụ cũng như các loại rủi ro nêu trên. Những công ty này cũng áp dụng các mơ hình phân tích và lượng hóa rủi ro khác nhau. Tuy nhiên, vẫn còn một số vấn đề trong quá trình thực hiện QLRR như sau:
Thứ nhất, việc quản lý rủi ro của nhiều công ty mới chỉ dừng lại ở việc kiểm
sốt việc tn thủ quy trình tác nghiệp do bộ phận kiểm sốt nội bộ thực hiện, cịn công tác đánh giá, đo lường rủi ro, đề xuất giải pháp hạn chế rủi ro chưa được CTCK chú trọng. Thậm chí tại nhiều cơng ty quy trình QLRR chỉ xây dựng trên giấy tờ cho có, cho đủ, cịn việc thực thi và tuân thủ các quy định đó chưa nghiêm túc. Kết quả kiểm tra của UBCKNN tại các cơng ty chứng khốn có vấn đề tháng 3/2013 đã xác nhận những cơng ty có sai phạm đều đã có quy trình kiểm sốt nội bộ, quản lý rủi ro nhưng việc thực thi rất kém, thậm chí có tình trạng thao túng của người điều hành.
Thứ hai, việc thực thi quy trình quản lý rủi ro cịn mang nặng cảm tính.
Nhiều cơng ty chứng khốn lớn trong năm 2012 rơi vào tình trạng rủi ro rất cao, thậm chí mất hết cả vốn chủ sở hữu, khơng phải là do khơng có quy trình QLRR, mà là khơng tuân thủ các quy trình này hoặc thực hiện một cách hết sức cảm tính.
Một trong những ví dụ điển hình của việc bỏ qua các quy định quản lý rủi ro và tự đưa công ty vào vị thế rủi ro cao là việc cắt lỗ, thanh toán các doanh mục đầu tư kém hiệu quả, các dịch vụ đòn bẩy, hợp tác kinh doanh thiếu kiên quyết. Thông thường khi cho khách hàng vay ký quỹ, các CTCK ln dự phịng một mức độ tổn thất, rủi ro trong trường hợp xấu nhất và rất hiếm khi cho vay vượt quá một tỉ lệ an toàn so với giá trị tài sản ký quỹ. Mặt khác, các hợp đồng luôn quy định một hạn mức suy giảm giá trị tài sản ký quỹ nhất định và yêu cầu bổ sung tài sản ký quỹ, hoặc công ty sẽ thực hiện giải chấp tài sản để thu hồi vốn cho vay. Với những quy định chặt chẽ này, toàn bộ rủi ro sẽ được chuyển cho khách hàng và công ty được an toàn trong những trường hợp xấu nhất. Tuy nhiên vẫn có nhiều trường hợp cơng ty chứng khốn phải chịu khoản nợ là một danh mục cổ phiếu đã giảm giá vượt quá quy định giải chấp. Nguyên nhân chính là các yếu tố cảm tính đã vượt qua các quy định về QLRR. Mức độ thân quen của khách hàng, một lời nói của tổng giám đốc, thành viên ban quản trị cũng có thể vơ hiệu hóa các quy định. Thậm chí có trường
hợp chính thành viên ban điều hành cơng ty cũng tự “hợp tác kinh doanh” với chính cơng ty, đồng thời quyết định việc thực thi các quy định quản lý rủi ro.
Nguồn: Kết quả điều tra của NCS
Biểu đồ 2. 7 Các biện pháp xử lý rủi ro hệ thống tại CTCK
Thứ ba, việc xử lý rủi ro tại các CTCK còn nhiều bất cập. Kết quả điều tra
thực tế cho thấy đối với các loại rủi ro hệ thống như rủi ro chính sách pháp luật của Nhà nước, rủi ro thị trường, rủi ro thông tin, các CTCK tổng hợp 4 phương pháp xử lý thông dụng: Né tránh rủi ro, Chuyển giao rủi ro, Giảm nhẹ rủi ro và Chấp nhận rủi ro. Cụ thể:
Giảm nhẹ rủi ro là biện pháp được phần lớn các CTCK lựa chọn khi xử lý rủi ro hệ thống. Gần 60% các CTCK xử lý rủi ro pháp luật và rủi ro thị trường bằng cách tăng cường kiểm tra giám sát, trích lập dự phịng rủi ro, thậm chí một số cơng ty đã ngừng không thực hiện một số hoạt động quá rủi ro trong điều kiện thị trường bất ổn lạm phát và lãi suất tăng cao.
Chấp nhận rủi ro cũng được các CTCK áp dụng trong những trường hợp rủi ro do khơng có luật, luật thay đổi, biến động tỷ giá, thất nghiệp, GDP. Đây được xem như biến động của môi trường vĩ mô mà bất kể CTCK nào cũng tự biết sẽ phải chấp nhận khi thực hiện hoạt động kinh doanh tìm kiếm các cơ hội sinh lời. Rất ít và thậm chí khơng có cơng ty nào tìm cách né tránh rủi ro và hầu hết đều hiểu rằng kinh doanh trong rủi ro mới có lợi nhuận.
Đối với rủi ro phi hệ thống, kết quả điều tra cho thấy do nhận thức được mức
độ ảnh hưởng của loại rủi ro này nên gần như khơng có cơng ty nào lựa chọn biện pháp chấp nhận rủi ro mà đều có các hành động, chiến lược để giảm thiểu đến mức mong muốn. Giảm nhẹ rủi ro bằng các biện pháp trích lập dự phịng, tăng cường
kiểm tra giám sát được 52% các CTCK lựa chọn, 37,7% lựa chọn các biện pháp nhằm né tránh rủi ro và số còn lại sử dụng các chiến lược chuyển giao rủi ro.
Tương tự, đối với rủi ro hoạt động và rủi ro điều hành quản lý, hầu hết các cơng ty đều cố gắng tìm kiếm các biện pháp nhằm phịng ngừa và hạn chế những thiệt hại có thể xảy ra. Riêng đối với rủi ro hoạt động, các biện pháp né tránh rủi ro được phần lớn các cơng ty (67%) sử dụng, trong khi đó giảm nhẹ rủi ro lại là biện pháp được 70% các công ty áp dụng để xử lý rủi ro điều hành, quản lý.
Nguồn: Kết quả điều tra của NCS
Biểu đồ 2. 8 Các biện pháp xử lý rủi ro phi hệ thống tại CTCK
Đối với rủi ro tài chính, các cơng ty đều sử dụng đồng đều tất cả các biện pháp để xử lý, tuy nhiên giảm nhẹ rủi ro lại là biện pháp được 44,16% các công ty lựa chọn để xử lý rủi ro thủ tục quy trình.
Tuy nhiên, việc xử lý rủi ro tại các CTCK thường mang tính bị động và chưa triệt để. Thường các biện pháp xử lý rủi ro chỉ áp dụng khi rủi ro đã xảy ra rồi nhằm hạn chế tối đa những tổn thất cho cơng ty. CTCK chưa có những dự báo, định lường nhằm lường trước những hậu quả có thể gây ra do rủi ro từ hoạt động kinh doanh. Từ đó, phịng ngừa được rủi ro một cách hiệu quả nhất.
(3) Hơn 40% các công ty đã xây dựng được một phần khung quản lý rủi ro nhưng chưa triển khai thực hiện.
Kết quả này phần lớn xảy ra tại các CTCK chưa có bộ phận QLRR độc lập, việc thực hiện QLRR chủ yếu dựa vào hệ thống kiểm tra, kiểm soát nội bộ. Theo quy định hiện hành, các CTCK khi thành lập phải đồng thời thiết lập quy trình kiểm sốt nội bộ và nghiêm túc thực hiện quy trình này. Tuy nhiên, hoạt động của bộ máy kiểm tra, kiểm tốn nội bộ tại từng cơng ty có sự khác nhau (mơ hình tổ chức, quy mô hoạt động); hiệu quả của cơng tác kiểm tra, kiểm tốn nội bộ tại từng CTCK cũng khác nhau.
Kết quả điều tra sơ bộ về khung kiểm soát nội bộ tại 77 CTCK trên TTCK Việt Nam trong năm 2012 cho thấy, bên cạnh một vài dấu hiệu khả quan, vẫn cịn nhiều vấn đề cần cải thiện.
Các cơng ty hầu hết đều có những văn bản miêu tả chức năng và trách nhiệm của phòng quản trị rủi ro, phịng KSNB, phịng kiểm tốn nội bộ, nhưng nhiều văn bản này không thực sự rõ ràng hoặc không được thông tin đến các cổ đơng, dẫn đến việc thiếu tính rõ ràng và minh bạch trong vai trị và trách nhiệm của từng phòng cụ thể trong tổng thể khung KSNB của tổ chức, cũng như trách nhiệm của từng phòng trong mối quan hệ và hợp tác với các phòng còn lại nhằm hướng đến mục tiêu chung của chức năng KSNB
Trong các CTCK được điều tra, chỉ có 22,08% cơng ty có ủy ban kiểm tốn và 11,18% cơng ty có ban kiểm sốt (kiểm sốt viên), với vai trị và trách nhiệm bao gồm giám sát kiểm tốn nội bộ nói riêng và khung kiểm sốt nội bộ nói chung. Thêm vào đó, ở một số cơng ty, tính độc lập của ủy ban kiểm tốn và kiểm tốn nội bộ khơng được xem xét đầy đủ khiến cho ủy ban kiểm toán và kiểm toán nội bộ vẫn báo cáo lên Ban điều hành. Điều này cản trở tính hiệu quả của vai trị và hoạt động trong việc cung cấp sự đảm bảo khách quan, trung thực của việc thực hiện KSNB của cơng ty. Xét trên khía cạnh về hệ thống KSNB, các cơng ty nước ngồi phần lớn thực hiện tốt hơn các cơng ty khơng có sở hữu nước ngồi. Điều này là do nhận thức tốt hơn của các công ty về hệ thống KSNB quốc tế và thực tiễn tốt nhất về quản trị doanh nghiệp; việc áp dụng phương pháp đánh giá rủi ro, các chính sách KSNB và các quy trình đã được thiết lập sẵn từ cơng ty mẹ; vai trị, trách nhiệm và nguồn nhân lực được xác định rõ ràng hơn trong các cơng ty sở hữu nước ngồi. Kết quả này phù hợp với báo cáo thẻ điểm quản trị công ty do IFC thực hiện, trong đó chỉ ra rằng, các cơng ty sở hữu nước ngồi có thực tiễn quản trị doanh nghiệp tốt hơn so với các cơng ty khơng có sở hữu nước ngồi.
Với những phân tích trên có thể thấy HTKSNB của các CTCK Việt Nam còn chưa thực sự gắn với quản lý rủi ro trong công ty. HTKSNB chủ yếu hoạt động với
chức năng kiểm tra các thơng tin q khứ về kinh tế tài chính, tìm nguyên nhân của những sai phạm đã xảy ra mà chưa thực sự chú trọng vào việc dự đốn rủi ro có thể xảy ra trong tương lai, chưa có các chỉ tiêu cảnh báo rủi ro hay có các biện pháp phịng ngừa hữu hiệu.
(4) Mặc dù một số công ty chứng khốn chưa triển khai thực hiện QLRR tại cơng ty song hầu hết đều lên kế hoạch triển khai trong thời gian ngắn.
Trải qua những giai đoạn khó khăn từ 2008 đến nay, các cơng ty chứng khốn đều thấy được mức độ cạnh tranh trong ngành cung cấp dịch vụ tài chính này là hết sức gay gắt, do đó địi hỏi các cơng ty phải có những chiến lược, bước đi hết sức rõ ràng, phải rà soát, đánh giá lại tồn bộ các quy trình kiểm sốt nội bộ, quản lý rủi ro, tăng cường công tác quản trị doanh nghiệp, tuân thủ quy định pháp luật trong toàn bộ hoạt động của mình. Hơn nữa, với quy định 105 về QLRR được ban hành nêu trên, việc xây dựng và thực hiện QLRR khơng cịn là sự lựa chọn mà mang tính bắt buộc đối với CTCK.
(5) Mức độ thực hiện QLRR tại các CTCK tỷ lệ thuận với quy mơ nhưng
khơng có mối tương quan nhiều với tỷ lệ an tồn vốn khả dụng của cơng ty.
- Khảo sát quy mơ của CTCK tính theo tổng giá trị tài sản trên bảng cân đối