1.2. Cơ sở lý luận về hoạt động kiểm soát tài chính
1.2.4. Mô hình hệ thống kiểm soát tài chính
Mô hình 4 tuyến phòng thủ (four lines of defense) đƣợc đề cập nhiều trong các tài liệu của COSO, IIA (Institute of Internal Auditors) và BIS (Bank for International Settlements), Ủy ban Basel. Tại các doanh nghiệp hay ngân hàng, mô hình 4 tuyến phòng thủ cũng đƣợc áp dụng hiệu quả cho hoạt động kiểm soát tài chính.
Hình 1.1. Mô hình 4 tuyến phòng thủ
(Nguồn: Tổng hợp của tác giả) 1.2.4.1. Tuyến phòng thủ thứ nhất
Theo Hiệp hội kiểm toán nội bộ Hoa Kỳ, mô hình ba tuyến phòng chia thành 3 nhóm phân biệt: Sở hữu và quản lý rủi ro, giám sát rủi ro, cung cấp đảm bảo sự độc lập.
Quản lý cấp cao
Tuyến phòng thủ thứ 2
Tuyến phòng thủ thứ 1 Tuyến phòng thủ thứ 3
Cơ quan chủ quản/ Hội đồng quản trị/ Ủy ban kiểm tóan
Kiểm soát quản lý
Biện pháp kiểm soát nội
bộ
KIểm soát tài chính Bảo mật Quản trị rủi ro
Chất lượng
Tuân thủ Kiểm tra
Kiểm toán nội bộ
Kiểm toán độc lập NgườI điều chỉnh
17
Theo tuyến đầu tiên của mô hình này thì nhà quản lý hoạt động sở hữu và quản lý rủi ro chịu trách nhiệm thực hiện các hành động khắc phục để giải quyết các quá trình kiểm soát thiếu sót.
Quản lý hoạt động có trách nhiệm duy trì việc kiểm soát nội bộ hiệu quả.Theo đó, việc kiểm soát rủi ro đƣợc thực hiện hàng ngày.Quản lý họat động kiểm soát và góp phần giảm nhẹ rủi ro, từ đó hướng dẫn phát triển, thực hiện các chính sách và qui trình nội bộ để đảm bảo các hoạt động phù hợp với mục tiêu.
Thông qua một cấu trúc trách nhiệm phân tầng, các quản lý cấp trung sẽ thiết kế và thực hiện các quy trình chi tiết để điều khiển và giám sát việc thực hiện những quy trình đó bởi các cấp nhân viên.Quản lý hoạt động đương nhiên sẽ là tuyến phòng thủ đầu tiên vì kiểm soát được thiết kế vào các hệ thống và quy trình dưới sự hướng dẫn của quản lý hoạt động.
Theo tài liệu về ba tuyến phòng thủ của COSO, quản lý rủi ro tại các đơn vị trực tiếp kinh doanh nhƣ các chi nhánh, các khối kinh doanh, các chuyên viên khách hàng và các đơn vị vận hành tại hội sở. Đối với hoạt động kiểm soát tài chính, tuyến phòng thứ nhất chính là các phòng ban liên quan trực tiếp đến hoạt động tài chính nhƣ phòng Kế toán…Tuyến phòng thủ đầu tiên là để bảo vệ doanh nghiệp.Tuyến này có chức năng tiếp xúc khách hàng và xử lý giao dịch có vai trò người sở hữu rủi ro (risk owner) trong mảng việc mình phụ trách.Nhiệm vụ chính của các đơn vị thuộc tuyến phòng thủ thứ nhất này là xác định, đánh giá, ngăn ngừa, báo cáo và theo dõi các rủi ro phát sinh trong hoạt động kinh doanh của doanh nghiệp và các quy trình khác; bảo vệ lợi ích của doanh nghiệp thông qua việc tự đánh giá rủi ro và kiểm soát tính hiệu quả của từng hoạt động trong doanh nghiệp.
1.2.4.2. Tuyến phòng thủ thứ hai
Trong điều kiện hoàn hảo, có thể chỉ cần một tuyến phòng thủ để đảm bảo hoạt động kiểm soát tài chính một cách hiệu quả.Tuy nhiên, trong thực tế, một tuyến phòng thủ duy nhất không đảm bảo trong việc kiểm soát rủi ro hoạt động.Do đó, theo IIA, việc thiết lập các chức năng tuân thủ và quản lý rủi ro khác nhau để
18
giám sát việc kiểm soát tuyến phòng thủ đầu tiên là chức năng của tuyến phòng thủ thứ 2.Các chức năng chính của tuyến phòng thủ này gồm:
(i) Chức năng quản lý rủi ro: Tạo điều kiện và giám sát việc thực hiện các biện pháp quản lý rủi ro hiệu quả, giúp nhà quản lý trong việc xác định các nguy cơ rủi ro mục tiêu và báo cáo đầy đủ thông tin rủi ro liên quan đến toàn bộ tổ chức.
(ii) Chức năng tuân thủ: Giám sát rủi ro về tính không tuân thủ pháp luật và các quy định hiện hành. Trong chức năng này, chức năng riêng biệt báo cáo trực tiếp đến quản lý cấp caovà các cơ quan chủ quản.
(iii) Chức năng giám sát các rủi ro tài chính và các vấn đề về báo cáo tài chính.
Các chức năng của tuyến phòng thủ thứ 2 đảm bảo tuyến phòng thủ đầu tiên đƣợc thiết kế đúng cách, đúng chỗ và hoạt động nhƣ dự định.Mỗi một chức năng có một mức độ độc lập với tuyến phòng thủ đầu tiên. Vì là chức năng quản lý, chúng can thiệp trực tiếp vào việc sửa đổi và phát triển hệ thống quản lý rủi ro và kiểm soát nội bộ. Do đó, tuyến phòng thủ thứ 2 không thể cung cấp những phân tích thực sự độc lập với cơ quan chủ quản liên quan đến quản lý rủi ro và kiểm soát nội bộ.Chức năng này bao gồm nhiều nhiệm vụ khác nhau nhƣ:Hỗ trợ chính sách quản lý và thiết lập mục tiêu thực hiện, cung cấp các khung quản lý rủi ro, xác định các vấn đề còn tồn tại, xác định sự thay đổi trong rủi ro tiềm ẩn của tổ chức, v.v. Tuy nhiên, theo COSO, nhiệm vụ quan trọng hơn cả là việc độc lập đánh giá và kiểm soát tính hiệu quả của hệ thống ở tuyến phòng thủ thứ nhất, quản lý rủi ro, giám sát các chương trình kiểm soát nội bộ, tuân thủ.
1.2.4.3. Tuyến phòng thủ thứ ba
Theo IIA, nhân viên kiểm toán nội bộ cung cấp cho cơ quan chủ quản và quản lý cấp cao với đảm bảo toàn diện dựa trên mức độ độc lập, khách quan cao nhất trong tổ chức. Mức độ độc lập này không có trong tuyến phòng thủ thứ 2.Kiểm toán nội bộ đảm bảo tính hiệu quả của quản trị, quản lý rủi ro và kiểm soát nội bộ.
Phạm vi của bảo đảm đƣợc báo cáo cho quản lý cấp cao và cơ quan chủ quản bao gồm:
19
- Hiệu quả hoạt động,an toàn tài sản, độ tin cậy và tính chính xác của quy trình báo cáo, sự tuân thủ luật pháp, quy định, chính sách, thủ tục và hợp đồng.
- Các đơn vị tổng thể, bộ phận, công ty con, đơn vị điều hành, và các chức năng – bao gồm các quy quy trình kinh doanh, chẳng hạn: sales, sản xuất, marketing, bộ phận khách hàng, và các hoạt động - cũng nhƣ các chức năng hỗ trợ (vd, doanh thu và kế toán chi tiêu, nguồn nhân lực, thu mua, biên chế, ngân sách, cơ sở hạ tầng và quản lý tài sản, hàng tồn kho và công nghệ thông tin).
Việc thiết lập hoạt động kiểm toán nội bộ chuyên nghiệp đƣợc xem là rất quan trọng đối với các tổ chức cỡ vừa và lớn, và cũng quan trọng không kém đối với các đơn vị nhỏ, vì họ có thể phải đối mặt với môi trường phức tạp không kém trong một cơ cấu tổ chức yếu hơn, để đảm bảo tính hiệu quả quá trình quản trị và quản lý rủi ro của mình.
Kiểm toán nội bộ góp phần tích cực vào quản trị tổ chức một cách hiệu quả, đáp ứng các điều kiện nhất định – bồi dƣỡng tính độc lập và trình độ chuyên môn.Các biện pháp khả thi nhất nhằm duy trì tốt chức năng kiểm toán nội bộ gồm:Hoạt động theo tiêu chuẩn quốc tế đối với hoạt động kiểm toán nội bộ, thực hiện kiểm toán một cách độc lập, báo báo chính xác và hiệu quả đến cơ quan chủ quản.
Tuy nhiên, theo COSO, tuyến phòng thủ này này trực thuộc Ban kiểm soát và không thuộc Ban điều hành của doanh nghiệp.Tuyến này sẽ giúp cho Ban kiểm soát và HĐQTkiểm soát đƣợc tính hiệu quả trong hoạt động của các bộ phận kinh doanh, vận hành, quản trị rủi ro.
Là ngân hàng kinh doanh tiền gửi, các ngân hàng thương mại quản lý, giám sát một lượng tiền và các giấy tờ có giá trị lớn. Các loại tài sản này thường đòi hỏi phải có những biện pháp bảo vệ an ninh chặt chẽ cả khi bảo quản cất giữ, vận chuyển cũng nhƣ chuyển giao, đồng thời cũng biến ngân hàng thành nơi nhậy cảm với các vấn đề biển thủ, tham ô, gian lận và vƣợt thẩm quyền. Các mục tiêu về tính tuân thủ quy định pháp luật, bảo vệ tài sản và cung cấp thông tin đáng tin cậy có thể dễ dàng bị vi phạm. Vì vậy, các ngân hàng thường phải thiết lập một hệ thống kiểm
20
soát nội bộ nghiêm khắc, chặt chẽ với việc xây dựng và triển khai các loại kiểm soát và nguyên tắc kiểm soát phù hợp.Kiểm toán nội bộ đƣợc sử dụng nhƣ một công cụ giúp nhà quản trị ngân hàng thực hiện các mục tiêu kiểm soát nội bộ.
Tuyến phòng thủ thứ ba, với chức năng kiểm toán nội bộ độc lập với chức năng hằng ngày của ngân hàng và có thể tiếp cận với tất cả các hoạt động ngân hàng thực hiện, bao gồm cả hoạt động ở chi nhánh, sở giao dịch và công ty con. Do vậy, phạm vi hoạt động của kiểm toán nội bộ rất rộng và đa dạng, cho phép kiểm toán viên có thể thu thập bằng chứng đủ để đƣa ra ý kiến nhận xét. Mặt khác, thông qua việc báo cáo trực tiếp Hội đồng quản trị, Ủy ban kiểm toán, Ban điều hành, sẽ cho phép kiểm toán nội bộ cung cấp thông tin khách quan không bị ảnh hưởng bởi bất kỳ cấp quản lý nào.
Ủy ban Basel khuyến nghị hội đồng quản trị các ngân hàng thành lập Ủy ban kiểm toán nội bộ để hỗ trợ hội đồng quản trị trong việc giám sát quá trình lập báo cáo tài chính và hệ thống kiểm soát nội bộ. Ủy ban kiểm toán là nơi liên lạc trực tiếp của bộ phận kiểm toán nội bộ ngân hàng. Bộ phận kiểm toán nội bộ đƣợc đặt dưới sự chỉ đạo trực tiếp của bộ phận lãnh đạo cao nhất của ngân hàng là hội đồng quản tri hoặc ban điều hành. Với mô hình tổ chức này, đảm bảo cuộc kiểm toán nội bộ đƣợc thực hiên nghiêm túc, đúng đắn và độc lập.
Tuyến phòng thủ thứ ba, đƣợc tổ chức đầy đủ và toàn diện về nội dung, phương pháp, quy trình và kiểm soát chất lượng nhằm giúp cho hệ thống kiểm soát nội bộ ngân hàng có thể nhận biết, đánh giá và giám sát các loại rủi ro kịp thời; báo cáo các cấp quản lý thích hợp và đƣa ra giải pháp để khắc phục những hạn chế của hệ thống kiểm soát nội bộ ngân hàng.
1.2.4.4. Tuyến phòng thủ thứ tư
Theo tài liệu của BIS đƣa ra, Mô hình ba tuyến phòng thủ vẫn còn tồn tại nhiều lỗ hổng dẫn tới không thể đảm bảo quản trị và kiểm soát hoạt động tài chính của doanh nghiệp hiệu quả, ví dụ nhƣ: sự không thống nhất trong hoạt động kiểm soát giữa các bộ phận kiểm soát ở tuyến phòng thủ thứ nhất; thiếu tính độc lập, thiếu kỹ năng và chuyên môn trong các hoạt động chức năng của tuyến phòng thủ
21
thứ hai; việc đánh giá rủi ro chủ quan và không đầy đủ từ bộ phận kiểm toán nội bộ ở tuyến phòng thủ thứ ba.
Vì vậy, BIS đã đƣa ra mô hình bốn tuyến phòng thủ đối với các cơ quan tài chính, bao gồm 3 tuyến phòng thủ nhƣ trên và tuyến phòng thủ thứ 4, hay còn gọi là tuyến phòng thủ từ bên ngoài, gồm các công ty kiểm toán độc lập, cơ quan kiểm toán nhà nước hay bộ phận trực thuộc cơ quan quản lý cấp nhà nước hoàn toàn độc lập với doanh nghiệp, thay mặt tập đoàn mẹ hay cơ quan quản lý cấp nhà nước kiểm soát và đánh giá hoạt động tài chính của doanh nghiệp. Theo mô hình bốn tuyến phòng thủ, kiểm toán độc lập có thể đƣa ra đánh giá tự chủ về ba tuyến đầu tiên trong đó điều này có liên quan đến việc kiểm toán báo cáo tài chính của tổ chức và tuân thủ các yêu cầu quy định. Theo nghĩa này, bằng cách cung cấp sự đảm bảo bổ sung cho các cổ đông và các quản lý cấpcao, kiểm toán độc lập, cơ quan quản lý và các cơ quan bên ngoài khác có vai trò quantrọng trong cơ cấu quản trị và kiểm soát hoạt động tài chính của doanh nghiệp.
Mục tiêu đặt ra là phát huy vai trò kiểm soát trước tại các đơn vị tuyến đầu (đơn vị kinh doanh và tác nghiệp trực tiếp) cũng nhƣ vai trò giám sát từ xa, kiểm tra tại chỗ của các đơn vị có chức năng kiểm tra, quản trị rủi ro nhằm phát hiện sớm những rủi ro trọng yếu, giảm thiểu tổn thất cho ngân hàng. Do đó, việc ứng dụng mô hình 4 tuyến phòng thủ nhƣ trên cần đƣợc thực hiện linh hoạt, phù hợp với những thay đổi về tổ chức mô hình khối cũng nhƣ thống nhất lại, làm rõ một số chức năng, nhiệm vụ bị chồng chéo, trùng lắp hoặc bỏ sót.