CHƯƠNG 1: NHỮNG VẤN ĐỀ CHUNG VỀ KIỂM SOÁT NỘI BỘ TẠI NGÂN HÀNG THƯƠNG MẠI
1.4. Các bộ phận cấu thành kiểm soát nội bộ
Dựa trên báo cáo COSO (2016), kiểm soát nội bộ đƣợc cấu thành bởi 5 thành phần chính và 17 nguyên tắc cơ bản liên quan tới 5 thành phần này, đƣợc thể hiện ở hình 1.1 dưới đây:
Hình 1.1. Thành phần cấu thành kiểm soát nội bộ Nguồn: COSO (2016)
Theo đó, 5 thành phần chính cấu thành nên kiểm soát nội bộ bao gồm: (1) Môi trưởng kiểm soát; (2) Đánh giá rủi ro; (3) Hoạt động kiểm soát; (4) Thông tin và truyền thông; (5) Hoạt động giám sát, đƣợc thể hiện chi tiết nhƣ sau:
1.4.1. Môi trường kiểm soát (Control environment)
Có thể khẳng định rằng nền tảng của toàn bộ hệ thống kiểm soát nội bộ chính là môi trường kiểm soát, thứ thể hiện được mức độ ý thức về kiểm soát của người
quản lý, ban quản trị doanh nghiệp. Môi trường kiểm soát là cơ sở cho tất cả các thành phần khác, đưa ra định hướng, kỷ luật và cấu trúc kiểm soát. Không chỉ vậy, môi trường kiểm soát cung cấp trật tự và cấu trúc cũng như là điều kiện môi trường có hiệu quả của kiểm soát nội bộ, từ đó mà tác động trực tiếp tới tổng thể kế hoạch chiến lƣợc và mục tiêu đƣợc xây dựng, bên cạnh đó là hoạt động kiểm soát cấu trúc trên nền tảng đó. Mỗi cá nhân trong tổ chức bất kể từ nhà quản lý tới nhân viên đều bị ảnh hưởng trong nhận thức bởi môi trường kiểm soát, nói theo cách khác, nó tạo nên sắc thái chung cho tổ chức, doanh nghiệp đó. Tóm lại, môi trường kiểm soát chính là nền tảng cho các thành phần khác của hệ thống kiểm soát nội bộ.
Ở các ngân hàng thương mại, môi trường kiểm soát bao gồm có môi trường bên trong và môi trường bên ngoài của ngân hàng, tác động tới các hoạt động thiết kế, xây dựng và tổ chức kiểm soát việc thực hiện các quy định, chính sách của ngân hàng. Các nhân tố của môi trường kiểm soát đều thể hiện thái độ, quan điểm của ban quản trị cũng như người quản lý của ngân hàng. Vậy nên cũng có thể nhận định rằng hoạt động kiểm tra, kiểm soát có hiệu quả hay không là phụ thuộc và quan điểm quản lý của ngân hàng đó. Khi nhà quản lý của ngân hàng coi trọng các hoạt động kiểm tra, kiểm soát nội bộ sẽ tác động tới nhận thức và hành động của các cá nhân khác sẽ tuân thủ các chính sách, quy chế đã đƣợc đề ra. Điều này cũng đúng với chiều ngƣợc lại khi nhà quản lý thiếu sự coi trọng đối với vấn đề kiểm soát nội bộ, các cơ chế, chính sách của ngân hàng sẽ hoạt động không hiệu quả đối với các cá nhân, nhân sự trong ngân hàng đó.
Tương ứng với môi trường kiểm soát, theo COSO (2016), 5 nguyên tắc của kiểm soát nội bộ tương ứng được đề ra, bao gồm các nguyên tắc sau đây:
(1) Tổ chức thể hiện đƣợc sự cam kết về tính chính trực cũng nhƣ giá trị đạo đức;
(2) Ban quản trị chứng minh đƣợc sự độc lập đối với nhà quản lý và thực hiện việc giám sát sự phát triển của kiểm soát nội bộ cũng nhƣ hoạt động của nó;
(3) Nhà quản lý cần xây dựng cơ cấu tổ chức, quy trình báo cáo, phân định các trách nhiệm, quyền hạn để đạt đƣợc mục tiêu tổ chức đã đề ra;
(4) Tổ chức cam kết về việc sử dụng nhân sự có năng lực phù hợp thông qua tuyển dụng, duy trì và phát triển nguồn nhân lực đáp ứng đƣợc mục tiêu đã đề ra;
(5) Tổ chức yêu cầu các nhân sự chịu trách nhiệm báo cáo về trách nhiệm của họ trong hoạt động đáp ứng các mục tiêu của tổ chức.
1.4.2. Đánh giá rủi ro (Risk Assessment)
Đánh giá rủi ra là quá trình xác định cũng nhƣ phân tích các rủi ro liên quan đến mục tiêu của tổ chức, đây là thành phần tạo cơ sở cho cách xác định rủi ro, cũng nhƣ các hoạt động quản lý và báo cáo. Sau khi tổ chức đã đƣa ra đƣợc mục tiêu một cách rõ ràng và thiết lập được môi trường kiểm soát hiệu quả riêng của doanh nghiệp, tổ chức cần tiến hành việc đánh giá các rủi ro mà tổ chức có thể phải đối mặt cũng nhƣ xây dựng một nền tảng để các hoạt động kiểm soát rủi ro sẽ đƣợc phát triển. Mỗi tổ chức, doanh nghiệp cần nhận thức đƣợc các rủi ro mà mình có thể gặp phải và từ đó đưa ra được các phương thức đối phó với chúng. Việc đánh giá rủi ro chính là quá trình nhận dạng, phân tích các rủi ro có thể đe doạ các mục tiêu mà tổ chức đã đề ra, từ đó tạo cơ sở để nhà quản lý có thể xây dựng các phương án phòng ngừa rủi ro phù hợp.
Các rủi ro có thể xảy ra từ bên trong hoặc bên ngoài tổ chức. Trong đó, rủi ro từ bên trong tổ chức là do các nguyên nhân nhƣ mâu thuẫn về mục tiêu của các hoạt động kinh doanh hay các chiến lƣợc khác nhau, từ đó hình thành nên sự khó khăn trong khi thực hiện mục tiêu chung. Hơn nữa, rủi ro có thể xuất phát từ sự không minh bạch, thiếu đạo đức nghề nghiệp, năng lực và chất lƣợng cán bộ nhân sự yếu kém, hay cơ sở hạ tầng của tổ chức không đạt yêu cầu. Ngoài ra một số yếu tố khác nhƣ mất cân đối chi phí hay không có sự kiểm soát thích hợp cũng có thể gây ra các rủi ro cho tổ chức từ bên trong. Rủi ro từ bên ngoài có thể xảy ra do sự thay đổi công nghệ kỹ thuật làm cho quy trình vận hành phải thay đổi, hay sự thay đổi trong thị hiếu và thói quen người tiêu dùng. Thậm chí là các yếu tố cạnh tranh hay các chính sách, bộ luật mới cũng có thể là yếu tố làm nên rủi ro cho tổ chức từ bên ngoài.
Quá trình đánh giá rủi ro cần các các bước cơ bản từ xác định mục tiêu cơ bản, mục tiêu kinh doanh, mục tiêu báo cáo tài chính, mục tiêu tuân thủ. Từ đó nhận
diện rủi ro, phân tích và đánh giá chúng bằng việc đánh giá khả năng rủi ro có thể xảy ra hoặc tần suất xuất hiện của rủi ro. Và cuối cùng là xem xét, đưa ra phương án quản trị rủi ro cũng nhƣ đánh giá các hoạt động cần thiết để đối mặt với rủi ro.
Tóm lại, có thể nói rằng quá trình đánh giá rủi ro là quá trình giúp nhận diện, ứng phó với rủi ro ở các tổ chức. Để tránh bị thiệt hại do rủi ro gây ra, các tổ chức cần xác định rủi ro hữu hiện, rủi ro tiềm ẩn và từ đó xác định phạm vi của rủi ro để kiểm soát được chúng, ngoài ra là phân tích ảnh hưởng của chúng để đưa ra các phương án kiểm soát, giảm thiểu.
Tương ứng với đánh giá rủi ro, theo COSO (2016), 4 nguyên tắc của kiểm soát nội bộ tương ứng được đề ra, bao gồm các nguyên tắc sau đây:
(6) Tổ chức cần đƣa ra đƣợc các mục tiêu rõ ràng, đầy đủ, chi tiết để có thể đánh giá, xác định các rủi ro phát sinh trong quá trình hoạt động;
(7) Các tổ chức cần nhận diện được rủi ro trong các hoạt động hướng tới mục tiêu của tổ chức, từ đó phân tích rủi ro và đƣa ra các cách quản lý rủi ro;
(8) Tổ chức cần xem xét các loại gian lận tiềm tàng trong khi đánh giá rủi ro;
(9) Tổ chức cần xác định và đánh giá được các thay đổi của môi trường, ảnh hướng tới kiểm soát nội bộ.
1.4.3. Hoạt động kiểm soát (Control Activities)
Hoạt động kiểm soát chính là những chính sách, quy định hay nói cách khác là thủ tục đảm bảo cho các chỉ thị, hướng dẫn của ban lãnh đạo tổ chức đƣợc thực hiện. Kiểm soát làm giảm rủi ro bởi các hoạt động kiểm soát nội bộ có thể giúp tổ chức ngăn ngừa và phát hiện rủi ro. Tất cả các tổ chức, trong các hoạt động của mình hướng tới mục tiêu của doanh nghiệp đều cần sự bổ sung, điều chỉnh để phù hợp. Hoạt động kiểm soát là hoạt động diễn ra ở tất cả các cấp bậc cũng nhƣ ở tất cả các hoạt động. Các thủ tục kiểm soát, phòng ngừa đƣợc thiết lập để có thể sớm phát hiện ra các sai phạm trong hệ thống và ngăn chặn chúng.
Các thủ tục này đƣợc thực hiện ở ngay trong các công việc hàng ngày của nhân sự trong tổ chức, theo từng chức năng, nhiệm vụ của họ ở các vị trí khác nhau.
Từ đó có thể thông qua việc xác định mục tiêu, nhận diện rủi ro và tập trung vào
các hoạt động chủ chốt của tổ chức, là cơ sở để phân chia trách nhiệm, giám sát và kiểm tra. Tất cả các hoạt động này đƣợc hệ thống hoá thành chuẩn mực trong chính sách kiểm soát nội bộ của các tổ chức.
Hoạt động kiểm soát muốn có chất lƣợng tốt cần phải đảm bảo đƣợc các yêu cầu sau: Ngân hàng cần có bảng định mức xác định về tài chính cũng nhƣ các chỉ số căn bản để đánh giá hiệu quả hoạt động. Ngân hàng cần thường xuyên thông báo các thông tin về kết quả kinh doanh, đối chiếu với các định mức và chỉ số để điều chỉnh kịp thời. Cần phải rõ ràng trong việc phân định quyền hạn, trách nhiệm và nghĩa vụ trong các hoạt động cấp phép, phê duyệt, tài chính kế toán. Hệ thống các văn bản, chính sách cần ban hành quy định rõ ràng quyền hạn phê duyệt các vấn đề tài chính. Cần phải lưu giữ các giấy tờ, chứng cứ dưới hình thức văn bản để có thể phân định rõ ràng phần thực hiện công việc với phần giám sát tại bất kể thời điểm nào, kể cả xác định trách nhiệm về sai phạm. Ngân hàng cũng luôn cần giám sát, bảo vệ tài sản của tổ chức, nghiêm cấm hành vi sử dụng tài sản của tổ chức vào mục đích cá nhân.
Ngoài ra, hệ thống các thủ tục kiểm soát cần đƣợc xây dụng đầy đủ, rõ ràng, chi tiết và phù hợp với thực tế, dựa trên nền tảng là các nguyên tắc cơ bản chi tiết bao gồm:
- Nguyên tắc bất kiêm nhiệm: Sự độc lập và có trách nhiệm trong các nghiệp vụ nhằm ngăn ngừa sai phạm, lạm quyền cho tƣ lợi. Đảm bảo các cá nhân khôgn đảm bảo một lúc nhiều cương vị;
- Nguyên tắc phân công phân nhiệm: Trách nhiệm và công việc cần phân chia ra cho nhiều cá nhân, nhóm, bộ phận khác nhau để không cá nhân nào thực hiện nhiều mặt của một nghiệp vụ, nói cách khác là có sự chuyên môn hoá trong công việc để có thể gắn trách nhiệm cao hơn trong công việc và kiểm soát chéo;
- Nguyên tắc uỷ quyền và phê chuẩn: Uỷ quyền sẽ làm giảm tải quyền hạn và trách nhiệm tập trung vào cá nhân ở cấp cap hơn, từ đó công việc sẽ đƣợc tập trung sát sao hơn do khối lƣợng công việc hợp lý hơn. Ngoài ra các nghiệp vụ kinh
tế nào trong tổ chức cũng cần đƣợc phê chuẩn đúng đắn, phù hợp với mục đích và trách nhiệm, đặc biệt là đúng với luật pháp.
Tương ứng với hoạt động kiểm soát, theo COSO (2016), 3 nguyên tắc của kiểm soát nội bộ tương ứng được đề ra, bao gồm các nguyên tắc sau đây:
(10) Tổ chức cần lựa chọn, phát triển hoạt động kiểm soát để thêm phần hạn chế rủi ro giúp đạt mục tiêu của tổ chức;
(11) Tổ chức cần phát triển các hoạt động kiểm soát với công nghệ hiện đại;
(12) Tổ chức cần triển khai các hoạt động kiểm soát thông qua các chính sách, quy định đã đƣợc thiết lập và từ đó vận hành chính sách thành các hành động cụ thể.
1.4.4. Thông tin và truyền thông (Information and Communication)
Thông tin và truyền thông bao gồm các hoạt động xác định, thu thập cũng nhƣ truyền dữ liệu và thông tin hai chiều. Thật vậy, thông tin có tính nhạy cảm cao, vì vậy tất cả các thông tin cần đƣợc nhận dạng, thu thập và trao đổi trong tổ chức dưới hình thức và thời gian hợp lý, từ đó giúp mọi người thực hiện tốt nhiệm vụ của mình. Thông tin cần có tính cập nhật, liên quan, chi tiết, đầy đủ và đáng tin cậy, ở các các thông tin trong nội bộ hay thông tin bên ngoài doanh nghiệp. Thông tin là yếu tố quan trọng, cần thiết để tổ chức có thể đạt đƣợc mục tiêu của mình. Các báo cáo hay thông tin truyền thông đều chứa đựng các thông tin cần thiết cho các hoạt động quản lý và kiểm soát ở tất cả các hoạt động của tổ chức. Tổ chức cần có các biện pháp để hoạt động trao đổi thông tin xảy ra một cách hữu hiệu nhất, theo cả chiều từ cấp trên xuống cấp dưới và ngược lại, ở cả bên trong và bên ngoài tổ chức.
Hệ thống thông tin trong ngân hàng, chủ yếu là hệ thống thông tin kế toán của tổ chức, bao gồm các chứng từ kế toán, sổ kế toán, hệ thống tài khoản và bảng tổng hợp cân đối kế toán. Một hệ thống thông tin hữu hiệu cần đảm bảo đƣợc các yêu cầu sau:
- Tính thực: hoạt động ghi chép vào sổ sách cần đảm bảo các nghiệp vụ này có phát sinh trong thực tế;
- Phê chuẩn: các nghiệp vụ cần đƣợc phê chuẩn đầy đủ và hợp lý;
- Đầy đủ: đảm bảo đƣợc phản ánh đầy đủ, không bỏ sót;
- Đánh giá: đảm bảo không có sai phạm trong việc tính toán các khoản giá và phí theo nguyên tắc;
- Phân loại: Cần ghi sổ các nghiệp vụ phát sinh cần đúng tài khoản và sổ sách theo chế độ kế toán đã ban hành;
- Đúng kỳ: đảm bảo ghi chép cần kịp thời theo quy định.
Ngoài ra, truyền thông là một phần của hệ thống thông tin, nhấn mạnh tới vai trò truyền đạt thông tin. Khi đó, truyền thông đƣợc xem là hữu hiệu khi việc cung cấp thông tin về hoạt động của các đơn vị từ các cấp luôn chính xác, xuyên suốt và đầy đủ. Từ đó hỗ trợ quá trình kiểm soát nội bộ, gắn liền với thực tế.
Tương ứng với thông tin và truyền thông, theo COSO (2016), 3 nguyên tắc của kiểm soát nội bộ tương ứng được đề ra, bao gồm các nguyên tắc sau đây:
(13) Tổ chức cần thu thập, truyền đạt và sử dụng thông tin một cách hợp lý, chất lƣợng để hỗ trợ bộ phận khác của kiểm soát nội bộ;
(14) Tổ chức cần truyền đạt trong nội bộ các thông tin cần thiết;
(15) Tổ chức cần truyền đạt cho các đối tƣợng bên ngoài về các vấn đề ảnh hưởng đến kiểm soát nội bộ.
1.4.5. Hoạt động giám sát (Monitoring Activities)
Hoạt động giám sát là quá trình đánh giá, ƣớc lƣợng tính hiệu quả của quá trình, cũng nhƣ sự tuân thủ trong việc giải quyết các mục tiêu của kiểm soát nội bộ.
Có thể thấy rằng kiểm soát nội bộ là một quá trình năng động, có thể điều chỉnh liên tục trước các rủi ro và thay đổi mà tổ chức, doanh nghiệp phải đối mặt. Từ đó có thể thấy hoạt động giám sát là quá trình đánh giá chất lƣợng của hệ thống kiểm soát nội bộ qua thời gian bởi lẽ hệ thống luôn cần đƣợc phát hiện các rủi ro và điều chỉnh nhanh chóng từ đó đảm bảo được kiểm soát nội bộ sẽ duy trì và hoạt động trước các thay đổi về mục tiêu, môi trường, v.v. Thật vậy, đây là quá trình rà soát, báo cáo chất lƣợng, theo dõi hoạt động của nhà quản lý và ban lãnh đạo hay các nhân viên trong tổ chức, đảm bảo sự phù hợp với chuẩn mực của tổ chức.
Trong quá trình hoạt động giám sát, có thực hiện giám sát thường xuyên và giám sát định kỳ. Giám sát thường xuyên là thường xuyên quản lý các công việc, hoạt động đƣợc diễn ra hàng ngày. Giám sát định kỳ sẽ đƣợc thực hiện phụ thuộc vào mức độ rủi ro đƣợc kiểm soát.
Tương ứng với hoạt động giám sát, theo COSO (2016), 2 nguyên tắc của kiểm soát nội bộ tương ứng được đề ra, bao gồm các nguyên tắc sau đây:
(16) Tổ chức phải lựa chọn để triển khai, thực hiện việc đánh giá liên tục hoặc định kỳ để biết rằng những thành phần nào của kiểm soát nội bộ đang hoạt động hiệu quả;
(17) Tổ chức cần đánh giá và thông báo các điểm yếu kém của kiểm soát nội bộ kịp thời cho các đối tƣợng có trách nhiệm để đƣa ra biện pháp khắc phục kịp thời.
Hệ thống kiểm soát nội bộ nếu muốn đảm bảo đƣợc mục tiêu của tổ chức thì cần bám sát 17 nguyên tắc đã đƣa ra. Trong đó, các thành phần của kiểm soát nội bộ là những hoạt động cần thiết để có thể đạt được các mục tiêu của tổ chức cũng nhưu bảo vệ tài sản tổ chức, tăng độ tin cậy của báo cáo tài chính, đảm bảo tuân thủ pháp luật và các quy định. Mỗi thành phần của kiểm soát nội bộ đều gắn liền tới mục tiêu của tổ chức, bởi vậy nếu tổ chức muốn vận hành hiệu quả, thì chắc chắn cần phải tập trung vào 5 thành phần và 17 nguyên tắc này bởi lẽ kiểm soát nội bộ sẽ liên quan tới từng bộ phận riêng lẻ của tổ chức.