Luận văn thạc sĩ: Nâng cao chất lượng kiểm soát nội bộ tại Ngân hàng Techcombank

Hệ thống kiểm soát nội bộ (Internal Control System) trong lĩnh vực ngân hàng được định nghĩa là một quy trình toàn diện, do Hội đồng quản trị, Ban điều hành và toàn thể nhân viên của ngân hàng thực hiện. Quy trình này được thiết kế để cung cấp sự đảm bảo hợp lý về việc đạt được các mục tiêu về hiệu quả hoạt động, độ tin cậy của báo cáo tài chính và sự tuân thủ các quy định pháp luật. Vai trò của nó vô cùng thiết yếu: Thứ nhất, nó giúp bảo vệ tài sản, ngăn ngừa và phát hiện kịp thời các sai sót, gian lận. Thứ hai, nó đảm bảo các hoạt động của ngân hàng, như NHTM CP Kỹ thương Việt Nam, được thực hiện một cách có trật tự, hiệu quả và tuân thủ chính sách quản lý. Thứ ba, hệ thống này nâng cao độ chính xác và hoàn thiện của các hồ sơ kế toán, cung cấp thông tin tài chính đáng tin cậy cho việc ra quyết định. Một hệ thống kiểm soát nội bộ vững mạnh là nền tảng cho sự ổn định và là lợi thế cạnh tranh của ngân hàng trong bối cảnh thị trường ngày càng phức tạp.

Chuẩn mực quốc tế phổ biến nhất về kiểm soát nội bộ là mô hình COSO, do Ủy ban các Tổ chức Tài trợ của Ủy ban Treadway (COSO) ban hành. Mô hình này cấu thành từ năm yếu tố liên quan mật thiết với nhau. (1) Môi trường kiểm soát: Đây là nền tảng, bao gồm sự liêm chính, giá trị đạo đức và năng lực của đội ngũ nhân viên. (2) Đánh giá rủi ro: Quá trình nhận dạng và phân tích các rủi ro liên quan đến việc đạt được mục tiêu, làm cơ sở để xác định cách quản lý rủi ro. (3) Hoạt động kiểm soát: Là các chính sách và thủ tục đảm bảo các chỉ thị của ban lãnh đạo được thực hiện. (4) Thông tin và truyền thông: Hệ thống thông tin và kênh truyền thông hiệu quả để nắm bắt và trao đổi thông tin cần thiết. (5) Giám sát nội bộ: Quá trình đánh giá chất lượng của hệ thống kiểm soát nội bộ theo thời gian. Việc áp dụng đầy đủ năm yếu tố này giúp tạo ra một khuôn khổ kiểm soát toàn diện và hiệu quả.

Cấu trúc tổ chức của bộ phận kiểm soát nội bộ tại NHTM CP Kỹ thương Việt Nam được xây dựng theo mô hình tập trung, trực thuộc Ban Kiểm soát. Mô hình này đảm bảo tính độc lập tương đối so với Ban Điều hành. Tuy nhiên, phân tích sâu hơn cho thấy sự phối hợp giữa bộ phận này và các phòng ban nghiệp vụ khác đôi khi còn hạn chế. Nguồn nhân lực, dù được đào tạo bài bản, vẫn cần được cập nhật thường xuyên các kiến thức về rủi ro công nghệ thông tin, an ninh mạng và các sản phẩm tài chính phái sinh phức tạp. Việc phân định rõ ràng hơn nữa về chức năng, nhiệm vụ giữa kiểm toán nội bộ ngân hàng và kiểm soát tuân thủ cũng là một điểm cần xem xét để tránh chồng chéo và nâng cao hiệu suất làm việc.

Mặc dù quy trình kiểm soát nội bộ đã được văn bản hóa, việc áp dụng vào thực tế vẫn tồn tại một số hạn chế. Thứ nhất, một số quy trình còn rườm rà, thiên về thủ công, làm giảm tốc độ xử lý nghiệp vụ và tăng nguy cơ sai sót do con người. Thứ hai, hệ thống cảnh báo sớm rủi ro chưa thực sự phát huy hết hiệu quả, dẫn đến việc phát hiện sai phạm có độ trễ. Thứ ba, việc tuân thủ pháp luật và các quy định nội bộ ở một số chi nhánh, phòng giao dịch chưa đồng đều. Các báo cáo kiểm toán nội bộ đã chỉ ra các lỗi nghiệp vụ lặp lại ở một số mảng như tín dụng, thanh toán quốc tế, cho thấy hoạt động kiểm soát sau chưa đủ sức răn đe và khắc phục triệt để.

Để củng cố môi trường kiểm soát, Hội đồng quản trị và Ban điều hành Techcombank cần thể hiện cam kết mạnh mẽ hơn nữa thông qua các chính sách và hành động cụ thể. Cần ban hành bộ quy tắc đạo đức nghề nghiệp rõ ràng và truyền thông rộng rãi, đồng thời thiết lập cơ chế khen thưởng - kỷ luật nghiêm minh. Đối với hoạt động đánh giá rủi ro, cần xây dựng một ma trận rủi ro toàn diện, bao gồm cả rủi ro hoạt động, rủi ro tín dụng, rủi ro thị trường và rủi ro công nghệ. Quy trình này phải được thực hiện định kỳ và cập nhật ngay khi có sự thay đổi lớn về môi trường kinh doanh hoặc sản phẩm dịch vụ mới, đảm bảo việc quản trị rủi ro luôn đi trước một bước.

Các hoạt động kiểm soát cần được chuẩn hóa và tự động hóa. Ví dụ, có thể áp dụng hệ thống phê duyệt đa cấp trên nền tảng số, sử dụng chữ ký điện tử, và triển khai các phần mềm tự động đối chiếu giao dịch. Về thông tin và truyền thông, cần xây dựng một hệ thống báo cáo quản trị (MIS) thông minh, cung cấp các chỉ số cảnh báo sớm (Early Warning Indicators) cho ban lãnh đạo. Hoạt động giám sát nội bộ và kiểm toán nội bộ ngân hàng cần ứng dụng các kỹ thuật phân tích dữ liệu (Data Analytics) để kiểm tra 100% giao dịch thay vì chỉ kiểm tra theo mẫu, từ đó nâng cao khả năng phát hiện sai phạm và cải thiện hiệu quả hoạt động kiểm soát.

Quy trình kiểm soát nội bộ thông minh là quy trình được tích hợp công nghệ, có khả năng tự động hóa và cung cấp dữ liệu phân tích. Cần xây dựng các Sổ tay kiểm soát (Control Handbooks) chi tiết cho từng nghiệp vụ trọng yếu, nhưng được trình bày một cách trực quan, dễ hiểu trên nền tảng số. Áp dụng công nghệ RPA (Robotic Process Automation) để tự động hóa các tác vụ kiểm tra, đối chiếu lặp đi lặp lại. Đồng thời, cần thiết lập một cơ chế phản hồi và cải tiến liên tục (Kaizen) cho các quy trình, khuyến khích nhân viên đề xuất các sáng kiến cải tiến, giúp hệ thống ngày càng trở nên hiệu quả và tinh gọn.

Nguồn nhân lực là tài sản quý giá nhất của bộ phận kiểm soát nội bộ. Techcombank cần xây dựng một lộ trình phát triển sự nghiệp rõ ràng cho các chuyên viên kiểm soát. Chương trình đào tạo cần được cập nhật thường xuyên, tập trung vào các lĩnh vực mới như: an ninh mạng, phòng chống rửa tiền trong kỷ nguyên số, kiểm toán dựa trên rủi ro (Risk-Based Auditing) và kỹ năng mềm như tư duy phản biện, giao tiếp. Việc tổ chức các kỳ thi sát hạch nội bộ và khuyến khích nhân viên tham gia các khóa học lấy chứng chỉ quốc tế (như CIA - Certified Internal Auditor) cũng là những giải pháp cần thiết để nâng cao năng lực chuyên môn và đảm bảo tuân thủ pháp luật một cách chuyên nghiệp.

Để đánh giá tác động của các giải pháp, cần xây dựng một bộ chỉ số KPIs rõ ràng. Các chỉ số này có thể bao gồm: (1) Tỷ lệ các phát hiện kiểm toán trọng yếu giảm qua từng năm. (2) Thời gian trung bình để phát hiện và xử lý một sự cố rủi ro. (3) Chi phí tổn thất do rủi ro hoạt động (operational risk loss). (4) Điểm đánh giá tuân thủ từ Ngân hàng Nhà nước và các tổ chức kiểm toán độc lập. (5) Mức độ hài lòng của các phòng ban nghiệp vụ đối với sự hỗ trợ của bộ phận kiểm soát nội bộ. Việc theo dõi chặt chẽ các KPIs này sẽ cung cấp bằng chứng xác thực về sự cải thiện của hệ thống.

Luận văn đề xuất một lộ trình triển khai gồm 3 giai đoạn. Giai đoạn 1 (6 tháng): Rà soát, chuẩn hóa và số hóa toàn bộ quy trình. Giai đoạn 2 (12 tháng): Triển khai các giải pháp công nghệ, đào tạo chuyên sâu cho nhân sự và áp dụng mô hình COSO trên diện rộng. Giai đoạn 3 (Liên tục): Giám sát, đánh giá và cải tiến liên tục. Các kiến nghị chính sách bao gồm: (1) Ban hành chính sách khuyến khích văn hóa nhận diện và báo cáo rủi ro. (2) Phân bổ ngân sách đầu tư thỏa đáng cho công nghệ và con người trong lĩnh vực kiểm soát. (3) Tăng cường quyền hạn và tính độc lập cho bộ phận kiểm soát nội bộ và kiểm toán nội bộ ngân hàng.