hướng ngành nghề, môi trường kinh doanh, khối lượng và tính phức tạp của giao dịch,…). Từ ma trận rủi ro (bảng 3.4) để xác định các đơn vị được kiểm toán có hồ sơ rủi ro cao, trung bình hay thấp. Từ đó để quyết định tần suất kiểm toán, phân bổ nguồn lực kiểm toán.
Bảng 3.4: Ma trận rủi ro
Rủi ro tiềm tàng | Cao | A | B | C |
Trung bình | D | E | F | |
Thấp | G | H | I | |
Thấp | Trung bình | Cao | ||
Rủi ro kiểm soát | ||||
TT | Ðõn vị kiểm toán | Bản chất rủi ro | Ghi chú | |
1 | A | Rủi ro cao | Mặc dù rủi ro kiểm soát là thấp nhýng đây là rủi ro cao do rủi ro tiềm tàng cao | |
2 | B | Rủi ro rất cao | Rủi ro tiềm tàng cao cộng với rủi ro kiểm soát trung bình làm đây là rủi ro rất cao | |
3 | C | Rủi ro cực cao | Cả rủi ro tiềm tàng và rủi ro kiểm soát đều cao điều này làm cho rủi ro cực kỳ cao. Vùng này cần sự chú ý của kiểm toán viên ngay lập tức, phân bổ tối đa nguồn lực bên cạnh sự kiểm tra liên tục bởi những lãnh đạo hàng đầu của ngân hàng. | |
4 | D | Rủi ro trung bình | Mặc dù rủi ro kiểm soát là thấp nhýng đây là rủi ro trung bình do rủi ro tiềm tàng trung bình | |
5 | E | Rủi ro trung bình | Rủi ro tiềm tàng ở mức trung bình, rủi ro kiểm soát ở trung bình, nên mức độ rủi ro ở đây là trung bình. | |
6 | F | Rủi ro rất cao | Mặc dù rủi ro tiềm tàng ở mức trung bình, đây là rủi ro rất cao do rủi ro kiểm soát ở mức cao. | |
7 | G | Rủi ro thấp | Cả rủi ro kiểm soát và rủi ro tiềm tàng đều ở mức thấp. | |
8 | H | Rủi ro trung bình | Rủi ro tiềm tàng trung bình và rủi ro kiểm soát ở mức thấp. | |
9 | I | Rủi ro cao | Mặc dù rủi ro tiềm tàng thấp nhýng do rủi ro kiểm soát cao nên đây là rủi ro cao. | |
Có thể bạn quan tâm!
-
Nguồn Nhân Lực Kiểm Toán Nội Bộ Ngân Hàng Thương Mại Nhà Nước Việt Nam -
Định Hướng Hoàn Thiện Kiểm Toán Nội Bộ Trong Các Ngân Hàng Thương Mại Nhà Nước Việt Nam -
Gắn Với Mô Hình Hoạt Động Kinh Doanh Và Chiến Lược Phát Triển Của Từng Ngân Hàng Thương Mại Nhà Nước -
Mối Quan Hệ Của Kiểm Toán Nội Bộ Với Các Bộ Phận Trong Tổ Chức Quản Lý Rủi Ro Tác Nghiệp Tại Các Nhtm Nhà Nước -
Cơ Cấu Tổ Chức Của Kiểm Toán Nội Bộ Tại Nhtmnn (Theo Ngành Dọc Hay Chỉ Có Hội Sở Chính; Tại Hsc, Các Khu Vực Và Chi Nhánh Tổ Chức Như Thế Nào). Tên -
Đơn Vị Tổ Chức Học Tập, Đào Tạo, Bồi Dưỡng Chuyên Môn Cho Ktnb Ngân Hàng
Xem toàn bộ 177 trang tài liệu này.
Sơ đồ 3.2: Các bước của cuộc kiểm toán dựa vào rủi ro [36]
- Bước 4: Hoàn thiện kế hoạch kiểm toán nội bộ dựa vào rủi ro
Trên cơ sở các mức độ rủi ro đã được xác định, kiểm toán nội bộ sẽ thiết kế: (a) nội dung kiểm toán cụ thể; (b) dự kiến các thủ tục (phương pháp) thu thập bằng chứng tập trung vào những vùng nghi ngờ về các rủi ro có sai sót trọng yếu đối với từng mục tiêu kiểm toán. Các thủ tục được vận dụng ở đây là sự kết hợp giữa các kỹ thuật thu thập bằng chứng đánh giá KSNB và điều tra
hệ thống KSNB chi nhánh. Lưu ý các thủ tục kiểm toán dựa vào rủi ro được xây dựng dựa trên: (i) Sự hiểu biết thực tế của kiểm toán nội bộ về chi nhánh và các loại rủi ro có sai phạm đang thực tế diễn ra tại đơn vị, chứ không dựa trên những dữ liệu đã xây dựng sẵn (mẫu) về hoạt động kiểm soát nội bộ; (ii) Nhận định của kiểm toán nội bộ về loại kiểm soát mà đơn vị đang sử dụng để xác định rủi ro và mô tả lại theo như cách đơn vị được kiểm toán đang xử lý;
(iii) Nhấn mạnh công việc kiểm soát vào những vùng có rủi ro cao và tăng sự xét đoán nghề nghiệp của kiểm toán. (c) Xây dựng chương trình kiểm toán dựa trên sự hiểu biết của kiểm toán nội bộ về rủi ro có sai sót trọng yếu tại đơn vị (khác với các chương trình kiểm toán mẫu mà kiểm toán nội bộ ngân hàngđang áp dụng). Kế hoạch kiểm toán dựa vào rủi ro phải được cập nhật, thay đổi, điều chỉnh phù hợp với diễn biến trong hoạt động của từng ngân hàng và sự thay đổi của các rủi ro.
Trong quá trình lập kế hoạch, kiểm toán nội bộ tại Trụ sở chính cần có sự trao đổi ý kiến với đơn vị sẽ được kiểm toán về những dự kiến hoặc thay đổi trong nội dung kế hoạch (bao gồm cả kế hoạch kiểm toán năm và kế hoạch từng cuộc kiểm toán). Nhờ đó mà kiểm toán nội bộ và chi nhánh có thể chủ động trao đổi thông tin, giúp việc xây dựng nội dung kế hoạch sát với thực tế.
b) Thứ hai trong giai đoạn thực hiện kế hoạch kiểm toán
Kiểm toán nội bộ sử dụng hai phương pháp kiểm toán cơ bản và kiểm toán tuân thủ (khảo sát kiểm soát) để thu thập bằng chứng. Tuy nhiên, nếu trong phần thực trạng, kiểm toán nội bộ sử dụng khảo sát kiểm soát để đạt được mức độ đảm bảo đối với từng sai sót tiềm ẩn, thì theo cách tiếp cận dựa vào rủi ro, kiểm toán nội bộ sẽ khảo sát để đáp ứng từng loại rủi ro đã được xác định cụ thể. Các khảo sát để đánh giá tính hiệu quả của các chốt kiểm soát cần được sử dụng (tham chiếu tới giải pháp đánh giá độc lập về tính hiệu quảcủa hệ thống kiểm soát nội bộ NHTMNN). Đồng thời kiểm toán nội bộ cần sử dụng đa dạng các kỹ thuật thu thập bằng chứng.
c) Thứ ba trong giai đoạn kết thúc kiểm toán
Để giúp các báo cáo kiểm toán nội bộ có giá trị hơn đối với Ban lãnh đạo ngân hàng thì cần đảm bảo kiểm toán nội bộ phải thực hiện tốt chức năng tư vấn, đặc biệt trong việc tạo ra giá trị gia tăng trong hoạt động quản lý và kinh doanh của ngân hàng. Chức năng tư vấn phát huy tác dụng khi kiểm toán nội bộ phải độc lập thực sự với hoạt động được kiểm toán, quá trình kiểm soát nội bộ, quản lý rủi ro và hệ thống quản trị của ngân hàng; đồng thời các hoạt động này phải nằm trong phạm vi kiểm toán nội bộ.
3.3.2. Nhóm giải pháp hoàn thiện tổ chức bộ máy kiểm toán nội bộ trong các Ngân hàng thương mại Nhà nước
3.3.2.1. Hoàn thiện mô hình và cơ cấu tổ chức kiểm toán nội bộ trong các Ngân hàng thương mại Nhà nước
Trong các NHTMNN hiện nay có 4/5 ngân hàng đã cổ phần hoá và Agribank là chưa cổ phần hoá (hoạt động theo mô hình công ty TNHH 1 thành viên có chủ sở hữu duy nhất là Nhà nước). Từ kết quả khảo sát thực trạng và những hạn chế đã được đánh giá, căn cứ vào quy mô (tổng tài sản) của từng ngân hàng, phạm vi hoạt động trong và ngoài nước, cũng như tính tuân thủ trong quá trình kinh doanh của các ngân hàng, NCS đề xuất mô hình bộ máy kiểm toán nội bộnhư sau:
Đối với ngân hàng có quy mô nhỏ, phạm vi hoạt động hẹp (như MHB) mô hình kiểm toán nội bộ xây dựng theo hình thức tập trung với chức năng, cơ cấu kiểm toán nội bộ đặt ở Trụ sở chính. Đối với các ngân hàng còn lại có quy mô lớn, phạm vi hoạt động rộng bộ máy kiểm toán nội bộ có thể xây dựng theo mô hình hỗn hợp (nửa tập trung, nửa phân tán). Cơ cấu tổ chức bộ máy kiểm toán nội bộ theo ngành dọc gồm Phòng/ Ban kiểm toán nội bộ tại Trụ sở chính và một số phòng/ ban kiểm toán nội bộ tại khu vực. Tại Trụ sở chính, kiểm toán nội bộ trực thuộc Uỷ ban kiểm toán thuộc Ban kiểm soát (do Đại hội đồng cổ đông bầu hoặc Chủ tịch Hội đồng thành viên bầu). Chức năng kiểm toán nội
bộ được tập trung tại Trụ sở chính (trung tâm - tập trung) với Trưởng bộ phận kiểm toán nội bộ chịu trách nhiệm chính về tổ chức quá trình kiểm toán và các hoạt động liên quan và các phòng kiểm toán nghiệp vụ cụ thể. Tại các chi nhánh nên bố trí cán bộ kiểm toán nội bộ tuỳ theo quy mô (1-2 người, biên chế là của Trụ sở chính) (phân tán). Cán bộ kiểm toán tại chi nhánh cần độc lập với hoạt động hàng ngày của chi nhánh và cũng không can thiệp vào chức năng kiểm soát nội bộ của chi nhánh. Mô hình này vừa đảm bảo duy trì tính độc lập cần thiết trong công việc kiểm toán, giảm thiểu sự hạn chế về không gian và thời gian khi cần cập nhật thông tin về chi nhánh. Điều này giúp quá trình đánh giá rủi ro về các chi nhánh được kịp thời, bám sát thực tế, hoàn thiện khâu lập kế hoạch kiểm toán.
Dù là mô hình tập trung hay hỗn hợp thì tính độc lập giữa Hội đồng quản trị/Hội đồng thành viên, Ban kiểm soát, Uỷ ban kiểm toán/Bộ phận kiểm toán nội bộ và Ban điều hành của ngân hàng phải được đặt lên hàng đầu. Trong đó trách nhiệm và tính độc lập của Ban kiểm soát là rất quan trọng - dùở vai trò theo dõi, giám sát HĐQT và BĐH (mô hình NHTM cổ phần) hay giúp HĐQT kiểm soát công việc hàng ngày từ BĐH trở xuống (mô hình NHTMNN 100% vốn sở hữu của Nhà nước). Theo thông lệ chung, HĐQT là nơi ban hành chính sách, chiến lược; Uỷ ban kiểm toán là nơi đưa các chính sách và chiến lược nêu trên vào thực tiễn và giao cho BĐH thực hiện. Ban kiểm soát là nơi theo dõi, kiểm tra, đánh giá hoạt động. Để mô hình tổ chức bộ máy kiểm toán hoạt động hiệu quả, cần đảm bảo tính độc lập giữa HĐQT và BĐH, hạn chế sự kiêm nhiệm giữa HĐQT và Uỷ ban kiểm toán với BĐH; cũng như khuyến khích các thành viên độc lập không tham gia điều hành. Đây có thể là nội dung trọng tâm mà các NHTMNN cần nghiên cứu để hoàn thiện mô hình quản trị ngân hàng, đặc biệt đối với NHTMNN chưa cổ phần hóa, nơi mà tính minh bạch về tình hình quản trị và thông tin còn chưa được cải thiện.
Cũng trong mô hình này, vai trò của Uỷ ban kiểm toán được coi là mắt xích quan trọng giúp các hoạt động được thông suốt từ các cấp lãnh đạo xuống bộ phận kiểm toán nội bộ và ngược lại. Sự tác động qua lại của các hoạt động này sẽ giúp việc ban hành và đưa chính sách kiểm toán đi vào thực tế được đầy đủ, phù hợp và từ thực tế quay trở lại kiểm tra việc ban hành chính sách có đúng đắn và hiệu quả không. Nhằm duy trì tính độc lập của hoạt động kiểm toán, Uỷ ban kiểm toán cần thiết lập quan hệ báo cáo chức năng với Hội đồng quản trị/ Hội đồng thành viên và mối quan hệ làm việc và báo cáo công việc hàng ngày với Ban điều hành. Báo cáo chức năng cho HĐQT trong một số trường hợp sau: (i) Phê duyệt Chính sách/ Điều lệ kiểm toán nội bộ; (ii) Phê duyệt kế hoạch kiểm toán nội bộ dựa trên rủi ro; (iii) Nhận các thông tin từ Ban điều hành về kết quả hoạt động kiểm toán nội bộ có liên quan đến kế hoạch của tổ chức và các vấn đề khác; (iv) Phê duyệt quyết định về việc bổ nhiệm và sa thải Trưởng bộ phận kiểm toán. Việc báo cáo chức năng cho nhà quản lý cấp cao và Hội đồng quản trị phải bao gồm báo cáo về rủi ro đáng kể và các vấn đề kiểm soát, bao gồm cả rủi ro gian lận, vấn đề quản trị và các vấn đề khác cần thiết hoặc theo yêu cầu của quản lý cấp cao và hội đồng quản trị. Các kênh báo cáo của kiểm toán nội bộ về những phát hiện trong quá trình kiểm toán phải được xây dựng rõ ràng, đảm bảo không có trở ngại phát sinh khi kiểm toán nội bộ bày tỏ ý kiến. Hoạt động của Uỷ ban kiểm toán và bộ phận kiểm toán nội bộ cần phải được đảm bảo để có một vị trí xứng đáng trong ngân hàng và không có sự hạn chế đối với hoạt động kiểm toán nội bộ, trừ khi có lý do chính đáng. Nhờ đó tạo điều kiện cho kiểm toán nội bộ thực hiện công việc với sự khách quan theo đúng yêu cầu của chuẩn mực kiểm toán. Sơ đồ
3.3 dưới đây mô tả khái quát vị trí của bộ máy kiểm toán nội bộ trong sơ đồ chung của NHTMNN sau cổ phần hoá.
Sơ đồ 3.3: Mô hình bộ máy kiểm toán nội bộ trong các NHTM Nhà nước sau cổ phần hoá
3.3.2.2. Hoàn thiện chức năng kiểm toán nội bộ phù hợp với yêu cầu quản trị ngân hàng và mối quan hệ giữa kiểm toán nội bộ với bộ phận quản lý rủi ro tại các Ngân hàng thương mại Nhà nước
(1) Hoàn thiện chức năng kiểm toán nội bộ ngân hàng
Một trong những hạn chế nổi bật trong cuộc kiểm toán nội bộ ngân hàng là chức năng kiểm toán chưa thực hiện hết. Trên thực tế, kiểm toán nội bộ chủ yếu "kiểm tra và xác nhận" thông tin về các sai phạm hiện hữu trong ngân hàng và đưa ra những "khuyến nghị" dựa trên những hạn chế phát hiện trong cuộc kiểm
toán, đây chỉ là một phần của vai trò tư vấn. Điều này chỉ phù hợp trong quá khứ khi quy mô hoạt động của các ngân hàng chưa mở rộng, các giao dịch ngân hàng còn chưa đa dạng. Hiện nay sự cạnh tranh trong ngành ngân hàng ngày càng khốc liệt do mở rộng quy mô tăng trưởng, tính phức tạp của sản phẩm gia tăng, cùng với việc phụ thuộc nhiều vào hệ thống công nghệ thông tin mới đã thay đổi đáng kể mô hình hoạt động ngân hàng. Chức năng kiểm toán nội bộ hiện đại cần phải thay đổi để phù hợp với yêu cầu mới, thể hiện ở việc chuyển từ chức năng “kiểm tra, xác nhận” sang “đảm bảo” về các loại rủi ro phát sinh trong hoạt động ngân hàng là được nhận diện, đánh giá và quản lý hiệu quả; đồng thời mở rộng chức năng "khuyến nghị" thành “tư vấn”. Tuy nhiên sự đảm bảo của kiểm toán nội bộ chỉ có ý nghĩa nếu Khung quản trị rủi ro của các ngân hàng được thực hiện. Lúc này kiểm toán nội bộ hiện đại được hiểu theo nghĩa mới là kiểm toán dựa vào rủi ro. Theo đó phạm vi của kiểm toán nội bộ phải mở rộng để đánh giá tính phù hợp và hiệu quả của các thủ tục quản lý rủi ro và hệ thống kiểm soát nội bộ trong ngân hàng. Bảng 3.5 dưới đây mô tả sự dịch chuyển về chức năng kiểm toán nội bộ truyền thống và hiện đại.
Bảng 3.5: Chức năng kiểm toán nội bộ truyền thống và hiện đại
Kiểm toán nội truyền thống
Kiểm toán nội bộ dựa vào rủi ro (RBIA)
KIỂM TRA - XÁC NHẬN
(Confirmation)
ÐẢM BẢO
(Assurance)
KHUYẾN NGHỊ
(Recommendation)
TÝ VẤN
(Consultation)
Hýớng tới hiện tại và quá khứ
Hýớng tới týõng lai
Do đó chức năng đảm bảo và tư vấn chỉ có ý nghĩa khi nhà quản trị xem xét lại cơ cấu quản trị rủi ro theo thông lệ nhằm tạo điều kiện cho 3 vòng kiểm soát trong ngân hàng được thông suốt. Sơ đồ 3.4 dưới đây là đề xuất cải tiến cơ cấu quản lý rủi ro theo thông lệ.
Sơ đồ 3.4: Cơ cấu quản lý rủi ro theo thông lệ [30]
Rủi ro hoạt động
Rủi ro chiến lược, pháp chế…
Hội đồng quản lý rủi ro, ALCO và các UB khác thuộc
Hội đồng quản trị
Ủy ban kiểm toán / Kiểm toán nội bộ
Ban điều hành
Giám đốc quản lý rủi ro
Rủi ro tín dụng
Rủi ro thị trường
Theo mô hình trên, chức năng quản lý rủi ro được tập trung hóa bằng cách bổ nhiệm giám đốc quản lý rủi ro (CRO). CRO cần liên lạc trực tiếp bất kỳ khi nào cần thiết với HĐQT hoặc chủ tịch Hội đồng quản lý rủi ro. Đặc biệt cần tách bộ phận giám sát rủi ro (vòng kiểm soát 2 - Phòng quản lý rủi ro) khỏi bộ phận kinh doanh (vòng kiểm soát 1) nhằm làm giảm bớt nhiệm vụ của các thành viên trong Ban điều hành trong Hội đồng quản lý rủi ro. Hội đồng này không nên tham gia điều hành. Do vậy cần làm rõ mối quan hệ giữa kiểm toán nội bộ (vòng kiểm soát thứ 3) với việc phân định chức năng 3 vòng bảo vệ trong ngân hàng. 3 vòng bảo vệ vừa hoạt động độc lập với những chức năng và nhiệm vụ cụ thể, vừa có mối quan hệ mật thiết với nhau thể hiện nếu vòng 1 kiểm soát thông tin tốt thì gian lận sai sót sẽ được giảm thiểu (thường ngăn chặn được khoảng 40% - 50% các rủi ro nảy sinh), ở vòng 2 cũng thường ngăn chặn được khoảng 45%, dẫn tới khối lượng công việc kiểm soát vòng 3 sẽ được thu hẹp và ngược lại. Mặc dù tỷ lệ ngăn chặn gian lận, sai sót ở vòng 3 là rất ít, nhưng nó có tầm quan trọng đặc biệt, do kiểm toán nội bộ sử dụng các chức năng kiểm toán để thực
hiện hậu kiểm sau giao dịch theo định hướng rủi ro. Nói cách khác công việc kiểm toán nội bộ dựa vào rủi ro sẽ được giảm thiểu nhờ vào tính hiệu quả của việc kiểm soát rủi ro 1 cách độc lập của vòng 1, 2. Bảng 3.6 dưới đây thể hiện chức năng 3 vòng bảo vệ trong hoạt động của ngân hàng với mối quan tâm của kiểm toán nội bộ.
Bảng 3.6: Phân định chức năng 3 vòng bảo vệ và mối quan tâm của kiểm toán nội bộ NHTM [22]
Vòng 2: Giám sát / Quản lý rủi ro | Vòng 3: Đảm bảo và tư vấn rủi ro (kiểm toán nội bộ) | |
Trưởng các phòng ban và BGĐ chi nhánh, phòng giao dịch tự kiểm tra và chịu trách nhiệm đối với hoạt động, nghiệp vụ tại đơn vị và báo cáo trực tiếp tới BĐH. | Chức năng tái kiểm tra, hậu kiểm soát được thực hiện giữa các đơn vị quản lý, gồm Quản lý rủi ro và các phòng ban, bộ phận quản lý gián tiếp và quản lý cấp cao tại khu vực, Trụ sở chính). | Bộ phận kiểm toán nội bộ ở vòng 3 độc lập thuộc BKS, chịu trách nhiệm báo cáo lên BKS. |
Kiểm toán nội bộ phải đánh giá hệ thống kiểm soát nội bộ có được thiết kế và vận hành ngay trong mọi quy trình, nghiệp vụ tại tất cả các phòng ban, chi nhánh, phòng giao dịch hay không. | Kiểm toán nội bộ kiểm tra mô hình nhận diện, đo lường và đánh giá rủi ro có được thiết kế và áp dụng hiệu quả trong thực tế. | Kiểm toán nội bộ kiểm tra sau các giao dịch theo định hướng rủi ro và đánh giá tính hiệu quả của HTKSNB một cách độc lập. |
Như vậy việc hoàn thiện cơ cấu quản trị rủi ro phải được thực hiện đồng thời với việc cải thiện cơ cấu tổ chức bộ máy kiểm toán nội bộ hiện đại trong các NHTMNN hiện nay. Đây cũng là xu hướng phát triển trong thời gian tới của hệ thống Ngân hàng thương mại Việt Nam nói chung và các NHTMNN nói riêng. Trên thực tế, ngày 01/01/2013, Vietinbank đã thành lập khối Quản lý rủi ro, với cơ chế quản lý toàn diện hoạt động theo khối từ Trụ sở chính đến các chi nhánh. Việc quản lý, phát hiện, giám sát toàn diện các rủi ro phát sinh
trong hoạt động kinh doanh ngân hàng như rủi ro tín dụng, rủi ro hoạt động, rủi ro thị trường… đều nhằm hướng hoạt động quản lý rủi ro theo thông lệ quốc tế. Bước đầu đã có sự phân tách giữa các bộ phận Front office - Middle office - Back office. Với cơ cấu tổ chức mới, công việc quản trị rủi ro của Vietinbank triển khai qua 03 vòng kiểm soát, tiệm cận với thông lệ quốc tế tốt nhất và yêu cầu quản trị rủi ro theo Basel II.
(2) Cải thiện mối quan hệ giữa kiểm toán nội bộ với bộ phận quản lý rủi ro trong các NHTM Nhà nước
Trước tiên cần làm rõ mối quan hệ giữa bộ phận quản lý rủi ro của Ngân hàng thương mại với kiểm toán nội bộ dựa vào rủi ro. Điểm giống nhau của hai chức năng này là cùng giải quyết các vấn đề của hệ thống quản lý rủi ro trong ngân hàng. Nhưng sự khác biệt cơ bản nằm ở chỗ, quản lý rủi ro được sử dụng như công cụ tập trung vào việc nhận diện, điều hành và đo lường các rủi ro, phát triển các chính sách và thủ tục, sử dụng các mô hình quản lý rủi ro… Do vậy kết quả là phát triển các chính sách và thủ tục phù hợp để tăng hiệu quả của quản lý rủi ro trên toàn hoạt động ngân hàng. Kiểm toán nội bộ cũng phải nhận diện và đánh giá rủi ro như một yêu cầu của chuẩn mực kiểm toán nhưng mục đích phục vụ cho quá trình đánh giá khẩu vị rủi ro thông qua RRTT và rủi RRKS. Phòng quản lý rủi ro cũng có thể là đối tượng đánh giá rủi ro của quá trình kiểm toán nội bộ dựa vào rủi ro. Như vậy điều cần hoàn thiện là phải xây dựng được mức đánh giá rủi ro dùng cho bộ phận quản lý rủi ro và kiểm toán nội bộ sử dụng mức đánh giá này như là cơ sở phục vụ cho cuộc kiểm toán.
Dưới đây là tình huống cụ thể vận dụng cơ cấu quản lý rủi ro theo thông lệ để thiết lập bộ máy quản trị rủi ro tác nghiệp (RRTN) hiệu quả. Đây cũng là giải pháp mà hiện nay các NHTMNN đang xây dựng lộ trình thực hiện. Trong đó kiểm toán nội bộ được sử dụng như lớp bảo vệ cuối cùng để phòng chống RRTN. Nhưng do chưa đánh giá đầy đủ về công tác này nên trong quá trình
triển khai còn nhiều khó khăn, đặc biệt là thiết lập bộ máy quản trị rủi ro tác nghiệp hiệu quả. Sơ đồ 3.5 dưới đây là thông lệ tốt nhất về tổ chức quản lý rủi ro tác nghiệp đã được khuyến nghị bởi Ngân hàng thanh toán quốc tế (BIS), theo đó là mối quan hệ giữa kiểm toán nội bộ với các cấp liên quan trong ngân hàng để quản lý và kiểm soát rủi ro tác nghiệp.
Trong quản trị RRTN, kiểm toán nội bộ chỉ phát huy vai trò khi thiết lập được mối quan hệ công việc hiệu quả với các bộ phận khác liên quan trong ngân hàng. Cụ thể:
Ở lớp phòng vệ thứ nhất (các đơn vị nghiệp vụ/ hỗ trợ): đây là lớp quản lý rủi ro tác nghiệp hàng ngày, tất cả các đơn vị làm việc với khách hàng phải thường xuyên đánh giá rủi ro tác nghiệp của đơn vị và có báo cáo đánh giá định kỳ. Nếu khâu này đánh giá rủi ro tốt thì công việc kiểm soát rủi ro ở Trụ sở chính sẽ giảm thiểu rất nhiều và kiểm toán nội bộ hoàn toàn có thể sử dụng kết quả đánh giá này như một phần công việc kiểm toán thường xuyên.
Tương tự như vậy, ở lớp thứ 2, phòng quản lý rủi ro tác nghiệp tại Trụ sở chính sẽ tập hợp, phân tích và báo cáo dựa trên dữ liệu từ chi nhánh gửi tới và báo cáo kết quả cho Giám đốc quản lý rủi ro tác nghiệp. Bộ phận quản lý rủi ro tác nghiệp tại Trụ sở chính phải có trách nhiệm cung cấp thông tin kịp thời về tình hình quản lý rủi ro tác nghiệp cho kiểm toán nội bộ, phục vụ công việc kiểm toán. Ngược lại, kiểm toán nội bộ cũng cần báo cáo cho bộ phận này kết quả công việc kiểm toán liên quan đến nội dung rủi ro tác nghiệp. Kênh báo cáo này cần được duy trì và phải coi như một giải pháp góp phần hoàn thiện kiểm toán nội bộ dựa vào rủi ro.