Ma trận kiểm soát là gì?

Control Matrix Kiểm toán & Tuân thủ ~13 phút đọc

Ma trận kiểm soát (Control Matrix) là một công cụ quản lý có cấu trúc dạng bảng biểu, đóng vai trò trung tâm trong hệ thống kiểm soát nội bộ của các ngân hàng thương mại. Đây là tài liệu tổng hợp các kiểm soát nội bộ mà ngân hàng thiết lập nhằm quản lý và giảm thiểu rủi ro phát sinh trong từng quy trình nghiệp vụ. Thông qua ma trận này, mỗi rủi ro được nhận diện sẽ được ánh xạ (mapped) với một hoặc nhiều kiểm soát tương ứng, tạo thành một bức tranh toàn diện về mối liên hệ giữa rủi ro và cơ chế phòng vệ. Về bản chất, ma trận kiểm soát hoạt động theo nguyên tắc ánh xạ rủi ro - kiểm soát (risk-control mapping), đảm bảo rằng không có rủi ro quan trọng nào "bị bỏ rơi" mà không có kiểm soát đi kèm.

Khái niệm Control Matrix có nguồn gốc từ khung quản trị rủi ro doanh nghiệp (Enterprise Risk Management - ERM) theo chuẩn COSO (Committee of Sponsoring Organizations of the Treadway Commission) và đã trở thành công cụ không thể thiếu trong hoạt động kiểm toán nội bộ toàn cầu. Ma trận kiểm soát không đơn thuần là một bảng liệt kê kiểm soát đơn lẻ mà là một tài liệu tích hợp, phản ánh mối quan hệ đa chiều giữa rủi ro - kiểm soát - chủ sở hữu - bằng chứng kiểm tra - tần suất thực hiện. Khi kiểm toán viên tiến hành đánh giá hiệu quả của hệ thống kiểm soát nội bộ, ma trận kiểm soát chính là căn cứ quan trọng nhất để xác định tính hữu hiệu trong thiết kế (design effectiveness) và hiệu quả vận hành (operating effectiveness) của từng kiểm soát.

Trong ngành ngân hàng Việt Nam, việc xây dựng và duy trì ma trận kiểm soát là yêu cầu bắt buộc theo Thông tư 13/2018/TT-NHNN quy định về hệ thống kiểm soát nội bộ và Thông tư 52/2018/TT-NHNN về kiểm toán nội bộ. Đây là tài liệu nền tảng giúp Ban Kiểm soát, Ủy ban Kiểm toán và Hội đồng quản trị có cái nhìn tổng thể về cấu trúc kiểm soát của toàn ngân hàng, đồng thời là cơ sở để lập kế hoạch kiểm toán dựa trên rủi ro (risk-based audit plan).

Thuật ngữ tiếng Anh: Control Matrix Lĩnh vực: Kiểm toán & Tuân thủ

Đặc điểm và phân loại

Ma trận kiểm soát có cấu trúc rõ ràng và được phân loại theo nhiều tiêu chí khác nhau tùy thuộc vào phạm vi áp dụng và mục đích sử dụng. Dưới đây là các thành phần cốt lõi cùng với cách phân loại phổ biến nhất hiện nay.

Các thành phần cấu thành ma trận kiểm soát

Thành phần Mô tả chi tiết
Mã số kiểm soát (Control ID) Mã định danh duy nhất cho mỗi kiểm soát, theo định dạng Mã quy trình - Loại rủi ro - Số thứ tự (ví dụ: CR-01-001 cho kiểm soát rủi ro tín dụng số 001)
Mô tả kiểm soát (Control Description) Diễn giải rõ ràng kiểm soát thực hiện cái gì, ai thực hiện, khi nào và như thế nào
Rủi ro liên quan (Related Risk) Rủi ro cụ thể mà kiểm soát nhằm giảm thiểu (rủi ro tín dụng, rủi ro hoạt động, rủi ro tuân thủ, rủi ro công nghệ...)
Loại kiểm soát (Control Type) Phòng ngừa (Preventive) hoặc Phát hiện (Detective)
Tính chất kiểm soát (Control Nature) Thủ công (Manual), Bán tự động (Semi-automated) hoặc Tự động (Automated)
Tần suất thực hiện (Frequency) Liên tục, Hàng ngày, Hàng tuần, Hàng tháng, Hàng quý hoặc Định kỳ
Chủ sở hữu kiểm soát (Control Owner) Phòng/bộ phận/cá nhân chịu trách nhiệm vận hành kiểm soát
Bằng chứng kiểm soát (Control Evidence) Tài liệu chứng minh kiểm soát đã được thực hiện (screenshot, biên bản, báo cáo, log hệ thống)
Kiểm soát then chốt (Key Control) Đánh dấu Y/N đối với những kiểm soát quan trọng nhất - nếu thiếu, rủi ro gia tăng đáng kể
Mức độ rủi ro (Risk Rating) Đánh giá rủi ro theo thang điểm Thấp/Trung bình/Cao/Rất cao

Phân loại ma trận kiểm soát theo phạm vi áp dụng

Phân loại Đặc điểm Đối tượng sử dụng
Ma trận kiểm soát quy trình (Process-level Control Matrix) Tập trung vào một quy trình nghiệp vụ cụ thể Kiểm toán viên phụ trách quy trình
Ma trận kiểm soát cấp đơn vị (Entity-level Control Matrix) Bao quát kiểm soát ở cấp toàn ngân hàng Ban Kiểm soát, Hội đồng quản trị
Ma trận kiểm soát ứng dụng (Application Control Matrix) Liên quan đến kiểm soát trong hệ thống CNTT Phòng IT, kiểm toán CNTT
Ma trận kiểm soát tuân thủ (Compliance Control Matrix) Tập trung vào kiểm soát tuân thủ quy định pháp luật Phòng Pháp chế & Tuân thủ

Phân loại theo loại kiểm soát

Loại kiểm soát Đặc điểm Ví dụ trong ngân hàng
Phòng ngừa (Preventive Control) Ngăn chặn rủi ro xảy ra trước khi xảy ra Phân quyền truy cập hệ thống, quy trình phê duyệt tín dụng đa cấp
Phát hiện (Detective Control) Phát hiện rủi ro trong hoặc sau khi xảy ra Đối chiếu sao kê hàng ngày, giám sát giao dịch bất thường
Sửa chữa (Corrective Control) Khắc phục hậu quả khi rủi ro đã xảy ra Quy trình xử lý sự cố, hoàn trả giao dịch lỗi

Ví dụ thực tế trong ngành ngân hàng

Ví dụ 1: Ma trận kiểm soát quy trình cấp tín dụng tại Ngân hàng A

Ngân hàng A là một ngân hàng thương mại cổ phần lớn với tổng dư nợ tín dụng đạt khoảng 850.000 tỷ đồng. Bộ phận Kiểm toán nội bộ của ngân hàng này đã xây dựng ma trận kiểm soát cho quy trình cấp tín dụng bao gồm 47 kiểm soát, trong đó có 18 kiểm soát được đánh dấu là kiểm soát then chốt (key control). Một số kiểm soát tiêu biểu được thể hiện trong ma trận như sau:

  • Kiểm soát CR-01-001 (Phòng ngừa - Thủ công): "Cán bộ tín dụng phải kiểm tra và xác minh hồ sơ pháp lý của khách hàng bao gồm Giấy đăng ký kinh doanh, CMND/CCCD của người đại diện trước khi nhập hồ sơ vào hệ thống LOS (Loan Origination System)." Chủ sở hữu: Phòng Tín dụng - Chi nhánh. Tần suất: 100% hồ sơ. Bằng chứng: Check-list hồ sơ có chữ ký xác nhận.
  • Kiểm soát CR-01-015 (Phòng ngừa - Tự động): "Hệ thống tự động từ chối phê duyệt khoản vay vượt quá hạn mức phân cấp của cán bộ phê duyệt hiện tại." Chủ sở hữu: Phòng IT - Khối Công nghệ. Tần suất: Liên tục (24/7). Bằng chứng: System log của LOS.
  • Kiểm soát CR-01-022 (Phát hiện - Bán tự động): "Hệ thống Early Warning System (EWS) tự động cảnh báo các khoản vay có dư nợ quá hạn từ 1 đến 30 ngày, gửi email thông báo đồng thời đến chuyên viên quản lý nợTrưởng phòng tín dụng." Chủ sở hữu: Phòng Quản lý nợ. Tần suất: Hàng ngày.

Trong kỳ kiểm toán năm gần nhất, kiểm toán viên nội bộ đã phát hiện kiểm soát CR-01-015 có thiếu sót khi hệ thống không tự động từ chối đối với 3 trường hợp cán bộ tín dụng cố tình tách nhỏ khoản vay thành nhiều khoản nhỏ hơn để vượt hạn mức phê duyệt (gọi là "splitting loan"). Tổng giá trị vi phạm lên tới 45 tỷ đồng. Đây là bài học điển hình cho thấy tầm quan trọng của việc kiểm thử định kỳ hiệu quả vận hành của kiểm soát, không chỉ dựa vào thiết kế trên giấy.

Ví dụ 2: Ma trận kiểm soát quy trình KYC tại Ngân hàng B

Ngân hàng B (một ngân hàng có vốn đầu tư nước ngoài) áp dụng ma trận kiểm soát chặt chẽ cho quy trình KYC (Know Your Customer) với 32 kiểm soát. Điểm đặc biệt trong ma trận kiểm soát của Ngân hàng B là việc tích hợp các tiêu chuẩn quốc tế FATF (Financial Action Task Force) và Basel về phòng chống rửa tiền (AML) và tài trợ khủng bố (CFT). Một kiểm soát đáng chú ý là KYC-02-008 (Phòng ngừa - Tự động): "Hệ thống tự động đối chiếu danh sách khách hàng mới với cơ sở dữ liệu quốc gia về phòng chống rửa tiền và danh sách đen (blacklist) của UN, OFAC mỗi khi mở tài khoản. Trường hợp khớp trên 80% thông tin sẽ tự động chuyển sang trạng thái 'chờ xét duyệt thủ công'." Kiểm soát này đã giúp Ngân hàng B phát hiện 127 trường hợp nghi ngờ trong năm vừa qua, trong đó 23 trường hợp được xác nhận là khách hàng có tên trong danh sách đen quốc tế, giúp ngân hàng tránh được khoản phạt ước tính hàng triệu USD và bảo vệ uy tín thương hiệu.

Ví dụ 3: Ma trận kiểm soát quy trình vận hành ATM tại Ngân hàng C

Ngân hàng C (một ngân hàng thương mại nhà nước) vận hành hệ thống hơn 3.500 máy ATM trên toàn quốc, phục vụ trung bình 8 triệu giao dịch mỗi ngày. Ma trận kiểm soát quy trình vận hành ATM bao gồm các kiểm soát từ việc nạp tiền, kiểm tra sự cố, đến xử lý khiếu nại khách hàng. Một kiểm soát then chốt là ATM-03-011 (Phát hiện - Tự động): "Hệ thống giám sát trung tâm tự động phát cảnh báo khi máy ATM có lượng tiền mặt còn lại dưới 20% công suất hoặc có lỗi kết nối vượt quá 30 phút. Cảnh báo được gửi đồng thời đến nhân viên vận hành khu vực và Trung tâm giám sát tại Hội sở chính." Nhờ kiểm soát này, thời gian xử lý sự cố ATM trung bình giảm từ 4 giờ xuống còn 45 phút, nâng cao đáng kể trải nghiệm khách hàng và giảm tỷ lệ khiếu nại liên quan đến ATM xuống 62%.

Quy trình xây dựng ma trận kiểm soát chuẩn

Theo kinh nghiệm từ các ngân hàng lớn, quy trình xây dựng ma trận kiểm soát thường bao gồm 6 bước chính: (1) Xác định quy trình trọng yếu thông qua phân tích rủi ro từ trên xuống (top-down risk assessment); (2) Nhận diện toàn bộ rủi ro trong quy trình thông qua phỏng vấn chủ sở hữu quy trình và walkthrough test; (3) Thiết kế kiểm soát phù hợp cho từng rủi ro, đảm bảo nguyên tắc "hai người" (four eyes principle) đối với kiểm soát then chốt; (4) Ghi nhận chủ sở hữu kiểm soát và thống nhất trách nhiệm; (5) Kiểm thử kiểm soát (control testing) bao gồm kiểm thử thiết kế và kiểm thử vận hành; (6) Cập nhật ma trận kiểm soát định kỳ (ít nhất 6 tháng một lần hoặc khi có thay đổi quy trình).

Ma trận kiểm soát trong các ngôn ngữ khác

Ngôn ngữ Thuật ngữ Phiên âm
Tiếng Anh Control Matrix /kənˈtroʊl ˈmeɪtrɪks/
Tiếng Nhật 統制マトリックス (Tōsei Matorikkusu) Tōsei Matorikkusu
Tiếng Hàn 통제 매트릭스 (Tongje Maeteuligseu) Tongje maeteuligseu
Tiếng Trung 控制矩阵 (Kòngzhì Jǔzhèn) Kòngzhì jǔzhèn
Tiếng Tây Ban Nha Matriz de Control /maˈtɾið ðe konˈtɾol/

Câu hỏi thường gặp

Ma trận kiểm soát khác gì Bản đồ rủi ro (Risk Map) và Chương trình kiểm toán (Audit Program)?

Ma trận kiểm soát tập trung vào việc mô tả chi tiết các kiểm soát nội bộ và mối liên hệ giữa chúng với rủi ro, đồng thời ghi nhận chủ sở hữu, tần suất và bằng chứng. Trong khi đó, Bản đồ rủi ro (Risk Map) chỉ mô tả trực quan các rủi ro theo hai chiều xác suất và tác động mà không đi sâu vào kiểm soát. Chương trình kiểm toán (Audit Program) thì mô tả các bước kiểm thử cụ thể mà kiểm toán viên sẽ thực hiện để đánh giá kiểm soát, có tính chất hành động hơn là mô tả tĩnh. Nói cách khác, ma trận kiểm soát trả lời câu hỏi "Có kiểm soát gì ở đây?", bản đồ rủi ro trả lời "Rủi ro nào nghiêm trọng nhất?", còn chương trình kiểm toán trả lời "Làm thế nào để kiểm tra?"

Khi nào cần biết về Ma trận kiểm soát?

Người ôn thi ngân hàng cần nắm vững ma trận kiểm soát khi tham gia các kỳ thi tuyển dụng vào vị trí Kiểm toán nội bộ, Kiểm soát viên, Chuyên viên Tuân thủ, Chuyên viên Quản lý rủi ro, hoặc các vị trí phân tích tín dụng, KYC/AML. Trong thực tế công việc, ma trận kiểm soát được sử dụng hàng ngày khi xây dựng quy trình mới, đánh giá rủi ro định kỳ, lập kế hoạch kiểm toán năm, khi xảy ra sự cố cần truy nguyên trách nhiệm kiểm soát, hoặc khi ngân hàng triển khai sản phẩm/quy trình mới cần phê duyệt về rủi ro.

Ma trận kiểm soát ảnh hưởng thế nào đến khách hàng?

Mặc dù khách hàng không trực tiếp nhìn thấy ma trận kiểm soát, nhưng hệ thống kiểm soát nội bộ chặt chẽ sẽ giúp bảo vệ tài sản và thông tin của khách hàng một cách gián tiếp. Ví dụ, kiểm soát phòng chống gian lận trong giao dịch thẻ giúp khách hàng tránh bị mất tiền do skimming; kiểm soát KYC giúp ngăn chặn việc tài khoản bị lợi dụng cho hoạt động rửa tiền; kiểm soát xử lý khiếu nại giúp khách hàng được giải quyết vấn đề nhanh chóng. Theo thống kê của NHNN, các ngân hàng có hệ thống kiểm soát nội bộ hoàn thiện (thể hiện qua ma trận kiểm soát chặt chẽ) có tỷ lệ khiếu nại khách hàng thấp hơn 35 đến 50% so với các ngân hàng có hệ thống kiểm soát yếu kém.

Tổng kết

Ma trận kiểm soát là một trong những công cụ cốt lõi và không thể thiếu trong hệ thống kiểm soát nội bộ của ngân hàng thương mại. Đây không chỉ đơn thuần là một bảng biểu ghi nhận kiểm soát mà là công cụ quản trị rủi ro tích hợp, phản ánh mối liên hệ chặt chẽ giữa rủi ro - kiểm soát - chủ sở hữu - bằng chứng theo đúng tinh thần mô hình ba tuyến bảo vệ (Three Lines of Defense). Đối với người ôn thi ngân hàng, việc hiểu sâu ma trận kiểm soát không chỉ giúp hoàn thành tốt bài thi mà còn là nền tảng cho sự nghiệp trong lĩnh vực kiểm toán, tuân thủ và quản lý rủi ro. Trong bối cảnh ngành ngân hàng Việt Nam ngày càng phức tạp với sự gia tăng của fintech, chuyển đổi số và các quy định quốc tế ngày càng chặt chẽ, ma trận kiểm soát sẽ tiếp tục đóng vai trò then chốt trong việc đảm bảo an toàn hoạt động và bảo vệ quyền lợi của khách hàng, cổ đông cùng các bên liên quan.

🎓

Luyện thi với kiến thức này

Thuật ngữ này thường xuất hiện trong đề thi tuyển dụng ngân hàng

Chia sẻ thuật ngữ này:

🔗 Thuật ngữ liên quan 8