Quản trị rủi ro hoạt động trong hệ thống ngân hàng thương mại Kinh nghiệm quốc tế và bài học cho Việt Nam

IBM International Business Tập đoàn quốc tế Hà Lan KRIs Key Risk Indicators Chỉ số đo lường rủi ro hoạt độngKYC Know your customer Chính sách về quan hệ khách hàngLGE Loss given event Tổ

MỤC LỤC

DANH MỤC CHỮ VIẾT TẮT 4

DANH MỤC BẢNG BIẾU 6

LỜI MỞ ĐẦU 8

CHƯƠNG I: NHỮNG VẤN ĐỀ CƠ BẢN VỀ RỦI RO HOẠT ĐỘNG CỦA NHTM 11

1.1 Rủi ro hoạt động (operational risk) của NHTM 11

1.1.1 Lịch sử xuất hiện và phát triển 11

1.1.2 Định nghĩa và đặc điểm của RRHĐ 13

1.1.3 Phân loại 14

1.1.3.1 RRHĐ gây ra bởi hệ thống 14

1.1.3.2 RRHĐ gây ra bởi công nghệ thông tin 15

1.1.3.3 RRHĐ gây ra bởi qui trình (business progresses) 15

1.1.3.4 RRHĐ gây ra bởi nhân viên (staff/ people) 15

1.1.3.5 Rủi ro khác 16

1.1.4 Mối quan hệ giữa các loại rủi ro 16

1.1.5 Các chỉ tiêu đo lường RRHĐ ( KRIs) 19

1.2 Quản trị RRHĐ trong ngân hàng thương mại 21

1.2.1 Khái niệm quản trị RRHĐ 21

1.2.2 Nguyên tắc quản trị RRHĐ 22

1.2.2.1 Vấn đề thứ nhất: Phát triển một môi trường quản trị rủi ro phù hợp 22

1.2.2.2 Vấn đề thứ hai: Quản trị rủi ro: xác định, đánh giá, giám sát, kiểm soát 23

1.2.2.3 Vấn đề thứ ba : Vai trò của cơ quan giám sát 24

1.2.2.4 Vấn đề thứ tư: Vai trò của việc công bố thông tin 24

1.2.3 Quản trị rủi ro hoạt động 24

1.2.3.1 Chiến lược quản trị RRHĐ 26

1.2.3.2 Cơ cấu tổ chức quản trị RRHĐ 26

1.2.3.3 Cơ sở dữ liệu về các thiệt hại 27

1.2.3.4 Công nghệ thông tin 28

1.2.3.5 Quá trình quản trị sự kiện RRHĐ 29

1.2.4 Các phương pháp đo lường chi phí vốn quản trị RRHĐ 33

1.2.4.1 Phương pháp chỉ số cơ bản (BIA) – the Basic Indicator Approach 34

1.2.4.2 Phương pháp chuẩn hóa (STA) - The Standardised Approach 34

1.2.4.3 Phương pháp đo lường nội bộ nâng cao (AMA) - Advanced Measurement Approaches 36

1.2.4.4 Đánh giá chung ba phương pháp: 37

CHƯƠNG II: KINH NGHIỆM QUỐC TẾ VỀ QUẢN TRỊ RỦI RO HOẠT ĐỘNG 40

2.1 Tổng quan về rủi ro hoạt động trên thế giới 40

2.2 Thực trạng áp dụng Basel II vào quản lí RRHĐ trên thế giới 44 2.3 Kinh nghiệm quản trị RRHĐ của một số ngân hàng trên thế giới 48

2.3.1 Bài học từ vụ sụp đổ của Ngân hàng Barings năm 1995 48

2.3.2 Một số kinh nghiệm ở các nước khác 51

2.4 Bài học cho Việt Nam 53

CHƯƠNG III: QUẢN TRỊ RỦI RO HOẠT ĐỘNG NGÂN HÀNG THƯƠNG MẠI VIỆT NAM 55

3.1 Tổng quan về hệ thống ngân hàng thương mại VN 55

3.2 Thực trạng rủi ro hoạt động 60

3.2.1 RRHĐ liên quan đến quy trình 60

3.2.2 Rủi ro liên quan đến hệ thống công nghệ thông tin (CNTT) .61

3.2.2 Nhân viên (staff-people) 61

3.2.1 Các hành vi gian lận và tội phạm bên ngoài 64

3.3 Thực trạng công tác quản trị RRHĐ của NHTM Việt Nam 65

2

3.3.1 Cơ sở pháp lý cho quản trị RRHĐ của các NHTM Việt Nam

65

3.3.2 Quản trị RRHĐ tại một số NHTM Việt Nam 67

3.3.2.1 Công nghệ thông tin 68

3.3.2.2.Cán bộ công nhân viên 70

3.3.2.3 Quy trình 71

3.3.2.4 Đối với các rủi ro bất khả kháng từ bên ngoài 71

3.4 Đánh giá thực trạng quản trị rủi ro hoạt động ngân hàng thương mại Việt Nam 72

3.4.1 Thành tựu đạt được 72

3.4.2 Hạn chế 73

3.5 Đề xuất nhằm nâng cao hiệu quả quản trị rủi ro hoat động 75

3.5.1 Đối với NHTM 75

3.5.1.1 Giải pháp về cơ chế và chính sách 75

3.5.1.2: Giải pháp về thực hiện quản trị RRHĐ 76

3.5.2 Đối với ngân hàng nhà nước 85

3.5.3 Đối với chính phủ và các cơ quan liên quan 86

KẾT LUẬN 88

TÀI LIỆU THAM KHẢO 91

AML Anti-money laundering Thủ tục chống rửa tiền

ARCO Audit and risk committee

council

Hội đồng ủy ban kiểm toán

và rủi roATM Automatic teller machine Máy rút tiền tự động

BFS Barings Futures Singapore Công ty con của công ty

Chứng khoán BaringsBIA The Basic Indicator

Approach

Phương pháp chỉ số cơ bản

BIS Bank of international

settlement

Ngân hàng thanh toán quốc tế

BKIS Bach Khoa Internet Security Trung tâm An ninh mạng

ĐHBK Hà NộiBSL Barings Securities Ltd Công ty chứng khoán BaringsBTA Bilateral trade agreement

Vietnam - United States

Hiệp định thương mại song phương Việt Nam - Hoa KìCBRC China Banking Regulatory

Commission

Ủy ban giám sát ngân hàng Trung Quốc

CLS Continuous linked settlement Hệ thống thanh toán bù trừ

EI Exposure indicator Chỉ số mức độ thiệt hại

FSI Financial Stability Institute Tổ chức ổn định tài chínhGDP Gross Domestic Product Tổng sản lượng nội địa

HSBC Hongkong and Shanghai

Banking Corporation

Tập đoàn Ngân hàng Hồng Kông và Thượng Hải

4

IBM International Business

Tập đoàn quốc tế Hà Lan

KRIs Key Risk Indicators Chỉ số đo lường rủi ro hoạt

độngKYC Know your customer Chính sách về quan hệ khách

hàngLGE Loss given event Tổn thất của sự kiện nhất

Service,

Địa điểm thực hiện giao dịch

RBI Reserve Bank of India Ngân hàng dự trữ Ấn ĐộRMA Risk management

association

Hiệp hội quản lý rủi ro

RRHĐ Rủi ro hoạt động Rủi ro hoạt động

SSL Secure Socket Layer Cách thức truyền tải thôn tin

an toàn qua mạngSTA The Standardised Approach Phương pháp chuẩn hóa

VIP Very important person Khách hàng quan trọng

WTO World Trade Organization Tổ chức mậu dịch quốc tế

DANH MỤC BẢNG BIẾU

1.1 Mối quan hệ giữa các loại rủi ro cơ bản 181.2 Ví dụ minh họa về một số chỉ tiêu đo lường RRHĐ chính 21

1.6 Mối quan hệ giữa chi phí vốn và mức độ nhạy cảm rủi ro 39

2.2 Phân phối sự kiện rủi ro theo khu vực giai đoạn 04-08 412.3 Phân phối tổng thiệt hại theo khu vực giai đoạn 2004-

6

3.4 Ma trận rủi ro 803.5 Kế hoạch kiểm soát rủi ro hoạt động cơ bản 81

LỜI MỞ ĐẦU Tính cấp thiết của đề tài

Ngày nay, khi hoạt động ngân hàng ngày càng phát triển Ngàycàng có nhiều ngân hàng hoạt động xuyên quốc gia, mở rộng cánh tayvới của mình ra tầm quốc tế Tuy nhiên, khi hoạt động nhân hàng càngphát triển thì rủi ro liên quan đến hoạt động ngân hàng cũng ngày cànggia tăng Như cuộc khủng hoảng kinh tế Mỹ năm 2008 bắt nguồn từ vỡ

nợ tín dụng bất động sản tại của các ngân hàng tại Mỹ và nó ảnh hưởngnghiêm trọng đến ngành ngân hàng cũng như nền kinh tế toàn cầu.Vàcho đến nay, thế giới vẫn đang phải khắc phục hậu quả của nó Tronghoạt động của ngân hàng, có nhiều loại rủi ro xếp vào loại rủi ro tín dụnghay rủi ro thị trường, nhưng bản chất lại xuất phát từ RRHĐ Ví dụ nhưcuộc khủng hoảng năm 2008 là rủi ro tín dụng của ngân hàng nhưng bảnchất là RRHĐ Như vậy, để hạn chế các rủi ro có thể xảy ra cho ngànhngân hàng thì nhà quản trị cần phải hạn chế nguyên nhân gốc rễ gây nên

và việc hiểu rõ và quản trị rủi ro nói chung và RRHĐ nói riêng luôn làmột yêu cầu cấp thiết trong ngành ngân hàng

Theo như các các nhà nghiên cứu ở một số nước tiên tiến đã tínhtoán thiệt hại định lượng rủi ro hoạt động (RRHĐ) trong các ngân hàngthông thường là 10% lợi nhuận từ hoạt động kinh doanh RRHĐ có thểmang lại những tổn thất rất lớn cho ngân hàng thương mại (NHTM) như:các trách nhiệm pháp lý gây ra cho NHTM, tài sản hoặc uy tín củaNHTM bị tổn thất hay mất mát, giảm vốn kinh doanh hay mất vốn, giảmlợi nhuận và đôi khi cũng gây ra sự sụp đổ của các ngân hàng trên thếgiới Trên thực tế, RRHĐ luôn hiện hữu trong tất cả các giao dịch và hoạtđộng của NHTM Ở Việt Nam cũng như trên thế giới đã có rất nhiều vụrủi ro hoạt động tại ngân hàng như vụ rủi ro tại ngân hàng SociétéGénérale của Pháp năm 2008 làm thiệt hại 4,9 tỷ EUR Hoặc vụ nhânviên điểm giao dịch Đông Ngạc (Từ Liêm- HN) của một ngân hàng quốcdoanh đã giả mạo chữ kí khách hàng để “thụt két” tới 24 tỷ đồng, rồi mộttrường hợp khác là cán bộ quỹ một ngân hàng cổ phần rút ruột 1,28 tỷđồng và 8 nghìn USD trái phiếu là tài sản cầm cố của khách hàng để chơichứng khoán…thanh toán viên chọn nhầm tiền từ VND thanh AUD, dẫntới khách hàng chuyển 4 triệu VND lại hạch toán thành 4 triệu AUD( tương đương 48,5 tỷ VND)…và một trong vụ nổi tiếng nhất trong

8

ngành ngân hàng là vụ sụp đổ của ngân hàng Barings mà xuất phát từRRHĐ.

Trong xu thế phát triển của thời đại hiện nay, RRHĐ cũng ngàycàng tăng do: Môi trường kinh doanh phức tạp hơn (mở rộng quy mô,tham gia vào hoạt động mua lại, sáp nhập, hợp nhất, hành vi trái phápluật tăng lên); Hội nhập quốc tế ngày một tăng; áp lực công việc, đòi hỏikết quả cao hơn, đòi hỏi lòng trung thành của nhân viên và sự quan tâmcủa các nhà lãnh đạo nhiều hơn; Tốc độ và khối lượng giao dịch tănghơn, thao tác nghiệp vụ có thể mắc lỗi, sai sót; Sự phụ thuộc vào côngnghệ nhiều hơn thể hiện ở sự gia tăng của các dịch vụ ngân hàng điện tử(internet banking, phone banking, auto bank, phone banking…) và kéotheo đó là một loạt các tội phạm mới xuất hiện trong lĩnh vực ngân hàngnày.Như vậy, quản trị RRHĐ sẽ hạn chế, giảm thiểu các chi phí, tổn thất

có thể xảy ra từ các hoạt động tác nghiệp; giảm vốn dành cho RRHĐ,tăng thêm nguồn vốn đưa vào hoạt động kinh doanh Mặt khác bảo vệ uytín của NHTM, đạt mục tiêu hoạt động kinh doanh an toàn, hiệu quả.Qua phân tích những ảnh hưởng nghiêm trọng của RRHĐ và lợi ích củaquản trị RRHĐ cho ta thấy quản trị RRHĐ đang ngày càng trở nên cần

thiết trong hệ thống NHTM Do đó chúng tôi lựa chọn đề tài : “Quản trị rủi ro hoạt động trong hệ thống ngân hàng thương mại - Kinh nghiệm quốc tế và bài học cho Việt Nam”.

1 Mục đích nghiên cứu:

- Làm rõ những vấn đề liên quan đến rủi ro hoạt động của các ngânhàng thương mại

- Thực trạng quản trị rủi ro hoạt động trên thế giới và ở Việt Nam

- Đề xuất những giải pháp nhằm giảm thiểu và hạn chế rủi ro hoạtđộng của các NHTM Việt Nam

2 Đối tượng và phạm vi nghiên cứu

- Đối tượng nghiên cứu: rủi ro hoạt động của ngân hàng thương mại

- Phạm vi nghiên cứu: Hệ thống NHTM của một số nước trên thếgiới và hệ thống NHTM ở Việt Nam

3 Phương pháp nghiên cứu

Bài nghiên cứu có sử dụng kết hợp các phương pháp: phân tích, sosánh, tổng hợp dựa trên các số liệu thống kê được lấy từ nhiều nguồnkhác nhau Ngoài ra, nhóm nghiên cứu cũng sử dụng các bảng biểucủa các tổ chức khác như: ORX, NHNN, BIS để phục vụ cho bàinghiên cứu của mình

CHƯƠNG I: NHỮNG VẤN ĐỀ CƠ BẢN VỀ RỦI RO

HOẠT ĐỘNG CỦA NHTM

1.1 Rủi ro hoạt động (operational risk) của ngân hàng thương mại.

1.1.1 Lịch sử xuất hiện và phát triển

Rủi ro hoạt động (RRHĐ) không phải là một khái niệm mới, nó làloại rủi ro lâu đời nhất mà các ngân hàng phải đối mặt Một ngân hàng

10

mới thành lập phải đương đầu với RRHĐ trước cả khi thực hiện giaodịch đầu tiên của mình trên thị trường Từ giữa những năm 1990, rủi rothị trường và rủi ro tín dụng đã trở thành chủ đề của nhiều cuộc tranhluận và nghiên cứu nhưng lúc này RRHĐ chưa thực sự được các nhàquản trị thảo luận nhiều và chỉ mới được chú ý khi ngày càng có nhiềuvấn đề liên quan tới nó.

Trong những năm gần đây tỉ lệ RRHĐ gia tăng rõ rệt Có rất nhiều

vụ sụp đổ của các ngân hàng lớn trên thế giới mà nguyên nhân từ RRHĐ.Các sự kiện như vụ tấn công khủng bố ngày 11 tháng 9, thiệt hại kinhdoanh lừa đảo tại Société Générale (Pháp), Barings (Anh), AIB (Ireland)

và Ngân hàng Quốc gia Australia cho thấy một thực tế nổi bật là phạm vi

quản lý rủi ro không chỉ đơn thuần là rủi ro thị trường và rủi ro tín dụng

Và đặc biệt là những con số thiệt hại của RRHĐ thường khá lớn Nổi bậtnhất là vụ sụp đổ ngân hàng Barings - một trong những ngân hàng lâuđời nhất của nước Anh vào năm 1995, đã gây ra một chấn động lớn tronggiới ngân hàng Nick Leeson - một nhân viên của ngân hàng này đã

“mượn danh” Barings để đầu cơ chứng khoán gây thua lỗ 1,4 tỉ USDtrong khi vốn cố định của ngân hàng này chỉ có 615 triệu USD.(1)

RRHĐ cũng được chú ý nhiều hơn khi nó xuất hiện trong mọi nhómrủi ro cần được quản lí, có liên quan mật thiết với các loại rủi ro kháctrong hoạt động của ngân hàng RRHĐ thể hiện một cách trực tiếp hoặcgián tiếp thông qua rủi ro tín dụng (RRTD) và rủi ro thị trường (RRTT)

Do đó, các nhà nghiên cứu nhận thấy rằng những phương pháp địnhlượng chỉ tính đến rủi ro tín dụng và rủi ro thị trường mà không chú ý tớirủi ro hoạt động và do đó, quản trị RRHĐ phải được phát triển thành mộtlĩnh vực nghiên cứu mới Và như vậy, RRHĐ bắt đầu được các cơ quangiám sát chú ý đến trong những năm cuối thập kỉ 90, sau khi rủi ro tíndụng được thiết lập vào năm 1988 và rủi ro thị trường vào 1996 Tuy

nhiên, Basel I đã không đề cập đến RRHĐ (không có yêu cầu vốn dựphòng RRHĐ) Cho mãi đến tháng 8/1998, Ủy ban Basel mới ban hànhvăn bản đầu tiên về chủ đề này nhưng chưa đề cập đến vấn đề điều chỉnh.Bản báo cáo chỉ nói: “Ủy ban sẽ tiếp tục theo dõi sự phát triển của rủi rotrong lĩnh vực này”.

Tháng 6/1999, trong Khung Hiệp ước vốn mới ban hành, Ủy ban đãnêu rõ chi phí vốn cho RRHĐ là một thành phần của Trụ Cột I: “Sựnghiêm trọng của loại rủi ro này đã khiến Ủy ban thấy rằng không thểkhông có qui định riêng cho nó trong Khung Hiệp ước vốn”

Tháng 11/1999, trong bản điều chỉnh của Khung Hiệp ước vốn, ý kiếnnày đã được xác nhận và xây dựng thành một điều khoản cụ thể: “Nhómquản lí rủi ro phải phát triển một khung Hiệp ước vốn cho loại rủi ro mớinày - rủi ro hoạt động”

Cuối cùng đến quý IV năm 2003, phiên bản mới của Hiệp ước vốn(Basel II) được hoàn thiện Trong Basel II, rủi ro hoạt động đã được địnhnghĩa và xác định là một trong ba yếu tố chính để tính toán rủi ro màngân hàng phải đối mặt

1.1.2 Định nghĩa và đặc điểm của RRHĐ.

Sau khi RRHĐ được các nhà quản trị chú ý tới, thì các nhà quản trịcủa mỗi ngân hàng đưa ra các cách nhận thức khác nhau về RRHĐ Mỗingân hàng ở mỗi quốc gia có quan điểm và định nghĩa về RRHĐ khácnhau nhưng đều xoay quanh định nghĩa về RRHĐ của Basel

Năm 1995, Basel I đã định nghĩa gián tiếp: “Rủi ro hoạt động là tất

cả các rủi ro không phải rủi ro tín dụng hay rủi ro thị trường”

12

Đây là một định nghĩa khá đơn giản nên nó đã được áp dụng rộng rãitrong một thời gian dài Nhưng khi tiến hành nghiên cứu sâu hơn thìngười ta nhận thấy rằng một định nghĩa gián tiếp như trên là không đạtyêu cầu về cơ sở lí thuyết và thực tiễn Theo quan điểm lí thuyết, địnhnghĩa này không phù hợp vì nó không đưa ra được những thuật ngữ địnhnghĩa và phân định những vấn đề chính Một cuộc khảo sát về các địnhnghĩa được sử dụng tại 16 ngân hàng, các tổ chức tư vấn và các cơ quangiám sát đã cho thấy các từ được dùng nhiều nhất để định nghĩa RRHĐlà: “qui trình và thủ tục, con người và lỗi của con người, kiểm soát nội

bộ, các sự kiện nội bộ và tác động bên ngoài, thiệt hại trực tiếp và giántiếp, thất bại, công nghệ và hệ thống”

Sau đó Hiệp ước vốn Basel II ra đời với ý nghĩa là khuôn khổ,chuẩn mực quốc tế về quản trị rủi ro trong hoạt động kinh doanh củaNHTM, đã được một số NHTM của các nước phát triển ứng dụng và thuđược những hiệu quả cao Hiệp định bao gồm ba cột trụ sau:

Trụ cột I: Yêu cầu về vốn tối thiểu

Trụ cột II: Quy trình rà soát, giám sát

Trụ cột III: Nguyên tắc thị trường

Basel II đã đề cập đến một nội dung hoàn toàn mới mẻ trong quản trị rủi

ro ngân hàng, đó là “rủi ro hoạt động”.

“Rủi ro hoạt động là rủi ro gây ra tổn thất do các nguyên nhân như con người, sự không đầy đủ hoặc vận hành không tốt các quy trình, hệ thống; các sự kiện khách quan bên ngoài RRHĐ bao gồm cả rủi ro pháp

lý nhưng loại trừ về rủi ro chiến lược và rủi ro uy tín”.(2)

Ủy ban Basel thừa cũng nhận thấy rằng RRHĐ là một thuật ngữ mà có

nhiều ý nghĩa và do đó, các ngân hàng được phép áp dụng các định nghĩa

của riêng họ về RRHĐ cho mục đích nội bộ nhưng phải đáp ứng các yếu

tố tối thiểu trong định nghĩa của Uỷ ban Basel

Từ định nghĩa của Basel, có thể thấy RRHĐ là do các nhóm nguyên nhânnhư “quy trình, con người, hệ thống, các sự kiện bên ngoài và các vấn đềkhác” tạo ra

Nghiên cứu ảnh hưởng và tần suất xuất hiện của RRHĐ, các nhà nghiêncứu cũng nhận ra rằng có những rủi ro tuy có tần suất thấp nhưng lại gâythiệt hại lớn (hay còn gọi là nhóm chính yếu) ví dụ như các vụ lừa đảo,kiện cáo và các thảm họa tự nhiên và những rủi ro có tần suất cao nhưnggây thiệt hại nhỏ (‘nhóm thứ yếu’), ví dụ như rủi ro thanh toán và gianlận tín dụng

1.1.3.1 Rủi ro hoạt động gây ra bởi hệ thống

RRHĐ gây ra bởi hệ thống có thể do thiết kế của hệ thống không phùhợp, cơ sở vật chất nghèo nàn, gián đoạn của hệ thống (xử lý, truyềnthông, thông tin) và (hoặc) do các phần mềm các chương trình hỗ trợ càiđặt trong hệ thống lỗi thời hỏng hóc hoặc không hoạt động Ở các nước

có nền kinh tế phát triển thì hệ thống cơ sở vật chất của các ngân hàngnày thường rất hiện đại, hệ thống xử lý thông tin nhanh, kịp thời thì rủi rogây ra bởi hệ thống không nhiều nhưng ở nhiều nước còn kém phát triển

14

thì cơ sở vật chất còn yếu kém nên có thể rủi ro gây ra bởi hệ thống sẽnhiều hơn.

1.1.3.2 RRHĐ gây ra bởi công nghệ thông tin

RRHĐ gây ra bởi công nghệ thông tin có thể do chất lượng phần mềm

kém dễ gây ra các sai sót hoặc lỗ hổng an ninh hệ thống do dữ liệu thôngtin không đầy đủ hoặc hệ thống bảo mật thông tin không an toàn Nếukhông có hệ thống công nghệ thông tin hiện đại sẽ có thể tạo ra nhiều lỗhổng an ninh, dễ bị các Hacker xâm nhập vào hệ thống lấy trộm thông tinkhách hàng hoặc các thông tin khác Các Hacker này có thể làm giả cácthẻ tín dụng hay thẻ ATM để rút tiền của ngân hàng gây ra nhiều thiệt hại

và có thể ảnh hưởng đến uy tín của ngân hàng

1.1.3.3 Rủi ro hoạt động gây ra bởi qui trình (business progresses)

Rủi ro hoạt động gây ra bởi qui trình do văn bản hợp đồng không đầy

đủ, thiếu hướng dẫn cụ thể gây khó khăn cho nhân viên hoặc có nhiềuđiểm bất cập, chưa hoàn chỉnh, tạo kẽ hở cho kẻ xấu lợi dụng gây thiệthại cho ngân hàng

1.1.3.4 Rủi ro hoạt động gây ra bởi nhân viên (staff/ people)

RRHĐ gây ra bởi nhân viên và những gian lận nội bộ Đây là mộttrong những nguyên nhân chủ yếu gây ra những rủi ro trong ngành ngânhàng Và đặc biệt, rủi ro gây ra bởi nhân viên thương gây ra những thiệthại rất lớn Nhân viên ngân hàng là những người có trình độ cao và cónhiều thông tin về khách hàng, họ có thể gian lận hoặc câu kết nội bộ vàbên ngoài nhưng đôi khi cũng có thể là nhầm lẫn do khối lượng công việc

lớn và phức tạp trong ngành ngân hàng (i) Nhân viên gian lận: có hành

vi trộm cắp hoặc thông đồng giữa nhân viên ngân hàng và khách hàng.Nhân viên ngân hàng cố ý ghi nhầm vị trí, cố ý chấm sai vị trí, thực hiện

các giao dịch trái phép, giao dịch nội gián Nhân viên câu kết với người

ngoài để phá hủy, trộm cướp giả mạo hoặc nhận hối lộ… (ii) Nhân viên

vô tình gây ra lỗi: nhân viên ngân hàng có thể hạch toán nhầm nghiệp vụhoặc nhầm đơn vị tiền tệ khi chuyển tiền…(iii) Ngân hàng thương mạimất hoặc thiếu những nhân vật chủ chốt

1.1.3.5 Rủi ro khác.

Ngoài những nguyên nhân trên thì còn RRHĐ mà nguyên nhân gây ra

nó là các yếu tố bên ngoài như pháp luật, thiên tai, tội phạm, khủng bố…Rủi ro do các gian lận bên ngoài chủ yếu liên quan đến hành vi trộm cắp,gian lận làm giả giấy tờ được thực hiện bởi bên thứ ba bên ngoài tổ chức Rủi ro pháp lý được xác định là nguy cơ không thể thực thi hợp đồng(toàn bộ hoặc một phần), vụ kiện, bản án bất lợi hoặc thủ tục tố tụngpháp lý khác gây ảnh hưởng hoặc ảnh hưởng xấu đến hoạt động hay điềukiện của ngân hàng Rủi ro pháp lý có thể phát sinh do nhiều vấn đề,thẩm quyền tài phán hợp pháp hoặc các vấn đề điều đơn giản như mộtđiều khoản còn thiếu trong một nếu không thỏa thuận hợp lệ Thiệt hại dorủi ro pháp lý phụ thuộc vào luật pháp phân bổ rủi ro giữa người đượccấp phép và các bên khác để giao dịch (3)

1.1.4 Mối quan hệ giữa các loại rủi ro.

Trong hoạt động của ngân hàng thì có rất nhiều loại rủi ro, nhưngtheo Basel thì có ba loại rủi ro chính là RRTD, RRTT và RRHĐ Để cóthể thực hiện tôt công tác quản trị rủi ro của ngân hàng thì trước tiên taphải phân biệt được ba loại rủi ro này và hiểu được mối quan hệ giữachúng để có thể có biện pháp quản trị

Về định nghĩa

16

Theo Basel II, rủi ro hoạt động là rủi ro gây ra tổn thất do các nguyên

nhân như con người, sự không đầy đủ hoặc vận hành không tốt các quytrình, hệ thống; các sự kiện khách quan bên ngoài RRHĐ bao gồm cả rủi

ro pháp lý nhưng loại trừ rủi ro chiến lược và rủi ro uy tín

Rủi ro thị trường được định nghĩa là loại rủi ro gây ra các thiệt hại do sự

thay đổi giá của thị trường Loại rủi ro này gồm hai loại rủi ro nhỏ là rủi

ro lãi suất và liên quan đến các công cụ lãi suất; và rủi ro tỷ giá hối đoái

và rủi ro hàng hóa khác của Ngân hàng

Còn rủi ro tín dụng được hiểu là khả năng xảy ra các tổn thất mà ngân

hàng phải chịu do khách hàng hoặc bên thứ ba vay không trả đúng hạn,không trả hoặc trả không trả đầy đủ vốn và lãi cho ngân hàng

Về nguyên nhân

Nếu như RRTT do những nhân tố của thị trường gây ra như: lãi suất, tỷgiá, giá cổ phiếu, trái phiếu Đó là những nhân tố khách quan mà ngânhàng không thể điều chỉnh hoặc kiểm soát được Nó phụ thuộc vào sựbiến động của thị trường, sự ổn định của nền kinh tế trong nước và trênthế giới, sự hấp dẫn của các kênh đầu tư trên thị trường và những chínhsách vĩ mô của nhà nước

Và RRTD là do khách hàng và bên thứ ba, tức là đối tượng có tham giagiao dịch với ngân hàng gây ra Cũng có thể là do trình độ của cán bộngân hàng nữa: cán bộ tín dụng trình độ kém không đánh giá được kháchhàng, hoặc đánh giá không tốt, hoặc cố tình làm sai

Thì RRHĐ lại do những nhân tố ở bên trong: các cán bộ ngân hàng, quy

trình hệ thống và cả bên ngoài ngân hàng gây ra: thiên tai, trộm cướp Theo đó, tần suất xuất hiện của các loại rủi ro cũng khác nhau:RRHĐ có thể xảy ra ở mọi lúc, mọi nơi, nên tần suất của nó là lớn nhất,tuy nhiên mức độ thiệt hại thì đa số lại thấp hơn hai loại rủi ro còn lại Ở

RRHĐ, những vụ thiệt hại có tần suất lớn thì mức thiệt hại lại nhỏ, nhữngthiệt hại có tần suất nhỏ thì mức thiệt hại lại lớn Trong RRTD và RRTTthì RRTD thuờng có mức thiệt hại lớn hơn Bởi vì hoạt động tín dụng cóthể coi là mảng lớn nhất trong kinh doanh ngân hàng và chi phí choRRTD bao giờ cũng là lớn nhất

Từ định nghĩa và nguyên nhân gây ra các loại rủi ro này ta có thể thấyđược các loại rủi ro này có mối quan hệ biện chứng với nhau Một rủi ronày xảy ra sẽ kéo theo một loạt các rủi ro khác, ví dụ một cán bộ tínhdụng không chấp hành đúng các quy chế nghiệp vụ (RRHĐ) sẽ gây rathất thoát tài sản (tức là gây ra RRTD và rủi ro thanh khoản…) Như vậy,

RRHĐ được thể hiện thông qua RRTD hoặc rủi ro thanh khoản Dưới đây là mô hình biểu thị mối quan hệ giữa RRHĐ với các loại rủi ro khác

Hình 1.1: Mối quan hệ giữa các loại rủi ro cơ bản

rủi ro còn lại

Nguồn: RRHĐ – vài nét về một loại rủi ro mới trong kinh doanh ngân hàng (4)

Tuy nhiên việc phân biệt này chỉ mang tính tương đối RRTD và

RRTT thì khá dễ phân biệt Tuy nhiên, RRHĐ thì hơi khó tách biệt với hai loại rủi ro còn lại, có những trường hợp thiệt hại của RRHĐ lại được

biểu hiện thông qua RRTD, và / hoặc RRTT Để dễ dàng phân biệt thì Ủy

ban Basel đã quy định rằng: nếu nguyên nhân nào vừa gây ra RRTT và

18

RRHĐ

RRHĐ thì xếp rủi ro đó vào RRHĐ nếu nguyên nhân nào vừa gây RRTD vừa gây RRHĐ thì xếp vào RRTD.Trong các loại rủi ro trong kinh doanh

ngân hàng thì RRHĐ là loại rủi ro ảnh hưởng nhiều nhất và bao trùm lêntất cả các loại rủi ro, nó gắn liền với từng phòng ban của ngân hàng.Chính vì vậy trong quản lý rủi ro nếu quản lý tốt RRHĐ sẽ làm giảmthiểu nguy cơ xảy ra các rủi ro khác

1.1.5 Các chỉ tiêu đo lường RRHĐ ( KRIs)

Để có thể đo lường được mức độ ảnh hưởng của RRHĐ thì các ngân hàng dùng chỉ số đo lường KRIs “ KRIs là các chỉ số hay hệ thống đo lường những thiệt hại tổn thất mà RRHĐ gây ra” Như vậy, bất kì điều gì

phù hợp với định nghĩa trên cũng được xem là một chỉ số rủi ro Một chỉ

số trở nên quan trọng khi nó thể hiện một thiệt hại đặc biệt nghiêm trọng,hoặc những rủi ro thường xuyên diễn ra Với RRHĐ, chúng ta quan tâmđến các chỉ số theo dõi mức độ nghiêm trọng cũng như tần suất RRHĐ.VD: số lượng khiếu nại của khách hàng

Cơ cấu bộ máy tổ chức của một NHTM thường được chia thành nhiềuphòng ban chức năng: phòng nhân sự, công nghệ thông tin, pháp lý, tàichính, hành chính, quản trị rủi ro và kiểm toán Các chỉ tiêu đo lườngRRHĐ chính cần phù hợp với chức năng, nghiệp vụ của từng phòng ban

và có liên quan đến các sự kiện rủi ro hay các tổn thất dự kiến trong quytrình Một số ví dụ như:

 Pháp lí: số lượng và giá trị những khiếu nại chống lại công ty, trongtoàn công ty và trong mỗi lĩnh vực kinh doanh

 Tài chính: tỉ lệ các báo cáo tài chính muộn do các phòng luật trongcông ty, hay số lỗi kế toán hoặc những khác biệt ko giải thích được

 Công nghệ thông tin: số lượng các cuộc tấn công bên ngoài vào tườnglửa

Trong bối cảnh hội nhập quốc tế, các ngân hàng không ngừng mởrộng phạm vi cũng như quy mô hoạt động Do đó, môi trường làm việc

và thị trường mà họ hoạt động cũng không ngừng thay đổi Các yếu tốảnh hưởng và gây rủi ro cho các ngân hàng theo đó gia tăng một cách

đáng kể Vì thế, các ngân hàng phải liên tục thay đổi mức độ RRHĐ dự

kiến Các chỉ tiêu đo lường rủi ro thích hợp cho năm trước nhưng chưachắc đã phù hợp với năm nay Các thông tin về những rủi ro này luônthay đổi theo thời gian và chắc chắn rất khác nhau giữa các ngân hàng.Xác định được các chỉ tiêu phù hợp và đáng tin là một thách thức với cácngân hàng Khó có thể biết được khi nào một chỉ tiêu là quan trọng chođến khi chúng gây nên thiệt hại thực sự Do đó việc xác định những chỉtiêu quan trọng nhất có thể nói là việc không thể.(5)

Tuy nhiên chúng ta có thể xác định các chỉ số đo lường rủi ro gồm nhiềutiêu chuẩn khác nhau, đại diện cho từng mức độ rủi ro cụ thể Một số chỉ

số thường được sử dụng trong các ngân hàng như:

Bảng 1.2: Ví dụ minh họa về một số chỉ tiêu đo lường RRHĐ chính

Sự cố Chỉ số đo lường rủi ro (KRIs)

Gian lận - Số lượng gian lận nội bộ

- Số lượng gian lận bên ngoài.

Khiếu nại và tranh chấp

của khách hàng

- Số lượng báo cáo khiếu nại và tranh chấp.

- Số lượng báo cáo khiếu nại vượt quá X ngày.

Các vị trí bỏ trống - Tỷ lệ phần trăm nhân viên bỏ trống.

- Số lượng các vị trí bỏ trống hơn X ngày.

Chính sách sản phẩm - Số sản phẩm đưa ra nhưng không hoàn thành đúng

20

chương trình

- Số sản phẩm được triển khai quá chậm.

Lỗi, sai sót - Số lượng tiền mặt thừa thiếu hoặc bị mất do sai sót

- Số vi phạm quá giới hạn.

Xử lý giao dịch - Khối lượng giao dịch,

- Số nợ quá hạn trong quá trình chờ xử lý.

Cộng nghệ thông tin - Số lượng và độ dài thời thời gian ngừng hệ thống

- Số lượng và độ dài thời thời gian ngừng hệ thống không theo kế hoạch.

Vi phạm quy định - Số lượng vi phạm, phạt/ cảnh cáo những vi phạm

quy định của cơ quan/ luật pháp

Nguồn: KPMG International 2007(6)

1.2 Quản trị RRHĐ trong ngân hàng thương mại

1.2.1 Khái niệm quản trị RRHĐ.

Quản trị RRHĐ là quá trình NHTM tiến hành các hoạt động tác động đến RRHĐ bao gồm việc thiết lập cơ cấu tổ chức, xây dựng hệ

thống các chính sách, phương pháp quản lý để thực hiện quá trình quản

lý rủi ro đó là: nhận diện, đo lường, báo cáo, quản lý, kiểm soát nhằmbảo đảm hạn chế tới mức thấp nhất rủi ro xảy ra

Quản trị RRHĐ hiệu quả không có nghĩa là rủi ro không xảy ra mà

là rủi ro có thể xảy ra nhưng xảy ra trong mức độ dự đoán trước và ngânhàng có thể kiểm soát được

Mục đích của quản trị RRHĐ là nhằm tìm hiểu mức RRHĐ của hệ

thống, của tổ chức, tìm nguyên nhân dẫn đến rủi ro, phân phối nguồn lực

hỗ trợ và xác định các khuynh hướng bên ngoài cũng như bên trong giúp

dự báo được rủi ro để từ đó có giải pháp phòng ngừa, hạn chế Việc quảntrị RRHĐ giúp cho ngân hàng ngăn ngừa sự gian lận, giảm thiểu sai sóttrong quá trình giao dịch, duy trì tính chính trực của kiểm soát nội bộ…

1.2.2 Nguyên tắc quản trị RRHĐ

Để thực hiện tốt công tác quản trị RRHĐ thì các ngân hàng cần

phải tuân theo những nguyên tắc và chuẩn mực nhất định Ủy ban Basel

về giám sát ngân hàng cũng đã tổng kết bốn vấn đề chính bao hàm 10nguyên tắc vàng trong quản trị RRHĐ và khuyến nghị các ngân hàng cầnthực hiện như sau:

1.2.2.1 Vấn đề thứ nhất: Phát triển một môi trường quản trị rủi ro phù

hợp.

Nguyên tắc 1: Hội đồng quản trị cần được nhận thức rõ các khía cạnh

chính của ngân hàng RRHĐ là loại rủi ro là một loại rủi ro riêng biệt vàcần được quản lý, đánh giá xem xét định kỳ dựa trên khung quản lýRRHĐ Khung này cần phải cung cấp một định nghĩa tổng thể cho toànngân hàng về RRHĐ, cũng như các nguyên tắc về cách xác định, đánhgiá, giám sát, kiểm soát và giảm thiểu RRHĐ

Nguyên tắc 2: Hội đồng quản trị phải bảo đảm rằng khung quản trị

RRHĐ của ngân hàng là tùy thuộc vào hiệu quả và toàn diện của kiểmtoán nội bộ bởi nhân viên hoạt động độc lập, được đào tạo và có thẩmquyền Kiểm toán nội bộ không nên trực tiếp chịu trách nhiệm về quản lýRRHĐ

Nguyên tắc 3: Quản lý cấp cao phải có trách nhiệm triển khai thực hiện

các khung quản lý RRHĐ được phê duyệt của Hội đồng quản trị Khungphải được triển khai thực hiện nhất quán trong toàn bộ hệ thống ngânhàng và tất cả các nhân viên nên hiểu rõ trách nhiệm của mình với việcquản lý RRHĐ Quản lý cấp cao cũng nên chịu trách nhiệm về việc pháttriển các chính sách, quy trình và thủ tục để quản lý RRHĐ trong tất cảcác sản phẩm, các hoạt động, quy trình và hệ thống ngân hàng

22

1.2.2.2 Vấn đề thứ hai: Quản trị rủi ro: xác định, đánh giá, giám sát, kiểm soát.

Nguyên tắc 4: Các ngân hàng cần xác định và đánh giá RRHĐ trong các

rủi ro hiện có trong tất cả sản phẩm, hoạt động, quy trình và hệ thống củangân hàng Các ngân hàng cũng phải đảm bảo rằng trước khi giới thiệusản phẩm mới, thực hiện các hoạt động, quy trình và hệ thống cần phảiđược đánh giá và tuân thủ đầy đủ các thủ tục thẩm định

Nguyên tắc 5: Các ngân hàng nên thực hiện một quy trình để thường

xuyên theo dõi giám sát mức độ ảnh hưởng và tổn thất do RRHĐ gây ra.Cần có báo cáo thường xuyên các thông tin thích hợp cho lãnh đạo cấpcao và Hội đồng quản trị để hỗ trợ chủ động quản lý RRHĐ

Nguyên tắc 6: Các ngân hàng nên có chính sách, quy trình và thủ tục để

kiểm soát và đưa ra chương trình giảm thiểu rủi ro Các ngân hàng nênxem xét lại theo định kỳ các ngưỡng rủi ro và chiến lược kiểm soát vànên điều chỉnh hồ sơ RRHĐ cho phù hợp bằng cách sử dụng các chiếnlược thích hợp với rủi ro tổng thể và rủi ro đặc trưng

Nguyên tắc 7: Ngân hàng cần phải có kế hoạch duy trì kinh doanh đảm

bảo khả năng hoạt động liên tục, hạn chế tổn thất trong trường hợp rủi roxảy ra bất ngờ làm cho hoạt động kinh doanh bị gián đoạn nghiêm trọng

1.2.2.3 Vấn đề thứ ba : Vai trò của cơ quan giám sát.

Nguyên tắc 8: Cơ quan giám sát ngân hàng nên yêu cầu tất cả các ngân

hàng, bất kể mọi quy mô, phải có một khung quản trị RRHĐ hiệu quả đểxác định, đánh giá, giám sát và kiểm soát/giảm thiểu RRHĐ như là mộtphần của phương pháp tiếp cận tổng thể để quản trị rủi ro

Nguyên tắc 9: Cơ quan giám sát phải tiến hành chỉ đạo trực tiếp hoặc

gián tiếp thường xuyên, độc lập đánh giá chính sách, thủ tục và thực tiễn

liên quan đến những RRHĐ của ngân hàng Người giám sát phải đảmbảo rằng có những cơ chế thích hợp cho phép họ biết được sự phát triểncủa ngân hàng.

1.2.2.4 Vấn đề thứ tư: Vai trò của việc công bố thông tin.

Nguyên tắc 10: Các ngân hàng cần phải thực hiện công bố đầy đủ và kịp

thời thông tin để cho phép những người tham gia thị trường đánh giácách tiếp cận của họ để quản lý RRHĐ.(7)

1.2.3 Quản trị rủi ro hoạt động

Thông qua định nghĩa, tầm quan trong của quản trị rủi ro hoạt động và đểthực hiện các nguyên tắc của Ủy ban Basel thì thực hiện quản trị RRHĐphải đi theo một chuẩn mực quốc tế bao gồm: xác định chiến lược quảntrị RRHĐ; thiết lập cơ cấu tổ chức , xây dựng hệ thống các chính sách,phương pháp quản lý rủi ro hoạt động để thực hiện quá trình quản lý rủi

ro đó là xác định, đo lường, đánh giá, quản lý, giám sát và kiểm tra kiểmsoát rủi ro hoạt động nhằm đưa ra các biện pháp giảm thiểu RRHĐ tớimức thấp nhất rủi ro có thể

Mỗi ngân hàng tùy theo đặc điểm kinh doanh doanh hồ sơ rủi ro hoạtđộng sẽ thiết lập một khung quản trị khác nhau Nhiều ngân hàng trên thếgiới đang thực hiện quản trị RRHĐ bằng cách sử dụng khung quản trị rủi

ro theo gợi ý của Ủy ban Basel II như sau:

Hình 1.3: Khung quản trị rủi ro hoạt động cơ bản

24

Đánh giá

Chính sách

Luồng báo cáoCấu trúc quản trịCLRR

Công nghệ thông tin

Mô hình vốn

Giảm thiểu rủi ro

Chỉ số đo lường rr

Cơ sở dữ liệu

Nguồn: KPMG International 2007

Thành phần chủ chốt của khung quản trị RRHĐ là một tập hợp các tiêuchuẩn RRHĐ cốt lõi cung cấp hướng dẫn về cơ sở kiểm soát và đảm bảomôi trường hoạt động Các khung được bổ sung với các công cụ khácnhau nhưng đều có các thành phần chính: xác định chiến lược rủi ro(CLRR), xây dựng cấu trúc quản trị, phân định luồng báo cáo, cơ sở dữliệu, quản lý sự kiện rủi ro, các chỉ số đo lường rủi ro chính (KRIs) vàchương trình giảm thiểu rủi ro

1.2.3.1 Chiến lược quản trị RRHĐ.

Xác định CLRR là yếu tố trung tâm của Trụ cột II của Basel II CLRRnày phải bao hàm các loại rủi ro liên quan Nó cũng phải tương ứng vớichiến lược kinh doanh và được điều chỉnh định kì để phản ánh đúng sựphát triển kinh doanh Nó có thể là chiến lược độc lập hoặc là một phầncủa chiến lược quản lý rủi ro trong toàn bộ NH

Chiến lược RRHĐ phải bao gồm các vấn đề sau: (i) Xác định được mục tiêu quản trị rủi ro và nhận biết các nguyên nhân gây ra RRHĐ; (ii)

Miêu tả cụ thể hồ sơ rủi ro (ví dụ: các rủi ro chính của các quy trình quản

lý phụ thuộc vào quy mô, sự phức tạp của hoạt động kinh doanh); (iii) đưa ra các công cụ cho quản lý rủi ro hoạt động; (iv) Phân định trách

nhiệm và thống nhất khung quản trị RRHĐ và khung quản trị rủi ro trongtoàn bộ ngân hàng

1.2.3.2 Cơ cấu tổ chức quản trị RRHĐ

Thiết lập cơ cấu tổ chức quản trị RRHĐ là một bước quan trọng nền tảng trong quá trình quản trị RRHĐ Nó cho thấy vấn đề tổ chức,quản lí, chức năng nhiệm vụ của từng bộ phận như thế nào? NHTM cầnthành lập, hoàn thiện ủy ban quản lý rủi ro riêng biệt, trong đó RRHĐ làmột bộ phận Bộ máy giám sát rủi ro của ngân hàng cần hoạt động độclập, không tham gia vào quá trình tạo rủi ro, có chức năng quản lý, giámsát rủi ro Sau đây là ví dụ minh họa về cơ cấu quản trị RRHĐ trong ủyban quản lý rủi ro

-Hình 1.4: Cấu trúc quản trị rủi ro hoạt động

LĨNH VỰC 2

BỘ PHẬN QUẢN TRỊ

RỦI RO BAN LÃNH ĐẠO

Pháp lý Nhân sự Hành chính

CÁC PHÒNG CHỨC

NĂNG CÁC PHÒNG CHỨC NĂNG

Nguồn: KPMG International 2007

Bộ phận quản trị RRHĐ cần xác định vai trò, chức năng và trách nhiệm,quyền hạn của các mình trong tổng thể bộ máy cơ cấu tổ chức; đưa ra cácyêu cầu về thực hành quản lý rủi ro phổ biến rộng rãi trong toàn hệ thống

và nhất quán việc quản trị RRHĐ

1.2.3.3 Cơ sở dữ liệu về các thiệt hại

Để thực hiện được quản trị thì cơ sở dữ liệu về thiệt hại là vô cùngquan trọng Hệ thống thu thập các thông tin về RRHĐ là cơ bản cần thiếtcho việc phát triển phương pháp định lượng Cơ sở dữ liệu cũng được sửdụng để đánh giá rủi ro định lượng và định tính cũng như hệ thống cảnhbáo rủi ro Cơ sở dữ liệu là yếu tố quan trọng để xác định nguyên nhânRRHĐ để tìm ra phương pháp đo lường quản trị rủi ro và xem xét lại tínhhiệu quả của các biên pháp đã sử dụng trước đó

Những thông tin cốt lõi cung cấp ngân hàng dữ liệu tổn thất baogồm: (i) Tổng số tiền thiệt hại (trước khi được khôi phục), (ii) Trợ cấpbảo hiểm và những khôi phục khác, (iii) Loại rủi ro tương ứng, (iv) Lĩnhvực kinh doanh, nơi xảy ra tổn thất, (v) Ngày, tháng xuất hiện biến cố vàkhám phá sự kiện, (vi) Nguyên nhân của sự kiện

Bộ phận quản trị RRHĐ nên thiết lập một quy trình để thu thập cơ

sở dữ liệu tuy những thiệt hại nghiêm trọng thường ít xảy ra nhưng việcxác định và báo cáo là cần thiết cho việc xác định và tránh các rủi ro tiềm

năng Do đó thu thập dữ liệu nội bộ và những dữ liệu bên ngoài là cầnthiết.

1.2.3.4 Công nghệ thông tin.

Trong công tác quản trị RRHĐ thì công nghệ thông tin là bộ phận

không thể thiếu Phần mềm và các chương trình ứng dụng để thiết lậpmột cấu trúc quản trị, dùng để thu thập và lưu giữ cơ sở dữ liệu

Các cơ sở hạ tầng công nghệ thông tin cần thiết để hỗ trợ quá trình

quản trị RRHĐ có thể từ hình thức đơn giản là nhập dữ liệu các rủi ro đã

thu thập cho đến việc đánh giá rủi ro để tích hợp và chuyên môn hóa cơ

sở dữ liệu và ứng dụng dựa trên Web

Chức năng cơ bản của các phần mềm RRHĐ là: (i) Nhập dữ liệu

phân cấp ( cơ sở dữ liệu thiệt hại, chỉ số rủi ro, trả lời các câu hỏi đánhgiá rủi ro) ; (ii) Đánh giá trong các lĩnh vực kinh doanh ( ví dụ, đánh giá

dữ liệu rủi ro trong quá khứ, tính toán các chỉ số của từng lĩnh vực kinhdoanh cụ thể, xác định tỉ lệ đánh giá rủi ro); (iii) Tập trung hoặc/ và phâncấp quản lý ( sử dụng dữ liệu và dữ liệu thống kê khác)

1.2.3.5 Quá trình quản trị sự kiện RRHĐ

Sau khi xác định được chiến lược quản trị RRHĐ, xây dựng cơcấu tổ chức quản trị RRHĐ và dựa vào cơ sở dữ liệu, hệ thống công nghệthông tin thì bộ phận quản trị RRHĐ sẽ xây dựng hệ thống các chính

sách, phương pháp quản trị RRHĐ để thực hiện quá trình quản trị rủi ro Quá trình quản trị RRHĐ bao gồm các bước sau:

Hình 1.5: Quy trình quản trị rủi ro hoạt động

28

 Xác định RRHĐ

Trong NHTM, tất cả các bộ phận đều có trách nhiệm phải thựchiện xác định rủi ro nhằm phát hiện sớm, kịp thời những dấu hiệu rủi rotrong quá trình tác nghiệp của mình, phân tích xác định mức độ ảnh

hưởng và hậu quả có thể xảy ra Các NHTM nhận diện RRHĐ theo các

nội dung: nhận diện nguy cơ rủi ro, nguyên nhân gây ra rủi ro, đối tượnggây rủi ro, mức độ rủi ro Tùy theo các thức quản lý rủi ro của mình màmỗi ngân hàng có quy định phương thức nhận diện RRHĐ khác nhau.Các ngân hàng có thể nhận diện rủi ro từ các nguyên nhân gây ra rủi ronhư: rủi ro xuất phát từ nhân viên: gian lận và sai sót; rủi ro xuất phát từ

hệ thống: có thể do chưa đủ cơ sở vật chất hay hệ thống đã lỗi thời; rủi roxuất phát từ công nghệ thông tin hay rủi ro xuất phát từ bên ngoài: gianlận bên ngoài, thiên tai, chính trị, trộm cướp…

 Đo lường và đánh giá RRHĐ

Đo lường và đánh giá RRHĐ để xác định mức độ rủi ro ảnh hưởng

của các loại RRHĐ RRHĐ là loại rủi ro rất khó nhận biết vì thế việc đo

lường cũng rất khó khăn Có hai phương pháp đo lường thường được sửdụng đó là phương pháp định tính và phương pháp định lượng.

Phương pháp định tính: Là việc phân tích đánh giá, nhận xét chủquan của mỗi ngân hàng thương mại về mực độ tốt – xấu, lớn – nhỏ; tínhnghiêm trọng của các dấu hiệu rủi ro đã được xác định Phương phápđịnh tính được sử dụng để đo lường các rủi ro liên quan đến mô hình tổchức cán bộ và an toàn nơi làm việc; liên quan đến chính sách và các quytrình nội bộ

Phương pháp đo lường định lượng: Là việc đánh giá bằng số liệu

cụ thể về mức độ rủi ro, tổn thất cụ thể của từng loại dấu hiệu rủi ro đãđược xác định Phương pháp này chủ yếu dựa vào số liệu thống kê củangân hàng và được sử dụng để đo lường RRHĐ liên quan đến các lĩnhvực như hệ thống thông tin; các gian lận nội bộ hoặc bên ngoài

Bộ phận quản lý RRHĐ hay bộ phận kiểm toán nội bộ sẽ tiến hành xem

xét lại và tự đánh giá RRHĐ ít nhất một năm một lần Việc xác địnhkhoảng thời gian thích hợp phụ thuộc vào hồ sơ RRHĐ của tổ chức tàichính, các lĩnh vực kinh doanh và các nhân tố bên ngoài

 Giám sát và báo cáo RRHĐ

Giám sát RRHĐ là rất cần thiết trong quá trình quản trị RRHĐ.

Việc giám sát thường xuyên sẽ cung cấp lợi thế cho việc phát hiện nhanhchóng và sửa chữa các thiếu sót trong các chính sách, quy trình và thủ tụcquản trị RRHĐ Ngoài việc theo dõi các sự kiện mất mát hoạt động, cácngân hàng nên xác định chỉ số phù hợp để cung cấp cảnh báo sớm các rủi

ro gia tăng các thiệt hại tương lai

Các ngân hàng cần theo dõi thường xuyên hồ sơ RRHĐ và cácthiệt hại Các dữ liệu về RRHĐ cần được thường xuyên thông báo choquản lý cấp cao và ban giám đốc Bộ phận quản lý RRHĐ độc lập phảithường xuyên báo cáo theo tiêu chuẩn quy định Báo cáo rủi ro có thể tập

30

trung duy nhất vào RRHĐ hoặc tất cả các loại rủi ro Đối với RRHĐ thìkết quả của việc đánh giá rủi ro định tính và định lượng cần phải đượchợp nhất và được báo cáo trong một khuôn khổ thống nhất

Quy mô, nội dung, thời gian và người tiếp nhận bản báo cáo này

phụ thuộc vào hồ sơ rủi ro cụ thể và chiến lược RRHĐ của ngân hàng.

HĐQT và các bộ phận đưa ra quyết định - như là ủy ban quản lý nên tóm tắt thường xuyên về các sự kiện thua lỗ lớn và các RRHĐ đáng

RRHĐ-kể Nội dung báo cáo gồm các thông tin sau: RRHĐ nghiêm trọng gặpphải; những sự cố và hậu quả rủi ro cùng với những dự tính để khắcphục; sự hiệu quả của những hành động được đề ra; các chi tiết của kếhoạch hình thành chuẩn bị để ghi nhận bất kỳ rủi ro nào khi phát sinh;khu vực áp lực nơi RRHĐ sắp xảy ra và từng bước kiểm soát RRHĐ

 Kiểm soát và giảm thiểu RRHĐ

Quản trị RRHĐ là quá trình giảm thiểu các rủi ro mà ngân hàng

phải đối mặt Ngân hàng có nhiều biện pháp giảm thiểu RRHĐ Ví dụ,tổn thất có thể phát sinh trên tài khoản của các thảm họa tự nhiên có thểdùng bảo hiểm chống lại Thiệt hại có thể phát sinh từ sự gián đoạn kinhdoanh do viễn thông hoặc thất bại điện có thể được giảm thiểu bằng cáchthiết lập sao lưu dự phòng cơ sở Tổn thất do yếu tố nội bộ, như gian lậncủa nhân viên hoặc lỗi sản phẩm, mà có thể khó khăn để xác định và bảođảm chống lại, có thể được giảm nhẹ thông qua kiểm toán các thủ tục nội

bộ mạnh

Như vậy, ngân hàng có thể chấp nhận rủi ro hiện tại, có thể chuyển đổirủi ro cho bên thứ ba ( ví dụ như bảo hiểm rủi ro…) hay ngăn ngừa rủi robằng cách theo dõi chặt chẽ các hoạt động kinh doanh và có thể giảmthiểu rủi ro bằng cách sử dụng các biện pháp quản trị rủi ro khác (như làđào tạo nhân viên, tăng cường hệ thống kiểm soát, đưa ra hệ thống côngnghệ xác định lỗi tự động) Những biện pháp này được bổ sung bởi các

khuôn khổ quản lý liên tục trong hoạt động kinh doanh, nhằm hạn chếthiệt hại và tạo điều kiện nối lại kịp thời hoạt động kinh doanh trongnhững thường hợp nguy cơ thảm họa không thể ngăn chặn được Ngânhàng phải kết hợp tất cả các biện pháp này để giảm thiểu rủi ro.

NH cần phải tăng cường một nền kiểm soát mạnh mẽ, cả hai bangiám đốc và quản lý cấp cao là chịu trách nhiệm thiết lập kiểm soát nội

bộ mạnh văn hóa, trong đó kiểm soát RRHĐ là một phần không thể tách

rời cho phép phản ứng nhanh với điều kiện thay đổi và tránh chi phíkhông cần thiết

1.2.4 Các phương pháp đo lường chi phí vốn quản trị RRHĐ

Các phương pháp đo lường chi phí vốn tối thiểu là cần thiết choquản trị rủi ro hoạt động Tùy theo trình độ phát triển và máy móc thiết bị

mà áp dụng các biện pháp đo lường chi phí vốn cần thiết cho RRHĐ.Basel II đã đề xuất ba phương pháp để ngân hàng có thể tính toán lượngvốn tối thiểu để đo lường chi phí quản trị RRHĐ, bao gồm:

 Phương pháp chỉ số cơ bản (the Basic Indicator Approach - BIA)dựa trên doanh thu hàng năm của tổ chức tài chính

32

 Phương pháp chuẩn hóa (The Standardised Approach - STA) dựatrên doanh thu hàng năm của từng ngành nghề kinh doanh của tổ chứctài chính

 Phương pháp đo lường nội bộ nâng cao (The AdvanceMeasurement Approach - AMA) dựa trên khuôn khổ phát triển đo lườngrủi ro nội bộ của ngân hàng tuân thủ các tiêu chuẩn quy định

Các ngân hàng được khuyến khích dựa trên các phương pháp tiếpcận có sẵn khi phát triển các hệ thống đo lường rủi ro hoạt động phức tạphơn và đưa chúng vào thực tiễn

Một ngân hàng không được phép sử dụng lại phương pháp đơngiản hơn khi ngân hàng đó đã sử dụng phương pháp tân tiến hơn màkhông có sự chấp nhận của giám sát viên Tuy nhiên, nếu người giám sátxác định rằng khi ngân hàng sử dụng phương pháp tân tiến hơn mà khôngđáp ứng đủ điều kiện tiêu chuẩn của phương pháp này thì người giám sát

có thể yêu cầu ngân hàng trở lại phương pháp tiếp cận đơn giản hơn chomột số hoặc tất cả các hoạt động của ngân hàng cho đến khi ngân hàng

đó đáp ứng đủ quy định của người giám sát thì ngân hàng đó sẽ quay trởlại sử dụng phương pháp tân tiến hơn

1.2.4.1 Phương pháp chỉ số cơ bản (BIA) – the Basic Indicator Approach.

Phương pháp chỉ số cơ bản là một cách tiếp cận rất đơn giản Theophương pháp chỉ số cơ bản, để tính toán lượng vốn tối thiểu cần đảm bảođối với RRHĐ, ngân hàng lấy tổng thu nhập bình quân hàng năm củanhững năm có thu nhập dương trong ba năm gần nhất nhân với 0,15 (hệ

số này do Ủy ban Basel qui định, thể hiện tương quan giữa mức vốn tốithiểu chung của toàn hệ thống với mức chỉ số chung của toàn hệ thống).Tổng thu nhập này bằng thu nhập thuần từ tiền lãi cộng với thu nhậpthuần không phải từ tiền lãi, là thu nhập trước khi trích lập dự phòng,

không bao gồm các khoản lỗ/lãi thu được từ kinh doanh chứng khoán,bảo hiểm và các khoản thu nhập bất thường:

KBIA = [ ∑ (GI1…n x α) ] / nTrong đó: KBIA: chi phí vốn cho phương pháp BIA

GI: tổng thu nhập bình quân dương hàng năm trong ba năm

n: số năm có thu nhập dương trong ba năm

α: bằng 0,15 (hệ số này do Ủy ban Basel qui định)

1.2.4.2 Phương pháp chuẩn hóa (STA) - The Standardised Approach.

Phương pháp chuẩn hóa cũng tương tự như phương pháp BIA, tuynhiên, theo phương pháp STA, các hoạt động của ngân hàng được chia ralàm 8 lĩnh vực kinh doanh: tài trợ doanh nghiệp (corporate finance), cáchoạt động mua bán (trading & sales), ngân hàng bán lẻ (retail banking),ngân hàng thương mại (commercial banking), thanh toán(payment &Settlement), đại lý dịch vụ (agency services), quản lý tài sản có (assetmanagement), và môi giới bán lẻ (retail brokerage)

Theo đó, ngân hàng sẽ tính toán lượng vốn tối thiểu cần đảm bảocho từng lĩnh vực kinh doanh bằng cách nhân thu nhập thuần từ lĩnh vựckinh doanh đó với các hệ số tương ứng (beta β) theo qui định của Ủy ban) theo qui định của Ủy banGiám sát ngân hàng thuộc BIS Lượng vốn tối thiểu đối với rủi ro hoạtđộng của toàn ngân hàng sẽ bằng tổng vốn tối thiểu của từng lĩnh vựckinh doanh

Lĩnh vực kinh doanh β) theo qui định của Ủy ban (%)

Hoạt động ngân hàng bán lẻ 12Hoạt động ngân hàng thương mại 15

34

Môi giới bán lẻ 12

Tổng chi phí vốn bằng chi phí vốn kiểm soát rủi ro bình quân 3 năm củamỗi lĩnh vực kinh doanh Trong một năm, lĩnh vực kinh doanh nào có chiphí vốn âm (do tổng thu nhập âm) thì có thể được bù đắp bằng chi phívốn dương của lĩnh vực kinh doanh khác mà không bị giới hạn Tuynhiên, nếu tổng chi phí vốn của tất cả các lĩnh vực kinh doanh trong năm

đó là âm thì tử số năm đó = 0 Tổng chi phí vốn được tính bằng côngthức:

KTSA = { ∑năm 1-3 max [∑(GI1-8 x β) theo qui định của Ủy ban1-8), 0]}/3 Trong đó:

KTSA: tổng chi phí vốn theo phương pháp STA

GI1-8: tổng thu nhập hàng năm của một lĩnh vực kinh doanh

β) theo qui định của Ủy ban1-8: 1 tỉ lệ cố định do Ủy ban lập ra ứng với từng lĩnh vực kinh doanh

1.2.4.3 Phương pháp đo lường nội bộ nâng cao (AMA) - Advanced Measurement Approaches

Theo phương pháp này, mức vốn tối thiểu ngân hàng cần duy trì sẽtương đương với mức rủi ro mà ngân hàng tính toán được bằng hệ thống

đo lường RRHĐ nội bộ của ngân hàng Tuy nhiên, để áp dụng phươngpháp này, một ngân hàng phải đảm bảo các tiêu chuẩn định tính và địnhlượng do Ủy ban đề ra và phải được cơ quan thanh tra giám sát chấpthuận

Theo phương pháp đo lường nội bộ, phí vốn cho các RRHĐ của mộtngân hàng sẽ được xác định bằng cách tiến hành các bước sau:

Bước 1: Các hoạt động của ngân hàng được chia thành các lĩnh vực kinh

doanh, các loại thiệt hại hoạt động được xác định và áp dụng trên từnglĩnh vực kinh doanh Trong mỗi lĩnh vực kinh doanh, người giám sát đưa

ra một chỉ số mức độ thiệt hại EI, thể hiện cho kích thước (hoặc số lượngrủi ro) của RRHĐ trong từng lĩnh vực đó.

Bước 2: Đối với từng lĩnh vực kinh doanh/sự kết hợp các loại tổn thất,

ngoài các chỉ số EI, qua đánh giá của các ngân hàng, dựa trên dữ liệu tổnthất nội bộ của họ, còn đưa ra một tham số đại diện cho xác suất xảy ra

sự kiện có thể gây tổn thất (Probability of loss event - PE) và một tham

số đại diện cho tổn thất của sự kiện nhất định (Loss given event - LGE).Kết quả của EI*PE*LGE được sử dụng để tính tổn thất dự kiến (EL)trong từng lĩnh vực kinh doanh/sự kết hợp các loại tổn thất

Bước 3: Giám sát viên đưa ra một hệ số (gamma) đối với từng lĩnh vực

kinh doanh/sự kết hợp các loại tổn thất, để chuyển các tổn thất dự kiến(EL) thành chi phí vốn, được xác định là thiệt hại tối đa của mỗi thời kìtrong một khoảng tin cậy nhất định Chi phí vốn tổng thể cho một ngânhàng cụ thể là tổng của tất cả các chi phí vốn của từng lĩnh vực kinhdoanh/sự kết hợp các loại tổn thất Điều này có thể được thể hiện bằngcông thức sau đây:

KAMA = Σi Σj [γ (i,j) * EI(i,j) * PE(i,j) * LGE(i,j)]i Σi Σj [γ (i,j) * EI(i,j) * PE(i,j) * LGE(i,j)]j [γ (i,j) * EI(i,j) * PE(i,j) * LGE(i,j)]

(i là lĩnh vực kinh doanh và j là loại rủi ro)

Để tạo thuận lợi cho quá trình xác nhận giám sát, các ngân hàng cung cấpcho giám sát viên của họ các thành phần riêng lẻ của các tính toán EL(tức là EI, PE, LGE) thay vì chỉ cung cấp EL Dựa trên thông tin này,người giám sát tính EL và sau đó điều chỉnh các tổn thất ngoài dự kiếnqua các số hạng γ để đạt được các tiêu chuẩn hợp lí mong muốn (8)

1.2.4.4 Đánh giá chung ba phương pháp:

Nhìn chung chỉ có các ngân hàng nhỏ có danh mục đầu tư tươngđối đơn giản thì sử dụng phương pháp BIA vì dễ thực hiện Ngân hàngnào hoạt động nhiều trong lĩnh vực rủi ro cao (như β) theo qui định của Ủy ban = 18% - tài trợ

36

doanh nghiệp, các hoạt động mua bán, thanh toán) thì sẽ sử dụng phươngpháp BIA thay cho phương pháp STA để giảm lượng chi phí vốn dựphòng.

Các ngân hàng quốc tế là các ngân hàng phải đối mặt với RRHĐ lớn (Ví

dụ, các ngân hàng chuyên doanh) thì nên sử dụng phương pháp hiện đạitinh vi và phương pháp đó phải phù hợp với cơ cấu rủi ro của từng ngânhàng Một ngân hàng sẽ được phép sử dụng phương pháp BIA hoặcphương pháp STA trong một số bộ phận và sử dụng phương pháp AMAcho các bộ phận phức tạp hơn

Tuy nhiên, để được áp dụng các phương pháp đo lường này thì cácngân hàng phải thỏa mãn một số tiêu chuẩn và với mỗi phương pháp thìtiêu chuẩn đặt ra cũng có sự khác nhau

Đối với phương pháp BIA thì các ngân hàng khi sử dụng phương phápnày hầu như không cần một điều kiện gì

Còn để đủ điều kiện áp dụng phương pháp STA hoặc phương pháp AMAthì ngân hàng cần phải đáp ứng các tiêu chuẩn chung sau: Có sự tham giacủa HĐQT và quản lý cấp cao trong việc giám sát hoạt động quản lý rủiro; Có bộ phận quản lý RRHĐ độc lập với các bộ phận chức năng khác

và có hệ thống quản trị RRHĐ trên nguyên lý đúng đắn và được thực thimột cách toàn diện đồng bộ; Ngân hàng phải có đủ nguồn lực cho việc sửdụng phương pháp và có hệ thống theo dõi giám sát các dữ liệu thiệt hại.Tuy nhiên, nếu ngân hàng áp dụng phương pháp AMA, thì phải dựa vàocác dữ liệu nội bộ và các dữ liệu bên ngoài để có thể phân tích rủi ro vàđưa ra các biện pháp giảm nhẹ rủi ro

Dữ liệu tổn thất nội bộ để phát triển và thiết lập một hệ thống đolường RRHĐ đáng tin cậy Dữ liệu tổn thất nội bộ là phù hợp nhất khi nó

có liên quan đến các hoạt động kinh doanh hiện tại của ngân hàng, các

qui trình công nghệ và các thủ tục quản lí rủi ro Khi một ngân hàng lần

đầu chuyển sang AMA, có thể chấp nhận ba năm dữ liệu Dữ liệu tổn thất

nội bộ phải toàn diện, bao gồm tất cả các hoạt động cơ bản và kinh

nghiệm từ các hệ thống phụ và vị trí thích hợp Mặt khác, bên cạnh các

thông tin về tổng số thiệt hại, ngân hàng nên thu thập thông tin về ngày

của sự kiện, các khoản thu hồi lại được, cũng như một số mô tả thông tin

về trình điều khiển hay nguyên nhân tổn thất Mức độ chi tiết của các

thông tin phải phù hợp với độ lớn của tổn thất

Không những thế, hệ thống đo lường RRHĐ của ngân hàng phải sử

dụng dữ liệu bên ngoài có liên quan (dữ liệu công hay dữ liệu tổng hợp

ngành), đặc biệt là khi có lí do để tin rằng ngân hàng đang bị rơi vào

những rủi ro ít xảy ra nhưng rất nghiêm trọng Những dữ liệu bên ngoài

nên bao gồm dữ liệu về số tổn thất thực tế, thông tin về quy mô của hoạt

động kinh doanh nơi mà các sự kiện xảy ra, thông tin về nguyên nhân và

hoàn cảnh của những tổn thất, hoặc các thông tin khác mà có thể giúp đỡ

trong việc đánh giá tổn thất có liên quan cho các ngân hàng khác

Mặt khác, ngân hàng còn phải nghiên cứu các giả định theo ý kiến

chuyên môn kết hợp với các dữ liệu bên ngoài để đánh giá nguy cơ xảy

ra các rủi ro cực kì nghiêm trọng Cách tiếp cận này dựa trên kiến thức

của các nhà quản trị giàu kinh nghiệm và các chuyên gia quản lý rủi ro

xuất phát từ những đánh giá hợp lí về những thiệt hại nghiêm trọng

Do mức độ phức tạp của các phương pháp khác nhau và chi phí

vốn khi sử dụng chúng cũng có mối quan hệ với nhau

Hình 1.6: Mối quan hệ giữa chi phí vốn và mức độ nhạy cảm rủi ro

PP Chuẩn hóa (STA)

PP ĐL nội bộ nâng cao (AMA)

PP ĐL nội bộ nâng cao (AMA)

High Low

NH chủ động

NH bị độngHigh

Low

2.1 Tổng quan về rủi ro hoạt động trên thế giới

Dựa trên số liệu cung cấp bởi 57 ngân hàng lớn của 19 quốc gia trên toàn

thế giới, được cung cấp bởi hiệp hội ORX ( Operational Risk Exchange),

chúng tôi đưa ra một số thống kê về thiệt hại gây bởi RRHĐ: Tính đến

ngày 30/9/2010 đã có tới 193,750 sự kiện rủi ro gây thiệt hại tổng giá trị vào

khoảng 68 tỷ €

Hình 2.1: Số lượng rủi ro hoạt động hàng năm

Nguồn: Báo cáo về rủi ro hoạt động của ORX tháng 6/2010 (10)

Qua biểu đồ trên cho ta thấy, rủi ro hoạt động ngày càng gia tăng quacác năm Đặc biệt trong năm 2008, số lượng RRHĐ tăng đột biến vì ảnhhưởng của cuộc khủng hoảng tài chính và cũng một phần do các ngânhàng ngày càng mở rộng phạm vi hoạt động

Bảng 2.2: Phân phối sự kiện rủi ro theo khu vực giai đoạn 04-08

2004-2008 %Bắc Mĩ 55,445 48.1%Tây Âu 49,498 43.0%Khác 10,297 8.9%Tổng 115,240