Quản lý rủi ro hoạt động tại các ngân hàng thương mại trong thời đại công nghệ số

Quản lý rủi ro hoạt động tại các ngân hàng thương mại trong thời đại công nghệ số... Đôi điều về rủi ro hoạt động và rủi ro công nghệ trong ngân hàng 2.. Bảng 3: Kiểm soát rủi ro hoạt

Quản lý rủi ro hoạt động tại các ngân hàng thương mại trong thời đại công nghệ số

NỘI DUNG TRÌNH BÀY

1 Đôi điều về rủi ro hoạt động và rủi ro

công nghệ trong ngân hàng

2 Qui trình, nguyên tắc quản lý rủi ro

hoạt động trong ngân hàng theo Basel II

3 Thực trạng quản lý rủi ro hoạt động và

rủi ro công nghệ tại các NHTM VN

4 Gợi ý giải pháp

24/11/2016

Hình 1: Rủi ro trong họat động TC-NH

RR tín dụng

RR do không đa dạng hóa DMĐT

RR khoản vay RR người

đi vay

RR người phát hành công cụ nợ

24/11/2016

Rủi ro công nghệ??

Hình 2: RRHĐ - Phân loại theo nguyên nhân

RRHĐ

Con người

- Hành vi của nhân viên

- Cơ quan quản lý cán

bộ không hiệu quả

- Kỹ năng, trình độ,

nhận thức của nhân viên

Qui trình

- Bất cập, chưa hoàn chỉnh, chưa phù hợp

- Cơ cấu tổ chức, chiến lược, mục tiêu không rõ ràng

Hệ thống

- Hệ thống CNTT

- Các hệ thống hỗ trợ/dự phòng;

- Hạ tầng thông tin; bên thứ 3

Khách quan

- Lừa đảo

- Bất khả kháng

- Chính sách thay đổi

24/11/2016

RRHĐ = RR tác nghiệp = RR vận hành = Operational Risk

RRHĐ: phân loại theo sự kiện

1 Gian lận nội bộ: vượt thẩm quyền, ăn trộm, gian lận

2 Gian lận bên ngoài: an ninh hệ thống kém, ăn trộm, gian lận

3 Thông lệ tại nơi làm việc: quan hệ nhân viên, môi trường

làm việc (an toàn, tính đa dạng về văn hóa, phân biệt vv)

4 Thiệt hại về tài sản (thiên tai, địch họa vv)

5 Gián đoạn kinh doanh, hệ thống hư hỏng

6 Liên quan đến khách hàng, sản phẩm và thông lệ kinh

doanh: tiết lộ thông tin, thông lệ kinh doanh không đúng, sản

phẩm khiếm khuyết, họat động tư vấn có vấn đề vv

7 Quản lý quá trình thực hiện: lỗi tác nghiệp giao dịch, hồ sơ

không đầy đủ….vv

24/11/2016

Hình 3: Quan hệ giữa các cấu phần trong RRHĐ

- Thiệt hại về TS

- Ngưng trệ kinh doanh

- Lỗi hệ thống

Ảnh hưởng

- Trách nhiệm pháp lý

- Tổn thất, mất mát TS, con người

- Mất viện trợ, bồi thường

Vấn đề rủi ro công nghệ?

• Xu thế phát triển ngân hàng số tại Việt

Nam

• Rủi ro công nghệ trong tổ chức

• Rủi ro công nghệ trong hoạt động ngân hàng

Hình 4: Tỷ lệ khách hàng của NH sử dụng dịch vụ NH số (mobile/internet banking,%)

Nguồn: Khảo sát của McKinsey 2015

Bảng 1: Cung cấp dịch vụ “NH số”

tại các NHTM VN hiện nay

• Kết quả khảo sát nhanh 43 NHTM cho thấy:

Nguồn: khảo sát của Nhóm nghiên cứu từ websites các NHTM

Rủi ro công nghệ?

• Kết quả khảo sát 568 đơn vị tại 74 quốc gia cho thấy 10 nguy cơ

hàng đầu (khảo sát của ORC Pte Ltd 2016):

1 Tấn công mạng

2 Lỗ hổng dữ liệu

3 Cắt điện thiết bị CNTT không theo kế hoạch

4 Khủng bố

5 Sự cố gây mất an toàn thông tin

6 Gián đoạn cung cấp tiện ích

7 Gián đoạn chuỗi cung ứng

8 Thời tiết bất lợi

9 Thiếu cán bộ có tay nghề

10 An toàn và sức khỏe

Rủi ro công nghệ trong ngân hàng?

• Theo McKinsey & Co., nhiều NHTM cho rằng rủi ro

công nghệ chiếm hơn 50% rủi ro hoạt động chính,

chủ yếu gồm:

- Gián đoạn quá trình kinh doanh chủ yếu được

outsourced cho bên thứ ba

- Xâm phạm dữ liệu khách hàng hoặc nhân viên

- Tấn công mạng

- Đầu tư bảo vệ an ninh mạng chiếm đến 10% chi

phí đầu tư CNTT

- Basel II xác định: 1 trong 7 rủi ro hoạt động cấp 1 là

“gián đoạn kinh doanh và hệ thống hư hỏng” – slide 5

(a) Nhận diện rủi ro (b) Đánh giá, đo lường rủi ro (c) Thiết lập các hạn mức rủi ro (d) Thực hiện giải pháp giảm thiểu rủi ro (e) Giám sát và báo cáo

(f) Tính toán vốn cần thiết để trang trải tổn thất ngoài

dự kiến do RRHĐ gây nên

Theo Basel II, QLRRHĐ bao gồm:

2 Qui trình/nội dung quản lý rủi ro

hoạt động trong ngân hàng

a Nhận biết rủi ro hoạt động

• Theo dõi có hệ thống và lưu trữ thường xuyên, chính xác thông tin về nguyên nhân, mức độ ảnh hưởng, khắc phục

• Dựa trên việc tự đánh giá rủi ro và kiểm soát, báo cáo

KTNB, hồ sơ rủi ro

• Một số dấu hiệu:

– Hành vi trong bối cảnh không bình thường (nghiện

ngập, ma túy, chơi đề, thua lỗ trong KD vv)

– Có hành vi lén lút khi sử dụng máy tính, trao đổi điện thoại, email vv

– Giờ giấc tại cơ quan không ổn định…vv

24/11/2016

b Đo lường rủi ro hoạt động

• Định tính:

– Xếp hạng/đánh giá của kiểm toán nội bộ

– Khuyến cáo của kiểm toán, thanh tra bên ngoài – Thông tin báo chí

– Phân tích cơ sở dữ liệu tổn thất

– Sơ đồ hóa qui trình hoạt động

Bảng 2: Chỉ tiêu đo lường RRHĐ

Gian lận Số lượng gian lận nội bộ

Số lượng gian lận bên ngoài Khiếu nại và tranh

chấp của K/h

Số lượng khiếu nại và tranh chấp

Số lượng khiếu nại vượt quá X ngày

Số vi phạm quá giới hạn

Xử lý giao dịch Khối lượng giao dịch

Số giao dịch quá hạn trong quá trình xử lý CNTT Số lượng và thời gian ngừng hệ thống theo kế họach

Số lượng và thời gian ngừng hệ thống không theo kế họach

Vi phạm qui định Số vi phạm/phạt/cảnh cáo vi phạm qui định của cơ

quan/luật pháp

Nguồn: KPMG International 2007

24/11/2016

17

c Thiết lập hạn mức rủi ro

Thể hiện trong tuyên bố “Khẩu vị rủi ro”

hàng năm của mỗi ngân hang

Thể hiện trong phân cấp ủy quyền, hạn

mức/trạng thái giao dịch, và thẻ tính

điểm/cảnh báo v.v.

C.V Lực/HT QLRR 2016 24/11/2016

Bảng 3: Kiểm soát rủi ro hoạt động

- Kiểm soát nhanh chóng

- Giám sát bảo đảm duy trì kiểm soát

- Quản lý theo các qui trình thông thường

- Cải tiến nếu có thể

- Lập báo cáo rủi ro

5-8

Trung bình

- Có kế họach nhằm giảm bớt rủi ro

- Đánh giá rủi ro và có hành động thích hợp

- Các hành động phải được kiểm soát

- Lập báo cáo rủi ro và theo dõi

- Không họat động cho đến khi hoàn thành đánh giá RR

- Nếu không giảm thiểu được RR đó, phải báo cáo GĐ, người QLRR

- Lập báo cáo sự cố và theo dõi

Nguồn: KPMG International 2007

24/11/2016

f Tính vốn tối thiểu đối với RRHĐ

Basel 2 – Phương pháp tính vốn tối thiểu

Tổng vốn tối thiểu

Phương pháp chuẩn (SA)

Phương pháp nội bộ (IRBA)

Phương pháp tiên tiến (MR)

Phương pháp chuẩn

Phương pháp nội bộ

Phương pháp chỉ số cơ bản

Phương pháp chuẩn

Phương pháp tiên tiến

Nguồn: BIS (2006)

24/11/2016

Thí dụ về tính vốn tối thiểu đối với rủi ro hoạt động theo phương pháp chỉ số cơ bản - BIA

21

 Nguyên tắc 1: HĐQT cần đảm bảo thiết lập văn hóa

 Nguyên tắc 6: BĐH cần đảm bảo nhận biết và đánh

giá RRHĐ trong tất cả các SP-DV, hoạt động, qui trình

và hệ thống chính

C.V Lực/HT QLRR 2016 24/11/2016

22

 Nguyên tắc 7: BĐH đảm bảo có qui trình phê duyệt

đối với tất cả các SP-DV mới, hoạt động, qui trình và

hệ thống mới

 Nguyên tắc 8: BĐH cần giám sát, theo dõi trạng thái,

hoạt động tiềm ẩn rủi ro hoạt động (kênh báo cáo…)

 Nguyên tắc 9: Ngân hàng cần có môi trường kiểm soát

rủi ro chặt chẽ

 Nguyên tắc 10: Ngân hàng cần có kế hoạch hoạt động

liên tục

 Nguyên tắc 11: Ngân hàng cần tiết lộ thông tin đủ để

các bên liên quan đánh giá được phương pháp QLRRHĐ

C.V Lực/HT QLRR 2016 24/11/2016

 Một số NHTM khác có bộ phận kiêm nhiệm (rủi ro thị trường và hoạt động)

như BIDV, Vietinbank v.v;

 Một số NH đã ban hành chính sách QLRRHĐ, chế tài đối với RRHĐ; đã và

đang áp dụng Qui trình ISO và qui trình phòng-chống rửa tiền;

 Một số NH đã ban hành KH hoạt động liên tục (BCP)

 Các NH bắt đầu quan tâm hơn đến rủi ro công nghệ

 Đã có nhiều hội thảo, chương trình đào tạo về vấn đề này

C.V Lực/HT QLRR 2016 24/11/2016

Bất cập, chưa hoàn chỉnh, chồng

chéo

Hệ thống

- Manh mún, một

số lạc hậu, tích hợp kém

- CSDL, thông tin rất hạn chế

Khách quan

- Lừa đảo bên ngoài còn nhiều

- Chưa có dự báo tốt về thay đổi chính sách

24/11/2016

Quản lý rủi ro hoạt động và công

• Chưa hiểu đúng và trúng -> chưa quan tâm thích

đáng

• Chưa có hướng dẫn về QLRR hoạt động và rủi ro công

nghệ từ cơ quan chức năng (ngoại trừ về phòng chống

rửa tiền và 1 số cảnh báo)

• Mỗi NHTM đang làm theo cách khác nhau

• Băn khoăn giữa tiện lợi (bằng ứng dụng CNTT) và an

toàn/bảo mật cho khách hàng

• Chưa tính toán vốn tối thiểu cần có đối với 2 rủi ro này

4 GIẢI PHÁP ĐỐI VỚI QLRRHĐ và CN

 Hoàn thiện mô hình tổ chức, mô tả công việc

 Đủ số lượng cán bộ có trình độ (đào tạo bài bản) và tâm huyết thực sự (có

bộ phận/người chuyên trách tại HSC và chi nhánh)

 Tăng cường ý thức, trách nhiệm cá nhân và tính tuân thủ (“văn hóa

quản lý rủi ro”)

 Xây dựng, cập nhật và khai thác cơ sở dữ liệu về RRHĐ

 Áp dụng mô hình 3 vòng/lớp bảo vệ trong QLRR

 Áp dụng chế tài kết hợp khen thưởng kịp thời

 Tăng cường ứng dụng công nghệ trong thu thập, phổ biến và khai thác thông tin về RRHĐ (cả hệ thống PCRT và cảnh báo giao dịch bất thường)

 Phân bổ vốn đối với RRHĐ

27 C.V Lực/HT QLRR 2016

24/11/2016

28

Văn hóa quản lý rủi ro

với rủi ro trong công việc của mình –

chức vụ càng cao, càng nhiều trách nhiệm

với rủi ro

bản mô tả công việc

rủi ro

coi là 1 lợi thế

cực đối vởi rủi ro và QLRR

Kiểm toán nội bộ cần thảo luận về rủi ro của khối kinh doanh và toàn

NH, cũng như có cùng quan điểm về rủi ro

kinh nghiệm về rủi ro

Lớp bảo

vệ 2

• Bộ phận KTNB độc lập rà soát khung QLRR và kiểm soát nội bộ

Lớp bảo

vệ 3

Quản lý rủi ro công nghệ - 6 nguyên tắc

• Có cách tiếp cận QLRR xuất phát từ kinh

doanh trước tiên

• Gắn kết, quan tâm đến các rủi ro công nghệ

khác nhau (Hình 7)

• Không để lỗ hổng trong 3 vòng tự vệ

• Gắn kết QLRR công nghệ với QLRR toàn NH

• Thay đổi cơ chế động lực đối với các nhà quản

Hình 7: Quan tâm đến các loại rủi ro công

được yêu cầu đối với NH

sai, không đầy đủ

Lĩnh vực CNTT Rủi ro chính

Nguồn: McKinsey & Co (2016)

Kiến nghị đối với NHNN

• Sớm ban hành Thông tư QLRR, trong đó bao gồm

cả RR thị trường, hoạt động và CNTT

• Có thể ban hành 1 qui định/hướng dẫn riêng về

QLRR công nghệ (tham khảo Singapore)

• Nghiên cứu, có áp dụng phù hợp đối với yêu cầu về

tính vốn tối thiểu đổi với RRHĐ, và công nghệ (nếu