NỘI DUNG BASEL III
Nguyên tắc 7
tinh vi của quản lý rủi ro ngân hàng và cơ sở hạ tầng cho việc kiểm soát nội bộ nên giữ ổn định trước bất cứ sự thay đổi nào đối với các nguy cơ rủi ro đặc thù trong nội bộ ngân hàng (bao gồm cả sự tăng trưởng) và với các môi trường rủi ro bên ngoài. Phương pháp phân tích rủi ro
Phân tích rủi ro phải bao gồm cả yếu tố định tính và định lượng. trong khi đo lường rủi ro là chức năng chính của hoạt động quản lý rủi ro, tập trung cao về đo lường hoặc các mô hình quản lý rủi ro tại … Bộ phận quản lý rủi ro nên đảm bảo rằng việc đo lường các rủi ro nội bộ bao gồm các kịch bản và dựa trên những giả định không quá lạc quan về kết quả và các biến số đầu vào, cũng như tính tới chất lượng của ngân hàng và các nguy cơ rủi ro tác động từ các yếu tố môi trường bên ngoài. Ban điều hành và Hội đồng quản trị nên xem xét và phê duyệt kịch bản được sử dụng để phân tích rủi ro và phải nhận thức được các giả định và đưa chúng vào trong mô hình quản lý rủi ro của ngân hàng.
81. As banks make use of certain internal and external data to identify and assess risk, make strategic or operational decisions, and determine capital adequacy, the board should give special attention to the quality, completeness and accuracy of the data it relies on to make risk decisions.
Khi các ngân hàng sử dụng các dữ liệu nhất định bên trong và bên ngoài để xác định và đánh giá rủi ro, xây dựng chiến lược hoặc quyết định thực hiện các hoạt động và xác định chiến lược vốn an toàn, Hội đồng quản trị sẽ nên lưu ý đặc biệt tới sự đầy đủ, chất lượng và độ chính xác của dữ liệu – cái mà Hội đồng sử dụng để đưa ra quyết định về mức chấp nhận rủi ro.
82. As part of its quantitative and qualitative analysis, the bank should also utilise forward- looking stress tests and scenario analysis to better understand potential risk exposures under a variety of adverse circumstances.28 These should be key elements of a bank’s risk management process, and the results should be communicated to, and given appropriate consideration by, the relevant business lines and individuals within the bank. A forward-looking approach to risk management should include ongoing monitoring of existing risks as well as identifying new or emerging risks.
28.See Principles for Sound Stress Testing Practices and Supervision, Basel Committee on Banking Supervision, May 2009, available at www.bis.org/publ/bcbs155.htm.
Là một phần của quá trình phân tích định lượng và định tính, ngân hàng nên hướng tới việc sử dụng các cuộc kiểm tra mức độ căng thẳng (Stress Test) và phân tích kịch bản để hiểu 39
rõ hơn về rủi ro tiềm ẩn trong nhiều trường hợp bất lợi28. Là nhân tố chính của quá trình quản lý rủi ro ngân hàng, kết quả kiểm tra này nên được truyền đạt và được xem xét thỏa đáng cho các bộ phận và cá nhân liên quan trong ngân hàng. Một cách tiếp cận để quản lý rủi ro bao gồm giám sát liên tục những rủi ro hiện tại cũng như xác định những rủi ro mới hoặc những rủi ro hiện đang được dư luận chú ý.
83. In addition to these forward-looking tools, banks should also regularly review actual performance after the fact relative to risk estimates (ie backtesting) to assist in gauging the accuracy and effectiveness of the risk management process and making necessary adjustments.
Ngoài những công cụ mang tính định hướng, các ngân hàng cũng nên thường xuyên xem lại năng suất lao động sau khi thực tế liên quan tới việc ước lượng rủi ro (tức là kiểm tra lại) để hỗ trợ việc hiệu chỉnh độ chính xác và hiệu quả của quá trình quản lý rủi ro và thực hiện các điều chỉnh cần thiết.
84. The risk management function should promote the importance of senior management and business line managers in identifying and assessing risks critically, rather than relying excessively on external risk assessments. While external assessments such as external credit ratings or externally purchased risk models can be useful as an input into a more comprehensive assessment of risk, the ultimate responsibility for assessing risk lies solely with the bank. For example, in the case of a purchased credit or market risk model, the bank should take the steps necessary to validate the model and calibrate it to the bank’s individual circumstances to ensure accurate and comprehensive capture and analysis of risk. In any case, banks should avoid over-reliance on any specific risk methodology or model.
28 However, there may be national laws that may exempt subsidiaries from some supervisory requirements on a stand-alone basis if these subsidiaries are well integrated in a group and a number of preconditions are met. The considerations set out in this paragraph apply in circumstances where no such exception is available.
Bộ phận quản lý rủi ro nên thúc đẩy vai trò quan trọng của Ban điều hành và các nhà quản lý bộ phận kinh doanh trong việc xác định và đánh giá các rủi ro nghiêm trọng, hơn là dựa quá nhiều vào các đánh giá rủi ro bên ngoài. Việc xếp hạng tín dụng bên ngoài hoặc các mô hình về quản lý rủi ro có thể là đầu vào hữu ích cho việc đánh giá rủi ro toàn diện, cuối cùng là việc ước lượng rủi ro cho chính ngân hàng. Ví dụ, trong trường hợp sử dụng các mô hình rủi ro thị trường hoặc rủi ro tín dụng mua được từ bên ngoài, ngân hàng cần từng bước hiệu chỉnh mô hình này theo hoàn cảnh thực tế của mình để đảm bảo nắm bắt chính xác và toàn diện rủi ro. Trong mọi trường hợp, ngân hàng cần tránh việc phụ thuộc quá mức vào bất kỳ phương pháp đo lường rủi ro cụ thể hoặc mô hình nào đó.
85. In the case of subsidiary banks, a similar approach is necessary. 29 The board and management of a subsidiary remain responsible for effective risk management processes at the subsidiary. While parent companies should conduct strategic, group- wide risk management and prescribe corporate risk policies, subsidiary management and boards should have appropriate input into their local or regional adoption and to assessments of local risks. If group risk management systems and processes are prescribed, subsidiary management, with subsidiary board oversight, is responsible for assessing and ensuring that those systems and processes are appropriate, given the 28 Xem “Nguyên tắc tiến hành thử nghiệm mức độ căng thẳng - Stress Test trong hoạt động giám sát ngân hàng”, Ủy ban Basel, tháng 5/2009, có trên www.bis.org/publ/bcbs155.htm.
nature of the operations of the subsidiary. Furthermore, adequate stress testing of subsidiary portfolios should occur, based not only on the subsidiaries’ economic and operating environments, but also based on the ramifications of potential stress on the parent company (eg liquidity, credit, reputational risk, etc). In some cases, such evaluations may be accomplished through joint head office and subsidiary teams. Local management and those responsible for the control functions are accountable for prudent risk management at the local level. Parent companies should ensure that adequate tools and authorities are provided to the subsidiary and that the subsidiary understands what reporting obligations it has to the head office.
29 However, there may be national laws that may exempt subsidiaries from some supervisory requirements on a stand- alone basis if these subsidiaries are well integrated in a group and a number of preconditions are met. The considerations set out in this paragraph apply in circumstances where no such exception is available.
Đối với các công ty con của ngân hàng, việc quản lý rủi ro cũng có thể áp dụng tương tự29. Hội đồng quản trị và quản lý công ty con vẫn chịu trách nhiệm cho quá trình quản lý rủi ro hiệu quả tại công ty con. Trong khi đó, công ty mẹ nên xây dựng chiến lược, quản lý rủi ro toàn diện và quy định các chính sách rủi ro của công ty, hội đồng quản trị và ban quản lý công ty con nên có các thông tin tại địa bàn khu vực để đánh giá các rủi ro địa phương. Hệ thống quản lý rủi ro của Tập đoàn và quy định quản lý công ty con cùng với sự giám sát của Hội đồng quản trị công ty con phải đủ để đánh giá và đảm bảo rằng hệ thống và quy trình trên là phù hợp với tính chất hoạt động của công ty con. Hơn nữa, việc thử nghiệm Stress Test đối với danh mục của công ty con không chỉ dựa vào môi trường kinh tế vĩ mô và môi trường hoạt động của nó mà còn dựa trên các Stress Test của công ty mẹ (ví dụ như khả năng thanh khoản, tin dụng, rủi ro danh tiếng,…). Trong một số trường hợp, việc đánh giá đó có thể được thực hiện thông qua trụ sở chính công ty và một nhóm các công ty con. Quản lý tại địa phương chịu trách nhiệm cho việc kiểm soát và quản lý rủi ro ở cấp độ địa phương. Công ty mẹ nên đảm bảo rằng các công cụ và thẩm quyền được trao đầy đủ cho công ty con và công ty con biết được trách nhiệm cúa nó trong việc báo cáo với Hội sở chính.
86. In addition to identifying and measuring risk exposures, the risk management function should evaluate possible ways to manage these exposures. In some cases, the risk management function may direct that risk be reduced or hedged to limit exposure. In other cases, the risk management function may simply report risk positions and monitor these positions to ensure that they remain within the bank’s framework of limits and controls. Either approach may be appropriate provided the independence of the risk management function is not compromised.
Ngoài việc xác định và đo lường rủi ro, bộ phận quản lý rủi ro nên có phương pháp đánh giá rủi ro một cách khả thi. Trong một số trường hợp, bộ phận quản lý rủi ro có thể trực tiếp làm giảm bớt hoặc khắc phục các rủi ro. Trong trường hợp khác, bộ phận quản lý rủi ro chỉ đơn giản là báo cáo các rủi ro và giám sát việc này để đảm bảo rằng chúng vẫn nằm trong khuôn khổ giới hạn kiểm soát của ngân hàng. Dù bằng cách tiếp cận nào thì sự độc lập của bộ phận quản lý rủi ro vẫn phải được đặt ra.
87. The sophistication of the bank’s risk management and internal control infrastructures - 29 Tuy nhiên, luật pháp quốc gia có thể miễn trừ cho các công ty con một số yêu cầu giám sát nếu các thông tin của công ty con đã được tích hợp trong các yêu cầu quản trị của Tập đoàn và một số điều kiện tiên quyết đã được đáp ứng. Các quy định để xem xét tại đoạn này được áp dụng trong trường hợp không có ngoại lệ.
including, in particular, a sufficiently robust information technology infrastructure - should keep pace with developments such as balance sheet and revenue growth, increasing complexity of the bank’s business or operating structure, geographic expansion, mergers and acquisitions, or the introduction of new products or business lines. Strategic business planning, and periodic review of such plans, should take into account the extent to which such developments have occurred and the likelihood that they will continue going forward.
Việc quản lý rủi ro và kiểm soát nội bộ của ngân hàng là hết sức tinh vi bao gồm một cơ sở hạ tầng công nghệ thông tin đủ mạnh phải theo kịp sự phát triển và phản ánh đầy đủ chính xác các khoản mục trên bảng cân đối kế toán, báo cáo tăng trưởng doanh thu và tăng tính phức tạp của việc kinh doanh, các hoạt động, mở rộng địa bàn kinh doanh, hoạt động mua bán và sáp nhập hoặc giới thiệu các sản phẩm mới hoặc bộ phận kinh doanh. Chiến lược kinh doanh và việc xem xét định kỳ kế hoạch có tính tới mức độ phát triển trong quá khứ và các dự tính phát triển trong tương lai.
88. Banks should have approval processes for new products. These should include an assessment of the risks of new products, significant changes to existing products, the introduction of new lines of business and entry into new markets. The risk management function should provide input on risks as a part of such processes. This should include a full and frank assessment of risks under a variety of scenarios, as well as an assessment of potential shortcomings in the ability of the bank’s risk management and internal controls to effectively manage associated risks. In this regard, the bank’s new product approval process should take into account the extent to which the bank’s risk management, legal and regulatory compliance, information technology, business line, and internal control functions have adequate tools and the expertise necessary to manage related risks. If adequate risk management processes are not yet in place, a new product offering should be delayed until such time that systems and risk management are able to accommodate the relevant activity. There should also be a process to assess risk and performance relative to initial projections, and to adapt the risk management treatment accordingly, as the business matures.
Ngân hàng cần có các quy trình quy định về phát triển sản phẩm mới. Trong đó nên bao gồm việc đánh giá rủi ro của sản phẩm mới, những thay đổi đáng kể đối với các sản phẩm hiện tại, bản giới thiệu cho các bộ phận kinh doanh mới và cách thức gia nhập thị trường mới. Thêm nữa, quy trình nên quy định bộ phận quản lý rủi ro cung cấp thông tin về các rủi ro của sản phẩm mới. Điều này sẽ bao gồm một bản đánh giá đầy đủ và trung thực về những rủi ro theo nhiều kịch bản, cũng như việc đánh giá một số hạn chế về khả năng của ngân hàng trong quản lý rủi ro và kiểm soát nội bộ. Về việc này, các sản phẩm mới của ngân hàng cần tính đến khả năng quản lý rủi ro, quy định của pháp luật, công nghệ thông tin, thông tin về ngành kinh doanh và kiểm soát nội bộ có đủ công cụ thích hợp và chuyên môn cần thiết để quản lý các rủi ro này. Nếu quy trình quản lý rủi ro chưa được thiết lập thì việc chào bán sản phẩm mới nên tạm hoãn cho đến khi hệ thống và việc kiểm soát rủi ro có thể thích ứng với hoạt động này. Cũng nên có một quy trình đánh giá rủi ro và hiệu quả so với dự tính ban đầu để điều chỉnh hoạt động quản lý rủi ro cũng như xem xét việc đáo hạn sản phẩm mới.
89. Mergers and acquisitions can pose special risk management challenges to the bank. In particular, risks can arise from conducting insufficient due diligence that fails to identify risks that arise post-merger or activities that conflict with the bank’s strategic objectives 42
or risk tolerance/appetite. The risk management function should therefore be actively involved in assessing risks that could arise from mergers and acquisitions, and should report its findings directly to the board and/or its relevant specialised committee.
Hoạt động mua bán và sáp nhập có thể tạo ra những thách thức đặc biệt cho ngân hàng. Khi đó, rủi ro có thể phát sinh từ việc không nghiên cứu đầy đủ để xác định các rủi ro phát sinh sau khi sáp nhập hoặc các hoạt động xung đột với mục tiêu chiến lược hoặc dung sai rủi ro/ngưỡng chấp nhập rủi ro của ngân hàng. Bộ phận quản lý rủi ro cần phải được tham gia vào việc đánh giá rủi ro có thể phát sinh từ vụ M&A và phải báo cáo kết quả trực tiếp cho Hội đồng quản trị hoặc các Ủy ban chuyên môn có liên quan.
90. While the risk management function plays a vital role in identifying, measuring, monitoring and reporting on risk exposures, other units in the bank also play an important role in managing risk. In addition to business lines, which should be accountable for managing risks arising from their activities, the bank’s treasury and finance functions should promote effective firm-wide risk management not only through supporting financial controls but also through applying robust internal pricing of risk especially at large banks and internationally active banks. A business unit’s internal cost of funds should reflect material risks to the bank arising from its activities. Failure to do so may result in greater investment in high-risk activities than would be the case if internal pricing were risk-adjusted.
Trong khi bộ phận quản lý rủi ro đóng một vai trò quan trọng trong việc xác định, đo lường, giám sát và báo cáo về các rủi ro, các bộ phận khác trong ngân hàng cũng đóng vai trò quan trọng trong quản lý rủi ro. Ngoài ra đối với các bộ phận kinh doanh, bộ phận nguồn vốn và bộ phận tài chính của ngân hàng cần quản lý các rủi ro phát sinh từ hoạt động của họ; bộ phận nguồn vốn và tài chính cần phải thúc đẩy quản lý rủi ro toàn Tập đoàn hiệu quả không chỉ thông qua việc hỗ trợ kiểm soát tài chính mà còn thông qua việc áp dụng mạnh mẽ hoạt
