NỘI DUNG BASEL III
Nguyên tắc 6:
cả một Giám đốc quản lý rủi ro hoặc cấp tương đương) có đầy đủ thẩm quyền, tầm vóc, sự độc lập, nguồn lực và quyền báo cáo trực tiếp tới Hội đồng quản trị.
Quản lý rủi ro & Kiểm soát nội bộ23
69. Risk management generally encompasses the process of:
identifying key risks to the bank;
assessing these risks and measuring the bank’s exposures to them;
23 Trong khi quản lý rủi ro và kiểm soát nội bộ được thảo luận riêng trong tài liệu này, một số người giám sát hoặc ngân hàng có thể sử dụng "kiểm soát nội bộ" như một chiếc ô hạn để bao gồm quản lý rủi ro, kiểm toán nội bộ, tuân thủ, vv Hai thuật ngữ này trong thực tế liên quan chặt chẽ và hợp ranh giới nằm giữa quản lý rủi ro và kiểm soát nội bộ là ít quan trọng hơn việc đạt được, trong thực tế, các mục tiêu của mỗi.
monitoring the risk exposures and determining the corresponding capital needs (ie capital planning) on an ongoing basis;24
monitoring and assessing decisions to accept particular risks, risk mitigation measures and whether risk decisions are in line with the board-approved risk tolerance/appetite and risk policy; and
reporting to senior management, and the board as appropriate, on all the items noted in this paragraph.
Quản lý rủi ro nhìn chung bao gồm các quy trình: - Xác định các rủi ro chính của ngân hàng;
- Đánh giá những nguy cơ này và đo lường ảnh hưởng của chúng đối với ngân hàng; - Giám sát rủi ro và xác định nhu cầu vốn tương ứng (ví dụ như lập kế hoạch về vốn)
đảm bảo cho sự phát triển liên tục24;
- Theo dõi và đánh giá quyết định chấp nhận các rủi ro cụ thể, biện pháp giảm thiểu rủi ro và việc quyết định dung sai rủi ro/ngưỡng rủi ro chấp nhận và chính sách về rủi ro; và
- Gửi các báo cáo phù hợp tới Ban điều hành, và Hội đồng quản trị về tất cả các luận điểm được lưu ý trong đoạn này.
23 While risk management and internal controls are discussed separately in this document, some supervisors or banks may use “internal controls” as an umbrella term to include risk management, internal audit, compliance, etc. The two terms are in fact closely related and where the boundary lies between risk management and internal controls is less important than achieving, in practice, the objectives of each. 24 While the design and execution of a bank’s capital planning process may primarily be the responsibility of the
chief financial officer (CFO), the treasury function, or other entities within the bank, the risk management function should be able to explain clearly and monitor on an ongoing basis the bank’s capital and liquidity position and strategy.
25 See Framework for Internal Control Systems in Banking Organisations, Basel Committee on Banking Supervision, September 1998, available at www.bis.org/publ/bcbs40.htm.
70. Internal controls are designed, among other things, to ensure that each key risk has a policy, process or other measure, as well as a control to ensure that such policy, process or other measure is being applied and works as intended. As such, internal controls help ensure process integrity, compliance and effectiveness. Internal controls help provide comfort that financial and management information is reliable, timely and complete and that the bank is in compliance with its various obligations, including applicable laws and regulations. 25 In order to avoid actions beyond the authority of the individual or even fraud, internal controls also place reasonable checks on managerial and employee discretion. Even in very small banks, for example, key management decisions should be made by more than one person (“four eyes principle”). Internal control reviews should
24 Trong khi việc thiết kế và thực hiện quá trình vốn của một ngân hàng quy hoạch chủ yếu có thể là trách nhiệm của giám đốc tài chính (CFO), chức năng kho bạc, hoặc chủ thể khác trong ngân hàng, các chức năng quản lý rủi ro có thể giải thích rõ ràng và theo dõi về cơ sở liên tục của ngân hàng vốn và thanh khoản và vị trí chiến lược.
also determine the extent of an institution’s compliance with company policies and procedures, as well as with legal and regulatory policies.
Kiểm soát nội bộ được thiết kế sao cho mỗi rủi ro chủ chốt có một chính sách, một quy trình hoặc biện pháp khác ban hành kèm theo cũng như được kiểm soát để bảo đảm rằng chính sách, quy trình và biện pháp đang được áp dụng và các công việc được thực hiện đúng như dự tính. Như vậy, kiểm soát nội bộ giúp đảm bảo quy trình là đúng đắn, phù hợp và hiệu quả. Kiểm soát nội bộ giúp cung cấp các đảm bảo rằng tài chính, thông tin quản trị là đáng tin cậy, kịp thời, đầy đủ và ngân hàng này tuân thủ cả quy định của công ty và pháp luật25. Để tránh những hành động vượt quá quyền hạn của các cá nhận hoặc các hành vi lừa đảo, kiểm soát nội bộ cũng đặt các cuộc kiểm tra về thẩm quyền của người quản lý và nhân viên. Ngay cả ở các ngân hàng rất nhỏ, ví dụ ở các quyết định quản lý chủ chốt cần được thực hiện thực hiện bởi một Hội đồng (tức là nhiều hơn một người - “nguyên tắc bốn mắt”). Kiểm soát nội bộ cần xác định mức độ tuân thủ của một tổ chức với các chính sách và quy trình cũng như với các quy định của pháp luật.
Chief risk officer or equivalent
71. Large banks and internationally active banks, and others depending on their risk profile and local governance requirements, should have an independent senior executive with distinct responsibility for the risk management function and the institution’s comprehensive risk management framework across the entire organisation. This executive is commonly referred to as the CRO. Since some banks may have an officer who fulfils the function of a CRO but has a different title, reference in this guidance to the CRO is intended to incorporate equivalent positions. Whatever the title, at least in large banks, the role of the CRO should be distinct from other executive functions and business line responsibilities, and there generally should be no “dual hatting” (ie the chief operating officer, CFO, chief auditor or other senior management should not also serve as the CRO).26
26. Where such “dual hatting” does occur (eg in smaller institutions where resource constraints may make overlapping responsibilities necessary), these roles should be compatible --for example, the CRO may also have lead responsibility for a particular risk area-- and should not weaken checks and balances within the bank.
Giám đốc quản trị rủi ro hoặc cấp tương đương
Các ngân hàng lớn; ngân hàng hoạt động quốc tế hay những ngân hàng khác tùy theo mức độ rủi ro của họ và yêu cầu quản trị địa phương, nên có Ban điều hành độc lập với trách nhiệm riêng về quản lý rủi ro và quản lý rủi ro tổng thể trong toàn bộ tổ chức. Bộ phận này thường được biết đến với tên viết tắt CRO (Chief Risk Officers). Trước đây, một số ngân hàng đã có một bộ phận thực hiện chức năng của CRO nhưng dưới các tên gọi khác nhau, tham khảo hướng dẫn này để việc thiết lập CRO được đúng như dự định. Bất kể với tên gọi nào, ít nhất trong các ngân hàng lớn, vai trò của CRO cần được phân biệt với các chức năng điều hành và hoạt động kinh doanh trực tiếp, và nói chung không nên có “kiêm nhiệm” (ví dụ giám đốc điều hành, CFO, giám đốc kiểm toán hoặc cấp quản lý cao cấp khác không nên làm việc như là một CRO)26.
25 Xem Framework cho hệ thống kiểm soát nội bộ Ngân hàng tổ chức, Ủy ban Basel về Giám sát Ngân hàng, tháng 9 năm 1998, có trên www.bis.org/publ/bcbs40.htm.
26 Trường hợp "kiêm nhiệm" đã xảy ra (ví dụ: trong các tổ chức nhỏ hơn, nơi ít các nhân tài có thể khiến việc chồng chéo trách nhiệm), tuy nhiên những vị trí này cần được tách biệt - ví dụ, các CRO
72. Formal reporting lines may vary across banks, but regardless of these reporting lines, the independence of the CRO is paramount. While the CRO may report to the CEO or other senior management, the CRO should also report and have direct access to the board and its risk committee without impediment. Also, the CRO should not have any management or financial responsibility in respect of any operational business lines or revenue-generating functions. Interaction between the CRO and the board should occur regularly and be documented adequately. Non-executive board members should have the right to meet regularly - in the absence of senior management - with the CRO.
Các báo cáo chính thức có thể được lập ở nhiều nơi khác nhau trong ngân hàng, nhưng kể cả khi có những báo cáo này, sự độc lập của CRO là quan trọng nhất. Trong khi CRO có thể báo cáo trực tiếp với Tổng giám đốc hoặc quản lý cấp cao khác, CRO cũng nên được báo cáo trực tiếp với Hội đồng quản trị và Ủy ban rủi ro. Ngoài ra, CRO không nên có bất kỳ hoạt động nào liên quan tới yếu tố quản lý hoặc chịu trách nhiệm về tài chính đối với bất kỳ hoạt động kinh doanh nào hoặc hoạt động mang lại doanh thu. Việc tương tác giữa CRO và Hội đồng quản trị nên là hoạt động thường xuyên và có đầy đủ tài liệu. Thành viên Hội đồng quản trị không điều hành phải có quyền gặp gỡ thường xuyên trong trường hợp không có các quản lý cấp cao trong CRO.
73. The CRO should have sufficient stature, authority and seniority within the organisation. This will typically be reflected in the ability of the CRO to influence decisions that affect the bank’s exposure to risk. Beyond periodic reporting, the CRO should thus have the ability to engage with the board and other senior management on key risk issues and to access such information as the CRO deems necessary to form his or her judgment. Such interactions should not compromise the CRO’s independence.
Các CRO cần phải có đủ tầm cỡ, quyền hạn và thâm niên trong tổ chức. Điều này thường sẽ phản ánh trong khả năng của CRO để ảnh hưởng đến quyết định có ảnh hưởng đến việc tiếp cận với các rủi ro của ngân hàng. Ngoài các báo cáo định kỳ, CRO nên có khả năng tham gia với Hội đồng quản trị. các quản lý cao cấp khác về các rủi ro chính và thông tin mà CRO thấy cần thiết để thực hiện các quyết định của mình. Sự tương tác như vậy không nên có sự thỏa hiệp về tính độc lập của CRO.
74. If the CRO is removed from his or her position for any reason, this should be done with the prior approval of the board and generally should be disclosed publicly. The bank should also discuss the reasons for such removal with its supervisor.
Nếu CRO rời khỏi vị trí của mình vì bất kỳ lý do nào, điều này sẽ được thực hiện với sự chấp thuận trước của Hội đồng quản trị và nói chung nên được công bố công khai. Các ngân hàng cũng nên công bố lý do sự ra đi này.
Scope of responsibilities, stature and independence of the risk management function
75. The risk management function is responsible for identifying, measuring, monitoring, controlling or mitigating, and reporting on risk exposures. This should encompass all risks to the bank, on- and off-balance sheet and at a group-wide, portfolio and business- line level, and should take into account the extent to which risks overlap (eg lines between market and credit risk and between credit and operational risk are increasingly blurred). This should include a reconciliation of the aggregate level of risk in the bank to
cũng có thể có trách nhiệm lớn cho một số nguy cơ đặc biệt - và làm suy yếu tính kiểm tra kiểm soát trong ngân hàng.
the board-established risk tolerance/appetite.
Phạm vi trách nhiệm, vị trí và chức năng xác định, đo lường, giám sát, kiểm soát hoặc khắc phục và báo cáo về rủi ro. Điều này bao gồm tất cả những rủi ro của ngân hàng, trên và ngoài bảng cân đối kế toán và tại một nhóm mở rộng, danh mục đầu tư và lĩnh vực kinh doanh và cần tính tới việc các loại rủi ro chồng chéo đan xen lẫn nhau (ví dụ đường phân ranh giới giữa rủi ro thị trường và rủi ro tín dụng; giữa rủi ro tín dụng và rủi ro hoạt động đang ngày càng mờ đi). Điều này bao gồm việc dung hòa giữa rủi ro tổng hợp trong ngân hàng đối với mức dung sai rủi ro/ngưỡng rủi ro chấp nhận do Hội đồng quản trị ban hành. 76. The risk management function --both firm-wide and within subsidiaries and business
lines-- under the direction of the CRO, should have sufficient stature within the bank such that issues raised by risk managers receive the necessary attention from the board, senior management and business lines. Business decisions by the bank typically are a product of many considerations. By properly positioning and supporting its risk management function, a bank helps ensure that the views of risk managers will be an important part of those considerations.
Bộ phận quản lý rủi ro cho cả công ty mẹ và công ty con và ngành nghề kinh doanh dưới sự chỉ đạo trực tiếp của CRO, cần phải có tầm vóc đủ lớn trong ngân hàng để các nhà quản lý rủi ro nhận được sự quan tâm cần thiết từ Hội đồng quản trị, Ban điều hành và các bộ phận kinh doanh. Các quyết định kinh doanh của ngân hàng thường là sản phẩm được cân nhắc kỹ lưỡng. Bằng cách xác định vị trí, hỗ trợ quản lý rủi ro, ngân hàng sẽ giúp đảm bảo rằng quan điểm của nhà quản trị rủi ro là một phần quan trọng cần được xem xét.
77. While it is not uncommon for risk managers to work closely with individual business units and, in some cases, to have dual reporting lines, the risk management function should be sufficiently independent of the business units whose activities and exposures it reviews.
While such independence is an essential component of an effective risk management function, it is also important that risk managers are not so isolated from business lines - geographically or otherwise - that they cannot understand the business or access necessary information. Moreover, the risk management function should have access to all business lines that have the potential to generate material risk to the bank. Regardless of any responsibilities that the risk management function may have to business lines and senior management, its ultimate responsibility should be to the board.
Không phải là phổ biến khi các nhà quản lý rủi ro liên hệ chặt chẽ với các bộ phận kinh doanh và trong một số trường hợp, để có những báo cáo, bộ phận quản lý rủi ro phải độc lập đối với các đơn vị kinh doanh và có thể tiếp xúc và đánh giá các đơn vị này.
Trong khi độc lập là một yếu tố cần thiết của việc quản lý rủi ro hiệu quả thì đồng thời cũng không nên cô lập nó với các hoạt động kinh doanh bằng yếu tố địa lý hoặc bằng các cách khác – vì họ sẽ không thể hiểu được hoạt động kinh doanh hoặc truy cập được tới các thông tin cần thiết. Hơn nữa, bộ phận quản lý rủi ro cần được quyền truy cập vào tất cả các ngành nghề kinh doanh có nguy cơ tạo ra rủi ro về vật chất cho ngân hàng. Bộ phận quản lý rủi ro có thể nằm trong bộ phận kinh doanh hoặc điều hành nhưng trách nhiệm cuối cùng sẽ là của Hội đồng quản trị.
Resources
78. A bank should ensure through its planning and budgeting processes that the risk 37
management function has adequate resources (in both number and quality) necessary to assess risk, including personnel, access to information technology systems and systems development resources, and support and access to internal information. These processes should also explicitly address and provide sufficient resources for internal audit and compliance functions. Compensation and other incentives (eg opportunities for promotion) of the CRO and risk management staff should be sufficient to attract and retain qualified personnel.
Nguồn lực
Một ngân hàng phải đảm bảo thông qua kế hoạch kinh doanh và lập ngân sách trong việc quản lý rủi ro phải có đầy đủ nguồn lực (cả số lượng và chất lượng) cần thiết để đánh giá rủi ro, bao gồm cả nhân lực, việc truy cập hệ thống công nghệ thông tin và phát triển nguồn lực, hỗ trợ và truy cập vào các thông tin nội bộ. Những quá trình này nên thể hiện rõ ràng nguồn gốc và cung cấp đầy đủ thông tin cho bộ phận kiểm toán nội bộ và các bộ phận chức năng khác. Cơ chế khen thưởng, kỷ luật (ví dụ cơ hội cho việc thăng tiến) của CRO và nhân viên quản lý rủi ro nên được quan tâm để thu hút và giữ nhân tài.
Qualifications
79. Risk management personnel should possess sufficient experience and qualifications, including market and product knowledge as well as mastery of risk disciplines. 27 Staff