Tương tự như quy trình quản trị rủi ro tác nghiệp cơ bản, quy trình QTRRTN hiện đang áp dụng tại hệ thống NHCT VN gồm các bước cụ thể sau:
Bước 1: Xác định rủi ro tác nghiệp
Các bộ phận thực hiện xác định RRTN bao gồm: tự đánh giá nguy cơ rủi ro, nguồn gốc của rủi ro, đối tượng gây ra rủi ro, các cấp độ rủi ro và phải mở hồ sơ theo dõi rủi ro.
Các bộ phận thực hiện đánh giá, xác định RRTN theo tiêu chí sau:
- Về cán bộ:
Thực hiện đánh giá cán bộ về các mặt như: lý lịch cơng tác của từng cán bộ (trình độ học vấn, chuyên ngành đã đựơc đào tạo, những cơng việc đã làm,…); kết quả cơng việc được giao tại đơn vị đang cơng tác hiện nay; việc tuân thủ chấp hành các chính sách, quy định, quy trình nghiệp vụ; chấp hành nội quy lao động; thái độ, trách nhiệm với cơng việc được giao, tư cách, đạo đức nghề nghiệp; các phản ánh của khách hàng giao dịch, của các phịng ban liên quan trong việc phối kết hợp cơng tác đối với cán bộ.
Từ kết quả đánh giá trên, lãnh đạo bộ phận sẽ tìm ra các loại rủi ro như: trình độ nghiệp vu , năng lực của cán bộ chưa đáp ứng yêu cầu cơng việc; kinh nghiệm nghề nghiệp cịn thiếu; chưa chấp hành đúng quy định, quy trình nghiệp vụ; chưa chấp hành đúng nội quy lao động ; tư cách đạo đức chưa tốt, chưa cĩ tinh thần trách nhiệm với cơng việc; giao tiếp, ứng xử với khách hàng, đồng nghiệp chưa đúng mực;….
- Về quá trình xử lý cơng việc và cơ chế, văn bản liên quan đến nghiệp vụ của bộ phận
Thực hiện theo dõi, thống kê đầy đủ, thường xuyên các lỗi, sai sĩt phát sinh trong quá trình xử lý cơng việc; định kỳ tổ chức rà sốt lại quy trình tổ chức thực hiện, thao tác xử lý nghiệp vụ từ đĩ phát hiện những khâu nào, việc nào cĩ khả năng dẫn đến rủi ro.
Qua thống kê, rà sốt, xác định được các loại rủi ro như: thực hiện nghiệp vụ khơng được ủy quyền, vượt thẩm quyền; khơng tuân thủ quy định, quy trình nghiệp vụ; kiểm sốt chưa chặt chẽ; bố trí cán bộ chưa hợp lý;…
Thực hiện rà sốt các quy định, quy trình nghiệp vụ hiện hành để phát hiện ra những điểm chưa chặt chẽ, chưa cụ thể, cĩ kẻ hở tạo điều kiện cho kẻ xấu lợi dụng, gây tổn thất cho ngân hàng; những điểm, những điều khoản chưa phù hợp làm cho cán bộ khĩ thực hiện; những nội dung trong các quy định, quy trình, văn bản hướng dẫn, chỉ đạo chưa đúng với cơ chế chính sách chung hiện hành;….
- Về hệ thống hỗ trợ:
Theo dõi hệ thống kỹ thuật cơng nghệ thơng tin (CNTT) ( bao gồm: phần cứng, hệ thống bảo mật, thiết bị mạng, đường truyền, phần mềm nghiệp vụ,…) thống kê, theo dõi đầy đủ các lỗi, sai sĩt làm ảnh hưởng đến hoạt động nghiệp vụ. Theo dõi hệ thống hỗ trợ khác: phát hiện và thống kê cụ thể nội dung các sự việc, các văn bản chỉ đạo hỗ trợ, hướng dẫn chưa kịp thời, chưa hiệu quả hoặc chồng chéo gây khĩ khăn cho việc thực hiện.
- Các yếu tố bên ngồi:
Xem xét, đánh giá để phát hiện các rủi ro cĩ khả năng xảy ra do đối tượng bên ngồi gây nên như lừa đảo, trộm cắp, phá hoại,…; các sự kiện bên ngồi cĩ khả năng gây thiệt hại cho ngân hàng như thiên tai, động đất, bão lũ,…; thống kê chi tiết các sự cố bất ngờ đã xảy ra do khách hàng giao dịch, đối tượng bên ngồi hoặc do các sự kiện bên ngồi.
Bước 2: Đo lường rủi ro tác nghiệp
Trên cơ sở các loại rủi ro đã được xác định, các bộ phận tiến hành đo lường bằng 2 cách: đo lường định tính và đo lường định lượng.
- Đo lường định tính là việc nhận xét, đánh giá về mức độ rủi ro của các loại rủi ro đã được xác định.
+ Cách đo lường: đánh giá mức độ lớn, nhỏ, tốt xấu, tăng, giảm, đạt yêu cầu hay khơng đạt yêu cầu và giải thích khả năng ảnh hưởng đến nhiệm vụ cơng việc được giao, ảnh hưởng đến hoạt động kinh doanh.
+ Phương pháp thực hiện:
Thơng qua các báo cáo trực tiếp của cán bộ hoặc hình thức lấy ý kiến cán bộ qua thảo luận họp bộ phận để rà sốt các cơ chế, quy chế, quy trình nghiệp vụ, các yếu tố bên ngồi và các cơng đoạn thực hiện tác nghiệp của bộ phận cĩ khả năng dẫn đến rủi ro.
Định kỳ hàng tháng (vào ngày 2 của tháng kế tiếp) cán bộ từng bộ phận thực hiện và gửi báo cáo theo dõi RRTN của mình (Biểu mẫu 01 – Xem Phụ lục 03) cho trưởng bộ phận. Các trưởng bộ phận trên cơ sở theo dõi quá trình cơng tác của cán bộ (cũng trên Biểu mẫu 01) và báo cáo RRTN của từng cán bộ để nhận xét, đánh giá cán bộ, ký và lưu giữ . Đồng thời hồn thiện biểu mẫu 01 lưu vào máy, cuối năm in 1 lần.
- Đo lường định lượng là việc đánh giá bằng số liệu cụ thể về mức độ rủi ro, tổn thất của từng loại rủi ro đã được xác định.
+ Cách đo lường:
Đối với các lỗi, sai sĩt trong quá trình xử lý nghiệp vụ và từ hệ thống CNTT, chương trình phần mềm: phải mở sổ theo dõi chi tiế t về các lỗi, sai sĩt theo Biểu mẫu 02 – Phụ lục 04
Đối với các lỗi, sai sĩt do yếu tố bên ngồi phải lập hồ sơ theo dõi theo Biểu mẫu 03 – Phụ lục 05
Đối với các sự cố bất ngờ thì trước hết phải báo cáo với Lãnh đạo bộ phận để cĩ biện pháp giải quyết sơ bộ phù hợp với sự cố, sau đĩ báo cáo với Lãnh đạo đơn vị để tiến hành triệu tập các thành phần liên quan đến sự cố để thành lập Hội đồng xử lý sự cố, xác định tổn thất thực tế (tổn thất bằng tiền, bằng tài sản, tổn thất tiềm năng, uy tín,…), tìm nguyên nhân gây ra sự cố, các biện pháp giải quyết sự cố, hành động để ngăn chặn, giảm thiểu sự cố. Đồng thời, lập ngay báo cáo sự cố bất ngờ (Biểu mẫu 08 – Phụ lục 06) gởi về NHCT VN - Phịng Quản lý rủi ro thị trường và tác nghiệp (QLRRTT & TN), mở sổ theo dõi sự cố bất ngờ theo Biểu mẫu 04 - Phụ lục 06 và lập hồ sơ sự cố để lưu giữ.
Bước 3: Xây dựng, tổ chức thực hiện kế hoạch phịng ngừa và giảm thiểu rủi ro tác nghiệp
- Thu thập, tổng hợp các số liệu, tài liệu, văn bản liên quan đến RRTN trong kỳ báo cáo: Cuối kỳ báo cáo (hàng quý), các bộ phận tiến hành tổng hợp các RRTN do bộ phần tự xác định, đo lường; thu thập các kết luận của kiểm tra, kiểm tốn nội bộ, kết luận của thanh tra NHNN và các cơ quan kiểm tra, kiểm tốn bên ngồi (nếu cĩ) liên quan đến RRTN của bộ phận; tổng hợp kết quả thực hiện các văn bản chỉ đạo về QTRRTN của NHCT VN liên quan đến bộ phận.
- Xây dựng kế hoạch phịng ngừa, giảm thiểu RRTN:
Trên cơ sở các tài liệu, văn bản thu thập được, tiến hành tổng hợp tồn bộ rủi ro phát hiện được trong kỳ và phân tích đánh giá cụ thể mức độ ảnh hưởng của từng rủi ro tới hoạt động của từng bộ phận, từ đĩ xây dựng phương án phịng ngừa, giảm thiểu rủi ro.
Nội dung của phương án, kế hoạch giảm thiểu rủi ro gồm:
+ Xác định rủi ro cĩ thể chấp nhận được (là rủi ro kiểm sốt được và ít cĩ khả năng gây ra tổn thất), rủi ro khơng thể chấp nhận được (là rủi ro khĩ kiểm sốt được và cĩ khả năng gây ra tổn thất).
+ Đối với rủi ro cĩ thể chấp nhận được: đưa ra biện pháp để giảm thiểu rủi ro và khơng để vượt quá giới hạn cĩ thể chấp nhận được.
+ Đối với các rủi ro khơng thể chấp nhận được: đưa ra các biện pháp phịng ngừa, giảm thiểu rủi ro gồm:
• Kế hoạch sửa chữa các lỗi sai sĩt
• Các hành động phịng tránh rủi ro hoặc dừng hoạt động cĩ thể gây ra rủi ro
• Sửa đổi, bổ sung chính sách, quy định, quy trình cho phù hợp
• Tăng cường kiểm tra, kiểm sốt; giám sát chặt chẽ
• Mua bảo hiểm hoặc thực hiện các biện pháp khắc phục để giảm thiểu rủi ro
• Đào tạo hoặc tập huấn nghiệp vụ cho cán bộ
Đối với các sự cố bất ngờ: dựa trên các báo cáo sự cố, phân tích mức độ nghiêm trọng của sự cố đối với hiện tại và tương lai, đề xuất các biện pháp xử lý chủ động hơn, hiệu quả hơn và đề xuất bài học kinh nghiệm cho tồn hệ thống để tránh những sự cố bất ngờ tương tự xảy ra.
- Tổ chức thực hiện kế hoạch phịng ngừa và giảm thiểu RRTN:
Phân cơng cụ thể cơng việc tới từng cán bộ, thời gian thực hiện, thường xuyên đơn đốc cán bộ thực hiện nhiệm vụ được phân cơng theo đúng kế hoạch.
Định kỳ đánh giá tiến độ hồn thành, tính hiệu quả của phương án, giải quyết các khĩ khăn, vướng mắc trong khi thực hiện.
Tổ chức theo dõi một cách cĩ hệ thống việc thực hiện các kết luận của kiểm tra, kiểm tốn nội bộ, thanh tra Ngân hàng Nhà nước (NHNN) và các cơ quan kiểm tra bên ngồi (nếu cĩ).
Tổng hợp kết quả thực hiện phương án giảm thiểu rủi ro và rút ra các bài học kinh nghiệm.
Lập và gửi báo cáo: Bộ phận lập và gửi báo cáo tổng hợp kết quả QTRRTN tại bộ phận theo yêu cầu của lãnh đạo đơn vị.
Bước 4: Giám sát rủi ro tác nghiệp
Lãnh đạo các bộ phận thực hiện giám sát quá trình QTRRTN tại bộ phận mình
Nội dung giám sát:
- Theo dõi sát sao các hoạt động của bộ phận để đảm bảo quá trình QTRRTN phải được thực hiện thường xuyên, liên tục; xác định kịp thời các loại rủi ro, đo lường và theo dõi việc thực hiện đầy đủ các giải pháp phịng ngừa, giảm thiểu RRTN.
- Theo dõi chặt chẽ, đầy đủ các kết luận của kiểm tra, kiểm sốt nội bộ, kiểm tra, kiểm tốn bên ngồi; theo dõi việc sửa chữa các lỗi, sai sĩt, các biện pháp mà kiểm tra, kiểm tốn yêu cầu để đảm bảo các kết luận, kiến nghị của kiểm tra, kiểm tốn phải được thực hiện.
- Theo dõi việc lập và gửi đầy đủ các loại báo cáo về QTRRTN theo quy định.
Bước 5: Kiểm tra, kiểm sốt nội bộ đối với QTRRTN
Từng bộ phận tự thực hiện việc kiểm tra, kiểm sốt cơng tác QTRRTN của bộ phận mình.
Việc kiểm tra, kiểm sốt nội bộ phải được tổ chức thực hiện trong tồn bộ quá trình xác định, đo lường và thực hiện kế hoạch phịng ngừa, giảm thiểu rủi ro của từng bộ phận.
Nội dung kiểm tra kiểm sốt phải đảm bảo:
- Xác định và đo lường được các loại rủi ro của bộ phận.
- Đưa ra các giải pháp tích cực để ngăn ngừa và giảm thiểu rủi ro, tổ chức thực hiện đầy đủ các giải pháp này.
- Đảm bảo thực hiện nghiêm túc các kết luận của kiểm tốn nội bộ: kiểm tra, kiểm tốn bên ngồi
- Lập sổ theo dõi chi tiết kết luận kiểm tra, kiểm sốt, kiểm tốn theo
Biểu mẫu 05 – Phụ lục 07
- Hàng quý, lãnh đạo các bộ phận phải đánh giá về kết quả tự kiểm tra, kiểm tốn nội bộ đối với cơng tác QTRRTN và đề xuất biện pháp xử lý đối với những tồn tại, bất cập (nếu cĩ).
Trên cơ sở quy trình trên, hàng quý, phịng/ tổ QLRR của từng chi nhánh tổng hợp báo cáo gởi về phịng QLRR tại TSC để tổng hợp và phân tích RRTN đối với từng hoạt động nghiệp vụ và hoạt động hỗ trợ nhằm xác định và đo lường RRTN thơng qua số lỗi mắc phải trong mỗi hoạt động nghiệp vụ, so sánh với quý trước, đánh giá mức độ nghiêm trọng, tính phổ biến của các lỗi, nguyên nhân dẫn đến rủi ro,…..
2.2.2 Phân tích thực tế RRTN tại hệ thống NHCT VN trong quý I và quý II/2009
Như trên đã nĩi, quy trình QTRRTN đã được ra quyết định và triển khai thực hiện từ quý II năm 2007, nhưng do quản trị rủi ro tác nghiệp là cơng việc cịn khá mới mẻ, hệ thống NHCT VN lại rộng khắp (gồm hàng trăm chi nhánh xuyên suốt trong cả nước ), do đĩ, việc phổ biến, hướng dẫn thực hiện quy trình đến cán bộ ở các chi nhánh cịn chậm, thêm vào đĩ,
một số chi nhánh tuy đã được tập huấn nhưng chưa nắm vững quy định, quy trình dẫn đến việc cịn lung túng trong phương pháp ghi nhận RRTN tại từng bộ phận và phân tích đánh giá RRTN cho tồn chi nhánh,… Vì thế, trong thời gian đầu, việc thu thập, tổng hợp các số liệu, báo cáo, ý kiến vướng mắc,… rất khĩ khăn và khơng đầy đủ, cho đến khoản cuối quý IV/2008 và đầu quý I/2009, Phịng QLRRTT & TN của NHCT VN tại TSC mới cĩ thể tổng hợp được số liệu tương đối đầy đủ về RRTN trong tồn hệ thống. Đĩ là lý do vì sao đề tài này chỉ tiến hành phân tích thực trạng áp dụng quy trình QTRRTN tại hệ thống NHCT VN trong thời gian quý I và quý II năm 2009. Trước hết, ngân hàng thực hiện bước xác định và đo lường RRTN thơng qua việc phân tích các RRTN tại từng hoạt động nghiệp vụ và hoạt động hỗ trợ (như cơ chế chính sách, quy trình hoạt động, hệ thống cơng nghệ thơng tin, quản lý nhân sự,….) được trình bày ở phần sau đây:
2.2.2.1 Rủi ro phát sinh từ cơ chế chính sách, quy định, quy trình
hoạt động, hệ thống CNTT và hệ thống hỗ trợ
Thơng qua việc tổng hợp ý kiến phản ánh của các chi nhánh về những khĩ khăn, vướng mắc và kiến nghị đề xuất về cơ chế chính sách, hệ thống CNTT đối với từng hoạt động, để nghiên cứu, xem xét, bổ sung, chỉnh sửa cơ chế chính sách cho phù hợp nhằm hạn chế rủi ro đồng thời cĩ văn bản trả lời các chi chánh để giúp các chi nhánh hiểu rõ, hiểu đúng và tuân thủ tốt các cơ chế hiện hành.
Trong quý I/2009, tổng cộng ghi nhận được 87 ý kiến: 28 ý kiến về cơ chế chính sách và 59 ý kiến về hệ thống CNTT; trong đĩ, phần lớn các ý kiến về cơ chế chính sách tập trung vào mảng tín dụng (12 ý kiến), dịch vụ thẻ (4 ý kiến), cịn lại là một số ý kiến về các nghiệp vụ kế tốn, tiền tệ kho quỹ, … ;trong nhĩm ý kiến về hệ thống CNTT thì chủ yếu tập trung vào hệ thống chung (16 ý kiến), hệ thống thẻ (13 ý kiến), module tiền gửi (8 ý
kiến), module cho vay (5 ý kiến) và một số ý kiến về chương trình Citad2
Trong quý II/2009, tổng cộng ghi nhận được 105 ý kiến (tă ng 18 ý kiến so với quý I/2009), trong đĩ, nhĩm ý kiến cơ chế chính sách về hoạt động nghiệp vụ, hoạt động hỗ trợ cĩ 49 ý kiến; 56 ý kiến về hệ thống CNTT. Trong nhĩm ý kiến về cơ chế chính sách, các ý kiến vẫn chủ yếu tập trung vào mảng tín dụng (33 ý kiế n), ngồi ra cịn cĩ một số ý kiến về kế tốn (6 ý kiến), huy động vốn (4 ý kiến) và một số ý kiến về tiền tệ kho quỹ, kinh doanh ngoại tệ,… Về hệ thống CNTT, các ý kiến chủ yếu tập trung vào BDS
, dịch vụ SMS banking,…
3
Quý
(20 ý kiến), module cho vay (14 ý kiến), hệ thống nĩi chung (7 ý kiến), Internet banking (5 ý kiến) và một số ý kiến khác. Ta cĩ bảng sau:
Bảng 3: Tổng hợp ý kiến của các chi nhánh về cơ chế chính sách và hệ thống CNTT trong quý I/2009 và quý II/2009
Tổng hợp ý kiến của các chi nhánh Tổn
g cộn
g
Cơ chế chính sách Hệ thống cơng nghệ thơng tin
Tổn g số Nghiệ p vụ tín dụng Nghiệ p vụ kế tốn Các nghiệ p vụ khác Tổn g số Hệ thốn g chun g BD S Modul e cho vay Hệ thốn g thẻ Các chươn g trình khác Quý I/2009 87 28 12 2 14 59 16 7 5 13 18 Quý II/200 9 105 49 33 6 10 56 7 20 14 2 13
(Nguồn: Cơng văn 4331 và 5962 CV – NHCT7)
Đối với những rủi ro phát sinh từ hoạt động hỗ trợ thì theo số liệu