Nhằm có cái nhìn khách quan và toàn diện hơn về công tác quản trị rủi ro hoạt động tại OceanBank, tác giả đà tiến hành khảo sát đối với 200 CBNV tại 21 Chi nhánh/PGD thuộc hệ thống giao dịch của OceanBank. Công tác khảo sát lấy ý kiến của các cán bộ bao gồm cả nhân viên, cấp kiềm soát đang đảm nhiệm các công việc khác nhau (kinh doanh/vận hành/công việc khác) đến cấp các phòng ban tại Chi nhánh và Hội sở, trong đó có 30% cán bộ đã gắn bó lâu năm 5 năm) với OceanBank. số lượng phỏng vấn chỉ có 30% cán bộ gắn bó lâu năm do chủ yếu CBNV tại OceanBank chủ yếu là tuyển mới lượng nhân sự cũ không còn nhiều.
7
Các câu hỏi khảo sát về cơ cấu tố chức quản trị rủi ro Có Không
1. Ngân hàng có phòng ban chuyên trách về QTRR hoạt
động không? 95% 5%
2. Anh chị có biết Phòng rủi ro hoạt động của Ngân hàng
không 58% 42%
3. Anh/chi thấy rủi ro hoạt động có cần thiết có phòng ban
chuyên trách không 98% 2%
Các câu hỏi khảo sát về các chính sách, quy trình, quy
đinh • • •nôỉ bô của OceanBank Có Không
1. OceanBank đà ban hành văn bản quy định về quản trị rủi
ro hoạt động chưa? 40% 60%
2. Anh/chi thấy rủi ro hoạt động có cần thiết có văn bản
quy định cụ thể không 95% 5%
Các câu hỏi khảo sát về mức độ rủi ro và công tác kiểm
soát, báo cáo rủi ro Có Không
1. Mức độ rủi ro hoạt động tại OceanBank là đánh giá là cao?
Cao TBvàthấp
35% 65%
2. Theo anh/chi « OceanBank có rủi về CNTT ở mức đô• nào Cao TBvàthấp
60% 40%
3. Theo anh/chị OceanBank có rủi về con người ở mức độ nào
Cao TBvàthấp
25% 75%
4. Kiểm soát nội bộ của OceanBank hoạt động có hiệu quả
không 95% 5%
5. Phòng RRHĐ của OceanBank hoạt động có hiệu quả không
(chỉ hỏi với những người đã trả lời có ở cân biết có phòng
RRHĐ)
75% 25%
6. Anh/chi • có phải1 • • thưc hiên báo cáo nào về rủi ro hoat•
động không 35% 65%
Các câu hỏi về rủi ro CNTT Có Không
1. Tốc độ giao thực hiện giao dịch (mở STK, phê duyệt
khoản vay, trình appman...) là chậm 35% 65%
2. Tốc độ của mạng, máy tính cá nhân đang sử dụng là
châm• 75% 25%
Như vậy, với kêt quả như trên tác giả đánh giá công tác quản trị rủi ro hoạt động ở OceanBank là chưa thực sự tốt do:
Thứ nhất, số lượng CBNV chưa biết đến có phòng RRHĐ là trên 40% và đa
phân là nhân viên mới điêu này cho thây OceanBank chưa đào tạo nội bộ đây đủ.
Thứ hai, rủi ro hoạt động được CBNV đánh giá ở mức cao chủ yếu do hệ thống máy tính chậm ảnh hưởng tới quá trình thao tác và làm việc.
Thứ ba, bộ phận kiểm soát nội bộ được đánh giá cao trong khi bộ phận rủi ro hoạt động lại chưa được CBNV đánh giá cao.
Với thực trạng như đã trỉnh bày tại mục 3.3.4 và khảo sát trên tác giả đánh giá về công tác quản trị RRHĐ tại OceanBank như sau:
3.4.1. Những kết quả đạt được
Ban Lãnh Đạo của Oceanbank cũng như hầu hết các NHTM Việt Nam hiện nay đã nhận thức được tầm quan trọng của công tác quản trị rùi ro hoạt động trong ngân hàng. Khối quản trị rủi ro và cụ thể là phòng quản lý rủi ro hoạt động của OceanBank đã thực hiện được:
Thứ nhất, có thể khẳng định rằng cách thức tiếp cận cũng như những phương pháp Oceanbank đang sử dụng đế quản trị rủi ro hoạt động là đúng hướng theo thông lệ quốc tế và được NHNN khuyến nghị về quản trị rủi ro.
Thứ hai, OceanBank đã xây dựng được mô hình quản trị rủi ro 3 tuyến phòng vệ. Đây được coi là mô hình quản trị “vàng” được các chuyên gia quốc tế khuyến nghị áp dụng rộng rãi và cũng có rất nhiều NHTM tại Việt Nam áp dựng mô hình này và thành công như VIB, MB,....
Thứ ba, kề từ sau khi Ban Lãnh đạo mới tiếp nhận OceanBank công tác quản trị rủi ro hoạt động mà hệ thống các văn bản, quy định, quy trình nghiệp vụ của OceanBank được hoàn thiện đáng kế thông qua việc rà soát, chỉnh sửa hoặc ban hành mới đồng bộ, kịp thời, rõ ràng, chi tiết cho từng loại nghiệp vụ.
Thứ tư, sai sót của cán bộ nhân viên trong quá trình vận hành đã được hạn chế đáng kể và đặc biệt là không ghi nhận vụ việc nào liên quan đến đạo đức cán bộ
(ngoại trừ vụ án OceanBank Hải Phòng và vụ giá mạo chữ ký khách hàng tại
OceanBank Phú Mỹ Hưng đã thực hiện trước thời điếm 20ỉ5 song phát hiện sau thời điểm 2015).
Thứ năm, trong bôi cảnh khó khăn vê kinh tê và con người Ban lành đạo đã rât linh hoạt cũng như quan tâm đến công tác QTRR, hàng năm Ngân hàng luôn tồ chức đào tạo nhân viên mới để có thể nâng cao trình độ, giảm thiếu rủi ro mặc dù nhiều khóa còn dưới dạng đào tạo trực tuyến chưa truyền đạt hết được nội dung.
Thứ sáu, bản thân OceanBank đã có kinh nghiệm ứng phó với rủi ro thông qua 2 sự • cố lớn là xét xử đại• án liên quan đếnX cực• chù tịch • Hà Văn Thắm và tham ô tại• OceanBank Hải Phòng. Nhờ vào hệ thống quản trị điều hành hiệu quả, Oceanbank nhanh chóng đi quan khủng hoảng và bắt đầu lấy lại niềm tin nơi khách hàng thông qua các chỉ số tài chính khả quan.
Bảy là, OceanBank đã đưa việc tuân thủ quy trình, quy định vào hệ thống đánh giá kế hoạch. Ngân hàng đã xây dựng bộ chỉ tiêu KPIs tuân thủ và được đánh giá hàng quý, đối với những PGD/Chi nhánh có chỉ số tuân thủ thấp sẽ bị trừ tối đa 5% tổng % hoàn thành kế hoạch điều này vừa giúp nâng cao nhận thức, văn hóa về quản trị rủi ro hoạt động vừa đảm bảo hoạt động kinh doanh phát triển an toàn.
3.4.2. Những khó khăn hạn chế còn tồn tại và nguyên nhân
a. Hạn chế còn tồn tại
Bên cạnh nhũng kết quả đạt được, công tác quản trị rủi ro hoạt động tại OceanBank còn một số hạn chế như sau:
Thứ nhất, về việc triển khai công cụ thu thập và quản lý dừ liệu tồn thất rủi ro hoạt động (LDC) chưa được hiệu quả.
OceanBank chưa thu thập được đầy đủ các dữ liệu tồ thất rủi ro hoạt động đã xảy ra qua các năm do các sự kiện phát sinh được xử lý theo sự vụ, nhiều trường hợp không lưu báo cáo theo dõi hoặc không coi đó là rủi ro hoạt động nên không báo cáo.
Một số đơn vị trong ngân hàng chưa thực sự tuân thủ quy định phải thực hiện báo cáo sự kiện tốn thất ngay khi phát hiện mà thường chỉ báo cáo khi có nhắc nhở hoặc báo cáo định kỳ hàng tháng. Ví dụ như các thiệt hại do bão lũ năm 2019 - 2020 tại các tỉnh miền Trung các chi nhánh không báo cáo phòng RRHĐ tại TSC dẫn tới không có số liệu về rủi ro này trên báo cáo, khi tác giả nghiên cứu, tìm hiểu
số liệu • •của tổn thất được lấy từ việc• kiểm tra việc• hạch toán trên • •cân đối trên hệ thống chứ không phải nguồn từ báo cáo rủi ro hoạt động.
Hệ thống của OceanBank chưa hỗ trợ công tác quản lý, khai báo, lưu trừ, báo cáo dừ liệu tồn thất rủi ro hoạt động từ hệ thống, các báo cáo chủ yếu được làm thủ công dẫn tới việc tính đày đủ của báo cáo phụ thuộc vào con người.
Thứ hai, về việc triển khai công cụ tự đánh giá rủi ro hoạt động và các biện pháp kiểm soát (RCSA)
Hiện tại OceanBank chưa có đủ nguồn lực nhân sự tại phòng Quản trị rủi ro hoạt động - TSC để triển khai công cụ tự đánh giá rủi ro hoạt động và biện pháp kiểm soát tới tất cả các mảng nghiệp vụ của ngân hàng.
về đánh giá, rà soát định kỳ: theo thông lệ cũng như quy định nội bộ, việc rà soát, đánh giá rủi ro trong từng quy trình cần được thực hiện hàng năm với tất cả các quy trình, tuy nhiên, hiện nay các đơn vị của OceanBank chưa thực hiện rà soát, đánh giá rủi theo định kỳ 1 năm/lần đối với tất cả các quy trình nghiệp vụ của ngân hàng. Do khối lượng quy trình nghiệp vụ trong ngân hàng là rất lớn, việc rà soát đánh giá từng quy tin cần có lộ trình trển khai cụ thể, phân bổ nguồn lực phù hợp
Thứ ba, về việc triển khai công cụ theo dõi chỉ số rủi ro chính (KRIs)
OceanBank hiện chưa có hệ thống hỗ trợ công tác theo dõi tự động sự biến động của các chỉ số rủi ro chính của ngân hàng.
Các rủi ro trọng yếu được chỉ ra chưa có số liệu, cách thức theo dõi chưa thực sự hiệu quà, các báo cáo chỉ đơn thuần từ đơn vị nghiệp vụ nên phòng RRHĐ không nắm bắt được
Thứ tư, về việc triển khai công tác tính vốn cho rủi ro hoạt động: hiện OceanBank chưa xây dựng công thức cũng như chưa thực hiện tính vốn cho rủi ro hoạt động.
Thứ năm, OceanBank phân bổ nguồn lực chưa hợp lý đối với hoạt động quản trị rủi ro hoạt động, công tác nhận diện và đo lường rủi ro hoạt động chưa được chú trọng. Hoạt động quản trị rủi ro hoạt động đang tập trung ở các khâu kiểm soát, giảm thiểu, giám sát và xử lý song cơ sở hạ tầng cũng chưa đáp ứng được việc kiếm
soát rủi ro.
Thứ sáu, số sự kiện rủi ro hoạt động tuy là không nhiều nhưng các vụ việc đà xảy ra đều có mức độ thiệt hại lớn và khó có khả năng thu hồi.
Thứ bảy, vãn hóa nhận diện rủi ro chưa được thực sự chú trọng và nâng cao
Thứ tám, hệ thống bảo mật chưa được nâng cấp, bảo trì và đầu tư dẫn tới không thể tự động hóa một số báo cáo cũng như chưa hỗ trợ được cho hệ thống thu thập thông tin.
b. Nguyên nhân.
Nhóm yếu tố nội tại Ngân hàng
Thứ nhất, chất lượng và định biên nhân sự:
Đối với nhân sự quản trị rủi ro hoạt động: nhân sự được coi là vấn đề cốt lõi của mọi vấn đề do đó đề vận hành hoạt động tốt đòi hỏi chất lượng và số nhân sự phải được đảm bảo đặc biệt lĩnh vực QTRR lại yêu cầu cao về trình độ cũng như kinh nghiệm. Trong khi đó OceanBank có mức lương thấp hơn thị trường ngành tài chính ngân hàng từ 20-30% tùy vị trí do đó để bảo đảm đủ nhân sự là vô cùng khó khăn. CBNV của OceanBank hiện tại hầu là những cán bộ gắn bó lâu năm hoặc là nhân sự trẻ mới ra trường, hầu như không có nhiều cán bộ có thâm niên từ 2-5 năm. Nhân sự phòng rủi ro hoạt động chỉ gồm 6 CBNV trong đó không có phó phòng, trưởng phòng là PGĐ kiêm nhiên. Đây thực sự là một thách thức khó khăn đối với OceanBank trong việc xây dựng và vận hành hệ thống quản trị rủi ro hoạt động.
Đối với nhân sự tại các đơn vị nghiệp vụ: Như đã nói ở trên tình trạng nghỉ việc, nhảy việc diễn ra thường xuyên ở OceanBank, tỷ lệ nghỉ việc mỗi năm trên 20% cho thấy nhân sự rất bất ổn trong khi công việc ngày càng đòi hởi phức tạp lượng nhân sự mới tuyển đa phần chưa có kinh nghiệm nên tiềm ẩn rủi ro cao đặc biệt là rủi ro tác nghiệp. Đặc biệt từ năm 2019 ghi nhận số lượng nhân sự quản lý cơ sở (trưởng/phó phòng) và nhân sự quản lý cấp trung (phó/giám đốc Khối/Chi nhánh/PGD) nghỉ việc tăng đột biến. Cụ thể, năm 2019, 2020 tỷ lệ cấp giám đốc/phó giám đốc chi nhánh, phòng giao dịch nghỉ việc chiếm ~2% (tăng 0,8%), tỷ lệ trưởng/phó phòng nghiệp vụ nghỉ việc chiếm 3,2% (tăng 1%) so với bình quân các năm từ 2016-2018 (không tính
tới các trường hợp nghi việc năm 20Ỉ5 do biến cố).
Thứ hai, hệ thống Công nghệ thông tin: Mặc dù OceanBank được trang bị hệ thống công nghệ bảo mật và lõi corbanking tương đối hoàn thiện song hệ thống đã được đầu tư từ lâu (năm 2008 - hiện đã hoạt động hơn 12 năm) từ thời điểm chuyến đồi chưa được nâng cấp, trong khi trên thị trường tài chính ngân hàng đa phần các ngân hàng 5 năm thay hệ thống corbanking một lần, có những ngân hàng như
Tpbank, ACB, MB còn chạy song song hai hệ thông corbaking một hệ thông phục vụ riêng giao dịch, một hệ thống phục vụ riêng báo cáo nội bộ. Trang thiết bị bảo mật cũng đã cũ và không được nâng cấp, hiện tại đội ngũ IT phòng hạ tầng thường xuyên phải thêm thủ công các mã độc để ngăn chặn rủi ro, bảo vệ hệ thống do hệ thống. Tuy ràng OceanBank chưa bị tin tặc tấn công song việc hệ thống chậm, cũ, lạc hậu tiềm ẩn rất nhiều rủi ro cho ngân hàng.
Thứ ba, nhận thức về rủi ro hoạt động chưa đầy đủ, đồng đều, chưa hinh thành văn hóa rủi ro: Như kết quả phỏng vấn 200 CBNV tại nhiều vị trí khác nhau đã cho thấy nhận thức về văn hóa rủi ro trong OceanBank là chưa cao do đa phần là cán bộ mới chưa hiểu hệ thống, chưa có kinh nghiệm thực tể.
Thứ tư, công tác dự đoán rủi ro hoạt động còn nhiều hạn chế: Ngân hàng đà đẩy mạnh công tác nhận diện, đo lường và kiểm soát rủi ro tuy nhiên các công cụ chưa hoạt động hiệu quả do thiếu nhân sự và hệ thống. Bên cạnh đó việc phải xử lý rủi ro về danh tiếng liên quan đến cựu chủ tịch Hà Văn Thắm và vụ án phát sinh
thời điểm trước chuyển đổi (OceanBank Hải Phòng làm giả TTK hơn 400 tỷ đồng) khiến ngân hàng không có đủ nhân sự để phát triển công tác dự đoán, phòng ngừa rủi ro.
Thứ năm, chế tài xử lý vi phạm: OceanBank mới chỉ có cơ chế trừ điểm % hoàn thành kế hoạch đối với những đơn vị kinh doanh song lại chưa có chế tài xử lý đối với những đơn vị/cán bộ vi phạm các quy định về báo cáo/cập nhật thông tin sự kiện tổn thất dẫn tới công tác thu thập dữ liệu tổn thất chưa thực sự đầy đủ và triệt để, một số đơn vị tự xử lý tổn thất mà không báo cáo với Phòng quản trị RRHĐ.
Thứ sáu, cơ sở dừ liệu tổn thất rủi ro hoạt động chưa đầy đủ do thiếu nhân sự, công nghệ cũng như chi phí để đầu tư vận hành hệ thống thu thập và lưu trữ thông tin dữ liệu về rủi ro hoạt động.
Nhóm các nguyên nhân từ bên trong ngoài
Thứ bảy, các cơ chế hoạt động kinh doanh của các ngân hành bị kiểm soát đặc biệt: Hiện nay hoạt động của OceanBank đang bị hạn chế trong hoạt động kinh doanh nên gặp nhiều khó khăn trong việc gia tăng tài sản có sinh lời. Đe án tái cơ cấu chưa được các cấp có thẩm quyền phê duyệt dẫn tới không được đầu tư mua
sắm TSCĐ, quỹ lương hạn hẹp dẫn tới không tuyển được nhân sự tốt thậm chí cán
bộ làm khoảng 2 năm có kinh nghiệm thì lại chuyên sang TCTD khác có mức thu nhập hấp dẫn hơn.
Thứ tám, do mục đích cá nhân của khách hàng: Nhiều khách hàng lợi dụng uy tín và quyền JL ự hạn• của minh để thực hiện • • các mục• đích trục• lợi • cá nhân.
Thứ chí, môi trường kinh doanh
Diễn biến phức tạp của nền kinh tế cùng với tốc độ phát triển của công nghệ gây ảnh hưởng nhất định tới hoạt động của các TCTD nói chung và đặc biệt là Oceanbank nói riêng từ đó tiềm ẩn nhiều rủi ro hoạt động (như gian lận nội bộ và gian lận bên ngoài) đặc biệt là từ năm 2019 dịch bệnh kéo dài, các giao dịch được thực hiện trực tuyến tăng đáng kể.
Trong bối cảnh cấc công ty công nghệ phát cũng khiến cho OceanBank không chỉ cạnh tranh các sản phẩm dịch vụ truyền thống với các TCTD khác mà còn phải cạnh tranh với các triển các như ví điện tử Momo, Vietelpay... Việc phải nâng cao