Đây được coi là lỗi xảy ra thường xuyên nhất tại OceanBank cũng như các ngân hàng khác do chù yếu nguyên nhân là do cán bộ chuyên trách nhập sai một/ một số thông tin như: nhập sai lãi suất khoản vay, tất toán nhầm tài khoản vay; hạch toán sai số tiền do thừa/thiếu số; chọn sai sản phẩm vay; thu nợ không gán với tài khoản vay; hạch toán sai đầu tài khoản...
Bảng 3.2 Tong họp lỗi thao tác tại OceanBank từ 2018 -2020
STT Nghỉệp vụ Số lỗi phát sinh
2018 2019 2020
1 Huy động vốn 202 168 156
2 Cấp tín dụng 135 131 94
3 Tài trợ thương mại 6 7 2
4 Thanh toán quốc tế 18 21 10
5 Thanh toán trong nước 122 131 105
6 Các hoạt động dịch vụ khác 81 62 50
7 Quản lý và giám sát TSĐB 100 83 91
8 Quản lý và thu hồi nợ 56 28 37
TÔNG
Các lôi này sau đó thường được bộ phận kiêm soát dữ liệu tại TSC kịp thời phát hiện và điều chỉnh trong khoảng từ 1-2 ngày làm việc, tỷ lệ các lồi sai phát hiện sau 15 ngày chỉ chiếm khoảng 10% và không gây hậu quả về kinh tế tuy nhiên lại khiến các bộ phận thống kê, báo cáo nội bộ phải điều chỉnh số liệu gây mất thời gian.
3.2.5. Rủi ro liên quan đến hệ thống, công nghệ thông tin
Trong những năm gần đây, khi hệ thống thông tin của ngành ngân hàng trở thành mục tiêu của tội phạm mạng internet khiến tình hình tiến công vào các
tổ chức ngân hàng, tài chính ngày càng đa dạng, phức tạp. Bằng việc tiến công vào hệ thống, tội phạm mạng có thế thực hiện được các hành vi chiếm đoạt, lừa đảo thương mại điện tử. Các cuộc tiến công không chỉ để trộm cắp thông tin, tiền mà còn nhằm làm tê liệt hoạt động ngân hàng, tài chính của cả nền kinh tế. Tuy Oceanbank chưa ghi nhận vụ việc tấn công nào song cũng có một số những sự kiện tiềm ẩn rủi ro như:
Thứ nhất, hệ thống FCC ngưng hoạt động, các máy tính nội bộ không thể thao tác trên hệ thống (không thể xuất dữ liệu, không thề hạch toán...) dẫn tới việc giao dịch• với khách hàng o • bị chậm» trễ hoặc• các báo cáo nội bộ• • khôngO' được thực• • hiện• đúng thời hạn.
Thứ hai, không sử dụng được hệ thống ổ chung. Do hệ thống hạ tầng công nghệ của OceanBank không được nâng cấp về dung lượng kể từ sau thời điểm chuyển đổi (2015) dẫn tới hệ thống lưu trữ thông tin dữ liệu 2020 ghi nhận rất nhiều
lượt phản ảnh từ các phòng ban, chi nhánh (~20 lượt/tháng) về việc ổ chung không thể lưu trữ dữ liệu hoặc không thể truy cập được ổ chung. Do đó, trong quá trình tác nghiệp CBNV đã phải lưu thông tin về ổ cứng cá nhân, đây cũng là hành động tiềm ẩn rủi ro khi bàn giao công việc dễ dẫn tới thất lạc tài liệu.
Thứ ba, hệ thống đường truyền không được nâng cấp dẫn đến việc truyền dừ liệu có hiện tượng bị chậm ảnh hưởng tới việc kiểm soát hoạt động của bộ phận như kiểm soát nội bộ, kiểm tra, đánh giá chất lượng dịch vụ nội bộ.
__ r —
3.2.6. Rủi ro liên quan đên dịch bệnh, thiên tai.
Đ VT: triệu đồng
600
513
TÔNG HỢP MÚC THIỆT HẠI DO THIÊN TAI, DỊCH BỆNH TÙ
NĂM 2018-2020
Bão lũ Dich• • bênh Bão lũ Dich• • bênh Bão lũ Di ch bênh• •
2018 2018 2019 2019 2020 2020
Hình 3.2 Chì tiêt thiệt hại do thiên tại, dịch bệnh tại OceanBank từ 2018 -2020
Thiệt hại do thiên tai, dịch bệnh ở OceanBank là không nhiều tuy nhiên lại tăng qua từng năm chủ yếu do một số chi nhánh/PGD khu vực miền Trung chịu ảnh hưởng cúa mưa lũ hàng năm. Đặc biệt, năm 2020 mức thiệt hại tăng mạnh do trong năm các tỉnh như Nghệ An, Hà Tĩnh, Đà Nằng, Quảng Nam chịu ảnh hưởng nặng nề của bão, biển hiệu, logo nhận diện thương hiệu, một số công cụ dụng cụ bị hỏng hóc, hư hại, một số PGD bị gập sâu trong nước đã phải đóng cửa, di chuyến sang
làm việc tại địa điểm dự phòng.
3.2.7. Rủi ro liên quan an toàn lao động và nơi làm việc
Năm 2019 Trụ sở chính Oceanbank đã xảy ra một vụ mất cắp máy tính xách tay của ngân hàng. Cụ thể, kẻ gian đã trà trộn vào nơi làm việc và lấy đi 02 máy tính xách tay. Qua camera an ninh theo dõi kẻ gian đã đi vào qua cửa nơi làm việc mở
sẵn trong khi theo quy định cửa luôn đóng và được mở bằng vân tay/thẻ nhân viên. Như vậy, do không đảm bảo an toàn nơi làm việc Ngân hàng đã để kẻ gian lợi dụng
và lấy đi tài sản là 2 máy tính xách tay.
3.3. Thực • trạng• ơ côngơ tác quản> trị• rủi ro hoạt động tại OceanBank• • ơ •
3.3.1. Cơ sở pháp lý cho công tác quản trị rủi ro hoạt động tại OceanBank
Công tác quản trị RRHĐ tại OceanBank được xây dựng trên cơ sở pháp là là: Thứ nhất là nguyên tắc Quản lý rủi ro hoạt động theo ủy ban giám sất ngân hàng Basel.
Thứ hai là Thông tư số 13/2018/TT-NHNN ngày 18/05/2018 của Ngân hàng Nhà nước quy định về hệ thống kiểm soát nội bộ của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài.
Thứ ba là Thông tư 36/2014/TT-NHNN (TT36) quy định các giới hạn, tỷ lệ bảo đảm an toàn hoạt động cùa tố chức tín dụng, chi nhánh ngân hàng nước ngoài;
Thứ tư là Thông tư 12/2013/TTNHNN, Thông tư 09/2014/TT-NHNN sửa đổi một số nội dung của TT02 và gần đây là Thông tư 41/2016/TT-NHNN ngày 30/12/2016 (TT41) quy định tỷ lệ an toàn vốn đối với ngân hàng, chi nhánh ngân hàng nước ngoài.
Thứ năm là Thông tư 44/2011/TT-NHNN ngày 29/12/2011 quy định hệ thống kiểm soát nội bộ, kiếm toán nội bộ của tố chức tín dụng, chi nhánh ngân hàng nước ngoài; Thông tư 07/2013/TT-NHNN quy định về kiểm soát đặc biệt đối với các tổ chức tín dụng.
3.3.2. Mô hình quản trị rủi ro hoạt động tại OceanBank
Tại Việt Nam, một số ngân hàng đã áp dụng thành công mô hình 3 tuyển phòng thủ và quản trị rủi ro trên quy mô toàn ngân hàng. Với mô hình này, tất cả thành viên trong hệ thống ngân hàng đều phải tham gia vào quá trình quản trị rủi ro, nhằm mục đích nhận diện, đo lường, giám sát rủi ro hoạt động đế kịp thời có các biện pháp, hành động phù hợp ngăn ngừa, kiểm soát cũng như giảm thiểu tối đa rủi ro trong mọi hoạt động của ngân hàng. Đây là một trong những hệ thống quản trị rủi ro được các chuyên gia quốc tế khuyến nghị áp dụng. Hiện nay, công tác quản trị rủi ro của Oceanbank cũng đang hoạt động theo mô hình trên, cụ thể như saư:
Ban Kiềm soát Chù sờ hữu (Ngân hàng Nhà nước)
Hình 3.3: Mô hình quản trị rủi ro tại OceanBank
3.3.2.1. Tuyến phòng thủ thứ nhất: Đơn vị quản lý ngành dọc và Đon vị kinh doanh
a. Đơn vị quản lý ngành dọc (Các Khối/Ban/Trung tâm tại TSC)
Các Khối/Ban/Trung tâm tại Trụ sở chính được giao nhiệm vụ đầu mối thực hiện hoạt động kiểm soát ngành dọc về nghiệp vụ ngân hàng trên toàn hệ thống
OceanBank. Đây là những Đơn vị chịu trách nhiệm chủ động nhận diện, kiểm soát, quản lý các rủi ro hoạt động (RRHĐ) phát sinh trong quá trình tác nghiệp hàng ngày tại Trụ sở chính cũng như tại các Đơn vị kinh doanh của Oceanbank. Trách nhiệm của những Đơn vị quản lý ngành dọc này bao gồm:
Một là, nhận diện, thiết lập Chỉ số rủi ro hoạt động chính (KRI) của mảng nghiệp vụ thuộc thẩm quyền quản lý, đảm bảo các RRHĐ trọng yếu trong các sản phẩm, hoạt động, quy trình, hệ thống phải được xác định, đánh giá, đo lường và kiểm soát.
Hai là, giám sát và kiểm soát KRI của mảng nghiệp vụ thuộc thẩm quyền quản lý trên toàn hệ thống; Hỗ trợ các Đơn vị kinh doanh thực hiện đo lường, đánh giá
KRI, đảm bảo chât lượng và thời gian thực hiện.
Ba là, tổng hợp giá trị KRI cấp Đơn vị kinh doanh, lập báo cáo giá trị KRI của Đơn vị quản lý ngành dọc theo định kỳ hoặc ngay khi giá trị KRI chạm hoặc vượt ngưỡng nguy hiểm được quy định hoặc theo yếu cầu cùa Ban Lãnh Đạo OceanBank.
Bốn là, chủ động đề xuất và phối hợp Phòng Quản trị RRHĐ nghiên cứu để áp dụng cũng như triển khai các phương án hành động nhằm ngăn ngừa, loại bỏ, hạn chế, giảm thiểu rủi ro, tồn thất trong nghiệp vụ phụ trách từ kết quả đo lường, giám
sát KRĨ.
b. Đơn vị kinh doanh (Các CN/PGD)
Đây là các Đơn vị chịu trách nhiệm kinh doanh trực tiếp tại Trụ sở chính và các Chi nhánh, Phòng giao dịch trên toàn hệ thống OceanBank. Vì vậy cũng chính là những Đơn vị đầu tiên phải nhận diện, kiềm soát, ngăn ngừa các RRHĐ hàng ngày khi trực tiếp thực hiện các hoạt động kinh doanh, các Đơn vị kinh doanh có trách nhiệm:
Một là, phối hợp với Phòng ỌTRRHĐ triển khai các cơ chế chính sách, quy trinh đo lường, giám sát, kiểm soát KRI của Đơn vị.
Hai là, tố chức, phân công cán bộ thực thi việc giám sát, đánh giá năng lực quản trị RRHĐ tại Đơn vị thông qua các KRI áp dụng tại Đơn vị kinh doanh, đảm bảo thu thập dữ liệu KRI của Đơn vị chính xác, kịp thời và báo cáo KRI trung thực và đầy đủ theo quy định.
Ba là, báo cáo KRI tại Đơn vị theo định kỳ hoặc ngay khi KRI tại Đơn vị chạm hoặc vượt ngưỡng nguy hiểm được quy định hoặc theo yêu cầu của BLĐ OceanBank;
Bốn là, chủ động đề xuất, phối hợp Đơn vị quản lý ngành dọc và Phòng QTRRHĐ nghiên cứu để áp dụng cũng như triển khai các phương án hành động nhằm ngăn ngừa, loại bỏ, hạn chế, giảm thiếu rủi ro và tốn thất trong nghiệp vụ từ kết quả đo lường, giám sát KRI tại Đơn vị.
53.2.2. Tuyến phòng thủ thứ hai
Ờ tuyến phòng thủ thứ 2 của OceanBank gồm Phòng Quản trị rủi ro hoạt động
thuộc Khôi Quản trị rủi ro và Khôi Tuân thủ
a. Phòng Quản trị rủi ro hoạt động - Khối QTRR
Đây là bộ phân đầu mối (i) Quản lý KRI trong toàn hệ thống và cập nhật cũng như điều chỉnh KRI theo từng thời kỳ hoặc khi cần thiết; (ii) Triến khai đào tạo, hướng dẫn, hỗ trọ các Đơn vị có liên quan thực hiện thiết lập, đo lường, giám sát và báo cáo KRĨ theo quy định, quy trình, hướng dẫn của OceanBank; (iii) Tống hợp các báo cáo sai lỗi, thông tin sự kiện RRHĐ của Ban Kiểm soát nội bộ và Kiểm toán nội bộ để gửi cho các Đơn vị quản lý ngành dọc làm căn cứ thiết lập KRI; (iv) Thiết lập, đo lường, báo cáo các KRI cấp toàn hàng; (v) Giám sát, đánh giá chất
lượng KRI, báo cáo KRI của các Đơn vị, báo cáo kịp thời lên Ban Lãnh đạo về những trường hợp vượt ngường KRĨ theo quy định; không tuân thủ/thực hiện báo cáo KRI sai lệch so với quy định; (vi) Phân tích diễn biến KRI, thiết lập cảnh báo rủi ro, đánh giá KRI trên toàn hàng, tham mưu để trinh BLĐ phương án, biện pháp
xử lý phù hợp.
b. Ban Kiểm soát nội bộ - Khối Tuân thủ
Đây là bộ phân đầu mối (i) Cung cấp báo cáo sai lỗi cho Phòng QTRRHĐ để hỗ trợ công tác nhận diện rủi ro và thiết lập, sử dụng KR1 trong toàn hệ thống; (ii) Phối hợp với Phòng QTRRHĐ triển khai, thực thi văn hóa QTRRHĐ thông qua việc tham chiếu hoặc sử dụng KRI trong công tác kiểm tra kiểm soát.
3.3.2.3. Tuyến phòng thủ thứ ba - Kiểm toán nội bộ
Vì đây là bộ phận trực thuộc Ban kiếm soát và không thuộc Ban điều hành của ngân hàng nên việc đánh giá các rủi ro hoạt động đảm bảo được tính độc lập và khách quan. Nhiệm vụ của Kiểm toán nội bộ bao gồm:
Thứ nhất, thực hiện rà soát, đánh giá độc lập, khách quan về mức độ đầy đủ, tính hiệu lực và hiệu quả của việc triển khai thiết lập và sử dụng KRI, đề xuất giải pháp nhằm nâng cao hiệu quả trên toàn hệ thống khi cần thiết
Thứ hai, cung cấp cho phòng QTRRHĐ thông tin sự kiện RRHĐ để hỗ trợ công tác nhận diện rủi ro và thiết lập, sử dụng KRĨ trong toàn hệ thống.
Thứ ba, phối hợp với Phòng QTRRHĐ triển khai, thực thi văn hóa QTRRHĐ
với việc tham chiêu cũng như sử dụng KRI trong công tác kiêm toán nội bộ.
3.3.2.4. Các bộ phận khác
Hội đồng thành viên là cấp có thẩm quyền cao nhất đồng thời chịu trách nhiệm cuối cùng về chất lượng, hiệu quả quản lý và mức độ rủi ro của OceanBank. HĐTV có trách nhiệm thiết lập văn hóa quản trị rủi ro phù hợp với văn hóa Ngân hàng và chiến lược kinh doanh của OceanBank trong từng thời kỳ; Phê duyệt và ban hành tuyên bố KVRR, chiến lược cụ thể với từng loại rủi ro trọng yếu của Ngân hàng, giám sát sự thống nhất của tuyên bố KVRR với chiến lược kinh doanh ngắn hạn, dài hạn, kế hoạch vốn, khả năng chịu đựng rủi ro cũng như chính sách đánh giá hiệu quả kinh doanh cùa Ngân hàng; Xây dựng, tồ chức thực hiện chính sách QLRR; Chỉ đạo xử lý, khắc phục các tồn tại, hạn chế về QLRR theo các yêu cầu, kiến nghị của Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác.
ủy ban quản lý rủi ro là cơ quan tham mưu, giúp việc cho HĐTV trong việc giám sát, đánh giá các rủi ro trong kinh doanh, đề xuất HĐTV phê duyệt chính sách QLRR, tổ chức QLRR trên toàn hệ thống OceanBank;
Ban điều hành là Cấp phụ trách chỉ đạo xây dựng chính sách QLRR phù hợp với khả năng chịu đựng rủi ro của OceanBank đồng thời tố chức thực hiện chỉ đạo của HĐTV về việc xử lý, khắc phục kịp thời những tồn tại, yếu kém, hạn chế về QLRR theo các yêu cầu, kiến nghị của Ngân hàng Nhà nước, tổ chức kiểm toán độc lập, các cơ quan chức năng khác; Chỉ đạo triền khai các quy trình và phương pháp đo lường, nhận dạng rủi ro theo nội dung tại Quy định này; Chỉ đạo triền khai nhận diện, báo cáo các vi phạm về chiến lược, KVRR đối với các rủi ro trọng yếu; triển khai biện pháp khắc phục, phòng ngừa cần thiết; Chỉ đạo rà soát đánh giá mức độ đầy đủ và hiệu quả của chính sách QLRR.
Hội đồng rủi ro là đơn vị được TGĐ thành lập và là đơn vị tham mưu, giúp việc cho Ban điều hành trong công tác lập quy trình xây dựng và thực hiện chính sách QLRR; Thực hiện chính sách QLRR và đánh giá chính sách QLRR để đề xuất điều chỉnh cho phù hợp với Ngân hàng; Xây dựng hạn mức rủi ro, đề xuất phân bố
hạn mức rủi ro theo từng hoạt động kinh doanh, hoạt động nghiệp vụ; thực hiện các biện pháp xử lý khi vi phạm hạn mức rủi ro; Triến khai KVRR, chiến lược cho từng loại rủi ro trọng yếu; thực hiện các biện pháp xử lý khi vượt quá KVRR.
3.3.3. Nguyên tắc xây dụng chính sách quản lý rủi ro hoạt động tại OceanBank
3.3.3.1. Nguyên tắc xây dựng chính sách quản lý rủi ro hoạt động
Một là, chính sách quản lý rủi ro hoạt động tại OceanBank được lập cho thời gian tối thiều 03 năm nhưng không quá 05 năm tiếp theo, được đánh giá định kỳ tối thiểu mỗi năm một lần và đánh giá đột xuất do OceanBank quy định trong từng thời kỳ để điều chỉnh kịp thời khi có thay đổi về môi trường kinh doanh, pháp lý để đạt được mục tiêu QLRR hoặc các nguyên tắc khác theo quy định của Cơ quan có thấm quyền và OceanBank trong từng thời kỳ.
Hai là, phù hợp lợi ích của chủ sở hữu của OceanBank và tuân thủ theo quy định của pháp luật.
Ba là, phù hợp với mức vốn tự có và mức độ sẵn có cùa các nguồn tăng vốn tự có. Bốn là, có tính kế thừa, liên tục để bảo đảm tính khả thi qua các chu kỳ kinh tế.