K h ả n ă n g x ả y r a
5 Cao Rất cao Rất cao Rất cao Rất cao
4 Trung
bình Cao Rất cao Rất cao Rất cao
3 Thấp Trung
bình Cao Rất cao Rất cao
2 Thấp Thấp Trung bình Cao Rất cao
1 Rất thấp Thấp Thấp Trung
bình Cao
1 2 3 4 5
2.2.3.3 Kiểm soát RRHĐ
Trước tiên là xác định biện pháp kiểm soát (BPKS)
Tương ứng với mỗi RRHĐ trọng yếu đã nhận diện, đơn vị đầu mối (là đơn vị chính được giao trách nhiệm dự thảo các quy định, quy trình, chính sách về luồng cơng việc được đánh giá, có thể là bất cứ phịng ban nào tại trụ sở chính) sẽ phối hợp với các đơn vị liên quan (là đơn vị tham gia trong việc thiết kế và thực hiện luồng cơng việc, có thể là phịng ban tại trụ sở chính và chi nhánh) xác định các BPKS đang được thực hiện/áp dụng và xác định đơn vị thiết kế BPKS (là đơn vị tại trụ sở chính chịu trách nhiệm chính về việc thiết kế các BPKS tại mảng nghiệp vụ phụ trách thực hiện) và đơn vị thực hiện BPKS (là tất cả các đơn vị tại trụ sở chính và chi nhánh tham gia vào quá trình thực hiện BPKS rủi ro tại mảng nghiệp vụ mà mình phụ trách).
Một RRHĐ có thể có 1 hoặc một nhóm BPKS được áp dụng để ngăn chặn/hạn chế/khắc phục khả năng xảy ra và/hoặc ảnh hưởng của RRHĐ. Một BPKS có thể được thiết kế để giảm thiểu/hạn chế cho một hoặc nhiều RRHĐ trọng yếu.
Tiếp theo là đánh giá hiệu quả của một biện pháp kiểm soát rủi ro: dựa trên hai tiêu chí là hiệu quả thiết kế của mỗi BPKS và hiệu quả thực hiện của mỗi BPKS.
Bước 1: Đánh giá hiệu quả thiết kế của BPKS trên các tiêu chí: + BPKS được thiết kế tương ứng với bản chất của RRHĐ;
+ BPKS quy định rõ ràng trách nhiệm của từng vị trí cơng việc tham gia thực hiện BPKS đồng thời phân tách giữa người thực hiện và người kiểm soát/giám sát.
+ BPKS được văn bản hoá hoặc được thơng báo rộng rãi cho các bên có trách nhiệm liên quan;
+ BPKS được thiết kế mang tính ngăn chặn (trước khi xảy ra) sẽ hiệu quả hơn mang tính phát hiện hoặc khắc phục (sau khi RRHĐ đã xảy ra);
+ BPKS được thiết kế với hình thức phù hợp (tự động/bán tự động, thủ công) với tính chất nghiệp vụ và BPKS;
+ BPKS có bằng chứng để có thể kiểm tra lại sau khi thực hiện. Bước 2: Đánh giá hiệu quả thực hiện của BPKS qua các tiêu chí: + BPKS được thực hiện trong thực tế;
+ BPKS được thực hiện như thiết kế;
+ BPKS có khả năng ngăn chặn/giảm thiểu tần suất RRHĐ xảy ra trong thực tế (thông qua các dữ liệu SKRRHĐ)
Bước 3: Tổng hợp đánh giá hiệu quả của BPKS
- Đơn vị thiết kế BPKS kết hợp kết quả đánh giá hiệu quả thiết kế của BPKS với hiệu quả thực hiện của BPKS để đánh giá hiệu quả của BPKS;
- Hiệu quả BPKS được đánh giá theo 6 mức bao gồm: (1) Khơng có BPKS, (2) Khơng hiệu quả, (3) hiệu quả thấp; (4) Hiệu quả trung bình; (5) Hiệu quả cao; (6) Hiệu quả rất cao.
Đơn vị thiết kế BPKS gửi kết quả đánh giá hiệu quả của BPKS cho đơn vị đầu mối tổng hợp.
Sau cùng là đánh giá nhóm BPKSRR:
- Đối với các RRHĐ có từ 2 BPKS trở lên áp dụng, các đơn vị thiết kế BPKS chịu trách nhiệm đánh giá hiệu quả của từng BPKS và gửi kết quả đánh giá cho đơn vị chịu rủi ro (là đơn vị chính chịu trách nhiệm quản lý rủi ro hoạt động tại mảng nghiệp vụ mà mình phụ trách) tổng hợp.
- Đơn vị chịu RRHĐ xác định tỷ trọng kiểm sốt rủi ro của từng BPKS trong nhóm theo các tiêu chí sau:
+ BPKS đối với RRHĐ có tính độc lập càng cao (không cần kèm theo các BPKS khác), dễ áp dụng, dễ thực hiện và dễ kiểm tra sẽ có hiệu quả cao hơn;
+ Đảm bảo tổng trọng số của nhóm BPKS là 100%.
- Đơn vị chịu rủi ro gửi kết quả đánh giá cuối cùng cho nhóm BPKS đối với 1 RRHĐ cho đơn vị đầu mối tổng hợp.
Từ đó thiết lập bản đồ rủi ro thể hiện sự thay đổi mức độ rủi ro nội tại sang rủi ro còn lại đối với các RRHĐ trọng yếu thông qua sự dịch chuyển các cấp độ của rủi ro.
Đơn vị đầu mối gửi kết quả đánh giá RRHĐ còn lại cho các đơn vị chịu rủi ro để đề xuất kế hoạch hành động.
Đề xuất kế hoạch hành động thông qua các bước: Bước 1: Xác định kế hoạch hành động
Đơn vị chịu rủi ro xác định kế hoạch hành động phù hợp trên cơ sở xem xét, phân tích các yếu tố liên quan đến RRHĐ cịn lại, bao gồm nhưng khơng giới hạn:
+ Mức độ rủi ro còn lại: Căn cứ theo mức độ rủi ro còn lại, đơn vị chịu rủi ro có thể thiết lập các kế hoạch hành động như sau: