2.2. Thực trạng quản trị rủi ro hoạt động tại Ngân hàng TMCP Công Thương VN
2.2.2.3 Kiểm soát RRHĐ
Trước tiên là xác định biện pháp kiểm soát (BPKS)
Tương ứng với mỗi RRHĐ trọng yếu đã nhận diện, đơn vị đầu mối (là đơn vị chính được giao trách nhiệm dự thảo các quy định, quy trình, chính sách về luồng công việc được đánh giá, có thể là bất cứ phòng ban nào tại trụ sở chính) sẽ phối hợp với các đơn vị liên quan (là đơn vị tham gia trong việc thiết kế và thực hiện luồng công việc, có thể là phòng ban tại trụ sở chính và chi nhánh) xác định các BPKS đang được thực hiện/áp dụng và xác định đơn vị thiết kế BPKS (là đơn vị tại trụ sở chính chịu trách nhiệm chính về việc thiết kế các BPKS tại mảng nghiệp vụ phụ trách thực hiện) và đơn vị thực hiện BPKS (là tất cả các đơn vị tại trụ sở chính và chi nhánh tham gia vào quá trình thực hiện BPKS rủi ro tại mảng nghiệp vụ mà mình phụ trách).
Một RRHĐ có thể có 1 hoặc một nhóm BPKS được áp dụng để ngăn chặn/hạn chế/khắc phục khả năng xảy ra và/hoặc ảnh hưởng của RRHĐ. Một BPKS có thể được thiết kế để giảm thiểu/hạn chế cho một hoặc nhiều RRHĐ trọng yếu.
Tiếp theo là đánh giá hiệu quả của một biện pháp kiểm soát rủi ro: dựa trên hai tiêu chí là hiệu quả thiết kế của mỗi BPKS và hiệu quả thực hiện của mỗi BPKS.
Bước 1: Đánh giá hiệu quả thiết kế của BPKS trên các tiêu chí: + BPKS được thiết kế tương ứng với bản chất của RRHĐ;
+ BPKS quy định rõ ràng trách nhiệm của từng vị trí công việc tham gia thực hiện BPKS đồng thời phân tách giữa người thực hiện và người kiểm soát/giám sát.
+ BPKS được văn bản hoá hoặc được thông báo rộng rãi cho các bên có trách nhiệm liên quan;
+ BPKS được thiết kế mang tính ngăn chặn (trước khi xảy ra) sẽ hiệu quả hơn mang tính phát hiện hoặc khắc phục (sau khi RRHĐ đã xảy ra);
+ BPKS được thiết kế với hình thức phù hợp (tự động/bán tự động, thủ công) với tính chất nghiệp vụ và BPKS;
+ BPKS có bằng chứng để có thể kiểm tra lại sau khi thực hiện. Bước 2: Đánh giá hiệu quả thực hiện của BPKS qua các tiêu chí: + BPKS được thực hiện trong thực tế;
+ BPKS được thực hiện như thiết kế;
+ BPKS có khả năng ngăn chặn/giảm thiểu tần suất RRHĐ xảy ra trong thực tế (thông qua các dữ liệu SKRRHĐ)
Bước 3: Tổng hợp đánh giá hiệu quả của BPKS
- Đơn vị thiết kế BPKS kết hợp kết quả đánh giá hiệu quả thiết kế của BPKS với hiệu quả thực hiện của BPKS để đánh giá hiệu quả của BPKS;
- Hiệu quả BPKS được đánh giá theo 6 mức bao gồm: (1) Không có BPKS,
(2) Không hiệu quả, (3) hiệu quả thấp; (4) Hiệu quả trung bình; (5) Hiệu quả cao; (6) Hiệu quả rất cao.
Đơn vị thiết kế BPKS gửi kết quả đánh giá hiệu quả của BPKS cho đơn vị đầu mối tổng hợp.
Sau cùng là đánh giá nhóm BPKSRR:
- Đối với các RRHĐ có từ 2 BPKS trở lên áp dụng, các đơn vị thiết kế BPKS chịu trách nhiệm đánh giá hiệu quả của từng BPKS và gửi kết quả đánh giá cho đơn vị chịu rủi ro (là đơn vị chính chịu trách nhiệm quản lý rủi ro hoạt động tại mảng nghiệp vụ mà mình phụ trách) tổng hợp.
- Đơn vị chịu RRHĐ xác định tỷ trọng kiểm soát rủi ro của từng BPKS trong nhóm theo các tiêu chí sau:
+ BPKS đối với RRHĐ có tính độc lập càng cao (không cần kèm theo các BPKS khác), dễ áp dụng, dễ thực hiện và dễ kiểm tra sẽ có hiệu quả cao hơn;
+ BPKS đối với RRHĐ có tính hiệu quả cao khi đứng độc lập sẽ có tỷ trọng cao hơn;
+ Đảm bảo tổng trọng số của nhóm BPKS là 100%.
- Đơn vị chịu rủi ro gửi kết quả đánh giá cuối cùng cho nhóm BPKS đối với 1 RRHĐ cho đơn vị đầu mối tổng hợp.
Từ đó thiết lập bản đồ rủi ro thể hiện sự thay đổi mức độ rủi ro nội tại sang rủi ro còn lại đối với các RRHĐ trọng yếu thông qua sự dịch chuyển các cấp độ của rủi ro.
Đơn vị đầu mối gửi kết quả đánh giá RRHĐ còn lại cho các đơn vị chịu rủi ro để đề xuất kế hoạch hành động.
Đề xuất kế hoạch hành động thông qua các bước: Bước 1: Xác định kế hoạch hành động
Đơn vị chịu rủi ro xác định kế hoạch hành động phù hợp trên cơ sở xem xét, phân tích các yếu tố liên quan đến RRHĐ còn lại, bao gồm nhưng không giới hạn:
+ Mức độ rủi ro còn lại: Căn cứ theo mức độ rủi ro còn lại, đơn vị chịu rủi ro có thể thiết lập các kế hoạch hành động như sau:
Bảng 2.5: Kế hoạch hành động
Đánh giá rủi ro Kế hoạch hành động
Mức độ thấp hoặc rất thấp Chấp nhận rủi ro để đạt được mục tiêu hoạt động, kinh doanh
Từ mức độ trung bình trở lên
Xây dựng các kế hoạch giảm thiểu rủi ro như: thay đổi/bổ sung các BPKS hiệu quả, giảm thiểu khả năng ảnh hưởng của rủi ro
Chia sẻ/chuyển giao rủi ro như: mua bảo hiểm, thuê đối tác cùng quản lý, thuê đối tác cung cấp dịch vụ,..
Chấp nhận rủi ro với lý do hợp lý Từ chối/tránh rủi ro
+ Nguồn gốc gây ra rủi ro, làm gia tăng tần suất/mức độ ảnh hưởng của rủi ro: Xác định nguồn gốc cốt lõi, chính yếu và các nguồn gốc thứ yếu. Kế hoạch hành động được thiết lập và phân bổ thời gian, nguồn lực theo thứ tự ưu tiên đối với nguồn gốc chính yếu trước rồi đến nguồn gốc thứ yếu.
+ Biện pháp kiểm soát: cải tiến BPKS hiện tại hoặc đưa ra hành động mới để ngăn chặn/giảm thiểu RRHĐ.
+ Số lượng hành động: đưa ra vừa đủ cho mỗi rủi ro đảm bảo cân đối giữa lợi ích – chi phí và cần có sự phân bổ thời gian hợp lý để đảm bảo việc thực hiện các hành động không bị chồng chéo gây khó khăn trong việc thực hiện và theo dõi kế hoạch hành động.
Bước 2: Thực hiện kế hoạch hành động: Đơn vị chịu rủi ro phối hợp với các đơn vị liên quan để thực hiện kế hoạch hành động theo đúng nội dung và tiến độ trong kế hoạch.
Đối với RRHĐ chuyển lương nhiều lần tại Chi nhánh như đã đề cập ở trước. Với nghiệp vụ chuyển lương thì trung tâm thẻ phối hợp với Trung tâm công nghệ thông tin thực hiện qua 2 chốt kiểm soát: GDV thực hiện rà soát chứng từ và kiểm tra sự khớp đúng số tiền và tài khoản và tải file dữ liệu lên hệ thống, chốt kiểm soát thứ 2 là kiểm soát viên cũng thực hiện kiểm tra thông tin của GDV tải trên hệ thống đã khớp đúng với bản giấy có đóng dấu của đơn vị chưa. Biện pháp kiểm soát này Chi nhánh đánh giá ở mức hiệu quả trung bình. Khi có lỗi xảy ra, Chi nhánh đã báo cáo trung tâm thẻ thực hiện phong toả các tài khoản và kiến nghị đưa ra cảnh báo lỗi phù hợp đễ hỗ trợ việc đưa ra phán đoán xử lí tình huống. Ngoài ra Ban lãnh đạo Chi nhánh đã tổ chức triển khai họp chỉ đạo xử lí tình huống khẩn cấp, phân công lãnh đạo, cán bộ có trách nhiệm liên quan bám sát để xử lí. Thực hiện phối hợp với Ban lãnh đạo Công ty chuyển lương qua thẻ nhờ tác động từ phía doanh nghiệp để các cán bộ nhân viên có lương chuyển thừa (đã rút tiền) tự giác ra ngân hàng nộp lại số tiền đã chuyển thừa trong thẻ ATM, mặt khác Ngân hàng phân công cán bộ chủ động liên lạc, xuống nhà gặp gỡ trao đổi trực tiếp với cán bộ nhân viên để thu hồi cũng như đã làm việc, ký biên bản xác nhận số tiền chuyển thừa và đề nghị trích
lương của chủ thẻ từ kỳ tháng 5/2017 trở đi để thu hồi toàn bộ số tiền chuyển thừa còn lại.
2.2.2.4. Giám sát RRHĐ
* Đơn vị đầu mối, liên quan, Chi nhánh:
- Theo dõi, giám sát kế hoạch hành động theo tần suất hàng tháng báo cáo TGĐ/Phó TGĐ phụ trách trực tiếp/giám đốc khối phụ trách hoặc BLĐ chi nhánh và gửi về phòng QLRRHĐ.
- Đánh giá hiệu quả BPKS đối với các rủi ro trọng yếu: Định kỳ 6 tháng/lần đánh giá lại hiệu quả BPKS đối với các RRHĐ còn lại có mức độ trung bình, cao, rất cao về đơn vị đầu mối tổng hợp.
Đối với công việc mới phát sinh hoặc có thay đổi trọng yếu: sau 6 tháng triển khai thực tế các đơn vị đầu mối và đơn vị liên quan đánh giá hiệu quả thực hiện BPKS đối với tất cả các RRHĐ trọng yếu.
- Đơn vị đầu mối tổng hợp kết quả đánh giá hiệu quả BPKS và gửi kết quả cho phòng QLRRHĐ, trường hợp hiệu quả BPKS bị giảm sút, đơn vị đầu mối đề xuất kế hoạch hành động phù hợp, thực hiện kế hoạch hành động và thông báo tiến độ thực hiện cho phòng QLRRHĐ.
* Phòng QLRRHĐ: Giám sát kế hoạch hành động và theo dõi, đôn đốc các đơn vị cập nhật tiến độ thực hiện kế hoạch hành động đã đề xuất.
Đối với rủi ro chuyển lương nhiều lần trên, Phòng Tổng hợp thực hiện giám sát tiến độ thu hồi hàng tuần và báo cáo Ban lãnh đạo. Đồng thời báo cáo về phòng QLRRHĐ để có biện pháp khác hiệu quả hơn. Trong vòng 5 tháng, Chi nhánh đã thực hiện thu toàn bộ những khoản tiền đã chuyển thừa.