6. Kết cấu của luận văn
2.2.4 Mô hình quản trị rủi ro hoạt động
57
Sơ đồ 2.4: Mô hình quản trị rủi ro 3 cấp tại MB
MÔ HÌNH QU N TR R I RO 3 CÂPẢ Ị Ủ
MaAM MAMa OUAM oạ
Cap bão vệ thứ nhât Cap bão vệ thứ hai Cap bão vệ thứ ba
Khối QuantriRiiiro
(Nguồn: Tài liệu chiến lược quản trị rủi ro hoạt động tại MB)
Tuyến phòng thủ thứ nhất: Các đơn vị trong Ngân hàng
> Tuyến phòng thủ thứ nhất bao gồm các đơn vị sở hữu rủi ro và chịu trách nhiệm
đầu tiên trong công tác quản trị mọi rủi ro hoạt động phát sinh trong chính hoạt động và quy trình của đơn vị theo khẩu vị rủi ro hoạt động đã được xác định. Nhiệm vụ chính của tuyến phòng thủ này là chủ động nhận diện RRHĐ tiềm ẩn trên tất cả các khía cạnh, tuân thủ chốt kiểm soát, hạn mức RRHĐ đã được cài đặt, thiết lập trong các quy trình, sản phẩm, hệ thống,... trong HĐKD hàng ngày và đề xuất biện pháp kiểm soát, giảm thiểu rủi ro
MB đã ban hành văn bản hướng dẫn một số biện pháp giám sát đối với các giao dịch tại các Đơn vị thuộc tuyến phòng thủ đầu tiên như việc cán bộ trực tiếp thực hiện giao dịch với Khách hàng tại các Đơn vị kinh doanh/Đơn vị dịch vụ Khách hàng khi giám sát giao dịch của Khách hàng cần kiểm tra kĩ lưỡng các thông tin sau:
58
1. Thông tin về Khách hàng: Khách hàng mới hay Khách hàng truyền thống, phân loại mức độ rủi ro của Khách hàng trên cơ sở ngành nghề kinh doanh, quy
mô và
tần suất thực hiện giao dịch - bao gồm cả tần suất thực hiện các giao dịch thanh toán
quốc tế (nếu có), có từng nợ chứng từ (như tờ khai hải quan) và nợ quá hạn hay không;
thái độ của Khách hàng khi thực hiện giao dịch (lo lắng, bồn chồn...)...;
2. Thông tin về giao dịch: loại hình giao dịch (giao dịch xuất/nhập khẩu hàng hóa, giao dịch xuất nhập khẩu dịch vụ, giao dịch chuyến khẩu, tạm nhập tái xuất...),
mặt hàng và giá trị giao dịch (có thể đối chiếu với các mặt hàng cùng chủng loại trên
thị trường), tần suất yêu cầu thực hiện giao dịch tương tự...;
3. Thông tin về đối tác của Khách hàng/Bên cung cấp hàng hóa/dịch vụ (Đối tác mới, đối tác truyền thống, địa chỉ hoạt động, ngành nghề kinh doanh của đối tác...);
4. Các thông tin khác: Người hưởng lợi của giao dịch (trong trường hợp người hưởng lợi không phải là bên bán hàng/bên cung cấp dịch vụ), quốc gia xuất xứ hàng
hóa/dịch vụ...
5. Nguồn tiền thực hiện giao dịch: Nguồn tiền để thực hiện giao dịch là tiền mặt hay được chuyển khoản từ các tài khoản khác; lý do, tần suất, giá trị nộp/chuyển tiền;
Có xác định được sự liên quan của người nộp tiền mặt/ chủ tải khoản chuyển tiền tới
59
Tuyến phòng thủ này sẽ chịu trách nhiệm trong việc thiết lập các chính sách tín dụng, khẩu vị rủi ro, thiết lập hệ thống cảnh báo sớm, xây dựng kế hoạch thu nợ, phân chia cụ thể nhiệm vụ của từng cá nhân tham gia trong từng giai đoạn của quy trình tín dụng, ngay từ giai đoạn khởi tạo khoản vay, thẩm định/phê duyệt, theo dõi và kiểm soát sau vay, cảnh báo sớm, thu nợ, quản trị danh mục...
Tuyến 3: Kiểm toán nội bộ
Khối kiểm toán nội bộ là đơn vị do HĐQT thành lập, trực thuộc và chịu sự quản lý, chỉ đạo trực tiếp của Ban Kiểm Soát. Tuyến phòng thủ thứ ba này có tính độc lập cao, chịu trách nhiệm đánh giá một cách khách quan về cách thức các bộ phận khác thực hiện hoạt động quản trị rủi ro.
- Hoạt động chính của Khối kiểm toán nội bộ là:
+ Thực hiện các hoạt động kiểm toán nội bộ theo quy định;
+ Kiểm tra, rà soát, đánh giá một cách độc lập khách quan về mức độ rủi ro và mức độ ảnh hưởng đến hệ thống đối với tất cả các đơn vị, bộ phận, các hoạt động nghiệp vụ trong toàn bộ ngân hàng. Thông báo và tham mưu kịp thời đến HĐQT và Ban kiểm soát tất cả các vấn đề có thể ảnh hưởng xấu đến hệ thống, đưa ra kiến nghị biện pháp phòng ngừa và giảm thiểu rủi ro.
+ Bên cạnh đó, kiểm toán nội bộ phải phối hợp công tác thanh/kiểm tra của các cơ quan chức năng và đơn vị kiểm toán độc lập khác; cung cấp hồ sơ, tài liệu cần thiết phục vụ các hoạt động này.
2.2.5 Quy trình quản trị rủi ro hoạt động
Hiện nay, các bước của quy trình quản trị RRHĐ chưa được văn bản hóa cụ thể nhưng với cơ chế vận hành xuyên suốt, quy trình có thể được tóm tắt như sau:
60
Sơ đồ 2.5: Quy trình quản trị rủi ro hoạt động
(Nguồn: Tài liệu chiến lược quản trị rủi ro hoạt động tại MB)
2.2.5.1 Nhận diện và xác định rủi ro hoạt động
Nhận dạng là việc xác định RRHĐ tiềm ẩn và/hoặc các rủi ro hiện hữu phát sinh trong Ngân hàng. RRHĐ được nhận dạng (i) đối với mọi sản phẩm, hoạt động, quy trình và hệ thống hiện có và/hoặc dự định xây dựng/triển khai, (2) trong các giai đoạn từ lúc đề xuất ý tưởng phát triển sản phẩm mới đến khi thiết kế và xây dựng sản phẩm kinh doanh/các văn bản quy định nội bộ về sản phẩm và đưa vào vận hành sản phẩm kinh doanh.
Việc nhận dạng RRHĐ được thực hiện trên các yếu tố sau: (i) hành vi RRHĐ, (ii) nguyên nhân (bên trong và bên ngoài, con người, quy trình, hệ thống), (iii) phân
61
loại RRHĐ (gian lận nội bộ, gian lận bên ngoài, vi phạm các luật lệ lao động và an toàn lao động, vi phạm quy định liên quan đến khách hàng và quy trình cung cấp sản phẩm, thiệt hại đối với các tài sản vật chất, gián đoạn HĐKD và lỗi hệ thống, thực hiện giao dịch và quản lý quy trình...)
Các công cụ nhận dạng RRHĐ bao gồm: Thu thập dữ liệu tổn thất bên trong và bên ngoài ngân hàng (LDC); Tự đánh giá rủi ro và chốt kiểm soát (RCSA); Phân tích các phát hiện trong quá trình thanh tra, kiểm tra bao gồm nhưng không giới hạn các hình thức sau (i) kiềm tra đột xuất - kiểm tra thực tế, (ii) hậu kiểm - kiềm soát sau hoạt động xử lý giao dịch, (iii) kiểm tra tuân thủ, (iv) các hoạt động thanh tra/kiểm toán của các Cơ quan chức nâng, đơn vị độc lập bên ngoài, (v) công tác kiểm toán nội bộ, giúp các đơn vị nhận diện, xác định các RRHĐ đã xảy ra hoặc tiềm ẩn xảy ra thông qua việc phát hiện các điểm yếu trong hệ thống kiểm soát nội bộ.
Đối với rủi ro liên quan đến gian lận nội bộ: MB bố trí các chốt kiểm soát trong mỗi quy trình nghiệp vụ đồng thời thường xuyên kiểm tra, giám sát hoạt động ở các bộ phận chính để phát hiện những dấu hiệu bất thường trong giao dịch cũng như hành vi của cán bộ công nhân viên.
Đối với rủi ro liên quan đến gian lận bên ngoài: Thực hiện việc nhận diện các hành động thể hiện hành vi cố ý gian lận, giả mạo giấy tờ, con dấu, chữ ký của các đối tượng bên ngoài thông qua hệ thống kiểm soát của ngân hàng và các biện pháp kỹ thuật nghiệp vụ ví dụ như thông qua thái độ bất thường của khách hàng khi đến giao dịch, không xác minh được thông tin cá nhân của khách hàng,.
Đối với rủi ro liên quan đến hệ thống dữ liệu điện tử của ngân hàng: Để nhận diện được loại rủi ro này, ngân hàng cần thường xuyên kiểm tra hệ thống công nghệ thông tin, hệ thống core-banking, thẻ nhằm phát hiện những lỗ hổng dữ liệu, cải thiện hiệu suất của cả hệ thống.
xếp hạng Mô tả
Điểm
Rất cao Xảy ra ít nhất một lần trong một tuần 0.9
Cao Xảy ra ít nhất một lần trong một tháng 0.7
Trung bình Xảy ra một lần trong một năm 0.5
Thấp Có thể xảy ra một lần trong 1 - 5 năm 0.3
62
Đối với rủi ro liên quan đến thiệt hại tài sản: Đơn vị xem xét, đánh giá khả năng xảy ra các sự kiện như: phá hoại, khủng bố, thiên tai, động đất, bão lũ, hỏa hoạn,.. có thể làm tổn thất tài sản của ngân hàng. Qua đó đơn vị có thể nhận diện nguy cơ dựa trên thông tin từ truyền thông, từ chuyên gia tư vấn hay những công văn cảnh báo từ cơ quan nhà nước.
Đối với rủi ro liên quan đến tác nghiệp thực thi và quản lý quy trình, quy định nội bộ: Thu thập số liệu vi phạm quy trình tác nghiệp, sai sót từ các đơn vị hội sở đến các ĐVKD thông qua các loại báo cáo định kỳ hoặc đột xuất. Bộ phận chính sách và sản phẩm cần thường xuyên rà soát lại quy trình, quy chế, chính sách nội bộ, quy trình vận hành để rà soát lại những nội dung còn chưa chặt chẽ, có kẻ hở có thể bị kẻ xấu lợi dụng; đồng thời lược bỏ bớt những nội dung rườm rà, gây khó hiểu cho những đơn vị thực hiện. Trước khi ban hành một văn bản mới phải được Hội đồng Sản phẩm và các bộ phận gồm Khối Quản trị rủi ro và các bộ phận khác có liên quan xem xét, đánh giá các yếu tố rủi ro sản phẩm để đảm bảo sản phẩm khi ban hành được áp dụng thống nhất, phù hợp với các quy định nội bộ và quy định của pháp luật.
Theo quy định hiện hành của MB, toàn bộ các đơn vị có trách nhiệm chủ động trong việc xác định nguyên nhân, sự cố RRHĐ, báo cáo ngay cho bộ phận quản lý RRHĐ của Khối Quản trị rủi ro để có kế hoạch hành động tiếp theo.
2.2.5.2 Đo lường và đánh giá rủi ro hoạt động
Để xếp loại RRHĐ, các đơn vị sẽ đánh giá trên 2 tiêu chí:
+ Khả năng xảy ra: được chia thành 5 mức: Rất cao, Cao, Trung bình, Thấp, Rất thấp.
Cụ thể như sau:
63
Cơ sở Tài chính Chuyển giao dịch vụ Thương hiệu Pháp chế Quản lý Nhân sự Điểm
(Nguồn: Tài liệu chiến lược quản trị rủi ro hoạt động tại MB)
Để đánh giá khả năng xảy ra RRHĐ, cán bộ đánh giá có thể : (i) căn cứ vào dữ liệu quá khứ (ví dụ số lượng sự kiện tổn thất đã xảy ra liên quan đến RRHĐ đó); (ii) dự đoán khả năng xảy ra của RRHĐ thông qua tần suất/khối lượng công việc thực hiện hàng ngày (ví dụ số lượng giao hàng ngày càng nhiều, thường xuyên bị quá tải thì tần suất xảy ra nhập liệu sai là tương đối cao)
+ Mức độ ảnh hưởng (bao gồm mức độ ảnh hưởng tài chính và phi tài chính) được chia thành 5 mức: Rất cao, Cao, Trung bình, Thấp, Rất thấp. Cụ thể như sau:
đánh giả xếp hạng Các tổn thất có thể xảy ra Sự cố trong quá trình tác nghiệp hoặc cung
cấp dịch vụ
Các ảnh hưởng bất lợi trên phương tiện
thông tin đại chúng
Các rủi ro pháp lý cho Ngân hàng Nguy cơ bị mất giấy phép hoạt động hoặc/và bị phạt
Nguy cơ liên quan đến nhân viên Rất cao > 10.000 triệu VNĐ Quá trình tác nghiệp và cung cấp dịch vụ bị ngừng trệ hoàn toàn -> ảnh hưởng tới nhiều sản phẩm hoặc/và nhiều nhóm khách hàng quan trọng của MB.
Các ảnh hưởng bất lợi trên diện rộng về thương hiệu ở cấp quốc gia và quốc tế, ảnh hưởng xấu đến danh tiếng và giá cổ phiểu Nhiều vụ việc pháp lý dẫn đến chi phí chiếm tỷ lệ tài chính Rất cao Nguy cơ bị mất giấy phép kinh doanh cao
Mối đe dọa trực tiếp đối với sự an toàn và sức khỏe của nhiều
nhân viên
HOẶC
Tổn hại trên toàn hệ thống về mức độ tin tưởng của nhân viên đối với
MB >1000 và <= 10.000 triệu VNĐ Quá trình tác nghiệp và cung cấp dịch vụ bị ngừng trệ hoàn toàn -> ảnh hưởng tới một sản phẩm hoặc/và một nhóm khách hàng quan trọng của MB HOẶC Quá trình tác nghiệp và cung cấp dịch vụ bị ngừng trệ đáng kể -> ảnh hưởng tới nhiều sản phẩm hoặc/và nhiều nhóm khách hàng quan trọng của MB.
Các ảnh hưởng bất lợi về thương hiệu ở
cấp quốc gia và/hoặc quốc tế HOẶC Ảnh hưởng bất lợi trên diện rộng về thương hiệu ở cấp địa phương (có tác động rõ rệt đến danh tiếng và giá cổ phiếu của MB) Nhiều vụ việc pháp lý dẫn đến chi phí chiếm tỷ lệ tài chính Cao - Có khả năng mất giấy phép kinh doanh. - Các hạn chế do cơ quan quản lý đặt ra. - Các khoả n
Mối đe dọa tiềm tàng đối với sự an toàn và sức khỏe của nhiều nhân viên HOẶC
Tổn hại tương đối lớn về mức độ tin tưởng của nhân viên đối với MB.
4
Trung bình >100 và <= 1.000 triệu VNĐ Quá trình tác nghiệp và cung cấp dịch vụ bị ngừng trệ đáng kể -> ảnh hưởng tới một sản phẩm hoặc/và một nhóm khách hàng quan trọng của MB HOẶC Quá trình tác nghiệp và cung cấp dịch vụ bị ngừng trệ không đáng kể -> ảnh hưởng tới nhiều sản phẩm hoặc/và nhiều nhóm khách hàng quan trọng của MB. Các ảnh hưởng bất lợi về thương hiệu trên diện hẹp ở cấp quốc gia HOẶC Các ảnh hưởng bất lợi về thương hiệu ở cấp địa phương (có tác động rõ rệt đến danh tiếng nhưng không có tác động đến giá cổ phiếu) Nhiều vụ việc pháp lý dẫn đến chi phí chiếm tỷ lệ tài chính Trung bình Cảnh cáo
của cơ quan quản lý
Mối đe dọa tiềm tàng đối với sự an toàn và sức khỏe của một vài nhân viên HOẶC Một số tổn hại về mức độ tin tưởng của nhân viên đối với MB. 3 Thấp >10 và <= 100 triệu VNĐ Quá trình tác nghiệp và cung cấp dịch vụ bị ngừng trệ không đáng kể -> ảnh hưởng tới Các ảnh hưởng bất lợi về thương hiệu trên diện hẹp ở cấp địa phương Nhiều vụ việc pháp lý dẫn đến chi phí chiếm tỷ lệ tài Cơ quan quản lý đặt ra một số điều kiện về Anh hưởng thấp đến tinh thần làm việc của nhân viên.
2
một sản phẩm hoặc/và một nhóm khách hàng quan trọng của MB. chính Thấp hoạt động <= 10 triệu VNĐ Không có ảnh hưởng đối với quá trình tác nghiệp và cung cấp dịch vụ. Không có ảnh hưởng về thương hiệu Nhiều vụ việc pháp lý dẫn đến chi phí chiếm tỷ lệ tài chính Rất thấp Cơ quan quản lý chuyển thông tin và đề nghị MB giải quyết khiếu nại của khách hàng. Ảnh hưởng không đáng kể đến tinh thần làm việc của nhân viên. 1 67
Bảng 2.7: Thang điểm đánh giá mức độ xảy ra rủi ro hoạt động
xếp hạng Mô tả thang điểm đánh giá Điểm
Tốt Kiểm soát được đánh giá là phù hợp và đạt hiệu quả cao.
0.9 Khá Kiểm soát được đánh giá ở mức khá, các vấn đề (nếu
có) không nghiêm trọng.
07 Trung bình Có một số vấn đề phát sinh do kiểm soát, nhưng có thể
được cải thiện.
05 Yếu Có các vấn đề nghiêm trọng do kiểm soát và cần có các
biện pháp xử lý cấp thiết để cải thiện kiểm soát.
03 Kém Các kiểm soát được đánh giá là không phù hợp và hoàn
toàn không hiệu quả.
Õĩ
68
Để đánh giá mức độ ảnh hưởng của RRHĐ, cán bộ đánh giá có thể: (i) căn cứ vào dữ liệu trong quá khứ (ví dụ giá trị tổn thất trung bình của sự kiện tổn thất đã xảy ra liên quan đến RRHĐ đó; (ii) dự đoán mức độ ảnh hưởng của RRHĐ thông qua giá trị giao dịch/phí phạt...(đối với ảnh hưởng tài chính) và/hoặc mức độ ảnh hưởng về thương hiệu, pháp lý đối với ngân hàng.
Xây dựng bản đồ RHHĐ:
Bản đồ RRHĐ tại MB được chia thành 3 vùng bao gồm: vùng đỏ (khu vực 1), vùng vàng (khu vực 2), vùng xanh (khu vực 3). Cụ thể như sau:
Bảng 2.8: Bản đồ rủi ro hoạt động tại MB
(Nguồn: Tài liệu chiến lược quản trị rủi ro hoạt động tại MB)
Trong đó:
+ Vùng đỏ là vùng nguy hiểm (ngân hàng cần xem xét để xử lý ngay các rủi ro thuộc vùng này)
+ Vùng vàng là vùng cần theo dõi (ngân hàng cần cân nhắc và lưu ý giám sát chặt chẽ các rủi ro thuộc vùng này)
69
+ Vùng xanh là vùng giới hạn an toàn (ngân hàng không nhất thiết phải thực hiện các biện pháp xử lý rủi ro đối với vùng này mà chỉ cần theo dõi, giám sát)
RRHĐ được đánh giá dựa trên cơ sở rủi ro tiềm ẩn và RRHĐ còn lại. Cụ thể gồm:
+ Rủi ro tiềm ẩn là RRHĐ có thể xảy ra đối với ngân hàng trong điều kiện không có bất kỳ hành động quản trị nào được áp dụng để phòng ngừa/giảm thiểu