Rủi ro hoạt động tồn tại và phát sinh ở tất cả các sản phẩm, các quy trình, các cá nhân và các đơn vị/bộ phận trong toàn ngân hàng. Do đó, rủi ro hoạt động có mối quan hệ và ảnh hưởng đến hầu hết các loại rủi ro khác.
Trong quản trị ngân hàng thì quản lý rủi ro tín dụng, quản lý rủi ro thị
trường và quản lý rủi ro hoạt động được kết hợp với nhau trở thành thế
“Kiềng ba chân” trong hệ thống quản trị rủi ro của ngân hàng thương mại. Trong xu thế phát triển của thời đại và quá trình hội nhập kinh tế quốc tế, hoạt động kinh doanh ngân hàng có nhiều biến động mạnh mẽ dẫn đến rủi ro hoạt động ngày càng gia tăng. Thất bại trong quản lý rủi ro hoạt động và các hệ lụy của nó có thể thấy rất rõ nét từ các vụ việc của Barings (Anh
Quốc), Societe Generale (Pháp) cho tới cuộc khủng hoảng tài chính năm 2007 xuất phát từ khủng hoảng nợ dưới chuẩn vốn bắt nguồn từ những sai phạm trong cho vay. Gần đây, hàng loạt vụ bê bối lại liên tiếp xảy ra: Barclays thao túng lãi suất Libor, HSBC rửa tiền, Nomura thực hiện giao dịch nội gián, JP Morgan sai sót trong quản lý rủi ro và làm tiêu tan 5,8 tỷ USD của nhà đầu tư [11]. Do đó, nhận thức về rủi ro hoạt động của các ngân hàng trở nên đầy đủ hơn và yêu cầu quản lý rủi ro hoạt động càng trở nên có tính thời sự.
Những đặc điểm trong xu thế thời đại ngày nay khiến cho công tác quản lý rủi ro hoạt động ngân hàng càng trở nên cấp thiết, điều này được giải thích cụ thể hơn qua những lý do sau:
- Môi trường kinh doanh phức tạp, cạnh tranh gay gắt đòi hỏi chất lượng sản phẩm dịch vụ phải cao hơn, do đó áp lực về công việc, về hiệu quả công việc tăng lên.
- Tất cả các ngân hàng hiện nay đang tích cực áp dụng các công nghệ tiên tiến vào các sản phẩm dịch vụ để thỏa mãn ngày càng tốt hơn các nhu cầu của khách hàng, nâng cao hiệu quả hoạt động. Tuy nhiên kèm theo đó là không ít rủi ro phát sinh và hoạt động của ngân hàng ngày càng phụ thuộc vào công nghệ như vậy gia tăng rủi ro về công nghệ.
- Sự gia tăng của các dịch vụ ngân hàng điện tử (internet banking, mobilebanking, auto bank,...) và kéo theo đó là một loạt các tội phạm mới xuất hiện trong lĩnh vực ngân hàng.
- Hành vi gian lận, lừa đảo ngày càng tinh vi, xảo quyệt.
- Thế giới vật chất trở thành nhân tố tác động làm thay đổi lòng trung thành và cách đối xử với nhân viên.
- Khối lượng giao dịch khổng lồ với tốc độ nhanh chưa từng thấy, dẫn đến
trong quá trình xử lý, thao tác nghiệp vụ không tránh khỏi sai/lỗi. Áp lực công việc trong ngành ngân hàng gia tăng cũng dẫn đến tăng sai sót, nhầm lẫn.
- Hội nhập quốc tế đòi hỏi các giao dịch phải được chuẩn hóa. Do tăng cường sử dụng các dịch vụ từ bên ngoài, các quan hệ ngân hàng đại lý và tham gia
vào hệ thống chuyển mạch và thanh toán quốc tế, tuy giúp bớt một số loại rủi ro
nhưng lại có nguy cơ làm tăng rủi ro hoạt động đối với ngân hàng.
- Ngoài ra, ngân hàng cũng phải hoàn thiện công tác quản lý rủi ro hoạt động nhằm đáp ứng yêu cầu của Hiệp ước Basel. Trong bối cảnh hội nhập quốc tế, để được công nhận thì ngân hàng phải hướng tới tuân thủ các tiêu chuẩn chung của cộng đồng ngân hàng.
Tổ chức quản lý rủi ro hoạt động hiệu quả, hợp lý không những giảm thiểu
được rủi ro mà còn cho phép ngân hàng lựa chọn “khẩu vị rủi ro hoạt động” thích
hợp nhằm tăng hiệu quả kinh doanh, tạo ra sự vượt trội cho ngân hàng.
Từ sự phân tích nêu trên cho thấy việc quản lý rủi ro hoạt động đối với ngân hàng là thực sự cần thiết để ngân hàng tồn tại và phát triển an toàn, bền vững.
1.2.5. Các công cụ quản lý rủi ro hoạt động
1.2.5.1. Báo cáo tự đánh giá rủi ro và kiểm soát (RCSA - Risk and Control Self Assessment)
Các ngân hàng cần xác định rủi ro trong tất cả các sản phẩm, các hoạt động và các hệ thống trong ngân hàng đồng thời RRHĐ cũng cần phải được rà soát, đánh giá trước khi đưa ra thị trường các sản phẩm mới. Một công cụ thường được sử dụng để phát hiện sớm RRHĐ đó chính là tự đánh giá và kiểm soát rủi ro.
Theo Basel II BCBS 195, đoạn 39d [18], tự đánh giá biện pháp kiểm soát
rủi ro, về cơ bản là đánh giá rủi ro vốn có (rủi ro trước khi các biện pháp kiểm soát được xem xét), tính hiệu quả của môi trường kiểm soát và rủi ro còn lại (khả
năng xảy ra rủi ro sau khi các biện pháp kiểm soát được xem xét). Thẻ tính điểm
để tạo ra phương tiện để chuyển đổi kết quả đầu ra của RCSA thành các thước đo cho phép xếp hạng so sánh đối với môi trường kiểm soát.
Theo BIDV (2014) [8], tự đánh giá rủi ro và kiểm soát là quá trình kiểm tra và đánh giá danh mục rủi ro hoạt động, chốt kiểm soát để lập kế hoạch phòng ngừa, giảm thiểu rủi ro. Báo cáo RCSA được sử dụng để nhận diện và đánh giá các rủi ro tiềm ẩn trong quá trình hoạt động và triển khai các nghiệp vụ của ngân hàng, thiết lập các biện pháp kiểm soát phù hợp với từng loại rủi ro và từng nghiệp vụ.
Từng bộ phận trong ngân hàng phải định kỳ tự rà soát lại các quy trình nghiệp vụ và các biện pháp kiểm soát rủi ro, qua đó tự đánh giá mức độ kiểm soát rủi ro, phát hiện các lỗ hổng kiểm soát và mức độ rủi ro tương ứng có thể xảy ra trong hoạt động của bộ phận. Kết quả rà soát, đánh giá rủi ro là cơ sở để ngân hàng xem xét và thiết kế lại hoặc bổ sung thêm các biện pháp kiểm soát rủi ro phù hợp. Từ việc xác định và đánh giá các rủi ro, ngân hàng lựa chọn các biện pháp để ứng xử với các rủi ro mà họ có thể gặp phải tùy theo mức độ rủi ro hay tỷ suất rủi ro/lợi nhuận mong đợi.
1.2.5.2. Báo cáo dấu hiệu rủi ro chính (KRIs - Key Risk Indicators)
Theo Basel II BCBS 195, đoạn 39d [18], các chỉ số rủi ro và hiệu quả hoạt động chính là các thước đo rủi ro và/hoặc số liệu thống kê cho phép đánh giá khả năng phát sinh rủi ro của ngân hàng. Chỉ số rủi ro, thường được gọi là chỉ số rủi ro chính, được sử dụng để theo dõi các nhân tố chính dẫn đến trạng thái rủi ro liên quan đến các rủi ro chính. Các chỉ số hiệu quả hoạt động, thường được gọi là các chỉ số hiệu quả hoạt động, cho phép đánh giá trạng thái của các quy trình hoạt động, là cơ sở để đánh giá các điểm yếu về hoạt động, những thất bại và tổn thất tiềm tàng. Các chỉ số rủi ro và các chỉ số hiệu quả hoạt động thông thường hiện hữu song song với các cảnh báo mức độ để đưa ra cảnh báo khi mức độ rủi ro tiệm cận hoặc vượt quá ngưỡng hoặc giới
hạn và kích hoạt các kế hoạch giảm thiểu rủi ro.
Theo BIDV (2014) [8], dấu hiệu rủi ro chính là các chỉ số nhằm cảnh báo nguy cơ xảy ra rủi ro hoạt động khi được xem xét trên một khía cạnh cụ thể hoặc so sánh với các hạn mức đã đặt ra. Để theo dõi mức độ biến động rủi ro và quản lý rủi ro hoạt động hiệu quả, các hạn mức cảnh báo được định kỳ thiết lập cho từng KRI, trình cấp có thẩm quyền phê duyệt.
Các ngân hàng cần xác định chỉ số rủi ro chính trong các hoạt động theo từng phòng/ban nghiệp vụ, nhằm mục đích giám sát hàng ngày các chuẩn mực và điều kiện về tổ chức ở cấp độ từ dưới lên dựa trên hoạt động kinh doanh, thường xuyên rà soát lại các quy trình và rủi ro đã được xác định. Từ đó, phân tích sát hơn những loại rủi ro hoạt động liên quan đến mảng kinh doanh.
1.2.5.3. Thu thập dữ liệu tổn thất (LDC)
LDC là quá trình thu thập, phân tích và quản lý các dữ liệu tổn thất bên trong và bên ngoài ngân hàng từ các sự kiện rủi ro hoạt động để phân tích, đánh giá về nguyên nhân và mức độ các sự kiện rủi ro hoạt động đã xảy ra.
Theo Basel II BCBS 195 [18], việc theo dõi dữ liệu tổn thất rất quan trọng đối với việc xây dựng và vận hành hệ thống đo lường RRHĐ. Dữ liệu tổn thất nội bộ rất quan trọng trong việc gắn các ước lượng rủi ro với kinh nghiệm tổn thất thực tế của ngân hàng. Điều này có thể đạt được theo nhiều cách, bao gồm sử dụng dữ liệu tổn thất nội bộ như cơ sở cho các ước lượng rủi ro thực tế, như một phương thức kiểm định đầu vào và đầu ra của hệ thống đo lường rủi ro, hay như mối quan hệ giữa tổn thất thực tế với quyết định quản lý và kiểm soát rủi ro. Ngoài thông tin về tổng tổn thất, ngân hàng cần thu thập thông tin về ngày xảy ra sự kiện, mọi khoản thu hồi tổn thất cũng như một số thông tin mô tả về các nhân tố hoặc nguyên nhân của sự kiện tổn thất. Mức độ chi tiết của thông tin mô tả phải phù hợp, tương ứng với giá trị của tổng tổn thất.
Basel II cũng khuyến nghị: Hệ thống đo lường RRHĐ của ngân hàng cũng phải sử dụng dữ liệu bên ngoài có liên quan (hoặc dữ liệu công khai và/hoặc dữ liệu tổng hợp toàn ngành), đặc biệt là khi có lý do để tin rằng ngân hàng đang chịu rủi ro phát sinh các tổn thất không thường xuyên, nhưng có khả năng nghiêm trọng. Dữ liệu bên ngoài này cần bao gồm dữ liệu về tổn thất thực tế, thông tin về quy mô hoạt động kinh doanh nơi xảy ra sự kiện, thông tin về nguyên nhân và hoàn cảnh phát sinh sự kiện tổn thất, hoặc các thông tin khác có thể giúp đánh giá mức độ liên quan của sự kiện tổn thất đối với các ngân hàng khác.
1.2.5.4. Báo cáo sự cố rủi ro hoạt động
Sự cố rủi ro hoạt động là những sự kiện xảy ra trong quá trình hoạt động do yếu tố con người, sự yếu kém trong hệ thống công nghệ thông tin, sự sơ hở, yếu kém trong các quy định nội bộ hoặc từ những yếu tố bên ngoài làm ảnh hưởng tiêu cực đến lợi ích của ngân hàng.
Báo cáo sự cố RRHĐ phải phản ánh tổn thất thực tế, nguy cơ tổn thất hoặc mô tả sự cố vừa tránh được, báo cáo sự cố cần đạt được:
- Thông báo kịp thời cho Ban điều hành và bộ phận quản lý để có biện pháp can thiệp xử lý nếu cần.
- Đo lường chi phí RRHĐ
- Xem xét mức độ ảnh hưởng của sự cố
- Kịp thời rút kinh nghiệm và tìm giải pháp nhằm tránh lặp lại.
1.2.5.5. Báo cáo sai/lỗi
- Các sai/lỗi của cán bộ trong quá trình thực hiện nhiệm vụ hoặc lỗi của hệ thống công nghệ thông tin được thu thập và đánh giá nhằm phản ánh hồ sơ rủi ro hoạt động của ngân hàng.
- Các sai/lỗi cần được báo cáo kịp thời, đầy đủ, trung thực.
Giao dịch nghi ngờ là các giao dịch cần được rà soát để phát hiện, khắc phục, phòng ngừa rủi ro và sai, lỗi (nếu có). Các giao dịch nghi ngờ phải được rà soát thường xuyên để kịp thời phát hiện, khắc phục, phòng ngừa rủi ro và sai, lỗi.
1.2.5.7. Ma trận rủi ro hoạt động
Ma trận rủi ro hoạt động là bảng mô tả tần suất xuất hiện và mức độ ảnh hưởng - mức độ tổn thất, thiệt hại (nếu có) khi sự kiện rủi ro xảy ra của các sai, lỗi.
Việc đánh giá RRHĐ dựa trên ma trận này sẽ giúp ngân hàng phân loại được RRHĐ theo các mức độ nghiêm trọng của rủi ro như: rất cao, cao, trung bình, thấp và rất thấp.
1.2.5.8. Quản lý rủi ro hoạt động đối với sản phẩm mới, hoạt động trong thị trường mới
Nhận diện, đánh giá và phân tích rủi ro hoạt động của các sản phẩm mới, hoạt động trong thị trường mới để bảo đảm tính an toàn và hiệu quả hoạt động của các sản phẩm mới và thị trường mới.
1.2.5.9. Kiểm soát rủi ro hoạt động đối với hoạt động thuê ngoài
Hoạt động thuê ngoài là việc ngân hàng thuê tổ chức, doanh nghiệp khác (gọi là doanh nghiệp thuê ngoài) dưới hình thức ký thoả thuận thuê ngoài (Hợp đồng thuê ngoài) để thực hiện một hoặc một số hoạt động (bao gồm xử lý dữ liệu hoặc một số công đoạn của quy trình nghiệp vụ) thay cho ngân hàng.
Kiểm soát RRHĐ hoạt động thuê ngoài là việc nhận diện, đánh giá rủi ro của kế hoạch thuê ngoài, năng lực đối tác, thỏa thuận hợp đồng, quá trình triển khai và các vấn đề liên quan khác.
1.2.5.10. Vốn yêu cầu tối thiểu cho rủi ro hoạt động
toàn vốn tối thiểu (CAR) theo yêu cầu của Hiệp ước Basel. Vốn yêu cầu tối thiểu cho RRHĐ được tính theo một trong ba phương pháp: chỉ số cơ bản, chuẩn hóa và đo lường tiên tiến.
Mục đích lượng hóa RRHĐ là để tính toán chi phí vốn chịu RRHĐ tối thiểu mà ngân hàng cần trích lập dự phòng để xử lý tổn thất trong trường hợp xảy ra RRHĐ.
1.2.5.11. Báo cáo tự đánh giá kiểm soát
Báo cáo tự đánh giá kiểm soát được áp dụng nhằm đánh giá tính sẵn có, mức độ hiệu quả của các biện pháp kiểm soát sử dụng để phòng ngừa/giảm thiểu rủi ro. Trên cơ sở đó, xác định các vùng kiểm soát yếu để điều chỉnh/bổ sung biện pháp kiểm soát phù hợp.
1.2.5.12. Xây dựng kế hoạch bảo đảm kinh doanh liên tục
Xây dựng, điều chỉnh, cập nhật kế hoạch kinh doanh liên tục theo từng thời kỳ nhằm ứng phó với các sự cố có khả năng gây gián đoạn/ảnh hưởng đến hoạt động của ngân hàng.
Xây dựng kịch bản thử nghiệm thảm họa nhằm bảo đảm khả năng hoạt động kinh doanh liên tục khi xảy ra các thảm họa có thể gây ảnh hưởng lớn đến khả năng hoạt động của ngân hàng trong từng nghiệp vụ. Phương án phục hồi sau thảm họa phải được xây dựng chi tiết ở nhiều mức độ, cho từng thảm họa, bảo đảm ngân hàng trở lại hoạt động trong thời gian ngắn nhất từ khi xảy ra thảm họa.
1.2.5.13. Sử dụng các công cụ bảo hiểm
Đối với các lĩnh vực có rủi ro cao/nghiêm trọng, cần có biện pháp chuyển giao rủi ro thông qua công cụ bảo hiểm. HĐQT của ngân hàng quyết định chủ trương đầu tư, mua sắm các công cụ bảo hiểm cho rủi ro hoạt động.