2.2. TÌNH HÌNH QUẢN TRỊ RRTN TRONG HOẠT ĐỘNG KINHDOANH
2.2.2. Tình hình quản trị rủi ro tác nghiệp tại VietinBank
NHCT thực hiện quản lý RRHĐ theo 5 bước Nhận diện; Đánh giá/Đo lường; Kiểm soát; Giám sát và Báo cáo như sau:
2.2.2.1. Nhận diện rủi ro hoạt động
NHCT nhận diện RRHĐ thông qua các công cụ như sau:
- Tự đánh giá rủi ro hoạt động và biện pháp kiểm soát (RCSA): là quá trình
liên tục tự nhận diện, đánh giá mức độ rủi ro hoạt động tiềm ẩn, biện pháp kiểm soát đang áp dụng, xác định mức độ rủi ro còn lại (sau khi đã thực hiện biện pháp kiểm soát) và đề xuất, áp dụng kế hoạch hành động nhằm ngăn chặn, giảm thiểu và khắc
phục các rủi ro hoạt động.
Năm 2012, Vieitinbank đã bắt đầu triển khai xây dựng công cụ Tự đánh giá rủi ro hoạt động và biện pháp kiểm soát (RCSA). Đây là một công cụ hữu ích đã và đang được áp dụng tại các ngân hàng trên thế giới và được hệ thống các NHTM Việt Nam bắt đầu nghiên cứu triển khai áp dụng trong công tác quản trị RRTN.
Sơ đồ 2.3. Ví dụ minh họa bản đồ rủi ro trọng yếu
Nguồn: VietinBank
48
Để thực hiện xây dựng công cụ này, phòng Quản lý rủi ro hoạt động phối hợp với các phòng ban nghiệp vụ Trụ sở chính xây dựng bảng tổng hợp danh sách rủi ro hoạt động, nguồn gốc rủi ro và biện pháp kiểm soát đang áp dụng với từng loại rủi ro trong từng nghiệp vụ. Sau đó các phòng ban liên quan sẽ tiến hành xác nhận mức độ chấp nhận rủi ro và đánh giá hiệu quả của biện pháp kiểm soát hiện tại thông qua trả lời bảng câu hỏi đánh giá. Kết quả cuối cùng là bảng báo cáo RCSA với hệ thống các rủi ro trọng yếu của mỗi nghiệp vụ, mức độ chấp nhận rủi ro, hệ thống các biện pháp kiểm soát và hiệu quả của biện pháp kiểm soát và đánh giá mức độ rủi ro còn lại sau khi đã thực hiện các biện pháp kiểm soát để từ đó các phòng ban, bộ phận liên quan tăng cường và hoàn thiện những biện pháp kiểm soát đang áp dụng cũng như thiết kế thêm các biện pháp kiểm soát mới nhằm giảm thiểu mức độ ảnh hưởng của từng loại rủi ro xuống mức có thể chấp nhận được.
Theo quy định của Vietinbank, với mức độ rủi ro nội tại khác nhau sẽ có khoảng thời gian thực hiện đánh giá hiệu quả kiểm soát rủi ro khác nhau, rủi ro có mức độ đánh giá càng nghiêm trọng sẽ càng cần thiết phải đánh giá hiệu quả của biện pháp kiểm soát, để từ đó có sự điều chỉnh và đề ra kế hoạch hành động hợp lý nhằm đảm bảo tăng cường hiệu quả của các biện pháp kiểm soát, giảm thiểu ảnh hưởng của rủi ro đến kết quả hoạt động kinh doanh. Cụ thể, tần suất đánh giá hiệu quả biện pháp kiểm soát được thể hiện trong bảng dưới đây:
49
- Quản lý SKRRHĐ và thu thập dữ liệu tổn thất (LDC): là quá trình thu thập,
phân tích và đánh giá mức độ ảnh huởng và nguyên nhân của các SKRRHĐ (bao gồm cả SKRRHĐ bên trong và bên ngoài ngân hàng) từ đó nhận diện RRHĐ đã xảy ra và đua ra các biện pháp ngăn ngừa, giảm thiểu rủi ro kịp thời.
- Thiết lập, sử dụng Chỉ số rủi ro hoạt động chính (KRIs): là quá trình thiết
lập, sử dụng chỉ số hoặc bộ chỉ số theo dõi nhân tố rủi ro chính để nhận diện, đo luờng và giám sát rủi ro hoạt động trọng yếu của ngân hàng.
- Phân tích kịch bản (Scenario analysis): là phuơng pháp xây dựng các tình
huống giả định về các SKRRHĐ nghiêm trọng có thể xảy ra theo ý kiến chuyên gia để phân tích khả năng ảnh huởng đến hoạt động củangân hàng từ đó có kế hoạch dự phòng, biện pháp kiểm soát phù hợp.
- Báo cáo kiểm toán (Audit findings): là quá trình thu thập, phân tích các báo
cáo kiểm toán nội bộ và bên ngoài nhằm nhận diện RRHĐ đã xảy ra hoặc RRHĐ tiềm ẩn thông qua việc phát hiện các điểm yếu trong hệ thống kiểm soát nội bộ.
2.2.2.2. Đánh giá rủi ro hoạt động
- Mức độ RRHĐ đuợc đánh giá dựa trên hai yếu tố: (1) ảnh huởng của rủi ro
đến hoạt động ngân hàng và (2) khả năng, tần suất xảy ra rủi ro. Ảnh huởng của RRHĐ đuợc xét trên hai khía cạnh gồm (i) ảnh huởng về tài chính, bao gồm không giới hạn các yếu tố: tổn thất bằng tiền, thiệt hại tài sản, chi phí mà ngân hàng phải bỏ ra để bồi thuờng, khôi phục tình trạng của tài sản/hoạt động của ngân hàng nhu ban đầu truớc khi SKRRHĐ xảy ra và (ii) ảnh huởng phi tài chính, bao gồm không giới hạn các yếu tố: danh tiếng, pháp lý, gián đoạn hoạt động, sai lệch thông tin quản lý và con nguời. RRHĐ đuợc đánh giá theo 5 mức độ nghiêm trọng giảm dần là: (1) Rất cao, (2) Cao, (3) Trung bình, (4) Thấp, (5) Rất thấp;
- RRHĐ đuợc đánh giá bằng phuơng pháp định tính và định luợng.
• NHCT đánh giá định tính RRHĐ thông qua các công cụ sau: Tự đánh giá rủi
ro hoạt động và biện pháp kiểm soát (RCSA); Đối chiếu, so sánh, kết hợp các kết quả đánh giá RRHĐ qua các công cụ khác nhau để lập hồ sơ, danh mục, bản đồ RRHĐ của toàn ngân hàng, từng Khối nghiệp vụ, Đơn vị.
50
•NHCT đánh giá định lượng RRHĐ thông qua các công cụ sau: Thiết lập, sử
dụng Chỉ số rủi ro hoạt động chính (KRIs); Thiết lập mô hình để đo lường nguy cơ RRHĐ, từ đó sử dụng cho mục đích tính và phân bổ vốn dự phòng RRHĐ của toàn ngân hàng, từng Khối nghiệp vụ, Đơn vị.
2.2.2.3. Kiểm soát rủi ro hoạt động
Ngân hàng thiết lập hệ thống kiểm soát chặt chẽ thông qua các quy định, quy trình, hệ thống và các biện pháp kiểm soát để đảm bảo hiệu quả hoạt động, an toàn tài sản, thông tin quản lý đáng tin cậy và tuân thủ quy định pháp luật. Các phương án xử lý, kiểm soát RRHĐ của ngân hàng như sau:
- Chấp nhận rủi ro: Ngân hàng chấp nhận những RRHĐ ở mức độ hợp lý, không chỉnh sửa/bổ sung biện pháp kiểm soát hiện tại khi mà chi phí tăng thêm cho việc giảm thiểu RRHĐ cao hơn mức độ rủi ro còn lại của RRHĐ đó (sau khi đã thực hiện các biện pháp kiểm soát hiện tại).
- Giảm thiểu rủi ro: Ngân hàng xem xét quyết định bổ sung, chỉnh sửa biện pháp kiểm soát RRHĐ để giảm thiểu RRHĐ khi mà mức độ RRHĐ còn lại nằm ngoài KVRRHĐ và mục tiêu của ngân hàng từng thời kỳ và chi phí tăng thêm cho việc giảm thiểu/loại bỏ RRHĐ đó không cao hơn mức độ rủi ro còn lại của RRHĐ đó. NHCT thực hiện giảm thiểu RRHĐ thông qua các công cụ sau:
•Thiết kế, cài đặt, tổ chức thực hiện các biện pháp kiểm soát ngay trong mọi
quy trình nghiệp vụ tại tất cả các đơn vị, bộ phận của NHCT dưới nhiều hình thức, bao gồm nhưng không giới hạn: Phân cấp ủy quyền rõ ràng, minh bạch, bảo đảm tách bạch nhiệm vụ, quyền hạn của các cá nhân, các bộ phận trong ngân hàng; Qui định về hạn mức rủi ro cụ thể đối với từng cá nhân, bộ phận trong việc thực hiện giao dịch; Quy trình thẩm định, chấp thuận và duyệt cho phép thực hiện giao dịch, bảo đảm 1 quy trình nghiệp vụ phải có ít nhất 02 cán bộ tham gia, một người thực hiện giao dịch và 1 người kiểm soát giao dịch, không có cá nhân nào có thể một mình thực hiện một qui trình nghiệp vụ, một giao dịch cụ thể.
•Thiết lập chương trình quản lý kinh doanh liên tục: là việc đưa ra các kịch
Mức độ Nguyên tắc/tính chất lỗi Ví dụ
51
phòng nhằm giúp ngân hàng giảm thiểu tổn thất và gián đoạn hoạt động kinh doanh;
•Xây dựng văn hoá QLRRHĐ: là việc tổ chức triển khai các chương trình
nhằm xây dựng, hình thành, duy trì các giá trị, nhận thức, thái độ, trình tự, hành vi ứng xử đối với RRHĐ được mọi cá nhân thừa nhận và thực hiện trong quá trình hoạt động hàng ngày phù hợp với cơ cấu tổ chức, vai trò trách nhiệm, chiến lược, chính sách, quy trình, hệ thống, công cụ QLRRHĐ được thiết lập;
-Chia sẻ hoặc chuyển giao rủi ro: Ngân hàng xem xét thực hiện chia sẻ/chuyển giao RRHĐ cho một bên thứ ba khi mà chi phí cho việc giảm thiểu RRHĐ do ngân hàng tự thực hiện cao hơn chi phí mà ngân hàng chia sẻ/chuyển giao RRHĐ đó. NHCT thực hiện chia sẻ/chuyển giao RRHĐ thông qua các công cụ sau:
•Bảo hiểm RRHĐ: là việc NHCT (người được bảo hiểm) trả một khoản tiền
phí bảo hiểm để được quyền trong trường hợp RRHĐ xảy ra NHCT nhận được một khoản đền bù các tổn thất phát sinh từ công ty bao hiểm (người bảo hiểm).
•Thực hiện hoạt động thuê ngoài: là việc NHCT thuê một bên khác không
thuộc hệ thống NHCT thực hiện một phần hoặc toàn bộ hoạt động/quy trình liên quan đến việc cung cấp sản phẩm/dịch vụ đặc thù của ngân hàng cho khách hàng hoặc hoạt động nội bộ của NHCT mà lẽ ra NHCT phải tự thực hiện. Hoạt động thuê ngoài là hoạt động tiềm ẩn nhiều rủi ro, do đó trong quá trình thực hiện hoạt động thuê ngoài, Đơn vị phải thực hiện QLRRHĐ thuê ngoài theo quy định của NHCT.
- Tránh rủi ro: Ngân hàng xem xét tránh/loại bỏ RRHĐ khi mà ngân hàng không thể chấp nhận, giảm thiểu, chia sẻ/chuyển giao RRHĐ để đảm bảo mức độ RRHĐ nằm trong KVRRHĐ của ngân hàng.
2.2.2.4. Giám sát rủi ro hoạt động
Các Đơn vị phải chủ động thường xuyên, liên tục tự giám sát việc thực hiện QLRRHĐ tại Đơn vị nhằm kịp thời phát hiện nguy cơ RRHĐ, SKRRHĐ phát sinh và thực hiện biện pháp xử lý, kiểm soát RRHĐ phù hợp. NHCT thiết lập hệ thống giám sát độc lập để đảm bảo việc tuân thủ quy định, quy trình QLRRHĐ và nâng cao hiệu quả QLRRHĐ. NHCT giám sát RRHĐ thông qua các công cụ sau: Thiết lập, theo dõi KRI của toàn hàng, Khối nghiệp vụ và Đơn vị; Thiết lập cơ chế kiểm
52
tra định kỳ, giám sát các RRHĐ lớn nhất và đánh giá lại rủi ro định kỳ đối với tất cả các Đơn vị, các nghiệp vụ và sản phẩm/dịch vụ của ngân hàng; Đơn vị phải thường xuyên bổ sung và cập nhật các RRHĐ mới được nhận diện và các biện pháp kiểm soát rủi ro mới được thiết lập của Đơn vị; Thiết lập hệ thống báo cáo và các kênh báo cáo phù hợp để kết quả giám sát RRHĐ được thông báo kịp thời cho những người có thẩm quyền.
Với mục đích hỗ trợ các đơn vị giám sát chi tiết tính tuân thủ của các BPKS đang được thiết lập đồng thời là yếu tố động trong kết quả xếp hạng RRTN của chi nhánh, NHCT đã xây dựng chính sách KPI tuân thủ để đo lường các hành vi vi phạm các văn bản chính sách của NHCT và/hoặc các quy định pháp luật. Lỗi tuân thủ có thể đã hoặc chưa gây ra tổn thất cho ngân hàng. Lỗi tuân thủ được phân loại theo 5 mức độ để phản ánh chính xác hơn mức độ trọng yếu của chốt kiểm soát bị thất bại/lỗi không tuân thủ.
5 Lỗi có yếu tố cố tình để phục vụ cho mình hoặc cho người khác hoặc vi phạm quy định cấm thực hiện của NHCT
> Nhận hối lộ, trộm cắp tại kho
quỹ, giải ngân khống
> Giải ngân vượt thẩm quyền,
chia nhỏ số tiền để hạn mức rút tài khoản thuộc hạn mức PGD
> Giao dịch với khách hàng
thuộc danh sách khách hàng đen về PCRT và tín dụng
> Cấp tín dụng với ngành nghề
và TSĐB bị pháp luật cấm
4 Không thực hiện hoặc có thực hiện
nhưng chưa đúng/đủ nội dung trọng yếu trong các bước kiểm soát tại các quy trình, quy định/công văn chỉ đạo
> Không thẩm địch tình hình tài
chính/TSĐB
> Thực hiện giao dịch khi chữ ký
có thể gây tổn thất hoặc tiềm ẩn rủi ro cao
sơ máy và hồ sơ giấy
> Ra vào kho không đúng thành phần, không phong tỏa TSĐB là sổ tiết kiệm, chuyển tiền giải ngân 2 lần,...
3 Không thực hiện đúng/đủ các nội
dung khác tại bước kiểm soát theo quy định, có thể gây tổn thất hoặc ảnh hưởng đến báo cáo hạch toán
> Không chấm điểm/Chấm điểm
sai hạng tín dụng (khiên nhảy nhóm nợ, tăng trích lập dự phòng)
> Thu thừa thiếu phí,.
2 Không thực hiện đúng/đủ các bước
kiểm soát theo quy định của NHCT, ảnh hưởng đến công tác thống kê báo cáo quản trị và giám sát tại chi nhánh/toàn hàng
> Lỗi ảnh hưởng đến chất lượng
dữ liệu như sai thông tin, số chứng minh thư nhân dân, cập nhật thiếu thông tin trên CIF
> Bàn giao hồ sơ chậm cho Bộ
phận hỗ trợ tín dụng
ĩ Các lỗi còn lại > Không cung cấp thông báo giải
chấp và đơn đề nghị đăng ký xóa giao dịch bảo đảm
> Lưu trữ hồ sơ không đúng quy
định ISO 53
Việc xếp hạng KPI tuân thủ chi nhánh sẽ được tính trên thẻ điểm KPI của Giám
đốc chi nhánh trong kỳ tính điểm 3 tháng/6 tháng/9 tháng/năm. Đây được coi là một chính sách kiểm tra, thu thập bằng chứng đánh giá thực hiện đúng thiết kế của các biện
pháp kiểm soát trong hoạt động tác nghiệp hàng ngày hiệu quả. Thông qua kết quả đánh giá, giúp chi nhánh kịp thời có biện pháp khắc phục chỉnh sửa lỗi tuân thủ đồng
thời tìm ra nguyên nhân. Nếu nguyên nhân của lỗi tuân thủ từ nội tại chi nhánh thì chi
nhánh sẽ có kế hoạch đào tạo hoặc thực hiện công tác đánh giá, luân chuyển cán bộ phù hợp; nếu nguyên nhân của lỗi tuân thủ từ trụ sở chính (văn bản chính sách, hệ thống, nhân sự,...) không phù hợp thì TSC phải nghiên cứu/chỉnh sửa phù hợp.
54
2.2.2.5. Báo cáo rủi ro hoạt động
Các Đơn vị phải định kỳ báo cáo cho những người có thẩm quyền kết quả nhận diện, đánh giá, kiểm soát, giám sát RRHĐ tại Đơn vị. Các Đơn vị phải báo cáo ngay cho người có thẩm quyền khi xảy ra những SKRRHĐ lớn, bất thường, phát hiện những
nguy cơ RRHĐ lớn có thể gây tổn thất cho hoạt động của NHCT hoặc những vi phạm
KVRRHĐ của NHCT. Báo cáo RRHĐ tối thiểu cần có các nội dung sau:
- Báo cáo sự kiện rủi ro hoạt động: Báo cáo những SKRRHĐ đã xảy ra trong
và ngoài ngân hàng, nêu ra những nguyên nhân, ảnh hưởng và các biện pháp cần thiết để xử lý, khắc phục, ngăn ngừa, giảm thiểu RRHĐ của ngân hàng;
- Báo cáo chỉ số rủi ro hoạt động chính: Báo cáo giá trị các chỉ số rủi ro chính
trong một thời kỳ nhất định và chỉ rõ những biến động bất thường hoặc vượt KVRRHĐ của ngân hàng;
- Báo cáo đánh giá rủi ro hoạt động: Báo cáo đánh giá RRHĐ và biện pháp
kiểm soát tại Nghiệp vụ/Đơn vị phụ trách để đề xuất phương án hành động phù hợp.