2.2.3.1 Mô hình tổ chức bộ máy
Theo Ủy ban Basel và quy định của NHNNVN, hệ thống kiểm soát nội bộ, quản trị rủi ro của các NHTM phải được tổ chức theo 03 vòng kiểm soát, bao gồm:
(i) Vòng kiểm soát thứ nhất: Là các đơn vị trực tiếp kinh doanh, trực tiếp giao dịch với khách hàng, do đó là nơi trực tiếp nhận rủi ro từ hoạt động kinh doanh và chịu trách nhiệm quản trị rủi ro từ khâu nhận diện, đánh giá/đo lường, kiểm soát, giám sát, cho đến khâu báo cáo.
(ii) Vòng kiểm soát thứ hai: Là các đơn vị quản trị rủi ro tổng thể cấp độ toàn hệ thống VietinBank thông qua thực hiện chức năng xây dựng các chính sách, quy trình, quy định nội bộ về quản trị rủi ro, đo lường, theo dõi, giám sát...
(iii) Vòng kiểm soát thứ ba: Là bộ phận kiểm toán nội bộ, có chức năng đánh giá độc lập, khách quan tính đầy đủ và hiệu quả của hoạt động quản trị rủi ro trong ngân hàng.
Tại VietinBank, bộ phận quản trị rủi ro hoạt động đã được hình thành từ năm 2006. Đến nay, VietinBank đã tổ chức bộ máy quản trị rủi ro đáp ứng theo đúng các khuyến nghị của Ủy ban Basel và các quy định của NHNNVN. Cụ thể, cơ cấu tổ chức các vòng kiểm soát rủi ro tại VietinBank như sau:
Sơ đồ 2.2 Sơ đồ cơ cấu tổ chức quản trị rủi ro hoạt động tại VietinBank
(Nguồn: Ngân hàng thương mại cổ phần công thương Việt Nam)
Có thể thấy, mô hình quản trị RRHĐ của VietinBank tương đối đồng nhất với mô hình quản trị RRHĐ theo khuyến nghị của Base II. Tuy nhiên, tại VietinBank có xây dựng thêm một vòng kiểm soát đó là vòng kiểm soát 1.5. Cụ thể, chức năng và nhiệm vụ các vòng kiểm soát như sau:
Vòng kiểm soát thứ nhất là các chi nhánh và các phòng ban tại trụ sở chính trực tiếp thực hiện các hoạt động kinh doanh như: phòng kinh doanh ngoại tệ, phòng kinh doanh vốn, phòng thị trường vốn, trung tâm thẻ...
57
Vòng kiểm soát 1,5 - là các khối nghiệp vụ chuyên môn tại trụ sở chính, thực hiện quản lý theo ngành dọc các mảng hoạt động kinh doanh trong NHTM, bao gồm: Khối khách hàng doanh nghiệp, Khối Bán lẻ, Khối Tài chính, Khối Phê duyệt tín dụng, Trung tâm thanh toán, Trung tâm tài trợ thương mại.... Các đơn vị này thực hiện chức năng quản trị rủi ro thông qua việc tham mưu, tư vấn cho Ban lãnh đạo xây dựng các cơ chế, quy định, quy trình, hệ thống, hướng dẫn nghiệp vụ, sản phẩm dịch vụ, các biện pháp kiểm soát rủi ro đối với từng mảng hoạt động của NHTM; thực hiện chức năng kiểm tra, giám sát chi nhánh trong việc tuân thủ các quy định nội bộ của ngân hàng.
Vòng kiểm soát thứ hai đối với quản trị rủi ro hoạt động tại VietinBank là Phòng quản lý rủi ro hoạt động đặt tại Trụ sở chính, chịu trách nhiệm xây dựng các quy trình, quy định, các công cụ quản trị rủi ro hoạt động để áp dụng thống nhất trong toàn hệ thống, quản lý tập trung các dữ liệu về rủi ro hoạt động tại toàn bộ các đơn vị, nghiệp vụ, đưa ra các khuyến nghị cần thiết lên ban lãnh đạo nhằm thiết lập các chốt kiểm soát, ngăn chặn rủi ro tại các luồng nghiệp vụ. Hiện nay, các sản phẩm dịch vụ mới tại VietinBank trước khi ban hành và đưa vào kinh doanh đều phải được phòng Quản lý rủi ro hoạt động rà soát, đưa ra các khuyến cáo về những rủi ro tiềm ẩn để các đơn vị nghiệp vụ hiệu chỉnh, hoàn thiện sản phẩm trước khi đưa vào sử dụng. Phòng Quản lý rủi ro hoạt động trực thuộc Ban điều hành quản lý và thực hiện báo cáo lên Tổng Giám đốc.
Vòng kiểm soát thứ ba tại VietinBank giống như trong quy định của NHNNVN
và khuyến nghị của Ủy ban Basel, là Phòng Kiểm toán nội bộ. Phòng Kiểm toán nội bộ
có chức năng thực hiện các đợt kiểm tra thường xuyên, định kỳ hoặc đột xuất tại các đơn vị kinh doanh nhằm đánh giá các rủi ro và hiệu quả của bộ máy quản lý rủi ro, các
chính sách, quy trình, quy định về quản trị rủi ro trong ngân hàng và báo cáo trực tiếp
lên Ban kiểm soát, cơ quan giám sát của Đại hội đồng cổ đông. 57
Chức năng nhiệm vụ và quy trình phối hợp giữa các bộ phận cũng đã được VietinBank quy định tương đối rõ ràng, toàn diện và đầy đủ. Neu từng bộ phận, từng đơn vị trong bộ máy đều thực hiện đầy đủ, nghiêm túc và có trách nhiệm các chức năng, nhiệm vụ của mình, và phối hợp trao đổi thông tin hiệu quả, nhịp nhàng đối với các đơn vị khác thì hoạt động quản trị rủi ro hoạt động tại VietinBank sẽ có thể đạt được hiệu quả như mong muốn.
2.2.3.2 Quy trình quản trị rủi ro
Quy trình quản trị rủi ro hoạt động tại VietinBank đang được thực hiện theo thông lệ, bao gồm 5 bước: Nhận diện; Đánh giá/Đo lường; Kiểm soát; Giám sát và Báo cáo.
Trong đó, tại từng khâu của quy trình, các đơn vị tại từng vòng kiểm soát đều có chức năng, nhiệm vụ và trách nhiệm được xác định rõ ràng, ví dụ như đối với khâu nhận diện rủi ro: trong khi các đơn vị trực tiếp kinh doanh có trách nhiệm nhận diện, phát hiện các rủi ro tiềm ẩn từ chính trong quá trình tác nghiệp, giao dịch hàng ngày tại đơn vị thì các phòng nghiệp vụ theo ngành dọc tại trụ sở chính thực hiện phát hiện, nhận diện rủi ro thông qua công cụ RCSA - tự nhận diện và đánh giá rủi ro thông qua rà soát quy trình thực hiện từng bước của nghiệp vụ đó hoặc thu thập, phân tích các sự kiện rủi ro và tìm hiểu nguyên nhân từ các vụ việc trong và ngoài VietinBank; Phòng quản lý rủi ro hoạt động chịu trách nhiệm nhận diện các rủi ro trọng yếu mang tính toàn hàng thông qua các công cụ như phân tích kịch bản, xây dựng và theo dõi hạn mức các KRIs - các chỉ số rủi ro chính của ngân hàng; Phòng kiểm toán nội bộ có chức năng nhận diện các rủi ro hoạt động trọng yếu, mang tính chiến lược ở các cấp thông qua quá trình kiểm toán độc lập.
Có thể nói, về mặt quy trình, VietinBank cũng đã xây dựng được một quy trình đầy đủ, khép kín, tuân thủ đúng theo các quy định hiện hành của NHNNVN và của Ủy ban Basel. Tuy nhiên, trên thực tế, một số vấn đề bất cập trong việc triển khai thực tiễn đã khiến cho quy trình không đạt được hiệu quả như mong muốn, bao gồm: Các cán bộ nhân viên tại các đơn vị kinh doanh còn chủ quan, chưa ý thức đúng đắn về mức độ nguy hiểm của các rủi ro tiềm ẩn cũng như vai trò, trách nhiệm của cá nhân trong khâu nhận diện, phát hiện ra các rủi ro và báo cáo kịp thời lên cấp
∣κs 8.2. Thực hiện ầ
Nhận diện RRHD
Đánh giá rủi ro - xác định và
đánh giá hiệu quà BPKS KẾ hoạchhành động
Báo cáo
59
có thẩm quyền; các đơn vị quản lý nghiệp vụ tại vòng 1,5 chưa nhận diện được hết các rủi ro có thể phát sinh trong từng quy trình nghiệp vụ, một số trường hợp đã nhận diện được các rủi ro nhưng biện pháp kiểm soát đưa ra chưa hiệu quả; phòng quản lý rủi ro hoạt động chưa xây dựng được một khẩu vị rủi ro với các hạn mức rõ ràng, cụ thể để có thể đưa ra các cảnh báo kịp thời; các chốt kiểm soát do vòng kiểm soát 1,5 và 2 đưa ra không được các đơn vị kinh doanh trực tiếp (vòng kiểm soát thứ 1) tuân thủ và duy trì triệt để, hiệu quả do văn hóa chủ quan hoặc thiếu trách nhiệm trong công tác; Việc kiểm tra, giám sát công tác quản trị rủi ro tại các đơn vị kiểm soát vòng 1 chưa được thực hiện triệt để, toàn diện do sự hạn chế về thời gian và nguồn nhân lực của các đơn vị kiểm soát vòng 1,5, vòng 2, vòng 3...
2.2.4 Triển khai công tác quản trị rủi ro hoạt động tại VietinBank 2.2.4.1 Nhận diện, kiểm soát, ngăn ngừa rủi ro xảy ra
Hiện nay, VietinBank đã áp dụng và triển khai 4/6 công cụ quản trị rủi ro hoạt động mà NHNNVN đưa ra tại thông tư số 13/2018/TT-NHNN về hệ thống giám sát tại các NHTM (vượt so với yêu cầu tối thiểu của NHNNVN 02 công cụ). Các công cụ VietinBank đang áp dụng bao gồm: (i) Thu thập và phân tích số liệu tổn thất nội bộ và bên ngoài (LDC); (ii) Tự đánh giá và kiểm soát rủi ro hoạt động (RCSA); (iii) Sử dụng chỉ số rủi ro trọng yếu (KRI); (iv) Sử dụng các phát hiện của kiểm toán nội bộ và kiểm toán độc lập.
Trong số các công cụ VietinBank đang áp dụng thì RCSA, LDC và KRI là 03 công cụ cơ bản mà ngân hàng sử dụng để quản trị rủi ro hoạt động ở cấp độ toàn hàng.
2.2.4.1.1 Công cụ RCSA: Để thực hiện công cụ RCSA, các phòng nghiệp vụ tại trụ sở chính phối hợp cùng phòng quản lý rủi ro hoạt động thực hiện rà soát mọi sản phẩm, hoạt động, quy trình nhằm tự nhận diện, đánh giá mức độ rủi ro hoạt động tiềm ẩn, các biện pháp kiểm soát cần thiết và xác định mức độ rủi ro còn lại (sau khi đã thực hiện biện pháp kiểm soát), đề xuất, áp dụng kế hoạch hành động nhằm ngăn chặn, giảm thiểu và khắc phục các rủi ro hoạt động tiềm ẩn.
Quy trình thực hiện xây dựng RCSA đối với các luồng nghiệp vụ cơ bản như sau:
59 60
‘Lập kế hoạch RCSA (thời gian, luống công việc) ‘Thống nhất mục tiéu luồng công việc ‘Thu tháp thông tin, tài
liệu •Thống nhát các đơn vị liên quan •Xác định lưu đồ cống việc •Nhận diện RRHD tiềm ần tại từng bước thực hiện công việc
• xếp hạng rủi ro dựa trẽn Khà năng xày ra và Mức
độ ành hường cùa rủi ro
•Lựa chọn các RRHD trọng yểu, xác định Nguồn gổc phát sinh RRHD và phân loại RRHĐ.
•Xác định đơn VỊ chịu rủi ra.
2.Xacdinh BPKS
•Xác định các BPKS tương ứng với từng RRHD
trọng yếu nhận diện
•Xác định Đơn VỊ thiết kế BPKS và Đơn vị thực hiện BPKS
3.Đánh giá hiệu quả BPKS
• Đánh giá hiệu quá cùa BPKS dựa trên thiết kế và
thực hiện.
4.Xác định mức độ rủi ro còn lại
•xếp hạng rùi ro còn lại sau khí đã đánh giá hiệu quà cua BPKS Đề xuất các Kể hoạch hành động Báo cáo danh mục RRHD, bản đồ RRHD , XU hướng và kế hoạch hành động •Điều chỉnh danh mục RRHĐ.dựa trên dữ liệu tồn thát, chỉ số rủi ro chính... •Đảnh giá lại hiệu quả BPKS
• Giám sát thực hiện phương án hành động
(Nguồn: Ngân hàng thương mại cổ phần Công thương Việt Nam)
Mặc dù đã có phương pháp luận và quy trình quy định cụ thể rất rõ từng bước thực hiện và trách nhiệm của các đơn vị liên quan trong quy trình, tuy nhiên trên thực tế, việc triển khai công cụ RCSA tại VietinBank vẫn chưa đạt được hiệu quả như mong muốn bởi các đơn vị tại vòng kiểm soát thứ nhất và vòng kiểm soát 1,5 chưa chủ động, tích cực trong việc rà soát, đánh giá các rủi ro tiềm ẩn và hiệu quả của các biện pháp kiểm soát tại các quy trình nghiệp vụ thuộc đơn vị mình quản lý, chủ yếu phụ thuộc vào đơn vị kiểm soát vòng 2 là Phòng quản lý rủi ro hoạt động, trong khi Phòng quản lý rủi ro hoạt động không thể nắm bắt được hết các quy trình nghiệp vụ chuyên sâu, thiếu các thông tin thực tiễn về kinh nghiệm triển khai các nghiệp vụ cũng như hạn chế về nhân lực, thời gian để có thể đánh giá hết các quy trình tại tất cả các mảng nghiệp vụ trong ngân hàng.
2.2.4.1.2 Công cụ LDC: các đơn vị nơi phát sinh các sự kiện rủi ro, thường là các chi nhánh, có trách nhiệm báo cáo kịp thời và đầy đủ các rủi ro phát sinh và thông
tin liên quan, bao gồm: nguyên nhân, mức độ thiệt hại, các phương án xử lý ban đầu...,
các đơn vị kiểm soát vòng 1,5 và vòng 2 sẽ thực hiện thu thập, phân tích và đánh giá mức
độ ảnh hưởng và nguyên nhân của các sự kiện rủi ro hoạt động, từ đó nhận diện rủi ro
hoạt động và đưa ra các biện pháp ngăn ngừa, kiểm soát rủi ro kịp thời.
61
VietinBank đã xây dựng hệ thống phần mềm hồ sơ rủi ro (Risk Profile) để ghi nhận và quản lý các thông tin về rủi ro trong hoạt động ngân hàng, trong đó bao gồm rủi ro tín dụng, rủi ro hoạt động, rủi ro tổng thể. Các sự kiện rủi ro hoạt động sau khi phát sinh sẽ được ghi nhận tất cả các thông tin liên quan như đơn vị phát sinh, mô tả rủi ro, nguyên nhân, mức độ thiệt hại, biện pháp khắc phục.. .lên phần mềm này. Qua
đó VietinBank có hệ thống cơ sở dữ liệu về rủi ro hoạt động để có thể theo dõi, giám sát, đánh giá các rủi ro và đưa ra các biện pháp kiểm soát kịp thời.
Ngoài ra, hệ thống thông tin hồ sơ rủi ro cũng cho phép VietinBank thống kê và theo dõi diễn biến các sự kiện rủi ro theo nhiều chiều thông tin khác nhau, ví dụ theo phân nhóm nghiệp vụ:
Hệ thống hồ sơ rủi ro đã phát huy hiệu quả đáng kể trong việc giúp Ban lãnh đạo và bộ phận quản trị rủi ro hoạt động tại VietinBank theo dõi, giám sát tình hình rủi ro hoạt động trong hệ thống theo nhiều chiều khác nhau, từ đó đưa ra các biện pháp cần thiết để kiểm soát, giảm thiểu rủi ro tại từng nghiệp vụ, từng đơn vị. Tuy nhiên, trên thực tế, việc vận hành công cụ LDC tại VietinBank cũng còn những hạn chế nhất định mà nguyên nhân chủ yếu là do các đơn vị phát sinh rủi ro không chủ động trong việc khai báo đầy đủ, kịp thời các sự kiện rủi ro hoạt động xảy ra do tâm lý e ngại, mà chủ yếu là của các chi nhánh (thông thường các chi nhánh có xu hướng che đậy, không muốn báo cáo về các vụ việc rủi ro xảy ra). Do đó, thông tin thống kê,
quản lý về các sự kiện rủi ro hoạt động chưa được cập nhật đầy đủ, kịp thời.
2.2.4.1.3 Đối với công cụ KRI: VietinBank xây dựng các ngưỡng KRI cho từng nghiệp vụ, mảng hoạt động, bao gồm 03 ngưỡng: ngưỡng chấp nhận, ngưỡng cảnh báo và ngưỡng nguy hiểm. Khi các chỉ số KRI (là các con số thống kê đo lường
tần suất/mức độ rủi ro của từng nghiệp vụ) chạm ngưỡng cảnh báo, VietinBank sẽ đưa
ra các cảnh báo tới các đơn vị phát sinh KRI đó để các đơn vị chủ động thắt chặt kiểm
soát, ngăn ngừa rủi ro. Khi KRI chạm đến mức nguy hiểm, trụ sở chính VietinBank có
thể có các biện pháp can thiệp ngay lập tức như giới hạn thẩm quyền hạn mức tín dụng
của chi nhánh, cắt quyền thực hiện giao dịch, nghiệp vụ nào đó của chi nhánh. nhằm ngăn chặn các rủi ro tiềm ẩn có thể xảy ra. Các ngưỡng chấp nhận, cảnh báo hay nguy
hiểm của từng KRI và các biện pháp hành động khi KRI chạm từng ngưỡng sẽ do các
đơn vị vòng 1,5 và vòng 2 trao đổi, thống nhất thiết lập với các đơn vị tại vòng kiểm soát thứ 1 và được đệ trình lên Ban lãnh đạo VietinBank phê duyệt.
Hiện tại, VietinBank đang sử dụng một số KRIs ở cấp độ toàn hàng như: Số sự cố CNTT; Số truy cập có nguy cơ/dấu hiệu tấn công mạng; Số lần sổ sách kế toán không cân vào cuối ngày; Số phàn nàn của khách hàng; Số lần gian lận nội bộ được phát hiện; Số lần giao dịch vượt thẩm quyền được phát hiện; Số lần ngân hàng nhận diện sai khách hàng...
Từ công cụ LDC và KRI, phòng quản lý rủi ro hoạt động sẽ tổng hợp thông tin và đưa ra các báo cáo tổng hợp khác nhằm thực hiện mục tiêu quản trị ở cấp độ toàn hàng, ví dụ như bản đồ rủi ro hoạt động - cho phép xác định các vùng có mức độ rủi ro cao/thấp, từ đó có các biện pháp kiểm soát rủi ro cho từng vùng nghiệp vụ, đơn vị.