1.2.4.1 Tự đánh giá rủi ro và kiểm soát (RCSA)
RCSA (Risk and Control Self Asessment) [2] là phương pháp mà các đơn vị/bộ
phận tác nghiệp sử dụng để tự xác định và đánh giá các rủi ro nội tại (rủi ro trước khi
có biện pháp kiểm soát), biện pháp kiểm soát rủi ro và rủi ro còn lại (rủi ro sau khi thực hiện biện pháp kiểm soát). Trên cơ sở đó, thiết lập danh mục rủi ro của NHTM.
Các NHTM cần xác định các rủi ro trong tất cả các sản phẩm, các hoạt động và các hệ thống trong NHTM, đồng thời RRHĐ cũng cần phải được rà soát, đánh giá trước khi đưa ra thị trường các sản phẩm mới. Một công cụ thường được sử dụng để xác định, nhận diện RRHĐ hay có thể nói là phát hiện sớm các RRHĐ, đó chính là tự đánh giá và kiểm soát rủi ro.
Tự đánh giá và kiểm soát rủi ro là việc phát hiện và đánh giá các RRHĐ tiềm tàng, tăng cường nhận biết rủi ro, thảo luận và xây dựng kế hoạch hành động hoặc xử lý để giảm thiểu rủi ro. Từng bộ phận trong NHTM phải tự rà soát lại quy trình tác
nghiệp và các biện pháp kiểm soát rủi ro trong tác nghiệp hàng ngày một cách định kỳ, qua đó tự đánh giá mức độ kiểm soát rủi ro; phát hiện các lỗ hổng kiểm soát và mức độ rủi ro tương ứng có thể xảy ra trong hoạt động của bộ phận. Ket quả rà soát, đánh giá rủi ro chính là cơ sở để NHTM xem xét và thiết kế lại, hoặc bổ sung thêm các biện pháp kiểm soát rủi ro phù hợp và cần thiết cho quá trình tác nghiệp.
Như vậy, RCSA phải được thực hiện bởi chính các nhân viên trong ngân hàng, bởi từng bộ phận kinh doanh, vì chính họ mới am hiểu nhất về các điểm chặt chẽ và chưa chặt chẽ, các điểm mạnh và điểm yếu trong quá trình tác nghiệp. Mặt khác, quá trình này cũng giúp các nhân viên, các bộ phận kinh doanh tự nhìn lại quá trình tác nghiệp của mình, chủ động và cam kết thực hiện kiểm soát rủi ro. Tuy vậy, việc thực hiện RCSA của các bộ phận phải được xác minh và kiểm tra bởi kiếm toán, kiểm toán nội nộ thì mới thực sự hiệu quả.
Phương pháp RCSA có thể được thực hiện thông qua bảng hỏi thống nhất trong toàn ngân hàng, hoặc bằng cách phỏng vấn, hoặc thông qua các hội thảo, nhằm đạt được bốn mục tiêu chính:
Thứ nhất: Phát hiện sớm các rủi ro chưa được nhận dạng và không được chấp nhận.
Thứ hai: Đánh giá tốt hơn khả năng có thể chấp nhận các rủi ro đã được nhận dạng.
Thứ ba: Xây dựng các biện pháp kiểm soát hiệu quả hơn đối với rủi ro không được chấp nhận.
Thứ tư: Thực hiện sớm hơn và tốt hơn các hành động giảm thiểu rủi ro.
Từ việc xác định và đánh giá các rủi ro, NHTM lựa chọn các biện pháp để chống đỡ với các rủi ro mà họ có thể gặp phải. Tùy theo mức độ rủi ro hay tỷ suất rủi ro/lợi nhuận mong đợi mà NHTM có thể phòng ngừa rủi ro bằng cách sử dụng các biện pháp như: Tránh rủi ro bằng việc giảm thiểu rủi ro càng nhiều càng tốt; hay là giảm rủi ro - giảm lượng tổn thất phải chịu ứng với mỗi khả năng xảy ra rủi ro bằng cách chuyển giao một phần hoặc chia sẻ rủi ro bằng bảo hiểm. Ngân hàng thương mại cũng có thể tách rủi ro, phân lập con người với rủi ro, tách hẳn khỏi quy trình; hoặc thay thế rủi ro bằng việc lựa chọn một phương án thay thế có tính rủi ro
22
1.2.4.2 Thu thập dữ liệu tổn thất (LDC)
LDC (Loss Data Collection) [2] là quá trình thu thập, phân tích và quản lý các dữ liệu tổn thất bên trong và bên ngoài NHTM từ các sự kiện RRHĐ để phân tích đánh giá về nguyên nhân và mức độ các sự kiện RRHĐ đã xảy ra từ đó:
(i) Kiểm chứng lại danh mục RRHĐ của NHTM. (ii) Bổ sung các RRHĐ chưa được nhận diện. (iii) Đưa ra các biện pháp giảm thiểu rủi ro kịp thời.
LDC được xem là yếu tố quan trọng trong quản trị RRHĐ. Việc thu thập và phân tích các dữ liệu tổn thất nội bộ cung cấp thông tin quản lý cho quá trình quản trị RRHĐ và quá trình giảm thiểu rủi ro. Hơn nữa, cơ sở dữ liệu về các sự kiện tổn thất nội bộ được thu thập liên tục và cung cấp cơ sở cho phân tích định lượng và tính toán việc phân bổ vốn thích hợp.
1.2.4.3 Chỉ số rủi ro hoạt động chính (KRIS)
KRIs (key Risk Indicatiors) [2]là phương pháp thống kê được thực hiện dựa trên các chỉ số có thể đo lường được như số giao dịch, số nhân viên... dựa vào danh mục RRHĐ các đơn vị/bộ phận có thể xây dựng chỉ số RRHĐ chính để sớm nhận biết sự thay đổi trong tần suất hoặc ảnh hưởng của các RRHĐ nhằm kịp thời có kế hoạch hoạt động, biện pháp giảm thiểu rủi ro.
Trên thế giới, các NHTM thường xác định các chỉ số rủi ro chính trong hoạt động của mình. Các chỉ số này có thể hiểu là khả năng xảy ra rủi ro, gây ảnh hưởng đến việc hoàn thành mục tiêu kinh doanh của NHTM. Việc xác định các chỉ số KRI cho phép NHTM có phương pháp theo dõi và chủ động xử lý khi chỉ số rủi ro vượt quá ngưỡng cho phép trong hoạt động hàng ngày.
Các chỉ số rủi ro có thể là chỉ số hoạt động hoặc chỉ số kiểm soát, tùy theo góc độ xem xét, bối cảnh và mục tiêu xem xét. Từng đơn vị/bộ phận có thể xác định những chỉ số rủi ro liên quan đến hoạt động của mình, do đó, tồn tại rất nhiều chỉ số rủi ro. Tuy nhiên, quản lý cấp cao cần xem xét một số chỉ số cô đọng, được gọi là Chỉ số rủi ro chính liên quan đến lĩnh vực hoạt động mà họ phụ trách.
Báo cáo KRIs là dạng bảng về các chỉ số rủi ro chính, nhằm mục đích: (i) Cảnh báo sớm: Phát hiện kịp thời mọi thay đổi trong phạm vi kiểm soát. (ii) Giúp cán bộ quản lý tập trung, kiểm soát RRHĐ trong phạm vi mục tiêu định trước, các giới hạn hoặc định mức chất lượng khác.
(iii) Giúp phân tích RRHĐ đã được xác định một cách chi tiết hơn.
Bên cạnh đó, báo cáo cũng phải thể hiện được sự thay đổi, tiến triển đối với từng chỉ số nhằm cung cấp các dấu hiệu cảnh báo sớm.
1.2.4.4 Báo cáo sự cố bất ngờ
Các báo cáo KRIs định kỳ có thể phản ánh RRHĐ thực tế phát sinh theo kỳ báo
cáo. Tuy nhiên trong trường hợp NHTM gặp sự cố bất ngờ lớn như khủng hoảng, sự cố
do tội phạm nội bộ hay bên ngoài, thì cần phải có báo cáo sự cố bất ngờ để ban lãnh đạo cũng như các phòng ban nghiệp vụ chuyên sâu có ý kiến và chỉ đạo phương án hành động nhằm giảm thiểu tổn thất do các sự kiện RRHĐ gây ra. Báo cáo sự cố bất ngờ phải phản ánh tổn thất thực tế, nguy cơ tổn thất, hoặc mô tả sự cố vừa tránh được,
theo đó, yêu cầu đối với báo cáo sự cố bất ngờ như sau:
(i) Thông báo kịp thời cho ban điều hành và bộ phận quản lý, để có biện pháp can thiệp, xử lý nếu cần.
(ii) Đo lường chi phí RRHĐ.
(iii) Xét xem mức độ ảnh hưởng của sự cố bất ngờ.
(iv) Bù đắp/ khắc phục tổn thất do các sự kiện RRHĐ gây ra.