Rủi ro hoạt động do gian lận nội bộ
Tài sản quý giá nhất của một tổ chức chính là con người, nhưng rủi ro lớn
nhất cũng là ở con người. Đôi khi, rủi ro trong kinh doanh vẫn mang lại lợi nhuận nếu khẩu vị rủi ro tốt. Tuy nhiên, nếu chúng ta có được mô hình tốt, chiến lược phát triển tốt mà công tác quản trị nhân sự yếu kém thì khó thành công. Đặc biệt, tổn thất của rủi ro hoạt động có nguyên nhân từ chính nhân viên
ngân hàng là không nhỏ. Thực tế những năm gần đây, tại VPBank đã xảy ra một số sự cố rủi ro hoạt động liên quan đến vấn đề đạo đức của cán bộ. Các hành vi gian lận thường liên quan đến các cán bộ của các nghiệp vụ: tín dụng, kho quỹ....Một số gian lận đã bị phát hiện ở VPBank như: cán bộ tín dụng giả mạo giấy tờ hàng loạt khách hàng để tiến hành cho vay dù khoản vay không đủ
điều kiện, gây tổn thất cho ngân hàng. Nhiều khoản vay trong số này đã chuyển
thành các khoản nợ quá hạn, gây tổn thất không nhỏ cho ngân hàng. Hay cán bộ
kho quỹ tráo tiền giảd vào tiền thật trong quá trình kiểm kê cuối ngày để biển thủ tài sản. Tổng số tiền mà cán bộ này rút lên tới gần 1 tỷ đồng. Vụ việc đã phát hiện kịp thời, nên VPBank đã thu hồi được toàn bộ số tiền bị chiếm đoạt.
Rủi ro hoạt động do sơ suất của cán bộ nhân viên
chuyển
tiền cho khách hàng khi chưa xác nhận đúng mẫu chữ ký
của bên thứ ba giả mạo chủ tài khoản
Chứng từ chưa đầy đủ chữ ký,
mẫu dấu theo quy định hoặc chứng từ bị tẩy xóa những yếu
tố quan trọng như số tiền bằng
Chuyển tiền sai so với nhu cầu của khách hàng
Nghiệp vụ kho quỹ
Kiểm kê cuối ngày không đúng/đủ thành phần
Không đảm bảo công tác an toàn kho quỹ, không đảm bảo chất lượng của công tác kiểm kê quỹ
Không theo dõi việc ra-vào kho tiền
Nạp tiền vào máy ATM không đúng/đủ thành phần
Nghiệp vụ huy động vốn
Xác nhận số dư sổ tiết kiệm khi sổ tiết kiệm đang được thế chấp vay vốn ngân hàng
Khách hàng có thể lợi dụng đem xác nhận số dư giao dịch bên ngoài VPBank, hành động trên gây ảnh hưởng đến uy tín của VPBank
tin, sai sót trong việc kiểm tra mẫu dấu, chữ kí của khách hàng trên các chứng từ giao dịch
giữ tại máy ATM, ...)
Sai sót của giao dịch viên trong quá trình nhập liệu vào chương trình như chọn sai màn hình, sai sản phẩm...
Gây sai lệch số liệu trên báo cáo tài chính, báo cáo thống kê.
Nghiệp vụ tín dụng
Không giám sát mục đích vay vốn sau giải ngân
Khách hàng có thể sử dụng vốn không đúng mục đích, ảnh hưởng nguồn tài chính trả nợ hàng tháng
Không định giá lại tài sản đảm bảo định kỳ
Ảnh hưởng đến giá trị tài sản có thể thu hồi sau này trong trường hợp khách hang không có khả năng trả nợ
Không điều chỉnh lãi suất theo định kỳ
Thất thoát lãi do thông tin tài khoản vay bị sai lệch
nhân lượng sự kiệ n hưởng tổn thất lượng sự kiện hưởng tổn thất lượng sự kiện hưởng tổn thất Con người 69 6 59.0 % 1617 62.0% 2904 65% Hệ thống ĨT 5“ 0.1 % 379“ 0.0% 478 0 % Quy trình nội bộ 1 2 0.0 % 6 8 0.2% 24 0% Sự kiện bên ngoài 2 2 40.9 % 8 5 37.8% 296 35.4% Tổng 2,14 9 100.0% 2,149 100.0% 2,149 100%
(Nguồn: Báo cáo sự kiện rủi ro VPBank từ 2013-2017)
Rủi ro do con người hiện nay là các rủi ro phát sinh nhiều nhất tại VPBank và là nhóm rủi ro chủ yếu gây tổn thất choVPBank. Theo đó, hơn 60% tổn thất do rủi ro hoạt động phát sinh từ lỗi gian lận, sai sót của nhân viên
Bảng 2.4: Bảng số lượng và tổn thất từ rủi ro hoạt động theo nhóm nguyên nhân tại VPBank
Văn bản quy trình ở VPBank nhìn chung khá đầy đủ. Tuy nhiên, một số văn bản quy định về nghiệp vụ vẫn còn dài dòng, gây khó hiểu đối với nhân viên. Một số vụ việc xảy ra tại VPBank do quy trình không đầy đủ/phù hợp như việc khách hàng thực hiện khoản vay được đảm bảo bởi sổ tiết kiệm trực tuyến. Khoản vay chưa đáo hạn nhưng Khách hàng vẫn có thể tất toán sổ tiết kiệm trên hệ thống. VPBank đã kịp thời phát hiện lỗ hổng trong sản phẩm và điều chỉnh kịp thời nên không phát sinh tổn thất. Hay như vụ việc lãi suất không được điều chỉnh lãi suất thông thường sau khi hết thời gian ưu đãi, do quy định sản phẩm không quy định rõ trách nhiệm của các đơn vị liên quan. Dẫn đến việc VPBank tổn thất tài chính do chênh lệch lãi suất cho vay ưu đãi và lãi suất cho vay thông thường.
Mặc dù rủi ro do quy trình nội bộ phát sinh ít, nhưng tổn thất khi xảy ra là nghiêm trọng. Do quy định trên áp dụng cho toàn bộ hệ thống, phạm vi ảnh hưởng khi phát sinh rủi ro là rất lớn.
2.2.3. Rủi ro do hệ thống
Ngân hàng là ngành kinh doanh sử dụng công nghệ thông tin cao do yêu cầu về tính chính xách, nhanh chóng và bảo mật. Không phải là ngân hàng bắt đầu dự án PCI DSS - chứng chỉ quốc tế về bảo mật dữ liệu thẻ sớm nhất nhưng VPBank là ngân hàng về đích sớm nhất trong số nhiều ngân hàng đang triển khai dự án PCI DSS tại Việt Nam. Việc đạt được chứng nhận bảo mật PCI DSS đã khẳng định năng lực bảo mật nói chung, đặc biệt là năng lực bảo mật của các hệ thống công nghệ thông tin và các hoạt động nghiệp vụ liên quan đến thẻ của VPBank. PCI DSS là một tiêu chuẩn nghiêm ngặt có nhiều yêu cầu kĩ thuật về sự tuân thủ và để đạt được điều đó không những VPBank cần đáp ứng chính xác về mặt năng lực mà còn cần sự phối hợp rất chặt chẽ giữa các bộ phận chức năng trong ngân hàng. Tuy nhiên, VPBank cũng gặp phải một số lỗi hệ thống gây ảnh hưởng đến giao dịch của khách hàng và uy tín của ngân hàng nhưng kịp thời phát hiện và xử lý như: Lỗi hệ thống tin nhắn SMS khi một số khách hàng của VPBank đã nhận được tin nhắn thông báo dư nợ thẻ tín dụng VPBank MasterCard MC2 không chính xác với thực tế. Lỗi hệ thống AMT khiến khách hàng rút tiền tại ATM không thành công nhưng hệ thống vẫn thông báo tài khoản bị trừ tiền.
2.2.4. Rủi ro do sự kiện bên ngoài
Rủi ro hoạt động liên quan đến yếu tố bên ngoài chủ yếu xảy ra ở lĩnh vực tín dụng, nghiệp vụ thẻ và máy ATM, thảm họa tự nhiên.
- Hành vi gian lận liên quan đến nghiệp vụ thẻ và máy ATM như là vụ việc một số đối tượng với các thủ đoạn đánh cắp thông tin cơ bản của khách hàng... rồi dùng sim điện thoại rác để gọi cho khách hàng tự xưng là nhân viên tổ chức từ thiện, công an điều tra, cán bộ thi hành án, nhân viên Ngân hàng
VPBank ,...và thông báo khách hàng có trúng thưởng, được nhận viện trợ từ thiện từ nước ngoài, hoặc hù dọa tài khoản của khách hàng có dính líu các vụ án
hình sự (chủ yếu đánh vào tâm lý cả tin, lòng tham hoặc gây hoang mang cho khách hàng). Để được nhận viện trợ/ nhận thưởng/ giải quyết vụ án, các đối tượng này yêu cầu khách hàng nộp tiền, chuyển khoản một khoản tiền đối ứng ở
ngân hàng VPBank. Hay việc các đối tượng gian lận còn dùng thẻ ATM giả hoặc gắn các thiết bị để đánh cắp thông tin thẻ để rút trộm tiền từ máy ATM.
- Hành vi gian lận liên quan đến yếu tố bên ngoài trong lĩnh vực tín dụng: khách hàng giả mạo, sửa chữa giấy chứng nhận quyền sử dụng
đất để
vay vốn, khách hàng đứng tên vay vốn với tư cách người đại diện vay vốn
tiêu dùng cho cán bộ công nhân viên, tuy nhiên khi đã nhận được tiền giải
ngân không phát tiền cho người vay theo danh sách mà sử dụng chữ ký của
những người này để chiếm đoạt toàn bộ số tiền vay.
- Trộm cắp: Trường hơp Vụ cướp xảy ra ngày 06/03/2015 ở Phòng giao dịch thuộc chi nhánh An Giang. Trong lúc nhân viên giao dịch đang
nhận tiền
từ một kiểm soát viên ngân hàng thì bất ngờ bị một người đàn ông lạ
mặt lao
2.3. THỰC TRẠNG HOẠT ĐỘNG QUẢN TRỊ RỦI RO HOẠTĐỘNG ĐỘNG
TẠI NGÂN HÀNG THƯƠNG MẠI CỔ PHẦN VIỆT NAM THỊNH VƯỢNG (VPBANK)
2.3.1. Cơ sở pháp lý cho hoạt động quản trị rủi ro hoạt động tại ngânhàng hàng
thương mại cổ phần Việt Nam Thịnh Vượng (VPBank)
Quản trị rủi ro hoạt động hiện vẫn là công việc khá mới và khó khăn đối với hệ thống ngân hàng Việt Nam. Việc tiếp cận với các chuẩn mực của Basel, đặc biệt là Basel II đòi hỏi kỹ thuật phức tạp và chi phí khá cao. Đối với một nước có hệ thống ngân hàng mới đang ở giai đoạn phát triển ban đầu như Việt Nam, việc áp dụng Basel II gặp nhiều khó khăn, thách thức và mất nhiều thời gian. Tuy nhiên, trước xu thế hội nhập và mở cửa thị trường dịch vụ tài chính - ngân hàng với nhiều loại hình dịch vụ ngân hàng mới, việc từng bước áp dụng các chuẩn mực Basel tại Việt Nam là yêu cầu cấp thiết nhằm tăng cường năng lực hoạt động, giảm thiểu rủi ro đối với các ngân hàng thương mại và nâng cao năng lực cạnh tranh trong thị trường tài chính quốc tế, tạo điều kiện cho các ngân hàng Việt Nam có thể mở rộng thị trường trong thời gian tới. Do tính cấp thiết của công tác quản trị rủi ro hoạt động này, từ năm 2005, Việt Nam đã có một số văn bản quy định liên quan đến quản trị rủi ro hoạt động, cụ thể:
khống
chế các tỷ lệ an toàn về vốn, sử dụng vốn để các tổ chức tín dụng hoạt động an toàn và hạn chế rủi ro. Quyết định này đã được thay thế, sửa đổi, bổ sung bởi Thông tư số 13/2010/TT-NHNN ngày 20/5/2010, Thông tư số 19/2010/TT-NHNN ngày 27/9/2010, Thông tư số 22/2011/TT-NHNN ngày 30/8/2011, Thông tư số 33/2011/TT-NHNN ngày 08/10/2011, Thông tư số 36/2014/TT-NHNN ngày 20/11/2014, Thông tư số 06/2016/TT-NHNN ngày
27/5/2016, Thông tư số 19/2017/TT-NHNN ngày 28/12/2017. Các thông tư này đã được của Thống đốc Ngân hàng Nhà nước Việt Nam hợp nhất bằng Văn bản số 02/VBHN-NHN ngày 10/01/2018.
- Quyết định số 493/2005/QĐ-NHNN ngày 22/4/2005 của Thống đốc Ngân hàng Nhà nước Việt Nam về việc ban hành “Quy định về phân
loại nơ,
trích lập và sử dụng dự phòng để xử lý rủi ro tín dụng trong hoạt động ngân
hàng của các tổ chức tín dụng”. Quyết định này đã được thay thế, sửa
đổi, bổ
sung bởi Quyết định số 18/2007/QĐ-NHNN, Thông tư số 02/2013/TT- NHNN ngày 21/01/2013, Thông tư số 14/2014/TT-NHNN ngày 20/5/2014.
Các thông tư này đã được của Thống đốc Ngân hàng Nhà nước Việt
Nam hợp
nhất bằng Văn bản số 22/VBHNNHNN ngày 04/6/2014.
- Luật Phòng chống rửa tiền ngày 18/6/2012, Nghị định 116/2013/NĐ-CP ngày 04/10/2013 Quy định chi tiết thi hành một số điều của luật phòng, chống
rửa tiền.
- Nghị quyết số 35/2006/QĐ-NHNN ngày 01/8/2006 của Thống đốc NHNN về việc “Quy định các nguyên tắc quản lý rủi ro trong hoạt động ngân
hàng điện tử”.
- Quyết định số 36/2006/QĐ-NHNN ngày 01/8/2006 của Thống đốc Ngân hàng Nhà nước ban hành “Quy chế kiểm tra, kiểm soát nội bộ của tổ
chức tín
dụng” và Quyết định số 37/2006/QĐ-NHNN ngày 01/8/2006 của Thống đốc
- Quyết định thành lập khối Quản trị rủi ro, ủy ban quản trị rủi ro hoạt động, khung khẩu vị rủi ro, chiến lược quản trị rủi ro.
- Quy định và quy trình báo cáo và quản lý sự kiện Rủi ro hoạt động phát sinh trong ngân hàng, Quy định tự đánh giá rủi ro, Quy định xây dựng và
quản lý các chỉ số rủi ro hoạt động chính, Quy trình rà soát văn bản nội bộ.
2.3.2. Mô hình quản trị rủi ro hoạt động tại ngân hàng thương mại cổphần Việt Nam Thịnh Vượng (VPBank) hiện nay phần Việt Nam Thịnh Vượng (VPBank) hiện nay
(Nguồn: Tài liệu nội bộ VPBank)
- Theo phân công của HĐQT, RCO có trách nhiệm giám sát và đánh giá các rủi ro một cách cẩn trọng, bao gồm nhưng không giới hạn bởi
các rủi
ro về tín dụng, thị trường, vốn, thanh khoản và hoạt động. Ủy ban cũng có
trách nhiệm theo dõi và giám sát các hoạt động của các ủy ban liên quan tới
rủi ro khác bao gồm Hội đồng quản lý tài sản nợ - có (ALCO), Ủy ban quản
trị rủi ro hoạt động (ORC), Ủy ban tín dụng và thu hồi nợ (CCC) và Hội đồng
2
ngoài của Ngân hàng, thực hiện khung đo lường rủi ro hoạt động chính và khung quản lý chống gian lận). ORC nhận báo cáo định kỳ và các đề xuất rủi ro
từ các phòng rủi ro chức năng, bao gồm báo cáo về các xu hướng danh mục của
Ngân hàng, các chính sách quan trọng, các đề xuất về hạn mức rủi ro, các kịch bản kiểm tra sức chịu đựng, báo cáo thanh khoản và báo cáo an toàn vốn cũng như báo cáo cập nhật về việc thực hiện chiến lược rủi ro thường niên.
- Trung tâm quản trị rủi ro hoạt động: Chịu trách nhiệm thực hiện, kiểm tra, giám sát việc triển khai các chính sách quản trị rủi ro hoạt động trên hệ thống; đầu mối tổng hợp, định kỳ báo cáo đến cấp lãnh đạo.
Như vậy, có thể thấy VPBank đã xây dựng được cấu trúc quản trị rủi ro toàn diện với việc phân công cụ thể vai trò trách nhiệm của từng bộ phận trong cấu trúc quản trị đó. Trong cấu trúc đó, VPBank thành lập được trung tâm quản trị RRHD chuyên trách độc lập và xác định được khẩu vị rủi ro cho ngân hàng mình. Giám đốc khối quản trị rủi ro đã được giao nhiệm tập trung quản lý các loại rủi ro một cách toàn diện và độc lập mà không tham gia vào các nghiệp vụ khác của ngân hàng. Đối với rủi ro hoạt động, VPBank đã thực hiện các giải pháp dài hạn như ban hành hệ thống chính sách và các công cụ nền
tảng, trong đó có hệ thống thu thập sự kiện tổn thất và hệ thống theo dõi chỉ số rủi ro chính. Bên cạnh đó, Ngân hàng đã triển khai nhiều sáng kiến ngăn chặn và
giảm thiểu các hành vi gian lận bên trong và bên ngoài, nâng cao hệ thống kiểm
soát nội bộ, cải tiến quy trình và đầu tư nâng cấp hệ thống công nghệ thông tin.
2.3.3. Quy trình quản trị rủi ro hoạt động tại ngân hàng thương mạicổ cổ
phần Việt Nam Thịnh Vượng (VPBank)
Nhận diện rủi ro là khâu quan trọng trong quy trình quản trị rủi ro hoạt động. Hiện nay, bước này đang được VPBank chú trọng triển khai thông qua các hoạt động như sau:
- Thu thập dữ liệu tổn thất (LDC): Là hoạt động ghi nhận, phân tích, đánh giá các sự kiện rủi ro hoạt động đã xảy ra cũng như xác định ảnh hưởng của rủi ro hoạt động đối với hoạt động của VPBank.
VPBank đã xây dựng quy trình thu thập và xử lý các sự kiện rủi ro hoạt động để xây dựng bộ dữ li ệu v ề tổn thất rủi ro hoạt động của VPBank qua các năm. Toàn bộ các CBNV khi thực hiện công việc tại đơn vị mình đều phải thực hiện việc nhận diện rủi ro ho ạt động. Định kỳ hàng tháng, các chi nhánh, đơn vị hội sở sẽ tổng hợp các sự kiện rủi