CHƢƠNG 2 : PHƢƠNG PHÁP VÀ THIẾT KẾ NGHIÊN CỨU
3.2 Thực trạng công tác quản trị RRTN tại BIDV CN Sở giao dịch III
3.2.2 Về quy trình quản trị rủi ro tác nghiệp
3.2.2.1 Đối với các dấu hiệu rủi ro tác nghiệp
* Xác định dấu hiệu rủi ro tác nghiệp:
Các phòng, bộ phận trực thuộc Chi nhánh xác định các dấu hiệu rủi ro tác nghiệp gồm các nội dung: nguy cơ rủi ro, nguyên nhân gây ra rủi ro, đối tượng gây rủi ro, mức độ rủi ro, tần suất, xu hướng biến động của các dấu hiệu rủi ro đối với từng mặt nghiệp vụ (huy động vốn, tín dụng, chuyển tiền, ngân quỹ, thẻ, tài trợ thương mại, điện toán...)
Các phòng chức năng tại Chi nhánh đều mở sổ theo dõi rủi ro gồm những thông tin cơ bản sau: Nội dung những dấu hiệu rủi ro tác nghiệp, số lần xảy ra, thời gian xảy ra, bộ phận xảy ra, đối tượng gây ra dấu hiệu rủi ro, tổn thất do rủi ro gây ra (nếu có), biện pháp để khắc phục và phòng ngừa. Sổ theo dõi rủi ro được thường xuyên cập nhật hàng ngày khi có rủi ro xảy ra hoặc khi phát hiện có dấu hiệu rủi ro.
Quá trình tự đánh giá và xác định rủi ro tập trung vào bảy (07) nhóm dấu hiệu rủi ro chính:
Dấu hiệu rủi ro liên quan đến mô hình tổ chức, cán bộ và an toàn nơi làm việc: Đánh giá, nhận diện các rủi ro liên quan như: vi phạm mô hình tổ chức, rủi ro từ cán bộ, rủi ro từ việc sắp xếp, bố trí cán bộ, các chi phí bồi thường liên quan đến người lao động và an toàn nơi làm việc.
Dấu hiệu rủi ro liên quan đến cơ chế, chính sách, quy định: Rà soát cơ chế, chính sách, quy định hiện hành nhằm phát hiện dấu hiệu rủi ro: Không có, thiếu hoặc quy định chưa đầy đủ, chưa chặt chẽ, chưa cụ thể, có kẽ hở tạo điều kiện cho kẻ xấu lợi dụng, gây tổn thất cho ngân hàng; Những văn bản, quy định có sự chồng chéo, hoặc không thể thực hiện, những bất hợp lý, gây khó khăn cho người thực hiện; Những văn bản, quy định có nội dung chưa đúng với cơ chế chính sách; quy định của pháp luật hiện hành.
Dấu hiệu rủi ro liên quan đến gian lận nội bộ: Nhận diện những dấu hiệu rủi ro như cán bộ tự thực hiện hoặc cấu kết với khách hàng để thực hiện các hoạt động phạm pháp nhằm mục đích chiếm đoạt tài sản, huỷ hoại uy tín của ngân hàng.
Dấu hiệu rủi ro liên quan đến gian lận bên ngoài: Nhận diện những dấu hiệu rủi ro do các hành động có ý định gian lận, biển thủ tài sản, không tuân thủ pháp luật của khách hàng.
Dấu hiệu rủi ro liên quan đến quá trình xử lý công việc: Theo dõi, thống kê đầy đủ, thường xuyên các lỗi, sai sót phát sinh trong quá trình xử lý công việc, xác định các dấu hiệu rủi ro.
Dấu hiệu rủi ro liên quan đến hệ thống công nghệ thông tin: Thực hiện thống kê, theo dõi đầy đủ các lỗi, sai sót, các sự cố, các dấu hiệu của hệ thống công nghệ thông tin có ảnh hưởng đến hoạt động.
Dấu hiệu rủi ro liên quan đến thiệt hại tài sản: Xem xét, đánh giá khả năng xảy ra các rủi ro liên quan đến thiệt hại tài sản vật chất do yếu tố chủ quan và khách quan.
* Đo lường rủi ro tác nghiệp
Sau khi xác định dấu hiệu rủi ro, các đơn vị chức năng đo lường khả năng xảy ra và mức độ ảnh hưởng của các loại rủi ro. Xác định rủi ro có thể chấp nhận được và rủi ro không thể chấp nhận được. Đo lường rủi ro thực hiện bằng 2 phương pháp: phương pháp định tính và phương pháp định lượng.
Phương pháp đo lường định tính:
Là việc đánh giá, nhận xét về mức độ rủi ro của các dấu hiệu rủi ro đã được xác định.
Dấu hiệu rủi ro đo lường bằng định tính gồm: Rủi ro liên quan đến cán bộ và Rủi ro liên quan đến cơ chế văn bản, quy định.
Cách đo lường: Nhận xét, đánh giá rõ mức độ lớn, nhỏ, tốt xấu, tăng, giảm đạt yêu cầu hay không đạt yêu cầu và giải thích khả năng ảnh hưởng đến nhiệm vụ công việc được giao, ảnh hưởng đến hoạt động kinh doanh của ngân hàng. Việc rà soát cơ chế, quy chế, quy trình nghiệp vụ, hệ thống hỗ trợ, yếu tố bên ngoài và các công đoạn thực hiện tác nghiệp của bộ phận có khả năng dẫn đến rủi ro được thực hiện thông qua việc cán bộ báo cáo trực tiếp cho Trưởng phòng hoặc bằng hình thức lấy ý kiến cán bộ liên quan tại các buổi hội thảo hay các buổi họp nội bộ; Việc đánh giá nhận xét cán bộ thực hiện theo quy trình đánh giá dấu hiệu rủi ro tác nghiệp.
Phương pháp đo lường định lượng:
Là việc đánh giá bằng số liệu cụ thể về mức độ rủi ro, tổn thất của từng loại dấu hiệu rủi ro đã được xác định.
Dấu hiệu rủi ro đo lường bằng định lượng gồm: Rủi ro liên quan đến quá trình xử lý công việc: các công đoạn, các công việc đã có lỗi và sai sót; thống kê
theo dõi các sự cố; Về hệ thống hỗ trợ: các lỗi sai sót từ hệ thống CNTT và chương trình phần mềm; Các yếu tố bên ngoài: Các lỗi, sai sót do khách hàng và các sự kiện bên ngoài.
Cách thức đo lường định lượng: Xác định số lượng lỗi/sai sót/dấu hiệu/sự cố rủi ro tác nghiệp xảy ra
* Tổng hợp, phân tích và báo cáo
Báo cáo dấu hiệu rủi ro tác nghiệp: được thực hiện 1 quý 1 lần
- Chậm nhất vào ngày 23 của tháng cuối quý I, II, III và ngày 13 tháng cuối quý IV, căn cứ vào kết quả của quá trình tự đánh giá, xác định, đo lường rủi ro và các báo cáo kết luận của các đoàn kiểm tra, kiểm toán nội bộ, kiểm toán bên ngoài, Trưởng các phòng thuộc Chi nhánh tổng hợp, phân tích, đánh giá xác định nguyên nhân của từng dấu hiệu rủi ro và xây dựng kế hoạch phòng ngừa và giảm nhẹ rủi ro tác nghiệp.
- Chậm nhất vào ngày 25 của tháng cuối quý I, II, III và ngày 15 tháng cuối quý IV, Phòng quản lý rủi ro của Chi nhánh thực hiện:
Tổng hợp báo cáo rủi ro của các bộ phận nghiệp vụ.
Thu thập các kết luận của các đoàn kiểm tra, kiểm toán nội bộ, thanh tra Ngân hàng Nhà nước, kiểm tra, kiểm toán độc lập.
Tổng hợp các kết quả thực hiện các giải pháp khắc phục của đợt báo cáo trước.
Trên cơ sở các tài liệu và báo cáo tổng hợp, tiến hành tổng hợp, phân tích, đánh giá thực trạng rủi ro tác nghiệp của đơn vị trong kỳ báo cáo, so sánh với các kỳ báo cáo trước. Đánh giá mức độ ảnh hưởng của từng loại dấu hiệu rủi ro và xu hướng biến động của các mức độ rủi ro.
Xác định nhóm những rủi ro có thể chấp nhận được (là những rủi ro kiểm soát được và ít có khả năng gây ra tổn thất) và nhóm rủi ro không thể chấp nhận được (là những rủi ro khó kiểm soát và có khả năng gây ra tổn thất).
Lập báo cáo dấu hiệu rủi ro tác nghiệp và kết quả thực hiện công tác QTRRTN theo mẫu quy định trình Giám đốc chi nhánh phê duyệt và gửi Hội sở chính BIDV để tổng hợp chung toàn hệ thống.
Sau khi đã xác định và đo lường được từng loại rủi ro, tại chính các đơn vị nghiệp vụ cơ sở tiến hành tổng hợp loại rủi ro hoạt động do bộ phận tự xác định, đo lường trong kỳ; Thu nhập các kết luận của kiểm tra, kiểm toán nội bộ, kết luận của Thanh tra Ngân hàng Nhà nước và các cơ quan kiểm tra, kiểm toán độc lập liên quan đến rủi ro tác nghiệp của chi nhánh; Tổng hợp kết quả thực hiện các văn bản chỉ đạo về quản trị rủi ro tác nghiệp có liên quan của Hội sở chính BIDV, trên cơ sở đó xây dựng và triển khai thực hiện kế hoạch phòng ngừa, giảm thiểu rủi ro.
* Giám sát rủi ro tác nghiệp.
Phòng Quản lý rủi ro là đầu mối thực hiện giám sát RRTN của chi nhánh. Nội dung giám sát:
- Theo dõi các hoạt động triển khai công tác quản trị RRTN của các đơn vị để đảm bảo quá trình QTRRTN phải được thực hiện thường xuyên, liên tục.
- Theo dõi, đánh giá kết quả thực hiện các phương án phòng ngừa, giảm nhẹ rủi ro của các đơn vị.
- Theo dõi những dấu hiệu rủi ro có mức độ rủi ro cao, đề xuất biện pháp kịp thời để tránh sự cố rủi ro xảy ra.
- Theo dõi sự biến động mức độ rủi ro của từng loại rủi ro.
- Theo dõi việc lập và gửi đầy đủ các báo cáo về QTRRTN theo quy định.
3.2.2.2. Đối với các sự cố rủi ro tác nghiệp
* Xác định các sự cố rủi ro tác nghiệp:
Sự cố rủi ro tác nghiệp được phân loại như sau:
- Sự cố xác định được giá trị tổn thất là sự cố rủi ro tác nghiệp đã xác định được nguyên nhân và giá trị tổn thất.
- Sự cố không/chưa xác định giá trị tổn thất là sự cố rủi ro tác nghiệp có ảnh hưởng đến hoạt động kinh doanh, uy tín của đơn vị (hệ thống), gồm:
Các sự cố gây ảnh hưởng uy tín ngân hàng, các gian lận, vi phạm trong hoạt động nghiệp vụ (đã bị các phương tiện thông tin đại chúng đưa tin phản ánh về các vi phạm của đơn vị hoặc đã bị các cơ quan liên quan áp dụng các biện pháp chế tài xử phạt hành chính đối với các mức để nhắc nhở, khiển trách, cảnh cáo…. )
Sự gián đoạn trong hoạt động nghiệp vụ gây ảnh hưởng đến khách hàng (nguyên nhân từ hệ thống mạng, đường truyền, chất lượng máy móc thiết bị, …)
Xác định giá trị tổn thất và giải quyết:
Khi phát hiện bất kỳ sự cố rủi ro tác nghiệp nào, lãnh đạo phòng phải báo cáo ngay lãnh đạo chi nhánh để có biện pháp giải quyết.
Phòng quản lý rủi ro phối hợp với phòng chức năng xác định sơ bộ mức độ tổn thất của sự cố rủi ro tác nghiệp xảy ra đối với Chi nhánh và hệ thống (tổn thất bằng tiền, bằng tài sản, tổn thất tiềm tàng, ảnh hưởng đến uy tín)
* Xác định các nguyên nhân gây ra sự cố....
Đưa ra các biện pháp giải quyết sự cố rủi ro tác nghiệp, hành động để ngăn chặn, giảm nhẹ sự cố rủi ro tác nghiệp: Biện pháp trước mắt, biện pháp lâu dài
Các phòng chức năng có liên quan đến sự cố có trách nhiệm:
- Thực hiện các biện pháp giảm nhẹ tổn thất của Chi nhánh hoặc đưa ra các biện pháp theo chỉ đạo của Trụ sở chính.
- Báo cáo kết quả, tình hình khắc phục sự cố cho đến cuối cùng.
- Trong quá trình thực hiện các phòng có thể đề xuất các biện pháp xử lý khác.
Các phòng tại Chi nhánh phải chủ động theo dõi (mở sổ theo dõi), báo cáo các sự cố RRTN và thực hiện các biện pháp xử lý kịp thời và Chi nhánh báo cáo ngay về Hội sở chính của BIDV các nội dung liên quan đến sự cố theo một mẫu biểu theo quy định.
3.2.2.3 Đối với các giao dịch nghi ngờ, bất thường
Báo cáo giao dịch nghi ngờ, bất thường được Hội sở chính BIDV xây dựng cho từng phân hệ nghiệp vụ, báo cáo loại này được lập định kỳ hoặc đột xuất và gửi về các Chi nhánh.
Các phòng có liên quan tại Chi nhánh căn cứ vào Báo cáo giao dịch nghi ngờ, bất thường do Hội sở chính BIDV gửi về thực hiện kiểm tra, đối chiếu, rà soát các giao dịch trong báo cáo giao dịch nghi ngờ, bất thường với các chứng từ, hồ sơ gốc và thực hiện chỉnh sửa các sai sót (nếu có).
Các phòng có liên quan thực hiện báo cáo kết quả kiểm tra, rà soát và đề xuất biện pháp khắc phục theo định kỳ tháng hoặc đột xuất gửi về phòng QLRR.
Phòng Quản lý rủi ro của Chi nhánh tổng hợp kết quả kiểm tra, rà soát và tổng hợp kết quả triển khai các biện pháp khắc phục của Chi nhánh gửi Hội sở chính trước ngày 25 hàng tháng hoặc đột xuất theo yêu cầu.