CHƢƠNG 2 : PHƢƠNG PHÁP NGHIÊN CỨU
3.3. Một số đánh giá về thực hiện quản lý rủi ro hoạt động hƣớng đến đạt chuẩn
3.3.1 Kết quả đạt được
* Về cơ cấu, tổ chức và bộ máy quản lý:
Thứ nhất, trong chiến lƣợc phát triển kinh doanh đã có đề cập đến quản lý rủi ro nói chung và quản lý RRHĐ nói riêng. Techcombank nhận thức đƣợc tầm quan trọng của quản lý RRHĐ đối với hoạt động kinh doanh của ngân hàng, do đó ngân hàng xác định rõ hƣớng phát triển của ngân hàng và những giải pháp tổng thể nhằm đảm bảo và phù hợp với các chuẩn mực và thông lệ quốc tế.
giám sát hiệu quả công tác triển khai thông qua báo cáo, đề xuất của Ủy ban Kiểm toán và Rủi ro (ARCO), Nhóm Công tác Rủi ro (RWG).
- Thứ ba, về khung quản lý RRHĐ và quy trình quản lý rủi ro chung của ngân hàng: Đã hoàn thiện xây dựng và ban hành khung quản trị RRHĐ toàn ngân hàng và xây dựng danh mục RRHĐ theo từng nguyên nhân, lộ trình triển khai. HĐQT đã ban hành Khung quản trị RRHĐ, chính sách quản trị RRHĐ và các quy định/quy trình liên quan đến các cấu phần của Khung quản trị RRHĐ, bao gồm mô hình 3 tuyến phòng thủ. Chính sách quản trị RRHĐ đã quy định rõ các chính sách, quy trình quản lý RRHĐ phải đƣợc định kỳ đánh giá hoặc khi có thay đổi quan trọng về phƣơng pháp và hệ thống quản trị RRHĐ của ngân hàng nhằm phù hợp với các hoạt động, sản phẩm, nghiệp vụ mới cũng nhƣ nhất quán với khẩu vị rủi ro. Cụ thể Khung Quản trị RRHĐ nhƣ sau:
Hình 3.5: Khung Quản trị RRHĐ của Techcombank
(Nguồn: Tài liệu nội bộ của Techcombank)
- Thứ tƣ, về quy trình đánh giá và phê duyệt RRHĐ trong tất cả sản phẩm/hoạt động/quy trình/hệ thống mới: Ngân hàng đã ban hành Quy trình
phát triển sản phẩm, theo đó các sản phẩm/hoạt động/quy trình trọng yếu đều phải đƣợc Bộ phận RRHĐ rà soát tại cả 3 giai đoạn (trƣớc, trong và sau khi triển khai) để nhận diện và đánh giá rủi ro tiềm ẩn thông qua các phát hiện kiểm toán, thu thập và phân tích dữ liệu tổn thất RRHĐ, đánh giá rủi ro, các chỉ số rủi ro chính.
- Thứ năm, đã đƣa vào triển khai công cụ quản lý sự kiện tổn thất và đang thí điểm triển khai 2 công cụ chính yếu là tự đánh giá rủi ro và chốt kiểm soát và chỉ số rủi ro, dự kiến cuối năm 2016 sẽ mở rộng triển khai 2 công cụ này trên toàn ngân hàng.
- Thứ sáu, về báo cáo trạng thái RRHĐ (bao gồm cả tổn thất RRHĐ): Ngân hàng đã thiết lập cơ chế và định kỳ thực hiện báo cáo trạng thái RRHĐ (bao gồm cả tổn thất RRHĐ) cho lãnh đạo đơn vị và BĐH (trực tiếp hoặc qua cơ chế Nhóm công tác Rủi ro (Risk Working Group, cấp độ BĐH mở rộng) toàn hàng.
- Thứ bảy, về quản lý kinh doanh liên tục: Ngân hàng đã bắt đầu nghiên cứu việc quản lý kinh doanh liên tục từ nhiều năm trƣớc. Năm 2012, ngân hàng đã thuê chuyên gia có kinh nghiệm từ ngân hàng HSBC để xây dựng và triển khai quản lý kinh doanh liên tục. Từ năm 2013 đến nay, ngân hàng tiếp tục duy trì và phát triển lĩnh vực này, ví dụ: ngân hàng định kỳ hàng năm rà soát việc phân tích tác động của các sự kiện gây gián đoạn kinh doanh (business impact analysis), định kỳ hàng năm chạy thử địa điểm dự phòng, định kỳ thử lại cây liên lạc và kích hoạt Ủy ban quản lý khủng hoảng.
- Thứ tám, về văn hóa quản lý rủi ro: HĐQT và BĐH đã nhận thức tầm quan trọng của quản lý RRHĐ qua việc nâng cao văn hóa tuân thủ, ban hành văn bản chính sách và phát triển chức năng quản lý RRHĐ ở cả ba tuyến phòng thủ. Đồng thời, HĐQT phê duyệt quy tắc ứng xử, trong đó đặt ra kỳ vọng rõ ràng về tính trung thực và các giá trị đạo đức, nhằm đảm bảo CBNV
hiểu rõ vai trò, nhiệm vụ và quyền hạn của họ trong việc quản lý rủi ro. Chính sách lƣơng thƣởng cũng phù hợp với tuyên bố khẩu vị rủi ro, định hƣớng chiến lƣợc dài hạn, mục tiêu tài chính, an toàn và hiệu quả, và cân bằng rủi ro với thu nhập. Tiếp đến, công tác truyền thông đƣợc chú trọng, đào tạo qua nhiều kênh nhƣ triển khai các khóa đào tạo bắt buộc với tất cả CBNV qua E- learning, các buổi hội thảo chia sẻ của ban lãnh đạo Khối, các bản tin rủi ro hoạt động.
Thứ chín, đã hoàn thiện cơ chế tính vốn K theo yêu cầu của NHNN.
* Về con người:
Với mục tiêu rõ ràng và hỗ trợ tích cực định hƣớng chung của Ngân hàng, mảng quản lý tuân thủ của CBNV toàn hệ thống ngân hàng đã đạt đƣợc những thành tựu đáng ghi nhận, góp phần vào thành công chung của tuyến kinh doanh cũng nhƣ vận hành toàn hệ thống. Hệ thống kiểm soát đƣợc gắn kết trên cả ba tuyến phòng thủ (các đơn vị kinh doanh/hỗ trợ, vận hành tại tuyến phòng thủ thứ nhất, các bộ phận có chức năng kiểm soát tại tuyến phòng thủ thứ hai, và Kiểm toán nội bộ tại tuyến phòng thủ thứ ba), đặc biệt với sự tham gia từ tuyến phòng thủ số một, bộ phận Vận hành chi nhánh và Kiểm soát tuân thủ Vùng đã góp phần tích cực trong việc nhận diện sớm rủi ro, giúp giảm thiểu đáng kể các vi phạm nghiêm trọng và từng bƣớc kiểm soát việc khắc phục tổn thất.
Với những nỗ lực và kết quả đạt đƣợc nêu trên, đã giúp chỉ số tuân thủ đƣợc cải thiện rõ rệt trong năm 2014. Tỷ lệ rủi ro cao trong danh mục RRHĐ toàn ngân hàng đƣợc đẩy xuống mức thấp và kiểm soát tốt. Số liệu tổn thất giảm xuống đáng kể so với năm 2013 (58%), công tác thu hồi tổn thất cũng đƣợc thực hiện hiệu quả hơn với 97% giá trị tổn thất thu hồi đƣợc (so với mức 14% của năm 2013). Hoạt động kiểm soát tuân thủ đã thực hiện góp phần tạo nền tảng và cung cấp các dịch vụ tốt nhất tới khách hàng, hƣớng tới kinh
doanh bền vững cho toàn hệ thống.
Với mục tiêu nâng cao văn hoá tuân thủ, bộ phận quản trị RRHĐ tại tất cả các đơn vị trên toàn hệ thống, ngân hàng đã triển khai thành công qua hàng loạt các hoạt động truyền thông, đào tạo rộng khắp trên toàn hệ thống, sâu sát tới từng cấp chuyên viên trong ngân hàng. Tính trong năm 2014, đã có hơn 30 buổi roadshow đào tạo trực tuyến tại 16 Vùng thuộc Khối Bán hàng và Kênh phân phối (S&D), hơn 20 buổi đào tạo nội bộ với các chủ đề nghiệp vụ chuyên sâu nhƣ Giao dịch phái sinh, Bảo lãnh trong ngân hàng, chủ thể pháp lý trong giao dịch và các vấn đề trong giao dịch dân sự … với sự tham gia chia sẻ của các giảng viên nội bộ và đại diện cơ quan quản lý nhà nƣớc có liên quan đã đƣợc tổ chức thành công, góp phần nâng cao đáng kể nhận thức về quản trị rủi ro cũng nhƣ văn hoá tuân thủ tại các bộ phận từ kinh doanh đến hỗ trợ.
*Về hệ thống văn bản, quy trình nội bộ:
Cùng với đó là công tác quản lý RRHĐ cũng đƣợc định hình thông qua việc hoàn thiện công cụ chính sách, xây dựng lộ trình triển khai các quy định an toàn vốn theo Basel II cùng sự tăng cƣờng giám sát, điều phối xử lý khắc phục rủi ro cao góp phần cải thiện trạng thái Bản đồ nhiệt Rủi ro (Heatmap) toàn ngân hàng. Với các rủi ro có liên quan đến nhiều khối/đơn vị, bộ phận Quản lý RRHĐ đã giữ vai trò chủ trì phân định trách nhiệm, thống nhất hƣớng xử lý và là đầu mối tổng hợp thông tin, tiến độ thực hiện các giải pháp. Nhờ đó, các rủi ro phát sinh đều đƣợc nhận diện sớm và xử lý ngay từ giai đoạn đầu, toàn hệ thống không xuất hiện RRHĐ lớn.
* Về công nghệ thông tin:
Ngân hàng đã và sẽ nâng cấp hạ tầng CNTT để hỗ trợ việc quản lý rủi ro và tính vốn cho rủi ro, hƣớng tới việc nâng cao khả năng lƣu trữ dữ liệu khối lƣợng lớn và phức tạp, khả năng truy xuất báo cáo đa dạng về thông tin theo nhiều chiều phục vụ tốt hơn cho nhu cầu quản lý. Một số các dự án đã
đƣợc triển khai nhƣ:
Triển khai các biện pháp, giải pháp đảm bảo An ninh thông tin theo chiều sâu, nhiều lớp nhƣ: Chống tấn công khai thác trực diện vào các dịch vụ phổ biến từ bên ngoài qua các lớp FW, DDOS, IPS, WAF, OSA, DB Firewall, PAM; Mã hóa dữ liệu, chống thất thoát thông tin; Chống tấn công qua các kênh Internet, Email bằng các giải pháp APT, OSA, Web Filtering, Email Filtering; Định kỳ đánh giá, kiểm thử các hệ thống công nghệ, dịch vụ của Ngân hàng; An ninh thông tin tham gia vào toàn bộ các dự án công nghệ. Đồng thời, xây dựng hệ thống, cơ chế giám sát 24/7 có khả năng phân tích, phát hiện ngăn chặn và phản ứng trƣớc các sự kiện, sự cố An ninh thông tin: Các tấn công từ bên ngoài vào các khu vực nhƣ internet, đối tác, trung tâm dữ liệu, hệ thống mạng, các máy tính. Đặc biệt các tấn công nguy hiểm APT, tấn công các kênh giao dịch nhƣ giao dịch trực tuyến, ATM, SWIFT. Các vi phạm: thất thoát dữ liệu, truy cập trái phép, thay đổi cấu hình trái phép, tạo tài khoản trái phép, thiết bị lạ kết nối vào hệ thống…
* Về thực tế việc triển khai thực hiện Basel II tại Techcombank như sau:
- Ngay từ khi nhận đƣợc công văn yêu cầu của NHNN, Techcombank đã chủ động thành lập Ban quản lý dự án để triển khai Basel II, đồng thời ban hành Quy chế tổ chức và hoạt động của Ban quản lý dự án triển khai Basel II. Mục đích để đảm bảo thực hiện quy định an toàn vốn Basel II theo phƣơng pháp tiêu chuẩn vào cuối năm 2015 và phƣơng pháp nâng cao vào cuối năm 2018. Phát triển hệ thống quản lý rủi ro, bao gồm hệ thống xếp hạng nội bộ, các mô hình đo lƣờng rủi ro khác, các chính sách và quy trình quản trị rủi ro, hệ thống cơ sở dữ liệu và hạ tầng CNTT theo quy định của NHNN và yêu cầu của Basel II. Để thực hiện đƣợc các công việc theo quy định của Basel II, Techcombank đã thuê Công ty Kiểm toán và tƣ vấn Ernst & Young Việt Nam và Singapore thực hiện tƣ vấn và đánh giá chênh lệch của Techcombank hiện
nay so với tiêu chuẩn Basel II. Đồng thời, tiến hành xây dựng lộ trình triển khai Basel II với một số dự án cụ thể.
- Thành phần của Ban quản lý dự án triển khai Basel II bao gồm đại diện từ HĐQT, Tổng giám đốc, Giám đốc Khối và Nhóm dự án triển khai Basel II. Nhiệm vụ của Nhóm dự án triển khai Basel II phối hợp với các bên liên quan để triển khai các công việc của dự án, chuẩn bị các văn bản, tài liệu, báo cáo, xử lý và phân tích dữ liệu cần thiết cho việc thực hiện dự án nhằm thực hiện báo cáo mức độ chênh lệch (Gap Analysis) và xây dựng kế hoạch triển khai tổng thể để đảm bảo thực hiện quy định an toàn vốn theo phƣơng pháp tiêu chuẩn vào cuối năm 2015 và phƣơng pháp nâng cao vào cuối năm 2018.
- Với kết quả đánh giá, về cơ bản Techcombank đã đáp ứng đƣợc theo quy định của Basel II và đang từng bƣớc vận dụng theo hƣớng dẫn của Basel II trong nội bộ ngân hàng, ngoại trừ một số điểm cần thực hiện theo lộ trình. Các công việc chính tiếp theo là xây dựng kế hoạch hành động, có lộ trình cụ thể để thu thập và hoàn thiện hệ thống cơ sở dữ liệu và đầu tƣ vốn phát triển tƣơng ứng hệ thống CNTT để đáp ứng đủ theo yêu cầu; đào tạo và hƣớng dẫn các đơn vị liên quan về nội dung và cách thức triển khai của Basel II.