Khung quản trị rủi ro hoạt động

1.2.3 Các công cụ sử dụng để quản trị rủi ro hoạt động tại NHTM

Để thực hiện công tác quản trị rủi ro hoạt động theo các nội dung ở trên, các NHTM thƣờng sử dụng các công cụ sau:

1.2.3.1. Công cụ thu thập và quản lý dữ liệu tổn thất (LDC - Loss Data Collection)

Thu thập và quản lý dữ liệu tổn thất là quá trình tìm kiếm, phát hiện, ghi nhận, tổng hợp, phân tích và lƣu trữ thông tin về sự kiện tổn thất rủi ro hoạt động phát sinh trong ngân hàng.

a. Mục đích của quá trình thu thập và quản lý dữ liệu tổn thất

 Tổng hợp các sự kiện tổn thất xảy ra trên toàn ngân hàng nhằm xây dựng cơ sở dữ liệu chung để đánh giá, phân tích và kiểm soát các rủi ro phát sinh trong quá trình hoạt động.

 Xác định các khu vực rủi ro chính trong ngân hàng một cách chính xác, nhất quán và kịp thời.

 Đƣa ra các bài học kinh nghiệm thông qua dữ liệu ghi nhận để cải thiện và hạn chế rủi ro trong tƣơng lai.

 Xây dựng hệ thống dữ liệu tập trung phục vụ thực hiện tính vốn dự phòng cho rủi ro hoạt động theo phƣơng pháp nâng cao.

b. Nguyên tắc thu thập và quản lý dữ liệu tổn thất rủi ro hoạt động

Các sự kiện tổn thất rủi ro hoạt động cần đƣợc ghi nhận gồm:

 Tổn thất tiềm ẩn: là tổn thất đã phát sinh nhƣng kì vọng thu hồi lại đƣợc thông qua các biện pháp xử lý.

 Tổn thất thực tế: là tổn thất đã phát sinh và xác định không thu hồi đƣợc.

 Cận tổn thất: là tổn thất đáng lẽ đã phát sinh nhƣng đƣợc phát hiện và kịp thời ngăn chặn nên không xảy ra thực tế.

 Giá trị tổn thất phải đƣợc ghi nhận tại thời điểm báo cáo và cập nhật vào cơ sở dữ liệu khi có thay đổi (thu hồi/ phát sinh tăng giá trị tổn thất...).

1.2.3.2. Công cụ tự đánh giá rủi ro hoạt động và biện pháp kiểm soát (RCSA - Risk and Control Seft - Assement)

RCSA là công cụ hỗ trợ các đơn vị tự đánh giá rủi ro hoạt động và các biện pháp kiểm soát nội bộ đƣợc thiết lập để giảm thiểu rủi ro hoạt động tại đơn vị mình.

Đây là công cụ giúp các đơn vị chủ động nhận diện rủi ro hoạt động có thể phát sinh trong quá trình vận hành các quy trình nghiệp vụ của mình, giúp đánh giá tính hiệu quả và hiệu lực của các hoạt động kiểm soát rủi ro nội bộ trong ngân hàng, thông qua các bƣớc: (i) xác định rủi ro tiềm ẩn có thể phát sinh trong hoạt động kinh doanh, vận hành của ngân hàng; (ii) xác định nguyên nhân gây ra rủi ro, đối tƣợng gây ra rủi ro; (iii) đánh giá mức độ ảnh hƣởng của hoạt động kinh doanh của ngân hàng nếu rủi ro xảy ra (ảnh hưởng về tài chính, uy tín hoặc gây gián đoạn kinh doanh); (iv) đánh giá tần suất xảy ra rủi ro (rủi ro có thể xảy ra hàng ngày, hàng tuần, hàng tháng, hàng năm hay 5-10 năm/lần).

1.2.4 Công tác quản trị rủi ro hoạt động tại các NHTM

1.2.4.1 Nhận diện rủi ro hoạt động

Việc nhận diện rủi ro hoạt động thực hiện thông qua hình thức: nhận diện nguy cơ rủi ro, nguyên nhân gây ra rủi ro, đối tƣợng gây rủi ro, mức độ rủi ro, tần suất xảy ra rủi ro. Thông thƣờng nhận diện rủi ro hoạt động trong NHTM đƣợc thực hiện thông qua 7 nhóm dấu hiệu sau:

Nhóm dấu hiệu rủi ro liên quan đến mô hình tổ chức, cán bộ và an toàn nơi làm việc thông qua các hoạt động:

 Rà soát, đánh giá thƣờng xuyên về mô hình tổ chức bộ máy, cơ cấu các bộ phận nghiệp vụ của chính ngân hàng;

 Rà soát, đánh giá công tác tuyển dụng, bổ nhiệm cán bộ, đánh giá, phân tích nguyên nhân cán bộ bỏ việc, chấm dứt hợp đồng lao động, đánh giá việc thực hiện các quy định hay thỏa ƣớc lao động, sức khỏe và an toàn lao động;

 Thu thập, đánh giá cán bộ về trình độ học vấn; các chuyên ngành đã đƣợc đào tạo; kinh nghiệm làm việc; kết quả thực hiện công việc; tuân thủ chấp hành các quy định.

 Thiếu hoặc quy định chƣa đầy đủ, chƣa chặt chẽ, chƣa cụ thể, có kẽ hở tạo điều kiện cho kẻ xấu lợi dụng, gây tổn thất cho ngân hàng.

 Những văn bản, quy định có sự chồng chéo, hoặc không thể thực hiện, những bất hợp lý gây khó khăn cho ngƣời thực hiện.

 Những văn bản, quy định có nội dung chƣa đúng với quy định của pháp luật hiện hành.

Nhóm dấu hiệu rủi ro liên quan đến gian lận nội bộ: Liên quan đến nhóm dấu

hiệu này, các ngân hàng sẽ phải thực hiện nhận diện những dấu hiệu rủi ro nhƣ cán bộ tự thực hiện hoặc cấu kết với khách hàng để thực hiện những hoạt động phạm pháp nhằm mục đích chiếm đoạt tài sản, hủy hoại uy tín của ngân hàng.

Nhóm dấu hiệu rủi ro liên quan đến gian lận bên ngoài: Ở nhóm dấu hiệu này

các ngân hàng phải thực hiện việc nhận diện những dấu hiệu rủi ro do các hành động cố ý định gian lận, lừa đảo của khách hàng hoặc các đối tƣợng bên ngoài khác, nhƣ các hành vi cung cấp thông tin sai sự thật, làm giả hồ sơ giao dịch.

Nhóm dấu hiệu rủi ro hoạt động liên quan đến quá trình xử lý công việc:

NHTM thực hiện việc theo dõi, thống kê đầy đủ, thƣờng xuyên các lỗi, sai sót phát sinh trong quá trình xử lý công việc của tất cả các bộ phận, xác định các dấu hiệu rủi ro nhƣ: thực hiện nghiệp vụ không đƣợc vƣợt quyền, vƣợt thẩm quyền, không tuân thủ quy định, quy trình; kiểm soát không chặt chẽ…

Nhóm dấu hiệu rủi ro liên quan đến hệ thống công nghệ thông tin: Nhóm nhận

diện dấu hiệu rủi ro liên quan đến hệ thống CNTT là việc ngân hàng theo dõi sự hoạt động của hệ thống (phần cứng, hệ thống bảo mật, thiết bị mạng, đường truyền, phần mềm nghiệp vụ…) thống kê theo dõi đầy đủ các lỗi, sai sót, các sự cố của hệ thống CNTT làm ảnh hƣởng đến hoạt động của ngân hàng.

Nhóm dấu hiệu rủi ro liên quan đến thiệt hại tài sản: Nhận diện các dấu hiệu này là việc ngân hàng xem xét, đánh giá khả năng xảy ra các rủi ro nhƣ: phá hoại, khủng bố, thiên tai, động đát, bão lũ, hoả hoạn…

1.2.4.2 Đo lường rủi ro hoạt động

a. Phương pháp định tính:

Là việc phân tích đánh giá, nhận xét chủ quan của mỗi ngân hàng thƣơng mại về mực độ tốt – xấu, lớn – nhỏ; tính nghiêm trọng của các dấu hiệu rủi ro đã đƣợc xác định. Phƣơng pháp định tính đƣợc sử dụng để đo lƣờng các rủi ro liên quan đến mô hình tổ chức cán bộ và an toàn nơi làm việc; liên quan đến chính sách và các quy trình nội bộ.

b. Phương pháp đo lường định lượng:

Là việc đánh giá bằng số liệu cụ thể về mức độ rủi ro (xác suất xảy ra), tổn thất cụ thể của từng loại dấu hiệu rủi ro đã đƣợc xác định. Phƣơng pháp này chủ yếu dựa vào số liệu thống kê của Ngân hàng và đƣợc sử dụng để đo lƣờng RRHĐ liên quan đến các lĩnh vực nhƣ hệ thống thông tin; các gian lận nội bộ hoặc bên ngoài.

Cơ sở hình thành các phƣơng pháp đo lƣờng rủi ro hoạt động là dựa trên mức độ ảnh hƣởng và khả năng xảy ra của rủi ro.

 Việc xếp loại khả năng xảy ra của rủi ro cũng tùy thuộc vào đánh giá của mỗi ngân hàng và có thể dựa vào bảng xếp loại sau:

Bảng 1.1 Thang điểm khả năng xảy ra rủi ro hoạt động

Khả năng xảy ra Mô tả

Rất cao Rủi ro có thể xảy ra hàng ngày, xác suất xảy ra 75%; rủi ro có thể xảy ra hàng tuần, hàng tháng xác suất xảy ra 40 - 75%

Cao Rủi ro có thể xảy ra hàng tuần, hàng tháng xác suất xảy ra 40 - 75% Trung bình Rủi ro có thể xảy ra hàng năm, xác suất xảy ra 25 - 40%

Thấp Rủi ro 1 - 3 năm xảy ra một lần, xác suất xảy ra 25%

Rất thấp Rủi ro rất ít xảy ra 3 - 10 năm xảy ra 1 lần, xác suất xảy ra dƣới 10%

(Nguồn: KPMG International 2005)

Kết hợp mức độ ảnh hƣởng, và khả năng xảy ra, các ngân hàng sẽ tổng hợp đƣợc ma trận rủi ro hoạt động theo phân loại mức đọ trọng yếu của rủi ro:

Bảng 1.2: Ma trận đánh giá rủi ro hoạt động

Khả năng xảy ra sự kiện Ảnh hƣởng Rất ít xảy ra 3 năm mới xảy ra 1 lần hoặc lâu hơn

1 Ít xảy ra Có thể xảy ra nhƣng hiếm khi (1 lần/1 năm) 2 Có khả năng

Đôi khi xảy ra (1 lần/1 quý hoặc lâu

hơn) 3 Khả năng lớn - Thƣờng xảy ra (1 lần/1 tháng hoặc lâu hơn)

4 Chắc chắn Thƣờng xuyên xảy ra ( hơn hoặc 1 lần/1 tuần) 5 Không đáng kể 1 Mức thấp 1 Mức thấp 2 Mức thấp 3 Mức thấp 4 Trung bình 5 Nhỏ 2 Mức thấp 2 Mức thấp 4 Trung bình 6 Trung bình 8 Đáng kể 10 Tƣơng đối 3 Mức thấp 3 Trung bình

6 Đáng kể 9 Đáng kể 12 Nghiêm trọng 15 Lớn 4 Mức thấp 4 Trung bình 8 Đáng kể 12 Nghiêm trọng 16 Nghiêm trọng 20 Nghiêm trọng 5 Trung bình Đáng kể 10 Nghiêm trọng 15 Nghiêm trọng 20 Nghiêm trọng

1.2.4.3 Phòng ngừa và giảm thiểu rủi ro hoạt động

Khi ngân hàng đã xác định đƣợc trách nhiệm đối với việc quản lý rủi ro thì các nhà quản trị rủi ro trong ngân hàng phải phân chia cấp độ quản lý rủi ro một cách rõ ràng, minh bạch. Quản lý rủi ro hoạt động đƣợc phân làm 3 cấp quản lý: Cấp độ chiến lƣợc, cấp độ vĩ mô và cấp vi mô.

Nội dung của phƣơng án phòng ngừa, giảm thiểu rủi ro hoạt động bao gồm:

 Ban hành, sửa đổi, bổ sung chính sách, quy định, quy trình nghiệp vụ cho phù hợp;

 Tăng cƣờng kiểm tra, kiểm soát chặt chẽ việc tuân thủ;

 Kế hoạch đào tạo hoặc tập huấn nghiệp vụ cho cán bộ;

 Kế hoạch sửa chữa, khắc phục các sai sót;

 Các hành động phòng tránh rủi ro hoặc dừng hoạt động có thể gây ra rủi ro;

 Xây dựng kịch bản và thực hiện diễn tập Stress Testing, phƣơng án giảm thiểu rủi ro đối với các sự cố bất ngờ;

 Rà soát, chỉnh sửa, ban hành bổ sung các chế tài xử lý đối với các hành vi vi phạm trong quá trình vận hành;

 Mua bảo hiểm hoặc thực hiện các biện pháp khác để giảm thiểu rủi ro;

 Xây dựng kế hoạch phân bổ vốn để phòng ngừa rủi ro hoạt động.

Ví dụ, sau khi nhận diện và đo lƣờng đƣợc rủi ro, đánh giá đƣợc mức độ trọng yếu của các rủi ro, ngân hàng cần đƣa ra kế hoạch hành động nhƣ sau:

Mức độ rủi ro Kế hoạch hành động.

1 - 4 Mức thấp

Những kiểm soát nhanh chóng, dễ dàng phải đƣợc thực hiện ngay lập tức và tiếp tục cho các kế hoạch hành động khi các nguồn lực cho phép. Giám sát bảo đảm duy trì kiểm soát. Quản lý thông qua các thủ tục thông thƣờng. Cải tiến về kinh tế những nơi có thể. Báo cáo rủi ro phải đƣợc hoàn tất.

5 - 8 Trung bình

Các kế hoạch nhằm giảm bớt rủi ro, nhƣng chi phí của công tác phòng chống có thể đƣợc hạn chế. Đánh giá rủi ro và thực hiện những hành động thích hợp. Các hành động phải đƣợc kiểm soát. Báo cáo rủi ro phải đƣợc hoàn tất, rủi ro phải đƣợc theo dõi.

9 - 12 Đáng kể

Trƣờng hợp các rủi ro liên quan đến công việc đang tiến hành thì việc đánh giá rủi ro càng sớm càng tốt để đảm bảo sự an toàn của công việc, của hoạt động kinh doanh. Chỉ thực hiện hoạt động kinh doanh

trong giới hạn rủi ro chấp nhận đƣợc, liên hệ với ngƣời quản lý rủi ro về những hoạt động đó, để giảm thiểu bớt rủi ro. Báo cáo sự cố phải đƣợc hoàn thành, và sự cố đƣợc đƣa vào theo dõi.

15 - 25 Nghiêm trọng

Không hoạt động cho đến khi việc đánh giá rủi ro đã đƣợc hoàn thành để đảm bảo an toàn của hoạt động kinh doanh, nếu không thể giảm thiểu, loại bỏ thì phải thông báo ngay lập tức với giám đốc, ngƣời quản lý, quản trị rủi ro. Báo cáo sự cố phải đƣợc hoàn tất và sự cố đƣợc đƣa vào theo dõi.

(Nguồn KPMG International 2007) 1.2.4.4. Báo cáo rủi ro hoạt động

Báo cáo rủi ro hoạt động là một phần quan trọng trong công tác quản lý giám sát rủi ro hoạt động để kịp thời đƣa ra các quyết định/kế hoạch hành động để giảm thiểu rủi ro. Báo cáo các thông tin quản lý rủi ro hoạt động phải đƣợc gửi tới HĐQT, Ủy ban QLRR, ban lãnh đạo ngân hàng kịp thời. Nội dung báo cáo gồm các thông tin sau: các loại rủi ro hoạt động hành nghiêm trọng ngân hàng đang phải đối mặt, hậu quả, tác động của rủi ro tới ngân hàng, đánh giá các biện pháp kiểm soát rủi ro hiện tại, kế hoạch khắc phục rủi ro, khu vực rủi ro hoạt động sắp xảy ra, đề xuất biện pháp kiểm soát rủi ro mới.

1.2.4.5. Kiểm soát rủi ro hoạt động

Sau khi xác định, đo lƣờng, đánh giá và đƣa ra các giải pháp phòng ngừa, giảm thiểu rủi ro hoạt động thì câu hỏi đặt ra là làm thế nào để kiểm soát đƣợc rủi ro theo khẩu vị rủi ro của ngân hàng. Để thực hiện kiểm soát rủi ro hoạt động, ngân hàng có thể thực hiện theo nhiều cách thức nhƣ:

 Giám sát khẩu vị rủi ro của ngân hàng;

 Giám sát việc thực hiện kế hoạch hành động để giảm thiểu các rủi ro tiềm ẩn tại các đơn vị;

 Giám sát dấu hiệu biến động của rủi ro hoạt động thông qua việc theo dõi sự biến động của các rủi ro trọng yếu.

Mục tiêu của kiểm soát rủi ro hoạt động là nhằm:

 Cải tiến khả năng phát hiện sớm các rủi ro chƣa đƣợc phát hiện, chƣa đƣợc kiểm soát hoặc đang bị coi nhẹ;

 Đánh giá tốt hơn khả năng chấp nhận rủi ro đã đƣợc phát hiện;

 Triển khai sớm hơn và tốt hơn các hành động nhằm giảm nhẹ rủi ro và các biện pháp để tránh tổn thất.

1.2.4.6 Yêu cầu về vốn cho quản lý rủi ro hoạt động

Theo Basel II năm 2001 và bản sửa đổi năm 2004, có ba phƣơng pháp để tính toán yêu cầu về vốn cho rủi ro hoạt động, theo thứ tự gia tăng dần về mức độ phức tạp và sự nhảy cảm với rủi ro: (i) phƣơng pháp chỉ số cơ bản (BIA – The Basic Indicator Approach), (ii) phƣơng pháp chuẩn (The Standard Approach) và phƣơng pháp nâng cao (iii) (AMA – Advanced Measurement Approaches).

Phƣơng pháp chỉ số cơ bản (BIA – The Basic Indicator Approach)

Các ngân hàng sử dụng phƣơng pháp này phải duy trì mức vốn để đối phó với rủi ro hoạt động bằng mức trung bình qua ba năm trƣớc đó với một tỷ lệ phần trăm cố định (α) trên lợi nhuận gộp hàng năm. Công thức tính hệ số vốn KBIA:

KBIA = n GIx n  1  Trong đó:

 KBIA: yêu cầu vốn tính theo phƣơng pháp BIA

 GI: lợi nhuận gộp hàng năm (> 0), qua 3 năm trƣớc đó

 n: số lần 3 năm có lợi nhuận gộp > 0

 α = 15%, do Ủy ban qui định liên quan đến quy mô ngành

Tỷ lệ α do Ủy ban Basel đặt ra, phản ánh mối liên hệ giữa lƣợng vốn yêu cầu chung của toàn ngành với chỉ số chung của toàn ngành.

Lợi nhuận gộp đƣợc tính bằng doanh thu lãi ròng cộng với doanh thu phí ròng.

Hiệp ƣớc Basel mới không đặt ra các điều kiện cụ thể để đƣợc phép áp dụng Phƣơng pháp Chỉ số Cơ bản đối với các ngân hàng. Tuy nhiên các ngân hàng sử dụng phƣơng pháp này đƣợc khuyến khích tuân theo hƣớng dẫn của Ủy ban Basel về Thông lệ tốt cho Quản lý và Giám sát Rủi ro hoạt động, tháng 2/2003.

1.3. Rủi ro hoạt động tại một số Ngân hàng, bài học kinh nghiệm cho ACB

1.3.1 Rủi ro hoạt động tại một số Ngân hàng trong và ngoài nước