CHƢƠNG 4 THỰC TRẠNG QUẢN TRỊ RỦI RO HOẠT ĐỘNG TẠI
4.3. Đánh giá thực trạng quản trị rủi ro hoạt động tại Ngân hàng BIDV
4.3.1. Những kết quả đạt đƣợc
4.3.1.1. Những kết quả đạt đƣợc trong nhận dạng rủi ro
Vai trò của quản trị rủi ro hoạt động đã đƣợc Ngân hàng BIDV chú trọng thực hiện thông qua việc triển khai sử dụng các cơng cụ rà sốt giao dịch nghi ngờ, sử dụng các phát hiện của kiểm toán nội bộ và kiểm toán độc lập để nhận dạng, đánh giá các điểm yếu trong kiểm soát và rủi ro hoạt động tiềm ẩn.
BIDV đã ban hành cẩm nang cụ thể hƣớng dẫn quy trình nhận diện rủi ro qua các công cụ khác nhau đƣợc thực hiện định kỳ hàng tháng, hàng quý, hàng năm hoặc đột xuất.
Thơng qua kết quả rà sốt các giao dịch nghi ngờ góp phần giúp Ngân hàng BIDV kịp thời nhận diện các dấu hiệu rủi ro hoạt động ảnh hƣởng đến danh tiếng, nguồn khách hàng và tài sản của Ngân hàng.
4.3.1.2. Những kết quả đạt đƣợc trong đo lƣờng
69% 8% 23% Đã hoàn thành Đang thực hiện Chƣa thực hiện
BIDV đã xây dựng đƣợc ma trận rủi ro hoạt động để mô tả mức độ rủi ro dựa trên tần suất xảy ra và mức độ ảnh hƣởng của các sự kiện rủi ro hoạt động.
BIDV đã xác định mức độ rủi ro hoạt động dựa trên công cụ chỉ số rủi ro trọng yếu (KRI), đa số tập trung vào gian lận giả mạo phát sinh từ thẻ BIDV (KRI 8.1), tài khoản tiền gửi hạch toán lùi ngày hiệu lực (KRI 1.1), tài khoản tiền gửi có kỳ hạn của khách hàng cá nhân phát sinh giao dịch chuyển nhƣợng lớn hơn 3 lần trong vòng 30 ngày (KRI 1.2), yêu cầu dịch vụ khách hàng gửi đến hệ thống IBMB (Ngân hàng điện tử) không đƣợc trả lời (KRI 15.1) và số lần chỉnh sửa trên hệ thống SIBS vƣợt ngƣỡng cảnh báo trong kỳ (KRI 5.2).
4.3.1.3. Những kết quả đạt đƣợc trong theo dõi, kiểm soát rủi ro hoạt động
Ngân hàng BIDV định kỳ thu thập và phân tích sự kiện rủi ro nội bộ và bên ngồi để phục vụ công tác quản trị rủi ro hoạt động, xác định tổn thất rủi ro hoạt động tại BIDV, đáp ứng yêu cầu và báo cáo Ngân hàng nhà nƣớc quy định.
Thu thập và phân tích sự kiện rủi ro hoạt động bên ngoài giúp làm giàu kho dữ liệu rủi ro hoạt động và xác định tồn thất rủi ro hoạt động, đƣa ra bài học kinh nghiệm và cảnh báo rủi ro.
Ngân hàng BIDV sử dụng nhiều chƣơng trình kết xuất dữ liệu báo cáo để theo dõi rủi ro hoạt động, có bộ phận kiểm soát nội bộ thƣờng xuyên giám sát, thanh tra từng đơn vị.
Ngân hàng BIDV đã xây dựng cơ cấu tổ chức với mơ hình 3 tuyến phịng thủ đảm bảo bộ máy giám sát hoạt động độc lập, khơng tham gia vào q trình tạo ra rủi ro, tránh xung đột lợi ích giữa các tuyến phịng thủ.
Những cơng cụ đo lƣờng rủi ro hoạt động mà BIDV đang áp dụng đang dần phù hợp với chuẩn mực và thông lệ quốc tế (Basel).
BIDV đã có những biện pháp phòng ngừa, giảm thiểu rủi ro hoạt động nhƣ xây dựng chính sách quản lý rủi ro hoạt động trong hoạt động thuê ngoài, trong ứng dụng công nghệ, xây dựng kế hoạch hoạt động liên tục.
4.3.1.4. Vận dụng đƣợc 10/11 nguyên tắc và 4/5 công cụ theo khuyến nghị của ủy ban basel trong quản trị rủi ro hoạt động tại BIDV
BIDV xây dựng chính sách quản trị rủi ro hoạt động dựa trên 10 nguyên tắc theo khuyến nghị của ủy ban Basel về tạo môi trƣờng quản trị rủi ro phù hợp; nhận dạng, đo lƣờng, theo dõi, giám sát rủi ro và đề cao vai trò của của cơ quan giám sát. Sử dụng 4 công cụ theo khuyến nghị của ủy ban Basel: Chỉ số rủi ro trọng yếu (KRI), thu thập sự kiện rủi ro hoạt động, ma trận rủi ro hoạt động và sử dụng các phát hiện của kiểm toán.
4.3.2. Những mặt hạn chế
4.3.2.1. Khung quản trị rủi ro hoạt động chƣa chặt chẽ, hiệu quả thực thi chƣa cao
Việc tuân thủ quy định và áp dụng các nguyên tắc quản trị rủi ro hoạt động chƣa chặt chẽ, chỉ phát hiện sự kiện rủi ro hoạt động khi ngƣời vi phạm mất khả năng chi trả, lẫn trốn hoặc khi đã phát sinh các khoản vay nợ xấu, chứ khơng phải nhờ vào khâu kiểm sốt, giám sát rủi ro hoạt động.
4.3.2.2. Văn hóa quản trị rủi ro hoạt động tại Ngân hàng BIDV chƣa phổ biến, kiến thức về quản trị rủi ro hoạt động chƣa cao
Hầu hết các cẩm nang hƣớng dẫn của BIDV về quản trị rủi ro hoạt động đƣợc ban hành vào cuối năm 2018, đầu năm 2019 vì vậy chƣa đƣợc phổ biến đến toàn thể nhân viên.
Nhân viên cịn hạn chế về chun mơn, kỹ thuật, hệ thống cơng nghệ thơng tin cịn yếu kém.
4.3.2.3. Vấn đề công bố thông tin chƣa đƣợc chú trọng, khó tiếp cận dữ liệu tổn thất, để phân tích, đánh giá và xử lý rủi ro hoạt động
Chƣa có số liệu chính thức nào đƣợc công bố về vốn yêu cầu cho rủi ro hoạt động đang sử dụng theo phƣơng pháp chỉ số cơ bản (BIA- Business Indicator Approach) do chỉ mới ban hành vào tháng 7/2019.
Chƣa sử dụng đƣợc phƣơng pháp đo lƣờng tiên tiến (AMA- Advanced Measurement Approach) để tính vốn yêu cầu cho rủi ro hoạt động đạt chuẩn Basel II, chƣa xác định đƣợc chỉ số rủi ro hoạt động cụ thể của BIDV mà chỉ định hƣớng theo tiêu chuẩn Basel.
4.3.2.4. Hoạt động kiểm tra, giám sát còn nhiều hạn chế, đặc biệt đối với các sự kiện mang tính rủi ro cao (tình trạng KRI vƣợt mức báo động trong nhiều kỳ), việc giao dịch vƣợt thẩm quyền, hạn mức cịn xảy ra
Tình trạng KRI vƣợt mức báo động trong nhiều kỳ vẫn còn xảy ra nhƣ tình trạng chủ thẻ BIDV bị đánh cắp thông tin, máy ATM bị lắp đạt thiết bị skiming, giao dịch viên hủy EC bút toán, ấn chỉ bị mất hỏng chƣa đƣợc khai báo trên chƣơng trình và yêu cầu khách hàng gửi đến hệ thống IBMB (internet banking) chƣa đƣợc phản hồi.
4.3.2.4. Chƣa có văn bản, chế tài xử lý rõ ràng các trƣờng hợp vi phạm
Chƣa có văn bản xử lý rõ ràng để các cấp lãnh đạo tham chiếu, xử lý trách nhiệm liên đới khi phát sinh sự kiện rủi ro hoạt động.
4.3.2.5. Kiểm tốn nội bộ chƣa thực hiện đầy đủ vai trị của hàng rào bảo vệ thứ ba
hoạt động nhƣng đƣợc xử lý kín, bộ phận kiểm tốn khơng có thơng tin hoặc khơng đƣợc tham gia. Điều này ảnh hƣởng rất lớn đến việc quản lý rủi ro hoạt động chung của toàn ngân hàng, đặc biệt khi các vụ việc bị che giấu là các vụ việc nghiêm trọng, có nguyên nhân là các lỗ hổng trong quy trình và hệ thống tác nghiệp, hồn tồn có khả năng lặp lại.
4.3.3. Nguyên nhân
4.3.3.1. Một bộ phận các cấp lãnh đạo và nhân viên chƣa nhận thức đƣợc tầm quan trọng của quản trị rủi ro hoạt động.
Chƣa có hệ thống cơng nghệ thơng tin tiên tiến xen lẫn vào các chƣơng trình và tồn bộ hệ thống của BIDV để kịp thời các ngăn chặn, cảnh báo các hành vi gian lận, vƣợt hạn mức.
Kiểm toán nội bộ chƣa thể hiện rõ vai trò, chƣa đem lại nhiều đóng góp cho BIDV nguyên nhân là do kiểm tốn nội bộ vẫn cịn tập trung chủ yếu vào kiểm tra, phát hiện những vi phạm trong việc tuân thủ quy định, quy trình giao dịch, hoạt động tín dụng. Sau khi sai sót, sự kiện rủi ro hoạt động xảy ra thƣờng mới kiểm tra.
Những phát hiện của kiểm toán nội bộ và kiểm toán độc lập chƣa nhận đƣợc sự quan tâm của các cấp lãnh đạo.
Công tác xử lý vi phạm trong quản lý rủi ro hoạt động còn gặp nhiều bất cập do ảnh hƣởng đến nhiều các cấp, cán bộ liên đới trách nhiệm mà thực sự không hề biết bản thân đã vi phạm.
4.3.3.2. Tổ chức đào tạo kiến thức về quản trị rủi ro hoạt động chƣa đƣợc chú trọng
Chƣa có lớp học đào tạo quản trị rủi ro hoạt động phổ biến đến từng nhân viên, xây dựng ý thức quản trị rủi ro trên toàn hệ thống, đƣa ra hƣớng dẫn, cảnh báo, xử lý rủi ro hoạt động.
Chất lƣợng dữ liệu cịn hạn chế về độ dài, tính đầy đủ, chính xác và tính sẵn sàng.
Chƣa có hệ thống dữ liệu về rủi ro thị trƣờng, rủi ro hoạt động, chủ yếu dữ liệu tập trung ở mảng tín dụng.
Các phần mềm thu thập, xử lý dữ liệu tự phát triển đơn giản.
Vấn đề công bố thông tin về sự kiện rủi ro hoạt động và dữ liệu tổn thất gây ra những lo ngại cho BIDV về hình ảnh, uy tín và chất lƣợng dịch vụ của Ngân hàng.
Chƣa có hệ thống tự động trả lời, xử lý yêu cầu khách hàng qua kênh Ngân hàng điện tử.
4.3.3.4. Chƣa có giải pháp cụ thể ngăn chặn các sự kiện RRHĐ có mức độ rủi ro cao, liên tiếp xảy ra trong nhiều kỳ
Đối với sự kiện có mức rủi ro cao, liên tiếp xảy ra trong nhiều kỳ nhƣ tình trạng chủ thẻ BIDV bị đánh cắp thơng tin, BIDV vẫn chƣa có giải pháp cụ thể để ngăn chặn kịp thời.
Chƣa có tài liệu hƣớng dẫn khách hàng giao dịch an tồn, chƣa có hệ thống camera, nhân viên an ninh giám sát tại các máy ATM của BIDV
4.3.3.5. Chƣa có giải pháp xử lý tình trạng chỉ số rủi ro trọng yếu vƣợt mức báo động trong kỳ.
Trung tâm thẻ chƣa có văn bản hƣớng dẫn cụ thể ngăn chặn tình trạng KRI 8.1 (tổn thất gian lận giả mạo phát sinh từ thẻ BIDV) và KRI 8.3 (máy ATM bị lắp đặt thiết bị đọc trộm dữ liệu) vƣợt mức cảnh báo đỏ trong nhiều kỳ.
Chƣa có giải pháp rà sốt, xử lý đối với tình trạng KRI 1.1 (tiền gửi có kỳ hạn lùi ngày hiệu lực), KRI 1.2 (tài khoản tiền gửi của khách hàng cá nhân phát sinh giao dịch chuyển nhƣợng lớn hơn 3 lần trong vòng 30 ngày) và KRI 15.1 (yêu cầu khách hàng gửi đến hệ thống IBMB khơng đƣợc trả lời)
TĨM TẮT CHƢƠNG IV
Nhìn chung, thực trạng quản trị rủi ro hoạt động tại Ngân hàng BIDV đã được chú trọng thực hiện thông qua việc triển khai sử dụng các công cụ chỉ số rủi ro trọng yếu, ma trận rủi ro hoạt động, sử dụng các phát hiện của kiểm toán ... để nhận dạng, đo lường và đánh giá rủi ro hoạt động được hướng dẫn cụ thể trong các quy trình cẩm nang nghiệp vụ. Tuy nhiên, do Ngân hàng BIDV tiếp cận quản trị rủi ro hoạt động theo chuẩn Basel II khá muộn (2018) nên vẫn còn tồn tại những mặt hạn chế về khung quản trị rủi ro chưa chặt chẽ, hiệu quả thực thi chưa cao, văn hóa quản trị rủi ro hoạt động chưa thực sự phổ biến cũng như chưa có văn bản, chế tài xử lý các trường hợp vi phạm
CHƢƠNG 5. KẾT LUẬN VÀ KHUYẾN NGHỊ GIẢI PHÁP NÂNG CAO HIỆU QUẢ QUẢN TRỊ RỦI RO HOẠT ĐỘNG TẠI
NGÂN HÀNG TMCP ĐẦU TƢ VÀ PHÁT TRIỂN VIỆT NAM 5.1. Kết luận
Việc áp dụng Basel II vào quản trị rủi ro hoạt động đang đặt ra rất nhiều thách thức đối với các NHTM Việt Nam nói chung và BIDV nói riêng. BIDV đã rất nghiêm túc xây dựng cơ cấu tổ chức và quy trình theo chuẩn mực quốc tế Basel II. Điển hình BIDV đã ban hành cẩm nang cụ thể hƣớng dẫn sử dụng các công cụ để nhận diện, đo lƣờng và kiểm sốt rủi ro hoạt động, ban hành chính sách quản trị rủi ro hoạt động tuân thủ 11 nguyên tắc theo hƣớng dẫn của ủy ban Basel. Tuy nhiên, hoạt động quản trị vẫn còn nhiều hạn chế về khung quản trị rủi ro hoạt động chƣa chặt chẽ, hiệu quả thực thi chƣa cao, văn hóa quản trị rủi ro hoạt động tại BIDV chƣa phổ biến, vấn đề công bố thông tin chƣa đƣợc chú trọng, khó tiếp cận dữ liệu tổn thất, hoạt động kiểm tra, giám sát còn nhiều hạn chế, đặc biệt đối với các sự kiện mang tính rủi ro cao và chƣa có văn bản, chế tài xử lý rõ ràng các trƣờng hợp vi phạm. Nguyên nhân của những hạn chế trên xuất phát từ việc BIDV tiếp cận Basel II khá muộn, khoảng cuối năm 2018, đầu năm 2019 BIDV mới đƣa ra các chính sách quản trị rủi ro hoạt động.
Trong tƣơng lai, nếu áp dụng thành công Basel II sẽ mở ra cho BIDV nhiều cơ hội tìm kiếm các nhà đầu tƣ chiến lƣợc, đồng thời thay đổi đƣợc cách nhìn của các tổ chức xếp hạng tín nhiệm về hệ thống quản trị rủi ro nói chung và quản trị rủi ro hoạt động nói riêng tại BIDV theo chiều hƣớng tích cực hơn. Về mặt vĩ mơ, việc áp dụng các nội dung tại Basel II là bƣớc đầu để xây dựng nền tảng khung giám sát tài chính quốc gia trong tƣơng lai.
5.2. Khuyến nghị
Trên cơ sở những nguyên nhân gây ra hạn chế trong quản trị rủi ro hoạt động tại BIDV đã nêu ở phần 4.3.3 Chƣơng 4, tôi xin đƣa ra một số khuyến nghị giải pháp nhƣ sau:
5.2.1. Xây dựng khung quản trị rủi ro hoạt động chặt chẽ, đảm bảo hiệu quả thực thi
Hội đồng quản trị cần thuê chuyên gia tƣ vấn xây dựng khung quản trị rủi ro phù hợp với quy định BIDV, môi trƣờng kinh doanh và đạt chuẩn Basel. Trong đó các vấn đề cần chú trọng là hoàn thiện cấu trúc tổ chức quản trị rủi ro hoạt động và chiến lƣợc quản trị rủi ro hoạt động.
Bộ phận kiểm toán nên thay đổi từ phƣơng pháp tiếp cận trên cơ sở tuân thủ (phƣơng pháp truyền thống ở Việt Nam) sang phƣơng pháp tiếp cận trên cơ sở rủi ro vốn đã quen thuộc với các Ngân hàng nƣớc ngoài. Phƣơng pháp tiếp cận này chƣa phổ biến đối với các Ngân hàng Việt Nam do hạn chế về vị thế, năng lực của kiểm tốn viên cịn trong gia đoạn khởi đầu.
Có văn bản quy định rõ ràng xử lý các trƣờng hợp vi phạm
5.2.2. Đào tạo, truyền thông nâng cao nhận thức RRHĐ
Tiếp tục phổ biến và đào tạo cán bộ về khả năng nhận biết các dấu hiệu gian lận, giả mạo kịp thời cảnh báo đến khách hàng về các thủ đoạn lừa đảo phổ biến, tất cả các nhân viên phải hiểu biết về rủi ro hoạt động, đánh giá rủi ro trong tất cả dịch vụ, sản phẩm, quy trình hệ thống BIDV.
Nâng cao tinh thần cảnh giác và ý chí tuân thủ quy định về đảm bảo an toàn hệ thống công nghệ thông tin tại BIDV, bao gồm các quy định về sử dụng email và internet.
Tổ chức các cuộc thi có thƣởng về Basel, trong đó có nội dung về quản trị rủi ro hoạt động, góp phần nâng cao nhận thức về quản trị rủi ro hoạt động đến toàn thể cán bộ, cơng nhân viên trên tồn hệ thống.
5.2.3. Triển khai Basel II đối với hệ thống công nghệ thông tin và dữ liệu
Bảo đảm dữ liệu đầu vào phải thƣờng xuyên đƣợc làm giàu, tăng cƣờng ứng dụng và nâng cao chất lƣợng hệ thống công nghệ thông tin.
BIDV cần nghiên cứu việc thu thập và lƣu trữ dữ liệu đảm bảo bào mật và lâu dài. Góp phần xây dựng kho dữ liệu tập trung tồn hàng, có thể thu thập dữ liệu từ nhiều nguồn khác nhau, chủ động trong công tác làm giàu và kết xuất dữ liệu. Nghiên cứu, mua sắt thiết bị công nghệ thơng tin hỗ trợ nhiều mơ hình quản trị rủi ro hoạt động phức tạp hơn để sẵn sàng tính tốn, đƣa ra những dự đốn, biện pháp phịng ngừa cũng nhƣ hạn chế tối đa những tổn thất có thể xảy ra trong các sự kiện rủi ro hoạt động.
Định lƣợng rủi ro hoạt động theo phƣơng pháp đo lƣờng tiên tiến AMA (hƣớng dẫn của ủy ban Basel).
5.2.4. Cảnh báo, hƣớng dẫn xử lý RRHĐ của các đơn vị tại trụ sở chính
Ban QLRRTT&TN định kỳ có cơng văn cảnh báo các chi nhánh về các dấu hiệu rủi ro tại BIDV cũng nhƣ các Ngân hàng khác trên thị trƣờng Việt Nam và thế giới. Hƣớng dẫn các chi nhánh rà soát, khắc phục sai lỗi trong q trình tác nghiệp thơng