Quy trình quản trị rủi ro hoạt động

CHƢƠNG 4 THỰC TRẠNG QUẢN TRỊ RỦI RO HOẠT ĐỘNG TẠI

4.1. Thực trạng quản trị rủi ro hoạt động

4.1.3. Quy trình quản trị rủi ro hoạt động

Bƣớc 1. Nhận dạng rủi ro hoạt động: Nhận dạng các rủi ro hoạt động, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro

Bƣớc 2. Đo lƣờng rủi ro hoạt động: Đo lƣờng RRHĐ thơng qua lƣợng hóa tổn thất RRHĐ bằng các công cụ đo lƣờng nhƣ chỉ số rủi ro trọng yếu (KRI), thu thập sự kiện rủi ro hoạt động, ma trận rủi ro hoạt động và sử dụng các phát hiện của kiểm toán.

Đo lƣờng RRHĐ bảo đảm kịp thời, chính xác; cơng cụ đo lƣờng đƣợc kiểm tra, đánh giá định kỳ; dữ liệu đo lƣờng bảo đảm độ tin cậy, phù hợp và có thể kiểm tra.

Bƣớc 3. Theo dõi tình hình rủi ro hoạt động: Theo dõi, giám sát RRHĐ và đánh

giá kịp thời, cảnh báo sớm khả năng vi phạm các hạn mức RRHĐ, bảo đảm an toàn hoạt động. Báo cáo về theo dõi RRHĐ đảm bảo kịp thời, chính xác, đầy đủ và đƣợc gửi đến các bộ phận liên quan.

Bƣớc 4. Kiểm soát rủi ro hoạt động: Kiểm soát nội bộ của Ngân hàng và các biện

pháp khác đƣợc xây dựng theo yêu cầu từng thời kỳ. Kiểm soát quản trị rủi ro hoạt động từng thời kỳ. (Chính sách quản trị rủi ro hoạt động BIDV, 2018)

4.1.4. Công cụ quản trị rủi ro hoạt động

4.1.4.1. Chỉ số rủi ro trọng yếu (KRI – Key Risk Indicator)

Nguyên tắc lựa chọn KRI

Có thể đo lƣờng thƣờng xuyên.

Dữ liệu đầu vào dễ theo dõi, dễ thu thập, có khả năng khai thác từ hệ thống.

Có khả năng cảnh báo sớm các rủi ro hoặc tổn thất xảy ra để đề xuất các phƣơng án dự phòng nhằm ngăn ngừa, giảm thiểu rủi ro hoặc tổn thất do rủi ro gây ra.

Liên quan đến nghiệp vụ dự kiến cần tăng cƣờng cảnh báo rủi ro. (Cẩm nang quản trị rủi ro hoạt động BIDV, 2019)

Một số chỉ số rủi ro trọng yếu (KRI – Key Risk Indicator) đang đƣợc theo dõi tại BIDV (đến quý II/2019)

 KRI theo dõi theo Tháng

KRI 1.1 Tiền gửi có kỳ hạn lùi ngày hiệu lực.

KRI 1.2 Tài khoản tiền gửi của khách hàng cá nhân phát sinh giao dịch chuyển nhƣợng lớn hơn 3 lần trong vòng 30 ngày.

KRI 3.1 Danh sách ấn chỉ trắng khai báo hỏng.

KRI 7.1 Sồ lƣợng bút toán hủy EC.

KRI 15.1 Yêu cầu dịch vụ khách hàng gửi đến hệ thông IBMB (hệ thống Ngân hàng điện tử) không đƣợc trả lời.

 KRI theo dõi theo Quý

KRI 8.1 Tổn thất gian lận giả mạo phát sinh từ thẻ BIDV.

KRI 8.2 Giao dịch gian lận tại đơn vị chấp nhận thẻ.

KRI 8.3 Máy ATM bị lắp đặt thiết bị đọc trộm dữ liệu.

KRI 6.1 Số cán bộ bị xử lý kỷ luật.

KRI 5.1 Số lần hệ thống corebanking SIBS ngừng hoạt động.

KRI 13.1 Giá trị chi phí phạt chậm nộp thuế phát sinh. (Cẩm nang quản trị rủi ro hoạt động BIDV, 2019)

Cách đo lƣờng một số KRI:

KRI CÁCH ĐO LƢỜNG

YÊU CẦU DỮ LIỆU ĐỂ XÁC ĐỊNH KRI

RỦI RO CẢNH BÁO

KRI 1.1 Tiền gửi có kỳ hạn lùi ngày hiệu

lực.

Số lƣợng tài khoản liên quan/ đơn vị/

tháng

Số lƣợng tài khoản đƣợc hạch toán lùi ngày hiệu lực/ đơn vị/

tháng

Rủi ro gian lận nội bộ

Ảnh hƣởng đến thu nhập của chi nhánh

KRI 15.1 Yêu cầu dịch vụ khách hàng gửi đến hệ thông IBMB không đƣợc trả lời. Số lƣợng yêu cầu liên quan đến phát sinh/ tháng gửi đến hệ thống IBMB của BIDV

Số lƣợng yêu cầu liên quan phát sinh/ tháng không đƣợc trả lời Rủi ro mất khách hàng do không đáp ứng nhu cầu khách hàng Làm giảm doanh thu và uy tín của BIDV

4.1.4.2. Thu thập sự kiện RRHĐ tại Ngân hàng BIDV

Các sự kiện rủi ro hoạt động tại BIDV được chia làm 2 nhóm

Nhóm 1 bao gồm: các sự kiện RRHĐ có thể dẫn đến tổn thất RRHĐ hoặc gây ra tác

động tiêu cực phi tài chính đối với BIDV. Một số sự kiện điển hình: - Sự kiện gian lận nội bộ;

- Sự kiện gian lận bên ngoài;

- Sự kiện gây gián đoạn hoạt động của Ngân hàng lớn hơn 02 giờ đồng hồ; - Sự kiện RRHĐ vi phạm quy định của NHNN và pháp luật có liên quan

theo thơng báo, kết luận của cơ quan Nhà nƣớc có thẩm quyền.

Nhóm 2 bao gồm: các sự kiện cịn lại

Trách nhiệm thu thập sự kiện RRHĐ nhóm 1 và nhóm 2

 Các đơn vị: Nhận dạng, kiểm sốt, xử lý, khắc phục sự kiện RRHĐ nhóm 1

sau đó báo cáo sự kiện RRHĐ nhóm 1 về trụ sở chính.

 Đơn vị đầu mối nghiệp vụ: Nhận dạng, kiểm soát, hƣớng dẫn các đơn vị trong quá trình xử lý, khắc phục.

 Ban QTRRHĐ & TT: Theo dõi và tổng kết các sự kiện RRHĐ nhóm 1 của tồn hệ thống, tiến hành báo cáo và trình cấp có thẩm quyền phê duyệt. Phối hợp cùng các đơn vị liên quan đối chiếu với các dữ liệu tổn thất sự kiện RRHĐ (Cẩm nang quản trị rủi to hoạt động BIDV, 2019)

4.1.4.3. Ma trận RRHĐ

Phân loại:

- Ma trận rủi ro toàn hệ thống theo từng loại sự kiện RRHĐ. - Ma trận rủi ro toàn hệ thống theo từng nghiệp vụ.

- Ma trận rủi ro toàn hệ thống theo từng đơn vị.

Phương pháp xây dựng ma trận RRHĐ

Việc đo lƣờng mức độ rủi ro sẽ đƣợc thực hiện bằng cách chấm điểm theo thang điểm từ 1 đến 5. Những sự kiện RRHĐ, nghiệp vụ, đơn vị có tổng điểm rủi ro càng cao thì rủi ro càng cao và ngƣợc lại, cụ thể:

Tần suất xảy ra 1-2 điểm = thấp (xanh)

3-4 điểm = Trung bình (vàng) 5 = Cao (đỏ) Mức độ ảnh hƣởng Điểm tổng cộng < 2 điểm: thấp (xanh) Từ 2 đến < 4 điểm: Trung bình (vàng) > = 4 điểm: Cao (đỏ) Nguồn: Cẩm nang quản trị rủi ro hoạt động, 2019 Riêng đối với những loại sự kiện RRHĐ có mức độ ảnh hƣởng bằng 5, sẽ đƣợc đánh dấu màu đỏ.

 Ma trận rủi ro toàn hệ thống theo từng loại sự kiện RRHĐ

 Đối với sự kiện RRHĐ nhóm 1: điểm rủi ro của các sự kiện RRHĐ nhóm 1

đƣợc xác định tùy thuộc vào mức độ nghiêm trọng và giá trị tổn thất tài chính của từng sự kiện RRHĐ này trên thực tế.

 Đối với sự kiện RRHĐ nhóm 2: cách tính điểm rủi ro của sự kiện RRHĐ

nhóm 2 nhƣ sau:

- Điểm rủi ro của sự kiện RRHĐ nhóm 2 (i) = Điểm tần suất xảy ra của sự kiện RRHĐ nhóm 2 (i) x trọng số tần suất xảy ra của sự kiện RRHĐ nhóm 2 (i) + Điểm mức độ ảnh hƣởng của sự kiện RRHĐ nhóm 2 (i) x trọng số mức độ ảnh hƣởng của sự kiện RRHĐ nhóm 2 (i).

Trong đó:

- Điểm tần suất xảy ra: Ban QTRRHĐ&TT căn cứ vào số lƣợng các đơn vị

báo cáo có xảy ra sự kiện RRHĐ nhóm 2 và tổng số lần xảy ra sự kiện RRHĐ nhóm 2 trong tồn hệ thống, kết hợp với việc phân tích, đánh giá độc lập để tiến hành tính điểm tần suất, cụ thể

Số đơn vị/ số lần xảy ra sự kiện RRHĐ nhóm 2 < 30 lần 30 – 50 lần > 50 lần 1-5 đơn vị 1 2 4 6-15 đơn vị 3 4 5 > 15 đơn vị 4 5 5

Trƣờng hợp các đơn vị báo cáo khơng phát sinh sự kiện RRHĐ nhóm 2 trong kỳ, điểm tần suất bằng 0.

- Điểm mức độ ảnh hưởng: Ban QTRRHĐ&TT đầu mối, phối hợp với các

đơn vị đầu mối nghiệp vụ căn cứ vào số liệu tổn thất thực tế, kết hợp với phân tích, đánh giá độc lập để xác định điểm mức độ ảnh hƣởng của từng loại sự kiện RRHĐ nhóm 2 trong từng thời kỳ.

Việc rà soát, chỉnh sửa điểm mức độ ảnh hƣởng đƣợc thực hiện định kỳ 01 năm/lần hoặc ngay khi phát sinh sự kiện, sự thay đổi lớn ảnh hƣởng tới hoạt động của Ngân hàng.

- Trọng số tần suất xảy ra, trọng số mức độ ảnh hưởng: thể hiện tầm quan trọng của các chỉ tiêu trong đo lƣờng điểm rủi ro, do Ban QTRRHĐ&TT đề xuất, trình cấp có thẩm quyền phê duyệt theo từng thời kỳ.

Xác định ma trận rủi ro toàn hệ thống theo từng loại sự kiện RRHĐ

 Trƣờng hợp khơng xảy ra sự kiện RRHĐ nhóm 1: điểm rủi ro của từng

loại sự kiện bằng điểm rủi ro của từng sự kiện RRHĐ nhóm 2 đƣợc xác định theo mục B.1.a nêu trên.

 Trƣờng hợp xảy ra sự kiện RRHĐ nhóm 1: điểm rủi ro của từng loại sự

kiện đƣợc xác định nhƣ sau:

- Điểm rủi ro của loại sự kiện (i) = Trung bình cộng điểm rủi ro của các sự kiện RRHĐ nhóm 1 trong loại sự kiện (i) x trọng số điểm rủi ro của sự kiện RRHĐ nhóm 1 trong loại sự kiện (i) + Điểm rủi ro của sự kiện RRHĐ nhóm 2 trong loại sự kiện (i) x trọng số điểm rủi ro của sự kiện RRHĐ nhóm 2 trong loại sự kiện (i).

- Trong đó, trọng số điểm rủi ro theo từng nhóm sự kiện RRHĐ do Ban QTRRHĐ&TT đề xuất, trình cấp có thẩm quyền phê duyệt theo từng thời kỳ.

 Ma trận rủi ro toàn hệ thống theo từng loại nghiệp vụ

Trên cơ sở mức độ rủi ro của các sự kiện RRHĐ đã xác định theo phƣơng pháp nêu tại mục B.1 trên, điểm rủi ro tổng của từng nghiệp vụ đƣợc tính nhƣ sau:

 Đối với các nghiệp vụ khơng xảy ra sự kiện RRHĐ nhóm 1:

- Điểm rủi ro của nghiệp vụ (i) = Trung bình cộng điểm rủi ro của các sự kiện RRHĐ nhóm 2 trong nghiệp vụ (i).

 Đối với các nghiệp vụ có xảy ra sự kiện RRHĐ nhóm 1:

- Điểm rủi ro của nghiệp vụ (i) = Trung bình cộng điểm rủi ro của các sự kiện RRHĐ nhóm 1 trong nghiệp vụ (i) x trọng số điểm rủi ro của sự kiện RRHĐ nhóm 1 (i) + Trung bình cộng điểm rủi ro của các sự kiện RRHĐ nhóm 2 trong nghiệp vụ (i) x trọng số điểm rủi ro của sự kiện RRHĐ nhóm 2.

Trong đó:

- Trọng số điểm rủi ro theo từng nhóm sự kiện RRHĐ: do Ban

QTRRHĐ&TT đề xuất, trình cấp có thẩm quyền phê duyệt theo từng thời kỳ

 Ma trận rủi ro toàn hệ thống theo từng đơn vị

Điểm rủi ro của đơn vị = ∑ điểm rủi ro của nghiệp vụ (i) x trọng số rủi ro của nghiệp vụ (i).

Trƣờng hợp đơn vị không gửi báo cáo theo đúng thời gian quy định thì khơng đƣợc chấm điểm rủi ro trong kỳ.

Xác định điểm rủi ro theo từng nghiệp vụ của đơn vị

 Đối với các nghiệp vụ của đơn vị không xảy ra sự kiện RRHĐ nhóm 1:

- Điểm rủi ro của nghiệp vụ (i) = Trung bình cộng điểm rủi ro của các sự kiện RRHĐ nhóm 2 trong nghiệp vụ (i).

- Điểm rủi ro của từng sự kiện RRHĐ nhóm 2 đƣợc xác định theo mục B.1.a nêu trên. Trong đó, điểm tần suất xảy ra của từng sự kiện RRHĐ nhóm 2 đƣợc xác định dựa vào số lƣợng sự kiện RRHĐ nhóm 2 phát sinh tại đơn vị để đánh giá, cụ thể:

Số lần xảy ra sự kiện RRHĐ nhóm 2 Điểm

0 0

1 - 3 1

9 - 15 3

16 - 20 4

> 20 5

+ Điểm mức độ ảnh hƣởng của từng sự kiện RRHĐ nhóm 2: xác định theo phƣơng pháp đã nêu tại mục B.1

 Đối với các nghiệp vụ của đơn vị có xảy ra sự kiện RRHĐ nhóm 1:

- Điểm rủi ro của nghiệp vụ (i) = Giá trị lớn nhất [Trung bình cộng điểm rủi ro của sự kiện RRHĐ nhóm 1 trong nghiệp vụ (i); Trung bình cộng điểm rủi ro của các sự kiện RRHĐ nhóm 2 trong nghiệp vụ (i)].

Xác định trọng số rủi ro của từng nghiệp vụ của đơn vị

Ban QTRRHĐ&TT đầu mối, phối hợp với các đơn vị đầu mối nghiệp vụ nghiên cứu, đề xuất trọng số rủi ro của từng mặt nghiệp vụ của đơn vị, trình cấp có thẩm quyền phê duyệt trong từng thời kỳ. (Cẩm nang quản trị rủi to hoạt động BIDV,2019)

4.1.4.4. Sử dụng các phát hiện của kiểm toán nội bộ và kiểm toán độc lập

Trách nhiệm thực hiện

 Ban KTNB (kiểm toán nội bộ), Ban KT & GSTT (kiểm tra và giám sát tuân thủ): công bố thông tin về các phát hiện, kết quả thực hiện các yêu cầu, kiến

nghị liên quan đến quản trị RRHĐ của kiểm toán nội bộ, kiểm toán độc lập, NHNN và các cơ quan quản lý nhà nƣớc đến ban đầu mối nghiệp vụ và ban QTRRHĐ&TT chậm nhất ngày 05 tháng đầu tiên mỗi quý.

 Các đơn vị đầu mối nghiệp vụ:

- Thực hiện các biện pháp kiểm sốt, phịng ngừa rủi ro phát sinh; rà sốt, chỉnh sửa quy trình nghiệp vụ nhằm tăng cƣờng hiệu quả biện pháp kiểm soát, ngăn chặn RRHĐ tiềm ẩn.

 Ban QTRRHĐ & TT

- Tổng hợp kết quả thực hiện các yêu cầu, kiến nghị về quản lý RRHĐ của kiểm toán nội bộ, kiểm toán độc lập, NHNN và các cơ quan quản lý nhà nƣớc.

- Sử dụng kết quả phát hiện của kiểm toán nội bộ, kiểm toán độc lập là dữ liệu đầu vào để triển khai các công cụ đo lƣờng RRHĐ khác.