CHƢƠNG 4 THỰC TRẠNG QUẢN TRỊ RỦI RO HOẠT ĐỘNG TẠI
4.1. Thực trạng quản trị rủi ro hoạt động
4.1.1. Cơ cấu tổ chức quản trị rủi ro hoạt động
Ngân hàng BIDV thiết lập và duy trì cơ cấu tổ chức quản trị rủi ro hoạt động tuân thủ nguyên tắc 3 tuyến bảo vệ của hệ thống kiểm sốt nội bộ:
Hình 4.1. Sơ đồ cơ cấu tổ chức quản trị rủi ro hoạt động BIDV
Nguồn: Chính sách quản trị rủi ro hoạt động BIDV, 2018
Tuyến bảo vệ thứ nhất (Tuyến 1)
Thành phần: Các bộ phận kinh doanh (bao gồm cả bộ phận phát triển sản phẩm),
các bộ phận có chức năng tạo doanh thu thu khác; Các bộ phận có chức năng thực hiện các quyết định có rủi ro; Các bộ phận có chức năng phân bổ hạn mức rủi ro,
kiểm soát rủi ro, giảm thiểu rủi ro (thuộc bộ phận kinh doanh hoặc bộ phận độc lập) đối với từng loại hình giao dịch, hoạt động kinh doanh; Bộ phận nhân sự, kế toán.
Chức năng:
- Nhận dạng, kiểm soát và giảm thiểu RRHĐ trong các quy trình nghiệp vụ, hoạt động kinh doanh, các sản phẩm, hệ thống công nghệ thông tin và các hệ thống quản lý khác.
- Phối hợp với Ban QLRRTT&TN xây dựng chiến lƣợc, chính sách, quy định và các hƣớng dẫn trong công tác quản lý RRHĐ; hệ thống, công cụ đo lƣờng RRHĐ.
- Triển khai các chƣơng trình hành động để khắc phục và giải quyết các RRHĐ phát sinh.
- Cung cấp dữ liệu thông tin và báo cáo liên quan đến công tác QTRRHĐ theo yêu cầu của Ban QLRRTT&TN; trực tiếp gửi báo cáo cho NHNN và các cơ quan chức năng theo các quy định hiện hành và theo chỉ đạo của Ban Lãnh đạo BIDV trong từng thời kỳ.
- Đào tạo, truyền thông, phát triển nguồn nhân lực thực hiện các nhiệm vụ để QTRRHĐ tại đơn vị.
Tuyến bảo vệ thứ hai (Tuyến 2)
Thành phần: Bộ phận QTRRHĐ thuộc Ban QLRRTT&TN và bộ phận thực hiện chức năng tuân thủ.
Chức năng:
Bộ phận QTRRHĐ thuộc Ban QLRRTT&TN:
- Xây dựng chính sách, chiến lƣợc, quy định và các hƣớng dẫn trong công tác QTRRHĐ.Xây dựng, triển khai các hệ thống, phƣơng pháp, mơ hình đánh giá và đo lƣờng RRHĐ. Phối hợp với Tuyến 1 nhận dạng đầy đủ và theo dõi RRHĐ phát sinh; thực hiện kiểm soát, đo lƣờng, đề xuất biện pháp giảm thiểu và phòng ngừa RRHĐ.
- Theo dõi, giám sát tình hình tuân thủ hạn mức RRHĐ, đƣa ra cảnh báo sớm đối với các trƣờng hợp có nguy cơ vi phạm hạn mức RRHĐ, báo cáo các vi phạm hạn mức RRHĐ; Nhận dạng kịp thời các thay đổi về hạn mức RRHĐ.
- Thẩm định RRHĐ đối với sản phẩm mới, hoạt động trong thị trƣờng mới, văn bản chế độ quy định về tác nghiệp. Đào tạo, truyền thông, phát triển nguồn nhân lực, phát triển hệ thống CNTT phục vụ công tác QTRRHĐ. - Lập và gửi báo cáo nội bộ về QTRRHĐ theo quy định của BIDV; Lập
báo cáo QTRRHĐ gửi NHNN và các cơ quan chức năng (nếu có) theo các quy định hiện hành và chỉ đạo của Ban Lãnh đạo BIDV trong từng thời kỳ.
Bộ phận thực hiện chức năng tuân thủ: Hƣớng dẫn, hỗ trợ và giám sát các đơn vị liên quan đối với các vấn đề về tuân thủ quy định của pháp luật và quy định nội bộ của BIDV trong lĩnh vực QTRRHĐ.
Tuyến bảo vệ thứ ba (Tuyến 3)
Thành phần: Bộ phận kiểm toán nội bộ
Chức năng: Đánh giá, kiểm tra độc lập về tính phù hợp, phù hợp quy định của pháp luật của cơ chế, chính sách và các quy định nội bộ về QTRRHĐ và việc tuân thủ các quy định nội bộ tại Ngân hàng BIDV. Đề xuất và kiến nghị với các bộ phận liên quan và các cấp có thẩm quyền để xử lý các tồn tại, hạn chế (nếu có). Những nội dung khác theo quy định nội bộ về kiểm toán nội bộ tại Ngân hàng BIDV.
(Chính sách quản trị rủi ro hoạt động BIDV, 2018) 4.1.2. Nguyên tắc quản trị rủi ro hoạt động
Vấn đề 1: Tạo môi trường quản trị rủi ro phù hợp
Tuân thủ nguyên tắc 1, 2 và 3 theo khuyến nghị của ủy ban Basel
Ban lãnh đạo đóng vai trị quan trọng trong việc xây dựng, thiết lập và nâng cao nhận thức về văn hóa quản lý rủi ro hoạt động trong tồn hệ thống.
Tổ chức quản trị rủi ro hoạt động thống nhất trong tồn hệ thống theo chính sách quản trị rủi ro hoạt động đƣợc hội đồng quản trị phê duyệt.
Thiết lập và đảm bảo duy trì cơ cấu tổ chức quản trị RRHĐ tuân thủ theo nguyên tắc 3 tuyến bảo vệ theo khuyến nghị của ủy ban Basel, đảm bảo tính độc lập từng tuyến.
Ban hành đầy đủ, kịp thời đồng bộ hệ thống văn bản về quản trị RRHĐ bao gồm chính sách, quy định, cẩm nang và các văn bản nội bộ khác. Định kỳ hàng năm hoặc đột xuất rà soát, cải tiến để điều chỉnh kịp thời khi có thay đổi về mơi trƣờng kinh doanh, pháp lý, nhằm đạt đƣợc mục tiêu quản lý rủi ro.
Bố trí đầy đủ và sắp xếp phù hợp nguồn nhân lực cho tất cả các hoạt động. Cán bộ nhân viên đƣợc đào tạo, nắm vững quy định, hƣớng dẫn nghiệp vụ liên quan đến nhiệm vụ đƣợc giao, đồng thời nhận thức đầy đủ ý nghĩa, mục đích, tầm quan trọng của cơng tác quản trị rủi ro hoạt động và trách nhiệm đối với QTRRHĐ.
Vấn đề 2: Nhận dạng, đo lường, giám sát và kiểm soát rủi ro hoạt động
Tuân thủ nguyên tắc 4,5,6,10 theo khuyến nghị của ủy ban Basel
Nhận dạng đƣợc rủi ro hiện hữu, nguy cơ và nguyên nhân gây ra rủi ro; đo lƣờng chính xác rủi ro hoạt động; theo dõi kiểm soát RRHĐ kịp thời, cảnh báo sớm khả năng vi phạm trong tất cả các sản phẩm hoạt động kinh doanh, quy trình nghiệp vụ, hệ thống cơng nghệ thông tin và các hệ thống quản lý khác
Sử dụng hiệu quả công nghệ vào mơi trƣờng kiểm sốt, đồng thời phải lƣu ý đến việc giám sát và quản trị rủi ro công nghệ.
Trang bị đầy đủ cơ sở vật chất, bảo đảm khả năng tài chính, hệ thống cơng nghệ thông tin hỗ trợ QTRRHĐ. Có kế hoạch duy trì hoạt động liên tục nhằm đảm bảo tính thƣờng xuyên, liên tục của hoạt động Ngân hàng.
Vấn đề 3: Quản trị rủi ro hoạt động đảm bảo phù hợp với quy mô, phạm vi
hoạt động, chiến lược phát triển của BIDV và quy định của các văn bản quy phạm pháp luật
Tuân thủ nguyên tắc 8,9 theo khuyến nghị của ủy ban Basel
Truyền tải thơng tin về chính sách, chiến lƣợc, quy định và các nội dung liên quan đến quản trị rủi ro hoạt động đầy đủ, trung thực, minh bạch và nhất quán trong toàn hệ thống.
Thƣờng xuyên nghiên cứu, cải tiến, sửa đổi, bổ sung công tác quản trị rủi ro hoạt động, đảm bảo phù hợp với quy mô, phạm vi hoạt động, chiến lƣợc phát triển của BIDV và quy định của các văn bản quy phạm pháp luật. (Cẩm nang quản trị rủi to hoạt động BIDV, 2019)
Như vậy, BIDV đã vận dụng 10/11 nguyên tắc theo khuyến nghị của ủy ban Basel để xây dựng nguyên tắc quản trị rủi ro hoạt động. Trong đó, nguyên tắc 11 chưa được đưa vào do vấn đề công bố thông tin chưa được chú trọng.
4.1.3. Quy trình quản trị rủi ro hoạt động
Bƣớc 1. Nhận dạng rủi ro hoạt động: Nhận dạng các rủi ro hoạt động, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro
Bƣớc 2. Đo lƣờng rủi ro hoạt động: Đo lƣờng RRHĐ thơng qua lƣợng hóa tổn thất RRHĐ bằng các công cụ đo lƣờng nhƣ chỉ số rủi ro trọng yếu (KRI), thu thập sự kiện rủi ro hoạt động, ma trận rủi ro hoạt động và sử dụng các phát hiện của kiểm toán.
Đo lƣờng RRHĐ bảo đảm kịp thời, chính xác; cơng cụ đo lƣờng đƣợc kiểm tra, đánh giá định kỳ; dữ liệu đo lƣờng bảo đảm độ tin cậy, phù hợp và có thể kiểm tra.
Bƣớc 3. Theo dõi tình hình rủi ro hoạt động: Theo dõi, giám sát RRHĐ và đánh
giá kịp thời, cảnh báo sớm khả năng vi phạm các hạn mức RRHĐ, bảo đảm an toàn hoạt động. Báo cáo về theo dõi RRHĐ đảm bảo kịp thời, chính xác, đầy đủ và đƣợc gửi đến các bộ phận liên quan.
Bƣớc 4. Kiểm soát rủi ro hoạt động: Kiểm soát nội bộ của Ngân hàng và các biện
pháp khác đƣợc xây dựng theo yêu cầu từng thời kỳ. Kiểm soát quản trị rủi ro hoạt động từng thời kỳ. (Chính sách quản trị rủi ro hoạt động BIDV, 2018)
4.1.4. Công cụ quản trị rủi ro hoạt động
4.1.4.1. Chỉ số rủi ro trọng yếu (KRI – Key Risk Indicator)
Nguyên tắc lựa chọn KRI
Có thể đo lƣờng thƣờng xuyên.
Dữ liệu đầu vào dễ theo dõi, dễ thu thập, có khả năng khai thác từ hệ thống.
Có khả năng cảnh báo sớm các rủi ro hoặc tổn thất xảy ra để đề xuất các phƣơng án dự phòng nhằm ngăn ngừa, giảm thiểu rủi ro hoặc tổn thất do rủi ro gây ra.
Liên quan đến nghiệp vụ dự kiến cần tăng cƣờng cảnh báo rủi ro. (Cẩm nang quản trị rủi ro hoạt động BIDV, 2019)
Một số chỉ số rủi ro trọng yếu (KRI – Key Risk Indicator) đang đƣợc theo dõi tại BIDV (đến quý II/2019)
KRI theo dõi theo Tháng
KRI 1.1 Tiền gửi có kỳ hạn lùi ngày hiệu lực.
KRI 1.2 Tài khoản tiền gửi của khách hàng cá nhân phát sinh giao dịch chuyển nhƣợng lớn hơn 3 lần trong vòng 30 ngày.
KRI 3.1 Danh sách ấn chỉ trắng khai báo hỏng.
KRI 7.1 Sồ lƣợng bút toán hủy EC.
KRI 15.1 Yêu cầu dịch vụ khách hàng gửi đến hệ thông IBMB (hệ thống Ngân hàng điện tử) không đƣợc trả lời.
KRI theo dõi theo Quý
KRI 8.1 Tổn thất gian lận giả mạo phát sinh từ thẻ BIDV.
KRI 8.2 Giao dịch gian lận tại đơn vị chấp nhận thẻ.
KRI 8.3 Máy ATM bị lắp đặt thiết bị đọc trộm dữ liệu.
KRI 6.1 Số cán bộ bị xử lý kỷ luật.
KRI 5.1 Số lần hệ thống corebanking SIBS ngừng hoạt động.
KRI 13.1 Giá trị chi phí phạt chậm nộp thuế phát sinh. (Cẩm nang quản trị rủi ro hoạt động BIDV, 2019)
Cách đo lƣờng một số KRI:
KRI CÁCH ĐO LƢỜNG
YÊU CẦU DỮ LIỆU ĐỂ XÁC ĐỊNH KRI
RỦI RO CẢNH BÁO
KRI 1.1 Tiền gửi có kỳ hạn lùi ngày hiệu
lực.
Số lƣợng tài khoản liên quan/ đơn vị/
tháng
Số lƣợng tài khoản đƣợc hạch toán lùi ngày hiệu lực/ đơn vị/
tháng
Rủi ro gian lận nội bộ
Ảnh hƣởng đến thu nhập của chi nhánh
KRI 15.1 Yêu cầu dịch vụ khách hàng gửi đến hệ thông IBMB không đƣợc trả lời. Số lƣợng yêu cầu liên quan đến phát sinh/ tháng gửi đến hệ thống IBMB của BIDV
Số lƣợng yêu cầu liên quan phát sinh/ tháng không đƣợc trả lời Rủi ro mất khách hàng do không đáp ứng nhu cầu khách hàng Làm giảm doanh thu và uy tín của BIDV
4.1.4.2. Thu thập sự kiện RRHĐ tại Ngân hàng BIDV
Các sự kiện rủi ro hoạt động tại BIDV được chia làm 2 nhóm
Nhóm 1 bao gồm: các sự kiện RRHĐ có thể dẫn đến tổn thất RRHĐ hoặc gây ra tác
động tiêu cực phi tài chính đối với BIDV. Một số sự kiện điển hình: - Sự kiện gian lận nội bộ;
- Sự kiện gian lận bên ngoài;
- Sự kiện gây gián đoạn hoạt động của Ngân hàng lớn hơn 02 giờ đồng hồ; - Sự kiện RRHĐ vi phạm quy định của NHNN và pháp luật có liên quan
theo thông báo, kết luận của cơ quan Nhà nƣớc có thẩm quyền.
Nhóm 2 bao gồm: các sự kiện còn lại
Trách nhiệm thu thập sự kiện RRHĐ nhóm 1 và nhóm 2
Các đơn vị: Nhận dạng, kiểm sốt, xử lý, khắc phục sự kiện RRHĐ nhóm 1
sau đó báo cáo sự kiện RRHĐ nhóm 1 về trụ sở chính.
Đơn vị đầu mối nghiệp vụ: Nhận dạng, kiểm soát, hƣớng dẫn các đơn vị trong quá trình xử lý, khắc phục.
Ban QTRRHĐ & TT: Theo dõi và tổng kết các sự kiện RRHĐ nhóm 1 của tồn hệ thống, tiến hành báo cáo và trình cấp có thẩm quyền phê duyệt. Phối hợp cùng các đơn vị liên quan đối chiếu với các dữ liệu tổn thất sự kiện RRHĐ (Cẩm nang quản trị rủi to hoạt động BIDV, 2019)
4.1.4.3. Ma trận RRHĐ
Phân loại:
- Ma trận rủi ro toàn hệ thống theo từng loại sự kiện RRHĐ. - Ma trận rủi ro toàn hệ thống theo từng nghiệp vụ.
- Ma trận rủi ro toàn hệ thống theo từng đơn vị.
Phương pháp xây dựng ma trận RRHĐ
Việc đo lƣờng mức độ rủi ro sẽ đƣợc thực hiện bằng cách chấm điểm theo thang điểm từ 1 đến 5. Những sự kiện RRHĐ, nghiệp vụ, đơn vị có tổng điểm rủi ro càng cao thì rủi ro càng cao và ngƣợc lại, cụ thể:
Tần suất xảy ra 1-2 điểm = thấp (xanh)
3-4 điểm = Trung bình (vàng) 5 = Cao (đỏ) Mức độ ảnh hƣởng Điểm tổng cộng < 2 điểm: thấp (xanh) Từ 2 đến < 4 điểm: Trung bình (vàng) > = 4 điểm: Cao (đỏ) Nguồn: Cẩm nang quản trị rủi ro hoạt động, 2019 Riêng đối với những loại sự kiện RRHĐ có mức độ ảnh hƣởng bằng 5, sẽ đƣợc đánh dấu màu đỏ.
Ma trận rủi ro toàn hệ thống theo từng loại sự kiện RRHĐ
Đối với sự kiện RRHĐ nhóm 1: điểm rủi ro của các sự kiện RRHĐ nhóm 1
đƣợc xác định tùy thuộc vào mức độ nghiêm trọng và giá trị tổn thất tài chính của từng sự kiện RRHĐ này trên thực tế.
Đối với sự kiện RRHĐ nhóm 2: cách tính điểm rủi ro của sự kiện RRHĐ
nhóm 2 nhƣ sau:
- Điểm rủi ro của sự kiện RRHĐ nhóm 2 (i) = Điểm tần suất xảy ra của sự kiện RRHĐ nhóm 2 (i) x trọng số tần suất xảy ra của sự kiện RRHĐ nhóm 2 (i) + Điểm mức độ ảnh hƣởng của sự kiện RRHĐ nhóm 2 (i) x trọng số mức độ ảnh hƣởng của sự kiện RRHĐ nhóm 2 (i).
Trong đó:
- Điểm tần suất xảy ra: Ban QTRRHĐ&TT căn cứ vào số lƣợng các đơn vị
báo cáo có xảy ra sự kiện RRHĐ nhóm 2 và tổng số lần xảy ra sự kiện RRHĐ nhóm 2 trong tồn hệ thống, kết hợp với việc phân tích, đánh giá độc lập để tiến hành tính điểm tần suất, cụ thể
Số đơn vị/ số lần xảy ra sự kiện RRHĐ nhóm 2 < 30 lần 30 – 50 lần > 50 lần 1-5 đơn vị 1 2 4 6-15 đơn vị 3 4 5 > 15 đơn vị 4 5 5
Trƣờng hợp các đơn vị báo cáo khơng phát sinh sự kiện RRHĐ nhóm 2 trong kỳ, điểm tần suất bằng 0.
- Điểm mức độ ảnh hưởng: Ban QTRRHĐ&TT đầu mối, phối hợp với các
đơn vị đầu mối nghiệp vụ căn cứ vào số liệu tổn thất thực tế, kết hợp với phân tích, đánh giá độc lập để xác định điểm mức độ ảnh hƣởng của từng loại sự kiện RRHĐ nhóm 2 trong từng thời kỳ.
Việc rà soát, chỉnh sửa điểm mức độ ảnh hƣởng đƣợc thực hiện định kỳ 01 năm/lần hoặc ngay khi phát sinh sự kiện, sự thay đổi lớn ảnh hƣởng tới hoạt động của Ngân hàng.
- Trọng số tần suất xảy ra, trọng số mức độ ảnh hưởng: thể hiện tầm quan trọng của các chỉ tiêu trong đo lƣờng điểm rủi ro, do Ban QTRRHĐ&TT đề xuất, trình cấp có thẩm quyền phê duyệt theo từng thời kỳ.
Xác định ma trận rủi ro toàn hệ thống theo từng loại sự kiện RRHĐ
Trƣờng hợp không xảy ra sự kiện RRHĐ nhóm 1: điểm rủi ro của từng
loại sự kiện bằng điểm rủi ro của từng sự kiện RRHĐ nhóm 2 đƣợc xác định theo mục B.1.a nêu trên.
Trƣờng hợp xảy ra sự kiện RRHĐ nhóm 1: điểm rủi ro của từng loại sự
kiện đƣợc xác định nhƣ sau:
- Điểm rủi ro của loại sự kiện (i) = Trung bình cộng điểm rủi ro của các sự kiện RRHĐ nhóm 1 trong loại sự kiện (i) x trọng số điểm rủi ro của sự kiện RRHĐ nhóm 1 trong loại sự kiện (i) + Điểm rủi ro của sự kiện RRHĐ nhóm 2 trong loại sự kiện (i) x trọng số điểm rủi ro của sự kiện RRHĐ nhóm 2 trong loại sự kiện (i).
- Trong đó, trọng số điểm rủi ro theo từng nhóm sự kiện RRHĐ do Ban QTRRHĐ&TT đề xuất, trình cấp có thẩm quyền phê duyệt theo từng thời kỳ.
Ma trận rủi ro toàn hệ thống theo từng loại nghiệp vụ
Trên cơ sở mức độ rủi ro của các sự kiện RRHĐ đã xác định theo phƣơng pháp