3.3. Một số giải pháp hỗ trợ thực hiện công tác quản trị rủi ro tác nghiệp 54
3.3.1.1. Công cụ tự đánh giá rủi ro tác nghiệp (RCSA) 54
Công cụ tự đánh giá rủi ro tác nghiệp (Risk control Self – Asseessment) (gọi tắt là “RCSA”) giúp công tác QLRR TN được tích hợp trong mọi nghiệp vụ hàng ngày của OCB. RCSA được xây dựng dựa trên việc xem xét các hướng dẫn, quy định của Ủy ban Basel.
Mục tiêu của công cụ: Công cụ sẽ giúp các bộ phận nghiệp vụ cũng như Ban lãnh đạo có thể
- Chủ động nhận dạng rủi ro tổn thất hiện hữu hay tiềm tàng trong hoạt động hàng ngày tại đơn vị, góp phần phát hiện yếu kém của các thủ tục kiểm soát nội bộ hiện hành.
- Điều chỉnh cải tiến hoặc phòng ngừa, ngăn chặn sớm rủi ro, kiểm sốt hiệu quả hơn đối với các rủi ro khơng được chấp nhận, nâng cao chất lượng sản phẩm dịch vụ và hồn chỉnh cơng tác nghiệp vụ chun mơn.
Phạm vi áp dụng: Tất cả các Khối, Phòng ban, bộ phận tại Hội sở, SGD/CN và các đơn vị trực thuộc SGD/CN trên toàn hệ thống OCB.
Kế hoạch xây dựng RCSA:
- Giai đoạn 1: Phòng QLRR xây dựng báo cáo tự đánh giá RRTN chung cho
toàn hệ thống OCB và trình phê duyệt BĐH. Tác giả cũng đề xuất mẫu báo cáo RCSA cho OCB trong đó đính kèm phác thảo phân loại sự kiện rủi ro (tác giả xây dựng dựa trên các rủi ro thực tế phát sinh tại OCB, tham khảo thêm các sự kiện phát sinh tại các NH khác và tham khảo thêm gợi ý của Basel II) (Phụ lục số 04), ngưỡng tổn thất phải báo cáo và ma trận rủi ro (Phụ lục số 05). Thơng qua ma trận kiểm sốt rủi ro có thể đánh giá hiệu quả các biện pháp kiểm soát áp dụng đối với rủi ro.
- Giai đoạn 2: Xây dựng hệ thống thông tin quản lý thống kê RRTN để hỗ trợ
cảnh báo kịp thời, đồng thời cũng hạn chế các rủi ro bảo mật, an toàn khi chỉ quản lý kho dữ liệu bằng Excel, và kho dữ liệu ngày càng tăng qua q trình tích lũy theo thời gian. Giai đoạn này phòng QLRR kết hợp với khối CNTT thực hiện trên cơ sở tổng kết hiệu quả và điều chỉnh điểm thiếu sót của bảng Excel (mẫu báo cáo tự đánh giá rủi ro tác nghiệp RCSA, Bảng 3.3) theo dõi thủ công được xây dựng trong giai đoạn 1.
Một số chú ý khi thực hiện phản ánh các sự kiện rủi ro trên RCSA:
- Thu thập dữ liệu tổn thất: từ các dữ liệu tổn thất thực tế sẽ cho biết các “vấn đề” nằm ở đâu? Yếu kém của các thủ tục kiểm soát nội bộ hiện hành? Phản ứng xử lý của Lãnh đạo các đơn vị? Các biện pháp kiểm soát, quy trình, chính sách và các thủ tục thích hợp để giảm nguy cơ những vấn đề tương tự có thể xảy ra trong tương lai? Điều này sẽ giúp cho thế hệ lãnh đạo kế tục (kể cả nhân viên hiện tại hay nhân viên mới) có điều kiện để nhìn nhận, hồn chỉnh và dự đốn xem trong tương lai đơn vị mình sẽ hoạt động như thế nào?
- Dữ liệu tổn thức thực tế đã có sẵn:
+ Cần phân loại và phân tích theo sự kiện, tần suất, nguyên nhân và số lượng rủi ro xảy ra. Đồng thời, các dữ liệu tổn thất thực tế này phải được phản ánh đầy đủ trong bản RCSA khởi tạo và các phiên bản cập nhật tiếp theo. + Trường hợp, đơn vị/chi nhánh OCB đã phát sinh dữ liệu tổn thất nhưng
chưa lưu hồ sơ, phải tiến hành khôi phục lại dữ liệu và lưu ý trên RCSA, đồng thời phải lưu trữ hồ sơ để đánh giá, rút kinh nghiệm.
- Dữ liệu tổn thất thực tế khơng có sẵn:
+ Chuyên viên lập RCSA phải cố gắng thu thập thông tin trên bảng cân đối và báo cáo thu nhập càng nhiều càng tốt. Chuyên viên lập RCSA có thể xem xét các chứng từ kế toán và các bảng kê chi tiết để hiểu và nắm được số lượng “chi phí ngồi lãi khác” khi rà sốt báo cáo thu nhập của đơn vị. Thêm nữa, xem xét các chứng từ kế toán và các bảng kê chi tiết để nắm được số lượng “tài sản có khác”, “tài sản có treo trễ” trên bảng cân đối kế toán. Những khoản tổn thất hoạt động bị treo (tức là những tổn thất vẫn được treo trong sổ sách của đơn vị) thường được tính vào và làm đội lên những tài khoản nói trên hoặc những tài khoản tương tự trong Sổ cái.
+ Ngoài ra, kinh nghiệm tiếp thu từ nhiều nguồn khác nhau như: từ báo chí, phương tiện truyền thông; từ đồng nghiệp, bạn bè; từ các cuộc hội thảo/phỏng vấn/đào tạo; RCSA của các đơn vị khác;... về các gian lận liên quan đến hoạt động ngân hàng đóng vai trị vơ cùng quan trọng trong việc bổ sung dữ liệu biến cố rủi ro trên RCSA, cần phải phản ánh hay cập nhật
ngay lập tức vào bản RCSA tại đơn vị để phổ biến, rút kinh nghiệm và phòng ngừa rủi ro.
- Con người: hầu hết các tổn thất xảy ra đều do con người gây nên hoặc tiếp tay, từ việc khởi tạo, phê duyệt, báo cáo hoặc điều chỉnh một giao dịch, sự lạm dụng quyền hạn của nhân viên ngân hàng. Do đó, khi phản ánh trên RCSA cần lưu ý nhận diện và đánh giá kỹ càng các mức kiểm soát rủi ro đối với hành vi gian lận của nhân viên và lãnh đạo. Mặc dù rủi ro có thể chưa phát sinh tổn thất thực tế, cũng nên phòng ngừa bằng cách dự báo, đề xuất biện pháp giảm thiểu rủi ro trong trường hợp rủi ro đó xảy ra và phản ánh trong RCSA. Việc tự phỏng đoán rủi ro phát sinh trên RCSA tại đơn vị/bộ phận đang làm việc sẽ tăng tư duy nhạy bén và óc phán đốn trong tồn thể nhân viên OCB đối với các giao dịch đáng ngờ, nâng cao khả năng chuyên mơn, nghiệp vụ.
- Chính sách/quy trình/thủ tục: thơng thường các giao dịch càng phức tạp thì rủi ro tác nghiệp càng cao, do đó cần lưu ý và ưu tiên hơn khi phân tích các giao dịch phải thực hiện nhiều bước, tuân thủ nhiều quy định.
- Hệ thống: hệ thống chỉ là một phần của rủi ro tác nghiệp nhưng lại có thể ảnh hưởng đến tất cả các loại rủi ro khác trong OCB. Ví dụ, một hệ thống thường xuyên có thời gian chết, không thể cung cấp cho lãnh đạo, nhân viên hoặc khách hàng những thông tin cập nhật, điều này làm ảnh hưởng đến danh tiếng/hình ảnh của OCB trên thị trường và cũng làm cản trở luồng thông tin thông suốt về QTRR.