1.2 Quản lý rủi ro tác nghiệp
1.2.4.2 Kiểm soát rủi ro tác nghiệp theo thông lệ
Theo thông lệ, việc QLRRTN cần phải: Công nghệ thông tin
Chỉ số đo lường Giảm thiểu rủi ro Mơ hình mẫu
Chinh sách dữ liệu Cơ sở Đánh giá Luồng báo cáo
Cấu trúc quản trị
Chiến lược
1. Áp dụng khung QLRRTN gồm 10 nguyên tắc của Uỷ ban Basel về giám sát ngân hàng:
Nguyên tắc 1: Hội đồng quản trị nên được biết rõ các khía cạnh chính của ngân hàng. RRTN là loại rủi ro cần được quản lý, đánh giá xem xét định kỳ dựa trên khung quản lý RRTN. Khung này cần phải cung cấp một định nghĩa tổng thể cho toàn ngân hàng về RRTN, cũng như các nguyên tắc, cách xác định, đánh giá, giám sát, kiểm soát và giảm thiểu rủi ro.
Nguyên tắc 2: Hội đồng quản trị phải bảo đảm rằng khung quản trị RRTN của ngân hàng là tùy thuộc vào hiệu quả và toàn diện của kiểm toán nội bộ bởi nhân viên thành thạo, được đào tạo và hoạt động độc lập. Kiểm toán nội bộ không nên trực tiếp chịu trách nhiệm về quản lý RRTN.
Nguyên tắc 3: Quản lý cấp cao phải có trách nhiệm triển khai thực hiện các khung quản lý RRTN được phê duyệt của Hội đồng quản trị. Khung phải được triển khai thực hiện nhất quán trong toàn bộ hệ thống ngân hàng và tất cả các nhân viên nên hiểu rõ trách nhiệm của mình với việc quản lý RRTN. Lãnh đạo cấp cao cũng nên chịu trách nhiệm về việc phát triển các chính sách, quy trình và thủ tục để quản lý RRTN trong tất cả các sản phẩm, các hoạt động, quy trình và hệ thống ngân hàng.
Nguyên tắc 4: Các ngân hàng cần xác định và đánh giá RRTN trong tất cả các rủi ro hiện có trong tất cả sản phẩm, hoạt động, quy trình và hệ thống của ngân hàng. Cần phải tuân thủ đầy đủ các thủ tục thẩm định trước khi giới thiệu sản phẩm mới, thực hiện các hoạt động, quy trình và hệ thống.
Nguyên tắc 5: Các ngân hàng nên thực hiện một quy trình để thường
xuyên giám sát mức độ ảnh hưởng và tổn thất do RRTN gây ra. Cần có báo cáo thường xuyên cho lãnh đạo cấp cao và Hội đồng quản trị để hỗ trợ chủ động quản lý RRTN.
Ngun tắc 6: Các ngân hàng nên có chính sách, quy trình và thủ tục để kiểm sốt và đưa ra chương trình giảm thiểu rủi ro. Các ngân hàng nên xem xét lại theo
phù hợp bằng cách sử dụng các chiến lược thích hợp với rủi ro tổng thể và rủi ro đặc
trưng.
Nguyên tắc 7: Ngân hàng cần phải có kế hoạch duy trì kinh doanh đảm bảo khả năng hoạt động liên tục, hạn chế tổn thất trong trường hợp rủi ro xảy ra bất ngờ.
Nguyên tắc 8: Cơ quan giám sát ngân hàng nên yêu cầu tất cả các ngân hàng phải có một khung quản trị RRTN hiệu quả để xác định, đánh giá, giám sát và kiểm soát/giảm thiểu RRTN như là một phần của phương pháp tiếp cận tổng thể để quản lý rủi ro.
Nguyên tắc 9: Cơ quan giám sát phải chỉ đạo trực tiếp hoặc gián tiếp
thường xuyên, độc lập đánh giá chính sách, thủ tục và thực tiễn liên quan đến những
RRTN của ngân hàng. Người giám sát phải đảm bảo rằng có những cơ chế thích hợp cho phép họ biết được sự phát triển của ngân hàng.
Nguyên tắc 10: Các ngân hàng cần phải thực hiện công bố đầy đủ và kịp thời thông tin để cho phép những người tham gia thị trường đánh giá cách tiếp cận của họ để quản lý RRTN.
Nếu thực hiện đúng và đủ các nguyên tắc trên, phù hợp với điều kiện thực tế của ngân hàng, công tác quản trị RRTN của ngân hàng sẽ đi theo chuẩn mực và thực hiện
được mục tiêu mà ngân hàng dự kiến.
2. Xác định đây là trách nhiệm của cả hệ thống tổ chức, không phải là của 1 người hoặc của 1 bộ phận.
3. Có cơ cấu tổ chức phù hợp và phân chia cấp độ quản lý rõ ràng, minh bạch.
4. Xây dựng và thực thi chiến lược, chính sách và quy trình QLRRTN 5. Ứng dụng CNTT.
Bảng 1.2 : Kiểm soát rủi ro tác nghiệp
Mức độ rủi ro Kế hoạch hành động
1-4 mức thấp
- Kiểm soát
- Giám sát bảo đảm duy trì kiểm sốt - Quản lý theo các quy trình thơng thường - Cải tiến nếu có thể
- Lập báo cáo rủi ro
5-8 mức trung bình
- Có kế hoạch nhằm giảm bớt rủi ro
- Đánh giá rủi ro và có hành động thích hợp
- Các hành đơng phải được kiểm sốt
- Lập báo cáo rủi ro và theo dõi
9-12 rủi ro đáng kể
- Đánh giá rủi ro càng sớm càng tốt (đối với công việc đang
tiến hành)
- Chỉ thực hiện hoạt động kinh doanh trong giới hạn rủi ro chấp nhận được và liên hệ với người QLRR về những hoạt động
đó
- Lập báo cáo sự cố và theo dõi
15-25 rủi ro nghiêm
trọng
- Không hoạt động cho đến khi hồn thành đánh giá rủi ro - Nếu khơng giảm thiểu được rủi ro đó, phải báo cáo giám
đốc, người QLRR
- Lập báo cáo sự cố và theo dõi Nguồn: KPMG International 2007