Nguồn: Deutsche bank 2007, Annual Report-risk report, http://deutsche –bank.com
Ban điều hành phải đảm bảo rằng các hoạt động ngân hàng được tổ chức bởi những nhân viên giỏi, cĩ kinh nghiệm, cĩ năng lực kỹ thuật. Các nhân viên này chịu trách nhiệm giám sát và thực thi việc tuân thủ các chính sách về rủi ro của ngân hàng cĩ quyền hạn độc lập với bộ phận mà họ cĩ liên quan. Đồng thời, cũng phải đảm bảo chính sách quản trị RRHĐ của ngân hàng được thơng tin rõ ràng đến mọi tầng lớp nhân viên ở các phịng ban chịu ảnh hưởng của các rủi ro hoạt động.
thị trường, và các loại rủi ro khác…, cũng như với người chịu trách nhiệm về việc mua các dịch vụ bên ngồi như mua bảo hiểm và các thỏa thuận thuê ngồi khác.
Ban điều hành cũng phải đảm bảo các chính sách tiền lương của ngân hàng phải phù hợp với yêu cầu về quản trị rủi ro. Ngồi ra, các chính sách, quy trình và thủ tục liên quan đến cơng nghệ tiên tiến hỗ trợ cho các giao dịch cĩ giá trị cao phải cĩ đủ tài liệu dẫn chứng và phổ biến cho tồn bộ nhân viên liên quan.
1.4.1.2. Xác định, đánh giá, giám sát, kiểm sốt, gồm 4 nguyên tắc:
Nguyên tắc 4: Các ngân hàng cần xác định và đánh giá RRHĐ trong tất cả các
rủi ro hiện cĩ trong tất cả sản phẩm, hoạt động, quy trình và hệ thống của ngân hàng. Cần phải tuân thủ đầy đủ các thủ tục thẩm định trước khi giới thiệu sản phẩm mới, thực hiện các hoạt động, quy trình và hệ thống.
Xác định rủi ro là vấn đề quan trọng nhất trong việc phát triển hệ thống giám sát và kiểm sốt RRHĐ tiếp theo. Xác định rủi ro hiệu quả phải xem xét đến cả nhân tố bên trong (cơ cấu tổ chức, đặc tính của các hoạt động ngân hàng, chất lượng nguồn nhân lực, sự thay đổi tổ chức) và nhân tố bên ngồi (chẳng hạn sự thay đổi của nền cơng nghiệp và các tiến bộ khoa học kỹ thuật) cĩ ảnh hưởng mạnh mẽ đến mục tiêu cần đạt được của hoạt động ngân hàng.
Ngồi việc xác định các rủi ro, ngân hàng cần phải đánh giá khả năng xảy ra các rủi ro đĩ. Đánh giá rủi ro hiệu quả cho phép ngân hàng hiểu rõ hơn hồ sơ rủi ro của mình và nguồn quản trị rủi ro mục tiêu hiệu quả nhất.
Trong số các cơng cụ các ngân hàng sử dụng để xác định và đánh giá rủi ro hoạt động gồm cĩ:
Tự đánh giá rủi ro (RCSA): một ngân hàng đánh giá các hoạt động của nĩ thơng qua một danh mục những tổn thất do rủi ro hoạt động gây ra. Quá trình này bắt nguồn từ mục tiêu nội bộ và thường kết hợp với danh sách kiểm tra và/hoặc những buổi hội thảo để xác định những điểm mạnh, điểm yếu của mơi trường rủi ro hoạt động.
Sắp xếp rủi ro: trong quá trình này, các đơn vị kinh doanh khác nhau, chức năng tổ chức được sắp xếp theo từng loại rủi ro. Cơng việc này cĩ thể tiết lộ các khu vực cĩ điểm yếu và giúp dành ưu tiên cho các hoạt động quản trị theo sau.
Các chỉ số rủi ro (KRIs): chỉ số rủi ro cĩ thể là các số liệu thống kê và/hoặc ma trận, thường thuộc lĩnh vực tài chính, và cĩ thể cung cấp cái nhìn sâu sắc về rủi ro nội tại của một ngân hàng. Các chỉ số này thường được xem xét định kỳ (hàng tháng hoặc hàng quý) để cảnh báo các ngân hàng về các thay đổi cĩ thể là dấu hiệu của rủi ro. Các chỉ số như vậy cĩ thể bao gồm số giao dịch khơng thành cơng, tỷ lệ nhân viên chuyển việc hoặc tần suất và/hoặc độ nghiêm trọng của lỗi và những sai sĩt.
Sự đo lường: một vài cơng ty đã bắt đầu định lượng khả năng xảy ra rủi ro thơng qua các cách tiếp cận khác nhau. Ví dụ, dữ liệu về các tổn thất đã xảy ra của một ngân hàng cĩ thể cung cấp các thơng tin quan trọng cho việc đánh giá khả năng xảy ra rủi ro hoạt động và phát triển một chính sách để kiểm sốt rủi ro. Một cách hay để sử dụng hiệu quả thơng tin này đĩ là thiết lập một khuơn mẫu để theo dõi và ghi lại một cách cĩ hệ thống mức độ thường xuyên, nghiêm trọng và những thơng tin liên quan khác cho từng sự kiện rủi ro. Một số cơng ty cũng đã kết hợp dữ liệu về tổn thất nội bộ và dữ liệu về tổn thất bên ngồi, phân tích kịch bản, và các nhân tố đánh giá rủi ro.
Nguyên tắc 5: Ngân hàng phải thực hiện một quy trình để giám sát thường xuyên hồ sơ rủi ro hoạt động và các tổn thất. Nên cĩ báo cáo định kỳ các thơng tin thích hợp cho Ban Tổng giám đốc và hội đồng quản trị để chủ động hỗ trợ cho việc quản trị rủi ro hoạt động.
Một quá trình giám sát hiệu quả là thiết yếu đối với quản trị rủi ro hoạt động. Các hoạt động giám sát thường xuyên cĩ thể cho thấy những thuận lợi của việc nhanh chĩng phát hiện và sửa chữa các khiếm khuyết trong chính sách, quy trình và thủ tục của quản trị rủi ro hoạt động. Phát hiện và giải quyết tức thời những khiếm khuyết này cĩ thể giảm thiểu mức độ thường xuyên và/hoặc nghiêm trọng của một sự kiện rủi ro tiềm ẩn.
Ngồi việc giám sát các sự kiện tổn thất trong quá trình hoạt động, ngân hàng cần xác định các chỉ số thích hợp cĩ thể cảnh báo sớm nguy cơ rủi ro cao của các tổn thất cĩ thể xảy ra trong tương lai. Các chỉ số như vậy (gọi là chỉ số rủi ro chính hoặc
tiềm ẩn của rủi ro hoạt động như tốc độ tăng trưởng, ra mắt sản phẩm mới, các giao dịch vi phạm, hệ thống bị lỗi, vv… Khi các ngưỡng được kết nối trực tiếp với các chỉ số này, một quy trình giám sát hiệu quả sẽ giúp xác định các rủi ro hữu hình và cho phép ngân hàng cĩ cách đối phĩ phù hợp với các rủi ro đĩ.
Việc giám sát thường xuyên nên phản ánh được các rủi ro liên quan cũng như tần số xuất hiện và bản chất của những thay đổi trong mơi trường hoạt động. Giám sát phải là một cơng tác khơng thể tách rời khỏi hoạt động ngân hàng. Kết quả giám sát phải được bao gồm trong các báo cáo thường xuyên cho nhà quản lý và hội đồng quản trị, cũng như phải phù hợp với các báo cáo kiểm tốn nội bộ hoặc/và của bộ phận quản lý rủi ro.
Ban điều hành nhận các báo cáo định kỳ từ các bộ phận thích hợp như các phịng kinh doanh, phịng chức năng, bộ phận quản trị rủi ro hoạt động và kiểm tốn nội bộ. Các báo cáo rủi ro hoạt động nên chứa đựng các dữ liệu về tài chính, hoạt động nội bộ phù hợp, cũng như các thơng tin thị trường bên ngồi về các sự kiện và điều kiện liên quan đến việc ra quyết định. Báo cáo cũng nên được cung cấp cho các cấp lãnh đạo và cho các bộ phận khác cĩ liên quan. Các báo cáo phải phản ánh đầy đủ bất kỳ bộ phận nào cĩ vấn đề và thúc đẩy hoạt động điều chỉnh đúng lúc các vấn đề nổi bật. Để bảo đảm tính hữu ích và tin cậy của những báo cáo về rủi ro và kiểm tốn này, nhà quản trị phải kiểm tra lại thường xuyên sự kịp thời, tính chính xác và xác đáng của hệ thống báo cáo và kiểm sốt nội bộ trên tổng thể. Nhà quản trị cĩ thể sử dụng các báo cáo được chuẩn bị bởi các nguồn bên ngồi (kiểm tốn, cơ quan giám sát) để đánh giá sự hữu ích và tin cậy của các báo cáo nội bộ. Các báo cáo phải được phân tích trên quan điểm cải thiện hoạt động quản trị rủi ro hiện tại cũng như phát triển các chính sách quản trị rủi ro, các thủ tục và phương pháp mới.
Nhìn chung, hội đồng quản trị cần tiếp nhận đầy đủ những thơng tin cao cấp để giúp họ nắm được tổng thể tình hình rủi ro hoạt động của ngân hàng và tập trung vào các vấn đề thực tế và chiến lược cho hoạt động kinh doanh.
Nguyên tắc 6: Ngân hàng nên cĩ chính sách, quy trình và thủ tục để kiểm sốt
và/hoặc đưa ra chương trình giảm thiểu rủi ro. Các ngân hàng nên xem xét lại theo định kỳ các ngưỡng rủi ro và chiến lược kiểm sốt và nên điều chỉnh hồ sơ RRHĐ cho
phù hợp bằng cách sử dụng các chiến lược thích hợp với rủi ro tổng thể và rủi ro đặc trưng.
Đối với tất cả các RRHĐ hữu hình đã được xác định, các ngân hàng nên quyết định cĩ hoặc khơng sử dụng các thủ tục thích hợp để kiểm sốt và/hoặc giảm thiểu rủi ro hoặc chấp nhận chúng. Đối với những rủi ro khơng thể kiểm sốt, ngân hàng phải quyết định cĩ chấp nhận rủi ro, giảm thiểu mức độ hoạt động kinh doanh cĩ liên quan hoặc hồn tồn rút khỏi hoạt động này hay khơng.
Ban giám đốc và Ban điều hành cĩ trách nhiệm thiết lập văn hĩa kiểm sốt nội bộ vững mạnh, trong đĩ, hoạt động kiểm sốt là một phần gắn liền với các hoạt động của ngân hàng cho phép phản ứng nhanh chĩng khi điều kiện thay đổi và tránh phát sinh chi phí khơng cần thiết.
Một hệ thống kiểm sốt nội bộ hiệu quả cũng yêu cầu cĩ sự phân chia nhiệm vụ thích hợp để tránh gây ra xung đột lợi ích. Việc phân cơng các nhiệm vụ mâu thuẫn cho các cá nhân và các nhĩm làm việc sẽ làm cho họ cĩ thể che đậy các tổn thất, lỗi và các hành động khơng phù hợp. Do đĩ, các khu vực cĩ tiềm năng xung đột cần được quan tâm, xác định, giảm thiểu và theo dõi cẩn thận, riêng rẽ nếu cần thiết.
Ngồi việc phân chia các nhiệm vụ, ngân hàng cần phải đảm bảo các hoạt động nội bộ khác phù hợp để kiểm sốt rủi ro hoạt động. Các ví dụ bao gồm:
- Giám sát chặt chẽ sự tuân thủ các ngưỡng rủi ro được ấn định.
- Duy trì biện pháp bảo vệ để truy cập và sử dụng tài sản và các hồ sơ của ngân hàng.
- Đảm bảo nhân viên cĩ chuyên mơn phù hợp và được đào tạo.
- Xác định phạm vi kinh doanh hoặc các sản phẩm xuất hiện cĩ doanh thu cĩ vẻ khơng tương ứng kỳ vọng hợp lý. (Ví dụ: khi cĩ rủi ro thấp, hoạt động kinh doanh tạo ra lợi nhuận cao cĩ thể đặt ra câu hỏi liệu doanh thu đĩ cĩ phải là kết quả của một hành vi vi phạm kiểm sốt nội bộ); và
- Thường xuyên xác minh và đối chiếu các giao dịch và tài khoản.
RRHĐ cĩ khuynh hướng rõ rệt hơn khi các ngân hàng tham gia vào các hoạt động mới hoặc phát triển sản phẩm mới (đặc biệt khi các hoạt động hay các sản phẩm
khơng quen thuộc và/hoặc tham gia vào các hoạt động kinh doanh cĩ vị trí địa lý cách xa trụ sở chính. Hơn nữa, trong nhiều trường hợp như vậy, các ngân hàng khơng đảm bảo việc quản lý hạ tầng kiểm sốt rủi ro giữ được nhịp độ với tốc độ tăng trưởng hoạt động kinh doanh. Một số những tổn thất lớn nhất trong những năm gần đây ghi đã xảy ra khi tồn tại một trong số những điều kiện trên. Do đĩ, các ngân hàng phải đảm bảo sự chú ý đặc biệt đối với các hoạt động kiểm sốt nội bộ khi tồn tại các điều kiện này.
Một số RRHĐ cĩ xác suất thấp nhưng tiềm ẩn những ảnh hưởng tài chính rất lớn. Hơn nữa, khơng phải tất cả các sự kiện rủi ro cĩ thể được kiểm sốt (ví dụ như thiên tai…). Khi đĩ cĩ thể sử dụng các cơng cụ giảm thiểu rủi ro hoặc các chương trình để giảm nguy cơ, tần số và/hoặc mức độ nghiêm trọng của các sự kiện đĩ. Ví dụ, các chính sách bảo hiểm, đặc biệt là các chính sách cĩ tính năng chi trả kịp thời và chắc chắn cĩ thể được sử dụng để giảm nhẹ rủi ro cĩ tổn thất “tần số thấp, mức độ cao” cĩ thể xảy ra do các sự kiện đĩ.
Tuy nhiên, các ngân hàng nên xem cơng cụ giảm nhẹ rủi ro là bổ sung chứ khơng phải là sự thay thế hồn tồn việc kiểm sốt rủi ro hoạt động nội bộ.
Đầu tư vào cơng nghệ xử lý thích hợp và bảo mật thơng tin cũng rất quan trọng để giảm thiểu rủi ro. Tuy nhiên, các ngân hàng cần phải nhận thức rằng mức độ tự động hĩa gia tăng cĩ thể chuyển đổi các tổn thất cĩ tần suất cao, mức độ nghiêm trọng thấp thành các tổn thất cĩ tần suất thấp, mức độ nghiêm trọng cao. Tiếp theo cĩ thể kết hợp với những tổn thất hoặc kéo dài sự gián đoạn dịch vụ gây ra bởi các yếu tố nội bộ hoặc các yếu tố vượt ra ngồi tầm kiểm sốt tức thời của ngân hàng (ví dụ như các sự kiện bên ngồi). Các vấn đề như vậy cĩ thể tạo ra những khĩ khăn nghiêm trọng cho ngân hàng và gây nguy hại cho việc quản lý các hoạt động kinh doanh chủ chốt. Như các thảo luận tiếp theo ở nguyên tắc 7, giải quyết rủi ro trên, các ngân hàng cịn phải thiết lập các kế hoạch để khắc phục thảm họa và tiếp tục kinh doanh.
Các ngân hàng nên thiết lập các chính sách quản lý rủi ro liên quan đến các hoạt động thuê ngồi. Hoạt động thuê ngồi cĩ thể làm giảm rủi ro thơng qua việc chuyển giao hoạt động cho người khác với chuyên mơn và quy mơ lớn hơn. Tuy nhiên, việc sử dụng lao động của bên thứ 3 cũng khơng làm giảm trách nhiệm của hội đồng quản trị và nhà quản lý để đảm bảo hoạt động đĩ được tiến hành một cách an tồn và phù hợp
với pháp luật. Sắp xếp lao động thuê ngồi phải dựa trên hợp đồng chặt chẽ, hoặc các thỏa thuận dịch vụ đảm bảo phân định rõ trách nhiệm giữa các bên. Hơn nữa, ngân hàng cần quản lý các rủi ro cịn lại liên quan đến hoạt động thuê ngồi, bao gồm cả việc dịch vụ bị gián đoạn.
Các ngân hàng nên thực hiện một sự kiểm tra thẩm định ban đầu và giám sát các hoạt động của các nhà cung cấp thứ ba, đặc biệt là sự thiếu kinh nghiệm về mơi trường quy định trong ngành ngân hàng, và xem xét lại quá trình này (bao gồm cả việc tái đánh giá những thẩm định ban đầu) một cách thường xuyên. Đối với những hoạt động quan trọng, ngân hàng cần phải xem xét các kế hoạch để đối phĩ với những sự cố bất ngờ, bao gồm những phương án thay thế sẵn sàng, các chi phí và nguồn lực cần thiết để chuyển sang cho các đơn vị bên ngồi khác, ngay cả trong trường hợp ít thời gian chuẩn bị nhất.
Trong một số trường hợp, ngân hàng cĩ thể quyết định hoặc giữ lại rủi ro ở một mức độ nhất định, hoặc tự đối phĩ với rủi ro đĩ. Khi trường hợp này xảy ra và rủi ro đĩ là hữu hình, quyết định giữ lại hoặc tự đối phĩ với rủi ro cần phải được minh bạch trong tổ chức và nhất quán với chiến lược kinh kinh doanh tổng thể của ngân hàng.
Nguyên tắc 7: Ngân hàng cần phải cĩ kế hoạch duy trì kinh doanh đảm bảo khả
năng hoạt động liên tục và hạn chế tổn thất trong trường hợp rủi ro xảy ra bất ngờ. Vì lý do ngồi tầm kiểm sốt, một sự kiện nghiêm trọng cĩ thể xảy ra khi ngân hàng khơng thực hiện được một số hoặc tất cả các nghĩa vụ của mình, đặc biệt khi cơ sở vật chất, viễn thơng, hoặc hạ tầng cơng nghệ thơng tin bị hư hỏng hoặc khơng thể truy cập được. Điều này cĩ thể gây ra những tổn thất tài chính đáng kể cho ngân hàng, cũng như làm gián đoạn rộng hơn hệ thống tài chính thơng qua các kênh như hệ thống thanh tốn. Khả năng này địi hỏi các ngân hàng phải thiết lập các kế hoạch để khắc phục tai họa và duy trì hoạt động kinh doanh liên tục, tính đến các loại kịch bản mà các ngân hàng cĩ thể bị tổn thương tương xứng với quy mơ và sự phức tạp trong hoạt