Quy trình quản trị rủi ro

Một phần của tài liệu Ứng dụng tiêu chuẩn ISO 310002009 vào quản trị rủi ro tác nghiệp tại ngân hàng liên doanh việt thái (Trang 25)

CHUẨN ISO 31000 :2009

1.4. Quy trình quản trị rủi ro

1.4.1. Tổng quan

Hình 1.2 Quy trình quản trị rủi ro “Nguồn: Tiêu chuẩn ISO 31000:2009” [7]

Quy trình quản trị rủi ro nên là một phần hợp nhất của hoạt động quản trị, gắn liền với văn hóa và thực tiễn của tổ chức, được biên soạn phù hợp với quy trình kinh doanh của tổ chức.

1.4.2. Truyền đạt thông tin và tham vấn

Truyền đạt thông tin và tham vấn với các bên hữu quan bên trong và bên ngoài tổ chức nên được thực hiện trong suốt các giai đoạn của quá trình quản trị rủi ro. Bởi vậy, nên thực hiện các kế hoạch cho việc truyền đạt thông tin và tham vấn tại đầu mỗi giai đoạn. Các kế hoạch này nên đưa ra các vấn đề liên quan đến rủi ro, nguyên nhân gây rủi ro cùng những hậu quả của rủi ro và các biện pháp đang được thực hiện để giải quyết các rủi ro đó. Việc truyền đạt thơng tin và tham vấn với các bên hữu quan

T ru yề n th ôn g và th am v ấn K iể m s ố t v à xe m x ét

13

nội bộ và bên ngồi tổ chức nên đảm bảo những người có trách nhiệm thực hiện quá trình quản trị rủi ro và các bên hữu quan có thể hiểu được cơ sở của việc ra quyết định. Truyền đạt thông tin và tham vấn nên trung thực, thích hợp, chính xác và trao đổi thơng tin một cách dễ hiểu.

1.4.3. Thiết lập bối cảnh

1.4.3.1. Thiết lập bối cảnh bên ngoài

Bối cảnh bên ngoài là mơi trường bên ngồi, nơi mà tổ chức tìm cách để đạt được mục tiêu của mình. Hiểu biết về bối cảnh bên ngồi rất quan trọng để đảm bảo rằng các mục tiêu và lợi ích của các bên hữu quan bên ngồi được cân nhắc khi phát triển các tiêu chuẩn rủi ro. Nó được dựa trên bối cảnh của tồn tổ chức nhưng phải phù hợp với các quy định của pháp luật, nhận thức của các bên hữu quan.

1.4.3.2. Thiết lập bối cảnh nội bộ

Bối cảnh nội bộ là môi trường bên trong tổ chức, nơi mà tổ chức tìm cách để đạt được mục tiêu của mình. Quá trình quản trị rủi ro nên phù hợp với văn hóa, quy trình, cơ cấu và chiến lược của tổ chức. Bối cảnh nội bộ nên được thiết lập bởi vì:

Quản trị rủi ro diễn ra trong bối cảnh của các mục tiêu tổ chức;

Các mục tiêu và tiêu chí của một dự án cụ thể, q trình hoặc hoạt động nên được cân nhắc để làm sáng tỏ mục tiêu của tổ chức;

Một số tổ chức không nhận ra cơ hội để đạt chiến lược, dự án, hay mục tiêu kinh doanh và điều này ảnh hưởng đến cam kết thực hiện, sự tín nhiệm, sự tin cậy và giá trị của tổ chức.

1.4.3.3. Thiết lập bối cảnh của quá trình quản trị rủi ro

Xác định rõ các mục tiêu và mục đích của hoạt động quản trị rủi ro; Xác định trách nhiệm trong quá trình quản trị rủi ro;

Xác định phạm vi cũng như chiều sâu và bề rộng của các hoạt động quản trị rủi ro;

Xác định mối quan hệ giữa một kế hoạch cụ thể, tiến trình hay hoạt động và các kế hoạch của tổ chức;

rủi ro;

Xác định các phương pháp đánh giá rủi ro;

Xác định cách thức thực hiện và hiệu quả được đánh giá trong việc quản trị Xác định và cụ thể hóa các quyết định phải thực hiện;

Xác định, giới hạn hoặc lập ra các nhu cầu nghiên cứu, cùng phạm vi và kế hoạch cũng như các nguồn lực cần thiết cho nghiên cứu.

1.4.3.4. Xác định tiêu chuẩn rủi ro

Khi xác định tiêu chuẩn rủi ro, những nhân tố được xem xét gồm:

Bản chất, các nguyên nhân cũng như kết quả có thể xảy ra và phương pháp đo lường chúng;

Khả năng rủi ro xảy ra;

Khung thời gian của khả năng và/ hoặc các kết quả đó; Mức độ rủi ro được xác định như thế nào;

Quan điểm của các bên hữu quan;

Mức độ rủi ro có thể chấp nhận hoặc bỏ qua được;

Có nên kết hợp nhiều loại rủi ro hay khơng và nếu vậy thì cách thức kết hợp cũng nên được cân nhắc.

1.4.4. Đánh giá rủi ro

1.4.4.1. Nhận dạng rủi ro

- Tổ chức nên xác định nguồn gốc gây rủi ro, phạm vi tác động, các sự kiện cùng các nguyên nhân cũng như hậu quả tiềm ẩn của nó. Mục tiêu của bước này là tạo ra một danh sách bao hàm tất cả các rủi ro. Sự nhận dạng toàn diện rất quan trọng bởi vì một rủi ro nếu không được nhận dạng trong giai đoạn này sẽ khơng được phân tích sâu hơn nữa.

- Nhận dạng nên bao gồm các rủi ro mà nguồn gốc phát sinh nó có nằm trong sự kiểm soát của tổ chức hay không, mặc dù nguồn gốc rủi ro hay nguyên nhân không rõ ràng. Cũng nên cân nhắc một loạt các hậu quả, thậm chí nếu nguồn rủi ro hay

ngun nhân của nó khơng rõ ràng. Cũng như việc xác định những điều có thể xảy ra, cũng cần phải cân nhắc các nguyên nhân có thể và viễn cảnh cho thấy những hậu quả có thể xảy ra. Tất cả các nguyên nhân và hậu quả đáng kể nên được xem xét.

- Tổ chức nên áp dụng các công cụ và kỹ thuật nhận dạng rủi ro phù hợp với mục tiêu và khả năng của mình để đối mặt với những rủi ro. Thông tin được cập nhật và thích hợp là rất quan trọng trong việc nhận dạng rủi ro. Những người có kiến thức chun mơn phù hợp cần được tham gia vào quá trình nhận dạng rủi ro.

1.4.4.2. Phân tích rủi ro

- Phân tích rủi ro bao gồm việc mở rộng sự hiểu biết về rủi ro. Phân tích rủi ro cung cấp đầu vào để đánh giá rủi ro và quyết định xem các rủi ro có cần được xử lý hay không cũng như các chiến lược và phương pháp xử lý rủi ro tốt nhất. Phân tích rủi ro cũng có thể cung cấp đầu vào cho việc ra quyết định để lựa chọn tùy theo loại rủi ro và mức độ rủi ro khác nhau. Phân tích rủi ro liên quan đến việc xem xét nguyên nhân và nguồn phát sinh rủi ro, hệ quả tích cực và tiêu cực của nó, và khả năng các hệ quả này có thể xảy ra. Các yếu tố ảnh hưởng đến hệ quả và khả năng xảy ra hệ quả cũng cần được xác định. Rủi ro được phân tích bằng cách xác định các hệ quả và khả năng xảy ra hệ quả đó cùng các thuộc tính khác của rủi ro. Một sự kiện có thể có nhiều hệ quả và có thể ảnh hưởng đến nhiều mục tiêu. Một điều quan trọng nữa là việc xem xét sự phụ thuộc lẫn nhau giữa các rủi ro và các nguồn phát sinh rủi ro khác nhau.

- Phân tích rủi ro có thể được thực hiện với mức độ chi tiết khác nhau tùy thuộc vào loại rủi ro, mục đích của việc phân tích, các thơng tin, dữ liệu và các nguồn lực sẵn có. Phân tích có thể là định tính, bán định lượng hay định lượng hoặc kết hợp các phương pháp đó với nhau tùy thuộc vào hồn cảnh.

- Hệ quả và khả năng xảy ra hệ quả đó có thể được xác định bằng cách mơ hình hóa các kết quả của một sự kiện, hoặc thiết lập các sự kiện hay bằng cách ngoại suy từ nghiên cứu thực nghiệm và từ dữ liệu có sẵn.

16

- Mục đích của việc đánh giá rủi ro là để hỗ trợ việc ra quyết định dựa trên các kết quả phân tích rủi ro để xem xét các rủi ro cần được giải quyết và ưu tiên thực hiện việc xử lý đó. Đánh giá rủi ro liên quan đến việc so sánh mức độ rủi ro tìm được trong suốt q trình phân tích với tiêu chí rủi ro đã được lập ra.

- Trong một số trường hợp, đánh giá rủi ro có thể dẫn đến quyết định phân tích sâu hơn về rủi ro. Đánh giá rủi ro cũng có thể dẫn đến quyết định khơng xử lý rủi ro bằng bất kỳ cách nào.

1.4.5. Xử lý rủi ro

1.4.5.1. Lựa chọn phương pháp xử lý rủi ro

- Việc lựa chọn phương pháp để xử lý rủi ro phù hợp nhất cần phải cân đối giữa chi phí và các lợi ích thu được. Bên cạnh đó, nó cịn liên quan đến tính pháp lý, quy định và những yêu cầu khác như trách nhiệm xã hội và bảo vệ môi trường tự nhiên. Các quyết định cũng nên dựa vào các rủi ro có thể đảm bảo xử lý được mà nó khơng dựa trên nền tảng kinh tế như những rủi ro mang hậu quả lớn nhưng khả năng xảy ra thấp.

- Một số lựa chọn xử lý rủi ro có thể được xem xét và áp dụng riêng lẻ hoặc kết hợp Tổ chức có thể đạt được lợi ích từ việc lựa chọn kết hợp nhiều phương pháp xử lý rủi ro.

- Khi lựa chọn các phương pháp xử lý rủi ro, tổ chức nên xem xét các giá trị và nhận thức của các bên liên quan cũng như các cách thức phù hợp nhất để truyền thông tới họ.

- Kế hoạch xử lý rủi ro nên xác định rõ ràng thứ tự ưu tiên cho công việc được thực hiện. Xử lý rủi ro có thể làm phát sinh những rủi ro khác. Trong quá trình xử lý rủi ro cần phải có kế hoạch kiểm tra giám sát để đảm bảo rằng các biện pháp xử lý rủi ro mang lại kết quả như dự kiến.

- Xử lý rủi ro cũng có thể làm xuất hiện các rủi ro thứ cấp cần được đánh giá, xử lý, theo dõi và xem xét. Những rủi ro thứ cấp này cần được đưa vào kế hoạch xử lý tương tự như rủi ro ban đầu và không được xử lý như là một rủi ro mới.

1.4.5.2. Chuẩn bị và thực hiện các kế hoạch xử lý rủi ro

Mục đích của các kế hoạch xử lý rủi ro là để cho thấy cách lựa chọn phương pháp xử lý sẽ được thực hiện. Các thông tin được cung cấp trong kế hoạch xử lý rủi ro bao gồm:

Những lý do để lựa chọn các phương pháp xử lý;

Những người chịu trách nhiệm phê duyệt kế hoạch và những người chịu trách nhiệm thực hiện kế hoạch;

Những công việc đề xuất; Những yêu cầu về nguồn lực;

Các biện pháp thực hiện và những hạn chế; Các yêu cầu báo cáo và giám sát;

Thời gian và tiến độ.

1.4.6. Giám sát và đánh giá

Giám sát và đánh giá nên là một phần kế hoạch của quá trình quản trị rủi ro và được kiểm tra giám sát theo quy định, có thể là định kỳ hoặc đột xuất. Trách nhiệm giám sát và đánh giá nên được xác định rõ ràng. Quy trình giám sát và đánh giá của tổ chức bao gồm tất cả các khía cạnh của q trình quản trị rủi ro vì mục đích:

- Đảm bảo kiểm sốt đạt hiệu quả và hiệu suất theo quy mô hoạt động; - Thu thập thêm thông tin để cải thiện công tác đánh giá rủi ro;

- Phân tích và rút ra những bài học từ các sự kiện; - Xác định các rủi ro mới xuất hiện.

Kết quả giám sát và đánh giá nên được ghi lại và báo cáo nội bộ và bên ngồi cho phù hợp. Nó cũng nên được sử dụng như là một dữ liệu đầu vào cho việc xem xét khung quản trị rủi ro.

1.4.7. Ghi chép lại quy trình quản trị rủi ro

Hoạt động quản trị rủi ro cần phải được theo dõi. Trong quá trình quản trị rủi ro, việc ghi chép cung cấp nền tảng để cải tiến các phương pháp và cơng cụ cũng như

q trình tổng thể. Các quyết định liên quan đến hồ sơ ghi chép cần phải thực hiện như sau:

Lợi ích của việc tái sử dụng thơng tin cho mục đích quản trị; Chi phí và nỗ lực tham gia vào việc tạo ra và lưu trữ hồ sơ;

Những yêu cầu về mặt pháp luật, quy định và các nhu cầu hoạt động đối với việc ghi chép;

Phương pháp tiếp cận và các phương tiện truyền thông; Thời gian lưu trữ;

Độ nhạy cảm của thông tin.

1.5. Kinh nghiệm quản trị RRTN của một số NHTM trên thế giới và một số

NHTM tại Việt Nam. Ưu điểm của tiêu chuẩn ISO 31000:2009 khi ứng dụng vào quản trị RRTN.

1.5.1. Kinh nghiệm quản trị RRTN của một số NHTM trên thế giới và một số NHTM tại Việt Nam

1.5.1.1. Kinh nghiệm quản trị RRTN của một số NHTM trên thế giới

- Một số ngân hàng sử dụng tối đa nguồn lực từ bên ngoài để quản trị RRTN như Citibank sử dụng phần mềm CLS (continuous linked settlement) để thực hiện quản trị RRTN theo các tiêu chuẩn, chính sách rủi ro và kiểm sốt trên cơ sở tự đánh giá rủi ro (Lê Thanh Tâm, 2009).

- Ngân hàng DBS (Singapore) đã cụ thể hóa khung quản trị rủi ro như sau: Các RRTN được phân tích trên hai giác độ: tần suất xuất hiện và mức độ tác động. Từ đó, DBS xác định cách thức tổ chức và xây dựng chương trình giảm thiểu các mức RRTN. Tại DBS, các công cụ và kĩ thuật quản trị RRTN được sử dụng như kiểm soát, tự đánh giá, quản lý sự kiện, phân tích rủi ro và báo cáo (Lê Thanh Tâm, 2009).

1.5.1.2. Kinh nghiệm quản trị RRTN của một số NHTM tại Việt Nam

- NHTM CP Cơng Thương Việt Nam: Q trình xác định rủi ro bao gồm 4

nội dung: xác định dấu hiệu RRTN; xác định các sự cố RRTN; xác định các giao dịch nghi ngờ, bất thường; xác định rủi ro đối với sản phẩm mới. Trên cơ sở các loại RRTN

19

đã được xác định, ngay tại các đơn vị nghiệp vụ cơ sở tiến hành đo lường theo hai phương pháp: phương pháp đo lường định tính và phương pháp đo lường định lượng. Sau khi đã xác định và đo lường được từng loại rủi ro, ngân hàng sẽ xây dựng kế hoạch phòng ngừa, giảm thiểu RRTN.

- NHTM CP Đầu Tư và Phát Triển Việt Nam: đo lường rủi ro bằng 2 phương

pháp:

Phương pháp định tính: đo lường rủi ro liên quan đến cán bộ và cơ chế văn bản, quy định.

Phương pháp định lượng: đo lường các rủi ro liên quan đến quá trình xử lý cơng việc, từ hệ thống CNTT, chương trình phần mềm và các yếu tố bên ngoài.

1.5.2. Ưu điểm của tiêu chuẩn ISO 31000:2009 khi ứng dụng vào quản trị RRTN

Tiêu chuẩn ISO 31000:2009 vẫn còn rất mới đối với Việt Nam. Hiện tại, hầu hết các tổ chức sử dụng Hiệp ước Basel để quản trị rủi ro. Tuy nhiên, bên cạnh những lợi ích mà Hiệp ước Basel mang lại, nó vẫn thể hiện một số khuyết điểm cần khắc phục như sau:

- Khó khăn khi áp dụng phương pháp đánh giá RRTN theo Hiệp ước Basel chính là sự phức tạp, thiếu văn bản hướng dẫn, thiếu hệ thống thông tin hỗ trợ, vấn đề chi phí quá cao, cơng thức tính tốn phức tạp, và NHTM Việt Nam chưa đáp ứng được các điều kiện Hiệp ước Basel để có thể sử dụng các phương pháp đánh giá của Hiệp ước Basel.

- Mặt khác, hiện nay các quy trình giám sát nội bộ cũng như quy trình giám sát từ phía NHNN chưa tuân thủ theo đầy đủ điều kiện do Ủy ban Basel đưa ra.

Trong khi đó, bộ tiêu chuẩn ISO 31000:2009 đã thể hiện nhiều ưu điểm có thể sử dụng để ứng dụng trong quản trị RRTN như sau:

 Tiêu chuẩn ISO 31000:2009 cung cấp hướng dẫn chung để thiết kế, thực hiện và duy trì quá trình quản trị rủi ro trong toàn tổ chức. Cách tiếp cận này chính thức

20

hóa các thực hành quản trị rủi ro, tạo điều kiện thuận lợi cho việc áp dụng rộng rãi và đồng bộ với các hệ thống quản lý đang tồn tại khác trong tổ chức.

 Tiêu chuẩn ISO 31000:2009 cũng nhằm đảm bảo sự phù hợp tương xứng giữa chiến lược, nhiệm vụ quản lý và điều hành của một tổ chức trong các dự án, bộ phận chức năng và các quá trình đối với các mục tiêu về quản trị rủi ro.

 Một khi đã thực hiện và duy trì phù hợp tiêu chuẩn này, quản trị rủi ro cho

Một phần của tài liệu Ứng dụng tiêu chuẩn ISO 310002009 vào quản trị rủi ro tác nghiệp tại ngân hàng liên doanh việt thái (Trang 25)

Tải bản đầy đủ (DOCX)

(107 trang)
w