8. Kết cấu luận án
2.3.2. Những hạn chế, tồn tại
Kể từ khi mới thành lập, BIDV phần lớn chú trọng vào việc phát triển hoạt động kinh doanh mà chưa đánh giá tầm quan trọng của quản trị rủi ro hoạt động. Đến năm 2008, đứng trước xu hướng biến động của thị trường trong nước và quốc tế, môi trường ngân hàng ngày càng cạnh tranh khốc liệt, công tác quản trị rủi ro hoạt động tại BIDV mới bắt đầu được quan tâm nhiều hơn. Tuy nhiên, nếu so với việc quản trị các loại rủi ro khác như: quản trị rủi ro tín dụng, quản trị rủi ro lãi suất và quản trị rủi ro thanh khoản thì quản trị rủi ro hoạt động vẫn là nội dung còn khá mới mẻ, công tác này mới được BIDV và các NHTM Việt Nam quan tâm trong những năm gần đây và đang ở những bước khởi động ban đầu, còn một số hạn chế khi vận hành. Những hạn chế trong công tác quản trị rủi ro hoạt động tại BIDV như sau:
* Thứ nhất, mô hình quản trị rủi ro hoạt động tại BIDV chưa thực sự hiệu quả, văn hóa kiểm soát rủi ro mới bước đầu được xây dựng, việc phổ biến triển khai còn chưa mang tính rộng khắp trong toàn hệ thống.
Hiện tại, BIDV đã tách bạch bộ phận quản trị rủi ro hoạt động, tuy nhiên bộ phận này vân còn kiêm nhiệm nhiều hoạt động khác liên quan đến rủi ro thị trường. Do vậy công tác kiểm tra, kiểm soát vẫn chưa phát huy được hiệu quả, chưa thể hiện được vai trò phát hiện sớm dấu hiệu rủi ro. Bên cạnh đó, phương pháp kiểm tra, kiểm soát chưa phù hợp, chủ yếu vẫn là phát hiện các sai sót, đối chiếu với quy định; chưa nhận diện được các dấu hiệu cảnh báo rủi ro sớm, chưa đánh giá được mức độ rủi ro và tổn thất khi rủi ro xảy ra trong các tình huống cụ thể, chưa chỉ ra các sai sót, vi phạm cần báo cáo.
* Thứ hai, nhân sự trong công tác quản trị rủi ro hoạt động còn ít, kinh nghiệm còn hạn chế.
Tại BIDV, đội ngũ cán bộ làm công tác quản trị rủi ro hoạt động bình quân có 4 cán bộ và 01 lãnh đạo phụ trách trên tổng số bình quân 175 cán bộ và hơn 20 phòng nghiệp vụ mỗi chi nhánh. Lực lượng để quản lý rủi ro còn mỏng, công tác nhận diện dấu hiệu rủi ro chưa kịp thời do thiếu nguồn nhân
lực. Trình độ chuyên môn của cán bộ còn hạn chế, thâm niên công tác chưa nhiều, do vậy kinh nghiệm trong quản lý rủi ro còn gặp nhiều khó khăn, chưa chủ động, nhạy bén với các tình huống rủi ro dễn đến một số dấu hiệu rủi ro bị bỏ sót, tạo lỗ hổng trong vận hành.
Chương trình đào tạo và bồi dưỡng cán bộ quản lý rủi ro của BIDV chưa sâu sát, chưa chính thống và chuyên nghiệp, vẫn mang tính chất truyền đạt kinh nghiệm. Do đó cán bộ chưa nhận thức được trách nhiệm của quản trị rủi ro hoạt động, còn có tâm lý chủ quan, chưa sâu sát trong công việc nên còn để sót những dấu hiệu rủi ro mới, khó phát hiện. Cán bộ quản trị rủi ro hoạt động còn nhận thức chưa đúng về vai trò, vị trí của mình trong mô hình mới, chưa phát huy được khả năng phát hiện kịp thời các rủi ro đồng thời đưa ra biện pháp phù hợp để xử lý tình huống phát sinh.
Đối với công tác thực hiện các báo cáo định kỳ: Một số các phòng ban/
bộ phận trực thuộc BIDV thực hiện báo cáo số liệu chưa chuẩn, sơ sài, chậm thời gian quy định dẫn đến công tác nhận diện rủi ro chưa phát hiện đầy đủ các rủi ro tiền ẩn. Do quy trình, quy định còn chồng chéo, tồn tại nhiều kẽ hở nên các tiêu chí để nhận diện rủi ro chưa thực sự đầy đủ và bám sát với yêu cầu thực tế dẫn đến để lọt một số rủi ro chưa nhận diện được. Ngoài ra, do nhu cầu phát triển sản phẩm, nghiệp vụ mỗi ngày một phức tạp nên đối với các rủi ro mới phát sinh về sản phẩm mới, Ngân hàng chưa xây dựng các tiêu chí nhận diện rủi ro kịp thời nên còn tồn tại một số rủi ro bị bỏ sót.
Ngoài ra, về nguồn nhân sự quản trị rủi ro an ninh mạng và trình độ công nghệ thông tin của đội ngũ nhân viên của Ngân hàng còn hạn chế, việc kiện toàn bộ phận nhân sự cấp cao chuyên phụ trách, xử lý vấn đề rủi ro an ninh mạng như giám đốc an ninh thông tin (CISO) còn gặp khó khăn. Thực tế quản trị rủi ro an ninh mạng là công việc rất phức tạp, không chỉ đòi hỏi đội ngũ quản lý cấp cao về an ninh mạng có kinh nghiệm về quản trị mà họ phải có kinh nghiệm về an ninh mạng, về công nghệ thông tin. Ngoài ra, kiến thức về công nghệ thông tin của đội ngũ nhân sự, văn hóa và kỹ năng an toàn mạng
hạn chế có thể tạo ra lỗ hổng an toàn mạng đối với hoạt động ngân hàng số của BIDV.
* Thứ ba, kiểm toán nội bộ vẫn chưa thực hiện đầy đủ vai trò của hàng rào bảo vệ thứ ba.
Theo Basel II, kiểm toán nội bộ là một đơn vị độc lập đánh giá thiết kế và tính hiệu quả của các quy trình, hệ thống và công cụ quản trị rủi ro hoạt động. Tuy nhiên, một thực tế là do quản trị rủi ro hoạt động là một lĩnh vực còn hết sức mới mẻ, bản thân các nhân sự kiểm toán nội bộ tại Ngân hàng chưa được trang bị đầy đủ những kiến thức và kỹ năng chuyên sâu về lĩnh vực này, đặc biệt là hiểu biết về các thông lệ, tiêu chuẩn tốt nhất trên thế giới có liên quan.
Hiện tại BIDV đã có công tác tự kiểm tra, kiểm soát định kỳ, tuy nhiên chưa thực sự phát huy được hiệu quả như mong muốn. Nhiều phòng ban trong BIDV khi thực hiện công tác tự kiểm tra còn xuất hiện tính cục bộ, né tránh, nể nang, không báo cáo đầy đủ những sai sót, vi phạm hoặc những dấu hiệu rủi ro trong quá trình tác nghiệp. Một số phòng ban còn thiếu cán bộ, trình độ chuyên môn của cán bộ chưa theo tình hình mới và yêu cầu của công việc, chưa nắm bắt được tình hình hoạt động kinh doanh của BIDV, dẫn đến công tác kiểm tra chéo chưa thực sự đạt hiệu quả. Còn tồn tại một số sai sót chưa được phát hiện kịp thời nhất là những sai phạm mang tính chất cảnh bảo.
Ngoài ra, công tác kiểm tra kiểm soát chưa thực sự toàn diện trên mọi mặt hoạt động của BIDV. Hiện tại, công tác tự kiểm tra chỉ tập trung ở hoạt động tín dụng và hoạt động kế toán là trọng tâm, các hoạt động khác như điện toán, công nghệ thông tin chưa được quan tâm sâu sát. Do vậy kiểm tra, giám sát tại BIDV chưa mang tính bao quát, nhận diện toàn bộ các dấu hiệu của rủi ro hoạt động dẫn đến công tác quản lý rủi ro chưa thực sự hiệu quả, bỏ sót các dấu hiệu cảnh báo quan trọng.
* Thứ tư, BIDV đã xây dựng Dự thảo Chiến lược RRHĐ và theo dõi các tiêu chí khẩu vị RRHĐ, tuy nhiên chưa ban hành chính thức Chiến lược RRHĐ và tuyên bố khẩu vị RRHĐ một cách đầy đủ.
Ngân hàng chưa đảm bảo rằng mọi hoạt động của ngân hàng đều gắn với khẩu vị rủi ro đã tuyên bố, chỉ có những rủi ro thuộc về khẩu vị rủi ro của ngân hàng mới được chấp nhận, mọi hoạt động kinh doanh làm phát sinh rủi ro nằm ngoài khẩu vị nêu trên sẽ không được thực hiện. Một vấn đề nữa là một số nội dung quản trị rủi ro hoạt động tại BIDV đã có phương pháp luận chuẩn theo tiêu chuẩn Basel II, một vài công cụ khác đã được triển khai tốt, tuy nhiên, hàng rào bảo vệ thứ nhất là các đơn vị kinh doanh và tác nghiệp trực tiếp vẫn còn thụ động trong việc vận dụng. Các chương trình Tự đánh giá rủi ro và hiệu quả kiểm soát RCSA vẫn do Phòng Quản lý Rủi ro tổ chức, chuẩn bị tài liệu, hướng dẫn các đơn vị thực hiện và báo cáo kết quả. Các đơn vị kinh doanh và tác nghiệp vẫn chưa phát huy được vai trò tiên phong trong việc quản trị rủi ro của mình, chưa thực sự “tự” nhận thức được rủi ro của mình.
* Thứ năm, Ngân hàng chưa xây dựng quy trình quản trị rủi ro an ninh mạng hiệu quả.
Ngân hàng thiếu kịch bản ứng phó với các sự cố, rủi ro mất an toàn thông tin. Bên cạnh đó, còn thiếu quy trình xử lý khi khách hàng gặp rủi ro an ninh mạng, dẫn đến tình trạng lúng túng khi sự kiện xảy ra. Điều này dẫn đến suy giảm niềm tin của khách hàng, cản trở lớn đến quá trình phát triển chuyển đổi số của BIDV.
Trong những năm gần đây ở Việt Nam, đã xảy ra hàng loạt vụ tấn công vào ngân hàng, ví điện tử, tổ chức tài chính tại Việt Nam. Điển hình là Công ty cổ phần An toàn thông tin CyRadar phát hiện 2 ổ nhóm tấn công lừa đảo trực tuyến nhắm vào người dùng của 27 ngân hàng và các ví điện tử. Chỉ trong 1 tháng, hệ thống của CyRadar đã phát hiện 180 tên miền mạo danh được trỏ vào 2 cụm máy chủ này nhằm mục đích lừa đảo. Nắm bắt những yêu
cầu cấp thiết của của quản trị rủi ro an ninh mạng trong hoạt động ngân hàng, đặc biệt trong bối cảnh phát triển ngân hàng số tại Việt Nam. Trong thời gian qua, trên cơ sở các quy định của Nhà nước, Ngân hàng Nhà nước Việt Nam đã ban hành nhiều văn bản quy phạm pháp luật về đảm bảo an toàn hoạt động công nghệ thông tin trong ngành; ban hành Bộ tiêu chuẩn cơ sở về thẻ chip nội địa và tiêu chuẩn cơ sở “Đặc tả kỹ thuật QR-Code trong lĩnh vực thanh toán tại Việt Nam”. BIDV đã đầu tư nhiều giải pháp bảo đảm an toàn thông tin tiên tiến như: tường lửa thế hệ mới, phần mềm ngăn chặn mã độc, giải pháp chống thất thoát dữ liệu, hệ thống phát hiện ngăn chặn xâm nhập…; xác thực bằng sinh trắc học (vân tay, tĩnh mạch lòng bàn tay, giọng nói), chữ ký số; thanh toán sử dụng QR code trong giao dịch điện tử.
Tuy nhiên, hoạt động tấn công, xâm nhập nhằm vào hệ thống mạng, các hình thức gian lận, tội phạm mạng tiếp tục diễn biến phức tạp, gây thiệt hại về tài sản, ảnh hưởng đến danh tiếng của ngân hàng làm khách hàng mất niềm tin, ảnh hưởng lớn đến hoạt động và sự phát triển ngân hàng số. Sự dịch chuyển của hầu hết các hoạt động sang nền tảng số sẽ làm tăng các nguy cơ bị tấn công mạng. Do vậy nếu Ngân hàng không được quản lý tốt, có thể tạo cơ hội mới cho các tác nhân đe dọa xâm nhập vào hệ thống công nghệ, thông tin và thực hiện các cuộc tấn công mạng cùng với các loại tội phạm tài chính khác.
* Thứ sáu, các công cụ đo lường RRHĐ của BIDV còn khá đơn giản, đang trong quá trình hoàn thiện thiếu những mô hình dự báo, ước lượng hiện đại, đồng thời cơ sở dữ liệu rủi ro hoạt động còn hạn chế.
Hệ thống dữ liệu tổn thất RRHĐ mới được xây dựng và đang trong quá trình hoàn thiện diều này gây khó khăn cho việc thống kê số liệu, thực hiện các mô hình kinh tế lượng để dự báo. Các phương pháp và cách thức xác định, đo lường RRHĐ mới đang được thực hiện bằng phép cộng đơn giản số lượng các lỗi RRHĐ với nhau, tuy nhiên các lỗi RRHĐ rất đa dạng, biến đổi không ngừng nên việc thống kê như trên chưa phản ánh đúng mức độ rủi ro thực tại của BIDV.