Các công cụ nhận diện rủi ro tác nghiệp

Một phần của tài liệu Tăng cường công tác quản lý rủi ro tác nghiệp tại ngân hàng tmcp đầu tư và phát triển việt nam (Trang 25 - 34)

1.2. Nhận diện rủi ro tác nghiệp tại NHTM

1.2.4. Các công cụ nhận diện rủi ro tác nghiệp

1.2.4.1. Thu thập và phân tích dữ liệu tổn thất RRTN (LDC)

Thu thập và phân tích dữ liệu tổn thất RRTN là một công cụ quan trọng trong quá trình xây dựng cơ sở dữ liệu RRTN và xây dựng, vận hành hệ thống đo lường RRTN. Dữ liệu tổn thất nội bộ rất quan trọng trong việc gắn các ước lượng rủi ro với kinh nghiệm tổn thất thực tế của ngân hàng. Cụ thể, sử dụng dữ liệu tổn thất nội bộ làm cơ sở cho các ước lượng rủi ro thực tế, và từ đó xác định được mối quan hệ giữa tổn thất thực tế với quyết định quản lý và kiểm soát rủi ro.

Chuyên đề thực tập Tốt nghiệp

Theo yêu cầu của Uỷ ban giám sát Ngân hàng Basel, công cụ Thu thập và phân tích dữ liệu tổn thất RRTN (LDC) phải bảo đảm các yêu cầu như sau:

- Ngân hàng phải theo dõi dữ liệu rủi ro tác nghiệp một cách có hệ thống, bao gồm các tổn thất trọng yếu theo từng lĩnh vực kinh doanh và đáp ứng yêu cầu cung cấp các dữ liệu này cho các cơ quan giám sát. (Tham chiếu: BCBS 128, Đoạn 663b, Đoạn 673/điểm 1).

- Ngoài thông tin về tổng tổn thất (gross loss), ngân hàng cần thu thập thông tin về ngày xảy ra sự kiện, mọi khoản thu hồi tổn thất, cũng như một số thông tin mô tả về các yếu tố hoặc nguyên nhân của sự kiện tổn thất. Mức độ chi tiết của thông tin thu thập phụ thuộc vào giá trị tổn thất và yêu cầu quản lý của từng Ngân hàng (Tham chiếu: BCBS 128, Đoạn 673, Điểm 3)

- Ngân hàng tổng hợp và theo dõi mức ảnh hưởng của rủi ro tác nghiệp trong các tổn thất liên quan đến rủi ro tín dụng và thị trường để có thể nắm rõ mối tương quan giữa các loại rủi ro. (Tham chiếu: BCBS 195, Đoạn 39b;

BCBS 128, Đoạn 673/Điểm 5)

- Ngân hàng xây dựng các tiêu chí cụ thể phân bổ dữ liệu tổn thất đối với một sự kiện xảy ra tại một bộ phận tập trung (ví dụ phòng CNTT) hay từ một hoạt động liên quan đến nhiều đơn vị kinh doanh, cũng như từ những sự kiện liên quan trong một giai đoạn. (Tham chiếu: BCBS 128, Đoạn 673/Điểm 4).

- Ngân hàng phải có một ngưỡng thu thập tổn thất tối thiểu phù hơp cho công tác thu thập dữ liệu tổn thất nội bộ. Ngưỡng phù hợp có thể khác nhau giữa các ngân hàng, và khác nhau giữa các hoạt động kinh doanh và/hoặc khác nhau giữa các loại sự kiện. (Tham chiếu: BCBS 128, Đoạn 673/Điểm 2)

Chuyên đề thực tập Tốt nghiệp

Theo thông lệ phổ biến về thiết lập ngưỡng thu thập tổn thất, việc xác định ngưỡng thu thập sự kiện tổn thất sẽ được xác định trên cơ sở phân tích về mặt chi phí, lợi ích của việc thu thập cũng như khẩu vị rủi ro của Ban lãnh đạo. Ở một số ngân hàng, ngưỡng thu thập dữ liệu tổn thất bằng zero, tức là mọi sự kiện RRTN sẽ đều được thu thập, bao gồm cả sự kiện RRTN mà chưa phát sinh tổn thất, điều đó có nghĩa là ngân hàng sẽ tốn nhiều nguồn lực cho công tác thu thập tổn thất hơn. Một số ngân hàng lại cân nhắc không thu thập những sự kiện tổn thất rủi ro tác nghiệp có tần suất xảy ra thường xuyên nhưng tác động thấp về mặt tài chính và phi tài chính, (tần suất xảy ra thường xuyên nhưng tác động thấp)…

Các thông lệ thường được sử dụng bởi các ngân hàng trong việc đánh giá tính toàn diện và thống nhất của dữ liệu tổn thất nội bộ bao gồm:

- Đối chiếu dữ liệu tổn thất với tổn thất ghi nhận trên tài khoản GL - Dữ liệu tổn thất được rà soát bởi kiểm toán nội bộ và bên ngoài

- Dữ liệu tổn thất được kiểm tra tính nhất quán xuyên suốt các đơn vị hoặc các lĩnh vực kinh doanh trong ngân hàng.

1.2.4.2. Công cụ tự đánh giá rủi ro và kiểm soát (RCSA)

Tự đánh giá rủi ro và kiểm soát là quá trình xây dựng, kiểm tra và đánh giá danh mục rủi ro tác nghiệp và các chốt kiểm soát để lập kế hoạch phòng ngừa, giảm thiểu rủi ro.

- Kết quả đầu ra của công cụ RCSA thường được sử dụng cho mục đích:

+ Nhận diện tất cả các rủi ro có thể đe dọa đáng kể tới quy trình, tiến hành đánh giá tần suất xảy ra dự kiến và tác động của các rủi ro này, đồng thời phân chia mức độ ưu tiên giải quyết những rủi ro này.

+ Hoàn thành đánh giá về hồ sơ rủi ro tác nghiệp.

Chuyên đề thực tập Tốt nghiệp

+ Đánh giá việc kiểm soát các rủi ro chính đang được tiến hành như thế nào, xác định kiểm soát nào là kiểm soát chính và đánh giá hiệu quả của các kiểm soát đó. Xác định các thiếu sót trong kiểm soát và thống nhất kế hoạch hoàn thiện và hành động nhằm bù đắp các chênh lệch đã phát hiện được.

Theo Basel II và các thông lệ phổ biến, công cụ tự đánh giá rủi ro và kiểm soát (RCSA) phải đáp ứng các yêu cầu sau:

- Ban điều hành Ngân hàng bảo đảm việc nhận diện và đánh giá rủi ro tác nghiệp vốn có trong mọi sản phẩm, hoạt động, quy trình và hệ thống trọng yếu nhằm đảm bảo các rủi ro nội tại và nguyên nhân được am hiểu tường tận.

(Tham chiếu: BCBS 195, Nguyên tắc 6)

- Đơn vị sở hữu quy trình RCSA và kết quả RCSA là các đơn vị kinh doanh, nghiệp vụ. Họ cần xác định được quy trình RCSA sẽ được thực hiện như thế nào, với sự hỗ trợ từ chức năng quản lý rủi ro. Đơn vị quản lý rủi ro có vai trò xây dựng phương pháp luận, quy trình thực hiện RCSA và hỗ trợ các đơn vị trong việc triển khai thực hiện quy trình này trong thực tiễn.

- Tần suất rà soát: kết quả RCSA nên được cân nhắc rà soát định kỳ ít nhất một năm/1 lần. Mức độ rà soát sẽ còn tùy thuộc vào quy mô và sự phức tạp của các hoạt động kinh doanh của ngân hàng.

- RCSA có thể được thực hiện ở cấp độ đơn vị nghiệp vụ, quy trình, sản phẩm. Kết quả RCSA nên được cập nhật định kỳ hàng quý hoặc tại lần rà soát tiếp theo định kỳ hàng năm (tùy thuộc thời điểm nào đến trước) cập nhật các sự kiện tạo rủi ro trọng yếu trong hoạt động ngân hàng cũng như cập nhật tiến độ khắc phục đối với các sự kiện rủi ro trọng yếu đã xảy ra.

Công tác này có thể hỗ trợ để đáp ứng các yêu cầu báo cáo định kỳ hay bất

Chuyên đề thực tập Tốt nghiệp

thường (ví dụ: hồ sơ rủi ro, báo cáo tổng hợp theo dõi rủi ro, tình trạng thực hiện kế hoạch hành động v.v.).

- Mức độ chi tiết nội dung báo cáo RCSA sẽ tùy thuộc vào đối tượng sử dụng báo cáo, ví dụ: đối với báo cáo RCSA trình HĐQT và Ban điều hành, thông thường nội dung tập trung vào các lĩnh vực rủi ro trọng yếu/các chốt kiểm soát còn yếu kém mà có nguy cơ gây nên các rủi ro trọng yếu trong hoạt động của ngân hàng, tình hình thực hiện các kế hoạch hành động.

1.2.4.3. Công cụ dấu hiệu rủi ro chính (KRIs)

Dấu hiệu rủi ro chính (KRIs): là các chỉ số nhằm cảnh báo nguy cơ xảy ra rủi ro tác nghiệp khi được xem xét trên một khía cạnh cụ thể hoặc so sánh với các hạn mức đã đặt ra.

Các chỉ số rủi ro chính là các thước đo rủi ro và/hoặc số liệu thống kê cho phép đánh giá khả năng phát sinh rủi ro của ngân hàng. Chỉ số rủi ro, thường được gọi là Chỉ số Rủi ro Chính (KRIs), được sử dụng để theo dõi các yếu tố chính dẫn đến trạng thái chịu rủi ro liên quan đến các rủi ro chính (Tham chiếu: BCBS 195, Đoạn 39f)

Theo các thông lệ phổ biến, KRIs được xây dựng bảo đảm các yêu cầu như sau:

- Bộ KRIs toàn diện của RRTN cần đảm bảo đầy đủ 4 nguyên nhân của RRTN (con người, quy trình, hệ thống, và các yếu tố bên ngoài) và các loại sự kiện tổn thất khác nhau (ví dụ như gian lận nội bộ, gian lận từ bên ngoài, thiệt hại tài sản vật chất,v.v.).

- Hệ thống KRIs thường bao gồm KRIs toàn hàng, KRIs chung cho các đơn vị kinh doanh và KRI cụ thể cho từng đơn vị, KRI chung cho các chi

Chuyên đề thực tập Tốt nghiệp

nhánh và KRI cụ thể cho từng chi nhánh tùy thuộc vào hồ sơ rủi ro cụ thể của toàn hàng cũng như của từng đơn vị.

+ Đối với HĐQT, KRI tiềm năng thường là những KRI có thể cung cấp cái nhìn sâu sắc về an toàn vốn, tổn thất gian lận, nhân sự, CNTT, v.v

+ Đối với việc giám sát chi nhánh, KRI tiềm năng có thể là những KRI cung cấp cái nhìn sâu sắc về mức độ không tuân thủ, sự kiện gian lận, khiếu nại của khách hàng, v.v

- Đối với các chỉ số rủi ro có liên quan đang được theo dõi, Ngân hàng cần thiết lập một bộ các giá trị ngưỡng hoặc hạn mức, mà từ đó, nêu giá trị của chỉ số vượt quá ngưỡng hoặc hạn mức, ngân hàng cần có hành động kịp thời. Có thể sử dụng phương pháp thống kê (như phương pháp trung bình- phương sai) và cách tiếp cận đánh giá chuyên gia (như so sánh với các ngân hàng cùng hạng, ví dụ các ngân hàng tương đồng về mặt xếp hạng tín nhiệm (credit rating), quy mô tài sản, phạm vi, lĩnh vực hoạt động kinh doanh) để thiết lập hạn mức.

- Việc nhận diện các rủi ro tác nghiệp kinh doanh thông qua các công cụ và các nguồn thông tin như:

+ Dữ liệu tổn thất nội bộ và bên ngoài.

+ Dữ liệu và báo cáo kết quả RCSA

+ Các báo cáo kết quả kiểm soát, kiểm toán về rủi ro và các báo cáo quản trị.

+ Phỏng vấn các lãnh đạo chủ chốt.

1.2.4.4. Công cụ Phân tích kịch bản (Scenario analysis)

Phân tích kịch bản là một quy trình thu thập ý kiến của các chuyên gia về dịch vụ/sản phẩm ngân hàng và của các giám đốc quản lý rủi ro để nhận dạng

Chuyên đề thực tập Tốt nghiệp

các sự kiện rủi ro tác nghiệp tiềm tàng và đánh giá tác động tiềm tàng của những sự kiện rủi ro đó.

Phân tích kịch bản là một công cụ hiệu quả để xem xét các lĩnh vực tiềm tàng về rủi ro tác nghiệp trọng yếu và nhu cầu cần có những công cụ quản lý rủi ro bổ sung hoặc các giải pháp giảm thiểu rủi ro. Với sự khách quan của một quy trình phân tích kịch bản, khung QLRRTN vững mạnh là vô cùng quan trọng để đảm bảo sự trung thực và nhất quán của quy trình. (Tham chiếu: BCBS 195, Đoạn 39g)

- Ngân hàng phải sử dụng các ý kiến của chuyên gia về phân tích kịch bản đồng thời sử dụng các dữ liệu bên ngoài để đánh giá mức độ rủi ro của các sự kiện gây rủi ro nghiêm trọng. Phương pháp này dựa trên kiến thức của cán bộ quản lý kinh doanh giàu kinh nghiệm và các chuyên gia về quản lý rủi ro để đưa ra các đánh giá hợp lý về các sự kiện tổn thất nghiêm trọng.

Ví dụ, các đánh giá của các chuyên gia có thể được thể hiện qua các tham số phân bổ tổn thất thống kê được giả định. Ngoài ra, phân tích kịch bản nên được sử dụng để đánh giá tác động của các độ lệch so với các giả định tương quan trong hệ thống đo lường rủi ro tác nghiệp của Ngân hàng, cụ thể, để đánh giá các tổn thất tiềm tàng từ các sự kiện tổn thất rủi ro tác nghiệp xảy ra liên tục, đồng thời. Theo thời gian, những đánh giá này cần được xác thực và thẩm định lại thông qua việc so sánh với thực tế tổn thất để đảm bảo được tính hợp lý về phương pháp đánh giá. (Tham chiếu:

BCBS128, Đoạn 675)

1.2.4.5. Công cụ phê duyệt sản phẩm mới

Đối với quy trình và hệ thống mới, việc triển khai các quy trình và hệ thống mới cần được giám sát để xác định bất cứ sự khác biệt trọng yếu nào so

Chuyên đề thực tập Tốt nghiệp

với hồ sơ rủi ro tác nghiệp dự tính, và để quản lí các rủi ro ngoài dự kiến.

Ngân hàng cần đảm bảo có sự tham gia nhận diện, đánh giá các rủi ro tiềm ẩn và đưa ra các biện pháp giảm thiểu rủi ro từ các đơn vị rủi ro liên quan (như rủi ro tác nghiệp, rủi ro tín dụng, v.v.). Tính khả thi về năng lực công nghệ thông tin, mức độ an toàn, bảo mật của hệ thống mới cũng cần được đánh giá trước khi đưa vào triển khai, áp dụng chính thức

Theo Basel II, công cụ phê duyệt sản phẩm mới cần bảo đảm các yêu cầu sau:

- Ban điều hành cần đảm bảo rằng có quy trình phê duyệt đối với tất cả các sản phẩm mới, hoạt động, quy trình và hệ thống mới, đảm bảo đánh giá đầy đủ rủi ro tác nghiệp. (Tham chiếu: BCBS 195, Nguyên tắc 7/ Đoạn 42)

- Quy trình rà soát và phê duyệt cần xem xét:

a. các rủi ro vốn có của sản phẩm, dịch vụ hoặc hoạt động mới;

b. các thay đổi đối với hồ sơ rủi ro tác nghiệp của ngân hàng, khẩu vị rủi ro và mức độ chấp nhận rủi ro, bao gồm rủi ro của các sản phẩm hoặc các hoạt động hiện có;

c. các biện pháp kiểm soát cần thiết, các quy trình quản lý rủi ro và các chiến lược giảm thiểu rủi ro;

d. rủi ro còn lại;

e. các thay đổi đối với các ngưỡng hoặc giới hạn rủi ro liên quan; và f. các quy trình và thước đo để đo lường, giám sát và quản lý rủi ro của sản phẩm hoặc hoạt động mới. Quy trình phê duyệt cũng cần đảm bảo rằng việc đầu tư thích hợp đã được thực hiện cho nguồn nhân lực và cơ sở hạ tầng công nghệ trước khi triển khai sản phẩm mới. Việc triển khai các sản phẩm, hoạt động, quy trình và hệ thống mới cần được giám sát để phát hiện mọi

Chuyên đề thực tập Tốt nghiệp

khác biệt trọng yếu so với hồ sơ rủi ro tác nghiệp dự kiến và để quản lý mọi rủi ro không mong đợi. (Tham chiếu: BCBS 195, Đoạn 42)

– Các thông lệ phổ biến khác:

Các ngân hàng thường thiết lập Ủy ban phê duyệt sản phẩm mới cố định bao gồm TGĐ, CRO, CFO, CIO, Giám đốc pháp chế (Chief Legal Officer), các thành viên còn lại sẽ tham gia tùy thuộc vào từng loại sản phẩm. Đối với các hoạt động mới có những ảnh hưởng tầm chiến lược, tác động lớn đến hoạt động kinh doanh của ngân hàng, ví dụ, các hoạt động mua bán và sáp nhập, thông thường, HĐQT sẽ là cấp phê duyệt đối với các hoạt động mới này.

Đối với việc triển khai, ngân hàng xem xét triển khai một quy trình RCSA đơn giản đối với sản phẩm mới, hoạt động mới, quy trình và hệ thống mới, trước khi có được sự phê duyệt từ Ủy ban phê duyệt thường trực nhằm hỗ trợ nhóm phát triển sản phẩm, hoạt động, quy trình, hệ thống mới trong việc xem xét các vấn đề, rủi ro trọng yếu và kiểm soát một cách thực tiễn và hữu hiệu. Đồng thời, điều này cũng giúp tìm kiếm sự hợp tác của các bộ phận hỗ trợ liên quan khi cần thiết.

Chuyên đề thực tập Tốt nghiệp

CHƯƠNG 2

Một phần của tài liệu Tăng cường công tác quản lý rủi ro tác nghiệp tại ngân hàng tmcp đầu tư và phát triển việt nam (Trang 25 - 34)

Tải bản đầy đủ (PDF)

(88 trang)