6. Kết cấu luận án
3.2.5. Tăng cường áp dụng hệ thống các công cụ quản lý rủi ro
Đây gần như là nội dung chưa được đề cập đến trong quy định về QLRR của các công ty chứng khoán ở Việt Nam hiện nay. Về cơ bản, các CTCK có thể áp dụng một số công cụ QLRR sau [4]:
(1) Báo cáo dấu hiệu rủi ro chính (Key risk indicator - KRI) liệt kê tần
suất/số lần xuất hiện hoặc các số liệu thống kê liên quan đến những dấu hiệu rủi ro chính đã được xây dựng, trên cơ sở đó theo dõi sự biến động của các số liệu thống kê và xác định những rủi ro có khả năng xảy ra. Mục tiêu của báo cáo: cảnh báo sớm, phát hiện kịp thời mọi thay đổi trong phạm vi kiểm soát; giúp cán bộ quản lý
tập trung kiểm soát rủi ro hoạt động trong phạm vi các mức mục tiêu định trước, đã được chấp thuận, mức giới hạn hoặc định mức chất lượng khác. KRI bao gồm:
KRI Tổng thể –Là các quy tắc chung, liên quan đến các quy định/ chính sách được áp dụng cho tất cả các bộ phận chức năng, tất cả nhân viên (ví dụ: Tỷ lệ thôi việc/ Quy tắc về cơ cấu, tổ chức).
KRI Chi tiết – Là tập hợp các quy tắc điều phối hoạt động của một bộ phận chức năng cụ thể do chính các bộ phận chức năng thiết lập nên. (ví dụ: Số lượng giao dịch bị thực hiện chậm/ không thực hiện được trong tháng). Các bước để thực hiện KRI như sau:
Bước 1: Xác định dấu hiệu rủi ro chính căn cứ vào quy định/văn bản hướng dẫn nghiệp vụ, hệ thống dữ liệu và ý nghĩa của các trường dữ liệu; Sai/lỗi, tình huống nghi ngờ, xu hướng bất thường của một sự kiện hoặc hoạt động kinh doanh nào đó.
Bước 2: Thiết lập hạn mức cho phép. Thông thường, hạn mức cho phép được tính toán dựa trên mức xếp hạng hoạt động từng chi nhánh (A, B, C). CTCK cũng có thể tính toán thêm hạn mức trên hoặc hạn mức dưới nhằm đưa ra biên độ dao động cụ thể.
Bước 3: Tổng hợp đánh giá rủi ro. Ví dụ, CTCK có thể chọn cách đánh giá hạn mức cho phép như dưới đây:
NHÓM HẠNG 1 HẠNG 2 HẠNG 3
HẠN MỨC CHO PHÉP A*120% A A*80%
HẠN MỨC TRÊN B*120% B B*80%
HẠN MỨC DƯỚI C*120% C C*80%
KRI vượt quá hoặc nằm ngoài hạn mức cho phép cho thấy khả năng đang tồn tại nguy cơ rủi ro, cần chú ý.
KRI phản ánh nguy cơ sai lỗi
Mẫu báo cáo Dấu hiệu rủi ro chính có thể thực hiện như sau:
(2) Báo cáo sự cố rủi ro được thực hiện nhằm hỗ trợ các đơn vị quản lý thông tin về các sự cố rủi ro thông qua quy trình thu thập và báo cáo khi các sự cố rủi ro phát sinh; Cung cấp thông tin cho lãnh đạo các đơn vị về tổn thất từ các sự cố
rủi ro, tham mưu về các biện pháp khắc phục, ngăn chặn, phòng ngừa rủi ro tương tự tái diễn. Các báo cáo về sự cố rủi ro có thể bao gồm:
- Báo cáo sự cố rủi ro: thực hiện ngay sau khi phát sinh sự cố
- Báo cáo tổng hợp sự cố phát sinh: có thể thực hiện định kỳ 3 tháng/lần - Báo cáo kết quả khắc phục sự cố: thực hiện báo cáo sau khi hoàn tất hành động khắc phục sự cố
(3) Báo cáo sai/lỗi: Báo cáo này thực hiện nhằm thống kê sai/lỗi theo đơn
vị/nghiệp vụ để đưa ra hành động khắc phục, từ đó cung cấp thông tin về các sai/lỗi rủi ro cao cho các đơn vị quản lý rủi ro.
CTCK triển khai chương trình quản lý dữ liệu sai/lỗi trên toàn hệ thống với các chức năng chính như sau:
(4) Ma trận rủi ro được xây dựng dựa trên những rủi ro được phát hiện qua
quá trình kiểm tra sử dụng các công cụ KRI, báo cáo sự cố rủi ro nhằm:
• Đánh giá mức độ rủi ro và xác định được những sai/lỗi có mức độ rủi ro cao trong từng nghiệp vụ
• Đánh giá mức độ rủi ro của từng nghiệp vụ, xác định được những mảng nghiệp vụ có mức độ rủi ro cao
• Đánh giá mức độ rủi ro của từng chi nhánh, xác định được những chi nhánh có mức độ rủi ro cao
• Là căn cứ cho hoạt động kiểm toán theo mức độ rủi ro Các loại ma trận rủi ro được thực hiện như sau:
- Mỗi mặt nghiệp vụ: Bảng mô tả tần suất xuất hiện và mức độ ảnh hưởng của các sai/lỗi của từng mặt nghiệp vụ
- Tất cả nghiệp vụ: Bảng mô tả tần suất xuất hiện sai/lỗi và mức độ ảnh hưởng của tất cả các mặt nghiệp vụ
- Các chi nhánh: Bảng mô tả tần suất xuất hiện sai/lỗi và mức độ ảnh hưởng của tất cả các mặt nghiệp vụ của các chi nhánh trong hệ thống
(5) Báo cáo tự đánh giá kiểm soát rủi ro (Key control self – assessment – KCSA) là một mô hình đo lường rủi ro nhằm mục đích:
• Đánh giá tính sẵn có, mức độ áp dụng và hiệu lực của các biện pháp kiểm soát sử dụng để phòng ngừa/giảm thiểu rủi ro
• Xác định các vùng kiểm soát yếu, từ đó có các biện pháp khắc phục • Cung cấp dữ liệu đầu vào cho hoạt động Kiểm toán nội bộ
• Là căn cứ đánh giá lại kết quả tự nhận diện và đo lường rủi ro, kiểm soát