1.2.2.1 Môi trường quản lý
Trước hết ngân hàng cần phải xác định rõ trách nhiệm của mình đối với việc quản trị rủi ro hoạt động. Quản trị rủi ro hoạt động không nên được hiểu là công việc của một số người hay của một số bộ phận nào đó mà cả hệ thống ngân hàng phải có trách nhiệm. Xây dựng ý thức về quản trị RRHĐ trong toàn hệ thống, lựa chọn các lĩnh vực ưu tiên để thiết lập các chốt kiểm soát về RRHĐ. Các chốt kiểm soát về RRHĐ được lựa chọn dựa trên các tiêu chí: lĩnh vực có lợi nhuận cao, là nghiệp vụ cơ bản của NHTM, có thể gây tổn thất nặng nề nếu xảy ra rủi ro.
Tất cả các nhân viên trong ngân hàng cần được đào tạo để hiểu biết và tham gia tự xác định RRHĐ – xác định nguyên nhân, đánh giá trong tất cả các rủi ro hiện có trong tất cả sản phẩm, hoạt động, quy trình và hệ thống của ngân hàng.
1.2.2.2 Thiết lập các mục tiêu
Khi ngân hàng đã xác định được trách nhiệm đối với việc quản lý rủi ro, các nhà quản trị rủi ro của ngân hàng phải phân chia cấp độ quản lý rủi ro một cách rõ ràng, minh bạch. Quản lý rủi ro hoạt động cũng được phân chia làm 3 cấp như quản lý các loại rủi ro khác bao gồm: cấp độ chiến lược, cấp độ vĩ mô và vi mô.
Bên cạnh việc phân chia các cấp độ quản lý rủi ro, ngân hàng cần quy định cụ
thể các quá trình quản lý rủi ro then chốt như: tự đánh giá rủi ro và kiểm soát, phê duyệt sản phẩm mới, báo cáo chỉ số rủi ro chính và cả quy trình báo cáo sự cố.
Rủi ro hoạt động do nhiều dạng sai sót khác nhau cả về con người và kỹ thuật, bao gồm: hệ thống thông tin, hệ thống kiểm soát nội bộ, hệ thống báo cáo không hiệu quả hay có lỗi, sai phạm của nhân viên, các yếu tố bên ngoài khác có thể gây
ảnh hưởng tới các tài sản hữu hình của ngân hàng, ảnh hưởng tới danh tiếng hay khả
năng hoạt động bình thường của ngân hàng.
1.2.2.4 Đánh giá rủi ro
Cùng với việc tạo ra môi trường quản lý tốt thì ngân hàng cần phải duy trì việc
đánh giá rủi ro thường xuyên ở các cấp khác nhau nhằm thiết kế hoặc bổ sung những biện pháp ngăn ngừa, kiểm soát kịp thời những rủi ro ảnh hưởng đến quá trình thực hiện mục tiêu của ngân hàng. Quá trình đánh giá rủi ro bao gồm:
- Xác định rủi ro tiềm tàng và rủi ro kiểm soát
Đánh giá rủi ro trước hết là xác định những rủi ro đối với từng nghiệp vụ hay
đối với cả ngân hàng thông qua việc đánh giá những nhân tố bên trong và bên ngoài có thể ảnh hưởng đến quá trình thực hiện mục tiêu của ngân hàng. Công việc này không chỉ là xác định những rủi ro hiện hữu mà còn phải xác định những rủi ro tiềm
ẩn có thể gây thiệt hại cho ngân hàng.
- Ước lượng khả năng xuất hiện của sự kiện và mức độảnh hưởng
Sau khi đã xác định được rủi ro tiểm tàng và rủi ro còn lại thì ngân hàng cần phải ước lượng khả năng xuất hiện và mức độ ảnh hưởng của sự kiện. Đối với mỗi quá trình hoạt động, phân tích độ lớn tác động của rủi ro (xét về mặt số tiền bị mất, tổn thất khác gây ra cho ngân hàng…) và khả năng (xét về mặt xác suất xảy ra) cho mỗi lần trong những nguyên nhân xảy ra rủi ro hoạt động, từ đó thu thập cơ sở dữ
liệu tổn thất. Các mức độ ảnh hưởng và khả năng xảy ra mỗi loại rủi ro được phân công theo tầm ảnh hưởng là cao hay thấp, từđó đánh giá mức độảnh hưởng của rủi ro đến các mục tiêu của ngân hàng. Việc ước lượng rủi ro hoạt động sẽ là cơ sở cho việc đề ra các biện pháp quản lý rủi ro hoạt động.
Việc xác định sự liên hệ giữa các sự kiện rủi ro sẽ giúp cho ngân hàng phát hiện sớm những loại rủi ro chưa được nhận dạng và không được chấp nhận, từ đó xây dựng các biện pháp kiểm soát có hiệu quả đối với rủi ro không được chấp nhận và thực hiện sớm hơn các biện pháp giảm thiểu rủi ro.
1.2.2.5 Phản ứng rủi ro
Rủi ro hoạt động là rủi ro rất khó nhận biết, khó lường trước được. Do vậy ngân hàng nên đặt trong trường hợp dự phòng và tính liên tục của việc kinh doanh để đảm bảo khả năng điều hành những việc liên quan và tối thiểu hóa những thua lỗ
nếu xảy ra sự cốđổ vỡ kinh doanh nghiêm trọng.
Hạn chế tối đa nguyên nhân gây ra RRHĐ từ các yếu tố bên trong NHTM như
con người, quy trình, hệ thống. Các chính sách quản trị nhân lực cần hướng tới mục tiêu xây dựng nguồn nhân lực có chất lượng cao, đạo đức nghề nghiệp tốt; các quy trình nghiệp vụ cần được rà soát thường xuyên, hoàn thiện hóa, tránh quá cứng nhắc và có lỗ hổng.
Hạn chế tối đa các nguyên nhân RRHĐ bên ngoài, xây dựng các phương án, đưa ra tình huống để sẵn sàng đối phó cũng như khắc phục kịp thời hậu quả do các lỗi truyền thông, thiên tai, hoả hoạn gây ra RRHĐ. Giải pháp cơ bản cho việc đưa ra quyết định lựa chọn thay thế là: công nhận rủi ro hiện hữu, chuyển đổi rủi ro cho bên thứ ba. (ví dụ thông qua bảo hiểm); tránh rủi ro bằng cách ngừng các hoạt động kinh doanh; giảm thiểu rủi ro hoạt động bằng đo lường các rủi ro khác (chẳng hạn như mở rộng của hệ thống kiểm soát, giới thiệu về công nghệ thông tin cho hệ
thống tựđộng nhận dạng sai sót). Những biện pháp này được bổ sung liên tục nhằm hạn chế tổn thất và tạo điều kiện thuận lợi cho sự tiếp tục kinh doanh trong trường hợp không ngăn chặn được rủi ro.
Bên cạnh kế hoạch dự phòng, cần có kế hoạch đối phó bất ngờ trong quản trị rủi ro hoạt động. Nội dung chủ yếu của kế hoạch này nhằm đối phó với những tình huống bất thường đúng lúc và hiệu quả. Tình huống khó khăn bao gồm tất của các dạng rủi ro có thể xảy ra, chẳng hạn kế hoạch phục hồi sau những tai họa, kiểm soát
quan hệ công chúng, chiến lược đối phó với kiện tụng, tranh chấp, trả lời đánh giá phê bình của các cơ quan chức năng… Kế hoạch đối phó nên được xem lại thường xuyên nhằm đảm bảo những sự kiện có khả năng tác động lên tổ chức. Kế hoạch nên được kiểm tra thử dựa trên những trả lời hợp lý, các kênh giao tiếp và sự tác
động lên các bộ phận khác của tổ chức.
1.2.2.6 Hoạt động kiểm soát
Nên thiết lập cơ chế kiểm soát, có các chính sách, thủ tục quy trình kiểm soát hoặc giảm thiểu các rủi ro hoạt động. Các ngân hàng đánh giá tính khả thi của biện pháp hạn chế rủi ro và chiến lược kiểm soát để từ đó điều chỉnh rủi ro hoạt động,
điều hành bằng các chiến lược thích hợp, phù hợp với khả năng chấp nhận rủi ro tổng thể. Để hoạt động có hiệu quả thì công tác kiểm soát là phần không thể thiếu trong hoạt động thường xuyên của ngân hàng. Nội dung chủ yếu của hoạt động kiểm soát tại các NHTM bao gồm:
- Ngân hàng kiểm soát thông qua sự phân chia trách nhiệm hợp lý. Ngân hàng phân chia trách nhiệm hợp lý thể hiện ở sự tách biệt giữa các chức năng phê chuẩn nghiệp vụ, thực hiện và ghi chép nghiệp vụ, kiểm tra nghiệp vụ và quản lý tài sản, không cho phép một cá nhân nào có thể kiểm soát tất cả các hoạt
động của một nghiệp vụ. Sự phân chia trách nhiệm như trên giúp tránh việc che giấu những gian lận hay sai sót trong việc thực hiện nghiệp vụđó và cũng góp phần giảm nguy cơ xảy ra những rủi ro gian lận hay sai sót vì các nhân viên có thể kiếm soát lẫn nhau, từ đó có thể phát hiện sai phạm kịp thời để xử lý. Ví dụ: sự phân chia trách nhiệm trong việc thực hiện nghiệp vụ kinh doanh ngoại tệ được thể hiện như sau: các giao dịch viên phòng kinh doanh ngoại tệ chỉ thực hiện giao dịch mua bán ngọai tệ, bộ phận kế toán thực hiện hạch toán kế toán các giao dịch đó và bộ phận quản lý rủi ro kiểm tra lại hạn mức giao dịch và các quy định khác về giao dịch ngoại tệ của giao dịch viên.
- Ngân hàng kiểm soát thông qua quy định sự phê chuẩn đúng đắn. Cùng với sự phân chia trách nhiệm, ngân hàng quy định quyền phê chuẩn của các cấp
quản lý trong thực hiện các hoạt động ngân hàng. Tất cả các nghiệp vụ hay hoạt
động trong ngân hàng đều phải có sự phê chuẩn bởi người quản lý trong phạm vi thẩm quyền của người đó, thực hiện nguyên tắc kiểm soát “4 mắt”, giúp cấp lãnh đạo kiểm soát và điều hành các hoạt động của ngân hàng có trật tự, đúng hướng. Ngân hàng có thể quy định sự phê chuẩn chung (như lãi suất tiền gửi tương ứng với kỳ hạn) để nhân viên thực hiện mà không cần qua xét duyệt một lần nữa, hoặc quy định sự phê chuẩn cụ thểđối với các nghiệp vụ đặc biệt (như
áp dụng lãi suất ưu đãi cho một khách hàng).
- Ngân hàng kiểm soát thông qua hệ thống số sách, chứng từ. Để kiểm tra việc thực hiện các nghiệp vụ có đúng theo sự phê chuẩn của các cấp lãnh đạo, ngân hàng kiểm soát hệ thống sổ sách, chứng từ. Việc kiểm soát các loại sổ sách và chứng từ cũng là nhằm có bằng chứng cho việc thực hiện các nghiệp vụ kinh tế
và đảm bảo nguồn thông tin đáng tin cậy cho việc quản trị ngân hàng. Kiểm soát sổ sách, chứng từ bao gồm cả việc thiết kế, kiểm soát quá trình lập cũng như
luân chuyển và lưu giữ sổ sách, chứng từ. Ngân hàng cần thiết kế các loại sổ
sách, chứng từ đơn giản, dễ hiểu, đảm bảo chứng từ được lập ngay khi nghiệp vụ phát sinh (hoặc càng sớm càng tốt), bảo đảm việc luân chuyển sổ sách chứng từ kịp thời, khoa học, không xảy ra thất lạc và đảm bảo việc lưu giữ sổ sách, chứng từ an toàn, dễ dàng truy cập khi cần thiết.
- Ngân hàng kiểm soát thông qua hệ thống thông tin. Bên cạnh việc kiểm soát sổ sách,chứng từ đểđảm bảo tính đáng tin cậy của thông tin thì ngân hàng còn thực hiện kiểm soát hệ thống thông tin bao gồm việc kiểm soát chung và kiểm soát ứng dụng đểđảm bảo sựđầy đủ và chính xác của quá trình xử lý thông tin.
• Kiểm soát chung là việc kiểm tra máy tính và hệ thồng xử lý dữ liệu điện tử
như hệ thống máy chủ, máy con, mạng, máy tính của người sử dụng cuối cùng... nhằm bảo đảm hệ thống máy tính không bị hư hại bởi yếu tố môi trường tự
nhiên hay sự phá hoại của con người, bảo đảm hệ thống hoạt động thông suốt, bảo đảm an toàn các dữ liệu của ngân hàng,...Một số biện pháp có thể áp dụng là
hướng dẫn nhân viên cách sử dụng chương trình, xây dựng “bức tường lửa” để
ngăn chặn truy cập trái phép của bên ngoài, giới hạn quyền truy cập bằng cách mỗi nhân viên có tên và mật mã truy cập hệ thống riêng và chỉ cho nhân viên vào những phân hệ để đáp ứng yêu cầu công việc, thường xuyên thay đổi mật mã, xoá bỏ quyền truy cập của những nhân viên đã nghỉ việc, máy tính của nhân viên không có cổng USB hay đĩa chép dữ liệu...
• Kiểm soát ứng dụng bao gồm kiểm soát đầu vào, kiểm soát quy trình xử lý dữ
liệu và kiểm soát thông tin đầu ra.Các kiểm soát này nhằm đảm bảo tất cả các giao dịch được phê chuẩn đầy đủ, chính xác; hoạt động xử lý đúng quy định và chính xác; kết quả thông tin đầu ra cũng chính xác, đầy đủ. Sai sót ở bất kỳ khâu nào trong kiểm soát ứng dụng cũng dẫn đến những thông tin không chính xác,
ảnh hưởng quá trình ra quyết định của các cấp quản trị. Vì vậy, khi triển khai phần mềm ứng dụng mới, ngân hàng phải tiến hành thử nghiệm những phần mềm ứng dụng này trước khi chính thức áp dụng và phải thường xuyên kiểm tra hiệu quả của các phần mềm này.
- Ngân hàng thực hiện kiểm soát vật chất. Để đảm bảo an toàn cho các tài sản, ngân hàng thiết lập thủ tục kiểm soát vật chất như bố trí bảo vệ, xây dựng kho, phòng ốc kiên cố, khoá bằng mật mã, quy định những người được phép sử dụng tài sản vả trách nhiệm của người bảo quản tài sản...nhằm giảm rủi ro tài sản bị
mất mát, hư hỏng hoặc sử dụng trái phép. Những tài sàn của ngân hàng cũng phải được kiểm kê định kỳ và so sánh với sổ sách để kịp thời phát hiện những sai phạm do bất cẩn hay gian lận trong việc bảo quản và sử dụng tài sản của ngân hàng.
- Ngân hàng thực hiện đối chiếu và kiểm tra độc lập. Ngân hàng thực hiện đối chiếu và kiểm tra độc lập để tăng tính hữu hiệu trong việc thực hiện hệ thống KSNB.
• Đối chiếu là so sánh giữa hai số liệu từ những nguồn gốc khác nhau giúp ngân hàng mau chóng phát hiện sai sót, gian lận hay các biến động bất thường để kịp
thời ứng phó.Thông thường các ngân hàng đều thực hiện đối chiếu hàng ngày số
tiền ghi có và ghi nợ giữa số sách của ngân hàng mình với sổ sách do ngân hàng bạn gửi. Đối chiếu cũng có thể là so sánh số liệu thực tế với số liệu kế hoạch, với số liệu kỳ trước và xem xét các thông tin khác trong mối liên hệ với tổng thể để đánh giá quá trình thực hiện mục tiêu của ngân hàng nhằm giúp nhà quản lý
đánh giá quá trình thực hiện công việc vì mục tiêu của đơn vị đã tiến triển như
thế nào. Từ đó nhà quản lý có những thay đổi hay điều chỉnh chiến lược, mục tiêu kịp thời, phù hợp với tình hình thực tiễn tại ngân hàng và có kế hoạch tương
ứng đểđạt được mục tiêu.
• Kiểm tra độc lập là việc kiểm tra được thực hiện bởi các các nhân hoặc bộ
phận khác với cá nhân đang thực hiện nghiệp vụ. Việc kiểm tra này rất cần thiết vì nó giúp kịp thời phát hiện những sai phạm do bất cẩn hay gian lận để có biện pháp giải quyết thích hợp, nhanh chóng, làm tăng thêm tính hữu hiệu của hệ
thống KSNB. Ví dụ các hồ sơ tín dụng phải được bộ phận quản lý rủi ro kiểm tra lại trước khi ngân hàng giải ngân, nếu hồ sơ còn thiếu hay sai sót thì bộ phận này sẽ yêu cầu chỉnh sửa, bổ sung đầy đủ mới được giải ngân, tránh được thiệt hại về tài sản cho ngân hàng.
1.2.2.7 Thông tin và truyền thông
Các NHTM cần xây dựng ngân hàng dữ liệu về RRHĐ và sử dụng công nghệ
hiện đại trong phân tích, xử lý RRHĐ. Bên cạnh đó, các NHTM nên nhanh chóng xây dựng các quy trình hướng dẫn để thu thập thêm các thông tin tổn thất. Nếu có
điều kiện, tối ưu hóa công nghệ hiện đại để phân tích, đánh giá và xử lý RRHĐ. Các NHTM nên tham gia các tổ chức bên ngoài, tăng cường đối thoại với ngân hàng bạn, Ngân hàng Nhà nước để chia sẻ thông tin tổn thất. Ngân hàng Nhà nước, Hiệp hội Ngân hàng và các NHTM nhanh chóng hiện thực hóa các khuyến nghịđã
đưa ra trong hội thảo của Ngân hàng Nhà nước tháng 1/2009 về RRHĐ về việc thành lập ngân hàng dữ liệu chung của RRHĐ, tránh tình trạng giấu thông tin về
RRHĐ như hiện nay tại các NHTM. 9Những thông tin cốt lõi cung cấp ngân hàng dữ liệu tổn thất bao gồm:
- Tổng số tiền thiệt hại (trước khi được khôi phục) - Trợ cấp bảo hiểm và những khôi phục khác - Loại rủi ro tương ứng