Quản lý rủi ro hoạt động tại các ngân hàng thương mại đức và bài học kinh nghiệm cho các ngân hàng thương mại Việt Nam

Nội dung text: Quản lý rủi ro hoạt động tại các ngân hàng thương mại đức và bài học kinh nghiệm cho các ngân hàng thương mại Việt Nam

1. QUẢN LÝ RỦI RO HOẠT ĐỘNG TẠI CÁC NGÂN HÀNG THƯƠNG MẠI ĐỨC VÀ BÀI HỌC KINH NGHIỆM CHO CÁC NGÂN HÀNG THƯƠNG MẠI VIỆT NAM TS. Nguyễn Thùy Dung1 Rủi ro hoạt động (RRHÐ) không phải là một khái niệm mới đối với các ngân hàng. Những tổn thất do RRHÐ đã được phản ánh lên bảng cân đối kế toán của ngân hàng từ nhiều thập kỷ trước. Các nhà nghiên cứu ở một số nước tiên tiến đã tính toán ảnh hưởng bị tổn thất vì RRHÐ trong các ngân hàng thông thường là 10% lợi nhuận từ hoạt động kinh doanh1. Ngoài ra, tổn thất do RRHÐ ảnh hưởng rất lớn đến uy tín và sự tồn tại cũng như phát triển của ngân hàng. Trong xu thế phát triển hiện tại, RRHÐ ngày càng trở thành vấn đề lớn do môi trường kinh doanh ngày càng phức tạp, hành vi trái pháp luật không ngừng tăng lên trong điều kiện hội nhập quốc tế và áp lực công việc, đòi hỏi kết quả và lòng trung thành của nhân viên ngày càng cao cùng với sự tận tâm của lãnh đạo nhiều hơn. Sự phụ thuộc vào công nghệ nhiều hơn cùng với tốc độ và khối lượng giao dịch tăng mạnh cũng là yếu tố làm tăng RRHÐ. RRHÐ phát sinh do hệ thống thông tin không hiệu quả, do sai sót kỹ thuật, những sai phạm trong kiểm soát nội bộ, những biến cố không định trước hay những vấn đề hoạt động khác có thể dẫn đến mất mát không định trước. Phạm vi và thời gian xảy ra những RRHÐ rất rộng lớn, nó có thể xảy ra bất kì lúc nào trong thời gian hoạt động của ngân hàng. Theo Basel II “RRHÐ là khả năng xảy ra tổn thất phát sinh do các quy trình nội bộ không đầy đủ hoặc không hoạt động tốt, do con người và hệ thống hoặc do các biến cố bên ngoài ”. Trong khái niệm trên, RRHÐ bao gồm rủi ro pháp lý chứ không bao gồm rủi ro chiến lược và rủi ro danh tiếng. Rủi ro là tổn thất bằng tiền có thể xảy ra với một xác suất nhất định, ví dụ như tối đa 5% các trường hợp tổn thất cao hơn mức tổn
2. thất tiềm tàng đã xác định. Như vậy, rủi ro luôn luôn là sự kết hợp của 2 yếu tố đó là mức độ tổn thất dự kiến và khả năng xảy ra tổn thất. Theo khái niệm của JP Morgan Chase: RRHÐ là khoản lỗ tiềm tàng phát sinh từ sự không đầy đủ hoặc lỗi trong các quy trình, trong các hệ thống, nhân tố con người hoặc các sự kiện từ bên ngoài. Từ định nghĩa chúng ta có thể phân chia thành các nhân tố cơ bản ảnh hưởng đến RRHÐ: Rủi ro quy trình được xác định như rủi ro gắn với sai sót của ngân hàng trong quy trình và quy chế, thiếu cơ chế kiểm soát nội bộ (chất lượng hồ sơ kém, thiếu sự kiểm soát, lỗi marketing ). Rủi ro con người, được xác định như một loại rủi ro liên quan đến nhân viên của ngân hàng như không làm việc, kết quả làm việc không chính xác hoặc thất bại hoặc liên quan đến các hành vi lừa đảo (sức khỏe và an toàn, gian lận nội bộ, quản lí kém, đào tạo nhân viên kém ). Rủi ro hệ thống: Là rủi ro gắn liền với việc sử dụng công nghệ và các hệ thống như tính trọn vẹn của dữ liệu yếu, tiếp cận hệ thống trái phép, tính sẵn có, sẵn sàng của hệ thống bị suy giảm hoặc sụp đổ. Rủi ro bên ngoài: Là rủi ro gắn với các sự kiện xảy ra ngoài tầm kiểm soát của ngân hàng như thiên tai, mất điện, các thị trường bất ổn làm suy giảm hoạt động kinh doanh thông thường của ngân hàng. Rủi ro pháp lí: là rủi ro từ sự không rõ ràng các hoạt động pháp lí hoặc không rõ ràng trong việc áp dụng và hiểu các luật, quy chế.
3. Thông lệ tốt nhất về quản lý RRHÐ mà các ngân hàng thương mại (NHTM) Ðức đang thực hiện: (Hình 1) Hình 1: Quy trình trên thực hiện bắt đầu từ xác định và nhận diện rủi ro cho tới khi giám sát rồi phát hiện tiềm ẩn rủi ro mới, quá trình này được thực hiện liên tục tạo một quy trình khép kín. Với quy trình quản lý RRHÐ đó, các ngân hàng xây dựng hệ thống quy trình đầy đủ với tên gọi: Ngôi đền rủi ro hoạt động. (Hình 2) Hình 2:
4. Trong quy trình trên, bài viết tập trung vào các nội dung chính liên quan tập hợp dữ liệu tổn thất, tự đánh giá chất lượng dựa trên kinh nghiệm (QSA), đến các chỉ số rủi ro chính (KRI) và kịch bản rủi ro để từ đó đưa ra các kế hoạch dự phòng cho tương lai tại các NHTM ở Ðức. 1. Tập hợp dữ liệu tổn thất Chủ yếu xem xét tổn thất từ góc độ ngân hàng bị ảnh hưởng hay xuất phát từ nguyên nhân sai sót và sự cố; và từ góc độ ngân hàng phải gánh chịu chi phí vốn để xử lý một cách chủ động qua các bài học kinh nghiệm. Theo thống kê của các ngân hàng Ðức, những loại hình biến cố quan trọng nhất bao gồm: Gian lận nội bộ, gian lận bên ngoài, cố tình phá hoại, an toàn nơi làm việc, thông lệ kinh doanh và khách hàng, sản phẩm, thảm họa và an toàn công cộng, hỏng hóc về công nghệ và giao diện và vấn đề phát sinh trong thực hiện hợp đồng, giao hàng và quản lý quy trình. Theo nghiên cứu của Ngân hàng toàn cầu Commerze Bank của Ðức, các biến cố RRHÐ có thể xảy ra
5. trên mối quan hệ tương quan giữa tổn thất tiềm tàng dự kiến và tần suất xảy ra trong năm như sau: (Hình 3) Hình 3: UA Cao EP EB Tổn SC OG PM thất Trung bình BA ST MA tiềm Trung Bình EX AP EC tàng dự Thấp FA TE HC kiến ES IN Thấp Thấp Trung bình thấp Trung Bình Cao Tần suất dự kiến trong năm Trong đó: EX: Nhân tố bên ngoài OG: Tổ chức ST: Nhân viên TE: Công nghệ IP: Ứng dụng công nghệ BA: Hoạt động kinh doanh
6. EC: Hoạt động tội phạm từ bên ngoài EP: Hoạt động chuẩn bị cho sự cố khẩn cấp EB: Kinh doanh điện tử ES: Dịch vụ bên ngoài FA: Phương tiện phục vụ HC: Nguồn nhân lực IN: Cơ sở hạ tầng công nghệ MA: Khả năng quản lý PM: Quản trị dự án SC: Giám sát cấu trúc UA: Gian lận không được phép Với ma trận trên thể hiện thống kê các sự cố xảy ra trong quá khứ để từ đó xác định mối quan hệ giữa tần suất xuất hiện các sự cố và tổn thất dự kiến gây ra. Chẳng hạn, như EP được hiểu là sự chuẩn bị cho các tình huống đặc biệt như động đất ở Fukushima Nhật Bản hay sự kiện 911 ở Mỹ (Khủng bố cảm tử ngày 9/11/2001), tần suất xảy ra rất hiếm nhưng đã nếu sự cố trên xảy ra tổn thất liên quan mà ngân hàng gánh chịu vô cùng lớn. 2. Xây dựng hệ thống chỉ số rủi ro chính (KRI)
7. Chỉ số rủi ro chính là một công cụ đánh giá định lượng dùng để kiểm tra đánh giá mức độ RRHÐ của một lĩnh vực hoạt động hay của một quy trình công việc. KRI thể hiện mức độ rủi ro trong một lĩnh vực hoạt động cụ thể và là quy tắc mang tính định lượng, dự đoán, và phân tích xu hướng. KRI tồn tại dưới 2 hình thức: KRI tổng thể: là các quy tắc chung liên quan đến quy định, chính sách được áp dụng cho tất cả các bộ phận chức năng, tất cả các nhân viên, chẳng hạn như tỷ lệ thôi việc trong phân tích quy tắc về cơ cấu tổ chức. KRI chi tiết: là tập hợp các quy tắc điều phối hoạt động của một bộ phận chức năng cụ thể do chính các bộ phận chức năng thiết lập nên, chẳng hạn như số lượng giao dịch bị thực hiện chậm hoặc số lượng giao dịch không thực hiện được trong tháng. KRI được ngân hàng thực hiện báo cáo và trên cơ sở ma trận tần suất xảy ra sự kiện và mức độ tổn thất dự kiến đã được đưa ra ở trên. Báo cáo KRI phải thực hiện trên cơ sở thực trạng hiện tại của ngân hàng và được tính toán định kỳ với mục tiêu cảnh báo sớm, phát hiện kịp thời thay đổi trong phạm vi kiểm soát; giúp cán bộ quản lý tập trung kiểm soát RRHÐ trong phạm vi các mức mục tiêu định trước, đã được chấp thuận, mức giới hạn hoặc định mức chất lượng khác. Mỗi đơn vị hoạt động cần thiết kế báo cáo KRI theo yêu cầu của mình, và được lập theo các mức khác nhau, đến từng cấp độ quản lý phải có sự khác nhau đảm bảo sự cô đọng dễ dàng tiếp cận và tập trung vào các lĩnh vực đòi hỏi sự chú ý, quan tâm kiểm soát đồng thời cũng phải thể hiện được sự thay đổi, tiến triển đối với từng chỉ số nhằm cung cấp các dấu hiệu cảnh báo sớm. (Hình 4) thay đổi, tiến triển đối với từng chỉ số nhằm cung cấp các dấu hiệu cảnh báo sớm. Hình 4: Nguồn báo cáo KRI thường chiết xuất từ 3 bộ phận cơ bản: Thực hiện giao dịch Chốt kiểm soát Rủi ro tiềm ẩn và cơ sở hạ
8. tầng Báo cáo lỗi Thư xác nhận chưa được Số lượng nhân viên biến đối chiếu động hoặc giảm Vi phạm luật lệ kinh doanh của thị trường Vi phạm hạn mức rủi ro Sự cố IT Xử lý các giao dịch ảo Vi phạm trạng thái giao dịch Sửa đổi / hủy bỏ giao dịch Sai lệch trong hoạt động Tại các ngân hàng Ðức, thường đưa ra các chỉ số rủi ro chính gắn liền với tham số và ngưỡng rủi ro để đưa ra các cấp độ ảnh hưởng và dự phòng khác nhau. Chẳng hạn đánh giá các mức độ có 3 cấp độ như màu xanh, vàng, đỏ và phản ảnh mức độ ảnh hưởng theo cấp độ tăng dần từ thấp, trung bình và cao. (Hình 5) Hình 5: Tham số Màu xanh Màu vàng Màu đỏ Báo cáo lỗi giao 3 lỗi, tối đa một >10 lỗi, tổng giá trị dịch giao dịch 20000Euro giao dịch 20000Euro lỗi giao dịch 150.000Euro Số lượng nhân viên Giảm 5% Giảm >10% giao dịch Bình quân số lượng 5 giao dịch >10 giao dịch nhân viên giao dịch Số lượng giao dịch 10 giao dịch/tuần >20 giao dịch/tuần ảo
9. Trên cơ sở ngưỡng tham chiếu của màu, báo cáo KRI sẽ được báo cáo theo màu theo thời gian giúp cho nhà quản lý dễ dàng đánh giá và nhận biết rủi ro tiềm ẩn. 3. Xác định kịch bản Phương pháp xác định kịch bản là phương pháp sắp xếp, định hình các quy trình, hệ thống chính và bổ trợ, các yếu tố phụ thuộc về tổ chức và các dự án vào các tuyến sản phẩm, các đơn vị bên khối thị trường và các bộ phận kiểm soát. Với phương pháp này cho phép các ngân hàng có thể xác định cơ sở để có thể phân tích một cách chặt chẽ, mô tả các kịch bản rủi ro chính và phân bổ các kịch bản này, sơ đồ hóa các tuyến sản phẩm, đảm bảo ưu tiên dựa trên nội dung hoạt động kinh doanh. Ðặc biệt trên cơ sở kịch bản cho phép các ngân hàng đưa ra biện pháp xử lý như tập hợp các sản phẩm theo từng đơn vị tổ chức, tập hợp các quy trình, hệ thống IT, dự án, sắp xếp các quy trình, hệ thống IT, dự án theo từng sản phẩm. Trên thế giới, các ngân hàng thường xây dựng kịch bản trên cơ sở các nhóm nhân tố ảnh hưởng đến RRHÐ như đã nói ở trên bao gồm: rủi ro quy trình, rủi ro con người, rủi ro hệ thống, rủi ro bên ngoài và rủi ro pháp lý. Tại Ðức, các ngân hàng xây dựng kịch bản trên phân chia thành 8 nhóm nhân tố sau: (Hình 6) Hình 6: Khi xây dựng kịch bản, ngân hàng quan tâm các vấn đề như sau:
10. - Lựa chọn phương pháp xây dựng kịch bản: Hiện nay, các nước trên thế giới trong đó có các ngân hàng ở Ðức yêu cầu phải áp dụng phương pháp AMA (phương pháp đo lường hiện đại) để xác định kịch bản. AMA cho phép NHTM điều chỉnh vốn bằng với đo lường rủi ro được tính toán bằng hệ thống đo lường RRHÐ nội bộ của ngân hàng đó. Theo AMA, yêu cầu vốn pháp lý sẽ bằng đo lường rủi ro được tạo ra bởi hệ thống đo lường RRHÐ của ngân hàng, có sử dụng tiêu chí định lượng và định tính đối với AMA. Theo phương pháp này xây dựng các kịch bản chú ý: + Tập trung vào những loại rủi ro quan trọng nhất. Việc xác định rủi ro quan trọng của ngân hàng có thể căn cứ vào tỷ trọng thu nhập từ hoạt động đó, hoặc căn cứ tỷ trọng nguồn lực ngân hàng đầu tư cho hoạt động đó. + Ngân hàng quan sát các sự kiện xảy ra bên ngoài mà ngân hàng đã gặp phải, đồng thời, đối chiếu các kịch bản bên ngoài với chuẩn mực của ngân hàng mà điều chỉnh. + Ngân hàng liên tục theo dõi những điểm yếu của ngân hàng lặp đi lặp lại trước sự cố trên. + Trên cơ sở phân tích trên ngân hàng cơ cấu sản phẩm, hoạt động kinh doanh, bố trí quy trình có liên quan đánh giá các rủi ro cơ bản tiềm ẩn. + Tìm kiếm thông tin bổ sung từ bộ phận kiểm toán, tuân thủ để kiểm chứng kết quả. + Giám sát và đánh giá các biến động của các lĩnh vực theo các chu kỳ dài hơn. - Phân tích lợi ích của xây dựng kịch bản trong quản lý RRHÐ. Bộ phận quản lý RRHÐ xác định mục tiêu hỗ trợ ban lãnh đạo thông qua việc rút ra được những thông
11. tin cần thiết cho hoạt động điều hành đặc biệt đưa ra quyết định chiến lược, phối hợp với các bộ phận kinh doanh khác để xác định khẩu vị rủi ro chung cho ngân hàng. Bên cạnh đó, việc xây dựng kịch bản giúp cho ngân hàng không ngừng cải thiện quy trình quản lý RRHÐ, hoàn thiện giới hạn RRHÐ, thực hiện giám sát rủi ro chủ động để bổ sung cho việc phân tích dữ liệu tổn thất trong tương lai, tăng cường ý thức về rủi ro của đội ngũ nhân sự chủ chốt cũng như hình thành văn hóa rủi ro trong toàn ngân hàng. - Kiểm tra tính phù hợp của kịch bản. Xây dựng kịch bản ngân hàng cần thiết dựa trên cơ sở thông tin bên ngoài để xây dựng các phương án dự phòng với kịch bản có khả năng xảy ra với sản phẩm và tại địa bàn hoạt động phù hợp. Ví dụ, xây dựng kịch bản về an toàn cộng đồng liên quan đến bão lụt tại Frankfurt của Ðức sẽ không phù hợp vì đây là khu vực ít sông ngòi, xa biển. Như vậy, mục tiêu của việc kiểm tra tính phù hợp được thực hiện định kỳ theo năm là xác định xem liệu một kịch bản cụ thể nào đó có đúng cho đơn vị kinh doanh đang kiểm tra hay không. Nội dung kiểm tra bao gồm: + Theo dõi các chỉ số rủi ro, khối lượng kinh doanh, sản phẩm và loại hình kinh doanh. + Cần nhấn mạnh và đặt trọng tâm đến những quy trình mới, được thay đổi và/hoặc được mở rộng. + Cán bộ ngân hàng, như trình độ và năng lực của cán bộ và cơ cấu tổ chức cũng như cơ sở hạ tầng kỹ thuật cũng phải được phân tích. Nhiệm vụ kiểm tra này là một phần của nhiệm vụ phân tích kịch bản tổng thể bắt buộc phải xác minh tính phù hợp thực tế được chứng minh bởi các số liệu tin cậy. Tại các ngân hàng Ðức, kịch bản được xây dựng thành 22 kịch bản chuẩn trên cơ sở 7 nhóm biến cố chính. Thường xuyên bộ phận quản trị RRHÐ tiến hành kiểm tra
12. kịch bản về mức độ thích hợp và từ đó xây dựng các chốt kiểm soát và đưa ra các biện pháp dự phòng.(Hình 7) Hình 7: Danh sách 25 kịch bản chuẩn 1. Cố tính làm sai 2. Giao dịch mạo hiểm Gian lận nội bộ 3. Giao dịch nội bộ 4. Gian lận nội bộ 5. Mất hoặc ăn trộm thông tin thương mại (nội bộ) 6. Lừa đảo bên ngoài Lừa đảo bên ngoài 7. Mất hoặc ăn trộm thông tin thương mại (bên ngoài) Các thông lệ về luật lao8. Phân biệt đối xử động 9. Bán hàng sai 10. Rủi ro pháp lý 11. Vi phạm ủy thác, vi phạm bảo mật, mâu thuẫn lợi ích Thông lệ về kinh doanh, 12. Rửa tiền khách hàng và sản phẩm 13. Thất bại trong thiết kế quy trình kinh doanh và sản phẩm 14. Rủi ro mô hình 15. Thiên tai An toàn công cộng 16. Dịch bệnh 17. Lỗi về cơ sở hạ tầng Ngưng trệ kinh doanh và lỗi 18. Đổ vỡ chính trong hệ thống công nghệ thông tin hệ thống (CNTT)
13. 19. Thất bại của bên cung cấp dịch vụ Thực hiện bàn giao và quản20. Lỗi xử lý hoặc lỗi giao dịch lý quy trình 21. Rủi ro dự án 22. Hồ sơ khách hàng không đầy đủ Trong các kịch bản chuẩn trên với các ngân hàng Ðức chẳng hạn áp dụng cho quản lý RRHÐ tại bộ phận Trading thuộc khối Treasury. Với kịch bản số 1 về cố ý làm sai kịch bản này ít nghiêm trọng vì do cơ cấu tổ chức của bộ phận nguồn vốn nên cùng một bút toán sẽ phải có một vài nhân viên giao dịch cùng chịu trách nhiệm. Ngoài ra, mức lương thưởng lại luôn gắn với kết quả kinh doanh nói chung của toàn bộ phận, nguồn vốn (không có mối liên hệ trực tiếp giữa lương thưởng với một khoản giao dịch riêng lẻ). Với kịch bản số 4 về gian lận nội bộ kết quả kiểm tra tại ngân hàng mức độ thích hợp thấp vì ngoài các trường hợp giao dịch mạo hiểm (kịch bản số 2) thì không còn có kịch bản nào có thể có tác động nghiêm trọng về tài chính. Hơn nữa, tại ngân hàng còn có tổ chức và chế độ giám sát chặt chẽ, các đơn vị tổ chức quy mô nhỏ và chủ yếu chỉ thực hiện giao dịch liên ngân hàng. Với kịch bản số 10 rủi ro pháp lý có tính thích hợp thấp vì ngân hàng có số lượng khách hàng hạn chế, chủ yếu là khách hàng liên ngân hàng với các sản phẩm đơn giản, nên dự kiến cũng ít có rủi ro pháp lý nghiêm trọng nào. Ngoài ra, theo ngân hàng thì bên đối tác luôn có đủ điều kiện và tư cách pháp lý. Nếu như xem xét rủi ro pháp lý trong phạm vi kịch bản đã được xác định thì có thể đánh giá là không tồn tại rủi ro pháp lý nào. Trên cơ sở các kịch bản chuẩn trên, ngân hàng sẽ tiến hành xây dựng kịch bản cụ thể với kế hoạch dự phòng, chẳng hạn ngân hàng xây dựng 4 kịch bản minh họa sau: (Hình 8) Hình 8:
14. Kịch bản Biện pháp Thời gian sử Hệ quả dụng có thể Hệ thống kinh Hệ thống tạm thời bị ngừng: ở Cho đến khi Hoạt động xử lý doanh bị gián nguyên tại chỗ, thông tin cho quay trở lại trạng bị hạn chế cho đoạn. các đầu mối liên hệ và đối tác thái chính. đến khi hệ thống quan trọng. quay trở về trạng Đợi chuyển sang thái bình thường. Hệ thống bị ngưng trệ trong một hệ thống dự thời gian dài: Sử dụng địa điểm phòng (30 phút) Có thể có khoảng dự phòng cho các hoạt động sau đó tiếp tục trống trước khi quan trọng nhất Tiếp tục các hoạt động tại địa hoạt động được hoạt động cốt lõi cho đến khi điểm phục hồi. địa điểm phục nào trạng thái chính hoạt động hồi. được hoặc triển khai được dự phòng. Nhóm quản lý điều phối đảm bảo xác định những quy trình quan trọng nhất cần được ưu tiên. Không tiếp cận Sử dụng địa điểm dự phòng Càng lâu càng Có thể có khoảng được trụ sở tốt trống trong quá Trong trường hợp có dịch bệnh hoặc khu vực trình di chuyển hoặc ngay cả địa điểm phục hồi xung quanh nhân viên từ khu có nguy cơ bị lây nhiễm cao thì vực trung tâm chuyển ngay sang giao dịch sang địa điểm dự ngoài trụ sở. phòng. Giảm hoạt động kinh doanh/liên Trường hợp phải
15. hệ với khách hàng giao dịch ngoài nhà thì quá trình Nhóm quản lý điều phối kiểm đối chiếu số liệu tra mức độ ổn định về mặt kỹ có thể bị chậm và thuật và kênh tiếp cận của các không được hoàn bộ phận chức năng kiểm soát. tất Thiếu nhân viên Xác định nhân viên chủ chốt và Càng lâu càng Tùy thuộc vào những nhân viên tạm thời có tốt mức độ thiếu hụt mặt. Trường hợp không thể tiếp nhân viên và tình cận được trung tâm chính thì có huống xử lý thể bắt đầu chuyển sang giao dịch ngoài trụ sở, nếu như có thể xử lý được bình thường các giao dịch. Các nhân viên chủ chốt còn lại phải xác định rủi ro tiềm tàng có ảnh hưởng đến địa điểm làm việc và hướng dẫn các nhân viên khác xử lý thích hợp. Các hệ thống Trong trường hợp không có cơ Càng lâu càng Tùy thuộc tình cốt lõi của ngân sở hạ tầng CNTT cần thiết tốt huống cụ thể hàng không sẵn - Giảm hoặc gián đoạn các hoạt sàng hoạt động động ngân hàng - Bộ phận giao dịch (ví dụ quan hệ khách hàng) liên hệ với các
16. bộ phận back office (có thể qua fax hoặc email) - Cố gắng đánh giá tình hình hiện tại và duy trì các ghi chép bằng tay - Các kênh thông tin cần được chú ý quan tâm (fax, thư, các thiết bị dùng chung) - Thông tin cho các đơn vị kinh doanh bị ảnh hưởng thời gian bị gián đoạn dự kiến Tham chiếu thông lệ về quản lý RRHÐ của hiệp định Basel II. Mục tiêu của thông lệ về quản lý và giám sát RRHÐ nhằm đảm bảo yêu cầu về vốn pháp lý gắn kết chặt chẽ hơn với rủi ro có liên quan, là động cơ khuyến khích tăng cường văn hóa kiểm soát và quản trị rủi ro và xử lý quy trình định giá rủi ro một cách phù hợp. Thông lệ đã đưa ra hàng loạt các quy tắc trong hoạt động quản lý rủi ro những 4 nội dung cốt lõi sau liên quan trực tiếp đến quản trị RRHÐ. Nguyên tắc 1: Do hoạt động quản trị RRHÐ ngày được quan tâm và môi trường kinh doanh thường xuyên biến động nên ban lãnh đạo ngân hàng cần đảm bảo rằng các chính sách, quy trình và hệ thống của khuôn khổ này đều phải đủ và có hiệu lực. Khả năng tăng cường công tác quản trị RRHÐ sẽ phụ thuộc rất nhiều vào sự nhận thức và quan tâm lãnh đạo cấp cao trong ngân hàng.
17. Nguyên tắc 2: Các ngân hàng cần xây dựng, triển khai và duy trì một khuôn khổ tích hợp toàn diện vào các quy trình quản trị rủi ro nói chung của ngân hàng. Nguyên tắc 4: Hội đồng quản trị phải phê duyệt và rà soát lại khẩu vị cũng như khả năng chịu RRHÐ gắn với bản chất, loại hình và mức độ RRHÐ mà ngân hàng sẵn sàng chấp nhận. Nguyên tắc 10: Các ngân hàng cần phải có kế hoạch hồi phục và vận hành liên tục để đảm bảo khả năng hoạt động bình thường và giảm thiểu tổn thất trong trường hợp gặp đổ vỡ nghiêm trọng hoạt động kinh doanh. Một số bài học kinh nghiệm cho các NHTM Việt Nam Tại các NHTM Việt Nam trong giai đoạn vừa qua cũng đã chú ý đến việc hạn chế các sai sót, sai phạm, kể cả từ bên trong lẫn bên ngoài. Tuy nhiên, việc xác định tầm quan trọng của quản trị RRHÐ đối với các NHTM vẫn chưa tương xứng với vai trò thực sự của nó, đặc biệt là so với mối quan tâm và những nỗ lực của ngân hàng trong quản lý rủi ro tín dụng và rủi ro thị trường. Hệ thống quản lý rủi ro của các NHTM Việt Nam hầu như vẫn đang bỏ ngỏ và chưa được đầu tư xây dựng một cách thỏa đáng và chuyên nghiệp. Tuy còn nhiều hạn chế, nhưng trong thời gian gần đây, với sự nỗ lực của các NHTM thì việc kiểm soát rủi ro nói chung và RRHÐ nói riêng đã bước đầu thu được những kết quả đáng khích lệ: giảm thiểu rủi ro do lỗi quy trình, công nghệ và con người Thông qua các nguyên tắc của Ủy ban Basel II, và thực tiễn quản lý RRHÐ tại các NHTM Ðức, bài học kinh nghiệm cho các NHTM Việt Nam nhằm tăng cường quản trị RRHÐ nhằm mục tiêu phát triển bền vững như sau:
18. Thứ nhất, áp dụng triệt để 4 vấn đề chính trong quy tắc về quản trị RRHÐ theo Ủy ban Basel. Ðối với NHTM, tất cả các cấp từ hội đồng quản trị, ban tổng giám đốc, và tất cả các nhân viên đều phải được xác định và nhận thức được tầm quan trọng của RRHÐ. Hội đồng quản trị cần thiết thuê tư vấn xây dựng khung quản trị RRHÐ phù hợp cho ngân hàng của mình và môi trường kinh doanh. Trong đó, hai vấn đề chủ chốt cần được đầu tư là: Xây dựng và hoàn thiện chiến lược cho quản trị RRHÐ, và hoàn thiện cấu trúc quản trị RRHÐ, đặc biệt là cấu trúc tổ chức. - Chiến lược quản trị RRHÐ thường bao gồm các vấn đề sau đây: (i) xác định RRHÐ và nhận biết các nguyên nhân gây RRHÐ, (ii) mô tả khẩu vị và mức độ chấp nhận rủi ro. (Các rủi ro chính của các quy trình quản lý phụ thuộc vào quy mô, sự phức tạp của hoạt động kinh doanh); (iii) Mô tả về các trách nhiệm quản lý RRHÐ vào tổng thể quản lý rủi ro nói chung của ngân hàng. - Cấu trúc tổ chức quản trị RRHÐ, xây dựng bộ phận quản lý RRHÐ độc lập bao gồm hai bộ phận quản lý RRHÐ tập trung và quản lý RRHÐ phi tập trung tại các chi nhánh hoặc tại các bộ phận kinh doanh 2. Theo đó, nhiệm vụ của các bộ phận trên sẽ được phân chia như sau: (Hình 9) Hình 9 Bộ phận quản lý RRHĐ tập trung Quản lý RRHĐ tại chi nhánh hoặc bộ phận kinh doanh - Xây dựng chiến lược RRHĐ - Thường xuyên giám sát - Xây dựng các chính sách và quy trình - Đánh giá quy trình - Thẩm định mô hình
19. - Tính toán vốn cần thiết - Can thiệp vào quy trình - Đánh giá chức năng của các bộ phận - Kiểm soát và đánh giá rủi ro - Chịu trách nhiệm đối với hệ thống - Hỗ trợ nhân viên kiểm soát nội bộ - Phân tích kịch bản - Quản lý quá trình tự đánh giá - Xây dựng các chỉ số rủi ro chính KRI - Tổng hợp số liệu tổn thất - Thu thập số liệu tổn thất và báo cáo - Báo cáo lên ban giám đốc - Báo cáo nội bộ - Liên hệ với các cơ quan quản lý - Thực hiện tự đánh giá Thứ hai, xây dựng ý thức về quản trị RRHÐ trong toàn hệ thống, lựa chọn các lĩnh vực ưu tiên để thiết lập các chốt kiểm soát về RRHÐ. Tất cả các nhân viên trong ngân hàng cần được đào tạo để hiểu biết và tham gia tự xác định RRHÐ - xác định nguyên nhân, đánh giá trong tất cả các rủi ro hiện có trong tất cả sản phẩm, hoạt động, quy trình và hệ thống của ngân hàng. Các chốt kiểm soát về RRHÐ được lựa chọn chủ yếu dựa trên trên tiêu chí: lĩnh vực có mức độ quan trọng trong ngân hàng (căn cứ vào mức độ tiềm ẩn rủi ro, tỷ trọng thu nhập của ngân hàng, tỷ trọng nguồn lực của ngân hàng). Thứ ba, xây dựng hệ thống các chỉ tiêu đo lường rủi ro chính KRIs (key risk indicators), định lượng hóa RRHÐ theo cách tiếp cận AMA, và xây dựng kịch bản theo cách tiếp cận trên. Kết hợp các chỉ tiêu định tính (tự đánh giá, kiểm tra) và các chỉ tiêu định lượng và tính toán khả năng xảy ra rủi ro. Ðối với mỗi quá trình hoạt động, một lĩnh vực kinh doanh hay một quy trình, phân tích
20. độ lớn tác động của rủi ro (xét về mặt số tiền bị mất, tổn thất khác gây ra cho ngân hàng ) và khả năng (xét về mặt số lượng sự cố) cho mỗi lần trong các nhân tố chính ảnh hưởng đến RRHÐ, từ đó thu thập cơ sở dữ liệu tổn thất. Các mức độ ảnh hưởng và khả năng xảy ra mỗi loại rủi ro được phân công theo tầm ảnh hưởng là cao hay thấp. Sau khi xác định các mức độ rủi ro ảnh hưởng và khả năng cho mỗi loại rủi ro. NHTM sắp xếp theo các ngưỡng khác nhau từ thấp đến cao và biểu diễn theo dạng ma trận. Các kết quả thu được được xác định chính là tổn thất dự kiến bằng khả năng xảy ra sự kiện nhân với mức độ tổn thất nếu sự kiện xảy ra. Từ mức độ rủi ro được định lượng hóa như trên, NHTM tính toán để đưa ra kế hoạch kiểm soát rủi ro. Khi tính toán mức độ rủi ro, ngân hàng cần sử dụng dữ liệu tổn thất nội bộ dựa trên quan sát quá khứ tối thiểu là 5 năm. Trường hợp mới bắt đầu chuyển sang phương pháp đo lường tiên tiến thì kỳ quan sát dữ liệu tổn thất tối thiểu 3 năm cũng chấp nhận được. Khi xây dựng các chỉ số rủi ro chính KRI các ngân hàng cần xác định mức độ báo cáo và các cấp xử lý theo ngưỡng rủi ro để có biện pháp ứng phó kịp thời. Sơ đồ sau minh họa kênh báo cáo theo cấp độ ngưỡng rủi ro của bộ phận giao dịch trong khối Treasury của ngân hàng Ðức. (Hình 10). Hình 10:
21. Khi phân tích kịch bản, ngân hàng cần phải sử dụng các kết quả phân tích kịch bản phải kiểm tra tính phù hợp và dựa trên ý kiến đánh giá của chuyên gia và dữ liệu bên ngoài nhằm đánh giá nguy cơ rủi ro của tổ chức mình những biến cố hết sức nghiêm trọng. Ngân hàng cũng phải thường xuyên kiểm định lại kết quả các phân tích kịch bản và điều chỉnh phân tích cho phù hợp với thực hiện tổn thất để đảm bảo tính hợp lý của phân tích. Ðặc biệt trong kịch bản xây dựng kế hoạch dự phòng chẳng hạn chấp nhận rủi ro nội tại, chuyển đổi rủi ro cho bên thứ ba. (ví dụ thông qua bảo hiểm); tránh rủi ro bằng cách ngừng các hoạt động kinh doanh; giảm thiểu RRHÐ bằng đo lường các rủi ro khác (chẳng hạn như mở rộng của hệ thống kiểm soát, giới thiệu về công nghệ thông tin cho hệ thống tự động nhận dạng sai sót). Những biện pháp này được bổ sung liên tục nhằm hạn chế tổn thất và tạo điều kiện thuận lợi cho sự tiếp tục kinh doanh trong trường hợp không ngăn chặn được rủi ro. Như vậy, khi xây dựng một kịch bản cần phải dựa trên những điều kiện tiên quyết sau: - Những gì xảy ra gần đây
22. - Những gì có thể xảy ra trong điều kiện hiện tại - Những gì có thể xảy ra sắp tới - Xác suất ước tính là bao nhiêu - Tổn thất dễ xảy ra nhất là gì - Những rủi ro nào cần tính đến trong trường hợp xấu nhất - Các kế hoạch dự phòng nào góp phần giảm các rủi ro này Thứ tư, tăng cường thu thập dữ liệu tổn thất quản lý RRHÐ Các NHTM Việt Nam hiện đang tiến hành thu thập dữ liệu tổn thất nội bộ theo nhiều cách thức khác nhau, song về cơ bản vẫn chỉ dựa trên ghi chép và báo cáo đơn giản từ các bộ phận, chi nhánh. Bên cạnh đó, các lỗi, sai sót hay chính xác hơn là các sự cố về hệ thống công nghệ tuy xảy ra với tần suất nhỏ hơn, số tiền liên quan cũng có thể nhỏ hơn nhiều, nhưng mức độ ảnh hưởng của nó đối với ngân hàng lại không hề nhỏ. Sở dĩ như vậy vì sự cố hệ thống gây ảnh hưởng trên diện rộng, cùng lúc ảnh hưởng đến rất nhiều khách hàng, rất nhiều giao dịch. Rủi ro về hoạt động xoay quanh các nguyên nhân chính là con người, hệ thống thông tin, quy trình và do khách quan. Những rủi ro này trong tình hình hiện nay càng trở nên phổ biến. Như vậy, thu thập dữ liệu nội bộ của các NHTM Việt Nam hiện nay chưa đầy đủ, thiếu khoa học và còn nhiều bất cập. Ðiều này đặt ra cho các NHTM một nhiệm vụ là cần phải xem xét và thực hiện sao cho đảm bảo độ chính xác, tin cậy thì mới có thể tạo nền tảng đưa ra những nhận xét, đánh giá, đo lường chính xác RRHÐ.
23. Trong thời gian vừa qua, RRHÐ thực sự vẫn chưa được các NHTM chú trọng một cách đúng mức. Các ngân hàng luôn ứng phó với các RRHÐ một cách thụ động, đa số chỉ có các biện pháp khắc phục chứ chưa có các biện pháp phòng ngừa hợp lý. Việc để xảy ra các RRHÐ không chỉ gây tổn thất cho ngân hàng về vật chất và nguồn nhân lực, đặc biệt khiến cho uy tín của ngân hàng bị ảnh hưởng. Hơn nữa, với xu thế hội nhập quốc tế ngày nay của các NHTM ở Việt Nam, việc quản trị RRHÐ đang ngày càng có ý nghĩa quan trọng và cần thiết. Vì vậy, các ngân hàng cần xây dựng một cách hệ thống và có chiến lược quản trị RRHÐ một cách có hiệu quả. 1Quản trị rủi ro tác nghiệp tại các ngân hàng thương mại Việt Nam - Nguyễn Hoài Linh 2Quản trụ rủi ro - GIZ TÀI LIỆU THAM KHẢO: 1. GIZ (2013), Quản trị RRHÐ, Ngân hàng Nhà nước Việt Nam 2. Nguyễn Hoài Linh (2008) , Quản trị rủi ro tác nghiệp tại các ngân hàng thương mại Việt Nam, Luận văn Thạc sỹ. 3. KPMG (2012), Operation risk, Business Dialogue, Luxembourg 4. Chalupka, P. (2008), Operational Risk Management and Implications for Bank’s Economic Capital - A Case Study.” 5. Milan Rippel, Petr Teplý (2011), Operational risk - scenario analysis, Prague economic papers. Business Dialogue
24. KPMG Luxembourg, 23rd M *1 Học viện Ngân hàng