Hoàn thiện hệ thống kiểm soát nội bộ tại ngân hàng đầu tư và phát triển Việt Nam theo hướng đối phó với rủi ro hoạt động Luận văn thạc si Đại học Kinh tế

Mục đích nghiên cứu Việc nghiên cứu đề tài này hướng tới các mục đích sau: - Luận văn làm sáng tỏ lý luận về hệ thống KSNB và vai trò của nó trong việc quản trị rủi ro hoạt động và giúp

TRANG PHỤ BÌA

LỜI CAM ĐOAN

MỤC LỤC

DANH MỤC CÁC CHỮ VIẾT TẮT

DANH MỤC CÁC BẢNG

MỞ ĐẦU 1

1 Tính cấp thiết của đề tài 1

2 Mục đích nghiên cứu 2

3 Đối tượng và phạm vi nghiên cứu 2

4 Phương pháp nghiên cứu 2

5 Ý nghĩa của việc nghiên cứu 2

6 Kết cấu luận văn 3

CHƯƠNG 1: HỆ THỐNG KIỂM SOÁT NỘI BỘ TẠI NGÂN HÀNG THƯƠNG MẠI TIẾP CẬN THEO RỦI RO HOẠT ĐỘNG 4

1.1 RỦI RO HOẠT ĐỘNG TRONG NGÂN HÀNG THƯƠNG MẠI 4

1.1.1 Hoạt động kinh doanh tại ngân hàng thương mại 4

1.1.1.1 Hoạt động kinh doanh tại ngân hàng thương mại 4

1.1.1.2 Các rủi ro trong hoạt động kinh doanh của ngân hàng thương mại 5

1.1.1.3 Mối quan hệ giữa rủi ro hoạt động với các rủi ro khác trong ngân hàng 5

1.1.2 Rủi ro hoạt động trong các ngân hàng thương mại 6

1.1.2.1 Các yếu tố rủi ro hoạt động 6

1.1.2.2 Phân loại rủi ro hoạt động 8

1.1.2.3 Vấn đề quản trị rủi ro hoạt động trong NHTM 9

1.2 HỆ THỐNG KIỂM SOÁT NỘI BỘ TẠI NGÂN HÀNG THƯƠNG MẠI 13

1.2.1 Tổng quan về KSNB 13

1.2.1.1 Báo cáo COSO 1992 13

1.2.1.2 Báo cáo COSO 2004 19

1.2.1.2.1 Các yếu tố của quản trị rủi ro doanh nghiệp 21

1.2.1.2.2 Những điểm khác biệt so với kiểm soát nội bộ 23

1.2.2 Các yếu tố của KSNB tiếp cận theo hướng quản trị RRHĐ 30

1.2.2.1 Môi trường quản lý 30

1.2.2.2 Thiết lập mục tiêu 30

1.2.2.3 Nhận dạng các sự kiện tiềm tàng 30

1.2.2.4 Đánh giá rủi ro 31

1.2.2.5 Phản ứng rủi ro 32

1.2.2.6 Hoạt động kiểm soát 33

1.2.2.7 Thông tin và truyển thông 36

1.3.2.8 Giám sát 37

Kết luận chương 1 38

CHƯƠNG 2: THỰC TRẠNG HOẠT ĐỘNG KIỂM TRA KIỂM SOÁT NỘI BỘ TẠI NGÂN HÀNG ĐẦU TƯ VÀ PHÁT TRIỂN VIỆT NAM NHẰM ĐỐI PHÓ VỚI RỦI RO HOẠT ĐỘNG 39

2.1 GIỚI THIỆU SƠ LƯỢC VỀ BIDV VIỆT NAM 39

2.2 THỰC TRẠNG HOẠT ĐỘNG KSNB TẠI NGÂN HÀNG ĐẦU TƯ VÀ PHÁT TRIỂN VIỆT NAM NHẰM ĐỐI PHÓ VỚI RỦI RO HOẠT ĐỘNG 41

2.2.1 Đánh giá công tác quản lý rủi ro hoạt động của các chi nhánh trong toàn hệ thống BIDV Việt Nam năm 2009 42

2.2.1.1 Đánh giá rủi ro hoạt động liên quan đến chính sách, quy chế, quy trình 42

2.2.1.2 Đánh giá rủi ro hoạt động liên quan đến cán bộ và công tác tổ chức cán bộ 43

2.2.1.3 Đánh giá sai sót tác nghiệp của cán bộ trong quá trình tác nghiệp 43

2.2.1.4 Đánh giá chung về những dấu hiệu có mức độ rủi ro cao 44

2.2.1.5 Giá trị tổn thất RRHĐ của các bộ phận nghiệp vụ 9 tháng đầu năm 2009 45

2.2.2 Thực trạng công tác quản lý rủi ro hoạt động tại BIDV Việt Nam 47

2.2.2.1 Môi trường quản lý 47

2.2.2.2 Thiết lập các mục tiêu 51

2.2.2.6 Hoạt động kiểm soát 55

2.2.2.7 Thông tin truyền thông 59

2.2.2.8 Giám sát 60

2.2.3 Nhận xét và đánh giá 61

2.2.3.1 Những thành công 61

2.2.3.2 Những hạn chế 63

2.2.3.3 Nguyên nhân của những hạn chế trong quản trị RRHĐ tại BIDV Việt Nam 66

Kết luận chương 2 68

CHƯƠNG 3: MỘT SỐ KIẾN NGHỊ NÂNG CAO HOẠT ĐỘNG KIỂM TRA KIỂM SOÁT NỘI BỘ TẠI BIDV VIỆT NAM THEO HƯỚNG ĐỐI PHÓ VỚI RỦI RO HOẠT ĐỘNG 69

3.1 PHƯƠNG HƯỚNG TĂNG CƯỜNG KSNB NHẰM ĐỐI PHÓ VỚI RRHĐ 69

3.2 CÁC GIẢI PHÁP CỤ THỂ ĐỐI VỚI BIDV VIỆT NAM 69

3.2.1 Các giải pháp hoàn thiện môi trường quản lý 69

3.2.2 Thiết lập các mục tiêu của ngân hàng và chiến lược thực hiện vào chu trình KSNB 74

3.2.3 Nâng cao việc nhận dạng các sự kiện tiềm tàng 75

3.2.4 Nâng cao chất lượng đánh giá rủi ro trong hoạt động ngân hàng 76

3.2.5 Các giải pháp nâng cao phản ứng rủi ro 77

3.2.6 Các giải pháp hoàn thiện hoạt động kiểm soát 79

3.2.7 Các giải pháp nâng cao hiệu quả của thông tin và truyền thông 80

3.2.8 Các giải pháp nâng cao tính hiệu quả của hoạt động giám sát 81

3.3 CÁC GIẢI PHÁP HỖ TRỢ TỪ PHÍA NGÂN HÀNG NHÀ NƯỚC 82

3.3.1 NHNN cần sớm ban hành các quy định, hướng dẫn việc thực thi quy chế về kiểm tra, kiểm soát nội bộ và QTRR hoạt động 82

3.3.3 Ban đào tạo của NHNN cần thường xuyên tổ chức các buổi tập huấn và hội thảo trao đổi kinh nghiệm về hoạt động kiểm soát nội bộ đối với rủi ro hoạt

động 85

Kết luận chương 3 86

KẾT LUẬN 87

TÀI LIỆU THAM KHẢO 89

 

Tôi xin cam đoan luận văn “Hoàn thiện hệ thống kiểm soát nội bộ tại Ngân

hàng Đầu Tư và Phát Triển Việt Nam theo hướng đối phó với rủi ro hoạt động” là

công trình do tôi tự nghiên cứu và hoàn thành dưới sự hướng dẫn của người hướng dẫn khoa học”

Các số liệu, kết quả trình bày trong luận văn là trung thực, và chưa từng được công bố trong các luận văn trước đây

Tp Hồ Chí Minh, tháng 10 năm 2010

Phạm Quỳnh Như Sương

1 Basle : Uỷ ban Balse về giám sát ngân hàng

2 BIDV :Ngân hàng Đầu tư và phát triển Việt Nam

3 COSO : Committee of Sponsoring Organizations

4 CN : Chi nhánh

5 CIF : Phân hệ thông tin khách hàng

6 KSV : Kiểm soát viên

7 KSNB : Kiểm soát nội bộ

Bảng 1.1 Các yếu tố cấu thành hệ thống kiểm soát nội bộ theo COSO

Bảng 1.2 Các yếu tố của quản trị rủi ro doanh nghiệp

Bảng 1.3 Các kỹ thuật định lượng để đánh giá rủi ro

Bảng 2.1: Một số chỉ tiêu chủ yếu của BIDV năm 2008 - 2009

Bảng 2.2: Giá trị tổn thất rủi ro tác nghiệp của các bộ phận nghiệp vụ 9 tháng đầu năm 2009

Bảng 2.3: Triết lý của nhà quản lý BIDV CN Tp.HCM về quản trị RRHĐ

Bảng 2.4: Đánh giá tầm quan trọng của các rủi ro trong hoạt động kinh doanh ngân hàng tại BIDV CN Tp.HCM

Bảng 2.5: Nhiệm vụ của phòng Quản lý rủi ro tại CN Tp.HCM

Bảng 2.6: Ý kiến về mục tiêu ngắn hạn và dài hạn tại BIDV CN Tp.HCM

Bảng 2.7: Nhận dạng rủi ro tiểm tàng tại BIDV CN Tp.HCM

Bảng 2.8: Phương pháp đo lường RRHĐ tại BIDV CN Tp.HCM

Bảng 2.9: Cách thức phản ứng với RRHĐ tại BIDV CN Tp.HCM

Bảng 2.10: Các hoạt động kiểm soát tại BIDV CN Tp.HCM

Bảng 2.11: Các hình thức truyền thông tại BIDV CN Tp.HCM

Bảng 2.12: Các hình thức giám sát tại BIDV CN Tp.HCM

MỞ ĐẦU

1.Tính cấp thiết của đề tài

Trong nền kinh tế thị trường, mỗi thực thể tồn tại trong sự đan xen của nhiều mối quan hệ hữu cơ, ở đó, hợp tác và cạnh tranh luôn là hai mặt đối lập không thể tách rời Song cũng chính từ mối quan hệ hợp tác và cạnh tranh ấy đã, đang và sẽ nảy sinh nhiều biến cố không thể lường trước, được gọi là rủi ro kinh doanh

Là một thực thể trong nền kinh tế thị trường và lại là một thực thể đặc biệt – một trung gian tài chính, một đơn vị kinh doanh loại hàng hóa đặc biệt là tiền tệ - vì thế ngân hàng phải đối mặt với vô vàn rủi ro, xuất hiện trên nhiều phương diện chứ không chỉ bó hẹp trong phạm vi nội ngành như các doanh nghiệp khác Những rủi

ro này luôn có mối quan hệ hữu cơ với nhau và kết hợp tạo thành một “dây chuyền” nguy hiểm đe dọa đến sự tồn vong của ngân hàng

Trong số các loại rủi ro ảnh hưởng đến hoạt động kinh doanh Ngân hàng thì

rủi ro hoạt động, còn được gọi là rủi ro tác nghiệp hay rủi ro vận hành, là loại rủi

ro bao trùm, khó lường trước nhất Trong những năm qua, các NHTM Việt Nam và trên thế giới đã phải gánh chịu những tổn thất không nhỏ do rủi ro hoạt động, ảnh hưởng đến uy tín và tài sản của NHTM Chính vì vậy, trong quản lý rủi ro, nếu quản

lý tốt rủi ro hoạt động sẽ làm giảm thiểu nguy cơ xảy ra rủi ro khác

Ngày nay, trong xu thế hội nhập và công nghệ tiên tiến phát triển, sức ép về công việc ngày một tăng lên, các hoạt động gian lận trở nên tinh vi hơn, rủi ro hoạt động tăng lên cả về khả năng xảy ra cũng như mức độ ảnh hưởng Do vậy, các doanh nghiệp nói chung và các ngân hàng nói riêng càng quan tâm hơn đến loại rủi

ro này Để tiến hành quản lý rủi ro hoạt động một cách có hiệu quả, các NHTM cần tăng cường hoạt động KSNB để đảm bảo điều hành hoạt động ngân hàng an toàn và hiệu quả

Chính vì tầm quan trọng của hệ thống KSNB và yêu cầu nâng cao hiệu quả hoạt động KSNB tại các NHTM nói chung và ngân hàng Đầu Tư và Phát Triển Việt

Nam nói riêng trong thời kỳ hội nhập kinh tế quốc tế nên việc chọn đề tài “Hoàn

thiện hệ thống kiểm soát nội bộ tại ngân hàng Đầu Tư và Phát Triển Việt Nam theo hướng đối phó với rủi ro hoạt động” là một yêu cầu khách quan và hết sức

cấp thiết, có ý nghĩa đối với các ngân hàng thương mại hiện nay

2 Mục đích nghiên cứu

Việc nghiên cứu đề tài này hướng tới các mục đích sau:

- Luận văn làm sáng tỏ lý luận về hệ thống KSNB và vai trò của nó trong việc quản trị rủi ro hoạt động và giúp ngân hàng đạt được mục tiêu đề ra

- Luận văn phản ánh và đánh giá thực trạng hoạt động KSNB của ngân hàng Đầu Tư và Phát Triển Việt Nam (viết tắt BIDV Việt Nam) theo hướng đối

phó với rủi ro hoạt động, nhận biết những hạn chế và nguyên nhân những hạn chế của hệ thống KSNB tại ngân hàng này

- Trên cơ sở lý luận và thực tiễn, luận văn đưa ra những giải pháp nhằm hoàn hiện

hệ thống KSNB tại BIDV Việt Nam

3 Đối tượng và phạm vi nghiên cứu

Phạm vi giới hạn của đề tài nghiên cứu lý luận và thực tiễn về: hệ thống kiểm soát nội bộ; quan điểm về rủi ro hoạt động và cách thức quản lý rủi ro tại Ngân hàng Đầu Tư và Phát Triển Việt Nam

4 Phương pháp nghiên cứu

Phương pháp nghiên cứu của luận văn là phương pháp duy vật biện chứng Luận văn dựa trên việc quan sát, tìm hiểu qua sách báo, tạp chí, khảo sát và trao đổi

ý kiến với người hướng dẫn khoa học cũng như kết hợp với thực tế bản thân là giao dịch viên tại BIDV HCM để tăng cơ sở thực tiễn cho các đánh giá và đề xuất của luận văn Việc đánh giá số liệu dựa trên các phương pháp thống kê, tổng hợp, so sánh và phân tích

5 Ý nghĩa của việc nghiên cứu

Luận văn đã góp phần làm rõ lý luận về hệ thống KSNB tại NHTM tiếp cận quan điểm mới về rủi ro hoạt động và quản trị rủi ro hoạt động theo Báo Cáo COSO năm 2004, mối quan hệ giữa hệ thống KSNB và quản trị rủi ro trong ngân hàng Luận văn đã đánh giá những ưu điểm cùng với những hạn chế trong việc thiết kế và thực hiện hệ thống KSNB nhằm đối phó với rủi ro hoạt động tại BIDV Việt Nam

Luận văn đã đưa ra những giải pháp góp phần khắc phục những thiếu sót và hoàn thiện hệ thống KSNB tại BIDV Việt Nam nhằm đảm bảo ngân hàng hoạt động

an toàn và hiệu quả, đạt được mục tiêu đề ra

6 Kết cấu luận văn

Ngoài phần mở đầu, kết luận, phụ lục, tài liệu tham khảo, nội dung chính của luận văn gồm 03 chương:

Chương 1: Hệ thống kiểm soát nội bộ tại Ngân hàng thương mại tiếp cận theo rủi ro hoạt động

Chương 2: Thực trạng hoạt động kiểm tra kiểm soát nội bộ tại Ngân hàng Đầu Tư

và Phát Triển Việt Nam nhằm đối phó với rủi ro hoạt động

Chương 3: Một số kiến nghị nâng cao hoạt động kiểm tra kiểm soát nội bộ tại BIDV Việt Nam theo hướng đối phó với rủi ro hoạt động

CHƯƠNG 1:

HỆ THỐNG KIỂM SOÁT NỘI BỘ TẠI NGÂN HÀNG THƯƠNG MẠI TIẾP

CẬN THEO RỦI RO HOẠT ĐỘNG 1.1 RỦI RO HOẠT ĐỘNG TRONG NGÂN HÀNG THƯƠNG MẠI

1.1.1 Hoạt động kinh doanh tại ngân hàng thương mại

1.1.1.1 Hoạt động kinh doanh tại ngân hàng thương mại

Theo Peter S.Rose “Ngân hàng là loại hình tổ chức tài chính cung cấp một danh mục các dịch vụ tài chính đa dạng nhất, đặc biệt là tín dụng, tiết kiệm và dịch vụ thanh toán, và thực hiện nhiều chức năng tài chính nhất so với bất kỳ một tổ chức kinh doanh nào trong nền kinh tế”1

Theo quyết định số 20/2004/QH11 về sửa đổi, bổ sung một số điều của luật các

tổ chức tín dụng thì ngân hàng là doanh nghiệp được thành lập theo quy định của luật này (luật các tổ chức tín dụng) và các quy định khác của pháp luật được thực hiện toàn bộ hoạt động ngân hàng và các hoạt động kinh doanh khác có liên quan Trong đó, hoạt động ngân hàng là hoạt động kinh doanh tiền tệ, sử dụng số tiền này

để cấp tín dụng và cung ứng các dịch thanh toán2

Hoạt động ngân hàng với các sản phẩm dịch vụ truyền thống là trao đổi tiền tệ, chiết khấu thương phiếu, cho vay thương mại, nhận tiền gửi, bảo quản vật có giá, tài trợ các hoạt động của Chính phủ, cung cấp các tài khoản giao dịch và dịch vụ ủy thác Hoạt động ngân hàng ngày càng phát triển theo hướng trở thành tập đoàn gồm nhiều công ty trực thuộc cung cấp các dịch vụ tài chính và do đó sản phẩm dịch vụ ngân hàng cũng ngày càng đa dạng với các dịch vụ ngân hàng hiện đại như cho vay tiêu dùng, quản lý ngân quỹ, tư vấn tài chính, cho thuê tài chính, tài trợ dự án, kinh

1 Nguồn: Peter S.Rose (2001), Quản trị ngân hàng thương mại, NXB.Tài Chính

2

Nguồn: Quyết định số 20/2004/QH11 ngày 15/06/2004 của Quốc Hội khóa XI về sửa đổi, bổ sung một số điều của Luật các tổ chức tín dụng

doanh chứng khoán, cung cấp dịch vụ bảo hiểm, dịch vụ ngân hàng đầu tư và ngân hàng bán buôn, dịch vụ ngân hàng quốc tế, thanh toán thẻ …

Các ngân hàng ngày càng có nhiều sản phẩm dịch vụ ngân hàng mới, mở rộng phạm vi hoạt động kinh doanh cả trong nước và nước ngoài để đáp ứng nhu cầu của khách hàng ngày càng đa dạng thì rủi ro trong hoạt động ngân hàng cũng ngày càng gia tăng

1.1.1.2 Các rủi ro trong hoạt động kinh doanh của ngân hàng thương mại

Những rủi ro chính trong hoạt động kinh doanh ngân hàng có thể được chia thành các loại: rủi ro tín dụng, rủi ro thanh khoản, rủi ro lãi suất, rủi ro ngoại hối, rủi ro hoạt động, rủi ro uy tín (chi tiết được trình bày ở Phụ lục 1)

1.1.1.3 Mối quan hệ giữa rủi ro hoạt động với các loại rủi ro khác trong ngân hàng

Do tính phức tạp và khối lượng giao dịch lớn, cùng với tính dễ biến động của tiền tệ nên trong hoạt động của mình ngân hàng thường gặp nhiều rủi ro Các loại rủi ro thường có mối quan hệ, ảnh hưởng lẫn nhau thí dụ uy tín ngân hàng suy giảm

có thể dẫn đến rủi ro thanh khoản do khách hàng đồng loạt rút tiền gửi tại ngân hàng và có thể làm ngân hàng phá sản, ảnh hưởng đến toàn bộ hệ thống ngân hàng Trong đó, rủi ro hoạt động thường là nguyên nhân dẫn đến những rủi ro khác như: Rủi ro tín dụng, rủi ro lãi suất, rủi ro ngoại hối, rủi ro thanh toán, rủi ro uy tín… xảy

ra mà nguyên nhân là do con người không tuân thủ đúng quy trình hoặc quy trình không đầy đủ hoặc do tác động từ yếu tố khách quan bên ngoài, thì các rủi ro đó cũng bắt nguồn từ rủi ro hoạt động ( Ví dụ: rủi ro hoạt động dẫn tới rủi ro tín dụng

đó là nhân viên tín dụng không thực hiện đúng quy trình tín dụng như không giám sát chặt chẽ việc sử dụng vốn vay và tình hình kinh doanh của khách hàng nên không kịp thời phát hiện khách hàng kinh doanh thua lỗ, dẫn tới phá sản, không trả

nợ vay cho ngân hàng.)

Do rủi ro hoạt động có tác động đến những rủi ro khác, nó cần được quản lý một cách thống nhất và toàn diện trên mọi khía cạnh của tổ chức Bởi vậy, cơ chế quản

lý rủi ro cần đề cập tới mọi loại rủi ro, cũng như mọi chiến lược để xác định, đo lường, điều khiển và kiểm soát rủi ro hoạt động

1.1.2 Rủi ro hoạt động trong các ngân hàng thương mại

1.1.2.1 Các yếu tố rủi ro hoạt động

Rủi ro hoạt động trong hoạt động kinh doanh là lẽ thường tình xảy ra Riêng hoạt động kinh doanh trong lĩnh vực tài chính ngân hàng, mức độ rủi ro hoạt động còn lớn hơn rất nhiều so với các lĩnh vực hoạt động kinh doanh khác, và rủi ro hoạt động trong lĩnh vực ngân hàng thường gây ra hậu quả nghiêm trọng hơn do số tiền thất thoát lớn hơn Rất nhiều vụ rủi ro hoạt động nổi tiếng xảy ra gần đây trên thế giới và ở Việt Nam như vụ rủi ro tại ngân hàng Socioete Generale của Pháp năm

2008 làm thiệt hại 4,9 tỷ EUR Hoặc vụ việc nhân viên điểm giao dịch của một NHTM nhà nước giả mạo chữ ký khách hàng “thụt két” tới 24 tỷ đồng Tổ trưởng tổ

kế toán một điểm giao dịch một NHTM cổ phần biển thủ 7 tỷ đồng cá độ bóng đá Cán bộ kho quỹ một NHTM cổ phần rút ruột 1,28 tỷ đồng và 8 nghìn USD trái phiếu là tài sản cầm cố của khách hàng để chơi chứng khoán Thanh toán viên chọn nhầm loại tiền từ VND thành AUD Khách hàng chuyển 4 triệu VND bị hạch toán thành 4 triệu AUD (tương đương 48,5 tỷ VND).3

Theo Ủy ban Basel về giám sát ngân hàng, “rủi ro hoạt động là rủi ro gây ra tổn thất do các nguyên nhân như con người, sự không đầy đủ hoặc vận hành không tốt các quy trình, hệ thống;các sự kiện khách quan bên ngoài Rủi ro hoạt động bao gồm cả rủi ro pháp lý nhưng loại trừ về rủi ro chiến lược và rủi ro uy tín”.4

Như vậy, rủi ro hoạt động là do các nhóm yếu tố sau tạo ra:

 Quy trình: Rủi ro hoạt động tăng theo mức độ phức tạp của giao dịch Các

quy trình bao gồm công tác quản trị doanh nghiệp và thẩm quyền từ cấp hội đồng

quản trị tới ban điều hành, lãnh đạo các phòng nghiệp vụ và nhân viên Mọi chức năng hay bộ phận trong một tổ chức tín dụng từ việc lập kế hoạch, nhận tiền gửi, huy động nguồn lực thông qua tín dụng và các hợp đồng, thỏa thuận; ra quyết định

từ đầu tư, xử lý giao dịch…đều chịu rủi ro

 Con người: Rủi ro hoạt động tăng lên cùng với sự tham gia của con người

vào hoạt động khởi tạo, phê duyệt, báo cáo, hoặc điều chỉnh một giao dịch Các biểu hiện cụ thể của rủi ro hoạt động bao gồm hành vi gian lận , lỗi, sự bỏ sót và lạm dụng của nhân viên Ngân hàng càng có nhiều nhân viên, nhiều điểm giao dịch

và khách hàng thì rủi ro hoạt động càng cao

 Hệ thống: Rủi ro hoạt động từ hệ thống công nghệ bao gồm: đầu tư công

nghệ không phù hợp, lỗi tích hợp từ vận hành hệ thống, lỗ hổng an ninh hệ thống Ngoài ra, những biến cố có thể rất đơn giản như máy chủ bị treo trong thời gian ngắn hoặc có thể toàn mạng lưới bị hỏng phần cứng hoặc phần mềm…Tổn thất của trục trặc hệ thống khó có thể định lượng vì trong phần lớn trường hợp đó chính là

chi phí cơ hội do ngân hàng không thể tiến hành hoạt động như bình thường

 Các sự kiện bên ngoài: các vấn đề về cơ sở hạ tầng (bao gồm điện, nước,

điện thoại, hệ thống dữ liệu, giao thông, vận chuyển…), đình công, các thay đổi về pháp lý, chính trị và ngay cả thời tiết khắc nghiệt có thể tạo ra hoặc làm tăng thêm

các rủi ro cho ngân hàng

 Các vấn đề khác: Bao gồm số tiền của các giao dịch và số lượng các thay

đổi mà một ngân hàng đang gặp phải (quyền sở hữu mới, lãnh đạo mới, nhân viên

mới, những thay đổi về chính sách, quy trình, hệ thống…)

Các nhóm nhân tố trên tác động đến tất cả các hoạt động kinh doanh của ngân hàng nên rủi ro hoạt động tồn tại trong tất cả các dịch vụ và hoạt động kinh doanh của ngân hàng Vì vậy, mọi vấn đề liên quan đến hoạt động ngân hàng đều có thể gây ra rủi ro hoạt động như chiến lược kinh doanh, các chính sách, các quy trình tác nghiệp, công tác tổ chức, các hoạt động nghiệp vụ, hoạt động hổ trợ, nguồn nhân

lực, cơ sở hạ tầng, công nghệ thông tin, các biện pháp kiểm soát, công tác kiểm toán

…

1.1.2.2 Phân loại rủi ro hoạt động

Rủi ro hoạt động luôn tiềm ẩn trong mọi hoạt động, mọi lĩnh vực kinh doanh của ngân hàng Và thực tế, nó thường xuất hiện trong các trường hợp sau:

 Rủi ro từ nội bộ ngân hàng

- Rủi ro do cán bộ ngân hàng gây nên: Cán bộ ngân hàng thực hiện các nghiệp

vụ, nhiệm vụ không được ủy quyền hoặc phê duyệt vượt quá thẩm quyền cho phép; không tuân thủ các quy định, quy trình nghiệp vụ của ngân hàng; có hành vi lừa đảo hoặc hành vi phạm tội, cấu kết với đối tượng bên ngoài gây thiệt hại cho ngân hàng…

- Rủi ro do các quy trình quy định nghiệp vụ: Quy trình nghiệp vụ có nhiều điểm bất cập, chưa hoàn chỉnh, tạo kẽ hở cho kẻ xấu lợi dụng gây thiệt hại cho ngân hàng; hoặc quy trình nghiệp vụ chưa phù hợp gây khó khăn cho cán bộ tác nghiệp trong ngân hàng …

- Rủi ro từ hệ thống hỗ trợ: Rủi ro từ công nghệ thông tin (dữ liệu không đầy

đủ hoặc hệ thống bảo mật thông tin không an toàn, thiết kế của hệ thống không phù hợp, gián đoạn của hệ thống, phần mềm chương trình hổ trợ cài đặt trong hệ thống lỗi thời, hỏng hoặc không hoạt động); rủi ro từ các hệ thống hổ trợ khác

 Rủi ro do tác động bên ngoài

- Rủi ro do hành vi lừa đảo, trộm cắp hoặc phạm tội của các đối tượng bên ngoài ngân hàng, hành động phá hoại đánh bom, cướp ngân hàng …

- Rủi ro do các sự kiện bên ngoài hoặc do tự nhiên (động đất, bão, lũ lụt …) gây gián đoạn, thiệt hại cho hoạt động kinh doanh

- Rủi ro do các văn bản, quy định của chính phủ, các ban ngành có liên quan,

có sự thay đổi hoặc những quy định mới làm ảnh hưởng đến hoạt động kinh doanh của ngân hàng

1.1.2.3 Vấn đề quản trị rủi ro hoạt động trong NHTM

Trong những năm gần đây, khi xảy ra liên tục những thua lỗ, thất thoát nhiều tỷ đồng tại các ngân hàng lớn trên thế giới liên quan đến tác nghiệp, RRHĐ bắt đầu được nhìn nhận và quan tâm dưới một góc độ mới, RRHĐ được thể hiện thông qua việc: gian lận nội bộ, gian lận từ bên ngoài, thiệt hại về tài sản, lỗi hệ thống… Từ các nguyên nhân và ảnh hưởng của RRHĐ, NHTM phải thiết lập kế hoạch ngăn ngừa, giảm thiểu RRHĐ Các sự kiện RRHĐ cần được phân tích kỹ lưỡng nguyên nhân và ảnh hưởng, cũng như các tổn thất và đưa vào cơ sở dữ liệu của NHTM làm

cơ sở cho việc quản trị RRHĐ trong tương lai

Quản trị RRHĐ đã trở thành một hoạt động quan trọng đối với các NHTM Mức

độ hiện đại hóa đòi hỏi các NHTM phải dựa vào công nghệ tự động ngày càng phức tạp; phát triển đa dạng hơn các sản phẩm; xu hướng toàn cầu hóa, cạnh tranh, mở rộng quy mô, tham gia vào hoạt động mua lại, sáp nhập, hợp nhất Quản trị rủi ro hoạt động là quá trình tổ chức tín dụng tiến hành các hoạt động tác động đến rủi ro hoạt động, bao gồm việc thiết lập cơ cấu tổ chức, xây dựng hệ thống các chính sách, phương pháp quản lý rủi ro hoạt động để thực hiện quá trình quản lý rủi ro đó là xác định, đo lường, đánh giá, quản lý, giám sát và kiểm tra kiểm soát rủi ro hoạt động nhằm bảo đảm hạn chế tới mức thấp nhất rủi ro xảy ra Quản trị RRHĐ hiệu quả nghĩa là rủi ro xảy ra trong mức độ dự đoán trước và NHTM có thể kiểm soát được Rất nhiều ngân hàng trên thế giới đã áp dụng các biện pháp quản trị RRHĐ ngay sau khi Basel II5 có hiệu lực Nhiều ngân hàng ở Mỹ, Châu âu, Nhật Bản, Australia

đã áp dụng cách tiếp cận đo lường hiện đại AMA (Advanced Measurement Approach) Kết quả nghiên cứu do Ủy ban Basel thực hiện đối với 121 ngân hàng tại 17 quốc gia cho đến hết năm 2008 đã kết luận rằng vốn RRHĐ của các ngân hàng sử dụng AMA thấp hơn các ngân hàng không sử sụng AMA (10,8% so với 12-18%)

5 Hiệp ước Basel I năm 1996 vẫn còn nhiều hạn chế Một trong những điểm hạn chế đó là Basel I không đề cập đến một loại rủi ro đang ngày càng phức tạp và với mức độ ngày càng tăng lên, đó là rủi ro hoạt động Vì vậy từ năm 1999, Uỷ ban Basel đã nỗ lực đưa ra một Hiệp ước mới thay thế cho Basel I, và cho đến năm

2004, bản Hiệp ước quốc tế Basel II đã ra đời

Hơn 50% ngân hàng Tây Ban Nha đã thực hiện đổi mới hoạt động và tổ chức nhằm mục tiêu quản trị RRHĐ như: thành lập một bộ phận riêng biệt chuyên về RRHĐ, đổi mới hệ thống báo cáo và áp dụng công nghệ hiện đại

Một số ngân hàng sử dụng tối đa nguồn lực từ bên ngoài để quản trị RRHĐ, như ING Group thuê IBM để quản trị RRHĐ, Citibank sử dụng phần mềm CLS (continuous linked settlement) Citibank thực hiện quản trị RRHĐ theo các tiêu chuẩn và chính sách rủi ro và kiểm soát trên cơ sở tự đánh giá rủi ro Hoạt động của các phòng ban, đơn vị kinh doanh được xác định, đánh giá thường xuyên; từ đó các quyết định điều chỉnh và sửa đổi hoạt động này được tài liệu hóa và công bố trong ngân hàng Các chỉ số đo lường rủi ro chính được xác định kỹ lưỡng và cụ thể - và đấy là điều kiện để Citibank thực hiện quản trị RRHĐ 6

1.2 HỆ THỐNG KIỂM SOÁT NỘI BỘ TẠI NGÂN HÀNG THƯƠNG MẠI 1.2.1 Tổng quan về KSNB

1.2.1.1 Báo cáo COSO 1992

Thời kỳ tiền COSO (từ năm 1992 trở về trước)

Khái niệm KSNB bắt đầu được sử dụng vào đầu thế kỷ 20 trong các tài liệu về kiểm toán Lúc đó, KSNB được hiểu như là một biện pháp để bảo vệ tiền không bị các nhân viên gian lận Sau đó, khái niệm này dần được mở rộng: KSNB không chỉ dừng lại ở việc bảo vệ tài sản (không chỉ có tiền) mà còn nhằm đảm bảo việc ghi chép kế toán chính xác, nâng cao hiệu quả hoạt động và khuyến khích tuân thủ các chính sách của nhà quản lý

Năm 1977, sau vụ bê bối Watergate, quốc hội Hoa Kỳ đã thông qua Luật hành

vi hối lộ ở nước ngoài Điều luật này nhấn mạnh việc KSNB nhằm ngăn ngừa những khoản thanh toán bất hợp pháp và dẫn đến việc yêu cầu ghi chép rất đầy đủ

6 Nguồn: TS Lê Thanh Tâm & Phạm Bích Liên, “Quản trị rủi ro hoạt động – kinh nghiệm quốc tế và bài học đối với các ngân hàng thương mại Việt Nam”,Tạp chí Ngân hàng số 20 tháng 10 năm 2009 (trang 26)

trong mọi hoạt động Lần đầu tiên, hoạt động KSNB trong các tổ chức được đề cập đến trong một văn bản pháp luật

Năm 1985, sự đổ bể của các công ty cổ phần có niêm yết làm cho các nhà làm luật Hoa Kỳ quan tâm đến việc KSNB của các doanh nghiệp Nhiều quy định, hướng dẫn về KSNB của các cơ quan chức năng Hoa Kỳ được ban hành trong giai đoạn này như: Ủy ban chuẩn mực kiểm toán Hoa Kỳ năm 1998, Ủy ban chứng khoán Hoa Kỳ năm 1988, tổ chức nghiên cứu kiểm toán nội bộ năm 1991,

Những quy định này một mặt làm phong phú khái niệm KSNB nhưng mặt khác dẫn đến yêu cầu phải hình thành một hệ thống lý luận có tính chuẩn mực về KSNB

Sự ra đời của báo cáo COSO năm 1992

Quá trình phát triển của các công ty ở Hoa Kỳ cũng là quá trình phát triển quy

mô của gian lận gây thiệt hại đáng kể cho nền kinh tế Nhiều Ủy ban đã ra đời để khảo sát và tìm cách khắc phục, trong đó có Ủy ban quốc gia về chống gian lận báo cáo tài chính – gọi tắt là ủy ban Treadway- ra đời năm 1985 COSO là một Ủy ban gồm nhiều tổ chức nghề nghiệp nhằm hỗ trợ cho Ủy ban Trradway Các tổ chức nghề nghiệp trên bao gồm: Hiệp hội kế toán công chứng Hoa Kỳ (AICPA), Hội kế toán Hoa Kỳ (AAA), Hiệp hội các nhà quản trị tài chính (FEI), Hiệp hội kiểm toán viên nội bộ (IIA) và Hiệp hội kế toán viên quản trị (IMA) Qua quá trình tìm hiểu

về gian lận, COSO đã nhận thấy KSNB đã ảnh hưởng rất lớn đến khả năng xảy ra gian lận Vì thế, việc nghiên cứu và đưa ra một khuôn khổ chung về KSNB được đặt ra Báo cáo COSO 1992 là kết quả của quá trình nghiên cứu này Báo cáo cung cấp một hệ thống lý luận đầy đủ nhất về KSNB cho đến thời điểm này, kế thừa và phát triển các nghiên cứu trước đó về KSNB

Báo cáo COSO 1992 gồm có 4 phần: 7

- Phần 1 – Bản tóm lược: Tổng quan về KSNB cho nhà quản lý cấp cao

7 Nguồn: Kiểm toán – NXB Lao động xã hội, năm 2007 (trang 94)

- Phần 2 – Hệ thống lý luận: Định nghĩa về KSNB, mô tả các yếu tố của KSNB

và chỉ ra những tiêu chí để kiểm soát hệ thống

- Phần 3 – Báo cáo cho các thành viên bên ngoài: Hướng dẫn cách thức báo cáo cho các đối tượng bên ngoài về KSNB liên quan đến tài chính

- Phần 4 – Các công cụ đánh giá: Bao gồm các bảng biểu phục vụ cho việc đánh giá sự hữu hiệu của hệ thống KSNB

Cụ thể về phần Khuôn khổ chung của KSNB như sau:

a) Định nghĩa

Báo cáo COSO định nghĩa:”KSNB là một quá trình bị chi phối bởi ban giám đốc, nhà quản lý và các nhân viên của đơn vị, được thiết kế để cung cấp một sự đảm bảo hợp lý nhằm đạt được các mục tiêu sau đây:

- Mục tiêu về sự hữu hiệu và hiệu quả của hoạt động

- Mục tiêu về sự tin cậy của báo cáo tài chính

- Mục tiêu về sự tuân thủ các luật lệ và quy định”

Trong định nghĩa trên, có bốn khái niệm quan trọng cần lưu ý, đó là: quá trình, con người, đảm bảo hợp lý và mục tiêu

 KSNB là một quá trình: tức khẳng định KSNB không phải là một sự kiện

hay tình huống mà là một chuỗi các hoạt động hiện diện rộng khắp trong doanh nghiệp KSNB tỏ ra hữu hiệu nhất khi nó được xây dựng như một phần cơ bản trong hoạt động của doanh nghiệp chứ không phải là một sự bổ sung cho các hoạt động của doanh nghiệp hoặc là một gánh nặng bị áp đặt bởi các cơ quan quản lý hay thủ tục hành chính KSNB phải là một bộ phận giúp doanh nghiệp đạt được mục tiêu của mình

 KSNB bị chi phối bởi con người trong đơn vị (bao gồm ban giám đốc, nhà

quản lý và các nhân viên) Con người đặt ra mục tiêu và đưa cơ chế kiểm soát vào vận hành hướng tới các mục tiêu đã định Ngược lại, KSNB cũng tác động đến hành

vi của con người Mỗi cá nhân có một khả năng, suy nghĩ và ưu tiên khác nhau khi làm việc và họ không phải luôn luôn hiểu rõ nhiệm vụ của mình cũng như trao đổi

và hành động một cách nhất quán KSNB sẽ tạo ra ý thức kiểm soát ở mỗi cá nhân

và hướng các hoạt động của họ đến mục tiêu chung của tổ chức

 Đảm bảo hợp lý: KSNB chỉ có thể cung cấp một sự đảm bảo hợp lý cho ban giám đốc và nhà quản lý việc đạt được các mục tiêu của đơn vị Điều này là do những hạn chế tiềm tàng trong HTKSNB như: sai lầm của con người, sự thông đồng của các cá nhân, sự lạm quyền của nhà quản lý và do mối quan hệ giữa lợi ích

và chi phí của việc thiết lập nên HTKSNB

 Các mục tiêu: mỗi đơn vị phải đặt ra mục tiêu mà mình cần đạt tới (mục tiêu

chung và mục tiêu cụ thể cho từng hoạt động, từng bộ phận trong đơn vị) Có thể chia các mục tiêu mà đơn vị thiết lập ra thành 3 nhóm sau đây:

 Nhóm mục tiêu về hoạt động: nhấn mạnh đến sự hữu hiệu và hiệu quả của việc sử dụng các nguồn lực

 Nhóm mục tiêu về báo cáo tài chính: đơn vị phải đảm bảo tính trung thực và đáng tin cậy của báo cáo tài chính mà mình cung cấp

 Nhóm mục tiêu về sự tuân thủ: đơn vị phải tuân thủ các luật lệ và quy định

Sự phân chia các nhóm mục tiêu như trên chỉ có tính tương đối vì một mục tiêu

cụ thể có thể liên quan đến 2 hoặc 3 nhóm trên Sự phân chia này chủ yếu dựa vào

sự quan tâm của các nhóm đối tượng khác nhau đối với HTKSNB của đơn vị: nhóm mục tiêu về hoạt động xuất phát từ yêu cầu của đơn vị là chính; nhóm mục tiêu về báo cáo tài chính chủ yếu xuất phát từ yêu cầu của cổ đông, nhà đầu tư và chủ nợ; nhóm mục tiêu về sự tuân thủ xuất phát từ yêu cầu của các cơ quan quản lý

b) Các bộ phận hợp thành của hệ thống kiểm soát nội bộ

Theo Báo cáo COSO (1992) thì một HTKSNB bao gồm 5 bộ phận có mối liên

hệ chặt chẽ với nhau, đó là:

- Môi trường kiểm soát

- Đánh giá rủi ro

- Hoạt động kiểm soát

- Thông tin và truyền thông

- Giám sát

Các yếu tố của hệ thống kiểm soát nội bộ được thể hiện ở bảng 1.1 dưới đây:

B ảng 1.1 Các yếu tố cấu thành hệ thống kiểm soát nội bộ theo COSO

Bộ phận Nội dung chủ yếu Các nhân tố

1 Môi trường

kiểm soát

Tạo ra sắc thái chung của một

tổ chức, chi phối đến ý thức kiểm soát của mọi người trong tổ chức; là nền tảng cho tất cả các bộ phận khác của kiểm soát nội bộ

-Tính chính trực và giá trị đạo đức

- Chính sách về nhân sự

2 Đánh giá rủi

ro

Một tổ chức phải nhận biết và đối phó được với các rủi ro bằng cách thiết lập các mục tiêu của tổ chức và hình thành một cơ chế để nhận dạng, phân tích, đánh giá rủi ro liên

- Xác định mục tiêu của tổ chức

- Nhận dạng rủi ro

- Phân tích và đánh giá rủi ro

-Phân chia trách nhiệm đầy đủ

- Kiểm soát quá trình xử lý thông tin

Hệ thống này được thiết lập

để mọi thành viên trong tổ chức có khả năng nắm bắt và trao đổi thông tin cần thiết cho việc điều hành, quản trị

và kiểm soát các hoạt động

- Hệ thống thông tin, bao gồm

cả hệ thống thông tin kế toán phải đảm bảo chất lượng thông tin

- Truyền thông bảo đảm các kênh thông tin bên trong và bên ngoài đều hoạt động hữu hiệu

5 Giám sát Toàn bộ quy trình hoạt động

phải được giám sát và điều chỉnh khi cần thiết Hệ thống phải có khả năng phản ứng năng động, thay đổi theo yêu cầu của môi trường bên trong

và bên ngoài

-Giám sát th ường xuyên đạt

được thông qua việc tiếp nhận các ý kiến góp ý của khách hàng, nhà cung cấp … hoặc xem xét các báo cáo hoạt động, phát hiện các biến động bất thường

- Giám sát định kỳ thường

được thực hiện thông qua các cuộc kiểm toán định kỳ do

kiểm toán viên nội bộ, hoặc do kiểm toán viên độc lập thực hiện.

c) Các hạn chế của hệ thống kiểm soát nội bộ

Mặc dù đã được bổ sung và hoàn thiện trong quá trình phát triển, tuy nhiên lý thuyết về kiểm soát nội bộ vẫn còn những hạn chế, đặc biệt trong điều kiện kinh tế hiện nay Các hạn chế của lý thuyết kiểm soát nội bộ thể hiện ở những mặt sau đây:

 Chưa mở rộng tầm nhìn chiến lược

Báo cáo COSO năm 1992 không xác định việc xây dựng các mục tiêu của đơn

vị nằm trong chu trình KSNB Vì vậy, hệ thống KSNB được xây dựng chỉ để nhằm mục đích kiểm soát việc thực hiện các mục tiêu đã được xác định, chứ không nhằm phục vụ việc quản trị các tình huống không chắc chắn và tối ưu hoá quá trình quản trị đó

Mặt khác, việc xác định các mục tiêu, đặc biệt là các mục tiêu chiến lược không nằm trong chu trình kiểm soát cũng làm cho hệ thống KSNB bị hạn chế về tính dự báo đối với các loại rủi ro và vì vậy không xây dựng được các chiến lược dài hạn đối để đối phó

 Chưa áp dụng các phương pháp, kỹ thuật để quản trị rủi ro

Báo cáo COSO năm 1992 cung cấp khá nhiều các phương pháp, kỹ thuật cho KSNB Tuy nhiên các kỹ thuật này mới chỉ dừng lại ở mức độ kiểm soát chứ chưa đáp ứng được yêu cầu về đánh giá và quản trị các rủi ro liên quan đến đơn vị

 Chưa thể hiện vai trò của người quản lý cao cấp và trách nhiệm của họ đối với rủi ro

Hệ thống KSNB được xây dựng bởi những người quản lý trong đơn vị nhằm đảm bảo hợp lý việc thực hiện các mục tiêu đã đề ra Tuy nhiên, lý thuyết KSNB chỉ giới hạn trách nhiệm của người quản lý trong các hoạt động của đơn vị, chưa thể hiện trách nhiệm liên quan đến việc kiểm soát các rủi ro tiềm ẩn Vì vậy, sau khi

Báo cáo COSO năm 1992 ra đời thì lý thuyết KSNB tiếp tục phát triển theo nhiều hướng khác nhau và theo hướng tích hợp với việc quản trị các rủi ro tại đơn vị

1.2.1.2 Báo cáo COSO 2004

Tiếp tục phát triển Báo cáo năm 1992, năm 2004 COSO công bố báo cáo tổng

thể dưới tiêu đề: Quản trị rủi ro doanh nghiệp – khuôn khổ hợp nhất Báo cáo

năm 2004 được xây dựng trên cơ sở phát triển Báo cáo năm 1992 và tích hợp với quản trị rủi ro tại các đơn vị Mặt khác báo cáo COSO năm 2004 cũng đã xác định được những tiêu chuẩn làm cơ sở để đánh giá rủi ro cũng như đề xuất xây dựng chu trình quản lý rủi ro hiệu quả trong công tác quản lý

Theo Báo cáo của COSO năm 2004 thì quản trị rủi ro (QTRR) doanh nghiệp là một quá trình do hội đồng quản trị, các cấp quản lý và các nhân viên của đơn vị chi phối, được áp dụng trong việc thiết lập các chiến lược liên quan đến toàn đơn vị và

áp dụng cho tất cả các cấp độ trong đơn vị, được thiết kế để nhận dạng các sự kiện tiềm tàng có thể ảnh hưởng đến đơn vị và quản trị rủi ro trong phạm vi chấp nhận được của rủi ro nhằm cung cấp một sự đảm bảo hợp lý về việc đạt được các mục tiêu của đơn vị

So với định nghĩa của Báo cáo COSO năm 1992, thì định nghĩa này có những điểm mới sau:

- Ngoài 3 mục tiêu: báo cáo tài chính, hoạt động và tuân thủ thì mục tiêu của Báo cáo COSO năm 2004 còn có mục tiêu chiến lược Mục tiêu chiến lược được xác định ở cấp độ cao hơn so với các mục tiêu còn lại của QTRR Các mục tiêu chiến lược được xây dựng dựa trên sứ mạng của đơn vị Các mục tiêu về hoạt động, báo cáo và tuân thủ phải phù hợp với các mục tiêu chiến lược này

- Mở rộng hướng tiếp cận chiến lược về rủi ro QTRR được áp dụng trong việc thiết lập các mục tiêu chiến lược và các chiến lược để thực hiện cũng như trong các hoạt động nhằm đạt đến các mục tiêu liên quan Như vậy, các mục tiêu trong QTRR bao trùm hơn, xuyên suốt hơn so với các mục tiêu trong KSNB do đó sẽ có mức độ bao quát rộng hơn đối với những rủi ro có khả năng phát sinh

- Mở rộng các cấp độ xem xét đối với rủi ro Sự kiện tác động không chỉ được xem xét riêng lẻ cho từng bộ phận trực tiếp liên quan mà còn được xem xét cho tất

cả các cấp độ hoạt động trong đơn vị Khi đó sự tác động của rủi ro được xem xét hết từ bộ phận, chi nhánh, đến toàn doanh nghiệp

Các cấp độ xem xét đối với rủi ro căn cứ vào phạm vi có thể chấp nhận của rủi

1.2.1.2.1 Các yếu tố của quản trị rủi ro doanh nghiệp 8

Theo Báo cáo của COSO năm 2004, QTRR doanh nghiệp bao gồm những bộ

phận sau: Môi trường quản lý, thiết lập mục tiêu, nhận dạng sự kiện tiềm tàng, đánh giá rủi ro, phản ứng với rủi ro, hoạt động kiểm soát, thông tin và truyền thông, giám sát Các yếu tố của QTRR doanh nghiệp được thể hiện ở bảng 1.2 dưới đây:

B ảng 1.2 Các yếu tố của quản trị rủi ro doanh nghiệp

Phản ánh sắc thái chung của một đơn

vị; đóng vai trò nến tảng cho các yếu

tố khác của ERM; tạo nên cấu trúc và

phương thức vận hành về quản trị rủi

Các mục tiêu được thiết lập ở cấp độ

chiến lược Là điều kiện đầu tiên để

thực hiện các mục tiêu của mình

Ngoài các sự kiện có tác động tiêu

cực, đơn vị cũng phải thấy được các

sự kiện có tác động tích cực

- Xác định các yếu tố bên trong và bên ngoài tác động đến các sự kiện tiềm tàng

- Sự phụ thuộc lẫn nhau giữa các

Đơn vị đánh giá rủi ro dựa trên các

sự kiện đã được nhận dạng và xem

xét trong điều kiện cụ thể của đơn vị

- Xác định rủi ro tiềm tàng và rủi

ro kiểm soát

- Ước lượng khả năng xuất hiện của sự kiện và mức độ ảnh hưởng

- Xác định sự liên hệ giữa các sự kiện

- Đánh giá các phản ứng

- Lựa chọn phản ứng

- Nhìn nhận rủi ro theo hệ thống

1.2.1.2.2 Những điểm khác biệt so với kiểm soát nội bộ

QTRR có nội dung rộng hơn so với KSNB và được phát triển thêm trên cơ sở nội dung của KSNB Ngoài ra QTRR cũng đề cập nhiều nội dung mới để nhìn nhận rủi ro một cách toàn diện hơn và để quản lý rủi ro một cách hiệu quả hơn

bảo chỉ thị của nhà quản lý về phản

ứng đối với rủi ro được thực hiện

- Kiểm soát cấp cao

- Kiểm soát các hoạt động chức năng

- Kiểm soát quá trình xử lý thông tin và các nghiệp vụ

- Kiểm soát vật chất

- Phân tích, soát xét lại

- Phân chia trách nhiệm kiểm soát

đánh giá và phản ứng với rủi ro

Thông tin cung cấp cho những người

liên quan theo những cách thức và

thời gian thích hợp để thực hiện quá

trình quản trị rủi ro và những nhiệm

vụ có liên quan

- Hệ thống thông tin phải đảm bảo phục vụ hữu hiệu và hiệu quả cho quá trình quản trị rủi ro tại đơn vị

- Thông tin phải có chất lượng

- Các kênh thông tin phải đảm bảo hoạt động hữu hiệu khi cung cấp cho các đối tượng bên trong cũng như bên ngoài

Giám

sát

Quá trình đánh giá vai trò, nhiệm vụ

của các yếu tố của hệ thống quản trị

rủi ro trong quá trình thực hiện; xác

định hệ thống quản trị rủi ro có còn

tiếp tục hữu hiệu hay không

- Giám sát thường xuyên

- Đánh giá định kỳ

- Thông báo các khiếm khuyết

Về mặt cấu trúc, yếu tố Phân tích và đánh giá rủi ro của KSNB được phát triển thành 4 yếu tố của QTRR: Thiết lập mục tiêu, Nhận dạng sự kiện tiềm tàng, Đánh giá rủi ro và Phản ứng với rủi ro Mặt khác nội dung cụ thể của từng yếu tố cũng có

sự khác nhau, phần dưới đây trình bày những khác biệt cơ bản và sự mở rộng của QTRR so với KSNB

 Môi trường quản lý

KSNB nhìn nhận triết lý về quản lý của người điều hành là yếu tố hợp thành của môi trường quản lý QTRR thì nhìn nhận quan điểm của nhà quản lý về rủi ro là yếu

tố hợp thành của môi trường quản lý Điều này cho thấy QTRR nhìn nhận rủi ro là tất yếu và không thể xoá bỏ, đơn vị phải tính luôn đến trong quá trình hoạt động của mình Trên quan điểm cho rằng không thể xóa bỏ được rủi ro, đơn vị xác định mức rủi ro có thể chấp nhận cho toàn bộ đơn vị và cho từng cấp độ cụ thể để xây dựng các ngưỡng chịu đựng đối với rủi ro trong quá trình hoạt động của mình

Việc xác định triết lý về rủi ro và xác định mức độ rủi ro có thể chấp nhận cũng giúp đơn vị xác định phương hướng chung trong việc ứng phó với rủi ro chứ không chỉ là tập trung xử lý những rủi ro cụ thể và ngắn hạn Những nội dung này trong QTRR cụ thể như sau:

- Triết lý của nhà quản lý về quản trị rủi ro: triết lý về quản trị rủi ro là quan

điểm, nhận thức và thái độ của nhà quản lý đối với rủi ro, điều này tạo nên cách thức mà đơn vị tiếp cận với rủi ro trong tất cả các hoạt động, từ phát triển chiến lược đến các hoạt động hàng ngày Triết lý quản lý phản ánh những giá trị mà đơn

vị theo đuổi, tác động đến văn hoá và cách thức đơn vị hoạt động, và ảnh hưởng đến việc áp dụng các yếu tố khác của QTRR bao gồm cách thức nhận dạng rủi ro, các loại rủi ro được chấp nhận và cách thức quản lý chúng

- Rủi ro có thể chấp nhận: là mức độ rủi ro mà xét trên bình diện tổng thể, đơn vị

sẵn lòng chấp nhận để theo đuổi giá trị Nó phản ánh triết lý về quản trị rủi ro của nhà quản lý cấp cao, và ảnh hưởng đến văn hoá, cách thức hoạt động của đơn vị

Rủi ro có thể chấp nhận được xem xét khi đơn vị xác định các chiến lược, ở đó lợi ích kỳ vọng của một chiến lược phải phù hợp với mức rủi ro có thể chấp nhận đã

đề ra Các chiến lược khác nhau sẽ dẫn đến những mức độ rủi ro khác nhau đối với đơn vị, một khi mức rủi ro có thể chấp nhận được xác lập sẽ giúp ích cho nhà quản

lý lựa chọn chiến lược nằm trong giới hạn chịu đựng đối với các loại rủi ro

- Các m ục tiêu chiến lược: là những mục tiêu cấp cao của đơn vị, các mục tiêu này

phù hợp và ủng hộ cho sứ mạng mà đơn vị đã đề ra Nó thể hiện sự lựa chọn của

nhà quản lý về cách thức đơn vị tạo lập giá trị cho chủ sở hữu của mình

- Các m ục tiêu liên quan: là những mục tiêu cụ thể hơn so với mục tiêu chiến lược

và phù hợp với mục tiêu chiến lược đã được lập Mặc dù các mục tiêu trong đơn vị rất đa dạng, nhưng các mục tiêu liên quan đến các mục tiêu chiến lược bao gồm các mục tiêu về hoạt động, báo cáo và tuân thủ Nội dung của các mục tiêu này tương tự như KSNB

 Nhận dạng sự kiện tiềm tàng

KSNB nhìn nhận sự kiện tiềm tàng là những sự kiện đe dọa đến việc thực hiện mục tiêu của đơn vị QTRR xem sự kiện tiềm tàng là sự kiện có khả năng tác động đến việc thực hiện mục tiêu, không phân biệt là rủi ro hay cơ hội Điều này cho thấy QTRR xem xét hết các tình huống từ đó có thể tối đa hoá việc tạo lập giá trị cho mọi tình huống trong tương lai Ngoài ra, QTRR cũng xem xét các sự kiện tiềm tàng cụ thể và hệ thống hơn so với KSNB, cụ thể như sau:

S ự kiện tiềm tàng: là biến cố bắt nguồn từ bên trong hoặc bên ngoài đơn vị ảnh

hưởng đến việc thực hiện mục tiêu của đơn vị Một sự kiện có thể có ảnh hưởng tích cực hoặc tiêu cực đến đơn vị và có thể cả hai

Các y ếu tố ảnh hưởng: khi xem xét các sự kiện tiềm tàng cần xác định các yếu

tố ảnh hưởng đến việc thực hiện mục tiêu của đơn vị Các yếu tố ảnh hưởng bao gồm các yếu tố bên ngoài như: môi trường kinh tế, môi trường tự nhiên, các yếu tố chính trị, xã hội,… và các yếu tố bên ngoài như: cơ sở vật chất, nhân sự, các chu trình,…

S ự tương tác lẫn nhau giữa các sự kiện: các sự kiện liên quan đến đơn vị thường

không xuất hiện độc lập mà có sự tương tác lẫn nhau Một sự kiện xuất hiện có thể tạo ra, tác động đến một sự kiện khác và các sự kiện có thể xuất hiện đồng thời

Phân bi ệt cơ hội và rủi ro: sự kiện tiềm tàng nếu xuất hiện sẽ tác động tiêu cực

hoặc tích cực đến đơn vị hoặc tác động cả hai Nếu sự kiện có tác động tiêu cực, đe dọa nguy cơ đạt được mục tiêu của đơn vị, thì đòi hỏi đơn vị phải đánh giá rủi ro và phản ứng với rủi ro Nếu sự kiện có tác động tích cực đến đơn vị, làm thuận lợi việc thực hiện mục tiêu của đơn vị hoặc tạo giá trị cho đơn vị, thì phải được xem xét trở lại đối với các chiến lược đã được xây dựng

 Đánh giá rủi ro

QTRR cung cấp cách thức về chu trình và những kỹ thuật cụ thể để đánh giá rủi

ro Trên cơ sở đó, đơn vị có thể đánh giá cụ thể sự tác động của các sự kiện tiềm tàng và do đó xem xét những cách thức phản ứng phù hợp Việc đánh giá rủi ro bao gồm các nội dung sau:

R ủi ro tiềm tàng và rủi ro còn lại: rủi ro tiềm tàng (inherent risk) là rủi ro khi

không có các hoạt động của đơn vị nhằm thay đổi khả năng hoặc sự tác động của các rủi ro đó Rủi ro còn lại (residual risk) là rủi ro vẫn còn tồn tại sau khi đơn vị đã phản ứng với rủi ro Đơn vị cần phải xem xét cả rủi ro tiềm tàng và rủi ro còn lại, đầu tiên là xem xét các rủi ro tiềm tàng, sau đó khi đã có phương án phản ứng với rủi ro tiềm tàng thì tiếp tục xem xét đến rủi ro còn lại

Ước lượng khả năng và ảnh hưởng: các sự kiện tiềm tàng phải được đánh giá

trên hai khía cạnh: khả năng xảy ra và mức độ tác động của nó Những sự kiện mà khả năng xuất hiện thấp và tác động ít đến đơn vị thì không cần phải tiếp tục xem xét Ngược lại, các sự kiện với khả năng xuất hiện cao và tác động lớn thì cần phải xem xét kỹ càng Các sự kiện nằm giữa hai thái cực này đòi hỏi sự đánh giá phức tạp, điều quan trọng là phải phân tích kỹ lưỡng và hợp lý

Để đo lường khả năng xuất hiện một sự kiện, có thể dùng các chỉ tiêu định tính như cao, trung bình, thấp hoặc các cấp độ chi tiết khác Hoặc có thể dùng chỉ tiêu định lượng như: tỷ lệ xuất hiện, tần suất xuất hiện,

K ỹ thuật đánh giá rủi ro: đơn vị thường sử dụng kết hợp các kỹ thuật định lượng

và định tính khi đánh giá rủi ro Kỹ thuật định tính được sử dụng khi rủi ro không thể định lượng được, hoặc khi dữ liệu đầu vào không đủ tin cậy hoặc không tương xứng với chi phí để định lượng Kỹ thuật định lượng được sử dụng cho những hoạt động phức tạp của đơn vị và thường phải sử dụng các mô hình toán học, cho kết quả chính xác hơn so với kỹ thuật định tính Bảng 1.3 dưới đây cung cấp một ví dụ về

kỹ thuật định lượng

Bảng 1.3 Các kỹ thuật định lượng để đánh giá rủi ro

So sánh: So sánh các chu trình giữa các đơn vị trong ngành hoặc giữa các ngành

với nhau, bằng cách đánh giá các sự kiện hay chu trình cụ thể đối với từng đơn vị, sau đó so sánh kết qủa

Mô hình xác suất: Xác định tác động của sự kiện tại các xác suất khác nhau Sau

đó, xác định sự tác động tương ứng với các độ tin cậy khác nhau

Mô hình phi xác suất: Đưa ra các giả định về việc đạt mục tiêu và đánh giá các rủi

ro tương ứng mà không sử dụng các chỉ tiêu định lượng để đánh giá khả năng sự kiện có thể xảy ra

S ự liên hệ giữa các sự kiện: đối với những sự kiện độc lập với nhau thì đơn vị

đánh giá các sự kiện một cách độc lập Nhưng nếu có sự liên hệ giữa các sự kiện

hoặc các sự kiện cùng kết hợp lại với nhau sẽ tạo nên những tác động lớn thì đơn vị phải đánh giá được tác động tổng hợp đó

Khi rủi ro tác động đến nhiều bộ phận, đơn vị kết hợp các rủi ro đó trong danh sách các sự kiện và xem xét trước hết sự tác động đến từng bộ phận, sau đó xem xét tác động tổng thể đến toàn đơn vị

 Phản ứng với rủi ro

QTRR cung cấp các cách thức phản ứng đa dạng và đề xuất chu trình để đơn vị phản ứng với các rủi ro Sau khi đã đánh giá các rủi ro liên quan, đơn vị xác định các cách thức để phản ứng với các rủi ro đó Các cách thức để phản ứng với rủi ro bao gồm:

Né tránh r ủi ro: không thực hiện các hoạt động mà có rủi ro cao như sản xuất

một mặt hàng mới, giảm doanh số ở một số khu vực của thị trường, bán bớt một số ngành hàng hay một số mảng hoạt động,…

Gi ảm bớt rủi ro: các hoạt động nhằm làm giảm thiểu khả năng xuất hiện hoặc

mức độ tác động của rủi ro hoặc cả hai Các hoạt động này liên quan đến việc điều hành hàng ngày

Chuy ển giao rủi ro: Làm giảm thiểu khả năng xuất hiện và mức độ tác động của

rủi ro bằng cách chuyển giao hoặc chia sẽ một phần rủi ro Các kỹ thuật này bao gồm: mua bảo hiểm cho tổn thất, sử dụng các công cụ về tài chính để dự phòng cho tổn thất, các hoạt động thuê ngoài,…

Ch ấp nhận rủi ro: đơn vị không làm gì cả đối với rủi ro

Né tránh rủi ro được sử dụng khi các phản ứng khác không thể làm giảm khả năng xảy ra của sự kiện hoặc tác động của sự kiện đó xuống mức có thể chấp nhận Giảm thiểu rủi ro và chuyển giao rủi ro được sử dụng để làm giảm rủi ro kiểm soát xuống mức phù hợp với từng rủi ro có thể chấp nhận Chấp nhận rủi ro khi rủi ro tiềm tàng nằm trong phạm vi của rủi ro có thể chấp nhận

Một chu trình phản ứng với rủi ro bao gồm các bước sau:

Xác định các phản ứng: khi lựa chọn một phương án phản ứng với rủi ro, cần

điều tra và phân tích các khía cạnh sau:

- Ảnh hưởng của phản ứng của đơn vị đến khả năng và tác động của rủi ro, và phản ứng nào nằm trong phạm vi của rủi ro bộ phận

- Lợi ích và chi phí của từng loại phản ứng

- Cơ hội có thể có đối với việc thực hiện mục tiêu chung của đơn vị khi phản ứng với các rủi ro cụ thể

L ựa chọn phản ứng: sau khi đã đánh giá các phản ứng khác nhau đối với rủi ro,

đơn vị quyết định phải quản lý rủi ro như thế nào, lựa chọn phản ứng để đối phó với rủi ro trong phạm vi rủi ro bộ phận, lưu ý rằng phản ứng được lựa chọn không phải

là phản ứng có rủi ro kiểm soát nhỏ nhất Tuy nhiên, khi rủi ro kiểm soát vượt ra khỏi giới hạn của rủi ro bộ phận, đơn vị cần phải xem xét lại phản ứng đã chọn, hoặc trong một số trường hợp thì đơn vị có thể điều chỉnh lại rủi ro bộ phận đã được thiết lập trước đây

Khi lựa chọn phản ứng cần phải xem xét các rủi ro tiếp theo phát sinh từ việc áp dụng phản ứng đó Điều này phát sinh một chu trình kế tiếp và đơn vị phải xem xét tiếp rủi ro trước khi đưa ra quyết định cuối cùng Việc mở rộng xem xét rủi ro theo từng cấp bậc kế tiếp giúp đơn vị nhìn nhận hết các rủi ro từ đó có thể quản lý tốt hơn và có những chiến lược dài hạn cho các tình huống

 Hoạt động kiểm soát

Các hoạt động kiểm soát bao gồm các chính sách và thủ tục được thực hiện bởi các nhân viên liên quan, nhằm đảm bảo các chính sách, chỉ thị của nhà quản lý về phản ứng với rủi ro được thực hiện Các hoạt động kiểm soát có thể được phân loại tuỳ thuộc vào mục tiêu của đơn vị mà hoạt động kiểm soát có liên quan như: chiến lược, hoạt động, báo cáo và tuân thủ

Theo nội dung thực hiện thì hoạt động kiểm soát được thực hiện tại đơn vị bao gồm: kiểm soát cấp cao, kiểm soát các hoạt động chức năng, kiểm soát quá trình xử

lý thông tin và nghiệp vụ, kiểm soát vật chất, hoạt động phân tích soát xét lại, phân chia trách nhiệm Nội dung của các hoạt động này tương tự như KSNB

 Thông tin và truyền thông

Thông tin và cách thức truyền thông là yếu tố không thể thiếu để đơn vị nhận dạng các sự kiện tiềm tàng, đánh giá và phản ứng với rủi ro QTRR nhấn mạnh chất lượng thông tin trong điều kiện sự phát triển mạnh mẽ của khoa học về công nghệ tin hiện nay và nội dung thông tin phải gắn liền với việc quản lý các rủi ro tại đơn

vị Thông tin phải được cung cấp cho những người liên quan theo những cách thức

và thời gian thích hợp để họ có thể thực hiện quá trình QTRR và những nhiệm vụ liên quan

Để thông tin phục vụ cho quá trình quản trị các rủi ro liên quan đến đơn vị, thông tin cần đạt những yêu cầu sau đây:

- Gắn với quá trình QTRR

- Có thể so sánh được với mức rủi ro có thể chấp nhận

- Phát triển hệ thống thông tin tích hợp

Để làm tăng chất lượng thông tin, đơn vị cần một chương trình quản lý dữ liệu trên toàn đơn vị, bao gồm các yêu cầu về thông tin, việc duy trì truyền tải thông tin Nếu không hệ thống thông tin sẽ không cung cấp được những gì mà các cấp quản lý

và những người khác cần để thực hiện các chức năng nhiệm vụ liên quan đến quá trình quản trị rủi ro

 Giám sát

Đây là bộ phận cuối cùng của hệ thống quản trị rủi ro doanh nghiệp Giám sát là quá trình người quản lý đánh giá vai trò, nhiệm vụ của những người liên quan đến các yếu tố trong hệ thống QTRR trong quá trình thực hiện

Để đạt kết quả tốt, đơn vị cần thực hiện các hoạt động giám sát thường xuyên và đánh giá định kỳ Các nội dung này tương tự như hệ thống KSNB

1.2.1.2.3 Hạn chế của quản trị rủi ro doanh nghiệp

Một hệ thống QTRR được xem là hữu hiệu, dù đã được thiết kế và vận hành thế nào đi chăng nữa, cũng nhằm cung cấp một sự đảm bảo hợp lý trong việc thực hiện các mục tiêu của đơn vị chứ không đảm bảo tuyệt đối Điều này xuất phát từ những hạn chế của hệ thống QTRR doanh nghiệp Cụ thể như sau:

- Rủi ro liên quan đến tương lai và chứa đựng yếu tố không chắc chắn Một chu trình QTRR dù được đầu tư rất nhiều trong thiết kế cũng không thể nhận dạng hết toàn bộ các rủi ro và do đó không thể đánh giá chính xác sự tác động của chúng

- Những hạn chế xuất phát từ con người liên quan trong chu trình QTRR như: việc ra quyết định sai do thiếu thông tin, bị áp lực trong sản xuất kinh doanh; sự

vô ý, bất cẩn, đãng trí; hiểu sai chỉ dẫn của cấp trên hoặc báo cáo của cấp dưới; việc đảm nhận vị trí công việc tạm thời, thay thế cho người khác;…

- Sự thông đồng giữa các nhân viên với nhau hay với các bộ phận bên ngoài đơn

vị

- Khi đưa ra các quyết định, yêu cầu thường xuyên và trên hết là của người quản

lý là xem xét quan hệ giữa chi phí bỏ ra và lợi ích thu được Việc phản ứng với rủi ro và tiếp theo đó là các hoạt động giám sát cũng phải đảm bảo rằng lợi ích

có được phải lớn hơn chi phí mà đơn vị bỏ ra

- Luôn có khả năng những người quản lý lạm quyền trong chu trình QTRR nhằm phục vụ cho các mưu đồ riêng

1.2.2 KSNB TRONG NHTM TIẾP CẬN THEO QUAN ĐIỂM QUẢN TRỊ RRHĐ

Báo cáo COSO năm 2004 trình bày lý luận về rủi ro và cách thức quản trị rủi ro, mặt khác báo cáo cũng trình bày những kỹ thuật áp dụng các yếu tố trong một chu trình QTRR Để phân tích thấy rõ trong các loại rủi ro, RRHĐ là loại rủi ro gắn kết với hệ thống KSNB, luận văn đã dựa trên báo cáo COSO năm 2004 để hệ thống hóa

và phát triển thêm những yếu tố KSNB trên tinh thần quản trị RRHĐ Quá trình này gồm 2 bước: trước hết xác định mục tiêu, sau đó phát triển các quy trình KSNB

- Làm tăng hiệu quả đối với việc phản ứng với rủi ro: QTRR hoạt động cung

cấp các kỹ thuật và phương pháp cụ thể trong việc nhận dạng và lựa chọn các phương thức phản ứng với rủi ro hoạt động như né tránh rủi ro, giảm thiểu rủi ro, chuyển giao rủi ro và chấp nhận rủi ro sẽ giúp các nhà quản lý phản ứng với rủi ro một cách hiệu quả

- Giảm thiểu tổn thất bất ngờ trong quá trình hoạt động: QTRR làm tăng

khả năng của ngân hàng về việc nhận dạng các sự kiện tiềm tàng, đánh giá rủi ro, thiết lập cách thức phản ứng với rủi ro hoạt động và do đó giảm thiểu những chi phí

- Giúp ngân hàng nắm bắt những cơ hội trong kinh doanh: QTRR hoạt

động xem xét tất cả các sự kiện tiềm tàng liên quan đến ngân hàng không chỉ có rủi

ro và vì vậy giúp các nhà quản lý nhận dạng các sự kiện mang đến cơ hội từ đó đưa

ra những phản ứng thích hợp để tận dụng những cơ hội đó

Tóm lại, QTRR hoạt động giúp nhà quản lý trong việc tạo lập giá trị bằng cách: xử

lý hữu hiệu đối với những sự kiện không chắc chắn trong tương lai và cung cấp các cách thức phản ứng nhằm đem lại hiệu qủa cao nhất cho đơn vị

1.2.2 Các yếu tố của KSNB tiếp cận theo hướng quản trị RRHĐ

1.2.2.1 Môi trường quản lý

Trước hết ngân hàng cần phải xác định rõ trách nhiệm của mình đối với việc quản trị rủi ro hoạt động Quản trị rủi ro hoạt động không nên được hiểu là công việc của một số người hay của một số bộ phận nào đó mà cả hệ thống ngân hàng phải có trách nhiệm Xây dựng ý thức về quản trị RRHĐ trong toàn hệ thống, lựa chọn các lĩnh vực ưu tiên để thiết lập các chốt kiểm soát về RRHĐ Các chốt kiểm soát về RRHĐ được lựa chọn dựa trên các tiêu chí: lĩnh vực có lợi nhuận cao, là nghiệp vụ cơ bản của NHTM, có thể gây tổn thất nặng nề nếu xảy ra rủi ro

Tất cả các nhân viên trong ngân hàng cần được đào tạo để hiểu biết và tham gia

tự xác định RRHĐ – xác định nguyên nhân, đánh giá trong tất cả các rủi ro hiện có trong tất cả sản phẩm, hoạt động, quy trình và hệ thống của ngân hàng

1.2.2.2 Thiết lập các mục tiêu

Khi ngân hàng đã xác định được trách nhiệm đối với việc quản lý rủi ro, các nhà quản trị rủi ro của ngân hàng phải phân chia cấp độ quản lý rủi ro một cách rõ ràng, minh bạch Quản lý rủi ro hoạt động cũng được phân chia làm 3 cấp như quản

lý các loại rủi ro khác bao gồm: cấp độ chiến lược, cấp độ vĩ mô và vi mô

Bên cạnh việc phân chia các cấp độ quản lý rủi ro, ngân hàng cần quy định cụ thể các quá trình quản lý rủi ro then chốt như: tự đánh giá rủi ro và kiểm soát, phê duyệt sản phẩm mới, báo cáo chỉ số rủi ro chính và cả quy trình báo cáo sự cố

1.2.2.3 Nhận dạng các sự kiện tiềm tàng

Rủi ro hoạt động do nhiều dạng sai sót khác nhau cả về con người và kỹ thuật, bao gồm: hệ thống thông tin, hệ thống kiểm soát nội bộ, hệ thống báo cáo không hiệu quả hay có lỗi, sai phạm của nhân viên, các yếu tố bên ngoài khác có thể gây ảnh hưởng tới các tài sản hữu hình của ngân hàng, ảnh hưởng tới danh tiếng hay khả năng hoạt động bình thường của ngân hàng

1.2.2.4 Đánh giá rủi ro

Cùng với việc tạo ra môi trường quản lý tốt thì ngân hàng cần phải duy trì việc đánh giá rủi ro thường xuyên ở các cấp khác nhau nhằm thiết kế hoặc bổ sung những biện pháp ngăn ngừa, kiểm soát kịp thời những rủi ro ảnh hưởng đến quá trình thực hiện mục tiêu của ngân hàng Quá trình đánh giá rủi ro bao gồm:

- Xác định rủi ro tiềm tàng và rủi ro kiểm soát

Đánh giá rủi ro trước hết là xác định những rủi ro đối với từng nghiệp vụ hay đối với cả ngân hàng thông qua việc đánh giá những nhân tố bên trong và bên ngoài

có thể ảnh hưởng đến quá trình thực hiện mục tiêu của ngân hàng Công việc này không chỉ là xác định những rủi ro hiện hữu mà còn phải xác định những rủi ro tiềm

ẩn có thể gây thiệt hại cho ngân hàng

- Ước lượng khả năng xuất hiện của sự kiện và mức độ ảnh hưởng

Sau khi đã xác định được rủi ro tiểm tàng và rủi ro còn lại thì ngân hàng cần phải ước lượng khả năng xuất hiện và mức độ ảnh hưởng của sự kiện Đối với mỗi quá trình hoạt động, phân tích độ lớn tác động của rủi ro (xét về mặt số tiền bị mất, tổn thất khác gây ra cho ngân hàng…) và khả năng (xét về mặt xác suất xảy ra) cho mỗi lần trong những nguyên nhân xảy ra rủi ro hoạt động, từ đó thu thập cơ sở dữ liệu tổn thất Các mức độ ảnh hưởng và khả năng xảy ra mỗi loại rủi ro được phân công theo tầm ảnh hưởng là cao hay thấp, từ đó đánh giá mức độ ảnh hưởng của rủi

ro đến các mục tiêu của ngân hàng Việc ước lượng rủi ro hoạt động sẽ là cơ sở cho việc đề ra các biện pháp quản lý rủi ro hoạt động

- Xác định sự liên hệ giữa các sự kiện

Việc xác định sự liên hệ giữa các sự kiện rủi ro sẽ giúp cho ngân hàng phát hiện sớm những loại rủi ro chưa được nhận dạng và không được chấp nhận, từ đó xây dựng các biện pháp kiểm soát có hiệu quả đối với rủi ro không được chấp nhận và thực hiện sớm hơn các biện pháp giảm thiểu rủi ro

1.2.2.5 Phản ứng rủi ro

Rủi ro hoạt động là rủi ro rất khó nhận biết, khó lường trước được Do vậy ngân hàng nên đặt trong trường hợp dự phòng và tính liên tục của việc kinh doanh để đảm bảo khả năng điều hành những việc liên quan và tối thiểu hóa những thua lỗ nếu xảy ra sự cố đổ vỡ kinh doanh nghiêm trọng

Hạn chế tối đa nguyên nhân gây ra RRHĐ từ các yếu tố bên trong NHTM như con người, quy trình, hệ thống Các chính sách quản trị nhân lực cần hướng tới mục tiêu xây dựng nguồn nhân lực có chất lượng cao, đạo đức nghề nghiệp tốt; các quy trình nghiệp vụ cần được rà soát thường xuyên, hoàn thiện hóa, tránh quá cứng nhắc

và có lỗ hổng

Hạn chế tối đa các nguyên nhân RRHĐ bên ngoài, xây dựng các phương án, đưa

ra tình huống để sẵn sàng đối phó cũng như khắc phục kịp thời hậu quả do các lỗi truyền thông, thiên tai, hoả hoạn gây ra RRHĐ Giải pháp cơ bản cho việc đưa ra quyết định lựa chọn thay thế là: công nhận rủi ro hiện hữu, chuyển đổi rủi ro cho bên thứ ba (ví dụ thông qua bảo hiểm); tránh rủi ro bằng cách ngừng các hoạt động kinh doanh; giảm thiểu rủi ro hoạt động bằng đo lường các rủi ro khác (chẳng hạn như mở rộng của hệ thống kiểm soát, giới thiệu về công nghệ thông tin cho hệ thống tự động nhận dạng sai sót) Những biện pháp này được bổ sung liên tục nhằm hạn chế tổn thất và tạo điều kiện thuận lợi cho sự tiếp tục kinh doanh trong trường hợp không ngăn chặn được rủi ro

Bên cạnh kế hoạch dự phòng, cần có kế hoạch đối phó bất ngờ trong quản trị rủi

ro hoạt động Nội dung chủ yếu của kế hoạch này nhằm đối phó với những tình huống bất thường đúng lúc và hiệu quả Tình huống khó khăn bao gồm tất của các dạng rủi ro có thể xảy ra, chẳng hạn kế hoạch phục hồi sau những tai họa, kiểm soát