Trụ cột 2 – ICAAP và SREP và Trụ cột 3 – Nguyên tắc thị trường

Trụ cột 2 – ICAAP và SREP – Quy trình đánh giá mức độ đầy đủ vốn và giám sát của cơ quan quản lý Trụ cột 3 – Nguyên tắc thị trường Khẩu vị rủi ro Hệ thống kiểm soát nội bộ Sức chịu đựng rủi ro (risk capacityrisk tolerance): Khung khẩu vị rủi ro (RAF):

Trụ cột 2 – ICAAP và SREP – Quy trình đánh giá mức độ đầy đủ vốn

và giám sát của cơ quan quản lý

Trụ cột 3 – Nguyên tắc thị trường

I – Khái niệm chung

Khẩu vị rủi ro (risk appetite):

Theo tài liệu BCBS239, Đoạn 8, Footnote

7, KVRR là mức độ rủi ro mà ngân hàng

sẵn sàng chấp nhận trong quá trình thực

hiện chiến lược kinh doanh, các mục tiêu

tài chính và nghĩa vụ đối với các bên liên

quan

Theo tài liệu D328, Trang 1, KVRR là

mức độ và loại rủi ro ngân hàng chấp nhận,

được xác định trước, nằm trong phạm vi

sức chịu đựng rủi ro và nhằm đạt được mục

tiêu chiến lược và kế hoạch kinh doanh của

ngân hàng

Theo Dự thảo (phiên bản 05/07/2017) Thông tư Quy định về hệ thống kiểm soát nội bộ của ngân hàng, chi nhánh ngân hàng nước ngoài, KVRR là mức độ

rủi ro mà ngân hàng, chi nhánh ngân hàng nước ngoài sẵn sàng chấp nhận trong quá trình thực hiện chiến lược kinh doanh, các mục tiêu tài chính và duy trì tỷ lệ an toàn vốn

Hệ thống kiểm soát nội bộ (internal control system): Theo tài liệu D328, Trang 1,

hệ thống kiểm soát nội bộ là chuỗi các luật lệ, quy định để quản lý cơ cấu tổ chức và vận hành của ngân hàng, bao gồm các quy trình báo cáo, chức năng QLRR, tuân thủ và kiểm toán nội bộ

Sức chịu đựng rủi ro (risk capacity/risk tolerance): Theo tài liệu D328, Trang 2,

sức chịu đựng rủi ro là mức độ rủi ro tối đa mà ngân hàng có khả năng chịu đựng căn cứ trên vốn, QLRR, khả năng kiểm soát và các quy định ràng buộc của ngân hàng

Khung khẩu vị rủi ro (RAF): Theo tài liệu D328, Trang 1, Khung khẩu vị rủi ro

tổng quát bao gồm các chính sách, quy trình, quản trị và hệ thống, qua đó khẩu vị rủi ro được thiết lập, phổ biến và giám sát RAF bao gồm tuyên bố khẩu vị rủi ro, hạn mức rủi

ro và khung vai trò, trách nhiệm của cá nhân, đơn vị giám sát việc triển khai và kiểm soát khung khẩu vị rủi ro

Tuyên bố khẩu vị rủi ro (RAS):

Theo tài liệu D328, Trang 2, Tuyên bố khẩu vị rủi

ro là Bản trình bày về KVRR, bao gồm:

- Các chỉ số định lượng liên quan đến doanh thu,

vốn, đo lường rủi ro, thanh khoản và các chỉ số đo

lường khác

- Các tuyên bố định tính về rủi ro danh tiếng và rủi

ro đạo đức (conduct risk)3, thông lệ về phòng chống

rửa tiền và

đạo đức nghề nghiệp

Chưa quy định

Văn hóa QLRR (risk culture): Theo tài liệu D328, Trang 2, văn hóa QLRR là quy

tắc, thái độ và cách ứng xử của ngân hàng liên quan đến nhận thức, chấp nhận, quản lý rủi

ro và kiểm soát việc ra quyết định dựa trên rủi ro

Quy trình của ngân hàng – ICAAP

ICAAP (Internal Capital Adequacy Assessment Process) là Quy trình đánh giá mức đầy đủ vốn nội bộ hay Quy trình đánh giá an toàn vốn nội bộ Trong Hiệp ước Basel II

(BCBS128), ICAAP được đề cập tại Nguyên tắc 1: Ngân hàng cần có quy trình đánh giá

mức đầy đủ vốn tổng thể dựa trên hồ sơ rủi ro và cần có chiến lược để duy trì mức vốn của ngân hàng

Quy trình này bao gồm 05 nội dung chính:

- Giám sát của HĐQT và Ban Điều hành

3 Rủi ro đạo đức (conduct risk): Theo D328, Đoạn 14, được định nghĩa dựa trên hoạt động kinh doanh của ngân hàng, thường do: (i) Bán nhầm (mis-selling) các sản phẩm tài chính cho khách hàng cá nhân và doanh nghiệp, (ii) Vi phạm luật pháp quốc gia và quốc tế (luật thuế, phòng chống rửa tiền, phòng chống khủng bố, trừng phạt kinh tế, …), (iii) Lũng đoạn thị trường – ví dụ như lũng đoạn/khống chế tỷ giá Libor và tỷ giá ngoại hối

- Đánh giá vốn đúng đắn

- Đánh giá rủi ro toàn diện

- Giám sát và báo cáo

- Đánh giá hệ thống kiểm soát nội bộ

SREP (Supervisory review and evaluation process) là Quy trình rà soát và đánh giá của cơ quan giám sát Trong Hiệp ước Basel II (BCBS128), SREP được đưa ra dưới dạng

03 nguyên tắc:

- Nguyên tắc 2: Cơ quan giám sát cần rà soát và đánh giá chiến lược, quy trình

đánh giá mức đầy đủ vốn nội bộ và khả năng kiểm soát, bảo đảm tuân thủ tỷ lệ vốn theo quy định của ngân hàng Các cơ quan giám sát có thể áp dụng các biện pháp phù hợp nếu không hài lòng với kết quả của quy trình đánh giá này

- Nguyên tắc 3: Cơ quan giám sát nên khuyến khích các ngân hàng duy trì tỷ lệ

vốn cao hơn mức tối thiểu và có quyền yêu cầu các ngân hàng duy trì mức vốn cao hơn mức tối thiểu

- Nguyên tắc 4: Cơ quan giám sát cần có biện pháp can thiệp sớm để ngăn chặn

mức vốn của ngân hàng giảm xuống dưới mức yêu cầu tối thiểu và yêu cầu các ngân hàng nhanh chóng thực hiện các hành động khắc phục nếu không thể duy trì hay khôi phục được vốn

Bên cạnh đó, theo Hiệp ước Basel II (BCBS 128), Trụ cột 2 còn đề cập đến các rủi

ro trọng yếu chưa được trình bày trực tiếp tại Trụ cột 1 (ví dụ: RRLSSNH, rủi ro tập trung tín dụng,…)

1 Nguyên tắc thị trường

Trụ cột 3 nêu tại Hiệp ước Basel II (BCBS128) và sau đó được sửa đổi, bổ sung tại BCBS157, đề cập đến các nguyên tắc về công bố thông tin, nhằm cung cấp thông tin cho các bên liên quan và nâng cao tính minh bạch, công khai của thị trường Bên cạnh đó, Ủy ban Basel đã đề cập cụ thể tới các nội dung công bố thông tin theo Basel III tại văn bản D309 và gần đây nhất là D400 Cẩm nang này chỉ đề cập tới các thông lệ về công bố thông tin theo Basel II được trình bày trong Hiệp ước Basel II (BCBS128) và sửa đổi, bổ sung tại BCBS157 (đối với dư nợ chứng khoán hóa, giảm thiểu RRTD theo IRB)

Nguyên tắc chung trong công bố thông tin:

- Công bố thông tin cần bảo đảm phù hợp với các chuẩn mực kế toán

- Ban Lãnh đạo ngân hàng có quyền quyết định phương thức và địa điểm công bố thông tin

- Chính sách công bố thông tin sẽ do HĐQT phê duyệt Ngân hàng cần rà soát, đánh giá thường xuyên các chính sách, quy trình này và đánh giá sự phù hợp của thông tin công bố

- Ngân hàng cần công bố các thông tin trọng yếu trong thời gian sớm nhất có thể

và không muộn hơn tần suất tối thiểu theo quy định của cơ quan quản lý nhà nước Đối với các thông tin độc quyền, bí mật, ngân hàng không cần thiết phải công bố

- Tần suất công bố thông tin phụ thuộc vào quy định của từng nước, tuy nhiên Ủy ban Basel đưa ra tần suất khuyến nghị chung là 6 tháng/lần, ngoại trừ:

+ Công bố định tính về tổng quan mục tiêu, chính sách, hệ thống báo cáo, các khái niệm về QLRR: có thể công bố hàng năm

+ Vốn cấp 1, tỷ lệ an toàn vốn và thành phần của chúng (đối với các ngân hàng lớn hoạt động toàn cầu và các ngân hàng được xem là quan trọng, bao gồm cả các chi nhánh): cần công bố hàng quý

+ Các thông tin có nhiều biến động ví dụ như tổn thất do rủi ro: cần công bố hàng quý

- Công bố thông tin bao gồm 2 phần: (i) Công bố định tính và (ii) Công bố định lượng Các nội dung công bố được phân chia thành: (i) Vốn (bao gồm thành phần vốn và

tỷ lệ an toàn vốn), (ii) Các loại rủi ro theo từng phương pháp tính toán: RRTD, RRHĐ, RRTT, RRLSSNH

II Trụ cột 2 – Quy trình đánh giá, giám sát

1 Quy trình đánh giá mức đầy đủ vốn nội bộ - ICAAP

1.1 Cơ cấu tổ chức

1.1.1 Mô hình ba vòng kiểm soát

Theo tài liệu D328, Đoạn 38-43, khung QLRR của ngân hàng cần bao gồm việc phân chia trách nhiệm của các cá nhân, đơn vị trong QLRR, còn gọi là 3 vòng kiểm soát,

cụ thể:

- Vòng 1: Đơn vị kinh doanh

- Vòng 2: Bộ phận QLRR và tuân thủ, độc lập với Vòng 1

- Vòng 3: Bộ phận kiểm toán nội bộ, độc lập với Vòng 1 và 2

Cấu trúc 3 vòng kiểm soát này có thể thay đổi tùy thuộc vào bản chất, quy mô, mức

độ phức tạp của hoạt động và hồ sơ rủi ro của ngân hàng Do đó, trách nhiệm của từng vòng cũng cần được phân tách và truyền thông hợp lý

Đơn vị kinh doanh • Bộ phận QLRR, tuân

thủ

• Các bộ phận hỗ trợ khác (Bộ phận tài chính, pháp chế, quản trị nguồn nhân lực, vận hành, công nghệ)

Kiểm toán nội bộ

1.1.1.1 Vòng 1: Đơn vị kinh doanh

Theo tài liệu D328, Đoạn 40, các đơn vị kinh doanh là bộ phận chịu rủi ro trực tiếp

và có trách nhiệm quản lý các rủi ro này, theo đó bao gồm nhận diện, đánh giá và báo cáo rủi ro, tổn thất, có tính đến KVRR và các chính sách, quy trình, biện pháp quản lý liên quan của ngân hàng

Việc thực hiện trách nhiệm QLRR của đơn vị kinh doanh góp phần thể hiện văn hóa QLRR của ngân hàng HĐQT chịu trách nhiệm xây dựng văn hóa vững mạnh trong việc duy trì hạn mức rủi ro và quản lý trạng thái rủi ro

1.1.1.2 Vòng 2: Bộ phận QLRR và tuân thủ

Theo tài liệu D328, Đoạn 41-42, bộ phận QLRR hỗ trợ công tác QLRR của các đơn

vị kinh doanh thông qua trách nhiệm giám sát và báo cáo Trách nhiệm của bộ phận QLRR

là giám sát các hoạt động có rủi ro của ngân hàng và đánh giá rủi ro độc lập với đơn vị kinh doanh; bảo đảm việc thực hiện vai trò của Ban Điều hành và giám đốc các bộ phận kinh doanh trong nhận diện và đánh giá rủi ro

Bộ phận tài chính đóng vai trò quan trọng trong việc bảo đảm rằng kết quả kinh doanh, lợi nhuận, tổn thất được nhận diện và báo cáo chính xác đến HĐQT, Ban Điều hành và các đơn vị kinh doanh, cung cấp thông tin đầu vào cho việc ra quyết định về rủi

ro và kinh doanh

Bộ phận tuân thủ cần thường xuyên giám sát việc tuân thủ luật pháp, nguyên tắc về quản trị doanh nghiệp, chính sách, quy định, chuẩn mực khác mà ngân hàng thuộc đối tượng áp dụng (bao gồm cả nội bộ và bên ngoài) HĐQT có trách nhiệm phê duyệt các chính sách về tuân thủ và truyền thông trong phạm vi toàn hàng Bộ phận tuân thủ cần đánh giá phạm vi của các chính sách này, theo dõi và báo cáo tới Ban Điều hành và HĐQT

về phương thức mà ngân hàng quản lý rủi ro tuân thủ (compliance risk) Bộ phận tuân thủ cần có vị trí, quyền hạn và nguồn lực đầy đủ, bảo đảm tính độc lập trong hoạt động và có thể tiếp cận/báo cáo trực tiếp đến HĐQT

Ngoài ra, theo BCBS223, Đoạn 60, vòng 2 còn bao gồm các bộ phận như pháp chế (Legal), quản trị nguồn nhân lực (Human Resources), vận hành (Operations) và công nghệ (Technology)

1.1.1.3 Vòng 3: Bộ phận kiểm toán nội bộ

Theo tài liệu D328, Đoạn 43, Vòng 3 thực hiện đánh giá độc lập, bảo đảm khách quan về chất lượng và hiệu quả của hệ thống kiểm soát nội bộ, vòng 1 và vòng 2, khung QLRR (bao gồm văn hóa doanh nghiệp, chiến lược và kế hoạch kinh doanh, chế độ đãi ngộ và quy trình ra quyết định) của ngân hàng Theo đó, bộ phận KTNB phải có đầy đủ năng lực, được đào tạo phù hợp và không tham gia vào việc phát triển, triển khai và vận hành chức năng QLRR hoặc bất cứ chức năng nào của vòng 1, vòng 2

Theo tài liệu D328, Đoạn 44, HĐQT cần bảo đảm rằng bộ phận QLRR, tuân thủ

và KTNB được phân định rõ ràng, có đủ nhân lực và các nguồn lực để thực hiện nhiệm

vụ độc lập, khách quan và hiệu quả Đồng thời, HĐQT cùng với Ban Điều hành và giám đốc các bộ phận QLRR, tuân thủ và KTNB cần thường xuyên rà soát các chính sách và quy trình kiểm soát quan trọng để nhận diện các rủi ro, vấn đề trọng yếu và các nội dung cần cải thiện

Theo Dự thảo (phiên bản 05/07/2017) Thông tư quy định về hệ thống kiểm soát nội bộ của ngân hàng, chi nhánh ngân hàng nước ngoài, Khoản 1, Điều 14, hoạt động

kiểm soát nội bộ được tổ chức đảm bảo nguyên tắc 3 tuyến bảo vệ:

- Tuyến thứ nhất: Các cá nhân, bộ phận trực tiếp giao dịch, tiếp xúc với khách

hàng, đối tác, tạo ra doanh thu (trong đó bao gồm cả phát triển sản phẩm); thực hiện hạch toán kế toán; hỗ trợ hoạt động kinh doanh (trong đó bao gồm công nghệ thông tin, nhân sự); thực hiện chức năng, nhiệm vụ tác nghiệp hàng ngày theo các quy trình, quy định nội

bộ đối với từng giao dịch, hoạt động kinh doanh của ngân hàng, chi nhánh ngân hàng nước ngoài

- Tuyến thứ hai: Các cá nhân, bộ phận hỗ trợ hoạt động kiểm soát nội bộ (trong

đó bao gồm bộ phận tuân thủ, pháp lý); thực hiện chức năng QLRR, đánh giá nội bộ mức

đủ vốn của ngân hàng, chi nhánh ngân hàng nước ngoài

- Tuyến thứ ba: Các cá nhân, bộ phận thực hiện kiểm toán nội bộ của ngân hàng,

chi nhánh ngân hàng nước ngoài

1.1.2 Giám sát của HĐQT và Ban Điều hành

Theo Hiệp ước Basel II (BCBS128), Đoạn 728-730, Ban Lãnh đạo cần phải hiểu

rõ bản chất, mức độ rủi ro của ngân hàng và mối liên hệ của chúng đến mức đầy đủ vốn Ban Lãnh đạo cần bảo đảm quy trình quản lý rủi ro phù hợp với hồ sơ rủi ro và kế hoạch kinh doanh của ngân hàng

Ban Lãnh đạo cần xác định kế hoạch vốn là yếu tố giúp ngân hàng đạt được mục tiêu chiến lược, đồng thời cần phân tích các yêu cầu vốn hiện tại và tương lai trong mối quan hệ với mục tiêu chiến lược Kế hoạch chiến lược cần xác định rõ nhu cầu vốn của ngân hàng, chi phí vốn dự kiến, mức vốn mong muốn và nguồn cung vốn từ bên ngoài

HĐQT chịu trách nhiệm thiết lập KVRR, đồng thời bảo đảm Ban Điều hành thiết lập được khung đánh giá cho các loại rủi ro khác nhau, phát triển được hệ thống liên hệ rủi ro với mức vốn của ngân hàng, thiết lập được phương pháp giám sát tuân thủ các chính sách nội bộ HĐQT có trách nhiệm phê duyệt và thúc đẩy việc triển khai hệ thống, chính sách, quy trình kiểm soát nội bộ chặt chẽ, bảo đảm các nội dung này được Ban Điều hành truyền thông toàn hệ thống

1.1.2.1 HĐQT

Theo tài liệu D328, Nguyên tắc 1, HĐQT có trách nhiệm quản trị tổng thể ngân hàng, bao gồm phê duyệt và giám sát việc triển khai mục tiêu chiến lược, khung quản trị

và văn hóa doanh nghiệp của Ban Điều hành

HĐQT chịu trách nhiệm cao nhất đối với chiến lược kinh doanh, tình hình tài chính, các quyết định quan trọng về nhân sự, cơ cấu tổ chức và cấu trúc quản trị doanh nghiệp, QLRR và tuân thủ HĐQT chịu trách nhiệm thiết lập cơ cấu tổ chức của ngân hàng theo

đó bao gồm phân định rõ trách nhiệm, quyền hạn của HĐQT và Ban Điều hành, bao gồm

cả trách nhiệm về QLRR và giám sát Thành viên HĐQT cần tuân thủ các yêu cầu: (i) thận trọng với tư cách của ngân hàng (duty of care), (ii) hành động vì lợi ích của ngân hàng (duty of loyalty) theo các quy định hiện hành của luật pháp quốc gia và các tiêu chuẩn của cơ quan giám sát

Các trách nhiệm cụ thể của HĐQT bao gồm:

- Cập nhật các thay đổi trọng yếu trong tình hình kinh doanh của ngân hàng và môi trường bên ngoài, có hành động kịp thời để bảo vệ lợi ích dài hạn của ngân hàng

- Giám sát sự phát triển của ngân hàng, thông qua mục tiêu, chiến lược kinh doanh của ngân hàng và giám sát chung việc thực hiện các nội dung này

- Thiết lập văn hóa và giá trị doanh nghiệp (Chi tiết tại Đoạn 29-32, D328)

- Giám sát việc triển khai khung quản trị của ngân hàng và định kỳ rà soát, điều chỉnh căn cứ trên các thay đổi trọng yếu của ngân hàng về quy mô, độ phức tạp trong hoạt động, chiến lược kinh doanh, thị trường và yêu cầu pháp lý

- Cùng với Ban Điều hành và CRO thiết lập KVRR của ngân hàng (Chi tiết tại Đoạn 33-44, D328)

- Giám sát sự tuân thủ theo RAS, chính sách rủi ro và hạn mức rủi ro

- Phê duyệt phương pháp tiếp cận và giám sát triển khai các chính sách trọng yếu trong quy trình đánh giá mức đầy đủ vốn, kế hoạch vốn và thanh khoản, tuân thủ và hệ thống kiểm soát nội bộ của ngân hàng

- Yêu cầu ngân hàng có bộ phận tài chính hoạt động hiệu quả để tính toán và xây dựng dữ liệu tài chính

- Phê duyệt BCTC hàng năm và yêu cầu rà soát độc lập định kỳ đối với các lĩnh vực có vấn đề

- Lựa chọn và giám sát công việc của CEO, các thành viên quan trọng của Ban Điều hành và giám đốc các bộ phận (Chi tiết tại Đoạn 45-46, D328)

- Giám sát phương pháp tiếp cận của ngân hàng về chế độ đãi ngộ, bao gồm quản

lý, rà roát, đánh giá, bảo đảm sự phù hợp với văn hóa QLRR và KVRR của ngân hàng

- Giám sát sự nhất quán, độc lập, hiệu quả của các chính sách, quy trình của ngân hàng

Thành viên HĐQT phải đáp ứng các năng lực nhất định (Chi tiết tại Đoạn 47-49, D328) và việc lựa chọn thành viên HĐQT cần tuân thủ các tiêu chuẩn chặt chẽ (Chi tiết tại Đoạn 50-56, D328)

Theo tài liệu D328, Nguyên tắc 3, cơ cấu tổ chức của HĐQT bao gồm: Chủ tịch HĐQT, các Ủy ban thuộc HĐQT (Ủy ban kiểm toán (Audit committee), Ủy ban QLRR (Risk committee), Ủy ban lương thưởng và đãi ngộ (Compensation committee), một số

ủy ban khác như Ủy ban về nhân sự (Nomination/human resources/governance committee), Ủy ban về đạo đức nghề nghiệp và tuân thủ (Ethics and compliance committee)… Thành viên và yêu cầu về thành viên của các ủy ban này do HĐQT quyết định

HĐQT cần thường xuyên đánh giá hiệu quả hoạt động của Hội đồng, các ủy ban trực thuộc và các thành viên HĐQT, cụ thể bao gồm:

- Định kỳ rà soát cơ cấu tổ chức, quy mô và thành phần, trong đó bao gồm các

Ủy ban trực thuộc HĐQT

- Đánh giá định kỳ các thành viên, trong đó bao gồm đánh giá công việc của họ tối thiểu 1 lần/năm

- Định kỳ rà soát hiệu quả của các thông lệ và thủ tục quản lý trong nội bộ

HĐQT, xác định nội dung cần cải thiện và thực hiện điều chỉnh nếu cần

- Sử dụng kết quả đánh giá để cải tiến hoạt động của HĐQT và báo cáo khi được

cơ quan giám sát yêu cầu

Bên cạnh đó, theo Dự thảo (phiên bản 05/07/2017) Thông tư quy định về hệ

thống kiểm soát nội bộ của ngân hàng, chi nhánh ngân hàng nước ngoài, Điều 9-12,

HĐQT, Hội đồng thành viên thực hiện giám sát đối với 04 nội dung: (i) Kiểm soát nội bộ, (ii) QLRR (thông qua Ủy ban QLRR), (iii) Đánh giá nội bộ về mức đủ vốn, (iv) Kiểm toán nội bộ, tối thiểu bao gồm:

Kiểm soát nội bộ Quản lý rủi ro Đánh giá nội bộ về

mức đủ vốn Kiểm toán nội bộ

Ban hành/sửa đổi/

bổ sung chiến lược

về văn hóa kiểm

bộ về quy trình xây dựng, thực hiện chính sách QLRR

Ban hành/sửa đổi/bổ sung chiến lược kinh doanh, kế hoạch vốn định kỳ hàng năm hoặc khi cần thiết đảm bảo phù hợp với chính sách QLRR và giám sát BĐH trong việc thực hiện chiến lược kinh

sửa đổi, bổ sung)

trước khi Ban

Điều hành ban

hành

Phê duyệt hệ thống xếp hạng tín dụng nội bộ của ngân hàng

Phê duyệt các quy định nội bộ về kiểm soát nội bộ trước khi Ban Điều hành ban hành; Phê duyệt quy trình xây dựng, thực hiện chính sách QLRR, hệ thống xếp hạng tín dụng của ngân hàng

Giám sát Ban Điều hành trong việc thực hiện KVRR, quy trình xác định, kiểm soát mức vốn mục tiêu và có biện pháp xử lý kịp thời khi không đáp ứng

được KVRR

Xử lý kịp thời các

kiến nghị, đề xuất

về kiểm soát nội

bộ của Ban Điều

hành, Ban Kiểm

soát

Xử lý kịp thời các kiến nghị, đề xuất về QLRR của Ban Điều hành, Ban Kiểm soát

Xử lý các kiến nghị, đề xuất về mức đủ vốn của Ban Điều hành, Ban Kiểm soát

Tiếp nhận (bao gồm

xử lý kiến nghị) báo cáo nội bộ về KTNB của Ban Kiểm soát

kiểm soát nội bộ

theo kiến nghị của

NHNN (Cơ quan Thanh tra, giám sát ngân hàng), tổ chức KTĐL và các cơ quan chức năng khác

Chỉ đạo, giám sát Ban Điều hành trong việc xử

lý, khắc phục các hạn chế, yếu kém của đánh giá nội bộ về mức đủ vốn theo các yêu cầu, kiến nghị của NHNN (Cơ quan Thanh tra, giám sát ngân hàng), tổ chức KTĐL và các cơ quan chức năng khác

Ban hành chính sách

và phê duyệt các khoản cấp tín dụng theo quy định của pháp luật và của ngân hàng

Thực hiện theo thẩm quyền về phương án chia cổ tức, phát hành

cổ phiếu và các vấn đề liên quan đến vốn

Bổ nhiệm, miễn nhiệm Trưởng

Trưởng KTNB và các chức danh khác của KTNB theo quy định nội bộ của HĐQT, Hội

đồng thành viên

a Chủ tịch HĐQT

Theo tài liệu D328, Đoạn 61-62, Chủ tịch HĐQT giữ vai trò lãnh đạo trong HĐQT, chịu trách nhiệm bảo đảm hiệu quả hoạt động của HĐQT, trong đó có việc thiết lập và duy trì sự tin tưởng với các thành viên HĐQT Chủ tịch HĐQT cần có kinh nghiệm, năng lực và trình độ phù hợp để thực hiện các trách nhiệm này Chủ tịch HĐQT cần bảo đảm rằng quyết định của HĐQT được đưa ra căn cứ trên các tiêu chuẩn đúng đắn đã được công

bố Chủ tịch HĐQT cần khuyến khích việc thảo luận, phê bình và bảo đảm rằng các ý kiến/cách nhìn nhận bất đồng được tự do trình bày và thảo luận trong quá trình ra quyết định

Chủ tịch HĐQT nên là thành viên độc lập hoặc không phải là thành viên điều hành Trường hợp Chủ tịch HĐQT được thực hiện một số trách nhiệm điều hành, ngân

hàng cần có biện pháp để giảm thiểu các tác động xấu đến hệ thống kiểm soát và cân bằng (bank’s checks and balances) của ngân hàng, ví dụ bằng cách bổ nhiệm một thành viên đại diện chỉ đạo HĐQT; hoặc một thành viên độc lập cấp cao của HĐQT; hoặc thành viên với vị trí tương tự và có số lượng các thành viên không điều hành thuộc HĐQT nhiều hơn

b Ủy ban kiểm toán (audit committee)

Theo tài liệu D328, Đoạn 68-70, các ngân hàng trọng yếu có tầm ảnh hưởng mang tính chất hệ thống cần thiết phải có Ủy ban kiểm toán Các ngân hàng khác được khuyến nghị thành lập Ủy ban kiểm toán dựa trên quy mô, hồ sơ rủi ro và mức độ phức tạp trong hoạt động của ngân hàng

Yêu cầu đối với cơ cấu tổ chức của Ủy ban Kiểm toán:

- Phải độc lập với các ủy ban khác;

- Chủ tịch Ủy ban là thành viên độc lập, không phải là chủ tịch HĐQT hay chủ tịch của bất cứ ủy ban nào khác;

- Thành viên đều là thành viên độc lập hoặc thành viên không điều hành của HĐQT;

- Bao gồm các thành viên có kiến thức và kinh nghiệm thực tế về kiểm toán, báo cáo tài chính và kế toán

Trách nhiệm của Ủy ban kiểm toán bao gồm:

- Xây dựng khung chính sách về kiểm toán nội bộ và báo cáo tài chính

- Giám sát quy trình báo cáo tài chính

- Giám sát, tương tác với KTNB, KTĐL của ngân hàng

- Phê duyệt hoặc đưa ra khuyến nghị với HĐQT hoặc cổ đông về việc phê duyệt,

bổ nhiệm, đãi ngộ và sa thải đối với KTĐL

- Rà soát và thông qua phạm vi, tần suất kiểm toán

- Tiếp nhận các báo cáo kiểm toán quan trọng và bảo đảm rằng Ban Điều hành thực hiện các hành động khắc phục cần thiết, kịp thời đối với các điểm yếu, các nội dung không tuân thủ so với chính sách, luật lệ, quy định và các vấn đề được nhận diện bởi kiểm toán và các bộ phận kiểm soát khác

- Giám sát việc thiết lập các chính sách, thông lệ về kế toán của ngân hàng

- Rà soát ý kiến của bên thứ ba về thiết kế và tính hiệu quả của khung quản trị rủi

ro tổng thể và hệ thống kiểm soát nội bộ

Ủy ban kiểm toán tối thiểu cần có các kỹ năng và kinh nghiệm, hiểu biết chuyên môn cao tương ứng với mức độ phức tạp trong hoạt động của ngân hàng và chức năng

nhiệm vụ của Ủy ban, trong đó cần có các kinh nghiệm liên quan về báo cáo tài chính, kế toán và kiểm toán Trường hợp cần thiết, Ủy ban kiểm toán có thể xin khuyến nghị từ KTĐL

c Ủy ban QLRR (risk committee)

Theo tài liệu D328, Đoạn 71–75, các ngân hàng có tầm ảnh hưởng mang tính chất

hệ thống cần thiết phải có Ủy ban QLRR Các ngân hàng khác được khuyến nghị thành lập Ủy ban QLRR dựa trên quy mô, hồ sơ rủi ro và mức độ phức tạp trong hoạt động của ngân hàng

Ủy ban QLRR phải độc lập với Ủy ban kiểm toán, nhưng có thể thực hiện các nhiệm vụ khác liên quan (ví dụ tài chính); Chủ tịch Ủy ban là thành viên độc lập, không phải là chủ tịch HĐQT hay chủ tịch của bất cứ ủy ban nào khác; có đa số thành viên là thành viên độc lập của HĐQT, có kiến thức và kinh nghiệm thực tiễn về QLRR

Ủy ban QLRR có trách nhiệm:

- Thảo luận về tất cả các chiến lược rủi ro (rủi ro tích hợp toàn hàng và riêng lẻ cho từng loại rủi ro) và đưa ra khuyến nghị cho HĐQT; và về KVRR (hiện tại và tương lai), giám sát việc triển khai RAS của Ban Điều hành, báo cáo tình hình văn hóa QLRR của ngân hàng, tương tác và giám sát CRO

- Rà soát chính sách rủi ro của ngân hàng tối thiểu 1 lần/năm

- Giám sát việc Ban điều hành ban hành và triển khai quy trình để bảo đảm ngân hàng tuân thủ các chính sách về rủi ro đã phê duyệt

- Giám sát các chính sách về quản trị vốn, thanh khoản và các loại rủi ro liên quan (ví dụ RRTD, RRTT, RRHĐ…), bảo đảm các loại rủi ro được đề cập đến trong KVRR

- Tiếp nhận các báo cáo/truyền thông thường xuyên từ CRO và các bộ phận liên quan khác về hồ sơ rủi ro, tình hình văn hóa QLRR hiện tại, áp dụng vào thiết lập KVRR, hạn mức rủi ro, kế hoạch giảm thiểu rủi ro

Ủy ban kiểm toán và Ủy ban QLRR cần bảo đảm việc truyền thông và hợp tác hiệu quả trong trao đổi thông tin, xử lý các rủi ro (bao gồm các rủi ro nghiêm trọng) và bất cứ nhu cầu điều chỉnh khung QLRR nào của ngân hàng

d Ủy ban lương thưởng và đãi ngộ (compensation committee)

Theo tài liệu D328, Đoạn 76, các ngân hàng có tầm ảnh hưởng mang tính chất hệ thống cần thiết phải có Ủy ban lương thưởng và đãi ngộ Ủy ban này hỗ trợ HĐQT trong việc giám sát thiết kế và vận hành hệ thống đãi ngộ, bảo đảm đãi ngộ phù hợp với văn hóa, hoạt động kinh doanh dài hạn, KVRR, hiệu quả hoạt động, môi trường kiểm soát của ngân hàng và bất cứ luật lệ, quy định nào khác

Ủy ban lương thưởng và đãi ngộ cần có phương pháp để đưa ra các đánh giá độc

lập, toàn diện về chính sách, thông lệ đãi ngộ và yếu tố động lực được tạo ra bởi các chính sách này; Phối hợp với Ủy ban QLRR trong việc đánh giá tác động của hệ thống đãi ngộ tới các yếu tố về rủi ro, vốn, thanh khoản, khả năng và tần suất tạo thu nhập cho ngân hàng

e Các Ủy ban khác

Ngoài các ủy ban nêu trên, tại tài liệu D328, Đoạn 77-79, Ủy ban Basel còn khuyến nghị thành lập một số ủy ban như:

- Ủy ban nhân sự (Nomination/human resources/governance committee):

Đưa ra khuyến nghị cho HĐQT về nhân sự mới của HĐQT và Ban Điều hành Ủy ban này cần phân tích vai trò, trách nhiệm, kiến thức, kinh nghiệm và năng lực yêu cầu đối với các vị trí này Đồng thời, Ủy ban này cần bảo đảm HĐQT không bị lãnh đạo/điều khiển độc quyền/thống trị bởi một cá nhân hay một nhóm các cá nhân gây tổn hại đến lợi ích tổng thể của ngân hàng Theo đó, Ủy ban này có thể tham gia vào việc đánh giá hiệu quả hoạt động của HĐQT và Ban Điều hành, giám sát chính sách nhân sự của ngân hàng

- Ủy ban về đạo đức nghề nghiệp và tuân thủ (Ethics and compliance committee): Bảo đảm ngân hàng có các phương pháp, quy trình ra quyết định đúng đắn,

phù hợp, cân nhắc tới rủi ro danh tiếng của ngân hàng, việc tuân thủ luật pháp, quy định

Cơ cấu tổ chức, các quy trình và việc ra quyết định của Ban Điều hành trong quá trình quản lý ngân hàng cần rõ ràng, minh bạch và hiệu quả, phân tách rõ vai trò, thẩm quyền và trách nhiệm của từng vị trí, trong đó có CEO

Thành viên thuộc Ban Điều hành cần có kinh nghiệm, năng lực và trung thực trong quản lý, giám sát hoạt động kinh doanh, nhân sự của ngân hàng Đồng thời, thành viên Ban Điều hành cần được thường xuyên đào tạo và nâng cao năng lực, cập nhật những cải tiến liên quan đến lĩnh vực thuộc phạm vi trách nhiệm của họ

Ban Điều hành cần cung cấp cho HĐQT các thông tin cần thiết để thực hiện trách

nhiệm của HĐQT, trong đó bao gồm trách nhiệm giám sát và đánh giá hiệu quả hoạt động của Ban Điều hành Theo đó, Ban Điều hành cần báo cáo thường xuyên và đầy dủ các vấn

đề trọng yếu, bao gồm:

- Thay đổi chiến lược kinh doanh, chiến lược rủi ro/KVRR

- Tình hình hoạt động và tài chính của ngân hàng

- Các vi phạm về hạn mức rủi ro và luật lệ cần tuân thủ

- Các thiếu sót trong kiểm soát nội bộ

- Các vấn đề về pháp lý/quy định của cơ quan quản lý

- Các vấn đề phát hiện thông qua chương trình/quy trình giám sát/cảnh báo của ngân hàng

Bên cạnh đó, theo Dự thảo (phiên bản 05/07/2017) Thông tư quy định về hệ

thống kiểm soát nội bộ của ngân hàng, chi nhánh ngân hàng nước ngoài, Điều 9-12,

Ban Điều hành thực hiện giám sát đối với 04 nội dung: (i) Kiểm soát nội bộ, (ii) QLRR, (i) Đánh giá nội bộ về mức đủ vốn, (iv) Kiểm toán nội bộ, tối thiểu bao gồm:

Kiểm soát nội bộ Quản lý rủi ro Đánh giá nội bộ về

mức đủ vốn Kiểm toán nội bộ

Thực hiện kiểm soát

nội bộ theo chiến

lược về văn hóa

kiểm soát, thực hiện

về QLRR

Thực hiện các công việc theo đề xuất, tham mưu của các Hội đồng quản lý vốn về chiến lược kinh doanh, kế hoạch vốn, hạn mức rủi ro, mức đủ vốn

Phối hợp công tác với kiểm toán nội bộ theo quy định nội bộ

về cơ chế KTNB của ngân hàng

Ban hành các quy

định nội bộ về kiểm

soát nội bộ; rà soát,

đánh giá (mức độ

đầy đủ, hiệu quả),

sửa đổi, bổ sung các

Tiếp nhận báo cáo nội bộ về KTNB của Ban Kiểm soát

Thiết lập, duy trì hệ

thống thông tin

quản lý đáp ứng các

yêu cầu của hệ thống

kiểm soát nội bộ;

hoặc khi cần thiết

Triển khai, giám sát

Giám sát, kiểm tra các cá nhân, bộ phận trong việc đánh giá nội bộ về mức đủ vốn

Yêu cầu các cá nhân,

bộ phận thực hiện các kiến nghị của KTNB và báo cáo về kết quả thực hiện theo quy định nội bộ

về cơ chế KTNB của ngân

yếu kém của kiểm

soát nội bộ theo kiến

Định kỳ hàng năm

hoặc khi cần thiết tự

đánh giá hiệu quả

của kiểm soát nội

bộ; báo cáo kết quả

đến NHNN

Định kỳ hàng năm hoặc khi cần thiết đánh giá hiệu quả của QLRR; báo cáo kết quả đến NHNN

Định kỳ hàng năm hoặc khi cần thiết đánh giá việc thực hiện quy trình đánh giá nội bộ vê mức đủ vốn; báo cáo kết quả đến NHNN

b Vai trò của CEO

Theo tài liệu D328, Đoạn 45-46, HĐQT có thẩm quyền lựa chọn và giám sát hoạt động của CEO Đồng thời, theo Hiệp ước Basel II (BCBS128), Đoạn 728-730 và tài liệu D328, Nguyên tắc 4, CEO chịu trách nhiệm trước HĐQT đối với hoạt động hàng ngày của ngân hàng và phải có hiểu biết về bản chất, mức độ rủi ro của ngân hàng, mối liên hệ của chúng đến mức đầy đủ vốn của ngân hàng

Theo Dự thảo (phiên bản 05/07/2017) Thông tư quy định về hệ thống kiểm soát nội

bộ của ngân hàng, chi nhánh ngân hàng nước ngoài, Điều 8, ngoài việc thực hiện quyền, quyền hạn theo quy định tại Luật các tổ chức tín dụng, CEO là người phụ trách chung về kiểm soát nội bộ, quản lý rủi ro, đánh giá nội bộ mức đủ vốn

1.1.3 Bộ phận QLRR

1.1.3.1 Trách nhiệm

Theo tài liệu D328, Nguyên tắc 6, các ngân hàng cần có bộ phận QLRR độc lập,

đặt dưới sự chỉ đạo của CRO Bộ phận này cần có đủ quy mô, nguồn lực, độc lập và có thể tiếp cận/báo cáo trực tiếp đến HĐQT Bộ phận này có trách nhiệm và cần có đủ thẩm quyền để giám sát các hoạt động có rủi ro của ngân hàng ở phạm vi toàn hàng Các hoạt động chính của bộ phận này bao gồm:

- Nhận diện các rủi ro trọng yếu, đánh giá, đo lường, tổng hợp rủi ro

- Căn cứ giám sát, phê duyệt của HĐQT, xây dựng và triển khai khung QLRR toàn hàng, bao gồm văn hóa QLRR, KVRR và hạn mức rủi ro

- Thường xuyên giám sát các hoạt động có rủi ro và các trạng thái rủi ro, bảo đảm phù hợp với KVRR, hạn mức rủi ro, nhu cầu về vốn hay thanh khoản tương ứng (ví dụ:

kế hoạch vốn) đã được HĐQT phê duyệt

- Thiết lập hệ thống cảnh báo, xử lý sớm đối với các vi phạm về KVRR và hạn mức rủi ro của ngân hàng

- Tác động và nếu cần thiết có thể ngăn cản các quyết định làm tăng rủi ro trọng yếu của ngân hàng

- Báo cáo Ban Điều hành và HĐQT/Ủy ban QLRR về tất cả các vấn đề nêu trên, bao gồm nhưng không giới hạn việc đề xuất các hành động phù hợp nhằm giảm thiểu rủi

ro

Trong quá trình thực hiện chức năng, nhiệm vụ, các cán bộ QLRR phải phối hợp chặt chẽ với ĐVKD, tuy nhiên cần bảo đảm tính độc lập với ĐVKD và không tham gia vào quá trình tạo ra doanh thu của ngân hàng

Các cán bộ thuộc bộ phận QLRR cần có kinh nghiệm và trình độ chuyên môn cần thiết, bao gồm kiến thức về thị trường, sản phẩm và các nguyên tắc trong QLRR; có năng lực và sẵn sàng trao đổi với bộ phận kinh doanh về rủi ro phát sinh từ hoạt động

của ngân hàng; đồng thời cần được đào tạo, cập nhật kiến thức một cách thường xuyên

Bên cạnh đó, theo Dự thảo (phiên bản 05/07/2017) Thông tư quy định về hệ

thống kiểm soát nội bộ của ngân hàng, chi nhánh ngân hàng nước ngoài, Điều 21, bộ

phận QLRR cần bảo đảm nguyên tắc độc lập với bộ phận kinh doanh, KTNB, đồng thời

có trách nhiệm:

- Thực hiện nhận dạng các rủi ro phát sinh hiện tại và trong tương lai

- Xây dựng và sử dụng các công cụ, phương pháp đánh giá và đo lường rủi ro

- Xây dựng/sửa đổi/bổ sung chính sách QLRR trình Ban Điều hành (thông qua Hội đồng rủi ro) phê duyệt để trình HĐQT, Hội đồng thành viên

- Xây dựng các hạn mức rủi ro trình Ban Điều hành (thông qua Hội đồng rủi ro) ban hành

- Theo dõi liên tục trạng thái rủi ro so với các hạn mức rủi ro để cảnh báo, nhận biết sớm rủi ro và nguy cơ vi phạm hạn mức rủi ro

- Tham gia các nội dung liên quan đến rủi ro trong quá trình đưa ra các quyết định có rủi ro tương ứng theo từng cấp có thẩm quyền

- Đầu mối thẩm định rủi ro, biện pháp quản lý rủi ro đối với kế hoạch kinh

doanh sản phẩm mới, hoạt động trong thị trường mới

- Đánh giá kết quả thực hiện chính sách QLRR

- Thực hiện báo cáo về rủi ro

1.1.3.2 Vai trò của CRO

Theo tài liệu D328, Đoạn 108-111, các ngân hàng đều cần có CRO chịu trách nhiệm tổng thể đối với bộ phận QLRR của ngân hàng; đối với tập đoàn ngân hàng (banking group), bên cạnh việc QLRR ở cấp độ từng ngân hàng/chi nhánh, nên có CRO chịu trách nhiệm tổng thể ở cấp độ tập đoàn

CRO chịu trách nhiệm chính trong việc giám sát xây dựng và triển khai chức năng QLRR của ngân hàng, theo đó bao gồm: nâng cao kỹ năng của cán bộ, hệ thống, chính sách, quy trình, mô hình lượng hóa và báo cáo QLRR theo yêu cầu để bảo đảm năng lực QLRR, đáp ứng các mục tiêu chiến lược và hiệu quả trong các hoạt động có rủi ro của ngân hàng CRO có trách nhiệm hỗ trợ HĐQT giám sát việc xây dựng KVRR, RAS và chuyển KVRR thành hệ thống hạn mức rủi ro; hỗ trợ Ban Điều hành giám sát hoạt động gắn với mức độ rủi ro và việc tuân thủ các hạn mức rủi ro CRO còn có trách nhiệm quản

lý và tham gia vào quy trình ra quyết định quan trọng (ví dụ: lập kế hoạch chiến lược, kế hoạch vốn và thanh khoản, thiết kế và vận hành các sản phẩm/dịch vụ mới, chế độ đãi ngộ)

CRO cần có vị thế, thẩm quyền và các kỹ năng cần thiết để giám sát hoạt động

QLRR của ngân hàng CRO phải độc lập và có nhiệm vụ độc lập với các giám đốc điều hành khác, không nên quản lý hay có bất cứ trách nhiệm tài chính nào liên quan đến bất

cứ bộ phận kinh doanh hay tạo ra doanh thu nào, không nên kiêm nhiệm (ví dụ: không kiêm nhiệm với COO, CFO, trưởng bộ phận kiểm toán - chief auditor hoặc bất cứ vị trí giám đốc cấp cao nào khác); có quyền tiếp cận với bất cứ thông tin cần thiết nào để thực hiện nhiệm vụ của mình

CRO cần có thẩm quyền báo cáo/tiếp cận trực tiếp đến HĐQT hay Ủy ban QLRR CRO cần có năng lực để trình bày về rủi ro một cách rõ ràng, dễ hiểu và hiệu quả trước HĐQT và Ban Điều hành Tương tác giữa CRO với HĐQT và/hoặc Ủy ban QLRR phải diễn ra thường xuyên CRO cần có thẩm quyền báo cáo riêng HĐQT/Ủy ban QLRR mà không thông qua Ban Điều hành

Việc bổ nhiệm, bãi nhiệm hoặc các thay đổi khác với vị trí CRO do HĐQT hoặc

Ủy ban QLRR phê duyệt Việc CRO bị bãi/miễn nhiệm cần được thông báo công khai, báo cáo đầy đủ lý do tới cơ quan giám sát Hoạt động, chế độ đãi ngộ đối với CRO cũng cần được rà soát và phê duyệt bởi Ủy ban QLRR hoặc HĐQT

1.1.4 Kiểm toán nội bộ

Theo tài liệu D328, Nguyên tắc 10, KTNB cung cấp kết quả giám sát độc lập (bao

gồm chất lượng và hiệu quả của hệ thống và quy trình kiểm soát nội bộ, QLRR) và hỗ trợ HĐQT, Ban Điều hành trong việc thiết lập quy trình quản trị hiệu quả, bảo đảm danh tiếng

và sự ổn định lâu dài cho ngân hàng Bộ phận KTNB cần có nhiệm vụ rõ ràng, chịu trách nhiệm trước HĐQT và độc lập trong hoạt động kiểm toán Bộ phận này cần có vị trí, thẩm quyền, nguồn lực và kỹ năng phù hợp, bảo đảm thực hiện chức năng nhiệm vụ hiệu quả

và khách quan Cũng như CRO, Trưởng bộ phận KTNB không được kiêm nhiệm

Bộ phận KTNB:

- Có quyền tiếp cận đầy đủ và vô điều kiện đối với bất cứ hồ sơ, dữ liệu và tài sản hữu hình nào của ngân hàng, bao gồm cả quyền truy cập vào hệ thống thông tin quản lý,

hồ sơ và biên bản của tất cả các tổ chức/bộ phận tư vấn và ra quyết định

- Độc lập đánh giá hiệu quả của hệ thống, quy trình kiểm soát nội bộ, QLRR

- Giám sát nhằm bảo đảm việc thực hiện các biện pháp khắc phục kịp thời và hiệu quả đối với các phát hiện kiểm toán về điểm yếu trong kiểm soát, các vấn đề liên quan đến tuân thủ các chính sách, luật và quy định và các nội dung khác; Thực hiện báo cáo tiến độ, kết quả khắc phục tới HĐQT

- Thực hiện đánh giá định kỳ khung QLRR tổng thể của ngân hàng, bao gồm nhưng không giới hạn: (i) hiệu quả của các chức năng/bộ phận QLRR và tuân thủ; (ii) chất lượng báo cáo rủi ro tới HĐQT và Ban Điều hành; (iii) hiệu quả hệ thống kiểm soát nội bộ của ngân hàng

- Các kiểm toán viên cần đạt tiêu chuẩn chuyên môn trong nước và quốc tế ví dụ như các tiêu chuẩn được thiết lập bởi Hiệp hội Kiểm toán nội bộ - IIA (Institute of Internal Auditors) và có thể tiếp cận các kiến thức, kỹ năng và nguồn lực tương ứng với các hoạt động kinh doanh và rủi ro của ngân hàng

Tương tự như bộ phận QLRR, bộ phận KTNB cũng cần có thẩm quyền báo cáo và tiếp cận trực tiếp đến HĐQT/Ủy ban kiểm toán HĐQT/Ủy Ban kiểm toán có trách nhiệm lựa chọn, giám sát và bãi nhiệm đối với vị trí Trưởng bộ phận KTNB Việc bãi/miễn nhiệm Trưởng bộ phận KTNB cần được công bố công khai, báo cáo đầy đủ lý do tới cơ quan giám sát

Ngoài ra, các khuyến nghị của Ủy ban Basel về KTNB được trình bày chi tiết theo

20 nguyên tắc nêu tại BCBS223

Bên cạnh đó, theo Dự thảo (phiên bản 05/07/2017) Thông tư quy định về hệ

thống kiểm soát nội bộ của ngân hàng, chi nhánh ngân hàng nước ngoài, Điều 66,

Kiểm toán nội bộ thực hiện theo nguyên tắc: (i) Độc lập, (ii) Khách quan, (iii) Chuyên nghiệp Đồng thời, NHNN cũng đề cập đến quyền hạn, trách nhiệm của bộ phận KTNB,

cơ chế phối hợp với các bộ phận khác thuộc vòng 1 và vòng 2

1.2 Đánh giá rủi ro toàn diện

1.2.1 Nhận diện, đánh giá rủi ro

Theo BCBS152, Trang 6, ngân hàng cần có quy trình nhận diện, đánh giá rủi ro toàn diện và chặt chẽ, bao gồm các loại rủi ro: RRTD, RRHĐ, RRTT, RRTK, RRLSSNH

và các rủi ro khác (RRDT, RRCL…) Tuy nhiên, không phải tất cả các loại rủi ro đều có thể định lượng trực tiếp Các rủi ro trọng yếu khó định lượng được (ví dụ: rủi ro thanh khoản nguồn vốn - funding liquidity risk, RRDT) nên được nhận diện, đo lường theo phương pháp kiểm soát thích hợp (phân tích độ nhạy, stress test, phân tích kịch bản hoặc các quy trình kiểm soát rủi ro tương tự)

Hiệp ước Basel II (BCBS128) trình bày một số nội dung cần quan tâm khi thực hiện nhận diện và đánh giá rủi ro trọng yếu, cụ thể:

1.2.1.1 RRTD

Ngân hàng cần có phương pháp luận để đánh giá RRTD từ các cá nhân, tổ chức riêng lẻ đến cấp độ danh mục Đối với các ngân hàng có hoạt động phức tạp hơn, việc đánh giá RRTD tối thiểu cần bao gồm 4 nội dung: (i) hệ thống xếp hạng tín nhiệm, (ii) phân tích/tổng hợp danh mục, (iii) chứng khoán hóa/các sản phẩm phái sinh tín dụng phức tạp, (iv) các khoản dư nợ lớn và mức độ tập trung rủi ro

1.2.1.2 RRHĐ

Ngân hàng cần xây dựng khung quản lý RRHĐ và đánh giá mức an toàn vốn theo khung quản lý này Khung quản lý RRHĐ bao gồm: KVRR, sức chịu đựng rủi ro được

cụ thể hóa trong chính sách QLRR, chính sách tiếp cận trong việc nhận diện, đánh giá, quản lý, giám sát và kiểm soát/giảm thiểu rủi ro

1.2.1.3 RRTT

Ngân hàng cần có các phương pháp để đánh giá và quản lý một cách linh hoạt các loại rủi ro thị trường trọng yếu Đối với các ngân hàng có hoạt động phức tạp hơn, việc đánh giá mức đầy đủ vốn nội bộ cho RRTT tối thiểu cần dựa trên mô hình giá trị chịu rủi

ro (Value at Risk - VaR) và stress test

1.2.1.4 RRLSSNH

Quy trình đo lường RRLSSNH cần bao gồm tất cả các trạng thái lãi suất trọng yếu của ngân hàng, xem xét tất cả các dữ liệu liên quan đến định giá lại và kỳ hạn, bao gồm trạng thái cân đối hiện tại và lãi suất trên hợp đồng của các công cụ và danh mục, thanh toán vốn gốc, ngày điều chỉnh lãi suất, kỳ hạn, chỉ số lãi suất dùng để định giá lại, lãi suất trần hoặc sàn trên hợp đồng của các tài sản có lãi suất điều chỉnh Hệ thống đo lường cần bảo đảm tính chính xác và toàn diện; dữ liệu và giả thuyết sử dụng cho mô hình phải bảo đảm chất lượng

1.2.1.5 RRTK

Ngân hàng cần có hệ thống phù hợp để đo lường, giám sát và kiểm soát rủi ro thanh khoản Ngân hàng cần đánh giá mức độ đầy đủ vốn theo trạng thái thanh khoản của chính ngân hàng hoặc trạng thái thanh khoản của các thị trường mà ngân hàng đang hoạt động

1.2.1.6 Các loại rủi ro khác

Đo lường các loại rủi ro khác của ngân hàng (RRDT, RRCL…) không dễ dàng Tuy nhiên, Ủy ban Basel khuyến nghị các ngân hàng phát triển các công cụ để đánh giá các rủi ro này

1.2.2 Các yêu cầu đối với công cụ đo lường rủi ro

Theo tài liệu của Ủy ban Basel về Vốn kinh tế (economic capital) (BCBS 152), việc lựa chọn công cụ đo lường rủi ro của ngân hàng phụ thuộc vào nhiều yếu tố, bao gồm: (i) tính chất của công cụ đo lường rủi ro; (ii) loại rủi ro, loại sản phẩm được đo lường; (iii) tính sẵn có của dữ liệu; (iv) cân nhắc lựa chọn giữa mức độ phức tạp và tính ứng dụng của công cụ; (v) mục đích sử dụng của công cụ đo lường rủi ro Tất cả các công cụ đo lường rủi ro đều có ưu điểm và hạn chế, không có công cụ nào tối ưu, do đó cần lựa chọn công

cụ phù hợp cho từng trường hợp

Công cụ đo lường rủi ro cần bảo đảm các yêu cầu: trực quan (intuitive), ổn định (stable), dễ tính toán (easy to compute), dễ hiểu (easy to understand), độ đo rủi ro nhất quán/chặt chẽ (coherent) và có thể giải thích/trình bày được (interpretable), việc phân tách rủi ro đơn giản và có ý nghĩa (simple and meaningful risk decomposition):

- Trực quan: Xác định được các khái niệm mang tính trực quan (intuitive) của rủi

ro, ví dụ tổn thất ngoài dự kiến (unexpected losses – UL)

- Ổn định: Các thay đổi nhỏ của các tham số trong mô hình không gây ra thay đổi lớn trong ước lượng phân phối tổn thất và công cụ đo lường rủi ro Ngoài ra, công cụ đo lường rủi ro không nên quá nhạy cảm với các thay đổi nhỏ trong giả thuyết gốc của mô hình

- Dễ tính toán: Phương pháp tính toán của mô hình cần đơn giản; chỉ lựa chọn công cụ phức tạp hơn khi tính chính xác của nó cũng tăng theo mức độ phức tạp

- Dễ hiểu: Công cụ đo lường rủi ro phải dễ hiểu đối với Ban Điều hành Nếu Ban Điều hành không hiểu được, các công cụ đo lường rủi ro sẽ không có tác động nhiều đến việc QLRR và ra quyết định hàng ngày, làm giảm hiệu quả của các công cụ này

- Độ đo rủi ro nhất quán/chặt chẽ: Các công cụ đo lường rủi ro cần phải nhất quán/chặt chẽ và bảo đảm các điều kiện sau: (i) đơn điệu - monotonicity (nếu giá trị danh mục Y bằng X trong mọi trường hợp thì Y không thể rủi ro hơn X), (ii) Thuần nhất dương

- positive homogeneity (nếu tất cả các dư nợ trong danh mục được nhân với cùng 1 yếu

tố, rủi ro của danh mục cũng phải nhân với yếu tố đó), (iii) Bất biến theo phép tịnh tiến - translation invariance (nếu tài sản phi rủi ro được đưa vào danh mục, rủi ro của danh mục

sẽ giảm xuống tương ứng), (vi) Cộng tính dưới - subadditivity (nếu kết hợp rủi ro giữa 2 danh mục thì luôn luôn nhỏ hơn hoặc bằng tổng rủi ro của 2 danh mục đơn lẻ)

- Phân tách rủi ro đơn giản và có ý nghĩa: Để bảo đảm hiệu quả trong việc QLRR hàng ngày, rủi ro đo lường của toàn danh mục phải được phân bổ cho các đơn vị nhỏ hơn (ví dụ theo đơn vị kinh doanh hoặc theo dư nợ riêng lẻ) Nếu phân phối rủi ro tạo thành các ảnh hưởng đa dạng hóa, những ảnh hưởng này nên được phân phối một cách có ý nghĩa đến các đơn vị kinh doanh

Một số công cụ được sử dụng: (i) Độ lệch chuẩn (Standard deviation - SD), (ii) Giá trị chịu rủi ro (Value at Risk - VaR), (iii) Tổn thất dự kiến (Expected shortfall - ES), (ii) Độ đo phổ rủi ro và độ đo sai lệch rủi ro (Spectral and distorted risk measures) Trong thực tế, VaR và ES là hai công cụ được sử dụng nhiều nhất

Khá trực quan Trực quan Khá trực quan Không trực quan (Tùy

thuộc vào việc lựa chọn độ đo phổ rủi ro hay độ đo sai

lệch rủi ro)

Ổn định Không ổn định,

tùy thuộc vào

Không ổn định, tùy thuộc vào giả

vào giả thuyết

Tùy thuộc vào giả thuyết về phân phối

giả thuyết về phân phối tổn thất

thuyết về phân phối tổn thất

về phân phối tổn thất

phân phối tổn thất)

Khá dễ tính toán (phép gia quyền của phân phối tổn thất bởi

độ đo phổ rủi ro hay

độ đo sai lệch rủi ro)

(monotonicity)

Vi phạm cộng tính dưới (subadditivity) đối với các phân phối tổn thất không phải elip

Không đơn giản, có thể dẫn đến các lựa chọn gây biến dạng

Khá đơn giản

và có ý nghĩa

Khá đơn giản và có ý nghĩa

1.2.3 Tổng hợp rủi ro

Theo tài liệu của Ủy ban Basel về mô hình vốn kinh tế (BCBS152), Trang 2-3, các thông lệ và kỹ thuật được sử dụng trong tổng hợp rủi ro ít phức tạp hơn các phương pháp luận được sử dụng trong đo lường từng rủi ro thành phần riêng lẻ Các thông lệ và kỹ thuật này dựa trên các giải pháp tùy biến Hầu hết các ngân hàng đều dựa trên tổng của các cấu phần rủi ro riêng lẻ (i) với tỷ trọng bằng nhau (ví dụ giả định không có đa dạng hóa hoặc

có tỷ lệ đa dạng hóa cố định đối với tất cả các cấu phần) hoặc (ii) với tỷ trọng theo ma trận phương sai – hiệp phương sai (variance-covariance matrix) thể hiện các biến động cùng hướng giữa các rủi ro Một số ít các ngân hàng sử dụng kỹ thuật phức tạp hơn như hàm nối (copulas) hoặc phương pháp tiếp cận từ dưới lên để xây dựng ước tính kinh tế tổng thể từ mối quan hệ giữa các cấu phần rủi ro riêng lẻ đến các yếu tố cơ sở

Do các cấu phần rủi ro riêng lẻ được ước lượng hầu như không dựa trên mối liên

hệ giữa các loại rủi ro (ví dụ giữa RRTT và RRTD), phương pháp luận tổng hợp rủi ro có thể dẫn đến việc đánh giá thấp rủi ro tổng thể ngay cả khi các áp dụng giả thuyết không

đa dạng hóa

Phương pháp tổng hợp của ngân hàng cần giải quyết các vấn đề liên quan đến việc định nghĩa và đo lường các cấu phần rủi ro riêng lẻ Tính chính xác của quá trình

tổng hợp phụ thuộc vào chất lượng trong việc đo lường các cấu phần rủi ro riêng lẻ và tương tác giữa các rủi ro này Việc tổng hợp các cấu phần rủi ro riêng lẻ cần phải hài hòa các tham số như độ tin cậy (confidence level) hoặc khoảng thời gian dự báo (horizon)

Ngân hàng cần lưu ý để bảo đảm phương pháp luận tổng hợp rủi ro ngân hàng sử dụng có thể đại diện cho các cấu phần kinh doanh và hồ sơ rủi ro của ngân hàng

1.2.3.1 Phân loại rủi ro

Theo BCBS152, Trang 24, bước đầu tiên của tổng hợp rủi ro là phân loại rủi ro, thông thường sẽ theo 2 chiều: (i) bản chất kinh tế của rủi ro (RRTT, RRTD, RRHĐ…), (ii) cơ cấu tổ chức của ngân hàng (theo đơn vị kinh doanh hoặc pháp nhân)

Khi phân loại theo cơ cấu tổ chức, ngân hàng có thể gặp phải một số khó khăn trong việc định nghĩa rủi ro, theo đó phân loại rủi ro có thể sẽ không chính xác Định nghĩa về rủi ro khác nhau giữa các ngân hàng, hay thậm chí là giữa các danh mục của cùng một ngân hàng, thông thường sẽ phản ánh bản chất hoạt động kinh doanh của ngân hàng hoặc mức độ phức tạp trong công cụ đo lường rủi ro Điều này ảnh hưởng đến tính chính xác của quá trình tổng hợp rủi ro

Thông thường các ngân hàng phân loại rủi ro bao gồm: RRTT, RRTD, RRHĐ, rủi

ro kinh doanh (rủi ro trong lợi nhuận, phân phối cổ tức và giá cổ phiếu tương lai của ngân hàng) Tùy theo hoạt động kinh doanh hoặc quy định pháp luật, một số ngân hàng có cách phân loại rủi ro khác, ví dụ: rủi ro bất động sản (real estate risk), rủi ro hưu trí (pension risk), RRTK, rủi ro pháp lý (legal risk)

1.2.3.2 Phương pháp luận tổng hợp rủi ro

Theo BCBS152, Trang 25, phương pháp luận tổng hợp rủi ro được sử dụng bởi ngân hàng bao gồm 2 nội dung liên quan: (i) lựa chọn đơn vị tính toán và (ii) phương pháp tiếp cận để tổng hợp các cấu phần rủi ro

a Đơn vị tính toán

Theo BCBS152, Trang 25-26, trước khi tổng hợp rủi ro, các loại rủi ro cần được thể hiện qua các đơn vị có thể so sánh được, thường được coi là tiền tệ rủi ro phổ biến (common risk currency)

Đơn vị tính toán rủi ro có 3 tính chất:

- Thước đo rủi ro (Risk metric): Việc lựa chọn thước đo rủi ro cho vốn kinh tế dựa trên thước đo được sử dụng để định lượng các cấu phần rủi ro khác nhau Theo đó cụ thể

là liệu thước đo được lựa chọn (đáp ứng điều kiện cộng tính dưới) có phù hợp để định lượng đa dạng hóa các loại rủi ro hay không

- Độ tin cậy (Confidence level): Phân phối tổn thất cho các loại rủi ro khác nhau thường có hình dạng khác nhau, theo đó độ tin cậy yêu cầu có thể khác nhau Ví dụ phân