Khó khăn trong quản lý rủi ro hoạt động tại ngân hàng thương mại Việt Nam

Tóm tắt: Để đảm bảo các mục tiêu chính trong hoạt động kinh doanh, các ngân hàng thương mại Việt Nam (NHTM) luôn nhận thức được tầm quan trọng của hệ thống quản lý rủi ro cũng như mối liên hệ giữa quản trị rủi ro và lợi nhuận. Một ngân hàng có khả năng quản lý rủi ro tốt, nghĩa là ngân hàng đó có sức khỏe tốt để chống đỡ trước những ảnh hưởng tiêu cực từ môi trường kinh doanh. Khi quản lý rủi ro tốt thì ngân hàng ít bị tác động bởi những ảnh hưởng không lường trước hoặc có khả năng đưa ra những biện pháp kịp thời nhằm ngăn ngừa và hạn chế thấp nhất những tổn thất cho ngân hàng. Các NHTM hiện nay không chỉ hoạt động trong phạm vi nội địa mà ngày càng mở rộng phạm vi hoạt động ra nước ngoài. Cùng với đó là sự gia tăng số lượng các NHTM nước ngoài hiện diện tại thị trường Việt Nam. Hoạt động ở môi trường kinh doanh trong và ngoài nước đầy những biến động, cùng với sự thay đổi theo chiều hướng xấu của các yếu tố tự nhiên có tác động đến tất cả các hoạt động của NHTM, đòi hỏi công tác quản lý rủi ro hoạt động ngân hàng ngày càng phải chú trọng, phải xác định quản trị rủi ro là một trong các công việc quan trọng trong quá trình phát triển của mình và cần phải theo đúng chuẩn mực quốc tế. Nhận thức được vấn đề này, Ngân hàng Nhà nước (NHNN) đã ban hành Thông tư 41/2016/TT-NHNN quy định tỷ lệ an toàn đối với ngân hàng, chi nhánh ngân hàng nước ngoài. Theo đó, các NHTM sẽ phải duy trì mức vốn tự có tối thiểu dựa trên cơ sở vốn yêu cầu tổng tài sản tính theo rủi ro tín dụng, vốn yêu cầu cho rủi ro hoạt động và vốn yêu cầu cho rủi ro thị trường. Ngoài ra, NHNN còn ban hành Thông tư 13/2018/TT-NHNN quy định về hệ thống kiểm soát nội bộ của NHTM, chi nhánh ngân hàng nước ngoài. Tuy nhiên, thực tế, các NHTM gặp rất nhiều khó khăn khi quản lý rủi ro hoạt động theo các quy định trên. Trong phạm vi bài viết này, tác giả tập trung vào những khó khăn mà các NHTM gặp phải trong công tác quản lý rủi ro hoạt động, từ đó đề xuất những khuyến nghị nhằm tăng cường hiệu quả công tác quản lý rủi ro hoạt động tại NHTM .

Difficulties in operating risk management at Vietnamese commercial banks

Abstract: To ensure key objectives in business operations, Vietnamese commercial banks are always aware of the importance of risk management systems as well as the relationship between risk management and profit. A bank with good risk management ability also means more resilient to negative impacts from business environment. When risks are well managed, the bank is less affected by unforeseen influences or able to take timely measures to prevent and minimize losses. At present, Vietnamese commercial banks are not only operating domestically but increasingly expanding their scope of operations offshore. At the same time, we also witness an increase in the number of foreign commercial banks operating in Vietnam market. Operation in business environment full of fluctuations domestically and internationally, along with the worsening of  natural factors that affect operations of commercial banks, banks must pay more attention to risk management, risk management must be identified as one of the important tasks in its development process. In this regard, the State Bank of Vietnam (SBV) has issued Circular 41/2016 / TT-NHNN stipulating the required capital adequacy ratios for banks and foreign bank branches. Accordingly, commercial banks will have to maintain a minimum core capital level based on the required capital for risk weighted asset, capital required for operational risk and capital required for market risk. In addition, the SBV also issued Circular 13/2018 / TT-NHNN regulating internal control system of commercial banks and foreign bank branches. However,  commercial banks face many difficulties when implementing this Circular. In this article, the author points out these difficulties of commercial banks and then proposes recommendations to enhance the effectiveness of operational risk management at commercial banks.

1. Rủi ro hoạt động là gì?

Theo Ủy ban Basel về giám sát ngân hàng: Rủi ro hoạt động là rủi ro gây ra tổn thất do các nguyên nhân như con người, sự không đầy đủ hoặc vận hành không tốt các quy trình, hệ thống, các sự kiện khách quan bên ngoài.

Theo Thông tư 41/2016/TT-NHNN: Rủi ro hoạt động là rủi ro do các quy trình nội bộ quy định không đầy đủ hoặc có sai sót, do yếu tố con người, do các lỗi, sự cố của hệ thống hoặc do các yếu tố bên ngoài làm tổn thất về tài chính, tác động tiêu cực phi tài chính đối với ngân hàng (bao gồm cả rủi ro pháp lý). Rủi ro hoạt động không bao gồm rủi ro danh tiếng và rủi ro chiến lược.

Như vậy, rủi ro hoạt động có thể được phân chia làm các loại rủi ro (phân loại theo nguyên nhân) như sau: rủi ro do quy chế, quy trình nghiệp vụ; rủi ro do yếu tố con người; rủi ro hệ thống công nghệ thông tin; rủi ro do tác động từ bên ngoài.

2. Quản lý rủi ro hoạt động và quy trình quản lý rủi ro hoạt động

2.1 Quản lý rủi ro hoạt động

Quản lý rủi ro hoạt động là quá trình tiếp cận rủi ro một cách khoa học, toàn diện và có hệ thống nhằm nhận diện, kiểm soát, phòng ngừa và giảm thiểu những tổn thất, những ảnh hưởng bất lợi của rủi ro hoạt động đến ngân hàng. Có thể hiểu, quản lý rủi ro hoạt động là toàn bộ quá trình liên tục nhận diện, đánh giá, kiểm soát, giám sát và báo cáo rủi ro hoạt động nhằm giảm thiểu tổn thất phát sinh và duy trì khả năng phục vụ khách hàng liên tục khi ngân hàng gặp phải các trường hợp như: mất tài liệu, cơ sở dữ liệu quan trọng; hệ thống công nghệ thông tin bị sự cố; các sự kiện bất khả kháng (chiến tranh, thiên tai…).

Rủi ro hoạt động xảy ra có thể gây nên những ảnh hưởng tài chính (xác định trên cơ sở ước lượng tổng giá trị tổn thất về tài chính) hoặc ảnh hưởng phi tài chính (uy tín, danh tiếng, nghĩa vụ pháp lý phát sinh…). Do vậy, nhằm hạn chế tổn thất do rủi ro hoạt động gây nên, về khía cạnh pháp lý, NHNN đã ban hành Thông tư 13/2018/TT-NHNN quy định về hệ thống kiểm soát nội bộ của NHTM, chi nhánh ngân hàng nước ngoài, theo đó, các ngân hàng cần phải xây dựng chiến lược quản lý rủi ro hoạt động, hạn mức rủi ro hoạt động. Hạn mức rủi ro hoạt động tối thiểu phải bao gồm các hạn mức về mức độ tổn thất tài chính đối với từng trường hợp quy định như: (1) Gian lận nội bộ do hành vi lừa đảo, chiếm đoạt tài sản, vi phạm các chiến lược, chính sách và quy định nội bộ liên quan đến cán bộ ngân hàng; (2) Gian lận bên ngoài do các hành vi lừa đảo, chiếm đoạt tài sản do đối tượng bên ngoài gây nên mà không có sự trợ giúp của cán bộ ngân hàng; (3) Chính sách về lao động, an toàn nơi làm việc không phù hợp hợp đồng lao động, quy định của pháp luật về lao động, bảo vệ sức khỏe và an toàn nơi làm việc; (4) Vô ý vi phạm quy định liên quan đến khách hàng, quy trình cung cấp sản phẩm…; (5) Hư hỏng, mất mát tài sản, công cụ, thiết bị do các sự kiện bất khả kháng, tác động của con người và các sự kiện khác; (6) Gián đoạn hoạt động kinh doanh do hệ thống công nghệ, thông tin gặp sự cố; (7) Hạn chế, bất cập của quy trình giao dịch, kiểm soát giao dịch và quản lý giao dịch… và hạn mức về mức độ tổn thất phi tài chính (bao gồm cả uy tín, danh tiếng, nghĩa vụ pháp lý phát sinh).

2.2. Quy trình quản lý rủi ro hoạt động

Quy trình quản lý rủi ro hoạt động là toàn bộ quy tắc, quy định mà ngân hàng đặt ra, mang tính chất bắt buộc theo một trình tự nhất định nhằm đạt được các mục tiêu đề ra trong công tác quản lý rủi ro hoạt động mà ngân hàng đã hoạch định. Quy trình quản lý rủi ro hoạt động được thực hiện theo các bước sau:

Hình 1: Quy trình quản lý rủi ro hoạt động tại NHTM

Nguồn: TT13/2018/TT-NHNN

Nhận diện rủi ro: Là việc xác định rủi ro hoạt động tiềm ẩn và/hoặc các rủi ro hiện hữu phát sinh trong ngân hàng. Khi nhận diện rủi ro hoạt động cần quan tâm tới các yếu tố:

+ Hành vi rủi ro

+ Nguyên nhân và nguồn gốc gây nên rủi ro

+ Phân loại rủi ro: rủi ro gian lận nội bộ; gian lận bên ngoài; vi phạm liên quan đến khách hàng và quy trình cung cấp sản phẩm; gián đoạn kinh doanh; lỗi hệ thống; thực hiện giao dịch và quản lý quy trình…

Công cụ nhận diện rủi ro hoạt động bao gồm: thu thập dữ kiện tổn thất bên trong và bên ngoài ngân hàng; tự đánh giá rủi ro và các chốt kiểm soát; phân tích phát hiện trong quá trình thanh tra, kiểm tra.

Đo lường rủi ro hoạt động: Là việc phân tích, đánh giá mức độ nghiêm trọng của danh mục rủi ro hoạt động đã nhận diện nhằm xác định thứ tự ưu tiên và phân bổ nguồn lực xử lý, kiểm soát phù hợp giúp các ngân hàng quản lý rủi ro hoạt động một cách hiệu quả nhất. Đo lường rủi ro hoạt động cần dựa trên các tiêu chí như: tần suất xảy ro rủi ro và mức độ ảnh hưởng của rủi ro.

Các NHTM có thể sử dụng các công cụ đo lường rủi ro khác nhau như: tự đánh giá rủi ro và sử dụng các phát hiện của kiểm toán nội bộ và kiểm toán độc lập; thu thập và phân tích dữ liệu tổn thất nội bộ và bên ngoài nhằm xác định tổn thất nội bộ; chỉ số kết quả kinh doanh và chỉ số rủi ro trọng yếu; sơ đồ hóa quy trình nghiệp vụ để xác định mức độ rủi ro hoạt động của từng quy trình nghiệp vụ, rủi ro hoạt động chung của các quy trình nghiệp vụ và mối liên hệ của các rủi ro này; phân tích kịch bản…

Kiểm soát rủi ro hoạt động: Là việc kiểm soát, xử lý và duy trì mức độ rủi ro trong ngưỡng chấp nhận được, phù hợp với khẩu vị rủi ro, hạn mức rủi ro hoạt động được ban lãnh đạo ngân hàng phê duyệt.

Kiểm soát rủi ro hoạt động được thực hiện trên cơ sở nguyên tắc: ưu tiên xử lý trước các rủi ro cao/rủi ro trọng yếu; lựa chọn biện pháp kiểm soát rủi ro phù hợp trên nguyên tắc cân bằng giữa lợi ích và chi phí. Việc kiểm soát rủi ro yêu cầu cả các đơn vị chủ sở hữu nghiệp vụ chủ động đề xuất các phương án kiểm soát rủi ro, chứ không chỉ thực hiện tuân thủ do cấp trên đề ra.

Các biện pháp kiểm soát rủi ro hoạt động bao gồm: tránh rủi ro; giảm rủi ro; chấp nhận rủi ro; chuyển giao rủi ro. Tùy thuộc tần suất xuất hiện và mức độ ảnh hưởng của các loại rủi ro để ngân hàng lựa chọn biện pháp kiểm soát phù hợp.

Theo dõi rủi ro hoạt động: Là việc sử dụng các công cụ để cảnh báo sớm đối với mức biến động và xu hướng gia tăng rủi ro thực tế; phát hiện các dấu hiệu bất thường có nguy cơ xảy ra rủi ro cao/rủi ro mới. Theo dõi rủi ro hoạt động bao gồm cả việc theo dõi tình hình triển khai các kế hoạch hành động để phòng ngừa, giảm thiểu, xử lý rủi ro.

Việc theo dõi rủi ro hoạt động được thực hiện theo nguyên tắc: (i) theo dõi thường xuyên, liên tục và toàn diện; (ii) qua quá trình theo dõi cần có sự điều chỉnh, thay đổi cho phù hợp với thực tế phát sinh.

NHTM có thể sử dụng các công cụ theo dõi rủi ro hoạt động như: (i) Các giới hạn rủi ro hoạt động mức rủi ro hoạt động; Các chỉ số rủi ro chính (KPI)/ Các chỉ số kết quả kinh doanh; Cơ chế báo cáo rủi ro hoạt động…

Báo cáo rủi ro hoạt động: Định kỳ tối thiểu 6 tháng (hàng quý tùy thuộc vào từng ngân hàng như tại Ngân hàng MB) hoặc đột xuất báo cáo cho Hội đồng quản trị, Ủy ban quản lý rủi ro, Ban điều hành của ngân hàng.

3. Khó khăn trong quản lý rủi ro hoạt động tại NHTM Việt nam

3.1. Thực trạng quản lý rủi ro hoạt động tại một số NHTM

Quản lý rủi ro hoạt động tại Ngân hàng TMCP Công thương Việt Nam (Vietinbank).

Tại VietinBank, quản lý rủi ro hoạt động được thực hiện theo quy định quản lý sự kiện rủi ro hoạt động trong hệ thống. Các sự kiện rủi ro hoạt động xảy ra có liên quan trực tiếp tới VietinBank như: rủi ro nguồn nhân lực; rủi ro tài sản hữu hình; rủi ro ứng dụng công nghệ thông tin; rủi ro văn bản chính sách; rủi ro an toàn thông tin nội bộ; rủi ro gian lận nội bộ; rủi ro gián đoạn hoạt động kinh doanh; rủi ro bảo mật thông tin khách hàng…

Việc ban hành quy định thực hiện quản lý rủi ro hoạt động tại VietinBank dựa vào Thông tư số 13/2018/TT-NHNN quy định về hệ thống kiểm soát nội bộ của ngân hàng, nguyên tắc quản lý rủi ro hoạt động theo Ủy ban Giám sát ngân hàng Basel tháng 6/2011 và một số văn bản khác.

Tại VietinBank, quy trình quản lý rủi ro  được thực hiện qua các bước: (i) nhận diện nguyên nhân/chốt kiểm soát thất bại, (ii) đánh giá tổn thất/ảnh hưởng,  (iii) kiểm soát, khắc phục tổn thất/ảnh hưởng và đưa ra biện pháp ngăn ngừa rủi ro, (iv) giám sát rủi ro hoạt động, (v) báo cáo rủi ro hoạt động.

Quản lý rủi ro hoạt động tại VietinBank được thực hiện theo các nguyên tắc: (i) ngân hàng ghi nhận và quản lý tập trung tất cả các sự kiện rủi ro hoạt động có ảnh hưởng tới ngân hàng với mức độ thông tin đầy đủ, cập nhật nhất nhằm phục vụ công tác phân tích, quản trị nội bộ và phòng ngừa rủi ro lặp lại; (ii) mỗi sự kiện rủi ro hoạt động đều phải qua 5 bước theo quy trình; (iii) khi sự kiện rủi ro hoạt động xảy ra, cá nhân/đơn vị phát hiện cần thông tin tới các đơn vị/bộ phận liên quan trong vòng 24 h (không bao gồm ngày nghỉ, ngày lễ) ngay sau khi phát hiện để đảm bảo ngân hàng có thể phản ứng kịp thời, giảm thiểu tổn thất;…

Rủi ro hoạt động xảy ra ở tất cả các hoạt động của NHTM nên các đơn vị/bộ phận, cá nhân trong ngân hàng đều có trách nhiệm tham gia vào công tác quản lý rủi ro hoạt động. Cụ thể:

- Tổng Giám đốc (TGĐ) phê duyệt và báo cáo định kỳ/đột xuất các sự kiện rủi ro hoạt động cho Hội đồng quản trị (HĐQT) và trình HĐQT phê duyệt phương án, biện pháp xử lý, khắc phục rủi ro hoạt động. Ngoài ra, TGĐ còn có trách nhiệm phê duyệt kế hoạch hành động và chỉ đạo các đơn vị phối hợp triển khai các kế hoạch hành động này;

- Phó TGĐ phụ trách nghiệp vụ/Giám đốc khối nghiệp vụ có trách nhiệm giám sát công tác quản lý sự kiện rủi ro hoạt động tại các đơn vị đối với các nghiệp vụ trong lĩnh vực phụ trách. Bên cạnh đó, phối hợp với phụ trách khối quản lý rủi ro báo cáo các sự kiện rủi ro hoạt động trọng yếu, đề xuất các phương án, biện pháp xử lý, khắc phục, đồng thời giám sát công tác thực hiện biện pháp giảm thiểu rủi ro, phòng tránh sự kiện rủi ro hoạt động lặp lại đối với các nghiệp vụ trong lĩnh vực phụ trách…

- Phó TGĐ phụ trách/ Giám đốc khối quản lý rủi ro/Giám đốc khối pháp chế và tuân thủ: phê duyệt ban hành quy định quản lý sự kiện rủi ro hoạt động, chỉ đạo xây dựng phần mềm, mô hình, công cụ quản lý sự kiện rủi ro hoạt động, chỉ đạo các đơn vị liên quan để phân tích các sự kiện rủi ro hoạt động đã xảy ra, thực hiện cảnh báo rủi ro hoạt động toàn hệ thống…

- Phòng Quản lý rủi ro hoạt động và Quản lý tuân thủ: Phòng quản lý rủi ro hoạt động bên cạnh việc chịu trách nhiệm về xây dựng quy định, quy trình, hướng dẫn quản lý sự kiện rủi ro hoạt động trong hệ thống ngân hàng, đầu mối và phối hợp với trung tâm công nghệ thông tin xây dựng, triển khai sử dụng hệ thống, phần mềm và công cụ công nghệ để nhận dạng, đánh giá, đo lường, giám sát, báo cáo sự kiện rủi ro hoạt động trong toàn hệ thống thì họ còn phải chịu trách nhiệm quản lý các rủi ro: rủi ro nguồn nhân lực, rủi ro tài sản hữu hình, rủi ro ứng dụng công nghệ thông tin, rủi ro văn bản chính sách, rủi ro an toàn thông tin nội bộ, rủi ro tác nghiệp, rủi ro thuê ngoài, rủi ro gián đoạn hoạt động kinh doanh. Phòng quản lý tuân thủ chịu trách nhiệm quản lý: rủi ro gian lận nội bộ, rủi ro bảo mật thông tin khách hàng, rủi ro gian lận bên ngoài, rủi ro tuân thủ (bao gồm phòng chống rửa tiền)…

Các chi nhánh, đơn vị trụ sở chính (TSC): Chủ động phát hiện, thông báo, xử lý, khắc phục và báo cáo kịp thời sự kiện rủi ro hoạt động phát sinh tại chi nhánh/đơn vị; chủ động cung cấp, báo cáo và chịu trách nhiệm hoàn toàn về các sự kiện rủi ro hoạt động phát sinh tại đơn vị; tổng hợp, phân tích các sự kiện rủi ro hoạt động phát sinh tại đơn vị và đề xuất các biện pháp ngăn ngừa, giảm thiểu rủi ro hoạt động; đề xuất, phối hợp với TSC đầu mối để xây dựng và triển khai các phương án, biện pháp kiểm soát để ngăn chặn, giảm thiểu sự kiện rủi ro hoạt động tái diễn…

Tại VietinBank, các loại rủi ro hoạt động được quản lý bao gồm: rủi ro nguồn nhân lực, rủi ro tài sản hữu hình, rủi ro ứng dụng công nghệ thông tin, rủi ro văn bản chính sách, rủi ro an toàn thông tin nội bộ, rủi ro tác nghiệp, rủi ro thuê ngoài, rủi ro gián đoạn hoạt động kinh doanh, rủi ro gian lận nội bộ, rủi ro bảo mật thông tin khách hàng, rủi ro gian lận bên ngoài, rủi ro tuân thủ (bao gồm phòng chống rửa tiền).

VietinBank thực hiện quản lý rủi ro theo 3 tuyến bảo vệ: (i) tuyến bảo vệ 1 được thực hiện bởi TSC đầu mối, bộ máy kiểm tra kiểm soát nội bộ và các đơn vị TSC liên quan, tất cả các chi nhánh/ đơn vị TSC; (ii) tuyến bảo vệ 2 bao gồm phòng Quản lý rủi ro hoạt động và phòng quản lý tuân thủ; (iii)) tuyến bảo vệ 3 bộ phận Kiểm tra kiểm soát nội bộ của ngân hàng.

Việc phân loại nguyên nhân tổn thất sự kiện rủi ro hoạt động tại VietinBank được chia làm 4 nhóm:

Nhóm 1: Quy trình, bao gồm:

+ Thiết kế quy trình không đầy đủ/không hiệu quả, không cập nhật, không phù hợp dễ gây nhầm lẫn. Rủi ro trong việc thiết kế quy trình giao dịch /kinh doanh không phù hợp, thiếu hiệu quả, bao gồm quy trình quản lý hoạt động khép kín và rõ ràng trong phân tách trách nhiệm.

+ Sản phẩm bàn giao của hoạt động thuê ngoài không phù hợp: Rủi ro các đối tác thuê ngoài cung cấp dịch vụ không đạt yêu cầu theo cam kết  và/ hoặc không phù hợp với mục tiêu, chiến lược và giá trị của ngân hàng.

+ Thiếu sót trong quy trình đánh giá khách hàng: Rủi ro thất bại trong quá trình đánh giá tính phù hợp của nhóm khách hàng tiềm năng/hiện tại đảm bảo tuân thủ quy định pháp luật và chính sách nội bộ của ngân hàng.

Nhóm 2: Con người, tổ chức và văn hóa

+ Lỗi tác nghiệp của cán bộ: Rủi ro tác nghiệp của cán bộ, nguyên nhân phát sinh từ thiếu năng lực, chưa được đào tạo đầy đủ cũng như chưa làm quen với quy trình và chính sách của NH.

+ Gian lận nội bộ.

+ Không có khả năng thu hút, phát triển và duy trì nguồn vốn chất xám: Các chương trình sáng kiến không đạt hiệu quả trong việc thu hút, phát triển và duy trì đội ngũ cán bộ nòng cốt…

+ Phân tách chức năng, nhiệm vụ không rõ ràng.

+ Suy giảm giá trị đạo đức, tính minh bạch.

+ Cơ cấu tổ chức, giám sát và phân tách trách nhiệm không hiệu quả.

+ Năng suất làm việc và cơ chế thúc đẩy không hiệu quả…

Nhóm 3: Hệ thống

+ Hệ thống hoạt động không ổn định.

+ Thông tin không đầy đủ, toàn vẹn: rủi ro liên quan đến vi phạm về phân cấp thẩm quyền, tính toàn vẹn và chính xác của các giao dịch/dữ liệu khi được ghi nhận, xử lý và báo cáo giữa các hệ thống.

+ Thiếu hụt cơ sở hạ tầng.

+ Thông tin không phù hợp, không cập nhật và thiếu độ tin cậy hỗ trợ cho việc đưa ra quyết định.

+ Công tác quản lý truy cập và bảo mật thông tin không hiệu quả.

+ Sử dụng dữ liệu không đúng mục đích.

Nhóm 4: Môi trường bên ngoài

+ Thiên tai/khủng bố/lũ lụt/hỏa hoạn/chiến tranh.

+ Rủi ro từ nhà cung cấp/đối tác chính.

+ Tác động của kinh tế, chính trị.

+ Không đáp ứng những thay đổi về pháp lý, tuân thủ.

+ Sử dụng sai sản phẩm: Rủi ro khi khách hàng và đối tác sử dụng sai mục đích các sản phẩm và dịch vụ của ngân hàng.

+ Sử dụng tài sản hữu hình sai mục đích hoặc bị trộm cắp: Rủi ro phát sinh từ các đối tượng gian lận bên ngoài nhằm truy cập, sử dụng tài sản trái phép hoặc trộm cắp tài sản hữu hình của ngân hàng.

Sau khi thực hiện nhận dạng, đo lường, đánh giá, kiểm soát, theo dõi rủi ro hoạt động thì cần phải thực hiện báo cáo sự kiện rủi ro hoạt động. Báo cáo sự kiện rủi ro hoạt động phải bao gồm các nội dung như sau:

BÁO CÁO SỰ KIỆN RỦI RO HOẠT ĐỘNG

Nguồn: Quy định của VietinBank

Quản lý rủi ro hoạt động tại Ngân hàng TMCP Quân đội (MB)

Tại MB, quy trình quản lý rủi ro hoạt động thực hiện theo các bước: nhận dạng rủi ro, đo lường rủi ro, kiểm soát rủi ro, theo dõi rủi ro, báo cáo rủi ro hoạt động. Việc nhận dạng rủi ro hoạt động tại MB được thực hiện bởi các công cụ như thu thập dữ liệu tổn thất bên trong và bên ngoài, tự đánh giá rủi ro và phân tích các phát hiện trong quá trình thanh - kiểm tra. Nhận dạng rủi ro hoạt động được dựa trên các yếu tố như: hành vi rủi ro, nguyên nhân rủi ro, các loại rủi ro. Sau khi nhận dạng rủi ro, ngân hàng thực hiện đo lường rủi ro thông qua các công cụ đo lường: Tự đánh giá rủi ro và chốt kiểm soát, thu thập dữ liệu tổn thất và phân tích kịch bản. Từ đó thực hiện kiểm soát rủi ro bằng các biện pháp như: tránh rủi ro, giảm rủi ro, chấp nhận rủi ro hoặc chuyển giao rủi ro. Việc theo dõi rủi ro hoạt động được thực hiện thường xuyên, liên tục và toàn diện. Ngoài ra, trong quá trình theo dõi luôn có sự điều chỉnh, thay đổi cho phù hợp với tình hình thực tế. Các công cụ thường được sử dụng để theo dõi rủi ro hoạt động tại MB bao gồm: Các giới hạn/hạn mức v; Các chỉ số rủi ro chính (KPI) và cơ chế báo cáo rủi ro. Cuối cùng là báo cáo cho HĐQT, Ủy ban Quản lý rủi ro và Ban điều hành.

3.2 Khó khăn trong quản lý rủi ro hoạt động tại NHTM Việt Nam

Rủi ro hoạt động là loại rủi ro có thể xảy ra ở tất cả các hoạt động của NHTM. Chính vì vậy, công tác quản lý rủi ro tại các NHTM gặp rất nhiều khó khăn, thách thức. Cụ thể:

Thứ nhất: Khi có rủi ro hoạt động xảy ra, cụ thể như rủi ro về quy trình nghiệp vụ, cán bộ ngân hàng và các phòng ban còn có phần “đùn đẩy” trách nhiệm cho nhau, phòng ban này đổ lỗi cho quy trình của phòng ban kia không chặt chẽ dẫn đến sự việc xảy ra.

 Thứ hai: Ở một số ngân hàng chưa đầu tư nguồn lực và giao thẩm quyền tương xứng cho bộ phận quản lý rủi ro hoạt động (ví dụ ở chi nhánh của một số ngân hàng chỉ có bộ phận quản lý rủi ro mà không có phòng ban quản lý rủi ro), chưa thiết lập cơ chế thông tin minh bạch, nhiều sự kiện rủi ro hoạt động phát sinh được xử lý kín, chính là các lỗ hổng trong quy định, quy trình và hệ thống tác nghiệp nên có khả năng lặp lại các lỗi. Hiện nay, còn có hiện tượng các chi nhánh vì thành tích của đơn vị mình nên các thông tin, dữ liệu báo cáo còn chưa chính xác. Việc xử lý các đơn vị/ chi nhánh vi phạm việc cung cấp dữ liệu, thông tin thiếu chính xác do bên bộ phận pháp chế, không do bộ phận quản lý rủi ro hoạt động của ngân hàng thực hiện nên gây nhiều khó khăn về tính chính xác, đầy đủ, cập nhật của các dữ liệu cần thiết cho quản lý rủi ro hoạt động.

Thứ ba: Trong giai đoạn các NHTM đang chuyển đổi hệ thống ngân hàng lõi thì hầu như toàn bộ hệ thống và phương pháp thực hiện đều có sự thay đổi, cán bộ ngân hàng cần có thời gian cập nhật, xử lý và làm quen với hệ thống mới. Điều này dẫn đến đôi khi xảy ra chậm trễ trong giao dịch với ngân hàng hoặc lỗi hệ thống có thể xảy ra.

Thứ tư: Các yêu cầu về quản lý rủi ro hoạt động trong các quy định của các ngân hàng nói riêng và theo tiêu chuẩn Basel II nói chung là những thuật ngữ đòi hỏi người đọc và áp dụng phải có kiến thức, trình độ cao. Một số thuật ngữ khá trừu tượng nên gây khó hiểu hoặc có sự nhầm lẫn trong việc đọc hiểu các thuật ngữ này. Điều đó phần nào ảnh hưởng đến việc các NHTM chưa triển khai được một số yêu cầu của Basel II.

Thứ năm: Khó khăn trong quản lý rủi ro gian lận từ nhân viên, khách hàng, rủi ro thuê ngoài như thuê bảo vệ bảo vệ ngân hàng hoặc khó khăn trong việc quản lý rủi ro đảm bảo hoạt động kinh doanh diễn ra liên tục, không bị gián đoạn…

Thứ sáu: Các đơn vị kinh doanh, tác nghiệp trực tiếp vẫn còn thụ động trong việc vận hành các nội dung của quản lý rủi ro hoạt động. Các đơn vị tác nghiệp ít có sự tham mưu mà chủ yếu là tuân thủ theo quy định của bộ phận cấp cao.

Thứ bảy: Cơ sở dữ liệu và phân tích, dự báo môi trường kinh doanh… còn thiếu và yếu, dẫn đến các ngân hàng còn gặp rất nhiều khó khăn, lúng túng trong việc hoạch định các chiến lược dài hạn. Chiến lược đưa ra đa số dựa trên đánh giá kết quả của năm cũ, quý cũ, tháng cũ… và mục tiêu của năm mới, quý mới, tháng mới mà chưa xem xét mức độ rủi ro và khả năng quản lý rủi ro tương xứng…

4. Khuyến nghị

Rủi ro hoạt động có thể xảy ra hàng giờ, hàng ngày với các lý do khách quan hay chủ quan, ảnh hưởng rất lớn tới hoạt động kinh doanh của các NHTM. Để khắc phục các khó khăn nêu trên nhằm tăng cường năng lực quản lý rủi ro hoạt động, các NHTM cần:

Thứ nhất, đầu tư nguồn lực và giao thẩm quyền tương xứng cho phòng quản lý rủi ro hoạt động (đối với Hội sở) và bộ phận quản lý rủi ro hoạt động (đối với chi nhánh). Khi được hỗ trợ những nguồn lực phù hợp về nhân sự, tài chính, hệ thống công cụ hỗ trợ thì các cán bộ quản lý rủi ro hoạt động sẽ có đủ “nguyên liệu” cần thiết để xây dựng và triển khai các hoạt động quản lý rủi ro hoạt động hiệu quả hơn. Bên cạnh đó, khi được cấp thẩm quyền tương xứng, bộ phận quản lý rủi ro hoạt động có đủ thẩm quyền để yêu cầu trực tiếp các đơn vị kinh doanh và tác nghiệp nghiêm túc tuân thủ các trách nhiệm liên quan, không đùn đẩy trách nhiệm cho nhau khi sự kiện rủi ro hoạt động xảy ra.

Thứ hai, thường xuyên tổ chức các lớp học về rủi ro hoạt động cũng như các lớp học chuyên sâu về chuyên môn nghiệp vụ  cho tất cả các cán bộ ngân hàng. Khi CBNV hiểu rõ về rủi ro hoạt động cũng như kiến thức chuyên sâu về các mảng nghiệp vụ mà họ đảm nhiệm thì trong quá trình tác nghiệp sẽ hạn chế được các lỗi và giảm thiểu được rủi ro hoạt động cho ngân hàng. Ngoài ra, các đơn vị kinh doanh phải thường xuyên trao đổi, cập nhật các sự kiện rủi ro hoạt động xảy ra tại ngân hàng mình và tại các ngân hàng khác, phân tích nguyên nhân, các yếu tố dẫn tới rủi ro hoạt động đối với CBNV của đơn vị.

Thứ ba, sử dụng hiệu quả công cụ phân tích kịch bản trong quản lý rủi ro hoạt động. Lợi ích của việc phân tích kịch bản là hỗ trợ ban lãnh đạo rút ra được những thông tin cần thiết cho hoạt động điều hành, xây dựng các giải pháp nhằm đảm bảo cho hoạt động kinh doanh của ngân hàng luôn diễn ra thường xuyên, liên tục, không bị gián đoạn. Muốn vậy, các chi nhánh/đơn vị cần thống kê và dự báo được các vấn đề như: Những gì xảy ra gần đây, những gì sắp xảy ra trong thời gian tới? Trường hợp xấu nhất xảy ra thì tổn thất như thế nào, ngân hàng có chống đỡ được không? Nếu xảy ra thì biện pháp để giảm thiểu rủi ro là gì? Từ sự kiện rủi ro hoạt động của chi nhánh khác/ ngân hàng khác, cần lập phương án phù hợp cho ngân hàng mình để ứng phó và tạo chốt kiểm soát cho đơn vị.

Thứ tư, khi áp dụng hệ thống công nghệ mới cần có thời gian chuẩn bị, đào tạo cho các CBNV để họ hiểu rõ về hệ thống, tránh tình trạng “vừa học, vừa làm”, gây chậm trễ trong các giao dịch và lỗi hệ thống xảy ra. Ngoài ra cần hiện đại hóa hệ thống một cách đồng bộ nhằm hạn chế các lỗi xảy ra do sự không tương thích hoặc quá tải gây nghẽn hệ thống…

Thứ năm, để khắc phục khó khăn trong quản lý rủi ro gian lận từ nội bộ, các ngân hàng cần thường xuyên phổ biến, quán triệt về văn hóa doanh nghiệp và bộ quy tắc đạo đức nghề nghiệp, nội quy lao động. Nghiêm cấm CBNV thực hiện hành vi gian lận hoặc cấu kết, tiếp tay, hỗ trợ đối tượng bên ngoài thực hiện hành vi gian lận. Ngoài ra cần có chính sách khuyến khích CBNV thực hiện tố giác, báo cáo khi phát hiện hành vi không phù hợp văn hóa, chuẩn mực đạo đức và vi phạm quy định của ngân hàng để có biện pháp ngăn ngừa kịp thời các sự kiện rủi ro hoạt động có thể xảy ra. 

Thứ sáu, các chi nhánh khi triển khai bán các sản phẩm cần chủ động xác định và đánh giá rủi ro hoạt động trong các rủi ro hiện có trong tất cả sản phẩm, hoạt động, quy trình và hệ thống của ngân hàng. Phòng quản lý rủi ro/bộ phận quản lý rủi ro ở các chi nhánh/đơn vị cần thường xuyên tạo môi trường để có sự liên kết, trao đổi với nhau để chủ động nắm bắt tình hình về quản lý rủi ro hoạt động, thay vì chờ tổng hợp từ trung ương.

Thứ bảy, ban hành quy định cụ thể về việc thu nhập dữ liệu và tổn thất, yêu cầu sự tham gia một cách nghiêm túc của tất cả các phòng ban, các đơn vị tác nghiệp… trong hoạt động thu thập dữ liệu và tổn thất. Cần xây dựng và chính thức hóa quy trình thu thập dữ liệu tổn thất trong ngân hàng. Quy trình này phải linh hoạt để có thể cập nhật các nguồn thông tin cũng như phản ánh đúng các khả năng rủi ro hoạt động khi môi trường kinh doanh thay đổi. Quy trình này cũng cần được thông báo rộng rãi và thống nhất trong toàn ngân hàng.

Tài liệu tham khảo

1, Văn bản Basel II

2, Thông tư 41/2016/TT-NHNN quy định tỷ lệ an toàn đối với ngân hàng, chi nhánh ngân hàng nước ngoài

3, Thông tư 13/2018/TT- NHNN quy định về hệ thống kiểm soát nội bộ của NHTM, chi nhánh ngân hàng nước ngoài. 

4, Các tài liệu về quản lý RRHĐ tại NHTM CP Công thương Việt Nam.

5, Các tài liệu về quản lý RRHĐ tại NHTM CP Quân đội Việt Nam.

6, Vũ Thu Hương (2016), Quản lý rủi ro hoạt động theo Hiệp ước Basel II tại NHTM CP Hàng Hải Việt Nam.

7. Website Ủy ban Basel về Giám sát Ngân hàng: https://www.bis.org

Bài đăng trên Tạp chí Thị trường Tài chính Tiền tệ số tháng 3 năm 2021