2.3.1.2. Hệ thống văn bản, quy định nội bộ về quản lý rủi ro tác nghiệp của Ngân hàng TMCP Công thương Việt Nam
Trên cơ sở hành lang pháp lý, hệ thống văn bản chính sách về quản lý rủi ro tác nghiệp của Ngân hàng Nhà nước và dựa trên mục tiêu, chiến lược và tình hình hoạt động kinh doanh thực tế của mình trong từng thời kỳ, Vietinbank đã từng bước xây dựng hệ thống văn bản, quy định nội bộ về quản lý rủi ro tác nghiệp phù hợp, nhằm quán triệt mục tiêu, phổ biến quy định về quản lý rủi ro tác nghiệp cho toàn thể cán bộ, nhân viên ngân hàng nắm rõ và nghiêm chỉnh thực hiện. Hệ thống văn bản, quy định nội bộ về quản lý rủi ro tác nghiệp của Vietinbank có thể được khái quát hóa như sau:
- Khung Quản lý rủi ro: Vietinbank ban hành Quyết định số 773/2018/QĐ- HĐQT-NHCT64 ngày 30/11/2018 quy định về việc ban hành Khung quản lý rủi ro. Văn bản này áp dụng đối với hoạt động quản lý rủi ro trong hệ thống Vietinbank. Theo đó, Vietinbank quy định rõ các vấn đề mang tính nguyên tắc về công tác quản lý rủi ro, làm nền tảng đối với hệ thống văn bản chính sách, cơ cấu tổ chức và phương pháp luận quản lý các loại rủi ro trọng yếu; xác định quyền hạn và trách nhiệm của đơn vị, cá nhân liên quan đến công tác quản lý rủi ro trong hệ thống Vietinbank. Chính sách quản lý rủi ro và hạn mức rủi ro, các bước quản lý rủi ro trọng yếu và các trường hợp đặc thù cũng được xây dựng chi tiết trong văn bản này.
- Tuyên bố Khẩu vị rủi ro tác nghiệp: Các mục tiêu về QLRRTN của Vietinbank được văn bản hóa bằng Tuyên bố Khẩu vị rủi ro tác nghiệp (Operational risk appetite statement), thể hiện quan điểm của Vietinbank về các mức độ chấp nhận rủi ro trong mỗi hoạt động nghiệp vụ. Đây cũng chính là ý chí, là quan điểm lãnh đạo của Ban lãnh đạo cấp cao trong việc QLRRTN. Trong Tuyên bố Khẩu vị RRTN, Vietinbank xác định SKRRTN “là rủi ro tác nghiệp đã xảy ra, đã gây ra tổn thất cho Ngân hàng (sự kiện tổn thất rủi ro tác nghiệp) hoặc chưa gây ra tổn thất nhưng tiềm ẩn nguy cơ tổn thất nếu không có biện pháp kiểm soát hoặc biện pháp khắc phục, giảm thiểu nguy cơ rủi ro kịp thời (sự kiện gần mất)”
Các SKRRTN phát sinh tại Vietinbank được phân loại theo RRTN đặc thù nhằm theo dõi và quản lý SKRRTN trong toàn hàng một cách nhất quán và phù
hợp với đặc điểm hoạt động kinh doanh của Vietinbank trong từng thời kỳ và quy định NHNN, bao gồm: Rủi ro nguồn nhân lực; Rủi ro tài sản hữu hình; Rủi ro ứng dụng CNTT; Rủi ro văn bản chính sách; Rủi ro an toàn thông tin nội bộ và Rủi ro bảo mật thông tin khách hàng; Rủi ro tác nghiệp; Rủi ro thuê ngoài; Rủi ro gián đoạn hoạt động kinh doanh; Rủi ro gian lận nội bộ, Rủi ro gian lận bên ngoài, Rủi ro tuân thủ.
- Quy định quản lý rủi ro tác nghiệp: Vietinbank còn ban hành Quyết định số 804/2018/QĐ-HĐQT-NHCT7 ngày 25/12/2018 về việc ban hành quy định quản lý rủi ro tác nghiệp. Văn bản này áp dụng cho Trụ sở chính của Vietinbank, quy định các vấn đề mang tính nguyên tắc về công tác quản lý rủi ro tác nghiệp, làm nền tảng đối với hệ thống văn bản chính sách, cơ cấu tổ chức và phương pháp luận quản lý rủi ro tác nghiệp; xác định quyền hạn và trách nhiệm của các đơn vị, cá nhân liên quan đến công tác quản lý rủi ro tác nghiệp của Ngân hàng TMCP Công thương Việt Nam.
Theo đó, Vietinbank xây dựng và quy định chi tiết mô hình ba tuyến bảo vệ đối với rủi ro tác nghiệp và chu trình quản lý rủi ro tác nghiệp gồm các bước: (1) Nhận dạng rủi ro tác nghiệp; (2) Đo lường, đánh giá rủi ro tác nghiệp; (3) Theo dõi rủi ro tác nghiệp; (4) Kiểm soát rủi ro tác nghiệp và (5) Báo cáo rủi ro tác nghiệp. Đồng thời quy định quản lý rủi ro tác nghiệp cũng xác định các nguyên tắc xử lý khi xảy ra vi phạm về quản lý rủi ro tác nghiệp và các biện pháp ngăn chặn hậu quả của những vi phạm này.
Có thể bạn quan tâm!
- Tổng Tài Sản Của Vietinbank Giai Đoạn Từ Năm 2015-2019
- Tình Hình Rủi Ro Tác Nghiệp Tại Ngân Hàng Tmcp Công Thương Việt Nam 2015 - 2019
- Xác Suất Xuất Hiện Dấu Hiệu Rủi Ro Của Vietinbank Giai Đoạn Từ Năm 2015-2019
- Bản Đồ Xác Định Mức Độ Rủi Ro Nội Tại Và Hiệu Quả Bpks
- Thực Trạng Quy Trình Quản Lý Rủi Ro Tác Nghiệp Của Vietinbank.
- Tính Tuân Thủ Các Quy Định, Quy Trình Quản Lý Rủi Ro Tác Nghiệp
Xem toàn bộ 238 trang tài liệu này.
- Quy định quản lý sự kiện rủi ro tác nghiệp: Quyết định số 1368/2019/QĐ- TGĐ-NHCT7 quy định quản lý sự kiện rủi ro tác nghiệp trong hệ thống Vietinbank. Văn bản này áp dụng đối với tất cả các sự kiện rủi ro tác nghiệp xảy ra tại các chi nhánh và đơn vị trụ sở chính, quy định yêu cầu, trình tự, thủ tục quản lý sự kiện rủi ro tác nghiệp và xác định quyền hạn, trách nhiệm của các cá nhân, đơn vị liên quan đến công tác quản lý sự kiện rủi ro tác nghiệp tại Vietinbank.
- Quy định về các công cụ quản lý rủi ro tác nghiệp: Vietinbank ban hành Quy trình Tự đánh giá rủi ro tác nghiệp (RCSA); Quy trình thu thập dữ liệu tổn thất
(LDC); Quy trình thiết lập và quản lý chỉ số rủi ro chính (KRI); Quy định về quản lý kinh doanh liên tục (BCM) và Quy định tính vốn cho rủi ro tác nghiệp. Đây là hệ thống văn bản chi tiết quy định nội dung và cách thức sử dụng các công cụ quản lý rủi ro tác nghiệp tại Vietinbank.
Ngoài hệ thống các văn bản nội bộ nêu trên, Vietinbank còn ban hành các chính sách, tiêu chuẩn nội bộ áp dụng cho chính cán bộ, nhân viên của mình để đảm bảo tránh xảy ra các rủi ro tác nghiệp có thể vi phạm quy định của Ngân hàng Nhà nước và gây thiệt hại cho ngân hàng: Bộ tiêu chuẩn về chuyên môn, nghiệp vụ và đạo đức, tác phong của nhân viên, cán bộ ngân hàng được xây dựng và áp dụng trong toàn hệ thống; Quy định về kiểm tra, kiểm soát nội bộ của ngân hàng đảm bảo tính kiểm soát chéo, kiểm tra theo trục dọc; Quy định hệ thống Quản lý hồ sơ rủi ro, theo đó, các đơn vị trụ sở chính đề xuất các biện pháp kiểm tra, giám sát, theo dõi và hỗ trợ cho các chi nhánh có mức độ rủi ro cao nhằm giảm thiểu mức độ ảnh hưởng và tần suất xảy ra; Ban hành, điều chỉnh các quy định, quy trình, sản phẩm, các văn bản hướng dẫn vận hành hệ thống, xử lý tác nghiệp…
Nhìn chung hệ thống văn bản, chính sách nội bộ của Vietinbank về quản lý rủi ro tác nghiệp tương đối đầy đủ và bao trùm hầu hết các hoạt động của ngân hàng. Tuy nhiên, ở thời điểm hiện tại, hệ thống các văn bản, chính sách này cũng cần được rà soát và xây dựng lại một cách nhất quán và đồng bộ hơn, tránh tình trạng các văn bản cũ và mới đan xen, mang tính chắp vá và không phù hợp thực tiễn. Đây là yếu tố quan trọng giúp ngân hàng thực hiện quản lý rủi ro tác nghiệp một cách hiệu quả và khoa học.
2.3.2. Thực trạng quản lý rủi ro tác nghiệp tại Ngân hàng thương mại cổ phần Công Thương Việt Nam từ năm 2015 - 2019
2.3.2.1. Nội dung quản lý rủi ro tác nghiệp tại ngân hàng thương mại cổ phần Công Thương Việt Nam
a. Thực trạng tổ chức bộ máy quản lý rủi ro tác nghiệp
Mô hình tổ chức quản lý rủi ro tác nghiệp với sự tham gia của các Khối/Phòng/Ban tại Vietinbank có thể được mô tả như sau:
Hình 2.2. Cơ cấu tổ chức QLRRTN củaVietinbank
Đại hội đồng cổ đông
Ban kiểm soát
Phòng KTNB
Tuyến bảo vệ thứ ba
HĐQT
UBQLRR
TGĐ
Hội đồng rủi ro
PTGĐ/GĐ
Phòng QLRRTN
Phòng Quản lý tuân thủ
Tuyến bảo vệ thứ hai
Đơn vị TCS
đầu mối
Đơn vị TSC đầu mối
Chi nhánh
Tuyến bảo vệ thứ nhất
(Nguồn: Tác giả tự tổng hợp)
Trong đó:
Tuyến bảo vệ thứ nhất:
Bao gồm các Chi nhánh, Đơn vị Trụ sở chính đầu mối và Đơn vị Trụ sở chính liên quan nhằm triển khai thực hiện QLRRTN tại đơn vị bao gồm nhận dạng, đo lường, theo dõi, kiểm soát và báo cáo QLRRTN; đề xuất, thiết lập các BPKS/hành động giảm thiểu RRTN/triển khai các phương án khắc phục để xử lý các lỗ hổng về kiểm soát.
Chịu trách nhiệm chính về quản lý rủi ro tác nghiệp trong hoạt động kinh doanh.
Các đơn vị: Chi nhánh, Đơn vị TSC đầu mối và Đơn vị TSC liên quan.
Tuyến bảo vệ thứ hai:
Bao gồm Quản lý rủi ro hoạt động (tác nghiệp) và Phòng Quản lý tuân thủ. Trong đó, Phòng QLRRTN chịu trách nhiệm quản lý đối với 8 loại RRTN đặc thù, Phòng Quản lý tuân thủ chịu trách nhiệm quản lý với 4 loại RRTN đặc thù.
Chịu trách nhiệm cung cấp chính sách về rủi ro tác nghiệp, những tiêu chuẩn và hướng dẫn tối thiểu và đảm bảo những điều này được tuân thủ trong các hoạt động kinh doanh.
Phòng Quản lý rủi ro hoạt động (tác nghiệp) và Phòng Quản lý tuân thủ được hỗ bởi Hội đồng rủi ro tại cấp điều hành.
Tuyến bảo vệ thứ ba:
Tại Tuyến bảo vệ thứ 3, Vietinbank thành lập Ban kiểm soát với bộ phận Kiểm toán nội bộ trực thuộc. Chức năng của bộ phận Kiểm toán nội bộ với QLRRTN là kiểm tra, đánh giá độc lập tuân thủ, hiệu quả QLRRTN, đưa ra khuyến nghị, sửa đổi cần thiết để tăng tính hiệu quả của công tác QLRRTN.
Cung cấp sự đảm bảo độc lập đối với tính chính trực của mô hình rủi ro tác nghiệp.
Bao gồm Kiểm toán nội bộ, đơn vị chịu trách nhiệm kiểm tra độc lập và đưa ra các thách thức đối với hệ thống kiểm soát.
Mỗi bộ phận, đơn vị, Phòng/Ban trong cơ cấu tổ chức QLRRTN tại Vietinbank có một chức năng nhiệm vụ riêng, rõ ràng nhưng đều hoạt động dựa trên nguyên tắc QLRRTN thống nhất trong toàn hệ thống, xuất phát từ cơ sở chiến lược QLRRTN của HĐQT. Tuy nhiên, nhìn vào thực trạng những SKRRTN diễn ra gần đây tại Vietinbank và thiệt hại mà chúng gây ra, có thể nhận ra vẫn còn những lỗ hổng trong công tác QLRRTN nói chung và cơ cấu tổ chức QLRRTN nói riêng, đặc biệt là tại vòng bảo vệ thứ nhất, nơi mà ý thức của các cán bộ trực tiếp thực hiện QLRRTN của đơn vị mình thông qua các nghiệp vụ chuyên môn trong hoạt động kinh doanh chưa được đánh giá cao.
b. Thực trạng sử dụng công cụ quản lý rủi ro tác nghiệp của Vietinbank
Các công cụ đang được Vietinbank sử dụng bao gồm: Thu thập dữ liệu tổn thất (LDC); Tự đánh giá (RCSA); Các chỉ số rủi ro chính (KRIs); Quản lý kinh doanh liên tục (BCM); Kinh phí cho rủi ro tác nghiệp. Các công cụ này được sử dụng để đánh giá hiệu quả của quá trình thực hiện QLRRTN, NCS sẽ đi sâu phân
tích tình hình thực hiện các công cụ LDC, RCSA, KRIs, BCM và công cụ tính vốn rủi ro tại Vietinbank như sau:
Thứ nhất, công cụ Loss Data Collection - LDC
Thu thập dữ liệu tổn thất là bước đầu tiên trong quá trình QLRRTN của ngân hàng, là cơ sở để nhận diện rủi ro cũng như đo lường, đánh giá RRTN đồng thời là căn cứ tính vốn cho RRTN theo các phương pháp hiện đại.
Quy trình thu thập dữ liệu tổn thất tại Vietinbank được xây dựng bài bản và khá chặt chẽ, thông qua việc ban hành Quyết định số 368/2019/QĐ-TGĐ-NHCT7 ngày 25/10/2019 về việc Quy định quản lý SKRRTN. Theo đó, Phòng QLRRTN là đầu mối, phối hợp với Trung tâm CNTT xây dựng, triển khai sử dụng phần mềm để nhận dạng, thu thập thông tin tổn thất của các SKRRTN trong toàn hệ thống. Các chi nhánh, đơn vị của Trụ sở chính chủ động phát hiện, theo dõi và cập nhật thường xuyên danh mục SKRRTN theo lĩnh vực chính phụ trách trên Hồ sơ rủi ro (RP), phối hợp với Phòng QLRRTN và các đơn vị đầu mối của Trụ sở chính thực hiện đo lường, đánh giá, rà soát RRTN.
Các SKRRTN được thu thập và khai báo trong hệ thống với các thông tin rất chi tiết như mô tả, đơn vị, ngày xảy ra, ngày phát hiện, thuộc nghiệp vụ nào, nguyên nhân là gì, dữ liệu tổn thất, cách khắc phục… Các dữ liệu về tổn thất được kiểm soát bởi bộ phận kiểm soát của đơn vị và được phê duyệt bởi bộ phận đầu mối chuyên trách QLRRTN và Phòng QLRRTN.
Hình 2.3. Thu thập dữ liệu tổn thất (LDC)
(Nguồn: [40])
Dữ liệu tổn thất của các SKRRTN theo quy định của Vietinbank phải được thu thập đối với tất cả các sản phẩm, hoạt động kinh doanh quy định, quy trình nghiệp vụ, hệ thống CNTT và các hệ thống quản lý khác. Thu thập dữ liệu tổn thất của các SKRRTN phải thực hiện thông qua các yếu tố bên trong và bên ngoài ngân hàng và được phân loại theo: (i) Nghiệp vụ; (ii) Loại RRTN đặc thù theo quy định của Vietinbank; (iii) Các trường hợp RRTN theo quy định của NHNN.
Khi thu thập dữ liệu tổn thất của các SKRRTN, Vietinbank cũng quy định phải thực hiện đúng hạch toán ghi nhận tổn thất của SKRRTN, theo đó cần xác định các thông tin liên quan đến (i) Tổng giá trị tổn thất; (ii) Giá trị khôi phục; (iii) Giá trị tổn thất ròng; (iv) Ảnh hưởng phi tài chính liên quan trực tiếp tới SKRRTN.
Việc thu thập dữ liệu, tổng hợp đo lường tổn thất và báo cáo các SKRRTN tại Vietinbank được thực hiện định kỳ, hàng tuần, hàng tháng và hàng quý cũng như khi có phát sinh những SKRRTN bất thường. Các SKRRTN được thu thập và xây dựng thành các danh mục cụ thể trong từng thời kỳ. Có thể nói công cụ LDC được áp dụng hiệu quả, chi tiết tại Vietinbank, là công cụ hữu hiệu để lưu trữ dữ liệu, tạo nền tảng để ngân hàng đưa ra các giải pháp đảm bảo hiệu quả QLRRTN.
Thứ hai, công cụ Risk Control Self Assessment - RCSA:
Bên cạnh công cụ LDC, RCSA cũng là một công cụ hữu ích được Vietinbank áp dụng thường xuyên trong quy trình QLRRTN để xác định và đánh giá RRTN. Công tác RCSA được triển khai trên toàn bộ đơn vị kinh doanh tại Hội sở chính và Chi nhánh, việc triển khai RCSA liên tục được đổi mới và cập nhật thường xuyên với các phương pháp được lựa chọn là phỏng vấn các đơn vị tại Hội sở chính.
RCSA đã được áp dụng thực hiện hầu hết đối với các bộ phận như: Nhân sự, Tiền tệ kho quỹ, Thẻ, Ebanking, CNTT, Treasury…
Vietinbank đã ban hành quyết định về Quy trình tự đánh giá rủi ro tác nghiệp và biện pháp kiểm soát trong hệ thống Ngân hàng. Theo đó, nội dung thực hiện RCSA bao gồm các bước:
- Bước 1: Xác định luồng công việc thực hiện RCSA
- Bước 2: Lập kế hoạch thực hiện RCSA
- Bước 3: Phê duyệt kế hoạch thực hiện RCSA
Cũng theo quy định, khi thực hiện RCSA cần lựa chọn các luồng công việc và xác định thời gian dự kiến bắt đầu và kết thúc quá trình RCSA đối với mỗi luồng công việc được lựa chọn. Phó TGĐ/Giám đốc khối phụ trách mảng kinh doanh/nghiệp vụ phê duyệt kế hoạch thực hiện RCSA sau khi có sự thống nhất với Phòng QLRRTN. Phòng QLRRTN tổng hợp kế hoạch thực hiện RCSA toàn hàng và trình Giám đốc Khối QLRR và TGĐ phê duyệt. Các bước thực hiện RCSA được mô tả như Hình 2.5 dưới đây.
Hình 2.4. Quy trình thực hiện RCSA
Chuẩn bị
Thực hiện
Giám sát
Nhận diện RRTN
Đánh giá RR-Xác định và đánh giá hiệu quả BPKS
Kế hoạch hành động
Báo cáo
Đánh giá mức độ RR nội tại
Xác định BPKS
Đánh giá hiệu Xác định quả BPKS RR còn lại
-Lập kế hoạch RCSA
-Thống nhất mục tiêu luồng công việc
-Thu thập thông tin, tài liệu
-Thống nhất các đơn vị liên quan
-Xác định lưu đồ công việc
-Nhận diện RRTN
tiềm ẩn tại từng bước thực hiện công việc
1.Đánh giá mức độ RR nội tại
-Xếp hạng RR dựa trên khả năng xảy ra và mức độ ảnh hưởng của RR
-Lựa chọn các RRTN trọng yếu, xác định nguồn gốc phát sinh RRTN và phân loại RRTN
- Xác định đơn vị chịu rủi ro
2. Xác định BPKS
-Xác định các BPKS tương ứng với từng RRTN trọng yếu nhận diện
-Xác định đơn vị thiết kế BKS và đơn vị thực hiện 3.Đánh giá hiệu quả BPKS
-Đánh giá hiệu quả của BPKS dựa trên thiết kế và thực hiện
4.Xác định mức độ RR còn lại
-Xếp hạng RR còn lại sau khi đã đánh giá hiệu quả của BPKS
Đề xuất các kế hoạch hoạt động
Báo cáo các danh mục RRTN,
bản đồ RRTN,
xu hướng và kế hoạch hành động
-Điều chỉnh danh mục RRTN
dựa trên LDC, KRI.
-Đánh giá lại hiệu quả BPKS
-Giám sát thực hiện phương án hành động
(Nguồn: [40])