NGUYỄN TRẦN THU HÀ
ỨNG DỤNG TIÊU CHUẨN ISO 31000:2009
VÀO QUẢN TRỊ RỦI RO TÁC NGHIỆP TẠI
NGÂN HÀNG LIÊN DOANH VIỆT THÁI
LUẬN VĂN THẠC SỸ KINH TẾ
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC KINH TẾ TP. HỒ CHÍ MINH
THÀNH PHỐ HỒ CHÍ MINH - NĂM 2013
NGUYỄN TRẦN THU HÀ
ỨNG DỤNG TIÊU CHUẨN ISO 31000:2009
VÀO QUẢN TRỊ RỦI RO TÁC NGHIỆP TẠI
NGÂN HÀNG LIÊN DOANH VIỆT THÁI
Chuyên ngành: Quản trị kinh doanh
Mã số: 60340102
LUẬN VĂN THẠC SỸ KINH TẾ
NGƯỜI HƯỚNG DẪN KHOA HỌC:
TS. NGÔ QUANG HUÂN
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC KINH TẾ TP. HỒ CHÍ MINH
THÀNH PHỐ HỒ CHÍ MINH - NĂM 2013
LỜI CAM ĐOAN
Tôi xin cam đoan rằng đây là công trình nghiên cứu của tôi, có sự hỗ trợ từ Thầy
hướng dẫn là TS. Ngô Quang Huân, các nội dung nghiên cứu và kết quả trong đề tài
này là trung thực và chưa từng được ai công bố trong bất cứ công trình nào. Những
số liệu trong các bảng biểu phục vụ cho việc phân tích, nhận xét, đánh giá được thu
thập từ các nguồn khác nhau có ghi trong phần tài liệu tham khảo. Nếu phát hiện có
bất kỳ sự gian lận nào, tôi xin hoàn toàn chịu trách nhiệm trước Hội đồng, cũng như
kết quả luận văn của mình.
TP. Hồ Chí Minh, ngày 20 tháng 10 năm 2013
Trân trọng
Nguyễn Trần Thu Hà
MỤC LỤC
TRANG PHỤ BÌA
LỜI CAM ĐOAN
MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT
DANH MỤC HÌNH VẼ, BIỂU ĐỒ VÀ BẢNG BIỂU
PHẦN MỞ ĐẦU
CHƯƠNG 1: LÝ THUYẾT VỀ QUẢN TRỊ RỦI RO TÁC NGHIỆPVÀ TIÊU
CHUẨN ISO 31000:2009 1
1.1. Rủi ro tác nghiệp 1
1.1.1. Khái niệm về rủi ro tác nghiệp 1
1.1.2. Phân loạirủi ro tác nghiệp 1
1.1.3. Hậu quả của rủi ro tác nghiệp 2
1.2. Quản trị rủi ro tác nghiệp 2
1.2.1. Khái niệm quản trị rủi ro tác nghiệp 2
1.2.2. Mục tiêu của quản trị rủi ro tác nghiệp 3
1.2.3. Nhận diện rủi ro tác nghiệp 3
1.2.4. Đo lường rủi ro tác nghiệp 4
1.2.5. Phòng ngừa và giảm nhẹ rủi ro tác nghiệp 5
1.3. Tiêu chuẩn ISO 31000:2009 5
1.3.1. Đối tượng áp dụng 5
1.3.2. Phạm vi 6
1.3.3. Cácnguyên tắc 6
1.3.4. Khung quản trị rủi ro 7
1.3.5. Thực hiện quản trị rủi ro 11
1.3.6. Giám sát và xem xét khung quản trị 11
1.3.7. Cải tiến liên tục khung quản trị 11
1.4. Quy trình quản trị rủi ro 12
1.4.1. Tổng quan 12
1.4.2. Truyền đạt thông tin và tham vấn 12
1.4.3. Thiết lập bối cảnh 13
1.4.4. Đánh giá rủi ro 14
1.4.5. Xử lý rủi ro 16
1.4.6. Giám sát và đánh giá 17
1.4.7. Ghi chép lại quy trình quản trị rủi ro 17
1.5. Kinh nghiệm quản trị RRTN của một số NHTM trên thế giới và một số NHTM
tại Việt Nam. Ưu điểm của tiêu chuẩn ISO 31000:2009 khi ứng dụng vào quản trị
RRTN. 18
1.5.1. Kinh nghiệm quản trị RRTN của một số NHTM trên thế giới và một số
NHTM tại Việt Nam 18
1.5.2. Ưu điểm của tiêu chuẩn ISO 31000:2009 khi ứng dụng vào quản trị RRTN
19
CHƯƠNG 2: THỰC TRẠNG QUẢN TRỊ RỦI RO TÁC NGHIỆPTẠI NHLD
VIỆT THÁI 21
2.1. Sơ lược quá trình hình thành và phát triển của NHLD Việt Thái 21
2.1.1. Sơ lược quá trình hình thành và phát triển 21
2.1.2. Cơ cấu tổ chức và bộ máy điều hành 22
2.2. Khái quát hoạt động kinh doanh của VSB giai đoạn 2008-2012 23
2.2.1. Huy động vốn 23
2.2.2. Tín dụng 23
2.2.3. Thanh toán quốc tế 24
2.2.4. Các dịch vụ khác 25
2.3. Phân tích thực trạng RRTN tại VSB 25
2.3.1. Rủi ro từ bên trong nội bộ ngân hàng 25
2.3.2. Rủi ro do tác động bên ngoài 32
2.4. Phân tích thực trạng quản trị RRTN tại NHLD Việt Thái 33
2.4.1. Vai trò và nhiệm vụ chính của Ban quản trị rủi ro 33
2.4.2. Bộ quy tắc đạo đức nghề nghiệp 35
2.5. Cơ sở cho việc ứng dụng tiêu chuẩn ISO 31000:2009 trong công tác quản trị
RRTN tại NHLD Việt Thái 38
2.5.1. Cơ sở pháp lý cho việc ứng dụng tiêu chuẩn ISO 31000:2009 trong công tác
quản trị RRTN tại NHLD Việt Thái 38
2.5.2. Điều kiện để ứng dụng tiêu chuẩn ISO 31000:2009 trong công tác quản trị
RRTN tại NHLD Việt Thái 39
CHƯƠNG 3: ỨNG DỤNG TIÊU CHUẨN ISO 31000:2009 VÀO QUẢN TRỊ
RỦI RO TÁC NGHIỆP VÀ XÂY DỰNG CÁC GIẢI PHÁP TẠI NHLD VIỆT
THÁI 42
3.1. Phân tích động cơ thúc đẩy việc ứng dụng tiêu chuẩn ISO 31000:2009 vào công
tác quản trị rủi ro tác nghiệp tại VSB 42
3.2. Phân tích rào cản và thử thách khi thực hiện quản trị rủi ro tác nghiệp theo hướng
dẫn của tiêu chuẩn ISO 31000:2009 47
3.2.1. Những rào cản khi thực hiện quản trị rủi ro tác nghiệp theo hướng dẫn của
tiêu chuẩn ISO 31000:2009 48
3.2.2. Những thách thức khi thực hiện quản trị rủi ro tác nghiệp theo hướng dẫn của
tiêu chuẩn ISO 31000:2009 56
3.3. Kết quả mong đợi của NHLD Việt Thái khi áp dụng tiêu chuẩn ISO 31000:2009
thành công 60
3.4. Định hướng về công tác quản trị rủi ro tác nghiệp theo hướng dẫn của tiêu chuẩn
ISO 31000:2009 tại NHLD Việt Thái 62
3.4.1. Xây dựng kênh thông tin cho hệ thống 62
3.4.2. Nhận diện các rủi ro tác nghiệp phát sinh trong hoạt động của NHLD Việt
Thái 63
3.4.3. Phân tích các rủi ro tác nghiệp 64
3.4.4. Đánh giá rủi ro 66
3.4.5. Xử lý rủi ro 67
3.5. Giải pháp nâng cao khả năng ứng dụng tiêu chuẩn ISO 31000:2009 tại NHLD
Việt Thái 68
3.5.1. Giải pháp về tổ chức bộ máy quản trị RRTN 71
3.5.2. Giải pháp về quy trình nghiệp vụ tác nghiệp 71
3.5.3. Củng cố và hoàn thiện hệ thống thông tin tác nghiệp 71
3.5.4. Chú trọng việc đào tạo cán bộ 72
3.5.5. Hoàn thiện công tác kiểm tra giám sát 73
3.5.6. Giải pháp khác 73
3.6. Kiến nghị, đề xuất 74
3.6.1. Kiến nghị, đề xuất với Chính phủ, Bộ ngành có liên quan 74
3.6.2. Đối với Ngân hàng Nhà nước 74
KẾT LUẬN 76
TÀI LIỆU THAM KHẢO
PHỤ LỤC
DANH MỤC CÁC TỪ VIẾT TẮT
CBNV
CBTD
Cán bộ nhân viên
Cán bộ tín dụng
CNTT
CP
Công nghệ thông tin
Tập đoàn Charoen Pokphand
ISO
International Organization for Standardization - Tổ chức
Quốc tế về tiêu chuẩn hoá
L/C
NHLD
Thư tín dụng
Ngân hàng Liên doanh
NHNN
Ngân hàng nhà nước
NHTM
NHTMCP
Ngân hàng thương mại
Ngân hàng thương mại Cổ phần
RRTN
SCB
Rủi ro tác nghiệp
NHTM Siam
TCTD
Tổ chức tín dụng
TSĐB
Tài sản đảm bảo
VSB
Vinasiam Bank - Ngân hàng Liên doanh Việt Thái
DANH MỤC HÌNH VẼ, BIỂU ĐỒ VÀ BẢNG BIỂU
A. HÌNH VẼ, BIỂU ĐỒ
Hình 1.1 Mối quan hệ giữa các thành phần của khung quản trị rủi ro 8
Hình 1.2 Quy trình quản trị rủi ro 12
Hình 2.1: Sơ đồ tổ chức hệ thống VSB 23
Hình 3.1: Kết quả đánh giá các động cơ thúc đẩy của CBNV VSB đối với tiêu chuẩn
ISO 31000:2009 48
Hình 3.2: Kết quả đánh giá các rào cản của CBNV VSB đối với tiêu chuẩn ISO
31000:2009 56
Hình 3.3: Kết quả đánh giá các thách thức của CBNV VSB đối với tiêu chuẩn ISO
31000:2009 60
Hình 3.4: Chính sách đối phó rủi ro 69
B. BẢNG BIỂU
Bảng 2.1: Tốc độ tăng trưởng nguồn vốn huy động giai đoạn 2008-2012 24
Bảng 2.2: Tốc độ tăng trưởng dư nợ cho vay giai đoạn năm 2008-2012 24
Bảng 2.3: Dịch vụ thanh toán quốc tế của VSB giai đoạn năm 2009-2012 25
Bảng 3.1: Đánh giá các động cơ thúc đẩy của CBNV VSB đối với tiêu chuẩn ISO
31000:2009 43
Bảng 3.2: Đánh giá các rào cản của CBNV VSB đối với tiêu chuẩn ISO 31000:2009
49
Bảng 3.3: Đánh giá các thách thức của CBNV VSB đối với tiêu chuẩn ISO
31000:2009 57
Bảng 3.4: Đánh giá kết quả mong đợi của CBNV VSB đối với tiêu chuẩn ISO
31000:2009 61
Bảng 3.5: Đánh giá các giải pháp của CBNV VSB để nâng cao khả năng ứng dụng
tiêu chuẩn ISO 31000:2009 70
PHẦN MỞ ĐẦU
1. Tính cấp thiết của đề tài:
Quản trị RRTN là một nghiệp vụ không còn xa lạ đối với các nước tiên tiến
nhưng lại rất mới mẻ với hệ thống ngân hàng Việt Nam nói chung và VSB nói riêng.
Thực hiện tốt quản trị RRTN sẽ đem lại rất nhiều lợi ích cho ngân hàng như hạn chế,
giảm thiểu các chi phí, tổn thất có thể xảy ra từ hoạt động tác nghiệp, giảm vốn dành
cho RRTN, tăng thêm nguồn vốn đưa vào hoạt động kinh doanh, bảo vệ uy tín của
ngân hàng, đạt mục tiêu hoạt động kinh doanh. Trong xu thế phát triển của thời đại
hiện nay, RRTN tiếp tục tăng lên do môi trường kinh doanh phức tạp hơn, hành vi
trái pháp luật tăng lên, hội nhập quốc tế ngày một tăng, áp lực công việc, đòi hỏi kết
quả cao hơn, đòi hỏi lòng trung thành của nhân viên và sự quan tâm của các nhà lãnh
đạo nhiều hơn, sự phụ thuộc vào công nghệ nhiều hơn, tốc độ và khối lượng giao dịch
tăng hơn. Tuy nhiên, trong thời gian dài vừa qua, nhiều NHTM trong nước chủ yếu
quan tâm đến rủi ro tín dụng, sau đó là rủi ro thị trường, trong khi chưa mấy quan tâm
đến RRTN. Những lý do trên cho thấy việc quản trị RRTN càng trở nên cấp thiết đối
với xu thế phát triển ngày nay của các NHTM ở Việt Nam. Yếu tố then chốt là quản
trị RRTN bằng cách nào cho hiệu quả? Tiêu chuẩn ISO 31000:2009 có những hướng
dẫn thật hữu ích cho việc quản trị rủi ro. Để nghiên cứu sâu hơn cũng như đưa ra lời
giải đáp cho vấn đề này, tôi đã chọn đề tài để nghiên cứu là “Ứng dụng tiêu chuẩn
ISO 31000:2009 vào quản trị rủi ro tác nghiệp tại ngân hàng Liên doanh Việt Thái”
nhằm vận dụng hướng dẫn từ tiêu chuẩn ISO 31000:2009 để kiểm soát RRTN tại
ngân hàng.
2. Mục tiêu nghiên cứu và câu hỏi nghiên cứu:
Mục tiêu nghiên cứu
Mục tiêu chính: Ứng dụng các hướng dẫn của tiêu chuẩn ISO 31000:2009
vào quản trị RRTN tại VSB.
Mục tiêu cụ thể:
- Phân tích cơ sở lý luận về RRTN trong hoạt động ngân hàng.
- Phân tích cơ sở lý luận về quản trị RRTN của ngân hàng.
- Phân tích một số vấn đề cơ bản về RRTN trong giao dịch nội bộ của ngân
hàng như giao dịch Kế toán, Tín dụng, Thanh toán quốc tế, Kho quỹ
- Phân tích các động cơ, rào cản, thách thức và cơ hội cùng các giải pháp để
nâng cao khả năng ứng dụng tiêu chuẩn ISO 31000:2009 vào công tác quản trị RRTN
tại ngân hàng.
Câu hỏi nghiên cứu:
Ứng dụng tiêu chuẩn ISO 31000:2009 vào quản trị RRTN tại NHLD Việt Thái
như thế nào?
3. Đối tượng và phạm vi nghiên cứu:
Đối tượng nghiên cứu:
Hoạt động tác nghiệp và việc ứng dụng tiêu chuẩn ISO 31000:2009 vào quản
trị RRTN tại NHLD Việt Thái.
Phạm vi nghiên cứu:
NHLD Việt Thái trong giai đoạn năm 2008-2012.
4. Phương pháp và quy trình nghiên cứu:
Phương pháp nghiên cứu:
Luận văn sử dụng phương pháp nghiên cứu định tính. Phương pháp nghiên
cứu định tính được sử dụng trong phỏng vấn thu thập ý kiến của các cấp quản lý, các
cán bộ tác nghiệp về động cơ thúc đẩy việc ứng dụng tiêu chuẩn ISO 31000:2009
vào quản trị RRTN, những rào cản và thách thức khi thực hiện quản trị RRTN theo
hướng dẫn của tiêu chuẩn ISO 31000:2009, kết quả mong đợi của NHLD Việt Thái
khi áp dụng tiêu chuẩn ISO 31000:2009 thành công cũng như giải pháp để nâng cao
khả năng ứng dụng tiêu chuẩn này.
Phương pháp thu thập và xử lý thông tin:
- Chương 1: Sử dụng phương pháp nghiên cứu tài liệu, tham khảo các giáo
trình, sách tham khảo để tìm các lý thuyết liên quan.
- Chương 2: Sử dụng phương pháp nghiên cứu tài liệu, dựa trên số liệu, thông
tin thu thập được từ đối tượng nghiên cứu để phân tích.
- Chương 3: Sử dụng phương pháp phi thực nghiệm bằng cách:
+ Phỏng vấn Ban lãnh đạo và các CBNV tác nghiệp tại ngân hàng.
+ Thiết lập bảng câu hỏi và gửi phiếu điều tra để thu thập thông tin liên
quan làm cơ sở cho việc phân tích thống kê.
Quy trình nghiên cứu:
- Xác định vấn đề nghiên cứu: khả năng ứng dụng tiêu chuẩn ISO 31000:2009
vào quản trị RRTN tại ngân hàng.
- Tìm hiểu các khái niệm, lý thuyết và các nghiên cứu liên quan.
- Xây dựng câu hỏi nghiên cứu.
- Xây dựng đề cương nghiên cứu.
- Thu thập dữ liệu.
- Phân tích dữ liệu.
- Giải thích kết quả và viết báo cáo cuối cùng.
5. Cấu trúc luận văn:
Ngoài phần mở đầu, kết luận, luận văn gồm 3 chương; cụ thể:
Chương 1: Lý thuyết về quản trị RRTN và tiêu chuẩn ISO 31000:2009.
Chương 2: Thực trạng quản trị RRTN tại NHLD Việt Thái.
Chương 3: Ứng dụng tiêu chuẩn ISO 31000:2009 vào quản trị RRTN và xây
dựng các giải pháp tại NHLD Việt Thái.
1
CHƯƠNG 1: LÝ THUYẾT VỀ QUẢN TRỊ RỦI RO TÁC NGHIỆP
VÀ TIÊU CHUẨN ISO 31000:2009
1.1. Rủi ro tác nghiệp
1.1.1. Khái niệm về rủi ro tác nghiệp
Rủi ro tác nghiệp (RRTN) là nguy cơ xảy ra tổn thất trực tiếp hay gián tiếp do
các quy trình, con người và hệ thống nội bộ không đạt yêu cầu hoặc thất bại hay do
các sự kiện bên ngoài.
1.1.2. Phân loại rủi ro tác nghiệp
1.1.2.1. Rủi ro từ bên trong nội bộ ngân hàng
Rủi ro do cán bộ nhân viên ngân hàng gây nên: là việc cán bộ nhân viên ngân
hàng thực hiện các nghiệp vụ, nhiệm vụ không được ủy quyền hoặc phê duyệt vượt
quá thẩm quyền cho phép, không tuân thủ các quy định, quy trình nghiệp vụ của ngân
hàng, NHNN và các văn bản pháp luật hiện hành, không chấp hành nội quy cơ quan,
hợp đồng lao động và các văn bản pháp luật đối với người lao động.
Rủi ro do các quy định, quy trình nghiệp vụ: Rủi ro xảy ra khi quy trình nghiệp
vụ có nhiều điểm bất cập, chưa hoàn chỉnh tạo kẽ hở cho kẻ xấu lợi dụng gây thiệt
hại cho ngân hàng.
Rủi ro từ hệ thống hỗ trợ:
- Rủi ro từ hệ thống CNTT: Do dữ liệu không đầy đủ hoặc hệ thống bảo
mật thông tin không an toàn hay do thiết kế hệ thống không phù hợp, chương trình
hệ thống lỗi thời không hợp lý, sự gián đoạn của hệ thống hoặc do các phần mềm,
các chương trình hỗ trợ cài đặt trong hệ thống lỗi thời, hỏng hóc, không hoạt động.
- Rủi ro từ các hệ thống hỗ trợ khác: Do việc chỉ đạo, hướng dẫn và hỗ
trợ chưa kịp thời, chưa hiệu quả hoặc chồng chéo gây khó khăn, ách tắc cho bộ phận
nghiệp vụ hoặc do cơ chế, quy chế quản lý về công tác hỗ trợ chưa phù hợp, chưa đáp
ứng các yêu cầu hỗ trợ cho bộ phận nghiệp vụ.
1.1.2.2. Rủi ro do tác động bên ngoài
2
Rủi ro do hành vi lừa đảo, trộm cắp hoặc phạm tội của các đối tượng bên ngoài
ngân hàng.
Rủi ro do các sự kiện bên ngoài hoặc do tự nhiên (động đất, lũ lụt, bão ) gây
gián đoạn, thiệt hại cho hoạt động kinh doanh của ngân hàng.
Rủi ro do các văn bản, quy định của chính phủ, các ban ngành liên quan có sự
thay đổi hoặc có những quy định mới làm ảnh hưởng đến hoạt động kinh doanh của
ngân hàng.
1.1.3. Hậu quả của rủi ro tác nghiệp
Đối với hoạt động Marketing và bán hàng: Ngân hàng rơi vào tình trạng đưa ra
các sản phẩm mới mà không đảm bảo cơ sở hạ tầng phù hợp do không áp dụng đúng
các thủ tục phê duyệt sản phẩm mới.
Đối với hoạt động thanh toán: Không thanh toán được theo yêu cầu của khách
hàng hoặc thanh toán nhầm đối tượng thụ hưởng.
Đối với lĩnh vực CNTT: Mất kiểm soát hệ thống hoặc hệ thống cơ sở dữ liệu
ngừng hoạt động.
Đối với hoạt động tài chính: Định giá tài sản sai, các báo cáo lãi lỗ không hoàn
chỉnh, các khoản mục kế toán không được đối chiếu.
Đối với hoạt động quản lý nhân sự: Hành vi vi phạm pháp luật trong vấn đề kết
thúc hợp đồng lao động
Đối với uy tín của ngân hàng: Đối xử với khách hàng không tốt dẫn tới mất
khách hàng hoặc danh tiếng không tốt về ngân hàng.
1.2. Quản trị rủi ro tác nghiệp
1.2.1. Khái niệm quản trị rủi ro tác nghiệp
Quản trị RRTN là quá trình TCTD tiến hành các hoạt động tác động đến RRTN,
bao gồm việc thiết lập cơ cấu tổ chức, xây dựng hệ thống các chính sách, phương
pháp quản trị RRTN để thực hiện quá trình quản trị rủi ro đó là xác định, đo lường,
đánh giá, quản lý, giám sát và kiểm tra kiểm soát RRTN nhằm bảo đảm hạn chế tới
mức thấp nhất rủi ro xảy ra.
3
1.2.2. Mục tiêu của quản trị rủi ro tác nghiệp
Tìm hiểu mức độ RRTN của hệ thống, của tổ chức, tìm nguyên nhân dẫn đến rủi
ro, phân phối nguồn lực hỗ trợ và xác định các khuynh hướng bên ngoài cũng như
bên trong giúp dự báo được rủi ro để có giải pháp phòng ngừa, hạn chế, giảm thiểu
các chi phí, tổn thất có thể xảy ra từ hoạt động tác nghiệp.
Giúp ngân hàng ngăn ngừa sự gian lận, giảm thiểu sai sót trong quá trình giao
dịch, duy trì tính chính trực của quyền kiểm soát nội bộ. Nhờ đó cũng giảm vốn dành
cho RRTN, tăng thêm nguồn vốn đưa vào hoạt động kinh doanh và bảo vệ uy tín của
ngân hàng, đạt mục tiêu hoạt động kinh doanh an toàn, hiệu quả.
1.2.3. Nhận diện rủi ro tác nghiệp
Nhóm dấu hiệu liên quan đến mô hình tổ chức, cán bộ và an toàn nơi
làm việc
Rà soát, đánh giá thường xuyên về mô hình tổ chức bộ máy, cơ cấu các bộ phận
nghiệp vụ của ngân hàng.
Rà soát, đánh giá công tác tuyển dụng, bổ nhiệm cán bộ, phân tích nguyên nhân
cán bộ bỏ việc, chấm dứt hợp đồng lao động, đánh giá việc thực hiện các quy định
hay thỏa ước lao động, sức khỏe và an toàn lao động.
Thu thập, đánh giá cán bộ về trình độ học vấn, chuyên ngành đào tạo, kinh
nghiệm làm việc, kết quả thực hiện công việc, tuân thủ chấp hành các quy định.
Nhóm dấu hiệu liên quan đến chính sách, quy định nội bộ
Quy định chưa đầy đủ, chưa chặt chẽ, chưa cụ thể, có kẽ hở tạo điều kiện cho
kẻ xấu lợi dụng, gây tổn thất cho ngân hàng.
Những văn bản, quy định có sự chồng chéo, hoặc không thể thực hiện, những
bất hợp lý gây khó khăn cho người thực hiện hay những văn bản, quy định có nội
dung chưa đúng với quy định của pháp luật hiện hành.
Nhóm dấu hiệu liên quan đến gian lận nội bộ
Cán bộ tự thực hiện hoặc cấu kết với khách hàng để thực hiện những hoạt động
phạm pháp nhằm mục đích chiếm đoạt tài sản, hủy hoại uy tín của ngân hàng.
4
Nhóm dấu hiệu liên quan đến gian lận bên ngoài
Các hành động có ý định gian lận, lừa đảo của khách hàng hoặc các đối tượng
bên ngoài khác.
Nhóm dấu hiệu liên quan đến quá trình xử lý công việc
Các lỗi, sai sót phát sinh trong quá trình xử lý công việc của tất cả các bộ phận.
Nhóm dấu hiệu liên quan đến hệ thống CNTT
Việc ngân hàng theo dõi sự hoạt động của hệ thống, thống kê đầy đủ các lỗi, sai
sót, các sự cố của hệ thống CNTT làm ảnh hưởng đến hoạt động của ngân hàng.
Nhóm dấu hiệu liên quan đến thiệt hại tài sản
Việc ngân hàng xem xét, đánh giá khả năng xảy ra các rủi ro như: phá hoại,
khủng bố, thiên tai, động đất, bão lũ, hỏa hoạn
1.2.4. Đo lường rủi ro tác nghiệp
Có hai phương pháp đo lường thường được sử dụng là phương pháp định tính
và phương pháp định lượng.
- Phương pháp định tính: Là việc phân tích đánh giá, nhận xét chủ quan của
mỗi NHTM về mức độ, tính nghiêm trọng của các dấu hiệu rủi ro đã được xác định.
Phương pháp định tính được sử dụng để đo lường các rủi ro liên quan đến mô hình tổ
chức cán bộ và an toàn nơi làm việc, liên quan đến chính sách và các quy trình nội
bộ.
- Phương pháp định lượng: Là việc đánh giá bằng số liệu cụ thể về mức độ rủi
ro (xác suất xảy ra), tổn thất cụ thể của từng loại dấu hiệu rủi ro đã được xác định.
Phương pháp này chủ yếu dựa vào số liệu thống kê của ngân hàng và được sử dụng
để đo lường RRTN liên quan đến các lĩnh vực như hệ thống thông tin, các gian lận
nội bộ hoặc bên ngoài.
1.2.5. Phòng ngừa và giảm nhẹ rủi ro tác nghiệp
1.2.5.1. Xây dựng và thực hiện kế hoạch phòng ngừa rủi ro tác nghiệp
Nội dung của phương án phòng ngừa, giảm thiểu RRTN bao gồm:
- Ban hành, sửa đổi, bổ sung chính sách, quy trình nghiệp vụ phù hợp.
5
- Tăng cường kiểm tra, kiểm soát chặt chẽ việc tuân thủ.
- Kế hoạch đào tạo, tập huấn nghiệp vụ cho cán bộ.
- Kế hoạch sửa chữa, khắc phục sai sót.
- Các hành động phòng tránh rủi ro hoặc dừng hoạt động có thể gây ra rủi ro.
- Rà soát, chỉnh sửa, ban hành bổ sung các chế tài xử lý đối với các hành vi vi
phạm trong quá trình tác nghiệp.
- Mua bảo hiểm hoặc thực hiện các biện pháp khác để giảm thiểu rủi ro.
- Kế hoạch phân bổ vốn để phòng ngừa RRTN.
1.2.5.2. Báo cáo rủi ro tác nghiệp
Ban điều hành quản trị RRTN phải đảm bảo rằng các thông tin quản trị rủi ro sẽ
được thể hiện bằng hệ thống các báo cáo, được lập một cách kịp thời bởi những người
có trách nhiệm. Nội dung báo cáo gồm các thông tin sau: RRTN nghiêm trọng gặp
phải; những sự cố và hậu quả rủi ro cùng với những dự tính để khắc phục; sự hiệu
quả của những hành động được đề ra; các chi tiết của kế hoạch hình thành chuẩn bị
để ghi nhận bất kỳ rủi ro nào khi phát sinh; các khu vực áp lực, nơi thể hiện RRTN
sắp xảy ra và từng bước kiểm soát RRTN.
1.2.5.3. Kiểm soát rủi ro tác nghiệp
Mục tiêu của kiểm soát RRTN nhằm:
- Phát hiện sớm các rủi ro chưa được phát hiện, chưa được kiểm soát.
- Đánh giá tốt hơn khả năng chấp nhận rủi ro đã được phát hiện.
- Xây dựng các biện pháp kiểm soát thay thế có hiệu quả hơn đối với các rủi ro
không thể chấp nhận.
- Triển khai sớm hơn và tốt hơn các hành động nhằm giảm nhẹ rủi ro và các
biện pháp để tránh tổn thất.
1.3. Tiêu chuẩn ISO 31000:2009
1.3.1. Đối tượng áp dụng
Những người chịu trách nhiệm cho việc phát triển chính sách quản trị rủi ro
trong tổ chức;
6
Những người cần đánh giá hiệu quả quản trị rủi ro trong tổ chức.
1.3.2. Phạm vi
- Tiêu chuẩn này có thể được sử dụng bởi bất kỳ doanh nghiệp nhà nước, tư
nhân hay cộng đồng, hiệp hội, nhóm hoặc cá nhân nào. Vì vậy, tiêu chuẩn này không
cụ thể cho bất kỳ ngành công nghiệp hoặc khu vực nào. Tiêu chuẩn này có thể được
áp dụng trong suốt thời gian tồn tại của một tổ chức.
- Mặc dù tiêu chuẩn này cung cấp các hướng dẫn tổng quát nhưng không có
nghĩa là đều thống nhất chung cho các tổ chức khác nhau. Việc thiết kế và thực hiện
các kế hoạch quản trị rủi ro cần phải làm rõ các nhu cầu khác nhau của một tổ chức
cụ thể, mục tiêu cụ thể của tổ chức đó cũng như bối cảnh, cấu trúc, hoạt động, quy
trình, chức năng, các dự án, sản phẩm, dịch vụ, tài sản cho đến từng hướng dẫn thực
tiễn cụ thể.
1.3.3. Các nguyên tắc
a/ Quản trị rủi ro tạo ra và bảo vệ giá trị
Quản trị rủi ro góp phần đạt được các mục tiêu của tổ chức, cải thiện sức khỏe
và an toàn của con người, sự tuân thủ pháp luật và quy định, sự tin tưởng của cộng
đồng, bảo vệ môi trường, chất lượng sản phẩm, quản lý dự án, hiệu quả trong hoạt
động.
b/ Quản trị rủi ro là một phần không thể tách rời của toàn bộ quy trình tổ chức
Quản trị rủi ro không phải là một hoạt động đơn lẻ, không tách rời với quy trình
hoạt động chính của tổ chức bao gồm các kế hoạch chiến lược cũng như các tiến trình
quản lý.
c/ Quản trị rủi ro là một phần của quá trình ra quyết định
Quản trị rủi ro giúp người ra quyết định có đầy đủ thông tin cho những lựa chọn,
hành động cần ưu tiên cũng như cho ra quyết định cuối cùng.
d/ Quản trị rủi ro chỉ ra những gì không chắc chắn
Quản trị rủi ro là lượng hóa những cái mà bản chất là không chắc chắn.
e/ Quản trị rủi ro có hệ thống, có tổ chức và kịp thời
7
Một cách tiếp cận quản trị rủi ro có hệ thống, có tổ chức và kịp thời góp phần
nâng cao hiệu suất, tính nhất quán, làm cho kết quả đáng tin cậy.
f/ Quản trị rủi ro dựa trên các thông tin có giá trị nhất
Các yếu tố đầu vào cho quá trình quản trị rủi ro được dựa trên các nguồn thông
tin như dữ liệu lịch sử, kinh nghiệm, thông tin phản hồi của các bên liên quan, sự
quan sát, những dự báo và phán đoán của chuyên gia.
g/ Quản trị rủi ro được thiết kế riêng
Quản trị rủi ro được đồng chỉnh theo bối cảnh bên trong và bên ngoài cũng như
tiểu sử rủi ro của tổ chức.
h/ Quản trị rủi ro xem xét các nhân tố con người và văn hóa
Quản trị rủi ro nhận ra năng lực, nhận thức và định hướng của những người bên
trong và bên ngoài tổ chức mà có thể tạo điều kiện thuận lợi hoặc cản trở việc hoàn
thành các mục tiêu của tổ chức.
i/ Quản trị rủi ro là minh bạch và toàn diện
Nếu sự liên kết giữa các bên hữu quan và những người ra quyết định trong tổ
chức phù hợp và kịp thời thì việc quản trị rủi ro sẽ có hiệu quả. Sự liên kết cũng cho
phép người đại diện của các bên hữu quan thể hiện được quan điểm của họ trong việc
quyết định các tiêu chuẩn rủi ro.
j/ Quản trị rủi ro năng động, lặp đi lặp lại và sẵn sàng đáp ứng sự thay đổi
Khi các sự kiện bên trong và bên ngoài xuất hiện, bối cảnh và nhận thức thay
đổi, những rủi ro mới xuất hiện. Khi ấy, quản trị rủi ro được nhận thức và phản ứng
lại những thay đổi một cách liên tục.
k/ Quản trị rủi ro tạo ra cải tiến liên tục của tổ chức
Tổ chức cần xây dựng và thực hiện chiến lược để cải thiện việc quản trị rủi ro
song song với tất cả các khía cạnh khác của tổ chức.
1.3.4. Khung quản trị rủi ro
1.3.4.1. Tổng quan
8
Sự thành công của quản trị rủi ro phụ thuộc vào hiệu quả của khung quản trị.
Khung quản trị hỗ trợ việc quản trị rủi ro hiệu quả thông qua việc áp dụng các quá
trình quản trị rủi ro ở các cấp độ khác nhau và trong bối cảnh cụ thể của tổ chức.
Khung quản trị đảm bảo rằng thông tin về rủi ro phải được báo cáo đầy đủ, được sử
dụng như một cơ sở cho việc ra quyết định. Khung quản trị dùng để hỗ trợ tổ chức
tích hợp quản trị rủi ro vào hệ thống quản lý tổng thể.
Hình 1.1 Mối quan hệ giữa các thành phần của khung quản trị rủi ro
“Nguồn: Tiêu chuẩn ISO 31000:2009” [7]
1.3.4.2. Sự ủy thác và trách nhiệm
Để đảm bảo tổ chức vận hành hiệu quả, đòi hỏi duy trì liên tục những cam kết
của Ban quản trị tổ chức, cũng như việc lập kế hoạch chiến lược và sự chịu trách
nhiệm ở các cấp độ tổ chức. Khi ấy, người quản lý phải:
Xác định rõ chính sách quản trị rủi ro;
Đảm bảo văn hóa của tổ chức và chính sách quản trị rủi ro được đồng bộ điều
chỉnh;
Sắp xếp mục tiêu quản trị rủi ro ngang bằng với mục tiêu và chiến lược của
tổ chức;
Đảm bảo tính hợp pháp và làm đúng theo các văn bản pháp luật;
Phân công trách nhiệm thích hợp cho các cấp độ trong tổ chức;
Đảm bảo các nguồn lực cần thiết được phân bố để quản trị rủi ro;
Nhiệm vụ và
cam kết
THIẾT KẾ KHUNG QUẢN TRỊ RỦI RO
-
Hiểu về tổ chức và tình hình hoạt động của nó
-
Thiết kế chính sách quản trị rủi ro
-
Phạm vi trách nhiệm
-
Hợp nhất vào các quá trình của tổ chức
-
Các nguồn lực
-
Thiết lập truyền thông nội bộ và cơ chế báo cáo
- Thiết lập truyền thông bên ngoài và cơ chế báo cáo
Giám sát và đánh giá
khung quản trị
Cải tiến khung
quản trị liên tục
Thực hiện quản trị rủi ro
- Thực hiện khung quản trị rủi ro
- Thực hiện quy trình quản trị rủi
ro
9
Truyền tải các lợi ích của quản trị rủi ro đến tất cả các bên hữu quan;
Đảm bảo rằng khung quản trị rủi ro tiếp tục được duy trì phù hợp.
1.3.4.3. Thiết kế khung quản trị rủi ro
(1) Tìm hiểu tổ chức và bối cảnh của nó
Đánh giá bối cảnh bên ngoài tổ chức bao gồm:
Xã hội và văn hóa, chính trị, pháp lý, tài chính, công nghệ, kinh tế, tự nhiên
và môi trường cạnh tranh;
Mối quan hệ, quan điểm và đánh giá của bên hữu quan bên ngoài.
Đánh giá bối cảnh bên trong tổ chức bao gồm:
Sự quản lý, cơ cấu tổ chức, vai trò và trách nhiệm giải trình;
Những chính sách, mục tiêu và các chiến lược để đạt được các mục tiêu đó;
Năng lực và sự hiểu biết trong giới hạn của nguồn lực và kiến thức;
Hệ thống thông tin, luồng thông tin và tiến trình ra quyết định;
Các mối quan hệ, nhận thức và giá trị của các bên hữu quan nội bộ;
Văn hóa của tổ chức;
Các tiêu chuẩn, hướng dẫn và mô hình phù hợp với tổ chức.
(2) Thiết lập chính sách quản trị rủi ro
Lý do căn bản của tổ chức trong quản trị rủi ro;
Liên kết giữa mục tiêu tổ chức với chính sách quản trị rủi ro;
Trách nhiệm quản trị rủi ro;
Cách giải quyết khi có mâu thuẫn về quyền lợi;
Cam kết cải thiện và xem xét lại một cách định kỳ về chính sách và khung
quản trị rủi ro phù hợp với mọi sự kiện hay các thay đổi trong mọi tình huống.
(3) Trách nhiệm
Xác định tác nhân có trách nhiệm và thẩm quyền quản trị rủi ro;
Xác định người chịu trách nhiệm cho sự phát triển, thực hiện và duy trì khung
quản trị rủi ro;
10
Xác định trách nhiệm của tất cả các cấp trong tổ chức.
(4) Sự tích hợp vào tiến trình tổ chức
Quản trị rủi ro nên gắn với toàn bộ tiến trình và hoạt động thực tiễn của tổ
chức. Tiến trình quản trị rủi ro nên trở thành một phần, không tách rời với tiến trình
tổ chức. Đặc biệt, quản trị rủi ro nên được gắn liền trong chính sách phát triển, kế
hoạch kinh doanh cũng như trong việc xem xét và thay đổi quy trình quản lý;
Nên mở rộng kế hoạch quản trị rủi ro cho toàn bộ tổ chức để đảm bảo rằng
chính sách quản trị rủi ro được thực hiện và quản trị rủi ro được gắn liền trong toàn
bộ tiến trình và hoạt động thực tiễn của tổ chức.
(5) Nguồn lực
Con người, kỹ năng, kinh nghiệm và năng lực;
Nguồn lực cần thiết cho mỗi bước của tiến trình quản trị rủi ro;
Tiến trình quản trị rủi ro của tổ chức, biện pháp và công cụ được sử dụng cho
quản trị rủi ro;
Các quy trình dựa trên tài liệu và các thủ tục;
Hệ thống quản lý thông tin và kiến thức;
Chương trình đào tạo.
(6) Thiết lập truyền thông nội bộ và cơ chế báo cáo
Tổ chức nên thiết lập truyền thông nội bộ và cơ chế báo cáo phù hợp. Khung
quản trị rủi ro cần đảm bảo:
Thành phần chính của khung quản trị rủi ro;
Có báo cáo nội bộ thích hợp trong khung quản trị rủi ro;
Thông tin liên quan bắt nguồn từ việc áp dụng quản trị rủi ro thì luôn sẵn
sàng tại các mức độ và thời điểm phù hợp;
Có tiến trình tham vấn với các bên hữu quan nội bộ.
(7) Thiết lập truyền thông bên ngoài và cơ chế báo cáo
Sự lôi kéo của các bên hữu quan bên ngoài;
11
Báo cáo các bên hữu quan bên ngoài;
Cung cấp thông tin phản hồi;
Sử dụng truyền thông để xây dựng sự tin tưởng trong tổ chức.
1.3.5. Thực hiện quản trị rủi ro
1.3.5.1. Thực hiện khung quản trị rủi ro
Xác định thời điểm và chiến lược phù hợp để thực hiện khung chương trình;
Áp dụng chính sách quản trị rủi ro và tiến hành với tiến trình của tổ chức;
Tuân theo những yêu cầu về pháp lý;
Đảm bảo thực hiện quyết định bao gồm sự phát triển và thiết lập mục tiêu
gắn liền với kết quả của quá trình quản trị rủi ro;
Nắm giữ thông tin và các khóa đào tạo;
Truyền thông và tham vấn với các bên hữu quan để đảm bảo rằng khung quản
trị rủi ro được duy trì một cách hợp lý.
1.3.5.2. Thực hiện quy trình quản trị rủi ro
Quản trị rủi ro cần được thực hiện bằng cách đảm bảo tiến trình quản trị rủi ro
được áp dụng thông qua một kế hoạch quản trị rủi ro ở tất cả các cấp có liên quan và
các bộ phận chức năng của tổ chức.
1.3.6. Giám sát và xem xét khung quản trị
Đo lường việc thực hiện quản trị rủi ro dựa vào những dấu hiệu được đánh
giá định kỳ cho phù hợp;
Định kỳ đo lường tiến trình và những sai lệch so với kế hoạch quản trị rủi ro;
Định kỳ đánh giá khung quản trị rủi ro, những chính sách, kế hoạch có còn
phù hợp với bối cảnh nội bộ và bên ngoài của tổ chức;
Báo cáo về rủi ro, tiến trình thực hiện kế hoạch quản trị rủi ro và cách thức
tốt nhất để thực hiện chính sách quản trị rủi ro;
Đánh giá hiệu quả của khung quản trị rủi ro.
1.3.7. Cải tiến liên tục khung quản trị
12
Dựa trên kết quả giám sát và đánh giá, nên đưa ra các quyết định về việc hệ
thống quản trị rủi ro, các chính sách và kế hoạch có thể được cải tiến như thế nào.
Những quyết định này sẽ dẫn đến những cải tiến trong hệ thống quản trị rủi ro và văn
hóa quản trị rủi ro của tổ chức.
1.4. Quy trình quản trị rủi ro
1.4.1. Tổng quan
Hình 1.2 Quy trình quản trị rủi ro
“Nguồn: Tiêu chuẩn ISO 31000:2009” [7]
Quy trình quản trị rủi ro nên là một phần hợp nhất của hoạt động quản trị, gắn
liền với văn hóa và thực tiễn của tổ chức, được biên soạn phù hợp với quy trình kinh
doanh của tổ chức.
1.4.2. Truyền đạt thông tin và tham vấn
Truyền đạt thông tin và tham vấn với các bên hữu quan bên trong và bên ngoài
tổ chức nên được thực hiện trong suốt các giai đoạn của quá trình quản trị rủi ro. Bởi
vậy, nên thực hiện các kế hoạch cho việc truyền đạt thông tin và tham vấn tại đầu mỗi
giai đoạn. Các kế hoạch này nên đưa ra các vấn đề liên quan đến rủi ro, nguyên nhân
gây rủi ro cùng những hậu quả của rủi ro và các biện pháp đang được thực hiện để
giải quyết các rủi ro đó. Việc truyền đạt thông tin và tham vấn với các bên hữu quan
Nhận diện rủi ro
Phân tích rủi ro
Đánh giá rủi ro
Xử lý rủi ro
Đánh giá rủi ro
Thiết lập bối cảnh
Truyền thông và tham v
ấn
Kiểm soát và xem xét
13
nội bộ và bên ngoài tổ chức nên đảm bảo những người có trách nhiệm thực hiện quá
trình quản trị rủi ro và các bên hữu quan có thể hiểu được cơ sở của việc ra quyết
định. Truyền đạt thông tin và tham vấn nên trung thực, thích hợp, chính xác và trao
đổi thông tin một cách dễ hiểu.
1.4.3. Thiết lập bối cảnh
1.4.3.1. Thiết lập bối cảnh bên ngoài
Bối cảnh bên ngoài là môi trường bên ngoài, nơi mà tổ chức tìm cách để đạt
được mục tiêu của mình. Hiểu biết về bối cảnh bên ngoài rất quan trọng để đảm bảo
rằng các mục tiêu và lợi ích của các bên hữu quan bên ngoài được cân nhắc khi phát
triển các tiêu chuẩn rủi ro. Nó được dựa trên bối cảnh của toàn tổ chức nhưng phải
phù hợp với các quy định của pháp luật, nhận thức của các bên hữu quan.
1.4.3.2. Thiết lập bối cảnh nội bộ
Bối cảnh nội bộ là môi trường bên trong tổ chức, nơi mà tổ chức tìm cách để
đạt được mục tiêu của mình. Quá trình quản trị rủi ro nên phù hợp với văn hóa, quy
trình, cơ cấu và chiến lược của tổ chức. Bối cảnh nội bộ nên được thiết lập bởi vì:
Quản trị rủi ro diễn ra trong bối cảnh của các mục tiêu tổ chức;
Các mục tiêu và tiêu chí của một dự án cụ thể, quá trình hoặc hoạt động nên
được cân nhắc để làm sáng tỏ mục tiêu của tổ chức;
Một số tổ chức không nhận ra cơ hội để đạt chiến lược, dự án, hay mục tiêu
kinh doanh và điều này ảnh hưởng đến cam kết thực hiện, sự tín nhiệm, sự tin cậy và
giá trị của tổ chức.
1.4.3.3. Thiết lập bối cảnh của quá trình quản trị rủi ro
Xác định rõ các mục tiêu và mục đích của hoạt động quản trị rủi ro;
Xác định trách nhiệm trong quá trình quản trị rủi ro;
Xác định phạm vi cũng như chiều sâu và bề rộng của các hoạt động quản trị
rủi ro;
Xác định mối quan hệ giữa một kế hoạch cụ thể, tiến trình hay hoạt động và
các kế hoạch của tổ chức;