BAN QUẢN LÝ RỦI RO

Ngân hàng TMCP Sài Gon- Hà Nội 1

GIỚI THIỆU

TỔNG QUAN VỀ QUẢN LÝ

RỦI RO HOẠT ĐỘNG

Tháng 7/2014

2

NỘI DUNG KHÓA HỌC

Phần 1

• Giới thiệu chung về rủi ro hoạt động (RRHĐ) vàquản lý rủi ro hoạt động (QLRRHĐ)

Phần 2

• Các bƣớc của quy trình “Báo cáo & quản lý sự kiện RRHĐ”

Phần 3

• Các bƣớc của quy trình “Nhận diện & đánh giáRRHĐ”

Phần 4

• Giới thiệu về Hệ thống thông tin quản lý RRHĐ (ORMs)

Hiểu được thế nào là RRHĐ và công tác quản lý RRHĐ

hiện đang được triển khai tại SHB;

Tuân thủ đúng các quy định của SHB

trong công tác quản lý RRHĐ;

Tự nâng cao ý thức bản thân trong quá

trình tác nghiệp, chủ động phòng tránh,

phát hiện rủi ro và đề xuất các biện pháp

thích hợp.

MỤC ĐÍCH CỦA KHÓA HỌC

Nắm bắt được nội dung 2 quy trình về công tác

quản lý RRHĐ và Hệ thống thông tin quản lý

RRHĐ (ORMs);

3

PHẦN THỨ NHẤT

GIỚI THIỆU CHUNG VỀ RRHĐ & CÔNG

TÁC QLRRHĐ

4

1. KHÁI NIỆM CHUNG VỀ RRHĐ

5

Thế nào là rủi

ro hoạt động?

1.1

1.2

1.3

Ví dụ về rủi ro hoạt động

Khái niệm về rủi ro hoạt động

Phân biệt tình huống

1.1 VÍ DỤ VỀ RRHĐ

6

Chƣa có quy định, hƣớng dẫn cụ thể cách thức xử lý trong

trƣờng hợp tờ khai hải quan và các chứng từ nhập hàng

khách hàng hoàn cho SHB theo cam kết có trị giá thấp hơn

số tiền đã thanh toán trƣớc

Khách hàng thực hiện chuyển tiền trả trước dựa trên đơn đặt

hàng với đối tác nước ngoài. Tuy nhiên khi bổ sung chứng từ thì

số tiền đã thanh toán nhiều hơn giá trị đơn hàng do người mua

và người bán tự thỏa thuận cấn trừ cho các đơn hàng sau. Điều

này gây khó khăn cho TTV trong việc xử lý hồ sơ chứng từ.

VÍ DỤ VỀ RRHĐ

7

Báo cáo Phải thu - phải trả trên IAS chƣa bao gồm đầy đủ tất cả các

khoản phải thu, phải trả

Khi CN lập báo cáo Phải thu phải trả thì ngoài việc xuất báo cáo Phải

thu - phải trả trên IAS thì cán bộ kế toán vẫn phải tạo và gộp thêm một

số khoản mục đầu 35, 36 và 45, 46 trên GL017 vì báo cáo Phải thu -

phải trả trên IAS thực chất là xuất báo cáo sao kê các khoản tạm ứng

Khách hàng vi phạm cam kết về duy trì số dƣ tiền gửi đến cuối kì

hạn

Khách hàng tham gia chương trình khuyến mãi tại SHB (cào thẻ trúng

thưởng tiền mặt) và cam kết duy trì số dư đến cuối kì hạn nhưng lại

đến chi nhánh khác của SHB để thực hiện rút tiền trước hạn. Theo quy

định thì rút gốc trước hạn phải trả lại số tiền trúng thưởng khi tham gia

khuyến mãi nhưng CN tất toán không nắm được KH có thuộc đối

tượng trúng thưởng hay không do không xuất được GL của CN khác

nên có thể xảy ra rủi ro KH không hoàn lại số tiền trúng thưởng

VÍ DỤ VỀ RRHĐ

Ví dụ thứ tƣ: Sự việc xảy ra tại Techcombank –

CN Hoàn Kiếm:

Phạm Chí Vinh - nhân viên kho quỹ của Techcombank CN Hoàn

Kiếm đã đánh tráo các GTCG trong bì đựng TSBĐ của khách

hàng Đỗ Thị Vân Đông (Tây Hồ - Hà Nội) bằng giấy lộn và

mang số GTCG đánh tráo được đi cầm cố, vay hơn 1 tỷ đồng ở

NH khác để đầu tư chứng khoán. Khi kinh doanh bị thua lỗ

không có khả năng hoàn trả, Vinh đã bỏ trốn. Tuy nhiên sau thời

gian lẩn trốn Vinh đã bị bắt, xét xử và nhận án 15 năm tù về tội

“tham ô tài sản”

8

VÍ DỤ VỀ RRHĐ

Ví dụ thứ năm: Sự việc xảy ra tại Ngân hàng Đông Á

– Chi nhánh HuếVì quan hệ thân quen, Võ Phúc Thịnh đã lợi dụng chức vụ của mình là nhân viên tín

dụng tại Ngân hàng Đông Á, nhiều lần đứng ra viết giấy vay tiền của các cá nhân bên

ngoài rồi đưa cho Nguyễn Văn Dũng - Giám đốc Công ty TNHHTM Văn Dũng, để

phục vụ kinh doanh

Khi bị các chủ nợ đòi, do không có tiền, Thịnh đã thực hiện kế hoạch:

- Tự ý lấy mẫu đơn “yêu cầu xóa đăng ký thế chấp, bảo lãnh bằng quyền sử dụng đất

và tài sản trên đất” có sẵn của Ngân hàng Đông Á, tự ý giả chữ ký của GĐCN Huế.

Sau đó tự ý lấy con dấu đóng vào đơn để xóa thế chấp bản gốc giấy chứng nhận

quyền sở hữu nhà ở và quyền sử dụng đất ở mang tên vợ chồng Dũng

- Rút thêm 4 bản gốc giấy đăng ký xe ô tô mà Dũng đã thế chấp ở Ngân hàng Đông Á

để đưa cho Dũng đem thế chấp vay vốn tại Ngân hàng khác

- Không làm các thủ tục theo dõi, kiểm tra, quản lý chặt chẽ lô hàng mỳ gói mà Dũng

đã cầm cố vay 1 tỷ đồng, tạo điều kiện cho Dũng xuất bán lô hàng nói trên.

9

VÍ DỤ VỀ RRHĐ

Ví dụ thứ …n: Và hãy ngẫm nghĩ về những hoạt động thường ngày

của mình

Mọi hoạt động nghiệp vụ hàng ngày của các Anh/Chị và của cả ngân hàng đều

luôn luôn tiềm ẩn những rủi ro

Đó gọi là Rủi ro hoạt động

10

1.2 KHÁI NIỆM RRHĐ

11

Thế nào là

rủi ro hoạt

động?

12

Con người (do vô tình hoặc

cố ý)

Do hệ thống không

phù hợp hoặc vận

hành không đúng

cách

Các sự kiện

khách quan bên

ngoài

Các quy trình nội bộ

không đầy đủ hoặc bị

lỗi

Là rủi ro gây ra các

tổn thất bắt nguồn từ:

KHÁI NIỆM RRHĐ

1.3 PHÂN BIỆT TÌNH HUỐNG

13

Không trả nợ vay

Khách hàng không thực hiện đầy

đủ các nghĩa vụ trong hợp đồng

Không trả nợ vay

- Vượt quá giới hạn cho vay

- Nhận hối lộ

- Trình bày sai thông tin, phân

tích về khách hàng

Lỗ từ đầu tư

Thị trường đảo chiều

Lỗ từ đầu tư

- Sử dụng sai mô hình kinh doanh

- Lỗi mô hình định giá

- Giám đốc nguồn vốn trình độ kém

- Hệ thống máy tính lỗi

Tình

huống

Rủi ro hoạt động

Rủi ro tín dụng

Rủi ro thị trường

2. HỆ THỐNG QUẢN LÝ RRHĐ

14

Thứ ba

Hệ thống thông tin quản lý

(MIS) để cung cấp thông tin

phục vụ quản lý rủi ro

Thứ tƣ

Hệ thống kiểm soát nội bộ, kiểm

toán nội bộ theo quy định của

pháp luật

Thứ hai

Hệ thống các văn bản về chiến

lƣợc, chính sách, quy trình quản

lý rủi ro bảo đảm nhận dạng,

theo dõi, báo cáo và kiểm soát

rủi ro

Thứ nhất

Trách nhiệm và sự giám sát của

Hội đồng quản trị và Ban Tổng

Giám đốc

Hệ thống quản

lý rủi ro hoạt

động

3. CƠ CẤU TỔ CHỨC QLRRHĐ

15

Ba phong tuyến

Thứ ba

Thứ hai

Thứ nhất

Là phòng tuyến có nhiệm vụ kiểm tra đánh giá độc lập và đưa ra kiến nghị nhằm nâng cao hiệu quả của Hệ thống quản lý rủi ro bao gồm Kiểm toán nội bộ

Là phòng tuyến thực hiện QLRR bao gồm tất cả cán bộ nhân viên, các Đơn vị trực thuộc các đơn vị kinh doanh và các Khối, Ban, Trung tâm tại trụ sở chính

Thứ nhất

Thứ hai

Thứ ba

Là phòng tuyến xây dựng, ban hành chiến lược, chính sách QLRR hoạt động và giám sát việc thực hiện của phòng tuyến thứ nhất

CƠ CẤU TỔ CHỨC QLRRHĐ

HĐQT

Ủy ban QLRR

Ban Kiểm soát – KTNB

Tổng Giám đốc

KHỐI QLRR/BAN QLRR

Các đơn vị trên toàn hệ thống SHB

16

TRÁCH NHIỆM QLRRHĐ

17

Quản lý Rủi ro hoạt động là trách nhiệm

của tất cả các cán bộ nhân viên SHB.

Ban QLRR:

•Tổ chức & điều phối hoạt động quản lý

RRHĐ trên toàn hệ thống

•Tổng hợp kết quả, phân tích, đánh giá,

đề xuất giải pháp trình Tổng Giám đốc

PHƢƠNG PHÁP TIẾP CẬN

QUẢN LÝ RRHĐ

18

Theo định hướng của Ban Lãnh

đạo, Ban QLRR triển khai công

tác quản lý rủi ro hoạt động đến

các đơn vị nhằm phát hiện các

rủi ro hiện hữu và tiềm ẩn, từ đó

xây dựng các biện pháp kiểm

soát, giám sát việc thực hiện,

bảo đảm rủi ro hoạt động trong

giới hạn được chấp nhận.

Các đơn vị & cá nhân thường

xuyên tự nhận diện, đánh giá rủi

ro, từ đó xây dựng các biện pháp

kiểm soát RRHĐ

Báo cáo sự kiện rủi ro hoạt động

để khắc phục và chia sẻ bài học

kinh nghiệm cho toàn hệ thống.

Minh bạch hóa rủi ro tại đơn vị

mình làm nền tảng cho việc quản

lý rủi ro.

PHƢƠNG PHÁP NHẬN DIỆN VÀ

QUẢN LÝ RRHĐ

19

• Quy trình nhận diện & đánh giá rủi ro hoạt động

Đơn vị tự đánh giá rủi ro hoạt động (cách hiệu quả nhất)

• Quy trình Báo cáo & quản lý sự kiện rủi ro hoạt động

Phân tích dữ liệu tổn thất lịch sử

Sử dụng chỉ số rủi ro chính (KRIs)

Có rất nhiều phương pháp được áp dụng để nhận diện

và quản lý rủi ro hoạt động, bao gồm:

19

4. CÔNG TÁC QUẢN LÝ RRHĐ

20

Xây dựng văn hóa

quản lý rủi ro hoạt động

Tự nhận diện và

đánh giá rủi ro hoạt động

Quản lý sự kiện rủi ro hoạt động

Xác định, theo dõi và báo cáo chỉ

số rủi ro chính

Kế hoạch dự phòng

PHẦN THỨ HAI

QUY TRÌNH BÁO CÁO VÀ QUẢN LÝ SỰ

KIỆN RRHĐ

21

1. MỤC TIÊU VÀ ĐỐI TƢỢNG CỦA

QUY TRÌNH

22

Sự kiện RRHĐ là gì?

● Đối tƣợng: là những rủi ro đã xảy ra tại đơn vị

Mục tiêu

- Ghi nhận, thu thập sự kiện

RRHĐ đầy đủ, chính xác và

kịp thời

- Xây dựng các biện pháp khắc

phục và hạn chế RRHĐ

- Xây dựng danh mục RRHĐ

2. VÍ DỤ VỀ SỰ KIỆN RRHĐ

Tên sự kiện: Đập phá ATM để trộm tiền của Ngân

hàng

Ngày… ATM - SHB đặt tại trường ĐH TDTT Bắc Ninh của CN Từ

Sơn đã bị kẻ gian đập phá. Theo thông tin từ người dân gần khu vực

đó, bảo vệ của trường đã thông báo cho cán bộ CN xuống kiểm tra

tình trạng, rất may chưa có thiệt hại về tiền.

Các thông tin cơ bản của sự kiện:

Cơ sở phát hiện sự kiện

Nguyên nhân xảy ra sự kiện

Ảnh hưởng của sự kiện

Biện pháp khắc phục

Biện pháp QLRR

23

VÍ DỤ VỀ SỰ KIỆN RRHĐ (tiếp)

Tên sự kiện: Hỏng máy serverCN Bình Phước sử dụng 2 máy trạm dựng lên làm máy server, máy cũ lại

sử dụng hệ điều hành lạc hậu. Lúc 15h46 ngày 11/10/2013, cả 2 máy server

bị hỏng. Vì CN Bình Phước hiện không có cán bộ CNTT, nghiệp vụ CNTT

của chi nhánh do phòng CNTT CN Sài Gòn phụ trách. Ngày 15/10/2013

Khối CNTT HO cử cán bộ IT CN HCM xuống hỗ trợ khắc phục lỗi tại CN

Bình Phước. Từ thời điểm xảy ra sự cố máy server bị hỏng, ngoại trừ 2

máy tính cá nhân của phòng Dịch vụ khách hàng vẫn hoạt động bình

thường, các máy trạm còn lại đều không truy cập được vào mạng nội bộ,

mạng Internet, các hệ thống ứng dụng, làm ngưng trệ hoạt động kinh doanh

của Chi nhánh

24

5. QUY TRÌNH BÁO CÁO VÀ QUẢN LÝ

SỰ KIỆN RRHĐ

25

Phát hiện

sự kiệnXác định tổn

thất, nguyên

nhân

Xây dựng các

biện pháp

khắc phục

Kiểm chứng,

theo dõi

và báo cáo

Thực thi các BP

QLRR

Báo cáo,

ghi nhận,

cập nhật

thông tin

lên ORMS

Mục tiêu

- Ghi nhận, thu thập sự kiện

RRHĐ đầy đủ, chính xác và

kịp thời

- Xây dựng các biện pháp khắc

phục và hạn chế RRHĐ

- Xây dựng danh mục RRHĐ

4. CÁC THÀNH PHẦN CỦA SỰ KIỆN

RRHĐ

26CSDL các sự kiện rủi ro

Biện pháp quản lý rủi ro

Nguyên nhân

. Con người

. Quy trình

. Hệ thống

. Các sự kiện bên ngoài

Ảnh hƣởng

. Trách nhiệm pháp lý

. Tổn thất về tài sản

. Mất khả năng đòi bồi hoàn

. Tuân thủ

. Bồi thường

. Giảm giá trị

Loại sự kiện

- Gian lận nội bộ

- Gian lận từ bên ngoài

- Chính sách lao động và an

toàn nơi làm việc

- Khách hàng, sản phẩm và

môi trường kinh doanh

- Thiệt hại về tài sản cố định

- Lỗi hệ thống CNTT

- Quản lý quá trình hoạt động

trong quan hệ giao dịch với

đối tác và các nhà cung cấp

BIỆN PHÁP KHẮC PHỤC VÀ

BIỆN PHÁP QLRR

27

Trên cơ sở kết quả điều tra sự kiện, Đơn vị xảy ra sự kiện và Đơn

vị liên quan thực hiện xây dựng các biện pháp khắc phục sự

kiện và các biện pháp quản lý rủi ro liên quan. Biện pháp đưa

ra cần bao gồm các nội dụng:

• Các biện pháp cần thực hiện ngay để khắc phục sự kiện

• Các rủi ro liên quan và biện pháp quản lý rủi ro:

• Cá nhân/ Đơn vị thực hiện

• Lộ trình thực hiện

• Thời hạn hoàn thành

BIỆN PHÁP QLRR

28

Rủi ro trung bình Rủi ro cao

Rủi ro thấp Rủi ro trung bình

Xác suất

Cao

Tác

độ

ng

Cao

ThấpChấp nhận rủi ro Giảm thiểu – phòng ngừa rủi ro

Chia sẻ và/hoặc chuyển giao rủi ro Tránh – hạn chế rủi ro

3. TRÁCH NHIỆM CỦA ĐƠN VỊ KHI PHÁT

HIỆN SỰ KIỆN RRHĐ

Ngay khi phát hiện sự kiện, tất cả cán bộ nhân viên có trách

nhiệm báo cáo ngay cho Lãnh đạo đơn vị để kịp thời có biện

pháp xử lý. Trường hợp sự kiện do Đơn vị khác phát hiện ra,

Lãnh đạo đơn vị phát hiện sự kiện có trách nhiệm thông báo

ngay cho Lãnh đạo đơn vị nơi xảy ra sự kiện và Ban QLRR để

cùng phối hợp giải quyết.

Lãnh đạo đơn vị xảy ra sự kiện xem xét sự kiện RRHĐ phát

sinh có cần báo ngay lên Ban QLRR hay không (căn cứ theo

“Cấc cấp độ báo cáo” được quy định chi tiết tại Quy trình báo

cáo và quản lý sự kiện rủi ro hoạt động) và chỉ đạo hướng giải

quyết tại đơn vị.

Cập nhật sự kiện rủi ro hoạt động lên hệ thống ORMs

29

PHẦN THỨ BA

QUY TRÌNH NHẬN DIỆN VÀ ĐÁNH GIÁ

RRHĐ

30

* Nhận diện

* Đo lƣờng

* Đánh giá

* Báo cáo

Đảm bảo cán bộ nhân viên hiểu rõ về các rủi ro có thể xảy ra trong

công việc của họ;

Xác định được các rủi ro hoạt động trọng yếu có thể xảy ra trong

quá trình hoạt động của đơn vị;

1. MỤC TIÊU VÀ ĐỐI TƢỢNG CỦA

QUY TRÌNH

Góp phần định hướng cho công tác quản lý RRHĐ, tập trung vào

những lĩnh vực trọng yếu và có mức rủi ro cao

Xây dựng cơ sở dữ liệu hồ sơ các loại rủi ro theo từng đơn vị với

mức độ rủi ro theo đánh giá của chính Đơn vị đó và của Ban QLRR

Toàn bộ các rủi ro tiềm ẩn và hiện

hữu nhƣng chƣa xảy ra tại đơn vịĐối tƣợng

31

Ban QLRR thực hiện kiểm

chứng kết quả tự đánh giá

RRHĐ tại đơn vị

- Lập kế hoạch trình phê duyệt

và chuẩn bị triển khai chương

trình kiểm chứng kết quả tự

đánh giá tại đơn vị

- Thực hiện khảo sát

- Lập báo cáo kiểm chứng và

thống nhất với đơn vị

- Theo dõi tiến độ thực hiện

biện pháp QLRR

Đơn vị tự nhận diện đánh

giá RRHĐ

- Chuẩn bị cơ sở dữ liệu và

thông báo triển khai đánh giá

- Đơn vị nhận thông báo và

phân công nhân sự thực hiện

- Thực hiện tự nhận diện và

đánh giá RRHĐ/trả lời bảng

câu hỏi tự nhận diện và đánh

giá RRHĐ

- Ghi nhận đánh giá lên ORMs

- Rà soát và thống nhất kết

quả đánh giá RRHĐ

- Theo dõi tiến độ thực hiện

biện pháp QLRR

2. PHƢƠNG PHÁP ĐÁNH GIÁ RRHĐ

Phƣơng pháp

đánh giá RRHĐ

32

PP1: ĐƠN VỊ TỰ THỰC HIỆN

ĐÁNH GIÁ RRHĐ

Đơn vị tự thực hiện đánh giá rủi ro hoạt động

Xây dựng Danh mục

rủi ro

Lựa chọn và đánh giá các rủi ro trên cơ sở tần suất, mức độ ảnh

hưởng

Xác định & đánh giá các

chốt kiểmsoát hiện tại (phân tích quy trình)

Xếp hạng rủi ro tổng

thể

Xây dựngbiện pháp QLRRHĐ

Kiểm tra, theo dõi và

báo cáo

Rất cao: ACao: BTrung bình: CThấp: D

Ban QLRR Thực hiện bởi đơn vị

33

PP2: BAN QLRR THỰC HIỆN KIỂM

CHỨNG KẾT QUẢ TỰ ĐÁNH GIÁ RRHĐ

34

Ban QLRR thực hiện đánh giá tại chỗ

Xây dựng bộcâu hỏi khảo

sát

Thực hiệnkhảo sát trực

tiếp

Nhận diện, xếp hạng rủiro hoạt động

Xây dựngbiện phápquản lý rủi

ro

Thông qua kết quả đánh

giá

Kiểm tra, theo dõi và

báo cáo

Ban QLRR Thực hiện bởi đơn vị

Rất cao: ACao: BTrung bình: CThấp: D

3. QUY TRÌNH NHẬN DIỆN VÀ

ĐÁNH GIÁ RRHĐ

Mục tiêu

-Xây dựng danh mục các loại

rủi ro hoạt động

-Xây dựng các biện pháp kiểm

soát rủi ro hoạt động

-Tập trung vào các rủi ro hoạt

động trọng yếu

35

36

3.1 LỰA CHỌN CÁC RRHĐ TRỌNG YẾU

- Trong quá trình thực hiện công việc hàng ngày, mọi cán bộ nhân viên trong đơn vị phải thường xuyên

thực hiện tự nhận diện và đánh giá rủi ro hoạt động trong các công việc của mình và ghi chép lại.

- Dựa trên danh mục rủi ro tham khảo, các thành viên bàn bạc thống nhất để lựa chọn ra các RRHĐ

quan trọng nhất

- Trường hợp rủi ro quan trọng nào đó không nằm trong danh mục, đơn vị thực hiện theo hướng dẫn

trong quy trình nhận diện và đánh giá rủi ro hoạt động

100 rủi ro

50 rủi ro

Rủi ro cao nhất

Chu trình tham khảo

Rủi ro khiến bạn và người quản lý của bạn

cảm thấy lo lắng nhất

“Tôi thấy thực

sự lo lắng về…”

37

3.2 ĐO LƢỜNG VÀ ĐÁNH GIÁ

CÁC TÁC ĐỘNG

Rủi ro

tổng thể

1-Ảnh hưởng

2-Tần suất

3-Mức độkiểm soát

Hiệu quả của

chốt kiểm

soát hiện tại

Dựa trên sự

kiện trong quá

khứ hoặc ước

đoán khả năng

xảy ra trong

tương lai

Ảnh hƣởng: là mức độ tổn thất do

sự kiện rủi ro hoạt động gây ra.

Tần suất: là số lần RRHĐ xảy ra

trong một khoảng thời gian tại Đơn

vị.

Mức độ kiểm soát: là tiêu chí đánh

giá tính hiệu quả của các biện pháp

kiểm soát hiện đang được áp dụng

đối với các rủi ro hoạt động. Hiệu

quả kiểm soát càng kém thì điểm

đánh giá càng thấp.

THANG ĐIỂM ẢNH HƢỞNG

VÀ HƢỚNG DẪN CHO ĐIỂM

38

Các mức

độ

Thang

điểmTình trạng

Tổn thất trực tiếp

(VNĐ)

Không

đáng kể1

Có khả năng gây ra chi phí thấp và không gây ảnh hưởng đến uy

tín và hình ảnh của Ngân hàng, không có yếu tố cấu thành hành vi

phạm tộikhông gây ra rắc rối pháp lý cho ngân hàng

<5,000,000

Nhỏ 2

Có khả năng gây ra chi phí tương đối , ảnh hưởng đến uy tín của

Ngân hàng hoặc có ảnh hưởng nhẹ tới vấn đề pháp lý, có khả

năng một số quyết định được đưa ra chống lại Ngân hàng

≥5,000,000 và

<10,000,000

Tương đối 3

Có khả năng gây ra chi phí đáng kể và/hoặc ảnh hưởng đến uy tín

của Ngân hàng hoặc xảy ra kiện tụng dân sự tuy nhiên có thể hòa

giải mà không cần ra tòa án

≥10,000,000 và

<20,000,000

Lớn 4

Có khả năng gây ra chi phí kinh tế lớn, ảnh hưởng đến uy tín của

Ngân hàng hoặc xảy ra kiện tụng dân sự bất lợi cho Ngân hàng và

ít có khả năng có thể hòa giải nhanh chóng

≥20,000,000 và

<50,000,000

Nghiêm

trọng5

Có khả năng gây ra chi phí kinh tế rất lớn (bao gồm cả thiệt hại về

giảm giá trị cổ phiếu hoặc ảnh hưởng đến uy tín của Ngân hàng)

hoặc xảy ra kiện tụng bất lợi cho ngân hàng do có những vi phạm

lớn

≥50,000,000

Ghi chú: Uy tín của Ngân hàng có thể được thể hiện qua một số tiêu chí trực tiếp như Khách hàng cảm thấy hài lòng, được phục vụ tốt,

không gặp các sự kiện phiền toái; vấn đề không quá nổi tiếng và không thuộc phạm vi các vấn đề được giới truyển thông quan tâm…

THANG ĐIỂM TẦN SUẤT

VÀ HƢỚNG DẪN CHO ĐIỂM

39

Các mức độThang

điểmTình trạng Ví dụ tham khảo

Rất ít xảy ra 1

Khả năng xảy ra không đáng kể,

chỉ xảy ra trong những trường hợp

rất đặc biệt

Khoảng 10 năm một lần

hoặc nhiều hơn

Ít xảy ra 2 Có thể xảy ra một vài trường hợp Khoảng 3 năm một lần

Có khả năng 3Rất có khả năng xảy ra trong một

số trường hợpKhoảng 1 năm một lần

Khả năng lớn 4Hoàn toàn có thể xảy ra trong

nhiều trường hợpHàng tháng

Chắc chắn 5Sẽ xảy ra trong hầu hết các trường

hợpHàng ngày

40

MỨC ĐỘ RỦI RO NỘI TẠI

x= Ảnh hƣởng Tần suất

Mức độ rủi ro nội

tại khi chƣa có

các chốt kiểm soát

41

THANG ĐIỂM MỨC ĐỘ KIỂM SOÁT VÀ

HƢỚNG DẪN CHO ĐIỂM

Các mức

độThang điểm Tình trạng

Rất tốt 5

Quy trình kiểm tra kiểm soát được cập nhật đầy đủ trong vòng 12 tháng gần nhất

Vai trò và trách nhiệm được phân cấp đến từng mảng hoạt động cụ thể

Các vấn đề quan trọng được kiểm tra cẩn thận

Có ít sự thay đổi được cập nhật vào quy trình hiện hành

Rủi ro được chuyển giao toàn bộ cho bên thứ ba, còn lại rất ít rủi ro

Mức độ kiểm soát đƣợc chọn khi có đa số các tình trạng dƣới đây đƣợc thỏa mãn

Các yếu tố xem xét

1. Tính chặt chẽ và đầy đủ của hệ thống Quy trình nội bộ

2. Mức độ phân tách trách nhiệm

3. Thực tế vận dụng quy trình của cán bộ tham gia xử lý nghiệp vụ

4. Đáp ứng của đơn vị với những biến động về sản phẩm/quy trình/con người

5. Chính sách chuyển và dự phòng rủi ro

Đánh giá việc

thiết lập và hiệu

quả vận hành

của các chốt

kiểm soát

42

Các mức

độ

Thang

điểmTình trạng

Tốt 4

Quy trình bao trùm các khu vực quan trọng và một số chi tiết được cập nhật trong

vòng 12 tháng gần nhất

Phân rõ vai trò và trách nhiệm cho hầu hết các chức năng

Quá trình áp dụng thực tế có sự hỗ trợ từ cấp quản lý nhưng cho phép sự biến đổi

trong cách thức áp dụng của nhân viên

Có ít sự thay đổi trong phương thức kinh doanh trong vòng sáu tháng gần nhất, việc

thích nghi với thay đổi được dựa trên kinh nghiệm của các nhân viên

Phần lớn rủi ro được chuyển giao cho bên thứ ba hoặc được trích lập dự phòng

Trung

bình3

Từng xảy ra một số ngoại lệ thể hiện sự hạn chế của việc thiết kế chốt kiểm soát

Quy trình bao trùm các khu vực quan trọng nhưng có điểm hở nhất định, phần lớn

công việc được định nghĩa chung chung, có một số lỗi nhỏ không được theo sát

Nhân viên áp dụng các bước trong quy trình một cách không đầy đủ tuy nhiên có sự

giám sát quản lý phù hợp, từ đó có thể ngăn chặn được những lỗi nghiêm trọng

Các dự án và quy trình mới được thực hiện hoặc các nhân viên mới có ảnh hưởng đến

hoạt động

Một phần rủi ro được chuyển giao cho bên thứ ba hoặc đã được trích lập dự phòng

THANG ĐIỂM MỨC ĐỘ KIỂM SOÁT

VÀ HƢỚNG DẪN CHO ĐIỂM (tiếp)

43

Các mức

độ

Thang

điểmTình trạng

Yếu 2

Sai sót trong kiểm soát tại cấp cơ sở đang diễn ra và kiểm soát cấp trên không kịp thời

nhận ra sai sót

Phân cấp quản lý không rõ ràng cộng thêm xuất hiện các điểm yếu trong quản lý dẫn

đến các lỗi không được phát hiện kịp thời

Phần lớn quản lý thủ công và theo tính phát hiện

Có sự thay đổi cơ bản trong phương pháp làm việc hoặc sản phẩm/dịch vụ trong vài

tháng tiếp theo hoặc quy trình vận hành mới cho phần lớn hoạt động kinh doanh.

Nhân viên có ít kinh nghiệm

Rủi ro tối thiếu được chuyển sang bên thứ ba hoặc được trích lập dự phòng

Rất yếu 1

Hệ thống kiểm soát rất yếu hoặc không có

Rất ít hoặc là không có quy trình

Bộ máy kiểm soát yếu, cấp bậc và trách nhiệm kiểm soát không được xác định rõ

ràng

Phương thức kinh doanh thay đổi nhanh chóng và không chắc chắn. Thu nhập của

Nhân viên quá cao hoặc sự thăng tiến quá nhanh làm giảm đi quá trình tích lũy kinh

nghiệm và văn hóa

Chỉ xử lý vấn đề một cách bị động dựa trên quan điểm cá nhân

THANG ĐIỂM MỨC ĐỘ KIỂM SOÁT

VÀ HƢỚNG DẪN CHO ĐIỂM (tiếp)

44

Mức độ kiểm soát

Mức

độ

rủi

ro

nội

tại

Rất cao: ACao: BTrung bình: CThấp: D

Hệ thống tự đo lƣờng và xếp hạng mức độ rủi ro tổng thể dựa trên ma trận đánh giá nhƣ sau:

C B B A A

C C B B A

C C C B B

D C C C B

D D C C C

5 4 3 2 1

>10

8-10

5-7

3-4

1-2

MA TRẬN ĐÁNH GIÁ TỔNG THỂ

45

TẠI SAO PHẢI CÂN NHẮC KỸ LƢỠNG

CÁC YẾU TỔ KHI ĐÁNH GIÁ?

1

4

Xác định đúng rủi ro có mức độ nghiêm

trọng cao cần ƣu tiên tại đơn vị

Giúp tìm ra các điểm hổng hay điểm

yếu của hệ thống để có biện pháp

lấp các điểm hổng và điểm yếu này

Các cán bộ tham gia xử lý nghiệp vụ

đƣợc bảo vệ tốt hơn

2

3

Các cấp quản lý có thể dành thời gian cho các

mục tiêu khác nhƣ phát triển kinh doanh cho

đơn vị

Why?

46

CÁC THÁCH THỨC

Mỗi cá nhân có thể có quan điểm

riêng trong khi cho điểm các yếu

tố: Ảnh hưởng, Tần suất hay Mức

độ kiểm soát

Các thang điểm đã được thiết lập

có thể chưa phản ánh chính xác rủi

ro của ngân hàng

Chúng ta cùng xây

dựng để có một

phƣơng pháp tối ƣu

hơn

3. 4 NHÂN VIÊN SHB PHẢI LÀM GÌ ĐỂ

QUẢN LÝ RỦI RO HOẠT ĐỘNG

47

Tự nghiên cứu, nắm vững và tuân thủ đúng

các quy định, quy trình nghiệp vụ thông

thường và quy định, quy trình liên quan

đến công tác quản lý RRHĐ.

Thực hiện nghiêm túc các chỉ đạo về việc

phòng tránh, giảm thiểu RRHĐ trong phạm

vi công việc được giao; có trách nhiệm

ngăn chặn kịp thời và báo cáo ngay cho cấp

có thẩm quyền những hành vi, nguy cơ

RRHĐ có thể gây tổn hại đến lợi ích, hình

ảnh, uy tín, thương hiệu của SHB.

48

4. BÀI TẬP TÌNH HUỐNG

Tình huống 1:Kiểm soát viên A của ngân hàng B trong giờ giao

dịch có việc riêng phải đi ra ngoài và giao user,

password cho Giao dịch viên để hạch toán và duyệt

chứng từ, sau đó quên không đổi lại password.

• Yếu tố bổ sung:

Sự việc trên được lặp đi lặp lại nhiều lần, cấp quản lý không biết sự việc hoặc

có biết nhưng không để ý hoặc cố tình bỏ qua (giả định rằng việc để lộ user và

password dẫn đến các vụ gian lận xảy ra hàng năm tại ngân hàng).

KSV và GDV không biết rằng hành vi của mình có thể dẫn đến những sai

phạm rất lớn.

Hệ thống chưa thiết lập được các công cụ phân tích nhằm phát hiện dấu hiệu sử

dụng user và password trái phép.

Tính mức độ rủi ro tổng thể cho tình huống:

49

BÀI TẬP TÌNH HUỐNG

Tình huống 2:Cán bộ tín dụng không thực hiện việc kiểm tra sau

cho vay khách hàng theo định kỳ, không theo dõi và

cập nhật báo cáo tồn kho của khách hàng.

• Yếu tố bổ sung:

Sự việc trên được lặp đi lặp lại nhiều lần (hàng năm), cấp quản lý không biết sự

việc hoặc có biết nhưng không để ý hoặc cố tình bỏ qua.

Tính mức độ rủi ro tổng thể cho tình huống:

50

BÀI TẬP TÌNH HUỐNG

Tình huống 3:Thanh toán viên của bộ phận Thanh toán quốc tế

thực hiện nghiệp vụ chuyển tiền ra nước ngoài cho

khách hàng quen nên cho khách hàng nợ giấy tờ

chứng minh mục đích chuyển tiền.

• Yếu tố bổ sung:

Việc này ít xảy ra (khoảng 3 năm 1 lần)

SHB đã có các quy định về các giấy tờ khách hàng cần phải nộp để chứng minh

mục đích chuyển tiền khi chuyển tiền ra nước ngoài

Khách hàng quen, công việc nhiều nên KSV sơ suất duyệt điện trên hệ thống

mà không kiểm tra hồ sơ

Tính mức độ rủi ro tổng thể cho tình huống:

5. PHÂN BIỆT ĐÁNH GIÁ RỦI RO HOẠT ĐỘNG

VÀ BÁO CÁO SỰ KIỆN RỦI RO HOẠT ĐỘNG

51

Báo cáo sự kiện

rủi ro hoạt động

Thực hiện khi phát

sinh sự kiện rủi ro

tại đơn vị

Báo cáo các rủi ro

đã xảy ra tại đơn vị.

Phân biệt

thế nào đây?

Đánh giá rủi ro

hoạt động

Thực hiện theo các chương

trình đánh giá do Ban QLRR

tổ chức

Đánh giá các rủi ro chưa xảy

ra nhưng tại đơn vị đang tồn

tại các nguyên nhân có thể

xảy ra rủi ro nếu không được

kiểm soát chặt chẽ

PHẦN THỨ TƢ

HỆ THỐNG THÔNG TIN QUẢN LÝ RỦI RO

HOẠT ĐỘNG (ORMs)

52

1. CÁC CHỨC NĂNG CỦA HỆ THỐNG

Quy trình báo

cáo và quản lý

SKRRHĐ

Quy trình nhận

diện và đánh giá

RRHĐ

Thêm mới SKRR:- Mã sự kiện, tên sự kiện

- Thời gian xảy ra

- Mô tả sự kiện

- Đơn vị phát sinh

- Nguyên nhân (cấp 2,3)

- Sự kiện (cấp 2, 3)

- Mức độ ảnh hưởng

- Giá trị thiệt hại

- Biện pháp khắc phục

- Biện pháp QLRR

…

Thêm mới ĐGRR:- Chương trình đánh giá

- Mã đánh giá

- Tên rủi ro

- Nguyên nhân (cấp 1,2,3)

- Nghiệp vụ

- Mức độ ảnh hưởng, tần

suất, mức độ kiểm soát

- Mô tả tại đơn vị

- Các chốt kiểm soát

- Biện pháp QLRR

…

Công cụ hỗ trợ việc triển khai công tác QLRR

hoạt động

53

CÁC CHỨC NĂNG CỦA HỆ THỐNG

Công cụ quản lý của Ban Quản lý rủi ro

Báo cáo Ban lãnh đạo

Theo dõi việc thực hiện các Biện

pháp QLRR

Theo dõi việc nhận diện và đánh

giá rủi ro của các đơn vị

Theo dõi việc báo cáo các sự kiện

RR

54

CÁC CHỨC NĂNG CỦA HỆ THỐNG

Danh mục

Hồ sơ rủi roCác biện pháp

QLRR

Tiến độ thực hiệnMức độ rủi ro

Lƣu trữ hồ sơ rủi ro

Đơn vị thực hiện

BP QLRR

55

Đơn vị nhận diện,

báo cáo rủi ro

2. KẾT CẤU CỦA HỆ THỐNG

Quản lý các

VĐ nhạy cảm

Chức năng

Hệ thống thông tin quản lý rủi ro hoạt động

Biện pháp

QLRR

Hệ thống báo

cáo

Cập nhật tiến độ

thực hiện biện

pháp QLRR

Danh mục rủi ro

Nhận diện, đánh

giá rủi ro

Báo cáo và quản

lý SKRRHĐ

Báo cáo đánh

giá RRHĐ

Báo cáo sự kiện

RRHĐ

BC tiến độ thực

hiện BP QLRR

BC dành cho

quản trị hệ

thống

Trang chủ Quản trị hệ

thống

Quản lý danh

sách đơn vị

Quản lý các

danh mục

Quản lý chương

trình ĐG

Quản lý user

Phê duyệt dữ

liệu

… …

56

57

TRÂN TRONG CAM ƠN!