Các chỉ số rủi ro tài chính – công cụ cảnh báo rủi ro vận hành cho hệ thống ngân hàng thương mại Việt Nam
Lê Phan Thị Diệu Thảo, Nguyễn Minh Sáng1
Bài viết phân tích quy trình để thiết lập chỉ số rủi ro chính (KRIs – Key risk indicators) nhằm cảnh báo rủi ro vận hành của các ngân hàng thương mại (NHTM) Việt Nam. Bài viết cũng nêu chi tiết khung lý thuyết về các chỉ số rủi ro chính thông qua các bước: (i) Vai trò của KRIs; (ii) Tiêu chí để lựa chọn KRIs; (iii) Thiết lập ngưỡng, giới hạn và mức cảnh báo cho rủi ro vận hành; (iv) Quản lý KRIs và (v) Chế độ báo cáo của KRIs. Sau đó, nghiên cứu tiến hành đề xuất quy trình xây dựng mô hình cảnh báo rủi ro vận hành cho các NHTM Việt Nam dựa vào các chỉ số rủi ro chính (KRIs) và gợi ý danh sách các KRIs cho các NHTM Việt Nam theo phân loại rủi ro vận hành.
1. Rủi ro vận hành của ngân hàng thương mại
Theo hiệp ước Basel II: “Rủi ro hoạt động (rủi ro vận hành) được xác định là rủi ro mất mát, thiệt hại xuất phát từ sự thiếu hoặc thất bại của các quy trình nội bộ, con người, các hệ thống thông tin hoặc xuất phát từ các sự kiện bên ngoài. Định nghĩa rủi ro hoạt động bao gồm cả các rủi ro luật pháp, nhưng không bao gồm rủi ro chiến lược và rủi ro uy tín”. Có thể thấy, định nghĩa về rủi ro vận hành mà Ủy ban Basel đưa ra là tương đối bao quát, mang rất nhiều nội hàm và bao phủ phạm vi rất rộng. Chính vì lí do này, mỗi ngân hàng tùy thuộc vào mục tiêu quản lí của mình có thể xây dựng định nghĩa riêng về rủi ro vận hành trong ngân hàng mình. Tuy nhiên, Ủy ban Basel khuyến nghị chung đối với NHTM là, dù định nghĩa về rủi ro của mình là gì, điều quan trọng là ngân hàng phải hiểu rõ và nắm vững bản chất của rủi ro vận hành, vì chỉ có thế ngân hàng mới tự xây dựng cho mình hệ thống kiểm soát rủi ro và phân loại rủi ro có hiệu quả.
Trong giới hạn nghiên cứu này thì rủi ro vận hành được hiểu theo nghĩa sau: “Rủi ro vận hành là nguy cơ tổn thất trực tiếp hoặc gián tiếp do cán bộ ngân hàng, quá trình xử lý và hệ thống nội bộ không đầy đủ hoặc không hoạt động hoặc do các sự kiện bên ngoài tác động vào hoạt động ngân hàng”. Có nhiều cách để phân loại rủi ro nhưng đối với rủi ro vận hành, theo nguyên nhân phát sinh ra rủi ro vận hành thì Basel II phân thành các loại:
- Rủi ro phát sinh từ yếu tố con người (People): Rủi ro này phát sinh từ các hành động cố ý lừa gạt, vi phạm các nguyên tắc và quy định từ phía nhân viên của ngân hàng.
- Rủi ro phát sinh từ hệ thống (Systems): Rủi ro phát sinh từ hệ thông gây ra mất mát, thiệt hại từ việc gián đoạn hoạt động của các hệ thống hoặc các hệ thống bị lỗi, không hoạt động.
- Rủi ro phát sinh từ quy trình (Processes): Rủi ro phát sinh do quy trình có nhiều điểm bất cập, chưa hoàn chỉnh, tạo kẽ hở cho kẻ xấu lợi dụng gây thiệt hại cho ngân hàng. Quy trình chưa phù hợp, gây khó khăn cho cán bộ tác nghiệp trong ngân hàng.
- Rủi ro phát sinh từ các yếu tố bên ngoài (External Events): Rủi ro phát sinh từ những hành vi cố ý lừa gạt, biển thủ tài sản, vi phạm pháp luật hoặc các hành động của bên thứ ba.
2. Tầm quan trọng của cảnh báo rủi ro trong quản trị rủi ro vận hành
Theo phân loại các nguyên nhân phát sinh, có thể thấy, rủi ro vận hành chính là nguồn gốc xảy ra rủi ro tín dụng, rủi ro lãi suất hay rủi ro thị trường, vì tất cả đều bắt nguồn từ con người, hệ thống, quy trình hoặc các yếu tố bên ngoài. Chính vì thế, rủi ro vận hành có mối quan hệ chặt chẽ với các loại rủi ro khác trong hoạt động kinh doanh ngân hàng. Khi có thể cảnh báo sớm rủi ro vận hành sẽ giúp các NHTM:
- Điều chỉnh và xây dựng các kế hoạch, biện pháp để phòng ngừa rủi ro có thể xảy ra
- Xây dựng các phương án ứng phó nếu rủi ro xảy ra
- Hạn chế các tổn thất thực tế khi rủi ro xảy ra
Chính nhờ việc có thể cảnh báo rủi ro mà các nhà quản trị ngân hàng sẽ có các biện pháp ứng phó phù hợp giúp đảm bảo hoạt động kinh doanh của các NHTM diễn ra bình thường và ổn định. Trong các phần tiếp theo của nghiên cứu này, nhóm nghiên cứu sẽ trình bày chi tiết về tác dụng của các chỉ số rủi ro chính (KRIs) cũng như việc áp dụng KRIs để cảnh báo rủi ro vận hành cho các NHTM Việt Nam.
3. KRIs - Công cụ cảnh báo rủi ro vận hành của các NHTM
Chỉ số rủi ro chính là một công cụ quan trọng trong quản lý rủi ro vận hành, tạo thuận lợi cho việc theo dõi và kiểm soát rủi ro. Các chỉ số rủi ro chính được sử dụng để hỗ trợ trong quy trình quản lý rủi ro vận hành bao gồm: nhận diện và xác định rủi ro, kiểm soát và đánh giá rủi ro; thực hiện việc quản trị rủi ro hiệu quả, xây dựng khung quản trị cho rủi ro vận hành. Mặc dù những lợi ích của KRIs là lớn như thế, tuy nhiên, các hướng dẫn xây dựng và sử dụng có hiệu quả KRIs còn rất hạn chế và cần có thêm các nghiên cứu về lĩnh vực này.
Các KRIs đo lường và ước lượng rủi ro vận hành cung cấp thông tin và mức độ về rủi ro vận hành các các định chế tài chính hay các ngân hàng gặp phải tại một thời điểm cụ thể. Để cung cấp thông tin như các KRIs phải có một mối quan hệ rõ ràng với các rủi ro cụ thể mà chúng làm đại diện. Chẳng hạn, như chỉ số về số lần khiếu nại của khách hàng, sẽ có khả năng được liên kết với các nguy cơ xảy ra sai sót quá trình – sẽ khiến xác suất mà số lần khiếu nại của khách hàng sẽ gia tăng. Nói cách khác, KRIs là số lần khiếu nại của khách hàng sẽ được gắn với thay đổi trong rủi ro vận hành hoặc tổn thất khi rủi ro vận hành xảy ra.
- Vai trò của KRIs
Trong phần này nghiên cứu sẽ phân tích vai trò của các KRIs
(i). KRIs sử dụng để giám sát rủi ro vận hành
Các KRIs được sử dụng như là phương tiện kiểm soát và theo dõi những thay đổi trong của rủi ro vận hành. Nếu được chọn một cách thích hợp các chỉ số có thể cung cấp phương tiện để xác định:
+ Xu hướng rủi ro vận hành đang nổi lên và cần giải quyết
+ Mức độ rủi ro hiện tại
+ Các sự kiện đã xảy ra trong quá khứ và có thể lặp lại 1 lần nữa trong tương lai thông qua các chỉ số theo sau
(ii) Sử dụng KRIs để hỗ trợ đánh giá rủi ro vận hành
Các chỉ số có thể được sử dụng để hỗ trợ đánh giá rủi ro tác nghiệp và cũng cung cấp cách để theo dõi các NHTM cùng các quy trình đánh giá rủi ro vận hành của của ngân hàng đó. Các thay đổi của KRIs sẽ cung cấp cho các NHTM biết được khuynh hướng xảy ra rủi ro vận hành để có các đánh giá chính xác về mức độ rủi ro vận hành tại ngân hàng.
Các chỉ tiêu mà vượt quá các giới hạn/ngưỡng cho phép báo hiệu mức rủi ro tiềm ẩn của rủi ro vận hành rất lớn và đòi hỏi các NHTM phải hành động ngay để ngăn ngừa các rủi ro vận hành có thể xảy ra.
Tuy nhiên, mỗi chỉ số trong KRIs chỉ cho biết về một số rủi ro vận hành nhất định mà không thể đưa cho các nhà quản trị bức tranh tổng quát về mức độ rủi ro vận hành của các NHTM. Chính vì thế, việc sử dụng KRIs không nên được xem như là một thay thế cho một chương trình đánh giá rủi ro và kiểm soát rủi ro vận hành của các NHTM.
(iii). Sử dụng KRIs để xây dựng khẩu vị và quản trị rủi ro vận hành
Một trong những lợi ích của KRIs là việc sử dụng các chỉ số để liên kết mức độ khẩu vị rủi ro trong thời gian thực hoạt động của các NHTM. Bằng cách theo dõi một tập hợp các chỉ số rủi ro thích hợp và bằng cách kiểm tra giá trị thực tế của chúng và xu hướng chống lại giới hạn cho phép/ngưỡng mà các NHTM có thể xem rủi ro vận hành vẫn còn trong ngưỡng cho phép đối với rủi ro hoặc vượt quá ngưỡng đó. Do đó, việc giám sát KRIs là một cơ chế quan trọng, qua đó, các nhà quản trị ngân hàng có thể đảm bảo các chỉ số giám sát rủi ro vận hành vẫn nằm trong giới hạn khẩu vị rủi ro đã đề ra cho rủi ro vận hành.
Việc sử dụng KRIs cũng hỗ trợ cho việc quản trị hiệu quả các NHTM bằng cách cung cấp một cách minh bạch và các phương tiện phù hợp để theo dõi cả các rủi ro vận hành và hoạt động quản lý của các NHTM.
(iv) Sử dụng KRIs để hỗ trợ quản lý hoạt động và quản lý chiến lược
Các KRIs có thể được sử dụng để hỗ trợ hoạt động và quản lý chiến lược như việc đo lường và ước lượng làm thế nào mà các NHTM đạt được mục tiêu tổng thể của nó cũng như đo lường hiệu suất của những hoạt động và/hoặc các quá trình đó rất quan trọng để đạt được các mục tiêu. Chẳng hạn, các NHTM đang cần nâng cao mức độ hài lòng của khách hàng thì các nhà quản trị ngân hàng có thể xem xét thời gian thực hiện giao dịch bình quân của các nhân viên ngân hàng với kỳ vọng rằng khi thời gian giao dịch bình quân cho 1 giao dịch mà càng ngắn thì khách hàng càng ít phải chờ đợi và gia tăng mức độ hài lòng với ngân hàng.
Một cách khác là để các NHTM thiết lập mục tiêu chính thức hoặc ngân sách cho các chỉ tiêu cụ thể, sau đó quản lý dữ liệu đối với con số đó. Ví dụ, các NHTM có doanh thu từ hoạt động dịch vụ trong khoảng 13% đến 15% mỗi năm, tuy nhiên, đối với nghị quyết của Đại hội cổ đông thì tỷ lệ này phải đạt 20% trên tổng doanh thu, các nhà quản trị và điều hành ngân hàng sẽ thiết lập ngưỡng hoạt động và các chiến lược kèm theo để ngân hàng thực hiện được mục tiêu này.
(v) Sử dụng KRIs để đánh giá các quy định và vốn
Việc sử dụng KRIs có thể giúp các NHTM đánh giá việc tuân thủ các quy định của Ngân hàng Nhà nước về các giới hạn an toàn và tính toán nhu cầu vốn tối thiểu cho ngân hàng. Các dữ liệu KRIs có thể được sử dụng để hỗ trợ phân tích kịch bản (Scenario analysis) và thử nghiệm căng thẳng (Stress testing) bằng cách làm nổi bật các rủi ro dễ xảy ra nhất trong thời điểm cụ thể và sức chịu đựng của các NHTM với cú sốc đó.
Đối với các NHTM việc tính toán nhu cầu vốn chịu đựng rủi ro vận hành đòi hỏi các phương pháp nâng cao, tuy nhiên, việc sử dụng KRIs và các yếu tố nội bộ cũng có thể giúp các NHTM tính toán được nhu cầu vốn này khi đảm bảo các tiêu chí: (i) Có nguy cơ nhạy cảm; (ii) Cung cấp quản lý với thông tin về hồ sơ rủi ro của NHTM; và (iii) Nên được sử dụng trên toàn bộ hệ thống của NHTM.
- Tiêu chí lựa chọn KRIs
Bất kỳ thông tin từ một phần của dữ liệu nào cũng có thể được xem như là một chỉ số để giám sát và ước lượng rủi ro vận hành. Tuy nhiên, việc sử dụng quá nhiều dữ liệu có thể nguy hiểm cho NHTM cũng như trường hợp sử dụng quá ít các KRIs để giám sát. Chính vì thế, các tiêu chuẩn cụ thể của các chỉ số để trở thành KRIs bao gồm:
(i) Phù hợp
Để trở thành KRIs, các chỉ số cần phải có sự liên quan trực tiếp đến những dấu hiệu rủi ro vận hành đang được theo dõi. Theo đó, KRIs cần liên kết được rủi ro vận hành của NHTM và cung cấp cho nhà quản trị, điều hành ngân hàng các thông tin về giá trị tổn thất, mức độ rủi ro đang thay đổi theo thời gian. Về mức độ phù hợp thì các KRIs được chia thành 3 nhánh: Các chỉ số trọng tâm cụ thể; các chỉ số tập trung; các chỉ số thông thường hoặc chung chung.
Một khía cạnh quan trọng cần lưu ý khi xem xét sự phù hợp của các KRIs là có thể thay đổi theo thời gian và có thể thay đổi linh hoạt với tình hình thực tế trong hoạt động kinh doanh ngân hàng. Tiêu chí để lựa chọn các chỉ số tiềm năng trở thành KRIs bao gồm:
+ Liệu chỉ số có giúp xác định các rủi ro hiện hành?
+ Liệu chỉ số có giúp định lượng hoặc đo lường rủi ro?
+ Liệu chỉ số có giúp theo dõi việc xảy ra rủi ro?
+ Liệu chỉ số có giúp quản lý các hậu quả của rủi ro vận hành?
(ii) Có thể đo lường được
Để trở thành KRIs các chỉ số cần phải có khả năng đo lường được giá trị với sự chính xác cao trên cơ sở lặp đi lặp lại. Điều này ngụ ý rằng, các chỉ số phải là con số/đếm (số ngày, nhân viên, số lần, giá trị, tỷ lệ phần trăm, tỷ lệ, thời hạn thời gian… Chỉ số được lựa chọn thành KRIs phải có các đặc điểm sau:
- Các chỉ số phải có khả năng được định lượng như một số tiền, tỷ lệ phần trăm, tỷ lệ, số lượng hoặc số đếm
- Các chỉ số phải có giá trị là chính xác, hợp lý là một số lượng nhất định
- Chỉ số giá trị phải được so sánh theo thời gian
- Các chỉ số cần được báo cáo với các giá trị chính và có ý nghĩa mà không cần giải thích
(ii) Khả năng dự báo rủi ro
Các KRIs cần phải nêu được trạng thái theo sau, dẫn trước hoặc mức độ hiện hành về rủi ro vận hành của các NHTM. Các nhà quản trị ngân hàng thường quan tâm đến khả năng dự báo rủi ro vận hành của các KRIs với kỳ vọng rằng tương lai là sự lặp lại trong qua khứ. Chẳng hạn, tại thời điểm các năm trước khi tỷ lệ nhân viên nghỉ việc lên tới 15% thì các ngân hàng sẽ gia tăng tỷ lệ giao dịch bị từ chối, gia tăng sự không hài lòng của khách hàng thì tại thời điểm hiện tại khi tỷ lệ nhân viên nghỉ việc là 13% thì các nhà quản trị cần có các chính sách hợp lý để tránh những điều tồi tệ trong quá khứ lặp lại.
Hầu hết các nhà quản trị ngân hàng đều muốn các KRIs có thể phòng ngừa và dự đoán các rủi ro vận hành đủ xa từ trước để ngăn chặn, loại bỏ hoặc ít nhất là giảm thiểu thiệt hại nếu rủi ro có thể xảy ra.
(iv) Dễ dàng giám sát rủi ro vận hành
Các KRIs cần dễ theo dõi và phản ánh hai đặc điểm:
+ Dữ liệu sử dụng cho các chỉ số cần đơn giản, chi phí thu thập thấp và đảm bảo chất lượng.
+ Các dữ liệu được giải thích dễ dàng, dễ hiểu và dễ theo dõi
(iv). Dễ kiểm chứng
Bên cạnh việc đơn giản và dễ dàng giám sát rủi ro vận hành thì các nhà quản trị ngân hàng cần lựa chọn các KRIs dễ kiểm chứng để hệ thống kiểm toán nội bộ hay các công ty kiểm toán ngoài có thể kiểm chứng và xác nhận mức độ rủi ro vận hành hiện tại của các ngân hàng.
(v) Có khả năng so sánh đối chứng
Trong nhiều trường hợp, ngay cả các chỉ số thang đo như tỷ lệ phần trăm và giá trị không cung cấp đầy đủ thông tin về mức độ rủi ro vận hành mà các NHTM đang gặp phải. Các tỷ lệ hoặc giá trị được xác định từ các KRIs có thể sẽ trở thành vô nghĩa nếu không thể so sánh được với một số tiêu chuẩn nhất định về ước lượng trạng thái rủi ro tại các NHTM.
- Quy trình tuyển chọn các KRIs
Có hai phương pháp chính mà các NHTM sử dụng để lựa chọn KRIs: (i) Phương pháp từ trên xuống hoặc (ii) Phương pháp từ dưới lên.
Các phương pháp tiếp cận từ trên xuống bắt đầu với quản lý cấp cao và/hoặc giám đốc người chọn ra các chỉ tiêu được theo dõi trên toàn hệ thống của các NHTM, trong khi các phương pháp tiếp cận từ dưới lên cho nhân viên/nhà quản lý cấp khu vực lựa chọn các chỉ số KRIs cho từng bộ phận/khu vực của riêng mình.
- Số lượng các chỉ số trong KRIs
Không có câu trả lời đúng hay sai về số lượng bao nhiêu chỉ số trong KRIs cần được thiết lập. Khi các chỉ số quá ít có thể không cung cấp một bức tranh tổng thể về trạng thái rủi ro vận hành của NHTM và quá nhiều có thể trình bày một bức tranh quá khó hiểu về trạng thái rủi ro ấy. Các yếu tố sau đây nên được xem xét khi quyết định số lượng các chỉ số được thiết lập:
+ Số lượng và tính chất của các rủi ro chính được xác định
+ Có sẵn các dữ liệu cần thiết cho các chỉ số quan trọng
+ Các chi phí cần thiết để trích xuất các dữ liệu cho các chỉ số quan trọng
+ Các đối tượng dự định báo cáo (địa phương quản lý, điều hành, hội đồng quản trị…)
- Chỉ số tổng hợp rủi ro
Việc sử dụng các chỉ số tổng hợp giúp các KRIs xây dựng được bức tranh tổng quát hơn về từng mảng hay lĩnh vực mà nhà quản trị cần theo dõi trong quá trình quản lý rủi ro vận hành. Các chỉ số tổng hợp này có thể cung cấp một cơ chế thực tế hơn trong cố gắng để dự đoán mức độ tiểm ẩn rủi ro vận hành trong tương lai của các NHTM. Chẳng hạn, như chỉ số tổng hợp về mức độ hài lòng của khách hàng hoặc nhân viên sẽ được xây dựng dựa trên các KRIs về các số liệu như khiếu nại, điều tra, yêu cầu bồi thường… hoặc đại diện cho nguyên nhân rủi ro lớn hơn như các rủi ro xuất phát từ con người.
- Ngưỡng, giới hạn và mức cảnh báo cho rủi ro vận hành
Việc xây dựng KRIs hay các chỉ số tổng hợp để quản lý và cảnh báo rủi ro vận hành mà không có bất kỳ hướng dẫn nào về giải thích các dữ liệu và những hành động cần thiết phải thực hiện khi vượt giới hạn cho phép sẽ không có nhiều lợi ích cho các NHTM khi sử dụng KRIs.
Chính vì thế, các NHTM cần xây dựng các ngưỡng, giới hạn và mức cảnh báo cho rủi ro vận hành, nếu các KRIs vi phạm ngưỡng hoặc giới hạn cho phép thì các NHTM cần có các hành động kịp thời để ngăn ngừa và giảm thiểu các tổn thất có thể xảy ra. Việc xây dựng các ngưỡng và giới hạn cho từng chỉ số cụ thể là một phần quan trọng trong khuôn khổ quản lý rủi ro vận hành theo KRIs.
Tuy nhiên, không có một nguyên tắc hay quy luật chung nào cho tất cả các NHTM khi xây dựng các ngưỡng, giới hạn và mức cảnh báo cho rủi ro vận hành mà chính các NHTM phải tự thu thập, quan sát các thông tin của các KRIs trong một khoảng thời gian tối thiểu thường là 1 năm sau đó tự đánh giá các dữ liệu và xu hướng của KRIs theo thời gian đó để thiết lập các ngưỡng và giới hạn ban đầu.
(i) Ngưỡng và giới hạn
Ngưỡng và giới hạn hoặc là việc thiết lập ranh giới trong quá trình quản lý rủi ro vận hành, khi giá trị của các KRIs vượt quá ngưỡng và giới hạn cho phép, sẽ cảnh báo các NHTM cần hành động để thay đổi trạng thái rủi ro vận hành hiện tại.
Xem xét trường hợp sau đây về rủi ro vận hành tại 1 NHTM bất kỳ, giả sử tỷ lệ nhân viên nghỉ việc bình quân dao động trong phạm vi từ 5% - 10%, các NHTM có thể thiết lập các ngưỡng và giới hạn cũng như mức cảnh báo cho từng mức như sau:
+ Khi tỷ lệ nhân viên nghỉ việc tại bất kỳ chi nhánh nào đạt ngưỡng là 10% trong 1 kỳ quan sát thì Giám đốc chi nhánh cần phải tự tìm hiểu nguyên nhân để điều chỉnh và báo cáo lên Bộ phận quản lý nhân sự của Hội sở.
+ Khi tỷ lệ nghỉ việc tại bất kỳ chi nhánh nào đạt ngưỡng là 15% trong 1 kỳ quan sát thì Giám đốc nhân sự của Hội sở phải trực tiếp tìm hiểu nguyên nhân để điều chỉnh và báo cáo lên Ban điều hành.
+ Khi tỷ lệ nghỉ việc tại bất kỳ chi nhánh nào đạt ngưỡng là 20% trong 1 kỳ quan sát thì Ban điều hành phải trực tiếp tìm hiểu nguyên nhân để điều chỉnh và báo cáo lên Hội đồng quản trị để ra quyết định cuối cùng về các rủi ro vận hành tiềm ẩn đã/có thể xảy ra đối với chi nhánh và toàn hệ thống.
Điều quan trọng trong việc thiết lập các giới hạn và ngưỡng là khoảng cách giữa các ngưỡng phải đủ rộng để các bộ phận hoặc cá nhân chịu trách nhiệm có thời gian để giải quyết nhưng cũng cần đủ hẹp để đảm bảo rằng các vấn đề quan trọng không vượt quá khả năng giải quyết của các bộ phận hay cá nhân chịu trách nhiệm cuối cùng. Chính vì thế, các NHTM cần định kỳ xem xét và đánh giá lại việc sử dụng các KRIs cùng các giới hạn và ngưỡng áp dụng cho từng loại chỉ tiêu đó. Khi các ngưỡng và giới hạn quá hẹp sẽ cho các kết quả cảnh báo sai, và theo thời gian, tất cả hệ thống NHTM đều bỏ qua hoàn toàn các cảnh báo đó, tuy nhiên, nếu các ngưỡng và giới hạn quá rộng thì các NHTM sẽ phản ứng muộn với các rủi ro lớn có thể xảy ra và để lại các tổn thất rất lớn cho các NHTM.
(ii) Mức cảnh báo cho rủi ro vận hành
Sau khi thiết lập các ngưỡng cho các KRIs, bước tiếp theo là xác định các phản ứng cần thiết khi một chỉ số bị vi phạm. Điều này thường được cho là một điều kiện kích hoạt, khi các KRIs vượt mức giới hạn và ngưỡng thì bộ phận nào chịu trách nhiệm quyết định hành động và hành động như thế nào theo các cấp quản lý từ thấp đến cao tùy theo mức độ ngưỡng mà các KRIs vi phạm.
- Quản lý KRIs
Việc lựa chọn KRIs cần theo một quy trình kiểm soát và đánh giá rủi ro vận hành cụ thể để có minh chứng về quá trình lựa chọn và các mối liên kết giữa quá trình đánh giá rủi ro vận hành và các số liệu được sử dụng để đánh giá.
Bất kỳ chương trình lựa chọn KRIs nào cũng cần hỗ trợ với các thủ tục thích hợp:
+ Thống nhất chế độ quản trị thích hợp (xác định rõ vai trò và trách nhiệm của từng bộ phận/cá nhân có liên quan)
+ Các tài liệu phải nêu chi tiết các thông tin về các chỉ số được lựa chọn (các yêu cầu dữ liệu, đơn vị cung cấp dữ liệu…)
+ Thủ tục lựa chọn (như làm thế nào, khi nào và ai có thể lựa chọn các chỉ số)
+ Việc duy trì các chỉ số được lựa chọn (thông qua thay đổi các nguồn dữ liệu, cải tiến các công thức tính toán…)
(i) Thêm hoặc thay đổi các chỉ số
Định kỳ các NHTM cần xem xét danh sách các KRIs để thay đổi danh sách các chỉ số trong KRIs. Việc thay đổi danh sách các KRIs cần được chứng minh bằng tài liệu thích hợp, bao gồm cả những người cần phải làm gì đối với khu dữ liệu hiện có, thu thập dữ liệu mới và những thay đổi để báo cáo.
Thủ tục làm thay đổi các KRIs cần chú ý các vấn đề sau:
+ Tần suất mà các chỉ số rủi ro cần phải được xem xét
+ Ai là người có thẩm quyền phê duyệt việc bổ sung, thay đổi hoặc loại bỏ các chỉ số rủi ro đặc biệt
+ Quy trình lựa chọn các KRIs cũng phải được thực hiện theo phương pháp tiếp cận từ trên xuống hay phương pháp tiếp cận từ dưới lên như phân tích ở phần trên.
+ Khi loại bỏ 1 chỉ số ra khỏi danh sách KRIs, những gì sẽ xảy ra với dữ liệu đã được thu thập (dữ liệu sẽ được giữ lại hoặc xóa?)
+ Khi thay thế một chỉ số hiện có với một chỉ số tương tự trong KRIs, nên tính lại các dữ liệu quá khứ và sửa đổi để áp dụng cho các chỉ số mới
(ii). Thay đổi ngưỡng và giới hạn
Định kỳ, các NHTM cần xem xét, đánh giá và điều chỉnh các ngưỡng và giới hạn cũng như mức cảnh báo rủi ro vận hành cho các chỉ số KRIs. Việc điều chỉnh các ngưỡng và giới hạn cũng như mức cảnh báo rủi ro vận hành cũng phải tuân theo đúng các quy trình và thủ tục như đã phân tích ở trên.
(iii). Thu thập và quản lý dữ liệu
Việc thu thập và quản lý các dữ liệu để xây dựng KRIs cần đảm bảo các tiêu chí:
+ Nguồn thông tin cho mỗi chỉ số
+ Người chịu trách nhiệm (đơn vị/ bộ phận chịu trách nhiệm) cung cấp các dữ liệu, tần suất thu thập dữ liệu
+ Lập kế hoạch, thời gian ghi nhận và giới hạn thời gian lưu trữ cho mỗi loại chỉ số
Càng nhiều thông tin được quản lý và sử dụng thì các NHTM sẽ càng tiết giảm chi phí. Cách tốt nhất để các dữ liệu về các chỉ số được cập nhật thường xuyên và tự động là sự tích hợp với hệ thống core banking hiện tại của các NHTM làm giảm phụ thuộc vào con người và giảm thiểu khả năng lỗi có thể xảy ra.
- Báo cáo
Các KRIs cùng các ngưỡng và các nội dung liên quan cần được báo cáo định kỳ đến các nhà quản trị các cấp của NHTM để có thể sử dụng hiệu quả các vai trò mà KRIs mang lại, nhất là khả năng cảnh báo rủi ro vận hành tại các NHTM này.
Phạm vi, nội dung và trình bày một báo cáo sẽ phụ thuộc vào các yêu cầu của các nhà quản trị. Tuy nhiên, có một số tiêu chuẩn như sau đối với việc trình bày các báo cáo về KRIs:
+ Sự liên quan
+ Đơn giản
+ Kịp thời
+ Độ chính xác
+ Xu hướng
+ Thủ tục leo thang rõ ràng
+ Tuân thủ
Các báo báo cần được thực hiện định kỳ theo ngày, theo tuần, theo tháng hay theo năm phụ thuộc vào yêu cầu của nhà quản trị các cấp, tuy nhiên, cần phải kịp thời để hỗ trợ việc ra quyết định, xây dựng hành động giúp các NHTM phòng ngừa và giảm thiểu các tổn thất của rủi ro vận hành.
Các nhóm chỉ số KRIs được phân thành các màu xanh, vàng và đỏ để hiển thị các trạng thái khác nhau về mức độ rủi ro vận hành tiềm ẩn. Các chỉ số nằm trong phạm vi là đỏ cần có sự quan tâm lớn nhất vì sắp vượt các mức giới hạn và ngưỡng cho phép đối với rủi ro vận hành. Tương tự như vậy, các KRIs nằm trong phạm vi vàng sẽ nhận được nhiều quan tâm hơn các KRIs nằm trong khu vực an toàn màu xanh. Lưu ý rằng, mỗi KRIs cần được thiết lập các giá trị ngưỡng và giới hạn để chỉ nhận một giới hạn duy nhất là đỏ, vàng hoặc xanh.
Bằng cách theo dõi các xu hướng trong các giá trị của các KRIs rủi ro vận hành, các NHTM có thể xác định xem họ có thể vi phạm thỏa thuận giới hạn/ngưỡng trong tương lai gần. Việc giám sát các xu hướng trong KRIs như vậy, cho phép các NHTM chủ động hơn trong việc quản lý rủi ro vận hành của ngân hàng mình để phòng tránh việc xảy ra các rủi ro chứ không chỉ đơn giản là xác định các vi phạm trong rủi ro vận hành.
4. Quy trình xây dựng KRIs cảnh báo rủi ro vận hành của các NHTM Việt Nam
Một trong những đặc điểm chính của các KRIs là khả năng dự báo rủi ro vận hành cho các NHTM nhờ các chỉ số dẫn trước các hành động rủi ro có thể xảy ra. Trong phần này, nghiên cứu đề xuất một số bước giúp các NHTM Việt Nam xây dựng mô hình cảnh báo rủi ro vận hành dựa vào KRIs theo trình tự như sau:
(i) Các NHTM cần xác định phương pháp lựa chọn: Phương pháp từ trên xuống hoặc phương pháp từ dưới lên. Xét tình hình hiện tại của các NHTM Việt Nam thì phương pháp tiếp cận từ trên xuống sẽ phù hợp trong giai đoạn đầu và sau này khi có điều kiện sẽ áp dụng bổ sung phương pháp tiếp cận từ dưới lên.
(ii) Dựa vào tình hình kinh doanh hiện tại ở mỗi NHTM, cần xác định số lượng KRIs cần thiết lập nhằm phản ảnh hết bức tranh tổng thể về rủi ro vận hành tại ngân hàng và có khả năng cảnh báo được rủi ro vận hành nhờ các xu hướng thay đổi của các KRIs.
(iii) Xác định các ngưỡng và giới hạn cho từng chỉ số trong KRIs
(iv) Xây dựng các mức hành động phù hợp với từng ngưỡng và giới hạn cụ thể cho các cá nhân hoặc bộ phận chịu trách nhiệm quản lý rủi ro vận hành
(v) Định kỳ, các NHTM cần xem xét, đánh giá, điều chỉnh, bổ sung và thay thế các chỉ số trong KRIs, các ngưỡng và giới hạn cũng như mức cảnh báo rủi ro vận hành.
(vi) Xây dựng chế độ báo cáo KRIs định kỳ hàng ngày, hàng tuần, hàng tháng, hàng quý hoặc hàng năm cho từng cấp quản lý ở chi nhánh hay hội sở nhằm phân tích mức độ rủi ro vận hành hiện tại và phân tích xu hướng thay đổi rủi ro vận hành của ngân hàng. (Bảng 1)
Bảng 1: Danh sách KRIs đề xuất cho các NHTM Việt Nam
Phân loại |
Danh sách KRIs |
Rủi ro phát sinh |
Tỷ lệ bệnh tật cho mỗi bộ phận mỗi tháng/năm |
Tỷ lệ nhân viên nghỉ việc |
|
Tổng số hợp đồng tuyển mới |
|
Số lượng khiếu nại về nhân sự trong kỳ |
|
Chi phí đào tạo thực tế trung bình cho 1 nhân viên |
|
Số ngày đào tạo trung bình cho nhân viên |
|
Tỷ lệ nhân viên đã kiểm tra sức khỏe và tập huấn các quy tắc an toàn hoạt động |
|
Tỷ lệ nhân viên được đào tạo các nghiệp vụ liên quan đến tội phạm tài chính /rửa tiền |
|
Tỷ lệ nhân viên đã không sử dụng hết số ngày nghỉ phép trong 2 năm liên tiếp |
|
Tỷ lệ của các tài khoản với tài liệu hướng dẫn khách hàng không đầy đủ |
|
Tỷ lệ mở tài khoản của khách hàng không hợp lệ |
|
Tỷ lệ của tài khoản khách hàng có thay đổi đáng kể trong khối lượng / giá trị giao dịch |
|
Tỷ lệ nhân viên đánh giá dưới mức “Hài lòng” |
|
Số nhân viên bất bình |
|
Tỷ lệ nhân viên nghỉ việc trong 6 tháng đầu |
|
Tỷ lệ nhân viên dài hạn so với tạm thời |
|
Thời gian phục vụ dịch vụ trung bình cho mỗi khách hàng của đội ngũ nhân viên |
|
Thời gian trung bình để tìm nhân sự thay thế |
|
Nhập dữ liệu vào hệ thống core banking bị sai sót |
|
Thiếu chữ ký của giao dịch viên, chữ ký của kiểm soát viên, của thủ quỹ và dấu (nếu có) trên chứng từ |
|
Hạch toán sai (tài khoản, mã tiền tệ, ngày giá trị) |
|
Không phát hiện được tiền giả |
|
Không phát hiện việc nhập sai giao dịch của giao dịch viên |
|
Giao dịch viên có hai User ở trạng thái hoạt động |
|
Các giao dịch viên sử dụng chung User, pasword |
|
Các giao dịch viên và kiểm soát viên tự thực hiện giao dịch trên tài khoản của chính mình |
|
Không khớp đúng chữ ký của giao dịch viên/ kiểm soát viên trên chứng từ (nhập/duyệt giao dịch trên hệ thống là 1 người, ký trên chứng từ là 1 người khác) |
|
Hồ sơ khách hàng chưa đầy đủ để lưu hệ thống |
|
Số vụ khiếu nại của nhân viên liên quan đến quan hệ lao động |
|
Số lượng nhân viên có các thói quen cờ bạc, cá độ, tệ nạn xã hội, chơi hụi… |
|
Số lượng nhân viên có bất thường trong hành vi, trong cuộc sống không rõ nguyên nhân |
|
Số vị trí nhân viên quản lý bị trống |
|
Tỷ lệ nhân viên được tuyển dụng mới |
|
Tỷ lệ nhân viên thử việc không được ký tiếp hợp đồng lao động có kỳ hạn/tổng số nhân viên thử việc |
|
Rủi ro phát sinh |
Số lượng tài khoản của khách hàng và khách hàng ngân hàng điện tử mà đã bị tổn hại cụ thể thông qua lừa đảo và / hoặc trojans. |
Thời gian trung bình, thể hiện trong vài phút, đột xuất của hệ thống ngừng hoạt quan trọng mỗi tháng, trong thời gian 12 tháng trước lịch. |
|
Số lượng các công nghệ thông tin yêu cầu hỗ trợ hiện quá tải và vượt quá ngưỡng |
|
Số lần hệ thống công nghệ thông tin ngừng hoạt động |
|
Số lỗ hổng bảo mật IT mỗi tháng / năm |
|
Số lần virus gây lỗi hệ thống |
|
Số lần sự cố của các nhà cung cấp dịch vụ IT |
|
Số lỗi máy chủ 1 ngày mỗi tháng / năm |
|
Số thủ tục khôi phục thảm họa công nghệ thông tin được thử nghiệm và hệ thống mỗi năm |
|
Rủi ro phát sinh |
Số lượng sản phẩm mới / sản phẩm mới đang chờ phê duyệt / sản phẩm không được chấp thuận |
Số sự cố báo cáo đến hoạt động rửa tiền |
|
Trường hợp ngoại lệ xử lý như là một tỷ lệ phần trăm của khối lượng giao dịch |
|
Số lượng khách hàng khiếu nại |
|
Rủi ro phát sinh |
Số lượng các hiệp định tài sản thế chấp hiện thiếu hoặc không được thực hiện và vượt ra ngoài thời gian được miễn tối đa của tổ chức. |
Số lượng chi nhánh đang hoạt động, các điểm xử lý và hoạt động nằm ở các nước coi là có nguy cơ rủi ro cao |
|
Số lượng ngừng của hệ thống thanh toán bên ngoài mà tổ chức có giao diện và / hoặc phụ thuộc lẫn nhau, trong vòng 12 tháng dương lịch trước đó. |
|
Số lệnh thanh toán không khớp được phát hiện trong tháng dương lịch trước qua các pháp nhân trong tổ chức. |
|
Tổng số lệnh thanh toán thất bại trong ngày làm việc trước đó. |
|
Tổng giá trị tổng giải quyết thất bại trong ngày làm việc trước đó. |
|
Số lần ngừng hoạt động của hệ thống thanh toán của tổ chức trong tháng dương lịch trước |
|
Tổng số các khoản thanh toán phát sinh trong tháng dương lịch trước đó không phù hợp tuy đã được xác định trước, hướng dẫn giải quyết . |
|
Tổng số vụ cướp do bên ngoài qua các chi nhánh của tổ chức và các điểm xử lý trong tháng dương lịch trước đó. |
|
Số lượng các trường trong thời gian 12 tháng trước lịch mà hệ thống bảo mật vật lý và thiết bị dò vấn đề môi trường trên tài sản của các tổ chức và cơ sở đã báo động vì lý do nào. |
|
Số lượng các sự cố liên quan đến sức khỏe và sự an toàn của các tài sản của các tổ chức và cơ sở đã được báo cáo trong thời gian 12 tháng trước lịch |
|
Số lượng các sự cố của bên thứ ba nhà, từ các nhà cung cấp thuê ngoài |
|
Số lần bão ảnh hưởng vào Việt Nam |
|
Số lần cảnh báo cháy nổ |
Nguồn: Tổng hợp của tác giả
1. Basel Committee on Bank Supervision (2011), Principles for Sound Management of Operational Risk, Bank for International Settlement Publication.
2. Basel Committee on Banking Regulation (May 2001), Consultative Document Operational Risk - Supporting Document to the New Basel Capital Accord, Bank for International Settlement Publication.
3. Basel Committee on Banking Regulation (2011), Operational Risk - Supervisory Guidelines for the Advanced Measurement Approaches, Bank for International Settlement Publication.
4. Institute of Operational Risk (2010), Operational Risk Sound Practice Guidance: Key Risk Indicators, Sound Practice Guidance.
1 Đại học Ngân hàng Tp. HCM