Quản lý rủi ro hoạt động tại
các ngân hàng thương mại
trong thời đại công nghệ số
TS. Cấn Văn Lực
Hà Nội, ngày 24/11/2016
24/11/2016

C.V. Lực/HT QLRR 2016

1


NỘI DUNG TRÌNH BÀY
1. Đôi điều về rủi ro hoạt động và rủi ro
công nghệ trong ngân hàng
2. Qui trình, nguyên tắc quản lý rủi ro
hoạt động trong ngân hàng theo Basel II
3. Thực trạng quản lý rủi ro hoạt động và
rủi ro công nghệ tại các NHTM VN
4. Gợi ý giải pháp.

24/11/2016

C.V. Lực/HT QLRR 2016

2


Hình 1: Rủi ro trong họat động TC-NH
RR giá CK

RR thị trường

RR lãi suất

Trading Risk
Gap Risk

RR ngoại hối
RR giá hàng hóa
RR khoản vay

RR tín dụng

Rủi ro

RR thanh khoản

RR do không đa
dạng hóa DMĐT

RR hoạt động

RR người
đi vay
RR người
phát hành
công cụ nợ

RR pháp lý
RR danh tiếng

24/11/2016

Rủi ro công nghệ??

C.V. Lực/HT QLRR 2016

3


Hình 2: RRHĐ - Phân loại theo nguyên nhân
RRHĐ = RR tác nghiệp = RR vận hành = Operational Risk.

RRHĐ
Con
người

Qui
trình

Hệ
thống

Khách
quan

- Hành vi của nhân viên
- Cơ quan quản lý cán
bộ không hiệu quả
- Kỹ năng, trình độ,
nhận thức của nhân viên


- Bất cập, chưa
hoàn chỉnh, chưa
phù hợp
- Cơ cấu tổ chức,
chiến lược, mục
tiêu không rõ ràng

- Hệ thống CNTT
- Các hệ thống hỗ
trợ/dự phòng;
- Hạ tầng thông
tin; bên thứ 3

- Lừa đảo
- Bất khả kháng
- Chính sách
thay đổi

24/11/2016

C.V. Lực/HT QLRR 2016

4


RRHĐ: phân loại theo sự kiện
1. Gian lận nội bộ: vượt thẩm quyền, ăn trộm, gian lận
2. Gian lận bên ngoài: an ninh hệ thống kém, ăn trộm, gian lận
3. Thông lệ tại nơi làm việc: quan hệ nhân viên, môi trường

làm việc (an toàn, tính đa dạng về văn hóa, phân biệt ..vv)
4. Thiệt hại về tài sản (thiên tai, địch họa..vv)
5. Gián đoạn kinh doanh, hệ thống hư hỏng
6. Liên quan đến khách hàng, sản phẩm và thông lệ kinh
doanh: tiết lộ thông tin, thông lệ kinh doanh không đúng, sản
phẩm khiếm khuyết, họat động tư vấn có vấn đề..vv
7. Quản lý quá trình thực hiện: lỗi tác nghiệp giao dịch, hồ sơ
không đầy đủ….vv.
24/11/2016

C.V. Lực/HT QLRR 2016

5


Hình 3: Quan hệ giữa các cấu phần trong RRHĐ
Kế họach phòng ngừa RRHĐ

Nguyên nhân
- Con người
- Qui trình
- Hệ thống
- Khách quan

Sự kiện RR
- Gian lận nội
bộ/bên ngoài
- Thiệt hại về TS
- Ngưng trệ kinh
doanh

- Lỗi hệ thống

Ảnh hưởng
- Trách nhiệm pháp lý
- Tổn thất, mất mát TS,
con người
- Mất viện trợ, bồi
thường

Cơ sở dữ liệu tổn thất
Nguồn: Ủy ban Basel về Giám sát Ngân hàng (2001).
24/11/2016

C.V. Lực/HT QLRR 2016

6


Vấn đề rủi ro công nghệ?
• Xu thế phát triển ngân hàng số tại Việt
Nam
• Rủi ro công nghệ trong tổ chức
• Rủi ro công nghệ trong hoạt động ngân
hàng.

24/11/2016

C.V. Lực/HT QLRR 2016

7



Hình 4: Tỷ lệ khách hàng của NH sử dụng
dịch vụ NH số (mobile/internet banking,%)

Nguồn: Khảo sát của McKinsey 2015.
C.V.Lực/HT-Banking VN 2016

8


Hình 5: Tốc độ tăng tỷ lệ sử dụng “NH
số” tại Việt Nam và khu vực

2011
2014

Nguồn: Khảo sát của McKinsey 2015.
24/11/2016

C.V. Lực/HT QLRR 2016

9


Bảng 1: Cung cấp dịch vụ “NH số”
tại các NHTM VN hiện nay
• Kết quả khảo sát nhanh 43 NHTM cho thấy:
NH


Internet
banking

Mobile banking

Mạng xã hội
(facebook/twitter)

7 NHTM NN (gồm cả 3 NH
mua lại 0 đồng)

Có

Có, trừ NH Xây
dựng

Có, trừ GPBank

6 NHTM 100% vốn nước
ngoài

Có

Có

Có

3 NH Liên doanh

Có


Có

Chưa có

27 NHTMCP

Có

Có , trừ NH SG
Công thương

Có , trừ NH SG
Công thương

Nguồn: khảo sát của Nhóm nghiên cứu từ websites các NHTM.

24/11/2016

C.V. Lực/HT QLRR 2016

10


Rủi ro công nghệ?
• Kết quả khảo sát 568 đơn vị tại 74 quốc gia cho thấy 10 nguy cơ
hàng đầu (khảo sát của ORC Pte Ltd 2016):
1. Tấn công mạng
2. Lỗ hổng dữ liệu
3. Cắt điện thiết bị CNTT không theo kế hoạch

4. Khủng bố
5. Sự cố gây mất an toàn thông tin
6. Gián đoạn cung cấp tiện ích
7. Gián đoạn chuỗi cung ứng
8. Thời tiết bất lợi
9. Thiếu cán bộ có tay nghề
10. An toàn và sức khỏe.
24/11/2016

C.V. Lực/HT QLRR 2016

11


Rủi ro công nghệ trong ngân hàng?
• Theo McKinsey & Co., nhiều NHTM cho rằng rủi ro
công nghệ chiếm hơn 50% rủi ro hoạt động chính,
chủ yếu gồm:
- Gián đoạn quá trình kinh doanh chủ yếu được
outsourced cho bên thứ ba
- Xâm phạm dữ liệu khách hàng hoặc nhân viên
- Tấn công mạng
- Đầu tư bảo vệ an ninh mạng chiếm đến 10% chi
phí đầu tư CNTT.
- Basel II xác định: 1 trong 7 rủi ro hoạt động cấp 1 là
“gián đoạn kinh doanh và hệ thống hư hỏng” – slide 5.
24/11/2016

C.V. Lực/HT QLRR 2016


12


2. Qui trình/nội dung quản lý rủi ro
hoạt động trong ngân hàng
Theo Basel II, QLRRHĐ bao gồm:
(a) Nhận diện rủi ro
(b) Đánh giá, đo lường rủi ro
R
C
S
A

(c) Thiết lập các hạn mức rủi ro
(d) Thực hiện giải pháp giảm thiểu rủi ro

(e) Giám sát và báo cáo
(f) Tính toán vốn cần thiết để trang trải tổn thất ngoài
dự kiến do RRHĐ gây nên
24/11/2016

C.V. Lực/HT QLRR 2016

13


a. Nhận biết rủi ro hoạt động
• Theo dõi có hệ thống và lưu trữ thường xuyên, chính xác
thông tin về nguyên nhân, mức độ ảnh hưởng, khắc phục.
• Dựa trên việc tự đánh giá rủi ro và kiểm soát, báo cáo

KTNB, hồ sơ rủi ro.
• Một số dấu hiệu:
– Hành vi trong bối cảnh không bình thường (nghiện
ngập, ma túy, chơi đề, thua lỗ trong KD..vv)
– Có hành vi lén lút khi sử dụng máy tính, trao đổi điện
thoại, email..vv
– Giờ giấc tại cơ quan không ổn định…vv.
24/11/2016

C.V. Lực/HT QLRR 2016

14


b. Đo lường rủi ro hoạt động
• Định tính:
– Xếp hạng/đánh giá của kiểm toán nội bộ
– Khuyến cáo của kiểm toán, thanh tra bên ngoài
– Thông tin báo chí
– Phân tích cơ sở dữ liệu tổn thất
– Sơ đồ hóa qui trình hoạt động
– Phân tích kịch bản.

• Định lượng:
– Các chỉ số rủi ro chính (KRIs)
– Xếp hạng mức độ rủi ro (Risk rating).
24/11/2016

C.V. Lực/HT QLRR 2016


15


Bảng 2: Chỉ tiêu đo lường RRHĐ
Sự cố
Gian lận
Khiếu nại và tranh
chấp của K/h
Vị trí công việc bị
bỏ trống
Chính sách sản
phẩm
Lỗi, sai sót
Xử lý giao dịch
CNTT
Vi phạm qui định

Chỉ số rủi ro (KRIs)
Số lượng gian lận nội bộ
Số lượng gian lận bên ngoài
Số lượng khiếu nại và tranh chấp
Số lượng khiếu nại vượt quá X ngày
Tỷ lệ % vị trí bị bỏ trống
Số lượng các vị trí bỏ trống vượt quá X ngày
Số SP được đưa ra nhưng không hoàn thành như dự kiến
Số SP triển khai chậm
Số lượng đối với từng mặt nghiệp vụ/sản phẩm
Số vi phạm quá giới hạn
Khối lượng giao dịch
Số giao dịch quá hạn trong quá trình xử lý

Số lượng và thời gian ngừng hệ thống theo kế họach
Số lượng và thời gian ngừng hệ thống không theo kế họach
Số vi phạm/phạt/cảnh cáo vi phạm qui định của cơ
quan/luật pháp

Nguồn: KPMG International 2007.
24/11/2016

C.V. Lực/HT QLRR 2016

16


c. Thiết lập hạn mức rủi ro
Thể hiện trong tuyên bố “Khẩu vị rủi ro”
hàng năm của mỗi ngân hang
Thể hiện trong phân cấp ủy quyền, hạn
mức/trạng thái giao dịch, và thẻ tính
điểm/cảnh báo..v.v.

24/11/2016

C.V. Lực/HT QLRR 2016

17


Bảng 3: Kiểm soát rủi ro hoạt động
Mức độ
RR

1-4
Mức thấp

5-8
Trung bình

9-12
Đáng kể

Kế họach hành động
-

15-25
Nghiêm
trọng

-

Kiểm soát nhanh chóng
Giám sát bảo đảm duy trì kiểm soát
Quản lý theo các qui trình thông thường
Cải tiến nếu có thể
Lập báo cáo rủi ro
Có kế họach nhằm giảm bớt rủi ro
Đánh giá rủi ro và có hành động thích hợp
Các hành động phải được kiểm soát
Lập báo cáo rủi ro và theo dõi
Đánh giá rủi ro càng sớm càng tốt (đối với công việc đang
tiến hành)
Chỉ thực hiện họat động KD trong giới hạn RR chấp nhận

được; và liên hệ với người QLRR về những họat động đó
Lập báo cáo sự cố và theo dõi
Không họat động cho đến khi hoàn thành đánh giá RR
Nếu không giảm thiểu được RR đó, phải báo cáo GĐ,
người QLRR
Lập báo cáo sự cố và theo dõi

Nguồn: KPMG International 2007.
24/11/2016

C.V. Lực/HT QLRR 2016

18


f. Tính vốn tối thiểu đối với RRHĐ
Basel 2 – Phương pháp tính vốn tối thiểu
Tổng vốn tối thiểu
RRTD

RRTT

Phương pháp
chuẩn (SA)

Phương
pháp chuẩn

Phương pháp
nội bộ (IRBA)


Phương
pháp nội bộ

Phương pháp
tiên tiến (MR)

RRHĐ
Phương pháp
chỉ số cơ bản
Phương pháp
chuẩn
Phương pháp
tiên tiến

Nguồn: BIS (2006).
24/11/2016

C.V. Lực/HT QLRR 2016

19


Thí dụ về tính vốn tối thiểu đối với rủi ro hoạt
động theo phương pháp chỉ số cơ bản - BIA
KBIA = [∑(GI1...n × α)]/n
Trong đó,
KBIA
= Số vốn tối thiểu cần có theo phương pháp BIA
GI

= tổng thu nhập hàng năm, nếu có lãi, trong 3 năm vừa qua
n
= số năm có thu nhập dương
α
= 15%, theo mức chung của UB Basel
[Nguồn: BCBS 6/2006, đoạn 649].

24/11/2016

C.V. Lực/HT QLRR 2016

20


Tóm tắt 11 nguyên tắc QLRRHĐ theo Basel II
 Nguyên tắc 1: HĐQT cần đảm bảo thiết lập văn hóa
QLRR
 Nguyên tắc 2: Ngân hàng cần phát triển, thực hiện và
duy trì Khung QLRR
 Nguyên tắc 3: HĐQT cần thiết lập, phê duyệt và rà
soát định kỳ Khung QLRR
 Nguyên tắc 4: HĐQT phê duyệt và rà soát tuyên bố
khẩu vị rủi ro
 Nguyên tắc 5: BĐH cần xây dựng và trình HĐQT
phê duyệt cơ cấu, chính sách, qui trình và hệ thống
QLRR (trong khuôn khổ Khung QLRR)
 Nguyên tắc 6: BĐH cần đảm bảo nhận biết và đánh
giá RRHĐ trong tất cả các SP-DV, hoạt động, qui trình
và hệ thống chính.
24/11/2016


C.V. Lực/HT QLRR 2016

21


Tóm tắt 11 nguyên tắc QLRRHĐ theo Basel II
 Nguyên tắc 7: BĐH đảm bảo có qui trình phê duyệt
đối với tất cả các SP-DV mới, hoạt động, qui trình và
hệ thống mới.
 Nguyên tắc 8: BĐH cần giám sát, theo dõi trạng thái,
hoạt động tiềm ẩn rủi ro hoạt động (kênh báo cáo…)
 Nguyên tắc 9: Ngân hàng cần có môi trường kiểm soát
rủi ro chặt chẽ
 Nguyên tắc 10: Ngân hàng cần có kế hoạch hoạt động
liên tục
 Nguyên tắc 11: Ngân hàng cần tiết lộ thông tin đủ để
các bên liên quan đánh giá được phương pháp QLRRHĐ.

24/11/2016

C.V. Lực/HT QLRR 2016

22


3. QUẢN LÝ RRHĐ VÀ RỦI RO CÔNG
NGHỆ TẠI VN: MẶT ĐƯỢC



Một số NHTM đã thành lâp bộ phận QLRRHĐ độc lập: VCB,
Techcombank, Hàng Hải …v.v;



Một số NHTM khác có bộ phận kiêm nhiệm (rủi ro thị trường và hoạt động)
như BIDV, Vietinbank..v.v;



Một số NH đã ban hành chính sách QLRRHĐ, chế tài đối với RRHĐ; đã và
đang áp dụng Qui trình ISO và qui trình phòng-chống rửa tiền;



Một số NH đã ban hành KH hoạt động liên tục (BCP)



Các NH bắt đầu quan tâm hơn đến rủi ro công nghệ



Đã có nhiều hội thảo, chương trình đào tạo về vấn đề này.

24/11/2016

C.V. Lực/HT QLRR 2016

23

23


3. QLRRHĐ và CN tại các NHTM VN
• Mặt chưa được:

Con
người
- Nhận thức chưa đầy
đủ về RR và trách
nhiệm QLRR
- Chỉ tập trung vào
báo cáo, xử lý RR
- Sai phạm, vụ việc
còn nhiều

24/11/2016

RRHĐ &
CN

Qui
trình

Hệ
thống

Khách
quan


Bất cập, chưa
hoàn chỉnh, chồng
chéo

- Manh mún, một
số lạc hậu, tích
hợp kém
- CSDL, thông tin
rất hạn chế

- Lừa đảo bên
ngoài còn nhiều
- Chưa có dự báo
tốt về thay đổi
chính sách

C.V. Lực/HT QLRR 2016

24


Quản lý rủi ro hoạt động và công
nghệ - bất cập chính
• Chưa hiểu đúng và trúng -> chưa quan tâm thích
đáng
• Chưa có hướng dẫn về QLRR hoạt động và rủi ro công
nghệ từ cơ quan chức năng (ngoại trừ về phòng chống
rửa tiền và 1 số cảnh báo)
• Mỗi NHTM đang làm theo cách khác nhau
• Băn khoăn giữa tiện lợi (bằng ứng dụng CNTT) và an

toàn/bảo mật cho khách hàng
• Chưa tính toán vốn tối thiểu cần có đối với 2 rủi ro này.
24/11/2016

C.V. Lực/HT QLRR 2016

25