Rủi ro vận hành trong ngân hàng

Rủi ro hoạt động là gì?

• 1. Cơ sở pháp lý
• 2. Rủi ro hoạt động là gì?
• Căn cứ quy định tại khoản 27 Điều 2 Thông tư 41/2016/TT-NHNN, rủi ro hoạt động được hiểu như sau:
• Quản lý rủi ro hoạt động là gì?
• Quy định pháp luật về quản lý rủi ro hoạt động
• Chiến lược quản lý rủi ro hoạt động, hạn mức rủi ro hoạt động
• Nhận dạng, đo lướng, theo dõi và kiểm soát rủi ro hoạt động
• Quản lý rủi ro hoạt động đối với hoạt động thuê ngoài
• Mua bảo hiểm để giảm thiểu tổn thất rủi ro hoạt động
• Báo cáo nội bộ về rủi ro hoạt động

Thưa luật sư. Tôi tên là Đặng Huy sinh sống và làm việc tại Gia Lai. Hiện tại tôi đang nghiên cứu về hoạt động của ngân hàng thương mại. Tôi có một thắc mắc muốn nhờ luật sư giải đáp. Cụ thể đó là: Rủi ro hoạt động là gì? Pháp luật quy định như thế nào về việc kiểm soát rủi ro hoạt động của ngân hàng theo quy định hiện nay? Rất mong sẽ nhận được giải đáp từ luật sư. Xin chân thành cảm ơn!

Chào bạn, cảm ơn bạn đã tin tưởng gửi thắc mắc tới công ty luật Minh Khuê. Nội dung bạn hỏi chúng tôi nghiên cứu và giải đáp như sau:

1. Cơ sở pháp lý

- Luật các tổ chức tín dụng năm 2010 sửa đổi bổ sung năm 2017

- Thông tư 41/2016/TT-NHNN

- Thông tư 13/2018/TT-NHNN

- Thông tư 40/2018/TT-NHNN

2. Rủi ro hoạt động là gì?

Căn cứ quy định tại khoản 27 Điều 2 Thông tư 41/2016/TT-NHNN, rủi ro hoạt động được hiểu như sau:

Rủi ro hoạt động là rủi ro do các quy trình nội bộ quy định không đầy đủ hoặc có sai sót, do yếu tố con người, do các lỗi, sự cố của hệ thống hoặc do các yếu tố bên ngoài làm tổn thất về tài chính, tác động tiêu cực phi tài chính đối với ngân hàng, chi nhánh ngân hàng nước ngoài [bao gồm cả rủi ro pháp lý].

Lưu ý: Rủi ro hoạt động không bao gồm:

- Rủi ro danh tiếng;

- Rủi ro chiến lược.

Trong đó:

Rủi ro danh tiếng là rủi ro do khách hàng, đối tác, cổ đông, nhà đầu tư hoặc công chúng có phản ứng tiêu cực về uy tín của ngân hàng, chi nhánh ngân hàng nước ngoài.

Rủi ro chiến lược là rủi ro do ngân hàng, chi nhánh ngân hàng nước ngoài có hoặc không có chiến lược, chính sách ứng phó kịp thời trước các thay đổi môi trường kinh doanh làm giảm khả năng đạt được chiến lược kinh doanh, mục tiêu lợi nhuận của ngân hàng, chi nhánh ngân hàng nước ngoài.

Quản lý rủi ro hoạt động là gì?

Quản lý rui ro được hiểu là việc nhận dạng, đo lường, theo dõi và kiểm soát rủi ro trong hoạt động của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài.

Theo đó, quản lý rủi ro hoạt động được hiểu là việc nhận dạng, đo lường, theo dõi và kiểm soát rủi ro do các quy trình nội bộ quy định không đầy đủ hoặc có sai sót, do yếu tố con người, do các lỗi, sự cố của hệ thống hoặc do các yếu tố bên ngoài làm tổn thất về tài chính, tác động tiêu cực phi tài chính đối với ngân hàng, chi nhánh ngân hàng nước ngoài [bao gồm cả rủi ro pháp lý].

Quy định pháp luật về quản lý rủi ro hoạt động

Chiến lược quản lý rủi ro hoạt động, hạn mức rủi ro hoạt động

Trước hết để quản lý được rủi ro hoạt động, ngân hàng thương mại cần có chiến lược quản lý rủi ro hoạt động và hạn mức rủi ro hoạt động. Cụ thể như sau:

Thứ nhất, Chiến lược quản lý rủi ro hoạt động tối thiểu bao gồm các nội dung sau đây:

- Nguyên tắc thực hiện quản lý rủi ro hoạt động;

- Nguyên tắc sử dụng hoạt động thuê ngoài, mua bảo hiểm, ứng dụng công nghệ;

- Các trường hợp phải có kế hoạch duy trì hoạt động liên tục tối thiểu bao gồm:

+ Mất tài liệu, cơ sở dữ liệu quan trọng;

+ Hệ thống công nghệ thông tin bị sự cố;

+ Các sự kiện bất khả kháng [chiến tranh, thiên tai, cháy nổ...].

Thứ hai, Hạn mức rủi ro hoạt động tối thiểu bao gồm các hạn mức sau đây:

- Hạn mức về mức độ tổn thất tài chính đối với từng trường hợp quy định tại khoản 2 Điều 42 Thông tư này theo 06 nhóm hoạt động kinh doanh;

- Hạn mức về mức độ tổn thất phi tài chính [bao gồm cả uy tín, danh tiếng, phát sinh nghĩa vụ pháp lý].

Nhận dạng, đo lướng, theo dõi và kiểm soát rủi ro hoạt động

Tiếp theo đó là tiến hành nhận dạng, đo lường, theo dõi và kiểm soát rủi ro hoạt động. Điều này được quy định cụ thể tại Điều 42 Thông tư 13/ 2018/TT-NHNN [sửa đổi tại Điều 2 Thông tư 40/2018/TT-NHNN]. Cụ thể đó là:

Thứ nhất, Ngân hàng thương mại, chi nhánh ngân hàng nước ngoài phải nhận dạng đầy đủ rủi ro hoạt động trong tất cả các sản phẩm, hoạt động kinh doanh, quy trình nghiệp vụ, hệ thống công nghệ thông tin và các hệ thống quản lý khác.

Thứ hai, Việc nhận dạng rủi ro hoạt động được thực hiện đối với các trường hợp sau đây:

- Gian lận nội bộ do hành vi lừa đảo, chiếm đoạt tài sản, vi phạm các chiến lược, chính sách và quy định nội bộ liên quan đến ít nhất một cá nhân của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài [bao gồm cả hành vi không đúng chức trách, nhiệm vụ, hành vi vượt thẩm quyền, trộm cắp, lợi dụng thông tin nội bộ để trục lợi];

- Gian lận bên ngoài do các hành vi lừa đảo, chiếm đoạt tài sản do đối tượng bên ngoài gây nên mà không có sự trợ giúp, cấu kết của cá nhân, bộ phận của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài [bao gồm cả hành vi trộm cắp, cướp, giả mạo thẻ ngân hàng, chứng từ ngân hàng, xâm nhập hệ thống công nghệ thông tin để chiếm đoạt dữ liệu, tiền];

- Chính sách về lao động, an toàn nơi làm việc không phù hợp hợp đồng lao động, quy định của pháp luật về lao động, bảo vệ sức khỏe và an toàn nơi làm việc;

- Vô ý vi phạm quy định liên quan đến khách hàng, quy trình cung cấp sản phẩm và đặc tính sản phẩm khi thực hiện chức năng, nhiệm vụ được giao theo thẩm quyền đối với khách hàng [bao gồm cả hành vi vi phạm bảo mật thông tin khách hàng, vi phạm quy định về phòng chống rửa tiền, cung cấp sản phẩm dịch vụ trái quy định];

- Hư hỏng, mất mát tài sản, công cụ, thiết bị do các sự kiện bất khả kháng, tác động của con người và các sự kiện khác;

- Gián đoạn hoạt động kinh doanh do hệ thống công nghệ, thông tin gặp sự cố;

- Hạn chế, bất cập của quy trình giao dịch, kiểm soát giao dịch và quản lý giao dịch;

- Các trường hợp khác theo quy định nội bộ của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài.

Thứ ba, Ngân hàng thương mại, chi nhánh ngân hàng nước ngoài có công cụ đo lường rủi ro hoạt động thông qua việc lượng hóa tổn thất đối với các trường hợp quy định tại khoản 2 Điều này theo 06 nhóm hoạt động kinh doanh trên cơ sở áp dụng tối thiểu hai trong số các phương pháp sau đây:

- Sử dụng các phát hiện của kiểm toán nội bộ và kiểm toán độc lập [Audit findings];

- Thu thập và phân tích số liệu tổn thất nội bộ và bên ngoài [Internal and external loss data collection and analysis] để xác định tổn thất nội bộ và của toàn hệ thống ngân hàng thương mại, chi nhánh ngân hàng nước ngoài;

- Tự đánh giá kiểm soát rủi ro hoạt động [Risk Control Self Assessment - RCSA] để xác định hiệu quả của hoạt động kiểm soát đối với rủi ro hoạt động trước và sau khi kiểm soát;

- Sơ đồ hóa các quy trình nghiệp vụ [Business Process Mapping - BPM] để xác định mức độ rủi ro hoạt động của từng quy trình nghiệp vụ, rủi ro hoạt động chung của các quy trình nghiệp vụ và mối liên hệ của các rủi ro này;

- Chỉ số kết quả kinh doanh và chỉ số rủi ro trọng yếu [Risk and Performance indicators] để theo dõi yếu tố tác động đến rủi ro hoạt động và xác định các hạn chế, tồn tại và tổn thất tiềm ẩn;

- Phân tích kịch bản [Scenario Analysis] để xác định nguồn phát sinh rủi ro hoạt động và các yêu cầu kiểm soát, giảm thiểu rủi ro hoạt động trong các kịch bản và sự kiện có thể xảy ra.

Thứ tư, Ngân hàng thương mại, chi nhánh ngân hàng nước ngoài thực hiện kiểm soát rủi ro hoạt động thông qua hoạt động kiểm soát quy định tại Điều 15 Thông tư này và các biện pháp khác theo quy định nội bộ của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài. Trường hợp tổn thất thực tế vượt hạn mức rủi ro hoạt động, ngân hàng thương mại, chi nhánh ngân hàng nước ngoài phải có biện pháp tăng cường để kiểm soát, giảm thiểu rủi ro hoạt động đó trong tương lai.

Quản lý rủi ro hoạt động đối với hoạt động thuê ngoài

Thứ nhất, Quản lý rủi ro hoạt động đối với hoạt động thuê ngoài được thực hiện thông qua: Quản lý hoạt động thuê ngoài theo quy định tại khoản 2 Điều này và Nhận dạng, đo lường, theo dõi và kiểm soát rủi ro hoạt động phát sinh từ hoạt động thuê ngoài theo quy định tại Điều 42 Thông tư này.

Thứ hai, Quản lý hoạt động thuê ngoài tối thiểu bao gồm:

- Xác định phạm vi hoạt động thuê ngoài;

- Phân cấp thẩm quyền phê duyệt, quyết định đối với các hoạt động thuê ngoài;

- Thẩm định năng lực của doanh nghiệp thuê ngoài trong việc đáp ứng các yêu cầu, mục tiêu đề ra của hoạt động thuê ngoài trước khi ký hợp đồng thuê ngoài; đánh giá khả năng thực hiện hợp đồng của doanh nghiệp thuê ngoài trong quá trình thực hiện hợp đồng;

- Có nguyên tắc thỏa thuận các hợp đồng thuê ngoài đảm bảo chặt chẽ, đầy đủ, bảo vệ quyền sở hữu và bảo mật cơ sở dữ liệu, thông tin khách hàng và quyền chấm dứt hợp đồng thuê ngoài; mức độ và phạm vi hoạt động thuê ngoài; trách nhiệm cụ thể của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài và doanh nghiệp thuê ngoài và các điều khoản xử lý tranh chấp theo quy định của pháp luật;

- Lập hoặc yêu cầu doanh nghiệp thuê ngoài lập kế hoạch duy trì hoạt động liên tục cho hoạt động thuê ngoài theo quy định tại Điều 46 Thông tư này.

Mua bảo hiểm để giảm thiểu tổn thất rủi ro hoạt động

Bên cạnh việc đo lường và kiểm soát rủi ro hoạt động thì ngân hàng thương mại lựa chọn phương án mua bảo hiểm để giảm thiểu tổn thất rủi ro hoạt động. Cụ thể quy định tại Điều 45 Thông tư 13/2018/TT-NHNN:

Thứ nhất, Ngân hàng thương mại, chi nhánh ngân hàng nước ngoài được mua bảo hiểm để giảm thiểu tổn thất phát sinh từ rủi ro hoạt động theo quy định của pháp luật, đảm bảo phù hợp với năng lực tài chính và bù đắp tổn thất của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài.

Thứ hai, Ngân hàng thương mại, chi nhánh ngân hàng nước ngoài không sử dụng việc mua bảo hiểm để thay thế quản lý rủi ro hoạt động, phải đánh giá hiệu quả giảm thiểu tổn thất phát sinh từ rủi ro hoạt động của việc mua bảo hiểm, đánh giá năng lực của doanh nghiệp bán bảo hiểm trong việc thực hiện hợp đồng bảo hiểm và các rủi ro mới khác [nếu có].

Báo cáo nội bộ về rủi ro hoạt động

Mọi hoạt động ngân hàng đều phải tuân thủ quy định về báo cáo nội bộ nhằm đảm bảo cho quá trình kiểm soát nội bộ đạt hiệu quả. Việc quản lý rủi ro hoạt động cũng vậy. Pháp luật quy định việc báo cáo về rủi ro hoạt động tại Điều 47 Thông tư 13/2018/TT-NHNN. Theo đó, định kỳ tối thiểu 06 tháng hoặc đột xuất, ngân hàng thương mại, chi nhánh ngân hàng nước ngoài có báo cáo nội bộ về rủi ro hoạt động quy định tại khoản 2 Điều 47.

Báo cáo nội bộ về rủi ro hoạt động tối thiểu bao gồm các nội dung sau đây:

- Tình hình thực hiện chính sách quản lý rủi ro đối với rủi ro hoạt động, tuân thủ hạn mức rủi ro hoạt động;

- Các trường hợp phát sinh rủi ro hoạt động trong kỳ báo cáo và lý do;

- Số liệu tổn thất do rủi ro hoạt động theo 06 nhóm hoạt động kinh doanh, các biện pháp xử lý tổn thất và duy trì hoạt động liên tục [nếu có];

- Sự kiện, tác động bên ngoài ảnh hưởng đến rủi ro hoạt động của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài;

- Thay đổi về phương pháp đo lường rủi ro hoạt động;

- Tình hình hoạt động thuê ngoài và quản lý rủi ro hoạt động đối với hoạt động thuê ngoài;

- Thay đổi về ứng dụng công nghệ [nếu có] và tình hình quản lý rủi ro hoạt động trong ứng dụng công nghệ;

- Các đề xuất, kiến nghị về quản lý rủi ro hoạt động;

- Kết quả thực hiện các yêu cầu, kiến nghị về quản lý rủi ro hoạt động của kiểm toán nội bộ, Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác.

Trên đây là tư vấn của chúng tôi về nội dung "Rủi ro hoạt động là gì? Quy định pháp luật về quản lý rủi ro hoạt động của ngân hàng thương mại".

Mọi vướng mắc bạn vui lòng trao đổi trực tiếp với bộ phận luật sư tư vấn pháp luật trực tuyến qua tổng đài 24/7 gọi số: 1900.6162 để nhận được sự tư vấn, hỗ trợ từ Luật Minh Khuê. Rất mong nhận được sự hợp tác!

Bộ phận tư vấn pháp luật Ngân hàng - Công ty Luật Minh Khuê