Bài giảng Quản trị rủi ro - Bài 4: Rủi ro hoạt động

v1.0015111218
BÀI 4
RỦI RO HOẠT ĐỘNG
ThS. Đinh Thị Hồng Thêu
Trường Đại học Kinh tế Quốc dân
1
v1.0015111218
TÌNH HUỐNG KHỞI ĐỘNG: Sự cố xảy ra tại ngân hàng
Nếu sự cố mất điện xảy ra chẳng hạn, hoặc lỗi hệ thống máy tính bị tạm treo thì toàn bộ 
hoạt động ngân hàng sẽ bị ngưng trệ. Hoặc nếu quy trình nghiệp vụ huy động vốn không 
phù hợp với quy định hiện hành của các cơ quan quản lý thì cũng dễ xảy ra nguy cơ
ngân hàng bị phạt, các giao dịch bị hủy bỏ
2
1. Tất cả những sự cố này là rủi ro gì? Tầm quan trọng của việc quản trị rủi
ro này?
2. Những chương trình nào được sử dụng để nhận diện, đo lường, xử lý và
kiểm soát loại rủi ro này?
v1.0015111218
MỤC TIÊU
• Giới thiệu và hướng dẫn sinh viên hiểu được về rủi ro hoạt động và những
tổn thất liên quan đến rủi ro này.
• Sinh viên được hướng dẫn các chương trình quản trị rủi ro hoạt động trong
thực tế theo chuẩn mực quốc tế.
• Một liên hệ thực tế từ chương trình quản trị rủi ro hoạt động của Ngân hàng
TMCP Kỹ Thương Việt Nam (Techcombank) sẽ được giới thiệu để sinh viên
có thể hiểu rõ về quy trình quản trị rủi ro hoạt động tại Việt Nam.
3
v1.0015111218
NỘI DUNG
4
Tổng quan về rủi ro hoạt động
Tự đánh giá rủi ro
Chương trình “Thu thập dữ liệu tổn thất”
Xác định chỉ số rủi ro chính (KRI)
Liên hệ thực tế: Quản trị rủi ro hoạt động tại Techcombank
v1.0015111218
1. TỔNG QUAN VỀ RỦI RO HOẠT ĐỘNG
5
1.2. Rủi ro hoạt động bao gồm những rủi ro nào?
1.1. Rủi ro hoạt động là gì?
1.4. Quản lý rủi ro hoạt động
1.3. Đặc tính của rủi ro hoạt động
v1.0015111218
1.1. RỦI RO HOẠT ĐỘNG LÀ GÌ?
Theo Ủy ban Basel về giám sát Ngân hàng:
“Rủi ro hoạt động là rủi ro gây ra tổn thất do 
các nguyên nhân như con người, sự không 
đầy đủ hoặc vận hành không tốt các quy trình, 
hệ thống; các sự kiện khách quan bên ngoài”.
6
v1.0015111218
1.2. RỦI RO HOẠT ĐỘNG BAO GỒM NHỮNG RỦI RO NÀO?
• Rủi ro do Quy chế, Quy trình nghiệp vụ;
• Rủi ro do cán bộ ngân hàng;
• Rủi ro do các nguyên nhân khác;
• Rủi ro do tác động từ bên ngoài;
• Rủi ro từ hệ thống công nghệ thông tin.
7
v1.0015111218
VÍ DỤ
• Ví dụ 1: Tổ trưởng tổ kế toán tại một điểm giao dịch của NHTM cổ phần biển thủ 7 tỷ 
đồng cá độ bóng đá.
• Ví dụ 2: Khách hàng chuyển 4 triệu VND bị hạch toán thành 4 triệu AUD (tương
đương 48,5 tỷ VND tại thời điểm xảy ra sự cố).
8
v1.0015111218
1.3. ĐẶC TÍNH CỦA RỦI RO HOẠT ĐỘNG
• Nếu rủi ro tín dụng và rủi ro thị trường chỉ liên quan
đến một hoặc một số bộ phận của ngân hàng thì rủi
ro hoạt động có liên quan đến toàn bộ các bộ phận.
Ví dụ: Nếu sự cố mất điện xảy ra chẳng hạn, hoặc lỗi 
hệ thống máy tính bị tạm treo thì toàn bộ hoạt động
ngân hàng sẽ bị ngưng trệ. Hoặc nếu quy trình 
nghiệp vụ huy động vốn không phù hợp với quy định 
hiện hành của các cơ quan quản lý thì cũng dễ xảy ra
nguy cơ ngân hàng bị phạt, các giao dịch bị hủy bỏ.
• Nguyên nhân chủ yếu gây ra rủi ro hoạt động, có thể 
thấy qua các ví dụ kể trên, xuất phát từ yếu tố con 
người với các hoạt động như: lừa đảo, biển thủ, giả 
mạo giấy tờ, ăn cắp thông tin, thực hiện giao dịch
không đúng thẩm quyền, cố ý làm trái các quy định 
của ngân hàng, của pháp luật
9
v1.0015111218
1.4. QUẢN LỶ RỦI RO HOẠT ĐỘNG
• Trên thực tế, bên cạnh quản lý rủi ro tín dụng và 
rủi ro thị trường thì quản lý rủi ro hoạt động là 
một trong ba trụ cột chính trong cơ chế quản lý 
rủi ro tổng thể của mỗi NHTM hiện nay. Với hệ 
thống chi nhánh trải rộng và khối lượng tiền lưu
thông lớn, đội ngũ nhân viên đông đảo, các
NHTM hiểu rằng thời gian và chi phí để giám sát,
ngăn ngừa toàn bộ rủi ro hoạt động chắc chắn sẽ
cao hơn con số thực tế phát sinh.
• Do đó, việc theo dõi và thống kê xu hướng diễn 
biến của các tổn thất gây ra bởi rủi ro hoạt động 
để có những biện pháp điều chỉnh phù hợp là 
bước đi tất yếu của quản trị ngân hàng hiện đại.
10
v1.0015111218
2. TỰ ĐÁNH GIÁ RỦI RO
11
2.2. Trình tự tự đánh giá rủi ro hoạt động
2.1. Mục đích
v1.0015111218
2.1. MỤC ĐÍCH
• Xác định rủi ro có mức độ nghiêm trọng cao cần ưu tiên tại đơn vị.
• Tìm ra các điểm hổng hay điểm yếu của hệ thống để có biện pháp xử lý các điểm
hổng và điểm yếu này.
• Các cán bộ tham gia xử lý nghiệp vụ được bảo vệ tốt hơn.
• Các cấp quản lý có thể dành thời gian cho các mục tiêu khác như phát triển kinh
doanh cho đơn vị.
12
v1.0015111218
2.2. TRÌNH TỰ TỰ ĐÁNH GIÁ RỦI RO HOẠT ĐỘNG
13
Xác định
rủi ro
trọng yếu
Cho điểm
rủi ro
trọng yếu
Sắp xếp rủi
ro với các
chốt
kiểm soát
Đánh giá
hiệu quả
chốt
kiểm soát
Lập kế
hoạch giảm
thiểu rủi ro
Kiểm tra và
Báo cáo
v1.0015111218
2.2.1. XÁC ĐỊNH RỦI RO TRỌNG YẾU/THEN CHỐT
• Phân tích thông tin (quy trình, các báo cáo, các nguồn thông tin khác).
• Tìm hiểu thực địa (phỏng vấn các cán bộ tại đơn vị).
14
v1.0015111218
2.2.1. XÁC ĐỊNH RỦI RO TRỌNG YẾU/THEN CHỐT (tiếp theo)
15
Dựa trên danh mục rủi ro có sẵn, các thành viên cùng bàn bạc và thống nhất về 10 rủi ro
được coi là quan trọng nhất đối với đơn vị.
100 rủi ro
50 rủi ro
10 
rủi ro
Rủi ro khiến bạn và người quản lý của 
bạn cảm thấy lo lắng nhất
“Tôi thấy
thực sự lo 
lắng về”
Chu trình tham khảo
v1.0015111218
2.2.2. CHO ĐIỂM RỦI RO TRỌNG YẾU
16
Hiệu quả 
của chốt 
kiểm soát 
hiện tại
Dựa trên sự
kiện trong quá
khứ hoặc ước
đoán khả năng
xảy ra trong
tương lai
1- Ảnh
hưởng
(Impact)
3- Mức độ bị rủi
ro (Exposure)
2- Khả năng xảy
ra (Likelihood)
Rủi ro
tổng thể
(Overall Risk )
3 yếu tố cần cho điểm với mỗi rủi ro
v1.0015111218
2.2.2. CHO ĐIỂM RỦI RO TRỌNG YẾU (tiếp theo)
17
• Cho điểm rủi ro trọng yếu:
Ghi chú: Đây là mức độ rủi ro khi chưa có các chốt kiểm soát.
• Căn cứ xác định mức độ ảnh hưởng:
 Dữ liệu lịch sử tại đơn vị.
 Trường hợp tương tự đã xảy ra tại đơn vị khác trong hệ thống hoặc tại các ngân
hàng khác.
 Dựa trên sự hiểu biết về bản chất nghiệp vụ của cán bộ đánh giá.
Mức độ tuyệt đối
của rủi ro
Mức độ
ảnh hưởng Khả năng xảy ra =
v1.0015111218
2.2.3. SẮP XẾP RỦI RO VỚI CÁC CHỐT KIỂM SOÁT
• Chốt kiểm soát mang tính phòng ngừa (preventive control):
1. Các tiêu chuẩn, chính sách và quy trình.
2. Việc phân tách trách nhiệm giữa các công việc có mâu thuẫn về lợi ích.
3. Việc đặt ra hạn mức/các cấp phê duyệt/thẩm quyền.
4. Các kế hoạch dự phòng và khôi phục.
5. Chu trình lập kế hoạch và lập ngân sách hiệu quả.
6. Chu trình tự phát hiện và đề xuất hiệu quả.
• Chốt kiểm soát mang tính phát hiện (detective control):
1. Việc kiểm tra và đối chiếu định kỳ (số dư tài khoản, chứng từ kế toán, kiểm kê
tài sản, bảng cân đối kế toán).
2. Việc đối chiếu giữa kế hoạch và ngân sách với thực tế thực hiện.
3. Việc xem xét tình hình hoạt động với nhiều cấp và phạm vi xem xét (từ cấp cơ
sở đến cấp cao).
18
v1.0015111218
2.2.4. ĐÁNH GIÁ HIỆU QUẢ CHỐT KIỂM SOÁT
Thang điểm “Mức độ bị rủi ro” và hướng dẫn cho điểm (1)
Các yếu tố xem xét:
• Tính chặt chẽ và đầy đủ của hệ thống Quy trình nội bộ.
• Mức độ phân tách trách nhiệm.
• Thực tế vận dụng quy trình của cán bộ tham gia xử lý nghiệp vụ.
• Đáp ứng của đơn vị với những biến động về sản phẩm/quy trình/con người.
• Chính sách chuyển và dự phòng rủi ro.
19
v1.0015111218
2.2.4. ĐÁNH GIÁ HIỆU QUẢ CHỐT KIỂM SOÁT (tiếp theo)
20
Ma trận đánh giá tổng thể
C B B A A
C C B B A
C C C B B
D C C C B
D D C C C
1 2 3 4 5
> 10
8 – 10
5 – 7
3 – 4
0 – 2
Mức độ bị rủi ro
Mức độ 
tuyệt 
đối của 
rủi ro
Cao: A
Khá cao: B
Trung bình: C
Thấp: D
v1.0015111218
2.2.5. LẬP KẾ HOẠCH GIẢM THIỂU RỦI RO
Biện pháp giảm thiểu rủi ro (action plan)
• Đối với các rủi ro có điểm đánh giá tổng thể ở mức A và B, đơn vị phải đề xuất biện
pháp giảm thiểu rủi ro.
• Việc nhập và phê duyệt biện pháp giảm thiểu cũng qua hai bước tương tự quá trình
đánh giá.
• Biện pháp giảm thiểu rủi ro có thể được thực thi bởi chính đơn vị hoặc do các đơn vị
khác theo đề xuất của đơn vị đánh giá.
21
v1.0015111218
2.2.5. LẬP KẾ HOẠCH GIẢM THIỂU RỦI RO (tiếp theo)
22
Các nhầm lẫn thường gặp
• Mức độ ảnh hưởng là Mức độ bị rủi ro?
 Mức độ ảnh hưởng: Đo lường mức độ thiệt hại do rủi
ro gây ra.
 Mức độ bị rủi ro: Đo lường khả năng hệ thống có thể
phòng ngừa/ngăn chặn rủi ro.
• Thu thập tổn thất là Đánh giá rủi ro?
 Thu thập tổn thất: Ghi nhận khi sự kiện xảy ra gây ra
tổn thất.
 Đánh giá rủi ro: Đánh giá khả năng rủi ro xảy ra.
v1.0015111218
3. CHƯƠNG TRÌNH “THU THẬP DỮ LIỆU TỔN THẤT”
23
3.2. Các thành phần của sự kiện tổn thất
3.1. Mục đích thu thập dữ liệu tổn thất
3.3. Quy trình ghi nhận sự kiện tổn thất
v1.0015111218
3.1. MỤC ĐÍCH THU THẬP DỮ LIỆU TỔN THẤT
• Tăng cường nhận thức về rủi ro hoạt động.
• Phân tích nguyên nhân, đưa ra bài học tránh lặp lại trong tương lai.
• Tính toán rủi ro hoạt động, phân bổ vốn rủi ro hoạt động theo Basel II.
24
v1.0015111218
CSDL các sự kiện tổn thất
Kế hoạch ngăn ngừa/giảm 
thiểu tổn thất
3.2. CÁC THÀNH PHẦN CỦA SỰ KIỆN TỔN THẤT
25
Nguyên nhân
• Con người
• Quy trình
• Hệ thống
• Các sự kiện bên ngoài
Ảnh hưởng 
• Trách nhiệm pháp lý
• Tổn thất về tài sản
• Mất khả năng đòi bồi hoàn
• Tuân thủ
• Giảm giá trị
Loại sự kiện
• Gian lận nội bộ
• Gian lận từ bên ngoài
• Thực hiện quy định lao động 
và an toàn nơi làm việc
• Khách hàng, sản phẩm và 
thông lệ kinh doanh
• 
v1.0015111218
TRÁCH NHIỆM TIẾN TRÌNH THỰC HIỆN THAM CHIẾU
Chuyên viên 
điều phối Xem điểm 7.1
Lãnh đạo đơn vị Xem điểm 7.2
Chuyên viên 
điều phối Xem điểm 7.3
Lãnh đạo đơn vị Xem điểm 7.2
Phòng QTRR 
hoạt động Xem điểm 7.4
Nhập thông tin
Tổng hợp, xử lý, báo cáo
Cập nhật thông tin
Phê duyệt
Phê duyệt
3.3. QUY TRÌNH GHI NHẬN SỰ KIỆN TỔN THẤT
26
v1.0015111218
4. XÁC ĐỊNH KRIs
27
4.2. Các tiêu chuẩn của một KRI tốt
4.1. Khái niệm chung về KRIs
v1.0015111218
4.1. KHÁI NIỆM CHUNG VỀ KRIs
• Định nghĩa:
KRI là chỉ số xác định rủi ro chủ chốt. Chỉ số này đo lường một rủi ro cụ thể để xác
định được khả năng xảy ra và mức độ ảnh hưởng của rủi ro đó.
• Mục tiêu:
 Đảm bảo việc đo lường rủi ro được chính xác.
 Đảm bảo việc cảnh báo rủi ro tới các đơn vị kinh doanh được thực hiện kịp thời,
hiệu quả.
28
v1.0015111218
4.2. CÁC TIÊU CHUẨN CỦA MỘT KRI TỐT
• Hiệu quả (effective):
 Có liên hệ tới ít nhất một loại rủi ro và áp dụng được cho ít nhất một đơn vị kinh
doanh hay một hoạt động.
 Một cách hiệu quả để xác định KRI là đi từ rủi ro then chốt đã được xác định qua
quá trình đánh giá rủi ro ở trên.
 Có thể đo lường tại một thời điểm cụ thể.
 Cung cấp thông tin quản trị hữu dụng.
29
v1.0015111218
4.2. CÁC TIÊU CHUẨN CỦA MỘT KRI TỐT (tiếp theo)
30
• Có thể so sánh (comparable):
 Có đơn vị đo lường: Số tiền, tỷ lệ % hay một tỷ số, hệ số.
 Có các giá trị có thể so sánh được với các mốc thời gian khác (cùng kì năm
ngoái, so với tháng trước, quý trước).
• Dễ sử dụng (easy to use):
 Có thể đo được một cách kịp thời và đáng tin cậy.
 Không tốn kém nhiều chi phí để đo lường.
 Dễ hiểu và dễ trao đổi giữa các bộ phận.
v1.0015111218
5. VÍ DỤ THỰC TẾ QUẢN TRỊ RỦI RO HOẠT ĐỘNG TẠI TECHCOMBANK
31
v1.0015111218 32
ĐĂNG NHẬP HỆ THỐNG
v1.0015111218 33
ĐĂNG NHẬP THÀNH CÔNG
v1.0015111218
NHẬP SỰ KIỆN TỔN THẤT
34
v1.0015111218
PHÊ DUYỆT SỰ KIỆN TỔN THẤT
35
v1.0015111218 36
TỰ ĐÁNH GIÁ RỦI RO
v1.0015111218 37
CHO ĐIỂM RỦI RO TRỌNG YẾU
v1.0015111218 38
PHÊ DUYỆT TỰ ĐÁNH GIÁ RỦI RO HOẠT ĐỘNG
v1.0015111218
QUẢN LÝ KẾ HOẠCH GIẢM RỦI RO
39
v1.0015111218 40
NHẬP BIỆN PHÁP GIẢM RỦI RO
v1.0015111218 41
PHÊ DUYỆT GIẢM RỦI RO
v1.0015111218 42
CẤU TRÚC QUẢN TRỊ RỦI RO HOẠT ĐỘNG TẠI TECHCOMBANK
FunctionBranchBranch
Risk Committee
Operational Risk 
Working Group
Phòng quản trị rủi ro 
hoạt động TCB
Đơn vị nghiệp vụ 
hoặc CN/PGD
Đơn vị nghiệp vụ
hoặc CN/PGD
Đơn vị nghiệp vụ 
hoặc CN/PGD
Báo cáo sự 
kiện tổn thất
Dữ liệu tổn thất
Tự đánh 
giá rủi ro
Dữ liệu tự đánh
giá rủi ro
Chỉ số rủi 
ro chính
Tự đánh 
giá rủi ro
Báo cáo sự 
kiện tổn thất
Tự đánh 
giá rủi ro
Báo cáo sự 
kiện tổn thất
Chỉ số rủi 
ro chính
Chỉ số rủi 
ro chính
Chỉ số rủi 
ro chính
v1.0015111218
NHÂN VIÊN LÀM GÌ ĐỂ GÓP PHẦN QUẢN LÝ RỦI RO HOẠT ĐỘNG?
• Hiểu và nắm rõ tầm quan trọng của việc quản lý
rủi ro hoạt động, nắm vững quy trình thu thập sự
kiện tổn thất và tự đánh giá rủi ro hoạt động.
• Khi có sự kiện tổn thất xảy ra nhân viên cần thực
hiện nhập sự kiện tổn thất vào phần mềm quản lý
rủi ro hoạt động.
• Định kỳ 6 tháng/1 lần đơn vị thực hiện tự đánh giá
rủi ro hoạt động trên phần mềm quản lý rủi ro hoạt
động (hoặc exel) để phát hiện và đưa ra biện pháp
giảm rủi ro.
• Thiết lập và theo dõi các chỉ số rủi ro hoạt động
chính (KRIs) để đưa ra cảnh báo sớm về rủi ro.
• Thực hiện đúng các quy trình quản lý rủi ro hoạt
động là trách nhiệm của toàn thể nhân viên
Techcombank.
43
v1.0015111218
GIẢI QUYẾT TÌNH HUỐNG
Những sự cố trong tình huống ở đầu bài được xếp vào rủi ro hoạt động của Ngân hàng.
Và tổn thất mà rủi ro hoạt động mang đến cho Ngân hàng là rất lớn. Do đó, việc theo dõi 
và thống kê xu hướng diễn biến của các tổn thất gây ra bởi Rủi ro hoạt động để có 
những biện pháp điều chỉnh phù hợp là bước đi tất yếu của quản trị ngân hàng hiện đại.
44
v1.0015111218
CÂU HỎI TRẮC NGHIỆM 1
Rủi ro hoạt động ảnh hưởng đến:
A. Chỉ bộ phận xảy ra rủi ro đó.
B. Toàn bộ ngân hàng.
C. Khách hàng của ngân hàng.
D. Hệ thống liên ngân hàng.
Trả lời:
Đáp án đúng là: B. Toàn bộ ngân hàng.
45
v1.0015111218
CÂU HỎI TRẮC NGHIỆM 2
Quy trình quản trị rủi ro hoạt động:
A. Giống quy trình quản trị rủi ro thị trường.
B. Giống quy trình quản trị rủi ro tín dụng.
C. Không sử dụng các mô hình kinh tế lượng như 2 loại rủi ro tín dụng và thị trường.
D. Dựa trên các mô hình kinh tế lượng.
Trả lời:
Đáp án đúng là: C. Không sử dụng các mô hình kinh tế lượng như 2 loại rủi ro tín dụng
và thị trường.
46
v1.0015111218
CÂU HỎI TỰ LUẬN
Trình bày các bước của quy trình tự đánh giá rủi ro? Theo bạn bước nào là quan
trọng nhất?
Trả lời:
• Quy trình tự đánh giá rủi ro gồm 6 bước theo thứ tự như sau:
1. Xác định rủi ro trọng yếu;
2. Cho điểm rủi ro trọng yếu;
3. Sắp xếp rủi ro với các chốt kiếm soát;
4. Đánh giá hiệu quả chốt kiểm soát;
5. Lập kế hoạch giảm thiểu rủi ro;
6. Kiểm tra và báo cáo.
• Bước 1 đóng vai trò quan trọng nhất.
47
v1.0015111218
TÓM LƯỢC CUỐI BÀI
• Rõ ràng rủi ro hoạt động là loại rủi ro gây tổn thất rất lớn cho ngân hàng. Nó cần phải
được theo dõi đặc biệt và xử lý kịp thời.
• Toàn bộ bài này đã cung cấp cho sinh viên những chương trình được ứng dụng
trong quản trị rủi ro hoạt động theo chuẩn mực quốc tế.
48